Aktuelles

Sicherheitsfunktionen – Performance Level oder SIL-Level im Maschinenbau

Sicherheitsfunktionen – Performance Level oder SIL-Level im Maschinenbau

Wird der Schutz des Bedieners durch steuerungstechnische Maßnahmen realisiert, sprechen wir von Sicherheitsfunktionen. Sicherheitsfunktionen werden abhängig von Schadensausmaß, Aufenthaltsdauer und der Möglichkeit der Gefahrenabwehr des Bedieners mit einer Anforderung an ihre Zuverlässigkeit belegt. Bei der Erarbeitung der Risikobeurteilung sollte sich die Frage stellen: Performance Level oder SIL-Level.

Klassischerweise wird in der Welt der Maschinenrichtlinie unter Bezug auf die Norm DIN EN ISO 13849 „Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen“ der Performance Level verwendet. Insbesondere, da die Norm DIN EN ISO 13849 unter der Maschinenrichtlinie harmonisiert ist und deshalb bei ihrer Verwendung die sogenannte Vermutungswirkung greift. Bei Maschinen/Anlagen, deren Gefahren im weitesten Sinn mechanischer Natur sind, ist dieses Vorgehen üblich. Die Gefahren dieser Art zeichnen sich auch überwiegend dadurch aus, dass ein Abschalten die Gefährdung beseitigt. Dass dieses gewünschte Abschalten eine geforderte Zuverlässigkeit erreicht, kann mit der in der DIN EN ISO 13849 beschriebenen Methodik nachgewiesen werden. Es gibt aber auch Maschinen/Anlagen oder auch nur Teile einer Maschine, die mehr im Bereich der Prozesstechnik angesiedelt sind.

Bei diesen Maschinen/Anlagen sind in der Regel P&ID-Schemata vorhanden. Diese Maschinen/Anlagen fallen zwar auch unter der Maschinenrichtlinie, zeigen aber unter Umständen Gefährdungen, die nicht durch Abschalten zu beseitigen sind. Vielmehr ist häufig ein zuverlässiger Weiterbetrieb eines bestimmten Aggregats gefordert. Man denke zum Beispiel an den Ventilator einer Absaugung, der weiterlaufen muss, um eine Ansammlung explosionsfähiger Atmosphäre zu verhindern oder an eine Pumpe, die immer einen Flüssigkeitsspiegel in einem Behälter aufrechterhalten muss. Für Sicherheitsfunktionen dieser Art kann der Performance Level nicht nachgewiesen werden – weil das in der DIN EN ISO 13894 beschriebene Verfahren solche Fälle nicht kennt. Hier bleibt nur die Möglichkeit die Sicherheitsfunktion mit einem Safety Integrity Level (SIL) zu belegen. Das bedeutet, dass die entsprechende Sicherheitsfunktion in der Risikobeurteilung mit einem geforderten SIL-Level beschrieben werden und der Nachweis der Zuverlässigkeit nach DIN EN 61511 erfolgen muss.

Die Serie der DIN EN 61511 besteht aus drei Teilen und trägt den Titel „Funktionale Sicherheit – PLT-Sicherheitseinrichtungen für die Prozessindustrie.

Teil 1 – Allgemeines, Begriffe, Anforderungen an Systeme, Hardware und
            Anwendungsprogrammierung

Teil 2 – Anleitungen zur Anwendung von IEC 61511-1

Teil 3 – Anleitung für die Bestimmung des erforderlichen Sicherheits-Integritätslevel

Bei der Anwendung dieser Norm auf Maschinen ergibt sich eine kleine Schwäche derart, dass es sich bei der Reihe DIN EN 61511 bzw. EN IEC 61511 nicht um harmonisierte Normen handelt. Allerdings ist das Vorgehen, Sicherheitsfunktionen mit SIL-Level zu belegen und deren Zuverlässigkeit nach DIN EN 61511 nachzuweisen, üblich und anerkannt – insbesondere auch, weil es aktuell keine Alternative dazu gibt.

Neben der Funktion eines zuverlässigen Weiterbetriebs oder – seltener – eines sicheren Zuschaltens gibt es noch einen weiteren Grund Sicherheitsfunktionen mit SIL-Level statt mit Performance Level zu belegen. Dieser Grund liegt in der Ausführung der Sensorik: es gibt für manche Sensoren und Aktoren schlicht keine Angaben der Zuverlässigkeit, die zur Bestimmung des Performance Level geeignet sind. Zudem ist bei prozesstechnischen Sicherheitsfunktionen die Betriebsart „low demand“ zu berücksichtigen. Die EN ISO 13849 berücksichtigt die Betriebsart „high demand“ und continuous mode“. Besteht eine einfache Sicherheitsfunktion z.B. aus einem Liquiphanten (Füllstandgrenzschalter für Flüssigkeiten), der auf das Abschalten einer Pumpe wirken soll, wird die Betrachtung unter Performance Level (PL=d) zwangsweise dazu führen, dass die Forderung nach zwei Sensoren im Raum steht. Definiert und bewertet man die gleiche Sicherheitsfunktion unter SIL-Gesichtspunkten, gestalten sich Ausführung und Nachweis der Zuverlässigkeit deutlich leichter.

Zusammenfassend bedeutet das: Sicherheitsfunktionen sind mit SIL zu bewerten, wenn

  • sie dazu vorgesehen sind typische prozesstechnische Gefährdungen zu beherrschen oder
  • eine Anforderungsrate „low demand“, also eine Anforderungsrate von weniger als einmal pro Jahr zu berücksichtigen ist oder    
  • sie einen sicheren Weiterbetrieb oder ein sicheres Einschalten beschreiben oder
  • deren Sensorik und /oder Aktoren, z.B. Armaturen, keine klassischen Zuverlässigkeitswerte nach DIN EN ISO 13849 bieten

Erhöhte Aufmerksamkeit für dieses Thema ist spätestens dann notwendig, wenn ein P&ID auftaucht bzw. Teile aus Anlagen der Prozessindustrie, z.B. der chemischen und petrochemischen Industrie zu bewerten sind. Empfehlenswert ist das Vorgehen, die Sicherheitsfunktionen in einer Maschine/Anlage in zwei Gruppen zu unterteilen:  typische Maschinen-Sicherheitsfunktionen werden mit Performance Level und Prozesstechnik-Sicherheitsfunktionen werden mit SIL-Level belegt. Der Nachweis der Zuverlässigkeit sicherheitstechnischer Funktionen zur Beherrschung prozesstechnischer Gefährdungen – den sogenannten „Safety loops“ – erfolgt dann nach EN IEC 61511 oder nach den vereinfachten Formeln der VDI/VDE 2180.

Die Lauer CE-Safety GmbH – vielen noch bekannt unter Ingenieurbüro Lauer – bietet mit seinen Experten – mit langjähriger Erfahrung in der Maschinensicherheit – Unterstützung bei der Ausarbeitung der geforderten Gefahrenanalyse und Risikobeurteilung für Maschinen der Prozessindustrie als auch für reine prozesstechnische Anlagen für den Einsatz in explosionsgefährdete Bereiche an.

Auch kann die gesamte Nachweisführung der Funktionalen Sicherheit nach EN IEC 61511 oder VDI/VDE 2180 durch geschulte und zertifizierte Functional Safety Engineers der Lauer CE-Safety GmbH übernommen werden.

Besonders klein- und mittelständischen Unternehmen (KMU) fehlt es an personellen Ressourcen oder schlicht an Spezial-Knowhow, um den gesetzlichen und behördlich geforderten Nachweis erfolgreich, zügig und wirtschaftlich umzusetzen. Hier möchte Lauer CE-Safety mit seinen Experten sich als Partner verstehen und diese Dienstleistung als Full-Service oder auch nach Bedarf den Kunden anbieten.