Dokument herunterladen () von 20
Filter löschen
Auswahl herunterladen
Wir setzen um, was wirklich zählt.*
Submit form in new Tab
Produkte
Digital
Services
Märkte
Support
Unternehmen
MyEaton
Überblick der Blogbeiträge

Wie ermittelt man den Safety Integrity Level nach der IEC 62061?

Dirk Meyer | Lesedauer 6 Minuten
Eaton: Safety integrity level, SIL

Im Rahmen der Funktionalen Sicherheit (FuSi) einer Maschine oder Anlage spielt die IEC 62061 eine entscheidende Rolle. Sie befasst sich mit sicherheitsbezogenen elektrischen, elektronischen und programmierbaren elektronischen (E/E/PE) Steuerungssystemen. Als sektorspezifische Norm unterhalb der Sicherheitsgrundnorm IEC 61508 betrachtet die IEC 62061 den Gesamtlebenszyklus einer Maschine oder Anlage von der Konzeption bis zur Demontage. Als wichtige Kenngröße, um die sicherheitstechnische Leistungsfähigkeit zu beschreiben, dient hier der Sicherheits-Integritätslevel (auch Sicherheitsanforderungsstufe oder Sicherheitsstufe), international Safety Integrity Level (SIL). Dieser Blogbeitrag erklärt, was es mit dem SIL auf sich hat, wofür er im Maschinen- und Anlagenbau benötigt wird und wie er sich berechnen lässt.

Laden Sie sich unser Handbuch zum Thema Funktionale Sicherheit herunter

Sicherheitshandbuch herunterladen

Was ist der Safety Integrity Level (SIL)?

Die EN 61508, die aus der IEC 61508 hervorgegangen ist, definiert den Safety Integrity Level wie folgt:

Beim SIL handelt es sich um „vier wohlunterschiedene Stufen zur Spezifizierung der Anforderung für die Sicherheitsintegrität von Sicherheitsfunktionen, die dem E/E/PE-sicherheitsbezogenen System zugeordnet werden, wobei der Sicherheits-Integritätslevel 4 die höchste Stufe der Sicherheitsintegrität und der Sicherheits-Integritätslevel 1 die niedrigste darstellt.“

Für die Berechnung des SIL stellen die Hersteller von sicherheitsrelevanten Komponenten entsprechende Sicherheitskenngrößen zur Verfügung. Hierzu bietet das Eaton Sicherheitshandbuch detaillierte Informationen sowie nützliche Schaltungs- und Berechnungsbeispiele.

Neben dem SIL gibt es noch eine weitere Kenngröße sicherheitstechnischer Leistungsfähigkeit, den Performance Level (PL) gemäß der EN ISO 13849-1. Beide Sicherheitsnormen benutzen unterschiedliche Klassifizierungssysteme und Definitionen für die Sicherheitsstufen. Je nach Technologie, Risikoeinstufung und Architektur ist entweder der iterative Prozess zur Gestaltung von sicherheitsbezogenen Teilen einer Steuerung (SRP/CS, safety-related parts of control systems) nach EN ISO 13849-1 oder von sicherheitsbezogenen elektrischen Steuerungssystemen (SRECS, safety-related electrical, electronic and programmable control systems) nach der IEC 62061 anzuwenden.

Hervorzuheben ist, dass die IEC 62061 keine Anforderungen an die Leistungsfähigkeit von nicht-elektrischen sicherheitsbezogenen (z. B. hydraulischen oder pneumatischen) Steuerungselementen enthält. Hier verweist sie auf die EN ISO 13849-1.

icon_Linkedin_colored_256x256.png

Folgen Sie #EatonMachine auf LinkedIn

Erhalten Sie Infos zu jedem wichtigen Blogbeitrag oder neue Informationen, die Eaton für Maschinen- und Anlagenbauer veröffentlicht.

In vier Schritten zum SIL und validierten SRECS

Die IEC 62061 gibt Empfehlungen für den Entwurf, die Integration und die Validierung von SRECS. Die Anforderungen an das SRECS ergeben sich aus der Risikoanalyse gemäß der EN ISO 12100. In Anlehnung an die IEC 62061 beschreiben die folgenden vier Schritte die erforderliche Vorgehensweise, um die Wahrscheinlichkeit von systematischen und zufälligen Fehlern, die zu einem gefährlichen Ausfall der Sicherheitsfunktion führen können, ausreichend zu reduzieren.

 

Schritt 1 – Risikobeurteilung

Für die Risikobewertung sind verschiedene Risikoparameter zu betrachten. Die IEC 62061 sieht hier folgende Kenngrößen vor:

  • Schwere des Schadens S
  • Wahrscheinlichkeit des Auftretens des Schadens als Funktion von

o Häufigkeit und Dauer F, die Personen einer Gefährdung ausgesetzt sind

o Wahrscheinlichkeit des Auftretens eines Gefahr bringenden Ereignisses W

o Möglichkeiten zur Begrenzung oder Vermeidung des Schadens P

Mithilfe von F, W und P lässt sich über ein Punktesystem die Klasse K bestimmen. Die Beurteilung der Schwere S im Kontext mit dem Wert K ergibt den erforderlichen SIL.

Blog_MOEM_SIL_pic1_de.jpg
Beispielrechnung für die Ermittlung der erforderlichen sicherheitstechnischen Leistungsfähigkeit SIL (in diesem Fall SIL 3)
In diesem Zusammenhang noch folgender Hinweis: Die IEC 61508 definiert zwar vier Sicherheits-Integritätslevel, Anwendungen im allgemeinen Maschinenbau erfordern jedoch maximal SIL 3. SIL 4 kommt nur bei ganz speziellen hochkritischen Anwendungen mit hohem Schadensausmaß bzw. einer hohen Anzahl an potenziellen Personenschäden vor. Dazu gehören z. B. Fly-By-Wire- oder Stear-By-Wire-Systeme von Flugzeugen bzw. Fahrzeugen.

Schritt 2 – Entwurf der Steuerungsarchitektur

Im zweiten Schritt hat der Maschinen- oder Anlagenbauer die sicherheitsgerichtete Steuerungsfunktion (SRCF, safety related control function) entsprechend dem ermittelten SIL zu bestimmen. Bei einem SRCF kann es sich z. B. um eine Schutztür, ein Lichtgitter, einen per Hand oder Fuß bedienbaren Zustimmschalter, eine Zweihandeinrichtung zur sicheren Bedienung oder Schaltungen zum Stillsetzen im Notfall handeln.

Für jede SRCF muss der Konstrukteur dann ein entsprechendes sicherheitsbezogenes elektrisches Steuerungssystem SRECS festlegen. Ein SRECS kann sich z. B. aus einem Not-Halt-Taster mit Sicherheitsrelais sowie Sicherheits- und Leistungsschütz zusammensetzen.

Für die entworfene Sicherheitsfunktion gilt es nun, die erreichte Sicherheitsintegrität zu bestimmen.

 

Schritt 3 – Bestimmung des SIL

Dafür ist zunächst die Architektur der verschiedenen Teilsysteme zu betrachten. Die IEC 62061 unterscheidet vier verschiedene Basis-Teilsystemarchitekturen (A, B, C, D), wobei diese sich hauptsächlich durch die Kriterien Hardwarefehlertoleranz HFT und Diagnosefunktion unterscheiden:

  • A: Nullfehlertoleranz, ohne Diagnosefunktion
  • B: Einfehlertoleranz, ohne Diagnosefunktion
  • C: Nullfehlertoleranz, mit Diagnosefunktion
  • D Einfehlertoleranz, mit Diagnosefunktion

In der Praxis heißt das, dass die entworfene Sicherheitsfunktion SRCF in Funktionsblöcke zu zerlegen und dann auf Teilsysteme abzubilden ist. Bei den Funktionsblöcken kann es sich z. B. um Eingabe- (Not-Halt-Taster), Logik- (Sicherheitsrelais) und Ausgabe-Funktion (Sicherheitsschütz/Leistungsschütz) handeln, die dann jeweils ein Teilsystem darstellen, das über eine bestimmte Teilsystemarchitektur verfügt. Die Teilsysteme selbst werden durch drei Kenngrößen beschrieben:

  • SIL CL SIL Claim Limit (Anspruchsgrenze)
  • PFHd Probability of Dangerous Failure Per Hour (Wahrscheinlichkeit eines Gefahr bringenden Ausfalls pro Stunde)
  • T1 Gebrauchsdauer

Teilsysteme können aus verschiedenen Teilsystemelementen aufgebaut sein. Für jedes Element sind dann die Ausfallwahrscheinlichkeiten zu ermitteln. Die Kenngrößen der Teilsystemelemente lauten:

  • λd Gefährliche Ausfallrate
  • β Kennwert über die Fehler gemeinsamer Ursache
  • DC Diagnosedeckungsgrad
  • T2 Diagnosetestintervall
  • SFF Safe Failure Fraction (Anteil sicherer Ausfälle der Teilsysteme)

Beispiele für die Berechnung der einzelnen Teilsystemelement-Kenngrößen bietet das Eaton Sicherheitshandbuch. Grundsätzlich gilt, dass die Berechnung der einzelnen Kenngrößen nicht notwendig ist, wenn der Hersteller des Teilsystems direkt einen PFHd-Wert zur Verfügung stellt.

Bestimmung der Teilsystem-Kenngrößen

SIL Claim Limit

Die Anspruchsgrenze SIL CL ist der maximale SIL eines Teilsystems, der in Bezug auf strukturelle Einschränkungen und systematische Sicherheitsintegrität beansprucht werden kann. Er lässt sich aus der Hardwarefehlertoleranz HFT und der SFF bestimmen. Dabei errechnet sich der SFF aus der Summe der Ausfallraten aufgrund sicherer und gefährlicher, aber erkannter Fehler zur Gesamtausfallrate.

Blog_MOEM_SIL_pic2_de.jpg
Mithilfe der Tabelle 5 der IEC 62061 lässt sich der SIL CL über SFF und HFT bestimmen
Blog_MOEM_SIL_pic3_de.jpg
Mithilfe der Tabelle 3 der IEC 62061 lässt sich der SIL der Teilsysteme über den PFHd-Wert bestimmen

Gebrauchsdauer T1

Die IEC 62061 bezieht sich bezüglich der Gebrauchsdauer auf die EN ISO 13849-1 und empfiehlt eine Gebrauchsdauer von 20 Jahren anzusetzen. Mit einer Wiederholungsprüfung, dem sogenannten Proof-Test, lässt sich bestätigen, dass ein SRECS immer noch die erforderliche Sicherheitsintegrität erfüllt. Bei einem Proof-Test-Intervall von 20 Jahren errechnet sich T1 wie folgt:

T1= 20 a x 365 d x 24 h = 175.200 h

Die Gebrauchsdauer T1 wird für die Berechnung der Einzelausfallwahrscheinlichkeiten der Teilsysteme benötigt.

Bestimmung des SIL für das Gesamtsystem SRECS

Die Sicherheitsintegrität eines Gesamtsystems setzt sich zum einen aus der Summe der Einzelwahrscheinlichkeiten aller Teilsysteme zusammen, die an der Sicherheitsfunktion beteiligt sind. Aus obiger Tabelle 3 der Norm lässt sich dann der SIL des Gesamtsystems ablesen.

Blog_MOEM_SIL_pic4_de.jpg

Zum anderen sind die strukturellen Einschränkungen für das Gesamtsystem zu betrachten. So muss der SIL des SRECS geringer oder gleich der niedrigsten SIL CL eines Teilsystems sein, das an der Ausführung der SRCF beteiligt ist. Das heißt, der niedrige SIL CL eines Teilsystems setzt den SIL des Gesamtsystems herab.

 

Schritt 4 – Dokumentation, Implementierung und Validierung des SRECS

Im letzten Schritt geht es um die Dokumentation des SRECS und seiner Architektur mit den Teilsystemen und Teilsystemelementen. Der Maschinen- oder Anlagenbauer hat dann das SRECS entsprechend dem dokumentierten Entwurf zu implementieren. Im Rahmen der Validierung mithilfe von Inspektion und Prüfung wird letztlich sichergestellt, dass jede Sicherheitsfunktion SRCF auch die Anforderungen der Spezifikation erfüllt.

 

Fazit:

Der Safety Integrity Level ist ein wichtiger Baustein auf dem Weg zur sicheren Maschine oder Anlage und damit zur Funktionalen Sicherheit. Die IEC 62061 gibt einen detaillierten Prozess zur Bestimmung und Validierung des SIL eines SRECS vor. Dabei eignet sich der SIL im Vergleich zum PL insbesondere für große, komplexe Anlagen bzw. Fabriken mit mehreren Maschinen.

Haben Sie Fragen?

Registrieren Sie sich, um über Neuigkeiten, Produkt-Updates und Branchentrends auf dem Laufenden zu bleiben.

Sprechen Sie uns an

Mehr erfahren über funktionale Sicherheit für Maschinen

Das Sicherheitshandbuch zeigt anhand von Beispielschaltkreisen, wie das Konzept der funktionalen Sicherheit mit elektrischen, elektronischen und programmierbaren Komponenten und Anlagen in Sicherheitsanwendungen umgesetzt werden kann. Es zeigt, wie verschiedene Sicherheitslevel (SIL oder PL) erreicht werden können. Die wichtigsten internationalen Normen EN ISO 13849-1 und IEC 62061 für die Sicherheit von Maschinen und Anlagen werden erläutert und an praktischen Beispielen gezeigt.
Herunterladen

Ähnliche Beiträge

Besuchen Sie unsere Seite zur funktionalen Sicherheit

Abonnieren Sie unser Newsletter, um mit uns in Kontakt zu bleiben

Abonnieren Sie unseren Newsletter für Maschinen- und Anlagenbauer. Bleiben Sie in Verbindung mit uns um Informationen über Änderungen von Richtlinien sowie neuen Technologien und Dienstleistungen zu erhalten.

Registrieren
Eaton ist ein intelligentes Energiemanagementunternehmen, das sich dem Ziel verschrieben hat, für mehr Lebensqualität zu sorgen und die Umwelt zu schützen. Wir handeln verantwortlich und nachhaltig und unterstützen unsere Kunden beim Energiemanagement ─ heute und in Zukunft. Wir nutzen die globalen Wachstumstrends der Elektrifizierung und Digitalisierung, um den Übergang zu erneuerbaren Energien zu beschleunigen und die dringendsten Herausforderungen im Energiemanagement zu lösen.
Unternehmen
Quick Links
© 2025 Eaton. Alle Rechte vorbehalten.