Der Kontext — die Sicherheitsfunktion zu haben genügt nicht
Am 11. Dezember 2005 explodierte das Öltanklager Buncefield nördlich von London. Tank 912 wurde nachts befüllt. Zwei Barrieren sollten ein Überlaufen verhindern: die automatische Füllstandsmessung und ein unabhängiger Höchststandschalter, der die Zufuhr als letzte Instanz abschalten sollte.
Die Messung blieb hängen, ohne Alarm zu geben. Der unabhängige Schalter war funktionsunfähig: seine Verriegelung war nach der Wartung nicht wieder eingesetzt worden, und ohne sie konnte der Schalter nicht wirken. Der Tank lief über, eine große Benzindampfwolke bildete sich und explodierte dann. Es war eine der größten Friedensexplosionen in Europa — rund fünfzig Verletzte, glücklicherweise keine Toten, und enorme Schäden.
Die Lehre ist genau die der funktionalen Sicherheit: eine Sicherheitsfunktion existierte auf dem Papier, aber ihre Integrität war weder nachgewiesen noch aufrechterhalten. Eine Schutzeinrichtung zu entwerfen genügt nicht. Man muss beweisen, dass sie das Risiko um den erwarteten Faktor mindert, und garantieren, dass sie das über die gesamte Lebensdauer der Anlage tut. Genau dieses Problem greift IEC 61508 frontal an.
Was funktionale Sicherheit ist — und was nicht
Funktionale Sicherheit ist der Teil der Gesamtsicherheit, der vom korrekten Funktionieren eines aktiven Systems als Reaktion auf seine Eingänge abhängt. Konkret: ein Sensor erkennt einen gefährlichen Zustand, eine Logikeinheit entscheidet, ein Aktor bringt die Anlage in einen sicheren Zustand. Typisches Beispiel: “Übersteigt der Druck den Grenzwert, schließe das Ventil in unter zwei Sekunden.”
Das ist nicht dasselbe wie die Eigensicherheit eines Betriebsmittels in explosionsfähiger Atmosphäre, die unter ATEX fällt. Es ist auch nicht die mechanische Festigkeit eines Gehäuses oder einer Struktur. Funktionale Sicherheit ist eine Funktion, die aktiv durch eine Kette aus Sensor, Logik und Aktor ausgeführt wird. Versagt diese Kette im falschen Moment, existiert der Schutz nicht mehr.
IEC 61508 spricht von elektrischen, elektronischen und programmierbar elektronischen sicherheitsbezogenen Systemen. Im Klartext: Sicherheitsrelais, Sicherheits-SPS, Sensoren und Messumformer, Sicherheitsventile und die Software, die sie steuert.
IEC 61508: die Basisnorm
IEC 61508 trägt den Titel “Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbar elektronischer Systeme”. Sie wird von der Internationalen Elektrotechnischen Kommission herausgegeben. Ihre erste Ausgabe stammt aus den späten 1990er Jahren, ihre zweite Ausgabe aus 2010.
Sie hat sieben Teile. Teil 1 legt die allgemeinen Anforderungen und den Lebenszyklus fest. Teil 2 behandelt die elektronische Hardware. Teil 3 behandelt die Software. Teil 4 gibt die Definitionen. Die Teile 5, 6 und 7 liefern Methoden, Anwendungsleitfäden und einen Katalog von Techniken.
Es ist eine generische Norm — eine sogenannte Basisnorm. Sektornormen leiten sich davon ab und passen sie an ihr Gebiet an: IEC 61511 für die Prozessindustrie, IEC 62061 für Maschinen, IEC 61513 für die Kernkraft, die Reihe EN 5012x für die Bahn und ISO 26262 für die Automobilindustrie. Auf der Maschinenseite bietet ISO 13849 einen alternativen Ansatz auf Basis von Performance Levels. Diese Varianten behandeln wir in eigenen Artikeln. Hier legen wir das Fundament.
Das Ziel: das Risiko um einen nachweisbaren Faktor mindern, der SIL
Die Kernidee ist einfach. Man bewertet das Risiko eines gefährlichen Szenarios. Man bestimmt die nötige Risikominderung, um es tolerierbar zu machen. Dann weist man der Sicherheitsfunktion ein Integritätslevel zu, den SIL — Safety Integrity Level. Es gibt vier Level, von SIL 1, dem geringsten, bis SIL 4, dem höchsten.
Der SIL wird je nach Anforderungsrate der Funktion unterschiedlich gemessen.
Im Low-Demand-Modus — das heißt, wenn die Funktion nur selten angefordert wird — misst man die mittlere Ausfallwahrscheinlichkeit bei Anforderung, den mittleren PFD. Jedem Level entspricht auch ein Risikominderungsfaktor.
| SIL | Mittlerer PFD (Low-Demand-Modus) | Risikominderungsfaktor |
|---|---|---|
| 1 | 10⁻² bis 10⁻¹ | 10 bis 100 |
| 2 | 10⁻³ bis 10⁻² | 100 bis 1.000 |
| 3 | 10⁻⁴ bis 10⁻³ | 1.000 bis 10.000 |
| 4 | 10⁻⁵ bis 10⁻⁴ | 10.000 bis 100.000 |
Im High-Demand- oder Dauerbetrieb, wenn die Funktion häufig oder ständig angefordert wird, misst man die Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde, den PFH.
| SIL | PFH (High-Demand- oder Dauerbetrieb) |
|---|---|
| 1 | 10⁻⁶ bis 10⁻⁵ pro Stunde |
| 2 | 10⁻⁷ bis 10⁻⁶ pro Stunde |
| 3 | 10⁻⁸ bis 10⁻⁷ pro Stunde |
| 4 | 10⁻⁹ bis 10⁻⁸ pro Stunde |
Um eine Risikominderung in einen SIL umzurechnen oder ein PFD-Ziel in ein Level, liefern die Rechner PFD zu SIL und Risikominderungsfaktor zu SIL der Website das Ergebnis direkt.
Zwei verschiedene Feinde: zufällige und systematische Ausfälle
Eine Sicherheitsfunktion kann aus zwei grundlegend verschiedenen Gründen versagen. IEC 61508 behandelt sie getrennt, denn sie haben nichts gemeinsam.
Zufällige Hardwareausfälle entstehen durch Verschleiß, Alterung, physische Defekte. Sie sind durch eine Ausfallrate quantifizierbar. Man bekämpft sie mit Redundanz, eingebauten Diagnosen und wiederkehrenden Prüfungen.
Systematische Ausfälle stammen aus menschlichem Fehler, der in der Konstruktion eingefroren ist: eine mehrdeutige Spezifikation, ein Softwarefehler, ein generischer Verdrahtungsfehler, eine schlechte Bauteilwahl. Sie sind nicht durch eine Wahrscheinlichkeit quantifizierbar. Man bekämpft sie durch Prozessdisziplin: Reviews, Verifikation, Validierung, Nachvollziehbarkeit. IEC 61508 misst diese Disziplin durch die systematische Eignung, bewertet von 1 bis 4.
Ein entscheidender, zu oft vergessener Punkt: ein SIL ist nicht nur eine Zuverlässigkeitszahl. Er vereint drei Anforderungen.
Die drei Anforderungen eines SIL
Das quantifizierte PFD- oder PFH-Ziel zu erreichen ist notwendig, aber nicht hinreichend. Ein gültiger SIL ruht auf drei Säulen, und die schwächste der drei legt das tatsächlich erreichte Level fest.
Erstens die quantitative Anforderung: der mittlere PFD oder der PFH muss in das Band des angestrebten SIL fallen.
Zweitens die Architekturbeschränkungen. Sie fordern eine minimale Hardware-Fehlertoleranz in Abhängigkeit vom Anteil sicherer Ausfälle — also dem Anteil der Ausfälle, die nicht gefährlich sind oder erkannt werden. Die Norm unterscheidet Bauteile mit einfachem, gut bekanntem Verhalten, Typ A genannt, von komplexen Bauteilen wie Mikroprozessoren, Typ B genannt. Sie bietet zwei Wege: einen auf diesen Tabellen basierenden Weg und einen auf Betriebsbewährung beruhenden Weg, der in der zweiten Ausgabe eingeführt wurde.
Drittens die systematische Anforderung: die systematische Eignung der Elemente und die Beherrschung von Konstruktionsfehlern.
Die praktische Konsequenz ist eindeutig. Man kann sehr wohl einen ausgezeichneten PFD berechnen und den SIL dennoch verfehlen, weil der Architektur die Redundanz fehlt oder weil die Software nicht mit der erforderlichen Disziplin entwickelt wurde.
Das Herz der Norm: der Sicherheitslebenszyklus
Der wesentliche Beitrag der IEC 61508 ist keine Formel. Es ist eine methodische Idee: Sicherheit ist kein Bauteil, das man kauft, sondern ein durchgängiger Prozess. Die Norm formalisiert ihn als Sicherheitslebenszyklus, eine Folge von Phasen über die gesamte Lebensdauer der Anlage.
Alles beginnt mit der Gefährdungs- und Risikoanalyse. Aus ihr folgt die Spezifikation der Sicherheitsanforderungen, die jede Funktion, ihren SIL, ihre Reaktionszeit und ihren sicheren Zustand definiert. Dann folgt die Zuordnung der Funktionen zu Systemen, dann die Realisierung, Hardware und Software. Die Software folgt ihrem eigenen Zyklus, einem V-Modell, beschrieben in Teil 3. Dann Errichtung, Validierung, Betrieb und Wartung, Änderungsmanagement und schließlich Außerbetriebnahme.
Jede Phase hat Eingänge, Ausgänge und eine Verifikation. Ein schwaches Glied ruiniert die ganze Kette: eine vage Spezifikation, eine erfundene Zuverlässigkeitszahl, eine unrealistische Prüfung oder eine schlampige Wartung wie in Buncefield. Funktionale Sicherheit wird über die Zeit gemanagt, nicht nur bei der Konstruktion.
Die Metriken, die man lesen können muss
Einige Größen kehren in jeder SIL-Studie wieder. Ausfallraten werden danach unterteilt, ob der Ausfall gefährlich oder sicher, erkannt oder unerkannt ist. Der gefährliche unerkannte Anteil ist der nachteiligste: nur die wiederkehrende Prüfung deckt ihn auf.
Der Diagnosedeckungsgrad misst den Anteil der automatisch erkannten gefährlichen Ausfälle. Der Faktor gemeinsamer Ursache, oft Beta genannt, misst den Anteil der Ausfälle, die zwei redundante Kanäle gleichzeitig treffen; er ist die Achillesferse jeder Redundanz. Das Intervall zwischen wiederkehrenden Prüfungen wirkt stark auf den mittleren PFD.
Für einen einzelnen Kanal ohne Redundanz beträgt der mittlere PFD näherungsweise die Hälfte des Produkts aus der gefährlichen unerkannten Ausfallrate und dem Prüfintervall. Mit anderen Worten: doppelt so oft zu prüfen halbiert diesen Term. Redundante Architekturen werden als “M aus N” notiert: eins aus eins, eins aus zwei, zwei aus drei. Der Rechner Ausfallrate zu mittlerer Betriebsdauer zwischen Ausfällen hilft, diese Größenordnungen zu handhaben.
Die Chancen und Risiken
Der erste Einsatz ist menschlich und ökologisch. Eine versagende Sicherheitsfunktion bedeutet das Risiko eines schweren Unfalls: Brand, Explosion, toxische Freisetzung, Quetschung.
Der zweite Einsatz ist regulatorisch. Störfallbetriebe fallen in Europa unter die Seveso-Richtlinie; Maschinen unter die Maschinenverordnung. Die Konformität der Sicherheitsfunktionen nachzuweisen ist nicht optional.
Der dritte Einsatz ist wirtschaftlich. Eine ungewollte Sicherheitsauslösung stoppt die Produktion und kostet viel an Verfügbarkeit. Eine unterdimensionierte Sicherheit kostet im Unfall unendlich mehr. Der richtige SIL ist ein Gleichgewicht, kein Maximum.
Der vierte Einsatz ist Cyber. Sicherheitssysteme sind heute vernetzt. Der Triton-Angriff von 2017 zielte genau auf ein sicherheitsinstrumentiertes System, um dessen Schutz zu deaktivieren. Funktionale Sicherheit und Cybersicherheit lassen sich nicht mehr getrennt behandeln. Das Thema wird im Artikel Daten zwischen zwei OT-Steuerungen austauschen vertieft.
Die realen Schwierigkeiten
Die Spezifikation der Sicherheitsanforderungen ist die erste Problemquelle. Eine mehrdeutige Anforderung erzeugt eine Funktion, die nicht das Nötige tut, und keine Zuverlässigkeitsberechnung holt das auf.
Die Zuverlässigkeitsdaten sind die zweite Schwierigkeit. Die von Herstellern gelieferten Ausfallraten sind mitunter optimistisch, und der Faktor gemeinsamer Ursache wird regelmäßig unterschätzt. Eine SIL-Studie ist nur so gut wie ihre Eingangsdaten.
Die wiederkehrende Prüfung ist die dritte Schwierigkeit. Eine Teilprüfung, die nicht alle gefährlichen Ausfälle aufdeckt, gibt falsche Sicherheit. Die Prüfabdeckung zählt ebenso viel wie ihre Häufigkeit.
Schließlich ist die Verwechslung zwischen dem SIL eines Bauteils und dem SIL einer vollständigen Schleife ein ständiger Fehler. Ein für ein bestimmtes Level zertifizierter Sensor macht die gesamte Schleife nicht zu diesem Level. Die Schleife hängt von all ihren Elementen, ihrer Architektur und ihrem Prüfintervall ab.
Die zu vermeidenden Fehler
| Fehler | Warum man ihn macht | Warum er gefährlich ist |
|---|---|---|
| Den höchsten SIL “zur Vorsicht” anstreben | Man glaubt, mit einer Zahl Sicherheit zu kaufen | Massive Mehrkosten und Scheinsicherheit, wenn die systematische Eignung nicht mithält |
| ”Der Sensor ist SIL 2, also ist meine Schleife SIL 2” | Verwechslung von Bauteil und Schleife | Die Schleife hängt von allen Elementen, Architektur und Prüfung ab; sie kann weit darunter liegen |
| ”Der PFD ist gut, also validiert” | Den SIL auf eine einzige Zahl reduzieren | Man vergisst die Architekturbeschränkungen und die systematische Eignung |
| Die Sicherheit umgehen, um zu produzieren, “wir setzen sie später zurück” | Produktionsdruck | Das ist das Buncefield-Szenario: die Barriere existiert, wirkt aber nicht mehr |
| Einmal prüfen, nie wieder überprüfen | Die Funktion “lief” bei der Inbetriebnahme | Der PFD driftet mit der Zeit; ohne realistische wiederkehrende Prüfung erodiert die Integrität |
Die gute Praxis
Mit der Risikoanalyse beginnen, dann eine klare, prüfbare Spezifikation der Sicherheitsanforderungen schreiben, Funktion für Funktion.
Den SIL jeder Funktion zuweisen, nicht global der Anlage.
Die drei Anforderungen prüfen, nicht nur den PFD: das quantifizierte Ziel, die Architekturbeschränkungen und die systematische Eignung.
Glaubwürdige Zuverlässigkeitsdaten verwenden, einen realistischen Faktor gemeinsamer Ursache und ein Prüfintervall, das mit Lebensdauer und angestrebter Verfügbarkeit stimmig ist.
Das Leitsystem vom Sicherheitssystem trennen. Das System, das den Prozess fährt, darf nicht dasjenige sein, das ihn schützt; ihre Unabhängigkeit ist eine grundlegende Anforderung.
Umgehungen managen: jede Überbrückung muss protokolliert, zeitlich begrenzt, signalisiert und per Verfahren aufgehoben werden.
Ein Management der funktionalen Sicherheit einrichten und eine unabhängige Beurteilung der funktionalen Sicherheit durch eine von den Konstrukteuren getrennte Person oder ein Team durchführen lassen.
Review-Checkliste
- Gefährdungs- und Risikoanalyse dokumentiert und datiert
- Spezifikation der Sicherheitsanforderungen prüfbar, je Funktion
- SIL je Funktion zugewiesen und begründet
- Die drei Anforderungen geprüft: PFD oder PFH, Architekturbeschränkungen, systematische Eignung
- Zuverlässigkeitsdaten, Faktor gemeinsamer Ursache und Prüfintervall begründet
- Unabhängigkeit zwischen Leitsystem und Sicherheitssystem
- Umgehungsmanagement protokolliert und zeitlich begrenzt
- Plan für wiederkehrende Prüfungen mit definierter Abdeckung
- Management der funktionalen Sicherheit vorhanden
- Unabhängige Beurteilung der funktionalen Sicherheit durchgeführt
- Änderungsmanagement auf jede Änderung angewendet
Weiterführend
- Die Seite IEC 61508 erläutert die Basisnorm Teil für Teil.
- Die Sektorvarianten: IEC 61511 für Prozesse, IEC 62061 und ISO 13849 für Maschinen. Jede wird Gegenstand eines eigenen Artikels.
- Der Hub Safety PLC behandelt die Sicherheitssteuerungen, die diese Funktionen ausführen.
- Die Rechner PFD zu SIL, Risikominderung zu SIL und Ausfallrate zu mittlerer Betriebsdauer zwischen Ausfällen für die Größenordnungen.
Eine letzte Sache. Funktionale Sicherheit wird nicht verkündet, sie wird nachgewiesen und aufrechterhalten. Buncefield hatte die Sicherheitsfunktion; was fehlte, war die Integrität. Das ist der ganze Unterschied, den IEC 61508 setzt: nicht “haben Sie einen Schutz?”, sondern “können Sie beweisen, dass er das Risiko um den geforderten Faktor mindert, heute und in zehn Jahren?”.