Der SIL wird nicht ausgewählt, sondern berechnet

Ein häufiger Fehler: „Nehmen wir SIL 3, dann sind wir auf der sicheren Seite.” Der SIL ist kein Komfortniveau, das man kauft, sondern das Ergebnis einer Berechnung, die vom tatsächlichen Risiko ausgeht. Zu hoch zu zielen ist teuer und macht nichts sicherer, wenn der Rest nicht mithält; zu niedrig zu zielen lässt ein inakzeptables Risiko bestehen.

Die Argumentationskette

1. Die Gefahr identifizieren. Was kann Schlimmes passieren? Ein Überdruck, ein Überlauf, eine durchgehende Reaktion. Man verwendet strukturierte Methoden wie das HAZOP (Gefahren- und Betreibbarkeitsanalyse).

2. Das Risiko bewerten. Das Risiko verbindet zwei Faktoren:

$\text{Risiko} = \text{Schwere} \times \text{Häufigkeit}$

Wie schwer sind die Folgen (Verletzte, Tote, Umweltschäden)? Wie häufig kann das Szenario eintreten? Anschließend vergleicht man mit dem tolerierbaren Risiko, dessen übliche Größenordnung für das individuelle Risiko bei 10⁻⁴ bis 10⁻⁵ pro Jahr liegt.

3. Die nötige Risikoreduzierung bestimmen. Der Abstand zwischen dem Risiko ohne Schutz und dem tolerierbaren Risiko ist der Risikoreduzierungsfaktor (RRF), den die Sicherheitsfunktion leisten muss. Die gängige Methode ist das LOPA (Analyse der Schutzebenen).

Vom Reduzierungsfaktor zum SIL

Jedem Reduzierungsfaktor entspricht ein SIL, und jedem SIL ein Band der mittleren Ausfallwahrscheinlichkeit bei Anforderung ($\mathrm{PFD}_{avg}$), verknüpft durch:

$\mathrm{RRF} = \frac{1}{\mathrm{PFD}_{avg}}$

SIL	Risikoreduzierung (RRF)	PFDavg (niedrige Anforderungsrate)
SIL 1	10 – 100	10⁻¹ – 10⁻²
SIL 2	100 – 1.000	10⁻² – 10⁻³
SIL 3	1.000 – 10.000	10⁻³ – 10⁻⁴
SIL 4	10.000 – 100.000	10⁻⁴ – 10⁻⁵

Diese Bänder gelten im Betrieb mit niedriger Anforderungsrate (die Funktion wird seltener als einmal pro Jahr angefordert) — der Prozessfall. Bei hoher Anforderungsrate oder kontinuierlichem Betrieb rechnet man nicht mehr in PFDavg, sondern in PFH (Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde). Der Rechner Risikoreduzierung → SIL und der Rechner PFD → SIL nehmen diese Umrechnungen direkt vor.

Die PFD wird aufgebaut, nicht verordnet

Sobald der SIL bekannt ist, wird er zum Zielwert für die sicherheitsgerichtete Funktion (SIF), die von einem sicherheitsgerichteten System (SIS) umgesetzt wird. Die PFD einer SIF ist die Summe der Beiträge ihrer Teilsysteme:

$\mathrm{PFD}_{avg} = \mathrm{PFD}_{Sensor} + \mathrm{PFD}_{Logik} + \mathrm{PFD}_{Aktor}$

In diesem Beispiel dominiert der Aktor (das Ventil) die PFD: Er ist fast immer das schwache Glied einer SIF, da er das am wenigsten zuverlässige mechanische Teil ist. Einen SIL zu erreichen ist daher nicht nur eine Zahl: Es braucht auch die Architektur (Redundanz) und die Robustheit gegen Ausfälle. Eine 1oo2-Architektur toleriert einen Ausfall (Hardware-Fehlertoleranz HFT = 1); der SFF (Anteil sicherer Ausfälle) muss ebenfalls einen von der Norm geforderten Mindestwert erreichen. Dieser Punkt wird im Artikel Funktionale Sicherheit und IEC 61508 ausführlich behandelt.

Der Fehler, den man nie machen darf

Den Schutz dem System anzuvertrauen, das bereits die Steuerung übernimmt. Der Regelkreis, der den Prozess führt, darf nicht derjenige sein, der ihn schützt: Fällt er aus, verliert man beides auf einmal. Das Sicherheitssystem ist unabhängig vom Steuerungssystem — ein grundlegendes Prinzip, das im Regelkreis erläutert und durch die Normen IEC 61508 und IEC 61511 geregelt wird.