IEC 61511

Funktionale Sicherheit / Sicherheitsgerichtete Systeme für die Prozessindustrie

IEC 61511 ist die internationale Norm für Entwurf, Implementierung, Betrieb und Instandhaltung von sicherheitsgerichteten Systemen (SIS) in der Prozessindustrie. Sie ist die prozessindustrie-spezifische Anwendung des breiteren IEC-61508-Rahmenwerks.

Herausgeber: IEC
Family: Funktionale Sicherheit
Erstveröffentlichung: 2003
Letzte Revision: 2016 (Ausgabe 2)
Nächste Revision: 2027 (geplant, in Überarbeitung)
Status: current
Zugang: Kostenpflichtig (IEC Webstore — ~270 CHF für die 3 Teile)

Dokumentstruktur

IEC 61511-1

Rahmenwerk, Definitionen, System-, Hardware- und Anwendungsprogrammieranforderungen

Der normative Teil. Definiert den Sicherheitslebenszyklus (16 Phasen), die geforderte Dokumentation, Kompetenz und die technischen Anforderungen (PFD-Grenzen, architektonische Beschränkungen, Common Cause Failures).

IEC 61511-2

Leitfaden zur Anwendung von IEC 61511-1

Informativer Anhang mit praktischen Beispielen, empfohlenen Vorgehensweisen und Klarstellungen für die industrielle Anwendung.

IEC 61511-3

Anleitung zur Bestimmung der erforderlichen Safety Integrity Levels

Methoden zur SIL-Bestimmung: Risikograph (Annex E), LOPA (Annex F), Risikomatrix (Annex C). Jede Methode hat Stärken — Risikograph ist schnell, LOPA ist streng, Risikomatrix ist intuitiv.

Schlüsselbegriffe

Sicherheitsfunktion(SIF): Eine Sicherheitsfunktion mit einem festgelegten Safety Integrity Level (SIL), realisiert durch ein sicherheitsgerichtetes System (SIS). Beispiel: 'Detektiere Höchststand im Tank T-101 und schließe Einlassventil XV-101 innerhalb von 3 Sekunden, Ziel SIL 2'.
Sicherheitsgerichtetes System(SIS): Bestehend aus einer oder mehreren SIFs. Umfasst Sensoren, Logiklöser (typischerweise eine Sicherheits-SPS wie Pilz, HIMA, Siemens S7-1500F) und Endglieder (Aktoren + Ventile), plus Bedienoberflächen und Bypässe.
Basic Process Control System(BPCS): Die 'normale' Prozessregelungsschicht (DCS, SPS). Ist KEIN SIS. IEC 61511 verlangt Unabhängigkeit zwischen BPCS und SIS, um Common Cause Failures zu vermeiden.
Safety Integrity Level(SIL): Diskrete Stufe (1 bis 4), die die Anforderungen an die Sicherheitsintegrität spezifiziert. SIL 4 ist die höchste (in der Prozessindustrie selten — typisches Maximum ist SIL 3). Jeder SIL hat einen PFDavg-Zielbereich.
Probability of Failure on Demand (Durchschnitt)(PFDavg): Maß im Low-Demand-Mode. SIL 1: 10⁻² ≤ PFD < 10⁻¹; SIL 2: 10⁻³ ≤ PFD < 10⁻²; SIL 3: 10⁻⁴ ≤ PFD < 10⁻³; SIL 4: 10⁻⁵ ≤ PFD < 10⁻⁴.
Risk Reduction Factor(RRF): RRF = 1 / PFDavg. Wird oft in LOPA-Ergebnissen als intuitives 'wie oft wird das Risiko reduziert' verwendet.
Hardware Fault Tolerance(HFT): Fähigkeit des SIS, die Sicherheitsfunktion bei Vorliegen von N Hardwareausfällen weiter zu erfüllen. HFT=0 = 1oo1-Architektur; HFT=1 = 1oo2/2oo3 usw. Erforderliche HFT hängt von SIL und Typ-A/Typ-B-Subsystem ab (IEC 61508-2 Tabellen 2/3).
Safe Failure Fraction(SFF): SFF = (λSD + λSU + λDD) / λtot. Anteil der Ausfälle, die sicher (S) oder gefährlich-aber-detektiert (DD) sind. Wird zusammen mit HFT für architektonische Beschränkungen verwendet.
Failure In Time(FIT): Standardkonvention für die Ausfallrate: 1 FIT = 1 Ausfall pro 10⁹ Stunden. Wird gegenüber MTBF in Datenblättern für funktionale Sicherheit bevorzugt.
Wiederholungsprüfung(PT): Periodische vollständige Funktionsprüfung der SIF (typisches Intervall: 1-5 Jahre). Stellt den 'as-good-as-new'-Zustand wieder her. Unzureichende Wiederholungsprüfungsabdeckung → Drift über die Zeit, PFD steigt.
Management of Change(MOC): Verpflichtender Prozess nach IEC 61511 Klausel 5.2.5 — jede Änderung an SIS-Hardware, -Software oder -Anwendungsprogramm muss eine formale Prüfung und Revalidierung auslösen.

Notes & guidance

Was IEC 61511 tatsächlich verlangt

Wenn Sie an einer Prozessanlage arbeiten — Chemie, Raffinerie, Pharma, Öl & Gas, Papierfabrik — und Ihre Anlage Verriegelungen hat, die Katastrophen verhindern sollen (Überfüllung, Überdruck, Feuer-/Gasdetektion, Notabschaltung), implementieren Sie IEC 61511, ob Sie es wissen oder nicht. Die Norm formalisiert, was die Industrie auf die harte Tour durch Bhopal, Buncefield, Texas City und Dutzende weniger publizierte Vorfälle gelernt hat.

Die zentrale Idee ist einfach: Gefahren identifizieren, entscheiden, wie viel Risikoreduktion jede Schutzschicht liefern muss, dann Sicherheitssysteme mit ausreichender Strenge entwerfen und betreiben, um diese Risikoreduktion über Jahrzehnte tatsächlich zu liefern.

Der 16-Phasen-Sicherheitslebenszyklus

IEC 61511-1 spezifiziert einen vollständigen Lebenszyklus, nicht nur eine Entwurfs-Checkliste. Jede Phase hat Eingaben, Ausgaben und Verifizierungsaktivitäten:

Gefahren- und Risikoanalyse (typischerweise HAZOP + LOPA)
Zuordnung der Sicherheitsfunktionen zu Schutzschichten
Safety Requirements Specification (SRS)
SIS-Entwurf und -Konstruktion
Installation, Inbetriebnahme, Validierung
Betrieb und Instandhaltung
Modifikation (Management of Change)
Stilllegung

Plus Managementaktivitäten (FSM — Functional Safety Management), Kompetenzanforderungen, Audit (FSA Stufen 1-5) und Verifikation in jedem Schritt.

Die meisten Anlagen implementieren dies als gated-prozess: Eine Phase kann nicht verlassen werden, ohne die dokumentierten Ausgaben zu produzieren, die die nächste Phase erfordert. Genau diese Struktur erzwingt die IEC 61511 Lifecycle App.

Wie SIL bestimmt wird

Annex F von IEC 61511-3 dokumentiert Layer of Protection Analysis (LOPA) als empfohlene quantitative Methode:

Beginne mit einem in HAZOP identifizierten Gefahrenszenario (z.B. “Überfüllung von T-101 durch LIC-101-Ausfall”)
Schätze die Anforderungshäufigkeit (typischerweise 0,1-10 pro Jahr für Instrumentenausfälle)
Schätze den Konsequenzschweregrad (Tote, Umwelt, finanziell)
Berechne die tolerable Häufigkeit basierend auf Unternehmens-Risikokriterien (z.B. Todesfallhäufigkeit < 10⁻⁵/Jahr)
Bewerte die Independent Protection Layers (Bedienerantwort, mechanische Entlastung, BPCS) — typischerweise gibt jede Faktor 10 Reduktion, wenn unabhängig und wirksam
Die verbleibende Lücke ist, was die SIF schließen muss → das definiert den erforderlichen SIL

In der Praxis liegen die meisten SIFs in Raffinerie/Petrochemie bei SIL 1 oder SIL 2. SIL 3 ist selten und erfordert ernsthafte architektonische und Zuverlässigkeitsarbeit. SIL 4 in der Prozessindustrie ist praktisch nie zu sehen — sein PFD < 10⁻⁴ ist ohne redundante, diverse Architekturen und sehr hohe Wiederholungsprüfungsabdeckung schwer nachzuweisen.

Architektonische Beschränkungen (Klausel 11)

Für jedes Subsystem (Sensor, Logik, Endglied) verlangt die Norm:

HFT-Anforderungen (Hardware Fault Tolerance) basierend auf SIL-Ziel und Typ-A/B-Klassifizierung
SFF-Anforderungen (Safe Failure Fraction)
Eine PFD-Berechnung mittels Markov, Fehlerbaum oder vereinfachten Gleichungen aus IEC 61508-6
Berücksichtigung von Common Cause Failure über β-Faktor (typisch 2-10 %)

Der PFD ↔ SIL Konverter und der FIT ↔ MTBF Rechner in unserer Werkzeug-Sektion erlauben einen schnellen Check, ob Ihr Kandidatenentwurf im richtigen Bereich liegt, bevor die volle Architekturmathematik in der FS-App durchgeführt wird.

Warum es wichtig ist

Die Kosten eines Fehlers sind asymmetrisch. Eine SIF SIL 2, die mit SIL-1-Qualität entworfen und betrieben wird, sieht auf dem Papier identisch aus — bis eine reale Anforderung einmal alle 5-10 Jahre auftritt. Dann wird der Unterschied zwischen PFD 5×10⁻³ und PFD 5×10⁻² zum Unterschied zwischen Beinaheunfall und Todesfall.

Die Functional Safety App auf industryhub.cloud implementiert den vollständigen IEC-61511-Lebenszyklus: Risikograph-Assistent (Annex G), PFD-Engine nach IEC 61508-6, FSA-Gating mit Signaturen, Wiederholungsprüfungs-Scheduler, Audit-Trail und Berichte-Erstellung im Word-Format in 3 Sprachen (DE / EN / FR).

Betroffene Branchen

Öl & Gas (Upstream, Midstream, Downstream)
Chemie & Petrochemie
Pharma & Biotech
Zellstoff & Papier
Stromerzeugung (besonders Befeuerungsanlagen, Turbinen)
LNG, Wasserstoff, CCUS
Wasser & Abwasser (wenn anwendbar)
Lebensmittel & Getränke (spezifische Hochdruck-/Heißprozesse)