HANDBUCH SAFETY INTEGRITY LEVEL - Pepperl+Fuchs

�� 

�� 

�� 

�� 

�� 

��

Es gelten die Allgemeinen Lieferbedingungen für Erzeugnisse und Leistungen der Elektroindustrie, 

herausgegeben vom Zentralverband Elektrotechnik und Elektroindustrie (ZVEI) e.V. 

in ihrer neuesten Fassung sowie die Ergänzungsklausel: „Erweiterter Eigentumsvorbehalt“. 

PROZESSAUTOMATION

Ausgabedatum 2007-10-04 180661 

Gliederung 

SIL-Handbuch 

Gliederung 

Dieses Handbuch enthält zwei in sich abgeschlossene Beiträge. Der erste Teil stellt 

eine Übersicht über die IEC/EN 61508 dar. Der zweite Teil basiert auf dem 

Manuskript eines Vortrages, das im Rahmen von Seminaren durch den Autor verwendet 

wird. Dadurch sind inhaltliche Wiederholungen einzelner Passagen nicht 

auszuschließen. 

Es ist nicht das Ziel der Autoren, Auszüge aus Normen komplett wiederzugeben, 

sondern dem Sinn nach. Erforderlichenfalls ist die Norm zu Grunde zu legen. 

Autoren: 

Andy Ingrey (Teil 1, Abschnitt 2 bis Abschnitt 5) 

Patrick Lerévérend (Teil 2, Abschnitt 6 bis Abschnitt 9) 

Dr. Andreas Hildebrandt (Teil 2, Abschnitt 10 und Abschnitt 11) 

1

2 

SIL-Handbuch 

Inhaltsverzeichnis 

1 Einleitung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 

1.1 Sicherheitstechnische Systeme nach IEC/EN 61508 . . . . . . . . . . . . . . . . . . . . . . . . 4 

1.2 Einführung in die sicherheitstechnischen Systeme. . . . . . . . . . . . . . . . . . . . . . . . . 4 

1.3 Verwendete Symbole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 

1.4 Verwendete Begriffe und Abkürzungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 

2 Der Sicherheitslebenszyklus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 

2.1 Konzept des Sicherheitslebenszyklus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 

2.2 Risiken und ihre Minderung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 

3 Der Sicherheits-Integritätslevel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 

3.1 Die Ausfallwahrscheinlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 

3.2 Die Systemstruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 

4 Die Versagenswahrscheinlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 

4.1 Überblick. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 

4.2 Beispiel für ein sicherheitstechnisches System. . . . . . . . . . . . . . . . . . . . . . . . . . . 18 

5 Zusammenfassung des ersten Teils des SIL-Handbuches. . . . . . . . 21 

6 Verifizieren des Sicherheits-Integritätslevels. . . . . . . . . . . . . . . . . . . 22 

6.1 Was ist SIL? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 

6.2 Beispiel Eingangsteilsystem mit zwei Komponenten . . . . . . . . . . . . . . . . . . . . . . 23 

6.3 Fehlertoleranz der Hardware (IEC/EN 61508, Teil 2) . . . . . . . . . . . . . . . . . . . . . . . . 26 

6.4 SIL-Beschränkung aufgrund von Architektureinschränkungen 

(IEC/EN 61508, Teil 2). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 

7 Andere Strukturen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 

7.1 MooN-Systeme (IEC/EN 61508, Teil 6) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 

7.2 Zwei Eingangsteilsysteme aus obigem Beispiel als redundantes 

Eingangsteilsystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 

7.3 Fehler gemeinsamer Ursachen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 

8 Die Bewertung „betriebsbewährt“ (Proven in Use, 

IEC/EN 61508, Teil 2). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 

Ausgabedatum 2007-10-04 180661

Ausgabedatum 2007-10-04 180661 

SIL-Handbuch 

Inhaltsverzeichnis 

9 Wie liest man einen SIL-Produktbericht? . . . . . . . . . . . . . . . . . . . . . . 33 

10 Glossar/Formelsammlung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 

10.1 Ausfallrate λ(t) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 

10.2 Konstante Ausfallrate λ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 

10.3 Ausfallwahrscheinlichkeit F(t) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 

10.4 Wahrscheinlichkeits-Dichtefunktion f(t) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 

10.5 Zuverlässigkeitsfunktion R(t) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 

10.6 Mittlere Lebensdauer MTTF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 

10.7 Mittlere Ausfallwahrscheinlichkeit der Funktion im Anforderungsfall PFD 

(Probability of Failure on Demand) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 

10.8 PFD-Berechnung bei mehrkanaligen MooN-Strukturen (M out of N) . . . . . . . . . . 38 

11 Literaturverzeichnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 

3

4 

SIL-Handbuch 

Einleitung 

1 Einleitung 

1.1 Sicherheitstechnische Systeme nach IEC/EN 61508 

Die internationale Norm IEC/EN 61508 wurde weltweit als Basis für Spezifikation, 

Entwurf und Betrieb von sicherheitstechnischen Systemen (Safety Instrumented 

Systems, SIS) angenommen. 

Die IEC/EN 61508 als Grundnorm verwendet einen auf der Risikobewertung basierenden 

Ansatz: 

Es wird eine Abschätzung des Risikos vorgenommen und anhand dessen der sich 

ergebende, notwendige Sicherheits-Integritätslevel (SIL) für Komponenten und 

Systeme mit Sicherheitsaufgaben ermittelt. 

SIL-bewertete Komponenten und Systeme sollen das vorhandene Risiko einer Einrichtung 

auf ein vertretbares Maß, auf das „tolerierbare Risiko“ reduzieren. 

1.2 Einführung in die sicherheitstechnischen Systeme 

Das vorliegende Dokument beschreibt einige der Aspekte, die sich aus den vor kurzem 

für sicherheitstechnische Systeme – und hier speziell für die sicherheitstechnischen 

Systeme in der Prozessindustrie – veröffentlichten Normen ergeben und der 

Frage, wie sich diese auf die Spezifikationen für Sensoren und Interfacebausteine 

zur Signalübertragung auswirken. 

Zur Sicherheit in der Prozessindustrie existieren bereits eine ganze Reihe von nationalen, 

Industrie- sowie unternehmensspezifischen Normen, wie 

IEC/EN 61511 (Anwender) 

ISA S84.01 (USA) (Anwender) 

IEC/EN 61508 (Produkthersteller), 

die von den Prozess-Planern und Betreibern zu implementieren und zu beachten 

sind. Diese gelten zusätzlich zu allen anderen relevanten Richtlinien wie zum Beispiel 

Gesundheit, Energie, Abfallentsorgung, Maschinen etc. 

Begriffe wie Sicherheitslebenszyklus, Unfallrisiko, Anteil ungefährlicher Ausfälle, 

Ausfallwahrscheinlichkeit der Funktion im Anforderungsfall, Sicherheits-Integritätslevel 

und andere müssen verstanden und im passenden Kontext verwendet werden. 

Es ist nicht das Ziel dieses Dokumentes, alle technischen Details oder Bedeutungen 

dieser Normen zu erläutern. Der Teil 1 (Abschnitt 2 bis Abschnitt 4) soll vielmehr 

einen Überblick über die in den Normen enthaltenen Aspekte geben, um all 

denjenigen ein allgemeines Verständnis der Normen zu vermitteln, die 

mit der Definition oder dem Aufbau von Anlagen und Systemen mit Sicherheitsbezug 

zu tun haben, 

Geräte für den Einsatz in einer Sicherheitsanwendung benötigen oder 

sich einfach über die IEC/EN 61508 informieren möchten. 

Personen, die unmittelbar für Spezifikation, Entwurf, Installation, Betrieb und 

Instandhaltung von elektronischen oder programmierbaren Systemen mit Sicherheitsbezug 

verantwortlich sind, verweisen wir auf Teil 2 (Abschnitt 6 bis 

Abschnitt 10) bzw. auf die Normen selbst. 


Ausgabedatum 2007-10-04 180661 

SIL-Handbuch 

Einleitung 

1.3 Verwendete Symbole 

Achtung 

Hinweis 

Dieses Zeichen warnt vor einer möglichen Gefahr. 

1.4 Verwendete Begriffe und Abkürzungen 

Dieses Zeichen macht auf wichtige Informationen aufmerksam. 

Begriff Beschreibung 

Average Probability of Failure on Demand 

(PFDavg ) 

mittlere Ausfallwahrscheinlichkeit der Funktion im Anforderungsfall 

Cumulative Distribution Function (CDF) (kumulative Verteilungsfunktion) stellt die kumulierte 

Wahrscheinlichkeit eines zufälligen Komponentenausfalls dar 

elektrische/elektronische/ 

Ein Begriff, der verwendet wird, um alle elektrischen Geräte oder 

programmierbare elektronische Systeme Systeme zu erfassen, die zur Durchführung einer 

(E/E/PES) 

sicherheitstechnischen Funktion verwendet werden können. Er 

beinhaltet somit einfache elektrische Geräte und 

speicherprogrammierbare Steuerungen (SPS) jeder Art. 

Equipment under control (EUC) sinngemäß: gesteuerte Einrichtung 

Einrichtung, Maschine, Apparat oder Anlage, verwendet zur 

Fertigung, Stoffumformung, zum Transport aber auch zu 

medizinischen oder anderen Tätigkeiten. 

ETA Event Tree Analysis 

Hardware failure tolerance (HFT) Fehlertoleranz der Hardware 

FME(C)A Failure Mode Effect (and Criticality) Analysis 

FMEDA Failure Mode Effect and Diagnostics Analysis 

FIT Failures In Time, Ausfallrate 

FTA Fault Tree Analysis 

Gefährlicher Vorfall Gefährdungssituation, die zu einem Schaden führt 

HAZOP HAZard and OPerability study 

IEC/EN 61508 Norm zur funktionalen Sicherheit sicherheitstechnischer 

elektrischer/elektronischer/programmierbarer elektronischer 

Systeme 

IEC/EN 61511 Norm zur funktionalen Sicherheit: sicherheitstechnische Systeme 

für die Prozessindustrie 

Low Demand Mode (LDM) Betriebsart mit niedriger Anforderungsrate 

MooN M out of N, M aus N Kanälen 

Mean Time Between Failures (MTBF) erwartete mittlere Zeit zwischen Fehlern 

MTTF Mean Time To Failure, mittlere Lebensdauer 

MTTR Mean Time To Repair, mittlere Reparaturzeit 

Probability Density Function (PDF) Wahrscheinlichkeits-Dichtefunktion 

Probability of Failure on Demand (PFD) Mittlere Ausfallwahrscheinlichkeit der Funktion im Anforderungsfall 

– die Wahrscheinlichkeit, dass ein sicherheitstechnisches System 

seine Funktion im Bedarfsfall nicht ausführt. 

Probability of dangerous Failure per Hour 

(PFH) 

Wahrscheinlichkeit eines Gefahr bringenden Ausfalls pro Stunde 

Reliability Zuverlässigkeit 

Risiko Kombination aus der Wahrscheinlichkeit, mit der ein Schaden 

auftritt, und dem Ausmaß dieses Schadens, berechnet als das 

Produkt aus Häufigkeit und Ausmaß des Schadens. 

5

6 

SIL-Handbuch 

Einleitung 

Begriff Beschreibung 

Safe Failure Fraction (SFF) Anteil ungefährlicher Ausfälle – das Verhältnis der Rate der sicheren 

Fehler plus der Rate der diagnostizierten/erkannten Fehler in Bezug 

zur gesamten Ausfallrate des Systems. 

Safety Instrumented Function (SIF) sicherheitstechnische Funktion 

Safety Instrumented System (SIS) Ein SIS (sicherheitstechnisches System) besteht aus einer oder 

mehreren sicherheitstechnischen Funktionen; für jede dieser 

sicherheitstechnischen Funktionen gilt eine SIL-Anforderung. 

Safety Integrity Level (SIL) (Sicherheits-Integritätslevel) Eine von vier diskreten Stufen zur 

Spezifizierung der Anforderungen für die Sicherheitsintegrität der 

sicherheitstechnischen Funktionen, die dem E/E/PEsicherheitstechnischen 

System zugeordnet werden, wobei der 

Sicherheits-Integritätslevel 4 die höchste Stufe und der Sicherheits- 

Integritätslevel 1 die niedrigste Stufe der Sicherheitsintegrität 

darstellt. 

Safety Life Cycle (SLC) (Sicherheitslebenszyklus) Deckt alle Aspekte der Sicherheit ab, 

einschließlich anfänglicher Konzeption, Entwurf, Durchführung, 

Installation, Inbetriebsetzung, Validierung, Instandhaltung und 

Außerbetriebsetzung der Risiko reduzierenden Maßnahmen. 

Sicherheit Freiheit von unvertretbaren Risiken, die – entweder direkt oder 

indirekt als Ergebnis eines Sachschadens oder einer Schädigung 

der Umwelt – Körperverletzung oder Gesundheitsschäden 

hervorrufen. 

Sicherheitstechnische Funktion Funktion, die von einem E/E/PE-sicherheitstechnischen System, 

einem sicherheitstechnischen System anderer Technologie oder 

externen Einrichtungen zur Risikominderung ausgeführt wird mit 

dem Ziel, unter Berücksichtigung eines festgelegten gefährlichen 

Vorfalls einen sicheren Zustand für die EUC zu erreichen oder 

aufrechtzuerhalten. 

Tolerierbares Risiko Risiko, das basierend auf den aktuellen gesellschaftlichen 

Wertvorstellungen in einem gegebenen Zusammenhang tragbar ist. 


Ausgabedatum 2007-10-04 180661 

SIL-Handbuch 

Der Sicherheitslebenszyklus 

2 Der Sicherheitslebenszyklus 

2.1 Konzept des Sicherheitslebenszyklus 

Entwicklung 

neuer Hardware 

IEC/EN 61508 

beachten 

Hinweis 

PROZESSINDUSTRIE 

HARDWARE 

Verwendung 

von bewährter 

Hardware 

("PROVEN 

IN USE") 

IEC/EN 61511 

beachten 

In der Praxis kommt es ausgesprochen selten vor, dass ein Sicherheitsaspekt – 

gleichgültig in welchem Bereich – ausschließlich von einem Faktor oder nur von 

einem Ausrüstungsteil abhängig gemacht werden kann. 

Daher enthalten die hier erläuterten Normen IEC/EN 61511 und IEC/EN 61508 

einen Gesamtansatz zur Ermittlung und Realisierung der Sicherheit in einer industriellen 

Anlage. Durch diesen Ansatz, der auch das Konzept eines Sicherheitslebenszyklus 

(SLC) umfasst, wird der Anwender angeleitet, alle erforderlichen 

Phasen des Lebenszyklus zu beachten. So wird sichergestellt, dass alle Aspekte 

beachtet und zur Beurteilung vollständig dokumentiert werden, damit die Anforderungen 

der Norm erfüllt werden. 

Im Wesentlichen bilden die Normen das Rahmenwerk und die Anleitung zur 

Anwendung des gesamten Sicherheitslebenszyklus, wobei sie alle Aspekte der 

Sicherheit einschließlich des anfänglichen Konzeptes wie auch Entwurf, Durchführung, 

Installation, Inbetriebsetzung, Validierung, Instandhaltung und Außerbetriebnahme 

abdecken. Durch die Tatsache, dass „Sicherheit“ und „Lebensdauer“ 

Schlüsselelemente in den Normen darstellen, sollten Ziel und Geltungsbereich der 

Dokumente noch verstärkt werden. 

Was die Prozessindustrie anbelangt, so stellt die Norm IEC/EN 61511 eine relevante 

Anleitung für den Anwender einschließlich der Aspekte dar, welche die Hardware 

und die Software von sicherheitstechnischen Systemen betreffen 

(siehe Bild 2.1). 

Bitte beachten Sie die enge Verbindung zwischen den Normen IEC/EN 61511 und 

IEC/EN 61508. 

Um die Strategien dieser Normen im Rahmen der Anforderungen an die gesamte 

Sicherheit umzusetzen, verwenden Anlagenbediener und Planer von sicherheitstechnischen 

Systemen gemäß den Vorschriften der IEC/EN 61511 solche Geräte, 

die nach IEC/EN 61508 entwickelt und validiert wurden. So wird ein sicherheitstechnisches 

Systems (SIS) aufgebaut. 

Verwendung von 

gemäß 

IEC/EN 61508 

entwickelter und 

validierter 

Hardware 

IEC/EN 61511 

beachten 


SICHERHEITSSYSTEM 

STANDARD 

Bild 2.1 Normengeltungsbereiche 

Entwicklung 

von eingebetteter 

(System-) Software 

IEC/EN 61508-3 

beachten 


SOFTWARE 

Entwicklung 

von Anwendungs- 

Software 

mit Hilfe von 

vollständig 

variablen 

Sprachen 

IEC/EN 61508-3 

beachten 

Entwicklung 

von Anwendungs- 

Software 

mit Hilfe von 

begrenzt variablen 

Sprachen oder 

fixen Programmen 

IEC/EN 61511 

beachten 

7

8 

SIL-Handbuch 


Planung insgesamt 

6 

Planung 

von Betrieb 

7 

Planung 

der 

8 

Planung 

der 

und Validierung gesamten 

Instand- 

der Installation 

haltung gesamten und Inbe- 

insgesamt Sicherheit triebsetzung 

Die Norm IEC/EN 61508 behandelt insbesondere die „Funktionale Sicherheit elektrischer/elektronischer/programmierbarer 

elektronischer sicherheitstechnischer 

Systeme“. Für einen Hersteller von Sensoren und Interface-Bausteinen für Prozessanlagen, 

zu denen auch Pepperl+Fuchs zählt, besteht die Aufgabe darin, 

Geräte entsprechend den Anforderungen der IEC/EN 61508 zu entwickeln und zu 

validieren, sowie die relevanten Informationen dem Anwender zur Verfügung zu 

stellen, damit er diese Geräte in seinen SIS-Systemen integrieren kann. 

Der Sicherheitslebenszyklus umfasst, wie im Bild 2.2 dargestellt, eine Reihe von 

Schritten und Maßnahmen, die beachtet und implementiert werden müssen. 

1 

2 

3 

4 

5 

12 

13 

Betrieb, Instandhaltung 

14 15 

und Wartung insgesamt 

16 

Konzept 

Definition des gesamten 

Geltungsbereichs 

Gefahren- und 

Risikoanalyse 

Anforderungen an die 

gesamte Sicherheit 

Zuordnung der 

Sicherheitsanforderungen 

9 

Sicherheitsbezogene 

Systeme: E/E/PES 

10 


11 

Externe 

Einrichtungen 

Systeme: 

zur 

Realisierung 

andere 

Risiko- 

(siehe E/E/PES 

Safety Life Cycle) 

Technologien 

minderung 

Realisierung 

Realisierung 

Installation und 

Inbetriebsetzung insgesamt 

Validierung der 

gesamten Sicherheit 

Außerbetriebsetzung 

oder Entsorgung 

Bild 2.2 Phasen des Sicherheitslebenszyklus 

zurück zur geeigneten 

Phase des gesamten 

Sicherheitslebenszyklus 

Abänderung und 

Nachrüstung insgesamt 


Ausgabedatum 2007-10-04 180661 

SIL-Handbuch 


In die verschiedenen Phasen oder Schritte des Sicherheitslebenszyklus können 

unterschiedliche Mitarbeiter, Gruppen oder sogar Unternehmen einbezogen sein, 

um die spezifischen Aufgaben auszuführen. So können die einzelnen Schritte auch 

zu Gruppen zusammengefasst und die verschiedenen Verantwortlichkeiten wie 

unten dargestellt aufgefasst werden. 

analytische Maßnahmen Die ersten fünf Schritte können als eine analytische Maßnahmengruppe verstanden 

werden: 

1. Konzept 

2. Definition des gesamten Geltungsbereichs 

3. Gefahren- und Risikoanalyse 

4. Anforderungen an die gesamte Sicherheit 

5. Zuordnung der Sicherheitsanforderungen 

Diese Schritte werden wahrscheinlich in Zusammenarbeit mit spezialisierten Beratern 

der Anlagenbetreiber oder Endanwender ausgeführt. Die sich daraus ergebenden 

Gesamtdefinitionen und -anforderungen dienen als Vorgabe für die nächsten 

Maßnahmenstufen. 

Maßnahmen zur 

Implementierung 

Die zweite Gruppe enthält die Maßnahmen zur Implementierung oder Realisierung 

und umfasst weitere acht Schritte: 

6. Planung von Betrieb und Instandhaltung 

7. Planung der Validierung 

8. Planung von Installation und Inbetriebsetzung 

9. Sicherheitstechnische Systeme: 

Realisierung von elektrischen/elektronischen/programmierbaren elektronischen 

Systemen (E/E/PES) (näher erläutert in Bild 2.3) 

10. Sicherheitstechnische Systeme: 

Realisierung von sicherheitstechnischen Systemen anderer Technologien 

11. Realisierung von externen Einrichtungen zur Risikominderung (External Risk 

Reduction Facilities) 

12. Installation und Inbetriebsetzung insgesamt 

13. Validierung der gesamten Sicherheit 

Diese Schritte werden vom Anlagenbetreiber zusammen mit ausgewählten Dienstleistern 

und Gerätelieferanten ausgeführt. Es lässt sich auf einen Blick feststellen, 

dass jeder dieser einzelnen Schritte zwar eine einfach klingende Bezeichnung hat, 

die Ausführung dieser Aufgaben jedoch komplex und zeitaufwändig sein kann! 

Betrieb des Prozesses Bei der dritten Gruppe handelt es sich im Wesentlichen um den Betrieb des Prozesses 

mit effektiven Sicherheitsvorrichtungen. Diese Gruppe beinhaltet die drei 

letzten Schritte: 

14. Betrieb und Instandhaltung insgesamt 

15. Abänderung und Nachrüsten insgesamt 

16. Außerbetriebsetzung 

Diese Schritte werden normalerweise vom Anlagenbetreiber ausgeführt. 

In diesem Dokument möchten wir uns nur mit einem speziellen Schritt des gesamten 

Sicherheitslebenszyklus näher beschäftigen. Mit Schritt 9, in dem es um die 

Aspekte elektrischer/elektronischer und programmierbar elektronischer Systeme 

(E/E/PES) geht. 

Die IEC/EN 61508 führt bei der Implementierung der Sicherheitslebenszyklus- 

Schritte die Punkte auf, die bei Sicherheitsanalysen und bei Verwendung von 

E/E/PES für sicherheitstechnische Funktionen beachtet werden müssen. 

9

10 

SIL-Handbuch 


Feld 9 in Bild 2.2 

IEC/EN 61508, Teil 1 

9 


Systeme: 

E/E/PES 

Realisierung 

Hinweis 

9.2 

Nähere Einzelheiten zum Sicherheitslebenszyklus für ein E/E/PE-System enthält 

das Bild 2.3. Bereits bei diesem Überblick lässt sich erkennen, dass die Vollständigkeit 

sowie der Betrieb der sicherheitstechnischen Systeme bereits in die Phase 

der Spezifikation eingeschlossen sind. Wir werden noch auf diesen Punkt zurückkommen. 

Sicherheitslebenszyklus der E/E/PES 

9.1 

9.1.1 9.1.2 

Planung der 

Validierung der Sicherheit 

von E/E/PES 

ein E/E/PES-Sicherheitslebenszyklus 

für jedes sicherheits- 

bezogene E/E/PE-System 

Spezifikation der Sicherheitsanforderungen 

an E/E/PES 

Spezifikation der 

Anforderungen 

an Sicherheitsfunktionen 

9.3 

9.4 

9.6 

Spezifikation der 

Anforderungen 

an die Sicherheitsintegrität 

Entwurf der 

Entwicklung 

von E/E/PES 

Integration 

der E/E/PES 

Validierung der 

Sicherheit der E/E/PES 

zu Feld 12 in Bild 2.2 


Bild 2.3 Sicherheitslebenszyklus für ein E/E/PE-System 

Es handelt sich im Wesentlichen um zwei Gruppen oder Typen von Teilsystemen, 

die in der Norm behandelt werden: 

Das Equipment under Control (EUC). Die EUC führt die erforderliche Prozessaktivität 

aus 

Die Funktionen, die erforderlich sind, um die Sicherheit der EUC zu gewährleisten 

sind im Leit- und im Schutzsystem der EUC implementiert. 

Hauptsächlich besteht hier das Ziel darin, einen sicheren Zustand der EUC zu erreichen 

oder beizubehalten. 

Das „Leitsystem“ kann als dasjenige System gesehen werden, das den 

gewünschten Betrieb der EUC steuert, während das „Schutzsystem“ auf ein unerwünschtes 

Verhalten der EUC reagiert. 

Mit anderen Worten: Es ist nicht immer notwendig, dass alle sicherheitstechnischen 

Funktionen von einem separaten Schutzsystem ausgeführt werden. 

9.5 

E/E/PES-Betrieb und 

Instandhaltungsprozeduren 

Feld 14 in Bild 2.2 


Beachten Sie bitte, dass es je nach den implementierten Strategien zur Risikominderung 

vorkommen kann, dass einige der Steuerungsfunktionen als sicherheitstechnische 

Funktionen verwendet werden. 


Ausgabedatum 2007-10-04 180661 

SIL-Handbuch 


2.2 Risiken und ihre Minderung 

Hinweis 

Hinweis 

Wenn die Gefahrenanalyse ergibt, dass die Risiken, die durch die EUC hervorgerufen 

werden, nicht tolerierbar sind, dann muss ein Weg gefunden werden, die Risiken 

auf ein tolerierbares Niveau (siehe Abschnitt 2.2) zu reduzieren. 

In einigen Fällen kann die EUC oder das Leitsystem möglicherweise modifiziert 

werden, um die erforderliche Risikominderung zu erreichen, in anderen Fällen werden 

Schutzsysteme notwendig sein. Bei diesen Schutzsystemen handelt es sich um 

sicherheitstechnische Systeme, deren spezifischer Zweck darin besteht, die Auswirkungen 

eines gefährlichen Vorfalls zu mildern oder die Wahrscheinlichkeit des 

Eintretens dieses Vorfalles zu vermindern. 

Eine Phase des Sicherheitslebenszyklus ist die Analyse der Gefährdungen und der 

Risiken, die sich aus der EUC ergeben. In den Normen wird ein Risiko definiert als: 

Kombination aus: 

der Wahrscheinlichkeit mit der eine Schaden verursachende Gefährdung (Unfall) 

auftritt und 

dem Ausmaß des Schadens 

Somit kann das Risiko als Produkt aus „Häufigkeit eines gefährlichen Vorfalls“ und 

dem „Ausmaß der Gefährdung“ verstanden werden. Im Rahmen der Risikoanalyse 

sind die Folgen eines Unfalls oftmals implizit in der Beschreibung des Unfalls enthalten. 

Wenn nicht, sollten diese explizit bei der Gefährdungs- und Risikoanalyse 

erwähnt werden. 

Weltweit wird eine Vielzahl von Methoden zur Gefährdungs- und Risikoanalyse verwendet. 

Die beiden Normen IEC/EN 61511 und IEC/EN 61508 geben einen Überblick 

darüber. Zu diesen Methoden zählen Techniken wie z. B. 

HAZOP HAZard and OPerability study 

FME(C)A Failure Mode Effect (and Criticality) Analysis 

FMEDA Failure Mode Effect and Diagnostics Analysis 

ETA Event Tree Analysis 

FTA Fault Tree Analysis 

sowie weitere Studien, Checklisten, Tabellen- und Rastermethoden. 

Dieser Schritt, in dem eine klare Identifizierung der Gefährdungen und eine Analyse 

des Risikos vorgenommen wird, ist in der Durchführung am schwierigsten, 

besonders, wenn es sich bei dem untersuchten Prozess um einen neuen oder 

innovativen Prozess handelt für den noch keine Erfahrungswerte vorliegen. 

Liegt eine Historie der Anlagenbetriebsdaten vor, oder existieren industriespezifische 

Methoden oder Richtlinien, kann die Analyse zwar leichter strukturiert werden, 

ist jedoch noch immer sehr komplex. 

Die Normen beinhalten das Prinzip, die sich aus der EUC ergebenden Risiken 

(d. h. Folgen und Wahrscheinlichkeit von gefährlichen Vorfällen) durch relevante 

abhängige sicherheitstechnische Funktionen auszugleichen. Dieser Ausgleich 

schließt den Aspekt der Tolerierbarkeit des Risikos ein. So kann z. B. das absehbare 

Eintreten einer Gefährdung, deren Konsequenz vernachlässigbar ist, als tolerierbar 

angesehen werden, während selbst die sehr geringe 

Eintrittswahrscheinlichkeit einer Katastrophe ein untragbares Risiko darstellt. 

Wenn, um den erforderlichen Sicherheitsgrad zu erreichen, die mit der EUC 

zusammenhängenden Risiken nach den festgelegten Kriterien nicht toleriert werden 

können, müssen sicherheitstechnische Funktionen zur Minderung des Risikos 

implementiert werden. 

11

12 

SIL-Handbuch 


Restrisiko tolerierbares 

EUC- 

Risiko 

Risiko 

durch andere 

Technologien 

abgedecktes 

Teilrisiko 

notwendige Risikominderung 

tatsächliche Risikominderung 

Durch die Sicherheitssyteme und z. B. organisationsspezifische Maßnahmen 

erreichte Risikominderung 

durch elektronische 

und elektrische 

Sicherheitssysteme 

abgedecktes 

Teilrisiko 

durch externe 

Einrichtungen 

und Maßnahmen 

abgedecktes 

Teilrisiko 

Bild 2.4 Verhältnis von Restrisiko zu tolerierbarem Risiko 

ansteigendes 

Risiko 

Ziel ist es, sicherzustellen, dass das verbleibende Restrisiko – die Wahrscheinlichkeit, 

dass trotz der Schutzmaßnahmen ein gefährlicher Vorfall eintreten kann – kleiner 

oder gleich dem tolerierbaren Risiko ist. 

Bild 2.4 veranschaulicht dies, wobei das Risiko, das durch die EUC entsteht, durch 

eine „notwendige Risikominderung“ auf ein tolerierbares Niveau reduziert wird. Die 

Risikominderung kann durch eine Kombination verschiedener Komponenten 

erreicht werden, statt nur von einem sicherheitstechnischen System abzuhängen, 

und kann auch organisatorische Maßnahmen umfassen. 

Die Wirkung dieser Maßnahmen und Systeme zur Risikominderung muss darin 

bestehen, eine „tatsächliche Risikominderung“ zu erreichen, die größer oder gleich 

der notwendigen Risikominderung ist. 


Ausgabedatum 2007-10-04 180661 

SIL-Handbuch 

Der Sicherheits-Integritätslevel (SIL) 

3 Der Sicherheits-Integritätslevel (SIL) 

3.1 Die Ausfallwahrscheinlichkeit 

Nach erfolgter Gefährdungs- und Risikoanalyse ergibt sich die Notwendigkeit einer 

Risikominderung, die im Sicherheitslebenszyklus als Ableitung von den Sicherheitsanforderungen 

identifiziert wird. In den Sicherheitsanforderungen mögen einige 

Gesamtmethoden und -mechanismen beschrieben sein, doch auch diese Anforderungen 

werden dann in spezifische sicherheitstechnische Funktionen aufgegliedert, 

um eine definierte Aufgabe zu erreichen. 

Neben der Zuordnung der gesamten Sicherheitsanforderungen zu spezifischen 

sicherheitstechnischen Funktionen ist ein Maß für die Zuverlässigkeit oder Integrität 

dieser sicherheitstechnischen Funktionen erforderlich. 

Wie weit kann man darauf vertrauen, dass eine sicherheitstechnische Einrichtung 

die korrekte Funktion erbringt, falls sie benötigt wird? 

Dieses Maß ist in Stufen untergliedert und mit SIL (Sicherheits-Integritätslevel) 

benannt. Noch präziser lässt sich die Sicherheitsintegrität eines Systems definieren 

als 

„die Wahrscheinlichkeit, dass ein sicherheitstechnisches System die erforderliche 

sicherheitstechnische Funktion unter allen festgelegten Bedingungen 

innerhalb eines festgelegten Zeitraumes ausführt.“ 

Somit umfasst die Spezifikation der sicherheitstechnischen Funktion ebenso die 

Maßnahmen, die als Reaktion auf das Vorliegen bestimmter Bedingungen zu 

ergreifen sind, sowie die Zeit, die für diese Reaktion benötigt wird. SIL gilt als Maß 

für die Zuverlässigkeit der sicherheitstechnischen Funktion, die gemäß der Spezifikation 

arbeitet. 

Es wird auf die Wahrscheinlichkeit des gefährlichen Versagens – im Grunde der 

Kehrwert der SIL-Definition – statt auf die Wahrscheinlichkeit der ordnungsgemäßen 

Funktion oder des ungefährlichen Ausfalls geachtet. 

Es ist einfacher, die möglichen Bedingungen und Ursachen, die zum Ausfall oder 

Versagen einer sicherheitstechnischen Funktion führen, zu identifizieren und zu 

quantifizieren, als die gewünschte Aktion einer aufgerufenen sicherheitstechnischen 

Funktion zu garantieren. 

Je nach dem Dienst, den die sicherheitstechnische Funktion leistet, werden zwei 

Klassen von SIL identifiziert. 

Für sicherheitstechnische Funktionen, die bei Bedarf (auf Anforderung) aktiviert 

werden, wird hier die Ausfallwahrscheinlichkeit der Funktion im Anforderungsfall 

angegeben (Low Demand Mode). 

Für sicherheitstechnische Funktionen, die kontinuierlich aktiv sind, wird hier die 

Wahrscheinlichkeit eines Gefahr bringenden Ausfalls innerhalb einer vorgegebenen 

Zeitspanne (pro Stunde) angegeben (Continuous Mode). 

Zusammengefasst verlangt die IEC/EN 61508, dass die Sicherheitsintegrität als 

Sicherheits-Integritätslevel (SIL) angegeben werden muss, wenn sicherheitstechnische 

Funktionen von einem E/E/PES ausgeführt werden sollen. Die Ausfallwahrscheinlichkeiten 

sind für vier Sicherheits-Integritätslevel festgelegt 

(siehe Tabelle 3.1). 

13

14 

SIL-Handbuch 


Hinweis 

3.2 Die Systemstruktur 

Sicherheits- 

Integritätslevel 

(SIL) 

Tabelle 3.1 Ausfallwahrscheinlichkeit 

Versagenswahrscheinlichkeit 

Betriebsart mit niedriger 

Anforderungsrate 

(mittlere Versagenswahrscheinlichkeit 

der Funktion im Anforderungsfall) 

4 ≥ 10 -5 bis < 10 -4 

3 ≥ 10 -4 bis < 10 -3 

2 ≥ 10 -3 bis < 10 -2 

1 ≥ 10 -2 bis < 10 -1 

3.2.1 Anteil ungefährlicher Ausfälle 

Der Anteil ungefährlicher Ausfälle (SFF) ist das Verhältnis der Rate der sicheren 

Fehler plus der Rate der erkannten Fehler zur gesamten Ausfallrate des Systems 

(siehe auch Abschnitt 6.2.3). 

Bei der Analyse der verschiedenen Ausfallzustände und Ausfallarten von Komponenten 

können diese kategorisiert und je nach ihrer Auswirkung auf die sicherheitstechnische 

Funktion zu Gruppen zusammengefasst werden. 

Definition Ausfallrate Folgende Begriffe werden verwendet: 

λsafe (ungefährlich) = Ausfallrate von Komponenten, die zu einem 

ungefährlichen Zustand führt 

λdangerous (Gefahr bringend) = Ausfallrate von Komponenten, die zu einem 

potenziell Gefahr bringenden Zustand führt. 

Diese Begriffe werden weiter unterteilt in „erkannt/offensichtlich“ (detected) und 

„unerkannt/verdeckt“ (undetected), um den Grad der Diagnosefähigkeit im Gerät 

widerzuspiegeln. Zum Beispiel: 

λdd = erkannte, Gefahr bringende Ausfälle 

(dangerous detected failure rate). 

λdu = unentdeckte, Gefahr bringende Ausfälle 

(dangerous undetected failure rate). 

Die Summe aller Ausfallraten der Komponenten wird wie folgt ausgedrückt: 

λtotal = λsafe + λdangerous Der Anteil ungefährlicher Ausfälle lässt sich wie folgt berechnen: 

SFF = 1-λ du /λ total 

Betriebsart mit kontinuierlicher 


(Wahrscheinlichkeit eines Gefahr bringenden 

Versagens pro Stunde) 

≥ 10-9 bis < 10-8 ≥ 10 -8 bis < 10 -7 

≥ 10 -7 bis < 10 -6 

≥ 10 -6 bis < 10 -5 

Wie beschrieben, werden die Schutzfunktionen als sicherheitstechnische Systeme 

bezeichnet, gleichgültig, ob sie innerhalb des Leitsystems oder als separates 

Schutzsystem ausgeführt werden. Wenn nach Analyse der Gefährdungen, die aus 

der EUC und ihrem Leitsystem entstehen, entschieden wird, dass keine sicherheitstechnischen 

Funktionen erforderlich sind, dann lautet eine der Anforderungen 

der IEC/EN 61508, dass die Wahrscheinlichkeit Gefahr bringender Ausfälle des 

EUC-Leitsystems unter den für SIL1 festgelegten Werten liegen darf. 


Ausgabedatum 2007-10-04 180661 

SIL-Handbuch 


3.2.2 Fehlertoleranz der Hardware 

Eine weitere Unterteilung bei der Zuordnung von Anteil ungefährlicher Ausfälle und 

Sicherheits-Integritätslevel ergibt sich, wenn bei der Betrachtung der Sicherheitsintegrität 

der Hardware zwei Arten von Teilsystemen definiert werden. 

Teilsystem Typ A das Ausfallverhalten aller Komponenten ist gut definiert, und 

das Verhalten des Teilsystems unter Fehlerbedingungen kann vollständig ermittelt 

werden, und 

es liegen ausreichend abhängige Ausfalldaten aus dem Feldeinsatz vor, die zeigen, 

dass die angegebenen Ausfallraten für erkannte und unerkannte Gefahr 

bringende Ausfälle erfüllt sind. 

Anteil ungefährlicher 

Fehlertoleranz der Hardware (HFT) 

Ausfälle (SFF) 

0 1 2 

< 60 % SIL1 SIL2 SIL3 

60 % ... 90 % SIL2 SIL3 SIL4 

90 % ... 99 % SIL3 SIL4 SIL4 

> 99 % SIL3 SIL4 SIL4 

Tabelle 3.2 Sicherheitsintegrität der Hardware: Architektureinschränkungen für sicherheitstechnische 

Teilsysteme des Typs A (IEC/EN 61508, Teil 2) 

Teilsystem Typ B die Ausfallart mindestens einer Komponente ist nicht ausreichend definiert, oder 

das Verhalten des Teilsystems unter Fehlerbedingungen kann nicht vollständig 

ermittelt werden, oder 

für die Ausfallraten erkannter und unerkannter Gefahr bringender Ausfälle liegen 

aus dem Feldeinsatz nur unzureichende Daten vor. 

Hinweis 




0 1 2 

< 60 % nicht erlaubt SIL1 SIL2 

60 % ... 90 % SIL1 SIL2 SIL3 

90 % ... 99 % SIL2 SIL3 SIL4 



Teilsysteme des Typs B (IEC/EN 61508, Teil 2) 

Diese Definitionen sind zusammen mit der Fehlertoleranz der Hardware Teil der 

„Architektureinschränkungen“ für die Sicherheitsintegrität der Hardware, wie sie in 

Tabelle 3.2 und Tabelle 3.3 aufgeführt sind. 

Auch wenn statistisch eine höhere Zuverlässigkeit für eines der Teilsysteme 

errechnet werden kann, wird die maximale SIL-Klasse, die beansprucht werden 

kann, trotzdem durch die „Sicherheitsintegrität der Hardware“ eingeschränkt. 

In den Tabellen oben bedeutet eine Fehlertoleranz der Hardware von N, dass N+1 

Fehler einen Verlust der sicherheitstechnischen Funktion verursachen können. 

Wenn ein Teilsystem zum Beispiel eine Hardware-Fehlertoleranz von 1 aufweist, 

dann geht die sicherheitstechnische Funktion erst bei Auftreten eines zweiten Fehlers 

verloren. 

15

16 

SIL-Handbuch 


3.2.3 Verbindung von Risiko und Sicherheits-Integritätslevel 

Bis jetzt wurden bereits kurz die Konzepte Risiko, Notwendigkeit der Risikominderung 

durch sicherheitstechnische Funktionen und die Anforderungen an die Integrität 

dieser sicherheitstechnischen Funktionen behandelt. 

Eines der Probleme, denen sich Betreiber und Anwender gegenüber sehen, ist die 

Frage, wie der relevante Sicherheits-Integritätslevel mit der sicherheitstechnischen 

Funktion verknüpft werden soll, die zur Reduzierung eines bestimmten Risikos eingesetzt 

wird. Der auf IEC/EN 61508 basierende Risikograph in Bild 3.1 ist eine 

Möglichkeit, um eine Verbindung zwischen den Risikoparametern und dem Sicherheits-Integritätslevel 

für die sicherheitstechnische Funktion herzustellen. 

Risikoparameter 

Schadensausmaß 

S1 leichte Verletzung oder leichter Schaden 

S2 schwere, irreversible Verletzung oder Tod 

einer Person, temporärer schwerer Schaden 

S3 Tod mehrerer Personen, langfristiger Schaden 

S4 viele Tote, katastrophale Auswirkungen 

Häufigkeit/Aufenthaltsdauer 

A1 seltener bis häufiger Aufenthalt im Gefahrenbereich 

A2 häufiger bis dauernder Aufenthalt im Gefahrenbereich 

Gefahrenabwendung 

G1 möglich 

G2 nicht abwendbar, kaum möglich 

Eintrittswahrscheinlichkeit des unerwünschten 

Ereignisses 

W1 sehr gering, kaum 

W2 gering 

W3 hoch, häufig 

S 1 

S 2 

S 3 

S 4 

A1 

A2 A1 A2 A1 A2 G 1 

G 2 

G 1 

G 2 

G 1 

G 2 

G 1 

G 2 

Eintrittswahrscheinlichkeit des 

unerwünschten Ereignisses W 

1, 2, 3, 4 = Sicherheits-Integritätslevel, SIL 

- = tolerierbares Risiko, keine Sicherheitsanforderungen 

a = keine besonderen Sicherheitsanforderungen 

b = ein einzelnes E/E/PE-System reicht nicht aus 

Bild 3.1 Risikoabschätzung 

Bei der Untersuchung eines bestimmten Prozesses wird beispielsweise die niedrige 

oder sehr geringe Wahrscheinlichkeit der leichten Verletzung eines Menschen als 

noch tolerierbares Risiko betrachtet. Besteht dagegen eine hohe Wahrscheinlichkeit, 

dass es häufig zu schwerer Körperverletzung kommen kann, dann müsste die 

zur Risikominderung eingesetzte sicherheitstechnische Funktion den Sicherheits- 

Integritätslevel 3 (SIL3) aufweisen. 

Es gibt noch zwei weitere Konzepte im Zusammenhang mit sicherheitstechnischen 

Funktionen und sicherheitstechnischen Systemen, die erläutert werden müssen, 

bevor wir ein Beispiel betrachten können. Bei diesen beiden Konzepten handelt es 

sich um den Anteil ungefährlicher Ausfälle und die Versagenswahrscheinlichkeit der 

Funktion. 

W 3 

a 

1 

2 

3 

4 

b 

W 2 

- 

a 

1 

2 

3 

4 

W 1 

- 

- 

a 

1 

2 

3 


Ausgabedatum 2007-10-04 180661 

SIL-Handbuch 

Die Versagenswahrscheinlichkeit 

4 Die Versagenswahrscheinlichkeit 

4.1 Überblick 

Achtung 

Der bereits erläuterte Aspekt des Risikos und die Ausfallwahrscheinlichkeit im 

Anforderungsfall einer sicherheitstechnischen Funktion sind eng miteinander verknüpft. 

Verwendet man die Definitionen 

Fnp = Unfall-/Vorfallhäufigkeit bei Abwesenheit von Schutzfunktionen 

(no protection) 

Ft = tolerierbare Unfall-/Vorfallhäufigkeit 

dann wird der Faktor zur Risikominderung (∆R) wie folgt definiert: 

∆R =F np /F t 

wobei PFD die Umkehrung ist: 

PFDavg = Ft /Fnp Da die Konzepte eng miteinander verbunden sind, werden ähnliche Methoden und 

Werkzeuge verwendet, um das Risiko zu bewerten und PFDavg zu beurteilen. 

Als besondere Tools werden FMEDA- und Markov-Modelle verwendet. Die Failure 

Modes and Effects Analysis (FMEA) ist ein Weg, um das System zu bewerten. Hierbei 

wird ein systematischer Ansatz verwendet, um die Auswirkungen von Komponentenausfällen 

zu identifizieren und zu beurteilen und dann zu bestimmen, wie die 

Möglichkeit eines Ausfalls gemindert oder eliminiert werden kann. Eine FMEDA ist 

eine Erweiterung der FMEA-Technik, um Diagnosetechniken einzuschließen. 

Sobald die möglichen Ausfälle und ihre Folgen beurteilt wurden, können die Wahrscheinlichkeiten 

verschiedener Betriebszustände des Teilsystems mit Hilfe von 

z. B. Markov-Modellen berechnet werden. Ein anderer Faktor, der bei dieser 

Betrachtung herangezogen werden muss, sind die Wiederholungsprüfungen, auch 

als „Proof Time“ oder „Proof Test Interval“ bezeichnet. Hierbei handelt es sich um 

eine Variable, die nicht nur von der praktischen Implementierung von Prüfungen 

und Instandhaltung im System, Teilsystem oder der betroffenen Komponente, sondern 

auch vom gewünschten Endergebnis abhängt. Durch z. B. Verlängerung der 

Prüfintervalle innerhalb des Modells kann sich herausstellen, dass das Teilsystem 

oder das sicherheitstechnische System nicht mehr den Forderungen des geforderten 

SIL entspricht. Praktische und betriebliche Überlegungen dienen oftmals als 

Richtlinie. 

Beachten Sie bitte auch, dass „Betriebsart mit niedriger Anforderungsrate 

(Low Demand Mode)“ als eine Betriebsart definiert wird, bei der die Anforderungsrate 

an das sicherheitstechnische System nicht größer als einmal pro Jahr und 

nicht größer als die doppelte Frequenz der Wiederholungsprüfung ist. 

Ein entsprechender Anwendungsbereich, der den meisten Lesern vertraut sein 

wird, wäre zum Beispiel ein Brandschutzsystem in einem Kaufhaus. Hier muss ein 

Ausgleich erreicht werden zwischen der Notwendigkeit einerseits, das System aus 

rechtlichen oder versicherungstechnischen Gründen häufig zu prüfen, und der praktischen 

Durchführbarkeit und den Kosten für die Organisation solcher Prüfungen 

andererseits. Möglicherweise wären die Versicherungsbeiträge niedriger, wenn das 

System häufiger überprüft würde, doch die Kosten und der Aufwand für Organisation 

und Durchführung dieser Prüfungen würden die Einsparungen übersteigen. 

Unter Berücksichtigung all dieser Faktoren kann die PFDavg berechnet werden. 

Sobald die PFDavg für jede Komponente, die Teil des Systems ist, berechnet wurde, 

lässt sich auf einfache Weise die PFDavg des gesamten Systems errechnen – sie 

ergibt sich aus der Summe der PFDavg aller einzelnen Komponenten, siehe auch 

Abschnitt 6.2.2 im Teil 2. Um die Anforderungen eines besonderen Sicherheits- 

Integritätslevels zu erfüllen, müssen ebenso die Werte für die PFDavg wie auch für 

den Anteil ungefährlicher Ausfälle innerhalb bestimmter Grenzen liegen. 

17

18 

SIL-Handbuch 


4.2 Beispiel für ein sicherheitstechnisches System 

Lassen Sie uns diese Punkte in einem einfachen Beispiel aus der verarbeitenden 

Industrie zusammenfassen. 

Die IEC/EN 61508 gibt an, dass ein Sicherheits-Integritätslevel nur einer spezifischen 

sicherheitstechnischen Funktion korrekt zugeordnet werden kann – und zwar 

in der Gesamtheit des sicherheitstechnischen Systems – und nicht einem einzelnen 

Ausrüstungsteil oder einer Komponente. 

In unserem Zusammenhang bedeutet dies: Erst nachdem das gesamte sicherheitstechnische 

System analysiert wurde, kann erklärt werden, dass die Anforderungen 

eines spezifischen Sicherheits-Integritätslevels erfüllt sind. 

Es ist jedoch möglich – und auch vernünftig – ein einzelnes Element eines sicherheitstechnischen 

Systemes zu analysieren und seine Verwendungstauglichkeit 

nachzuweisen, um es in ein sicherheitstechnisches System mit entsprechender 

SIL-Klassifizierung zu integrieren. Da alle Elemente eines sicherheitstechnischen 

Systemes beim Erreichen dieses Ziels voneinander abhängen, muss überprüft werden, 

ob jedes einzelne Teil für den Zweck geeignet ist. Im folgenden Beispiel 

behandeln wir einen einzelnen elektronischen Interface-Baustein. 

Dabei handelt es sich bei dem sicherheitstechnischen System um ein Leitsystem, 

das zur Implementierung der sicherheitstechnischen Funktion dienen soll. Bild 4.1 

zeigt ein typisches sicherheitstechnisches System einschließlich einer eigensicheren 

Signaleingangs- und Signalausgangstrennebene. Nehmen wir nun an, dass als 

erforderlicher Sicherheits-Integritätslevel durch die Risikoanalyse SIL2 ermittelt 

wurde. Bitte beachten Sie, dass dies nur ein Referenzwert ist, er besagt nicht, dass 

eine vollständige Beurteilung des kompletten sicherheitstechnischen Systemes 

durchgeführt wurde, sondern er definiert vielmehr die Anforderungen an den kompletten 

Kreis. 

Sensor Binär- Binär- 

Aktor 

Sensor 

Analog- 

Eingang 

Logiksystem 

Umfang der risikoreduzierenden Einrichtung 

Bild 4.1 Sicherheitstechnisches System, Beispiel 

Analog- 

Ausgang 

Aktor 


Ausgabedatum 2007-10-04 180661 

SIL-Handbuch 


Fehlerverteilung im Regelkreis 

PFD 1 

PFD 2 

Sie können in Bild 4.1 die verschiedenen Elemente des Prozesskreises sehen: 

Eingangssensor, 

Eingangsleitung/Eingangs-Interface-Baugruppe, 

Logiksystem (Logic Solver), 

Ausgangsleitung/Ausgangs-Interface-Baugruppe (Safe Out) und das 

Regelventil, den Aktor. 

Berücksichtigen Sie, dass das typische sicherheitstechnische System, so wie es 

hier dargestellt ist, aus vielen seriell miteinander verknüpften Baugruppen besteht, 

die alle zur Implementierung der sicherheitstechnischen Funktion erforderlich sind. 

Daher muss das verfügbare PFD-Budget (< 10-2 für SIL2) auf alle relevanten Baugruppen 

verteilt sein. 

So ist es z. B. ein realistisches und industriegerechtes Ziel, dem Trennschaltverstärker 

nicht mehr als 10 % des verfügbaren PFD-Budgets zuzuordnen, woraus 

sich für ihn ein PFD-Grenzwert von etwa 10 -3 ergibt. 

Sensor Binär- Binär- 

Aktor 

Sensor 

Analog- 

Eingang 

Logiksystem 

+ + + + 

* 

10 % 

Signalweg 

35 % 

Sensorik und Signalweg 

PFD 3 

15 % 

SSPS 

Analog- 

Ausgang 

Bild 4.2 Beurteilung des sicherheitstechnischen Systems 

* Zahlenwerte abhängig von der Anwendung 

Der PFD-Wert der kompletten Sicherheitseinrichtung berechnet sich aus den Werten 

der Einzelkomponenten. Da Sensor und Aktor im Feld montiert sind, werden 

diese chemisch und physikalisch belastet (Prozessmedium, Druck, Temperatur, 

Vibration usw.). Entsprechend hoch ist das Fehlerrisiko dieser Komponenten. Deshalb 

sind für den Sensor 25 % und für den Aktor 40 % des Gesamt-PFD vorgesehen. 

Für die fehlersichere Steuerung bleiben 15 % und für die Interfacebausteine je 

10 % (Interfacebausteine und Steuerung haben keinerlei Kontakt zum Prozessmedium 

und sind im geschützten Schaltraum untergebracht). 

PFD 4 

* * 

* 

10 % 

Signalweg 

Aktor 

PFD 5 

* 

50 % 

Aktor und Signalweg 

19

20 

SIL-Handbuch 


FMEA-Beurteilung Bei dem hier im Beispiel genannten Trennschaltverstärker wurde eine umfangreiche 

FMEA-Analyse durchgeführt, um nachzuweisen, dass er für die Verwendung in 

einem sicherheitstechnischen System gemäß SIL2 geeignet ist. Die FMEA-Analyse 

hat 100 % der Bauteile des Trennschaltverstärkers abgedeckt, wobei für jedes Bauteil 

die verschiedenen möglichen Ausfallarten berücksichtigt wurden, einschließlich 

– soweit erforderlich – zeitweise auftretender Ausfälle und Ausfälle mit Leistungsreduktion. 

Dies ist – im Gegensatz zu anderen nicht quantitativen oder semi-quantitativen 

Ansätzen – die nach IEC/EN 61508 empfohlene Vorgehensweise. 

Als Ergebnis der FMEA kann die PFDavg für diesen Trennschaltverstärker berechnet 

werden. Erst wenn sich ein Wert unter 10-3 ergibt, kann der Trennschaltverstärker 

für dieses SIL2-Beispiel eingesetzt werden. 

Hinweis 

Pepperl+Fuchs hat eine unabhängige, externe Organisation, das Fachunternehmen 

EXIDA unter Vertrag, um diese Beurteilungen für die Produkte von 

Pepperl+Fuchs durchzuführen. 

Zusammenfassend kann für Abschnitt 4.2 festgestellt werden: 

1. Die IEC/EN 61508 betrachtet den gesamten Gerätekreis. Nach dem Motto „eine 

Kette ist nur so stark wie ihr schwächstes Glied“ spielen alle Elemente im Gerätekreis 

ihre Rolle. Um die Ziele zu erreichen, kann es erforderlich werden, eine 

bestimmte Baugruppenfunktion zu duplizieren – also redundant auszuführen. 

2. Vernachlässigen Sie keinen der Schritte bei der Beurteilung des Sicherheitslebenszyklus. 

Die in diesem Dokument identifizierten Geräteelemente sind nur ein 

Teil eines SIS. 

3. Sofern nicht speziell angegeben, ist es nicht zulässig, mehr als einen Kanal einer 

mehrkanaligen Komponente in dem selben sicherheitstechnischen System zu 

verwenden (Vermeidung von Fehlern gemeinsamer Ursache). Die übrigen Kanäle 

dieser Komponente können jedoch in anderen vom ersten unabhängigen sicherheitstechnischen 

Systemen verwendet werden. 

4. Es ist nicht immer erforderlich, dass alle sicherheitstechnischen Funktionen in 

der Schutzebene implementiert werden müssen. Einige sicherheitsrelevante 

Funktionen können bereits in der Automatisierungsebene und damit im „normalen 

Leitsystem“ realisiert werden. 

5. Um festzustellen, ob die sicherheitstechnischen Funktionen korrekt arbeiten, ist 

es in der Regel erforderlich, sie zu testen. Die Häufigkeit, mit der diese Tests 

durchgeführt werden, ist ein Faktor bei der Berechnung der Ausfallwahrscheinlichkeit 

im Anforderungsfall. Daher werden verschiedene PFD avg-Werte für Komponenten 

wie z. B. die Interface-Bausteine berechnet, um die relevanten 

Prüfungsintervalle zu ermitteln, z. B. T [Test] von 1 Jahr, 5 Jahren und 10 Jahren. 


Ausgabedatum 2007-10-04 180661 

SIL-Handbuch 

Zusammenfassung des ersten Teils des SIL-Handbuches 

5 Zusammenfassung des ersten Teils des SIL-Handbuches 

1. Der Sicherheitslebenszyklus führt einen strukturierten Ansatz zur Risikoanalyse, 

Implementierung von sicherheitstechnischen Systemen und zum Betrieb eines 

sicheren Prozesses ein. 

2. Wenn sicherheitstechnische Systeme eingesetzt werden, um Risiken auf ein tolerierbares 

Niveau zu reduzieren, müssen diese sicherheitstechnischen Systeme 

einen bestimmten Sicherheits-Integritätslevel aufweisen. 

3. Die Berechnung des Sicherheits-Integritätslevels für ein sicherheitstechnisches 

System schließt die Faktoren „Anteil ungefährlicher Ausfälle“ und „Ausfallwahrscheinlichkeit 

der Sicherheits-Funktion“ ein. 

21

22 

SIL-Handbuch 

Verifizieren des Sicherheits-Integritätslevels 

6 Verifizieren des Sicherheits-Integritätslevels 

6.1 Was ist SIL? 

6.1.1 Grundlagen 

Achtung 

Diese kurze Einführung deckt lediglich die technischen Aspekte ab, die mit der 

Implementierung einer sicherheitstechnischen Funktion gemäß den Anforderungen 

der IEC/EN 61508/61511 zusammenhängen. Siehe hierzu auch Teil 1. 

SIL steht für den Sicherheits-Integritätslevel gemäß IEC/EN 61508 und beschreibt 

die Integrität einer sicherheitstechnischen Funktion. Sowohl organisatorische Maßnahmen 

des Managements als auch technische Maßnahmen sind erforderlich, 

um eine gegebene Sicherheitsintegrität zu erreichen. Ein Sicherheits-Integritätslevel 

wird einer sicherheitstechnischen Funktion zugeordnet, die verschiedene Funktionsbaugruppen 

umfasst, mit denen Systeme beschrieben werden (z. B. Sensoren, 

Logiksystem (Logic Solver) und Aktoren). 

Ein sicherheitstechnisches System (SIS) besteht aus einer oder mehreren sicherheitstechnischen 

Funktionen; für jede dieser sicherheitstechnischen Funktionen gilt 

eine SIL-Anforderung. Komponenten, Teilsysteme oder Systeme können für sich 

allein betrachtet keinen eigenen Sicherheits-Integritätslevel haben. 

Systeme haben eine „SIL-beschränkende Wirkung“. So kann die Funktion des folgenden 

Beispiels (Bild 6.1) aufgrund der Beschränkung des Sensorsystems auf 

max. SIL2 ebenfalls nur maximal SIL2 erreichen: 

Sensorsystem: max. SIL2 

Logiksystem: max. SIL3 

Ausgangselement: max. SIL3 

Sensor Eingangsmodul 

max. SIL2 

Eingangsteilsystem 

Bild 6.1 Systemstruktur 

In einem System können Komponenten oder Teilsysteme kombiniert werden (z. B. 

parallel), um die SIL-Beschränkung zu verändern. 


max. SIL2 


max. SIL2 


entspricht nun max. SIL3 

Logiksystem 

max. SIL3 

max. SIL2 

Logiksystem 

max. SIL3 

max. SIL3 

Bild 6.2 Beispielkonfiguration für redundantes Eingangsteilsystem 

Teilsystem max. SIL3 

(Ausgangsschnittstelle 

und 

Ausgangselement) 

Teilsystem max. SIL3 

(Ausgangsschnittstelle 

und 

Ausgangselement) 


Ausgabedatum 2007-10-04 180661 

SIL-Handbuch 


6.1.2 Anforderungen an das Management 

Studien haben gezeigt, dass der wichtigste Faktor beim Auftreten von Unfällen das 

Engagement des Managements für die Sicherheit und die grundlegende Sicherheitskultur 

innerhalb der Organisation oder Industriebranche ist. Aus diesem Grund 

beschreiben die relevanten Normen (IEC/EN 61508 und IEC/EN 61511 in der Prozessindustrie) 

einen Lebenszyklus der sicherheitstechnischen Funktion und ihrer 

Komponenten und fordern außerdem die Implementierung von Maßnahmen seitens 

des Managements. 

6.1.3 Wie wird der ausgewählte Sicherheits-Integritätslevel erreicht? 

Ein SIL-klassifiziertes Produkt weist spezifische Parameter auf. Die SIL-Beschränkung, 

die durch dieses Produkt erzeugt wurde, wird direkt von diesen Parametern 

beeinflusst: 

Fehlertoleranz der Hardware 

Anteil ungefährlicher Ausfälle 

Architektureinschränkungen (siehe Abschnitt 6.4) 

Ausfallwahrscheinlichkeit der Funktion im Anforderungsfall 

– PFD (Ausfallwahrscheinlichkeit der Funktion im Anforderungsfall) 

– Betriebsart mit niedriger Anforderungsrate oder 

– PFH (Wahrscheinlichkeit eines Gefahr bringenden Ausfalls pro Stunde) 

– Betriebsart mit kontinuierlicher Anforderungsrate 

Instandhaltungsintervalle. 

Bei diesen Parametern handelt es sich um numerische Werte, die mit den entsprechenden 

Werten der anderen Komponenten der sicherheitstechnischen Funktion 

kombiniert und dann mit den Werten der SIL-Zielvorgabe in der relevanten Norm 

(IEC/EN 61508 oder IEC/EN 61511) gegengeprüft werden müssen. 

Um verschiedene Systeme oder Teilsysteme kombinieren oder verifizieren zu können, 

muss bekannt sein, wie die verschiedenen Parameter miteinander agieren. 

Diese Zusammenhänge werden mithilfe eines Beispiels demonstriert. 

6.2 Beispiel Eingangsteilsystem mit zwei Komponenten 

Bild 6.3 Eingangsteilsystem 

Sensor 

Trennschaltverstärker 

Sensor-Trennschaltverstärker-Teilsystem 

6.2.1 Fehler-Möglichkeits- und Einfluss-Analyse (IEC/EN 61508, Teil 2) 

Mithilfe einer FMEDA wurden für das Teilsystem die verschiedenen Ausfallraten 

ermittelt. Daraus wurden die Werte für PFDavg und dem Anteil ungefährlicher Ausfälle 

(SFF) berechnet. Diese Werte sind in der Herstellerdokumentation angegeben. 

In unserem Beispiel Sensor-Teilsystem: NAMUR-Näherungsinitiator NJ2-12GM-N (SJ2-N*) 

T [Test] PFD avg s SFF λ total = 2,90 x 10 -8 1/h 

1 Jahr 3,02 x 10 -5 > 76 % λ safe = 1,77 x 10 -8 1/h 

2 Jahre 6,05 x 10 -5 > 76 % λ dangerous = 6,91 x 10 -9 1/h 

5 Jahre 1,51 x 10 -4 > 76 % λ don’t care = 4,42 x 10 -9 1/h 

23

24 

SIL-Handbuch 


Trennschaltverstärker-Teilsystem: Trennschaltverstärker für digitale Signale 

KFD2-SOT2-Ex1.N 

6.2.2 Mittlere Ausfallwahrscheinlichkeit der Funktion im Anforderungsfall (PFDavg ) des 

Eingangsteilsystems (IEC/EN 61508, Teil 2 und Teil 6, Anhang B) 

Die Ausfallrate λd ist die Rate der Gefahr bringenden (erkannten und unerkannten) 

Ausfälle eines Kanals in einem Teilsystem. Zur Errechnung der PFD (Betriebsart 

mit niedriger Anforderungsrate) wird sie als Ausfälle pro Jahr angegeben. 

Die Ausfallwahrscheinlichkeit PFDavg ist die mittlere Ausfallwahrscheinlichkeit im 

Anforderungsfall einer sicherheitstechnischen Funktion oder eines Teilsystems im 

Anforderungsfall – auch als Versagenswahrscheinlichkeit im Anforderungsfall 

bezeichnet. Die Ausfallwahrscheinlichkeit im Anforderungsfall ist zeitabhängig: 

PFD: Q(t) = 1 - e -λdt 

Hinweis 

T [Test] PFD avg t SFF λ total = 2,07 x 10 -7 1/h 

1 Jahr 9,21 x 10 -5 > 89 % λ safe = 7,83 x 10 -8 1/h 

2 Jahre 1,84 x 10 -4 > 89 % λ dangerous = 2,10 x 10 -8 1/h 

5 Jahre 4,60 x 10 -4 > 89 % λ no effect = 1,08 x 10 -7 1/h 

Es handelt sich um eine Funktion der Ausfallrate λ und der Zeit t zwischen zwei 

Funktionsprüfungen. 

Das bedeutet, dass Sie den maximalen SIL für Ihr (Sub-)System nur ermitteln können, 

wenn Sie wissen, ob eine Prüfprozedur vom Anwender implementiert ist und 

in welchen Intervallen die Prüfungen durchgeführt werden! 

Der maximale SIL gemäß den Ausfallwahrscheinlichkeitsanforderungen kann dann 

in Tabelle 3 der Norm IEC/EN 61508, Teil 1 (Betriebsart mit niedriger Anforderungsrate) 

abgelesen werden. 

Sicherheits-Integritätslevel 

(SIL) 

Betriebsart mit niedriger 


(mittlere Versagenswahrscheinlichkeit der 

Funktion im Anforderungsfall) 

4 ≥ 10 -5 bis < 10 -4 

3 ≥ 10 -4 bis < 10 -3 

2 ≥ 10 -3 bis < 10 -2 

1 ≥ 10 -2 bis < 10 -1 

Tabelle 6.1 Sicherheits-Integritätslevel: Ausfallgrenzwerte für eine sicherheitstechnische Funktion in der 

Betriebsart mit niedriger Anforderungsrate 

Diese Werte gelten für die gesamte sicherheitstechnische Funktion, die normalerweise 

verschiedene Systeme oder Teilsysteme umfasst. Die mittlere Ausfallwahrscheinlichkeit 

einer sicherheitstechnischen Funktion im Anforderungsfall wird 

ermittelt, indem die mittlere Ausfallwahrscheinlichkeit im Anforderungsfall für alle 

Teilsysteme, die zusammen die sicherheitstechnische Funktion ausmachen, 

berechnet und dann die Ergebnisse addiert werden. 


Ausgabedatum 2007-10-04 180661 

SIL-Handbuch 


Hinweis 

Wenn die Wahrscheinlichkeitswerte sehr klein sind, kann dies wie folgt ausgedrückt 

werden: 

PFD sys = PFD s + PFD t + PFD fe 

wobei 

PFD sys 

PFD s 

PFD t 

PFD fe 

In unserem Beispiel PFD subsys = PFD s + PFD t 

wobei 

PFD subsys 

PFD s 

PFD t 

die mittlere Ausfallwahrscheinlichkeit der Funktion im 

Anforderungsfall für ein sicherheitstechnisches 

Funktionssystem ist, 


Anforderungsfall für das Eingangsteilsystem (Sensor) ist, 


Anforderungsfall für das Logik-Teilsystem 

(Trennschaltverstärker) ist, 


Anforderungsfall für das Abschlusselement-Teilsystem ist 

(FE = Final Element). 

Das bedeutet, dass ein Teilsystem oder eine Komponente niemals den gesamten 

PFD-Wert für einen vorgegebenen SIL beanspruchen kann! In der Regel haben 

Trennschaltverstärker eine PFD, die nur 10 % des gesamten PFD-Wertes des 

erforderlichen SIL ausmacht. 


Anforderungsfall für das Eingangsteilsystem ist; 


Anforderungsfall für den Sensor ist; 


Anforderungsfall für den Trennschaltverstärker ist; 

Folgende SIL sind dann erreichbar (PFD subsys kleiner als 10 % PFD max): 

T [Test] PFDsubsys SIL 

1 Jahr 1,22 x 10-4 2 

2 Jahre 2,45 x 10 -4 2 

5 Jahre 6,11 x 10 -4 2 

25

26 

SIL-Handbuch 


6.2.3 Anteil ungefährlicher Ausfälle des Eingangsteilsystems (IEC/EN 61508, Teil 2, Anhang C) 

Anteil der Rate der Fehler, die nicht das Potenzial besitzt, das sicherheitstechnische 

System in einen Gefahr bringenden Zustand zu versetzen. 

SFF = (Σλs + Σλdd)/(Σλs + Σλd) = 1 - Σλdu/(Σλs + Σλd) wobei Σλs = Σλsu + Σλsd und Σλd = Σλdu + Σλdd Gefahr bringende, erkannte Ausfälle werden ebenfalls als „ungefährlich“ betrachtet. 

Bild 6.4 Anteil ungefährlicher Ausfälle (SFF) 

In unserem Beispiel SFF = (1,77 + 0,442 + 7,83 + 10,8) x 10 -8 / 

(1,77 + 0,442 + 7,83 + 10,8 + 0,691 + 2,1) x 10 -8 

SFF des Eingangsteilsystems > 88 % 

6.3 Fehlertoleranz der Hardware (IEC/EN 61508, Teil 2) 

Hierbei handelt es sich um die Fähigkeit einer funktionalen Einheit, die gewünschte 

Funktion auch dann auszuführen, wenn Fehler aufgetreten sind. Eine Fehlertoleranz 

der Hardware von N bedeutet, dass N+1 Fehler einen Verlust der sicherheitstechnischen 

Funktion verursachen können. 

Ist ein einkanaliges System fehlerhaft, dann ist es nicht in der Lage, die gewünschte 

Funktion auszuführen! Ist das System redundant (zwei parallel geschaltete Kanäle) 

wird jeder der beiden Kanäle die sicherheitstechnische Funktion ausführen können. 

Es müsste somit in beiden Kanälen gleichzeitig ein Gefahr bringender Ausfall auftreten, 

damit die sicherheitstechnische Funktion im Anforderungsfall ausfällt. 

In unserem Beispiel Ist die Struktur einkanalig, ist die 

Fehlertoleranz der Hardware = 0 

6.4 SIL-Beschränkung aufgrund von Architektureinschränkungen 

(IEC/EN 61508, Teil 2) 

λdd 

Gefahr bringend 

entdeckt 

λsu 

λdu 

ungefährlich 

unentdeckt 

Gefahr bringend 

unentdeckt 

ungefährlich 

entdeckt 

Die Kombination aus Anteil ungefährlicher Ausfälle und Fehlertoleranz der Hardware 

beschränkt den maximalen SIL eines Gerätes. 

Die Norm unterscheidet zwischen zwei Typen von Teilsystemen: 

λsd 


Ausgabedatum 2007-10-04 180661 

SIL-Handbuch 


Teilsystem Typ A Ein Teilsystem kann als Teilsystem des Typs A betrachtet werden, wenn für alle 

Komponenten, die zur Erreichung der sicherheitstechnischen Funktion erforderlich 

sind, 

die Ausfallarten für alle beteiligten Komponenten gut definiert sind, und 

das Verhalten des Teilsystems unter Fehlerbedingungen vollständig vorhergesagt 

werden kann, und 

ausreichend abhängige Ausfalldaten aus dem Feldeinsatz vorliegen, um nachzuweisen, 

dass die 

angegebenen Ausfallraten für erkannte und unerkannte Gefahr bringende Ausfälle 

erfüllt sind. 




0 1 2 

< 60 % SIL1 SIL2 SIL3 

60 % ... 90 % SIL2 SIL3 SIL4 

90 % ... 99 % SIL3 SIL4 SIL4 



Teilsysteme des Typs A (IEC/EN 61508, Teil 2) 

Teilsystem Typ B Ein Teilsystem muss als Teilsystem des Typs B betrachtet werden, wenn für alle 

Komponenten, die zur Erreichung der sicherheitstechnischen Funktion erforderlich 

sind, 

die Ausfallart mindestens einer beteiligten Komponente nicht eindeutig definiert 

ist, oder 

das Verhalten des Teilsystems unter Fehlerbedingungen nicht vollständig vorhergesagt 

werden kann, oder 

zu wenig abhängige Ausfalldaten aus dem Feldeinsatz vorliegen, um die beanspruchten 

Ausfallraten für erkannte und unerkannte Gefahr bringende Ausfälle 

zu unterstützen. 

Einfacher ausgedrückt kann man sagen, dass Teilsysteme, die programmierbare 

oder hochintegierte Elektronik verwenden, als Typ B betrachtet werden müssen. 




0 1 2 

< 60 % nicht erlaubt SIL1 SIL2 

60 % ... 90 % SIL1 SIL2 SIL3 

90 % ... 99 % SIL2 SIL3 SIL4 



Teilsysteme des Typs B (IEC/EN 61508, Teil 2) 

In unserem Beispiel Beide Komponenten des Teilsystems gehören zum Typ A, mit einem Anteil ungefährlicher 

Ausfälle von 88 % und einer Fehlertoleranz der Hardware von 0, womit es 

die Anforderungen für max. SIL2 erfüllt. 

Folgende SIL sind erreichbar (PFDsubsys kleiner als 10 % PFDmax ): 

T [Test] PFD Architektur SIL Teilsystem 

1 Jahr SIL2 SIL2 2 

2 Jahre SIL2 SIL2 2 

5 Jahre SIL2 SIL2 2 

27

28 

SIL-Handbuch 

Andere Strukturen 

7 Andere Strukturen 

7.1 MooN-Systeme (IEC/EN 61508, Teil 6) 

Das MooN-System ist ein sicherheitstechnisches System oder Teil eines sicherheitstechnischen 

Systems aus N unabhängigen Kanälen, die so verbunden sind, 

dass M Kanäle ausreichen, um die sicherheitstechnische Funktion auszuführen (M 

aus N Kanälen). Die Architektur des folgenden Beispiels wird als 1oo2 (one out of 

two, eins aus zwei) bezeichnet. 

Bild 7.1 Konfiguration für zwei Eingangsteilsysteme, 1oo2-Struktur 

7.2 Zwei Eingangsteilsysteme aus obigem Beispiel als redundantes 


Achtung 




Die hier eingesetzten Formeln sind vereinfacht. (z. B. keine Betrachtung der mittleren 

Zeit zur Wiederherstellung) und können unter Umständen für Ihre Applikation 

unbrauchbar sein. Für mehr Informationen, siehe auch IEC/EN 61508, Teil 6. 

Eingangsteilsystem 1 


Bild 7.2 Beispiel redundantes Eingangsteilsystem 

Die Ausgänge der beiden Trennverstärker sind in Reihe geschaltet. 

Ermittlung des maximalen SIL-Wertes des Eingangsteilsystems bestehend aus 

NJ2-12GM-N und KFD2-SOT2-Ex.N. 

PDFKanal (siehe Abschnitt 6.2.2) 

T [Test] 

PFDsys 1 Jahr 1,22 x 10 -4 

2 Jahre 2,45 x 10 -4 

5 Jahre 6,11 x 10 -4 

PDF des neuen redundanten Eingangsteilsystems 

PDFsys = 4/3 x PDF 2 Kanal 

T [Test] 

PFD sys 

1 Jahr 1,98 x 10 -8 

2 Jahre 8,00 x 10 -8 

5 Jahre 4,98 x 10 -7 

1oo2 

Beispiel: 




Ausgabedatum 2007-10-04 180661 

SIL-Handbuch 


Achtung 

SFF des neuen redundanten Eingangsteilsystems 

Da beide Kanäle gleich sind, ändert sich die SFF nicht. 

SFF des Eingangsteilsystems > 88 % 

Fehlertoleranz der Hardware 

Das neue Eingangsteilsystem ist jetzt redundant (1oo2). 

Fehlertoleranz der Hardware = 1 

SILmax des neuen redundanten Teilsystems (PDFsys kleiner als 10 % PDFmax ): 

T [Test] PDFsys Architektur SIL des neuen redundanten 

Teilsystems 

1 Jahr SIL4 SIL3 SIL3 

2 Jahre SIL4 SIL3 SIL3 


Die Berechnung berücksichtigt noch keine Fehler gemeinsamer Ursachen (siehe 

Abschnitt 7.3). 

29

30 

SIL-Handbuch 


7.3 Fehler gemeinsamer Ursachen 

Fehler gemeinsamer Ursachen müssen in sicherheitstechnischen Systemen 

betrachtet werden. Falls zum Beispiel beide Kanäle einer 1oo2-Struktur mit dem 

gleichen Netzteil versorgt werden, reicht ein Netzteilausfall, um das System außer 

Betrieb zu setzen. Diese „Kanaltrennung“ wird durch einen Parameter (β) beschrieben. 

Die Bewertung wird mit Hilfe einer Tabelle aus dem Anhang D der 

IEC/EN 61508 (Teil 6) durchgeführt (Scoring System). Tabelle 7.1 zeigt einen Auszug 

aus der in Anhang D enthaltenen Tabelle. 

Frage Logik- 

Teilsystem 

Trennung 

Werden alle Signalkabel an allen Stellen für die Kanäle getrennt 

geführt? 

Sind die Kanäle des Logik-Teilsystems auf getrennten Leiterplatten? 

Sind die Kanäle des Logik-Teilsystems in getrennten Schaltschränken? 

Wenn die Sensoren/Stellglieder zugeordnete Steuerelektroniken 

haben, befinden sich diese für jeden Kanal auf getrennten Leiterplatten? 

Wenn die Sensoren/Stellglieder zugeordnete Steuerelektroniken 

haben, befinden sich diese für jeden Kanal im Innenraum und in 

getrennten Schaltschränken? 

Diversität/Redundanz 

Verwenden die Kanäle verschiedene Technologien – zum Beispiel 

einer Elektronik oder programmierbare Elektronik und der andere 

Relais? 

Verwenden die Kanäle verschiedene elektronische Technologien – 

zum Beispiel einer Elektronik und der andere programmierbare 

Elektronik? 

Verwenden die Sensoren verschiedene physikalische Prinzipien – 

zum Beispiel Druck und Temperatur, Messung der Strömungsgeschwindigkeit 

mit einem Flügelrad-Aufnehmer oder mit dem Doppler-Effekt? 

Verwenden die Geräte andere elektrische Prinzipien oder Konstruktionen 

– zum Beispiel digital und analog, verschiedene Hersteller 

(nicht nur baugleiches Gerät mit verschiedenen Marken) 

oder verschiedene Technologien? 

Verwenden die Kanäle ausgeprägte Redundanz mit einer MooN- 

Architektur, wobei N > M + 2? 

Verwenden die Kanäle ausgeprägte Redundanz mit einer MooN- 

Architektur, wobei N = M + 2? 

Wird niedrige Diversität verwendet – zum Beispiel Hardware-Diagnosetests 

unter Verwendung gleicher Technologie? 

Wird mittlere Diversität verwendet – zum Beispiel Hardware-Diagnosetests 

unter Verwendung unterschiedlicher Technologien? 

Wurden die Kanäle von verschiedenen Entwicklern entworfen, die 

während der Entwurfstätigkeit keine Kommunikation hatten? 

Werden während der Inbetriebnahme für jeden Kanal unterschiedliche 

Testmethoden und Personen eingesetzt? 

Wird die Instandhaltung für jeden Kanal von anderen Personen zu 

anderen Zeiten durchgeführt? 

Sensoren 

und Stellglieder 

X LS Y LS X SF Y SF 

1,5 1,5 1,0 2,0 

3,0 1,0 

2,5 0,5 

2,5 1,5 

2,5 0,5 

Tabelle 7.1 Bewertung der programmierbaren Elektronik oder der Sensoren/Abschlusselemente 

(Auszug) 

Die üblichen Werte liegen bei: 

Feldgeräten mit Verkabelung: zwischen 5 % und 10 % 

Sicherheits-SPS: 1 % 

7,0 

5,0 

7,5 

5,5 

2,0 0,5 2,0 0,5 

1,0 0,5 1,0 0,5 

2,0 1,0 

3,0 1,5 

1,0 1,0 

1,0 0,5 1,0 1,0 

2,5 2,5 


Ausgabedatum 2007-10-04 180661 

SIL-Handbuch 


In unserem Beispiel Wie groß ist der Einfluss von Fehlern mit gemeinsamer Ursache? 

Unerkannte Ausfälle infolge gemeinsamer Ursachen β 

λsubsys 

λsubsys 

Zuverlässigkeitsblockschaltbild 

Bild 7.3 Bewertung der Qualität der Kanaltrennung 

Zur Vereinfachung nehmen wir einen mittleren β-Faktor von 5 % an. 

Es gilt: PFD sys = PFD red + β x PFD subsys 

wobei 

PFD subsys die PFD eines einkanaligen Eingangsteilsystems und 

PFD red die PFD des redundanten Eingangsteilsystems ohne Fehler mit gemeinsamer 

Ursache ist 

PFD sys die PFD des redundanten Eingangsteilsystems einschließlich der Fehler mit 

gemeinsamer Ursache ist 

PFD red = 4/3 x PFD² subsys 

Es gilt: PFD sys = 4/3 x PFD² subsys + β x PFD subsys 

β x λ subsys 

T [Test] PFD subsys PFD red PFD sys 

1 Jahr 1,22 x 10 -4 1,98 x 10 -8 6,11 x 10 -6 

2 Jahre 2,45 x 10 -4 8,00 x 10 -8 1,23 x 10 -5 

5 Jahre 6,11 x 10 -4 4,98 x 10 -7 3,10 x 10 -5 

Ergebnis der SIL-Bewertung des 2-kanaligen Eingangsteilsystems mit der Berücksichtigung 

von Fehlern gemeinsamer Ursache (PDF sys kleiner als 10 % PDF max ): 

T [Test] PFD sys Architektur SIL sys 

1 Jahr SIL4 SIL3 SIL3 



Daraus erkennen Sie, dass die Kanaltrennungsqualität einen hohen Einfluss auf die 

Ausfallwahrscheinlichkeit besitzt. 

31

32 

SIL-Handbuch 

Die Bewertung „betriebsbewährt“ (Proven in Use, IEC/EN 61508, Teil 2) 

8 Die Bewertung „betriebsbewährt“ (Proven in Use, IEC/EN 61508, 

Teil 2) 

Hinweis 

Eine Komponente oder ein Teilsystem kann dann als betriebsbewährt (Proven in 

Use) angesehen werden, wenn anhand einer dokumentierten Bewertung dargelegt 

wird, dass aufgrund der vorherigen Verwendung der Komponente ausreichende 

Nachweise dafür vorliegen, dass sich die Komponente für den Einsatz in einem 

sicherheitstechnischen System eignet. 

Die während des Betriebs gewonnene Erfahrung sollte ausreichen, um die angegebenen 

Ausfallraten (Ausfälle, die sich aufgrund von zufälligen Hardwarefehlern 

ereignen) durch Statistiken zu unterstützen. Nur der vorherige Betrieb, bei dem 

eventuelle Ausfälle der Komponente effektiv erkannt und dokumentiert werden, darf 

bei der Analyse berücksichtigt werden. 

Weitere Informationen finden Sie in der EN 61511. 


Ausgabedatum 2007-10-04 180661 

SIL-Handbuch 

Wie liest man einen SIL-Produktbericht? 

9 Wie liest man einen SIL-Produktbericht? 

SIL-qualifizierte Produkte nutzen dem Anwender nur, wenn die Daten, die für die 

SIL-Verifizierung der gesamten sicherheitstechnischen Funktion erforderlich sind, 

zur Verfügung gestellt werden. In der Regel werden PFD und SFF in Tabellenform 

dargestellt und für verschiedene Prüfintervalle berechnet. Die Berechnungen basieren 

auf einer Liste von Annahmen, die den allgemeinen Anwendungsbereich des 

Gerätes repräsentieren. 

Annahmen: 

Ausfallraten sind konstant, Verschleißmechanismen sind nicht enthalten 

Die Verbreitung von Ausfällen ist nicht relevant 

Alle Ausfallarten der Komponenten sind bekannt 

Die Reparaturzeit nach einem ungefährlichen Ausfall beträgt 8 Stunden 

Die Durchschnittstemperatur über einen langen Zeitraum beträgt 40 °C 

Die Beanspruchung ist für eine industrielle Umgebung durchschnittlich 

Alle Module werden in der Betriebsart mit niedriger Anforderungsrate betrieben 

Fehlerkategorien T [Test] = 1 Jahr T [Test] = 2 Jahre T [Test] = 5 Jahre SFF 

Fail Low (L) = sicher 

Fail High (H) = sicher 

Fail Low (L) = sicher 

Fail High (H) = gefährlich 

Fail Low (L) = gefährlich 

Fail High (H) = sicher 

Fail Low (L) = gefährlich 

Fail High (H) = gefährlich 

Tabelle 9.1 Beispiel für den Bericht zu einem SMART-Transmitter-Speisegerät 

Spalte Fehlerkategorien 

PFD und SFF dieses Gerätes hängen von der sicherheitstechnischen Gesamtfunktion 

und ihrer Fehlerreaktionsfunktion ab. Wenn z. B. ein Ausfall des Typs „Fail 

Low“ das System in einen sicheren Zustand versetzt und auch der Ausfall des Typs 

„Fail High“ vom Eingangskreis des Logiksystems erkannt wird, dann werden diese 

Komponentenfehler als ungefährlich betrachtet und die Werte in Zeile 1 können verwendet 

werden. 

Versetzt aber andererseits ein Ausfall des Typs „Fail Low“ das System in einen 

sicheren Zustand und der Ausfall „Fail High“ wird nicht erkannt und könnte zu einem 

Gefahr bringenden Zustand des Systems führen, dann ist dieser Fehler ein Gefahr 

bringender Fehler und die Werte aus Zeile 2 müssen verwendet werden. 

Spalten T [Test] und SFF 

PFD avg = 1,6 x 10 -4 

PFD avg = 2,2 x 10 -4 

PFD avg = 7,9 x 10 -4 

PFD avg = 8,6 x 10 -4 

PFD avg = 3,2 x 10 -4 

PFD avg = 4,5 x 10 -4 

PFD avg = 1,6 x 10 -3 

PFD avg = 1,7 x 10 -3 

-4 > 91 % 

PFDavg = 8,0 x 10 

PFDavg = 1,1 x 10 

-3 > 87 % 

-3 > 56 % 

PFDavg = 3,9 x 10 

-3 > 52 % 

PFDavg = 4,3 x 10 

Pepperl+Fuchs hat in seinen Betrachtungen die maximale PFD eines Interfacebausteins 

auf 10 % des maximal zulässigen Wertes für einen vorgegebenen SIL (in diesem 

Fall SIL2) beschränkt. 

Grün steht für einen PFD-Anteil kleiner als 10 % des Gesamtwertes für SIL2. 

Gelb steht für einen PFD-Anteil über 10 % des Gesamtwertes für SIL2. 

Die roten Werte in der Spalte SFF sind mit den Architekturbeschränkungen 

des vorgegebenen SIL (in diesem Fall SIL2) nicht zu vereinbaren. Eine 

SFF < 60 % beschränkt ein System mit einer Hardware-Fehlertoleranz von 0 

auf SIL1. 

33

34 

SIL-Handbuch 

Glossar/Formelsammlung 

10 Glossar/Formelsammlung 

10.1 Ausfallrate λ(t) 

Formel 1 

Formel 2 

Die Ausfallrate λ(t) gibt an, wie groß die relative Anzahl von Ausfällen während 

einer bestimmten Beobachtungszeit ist. Für eine einzelne Komponente ergibt sich 

daher aus der Ausfallrate λ unmittelbar die Ausfallwahrscheinlichkeit während der 

o. g. Beobachtungszeit. Es gilt: 

λ(t) = 

Zusammen mit den beiden nachfolgenden Definitionen ergibt sich hieraus: 

Definitionen: 

∆t = Beobachtungszeit 

n(t) = Anzahl funktionierender Komponenten zum Zeitpunkt t 

λ(t) = 

Anzahl der Ausfälle während einer bestimmten Beobachtungszeit 

Anzahl beobachteter Komponenten x Beobachtungszeit 

Die Einheit der Ausfallrate λ ist 1/Zeit. Hierbei wird die Ausfallrate von 10 -9 h -1 oft 

mit der Bezeichnung FIT (Failures In Time) abgekürzt. 

Normalerweise haben Komponenten und Systeme am Anfang ihres Lebens eine 

erhöhte Ausfallrate, die jedoch schnell abnimmt (sog. Frühausfälle). Nach kurzer 

Betriebsdauer erreicht die Ausfallrate einen Wert, der über einen längeren Zeitraum 

weitgehend konstant bleibt. Nach sehr langer Betriebsdauer ist in der Regel wieder 

ein Ansteigen der Ausfallrate zu beobachten, welches üblicherweise durch Verschleiß 

hervorgerufen wird. Aufgrund dieser Form des zeitabhängigen Verhaltens 

der Ausfallrate spricht man hier von einer „Badewannen-Kurve“. 

Ausfallrate [1/h] 

n(t) – n(t + ∆t) 

n(t) x ∆t 

0 2 4 6 8 10 12 14 

t 

Zeit [Jahre] 

Bild 10.1 Verhalten der Ausfallrate über einen längeren Zeitraum 

Beispiel: 

Es werden 10.000 Bauteile einem Lebensdauertest unterzogen. Hierbei fallen 

innerhalb einer Woche 3 Bauteile aus. Für die Ausfallrate ergibt sich dann: 

λ = 

1,60E -04 

1,40E -04 

1,20E -04 

1,00E -04 

8,00E -05 

6,00E -05 

4,00E -05 

2,00E -05 

0,00E +00 

10000 – 9997 

10000 x 7 x 24 h = 

3 

1680000 h ≈ 1,8 x 10-6 1 

h 

= 1800 FIT 


Ausgabedatum 2007-10-04 180661 

SIL-Handbuch 


10.2 Konstante Ausfallrate λ 

Um Berechnungen zu vereinfachen, betrachtet man üblicherweise nur den Teil der 

Badewannenkurve, in dem die Ausfallrate konstant ist. Hierbei wird üblicherweise 

unterstellt, dass keine Frühausfälle zu beobachten sind bzw. diese bereits vor oder 

während der Inbetriebnahme (beim Hersteller oder während der Kommissionierung) 

auftreten. Weiterhin muss beachtet werden, dass alle Berechnungsergebnisse die 

unter der Annahme einer konstanten Ausfallrate ermittelt werden, nur solange gelten, 

wie kein Verschleiß auftritt. Bei elektronischen Geräten geht man üblicherweise 

davon aus, dass unter normalen Betriebsbedingungen nach 8 bis 12 Jahren Verschleißerscheinungen 

zu beobachten sind (EN 61508, Teil 2, Kapitel 7.4.7.4, 

Anmerkung 3). 

Formel 3 λ(t) = konst. = λ für t = 0 ... ≈ 10 Jahre 

10.3 Ausfallwahrscheinlichkeit F(t) 

Unter der Voraussetzung, dass die Ausfallrate λ(t) konstant ist („Boden der Badewannenkurve“), 

kann die Ausfallwahrscheinlichkeit einer Komponente leicht 

bestimmt werden. Es gilt: 

Formel 4 F(t) = 1 – e –λ x t 

Da in der Praxis der Exponent der e-Funktion betragsmäßig immer deutlich kleiner 

als 1 ist (λ x t

36 

SIL-Handbuch 


10.4 Wahrscheinlichkeits-Dichtefunktion f(t) 

Die Dichtefunktion f(t) der Ausfallwahrscheinlichkeit ergibt sich aus der Ableitung 

der Verteilungsfunktion F(t). Mit Hilfe der Wahrscheinlichkeitsdichte kann der 

Erwartungswert einer Zufallsgröße berechnet werden (hier: Erwartungswert der 

Lebensdauer MTTF, Mean Time To Failure). 

Die zeitliche Ableitung der Formel 4 ergibt: 

-λ x t 

Formel 6 f(t) = λ x e 

Hinweis 

10.5 Zuverlässigkeitsfunktion R(t) 

Wahrscheinlichkeits-Dichtefunktion [1/h] 

f (t) 

5 x 10 –6 

4 x 10 –6 

3 x 10 –6 

2 x 10 –6 

1 x 10 –6 

Bild 10.2 Ausfallwahrscheinlichkeit und Dichtefunktion 

Die Zuverlässigkeitsfunktion R(t) stellt die Wahrscheinlichkeit dar, dass eine Komponente 

ihre Funktion bis zu Zeitpunkt t erfolgreich ausführen wird. 

Da es sich bei der Zuverlässigkeitsfunktion R(t) um die zur Ausfallwahrscheinlichkeit 

F(t) komplementäre Größe handelt, kann diese leicht berechnet werden, indem 

die Ausfallwahrscheinlichkeit F(t) von 1 subtrahiert wird. Man erhält: 

Formel 7 R(t) = 1 – F(t) = 1 – (1 – e -λ x t ) 

-λ x t 

R(t) = e 

0 

0 10 20 30 40 50 

t 

Zeit [Jahre] 

Man erkennt, dass am Anfang der Betriebszeit (hier z. B. bis etwa 8 Jahre) die 

Ausfallwahrscheinlichkeit näherungsweise linear mit der Zeit zunimmt. 

0,8 

0,6 

0,4 

0,2 

F (t) 

Ausfallwahrscheinlichkeit 


Ausgabedatum 2007-10-04 180661 

SIL-Handbuch 


10.6 Mittlere Lebensdauer MTTF 

Formel 8 

Formel 9 

Achtung 

Aus der Dichtefunktion der Ausfallwahrscheinlichkeit kann die zu erwartende 

Lebensdauer wie folgt berechnet werden: 

Alternativ kann die mittlere Lebensdauer auch mit Hilfe der Zuverlässigkeitsfunktion 

R(t) wie folgt berechnet: 

10.7 Mittlere Ausfallwahrscheinlichkeit der Funktion im Anforderungsfall PFD 

(Probability of Failure on Demand) 

Formel 10 

∞ 

MTTF(t) = ∫ 

0 

∞ 

MTTF(t) = ∫ 

0 

∞ 

t x f(t)dt = ∫ t x λ x e 

0 

-λ x t dt = 1 

λ 

∞ 

R(t)dt = ∫ e 

0 

-λ x t dt = 1 

λ 

Der Zusammenhang MTTF = 1/λ gilt nur für verschleißfreie Systeme. Da auch 

elektronische Geräte bzw. Bauteile Verschleiß haben, ist es i. a. nicht zulässig, 

den Kehrwert der (konstanten) Ausfallrate λ als MTTF zu bezeichnen. 

Für Sicherheitsfunktionen, die nur im Falle einer Störung benötigt werden, ist die 

„Versagenswahrscheinlichkeit im Anforderungsfall“ (Probability of Failure on 

Demand, PFD) von Interesse. Diese Versagenswahrscheinlichkeit stellt im Rahmen 

der IEC/EN 61508 ein wichtiges Kriterium zur qualitativen Bewertung einer Sicherheitsfunktion 

dar. 

Grundsätzlich handelt es sich bei der o. g. Versagenswahrscheinlichkeit um eine 

zeitabhängige Größe. D. h. je nachdem, wann die Sicherheitsfunktion benötigt wird, 

ist die Wahrscheinlichkeit für deren Versagen mehr oder weniger groß. Um eine 

möglichst einfache Aussage bezüglich der Zuverlässigkeit einer Sicherheitsfunktion 

zu erhalten und um die entsprechenden Berechnungen zu vereinfachen, wird im 

Rahmen der IEC/EN 61508 die erwähnte Zeitabhängigkeit durch Mittelwertbildung 

eliminiert (PFDavg ). Wenn im Folgenden daher von „PFD“ die Rede ist, wird darunter 

immer deren Mittelwert (also streng genommen die PFDavg ) verstanden. 

Bei der Berechnung der PFD müssen zwei verschiedene Fehlerarten betrachtet 

werden. Dies sind zum einen gefährliche unerkannte Fehler (Fehlerrate λdu) und 

zum anderen gefährliche erkannte Fehler (Fehlerrate λdd). Letztere beeinflussen 

deshalb die PFD, da im Falle des Auftretens eines derartigen Fehlers das entsprechende 

Gerät repariert werden muss. Während der Reparaturzeit (Mean Time To 

Repair, MTTR) ist die Sicherheitsfunktion nicht verfügbar, so dass im Anforderungsfall 

diese ausfällt. Geht man davon aus, dass eine Reparatur innerhalb weniger 

Stunden durchgeführt werden kann (z. B. durch Austausch des defekten Geräts) 

und die Fehlerrate λdd der gefährlichen erkannten Fehler nicht ungewöhnlich groß 

ist, so kann dieses Risiko jedoch vernachlässigt werden. Die Berechnungsformeln 

für die PFD werden dadurch vereinfacht. Für eine einkanalige Struktur (1oo1), welche 

regelmäßig im Zeitintervall T1 einer kompletten Überprüfung unterzogen wird, 

lautet die vereinfachte Formel zur PFD-Berechnung wie folgt: 

PFD 1oo1 = λ du x T 1 

2 

37

38 

SIL-Handbuch 


10.8 PFD-Berechnung bei mehrkanaligen MooN-Strukturen (M out of N) 

Formel 11 

Formel 12 

Formel 13 

Formel 14 

Formel 15 

Formel 16 

Um die Versagenswahrscheinlichkeit einer Sicherheitsfunktion zu verringern, werden 

Systeme oft redundant aufgebaut. In diesen Fällen kann die PFD des redundanten 

Systems aus den Ausfallraten der einzelnen Kanäle berechnet werden. Eine 

Besonderheit ergibt sich nach IEC/EN 61508 dadurch, dass bei einem Teil der 

möglichen Fehler unterstellt wird, dass diese in gleicher Weise auf alle Kanäle einwirken 

und somit für diese Art von Fehlern jegliche Redundanz unwirksam ist. Bei 

der PFD-Berechnung wird diesem Umstand durch die Einführung eines Faktors (β) 

Rechnung getragen. Der Faktor β gibt an, wie groß der Anteil von Fehlern ist, welche 

auf alle Kanäle gleichzeitig einwirken. Wirken sich z. B. 3 % der möglichen Fehler 

eines Kanals auch auf die restlichen Kanäle aus, so gilt: β = 0,03. 

Die Ermittlung des Faktors β geschieht mit Hilfe eines tabellarischen Bewertungssystems, 

wobei hier sowohl die Geräteeigenschaften als auch die Art der Installation 

und der Umfang des Qualitätsmanagementsystems eine Rolle spielen. 

Im Zuverlässigkeitsblockdiagramm stellt sich die Sache dann so dar, dass der 

mehrkanaligen (redundanten) Struktur eine einkanalige Struktur nachgeschaltet 

wird, deren Fehlerrate gleich der „Fehler mit gemeinsamer Ursache“ ist. 

Kanal 1 

(ohne gemeinsame Fehler) 

Kanal 2 

(ohne gemeinsame Fehler) 

gemeinsame 

Fehler 

Bild 10.3 Zuverlässigkeitsblockdiagramm 

Wird auch hier wieder – wie bei der o. g. einkanaligen Struktur – der Einfluss der 

Reparaturzeit vernachlässigt, so erhält man für verschiedene mehrkanalige Strukturen 

folgende vereinfachte Formeln zur Berechnung der PFD (siehe auch 

VDI/VDE 2180): 

PFD 1oo1 ≈ λ du x T 1 

2 

PFD 2oo2 ≈ λ du x T 1 = 2 x PFD 1oo1 

PFD1oo2 ≈ λdu x T 2 2 

1 

3 

+ β x λ du x 

PFD2oo3 ≈ λdu x T1 + β x λdu x T 2 2 

1 

2 

PFD 1oo3 ≈ 

3 3 

λdu x T1 4 

+ β x λ du x 

PFD2oo4 ≈ λdu x T1 + β x λdu x T 3 3 

1 

2 

T 1 

2 = 4/3 x PFD2 1oo1 + β x PFD 1oo1 

= 4 x PFD 2 1oo1 + β x PFD 1oo1 

T 1 

2 = 2 x PFD3 1oo1 + β x PFD 1oo1 

= 8 x PFD 3 1oo1 + β x PFD 1oo1 


Ausgabedatum 2007-10-04 180661 

SIL-Handbuch 

Literaturverzeichnis 

11 Literaturverzeichnis 

IEC/EN 61508, Teil 1 bis 7 

IEC/EN 61511, Teil 1 bis 3 

VDI/VDE 2180 

Wahrscheinlichkeitstheorie für Ingenieure 

Lothar Litz 

Hüthig 

Zuverlässigkeitstechnik 

Balbir S. Dhillon 

VCH 

Control system safety evaluation and reliability 

Williams M. Goble 

ISA 

Reliability Engineering, Theory and Practice 

A. Birolini 

Springer 

39

40 

SIL-Handbuch 

Notizen 


Es gelten die Allgemeinen Lieferbedingungen für Erzeugnisse und Leistungen der Elektroindustrie, 

herausgegeben vom Zentralverband Elektrotechnik und Elektroindustrie (ZVEI) e.V. 

in ihrer neuesten Fassung sowie die Ergänzungsklausel: „Erweiterter Eigentumsvorbehalt“.

� 

� 

� 

� 

� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

�� 

� 

� 

� 

� 

� 

� 

� 

�� 

� 

� 

� 

�

HANDBUCH SAFETY INTEGRITY LEVEL - Pepperl+Fuchs

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?