Funktionale Sicherheit in SPS-Systemen: SIL-Stufen, Sicherheitsrelais und Konformität erklärt
Ein Sicherheitssystem funktioniert entweder oder nicht – und wenn es nicht funktioniert, werden Menschen verletzt. Das ist die unumstößliche Realität der funktionalen Sicherheit in der Industrie. Doch diese Realität in eine SPS-Beschaffungsspezifikation zu übersetzen, bedeutet, sich mit SIL-Levels, IEC 61511, ausfallsicheren Ein-/Ausgängen und einem Markt voller sich überschneidender Zertifizierungen auseinanderzusetzen, der einen schnell überfordern kann.
Im Jahr 2026 ist dies nicht nur eine technische, sondern auch eine rechtliche Angelegenheit. Die europäische NIS2-Richtlinie stuft die Fertigungsindustrie mittlerweile als kritische Infrastruktur ein. Projekte im Nahen Osten, die den Standards von Saudi Aramco und ADNOC entsprechen, schreiben die Einhaltung der IEC 61511 mit spezifischen SIL-Zielen vor. Selbst in Nordamerika, wo die OSHA die Sicherheitsstandards für Automatisierungsanlagen in der Vergangenheit weniger streng handhabte, beziehen sich Versicherer in ihren Policen mittlerweile auf die IEC 61508.
Dieser Artikel bringt Licht ins Dunkel des Fachjargons. Nach dem Lesen wissen Sie, welches SIL-Level Ihre Anwendung benötigt, welche Sicherheits-SPS-Familien dieses Level tatsächlich bieten und wie die erforderlichen Konformitätsdokumente aussehen.
Funktionale Sicherheit ist nicht dasselbe wie elektrische Sicherheit. Elektrische Sicherheit verhindert Stromschläge und Brände – durch ordnungsgemäße Erdung, Schutzschaltungen und Gehäuse. Funktionale Sicherheit hingegen gewährleistet, dass das Steuerungssystem im Fehlerfall so reagiert, dass die Sicherheit der Personen gewährleistet ist.
Ein System für funktionale Sicherheit hat drei Aufgaben: einen Gefahrenzustand erkennen (z. B. einen Lichtvorhangbruch), eine Entscheidung treffen (z. B. die Presse stoppen) und diese Entscheidung zuverlässig umsetzen (z. B. den Motorschütz stromlos machen). Die gesamte Kette – Sensor, Logikbaustein, letztes Element – muss so ausgelegt sein, dass der Ausfall einer einzelnen Komponente das System nicht an der Erfüllung seiner Funktion hindert.
Der Safety Integrity Level (SIL) misst, in welchem Maße eine Sicherheitsfunktion das Risiko reduziert. Er reicht von SIL 1 (niedrigste Stufe) bis SIL 4 (höchste Stufe, wird in der Fabrikautomation fast nie verwendet).
SIL-Level | Risikominderungsfaktor | Ausfallwahrscheinlichkeit bei Bedarf | Typische Anwendung
SIL 1 | 10–100 | 0,1–0,01 (1 von 10 bis 1 von 100) | Einfache Geschwindigkeitsüberschreitungsauslösung
SIL 2 | 100–1.000 | 0,01–0,001 (1 von 100 bis 1 von 1.000) | Prozessabsperrventil
SIL 3 | 1.000–10.000 | 0,001–0,0001 (1:1.000 bis 1:10.000) | Brennersteuerung, Hochdruckschutz
SIL 4 | 10.000–100.000 | 0,0001–0,00001 | Kernreaktorschutz
Für die industrielle Automatisierung decken SIL 2 und SIL 3 95 % der Anwendungen ab. SIL 4 existiert nur auf dem Papier und in Kernkraftwerken – in Verpackungslinien oder Wasseraufbereitungsanlagen wird man es nicht antreffen.
Drei Normen bilden das Rückgrat der funktionalen Sicherheit in der industriellen Automatisierung:
IEC 61508 – Die übergeordnete Norm. Sie deckt alle Branchen und alle elektrischen/elektronischen/programmierbaren Sicherheitssysteme ab. Sie definiert das SIL-Konzept und den Sicherheitslebenszyklus.
IEC 61511 – Die verfahrenstechnische Anpassung der IEC 61508. Raffinerien, Chemieanlagen und Kraftwerke wenden diese Norm an. Sie deckt das gesamte sicherheitsgerichtete System (SIS) vom Sensor über die Logiksteuerung bis zum Endelement ab.
IEC 62061 / ISO 13849 – Die Normen für Maschinensicherheit. Diese gelten für Werkzeugmaschinen, Verpackungsmaschinen und Roboterzellen. Sie definieren Leistungsstufen (PLa bis PLe), die grob den SIL-Stufen 1–3 entsprechen, jedoch eine andere Berechnungsmethode verwenden.
Wenn Sie im Öl- und Gassektor des Nahen Ostens tätig sind, ist IEC 61511 die maßgebliche Norm. Für Maschinenbauer, die nach Europa exportieren, gelten IEC 62061 und ISO 13849. Prüfen Sie, welche Norm in der Versicherungspolice Ihres Kunden genannt wird.
Eine Sicherheits-SPS ist nicht einfach eine normale SPS mit einem Sicherheitsaufkleber. Die Architektur unterscheidet sich auf Siliziumebene.
Zweikanalig mit Vergleich (1oo2) – Zwei separate Prozessoren führen dieselbe Sicherheitslogik aus. Ein Hardware-Komparator prüft kontinuierlich, ob beide Prozessoren bei jeder Ausgabeentscheidung übereinstimmen. Weicht die Entscheidung auch nur um ein einziges Bit ab, werden die Sicherheitsausgänge stromlos geschaltet. Dies ist die Standardarchitektur für SIL-3-Sicherheits-SPS. Allen-Bradley GuardLogix, Siemens S7-1500Fund Omron NX-SL verwenden alle eine Form der 1oo2-Architektur.
Dreifach modular redundant (2oo3) – Drei Prozessoren entscheiden über jeden Ausgang. Fällt ein Prozessor aus, löst das System nicht aus – die verbleibenden zwei Prozessoren setzen sich durch. Diese Architektur (TMR) ist in Honeywell Safety Manager- und Triconex-Systemen für SIL-3-Anwendungen weit verbreitet, wo Fehlauslösungen massive finanzielle Folgen haben. Eine Fehlauslösung des Notabschaltsystems einer Offshore-Plattform kann Produktionsausfälle von bis zu einer Million US-Dollar pro Tag verursachen.
Einkanalig mit Diagnose (1oo1D) – Ein Prozessor mit umfassender interner Diagnose. Geeignet für SIL-2-Anwendungen mit moderaten Anforderungen an die Risikominderung. Beckhoffs TwinSAFE und viele kompakte Sicherheitssteuerungen nutzen dieses Konzept.
Sicherheits-E/A-Module sehen äußerlich ähnlich aus wie Standard-E/A-Module. Intern unterscheiden sie sich jedoch grundlegend:
· Impulsprüfung: Das Modul sendet Impulse im Mikrosekundenbereich über den Ausgangskreis, um die intakte Feldverdrahtung und das Fehlen eines Kurzschlusses der Last zu überprüfen. Diese Impulse sind zu kurz, um eine Schützspule zu erregen, aber lang genug, damit die Moduldiagnose einen offenen oder Kurzschluss erkennen kann.
· Dunkeltestintervalle: An digitalen Eingängen schaltet das Modul kurz die interne Stromversorgung ab und prüft, ob das Eingangssignal tatsächlich auf Null abfällt. Dadurch wird ein permanent eingeschalteter Fehler erkannt, der sonst unentdeckt bliebe, da der Eingang immer als aktiv erkannt wird.
· Zweikanalige Eingänge: Ein einzelner Sicherheitseingang (Not-Aus, Lichtvorhang) ist mit zwei separaten Eingangskanälen verbunden. Das Modul überprüft, ob sich der Zustand beider Kanäle innerhalb einer definierten Zeitspanne – typischerweise 100–500 Millisekunden – ändert. Öffnet sich ein Kanal, bleibt der andere jedoch über die Zeitspanne hinaus geschlossen, meldet das Modul einen Fehler und erzwingt einen sicheren Zustand.
Diese Diagnoseprozesse laufen kontinuierlich, hunderte Male pro Sekunde. Sie sind unsichtbar. Die SPS meldet sie nur im Fehlerfall. Doch sie entscheiden darüber, ob ein System auf dem Papier sicher ist oder ob es auch nach drei Jahren Vibrationen, Hitze und Vernachlässigung noch sicher funktioniert.
Die Sicherheitslogik läuft in einem separaten Sicherheitsprogramm mit eigener Ausführungspartition. Das Standard-Steuerungsprogramm kann nicht in Sicherheits-Tags schreiben, sondern nur lesen. Die Sicherheitslogik verwendet einen eingeschränkten Befehlssatz: keine Schleifen, keine indirekte Adressierung, keine dynamische Speicherverwaltung. Jeder mögliche Ausführungspfad muss zur Kompilierzeit analysierbar sein.
Gängige Sicherheitsfunktionen, die Sie programmieren werden:
· Not-Aus-Überwachung: Zweikanal-Eingang, manuelle Rückstellung erforderlich, Anti-Tiedown-Logik zur Verhinderung der Deaktivierung des Not-Aus-Schalters.
· Lichtvorhang-Stummschaltung: Die Sicherheitsfunktion wird vorübergehend deaktiviert, um den Materialdurchtritt zu ermöglichen. Hierfür werden Stummschaltungssensoren verwendet, die so angeordnet sind, dass eine Person nicht dasselbe Sensormuster auslösen kann.
· Sicheres Drehmomentabschalten (STO): Die Ausgangsstufe des Motorantriebs wird stromlos geschaltet, ohne die Hauptstromversorgung zu unterbrechen, was einen schnellen Neustart nach einem Sicherheitsereignis ermöglicht.
· Sichere Drehzahlbegrenzung (SLS): Überwachung der Encoder-Rückmeldung und Abschaltung, wenn der Motor eine konfigurierbare Drehzahlgrenze überschreitet.
· Brennersteuerung: Spülzeitpunkt, Flammenüberwachung, Brennstoffventilprüfung und Notabschaltsequenz
Naher Osten: Der SAES-J-601-Standard von Saudi Aramco schreibt die Einhaltung der IEC 61511 für alle neuen Prozesssicherheitssysteme vor. SIL 3 ist der Standard für Brand- und Gasmelder, Notabschaltungen und hochintegrierte Druckschutzsysteme (HIPPS). Honeywell Safety Manager und Triconex dominieren den Markt, während Yokogawa ProSafe-RS in japanischen EPC-Projekten Marktanteile gewinnt. Wenn Sie Ausrüstung für ein Aramco-Projekt liefern, planen Sie vor der Inbetriebnahme eine zertifizierte Sicherheits-SPS und eine funktionale Sicherheitsbewertung (FSA) durch einen TÜV-zertifizierten Ingenieur ein.
Europa: Die CE-Kennzeichnung erfordert nun einen dokumentierten Sicherheitslebenszyklus für Maschinen. Die EU-Maschinenverordnung 2023/1230 (gültig ab 2027, aber viele Hersteller erfüllen sie bereits) verschärft die Anforderungen an autonome mobile Roboter und kollaborative Roboter – beide sind stark auf Sicherheits-SPSen zur Geschwindigkeits- und Abstandsüberwachung angewiesen. Siemens F-CPUs sind in Deutschland und Osteuropa weit verbreitet. Pilz PSS 4000 ist die erste Wahl für reine Sicherheitsanwendungen.
Amerika: OSHA PSM (Process Safety Management, 29 CFR 1910.119) treibt die Einführung in der Raffinerie- und Chemieindustrie voran. GuardLogix ist stark vertreten, da die Anlagen bereits über das Rockwell-Ökosystem verfügen. Der Wandel hin zu integrierter Sicherheit (Sicherheitslogik auf derselben Plattform wie die Standardsteuerung) hat sich beschleunigt, seit Rockwells Studio 5000 Logix Designer die Sicherheitsprogrammierung nahezu identisch mit der Standardprogrammierung gemacht hat.
SIL-Stufen werden nicht geschätzt, sondern mithilfe einer Schutzebenenanalyse (LOPA) berechnet. Die Methode:
1. Beginnen wir mit der Häufigkeit des auslösenden Ereignisses – Wie oft tritt die Gefahrensituation auf? Ein Reaktorüberdruck könnte einmal im Jahr auftreten. Ein Förderbandstau könnte einmal täglich auftreten.
2. Ermitteln Sie das tolerierbare Risiko – Wie hoch ist die maximal akzeptable Häufigkeit des schädlichen Ereignisses? Bei Todesfällen liegen die branchenüblichen Zielwerte zwischen 1 × 10⁻⁴ und 1 × 10⁻⁶ pro Jahr.
3. Berücksichtigen Sie nicht-SIS-Schutzebenen – Sicherheitsventile, Bedienerreaktion, physische Eindämmung. Jede unabhängige Schutzebene (IPL) reduziert das Risiko um einen Faktor.
4. Die verbleibende Lücke muss durch Ihre sicherheitsgerichtete Funktion abgedeckt werden – diese Lücke bestimmt das erforderliche SIL-Niveau.
Vereinfachtes Beispiel: Ein Überdruckereignis tritt etwa alle 10 Jahre auf. Ohne Schutzmaßnahmen wäre ein Bediener dabei tödlich. Ihr tolerierbares Risiko beträgt 1 × 10⁻⁴ pro Jahr (ein Todesfall in 10.000 Jahren). Ein Sicherheitsventil reduziert das Risiko um den Faktor 100 (ein IPL). Verbleibendes Risiko: 1 × 10⁻³ pro Jahr. Um 1 × 10⁻⁴ zu erreichen, ist ein weiterer Faktor von 10 erforderlich – das entspricht SIL 1. Ihre Sicherheits-SPS muss das Einlassventil innerhalb der Prozesssicherheitszeit schließen, sobald der Druck den Auslösepunkt überschreitet.
Ihre SIL-zertifizierte Sicherheits-SPS hat eine normierte Ausfallwahrscheinlichkeit (PFDavg). Diese Angabe basiert auf der Annahme, dass Sie das System regelmäßig – typischerweise alle 12 Monate – einer Funktionsprüfung unterziehen. Die Funktionsprüfung verifiziert die gesamte Sicherheitskette vom Sensor bis zum letzten Element und deckt dabei Fehler auf, die von der automatischen Diagnose nicht erkannt wurden.
Ein Funktionstest einer Sicherheits-SPS umfasst:
· Das Erzwingen von Sicherheitseingaben und die Überprüfung der korrekten Sicherheitsausgaben reagieren
· Prüfung der Reaktionszeit (muss innerhalb der Prozesssicherheitszeit liegen)
· Überprüfung der Funktionsfähigkeit der Diagnoseabdeckung (einen Fehler einbringen, bestätigen, dass die SPS ihn erkennt und meldet).
· Testen der Überwachungsschaltung (Hardware-Timer, der einen sicheren Zustand erzwingt, wenn der Sicherheitsprozessor hängt)
Führen Sie Funktionsprüfungen während geplanter Stillstände durch. Dokumentieren Sie jedes Prüfergebnis. Die Dokumentation dient als Nachweis, falls im Rahmen einer Vorfallsuntersuchung die Frage aufgeworfen wird, ob das Sicherheitssystem gemäß den Sicherheitsanforderungen gewartet wurde.
NIS2 in Europa schreibt vor, dass sicherheitsrelevante Systeme vor Cyberangriffen geschützt werden müssen. Eine an ein unsegmentiertes Anlagennetzwerk angeschlossene Sicherheits-SPS ist nicht sicher – nicht weil die SPS ausfällt, sondern weil ein kompromittierter Engineering-Arbeitsplatz ein manipuliertes Sicherheitsprogramm herunterladen kann, das die Schutzmechanismen deaktiviert.
Das mehrschichtige Verteidigungsmodell für sicherheitsgesteuerte SPS:
· Netzwerksegmentierung: Sicherheits-SPSen in einem dedizierten Sicherheitsnetzwerksegment, durch eine Firewall vom Anlagensteuerungsnetzwerk getrennt.
· Änderungsmanagement: Alle Änderungen am Sicherheitsprogramm erfordern eine dokumentierte Genehmigung, eine unabhängige Überprüfung und einen Funktionstest.
· Firmware-Integrität: Die Firmware der Sicherheits-SPS muss digital signiert und beim Systemstart verifiziert werden.
· Physische Sicherheit: Der Sicherheits-SPS-Schlüsselschalter hat seinen Sinn. Benutzen Sie ihn.
· Omron NX-SL3300 SIL 3 Sicherheits-CPU: 1.200–1.800 USD; 10–20 ms Sicherheits-Task-Zykluszeit; integriert mit der NX-Serie I/O-Plattform
· Allen-Bradley 1756-L82ES GuardLogix SIL 3: 12.000–18.000 USD; unterstützt integrierte Sicherheits- und Standardsteuerung in einem Controller
· Siemens S7-1500F (1516F-3 PN/DP) SIL 3: 6.000–9.000 USD; TIA Portal integriert; F-CPU mit PROFIsafe über PROFINET
· Honeywell Safety Manager SIL 3: Preis auf Anfrage (in der Regel ab 25.000 US-Dollar allein für den Logik-Solver); TMR-Architektur; bevorzugt von großen Öl- und Gasunternehmen.
· Hinweis: Alle Preise verstehen sich ohne Sicherheits-E/A-Module, die die Hardwarekosten üblicherweise um 30–50 % erhöhen. Lieferzeiten: 4–12 Wochen, abhängig von der Plattform. Ausgelaufene Sicherheitsrelais und ältere Sicherheits-SPS (Pilz PNOZmulti Classic, ältere GuardLogix-Modelle) sind weiterhin unter tztechio.com/industrial-automation erhältlich.
Benötige ich eine separate Sicherheits-SPS oder kann ich meine Standard-SPS verwenden?
Wenn Ihre Standard-SPS sicherheitszertifiziert ist (wie GuardLogix oder S7-1500F), läuft die Sicherheitslogik in einer separaten Partition auf derselben Hardware – funktional getrennt, aber physisch integriert. Handelt es sich bei Ihrer Standard-SPS um eine Standardsteuerung ohne Sicherheitszertifizierung, benötigen Sie eine separate Sicherheits-SPS. Führen Sie Sicherheitslogik niemals auf einer nicht zertifizierten Steuerung aus.
Worin besteht der Unterschied zwischen SIL und PL?
SIL (Safety Integrity Level) stammt aus IEC 61508/61511 und gilt für die Prozessindustrie und komplexe Sicherheitssysteme. PL (Performance Level, a–e) stammt aus ISO 13849 und gilt für Maschinen. Es gibt Überschneidungen: PL d entspricht in etwa SIL 2, PL e entspricht in etwa SIL 3. Für die Zertifizierung einer Maschine für den europäischen Markt ist PL erforderlich. Für die Entwicklung eines Prozesssicherheitssystems ist SIL erforderlich. Einige Sicherheits-SPSen sind für beide Standards zertifiziert.
Sind Omron-Sicherheits-SPS mit Nicht-Omron-Standard-SPS kompatibel?
Ja. Die Omron NX-SL Sicherheits-CPU kommuniziert Sicherheitsdaten über EtherCAT mittels FSoE (Fail-Safe over EtherCAT). Jeder EtherCAT-Master, der FSoE unterstützt, kann Sicherheitsdaten mit der NX-SL austauschen. Das bedeutet, dass Sie eine Omron Sicherheits-CPU mit einer Beckhoff Standard-SPS verwenden können oder umgekehrt, sofern beide das FSoE-Protokoll unterstützen.
Wie oft müssen Sicherheits-SPS ausgetauscht werden?
Sicherheits-SPSen haben eine dokumentierte Nutzungsdauer in ihrem Sicherheitshandbuch, typischerweise 20 Jahre ab Herstellungsdatum. Danach sind die Ausfallwahrscheinlichkeiten in der SIL-Berechnung nicht mehr garantiert. Viele Anlagen betreiben Sicherheits-SPSen länger als 20 Jahre. Tritt jedoch ein Vorfall ein, wird bei der Untersuchung festgestellt, dass die Anlage ihre zertifizierte Nutzungsdauer überschritten hat. Planen Sie einen Austausch nach 15 Jahren ein, um genügend Zeit für die Migration vor dem Stichtag zu haben.
Ist für Wasseraufbereitungsanlagen im Nahen Osten funktionale Sicherheit erforderlich?
Noch nicht flächendeckend, aber es etabliert sich zunehmend als Standard. Große Entsalzungs- und Abwasseraufbereitungsprojekte in Saudi-Arabien, den Vereinigten Arabischen Emiraten und Katar schreiben mittlerweile SIL 2 für die Chlordosierung und SIL 2–3 für den Schutz der Hochdruck-RO-Membran vor. Sofern für das Projekt eine Spezifikation von Aramco oder ADNOC vorliegt, ist die Einhaltung der IEC 61511 branchenunabhängig verpflichtend.
--------------------------------------------------------------------------------------------------------------------
TZ Tech ist ein professioneller Lieferant für industrielle Automatisierungs- und Elektrotechnikkomponenten sowie für Mess- und Telekommunikationstechnik. Wir vertreiben hauptsächlich Lagerware von Distributoren zu wettbewerbsfähigen Preisen und mit kurzen Lieferzeiten. Selbst nicht mehr produzierte Teile können wir dank unseres großen Lagerbestands unter Umständen liefern.
Wir verstehen Ihre Bedenken und garantieren Ihnen daher höchste Qualität. Wir prüfen die von Ihnen benötigten Komponenten sorgfältig, sodass Sie sich keine Sorgen um die Qualität der gelieferten Ware machen müssen. Bei Spezialteilen, die nicht mehr hergestellt werden, informieren wir Sie ehrlich über deren Zustand. Auf alle Neuteile gewähren wir 1 Jahr Garantie.
Falls Sie Ersatzteile benötigen, senden Sie uns bitte eine Anfrage. Unser Team antwortet Ihnen innerhalb von 6 Stunden (außer am Wochenende).
Bitte lesen Sie weiter, bleiben Sie auf dem Laufenden, abonnieren Sie uns und wir heißen Sie herzlich willkommen, uns Ihre Meinung mitzuteilen.
Darüber hinaus möchten wir mit Ihrer Erlaubnis Cookies platzieren, um Ihren Besuch und die Interaktion mit slOC persönlicher zu gestalten. Hierzu verwenden wir Analyse- und Werbecookies. Mit diesen Cookies können wir und Dritte Ihr Internetverhalten innerhalb und außerhalb von super-instrument.com verfolgen und erfassen. Dabei passen wir und Dritte super-instrument.com und Werbung an Ihre Interessen an. Indem Sie auf „Akzeptieren“ klicken, stimmen Sie dem zu. Wenn Sie dies ablehnen, verwenden wir nur die notwendigen Cookies und Sie erhalten leider keine personalisierten Inhalte. Bitte besuchen Sie unsere Cookie-Richtlinie für weitere Informationen oder um Ihre Einwilligung in Zukunft zu ändern.
Accept and continue Decline cookies
