Das Dilemma, dem sich jeder Werksleiter gegenübersieht

SIL-Klassifizierungen für SPS-Sicherheitssysteme – Ihre Suche führt Sie hierher, weil jemand in Ihrem Unternehmen kürzlich einen Compliance-Audit-Befund, eine Projektspezifikation mit SIL 3-Anforderung oder ein Angebot für eine Sicherheits-SPS erhalten hat, das 45 % über dem Budget für eine Standardsteuerung liegt. Niemand möchte die Sicherheit vernachlässigen und einen Sicherheitsvorfall melden müssen. Genauso wenig möchte jemand zu viel ausgeben und bei einer Budgetprüfung kritisiert werden. Dieser Artikel erklärt die Funktionsweise von Sicherheits-SPS, welche Produkte mit realen Teilenummern existieren und wie Sie die richtige Wahl treffen, ohne unnötig Geld auszugeben.

---

Die Grundlagen

SIL (Safety Integrity Level) misst die Risikominderung gemäß IEC 61508. Es gibt vier Stufen. SIL 1 (Risikominderungsfaktor 10–100) deckt geringfügige Verletzungsrisiken ab. SIL 2 (RRF 100–1.000) behandelt das Risiko schwerwiegender Verletzungen – dies ist die gängigste Einstufung im allgemeinen Maschinenbau. SIL 3 (RRF 1.000–10.000) kommt zum Einsatz, wenn ein Ausfall mehrere Todesopfer fordern könnte: z. B. bei elektrostatischer Entladung (ESD) in der Öl- und Gasindustrie, beim Schutz chemischer Reaktoren und bei der Sicherheit von Hochgeschwindigkeitspressen. SIL 4 (RRF 10.000–100.000) findet Anwendung in der Kerntechnik, der Luftfahrt und im Schienenverkehr – keine Standard-SPS für industrielle Sicherheit beansprucht diese Stufe allein.

Verwechseln Sie SIL nicht mit PL (Performance Level) gemäß ISO 13849. Europäische Maschinenvorschriften beziehen sich auf PL (a–e); die Prozessindustrie verwendet SIL. Grobe Zuordnung: SIL 2 ≈ PLd, SIL 3 ≈ PLe. Eine nach SIL 3 zertifizierte Sicherheits-SPS erfüllt typischerweise die PLe-Anforderungen, jedoch unterscheiden sich die Dokumentationswege und Bewertungsmethoden.

Eine Sicherheits-SPS unterscheidet sich in drei Punkten von einer Standard-SPS. Erstens arbeiten die Zweikanalprozessoren synchron mit gegenseitiger Überprüfung – beide müssen innerhalb eines bestimmten Toleranzbereichs übereinstimmende Ausgaben liefern, andernfalls löst das System aus. Zweitens führt jeder bekannte Fehlermodus zu einem sicheren (stromlosen) Zustand – dies ist zertifiziert, nicht nur angenommen. Drittens verfügt der Speicher des Sicherheitsprogramms über einen Prüfsummenschutz; fehlerhafter Code wird vor der Ausführung erkannt. Eine Standard-SPS mit Watchdog-Logik kann die zertifizierte Ausfallwahrscheinlichkeit einer SIL-zertifizierten Sicherheits-SPS nicht auf Abruf gewährleisten. Wenn Ihre Anwendung eine SIL-Zertifizierung erfordert, ist eine Standard-SPS nicht geeignet.

---

Die reale Welt

Fünf Plattformen dominieren den Markt für sicherheitsgesteuerte SPS-Anlagen:

Siemens S7-1500F: Die F-CPU-Varianten führen Standard- und Sicherheitsprogramme im partitionierten Speicher aus. 6ES7516-3FN02-0AB0 (CPU 1516F-3 PN/DP, SIL 3, 2 MB Programmspeicher) und 6ES7517-3FP00-0AB0 (CPU 1517F-3 PN/DP, höhere Leistung) in Kombination mit ausfallsicheren E/A-Schnittstellen des ET 200SP über PROFIsafe. Siemens ist Marktführer bei Sicherheitsinstallationen in Europa und dem Nahen Osten.

Allen-Bradley GuardLogix 5580: Die 1756-L83ES (SIL 3 / PLe, 10 MB Benutzerspeicher, 1 GB Sicherheitsspeicher) kommuniziert Sicherheitsinformationen über EtherNet/IP via CIP Safety. GuardLogix ist führend in der nordamerikanischen Schwerindustrie – Raffinerien, Automobilindustrie, Zellstoff- und Papierindustrie. Studio 5000 verarbeitet Standard- und Sicherheitslogik in einem Projekt.

Schneider Electric M580 Sicherheit: Der BMEP584040S (M580 Sicherheits-CPU, SIL 3) erweitert die Standard-M580-Backplane um einen Sicherheits-Coprozessor. Schneider Electric zielt mit EcoStruxure Control Expert auf hybride Prozessindustrien ab – Chemie, Pharmazie, Energieerzeugung.

Pilz PSS 4000: Pilz fertigt ausschließlich Sicherheitssteuerungen. Die PSS 4000 (SIL 3 / PLe) nutzt das SafetyNET p-Protokoll und ist führend in den Bereichen komplexe Pressensicherheit, Schutz von Roboterzellen und Brennermanagement, wo umfassendes Sicherheits-Know-how entscheidend ist.

ABB AC500-S: Ein Sicherheits-Co-Prozessor auf der AC500-Plattform, SIL 3-zertifiziert, mit PROFIsafe über PROFINET. ABB positioniert ihn für Anwendungen, die Standard-AC500 und Sicherheitsfunktionen kombinieren – Wasseraufbereitung, Tunnelbelüftung, Kransteuerung.

Reale Installationen verdeutlichen die Bandbreite. Eine Offshore-Plattform im Persischen Golf nutzt Siemens S7-1500F CPUs für die Bohrlochkopf-ESD-Überwachung (Sicherheitsstufe 3). Ein Fehlalarm verursacht Kosten zwischen 500.000 und 2 Millionen US-Dollar, daher ist neben der Sicherheit auch die Verfügbarkeit entscheidend. Ein Automobil-Presswerk in Michigan verwendet Allen-Bradley GuardLogix 1756-L83ES zur Pressensicherung mit Lichtvorhängen und Sicherheitsmatten. Das System analysiert Strahlunterbrechungen und gibt innerhalb von 15 ms Stoppbefehle aus, um die OSHA-Norm 1910.217 zu erfüllen. Ein deutsches Chemiewerk setzt Schneider M580 Safety zum Überdruckschutz mit drei redundanten Messumformern in einer 2oo3-Abstimmungsarchitektur ein. Die Sicherheitsinformationsanlage (SIF) muss Absperrventile innerhalb einer Prozesssicherheitszeit von 2 Sekunden schließen.

---

DEep Dive

Drei Sicherheitsprotokolle übertragen Sicherheitsdaten in Anlagennetzwerken. PROFIsafe nutzt PROFINET als Black-Channel-Protokoll – ein nicht vertrauenswürdiges Netzwerk mit einer vertrauenswürdigen Sicherheitsschicht, die Sequenznummerierung, CRC-Prüfsumme und Adressverifizierung umfasst. Es ist nativ in Siemens und ABB integriert. CIP Safety erweitert EtherNet/IP mit demselben Black-Channel-Ansatz und ist routerfähig über Subnetze hinweg. Es ist nativ in Allen-Bradley GuardLogix integriert. FSoE (FailSafe over EtherCAT) verwendet EtherCAT-Frames direkt und kommt hauptsächlich in Beckhoff TwinSAFE und einigen Pilz-Konfigurationen zum Einsatz. Die Protokollwahl richtet sich nach der Plattformwahl; Gateways für gemischte Umgebungen sind zwar verfügbar, erhöhen aber die Latenz.

Redundanzarchitekturen wägen Sicherheit gegen Verfügbarkeit ab. 1oo1 (einkanalig) ist am kostengünstigsten, führt aber bei jedem Fehler zu Produktionsunterbrechungen – akzeptabel für SIL 2 mit tolerierbaren Fehlauslösungen. 1oo2 (zwei Kanäle, jeder kann auslösen) bietet höhere Sicherheit, löst aber ebenfalls bei jedem einzelnen Fehler aus. 2oo3 (drei Kanäle, zwei müssen übereinstimmen) gewährleistet die Sicherheit bei einem einzelnen Ausfall und vermeidet gleichzeitig Fehlauslösungen – Standard in der Öl- und Gasindustrie, wo Verfügbarkeit wirtschaftlich wichtig ist. Ein TÜV-zertifiziertes 2oo3-System wie die Siemens S7-1500FH übernimmt die Abstimmungssynchronisation intern, jedoch ist Hardware-Diversität erforderlich, um Ausfälle durch gemeinsame Ursachen zu vermeiden.

Der Lebenszyklus der funktionalen Sicherheit nach IEC 61511 regelt das gesamte System, nicht nur die SPS. HAZOP/LOPA bestimmt den angestrebten SIL-Wert. Ein SRS dokumentiert Auslösepunkte, Reaktionszeiten und das Rücksetzverhalten. Die SIL-Verifizierung berechnet den PFDavg für den gesamten Regelkreis – die Sicherheits-SPS trägt typischerweise weniger als 15 % zur Gesamtausfallwahrscheinlichkeit bei; Sensoren und Endelemente dominieren. Funktionsprüfungen in definierten Intervallen (typischerweise alle 12 Monate für SIL-3-Prozessfunktionen) beeinflussen den PFDavg direkt. Cybersicherheit gemäß IEC 62443 ist mittlerweile Bestandteil der funktionalen Sicherheit: Firmware-Signatur, rollenbasierte Zugriffskontrolle und protokollierte Änderungen am Sicherheitsprogramm sind Standard bei modernen Sicherheits-SPS. Eine kompromittierte Sicherheits-SPS hat keine sinnvolle SIL-Einstufung.

---

Preisgestaltung und Verfügbarkeit

Sicherheits-SPSen sind 30–50 % teurer als Standard-SPSen. Eine 6ES7516-3FN02-0AB0 (S7-1500F) kostet 4.800–5.600 US-Dollar, die Standard-SPS 1516-3 hingegen 3.200–3.800 US-Dollar. Eine GuardLogix 1756-L83ES kostet 7.200–8.500 US-Dollar, die Standard-SPS 1756-L83E 4.800–5.600 US-Dollar. Sicherheits-E/A-Schnittstellen verursachen einen Aufpreis von 30–40 % gegenüber Standard-E/A-Schnittstellen.

Die Lieferzeiten Mitte 2026 bleiben weiterhin lang: 16–20 Wochen für Siemens S7-1500F und Allen-Bradley GuardLogix CPUs. Bestellen Sie Sicherheits-SPSen bereits in der Spezifikationsphase – eine Bestellung bis zur Inbetriebnahme garantiert die Einhaltung des Liefertermins. tztechio.com hält im Nahen Osten einen regionalen Sicherheitsbestand für gängige Siemens- und Allen-Bradley-Sicherheitsteile vor. Die aktuelle Verfügbarkeit finden Sie unter tztechio.com/plc, tztechio.com/siemens und tztechio.com/allen-bradley.

Häufig gestellte Fragen

F: Benötige ich wirklich eine Sicherheits-SPS oder kann ich ein Sicherheitsrelais verwenden?

Für ein oder zwei einfache Sicherheitsfunktionen – beispielsweise einen Not-Aus oder einen Lichtvorhang – genügt ein konfigurierbares Sicherheitsrelais wie das Pilz PNOZ X oder das Siemens 3SK1 zu weniger als der Hälfte der Kosten. Eine Sicherheits-SPS wird erforderlich bei mehreren Sicherheitszonen, sich kreuzenden Sicherheitssignalen zwischen Maschinen, flexibler Sicherheitslogik, die sich an die Produktionsmodi anpasst, oder Diagnosefunktionen, die das auslösende Gerät identifizieren. Bei der Verdrahtung von mehr als drei Sicherheitsrelais mit verschachtelten Reihenkontakten amortisiert sich die Sicherheits-SPS durch den geringeren Verdrahtungsaufwand und die einfachere Modifizierung.

F: SIL 2 vs. SIL 3 – worin besteht der praktische Unterschied?

SIL 3 ist etwa 10-mal weniger anfällig für Ausfälle als SIL 2. Dies bedeutet auch Auswirkungen auf die Hardware: SIL 2 verwendet möglicherweise Einkanal-Eingänge mit Diagnosefunktionen; SIL 3 erfordert Zweikanal-Eingänge mit Fehlerprüfung und verdoppelt in etwa die Anzahl der Ein-/Ausgänge. Die meisten Maschinen (Pressen, Roboter, Verpackungsanlagen) erfüllen die regulatorischen Anforderungen von SIL 2/PLd. Spezifizieren Sie SIL 3, wenn Ihre Risikoanalyse dies erfordert, nicht weil es sicherer klingt.

F: Kann ich meine bestehende Standard-SPS um Sicherheitsfunktionen erweitern?

Nein. Eine Standard-SPS verfügt nicht über die Dual-Prozessor-Architektur, ausfallsichere Ausgangstreiber und zertifizierte Firmware. Sie können eine separate Sicherheits-SPS neben Ihrer Standardsteuerung integrieren – viele Anlagenbetreiber machen genau das. Das erhöht zwar die Kommunikationskomplexität, funktioniert aber.

F: Benötigt eine SIL 3-Sicherheits-SPS SIL 3-Sensoren und -Aktoren?

Das gesamte SIF – Sensor, Logikbaustein, Endelement – ​​muss gemeinsam die angestrebte SIL-Anforderung erfüllen. Eine SPS mit SIL 3, aber SIL 2-Sensoren und -Ventilen erreicht möglicherweise nicht die Gesamtanforderung von SIL 3. Dies wird durch die PFDavg-Berechnung ermittelt. SIL 2-Sensoren in einer 1oo2- oder 2oo3-Abstimmungsanordnung können die SIL 3-Anforderungen je nach Prüfintervallen und PFD-Nummern der Komponenten erfüllen.

F: Wie oft sollte ich eine Sicherheits-SPS einem Funktionstest unterziehen?

Typische Intervalle: 12 Monate für SIL-3-Prozesssicherheit, 12–24 Monate für Maschinen. Der Test muss den gesamten Regelkreis – von den Sensoren bis zu den Endkomponenten – abdecken. Die interne Diagnose der Sicherheits-SPS deckt über 99 % der Fehler ab, Feldgeräte erfordern jedoch eine aktive Prüfung.