Safety Integrity Level (SIL) in der verfahrenstechnischen Anlagenplanung

Projektkontext: Warum ein SIL-Nachweis notwendig wurde

Im Rahmen eines Neubaus bzw. Umbaus einer verfahrenstechnischen Anlage sollte die vorhandene Sicherheitsdokumentation aktualisiert und erweitert werden. Dabei war klar:
Neue sicherheitsgerichtete Funktionen (Safety Instrumented Functions, SIF) mussten integriert und bewertet werden – insbesondere durch die geplante Integration neuer sicherheitsrelevanter Komponenten im Prozess.

In der Bestandsdokumentation lagen keine vollständigen SIL-Nachweise vor. Änderungen im Prozess führten zudem zu einer veränderten Risikobetrachtung, sodass eine neue SIL-Bewertung der betroffenen Sicherheitsfunktionen erforderlich war.

Vorgehen & eingesetzte Methoden: SIL-Nachweis im Projektalltag

Der Projektstart erfolgte mit einem gemeinsamen Kick-off-Meeting aller relevanten Beteiligten. Anschließend wurde die bestehende Instrumentierung systematisch auf ihre Eignung zur Erfüllung der notwendigen Sicherheitsintegrität geprüft.

Zur Umsetzung des Projekts wurde ein standardisiertes Vorgehen gewählt:

  • Durchführung der SIL-Nachweisführung gemäß IEC 61508 / IEC 61511
  • Prüfung und Erfassung aller sicherheitsgerichteten Systeme (SIFs)
  • Dokumentation der Sicherheitsfunktionen in internen Tools
  • Validierung durch ein internes Vier-Augen-Prinzip

Infokasten: Was ist ein SIF?

SIF (Safety Instrumented Function) ist eine sicherheitsgerichtete Funktion, die gezielt kritische Prozesszustände erkennt und eine Gegenmaßnahme einleitet – z. B. durch das Schließen eines Ventils bei Überdruck.

Eine SIF besteht immer aus:

  • Sensor → erkennt das kritische Ereignis
  • Logiksystem → verarbeitet das Signal
  • Aktor → leitet die Schutzmaßnahme ein

Jede SIF muss gemäß ihrer Kritikalität einem SIL-Level zugeordnet und entsprechend nachgewiesen werden.

Besonderheiten im Projektablauf ergaben sich durch:

  • Begrenzten Zugriff auf sicherheitsrelevante Daten, insbesondere aus der Lieferkette
  • Schnittstellenmanagement mit mehreren Lieferanten
  • Zeitdruck durch enge regulatorische Vorgaben

Ergebnisse & Erkenntnisse: Was durch die SIL-Bewertung erreicht wurde

Trotz komplexer Ausgangslage konnte eine vollständige SIL-Dokumentation für alle sicherheitsrelevanten Funktionen erstellt werden.

Im Einzelnen wurde erreicht:

  • Nachweisführung der funktionalen Integrität aller sicherheitsgerichteten Systeme
  • Bereitstellung prüffähiger Unterlagen für Kunden und Behörden
  • Standardisierung einzelner SIFs über mehrere Anlagenteile hinweg – was künftige Projekte beschleunigt und vereinfacht

Herausforderungen im Projekt:

  • Fehlende Herstellerdaten wurden durch gezielte Rücksprache mit den Lieferanten und nachträgliche Bereitstellung von Datenblättern gelöst
  • Der enge Zeitrahmen wurde durch interdisziplinäre Teamarbeit und strukturierte Parallelbearbeitung kompensiert

Grundlagen: Was bedeutet Safety Integrity Level (SIL)?

Der Safety Integrity Level (SIL) ist ein international standardisierter Begriff aus der funktionalen Sicherheit. Er beschreibt die Zuverlässigkeit einer Sicherheitsfunktion, also die Wahrscheinlichkeit, mit der diese im Anforderungsfall korrekt funktioniert.

Die Sicherheitsfunktion – auch SIF (Safety Instrumented Function) genannt – besteht aus Sensorik, Logik und Aktorik und wird immer als Gesamtsystem bewertet, nicht auf Einzelkomponentenebene.

Die SIL-Klassifizierung erfolgt in vier Stufen:

  • SIL 1: geringes Risiko, moderate Anforderungen
  • SIL 2–3: mittleres bis hohes Risiko, strenge Anforderungen an Technik und Dokumentation
  • SIL 4: sehr hohe Anforderungen, z. B. in nuklearen Anwendungen (in der Chemie selten)

Ein SIL-Nachweis umfasst u. a.:

  • Berechnung der Ausfallwahrscheinlichkeiten (PFD, PFH)
  • Analyse systematischer Fehler
  • Architekturvorgaben und Redundanzbetrachtung
  • Festlegung von Prüfintervallen und Teststrategien
  • Bewertung der Herstellerdaten und Zertifizierungen

Der SIL-Nachweis ist Teil des vollständigen Sicherheitslebenszyklus – von der Risikoidentifikation bis zum Betrieb und wiederkehrenden Proof Tests.

Wichtig: SIL bewertet rein technische Zuverlässigkeit. Organisatorische Schwächen, menschliches Fehlverhalten oder mangelhafte Instandhaltung müssen separat betrachtet und abgesichert werden.

Bewertung & Empfehlungen: Worauf es bei SIL-Projekten ankommt

Was sich bewährt hat:

  • Der gezielte Einsatz modularer SIF-Bausteine zur Effizienzsteigerung
  • Frühzeitiger Austausch mit Gutachtern und Behörden
  • Regelmäßige SIL-Schulungen für Projekt- und Instandhaltungspersonal
  • Eine risikoorientierte Umsetzung der Maßnahmen – angepasst an das tatsächliche Gefährdungspotenzial

Empfehlung für vergleichbare Projekte:

  • Frühzeitiger Projektstart in Verbindung mit Risikoanalyse und Ex-Schutzbewertung
  • Vollständige Erfassung aller potenziell sicherheitsrelevanten Funktionen (SIFs) im Vorfeld
  • Konsequente Anwendung der Normanforderungen aus IEC 61508 / 61511

Sie benötigen Unterstützung bei der SIL-Bewertung oder Planung sicherheitsgerichteter Funktionen?

Unser interdisziplinäres Team unterstützt Sie von der Risikoanalyse über den SIL-Nachweis bis zur behördensicheren Dokumentation.

FAQ zur Safety Integrity Level (SIL)-Betrachtung in der Prozessindustrie

Eine SIL-Betrachtung ist immer dann erforderlich, wenn eine Risikoanalyse ergibt, dass technische Schutzfunktionen notwendig sind, um Menschen, Umwelt oder Anlagen vor unzulässigen Gefährdungen zu schützen. Typische Auslöser sind z. B. potenzielle Überdrücke, Überfüllungen, Leckagen oder explosionsfähige Atmosphären.
Auch bei Anlagenumbauten, Erweiterungen oder Modernisierungen kann eine erneute SIL-Bewertung notwendig werden – etwa wenn sich Prozesse, eingesetzte Stoffe oder Betriebsbedingungen ändern.

Die vier SIL-Stufen unterscheiden sich im Wesentlichen durch die geforderte Zuverlässigkeit einer sicherheitsgerichteten Funktion:

SIL-Stufe Ziel-Ausfallwahrscheinlichkeit (PFDavg)* Anwendungsbereich
SIL 1 1 von 10 bis 1 von 100 niedrige Risiken
SIL 2 1 von 100 bis 1 von 1.000 mittlere Risiken
SIL 3 1 von 1.000 bis 1 von 10.000 hohe Risiken
SIL 4 1 von 10.000 bis 1 von 100.000 sehr hohe Risiken, z. B. Kerntechnik

*PFDavg = Probability of Failure on Demand (mittlere Ausfallwahrscheinlichkeit bei Bedarf)

Je höher die SIL-Stufe, desto strenger die Anforderungen an Architektur, Redundanz, Prüfintervalle und Nachweisführung.

Ein SIL-Nachweis umfasst nicht nur die Angabe der geforderten SIL-Stufe, sondern dokumentiert:

  • Die Risikobewertung und Festlegung der erforderlichen SIL-Stufe
  • Die vollständige Beschreibung der Sicherheitsfunktion (Sensorik, Logik, Aktorik)
  • Berechnungen der Ausfallwahrscheinlichkeit (PFD / PFH)
  • Analyse systematischer und zufälliger Fehler
  • Architekturvorgaben (Redundanz, Diagnosen, Teststrategien)
  • Nachweise zur Konformität der eingesetzten Komponenten (z. B. gemäß IEC 61508)
  • Festgelegte Prüfintervalle (Proof Tests)
  • Nachvollziehbare Bewertung in einem Sicherheitslebenszyklusmodell

Nur eine vollständige und prüffähige Dokumentation erfüllt die Anforderungen der Normen IEC 61508 und IEC 61511 – und ist auch Grundlage für behördliche Abnahmen.

Grundsätzlich ja – allerdings müssen die Komponenten:

  • nachweislich für den Einsatz in SIL-Anwendungen geeignet sein (z. B. durch Herstellerangaben oder Zertifikate gemäß IEC 61508)
  • in der geforderten Architektur eingebunden werden (Redundanz, Diagnose, Safe State etc.)
  • entsprechend geprüft und gewartet werden können (z. B. durch regelmäßige Proof Tests)

In der Praxis wird häufig geprüft, ob bestehende Sensoren, Aktoren oder Steuerungen durch geeignete Dokumentation und Analyse in eine neue SIL-Betrachtung integriert werden können. Dies kann Aufwand sparen, erfordert aber sorgfältige Bewertung.

Eine SIF (Safety Instrumented Function) ist eine konkrete sicherheitsgerichtete Funktion, z. B. das Schließen eines Notabsperrventils bei zu hohem Druck. Eine SIF besteht immer aus:

  • Sensorik (z. B. Druckmessumformer)
  • Logikverarbeitung (z. B. Sicherheits-SPS oder Relais)
  • Aktorik (z. B. pneumatisches Absperrventil)

Der SIL-Level gibt dabei an, mit welcher Wahrscheinlichkeit diese Funktion im Ernstfall zuverlässig funktioniert. Jede SIF erhält ihre eigene SIL-Bewertung auf Basis der Gefährdung, die sie vermeiden soll. Häufig werden in einer Anlage mehrere SIFs mit unterschiedlichen SIL-Stufen implementiert.

Der SIL-Nachweis ist heute in vielen Branchen ein fester Bestandteil der Genehmigungsunterlagen. Behörden, Versicherungen oder Sachverständige (z. B. ZÜS) verlangen einen prüffähigen Nachweis, dass alle sicherheitsrelevanten Funktionen technisch korrekt umgesetzt wurden – insbesondere im Bereich Explosionsschutz, Umwelttechnik oder bei erhöhtem Gefährdungspotenzial.

Ein vollständiger und normgerechter SIL-Nachweis vereinfacht die Abstimmung mit Behörden und externen Prüfern erheblich, reduziert Rückfragen und senkt das Risiko späterer Nachforderungen oder Betriebsauflagen.