An harmonisierten Normen zur Maschinenrichtlinie fehlt es wahrlich nicht: Über 930 Einträge listet die „Machinery Directive 98/37/EC“ der Europäischen Kommission. Doch zwei Standards fehlen: Die IEC 61511 und deren Grundnorm 61508. Und genau diese beiden Normen haben Prozessbetreiber in den vergangenen Jahren viel Kopfschmerzen und Schulungsaufwand bereitet. Der Grund dafür liegt über 30 Jahre zurück.

Im Jahr 1976 kam es im italienischen Seveso zu einem verheerenden Unglück: Aus einer Fabrik des italienischen Chemiekonzerns Icmesa entwich hochgiftiges Dioxin. Die Anlage verfügte weder über automatische Kühlsysteme noch über Warneinrichtungen oder Alarmpläne. Als Folge dieses Unfalls wurde die Verschärfung der Gesetze und Verordnungen zum Schutz von Menschen, Lebewesen und Umwelt beschlossen. Dazu gehören die IEC 61508 „Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer programmierbarer Systeme“ und IEC 61511 “Funktionale Sicherheit“, „Sicherheitstechnische Systeme in der Prozessindustrie“ (PLT-Schutzeinrichtungen).
In diesem Zusammenhang wurde der Begriff „SIL“ – eine Abkürzung für „Safety Integrity Level“ – geprägt. SIL steht als ein Maß für die sicherheitsbezogene Leistungsfähigkeit oder Zuverlässigkeit einer elektronischen oder elektrischen Steuerungseinrichtung. Die Normen markieren einen Wandel bei der sicherheitsrelevanten Auslegung von Anlagenkomponenten: Weg von der bislang geltenden Deterministik (Ereignisse laufen nach feststehenden Gesetzen ab und durch diese vollständig bestimmt) und hin zur Probabilistik, einer Wahrscheinlichkeitsbetrachtung, die ohne die Kenntnis streng kausaler Zusammenhänge auskommt.

Es gibt kein SIL-Sorglos-Paket!

In den vergangenen Jahren haben Hersteller von automatisierungstechnischen Komponenten die Diskussion in der Prozessindustrie getrieben. In einer von der Redaktion unter 101 Pumpenherstellern durchgeführten Umfrage gaben Mitte des Jahres 50% der Hersteller an, dass ihre Kunden in Spezifikationen heute bereits teilweise die Einhaltung von IEC 61511 bzw. 61508 fordern. Ähnlich wie beim Thema Atex wünschen sich Prozessbetreiber, dass die Lieferanten von Anlagenkomponenten ihren Produkten ein „SIL-Zertifikat“ beilegen, das sie formal weiterer Pflichten enthebt. Doch so einfach ist das nicht. Denn zunächst muss der Betreiber anhand einer Gefährdungs- und Risikoanalyse die Gefahren ermitteln, die von einer Anlage ausgehen. Daraus ergibt sich, ob funktionale Sicherheit erforderlich ist. Falls ja, wird ein ein Safety Integrity Level (SIL) zwischen 1 und 4 festgelegt – ähnlich wie bei der Zoneneinteilung im Explosionsschutz.

Wenn dieses Risiko mit einer PLT-Schutzeinrichtung beherrscht werden soll, muss für diese eine der SIL-Einstufung gemäße Ausfallwahrscheinlichkeit im Anforderungsfall (PFD) nachgewiesen werden. Da Schutzeinrichtungen in der Regel aus mehreren Geräten, z.B. einem Sensor, einer Steuerung und einem Aktor (z.B. Stellventil) aufgebaut werden, reicht es nicht, für die einzelnen Komponenten entsprechende SIL-Zertifikate zu dokumentieren, sondern der SIL-Nachweis muss für den kompletten Steuerkreis (Loop) geführt werden.
Dieser Nachweis ist kompliziert und mit einem hohen mathematischen Aufwand verbunden. Und: Da die Normen keine detaillierten Vorgaben für die Berechnung der Ausfallraten machen, sind oft auch die Ergebnisse nur mit Vorsicht zu interpretieren.
Wie bereits oben beschrieben, gelten die Normen IEC 61508 und 61511 für Schutzeinrichtungen der Prozessleittechnik. Für den Maschinenbau wurde mit der ISO 13849 eine Norm veröffentlicht, welche die mechanischen und hydraulischen Komponenten berücksichtigt und die den mathematischen Aufwand durch vorausberechnete Strukturen in Grenzen halten will. Der Verband des deutschen Maschinen- und Anlagenbaus VDMA hat sich mit seinem Positionspapier „Funktionale Sicherheit“ vom 30. Mai 2007 für die Anwendung der Norm ISO 13849 ausgesprochen. Denn diese ist – im Gegensatz zu IEC 61508 und 61511 – auch im EU-Amtsblatt zur Maschinenrichtlinie gelistet.
Weiter kompliziert wird die Situation durch die Konkurrenz der Normen 13849-1 und der Ende 2005 abgeschlossenen EN 62061 „Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme“, die als ein sektorspezifischer Ableger der IEC 61508 gilt. Maschinenbau-Experten halten den den rechnerischen Nachweis funktionaler Sicherheit nach ISO 13849 allerdings für wesentlich einfacher, aber inhaltlich gleichwertig, weshalb sich der VDMA in seinem Positionspapier für diesen Weg ausspricht. Zu klären bleibt allerdings die Zuordnung zwischen den in ISO 13849 beschriebenen Performance Level und SIL.

High Noon: Übergangsfrist endet im Oktober 2009

Zusätzliche Brisanz erhält das Thema durch den Ablauf der Übergangsfrist für die bisher geltende Maschinen-Sicherheitsnorm EN 954, die bis spätestens 31.10.2009 durch die EN ISO 13849-1 ersetzt werden wird. Spätestens dann müssen Hersteller von Pumpen, Kompressoren, Verdichtern etc. den probabilistischen Ansatz umsetzen und entsprechende Nachweise erbringen.

Fazit: Sowohl Lieferanten als auch Prozessbetreiber tun gut daran, sich intensiv mit der Thematik auseinander zu setzen. Denn einerseits müssen beide den Nachweis funktionaler Sicherheit führen, andererseits bleibt der Bedarf, das Normenwerk sachlich fundiert zu interpretieren.

Sie möchten gerne weiterlesen?

Unternehmen

VDMA - Verband Deutscher Maschinen-und Anlagenbau e. V.

Lyoner Straße 18
60528 Frankfurt/Main
Germany