Grundlage für die IEC/EN 61508
Die Anfänge der Normen zur Funktionalen Sicherheit
Am 10. Juli 1976 kam es nördlich von Mailand zu einem Chemieunfall, der als Sevesounglück in die Geschichte einging. Aufgrund einer unkontrollierten Reaktion kam es zu einer Überhitzung in der Anlage. Automatische Kühlsysteme und Warnanlagen waren nicht vorhanden. Über ein Sicherheitsventil trat hochgiftiges Dioxin aus, mit katastrophalen Folgen für Menschen, Tierwelt und Natur: 1.800 ha Land in den umliegenden Gemeinden wurden auf Jahre hinaus vergiftet. In den folgenden Tagen wurden mehr als 3.000 Tierkadaver gefunden, rund 200 Menschen erkrankten an schwerer Chlorakne. Als Folge dieses Unfalls wurde die Verschärfung der Gesetze und Verordnungen zum Schutze von Menschen, Anlagen und Umwelt beschlossen, die letztlich in die IEC/EN 61508 mündeten.
Die IEC/EN 61508 ist eine siebenteilige Normenreihe, die den Rahmen zur Erstellung von Normen im Bereich Funktionale Sicherheit vorgibt. Ausgehend von der IEC/EN 61508 sind mit dieser Reihe weitere Normen verfügbar, die das Thema auf konkrete Anwendungsbereiche, Themenfelder und Produkte einschränken. Tatsächlich wurden aus diesem Werk Sektornormen wie die IEC/EN 61511 (Prozessindustrie), IEC 62061 (Maschinenbau) oder ISO 26262 (Automotive), aber auch konkrete Produktnormen wie die VDMA 4315 für die Sicherheit von Turbomaschinen entwickelt.
Die Normenreihe trifft Festlegungen für den gesamten Lebenszyklus von Anlagen und Geräten. Die darin enthaltene probabilistische Methodik analysiert zusätzlich die Situationen beim Betrieb einer industriellen Anlage und bewertet daraus resultierende Risiken. Aus dieser Analyse ergibt sich eine Definition der Risikoreduzierung, die erforderlich sind, um Risiken in der betreffenden Anlage auf ein akzeptables Restrisiko zu reduzieren. Die IEC/EN61508 löst alle früheren Sicherheitsnormen wie z.B. DIN/VDE 19250, DIN/VDE 19251 und DIN/VDE 801 ab.
Start in die Funktionale Sicherheit in den 70ern
Bereits in den 60er Jahren gab es Bestrebungen, die Anlagensicherheit zu verbessern. So fordert die VDI/VDE – Richtlinie 2180 „Anlagensicherung mit Mitteln der MSR-Technik“ die Festlegung von Verantwortlichkeiten und Grenzwerten sowie Funktionsprüfungen zur Fehlererkennung und eine Unterscheidung in Fehlerarten.
Vor rund 50 Jahren begann dann die Entwicklung von sicherheitsrelevanten Geräten bei Pepperl+Fuchs. Auslöser dafür war die Nachfrage nach einer sicheren Abschaltung der Hauptbrennstoffzufuhr von Feuerungsanlagen. Dazu wurde 1973 der erste Sicherheitsschaltverstärker entwickelt, bald darauf auch ein Näherungsschalter ebenfalls für Sicherheitsanwendungen. Das dynamische Übertragungsprinzip des Schaltsignals der damaligen Schaltverstärker bilden bis heute die Grundlage für sicherheitstechnische Geräte für SIL-3-Applikationen. Die Sensoren wurden aus Standardsensorenen entwickelt, die so erweitert wurden, dass Sensorfehler zu Signalpegel führen welche in die „sichere Richtung“ gehen, also ein „fail safe“ Verhalten darstellen.
Normen die in diesem Zusammenhang eine Rolle spielten waren bspw. die DIN 4788 („Gasbrenner; Gasbrenner ohne Gebläse“) oder die VDE 0116 („Elektrische Ausrüstung von Feuerungsanlagen und zugehörige Einrichtungen“).
Seveso-Katastrophe beschleunigt die Entwicklung in den 80ern
Unter dem Eindruck der Katastrophe von Seveso nahm das Thema Funktionale Sicherheit weiter an Fahrt auf und entwickelte sich in die Breite.
1980 wurde die Störfall-Verordnung (12. BImSchV) erlassen, sie dient der Verhinderung von Störfällen und der Begrenzung von Störfallauswirkungen. Die damit verbundenen Dokumentationspflichten der Betreiber führen weiterer Systematisierung im Bereich von MSR-Einrichtungen.
In der 1986 erschienenen zweiten Auflage der VDI/VDE 2180 (2. Auflage) werden die Schutzziele für Personen konkretisiert sowie eine Klassifizierung in Betriebs- und Sicherungseinrichtungen eingeführt.
1989 erschien die DIN V 19250:1989-01 („Messen, Steuern, Regeln; Grundlegende Sicherheitsbetrachtungen für MSR-Schutzeinrichtungen“). Dieser Standard ist zwar nie über das Stadium einer Vornorm hinaus gekommen, hatte aber für die weitere Entwicklung der Funktionalen Sicherheit grundlegende Bedeutung. Erstmals ist hier die qualitative Beschreibung des Risikos mittels Risikograf genannt. Die acht Anforderungsklassen mündeten später in die vier SIL-Level mit einer Klassifizierung des Schadensausmaßes:
- SIL1, AK 2 & 3: Kleine Schäden an Anlagen und Eigentum,
- SIL2, AK 4: Große Schäden an Anlagen, Personenverletzung,
- SIL3, AK 5 & 6: Verletzung von Personen, einige Tote,
- SIL4, AK 7: Katastrophen, viele Tote und gravierende Umweltverschmutzung.
Der Stellenwert dieser Vornorm spiegelte sich bei den Mannheimer Experten in entsprechenden Entwicklungsaktivitäten wider: Für alle Normen der 19250er Serie wurden Produkte entwickelt und zertifiziert – was auch auf große Resonanz stieß: Zwar waren durchaus normgerechte Sicherheitslösungen verfügbar, aber nur selten waren sie für Anwendungen im Ex-Bereich geeignet.
Die neue Normenwelt: IEC/EN 61508
Um die Jahrtausendwende kommt es zum Paradigmenwechsel: Die IEC/EN 61508 (für Hersteller, 2002) – IEC 61511 (für Anwender, 2005) werden zu weltweiten Standards und lösen nationalen Normen ab: DIN V 19250, 251, 0810…Die Orientierung an Sicherheitslebenszyklen tritt in den Vordergrund, die Anforderungsklassen der DIN V 19250 werden durch Safety Integrity Levels, SIL abgelöst.
Für Hersteller bedeutete der Schritt zur IEC/EN 61508 einen Neustart in vielerlei Hinsicht: War die Funktionale Sicherheit bis dahin vor allem im europäischen Raum normativ beschrieben, wurde das Thema auf einmal global interessant. Als die Norm kam, gab es naturgemäß zunächst keine entsprechend zertifizierten Produkte. Üblicherweise wurden ausgewählte und geeignete Bestandsprodukte einer normativen Bewertung unterzogen und die Sicherheitskennzahlen ermittelt. Da es bei Bestandsprodukte in der Regel eine Rückläuferstatistik gibt, konnte diese zur Validierung der berechneten Sicherheitskennzahlen verwendet werden. Heute, rund 20 Jahre später, ist die IEC/EN 61508 weltweit etabliert, seit 2010 liegt die Edition 2 vor. Produkte werden in der Regel nicht mehr über Proven-in-use qualifiziert, sondern in allen Aspekten der IEC/EN 61508 entwickelt und zertifiziert. Die Zertifizierungen berücksichtigen, dass nach Vorgabe der Norm entwickelt worden ist, um systematische Fehler auszuschließen und Anwendungen ausrüsten zu können, für die keine Erfahrungswerte vorliegen.
Saftey-Geräte und -Zertifikate
Bis die wechselvolle Geschichte von Standards Funktionaler Sicherheit in den globalen Standard der IEC/EN 61508 mündete, waren bereits einige Jahrzehnte vergangen. Pepperl+Fuchs ist diesen Weg von Anfang mitgegangen, nicht zuletzt auch um Katastrophen wie die von Seveso zu verhindern. Heute stehen rund 750 Safety-Geräte für die unterschiedlichsten Anwendungen zur Verfügung, mehr als 300 davon allein für den Bereich Interfacetechnik, inklusive SIL 3 Trennbarrieren für alle Signalarten. In der Regel werden Produkte auf freiwilliger Basis extern zertifiziert, anstatt auf Self-Assessments zurückzugreifen. Zudem verfügt das Unternehmen seit vielen Jahren über ein Functional Safety Management Zertifikat und gewährleistet so auch organisatorisch gute Rahmenbedingungen bei der Produktentwicklung. Mit der Einführung der IEC/EN 61508 wurde ein breit angelegtes Trainingsprogramm für Anwender ins Leben gerufen, das bis heute besteht und ausgebaut.
Autor: Andreas Grimsehl, Pepperl+Fuchs