Bild: vv_cephei - Fotolia

Bild: Fotolia

| von Armin Scheuermann ist Chefredakteur von Pharma+Food
  • SIL wird in der Instrumentierung mehr und mehr zum Standard. Geräte eines gleichen Typs sollen sowohl in SIL- als auch in Nicht-SIL-Anwendungen eingesetzt werden.
  • Die Betreiber wünschen sich längere Prüfzyklen für Sicherheitseinrichtungen.
  • Sowohl bei Themen der Anlagensicherheit als auch der IT-Security sehen die Befragten in erster Linie die Betreiber in der Pflicht.
  • Die Gefahr von Cyber-Angriffen wird von mehr als der Hälfte der Befragten gesehen.

In einer Umfrage unter Anlagenbetreibern, Planern und Geräteherstellern hat die Redaktion die aktuellen Trends in der Funktionalen Sicherheit ermittelt.

Die maßgeblichen Normen DIN EN 61508 und DIN EN 61511 liegen inzwischen beide in einer revidierten Fassung vor – darin eingeflossen sind die in rund einem Jahrzehnt gewonnenen Erfahrungen bei der Umsetzung der Normen in die Praxis. Manches, was früher durchaus unterschiedlich interpretiert werden konnte, wurde konkretisiert – neue, wiederum interpretierungsbedürftige Aspekte sind hinzu gekommen.

Unsere Umfrage hatte zum Ziel, die aktuellen Trends, den Wissensstand und die aktuellen „Aufregerthemen“ zum Thema Funktionale Sicherheit zu ermitteln. Ist SIL nach anderthalb Jahrzehnten überhaupt noch ein Thema? Definitiv ja. Deutlich wurde dies bereits anhand der überwältigenden Zahl der Befragungsteilnehmer:
1.500 Automatisierungs- und Instrumentierungsexperten haben wir dazu im März befragt. Über 700 der Angeschriebenen haben sich mit unserem insgesamt 16 Fragen umfassenden Fragebogen beschäftigt, und jede Frage wurde von rund 300 Befragten beantwortet und kommentiert.

So unterschiedlich die Fragen auch waren, eine Erkenntnis zog sich jedoch durch alle Teilergebnisse: SIL wird in der Instrumentierung mehr und mehr zum Standard. So gibt es große bis sehr große Bestrebungen, Geräte eines gleichen Typs sowohl in SIL- als auch in Nicht-SIL-Anwendungen einzusetzen. Überraschend ist dieses Ergebnis allenfalls in seiner Deutlichkeit: Schon seit Jahren berichten PLT-Spezialisten von dem Wunsch, die Lagerhaltung nicht nur aus Kostengründen vereinfachen zu wollen, sondern vor allem auch um der Verwechslungsgefahr vorzubeugen – die Maximalanforderung „SIL“ wird so mehr und mehr zum Standard. Allerdings parallel zur Betriebsbewährung, die von einigen Teilnehmern im Kommentar explizit herausgestellt wurde. Und ein Teilnehmer kritisiert, dass die Gerätehersteller zunehmend sehr empfindliche SIL-Geräte anbieten, um den PFD-Wert als Marketinginstrument zu nutzen: „Dies hat mit der Realität beim Betreiber nichts zu tun. Die Betreiber werden dadurch gezwungen, in PLT-Schutzkreisen und nicht sicherheitsgerichteten Kreisen aus Gründen der Verfügbarkeit andere Gerätetypen zu verwenden.“

Ex-Schutz wird bereits heute häufig mit SIL-Kreisen realisiert
Überraschend war für die Redaktion auch die Erkenntnis, wie viele PLT-Schutzeinrichtungen (in der Norm korrekt als „Sicherheitseinrichtungen“ bezeichnet) bereits im Explosionsschutz zum Einsatz kommen: Knapp drei Viertel der Befragten gaben dies an. Planer und Betreiber stehen dabei vor der Problematik, die in den unterschiedlichen Normen definierten Anforderungen in Einklang zu bringen. So lassen sich beispielsweise die in der Atex-Richtlinie definierten Kategorien nur schwer auf Sicherheitsintegritätslevel (SIL) umlegen.

Eines der meistdiskutierten Themen der vergangenen Jahre im Zusammenhang mit SIL sind wiederkehrende Prüfungen. Immer häufiger wurde die Forderung nach längeren Revisionszyklen für Anlagen laut, die entsprechend lange Prüfzyklen auch in Schutzfunktionen erfordern. Unsere Umfragen hat dieses Bild nun statistisch erhärtet: Rund zwei Drittel der Befragten gaben an, dass sie verlängerte Prüfintervalle für PLT-Schutzkreise anstreben. Auf die Frage, welches Prüfintervall sich die Praktiker für wiederkehrende Prüfungen wünschen, votierten je ein Fünftel der Befragten für ein Jahr, ein bis zwei Jahre, zwei bis drei Jahre und drei bis fünf Jahre. 11 % wünschen sich Prüfintervalle in Abständen von mehr als fünf Jahren. Die Realität sieht dagegen bislang ganz anders aus: Bei mehr als der Hälfte der Befragten werden Schutzkreise jährlich geprüft, 12 % prüfen sogar in noch kürzeren Abständen.

Sicherheit und Verfügbarkeit einer Anlage stehen häufig im Widerspruch zueinander: Insbesondere dann, wenn der Ausfall einer Sicherheitsfunktion ein Abfahren der Anlage erzwingt. In der Praxis treffen Planer und Betreiber deshalb Vorsorge, um solche ungewollten und nicht planbaren Störungen zu vermeiden. Unter den zur Verfügung stehenden Maßnahmen steht aus Sicht eines Drittels der Befragten das Konzept „Redundanz“ an erster Stelle: Die Funktion wird mit mehreren Geräten aufgebaut – fällt eines aus, übernimmt das zweite die Funktion. Ein Fünftel der Befragten setzt auf das aktive Ersatzteilmanagement, um den Ausfall einer Schutzfunktion zu verhindern. Interessant ist außerdem, dass lediglich 6 % der Befragten Geräte nach festen Zeitintervallen austauschen. Immerhin 19 % nutzen dagegen bereits Prinzipien der vorausschauenden Wartung. Und 17 % verwenden auch die in zunehmendem Maße in Feldgeräten implementierten Diagnosefunktionen, um dem sich abzeichnenden Ausfall von Geräten zuvorzukommen.

Organisatorischer Rahmen ist abgesteckt, Safety Management noch ausbaufähig
Wer sicherheitskritische Prozesse betreibt, tut gut daran, im Hinblick auf die Sicherheit nichts dem Zufall zu überlassen. Eine Grundlage dafür bilden die einschlägigen Normen – in erster Linie die oben erwähnten DIN EN 61511 und 61508. Diese stehen im Ranking zur Frage, welche sektorspezifischen Normen im Betrieb/Bereich der Befragten umgesetzt werden, ganz oben. Allerdings dicht gefolgt von VDI/VDE 2180. Je spezieller die Anwendung, desto spezieller werden auch die zu berücksichtigenden Normen.

Auch das Management der Aufgaben rund um die Funktionale Sicherheit sollten Anlagenbetreiber nicht dem Zufall überlassen. Interessant ist dabei, dass lediglich etwas mehr als die Hälfte der Befragten ein Functional Safety-Managementsystem implementiert haben. Hier gibt es offenbar noch Nachholbedarf. 26 % managen ihre SIL-Aspekte nach IEC 61511, 13 % nach IEC 61508. 53 % haben ein allgemeines Qualitätsmanagement nach ISO 9001.

Bei der Frage, wie gut die Verantwortung zu Aspekten der Funktionalen Sicherheit geregelt ist, gaben knapp drei Viertel der Befragten an, dass diese in ihrem Unternehmen klar geregelt ist. 28 % sehen hier noch Nachholbedarf.

Geteilte Meinung zum Zusammenhang zwischen Safety und IT-Security
Was haben IT-Security und Anlagensicherheit gemeinsam? Viel – meinen 58 % der Befragten. Mit der Diskussion um die Vernetzung von Anlagenkomponenten im „Internet der Dinge“ und unter dem Leitbild „Industrie 4.0“ gewinnt die Fragestellung an Brisanz. Was hilft die beste 2oo3-Verschaltung, wenn beispielsweise eine Zentrifugensteuerung von einem Computervirus übernommen wurde?

Erstaunlich ist allerdings, dass ganze 42 % der Befragten der Meinung sind, dass  IT-Security und Anlagensicherheit unabhängig voneinander sind. „Inhaltlich sollte mehr Zusammenarbeit sein, aber diese scheitert oft am fehlenden gemeinsamen Verständnis und einer fehlenden gemeinsamen Terminologie“, kommentiert ein Teilnehmer. Ein anderer hält die Umsetzung von beidem gemeinsam für zu komplex und empfiehlt deshalb die getrennte Betrachtung. Und die totale Vernetzung sehen die Befragten insbesondere für Sicherheitsfunktionen kritisch: „Zwei Zentimeter Luft sind die beste Firewall“, bringt es einer der Befragten auf den Punkt.

Bei der Frage, wer für die IT-Sicherheit verantwortlich ist, zeigt sich ebenfalls, dass IT-Sicherheit viele angeht: In erster Linie werden die IT-Abteilung des Anlagenbetreibers und der Anlagenbetreiber selbst gesehen, gefolgt von den Geräte- und IT-Herstellern und den Planern. Auch beim Thema IT-Sicherheit liegt die Verantwortung also klar beim Betreiber. Allerdings, so der Kommentar eines Befragten, braucht es die konstruktive Zusammenarbeit mit den Herstellern, deren Verantwortung darin bestehe, eventuell erkannte Sicherheitslücken über Patches und Updates zu schließen. Insgesamt beurteilen die Befragungsteilnehmer Cyber-Bedrohungen für ihre Anlagen durchaus unterschiedlich: 55 % sehen hier ein eher großes Bedrohungspotenzial, 45 % gehen von einer eher geringen Gefährdung aus.

Fazit: Themen der Funktionalen Sicherheit haben auch anderthalb Jahrzehnte nach Veröffentlichung der IEC-Normen nicht an Brisanz verloren. Aktuell werden die Kombination SIL/Ex-Schutz sowie der Zusammenhang mit der IT-Security diskutiert. Und natürlich bleibt auch die Interpretation der aktualisierten Normen ein Dauerbrenner. ●

Die Redaktion bedankt sich bei ihren Lesern für die rege Teilnahme sowie bei den in der Krohne-Akademie vertretenen Unternehmen Krohne, Phoenix Contact, TÜV Nord und Hima für die inhaltlichen Impulse beim Erstellen des Fragebogens.

Weitere Beiträge zum Thema Funktionale Sicherheit

Der Eintrag "freemium_overlay_form_pf" existiert leider nicht.