Funktionale Sicherheit

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Funktionale Sicherheit (abgekürzt auch FuSi) umfasst die Sicherheitsfunktionen an technischen Einrichtungen, die durch Maßnahmen der Prozessleittechnik abgedeckt werden.

Von technischen Anlagen oder auch Beförderungssystemen gehen bei nicht bestimmungsgemäßem Betriebszuständen größere materielle Schäden oder Gefährdungen für Personen oder die Umwelt aus. Für diese Systeme muss am Anfang der Projektierung eine Risiko- und Gefahrenanalyse erstellt werden. Dabei werden oft systematische Verfahren wie LOPA oder HAZOP herangezogen, um Risiken zu ermitteln. An erster Stelle zur Risikominimierung steht die Auslegung der Systeme durch Anwendung produktspezifischer Anwendungsrichtlinien und Normen. So wird ein Druckbehälter nach dem europäisch harmonisiertem Regelwerk (EN 13445 ff) unter Berücksichtigung der im Betrieb auftretenden Beanspruchungen ausgelegt, um Gefährdungen im bestimmungsgemäßen Betrieb auf ein akzeptiertes Niveau zu senken.

Die in der Risikoanalyse ermittelten Restgefahren für die spezielle Anlage müssen durch Sicherheitseinrichtungen abgesichert werden. Dies kann durch mechanische Einrichtungen erfolgen (z. B. durch ein abblasendes Sicherheitsventil) oder durch elektrische Sicherheitsschaltungen SIF (z. B. Einbau eines Druckbegrenzers, der das Schließen einer Armatur bewirkt). Die funktionale Sicherheit umfasst nur die Anforderungen an die elektrischen Sicherheitsschaltkreise. In der Begriffsbestimmung der EN 61511-1 wird die funktionale Sicherheit beschrieben durch: Teil der Gesamtsicherheit, der sich auf den Prozess und die PLT-Betriebseinrichtungen bezieht und der von der korrekten Funktion der PLT-Sicherheitseinrichtung(en) und anderer Schutzebenen abhängt.

Im Rahmen der Risikoanalyse müssen die Gefährdungen quantitativ abgeschätzt werden. Dabei werden die Parameter Schadensausmaß, Aufenthaltswahrscheinlichkeit im gefährdeten Bereich, Möglichkeit zum Ergreifen von Gegenmaßnahmen und Eintrittswahrscheinlichkeit des gefährlichen Ereignisses festgelegt. Mit diesen Größen kann anhand eines Risikographens der erforderliche Sicherheitsniveaulevel der einzelnen Sicherheitsfunktionen SIF ermittelt werden. So kann das Schadensausmaß von leichten reversiblen Verletzungen bis zu dem Tod mehrere Personen reichen. Je höher das Schadensausmaß ist und umso wahrscheinlicher der Eintritt umso höher ist der Sicherheitsniveaulevel. In den Anwendungsnormen sind unterschiedliche Risikographen aufgeführt. In der Prozessindustrie wird zumeist der SIL-Level verwendet,[1] der von den Stufen SIL1 bis SIL4 mit zunehmenden Anforderungen reicht. Bei der Maschinensicherheit wird bei hoher Anforderung der Sicherheitsfunktion zumeist der performance level PL verwendet, der von PLa bis PLe reicht.[2]

Bei der funktionalen Sicherheit wird der Gesamtlebenszyklus der Sicherheitsschaltkreise betrachtet. Die Normen zur funktionalen Sicherheit beinhalten die Themen Risikoanalyse, Spezifizierung der Anforderungen, Validierung, regelmäßige Funktionsprüfungen, Änderungsmanagement und Außerbetriebnahme.

Die Sicherheitsintegrität bezeichnet nach der EN 61508 Teil 4 die Wirksamkeit der Sicherheitsfunktionen eines sicherheitsbezogenen Systems. Bei der Betrachtung der Schaltfunktionen zur Ermittlung der Wirksamkeit wird immer der gesamte Schaltkreis, bestehend aus Sensor, Sicherheitsschaltung, Aktor und ggf. Schaltverstärkern betrachtet. Für Sicherheitsschaltungen können fest verdrahtete Schaltkreis mit Relais genutzt werden oder fehlersichere speicherprogrammierbare Steuerungen (F-SPS).

Mit der Komplexität der Anlagen und der sicherheitstechnischen Anforderungen werden vermehrt elektronische, insbesondere programmierbare Systeme eingesetzt. Diese werden z. B. verwendet, um den Druck und Wasserstand im Dampfkessel zu überwachen, die Überfüllung von Lagerbehältern zu vermeiden, die Inertisierung von Lagerbehältern bei Verwendung explosionsgefährdender Stoffe in der Chemie sicherzustellen, Absperrbereiche um Industrieroboter zu überwachen oder die Fahrstrecken von Zügen zu überwachen.

Nach der EN 61511-1 ist ein Ausfall die Beendigung der Fähigkeit einer Funktionseinheit, eine geforderte Funktion auszufüllen. Es wird unterschieden zwischen zufälligen und systematischen Fehlern.

Zufällige Fehler sind Hardware-Ausfälle, die statistisch und mit einer reproduzierbaren Wahrscheinlichkeit an elektronischen Komponenten auftreten. Die in der funktionalen Sicherheit ermittelten Ausfallraten können sich daher nur auf zufällige Fehler beziehen. Die Ausfallraten, die für zufällige Fehler ermittelt werden, basieren auf einem Betrieb unter den zulässigen Betriebsbedingungen, wie Umgebungstemperatur, Strahlung und der zulässigen Lebensdauer eines Gerätes.

Systematische Fehler sind statistisch nicht quantifizierbar,[3] so dass keine Ausfallraten angegeben werden können. Systematische Ausfälle können auf bestimmte Ursachen zurückgeführt werden, die nur durch eine Modifikation des Entwurfs, des Fertigungsprozesses, des Betreibens, der Medieneinflüssen, Korrosion oder Verschleiß beeinflusst werden können. Systematische Fehler treten auch an den mechanischen Kompontenten in dem Sicherheitssystem auf. Dies sind z. B. die Verbindungen der elektronischen Sensoren zu den Betriebsmedien als auch die mechanischen Komponenten der Aktoren.

Typische systematische Fehler in der Planungsphase sind:

  • Spezifikations- und Implementierungsfehler,
  • Fehler in der Umsetzung des Lastenheftes in das Anwenderprogramm für die Sicherheitssteuerung

und im Betrieb:

  • Verstopfen von Impulsleitungen,
  • Korrosion, Erosion,
  • Kondensat in Impulsleitungen,
  • Verkleben von Armaturensitzen,
  • Federbruch, Seilbruch,
  • erhöhte Reibung in Antrieben durch Ablagerungen,
  • menschliches Versagen,
  • Änderungen an der Anlage.

Systematische Fehler können reduziert werden, wenn die spezifischen Einsatzbedingungen eingehalten werden, indem die Geräte entsprechend der Betriebsanweisung verwendet werden und soweit zutreffend für die Anwendung baumustergeprüfte Geräte verwendet werden. Ein gefährlicher Ausfall einer Schutzfunktion infolge systematischer Fehler kann reduziert werden durch (diversitäre) Redundanz, Wartung- und Prüfung, Austausch der Geräte bei Erreichen des Lebensdauer.

Nicht zur funktionalen Sicherheit gehören u. a. elektrische Sicherheit, Brandschutz oder Strahlenschutz.

Prozessindustrie

[Bearbeiten | Quelltext bearbeiten]

Die spezielle Normenreihe für die funktionale Sicherheit in der Prozessindustrie ist die DIN EN 61511. bzw. international als IEC 61511. Grundsätzlich wird bei den PLT-Sicherheitseinrichtungen zwischen der Betriebsart niedrige Anforderung (low demand - Anforderung der Sicherheitsfunktion max. 1 Mal/Jahr) und hohe Anforderung bzw. kontinuierliche Anforderung unterschieden. In der Fertigungsindustrie und im Bereich der Maschinensicherheit wird meistens der high demand mode angewandt. Für ein Notabschaltsystem an einer technischen Anlage ist oft die Auslegung im low demand mode relevant.

RI-Fließbild der Wasserseite eines Grosswasserraumdampfkessels mit Darstellung der Sensorik. Die Sicherheitsfunktionen (rot umrandet) sind mit dem Schaltzeichen „Z“ dargestellt, das für einen sicherheitsrelevanten Schalteingriff steht.

Nachdem im Rahmen eines Sicherheitsgesprächs mögliche Gefährdungen für eine Anlage ermittelt worden sind, ist festzulegen, ob die Gefährdungen durch konstruktive Maßnahmen, Änderung des Verfahrens oder Einsatz anderer Stoffe aufgehoben werden können, und so eine inhärente Sicherheit bezogen auf bestimmte Gefährdungen erreicht werden kann. Soweit Gefährdungen weiter bestehen, sind mechanische Schutzeinrichtungen und/oder Maßnahmen der Prozessleittechnik für einen sicheren Betrieb vorzusehen. Im Rahmen der Umsetzung der funktionalen Sicherheit sind folgende Schritte erforderlich:

  • Auswahl geeigneter physikalischer Größen, die zur Überwachung bestimmter Sicherheitsfunktionen genutzt werden sollen. Bei hohen Sicherheitsanforderungen kann eine Redundanz der Sensoren und Aktoren erforderlich sein. Die Anwendung unterschiedlicher physikalischer Verfahren oder die Auswahl unterschiedlicher Geräte können Fehler gemeinsamer Ursache (Common-Cause-Failure) ausschalten oder vermindern (diversitäre Redundanz).
  • Definition des sicheren Zustandes der Prozessanlage. Hier sind neben Abschaltungen ggf. auch Notfunktionen zum sicheren Abfahren (Notkühlkreise, Entlastungsklappen) einzubeziehen.
  • Erstellung einer Ursache-Wirkungs-Matrix, um für jede Sicherheitsfunktion eine Schaltfolge zum Erreichen des sicheren Zustandes zu beschreiben,
  • Abschätzung der Auswirkung potentieller Gefährdungen unter Anwendung eines Riskiographens,[4]
  • Auswahl geeigneter zertifizierter Geräte zur Realisierung der einzelnen Sicherheitsfunktionen,
  • Rechnerischer Nachweis, dass der erforderliche Sicherheitsniveaulevel mit den ausgewählten Elementen des Sicherheitsschaltkreises erreicht wird.
Sicherheitsintegrität für Sicherheitsfunktionen im low demand mode (Ansprechen der Sicherheitseinrichtung max. 1 Mal/Jahr)
Sicherheitsintegritätslevel (SIL) PFD avg - Mittlere Wahrscheinlichkeit eines gefährlichen Ausfalls bei Anforderung Erforderliche Risikominimierung
4 >= 10-5 bis < 10-4 > 10000 bis <= 100000
3 >= 10-4 bis < 10-3 > 1000 bis <= 10000
2 >= 10-3 bis < 10-2 > 100 bis <= 1000
1 >= 10-2 bis < 10-1 > 10 bis <= 100
Risikograph für die Ermittlung des Sicherheitsanforderungslevels SIL
Risikograph in Anlehnungen an die IEC 61511-3 zur Ermittlung des SIL-levels einer Sicherheitsfunktion

Für die einzelne Sicherheitsfunktion SIF muss die erforderliche Risikominimierung nachgewiesen werden. Der Nachweis erfolgt auf Grundlage der Wahrscheinlichkeitsrechnung, indem die Ausfallraten der einzelnen Geräte einer SIF vom Sensor bis zum Aktor betrachtet werden. Da die Ausfallwahrscheinlichkeiten der Bauteile addiert werden, bestimmt das Bauteil mit der höchsten Ausfallrate wesentlich die gesamte Schaltkette. Die Ermittlung der Ausfallwahrscheinlichkeit bei Anforderung (Probability of dangerous failure on demand) einer SIF erfolgt aus:

Darüber hinaus muss die Hardwarefehlertoleranz (HFT) betrachtet werden. Im Allgemeinen müssen ab dem Sicherheitslevel SIL3 auch Doppelfehler betrachtet werden (HFT >0), so dass einkanalige Geräte nicht mehr ausreichen. In der VDI/VDE 2180 Blatt 3[5] sind vereinfachte Berechnungsverfahren für Auswahlschaltungen mit redundanten Sicherheitsbauteilen aufgeführt, bei denen die Terme der Ausfallwahrscheinlichkeiten mit höherer Potenz vernachlässigt werden. Zur Erhöhung der Sicherheit und Reduzierung der Ausfallwahrscheinlichkeit können zwei Sensoren verwendet werden, die nach dem Ruhestromprinzip arbeiten und deren Kontakte in Reihe angeordnet werden. Diese Schaltung wird in Kurzform als 1°°2 (one out of two) bezeichnet; dies bedeutet, dass beim Ansprechen von einem Sicherheitssensor von 2 vorhandenen die Schutzschaltung ausgelöst wird. Für SIF mit geringem Sicherheitsniveau und hoher Verfügbarkeit wird oft auch die 2°°2-Schaltung verwendet; hier sind die Schaltkontakte parallel geführt und die SIF wird erst ausgelöst, wenn beide Sensoren abschalten. Um einen hohen Sicherheitslevel bei hoher Verfügbarkeit zu erreichen, wird die 2°°3-Schaltung angewandt, die tolerabel gegenüber dem Ausfall eines Sensors ist. Ein weiterer Sicherheitsgewinn wird erreicht, wenn beim Einsatz mehrerer analoger Sensoren die Signale verglichen werden (Plausibilitätsprüfung), und beim Auseinanderdriften der Signale eine Sicherheitsschaltfunktion oder eine Alarmierung erfolgt.

Zusammensetzung des PFD (Wahrscheinlichkeit eines Ausfalls bei Anforderung) einer SIF aus den Komponenten der Schaltkette (loop)

Zum Absperren eines Stoffstroms kann bis zu einem SIL2-Schutzkreis eine stromlos schließende Armatur ausreichen. Bei höheren Anforderungen können 2 seriell angeordnete Armaturen erforderlich sein, deren Funktion durch automatische Dichtheitsprüfungen und Stellungsrückmeldungen verifiziert wird. Grundsätzlich müssen bei dem Einsatz der Sensoren und Aktoren geeignete Maßnahmen ergriffen werden, um bekannte gefährliche Ausfälle auszuschließen. Dies sind z. B. das Verstopfen von Impulsleitungen, Kondensatbildung, Schutz von Membranen gegen hohe Temperaturen. Die Funktion von Armaturen kann durch zu hohe Drücke, klebende Medien oder Feststoffe beeinträchtigt werden.

Ein entscheidender Faktor für die Ermittlung des PFD ist das Prüfintervall T1 für die umfassende Prüfung einer Anordnung. Ein elektromechanischer Druckwächter liefert ein digitales Signal für eine Drucküber- oder unterschreitung. Ein Fehler des Gerätes kann im Betrieb nicht festgestellt werden, sondern nur im Rahmen einer Prüfung durch Aufgabe eines Prüfdrucks. Daher kann bei diesem Gerät ein gefährlicher Fehler maximal über den Prüfzeitraum T1 unentdeckt bleiben. Werden dagegen mehrere Drucktransmitter mit einem analogen Ausgangssignal (z. B. 4..20 mA-Signal) für eine Überwachungsfunktion eingesetzt, dann können Abweichungen, die auf die Fehlfunktion eines Gerätes hinweisen, unmittelbar festgestellt werden.

PFD für verschiedene Architekturen (Geräteanordnungen) in Anlehnung an die DIN EN 61508-6
Architektur Performance level on demand (vereinfachte Berechnung)[6]
1°°1
1°°2
2°°2
2°°3
  •  : Rate der gefährlichen und unentdeckten Ausfälle. Die Werte für die Ausfallrate der Prozessgeräte werden mittlerweile von den Herstellern für definierte Einsatzbedingungen geliefert. Bei Altgeräten ist es auch zulässig, auf Grundlage statistischer Aufzeichnungen der in einem Betrieb verwendeten Geräte Ausfallraten (z. B. nach der Richtlinie NE 130[7]) zu ermitteln oder beim Einsatz von Geräten unter abweichenden Einsatzbedingungen.
  •  : Anteil der gefährlichen Ausfälle gemeinsamer Ursache. Bei diversitären Geräten und Messverfahren kann der Wert auf 0 gesetzt werden. Bei der Verwendung gleicher Geräte wird der Erfahrungswert von 0,05 oft eingesetzt.
  •  : Prüfintervall für den vollständigen Test der Anordnung. Hier wird oft ein Intervall von 1 Jahr angewandt. Bei Qualitätsmessungen mit relativ hohen gefährlichen Ausfallraten (z. B. Messung des Sauerstoffgehaltes in einem Gasstrom) kann es sinnvoll sein, ein kürzeres Prüfintervall T1 anzusetzen, wenn die Ausfallrate λDU dieses Sensors deutlich über der Ausfallrate der anderen Glieder des loops liegt.

Managementsystem der funktionalen Sicherheit

[Bearbeiten | Quelltext bearbeiten]

Für die Lebensdauer von PLT-Schutzsystemen wird ein umfängliches Managementsystem der funktionalen Sicherheit[8][9] gefordert. Dieses System beinhaltet:

  • Ermittlung und Spezifizierung der Sicherheitsfunktionen und der Randparameter im Rahmen der Gefährdungsbeurteilung und Risikoanalyse,
  • Beschreibung des sicheren Zustands (Schwarzfallverhalten) Sicherheitsniveaulevel, Grenzwerte, Prozessantwortzeiten,
  • Auswahl geeigneter Geräte auf Grundlage der Herstellerangaben und Betriebserfahrungen und der ermittelten Sicherheitsniveaustufen,
  • Festlegung der Prüfintervalle T1 unter Berücksichtigung der ermittelten SIL-level,
  • Umfängliche Dokumentation (RI-Fließbilder, Ursache-Wirkungs-Matrix, SIL-Ermittlung, Betriebsanleitungen der Geräte, Gefährdungsbeurteilung, Explosionsschutzdokumente),
  • Einbau der Geräte und Einhaltung der Randbedingungen, geschützte Verlegung der Kabels,
  • Überwachung der Hilfsenergien,
  • Beschreibung der Geräteparametrierung und Sicherung der Einstellung,
  • Dokumentation des Sicherheitscodes einer fehlersicheren speicherprogrammierbaren Steuerung,
  • Besondere Kennzeichnung sicherheitsrelevanter Komponenten im Feld,
  • Zugängliche Anordnung der Prozessgeräte in der Anlage, damit Wiederholungsprüfung einfach möglich sind,
  • Maßnahmen zur Cyber Security zur Verhinderung eines gefährlichen Eingriffs Dritter,
  • Erstellen von Betriebsanweisungen.
  • Festlegungen von Maßnahmen bei bestimmten Betriebszuständen (z. B. Anfahren),
  • Qualifikation der Bediener und Einweisung der Beschäftigten,
  • Validierung, dass alle Punkte bei der Umsetzung der PLT-Sicherheitseinrichtungen entsprechend der Spezifikation umgesetzt worden sind.
  • Planung des Ablaufs Inbetriebnahme,
  • Erstellung von Prüflisten für die PLT-Sicherheitseinrichtungen, Beschreibung des Prüfumfangs und Anforderungen an das Prüfpersonal (befähigte Personen),
  • Maßnahmen bei Instandsetzung, Reparatur oder Änderung sicherheitsrelevanter Einrichtungen oder Programmverknüpfungen,
  • Dokumentation von Änderungen im sicherheitsrelevanten Programmcode,
  • Überprüfung der Sicherheitseinrichtungen der Prozessanlage bei Unfällen oder beim Auftreten von nicht bestimmungsgemäßen Zuständen oder bei Ausfällen von Sicherheitsgeräten,
  • Maßnahmen bei Stillständen und Außerbetriebnahme.

Gesetzliche Sicherheitsanforderungen

[Bearbeiten | Quelltext bearbeiten]

Die Gesellschaft allgemein, insbesondere Kunden und Nutzer haben hohe Erwartungen an die Sicherheit von Systemen und die Reduzierung der Risiken. Diesbezüglich hat die Politik mit dem Produktsicherheitsgesetz (ProdSG, bis Dezember 2011: GPSG) einen gesetzlichen Rahmen für die Umsetzung von Sicherheitsanforderungen geschaffen.[10] Die Vermeidung systematischer Fehler, sowie die Beherrschung systematischer und zufälliger Fehler in „sicherheitstechnischen Funktionen“ senkt das zu erwartende Risiko auf ein akzeptiertes Maß.

Wichtige Normen der funktionalen Sicherheit

[Bearbeiten | Quelltext bearbeiten]

Folgende Normen gehören zu den wichtigsten, die funktionale Sicherheit betreffend:

  • EN ISO 13849: Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen
  • EN/IEC 61508: Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme
  • EN/IEC 61511: Funktionale Sicherheit – Sicherheitstechnische Systeme für die Prozessindustrie
  • EN/IEC 62061: Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbar elektronischer Steuerungssysteme
  • EN 50126 / IEC 62278: Bahnanwendungen – Spezifikation und Nachweis von Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit und Sicherheit (RAMS)
  • EN 50128 / IEC 62279: Bahnanwendungen – Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme – Software für Eisenbahnsteuerungs- und Überwachungssysteme
  • EN 50129 / IEC 62425: Bahnanwendungen – Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme – Sicherheitsbezogene elektronische Systeme für Signaltechnik
  • EN 50159 / IEC 62280: Bahnanwendungen – Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme – Sicherheitsrelevante Kommunikation in Übertragungssystemen
  • EN 50657: Bahnanwendungen – Anwendungen für Schienenfahrzeuge – Software auf Schienenfahrzeugen
  • ISO 26262: Road vehicles – Functional safety

Normreihe für Kraftfahrzeuge: ISO 26262

[Bearbeiten | Quelltext bearbeiten]

Bedienungsfehler werden von den Normen jedoch nicht erfasst, da das System dann eine Bewertung des manuellen Eingriffs („vom Bediener gewollter Missbrauch zur Vermeidung eines noch größeren Schadens“ oder „Fehler des Bedieners“) treffen müsste.

Eine Anpassung dieser Normenreihe für Kraftfahrzeuge ist die Norm ISO 26262 („Road vehicles – Functional safety“). Diese ist zum ersten Mal im November 2011 erschienen und wurde im Dezember 2018 komplett überarbeitet neu veröffentlicht.

Da in den heutigen Automobilen eine immer größere Anzahl an elektronischen Bauteilen und Steuergeräten verbaut wird und auch eine steigende Vernetzung der einzelnen Elektronik-Komponenten untereinander festzustellen ist, nimmt die Entwicklungskomplexität stetig zu. In vielen Märkten unterliegt die Zulassung deshalb einer gesetzlichen Kontrolle, um die funktionalen Sicherheitsvorschriften nach ProdSG einzuhalten.

  • David J. Smith, Kenneth G. L. Simpson: Functional Safety. A Straightforward Guide to Applying IEC 61508 and Related Standards. 2nd edition. Elsevier / Butterworth-Heinemann, Amsterdam u. a. 2004, ISBN 0-7506-6269-7.
  • Jens Braband: Funktionale Sicherheit. In: Lothar Fendrich (Hrsg.): Handbuch Eisenbahninfrastruktur. Springer, Berlin u. a. 2007, ISBN 978-3-540-29581-5, S. 649–699.
  • Peter Löw, Roland Pabst, Erwin Petry: Funktionale Sicherheit in der Praxis. Anwendung von DIN EN 61508 und ISO/DIS 26262 bei der Entwicklung von Serienprodukten. dpunkt.Verlag, Heidelberg 2010, ISBN 978-3-89864-570-6.
  • Martin Hillenbrandt: Funktionale Sicherheit nach ISO 26262 in der Konzeptphase der Entwicklung von Elektrik/Elektronik Architekturen von Fahrzeugen. KIT Scientific Publishing, Karlsruhe, 2012.
  • Dirk Dürholz, Steffen Herrmann und Ralf Stärk: SAFETY Essentials. ISO 26262 auf einen Blick – Kompakt vermittelt. 2014. ISBN 978-3-9815078-0-5.

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. DIN EN 61511-3, Funktionale Sicherheit – Sicherheitstechnische Systeme für die Prozessindustrie – Teil 3: Anleitung für die Bestimmung der erforderlichen Sicherheits-Integritätslevel
  2. DIN EN 13849-1, Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 1: Allgemeine Gestaltungsleitsätze
  3. DIN EN 61511-1, Funktionale Sicherheit – Sicherheitstechnische Systeme für die Prozessindustrie – Teil 1: Allgemeines, Begriffe, Anforderungen an Systeme, Software und Hardware
  4. DIN EN 61511-3 (IEC 61511-3) Funktionale Sicherheit – Sicherheitstechnische Systeme für die Prozessindustrie – Teil 3: Anleitung für die Bestimmung der erforderlichen Sicherheits-Integritätslevel
  5. VDI/VDE 2180 Blatt 3, Funktionale Sicherheit in der Prozessindustrie, Nachweis des Sicherheitsintegritätslevels (SIL)
  6. VDI/VDE 2180 Blatt 3
  7. NE 130 Betriebsbewährte Geräte für PLT-Schutzein-richtungen und vereinfachte SIL-Berechnung (“Prior use”-de-vices for safety instrumented systems and simplified SIL calculation). Leverkusen: NAMUR
  8. DIN EN 61511-1, Funktionale Sicherheit – PLT-Sicherheitseinrichtungen für die Prozessindustrie – Teil 1: Allgemeines, Begriffe, Anforderungen an Systeme, Hardware und Anwendungsprogrammierung, Kapitel 5
  9. VDI/VDE 2180 Blatt 1 Funktionale Sicherheit in der Prozessindustrie Einführung, Begriffe, Konzeption
  10. P. Löw, R. Pabst, E. Petry: Funktionale Sicherheit in Serienprodukten aufgerufen am 26. August 2014, PDF