Funktionale Sicherheit – SIL - Auma.com

Funktionale Sicherheit – SIL 

Risikoreduzierung mit elektrischen Stellantrieben 

Information

AUMA - Spezialist in Sachen Stellantrieb 

AUMA ist einer der weltweit führenden Hersteller von 

elektrischen Stellantrieben, Antriebssteuerungen und 

Armaturengetrieben zur Automatisierung von Industriearmaturen. 

AUMA verfügt über mehr als 45 Jahre Erfahrung 

in Entwicklung und Herstellung von elektrischen Dreh- und 

Schwenkantrieben. AUMA fertigt seine Produkte in den 

Werken Müllheim und Ostfildern in Deutschland. Für Servicedienstleistungen 

wurden drei Service-Center in Köln, 

Magdeburg und München eingerichtet. Weltweit beschäftigt 

AUMA 2 200 Mitarbeiter. 

AUMA automatisiert Armaturen 

AUMA wird mit einer Vielzahl von Anforderungen aus 

unterschiedlichen Einsatzgebieten und aus allen Regionen 

dieser Welt konfrontiert – das ist unser tägliches Geschäft. 

Das modulare AUMA Konstruktionsprinzip ist die Grundlage 

einer langfristig ausgerichteten Produktpolitik und 

bietet die nötige Flexibilität, den Stellantrieb kundenspezifisch 

zu fertigen. 

2 | 

Weltweit präsent 

Dafür muss man seine Märkte kennen. Globales Denken 

bedeutet sich regional zu engagieren. Ein dichtes weltweites 

Verkaufs- und Servicenetzwerk bietet jedem Kunden 

einen kompetenten Ansprechpartner in Reichweite. 

Alles aus einer Hand 

Von der Produktentwicklung, über die Gerätetests bis 

hin zur Endabnahme gibt es bei AUMA durchgängige Herstellungs- 

und Qualitätssicherungsprozesse, die beständig 

optimiert werden. 

AUMA hat sich seit 1964 in der Stellantriebswelt einen 

hervorragenden Markennamen geschaffen. Zuverlässigkeit 

und Innovation sind Begriffe, die mit AUMA in Verbindung 

gebracht werden. Dies verdankt AUMA vor allem seinen 

engagierten Mitarbeitern, die mit Begeisterung an der 

Zukunft des Stellantriebs arbeiten.

2012.06.13 

Inhalt 

AUMA - Spezialist in Sachen Stellantrieb 2 

Über diese Broschüre 3 

Risikoreduzierung durch Funktionale Sicherheit 4 

Die Normen DIN EN 61508 und DIN EN 61511 6 

Wie wird Funktionale Sicherheit erreicht? 7 

Was ist eine Sicherheitsfunktion? 8 

Was ist ein sicherheitstechnisches System? 9 

Die wichtigsten Sicherheitskennzahlen 10 

Ermittlung der SIL-Fähigkeit 12 

Verbesserung der SIL-Fähigkeit 13 

SIL-Fähigkeit der AUMA Produkte 14 

SIL 2/SIL 3 für integrierte Steuerung AC .2 

in Ausführung SIL 16 

Funktionen des SIL-Moduls 18 

Über diese Broschüre 

Funktionale Sicherheit und SIL sind Stichworte, die 

im Zusammenhang mit der Sicherheit von technischen 

Anlagen immer häufiger fallen – nicht zuletzt durch das 

Inkrafttreten neuer internationaler Normen. 

Auch AUMA Stellantriebe werden in sicherheitskritischen 

Anwendungen eingesetzt und tragen zum sicheren 

Betrieb technischer Anlagen bei. Deshalb ist Funktionale 

Sicherheit auch für uns ein wichtiges Thema. 

Diese Broschüre gibt einen Überblick darüber, was 

Funktionale Sicherheit für AUMA Stellantriebe und Steuerungen 

bedeutet. Neben einer grundlegenden Einführung 

in das Thema Funktionale Sicherheit finden Sie detaillierte 

Informationen über die SIL-Fähigkeit der AUMA Produkte. 

Aktuelle Informationen über die AUMA Produkte finden 

Sie jederzeit auch im Internet unter www.auma.com. Alle 

Unterlagen stehen Ihnen dort zum Download zur Verfügung. 

Ermittlung der Sicherheitskennzahlen für 

AUMA Produkte 20 

Sicherheitskennzahlen für ausgewählte AUMA Produkte 25 

Weiterführende Informationen 26 

Index 27 

| 3

Fragen zur Sicherheit von modernen Industrieanlagen 

gewinnen immer mehr an Bedeutung, insbesondere bei 

Anlagen mit hohem Gefahrenpotenzial im Öl- und Gas- 

Bereich, in der chemischen Industrie oder in Kraftwerken. 

Zur Überwachung von Prozessen, von denen eine 

Gefahr für Mensch und Umwelt ausgeht, werden heute 

zunehmend moderne Sicherheitssysteme eingesetzt, die 

bei einem Störfall eingreifen. Solche Systeme schalten zum 

Beispiel im Notfall eine Anlage ab, stoppen die Zufuhr 

gefährlicher Stoffe, sorgen für Kühlung oder öffnen Überdruckventile. 

Um die Gefahren, die von einer Anlage ausgehen, zu 

reduzieren, müssen diese Systeme ihre Sicherheitsfunktion 

im Notfall zuverlässig ausführen und dürfen nicht ausfallen. 

Wie aber können Anlagenbetreiber und Gerätehersteller 

sicherstellen, dass die eingesetzten Systeme „sicher“ arbeiten 

und die nötigen Anforderungen erfüllen? Wie können 

Ausfallrisiken beurteilt werden? 

Hier geben die Normen zur Funktionalen Sicherheit 

DIN EN 61508 und DIN EN 61511 eine Antwort. Sie 

beschreiben erstmals Methoden, um die Ausfallrisiken von 

modernen, oft softwaregesteuerten Systemen zu beurteilen 

und Maßnahmen zur Risikoreduzierung zu bestimmen. 

Risikoreduzierung durch Funktionale Sicherheit 

4 | 

Was ist Funktionale Sicherheit? 

Funktionale Sicherheit nach der DIN EN 61508 bezieht 

sich auf Systeme, die Sicherheitsfunktionen ausführen 

und deren Ausfall ein erhebliches Risiko für Mensch und 

Umwelt darstellt. 

Um Funktionale Sicherheit zu erreichen, muss eine 

Sicherheitsfunktion bei einem Störfall dafür sorgen, dass 

eine technische Anlage in einen sicheren Zustand geführt 

wird oder in einem sicheren Zustand bleibt. 

Es geht also nicht um die grundsätzlichen Gefahren 

eines Produkts oder einer Anlage, wie zum Beispiel 

rotierende Teile, sondern um die Gefahren, die auf Grund 

eines Ausfalls einer Sicherheitsfunktion von einer Anlage 

ausgehen können. 

Ziel der Funktionalen Sicherheit ist es, die Wahrscheinlichkeit 

gefährlicher Ausfälle und damit auch die Risiken 

für Mensch und Umwelt auf ein vertretbares Maß zu 

reduzieren. 

Insgesamt leistet die Funktionale Sicherheit – 

gemeinsam mit weiteren Maßnahmen, wie zum Beispiel 

dem Brandschutz, der elektrischen Sicherheit oder dem 

Explosionsschutz – einen wichtigen Beitrag zur Gesamtsicherheit 

einer Anlage.

Was ist SIL? 

SIL ist ein Begriff, der mit der Funktionalen Sicherheit in 

enger Verbindung steht. SIL steht für Sicherheits-Integritätslevel 

(engl. Safety Integrity Level) und ist eine Maßeinheit 

für die Risikoreduzierung bei Sicherheitsfunktionen. 

Je größer die Gefahren sind, die von einem Prozess oder 

einer Anlage ausgehen, desto höher sind die Anforderungen 

an die Zuverlässigkeit der Sicherheitsfunktionen. 

Die DIN EN 61508 definiert vier verschiedene Sicherheitsanforderungsstufen, 

SIL 1 bis SIL 4. 

SIL 4 stellt dabei die höchsten Anforderungen an die 

Sicherheit, SIL 1 die niedrigsten. Für jeden dieser Level sind 

verschiedene Ausfallwahrscheinlichkeiten definiert, die 

eine Sicherheitsfunktion nicht überschreiten darf. 

Welcher SIL erforderlich ist, kann anhand einer Risikobeurteilung 

ermittelt werden. 

Welche Rolle spielt AUMA? 

AUMA Produkte werden als Komponenten in Systemen 

eingesetzt, die Sicherheitsfunktionen ausführen. Daher 

haben wir – in Zusammenarbeit mit unabhängigen Prüfinstituten 

wie EXIDA und TÜV – untersucht, für welchen SIL 

unsere Stellantriebe, Steuerungen und Getriebe geeignet 

sind. 

Anhand der dabei ermittelten Sicherheitskennzahlen 

können Anlagenplaner die passenden Geräte für die jeweiligen 

Sicherheitsanforderungen auswählen. 

| 5

Die Normen DIN EN 61508 und DIN EN 61511 

Die Ursprünge 

Es waren Industrieunfälle mit verheerenden Folgen, wie 

der Dioxin-Unfall von Seveso 1976 oder das Unglück im 

indischen Bhopal 1984, die weltweit Normungsprozesse 

zur Sicherheit von technischen Anlagen in Gang setzten. 

So entstand zum Beispiel auf EU-Ebene zunächst die 

Seveso I- und später die Seveso II-Richtlinie 96/82/EG zur 

Beherrschung der Gefahren bei Unfällen mit gefährlichen 

Stoffen. Mit diesen Richtlinien wurde der Schutz von 

Mensch, Umwelt und Sachwerten als oberstes Ziel festgeschrieben. 

Zudem wurden konkrete Vorgaben für Anlagen 

mit hohem Gefahrenpotenzial erlassen. 

Um diese Richtlinien umzusetzen, entstanden in der 

Folge zunächst nationale Normen zur Funktionalen Sicherheit. 

Seit 1998 steht mit der IEC 61508 hier erstmals eine 

international gültige Norm zur Verfügung. Die DIN EN 

61508 ist die entsprechende seit 2002 in Deutschland 

geltende Norm. 

DIN EN 61508 

Die DIN EN 61508 (bzw. im internationalen Bereich die 

IEC 61508) ist die weltweit gültige Norm zur Funktionalen 

Sicherheit von elektrischen, elektronischen oder programmierbar 

elektronischen Systemen (E/E/PES), die Sicherheitsfunktionen 

ausführen. Die Normanforderungen werden 

– wo zutreffend – auch auf andere, zum Beispiel mechanische 

Komponenten übertragen. 

Die Norm richtet sich sowohl an Anlagenplaner und 

Anlagenbetreiber als auch an Gerätehersteller. 

Sie dient als anwendungsunabhängige Basisnorm 

und wird ergänzt durch weitere, anwendungsspezifische 

Normen, zum Beispiel die DIN EN 61511 für die Prozessindustrie. 

Konzept der Risikominderung 

Ziel ist es, die Risiken von Prozessen und Anlagen 

durch den Einsatz von sicherheitsbezogenen Systemen zu 

reduzieren. Die Norm geht grundsätzlich davon aus, dass 

es nicht möglich ist, jegliche Risiken auszuschließen. Sie 

bietet jedoch Methoden zur Risikoanalyse, zur Risikominderung 

und zur Quantifizierung des Restrisikos. 

Anforderungen an sicherheitsbezogene Systeme 

Die Norm beschreibt die Anforderungen an sicherheitsbezogene 

Systeme bzw. an die Sicherheitsfunktionen und 

definiert Sicherheits-Integritätslevel (SIL). Daraus werden 

entsprechende SIL-Anforderungen an die eingesetzten 

Systemkomponenten abgeleitet. 

6 | 

Berücksichtigung des Lebenszyklus 

Um die Ausfallrisiken zu minimieren, wird der gesamte 

Sicherheitslebenszyklus der Komponenten berücksichtigt, 

von der Spezifikation über die Realisierung bis hin zur 

Außerbetriebsetzung. 

DIN EN 61511 

Diese Norm beinhaltet die anwendungsspezifische 

Umsetzung der DIN EN 61508 speziell für die Prozessindustrie. 

Sie definiert die Anforderungen an sicherheitsbezogene 

Systeme, die in prozesstechnischen Anlagen zur 

Risikominderung eingesetzt werden. 

Sie richtet sich in erster Linie an Anlagenplaner und 

Anlagenbetreiber. 

Geltungsbereich der Normen 

Die Normen DIN EN 61508 und 61511 sind in der 

Europäischen Union bisher nicht verpflichtend, da sie nicht 

unter einer EU-Richtlinie harmonisiert sind. Dennoch ist 

ihre Einhaltung für Anlagenbetreiber und Gerätehersteller 

vorteilhaft: 

■ Bei Anlagen und Systemen, von denen Gefahren für 

Mensch und Umwelt ausgehen, wird die Methodik 

der Funktionalen Sicherheit heutzutage als „Stand der 

Technik“ angesehen und daher gefordert. 

■ Die Normen können zur Erfüllung grundlegender 

Anforderungen aus EU-Richtlinien verwendet werden, 

wenn aus einer harmonisierten Europäischen Norm 

auf sie verwiesen wird oder wenn keine harmonisierte 

Norm für den Anwendungsbereich besteht. 

■ Die Einhaltung der Normen DIN EN 61508 und 61511 

wird unter anderem von Behörden und Versicherungen 

zunehmend als Nachweis für eine Risikoanalyse 

mit ausreichender Reduzierung des Risikos vertraglich 

gefordert. 

■ Anlagenbetreiber und Gerätehersteller haben bei 

Produkten mit SIL-Zulassung die Gewissheit, dass die 

Produkte nach internationalen Standards beurteilt 

wurden und den ermittelten Sicherheits-Integritätslevel 

erreichen.

Wie wird Funktionale Sicherheit erreicht? 

Um Funktionale Sicherheit zu erreichen, müssen 

zunächst einmal die Risiken analysiert werden, die von 

einer Anlage oder einem Prozess ausgehen. 

Hier bieten die Normen DIN EN 61508 und 61511 eine 

anerkannte Methode zur Risikobeurteilung. Durch eine 

differenzierte sicherheitstechnische Beurteilung werden 

diejenigen Prozesse identifiziert, von denen tatsächlich 

eine Gefahr ausgeht. So können Maßnahmen zur Risikoreduzierung 

gezielt dort eingesetzt werden, wo sie wirklich 

nötig sind. 

Sicherheitstechnische Beurteilung 

Welche Prozesse sind gefährlich? 

Zunächst wird untersucht, von welchen Prozessen einer 

Anlage Gefahren für Mensch und Umwelt ausgehen. 

Üblicherweise sind dies nur wenige Prozesse. Zum 

Beispiel werden Basisprozesse für die Prozessregelung, die 

keine Schutzfunktion besitzen, nicht betrachtet. 

Festlegung der SIL Anforderungen 

Für jeden der gefahrbringenden Prozesse wird dann 

untersucht, wie groß Gefahr und Schadensausmaß infolge 

einer Fehlfunktion sein können. 

Risikograph für eine sicherheitstechnische Beurteilung nach 

DIN EN 61508/61511 

Ausgangspunkt 

für die 

Abschätzung der 

Risikominderung 

C1 

C2 

C3 

C4 

F1 

F2 

F1 

F2 

P1 

P2 

P1 

P2 

W3 W2 W1 

– 

SIL 1 















Zur Beurteilung kann ein Risikograph wie unten dargestellt 

zu Hilfe genommen werden. Je nach Größe der 

Gefahr und Eintrittswahrscheinlichkeit wird festgelegt, 

ob ein Prozess durch eine Sicherheitsfunktion abgesichert 

werden muss und welchen Sicherheits-Integritätslevel (SIL) 

diese Sicherheitsfunktion erreichen muss. 

Auswahl geeigneter Komponenten 

Entsprechend des erforderlichen SIL werden die Komponenten 

zur Realisierung der Sicherheitsfunktion ausgewählt. 

Um dies zu vereinfachen, lassen Gerätehersteller wie 

AUMA ihre Produkte auf ihre Eignung für die verschiedenen 

Sicherheits-Integritätslevel prüfen. 

Überprüfung der SIL Anforderungen 

Anhand von Sicherheitskennzahlen der eingesetzten 

Geräte wird für jede Sicherheitsfunktion überprüft, ob sie 

den geforderten SIL erreicht. Ist dies nicht der Fall, müssen 

zusätzliche Maßnahmen ergriffen werden. 









Schadensausmaß 

C1 Leichte Verletzung einer Person oder 

kleinere schädliche Umwelteinfl üsse 

C2 Schwere irreversible Verletzungen oder 

Tod einer Person 

C3 Tod mehrerer Personen 

C4 Tod sehr vieler Personen 

Gefahrenabwendung 

F1 Möglich unter bestimmten Bedingungen 

F2 Kaum möglich 

Aufenthaltsdauer einer Person 

im gefährdeten Bereich 

P1 Selten bis häufi g 

P2 Häufi g bis dauernd 

Eintrittswahrscheinlichkeit 

W1 Sehr gering 

W2 Gering 

W3 Relativ Hoch 

Geforderter Sicherheits- 

Integritätslevel 

SIL 1 Niedrigste Sicherheitsanforderung 

SIL 4 Höchste Sicherheitsanforderung 

| 7

Was ist eine Sicherheitsfunktion? 

Sicherheitsfunktionen sind Schutzmaßnahmen, die nur 

im Störfall aktiviert werden und dann verhindern, dass 

Personen, Umwelt und Sachwerte zu Schaden kommen. 

Funktionale Sicherheit wird erreicht, wenn Sicherheitsfunktionen 

in einer solchen Situation zuverlässig arbeiten. 

Typische Sicherheitsfunktionen sind zum Beispiel eine 

Notausschaltung oder die Drucküberwachung eines Kessels. 

Im Armaturenbereich sind in erster Linie die folgenden 

Sicherheitsfunktionen von Bedeutung: 

■ Sicheres Öffnen 

■ Sicheres Schließen 

■ Sicherer Stillstand/Stopp 

■ Sichere Endlagenrückmeldung 

8 | 

Sicheres Öffnen am Beispiel eines 

Überdruckventils 

Bei einem überdruckgefährdeten Kessel ist als Sicherheitsfunktion 

das Öffnen eines Überdruckventils vorgesehen. 

Ein Sensor überprüft kontinuierlich den Druck im 

Kessel. Wenn der Druck im System unzulässig groß wird, 

geht die Sicherheits-SPS von einem Fehler im System aus 

und gibt dem Antrieb das Signal zu öffnen, um den Kessel 

sicher zu entlasten. 

Sicherer Stopp am Beispiel einer Schleuse 

Befindet sich ein Schiff zwischen den geöffneten 

Schleusentoren, kann mit der Sicherheitsfunktion Sicherer 

Stopp das Schließen der Schleuse zuverlässig angehalten 

werden. 

Die Sicherheitsfunktion Sicherer Stopp kann auch als 

Verriegelungsfunktion verwendet werden. In dem Fall kann 

die Schleuse nur geschlossen werden, wenn das Signal 

„Sicherer Stopp“ nicht anliegt.

Komponenten eines typischen 

sicherheitstechnischen Systems 

■ Sensor [1] 

■ Sicherheits-SPS [2] 

■ Aktor [3] 

bestehend aus Antrieb und 

Armatur 

[1] 

Was ist ein sicherheitstechnisches System? 

Eine Sicherheitsfunktion wird durch die Komponenten 

eines sogenannten sicherheitstechnischen Systems (engl. 

Safety Instrumented System, SIS) realisiert. Ein solches 

System besteht ganz allgemein aus den Bestandteilen 

Sensor, übergeordnete Sicherheits-Steuerung und Aktor. 

Im Armaturenbereich besteht der Aktor aus den Komponenten 

Antrieb und Armatur. 

Bei der Beurteilung, ob eine Sicherheitsfunktion den 

geforderten SIL erreicht, müssen die Sicherheitskennzahlen 

aller Einzelkomponenten des sicherheitstechnischen Systems 

berücksichtigt werden (siehe auch Seite 12). 

[2] 

[3] 

| 9

Die wichtigsten Sicherheitskennzahlen 

Bei der Gefahrenbeurteilung eines Prozesses wird für 

jede Sicherheitsfunktion bestimmt, welchen SIL sie erfüllen 

muss. Danach werden dann geeignete Geräte zur Realisierung 

der Sicherheitsfunktion ausgewählt. 

Mittlere Ausfallwahrscheinlichkeit (PFD-Wert) 

Der PFD Wert (Average Probability of Dangerous 

avg 

Failure on Demand) beschreibt die mittlere Wahrscheinlichkeit, 

dass die Sicherheitsfunktion bei Anforderung nicht 

ausgeführt werden kann. 

In der DIN EN 61508 ist für jeden der vier Sicherheits- 

Integritätslevel ein zulässiger Bereich für die Ausfallwahrscheinlichkeit 

festgelegt. 

SIL 1 stellt die niedrigste Sicherheitsstufe dar, SIL 4 die 

höchste. Je höher die Sicherheitsstufe, desto geringer darf 

die Wahrscheinlichkeit sein, dass die Sicherheitsfunktion 

bei Anforderung ausfällt. 

Nicht nur die Größe des Risikos im Störfall spielt eine 

Rolle für die Sicherheit eines Systems. Entscheidend ist 

auch die Häufigkeit, mit der ein Störfall erwartet und somit 

die entsprechende Sicherheitsfunktion angefordert wird. 

Die DIN EN 61508 unterscheidet dazu die Betriebsarten 

Low Demand und High Demand (oder Continuous) Mode. 

Low Demand Mode 

Betriebsart mit niedriger Anforderungshäufigkeit, bei 

der die Sicherheitsfunktion nicht häufiger als einmal pro 

Jahr angefordert wird. Dies trifft typischerweise auf Sicherheitsfunktionen 

für die Prozessindustrie zu, die Stellantriebe 

einsetzen. 

Betrachtet wird hierbei nur die Sicherheitsfunktion. Ein 

Antrieb, der sowohl für eine Sicherheitsfunktion als auch 

zum „normalen“ Öffnen und Schließen eingesetzt wird, 

darf im Normalbetrieb durchaus häufiger eine Armatur 

öffnen und schließen. Ein Störfall in der Anlage, der das 

sichere Schließen der Armatur erfordert, darf jedoch nicht 

öfter als einmal pro Jahr erwartet werden. 

10 | 

Um die SIL-Fähigkeit eines Gerätes ermitteln zu können, 

verwenden die Normen DIN EN 61508 und 61511 die 

Methoden der Wahrscheinlichkeitsrechnung. 

Die wichtigsten Sicherheitskennzahlen werden im Folgenden 

erläutert. 

High Demand Mode (oder Continuous Mode) 

Betriebsart mit hoher bzw. kontinuierlicher Anforderungsrate, 

bei der die Sicherheitsfunktion entweder 

kontinuierlich arbeitet oder häufiger als einmal pro Jahr 

angefordert wird. 

Bei dieser Betriebsart wird als Maß für die Sicherheit die 

Ausfallwahrscheinlichkeit pro Stunde berechnet und als 

PFH-Wert angegeben (Probability of Failure per Hour). 

Erlaubte PFD-Werte für Low Demand Mode 

Sicherheits- 

Integritätslevel 

Erlaubter PFD avg Wert 

(Low Demand) 

Theoretisch erlaubte 

Ausfälle bei Anforderung 

der Sicherheitsfunktion 

SIL 1 ≥ 10 -2 bis < 10 -1 Ein erlaubter gefährlicher 

Ausfall in 10 Jahren 


Ausfall in 100 Jahren 


Ausfall in 1 000 Jahren 

SIL 4 ≥10 -5 bis < 10 -4 Ein erlaubter gefährlicher 

Ausfall in 10 000 Jahren 

Die PFD-Werte werden zunächst für jede Komponente 

eines sicherheitstechnischen Systems einzeln berechnet. 

Ein Sicherheits-Integritätslevel beschreibt jedoch eine 

Eigenschaft einer gesamten Sicherheitsfunktion und nicht 

die einer Einzelkomponente. Daher muss aus den PFD- 

Werten der Einzelkomponenten der Gesamt-PFD-Wert für 

die Sicherheitsfunktion berechnet werden.

Ausfallraten 

Für die Sicherheit eines Systems ist die Analyse möglicher 

Fehlerquellen von entscheidender Bedeutung. 

Bei der Betrachtung der Ausfallraten wird unterschieden, 

welche Fehler gefährlich und welche ungefährlich 

sind, also keinen Einfluss auf das korrekte Ausführen der 

Sicherheitsfunktion haben. Zudem wird untersucht, ob 

Fehler diagnostiziert werden können. 

Anteil Sicherer Fehler (SFF) 

Der SFF-Wert (Safe Failure Fraction) beschreibt den prozentualen 

Anteil ungefährlichen Fehler an der Gesamtfehlerzahl. 

Fehler sind ungefährlich, wenn sie das System nicht 

in einen gefährlichen Zustand versetzen können. 

Je höher dieser Wert ist, desto geringer ist die Wahrscheinlichkeit 

eines gefährlichen Systemausfalls. Ein Wert 

von beispielsweise 62 % bedeutet, dass 62 von 100 

Fehlern keine Auswirkung auf die sichere Funktion des 

Systems haben. 

Hardwarefehlertoleranz (HFT) 

Die HFT (Hardware Fault Tolerance) ist die Fähigkeit 

einer Funktionseinheit, eine geforderte Sicherheitsfunktion 

bei Bestehen von Fehlern oder Abweichungen weiter 

auszuführen. 

Eine Hardwarefehlertoleranz von N bedeutet, dass 

N + 1 Fehler zu einem Ausfall der Sicherheitsfunktion führen 

kann. Ist die Hardwarefehlertoleranz zum Beispiel Null, 

kann bereits ein Fehler zu einem Ausfall der Sicherheitsfunktion 

führen. 

Die HFT lässt sich in der Regel durch einen redundanten 

Systemaufbau erhöhen (siehe auch Seite 13). 

Gerätetyp 

Die DIN EN 61508 unterscheidet zwischen einfachen 

und komplexen Geräten. 

Einfache Geräte – Typ A 

Typ A Geräte sind „einfache“ Geräte, bei denen das 

Ausfallverhalten der Bauteile vollständig bekannt ist. 

Sie enthalten z.B. Relais, Widerstände und Transistoren, 

jedoch keine komplexen elektronischen Bauelemente wie 

z.B. Mikrocontroller. 

Komplexe Geräte – Typ B 

Typ B Geräte sind „komplexe“ Geräte, die elektronische 

Bauelemente wie Mikrocontroller, Mikroprozessoren und 

ASICs enthalten. Bei diesen Bauelementen und insbesondere 

bei softwaregesteuerten Funktionen ist es schwierig, 

alle Fehler vollständig zu bestimmen. 

Je komplexer die Geräte desto höher die 

Anforderungen 

Wie aus den folgenden beiden Tabellen ersichtlich wird, 

gelten für Typ B Geräte deutlich höhere Anforderungen als 

für Typ A Geräte. 

SFF und HFT für Typ A Geräte 

SFF (Anteil Sicherer 

HFT (Hardwarefehlertoleranz) 

Fehler) 

0 1 2 

< 60 % SIL 1 SIL 2 SIL 3 

60 % bis < 90 % SIL 2 SIL 3 SIL 4 


≥ 99 % SIL 3 SIL 4 SIL 4 

SFF und HFT für Typ B Geräte 

SFF (Anteil Sicherer 

HFT (Hardwarefehlertoleranz) 

Fehler) 

0 1 2 

< 60 % nicht erlaubt SIL 1 SIL 2 



≥ 99 % SIL 3 SIL 4 SIL 4 

Mittlere Betriebsdauer zwischen Ausfällen 

(MTBF) 

Die mittlere Betriebsdauer zwischen Ausfällen (Mean 

Time Between Failures) in Jahren beschreibt die theoretische 

Betriebszeit zwischen zwei aufeinander folgenden 

Ausfällen und ist ein Maß für die Zuverlässigkeit. Sie ist 

nicht mit der Lebensdauer oder der Gebrauchsdauer eines 

Systems zu verwechseln. 

| 11

Ein Sicherheits-Integritätslevel wird immer für die 

gesamte Sicherheitsfunktion gefordert. Deshalb reicht es 

nicht aus, nur die PFD-Werte für die einzelnen Komponenten 

zu betrachten. 

Ermittlung der SIL-Fähigkeit 

Berechnung des Gesamt-PFD-Wertes einer Sicherheitsfunktion 

PFD-Wert 

Sensor 

PFD = 3,63 x 10-3 = SIL 2 

12 | 

PFD-Wert 

Sicherheits-SPS 


+ + 

PFD-Wert 

Antrieb 


SIL-Fähigkeit einer Sicherheitsfunktion 

Zur Ermittlung der SIL-Fähigkeit einer Sicherheitsfunktion 

müssen die PFD-Werte der einzelnen Komponenten 

addiert werden. Der so berechnete Gesamt-PFD-Wert der 

Sicherheitsfunktion wird dann mit der erlaubten Gesamtausfallwahrscheinlichkeit 

für den geforderten SIL verglichen. 

So zeigt die unten stehende Abbildung, dass zum 

Beispiel die ausschließliche Verwendung von SIL 2-fähigen 

Komponenten noch keine Garantie dafür ist, dass 

die Sicherheitsfunktion als Ganzes ebenfalls SIL 2 erfüllt. 

SIL 2 ist nur dann gegeben, wenn der PFD-Wert für alle 

Komponenten zusammen innerhalb des für SIL 2 erlaubten 

Bereiches liegt. 

PFD-Wert 

Armatur 


+ = 

Gesamt-PFD-Wert 

Sicherheitsfunktion 

PFD = 1,07 x 10-2 = SIL 1

Zeigen die Berechnungen, dass mit den ausgewählten 

Hardwarekomponenten der geforderte SIL nicht erreicht 

wird, lässt sich die SIL-Fähigkeit durch Maßnahmen wie 

zusätzliche Diagnose oder Redundanz verbessern. 

Partial Valve Stroke Test (PVST) 

Mit Hilfe des Partial Valve Stroke Tests wird in regelmäßigen 

Abständen die Funktion des Gerätes geprüft. Der 

Antrieb bzw. die Armatur fährt einen definierten Weg 

vor und wieder zurück. Damit wird geprüft, ob sich der 

Antrieb tatsächlich bewegt. 

Der PVST ist eine anerkannte Methode, die Verfügbarkeit 

von Einzelkomponenten einer Sicherheitsfunktion zu 

erhöhen. Durch die vorbeugende Diagnose lassen sich 

einige sicherheitsrelevante Fehler ausschließen; die Ausfallwahrscheinlichkeit 

nimmt ab. 

Wiederholungsprüfung (Proof Test) 

Hier handelt es sich um eine umfangreiche Systemüberprüfung. 

Wird das Intervall zwischen zwei solcher Prüfungen 

von zum Beispiel zwei Jahren auf ein Jahr verkürzt, 

kann sich die SIL-Fähigkeit verbessern, da bis dahin unerkannte 

Fehler aufgedeckt werden können. 

Verbesserung der SIL-Fähigkeit 

Redundanz 

Auch mit einem redundanten Systemaufbau lässt sich 

die Wahrscheinlichkeit erhöhen, dass eine Sicherheitsfunktion 

im Notfall ausgeführt werden kann. Dabei werden 

zwei oder mehr Geräte eines sicherheitstechnischen Systems 

redundant betrieben. 

Je nach Sicherheitsanforderung sind verschiedene MooN 

(„M out of N“) Konfigurationen sinnvoll. Bei einer 1oo2 

(„one out of two“) Konfiguration genügt zum Beispiel 

eines von zwei Geräten, um die Sicherheitsfunktion auszuführen. 

Bei einer 2oo3 („two out of three“) Konfiguration 

müssen zwei von drei Geräten korrekt arbeiten. Wie die 

konkrete Anordnung der Geräte aussieht, hängt auch von 

der geforderten Sicherheitsfunktion ab. Dies wird in den 

unten gezeigten Abbildungen für Sicheres Öffnen und 

Sicheres Schließen deutlich. 

Ein redundanter Systemaufbau kann die Hardwarefehlertoleranz 

und damit auch die SIL-Fähigkeit erhöhen. 

Für SIL 3 Anwendungen ist nach der DIN EN 61511 

Redundanz sogar zwingend vorgeschrieben. 

[1] Redundantes System für Sicheres Öffnen [2] Redundantes System für Sicheres Schließen 

| 13

SIL-Fähigkeit der AUMA Produkte 

Was unsere Kunden bewegt, das bewegt auch uns. Für 

Anlagenplaner und Anlagenbetreiber ist es von zentraler 

Bedeutung, geeignete Komponenten für die jeweiligen 

Sicherheitsanforderungen einzusetzen. Um unsere Kunden 

bei der Auswahl der Komponenten optimal zu unterstützen, 

haben wir in einem umfangreichen Verfahren die 

Sicherheitskennzahlen und damit die SIL-Fähigkeit der 

AUMA Stellantriebe, Steuerungen und Getriebe ermittelt. 

Beurteilte Sicherheitsfunktionen 

Die Sicherheitskennzahlen und damit auch die SIL-Fähigkeit 

sind abhängig von der Sicherheitsfunktion, die das 

Gerät im Notfall ausführt, um die Anlage in einen sicheren 

Zustand zu bringen. 

Da Stellantriebe vor allem dem automatisierten Öffnen 

und Schließen von Armaturen dienen, bewegen sich auch 

die Sicherheitsfunktionen der AUMA Antriebe innerhalb 

dieses Bereichs. 

Sicheres Öffnen/Sicheres Schließen 

Hier fährt der Antrieb bei Anforderung der Sicherheitsfunktion 

in Richtung Endlage AUF oder Endlage ZU. 

Eine Übersicht über alle bewerteten AUMA Produkte 

finden Sie auf Seite 23. 

Detaillierte Sicherheitskennzahlen für ausgewählte 

Antriebe finden Sie auf Seite 25. 

14 | 

Sicheres Öffnen/Sicheres Schließen mit 

Partial Valve Stroke Test (PVST) 

Als zusätzliche Diagnosemaßnahme wird ein Partial 

Valve Stroke Test in regelmäßigen Abständen durchgeführt, 

um die Funktion des Antriebs zu überprüfen und so 

die Wahrscheinlichkeit zu erhöhen, Ausfälle rechtzeitig zu 

entdecken. Dadurch lassen sich die Sicherheitskennzahlen 

verbessern. 

Sicherer Stillstand/Sicherer Stopp 

Der Motor des Antriebs wird bei Anforderung der 

Sicherheitsfunktion gestoppt. Ein unerwünschtes Anfahren 

des Motors wird verhindert. 

Sichere Endlagenrückmeldung 

Hier wird über die elektromechanische Steuereinheit 

eine sichere Meldung ausgegeben, sobald eine der Endlagen 

AUF oder ZU oder das Abschaltdrehmoment erreicht 

sind. Dies ist zwar keine Sicherheitsfunktion im Sinne der 

Norm, doch hat es sich in der Praxis als bedeutsam erwiesen, 

auch für diese Funktion Sicherheitskennzahlen zur 

Verfügung zu stellen. 

AUMA Antriebe ohne integrierte Steuerung 

Bei dieser Ausführung müssen die steuerungstechnischen 

Funktionen vom Kunden zur Verfügung 

gestellt werden. 

Beurteilt wurden die Antriebe SA .1, SA .2 und 

SG .1 sowie jeweils die Versionen für Regelbetrieb 

und Explosionsschutz. Die Antriebe werden als Typ 

A Geräte eingestuft. Die SIL-Fähigkeit ist abhängig 

vom Antrieb und von der Sicherheitsfunktion. SA .2 

Antriebe beispielsweise sind für alle Sicherheitsfunktionen 

SIL 2-fähig. SIL 3 lässt sich durch redundanten 

Systemaufbau erreichen.

AUMA Antriebe mit integrierter 

Steuerung AM 

Die AM als „einfache“ Steuerung mit diskretem 

Schaltungsaufbau und ohne komplexe elektrische 

Bauteile wird als Typ A Gerät eingestuft. 

Bewertet wurden die Antriebe SA .1, SA .2 

und SG .1. Die SIL-Fähigkeit ist abhängig von der 

Sicherheitsfunktion und von der Ausführung des 

Schaltplans. 

Die Die SA .2 Antriebe mit integrierter Steuerung 

AM sind in den betrachteten Ausführungen durchgängig 

SIL 2-fähig. SIL 3 lässt sich durch redundanten 

Systemaufbau erreichen. 

Die Sicherheitsfunktionen Sicheres Öffnen/ 

Sicheres Schließen können wahlweise über die 

Standard-Eingänge für Öffnen und Schließen 

realisiert werden oder über einen separaten NOT- NOT- 

Eingang. 

AUMA Antriebe mit integrierter Steuerung 

AC .2 in Ausführung SIL 

Mit der integrierten Steuerung AC .2 in Ausführung 

SIL steht eine moderne Steuerung für SIL 

2-Anwendungen zur Verfügung. Durch redundanten 

Systemaufbau lässt sich auch SIL 3 erreichten. 

Ausführliche Ausführliche Informationen zur AC .2 in AusAusführungführungg SIL SIL finden Sie auf den folgenden g Seiten. 

AUMA Antriebe mit integrierter Steuerung 

AC .1 

Die integrierte Steuerung AC .1 mit ihrer 

modernen Elektronik und komplexen elektrischen 

Bauteilen wird als Typ B Gerät eingestuft und unterliegt 

damit höheren Normanforderungen. Bewertet 

wurden die Antriebe SA .1 und SG .1. 

Die Antriebe mit integrierter Steuerung AC .1 

sind in den betrachteten Ausführungen durchgängig 

SIL 1-fähig. 

Auch bei der AC .1 .1 können die Sicherheitsfunktionen 


wahlweise über Standard-Eingänge oder über einen 

separaten NOT-Eingang realisiert werden. Zum 

Beispiel kann die Ansteuerung im Normalbetrieb 

mittels Feldbus über die Standard-Feldbussignale 

erfolgen, während die Sicherheitsfunktion direkt 

über den NOT-Eingang ausgeführt wird. 

AUMA Getriebe 

Für die AUMA Getriebe GS und GF wurden 

ebenfalls die Sicherheitskennzahlen bestimmt. 

Die betrachteten Getriebe sind durchgängig SIL 

2-fähig. 

| 15

Wer die integrierte Steuerung AC .2 kennt, schätzt ihre 

Vielfalt an Funktionen und Einstellmöglichkeiten. Ihre frei 

konfigurierbaren parallelen und Feldbus-Schnittstellen 

ermöglichen die einfache Einbindung in moderne Leitsysteme. 

Die AC .2 ist die ideale Steuerung für komplexe 

Steuer- und Regelfunktionen. Zusätzliche Diagnosefunktionen 

sorgen zudem für erhöhte Sicherheit und Verfügbarkeit 

des Antriebs. Hierzu zählen zum Beispiel die 

Betriebsdatenerfassung mit zeitgestempeltem Ereignisprotokoll, 

die kontinuierliche Erfassung von Temperaturen und 

Vibrationen im Antrieb und die Überwachung von Lebensdauerfaktoren. 

Um diese Funktionen auch für SIL 2- und SIL 3-Anwendungen 

nutzbar zu machen, hat AUMA ein spezielles SIL- 

Modul für die AC .2 entwickelt. 

16 | 

Das SIL-Modul 

Beim SIL-Modul handelt es sich um eine zusätzliche 

Platine, die für die Ausführung von Sicherheitsfunktionen 

zuständig ist. Diese Platine wird in den integrierten Steuerungen 

AC .2 und ACEx .2 eingesetzt. 

Kommt es zu einem Notfall und wird daher eine Sicherheitsfunktion 

angefordert, so wird die Standardlogik der 

AC .2 überbrückt und die Sicherheitsfunktion über das 

SIL-Modul ausgeführt. 

Auf dem SIL-Modul werden nur vergleichsweise einfache 

Bauelemente wie Transistoren, Widerstände und 

Kondensatoren eingesetzt, deren Ausfallraten vollständig 

bekannt sind. Deshalb gilt die AC .2 in Ausführung SIL als 

einfaches Typ A Gerät. Die ermittelten Sicherheitskennzahlen 

erlauben den Einsatz in SIL 2- und, in redundanter 

Ausführung (1oo2), in SIL 3-Anwendungen. 

SIL 2/SIL 3 für integrierte Steuerung AC .2 in Ausführung SIL 

Integrierte Steuerung AC .2 und SIL-Modul

Vorrang für die Sicherheitsfunktion 

Ein System mit einer AC .2 in Ausführung SIL vereint die 

Funktionen von zwei Steuerungen. Zum einen können die 

Standardfunktionen der AC .2 für den „Normalbetrieb“ 

verwendet werden. Zum anderen werden über das integrierte 

SIL-Modul die Sicherheitsfunktionen ausgeführt. 

Die Sicherheitsfunktionen haben dabei immer Vorrang 

vor dem Normalbetrieb. Dies wird dadurch gewährleistet, 

dass bei Anforderung einer Sicherheitsfunktion die 

Standardlogik der Steuerung durch eine Bypass-Schaltung 

umgangen wird. 

Signalverarbeitung rarbeitung bei der integrierten Steuerung g AC .2 iin 

iin 

Ausführung SIL 

Steuerung AC .2 in 

Ausführung SIL 

Signale einer „sicheren“ SPS 

Sicherheitsfunktionen Sicheres Öffnen, 

Sicheres Schließen, Sicherer Stopp 

Antrieb SA .2 

Die folgende Abbildung zeigt einen typischen Aufbau 

für ein System mit AC .2 in Ausführung SIL. Die AC .2 wird 

über zwei übergeordnete Steuerungen (SPS) angesteuert, 

eine „sichere“, also eine SIL-zugelassene SPS und eine 

„unsichere“ SPS. 

Der Normalbetrieb wird über die Befehle der unsicheren 

SPS gesteuert und durch die Standardlogik der AC .2 

verarbeitet. 

Bei einem Notfall wird der Normalbetrieb unterbrochen, 

und die Signale der sicheren SPS steuern den Antrieb über 

das integrierte SIL-Modul. 

Wird ein Antrieb mit AC .2 in Ausführung SIL als reines 

Sicherheitssystem genutzt, kann die Ansteuerung über die 

unsichere SPS entfallen. 

SIL-Modul Standardlogik AC .2 

Leistungsteil für Motorsteuersignal 

Schütz oder Thyristor 

Motor des Antriebs 

Signale einer „unsicheren“ SPS/ 

Signale der Ortssteuerstelle 

Normalbetrieb Fahre AUF, Fahre ZU, HALT 

| 17

Funktionen des SIL-Moduls 

Konfigurationsmöglichkeiten 

Die AC .2 in Ausführung SIL zeichnet sich durch eine 

Vielfalt an Konfigurationsmöglichkeiten aus. Im Werk wird 

bereits entsprechend der Kundenwünsche voreingestellt, 

welche Sicherheitsfunktion ausgeführt und wann eine 

Abschaltung der Fahrt erfolgen soll. Diese Einstellung 

erfolgt über DIP-Schalter auf dem SIL-Modul. 

Sicherheitsfunktionen 

Die folgenden Sicherheitsfunktionen können mit Hilfe 

der AC .2 in Ausführung SIL realisiert werden: 

■ Sicheres Öffnen/Schließen 

(Safe ESD, Emergency Shut Down) 

Der Stellantrieb fährt in die konfigurierte Richtung AUF 

bzw. ZU. Für zusätzliche Sicherheit ist der Signaleingang 

redundant ausgeführt. 

■ Sicherer Stopp (Safe Stop) 

Bei dieser Sicherheitsfunktion wird ein Fahrbefehl der 

unsicheren SPS in Richtung AUF oder ZU nur dann 

ausgeführt, wenn ein zusätzliches Freigabesignal des 

SIL-Moduls anliegt. 

Falls das Freigabesignal fehlt, wird eine Fahrt in 

Richtung AUF bzw. ZU gestoppt oder erst gar nicht 

gestartet. 

■ Sicheres Öffnen/Schließen kombiniert mit Sicherem 

Stopp 

In diesem Fall besitzt die Funktion Sicheres Öffnen/ 

Sicheres Schließen die höhere Priorität. 

Zusätzlich ist über den Stellantrieb die sichere Endlagenrückmeldung 

möglich. 

18 | 

Abschaltkriterien 

Wie für den Normalbetrieb kann auch für die Sicherheitsfunktionen 

festgelegt werden, in welchen Fällen 

der Antrieb abschaltet. Während im Normalbetrieb die 

Abschaltkriterien den Schutz von Armatur und Antrieb 

gewährleisten, kann es im Anforderungsfall einer Sicherheitsfunktion 

jedoch vorrangig sein, die Armatur unbedingt 

zu öffnen bzw. zu schließen. Ein Schaden am Antrieb 

oder an der Armatur wird dann gegebenenfalls in Kauf 

genommen. 

Insgesamt stehen für Sicherheitsfunktionen die folgenden 

Abschaltkriterien zur Verfügung: 

■ Wegabhängige Abschaltung 

Sobald der eingestellte Schaltpunkt in der Endlage 

AUF oder ZU erreicht wird, schaltet die Steuerung des 

Antriebs ab. Tritt während der Fahrt ein überhöhtes 

Drehmoment auf, zum Beispiel durch einen in der 

Armatur eingeklemmten Gegenstand, wird der Antrieb 

zum Schutz der Armatur abgeschaltet, bevor die Endlage 

erreicht wird. 

■ Abschaltung in der Weg-Endlage 

Der Stellantrieb stoppt erst, wenn die Endlage AUF 

oder ZU erreicht ist, unabhängig vom ausgeübten 

Drehmoment. 

■ Abschaltung in der Drehmoment-Endlage 

Der Stellantrieb stoppt erst beim Erreichen des eingestellten 

Endlagendrehmoments, unabhängig vom 

zurückgelegten Weg. 

■ Keine Abschaltung 

Hier werden Drehmoment- und Wegschalter überbrückt, 

um die Armatur unbedingt zu öffnen bzw. zu 

schließen. Um ein Verbrennen des Motors zu verhindern, 

empfehlen wir in diesem Fall, die AC .2 in Ausführung 

SIL mit Thermoschutzfunktion zu verwenden.

Laufüberwachung des Antriebs 

Über eine elektromechanische Laufüberwachung des 

Antriebs kann mit Hilfe des SIL-Moduls die Zuverlässigkeit 

des Systems überprüft werden. Wird ein Fahrbefehl 

ausgegeben, ohne dass der Antrieb daraufhin nach einer 

vordefinierten Zeit anfährt, aktiviert das SIL-Modul die SIL- 

Sammelfehlermeldung. 

Diese Laufüberwachung ist auch im Normalbetrieb aktiv. 

Sichere Ein- und Ausgänge 

Das SIL-Modul stellt drei sichere Eingänge und zwei 

sichere Ausgänge zur Verfügung: 

■ 1 redundant ausgeführter Eingang für Sicheres Öffnen/ 

Sicheres Schließen (es kann entweder Öffnen oder 

Schließen konfiguriert werden) 

■ 1 Eingang für Sicheren Stopp bzw. Freigabe in Richtung 

AUF 

■ 1 Eingang für Sicheren Stopp bzw. Freigabe in Richtung 

ZU 

■ 1 Ausgang zur Meldung eines SIL-Sammelfehlers 

■ 1 Ausgang zur Meldung „System bereit“ 

Unterstützendes Display 

Informationen über den Status des SIL-Moduls, wie 

zum Beispiel das Ausführen einer Sicherheitsfunktion oder 

das Anstehen der SIL-Sammelfehlermeldung, werden mit 

entsprechenden Symbolen und Texten auf dem Display der 

AC .2 angezeigt. 

| 19

Um eine fundierte und nachvollziehbare Aussage über 

die SIL-Fähigkeit der AUMA Geräte machen zu können, 

wurden Sicherheitskennzahlen ermittelt. 

Die Normen DIN EN 61508 und 61511 sehen dazu zwei, 

teilweise verschiedene Verfahren vor: die Hardware-Beurteilung 

und die vollständige Bewertung. 

Bereits existierende Geräte hat AUMA anhand einer 

Hardware-Beurteilung bewerten lassen. Dazu zählen die 

Stellantriebe SA und SG, die integrierten Steuerungen AM 

und AC .1 und die Getriebe GS und GF. 

Die Entwicklung der integrierten Steuerung AC .2 in 

Ausführung SIL dagegen ist vollständig bewertet. Dabei 

werden nicht nur zufällige sondern auch systematische 

Fehler in allen Phasen des Produktlebenszyklus betrachtet, 

von der Spezifikation bis hin zur Außerbetriebsetzung des 

Produkts. 

20 | 

Bestehende Produkte 

Zur Bewertung bereits bestehender Komponenten sehen 

die Normen DIN EN 61508 und 61511 eine Eignungsaussage 

auf der Basis einer Hardware-Beurteilung eines 

Gerätes vor. 

Für die einzelnen Komponenten werden Sicherheitskennzahlen 

ermittelt, anhand derer die SIL-Einstufung 

vorgenommen werden kann. 

Als Grundlage für die Hardware-Beurteilung wurden für 

AUMA Steuerungen generische Daten verwendet und für 

AUMA Antriebe Feldrücklaufdaten. 

Generische Daten für AUMA Steuerungen 

Generische Daten sind statistisch ermittelte Ausfallraten 

für einzelne Bauelemente, die in speziellen Datenbanken, 

sogenannten „Reliability data books“, gelistet sind. 

Beispiele sind die SIEMENS Norm SN29500 oder das EXIDA 

Handbuch. 

Für die elektronischen Bauelemente, die in AUMA Produkten 

verwendet werden, wurden die Sicherheitskennzahlen 

auf Grundlage des EXIDA Handbuchs ermittelt. 

Ermittlung der Sicherheitskennzahlen für AUMA Produkte

Feldrücklaufdaten für AUMA Antriebe 

Für mechanische Komponenten sind nur wenige generische 

Daten verfügbar. Hier werden über Feldrücklaufdaten, 

zum Beispiel Fehlerrückmeldungen während der Garantiezeit, 

und über Versuchsergebnisse Rückschlüsse auf die 

Zuverlässigkeit der entsprechenden Bauteile gezogen. 

Bei der Ermittlung der Sicherheitskennzahlen der AUMA 

Antriebe wurden Daten aus den letzten zehn Jahren ausgewertet. 

FMEDA 

Die FMEDA (Fehlermöglichkeits-, Einfluss- und Diagnoseabdeckungsanalyse) 

ist eine nach der DIN EN 61508 

anerkannte Methode, um Sicherheitskennzahlen zu 

berechnen. 

Diese Analyse erfolgt in definierten Schritten, die dokumentiert 

und jederzeit nachvollziehbar sind. 

Mit Hilfe der FMEDA werden mögliche Fehlerszenarien 

und die jeweiligen Eintrittswahrscheinlichkeiten untersucht. 

Zudem wird analysiert, ob die möglichen Fehler für 

die Sicherheitsfunktion gefährlich sind oder nicht und ob 

sie diagnostiziert und damit erkannt werden können. 

Vorgehensweise bei 

der Ermittlung der 

Sicherheitskennzahlen 

Generische Daten 

(AUMA Steuerungen) 

FMEDA 

Feldrücklaufdaten 

(AUMA ( Stellantriebe) 

Ausfallraten der Systemkomponenten 

Kategorisierte Ausfallraten des Systems 

safe dangerous detected dangerous undetected 

Berechnung der Sicherheitskennzahlen 

PFD SFF HFT DC avg D 

Aus den so ermittelten Ausfallraten werden Ausfallwahrscheinlichkeiten 

(PFD -Werte) und weitere Sicher- 

avg 

heitskennzahlen wie Safe Failure Fraction (SFF) und Diagnosedeckungsgrad 

(DC ) berechnet. 

D 

EXIDA Berichte und Zertifikate 

Die Sicherheitskennzahlen für die AUMA Produkte wurden 

in Zusammenarbeit mit EXIDA ermittelt, der größten 

internationalen Zertifizierungsagentur in diesem Bereich. 

Die Ergebnisse der Untersuchungen liegen in Form von 

EXIDA-Berichten vor. 

In der Tabelle auf Seite 23 werden alle sicherheitstechnisch 

bewerteten AUMA Produkte aufgeführt. 

| 21

Ermittlung der Sicherheitskennzahlen für AUMA Produkte 

Vollständige Bewertung für Neuentwicklungen 

Bei der integrierten Steuerung AC .2 in Ausführung SIL Systematische Fehler 

handelt es sich um eine Entwicklung, für die eine vollständige 

Bewertung nach DIN EN 61508 durchgeführt wurde. 

Bewertet wurde dabei das Gesamtsystem bestehend aus 

einem Stellantrieb SA .2 und einer Steuerung AC .2 in Ausführung 

SIL. Die Zertifizierung wurde durch den TÜV Nord 

durchgeführt. 

Was wurde geprüft? 

Gegenüber der reinen Hardware-Beurteilung bereits 

bestehender Produkte werden bei der vollständigen 

Bewertung zusätzlich zum Beispiel die Entwicklungs- und 

Produktionsabläufe geprüft und zertifiziert, um systematische 

Fehler möglichst zu vermeiden. 

Die unten gezeigte Abbildung verdeutlicht den Grundgedanken 

einer vollständigen Bewertung nach DIN EN 

61508. Betrachtet werden dabei sowohl die systematischen 

Fehler eines Produkts als auch die zufälligen Fehler. 

Grundprinzip einer vollständigen Bewertung 

22 | 

Systematische Fehler 

Prinzipiell vermeidbar 

Ziel: Fehlervermeidung 

Functional Safety 

Management (FSM) System 

Fehler hler vermieden Fehler Feehler 

nicht vermieden 

Systematische Fehler sind in der Regel Entwicklungsoder 

Fertigungsfehler und sind prinzipiell vermeidbar. Mit 

Hilfe eines Functional Safety Management Systems werden 

mögliche Fehlerquellen gesucht und Maßnahmen ergriffen, 

um die systematischen Fehler zu vermeiden. 

Functional Safety Management System 

Ein Functional Safety Management (FSM) System kann 

als Erweiterung eines Qualitätsmanagementsystems 

betrachtet werden. Durch die darin beschriebenen Regelungen 

und Definitionen kann ein Großteil der systematischen 

Fehlerquellen ausgeräumt werden. 

Zufällige Fehler 

Prinzipiell nicht vermeidbar 

Ziel: Fehlerbeherrschung 

Maßnahmen 

Diagnose, Redundanz 

Ermittlung der 

Sicherheitskennzahlen

Zufällige Fehler 

Zufällige Fehler sind zum Beispiel bedingt durch äußere 

Störungen und werden als prinzipiell nicht vermeidbar 

betrachtet. Daher müssen Möglichkeiten geschaffen werden, 

um diese Fehler so weit wie möglich zu beherrschen. 

Geeignete Maßnahmen sind zum Beispiel zusätzliche 

Systemüberwachung und Systemdiagnose sowie redundanter 

Aufbau. 

AUMA Antriebe und Steuerungen mit SIL-Bewertung 

Für alle sicherheitstechnisch bewerteten AUMA Antriebe und Steuerungen können Sie die Prüfberichte direkt bei 

AUMA anfordern. Zudem sind Zusammenfassungen für die verschiedenen Produkt-Konfigurationen verfügbar. 

Beispieldaten finden Sie ab Seite 25. 

Antrieb Steuerung Sicherheitsfunktion Prüfbericht 

SA/SAR 07.1 – 16.1 

ohne integrierte Steuerung Sicheres Öffnen/Schließen 

EXIDA Bericht Nr. AUMA 07/07-32 R003 

SAExC/SARExC 07.1 – 16.1 

Sicheres Öffnen/Schließen mit PVST 

SG 05.1 – 12.1 

Sicherer Stillstand/Stopp 

SGExC 05.1 – 12.1 

Sichere Endlagenrückmeldung EXIDA Bericht Nr. AUMA 10-12-035 R005 


ohne integrierte Steuerung Sicheres Öffnen/Schließen 

EXIDA Bericht Nr. AUMA 10-03-053 R006 

SAEx/SAREx 07.2 – 16.2 





AM 01.1/02.1 

Sicheres Öffnen/Schließen 


SAExC/SARExC 07.1 – 16.1 AMExC 01.1 




AMExB 01.1 



SAEx/SAREx 07.2 – 16.2 



AC 01.1 

Sicheres Öffnen/Schließen 


SAExC/SARExC 07.1 – 16.1 ACExC 01.1 







AC 01.2 in Ausführung SIL Sicheres Öffnen/Schließen 

SAEx/SAREx 07.2 – 16.2 ACExC 01.2 in Ausführung Sicheres Öffnen/Schließen mit PVST 

SIL 

Sicherer Stopp 


AUMA Getriebe mit SIL-Bewertung 

Ermittlung der Sicherheitskennzahlen 

Die trotz aller Maßnahmen verbleibenden Fehler müssen 

quantitativ erfasst werden, um das verbleibende Restrisiko 

beurteilen zu können. Dazu werden die Sicherheitskennzahlen 

wie die Ausfallwahrscheinlichkeit der Produkte 

ermittelt und dem Endanwender zur Verfügung gestellt. 

Dieser Vorgang läuft bei AUMA nach der gleichen Vorgehensweise 

ab wie bei der reinen Hardware-Beurteilung 

(siehe Seite 21). 

Auch für AUMA Getriebe stehen Prüfberichte zur Verfügung, die Sie anfordern können. Die Sicherheitskennzahlen der 

Getriebe sind von der Sicherheitsfunktion unabhängig. 

Getriebe Prüfbericht 

GS 50.3 – 250.3, GS 315 – 500 

GF 50.3 – 250.3 


| 23

Sicherheitskennzahlen für ausgewählte AUMA Produkte 

Nachfolgend sind beispielhaft die Sicherheitskennzahlen für ausgewählte Antriebe und Steuerungen aufgeführt. Die 

Sicherheitskennzahlen sind abhängig von der Sicherheitsfunktion, da die Definition des sicheren Zustands unterschiedlich 

sein kann und somit eine unterschiedliche Betrachtungsweise notwendig ist. 

Bei Antrieben mit integrierter Steuerung sind die Sicherheitskennzahlen zudem abhängig von der Ausführung des 

Schaltplans, da unterschiedliche Bauelemente mit entsprechend unterschiedlichen Ausfallraten eingesetzt werden. Insgesamt 

wurden Sicherheitskennzahlen für ca. 150 verschiedene Versionen ermittelt. 

24 | 

Weitere Daten erhalten Sie gern auf Anfrage. 

Drehantriebe SA/SAR 07.2 – SA/SAR 16.2 und SAEx/SAREx 07.2 – SAEx/SAREx 16.2 

ohne integrierte Steuerung 

SA .2 

SAEx.2 

EXIDA EX Bericht 

AUMA 10-03-052 R006 

Version V1 

Si Sicherheitsfunktion Sicheres Öffnen/Sicheres Schließen 

safe 367 FIT 367 FIT 

s 

D 

DD 0 FIT 162 FIT 

D 

DU 203 FIT 41 FIT 

DC D 

0 % 80 % 

D 

MTBF M 

200 Jahre 200 Jahre 

SFF SF 

64 % 92 % 

SIL-Fähigkeit2) SIL 23) SIL 23) T [p 

T [p 

T [p 

SIL 

T [proof] = 1 Jahr PFD avg = 1,05 x 10 -3 PFD avg = 4,96 x 10 -4 

T [proof] = 2 Jahre PFD avg = 1,92 x 10 -3 PFD avg = 6,55 x 10 -4 


Drehantriebe SAEx/SAREx 07.2 – SAEx/SAREx 16.2 

mit Steuerung AMExC 01.1 

SAEx.2 mit AMExC .1 

EXIDA Bericht 

AUMA 07/07-32 R003 

Version V53 

AUMA 10-03-052 R006 

Version V2 


mit PVST1) Als Beispiel werden die Daten für den Schaltplan MSP E310KC3–FF8EC TPA00R2AB-1E1-000 dargestellt. Die Fehlerauswertung 

erfolgt über das Sammelstörmelderelais K9. 

AUMA 07/07-32 R003 

Version V54 

Sicherheitsfunktion Sicheres Öffnen/ Sicheres Schließen 

Sicheres Öffnen/ Sicheres Schließen 

mit PVST1) safe 808 FIT 802 FIT 

DD 367 FIT 849 FIT 

DU 647 FIT 48 FIT 

DC D 36 % 95 % 

MTBF 62 Jahre 66 Jahre 

SFF 64 % 97 % 

T [proof] = 1 Jahr PFD avg = 2,82 x 10 -3 PFD avg = 3,65 x 10 -4 



SIL-Fähigkeit 2) SIL 2 3) SIL 2 3) 

1 Der Partial Valve Stroke Test soll mindestens 10 Mal häufi ger durchgeführt werden, als die zu erwartende 

Anforderungsrate. 

2 SIL Fähigkeit bedeutet, dass die errechneten Daten innerhalb des Bereichs für den entsprechenden SIL liegen, 

aber bedeutet nicht, dass alle DIN EN 61508 relevanten Bedingungen erfüllt werden. 

3 SIL 3 kann bei redundantem Systemaufbau erreicht werden (1oo2).

Legende 

Kennzahl Erklärung 

Lambda Safe – Anzahl der sicheren Ausfälle pro 

safe 

Zeiteinheit 

Ein Wert gibt eine Ausfallrate an, d.h. die Anzahl der 

Ausfälle einer Komponente pro Zeiteinheit. Die Ausfallraten 

werden benötigt, um Ausfallwahrscheinlichkeiten 

zu berechnen. 

Die Einheit Failure in Time (FIT) gibt dabei die Anzahl der 

Ausfälle an, die in 109 Stunden auftreten: 1 FIT heißt ein 

Ausfall pro 109 Stunden beziehungsweise ein Ausfall pro 

114.000 Jahre. 

Ein Ausfall gilt als sicher oder nicht gefahrbringend, 

wenn das System durch ihn nicht in einen gefährlichen 

Zustand versetzt wird. 

Lambda Dangerous Detected – Anzahl der entdeck- 

DD 

ten gefährlichen Ausfälle pro Zeiteinheit 

Angeben wird die Anzahl der durch Diagnosetests 

erkannten gefährlichen Ausfälle pro 109 Stunden. 

Ein Ausfall einer Komponente wird als gefährlich 

eingestuft, wenn dadurch eine Sicherheitsfunktion nicht 

ausgeführt werden kann. 

Lambda Dangerous Undetected – Anzahl der unent- 

DU 

deckten gefährlichen Ausfälle pro Zeiteinheit 

Angegeben wird die Anzahl der nicht erkannten gefährlichen 

Ausfälle pro 109 Stunden. 

DC Diagnostic Coverage of Dangerous Failures – 

D 

Diagnosedeckungsgrad gefährlicher Fehler 

Anteil der durch Maßnahmen zur Fehlerdiagnose 

erkannten Rate gefahrbringender Ausfälle an der 

DD 

Gesamtrate der gefahrbringenden Ausfälle in Prozent. 

MTBF Mean Time Between Failure – Mittlere Betriebsdauer 

zwischen Ausfällen 

Beschreibt die Betriebsdauer zwischen zwei aufeinander 

folgenden Ausfällen einer Komponente. Die reine MTBF 

Angabe bezieht sich auf die Verfügbarkeit (Reliability) 

eines Gerätes. 

Kennzahl Erklärung 

SFF SFF Safe Failure Fraction – Anteil ungefährlicher 

Ausfälle 

Beschreibt den prozentualen Anteil ungefährlicher Fehler, 

die nicht zum Ausfall des Systems führen können. 

Je höher dieser Wert ist, desto geringer ist die Wahrscheinlichkeit 

des gefährlichen Systemausfalls. Ein Wert 

von 62 % bedeutet, dass 62 von 100 Fehlern am System 

im Hinblick auf seine sichere Funktion unbedenklich sind. 

T proof Intervall für Wiederholungsprüfungen 

Die Sicherheitskennzahlen gelten für eine festgelegte 

Betriebsdauer. Danach ist eine Wiederholungsprüfung 

(Proof Test) unbedingt erforderlich, um die Zuverlässigkeit 

der Geräte weiterhin sicherzustellen. 

Der PFD-Wert lässt sich verbessern, indem die Zeit 

zwischen zwei Wiederholungsprüfungen verkürzt wird. 

Werte unterhalb von einem Jahr sind jedoch nicht 

sinnvoll. 

PFD avg Probability of Failure on Demand 

Mittlere Wahrscheinlichkeit Gefahr bringender Ausfälle 

einer Sicherheitsfunktion im Anforderungsfall. 

SIL-Fähigkeit Zuordnung zu dem entsprechenden Sicherheits-Integritätslevel 

anhand des PFD avg Wertes einer Komponente. 

Grundlage ist hier das T proof Intervall von einem Jahr. 

Dabei ist zu beachten, dass für den SIL eines gesamten 

sicherheitstechnischen Systems die PFD-Werte aller 

Komponenten addiert werden müssen (siehe auch Seite 

12). 

| 25

Weiterführende Informationen 

Diese Broschüre kann nur eine Einführung in das Thema 

Funktionale Sicherheit bieten. Wer sich eingehender mit 

dem Thema beschäftigen möchte, findet unter anderem an 

folgenden Stellen weiterführende Informationen: 

■ Norm DIN EN 61508 Teil 1 – 7 

■ Norm DIN EN 61511 Teil 1 – 3 

■ Fachbuch „Funktionale Sicherheit“ von Josef Börcsök 

■ atp edition Ausgabe 1-2/2011 

26 | 

ZERTIFIKAT 

Die Zertifizierungsstelle 

der TÜV SÜD Management Service GmbH 

bescheinigt, dass das Unternehmen 

AUMA Riester GmbH & Co. KG 

Aumastr. 1 

D-79379 Müllheim 

für den Geltungsbereich 

Entwicklung, Herstellung, Vertrieb und Service von 

elektrischen Stellantrieben, Antriebssteuerungen und 

Getrieben zur Armaturenautomatisierung sowie 

Komponenten für die allgemeine Antriebstechnik 

ein Qualitäts-, Umwelt- und Sicherheitsmanagementsystem 

eingeführt hat und anwendet. 

Durch Audits, dokumentiert im Auditbericht (Bericht-Nr. 70009378), 

wurde der Nachweis erbracht, dass diese Managementsysteme 

die Forderungen folgender Normen erfüllen: 

ISO 9001:2008 

ISO 14001:2004 

BS OHSAS 18001:2007 

Dieses Zertifikat ist gültig in Verbindung 

mit dem Hauptzertifikat bis 2015-06-08 

Zertifikat-Registrier-Nr. 12 100/104/116 4269/01 TMS

Index 

A 

Anteil Sicherer Fehler 11 

Anteil ungefährlicher Ausfälle 25 

Ausfallraten 11, 25 

Ausfallwahrscheinlichkeit 10, 25 

Average Probability of Dangerous Failure on 

Demand 10, 25 

B 

Betriebsarten 10 

C 

Continuous Mode 10 

D 

Diagnosedeckungsgrad 25 

Diagnostic Coverage 25 

DIN EN 61508 4, 6 

DIN EN 61511 4, 6 

Drehantriebe 14, 15, 23 

E 

EXIDA 20, 21 

F 

Fehler 

systematische 22 

zufällige 23 

Feldrücklaufdaten 21 

FMEDA 21 

Funktionale Sicherheit 

Defi nition 4 

Normen 6 

G 

Generische Daten 20 

Gerätetyp 11 

Gesamt-PFD-Wert 12 

Getriebe 15, 23 

H 

Hardware Failure Tolerance 11 

Hardwarefehlertoleranz 11 

HFT 11 

High Demand Mode 10 

I 

Integrierte Steuerung 15, 23 

Intervall für Wiederholungsprüfung 25 

L 

Lambda-Werte 25 

Low Demand Mode 10 

M 

Mean Time Between Failures 11, 25 

Mittlere Ausfallwahrscheinlichkeit 10, 25 

Mittlere Betriebsdauer zwischen Ausfällen 

11, 25 

MTBF 11, 25 

P 

Partial Valve Stroke Test 13 

PFD-Wert 10, 25 

PFH-Wert 10 

Probability of Failure on Demand 10, 25 

Probability of Failure per Hour 10 

Proof Test 13, 25 

PVST 13 

R 

Redundanz 13 

Risikoanalyse 7 

Risikograph 7 

S 

Safe Failure Fraction 11, 25 

Safety Integrity Level 5 

Schwenkantriebe 14, 15, 23 

SFF 11, 25 

Sicherheitsbezogenes System 6 

Sicherheitsfunktion 4, 8, 14, 18 

Sicherheits-Integritätslevel 5 

Sicherheitskennzahlen 

AUMA Produkte 23, 24 

Defi nitionen 10 

Ermittlung 20, 21, 22 

Sicherheitstechnische Beurteilung 7 

Sicherheitstechnisches System 9 

SIL 5, 10 

SIL-Fähigkeit 

AUMA Produkte 14, 15, 23, 25 

Ermittlung 12 

Verbesserung 13 

SIL-Modul 16, 18 

Systematische Fehler 22 

T 

Typ A Gerät 11 

Typ B Gerät 11 

W 

Wiederholungsprüfung 13, 25 

Z 

Zufällige Fehler 23 

| 27

AUMA Riester GmbH & Co. KG 

Postfach 1362 

D-79379 Müllheim 

Tel +49 7631-809-0 

Fax +49 7631-809-1250 

riester@auma.com 

Zertifikat-Registrier-Nr. 

12 100/104 4269 

[1] Drehantriebe 

SA 07.2 – SA 16.2 

SA 25.1 – SA 40.1 

Drehmoment von 10 bis 32 000 Nm 

Drehzahlen von 4 bis 180 min -1 

[2] Drehantriebe SA/SAR 

mit Steuerung AUMATIC 


Drehzahlen von 4 bis 180 min -1 

[3] Linearantriebe SA/LE 

Kombination aus Drehantrieb SA und 

Lineareinheit LE 

Schubkräfte von 

4 kN bis 217 kN 

Hübe bis 500 mm 

Stellgeschwindigkeiten 

von 20 bis 360 mm/min 

[4] Schwenkantriebe 

SG 05.1 – SG 12.1 


Stellzeiten für 90° von 4 bis 180 s 

[1] [2] 

[3] 

[4] [ [5] 5] 

[6] [7] 

[5] Schwenkantriebe SA/GS 

Kombination aus Drehantrieb SA und 

Schwenkgetriebe GS 

Drehmoment bis 675 000 Nm 

[6] Kegelradgetriebe 

GK 10.2 – GK 40.2 


[7] Stirnradgetriebe 

GST 10.1 – GST 40.1 


[8] Hebelgetriebe 

GF 50.3 – GF 250.3 


Änderungen vorbehalten. Angegebene Produkteigenschaften stellen keine Garantieerklärung dar. 

Y004.602/001/de/1.12 

Detaillierte Informationen zu den AUMA Produkten finden Sie im Internet unter: www.auma.com 

[8]

Funktionale Sicherheit – SIL - Auma.com

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?