Die sogenannte funktionale Sicherheit spielt eine zentrale Rolle für die Gesamtsicherheit von Maschinen und anderen technischen Systemen. Doch der Begriff klingt vage und seine genaue Bedeutung ist auf den ersten Blick schwer greifbar. Geht es darum, dass Sicherheit funktioniert oder dass sie funktional sein soll? Gäbe es auch eine nicht-funktionale oder dysfunktionale Sicherheit? Der folgende Leitartikel klärt auf und stellt die grundlegenden normativen Anforderungen zur funktionalen Sicherheit vor.
Was bedeutet funktionale Sicherheit?
Semantisch aufgelöst könnte man funktionale Sicherheit als „auf die Funktion der Maschine bezogene Sicherheit“ verstehen. Dies geht bereits in die richtige Richtung, bleibt jedoch unscharf. Konkreter wird der VDE: „Wenn sicherheitsgerichtete Steuerungen ihre Sicherheitsfunktionen zuverlässig erbringen, sprechen wir von funktionaler Sicherheit.“ Das heißt, es geht bei funktionaler Sicherheit um die Steuerungssysteme für sicherheitsrelevante Funktionen.
Der Begriff funktionale Sicherheit muss vor dem Hintergrund gesehen werden, dass Sicherheitsfunktionen, die von elektrischen, elektronischen oder programmierbaren elektronischen Systemen (E/E/PE) übernommen werden, oft recht komplex sind. Es ist kaum mehr möglich, alle potenziellen Betriebszustände und Fehlerarten zu definieren oder gar zu prüfen. Daher haben sich für Sicherheitsbetrachtungen neue Ansätze durchgesetzt, die nicht auf der Untersuchung einzelner Fälle basieren, sondern auf der Betrachtung von Wahrscheinlichkeiten. Dabei wird z.B. ermittelt, wie oft eine sicherheitsrelevante Funktion in einer bestimmten Zeiteinheit statistisch gesehen ausfällt. Ziel des Konstrukteurs muss sein, durch geeignete Steuerung von Sicherheitsfunktionen die Wahrscheinlichkeit von gefahrbringenden Ausfällen zu verringern oder die Folgen dieser Ausfälle zu beherrschen. Als Fachbegriff für diesen Aspekt der Sicherheit eines Systems hat sich der Begriff „Funktionale Sicherheit“ durchgesetzt.
Es geht bei funktionaler Sicherheit i. d. R. um Gefährdungen, die durch den Ausfall eines Steuerungssystems bedingt sind. Funktionale Sicherheit betrifft alle Fehlfunktionen und Störungen, die vom einwandfreien und korrekten Funktionieren der sicherheitsbezogenen Systeme und konkreten risikomindernden Maßnahmen abhängen. Dies umfasst sowohl das Reagieren eines Systems bzw. dessen Steuerung auf physikalische Faktoren wie auch auf Bedienungsfehler. Andere, nicht speziell auf die Sicherheitstechnik bezogene Risiken wie das Brandrisiko einer Maschine, ein Strahlungsrisiko oder Aspekte der Cybersecurity fallen nicht unter die funktionale Sicherheit. Anders formuliert: Wenn sämtliche sicherheitsbezogenen Steuerungen einer Maschine korrekt und zuverlässig funktionieren, ist die funktionale Sicherheit gegeben, gleichwohl können von der Maschine weitere Risiken ausgehen.
Funktionale Sicherheit basiert auf aktiven Systemen
Die funktionale Sicherheit bezieht sich stets auf aktive Systeme, passiv wirkende Schutzmaßnahmen werden nicht dazu gezählt. Daher fällt z.B. ein Detektor in einem Serverraum, der bei Rauch eine Löschanlage auslöst, unter die funktionale Sicherheit. Die lediglich passiv schützende T30-Brandschutztür des gleichen Serverraums gehört jedoch nicht dazu.
Funktionale Sicherheit als Anforderung an ein System, etwa eine Maschine, bedeutet zusammengefasst:
- Sämtliche Komponenten des Systems müssen stets so reagieren, dass es weder zu Verletzungen des Maschinenbedieners noch zu Schäden am System selbst oder an der Umgebung kommen kann.
- In jedem Fall muss das System die Fähigkeit besitzen, in einem sicheren Zustand zu bleiben bzw. einen sicheren Zustand einzunehmen, wenn zufällige oder systematische Ausfälle mit gefahrbringender Wirkung eintreten.
- Das Sicherheitskonzept muss nicht nur für den Normalzustand des Systems gelten, sondern auch bei allen anderen Betriebszuständen greifen wie Wartung, Fehlebedienung oder bei der Suche nach der Ursache einer Maschinenstörung.
Bereits die Maschinenrichtlinie nennt in Anhang I, Abschnitt 1.2.1 zentrale Anforderungen an die Sicherheit und Zuverlässigkeit von Steuerungen. Zum Aspekt der funktionalen Sicherheit sind im Wesentlichen die im folgenden Abschnitt vorgestellten Normen bzw. Normenreihen relevant.
Normenreihen und Klassifizierungsschemata für die funktionale Sicherheit
Als branchenübergreifende Sicherheitsgrundnorm für die funktionale Sicherheit gilt die DIN EN 61508, eine Normenreihe in 7 Teilen, die auf der IEC 61508 basiert. Dieser Basisnorm sind weitere Normen zugeordnet. Insbesondere für den Maschinenbau ist die DIN EN 62061 maßgeblich. Die DIN EN 62061 ist als sogenannte Sektornorm der Basisnorm DIN EN 61508 zugeordnet (s.u.).
Daneben gilt die DIN EN ISO 13849 (2 Teile) als Basisnorm zur funktionalen Sicherheit von Maschinensteuerungen. Diese harmonisierte Norm im Sinne der Maschinenrichtlinie hat sich seit ihrer Veröffentlichung 2012 bis 2015 als Standard für Maschinensteuerungen bewährt. Aus Sicht des Maschinenbauers und Konstrukteurs ist die Situation insofern unbefriedigend, als sich einerseits die Regelungsansprüche der beiden Normenkreise (zu den Basisnormen 61508 und 13849) überlappen, andererseits diese Normenkreise jedoch – wie im Folgenden geschildert – unterschiedliche Methoden und Klassifizierungsschemata verwenden.
Die Safety Integrity Level (SIL) der DIN EN 61508
Die DIN EN 61508 befasst sich mit der funktionalen Sicherheit von sicherheitsbezogenen elektrischen, elektronischen und programmierbaren elektronischen Systemen. Sie gilt als Standard für die funktionale Sicherheit in der Prozessindustrie. Die Abbildung zeigt die Bezüge der 7 Normenteile zu den technischen Sicherheitsanforderungen im Workflow.
Quelle: Normensteckbrief aus „Maschinenrichtlinie“, WEKA-Business-Portal
Eine zentrale Rolle in den Sicherheitsbetrachtungen gemäß DIN EN 61508 spielt der sogenannte Safety Integrity Level (SIL). Diese Sicherheits-Integritätsstufe ist ein Maß für die Qualität der für eine bestimmte Maschine konkret auszuwählenden Sicherheitsfunktionen. Je höher die Risiken sind, die von einer Maschine ausgehen, desto höher werden auch die Anforderungen an die Zuverlässigkeit ihrer Sicherheitsfunktionen.
SIL stellt ein Klassifizierungsschema für komplette Sicherheitssysteme dar, die i. d. R. aus Sensor, Steuerung und Aktor bestehen. Die Einteilung basiert auf Versagenswahrscheinlichkeiten und betrachtet den gesamten Lebenszyklus eines Systems. Dabei werden zwei Szenarien unterschieden und wie folgt durch unterschiedliche Faktoren ausgedrückt:
PFD (Average Probability of Failure to perform its Design Function on Demand): die mittlere Ausfallwahrscheinlichkeit einer Funktion bei Anforderung.
PFH: (Average Probability of Failure to perform its Design Function per Hour): die mittlere Ausfallwahrscheinlichkeit einer Funktion pro Stunde. Dieser auf die Betriebszeit bezogene Faktor ist für den Maschinenbau meist relevanter als der Faktor PFD.
Die DIN EN 61508 legt vier verschiedene Sicherheitsstufen (SIL 1 bis SIL 4) fest, wobei SIL 4 die höchsten Anforderungen an die Sicherheit stellt. Die Anforderungen von SIL 4 sind so hoch, dass diese Stufe für die Sicherheit von Maschinen oder Fahrzeugen gar nicht relevant ist, hier treten nur SIL 1, 2 und 3 auf. Welches SIL-Level jeweils erforderlich ist, muss anhand von Risikobeurteilungen ermittelt werden.
Die DIN EN 61508 als branchenübergreifende Sicherheitsgrundnorm
Von der IEC 61508 als Basisnorm leiten sich viele weitere Normen ab, die das Konzept der funktionalen Sicherheit auf zahlreiche Industriezweige und Anwendungen übertragen.
Die DIN EN 62061 als Basisnorm für die Maschinensicherheit
Als weiterer zentraler normativer Standard für die Maschinensicherheit gilt die oben bereits genannte DIN EN 62061. Ihr Titel lautet im Volltext „Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbar elektronischer Steuerungssysteme“. Diese Norm befasst sich mit der funktionalen Sicherheit im Hinblick auf sicherheitsrelevante Steuerungssysteme von bzw. für Maschinen. Je nach Maschinentyp müssen die Steuerungssysteme bestimmte Anforderungen erfüllen, damit das notwendige Maß an Sicherheit für den Maschinenbediener gegeben ist. Dabei kann es sich um elektrische, elektronische, elektronisch programmierbare Steuerungstechnologien oder um Kombinationen dieser Systeme handeln. Auch die erforderlichen Validierungsprozesse durch Analysen und Prüfungen werden von der DIN EN 62061 erfasst.
Die Performance Level der EN ISO 13849
Ein weiteres Verfahren der Risikobeurteilung – neben den oben geschilderten SIL – ist in der EN 61508 beschrieben. Während die EN 61508 eher auf die chemische Industrie zugeschnitten ist, richtet sich die EN ISO 13849 an den Maschinenbau. Unter dem Titel „Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen“ gehört die EN ISO 13849 eindeutig zu den harmonisierten Normen mit besonderer Relevanz für die Maschinenindustrie. Auch der branchenbekannte Leitfaden zur Maschinenrichtlinie der Europäischen Kommission verweist in § 184 „Safety and reliability of control systems“ explizit auf die in der EN ISO 13849 festgelegten „specifications for the design of safety-related parts of control systems“. Wer die Anforderungen der Maschinenrichtlinie erfüllen will, kommt daher in Bezug auf sichere Steuerungen nicht um die EN ISO 13849 herum.
Mit der EN ISO 13849 kam erstmals eine probabilistische (wahrscheinlichkeitstheoretische) Betrachtung in die sicherheitstechnische Bewertung von Steuerungen. Es werden Ausfallwahrscheinlichkeiten von Funktionen bzw. Bauteilen erfasst, so wie es auch die DIN EN 61508 vorsieht. Über die Wahrscheinlichkeit gefahrbringender Ausfälle pro Zeiteinheit werden Performance Level (PL) definiert.
Die EN ISO 13849 beschreibt die notwendige Risikominimierung bei der Konzeption, Gestaltung und Integration von sicherheitsbezogenen Teilen von Steuerungen und Schutzeinrichtungen. Die Anforderungen gelten nicht nur für elektrische oder elektronische, sondern auch andere Steuerungen, etwa mit hydraulischen, mechanischen oder pneumatischen Elementen. Über die Performance Level (PL) können somit Schutz- und Steuerungseinrichtungen unterschiedlicher Technologien – auch in Kombination – betrachtet werden.
Die Parameter zur Risikobeurteilung gemäß EN ISO 13849
Der Performance Level ist laut DIN EN ISO 13849 der diskrete Level, der die Fähigkeit von sicherheitsbezogenen Teilen einer Steuerung spezifiziert, eine Sicherheitsfunktion unter vorhersehbaren Bedingungen auszuführen. PLr steht für erforderlicher Performance Level und meint den PL, der angewandt werden muss, um eine erforderliche Risikominderung für jede Sicherheitsfunktion zu erreichen. Somit muss der Performance Level (PL) von sicherheitsbezogenen Teilen einer Steuerung stets mindestens so groß (oder größer) sein als der PLr.
Der jeweilige Performance Level ergibt sich aus der Zuordnung mehrerer festgelegter Parameter, die in der folgenden Tabelle erläutert werden.
Parameter zur Ermittlung des PL gemäß EN ISO 13849 | ||
Schwere der Verletzung | Häufigkeit und/oder Dauer der Gefährdungsexposition | Möglichkeit der Vermeidung der Gefährdung bzw. Begrenzung des Schadens |
S1 = leichte (üblicherweise reversible) Verletzung
S2 = schwere (üblicherweise irreversible) Verletzung | F1 = selten bis weniger häufig bzw. kurze Expositionszeit
F2 = häufig bis dauernd bzw. lange Expositionszeit | P1 = möglich unter bestimmten Bedingungen
P2 = kaum möglich |
Quelle der Angaben in der Tabelle: „EN ISO 13849 – Risiko und Performance Level“, Autor: Jürgen Bialek
Die abschließende qualitative Bewertung wird oft in einem Diagramm dargestellt, die Abbildung zeigt ein schematisches Beispiel für einen solchen Risikographen. Die EN ISO 13849 stellt den Performance Level in fünf Stufen dar, die ein Maß für die Wirksamkeit und Fähigkeit zur Risikominderung darstellen. Sie werden mit zunehmendem Risiko von „a” bis „e” bezeichnet.
Quelle der Angaben: „EN ISO 13849 – Risiko und Performance Level“, Autor: Jürgen Bialek
Das Nebeneinander zweier Klassifizierungssysteme für Sicherheitslevel führt immer wieder zu Verwirrungen. Entwickler und Konstrukteure müssen entscheiden, welche Norm sie in welchem Fall anwenden. Dabei wird auch die Vergleichbarkeit von SIL und PL immer wieder zum Gegenstand von Diskussionen. Ein Zusammenlegen („Merging“) der beiden zugrunde liegenden Normenreihen zu einer einzigen ISO/IEC-Norm wurde vor einigen Jahren begonnen, dann aber wieder auf Eis gelegt.
Die DIN EN ISO 13849 ordnet die Stufen des PL und des SIL in einer schematischen Übersicht einander zu, wie die folgende Tabelle zeigt. Es ist zu beachten, dass es für den Performance Level a (niedrigstes Risiko) keine entsprechende Stufe in der Einteilung gemäß den Sicherheits-Integritäts-Leveln gibt.
Beziehung zwischen dem Performance Level (PL) und dem Sicherheits-Integritäts-Level (SIL), Quelle: DIN EN ISO 13849:
PL | SIL
(IEC 61508-1, zur Information) hohe/kontinuierliche Betriebsart |
a | keine Entsprechung |
b | 1 |
c | 1 |
d | 2 |
e | 3 |
Die CE-Dokumentation nach EN ISO 13849
Die DIN EN ISO 13849-1 befasst sich auch mit der Dokumentation des Konformitätsprozesses und legt Mindestanforderungen fest. Demnach muss der Konstrukteur beim Gestalten einer sicherheitsbezogenen Steuerung mindestens folgende Informationen über das sicherheitsbezogene Teil dokumentieren:
- die durch die SRP/CS bereitgestellte(n) Sicherheitsfunktion(en)
- die Eigenschaften jeder Sicherheitsfunktion
- die genauen Punkte, wo das/die sicherheitsbezogene(n) Teil(e) beginnt/beginnen und endet/enden
- die Umgebungsbedingungen
- den Performance Level (PL)
- die ausgewählte Kategorie oder die ausgewählten Kategorien
- die auf die Zuverlässigkeit bezogenen Parameter (MTTFD, DC, CCF und Gebrauchsdauer)
- die Maßnahmen gegen systematische Fehler
- die verwendete Technologie oder die verwendeten Technologien
- alle berücksichtigten sicherheitsbezogenen Fehler
- die Begründungen für Fehlerausschlüsse (siehe ISO 13849-2)
- die Begründung der Gestaltung (z.B. berücksichtigte Fehler, die ausgeschlossenen Fehler)
- Softwaredokumentation
- Maßnahmen gegen vernünftigerweise vorhersehbare Fehlanwendung
Vergleich DIN EN 62061 mit DIN EN 13849
Die DIN EN 62061 ähnelt inhaltlich der EN ISO 13849, beschränkt sich im Unterschied zu dieser jedoch auf elektrische Systeme: Hydraulisch oder pneumatisch betriebene Sicherheitseinrichtungen werden nicht erfasst, in diesem Fall muss eine andere Norm, etwa die EN ISO 13849 angewandt werden. Beide Normen gehören zu den harmonisierten Normen gemäß dem New Approach, d.h. ihr Anwenden löst automatisch die Vermutungswirkung aus. Für die Sicherheitsgrundnorm DIN EN 61508 gilt dies jedoch nicht.
Die folgende Tabelle fasst die Anwendbarkeit der beiden Normen in Abhängigkeit von der verwendeten Sicherheitstechnik zusammen.
Sicherheitstechnik: Wann ist welche Norm anwendbar? | ||
DIN EN 62061 | DIN EN 13849 | |
Elektrik | x | x |
Elektronik | x | x |
Hydraulik | x | |
Mechanik | x | |
Pneumatik | x | |
Programmierbare Elektronik | x | x |
Für (fluid-)mechanische, insbesondere pneumatische Komponenten innerhalb von sicherheitsbezogenen Teilen von Maschinensteuerungen liegt – unterstützend zur DIN EN 13849 – das Einheitsblatt VDMA 24584 „Sicherheitsfunktionen geregelter und nicht geregelter (fluid-)mechanischer Systeme“ vor. Je nach Maschinentyp müssen beim Festlegen von Sicherheitsfunktionen selbstverständlich ggf. zutreffende weitere Normen betrachtet werden. Für sichere drehzahlveränderbare Antriebssteuerungen wäre z.B. die DIN EN 61800 heranzuziehen.
Weitere Normen zur funktionalen Sicherheit
Wie oben angedeutet wirkt die Normenreihe IEC 61508 als Basisnorm oder „Meta-Norm“ auf die Entwicklung weiterer normativer Standards. Diese Sektornormen gelten oft für bestimmte Branchen wie Straßenfahrzeuge, Kernkraftwerke oder Medizintechnik (s. obige Abbildung), können sich aber auch auf die funktionale Sicherheit für bestimmte Produktgruppen wie z.B. Gefahrenmeldeanlagen oder Baumaschinen beziehen, nachfolgend einige Beispiele:
- DIN EN 50128: „Bahnanwendungen – Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme – Software für Eisenbahnsteuerungs- und Überwachungssysteme“
- DIN EN 61511: „Funktionale Sicherheit – PLT-Sicherheitseinrichtungen für die Prozessindustrie“
- DIN EN 62061/VDE 0113-50: „Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbar elektronischer Steuerungssysteme“
- ISO 26262: “Straßenfahrzeuge – Funktionale Sicherheit” (Normreihe für Kfz/Automobilindustrie), nicht nur für Pkw, gilt seit 2018 auch für Motorräder, Nutzfahrzeuge und Busse
- DIN EN 50402; VDE 0400-70 „Elektrische Geräte für die Detektion und Messung von brennbaren oder toxischen Gasen und Dämpfen oder Sauerstoff – Anforderungen an die funktionale Sicherheit von Gaswarnsystemen“
- DIN EN 50491-4-1; VDE 0849-4-1: „Allgemeine Anforderungen an die Elektrische Systemtechnik für Heim und Gebäude (ESHG) und an Systeme der Gebäudeautomation (GA) – Teil 4-1: Anforderungen an die funktionale Sicherheit für Produkte, die für den Einbau in ESHG/GA vorgesehen sind“
- DIN EN ISO 19014: „Erdbaumaschinen – Funktionale Sicherheit“ (4 Teile)
- IEC 61000-1-2 „Elektromagnetische Verträglichkeit (EMV) – Teil 1-2: Allgemeines – Verfahren zum Erreichen der funktionalen Sicherheit von elektrischen und elektronischen Systemen einschließlich Einrichtungen im Hinblick auf elektromagnetische Phänomene“
- DIN EN 61326-3 „Elektrische Mess-, Steuer-, Regel- und Laborgeräte – EMV-Anforderungen – Teil 3-1: Störfestigkeitsanforderungen für sicherheitsbezogene Systeme und für Geräte, die für sicherheitsbezogene Funktionen vorgesehen sind (Funktionale Sicherheit)“
- VdS 3166 „Funktionale Sicherheit nach DIN EN 61508 (VDE 0803) im Hinblick auf Brandmeldeanlagen – Merkblatt zur Schadenverhütung“
Links und Tools zum Thema funktionale Sicherheit
Sicherheit von Maschinensteuerungen nach DIN EN ISO 13849, ein Online-Portal der DGUV mit vielen weiterführenden Links zur Fachliteratur
IFA Report 2/2017 „Funktionale Sicherheit von Maschinensteuerungen – Anwendung der DIN EN ISO 13849“
Programmierung sicherheitsgerichteter Steuerungen: Die Matrixmethode des IFA
Software-Assistent SISTEMA zum Bewerten von sicherheitsbezogenen Maschinensteuerungen nach DIN EN ISO 13849