Die Norm IEC 61508: Funktionale Sicherheit von Steuerungssystemen

Die Normenreihe IEC 61508 (in Deutschland: DIN EN 61508) trägt den Titel „Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme“, kurz E/E/PE (original: Functional safety of electrical/electronic/programmable electronic safety-related systems). Sie ist die internationale Grundnorm für sicherheitsrelevante Steuerungssysteme in komplexen Systemen, Anlagen und Prozessen. Wir erklären, was genau das heißt, und informieren Sie über den Aufbau der Norm und zentrale Konzepte.

Inhalt

• Grundnorm für funktionale Sicherheit
  • IEC 61508 in Kombination mit funktionaler Sicherheit?
  • Was ist die Normenreihe IEC 61508?
• Aufbau der IEC 61508
• Beratung und Entwicklung nach IEC 61508
• Zentrale Konzepte
  • Was sind systematische und zufällige Fehler?
  • Was ist das Restrisiko?
• Sicherheitsanforderungsstufen (SIL)
• Funktional sichere Systeme nach IEC 61508 entwickeln: Schulungen und Trainings

Grundnorm für funktionale Sicherheit

Vom Gesetzgeber wird gefordert, dass ein auf den Markt gebrachtes Produkt „bei bestimmungsgemäßer oder vorhersehbarer Verwendung die Sicherheit und Gesundheit von Personen nicht gefährdet“ (§ 3 Abs.1 S. 2 ProdSG). Welche Sicherheitsanforderungen ein Produkt konkret erfüllen muss, wird durch EU-Richtlinien, nationale Gesetze und Verordnungen – in Deutschland das Produktsicherheitsgesetz (ProdSG) und zugehörige Verordnungen – sowie durch unmittelbar geltende EU-Verordnungen festgelegt (z. B. Medizinprodukteverordnung).
In Abhängigkeit von jeweils relevanten Gefährdungen hat Sicherheit diverse Aspekte: etwa elektrische Sicherheit, Brandsicherheit oder eben funktionale Sicherheit.

Die Norm IEC 61508 in Kombination mit funktionaler Sicherheit?

Die funktionale Sicherheit (Functional Safety oder kurz Safety) bezieht sich auf den Schutz von Menschen und Umwelt vor funktionsbezogenen Gefährdungen in technischen Geräten oder Systemen, etwa durch Ausfälle, Fehlfunktionen oder Fehlbedienung. Dieser Schutz wird dadurch gewährleistet, dass etwaige Fehler verhindert oder durch das Steuerungssystem abgefangen werden.
Demnach definiert die IEC 61508 (Teil 4) funktionale Sicherheit als den Teil der Gesamtsicherheit – bezogen auf ein Produkt bzw. System („Equipment under Control“, EUC = bedienbare Anlage/Gerät) und sein Leit- oder Steuerungssystem – „der von der korrekten Funktion des E/E/PE-sicherheitsbezogenen Systems und anderer risikomindernder Maßnahmen abhängt“. Sicherheitsbezogene Systeme sind alle Teile eines Gerätes oder Systems, die automatisierte Sicherheitsfunktionen ausführen.

Hier erfahren Sie mehr: „Funktionale Sicherheit mit System“

Was ist die Normenreihe IEC 61508?

Die IEC 61508 behandelt die Anforderungen an sicherheitsrelevante E/E/PE-Systeme unabhängig von ihrem konkreten Anwendungsgebiet. Sie – bzw. genauer ihre Teile 1-4 – sind damit eine Sicherheits-Grundnorm (oder „Horizontalnorm“, Typ-A-Norm), von der zahlreiche Branchen- bzw. Sektornormen abgeleitet sind (siehe Abb. 1). Allerdings ist die IEC EN 61508 nicht harmonisiert; ihre Anwendung führt also nicht automatisch dazu, dass Konformität mit der jeweils relevanten europäischen Richtlinie vermutet wird und sich die Beweislast dafür umkehrt.

Aufbau der IEC 61508

Die Norm IEC 61508 umfasst sieben Teile, ergänzt durch einen technischen Report zur Einführung („Teil 0“: IEC/TR 61508-0:2005 Functional Safety and IEC 61508), der aber nur die erste Version der Norm berücksichtigt:

• IEC 61508-1:2010 Allgemeine Anforderungen;
• IEC 61508-2:2010 Anforderungen an sicherheitsbezogene elektrische/elektronische/programmierbare elektronische Systeme;
• IEC 61508-3:2010 Anforderungen an Software;
• IEC 61508-4:2010 Begriffe und Abkürzungen;
• IEC 61508-5:2010 Beispiele zur Ermittlung der Stufe der Sicherheitsintegrität (safety integrity level);
• IEC 61508-6:2010 Anwendungsrichtlinie für IEC 61508-2 und IEC 61508-3;
• IEC 61508-7:2010 Anwendungshinweise über Verfahren und Maßnahmen.

Somit spezifizieren die Teile 1-3 die normativen Anforderungen an sicherheitsrelevante E/E/PE-Systeme (Hardware und Software), ergänzt von den Begriffsdefinitionen in Teil 4. Die Teile 5 bis 7 enthalten Hilfestellungen für die Anwendung der normativen Vorgaben (siehe Abb. 2).
Die Teile 1, 3, 4 und 5 wurden zuerst 1998 veröffentlicht, Teil 2, 6 und 7 folgten 2000. Die Reihe liegt derzeit in der Version 2.0 von 2010 vor, Version 3.0 ist für 2027 angekündigt.
Die aktuell gültige IEC 61508 kann beim Beuth-Verlag oder beim VDE-Verlag käuflich erworben werden.

Beratung und Entwicklung nach IEC 61508

Die Safety-Experten von NewTec sind auch mit der IEC 61508 bestens vertraut. NewTec berät und unterstützt Sie bei der Entwicklung sicherheitsgerichteter Systeme und begleitet Ihren Weg zu Zertifizierung oder Zulassung.
Mehr erfahren: NTSafetySolutions: Komplettpaket für die Entwicklung funktional sicherer Lösungen

Zentrale Konzepte

Um die funktionale Sicherheit eines Systems zu gewährleisten, müssen die sicherheitsrelevanten Teile der Schutz- und Steuereinrichtungen im Fehlerfall zuverlässig dafür sorgen, dass die Anlage in einen sicheren Zustand gebracht wird. Dazu müssen sowohl systematische als auch zufällige Fehler berücksichtigt werden.

Was sind systematische und zufällige Fehler?

Systematische Fehler sind deterministisch und lassen sich nur durch Modifizierung von Entwicklungs- oder Herstellungsprozessen, Betriebsverfahren, Dokumentation oder ähnlichen Faktoren verhindern. Beispiele sind Fehler aufgrund falscher Annahmen, fehlerhafter Spezifikation, Design, Software oder der Dimensionierung von Bauteilen. Zufällige (Hardware-) Fehler müssen dagegen durch Überwachungsmaßnahmen erkannt und beherrscht werden.
Entsprechend geht die IEC 61508 für E/E/PE-Gesamtsystem, Hardware und Software vom Framework des „Sicherheitslebenszyklus“ aus, der 16 definierte Phasen umfasst, vom Konzept über Entwicklung, Betrieb und Instandhaltung bis hin zur Außerbetriebnahme. Phase 3 ist die Gefahren- und Risikoanalyse. Hier müssen in einer systematischen Risikobetrachtung die vom System und seinen möglichen Fehlern ausgehenden Risiken bestimmt und auf ein akzeptables Restrisiko reduziert werden (eine 100-prozentige Sicherheit / Risikofreiheit ist nicht erreichbar).
Die Risiken in denkbaren Gefahrensituationen werden nach ihrer Eintrittswahrscheinlichkeit und der Schwere ihrer Auswirkungen (von unwesentlich bis katastrophal) beurteilt und zum jeweils akzeptablen Risiko ins Verhältnis gesetzt. Daraus ergibt sich, wie weit diese Risiken – ihre Eintrittswahrscheinlichkeit und/oder ihre Auswirkungen – durch Maßnahmen reduziert werden müssen. Das nach Anwendung dieser Maßnahmen verbleibende Restrisiko muss kleiner sein als das akzeptable Risiko.

Was ist das Restrisiko?

Häufig wird das sogenannte Restrisiko mit dem akzeptablen Risiko gleichgesetzt. Das ist nicht korrekt. Die IEC 61508-4:2010 definiert Risiko als Kombination der Wahrscheinlichkeit des Auftretens eines Schadens und der Schwere dieses Schadens (Definition 3.1.6). Das Restrisiko (residual risk) ist das Risiko, das nach dem Ergreifen von Schutzmaßnahmen verbleibt (Definition 3.1.8), was sowohl sicherheitsbezogene E/EE/PE-Systeme als auch andere risikomindernde Maßnahmen beinhaltet, insbesondere nicht-elektrische Systeme (z. B. hydraulische oder pneumatische), physische Strukturen (z. B. Schutzzäune) sowie organisatorische Maßnahmen (z. B. Schulungen und Verbote). Das Restrisiko muss so weit gemindert werden, dass es unter dem akzeptablen Risiko (tolerable risk) liegt, bestimmt als „Risiko, das in einem bestimmten Kontext auf der Grundlage der aktuellen Werte der Gesellschaft akzeptiert wird“ (3.1.7).

Sicherheitsanforderungsstufen (SIL)

In Abhängigkeit von der jeweils notwendigen Risikominderung ergeben sich bestimmte Anforderungen an die Sicherheitsintegrität (Safety Integrity) – in IEC 61508-4 definiert als die Wahrscheinlichkeit, dass ein sicherheitsbezogenes System die geforderten risikomindernden Sicherheitsfunktionen im vorgegebenen Rahmen zufriedenstellend ausführt (3.5.4). Die Sicherheitsintegrität wird in vier Sicherheitsanforderungsstufen (Safety Integrity Levels, SIL) eingeteilt: SIL 1 bis SIL 4. Hinsichtlich zufälliger Fehler stellen die Stufen steigende Anforderungen in Bezug auf die Wahrscheinlichkeiten oder Frequenzen gefährlicher Ausfälle einer betrachteten Sicherheitsfunktion (IEC 61508-1, Tabellen 2 und 3). Zur Vermeidung systematischer Fehler stellt ein höheres SIL zudem deutlich höhere Anforderungen an die Verifikation und den Einsatz zusätzlicher Methoden.
Die Norm beschreibt ausführlich, wie Risiken beurteilt und sicherheitsbezogenen Systemen und ihren Kom-ponenten SILs zugewiesen werden. Zudem macht die IEC 61508 konkrete Vorgaben für Konzeption und Entwicklung (etwa für die Systemarchitektur), zu erforderlichen Tätigkeiten, betrieblichen Organisationsstrukturen und Abläufen sowie zur nachvollziehbaren Dokumentation all dieser Schritte – letztere ist die Voraussetzung für Zertifizierungen und den Nachweis der Normkonformität von Produkten und Systemen.

Funktional sichere Systeme nach IEC 61508 entwickeln: Schulungen und Trainings

Sie möchten mehr wissen? NewTec bietet eine Reihe von Trainings und Workshops zur funktionalen Sicherheit und zur IEC 61508 – immer mit engem Bezug zur Entwicklerpraxis.
Werfen Sie gern einen Blick auf unser Schulungsprogramm!