IEC 61508
Die IEC 61508 ist eine internationale Normenserie zur Entwicklung von elektrischen, elektronischen und programmierbaren elektronischen (E/E/PE) Systemen, die eine Sicherheitsfunktion ausführen. Sie wird von der Internationalen Elektrotechnischen Kommission (IEC) herausgegeben. Vom Europäischen Komitee für Normung (CEN) wurde die Norm inhaltsgleich als EN 61508 übernommen.
Die Serie besteht aus sieben Teilen und trägt den Titel Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme. Sie wurde erstmals 1998 veröffentlicht. Seit 2010 gibt es eine neue Edition, die seit Februar 2011 auch in der deutschen Übersetzung vorliegt.
Inhalt und Zielsetzung
Die Anwendung der Norm in Unternehmen wird vorwiegend durch das Produkthaftungsrecht getrieben. Speziell in Deutschland gilt nach §4 ProdHaftG, dass der Hersteller des Endproduktes sowohl bei der Haftung (wie auch bei eventuellen Imageschäden) selbst dann in Mithaftung genommen wird, wenn der Verursacher ausschließlich ein Unterlieferant war. Im Zuge ihrer Anwendung kann der Hersteller im Produkthaftungsprozess darlegen, dass er eine anerkannte Methode zur Risikobewertung und zur sicheren Produktentwicklung und -herstellung angewandt hat.
Ziel dieser Norm ist es, Verfahrensweisen zu definieren, die es erlauben, Produkte herzustellen, die nach dem aktuellen Stand der Technik keine unverhältnismäßigen oder unvertretbaren Gefahren für Anwender und Umwelt bedeuten. Die Norm beschreibt, welche Gesichtspunkte auf welche Weise schon mit Beginn der Entwicklung zu berücksichtigen sind, wie die Produktarchitektur beschaffen sein soll (beispielsweise durch einkanalige oder mehrkanalige Systeme), welche Tätigkeiten und betrieblichen Organisationsstrukturen notwendig sind, wie diese zu dokumentieren sind und dass alle Schritte in der internen Dokumentation des Herstellers zu seinem Produkt nachvollziehbar und rückverfolgbar niedergelegt werden müssen. Dabei wird in der Norm vom sog. „Lebenszyklus-Modell“ ausgegangen, d. h., ein Produkt wird von der ersten Planungsstufe über die Markteinführung und das Änderungsprozedere bis hin zu seiner Außerbetriebnahme und Entsorgung betrachtet. Über all diese Lebensphasen sind vom Hersteller Nachweise der Abläufe zu erzeugen, die das Produkt durchlaufen hat. Er hat ferner nachzuweisen, dass seine übergeordneten innerbetrieblichen Abläufe geeignet sind, Produkte herzustellen, von deren Funktion – auch im Versagensfall – keine unvertretbaren Schäden an Mensch, Ausrüstung und Umwelt entstehen.
In der Praxis verlangen immer mehr Unternehmen von ihren Zulieferern, dass sie die Entwicklung und Herstellung ihrer Produkte nach dieser oder einer vergleichbaren Norm (beispielsweise ISO 26262 im Automobil-Bereich) nachweisen, um vom Abnehmer als Lieferant qualifiziert zu werden. Zusätzlich wird oft noch die Begutachtung/Zertifizierung der Produkte durch ein unabhängiges Prüfunternehmen gefordert, welches akkreditiert und qualifiziert ist (z. B. nach der EN ISO/IEC 17025 – „Allgemeine Anforderungen an die Kompetenz von Prüf- und Kalibrierlaboratorien“), derartige Prüfungen durchzuführen. Ein Zwang zur Anwendung der Norm besteht jedoch nicht, sofern die Produkte nicht durch der Norm übergeordnete Gesetze oder Vorschriften, z. B. die europäische Maschinenrichtlinie, einer Prüfpflicht unterliegen. Hierbei wird unterschieden zwischen der Ausstellung eines Prüfberichtes/Zertifikates des beauftragten Prüfinstitutes und einer sog. EG-Baumusterprüfbescheingung durch eine Benannte Stelle („Notified Body“). Produkte die unter den Anhang IV der europäischen Maschinenrichtlinie fallen, benötigen hierbei eine EG-Baumusterprüfbescheingung, die eine weltweit eindeutige Nummerierung trägt.
Die IEC 61508 geht davon aus, dass es nach aktuellem Stand der Technik keine Möglichkeit gibt, eine über den Produktionszeitraum stetig wachsende Anzahl gleichartiger Produkte mit wirtschaftlich vertretbarem Aufwand derart herzustellen, dass diese über den Zeitraum ihres Betriebes in ihrer Gesamtheit 100 % fehlerfrei funktionieren oder interne Fehler vollständig diagnostizieren und angemessen darauf reagieren. Hierbei stehen Sicherheit und Verfügbarkeit im Gegensatz zueinander, da hohe Sicherheit nur durch Einschränkungen der Verwendbarkeit erreicht werden kann (z. B. durch häufige Tests, bei welchen das Produkt außer Betrieb genommen werden muss und nicht dem Verwendungszweck zur Verfügung steht). Der höchste anerkannte Diagnosedeckungsgrad bspw. wird daher auch mit 99,9 % angenommen.
Je nach Gefährdungsgrad, den das Produkt in seinem Einsatzbereich verursacht, steigen die Anforderungen an Maßnahmen zur Fehlervermeidung, Fehlerbeherrschung und erforderliche Dokumentation.
Wichtiger Punkt der normativen Empfehlungen sind neben der Dokumentation auch Reviews, bei denen die erreichten Meilensteine der Wertschöpfung unabhängig auf Form und Inhalt überprüft werden. Reviews sind Verfahren zur Fehlervermeidung auf der Grundlage der Annahme, dass die Beteiligung mehrerer Personen mit vergleichbarer Qualifikation an einem Verfahren auch eine reduzierte Fehlerhäufigkeit bedeutet. Die Verfahren, nach denen diese durchzuführen sind, werden im sog. „V-Modell“ als Bestandteil der Produktvalidierung beschrieben. Auch hier hängt der Grad der Unabhängigkeit der Prüfung vom Gefährdungsgrad ab.
Anwendungs- und Geltungsbereich
Die Norm kann auf alle sicherheitsbezogenen Systeme, die elektrische, elektronische oder programmierbare elektronische Komponenten enthalten (E/E/PES) und deren Ausfall ein maßgebliches Risiko für Mensch, Ausrüstung oder Umwelt bedeutet, herangezogen werden. Sie ist allerdings in der EU nicht entsprechend dem New Approach harmonisiert. Daher kann ihre Erfüllung nicht allein zur Konformitätsvermutung zu den europäischen Richtlinien beitragen. Sie bezieht sich nicht auf bestimmte Anwendungen. Systeme, die auf Anforderung eine Sicherheitsfunktion ausführen, sind zum Beispiel das Antiblockiersystem bei einem Kraftfahrzeug und Systeme, die auf ständige Ausführung der Sicherheitsfunktion angewiesen sind, zum Beispiel die Steuerungseinheit einer Trägerrakete. Gemäß der Norm bilden die Funktionen der sicherheitsbezogenen Systeme die funktionale Sicherheit des Gesamtsystems. Die IEC 61508 ist als „Sicherheitsgrundnorm“ ausgewiesen, das heißt, sie kann als Basis für anwendungsspezifische Normen dienen.
Folgende veröffentlichte oder in Arbeit befindliche Normen stellen die Implementierung der IEC 61508 für ein bestimmtes Anwendungsgebiet dar:
- IEC 61511: Funktionale Sicherheit – Sicherheitstechnische Systeme für die Prozessindustrie
- IEC 61513: Kernkraftwerke – Leittechnik für Systeme mit sicherheitstechnischer Bedeutung – Allgemeine Systemanforderungen
- EN 50128: Bahnanwendungen – Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme – Sicherheitsrelevante elektronische Systeme für Signaltechnik
- IEC 62061: Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme
- ISO 26262: Road vehicles – Functional safety
- ISO 25119: Tractors and machinery for agriculture and forestry – Safety-related parts of control systems – Functional Safety[1]
Der Geltungsbereich der Norm erstreckt sich über Konzept, Planung, Entwicklung, Realisierung, Inbetriebnahme, Instandhaltung, Modifikation bis hin zur Außerbetriebnahme und Deinstallation sowohl des gefahrverursachenden Systems als auch der sicherheitsbezogenen (risikomindernden) Systeme. Die Norm bezeichnet die Gesamtheit dieser Phasen als „gesamten Sicherheitslebenszyklus“.
Zentrale Begriffe
Ein Element ist die Bestimmung der Sicherheitsanforderungsstufe („Safety Integrity Level“ – SIL; es gibt SIL 1 bis SIL 4). Diese ist ein Maß für die notwendige bzw. erreichte risikomindernde Wirksamkeit von Sicherheitsfunktionen. Wenn keine sicherheitsrelevanten Anforderungen gelten, so ist die Entwicklung nach den normalen Standards des betrieblichen Qualitätsmanagements (in der Norm mit QM bezeichnet) durchzuführen. Die geringsten Anforderungen nach der Norm stellt SIL 1. Wenn nach der Entwicklung sicherheitsbezogener Systeme gezeigt werden kann, dass für die Sicherheitsfunktionen die Anforderungen für eine SIL erfüllt werden, dient die SIL als Maß für die Wirksamkeit der Sicherheitsfunktionen. Da die Wirksamkeit sowohl durch die Zuverlässigkeit der Ausübung der Sicherheitsfunktion im Gefährdungsfall als auch durch unmittelbare Abschaltung der gefahrverursachenden Systeme im Falle einer Fehlererkennung in den sicherheitsbezogenen Systemen auch außerhalb von Gefährdungssituationen erreicht werden kann, darf nicht allein von „Zuverlässigkeit“ der Sicherheitsfunktion gesprochen werden. Die notwendige SIL kann durch eine Gefährdungs- und Risikoanalyse ermittelt werden. SIL 4 stellt hierbei eine derart hohe Sicherheitsanforderungsstufe dar, dass sie in der Praxis in den meisten Bereichen nicht relevant ist, so etwa im Bereich der Sicherheit von Maschinen oder Personenkraftwagen.
Als wesentliche Parameter für die Zuverlässigkeit der Sicherheitsfunktion von Geräten werden die Berechnungsgrundlagen für PFH (probability of dangerous failure per hour − Wahrscheinlichkeit des gefahrbringenden Versagens pro Stunde) und PFD (probability of dangerous failure on demand – Wahrscheinlichkeit eines gefahrbringenden Versagens bei Anforderung) geliefert. Ersterer bezieht sich auf High-Demand-Systeme, also solche mit einer hohen Anforderungsrate („hoch“: mindestens eine Anforderung pro Jahr), letzterer auf Low-Demand-Systeme, die während ihrer Betriebsdauer seltener als einmal jährlich betätigt werden. Letztere sind vornehmlich in der Prozessindustrie von Bedeutung, wobei für diesen Industriezweig die weitergehende IEC 61511 heranzuziehen ist. Die besondere Problematik einer Low-Demand-Anwendung besteht darin, dass die allermeisten Geräte, die eine Sicherheitsfunktion ausüben, durch den regelmäßigen Zustandswechsel ihrer Schaltglieder (morgendliches Einschalten im Betrieb, abendliches Ausschalten) eine interne Diagnose durchführen, dieser Zustandswechsel aber in manchen Anlagen nicht gewährleistet ist, die über Monate oder Jahre dauerhaft in Betrieb sind. Im Falle von zwangsgeführten Relais gemäß EN 50205, die in großer Zahl in Sicherheitsgeräten verbaut werden, ist somit die Diagnose dieser Relais mit 0 % anzunehmen und nicht mehr mit 99 %, wenn regelmäßige Zustandswechsel erfolgen.
Die Wahrscheinlichkeit einzelner Ausfälle steigt proportional mit der Anzahl der in Verkehr befindlichen Produkte und deren Alterung, wobei Ausfälle, deren Ursachen systematischer Art sind (z. B. Fehler in der Software, fehlerhafte Dimensionierung von Bauteilen, fehlerhafte oder ungenaue Werkzeuge oder Messmittel) alle Produkte betreffen, während zufällige Fehler nur einen gewissen Anteil der Produkte betreffen. Ein weltweit bekannt gewordener „systematischer Fehler“ war das Jahr-2000-Problem, da Millionen elektronischer Geräte und Systeme auf Mikrochips und deren Software basierten, die nur eine zweistellige Kodierung der Jahreszahl zuließen. Systematischen Fehlern – die lange Zeit unentdeckt bleiben können, weil die auslösenden Randbedingungen selten oder unwahrscheinlich sind – wird daher eine besonders hohe Aufmerksamkeit gewidmet, und zu ihrer Vermeidung werden umfangreiche Tabellen in der Norm bereitgestellt, die geeignete Maßnahmen aufzeigen, diese Fehler zu vermeiden.
Die Ausfallarten („Failure Modes“) werden danach aufgeteilt, in welche Richtung sie gehen: „sicher“ (safe) und gefahrbringend bzw. „unsicher“ (dangerous). Da die Sicherheitsfunktion eines Gerätes eindeutig beschrieben werden kann und muss, sind Zustände wie „etwas gefährlich“ normativ nicht erfasst. Diese beiden Zustände werden unter Hinzunahme der Diagnose weiter aufgeschlüsselt, so dass unter den denkbaren möglichen Fehlerarten: „sicher-entdeckt“ (safe-detected), „sicher-unentdeckt“ (safe undetected), „unsicher-entdeckt“ (dangerous-detected), „unsicher-unentdeckt“ (dangerous-undetected) letztgenannte als kritisch zu bewerten sind, da sie durch die „Diagnose“ unentdeckt bleiben und zu der falschen Annahme führen können, dass das Gerät einwandfrei funktioniere. Systematische Fehler sind durch Diagnoseeinrichtungen nur unzureichend aufzudecken, da auch die Umsetzung der Diagnose selbst auf den fehlerhaften Annahmen beruhen kann, die zum systematischen Fehler führten. In der IEC 61511 sind noch weitergehende Unterkategorien der Fehlerarten aufgeführt, die für die Prozessindustrie von Relevanz sind.
„Diagnose“ wird in der Norm als ein automatisch ablaufender Prozess definiert, dessen Wirksamkeit nicht vom menschlichen Zutun abhängt. (Als Beispiel mag der Selbsttest eines Not-Aus-Relais dienen, welches bei seinem Einschalten einen internen Zyklus durchläuft, welcher alle sicherheitsrelevanten Schaltglieder mit einbezieht und das Gerät nur „freischaltet“, wenn deren Funktion gewährleistet ist.) Eine Sonderform der Diagnose ist die sog. Wiederholungsprüfung („Proof-Test“), welche in festgelegten und mathematisch berechenbaren Abständen (Proof-Test-Intervall) erfolgen muss, wenn die interne Diagnose nicht ausreichend ist, um über einen langen Zeitraum einen sicheren Betrieb zu gewährleisten. Rechnerisch gesehen ist dies dann der Fall, wenn der PFD(t)-Wert des Gerätes das zulässige zeitliche Intervall für die jeweilige SIL verlässt. I. d. R. sind bei einem „Proof-Test“ Bauteile auszutauschen, um das Gerät in einen „Wie-neu“-Zustand zu versetzen, so dass der PFD(t)-Wert wieder in einen unterkritischen Bereich absinkt. Für einfache Schaltgeräte wird es aus wirtschaftlichen Gründen in der Praxis angestrebt, das Proof-Test-Intervall mindestens so groß wie die Lebensdauer des Gerätes auszulegen.
Aus den Parametern PFH und PFD (sowie einigen anderen hier nicht näher betrachteten Werten) lässt sich die SIL ablesen bzw. berechnen. Des Weiteren wird der SFF (Anteil sicherer Ausfälle, engl. Safe Failure Fraction) eingeführt, ein Maß dafür, welcher Anteil aller denkbaren Fehler in die sichere Richtung geht. Als „Fehler“ werden generell nur solche Ausfälle betrachtet, die durch Alterungsprozesse oder Umwelteinflüsse bei einem Betrieb innerhalb der spezifizierten Betriebsparameter entstehen können. Manipulation oder nicht sachgemäße Anwendung sind nicht Gegenstand der Fehlerbetrachtung, die in einer sog. FMEA (Failure Modes and Effects Analysis) oder FMEDA (Failure Modes, Effects and Diagnostics Analysis) stattfindet.
Allgemein kann gesagt werden, dass zwei- oder mehrkanalige Systeme, bei denen jeder Kanal für sich allein die Sicherheitsfunktion auslösen kann, mit weniger technischem Aufwand eine höhere SIL erreichen können als solche, die nur einen Kanal besitzen. Als Kanal wird dabei der Informationsfluss durch eine Sicherheitskette (Safety-Loop) bezeichnet, angefangen von der Anforderung der Sicherheitsfunktion (z. B. durch einen Sensor, Näherungsmelder, Lichtschranke oder Taster), endend mit dem Aktor bzw. Stellglied, welches den sicheren Zustand einer Maschine einleitet. Bei einkanaligen Systemen ist ein erheblich größerer Diagnoseaufwand nötig, damit Fehler innerhalb der sog. „Prozesssicherheitszeit“ (englisch „Process Safety Time“) erkannt werden, bevor sie gefährliche Auswirkungen haben können. Weiterhin werden Systeme noch in „Typ A“ und „Typ B“ unterteilt, wobei letztere komplexe Schaltkreise wie Mikrochips enthalten, Typ-A-Systeme hingegen nur aus diskreten Elementen bestehen.
Die stark abstrahierende IEC 61508 deckt die in der Praxis einfacher anzuwendende EN ISO 13849-1, nahezu vollständig mit ab, was den Performance Level (PL) eines Gerätes angeht. Ansonsten aber geht sie weit über deren Inhalt hinaus. Eine SIL kann direkt tabellarisch in einen Performance Level (PL) übersetzt werden. Jedoch wird bei Fehlerbetrachtungen gemäß IEC 61508 innerhalb einer FMEA nur der Erstfehler betrachtet, so dass Kategorie 3 und 4 (gemäß EN ISO 13849-1), die eine Zwei- oder Mehr-Fehlersicherheit garantieren, nur durch Anwendung der Verfahrensweisen gemäß der EN ISO 13849-1 nachzuweisen sind. Im Unterschied zur EN ISO 13849-1 ist die IEC 61508 bzw. die von ihr abgeleitete Sektornorm IEC 62061 auf elektronische Systeme ausgerichtet, während die EN ISO 13849-1 auch für mechanische Systeme angewandt werden kann.
Normung
Die Norm IEC 61508 „Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme“ besteht aus folgenden Teilen:
- Teil 0: Funktionale Sicherheit und die IEC 61508(IEC/TR 61508-0:2005-10)
- Teil 1: Allgemeine Anforderungen (IEC 61508-1:2010)
- Teil 2: Anforderungen an sicherheitsbezogene elektrische/elektronische/programmierbare elektronische Systeme (IEC 61508-2:2010)
- Teil 3: Anforderungen an Software (IEC 61508-3:2010)
- Teil 4: Begriffe und Abkürzungen (IEC 61508-4:2010)
- Teil 5: Beispiele zur Ermittlung der Stufe der Sicherheitsintegrität (safety integrity level) (IEC 61508-5:2010)
- Teil 6: Anwendungsrichtlinie für IEC 61508-2 und IEC 61508-3 (IEC 61508-6:2010)
- Teil 7: Anwendungshinweise über Verfahren und Maßnahmen (IEC 61508-7:2010)
Diese Normen wurden in Deutschland, Österreich bzw. der Schweiz als nationale Norm mit der vorangestellten Kennzeichnung DIN, ÖVE/ÖNORM bzw. SN veröffentlicht.
Die neueste Version der IEC 61508, die Edition 2.0, wurde am 30. April 2010 veröffentlicht. In Deutschland fand dies durch das DKE-Gremium 914 statt.[2]
Literatur
- J. Börcsök: Elektronische Sicherheitssysteme. Hüthig GmbH & Co. KG, Heidelberg 2004, ISBN 3-7785-2939-0.
- H. Hölscher, J. Rader: Mikrocomputer in der Sicherheitstechnik. Verlag TÜV Rheinland, Köln 1984, ISBN 3-88585-180-6.
- P. Wratil, M. Kieviet: Sicherheitstechnik für Komponenten und Systeme. Hüthig GmbH & Co. KG, Heidelberg 2007, ISBN 3-7785-2984-6.
Weblinks
- Leitfaden für die Norm IEC 61508 (5 Teile)
- Präsentation des Fraunhofer-Instituts (Seite nicht mehr abrufbar, festgestellt im September 2022. Suche in Webarchiven)
- Online-Version der IEC 61508-1:2010 (Vorschau)