„IEC 61508“ – Versionsunterschied

Vorlage:Infobox DIN

Die IEC 61508 ist eine internationale Norm zur Entwicklung von elektrischen, elektronischen und programmierbar elektronischen (E/E/PE) Systemen, die eine Sicherheitsfunktion ausführen. Sie wird von der International Electrotechnical Commission (IEC) herausgegeben.

Die Norm besteht aus sieben Teilen und trägt den Titel „Funktionale Sicherheit sicherheitsbezogener elektrischer/​elektronischer/​programmierbarer elektronischer Systeme“. Sie wurde erstmals 1998 veröffentlicht, wovon einige Teile im Jahr 2000 in einer überarbeiteten Fassung neu veröffentlicht wurden. Seit 2010 liegt eine neue Fassung vor, die seit Februar 2011 auch in der deutschen Übersetzung vorliegt. Vom Europäischen Komitee für Normung (CEN) wurde die Norm im Jahr 2001 inhaltsgleich als EN 61508 übernommen. In Deutschland hat sie als deutsche Fassung unter den Namen DIN EN 61508 und VDE 0803 Gültigkeit, ihre Anwendung ist freiwillig.

Die Anwendung der Norm in Unternehmen wird vorwiegend durch das Produkthaftungsrecht getrieben und bei Anwendung der Norm kann der Hersteller im Produkthaftungsprozess darlegen, dass er eine anerkannte Methode zur Risikobewertung und zur sicheren Produktentwicklung und -herstellung angewendet hat. Ziel ist es, nur Produkte herzustellen, die möglichst keine gesundheitlichen Gefahr oder Lebensgefahr für den Anwender bedeuten. Die Norm beschreibt nun, wie und welche Gesichtspunkte schon mit Beginn der Entwicklung zu berücksichtigen sind, wie die Produktstruktur beschaffen sein soll (beispielsweise durch einkanalige oder mehrkanalige Systeme), welche Tätigkeiten notwendig sind, wie diese Tätigkeiten zu dokumentieren sind und dass alle Entscheidungen in der internen Dokumentation des Herstellers zu seinem Produkt nachvollziehbar niedergelegt werden müssen.

In der Praxis verlangen immer mehr Unternehmen von ihren Zulieferern, dass sie die Entwicklung und Herstellung ihrer Produkte nach dieser oder einer vergleichbaren Norm (beispielsweise ISO 26262 im Automobil-Bereich) nachweisen, um vom Einkauf der Unternehmen als Lieferant qualifiziert zu werden. Speziell in Deutschland gilt nach §4 ProdHaftG, dass der Hersteller des Endproduktes sowohl bei der Haftung (wie auch bei eventuellen Imageschäden) selbst dann in Mithaftung genommen wird, wenn der Verursacher ausschließlich ein Unterlieferant war.

Die Norm geht grundsätzlich davon aus, dass es eine Möglichkeit gibt, ein Produkt so herzustellen, dass es immer fehlerfrei funktioniert oder eigene Fehler diagnostiziert und darauf reagiert. Je nach Gefährdungsgrad, den das Produkt in seinem Einsatzbereich verursacht, steigen allerdings die Anforderungen an Maßnahmen zur Fehlervermeidung, Fehlerbeherrschung und die erforderliche Dokumentation.

Wichtiger Punkt der normativen Empfehlungen sind neben der Dokumentation auch Reviews, bei denen die erarbeiteten Dokumente unabhängig auf Form und Inhalt überprüft werden. Auch hier hängt der Grad der Unabhängigkeit der Prüfung vom Gefährdungsgrad ab.

Die Norm kann auf alle sicherheitsbezogenen Systeme, die elektrische, elektronische oder programmierbar elektronische Komponenten (E/E/PES) enthalten und deren Ausfall ein maßgebliches Risiko für Mensch oder Umwelt bedeutet, herangezogen werden. Sie ist allerdings in der EU nicht entsprechend dem New Approach harmonisiert. Daher kann sie nicht als Konformitätsvermutung zu den europäischen Richtlinien beitragen. Sie bezieht sich nicht auf bestimmte Anwendungen. Systeme, die auf Anforderung eine Sicherheitsfunktion ausführen, sind zum Beispiel das Antiblockiersystem bei einem Kraftfahrzeug, und Systeme, die auf ständige Ausführung der Sicherheitsfunktion angewiesen sind, zum Beispiel die Steuerungseinheit einer Trägerrakete. Gemäß der Norm bilden die Funktionen der sicherheitsbezogenen Systeme die funktionale Sicherheit des Gesamtsystems. Die IEC 61508 ist als „Sicherheits-Grundnorm“ ausgewiesen, das heißt sie kann als Basis für anwendungsspezifische Normen dienen.

So stellen die veröffentlichten oder in Arbeit befindlichen Normen

• IEC 61511: Funktionale Sicherheit — Sicherheitstechnische Systeme für die Prozessindustrie
• IEC 61513: Kernkraftwerke — Leittechnik für Systeme mit sicherheitstechnischer Bedeutung – Allgemeine Systemanforderungen
• EN 50128: Bahnanwendungen — Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme - Sicherheitsrelevante elektronische Systeme für Signaltechnik
• IEC 62061: Sicherheit von Maschinen — Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme
• IEC 60601: Medizinische elektrische Geräte - Allgemeine Festlegungen für die Sicherheit
• ISO/DIS 26262: Road vehicles – Functional safety

die Implementierung der IEC 61508 für ein bestimmtes Anwendungsgebiet dar.

Der Geltungsbereich der Norm erstreckt sich über Konzept, Planung, Entwicklung, Realisierung, Inbetriebnahme, Instandhaltung, Modifikation bis hin zur Außerbetriebnahme und Deinstallation sowohl des gefahrverursachenden Systems als auch der sicherheitsbezogenen (risikomindernden) Systeme. Die Norm bezeichnet die Gesamtheit dieser Phasen als „gesamten Sicherheitslebenszyklus“.

Ein Element ist die Bestimmung der Sicherheitsanforderungsstufe („Safety Integrity Level“ - SIL; es gibt SIL 1 bis SIL 4). Diese ist ein Maß für die notwendige bzw. erreichte risikomindernde Wirksamkeit der Sicherheitsfunktionen. Wenn keine sicherheitsrelevanten Anforderungen gelten, so ist die Entwicklung nach den normalen Standards des betrieblichen Qualitätsmanagements (in der Norm mit QM bezeichnet) durchzuführen. Die geringsten Anforderungen nach der Norm stellt SIL 1. Wenn nach der Entwicklung sicherheitsbezogener Systeme gezeigt werden kann, dass für die Sicherheitsfunktionen die Anforderungen für ein SIL erfüllt werden, dient der SIL als Maß für die Wirksamkeit der Sicherheitsfunktionen. Da die Wirksamkeit sowohl durch die Zuverlässigkeit der Ausübung der Sicherheitsfunktion im Gefährdungsfall als auch durch unmittelbare Abschaltung der gefahrverursachenden Systeme im Falle einer Fehlererkennung in den sicherheitsbezogenen Systemen auch außerhalb von Gefährdungssituationen erreicht werden kann, darf nicht allein von „Zuverlässigkeit“ der Sicherheitsfunktion geredet werden, weshalb die „Sicherheitsintegrität“ als Kunstbegriff eingeführt wurde.

Der notwendige SIL kann durch eine Gefahren- und Risikoanalyse ermittelt werden. SIL4 stellt hierbei eine derart hohe Sicherheitsanforderungsstufe dar, dass sie in der Praxis in einigen Bereichen nicht relevant ist, so etwa im Bereich der Sicherheit von Maschinen oder Personenkraftwagen.

Als wesentliche Parameter für die Zuverlässigkeit der Sicherheitsfunktion von Geräten werden die Berechnungsgrundlagen für PFH (probability of dangerous failure per hour − Wahrscheinlichkeit des Versagens pro Stunde) und PFD (probability of dangerous failure on demand − Wahrscheinlichkeit eines Versagens bei Anforderung) geliefert. Ersterer bezieht sich auf High-Demand Systeme, also solche mit einer hohen Anforderungsrate, letzterer auf Low-Demand Systeme, die Zeit ihrer Betriebsdauer so gut wie nicht betätigt werden. Aus diesen Parametern lässt sich der SIL ablesen. Des Weiteren wird die SFF (Safe Failure Fraction) eingeführt, ein Maß dafür, welcher Anteil aller denkbaren Fehler in die sichere Richtung geht. Die IEC 61508 deckt die einfacher anzuwendende EN ISO 13849-1 nahezu vollständig mit ab, was den Performance Level (PL) eines Gerätes angeht. Ein SIL kann direkt in einen PL übersetzt werden. Jedoch wird bei Fehlerbetrachtungen gemäß IEC 61508 innerhalb einer FMEA nur der Erstfehler betrachtet, so dass Kategorie 4 (gemäß EN ISO 13849-1), die eine Zwei-Fehlersicherheit garantiert, nur durch Anwendung der Verfahrensweisen gemäß der EN ISO 13849-1 nachzuweisen ist.

Die Norm EN 61508 "Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme" besteht aus folgenden Teilen:

• Teil 0: Funktionale Sicherheit und die IEC 61508(IEC/TR 61508-0:2005-10)
• Teil 1: Allgemeine Anforderungen (IEC 61508-1:1998 + Corrigendum 1999)
• Teil 2: Anforderungen an sicherheitsbezogene elektrische/elektronische/programmierbare elektronische Systeme (IEC 61508-2:2000)
• Teil 3: Anforderungen an Software (IEC 61508-3:1998 + Corrigendum 1999)
• Teil 4: Begriffe und Abkürzungen (IEC 61508-4:1998 + Corrigendum 1999)
• Teil 5: Beispiele zur Ermittlung der Stufe der Sicherheitsintegrität (safety integrity level) (IEC 61508- 5:1998 + Corrigendum 1999)
• Teil 6: Anwendungsrichtlinie für IEC 61508-2 und IEC 61508-3 (IEC 61508-6:2000)
• Teil 7: Anwendungshinweise über Verfahren und Maßnahmen (IEC 61508-7:2000)

Diese Normen wurden in Deutschland, Österreich bzw. der Schweiz als nationale Norm mit der vorangestellten Kennzeichnung DIN, ÖVE/ÖNORM bzw. SN veröffentlicht. Zu den oben genannten Normen-Nummern gibt es aktuelle Überarbeitungs-Entwurfsfassungen vom Juni 2009.

Der neueste Version der IEC 61508, die Edition 2.0, wurde am 30. April 2010 veröffentlicht. In Deutschland fand dies durch das DKE-Gremium 914 statt.

• Einführung in die Norm IEC 61508 (3 Teile)
• Präsentation des Fraunhofer-Instituts

• Börcsök, J.: „Elektronische Sicherheitssysteme“, Hüthig GmbH & Co. KG, Heidelberg, 2004, ISBN 3-7785-2939-0
• Wratil, P. Kieviet, M.: Sicherheitstechnik für Komponenten und Systeme, Hüthig GmbH & Co. KG, Heidelberg, 2007, ISBN 3-7785-2984-6