DIN EN ISO 13849-1 – die wichtigsten Grundsätze: 10 Praxisregeln für sichere Maschinensteuerungen

Wer Funktionen von Maschinensteuerungen sicher auslegen will, kommt an DIN EN ISO 13849-1 nicht vorbei. Dieser Leitfaden komprimiert DIN EN ISO 13849-1 – die wichtigsten Grundsätze in klare, praxistaugliche Schritte: vom Ermitteln des PLr über die Wahl der Kategorie bis hin zu MTTFd, DC, CCF, Validierung und Instandhaltung. Mit den folgenden Regeln planst, dokumentierst und betreibst du Sicherheitsfunktionen robust und normgerecht – unabhängig davon, ob du elektrische, pneumatische, hydraulische oder mechanische Komponenten einsetzt.

1. DIN EN ISO 13849-1 – die wichtigsten Grundsätze: Risikoanalyse und PLr festlegen

Am Anfang steht die systematische Gefährdungsbeurteilung. Identifiziere Gefährdungen der Maschine und leite daraus für jede Sicherheitsfunktion den geforderten Performance Level PLr ab. Drei Kriterien führen dich zum Ziel: Schwere der Verletzung (S1/S2), Häufigkeit/Exposition (F1/F2) und Möglichkeit der Vermeidung (P1/P2). Den PLr liest du anschließend aus dem Risikographen ab – von PL a (niedriges Risiko) bis PL e (höchstes Risiko).

Triff die PLr-Festlegung bewusst, denn die spätere Auslegung muss mindestens diesen Wert erreichen (PL ≥ PLr). Beispiel: Eine schwere Verletzung (S2), seltene Exposition (F1) und gute Vermeidbarkeit (P1) führen typischerweise zu PL c. Diese Zielgröße bestimmt Architektur, Bauteilauswahl und Diagnostik der Sicherheitsfunktion.

2. Sicherheitskategorien B, 1, 2, 3 und 4 richtig auswählen

Die Kategorie definiert die Architektur der sicherheitsbezogenen Teile der Steuerung (SRP/CS) – also die strukturellen Mittel gegen Ausfälle und deren Folgen. Wähle die Kategorie immer in Abhängigkeit vom PLr, der Technologie und der gewünschten Diagnosefähigkeit.

  • Kat. B: Basisanforderungen; oft einkanalig. Das Sicherheitsniveau lebt von bewährter Technik und guter Ingenieurpraxis. Meist nur für PL a geeignet.
  • Kat. 1: Ebenfalls einkanalig, aber mit nachweislich zuverlässigen Komponenten und bewährten Sicherheitsprinzipien. Einzelne Fehler können zum Funktionsverlust führen. Typisch PL a–b (abhängig von der Zuverlässigkeit).
  • Kat. 2: Einkanalig mit periodischer Diagnose (z. B. Starttests, zyklische Selbsttests). Fehler können zwischen zwei Tests unbeobachtet bleiben, werden aber beim nächsten Test erkannt. Üblich: PL b–c.
  • Kat. 3: Redundante Mehrkanal-Architektur. Ein einzelner Fehler führt nicht zum Verlust der Sicherheitsfunktion; nicht alle Fehler werden sofort erkannt. CCF-Maßnahmen sind verpflichtend. Häufig für PL d (vereinzelt PL c).
  • Kat. 4: Redundanz und hohe kontinuierliche Diagnostik. Ein einzelner Fehler führt nicht zum Funktionsverlust und wird zeitnah erkannt. Sehr hohe Anforderungen an DC und CCF. Ziel: PL e.

Merke: Kategorie, Diagnosedeckung, CCF-Schutz und die Zuverlässigkeit der Bauteile bedingen sich gegenseitig. Höhere Kategorien steigern den Aufwand – oft lohnt er sich, weil sie das erreichte Sicherheitsniveau zuverlässig absichern.

3. Komponenten mit hoher Zuverlässigkeit wählen: MTTFd verstehen

Der Kennwert MTTFd (Mean Time To Dangerous Failure) beschreibt den mittleren Zeitraum bis zum gefährlichen Ausfall eines Kanals. Die Norm unterscheidet drei Bereiche pro Kanal: niedrig (3 bis <10 Jahre), mittel (10 bis <30 Jahre) und hoch (30 bis 100 Jahre). Für Berechnungen deckelt DIN EN ISO 13849-1 den MTTFd pro Kanal bei 100 Jahren – auch wenn Datenblätter mehr versprechen.

Setze, wo der PLr es erfordert, auf Komponenten mit hohem MTTFd. Bei mechanischen, pneumatischen und hydraulischen Teilen helfen B10d-Werte, Einsatzprofile und Umgebungsbedingungen (Temperatur, Staub, Zyklen) realistisch einzuschätzen. Achte außerdem auf die gesamte Kette: Sensor – Logik – Aktor. Das schwächste Glied limitiert die Funktion.

4. DIN EN ISO 13849-1 – die wichtigsten Grundsätze: Diagnosedeckung (DC) gezielt erhöhen

Die Diagnosedeckung DC gibt an, wie viele potenziell gefährliche Fehler deine Diagnostik erkennt. Typische Stufen: kein/niedrig (<60%), niedrig (≥60%), hoch (≥90%), sehr hoch (≥99%). Für PL d und insbesondere PL e brauchst du in der Regel eine hohe bis sehr hohe DC – insbesondere bei Kategorien 3 und 4.

So steigerst du DC in der Praxis:

  • Nutze selbstüberwachende Sensoren oder redundante Erfassung mit Plausibilitätsprüfung.
  • Setze Sicherheitssteuerungen mit Testimpulsen ein; detektiere Kurzschlüsse, Leitungsbrüche und klebende Kontakte.
  • Plane bei Kat. 2 verbindliche, periodische Funktionstests (automatisiert oder manuell).

Hohe DC reduziert die Wahrscheinlichkeit unentdeckter gefährlicher Ausfälle (PFH) und hebt somit den erreichten PL. Kurzum: Lasse die Sicherheitsfunktion ihre eigenen Fehler erkennen und melden.

5. CCF im Griff behalten: Maßnahmen gegen gemeinsame Fehlerursachen

Redundanz alleine genügt nicht. Gemeinsame Fehlerursachen (Common Cause Failures, CCF) können beide Kanäle gleichzeitig treffen – etwa Feuchtigkeit in der Schaltschrankumgebung, falsch geführte Leitungen, identische Softwarefehler oder Vibrationen an benachbart montierten Sensoren. DIN EN ISO 13849-1 fordert nachweisbare CCF-Maßnahmen; die dazugehörige Checkliste bewertet Schutzmaßnahmen mit Punkten. Ziel: mindestens 65 von 100 Punkten erreichen.

  • Physische Trennung der Kanäle (getrennte Kabelwege, getrennte Module, räumliche Distanz von Sensoren).
  • Technische Diversität (unterschiedliche Technologien/Hersteller), um gleichartige Schwachstellen zu vermeiden.
  • Robuste Umgebungsbedingungen (IP-Schutz, Temperaturmanagement, EMV, Erdung, Schirmung).
  • Getrennte Energiepfade (z. B. separate Netzteile/Absicherungen je Kanal).
  • Disziplinierter Engineering-Prozess (Code-Reviews, getrennte Softwarestände, klare Montageanweisungen).

Frage dich bei jeder Redundanz: Was könnte beide Kanäle gleichzeitig ausschalten? Baue genau dafür eine Barriere ein.

6. Den resultierenden Performance Level der gesamten Funktion prüfen

Eine Sicherheitsfunktion besteht meist aus mehreren Elementen in Serie. Deren Ausfallwahrscheinlichkeiten addieren sich. Deshalb zählt am Ende die gesamte Kette – nicht nur die Einzelwerte auf den Datenblättern.

Ein typischer Irrtum: Drei hintereinander geschaltete Komponenten mit PLe ergeben nicht automatisch PLe für die Funktion. Durch das Summieren der Ausfallraten liegt das Gesamtrisiko meist im Bereich von PLd. Minimierst du die Anzahl serieller Elemente, nutzt hochzuverlässige Komponenten und erhöhst die DC, hältst du den Ziel-PL einfacher. Prüfe den erreichten PL immer mit Berechnung oder Tool (z. B. SISTEMA) und vergleiche ihn mit dem PLr.

Praxisregel: Der erreichte PL der Funktion entspricht höchstens dem Minimum ihrer Teile – häufig liegt er durch die Serialisierung sogar darunter. Plane deshalb schlanke, robuste Funktionsketten.

7. DIN EN ISO 13849-1 – die wichtigsten Grundsätze: Testen und Instandhalten über den Lebenszyklus

Sicherheit bleibt nur sicher, wenn du sie betreibst. Plane Prüfungen, Inspektionen und vorbeugende Instandhaltung von Beginn an ein. Lege fest, wer welche Tests wann ausführt – vom täglichen Check des Not-Halt-Tasters bis zum jährlichen Systemtest.

Berücksichtige begrenzte Lebensdauern: Kontakte verschleißen, Ventile altern, Sensoren verschmutzen. Nutze B10d/MTTFd als Basis für Austauschintervalle und halte die Intervalle bei rauer Umgebung konservativ. Dokumentiere Kalibrierungen, Sichtprüfungen, Austausch und Testergebnisse nachvollziehbar.

Gestalte Wartung ergonomisch: Gute Zugänglichkeit, klare Fehleranzeigen, Diagnosen im Klartext. So erkennst du degradierte Zustände früh – bevor sie den PL gefährden.

8. DIN EN ISO 13849-1 – die wichtigsten Grundsätze: Dokumentieren, berechnen, verifizieren

Formal sauber dokumentierte Sicherheitsfunktionen beweisen deine Sorgfalt – im internen Review, im Audit und im Ernstfall. Halte für jede Funktion fest: PLr-Herleitung, Architektur (Kategorie), Bauteildaten (MTTFd/B10d), Diagnosedeckung, CCF-Bewertung, Berechnung des erreichten PL sowie die Validierung.

  • Technische Daten: Datenblätter, Zertifikate, Nachweise zu PL/SIL, MTTFd/B10d, DC.
  • Schalt- und Fluidpläne: Architektur mit Kanälen, Testpfaden, Rückführungen.
  • CCF-Checkliste: Punkte, Begründungen, Fotos/Skizzen zur Trennung und Diversität.
  • PL-Berechnungen: z. B. Projekt-Report aus einem Berechnungstool.
  • Validierung: Prüfpläne, Prüfergebnisse, Abweichungen, Korrekturmaßnahmen.
  • Betrieb: Test- und Wartungsplan, Intervallvorgaben, Verantwortlichkeiten.

Verlange ein Vier-Augen-Prinzip: Eine unabhängige Fachperson reviewt deine Annahmen, Schaltungen und Ergebnisse und bestätigt sie auf der Maschine. So schließt du Denkfehler früh aus.

9. Universal einsetzbar: elektrische, pneumatische, hydraulische und mechanische SRP/CS

DIN EN ISO 13849-1 gilt nicht nur für elektrische/elektronische Systeme. Sie deckt auch mechanische, pneumatische und hydraulische Funktionen ab – überall dort, wo Teile der Steuerung Sicherheitsaufgaben übernehmen. Das macht die Norm besonders praxistauglich, weil moderne Maschinen hybride Technologien kombinieren.

  • Elektrisch: Lichtvorhänge, Sicherheitsrelais, Safety-PLC, zweikanalige Schützkombinationen.
  • Pneumatisch: zweikanalige Entlüftungs-/Abschaltventile, Positions-/Drucküberwachung, Stellungsrückführung.
  • Hydraulisch: doppelte Sperrventile, Sicherheitsventile für Pressen, Weg-/Drucksensorik mit Überwachung.
  • Mechanisch: zwangsöffnende Endschalter, Federkraftschließer, mechanische Verriegelungen mit Überwachung.

Bewerte diese Elemente mit denselben Grundsätzen: MTTFd bestimmen, Diagnostik planen, Redundanz und CCF berücksichtigen – und die Funktionskette als Ganzes bilanzieren.

10. DIN EN ISO 13849-1 – die wichtigsten Grundsätze im Zusammenspiel mit EN 62061

PL (DIN EN ISO 13849-1) und SIL (EN 62061/IEC 61508) verfolgen dasselbe Ziel: ein ausreichend niedriges Ausfallrisiko sicherheitsbezogener Steuerungsteile. PL arbeitet mit Stufen a–e, SIL mit 1–3 (bei Maschinen üblicherweise bis SIL 3). In der Größenordnung entspricht PL e etwa SIL 3, PL d etwa SIL 2 – die Bewertungswege unterscheiden sich jedoch.

EN 62061 betont die formale PFH-Bilanzierung und setzt architekturelle Grenzen mithilfe von HFT (Hardware Fault Tolerance) und SFF (Safe Failure Fraction). SFF beschreibt den Anteil sicherer oder erkannter Ausfälle; konzeptionell ähnelt er der DC, wird aber im SIL-Kontext zur Architekturbewertung genutzt. In der Praxis kombinieren viele Projekte beides: Du bilanzierst die Gesamtfunktion nach PL, setzt aber zertifizierte SIL-Bausteine ein – beides ergänzt sich.

Wähle den Weg, der zur Komplexität passt: Für elektromechanische Standardfunktionen liefert PL schnelle, robuste Ergebnisse. Für komplexe, softwareintensive Systeme bietet SIL zusätzliche methodische Tiefe. Entscheidend ist, dass die geforderte Risiko­minderung nachweisbar erreicht wird.

11. Typische Stolpersteine und praktische Tipps aus Projekten

  • Zu viele serielle Elemente: Auch sehr gute Einzelkomponenten drücken in Summe den PL. Halte Ketten kurz, bündle Funktionen, trenne wo möglich in unabhängige Pfade.
  • Fehlende Diagnose: Ohne DC bleiben Fehler lange unentdeckt. Ergänze Testimpulse, Rückführungen und Plausibilitätschecks.
  • CCF unterschätzt: Gleiche Kabellage, identische Software, identische Umgebung – ein gemeinsamer Auslöser genügt. Trenne, diversifiziere, schütze.
  • Lebensdauer ignoriert: MTTFd/B10d unter realen Lasten fallen niedriger aus als im Ideal. Passe Exchange-Intervalle an die reale Nutzung an.
  • Dokumentationslücken: Ohne sauberen Nachweis gerät die Konformität ins Wanken. Halte Annahmen, Berechnungen und Tests lückenlos fest.

Wenn du diese Punkte konsequent adressierst, lieferst du nicht nur normkonforme Unterlagen – du schützt vor allem Menschen und Anlagen wirksam.

12. FAQ: DIN EN ISO 13849-1 – die wichtigsten Grundsätze

Worin unterscheidet sich DIN EN ISO 13849-1 von EN 62061?

DIN EN ISO 13849-1 bewertet Sicherheitsfunktionen mit Performance Level (PL) und lässt sich für elektrische, pneumatische, hydraulische und mechanische SRP/CS einsetzen. EN 62061 nutzt SIL (Safety Integrity Level) und fokussiert stärker auf elektrische/elektronische programmierbare Systeme mit PFH-, HFT- und SFF-Anforderungen. Beide Wege sind mit den EU-Anforderungen kompatibel und lassen sich kombinieren.

Erreiche ich mit drei PLe-Komponenten in Serie immer PLe?

Nein. Serielle Elemente addieren ihre Ausfallwahrscheinlichkeiten. Drei hintereinander geschaltete PLe-Komponenten führen in der Gesamtfunktion häufig nur zu PLd. Halte die Kette schlank, erhöhe die DC und prüfe den erreichten PL mit einer Berechnung.

Was bedeutet MTTFd und welche Werte sind sinnvoll?

MTTFd ist die mittlere Zeit bis zum gefährlichen Ausfall eines Kanals. Die Norm unterscheidet niedrig (3–10 Jahre), mittel (10–30) und hoch (30–100; Deckelung bei 100). Für höhere PL-Ziele solltest du pro Kanal einen hohen MTTFd anstreben und reale Einsatzbedingungen berücksichtigen.

Wie sichere ich mich gegen Common Cause Failures (CCF) ab?

Trenne Kanäle räumlich, nutze Diversität bei Technik/Herstellern, schütze vor Umwelteinflüssen, führe getrennte Energiepfade und sichere die Softwareprozesse ab. Erreiche mindestens 65 von 100 Punkten in der CCF-Checkliste der Norm.

Gilt DIN EN ISO 13849-1 nur für elektrische Systeme?

Nein. Die Norm ist technologieneutral. Sie bewertet elektrische, pneumatische, hydraulische und mechanische SRP/CS gleichermaßen. Entscheidend sind Architektur, MTTFd, DC, CCF und der nachgewiesene PL der Gesamtfunktion.

Oceń post