DIN EN IEC 61508 – universelles Fundament der funktionalen Sicherheit

DIN EN IEC 61508 (engl. IEC 61508) ist eine Norm, die häufig als „Basis“ für andere branchenspezifische Dokumente zur funktionalen Sicherheit herangezogen wird. Sie legt Grundsätze zur Minimierung von Risiken in Steuerungssystemen fest, die auf elektrischer, elektronischer oder programmierbarer elektronischer Technik (E/E/PE) beruhen. Ihre Anforderungen stützen sich auf vier Säulen:

1. Sicherheitslebenszyklus (Safety Lifecycle)
   – von der ersten Konzeption und Gefährdungsanalyse bis zur Außerbetriebnahme des Systems.
2. Sicherheits-Integritätslevel (SIL)
   – Sicherheitsfunktionen werden zugeordnet, um die Anforderungen an die Zuverlässigkeit festzulegen.
3. Management der funktionalen Sicherheit
   – klar definierte Rollen, Verantwortlichkeiten, Verifikationsverfahren und Kompetenzbewertungen.
4. Dokumentation
   – Erstellung, Aufbewahrung und Aktualisierung aller relevanten Daten und Berichte für den Betrieb und mögliche Prüfungen.

Diese Grundannahmen bedeuten, dass 61508 nicht nur einen einzelnen Sektor adressiert. Im Gegenteil: Die Norm ist so konzipiert, dass sie an die Besonderheiten unterschiedlicher Branchen angepasst werden kann – vom Maschinenbau über die Bahnindustrie und die Luftfahrt bis hin zur Energiewirtschaft (einschließlich Kernenergie) und der Prozessautomatisierung. Weitere Hintergründe finden Sie auch unter DIN EN IEC 61508 – die universelle Grundlage der funktionalen Sicherheit: Leitfaden für SIL, Branchen und Praxis.

Anwendung in verschiedenen Branchen

Maschinen und Produktionslinien: DIN EN 62061 sowie DIN EN ISO 13849

Bei der Konstruktion von Maschinen sowie von Produktionslinien beziehen wir uns häufig auf:

• DIN EN 62061 – „Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme von Maschinen“,
• DIN EN ISO 13849-1 – sie beschreibt den „Performance Level“ (PL). Mehr dazu auch unter DIN EN ISO 13849-1 – die wichtigsten Grundsätze: 10 Praxisregeln für sichere Maschinensteuerungen.

Beide Normen bauen in weiten Teilen auf Konzepten aus 61508 auf – insbesondere, wenn es um Risikobeurteilung, die Festlegung der Sicherheitsintegrität sowie Redundanzprinzipien geht.

Praxisbeispiele:

• Automatische Verpackungslinie: Wir setzen Lichtvorhänge und Not-Halt-Einrichtungen ein und entwerfen die Steuerung so, dass bei Unterbrechung des Strahls ein sofortiger, sicherer Maschinenstopp erfolgt.
• Kollaborierende Roboter (Cobots): Zusätzliche Anforderungen an die Reaktion bei Kontakt mit dem Menschen, häufig unter Berücksichtigung von SIL 2 oder SIL 3.

Mit 61508 definieren wir die übergeordnete Methodik, während 62061/13849-1 konkretisieren, wie Risikobeurteilung und die Umsetzung einzelner Sicherheitsfunktionen in der Maschine Schritt für Schritt durchzuführen sind. Vertiefend dazu: SIL – Sicherheitsintegritätslevel nach EN IEC 62061: Methode, Nachweis und PL-Vergleich.

Bahnwesen: Normenreihe EN 5012x

In der Bahnbranche gelten folgende Normen als Standard:

• EN 50126 (RAMS – Reliability, Availability, Maintainability, Safety),
• EN 50128 (Bahnsoftware),
• EN 50129 (elektronische Systeme in der Eisenbahnsignaltechnik).

Alle drei verweisen im Kontext der Sicherheitsanforderungen auf grundlegende Regeln, die denen der 61508 ähneln. Auch hier gibt es SIL-Stufen (in der Regel 0–4) sowie strenge Anforderungen an die Unabhängigkeit der Systeme (Kanalredundanz) und an die Störfestigkeit (gemeinsame Ausfallursachen).

Beispiel:

• Zugverkehrssteuerung: Bei Kollisionsgefahr werden die Bremsen automatisch ausgelöst. Ist ein solches System als SIL 4 eingestuft, muss es gemäß EN 50128/50129 extrem hohe Zuverlässigkeitsanforderungen und Testverfahren erfüllen.

Prozessindustrie: DIN EN 61511

In chemischen Anlagen, in der Petrochemie, in Raffinerien oder in Gasaufbereitungsanlagen greifen wir auf die Norm DIN EN 61511 zurück – sie leitet sich direkt aus 61508 ab, fokussiert jedoch gezielt auf sogenannte SIS (Safety Instrumented Systems).

• Wir entwerfen Sicherheitskreise (SIF – Safety Instrumented Function) und legen für jeden davon den SIL fest.
• In der Analyse prozessbezogener Gefährdungen nutzen wir häufig die Methode HAZOP.
• Wir stellen sicher, dass Sensoren und Aktoren die erforderliche Zuverlässigkeit aufweisen und in regelmäßigen Abständen geprüft werden.

Kernenergie: IEC 61513

Wenn das Ausfallrisiko eine Gefährdung großer Gebiete bedeutet (Kernkraftwerke), sind die Normen zur funktionalen Sicherheit noch deutlich strenger gefasst.

• IEC 61513 (in Polen teils auch als PN-IEC 61513 zitiert) beschreibt Anforderungen an Schutz- und Leittechniksysteme in Kernkraftwerksblöcken.
• Gefordert sind mehrkanalige Redundanzkonzepte (z. B. 2oo3, 2oo4 – „two out of three“ usw.) sowie eine äußerst strenge Kontrolle der Softwareentwicklung.

Luftfahrt: DO-178C / DO-254

Auch wenn in der Luftfahrt 61508 nicht direkt angewendet wird, ist die Grundidee vergleichbar. Die Dokumente DO-178C (für Bordsoftware) und DO-254 (für Hardware) definieren Kritikalitätsstufen A–E, basierend auf den Folgen eines Fehlers (von geringfügigen Unannehmlichkeiten bis hin zur Flugzeugkatastrophe). Die Methodik für Analyse, Redundanz, Tests und Konfigurationsmanagement ist im Kern sehr ähnlich zu 61508 – mit Schwerpunkt auf detaillierten Regeln für die Zertifizierung von Avionik.

DIN EN IEC 61508: Grundannahmen und ihre praktische Bedeutung

1. Sicherheitslebenszyklus
   • Umfasst die Phasen: von der Definition des Konzepts über den Detailentwurf (Hardware, Software) bis hin zu Installation, Abnahmen, Betrieb und Änderungen.
   • Dadurch beschränkt man sich nicht auf ein einzelnes Audit am Projektende; Sicherheit muss über die gesamte Nutzungsdauer hinweg analysiert und nachgewiesen werden.
2. Sicherheitsintegritätslevel (SIL)
   • Es gibt vier Stufen: SIL 1 – am wenigsten streng; SIL 4 – am strengsten.
   • Jede Stufe definiert zulässige Grenzen für die Wahrscheinlichkeit eines gefährlichen Ausfalls (z. B. PFD für den Modus mit seltener Anforderung).
3. Risikobewertung und Dokumentation
   • Bevor Sie mit dem Entwurf beginnen, müssen Sie wissen, welche Gefährdungen in welchem Ausmaß bestehen.
   • Die Dokumentation (Analysen wie z. B. HAZOP, FMEA, Fehlerbaum) bildet das Rückgrat des Systems – bei einer Kontrolle oder einem Audit können Sie damit die Nachvollziehbarkeit Ihrer Konstruktionsentscheidungen belegen.
4. Unabhängigkeit und Redundanz
   • Redundanz ist nur dann wirksam, wenn zwei (oder mehr) Kanäle nicht gleichzeitig aus derselben Ursache ausfallen (Common-Cause-Fehler).
   • Ein hoher SIL erfordert meist unterschiedliche Technologien, getrennte Energieversorgungen usw.
5. Kompetenzmanagement
   • Personen, die für Entwurf und Instandhaltung von Sicherheitssystemen verantwortlich sind, müssen dafür qualifiziert und erfahren sein (die Norm betont das ausdrücklich).

Was bringt uns die Anwendung von DIN EN 61508

1. Weniger Ausfälle und Stillstände – durch bessere Risikokontrolle und frühere Erkennung von Schwachstellen.
2. Rechts- und Regelkonformität – Kunden, Inspektoren und Versicherer verlangen häufig eine Zertifizierung nach solchen Normen.
3. Mehr Vertrauen – Systeme, die nach 61508 / 61511 / 62061 / EN 5012x ausgelegt sind, gelten als verlässlicher (siehe auch DIN EN IEC 61508 – die universelle Grundlage der funktionalen Sicherheit: Leitfaden für SIL, Branchen und Praxis).
4. Langfristige Wirtschaftlichkeit – auch wenn die Umsetzung kostenintensiv sein kann, reduziert sie potenzielle Verluste durch Unfälle oder rechtliche Probleme.

DIN EN IEC 61508: Häufigste Fehler und Fallstricke

1. Fehlende angemessene Analyse von Common-Cause-Fehlern: Ein redundantes System kann versagen, wenn die Kanäle eine gemeinsame Stromversorgung oder einen gemeinsamen Datenbus nutzen.
2. Beschränkung auf eine einzelne Komponente mit SIL-Zertifikat: Dass ein Sensor oder eine Steuerung ein SIL-2/3-Zertifikat hat, bedeutet nicht automatisch, dass das Gesamtsystem dieses Niveau erreicht – entscheidend ist die ganzheitliche Architektur (Sensorik, Verdrahtung, Software, Aktorik).
3. Keine wiederkehrenden Prüfungen: Bei Systemen, die selten ansprechen, ist das Testen unter realen Bedingungen Pflicht. Ohne das gibt es keine Sicherheit, dass die Sicherheitsfunktion im kritischen Moment tatsächlich auslöst.
4. Auslassen der Änderungsphase: Wenn Sie auch nur einen Teil der Software ändern oder ein Ventil austauschen, müssen Sie bestimmte Schritte des Sicherheitslebenszyklus erneut durchlaufen – insbesondere die Analyse der Auswirkungen der Änderung.
5. Vernachlässigung der Kompetenz: Vom Konstrukteur bis zum Instandhaltungspersonal – alle benötigen eine passende Schulung, um zu wissen, wie die Anforderungen der funktionalen Sicherheit einzuhalten sind.

DIN EN 61508 ist der Ausgangspunkt, und sektorspezifische Normen (DIN EN 61511, 62061, EN 5012x, IEC 61513, DO-178C/254 usw.) übertragen ihre Grundsätze auf die Besonderheiten einzelner Industriezweige. Für Sie als Entwickler oder Betreiber von Sicherheitssystemen bedeutet das:

• Klare und konsistente Leitlinien, wie man an Risikobeurteilung, SIL-Festlegung oder Prüfung von Schaltungen herangeht (ergänzend: SIL – Sicherheitsintegritätslevel nach EN IEC 62061: Methode, Nachweis und PL-Vergleich).
• Die Notwendigkeit, detaillierte Dokumentation zu erstellen – von Prüfprotokollen bis hin zu Nachweisen über die Kompetenzen des Personals.
• Mehr Sicherheit, dass die umgesetzten Lösungen internationale Standards erfüllen und von Kunden sowie Aufsichtsbehörden akzeptiert werden.

Letztlich gilt: Auch wenn es ein kosten- und zeitintensiver Prozess sein kann, führt die korrekte Einführung von DIN EN 61508 (oder ihrer „Ableitungen“) zu geringerem Unfallrisiko, einem stabileren Anlagenbetrieb und einer besseren Reputation in der Branche. Diese Normen sind daher kein „unnötiger Papierkram“, sondern ein wirksames Werkzeug, um Leben, Gesundheit und Sachwerte zu schützen.