IEC 61508

IEC 61508 (DIN EN IEC 61508) ist eine internationale Normenreihe zur funktionalen Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Systeme.

IEC 61508 (DIN EN IEC 61508) ist eine internationale Normenreihe zur funktionalen Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Systeme. In Deutschland ist sie als DIN EN 61508 übernommen, mit Bezug zur VDE-Bestimmung VDE 0803. Sie beschreibt Anforderungen an Systeme, deren Sicherheitsfunktionen Gefährdungen durch Ausfälle, Fehlfunktionen oder Fehlbedienung vermeiden oder mindern sollen.

Grundzüge der IEC 61508

IEC 61508 trägt den Titel „Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme“. Den letzten Begriff findet man sowohl in der Norm als auch generell häufig unter der Abkürzung E/E/PE.

Gesamtsicherheit

Funktionale Sicherheit bezeichnet den Teil der Gesamtsicherheit, der von korrekt ausgeführten Sicherheitsfunktionen abhängt. Ein sicherheitsbezogenes Steuerungssystem muss auf Eingaben, Zustände oder Fehler so reagieren, dass ein gefährlicher Zustand verhindert, erkannt oder in seinen Folgen gemindert wird. Ein Beispiel aus dem Brandschutz verdeutlicht die Abgrenzung: Ein Rauchmelder, der eine Löschanlage auslöst, gehört zur funktionalen Sicherheit. Eine Brandschutztür wirkt passiv und fällt daher nicht unter funktionale Sicherheit im engeren Sinn.

Die Norm ist als branchenübergreifende Sicherheitsgrundnorm angelegt. Sie beschreibt Grundsätze und Anforderungen für sicherheitsbezogene E/E/PE-Systeme. Aus ihr sind mehrere Sektornormen abgeleitet oder an ihr ausgerichtet, etwa Normen für Maschinen oder Fahrzeuge.

Sicherheitslebenszyklus

IEC 61508 arbeitet mit einem Sicherheitslebenszyklus. Dieser Lebenszyklus beginnt bei Konzept und Gefahrenanalyse und reicht über Spezifikation, Entwicklung, Verifikation, Validierung, Betrieb, Instandhaltung, Änderung und Außerbetriebnahme. Die Norm verlangt, dass sicherheitsbezogene Tätigkeiten geplant, durchgeführt, geprüft und dokumentiert werden.

Ein Ausgangspunkt ist die Gefahren- und Risikoanalyse. Dabei werden mögliche Gefährdungen eines Systems betrachtet. Risiko wird als Verbindung aus Schadenswahrscheinlichkeit und Schadensschwere verstanden. Aus dem Vergleich mit einem tolerierbaren Risiko ergibt sich die notwendige Risikominderung. Nach Schutzmaßnahmen verbleibt ein Restrisiko. Dieses Restrisiko ist nicht dasselbe wie das tolerierbare Risiko. Es ist das Risiko, das nach Anwendung technischer, organisatorischer oder anderer Maßnahmen übrig bleibt, und muss unterhalb des tolerierbaren Risikos liegen.

Sicherheitsanforderungsstufen

Für Sicherheitsfunktionen verwendet IEC 61508 Sicherheitsanforderungsstufen, die als Safety Integrity Level oder SIL bezeichnet werden. Es gibt SIL 1 bis SIL 4. Die Stufen beschreiben Anforderungen an die Sicherheitsintegrität einer Sicherheitsfunktion. Für zufällige Hardwarefehler beziehen sie sich auf Wahrscheinlichkeiten oder Häufigkeiten gefährlicher Ausfälle. Für systematische Fehler steigen mit höherem SIL die Anforderungen an Methoden, Nachweise, Verifikation, Validierung und organisatorische Trennung.

IEC 61508 unterscheidet systematische und zufällige Fehler. Systematische Fehler entstehen etwa durch falsche Annahmen, unvollständige Spezifikationen, Entwurfsfehler, Softwarefehler oder ungeeignete Betriebsverfahren. Sie werden durch Prozesse, Reviews, Tests, Verifikation, Validierung, Dokumentation und Managementmaßnahmen behandelt. Zufällige Hardwarefehler entstehen durch physikalische Ausfallmechanismen von Bauteilen. Sie werden durch Architektur, Diagnose, Überwachung, Ausfallratenbetrachtungen und weitere technische Maßnahmen beherrscht.

Aufbau der Normenreihe

IEC 61508 besteht aus sieben Teilen. Zusätzlich wird ein einführender technischer Report teilweise als Teil 0 bezeichnet, gehört aber nicht zu den sieben Hauptteilen.

Die sieben Teile sind:

  1. IEC 61508-1: Allgemeine Anforderungen  
  2. IEC 61508-2: Anforderungen an sicherheitsbezogene elektrische, elektronische und programmierbare elektronische Systeme  
  3. IEC 61508-3: Anforderungen an Software  
  4. IEC 61508-4: Begriffe und Abkürzungen  
  5. IEC 61508-5: Beispiele zur Ermittlung der Stufe der Sicherheitsintegrität  
  6. IEC 61508-6: Anwendungsrichtlinie für IEC 61508-2 und IEC 61508-3  
  7. IEC 61508-7: Anwendungshinweise zu Verfahren und Maßnahmen  

Teil 1 behandelt unter anderem Sicherheitsmanagement, Sicherheitslebenszyklus, Dokumentation, Verifikation und Validierung. Teil 2 betrifft System- und Hardwareanforderungen. Teil 3 betrifft Software. Teil 4 enthält Begriffe. Teil 5 unterstützt die Ermittlung von SIL. Teil 6 erläutert die Anwendung von Teil 2 und Teil 3. Teil 7 beschreibt Verfahren und Maßnahmen, etwa zur Beherrschung zufälliger Hardwarefehler, zur Vermeidung systematischer Ausfälle und zur Software-Sicherheitsintegrität.

Anwendungsrahmen der IEC 61508

IEC 61508 wird bei sicherheitsbezogenen E/E/PE-Systemen verwendet, wenn Sicherheitsfunktionen durch elektrische, elektronische oder programmierbare elektronische Systeme ausgeführt werden. Sie kommt bei Steuerungssystemen, Sicherheitskomponenten, Automatisierungssystemen und sicherheitsgerichteten Produkten in Betracht.

Die Norm richtet sich durch ihren Grundnormcharakter vor allem an Hersteller sicherheitsbezogener Systeme, Hersteller von Sicherheitskomponenten, Normensetzer und Organisationen, die eine generische Grundlage für funktionale Sicherheit benötigen. Für Endanwender oder Systemintegratoren im Maschinenbereich können sektorspezifische Normen wie EN 62061 oder EN ISO 13849-1/-2 geeigneter sein, weil sie auf Maschinenanwendungen zugeschnitten sind. Für Straßenfahrzeuge wird in den Quellen ISO 26262 als sektorspezifische Norm genannt.

Die IEC 61508 kann auch dann herangezogen werden, wenn keine passende harmonisierte Sektornorm vorhanden ist oder wenn ein sicherheitsgerichtetes System für eine Zertifizierung nach einer generischen Grundlage beurteilt werden soll. In IEC- und ISO-Normen wird auf IEC 61508 verwiesen, wodurch sie auch über abgeleitete Normen in technische Anforderungen einfließt. Kurioserweise wird die IEC 61508 im Europäischenraum beispielsweise in der Waffentechnik angewandt, weil die MIL-882 mit System Safety nicht weitreichend ist.

Eigenschaften und Anforderungen

IEC 61508 verbindet technische Anforderungen mit organisatorischen Anforderungen. Die Norm verlangt eine nachvollziehbare Kette aus Analyse, Spezifikation, Entwurf, Implementierung, Prüfung, Betrieb und Änderung.

Prozessualer Rahmen

Zur Anwendung gehören dokumentierte Verantwortlichkeiten. Für Phasen und Ebenen des Sicherheitslebenszyklus müssen Zuständigkeiten festgelegt werden. Dazu zählen Gesamtanlage oder Gesamtsystem, Hardware und Software. Bei verteilter Entwicklung müssen Schnittstellen, Arbeitsprodukte und Verantwortlichkeiten abgegrenzt werden.

Verifikation und Validierung haben getrennte Aufgaben. Verifikation prüft, ob Ergebnisse einer Entwicklungsphase die Vorgaben dieser Phase erfüllen. Validierung prüft, ob die Sicherheitsfunktionen die Sicherheitsanforderungen für den vorgesehenen Einsatz erfüllen. Beide Tätigkeiten müssen geplant und dokumentiert werden.

Die Dokumentation dient als Nachweisgrundlage. Dazu gehören unter anderem Anforderungen, Architekturen, Prüfberichte, Versionsstände, Konfigurationsdaten, Änderungsentscheidungen, Annahmen zum Betrieb und Begründungen für gewählte Maßnahmen. Für eine Beurteilung der funktionalen Sicherheit müssen diese Informationen konsistent und einer Produktversion zuordenbar sein.

Bei einer Beurteilung der funktionalen Sicherheit spielt Unabhängigkeit eine Rolle. Der erforderliche Grad hängt unter anderem vom SIL, von der möglichen Schadensschwere und von der verwendeten Technologie ab. Eine beurteilende Person darf nicht dieselbe Rolle haben wie die Person, deren Arbeit beurteilt wird, wenn die geforderte Unabhängigkeit dadurch verletzt würde.

Wie wird eine bestimmte SIL-Stufe erreicht?

Eine bestimmte SIL-Stufe ergibt sich aus mehreren Anforderungen an die Sicherheitsfunktion. Nach IEC 61508 muss die Sicherheitsfunktion in Auslegung, Architektur und Entwicklungsprozess zur geforderten SIL-Stufe passen.

Wesentliche Kriterien sind:

  1. zufällige Hardware-Integrität,
  2. architekturbedingte Einschränkungen,
  3. systematische Fähigkeit.

Die zufällige Hardware-Integrität beschreibt die Wahrscheinlichkeit gefährlicher zufälliger Hardwareausfälle. Die systematische Fähigkeit beschreibt die Beherrschung systematischer Fehler, zum Beispiel in Spezifikation, Entwicklung, Implementierung, Verifikation und Änderungsprozessen.

Die architekturbedingten Einschränkungen bewerten den Aufbau der sicherheitsbezogenen Hardwarearchitektur. Sie legen fest, welche SIL-Stufe mit einer bestimmten Architektur beansprucht werden kann. Dabei spielen die Struktur der Sicherheitsfunktion, die Hardware-Fehlertoleranz und die Diagnosefähigkeit eine zentrale Rolle.

Architekturbeschränkte Einschränkungen

Architekturbedingte Einschränkungen sind Anforderungen der IEC 61508 an den Aufbau einer sicherheitsbezogenen Hardwarearchitektur. Sie ergänzen die rechnerische Betrachtung der Ausfallwahrscheinlichkeit durch Mindestanforderungen an die Architektur.

Hintergrund ist die begrenzte Belastbarkeit von Ausfallratendaten elektronischer und programmierbarer elektronischer Komponenten. Feldausfälle werden je nach Hersteller, Anwendung und Branche unterschiedlich erfasst. Herstellerangaben zu Ausfallraten beruhen zudem auf bestimmten Datenbasen, Annahmen und Betriebsbedingungen. Die IEC 61508 berücksichtigt deshalb zusätzlich die Architektur der Sicherheitsfunktion.

Ein zentraler Begriff ist die Hardware-Fehlertoleranz, kurz HFT. Sie beschreibt, wie viele gefährliche Hardwarefehler eine Sicherheitsfunktion tolerieren kann, während die Sicherheitsfunktion erhalten bleibt.

Bei einer 1oo1-Architektur gibt es einen Kanal. Die Hardware-Fehlertoleranz beträgt HFT = 0.

Bei einer 1oo2-Architektur gibt es zwei Kanäle. Ein Kanal reicht zur Ausführung der Sicherheitsfunktion aus. Die Hardware-Fehlertoleranz beträgt HFT = 1.

Die architekturbedingten Einschränkungen verknüpfen die erreichbare SIL-Stufe mit der Hardware-Fehlertoleranz und weiteren Eigenschaften der Architektur. Dazu gehören insbesondere der Anteil sicherer Ausfälle und die diagnostische Abdeckung. Dadurch entsteht eine strukturelle Mindestanforderung an die Sicherheitsfunktion passend zur geforderten SIL-Stufe.

Auch um Vorgaben zur Erreichung einer Kern-Architektur ist die IEC 61508 bemüht – in Form der sogenannten Routen.

Route 1H ist der klassische Ansatz. Dabei wird die erreichbare SIL-Stufe anhand der Hardware-Fehlertoleranz und des Anteils sicherer Ausfälle bestimmt. Der Anteil sicherer Ausfälle wird als Safe Failure Fraction, kurz SFF, bezeichnet. Die Architektur wird dabei in Tabellen eingeordnet. Je höher die Hardware-Fehlertoleranz und je höher der Anteil sicherer Ausfälle, desto höher kann die erreichbare SIL-Stufe sein.

Route 2H ist ein alternativer Ansatz. Sie basiert stärker auf belastbaren Betriebs- und Felddaten. Dabei wird betrachtet, ob für die verwendeten Komponenten und Geräte ausreichend Erfahrung aus realen Anwendungen vorliegt. Diese Erfahrung muss zur jeweiligen Anwendung, Betriebsart und Umgebung passen. Route 2H setzt voraus, dass die Ausfalldaten systematisch erfasst, bewertet und für die konkrete Sicherheitsfunktion geeignet sind.

Typische Missverständnisse und Grenzen

IEC 61508 ist eine Grundnorm für funktionale Sicherheit von E/E/PE-Systemen. Sektornormen übertragen die Grundsätze auf bestimmte Bereiche. EN 62061 behandelt funktionale Sicherheit im Maschinenbereich mit Bezug auf sicherheitsbezogene elektrische Steuerungssysteme. EN ISO 13849-1/-2 behandelt sicherheitsbezogene Teile von Steuerungen im Maschinenbereich. ISO 26262 behandelt funktionale Sicherheit im Straßenfahrzeugbereich.

Funktionale Sicherheit ist auch nicht mit jeder Form von Sicherheit gleichzusetzen. Elektrische Sicherheit, Brandschutz, mechanische Schutzmaßnahmen oder organisatorische Maßnahmen können Teil der Gesamtsicherheit sein. Funktionale Sicherheit betrifft den Anteil, der von Sicherheitsfunktionen aktiver Systeme abhängt. Andere Maßnahmen können das Risiko ebenfalls mindern, gehören aber nicht immer zur funktionalen Sicherheit im engeren Sinn.

SIL ist nie eine allgemeine Qualitätsstufe eines Produkts. Ein SIL bezieht sich einzig und allein auf eine Sicherheitsfunktion und die dafür geforderte Sicherheitsintegrität. Ein sicherheitsbezogenes Gerät muss daher nicht vollumfänglich als qualitativ ansprechend oder zufriedenstellend wahrgenommen werden, weil einzig und allein Kundenanforderungen die Qualität definieren. Ein Gerät kann für bestimmte Bedingungen und Sicherheitsfunktionen mit einer SIL-Eignung beschrieben werden. Daraus folgt nicht automatisch, dass jede Verwendung des Geräts eine bestimmte Kundenanforderung erfüllt. Die konkrete Sicherheitsfunktion, Architektur, Diagnose, Betriebsbedingungen und Einbindung in das Gesamtsystem müssen betrachtet werden.

Die Norm kann nicht durch nachträgliche Dokumentation erfüllt werden, wenn die geforderten Tätigkeiten nicht ausgeführt wurden. Dokumente müssen die tatsächlich geplanten, umgesetzten und geprüften Maßnahmen abbilden. Eine Softwarekommentierung ersetzt keine Sicherheitsanforderung, keine Architektur und keinen Nachweis der Verifikation.

IEC 61508 ist umfangreich und generisch formuliert. Dadurch müssen Methoden, Verfahren und Nachweise auf das jeweilige System übertragen werden. Diese Übertragung erfordert technische Begründungen. Die Norm gibt Grundsätze und Anforderungen vor, nimmt aber die technische Argumentation für ein bestimmtes Produkt nicht ab.

Synonyme:
EN 61508, ISO 61508
Zurück zum Glossar

Ähnliche Beiträge