EN ISO 13849

EN ISO 13849 ist eine Normenreihe zur Sicherheit von Maschinen aus dem Bereich der funktionalen Sicherheit von Maschinensteuerungen. Anwendung der DIN EN ISO 13849 Sie beschreibt Anforderungen an sicherheitsbezogene Teile von Steuerungen, also an Steuerungsteile, die Sicherheitsfunktionen ausführen. Dazu gehören Sensoren, Logik, Aktoren und die zugehörige Software.

Was ist die ISO 13849?

EN ISO 13849 behandelt sicherheitsbezogene Teile von Steuerungen an Maschinen. Der erste Teil, EN ISO 13849-1, enthält allgemeine Gestaltungsleitsätze. Der zweite Teil, EN ISO 13849-2, beschreibt die Validierung.

Die Norm wird für Steuerungen verwendet, die Risiken an Maschinen durch technische Schutzmaßnahmen mindern. Eine Sicherheitsfunktion kann zum Beispiel ausgelöst werden, wenn ein Lichtgitter unterbrochen wird. Die Steuerung muss dann eine festgelegte Reaktion ausführen, etwa eine gefahrbringende Bewegung stillsetzen.

Die Norm betrachtet dafür den sicherheitsbezogenen Teil der Steuerung als Kette aus Eingabe, Verarbeitung und Ausgabe. Eingaben können von Positionsschaltern, Lichtgittern oder Verriegelungseinrichtungen kommen. Die Verarbeitung kann in einer Sicherheitssteuerung erfolgen. Die Ausgabe wirkt auf Schütze, Ventile, Antriebe oder andere Leistungselemente.

Aufbau der Norm

EN ISO 13849 besteht aus zwei Teilen:

  • EN ISO 13849-1: allgemeine Gestaltungsleitsätze für sicherheitsbezogene Teile von Steuerungen
  • EN ISO 13849-2: Validierung der sicherheitsbezogenen Teile von Steuerungen

Teil 1 wurde 2023 in einer vierten Ausgabe überarbeitet. Die überarbeitete Fassung ordnet die Inhalte stärker entlang des Entwicklungsablaufs: Spezifikation der Sicherheitsfunktionen, Entwurf der sicherheitsbezogenen Steuerungsteile, Bestimmung des erreichten Performance Levels, Softwareanforderungen, Validierung, Dokumentation und Benutzerinformation.

Die Validierungsanforderungen, die bisher im zweiten Teil standen, wurden in der Ausgabe 2023 in Teil 1 aufgenommen. Teil 2 bleibt als Validierungsnorm bestehen, bis die weitere Überarbeitung abgeschlossen ist.

Grundzüge der EN ISO 13849

Die Anwendung beginnt mit der Risikobeurteilung der Maschine. Daraus wird für jede Sicherheitsfunktion ein erforderlicher Performance Level, der PLr, abgeleitet. Der Performance Level beschreibt den Beitrag einer Sicherheitsfunktion zur Risikominderung. Die Stufen reichen von PL a bis PL e.

Der PLr kann über einen Risikographen bestimmt werden. Dabei werden drei Risikoparameter betrachtet:

  • Schwere möglicher Verletzungen (S)
  • Häufigkeit oder Dauer der Gefährdungsexposition (F)
  • Möglichkeit, die Gefahr zu vermeiden oder den Schaden zu begrenzen (P)
Performance Level nach EN ISO 13849
Performance Level nach EN ISO 13849

Nach der Festlegung des PLr wird die Sicherheitsfunktion spezifiziert. Die Ausgabe 2023 verlangt dafür eine genauere Beschreibung. Dazu gehören unter anderem das auslösende Ereignis, die erforderliche Reaktion, der PLr, die erlaubte Ansprechzeit, aktive Betriebsarten, Schnittstellen zu anderen Steuerungsfunktionen, das Verhalten bei Energieverlust und Bedingungen für den Wiederanlauf.

Anschließend wird die Sicherheitsfunktion technisch umgesetzt. Dafür kann ein sicherheitsbezogener Teil einer Steuerung, ein SRP/CS, in Teilsysteme zerlegt werden. Typisch ist die Aufteilung in Eingabe, Logik und Ausgabe. Für jedes Teilsystem werden die Eigenschaften bestimmt, die in den erreichten Performance Level eingehen.

Zu diesen Eigenschaften gehören:

  • Kategorie der Architektur
  • mittlere Zeit bis zum gefahrbringenden Ausfall
  • Diagnosedeckungsgrad
  • Maßnahmen gegen Ausfälle infolge gemeinsamer Ursache, CCF
  • Maßnahmen gegen systematische Fehler
  • mittlere Häufigkeit eines gefahrbringenden Ausfalls je Stunde, PFH

Der erreichte Performance Level muss mindestens dem geforderten PLr entsprechen. Dafür reicht eine reine Betrachtung der Struktur nicht aus. EN ISO 13849 verbindet Architekturvorgaben aus der früheren EN 954-1 mit quantitativen Kenngrößen, wie sie aus der funktionalen Sicherheit bekannt sind.

Software nach EN ISO 13849

EN ISO 13849 behandelt auch sicherheitsbezogene Software. Die Quellen unterscheiden zwei Arten:

SRASW ist sicherheitsbezogene Anwendungssoftware. Sie läuft typischerweise auf geprüfter Sicherheits-Hardware und wird häufig mit Sprachen mit eingeschränktem Sprachumfang erstellt. Dazu zählen Programmiersprachen nach IEC 61131-3 wie Kontaktplan oder Funktionsbausteinsprache.

SRESW ist sicherheitsbezogene Embedded-Software. Sie ist in einem Gerät oder einer Komponente eingebettet und wird eher mit Sprachen mit nicht eingeschränktem Sprachumfang erstellt.

Für sicherheitsbezogene Software beschreibt die Norm ein V-Modell. Auf der linken Seite stehen Spezifikation, Systemgestaltung, Modulentwurf und Kodierung. Auf der rechten Seite stehen Modultests, Integrationstests, Verifikation und Validierung. Bei einfacher Anwendungssoftware mit validierten Funktionsblöcken kann die Ausgabe 2023 ein vereinfachtes zweistufiges Modell vorsehen.

Bei SRASW fordert EN ISO 13849 unter anderem eine Software-Spezifikation, einen strukturierten Entwurf, Programmierrichtlinien, Tests, Verifikation, Dokumentation, Konfigurationsmanagement und Änderungsmanagement. Bei höheren Anforderungen kommen zusätzliche Maßnahmen hinzu, etwa Kontroll- und Datenflussanalysen, Grenzwertanalysen oder höhere Anforderungen an die Unabhängigkeit von Verifikation und Validierung.

Die Softwarequalität wird dabei nicht über eine berechnete Ausfallwahrscheinlichkeit der Software bestimmt. Sie wird über die umgesetzten Maßnahmen zur Fehlervermeidung und Fehlerbeherrschung begründet.

EN ISO 13849 wird bei Maschinensteuerungen eingesetzt, wenn Steuerungsfunktionen zur Risikominderung beitragen. Die Norm gilt für unterschiedliche Technologien, etwa elektrische, hydraulische, pneumatische und mechanische Steuerungsteile.

Anwendungsbereiche sind unter anderem:

  • Verriegelungseinrichtungen
  • berührungslos wirkende Schutzeinrichtungen wie Lichtgitter
  • Zweihand-Bediengeräte
  • Sicherheitssteuerungen
  • Relais und Schütze
  • Positionsschalter
  • Zustimmschalter
  • Antriebssteuerungen mit Sicherheitsfunktionen
  • Sicherheitselektronik im Allgemeinen

Die Norm ist für Steuerungen mit hoher Anforderungsrate oder kontinuierlicher Anforderung vorgesehen. Nach der in den Quellen genannten Definition liegt eine hohe Anforderungsrate vor, wenn eine Sicherheitsfunktion häufiger als einmal pro Jahr angefordert wird. Für Steuerungen mit niedriger Anforderungsrate verweist die Ausgabe 2023 auf die Normenreihe EN 61508.

Hardware-Kategorien

Der Begriff Category, oft als Cat. B, 1, 2, 3 oder 4 bezeichnet, beschreibt dabei die grundsätzliche Hardware- und Systemarchitektur einer sicherheitsbezogenen Steuerung. Sie beantwortet die Frage: Wie verhält sich die Sicherheitsfunktion bei Fehlern in Hardware, Sensorik, Logik oder Aktorik? Die Category ist damit ein Architektur-Vorschlag für Hardware-Systeme.

CategoryGrundprinzipTypische Hardware-ArchitekturFehlerverhaltenDiagnose
Cat. BGrundlegende SicherheitsprinzipieneinkanaligEin einzelner Fehler kann zum Verlust der Sicherheitsfunktion führenkeine geforderte Diagnose
Cat. 1Bewährte Bauteile und Prinzipieneinkanalig mit höherer ZuverlässigkeitEin einzelner Fehler kann weiterhin zum Verlust führen, ist aber weniger wahrscheinlichkeine geforderte Diagnose
Cat. 2Testung der Sicherheitsfunktionmeist einkanalig mit zyklischem TestFehler können zwischen zwei Tests unentdeckt bleibenTestfunktion erforderlich
Cat. 3Redundanz mit DiagnosezweikanaligEin einzelner Fehler führt normalerweise nicht zum Verlust der SicherheitsfunktionDiagnose erforderlich, aber nicht jeder Fehler wird erkannt
Cat. 4Redundanz mit hoher Diagnoseabdeckungzweikanalig mit hoher FehlererkennungEin einzelner Fehler führt nicht zum Verlust; Fehlerakkumulation wird beherrschthohe Diagnoseabdeckung erforderlich

Im Folgenden werden die Kategorien 2-4 beschrieben. Cat. B und Cat. 1 sind in der Regel nicht durch elektronische Systeme umgesetzt

Cat. 2: Testbare Hardware

Cat. 2 ergänzt die einkanalige Architektur um eine Testfunktion. Die Sicherheitsfunktion wird zyklisch oder ereignisbezogen geprüft. Ein Fehler wird also nicht permanent durch Redundanz kompensiert, sondern durch Testung erkannt.

Ein typisches Hardware-Beispiel ist eine einkanalige Abschaltkette, deren Ausgang regelmäßig durch eine Testeinheit geprüft wird. Kritisch ist hier das Verhältnis zwischen Testintervall, Anforderungsrate und Fehlerreaktionszeit. Wenn ein gefährlicher Fehler kurz nach einem Test auftritt, kann er bis zum nächsten Test unerkannt bleiben.

Für Embedded-Hardware bedeutet Cat. 2 häufig: Diagnosepfade, Rücklesesignale, Watchdog-Konzepte, Ausgangstests, Plausibilitätsprüfungen und definierte Fehlerreaktionen müssen bereits in der Hardwarearchitektur berücksichtigt werden.

Cat. 2-Hardware nach ISO 13849
Cat. 2-Hardware nach ISO 13849

Cat. 3: zweikanalige Hardware mit Diagnose

Cat. 3 ist in vielen Maschinensteuerungen der typische Einstieg in redundante Hardwarearchitekturen. Die Sicherheitsfunktion wird so aufgebaut, dass ein einzelner Fehler normalerweise nicht zum Verlust der Sicherheitsfunktion führt.

Typisch ist eine zweikanalige Struktur:

Sensor A → Logikkanal A → Abschaltpfad A
Sensor B → Logikkanal B → Abschaltpfad B

Die beiden Kanäle müssen ausreichend unabhängig sein. Zusätzlich braucht Cat. 3 Diagnosemaßnahmen, zum Beispiel Querschlussüberwachung, Rückführkreisüberwachung, Plausibilitätsvergleich, Testpulse oder Statusrückmeldung von Schützen und Leistungstreibern.

Wichtig: Cat. 3 bedeutet nicht automatisch, dass jeder Fehler erkannt wird. Die Sicherheitsfunktion bleibt bei einem einzelnen Fehler in der Regel erhalten, aber bestimmte Fehlerkombinationen oder verdeckte Fehler können kritisch werden, wenn die Diagnose nicht ausreichend ist.

Cat. 3-Hardware nach ISO 13849
Cat. 3-Hardware nach ISO 13849

Cat. 4: zweikanalige Hardware mit hoher Diagnose und Fehlerbeherrschung

Cat. 4 ist die strengste Category innerhalb der ISO 13849-Architekturen. Auch hier wird typischerweise zweikanalig gearbeitet, aber mit höherer Diagnoseabdeckung und stärkerer Beherrschung von Fehlerakkumulation.

Bei Cat. 4 muss die Sicherheitsfunktion auch bei einem einzelnen Fehler erhalten bleiben. Zusätzlich sollen Fehler rechtzeitig erkannt werden, sodass sich gefährliche Fehler nicht unbemerkt ansammeln. In der Hardware führt das zu anspruchsvolleren Diagnose- und Überwachungsstrukturen.

Eigenschaften und Kenngrößen

EN ISO 13849 arbeitet mit Performance Levels. Der geforderte Performance Level heißt PLr. Der erreichte Performance Level ergibt sich aus der Auslegung und Bewertung des sicherheitsbezogenen Steuerungsteils.

Die Kategorien beschreiben die Architektur und das Verhalten bei Fehlern. Sie stammen konzeptionell aus EN 954-1, werden aber in EN ISO 13849 mit quantitativen und qualitativen Anforderungen kombiniert.

MTTF_D beschreibt die mittlere Zeit bis zum gefahrbringenden Ausfall eines Kanals. DC beschreibt, welcher Anteil gefährlicher Ausfälle durch Diagnosen erkannt wird. CCF-Maßnahmen sollen verhindern, dass mehrere Kanäle durch dieselbe Ursache ausfallen. PFH beschreibt die mittlere Häufigkeit eines gefahrbringenden Ausfalls je Stunde.

Die Ausgabe 2023 trennt stärker zwischen SRP/CS und Teilsystemen. Ein SRP/CS führt eine vollständige Sicherheitsfunktion aus. Teilsysteme übernehmen Teilfunktionen innerhalb dieser Kette. Ein SRP/CS kann Teilsysteme unterschiedlicher Kategorien enthalten oder Teilsysteme integrieren, die nach anderen Normen der funktionalen Sicherheit klassifiziert wurden.

Abgrenzung zu verwandten Normen und Richtlinien

EN 954-1 war die Vorgängernorm für sicherheitsbezogene Steuerungen und arbeitete mit Kategorien. EN ISO 13849 hat diesen Ansatz erweitert. Sie behält die Kategorien bei, ergänzt sie aber um Kenngrößen wie MTTF_D, DC, CCF und PFH.

EN IEC 62061 ist ebenfalls eine Norm für sicherheitsbezogene Steuerungen von Maschinen. Sie verwendet Sicherheits-Integritätslevel, SIL. Die Ausgabe 2023 von EN ISO 13849 beschreibt genauer, wie Teilsysteme mit SIL-Klassifizierung in Sicherheitsfunktionen nach EN ISO 13849 integriert werden können.

EN 61508 ist eine Grundnorm der funktionalen Sicherheit. EN ISO 13849 verweist auf sie unter anderem bei Steuerungen mit niedriger Anforderungsrate und bei bestimmten Software- oder Teilsystemaspekten.

EN ISO 12100 behandelt die Risikobeurteilung und Risikominderung von Maschinen. EN ISO 13849 wird innerhalb dieses Prozesses für die Risikominderung durch sicherheitsbezogene Steuerungsfunktionen verwendet.

Die Maschinenrichtlinie 2006/42/EG enthält grundlegende Sicherheits- und Gesundheitsschutzanforderungen. Anhang I fordert unter anderem, dass Steuerungen so konzipiert und gebaut werden, dass Defekte der Hardware oder Software nicht zu Gefährdungssituationen führen. EN ISO 13849 liefert dafür ein technisches Bewertungs- und Gestaltungsverfahren für sicherheitsbezogene Steuerungsteile.

Synonyme:
ISO 13849, DIN EN 13849, DIN ISO 13849, EN13849, ISO13849
Zurück zum Glossar

Ähnliche Beiträge