{"id":2332,"date":"2026-06-11T16:56:30","date_gmt":"2026-06-11T16:56:30","guid":{"rendered":"https:\/\/www.pickplace.de\/?p=2332"},"modified":"2026-06-05T17:41:02","modified_gmt":"2026-06-05T17:41:02","slug":"embedded-systems-iso-13849-elektronik","status":"publish","type":"post","link":"https:\/\/www.pickplace.de\/de\/embedded-systems-iso-13849-elektronik\/","title":{"rendered":"Embedded Systems &amp; ISO 13849: Elektronik nach Kochrezept?"},"content":{"rendered":"<p class=\"wp-block-paragraph\">Vor Kurzem erreichte uns eine Kundenanfrage mit einer auf den ersten Blick naheliegenden Idee: Mehrere &#xE4;ltere oder bereits portierte Embedded-Systeme sollten in einer Maschine weiterverwendet und durch eine zus&#xE4;tzliche Sicherheits-Hardware nach DIN EN ISO 13849 erg&#xE4;nzt werden. Die bestehende Elektronik sollte also nicht vollst&#xE4;ndig neu entwickelt werden. Stattdessen sollte eine neue Platine sicherheitsbezogene Signale redundant einlesen, Zust&#xE4;nde &#xFC;berwachen und definierte Abschaltpfade ansteuern. Ist das ein probater Weg? Wir werfen einen Blick darauf.<\/p>\n\n\n\n<div class=\"wp-block-rank-math-toc-block\" id=\"rank-math-toc\"><h2>Inhalt<\/h2><nav><ul><li class=\"\"><a href=\"#grundidee-embedded-systems-iso-13849\">Grundidee Embedded Systems &amp; ISO 13849<\/a><\/li><li class=\"\"><a href=\"#kann-man-eine-maschine-mit-embedded-systems-nach-iso-13849-auf-safety-niveau-bringen\">Kann eine Maschine durch Individualelektronik und ISO 13849 auf Safety-Niveau gebracht werden?<\/a><\/li><li class=\"\"><a href=\"#iso-13849-als-safety-nach-kochrezept\">ISO 13849 als &#x201E;Safety nach Kochrezept&#x201C;?<\/a><\/li><li class=\"\"><a href=\"#die-sicherheitsfunktion-ist-trivial-die-sichere-ausfuhrungsplattform-ist-es-nicht\">Die Sicherheitsfunktion ist trivial. Die sichere Ausf&#xFC;hrungsplattform ist es nicht.<\/a><\/li><li class=\"\"><a href=\"#das-safety-manual-als-zentrales-bindeglied\">Das Safety Manual als zentrales Bindeglied<\/a><\/li><li class=\"\"><a href=\"#validierung-nach-iso-13849-2-der-unterschatzte-aufwand\">Validierung nach ISO 13849-2: Der untersch&#xE4;tzte Aufwand<\/a><\/li><li class=\"\"><a href=\"#iso-13849-iec-62061-und-iec-61508-wo-liegt-der-unterschied\">ISO 13849, IEC 62061 und <a class=\"glossaryLink\"  href=\"https:\/\/www.pickplace.de\/glossar\/iec-61508\/\"  data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex='0' role='link'>IEC 61508<\/a>: Wo liegt der Unterschied?<\/a><\/li><li class=\"\"><a href=\"#iso-13849-unter-der-maschinenverordnung\">ISO 13849 unter der Maschinenverordnung<\/a><\/li><li class=\"\"><a href=\"#fazit-safety-nachrusten-ja-embedded-safety-bleibt-anspruchsvoll\">Fazit<\/a><\/li><\/ul><\/nav><\/div>\n\n\n\n<h2 id=\"grundidee-embedded-systems-iso-13849\" class=\"wp-block-heading\">Grundidee Embedded Systems &amp; ISO 13849<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der Gedanke ist nachvollziehbar: Bestehende Embedded-Systeme &#xFC;bernehmen weiterhin ihre Betriebs- und Prozessfunktionen. Eine zus&#xE4;tzliche Sicherheitsplatine k&#xFC;mmert sich um die sicherheitsbezogenen Funktionen. So l&#xE4;sst sich eine Maschine technisch ert&#xFC;chtigen, ohne alle vorhandenen Steuerungsteile neu aufzubauen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Gerade mit Blick auf &#xE4;ltere Maschinen, <a href=\"https:\/\/www.pickplace.de\/portierungen-und-refactoring\/\" data-type=\"page\" data-id=\"1313\">portierte<\/a> Steuerungen und neue regulatorische Anforderungen ist dieser Ansatz interessant. Wenn bestehende Embedded-Systeme nicht als sicherheitsrelevante Instanz betrachtet werden, sondern durch eine separate Sicherheitsarchitektur erg&#xE4;nzt werden, kann ISO 13849 grunds&#xE4;tzlich ein geeigneter Rahmen sein. Die Norm erlaubt eine funktionsbezogene Betrachtung: Welche Sicherheitsfunktion wird ben&#xF6;tigt? Welcher Performance Level ist erforderlich? Welche Sensorik, Logik und Aktorik geh&#xF6;ren dazu? Welche Kategorie wird angestrebt? <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Damit entsteht zun&#xE4;chst ein plausibles Konzept: Legacy-Steuerungen bleiben f&#xFC;r den Betrieb und die eigentliche Maschinenfunktion zust&#xE4;ndig, w&#xE4;hrend eine neue sicherheitsbezogene Elektronik die eigentlichen Sicherheitsfunktionen &#xFC;bernimmt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der kritische Punkt liegt jedoch in der Umsetzung. Denn eine Sicherheitsfunktion, die auf Maschinenebene trivial wirkt &ndash; beispielsweise Eingang einlesen, Zustand bewerten, Ausgang abschalten &ndash; wird in Embedded-Elektronik schnell komplex. Sobald ein <a class=\"glossaryLink\"  href=\"https:\/\/www.pickplace.de\/glossar\/mikrocontroller\/\"  data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex='0' role='link'>Mikrocontroller<\/a> die sicherheitsbezogene Entscheidung trifft, muss auch dieser Mikrocontroller selbst &uuml;berwacht werden. Aus einer einfach erscheinenden An\/Aus-Funktion wird eine sicherheitsbezogene Rechenplattform mit Core Safety, Diagnose, Validierung und Dokumentationspflichten. Das klingt teuer<\/p>\n\n\n\n<h2 id=\"kann-man-eine-maschine-mit-embedded-systems-nach-iso-13849-auf-safety-niveau-bringen\" class=\"wp-block-heading\">Kann eine Maschine durch Individualelektronik und ISO 13849 auf Safety-Niveau gebracht werden?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Grunds&#xE4;tzlich: ja.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Eine Maschine kann durch zus&#xE4;tzliche Embedded-Elektronik um sicherheitsbezogene Steuerungsfunktionen erweitert werden. Das ist insbesondere bei bestehenden Maschinen interessant, bei denen bereits Legacy-Embedded-Systeme vorhanden sind, die nach fr&#xFC;heren Anforderungen entwickelt wurden. Mit Blick auf die neue Maschinenverordnung r&#xFC;cken solche Maschinen st&#xE4;rker in den Fokus: bestehende Steuerungen, vorhandene Mechanik, vorhandene Aktorik &#x2014; aber neue Anforderungen an Nachweis, Stand der Technik und funktionale Sicherheit.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein typisches Szenario ist eine zus&#xE4;tzliche Sicherheitsplatine, die Eing&#xE4;nge redundant einliest, Zust&#xE4;nde plausibilisiert, Diagnosefunktionen ausf&#xFC;hrt und definierte Abschaltpfade ansteuert. Die vorhandene Maschinensteuerung bleibt f&#xFC;r Betriebsfunktionen zust&#xE4;ndig. Die neue Sicherheitslogik &#xFC;bernimmt jedoch die sicherheitsbezogenen Funktionen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Beispiel:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Eine Maschine besitzt eine bestehende Embedded-Steuerung. Diese Steuerung bleibt unver&#xE4;ndert und f&#xFC;hrt weiterhin die Prozesslogik aus. Zus&#xE4;tzlich wird eine Sicherheitsplatine integriert, die Schutzt&#xFC;ren, Endlagen, Freigaben oder Drehzahlsignale zweikanalig einliest. Bei einer Abweichung, einem Diagnosefehler oder einer ge&#xF6;ffneten Schutzeinrichtung schaltet diese Platine &#xFC;ber redundante Ausg&#xE4;nge sichere Abschaltpfade, beispielsweise Sch&#xFC;tze, STO-Eing&#xE4;nge oder Ventile.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Aus Sicht der ISO 13849 ist das grunds&#xE4;tzlich ein plausibler Ansatz. Entscheidend ist, dass das Sicherheitskonzept stimmt: Welche Sicherheitsfunktionen werden ben&#xF6;tigt? Welcher Performance Level ist erforderlich? Welche Sensorik, Logik und Aktorik geh&#xF6;ren zur jeweiligen Sicherheitsfunktion? Welche Kategorie wird angestrebt? Wie werden MTTF_D, DC und CCF bewertet? Wie wird validiert?<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">ISO 13849 eignet sich hier gut als maschinennaher Bewertungsrahmen. Die Norm arbeitet nicht abstrakt auf Produktebene, sondern funktionsbezogen: Sicherheitsfunktion definieren, erforderlichen Performance Level bestimmen, Architektur auslegen, Diagnosen bewerten, Validierung durchf&#xFC;hren.<\/p>\n\n\n\n<h2 id=\"iso-13849-als-safety-nach-kochrezept\" class=\"wp-block-heading\">ISO 13849 als &#x201E;Safety nach Kochrezept&#x201C;?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">ISO 13849 wird im Maschinenbau h&#xE4;ufig als vergleichsweise pragmatischer Zugang zur funktionalen Sicherheit verstanden. Das ist nicht ganz falsch. F&#xFC;r Maschinenintegratoren ist das anschlussf&#xE4;hig, weil sich viele Sicherheitsfunktionen aus bekannten Bausteinen zusammensetzen lassen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">In diesem Sinn ist ISO 13849 n&#xE4;her an einem Rezept als IEC 61508. Die Norm beschreibt einen Weg, wie sicherheitsbezogene Teile von Steuerungen bewertet und validiert werden k&#xF6;nnen. Gerade bei Nachr&#xFC;stungen oder Erweiterungen bestehender Maschinen ist das attraktiv, weil der Scope begrenzt werden kann. Es muss nicht die gesamte Maschine neu entwickelt werden. Stattdessen werden konkrete Sicherheitsfunktionen betrachtet.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das verk&#xFC;rzt den Entwicklungsprozess aber nur unter bestimmten Bedingungen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der Vorteil liegt nicht darin, dass Embedded Safety dadurch technisch einfach wird. Der Vorteil liegt darin, dass die Norm eine maschinennahe Struktur vorgibt und sich der Nachweis auf definierte Sicherheitsfunktionen begrenzen l&#xE4;sst. F&#xFC;r einfache elektromechanische oder zugekaufte Safety-Komponenten funktioniert diese Logik gut. Warum? Weil bekannte Safety-Marken Ihre Ger&#xE4;te nicht nach der ISO 13849, sondern der IEC 61508 entwickeln.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Es lohnt sich ein Blick in die Konformit&#xE4;tserkl&#xE4;rungen bzw. die Baumusterpr&#xFC;fbescheinigungen relevanter Komponenten:<\/p>\n\n\n\n<div class=\"wp-block-stackable-image stk-block-image stk-block stk-7cad333\" data-block-id=\"7cad333\"><style>.stk-7cad333 .stk-img-wrapper{width:614px !important;}<\/style><figure><span class=\"stk-img-wrapper stk-image--shape-stretch\"><img loading=\"lazy\" decoding=\"async\" class=\"stk-img wp-image-2333\" src=\"https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/06\/image-5.png\" width=\"614\" height=\"355\" alt=\"Zertifikatsseite mit Normenliste (EN ISO 13849-1, IEC 62061) f&#xFC;r elektronik und funktionale sicherheit.\"\/><\/span><\/figure><\/div>\n\n\n\n<p class=\"wp-block-paragraph\">Hier gilt das &#x201E;Voraus-Argument&#x201C;<strong>:<\/strong> Da die IEC 61508 branchen&#xFC;bergreifend h&#xF6;here oder gleichwertige Anforderungen an Hardware-Fehlertoleranzen und Software-Lebenszyklen stellt, ist es naheliegend, dass das Device auch die Kriterien f&#xFC;r den Performance Level (PL) erf&#xFC;llt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Bei eigener komplexer Embedded-Elektronik entsteht somit eigentlich praktisch immer der Entwicklungs- und Nachweisaufwand nach IEC 61508.<\/p>\n\n\n\n<div class=\"wp-block-stackable-image stk-block-image stk-block stk-2d2b25f\" data-block-id=\"2d2b25f\"><style>.stk-2d2b25f .stk-img-figcaption{text-align:center !important;}.stk-2d2b25f .stk-img-wrapper{width:480px !important;}<\/style><figure><span class=\"stk-img-wrapper stk-image--shape-stretch\"><img loading=\"lazy\" decoding=\"async\" class=\"stk-img wp-image-2334\" src=\"https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/06\/sicherheitsrelais-elektronik-embedded-systems-iso-13489.jpg\" width=\"480\" height=\"320\" alt=\"Sicherheitsrelais von PILZ, Allen Bradley, Phoenix Contact\" srcset=\"https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/06\/sicherheitsrelais-elektronik-embedded-systems-iso-13489.jpg 480w, https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/06\/sicherheitsrelais-elektronik-embedded-systems-iso-13489-300x200.jpg 300w, https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/06\/sicherheitsrelais-elektronik-embedded-systems-iso-13489-18x12.jpg 18w\" sizes=\"auto, (max-width: 480px) 100vw, 480px\"\/><\/span><figcaption class=\"stk-img-figcaption\">Sicherheitsrelais von <a href=\"https:\/\/www.pilz.com\/de-DE\" target=\"_blank\" rel=\"noopener\">PILZ<\/a>, <a href=\"https:\/\/www.rockwellautomation.com\/de-de\/products\/hardware\/allen-bradley.html\" target=\"_blank\" rel=\"noopener\">Allen Bradley-Rockwell<\/a>, <a href=\"https:\/\/www.phoenixcontact.com\/de-de\/\" target=\"_blank\" rel=\"noopener\">Phoenix Contact<\/a><\/figcaption><\/figure><\/div>\n\n\n\n<h2 id=\"die-sicherheitsfunktion-ist-trivial-die-sichere-ausfuhrungsplattform-ist-es-nicht\" class=\"wp-block-heading\">Die Sicherheitsfunktion ist trivial. Die sichere Ausf&#xFC;hrungsplattform ist es nicht.<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Viele Sicherheitsfunktionen sehen auf Maschinenebene einfach aus:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Schutzt&#xFC;r offen &#x2192; Maschine stoppt.<\/li>\n\n\n\n<li>Not-Halt bet&#xE4;tigt &#x2192; Energie wird abgeschaltet.<\/li>\n\n\n\n<li>Grenzwert &#xFC;berschritten &#x2192; Bewegung wird gestoppt.<\/li>\n\n\n\n<li>Freigabe fehlt &#x2192; Antrieb bleibt gesperrt.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">In diskreter oder elektromechanischer Technik kann eine solche Funktion vergleichsweise direkt aufgebaut werden. Bei einer MCU-basierten L&#xF6;sung verschiebt sich die Komplexit&#xE4;t in die Elektronik und Software. Denn der Mikrocontroller ist nicht nur ein passiver Signalpfad. Er ist die Instanz, die entscheidet.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein sicherheitsbezogenes Embedded-System muss daher nicht nur Eing&#xE4;nge redundant erfassen und Ausg&#xE4;nge abschalten. Es muss auch die eigene Rechenplattform &#xFC;berwachen. Ein paar Beispiele:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>CPU- und Core-&#xDC;berwachung,<\/li>\n\n\n\n<li>Watchdog-Konzept,<\/li>\n\n\n\n<li>Clock- und PLL-&#xDC;berwachung,<\/li>\n\n\n\n<li>&#xDC;berwachung von Interrupt-Controller und NVIC,<\/li>\n\n\n\n<li>Program-Flow-Monitoring,<\/li>\n\n\n\n<li>Stack- und Speicher&#xFC;berwachung,<\/li>\n\n\n\n<li>RAM-Tests,<\/li>\n\n\n\n<li>Flash-Tests und CRC-Pr&#xFC;fungen,<\/li>\n\n\n\n<li>Register- und CPU-Selbsttests,<\/li>\n\n\n\n<li>Brown-out- und Spannungs&#xFC;berwachung,<\/li>\n\n\n\n<li>Reset-Konzept,<\/li>\n\n\n\n<li>sichere Initialisierung,<\/li>\n\n\n\n<li>Peripherie-&#xDC;berwachung,<\/li>\n\n\n\n<li>GPIO- und ADC-Plausibilisierung,<\/li>\n\n\n\n<li>Fehlerreaktion und sicherer Zustand.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Das ist der Teil, der von au&#xDF;en oft nicht sichtbar ist. Der Kunde sieht Eing&#xE4;nge, Ausg&#xE4;nge und Abschaltung. Tats&#xE4;chlich entwickelt man aber eine sicherheitsbezogene Rechenplattform mit Core Safety, Diagnosemechanismen und dokumentierter Fehlerreaktion.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Beispiel sind Functional-Safety-Libraries von Mikrocontroller-Herstellern. ST bietet etwa <a href=\"https:\/\/www.st.com\/content\/st_com\/en\/ecosystems\/functionalsafety.html\" target=\"_blank\" rel=\"noopener\">Functional-Safety-Libraries f&uuml;r <a class=\"glossaryLink\"  href=\"https:\/\/www.pickplace.de\/glossar\/stm32\/\"  data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex='0' role='link'>STM32<\/a><\/a> an, die unter anderem Mechanismen zur &#xDC;berwachung und Pr&#xFC;fung von CPU, Speicher, Clock-System, Interrupt-Strukturen wie NVIC und weiteren sicherheitsrelevanten MCU-Funktionen bereitstellen. MCU-Hersteller sichern sich in der Regel &#xFC;ber Safety Manuals ab, dass f&#xFC;r das Erreichen eines SIL-Niveaus bestimmte Entwicklungsschritte vonn&#xF6;ten sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der entscheidende Punkt ist dabei immer: Eine Applikation kann nicht einfach behaupten, dass ein Mikrocontroller korrekt arbeitet. Sie muss Ma&#xDF;nahmen definieren, mit denen Fehler erkannt oder beherrscht werden. Genau deshalb w&#xE4;chst der Aufwand bei eigener Embedded-Elektronik schnell, auch wenn die eigentliche Maschinenfunktion einfach wirkt.<\/p>\n\n\n\n<h2 id=\"das-safety-manual-als-zentrales-bindeglied\" class=\"wp-block-heading\">Das Safety Manual als zentrales Bindeglied<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Bei sicherheitsbezogener Elektronik wird das Safety Manual zu einem wichtigen Dokument. Es beschreibt, unter welchen Annahmen eine Komponente oder Plattform in einer Sicherheitsfunktion verwendet werden darf.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Safety Manual enth&#xE4;lt typischerweise Informationen zu:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>zul&#xE4;ssigen Betriebsbedingungen,<\/li>\n\n\n\n<li>Annahmen zur Systemintegration,<\/li>\n\n\n\n<li>Diagnosemechanismen,<\/li>\n\n\n\n<li>erforderlichen externen Ma&#xDF;nahmen,<\/li>\n\n\n\n<li>Fehlerreaktionen,<\/li>\n\n\n\n<li>Grenzen der Verwendung,<\/li>\n\n\n\n<li>sicherheitsrelevanten Konfigurationsvorgaben,<\/li>\n\n\n\n<li>bekannten Einschr&#xE4;nkungen,<\/li>\n\n\n\n<li>Annahmen zu Takt, Versorgung, Reset, Watchdog und Peripherie,<\/li>\n\n\n\n<li>Hinweisen zu FMEDA, FIT-Werten oder Failure Modes.<\/li>\n\n\n\n<li>und ganz besonders: <strong>Anforderungen an Software im Betrieb und w&#xE4;hrend der Initialisierung<\/strong><\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Bei zugekauften Safety-Komponenten ist das Safety Manual oft die Grundlage f&#xFC;r die Integration in eine Maschine. Bei eigener Embedded-Elektronik muss eine vergleichbare Argumentation erstellt werden. Dann reicht es nicht, eine Platine zu entwickeln und anschlie&#xDF;end einen PL zu berechnen. Es muss beschrieben werden, wie diese Platine sicherheitsbezogen verwendet werden darf, welche Annahmen gelten und welche Ma&#xDF;nahmen zwingend erforderlich sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Safety Manual verbindet damit Produktentwicklung und Maschinenintegration. Es macht aus einer Elektronik nicht automatisch eine sichere Komponente, aber es dokumentiert die Bedingungen, unter denen sie in einer Sicherheitsfunktion eingesetzt werden kann.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Gerade bei wiederverwendbaren Sicherheitsplatinen ist das entscheidend. Eine Platine, die in mehreren Maschinen Sicherheitsfunktionen &#xFC;bernehmen soll, braucht klare Integrationsgrenzen. Welche Eing&#xE4;nge d&#xFC;rfen f&#xFC;r welche Signale verwendet werden? Welche Ausgangspfade sind f&#xFC;r welche Abschaltfunktionen geeignet? Welche Diagnose muss aktiviert sein? Welche Fehler f&#xFC;hren zu Abschaltung? Welche externen Tests sind notwendig? Welche Reaktionszeiten gelten? Welche Annahmen zur Umgebung, Verdrahtung und Instandhaltung wurden getroffen?<\/p>\n\n\n\n<h2 id=\"validierung-nach-iso-13849-2-der-unterschatzte-aufwand\" class=\"wp-block-heading\">Validierung nach ISO 13849-2: Der untersch&#xE4;tzte Aufwand<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Mit Blick auf die Maschine kann die ISO 13849-2 herangezogen werden. Sie muss zeigen, dass die sicherheitsbezogenen Teile der Steuerung die spezifizierten Anforderungen erf&#xFC;llen. Das ist ein geringf&#xFC;gig geringerer Dokumentationsaufwand gegen&#xFC;ber der IEC 61508, aber dennoch bleibt eine gro&#xDF;e Anzahl prozessualer Evidenzen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dazu geh&#xF6;ren insbesondere:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Validierung der Sicherheitsfunktionen,<\/li>\n\n\n\n<li>Validierung der Performance Levels und Kategorien,<\/li>\n\n\n\n<li>Validierung der Festlegungen von Kategorien,<\/li>\n\n\n\n<li>Validierung von MTTF_D, DC und CCF,<\/li>\n\n\n\n<li>Validierung von Ma&#xDF;nahmen zur Vermeidung systematischer Ausf&#xE4;lle,<\/li>\n\n\n\n<li>Validierung der sicherheitsbezogenen Software,<\/li>\n\n\n\n<li>Verifizierung und Validierung des erreichten Performance Levels,<\/li>\n\n\n\n<li>Validierung der Umgebungsanforderungen,<\/li>\n\n\n\n<li>Validierung der Instandhaltungsanforderungen,<\/li>\n\n\n\n<li>Validierung der technischen Dokumentation und Benutzerinformation.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">F&#xFC;r die sichere Embedded-Elektronik kann eigentlich dann der gesamte Prozess der IEC 61508 dargelegt werden: Es braucht Spezifikationen, Architektur, Tests und Nachweise. Die Sicherheitsfunktion muss spezifiziert werden. Die Hardware muss spezifiziert werden. Die Hardware-Architektur muss nachvollziehbar sein. Die Software muss beschrieben werden. <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Bei komplexeren Systemen sind Software-Architektur und Modulspezifikationen erforderlich. Die Tests m&#xFC;ssen geplant, durchgef&#xFC;hrt und dokumentiert werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Typische Nachweise sind:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Software-Modultests,<\/li>\n\n\n\n<li>Software-Integrationstests,<\/li>\n\n\n\n<li>Hardware-Software-Gesamttests,<\/li>\n\n\n\n<li>Funktionspr&#xFC;fungen,<\/li>\n\n\n\n<li>Fehleranalysen,<\/li>\n\n\n\n<li>Tests der Diagnosemechanismen,<\/li>\n\n\n\n<li>Tests der Fehlerreaktion,<\/li>\n\n\n\n<li>Tests der sicheren Zust&#xE4;nde,<\/li>\n\n\n\n<li>Tests der Wiederanlaufbedingungen,<\/li>\n\n\n\n<li>Testberichte,<\/li>\n\n\n\n<li>Validierungsbericht.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Damit n&#xE4;hert sich die Praxis stark dem, was man aus IEC 61508 oder IEC 62061 kennt. Mitunter fallen Gesamtvalidierung und Co. geringer aus, weil man argumentieren kann, dass diese in der Gesamtintegration stattfinden. Eine eigenst&#xE4;ndige Zertifizierung der Individualelektronik kann somit ausfallen. IEC 61508 muss jedoch verpflichtend angewandt werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das letzte Wort hat dabei aber immer der <a href=\"https:\/\/webgate.ec.europa.eu\/single-market-compliance-space\/notified-bodies\" target=\"_blank\" rel=\"noopener\">Notified Body<\/a>. Auch wenn ISO 13849 auf Maschinenebene pragmatischer wirkt, entsteht bei komplexer Embedded-Elektronik ein vollst&#xE4;ndiger Entwicklungs- und Nachweisprozess.<\/p>\n\n\n\n<h2 id=\"iso-13849-iec-62061-und-iec-61508-wo-liegt-der-unterschied\" class=\"wp-block-heading\">ISO 13849, IEC 62061 und IEC 61508: Wo liegt der Unterschied?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">ISO 13849, IEC 62061 und IEC 61508 sind in vielen Punkten kompatibel, aber sie haben unterschiedliche Schwerpunkte.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">ISO 13849 ist maschinennah und technologieoffen. Sie kann elektrische, elektronische, mechanische, hydraulische und pneumatische Komponenten in sicherheitsbezogenen Steuerungsteilen ber&#xFC;cksichtigen. Die Bewertung erfolgt &#xFC;ber Performance Level.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">IEC 62061 ist st&#xE4;rker auf elektrische, elektronische und programmierbare elektronische Steuerungssysteme im Maschinenbau ausgerichtet. Die Bewertung erfolgt &#xFC;ber SIL.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">IEC 61508 ist die generische Grundnorm f&#xFC;r funktionale Sicherheit von E\/E\/PE-Systemen. Sie betrachtet den Sicherheitslebenszyklus umfassender und ist besonders relevant, wenn eine wiederverwendbare Safety-Elektronik oder Safety-Plattform entwickelt werden soll.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F&#xFC;r die konkrete Maschine kann ISO 13849 sehr gut passen. F&#xFC;r die Entwicklung einer komplexen Embedded-Safety-Platine kann eine IEC-61508-orientierte Vorgehensweise jedoch sauberer sein, selbst wenn die sp&#xE4;tere Maschinenintegration nach ISO 13849 oder IEC 62061 erfolgt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das f&#xFC;hrt zu einer wichtigen Unterscheidung:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Wenn eine bestehende Maschine um konkrete Sicherheitsfunktionen erg&#xE4;nzt wird, ist ISO 13849 oft der naheliegende Rahmen.<\/li>\n\n\n\n<li>Wenn eine wiederverwendbare Safety-Elektronik entwickelt wird, die in unterschiedlichen Maschinen eingesetzt werden soll, sollte die Entwicklung st&#xE4;rker an IEC 61508 ausgerichtet werden.<\/li>\n\n\n\n<li>Wenn eine Maschine mit E\/E\/PE-Sicherheitsfunktionen gesamthaft &#xFC;ber SIL betrachtet werden soll, ist IEC 62061 naheliegend.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">In der Praxis k&#xF6;nnen diese Ans&#xE4;tze kombiniert werden. Sicherheitsbezogene Teile einer Maschinensteuerung k&#xF6;nnen nach ISO 13849 bewertet werden und gleichzeitig Komponenten enthalten, die nach IEC 61508 oder IEC 62061 entwickelt wurden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F&#xFC;r den beschriebenen Use Case ist somit der beschriebene Ansatz aus ISO 13489 und IEC 61508 f&#xFC;r die Gesamtelektronik <\/p>\n\n\n\n<h2 id=\"iso-13849-unter-der-maschinenverordnung\" class=\"wp-block-heading\">ISO 13849 unter der Maschinenverordnung<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Maschinenverordnung (Verordnung (EU) 2023\/1230) wird ab 2027 in der Europ&#xE4;ischen Union verbindlich gelten und die bisherige Maschinenrichtlinie abl&#xF6;sen. F&#xFC;r Hersteller, Betreiber und Integratoren bedeutet das: Sicherheitsfunktionen, Software, Sicherheitsbauteile und technische Dokumentation geraten st&#xE4;rker in den Fokus.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">ISO 13849 ist unter der Maschinenrichtlinie harmonisiert. Eine Harmonisierung unter der Maschinenverordnung gilt als naheliegend. F&#xFC;r die Praxis bleibt die Norm damit ein wichtiger Weg, um sicherheitsbezogene Steuerungsteile von Maschinen nachvollziehbar auszulegen und zu validieren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F&#xFC;r Legacy-Maschinen entsteht daraus ein typischer Anwendungsfall: Bestehende Maschinensteuerungen k&#xF6;nnen weiterverwendet werden, wenn sie nicht als sicherheitsrelevante Instanz betrachtet werden. Die sicherheitsbezogenen Funktionen werden durch zus&#xE4;tzliche Hardware, sichere Sensorik, sichere Abschaltpfade und ein dokumentiertes Sicherheitskonzept erg&#xE4;nzt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das ist keine nachtr&#xE4;gliche Legalisierung unsicherer Technik. Es ist eine technische und normative Entkopplung: Die bestehende Steuerung bleibt Prozesssteuerung. Die neue Sicherheitsarchitektur &#xFC;bernimmt die Sicherheitsfunktionen.<\/p>\n\n\n\n<h2 id=\"fazit-safety-nachrusten-ja-embedded-safety-bleibt-anspruchsvoll\" class=\"wp-block-heading\">Fazit<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">ISO 13849 ist ein geeigneter Rahmen, um Maschinen durch zus&#xE4;tzliche Sicherheitsfunktionen zu ert&#xFC;chtigen. Die Sicherheitsfunktion selbst kann dabei sehr einfach wirken. Technisch entsteht jedoch eine sicherheitsbezogene Rechenplattform. <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Bei Indivdualelektronik m&#xFC;ssen die Prinzipien der IEC 61508 gelten. Der Mikrocontroller muss &#xFC;berwacht werden. Speicher, Clock, Interrupts, Programmlauf, Versorgung und Peripherie m&#xFC;ssen betrachtet werden. Functional-Safety-Libraries k&#xF6;nnen dabei unterst&#xFC;tzen, ersetzen aber nicht Sicherheitskonzept, Safety Manual, Validierung und Systemnachweis.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Eine eigenst&#xE4;ndige Zertifizierung der Individualelektronik ist dabei nicht zwingend erforderlich, wenn die Elektronik ausschlie&#xDF;lich im Kontext der konkreten Maschine bewertet und als Teil des sicherheitsbezogenen Steuerungsteils nach ISO 13849 validiert wird. Die Sicherheit wird dann nicht als isolierte Produkteigenschaft der Platine nachgewiesen, sondern innerhalb der jeweiligen Sicherheitsfunktion der Maschine.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das reduziert jedoch nicht die technischen Anforderungen an die Entwicklung. Bei komplexer Embedded-Elektronik muss der Entwicklungsprozess trotzdem die Denkweise der funktionalen Sicherheit aufnehmen: systematische Fehlervermeidung, Diagnosekonzept, sichere Fehlerreaktion, Software-Architektur, Tests, &#xC4;nderungsmanagement, technische Dokumentation und Safety Manual. Eine IEC-61508-orientierte Entwicklung kann hierf&#xFC;r der sinnvollere interne Ma&#xDF;stab sein, auch wenn der formale Maschinennachweis &#xFC;ber ISO 13849 erfolgt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Kurz gesagt: ISO 13849 kann den Nachweisrahmen f&#xFC;r die Maschine liefern. Die Individualelektronik muss nicht zwingend eigenst&#xE4;ndig zertifiziert werden. Entwickelt werden sollte sie dennoch mit der Disziplin einer Safety-Elektronik.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Vor Kurzem erreichte uns eine Kundenanfrage mit einer auf den ersten Blick naheliegenden Idee: Mehrere \u00e4ltere oder bereits portierte Embedded-Systeme sollten in einer Maschine weiterverwendet und durch eine zus\u00e4tzliche Sicherheits-Hardware nach DIN EN ISO 13849 erg\u00e4nzt werden. Die bestehende Elektronik sollte also nicht vollst\u00e4ndig neu entwickelt werden. Stattdessen sollte eine neue Platine sicherheitsbezogene Signale redundant [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":2335,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-2332","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"blocksy_meta":[],"_links":{"self":[{"href":"https:\/\/www.pickplace.de\/de\/wp-json\/wp\/v2\/posts\/2332","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.pickplace.de\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.pickplace.de\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.pickplace.de\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.pickplace.de\/de\/wp-json\/wp\/v2\/comments?post=2332"}],"version-history":[{"count":3,"href":"https:\/\/www.pickplace.de\/de\/wp-json\/wp\/v2\/posts\/2332\/revisions"}],"predecessor-version":[{"id":2339,"href":"https:\/\/www.pickplace.de\/de\/wp-json\/wp\/v2\/posts\/2332\/revisions\/2339"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.pickplace.de\/de\/wp-json\/wp\/v2\/media\/2335"}],"wp:attachment":[{"href":"https:\/\/www.pickplace.de\/de\/wp-json\/wp\/v2\/media?parent=2332"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.pickplace.de\/de\/wp-json\/wp\/v2\/categories?post=2332"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.pickplace.de\/de\/wp-json\/wp\/v2\/tags?post=2332"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}