Von Maschinen und verfahrenstechnischen Anlagen können Gefahren ausgehen, die Menschen, Umwelt und Sachwerte schädigen können. Sowohl der Gesetzge-ber als auch die einschlägigen Normen zur funktionalen Sicherheit fordern daher, dass Risiken auf ein tolerierbares Maß beschränkt werden. Anlagen und Maschi-nen müssen demnach sicher betrieben werden können. Dieses Ziel soll u. a. mit Hilfe der funktionalen Sicherheit erreicht werden. Funktionale Sicherheit ist dabei der Teil der Gesamtsicherheit, der von der korrekten Funktion sicherheitsbezogener Systeme zur Risikominderung abhängt. Diese Systeme müssen ihre bestimmungs-gemäßen Funktionen (Sicherheitsfunktionen) unter definierten Bedingungen und mit definierter, hoher Wahrscheinlichkeit ausführen. Erfolgt die Risikominderung mit Mitteln der Prozessleittechnik, so müssen die verwendeten Komponenten die Anforderungen des internationalen Standards IEC 61508 (ebenfalls verfügbar als DIN EN 61508, VDE 0803) erfüllen. Diese Norm liefert allgemeine Vorgaben für die Vermeidung und Beherrschung von Ausfällen in elektrischen, elektronischen oder programmierbaren elektronischen Geräten. Sie gibt organisatorische und techni-sche Anforderungen sowohl für die Geräteentwicklung als auch für deren Anwendung vor. Dabei wird die Risikominderung mit Hilfe der Maßeinheit SIL in vier Klassen eingeteilt: SIL 1 entspricht einer Risikominerung zwischen 10 und 100, bei jeder weiteren SIL-Stufe erhöht sich die Risikominderung jeweils um den Faktor 10. Je mehr Risikominderung mit Hilfe einer Sicherheitsfunktion erreicht werden soll, umso zuverlässiger muss diese ihre Funktion erfüllen. In der Regel geht dies mit steigenden Anforderungen an die verwendeten Komponenten einher. Mit Einführung der EN 61508 und des Begriffs „SIL“ wird auch einen quantitativer Nachweis für die Versagenswahrscheinlichkeit einer Sicherheitsfunktion gefordert. Hierbei ist die komplette PLT-Sicherheitseinrichtung, bestehend aus Sensorik, Logik zur Signalverarbeitung (meist eine Sicherheits-Steuerung) und Aktorik zu betrachten.
Die IEC 61508 dient auch als Basisnorm zur Erstellung branchen- oder anwendungsspezifischer Standards. So beschreibt z. B. die IEC 61511 (ebenfalls verfügbar als DIN EN 61511, VDE 0810) die Anforderungen an sicherheitstechnischer Systeme in der Prozessindustrie. Diese Norm wird zuweilen auch für den SIL-Nachweis für bestehende Geräte herangezogen, indem deren Betriebsbewährung nachgewiesen wird.
Im Folgenden werden einige häufig gestellte Fragen (FAQs) über die Funktionale Sicherheit und die internationale Norm IEC 61508 ("Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbar elektronischer Systeme") beantwortet. Die Antworten erheben nicht den Anspruch einer definitiven technischen Klärung, sondern sollen insbesondere Erstanwender über die Norm informieren.
Schlüsselkonzepte
Was ist Funktionale Sicherheit? Funktionale Sicherheit ist der Teil der Gesamtsicherheit, der von der korrekten Funktion eines sicherheitsbezogenen E/E/PE-Systems, sicherheitsbezogenen Sys-temen anderer Technologie und externer Einrichtungen zur Risikominderung abhängt. Funktionale Sicherheit ist gegeben, wenn jede spezifizierte Sicherheitsfunktion ausgeführt wird und der für jede Sicherheitsfunktion geforderte Erfüllungsgrad erreicht wird.
Beispiel für eine Sicherheitsfunktion: Sicherheitstemperaturbegrenzer, bestehend aus einem in den Windungen eines elektrischen Motors sitzenden Temperatursensor, der den Motor vor einer Überhitzung abschaltet.
Was ist ein sicherheitsbezogenes System nach IEC 61508? Ein sicherheitsbezogenes System schließt alles ein (Hardware, Software), was zur Ausführung von einer oder mehrerer Sicherheitsfunktionen erforderlich ist. Ausfälle der Sicherheitsfunktion würden eine signifikante Zunahme des Risikos für Perso-nen und/oder Umwelt bedeuten. Ein sicherheitsbezogenes System kann eine eigenständige Anlage zur Ausführung einer bestimmten Sicherheitsfunktion sein (z. B. Brandmeldesystem) oder in eine andere Anlage integriert sein (z. B. Motordreh-zahlüberwachung in einer Maschine).
Was bedeutet E/E/PE? E/E/PE ist eine Abkürzung für elektrisch/elektronisch/programmierbar elektronisch. In IEC 61508-4, Abschnitt 3.2.6, ist der Begriff definiert als "basierend auf elektri-scher (E) und/oder elektronischer (E) und/oder programmierbar elektronischer (PE) Technologie".
Was ist eine Sicherheitsfunktion? Funktion, die von einem sicherheitsbezogenen E/E/PE-System, einem sicherheitsbezogenen System anderer Technologie oder externen Einrichtungen zur Risikominderung ausgeführt wird mit dem Ziel, unter Berücksichtigung eines festgelegten gefährlichen Vorfalls, einen sicheren Anlagenzustand zu erreichen oder aufrechtzuerhalten.
Ein Safety Integrity Level ist eine Maßeinheit zur Quantifizierung der Risikominderung. Dabei ist zu beachten, dass ein Safety Integrity Level keine Eigenschaft eines Systems oder Teilsystems ist, sondern einer Sicherheitsfunktion zugeordnet. Eine Aussage bezüglich eines Safety Integrity Levels bezieht sich demnach immer auf eine definierte Sicherheitsfunktion.
Was bedeutet Software Safety Integrity im Rahmen der als Ausfallwahrscheinlichkeit definierten Safety Integrity? Ein Safety Integrity Level (SIL) bezieht sich auf eine durchgehende Sicherheitsfunk-tion eines sicherheitsbezogenen Systems. Wie jede andere Komponente verfügt Software über keinen Safety Integrity Level, wenn sie isoliert von einem sicherheitsbezogenen System betrachtet wird. Integriert in ein System, kann sich die Software zur Unterstützung von Sicherheitsfunktionen zu einem bestimmten Safety Integrity Level eignen. Dies ist davon abhängig, wie die Software spezifiziert, entwi-ckelt, implementiert, verifiziert, usw. wurde. SILn Software ist eine Kurzform für "Software, entwickelt unter Verwendung angemessener Techniken und Maßnah-men, die sicherstellen, dass die Software die Anforderungen an systematische Aus-fälle einer bestimmten Sicherheitsfunktion X für SILn erfüllt". Im Gegensatz zur Hardware hat Software nur systematische Fehler. Ausfallraten wie sie von den Harwarekomponenten her bekannt sind, gibt es für Software üblicherweise nicht. Um die Ausfallgrenzwerte im Hinblick auf die systematische Sicherheitsintegrität zu erreichen, müssen qualitative Methoden und Beurteilungen unter Berücksichtigung der erforderlichen Sicherheitsintegrität angewendet werden. Im Teil 3 der IEC 61508 werden in den Anhängen Methoden und Vorgehensweisen beschrieben, die zur Erreichung einer bestimmten SIL-Eignung führen können.
Was ist gemeint mit SILn-System, SILn-Teilsystem oder SILn-Komponente? Ein Safety Integrity Level (SIL) ist keine Eigenschaft von Systemen, Teilsystemen oder Komponenten. Die korrekte Interpretation dieser Aussage ist, dass das Sys-tem, Teilsystem oder die Komponente eine Sicherheitsfunktionen bis zum Safety Integrity Level n unterstützen kann (siehe IEC 61508 Teil 4 Kapitel 3.5.8 Anmer-kung 3). Mit Hilfe eines redundanten Einsatzes von Komponenten, die eine SILn-Eignung haben, ist es unter bestimmten Voraussetzungen möglich, eine Sicher-heitsfunktion mit SILn+1 zu realisieren. Hierbei muss insbesondere hinterfragt werden, ob systematische Fehler einen SIL-begrenzenden Faktor darstellen. In diesem Fall müsste die Redundanz diversitär aufgebaut werden, da systematische Fehler mit Hilfe einer homogenen Redundanz nicht beherrscht werden können.
Was ist eine Beurteilung der funktionalen Sicherheit (functional safety assessment)? Dies ist eine auf Nachweise gestützte Untersuchung, die sicherstellt, dass die Funk-tionale Sicherheit erreicht wurde. Diejenigen Personen, die die Beurteilung der funktionalen Sicherheit ausführen, müssen für die auszuführenden Tätigkeiten kompetent sein und einen ausreichenden Unabhängigkeitsgrad besitzen. Sie müssen die während jeder Phase des gesamten Sicherheitslebenszyklus ausgeführten Tätigkeiten und erzielten Ergebnisse verifizieren und beurteilen, inwieweit die Ziele und Anforderungen der Norm IEC 61508 erreicht worden sind.
Was ist eine Betriebsart? Welche Betriebsarten werden von der IEC 61508 unterschieden? Die IEC 61508 beschreibt drei Betriebsarten für Sicherheitsfunktionen. Diese sind die Betriebsart mit niedriger Anforderungsrate (low demand mode) und die Be-triebsart mit hoher Anforderungsrate (high demand mode) und die kontinuierliche Anforderung (continuous mode). Formale Definitionen der Begriffe sind in IEC 61508-4, Abschnitt 3.5.16, gegeben. Zum Verständnis dieser Betriebsarten muss zunächst der Unterschied zwischen einer Betriebsart auf Anforderung und einer kontinuierlichen Betriebsart erklärt werden. Eine Sicherheitsfunktion, die im Anforderungsmodus arbeitet, wird nur auf Anforderung ausgeführt und bringt das zu überwachende System (equipment under control - EUC) in einen definierten siche-ren Zustand. Das sicherheitsbezogene E/E/PE-System, das diese Sicherheitsfunk-tion ausführt, hat keinen Einfluss auf das EUC bevor eine Anforderung an die Sicherheitsfunktion auftritt. Beispiele hierfür: Schutzsysteme in verfahrenstechnischen Anlagen (Trockenlaufschutz, Überfüllsicherung, Sicherheitstemperaturbegrenzer, etc.) und Sicherheitsfunktionen in Kraftfahrzeugen (ABS, Airbag, Notbremsassistent, etc.).
Wird eine Sicherheitsfunktion häufiger als einmal pro Jahr angefordert, dann handelt es sich um eine hohe Anforderungsrate. Wird die Sicherheitsfunktion nicht öfter als einmal pro Jahr angefordert, dann spricht die IEC 61508 von einer niedrigen Anforderungsrate. Je nach Betriebsart wird entweder die Ausfallwahrscheinlichkeit der Sicherheitsfunktion bei Anforderung berechnet (bei niedriger Anforderungsrate) oder die Ausfallhäufigkeit pro Stunde. In den Berechnungsformeln werden die betreffenden Wahrscheinlichkeiten mit PFD (PFD = Probability of dangerous Failure on Demand) und PFH (Probability of dangerous Failure per Hour) bezeichnet. (Siehe auch IEC 61508-4, Abschnitt 3.6.17 bis 3.6.19).
Was ist ein Equipment Under Control (EUC)? Bei dem sogenannten EUC handelt es sich um eine Einrichtung, Maschine, Gerät oder Anlage, welche zur Fertigung, Stoffumformung, zum Transport, zu medizini-schen oder anderen Tätigkeiten verwendet wird (siehe IEC 61508-4, Abschnitt 3.2.1).
Anwendungsbereich
I st die IEC 61508 für mich relevant?Gefähren, die von Maschinen und Anlagen ausgehen, müssen durch die Planer oder Entwickler mittels einer Gefährdungs- und Risikoanalyse ermittelt werden. Diese Analyse zeigt, ob eine Risikominderung nötig ist, um das tolerierbare Risiko zu erreichen oder zu unterschreiten. Ist dies der Fall, gibt es mehrere Möglichkei-ten, wie die Risikominderung realisiert werden kann. Werden E/E/PE-Systeme zur Risikominderung eingesetzt, dann geben die entsprechenden Normen zur Funktio-nalen Sicherheit (z. B. IEC 61508, IEC 61511, IEC 62061, ISO 13849, etc.) Hinwei-se, wie die Sicherheitsfunktionen zu implementieren sind. Grundsätzlich steht jedoch das Streben nach einer inhärent sicheren Konstruktion an erster Stelle. Nur wenn dies nicht möglich ist, greift man zu den oben genannten Maßnahmen zur Risikominderung.
Die IEC 61508 definiert angemessene Methoden, um Funktionale Sicherheit für die von dieser Norm betroffenen Systeme zu erreichen.
Welche Systeme sind von der IEC 61508 betroffen? Die IEC 61508 ist auf sicherheitsbezogene Systeme anzuwenden, wenn eines oder mehrere dieser Systeme elektrische und/oder elektronsiche und/oder program-mierbare elektronsiche (E/E/PE) Geräte enthalten. Sie betrachtet die Konsequenzen, die sich aus einem Ausfall der betreffenden Sicherheitsfunktion ergeben. Nicht betrachtet werden Gefährdungen, die von dem sicherheitstechnischen System selbst ausgehen, wie z. B. elektrischer Schlag. Die Norm ist allgemein auf sicherheitsbezogene E/E/PE-Systeme anwendbar, unabhängig von der jeweiligen Applikation.
Im Folgenden werden einige Beispiele aufgeführt, wo die IEC 61508 typischerweise zur Anwendung kommt:
Notabschalt-Systeme Gaswarnsysteme Turbinenüberwachung Brennersteuerungen Überlastanzeigen an Kränen Sicherheitsverriegelungen und Notabschaltsysteme für Maschinen Sicherheitseinrichtungen an medizinischen Geräte Bahnsignalsysteme Sicherheitsfunktionen von Frequenzumrichterantrieben Kraftfahrzeug-Antiblockiersysteme, Motormanagementsysteme Überfüllsicherungen, Trockenlaufschutz, Druckentlastung in der Prozessindustrie Sicherheitsfunktionen umfassen in der Regel die Teilsysteme Signalerfassung (Sensorik), Signalauswertung (Logik) und die Aktorik. Dies schließt neben den erwähnten Teilsystemen auch die Kommunikationssysteme und die Ergonomie (Fehlermöglichkeiten durch das Bedienpersonal) ein. Für eine effektive Spezifikation und Implementierung von Sicherheitsfunktionen ist wesentlich, dass das System als Ganzes betrachtet wird.
Wie ist die IEC 61508 anzuwenden, wenn E/E/PE Technologie nur einen kleinen Teil eines sicherheitsbezogenen Systems ausmacht? Die IEC 61508 ist auf jedes sicherheitsbezogene System anwendbar, das ein E/E/PE Gerät enthält.
Aus welchen Teilen besteht die IEC 61508? Die IEC 61508 umfasst insgesamt sieben Teile (siehe Tabelle unten). Hiervon sind die ersten vier Teile normativ, die Teile 5 bis 7 sind inforativ.
Struktur der IEC 61508 ("Funktionale Sicherheit sicherheitsbezogener elektri-scher/elektronischer/ programmierbarer elektronischer Systeme"):
IEC 61508-1: Allgemeine Anforderungen IEC 61508-2: Anforderungen an sicherheitsbezogene E/E/PE-Systeme IEC 61508-3: Anforderungen an Software IEC 61508-4: Begriffe und Abkürzungen IEC 61508-5: Beispiele zur Ermittlung der Stufe der Sicherheitsintegrität (SIL) IEC 61508-6: Richtlinien für die Anwendung von IEC 61508-2 und IEC 61508-3 IEC 61508-7: Überblick über Techniken und Maßnahmen Wie geht man beim Lesen der Norm am besten vor? Anhang A der IEC 61508-5 liefert eine Einführung zu den Themen Risiko und Si-cherheitsintegrität. In IEC 61508-1 sind die Anforderungen an den gesamten Si-cherheitslebenszyklus (Abschnitt 7) in einem Lebenszyklus-Diagramm (Abbildung 2) zusammengefasst. Die einzelnen Lebenszyklusphasen sind in Tabelle 1 aufgelistet zusammen mit den benötigten Ein- und Ausgabedokumenten, den Zielen der jeweiligen Phase und mit entsprechenden Verweisen auf weitergehende Informationen. Abschnitt 7.18 enthält weitere Anforderungen an die Verifikation sowie das Management und die Bewertung der Funktionalen Sicherheit.
Die Anforderungen der Teile 2 und 3 der IEC 61508 werden im Anhang A des Teils 6 überblicksartig erläutert.
Jede einzelne Anforderung der IEC 61508 sollte zusammen mit der zugehörigen Lebenszyklusphase (wo zutreffend) und den jeweiligen Zielen der betreffenden Lebenszyklusphase betrachtet werden. In den einzelnen Kapiteln sind die Ziele den Anforderungen jeweils unmittelbar vorangestellt.
Gefährdungs- und Risikoanalyse
Befasst sich die IEC 61508 ausschließlich mit der Gewährleistung von Sicherheit durch Verbesserung der Ausfallsicherheit? Nein. Ein entscheidender erster Schritt im Sicherheitslebenszyklus ist, dass die er-forderlichen Sicherheitsfunktionen aus einer Gefährdungs- und Risikoanalyse abgeleitet werden. Dabei wird ermittelt, wieviel Risikominderung in Bezug auf eine bestimmte Gefährdung erreicht werden muss, um auf ein tolerierbares Restrisiko zu kommen. Das Ergebnis wird dann in der Maßeinheit SIL angegeben. Diese SIL-Anforderung ist dann Bestandteil der Spezifikation der Sicherheitsfunktion. Im Rahmen eines sogenannten SIL-Nachweises muss dann gezeigt werden, dass die Sicherheitsfunktion so realisiert wurde, dass damit die geforderte Risikominderung erreicht wird.
Fordert die IEC 61508 die Durchführung einer quantitativen Risikoanalyse zur Bestimmung des Safety Integrity Levels? Nein. Die Norm erlaubt sowohl quantitative als auch qualitative Methoden (vgl. IEC 61508-5, Anhänge C, D und E). Es ist jedoch zu beachten, dass eine Risikoanalyse generell eine große Erfahrung und ein umfangreiches Fachwissen über die betreffende Applikation erfordert. Aus diesem Grund wird die Gefährdungs- und Risiko-analyse typischerweise von einem entsprechend zusammengesetzte Team erar-beitet.
Wie wird die Konformität einer Sicherheitsfunktion mit der der IEC 61508 nachgewiesen? Die Spezifikation der auszuführenden Sicherheitsfunktionen setzt sich nach IEC 61508 aus den folgenden zwei Elementen zusammen:
Funktionale Anforderungen an die Sicherheitsfunktion (was soll die Sicherheits-funktion tun) Was ist deren Funktion?) Anforderungen an die Sicherheitsintegrität (mit welcher Qualität bzw. Zuverlässigkeit muss die Sicherheitsfunktion ihr Funktion erfüllen? Welche SIL-Stufe muss sie erreichen) Die IEC 61508 schreibt für eine bestimmte Anwendung weder die notwendigen Anforderungen an Sicherheitsfunktionen noch die Anforderungen an die Sicherheitsintegrität vor. Diese Informationen müssen sich aus der Gefährdungs- und Risikoanalyse ergeben. Der dabei ermittelte Safety Integrity Level (SIL 1, 2, 3 oder 4) entspricht einem Wertebereich für die Risikominderung, wobei zu bemerken ist, dass die Anforderungen an die mittlere Ausfallwahrscheinlichkeit einer Sicherheitsfunktion im Anforderungsfall oder die Wahrscheinlichkeit eines gefährlichen Ausfalls der Sicherheitsfunktion pro Stunde mit der jeweiligen SIL-Stufe korrelieren. Die Konformität mit der IEC 61508 ist dann gegeben, wenn beim Design der betreffenden Sicherheitsfunktion alle organisatorischen Maßnahmen zur Vermeidung systematischer Fehler entsprechend den Anforderungen der Norm beachtet bzw. angewendet wurden (z. B. Management der funktionalen Sicherheit, Kapitel 6 der IEC 61508 Teil 1) und technische Maßnahmen zur Fehlerbeherrschung dem jeweiligen SIL entsprechend implementiert wurden. Dies schließt auch einen Nachweis der Geräteeignung mit ein (z. B. Herstellererklärung zur SIL-Eignung eines Geräts). Schließlich ist noch ein quantitativer Nachweis zu führen, dass die Wahrscheinlichkeit eines Versagens aufgrund von zufälligen Fehlern ausreichend unwahrscheinlich ist (PFD- bzw. PFH-Berechnung).
Wenn ein Hersteller angibt, dass seine Produkte eine bestimmte SIL-Eignung nach IEC 61508 haben, bedeutet dies dann, dass die Verwendung dieser Produkte für ausreicht, um die IEC 61508 zu erfüllen? Nein. Ein Safety Integrity Level (SIL) kann nicht direkt einem Teilsystem oder einer Komponente zugeordnet werden, sondern er bezieht sich auf eine Sicherheitsfunktion, die von sicherheitsbezogenen E/E/PE-Systemen ausgeführt wird. Die IEC 61508 deckt alle Komponenten des sicherheitsbezogenen E/E/PE-Systems ab, einschließlich Feldgeräten und spezieller Anwendungslogik. Jedes Teilsystem und jede Komponente, die zur Realisierung einer Sicherheitsfunktion eingesetzt wird, muss den für die Funktion geforderten Safety Integrity Level erfüllen. Dies ist nicht automatisch für jede Anordnung aus Teilsystemen oder Komponenten gegeben, selbst wenn diese für den geforderten Safety Integrity Level geeignet sind. Ein einfaches Beispiel hierfür ist die fehlerhafte Installation eines Teilsystems oder einer Komponente. Hersteller von Produkten zum Einsatz in sicherheitsbezogenen E/E/PE-Systemen müssen daher ausreichende Informationen liefern, unter welchen Bedingungen und für welche Funktionen das jeweilige Produkt die Anforderungen der IEC 61508 für den jeweiligen SIL erfüllt (Anforderungen an das Sicherheits-handbuch siehe Teil 2 der IEC 61508, Kapitel 7.4.9.6).
Wenn ein Teilsystem in ein sicherheitsbezogenes E/E/PE-System nach IEC 61508 integriert wird, muss dessen Beitrag zur Sicherheitsintegrität der gesamten Sicher-heitsfunktion berücksichtigt werden. Zu diesem Zweck benötigt der Entwickler/Integrator bestimmte Informationen für jedes sicherheitsbezogene Teilsystem. Lieferanten von Teilsystemen zum Einsatz in sicherheitsbezogenen E/E/PE-Systemen müssen hierfür unter anderem die folgenden Informationen liefern (siehe auch IEC 61508 Teil 2, Anhang D):
funktionale Spezifikationen, Schnittstelleninformationen und Einschränkungen in Bezug auf die Umgebung des Teilsystems Beschreibung der Ausfallmodi (gefährlicher Fehler, sicherer Fehler) geschätzte Ausfallraten für alle Ausfallmodi Diagnosedeckungsgrad und Diagnose-Testintervall Hardwarefehlertoleranz Informationen zur Identifikation der Hardware- und Softwarekonfiguration dokumentarischer Nachweis, dass das Teilsystem validiert wurde höchster Safety Integrity Level, der für eine Sicherheitsfunktion in Anspruch genommen werden kann, welche das Teilsystem verwendet Müssen zur Erfüllung der IEC 61508 Komponenten verwendet werden, die durch externe Stellen zertifiziert sind? Nein. Die Norm fordert einen Eignungsnachweis der eingesetzten Komponenten bzw. Geräte. Dieser Nachweis muss aber nicht zwingend durch eine externe Stelle erfolgen. Grundsätzlich gibt es fünf verschiedene Möglichkeiten, die Eignung einer Komponente für eine Sicherheitsfunktion zu begründen:
Herstellererklärung zur SIL-Eignung Nachweis der Betriebsbewährung Fehlerausschluss Diagnose mit Diagnosedeckungsgrad von 100% „Passende“ Baumusterprüfung Hierbei stellen die Punkte 1 und 2 die am häufigsten anzutreffenden Fälle dar, während die Punkte 3 bis 5 eher als Ausnahme betrachtet werden können. Die Einbeziehung einer externen Stelle ist hierbei nicht unüblich, wird aber von der Norm expressis verbis nur für SIL 4 und möglicherweise für SIL 3 gefordert. Im Falle von SIL 3 sind weitere Randbedingungen dafür ausschlaggebend, ob eine externe Stelle erforderlich ist oder nicht.
In welcher Weise muss der Einfluss menschlichen Verhaltens auf den Betrieb von sicherheitsbezogenen E/E/PE-Systemen berücksichtigt werden? Die IEC 61508 fordert, dass menschliche Faktoren bei der Festlegung von Gefährdungen und gefährlichen Vorfällen (vgl. IEC 61508-1, Abschnitt 7.4.2.3) und beim Entwurf sicherheitsbezogener E/E/PE-Systeme (vgl. IEC 61508-2, Abschnitt 7.4.7.3) einbezogen werden.
Bei sicherheitsbezogenen E/E/PE-Schutzsystemen müssen hier folgende drei Bereiche betrachtet werden:
menschliche Aktivitäten oder Fehler, die eine Anforderung des sicherheitsbezogenen E/E/PE-Schutzsystems auslösen menschliches Versagen bei der Reaktion auf Alarme menschliches Versagen bei Test und Wartung, die die Wirksamkeit herabsetzen und die Wahrscheinlichkeit eines Ausfalls bei Anforderung erhöhen Kann ein sicherheitsbezogenes E/E/PE-System Hardware und/oder Software enthalten, die nicht nach IEC 61508 hergestellt wurde und die Norm trotzdem erfüllen? Hier ist die alternative Argumentation über Betriebsbewährung zur Erfüllung der Designanforderungen bezüglich systematischer Fehler, sowohl für Hardware als auch für Software, möglich. Im Falle von Software ist eine Feststellung der Betriebsbewährung in der Regel nur dann möglich, wenn die Komplexität der Software vergleichsweise gering ist.
Wie hängen elektromagnetische Störfestigkeitsgrenzwerte mit dem Safety Integrity Level zusammen? IEC 61508-2, Abschnitt 7.2.3.3 f) sagt hierzu aus: Die Anforderungsspezifikation zur E/E/PE-Sicherheitsintegrität muss die elektromagnetischen Störfestigkeitsgrenzwer-te (siehe IEC 61000-1-2) enthalten, die erforderlich sind, um elektromagnetische Verträglichkeit zu erreichen. Die elektromagnetischen Störfestigkeitsgrenzwerte müssen unter Berücksichtigung der elektromagnetischen Umgebung abgeleitet werden. Für besondere Einsatzorte mit einer rauen elektromagnetischen Umgebung können höhere Störfestigkeitspegel oder zusätzliche Anforderungen nötig sein, die über die Anforderungen der EMV-Normen hinausgehen.
Stellung im Rahmen der internationalen Standards
Welche anwendungsspezifischen Standards (Sektornormen) basierend auf der IEC 61508 liegen vor? Im Folgenden werden einige Sektornormen genannt. Die Liste ist bei Weitem nicht vollständig. Zudem werden kontinuierlich Normen überarbeitet und neu erstellt.
IEC 61511: Funktionale Sicherheit - Sicherheitstechnische Systeme für die Prozessindustrie IEC 61513: Kernkraftwerke - Leittechnik für Systeme mit sicherheitstechnischer Bedeutung - Allgemeine Systemanforderungen IEC 62061 Sicherheit von Maschinen - Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme IEC 61800-5-2 Elektrische Leistungsantriebssysteme mit einstellbarer Drehzahl - Teil 5-2: Anforderungen an die Sicherheit - Funktionale Sicherheit Die IEC stellt keine Normentwürfe zur Verfügung. Nationale Gremien können Entwürfe für einen begrenzten Zeitraum der Öffentlichkeit zur Verfügung stellen. Die Regelungen hierzu sind länderspezifisch. Einzelheiten hierzu können beim jeweiligen nationalen Gremium erfragt werden.
Kann man die IEC 61508 als eigenständigen Standard anwenden? Ja. Als eines der Hauptziele liefert diese Norm allgemeine Anforderungen für sicherheitsbezogene E/E/PE-Systeme, für die keine anwendungsspezifischen Normen vorhanden sind. Viele Anforderungen der IEC 61508, insbesondere aus IEC 61508-2 und IEC 61508-3, werden in anwendungsspezifischen Standards nicht wiederholt, sondern referenziert. Dies hat zur Folge, dass die meisten Anwender von anwendungsspezifischen Standards ebenfalls die IEC 61508 benötigen.
Ist die Anwendung der IEC 61508 durch eine EG Richtlinie vorgeschrieben? Nein. Die EN 61508 besitzt nicht den Status einer harmonisierten europäischen Norm. Es gibt keine EG Richtlinie, unter der diese Norm gelistet ist. Einige Sektornormen, wie z. B. die EN 62061, sind jedoch unter einer Richtlinie gelistet (hier: Maschinenrichtlinie). Sofern eine Norm unter einer Richtlinie gelistet ist, kann diese zur Konformitätsbewertung herangezogen werden.
Regionale Umsetzungen und technische Interpretation
Wo kann ich weitergehende Informationen zur IEC 61508 finden? „The 61508 Association” verfolgt u. a. das Ziel, Hilfestellung bei der Anwendung der IEC 61508 zu geben. Auf deren Internetseite findet man im Downloadbereich eine Vielzahl prägnater und klar formulierter Anwendungshilfen (https://www.61508.org/ in Englisch).
Ist die IEC 61508 auch ein europäischer Standard? Ja. Die sieben Teile der IEC 61508 wurden durch die CENELEC im Dezember 2001 als EN 61508 herausgegeben.
