IEC 61508: Der Standard für funktionale Sicherheit vom Konzept bis zum Betrieb

IEC-61508 Hauptseite
Roman Shulenkov

 

Roman Shuliankou,  

Leiter der Abteilung für Industrieautomation & Robotik 

Funktionale Sicherheit ist in Branchen, in denen Systemausfälle Menschenleben gefährden können, von größter Bedeutung. Der Standard IEC 61508 enthält eine Reihe von Regeln und Einschränkungen für die Entwicklung, Wartung und den Betrieb sicherheitskritischer Systeme. 

In diesem Artikel befassen wir uns mit den wichtigsten Elementen der Einhaltung der Norm IEC 61508 und untersuchen die Bedeutung von Sicherheitsintegritätsstufen (SIL), die Herausforderungen bei der Gewährleistung der Hardware-Software-Kompatibilität und die entscheidende Rolle gründlicher Validierung und Tests.  

Wir besprechen auch, wie branchenspezifische Normen, wie ISO 10218 für Robotik und IEC 61800-5-2 für Frequenzumrichter, auf den Grundsätzen von IEC 61508 aufbauen, um spezifische Anforderungen zu erfüllen. Schließlich zeigen wir auf, wie Promwad diese Herausforderungen effektiv meistert, um sicherheitskritische Systeme zu liefern, die den höchsten Standards entsprechen. 

IEC 61508-Übersicht

Die internationale Norm IEC 61508 legt einen Rahmen für die funktionale Sicherheit in industriellen Systemen fest. Die neueste Ausgabe der IEC 61508 ist die zweite Ausgabe, die 2010 veröffentlicht wurde. 

Diese Norm bietet einen strukturierten Ansatz, um sicherzustellen, dass sicherheitsrelevante Systeme unter vordefinierten Bedingungen zuverlässig funktionieren, und deckt den gesamten Sicherheitslebenszyklus ab – von der Konzeption und dem Entwurf bis hin zum Betrieb und zur Wartung.  

Zu den Schlüsselkomponenten eines Geräts oder Systems, die automatisierte Sicherheitsfunktionen ausführen, gehören Sensoren, Steuerlogik und Aktoren. Diese Elemente arbeiten innerhalb einer Hardware-Architektur, die Mikroprozessoren oder FPGA zur Verarbeitung sicherheitsrelevanter Entscheidungen enthalten kann. 

IEC 61508 umfasst eine qualitative Bewertung der Möglichkeit gefährlicher Betriebsszenarien und die Definition von Sicherheitsmaßnahmen zur Vermeidung oder Beherrschung systematischer Ausfälle und zur Erkennung, Kontrolle oder Minderung der Auswirkungen zufälliger Hardwarefehler. 

Eines der Kernkonzepte der IEC 61508 ist das Sicherheitsintegritätslevel, ein quantitatives Maß für die Risikoreduzierung durch ein Sicherheitssystem. SIL wird in vier Stufen eingeteilt, wobei SIL 1 die niedrigste und SIL 4 die höchste Stufe der Risikoreduzierung darstellt. Die SIL-Zertifizierung wird durch einen strengen Prozess erreicht, der viele Schritte umfasst.

 

Sicherheit 
Integritätsstufe

Sicherheit

Ausfallwahrscheinlichkeit bei Bedarf

Faktor zur Risikominderung

SIL 4 

weniger 99.99% 

0.001% bis 0.01% 

100,000 bis 10,000 

SIL 3 

99.9% bis 99.99% 

0.01% bis 0.1% 

10,000 bis 1,000 

SIL 2 

99% bis 99.9% 

0.1% bis 1% 

1,000 bis 100 

SIL 1 

90% bis 99% 

1% bis 10% 

100 bis 10 

SIL-Standardwerte

Die IEC 61508 ist in der industriellen Automatisierung mit ihrem klaren Rahmen für die Risikobewertung und die Implementierung von Sicherheitsmechanismen von großer Bedeutung.  

In Sektoren wie Fertigung, Prozessautomatisierung und Maschinensicherheit gewährleistet sie die Einhaltung der Anforderungen an die funktionale Sicherheit. Branchen wie die Windenergie und die Kernenergie folgen jedoch ihren eigenen Sicherheitsstandards, wie z. B. IEC 61400-1 für Windkraftanlagen und IEC 61513 für Kernkraftwerke. 

Die Umsetzung von IEC 61508 stellt sicher, dass alle Komponenten auch unter fehlerhaften Bedingungen korrekt funktionieren, wodurch Risiken gemindert und Menschenleben geschützt werden. 

Im Bereich der Robotik hat der Einsatz von autonomen und kollaborativen Robotern die Bedeutung der funktionalen Sicherheit und der IEC 61508 erhöht. Roboter, die mit Menschen zusammenarbeiten, müssen Sicherheitsstandards einhalten, um Unfälle durch Software-Fehlfunktionen oder Hardware-Ausfälle zu vermeiden. Durch die Einhaltung der IEC 61508 können Entwickler Systeme mit integrierter Fehlertoleranz erstellen. 

Beispiele für kritische Systeme in der Softwareentwicklung sind medizinische Geräte, Flugsicherungssysteme und industrielle Prozesssteuerungen. 

Zwei Arten von Fehlern: zufällige und systematische 

Funktionale Sicherheit und SIL hängen von der Berücksichtigung zweier Arten von Fehlern ab: 

  • Zufällige Hardwarefehler treten unvorhersehbar aufgrund von Verschleiß, Materialfehlern oder Umwelteinflüssen auf. Sie werden durch Diagnoseabdeckung, Schätzung der Fehlerrate, Selbstprüfungsmechanismen und Hardware-Fehlertoleranztechniken angegangen. 
     
  • Systematische Ausfälle sind auf Konstruktions-, Implementierungs- oder Verfahrensfehler zurückzuführen und erfordern strenge Entwicklungsprozesse, die Einhaltung von Sicherheitsstandards, eine formale Verifizierung und eine robuste Software-/Hardware-Validierung, um sie zu verhindern. 

IEC 61508 führt Begriffe wie Zufallsfähigkeit und systematische Fähigkeit ein, die die Widerstandsfähigkeit des Systems gegen diese Arten von Ausfällen darstellen.  

Zu den wichtigsten Maßnahmen gehören das Management der funktionalen Sicherheit, die Umsetzung des Lebenszyklus, die Vermeidung systematischer Fehler sowohl bei der Systemgestaltung als auch bei der Entwicklung und Bewertung von Sicherheitssoftware, um die Einhaltung dieser Anforderungen zu überprüfen.  

Bei der Einhaltung der IEC 61508 geht es nicht nur um die Erfüllung gesetzlicher Vorschriften, sondern auch um die Demonstration eines Engagements für Sicherheit, Zuverlässigkeit und Innovation. Für Unternehmen, die in Branchen mit hohen Risiken tätig sind, stärkt die Einhaltung dieser Norm das Vertrauen der Stakeholder und öffnet Türen zu neuen Märkten, in denen funktionale Sicherheit Priorität hat.  

Mit den Anforderungen der IEC 61508 wurden die besonderen Herausforderungen verschiedener Branchen effektiv bewältigt. Heute sind branchenspezifische funktionale Sicherheitsstandards auf der Grundlage von IEC 61508 in den Bereichen Transportwesen, Haushaltsgeräte und mehr weit verbreitet. 

Struktur der IEC 61508

IEC 61508 ist in sieben Teile gegliedert. Die ersten drei Teile enthalten die grundlegenden Anforderungen, während die restlichen vier ergänzend sind. Dazu gehören: 
  • Teil 1. Allgemeine Anforderungen. Er umreißt die allgemeinen Anforderungen an Systeme und gibt den Ton für die Norm an. 
  • Teil 2: Anforderungen an E/E/PE-sicherheitsbezogene Systeme.
  • Teil 3: Softwareanforderungen mit spezifischen Maßnahmen zur Vermeidung sicherheitskritischer Softwarefehler. 

 

Die anderen Teile enthalten Leitlinien, Terminologie und Methoden zur Umsetzung und Bewertung der funktionalen Sicherheit innerhalb der IEC 61508. 

Der Schlüssel zur Analyse und Organisation dieser Anforderungen liegt in der Klassifizierung. Die Anforderungen werden in der Regel nach ihrem Schwerpunkt gruppiert, z. B. Dokumentation, funktionales Sicherheitsmanagement und Lebenszyklusstruktur. 

ISO 10218 und IEC 61800-5-2

Beispiele für Sicherheitsstandards in der Industrie, die auf den Grundsätzen der IEC 61508 basieren, sind ISO 10218 und IEC 61800-5-2. Beide Standards basieren auf den Grundsätzen der IEC 61508 und nutzen deren Struktur, um spezifische Branchenanforderungen zu erfüllen.  

Während die IEC 61508 als umfassende Norm für funktionale Sicherheit dient, wenden diese spezialisierten Normen ihren risikobasierten Ansatz auf spezifische Anwendungen an: 

Die Normen ISO 10218 und IEC 61800-5-2 können als praktische Erweiterungen der IEC 61508 angesehen werden, die deren übergeordnete Sicherheitsgrundsätze in praktische Anforderungen für spezifische Technologien umsetzen.  

Roboter-Sicherheitsstandard-Kollaborationsformen-ISO-10218

Vier Formen der Zusammenarbeit, die in der Robotersicherheitsnorm ISO 10218 festgelegt sind

 

ISO 10218 konzentriert sich auf die funktionale Sicherheit von Industrierobotern und Robotersystemen und bietet Richtlinien für deren Gestaltung, Integration und Betrieb. Diese Norm ist wichtig, um eine sichere Interaktion zwischen Menschen und Robotern zu gewährleisten, insbesondere in Umgebungen, in denen Roboter in unmittelbarer Nähe von Bedienern arbeiten.  

IEC 61800-5-2 befasst sich mit der funktionalen Sicherheit von VFDs (Frequenzumrichtern), die zur Steuerung von Motorsystemen in der industriellen Automatisierung erforderlich sind. Diese Norm definiert Anforderungen an Sicherheitsfunktionen wie „sicher abgeschaltetes Drehmoment“ (STO), „sicherer Stopp“ und „sichere Geschwindigkeitsregelung“.

 

2. Einhaltung der Norm IEC 61508

Die Einhaltung der Norm IEC 61508 ist unerlässlich, um die Sicherheit zu verbessern, rechtliche Risiken zu reduzieren und die Zuverlässigkeit des Systems zu gewährleisten. Für Organisationen, die sich zu Spitzenleistungen verpflichtet haben, ist die Einhaltung globaler Sicherheitsstandards und die Umsetzung robuster Designpraktiken nicht nur eine gesetzliche Anforderung, sondern auch ein Schritt in Richtung sichererer und zukunftssicherer Abläufe. 

Die Vorteile der Einhaltung der IEC 61508 liegen auf der Hand, aber hier sind die Risiken der Nichteinhaltung:  
 

1) Sicherheitsrisiken

Nicht konforme Systeme verfügen nicht über die erforderliche Strenge, um Fehler zu erkennen und zu beheben. In der industriellen Automatisierung kann dies beispielsweise zu Fehlfunktionen von Anlagen führen, wodurch Arbeiter und die Umwelt lebensbedrohlichen Gefahren ausgesetzt werden. Beispielsweise könnten Fehler in Roboter- oder Energietechniksystemen zu Bränden, Explosionen oder der Freisetzung von Giftstoffen führen. 
 

2) Gesetzliche Haftung

Regierungen und Aufsichtsbehörden setzen die Einhaltung von Sicherheitsvorschriften durch, um das Gemeinwohl zu schützen. Die Nichteinhaltung kann zu Zivilklagen der betroffenen Parteien und zu behördlichen Strafen oder Sanktionen führen, die den Betrieb bis zur Einhaltung der Vorschriften einstellen können. 

Explosion von Texas City

Eine Wolke aus Kohlenwasserstoffdämpfen entzündete sich und verursachte 2005 in einer Raffinerie in Texas City eine Explosion, bei der 15 Arbeiter getötet und 180 verletzt wurden. Die Ursache waren Sicherheitsverstöße und schlecht gewartete Ausrüstung. Quelle: U.S. Chemical Safety Board, Untersuchungsbericht: Explosion und Feuer in einer Raffinerie, Bericht Nr. 2005-04-I-TX, 20. März 2007. Public Domain.

3) Finanzielle Strafen 

Die Nichteinhaltung kann erhebliche Kosten im Zusammenhang mit Rechtsstreitigkeiten, Geldbußen oder der Nachrüstung von Systemen zur Einhaltung von Sicherheitsstandards verursachen. Außerdem riskieren Sie einen Vertrauensverlust auf dem Markt und eine Rufschädigung, die das Vertrauen Ihrer Kunden und Ihre Geschäftschancen schmälert. 

Bei der Norm selbst ist es wichtig, die SIL einzuhalten, die die Risikominderung eines Sicherheitssystems quantifiziert. Die Stufen reichen von SIL 1 (niedrigste) bis SIL 4 (höchste), wobei jede Stufe eine Verbesserung der Sicherheit in einer Größenordnung anzeigt. 

Die Einhaltung der SILs stellt sicher, dass Sicherheitssysteme so konzipiert sind, dass sie die relevanten Risikoschwellen einhalten. Es erfordert sorgfältige Planung, Tests und Verifizierung, um einen fehlertoleranten Betrieb zu gewährleisten: Redundanzmechanismen zur Vermeidung versehentlicher Geräteausfälle und robuste Prozesse zur Vermeidung systematischer Fehler. 

 

3. Sicherheitsorientiertes Design gemäß IEC 61508

IEC 61508 ist der Standard der Wahl, um die funktionale Sicherheit während des gesamten Produktionslebenszyklus zu gewährleisten. Im Folgenden werden die wichtigsten Aspekte des sicherheitsorientierten Designs gemäß IEC 61508 erläutert. 

 

Risikobewertung und Gefahrenanalyse

Sicherheitsorientiertes Design beginnt mit einer Risikobewertung und Gefahrenanalyse. Techniken wie HAZOP (Gefahren- und Funktionsanalyse) und FMEA (Fehlermöglichkeits- und Einflussanalyse) werden häufig eingesetzt, um Gefahren nach Schweregrad und Wahrscheinlichkeit zu kategorisieren. Auf dieser Grundlage werden die SIL-Stufen klar definiert, auf deren Grundlage Sicherheitsmaßnahmen entsprechend den ermittelten Risiken konzipiert und umgesetzt werden. 
 

Sicherheitsdesign und -architektur

Die Sicherheitsintegrität wird durch eine starke Architektur erreicht, die Redundanz, Fehlertoleranz und fehlertolerante Mechanismen umfasst. Die Systemarchitektur ist so konzipiert, dass sie durch eine Kombination aus Hardware- und sicherheitskritischen Softwarestrategien das erforderliche SIL-Niveau erreicht.

Beispielsweise reduzieren Zweikanalsysteme mit unterschiedlichen Redundanzen das Risiko von Gleichtaktfehlern, und Watchdogs und Hardwarediagnosen bieten Echtzeit-Überwachungsfunktionen. 

 

Codierungsstandards

Die Entwicklung sicherheitskritischer Software unterliegt strengen Codierungsstandards. C++ verwendet beispielsweise MISRA C und AUTOSAR C++ 14, um sichere Programmierpraktiken bereitzustellen, wie z. B. die Vermeidung dynamischer Speicherzuweisung und die Sicherstellung eines deterministischen Verhaltens. 

 

Formale Verifizierung und Prüfung

Ein wichtiger Aspekt der Einhaltung der IEC 61508 ist ein strukturierter Verifizierungs- und Validierungsprozess (V&V) nach dem V-Modell-Ansatz. Dies umfasst die Entwurfsverifizierung durch Überprüfungen und statische Analysen sowie die Validierung durch Unit-, Integrations- und Systemtests, um die funktionale Sicherheit zu gewährleisten. 

Techniken wie Modellprüfung und Theorem-Beweis können verwendet werden, um die Korrektheit des Systems mathematisch zu verifizieren und so eine zusätzliche Sicherheitsebene zu schaffen. 
 

Statische Codeanalyse, Fehlertests und Echtzeitüberwachung

Statische Code-Analyse-Tools wie Coverity und Polyspace sind unerlässlich, um Schwachstellen zu erkennen, Programmierstandards durchzusetzen und potenzielle Fehler frühzeitig in der Entwicklung zu identifizieren. Diese Tools werden durch dynamische Testverfahren ergänzt, darunter Laufzeitfehlererkennung und Fuzz-Tests (hauptsächlich für Sicherheitstests).

Darüber hinaus wird die Echtzeit-Systemüberwachung in implementierten Anwendungen eingesetzt, um Leistungskennzahlen zu verfolgen, Laufzeitanomalien zu erkennen und die Systemstabilität unter Betriebsbedingungen sicherzustellen. 

 

Compliance-Dokumente

IEC 61508 legt den Schwerpunkt auf eine komplexe Dokumentation zur Unterstützung der Zertifizierung und Rückverfolgbarkeit. Zu den wichtigsten Dokumenten gehören Sicherheitspläne, Rückverfolgbarkeitsmatrizen, Verifizierungs- und Validierungsberichte sowie zertifizierungsfähige Dokumentationen. 

Angesichts dieser Herausforderungen stellen Entwickler sicher, dass sicherheitskritische Systeme die Anforderungen von IEC 61508 erfüllen, was zum Schutz von Leben und Infrastruktur in risikoreichen Branchen führt. 

Herausforderungen bei der Einhaltung der IEC 61508 und wie Promwad sie bewältigt

Die Erfüllung der Norm für funktionale Sicherheit IEC 61508 stellt eine Herausforderung dar, von der Verwaltung der Systemkomplexität bis hin zur Aufrechterhaltung strenger Test- und Validierungsprozesse. Promwad hat bewährte Strategien entwickelt, um diese Herausforderungen zu bewältigen und sicherheitskritische Systeme zu schaffen, die den Erwartungen der Industrie entsprechen. 

 

Problem Nr. 1. Komplexitätsmanagement in Softwaresystemen

Moderne industrielle Automatisierungssoftware wird immer komplexer und integriert Echtzeit-Datenverarbeitung, fortschrittliche Steuerungsalgorithmen und Hardware-Software-Interaktion.  

Diese Komplexität muss sorgfältig verwaltet werden, um funktionale Sicherheit, Cybersicherheit und Systemzuverlässigkeit zu gewährleisten, insbesondere bei geschäftskritischen Anwendungen wie Industrierobotik und Prozesssteuerung. Um dieses Gleichgewicht zu erreichen, sind strukturierte Softwareentwicklungsprozesse, die Einhaltung von Industriestandards und strenge Verifizierungsmethoden erforderlich. 

Monolithische vs. modulare Architektur

Vergleich des Softwaredesigns für monolithische Architektur und modulare Architektur
 

Was tun wir? Promwad löst dieses Problem durch die Einführung eines modularen Software-Designs, die Einhaltung von Programmierstandards und Automatisierungstools. 

Dieser strukturierte Ansatz stellt sicher, dass selbst die komplexesten Systeme die Norm IEC 61508 erfüllen, ohne dass dabei die Funktionalität und Sicherheit beeinträchtigt wird. 
 

Problem Nr. 2. Sicherstellung der Hardware- und Softwarekompatibilität

Kritische Sicherheitssysteme sind auf die Integration von Hardware und Software angewiesen. Die Kompatibilität ist eine Herausforderung, insbesondere wenn es um kundenspezifische Hardware oder Komponenten von Drittanbietern geht.  

Was tun wir?   Unsere Ingenieurteams arbeiten bereits in den ersten Entwicklungsphasen zusammen, um die Integration von Hardware und Software sicherzustellen und potenzielle Probleme wie Kommunikationsfehler, Echtzeit-Verarbeitungsinkongruenzen und Compliance-Lücken zu reduzieren. Wir testen auch die Interaktion zwischen Hardware und Software unter realen Bedingungen, um die Zuverlässigkeit, Sicherheit und Integrität des Systems zu überprüfen. 

Unsere Partnerschaften mit IC-Herstellern wie NXP ermöglichen es uns, Systeme zu entwickeln, die auf Sicherheit und Leistung optimiert sind. 
 

Problem Nr. 3. Gründliche Verifizierung, Validierung und Prüfung

Die Erfüllung der SIL-Anforderungen erfordert eine gründliche Verifizierung, Validierung und Prüfung in jeder Entwicklungsphase. Dieser Prozess kann ressourcenintensiv und zeitaufwendig sein, insbesondere bei Systemen mit hoher SIL.  

Was tun wir?   Wir implementieren strukturierte V&V-Prozesse gemäß dem V-Modell der IEC 61508. Dies umfasst automatisierte Testumgebungen, wo dies für Tests auf Einheiten-, Integrations- und Systemebene möglich ist. Bei Bedarf wendet unser Team formale Verifikationstechniken an, um kritische Sicherheitseigenschaften mathematisch zu validieren. Darüber hinaus führen wir Fehlerinjektionstests durch. 

 

*** 

Die Einhaltung der IEC 61508 ermöglicht es Organisationen, funktionale Sicherheitsrisiken zu identifizieren und zu mindern, wodurch die Zuverlässigkeit und Betriebssicherheit der Geräte gewährleistet wird. Sie trägt auch dazu bei, rechtliche Haftungsrisiken durch die Einhaltung international anerkannter Sicherheitsstandards zu reduzieren, und erleichtert die Marktakzeptanz, insbesondere in regulierten Branchen wie der industriellen Automatisierung, der Energieversorgung und dem Transportwesen. 

Bei Promwad setzen wir unser Fachwissen bei der Entwicklung sicherheitskritischer Systeme mit zertifizierten Tools, strukturierten Verifizierungsprozessen und bewährten Verfahren ein, um die Anforderungen der IEC 61508 zu erfüllen und zu übertreffen, und helfen unseren Kunden, die Konformität sicher zu erreichen. 

Vertrauen Sie uns die Konzeption, Entwicklung und Bereitstellung sicherheitsorientierter Lösungen an, die den globalen Standards entsprechen und Ihre Systeme auf die Zertifizierung vorbereiten. 
 

Sind Sie bereit, Ihre Betriebsabläufe zu schützen und die Einhaltung der IEC 61508 zu gewährleisten?