Funktionale Sicherheit ist eines der Grundprinzipien der Maschinensicherheit. Wozu sie dient, welche Rolle der Safety Integrity Level (SIL) spielt, welche rechtlichen Vorgaben es gibt und Antworten auf andere häufige Fragen erwarten Sie im folgenden Artikel.
Was genau ist Funktionale Sicherheit?
Funktionale Sicherheit (kurz: FuSi) bezeichnet das zuverlässige Inkrafttreten der Schutzfunktionen eines Systems. Wenn es innerhalb eines elektrischen oder elektronischen Systems zu einem unregelmäßigen Phänomen wie zum Beispiel einem Ausfall kommt, dann reagieren die Schutzfunktionen im Optimalfall darauf und schützen so das System und gegebenenfalls auch seine Anwender:innen.
Die Grundnorm für die Funktionale Sicherheit von Systemen, DIN EN 61508, definiert ihren Gegenstand wie folgt:
„[Funktionale Sicherheit ist ein] Teil der Gesamtsicherheit, bezogen auf die EUC und das EUC-Leit- oder Steuerungssystem, der von der korrekten Funktion des E/E/PE-sicherheitsbezogenen Systems und anderer risikomindernder Maßnahmen abhängt.“
Funktionale Sicherheit gilt dabei nur für die inhärenten Schutzfunktionen des Systems in Hardware und Software. Rein äußere Umstände wie etwa veränderte Betriebsbedingungen, (nicht erwartbare) unsachgemäße Verwendung oder Angriffe durch zum Beispiel Hacking fallen nicht in den Wirkungsbereich Funktionaler Sicherheit.
Kurz: Wenn ein Produkt funktional sicher ist, dann verfügt seine Systemsteuerung über zuverlässige Schutzfunktionen, die vor Gefährdungen durch auftretende Fehler schützen.
Wozu dient Funktionale Sicherheit?
Funktionale Sicherheit gewährleistet den Schutz eines Systems sowie die Sicherheit der Personen, die mit der Bedienung des Systems betraut sind. Funktionale Sicherheit betrifft dabei nicht nur die unmittelbare Reaktion des Systems auf Fehler, sondern auch deren Früherkennung sowie systematische Vermeidung. Dadurch erfolgt eine umfassende Absicherung des Systems, die dessen reibungslose Tätigkeit sicherstellt.
Ohne inhärente Schutzfunktionen, die eine funktionale Grundsicherheit eines Systems gewährleisten, sind zum Teil umfangreiche Nachrüstungen mit Bauteilen vonnöten, die eine zusätzliche Schutzfunktion erfüllen.
Funktionale Sicherheit und Maschinensicherheit
Funktionale Sicherheit ist auch für Maschinen und Anlagen relevant, da mit der zunehmenden Komplexität elektrischer oder programmierbarer elektronischer Systeme die Zahl der möglichen Fehlfunktionen steigt.
In Hinblick auf die Maschinensicherheit steht vor allem der Gesundheitsschutz der Mitarbeiter:innen im Fokus, die das Gerät bedienen.
Funktionale Sicherheit im Sinne bestimmter Anforderungen an die Sicherheitsfunktion(en) eines Systems ist zudem eine sogenannte Markteintrittsbarriere für den Europäischen Wirtschaftsraum: Produkte müssen diese Anforderungen nachweislich erfüllen und ihre Sicherheit muss, unter anderem in Form der CE-Kennzeichnung, offiziell bestätigt werden, bevor sie zugelassen und in Verkehr gebracht werden können.
Was ist der „Demand“ einer Schutzfunktion?
In der Funktionalen Sicherheit bezeichnet „Demand“ die Anforderung an eine technische Schutzfunktion. Die genaue Art dieser Anforderung liegt in der Schwere der (potenziellen) Gefährdung begründet, der die technische Schutzfunktion, gegebenenfalls in Kombination mit anderen Schutzfunktionen, entgegenwirken soll.
Unterschieden wird im Wesentlichen zwischen Sicherheitsfunktionen mit einem „Low Demand“ sowie solchen mit einem „High Demand“. Technische Sicherheitsfunktionen, an die niedrige Anforderungen (Low Demand) gestellt werden, müssen aufgrund der Beschaffenheit der Gefährdung nur selten (weniger als einmal im Jahr) aktiv werden. Technische Sicherheitsfunktionen mit hohen Anforderungen (High Demand) hingegen werden häufiger aktiv, das heißt mindestens einmal jährlich.
Sicherheitsfunktionen mit Low Demand oder High Demand unterscheiden sich dabei regulär nicht in ihrer Betriebsart, es wird ausschließlich die Häufigkeit bezeichnet, mit der die entsprechende Funktion aktiv wird.
„Fail-Safe-“ vs. „Fail-Operational”-Systeme
Die Funktionale Sicherheit eines Systems richtet sich immer nach der Funktion beziehungsweise den Funktionen, die das System regulär ausführt. Diese werden also zunächst ermittelt, idealerweise bereits in der Planungsphase des Produkts. Davon ausgehend können dann mögliche Fehlfunktionen sowie die Art und Weise, auf die das System diese behandeln muss, bestimmt werden.
In der Funktionalen Sicherheit wie auch in der allgemeinen Produktsicherheit wird zwischen zwei zentralen Systemkategorien unterschieden: sogenannten „Fail-Safe“-Systemen und, im Gegensatz dazu, „Fail-Operational“-Systemen.
Fail-Safe-Systeme zeichnen sich dadurch aus, dass sie im Falle einer (schwerwiegenden) Fehlfunktion einen sicheren und damit für die bedienenden Personen ungefährlichen Zustand erreichen, indem sie ausfallen, also ihre zentrale(n) Funktion(en) einstellen. Ein Beispiel dafür sind automatisierte Sägen und Pressen, die etwa bei Kontakt mit einer menschlichen Hand unmittelbar stoppen.
Fail-Operational-Systeme hingegen führen bei der Reaktion auf Fehlfunktionen ihre Grundoperation(en) weiterhin aus. Meist ergibt sich dies aus einer bloßen Notwendigkeit heraus: Eine Kühlvorrichtung etwa, die einen Motor vor dem Überhitzen schützt, darf einer Fehlfunktion nicht dadurch begegnen, dass sie sich einfach abstellt. Solche funktionserhaltenden Systeme sind in ihrem Aufbau häufig deutlich komplexer als einfache Fail-Safe-Systeme und kommen daher erst ab einem bestimmten Sicherheitsintegritätslevel (SIL) zum Einsatz. (Näheres dazu im nächsten Abschnitt „Was sagt der Safety Integrity Level aus?“.)
Was sagt der „Safety Integrity Level“ (SIL) aus?
Der „Safety Integrity Level“ (SIL, deutsch: Sicherheitsintegritätslevel) ist eine Einheit, die die Leistung und die Zuverlässigkeit der technischen Sicherheitsfunktionen eines Produkts in Form eines konkreten Werts angibt. Er ermöglicht dadurch eine differenzierte Betrachtung der Funktionalen Sicherheit eines Produkts und erleichtert die Festlegung bestimmter Sicherheitsstandards, die an einen spezifischen SIL gebunden sind.
Der Sicherheitsintegritätslevel ist in vier Stufen (SIL 1, 2, 3 und 4) gegliedert und ergibt sich aus der Kombination von vier Parametern: Dem Schadensausmaß (S), der Aufenthaltshäufigkeit (A), der Gefahrenabwehr (G) und der Eintrittswahrscheinlichkeit (W).
SIL und „Performance Level“ (PL): Wo liegt der Unterschied?
Der „Safety Integrity Level“ besitzt bei näherer Betrachtung eine auffällige Nähe zum „Performance Level“ (PL), einer weiteren Einheit, die den Umfang der technischen Sicherheitsfunktion(en) eines Produkts sowie deren Zuverlässigkeit angibt. Beide sind in mehrere Stufen unterteilt, ergeben sich aus der Kombination spezifischer (und obendrein sehr ähnlicher) Parameter der Maschinensicherheit und stellen die Grundlage für die Entscheidung über bestimmte Sicherheitsstandards und -maßnahmen dar.
Die beiden Kenngrößen sollten jedoch nicht miteinander verwechselt oder identisch verwendet werden: Der Performance Level stammt aus der Produktnorm DIN EN ISO 13849 für die Steuerungssicherheit von Maschinen, die mit der EU-Maschinenrichtlinie 2006/42/EG harmonisiert ist; er findet daher hauptsächlich Verwendung, wenn es konkret um die Sicherheit von Maschinen und Anlagen geht. Der Safety Integrity Level hingegen entstammt der Grundnorm DIN EN/IEC 61508 und betrifft die allgemeine Funktionale Sicherheit sicherheitsbezogener elektrischer und elektronischer beziehungsweise programmierbarer elektronischer Systeme.
Zusammenfassend lässt sich sagen, dass der Performance Level (PL) die Funktionale Sicherheit von Maschinen- und Anlagensteuerungen betrifft, während der Safety Integrity Level eine allgemeinere Größe ist und daher für die Funktionale Sicherheit programmierbarer Steuerungssysteme insgesamt herangezogen wird.
„Functional Safety“ und „Cyber Security“: Wo verläuft die Grenze?
Funktionale Sicherheit, insbesondere in ihrer Rolle für programmierbare elektronische Systeme wie zum Beispiel computerbasierte Maschinensteuerungen, nähert sich dem Wirkungsbereich eines anderen Sicherheitskonzepts: der „Cyber Security“. Hinzu kommt, dass im Deutschen der Unterschied zwischen „Funktionaler Sicherheit“ oder „Funktionssicherheit“ auf der einen Seite und „Cybersicherheit“ auf der anderen Seite noch weit geringer ausfällt.
Tatsächlich wirken Maßnahmen der Funktionalen Sicherheit und der Cyber Security häufig zusammen und greifen teils ineinander. Grundsätzlich kann jedoch festgehalten werden, dass beide Konzepte von unterschiedlichen Prämissen ausgehen: Während die Funktionale Sicherheit für programmierbare Systeme darauf abzielt, Fehler innerhalb dieser Systeme zu erkennen und nach Möglichkeit zu vermeiden, um die Anwender:innen der Systeme und deren Gesundheit zu schützen, steht bei der Cyber Security eher im Fokus, besagte Systeme gegen Störungen von außerhalb wie etwa Hacking abzusichern – ein Teilbereich, den die Funktionale Sicherheit nicht (vollständig) abdeckt. Außerdem umfasst die Funktionale Sicherheit für programmierbare elektronische Systeme (die sich weitestgehend dem gleichen Bereich widmet wie die Cybersicherheit) nur einen Teil des Gesamtkonzepts der Funktionalen Sicherheit, die sich auch auf nicht-programmierbare elektronische sowie elektrische Systeme erstreckt.
Gibt es rechtliche Vorgaben zur Funktionalen Sicherheit bei Maschinen?
Funktionale Sicherheit von Maschinen und Anlagen ist als Soll-Zustand selbst nicht gesetzlich vorgeschrieben. Es ergeben sich jedoch bestimmte (direkte und indirekte) Anforderungen an die Produktsicherheit und damit auch die Funktionale Sicherheit aus der Maschinenrichtlinie 2006/42/EG und den mit ihr harmonisierten (angeglichenen) Normen.
Die Maschinenrichtlinie 2006/42/EG fordert in ihrer aktuellen Fassung eine sogenannte Risikobeurteilung für Maschinen und Anlagen, die neu zugelassen werden sollen. Aus diesem Verfahren, das mehrere Schritte beinhaltet, ergeben sich unter anderem die Anforderungen an die Sicherheitsfunktionen des Produkts in Hinblick auf Umfang und Wirkungsweise. Diese Anforderungen werden in Form bestimm- und differenzierbarer Werte festgehalten: Dem Performance Level (PL) und dem Sicherheitsintegritätslevel (SIL). Die genauen Schritte und Elemente der Risikobeurteilung sind im Detail in der harmonisierten Norm EN ISO 12100 festgehalten.
Die Funktionale Sicherheit im engeren Sinne, also die Prüfung und Bewertung inhärenter technischer Sicherheitsfunktionen, wird durch die Grundnorm DIN EN/IEC 61508 („Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme“) sowie durch die Produktnormen DIN EN ISO 13849 („Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen“) und DIN EN 62061 („Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbar elektronischer Steuerungssysteme“) geregelt.
Kann die Funktionale Sicherheit überprüft werden?
Funktionale Sicherheit kann und soll auf verschiedene Arten geprüft werden. Dabei ist allerdings zu beachten, dass es sich bei der Prüfung der Funktionalen Sicherheit nicht um eine Ja/Nein-Frage handelt, sondern dass bestimmte Parameter und Werte (wie etwa der PL oder SIL) sowie Standards herangezogen werden, um die Effektivität der Funktionalen Sicherheit eines Produkts bestmöglich zu bestimmen.
Eine erste Überprüfung erfolgt bereits nach der Planungs- und Entwicklungsphase: Das finale Produkt, etwa eine fertig konstruierte Maschine oder Anlage, wird vor dessen Zulassung und Inbetriebnahme einer Risikobeurteilung unterzogen. Hier wird die Zuverlässigkeit der technischen Sicherheitsfunktionen in Form des PL oder SIL ermittelt, mit dem PLr oder dem für diesen Produkttyp vorgeschriebenen SIL validiert und, im Falle einer ausreichenden Leistung der Sicherheitsfunktionen, verifiziert.
Weiterhin kann die Funktionale Sicherheit eines Produkts von einem externen Dienstleister geprüft und zertifiziert werden, und das auch nach dessen Zulassung und Inbetriebnahme. Gerade für Maschinen und Systeme, die für die Personenbeförderung zuständig sind, erfolgt häufig eine Abnahme von externer Seite durch eine „benannte Stelle“ – das heißt eine private oder staatliche Prüfstelle, die dazu befugt ist, die Konformität und Sicherheit bestimmter Produktgruppen zu prüfen und zu zertifizieren. Staatliche Prüfstellen sind etwa das Kraftfahrtbundesamt, das Eisenbahnbundesamt oder die Flugsicherheitsbehörde.
Die externe Prüfung und Zertifizierung der Funktionalen Sicherheit hat auch aus juristischen Gründen ihren Sinn: Eine offizielle Zertifizierung der Produktsicherheit sowie insbesondere ein Nachweis, dass einschlägige harmonisierte Normen befolgt wurden, kann sich im Haftungsfall für den Hersteller deutlich mildernd auswirken.
Wie kann ich die Funktionale Sicherheit verbessern?
Die Sicherheitsfunktionen eines Produkts können unter Umständen nicht den durch die jeweils gültige Norm vorgeschriebenen Safety Integrity Level (SIL) oder Performance Level (PL) erreichen. In solchen Fällen sind weitere Maßnahmen nötig, damit das betreffende Produkt in der EU zugelassen wird und in Verkehr gebracht werden darf.
Eine Verbesserung der Funktionalen Sicherheit von Maschinen und Anlagen erfolgt meist über gezielte Nachrüstungen. Um diesen Bedarf möglichst genau zu bestimmen und den Umfang der Nachrüstungen nicht zu verfehlen, bietet es sich an, die im Zuge der Risikobeurteilung ermittelten Gefährdungen und ihre Risiken systematisch daraufhin zu überprüfen, ob jeweils die optimalen Maßnahmen zur Risikominimierung getroffen wurden. Gerade aus diesem Grund ist es wichtig, bei der Durchführung und Dokumentation der Risikobeurteilung besonders genau zu sein. Hierbei kann es sinnvoll sein, einen externen Dienstleister hinzuzuziehen, der bei der Risikobeurteilung unterstützend tätig wird oder diese selbst durchführt.
Gern erstelle ich Ihnen die Risikobeurteilung für Ihre Maschine oder Anlage zur Verbesserung der funktionalen Sicherheit.
- Was Importeure bei Maschinen aus dem Nicht-EU-Ausland beachten müssen - 4. September 2023
- Inbetriebnahme von Maschinen: wann ist der Zeitpunkt des Gefahrenübergangs? - 14. August 2023
- CE-Koordinator und HSE-Inspektor: wichtige Akteure im Zusammenspiel von Herstellern und Betreibern von Maschinen und Anlagen - 5. Juni 2023