Wer Maschinen oder Anlagen in der EU in Verkehr bringt, muss im Rahmen des Konformitätsbewertungsverfahrens nachweisen, dass die einschlägigen Sicherheits- und Gesundheitsschutzanforderungen erfüllt sind. Sobald Schutzfunktionen durch Steuerungen realisiert werden, ist die Funktionale Sicherheit ein zentraler Bestandteil des Sicherheitskonzepts. Sicherheitsfunktionen müssen dann eindeutig definiert, technisch korrekt umgesetzt sowie verifiziert und validiert werden. Maßgeblich sind dabei insbesondere die Normen EN ISO 13849 und EN IEC 62061. Diese Aufgaben setzen eine belastbare fachliche Kompetenz voraus. Eine Qualifikation wie der Functional Safety Engineer kann diese Fachkunde nachvollziehbar belegen.
Was ist ein Functional Safety Engineer?
Ein Functional Safety Engineer (FS-Engineer) ist eine Fachkraft mit vertieften Kenntnissen in der funktionalen Sicherheit von Maschinen und Anlagen. Im Mittelpunkt stehen sicherheitsbezogene Steuerungsfunktionen, also beispielsweise Not-Halt, Schutztürüberwachung, sichere Stillsetzung, sichere Geschwindigkeitsüberwachung oder Zweihandsteuerungen.
In der Praxis geht es nicht nur darum, einzelne Sicherheitskomponenten auszuwählen. Entscheidend ist, dass die komplette Sicherheitsfunktion im Zusammenhang verstanden, spezifiziert, technisch umgesetzt, rechnerisch bewertet und abschließend validiert wird. Genau an dieser Stelle schafft ein Functional Safety Engineer Struktur, Nachweisfähigkeit und technische Belastbarkeit.
Warum Funktionale Sicherheit im Maschinenbau so wichtig ist
Moderne Maschinen werden heute in weiten Teilen über Steuerungen abgesichert. Trennende Schutzeinrichtungen allein reichen häufig nicht mehr aus. Lichtvorhänge, Zuhaltungen, Schaltmatten, Not-Halt-Kreise, sichere Antriebsfunktionen oder berührungslos wirkende Schutzeinrichtungen sind nur dann wirksam, wenn die zugehörige Steuerungsfunktion im Fehlerfall zuverlässig reagiert.
Hier setzen EN ISO 13849 und EN IEC 62061 an. Beide Normen liefern den methodischen Rahmen, um sicherheitsbezogene Steuerungsfunktionen systematisch zu bewerten. In der Praxis geschieht das über den Performance Level (PL) nach EN ISO 13849 oder den Safety Integrity Level (SIL) nach EN IEC 62061.
Für Maschinenhersteller ist das von zentraler Bedeutung: Eine Sicherheitsfunktion darf nicht nur auf dem Papier plausibel wirken. Sie muss technisch so ausgelegt sein, dass sie die aus der Risikobeurteilung abgeleiteten Anforderungen tatsächlich erfüllt. Andernfalls drohen nicht nur Sicherheitslücken, sondern auch erhebliche Probleme im Konformitätsbewertungsverfahren, bei Abnahmen, im Haftungsfall oder gegenüber Marktüberwachungsbehörden.
FuSi ist eines der Grundprinzipien der Maschinensicherheit. Wir erörtern im Blog, wozu Funktionale Sicherheit dient, welche Rolle der Safety Integrity Level (SIL) spielt und welche rechtlichen Vorgaben es gibt.
Was ein Functional Safety Engineer konkret für Maschinenhersteller leistet
1. Ableitung der Sicherheitsfunktionen aus der Risikobeurteilung
Grundlage ist die Risikobeurteilung nach EN ISO 12100. Aus ihr werden die erforderlichen Schutzmaßnahmen und – soweit steuerungstechnische Maßnahmen notwendig sind – die konkreten Sicherheitsfunktionen abgeleitet.
Dabei geht es nicht nur um die Frage, ob eine Gefahr besteht, sondern auch darum, welche Sicherheitsfunktion erforderlich ist und welches Anforderungsniveau diese erfüllen muss. Bei EN ISO 13849 erfolgt dies typischerweise über den Risikographen anhand der Parameter:
- Schwere möglicher Verletzungen
- Häufigkeit bzw. Dauer der Exposition
- Möglichkeit zur Vermeidung oder Begrenzung des Schadens
Das Ergebnis ist der erforderliche Performance Level PLr. In Projekten nach EN IEC 62061 wird entsprechend ein erforderlicher SIL bzw. ein Zielwert für die Sicherheitsfunktion bestimmt.
2. Erstellung einer belastbaren Sicherheitsanforderung
Bevor gerechnet oder ausgewählt wird, muss die Sicherheitsfunktion fachlich sauber beschrieben sein. Dazu gehören unter anderem:
- auslösendes Ereignis
- sichere Reaktion der Maschine
- Reaktionszeit
- Betriebsartenbezug
- Rücksetzverhalten
- Diagnoseanforderungen
- Schnittstellen zu anderen Steuerungsfunktionen
Diese Spezifikation ist in vielen Projekten der entscheidende Qualitätsfaktor. Wenn die Sicherheitsfunktion unscharf beschrieben ist, sind spätere Berechnungen zwar formal möglich, technisch aber wenig belastbar.
3. Bewertung und Auslegung der sicherheitsbezogenen Steuerungsarchitektur
Auf Basis der Sicherheitsanforderung wird die konkrete Steuerungsarchitektur entwickelt oder bewertet. Dazu gehören beispielsweise:
- Struktur der Sicherheitsfunktion
- Kategorie bzw. Architekturprinzip
- MTTF_d-Werte
- Diagnosedeckungsgrad (DC)
- Maßnahmen gegen Fehler gemeinsamer Ursache (CCF)
- Berücksichtigung systematischer Fehler
- Einbindung sicherer Antriebsfunktionen oder sicherer Steuerungen
Das Ziel ist nicht nur eine rechnerisch ausreichende Lösung, sondern eine in der Praxis robuste und nachvollziehbare Sicherheitsarchitektur.
4. Rechnerischer Nachweis, z. B. mit SISTEMA
Für Nachweise nach EN ISO 13849 wird in der Praxis häufig SISTEMA verwendet. Das Tool unterstützt die strukturierte Bewertung von Sicherheitsfunktionen und erleichtert die rechnerische Herleitung des erreichten Performance-Levels.
Ein Functional Safety Engineer erstellt oder prüft entsprechende Berechnungen, bewertet Herstellerdaten sicherheitsgerichteter Komponenten und achtet darauf, dass die angesetzten Werte technisch und normativ zusammenpassen.
Wichtig ist dabei: Das Tool ersetzt nicht die fachliche Beurteilung. Es unterstützt den Nachweis, aber nicht die Verantwortung für die richtige Sicherheitsfunktion.
5. Verifikation und Validierung der Sicherheitsfunktionen
Eine Sicherheitsfunktion ist erst dann fachlich belastbar abgeschlossen, wenn sie nicht nur ausgelegt, sondern auch geprüft wurde.
Dabei ist zu unterscheiden zwischen:
- Verifikation: Wurde die Sicherheitsfunktion korrekt entworfen und rechnerisch richtig umgesetzt?
- Validierung: Erfüllt die reale Sicherheitsfunktion an der Maschine tatsächlich den vorgesehenen Sicherheitszweck?
Zur Validierung gehören unter anderem:
- Prüfung der Signalwege
- Prüfung der Fehlerreaktionen
- Prüfung des Rücksetzens
- Prüfung verschiedener Betriebsarten
- Prüfung an Schnittstellen zu übergeordneten oder benachbarten Funktionen
- Dokumentation der Prüfergebnisse
Gerade hier trennt sich formale Dokumentation von tatsächlicher funktionaler Sicherheit.
6. Unterstützung bei Umbauten, Retrofits und Gesamtheiten von Maschinen
Besonders anspruchsvoll wird die funktionale Sicherheit bei:
- Maschinenumbauten
- Retrofit-Projekten
- importierten Maschinen
- verketteten Anlagen
- Gesamtheiten von Maschinen mit mehreren Beteiligten
In solchen Fällen entstehen Risiken oft an den Schnittstellen. Einzelmaschinen mögen für sich betrachtet plausibel erscheinen, im Zusammenspiel entstehen jedoch neue Gefährdungen, neue Betriebsarten oder widersprüchige Sicherheitsreaktionen.
Ein Functional Safety Engineer hilft hier, die übergreifenden Sicherheitsfunktionen sauber zu definieren und die Verantwortlichkeiten technisch nachvollziehbar abzugrenzen.
Typische Ergebnisse der Arbeit
Für Maschinenhersteller entstehen durch diese Tätigkeit unter anderem folgende Ergebnisse:
- Anzahl, Art und Ausführung der Sicherheitsfunktionen
- dokumentierte PLr- oder SIL-Anforderungen
- belastbare Architekturentscheidungen
- SISTEMA- oder gleichwertige Nachweise
- Prüf- und Validierungsunterlagen
- verwertbare Unterlagen für technische Dokumentation und Konformitätsbewertung
- höhere Sicherheit bei internen Freigaben, Kundenabnahmen und externen Prüfungen
Häufige Fragen zum Functional Safety Engineer
Neben dem Functional Safety Engineer gibt es weitere anerkannte Qualifikationen im Umfeld der funktionalen Sicherheit und Maschinensicherheit, zum Beispiel den Functional Safety Technician, den Functional Safety Expert, den Certified Machinery Safety Expert (CMSE®) sowie internationale Personenzertifizierungen wie CFSP oder CFSE. Dabei handelt es sich in der Regel nicht um akademische Abschlüsse, sondern um spezifische Weiterbildungs- und Zertifizierungsnachweise.
Funktionale Sicherheit beschreibt die Fähigkeit einer Maschine oder Anlage, auf Signale, Zustände oder Fehler so zu reagieren, dass Menschen nicht gefährdet werden. Es geht also um die Frage, ob sicherheitsbezogene Steuerungen ihre Schutzfunktion zuverlässig erfüllen. Funktional sicher bedeutet: Sicherheitsfunktionen werden unter normalen/ungestörten Bedingungen oder je nach umgesetzten PL / SIL unter Fehlerbedingungen ausgeführt.
Die Sicherheitsintegrität beschreibt, wie zuverlässig eine Sicherheitsfunktion ihre Schutzaufgabe erfüllt. Sie bewertet also, mit welcher Sicherheit ein sicherheitsbezogenes System im Anforderungsfall korrekt reagiert. Im Maschinenbau wird das je nach Norm z. B. über SIL oder Performance Level (PL) beschrieben.
Die Sicherheitsintegrität hat eine quantitative und eine qualitative Seite. Sie hängt also nicht nur von Ausfallwahrscheinlichkeiten ab, sondern auch von Dingen wie: Struktur/Architektur, Hardware-Zuverlässigkeit, Beherrschung systematischer Fehler, z. B. in Software oder Entwicklung.
Beide Normen sind miteinander kompatibel, harmonisiert und können Anwendungsunabhängig gewählt werden. Der Zusammenhang von PL und SIL wird in den jeweiligen Normen quantitativ niedergelegt.
Die Praxis zeigt jedoch, dass im konventionellen Maschinenbau oft auf die EN ISO 13849-1 Bezug genommen wird. Die EN IEC 62061 findet oft Anwendung bei komplexen verketteten Anlagen oder in der Prozesstechnik.
Warum diese Kompetenz für Hersteller wirtschaftlich relevant ist
Funktionale Sicherheit ist nicht nur ein Sicherheitsthema. Sie ist auch ein Organisations-, Qualitäts- und Haftungsthema. Fehler in Sicherheitsfunktionen führen in der Praxis häufig zu:
- Verzögerungen bei Inbetriebnahmen
- Nacharbeiten an Hardware und Software
- Problemen bei der CE-Dokumentation
- Diskussionen mit Kunden, Integratoren oder Prüfern
- erhöhtem Haftungsrisiko im Schadensfall
Je früher ein Functional Safety Engineer eingebunden ist, desto besser lassen sich solche Probleme vermeiden. Besonders wirtschaftlich ist die frühe Einbindung in der Konzept- und Konstruktionsphase.
Fazit zum Thema Functional Safety Engineer
Ein Functional Safety Engineer sorgt dafür, dass Sicherheitsfunktionen an Maschinen nicht nur vorhanden, sondern fachlich sauber hergeleitet, technisch korrekt umgesetzt und nachvollziehbar dokumentiert sind. Für Maschinenhersteller ist diese Kompetenz immer dann relevant, wenn steuerungstechnische Schutzmaßnahmen Teil der Maschine oder Anlage sind.
Funktionale Sicherheit ist damit kein Spezialthema am Rand des Projekts, sondern ein zentraler Bestandteil einer belastbaren technischen und rechtlichen Absicherung im Maschinenbau.
Sie haben Fragen zur Funktionalen Sicherheit Ihrer Maschinen oder möchten eine SISTEMA-Berechnung durchführen lassen? Sprechen Sie uns an – wir beraten Sie gerne.
