Funktionale Sicherheit

Detaillierte Erklärung

Funktionale Sicherheit bezeichnet den Teil der Gesamtsicherheit eines Systems, der von der korrekten Funktion sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Systeme (E/E/PES) und ihrer Wechselwirkung mit anderen Subsystemen abhängt. Die international maßgebliche Mutternorm ist die IEC 61508 "Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme", die 1998 erstmals von der International Electrotechnical Commission veröffentlicht und 2010 in einer überarbeiteten Fassung mit 7 Teilen herausgegeben wurde; die deutsche Übernahme erfolgt als DIN EN 61508. Aus dieser horizontalen Grundnorm leiten sich branchenspezifische Anwendungsnormen ab: ISO 26262 für Straßenfahrzeuge, IEC 62061 sowie ISO 13849 für Maschinensicherheit, IEC 61511 für die Prozessindustrie, EN 50126 bis EN 50129 für Bahnanwendungen und IEC 62304 für Medizingeräte-Software. Verantwortliche Normungsgremien in Deutschland sind die DKE (Deutsche Kommission Elektrotechnik im DIN und VDE) sowie das DIN selbst.

Kernkonzept ist die quantitative Klassifikation in vier Sicherheits-Integritätslevel (Safety Integrity Level, SIL 1 bis SIL 4), wobei SIL 1 die niedrigste und SIL 4 die höchste Risikoreduktion verlangt; jede Stufe entspricht einem Faktor von 10 in der zulässigen Wahrscheinlichkeit gefährlicher Ausfälle pro Stunde (low demand: PFD von 10⁻¹ bis 10⁻⁵, high demand: PFH von 10⁻⁵ bis 10⁻⁹). Im Automotive-Bereich übersetzt ISO 26262 dieses Konzept in die ASIL-Klassen A bis D, im Maschinenbau verwendet ISO 13849 das parallele Performance-Level-Modell PL a bis PL e, IEC 62061 wiederum verwendet weiterhin SIL 1 bis SIL 3 und verweist für Embedded Software direkt auf IEC 61508. Beide Norm-Familien wurden 2021 grundlegend aktualisiert, um Digitalisierung, Cybersicherheit und Software-Engineering-Praktiken einzubeziehen. Die Bewertung der funktionalen Sicherheit umfasst stets vier Aspekte: Hardware-Architektur (Redundanz, Diagnoseabdeckung), Software-Architektur (deterministisches Verhalten), systematische Fehler (Entwicklungsprozess) und zufällige Fehler (Bauteilausfälle).

Praxisbeispiel (konkretes Einkaufsszenario)

Ein hessischer Sondermaschinenbauer mit 480 Beschäftigten beschafft 2026 für eine vollautomatisierte Lackierstraße bei einem Tier-1-Automobilzulieferer in Sachsen ein neues Sicherheitsschaltgerät zur Überwachung der zwölf Roboterzellen. Das Lastenheft vom 9. März 2026 verlangt für die Schutztürüberwachung Performance Level PL e nach DIN EN ISO 13849-1 sowie alternativ den Nachweis SIL 3 nach DIN EN 62061, da bei einem Versagen der Sicherheitsfunktion ein Mitarbeiter durch einen 6-Achs-Roboter mit 220 Kilogramm Tragkraft schwer verletzt werden könnte (Severity hoch, Häufigkeit hoch, Vermeidbarkeit gering). Der Einkauf vergleicht zwei Anbieter: Pilz aus Ostfildern bietet ein modulares Sicherheitssteuerungssystem mit TÜV-SÜD-Zertifikat nach DIN EN 61508-2 und DIN EN 62061 zum Stückpreis von 4.280 Euro, der Wettbewerber Sick aus Waldkirch ein vergleichbares System für 3.940 Euro mit Zertifikat nach ISO 13849-1. Die Differenz von 340 Euro pro Zelle multipliziert mit 12 Zellen ergibt 4.080 Euro pro Anlage, bei einem Jahresvolumen von 18 Anlagen summiert sich der Unterschied auf rund 73.000 Euro. Der Einkauf entscheidet sich für Pilz, weil dessen Sicherheitsbewertungs-Software PAScal das Performance-Level-Validierungsdokument für den TÜV-Abnahmeprozess automatisch erzeugt und damit etwa 6 Engineering-Tage pro Anlage einspart, was den Mehrpreis bereits bei 3 Anlagen amortisiert.

Typische Fehler & Verhandlungskontext

Der häufigste Fehler in der Beschaffung sicherheitsrelevanter Komponenten ist die isolierte Betrachtung der Komponente ohne Systemkontext: Ein SIL-3-zertifiziertes Sicherheitsrelais nützt wenig, wenn die zuführende Sensorik nur SIL 2 erreicht oder der Auswerteprozessor nicht qualifiziert ist – die Sicherheitsfunktion ist immer nur so stark wie ihr schwächstes Glied entlang der gesamten Sicherheitskette von Sensor über Logik bis Aktor. Ebenfalls oft unterschätzt wird die Tool-Qualifikation: Compiler, IDEs und Test-Frameworks, die in der Entwicklung sicherheitsbezogener Software eingesetzt werden, müssen nach IEC 61508-3 Anhang G klassifiziert und gegebenenfalls qualifiziert sein – ein nicht qualifizierter Open-Source-Compiler kann ein gesamtes SIL-Zertifikat invalidieren. Verhandlungsleverage hat der Einkauf bei der Frage, ob der Lieferant ein vollständiges Safety Manual und einen Functional Safety Assessment Report mitliefert; ohne diese Dokumente ist die Komponente in einer SIL-3- oder PL-e-Anwendung praktisch unbrauchbar, der Re-Zertifizierungsaufwand beim Anwender liegt typischerweise bei 25.000 bis 80.000 Euro. Wer als Maschinenbauer in den DACH-Raum exportiert, sollte vertraglich klären, welche Norm primär gilt: Die Maschinenrichtlinie 2006/42/EG und ihre Nachfolgerin Maschinenverordnung (EU) 2023/1230, gültig ab 14. Januar 2027, lassen die Wahl zwischen ISO 13849-1 und IEC 62061, die Wahl bestimmt jedoch Validierungsaufwand und Dokumentationstiefe maßgeblich. Vorsicht bei Bestandsanlagen über 15 Jahre: Eine wesentliche Veränderung im Sinne des § 14 Betriebssicherheitsverordnung (BetrSichV) löst regelmäßig die volle CE-Pflicht und damit die aktuelle Norm-Lage aus.

Verwandte Begriffe

ISO 26262 ist die automobil-spezifische Anwendungsnorm der funktionalen Sicherheit und übersetzt das SIL-Konzept der IEC 61508 in die ASIL-Stufen A bis D mit fahrzeugspezifischen Anforderungen an Hardware-Diagnose, Software-Architektur und HARA. Automotive SPICE liefert die Prozessreife-Bewertung, die in funktional-sicheren Software-Entwicklungen ab SIL 2 oder ASIL B faktisch erforderlich ist, weil systematische Fehler nur über kontrollierte Prozesse beherrschbar sind. IATF 16949 verankert die produktsicherheitsrelevanten Anforderungen organisationsweit im Qualitätsmanagementsystem von Tier-1-Lieferanten und ist die Grundlage für jede projektbezogene Sicherheitszertifizierung. Q-Vertrag Automotive regelt zwischen OEM und Lieferant die vertraglichen Pflichten zur Einhaltung sicherheitsbezogener Normen einschließlich Audit-Rechten und Haftungsregimen. Automotive verbindlicher Liefervertrag verknüpft die Erfüllung der funktionalen Sicherheitsanforderungen mit Serienfreigabe und Volumenzusage über die typischerweise 7- bis 10-jährige Modelllaufzeit eines Steuergeräts.