IndustryHub
LERNEN / NORMEN / IEC

IEC 61508

IEC 61508

Funktionale Sicherheit sicherheitsbezogener elektrischer / elektronischer / programmierbar elektronischer Systeme

IEC 61508 ist die grundlegende, branchenunabhängige Norm für die funktionale Sicherheit elektrischer, elektronischer und programmierbar elektronischer (E/E/PE) sicherheitsbezogener Systeme. Sie ist das Elternrahmenwerk, aus dem IEC 61511 (Prozess), IEC 62061 (Maschinen), ISO 26262 (Automobil), IEC 61513 (Nuklear) und EN 5012x (Bahn) abgeleitet werden.

Herausgeber
IEC
Family
Funktionale Sicherheit
Erstveröffentlichung
1998-2000
Letzte Revision
2010 (Ausgabe 2)
Nächste Revision
Ausgabe 3 in Entwicklung (geplant 2027-2028)
Status
current
Zugang
Kostenpflichtig (IEC Webstore — ~700 CHF für die 7 Teile)

Dokumentstruktur

IEC 61508-1

Allgemeine Anforderungen

Übergreifender Sicherheitslebenszyklus (16 Phasen), Management der funktionalen Sicherheit, Dokumentation, Kompetenz.

IEC 61508-2

Anforderungen an E/E/PE-sicherheitsbezogene Systeme

Hardware-Entwurfsanforderungen: architektonische Beschränkungen (Tabellen 2 + 3 — Typ A vs B), HFT/SFF, Diagnoseabdeckung, Common Cause Failure (β-Faktor).

IEC 61508-3

Softwareanforderungen

Software-Sicherheitslebenszyklus (V-Modell), Techniken je SIL (Anhang A/B Tabellen), Software-Sicherheitsintegritätslevel.

IEC 61508-4

Definitionen und Abkürzungen

Referenzvokabular — über 200 definierte Begriffe, durchgängig in IEC 61511 und anderen Sektor-Normen verwendet.

IEC 61508-5

Beispiele für Methoden zur Bestimmung der Sicherheitsintegritätsstufen

Risikobasierte, Gefahrenfall-Schweregradmatrix und quantitative Ansätze. Weitgehend abgelöst durch die Anhänge der Sektor-Normen (IEC 61511-3, ISO 13849-1).

IEC 61508-6

Anwendungsleitfaden zu IEC 61508-2 und IEC 61508-3

Die Referenz für PFD/PFH-Berechnung. Vereinfachte Gleichungen und Tabellen für Architekturen 1oo1, 1oo2, 2oo2, 1oo3, 2oo3. Der mathematische Motor jedes Werkzeugs der funktionalen Sicherheit — einschließlich des PFD-Moduls der [Functional Safety App](https://fs.industryhub.cloud).

IEC 61508-7

Übersicht über Techniken und Maßnahmen

Katalog der durch SIL-Tabellen in Teil 2 und 3 referenzierten Techniken (z.B. 'Fehlererkennung durch Online-Monitoring', 'Statische Analyse', 'Defensive Programmierung').

Schlüsselbegriffe

Elektrisches / Elektronisches / Programmierbar elektronisches System(E/E/PE)
Jedes technologiebasierte sicherheitsbezogene System: Relaislogik (E), diskrete Logik (E), mikroprozessor- oder FPGA-basiert (PE). Schließt rein mechanische oder pneumatische Sicherheitseinrichtungen aus, die unter andere Normen fallen.
Safety Integrity Level(SIL)
Diskrete Stufe (1 bis 4), hier zum ersten Mal definiert. SIL 1 ≈ 90-99 % Verfügbarkeit, SIL 4 ≈ 99,99-99,999 %. Jeder Sektor übernahm diese Stufen mit eigener Mode/Architektur-Interpretation.
Low Demand Mode vs High Demand / Continuous Mode
Kritische Unterscheidung in IEC 61508-4. Low Demand (Anforderungsrate < 1/Jahr, z.B. Prozess-Tripsystem) → Metrik ist PFDavg. High Demand oder Continuous Mode (z.B. Maschinenbremse) → Metrik ist PFH (Probability of dangerous Failure per Hour).
Probability of Failure on Demand(PFD / PFDavg)
Für Low Demand Mode. SIL 1: 10⁻² ≤ PFD < 10⁻¹; SIL 2: 10⁻³ ≤ PFD < 10⁻²; SIL 3: 10⁻⁴ ≤ PFD < 10⁻³; SIL 4: 10⁻⁵ ≤ PFD < 10⁻⁴.
Probability of dangerous Failure per Hour(PFH)
Für High Demand / Continuous Mode. SIL 1: 10⁻⁶ ≤ PFH < 10⁻⁵ pro Stunde; SIL 2: 10⁻⁷ ≤ PFH < 10⁻⁶; SIL 3: 10⁻⁸ ≤ PFH < 10⁻⁷; SIL 4: 10⁻⁹ ≤ PFH < 10⁻⁸.
Typ A vs Typ B Subsystem
Typ A (Klausel 7.4.4.1.2): alle Ausfallmodi gut definiert, vorhersagbares Verhalten bei Ausfall, ausreichende Felddaten. Typ B = komplexer (Mikroprozessoren, Software). Tabellen 2 (Typ A) und 3 (Typ B) definieren HFT- und SFF-Anforderungen je SIL — Typ B ist strenger.
Hardware Fault Tolerance(HFT)
Anzahl der Ausfälle, die das Subsystem tolerieren kann, während es seine Sicherheitsfunktion erfüllt. HFT=0 → 1oo1 (jeder Fehler deaktiviert die Funktion); HFT=1 → 1oo2 oder 2oo3 (ein Fehler tolerabel); HFT=2 → 1oo3, 2oo4.
Safe Failure Fraction(SFF)
SFF = (λSD + λSU + λDD) / λtot. Anteil der Ausfälle, die sicher (S) oder gefährlich-aber-detektiert (DD) sind. Hohes SFF → Diagnosen erfassen die meisten gefährlichen Ausfälle, bevor sie akkumulieren.
Diagnostic Coverage(DC)
Anteil der durch eingebaute Diagnose erkannten gefährlichen Ausfälle. DC=99 % bedeutet, dass automatisierte Tests 99 von 100 gefährlichen Ausfällen aufdecken. Hohes DC reduziert die effektive gefährliche Ausfallrate.
Common Cause Failure(CCF / β-Faktor)
Wenn redundante Kanäle aus derselben Ursache ausfallen (Feuer, EMV, gemeinsamer Fertigungsfehler, Software-Bug). Modelliert mit β-Faktor (typisch 2-10 %). β=10 % bedeutet, dass 10 % der gefährlichen Ausfälle gleichzeitig in allen redundanten Kanälen auftreten — degradiert den Redundanzvorteil drastisch.
Element / Subsystem
Hierarchische Zerlegung: ein Element ist ein Basis-Baustein (Sensor, Ventil), ein Subsystem bündelt Elemente zu einer Funktionseinheit (Eingangs-Subsystem = Sensor + Signalkonditionierung). PFD/PFH wird auf Subsystem-Ebene berechnet.
Wiederholungsprüfung(PT)
Periodische vollständige Funktionsprüfung, die das Subsystem in den 'as-good-as-new'-Zustand zurückversetzt. Das Prüfintervall T1 beeinflusst PFDavg im Low-Demand-Mode direkt. Unvollständige Prüfabdeckung (PTC < 100 %) → Resterfaultmodi akkumulieren.

Notes & guidance

Die Großmutter-Norm

IEC 61508 ist die horizontale Norm der funktionalen Sicherheit — sie gilt für keine Branche im Besonderen und gleichzeitig für alle. Veröffentlicht 1998-2000 als 7-teiliges Dokument, 2010 überarbeitet, schuf sie das SIL-Rahmenwerk, das die gesamte Sicherheitsindustrie heute nutzt.

Jeder Sektor schrieb dann seine eigene vertikale Norm, die IEC 61508 an ihre Besonderheiten anpasst:

Vertikaler SektorSektor-NormUnterschiede zu IEC 61508
ProzessindustrieIEC 61511LOPA, Risikograph, Betrieb + MOC-Fokus
MaschinenIEC 62061 + ISO 13849-1High-Demand-Mode dominant, PL ↔ SIL Mapping
AutomobilISO 26262ASIL A-D statt SIL, gefahrengetrieben statt risikogetrieben
BahnEN 50126 / 50128 / 50129THR-Rahmenwerk (Tolerable Hazard Rate)
NuklearIEC 61513Defense in Depth, sehr präskriptiv
MedizinIEC 62304 (softwarezentriert)SoftRel + IEC 60601 Mix

Wann IEC 61508 direkt lesen (vs nur Ihre Sektor-Norm)

In der täglichen Arbeit in der Prozessindustrie zitieren Sie meistens IEC 61511. Aber 4 Situationen machen IEC 61508 zur direkten Referenz:

  1. Sie sind Hersteller von Sicherheitskomponenten. Sie müssen nach IEC 61508-2 (Hardware) und IEC 61508-3 (Software) zertifiziert sein. Ihre Datenblätter führen “Typ B SIL 3 fähig nach IEC 61508-2” — nicht nach IEC 61511.

  2. Sie entwerfen eigene Sicherheitslogik. Wenn Ihr SIS eine kundenspezifische Mikrocontrollerplatine enthält oder Sie sicherheitsbezogene Software schreiben (mehr als nur Konfiguration), sind die Teile -2 und -3 verpflichtend.

  3. Sie machen die tatsächliche PFD-Mathematik. Die vereinfachten Gleichungen und Markov-Referenzfälle leben in IEC 61508-6. Der PFD-Engine der Functional Safety App implementiert exakt diese Formeln.

  4. Sie arbeiten in einem Sektor ohne eigene Norm (einige aufstrebende Felder — Wasserstoffspeicherung, große Batteriespeicher, gewisse Erneuerbare). Dann ist IEC 61508 selbst Ihre Referenz.

Der 16-Phasen-Lebenszyklus (identisch zu IEC 61511)

1. Konzept
2. Übergreifende Geltungsbereichsdefinition
3. Gefahren- und Risikoanalyse
4. Übergreifende Sicherheitsanforderungen
5. Zuweisung der Sicherheitsanforderungen
6. Übergreifende Planung (Betrieb/Instandhaltung, Validierung, Installation, Inbetriebnahme)
7. Entwurf und Entwicklung des sicherheitsbezogenen Systems: E/E/PE
8. Entwurf: andere Technologien
9. Entwurf: externe Risikoreduktionseinrichtungen
10. Installation und Inbetriebnahme
11. Übergreifende Sicherheitsvalidierung
12. Betrieb, Instandhaltung, Reparatur
13. Modifikation und Nachrüstung
14. Stilllegung oder Entsorgung
15. Verifikation (querschnittlich)
16. Functional Safety Management und Assessment (querschnittlich)

IEC 61511 vereinfacht und ordnet diese Phasen in einem eigenen Lebenszyklus, aber das Rückgrat ist dasselbe.

Die berühmten IEC-61508-6-Tabellen

Die meisten Ingenieure lesen die Teile 1-5 nie von Anfang bis Ende. IEC 61508-6 ist die, die täglich verwendet wird. Sie enthält:

  • Anhang B: Referenzarchitekturen mit expliziten PFD-Formeln
    • B.2: 1oo1 — Einkanal
    • B.3: 1oo2 — Zwei parallele Kanäle, Vote 1 (am häufigsten SIL 2/3)
    • B.4: 2oo2 — Beide müssen funktionieren
    • B.5: 1oo2D — 1oo2 mit Diagnose (degradierter Modus)
    • B.6: 2oo3 — Vote 2 von 3 (hohe Verfügbarkeit + hohe Integrität)
  • Anhang C: Common-Cause-Failure-Modell (β- und βD-Faktoren)
  • Anhang D: Querverweis Software-Techniken-Tabellen

Das Architecture PFD-Werkzeug in der Functional Safety App implementiert alle fünf Referenzarchitekturen, plus konfigurierbare Wiederholungsprüfungsabdeckung, MTTR und β-Faktor.

Ausgabe 3 — was kommt (2027-2028)

Das IEC SC 65A Komitee arbeitet an Ausgabe 3. Bisherige öffentliche Verpflichtungen:

  • Bessere Integration mit Cybersicherheit (IEC 62443) — explizite Klauseln zu Sicherheitsbedrohungen für Sicherheitsfunktionen
  • Leitfaden für KI/Machine-Learning-Komponenten (derzeit nicht behandelt)
  • Aktualisierte Software-Techniken-Tabellen für moderne Sprachen und Toolchains
  • Engere Abstimmung mit Sektor-Normen (61511, 62061, 26262), um Duplikation zu reduzieren

Mitte 2026 noch kein festes Veröffentlichungsdatum. Die aktuelle Ausgabe (2010) bleibt die aktive normative Referenz.

Betroffene Branchen

  • Branchenunabhängig (Elternnorm)
  • Prozessindustrie → siehe IEC 61511
  • Maschinen → IEC 62061 + ISO 13849
  • Automobil → ISO 26262
  • Bahn → EN 50128 / EN 50129 / EN 50126
  • Nuklear → IEC 61513
  • Medizin → IEC 62304
  • Luftfahrt → DO-178C / DO-254 (verwandtes Rahmenwerk)

Zugehörige Werkzeuge

Zugehörige Apps

Verwandte Normen

Referenzen & Vertiefung