ISO 13849

Sicherheit von Maschinen / Sicherheitsbezogene Teile von Steuerungen

ISO 13849 ist die internationale Norm für die Gestaltung sicherheitsbezogener Teile von Steuerungen (SRP/CS) für Maschinen. Sie definiert das Performance-Level-Rahmenwerk (PL a-e), eine Alternative zum SIL-Ansatz der IEC 62061 für den Maschinensektor.

Herausgeber: ISO
Family: Funktionale Sicherheit
Erstveröffentlichung: 1999
Letzte Revision: 2023 (Ausgabe 4 für Teil 1; Teil 2 überarbeitet 2012)
Nächste Revision: Stabil — kleinere Revisionen in aktiver Pflege
Status: current
Zugang: Kostenpflichtig (ISO Store — ~200 CHF für die 2 Teile)

Dokumentstruktur

ISO 13849-1

Sicherheitsbezogene Teile von Steuerungen — Teil 1: Allgemeine Gestaltungsleitsätze

Definiert die PL-Bestimmungsmethode (Risikograph), Kategorie 1-4 Architekturen, MTTFD und DCavg Quantifizierung, Common-Cause-Failure CCF Score. Anhang A ist der berühmte Risikograph. Anhang K (informativ) mappt PL ↔ SIL.

ISO 13849-2

Sicherheitsbezogene Teile von Steuerungen — Teil 2: Validierung

Validierungsprozess: Testpläne, Fehlerlisten je Technologie (elektrisch, elektronisch, programmierbar, Fluidtechnik, mechanisch), Verifikation von Fehlerausschlüssen.

Schlüsselbegriffe

Sicherheitsbezogener Teil einer Steuerung(SRP/CS): Der Teil der Maschinensteuerung, der Sicherheitsfunktionen erfüllt — z.B. Verriegelungs-Türschalter + Sicherheitsrelais + Schütz + Not-Halt-Taster. Gleicher Geltungsbereich wie ein SIS in der Prozessindustrie, anderes Vokabular.
Performance Level(PL): Die Schlüsselmetrik der Norm. PL a (niedrigste) bis PL e (höchste). Jeder PL entspricht einem PFHD-Bereich: PL a: 10⁻⁵ ≤ PFHD < 10⁻⁴; PL b: 3·10⁻⁶ ≤ PFHD < 10⁻⁵; PL c: 10⁻⁶ ≤ PFHD < 3·10⁻⁶; PL d: 10⁻⁷ ≤ PFHD < 10⁻⁶; PL e: 10⁻⁸ ≤ PFHD < 10⁻⁷.
Kategorie(Cat): Architektonische Klassifizierung (5 Stufen) definiert in ISO 13849-1 Klausel 6: Cat B (Basis — keine Fehlertoleranz), Cat 1 (bewährte Komponenten), Cat 2 (periodische Prüfung), Cat 3 (einfehlertolerant), Cat 4 (einfehlertolerant mit hoher Diagnoseabdeckung).
Erforderlicher Performance Level(PLr): Der PL, den die SRP/CS erreichen muss, um ausreichende Risikoreduktion zu bieten. Bestimmt über den **Risikograph in Anhang A** basierend auf Schwere (S1/S2), Häufigkeit der Exposition (F1/F2) und Möglichkeit der Vermeidung (P1/P2).
Mean Time To Dangerous Failure(MTTFD): Pro Kanal, nicht pro System. Kategorisiert als Niedrig (3-10 Jahre), Mittel (10-30 Jahre) oder Hoch (30-100 Jahre). 100 Jahre ist die Obergrenze — höhere Ansprüche werden nicht anerkannt.
Durchschnittliche Diagnoseabdeckung(DCavg): Anteil der durch Diagnose erkannten gefährlichen Ausfälle, gemittelt über Kanäle. Kategorisiert als None (< 60 %), Low (60-90 %), Medium (90-99 %) oder High (≥ 99 %).
Common Cause Failure Score(CCF): Tabellierte Checkliste in Anhang F (15 Fragen, jede 5-25 Punkte wert). Score ≥ 65/100 erforderlich, um Redundanz anrechnen zu können. Wenn CCF < 65, wird die Architektur als nicht-redundant behandelt.
PL ↔ SIL Mapping: Informative Korrespondenz (Anhang K von ISO 13849-1). Cat 4 + DC ≥ 99 % ↔ PL e ↔ SIL 3. Cat 3 + DC 90-99 % ↔ PL d ↔ SIL 2. Cat 3 + DC 60-90 % ↔ PL c ↔ SIL 1. Zur Schnittstellengestaltung von ISO-13849-Designs mit IEC-61508-zertifizierten Komponenten.
Fehlerausschluss: Argument, dass ein bestimmter Ausfallmodus aufgrund von Design, Materialien oder Betriebsbedingungen unwahrscheinlich ist. Dokumentiert nach den Anhang-Tabellen von ISO 13849-2. Muss technisch gerechtfertigt sein — kein Freibrief, um Ausfälle zu ignorieren.

Notes & guidance

Die andere Norm der funktionalen Sicherheit

Wenn IEC 61508 der Großvater und IEC 61511 die Prozessindustrie-Adaption ist, ist ISO 13849 der Maschinen-Cousin — gleiche Familie, andere Philosophie.

In Maschinen (Schweißroboter, Verpackungslinien, Werkzeugmaschinen, Pressen) operieren Sicherheitsfunktionen typischerweise:

Im High-Demand-Modus (Tür mehrmals pro Schicht geöffnet, Not-Halt häufig geprüft)
Verwenden häufiger elektromechanische Komponenten (Sicherheitsrelais, Schütze, Positionsschalter)
Unterliegen der Maschinenrichtlinie 2006/42/EG (EU), die ISO 13849 oder IEC 62061 als harmonisierte Normen vorschreibt

ISO 13849 entschied sich, Integrität als Performance Level (PL a-e) auszudrücken, statt SIL 1-4 von IEC 61508 wiederzuverwenden. Die Metrik ist nur PFHD (Probability of dangerous Failure per Hour) — es gibt kein PFDavg-Äquivalent für Low-Demand. Das liegt daran, dass Maschinensicherheitsfunktionen typischerweise kontinuierlich oder mit hoher Rate angefordert werden.

Der PL-Bestimmungsablauf (Anhang A)

                Schwere
              S1 (leicht) ─── PL a
              S2 (schwer)
                 │
        ┌────────┴───────┐
   F1 (selten)       F2 (häufig)
        │                 │
   P1: vermeidbar   P1: vermeidbar
        ↓               ↓
      PL b            PL c
   P2: kaum         P2: kaum
        ↓               ↓
      PL c            PL d
                      F2 + P2 + irreversibel
                      ↓
                    PL e

Ein einfacherer Entscheidungsbaum als LOPA in IEC 61511. Funktioniert, weil Maschinensicherheitsrisiken meist standardisierter sind (ein scharfes bewegliches Teil, eine Presse, eine elektrische Stoßzone) als Prozessanlagenrisiken.

Cat + DCavg + MTTFD → PL

Der erreichte PL wird durch eine 3D-Matrix bestimmt (Klausel 4.5.4 von Teil 1):

MTTFD pro Kanal	Cat B / 1, DC=none	Cat 2, DC=low	Cat 2, DC=medium	Cat 3, DC=low	Cat 3, DC=medium	Cat 4, DC=high
Niedrig (3-10 J.)	PL a	PL b	PL c	PL c	PL d	–
Mittel (10-30 J.)	PL b	PL c	PL d	PL d	PL d	–
Hoch (30-100 J.)	PL c	PL d	PL d	PL d	PL e	PL e

In der Praxis erreicht eine typische Cat-3-Sicherheitstür (zwangsgeführte Kontakte + redundante Eingänge + zweikanaliges Sicherheitsrelais) leicht PL d mit zertifizierten Standardkomponenten. PL e erfordert eine Cat-4-Architektur (volle Diversität in manchen Implementierungen) und konsistent hohe DC > 99 %.

Die β-Faktor / CCF Frage

ISO 13849 behandelt CCF anders als IEC 61508:

IEC 61508 / 61511: expliziter β-Faktor (typisch 2-10 %) in der PFD-Gleichung multipliziert
ISO 13849: binärer Check über Anhang-F-Checkliste (65/100 Minimum). Bei Bestehen wird Redundanz voll anerkannt. Bei Nichtbestehen wird Redundanz ignoriert.

Die Checkliste bewertet Punkte wie: physikalische Trennung, diverse Technologie, EMV-Qualifizierung, identische Wartungsprozeduren usw. Die meisten gut konstruierten Cat-3-/Cat-4-Systeme bestehen leicht.

SISTEMA — das inoffizielle Standardtool

Das IFA (DGUV, Deutschland) veröffentlicht SISTEMA, ein kostenloses Desktop-Tool, das den vollständigen ISO-13849-1-Berechnungsablauf implementiert. Es ist das De-facto-Industrietool, unterstützt von allen großen Sicherheitsherstellern (Pilz, Sick, Schmersal, Siemens), die Komponentendatenbibliotheken bereitstellen, die direkt in SISTEMA importierbar sind.

Unser PFD ↔ SIL Rechner deckt die IEC-61511-Seite ab. Für reines Maschinendesign in PL-Begriffen ist der SISTEMA-Workflow schwer zu schlagen — wir werden ihn nicht duplizieren; wir verlinken wahrscheinlich darauf und ergänzen mit konzeptioneller Schulung.

Warum zwei Maschinen-Normen (ISO 13849 + IEC 62061)?

Historischer Zufall. Beide sind unter der Maschinenrichtlinie 2006/42/EG harmonisiert:

ISO 13849 stammt aus der Tradition Maschinenbau / DIN
IEC 62061 ist die Maschinenanpassung von IEC 61508 (verwendet SIL-Sprache)

Beide sind gültig. In der Praxis dominiert ISO 13849 Europa für typische Maschinen (ihre Werkzeuge und Komponenten-Zertifizierungen sind weit verbreitet). IEC 62061 wird häufiger bei komplexen Maschinen mit signifikantem programmierbarem elektronischem Inhalt verwendet (Mehrachsen-CNC, große Verpackungslinien).

Es gibt laufende Arbeiten, sie in einer zukünftigen gemeinsamen Revision zu konvergieren — IEC/ISO 17305 war das vorgeschlagene fusionierte Dokument, aber es liegt auf Eis. Derzeit wählen Konstrukteure eine und bleiben dabei.

Beziehung zu anderen Normen

IEC 61508: Eltern. ISO 13849 übernimmt die PFH-Metrikstruktur, organisiert aber das SIL-Äquivalent in PL um.
IEC 62061: Geschwister. Gleicher Geltungsbereich wie ISO 13849, SIL-basierte Sprache. Oft zusammen verwendet (Systemebene in 62061, Komponenten in 13849).
ISO 12100: Voraussetzung. Definiert den Risikobeurteilungsprozess für Maschinen. Die PLr-Entscheidung (Anhang A von ISO 13849) folgt einer ISO-12100-Risikobeurteilung.
IEC 60204-1: Maschinenelektrische Ausrüstung. Die “Physical-Layer”-Regeln Verdrahtung/Schutz, die ISO 13849 ergänzen.

Betroffene Branchen

Industriemaschinen (Montage, Verpackung, Werkzeugmaschinen)
Robotik und Cobotik
Förderer und Materialhandling
Holz- und Metallbearbeitungsmaschinen
Lebensmittelverarbeitungsmaschinen
Kunststoff Spritzguss / Blasformen
Aufzüge und Hebezeuge (manchmal ISO 13849, manchmal aufzugsspezifische Normen)