Funktionale Sicherheit nach ÖNORM EN ISO 13849

Eine Schutztür an einer Presse ist nur so sicher wie die Steuerung, die dahintersteht. Geht der Endschalter kaputt, verklebt ein Schützkontakt oder hängt ein Ventil — und merkt das niemand —, dann läuft die Maschine weiter, obwohl die Tür offen ist. Genau hier setzt die funktionale Sicherheit an: Sie sorgt dafür, dass die sicherheitsbezogenen Steuerungsfunktionen einer Maschine zuverlässig genug arbeiten, damit der Schutz auch dann erhalten bleibt, wenn ein Bauteil ausfällt.

Die ÖNORM EN ISO 13849 ist die Norm, mit der man diese Zuverlässigkeit greifbar macht. Sie liefert ein durchgängiges Verfahren: vom Risiko über die Frage „wie zuverlässig muss die Schaltung sein?“ bis zum rechnerischen Nachweis, dass die gebaute Steuerung diese Anforderung tatsächlich erfüllt. Dieser Beitrag führt durch diese Kette — vom Grundgedanken bis zur Berechnung in der Werkstatt.

Vorwissen

Risikobeurteilung nach ÖNORM EN ISO 12100
Aufbau eines Regelkreises bzw. Grundlagen der Steuerungstechnik
Schütze und Relais als sicherheitsbezogene Schaltglieder

Lernziele

Nach diesem Beitrag kannst du:

erklären, was funktionale Sicherheit von allgemeiner Maschinensicherheit unterscheidet
aus einer Gefährdung über den Risikographen das erforderliche Performance Level (PLr) ableiten
die Bausteine benennen, die das erreichte Performance Level bestimmen (Kategorie, MTTFD, DCavg, CCF)
aus einem B10D- oder B10-Wert den MTTFD eines Bauteils berechnen und zwei Kanäle zu einem symmetrierten Wert zusammenführen
beurteilen, ob eine Sicherheitsfunktion ihr erforderliches PL erreicht, und kennst die Schritte der Validierung

1. Was funktionale Sicherheit bedeutet

Sicherheit an einer Maschine hat viele Gesichter. Eine feste Verkleidung über einem Riementrieb ist Sicherheit — aber keine funktionale Sicherheit. Sie schützt einfach durch ihre Anwesenheit, ohne dass etwas funktionieren müsste. Sobald aber eine Schutzmaßnahme davon abhängt, dass eine Steuerung etwas richtig erkennt und richtig reagiert, sprechen wir von funktionaler Sicherheit.

Das klassische Beispiel ist die verriegelte Schutztür. Wird die Tür geöffnet, soll der gefährliche Antrieb stehenbleiben. Das passiert nicht von selbst — ein Sensor muss die Türstellung erfassen, eine Auswertung muss das Signal verarbeiten, und ein Schaltglied muss den Antrieb abschalten. Diese Kette aus Sensor, Logik und Aktor heißt sicherheitsbezogene Steuerungsfunktion. In der Norm wird der dahinterliegende Teil der Steuerung als sicherheitsbezogenes Teil der Steuerung bezeichnet, im Englischen SRP/CS (safety-related parts of control systems).

Der Punkt ist: Diese Funktion kann versagen. Der Sensor kann brechen, ein Kontakt kann verschweißen, ein Draht kann durchscheuern. Funktionale Sicherheit fragt deshalb nicht „ist die Funktion vorhanden?“, sondern „wie wahrscheinlich ist es, dass sie im entscheidenden Moment versagt?“. Je größer die Gefahr, desto zuverlässiger muss die Funktion sein.

Diese Anforderung fällt nicht vom Himmel. Sie ergibt sich aus der Risikobeurteilung der Maschine. Bei der Risikobeurteilung nach ÖNORM EN ISO 12100 werden die Gefährdungen einer Maschine systematisch erfasst und bewertet — das ist die Voraussetzung. Wo nach dieser Beurteilung eine Steuerung das Risiko mindern soll, kommt die EN ISO 13849 ins Spiel und legt fest, wie gut diese Steuerung sein muss.

Den rechtlichen Rahmen liefert die europäische Maschinenrichtlinie (2006/42/EG), nach der Maschinen sicher in Verkehr gebracht werden müssen. Hier ist gerade ein Wechsel im Gange: Die Richtlinie wird durch die EU-Maschinenverordnung (EU) 2023/1230 abgelöst, die EU-weit — also auch in Österreich — schrittweise verbindlich wird und voraussichtlich ab Januar 2027 vollständig gilt. An der Rolle der EN ISO 13849 ändert das nichts; sie bleibt das anerkannte Verfahren für den Nachweis der funktionalen Sicherheit. Wer heute auslegt, sollte den Übergang aber im Hinterkopf haben.

Eine feste, verschraubte Verkleidung über einem Zahnradantrieb verhindert den Zugriff. Wieso zählt das nicht zur funktionalen Sicherheit?

a) Weil ihr Schutz nicht vom korrekten Funktionieren einer Steuerungsfunktion abhängt
b) Weil die Verkleidung nicht aus Metall besteht
c) Weil sie nicht in der Risikobeurteilung steht
d) Weil sie kein CE-Zeichen trägt

Richtig: a)

Funktionale Sicherheit setzt voraus, dass der Schutz an einer Funktion hängt, die richtig arbeiten muss. Eine feste Verkleidung schützt allein durch ihre Anwesenheit, ohne dass etwas erkannt oder geschaltet werden muss — daher fällt sie nicht unter die 13849. Material (b), Eintrag in der Risikobeurteilung (c) und CE-Kennzeichnung (d) ändern an dieser grundsätzlichen Unterscheidung nichts.

Was ist die richtige Reihenfolge der Schritte, bevor man die EN ISO 13849 anwendet?

a) Erst 13849 anwenden, dann Risikobeurteilung
b) Risikobeurteilung und 13849 laufen unabhängig voneinander
c) Erst Risikobeurteilung nach EN ISO 12100, dann 13849 für die ermitteln Funktionen
d) Die 13849 ersetzt die Risikobeurteilung

Richtig: c)

Die Risikobeurteilung nach EN ISO 12100 steht am Anfang und liefert, welche Gefährdungen durch Steuerungsfunktionen gemindert werden sollen. Erst danach legt die 13849 fest, wie zuverlässig diese Funktionen sein müssen. Sie ersetzt die Risikobeurteilung nicht (d) und läuft auch nicht unabhängig (b); die Reihenfolge a) ist vertauscht.

2. Vom Risiko zum erforderlichen Performance Level (PLr)

Steht nach der Risikobeurteilung fest, dass eine Steuerungsfunktion eine Gefährdung mindern soll, lautet die nächste Frage: Wie zuverlässig muss diese Funktion sein? Die Antwort gibt das erforderliche Performance Level, kurz PLr (r für „required“).

Das Performance Level (PL) ist eine Maßzahl für die Zuverlässigkeit einer Sicherheitsfunktion — vereinfacht die Wahrscheinlichkeit, dass die Funktion pro Stunde gefährlich ausfällt. Es gibt fünf Stufen von a (geringste Anforderung) bis e (höchste Anforderung). Was die fünf Stufen genau bedeuten und wie sie sich zu den Sicherheitskategorien verhalten, ist Thema eines eigenen Beitrags zu Performance Level und Sicherheitskategorien; hier reicht: a ist wenig, e ist viel, und das PLr sagt, welche Stufe für eine bestimmte Gefährdung mindestens nötig ist.

Ermittelt wird das PLr über den Risikographen der Norm. Drei Parameter werden nacheinander abgefragt:

S — Schwere der Verletzung: S1 = leicht (üblicherweise reversibel), S2 = schwer (üblicherweise irreversibel, bis tödlich)
F — Häufigkeit und Aufenthaltsdauer im Gefahrenbereich: F1 = selten/kurz, F2 = häufig/dauernd
P — Möglichkeit, die Gefährdung zu vermeiden: P1 = unter bestimmten Bedingungen möglich, P2 = kaum möglich

Man beginnt links bei der Schwere und arbeitet sich nach rechts: Je schwerer die mögliche Verletzung, je häufiger der Aufenthalt und je geringer die Chance auszuweichen, desto höher das geforderte PLr. Eine kleine, kurz berührte Gefährdung, der man leicht ausweichen kann, landet bei PLr a. Eine schwere Verletzungsgefahr bei häufigem Aufenthalt ohne Ausweichmöglichkeit landet bei PLr e.

Dieser Graph ist ein Einordnungswerkzeug, kein exakter Rechenweg — er führt von der Einschätzung der Gefährdung zur geforderten Zuverlässigkeitsstufe. Das Ergebnis, das PLr, ist der Maßstab, an dem sich die später gebaute Schaltung messen lassen muss.

Der Graph zeigt das Prinzip: Bei leichter Verletzung (S1) bleibt die Anforderung niedrig (PLr a oder b). Bei schwerer Verletzung (S2) entscheidet sich über Häufigkeit (F) und Vermeidbarkeit (P), ob man bei PLr c, d oder im ungünstigsten Fall bei e landet.

An einem Förderband besteht Quetschgefahr an einer Umlenkrolle. Eine Verletzung wäre schwer und irreversibel (S2), der Bereich wird selten betreten (F1), und durch die langsame Bewegung kann man die Hand meist rechtzeitig zurückziehen (P1). Welches PLr ergibt der Risikograph?

a) PLr a
b) PLr e
c) PLr c
d) PLr d

Richtig: c)

S2 führt in den oberen Zweig, F1 wählt darin den selten-betreten-Pfad, P1 die Vermeidbarkeit — diese Kombination ergibt PLr c. PLr e (b) verlangt zusätzlich F2 und P2, PLr d (d) ergäbe sich z. B. bei S2/F1/P2 oder S2/F2/P1. PLr a (a) gilt nur bei leichter Verletzung S1.

Welche Aussage zu den drei Parametern des Risikographen is korrekt?

a) P beschreibt die Möglichkeit, die Gefährdung zu vermeiden
b) F beschreibt die Schwere der Verletzung
c) S beschreibt, wie schnell man ausweichen kann
d) Alle drei Parameter beschreiben dasselbe in unterschiedlichen Einheiten

Richtig: a)

P (possibility of avoidance) steht für die Möglichkeit, der Gefährdung auszuweichen oder sie zu vermeiden. S beschreibt die Schwere (nicht das Ausweichen, daher c falsch), F die Häufigkeit und Aufenthaltsdauer (nicht die Schwere, daher b falsch). Die Parameter erfassen bewusst verschiedene Aspekte des Risikos (d falsch).

Warum spricht man bei der Ableitung aus dem Risikographen vom erforderlichen PL und nicht einfach vom PL?

a) Weil das PL erst nach dem Bau der Maschine existiert
b) Weil PLr die Anforderung beschreibt, die die spätere Schaltung mindestens erreichen muss
c) Weil das erforderliche PL immer eine Stufe höher liegt als das tatsächliche
d) Weil PLr nur für hydraulische Anlagen gilt

Richtig: b)

PLr is die Zielvorgabe aus der Gefährdung — der Mindestwert, den die gebaute Schaltung erreichen muss. Das tatsächlich erreichte PL der Schaltung wird später getrennt ermittelt und mit dem PLr verglichen. Es existiert auch schon vor dem Bau als Anforderung (a falsch), liegt nicht pauschal eine Stufe über dem Istwert (c falsch) und gilt für alle Technologien (d falsch).

3. Die Bausteine eines erreichten PL

Das PLr sagt, was gefordert ist. Jetzt geht es um die andere Seite: Welches PL erreicht eine konkret gebaute Schaltung tatsächlich? Dieses erreichte PL ergibt sich aus dem Zusammenspiel mehrerer Größen. Vier davon sind entscheidend.

Die Kategorie beschreibt die Struktur — die Architektur der Schaltung. Es gibt fünf Kategorien: B, 1, 2, 3 und 4. Grob gesagt unterscheiden sie sich darin, ob ein Kanal oder zwei Kanäle vorhanden sind, ob Fehler erkannt werden und ob ein einzelner Fehler die Sicherheitsfunktion verlieren lässt. Kategorie B und 1 sind einkanalig, bei Kategorie 3 und 4 sorgt ein zweiter Kanal dafür, dass ein einzelner Fehler die Funktion nicht aushebelt. Die Kategorien im Detail — welche Architektur welche Eigenschaften hat — gehören in den eigenen Beitrag zu Performance Level und Sicherheitskategorien; hier genügt, dass die Kategorie das strukturelle Gerüst vorgibt.

Der MTTFD (mean time to dangerous failure) ist die mittlere Zeit bis zum gefährlichen Ausfall eines Kanals, angegeben in Jahren. Je länger diese Zeit, desto zuverlässiger der Kanal. Die Norm teilt den MTTFD in drei Stufen ein: niedrig (3 bis unter 10 Jahre), mittel (10 bis unter 30 Jahre) und hoch (30 bis 100 Jahre). Werte über 100 Jahre werden auf 100 begrenzt — die Norm rechnet bewusst nicht mit beliebig optimistischen Zahlen.

Der DCavg (average diagnostic coverage, mittlerer Diagnosedeckungsgrad) sagt, welcher Anteil der gefährlichen Ausfälle durch Diagnose erkannt wird. Eine Schaltung, die ihre eigenen Fehler bemerkt und in den sicheren Zustand geht, ist deutlich besser als eine, die einen Fehler unbemerkt mitschleppt. Der DCavg wird grob als none, low, medium oder high eingestuft.

Schließlich die CCF (common cause failures, Ausfälle gemeinsamer Ursache). Bei zweikanaligen Strukturen bringt der zweite Kanal nur dann etwas, wenn nicht beide Kanäle aus derselben Ursache gleichzeitig ausfallen — etwa weil beide am selben Überspannungsereignis hängen oder am selben Konstruktionsfehler. Die Norm verlangt deshalb Maßnahmen gegen CCF, die über ein Punktesystem nachgewiesen werden.

Diese vier wirken zusammen: Die Kategorie gibt das Gerüst, MTTFD und DCavg füllen es mit Zuverlässigkeit und Diagnosefähigkeit, und CCF stellt sicher, dass Mehrkanaligkeit auch wirklich hilft. Aus dieser Kombination liest man am Ende über eine Tabelle der Norm das erreichte PL ab.

Wenn eine zweikanalige Struktur zwei Kanäle mit unterschiedlichem MTTFD hat, darf man nicht einfach den besseren nehmen. Die Norm führt beide Kanäle zu einem gemeinsamen, symmetrierten MTTFD zusammen. Die Formel sorgt dafür, dass ein schwacher Kanal das Ergebnis stärker nach unten zieht als ein starker es anheben kann:

MTTFD_ges = 2/3 * (MTTFD_C1 + MTTFD_C2 – 1 / (1/MTTFD_C1 + 1/MTTFD_C2))

MTTFD_ges … symmetrierter MTTFD beider Kanäle in Jahren
MTTFD_C1 … MTTFD von Kanal 1 in Jahren
MTTFD_C2 … MTTFD von Kanal 2 in Jahren

Sind beide Kanäle gleich (MTTFD_C1 = MTTFD_C2), liefert die Formel exakt diesen Wert zurück. Weichen sie ab, liegt das Ergebnis näher beim schwächeren Kanal — und auch hier gilt die Obergrenze von 100 Jahren.

Gelöstes Beispiel

Eine zweikanalige Sicherheitsfunktion hat in Kanal 1 einen MTTFD von 60 Jahren und in Kanal 2 einen MTTFD von 30 Jahren. Wie groß ist der symmetrierte MTTFD?

Gegeben: MTTFD_C1 = 60 Jahre, MTTFD_C2 = 30 Jahre

Gesucht: MTTFD_ges in Jahren

Lösungsweg:

Schritt 1 — Kehrwerte summieren: 1/60 + 1/30 = 0,016667 + 0,033333 = 0,05; 1 / 0,05 = 20
Schritt 2 — Klammer auswerten: 60 + 30 − 20 = 70
Schritt 3 — mit 2/3 multiplizieren: 2/3 × 70 = 46,67

Ergebnis: MTTFD_ges ≈ 46,7 Jahre (Stufe „hoch“)

Übungen

Beide Kanäle haben einen MTTFD von 40 Jahren. Berechne den symmetrierten MTTFD.

Bei gleichen Kanälen ergibt die Formel wieder 40 Jahre.

Kanal 1 hat 100 Jahre, Kanal 2 hat 20 Jahre. Berechne MTTFD_ges.

1/100 + 1/20 = 0,06; 1/0,06 = 16,67; 100 + 20 − 16,67 = 103,33; 2/3 × 103,33 ≈ 68,9 Jahre.

In welche Stufe (niedrig/mittel/hoch) fällt ein Kanal mit MTTFD = 25 Jahren?

25 Jahre liegt im Bereich 10 bis unter 30 Jahre → Stufe „mittel“.

Kanal 1 hat 15 Jahre, Kanal 2 hat 80 Jahre. Berechne MTTFD_ges und ordne die Stufe zu.

1/15 + 1/80 = 0,066667 + 0,0125 = 0,079167; 1/0,079167 = 12,63; 15 + 80 − 12,63 = 82,37; 2/3 × 82,37 ≈ 54,9 Jahre → Stufe „hoch“. (Trotz des schwachen Kanals von 15 Jahren zieht der starke Kanal den symmetrierten Wert deutlich nach oben — die Symmetrierung bestraft Ungleichheit, verbietet sie aber nicht.)

Ein Hersteller gibt für einen Kanal MTTFD = 150 Jahre an. Welchen Wert setzt du in die Berechnung ein und warum?

100 Jahre. Die Norm begrenzt den MTTFD je Kanal auf maximal 100 Jahre, um nicht mit unrealistisch optimistischen Zuverlässigkeitswerten zu rechnen.

Eine zweikanalige Schaltung ist so ausgeführt, dass beide Kanäle über dasselbe Netzteil versorgt werden. Welcher der vier Bausteine adressiert genau dieses Problem?

a) MTTFD
b) Kategorie
c) DCavg
d) CCF

Richtig: d)

Wenn beide Kanäle vom selben Netzteil abhängen, kann ein einziger Netzteildefekt beide gleichzeitig lahmlegen — ein Ausfall gemeinsamer Ursache (CCF). Die CCF-Maßnahmen zielen genau darauf, solche gemeinsamen Ursachen zu vermeiden. MTTFD (a) beschreibt die Ausfallzeit eines Kanals, die Kategorie (b) die Struktur, DCavg (c) die Diagnose — keiner davon erfasst gezielt die gemeinsame Ursache.

Warum darf man bei zwei ungleichen Kanälen nicht einfach den höheren MTTFD-Wert verwenden?

a) Weil der höhere Wert immer falsch gemessen ist
b) Weil die Norm die Zusammenführung beider Kanäle zu einem symmetrierten Wert vorschreibt
c) Weil zwei Kanäle generell verboten sind
d) Weil der niedrigere Wert keine Rolle spielt

Richtig: b)

Die Norm führt beide Kanäle über die Symmetrierungsformel zusammen, damit der schwächere Kanal angemessen ins Ergebnis eingeht. Den höheren Wert allein zu nehmen würde die reale Zuverlässigkeit überschätzen. Der höhere Wert ist nicht grundsätzlich falsch (a), zwei Kanäle sind ausdrücklich erlaubt (c), und gerade der niedrigere Wert hat erheblichen Einfluss (d).

Ein Datenblatt nennt für einen Kanal einen MTTFD von 8 Jahren. In welche Stufe fällt das, und was bedeutet das tendenziell für das erreichbare PL?

a) Niedrig — das erreichbare PL ist tendenziell begrenzt
b) Hoch — hohes PL gut erreichbar
c) Mittel — keine Auswirkung
d) Die Stufe lässt sich aus dem MTTFD nicht ableiten

Richtig: a)

8 Jahre liegt im Bereich 3 bis unter 10 Jahre, also Stufe „niedrig“. Ein niedriger MTTFD begrenzt das erreichbare PL nach oben, weil das PL aus dem Zusammenspiel von Kategorie, MTTFD und DCavg entsteht. Hoch (b) gilt erst ab 30 Jahren, mittel (c) ab 10 Jahren, und die Stufe ist sehr wohl direkt aus dem MTTFD ableitbar (d).

4. Vom Einzelteil zur Sicherheitsfunktion: die Berechnung in der Praxis

In der Werkstatt beginnt die Rechnung nicht beim MTTFD, sondern beim Datenblatt eines Bauteils. Eine Sicherheitsfunktion ist eine Kette: ein Eingabeteil (z. B. Positionsschalter an der Schutztür), ein Logikteil (Auswertung, z. B. Sicherheitsschaltgerät) und ein Ausgabeteil (z. B. Schütz, das den Motor abschaltet). Für jedes dieser Teile braucht man einen MTTFD — und der steht selten direkt im Datenblatt.

Bei verschleißbehafteten Bauteilen — Schaltern, Schützen, Ventilen — gibt der Hersteller stattdessen einen B10-Wert oder einen B10D-Wert an. Der B10-Wert ist die Anzahl der Schaltspiele, nach der 10 % einer Stichprobe ausgefallen sind. Der B10D-Wert meint dasselbe, bezieht sich aber nur auf die gefährlichen Ausfälle.

Hier liegt eine häufige Stolperstelle: Bei pneumatischen und hydraulischen Bauteilen steht im Datenblatt oft nur der B10-Wert, nicht der B10D. Dann muss man den gefährlichen Anteil selbst abschätzen. Die Norm erlaubt, mangels besserer Angaben anzunehmen, dass die Hälfte der Ausfälle gefährlich ist:

B10D = B10 / C_op

B10D … Schaltspiele bis 10 % gefährliche Ausfälle
B10 … Schaltspiele bis 10 % aller Ausfälle (Datenblatt)
C_op … Anteil gefährlicher Ausfälle, bei Unkenntnis 0,5

Steht also im Ventildatenblatt B10 = 20 000 000 Schaltspiele und kennt man den gefährlichen Anteil nicht, rechnet man mit B10D = 20 000 000 / 0,5 = 40 000 000.

Aus dem B10D wird der MTTFD über die Schalthäufigkeit. Je öfter ein Bauteil pro Jahr schaltet, desto schneller erreicht es seinen B10D — und desto kleiner wird sein MTTFD. Die mittlere Anzahl der jährlichen Schaltspiele heißt nop:

n_op = d_op * h_op * 3600 / t_zyklus

n_op … mittlere Schaltspiele pro Jahr
d_op … Betriebstage pro Jahr
h_op … Betriebsstunden pro Tag
t_zyklus … mittlere Zeit zwischen zwei Schaltspielen in Sekunden

Daraus ergibt sich der MTTFD des Bauteils:

MTTFD = B10D / (0,1 * n_op)

MTTFD … mittlere Zeit bis zum gefährlichen Ausfall in Jahren
B10D … Schaltspiele bis 10 % gefährliche Ausfälle
n_op … mittlere Schaltspiele pro Jahr

Der Faktor 0,1 steht dafür, dass the B10D bei 10 % Ausfall definiert ist. Hat man so für jedes Teil der Kette einen MTTFD, führt man die Teile innerhalb eines Kanals zusammen, bildet bei Zweikanaligkeit den symmetrierten Wert (Kapitel 3) und liest schließlich aus der zusammenfassenden Tabelle der Norm — aus Kategorie, DCavg und MTTFD — das erreichte PL ab. Zum Schluss kommt der entscheidende Vergleich: erreichtes PL ≥ PLr? Nur wenn das stimmt, ist die Sicherheitsfunktion ausreichend ausgelegt.

Diese Rechnerei macht man in der Praxis selten von Hand. Das kostenlose Werkzeug SISTEMA (vom deutschen IFA) nimmt die Bauteildaten auf und ermittelt das erreichte PL automatisch — die Handrechnung sollte man trotzdem verstehen, um die Ergebnisse beurteilen zu können.

Gelöstes Beispiel

Ein pneumatisches Ventil hat laut Datenblatt B10 = 20 000 000 Schaltspiele. Der gefährliche Anteil ist nicht angegeben. Die Anlage läuft an 220 Tagen im Jahr je 16 Stunden, und das Ventil schaltet im Mittel alle 120 Sekunden. Wie groß ist der MTTFD?

Gegeben: B10 = 20 000 000 Schaltspiele, C_op = 0,5 (unbekannter gefährlicher Anteil), d_op = 220 Tage/Jahr, h_op = 16 Stunden/Tag, t_zyklus = 120 s

Gesucht: MTTFD in Jahren

Lösungsweg:

Schritt 1 — B10D bestimmen: B10D = 20 000 000 / 0,5 = 40 000 000 Schaltspiele
Schritt 2 — Schaltspiele pro Jahr (nop): n_op = 220 × 16 × 3600 / 120 = 12 672 000 / 120 = 105 600 Schaltspiele/Jahr
Schritt 3 — MTTFD berechnen: MTTFD = 40 000 000 / (0,1 × 105 600) = 40 000 000 / 10 560 ≈ 3787 Jahre

Da der MTTFD je Kanal auf 100 Jahre begrenzt wird:

Ergebnis: MTTFD = 100 Jahre (Stufe „hoch“, nach Begrenzung)

Übungen

Ein Schütz hat B10D = 1 000 000 (gefährlicher Anteil bereits angegeben). nop = 200 000 Schaltspiele/Jahr. Berechne den MTTFD.

MTTFD = 1 000 000 / (0,1 × 200 000) = 1 000 000 / 20 000 = 50 Jahre → Stufe „hoch“.

Ein Ventil hat B10 = 10 000 000, gefährlicher Anteil unbekannt. Bestimme zuerst B10D.

B10D = 10 000 000 / 0,5 = 20 000 000 Schaltspiele.

Eine Anlage läuft an 250 Tagen je 8 Stunden, ein Schalter betätigt alle 60 Sekunden. Berechne nop.

n_op = 250 × 8 × 3600 / 60 = 7 200 000 / 60 = 120 000 Schaltspiele/Jahr.

Ein Schalter hat B10D = 2 000 000. Die Anlage läuft 300 Tage je 12 Stunden, Betätigung alle 30 Sekunden. Berechne nop und MTTFD.

n_op = 300 × 12 × 3600 / 30 = 12 960 000 / 30 = 432 000 Schaltspiele/Jahr; MTTFD = 2 000 000 / (0,1 × 432 000) = 2 000 000 / 43 200 ≈ 46,3 Jahre → Stufe „hoch“.

Ein Ventil hat B10 = 5 000 000, gefährlicher Anteil unbekannt. Die Anlage läuft 220 Tage je 16 Stunden, Schaltung alle 10 Sekunden. Berechne B10D, nop und MTTFD und beurteile die Stufe.

B10D = 5 000 000 / 0,5 = 10 000 000; n_op = 220 × 16 × 3600 / 10 = 12 672 000 / 10 = 1 267 200 Schaltspiele/Jahr; MTTFD = 10 000 000 / (0,1 × 1 267 200) = 10 000 000 / 126 720 ≈ 78,9 Jahre → Stufe „hoch“. (Hohe Schalthäufigkeit drückt den MTTFD spürbar, hier aber noch im hohen Bereich.)

Im Datenblatt eines Hydraulikventils steht nur B10 = 50 000 000, keine Angabe zum gefährlichen Anteil. Welchen Wert setzt du für B10D an?

a) 50 000 000
b) 25 000 000
c) 100 000 000
d) 5 000 000

Richtig: c)

Ohne Herstellerangabe wird der gefährliche Anteil mit 50 % angesetzt, also C_op = 0,5. Damit ist B10D = B10 / 0,5 = 50 000 000 / 0,5 = 100 000 000. Den B10-Wert direkt zu übernehmen (a) ignoriert den Zwischenschritt, halbieren (b) verwechselt die Richtung, und 5 000 000 (d) entspricht keiner sinnvollen Rechnung.

Zwei identische Schütze haben denselben B10D. Schütz A schaltet alle 10 Sekunden, Schütz B alle 120 Sekunden. Welche Aussage zum MTTFD stimmt?

a) Beide haben denselben MTTFD, weil der B10D gleich ist
b) Schütz B hat den kleineren MTTFD
c) Der MTTFD hängt nicht von der Schalthäufigkeit ab
d) Schütz A hat den kleineren MTTFD, weil es häufiger schaltet

Richtig: d)

Häufigeres Schalten erhöht nop, und ein größeres nop verkleinert den MTTFD (MTTFD = B10D / (0,1 × nop)). Schütz A mit 10-Sekunden-Takt schaltet zwölfmal so oft wie B und hat daher den kleineren MTTFD. Gleicher B10D bedeutet nicht gleicher MTTFD (a), die Richtung in b) ist vertauscht, und die Schalthäufigkeit ist gerade die entscheidende Größe (c).

Eine Sicherheitsfunktion erreicht rechnerisch PL d, das erforderliche Level ist PLr e. Wie ist das zu bewerten?

a) Ausreichend, weil d nahe bei e liegt
b) Nicht ausreichend — das erreichte PL muss mindestens dem PLr entsprechen
c) Ausreichend, weil d strenger ist als e
d) Die Frage lässt sich ohne MTTFD nicht beantworten

Richtig: b)

Die Auslegung gilt nur dann als ausreichend, wenn das erreichte PL gleich dem PLr ist oder darüber liegt. PL d liegt unter PLr e, also reicht die Funktion nicht aus und muss verbessert werden. Nähe (a) genügt nicht, d ist weniger streng als e (c falsch), und für diese Bewertung braucht man nur den Vergleich der beiden Levels (d falsch).

5. Validierung, Grenzen und Praxis

Mit der Berechnung ist die Arbeit nicht zu Ende. Eine Rechnung auf dem Papier sagt nur, dass die Schaltung theoretisch zuverlässig genug ist. Die Validierung prüft, ob die Sicherheitsfunktion in der realen Maschine auch tatsächlich tut, was gefordert ist: Hält der Antrieb beim Öffnen der Tür wirklich an? Bleibt er auch dann stehen, wenn man gezielt einen Fehler einbaut — etwa einen Kanal unterbricht? Diese Fehlersimulation ist ein zentraler Teil der Validierung bei mehrkanaligen Strukturen.

Alles, was berechnet und geprüft wurde, gehört dokumentiert: die Sicherheitsfunktionen, die zugrunde gelegten Bauteildaten, das erforderliche und das erreichte PL, die getroffenen CCF-Maßnahmen und die Validierungsergebnisse. Diese Dokumentation ist Teil der technischen Unterlagen der Maschine und Voraussetzung für die Konformitätserklärung.

Die EN ISO 13849 ist nicht der einzige Weg. Für komplexe elektronische und programmierbare Systeme gibt es als alternativen Nachweisweg die EN/IEC 62061, die mit dem Begriff SIL (Safety Integrity Level) statt PL arbeitet. Für die meisten klassischen Maschinensteuerungen mit Schaltern, Schützen und Sicherheitsschaltgeräten ist die 13849 der gängige und meist einfachere Weg.

Auch die Grenzen sollte man kennen. Die Norm rechnet mit statistischen Mittelwerten und Annahmen — ein gut gerechnetes PL ersetzt keine saubere mechanische Konstruktion und keine vernünftige Bedienung. Und die Auslegung gilt nur, solange die Maschine im angenommenen Zustand bleibt: Wer eigenmächtig ein Sicherheitsschaltgerät überbrückt, einen Kanal stilllegt oder ein Ventil gegen ein anderes tauscht, hebt den Nachweis aus. Nach der Inbetriebnahme zählen deshalb regelmäßige Wartung, das Einhalten der vorgesehenen Prüfintervalle und der Verzicht auf unzulässige Eingriffe.

Die konkrete Gerätetechnik dahinter — Sicherheitsschaltgeräte und Sicherheits-SPS, Schutztüren, Lichtgitter und Laserscanner, Zustimmtaster und Zweihandsteuerung — wird jeweils in eigenen Beiträgen behandelt. Hier genügt: Die EN ISO 13849 liefert das Verfahren, mit dem man all diese Bauteile zu einer nachweisbar sicheren Funktion verknüpft.

In der Praxis

Beim Umbau eines Schaltschranks tauscht ein Mechatroniker an einer zweikanaligen Schutztürüberwachung beide Türschütze gegen baugleiche Typen. Bevor die Maschine wieder freigegeben wird, arbeitet er ein Validierungsprotokoll Punkt für Punkt ab: Tür schließen, Maschine starten, Tür öffnen — Antrieb muss stoppen. Dann der gezielte Fehlertest, der sogenannte Schützkleber-Test: Ein Kanal wird simuliert „klebend“ gehalten (Kontakt überbrückt), die Tür erneut geöffnet, und es wird geprüft, ob der zweite Kanal allein noch sicher abschaltet und ob das Sicherheitsschaltgerät den Fehler meldet und einen Wiederanlauf sperrt. Jeder Schritt wird mit Datum, Ergebnis und Namenszeichen im Protokoll abgehakt. Erst wenn alle Punkte „in Ordnung“ tragen, geht die Anlage zurück in den Betrieb — das Protokoll wandert zu den technischen Unterlagen.

Was ist der Kern der Validierung einer Sicherheitsfunktion?

a) Das nochmalige Durchrechnen des MTTFD
b) Der Nachweis, dass die Funktion in der realen Maschine das Geforderte leistet, auch bei eingebautem Fehler
c) Das Ausfüllen der Konformitätserklärung
d) Die Auswahl der Bauteile

Richtig: b)

Validierung heißt prüfen, ob die gebaute Funktion real tut, was gefordert ist — typischerweise auch unter gezielt eingebrachtem Fehler. Das erneute Rechnen (a) ist Teil der Verifikation, nicht der praktischen Validierung. Die Konformitätserklärung (c) ist ein späteres Dokument, die Bauteilauswahl (d) ein früherer Schritt.

Wann ist statt der EN ISO 13849 eher die EN/IEC 62061 der passende Nachweisweg?

a) Bei einfachen Schütz- und Schalterschaltungen
b) Immer, weil sie strenger ist
c) Nur bei pneumatischen Anlagen
d) Bei komplexen elektronischen und programmierbaren Systemen

Richtig: d)

Die EN/IEC 62061 zielt auf komplexe elektrische, elektronische und programmierbare Steuerungen und arbeitet mit SIL. Für einfache Schütz- und Schalterschaltungen (a) ist die 13849 der gängige, meist einfachere Weg. Sie ist nicht pauschal strenger oder immer vorzuziehen (b), und gerade pneumatische Anlagen (c) deckt die 13849 gut ab.

Ein Techniker überbrückt zur Fehlersuche dauerhaft ein Sicherheitsschaltgerät und vergisst, die Brücke zu entfernen. Welche Folge hat das für den 13849-Nachweis?

a) Der Nachweis ist hinfällig, weil die Maschine nicht mehr im angenommenen Zustand ist
b) Keine, der Nachweis wurde einmal erbracht
c) Der Nachweis bleibt gültig, solange die Maschine läuft
d) Das erreichte PL steigt durch die Brücke

Richtig: a)

Der PL-Nachweis gilt nur für die Maschine im ausgelegten Zustand. Eine Überbrückung verändert genau diese Voraussetzung und macht den Nachweis hinfällig — die Sicherheitsfunktion ist nicht mehr wirksam. Ein einmal erbrachter Nachweis (b, c) deckt solche Eingriffe nicht ab, und eine Überbrückung verbessert das PL keinesfalls (d).

Abschlusstest

Aufgabe 1: Ein Schütz hat B10D = 1 300 000 Schaltspiele. Die Anlage läuft an 230 Tagen je 14 Stunden, das Schütz schaltet im Mittel alle 90 Sekunden. Berechne nop und den MTTFD und ordne die Stufe zu.

Gegeben: B10D = 1 300 000; d_op = 230; h_op = 14; t_zyklus = 90 s

Gesucht: nop, MTTFD, Stufe

Lösungsweg:

n_op = 230 × 14 × 3600 / 90 = 11 592 000 / 90 = 128 800 Schaltspiele/Jahr
MTTFD = 1 300 000 / (0,1 × 128 800) = 1 300 000 / 12 880 ≈ 100,9 → begrenzt auf 100

Ergebnis: nop ≈ 128 800/Jahr; MTTFD = 100 Jahre (nach Begrenzung); Stufe „hoch“

Aufgabe 2: Eine zweikanalige Sicherheitsfunktion hat Kanal 1 mit MTTFD = 90 Jahren und Kanal 2 mit MTTFD = 25 Jahren. Berechne den symmetrierten MTTFD.

Gegeben: MTTFD_C1 = 90 Jahre; MTTFD_C2 = 25 Jahre

Gesucht: MTTFD_ges

Lösungsweg:

1/90 + 1/25 = 0,011111 + 0,04 = 0,051111; 1/0,051111 = 19,57
90 + 25 − 19,57 = 95,43
2/3 × 95,43 = 63,62

Ergebnis: MTTFD_ges ≈ 63,6 Jahre (Stufe „hoch“)

Aufgabe 3: Ein pneumatisches Ventil hat laut Datenblatt B10 = 8 000 000 Schaltspiele, gefährlicher Anteil unbekannt. Die Anlage läuft 240 Tage je 10 Stunden, Schaltung alle 45 Sekunden. Berechne B10D, nop und MTTFD.

Gegeben: B10 = 8 000 000; C_op = 0,5; d_op = 240; h_op = 10; t_zyklus = 45 s

Gesucht: B10D, nop, MTTFD

Lösungsweg:

B10D = 8 000 000 / 0,5 = 16 000 000
n_op = 240 × 10 × 3600 / 45 = 8 640 000 / 45 = 192 000 Schaltspiele/Jahr
MTTFD = 16 000 000 / (0,1 × 192 000) = 16 000 000 / 19 200 ≈ 833,3 → begrenzt auf 100

Ergebnis: B10D = 16 000 000; nop = 192 000/Jahr; MTTFD = 100 Jahre (nach Begrenzung)

Aufgabe 4: Zwei Kanäle haben MTTFD_C1 = 12 Jahre und MTTFD_C2 = 12 Jahre. Berechne den symmetrierten MTTFD und ordne die Stufe zu.

Gegeben: MTTFD_C1 = MTTFD_C2 = 12 Jahre

Gesucht: MTTFD_ges, Stufe

Lösungsweg:

Bei gleichen Kanälen liefert die Formel den Kanalwert zurück: MTTFD_ges = 12 Jahre. (Kontrolle: 1/12 + 1/12 = 0,16667; 1/0,16667 = 6; 12 + 12 − 6 = 18; 2/3 × 18 = 12.)

Ergebnis: MTTFD_ges = 12 Jahre; 12 liegt im Bereich 10 bis unter 30 → Stufe „mittel“

Frage 1: Welche der folgenden Maßnahmen zählt zur funktionalen Sicherheit nach EN ISO 13849?

a) Eine feste, verschraubte Schutzhaube
b) Ein Warnschild „Achtung Quetschgefahr“
c) Eine rutschfeste Bodenmarkierung
d) Eine verriegelte Schutztür, die über Sensor und Schütz den Antrieb abschaltet

Richtig: d)

Die verriegelte Schutztür hängt von einer Steuerungsfunktion ab, die richtig erkennen und schalten muss — das ist funktionale Sicherheit. Schutzhaube (a), Warnschild (b) und Bodenmarkierung (c) wirken ohne Steuerungsfunktion und fallen nicht unter die 13849.

Frage 2: Ein Datenblatt nennt B10 = 2 000 000 ohne Angabe des gefährlichen Anteils. Welcher B10D ist anzusetzen?

a) 1 000 000
b) 200 000
c) 4 000 000
d) 2 000 000

Richtig: c)

Ohne Angabe gilt C_op = 0,5, also B10D = 2 000 000 / 0,5 = 4 000 000. Halbieren (a) und Übernehmen (d) sind falsche Richtungen, 200 000 (b) entspricht keiner Norm-Annahme.

Frage 3: Welche Größe begrenzt die Norm bewusst auf maximal 100 Jahre?

a) Den MTTFD je Kanal
b) Den DCavg
c) Das PLr
d) Die Anzahl der Schaltspiele

Richtig: a)

Der MTTFD je Kanal wird auf 100 Jahre gedeckelt, um nicht mit unrealistisch optimistischen Werten zu rechnen. DCavg (b) ist ein Prozentwert, PLr (c) eine Stufe a–e, und die Schaltspiele (d) werden nicht gedeckelt.

Frage 4: Eine Sicherheitsfunktion erreicht PL c, gefordert ist PLr c. Wie ist das zu bewerten?

a) Nicht ausreichend, c ist zu niedrig
b) Ausreichend, weil erreichtes PL gleich PLr ist
c) Nur ausreichend mit zusätzlicher Dokumentation
d) Ausreichend, aber nur für hydraulische Systeme

Richtig: b)

Die Bedingung lautet erreichtes PL ≥ PLr. PL c = PLr c erfüllt das genau. Es ist somit ausreichend; es ist nicht zu niedrig (a), nicht an Zusatzbedingungen geknüpft (c) und gilt technologieunabhängig (d).

Frage 5: Welcher Parameter des Risikographen erfasst, wie oft und wie lange sich eine Person im Gefahrenbereich aufhält?

a) S
b) P
c) PL
d) F

Richtig: d)

F (frequency) steht für Häufigkeit und Aufenthaltsdauer. S beschreibt die Schwere (a), P die Vermeidbarkeit (b), und PL (c) ist das Ergebnis, kein Eingangsparameter des Graphen.

Frage 6: Warum verlangt die Norm bei zweikanaligen Strukturen Maßnahmen gegen Ausfälle gemeinsamer Ursache (CCF)?

a) Weil ein zweiter Kanal nutzlos ist, wenn eine gemeinsame Ursache beide gleichzeitig ausfallen lässt
b) Weil zweikanalige Strukturen sonst teurer sind
c) Weil CCF den MTTFD erhöht
d) Weil CCF die Schaltspiele reduziert

Richtig: a)

Die Redundanz eines zweiten Kanals bringt nur Sicherheit, wenn nicht eine einzige Ursache beide Kanäle gleichzeitig lahmlegt. Genau das adressieren die CCF-Maßnahmen. Es geht nicht um Kosten (b); CCF erhöht weder den MTTFD (c) noch beeinflusst es die Schaltspiele (d).

Frage 7: Eine Auslegung ergibt erreichtes PL d, gefordert ist PLr e. Welche Schlussfolgerung ist richtig?

a) Die Funktion ist ausreichend
b) Man darf das PLr auf d senken
c) Die Funktion muss verbessert werden, bis mindestens PL e erreicht wird
d) Es genügt, die Dokumentation anzupassen

Richtig: c)

Erreichtes PL d liegt unter PLr e, die Bedingung PL ≥ PLr ist verletzt. Die Funktion muss verbessert werden (z. B. höhere Kategorie, besserer DCavg, zuverlässigere Bauteile), bis PL e erreicht ist. Das PLr aus der Risikobeurteilung darf man nicht nachträglich absenken (b), und Dokumentation allein (d) ändert die Zuverlässigkeit nicht.

Frage 8: Was beschreibt der Diagnosedeckungsgrad DCavg?

a) Die mittlere Zeit bis zum gefährlichen Ausfall
b) Den Anteil der gefährlichen Ausfälle, der durch Diagnose erkannt wird
c) Die Schwere einer möglichen Verletzung
d) Die Anzahl der Kanäle

Richtig: b)

DCavg gibt an, welcher Anteil der gefährlichen Ausfälle erkannt wird, sodass die Funktion in den sicheren Zustand gehen kann. Die mittlere Ausfallzeit ist der MTTFD (a), die Schwere ist der Parameter S (c), die Kanalzahl gehört zur Kategorie (d).

Frage 9: In welcher Reihenfolge läuft die Auslegung einer Sicherheitsfunktion korrekt ab?

a) PL berechnen → Risikobeurteilung → PLr ableiten
b) PLr und PL gleichzeitig festlegen, ohne Vergleich
c) Bauteile kaufen → einbauen → Dokumentation nachreichen
d) Risikobeurteilung → PLr ableiten → Schaltung auslegen und erreichtes PL berechnen → PL mit PLr vergleichen

Richtig: d)

Erst die Risikobeurteilung, daraus das PLr, dann die Auslegung mit Berechnung des erreichten PL und schließlich der Vergleich PL ≥ PLr. Variante a) hat die Schritte vertauscht, b) lässt den entscheidenden Vergleich weg, und c) beschreibt eine unzulässige Vorgehensweise ohne planmäßige Auslegung.

Frage 10: Welche Aussage zum Verhältnis von EN ISO 13849 und EN/IEC 62061 trifft zu?

a) Beide sind dasselbe Dokument unter zwei Nummern
b) Die 62061 arbeitet mit SIL und eignet sich besonders für komplexe elektronische/programmierbare Systeme
c) Die 13849 gilt nur in Deutschland
d) Die 62061 ersetzt die Risikobeurteilung

Richtig: b)

Die EN/IEC 62061 ist ein alternativer Nachweisweg, der mit SIL arbeitet und für komplexe elektronische und programmierbare Steuerungen gedacht ist. Es sind zwei eigenständige Normen (a falsch), die 13849 gilt EU-weit und in Österreich (c falsch), und keine der beiden ersetzt die vorgelagerte Risikobeurteilung (d falsch).

Frage 11: Ein Ventil schaltet sehr häufig (kleines t_zyklus, großes nop). Was bewirkt das tendenziell beim MTTFD?

a) Der MTTFD steigt
b) Der MTTFD bleibt unverändert
c) Der MTTFD sinkt
d) Der MTTFD wird negativ

Richtig: c)

Aus MTTFD = B10D / (0,1 × nop) folgt: Ein größeres nop verkleinert den MTTFD. Häufiges Schalten verbraucht den B10D schneller. Der MTTFD steigt also nicht (a), bleibt nicht konstant (b) und kann nicht negativ werden (d).

Frage 12: Worauf zielt die Fehlersimulation bei der Validierung mehrkanaliger Strukturen?

a) Auf den Nachweis, dass die Funktion auch bei einem eingebrachten Einzelfehler sicher bleibt
b) Auf die Erhöhung des B10-Werts
c) Auf die Reduktion der Dokumentation
d) Auf die Senkung des erforderlichen PL

Richtig: a)

Bei mehrkanaligen Strukturen wird gezielt ein Fehler eingebracht, um zu zeigen, dass die Sicherheitsfunktion trotzdem erhalten bleibt — das ist der praktische Kern der Validierung. Der B10-Wert (b) ist eine Bauteilkenngröße, die Dokumentation (c) wird dadurch nicht reduziert, und das PLr (d) bleibt unverändert.

Glossar

Funktionale Sicherheit: Teil der Maschinensicherheit, bei dem der Schutz vom korrekten Funktionieren einer sicherheitsbezogenen Steuerungsfunktion abhängt.
Sicherheitsbezogene Steuerungsfunktion (SRP/CS): die Kette aus Sensor, Auswertung und Aktor, die eine Gefährdung über die Steuerung mindert.
Performance Level (PL): Maßzahl für die Zuverlässigkeit einer Sicherheitsfunktion in fünf Stufen a bis e; vereinfacht die Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde.
Erforderliches Performance Level (PLr): das aus der Gefährdung über den Risikographen abgeleitete Mindest-PL, das die Schaltung erreichen muss.
Risikograph: Einordnungswerkzeug der EN ISO 13849, das über die Parameter S, F und P das PLr bestimmt.
Kategorie: strukturelle Einteilung der Schaltung (B, 1, 2, 3, 4) nach Kanalzahl, Fehlererkennung und Fehlertoleranz.
MTTFD: mittlere Zeit bis zum gefährlichen Ausfall eines Kanals in Jahren; je Kanal auf maximal 100 Jahre begrenzt.
DCavg: mittlerer Diagnosedeckungsgrad; Anteil der gefährlichen Ausfälle, der durch Diagnose erkannt wird.
CCF: Ausfälle gemeinsamer Ursache; gleichzeitiger Ausfall mehrerer Kanäle durch eine einzige Ursache, dem mit gezielten Maßnahmen begegnet wird.
B10-Wert: Anzahl der Schaltspiele, nach der 10 % einer Stichprobe ausgefallen sind.
B10D-Wert: Anzahl der Schaltspiele bis zu 10 % gefährlichen Ausfällen; bei unbekanntem gefährlichem Anteil aus B10 / 0,5 abgeschätzt.
nop: mittlere Anzahl der Schaltspiele pro Jahr, abgeleitet aus Betriebstagen, Betriebsstunden und Zykluszeit.
Validierung: Nachweis, dass die Sicherheitsfunktion in der realen Maschine das Geforderte leistet, einschließlich gezielter Fehlersimulation.