Jede Branche hat ihre spezifische Norm zur Funktionalen Sicherheit. Der Maschinenbau hat den Performance Level (PL nach ISO 13849), der Automobilbau hat den „automotive safety integrity level“ (ASIL nach ISO 26262), die chemische Industrie hat den Sicherheitsintegritätslevel (SIL nach IEC 61511) und dann finden sich des Weiteren sehr spezifische Ableitungen wie z.B. im Agrarbereich (AgPL nach DIN EN ISO 25119). Alle Sicherheitsintegritätslevel sind in diskreten Stufen nach dem Risiko angeordnet. Damit skalieren die Entwicklungsaufwände für die Sicherheitsfunktionen und deren Systeme. Wie kann man diese Sicherheitsintegritätsstufen vergleichen und wo liegen die Gemeinsamkeiten und Unterschiede? Die Antwort ist keinesfalls simpel.
Merkmale des Sicherheitsintegritätslevel
Das jeweilige branchenspezifische Sicherheitsintegritätslevel kann auf 2 Kernmerkmale zu Vergleichszwecken reduziert werden. Zum einen die Hardware-Sicherheitsintegrität (HW-SI), welche quantitativ mit Sicherheitskennzahlen zum System-Design beschrieben werden kann. Zum anderen die systematische Sicherheitsintegrität, welche qualitativ vor allem im Sinne der Software-Sicherheitsintegrität (SW-SI) durch Anwendung von Prozesse und Methoden gekennzeichnet ist. Daher muss im Vergleich stets beides analysiert und betrachtet werden. Ein erster Vergleich auf quantitativer Ebene über mehrere Normen anhand der Grenzwerte zur gefahrbringenden Ausfallwahrscheinlichkeit pro Stunde (PFH) ist in der folgenden Tabelle zur ersten Orientierung gegeben:

Sicherheitsintegritätslevel nach IEC 61508
Die generische Norm IEC 61508 wird als Mutter aller Standards bezeichnet. Von ihr wurden viele weitere Normen wie z.B. die ISO 26262 abgeleitet. Von SIL 1 bis SIL 4 werden spezifische Anforderungen und Empfehlungen gegeben. Neben quantitativen Vorgaben wie z.B. die gefahrbringende Ausfallwahrscheinlichkeit pro Stunde (PFH) werden auch Architekturzwänge vorgegeben. Je nach Betriebsart der Sicherheitsfunktion (High Demand, Low Demand), Bauteilkomplexität und Diagnosefähigkeit, kann der SIL die Entwicklung eines Systems beeinflussen.

Die obige Tabelle zeigt nach IEC 61508 Teil 2 Abschnitt 7.4.4 (Pfad 1H), welcher SIL erreicht werden kann. Dabei sind die Parameter zur Bestimmung des Sicherheitsintegritätslevel von dem Systemdesign (Hardware) abhängig. Ein Logik-Subsystem mit einem µC, welches als Typ B-Element einkanalig (HFT=0) seine Arbeit in einer Sicherheitsfunktion verrichtet, kann nur mit ausreichend hohen Anteil sicherer Ausfälle (Safe Failure Fraction, SFF) ein SIL 1 erreichen. Daher sind ausreichend Diagnosefunktionen (z.B. ECC für den Arbeitsspeicher) erforderlich. In der Praxis zeigt sich, dass eine SFF >90% nur mit sehr hohen Aufwänden erreichbar ist und eine SFF>99% nur in seltenen Fällen erreicht werden kann. Daher ist eine zweikanalige Architektur ab SIL 2 oft sinnvoll. Eine Besonderheit der IEC 61508 ist die quantitative Modellierung der Fehler mit gemeinsamer Ursache (Common Cause Failure, CCF). Die IEC 61508 nutzt ein Beta-Faktor-Modell, welches prozentual als eine Art Sicherheitsfaktor bei mehrkanaligen Architekturen (HFT>0), zum tragen kommt. Dieses Beta-Faktor-Modell steht in der Kritik udn wird insbesondere in der ISO 26262 anders umgesetzt.
Performance Level nach ISO 13849 / 25119
Die harmonisierte Typ B Norm DIN EN ISO 13849 ist für den Integrator im Maschinenbau ausgerichtet. Diese Norm hat einen konservativen pragmatischen „Kochrezept“ Ansatz, welcher 5 spezifische Architekturen als sogenannte Kategorien (Kat. B, Kat. 1 bis 4) vorgibt. Die 5 Performance Level a bis e sind als Sicherheitsintegritätslevel auch in anderen Branchen (AgPL gem. DIN EN ISO 25119) oft analog gleichwertig. Die ISO 13849 ist deterministisch und historisch gewachsen. Sie ist nicht der IEC 61508 direkt entsprungen, sondern hat sich dieser mit der Zeit dem probabilistischen Ansatz angenährt. Die 5 Performance Level sind daher nicht gleichwertig zu den 4 Sicherheitsintegritätsstufen der IEC 61508 zuordenbar.
- Performance Level a = Sicherheitsintegritätslevel 0 (SIL 0)
- Performance Level b = Sicherheitsintegritätslevel 1 (SIL 1)
- Performance Level c = Sicherheitsintegritätslevel 1 (SIL 1)
- Performance Level d = Sicherheitsintegritätslevel 2 (SIL 2)
- Performance Level e = Sicherheitsintegritätslevel 3 (SIL 3)
Die im „Kochrezept“ vorgesehenen Architekturen haben ein komplexes Markov-Modell als Ursprung. Wenn man den Einfluss des Paramters „Diagnoseabdeckung“ (DC) untersucht, stellt man fest, dass diesbezüglich Unterschiede zwischen den normenspezifischen Konzepten erkennbar sind. Die ISO 13849 definiert den durchschnittlichen Diagnosedeckungsgrad (DC_avg) für das gesamte System (SRP/CS) ab Architekturen der Kategorie 2 und höher. Dieser Parameter hat in der ISO 13849 im Vergleich zur IEC 61508 mit der SFF weniger Gewicht und benachteiligt daher mehrkanalige Architekturen. Dies ist dem konservativen Ansatz geschuldet, welcher auch quantitativ Fehler mit gemeinsamer Ursache (Common Cause Failure, CCF) durch den Beta-Faktor beeinhaltet. Daher ist man mit der ISO 13849 stets konservativer als die ISO 26262 oder IEC 61508. Die beliebte einfachere Nachweisführung der ISO 13849 basiert demnach auf konservativen Grundlagen zur sicheren Seite hin. Dies muss bei der Bewertung von einem ASIL oder SIL zu einem Performance Level hin berücksichtigt werden.
Automotive Safety Integrity Level (ASIL) nach ISO 26262
Die ISO 26262 ist eine der jüngeren Standards zur Funktionalen Sicherheit. Sie ist der IEC 61508 direkt entsprungen und wurde den modernen Anforderungen der Automobilbranche angepasst (tailoring). Dabei wurden einige Grundsätze der IEC 61508 anders Interpretiert und umgesetzt. Die 4 Automotive Safety Integrity Level (ASIL A bis D) sind daher nicht gleichwertig zu den 4 Sicherheitsintegritätsstufen der IEC 61508 zuordenbar!
Beispielsweise kennt die ISO 26262 keine quantitative Modellierung der Fehler mit gemeinsamer Ursache (Common Cause Failure, CCF). Statt dessen geht die ISO 26262 hier einen Weg über eine qualitative Analysemethode zu den CCF (dependent failures analysis, kurz DFA, s. ISO 26262-9 und -11). Fehler gemeinsamer Ursache sind auf Abhängigkeiten und Wechselwirkungen im Systemdesign zurückführbar. Daher ist das Wesen dieses Merkmals eher systematischer Natur und dessen Vermeidung u.a. abhängig von der Erfahrung des Systemarchitekten. Weiterhin ist neben einen probabilistischen Ansatz (PMHF) auch eine semi quantitative Methode (CutSet) zur Evaluation des Restrisikos durch zufällige Hardwarefehler erlaubt.
Eine weitere Besonderheit ist die erst ab ASIL C verbindlich einsetzende Quantifizierung der Hardware mit detailierten Analysetätigkeiten. Daher ist insbesondere beim Einsatz von Elementen (z.B. Sensoren) mit ASIL A in Standards wie z.B. ISO 13849 oder IEC 61508 eine zusätzliche Untersuchung erforderlich, um die gefahrbringende Ausfallwahrscheinlichkeit pro Stunde einschätzen zu können. Die systematische Eignung ist ebensfalls zu bestätigen. Dies wird aufgrund der hohen Qualitätsstandards relativ einfach möglich sein. Beispielsweise sollten Dual-Point-Diagnosefunktionen (Detektion von Ausfall eines Sicherheitsmechanismus, welche Fehler im Funktionskanal einer Sicherheitsfunktion erkennt) bei ASIL A mindestens nach QM entwickelt worden sein (s. Empfehlung in ISO 26262-4:2018, 6.4.2.5). Auch eine FMEA ist für ASIL A (s. ISO 26262-5:2011, Tab. 2) erforderlich.
Die ISO 26262 kennt auch keine Architekturzwänge, wie es die IEC 61508, DIN EN ISO 62061 oder ISO 13849 explizit fordern. Die zugrunde liegenden Metriken in der ISO 26262 (SPFM, LFM) bilden indirekt das Pendent der SFF nach IEC 61508. Daher wird auch in diesem Standard mit steigenden Sicherheitsintegritätslevel irgendwann eine mehrkanalige Architektur erforderlich.
Die Klassifikation von Fehlern innerhalb der Metriken (SPFM, LFM) der ISO 26262 entspricht nicht dem Ansatz der Lambda-Fraktionen (DD, DU, S) in IEC 61508 oder ISO 13849. Damit ist es nicht 1:1 möglich, die Lamda-Fraktionen zu übernehmen. Zwangsläufig würde ein gleichsetzen der PMHF-Werte als PFH eher konservativer Natur sein.
Für den Einsatz von Elementen, welche nach ISO 13849 oder IEC 61508 entwickelt wurden, stellt die Norm Anforderungen an die Bewertung und Verwendung dieser Elemente im Kontext des Interfaces (ISO 26262-8:2015, Absatz 15) oder der Integration (ISO 26262-8:2015, Absatz 16) im Hinblick auf die Integration im Fahrzeugbau (Truck & Bus).
Sicherheitsintegritätslevel & Betriebsart
Die IEC 61508 definiert 2 Betriebsarten für Sicherheitsfunktionen. Die ISO 26262, DIN EN ISO 13849 und DIN EN IEC 62061 betrachten Sicherheitsfunktionen (SF) ausschließlich nur mit hoher Anforderungsrate (High Demand Mode). Für solche Art von SF wird der gefahrbringende Ausfall pro Stunde (PFH) ermittelt. In Branchen wie der Prozessindustrie (s. DIN EN 61511) werden auch SF mit niedriger Anforderungsrate (Low Demand Mode) realisiert. Bei solcher Art von SF wird der gefahrbringende Ausfall bei Anforderung (PFD) ermittelt. Diese sicherheitstechnischen Kennwerte (PFH, PFDavg) müssen unter dem Grenzwert des erforderlichen Sicherheitsintegritäslevel liegen. Es gibt daher für SF in der Betriebsart mit niedriger Anforderungsrate (Low Demand Mode) nur Gemeinsamkeiten im Bereich der IEC 61508 und EN 61511 und deren Ableger.
Einfehlersicherheit, Fehlertoleranz und Verfügbarkeit
Die Sicherheitsintegritätslevel und Sicherheitskennzahlen der einzelnen Normen bestimmen direkt Merkmale des Systems zur Robustheit, Güte der Bauteile und Fehlertoleranz im Systemdesign im Sinne der Zuverlässigkeit. Ein wesentliches Merkmal ist die Einfehlersicherheit. In allen Standards/Normen zur Funktionalen Sicherheit findet sich dieses Merkmal. Ein Fehler im Design zu behandeln kann über 2 Wege führen, Fehler erkennen und abschalten oder Fehler tolerieren bzw. isolieren und nicht abschalten (Fehlertoleranz).
Je nach Anwendung und Branche ist die Gewichtung von Zuverlässigkeit und Verfügbarkeit unterschiedlich ausgeprägt. Bei der Verfügbarkeit muss differenziert werden zwischen sicherheitstechnischer Verfügbarkeit und Verfügbarkeit im Sinne der bestimmungsgemäßen Funktion. Beispielsweise kann ein Motor im Auto ggf. abgeschaltet werden, während im Flugzeug eine Triebwerksabschaltung im Flugbetrieb nicht wünschenswert ist. Geräte nach der Niederspannungsrichtlinie dürfen quasi sicher kaputt gehen. Bei Maschinen nach Maschinenverordnung (M-VO) müssen Sicherheitsfunktionen mit hohem PL auch bei Fehlern unter Umständen erhalten bleiben.
Untere Grenze und Übergang in die Struktur zur Fehlertoleranz
Ab wann beginnt Funktionale Sicherheit in der Entwicklung? Die Sicherheitsintegritätslevel haben eine untere Grenze. Eine normale Entwicklung ist einem „QM“ oder „SIL 0“ zugeordnet. Kennzeichnend sind u.a. fehlende SIcherheitsanforderungen. Ab ASIL A, SIL 1 oder PL a muss das Entwicklungsniveau über dem „normalen“ liegen. Sicherheitsanforderungen, Reviews, Analysen (quantitativ / qualitativ z.B. indukive Methoden (FMEA)) und Validierung kommen hinzu, während das Systemdesign noch einkanalig ist. Ab SIL 2 bzw. ASIL C oder PL d steigen die Entwicklungsaufwände. Neben induktiven Analysen werden zusätzlich deduktive Analysen (FTA) relevant und das Systemdesign muss zunehmend fehlertoleranter werden, d.h. mehrkanalige Strukturen sind erforderlich. Bei sehr kritischen Anwendungen mit höchsten Sicherheitsintegritätslevel, ist eine technologische Diversität erforderlich.
Ist ASIL A ein SIL 1 oder PL c?
Nein, denn ASIL A ist eher dem SIL 0 zuordenbar. Systematisch wird der Nachweis für ein Performance Level c gelingen, wenn man nachweisen kann, dass:
- die grundlegenden und bewährten Sicherheitsprinzipien eingehalten wurden und
- die Abschätzung der Ausfälle von gemeinsamer Ursache (CCF) ausreichend ist, fall erforderlich.
Quantitativ ist kein Nachweis ohne weitere Analyse möglich. Dazu müssten die mittlere Zeit zum gefährlichen Ausfall eines Kanals bestimmt werden (MTTFd), sowie der Diagnosedeckungsgrad (DC) und die Architektur (Kategorie) bekannt sein.
Ist ein SIL 1 ein PL c?
Ein SIL 1 ist dem PL c zuordenbar. Systematisch und quantitativ kann der Nachweis gelingen.
Ist ein ASIL B ein SIL 2?
Ein ASIL B ist wie der ASIL A ohne Berechnungszwang in ISO 26262 spezifiziert. D.h. auch hier müssen Nachweise erbracht werden. Im Detail lässt sich erkennen, das ASIL B eher dem SIL 1 und mit etwas mehr Analyseaufwand auch ein SIL 2 erreicht werden könnte. Daher liegt dem SIcherheitsintegritätslevel (SIL) 2 eher dem ASIL C näher als dem ASIL B.
Fazit
Das Übertragen der Sicherheitsintegritätslevel über Branchen hinweg kann sehr aufwendig sein. Innerhalb der Kernbranchen wie z.B. ISO 13849 und DIN EN IEC 62061 sind bereits Listen vorhanden. Ein erster Ansatz für den Anwender zwischen der ISO 26262 und der IEC 61508 wird vorraussichtlich in 2025 über die IEC TR 61508-6-1 erfolgen. Letzendlich ist der Ansatz von der Quellnorm mit ihren Besonderheiten, über die Grundnorm (IEC 61508) in die Zielnorm zu gelangen, nur für Experten der Funktionalen Sicherheit möglich.