- Wesentliche Neuerungen in der dritten Edition der IEC 61508
- Verweise und spezialisierte Standards für Zukunftstechnologien
- Präzisere Vorgaben – und neue Herausforderungen für Unternehmen
Interview zur dritten Edition der IEC 61508
| Pugun & Photo Studio / stock.adobe.com & Yaruniv-Studio / stock.adobe.comIEC 61508 Edition 3: Fortschritte und neue Maßstäbe in der funktionalen Sicherheit
Interview mit Stephan Aschenbrenner und Michael Kindermann
DKE: Warum war eine Überarbeitung der IEC 61508 notwendig? Und welche Hauptziele wurden dabei verfolgt?
Kindermann: Die Überarbeitung der IEC 61508 war vor allem im Bereich Software dringend notwendig. In der zweiten Edition von 2010 stand beispielsweise, dass objektorientierte Software kritisch zu sehen sei. Das war damals schon nicht mehr zeitgemäß, denn objektorientierte Programmiersprachen wie C++ oder Java sind seit Jahren etabliert. Deshalb haben wir bereits 2012 damit begonnen, den Softwarebereich separat zu analysieren. 2014 starteten dann die ersten intensiven Diskussionen darüber, wie wir die Norm in diesem Punkt weiterentwickeln können. Schließlich ist die IEC 61508 eine Basisnorm, die als Grundgerüst für alle anderen Normen im Bereich funktionale Sicherheit dient. Sie muss daher mindestens den Stand der Technik abbilden.
Während der Überarbeitung sind wir auf viele Stellen gestoßen, die entweder Lücken aufwiesen oder unzureichend beschrieben waren. Es war klar, dass wir hier systematisch vorgehen müssen, um die Norm an moderne Anforderungen aus den Bereichen Künstliche Intelligenz (KI), Industrial Internet of Things (IoT) und komplexe Halbleiter anzupassen. Insgesamt war es unerlässlich, die IEC 61508 zu verbessern, um den technischen Fortschritt widerzuspiegeln und die Basis für die funktionale Sicherheit zukunftssicher zu gestalten.
DKE Tagung Funktionale Sicherheit 2025
| VDEDKE Tagung Funktionale Sicherheit: 13.05.2025 bis 14.05.2025 in Erfurt
Neue Technologien und Lösungen erobern die Welt – aber wie kann funktionale Sicherheit dabei Schritt halten? Eine berechtigte Frage, die wir diskutieren wollen und müssen! Und wo wäre das besser möglich als in Erfurt? Die "Erfurter Tage" haben sich mittlerweile als fester Begriff und Branchentreff etabliert. Alle zwei Jahren kommen Expertinnen und Experten im Kaisersaal zusammen und tauschen sich aus. Seien auch Sie dabei und freuen Sie sich auf zwei intensive Konferenztage!
IEC 61508 hat Schnittstelle zwischen funktionaler Sicherheit und Cybersecurity klar definiert
DKE: Wobei sich gerade im Bereich Cyber-Kriminalität die Angriffsvektoren vervielfältigt haben und die EU deshalb auch den Cyber Resilience Act erlassen hat, der weitreichende Auswirkungen auf die Sicherheit haben wird.
Aschenbrenner: Die IEC 61508 ist weder ein Gesetz noch eine europäische Richtlinie, sondern eine sogenannte Basisnorm der funktionalen Sicherheit. Deshalb sieht die Situation bei uns anders aus. Cybersecurity ist ohne Frage ein heißes Thema, aber wir haben uns bewusst entschieden, keine konkreten Cybersecurity-Aspekte in die Norm zu integrieren. Dafür gibt es bereits andere, spezifische Normen. Was wir jedoch berücksichtigen, ist, im Rahmen der Gefährdungsanalyse funktionale Sicherheit und Cybersecurity gemeinsam zu betrachten. Aber die technische Umsetzung von Cybersecurity-Maßnahmen geben wir nicht vor. Wir wollen hier keine Konkurrenz zu bestehenden beziehungsweise wohl bald auch neuen Cybersecurity-Standards schaffen, sondern die Verbindung zwischen diesen beiden Bereichen klar definieren.
Kindermann: Das war genau unser Ansatz: Cybersecurity ist eine eigene Disziplin, die von Experten und Expertinnen aus dem Fachgebiet betreut wird, während wir uns auf die funktionale Sicherheit konzentrieren. Allerdings gibt es Schnittstellen, und genau hier setzen wir an. Die Sicherheit einer Applikation kann nur über ein ganzheitliches Konzept gegen Cyberangriffe realisiert werden. Deshalb müssen Cybersecurity- und Safety-Experten eng zusammenarbeiten. Die Norm verweist hier auf die neue IEC 63069, die das Bindeglied darstellt und aufzeigt, wie die Risikoanalysen beider Disziplinen verknüpft werden können.
Ein Beispiel: Ein Cybersecurity-Experte muss wissen, welche Steuerungsfunktionen mit Sicherheitsfunktionen verknüpft sind, um für beide ein adäquates Konzept zu entwickeln. Dieses Konzept muss der Safety-Experte kennen, da sich neue Anforderungen an die Sicherheitsfunktion ergeben können. Diese gemeinsame Betrachtung der Disziplinen mit klar definierten Schnittstellen ist wichtig, damit beide Bereiche effektiv zusammenarbeiten können.
Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...
- fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
- berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
- informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen
Dritte Edition bringt klare Verbesserungen bei Diagnosen, Halbleitern und Softwareanalysen
DKE: Was sind die wichtigsten Neuerungen in der dritten Edition der IEC 61508? Und wie beeinflussen diese die praktische Anwendung?
Aschenbrenner: Die Neuerungen sind vielfältig, daher liste ich sie zunächst stichpunktartig auf. Ein zentraler Punkt ist die Behandlung von Diagnoseausfällen. Für jedes sichere Produkt sind Diagnosen essenziell, um gefährliche Fehler rechtzeitig zu erkennen. Bisher war der Umgang mit solchen Ausfällen in der Norm nicht ausreichend beschrieben. Nun gibt es dazu erstmals einen Leitfaden – auch wenn dieser noch kontrovers diskutiert wird.
Ein weiteres wichtiges Thema ist der Umgang mit Halbleitern. Ob Anwendungsspezifische integrierte Schaltkreise (ASICs), Field-Programmable Gate Arrays (FPGAs) oder System-on-Chips (SoCs) – hier war es entscheidend, spezifische Anforderungen zu definieren. Aufgrund der schnellen technologischen Entwicklung wurde für Halbleiter sogar eine eigene Norm (IEC 61508-2-1) erstellt, damit dieser Bereich flexibler aktualisiert werden kann. Ebenfalls relevant ist die stärkere Betonung der sogenannten ‚systematischen Eignung‘. Diese bildet nun zusammen mit der Architektur und den Ausfallwahrscheinlichkeiten die drei Säulen der Sicherheitsbetrachtung. Dabei wurde die Betrachtung von Fehlern gemeinsamer Ursache, sogenannte ‚Common Cause Failures‘, deutlich präzisiert – insbesondere auf Produktebene, da die bisherige Anlagenebene nicht immer übertragbar war.
Im Bereich Software gibt es ebenfalls wesentliche Änderungen. Software-Sicherheitsanalysen werden jetzt klar definiert und sind nicht mehr nur indirekt in der Norm angedeutet. Dies soll es ermöglichen, mögliche Fehlerquellen in der Software besser zu bewerten und zu minimieren. Zudem wird der Umgang mit Tools umfassender geregelt, damit diese hinsichtlich ihrer Qualität und Sicherheit evaluiert werden können.
Kindermann: Früher waren die Softwareanalysen an Stellen verankert, die nicht passten – etwa erst bei Audits oder Assessments. Das ist viel zu spät. Jetzt werden sie prominenter behandelt und klarer in die Struktur eingebettet. Die Automotive-Branche hat hier auch Impulse geliefert, da ihre Normen oft konkreter sind und schematischere Vorgaben machen, etwa zur Dokumentation. Die Basisnorm muss allgemeingültiger sein, aber wir orientieren uns an diesen bewährten Ansätzen. Auch im Bereich der Tools wurden Veränderungen angegangen. Tool-Hersteller haben uns oft gebeten, konkrete Anforderungen zu definieren, wie sie ihre Tools gestalten und qualifizieren können. Diese Anforderungen sind jetzt in der Norm enthalten.
Ein weiterer interessanter Aspekt ist die Berücksichtigung von ‚Human Factors‘. Ein zentraler Abschnitt ersetzt hier lauter kleine Schnipsel und etabliert ein Gesamtkonzept. Die Norm zielt darauf ab, Bedienfehler zu minimieren, etwa durch klare Anleitungen oder ergonomische Designs. Beispielsweise sind überfordernde Displays mit zu vielen Warnsignalen zu vermeiden – das löst Stress beim Bediener aus, hilft aber niemandem wirklich weiter.
Zuletzt möchte ich das Thema ‚System of Systems‘ erwähnen. Moderne Systeme werden immer komplexer, insbesondere in der Luftfahrt oder im militärischen Bereich. Die neue Edition der Norm IEC 61508 hat einige Ankerpunkte geschaffen, die auf solche komplexen Zusammenhänge verweisen, auch wenn es hier noch Verbesserungsbedarf gibt. Diese Anker sind oft Verweise auf Normen aus dem System Engineering wie ISO/IEC/IEEE 15288 (System- und Softwaretechnik – Systemlebenszyklusprozesse) oder ISO/IEC/IEEE 42010 (System- und Softwaretechnik – Architekturbeschreibung).
Funktionale Sicherheit: Der Schutz des Menschen vor der Maschine
Funktionale Sicherheit ist essenziell und kommt immer dann zum Einsatz, wenn Produkte, Anlagen und Prozesse so komplex sind, dass deren Sicherheit auf einfachem Weg nicht mehr ausreichend getestet werden kann.
International liegt mit IEC 61508 eine horizontale Normenreihe vor, die eine Grundlage für eine Vielzahl von Branchen und Anwendungsfeldern bietet.
Basisnorm setzt auf Verweise und spezialisierte Standards für Zukunftstechnologien wie KI
DKE: Wie adressiert die neue Norm Technologien wie KI, maschinelles Lernen und vernetzte Systeme?
Kindermann: Das ist ein sehr wichtiges Thema, aber die IEC 61508 bleibt hier bewusst auf einer übergeordneten Ebene. Es wäre nicht sinnvoll, detaillierte Anforderungen direkt in die Basisnorm zu schreiben. Stattdessen wird auf spezialisierte Papiere verwiesen, wie die Technical Specification ISO/IEC TS 22440-X (Sicherheit von Systemen mit Künstlicher Intelligenz, Anforderungen (1), Leitfaden (2), Anwendungsbeispiele (3)), die gerade entwickelt wird. Diese hilft, eine gemeinsame Sprache und Schnittstelle zwischen den Experten für KI und funktionale Sicherheit zu schaffen – zwei Disziplinen, die oft unterschiedliche Sichtweisen und Vokabulare haben.
Wir sehen in der Praxis, dass es eine gewisse Skepsis gegenüber KI gibt. Viele fragen sich: Wie kann man eine klare Risikoreduktion nachweisen, wenn die Systeme nicht immer vorhersehbar reagieren oder gar halluzinieren? Gleichzeitig gibt es Einsatzgebiete, bei denen KI potenziell besser oder schneller als der Mensch arbeiten könnte, beispielsweise bei Assistenzsystemen wie Notfallbremsen. Hier liegt die Herausforderung darin, KI-Systeme so zu qualifizieren, dass sie vertrauenswürdig werden und Sicherheitsanforderungen gerecht werden.
Aschenbrenner: Es war einfach zu mächtig, das Thema KI direkt in die Norm aufzunehmen – ähnlich wie bei Cybersecurity. Stattdessen hat man entschieden, spezielle Normen zu entwickeln, die auf die Grundlagen der IEC 61508 aufbauen, aber die spezifischen Anforderungen für KI detailliert regeln. So können wir sicherstellen, dass die Philosophie der funktionalen Sicherheit erhalten bleibt, ohne die Basisnorm zu überfrachten.
Die IEC 61508 bleibt der Überbau, der die Prinzipien der funktionalen Sicherheit definiert und als Basis für andere Normen dient. Gleichzeitig verweist sie gezielt auf spezialisierte Regelwerke, die etwa spezifische Anforderungen an KI adressieren (ISO/IEC TS 22440-X). Diese Vernetzung zwischen Grundnormen und Spezialnormen ist ein wichtiger Ansatz, um flexibel auf neue Technologien zu reagieren.
Kindermann: Ein Problem ist auch das Image von KI. Viele Menschen wollen nicht ihre Gesundheit oder das Leben einer KI anvertrauen, weil sie manchmal nicht reagiert wie erwartet. Um dem entgegenzuwirken, ist es wichtig, dass die Safety Community unterstützt bei der Findung qualifizierter Wege zur Nachweisführung, die die Vertrauenswürdigkeit solcher Systeme bestätigen. Das gilt besonders für kritische Anwendungen wie Kamerasysteme, die Sicherheitsfunktionen wie Überwachung von Bahnübergängen oder in industriellen Sägewerken übernehmen könnten.
Selbst wenn KI heute vielleicht noch nicht die nötige Risikoreduktion erreicht, könnten Systeme, die etwa eine Sicherheitsverbesserung von 1:3 erreichen, schon einen großen Nutzen bringen. Hier muss die Norm helfen, die Übergangsphase zu strukturieren, in der der Nachweis höherer Risikoreduktion noch nicht gelingt und die Basis für zukünftige Entwicklungen legen.
Interview mit Stefan Goi
| zapp2photo / stock.adobe.com & Yaruniv-Studio / stock.adobe.comKI-Systeme unter Betrachtung der Funktionalen Sicherheit – es braucht einen holistischen Ansatz
Autonomes Fahren kann dazu beitragen, die zahlreichen Probleme im Straßenverkehr zu lösen. Dafür müssen aber auch neue Methoden entwickelt werden, um die Sicherheit zu gewährleisten. Stefan Goi vom TÜV Rheinland spricht mit uns im Interview über die Herausforderungen beim Einsatz von KI im Straßenverkehr, den Standard ISO PAS 8800 und die Anforderungen an künftige Standards aus Sicht eines Dienstleisters für Prüfungen und Zertifizierungen von KI-Systemen.
Präzisere Vorgaben stellen Unternehmen aber auch vor neue Herausforderungen
DKE: Welche praktischen Herausforderungen ergeben sich für Unternehmen, die nach der neuen IEC 61508 arbeiten möchten?
Aschenbrenner: Es gibt sicher Herausforderungen, die mit der neuen Norm auf Unternehmen zukommen. Besonders die gestiegenen Anforderungen an Diagnosen und Tools könnten dazu führen, dass sich einige Hersteller beschweren. Aber ehrlich gesagt: Vieles davon war schon in der vorherigen Edition enthalten, nur weniger detailliert formuliert. Jetzt ist es etwas präziser beschrieben. Was mir persönlich allerdings noch fehlt, ist die Flexibilität bei modernen Entwicklungen, etwa bei komplexer oder Open-Source-Software. Die Norm hält teilweise an traditionellen Sicherheitslebenszyklen und Techniken fest, die zwar eine solide Grundlage bieten, aber nicht immer ausreichen. Es wird noch zu sehr versucht, ein ‚Kochrezept‘ zu liefern, das für alles passt – das funktioniert in einer Grundnorm wie der IEC 61508 einfach nicht. Für Unternehmen bedeutet das: Sie müssen sich stärker mit den Details der Norm auseinandersetzen, statt auf einfache Checklisten zu setzen. Da braucht es neue Ansätze und ein Umdenken.
Kindermann: Genau. Die neuen Kapitel zu Diagnosen und Tools erfordern mehr Aufwand, vor allem im Bereich der Nachweise. Ein weiteres Problem ist die Uneinheitlichkeit bei der Anwendung der Norm. Prüfinstitutionen interpretieren manche Vorgaben unterschiedlich, was zu Unsicherheit bei den Herstellern führt. Ein Beispiel, um das zu verdeutlichen: Bei Softwareanalysen gibt es noch keine einheitliche Methode. Wenn der Hersteller einen Ansatz wählt, die Prüfstelle aber einen anderen favorisiert, entsteht ein Konflikt. Die Norm muss hier klar definieren, welche Arbeitsprodukte akzeptiert werden. Zusätzlich gibt es internationale Herausforderungen. In Ländern wie China wird oft eine klare, konkrete Anleitung erwartet – sozusagen ein Kochrezept. Dort tut man sich schwer mit den eher abstrakten Vorgaben der IEC 61508.
Die Anwendernorm IEC 61511 für die Prozessindustrie wurde beispielsweise ins Chinesische übersetzt und stark konkretisiert, um den lokalen Bedürfnissen gerecht zu werden. Das Problem ist, dass unterschiedliche Interpretationen und Anpassungen in verschiedenen Ländern die Harmonisierung erschweren. Wir müssen sicherstellen, dass die Norm so gestaltet ist, dass deutsche und europäische Unternehmen ihre Produkte international verkaufen können – ob in den USA, Frankreich oder China.
Aschenbrenner: Ein weiterer Punkt ist die Balance zwischen Flexibilität und Klarheit. Die Norm bleibt bewusst auf einem höheren Abstraktionsniveau, um für unterschiedliche Branchen anwendbar zu sein. Aber das führt dazu, dass manche Nutzer sich mehr Führung wünschen. Besonders in Bereichen wie der Softwareanalyse oder der Verwendung von komplexen Systemen müssten wir Schnittstellen schaffen, die klar definieren, was akzeptiert wird. Am Ende ist es für Unternehmen eine Herausforderung, die gestiegenen Anforderungen umzusetzen, ohne dabei in unnötigen Mehraufwand zu geraten.
Kindermann: Das Ziel ist es, die Norm so universell wie möglich zu halten, während sie gleichzeitig konkret genug sein muss, um den Herstellern eine klare Richtung zu geben. Diese Gratwanderung ist nicht immer einfach, aber notwendig, um sowohl den internationalen Handel zu fördern als auch technologisch auf dem neuesten Stand zu bleiben.
Redaktioneller Hinweis:
Hier endet die erste Gesprächsrunde mit Stephan Aschenbrenner und Michael Kindermann zur dritten Edition der IEC 61508.
Im zweiten Teil des Interviews sprechen wir mit den beiden Normungsexperten über die Zunahme sektorspezifischer Normen, die Weiterentwicklung der IEC 61508 und warum die DKE einen Rahmen für aktive Expert*innen und Experten bieten muss, um international stark vertreten zu bleiben.
Wir bedanken uns für dieses Interview bei
Interessiert an weiteren Inhalten zu Core Safety?
Core Safety & Information Technologies umschließt alle Aspekte der Sicherheit: grundlegende Sicherheitsanforderungen, funktionale Sicherheit, Informationssicherheit sowie deren Wechselwirkungen. Außerdem befasst sich Core Safety mit wichtigen Querschnittsthemen und definiert grundlegende Anforderungen die allgemein einzuhalten sind – zum Beispiel für Elektromagnetische Verträglichkeit, Umwelt- und Ressourceneffizienz, Schadstoffe, Größen, Einheiten und Kennzeichnungen. Weitere Inhalte zu diesem Fachgebiet finden Sie im