Schaltzentrale
chungking - Fotolia
20.11.2019 Fachinformation 15444 0

Funktionale Sicherheit: Der Schutz des Menschen vor der Maschine

Funktionale Sicherheit ist essenziell für komplexe Produkte, Anlagen und Prozesse. International liegt mit der IEC 61508 eine horizontale Normenreihe vor, die eine Grundlage für eine Vielzahl von Branchen und Anwendungsfeldern bietet. Schon beim Erstellen des Konzeptes von Produkten sollten Experten eingebunden werden, um die Sicherheit der Produkte zu erzielen.

Kontakt

Holger Lange
Zuständiges Gremium

Was ist funktionale Sicherheit?

Vereinfacht formuliert kommt funktionale Sicherheit immer dann zum Einsatz, wenn Produkte, Anlagen oder Prozesse so komplex sind, dass deren Sicherheit auf einfachem Weg nicht mehr ausreichend getestet werden kann.

Aus normativer Sicht wird funktionale Sicherheit nach DIN EN 61508-4 (VDE 0803-4) folgendermaßen definiert:

„Teil der Gesamtsicherheit, bezogen auf die EUC und das EUC-Leit- oder Steuerungssystem, der von der korrekten Funktion des E/E/PE-sicherheitsbezogenen Systems und anderer risikomindernder Maßnahmen abhängt“

Ein ganz einfaches Beispiel ist der Vergleich zwischen einer Bohrmaschine und einem Computerchip:

Bei einer Bohrmaschine lassen sich nicht nur alle vorgesehenen Funktionen testen, sondern können auch einem Stresstest unterzogen werden – welche Effekte ergeben sich, wenn die Bohrmaschine bewusst falsch verwendet wird?

Bei einem Computerchip, der in Systemen häufig die kleinste Ebene darstellt, ist das deutlich komplexer und somit realistisch unmöglich. In diesem Fall müssen bei der Entwicklung des Computerchips alle Prinzipien der funktionalen Sicherheit befolgt werden, um am Ende trotzdem ein sicheres Produkt zu erhalten, auch wenn nicht alle Funktionen bzw. Eventualitäten getestet werden konnten.

Um die Prinzipien der funktionalen Sicherheit befolgen zu können, müssen bereits in der Entwicklung die eigentlichen Funktionen bedacht werden: Ein Motor soll sich beispielweise drehen und ein Ventil öffnen. Eine entscheidende Frage an der Stelle ist, wie Fehlfunktion aussehen (Motor dreht in die falsche Richtung und schließt das Ventil, anstatt es zu öffnen) und sich das Problem verhindern lassen könnte. Nach diesem Prinzip werden alle möglichen Eventualitäten dokumentiert – von einer einfachen und oberflächlichen bis hin zu einer sehr tiefen und detaillierten Ebene. Daraus ergibt sich das sogenannte „V-Modell“.

Praxisbeispiel #1 für funktionale Sicherheit: Schneidemaschine

Das folgende Beispiel soll zur Erläuterung der Terminologie dienen. Die funktionale Sicherheit für Maschinensteuerungen wird in den sektorspezifischen Normen DIN EN 62061 (VDE 0113-50) und DIN EN ISO 13849 behandelt. Für bestimmte Maschinen kann es weitere sogenannte „C-Normen“ geben.

Eine Schneidemaschine wird von einer speicherprogrammierbaren Steuerung (SPS) gesteuert und verfügt über ein rotierendes Messer, das mit einer aufklappbaren, festen Abdeckung als Schutzeinrichtung versehen ist. Zur regelmäßigen Reinigung ist das Messer durch Aufklappen der Abdeckung zugänglich. Die Abdeckung ist durch die SPS mit dem Antrieb des Messers so verriegelt, dass er bei jedem Anheben gestoppt wird. Dadurch wird das Messer angehalten, bevor sich der Bediener damit verletzten kann.

Bezogen auf die Definition in der DIN EN 61508-4 (VDE 0803-4) entspricht „EUC“ (Equipment Under Control) der Schneidemaschine und die SPS dem „EUC-Leit- oder Steuerungssystem“.

Eine Risikoanalyse hat jedoch ergeben, dass eine gewöhnliche SPS nicht zuverlässig genug ist, um den Maschinenbediener hinreichend zu schützen. Es wird deshalb ein zusätzliches Schutzsystem vorgesehen, das mit einem elektronischen Näherungsschalter die Abdeckung überwacht und auf den Motor einwirkt. Das „E/E/PE-sicherheitsbezogene System“ entspricht somit dem zusätzlichen Schutzsystem.

Das zusätzliche Schutzsystem ist evtl. mit Schützen oder Relais aufgebaut („E“; elektrisch). In einigen Fällen steckt aber auch ein festverdrahtetes Sicherheitsschaltgerät dahinter, das intern mit diskreten Halbleitern aufgebaut ist („E“; elektronisch). „Stand der Technik“ ist ein Sicherheitsschaltgerät mit Mikrorechner, dessen Programm für diesen Anwendungsfall konfiguriert werden kann („PE“; programmierbar elektronisch).

Im Fall der Realisierung mit wenigen Schützen oder Relais sind alle Ausfallarten des elektromechanischen Systems bekannt, sodass es sich dann um ein „einfaches System“ handelt und die Vorschriften aus DIN EN 61508 (VDE 0803) nicht angewendet werden brauchen.

In der Praxis wird in einem vergleichbaren Anwendungsfall nicht immer ein separates Schutzsystem eingesetzt, sondern die gesamte Antriebssteuerung in einem sicherheitsgerichteten System zusammengefasst.

Eine wie im Beispiel dargestellte Schneidemaschine ist mit verschiedenen Gefahren verbunden, zum Beispiel

  • Verletzungen durch einen elektrischen Schlag, wenn die elektrische Installation schadhaft sein sollte oder
  • Verbrennungen der Hand, wenn sich das zu schneidende Gut beim Schneidevorgang zu stark erhitzt.

An dieser Stelle wird nur der Fall betrachtet, wenn das E/E/PE-sicherheitsbezogene System nicht zuverlässig arbeitet, der Bediener die Abdeckung anhebt und in das laufende Messer greift – das bedeutet die Formulierung „Teil der Gesamtsicherheit...“ nach DIN EN 61508-4 (VDE 0803-4).

Die Definition enthält auch den Begriff „Funktion“. Die „Sicherheitsfunktion“ ist in der Norm DIN EN 61508 (VDE 0803) ein zentraler Begriff und beschreibt die Aufgabenstellung an das sicherheitsgerichtete System. Für dieses Beispiel könnte Sie lauten: „Wird die aufklappbare Abdeckung um 5 mm oder mehr angehoben, dann muss der Motor abgeschaltet und die Bremse aktiviert werden, sodass das Messer innerhalb von 1 Sekunde zum Stillstand kommt.“

Unter den in der Definition genannten „anderen risikomindernden Maßnahmen“ können beispielsweise mechanische Maßnahmen, wie ein Schutzgitter, verstanden werden.

V-Modell: Ein Prozess zur Reduzierung von systematischen Fehlern

Eine seit vielen Jahren bekannte und stetig weiterentwickelte Methode zur Reduzierung von systematischen Fehlern ist das sogenannte „V-Modell“.

Dieses – ursprünglich für den Entwurf und die Entwicklung von Software konzipierte – Vorgehensmodell findet mittlerweile auch Anwendung beim Entwurf mechatronischer Systeme. Neben dem in Entwicklungsphasen eingeteilten Softwareentwicklungsprozess werden im V-Modell diesen Phasen Testphasen gegenübergestellt und damit ein Vorgehen zur Qualitätssicherung festgelegt.

Ausgehend von den Kundenanforderungen werden auf der linken Seite die funktionalen und fachlichen Spezifikationen immer weiter detailliert, bis eine Implementierung erfolgen kann. Jede fertige Implementierung wird anhand der auf der rechten Seite dargestellten Testschritte gegen die entsprechenden Spezifikationen der linken Seite geprüft. Die erforderlichen Testfälle lassen sich auf einfache Weise in den jeweiligen Spezifikationsphasen auf der linken Seite erarbeiten.

V-Modell

Die Richtlinie VDI 2206 empfiehlt das V-Modell als Teil der Entwicklungsmethodik für mechatronische Systeme

| VDI 2206:2004-06 – VDI Gesellschaft Produkt- und Prozessgestaltung

VDE|DKE Tagung zur Funktionalen Sicherheit

VDE|DKE Tagung zur Funktionalen Sicherheit

| Melanie Kahl / LCEF

VDE|DKE Kongress zur funktionalen Sicherheit steht im Zeichen von KI und Industrie 4.0

Die VDE|DKE-Tagung zur funktionalen Sicherheit – mittlerweile auch bekannt als „Erfurter Tage“ – wurde in diesem Jahr, neben den rein fachlichen Themen, vor allem von den Entwicklungen rund um die beiden großen Themen „Industrie 4.0“ und „Künstliche Intelligenz“ begleitet.

Mit mehr als 160 TeilnehmerInnen aus den unterschiedlichsten Branchen wurde darüber hinaus ein neuer Besucherrekord für die im Zweijahresrhythmus stattfindende Veranstaltung aufgestellt.

Zum Veranstaltungsrückblick

Functional Safety und Cyber Security: Wo liegt der Unterschied?

Gegenseitige Beeinflussung von Safety und Security

Functional Safety (Betriebssicherheit) ist ohne Cyber Security (Angriffssicherheit) nicht möglich

| VDE|DKE

Häufig kommt die Frage auf, ob es überhaupt einen großen Unterschied zwischen „Functional Safety“ und „Cyber Security“ gibt, denn in beiden Fällen lautet die deutsche Übersetzung: „Sicherheit“.

Der Unterschied ist einfach erklärt und stützt sich dabei auf die englische Sprache:

  • Functional Safety schützt den Menschen vor der Maschine
  • Cyber Security schützt die Maschine vor dem Menschen

Die englische Sprache ist daher wesentlicher präziser hinsichtlich der Definition und Beschreibung des Begriffs als die deutsche Sprache. Für Experten und Anwender ist diese Unterscheidung einfach und ganz selbstverständlich – Laien auf diesem Gebiet hingegen verstehen anfangs aber nicht immer direkt, über welche Art der Sicherheit gesprochen wird.

Es kann – insbesondere an Schnittstellen – nicht ausgeschlossen werden, dass sich Safety- und Security-Maßnahmen gegenseitig beeinflussen. Relevant wird das vor allem dann, wenn für ein komplexes System eine ganzheitliche Risikobetrachtung bzw. Risikobewertung aufgestellt werden muss. Diese teilt sich in eine separate Safety-Risikobewertung und eine separate Security-Risikobewertung. Für die ganzheitliche Risikobetrachtung erfolgt ein Expertenaustausch beider Vertreter, der aufzeigen soll, welche Anforderungen bzw. Maßnahmen im jeweiligen Bereich auch Auswirkungen auf den jeweils anderen Bereich haben könnten.

Eine wesentliche Aussage, die in den vergangenen Jahren immer wieder aufkam, ist: „If it’s not secure, it’s not safe.“ Kern der Aussage ist also, dass, wenn eine Anlage nicht gegen Angriffe von außen geschützt ist, der Schutz des Menschen vor der Maschine ebenfalls nicht mehr sichergestellt werden kann.

IEC 61508: Die internationale Normenreihe für funktionale Sicherheit

Durch die zunehmende Vernetzung wird unsere Welt immer komplexer. Aus diesem Grund überrascht es nicht, dass funktionale Sicherheit kein reines und klassisches „Industrie-Ding“ ist, sondern in zahlreichen Branchen und Anwendungen zum Einsatz kommt. Dazu gehören beispielsweise Logistik, Luftfahrt, Schifffahrt, Kernkraft, Bahntechnik, Automobiltechnik, Prozessindustrie, Explosionsschutz, Medizingeräte und Haushaltsgeräte. Das wohl komplexeste und teuerste „Gerät“, das Otto Normalverbraucher besitzen kann, ist das Automobil. Wo genau funktionale Sicherheit bei einem Automobil zu finden ist, wird an späterer Stelle noch erläutert.

Die verschiedenen Aspekte der funktionalen Sicherheit für elektrische, elektronische oder programmierbare elektronische Systeme sind in der horizontalen Normenreihe IEC 61508 beschrieben, die damit gleichzeitig eine Grundnorm bzw. Metanorm (Typ A-Norm; Basic Safety Standard) darstellt.

Der Geltungsbereich der Normenreihe IEC 61508 erstreckt sich über Konzept, Planung, Entwicklung, Realisierung, Inbetriebnahme, Instandhaltung und Modifikation bis hin zur Außerbetriebnahme und Deinstallation. Wenn die Anforderungen der Normenreihe konsequent umgesetzt werden, ergibt sich ein Managementsystem zum sicheren Entwickeln und Betreiben von Produkten und Anlagen. Darüber hinaus gibt es noch weitere normative Festlegungen für spezielle Produktbereiche.

Metanorm IEC 61508

Die internationale Normenreihe IEC 61508 als Grundnorm für weitere Branchen

| VDE|DKE

Jeder dieser Bereiche greift auf Normenreihen zurück, deren Inhalte speziell auf die jeweiligen Anwendungsfelder angepasst sind. Das ist nachvollziehbar, denn die Anforderungen an ein Produkt oder eine Anlage bei Bahnanwendungen sind vollkommen andere als im Bereich von medizinisch elektrischen Geräten. Die Grundlage im Zusammenhang der funktionalen Sicherheit bietet jedoch in jedem Fall die Normenreihe IEC 61508.

Ein sehr gutes Beispiel ist die Normenreihe ISO 26262: Sie bildet ein eigenständiges Normenwerk für die Automobilindustrie. Die Grundgedanken stammen aus der Normenreihe IEC 61508 (z. B. SIL) und werden an die branchenspezifischen Anforderungen angepasst (z. B. ASIL).

Ein großes Thema der Normenreihe IEC 61508 wird zukünftig Künstliche Intelligenz sein, die normativ bisher noch nicht in dieser Normenreihe beschrieben wurde. Normungsexperten nehmen sich diesem Thema bereits an, um erste Anforderungen an Künstliche Intelligenz im Zusammenhang mit funktionaler Sicherheit in überarbeitete Fassungen oder neue Veröffentlichungen der Normenreihe einzubringen.

Fakt ist: KI hält immer mehr Einzug in unterschiedlichste Branchen und Anwendungen – Industrie 4.0, autonomes Fahren, intelligente Energieversorgung, Predictive Maintenance etc. DIN und DKE arbeiten bereits gemeinsam an einer KI-Normungsroadmap unter dem Titel „Ethikaspekte in der Normung und Standardisierung für Künstliche Intelligenz in autonomen Maschinen und Fahrzeugen“.

Zusammenspiel von Normen und Standards zur funktionalen Sicherheit

Für die Anwendung der Normenreihe IEC 61508 ist es wichtig zu verstehen, wie die Normenreihe aufgebaut ist und sich die einzelnen Normenteile ergänzen.

  • Im Bereich Grundlagen wird das Konzept der Risikoreduzierung auf ein akzeptables Restrisiko erläutert und dazu der Sicherheitslebenszyklus eines E/E/PE-Systems beschrieben. Es werden außerdem relevante Begrife beschrieben und die verschiedenen Normenteile in Beziehung gesetzt.
  • Im Bereich Hardware finden sich Beschreibungen, wie entsprechende System- und Hardwareanforderungen umgesetzt werden können.
  • Im Bereich Software finden sich Beschreibungen wie entsprechende Software-Anforderungen umgesetzt werden können. Darüber hinaus gibt es für spezielle Software-Aspekte weiterführende Dokumente.
  • Im Bereich Erläuterungen und Beispiele werden Maßnahmen und Verfahren vorgestellt, unter anderem für die Bestimmung des SIL. Weiterhin wird erläutert wie Software- und Hardware entwickelt werden können.
  • Funktionale Sicherheit und andere Themen beeinflussen sich gegenseitig. Im Bereich Schnittstellen wird durch branchen- und themenspezifische Dokumente beschrieben, wie diese effektiv und effizient miteinander verbunden werden können.
Aufbau und Zusammenspiel von Normen und Standards zur funktionalen Sicherheit

Aufbau und Zusammenspiel von Normen und Standards zur funktionalen Sicherheit

| VDE|DKE

Praxisbeispiel #2 für funktionale Sicherheit: Hochautomatisiertes Lager

Ein hochautomatisiertes Lager besteht aus einer Vielzahl von Maschinen und Robotern und ist in der Regel praktisch menschenleer. Und genau hier kommt funktionale Sicherheit zum Einsatz: Betritt eine Person das Lager, muss sichergestellt sein, dass sie nicht von den automatisierten und zum Teil autonom agierenden Maschinen verletzt wird. Bei der Planung eines hochautomatisierten Lagers wird also beispielsweise definiert,

  • wie detektiert werden kann, ob und wo sich Personen im Lager befinden,
  • welcher Abstand eingehalten werden muss, wenn Personen das Lager betreten und
  • mit welcher Geschwindigkeit sich Flurförderfahrzeuge durch den Raum bewegen dürfen, wenn sich Personen im Lager befinden.

Damit dies erfüllt werden kann, müssen die entsprechenden Sicherheitsmaßnahmen eingeführt werden. Gleichzeitig besteht das wirtschaftliche Interesse daran, dass Prozessabläufe nicht so unterbrochen werden dürfen, dass andere Maschinen zu einer Gefahr werden oder die gesamte Anlage stillsteht und es zu einem Produktionsausfall kommt.

Dieses Beispiel aus der Praxis ist noch vergleichsweise einfach. Wesentlich komplexer wird es, wenn aus dem hochautomatisierten Lager ein vollautonomes Lager wird, begleitet von manuellen Prozessen durch arbeitendes Personal, bei denen Mensch und Maschine zusammenarbeiten – sogenannte „kollaborierende Systeme “. Lager, in denen Fahrzeuge beladen werden, Menschen ihre Aufgaben verrichten und in denen Künstliche Intelligenz immer mehr Einzug erhält.


 Modernes Lagerhaus mit Roboterarm, Drohnen und Roboterträgern.
chesky - stock.adobe.com

Funktionale Sicherheit in autonomen Systemen

Michael Kieviet ist Experte auf dem Gebiet der Funktionalen Sicherheit und hielt bei den Erfurter Tagen 2019 den Vortrag „Funktionale Sicherheit für autonome und kollaborierende Systeme“. Darüber hinaus engagiert er sich seit Jahren aktiv in der Normung.

Im Vorfeld zu den Erfurter Tagen 2019 haben wir mit Michael Kieviet über die Funktionale Sicherheit in autonomen Systemen gesprochen.

Interview mit Michael Kieviet lesen

FMEA / FMECA: Wichtige Tools im Qualitätsmanagement

Eines ist klar: Ohne die einfachsten Prinzipien eines Qualitätsmanagements lässt sich funktionale Sicherheit für Produkte und komplexe Systeme erst gar nicht umsetzen. Hierfür ist ein definierter Entwicklungsprozess erforderlich. Ein entsprechend prozessbasierter Ansatz findet sich zum Beispiel in der internationalen Normenreihe ISO 9000 wieder. Um funktional sicher entwickeln zu können, müssen unter anderem folgende Fragen geklärt ein:

  • Was genau ist eigentlich eine Aufzeichnung?
  • Was wird unter einer Vorschrift verstanden?
  • Wie sieht das Dokumentenmanagement aus?

Ein weit verbreitetes Werkzeug, um Fehler zu identifizieren, ist – neben PAAG (en: HAZOP) und LOPA – ist die Fehlermöglichkeits- und -einflussanalyse bzw. Auswirkungsanalyse (en: Failure Mode and Effects Analysis – FMEA ). Sie beschäftigt sich unter anderem mit folgenden Fragen:

  • Welche Fehler könnten bei Produkten oder Anlagen auftreten?
  • Welche Effekte könnten hierbei durch das Auftreten entstehen?
  • Wie hoch ist die Auftretens- und Entdeckungswahrscheinlichkeit?

Auf Grundlage der Auswirkungsanalyse werden Maßnahmen getroffen, um zuvor festgelegte Fehler und Risiken zu vermeiden und die technische Zuverlässigkeit zu erhöhen. FMEA ist damit eine analytische Methode der Zuverlässigkeitstechnik und somit ein Werkzeug, das vor allem im Qualitäts- bzw. Sicherheitsmanagement angewendet wird.

Failure Mode Effect and Criticality Analysis (FMECA) erweitert die FMEA um eine Kritikalitätsanalyse. Ergänzend zu den Fehlern bzw. Fehlerarten sowie deren mögliche Auswirkungen bewertet FMECA darüber hinaus, wie kritisch diese Auswirkungen sein könnten.


3D Illustration Gehirn Computer
fotomek / stock.adobe.com

Künstliche Intelligenz in Sicherheitssystemen

Dr. Henrik Putzer ist Experte auf dem Gebiet der Funktionalen Sicherheit und hielt bei den Erfurter Tagen 2019 die Keynote „Ein strukturierter Ansatz für funktional sichere KI“. Darüber hinaus engagiert er sich seit Jahren aktiv in der Normung.

Im Vorfeld zu den Erfurter Tagen 2019 haben wir mit Dr. Henrik Putzer über Künstliche Intelligenz in Sicherheitssystemen gesprochen.

Interview mit Dr. Henrik Putzer lesen

Safety Integrity Level: Der Ansatz des tolerierbaren Risikos

Die Sicherheitsanforderungsstufe bzw. das Sicherheitsintegritätsniveau (en: Safety Integrity Level – SIL) beschreibt im Kontext der Risikobetrachtung, wie ausgeprägt einzelne Maßnahmen sein müssen, um das Risiko, dem das Produkt oder die Anlage ausgesetzt ist, auf ein tolerierbares Risiko zu vermindern. Hintergrund: Eine 100 prozentige Sicherheit kann nie gewährleistet werden! Es gilt also, das Risiko soweit zu reduzieren, dass es auf Basis der geltenden Wertvorstellungen der Gesellschaft akzeptabel ist. SIL lässt sich dabei in vier Stufen bzw. Niveaus unterteilen – SIL 1 bis SIL 4.

Nicht selten kommt es zu einer falschen Interpretation: Das SIL muss im Fall einer Industrieanlage für die gesamte Sicherheitsfunktion und nicht nur einzeln auf Komponentenebene betrachtet werden. Weisen sämtliche Einzelkomponenten der Anlage zum Beispiel ein Sicherheitsintegritätslevel 2 auf, so bedeutet das im Umkehrschluss nicht, dass auch die gesamte Anlage mit SIL 2 einzustufen ist.

Performance Level und SIL: High Demand / Continous Mode

IEC 61511 und IEC 62061IEC 61508EN 50129PFH*ISO 26262ISO 13849-1SIRF
---≥ 10-5 bis < 10-4QMPL aSAS 0
SIL 1SIL 1SIL 1≥ 3 x 10-6 bis < 10-5-PL bSAS 1
SIL 1SIL 1SIL 1≥ 10-6 bis < 3 x 10-6ASIL APL cSAS 1
SIL 2SIL 2SIL 2≥ 10-6 bis < 10-7ASIL B/CPL dSAS 2
SIL 3SIL 3SIL 3≥ 10-7 bis < 10-8ASIL DPL eSAS 4
Nicht praxisrelevantSIL 4SIL 4≥ 10-8 bis < 10-9--

* Mittlere Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde

Performance Level und SIL: Low Demand / On Demand Mode

IEC 61511IEC 61580PFD*ISO 13849-1
SIL 1SIL 1≥ 10-2 bis < 10-1Low Demand Mode nicht berücksichtigt
SIL 2SIL 2≥ 10-3 bis < 10-2Low Demand Mode nicht berücksichtigt
SIL 3SIL 3≥ 10-4 bis < 10-3Low Demand Mode nicht berücksichtigt
Nicht praxisrelevantSIL 4≥ 10-5 bis < 10-4Low Demand Mode nicht berücksichtigt

* Mittlere Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Anforderung

Wie lässt sich die erforderliche Risikominderung quantifizieren?

Risikominderung

Risikominderung

| VDE|DKE

Praxisbeispiel #3 für funktionale Sicherheit: Elektronisches Stabilitätsprogramm (ESP)

Funktionale Sicherheit zeigt sich aber nicht nur in Produkten oder Anlagen der Prozessindustrie. Beim Automobil spielt die Fahrzeugelektronik beispielsweise mit dem Anti-Blockier-System (ABS) und dem elektronischen Stabilitätsprogramm (ESP) eine große Rolle. Mit Hilfe einer Risikobetrachtung werden bei der Entwicklung das Fahrverhalten, mögliche Unfallarten und die damit verbundenen Auswirkungen bedacht. Fährt der Fahrer zu schnell in eine Kurve hinein, könnte das Auto ausbrechen, wodurch es ggfs. zu einem Unfall kommt.

Eine Risikobewertung anhand eines Risikoklassifizierungsschemas würde nun ergeben, dass es sich hierbei um ein nicht tolerierbares Risiko handelt und Gegenmaßnahmen getroffen werden müssen. Die Gegenmaßnahme wäre in diesem Beispiel das ESP. Zwar kann ein Ausbrechen des Automobils nicht gänzlich verhindert werden, jedoch wird das Risiko auf ein tolerierbares Risiko begrenzt. Sollte das ESP aber einmal ausfallen, leuchtet in der Kontrollanzeige ein Warnsignal auf, das den Fahrer über das nicht funktionierende ESP informiert. Das mögliche Risiko wird an dieser Stelle weiterhin verringert.

Das Automotive Safety Integrity Level (ASIL) ist speziell für die Automobilindustrie angepasst und wird in der internationalen Normenreihe „ISO 26262 – Funktionale Sicherheit für Straßenfahrzeuge“ definiert. Die Anpassung für die Automobilindustrie basiert auf den Sicherheitsintegritätsstufen (SIL) der internationalen Normenreihe IEC 61508 und den Performanceleveln der ISO 13849. ASIL beschreibt Anforderungen an die Integrität bzw. Zuverlässigkeit der Sicherheitsfunktion.


Newsletter in Tablet liegt auf einer Tastatur
Coloures-Pic / stock.adobe.com

Mit dem DKE-Newsletter sind Sie immer am Puls der Zeit!

In unserem monatlich erscheinenden Newsletter ...

  • fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
  • berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
  • informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen
Ich möchte den DKE-Newsletter erhalten!

Funktionale Sicherheit lässt sich prüfen und zertifizieren

Während der Planung und Entwicklung sollen systematische Hard- und Softwarefehler durch das Befolgen der Prinzipien der funktionalen Sicherheit weitestgehend ausgeschlossen werden. Auf die Planungs- und Entwicklungsphasen folgen Validierung und Verifikation. Daran schließen sich der Betrieb sowie Instandhaltung und Reparatur an. In diesen Phasen können Fehler auftreten, die idealerweise nicht zu gefährlichen Situationen führen dürfen: Elektrische Schläge, Feuer, Explosionen, Quetschungen und Stöße durch Roboter, überfahren werden etc. Funktionale Sicherheit erstreckt sich somit über den gesamten Lebenszyklus, was bedeutet, dass deren Methoden während Betrieb, Reparatur und Instandhaltung weiterhin angewendet werden sollten.

Die CE-Richtlinien fordern über die jeweiligen harmonisierten Normen hinaus sowohl den deterministischen als auch den analytischen Konformitätsnachweis (Risikoanalyse). Die Betrachtung der funktionalen Sicherheit erfolgt immer risikobasierend und für den gesamten Lebenszyklus vom Produkt bzw. der Anlage – abhängig von der Betrachtungsebene (Produkt, Subsystem, Komponente) muss sie aber auch jeweils unterschiedlich behandelt werden.

Funktionale Sicherheit ist zwar ein Begriff, der sich auf unterschiedlichste Branchen und Anwendungen umsetzen lässt. Eine Zertifizierung von Produkten und Anlagen zur Feststellung der Betriebssicherheit ist jedoch trotzdem möglich. Ein sehr ausgeprägtes Angebot an Dienstleistungen im Bereich der funktionalen Sicherheit, wie zum Beispiel Prüfungen, Zertifizierungen, Workshops und Schulungen, bietet unter anderem das VDE Prüf- und Zertifizierungsinstitut.

Zu den unterschiedlichen Produktgruppen gehören beispielsweise:

  • Software
  • Medizingeräte
  • Photovoltaikanlagen
  • Elektrobetriebene Fahrzeuge
  • Batteriemanagementsysteme
  • Elektrische Schutzeinrichtungen
  • Haushaltsgeräte und Smart Home-Produkte
  • Maschinen, Roboter und Industrie 4.0-Produkte

Die korrekte Funktion der E/E/PE-Systeme ist zentraler Bestandteil der funktionalen Sicherheit
Denis Dryashkin / Fotolia

Funktionale Sicherheit: Prüfung und Zertifizierung im VDE-Institut

Die Sicherheit von Produkten ist heute mehr denn je von einer korrekten Funktion der elektrischen, elektronischen und programmierbar elektronischen Systeme (E/E/PE) abhängig, da Fehlfunktionen zu gefährlichen Situationen führen und dadurch Personen und Investitionen gefährden können.

Das VDE-Institut bietet seine Prüfkompetenzen schon während der Entwicklungsphase an und bestätigt die Sicherheit des Produktes am Ende der Entwicklung durch ein VDE-Zertifikat.

Dienstleistungen für funktionale Sicherheit beim VDE Prüf- und Zertifizierungsinstitut

Funktionale Sicherheit: Grundzüge sicherheitstechnischer Systeme

Funktionale Sicherheit: Grundzüge sicherheitstechnischer Systeme

Funktionale Sicherheit: Grundzüge sicherheitstechnischer Systeme

| VDE VERLAG

► Ein Grundlagenwerk für Einsteiger und Fortgeschrittene! ◄

Die funktionale Sicherheit ist jeder Teil der Gesamtanlagensicherheit, der von der korrekten Funktion sicherheitsbezogener Systeme zur Risikoreduzierung abhängt. Die den Bestimmungen entsprechenden Funktionen dieser Systeme, die Sicherheitsfunktionen, müssen unter definierten Fehlerbedingungen und mit definierter hoher Wahrscheinlichkeit ausgeführt werden.

Mit der relevanten und generischen IEC 61508 fordert eine Norm erstmals einen quantitativen Nachweis für das verbleibende Risiko! Die Normen IEC 61511 (Prozessindustrie), IEC 61513 (Kernkraftwerke) sowie die IEC 62061 (Maschinenbereich) spezifizieren die Anforderungen für die verschiedenen Anwendungen.

► Die Komplexität moderner, technischer Systeme nimmt weiter zu. ◄

In diesem Buch werden unter anderem die Überwachung oder Steuerung von Fahrzeugen, Zügen und Flugzeugen oder auch von Maschinen, Kraftwerken und chemischen Anlagen sowie im medizinischen oder sonstigen sicherheitskritischen Bereich behandelt.

Sehr interessant ist auch der Abschnitt zur Softwareentwicklung: Zuverlässigkeit bedeutet generell das Funktionieren unter allen Bedingungen. Gerade in modernen Systemen ist die darin verwendete Software aber so komplex, dass Fehler nie vollständig auszuschließen sind. Sicherheit bedeutet hier, dass – selbst beim Auftreten eines Fehlers – das System nicht in einen kritischen Zustand gerät.

► Konkrete Handlungsempfehlungen und Anwendungsbeispiele für die Praxis. ◄

Das Buch betrachtet Normen, die verschiedenen Sicherheitsstufen (SIL 1 bis SIL 4), Hardware- und Software-Komponenten sowie entsprechende Modelle, behandelt Maßnahmen zur Risikobestimmung und Risikoreduzierung und enthält zahlreiche Anwendungsbeispiele aus verschiedenen Branchen.

Es bietet einen fundierten Einstieg in das Thema, wertvolle Unterstützung bei dem Verständnis und der Realisierung sicherer elektrischer, elektronischer und programmierbarer elektronischer Systeme (E/E/PES) und eignet sich auch als Nachschlagewerk für den erfahrenen Anwender.

Zum VDE VERLAG

Fragen und Antworten zu funktionaler Sicherheit

FAQ Text - Icon

Was bedeutet "demand" (Anforderung)?

FAQ Text - Icon

Hierbei handelt es sich um die Anforderung der Funktion aufgrund einer Gefährdung.

FAQ Text - Icon

Was bedeutet "low demand" (niedrige Anforderung)?

FAQ Text - Icon

Aufgrund von selten auftretenden Gefährdungen wird die Funktion selten angefordert (weniger als einmal im Jahr). Es spielt dabei keine Rolle, ob die Überwachung durch eine SPS mit kurzer Zykluszeit geschieht oder durch Relais, die nur selten schalten.

FAQ Text - Icon

Was bedeutet "high demand " (hohe Anforderung)?

FAQ Text - Icon

Aufgrund von häufig auftretenden Gefährdungen wird die Funktion häufig angefordert (öfters als 1 x im Jahr).
Zum Beispiel wird die Schutztür während der Betriebszeit der Säge ständig geöffnet und geschlossen und die damit verbundene Sicherheitsfunktion angefordert.
Ebenso wird angenommen, dass der NOT-AUS-Taster mehr als einmal im Jahr gedrückt wird.
Diese beiden Sicherheitsfunktionen haben daher eine hohe Anforderungsrate.

FAQ Text - Icon

Haben "low demand" und "high demand" etwas mit der Betriebsart der beteiligten Gerätetechnik zu tun?

FAQ Text - Icon

Nein, „low demand“ und „high demand“ haben mit der Betriebsart der beteiligten Geräte nichts zu tun. Wie aus den Benennungen hervorgeht, wird damit die Häufigkeit ausgedrückt, mit der eine Sicherheitsfunktion angefordert wird. Wie die ausführende Gerätetechnik organisiert ist, spielt dabei keine Rolle.

Der Begriff „Betriebsart“ ist in DIN EN 61508-4 (VDE 0803-4):2010 definiert. Eine weitergehende Erläuterung findet sich im Aufsatz des Expertengremiums DKE/GK 914, das für die DIN EN 61508 (VDE 0803) zuständig ist.

FAQ Text - Icon

Wie ist „Instrument“ im Sinne der IEC 61511 zu verstehen?

FAQ Text - Icon

Unter dem Begriff „Instrument“ werden alle Feldgeräte – Sensoren und Aktoren – zusammengefasst.

FAQ Text - Icon

Wie ist die Testung der Schutzeinrichtung zu berücksichtigen?

FAQ Text - Icon

Die Testung geht in die Berechnung der PFD ein, hat aber keine Auswirkung auf die Betriebsart.

Wenn die Anforderung der Funktion aufgrund einer Gefährdung selten ist, bleibt die Betriebsart diejenige mit niedriger Anforderungsrate (low demand), auch wenn häufig getestet wird. Wenn elektromechanische Bauteile wie Schütze zu Testzwecken häufig geschalten werden, haben Fehler wie Verschleiß und Verschweißen der Kontakte den höchsten Fehleranteil. Aus diesem Grund ist die Ausfallrate Lambda über den B10-Wert zu ermitteln. Die Betriebsart bleibt aber diejenige mit der niedrigen Anforderungsrate (low demand), für die der PFD-Wert maßgebend ist.

FAQ Text - Icon

Wie unabhängig muss ein Gutachter für funktionale Sicherheit sein?

FAQ Text - Icon

DIN EN 61508-1 (VDE 0803-1):2011 fordert, dass diejenige Person oder Organisation, die die funktionale Sicherheit beurteilt, unabhängig von denjenigen sein muss, die das sicherheitsbezogene System oder „konforme Objekt“ herstellen oder an dessen Herstellung mitwirken.

Nähere Anforderungen hierzu sind im Unterabschnitt 8.2.15 der Norm aufgeführt. Sie hängen von der Schwere der Auswirkungen eines Versagens des sicherheitsbezogenen Systems (nicht vom SIL) und dessen Neuigkeitsgrad sowie Komplexität ab.

Unabhängigkeit bedeutet aber nicht notwendigerweise die Einbeziehung einer Drittstelle. Auch eine hausinterne Stelle, die mit ausreichenden Vollmachten und der notwendigen Unabhängigkeit ausgestattet ist, kann die Anforderung erfüllen (siehe hierzu DIN EN 61508-1(VDE 0803-1):2011, 8.2.16, Anmerkung 1). Dies gilt auch für Anwendungen, in denen eine Sicherheitsfunktion den Sicherheitsintegritätslevel (SIL) 3 oder höher erfüllen muss.

Bestimmte EU-Richtlinien können – in Form ihrer Umsetzung in ein deutsches Gesetz oder eine Verordnung – eine weitergehende Unabhängigkeit von Gutachtern fordern. Sie werden dort als „benannte Stellen“ bezeichnet.

FAQ Text - Icon

Muss zur Erreichung der funktionalen Sicherheit auch die IT-Sicherheit berücksichtigt werden?

FAQ Text - Icon

DIN EN 61508-1 (VDE 0803-1):2011 gibt hierzu im Unteranschnitt 7.4.2.3 des Kapitels zur „Gefährdungs- und Risikoanalyse“ folgende Empfehlung:

Wenn die Gefährdungsanalyse feststellt, dass eine böswillige oder nicht autorisierte Handlung, die eine Bedrohung der IT-Sicherheit darstellt, als vernünftigerweise vorhersehbar gilt, sollte eine Bedrohungsanalyse zur IT-Sicherheit durchgeführt werden.

In der zugehörigen Anmerkung 3 steht außerdem folgende Aussage:

Für eine Anleitung zur Risikoanalyse im Rahmen der IT-Sicherheit siehe die Normenreihe IEC 62443.

Um dies zu unterstützen, wurde IEC TR 63069 („Industrial-process measurement, control and automation - Framework for functional safety and security“) geschrieben, der das Zusammenspiel der Normenreihen IEC 61508 und IEC 62443 beschreibt. Im Bereich der Maschinensicherheit – IEC 62061 – gibt es hierfür IEC TR 63074 („Safety of machinery - Security aspects related to functional safety of safety-related control systems“).

FAQ Text - Icon

Welche Rolle spielen zufällige Fehler bei elektromechanischen Bauteilen in der Betriebsart mit niedriger Anforderungsrate?

FAQ Text - Icon

In der Betriebsart mit niedriger Anforderung (low demand) ist der Anteil systematischer Fehler sehr dominant, bis zu 100 %. Deshalb ist eine Berechnung der PFD nebensächlich. Viel wichtiger ist es also, systematische Fehler durch beispielsweise richtige Projektierung der Anlage, zu vermeiden. Geeignete Maßnahmen sind unter anderem:

  • systematische Entwicklung
  • Qualitätsgesicherte Produktion
  • Überdimensionieren
  • Betriebsbewährung nachweisen
FAQ Text - Icon

Darf Künstliche Intelligenz verwendet werden?

FAQ Text - Icon

Die aktuelle Normenreihe DIN EN 61508 wurde 2011 veröffentlicht, daher ist diese Technologie nicht umfänglich berücksichtigt. Das Lebenszyklus-Modell bildet eine Basis um KI-Entwicklungen zu integrieren, müsste aber um KI-spezifische Entwicklungsphasen ergänzt werden.

KI wird einmal im normativen Teil erwähnt: Laut Tabelle A.2 im Anhang A der DIN EN 61508-3 (VDE 0803-3):2011 ist das Verfahren bzw. die Maßname „Künstliche Intelligenz - Fehlerkorrektur“ für SIL 2, SIL 3 und SIL 4 mit „--“ markiert.

„--“ bedeutet: „Das Verfahren oder die Maßnahme wird für diesen Sicherheits-Integritätslevel ausdrücklich nicht empfohlen. Wenn dieses Verfahren oder diese Maßnahme verwendet wird, dann sollte der Grund mit Bezug zu Anhang C während der Sicherheitsplanung ausführlich dargelegt und mit der beurteilenden Person abgestimmt werden.“

Diese negative Empfehlung wird im informativen Anhang C Tabelle C.2 der gleichen Norm begründet. Die Verwendung von KI als Verfahren/Maßnahme kann die Erreichung folgender Eigenschaften erschweren:

  • Korrektheit in Bezug auf die Spezifikation der Anforderungen an die Sicherheit der Software
  • Freiheit von Entwurfsfehlern
  • Einfachheit und Verständlichkeit
  • Voraussagbarkeit des Verhaltens
  • Nachweisbarer und testbarer Entwurf

KI wird in der Norm zur Fehleranalyse ausdrücklich nicht empfohlen. Die Norm spricht jedoch auch kein explizites Verbot aus.

Was mit „Künstliche Intelligenz – Fehlerkorrektur“ gemeint ist, wird in DIN EN 61508-7 (VDE 0803-7):2011-02 näher erläutert:

„Ziel: Auf mögliche Gefährdungen in einer sehr flexiblen Art reagieren, indem eine Kombination aus Methoden und Prozessmodellen und einer Art von Online-Sicherheits- und Zuverlässigkeitsanalysen eingeführt wird.

Beschreibung: Durch Systeme auf der Grundlage künstlicher Intelligenz (en: artificial intelligence, AI) können Fehlervorhersagen (Trendrechnungen), Fehlerkorrekturen sowie Instandhaltungs- und Überwachungstätigkeiten sehr wirkungsvoll in diversitären Kanälen eines Systems unterstützt werden, weil die Regeln direkt von der Spezifikation abgeleitet und gegen diese getestet werden können. Einige Fehler gemeinsamer Ursache, die aufgrund bestimmter Realisierungsvorstellungen bei der Erstellung der Spezifikation gemacht worden sind, können durch diesen Ansatz wirksam vermieden werden. Dies gilt besonders, wenn eine Kombination von Modellen und Methoden in einer funktionalen oder beschreibenden Art angewendet wird. Um die gewünschte Sicherheitsintegrität zu erreichen, werden die Methoden derart ausgewählt, dass Fehler korrigiert und die Auswirkungen der Ausfälle vermindert werden.“

Redaktioneller Hinweis:

Die im Text aufgeführten Normen können Sie beim VDE VERLAG erwerben.

Zum VDE VERLAG

Relevante News und Hinweise zu Normen