DKE Erfurter Tage 2025

DKE Erfurter Tage 2025

| DKE
26.05.2025 Fachinformation

DKE Tagung Funktionale Sicherheit 2025

Am 13. und 14. März 2025 trafen sich die Expertinnen und Experten der funktionalen Sicherheit zu ihrem im Zweijahresrhythmus stattfindenden Treffen im Kaisersaal der Stadt Erfurt, den „Erfurter Tagen“ der DKE.

Unter Leitung von Frank Schiller wurde über die bevorstehende 3. Ausgabe der IEC 61508 als Sicherheitsgrundnorm für funktionale Sicherheit und die Fortschreibung der IEC 61511 diskutiert. Außerdem wurden der Umgang mit Künstlicher Intelligenz (KI), Cybersecurity, neue Tendenzen in der Softwareerstellung, die Erschließung neuer Anwendungen der funktionalen Sicherheit und die Bewertung mechanischer Einrichtungen diskutiert.

Kontakt
Sascha Man-Son Lee
Zuständiges Gremium
Verwandte VDE Themen

Das erwartet Sie in diesem Artikel:

  • Dritte Ausgabe der IEC 61508 auf der Zielgeraden
  • Plattentektonischen Verschiebung in der Produkthaftung
  • Coded Processing, Open Source, Lithium-Ionen-Batterien u.v.m.

Einsatz der künstliche Intelligenz: Zuarbeit ja, Verantwortung übernehmen nein

In ihrer Keynote „Künstliche Intelligenz im Safety Engineering – aber mit Sicherheit!“ gingen Rasmus Adler und Jan Reich (Fraunhofer-Institut für Experimentelles Software Engineering IESE) auf die Frage ein, in welchem Bereich generative KI mit Large Language Modellen am ehesten nutzbringend eingesetzt werden kann.

Diese Technik könnte im Kernbereich der funktionalen Sicherheit, also der Entscheidungsfindung im Rahmen von Sicherheitsfunktionen, eingesetzt werden, so wie dies offensichtlich bei einigen autonomen Straßenfahrzeugen bereits der Fall ist. Hier besteht jedoch ein wirtschaftliches Risiko, wenn diese neue Technologie aufgrund der Normenlage und erwarteter Unfälle nicht voll genutzt werden kann. Erfolgversprechender ist dagegen der Einsatz in der Zuarbeit zu verschiedenen Schritten im Lebenszyklus der funktionalen Sicherheit. Versuche des Fraunhofer IESE haben nachgewiesen, dass zum Beispiel bei der Verfolgung von Anforderungen und bei der Erstellung von Testfällen der menschliche Aufwand erheblich verringert werden kann, was angesichts des allgegenwärtigen Fachkräftemangels sehr hilfreich ist.

In der anschließenden Diskussion wurde die Frage gestellt, ob in einem Verifikationsschritt bei der Anwendung des 4-Augen-Prinzips ein Augenpaar durch die KI ersetzt werden könnte. Adler und Reich rieten hiervon ab, da dann die menschliche Verantwortung ersetzt werden würde. Besser wäre es, die KI bei der Vorbereitung und Unterstützung eines derartigen Schrittes einzusetzen.

Block 1: IEC 61508 und IEC 61511

Dritte Ausgabe der IEC 61508 ist auf der Zielgeraden – Konsequenzen für Hersteller zeichnen sich ab

Stephan Aschenbrenner (exida.com GmbH) und Michael Kindermann (Pepperl + Fuchs SE) haben auch in diesem Jahr einen Ausblick auf die neue Ausgabe der Normenreihe IEC 61508 gegeben.

Nachdem die Arbeitsgruppen IEC SC 65A MT 61508-1/2 und MT 61508-3 über 2.000 Kommentare bearbeitet hatten, liegen nun die CDV-Entwürfe vor. Damit zeichnen sich die Konsequenzen für die Hersteller von Geräten deutlicher ab als noch vor zwei Jahren:

  1. Die Unabhängigkeit von Personen, die die funktionale Sicherheit beurteilen, wird neu geregelt. Für Personen, die an Verifizierungsschritten teilnehmen oder an der Validierung, werden Unabhängigkeitsanforderungen neu eingeführt. Dieses kann Konsequenz im Hinblick auf die personelle Zusammensetzung eines Projektes erhaben.
  2. Der Sicherheitsintegritätslevel SIL und die systematische Befähigung SC (systematic capability) werden klarer abgegrenzt. Dieses hat jedoch keine direkten Konsequenzen auf Produkte. Der Begriff „systematische Befähigung“ wird jetzt auch im Teil 3 für Softwareelemente verwendet.
  3. Die Vorschriften für Halbleiter der IEC 61508-2:2010, Anhang F werden in die neue IEC 61508-2-1 ausgelagert und vollständig überarbeitet. Sie werden dabei normativ. Es werden 3 Klassen eingeführt: Die Halbleiterelemente der Klasse 0 stellen keine besonderen Eigenschaften für den Entwurf des sicherheitsgerichteten Systems zur Verfügung. Die Halbleiter der Klasse 1 stellen verlässliche Diagnosemöglichkeiten zur Verfügung und die der Klasse 2 verlässliche Diagnosen sowie interne Redundanzen.
  4. Die Definition des gefahrbringenden Ausfalls in Teil 4 der Normenreihe wird so erweitert, dass er auch Diagnoseausfälle umfasst. In Teil 2 der Normenreihe werden Vorgaben zur Auslegung und rechnerischen Berücksichtigung der Diagnose neu eingeführt. Aschenbrenner sah allerdings die Diskussionen zu diesem Punkt innerhalb der zuständigen IEC-Arbeitsgruppe noch nicht als beendet an.
  5. Zur Behandlung von Ausfällen gemeinsamer Ursache in einem redundanten, mehrkanaligen System wird der Begriff des Common Cause Initiators aus der ISO 26262 (funktionale Sicherheit für Automobile) übernommen und der Begriff des Common Cause Coupling neu eingeführt. Es bleibt aber dabei, dass alle Einflüsse, die zu Ausfällen gemeinsamer Ursache führen können, rechnerisch in dem bekannten Beta-Faktor zusammengefasst werden.
  6. Im Fachbericht IEC TR 61508-6-1 wird beschrieben werden, wie Geräte und Zulieferung, die bereits für die funktional sichere Automobiltechnik nach ISO 26262 qualifiziert wurden, auch im Bereich der IEC 61508 eingesetzt werden können.
  7. Objektorientierte Software ist jetzt im normativen Teil geregelt und zugelassen.
  8. Die Software-Sicherheitsanalyse wird näher beschrieben und bleibt nicht auf die Validierung beschränkt.
  9. Die statistische Bewertung von Software, um für eine bereits existierende Software Betriebsbewährung auszusprechen, ist nach wie vor umstritten und wird voraussichtlich nur informativ beschrieben werden. 

In 2027 wird voraussichtlich die dritte Auflage der IEC 61508 erscheinen.

Vorschriften zu Tools aus ISO 26262

Durch Software-Werkzeuge („offline Software Tools“), die nicht korrekt arbeiten, können ebenfalls Ausfälle im sicherheitsgerichteten System hervorgerufen werden. Michael Kieviet (Lapwing GmbH) erläuterte deshalb in seinem Vortrag „Zukünftige Wege und Anforderungen der Toolqualifizierung“, welche neuen Vorschriften die IEC 61508-3 aufnimmt, um das Vertrauen in die entsprechenden Tools zu erhöhen und sie damit für die sicherheitstechnische Verwendung zu klassifizieren. Dazu werden Begriffe und Kennziffern aus der ISO 26262 für die Automobiltechnik, die den Einfluss von Fehlern in einem Tool und Maßnahmen zu dessen Aufdeckung beschreiben, verwendet.

Neuausgabe der IEC 61511 wird vorbereitet

Die Überarbeitung der Normenreihe IEC 61511 wurde im zuständigen Komitee IEC SC 65A noch nicht offiziell begonnen, die Maintenance-Gruppe MT 61511 bereitet sich aber dennoch bereits darauf vor. Dies erläuterte Dirk Hablawetz (BASF SE) in seinem Vortrag „Edition 3 der IEC 61511 – Wo geht die Reise hin?“

Rückmeldungen aus dem Anwenderkreis deuten darauf hin, dass hauptsächlich Verständnisprobleme im Hinblick auf diese Normenreihe vorliegen. Schwerpunkt wird daher wahrscheinlich die textuelle Überarbeitung und die Anpassung der Struktur sein. Eine inhaltliche Änderung wird die sogenannte Prozess-Sicherheitszeit betreffen, die im Anwenderkreis offenbar nicht verstanden und daher sehr unterschiedlich verwendet wird. Sie wird ersetzt werden durch die „Maximum Event Response Time“, um diejenige Zeitspanne auszudrücken, in der die Aktion einer Schutzeinrichtung abgeschlossen sein muss.


DKE Newsletter-Seitenbild
sdx15 / stock.adobe.com

Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...

  • fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
  • berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
  • informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen
Ich möchte den DKE Newsletter erhalten!

Block 2: Software-Techniken und Software-Konzepte

KI und klassische Logik arbeiten Hand in Hand

Mit einem bergmännischem „Glück auf“ begrüßte Alfred Gerlach, emeritierter Professor an der Bergischen Universität Wuppertal, das Publikum zu seinem Vortrag „Konzept zur Überwachung sicherheitskritischer Prozesse unter Anwendung eines tiefen neuronalen Netzes“.

Er schlug ein zweikanaliges System zur Ausführung von Sicherheitsfunktionen vor, wobei ein Kanal mit herkömmlicher Logik programmiert ist. Ein zweiter Kanal verwendet tiefe neuronale Netzwerke. Mit ihrer Hilfe lernt er nicht nur diejenigen gefährlichen Abläufe zu erkennen, die der Formulierung der Sicherheitsfunktionen für den ersten Kanal zu Grunde lagen. Er kann darüber hinaus Anomalien erkennen, die sich erst aus der Kombination mehrerer beobachteter Merkmalszustände ergeben. Dies befähigt ihn zu einer zusätzlichen Risikoreduzierung, die der erste Kanal für sich allein nicht erbringen könnte. Als mögliche Anwendung nannte Gerlach Aufzugsanlagen im Bergbau.

Franz Xaver Brandl (UL International Germany GmbH) berichtete in seiner Präsentation von „AI in sicherheitsgerichteten Radar/Kamera Anwendungen – ISO/IEC TS 22440“.

Die Anwendung soll Personen erkennen und die von einer Kamera und von einem Radar gelieferten Informationen so zusammenführen, dass es zu möglichst wenig Fehlauslösungen kommt. Diese Anwendung wird auch im Teil 3 der geplanten technischen Spezifikationen ISO/IEC TS 22440 als Beispiel aufgeführt. Der Ansatz mit Hilfe der genannten Technischen Spezifikation ersetzt nicht die funktionale Sicherheit nach IEC 61508, sondern ergänzt sie. Entscheidend für die Qualität der Erkennung sind die Gewinnung und Aufbereitung der Daten zum Einlernen des neuronalen Netzes. Auf Nachfrage aus dem Publikum meinte Brandl, dass diese Teilsicherheitsfunktion zur Erkennung von Personen SIL 2 erreichen kann.

Mit hohem Diagnosedeckungsgrad in die Virtualisierung

Über „Coded Processing: Sicherheit durch Rechenleistung“ sprachen Claudio Gregorio (innotec GmbH) und Martin Süßkraut (SIListra Systems GmbH).

Hierunter ist zu verstehen, dass der Logikteil einer Sicherheitsfunktion auf einer Steuerung mit unbekannter Hardware abgearbeitet wird, deren Eigenschaften und deren physikalischer Standort dem Anwender nicht bekannt sind. Sie könnte sich zum Beispiel in einer Cloud befinden (in der Informationstechnik auch als „Virtualisierung“ bezeichnet). Die funktionale Sicherheit wird mit Hilfe einer zweifachen Abarbeitung sicherstellt. Die Software bietet sozusagen zwei redundante Kanäle an, in dem nativen Kanal wird die Steuerungsaufgabe mit Hilfe einer normalen Programmiersprache bearbeitet. Im verschlüsselten Kanal werden die Daten zunächst verschlüsselt, dann auf anderem Wege bearbeitet und anschließend wieder entschlüsselt. Eine weitere Einheit führt die Ausgaben des nativen und des verschlüsselten Kanals zusammen. Wird eine Abweichung erkannt, so wird das gesamte System veranlasst, eine sichere Position einzunehmen.

Im Sinne der IEC 61508 wird der verschlüsselte  Kanal als Diagnose mit hohem Diagnosedeckungsgrad angesehen.

Fehlervermeidung in der Open-Source-Community

Über „Linux in funktional sicheren Systemen – Ansätze von Open Source Projekten“ berichtete Philipp Ahmann (ETAS GmbH).

Auf der einen Seite ist die Verwendung von Open-Source-Software aus wirtschaftlichen Gründen attraktiv, auf der anderen Seite ist die Entstehung einer solchen Software nicht mit dem genormten Entwicklungsprozess eines klassischen, funktional sicheren Produkts zu vergleichen. Von der betreffenden Open-Source-Gemeinde wird auch keine Haftung übernommen. Besonders in China wird in der letzten Zeit auch in sicherheitsgerichteten Produkten auf Open-Source-Software gesetzt.

Die Herstellungsprozesse sind in der Gemeinde der Open-Source-Programmierer inzwischen mit Werkzeugen, beispielsweise zum Projektmanagement und zur Verfolgung von Anforderungen, abgesichert und die Beteiligten geschult worden. In der anschließenden Diskussion vertrat Ahmann daher die Ansicht, dass damit von einer Fehlervermeidung durch ein entsprechendes Management der funktionalen Sicherheit ausgegangen werden kann.

Smart Manufacturing auch für sichere Chemieanlagen

Um verfahrenstechnische Prozesse schneller auf- und umzubauen, ähnlich dem „Smart Manufacturing“ in der Industrie 4.0, wurde das Konzept MTP entwickelt. Leon Urbas (TU Dresden) berichtete hierüber in seiner Präsentation „MTP und Safety MTP“.

„MTP“ bedeutet Modul Type Package. In einem Modul könnte beispielweise eine chemische Reaktion stattfinden. Voraussetzung dafür ist, dass sich die Modularisierung nicht auf die Anlagentechnik beschränkt, sondern auch die zugehörige Instrumentierung miteinschließt. Die Familie der MTP-Standards (zukünftige IEC 63280) legt die dazu erforderlichen Schnittstellen fest. Hinsichtlich der Sicherheit wird folgender Ansatz verfolgt: Jedes Modul soll intramodular sicher sein. Das heißt, alle Sicherheitsfunktion werden lokal abgearbeitet und ein Modul kann Risiken ausreichend mindern, die eingangsseitig hineingetragen werden.


Coded-Processing-Automatisierung

Coded-Processing-Automatisierung

| xiaoliangge / stock.adobe.com & Yaruniv-Studio / stock.adobe.com

Coded-Processing-Automatisierung: Ein neuer Weg zur funktionalen Sicherheit?

In der Norm IEC 61508 Ed. 3 werden softwarebasierte Sicherheitsansätze stärker berücksichtigt. Ein solcher Ansatz ist die Automatisierung von Coded Processing. Sicherheitsmechanismen werden durch mathematische Codierung in Software automatisiert integriert. Wir haben dazu mit Dr. Martin Süßkraut gesprochen, der die Technik unter anderem entwickelt hat. Außerdem im Gespräch: Claudio Gregorio, der für die Implementierung und Unterstützung in industriellen Anwendungen verantwortlich ist.

Mehr erfahren

2024: Das Jahr der plattentektonischen Verschiebung in der Produkthaftung

An einigen Stellen hat sich der Rechtsrahmen in der Europäischen Union für das Inverkehrbringen von Produkten deutlich geändert. Hierauf machte Thomas Klindt (Noerr Partnerschaftsgesellschaft mbH) in seiner Keynote „Cyber-Resilienz und Produkthaftung – Neues aus dem EU-Recht“ am zweiten Kongresstag aufmerksam.

Die novellierte EU-Produkthaftungsrichtlinie 2024/2853, die KI-Verordnung 2024/1689 und die Cyber Resilience-Verordnung EU 2024/2847 (Cyber Resilience Act; CRA) traten in Kraft, aufgegeben wurde dagegen das Vorhaben einer KI-Haftungs-Richtlinie.

Bereits bei den Erfurter Tagen 2023 hatte Klindt darauf aufmerksam gemacht, dass die Herstellerpflichten der Cyber Resilience-Verordnung (CRA) im Grunde genommen Sabotagefestigkeit bedeuten. Dieser Gedanke wird auch aufgenommen durch die überarbeitete Produkthaftungsrichtlinie der EU, so dass mangelnde Cybersicherheit ein Fehler eines Produktss sein kann, wenn es dadurch zu einem Schaden beim Kunden kommt. Zu den weiteren Neuerungen gehört, dass auch ein Stück Software als Produkt angesehen wird. Er verdeutlichte dieses anhand des Beispiels einer Kaffeemaschine, die der Kunde mit einer App seines Smartphones fernsteuern kann. Wenn es einem Angreifer gelingt, die App anzugreifen und eine Fehlsteuerung so herbeizuführen, dass dadurch die Küche in Brand gesetzt wird, so haftet der Hersteller der Kaffeemaschine. Dies gilt auch, wenn der Hersteller nach dem Stand von Wissenschaft und Technik gearbeitet und alle relevanten Normen angewendet hat.

Klindt meinte, dass all diese neuen rechtlichen Regelungen wie eine „plattentektonische Verschiebung“ wirken werden. Dennoch wurden sie in der Öffentlichkeit bislang wenig diskutiert.


Neue Produkthaftungsrichtlinie: Interview mit Prof. Dr. Thomas Klindt

Die neue Produkthaftungsrichtline gilt ab Ende 2026. Hersteller sollten sich intensiv mit den Änderungen auseinandersetzen und darauf vorbereiten. Wir haben hierzu mit Prof. Dr. Thomas Klindt gesprochen. Er ist Rechtsanwalt, Fachanwalt für Verwaltungsrecht und Partner bei der Noerr Partnerschaftsgesellschaft mbB sowie Professor für Europäisches Produkt- und Technikrecht, Universität Bayreuth.

Prof. Dr. Klindt macht deutlich, welche Bedeutung digitale Produkte künftig haben werden und zeigt auf, welche Haftungsfälle auftreten können und wie sich das Produktangebot in Zukunft ggf. verändern wird.


Block 3: Cybersecurity

Die Fristen laufen bald ab

Auch Lennard Kreißl (ZVEI e. V.) machte die Anwesenden in seinem Vortrag „Cyber Resilience Act: Cybersecurityanforderungen für den Industriebereich“ auf den besagten Rechtsakt aufmerksam und besonders auf die damit verbundenen Übergangsfristen.

Die Vorschriften zum Inverkehrbringen von Produkten mit digitalen Inhalten müssen bis 2027 umgesetzt sein und zwar für jedes einzelne Produkt, nicht für die Serie. Das Produkt darf keine bekannten Schwachstellen mehr enthalten und für mindestens zehn Jahre müssen unentgeltlich Sicherheitspatches geliefert werden. Eine Ausnahme bilden Einzelanfertigungen, bei denen für diesen Dienst von Beginn an eine Entlohnung vereinbart werden kann. Alle ausgenutzten Schwachstellen eines Produktes müssen ab September 2026 an eine nationale Dienststelle, die noch zu benennen ist, gemeldet werden.

In der anschließenden Diskussion meinte Kreißl, dass die Verfügbarkeit von harmonisierten Normen entscheidend sein wird für eine fristgerechte Umsetzung dieser Richtlinie durch die Hersteller. Er weist ferner darauf hin, dass sich die Herstellerpflicht in Bezug auf das in das Inverkehrbringen auf alle ausnutzbaren Schwachstellen bezieht, in Bezug auf die Meldepflicht jedoch nur auf die aktiv ausgenutzte Schwachstellen.

Kompromiss zwischen Funktionaler Sicherheit und Cyber Security?

Das Thema „Funktional Safety und Cyber Security in der Prozessindustrie, Stabilität vs. Agilität – Ein Widerspruch?“ wurde von Claudia Nowak und Thimmo Kugele (Endress+Hauser SE+Co KG) präsentiert.

Hierbei machten Sie anhand des Beispiels eines PCs, auf dem Programmier- und Unterstützungsprogramme für ein Feldgerät oder eine Steuerung der funktionalen Sicherheit implementiert sind, auf einen Zielkonflikt aufmerksam: Die genannten Programme sind Software-Werkzeuge im Sinne der IEC 61508, sie werden bevorzugt zertifiziert eingesetzt. Diese Zertifizierung gilt nur in Zusammenhang mit einem bestimmten Stand des unterlagerten Betriebssystem. Wird dieses gepatcht, also zum Zwecke der Cybersicherheit auf einen anderen Stand gebracht, wird die Grundlage für die Zertifizierung verletzt. Zur Zeit werden in der Praxis meistens ein paar Aktualisierungszyklen des Betriebssystems übersprungen, um das Problem zu entschärfen, was bestenfalls als Kompromiss anzusehen ist. Um das Problem wirklich zu lösen, wird es nach Ansicht Kugeles notwendig sein, die monolithische Struktur der heutigen Software aufzubrechen. Es sollte in einer künftigen Softwarestruktur unterschiedliche Bereiche geben, die zu unterschiedlichen Zeitpunkten aktualisiert werden können.


Open Source in der funktionalen Sicherheit

Open Source in der funktionalen Sicherheit

| klss777 / stock.adobe.com & Yaruniv-Studio / stock.adobe.com

Linux und Open Source in sicherheitskritischen Systemen: Wie die IEC 61508 den Weg ebnet

Ein besonderes Augenmerk in der IEC 61508 Ed. 3 liegt auf der Einbindung von Open-Source-Lösungen in sicherheitszertifizierte Anwendungen – ein Thema, das in der Industrie kontrovers diskutiert wird. Für uns Grund genug, einmal tiefer einzusteigen. Philipp Ahmann hat sich für uns die Zeit genommen, um darüber zu sprechen, wo Open-Source-Systeme ihre Stärken ausspielen, welche Bedeutung Software Maintainer haben und warum sich Unternehmen in Open-Source-Communities einbringen sollten.

Mehr erfahren

Block 4: Applikationen

Funktionale Sicherheit in neuen Applikationen bedeutet Pionierarbeit

Nicolas Hummel (VDMA e.V.) erläutert die Erarbeitung von Normen für die „Sicherheit autonome Systeme in der Landtechnik“.

Die Arbeitsgruppe PT 4 der Organisation von europäischen Herstellern von Landmaschinen, CEMA, bereitet die Normung vor. Da die Betrachtung autonomer Systeme in einer Umgebung, in der auch Menschen und Tiere auftreten können, relativ neu ist, beginnt die PT4 zunächst mit Einsatzszenarien, die einfacher zu übersehen sind, zum Beispiel solche für Bodenbearbeitungsmaschinen.

Mangelhaftes Wissen und mangelhafte Sorgfalt gefährden neue Technologien

In seiner Präsentation „Funktionale Sicherheit in Elektrolyseanlagen – Risikoorientierter Ansatz mit unterschiedlichen Sichtweisen vom Hersteller, EPC und Betreiber“ referierte Daniel Schallenberg (TÜV Rheinland Industrie Service GmbH) über das regulatorische Umfeld derartiger Anlagen und der Schwierigkeit, Sicherheitsbewusstsein und richtiges Vorgehen im Kreis der Betreiber und Hersteller zu etablieren.

Schallenberg berichtete von einem Störfall in Südkorea, bei dem durch unzureichende Systemauslegung und mangelhafte Überwachung ein Gehalt von mehr als 3 Prozent Sauerstoff im Wasserstofftank auftrat und dieser dadurch detonierte.

Sicherheit von Li-Ionen-Batterien: Neue Erkenntnisse müssen berücksichtigt werden

Ein Batteriemanagementsystem für Lithium-Ionen Batterien muss Überwachungsfunktionen im Sinne der funktionalen Sicherheit ausführen. Hierzu gehören beispielsweise Einhaltung der maximalen Zellspannung, Begrenzung von Lade- und Entladeströmen in Abhängigkeit von der Zellentemperatur und Vermeidung der Tiefenentladung. Die betreffenden Grenzwerte ändern sich jedoch im Laufe des Lebens einer Batterie und sind somit alterungsabhängig.

Hierauf verwiesen Stefan Goi und Andreas Henkel (TÜV Rheinland Industrie Service GmbH) in ihrer Präsentation „Batteriemanagement und Energiespeichersysteme – Häufig beobachtete Designschwächen“.

Versuche haben die Alterungsabhängigkeit nachgewiesen. Berücksichtigen die Sicherheitsfunktionen dieses nicht, kann es zum thermischen Durchgehen (Thermal Runaway) oder zur Freisetzung explosibler Gase kommen, beides mit der Gefahr einer Brandauslösung. Hinzu kommen Designschwächen, die schlicht auf die Nichtbeachtung von Randbedingungen der funktionalen Sicherheit durch die Entwickler zurückzuführen sind, zum Beispiel nur einkanalige Abschaltung bei hohem Batteriestrom, Einsparung von Messpunkten zur Messung der Zelletemperaturen oder Wahl ungeeigneter Produkte bei der Messung der Zellspannungen.

Stefan Goi und Andreas Henkel beendeten ihren Vortrag mit der Aussage, dass es möglich ist, ausreichend sichere Batteriemanagement-Systeme herzustellen, allerdings müssen dafür die Grenzwerte über den gesamten Lebenszyklus der Batterie verstanden sein und bei der Auslegung müssen die Grundsätze der funktionalen Sicherheit konsequent berücksichtigt werden.

Sichere Batteriemanagement-Geräte sind möglich

Die anschließende Podiumsdiskussion: „Gefahr durch Energiespeichersysteme – Kann es die Funktionale Sicherheit allein richten?“ wurde von Thomas Timke (Solarwatt GmbH und Vorsitzender DKE/K 371) geleitet. Beteiligt waren neben Stefan Goi und Andreas Henkel auch Ralf Fabian (TÜV Rheinland Industrie Service GmbH) und Jürgen Hetzler (vancom GmbH & Co. KG).

Es herrschte Einigkeit, dass die Sicherheit von Lithium-Ionen-Batterien weiter verbessert werden kann durch die Definition von Prüfungen bei beschleunigter Alterung. Erforderlich ist auch eine individuelle Betrachtung des Aufstellungsortes einer stationären Batterie unter Anwendung des Konzeptes der Schutzebenen.

Gaswarngeräte – Normung mit Praxiserfahrung führt zum Erfolg

Michael Unruh (ExTox Gasmess-Systeme GmbH und Vorsitzender DKE/UK 966.1) berichtete in seinem Vortrag „Gaswarngeräte – Im Wechselspiel der Anforderungen an Messfunktion und Funktionale Sicherheit (EN 50271/EN 50402)“ darüber, wie die Auswertung langjähriger Erfahrungen der Anwender in dem zuständigen Normungsgremium es ermöglicht hat, praxistaugliche und zuverlässige Gaswarngeräte in Sicherheitsfunktionen einzufügen.

Gaswarngeräte sind dem oft aggressiven Messgas unmittelbar ausgesetzt und benötigen daher eine mindestens zweimal im Jahr stattfindende Wartung und Wiederholungsprüfung. Sie können in einer Risikoreduzierung bis SIL 2 eingesetzt werden. Die meisten beobachteten Ausfallarten liegen im Bereich der Messgasförderung, so dass diese mit Hilfe einer Durchflussmessung zu überwachen ist. Das zuständige Normungsgremium hat hierfür Vorschriften festgelegt. Quantitativ abgesichert wurden diese durch Felddaten, die das Unternehmen von Michael Unruh erfasst und gesammelt hat.

Die Gretchenfrage der funktionalen Sicherheit: Wie haltet Ihr es mit der Mechanik?

Jörg Isenberg (AUMA Riester GmbH & Co. KG), Marco Knödler (YNCORIS GmbH & Co. KG) und Jan Schumacher (TÜV Rheinland Industrie Service GmbH) gingen in ihrem Vortrag „EN 17955: Endlich Klarheit bei der Bewertung von Armaturen und Antrieben für die Funktionale Sicherheit“ auf die Frage ein, wie mechanische Stellglieder als Teil einer Sicherheitseinrichtung unter der IEC 61508 zu behandeln sind.

Letzteres fordert diese Norm, ohne jedoch irgendeine Anleitung hierzu zu geben. Diese Lücke möchte die EN 17955 „Funktionale Sicherheit sicherheitsbezogener automatisierter Industriearmaturen“ jetzt schließen, an der die Vortragenden mitgewirkt haben. Sie setzt das Lebenszyklusmodell der IEC 61508 für die Realisierung elektronischer sicherheitsgerichteter Geräte um auf ein solches für mechanisch Stellglieder. Weiterhin gibt sie Hinweise zur Schätzung der Ausfallrate aufgrund zufälliger Fehler, nennt Maßnahmen zur Schaffung und Überprüfung der systematischen Eignung und behandelt Architekturbeschränkungen.

Die Angaben in der Literatur über die Ausfallraten mechanischer Stellglieder schwanken extrem. Die EN 17955 bietet daher eine Tabelle für die wichtigsten Bauarten von Ventilen an mit jeweils konservativen Ausfallraten. Parallel dazu ist eine eigene mechanische FMEA erlaubt, die dann zu niedrigeren Ausfallraten führen kann.

Da eine Diagnose bei mechanischen Einrichtungen kaum möglich ist, verwendet die EN 17955 für die Festlegung der Architekturbeschränkungen die gleiche, rein SIL-abhängige Vorschrift wie die IEC 61511.


Interessiert an weiteren Inhalten zu Core Safety?

Fokusbild Core Safety & Information Technologies

Core Safety & Information Technologies umschließt alle Aspekte der Sicherheit: grundlegende  Sicherheitsanforderungen, funktionale Sicherheit, Informationssicherheit sowie deren Wechselwirkungen. Außerdem befasst sich Core Safety mit wichtigen Querschnittsthemen und definiert grundlegende Anforderungen die allgemein einzuhalten sind – zum Beispiel für Elektromagnetische Verträglichkeit, Umwelt- und Ressourceneffizienz, Schadstoffe, Größen, Einheiten und Kennzeichnungen. Weitere Inhalte zu diesem Fachgebiet finden Sie im

DKE Arbeitsfeld Core Safety & Information Technologies

Relevante News und Hinweise zu Normen