Europäisches Normungsvorhaben für mechanische Bauteile als Bestandteil der funktionalen Sicherheit

DKE: Bei funktionaler Sicherheit sind i. d. R elektrische, elektronische und programmierbare elektronische Systeme gemeint. Mechanische Bauteile werden nicht berücksichtigt. Auf europäischer Ebene arbeiten Sie aktuell an einer CEN-Norm, bei der es um die Sicherheit mechanischer Bauteile geht. Warum ist dieses Normungsvorhaben notwendig und wie werden Sicherheitsanforderungen hierfür angewendet?

Knödler: Das ist grundsätzlich das weit verbreitete Verständnis von funktionaler Sicherheit, da IEC 61508 als „Mutternorm“ die E/E/PE-Komponenten im Fokus hat. Die wesentliche Leitfrage für wirksame Risikoreduktion durch instrumentierte und automatisierte Sicherheitsfunktionen lautet jedoch: Welche Komponenten sind Teil des sicherheitskritischen Pfads und müssen fehlerfrei arbeiten, damit die Sicherheitsfunktion spezifikationsgemäß ausgeführt wird?

Die Antwort schließt allgemein und speziell in der Prozessindustrie zwangsläufig mechanische Komponenten ein, damit beispielweise Einfluss auf Medienströme genommen werden kann. Nur so kann die Risikoreduktion wirksam erreicht werden, für die das Sicherheits-Integritätslevel (SIL) steht. Aus diesem Grund stehen die entsprechenden Armaturen im Fokus des CEN-Normungsvorhabens. Das Normungsvorhaben richtet sich an Hersteller sowie Endanwender der Prozessindustrie, die sich an VDI/VDE 2180 Blatt 4 orientieren.

Schumacher: Ich stimme Herrn Knödler zu, dass mechanische Komponenten häufig das finale Element einer Sicherheitskette sind. Sensorik und Logik können noch so gut sein – bei einem Versagen der Aktorik ist keine Risikoreduktion gewährleistet. Das Normungsvorhaben wird Herstellern ermöglichen, ihre Produkte so zu gestalten und zu bewerten, dass Endanwender die nötigen Kenngrößen erhalten und die Bewertungen eine einheitliche Basis haben.

Funktionale Sicherheit: Der Schutz des Menschen vor der Maschine

Funktionale Sicherheit ist essenziell und kommt immer dann zum Einsatz, wenn Produkte, Anlagen und Prozesse so komplex sind, dass deren Sicherheit auf einfachem Weg nicht mehr ausreichend getestet werden kann.

International liegt mit IEC 61508 eine horizontale Normenreihe vor, die eine Grundlage für eine Vielzahl von Branchen und Anwendungsfeldern bietet.

DKE: Hersteller vergeben Zertifikate für ihre mechanischen Komponenten. Sind die Vorgaben, unter denen die Bedingungen für die Zertifikate vergeben werden, miteinander vergleichbar? SIL gilt zwar für die Sicherheitsfunktion, trotzdem werden aber auch Geräte mit SIL beworben. Könnte einem mechanischen Gerät analog dazu ein SIL zugeordnet werden?

Knödler: Klares Jein ... Die permanente Anfrage nach Zertifikaten und Ausfallraten bei Herstellern von Ventilen und Kugelhähnen durch Planer*innen von Sicherheitseinrichtungen hat zu unterschiedlichen Reaktionen geführt. Einige Hersteller mechanischer Komponenten bescheinigen zum Beispiel ein „SIL3“, obwohl für diese Angabe keine normative Grundlage existiert. Gemäß IEC 61508 und IEC 61511 ist SIL per se keine Eigenschaft eines Bauteils, sondern einer ganzen Sicherheitsfunktion.

Gemeint ist typischerweise, dass die jeweilige Komponente in Sicherungseinrichtungen der Prozessleittechnik (PLT) bis zu SILx eingesetzt werden kann. Die Ausfallraten für mechanische Komponenten beziehungsweise Geräte werden von Herstellern oder zertifizierenden „unabhängigen Dritten“ auf unterschiedliche Weise ermittelt – womit auch die Ergebnisse teils immens abweichen.

Grundlegend für jede ermittelte und geteilte Information im Bezug auf funktionale Sicherheit – sei es im Zertifikat oder Safety Manual, sei es Zahl oder geschriebenes Wort – ist: sie sollte der Sicherheit und Zuverlässigkeit zuträglich sein. Und dabei gilt wieder: systematisch richtig statt zufällig falsch.

Schumacher: Ein einzelnes Produkt kann kein „SILx“ haben oder zertifiziert werden. Es geht immer darum, die Einsetzbarkeit in bestimmten Sicherheitssystemen zu prüfen und gegebenenfalls zu zertifizieren.

Leider führt die Vergleichbarkeit von Zahlenwerten dazu, dass die Bewertung eines Produkts gerne auf die Ausfallraten reduziert wird. Ob für einen Prozess ein Kugelhahn oder ein Absperrschieber eingesetzt wird, darf aber nicht eine Frage der Ausfallrate sein, sondern muss vom Endanwender auf Basis seiner Expertise und Erfahrung getroffen werden.

Sicherheitstechnik ist schwerfällig und traditionell – DKE Tagung beweist das Gegenteil!

Die DKE Tagung Funktionale Sicherheit fand in diesem Jahr erstmals online statt und erreichte mit den Vorträgen während dieser drei Tage mehr als 260 Teilnehmer*innen.

Neben den kommenden Neuerungen der dritten Ausgabe der Normreihe IEC 61508 und vielen weiteren Normungsvorhaben lag der Fokus auf den Herausforderungen durch die Industrie 4.0 sowie auf neuen Technologien wie Künstliche Intelligenz und der Blockchain-Technologie.

DKE: In der Norm IEC 61508 wird unter anderem zwischen zufälligen und systematischen Fehlern unterschieden. Kann dies auch für die mechanischen Geräte angewendet werden?

Knödler: Es muss für mechanische Geräte sogar angewendet werden. Vor allem für die Mechanik nimmt die systematische Fehlervermeidung noch mehr Bedeutung ein als grundsätzlich in der funktionalen Sicherheit ohnehin schon.

Systematische Fehler sind all solche, die durch Änderung einer Vorgehensweise oder andere, meist qualitätssichernde Maßnahmen, im Verlauf des Sicherheitslebenszyklus von Sicherheitseinrichtungen beseitigt werden können. Beispiele für die Vermeidung systematischer Fehler sind der bestimmungsgemäße Einsatz geeigneter Geräte, entsprechend qualifiziertes Personal, Festlegung geeigneter Planungs- oder Instandhaltungsabläufe oder der Einsatz betriebsbewährter Geräte. Dazu gehört ein entsprechendes Qualitätsmanagement bei allen Beteiligten, vom Hersteller bis zum Betreiber. Insbesondere bei mechanischen Komponenten wie Armaturen ist die korrekte Materialauswahl und die Auslegung der Komponenten (z. B. Stellantriebe) entscheidend.

Vor diesem Hintergrund ist der Fokus des CEN-Normungsvorhabens auf die spezifischen Maßnahmen zur Fehlervermeidung rund um mechanische Komponenten und deren Einsatz im Sinne der funktionalen Sicherheit gelegt. Das gibt den ebenfalls zu treffenden Aussagen rund um die vermeintlich zufälligen Fehler und deren Beherrschung über Ausfallraten und probabilistische Methodik den notwendigen Rahmen.

Schumacher: Die Unterscheidung zwischen zufälligen und systematischen Fehlern ist ein Punkt, der im Normungsgremium intensiv diskutiert wird.

Aus physikalischer Sicht gibt es keine Zufälle: Jeder Fehler kann auf einen Auslöser zurückgeführt werden, der sich theoretisch vermeiden lässt. Somit wären alle Fehler systematisch. Der Vorteil der Mechanik ist, dass die Ursache eines aufgetretenen Fehlers deutlich einfacher entdeckt werden kann als beispielsweise bei einer Steuerelektronik. Daher haben sich die Autoren von IEC 61508 damals auf den pragmatischen Ansatz der „zufälligen“ Fehlers geeinigt.

Die Definition von zufälligen Fehlern darf nicht dazu führen, dass Produkte und Systeme nicht vollständig durchdacht und Fehler mit dem Zufall entschuldigt werden. Fakt ist aber auch, dass es immer Ausfälle geben wird, die unter wirtschaftlichen Gesichtspunkten nicht vollständig erklärt werden können – sei es ein Federbruch oder ein poröses Gehäuse. Somit ist die Angabe einer Ausfallrate für zufällige Fehler absolut berechtigt. Die Frage ist noch, wo eine realistische Größenordnung liegt. Hier erhoffe ich mir Erkenntnisse vom Projekt NAMUR.smart, das Ausfälle systematisch analysiert und klassifiziert.

Funktionale Sicherheit: Grundzüge sicherheitstechnischer Systeme

Funktionale Sicherheit (FuSi) ist der Teil der Gesamtanlagensicherheit, der von der korrekten Funktion sicherheitsbezogener Systeme zur Risikoreduzierung abhängt.

In diesem Buch werden unter anderem die Überwachung oder Steuerung von Fahrzeugen, Zügen und Flugzeugen oder auch von Maschinen, Kraftwerken und chemischen Anlagen sowie im medizinischen oder sonstigen sicherheitskritischen Bereich behandelt. Weiterhin wird in einem Abschnitt explizit die Softwareentwicklung als ebenso wichtiges Thema betrachtet.

DKE: Bei elektrischen und elektronischen Komponenten wird die sogenannte „Badewannenkurve“ für die Berechnung zu Grunde gelegt. Kann dies ebenso für die Zuverlässigkeitsberechnung beziehungsweise der Ausfallwahrscheinlichkeit von mechanischen Armaturen verwendet werden?

Knödler: Die Badewannenkurve ist universell anwendbar und muss damit für die funktionale Sicherheit und speziell für die Mechanik angewandt werden. Damit meine ich nicht ausschließlich die Berechnung von Zuverlässigkeit oder Ausfallwahrscheinlichkeiten, sondern vor allem die Abgrenzung, wann diese eine geeignete Anwendung finden kann.

Frühausfälle wie auch Alterung und Verschleiß, also Anfang und Ende der Badewannenkurve, sind grundsätzlich im Fokus systematischer Fehlervermeidung durch beispielsweise eine geeignete Entwicklung sowie Instandhaltungs- und Obsoleszenz-Programme. Sind diese nach Möglichkeit vermieden, bleibt ein zumindest als zufällig modellierbarer Fehleranteil. Dieser lässt sich als konstant anzunehmende Ausfallrate in der Probabilistik nutzen, um Prognosen der Zuverlässigkeit zu treffen, die dann wiederum als PFD oder PFH prominent für SIL stehen.

Gesteht man in der Tradition der funktionalen Sicherheit E/E/PE-Komponenten eher einen vermeintlich zufälligen Anteil an Ausfällen zu, so kann man für mechanische Komponenten davon ausgehen, dass dieser Anteil deutlich geringer ausfällt oder sogar bei null liegt.

Schumacher: Die Badewannenkurve ist ein anschauliches Bild, mit dem die Relevanz von Frühausfällen sowie die Existenz eines Lebensdauerendes dargestellt werden kann. Ob der „Boden“ perfekt eben ist, also die Ausfallraten konstant sind, oder ob er leicht ansteigt, spielt bei den konservativen Annahmen keine Rolle. Auch bei mechanischen Komponenten darf mit einem konstanten λ gerechnet werden.

Funktionale Sicherheit: Prüfung und Zertifizierung im VDE Institut

Die Sicherheit von Produkten ist heute mehr denn je von einer korrekten Funktion der elektrischen, elektronischen und programmierbar elektronischen Systeme (E/E/PE) abhängig, da Fehlfunktionen zu gefährlichen Situationen führen und dadurch Personen und Investitionen gefährden können.

Das VDE Institut bietet seine Prüfkompetenzen schon während der Entwicklungsphase an und bestätigt die Sicherheit des Produktes am Ende der Entwicklung durch ein VDE Zertifikat.

DKE: Wie kann ich in dem Fall eine mechanische Armatur in der Zuverlässigkeitsberechnung meiner Sicherheitsfunktion berücksichtigen, für die ich ein SIL anstrebe?

Knödler: Wichtiger Bestandteil des Normungsvorhabens ist es, die systematischen Voraussetzungen zu schaffen, damit Mechanik in der funktionalen Sicherheit eingesetzt werden kann. An Formeln und Kennwerten zur Zuverlässigkeitsberechnung verändern wir nichts, wenn Mechanik mit einbezogen wird. Dazu verbindliche Aussagen zu treffen, wie hoch der Beitrag der Mechanik in Form von Ausfallraten sein wird, ist Teil des Normungsvorhabens sowie von VDI/VDE 2180 Blatt 4.

Schumacher: Wenn ich die Zuverlässigkeit einer Sicherheitsfunktion berechne, so muss ich alle verwendeten Komponenten in die Berechnung einbeziehen. Ist eine Armatur mein finales Element, so wird diese nach den gleichen Regeln berücksichtigt wie Sensorik und Logik.

DKE: Wird es dann ein oder mehrere Verfahren geben und wie wird sichergestellt, dass die Ergebnisse gleichwertig sind?

Knödler: Gemeinsames Ziel ist ein belastbares und standardisiertes Verfahren, das für alle geeignet ist und von allen vergleichbar angewandt und entsprechende Ergebnisse gleichwertig interpretiert werden kann.

Schumacher: Nur ein transparentes und einheitliches Verfahren wird auf Akzeptanz treffen und den systematischen Fehler der Unsicherheit und Unwissenheit beheben können.

DKE: Sehen Sie Bedarf, IEC 61508 in diesem Aspekt zu ergänzen oder wäre eine eigene Norm, die mit IEC 61508 kompatibel ist, geeigneter?

Knödler: Die Norm IEC 61508 ist eine Horizontalnorm, unter der sich verschiedene Produkt- und Anwendungsnormen befinden. Unser Normungsprojekt siedelt sich genau hier an. Es bestand zu keiner Zeit die Überlegung, einen alternativen, neuen Weg einzuschlagen. Das wäre weder praktikabel noch zielführend.

Schumacher: Letztendlich ist ein großes finales Ziel, international Konsens in der funktionalen Sicherheit allgemein und speziell zum Umgang mit mechanischen Komponenten als nicht-elektronischer Teil der instrumentierten Sicherheitsfunktion zu erreichen. Aus meiner Sicht bildet die Arbeit bei CEN hierfür die Grundlage und kann im weiteren Verlauf international und dann auch über ISO wie auch IEC konsolidiert werden.

Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...

• fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
• berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
• informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen

DKE: Wo sehen Sie hierbei die größte Herausforderung?

Knödler: Die am Lebenszyklus der funktionalen Sicherheit allgemein und vor allem in Bezug auf die eingesetzte Mechanik beteiligten Parteien nehmen unterschiedliche Positionen wahr und bringen damit auch verschiedene Positionen und Erfahrungen in die Diskussion hinein. Diese in Einklang zu bringen ist herausfordernd, jedoch spannend und letztendlich der Weg zu einem gemeinsamen Verständnis und stimmigen Fluss von Information durch die Phasen des Lebenszyklus. Das schafft Zuverlässigkeit und damit Sicherheit.

Schumacher: So herausfordernd die Diskussion zwischen Herstellern, Endanwendern und Prüfstellen auch ist, so zeigt sie auch die Notwendigkeit genau dieses Austauschs. Ich bin immer wieder begeistert, wie konstruktiv die unterschiedlichen Partien zusammenarbeiten und der größtmögliche Nenner gesucht und letztendlich auch gefunden wird.

DKE: Die Digitalisierung vernetzt immer mehr Geräte. Betrifft das nicht auch die mechanischen Armaturen? Werden diese nicht über kurz oder lang in den Geltungsbereich der Norm IEC 61508 fallen?

Knödler: Letzteres sehe ich unabhängig von der Frage der Digitalisierung.

Schumacher: Wie bereits erwähnt erarbeiten wir keine Alternative zu IEC 61508, sondern präzisieren die Anwendung für mechanische Komponenten. Sowie heute schon die Bewertung der Anbindung eines Drehgebers an eine Motorwelle interdisziplinär erfolgt, so werden auch alle anderen Komponenten, die aus E/E/PE und Mechanik bestehen, in Zukunft interdisziplinär bewertet werden müssen.

DKE: IEC 61508 befindet sich seit einiger Zeit in der Überarbeitung. Ein großer Diskussionspunkt: die Verwendung von KI-Techniken, insbesondere dem maschinellen Lernen. Bei Hardware sieht man ebenfalls großes Potential, zum Beispiel „Predictive Maintainance“. Wie wird das im Normungsvorhaben behandelt?

Knödler: Das Normungsvorhaben beschränkt sich bewusst auf die Mechanik im engeren Sinne, um hier die bestehende Lücke zu schließen, in der aktuell noch kein gemeinsames Verständnis vorhanden ist. KI-Ansätze rund um die Mechanik sind interessant, müssen aber zunächst separat auf ihren Einsatz in Abwägung von Interessen (Zuverlässigkeitsgewinn vs. Komplexität) bewertet werden.

Schumacher: Es werden in den nächsten Jahren viele Innovationen auf den Markt kommen. Herr Knödler sprach die Diagnose bereits an. Im Scope unserer Norm beschäftigen wir uns nicht mit der Diagnose und verweisen wieder auf die Norm IEC 61508.

Die Sicherheitstechnik ist von Natur aus sehr konservativ und Innovationen müssen sich erst in nicht-sicherheitsgerichteten Anwendungen bewähren.

Die Deutsche Normungsroadmap Künstliche Intelligenz

verfolgt das Ziel, Handlungsempfehlungen rund um KI für die Normung zu geben.

Künstliche Intelligenz gilt weltweit und in zahlreichen Branchen als eine der Schlüsseltechnologien für künftige Wettbewerbsfähigkeit. Umso wichtiger sind die Empfehlungen der Normungsroadmap, die die deutsche Wirtschaft und Wissenschaft im internationalen KI-Wettbewerb stärken, innovationsfreundliche Bedingungen schaffen und Vertrauen in die Technologie aufbauen sollen.

DKE: Und wie stehen Sie zu dem Einsatz von KI-Techniken? Sind Sie der Meinung, dass die Chancen die Risiken überwiegen, sodass – wenn die Risiken kontrollierbar seien oder umgangen werden können – der Einsatz lohnend wird?

Knödler: Aus meiner Mitarbeit in verschiedenen Arbeitskreisen sowie an der Normungsroadmap KI weiß ich, dass wir im Sinne der „trustworthy AI“ bis zum standardisierten Einsatz in Sicherheitsanwendungen noch einiges vor uns haben. Das Potential von KI/ML-Technologien sehe ich positiv. Herausfordernd sind die teils sehr grundlegenden Fragen, die wir im Zuge ihres Einsatzes bezüglich der bislang verwandten Begriffe und Methodik beantworten müssen. Am Beispiel möglicher Ausfallraten für KI und deren Bewertung im Rahmen der Zuverlässigkeitsprognose mittels probabilistischer Methoden lassen sich aus meiner Sicht interessante Parallelen zwischen KI und Mechanik ziehen – soweit sie im Sinne von Digitalisierung und der Rolle entsprechender Innovationselemente in der funktionalen Sicherheit auch voneinander entfernt sein mögen.

Bei beiden gilt: systematisch richtig statt zufällig falsch – und im Zweifel gehen Prozess und Mensch vor Rechnung und Zahlen. Was im Rückblick und in Bezug auf klassische Elemente der PLT-Sicherheitseinrichtung wie die Besinnung auf alte Tugenden scheint, gilt auch im Ausblick auf die mögliche funktionale Sicherheit der Zukunft. Wie vielfältig postuliert, steht ein Paradigmenwechsel an, der vor allem Software als Innovationselement in der Sicherheitstechnik in Form von beispielsweise KI-basierter Diagnose und Entscheidungsfindung sowie maschinelles Lernen von Systemen (kollaborierende Systeme) in den Fokus rückt. Es bedarf eines gemeinsamen Verständnisses von Systematik und Zufall, Wahrscheinlichkeit und Risiko, Gewissheit oder auch Ungewissheit, um die geeigneten Methoden zur Anwendung zu bringen sowie Entscheider und Ausführende zu befähigen, systematisch richtig zu handeln. Ein Ersatz mangelhafter Systematik oder Gewissheit durch „Zufall“ und der daraus folgende Versuch, probabilistische Methoden blauäugig auf alles anzuwenden, um Sicherheit zu erreichen, steht dem entgegen.

Schumacher: Die Sicherheitstechnik ist eine recht konservative Branche. Der Einsatz von KI hängt sehr von der jeweiligen Aufgabe und der Komplexität ab. Der Unterschied zwischen Mechanik und KI liegt vor allem darin, dass das Verhalten im Fehlerfall in der Mechanik absolut bekannt ist, bei KI jedoch nicht. Als Gemeinsamkeit zwischen Mechanik und KI sehe ich die Erkenntnis, dass eine einheitliche Prüfgrundlage Voraussetzung für eine effektive Bewertung ist. Auch der TÜV Rheinland ist hier aktiv und bringt sich mit seiner Expertise ein, um die Einführung von KI sicher mitzugestalten.

DKE: Vielen Dank für dieses Gespräch.

Core Safety & Information Technologies umschließt alle Aspekte der Sicherheit: grundlegende  Sicherheitsanforderungen, funktionale Sicherheit, Informationssicherheit sowie deren Wechselwirkungen. Außerdem befasst sich Core Safety mit wichtigen Querschnittsthemen und definiert grundlegende Anforderungen die allgemein einzuhalten sind – zum Beispiel für Elektromagnetische Verträglichkeit, Umwelt- und Ressourceneffizienz, Schadstoffe, Größen, Einheiten und Kennzeichnungen. Weitere Inhalte zu diesem Fachgebiet finden Sie im