Safety Industrie Funktionale Sicherheit von Maschinensteuerungen

Um technische Produkte auf den Markt zu bringen, müssen Hersteller oft den Nachweis führen, dass die funktionale Sicherheit ihrer Systeme gewährleistet ist. Für Maschinensteuerungen kann eine Zertifizierung nach ISO 13849 sinnvoll sein. Mit dem PRO-SIL-Konzept geht das einfacher und schneller.

Die Norm ISO 13849 stellt eine anwendbare Systematik für die Entwicklung und Bewertung von Maschinensteuerungen zur Verfügung. Zentraler Bestandteil dieser Systematik ist der Gesamtablauf zur Risikominderung, der in Bild 1 dargestellt ist.

Die Norm IEC 61508 (Functional safety of electrical/electronic/programmable electronic safety-related systems) [3] kann auch bei der Anwendung von ISO 13849 bedeutend sein. So wird in ISO 13849 darauf verwiesen, dass im Falle des Entwurfs von komplexen Steuerungen, wie programmierbaren elektronischen Systemen (Programmable Electronic Systems, PES), die mindestens eine programmierbare elektronische Komponente enthalten, die Anwendung der IEC 61508 geeignet sein kann. Da es sich bei den programmierbaren Elektronikbausteinen in komplexen Maschinensteuerungen heute oft um Mikrocontroller handelt, stellt sich die Frage, wie die funktionale Sicherheit dieser Mikrocontroller nach IEC 61508 gewährleistet werden kann.

Die Sicherheitsgrundnorm IEC 61508 beschreibt einen Sicherheitslebenszyklus, der alle notwendigen Schritte definiert, um die funktionale Sicherheit eines elektrischen/elektronischen/programmierbar elektronischen Systems zu gewährleisten. Diese Schritte reichen von der Konzeptphase bis zur Außerbetriebnahme des entsprechenden Produkts. Das Hauptziel des Standards ist es, das Bewusstsein dafür zu schaffen, dass alle Aktivitäten, die für ein Erreichen oder Aufrechterhalten eines bestimmten Safety Integrity Level (SIL) notwendig sind, in einer systematischen und koordinierten Weise erfolgen müssen [4].

Die Realisierungsphase des Sicherheitslebenszyklus kann grob in zwei Unterphasen zerlegt werden – den Software-Sicherheitslebenszyklus und den E/E/PE-System-Sicherheitslebenszyklus [3]. Während beim Ersteren im Wesentlichen die Software im Fokus steht, beschreibt Letzterer die Maßnahmen, die umgesetzt werden müssen, um für ein sicheres Verhalten der Hardware zu sorgen. Dies schließt Mikrocontroller ein.

Um in Bezug auf die Hardware-Sicherheit den Anforderungen des Standards zu entsprechen, dürfen – abhängig vom SIL – bestimmte Fehlerwahrscheinlichkeiten nicht überschritten werden. Zusätzlich muss die sog. Safe Failure Fraction (SFF, Prozentsatz der Fehler, bei denen das System in einem sicheren Zustand bleibt; er kann durch eine Vergrößerung der Diagnosedeckung erhöht werden (s.a. [4])) für ein System, das auf einem Mikrocontroller basiert, ausreichend hoch sein. Die Beziehung zwischen der SFF, der Fehlertoleranz (FT) und dem SIL ist in Tabelle 1 zusammengestellt [5].

 SFF in %
FT=0
FT=1
 FT=2
<60 XSIL 1
SIL 2
 60-90SIL 1SIL 2SIL 3
90-99SIL 2SIL 3SIL4
>99SIL 3SIL 4SIL 4
Tabelle 1. Beziehung zwischen SFF, FT und SIL (für ein sog. Safety-Related Element vom Typ B).

Eine Vergrößerung der Fehlertoleranz bedeutet normalerweise, dass mehr Hardware eingesetzt werden muss – was teuer werden kann. Auch wenn der Ansatz nicht vollständig ausgeschlossen werden sollte, ist er mit Vorsicht anzuwenden. Eine Steigerung der SFF durch eine Verbesserung der Diagnosedeckung ist – weil in Software umsetzbar – oft kosteneffizienter. Eine höhere Diagnosedeckung wird durch bestimmte Algorithmen erreicht, die die korrekte Funktionsweise des Mikrocontrollers während des Systemstarts, während des Herunterfahrens sowie während des normalen Betriebs prüfen. Deren Implementierungen werden oft in sog. Safety-Bibliotheken zusammengefasst. Beispiele sind die PRO-SIL-SafeTcore-Bibliotheken für die XC2000- und TriCore-Familien von Infineon.