Startseite > Automation > Die Sicherheit eingebetteter Systeme

VDE – Teil 1

Die Sicherheit eingebetteter Systeme

2. Juli 2013, 10:47 Uhr | Ingo Rolle

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 2

Die Modelle der klassischen Elektrotechnik

Der Guide 104 der IEC dient den Komitees dieser Organisation als Leitfaden zur Erstellung von Sicherheitsnormen [10]. Er enthält in seinem Anhang A eine Aufzählung möglicher Gefährdungen, z.B. elektrischer Schlag, Brand, Explosion oder Gefährdungen mechanischer Natur wie scharfe Kanten oder Instabilität. Diese Aufzählung bildet eine Checkliste, die die Normungskomitees für ihr zu normendes Produkt oder die zu normende Produktfamilie teilweise übernehmen. In der Produktnorm werden diese Gefährdungen einzeln abgehandelt; man spricht auch von gefährdungsbasierten Normen (hazard based standard). Hierzu gehören z.B. die DIN EN 60950-1 (VDE 0805-1) [11] und die DIN EN 62368 (VDE 0868-1) [12] für Geräte der IT und der Heimelektronik, sowie die DIN EN 61010-1 (VDE 0411-1) [13] für Prüf-, Mess- und Automatisierungstechnik. Eingebettete Systeme fallen teilweise auch unter diese Normen, allerdings beschäftigen diese sich überwiegend nicht mit den programmgesteuerten Funktionen dieser Systeme. Der Geltungsbereich dieser Normen sowie derjenigen zur Installations- und Niederspannungstechnik sei im Folgenden als „klassische Elektrotechnik“ bezeichnet.

Mit der oben genannten Aufzählung ist das Schadensmodell der klassischen Elektrotechnik grob umrissen (Modell 1). Vielfach wird es jedoch als sogenanntes 3-Block-Modell weiter ausgeführt. Es geht von der Vorstellung aus, dass der Eintritt eines Schadens mit einem Energiefluss verbunden ist. In der DIN EN 62368-1 (VDE 0868-1) ist dieses Modell grafisch beschrieben; die Grafik wird hier sinngemäß in Bild 2 wiedergegeben.

Ein gutes Beispiel hierfür ist ein elektrisches Gerät mit Metallgehäuse, das am Netz angeschlossen ist. Das Netz sei die Energiequelle und damit der erste Block. Nehmen wir an, die Isolation des Gerätes ist schadhaft geworden, so dass Netzspannung am Gehäuse anliegt, was den zweiten Block zur Energieübertragung bildet. Eine Person berührt dieses, in der Person findet die Wirkung statt und stellt somit den dritten Block dar. Das Unheil pflanzt sich sozusagen anhand einer Wirkungskette fort. Als Gegenmaßnahme sieht das Modell der klassischen Elektrotechnik vor, diese Wirkungskette mit Hilfe von Schutzmaßnahmen zu unterbrechen (Modell 2). Der Guide 104 beschreibt folgende:

Schutz unter normalen Bedingungen, d.h. in diesem Beispiel, Konstrukteur und Hersteller haben für eine zuverlässige Isolation zu sorgen.
Schutz unter den Bedingungen eines Einzelfehlers. Auch wenn der Isolationsfehler aufgetreten ist, darf keine Spannung am Gehäuse anliegen.

Um die zweite Bedingung zu erfüllen, kommt als Schutzmaßnahme der Anschluss des Metallgehäuses an den Schutzleiter in Frage, so dass bei Auftreten des Isolationsfehlers das Überstromschutzorgan („Sicherung“) die Spannung automatisch abschaltet (ein Gerät nach Schutzklasse 1). Als alternative Schutzmaßnahmen bieten die meisten Normen verstärkte oder doppelte Isolation an (Gerät nach Schutzklasse 2) sowie den Betrieb des Gerätes mit ungefährlicher Kleinspannung (SELV, PELV, Gerät nach Schutzklasse 3). Das Erkennen der zusätzlichen Schutzmaßnahme in der verstärkten Isolierung setzt ein gewisses Abstraktionsvermögen voraus, so dass es für den Normenanwender eigentlich verständlicher wäre, diese Maßnahme als sichere Konstruktion zu klassifizieren. Ähnliches gilt für die Geräte mit Kleinspannung. Jedoch sieht die klassische Elektrotechnik als Modell der Risikoreduzierung ausschließlich Schutzmaßnahmen, und die im Guide 104 festgelegte Terminologie bestätigt dies.

Die Schutzmaßnahmen können aus den verschiedensten Gründen ausfallen. Über diese Gründe wird keine allgemeine Vorstellung in den Normen geäußert. Sie werden sozusagen vom gefahrbringenden Ereignis überlaufen (Ausfallmodell, Modell 3).

Um sich wiederum gegen den Ausfall der Schutzmaßnahmen zu schützen, werden in der Regel zwei Schutzmaßnahmen vorgesehen (Modell 4). Nach Guide 104 wird hierfür die Terminologie „Schutz unter normalen Bedingungen und Schutz unter den Bedingungen eines Einzelfehlers“ verwendet. Gelegentlich liest man auch „Basisschutz und zusätzlicher Schutz“ oder „Beherrschung des ersten Fehlers“. Wurden diese Schutzmaßnahmen richtig eingesetzt und sind sie zudem hinreichend voneinander unabhängig, so fallen sie auch unabhängig voneinander aus. Die Wahrscheinlichkeit hierfür ist gering. Somit wird erfahrungsgemäß durch zwei voneinander unabhängige Schutzmaßnahmen die notwendige Risiko-reduzierung erreicht.