VDE – Teil 1
Die Sicherheit eingebetteter Systeme
Fortsetzung des Artikels von Teil 3
Grenzen der Vorgehensweise der klassischen Elektrotechnik
Wie die folgenden Beispiele zeigen, kann die oben genannte Vorgehensweise in bestimmten Fällen unzureichend sein:
- Kommen nicht ausreichend zuverlässige Schutzmaßnahmen zur Anwendung, wird das System auch unter den Bedingungen eines Einzelfehlers möglicherweise nicht mehr beherrscht. Diese Möglichkeit ist speziell dann zu betrachten, wenn die Schutzmaßnahmen auf elektronischen Mitteln beruhen, typischerweise mit einem eingebetteten Mikrorechnersystem. Ihr Ausfallverhalten ist, im Gegensatz z.B. zu einem Relais, nicht mehr einfach vorhersagbar. Hier bieten sich die Ausfallmodelle nach DIN EN 61508 (VDE 0803) an sowie deren Modelle zur Vermeidung und Beherrschung solcher Ausfälle, siehe hierzu Kapitel 4.
- Der Entwurf des Systems sieht zwei gestaffelte, scheinbar unabhängige Schutzmaßnahmen vor, jedoch wird eine versteckte Abhängigkeit zwischen diesen übersehen. Eine solche liegt vor, wenn ein Ereignisablauf beide Schutzmaßnahmen überwinden kann. Um ein allseits bekanntes Beispiel zu verwenden: Ein Erdbeben zerstört zunächst einen Kernreaktor und macht dessen Regelsystem betriebsunfähig. Das Schutzsystem zur Reaktornotkühlung tritt daraufhin spezifikationsgemäß in Tätigkeit, um diese Fehlerbedingungen zu beherrschen. Das gleiche Erdbeben löst jedoch auch einen Tsunami aus, der die Dieselaggregate der Reaktornotkühlung einige Minuten später zerstört und damit auch diese Schutzmaßnahme ausfallen lässt. Ein ähnlicher Fall liegt vor, wenn in einem Niederspannungsnetz vom Typ TN-C der PEN-Leiter durchtrennt wird. An den ordnungsgemäß an den Schutzleiter angeschlossenen Metallgehäusen liegt jetzt eine wahrscheinlich gefährliche Spannung an und keine der Schutzmaßnahmen gegen elektrischen Schlag ist wirksam.
Bereits während der Analysephase in der Systemauslegung sollte versucht werden, solche Ereignisabläufe zu untersuchen, mögliche Abhängigkeiten zu erkennen und zu bewerten. Im Falle des PEN-Leiters hat dies dazu geführt, dass das zuständige Normungskomitee konstruktive Eigenschaften des PEN-Leiters vorgeschrieben hat, mit dem Ziel, die Wahrscheinlichkeit des Auftretens dieses Falls und damit sein Risiko hinreichend zu verringern. - Bei Schutzmaßnahmen in der Betriebsart mit niedriger Anforderungs-rate (nach DIN EN 61508 (VDE 0803) weniger als eine Anforderung pro Jahr) können redundante Teilsysteme zwischen den wiederkehrenden Prüfungen unerkannt ausfallen, so dass sie im Anforderungsfall nicht zur Verfügung stehen, obwohl sie voneinander unabhängig sind. In der oben genannten Terminologie heißt das: „Es kommt zu einer Häufung von ersten Fehlern“. Nachdem sich auf der Förderplattform Deepwater Horizon am 20. April 2010 im Golf von Mexiko eine Explosion ereignet hatte, ging die Verbindung zum Anlagenteil in rund 1.500 m Tiefe auf dem Meeresgrund verloren. Um einen unkontrollierten Austritt von Gas und Rohöl auf dem Meeresgrund zu verhindern, hätte der sogenannte Blow-out Preventer als selbsttätig wirkendes Schutzsystem in diesem Anlagenteil die Förderleitung mit Hilfe eines hydraulischen Mechanismus verschließen (blind shear ram) sollen. Das System, um diesen auszulösen, war doppelkanalig ausgelegt. In einem Kanal versagte ein Magnetventil, im anderen Kanal waren die Batterien zur Versorgung der Steuerung entladen [14].
Selbstdiagnosefähigkeit der Systeme, Fehleraufdeckungsmöglichkeiten im Rahmen der wiederkehrenden Prüfungen sowie die Festlegung deren Intervalle bedürfen daher bei Systemen in der Betriebsart mit niedriger Anforderungsrate einer eingehenden Betrachtung.
Verschiedene Bereiche, verschiedene Sicherheitsphilosophien
Die Artikelserie zur funktionalen Sicherheit in eingebetteten Systemen soll eine Hilfestellung zur Verringerung von Schwierigkeiten zwischen den einzelnen Fachgebieten sein und gemeinsame Grundlagen zum Erreichen von Sicherheit vorstellen, die unterschiedlichen Vorgehensweisen in einigen Gebieten vergleichen und auf die Anwendungsgrenzen aufmerksam machen, denn die allein gültige Sicherheitsphilosophie gibt es nicht. Im zweiten Teil der Artikelserie werden die Modelle von funktionaler und IT-Sicherheit vorgestellt.
Literatur
[1] DIN EN 61508-1 (VDE 0803-1):2011-02, Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme - Allgemeine Anforderungen (IEC 61508-1:2010). Deutsche Fassung EN 61508-1:2010.
[2] DIN EN 61508-2 (VDE 0803-2):2011-02, Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme - Teil 2: Anforderungen an sicherheitsbezogene elektrische/elektronische/programmierbare elektronische Systeme (IEC 61508-2:2010). Deutsche Fassung EN 61508-2:2010.
[3] DIN EN 61508-3 (VDE 0803-3):2011-02, Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme - Teil 3: Anforderungen an Software (IEC 61508-3:2010). Deutsche Fassung EN 61508-3:2010.
[4] DIN EN 61508-4 (VDE 0803-4):2011-02, Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme - Teil 4: Begriffe und Abkürzungen (IEC 61508-4:2010). Deutsche Fassung EN 61508-4:2010.
[5] DIN EN 61508-5 (VDE 0803-5):2011-02, Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme - Teil 5: Beispiele von Methoden für die Bestimmung von Sicherheits-Integritätsleveln (IEC 61508-5:2010). Deutsche Fassung EN 61508-5:2010.
[6] DIN EN 61508-6 (VDE 0803-6):2011-02, Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme - Teil 6: Anwendungsrichtlinie für IEC 61508-2 und IEC 61508-3 (IEC 61508-6:2010). Deutsche Fassung EN 61508-6:2010.
[7] DIN EN 61508-7 (VDE 0803-7):2011-02, Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme - Teil 7: Überblick über Verfahren und Maßnahmen (IEC 61508-7:2010); Deutsche Fassung EN 61508-7:2010.
[8] DKE: Muss bei der funktionalen Sicherheit auch die IT-Sicherheit beachtet werden?
[9] DIN V 820-120:1994-10, Normungs-arbeit - Teil 120: Leitfaden für die Aufnahme von Sicherheitsaspekten in Normen.
[10] IEC Guide 104:2010-08, The preparation of safety publications and the use of basic safety publications and group safety publications.
[11] DIN EN 60950-1 (VDE 0805-1):2011-01, Einrichtungen der Informationstechnik - Sicherheit - Teil 1: Allgemeine Anforderungen (IEC 60950-1:2005, modifiziert + Cor.:2006 + A1:2009, modifiziert). Deutsche Fassung EN 60950-1:2006 + A11:2009 + A1:2010.
[12] E DIN EN 62368-1 (VDE 0868-1):2012-02, Einrichtungen für Audio/Video, Informations- und Kommunikationstechnik - Teil 1: Sicherheitsanforderungen (IEC 108/455/CD:2011).
[13] DIN EN 61010-1 (VDE 0411-1):2011-07, Sicherheitsbestimmungen für elektrische Mess-, Steuer-, Regel- und Laborgeräte - Teil 1: Allgemeine Anforderungen (IEC 61010-1:2010). Deutsche Fassung EN 61010-1:2010.
[14] BP-Bericht über das Deepwater-Horizon-Unglück
Weiterführende Links
Der VDE|DKE bietet zudem zahlreiche Informationen zur funktionalen Sicherheit sowie eine Normenübersicht zur funktionalen Sicherheit.
Der Autor
| Ingo Rolle |
|---|
| war zunächst in verschiedenen Industriestellungen tätig, bevor er 1993 zur DKE (Deutsche Kommission Elektrotechnik, Elektronik, Informationstechnik im DIN und VDE) kam. Er betreut dort Normenausschüsse, die in der industriellen Automatisierung tätig sind. Hierzu gehört auch das GK 914, das für die IEC 61508 zuständig ist, und das UK 931.1 für die IT-Sicherheit. |
Ingo.Rolle@VDE.com
- Die Sicherheit eingebetteter Systeme
- Sicherheitsbegriff und grundsätzliche Vorgehensweise
- Die Modelle der klassischen Elektrotechnik
- Grenzen der Vorgehensweise der klassischen Elektrotechnik
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Forum Funktionale Sicherheit 2014
Geballtes Wissen zur Funktionalen Sicherheit
Interview Prof. Dr. Thomas Klindt
»Normenkonformität bedeutet nicht Rechtskonformität!«
PES
Funktionale Sicherheit in verteilten Embedded-Systemen
