VDE – Teil 2
Modelle der funktionalen Sicherheit
Fortsetzung des Artikels von Teil 1
Die Modelle im Überblick
Über den Ablauf eines Schadensereignisses wird in denjenigen Normen zur funktionalen Sicherheit, die allgemeineren Charakter haben, z.B. in der Sicherheitsgrundnorm DIN EN 61508, keine allgemeine Vorstellung geäußert (Modell 1; [2]). Stattdessen wird angenommen, dass eine Risikoanalyse die notwendigen Sicherheitsfunktionen zur Reduzierung des Risikos festlegt. Um diese zu erfüllen, sind, abhängig von der Zuordnung einer Sicherheitsfunktion auf die sicherheitsbezogenen Systeme, möglicherweise elektronische Steuerungen notwendig. Das ist die Vorstellung von der Risikoreduzierung (Modell 2; [2]). In Normen zur funktionalen Sicherheit allerdings, die sich stärker an der Anwendung orientieren - also fachspezifischen Umsetzungen, Produktfamilien- oder -normen -, werden die Schadensquellen und risikomindernden Maßnahmen mehr oder weniger beschrieben, d. h., die Modelle 1 und 2 näher ausgeführt.
Vom Versagen der risikoreduzierenden Maßnahmen (dazu gehört das E/E/PES-sicherheitsbezogene System) wird in der DIN EN 61508 eine klare Vorstellung entwickelt (Modell 3; [2]). Folgende Ausfallmodelle sind angegeben:
- Zufällige Ausfälle von Bauteilen. Zufall bedeutet hier, dass wir mit den uns zur Verfügung stehenden Mitteln keine Ursache und keinen Zusammenhang zwischen den Ausfällen erkennen können.
- Systematische Ausfälle. Das sind Ausfälle, die auf eine bestimmte Ursache zurückgeführt werden können und meistens durch die Begrenztheit des menschlichen Geistes entstehen. Diejenigen, die ein System entwerfen, machen Fehler. Diejenigen, die eine Risikoanalyse anfertigen, schätzen Gefahren falsch ein und/oder übersehen Abhängigkeiten. Diejenigen, die die Sicherheitsspezifikation schreiben, geben Sicherheitsfunktionen unzureichend an, und diejenigen, die die Instandhaltung planen oder ausführen, unterschätzen Fehlerquellen oder die Möglichkeiten zur technischen Umsetzung der Maßnahmen in der betrieblichen Umgebung. Eine weitere Art systematischer Ausfälle kann dadurch entstehen, dass das System außerhalb seiner Spezifikation betrieben wird, z.B. bei zu hoher Umgebungstemperatur oder die Bediener suchen nach Manipulationsmöglichkeiten, „tricksen“ das System sozusagen aus.
Ebenfalls besitzt die Disziplin der funktionalen Sicherheit eine klare Vorstellung davon, welche Maßnahmen gegen diese Arten von Ausfällen zu treffen sind (Modell 4; [2]):
- Die Maßnahmen gegen zufällige Ausfälle von Bauteilen sehen vor, die Anzahl der Ausfälle zu begrenzen, da man Zufälle nicht gänzlich verhindern kann. Dabei wird von jeder Art von Bauteil (Transistor, Widerstand, IC, Relais usw.) das Ausfallverhalten beobachtet, d.h., es wird erfasst, wie oft und in welcher Art es ausfällt, z.B. Kurzschluss oder Unterbrechung. Die Ergebnisse dieser in der Regel langjährigen Beobachtungen werden in Form einer Statistik zusammengefasst. Einige dieser Statistiken sind öffentlich zugänglich, z.B. IEC/TR 62380 [3] oder die Siemens-Werksnorm SN 29500, andere werden unternehmensintern geführt. Auf der Grundlage dieser Statistiken und mit Hilfe von Rechenverfahren, die in der DIN EN 61508-2 und anderen Normen zur funktionalen Sicherheit beschrieben sind, wird das zukünftige Verhalten in Bezug auf zufällige Ausfälle vorhergesagt. Das System muss nun so ausgelegt werden, dass diese Vorhersage unter einer vorgegebenen Grenze liegt.
- Die systematischen Ausfälle sollen durch ein Managementsystem vermieden werden, genannt „Safety Lifecycle“ oder „Sicherheitslebenszyklus“ (Bild).
Die funktionale Sicherheit geht davon aus, dass es schwierig ist, das Verhalten des Systems durch eine Prüfung vollständig aufzudecken - im Gegensatz zu den oben genannten klassischen Sicherheitsnormen, die in der Regel die vollständige Prüfbarkeit annehmen. Durch ein Managementsystem soll erreicht werden, dass Fehler nicht erst aus dem fertigen System heraus geprüft werden müssen oder dort verbleiben, sondern gar nicht erst hineinkommen. Ferner werden bestimmte Techniken zur Vermeidung systematischer Fehler vorgeschrieben, z.B. umfangreiche Prüfungen oder das Verbot bestimmter Programmierarten. All diese Techniken sind in der DIN EN 61508-7 [4] zusammenfassend dargestellt. Es ist also nicht ausreichend, alleine das Arbeiten nach einem Qualitätssicherungssystem nachzuweisen.
Insbesondere die Vorschriften, welche sich auf die Entwicklung beziehen, machen es für einen Hersteller schwierig, laufende Altprodukte nachträglich für die Verwendung in Sicherheitsfunktionen zu qualifizieren:
- Falls während des Einsatzes des Systems trotz dieser Maßnahmen dennoch zufällige oder systematische Ausfälle auftreten, muss das System hiergegen eine gewisse Toleranz aufweisen, für die ebenfalls bestimmte Techniken vorgeschrieben sind. Dies muss auch für die Software nachgewiesen werden [5].
- Auch die Architekturanforderungen seien hier genannt. Die DIN EN 61508-2 [4] schreibt, in Abhängigkeit von den Anforderungen, eine gewisse Mehrkanaligkeit vor, so dass allein das Vorrechnen von Wahrscheinlichkeiten nicht unbedingt ausreichend ist. An dieser Stelle wirkt also die aus der klassischen Elektrotechnik bekannte Vorgehensweise der gestaffelten Schutzmaßnahmen (Beherrschung des n-ten Fehlers) nach.
- Modelle der funktionalen Sicherheit
- Die Modelle im Überblick
- Grenzen der Modelle
- Gestufte Anforderungen
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Funktionale Sicherheit
ISO 26262 in Serienprojekten
Forum Funktionale Sicherheit 2014
Geballtes Wissen zur Funktionalen Sicherheit
PES
Funktionale Sicherheit in verteilten Embedded-Systemen
VDE – Teil 1
Die Sicherheit eingebetteter Systeme
