VDE – Teil 2
Modelle der funktionalen Sicherheit
Fortsetzung des Artikels von Teil 2
Grenzen der Modelle
Es stellt sich die Frage: Sind die der DIN EN 61508 zugrundeliegenden Modelle 3 und 4, also das Ausfallmodell der risikomindernden Maßnahmen und das Modell der hiergegen zu ergreifenden Maßnahmen, so allgemeiner Natur, dass alle anderen Vorgehensweisen als Untermenge aufgefasst werden können?
Zunächst ist zu bemerken, dass die Anwendung dieser Modelle für „einfache Systeme“, d.h. für Systeme, deren Ausfallverhalten eindeutig vorhergesagt werden kann, schlicht übertriebenen Aufwand bedeutet. Für den richtigen Anschluss des Schutzleiters an ein Metallgehäuse oder für die Auslegung von Ohrenschützern ist zum Erreichen des Sicherheitszieles weder ein probabilistischer Ansatz noch ein Qualitätsmanagementsystem erforderlich.
Die Anwendung des Ausfallmodells mit zufälligen Ausfällen und seine Fortführung zu einer Vorhersage mit Wahrscheinlichkeiten stößt bei bestimmten Bauteilen auf Schwierigkeiten. Zum einen werden einige Bauteile in so geringen Serien gefertigt, dass eine statistische Beobachtung unmöglich ist; zum anderen gibt es Bauteile, die in der Praxis fast nur systematisch ausfallen. Ein Beispiel hierfür sind Stellventile in Anlagen der chemischen Industrie. Für die dort verwendeten speziellen Medien werden sie oft einzeln angefertigt. Ein wichtiges Bauteil in vielen dieser Ventile ist die mechanische Rückstellfeder: Sie fällt meist aufgrund systematischer Einflüsse aus, z.B. aggressive Umgebung, im Winter festgefroren oder ähnliches. Es ist nicht zulässig, solche Ausfälle in eine allgemeine Statistik einfließen zu lassen, denn sie berücksichtigt nicht die Bedingungen, unter denen sie sich wiederholen. An dieser Stelle ist zu erwähnen, dass die meisten deutschen Experten die richtige Systemauslegung für wichtiger halten als statistische Nachweise.
Es wird deutlich, dass eine nutzbringende Anwendung der Vorgehensweise der funktionalen Sicherheit wie in der DIN EN 61508 die oben genannten Ausfallmodelle voraussetzt.
Einbinden der Risikoanalyse in die Norm
Der klassische Ansatz zur Erstellung einer Sicherheitsnorm ist der, dass das erstellende Normungskomitee mit den in ihm vertretenen Fachleuten eine Risikoanalyse anfertigt und das Ergebnis in der Norm mitteilt, nämlich in Form der darin niedergelegten Sicherheitsanforderungen. Der Hersteller, der ein Produkt nach der Norm herstellen möchte, prüft, ob dieses im Anwendungsbereich der Norm liegt und dass die bei der Erstellung der Norm getroffenen Voraussetzungen auch für sein Produkt gelten. Sodann beachtet er bei dessen Auslegung die Sicherheitsanforderungen der Norm.
Die DIN EN 61508-1 schreibt als Sicherheitsgrundnorm, die sich an alle Fachgebiete richtet, hingegen nur vor, dass der Hersteller eine Risikoanalyse anzufertigen, ihr Ergebnis zu dokumentieren und für die Systemauslegung zu verwenden hat. Dieses ist Bestandteil des Sicherheitslebenszyklus. Die DIN EN 61508-5 nennt informativ einige Beispiele für Risikoanalysen.
Normungskomitees, die anwendungsbezogene Normen zur funktionalen Sicherheit erarbeiten, werden, je nachdem wie stark das Produkt im Rahmen der angestrebten Vereinheitlichung spezifiziert werden kann, einen Ansatz zwischen diesen beiden Extrempunkten wählen. Beispielsweise können für die Risikoanalyse bestimmte Randbedingungen vorgeschrieben werden, so dass die Risikoanalysen der Hersteller vergleichbar werden, was dem einzelnen Hersteller mehr Rechtssicherheit gibt und ihn in die Lage versetzt, seine Risikoanalyse mit seinen Zulieferern zu koordinieren. Die ISO 26262 für funktionale Sicherheit für Kraftfahrzeuge ist hierfür ein Beispiel [6].
- Modelle der funktionalen Sicherheit
- Die Modelle im Überblick
- Grenzen der Modelle
- Gestufte Anforderungen
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Funktionale Sicherheit
ISO 26262 in Serienprojekten
Forum Funktionale Sicherheit 2014
Geballtes Wissen zur Funktionalen Sicherheit
PES
Funktionale Sicherheit in verteilten Embedded-Systemen
VDE – Teil 1
Die Sicherheit eingebetteter Systeme
