VDE – Teil 2
Modelle der funktionalen Sicherheit
Fortsetzung des Artikels von Teil 3
Gestufte Anforderungen
Die im Lebenszyklus der DIN EN 61508-1 vorgeschriebene Risikoanalyse stellt die zu erreichende Risikoreduzierung fest. Dazu werden bei den meisten Verfahren zur Risikoanalyse die Parameter Schwere und Wahrscheinlichkeit des zu erwartenden Schadens verwendet; vielfach kommen noch weitere hinzu, die beispielsweise ausdrücken, ob man sich einem auftretenden Schadensereignis noch entziehen oder dieses abwenden kann. Die zu erreichende Risikoreduzierung wird mit Hilfe von vier möglichen Stufen ausgedrückt, den sogenannten Safety Integrity Levels, kurz SIL. SIL 1 ist die geringste Risikoreduzierung, SIL 4 die höchste. Diese gestuften Anforderungen werden auf die Unterpunkte des Modells 4 der funktionalen Sicherheit, Maßnahmen gegen das Versagen der Risikoreduzierung, angewendet:
- SIL-abhängige Anforderung zur Beherrschung zufälliger Bauteilausfälle: Die Sicherheits-Integrität wird als Wahrscheinlichkeit aufgefasst, mit der die Sicherheitsfunktion ausgeführt wird. Den Zusammenhang zwischen dem in der Risikoanalyse ermittelten SIL und den erforderlichen Wahrscheinlichkeitswerten stellen die Tabellen 2 und 3 der DIN EN 61508-1:2011 her. Der Hersteller eines Systems muss nun mit Hilfe der oben erwähnten Datenbanken und Berechnungsverfahren nachweisen, dass dieses die geforderten Wahrscheinlichkeitswerte voraussichtlich erbringen wird.
- SIL-abhängige Anforderungen zur Vermeidung systematischer Ausfälle: Die für den Entwurf und die Ausführung des Gesamtsystems zuständige DIN EN 61508-2 und die für die Software zuständige DIN EN 61508-3 fordern die einzusetzenden Techniken in Abhängigkeit von den zu erreichenden SILs. Diese sind in mehreren Tabellen festgelegt. Das gleiche gilt für die Techniken, mit denen Fehlertoleranz erreicht wird.
- SIL-abhängige Architekturanforderungen: In diese geht, ebenfalls SIL-abhängig, der erforderliche Redundanzgrad (1, 2 oder 3 parallele Kanäle) ein. Der Hersteller von Systemen, die solche Anforderungen erfüllen, muss in der Lage sein, Diagnosemechanismen einzurichten, die Fehler in den Kanälen erkennen und die Aufdeckungswahrscheinlichkeit einschätzen können. Sodann muss ein Systemverhalten bei Erkennung eines Fehlers verwirklicht werden („Degradations-Strategie“).
Die Stufung von Anforderungen als Ergebnis einer individuellen Risikoanalyse sucht man in den klassischen Sicherheitsnormen der Elektrotechnik, so wie sie im ersten Teil der Artikelserie genannt sind, meist vergeblich. Ein Schutzleiteranschluss wird stets in der gleichen, in der Norm vorgeschriebenen Qualität ausgeführt - gleichgültig, ob damit zu rechnen ist, dass das Metallgehäuse eines Gerätes oft von Laien berührt wird oder nur gelegentlich durch Reinigungspersonal. Eine derartige Stufung von Anforderungen ist schlicht nicht üblich und würde wohl auch nicht zu nennenswerten Unterscheidungen und wirtschaftlichen Vorteilen führen.
Die IT-Sicherheit kommt bestimmt
Während die Pioniere des Internet sich noch darauf verließen, dass die Gemeinde ihrer Netzteilnehmer aus ehrbaren Wissenschaftskollegen bestehen würde, wogen sich die ersten Entwickler, die ihre Steuerungen IP-adressierbar machten, mit der Hoffnung in Sicherheit, dass Zeitgenossen mit fragwürdigen Absichten diese ausschließlich in die Banken- und Bürowelt richten würden. Nicht nur davon mussten wir inzwischen Abschied nehmen; wir mussten auch lernen, dass Steuerungen, die überhaupt nicht an das Internet angeschlossen sind, über das Entwicklungssystem angegriffen werden können.
Ob es uns gefällt oder nicht: Der Bedarf nach einer neuen Sicherheitsdisziplin, der IT-Sicherheit in der Automatisierungstechnik, wurde überall artikuliert. Eine normierte Betrachtungsweise hierfür nimmt inzwischen Gestalt an und im dritten Teil wird dargelegt werden, wie sich diese neue Disziplin in das bis jetzt dargestellte Vergleichsmuster einfügt.
Literatur
[1] DIN EN 61508-4 (VDE 0803-4): 2011-02, Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme - Teil 4: Begriffe und Abkürzungen (IEC 61508-4:2010). Deutsche Fassung EN 61508-4:2010.
[2] Rolle, I.: Die Sicherheit eingebetteter Systeme. Artikelserie zur Funktionalen Sicherheit - Teil 1. Elektronik 03/2013; Seite 41ff.
[3] IEC/TR 62380:2004-08, Reliability data handbook - Universal model for reliability prediction of electronics components, PCBs and equipment.
[4] DIN EN 61508-7 (VDE 0803-7): 2011-02, Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme - Teil 7: Überblick über Verfahren und Maßnahmen (IEC 61508-7:2010); Deutsche Fassung EN 61508-7:2010.
[5] DIN EN 61508-3 (VDE 0803-3): 2011-02, Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme - Teil 3: Anforderungen an Software (IEC 61508-3:2010). Deutsche Fassung EN 61508-3:2010.
[6] ISO 26262 (Reihe):2011-11, Straßenfahrzeuge - Funktionale Sicherheit.
Weiterführende Links
Der VDE|DKE bietet zudem zahlreiche Informationen zur funktionalen Sicherheit sowie eine Normenübersicht zur funktionalen Sicherheit.
Der Autor
| Ingo Rolle |
|---|
| war zunächst in verschiedenen Industriestellungen tätig, bevor er 1993 zur DKE (Deutsche Kommission Elektrotechnik, Elektronik, Informationstechnik im DIN und VDE) kam. Er betreut dort Normenausschüsse, die in der industriellen Automatisierung tätig sind. Hierzu gehört auch das GK 914, das für die IEC 61508 zuständig ist, und das UK 931.1 für die IT-Sicherheit. |
Ingo.Rolle@VDE.com
- Modelle der funktionalen Sicherheit
- Die Modelle im Überblick
- Grenzen der Modelle
- Gestufte Anforderungen
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Funktionale Sicherheit
ISO 26262 in Serienprojekten
Forum Funktionale Sicherheit 2014
Geballtes Wissen zur Funktionalen Sicherheit
PES
Funktionale Sicherheit in verteilten Embedded-Systemen
VDE – Teil 1
Die Sicherheit eingebetteter Systeme
