Sicherheitstechnik
Wie sicher ist sicher genug?
Fortsetzung des Artikels von Teil 1
Ausfallraten technischer System
Die obige quantitative Betrachtung erfasst jedoch nur einen Teil der Ausfallmöglichkeiten. Man unterscheidet in der Regel dabei zwischen zufälligen und systematischen Ausfällen. Dabei ist ein systematischer Ausfall auf Fehler (Handeln oder Unterlassen) bei einer Tätigkeit zurückzuführen, die in einer bestimmten Kombination von Eingaben oder Umweltbedingungen einen Ausfall zulassen (EN ISO 14971 Anhang E). Der Fehler, der zu systematischen Ausfällen führt, kann sowohl bei der elektronischen Hardware als auch bei der Software auftreten und kann während der Entwicklung, der Herstellung oder Wartung eines Produkts entstehen.
Da die systematische Ausfallhäufigkeit in der Regel fundiert nicht quantifiziert werden kann, wird hierzu ein qualitativer Ansatz verfolgt. Dabei werden entsprechend der SIL einer Komponente Anforderungen bezüglich der Prozessqualität und der dafür anzuwendenden Methoden und Verfahren über den gesamten Lebenszyklus hinweg gestellt. Neben Vorgaben bzw. den Ausschluss bestimmter Technologien schließt dies insbesondere den Umfang der Verifikations- und Validierungsmaßnahmen sowie der Dokumentation explizit mit ein. Im Vergleich zu einer Komponente ohne Sicherheitsrelevanz entstehen dabei erhebliche Mehrkosten, die sowohl mit der SIL Stufe als auch mit der Komplexität der Komponente überproportional ansteigen.
In vielen Bereichen muss zum Abschluss der Produktrealisierung vor der Nutzung einer unabhängigen Stelle (z.B. Gutachter, Zulassungsbehörde, o.ä.) nachgewiesen werden, dass die Entwicklung bis zu diesem Zeitpunkt konform dieser Vorgaben verlaufen ist, sowie die Lebenszyklusphasen nach der Inbetriebsetzung auch konform vorbereitet sind.
Schlüsselelemente und wesentliche Wirtschaftlichkeitsfaktoren sind dabei:
a) eine Anforderungsspezifikation, die Sicherheitsanforderungen klar und vollständig herausarbeitet,
b) eine Architektur, die möglichst sichere von nicht sicheren Anteilen separiert,
c) sowie ein geschicktes Systemkonzept, welches beispielsweise durch Redundanz die zulässigen Einzelfehlerraten der Komponenten maximiert und damit die SIL so weit wie möglich reduziert, ohne die Anlageneinzelkosten drastisch zu erhöhen.
Mensch-Maschine-Systeme
Ein oft vernachlässigter und dennoch sehr attraktiver und in bestimmten Anwendungsfällen überaus wirtschaftlicher Ansatz (siehe c) ist die Konzeption eines Mensch-Maschine-Systems anstelle eines vollständig technisch automatisierten Systems. Gelingt es beispielweise das System so zu konzipieren, dass ein gefährlicher Zustand nur dann eintreten kann, wenn sowohl der Mensch als auch die Technik unabhängig und gleichzeitig versagen, so kann für das technische System als einer Komponente dieses zweikanaligen Mensch Maschine Systems eine um ca. drei Größenordnungen höhere Fehlerrate erlaubt werden (siehe [1]).
Entsprechend reduziert sich ggf. die SIL Anforderungsstufe der Komponente und damit in erheblichem Maß auch deren Erstellungs- und Betriebskosten (z.B. durch die Reduktion aufwendiger Wartungsmaßnahmen). Doch insbesondere in der Entwicklungsphase eines solchen Systems kommt es damit zu erheblichen Einsparungen bei den NRE (Non-recurring expenditure), einem wesentlichen Faktor bei in geringerer Stückzahl produzierten Systemen.
Darüber hinaus ist der Vorteil einer solchen Aufteilung, dass der beteiligte Mensch mit voller Aufmerksamkeit im Betrieb integriert ist, und auf entsprechende, in der Bestimmung der l, unvorhergesehene Fehlerfälle aufgrund seiner der technischen Anlage weit überlegenen Flexibilität besser reagieren kann. Teilweise sind in bestimmten Anwendungen die Umgebungseinflüsse bzw. Störgrößen gar nicht völlig vorhersehbar (z.B. Straßenverkehr). Exemplarisch sei hier auch eine auf dem Bahngleis stehende Kuh genannt, die durch das Zugsicherungssystem weder erfasst noch berücksichtigt ist. Selbstverständlich ist im konkreten Anwendungsfall zu prüfen, ob der Bediener in der Regel überhaupt ausreichend Einflussmöglichkeiten hat. Ein Fall, in dem diese Faktoren ebenfalls erfüllt sind, tritt ein, wenn eine Anlage aufgrund Wartungs- oder Reparaturarbeiten außerhalb des „normalen“ automatisierten Betriebszustandes manuell gefahren wird. Dann wird das reine technische System in ein Mensch Maschine System überführt.
Mensch-Maschine-Schnittstelle
Die Mensch Maschine Schnittstelle (HMI – Human Machine Interface) hat für eine solche Konzeption eine zentrale Rolle, der in ihrer Bedeutung und dementsprechend in der Ausgestaltung gerade bei der Informationsanzeige oft nur unzureichend Rechnung getragen wird. Dies betrifft einerseits die ergonomische Ausgestaltung, beispielsweise in der Software der PC basierten HMI. Hier wird die Flexibilität und Leistungsfähigkeit oft dazu benutzt, den Bediener mit einer Fülle von Informationen zu überfordern, ohne Erkenntnisse der Arbeitspsychologie einzuarbeiten. Gerade die Beschränkung auf für den jeweiligen Arbeitsvorgang relevante Informationen sowie z.B. eine farbliche Priorisierung ist jedoch mit moderner TFT basierter Anzeigetechnik vorzüglich möglich.
Anderseits muss die durch das HMI übertragene Information für den Betrachter verlässlich sein. Aus Sicht der Sicherheitstechnik bedeutet dies, dass die Funktion der korrekten Informationsdarstellung nachweislich eine bestimmte Fehlerrate nicht überschreiten darf. Für die konkrete Anwendung ergibt die Systemanalyse dabei im obigen Sinne oft keine hohe SIL Anforderungsstufe, darf aber bei der Betrachtung und der Sicherheitsnachweisführung nicht vernachlässigt werden. Bevor jedoch die technische Realisierung untersucht wird, sollte im Sinne von (a) die Sicherheitsanforderung möglichst genau gefasst werden. Es ist zum Beispiel oft [2] nicht sicherheitskritisch, wenn die Anzeige für den Betrachter erkennbar fehlerhaft oder gestört ist. Auch ist ein Pixelfehler oder ein Fehler, der nur in einem oder wenigen Wiederholzyklen des Bildschirms und damit für kurze Zeit (< 1 Sek.) angezeigt wird, nicht kritisch.
Demgegenüber sind solche Zustände als kritisch einzustufen, bei denen eine Information konsistent auf dem Bildschirm erscheint, nicht aber dem übermittelten Anzeigeinhalt entspricht (z.B. ein als Zeigerinstrument visualisierter Druckanzeiger zeigt den halben statt den übermittelten Wert). Erst diese sorgfältige Anforderungsanalyse und die Einschränkung auf die tatsächlich zu erfassenden sicherheitsrelevanten Fehlerfälle erlaubt dann den geeigneten Lösungsansatz zu finden, der diese und nur diese Fehler offenbart. Mit dem unter dem Namen IconTrust vermarkteten Konzept [3] werden demgemäß nur solchen Anzeigezustände „erlaubt“, die korrekte Anzeigeinformationen entsprechend der Vorgaben visualisieren. Dabei wurde jedoch auch der dritte Wirtschaftlichkeitsfaktor (b) umgesetzt. Zum einen überwacht die Methode nur solche Bereiche auf dem TFT die sicherheitsrelevante Inhalte darstellen. Zum anderen ist hier die sichere Überwachungsfunktion von dem die Darstellung generierenden Rechner vollständig unabhängig in einer einfachen separaten Schaltungseinheit realisiert. Dies erlaubt, dass für den darstellenden Rechner, der in der Regel durch leistungsfähige PC realisiert wird, auf den für diese sehr komplexe Einheit äußerst anspruchsvollen und daher sehr kostenintensiven Nachweis funktionaler Sicherheit verzichtet werden kann. Diese Eigenschaften erlaubt die kosteneffektive Realisierung von sicheren Mensch Maschine Schnittstellen.
Fazit
Stellt eine Anlage oder ein technisches System einer Gefährdung für Menschen oder die Umwelt dar, so müssen angemessene Sicherungsmaßnahmen ergriffen werden. Eine vollständige 100%-Absicherung wird in der Regel - wenn überhaupt möglich - wirtschaftlich nicht darstellbar sein. Die Angemessenheit für den Umfang der Maßnahmen wird aus verschiedenen Ansätzen abgeleitet und als THR festgehalten, welche durch die Rate gefährlicher Systemfehler l nicht überschritten werden darf. Rein technische Systeme mit nachweißlich geringer Fehlerrate sind sehr kostenintensiv. Ein Mensch Maschine System kann dazu eine attraktive und wirtschaftliche Alternative darstellen. Bei sorgfältiger Analyse und Konzeption kann dabei die Mensch Maschine Schnittstelle als ein Schlüsselelement solcher System mit heute verfügbarer Technik auf kosteneffektive Weise nachweislich sicher realisiert werden.
Fußnoten
[1] Sicherung des Bahnbetriebs auf Strecken mit schwachem bis mäßigem Verkehr; Zeitschrift Elektrische Bahnen 100(2002)11
[2] Wenn beispielsweise Unverfügbarkeit im Rahmen des Gesamtkonzeptes, etwa durch betriebliche Festlegungen, nicht kritisch ist.
| Dr. Rudolf Ganz |
|---|
|
ist Technischer Geschäftsführer bei der Deuta-Werke GmbH in Bergisch Glattbach. |
- Wie sicher ist sicher genug?
- Ausfallraten technischer System
Lesen Sie mehr zum Thema
