Specials
Home > Software Engineering > Analyse & Entwurf

Sicherheitskritische Systeme, Teil 2

Einführung in die Entwicklung gemäß IEC 61508 — Hardwareaspekte

 

02.06.2009 | Autor: Olaf C. Winne, Quategra*

 

Mit der IEC61508 existiert eine branchenübergreifende generische Richtlinie für sicherheitsgerichtete Systeme, in denen ein Fehler zu Tod, Verletzung, der katastrophalen Schädigung der Umwelt oder der Zerstörung von Produktionsanlagen und -gütern führen kann. Welche Kriterien müssen Ingenieure bei der Hardwareentwicklung laut dem IEC-Standard berücksichtigen?


Foto: Merck Gruppe
Foto: Merck Gruppe
Im ersten Teil dieser Artikelreihe (LINK) wurde die Norm IEC61508 im Überblick vorgestellt. Die grundsätzlichen Begriffe und Anforderungen an die Entwicklungsprozesse von sicherheitskritischen Systemen sind kurz erläutert worden. In diesem 2.Teil (wie auch im 2. Teil der IEC61508) sollen vor allem Anforderungen an die Hardwareentwicklung näher betrachtet werden. In einem weiteren Beitrag folgt eine Einführung in die Softwareentwicklung nach Teil 3 dieser Norm.

Ergänzendes zum Thema
Expertenmeinung: „Sicherheitskritsche Aspekte bereits in der Entwurfsphase einbeziehen“
Der Entwurf sicherer Systeme, wie im Automotive-, Medizin- und Luftfahrtbereich, wurde bisher mit Normen, Richtlinien oder unternehmenseigenem Wissen auf vorwiegend technischer Basis umgesetzt. Bei immer komplexeren Systemen ist bereits die Definitionsphase kritisch, da in diesem frühzeitigen Stadium bereits viele spätere Entwurfsfehler entstehen. Daher sollte ein Entwurfs- und Lebenszyklus eines Produkts aufgebaut werden, um Zuverlässigkeit und Sicherheit nachvollziehbar zu planen und zu kontrollieren. Des weiteren sollte das System nachvollziehbar sicherheitstechnisch entworfen und betrachtet werden. Dazu formuliert die IEC61508 Kriterien für Prozessmanagement und -dokumentation während Entwicklung und Betrieb sowie für die Bewertung und den Nachweis der Fehlersicherheit eines Systems.
Wird die IEC 61508 erstmalig angewendet, ist die Umsetzung der geforderten Prozesse, Qualitätssicherungsmaßnahmen und Dokumentationen ein nicht zu unterschätzender Aufwand. Es stellen sich hohe Anforderungen an Verfahren, Dokumentation und das Management. Hierfür sollten im Unternehmen genügend Zeit und Ressourcen bereitgestellt werden, um die sicherheitsgerichtete Entwicklung nach dieser Norm auf eine feste Basis zu stellen. Auch die ausreichende Qualifikation der Mitarbeiter ist ein wichtiger Faktor für die erfolgreiche Umsetzung der von der Norm aufgestellten Forderungen.
Teil 2 der Norm IEC61508 schreibt Maßnahmen und Nachweise für die Bestimmungen eines SIL (Safety Integrity Level) der Hardware vor. Die Bestimmung der in diesem Autorenbeitrag vorgestellten Parameter des Systems und die Grenzen der Anwendbarkeit (z.B. Entwicklung eines Teilsystems) sind eine weitere Herausforderung, die meist nur in Bezug auf die Anforderungen an das Gesamtsystems ermittelt werden können. Auch dies macht deutlich wie wichtig es ist, die sicherheitskritischen Aspekte bereits in den allerersten Entwurfsphasen des Gesamtsystems in die Planung einzubeziehen.
*Olaf C. Winne ist Geschäftsführer der Quategra GmbH, die auf die Entwicklung von hochwertigen Embedded-Systemen spezialisiert ist. Kontakt: info@quategra.de
Der Entwurf sicherer Systeme, wie im Automotive-, Medizin- und Luftfahrtbereich, wurde bisher mit Normen, Richtlinien oder unternehmenseigenem Wissen auf...
Bild 1: Lebenszyklus eines E/E/PES ((elektrische /elektronische / programmierbare elektronische Systeme). Bei komplexeren Systemen ist bereits die Definitionsphase kritisch, da in diesem frühzeitigen Stadium viele spätere Entwurfsfehler entstehen. Teil 2 der IEC 61508 bezieht sich auf die Hardwareaspekte (inklusive Mechanik) des sicherheitsrelevanten Systems. Innerhalb des Gesamtsicherheitslebenszyklus (in der Phase 9, Realisierungsphase) wird für die Hardware des Systems ein detaillierter Sicherheitslebenszyklus definiert. Auch in allen Phasen des E/E/PES(elektrische/elektronische/programmierbare elektronische Systeme)-Lebenszyklus gelten die Anforderungen an Dokumentation, Verifikation und Validation sowie die Planung derselben wie im ersten Teil dieser Reihe beschrieben. Art und Umfang der Dokumentation können, je nach Projektgröße, erheblich variieren.

Entwurf muß konsequent gegen Sicherheitsanforderungen verifiziert werden

Gefordert ist ein systematischer Entwurf, der aus den Sicherheitsanforderungen an das gesamte System (siehe SRS, Safety-Requirement-Spezifikation) rückverfolgbar hergeleitet ist. Dieser Entwurf besteht aus einem Architekturentwurf der Hardware, System- und Baugruppendesign bis zur Schaltung. Der Entwurfsweg muss fortlaufend gegen die Sicherheitsanforderungen geprüft (verifiziert) werden. Dabei müssen die Sicherheitsanforderungen an E/E/PE-Systeme in einer Art und Weise ausgedrückt werden, dass sie klar, genau, unzweideutig, nachprüfbar, testbar, pflegbar und ausführbar sind.
Verfahren und Maßnahmen um systematische Hardwarefehler und Ausfälle während des Betriebes zu beherrschen müssen nach dem Teil 2 der IEC61508 implementiert, bewertet und geprüft worden sein (zum Beispiel Speichertests zur Sicherstellung der Datenkonsistenz). Dabei gibt es in der Praxis oft Unsicherheiten über die Güte der angewendeten Diagnosen zur Erkennung dieser Fehler.

Quantitative Ausfallwahrscheinlichkeit ist zu bestimmen

Neu gegenüber vielen gültigen Branchennormen ist die Forderung, die quantitative Ausfallwahrscheinlichkeit (zufällige Fehler durch Ausfälle der Bauteile oder Baugruppen) der Hardware zu bestimmen und entsprechend dem geforderten SIL nachzuweisen. Hier kommen statistische Betrachtungen mit entsprechenden Berechnungen ins Spiel – die jedoch für einige gebräuchliche Hardwarearchitekturen vereinfacht angewendet werden können.
Beim Entwurf von E/E/PE Systemen sollten folgende Anforderungen erfüllt werden:

  • Anforderungen zur Sicherheitsintegrität der Hardware

  • Anforderungen zur systematischen Sicherheitsintegrität

  • Anforderungen an das Systemverhalten bei Erkennung des Fehlers

  • Anforderungen zur E/E/PE-System-Implementierung

1  |  2  |  3  |  4  |  5  |  weiter
Redakteur: Martina Hafner
Themenverwandte Beiträge
Typprüfung Serie, Teil 2: Bevor der TÜV kommt!
Die derzeitige Norm und Grundlage für funktionale Sicherheit, die EN 954-1, gilt als technisch überholt. In der letzen Zeit haben die verantwortlichen Gremien verschiedene komplexe Normen entworfen und überarbeitet. Die wichtigsten im Bereich der Maschinensicherheit sind die IEC 61508, IEC 62061 und die prEN ISO 13849-1. Noch weiß man nicht, welche Norm sich in welchem Anwendungsgebiet wohl durchsetzen wird. Heute jedoch schon wichten, lassen sich die Argumente für Pro und Contra. weiter
Typprüfung Serie, Teil 4: Bevor der TÜV kommt!
Typprüfung Serie, Teil 4: Bevor der TÜV kommt!
Die Einführung der Normen EN 61508, EN 62061 und bevorstehend der EN ISO 13849-1 bringt nicht nur Neuerungen für den Entwickler von Geräten und Komponenten im Bereich „Sicherheit von Maschinen“, sondern auch für den Konstrukteur, der diese „sicherheitsbezogenen Teile von Steuerungen“ für seine Maschine auswählt und einsetzt. Bevor der TÜV kommt, ist zu klären: Welche Informationen benötigt der Anwender? Welche Angaben muss der Hersteller bereitstellen? Checklisten erleichtern die Arbeit. weiter
Sicherheitskritische Systeme, Teil 1: Leitfaden für die Norm IEC 61508
Sicherheitskritische Systeme, Teil 1: Leitfaden für die Norm IEC 61508
Die IEC 61508 ist eine branchenübergreifende generische Richtlinie für alle sicherheitsgerichteten Systeme. Sie umfasst weit über 500 Seiten an normativen und informativen Vorschlägen und Festlegungen. Eine leichtverdauliche Einführung zu den wichtigsten Konzepten gibt unser Experte Olaf C. Winne. weiter
Kommentare zu diesem Artikel
Kommentar verfassen
Kommentar verfassen
Bitte loggen Sie sich ein, wenn Sie einen Kommentar schreiben wollen.
zum Login


Artikel versendenArtikel versenden
DruckversionDruckversion
Artikel archivierenArtikel archivieren
Artikel als PDFArtikel als PDF
Artikel Bewertung

Links und Downloads zu diesem Beitrag
Firma zum Artikel

Quategra GmbH

Leipzig, Deutschland

Firmenprofil
Firmen in diesem Themenumfeld

Panasonic Industrial Europe GmbH

Hamburg, Deutschland

Industriebatterien von Panasonic - sicher, langlebig und kraftvoll Panasonic zählt zu den führenden Batterieherstellern der Welt mit jahrzehntelanger ...

Firmenprofil
Kontakt

MSC Vertriebs GmbH

Stutensee, Deutschland

MSC ist ein international tätiges Unternehmen in den Bereichen Vertrieb und Entwicklung elektronischer High-Tech Produkte. Gegründet 1982 agiert ...

Firmenprofil
Kontakt

pls Programmierbare Logik & Systeme GmbH

Lauta, Deutschland

pls Programmierbare Logik & Systeme GmbH zählt zu den weltweit führenden Anbietern von Software-Debugging-Lösungen und kompletten Entwicklungstools ...

Firmenprofil
Kontakt

Panasonic Electric Works Deutschland GmbH

Holzkirchen, Deutschland

Hochwertige elektronische und elektromechanische Bauelemente, ausgereifte Automatisierungslösungen für sämtliche Industrieanwendungen und ein kompetenter ...

Firmenprofil
Whitepaper und Webcasts zum Thema
Whitepaper
Software-Entwicklung für integrierte modulare Avionik
Whitepaper über aktuelle Trends in der Entwicklung von sicherheitskritischen Avioniksystemen.


Buchtipps
 
Newsletter
Newsletter
Special
Links & Tipps Links & Tipps
Marktübersicht Marktübersicht
Forum Forum
Dossier Dossier
Service
Veranstaltungen Veranstaltungen
Firmen Firmen
Stellenmarkt Stellenmarkt
Abo
Newsletter
RSS Feeds
EP Twitter