Home > Software Engineering > Analyse & Entwurf

Sicherheitskritische Systeme, Teil 2

Einführung in die Entwicklung gemäß IEC 61508 — Hardwareaspekte

02.06.2009 | Autor: Olaf C. Winne, Quategra*

Mit der IEC61508 existiert eine branchenübergreifende generische Richtlinie für sicherheitsgerichtete Systeme, in denen ein Fehler zu Tod, Verletzung, der katastrophalen Schädigung der Umwelt oder der Zerstörung von Produktionsanlagen und -gütern führen kann. Welche Kriterien müssen Ingenieure bei der Hardwareentwicklung laut dem IEC-Standard berücksichtigen?

Foto: Merck Gruppe

Im ersten Teil dieser Artikelreihe (LINK) wurde die Norm IEC61508 im Überblick vorgestellt. Die grundsätzlichen Begriffe und Anforderungen an die Entwicklungsprozesse von sicherheitskritischen Systemen sind kurz erläutert worden. In diesem 2.Teil (wie auch im 2. Teil der IEC61508) sollen vor allem Anforderungen an die Hardwareentwicklung näher betrachtet werden. In einem weiteren Beitrag folgt eine Einführung in die Softwareentwicklung nach Teil 3 dieser Norm.

Ergänzendes zum Thema

+ Expertenmeinung: „Sicherheitskritsche Aspekte bereits in der Entwurfsphase einbeziehen“

Der Entwurf sicherer Systeme, wie im Automotive-, Medizin- und Luftfahrtbereich, wurde bisher mit Normen, Richtlinien oder unternehmenseigenem Wissen ...

Der Entwurf sicherer Systeme, wie im Automotive-, Medizin- und Luftfahrtbereich, wurde bisher mit Normen, Richtlinien oder unternehmenseigenem Wissen auf vorwiegend technischer Basis umgesetzt. Bei immer komplexeren Systemen ist bereits die Definitionsphase kritisch, da in diesem frühzeitigen Stadium bereits viele spätere Entwurfsfehler entstehen. Daher sollte ein Entwurfs- und Lebenszyklus eines Produkts aufgebaut werden, um Zuverlässigkeit und Sicherheit nachvollziehbar zu planen und zu kontrollieren. Des weiteren sollte das System nachvollziehbar sicherheitstechnisch entworfen und betrachtet werden. Dazu formuliert die IEC61508 Kriterien für Prozessmanagement und -dokumentation während Entwicklung und Betrieb sowie für die Bewertung und den Nachweis der Fehlersicherheit eines Systems.

Wird die IEC 61508 erstmalig angewendet, ist die Umsetzung der geforderten Prozesse, Qualitätssicherungsmaßnahmen und Dokumentationen ein nicht zu unterschätzender Aufwand. Es stellen sich hohe Anforderungen an Verfahren, Dokumentation und das Management. Hierfür sollten im Unternehmen genügend Zeit und Ressourcen bereitgestellt werden, um die sicherheitsgerichtete Entwicklung nach dieser Norm auf eine feste Basis zu stellen. Auch die ausreichende Qualifikation der Mitarbeiter ist ein wichtiger Faktor für die erfolgreiche Umsetzung der von der Norm aufgestellten Forderungen.

Teil 2 der Norm IEC61508 schreibt Maßnahmen und Nachweise für die Bestimmungen eines SIL (Safety Integrity Level) der Hardware vor. Die Bestimmung der in diesem Autorenbeitrag vorgestellten Parameter des Systems und die Grenzen der Anwendbarkeit (z.B. Entwicklung eines Teilsystems) sind eine weitere Herausforderung, die meist nur in Bezug auf die Anforderungen an das Gesamtsystems ermittelt werden können. Auch dies macht deutlich wie wichtig es ist, die sicherheitskritischen Aspekte bereits in den allerersten Entwurfsphasen des Gesamtsystems in die Planung einzubeziehen.

*Olaf C. Winne ist Geschäftsführer der Quategra GmbH, die auf die Entwicklung von hochwertigen Embedded-Systemen spezialisiert ist. Kontakt: info@quategra.de

Bild 1: Lebenszyklus eines E/E/PES ((elektrische /elektronische / programmierbare elektronische Systeme). Bei komplexeren Systemen ist bereits die Definitionsphase kritisch, da in diesem frühzeitigen Stadium viele spätere Entwurfsfehler entstehen.

Teil 2 der IEC 61508 bezieht sich auf die Hardwareaspekte (inklusive Mechanik) des sicherheitsrelevanten Systems. Innerhalb des Gesamtsicherheitslebenszyklus (in der Phase 9, Realisierungsphase) wird für die Hardware des Systems ein detaillierter Sicherheitslebenszyklus definiert. Auch in allen Phasen des E/E/PES(elektrische/elektronische/programmierbare elektronische Systeme)-Lebenszyklus gelten die Anforderungen an Dokumentation, Verifikation und Validation sowie die Planung derselben wie im ersten Teil dieser Reihe beschrieben. Art und Umfang der Dokumentation können, je nach Projektgröße, erheblich variieren.

Entwurf muß konsequent gegen Sicherheitsanforderungen verifiziert werden

Gefordert ist ein systematischer Entwurf, der aus den Sicherheitsanforderungen an das gesamte System (siehe SRS, Safety-Requirement-Spezifikation) rückverfolgbar hergeleitet ist. Dieser Entwurf besteht aus einem Architekturentwurf der Hardware, System- und Baugruppendesign bis zur Schaltung. Der Entwurfsweg muss fortlaufend gegen die Sicherheitsanforderungen geprüft (verifiziert) werden. Dabei müssen die Sicherheitsanforderungen an E/E/PE-Systeme in einer Art und Weise ausgedrückt werden, dass sie klar, genau, unzweideutig, nachprüfbar, testbar, pflegbar und ausführbar sind.

Verfahren und Maßnahmen um systematische Hardwarefehler und Ausfälle während des Betriebes zu beherrschen müssen nach dem Teil 2 der IEC61508 implementiert, bewertet und geprüft worden sein (zum Beispiel Speichertests zur Sicherstellung der Datenkonsistenz). Dabei gibt es in der Praxis oft Unsicherheiten über die Güte der angewendeten Diagnosen zur Erkennung dieser Fehler.

Quantitative Ausfallwahrscheinlichkeit ist zu bestimmen

Neu gegenüber vielen gültigen Branchennormen ist die Forderung, die quantitative Ausfallwahrscheinlichkeit (zufällige Fehler durch Ausfälle der Bauteile oder Baugruppen) der Hardware zu bestimmen und entsprechend dem geforderten SIL nachzuweisen. Hier kommen statistische Betrachtungen mit entsprechenden Berechnungen ins Spiel – die jedoch für einige gebräuchliche Hardwarearchitekturen vereinfacht angewendet werden können.

Beim Entwurf von E/E/PE Systemen sollten folgende Anforderungen erfüllt werden:

Anforderungen zur Sicherheitsintegrität der Hardware
Anforderungen zur systematischen Sicherheitsintegrität
Anforderungen an das Systemverhalten bei Erkennung des Fehlers
Anforderungen zur E/E/PE-System-Implementierung

1 | 2 | 3 | 4 | 5 | weiter

Redakteur: Martina Hafner

Social Networks:

Themenverwandte Beiträge

Typprüfung Serie, Teil 2: Bevor der TÜV kommt!

07.02.2007 - Die derzeitige Norm und Grundlage für funktionale Sicherheit, die EN 954-1, gilt als technisch überholt. In der letzen Zeit haben die verantwortlichen Gremien verschiedene komplexe Normen entworfen und überarbeitet. Die wichtigsten im Bereich der Maschinensicherheit sind die IEC 61508, IEC 62061 und die prEN ISO 13849-1. Noch weiß man nicht, welche Norm sich in welchem Anwendungsgebiet wohl durchsetzen wird. Heute jedoch schon wichten, lassen sich die Argumente für Pro und Contra. weiter

Typprüfung Serie, Teil 4: Bevor der TÜV kommt!

13.11.2006 - Die Einführung der Normen EN 61508, EN 62061 und bevorstehend der EN ISO 13849-1 bringt nicht nur Neuerungen für den Entwickler von Geräten und Komponenten im Bereich „Sicherheit von Maschinen“, sondern auch für den Konstrukteur, der diese „sicherheitsbezogenen Teile von Steuerungen“ für seine Maschine auswählt und einsetzt. Bevor der TÜV kommt, ist zu klären: Welche Informationen benötigt der Anwender? Welche Angaben muss der Hersteller bereitstellen? Checklisten erleichtern die Arbeit. weiter

Sicherheitskritische Systeme, Teil 1: Leitfaden für die Norm IEC 61508

04.05.2009 - Die IEC 61508 ist eine branchenübergreifende generische Richtlinie für alle sicherheitsgerichteten Systeme. Sie umfasst weit über 500 Seiten an normativen und informativen Vorschlägen und Festlegungen. Eine leichtverdauliche Einführung zu den wichtigsten Konzepten gibt unser Experte Olaf C. Winne. weiter

Kommentare zu diesem Artikel

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Lizenzierung urheberrechtlich geschützter Artikel

Nutzen Sie diesen Artikel ID 298777 oder andere Fachinformationen für Ihr Marketing. Wir bieten Ihnen die Nutzungsrechte für Ihre Website, Ihren Newsletter oder Ihre Kundenzeitschrift. Für alle Fragen wenden sie sich bitte an Frau Maurer unter Tel. 0931 / 418-2888 oder unseren Content-Dienstleister www.mycontentfactory.de .

Artikel Bewertung

Links und Downloads zu diesem Beitrag

VIDEO ZUM THEMA

Sysgo

Virtualisierung und sicherheitskritische Systeme

Sicherheitskritische Systeme mit Virtualisierungstechnik aufbauen weiter

Alle Videos >>

Firma zum Artikel

Quategra GmbH

Leipzig, Deutschland

Firmenprofil

Firmen in diesem Themenumfeld

Vogel Business Media GmbH & Co. KG - Events

Würzburg, Deutschland

Durch langjährige Erfahrungen mit Trainings in den Bereichen Technik, Management, Verkauf, Marketing und Kommunikation hat Vogel Business Media ...

Firmenprofil

Kontakt

Panasonic Industrial Devices Sales Europe GmbH

Hamburg, Deutschland

Industriebatterien von Panasonic - sicher, langlebig und kraftvoll Panasonic zählt zu den führenden Batterieherstellern der Welt mit jahrzehntelanger ...

Firmenprofil

Kontakt

Whitepaper und Webcasts zum Thema

Das wahre Potenzial der Windenergie nutzbar machen
Während die Investitionen in traditionelle Formen der Energieerzeugung gesunken bzw. beinahe zum Erliegen gekommen sind, wird nach wie vor stark in Windenergie investiert.

OPC-Konnektivität bei geschäftskritischen Anwendungen
Dieses Whitepaper informiert, wie OPC-Konnektivität sichergestellt wird

Software-Entwicklung für integrierte modulare Avionik
Whitepaper über aktuelle Trends in der Entwicklung von sicherheitskritischen Avioniksystemen.

Sicherstellen der Systemverfügbarkeit
Für hoch verfügbare Geräte reicht es nicht, einfach ein paar Features aus sicherheitskritischen Systemen zu übernehmen.

Alle Whitepaper

Alle Webcasts

Zu den weiteren Themen

- Analyse & Entwurf
- Implementierung
- Management
- Planung
- Softwarekomponenten
- Test & Installation

Service