Sicherheitskritische Systeme, Teil 2
Einführung in die Entwicklung gemäß IEC 61508 — Hardwareaspekte
02.06.2009 | Autor: Olaf C. Winne, Quategra*
Mit der IEC61508 existiert eine branchenübergreifende generische Richtlinie für sicherheitsgerichtete Systeme, in denen ein Fehler zu Tod, Verletzung, der katastrophalen Schädigung der Umwelt oder der Zerstörung von Produktionsanlagen und -gütern führen kann. Welche Kriterien müssen Ingenieure bei der Hardwareentwicklung laut dem IEC-Standard berücksichtigen?
Im ersten Teil dieser Artikelreihe (LINK) wurde die Norm IEC61508 im Überblick vorgestellt. Die grundsätzlichen Begriffe und Anforderungen an die Entwicklungsprozesse von sicherheitskritischen Systemen sind kurz erläutert worden. In diesem 2.Teil (wie auch im 2. Teil der IEC61508) sollen vor allem Anforderungen an die Hardwareentwicklung näher betrachtet werden. In einem weiteren Beitrag folgt eine Einführung in die Softwareentwicklung nach Teil 3 dieser Norm.
Ergänzendes zum Thema
Expertenmeinung: „Sicherheitskritsche Aspekte bereits in der Entwurfsphase einbeziehen“
Teil 2 der IEC 61508 bezieht sich auf die Hardwareaspekte (inklusive Mechanik) des sicherheitsrelevanten Systems. Innerhalb des Gesamtsicherheitslebenszyklus (in der Phase 9, Realisierungsphase) wird für die Hardware des Systems ein detaillierter Sicherheitslebenszyklus definiert. Auch in allen Phasen des E/E/PES(elektrische/elektronische/programmierbare elektronische Systeme)-Lebenszyklus gelten die Anforderungen an Dokumentation, Verifikation und Validation sowie die Planung derselben wie im ersten Teil dieser Reihe beschrieben. Art und Umfang der Dokumentation können, je nach Projektgröße, erheblich variieren.Entwurf muß konsequent gegen Sicherheitsanforderungen verifiziert werden
Gefordert ist ein systematischer Entwurf, der aus den Sicherheitsanforderungen an das gesamte System (siehe SRS, Safety-Requirement-Spezifikation) rückverfolgbar hergeleitet ist. Dieser Entwurf besteht aus einem Architekturentwurf der Hardware, System- und Baugruppendesign bis zur Schaltung. Der Entwurfsweg muss fortlaufend gegen die Sicherheitsanforderungen geprüft (verifiziert) werden. Dabei müssen die Sicherheitsanforderungen an E/E/PE-Systeme in einer Art und Weise ausgedrückt werden, dass sie klar, genau, unzweideutig, nachprüfbar, testbar, pflegbar und ausführbar sind.
Verfahren und Maßnahmen um systematische Hardwarefehler und Ausfälle während des Betriebes zu beherrschen müssen nach dem Teil 2 der IEC61508 implementiert, bewertet und geprüft worden sein (zum Beispiel Speichertests zur Sicherstellung der Datenkonsistenz). Dabei gibt es in der Praxis oft Unsicherheiten über die Güte der angewendeten Diagnosen zur Erkennung dieser Fehler.
Quantitative Ausfallwahrscheinlichkeit ist zu bestimmen
Neu gegenüber vielen gültigen Branchennormen ist die Forderung, die quantitative Ausfallwahrscheinlichkeit (zufällige Fehler durch Ausfälle der Bauteile oder Baugruppen) der Hardware zu bestimmen und entsprechend dem geforderten SIL nachzuweisen. Hier kommen statistische Betrachtungen mit entsprechenden Berechnungen ins Spiel – die jedoch für einige gebräuchliche Hardwarearchitekturen vereinfacht angewendet werden können.
Beim Entwurf von E/E/PE Systemen sollten folgende Anforderungen erfüllt werden:
Anforderungen zur Sicherheitsintegrität der Hardware
Anforderungen zur systematischen Sicherheitsintegrität
Anforderungen an das Systemverhalten bei Erkennung des Fehlers
Anforderungen zur E/E/PE-System-Implementierung







Home







Meine ELEKTRONIKPRAXIS








zum Login