Funktionale Sicherheit

Die IEC 61508 im Überblick

| Autor / Redakteur: Olaf C. Winne / Martina Hafner

Mit der IEC61508 gibt es eine branchenübergreifende generische Richtlinie für alle sicherheitsgerichteten Systeme. Als generische Norm steht sie über einer Vielzahl anderer anwendungs- oder branchenspezifischer Normen und gilt als Stand der Technik.
Mit der IEC61508 gibt es eine branchenübergreifende generische Richtlinie für alle sicherheitsgerichteten Systeme. Als generische Norm steht sie über einer Vielzahl anderer anwendungs- oder branchenspezifischer Normen und gilt als Stand der Technik. (Bild: Merck Gruppe)

Die IEC 61508 ist eine branchenübergreifende generische Richtlinie für funktionale Sicherheit in Systemen. Sie umfasst weit über 500 Seiten. Eine leichtverdauliche Einführung zu den wichtigsten Konzepten gibt Experte Olaf C. Winne.

In Branchen wie der Luft- und Raumfahrt oder im Kraftwerksbereich, wo Fehlfunktionen komplexer Systeme erhebliche Schäden zu verursachen in der Lage sind, herrscht seit je her das Bewusstsein für die hohen Anforderungen an die Entwicklung sicherheitskritischer Systeme vor. Hier sind nationale oder internationale Normen und Richtlinien verfügbar, die Anforderungen an sicherheitsgerichtete Technik in unterschiedlicher Tiefe und Klassifizierung definieren.

Der Begriff sicherheitsbezogen trifft jedoch auf jedes programmierbare System zu, in dem ein Fehler (alleine oder in Kombination mit anderen Fehlern) zu Tod, Verletzung, der katastrophalen Schädigung der Umwelt oder der Zerstörung von Produktionsanlagen und -gütern führen kann. Mit der IEC 61508 gibt es eine branchenübergreifende generische Richtlinie für alle sicherheitsgerichteten Systeme.

In diesem Beitrag wird eine kurze Einführung in das Thema der funktionalen Sicherheit und der IEC 61508 gegeben sowie ein Überblick über die Kapitel der IEC 61508. In weiteren Beiträgen wird eine Zusammenfassung über sichere Hardwarentwicklung nach IEC 61508 sowie sichere Softwareentwicklung nach IEC 61805 nach Teil 2 und 3 dieser Norm gegeben, die insbesondere für Entwickler von Embedded-Systemen im sicherheitskritischen Bereich relevant sind.

Risiken gemäß IEC 61509 einschätzen

Zunächst einige Grundbegriffe der Sicherheitstheorie. Beim Betrieb technischer Anlagen besteht immer die Möglichkeit einer potentiell gefährlichen Situation. Mithilfe technischer Systeme lässt sich die Wahrscheinlichkeit, dass solche Situation auftreten reduzieren bzw. die Schwere ihrer Auswirkungen mildern. Hier kommt der Begriff des Risikos ins Spiel. Risiko ist eine Kombination aus der Auftrittswahrscheinlichkeit einer gefährlichen Situation und der Schwere ihrer Auswirkungen.

Es ist praktisch unmöglich, gefährliche Situationen vollständig zu verhindern. Die Minimierung potentieller Gefahren muss deshalb gegen andere Ziele wie Ökonomie oder Benutzerfreundlichkeit abgewogen werden. Hierzu ein einfaches Beispiel: Das Risiko, erschossen zu werden, wird durch das Tragen einer schusssicheren Weste stark reduziert. Da diese Westen aber teuer, schwer und unbequem sind, verzichtet man im allgemeinen darauf und nimmt ein geringfügig höheres Gefahrenpotential in Kauf.

Bei technischen Anlagen gibt es ebenfalls Restrisiken, das so genannte akzeptierte Risiko. Um dieses für einen konkreten Fall zu ermitteln, muss abgeschätzt werden, in welchem Ausmaß ein möglicher Fehler die Gesundheit oder die Umwelt gefährdet. Die Gefahr durch das System ist abhängig von:

  • der Schwere der Auswirkungen:
  • katastrophal: mehrere Tote
  • kritisch: einzelner Todesfall/ mehrere schwere Verletzte
  • geringfügig: einzelne schwere Verletzungen
  • unwesentlich: einzelne geringfügige Verletzungen
  • der Häufigkeit des Auftretens einer Gefahr:
  • wahrscheinlich
  • unwahrscheinlich
  • extrem unwahrscheinlich

Die Kombination der jeweiligen Klassifizierungen mit der Schwere des Unfalls und der wahrscheinlichen Häufigkeit ergibt eine Klassifizierung einer möglichen Gefahr. Nach der IEC 16508 ergibt sich für die Risikoklassen folgende Einteilung:

  • Klasse I: inakzeptables Risiko
  • Klasse II: unerwünscht, bei nicht reduzierbarem Risiko oder Unverhältnismäßigkeit akzeptabel
  • Klasse III: tolerierbares Risiko
  • Klasse IV: unbedeutendes Risiko

Die Wahrscheinlichkeit gefährlicher Ausfälle soll das akzeptierte Risiko nicht überschreiten. Zusätzlich wird eine erweiterte Risikoanalyse mittels Risikograph oder einem äquivalenten Verfahren empfohlen.

Was ist funktionale Sicherheit?

Unter dem Begriff der funktionalen Sicherheit versteht man das korrekte Ausführen der notwendigen Aktionen, die notwendig sind, um den sicheren Zustand einer Einrichtung zu erreichen oder zu erhalten. Als Instrumente dieser Gewährleistung sind alle Maßnahmen zu verstehen, die dazu dienen, zufällige und systematische Fehler zu vermeiden.

Glossar IEC 61508: Wichtige Begriffe sicherheitskritischer Systeme

Zum besseren Verständnis sicherheitsgerichteter Systeme sollten einige Grundbegriffe bekannt sein:

  • Zuverlässigkeit (Reliability): Fähigkeit einer Komponente oder eines Systems, über einen gegebenen Zeitraum hinweg und unter bestimmten Betriebsbedingungen, korrekt zu funktionieren.
  • Verfügbarkeit (Availability): Wahrscheinlichkeit, dass das System zu einem Zeitpunkt korrekt funktioniert.
  • Fehlersicherer Betrieb (Fail-safe operation): Im Fehlerfall muss der sichere Betriebszustand eingenommen werden.
  • Systemintegrität (System integrity): Fähigkeit eines Systems, Fehler während des Betriebs zu erkennen und zu behandeln.
  • Datenintegrität (Data integrity): Vorbeugung, Erkennung und gegebenenfalls Wiederherstellung von zerstörten Daten.
  • Systemwiederherstellung (System re-creation): Das System wird bei Fehlern automatisch neu gestartet und setzt auf Basis der Datenintegrität die Abarbeitung fort.
  • Wartbarkeit (Maintenance): Das System ist wartbar, das spezifizierte Betriebsverhalten wird aufrecht erhalten.

Die IEC 61508: eine branchenübergreifende Richtlinie

Für diverse Branchen sind nationale oder internationale Normen und Richtlinien verfügbar, welche Anforderungen an sicherheitsgerichtete Technologien in unterschiedlicher Tiefe und Klassifizierung definieren. Mit der IEC61508 gibt es eine branchenübergreifende generische Richtlinie für alle sicherheitsgerichteten Systeme. Als generische Norm steht sie über einer Vielzahl anderer anwendungs- oder branchenspezifischer Normen und gilt als Stand der Technik.

Branchenbezogene Normen können auf Basis der IEC61508 kombiniert mit den bisher (und weiterhin!) geltenden Anforderungen abgeleitet werden. Derzeit sind folgende Ableitungen in Arbeit oder teilweise veröffentlicht:

  • DIN IEC 61511: Funktionale Sicherheit — Sicherheitstechnische Systeme für die Prozessindustrie
  • DIN IEC 61513: Kernkraftwerke — Leittechnik für Systeme mit sicherheitstechnischer Bedeutung – Allgemeine Systemanforderungen
  • DIN EN 50129: Bahnanwendungen — Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme - Sicherheitsrelevante elektronische Systeme für Signaltechnik
  • DIN EN 62061: Sicherheit von Maschinen — Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme
  • ISO CD 26262: Automotive Funktionale Sicherheit (wird von der ISO-Arbeitsgruppe „ISO TC22/SC3/WG16“ bearbeitet).

Existiert für einen bestimmten Bereich noch keine Ableitung der IEC 61508 und einer spezifischen Norm, sind die bisherigen Richtlinien und Bestimmungen weiterhin gültig, zusätzlich zur IEC 61508 in ihrer generischen Form.

Safety Integrity Level

Die IEC61508 definiert Sicherheitsanforderungsstufen (SIL, Safety Integrity Level), die als Maß für die Sicherheit der Systeme dienen. Bei der Ermittlung der Ausfallwahrscheinlichkeit einer Sicherheitsfunktion wird zwischen zwei Betriebsarten unterschieden. Bei der Betriebsart mit hoher oder kontinuierlicher Anforderung verwendet man die Ausfallwahrscheinlichkeit PFH (Probability of Dangerous Failure per Hour). In der Betriebsart mit niedriger Anforderung wird mit der Ausfallwahrscheinlichkeit PFD (Probability of Failure on Demand) gearbeitet.

Die Inhalte der IEC 61508 im Überblick

Die IEC 61508 umfasst weit über 500 Seiten und gliedert sich in sieben Teile, wobei die Teile eins bis vier normativ sind, das heißt als Richtlinie dienen. Die Teile fünf bis sieben hingegen sind informativ. In ihnen werden praktische Beispiele aufgeführt, die den Umgang mit der Norm verständlich machen sollen. Sie sind ebenfalls sehr allgemein gehalten und klären im Einzelfall nicht alle Fragen eindeutig.

Gesamtlebenszyklus der IEC 61508
Gesamtlebenszyklus der IEC 61508 (Bild: Quategra)

Die IEC 61508 beschreibt den kompletten Lebenszyklus des gesamten sicherheitsgerichteten Systems von der Planung bis zur Außerbetriebnahme und bezieht sich dabei auf alle Aspekte, die mit der Nutzung und Anforderung an elektrische / elektronische / programmierbare elektronische Systeme (E/E/PE-Systeme) für sicherheitsrelevante Funktionen zusammenhängen.

Teil 0, Funktionale Sicherheit und die IEC 61508

Der Teil 0 ist ein Beiblatt zur Norm und kein echter Bestandteil der IEC 61508. Er gibt eine kurze Einführung zur funktionalen Sicherheit und soll als Entscheidungshilfe dienen, ob Produkte oder Dienstleistungen in den Anwendungsbereich der IEC 61508 fallen.

Teil 1, Allgemeine Anforderungen

Der Teil 1 definiert die IEC 61508 als „Allgemeine Grundnorm“. Sie kann verwendet werden, wenn keine anwendungsspezifische abgeleitete Norm vorliegt. Wenn spezifische Normen verfügbar sind, sollen diese ergänzend genutzt werden. Diese Norm gilt für den gesamten Lebenszyklus des sicherheitsgerichteten Systems – von der Planung über Konzeption, Entwicklung, Instandhaltung und Wartung bis zur Außerbetriebnahme.

Es wird ein übergeordneter Sicherheitslebenszyklus definiert, um alle notwendigen Maßnahmen und Tätigkeiten systematisch abhandeln zu können. Die spezifischen Sicherheitslebenszyklen der E/E/PE(elektrische/elektronische/programmierbare elektronische-)-Systeme und der Software werden in den Teilen 2 und 3 der Norm betrachtet.

In allen Phasen des Lebenszyklus müssen Maßnahmen zum Management der funktionalen Sicherheit, der Verifikation und der Beurteilung der funktionalen Sicherheit durchgeführt und dokumentiert werden. Die jeweilige Verantwortung muss an qualifizierte Personen oder Organisationen gegeben werden. Es ist zu überwachen, ob die durchgeführten Management-Tätigkeiten wie gewünscht wirken. Die Prozesse dafür können alternativ in der ISO9001 des Unternehmens integriert werden.

Es muss immer eine projektbezogene Liste mit Informationen erstellt werden, die erforderlich sind, um alle Phasen des Sicherheitslebenszyklus wirkungsvoll ausführen zu können. Weiterhin ist ein Plan empfohlen, der jene Kriterien, Methoden und Werkzeuge auflistet und beschreibt, die für Verifikation und Validierung verwendet werden (V&V-Plan). Die gesamten sicherheitskritischen Anforderungen aus Lasten-/Pflichtenheften, dem Prozess und gültigen spezifischen Normen und Richtlinien werden in den Sicherheitsanforderungen spezifiziert, auf die sich bei der weiteren Entwicklung bezogen werden sollte.

Teil 2, Anforderungen an sicherheitsbezogene elektrische /elektronische / programmierbare elektronische Systeme (E/E/PES):

Der Teil 2 der IEC 61508 bezieht sich auf Hardwareaspekte (inklusive Mechanik) des sicherheitsrelevanten Systems. Innerhalb des Gesamtsicherheitslebenszyklus (in der Phase 9, Realisierungsphase) wird für die Hardware des Systems ein detaillierter Sicherheitslebenszyklus definiert.

Lebenszyklus E/E/PES (elektrische/elektronische/programmierbare elektronische Systeme)
Lebenszyklus E/E/PES (elektrische/elektronische/programmierbare elektronische Systeme) (Bild: Quategra)

In allen Phasen des E/E/PES-Lebenszyklus müssen wiederum Maßnahmen zum Management der funktionalen Sicherheit, der Verifikation und der Beurteilung der funktionalen Sicherheit geplant, durchgeführt und dokumentiert werden. Dabei werden Sicherheitslebenszyklus-Aktivitäten festgelegt, die zur Konzeption und zur Realisierung der Hardware notwendig sind.

Ebenso wie im Gesamtsicherheitslebenszyklus muss für jede abgeschlossene Phase des E/E/PES-Sicherheitslebenszyklus überprüft (verifiziert) und bewertet werden, ob alle Anforderungen dieser Phase vollständig erfüllt sind. Diese Verifikation muss bereits in der Entwicklungsphase geplant werden (Strategien und Verfahren, Testverfahren, Art der Dokumentation).

In der Dokumentation ist über einen Architekturentwurf und einem daraus abgeleiteten System- und Baugruppendesign das E/E/PE-System zu entwerfen. Darin sind auch die E/E/PES-Sicherheitsanforderungen spezifiziert. Diese sollten aus den gesamten Sicherheitsanforderungen hergeleitet sein. Die Sicherheitsfunktionen, die notwendig sind um die geforderte funktionale Sicherheit zu erreichen, basieren auf dieser Dokumentation und werden entsprechend entworfen und beschrieben. Verfahren und Maßnahmen um systematisches Hardwarefehler und Ausfälle während des Betriebes zu beherrschen, sind in Teil 2 beispielhaft beschrieben und müssen entsprechend implementiert und dokumentiert sein. Dazu sind die Anhänge A und B zu berücksichtigen.

Die quantitative Ausfallwahrscheinlichkeit der Hardware ist zu bestimmen und entsprechend dem geforderten SIL nachzuweisen. Für Modifikationen müssen die gleichen Tätigkeiten (Management, Dokumentation usw.) durchgeführt werden wie für das Gesamtsystem

Teil 3: Anforderungen an die Software

Lebenszyklus Software; Teil 3 der IEC 61508 widmet sich der Software.
Lebenszyklus Software; Teil 3 der IEC 61508 widmet sich der Software. (Bild: Quategra)

Teil 3, Anforderungen an Software: Dieser Teil beschreibt Techniken und Verfahren, wie sicherheitsgerichtete Software entwickelt und dokumentiert sein sollte. Ähnlich dem Vorgehen in Teil 2 wird für die Software des Systems ein detaillierter Sicherheitslebenszyklus definiert.

In allen Phasen des Software- Lebenszyklus müssen wiederum Maßnahmen geplant, durchgeführt und dokumentiert werden, um funktionale Sicherheit zu managen, zu verifizieren und zu beurteilen. Verifikation und Bewertung sowie Planung, sind analog dem E/E/PES- Lebenszyklus auszuführen. Zur Softwareentwicklung wird ein Sicherheits-V-Modell eingeführt, nach dem die Softwareentwicklung inklusive Dokumentation, Validierung und Verifikation erfolgen kann.

Die Sicherheitsanforderungen an die Software sollten aus den entsprechenden Anforderungen an das E/E/PE-System und den gesamten Sicherheitsanforderungen (vergl. Teil 1) hergeleitet sein. Wichtig ist dabei immer die Rückverfolgbarkeit (Tracabilitiy) zwischen den Sicherheitsanforderungen, der Implementierung und den entsprechenden Tests auf den verschiedenen Ebenen des gesamten Lebenszyklus.

Sicherheits-V-Modell
Sicherheits-V-Modell (Bild: Quategra)

Weiterhin beschreibt Teil 3 Tabellen mit Anforderungen an Entwicklungstechniken für jeden Sicherheitsintegritäts-Level (SIL) und beinhaltet informative Anhänge mit Hinweisen um Verfahren zum Entwurf und Entwicklung der Software auszuwählen. Berücksichtigt werden auch Vorgaben zum Konfigurationsmanagement. Strategien für Beschaffung, Entwicklung, Integration, Verifikation, Validierung und Modifikation der Software müssen zusätzlich geplant werden.

In Anhang A des Teil 3 schlägt die Norm Maßnahmen und Verfahren vor, um Software entsprechend dem geforderten SIL zu entwerfen, zu implementieren und zu testen. Verschiedene Methoden sind hinsichtlich der SIL-Anforderungen für die einzelnen Sicherheits-Integritätslevel bewertet. Die Methoden sind nach den Lebensphasen sortiert, in denen sie verwendet werden sollten.

Teile 4 bis 6: Begriffsdefinitionen, Anwendungsrichtlinien, Anwendungshinweise

Teil 4, Begriffe und Abkürzungen: Dieser Teil gibt eine umfassende Definitionen der in IEC 61508, Teil 1 bis 7 verwendeten Begriffe und Abkürzungen.

Teil 5, Beispiel zur Ermittlung der Stufe der Sicherheitsintegrität: Er enthält Informationen über die zugrunde liegenden Konzepte des Risikos und den Zusammenhang zwischen Risiko und Sicherheitsintegrität. Außerdem stellt dieser Teil Methoden zur Ermittlung des Sicherheits-Integritätslevels (SIL) für unterschiedliche Systeme vor.

Teil 6, Anwendungsrichtlinie für IEC 61508-2 und IEC 61508-3: Ein Überblick über Anforderungen der IEC 61508-2 und der IEC 61508-3, inkl. funktionaler Schritte für ihre Anwendung wird gegeben. Hier finden sich unter anderem ein Beispiel für die Verfahren zur Berechnung von Hardwareausfällen und für die Berechnung des Diagnosedeckungsgrades, eine Methode zur Quantifizierung der Auswirkungen von hardwarebezogenen Ausfällen infolge gemeinsamer Ursache, Beispiele für die Anwendung der Tabellen zur Sicherheitsintegrität von Software, Blockdiagramme und Formeln für die Berechnung von PFD (Probability of Failure on Demand) und PFH (Probability of Dangerous Failure per Hour ) und Tabellen mit berechneten PFD- und PFH-Zahlen für alle in der Norm gezeigten Systemkonfigurationen.

Teil 7, Anwendungshinweise über Verfahren und Maßnahmen

Er enthält eine Übersicht verschiedener sicherheitsbezogener Verfahren und Maßnahmen, die für Teil 2 und 3 dieser Norm relevant sind und dient als Nachschlagewerk.

IEC 61508: zahlreiche Herausforderungen im Praxiseinsatz

Die IEC 61508 stellt eine umfassende Richtlinie für funktionale Sicherheit dar, die nicht nur die elektronische Einrichtung unter sicherheitskritischen Aspekten definiert und bewertet, sondern das gesamte System betrachtet. Dabei sind für Entwickler und Hersteller von elektronischen Steuer-, Mess- und Regeleinrichtungen die Grenzen oft unklar.

Welche Inhalte sind wann anzuwenden und welche Aufgaben haben der Systemlieferant und der Kunde, um tatsächlich die geforderte Sicherheit des Systems zu gewährleisten? Einige Anforderungen der IEC 61508 sind allgemein gehalten und schwer auf konkrete Anforderungen einer elektronischen Steuerung zu beziehen. Hier gibt es teilweise erheblichen Interpretierungsspielraum.

Ein Großteil der IEC 61508 bezieht sich auf Entwicklungsprozesse, Qualitätssicherung und erforderliche Dokumentation. Erhebliche Neuerungen für Entwickler von sicherheitsgerichteten Steuerungen dürften das erforderliche Management der funktionalen Sicherheit (FSM, Functional Safety Management) mit der umfassenden Dokumentation und die geforderte quantitative Ausfallwahrscheinlichkeitsberechnung der Hardware sein. Deshalb zahlt es sich schnell aus, sich bei dem ersten Kontakt mit dieser Norm fachkundige Beratung einzuholen.

Angepasste Systeme sorgen für schnellen Werkzeugwechsel

Pressen

Angepasste Systeme sorgen für schnellen Werkzeugwechsel

12.01.11 - Pressen für die Umformung von Blechen sind Dauerläufer über mehrere Schichten. Wegen ihrer Leistungsfähigkeit werden in einer Schicht verschiedene Teile umgeformt. Dies hat auch immer einen Werkzeugwechsel zur Folge, der schnell über die Bühne gehen muss. Dies gelingt mit individuell angepassten Lösungen am besten. lesen

Einführung in die Software-Entwicklung gemäß IEC61508

Sicherheitskritische Systeme, Teil 3

Einführung in die Software-Entwicklung gemäß IEC61508

05.10.09 - Teil 3 der Norm IEC 61508 richtet sich an Software-Entwickler sicherheitsgerichteter Systeme. Da viele Softwarefehler auf Spezifikationsmängeln und mangelnder Transparenz in den Abläufen basieren nehmen Entwicklungsprozesse und Methoden in der Norm einen breiten Raum ein. lesen

* Olaf C. Winne ist General Manager bei Lamtec

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45381612 / Safety & Security)