Funktionale Sicherheit: Übersicht und praktische Beispiele

Was ist funktionale Sicherheit?

Vereinfacht formuliert kommt funktionale Sicherheit immer dann zum Einsatz, wenn Produkte, Anlagen oder Prozesse so komplex sind, dass deren Sicherheit auf einfachem Weg nicht mehr ausreichend getestet werden kann.

Aus normativer Sicht wird funktionale Sicherheit nach DIN EN 61508-4 (VDE 0803-4) folgendermaßen definiert:

„Teil der Gesamtsicherheit, bezogen auf die EUC und das EUC-Leit- oder Steuerungssystem, der von der korrekten Funktion des E/E/PE-sicherheitsbezogenen Systems und anderer risikomindernder Maßnahmen abhängt“

Ein ganz einfaches Beispiel ist der Vergleich zwischen einer Bohrmaschine und einem Computerchip:

Bei einer Bohrmaschine lassen sich nicht nur alle vorgesehenen Funktionen testen, sondern können auch einem Stresstest unterzogen werden – welche Effekte ergeben sich, wenn die Bohrmaschine bewusst falsch verwendet wird?

Bei einem Computerchip, der in Systemen häufig die kleinste Ebene darstellt, ist das deutlich komplexer und somit realistisch unmöglich. In diesem Fall müssen bei der Entwicklung des Computerchips alle Prinzipien der funktionalen Sicherheit befolgt werden, um am Ende trotzdem ein sicheres Produkt zu erhalten, auch wenn nicht alle Funktionen bzw. Eventualitäten getestet werden konnten.

Um die Prinzipien der funktionalen Sicherheit befolgen zu können, müssen bereits in der Entwicklung die eigentlichen Funktionen bedacht werden: Ein Motor soll sich beispielweise drehen und ein Ventil öffnen. Eine entscheidende Frage an der Stelle ist, wie Fehlfunktion aussehen (Motor dreht in die falsche Richtung und schließt das Ventil, anstatt es zu öffnen) und sich das Problem verhindern lassen könnte. Nach diesem Prinzip werden alle möglichen Eventualitäten dokumentiert – von einer einfachen und oberflächlichen bis hin zu einer sehr tiefen und detaillierten Ebene. Daraus ergibt sich das sogenannte „V-Modell“.

Praxisbeispiel #1 für funktionale Sicherheit: Schneidemaschine

Das folgende Beispiel soll zur Erläuterung der Terminologie dienen. Die funktionale Sicherheit für Maschinensteuerungen wird in den sektorspezifischen Normen DIN EN 62061 (VDE 0113-50) und DIN EN ISO 13849 behandelt. Für bestimmte Maschinen kann es weitere sogenannte „C-Normen“ geben.

Eine Schneidemaschine wird von einer speicherprogrammierbaren Steuerung (SPS) gesteuert und verfügt über ein rotierendes Messer, das mit einer aufklappbaren, festen Abdeckung als Schutzeinrichtung versehen ist. Zur regelmäßigen Reinigung ist das Messer durch Aufklappen der Abdeckung zugänglich. Die Abdeckung ist durch die SPS mit dem Antrieb des Messers so verriegelt, dass er bei jedem Anheben gestoppt wird. Dadurch wird das Messer angehalten, bevor sich der Bediener damit verletzten kann.

Bezogen auf die Definition in der DIN EN 61508-4 (VDE 0803-4) entspricht „EUC“ (Equipment Under Control) der Schneidemaschine und die SPS dem „EUC-Leit- oder Steuerungssystem“.

Eine Risikoanalyse hat jedoch ergeben, dass eine gewöhnliche SPS nicht zuverlässig genug ist, um den Maschinenbediener hinreichend zu schützen. Es wird deshalb ein zusätzliches Schutzsystem vorgesehen, das mit einem elektronischen Näherungsschalter die Abdeckung überwacht und auf den Motor einwirkt. Das „E/E/PE-sicherheitsbezogene System“ entspricht somit dem zusätzlichen Schutzsystem.

Das zusätzliche Schutzsystem ist evtl. mit Schützen oder Relais aufgebaut („E“; elektrisch). In einigen Fällen steckt aber auch ein festverdrahtetes Sicherheitsschaltgerät dahinter, das intern mit diskreten Halbleitern aufgebaut ist („E“; elektronisch). „Stand der Technik“ ist ein Sicherheitsschaltgerät mit Mikrorechner, dessen Programm für diesen Anwendungsfall konfiguriert werden kann („PE“; programmierbar elektronisch).

Im Fall der Realisierung mit wenigen Schützen oder Relais sind alle Ausfallarten des elektromechanischen Systems bekannt, sodass es sich dann um ein „einfaches System“ handelt und die Vorschriften aus DIN EN 61508 (VDE 0803) nicht angewendet werden brauchen.

In der Praxis wird in einem vergleichbaren Anwendungsfall nicht immer ein separates Schutzsystem eingesetzt, sondern die gesamte Antriebssteuerung in einem sicherheitsgerichteten System zusammengefasst.

Eine wie im Beispiel dargestellte Schneidemaschine ist mit verschiedenen Gefahren verbunden, zum Beispiel

Verletzungen durch einen elektrischen Schlag, wenn die elektrische Installation schadhaft sein sollte oder
Verbrennungen der Hand, wenn sich das zu schneidende Gut beim Schneidevorgang zu stark erhitzt.

An dieser Stelle wird nur der Fall betrachtet, wenn das E/E/PE-sicherheitsbezogene System nicht zuverlässig arbeitet, der Bediener die Abdeckung anhebt und in das laufende Messer greift – das bedeutet die Formulierung „Teil der Gesamtsicherheit...“ nach DIN EN 61508-4 (VDE 0803-4).

Die Definition enthält auch den Begriff „Funktion“. Die „Sicherheitsfunktion“ ist in der Norm DIN EN 61508 (VDE 0803) ein zentraler Begriff und beschreibt die Aufgabenstellung an das sicherheitsgerichtete System. Für dieses Beispiel könnte Sie lauten: „Wird die aufklappbare Abdeckung um 5 mm oder mehr angehoben, dann muss der Motor abgeschaltet und die Bremse aktiviert werden, sodass das Messer innerhalb von 1 Sekunde zum Stillstand kommt.“

Unter den in der Definition genannten „anderen risikomindernden Maßnahmen“ können beispielsweise mechanische Maßnahmen, wie ein Schutzgitter, verstanden werden.

sdx15 / stock.adobe.com

Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...

fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen

Ich möchte den DKE Newsletter erhalten!

V-Modell: Ein iterativer Prozess zur Reduzierung von systematischen Fehlern

V-Modell: Entwicklungsmodell für mechatronische Systeme

| VDI 2206:2004-06 – VDI Gesellschaft Produkt- und Prozessgestaltung

Eine seit Jahren bekannte und stetig weiterentwickelte Methode zur Reduzierung von systematischen Fehlern ist das sogenannte „V-Modell“.

Dieses iterative Vorgehensmodell wurde ursprünglich für den Entwurf und die Entwicklung von Software konzipiert und wird mittlerweile auch für den Entwurf mechatronischer Systeme eingesetzt. Neben dem in Entwicklungsphasen eingeteilten Softwareentwicklungsprozess werden im V-Modell diesen Phasen Testphasen gegenübergestellt und damit ein Vorgehen zur Qualitätssicherung festgelegt.

Ausgehend von den Kundenanforderungen werden auf der linken Seite die funktionalen und fachlichen Spezifikationen immer weiter detailliert, bis eine Implementierung erfolgen kann. Jede Implementierung wird anhand der auf der rechten Seite dargestellten Testschritte gegen die Spezifikationen der linken Seite geprüft.

Functional Safety und Cybersecurity: Wo liegt der Unterschied?

Funktionale Sicherheit (Betriebssicherheit) und Cybersecurity (Angriffssicherheit) beeinflussen sich

| DKE

Häufig kommt die Frage auf, ob es überhaupt einen großen Unterschied zwischen „Functional Safety“ und „Cybersecurity“ gibt, denn in beiden Fällen lautet die deutsche Übersetzung: „Sicherheit“.

Der Unterschied ist einfach erklärt und stützt sich dabei auf die englische Sprache:

Functional Safety schützt den Menschen vor der Maschine
Cybersecurity schützt die Maschine vor dem Menschen

Die englische Sprache ist daher wesentlicher präziser hinsichtlich der Definition und Beschreibung des Begriffs als die deutsche Sprache. Für Experten und Anwender ist diese Unterscheidung einfach und ganz selbstverständlich – Laien auf diesem Gebiet hingegen verstehen anfangs aber nicht immer direkt, über welche Art der Sicherheit gesprochen wird.

Es kann – insbesondere an Schnittstellen – nicht ausgeschlossen werden, dass sich Safety- und Security-Maßnahmen gegenseitig beeinflussen. Relevant wird das vor allem dann, wenn für ein komplexes System eine ganzheitliche Risikobetrachtung bzw. Risikobewertung aufgestellt werden muss. Diese teilt sich in eine separate Safety-Risikobewertung und eine separate Security-Risikobewertung. Für die ganzheitliche Risikobetrachtung erfolgt ein Expertenaustausch beider Vertreter, der aufzeigen soll, welche Anforderungen bzw. Maßnahmen im jeweiligen Bereich auch Auswirkungen auf den jeweils anderen Bereich haben könnten.

Eine wesentliche Aussage, die in den vergangenen Jahren immer wieder aufkam, ist: „If it’s not secure, it’s not safe.“ Kern der Aussage ist also, dass, wenn eine Anlage nicht gegen Angriffe von außen geschützt ist, der Schutz des Menschen vor der Maschine ebenfalls nicht mehr sichergestellt werden kann.

Melanie Kahl / LitschiCo-Erfurt.de

Veranstaltungsrückblick zur VDE DKE Tagung Funktionale Sicherheit 2023

Der Fachkongress fand in diesem Jahr wieder in Präsenz statt. Etwa 130 interessierte Teilnehmende nahmen an der Veranstaltung im Kaisersaal in Erfurt teil.

Neben den kommenden Neuerungen der dritten Ausgabe der Normreihe IEC 61508 und weiterer Normungsvorhaben lag der Fokus auf den Herausforderungen durch die zunehmende Integration von Künstlicher Intelligenz und dem EU Cyber Resilience Act. Wichtige Themen, denn betroffen sind eine Vielzahl von Branchen und Industrien.

Mehr erfahren

IEC 61508: Die internationale Normenreihe für funktionale Sicherheit

Durch die zunehmende Vernetzung wird unsere Welt immer komplexer. Aus diesem Grund überrascht es nicht, dass funktionale Sicherheit kein reines und klassisches „Industrie-Ding“ ist, sondern in zahlreichen Branchen und Anwendungen zum Einsatz kommt. Dazu gehören beispielsweise Logistik, Luftfahrt, Schifffahrt, Kernkraft, Bahntechnik, Automobiltechnik, Prozessindustrie, Explosionsschutz, Medizingeräte und Haushaltsgeräte. Das wohl komplexeste und teuerste „Gerät“, das Otto Normalverbraucher besitzen kann, ist das Automobil. Wo genau funktionale Sicherheit bei einem Automobil zu finden ist, wird an späterer Stelle noch erläutert.

Die verschiedenen Aspekte der funktionalen Sicherheit für elektrische, elektronische oder programmierbare elektronische Systeme sind in der horizontalen Normenreihe IEC 61508 beschrieben, die damit gleichzeitig eine Grundnorm bzw. Metanorm (Typ A-Norm; Basic Safety Standard) darstellt.

Der Geltungsbereich der Normenreihe IEC 61508 erstreckt sich über Konzept, Planung, Entwicklung, Realisierung, Inbetriebnahme, Instandhaltung und Modifikation bis hin zur Außerbetriebnahme und Deinstallation. Wenn die Anforderungen der Normenreihe konsequent umgesetzt werden, ergibt sich ein Managementsystem zum sicheren Entwickeln und Betreiben von Produkten und Anlagen. Darüber hinaus gibt es noch weitere normative Festlegungen für spezielle Produktbereiche.

Horizontalnorm IEC 61508

| VDE DKE

Jeder dieser Bereiche greift auf Normenreihen zurück, deren Inhalte speziell auf die jeweiligen Anwendungsfelder angepasst sind. Das ist nachvollziehbar, denn die Anforderungen an ein Produkt oder eine Anlage bei Bahnanwendungen sind vollkommen andere als im Bereich von medizinisch elektrischen Geräten. Die Grundlage im Zusammenhang der funktionalen Sicherheit bietet jedoch in jedem Fall die Normenreihe IEC 61508.

Ein sehr gutes Beispiel ist die Normenreihe ISO 26262: Sie bildet ein eigenständiges Normenwerk für die Automobilindustrie. Die Grundgedanken stammen aus der Normenreihe IEC 61508 (z. B. SIL) und werden an die branchenspezifischen Anforderungen angepasst (z. B. ASIL).

Ein großes Thema der Normenreihe IEC 61508 wird zukünftig Künstliche Intelligenz sein, die normativ bisher noch nicht in dieser Normenreihe beschrieben wurde. Normungsexpert*innen nehmen sich diesem Thema bereits an, um erste Anforderungen an Künstliche Intelligenz im Zusammenhang mit funktionaler Sicherheit in überarbeitete Fassungen oder neue Veröffentlichungen der Normenreihe einzubringen.

Künstliche Intelligenz hält immer mehr Einzug in unterschiedlichste Branchen, Industrien und Anwendungen – Industrie 4.0, autonomes Fahren, intelligente Energieversorgung, Predictive Maintenance etc. DIN und DKE haben daher gemeinsam mit mehr als 300 Fachexpertinnen und Fachexperten aus Wirtschaft, Wissenschaft, öffentlicher Hand und Zivilgesellschaft die Normungsroadmap Künstliche Intelligenz erarbeitet. Sie liefert einen umfassenden Überblick zum Status Quo, den Anforderungen und Herausforderungen sowie den Normungs- und Standardisierungsbedarfe zu sieben Schwerpunktthemen rund um die KI.

Zusammenspiel von Normen und Standards zur funktionalen Sicherheit

Für die Anwendung der Normenreihe IEC 61508 ist es wichtig zu verstehen, wie die Normenreihe aufgebaut ist und sich die einzelnen Normenteile ergänzen.

Im Bereich Grundlagen wird das Konzept der Risikoreduzierung auf ein akzeptables Restrisiko erläutert und dazu der Sicherheitslebenszyklus eines E/E/PE-Systems beschrieben. Es werden außerdem relevante Begrife beschrieben und die verschiedenen Normenteile in Beziehung gesetzt.
Im Bereich Hardware finden sich Beschreibungen, wie entsprechende System- und Hardwareanforderungen umgesetzt werden können.
Im Bereich Software finden sich Beschreibungen wie entsprechende Software-Anforderungen umgesetzt werden können. Darüber hinaus gibt es für spezielle Software-Aspekte weiterführende Dokumente.
Im Bereich Erläuterungen und Beispiele werden Maßnahmen und Verfahren vorgestellt, unter anderem für die Bestimmung des SIL. Weiterhin wird erläutert wie Software- und Hardware entwickelt werden können.
Funktionale Sicherheit und andere Themen beeinflussen sich gegenseitig. Im Bereich Schnittstellen wird durch branchen- und themenspezifische Dokumente beschrieben, wie diese effektiv und effizient miteinander verbunden werden können.

Norm IEC 61508

| DKE

Praxisbeispiel #2 für funktionale Sicherheit: Hochautomatisiertes Lager

FMEA / FMECA: Wichtige Tools im Qualitätsmanagement

Eines ist klar: Ohne die einfachsten Prinzipien eines Qualitätsmanagements lässt sich funktionale Sicherheit für Produkte und komplexe Systeme erst gar nicht umsetzen. Hierfür ist ein definierter Entwicklungsprozess erforderlich. Ein entsprechend prozessbasierter Ansatz findet sich zum Beispiel in der internationalen Normenreihe ISO 9000 wieder. Um funktional sicher entwickeln zu können, müssen unter anderem folgende Fragen geklärt ein:

Was genau ist eigentlich eine Aufzeichnung?
Was wird unter einer Vorschrift verstanden?
Wie sieht das Dokumentenmanagement aus?

Ein weit verbreitetes Werkzeug, um Fehler zu identifizieren, ist – neben PAAG (en: HAZOP) und LOPA – die Fehlermöglichkeits- und -einflussanalyse bzw. Auswirkungsanalyse (en: Failure Mode and Effects Analysis – FMEA ). Sie beschäftigt sich unter anderem mit folgenden Fragen:

Welche Fehler könnten bei Produkten oder Anlagen auftreten?
Welche Effekte könnten hierbei durch das Auftreten entstehen?
Wie hoch ist die Auftretens- und Entdeckungswahrscheinlichkeit?

Auf Grundlage der Auswirkungsanalyse werden Maßnahmen getroffen, um zuvor festgelegte Fehler und Risiken zu vermeiden und die technische Zuverlässigkeit zu erhöhen. FMEA ist damit eine analytische Methode der Zuverlässigkeitstechnik und somit ein Werkzeug, das vor allem im Qualitäts- bzw. Sicherheitsmanagement angewendet wird.

Failure Mode Effect and Criticality Analysis (FMECA) erweitert die FMEA um eine Kritikalitätsanalyse. Ergänzend zu den Fehlern bzw. Fehlerarten sowie deren mögliche Auswirkungen bewertet FMECA darüber hinaus, wie kritisch diese Auswirkungen sein könnten.

Funktionale Sicherheit

| VDE VERLAG

Funktionale Sicherheit: Grundzüge sicherheitstechnischer Systeme

Funktionale Sicherheit (FuSi) ist der Teil der Gesamtanlagensicherheit, der von der korrekten Funktion sicherheitsbezogener Systeme zur Risikoreduzierung abhängt.

In diesem Buch werden unter anderem die Überwachung oder Steuerung von Fahrzeugen, Zügen und Flugzeugen oder auch von Maschinen, Kraftwerken und chemischen Anlagen sowie im medizinischen oder sonstigen sicherheitskritischen Bereich behandelt. Weiterhin wird in einem Abschnitt explizit die Softwareentwicklung als ebenso wichtiges Thema betrachtet.

Zum VDE VERLAG

Safety Integrity Level (SIL): Der Ansatz des tolerierbaren Risikos

Die Sicherheitsanforderungsstufe bzw. das Sicherheitsintegritätsniveau (en: Safety Integrity Level – SIL) beschreibt im Kontext der Risikobetrachtung, wie ausgeprägt einzelne Maßnahmen sein müssen, um das Risiko, dem das Produkt oder die Anlage ausgesetzt ist, auf ein tolerierbares Risiko zu vermindern. Hintergrund: Eine 100 prozentige Sicherheit kann nie gewährleistet werden! Es gilt also, das Risiko soweit zu reduzieren, dass es auf Basis der geltenden Wertvorstellungen der Gesellschaft akzeptabel ist. SIL lässt sich dabei in vier Stufen bzw. Niveaus unterteilen – SIL 1 bis SIL 4.

Nicht selten kommt es zu einer falschen Interpretation: Das SIL muss im Fall einer Industrieanlage für die gesamte Sicherheitsfunktion und nicht nur einzeln auf Komponentenebene betrachtet werden. Weisen sämtliche Einzelkomponenten der Anlage zum Beispiel ein Sicherheitsintegritätslevel 2 auf, so bedeutet das im Umkehrschluss nicht, dass auch die gesamte Anlage mit SIL 2 einzustufen ist.

Performance Level und SIL: High Demand / Continous Mode

PFH*	IEC 61508	IEC 61511 und IEC 62061	EN 50129	ISO 26262	ISO 13849-1	SIRF
≥ 10^-4 bis < 10^-5	-	-	-	QM	PL a	SAS 0
≥ 10^-5 bis < 3 x 10^-6	SIL 1	SIL 1	SIL 1	-	PL b	SAS 1
≥ 3 x 10^-6 bis < 10^-6	SIL 1	SIL 1	SIL 1	ASIL A	PL c	SAS 1
≥ 10^-7 bis < 10^-6	SIL 2	SIL 2	SIL 2	ASIL B/C**	PL d	SAS 2
≥ 10^-8 bis < 10^-7	SIL 3	SIL 3	SIL 3	ASIL D***	PL e	SAS 4
≥ 10^-9 bis < 10^-8	SIL 4	Nicht praxisrelevant	SIL 4	-		-

* Mittlere Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde

** ASIL C: Entwurfsanforderungen in etwa SIL 2, Verifikationsanforderungen in etwa SIL 3

*** ASIL D: Ein ASIL-D-System ist ein SIL-3-System, nicht aber umgekehrt

Performance Level und SIL: Low Demand / On Demand Mode

PFD*	IEC 61508	IEC 61511
≥ 10^-2 bis < 10^-1	SIL 1	SIL 1
≥ 10^-3 bis < 10^-2	SIL 2	SIL 2
≥ 10^-4 bis < 10^-3	SIL 3	SIL 3
≥ 10^-5 bis < 10^-4	SIL 4	Nicht praxisrelevant

* Mittlere Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Anforderung

Wie lässt sich die erforderliche Risikominderung quantifizieren?

Risikominderung quantifizieren

| DKE

Praxisbeispiel #3 für funktionale Sicherheit: Elektronisches Stabilitätsprogramm (ESP)

Funktionale Sicherheit lässt sich prüfen und zertifizieren

Während der Planung und Entwicklung sollen systematische Hard- und Softwarefehler durch das Befolgen der Prinzipien der funktionalen Sicherheit weitestgehend ausgeschlossen werden. Auf die Planungs- und Entwicklungsphasen folgen Validierung und Verifikation. Daran schließen sich der Betrieb sowie Instandhaltung und Reparatur an. In diesen Phasen können Fehler auftreten, die idealerweise nicht zu gefährlichen Situationen führen dürfen: Elektrische Schläge, Feuer, Explosionen, Quetschungen und Stöße durch Roboter, überfahren werden etc. Funktionale Sicherheit erstreckt sich somit über den gesamten Lebenszyklus, was bedeutet, dass deren Methoden während Betrieb, Reparatur und Instandhaltung weiterhin angewendet werden sollten.

Die CE-Richtlinien fordern über die jeweiligen harmonisierten Normen hinaus sowohl den deterministischen als auch den analytischen Konformitätsnachweis (Risikoanalyse). Die Betrachtung der funktionalen Sicherheit erfolgt immer risikobasierend und für den gesamten Lebenszyklus vom Produkt bzw. der Anlage – abhängig von der Betrachtungsebene (Produkt, Subsystem, Komponente) muss sie aber auch jeweils unterschiedlich behandelt werden.

Funktionale Sicherheit ist zwar ein Begriff, der sich auf unterschiedlichste Branchen und Anwendungen umsetzen lässt. Eine Zertifizierung von Produkten und Anlagen zur Feststellung der Betriebssicherheit ist jedoch trotzdem möglich. Ein sehr ausgeprägtes Angebot an Dienstleistungen im Bereich der funktionalen Sicherheit, wie zum Beispiel Prüfungen, Zertifizierungen, Workshops und Schulungen, bietet unter anderem das VDE Prüf- und Zertifizierungsinstitut.

Zu den unterschiedlichen Produktgruppen gehören Software, Medizingeräte, Photovoltaikanlagen, Elektrobetriebene Fahrzeuge, Batteriemanagementsysteme, Elektrische Schutzeinrichtungen, Haushaltsgeräte und Smart Home-Produkte, Maschinen, Roboter und Produkte für Industrie 4.0.

Die korrekte Funktion der E/E/PE-Systeme ist zentraler Bestandteil der funktionalen Sicherheit

Denis Dryashkin / Fotolia

Funktionale Sicherheit: Prüfung und Zertifizierung im VDE Institut

Die Sicherheit von Produkten ist heute mehr denn je von einer korrekten Funktion der elektrischen, elektronischen und programmierbar elektronischen Systeme (E/E/PE) abhängig, da Fehlfunktionen zu gefährlichen Situationen führen und dadurch Personen und Investitionen gefährden können.

Das VDE Institut bietet seine Prüfkompetenzen schon während der Entwicklungsphase an und bestätigt die Sicherheit des Produktes am Ende der Entwicklung durch ein VDE Zertifikat.

Dienstleistungen für funktionale Sicherheit beim VDE Institut

Fragen und Antworten zu funktionaler Sicherheit

Was bedeutet „demand“ (Anforderung)?

Was bedeutet „low demand“ (niedrige Anforderung)?

Was bedeutet „high demand“ (hohe Anforderung)?

Haben „low demand“ und „high demand“ etwas mit der Betriebsart der beteiligten Gerätetechnik zu tun?

Wie ist „Instrument“ im Sinne der IEC 61511 zu verstehen?

Wie ist die Testung der Schutzeinrichtung zu berücksichtigen?

Wie unabhängig muss ein Gutachter für funktionale Sicherheit sein?

Muss zur Erreichung der funktionalen Sicherheit auch die IT-Sicherheit berücksichtigt werden?

Welche Rolle spielen zufällige Fehler bei elektromechanischen Bauteilen in der Betriebsart mit niedriger Anforderungsrate?

Darf Künstliche Intelligenz verwendet werden?

Die aktuelle Normenreihe DIN EN 61508 wurde 2011 veröffentlicht, daher ist diese Technologie nicht umfänglich berücksichtigt. Das Lebenszyklus-Modell bildet eine Basis um KI-Entwicklungen zu integrieren, müsste aber um KI-spezifische Entwicklungsphasen ergänzt werden.

KI wird einmal im normativen Teil erwähnt: Laut Tabelle A.2 im Anhang A der DIN EN 61508-3 (VDE 0803-3):2011 ist das Verfahren bzw. die Maßname „Künstliche Intelligenz - Fehlerkorrektur“ für SIL 2, SIL 3 und SIL 4 mit „--“ markiert.

„--“ bedeutet: „Das Verfahren oder die Maßnahme wird für diesen Sicherheits-Integritätslevel ausdrücklich nicht empfohlen. Wenn dieses Verfahren oder diese Maßnahme verwendet wird, dann sollte der Grund mit Bezug zu Anhang C während der Sicherheitsplanung ausführlich dargelegt und mit der beurteilenden Person abgestimmt werden.“

Diese negative Empfehlung wird im informativen Anhang C Tabelle C.2 der gleichen Norm begründet. Die Verwendung von KI als Verfahren/Maßnahme kann die Erreichung folgender Eigenschaften erschweren:

Korrektheit in Bezug auf die Spezifikation der Anforderungen an die Sicherheit der Software
Freiheit von Entwurfsfehlern
Einfachheit und Verständlichkeit
Voraussagbarkeit des Verhaltens
Nachweisbarer und testbarer Entwurf

KI wird in der Norm zur Fehleranalyse ausdrücklich nicht empfohlen. Die Norm spricht jedoch auch kein explizites Verbot aus.

Was mit „Künstliche Intelligenz – Fehlerkorrektur“ gemeint ist, wird in DIN EN 61508-7 (VDE 0803-7):2011-02 näher erläutert:

„Ziel: Auf mögliche Gefährdungen in einer sehr flexiblen Art reagieren, indem eine Kombination aus Methoden und Prozessmodellen und einer Art von Online-Sicherheits- und Zuverlässigkeitsanalysen eingeführt wird.

Beschreibung: Durch Systeme auf der Grundlage künstlicher Intelligenz (en: artificial intelligence, AI) können Fehlervorhersagen (Trendrechnungen), Fehlerkorrekturen sowie Instandhaltungs- und Überwachungstätigkeiten sehr wirkungsvoll in diversitären Kanälen eines Systems unterstützt werden, weil die Regeln direkt von der Spezifikation abgeleitet und gegen diese getestet werden können. Einige Fehler gemeinsamer Ursache, die aufgrund bestimmter Realisierungsvorstellungen bei der Erstellung der Spezifikation gemacht worden sind, können durch diesen Ansatz wirksam vermieden werden. Dies gilt besonders, wenn eine Kombination von Modellen und Methoden in einer funktionalen oder beschreibenden Art angewendet wird. Um die gewünschte Sicherheitsintegrität zu erreichen, werden die Methoden derart ausgewählt, dass Fehler korrigiert und die Auswirkungen der Ausfälle vermindert werden.“

Redaktioneller Hinweis:

Die im Text aufgeführten Normen und Standards können Sie beim VDE VERLAG erwerben.

Zum VDE VERLAG

Funktionale Sicherheit: Der Schutz des Menschen vor der Maschine

Was ist funktionale Sicherheit?

Praxisbeispiel #1 für funktionale Sicherheit: Schneidemaschine

V-Modell: Ein iterativer Prozess zur Reduzierung von systematischen Fehlern

Functional Safety und Cybersecurity: Wo liegt der Unterschied?

IEC 61508: Die internationale Normenreihe für funktionale Sicherheit

Zusammenspiel von Normen und Standards zur funktionalen Sicherheit

Praxisbeispiel #2 für funktionale Sicherheit: Hochautomatisiertes Lager

FMEA / FMECA: Wichtige Tools im Qualitätsmanagement

Safety Integrity Level (SIL): Der Ansatz des tolerierbaren Risikos

Performance Level und SIL: High Demand / Continous Mode

Performance Level und SIL: Low Demand / On Demand Mode

Wie lässt sich die erforderliche Risikominderung quantifizieren?

Praxisbeispiel #3 für funktionale Sicherheit: Elektronisches Stabilitätsprogramm (ESP)

Funktionale Sicherheit lässt sich prüfen und zertifizieren

Fragen und Antworten zu funktionaler Sicherheit

Was bedeutet „demand“ (Anforderung)?

Was bedeutet „low demand“ (niedrige Anforderung)?

Was bedeutet „high demand“ (hohe Anforderung)?

Haben „low demand“ und „high demand“ etwas mit der Betriebsart der beteiligten Gerätetechnik zu tun?

Wie ist „Instrument“ im Sinne der IEC 61511 zu verstehen?

Wie ist die Testung der Schutzeinrichtung zu berücksichtigen?

Wie unabhängig muss ein Gutachter für funktionale Sicherheit sein?

Muss zur Erreichung der funktionalen Sicherheit auch die IT-Sicherheit berücksichtigt werden?

Welche Rolle spielen zufällige Fehler bei elektromechanischen Bauteilen in der Betriebsart mit niedriger Anforderungsrate?

Darf Künstliche Intelligenz verwendet werden?

Interessiert an weiteren Inhalten zu Core Safety?

Relevante News und Hinweise zu Normen