Schaltzentrale
chungking - Fotolia
20.11.2019 Fachinformation

Funktionale Sicherheit: Der Schutz des Menschen vor der Maschine

Funktionale Sicherheit ist essenziell für komplexe Produkte, Anlagen und Prozesse. International liegt mit der IEC 61508 eine horizontale Normenreihe vor, die eine Grundlage für eine Vielzahl von Branchen und Anwendungsfeldern bietet. Schon beim Erstellen des Konzeptes von Produkten sollten Experten eingebunden werden, um die Sicherheit der Produkte zu erzielen.

Kontakt
Sascha Man-Son Lee
Tel. +49 69 6308-291
sascha.lee@vde.com
Zuständiges Gremium
Downloads + Links

Was ist funktionale Sicherheit?

Vereinfacht formuliert kommt funktionale Sicherheit immer dann zum Einsatz, wenn Produkte, Anlagen oder Prozesse so komplex sind, dass deren Sicherheit auf einfachem Weg nicht mehr ausreichend getestet werden kann.

Aus normativer Sicht wird funktionale Sicherheit nach DIN EN 61508-4 (VDE 0803-4) folgendermaßen definiert:

„Teil der Gesamtsicherheit, bezogen auf die EUC und das EUC-Leit- oder Steuerungssystem, der von der korrekten Funktion des E/E/PE-sicherheitsbezogenen Systems und anderer risikomindernder Maßnahmen abhängt“

Ein ganz einfaches Beispiel ist der Vergleich zwischen einer Bohrmaschine und einem Computerchip:

Bei einer Bohrmaschine lassen sich nicht nur alle vorgesehenen Funktionen testen, sondern können auch einem Stresstest unterzogen werden – welche Effekte ergeben sich, wenn die Bohrmaschine bewusst falsch verwendet wird?

Bei einem Computerchip, der in Systemen häufig die kleinste Ebene darstellt, ist das deutlich komplexer und somit realistisch unmöglich. In diesem Fall müssen bei der Entwicklung des Computerchips alle Prinzipien der funktionalen Sicherheit befolgt werden, um am Ende trotzdem ein sicheres Produkt zu erhalten, auch wenn nicht alle Funktionen bzw. Eventualitäten getestet werden konnten.

Um die Prinzipien der funktionalen Sicherheit befolgen zu können, müssen bereits in der Entwicklung die eigentlichen Funktionen bedacht werden: Ein Motor soll sich beispielweise drehen und ein Ventil öffnen. Eine entscheidende Frage an der Stelle ist, wie Fehlfunktion aussehen (Motor dreht in die falsche Richtung und schließt das Ventil, anstatt es zu öffnen) und sich das Problem verhindern lassen könnte. Nach diesem Prinzip werden alle möglichen Eventualitäten dokumentiert – von einer einfachen und oberflächlichen bis hin zu einer sehr tiefen und detaillierten Ebene. Daraus ergibt sich das sogenannte „V-Modell“.


DKE Newsletter-Seitenbild
sdx15 / stock.adobe.com

Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...

  • fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
  • berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
  • informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen
Ich möchte den DKE Newsletter erhalten!

V-Modell: Ein iterativer Prozess zur Reduzierung von systematischen Fehlern

V-Modell: Entwicklungsmodell für mechatronische Systeme

V-Modell: Entwicklungsmodell für mechatronische Systeme

| VDI 2206:2004-06 – VDI Gesellschaft Produkt- und Prozessgestaltung

Eine seit Jahren bekannte und stetig weiterentwickelte Methode zur Reduzierung von systematischen Fehlern ist das sogenannte „V-Modell“.

Dieses iterative Vorgehensmodell wurde ursprünglich für den Entwurf und die Entwicklung von Software konzipiert und wird mittlerweile auch für den Entwurf mechatronischer Systeme eingesetzt. Neben dem in Entwicklungsphasen eingeteilten Softwareentwicklungsprozess werden im V-Modell diesen Phasen Testphasen gegenübergestellt und damit ein Vorgehen zur Qualitätssicherung festgelegt.

Ausgehend von den Kundenanforderungen werden auf der linken Seite die funktionalen und fachlichen Spezifikationen immer weiter detailliert, bis eine Implementierung erfolgen kann. Jede Implementierung wird anhand der auf der rechten Seite dargestellten Testschritte gegen die Spezifikationen der linken Seite geprüft.

Functional Safety und Cybersecurity: Wo liegt der Unterschied?

Funktionale Sicherheit (Betriebssicherheit) und Cybersecurity (Angriffssicherheit) beeinflussen sich

Funktionale Sicherheit (Betriebssicherheit) und Cybersecurity (Angriffssicherheit) beeinflussen sich

| DKE

Häufig kommt die Frage auf, ob es überhaupt einen großen Unterschied zwischen „Functional Safety“ und „Cybersecurity“ gibt, denn in beiden Fällen lautet die deutsche Übersetzung: „Sicherheit“.

Der Unterschied ist einfach erklärt und stützt sich dabei auf die englische Sprache:

  • Functional Safety schützt den Menschen vor der Maschine
  • Cybersecurity schützt die Maschine vor dem Menschen

Die englische Sprache ist daher wesentlicher präziser hinsichtlich der Definition und Beschreibung des Begriffs als die deutsche Sprache. Für Experten und Anwender ist diese Unterscheidung einfach und ganz selbstverständlich – Laien auf diesem Gebiet hingegen verstehen anfangs aber nicht immer direkt, über welche Art der Sicherheit gesprochen wird.

Es kann – insbesondere an Schnittstellen – nicht ausgeschlossen werden, dass sich Safety- und Security-Maßnahmen gegenseitig beeinflussen. Relevant wird das vor allem dann, wenn für ein komplexes System eine ganzheitliche Risikobetrachtung bzw. Risikobewertung aufgestellt werden muss. Diese teilt sich in eine separate Safety-Risikobewertung und eine separate Security-Risikobewertung. Für die ganzheitliche Risikobetrachtung erfolgt ein Expertenaustausch beider Vertreter, der aufzeigen soll, welche Anforderungen bzw. Maßnahmen im jeweiligen Bereich auch Auswirkungen auf den jeweils anderen Bereich haben könnten.

Eine wesentliche Aussage, die in den vergangenen Jahren immer wieder aufkam, ist: „If it’s not secure, it’s not safe.“ Kern der Aussage ist also, dass, wenn eine Anlage nicht gegen Angriffe von außen geschützt ist, der Schutz des Menschen vor der Maschine ebenfalls nicht mehr sichergestellt werden kann.


VDE DKE Tagung Funktionale Sicherheit 2023
Melanie Kahl / LitschiCo-Erfurt.de

Veranstaltungsrückblick zur VDE DKE Tagung Funktionale Sicherheit 2023

Der Fachkongress fand in diesem Jahr wieder in Präsenz statt. Etwa 130 interessierte Teilnehmende nahmen an der Veranstaltung im Kaisersaal in Erfurt teil.

Neben den kommenden Neuerungen der dritten Ausgabe der Normreihe IEC 61508 und weiterer Normungsvorhaben lag der Fokus auf den Herausforderungen durch die zunehmende Integration von Künstlicher Intelligenz und dem EU Cyber Resilience Act. Wichtige Themen, denn betroffen sind eine Vielzahl von Branchen und Industrien.

Mehr erfahren

IEC 61508: Die internationale Normenreihe für funktionale Sicherheit

Durch die zunehmende Vernetzung wird unsere Welt immer komplexer. Aus diesem Grund überrascht es nicht, dass funktionale Sicherheit kein reines und klassisches „Industrie-Ding“ ist, sondern in zahlreichen Branchen und Anwendungen zum Einsatz kommt. Dazu gehören beispielsweise Logistik, Luftfahrt, Schifffahrt, Kernkraft, Bahntechnik, Automobiltechnik, Prozessindustrie, Explosionsschutz, Medizingeräte und Haushaltsgeräte. Das wohl komplexeste und teuerste „Gerät“, das Otto Normalverbraucher besitzen kann, ist das Automobil. Wo genau funktionale Sicherheit bei einem Automobil zu finden ist, wird an späterer Stelle noch erläutert.

Die verschiedenen Aspekte der funktionalen Sicherheit für elektrische, elektronische oder programmierbare elektronische Systeme sind in der horizontalen Normenreihe IEC 61508 beschrieben, die damit gleichzeitig eine Grundnorm bzw. Metanorm (Typ A-Norm; Basic Safety Standard) darstellt.

Der Geltungsbereich der Normenreihe IEC 61508 erstreckt sich über Konzept, Planung, Entwicklung, Realisierung, Inbetriebnahme, Instandhaltung und Modifikation bis hin zur Außerbetriebnahme und Deinstallation. Wenn die Anforderungen der Normenreihe konsequent umgesetzt werden, ergibt sich ein Managementsystem zum sicheren Entwickeln und Betreiben von Produkten und Anlagen. Darüber hinaus gibt es noch weitere normative Festlegungen für spezielle Produktbereiche.

Horizontalnorm IEC 61508

Horizontalnorm IEC 61508

| VDE DKE

Jeder dieser Bereiche greift auf Normenreihen zurück, deren Inhalte speziell auf die jeweiligen Anwendungsfelder angepasst sind. Das ist nachvollziehbar, denn die Anforderungen an ein Produkt oder eine Anlage bei Bahnanwendungen sind vollkommen andere als im Bereich von medizinisch elektrischen Geräten. Die Grundlage im Zusammenhang der funktionalen Sicherheit bietet jedoch in jedem Fall die Normenreihe IEC 61508.

Ein sehr gutes Beispiel ist die Normenreihe ISO 26262: Sie bildet ein eigenständiges Normenwerk für die Automobilindustrie. Die Grundgedanken stammen aus der Normenreihe IEC 61508 (z. B. SIL) und werden an die branchenspezifischen Anforderungen angepasst (z. B. ASIL).

Ein großes Thema der Normenreihe IEC 61508 wird zukünftig Künstliche Intelligenz sein, die normativ bisher noch nicht in dieser Normenreihe beschrieben wurde. Normungsexpert*innen nehmen sich diesem Thema bereits an, um erste Anforderungen an Künstliche Intelligenz im Zusammenhang mit funktionaler Sicherheit in überarbeitete Fassungen oder neue Veröffentlichungen der Normenreihe einzubringen.

Künstliche Intelligenz hält immer mehr Einzug in unterschiedlichste Branchen, Industrien und Anwendungen – Industrie 4.0, autonomes Fahren, intelligente Energieversorgung, Predictive Maintenance etc. DIN und DKE haben daher gemeinsam mit mehr als 300 Fachexpertinnen und Fachexperten aus Wirtschaft, Wissenschaft, öffentlicher Hand und Zivilgesellschaft die Normungsroadmap Künstliche Intelligenz erarbeitet. Sie liefert einen umfassenden Überblick zum Status Quo, den Anforderungen und Herausforderungen sowie den Normungs- und Standardisierungsbedarfe zu sieben Schwerpunktthemen rund um die KI.

Zusammenspiel von Normen und Standards zur funktionalen Sicherheit

Für die Anwendung der Normenreihe IEC 61508 ist es wichtig zu verstehen, wie die Normenreihe aufgebaut ist und sich die einzelnen Normenteile ergänzen.

  • Im Bereich Grundlagen wird das Konzept der Risikoreduzierung auf ein akzeptables Restrisiko erläutert und dazu der Sicherheitslebenszyklus eines E/E/PE-Systems beschrieben. Es werden außerdem relevante Begrife beschrieben und die verschiedenen Normenteile in Beziehung gesetzt.
  • Im Bereich Hardware finden sich Beschreibungen, wie entsprechende System- und Hardwareanforderungen umgesetzt werden können.
  • Im Bereich Software finden sich Beschreibungen wie entsprechende Software-Anforderungen umgesetzt werden können. Darüber hinaus gibt es für spezielle Software-Aspekte weiterführende Dokumente.
  • Im Bereich Erläuterungen und Beispiele werden Maßnahmen und Verfahren vorgestellt, unter anderem für die Bestimmung des SIL. Weiterhin wird erläutert wie Software- und Hardware entwickelt werden können.
  • Funktionale Sicherheit und andere Themen beeinflussen sich gegenseitig. Im Bereich Schnittstellen wird durch branchen- und themenspezifische Dokumente beschrieben, wie diese effektiv und effizient miteinander verbunden werden können.
Norm IEC 61508

Norm IEC 61508

| DKE

FMEA / FMECA: Wichtige Tools im Qualitätsmanagement

Eines ist klar: Ohne die einfachsten Prinzipien eines Qualitätsmanagements lässt sich funktionale Sicherheit für Produkte und komplexe Systeme erst gar nicht umsetzen. Hierfür ist ein definierter Entwicklungsprozess erforderlich. Ein entsprechend prozessbasierter Ansatz findet sich zum Beispiel in der internationalen Normenreihe ISO 9000 wieder. Um funktional sicher entwickeln zu können, müssen unter anderem folgende Fragen geklärt ein:

  • Was genau ist eigentlich eine Aufzeichnung?
  • Was wird unter einer Vorschrift verstanden?
  • Wie sieht das Dokumentenmanagement aus?

Ein weit verbreitetes Werkzeug, um Fehler zu identifizieren, ist – neben PAAG (en: HAZOP) und LOPA – die Fehlermöglichkeits- und -einflussanalyse bzw. Auswirkungsanalyse (en: Failure Mode and Effects Analysis – FMEA ). Sie beschäftigt sich unter anderem mit folgenden Fragen:

  • Welche Fehler könnten bei Produkten oder Anlagen auftreten?
  • Welche Effekte könnten hierbei durch das Auftreten entstehen?
  • Wie hoch ist die Auftretens- und Entdeckungswahrscheinlichkeit?

Auf Grundlage der Auswirkungsanalyse werden Maßnahmen getroffen, um zuvor festgelegte Fehler und Risiken zu vermeiden und die technische Zuverlässigkeit zu erhöhen. FMEA ist damit eine analytische Methode der Zuverlässigkeitstechnik und somit ein Werkzeug, das vor allem im Qualitäts- bzw. Sicherheitsmanagement angewendet wird.

Failure Mode Effect and Criticality Analysis (FMECA) erweitert die FMEA um eine Kritikalitätsanalyse. Ergänzend zu den Fehlern bzw. Fehlerarten sowie deren mögliche Auswirkungen bewertet FMECA darüber hinaus, wie kritisch diese Auswirkungen sein könnten.


Funktionale Sicherheit

Funktionale Sicherheit

| VDE VERLAG

Funktionale Sicherheit: Grundzüge sicherheitstechnischer Systeme

Funktionale Sicherheit (FuSi) ist der Teil der Gesamtanlagensicherheit, der von der korrekten Funktion sicherheitsbezogener Systeme zur Risikoreduzierung abhängt.

In diesem Buch werden unter anderem die Überwachung oder Steuerung von Fahrzeugen, Zügen und Flugzeugen oder auch von Maschinen, Kraftwerken und chemischen Anlagen sowie im medizinischen oder sonstigen sicherheitskritischen Bereich behandelt. Weiterhin wird in einem Abschnitt explizit die Softwareentwicklung als ebenso wichtiges Thema betrachtet.

Zum VDE VERLAG

Safety Integrity Level (SIL): Der Ansatz des tolerierbaren Risikos

Die Sicherheitsanforderungsstufe bzw. das Sicherheitsintegritätsniveau (en: Safety Integrity Level – SIL) beschreibt im Kontext der Risikobetrachtung, wie ausgeprägt einzelne Maßnahmen sein müssen, um das Risiko, dem das Produkt oder die Anlage ausgesetzt ist, auf ein tolerierbares Risiko zu vermindern. Hintergrund: Eine 100 prozentige Sicherheit kann nie gewährleistet werden! Es gilt also, das Risiko soweit zu reduzieren, dass es auf Basis der geltenden Wertvorstellungen der Gesellschaft akzeptabel ist. SIL lässt sich dabei in vier Stufen bzw. Niveaus unterteilen – SIL 1 bis SIL 4.

Nicht selten kommt es zu einer falschen Interpretation: Das SIL muss im Fall einer Industrieanlage für die gesamte Sicherheitsfunktion und nicht nur einzeln auf Komponentenebene betrachtet werden. Weisen sämtliche Einzelkomponenten der Anlage zum Beispiel ein Sicherheitsintegritätslevel 2 auf, so bedeutet das im Umkehrschluss nicht, dass auch die gesamte Anlage mit SIL 2 einzustufen ist.

Performance Level und SIL: High Demand / Continous Mode

* Mittlere Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde

** ASIL C: Entwurfsanforderungen in etwa SIL 2, Verifikationsanforderungen in etwa SIL 3

*** ASIL D: Ein ASIL-D-System ist ein SIL-3-System, nicht aber umgekehrt

Performance Level und SIL: Low Demand / On Demand Mode

* Mittlere Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Anforderung

Wie lässt sich die erforderliche Risikominderung quantifizieren?

Risikominderung quantifizieren

Risikominderung quantifizieren

| DKE

Funktionale Sicherheit lässt sich prüfen und zertifizieren

Während der Planung und Entwicklung sollen systematische Hard- und Softwarefehler durch das Befolgen der Prinzipien der funktionalen Sicherheit weitestgehend ausgeschlossen werden. Auf die Planungs- und Entwicklungsphasen folgen Validierung und Verifikation. Daran schließen sich der Betrieb sowie Instandhaltung und Reparatur an. In diesen Phasen können Fehler auftreten, die idealerweise nicht zu gefährlichen Situationen führen dürfen: Elektrische Schläge, Feuer, Explosionen, Quetschungen und Stöße durch Roboter, überfahren werden etc. Funktionale Sicherheit erstreckt sich somit über den gesamten Lebenszyklus, was bedeutet, dass deren Methoden während Betrieb, Reparatur und Instandhaltung weiterhin angewendet werden sollten.

Die CE-Richtlinien fordern über die jeweiligen harmonisierten Normen hinaus sowohl den deterministischen als auch den analytischen Konformitätsnachweis (Risikoanalyse). Die Betrachtung der funktionalen Sicherheit erfolgt immer risikobasierend und für den gesamten Lebenszyklus vom Produkt bzw. der Anlage – abhängig von der Betrachtungsebene (Produkt, Subsystem, Komponente) muss sie aber auch jeweils unterschiedlich behandelt werden.

Funktionale Sicherheit ist zwar ein Begriff, der sich auf unterschiedlichste Branchen und Anwendungen umsetzen lässt. Eine Zertifizierung von Produkten und Anlagen zur Feststellung der Betriebssicherheit ist jedoch trotzdem möglich. Ein sehr ausgeprägtes Angebot an Dienstleistungen im Bereich der funktionalen Sicherheit, wie zum Beispiel Prüfungen, Zertifizierungen, Workshops und Schulungen, bietet unter anderem das VDE Prüf- und Zertifizierungsinstitut.

Zu den unterschiedlichen Produktgruppen gehören Software, Medizingeräte, Photovoltaikanlagen, Elektrobetriebene Fahrzeuge, Batteriemanagementsysteme, Elektrische Schutzeinrichtungen, Haushaltsgeräte und Smart Home-Produkte, Maschinen, Roboter und Produkte für Industrie 4.0.


Die korrekte Funktion der E/E/PE-Systeme ist zentraler Bestandteil der funktionalen Sicherheit
Denis Dryashkin / Fotolia

Funktionale Sicherheit: Prüfung und Zertifizierung im VDE Institut

Die Sicherheit von Produkten ist heute mehr denn je von einer korrekten Funktion der elektrischen, elektronischen und programmierbar elektronischen Systeme (E/E/PE) abhängig, da Fehlfunktionen zu gefährlichen Situationen führen und dadurch Personen und Investitionen gefährden können.

Das VDE Institut bietet seine Prüfkompetenzen schon während der Entwicklungsphase an und bestätigt die Sicherheit des Produktes am Ende der Entwicklung durch ein VDE Zertifikat.

Dienstleistungen für funktionale Sicherheit beim VDE Institut

Fragen und Antworten zu funktionaler Sicherheit

Redaktioneller Hinweis:

Die im Text aufgeführten Normen und Standards können Sie beim VDE VERLAG erwerben.

Zum VDE VERLAG

Interessiert an weiteren Inhalten zu Core Safety?

Fokusbild Core Safety & Information Technologies

Core Safety & Information Technologies umschließt alle Aspekte der Sicherheit: grundlegende  Sicherheitsanforderungen, funktionale Sicherheit, Informationssicherheit sowie deren Wechselwirkungen. Außerdem befasst sich Core Safety mit wichtigen Querschnittsthemen und definiert grundlegende Anforderungen die allgemein einzuhalten sind – zum Beispiel für Elektromagnetische Verträglichkeit, Umwelt- und Ressourceneffizienz, Schadstoffe, Größen, Einheiten und Kennzeichnungen. Weitere Inhalte zu diesem Fachgebiet finden Sie im

DKE Arbeitsfeld Core Safety & Information Technologies

Relevante News und Hinweise zu Normen