Funktionale Sicherheit

Nach­weis der Sicher­heits­in­te­gri­tät
(SIL/PL/FMEDA)

Wir übernehmen für Sie die Planung und Durchführung der notwendigen Schritte zum Nachweis der Sicherheitsintegrität.

Mit einer elek­tri­schen oder elek­tro­ni­schen Steue­rung rea­li­sier­te Sicher­heits­funk­tio­nen stel­len für den Schutz von Men­schen, Tie­ren oder der Umwelt im Gefahr­fall den siche­ren Zustand eines Sys­tems her. Um Feh­ler durch das Ver­sa­gen die­ser Schutz­funk­tio­nen aus­rei­chend zu mini­mie­ren, for­dern die Nor­men zur Funk­tio­na­len Sicher­heit dafür beson­de­re Vor­keh­run­gen wäh­rend der gesam­ten Systementwicklung. 

Es muss nach­ge­wie­sen wer­den, dass die Anfor­de­run­gen ent­spre­chend dem in der Risi­ko­ana­ly­se ermit­tel­ten Sicher­heits­in­te­gri­täts­le­vel (SIL) oder Per­for­mance Level (PL) für die Funk­ti­on ein­ge­hal­ten sind.

Für die Ent­wick­lung sol­cher Sicher­heits­funk­tio­nen sind in Bezug auf Funk­tio­na­le Sicher­heit zum Bei­spiel fol­gen­de Fra­gen zu beantworten:

  • Wie wird der siche­re Zustand mei­nes Sys­tems definiert?
  • Wel­che Kom­po­nen­ten wähle ich für mein System?
  • Wel­chen Anfor­de­run­gen muss die Soft­ware und Hard­ware der Steue­rung genügen?
  • Reicht ein ein­ka­na­li­ges Sys­tem aus oder brau­che ich eine mehr­ka­na­li­ge oder sogar diver­se Archi­tek­tur für meine Systeme?
  • Wie wir­ken sich exter­ne Ein­flüs­se aus (Common-Cause-Fehler)?
Sicherheitsfunktion FuSi FMEDA Sicherheitsintegritätslevel Performance Level Maschinensicherheit FMEDA

Wichtige Normen zur Funktionalen Sicherheit

Bahntechnik

DIN EN 50129

Maschinen- und Anlagenbau sowie Niederspannungsanlagen

DIN EN 61508, DIN EN 61511, DIN EN 13849, DIN EN 61800,
DIN EN 62061

Automotive

ISO 26262, DIN EN 25119

Aerospace

ARP 4754

Wir unterstützen Sie bei der Planung und Umsetzung der notwendigen Schritte.

Ent­spre­chend den Norman­for­de­run­gen zur Funk­tio­na­len Sicher­heit über­neh­men wir für Ihre Pro­jek­te zum Bei­spiel fol­gen­de Arbeiten:

  • Schu­lung und Bera­tung zur Ein­füh­rung eines Sicher­heits­ma­nage­ments und der Anwen­dung der dafür not­wen­di­gen Methoden
  • Erar­bei­tung eines Sicher­heits­pla­nes für die Produkt- bzw. Systementwicklung
  • Mode­rier­te Durch­füh­rung der zur Fest­le­gung der Sicher­heits­an­for­de­run­gen gesetz­lich vor­ge­schrie­be­nen Risi­ko­ana­ly­se (z. B. DIN EN 12100, DIN EN 14121)
  • Defi­ni­ti­on der Sicher­heits­zie­le und Ablei­tung der erfor­der­li­chen Sicher­heits­in­te­gri­täts­ni­veaus (SIL, PL) für die not­wen­di­gen Sicherheitsfunktionen
  • Unter­stüt­zung bei der Erstel­lung der dafür not­wen­di­gen Spe­zi­fi­ka­tio­nen für das Sys­tem und die Sicherheitsfunktionen
  • Ermitt­lung der gefor­der­ten Kenn­grö­ßen wie λdu, λsd, λdd und λsu, PFH, SFF, DC, MTTFD, CCF, ß- Fak­tor, SPFM, LFM, DCRF, λSPF, λRF, λMPF und λs
  • Durch­füh­rung der FMEDA zusam­men mit den Ent­wick­lungs­in­ge­nieu­ren und ande­re beglei­ten­de Ana­ly­sen (z. B. FMECA) zum Nach­weis der Beherr­schung zufäl­li­ger Feh­ler der Hardware
  • Unter­stüt­zung bei der Bestim­mung der Zuverlässigkeits-Kennwerte (MTBF) für Bau­tei­le nach aner­kann­ten Nor­men und Daten­samm­lun­gen (z. B. SN 29500, IEC 62380)

Nachweis der Sicherheitsintegrität für ein gefordertes SIL/PL

Was ist Funktionale Sicherheit?

Funk­tio­na­le Sicher­heit (abge­kürzt auch FuSi) bezeich­net den Teil der Sicher­heit eines Sys­tems, der von der kor­rek­ten Funk­ti­on des sicher­heits­be­zo­ge­nen Sys­tems und ande­rer risi­ko­min­dern­der Maß­nah­men abhängt.

Als sicher­heits­be­zo­ge­nes Sys­tem sind die Sicher­heits­funk­tio­nen, wel­che durch das Zusam­men­wir­ken von Sen­sor, Logik und Aktor einen siche­ren Zustand rea­li­sie­ren, zu verstehen.

Welche Anforderungen werden an die
Sicherheitsintegrität gestellt?

Die Anfor­de­run­gen an die Sicher­heits­in­te­gri­tät der ver­wen­de­ten Hard- und Soft­ware einer Sicher­heits­funk­ti­on stei­gen mit zuneh­men­dem Sicher­heits­ri­si­ko für die ermit­tel­ten Gefähr­dun­gen des kon­kre­ten Anwen­dungs­fal­les. Sie sind in den für den Bereich gel­ten­den Nor­men zur Funk­tio­na­len Sicher­heit detail­liert festgelegt.

Die gän­gi­gen Nor­men ver­wen­den für diese Anfor­de­rungs­stu­fen den Begriff Sicher­heits­in­te­gri­täts­le­vel (SIL) oder Per­for­mance Level (PL).

Der für eine Sicher­heits­funk­ti­on erfor­der­li­che SIL/PL wird in der Risi­ko­ana­ly­se für die vor­ge­se­he­ne Anwen­dung vor der Defi­ni­ti­on der Sicher­heits­an­for­de­run­gen ermittelt. 

Siehe dazu auch unse­ren wei­ter­füh­ren­den Link am Seitenende.

Wie wird die Sicherheitsintegrität nachgewiesen?

Der Nach­weis der Sicher­heits­in­te­gri­tät erfolgt

  • mit einer quan­ti­ta­ti­ven Zuver­läs­sig­keits­be­trach­tung für die zufäl­li­gen Feh­ler sowie
  • durch den Nach­weis der Anfor­de­run­gen zur Sys­tem­ar­chi­tek­tur
    (Hardware-Fehlertoleranz HF, SIL- bzw. ASIL- Kom­po­si­ti­on) und
  • den Nach­weis der ergän­zen­den Maß­nah­men in der Ent­wick­lung zur Ver­mei­dung sys­te­ma­ti­scher Fehler.

Der Nach­weis der Sicher­heits­in­te­gri­tät ist für jede rea­li­sier­te Sicher­heits­funk­ti­on zu füh­ren, für die ein bestimm­ter SIL bzw. PL gefor­dert ist. Er schließt eine Vali­die­rung der Sicher­heits­an­for­de­run­gen für den spe­zi­fi­schen Anwen­dungs­fall ein und muss sowohl Hard- als auch Soft­ware­ent­wick­lung, Test und Kon­fi­gu­ra­ti­on umfassen.

Von wem darf der SIL/PL-Nachweis
geführt werden?

Die SIL-Fähigkeit eines Geräts oder die PL-Eignung einer Maschi­ne wer­den übli­cher­wei­se durch den Her­stel­ler sicher­ge­stellt, indem die­ser das Gerät oder die Maschi­ne unter Beach­tung der EN 61508 bzw. EN 13849 ent­wi­ckelt und bewer­tet. Mit stei­gen­dem SIL oder PL stel­len die Nor­men auch höhe­re Anfor­de­run­gen an die Unab­hän­gig­keit der Nachweisführung.

Aber auch bei SIL 1 und 2 bzw. PL a bis c kann es sinn­voll sein, einen exter­nen Gut­ach­ter ein­zu­be­zie­hen oder den Nach­weis mit einem Dienst­leis­ter zu erstellen.

Wann muss eine FMEDA
durchgeführt werden?

Eine FMEDA ist in der Regel dann erfor­der­lich, wenn Kom­po­nen­ten für Sicher­heits­funk­tio­nen, die durch elek­tri­sche, elek­tro­ni­sche oder pro­gram­mier­bar elek­tro­ni­sche Sys­te­me (E/E/PE-Systeme) aus­ge­führt wer­den, selbst ent­wi­ckelt werden.

Um den zum Nach­weis der Sicher­heits­in­te­gri­tät erfor­der­li­chen Anteil der siche­ren Feh­ler zu bestim­men, ist in die­sem Fall eine spe­zi­el­le Analyse aller Feh­ler­ar­ten der ein­be­zo­ge­nen Bau­tei­le not­wen­dig, wel­che eine Dif­fe­ren­zie­rung nach siche­ren und gefähr­li­chen Aus­fäl­len auch die Detek­tier­bar­keit von Feh­lern beinhaltet.

Die FMEDA (Fail­u­re Modes Effects and Dia­gnostic Ana­ly­sis) ist das dafür ange­wen­de­te Ver­fah­ren zur detail­lier­ten Ermitt­lung von Feh­ler­ur­sa­chen und deren Aus­wir­kung auf das Sys­tem. Eine FMEDA bezieht alle rele­van­ten Bau­tei­le einer Bau­grup­pe ein, die im Sicher­heits­kreis liegt. Sie ermög­licht es, das zur Bestim­mung der Eig­nung für einen bestimm­ten Sicher­heits­in­te­gri­täts­le­vel oder Per­for­mance­le­vel (SIL oder PL) gefor­der­te Ver­hält­nis der siche­ren Feh­ler­fäl­le (Safe Fail­u­re Frac­tion – SFF bzw. SPFM) zu berechnen.

Wie bei einer klas­si­schen FMEA baut die Analyse zum Groß­teil auf Exper­ten­wis­sen der Ent­wick­ler auf, so dass eine Durch­füh­rung in einem Exper­ten­team zu emp­feh­len ist. IZP Dres­den unter­stützt Sie bei der Mode­ra­ti­on der FMECA, bei der Ermitt­lung der Para­me­ter für die Kom­po­nen­ten und bei der Erstel­lung des SIL- bzw. PL-Fähigkeitsnachweises.

FMEDA Software SIL PL HFT SFF Performance Level Sicherheitsintegritätslevel  Funktionale Sicherheit Sicherheitsfunktion

Bei­spiel für ein FMEDA-Sheet

Risikoanalyse -
Ihre Pflichten und Möglichkeiten

Als Her­stel­ler unter­lie­gen Sie der Pro­dukt­haf­tung und damit der For­de­rung, vor­her­seh­ba­re Risi­ken bei der Ver­wen­dung Ihrer Pro­duk­te zu ermit­teln und geeig­ne­te Maß­nah­men zur Risi­ko­min­de­rung einzuleiten.

Die Frage, wie viel Sie dafür am Ende wirk­lich in Sicher­heit und den Nach­weis der Anfor­de­run­gen für Sicher­heits­funk­tio­nen inves­tie­ren müs­sen, beant­wor­tet Ihnen eine sys­te­ma­ti­sche Risikoanalyse.

Fallstricke bei der Erarbeitung von Fehlerbäumen 

Bei der Wei­ter­ent­wick­lung bestehen­der Ana­ly­sen sind uns des Öfte­ren Unge­nau­ig­kei­ten bei den Model­lie­run­gen der Feh­ler­bäu­me begegnet.

Unser Mit­ar­bei­ter Paul Granzin beleuch­tet des­halb in einem White­pa­per häu­fig erkann­te Fall­stri­cke bei der Anwen­dung der FTA-Methodik in der Praxis.

Sicherheitsfunktion FuSi FMEDA Sicherheitsintegritätslevel Performance Level Maschinensicherheit FMEDA SIL PL Performance Level