Was ist Funktionale Sicherheit und wie lässt sie sich herstellen?
In der modernen Welt sind Menschen umgeben von komplexen Systemen. Das beginnt bei Assistenzsystemen in Fahrzeugen und schließt die hoch entwickelten Anlagen und Maschinen ein, die von vielen Arbeitsplätzen nicht mehr wegzudenken sind. Diese Systeme bringen klare Vorteile mit sich, gehen aber auch mit Risiken einher. Denn wenn sie fehlerhaft agieren, führt dies schnell zu schweren Unfällen.
Funktionale Sicherheit, abgekürzt FuSi, verhindert, dass die Systeme, die uns in der Freizeit und bei der Arbeit begleiten, zu einer Gefahr für Mensch und Umwelt werden. Dafür muss sie während des gesamten Lebenszyklus einer Maschine oder Anlage betrachtet werden, angefangen bei der Entwicklung. Immer wieder taucht dabei die Frage auf: Was und wie viel müssen Verantwortliche tun, um ein ausreichendes Maß an Sicherheit zu erreichen?
Wir haben uns mit Dr. Johannes Huth, Lead Safety Manager bei Silver Atena, über die Antwort auf diese Frage und das große Thema Funktionale Sicherheit unterhalten.
Was bedeutet Funktionale Sicherheit?
Der Begriff „Funktionale Sicherheit“ setzt sich aus den Begriffen „funktional“ und „Sicherheit“ zusammen. „Sicherheit“, so Johannes Huth; „ist die Abwesenheit von intolerablen Risiken. Eine Funktion setzt einen Input, eine Verarbeitungslogik und einen Output voraus.“ Von Funktionaler Sicherheit spricht man, wenn die Sicherheitsfunktionen eines Systems einwandfrei funktionieren. Das ist eine elementare Voraussetzung dafür, dass Flugzeuge sicher landen, sich Industrieanlagen unfallfrei bedienen lassen oder ein Alarm im richtigen Moment auslöst.
Die Funktionale Sicherheit, beziehungsweise Functional Safety genannt, von beispielsweise Maschinen und Anlagen sicherzustellen, ist Aufgabe von Herstellern und Betreibern gleichermaßen. Erstere müssen die Funktionale Sicherheit bei der Entwicklung berücksichtigen und Zweitere zum Beispiel regelmäßige Tests durchführen. Beide können sich dabei an Normen orientieren.
Zentrale Normen im Bereich Funktionale Sicherheit
Ein zentrales Regelwerk im Bereich Funktionale Sicherheit ist die Normenreihe IEC 61508. Sie definiert branchenübergreifend Anforderungen an sicherheitsbezogene elektrische, elektronische und programmierbare elektronische Systeme sowie Software. Anwender:innen erhalten eine Orientierung, wie sie Gefahren beziehungsweise Risiken ermitteln und davon ausgehend angemessene Maßnahmen und Verfahren festlegen.
Bei der IEC 61508 handelt es sich um eine Sicherheits-Grundnorm, von der diverse Branchen- beziehungsweise Sektornormen abgeleitet werden. Dazu gehören unter anderem die ISO 26262 für elektrische und elektronische Systeme in Kraftfahrzeugen, die DIN EN IEC 62061 und DIN EN ISO 13849 für Maschinen sowie die DIN EN IEC 61511 für die Prozessindustrie. Entwickler in der Automobilindustrie orientieren sich also in erster Linie an der ISO 26262 und nicht an der IEC 61508.
Gemeinsam haben viele Normen im Bereich Funktionale Sicherheit, so Johannes Huth, dass sie eine „Art Framework“ für Funktionale Sicherheit vorgeben. „Es gibt dann ein Raster, mit dessen Hilfe man ausgehend vom Gefährdungs- oder Risikopotenzial ein Sicherheitsniveau 1, 2, 3 oder 4 definieren kann.“ Davon hänge wiederum ab, welche Maßnahmen Hersteller und Betreiber ergreifen müssen, um die Funktionale Sicherheit zu gewährleisten
So beschreibt die IEC 61508 vier Sicherheitsanforderungsstufen (Safety Integrity Levels, SIL). Mit steigendem SIL steigen die Anforderungen an die Entwurfs- und Testprinzipien.
Allerdings haben Normen in der Praxis ihre Grenzen, betont Johannes Huth. Schließlich könnten sie nicht jedes Detail vorgeben „Die Normen schreiben zum Beispiel Ausfallratenwerte für bestimmte Sicherheitsniveaus vor, die sich mithilfe von Bauteilkennwerten bestimmen lassen. Dann heißt es aber, Maßnahmen zu implementieren, die Ausfallerkennungen realisieren, und diese Maßnahmen sind von den eingesetzten Bauteilen, vor allem aber auch vom System, in das sie eingebaut sind, abhängig.“
Grundlegendes Vorgehen bei der Entwicklung elektronischer Systeme mit Sicherheitsverantwortung
Die Entwicklung elektronischer Systeme mit Sicherheitsverantwortung lässt sich in zwei große Phasen einteilen.
1. Planung
Am Anfang steht eine sorgfältige Planung der Entwicklung. Das schließt die Frage ein, welche Tests und Fehleranalysen durchgeführt werden.
2. Entwicklung
Für die Entwicklung ist es wichtig, Anforderungen an das System zu dokumentieren. „Dazu gehören kleine Anforderungen“, betont Johannes Huth, „nicht nur, dass ein Auto rollen soll, sondern auch, dass die Vorderreifen in einem bestimmten Winkel einschlagen, wenn das Lenkrad um 90 Grad nach links gedreht wird, oder dass die Innenbeleuchtung angeht, wenn die Tür aufgemacht wird.“ Erst durch detaillierte Formulierungen von Wenn-dann-Beziehungen werde das Verhalten des gesamten Systems messbar und testbar.
„So lassen sich direkte Verknüpfungen von Testfällen zu Anforderungen herstellen – bis es zu allen beschriebenen Anforderungen einen Testfall gibt. Ob dieser gut ist, muss man durch eine Verifikation herausfinden.“
TÜV NORD – Ihr Partner für berufliche Weiterbildungen
- Über 900 qualifizierte Referentinnen und Referenten geben ihr Know-how in über 520 verschiedenen Seminarthemen täglich an Sie weiter.
- Wir bieten Ihnen volle Flexibilität. Entscheiden Sie selbst, ob Sie an unserem OnlineCampus, einer Präsenzschulung oder an einer für Sie konzipierten Inhouse-Schulung teilnehmen möchten.
- Wir stehen für Qualität. Unsere Zertifikate und Bescheinigungen sind Qualitätssiegel für Sie und Ihr Unternehmen.
Unsere Seminar-Empfehlungen für Sie
Funktionale Sicherheit bei Maschinen nach DIN EN ISO 13849
Seminar zur Sicherheit von Maschinen: In der zweitägigen Veranstaltung erhalten Sie alle relevanten Informationen über die Wirkung der DIN EN ISO 13849 auf die Maschinenrichtlinie.
Unsere Referenten erläutern Ihnen außerdem die grundlegenden Inhalte und Anforderungen der Norm – auch im Hinblick auf Vorgaben der Maschinenrichtlinie und der damit verbundenen Aufgaben für die beteiligten Personen und Institutionen: Die DIN EN ISO 13849 spezifiziert die Erstellung von Sicherheitsfunktionen elektromechanischer, elektronischer, hydraulischer und pneumatischer Systeme.
Mit der ISO 26262 bekommen Sie als Hersteller oder Zulieferer ein Werkzeug an die Hand, mit dem es Ihnen gelingt, die Funktionale Sicherheit Ihrer Produkte vom Entwicklungsprozess bis zur Produktion sicherzustellen.
Mit der Teilnahme an der ISO 26262 Schulung weisen Sie nach, dass Sie auf dem aktuellen Wissensstand zum Thema „Funktionale Sicherheit für Kfz“ und den damit verwandten Themen sind. Auf dieser Basis und unter Anwendung der in der ISO 26262 festgehaltenen Vorgehensweisen, Anforderungen und Methoden wird es Ihnen gelingen, die Sicherheitsnachweise zu erbringen.
Die zunehmende Bedeutung der Funktionalen Sicherheit und deren Bewertung betrifft selbstverständlich auch bahntechnische Systeme. Komponenten-Hersteller und Zulieferer können dazu verpflichtet werden, einen Nachweis der Zuverlässigkeit und Sicherheit ihrer Produkte zu erbringen.
In Fehlern denken ist wichtig
Johannes Huth weist in seinen Schulungen für die TÜV NORD Akademie gerne darauf hin, „dass wir vonseiten der Funktionalen Sicherheit das Rad nicht neu erfinden. Wir erfinden keine Techniken und Maßnahmen zur Entwicklung sicherer Software, die in der Softwareentwicklung nicht bereits bekannt sind.“ Wichtig sei aber, diese Techniken und Maßnahmen gewissenhaft anzuwenden.
Außerdem empfiehlt der Experte, in Fehlern zu denken und genau zu überlegen: „Wie verhält sich das System, wenn dies oder jenes passiert?“ Wenn Entwickler:innen hier etwas übersehen, kann dies tragische Konsequenzen haben. Ein bekanntes Beispiel dafür ist ein tödlicher Unfall mit einem Tesla. Der Autopilot des Fahrzeugs hatte einen die Straße kreuzenden Lkw mit weiß gestrichener Seite gegen den Wolkenhimmel nicht erkannt.
Andere häufige Fehlerquellen seien falsche Berechnungen bei der Entwicklung von Software oder die Übernahme alter Software in ein neues System. Um solche Fehler im Rahmen von Tests zu erkennen, sei es wichtig, tief in das System hineinzublicken.
Funktionale Sicherheit ist das Resultat vieler Maßnahmen
In dem Maße, in dem anspruchsvolle Technik an Bedeutung gewinnt, steigt der Stellenwert Funktionaler Sicherheit. Dabei ist absolute Sicherheit nicht möglich. Aber durch gründliche Analysen und geeignete Maßnahmen lassen sich Gefahren durch Fehlfunktionen auf ein Mindestmaß reduzieren. Einschlägige Normen dienen dabei als Orientierung. Genauso wichtig ist es aber, sich immer wieder neu mit möglichen Fehlerquellen auseinanderzusetzen, selbst wenn diese im ersten Moment abwegig erscheinen. Denn letztlich verhindert Funktionale Sicherheit nicht nur finanzielle Schäden. Sie rettet auch Leben.
Ihr Ansprechpartner
Produktmanager Technische Sicherheit
Am Tüv 1, 30519 Hannover
Tel.: +49511 998-62269
Fax: +49511 998-62075
ksonntag@tuev-nord.de