Juni 2012
ICS 21.020 VDI-RICHTLINIEN
VEREIN Zuverlässigkeitsziele
DEUTSCHER Ermittlung, Überprüfung, Festlegung, Nachweis
INGENIEURE
Reliability goals
Determination, check, review, certificate
Former edition: 01/11 Draft, in German only
Frühere Ausgabe: 01.11 Entwurf, deutsch
Die deutsche Version dieser Richtlinie ist verbindlich.
Inhalt Seite
Vorbemerkung ......................................................... 2
Einleitung ................................................................. 2
1 Anwendungsbereich ......................................... 3
2 Normative Verweise .......................................... 3
3 Begriffe .............................................................. 3
4 Formelzeichen und Abkürzungen ................... 6
5 Grundlagen ........................................................ 7
6 Rechtliche Aspekte ......................................... 10
6.1 Produkthaftung......................................... 10
6.2 Schutzprinzip ........................................... 12
6.3 Vorsorgeprinzip ....................................... 12
7 Zuverlässigkeitsziele ermitteln ...................... 13
7.1 Allgemeines ............................................. 13
7.2 Ermittlung der Hauptziele ........................ 13
7.3 Ermittlung der Teilziele ........................... 15
7.4 Organisationsorientierte Ziele .................. 21
7.5 Kundenorientierte Ziele ........................... 26
7.6 Ziele aufgrund hoheitlicher
Regelungen .............................................. 28
7.7 Ziele nach dem Stand der
Technik .................................................... 30
7.8 Umgang mit Zielkonflikten ...................... 33
8 Zuverlässigkeitsziele validieren und
verifizieren ....................................................... 34
8.1 Allgemeines ............................................. 34
8.2 Validierung der Ziele ............................... 34
8.3 Verifikation der Ziele ............................... 35
Anhang Anwendungsbeispiele ......................... 36
A1 Einführung zu den nachfolgenden
Beispielen................................................. 36
A2 Zielermittlung für eine neue
Batterietechnologie .................................. 36
A3 Zielermittlung für ein Logiksystem
mit Software ............................................. 38
A4 Zielermittlung für eine Dienstleistung
(Personenbeförderung) ............................. 41
Schrifttum .............................................................. 44
VDI-Gesellschaft Produkt- und Prozessgestaltung (GPP)
Fachbereich Zuverlässigkeit
VDI-Handbuch Zuverlässigkeit
June 2012
VDI 4007
Ausg. deutsch/englisch
Issue German/English
The German version of this guideline shall be taken as authori-
tative. No guarantee can be given with respect to the English
translation.
Contents Page
Preliminary note ....................................................... 2
Introduction .............................................................. 2
1 Scope ................................................................. 3
2 Normative references........................................ 3
3 Terms and definitions ....................................... 3
4 Symbols and abbreviations .............................. 6
5 Fundamentals .................................................... 7
6 Legal aspects .................................................. 10
6.1 Product liability ........................................ 10
6.2 Protection principle .................................. 12
6.3 Precautionary principle............................. 12
7 Determining the reliability goals .................... 13
7.1 General ..................................................... 13
7.2 Determining the main objectives .............. 13
7.3 Determining the sub-goals........................ 15
7.4 Organisation-oriented objectives .............. 21
7.5 Customer-oriented objectives ................... 26
7.6 Goals owing to regulations laid down
by the State ............................................... 28
7.7 Objectives according to the state of
the art........................................................ 30
7.8 Handling goal conflicts ............................ 33
8 Validating and verifying
reliability goals ................................................ 34
8.1 General ..................................................... 34
8.2 Validation of the goals ............................. 34
8.3 Verification of the goals ........................... 35
Anhang Application examples .......................... 36
A1 Introduction to the following
examples ................................................... 36
A2 Determining the goal for a new
battery technology .................................... 36
A3 Goal determination for a logic system
with software ............................................ 38
A4 Goal determination for a service
(passenger transport) ................................ 41
Bibliography ........................................................... 44
–2– VDI 4007
Vorbemerkung
Der Inhalt dieser Richtlinie ist entstanden unter
Beachtung der Vorgaben und Empfehlungen der
Richtlinie VDI 1000.
Alle Rechte, insbesondere die des Nachdrucks, der
Fotokopie, der elektronischen Verwendung und der
Übersetzung, jeweils auszugsweise oder vollstän-
dig, sind vorbehalten.
Die Nutzung dieser VDI-Richtlinie ist unter Wah-
rung des Urheberrechts und unter Beachtung der
Lizenzbedingungen (www.vdi-richtlinien.de), die
in den VDI-Merkblättern geregelt sind, möglich.
Allen, die ehrenamtlich an der Erarbeitung dieser
VDI-Richtlinie mitgewirkt haben, sei gedankt.
Einleitung
An der Erstellung waren Fachleute aus der Auto-
mobiltechnik, der Bahntechnik, der Elektrotechnik,
der Kraftwerktechnik, der Luft- und Raumfahrt,
dem Schiffbau, der Wehrtechnik und entsprechen-
den Zulieferfirmen beteiligt. Diese Richtlinie stellt
eine richtungweisende, praktische Arbeitsunterlage
dar. Sie gibt Fachleuten die Gewissheit, sich an
einer anerkannten Regel der Technik zu orientieren
und danach zu handeln.
Für Produkte wird, entsprechend der vorgesehenen
Nutzung gefordert, dass die für den Einsatz erfor-
derlichen Bedingungen, z. B. Umweltbedingungen,
Umweltverträglichkeit, störungsfreier und sicherer
Betrieb, hohe Verfügbarkeit, Haltbarkeit und fest-
gelegte Lebensdauer sowie geringe Betriebskosten
erfüllt werden.
Entsprechend kann man je nach Branche und An-
wendungsart Zuverlässigkeit unterschiedlich tech-
nisch einordnen.
x Häufigkeit des Verlusts einer vorgesehenen
Funktion
(Stichwort: Ausfallwahrscheinlichkeit)
x zeitlicher Anteil der Funktionserfüllung
(Stichwort: Verfügbarkeit, Missionszuverläs-
sigkeit)
x Grad der Vermeidung unerwünschter Ereignisse
(Stichwort: Sicherheit, Risiko, Schadensaus-
maß)
Dabei kann Zuverlässigkeit im Sinne dieser Richt-
linie durch qualitative Begriffe oder durch quanti-
tative Vorgaben beschrieben werden.
Diese erforderlichen Bedingungen müssen bei der
Entwicklung des Produkts umgesetzt und während
des Lebenszyklus aufrechterhalten werden. Damit
dies gezielt erfolgt, ist es notwendig, die erforderli-
chen Bedingungen, Eigenschaften und Leistungen
Preliminary note
The content of this guideline has been developed in
strict accordance with the requirements and rec-
ommendations of the guideline VDI 1000.
All rights are reserved, including those of reprint-
ing, reproduction (photocopying, micro copying),
storage in data processing systems and translation,
either of the full text or of extracts.
The use of this guideline without infringement of
copyright is permitted subject to the licensing con-
ditions specified in the VDI Notices (www.vdi-
richtlinien.de).
We wish to express our gratitude to all honorary
contributors to this guideline.
Introduction
Technical experts from automobile engineering,
railway engineering, electrical engineering, power
engineering, aviation and aerospace, shipbuilding,
defence and the corresponding vendor companies
were involved in the generation of this directive.
This directive represents a pioneering, practical
work documentation. It gives technical experts the
certainty of orientation according to a recognised
rule of engineering and acting in accordance with it.
For products, according to their envisaged use, the
requirement is that the conditions required for their
deployment, e.g. ambient conditions, environment-
friendliness, fault-free and safe operation, high
availability, durability and defined service life as
well as low operating costs are fulfilled.
Accordingly, depending on the industry and the
application type, reliability can be classified differ-
ently technically.
x frequency of loss of an envisaged function
(keyword: probability of failure)
x proportion of time of function fulfilment
(keyword: availability, mission reliability)
x degree of avoidance of undesired events
(keyword: safety, risk, extent of damage)
Here, reliability in the meaning of this directive
can be described by qualitative concepts or through
quantitative specifications.
These required conditions must be implemented
during the development of the product and sus-
tained during its life cycle. In order that this should
take place in a focused manner, it is necessary that
the required conditions, properties and perform-

vorher festzuschreiben und als Ziele den entspre-
chenden Prozessen (z. B. in der Entwicklung, der
Fertigung, dem Betrieb und der Entsorgung) vorzu-
geben. In der vorliegenden Richtlinie wird aufge-
zeigt, wie Zuverlässigkeitsziele zu ermitteln sind.
Der Begriff „Zuverlässigkeit“ wird in dieser Richt-
linie für Funktionszuverlässigkeit, Instandhaltbar-
keit, Sicherheit, Verfügbarkeit einschließlich
Mensch – Organisation – Technik – Umwelt ver-
wendet. Diese Begriffe werden in der Richtlinie,
wenn Unterscheidungen erforderlich sind, explizit
ausgewiesen und erläutert.
1 Anwendungsbereich
Diese VDI-Richtlinie ist branchenunabhängig an-
wendbar. Sie ist eine Ergänzung und Vertiefung
der Richtlinie VDI 4003, die einen allgemeinen
Rahmen für das Organisieren, Steuern und Leiten –
im Sinne eines Managements – von zuverlässig-
keitsorientierten Aktivitäten beschreibt. Damit wird
insgesamt die Entwicklung und Realisierung von
zuverlässigen Produkten entscheidend unterstützt.
Zweck dieser Richtlinie ist die Beschreibung und
Darstellung von Verfahren und möglichen Vorge-
hensweisen zur Ermittlung, Überprüfung, Fest-
legung und zum Nachweis von Zuverlässigkeits-
zielen. Sie unterstützt die Entwicklung, die Her-
stellung, den Betrieb und die Entsorgung eines
Produkts (auch System, Prozess etc.) durch praxis-
bezogene Arbeitsanleitungen.
2 Normative Verweise
Das folgende zitierte Dokument ist für die Anwen-
dung dieser Richtlinie erforderlich:
VDI 4003:2007-03 Zuverlässigkeitsmanagement
3 Begriffe
Für die Anwendung dieser Richtlinie gelten die
folgenden Begriffe:
EEE-Produkte
Produkte, deren Hauptbestandteile aus der Elektro-
technik, Elektronik und Elektromechanik bestehen.
Fail safe (sicher bei Ausfall)
Konstruktionseigenschaft einer Einheit, die verhin-
dert, dass deren Ausfälle zu kritischen Fehlzustän-
den führen. [IEV 191-15-04, sicher bei Ausfall]
Festlegung
Werte, Maßnahmen, Verfahrensanweisungen u. Ä.,
deren Einhaltung im Rahmen der Betrachtungsein-
heit (Produkt, Vertrag) festzulegen sind und/oder
von extern gefordert werden.
VDI 4007 –3–
ances should be defined in advance and specified
as objectives to the corresponding processes (e.g.
in the development, manufacturing, operation and
disposal). How these reliability goals are to be
determined is shown in this directive.
The term “Reliability” is used in this guideline for
function reliability, maintainability, safety, avail-
ability including man – organisation – technology
– environment. When differentiations are required,
these terms are used explicitly and explained in the
guideline.
1 Scope
This VDI Guideline is applicable regardless of the
industry. It is a supplement and in-depth treatment
of the guideline VDI 4003, which describes a gen-
eral framework for organising, steering and con-
trolling – in the meaning of management – reliabil-
ity-oriented activities. In this manner, overall, the
development and implementation of reliable prod-
ucts is given decisive support.
The purpose of this guideline is the description and
depiction of methods and possible procedures for
the determination, checking, reviewing and certifi-
cation of reliability goals. It supports the develop-
ment, the preparation, the operation and the dis-
posal of a product (also system, process, etc.)
through practically oriented work instructions.
2 Normative references
The following referenced document is indispensa-
ble for the application of this guideline:
VDI 4003:2007-03 Reliability management
3 Terms and definitions
For the purposes of this guideline, the following
terms and definitions apply:
EEE products
Products whose main components are electronic,
electrical or electro-mechanical in nature.
Fail safe (safe upon failure)
Design property of a unit that prevents its failures
from leading to critical fault states.
[adapted from IEV 191-15-04]
Provision
Values, measures, procedure instructions and the
like, compliance with which, in the framework or
the unit under consideration (product, contract) is
to be defined and/or is required from the outside.
–4– VDI 4007
Funktionszuverlässigkeit
Fähigkeit einer Betrachtungseinheit, eine geforder-
te Funktion unter gegebenen Bedingungen für ein
gegebenes Zeitintervall zu erfüllen.
Anmerkung: Die Funktionszuverlässigkeit kann einerseits
qualitativ beschrieben oder andererseits quantitativ als Über-
lebenswahrscheinlichkeit ermittelt werden.
Hauptziel
Vorgabe zur Zuverlässigkeit für das Produkt, die
folgende Merkmale beschreibt:
x Zielinhalt (z. B. Kenngröße)
x Zielrahmen (z. B. Zeitdauer, Umwelt, Benutzer-
kreis)
x Erfüllungsgrad (z. B. Vertrauensbereich)
Produkt
Eindeutig beschriebene, lieferbare, aus Hardware-
und/oder Software-Anteilen zusammengesetzte
Geräte, Systeme, Verfahren, Prozesse, Anlagen
und Dienstleistungen, die als abgegrenzte Einheit
(Betrachtungseinheit) aufgefasst werden.
Anmerkung: „System“ ist synonym zum „Produkt“ und wird
sprachlich weitergehend verstanden. Jedes System ist hierar-
chisch gegliedert und lässt sich in seine Einzelteile aufteilen.
Beispiel: Fahrzeug Ÿ Fahrzeugteilsysteme (Bremssystem) Ÿ
Scheibenbremse Ÿ Bremsklötze. [VDI 4003]
Prüfung
Technischer Vorgang, der aus dem Ermitteln eines
oder mehrerer Merkmale eines Produkts, eines
Prozesses oder einer Dienstleistung nach einem
festgelegten Verfahren (Regel) besteht.
Risiko
Kombination aus der Wahrscheinlichkeit, mit der
ein Schaden auftritt und dem Ausmaß dieses Scha-
dens. [DIN EN 61508-4]
Anmerkung: Tolerierbares Risiko: Risiko, das basierend auf
den aktuellen gesellschaftlichen Wertvorstellungen in einem
gegebenen Zusammenhang tragbar ist.
Sicherheits-Integritätslevel (SIL)
Vier diskrete Stufen zur Spezifizierung der Anfor-
derung für die Sicherheitsintegrität von Sicher-
heitsfunktionen, die dem E/E/PE-sicherheitsbe-
zogenen System zugeordnet werden, wobei der
Sicherheits-Integritätslevel 4 die höchste Stufe der
Sicherheitsintegrität und der Sicherheits-Integri-
tätslevel 1 die niedrigste darstellt. [in Anlehnung
an DIN EN 61508 und DIN EN 61511]
Function reliability
Ability of a unit under consideration to fulfil a
required function under given conditions for a
given time interval.
Note: The function reliability can, on the one hand, be de-
scribed qualitatively or on the other, determined quantitatively
as a probability of survival.
Main goal
Specification for reliability for the product, which
describes the following attributes:
x goal content (e.g. characteristic quantity)
x goal framework (e.g. duration, environment,
user group)
x degree of fulfilment (e.g. confidence range)
Product
Clearly described, deliverable devices, systems,
procedures, processes, plants and services that
comprise hardware and/or software components
being viewed as a delimited unit (unit under con-
sideration).
Note: “System” is synonymous with the “product” and is
generally understood as such. Every system is hierarchically
structured and can be divided into its individual components.
Beispiel: Vehicle Ÿ vehicle part systems (brake system) Ÿ
disk brake Ÿ brake pad. [VDI 4003]
Testing
Technical process that consists of determining one
or more attributes of a product, a process or a ser-
vice according to a pre-specified method (rule).
Risk
Combination of the probability of a damage occur-
ring and the extent of this damage.
[DIN EN 61508-4]
Note: Tolerable risk: Risk that can be taken, based on the
current societal value considerations in a given context.
Safety integrity level (SIL)
Four discrete stages for specifying the requirement
for the safety integrity of safety functions, which
are assigned to the E/E/PE-safety-related system,
with the safety integrity level 4 representing the
highest level of safety integrity and the safety in-
tegrity level 1 the lowest. [adapted from DIN
EN 61508 and DIN EN 61511]

Spezifikation
In der Spezifikation sind die Vorgaben für das zu
liefernde Produkt festgelegt (z. B. Funktion, Eigen-
schaften, Einsatzbedingungen).
Anmerkung: Sie kann vom Kunden oder der Organisation
erstellt werden. Die Spezifikation ist Bestandteil des Vertrags
zwischen Kunde und Organisation (z. B. Lastenheft von der
Organisation, Pflichtenheft vom Lieferanten). [VDI 4003]
Teilziel
Vorgabe zur Zuverlässigkeit für Betrachtungsein-
heiten (Systeme, Geräte, Komponenten, Bauteile)
unterhalb des Hauptziels.
Validierung
Die Ermittlung und Prüfung, dass die Anforderun-
gen an das Produkt für den Verwendungszweck
genügend korrekt und vollständig spezifiziert sind.
[VDI 4003]
Verfügbarkeit
Fähigkeit einer Einheit, zu einem gegebenen Zeit-
punkt oder während eines gegebenen Zeitintervalls
eine geforderte Funktion unter gegebenen Bedin-
gungen erfüllen zu können.
Anmerkung: Die Verfügbarkeit kann einerseits qualitativ
beschrieben oder andererseits quantitativ als Wahrscheinlich-
keit ermittelt (oder angegeben) werden. [in Anlehnung an
IEC 60050-191]
Verifizierung
Nachweis, dass das Produkt der Spezifikation ent-
spricht. [VDI 4003]
Zuverlässigkeit
Die Wahrscheinlichkeit, dass eine Betrachtungs-
einheit die erforderliche Funktion unter gegebenen
Bedingungen über einen gegebenen Zeitraum er-
füllt. [IEC 60050-191]
Zuverlässigkeitsforderungen
Zu erreichende und nachzuweisende Zuverlässig-
keitsmerkmale, die Teil der Qualitätsforderung
sind und im Zuge der Zuverlässigkeitsplanung und
im Lebenszyklus eines Produkts im Allgemeinen
mehrere Konkretisierungsstufen durchlaufen.
[in Anlehnung an VDI 4003]
Zuverlässigkeitsmanagement
Führt, lenkt und koordiniert alle Zuverlässigkeits-
aktivitäten in der Organisation. [VDI 4003]
Zuverlässigkeitsplan
Dokument, in dem die spezifischen Zuverlässig-
keitsverfahren, Mittel, zeitlichen und funktionellen
VDI 4007 –5–
Specification
The requirements for the product to be supplied are
determined in the specification (e.g. function, prop-
erties, deployment conditions).
Note: It can be generated by the customer or the organisation.
The specification is a part of the contract between the cus-
tomer and the organisation (e.g. customer requirement specifi-
cation of the organisation, system development specification
of the supplier). [VDI 4003]
Partial goal
Specification for the reliability for units under con-
sideration (systems, instruments, components, parts)
below the main goal.
Validation
The determination and checking that the require-
ments for the product have been specified suffi-
ciently correctly and completely for the intended
purpose. [VDI 4003]
Availability
Ability of a unit to be able to fulfil a required func-
tion at a given point in time or during a given time
interval under the given conditions.
Note: The availability can, on the one hand, be described
qualitatively or on the other hand, determined quantitatively
(or given) as a probability. [adapted from IEC 60050-191]
Verification
Certification that the product conforms to the
specification. [VDI 4003]
Reliability
The probability that a unit under consideration
fulfils the required function under the given condi-
tions over a given period of time. [IEC 60050-191]
Reliability requirements
Reliability features that have to be reached and
certified and are a part of the quality requirement
and in general, in the course of the reliability plan-
ning and in the life-cycle of a product, go through
several concretisation stages.
[adapted from VDI 4003]
Reliability management
Manages, steers and coordinates all the reliability
activities in the organisation. [VDI 4003]
Reliability plan
Document in which the specific reliability proc-
esses, media, time-related and functional sequences
–6– VDI 4007

Abfolgen von Tätigkeiten für ein bestimmtes Pro-
dukt dargelegt sind. [VDI 4003]
Zuverlässigkeitsprogramm
Darstellung der Organisationsstruktur, Verantwort-
lichkeiten, Verfahren, Prozesse und Mittel (z. B.
Personal, Werkzeuge, Schulung), die dafür ver-
wendet werden, die Zuverlässigkeitsaktivitäten für
ein Produkt in allen Lebenszyklusphasen zu leiten
und zu lenken, einschließlich regelmäßiger Re-
views bzw. Audits. [VDI 4003]
Zuverlässigkeitsziel
Zuverlässigkeitsangabe für eine Betrachtungsein-
heit, bei der für eine Zuverlässigkeitskenngröße
eine Zielvorstellung vorgegeben ist. [DIN 40041]
of activities for a particular product are depicted.
[VDI 4003]
Reliability program
Depiction of the organisation structure, responsi-
bilities, methods, processes and means (e.g. per-
sonnel, tools, training), which are used to direct
and steer the reliability activities for a product in
all the life cycle phases including regular reviews
and/or audits. [VDI 4003]
Reliability goal
Reliability specification for a unit under considera-
tion, in the case of which a goal is specified for a
reliability parameter. [DIN 40041]

4 Formelzeichen und Abkürzungen 4 Symbols and abbreviations

Formelzeichen Symbols
In dieser Richtlinie werden die nachfolgend aufge- This guideline contains the following symbols:
führten Formelzeichen verwendet:
Formel- Benennung Symbol Term
zeichen
F(t) Failure Probability (Ausfallwahrscheinlich- F(t) failure probability, F(t) = 1 – R(t)
keit, F(t) = 1 – R(t))
MTBF Mean Time Between Failure MTBF mean time between failure
R(t) Reliability, (Zuverlässigkeit, Überlebens- R(t) reliability, (reliability, probability of
wahrscheinlichkeit) survival)
Ȝ(t) Ausfallrate Ȝ(t) failure rate

Abkürzungen Abbreviations
In dieser Richtlinie werden die nachfolgend aufge- This guideline contains the following abbrevia-
führten Abkürzungen verwendet: tions:
E/E/PE Elektrische, Elektronische, Programmier- E/E/PE electrical, electronic, programmable elec-
bare Elektronische Systeme tronic systems
EWR Europäischer Wirtschaftsraum EEA European Economic Area
FMEA Failure Mode and Effect Analysis FMEA failure mode and effect analysis
FTA Fault Tree Analysis (Fehlerbaumanalyse) FTA fault tree analysis
SIL Sicherheits-Integritätslevel SIL safety integrity level

5 Grundlagen
Die Ermittlung und Festlegung des Hauptziels wird
im Regelfall durch vier Einflussgrößen bestimmt:
x Orientierung an der Eigenverantwortung (siehe
Abschnitt 7.4)
x Orientierung am Kunden (siehe Abschnitt 7.5)
x Orientierung am Gesetz und den Anordnungen
der Behörde (siehe Abschnitt 7.6)
x Orientierung am Stand der Technik (siehe Ab-
schnitt 7.7)
Das Hauptziel ist so früh wie möglich festzulegen,
z. B. bei einer Neuentwicklung während der Studi-
en-, Definitions- und/oder Vorentwicklungsphase,
bei einer Modifikation vor der Realisierung dersel-
ben.
Es kann beispielsweise abgeleitet werden aus den
Ergebnissen von Marktanalysen, den Anforderun-
gen des Kunden, den Behörden oder dem Mana-
gement der Organisation, z. B. zur Vermeidung von
Gewährleistungsansprüchen.
Die Ermittlung von Zuverlässigkeitszielen ist die
wichtigste Voraussetzung, um zuverlässige Pro-
dukte zu erzeugen. Die Ermittlung kann „eigenbe-
stimmt“, also im Interesse und der Verantwortung
der Organisation selbst sein, oder „fremdbe-
stimmt“, also im Interesse und der Verantwortung
extern der Organisation. Im Bereich der eigenbe-
stimmten Ermittlung hat die Organisation die Mög-
lichkeit, das Zuverlässigkeitsziel im Rahmen der
fremdbestimmten Randbedingungen festzulegen.
Im Bereich der fremdbestimmtem Ermittlung han-
delt es sich meist um Bestimmungen oder Forde-
rungen, die von der Organisation in Zuverlässig-
keitsziele umgesetzt werden müssen.
Dabei ist zu untersuchen, ob die Forderung durch
die Gesetzeslage und die nachgeschalteten Anord-
nungen (fremdbestimmt) bereits festgelegt ist (z. B.
Luftfahrt, Kerntechnik) und inwieweit ein Auf-
traggeber (Kunde) der Organisation die Zuverläs-
sigkeitsforderungen vorgibt.
Ein Produkt besteht meist aus mehreren Systemen,
in denen Geräte die verschiedenen Funktionen
ausführen. Diese wiederum enthalten oftmals eine
Vielzahl von Komponenten zur Realisierung dieser
Funktionen. Damit ist für ein Produkt eine Struktur
von Einheiten auf verschiedenen Funktionsebenen
gegeben (siehe Bild 1).
Ein erforderliches oder gewünschtes Zuverlässig-
keitsziel (Hauptziel) auf oberster Produktebene ist
demnach auf niedrigere Funktionsebenen aufzutei-
len. Damit sind die Zuverlässigkeitsforderungen
VDI 4007 –7–
5 Fundamentals
The determination and definition of the main goal
is generally shaped by four influencing factors:
x orientation to one’s own responsibility (see Sec-
tion 7.4)
x orientation to the customer (see Section 7.5)
x orientation to the law and the directives of the
authorities (see Section 7.6)
x orientation to the state of the art (see Sec-
tion 7.7)
The main goal should be defined as early as possi-
ble, e.g. in the case of a new development, during
the study, definition and/or pre-development phase,
in case of a modification, before its implementa-
tion.
For example, it can be derived from the results of
the market analyses, the requirements of the cus-
tomer, the governmental authorities or the man-
agement of the organisation, e.g. for avoiding war-
ranty claims.
The determination of reliability goals is the most
important precondition to produce reliable prod-
ucts. The determination can be “self-determined”,
i.e. in the interest and the responsibility of the or-
ganisation itself, or “externally determined”, i.e.
with the interest and the responsibility being exter-
nal to the organisation. In the area of self-
determined determination, the organisation has the
option to define the reliability goal in the frame-
work of externally defined boundary conditions.
In the area of the externally defined determination,
what is mostly involved are regulations or re-
quirements that have to be converted by the or-
ganisation into reliability goals.
Here, it is necessary to examine whether the re-
quirement has already been defined by the legal
conditions and the downstream arrangements (ex-
ternally determined) (e.g. aviation, nuclear tech-
nology); and to what extent a buyer (customer)
lays down the reliability requirements to the or-
ganisation.
A product usually consists of several systems in
which instruments complete the various functions.
These in turn often contain a large number of com-
ponents for the implementation of these functions.
In this manner, for a product, a structure of units
already exists at various function levels (see Fig-
ure 1).
Accordingly, a required or desired reliability goal
(main goal) at the uppermost product level should
be distributed to lower function levels. In this
manner, the reliability requirements for the indi-
–8– VDI 4007
als Teilziele (Sollziele) für die einzelnen Geräte
und Komponenten bekannt.
Die Zuweisung der Teilziele innerhalb eines Pro-
dukts erfolgt im Regelfall top-down. Das heißt aus
dem Hauptziel für das Produkt werden die Teilzie-
le den einzelnen Einheiten des Produkts zugewie-
sen. Zu diesem Prozess wird das Produkt in seine
Systeme, die jeweils darin enthaltenen Geräte und
die in den jeweiligen Geräten enthaltenen Kompo-
nenten systematisch und funktional zerlegt. Dabei
bewährt sich die Anwendung von logischen Opera-
toren (Baumstruktur), wie sie im Fehlerbaum, in
FMEA-Programmen, in Blockdiagrammen und
anderen vorkommen.
Diese Aufteilung ist erforderlich, da meist ver-
schiedene Organisationen an der Produktentste-
hung beteiligt sind. Alle Beteiligten müssen wis-
sen, welches Teilziel für sie gefordert bzw. spezifi-
ziert ist, damit für das Produkt insgesamt das
Hauptziel erreicht wird. Dieser Prozess kann auch
als „Budgetierung der Zuverlässigkeit“, in Anleh-
nung an das Prinzip der Aufstellung eines Haus-
haltsplans verstanden werden.
Nachdem die Teilziele spezifiziert sind, werden
diese in der Entwurfs- und Herstellungsphase des
Produkts umgesetzt. Im Regelfall ergibt sich dabei,
dass nicht alle Teilziele entsprechend dem Stand
der Technik spezifikationsgerecht umgesetzt wer-
den können (Istwerte). Es können sich somit Ab-
weichungen von Soll zu Ist ergeben.
Im nachfolgenden Nachweis- oder Verifikations-
prozess der Zuverlässigkeit ist mit den tatsächlich
„eingebauten“ Teilzielen „hochzurechnen“ (Stich-
Bild 1. Schematische Darstellung des Ermittlungs- und Verifikationsprozesses innerhalb eines Produkts
vidual instruments and components are known as
sub-goals (set goals).
The assignment of the sub-goals within a product
usually takes place top-down. This means that
from the main goal for the product, the sub-goals
are assigned to the individual units of the product.
For this process, the product is broken down into
its systems, the devices present in it, and the com-
ponents present in those devices, from a systems
and functions standpoint. Here, the use of logical
operators (tree structure), such as occur in the fault
tree, in FMEA programs, in block diagrams and
others has proven itself.
This distribution is required since mostly, various
organisations are involved in the creation of the
product. All the participants involved must know
which sub-goal has been demanded or specified for
them, so that the main goal overall is reached for
the product. This process can also be understood as
the “budgeting of the reliability”, on the basis of
the creation of a budget plan.
After the sub-goals have been specified, they are
implemented in the design and manufacturing
phase of the product. Generally, what happens here
is that not all the sub-goals can be implemented to
specifications according to the state of the art (ac-
tual values). There can thus be deviations from the
set value to the actual value.
In the following certification or verification pro-
cess of the reliability, “extrapolation” is to be car-
ried out with the actually “installed” sub-goals

wort „Aggregation“). Es wird nachgewiesen, dass
mit den Teilzielen das ursprünglich festgelegte
Hauptziel erreicht wird. Dies geschieht üblicher-
weise mit der in der Zuverlässigkeitstechnik be-
währten Modellierung, z. B. Fehlerbaumanalyse
(FTA), Markov-Modell oder Kombinationen von
Modellierungen.
Bild 1 soll die beiden Prozesse, Zuweisung der
Teilziele aus dem Hauptziel und die Verifikation
des Hauptziels aus den Teilzielen, schematisch
darstellen.
Die Praxis zeigt Beispiele, dass Zuverlässigkeits-
ziele nicht klar und eindeutig genug definiert und
beschrieben sind und die Art des Nachweises oft-
mals nicht angesprochen ist. Dies führt im Regel-
fall zu aufwendigen Geschäfts- bzw. Korrekturpro-
zessen, manchmal auch zu einem Gerichtsverfah-
ren. Erschwerend kommt hinzu, dass in allen Pro-
dukten die Zuverlässigkeit mehr oder weniger zeit-
abhängig ist und deshalb auch dazu Festlegungen
erforderlich sind.
In den nachfolgenden Abschnitten wird darauf
näher eingegangen.
Es gibt Zielkonflikte, da die Gewichtung der obi-
gen Gesichtspunkte subjektiv ist und bei allen zu-
verlässigkeitstechnischen Lösungen auch die Kos-
ten bedeutsam sind. Zur Bewertung der zuverläs-
sigkeitstechnischen Lösungen sind die Kosten über
den Lebenszyklus heranzuziehen, da sich ein zu-
verlässiges Produkt erst im Betrieb mit niedrigen
Betriebs- und Instandhaltungskosten bewährt, je-
doch möglicherweise höhere Fertigungskosten
erzeugt.
Figure 1. Schematic depiction of the determination and verification process within a product
VDI 4007 –9–
(keyword “aggregation”). It is proved that the orig-
inally defined main goal is reached with the sub-
goals. This normally takes place with the model-
ling that has proven itself in reliability engineering
e.g. fault tree analysis (FTA), Markov model or a
combination of modellings.
Figure 1 schematically shows the two processes,
assignment of the sub-goals from the main goal
and the verification of the main goal from the sub-
goals.
It has been seen in actual practice that reliability
goals are not defined and described clearly and
unambiguously enough and the type of certifica-
tion is often not discussed. Usually, this results in
tedious business or correction processes, some-
times even in legal proceedings. What makes
things even more difficult is that in all the prod-
ucts, the reliability is more or less time-dependent
and therefore, definitions are required in that re-
gard as well.
This is treated in greater detail in the following
sections.
There are goal conflicts, since the weightage of the
aforementioned factors is subjective and in all
reliability engineering solutions, the costs are sig-
nificant. The costs across the life cycle have to be
incorporated in the evaluation of the reliability
engineering solutions, because a reliable product
proves itself only in operation with low operating
and maintainability costs, but possibly generates
higher manufacturing costs.
– 10 – VDI 4007
6 Rechtliche Aspekte
Das Zuverlässigkeitsziel und damit die Sicherheit
von Produkten sind in vielfältiger Weise im Rechts-
raum angesprochen und teilweise verbindlich ver-
ankert. Aus dieser weitreichenden Verankerung
werden hier drei Bereiche aus Ingenieurssicht kurz
herausgegriffen und mit wesentlichen Aussagen
dargestellt.
6.1 Produkthaftung
Produkthaftung ist die Verantwortung für die aus
mangelhaften Produkten resultierenden Folgen, weil
x der Käufer das mangelhafte Produkt nicht ver-
wenden kann oder will und es deshalb nachge-
bessert oder ersetzt haben, zurückgeben, oder
seinen Minderwert vergütet haben will (Fall-
gruppe 1);
x dem Käufer wegen des Mangels und in seiner
Folge weitere Kosten und Schäden (Mangelfol-
gekosten) entstehen (Fallgruppe 2);
x durch den Mangel des Produkts ein anderer
(„Dritter“) oder der Käufer selbst an seiner Ge-
sundheit oder seinem Eigentum geschädigt wird
(Fallgruppe 3).
Die Fallgruppen (1) und (2) betreffen die vertragli-
che Produkthaftung, die Fallgruppe (3) die gesetz-
liche oder außervertragliche Produkthaftung.
6.1.1 Vertragliche Produkthaftung
Die vertragliche Produkthaftung setzt vertragliche
Verbindungen zwischen dem „Schädiger“ und dem
Geschädigten voraus. Hat das Produkt nicht die
vertraglich geschuldeten oder die üblichen und zu
erwartenden Eigenschaften, liegt ein Sachmangel
vor. Die vertragliche Produkthaftung gleicht diesen
Mangelschaden (Minderwert des Produkts) aus
und berechtigt den Käufer zur Nacherfüllung sowie
gegebenenfalls zum Rücktritt oder zur Kaufpreis-
minderung. Hat der Verkäufer zudem seine ver-
tragliche Pflicht schuldhaft verletzt oder eine Ga-
rantiezusage nicht eingehalten, kann der Käufer
daneben den daraus resultierenden Schaden an
seinem weiteren Vermögen (Mangelfolgeschaden)
ersetzt verlangen.
6.1.2 Außervertragliche Produkthaftung
Die außervertragliche Produkthaftung hat ihre
Grundlagen
in der verschuldensunabhängigen Haftung nach
dem Produkthaftungsgesetz vom 15.12.1989
(ProdHaftG), das auf der EG-Richtlinie 85/374
EWG vom 30.07.1985 beruht,
x in der verschuldensabhängigen Haftung nach
§ 823 Abs. 1 BGB, daher „BGB-Produkthaftung“
sowie
6 Legal aspects
The reliability goal and hence the safety of prod-
ucts have been discussed in many ways in the legal
domain and to some extent, are entrenched in a
binding manner. From this wide-ranging en-
trenchment, three areas have been selected here
from an engineering perspective and discussed in
terms of the essentials.
6.1 Product liability
Product liability is the responsibility for the conse-
quences resulting from defective products, because
x the buyer cannot or does not want to use the
defective product and would therefore want it to
be repaired or replaced, or returned, or be com-
pensated for its reduced value (case group 1);
x the buyer suffers additional costs and damage
owing to the defect and its consequences (con-
sequential costs owing to a defect) (case group 2);
x owing to the defect of the product, another
(“third party”) or the buyer himself suffers harm
to his health or damage to his property (case
group 3).
Case groups (1) and (2) relate to the contractual
product liability, case group (3) to the legal or ex-
tra-contractual product liability.
6.1.1 Contractual product liability
The contractual product liability requires contrac-
tual connections between the “damager” and the
“damaged”. If the product does not have the con-
tractually owed or the normal properties that might
be expected, there is a material defect. The con-
tractual product liability compensates this damage
due to defects (reduced value of the product) and
entitles the buyer to replenishment as well as – if
required – to withdraw from the contract or to re-
duce the purchase price. In addition, if the seller
has culpably violated his contractual obligation or
not complied with a guaranteed assurance, the
buyer can also demand compensation for the resul-
tant damage to his other property (consequential
harm caused by a defect).
6.1.2 Extra-contractual product liability
The extra-contractual product liability has its foun-
dation
in the culpability-independent liability accord-
ing to the product liability act of 15 December
1989 (ProdHaftG), that is based on the EC Di-
rective 85/374 EEC dated 30 July 1985,
x in the culpability-independent liability accord-
ing to § 823 Section 1 BGB (German Civil
Code), hence “BGB product liability” as well as

x in speziellen Sonder- und Schutzgesetzen (bei-
spielsweise Gentechnikgesetz (GenTG), Arz-
neimittelgesetz (AMG), Strafgesetzbuch (StGB).
Grundsätzlich werden nur Sach- und Personen-
schäden ersetzt, die durch das mangelhafte Produkt
verursacht wurden, nicht dagegen der Minderwert
des mangelhaften Produkts selbst. Schäden am
sonstigen Vermögen (z. B. vergebliche Aufwen-
dungen, entgangene Gewinne) werden nur ersetzt,
wenn ein speziell zum Schutz dieses Vermögens
ergangenes Gesetz verletzt wurde.
Ersatzpflichtig ist die Organisation, die das man-
gelhafte Produkt in Verkehr gebracht hat. Dies
kann der tatsächliche Produzent sein oder der Her-
steller von Komponenten sowie jeder, der sich
durch Anbringen seines Kennzeichens als solcher
ausgibt. Nach dem ProdHaftG ist Hersteller auch,
wer das fehlerhafte Produkt von außerhalb des
EWR importiert hat oder seinen Vorlieferanten auf
Anfrage binnen Monatsfrist nicht benennt.
Ein Produkt ist fehlerhaft, wenn es nicht diejenige
Sicherheit bietet, die unter Berücksichtigung aller
Umstände berechtigterweise erwartet werden kann.
Das Produkt muss hinsichtlich Konstruktion, Fab-
rikation und Instruktion (Anleitung) dem beim
Inverkehrbringen bestehenden und objektiv er-
mittelbaren aktuellen Stand von Wissenschaft und
Technik und den anerkannten Regeln des Faches
entsprechen. Die Serienproduktion darf erst aufge-
nommen werden, wenn die Entwicklung des Pro-
dukts erprobt ist. Nach dem ProdHaftG haftet der
Hersteller nur dann nicht, wenn der Fehler nach
dem Stand von Wissenschaft und Technik beim
Inverkehrbringen nicht erkannt werden konnte.
Außerdem haftet er nicht für Sachschäden am ge-
werblich genutzten Eigentum.
Anders als nach dem ProdHaftG haftet der Herstel-
ler bei der BGB-Produkthaftung auch für Sach-
schäden am gewerblichen Eigentum. Der Herstel-
ler muss seinen Betrieb so einrichten und organi-
sieren, dass Fehler ausgeschaltet und Gefahren
vermieden werden, soweit dies zumutbar und nach
dem Stand von Wissenschaft und Technik möglich
ist. Die Rechtsprechung hat hierzu vier Fallgrup-
pen von Verkehrssicherungspflichten entwickelt.
Danach haftet der Hersteller bei fehlerhafter Kon-
struktion, Fabrikation und Instruktion, er haftet für
die unterlassene Produktbeobachtung im Markt
und – bei entsprechender Gefahrenlage – auch für
den unterlassenen Rückruf. Allerdings haftet der
Hersteller nur, wenn er bzw. der zuständige Mit-
arbeiter schuldhaft gehandelt hat, das heißt für
VDI 4007 – 11 –
x in special Special and Protection Acts (for ex-
ample: German Act on Genetic Engineering
(GenTG), German Medicines Act (AMG),
German Penal Code (StGB)).
Basically, only such material damage or harm to
persons are compensated, which were caused by
the defective product but not the reduced value of
the defective product itself. Damages to other as-
sets (e.g. compensation for expenses incurred, lost
profits) are only compensated if a specific law
enacted for protecting these assets was violated.
The manufacturer who has launched the product is
liable for the compensation. This can be the actual
manufacturer or the manufacturer of components
as well as anyone who declares himself as the
manufacturer by affixing his logo. According to
the German Product Liability Law (ProdHaftG),
anyone who has imported a defective product from
outside the EEA, or has not named his supplier
upon inquiry within a period of one month is also
considered to be the manufacturer.
A product is defective if it cannot offer the safety
that can be reasonably expected if all the factors
are considered. With regard to design, fabrication
and instructions, the product, when it is launched,
must conform to the state of the art of science and
technology that exists and can be objectively de-
termined and also conform to the recognised rules
of the technical discipline. The mass production
may only be started when trials have been carried
out on the development of the product. According
to the German Product Liability Law (ProdHaftG),
the manufacturer is not liable only where the fault
could not have been recognised according to the
state of the art of science and technology at the
time the product was launched. In addition, he is
not liable for material damage to industrially used
property.
Differently from what is the case with the German
Product Liability Law (ProdHaftG), the manufac-
turer is also liable, under the German Civil Code,
Product Liability (BGB), for material damage to
industrial property. The manufacturer must set up
and organise his operations in such a manner that
errors can be eliminated and dangers avoided, to
the extent that this is reasonable, and possible ac-
cording to the state of the art of science and tech-
nology. The jurisprudence has developed four case
groups of legal duty to maintain safety in this con-
text. According to it, the manufacturer is liable for
defective design, fabrication and instruction; he is
liable for omission of product observation in the
market and – in case of such a dangerous situation
– also for failure to recall. However, the manufac-
– 12 – VDI 4007
ein-malige „Ausreißer“ wird im Gegensatz zum
ProdHaftG nicht gehaftet.
6.2 Schutzprinzip
Das Schutzprinzip ist der Auftrag an den Gesetz-
geber und die Behörden dafür zu sorgen, dass
durch industrielle und gewerbliche Anlagen (Pro-
dukte) keine schädlichen Auswirkungen hervorge-
rufen werden (Schutzgrundsatz). Damit entspricht
der Gesetzgeber seinem verfassungsrechtlichen
Auftrag, Verletzungen der im Grundgesetz ge-
währten Grundrechte, namentlich des Grundrechts
auf Leben und körperliche Unversehrtheit, zu ver-
hindern. Das Schutzprinzip steht in der Tradition
des deutschen Gewerbepolizeirechts und bezweckt
ausschließlich die Gefahrenabwehr. Als Gefahren-
abwehr wird die Aufgabe von Polizei und Ord-
nungsbehörden bezeichnet, nach den hierfür erlas-
senen Gesetzen und Verordnungen in ihrem Zu-
ständigkeitsbereich und nach pflichtgemäßem Er-
messen Gefahren abzuwehren, durch die die öf-
fentliche Sicherheit und Ordnung bedroht wird.
Die Schutzpflicht zielt auf die von der konkreten
Anlage hervorgerufene Auswirkung im konkreten
Einwirkungsgebiet und auf die hierdurch bewirkte
Gefahr und ist demgemäß zeitlich und örtlich be-
grenzt.
6.3 Vorsorgeprinzip
Das Vorsorgeprinzip ist eine aus dem Umwelt-,
Gesundheitsschutz- und Verbraucherschutzrecht
stammende Weiterentwicklung des Schutzprinzips.
Der Staat soll nicht nur Gefahren abwehren, son-
dern zum Schutz der öffentlichen und technischen
Sicherheit präventiv agieren. Das Vorsorgeprinzip
ist eine Handlungsanleitung zur vorbeugenden
Erfassung und Minimierung von technischen Risi-
ken.
Vor der Zulassung einer neuen Technologie, Anla-
ge oder eines Produkts findet durch den Gesetzge-
ber oder den Betreiber auf der Basis einer mög-
lichst umfassenden wissenschaftlichen Bewertung
eine Risikoanalyse statt, die die möglichen Risiken
und Folgen des Tätigwerdens und der Untätigkeit
einschätzt. Danach folgt – je nach Gefährdungspo-
tenzial – ein generelles Verbot oder eine Zulassung
unter Sicherheitsauflagen nach dem aktuellen
Stand der Technik. Die Art und der Umfang der
staatlichen Aufsicht und Kontrolle hängen vom
jeweiligen Besorgnispotenzial ab, das mittels Risi-
koanalysen und -beurteilungen ermittelt werden
konnte: Je höher die Besorgnis, desto umfangrei-
cher muss die staatliche Aufsicht und Kontrolle
turer is only liable if he or his responsible employ-
ees have acted in a culpable manner, which means
that for one-off “outliers”, there is no liability, in
contrast to the German Product Liability Law
(ProdHaftG).
6.2 Protection principle
The protection principle is the task entrusted to the
lawmakers and the authorities that no harmful ef-
fects are caused (fundamental right to protection)
by industrial plants (products). Thus, the lawmaker
fulfils his constitutional duty to prevent violations
of the fundamental rights laid down in the Consti-
tution, namely the fundamental right to life and
protection of the physical integrity. The protection
principle stands in the tradition of the German
trade inspectorate laws and its purpose is exclu-
sively protection from dangers and hazards. Pro-
tection from hazards is the term applied to the job
of the police and law and order authorities, to pre-
vent hazards that threaten public order and safety
in their jurisdiction in accordance with the laws
and ordinances that have been passed for the pur-
pose at their discretion in keeping with their re-
sponsibility. The duty of protection aims only at
the effects caused by the specific plant or system in
the specific area of action and the danger caused as
a result, and is accordingly delimited in terms of
time and space.
6.3 Precautionary principle
The precautionary principle is a further develop-
ment of the protection principle, originating from
the environment protection laws, the health protec-
tion laws and the consumer protection laws. The
State should not only defend against hazards, but
act preventively for the protection of public and
technical safety. The precautionary principle is an
action instruction for preventive anticipation and
minimisation of technical risks.
Before permitting a new technology, plant or prod-
uct, the government or the owner/operator carries
out a risk analysis, on the basis of a scientific
evaluation that is as extensive as possible, which
estimates the possible risks and consequences of its
becoming operational and of inaction. This is fol-
lowed – depending on the hazard potential – by a
general ban or an approval subject to the safety
conditions according to the current state of the art.
The type and the scope of the state monitoring and
checking depend on the worry potential, which
could be determined through risk analyses and
evaluations: The greater the worry, the more com-
prehensive must the state monitoring and inspec-
tion be. Mostly, there is a small residual risk that

ausfallen. Meistens bleibt ein geringes Restrisiko
bestehen, denn es lassen sich – auch unter Wah-
rung des verfassungsmäßigen Grundsatzes der
Verhältnismäßigkeit – nicht alle Risiken vollstän-
dig ausschließen. Die Frage, welche Risiken oder
Restrisiken letztendlich gesellschaftlich akzeptabel
sind, ist dann den Gerichten zur Klärung im Ein-
zelfall vorbehalten.
Aus dieser kurzen Darstellung wird deutlich, dass
im Rahmen der Festlegung von Zuverlässigkeits-
zielen bei sicherheitstechnisch bedeutsamen Pro-
dukten auch die rechtlichen Zusammenhänge, die
jeweiligen Auslegungen und die Interpretationen
zur Produkthaftung und dem Schutz- und Vorsor-
geprinzip von großer Bedeutung sind. Konkrete
Handlungsanweisungen sind im Sinne einer gene-
rischen Richtlinie nicht möglich; sie müssen für
den speziellen Einzelfall von der Organisation
festgelegt werden.
7 Zuverlässigkeitsziele ermitteln
7.1 Allgemeines
Für ein Produkt kann es unterschiedliche Zuverläs-
sigkeitsziele geben (Tabelle 1). Eine Gewichtung
nach Verfügbarkeit der Funktion, Sicherheit
(Schutz von Personen und Sachen) sowie Orientie-
rung am Kunden ist zweckmäßig, um die Zuverläs-
sigkeitsziele für das Produkt festzulegen. Abhängig
von den Unternehmenszielen können folgende
Strategien verfolgt werden:
a) schnelle Entwicklung, schnell am Markt und
schnell wieder durch die nächste Generation er-
setzt (rough and ready)
b) hohe Zuverlässigkeit und geringe Instandhal-
tung (z. B. zur Abgrenzung zum Wettbewerb)
c) Abwägung von Zuverlässigkeit und Instandhal-
tung, damit ein ausgewogenes Kosten – Nutzen
Verhältnis entsteht
Das Hauptziel eines zuverlässigen Produkts wird
durch einen iterativen Prozess erreicht. Hierbei
beeinflussen im Allgemeinen die Organisation
(Risiken, Ressourcen, Fähigkeiten), der Stand der
Technik, der Kunde und die Behörde die verschie-
denen Zuverlässigkeitsziele (Haupt- und Teilziele).
7.2 Ermittlung der Hauptziele
Basis für die Ermittlung der Hauptziele (Bild 2)
ist die funktionelle Konzeption des Produkts. Im
Allgemeinen liegt hier ein Funktionsblockdia-
gramm oder ein Ablaufdiagramm vor.
VDI 4007 – 13 –
remains, because it is not possible – even with
protection of the constitutional principle of propor-
tionality – to completely eliminate all the risks.
The question as to which risks or residual risks are
acceptable to society is then reserved for the courts
for clarification in each individual case.
From this short depiction, it becomes clear that in
the framework of the definition of reliability goals
in the case of products that are important from a
technical safety standpoint, the legal contexts, the
respective designs and the interpretations of prod-
uct liability and the protection and precautionary
principle are of great importance. Specific action
instructions in the meaning of a generic guideline
are not possible; they must be determined on a
case-to-case basis by the organisation.
7 Determining the reliability goals
7.1 General
There can be different reliability goals for a prod-
uct (Table 1). Weightage according to the avail-
ability of the function, safety (protection of persons
and property) as well as orientation to the customer
is advisable for defining the reliability goals for the
product. Depending on the company goals, the
following strategies can be followed:
a) fast development, quickly launched in the mar-
ket and quickly replaced by the next generation
(rough and ready)
b) high reliability and low upkeep (e.g. for stand-
ing out from the competition)
c) weightage of reliability and upkeep, so that a
balanced cost-benefit ratio results
The main goal of a reliable product is achieved by
an iterative process. Here, the organisation (risks,
resources, abilities), the state of the art, the cus-
tomer and the officials generally have an influence
on the various reliability goals (main goals and
sub-goals).
7.2 Determining the main objectives
The basis for determining the main goals (Fig-
ure 2) is the functional conception of the product.
In general, there is a function block diagram or a
flow chart available here.
– 14 – VDI 4007
Tabelle 1. Zuverlässigkeitsziele
Zuverlässigkeitsziele
Organisations- Kundenorientierte
orientierte Ziele Ziele hoheitlicher Regelungen
Kapital, Zuverlässigkeit,
Energie, Sicherheit,
Mitarbeiter, Verfügbarkeit,
Zeitplanung, Instandhaltbarkeit
Wissen,
Information
Abschnitt 7.4 Abschnitt 7.5
Ein Produkt kann aus Sicht der Zuverlässigkeit
durchaus mehrere Zielanforderungen besitzen, die
gleichzeitig nebeneinander bestehen.
Dies können z. B. hoheitliche Forderungen zu Aus-
fallraten und Kundenforderungen zu Verfügbar-
keit, Erfordernisse des Stands der Technik und
Bedürfnisse der Organisation sein. Diese Zielfor-
derungen sind von der Organisation soweit in Ein-
klang zu bringen, dass eine umsetzbare Zieldefini-
tion entsteht.
Bild 2. Hauptziel
Ein Zuverlässigkeitshauptziel definiert sich inner-
halb der Begrenzung von hoheitlichen Forderun-
gen, Kundenforderungen und technischer Reali-
sierbarkeit. Im verbleibenden Entscheidungsraum
beschreiben weitere Faktoren den Bereich, inner-
halb dessen sich die Organisation festlegen kann
(Bild 3).
Das für das Produkt zu ermittelnde Zuverlässig-
keitsziel ist der Hauptfunktion bzw. der Hauptan-
forderung zugeordnet. Liegt die Hauptfunktion
bzw. die Hauptanforderung vor, so sind zunächst
die Randbedingungen zu bestimmen.
Hierzu gehören:
a) die unabänderlichen Zielvorgaben aus hoheitli-
chen Forderungen (Abschnitt 7.6)
Alle für das Produkt geltenden Gesetze, Nor-
men und Richtlinien (Abschnitt 7.7) sind auf
entsprechende Zuverlässigkeitsvorgaben hin zu
überprüfen. Sofern quantitative Zuverlässig-
keitsangaben gesetzlich bzw. normativ veran-
kert sind, stellen sie eine Forderung der „Min-
destzuverlässigkeit“ dar, die umgesetzt werden
muss. Liegen hingegen hoheitliche Forderungen
lediglich in qualitativer Form vor, so ist am En-
de das quantitative Zuverlässigkeitsziel mit dem
Ziele aufgrund Ziele nach dem Stand
der Technik
Rechtsquellen, anerkannte Regeln
Vorschriften, der Technik,
Behörden Stand der Technik,
Stand von Wissen-
schaft und Technik
Abschnitt 7.6 Abschnitt 7.7
From the standpoint of reliability, a product can
easily have several goal requirements, which co-
exist simultaneously.
These could be, for example, state requirements on
failure rates and customer requirements on avail-
ability, requirements of the state of the art and the
needs of the organisation. The organisation must
harmonise these goal requirements to such an ex-
tent that an implementable goal definition results.
Figure 2. Main goal
A reliability main goal is defined within the de-
limitations of state requirements, customer re-
quirements and technical implementability. In the
remaining decision space, other factors describe
the zone within which the organisation can posi-
tion itself (Figure 3).
The reliability goal to be determined for the prod-
uct is assigned to the main function or the main
requirement. If the main function or the main re-
quirement exists, then the boundary conditions
should be determined first.
This includes:
a) the irrevocable goal specifications from state
requirements (Section 7.6)
All the laws, standards and directives (Sec-
tion 7.7) applicable to the product should be
checked for any corresponding reliability re-
quirements. If there are any quantitative reliabil-
ity requirements entrenched legally or norma-
tively, they represent a requirement of “mini-
mum reliability” that must be implemented. As
against this, if there are state requirements only
in qualitative form, then at the end, the quantita-
tive reliability goal should be checked against

Table 1. Reliability goals
Reliability goals
Organisation-oriented Customer-oriented
goals goals
capital, reliability,
energy, safety,
employees, availability,
scheduling, ease of upkeep
knowledge,
information
Section 7.4 Section 7.5
qualitativ formulierten hoheitlichen Rahmen auf
Verträglichkeit zu prüfen.
b) die weiteren Zielvorgaben aus Kundenerwar-
tungen und organisatorischen Notwendigkeiten:
– Bestimmung der auf das Produkt einwir-
kenden Beanspruchungen
– Umweltbedingungen
– Klärung wichtiger organisatorischer Fragen
(Abschnitt 7.4) (Qualifikation und Kapazi-
täten der Mitarbeiter, Fähigkeiten der ein-
gesetzten Prozesse etc.)
– Berücksichtigung der Erkenntnisse von
Vorgängern und/oder ähnlichen Produkten
– Kundenbedürfnisse (Abschnitt 7.5)
– Zuordnung des angesprochenen Marktseg-
ments, in dem das Produkt abgesetzt wer-
den soll
7.3 Ermittlung der Teilziele
Aus den in Abschnitt 6.2 definierten Hauptzielen
sind die zur zuverlässigkeitstechnischen Entwick-
lung eines Produkts notwendigen Teilziele abzulei-
ten. Diese Ableitung erfolgt zunächst auf funktio-
naler Basis, um dann den entsprechenden Kompo-
nenten und Bauteilen die Teilziele zuweisen zu
können.
Hierfür sind in einem ersten Schritt die Hauptfunk-
tionen des Produkts in mehrere Teilfunktionen zu
zerlegen und logisch miteinander zu verknüpfen.
In einem nächsten Schritt sind die verwendeten
Komponenten und Bauteile den entsprechenden
Funktionen zuzuordnen, wobei es vorkommen
kann, dass eine Komponente für mehrere Teilfunk-
tionen benötigt wird.
Aus der in Bild 4 vorgegebenen funktionalen
Struktur ist die Zuverlässigkeitsstruktur entspre-
chend der logischen Zusammenhänge abzuleiten
(siehe Bild 5).
Die logische Verknüpfung ist Ausgangsbasis für
die Ableitung von Zuverlässigkeitszielen. Grund-
VDI 4007 – 15 –
Goals owing to Goals according to
state regulations the state of the art
legal sources, recognised rules of
specifications, the technology,
official authorities state of the art,
state of the art of
science and techno-
logy
Section 7.6 Section 7.7
the qualitatively formulated state framework for
compatibility.
b) the other goal specifications from customer
expectations and organisational necessities:
– determination of the stresses acting on the
product
– environmental conditions
– clarification of important organisational
questions (Section 7.4) (qualification and
capacities of the employees, capabilities of
the processes employed, etc.)
– taking into account the findings from pre-
decessors and/or similar products
– customer requirements (Section 7.5)
– assignment of the discussed market seg-
ment in which the product is to be launched
7.3 Determining the sub-goals
From the main goals as defined in Section 6.2, the
partial goals needed for the reliability engineering
development of a product should be derived. This
derivation will first take place on a functional ba-
sis, so that the sub-goals can later be assigned to
the corresponding components and parts.
For this purpose, in an initial step, the main func-
tions of the product should be broken down into
several sub-functions and linked logically with one
another. In a subsequent step, the components and
parts used are to be assigned to the corresponding
functions; here, it can happen that a component is
required for several sub-functions.
From the functional structure given in Figure 4,
the reliability structure should be derived accord-
ing to the logical relationships (see Figure 5).
The logical link is the starting basis for deriving
reliability goals. Basically, a distinction should be
– 16 – VDI 4007
sätzlich sind verschiedene Strategien zu unter-
scheiden:
a) Gleichverteilung von Zuverlässigkeitszielen
b) gewichtete Verteilung von Zuverlässigkeits-
zielen
c) Kombination von (a) und (b), eine sogenannte
Mischstrategie
Gleichverteilung von Zuverlässigkeitszielen
Sind zu Beginn wenig oder keine Informationen
über die zuverlässigkeitstechnische Realisierung
bekannt, so können die Teilziele gleichverteilt
zugewiesen werden. Auf Basis der Zuverlässig-
keitsstruktur werden, ausgehend vom Hauptziel
entsprechend der booleschen Logik, den entspre-
chenden Funktionen die Teilziele zugewiesen.
Bild 6 zeigt diesen Sachverhalt für ein einfaches
Seriensystem. Für die Berechnung einer parallelen
Struktur oder einer Kombination aus Serien- und
Parallelstrukturen sei an dieser Stelle auf die Richt-
linie VDI 4008 verwiesen.
Bild 3. Entscheidungsraum und Grenzen der Zielermittlung
Bild 4. Gesamtfunktion in Teilfunktionen aufteilen
TF Teilfunktion
K Komponente
made between different strategies:
a) equal distribution of reliability goals
b) weighted distribution of reliability goals
c) combination of (a) and (b), a so-called mixed
strategy
Equal distribution of reliability goals
If too little information, or no information at all, is
available at the beginning about the reliability en-
gineering implementation, the sub-goals can be
assigned equally distributed. On the basis of the
reliability structure, the sub-goals are assigned to
the corresponding functions, starting from the main
goal in keeping with Boolean logic. Figure 6
shows this matter for a simple batch system. For
the calculation of a parallel structure or a combina-
tion of series and parallel structures, please refer to
the directive VDI 4008.

Gewichtete Verteilung von Zuverlässigkeitszielen
Bei dieser Strategie wird als weiterer Aspekt eine
Wichtung mit eingebracht. Je nach Art und An-
wendung des Produkts kann diese Wichtung ein-
zelner Elemente z. B. Komplexität, Kosten, In-
standhaltungs- oder Reparaturaufwand, verwendete
Technologien oder bereits vorhandene Erfahrung
betreffen. So kann beispielsweise einer Kompo-
nente, die nach Ausfall besonders hohen Repara-
turaufwand mit sich bringt, eine höhere Zuverläs-
sigkeit zugeteilt werden als anderen. Wie schon im
ersten Fall (siehe Bild 7), der Gleichverteilung
von Zuverlässigkeitszielen, dient auch hier das
Zuverlässigkeitsblockschaltbild als Basis für die
gewichtete Ableitung von Zuverlässigkeitszielen.
Kombination von (a) und (b), eine sogenannte
Mischstrategie
Liegen teilweise Zuverlässigkeitsdaten vor, so
kann eine Mischstrategie angewendet werden. In
diesem Fall ist für bekannte Teilsysteme der funk-
Figure 3. Decision space and limits for goal determination
Figure 4. Dividing the total function in sub-functions
TF sub-function
K component
VDI 4007 – 17 –
Weighted distribution of reliability goals
In the case of this strategy, a weightage is also
introduced as another aspect. Depending on the
type and use of the product, this weightage of indi-
vidual elements can relate to e.g. complexity,
costs, upkeep and repair costs, technologies used
or already available experience. Thus, for example,
a component that has especially high repair costs
upon failure could be assigned a higher reliability
than others. Just like in the first case (see Fig-
ure 7) of the equal distribution of reliability goals,
here too, the reliability block diagram serves as the
basis for the weighted derivation of reliability
goals.
Combination of (a) and (b), a so-called mixed
strategy
If partial reliability data is available, a mixed strat-
egy can be employed. In this case, for known sub-
systems of the functional structure, the weighted
– 18 – VDI 4007

Bild 5. Darstellung der logischen Struktur des Systems

Bild 6. Beispiel einer Gleichverteilung mit dem Ziel RSystem(t) = 0,97

Bild 7. Beispiel einer gewichteten Verteilung mit dem Ziel RSystem(t) = 0,97 (wobei R1(t) mit einer geringeren
Zuverlässigkeit realisiert ist als R2(t) und R3(t))

Bild 8. Beispiel einer Verteilung mit Mischstrategie und dem Ziel RSystem(t) = 0,97
 VDI 4007 – 19 –

Figure 5. Depiction of a logical structure of the system

Figure 6. Example of an equal distribution with the target Rsystem(t) = 0,97

Figure 7. Example of a weighted distribution with the goal Rsystem(t) = 0,97 (where R1(t) is implemented with
a lower reliability than R2(t) and R3(t))

Figure 8. Example of a distribution with mixed strategy and the goal RSystem(t) = 0,97
– 20 – VDI 4007
tionalen Struktur die gewichtete und für die unbe-
kannten Teilsysteme die ungewichtete Strategie zu
wählen (siehe Bild 8).
Anmerkung: Beim Zuweisen der Teilziele kann es vorkom-
men, dass die Funktion in Hardware (Sensor, Steuerung,
Aktuator) und Software aufgeteilt wird. Beide haben das
gleiche Ziel und ergänzen sich paritätisch. Die Zielvorgabe für
die Software wird jedoch entsprechend anderer Richtlinien
(z. B. RTCA DO 178, DIN EN 61508) gewonnen und umge-
setzt. Im Wesentlichen betrachtet man hier den Ablauf des
Prozesses (die „Entwicklung“), an Hand dessen die Software
erzeugt wird und den man so zu gestalten sucht, dass mit
hoher Wahrscheinlichkeit zuverlässige Software entsteht
(siehe Abschnitt 7.3). Normalerweise wird hier der Aufwand
des Herstellungsprozesses entsprechend der Einstufung
(Versagensauswirkung) zum allgemeinen Ziel beschrieben
und gefordert.
Die Teilziele sind so manchmal abstrakt für sich stehende
Eigenschaften der Software, welche wieder durch andere
Programme überprüft werden, aber auch ursprünglich streng
nach Lastenheft definierte funktionale Eigenschaften, welche
in verschiedenen Stufen von Tests nachgewiesen werden
müssen. Sind alle Teilziele im Verbund H/W und S/W verifi-
ziert, kann das Gesamtsystem nach dem Bestehen prinzipieller
Tests als validiert angesehen werden.
In der Praxis kann eine Gleichverteilung oftmals nicht einge-
halten werden. Ursache sind die Zuverlässigkeitskenngrößen
der unterschiedlichen Komponenten, die für die Realisierung
der Funktionen/Teilfunktionen benötigt werden.
Im Rahmen der Zielermittlung kann es sich herausstellen, dass
die ursprüngliche Struktur des Systems nicht beibehalten
werden kann und beispielsweise redundante Komponenten
vorgesehen werden müssen. Ist dies der Fall, so muss diese
Änderung des Systemaufbaus für alle durchgeführten Zuver-
lässigkeitsanalysen nachgezogen werden.
Quantitative Teilziele auf verschiedenen Produkt-
ebenen können auch direkt aus der Betriebserfah-
rung abgeleitet und übernommen werden, wenn
z. B. die Zuverlässigkeitsstrategie „neu mindestens
so zuverlässig wie in der Praxis“ Anwendung fin-
det. Handelt es sich bei den Teilgeräten um Neu-
entwicklungen wird man gegebenenfalls einen
„Sicherheitszuschlag“ bei der Zuweisungsstrategie
einrechnen.
Mithilfe von Simulationsverfahren können über die
zugrunde gelegte Funktionslogik des Produkts und
unter Anwendung bestimmter Randbedingungen
diejenigen Aufteilungen von Zuverlässigkeitszie-
len gefunden werden, die über die Funktionslogik
und die festgelegten Randbedingungen die Zuver-
lässigkeitsanforderung der Hauptfunktion erfüllen.
Solche Simulationsroutinen sind in Software ge-
stützten Zuverlässigkeitsrechenprogrammen im-
plementiert.
Auf verschiedenen Teilebenen des Produkts können
auch Anforderungen direkt mithilfe von Tests bzw.
Versuchen retrospektiv ermittelt werden. Das heißt
im Test wird ermittelt, wie zuverlässig das Teilpro-
dukt ist, und diese ermittelte Zuverlässigkeit wird
dann als Zuverlässigkeitsanforderung weiterver-
strategy, and for the unknown sub-systems, the
non-weighted strategy should be selected (see
Figure 8).
Note: In assigning the sub-goals, it can happen that the func-
tion is divided into hardware (sensor, controller, actuator) and
software. Both have the same goal and complement each other
on equal terms. However, the goal specification for the soft-
ware is obtained in accordance with other directives (e.g.
RTCA DO 178, DIN EN 61508) and implemented. Essential-
ly, what is being viewed here is the sequence of the process
(the “development”), with this help the software is generated
in a way that creates it in such a manner that a more reliable
software is produced (see Section 7.3). Normally the effort and
costs of the manufacturing process are described and specified
according to the classification (effect of failure) to the general
goal.
The sub-goals are thus sometimes abstract stand-alone proper-
ties of the software, which are in turn checked by other pro-
grams, but also originally, functional properties defined strict-
ly according to the customer requirement specification, which
(i.e. the functional properties) must be proven in various stag-
es of tests. Once all the sub-goals in the combination H/W and
S/W are verified, the total system can be viewed as validated
after it has passed certain basic tests.
In practice, it is often not possible to adhere to an equal distri-
bution. The reasons for this are the reliability characteristic
quantities of the different components, which are required for
the implementation of the functions/sub-functions.
In the course of determining the goal it may be found that the
original structure of the system cannot be retained and for
example, redundant components have to be provided. If that is
the case, this change in the system structure must be incorpo-
rated retrospectively for all the reliability analyses already
carried out.
Quantitative sub-goals at different product levels
can also be derived directly from the operational
experience and incorporated, e.g. if the reliability
strategy “new, at least as reliable in practice” is
applied. If the sub-devices are new developments,
then a “safety surcharge” is also calculated in the
assignment strategy if required.
With the help of simulation methods, and using the
underlying function logic of the product and apply-
ing certain boundary conditions, those distributions
of reliability goals can be found, which, through
the function logic and the defined boundary condi-
tions, fulfil the reliability requirements of the main
function. Such simulation routines are implement-
ed in software-aided reliability calculation pro-
grams.
At various sub-levels of the product, requirements
can also be retrospectively determined directly by
means of tests or trials. This means that in the test,
a determination is made how reliable the sub-
product is, and this determined reliability will then
be used further as a reliability requirement. This

wendet. Dieses Verfahren ist zwangsläufig kosten-
intensiv, hat aber den Vorteil, dass man bei praxis-
gerechten Testbedingungen Zuverlässigkeitswerte
mit hohem Vertrauensgrad zur Verfügung hat.
Die Verifikation bzw. der Nachweis, ob die zuge-
wiesenen Teilziele die Anforderung der Haupt-
funktion (Hauptziel) erfüllen, wird im Regelfall
mithilfe der Fehlerbaumanalyse geführt (siehe
„Verifizieren des Ziels“ in Bild 1). Das bedeutet,
dass die einzelnen Zuverlässigkeitskenngrößen der
Teilfunktionen über die Funktionslogik bzw. die
Systemarchitektur hochgerechnet, das Hauptziel
erfüllen müssen.
7.4 Organisationsorientierte Ziele
Bild 9. Organisationsorientierte Ziele
7.4.1 Allgemeines
Eine Organisation kann von sich aus Zuverlässig-
keitsziele definieren und für die Produktrealisie-
rung oder den Betrieb empfehlen oder verbindlich
vorgeben. Grund kann z. B. eine strategische Aus-
richtung der Organisation oder ihrer Produktpalette
sein. So kann es z. B. Ziel eines Unternehmens (der
Organisation) sein, dass sich ein bestimmtes Pro-
dukt in der Premium-Klasse platzieren soll und
deshalb mit zusätzlichen Funktionen und einer
besonderen, hochwertigen Ausführung auf den
Markt kommen soll. Ein anderes Produkt soll den
Durchschnittskonsumenten ansprechen, es muss
billig sein, benötigt keine hohe Lebensdauer und
wird nach einem Defekt oder Ausfall entsorgt.
Im ersten Fall wird die Organisation entsprechend
hohe Zuverlässigkeitsziele für das Produkt und die
Prozesse (für Entwicklung, Herstellung, Betrieb
und Kundendienst) vorgeben und einhalten.
Im zweiten Fall werden zwar auch Zuverlässig-
keitsziele definiert, diese dienen aber hauptsächlich
dazu, die Kosten in Grenzen zu halten, sei es in der
Produktion – als auch im Service.
Aus Sicht der Organisation sind die Zuverlässig-
keitsziele eine Vorgabe, welche Ressourcen in
definierten Umfängen für die Erfüllung der exter-
nen Forderungen einzusetzen sind. Daher müssen
die Zuverlässigkeitsziele sinnvoll festgelegt wer-
den und die eigenen Fähigkeiten hierzu in Relation
gesetzt sein.
Bei der Festlegung dieser Zuverlässigkeitsziele
sind der Aufbau und die Fähigkeiten der Organisa-
tion zu berücksichtigen.
VDI 4007 – 21 –
method is necessarily high-cost, but has the ad-
vantage of providing reliability values with a high
degree of trustworthiness at test conditions similar
to the ones in practice.
The verification or the certification whether the
assigned sub-goals fulfil the requirement of the
main function (main goal) is generally obtained by
means of the fault tree analysis (see “verifying the
goal” in Figure 1). This means that the individual
reliability characteristic quantities of the sub-
functions, extrapolated over the function logic or
the system architecture must fulfil the main goal.
7.4 Organisation-oriented objectives
Figure 9. Organisation-oriented objectives
7.4.1 General
An organisation can define reliability goals on its
own, and recommend them or make them manda-
tory for the product realisation or the operation.
The reason can be, for example, a strategic align-
ment of the organisation or its product range.
Thus, for example, it can be the goal of a company
(of the organisation) that a product should be
placed in the premium class and therefore, has to
be launched in the market with additional functions
and a special, high-value version. Another product
should appeal to the average consumer. It must be
inexpensive, need not have a long shelf life and is
simply thrown away after a defect or failure.
In the first case, the organisation will specify and
meet suitably high reliability goals for the product
and the processes (for development, manufacture,
operation and customer service).
In the second case, although reliability goals will
be defined, they will primarily serve to keep the
costs within limits, be it in production or in after-
sales service.
From the perspective of the organisation, the reli-
ability goals are a specification as to which re-
sources are to be used, in defined quantities, for the
fulfilment of the external requirements. Therefore,
the reliability goals must be defined meaningfully
and the own capabilities in respect of them must be
set in relation.
In determining these reliability goals, the structure
and the capabilities of the organisation should be
taken into consideration.
– 22 – VDI 4007
Beispiel 1
Ein weniger zuverlässiges Produkt verkauft sich über
den Preis sehr gut, bedingt jedoch einen kostenintensi-
ven Kundenservice. Ist ein solches Servicenetz noch
nicht vorhanden, könnte sich die Entwicklung von
höchst zuverlässigen Produkten lohnen.
Beispiel 2
Die Zeitspanne bis zur nächsten Generation von Pro-
dukten ist so kurz, dass die Zuverlässigkeit des Produkts
diese Zeitspanne weit überschreitet. Hier kann es sich
lohnen, den Fokus der Entwicklung auf die nächste
Produktgeneration zu legen, und die Zuverlässigkeit
nachrangig zu behandeln.
In beiden Fällen muss die Organisation entschei-
den, wie sie die ihr zur Verfügung stehenden Res-
sourcen aufteilen will. Diese Ressourcen lassen
sich in die Bereiche Kapital, Zeit, Wissen, Energie
und Mitarbeiter gruppieren. Für jeden dieser Be-
reiche soll die Organisation Einflussgrößen be-
rücksichtigen, die zur Ermittlung von Zuverlässig-
keitszielen ihrer Produkte beitragen. Die folgende
Aufzählung stellt eine Hilfestellung dar, um für die
eigene Organisation die passenden Einflussgrößen
zu finden.
Kapital/Betriebsmittel/Investitionen
o Risikorückstellungen, Herstellung und Lager-
haltung, Garantie-Ansprüche, Reputation
Energie
o Minimierung von Sicherheitsreserven und Zu-
schlägen, Verkürzung von Fertigungsabläufen
Mitarbeiter
o Qualifikation der Mitarbeiter, Vertriebs- bzw.
Servicenetz
Zeitplanung
o Schwerpunkt der Entwicklung auf Hauptfunkti-
onen, Verringerung der Entwicklungszeit, Erhö-
hung der Nutzungszeit des Produkts
Wissen und Information
o Werbebotschaften, interne Informationswege,
Firmen-Know-how, Dokumentation/Qualitätsma-
nagement, Markttransparenz
7.4.2 Herleitung der Ziele
Bevor die Organisation in ihrer Gesamtheit ziel-
führend wirksam werden kann und organisations-
orientierte Ziele setzt, publiziert und verfolgt, sind
definierte Voraussetzungen zu schaffen. Es gilt
festzulegen, was die Organisation, also das Unter-
nehmen, alles tun muss, damit der Prozess
eines konsistenten Zuverlässigkeitsmanagements
(VDI 4003) praktikabel aufgesetzt werden kann.
Zur Ermittlung der intern gesetzten Ziele und der
Anforderungen des Kunden ist die Organisation
Example 1
A less reliable product can sell very well in relation to
the price, but implies a more cost-intensive customer
service. If such a service network does not yet exist, the
development of the most highly reliable products could
be worthwhile.
Example 2
The time period up to the next generation of products is
so short that the reliability of the product exceeds this
time period by a long way. In this case, it may be
worthwhile to focus on the development of the next
generation and to treat the reliability with lower priority.
In both cases, the organisation must decide how it
wishes to distribute the resources that are available
to it. These resources can be grouped into the cate-
gories capital, time, knowledge, energy and em-
ployees. For each of these zones, the organisation
should take into consideration the influencing
quantities that contribute to determining the reli-
ability goals of its products. The following list is
intended to help finding suitable influencing fac-
tors for one’s own organisation.
capital/operating equipment/investments
o risk provisions, production and inventory, guar-
antee claims, reputation
energy
o minimisation of the safety reserves and addi-
tional charges, shortening of production sequences
employees
o qualification of the employee, sales or service
network
scheduling
o focus of the development on main functions,
reduction of the development time, increasing the
useful time of the product
knowledge and information
o advertising messages, internal information
paths, company know-how, documentation/quality
management, market transparency
7.4.2 Deriving the goals
Before the organisation in its entirety can effec-
tively address the goals and set, publicise and fol-
low organisation-oriented objectives, defined pre-
conditions have to be generated. Therefore, it must
be determined what all the organisation, i.e. the
company, must do so that the process of a consis-
tent reliability management (VDI 4003) can be
practically set in motion.
For determining the internally set goals and re-
quirements of the customer, the organisation is

durch entsprechende Besetzung der Verantwort-
lichkeiten aufgerufen, die erforderlichen Voraus-
setzungen zu schaffen. Im Allgemeinen geschieht
dies zielführend durch die Publikation einer Zuver-
lässigkeitsmethode und die Ernennung eines Zu-
verlässigkeitsmanagers für das gesamte Unterneh-
men sowie weitere Aktivitäten. Grundsätzlich wird
folgende Vorgehensweise empfohlen (Bild 10):
a) Zuverlässigkeitsmethode bekannt geben
Die Leitung der Organisation formuliert die un-
ternehmerische Zielsetzung zur Zuverlässigkeit,
publiziert diese über die praktizierten Kommu-
nikationskanäle im Unternehmen und unter-
stützt den Zuverlässigkeitsmanager bei der Um-
setzung. Die Unternehmensleitung lässt sich
vom Zuverlässigkeitsmanager regelmäßig über
den Grad der Zielerreichung, die Abweichun-
gen und die erforderlichen Aktionen berichten.
b) Zuverlässigkeitsmanager berufen
Ein Zuverlässigkeitsmanager ist zu berufen. Die
Aufgaben sind u. a., die internen Zuverlässig-
keitsziele zu etablieren, die Anforderungen des
Kunden umzusetzen, die Fähigkeiten der eige-
nen Organisation weiterzuentwickeln, die Ko-
ordination von Bereichen zum Themenfeld Zu-
verlässigkeit, die Überwachung der Umsetzung
von Zuverlässigkeitsanforderungen, den Ver-
trieb zu beraten, Entscheider im Fall von Ziel-
konflikten zu sein. Der Zuverlässigkeitsmana-
ger ist auch Berichter an die Organisationslei-
tung.
c) Leitfaden Zuverlässigkeit und Arbeitsdokumen-
te schaffen
Die internen Zuverlässigkeitsziele sind in einem
Leitfaden zu dokumentieren. Ebenso sind Prä-
missen, Vorgehensweisen und erwartete Ergeb-
nisse der Zusammenarbeit zu beschreiben.
Hinweise zu Präzedenzfällen unterschiedlicher
Aussagen und Vorgehen in Konfliktfällen sind
darzulegen.
d) Workshop durchführen
Es genügt nicht, den Leitfaden und Arbeitsdo-
kumente ausschließlich über das innerhalb der
Organisation bekannte Dokumentenserversys-
tem zur Verfügung zu stellen. Vielmehr wird
angeraten, die Inhalte mittels aktiven Work-
shops allen Beteiligten zur Kenntnis zu geben.
Die Vorteile sind zum einen, dass alle Mitarbei-
ter den Leitfaden und die Arbeitsdokumente
kennen und entsprechendes Feedback einbrin-
gen und zum anderen, dass im Nachgang diese
auch zielführend eingesetzt werden.
VDI 4007 – 23 –
called upon, by suitably assigning the responsibili-
ties, to create the necessary preconditions. In gen-
eral, this is most objectively achieved by the publi-
cation of a reliability method and the appointment
of a reliability manager for the entire company as
well as for other activities. Basically, the following
procedure is recommended (Figure 10):
a) declare reliability method
The management of the organisation formulates
the company’s goals for reliability, publicises
them over the usual communications channels
within the company and supports the reliability
manager in their implementation. The company
management is informed by the reliability man-
ager regularly on the degree of target achieve-
ment, the deviations and the required actions.
b) appointing a reliability manager
A reliability manager has to be appointed. The
tasks are, among others, establishing the inter-
nal reliability goals, implementing the require-
ments of the customer, developing the capabili-
ties of the (own) organisation further, the coor-
dination between divisions on the subject of re-
liability, monitoring the implementation of reli-
ability requirements, advising the sales depart-
ment, being the decision-maker in case of goal
conflicts. The reliability manager’s tasks in-
clude reporting to the organisation’s manage-
ment.
c) creating a reliability guideline and generating
work documents
The internal reliability goals should be docu-
mented in a guideline. So also, assumptions,
procedures and expected results of the coopera-
tion should be described. Notes on precedents
of different statements and the procedure in
case of conflict should be described.
d) holding a workshop
It is not enough to make the guideline and the
working documents available only via the docu-
ment server system that is known within the or-
ganisation. Rather, it is advised that all those
involved be made aware of the contents through
active workshops. The advantages are that
firstly, all the employees will be familiar with
the guideline and the working documents and
will provide the corresponding feedback and
secondly, that in continuation, they will also be
objectively put to use.
– 24 – VDI 4007
e) Projektarbeiten begleiten
Die organisationsorientierten Ziele müssen
während der Projektarbeit, also der Auftragsbe-
arbeitung, permanent kontrolliert werden. Ab-
weichungen sind zu korrigieren. Es kann in äu-
ßerst seltenen Fällen vorkommen, dass auf-
grund vorliegender Ergebnisse die Zielsetzun-
gen neu zu definieren sind. Die Entscheidung
obliegt dem Zuverlässigkeitsmanager.
7.4.3 Vorgehensweise
Die Organisation ermittelt die für ihre Produktaus-
richtung wichtigsten Zuverlässigkeitsziele und legt
diese als Vorgabe in den entsprechenden Bereichen
fest.
Die im Bild 1 dargestellten Einflussgrößen sind bei
der Ermittlung der Ziele zu berücksichtigen und in
Einklang zu bringen.
x Ermittlung von Zielen aufgrund von eigenen
Fähigkeiten
– Managerfähigkeiten
– Mitarbeiterqualifikation
– Prozessbeherrschung
– Partnerschaften
– Ressourcen
x Ermittlung von Zielen zur Absicherung von
Risiken
– Risikobegrenzung in Fragen zur Produkt-
haftung
– Entscheidungen für budgetäre Risikorück-
stellungen
– Einhaltung von Gesetzen, Richtlinien
– Sicherheitsanforderungen mindestens
gemäß dem Stand der Technik
Bild 10. Zuverlässigkeitsprozess
e) accompanying the project work
The organisation-oriented goals must be
checked continuously during the project work,
i.e. the order processing. Deviations must be
corrected. In the rarest cases, it may happen that
owing to the available results, the goals have to
be defined newly. That is a decision for the reli-
ability manager.
7.4.3 Procedure
The organisation determines the most important
reliability goals for its product orientation and lays
these down as specifications in the corresponding
departments.
The influencing factors shown in Figure 1 should
be determined and harmonised during the determi-
nation of the objectives.
x determining goals on the basis of own abilities
– manager capabilities
– employee qualifications
– process mastery
– partnerships
– resources
x determining goals for securing against risks
– risk delimitation with regard to questions
about product liability
– decisions for budgetary risk provisions
– compliance with laws and directives
– safety requirements at least according to the
state of the art

x Ermittlung von Zielen hinsichtlich Kosten
 Auswahl und Anwendung eines
QM-Systems
 Festlegung einer Strategie zur Abwicklung
von Mängelansprüchen von Kunden und
Abnehmern, z. B. durch Regelung der Vor-
gehensweise der Mängelfeststellung, der
Abhilfemaßnahmen sowie von Richtlinien
für die Behandlung von Zweifelsfällen im
Rahmen der Kulanz
 Festlegung einer Strategie zur Abwicklung
von eigenen Mängelansprüche gegenüber
Lieferanten
 Festlegung der Entwicklungskosten und ei-
ner Fehler-Vermeidungsstrategie
 Überprüfen der internen Organisations-
strukturen
 Festlegen notwendiger Qualifizierungsmaß-
nahmen bzw. externer Partnerschaften
x Ermittlung von Zielen aus Markterfordernissen
 Verfügbarkeit
 funktionale Merkmale
 Qualität
 Vermeidung unerwünschter Effekte
 Lebensdauer
Die so definierten Zuverlässigkeitsziele sind fest-
zuschreiben und in das Produkt umzusetzen. Der
entsprechende Nachweis ist zu führen.
Figure 10. Reliability process
VDI 4007 – 25 –
x determining goals with regard to costs
 selection and use of a QM system
 determination of a strategy for processing
claims against defects from customers and
buyers, e.g. by regulating the procedure for
defect determination, for remedial measures
as well as the directives for the handling of
doubtful cases in the framework of goodwill
 definition of a strategy for the processing of
the company’s own defect claims on suppli-
ers
 determination of the development costs and
an error avoidance strategy
 checking the internal organisation structures
 defining the necessary qualification meas-
ures or external partnerships
x determining goals from market requirements
 availability
 functional attributes
 quality
 avoiding undesired effects
 service life
The reliability goals so defined must be frozen and
implemented in the product. The corresponding
certification should be generated.
– 26 – VDI 4007
7.5 Kundenorientierte Ziele
Bild 11. Kundenorientierte Ziele
7.5.1 Allgemeines
Jeder Kunde hat Erwartungen an die Zuverlässig-
keit des von ihm genutzten Produkts, die je nach
Branche oder Kunde sehr unterschiedlich ausfallen
können. So liegt beispielsweise der Schwerpunkt
der Bewertung auf:
x Sicherheit
x Verfügbarkeit
x Zuverlässigkeit
x Instandhaltbarkeit
Die teilweise konkurrierenden Erwartungen der
Kunden gilt es zunächst zu ermitteln und in Kun-
denforderungen und -wünsche zu übersetzen, aus
denen dann kundenorientierte Zuverlässigkeitsziele
abgeleitet werden können. Hierzu ist die Grundvo-
raussetzung, dass der Kunde bekannt ist oder dass
die potenzielle Kundengruppe beschrieben werden
kann. Ist dies nicht der Fall, so ist zunächst durch
das Unternehmen der potenzielle Kunde oder die
potenzielle Kundengruppe zu spezifizieren.
Aufgrund der Vielschichtigkeit möglicher Unter-
nehmen-Kunden-Beziehungen lassen sich in der
kundenorientierten Zielentwicklung zwei Fälle
unterscheiden:
Fall 1: Die zuverlässigkeitsorientierten Kundenfor-
derungen und -wünsche sind bekannt oder
können direkt durch den Kunden spezifiziert
werden. Dies kann sowohl in zuverlässig-
keitstechnischen Kenngrößen erfolgen
(Ȝmax(t), R(t), MTBF etc.) oder aber auch in
Kenngrößen, die durch Experten in zuverläs-
sigkeitstechnische Kenngrößen überführt
werden können (z. B. maximale Fehlerkosten
und zusätzliche bereitzustellende Informati-
onen).
Fall 2: Die zuverlässigkeitsorientierten Kundenfor-
derungen und -wünsche sind nicht bekannt
und können auch nicht durch Kunden spezi-
fiziert werden. Der Kunde ist nicht in der
Lage, Kenngrößen zu formulieren, die eine
direkte Ableitung zuverlässigkeitstechni-
scher Kenngrößen ermöglicht.
Diese zwei Fälle erfordern ein differenziertes Vor-
gehen zur Ableitung der kundenorientierten Zuver-
lässigkeitsziele, das im Folgenden dargestellt ist.
7.5 Customer-oriented objectives
Figure 11. Customer-oriented objectives
7.5.1 General
Every customer has expectations as to the reliabil-
ity of the products used by him, and these expecta-
tions can vary widely depending on the industry or
the customer. Thus, for example, the focus of the
evaluation is on:
x safety
x availability
x reliability
x ease of upkeep
The expectations of the customers, which some-
times compete with each other, must first be de-
termined and converted into customer require-
ments and wishes, from which then, in turn, cus-
tomer-oriented reliability goals can be derived.
The basic prerequisite for this is that the customer
is known or that the potential group of customers
can be described. If that is not the case, then first,
the company must specify the potential customer
or the potential customer group.
Owing to the multi-layered nature of possible
company-customer relationships, a distinction can
be made between two cases in the customer-
oriented goal development:
Case 1: The reliability-oriented customer require-
ments and wishes are known or can be speci-
fied directly by the customer. This can take
place both in terms of reliability engineering
parameters (Ȝmax(t), R(t), MTBF, etc.) or
even in characteristics, which can be con-
verted by experts into reliability engineering
characteristics (e.g. maximum defect costs
and additional information to be provided).
Case 2: The reliability-oriented customer require-
ments and wishes are not known and cannot
be specified by the customer either. The cus-
tomer is not in a position to formulate char-
acteristics that will allow a direct derivation
of reliability-engineering characteristics.
These two cases show the need for a differentiated
procedure for deriving the customer-oriented relia-
bility goals; this procedure is shown below.

7.5.2 Herleitung der Ziele
In einem ersten Schritt sind unabhängig von einer
Zuordnung zu Fall 1 oder Fall 2 alle kundenrele-
vanten Produkteigenschaften zu identifizieren. Von
Bedeutung sind alle Funktionen und Anforderun-
gen, die vom Kunden wahrnehmbar und erlebbar
sind. Hierzu können die im Entwicklungsprozess
erarbeiteten Dokumente, wie Produktspezifikatio-
nen, Systembeschreibungen und Funktionsblockdi-
agramme als Grundlage dienen.
Im weiteren Schritt unterscheiden sich die Vorge-
hensweisen. Kann die Unternehmens-Kunden-
Beziehung durch den in Fall 1 geschilderten Sach-
verhalt beschrieben werden, sind die Ziele im
Rahmen von Verhandlungen direkt mit dem Kun-
den abzustimmen. Liegen beispielsweise zuverläs-
sigkeitstechnische Kenngrößen (Angaben zur Min-
destverfügbarkeit, maximal zulässige Ausfallrate)
vor, so sind diese aufzunehmen und auf ihre Um-
setzbarkeit hin zu überprüfen und gegebenenfalls
anzupassen. Sind Forderungen und Wünsche nicht
in Form von zuverlässigkeitstechnischen Kenngrö-
ßen durch den Kunden formuliert, lassen sich aber
mithilfe zusätzlicher Informationen darin überfüh-
ren, sind diese umzurechnen.
Kann die Unternehmen-Kunden-Beziehung hinge-
gen durch den in Fall 2 geschilderten Sachverhalt
beschrieben werden, sind die Zuverlässigkeitsziele
mittels ermittelbarer Größen und Analysen durch
das Unternehmen abzuleiten. Hier gibt es verschie-
dene Möglichkeiten, die je nach Anwendungsfall
zum Einsatz kommen können, wie folgende Auf-
zählung zeigt:
x Analyse der Zuverlässigkeit verfügbarer Pro-
dukte und relative Einordnung hierzu
x Analyse von Kundenrückmeldungen (Vorgän-
gerprodukte) und Ableitung des Handlungsbe-
darfs, wo die bisher realisierte Zuverlässigkeit
verbessert werden muss
x Analyse der Kundenzufriedenheit und Definiti-
on der Zuverlässigkeitsziele entsprechend der
gewünschten Kundenzufriedenheit
7.5.3 Vorgehensweise
Das kundenorientierte Ziel kann wie folgt ermittelt
werden:
x Identifikation der kundenrelevanten Produktei-
genschaften
x Fall 1:
– Aufnehmen der Kundenwünsche
– Abstimmung direkt mit dem Kunden
– Prüfung auf technische Machbarkeit und
Rentabilität
VDI 4007 – 27 –
7.5.2 Deriving the goals
In an initial step, independently of an assignment
to case 1 or case 2, all the customer-relevant prod-
uct properties should be identified. All the func-
tions and requirements, which the customer can
perceive and experience, are important. The docu-
ments used in the development process, like prod-
uct specifications, system descriptions and function
block diagrams can serve as the basis for the above
step.
In the next step, the procedures are different. If the
company-customer relationship can be described
by the matter provided in case 1, the objectives
should be directly agreed with the customer in the
framework of negotiations. For example, if there
are reliability engineering characteristics (infor-
mation on minimum availability, maximum per-
missible failure rate) available, they should be
taken up, checked for their implementability and if
required, adjusted to match. If the customer has not
formulated the requirements and wishes in the
form of reliability engineering characteristics, but
this can be done with the help of additional infor-
mation, they should be so converted.
As against that, if the company-customer relation-
ship can be described by the matter as shown in
case 2, the company should derive the reliability
goals by means of determinable quantities and
analyses. There are various possibilities here,
which can be used depending on the application, as
the following list shows:
x analysis of the reliability of available products
and relative classification for them
x analysis of the customer feedback (predecessor
products) and deriving the need for action,
where the reliability achieved so far needs to be
improved
x analysis of customer satisfaction and definition
of the reliability goals according to the desired
customer satisfaction
7.5.3 Procedure
The customer oriented goal can be established as
follows:
x identification of the customer-relevant product
properties
x Case 1:
– recording the customer wishes
– agreement directly with the customer
– testing for technical feasibility and econom-
ic viability
– 28 – VDI 4007
– schriftliche Fixierung der Forderungen des
Kunden im Lastenheft
x Fall 2:
– Analyse von Vorgängern und Mitbewerber-
produkten ĺ Feststellung der Zuverlässig-
keitskenngrößen
– Einordnung der eigenen Produkt-Soll-
Zuverlässigkeit relativ zu den ermittelten
Zuverlässigkeiten
– Analyse von Kundenrückmeldungen und
Ableitung von Handlungsbedarfen
– Analyse der Kundenzufriedenheit
– Kundenbefragungen und Analyse des
Markts zur Einordnung der Produkt-Soll-
Zuverlässigkeit
x Bei allen Fällen sollten die für den Kunden
wichtige Produkteigenschaften geklärt werden
(wichtig = zuverlässig).
x Vor der Festlegung muss das „Kundenziel“ mit
allen anderen Zuverlässigkeitszielen (Behörde,
Stand der Technik und Organisation) abgegli-
chen und harmonisiert sein (siehe auch Ab-
schnitt 6.8).
7.6 Ziele aufgrund hoheitlicher Regelungen
Bild 12. Ziele aufgrund hoheitlicher Regelungen
(Behörde)
7.6.1 Allgemeines
Ziele aufgrund hoheitlicher Forderungen sind For-
derungen, die der Staat an seine Bürger oder sons-
tige selbstständige Rechtspersonen stellt, entweder
aufgrund einzelfallbezogener Verwaltungsakte oder
generell-abstrakter Rechtsnormen.
7.6.2 Herleitung der Ziele
Man kann drei Gruppen von Rechtsquellen unter-
scheiden, gestaffelt einerseits nach der Tiefe der
geregelten Details und andererseits nach dem erlas-
senden Gesetzgebungsorgan (Legislative/Exekuti-
ve):
x Gesetze: Das sind generell-abstrakte Regelun-
gen mit Außenwirkung, z. B. europäische Ge-
setzgebungsakte (Verordnungen, Richtlinien,
Entscheidungen), formelle Bundes- oder Lan-
desgesetze, Satzungen. Sie werden in einem
förmlichen Verfahren von dem demokratisch
–written recording of the requirements of the
customer in the customer requirement spec-
ification
x Case 2:
– analysis from predecessors and competi-
tor’s products ĺ determination of the relia-
bility magnitudes
– classification of the own product’s desired
reliability relative to the determined relia-
bilities
– analysis of customer feedback and deriva-
tion of actions needed to be carried out
– analysis of the customer satisfaction
– customer surveys and analysis of the mar-
ket for classification of the product’s de-
sired reliability
x In all the cases, the product properties that are
important for the customer should be clarified
(important = reliable).
x Before the determination, the “customer goal”
must be equalised and harmonised with all the
other reliability goals (authorities, state of the
art and organisation) (also see Section 6.8).
7.6 Goals owing to regulations laid down by
official authorities
Figure 12. Goals owing to regulations laid down by
official authorities
7.6.1 General
Goals based on state requirements are requirements
that the state places on its citizens or other inde-
pendent legal entities, either on the basis of indi-
vidual case-related administrative decisions or
general-abstract legal norms.
7.6.2 Deriving the goals
A distinction can be made between three groups of
legal sources, graded firstly according to the depth
of the regulated details and secondly, by the de-
creeing lawmaking organ (Legislative/Executive):
x Laws: These are general-abstract regulations
with an external action, e.g. European legisla-
tive acts (ordinances, directives, decisions),
formal Federal or State laws, statutes. They are
decreed in a formal procedure by the democ-
ratically legitimised lawmaker (the Legislative).

legitimierten Gesetzgeber (Legislative) erlassen.
Der Gesetzgeber gibt den rechtlichen Rahmen
für die hoheitlichen Forderungen vor. Das Ge-
setz enthält aber keine technischen Vorschrif-
ten. Hier muss die Behörde (Exekutive) tätig
werden, z. B. durch Rechtsverordnungen.
Beispiel 1
Das Bundesimmissionsschutzgesetz enthält in § 1
den Auftrag, die Umwelt vor schädlichen Einwir-
kungen zu schützen und soll bei genehmigungsbe-
dürftigen Anlagen Schutz und Vorsorge (siehe Ab-
schnitt 5.2. und Abschnitt 5.3) gegen Gefahren, er-
hebliche Nachteile und erhebliche Belästigungen
bieten. Es enthält aber keine technischen Vorschrif-
ten z. B. über die Errichtung, die Beschaffenheit und
den Betrieb von Feuerungsanlagen und Gasturbinen-
anlagen.
x Rechtsverordnungen: Wenn das Gesetz eine
entsprechende Ermächtigung enthält, kann die
Bundes- oder Landesbehörde detaillierte Vor-
gaben zur einheitlichen Regelung einer nicht
überschaubaren Zahl vergleichbarer Fälle ma-
chen. Soweit darin ergänzend auf technische
Normen (z. B. des DIN) verwiesen wird, wird
deren Inhalt dadurch verbindlich.
Beispiel 2
Gemäß § 7 BImSchG darf die Bundesregierung
(Exekutive) die technischen Einzelheiten für die Er-
richtung, die Beschaffenheit, den Betrieb und die
Überwachung von genehmigungsbedürftigen Anla-
gen in einer Rechtsverordnung klären. Dies ist mit
der 13. Verordnung über Großfeuerungs- und Gas-
turbinenanlagen (13. BImSchV) erfolgt, die präzise
technische Vorgaben, zum Teil mit Verweisen auf
entsprechende DIN-Normen, enthält.
Ein Verwaltungsakt ist dagegen eine hoheitliche
Maßnahme, die eine Behörde zur Regelung ei-
nes Einzelfalls auf dem Gebiet des öffentlichen
Rechts trifft und die auf unmittelbare Rechts-
wirkung nach außen gerichtet ist.
Beispiel 3
Die Behörde kann die einzelfallbezogene Genehmi-
gung für eine Großfeuerungs- und Gasturbinenanla-
ge von der Einhaltung ganz konkreter Auflagen zur
Höhe der Abgasableitung abhängig machen, die auf
die konkrete Umgebungssituation abgestimmt sind.
Technische Normen und Richtlinien von unabhän-
gigen Organisationen wie dem DIN, VDI oder
CENELEC und internationalen Normen-Organisa-
tionen (z. B. IEC, ISO, BS …) sind keine hoheitli-
chen Regelungen. Rechtlich gesehen sind sie zu-
nächst nur Empfehlungen. Sobald der Gesetzgeber
oder die Behörde ihre Einhaltung vorschreibt oder
VDI 4007 – 29 –
The lawmaker specifies the legal framework for
the state requirements. But the law does not
contain any technical specifications. Here, it is
the authorities (the Executive) that must step
into action, e.g. by means of statutory ordi-
nances.
Example 1
The Federal Emission Protection Law contains in
Article 1, the task of protecting the environment
from harmful effects and in the case of plants that
require approval, is intended to provide protection
and precautions (see Section 5.2. and Section 5.3)
against hazards, significant disadvantages and sig-
nificant pollution. But it does not contain any tech-
nical specifications e.g. on the erection, the quality
and the operation of combustion plants and gas tur-
bine systems.
x statutory ordinances: If the law contains a cor-
responding authorisation, the Federal or State
authorities impose detailed specifications for
the uniform regulation of an (possibly) unlim-
ited number of comparable cases. Insofar as
they contain a reference to technical standards
(e.g. the DIN), the contents of these standards
become binding.
Example 2
According to § 7 BImSchG the Federal government
(Executive) may clarify the technical details for the
erection, quality, operation and monitoring of
plants that are subject to approval in a statutory or-
dinance. This has happened with the 13th Ordi-
nance on Large-Scale Gas-fired Turbine systems
(13. BImSchV), which contains the precise technical
specifications, with some cross-references to the cor-
responding DIN standards.
As against that, an administrative decision is a
state measure, which a governmental agency
takes for the regulation of an individual case in
the domain of public law and which is oriented
towards a direct legal effect outwards.
Example 3
The government agency can make the approval – in
the individual case – for a large combustion and gas-
fired turbine dependent on compliance with specific
conditions regarding the height of the exhaust chim-
ney, which conditions are tailored according to the
specific situation on the ground.
Technical standards and directives of independent
organisations like the DIN, VDI or CENELEC and
international standards organisations (e.g. IEC,
ISO, BS …) are not state regulations. Viewed le-
gally, they are initially just recommendations. As
soon as the lawmaker or the government agency
prescribes compliance with them, or makes it a
– 30 – VDI 4007
zur Voraussetzung bestimmter Vorteile macht
(z. B. Konformität mit harmonisierten Normen als
Voraussetzung für die CE-Kennzeichnung), wer-
den ihre Regelungen aber verpflichtend.
Ein typisches Beispiel dazu ist auch die internatio-
nale Vorschrift in der Luftfahrt JAR-25 (jetzt
EASA CS-25) oder die über die 10. Maschinenver-
ordnung GSGV anwendbare DIN EN 61508 für
elektrische/elektronische/programmierbare Sicher-
heitssysteme mit ihrem Risikograph zur SIL Ein-
stufung und der damit verbundenen Zuverlässig-
keitsforderung für Sicherheitsfunktionen.
Der Kunde kann mindestens die Einhaltung der
anerkannten Regeln der Technik verlangen, wenn
zur Produktqualität sonst nichts vereinbart oder
hoheitlich vorgeschrieben ist. Technische Normen
sind der einzuhaltende Mindeststandard und ihre
Nichteinhaltung indiziert einen Sachmangel (ver-
tragliche Produkthaftung, Abschnitt 5.1.1.) und
einen Produktfehler (außervertragliche Produkthaf-
tung, Abschnitt 5.1.2).
7.6.3 Vorgehensweise
Die folgende Liste soll helfen, die hoheitlichen
Forderungen vollständig zu erfassen:
x Auflisten aller möglichen und tatsächlich rele-
vanten hoheitlichen Forderungen
x Interpretationsbandbreite der hoheitlichen For-
derungen bestimmen
x Bestimmen, welcher Anteil aller Forderungen
auf das Produkt anwendbar ist
x Entscheiden, welcher Anteil der anwendbaren
Forderungen umgesetzt werden soll
x Umsetzen der ausgewählten hoheitlichen Forde-
rungen in Zuverlässigkeitsziel-Definitionen des
Produkts im Rahmen des genehmigten Budgets
x eventuell Abstimmung mit den Behörden, ob
das gewählte Ziel akzeptiert wird
7.7 Ziele nach dem Stand der Technik
Bild 13. Ziele nach dem Stand der Technik
7.7.1 Allgemeines
Man differenziert (aufsteigend) zwischen den aner-
kannten Regeln der Technik, dem Stand der Tech-
nik und dem Stand von Wissenschaft und Technik:
precondition of certain benefits (e.g. conformity
with harmonised standards as a precondition for
the CE mark), however, their regulations become
mandatory.
One typical example of this is also the international
requirement in aviation JAR-25 (now EASA
CS-25) or DIN EN 61508 for electric/electronic/
programmable safety systems with their risk graph
for the SIL gradation and the concomitant reliabil-
ity goal for safety functions, which is applicable
through the 10th Machinery Ordinance GSGV.
The customer can demand at least compliance with
the recognised rules of engineering, if there is
nothing else agreed or prescribed by the State on
the product quality. Technical standards are the
minimum standard to be complied with and not
complying with them indicates a material defect
(contractual product liability, Section 5.1.1.) and a
product defect (extra-contractual product liability,
Section 5.1.2).
7.6.3 Procedure
The following list should help to completely record
the state requirements:
x listing all the possible and currently relevant
state requirements
x determining the interpretation bandwidth of the
state requirements
x determining what proportion of all the require-
ments is applicable to the product
x deciding what proportion of the applicable re-
quirements should be implemented
x converting the selected state requirements into
reliability goal definitions of the product within
the framework of the approved budget
x any agreement with the authorities whether the
selected goal is accepted
7.7 Objectives according to the state of the
art
Figure 13. Objectives according to the state of the
art
7.7.1 General
A differentiation is made (in ascending order) be-
tween the recognised rules of engineering, the state
of the art of the technology and that of science and
technology:

Der niedrigste Standard sind die anerkannten
Regeln der Technik. Sie sind in den Kreisen der
einschlägigen Techniker bekannt und als richtig
anerkannt; sie wurden in der Praxis erprobt, haben
sich dort verbreitet und bewährt. Die Niederlegung
in technischen Normen ist ein Indiz dafür. Aller-
dings können technische Normen auch hinter den
anerkannten Regeln der Technik zurückbleiben,
wenn die technische Praxis an der Norm vorbeige-
zogen ist.
Der Stand der Technik ist ein höherer Standard,
der meistens definiert wird als der aktuelle techni-
sche Entwicklungsstand fortschrittlicher Verfahren,
Einrichtungen oder Betriebsweisen, der die prakti-
sche Eignung des Erzeugnisses für den konkreten
Verwendungszweck gesichert erscheinen lässt.
Eine massenhafte Praxiserprobung hat hier noch
nicht stattgefunden.
Der Stand von Wissenschaft und Technik ist die
Erkenntnis nach dem letzten, gesicherten For-
schungsstand in Technik und Naturwissen-
schaften, sobald sie von einer Mehrheit von aner-
kannten Fachleuten vertreten werden. Der Stand
von Wissenschaft und Technik ist für die außer-
vertragliche Produkthaftung (Abschnitt 5.1.2) von
Bedeutung.
7.7.2 Herleitung der Ziele
Der Hersteller oder Verkäufer eines Produkts haftet
für dessen Mängel (siehe Abschnitt 5). Aus diesem
Grund sollten bei der Definition der Zuverlässig-
keitsziele folgende Punkte berücksichtigt werden:
x Während der Garantiezeit muss das Produkt
seine Funktion erfüllen, die vertraglich zugesag-
ten Eigenschaften besitzen und mindestens dem
Stand der Technik entsprechen, sonst kann der
Käufer wegen des Sachmangels seine gesetzli-
chen oder vertraglichen Ansprüche geltend ma-
chen. Sind nicht einmal die anerkannten Regeln
der Technik berücksichtigt, wie sie in Normen
und Richtlinien konkretisiert sind, sind erwei-
terte Ansprüche aufgrund schuldhafter Ver-
tragsverletzung denkbar (siehe vertragliche
Produkthaftung Abschnitt 7.1.1).
x Beim Inverkehrbringen eines Produkts haftet
die Organisation für Sicherheitsmängel sowohl
gegenüber dem Käufer als auch gegenüber Drit-
ten. Hierbei gilt der aktuelle Stand von Wissen-
schaft und Technik, daher muss dieser Stand
auch zur Herleitung der Ziele berücksichtigt
werden (siehe gesetzliche Produkthaftung in
Abschnitt 7.1.2).
x Außerdem ist für das Produkt noch zu ermitteln,
ob zusätzliche Risiken für die Umwelt vorliegen
VDI 4007 – 31 –
The lowest standard are the recognised rules of
the technology. They are familiar in the circles of
the relevant engineers and recognised as being
correct; they were tried out in practice, became
widespread there and have proven themselves.
Their putting down in technical standards is an
indication of this. However, the technical standards
can also have a lower priority after the recognised
rules of engineering if actual technical practice has
gone past the standard.
The state of the art is a higher standard, which is
usually defined as the current technical develop-
ment level of progressive processes, equipment or
methods of operation, which appears to show the
practical suitability of the product for the specific
intended purpose as having been secured. Practical
trials in large quantities have not yet taken place.
The state of the art of science and technology is
the knowledge according to the latest, secured
research status in technology and natural sciences,
as soon as it is represented by a majority of recog-
nised experts. The status of science and technology
is important for the extra-contractual product li-
ability (Section 5.1.2).
7.7.2 Deriving the goals
The manufacturer or seller of a product is liable for
its defects (see Section 5). For this reason, when
defining the reliability goals, the following points
must be taken into account:
x During the guarantee period, the product must
fulfil its function, have the contractually agreed
properties and at least conform to the state of
the art, otherwise the buyer can file his legal or
contractual claims on the basis of the material
defect. If not even the recognised rules of engi-
neering have been taken into consideration, the
way they have been laid down in standards and
directives, extensive claims on the basis of cul-
pable violation of contract are conceivable (see
contractual product liability, Section 7.1.1).
x When a product is launched in the market, the
organisation is liable for safety shortcomings
both towards the buyer as well as towards third
parties. The latest status of science and technol-
ogy applies here, and therefore, this status must
also be taken into account for deriving the goals
(see legal product liability in Section 7.1.2).
x In addition, for the product, it still needs to be
determined whether additional risks exist for
– 32 – VDI 4007
(Risiken bei Anlagen, Produkte mit neuer
Technologie usw.), deren Pflicht zur Beachtung
sich aus dem Schutzprinzip (Abschnitt 7.2) oder
dem Vorsorgeprinzip (Abschnitt 7.3) bei der
Aufstellung von Zuverlässigkeitszielen ergibt.
Hieraus können folgende Anforderungen an die
Zuverlässigkeitsziele abgeleitet werden:
x Aus den anerkannten Regeln der Technik erge-
ben sich je nach Funktion die Mindestanforde-
rungen bezüglich der Zuverlässigkeit eines Pro-
dukts.
x Nach dem Stand der Technik ergeben sich die
vom Kunden zu erwartenden Zuverlässigkeits-
anforderungen.
x Erhöhte Zuverlässigkeiten nach dem Stand von
Wissenschaft und Technik sind bei sicherheits-
kritischen Eigenschaften des Produkts zu erfül-
len.
7.7.3 Vorgehensweise
Zuverlässigkeitsziele können abgeleitet werden
aus:
x Vergleich mit ähnlichen Produkten oder Tech-
nologien
x Ermittlung von möglichen Risiken
x Analyse möglicher Sicherheitsfunktionen
x Identifikation von Schwachstellen
x Einstufung der Sicherheitskomponenten
x Literatur
x Richtlinien, Vorschriften und Normen
Bild 14. Mögliche Vorgehensweise zu Zielkonflikten
the environment (risks in the case of plants,
products with new technology, etc.); the re-
sponsibility for taking these into account arise
from the protection principle (Section 7.2) or
the precautionary principle (Section 7.3) at the
time of setting up the reliability goals.
From these, the following requirements for the
reliability goals can be derived:
x Depending on the function, the minimum re-
quirements with regard to the reliability of a
product are obtained from the recognised rules
of technology.
x The reliability requirements to be expected
from the customers are obtained from the state
of the art.
x Increased reliabilities according to the state of
the art of science and technology must be met
in the case of safety-critical properties of the
product.
7.7.3 Procedure
Reliability goals can be derived from:
x comparison with similar products or technolo-
gies
x determining the possible risks
x analysis of possible safety functions
x identifying weak links
x gradation of the safety components
x literature
x directives, specifications and standards

7.8 Umgang mit Zielkonflikten
In der Praxis mögliche Zielkonflikte sind aufzude-
cken, zu klären und einer Lösung zuzuführen. Ur-
sachen für derartige Fälle können vielfältig sein.
Die Vorgehensweise zur Lösung ist in Bild 14
aufgezeigt.
Zur Auflösung sich widersprechender zuverlässig-
keitstechnischer Ziele wird empfohlen, in Analogie
zu einem Ursache-Wirkung-Diagramm zu verfah-
ren. Die Zuverlässigkeitszielvorgaben von Behör-
den, Kunden und der Organisation selbst müssen
zusammengeführt und harmonisiert werden (siehe
auch Bild 1). Bei der Formulierung ist darauf zu
achten, dass Einzelziele sich nicht gegenseitig
ausschließen oder behindern.
Nach Analyse der Ursachen sind durch den ver-
antwortlichen Zuverlässigkeitsmanager, in Ab-
stimmung mit den beteiligten Bereichen, die Prio-
ritätsstufen festzulegen. Er hat dafür Sorge zu tra-
gen, dass diese entsprechend den getroffenen Fest-
legungen umgesetzt werden.
Bei der Validierung der Zuverlässigkeitsziele (sie-
he Abschnitt 7.2) werden unter Berücksichtigung
der Anforderungen von Organisation, Kundenwün-
schen, Behördenanforderungen und dem Stand der
Technik das Produkt und seine Teilprodukte auf
Vollständigkeit, Sinnfälligkeit, Machbarkeit und
Widerspruchsfreiheit geprüft.
Im Fall erneut auftretender Zielkonflikte ist eine
ergänzende Ursachen-Wirkung-Analyse durchzu-
führen. Dieser Vorgang ist solange zu wiederholen,
bis alle Zielkonflikte gelöst sind oder durch Ent-
scheidung toleriert werden und belastungsfähig
dokumentiert sind.
Figure 14. Possible procedure for goal conflicts
VDI 4007 – 33 –
7.8 Handling goal conflicts
Goal conflicts that might possibly occur in practice
should be detected, clarified and a solution should
be presented. There can be many causes for such
cases. The procedure for resolution is shown in
Figure 14.
For the resolution of contradictory reliability engi-
neering objectives, it is advisable to proceed with
the analogy of a cause-effect diagram. The reliabil-
ity goal specifications from the authorities, cus-
tomers and the organisation itself must be com-
bined and harmonised (also see Figure 1). In for-
mulating it, care must be taken that individual
goals do not mutually exclude or hinder each other.
After an analysis of the causes, the responsible
reliability manager must define the priority stages,
in agreement with the departments involved. He
must then ensure that these are implemented in
keeping with the decisions that have been made.
In the validation of the reliability goals (see Sec-
tion 7.2), the product and its sub-products are ex-
amined for completeness, obviousness, feasibility
and freedom from contradictions, taking into ac-
count the requirements of the organisation, cus-
tomer wishes, official governmental requirements
and the state of the art.
In the case of goal conflicts occurring again, a
supplementary cause-effect analysis should be
carried out. This process should be repeated till all
the goal conflicts are resolved or tolerated by a
decision and documented as to accountability.
– 34 – VDI 4007
8 Zuverlässigkeitsziele validieren und
verifizieren
8.1 Allgemeines
Validierung und Verifizierung sind begleitende
Prozesse innerhalb der Phasen des Produktlebens-
zyklus. Die Erreichung der Ziele wird immer wie-
der überprüft (siehe VDI 4003).
8.2 Validierung der Ziele
Bei der Validierung der Ziele werden die festge-
schriebenen (spezifizierten) Zuverlässigkeitsziele
und Teilziele für das Produkt und seine Teilpro-
dukte auf Vollständigkeit, Sinnfälligkeit, Mach-
barkeit und Widerspruchsfreiheit überprüft. Dies
geschieht unter Berücksichtigung der Anforderun-
gen der Organisation, der Kundenwünsche, der
hoheitlichen Forderungen und des Stands der
Technik.
Die Vorgehensweise könnte folgendermaßen aus-
sehen, überprüft auf:
Vollständigkeit
Es müssen alle Anforderungen der vier Einfluss-
größen (Kunde, Behörde, Organisation und Stand
der Technik) abgefragt und bei der Zielfindung
berücksichtigt sein.
Sinnfälligkeit
Es muss überprüft sein, dass die Anforderungen in
ihrer Gesamtheit der Funktion des Produkts ange-
passt sind und diese sicherstellen.
Es ist somit zu überprüfen, z. B. durch eine Ereig-
nisbaumanalyse, inwieweit eine Anforderung die
Funktion beeinflusst und die Spezifikationsgrenzen
einhält.
Ferner ist darauf zu achten, dass keine zusätzlichen
Funktionen beinhaltet sind, die nicht den Anforde-
rungen der vier Einflussgrößen (Kunde, Behörde,
Organisation und Stand der Technik) entsprechen.
Machbarkeit
Die Machbarkeit ist unter folgenden Aspekten zu
überprüfen:
x Das Produkt ist unter technischen und naturwis-
senschaftlichen Vorgaben herstellbar.
x Die Organisation hat die Fähigkeit das Produkt
herzustellen, was unter anderem das interne
Wissen, stabile, beherrschbare Prozesse und die
notwendigen Produktionsanlagen voraussetzt.
x Das Produkt muss dem Finanzrahmen, der vom
Kunden, dem Zielmarkt und der Organisation
vorgegeben ist, angepasst sein.
8 Validating and verifying reliability
goals
8.1 General
Validation and verification are accompanying
processes within the phases of the product life
cycle. The achievement of the goals is always
checked (see VDI 4003).
8.2 Validation of the goals
With regard to the validation of the goals, the reli-
ability goals and partial goals that have been laid
down (specified) for the product and its sub-
products are checked for completeness, obvious-
ness, feasibility and freedom from contradictions.
This is done taking into consideration the require-
ments of the organisation, the customer wishes, the
state requirements and the state of the art of the
technology.
The procedure could looked like this, checked for:
Completeness
All the requirements of the four influencing factors
(customer, officials, organisation and state of the
art) must be queried and taken into consideration
when determining the goal.
Obviousness
A check must have been carried out that the require-
ments in their totality are matched to the function of
the product and that they ensure this function.
A check must therefore be carried out, e.g. by
means of an event tree analysis, to what extent a
requirement influences the function and adheres to
the specification limits.
Moreover, care must be taken that no additional
functions are included, which do not conform to the
requirements of the four influencing factors (cus-
tomer, authorities, organisation and state of the art).
Feasibility
The feasibility should be checked under the follow-
ing aspects:
x The product can be manufactured subject to
technical and scientific specifications.
x The organisation has the ability to manufacture
the product, preconditions for which are, among
others, the internal know-how, stable, control-
lable processes and the necessary production
systems.
x The product must be matched to the financial
framework that is formed by the customer, the
target market and the organisation.

x Es muss die behördliche Erlaubnis vorliegen,
das Produkt herzustellen.
Widerspruchsfreiheit
Es ist zu überprüfen, dass sich die vier Einfluss-
größen nicht gegenseitig widersprechen. (siehe
auch Abschnitt 6.8)
Die Vorgehensweise könnte, wie in Bild 15 dar-
gestellt, aussehen
Bild 15. Ziele validieren
8.3 Verifikation der Ziele
Bei der Verifizierung werden die Teilziele zum
Hauptziel mit einer geeigneten Methode (siehe
auch VDI 4003) überprüft oder hochgerechnet.
Damit wird verifiziert, dass die Systemarchitektur
das gewählte Hauptziel erfüllt.
In der Praxis geschieht dies durch die Zusammen-
stellung aller Zuverlässigkeitsvoraussagen der
Teilziele. Die ermittelten Teilziele werden mit Me-
thoden wie FMEA, Fehlerbaum-Strukturanalyse
oder ähnliche Verfahren zum Hauptziel hochge-
rechnet. Diese so ermittelte Voraussage wird mit
dem angestrebten Hauptziel verglichen und im Fall
der Nichterfüllung mit weiteren Iterationsschritten
bis zur Erfüllung des Hauptziels wiederholt. Hier-
zu muss unter Umständen die Architektur des Pro-
dukts angepasst werden.
Die Vorgehensweise könnte, wie in Bild 16 dar-
gestellt, aussehen.
VDI 4007 – 35 –
x The official governmental permission for manu-
facturing the product must have been obtained.
Freedom from contradictions
A check should be carried out that the four influ-
encing factors do not contradict one another. (also
see Section 6.8)
The procedure could look like that shown in Fig-
ure 15.
Figure 15. Validating the goals
8.3 Verification of the goals
At the time of verification, the sub-goals of the
main goal will be examined or extrapolated by
using a suitable method (also see VDI 4003). This
verifies that the system architecture fulfils the se-
lected main goal.
In practice, this takes place through the combina-
tion of all the reliability forecasts of the sub-goals.
The sub-goals determined are extrapolated to the
main goal with methods like FMEA, fault-tree
structural analysis or similar other methods. The
forecast so determined is compared to the main
goal being striven for, and in case of non-
fulfilment, repeated with further iteration steps up
to fulfilment of the main goal. For this purpose,
under certain circumstances, the architecture of the
product may have to be adjusted.
The procedure could look like that shown in Fig-
ure 16.
– 36 – VDI 4007
Bild 16. Ziele verifizieren
Anhang Anwendungsbeispiele
A1 Einführung zu den nachfolgenden
Beispielen
Die folgenden Beispiele sollen einen Eindruck der
Anwendung der Richtlinie in verschiedenen Berei-
chen geben. Sie erheben keinen Anspruch auf
Vollständigkeit und dienen nur zur Vertiefung des
Verständnisses. Die dargestellten Werte erleichtern
die Nachvollziehbarkeit der Vorgehensweise und
ersetzen nicht jene, die in den entsprechenden
Normen und Gesetzen festgelegt sind.
Die Rahmenbedingungen für andere Anwendungen
können deutlich von den Beispielen abweichen.
Die hoheitlichen Regelungen der Länder-Ziel-
gruppen sind zu beachten, da diese sich unter-
scheiden können.
A2 Zielermittlung für eine neue
Batterietechnologie
Einführung
Es soll das Hauptziel für eine neue Batterie-
Generation auf Basis der Lithum-Ionen-Technologie
entwickelt werden. Bereits im Markt eingeführte
Batterien, wie NiCd- oder Blei-Säure-Batterien,
stellen elektrische Energie zur Verfügung und be-
sitzen Sicherheitseinrichtungen zur Beherrschung
vorhandener Risiken (z. B. Explosionsgefahr, Frei-
setzen von Schadstoffen und Brandgefahr). Lithi-
um-Ionen-Batterien haben spezielle Gefahren, die
in der verwendeten Zellchemie begründet sind
(z. B. hohe Kurzschlussströme, spontane thermi-
sche Freisetzung der gespeicherten Energie).
Ziele ermitteln
Das System Lithium-Ionen-Batterie hat mehrere
Funktionen, z. B. Energiebereitstellung, Sicherheit,
für die jeweils Zuverlässigkeitsziele zu definieren
sind. Im Rahmen dieses Beispiels wird die Zieler-
Figure 16. Verifying the goals
Annex Application examples
A1 Introduction to the following examples
The following examples are intended to provide an
impression of the use of the guideline in various
areas. They are not claimed to be complete in any
way and serve only for enhancing the understand-
ing. The values shown make it easier to follow the
procedure and do not replace those that are laid
down in the corresponding standards and laws.
The basic conditions for other applications can be
clearly different from those in the examples. The
state regulations of the target group countries must
be followed, since they can be different from coun-
try to country.
A2 Determining the goal for a new battery
technology
Introduction
The main goal has to be developed for a new gen-
eration battery that is based on the lithium ion
technology. Batteries that have already been
launched in the market, like NiCd or lead-acid
batteries, make electrical energy available and have
safety devices for surmounting the existing risks
(e.g. explosion hazard, releasing of pollutants and
fire hazard). Lithium ion batteries have special
hazards, the reasons for which derive from the
cellular chemistry used (e.g. high short-circuit
currents, spontaneous thermal release of the stored
energy).
Determining the goals
The lithium ion battery system has several func-
tions, e.g. making energy available, safety, for
which the respective reliability goals are to be de-
fined. In the framework of this example, the goal

mittlung für die Funktion Energiebereitstellung
betrachtet.
Ermittlung des Hauptziels
Forderungen bezüglich der Funktion Energie-
bereitstellung könnten sein:
x Organisation
Entwicklungskosten im Rahmen der Budgetie-
rung
x Behörde
Es liegen keine speziellen hoheitlichen Forde-
rungen vor.
x Kunde
Versorgung mit elektrischer Energie ähnlich zu
bereits bekannten Technologien
x Stand der Technik
Einhaltung der für die Energiebereitstellung
vorhandenen Richtlinien, z. B. Niederspan-
nungsrichtlinie (2006/95/EG)
Für die Ermittlung des Hauptziels müssen alle
diese Forderungen berücksichtigt werden. Die
Organisation entscheidet, dass eine Zuverlässigkeit
R(1 a) • 9 % alle Forderungen (von Organisation,
Behörde, Kunde, Stand der Technik) abdeckt. In
der Validierungsphase wird festgestellt, dass alle
relevanten Einflussgrößen berücksichtigt wurden.
Somit kann folgendes Hauptziel als Ergebnis der
oben genannten Forderungen definiert werden:
Versorgung mit elektrischer Energie:
R(1 a) • %
Teilziele ermitteln
Vor der Ermittlung der Teilziele ist zunächst das
System in verschiedene Teilsysteme (Funktionen)
aufzuteilen, für die dann Teilziele ermittelt werden
müssen.
Das System besteht aus folgenden Teilsystemen:
x Gehäuse
x Verbund der Einzelzellen
x Schutzbeschaltung der Batterie (Teil des Batte-
rie Management Systems)
x elektrische Verbindungen der Einzelzellen
Die zu erfüllende Zuverlässigkeit, R(1 a) •  %,
wird nun auf die beteiligten Teilsysteme aufgeteilt.
Im ersten Ansatz erfolgt dies zunächst über eine
gleichmäßige Aufteilung auf die vier betrachteten
Teilsysteme. In unserem Beispiel sind diese Teil-
systeme als serielle Funktionskette angenommen.
Bei einer gleichmäßigen Aufteilung ergibt sich
eine zu erfüllende Zuverlässigkeit
Ri(1 a) • % für jedes Teilsystem.
VDI 4007 – 37 –
determination for the function ‘making energy
available’ is considered.
Determining the main goal
Requirements with regard to the function “making
energy available” could be:
x organisation
development costs in the framework of the
budgeting
x authorities
There are no specific state requirements.
x customer
supply with electrical energy similar to technol-
ogies that are already familiar
x state of the art
compliance with the directives existing for en-
ergy supply, e.g. low-voltage directive
(2006/95/EC)
For determining the main goal, all these require-
ments must be taken into consideration. The organ-
isation decides that a reliability R(1 a) •  % co-
vers all the requirements (of the organisation, the
authorities, customer, state of the art). In the vali-
dation phase, it is found that all the relevant influ-
encing factors have been considered. Thus, the
following main goal can be defined as the result of
the aforementioned requirements:
Supplying with electrical energy:
R(1 a) • %
Determining the sub-goals
Before determining the sub-goals, the system
should first be broken down into various sub-
systems (functions), for which the sub-goals must
then be determined.
The system consists of the following sub-systems:
x housing
x union of the individual cells
x protection circuit of the battery (part of the bat-
tery management system)
x electrical connections of the individual parts
The reliability to be achieved, R(1 a) •  %, is
now distributed across the sub-systems involved.
In the first approach, this is first done by means of
a uniform distribution across the four subsystems
under consideration. In our example, these sub-
systems are assumed to be a serial function chain.
With a uniform distribution, a reliability to be ful-
filled is obtained
Ri(1 a) •75 % for every sub-system.
– 38 – VDI 4007
Durch die Bearbeitung der anderen Hauptziele
(z. B. für Sicherheit) kann es zu abweichenden
Zuverlässigkeitsforderungen der Teilsysteme kom-
men.
Zielerreichung verifizieren
Das Hauptziel wird während der Verifizierung aus
den Teilzielen mit einer geeigneten Methode (z. B.
FMEA und FTA) berechnet. Damit wird überprüft,
ob die Systemarchitektur das gewählte Hauptziel
erfüllt. Dies kann ein iterativer Prozess sein und zu
abweichenden Zuverlässigkeitszielen der Teilsys-
teme führen.
A3 Zielermittlung für ein Logiksystem mit
Software
Einführung
Im Folgenden wird ein Logiksystem betrachtet,
wobei besonders auf die darin ablaufende Soft-
ware/Programmierung geachtet werden soll.
Die Funktion der Software ist es, Daten aufzuneh-
men, zu analysieren, sie zu verwerten und entspre-
chend den vorgesehenen Algorithmen als Daten für
die Empfänger (Datenbanken, Steuerungsmodule,
Stellglieder etc.) reproduzierbar weiterzugeben.
Diese Funktion ist im Detail vor der Programmie-
rung gemäß den Einsatz- und Umgebungsbedin-
gungen der Software festzuschreiben.
Aus der Funktion ergibt sich die Systemarchitektur
für Elektronik und Software.
Daraus folgt der Prozess der Ermittlung der Haupt-
und Teilziele.
Ziele ermitteln
Das hier betrachtete System ist die Steuerung eines
Sicherheitsventils an einem Druckbehälter. Dieses
System besteht aus Sensor, Logiksystem und Stell-
glied (Bild A1), in das Logiksystem ist eine
Software integriert.
Bild A1. Schematisch Darstellung der Sicherheits-
funktion
The processing of the other main goals (e.g. for
safety) can throw up deviating reliability require-
ments of the sub-systems.
Verifying goal achievement
The main goal is calculated during the verification
from the sub-goals using a suitable method (e.g.
FMEA and FTA). This provides a check whether
the system architecture fulfils the selected main
goal. This can be an iterative process and result in
deviating reliability goals of the sub-systems.
A3 Goal determination for a logic system with
software
Introduction
The following considers a logic system, with par-
ticular attention having to be paid to the soft-
ware/programming running inside it.
The function of the software is to accept data, ana-
lyse it, use it, and to pass it on reproducibly ac-
cording to the envisaged algorithms as data for the
receiver (databases, controller modules, actuating
elements, etc.).
This function should be defined in detail before the
programming, in accordance with the usage terms
and ambient conditions of the software.
The function gives the system architecture for elec-
tronics and software.
This results in the process for determining the main
goals and sub-goals.
Determining the goals
The system considered here is the controller of a
safety valve in a pressure reservoir. This system
consists of a sensor, a logic system and an actuat-
ing element (Figure A1); there is a software pro-
gram integrated in the logic system.
Figure A1. Schematic depiction of the safety func-
tion
 VDI 4007 – 39 –

Ermittlung des Hauptziels Determining the main goal

Zunächst wird ermittelt, welche Hauptforderungen
bestehen:
x Organisation
Produkt als solches soll preisgünstig und sicher
sein.
x Behörde
Das System muss hinreichend frei von Risiken
für Personen, Sachen und Umwelt sein.
x Kunde
Der Kunde fordert, dass die gesamte Sicher-
heitsfunktion aus Kostengründen „einkanalig“
(keine Redundanz) ausgeführt werden muss.
x Stand der Technik
Durch Erhebung des Stands der Technik wird
ermittelt, dass für Sicherheitsfunktionen norma-
tive Anforderungen gegeben sind. So ist z. B. in
der DIN EN 61508 für die ausgewählte Sicher-
heitsfunktion das Hauptziel der Funktionszu-
verlässigkeit unmittelbar normativ vorgeschrie-
ben (siehe Tabelle A1).
At first, a determination is made what the main
requirements are:
x organisation
The product as such must be cost-effective and
safe.
x authorities
The system must be sufficiently free of risks to
persons, property and the environment.
x customer
The customer demands that for reasons of cost,
the entire safety function should be designed as
“single-channel” (no redundancy).
x state of the art
By ascertaining the state of the art of the tech-
nology, a determination is made that normative
requirements have been given for safety func-
tions. Thus, for example, DIN EN 61508 pre-
scribes the main goal of the function reliability
directly normatively for the selected safety
function (see Table A1).

Tabelle A1. Sicherheitsanforderung aus Table A1. Safety requirement from DIN EN 61508
DIN EN 61508
SIL Niedrige Anforde- Hohe Anforde- SIL Low require- High requirement
rungsrate von ” 1 rungsrate von • 1 ment rate of ” 1 rate of • 1 once a
mal pro Jahr mal pro Jahr oder once a year year or continuous
dauernd
1 10–2 bis 10–1 10–6 bis 10–5 1 10–2 to 10–1 10–6 to 10–5
2 10–3 bis 10–2 10–7 bis 10–6 2 10–3 to 10–2 10–7 to 10–6
3 10–4 bis 10–3 10–8 bis 10–7 3 10–4 to 10–3 10–8 to 10–7
–5 –4 –9 –8 –5 –4
4 10 bis 10 10 bis 10 4 10 to 10 10–9 to 10–8

Aufgrund der Schadensauswirkung einer Fehlfunk-
tion des Systems wird als Hauptziel SIL 2 für eine
hohe Anforderungsrate gewählt, da das System
ständig in Betrieb ist. Die Quantifizierung erfolgt
gemäß DIN EN 61508.
Eine Ausfallwahrscheinlichkeit pro Anforderung
von 10–6 (hohe Anforderungsrate dauernd, siehe
Tabelle A1, rechte Spalte) kann in diesem Fall
nicht einkanalig realisiert werden.
Dies steht im Widerspruch zu der Forderung des
Kunden (einkanalig).
Aus Gründen der hoheitlichen Forderung und des
Stands der Technik ist die Befolgung der DIN
EN 61508 höherwertig als die Kundenforderung
einzustufen.
Aus allen diesen Forderungen ergibt sich das
Hauptziel „funktionssichere Ventilsteuerung“
R(1 a) • 99,9999 % (entspricht F(1 a) ” 10–6, siehe
Tabelle A1).
Owing to the damaging effect of a malfunction of
the system, the main goal SIL 2 is selected for a
high requirements rate, since the system is contin-
uously in operation. The quantification is done
according to DIN EN 61508.
A probability of failure per requirement of 10–6
(high requirement rate continuous, see Table A1,
right column) cannot be realised in single-channel
operation in this case.
This is on contradiction of the demand of the cus-
tomer (single-channel).
For reasons of it being a state requirement and
because of the state of the art, complying with DIN
EN 61508 is to be graded as being of higher value
than the customer requirement.
All these requirements result in the main goal “fail-
safe valve control” R(1 a) • 99,9999 % (corre-
sponds to F(1 a) ” 10–6, see Table A1).
– 40 – VDI 4007
Validierung des Hauptziels
Die Validierung der Ziele für die ausgewählte
Sicherheitsfunktion wird auf Vollständigkeit, Sinn-
fälligkeit und Widerspruchsfreiheit überprüft. Dies
geschieht unter Berücksichtigung der Anforderun-
gen der Organisation, den Kundenwünschen, der
Behördenanforderungen und dem Stand der Tech-
nik.
Teilziele ermitteln
Wie in Bild A1 dargestellt, wird das Hauptziel auf
die drei Funktionseinheiten pro Kanal herunter
gebrochen:
x Sensor
x Logiksystem (Software und Hardware)
x Stellglied
Damit das System das Hauptziel erfüllen kann
muss es insgesamt redundant aufgebaut werden.
Beide Kanäle werden identisch ausgeführt, wo-
durch sich für einen Kanal das Teilziel zu
R(1 a) • 99,9 % (entspricht F(1 a) ” 10–3) ergibt.
Im gewählten Beispiel wird das Teilziel eines Ka-
nals aufgrund der angenommenen Verschiedenar-
tigkeit der Funktionseinheiten folgendermaßen
aufgeteilt:
Kanal 1
Sensor: 25 % von 10–3 ergibt 0,25 × 10–3
Logiksystem: 50 % von 10–3 ergibt 0,50 × 10–3
(Hardware und Software)
Stellglied: 25 % von 10–3 ergibt 0,25 × 10–3
Kanal 2 identisch zu Kanal 1
Somit darf die Funktionseinheit Logiksystem, be-
stehend aus Software und zugehöriger Hardware,
keine höhere Ausfallwahrscheinlichkeit als
0,50 × 10–3 haben.
Der angenommene Level der Software muss ge-
mäß dem Analogieschluss der SIL eine Untermau-
erung durch spezielle Maßnahmen (DIN
EN 61508-3) wie
x Wahl einer geeigneten Programmiersprache,
x geeignete Entwicklungsmethoden,
x entsprechende Nachweis- und Dokumentations-
verfahren,
x übliche Analyseverfahren und
x geeignete Testverfahren
erhalten (siehe auch Schrifttum).
Zielerreichung verifizieren
Das Hauptziel wird während der Verifizierung aus
den Teilzielen mit einer geeigneten Methode (z. B.
Validation of the main goal
The validation of the objectives for the selected
safety function is checked for completeness, obvi-
ousness and freedom from contradictions. This is
done taking into account the requirements of the
organisation, the customer wishes, the require-
ments of the authorities and the state of the art.
Determining the sub-goals
As has been shown in Figure A1, the main goal is
broken down across the three functional units per
channel:
x sensor
x logic system (software and hardware)
x actuating element
In order for the system to be able to fulfil the main
goal, it must be redundant in structure overall.
Both channels are identical in design, because of
which for a channel, the sub-goal of R(1 a) • 99,9 %
(corresponding to F(1 a) ” 10–3) is obtained.
In the selected example, the sub-goal of a channel
is divided as follows, owing to the assumed di-
verseness of the function units:
Channel 1
sensor: 25 % of 10–3 gives 0,25 × 10–3
logic system: 50 % of 10–3 gives 0,50 × 10–3
(hardware and software)
actuating element: 25 % of 10–3 gives 0,25 × 10–3
Channel 2 identical to Channel 1
In this manner, the function unit “Logic system”
consisting of software and the relevant hardware,
may not have a higher probability of failure than
0,50 × 10–3.
The assumed level of the software must contain, in
accordance with the conclusion by analogy of the
SIL, a substantiation through special measures
(DIN EN 61508-3) like
x the selection of a suitable programming language,
x fitting development methods,
x corresponding verification and documentation
methods,
x usual analysis methods and
x fitting test methods
(also see the bibliography).
Verifying goal achievement
The main goal is calculated during the verification
from the sub-goals by a suitable method (e.g.

FMEA und FTA) berechnet, um nachzuweisen,
dass sich bei den ermittelten Teilzielen (Istwerte)
das spezifizierte Hauptziel mit 10–6 ergibt (siehe
auch Tabelle A1).
Wenn das Hauptziel nicht erreicht wird, ist es er-
forderlich, eine Iteration durchzuführen und gege-
benenfalls eine andere Systemarchitektur festzule-
gen oder höherwertige (zuverlässigere) Kompo-
nenten einzusetzen.
Für die Softwareentwicklung werden die ange-
sprochenen Maßnahmen entsprechend den Stan-
dards befolgt und verifiziert und sind ebenfalls im
Zweifelsfall durch höherwertige Maßnahmen zu
ersetzen.
Für die Praxis helfen u. a. folgende Normen und
Richtlinien:
x DIN ISO/IEC 15504
x ISO/IEC 12207
x ISO/IEC 9126
x ISO/IEC 14598
x DIN EN 61508
x DIN EN 61511
x DIN EN 50128
x RTCA DO178
x ISO/DIS 26262-6
x NASA 8739.8
A4 Zielermittlung für eine Dienstleistung
(Personenbeförderung)
Einführung
Ein Straßenbahnbetrieb möchte seine Personenbe-
förderung verbessern. Hierzu hat er drei wesentli-
che Faktoren identifiziert:
x Wirtschaftlichkeit
x Fahrplaneinhaltung
x Komfort für die Fahrgäste
Ziele ermitteln
Um das Ziel der verbesserten Personenbeförderung
zu erreichen, können diese drei Faktoren aus Sicht
der Zuverlässigkeit bewertet werden. In diesem
Beispiel wird der Faktor „Komfort“ näher beleuch-
tet.
Hauptziel ermitteln
Zunächst wird ermittelt, welche Hauptforderungen
bestehen:
x Organisation
Die Maßnahmen zur Komforterhöhung sollen
eine hohe Kundenbindung zur Folge haben.
VDI 4007 – 41 –
FMEA and FTA), to prove that with the deter-
mined sub-goals, (actual values), the specified
main goal of 10–6 is obtained (also see Table A1).
If the main goal is not achieved, it is necessary to
carry out an iteration and if necessary, to define
another system architecture or to employ higher-
quality (more reliable) components.
For the software development, the measures men-
tioned are followed and verified in keeping with
the standards and in case of doubt, should also be
replaced by higher-quality measures.
The following are among the standards and direc-
tives that would help in practice:
x DIN ISO/IEC 15504
x ISO/IEC 12207
x ISO/IEC 9126
x ISO/IEC 14598
x DIN EN 61508
x DIN EN 61511
x DIN EN 50128
x RTCA DO178
x ISO/DIS 26262-6
x NASA 8739.8
A4 Goal determination for a service
(passenger transport)
Introduction
A company operating a tram system wants to im-
prove its passenger traffic. To do so, it has identi-
fied three important factors:
x economic viability
x adherence to the timetable
x comfort for the passengers
Determine the goals
To achieve the goal of improved passenger service,
these three factors can be evaluated from the per-
spective of reliability. In this example, the factor
“comfort” is described in further detail.
Determining the main goal
At first, a determination is made what the main
requirements are:
x organisation
The measures for increasing the comfort should
result in a high customer loyalty.
– 42 – VDI 4007
x Behörde
Durch die Einführung von zusätzlichen Maß-
nahmen, die den Komfort erhöhen, darf die Si-
cherheit der Fahrgäste nicht beeinträchtigt wer-
den.
x Kunde
Aus einer repräsentativen Befragung der Fahr-
gäste wurde ermittelt, dass kurze Transferwege
von besonderer Bedeutung sind. Zudem erwar-
ten die Kunden eine aktuelle Information zu
Abfahrtszeiten und Fahrplanänderungen.
x Stand der Technik
Bereits in Betrieb stehende Beförderungssyste-
me bei S- und U-Bahnen, die den angestrebten
Komfort schon bieten, werden als Benchmark
beachtet.
Das bei dem Straßenbahnbetrieb eingeführte Ver-
kehrsleitsystem beinhaltet alle notwendigen Infor-
mationen, diese stehen jedoch aktuell nur dem
Dienstpersonal zur Verfügung. Eine Erweiterung
ist technisch möglich. Die Organisation entscheidet
sich dafür, Displays an allen Haltestellen zu instal-
lieren. Hier sollen alle aktuellen Abfahrtszeiten
und Fahrplanänderungen angezeigt werden. Ent-
sprechende Anzeigen sollen auch in den Straßen-
bahnen eingerichtet werden. Die Daten sollen zu-
verlässig richtig und aktuell sein. Hierfür hat die
Organisation eine Zuverlässigkeit von R(1 a) • 99 %
festgelegt, was die Umsetzung des qualitativen Ziels
„hohe Kundenbindung“ bedeutet.
Validierung
In der Validierung wird festgestellt, dass alle rele-
vanten Einflussgrößen (Organisation, Behörde,
Kunde und Stand der Technik) berücksichtigt wur-
den. Für das hieraus ermittelte Hauptziel „Kom-
forterhöhung durch aktuelle Anzeige von Ab-
fahrtszeiten und Fahrplanänderungen“ mit einer
Zuverlässigkeit von R(1 a) • 99 % werden im Wei-
teren die Teilziele ermittelt.
Teilziele ermitteln
Das Hauptziel „Komforterhöhung durch aktuelle
Anzeige von Abfahrtszeiten und Fahrplanänderun-
gen“ von R(1 a) • 99 % wird auf die Teilziele
gleich verteilt.
Teilsysteme sind:
x Anzeigegerät
x Zentralrechner
x Datenübertragung
x authorities
Through the introduction of additional meas-
ures aimed at increased passenger comfort, the
safety of the passengers must not be compro-
mised.
x customer
From a representative survey of the passengers,
it was found that short transfer routes are of
particular importance. In addition, the custom-
ers expect the latest information on departure
times and timetable changes.
x state of the art
Passenger transportation systems already in op-
eration like the underground and high-speed
commuter train systems, which already provide
the aimed comfort, will be viewed as the
benchmark.
The traffic control system that has been launched
in the tram operations already contains all the re-
quired information, but it is not currently available
to the service personnel. An expansion is techni-
cally possible. The organisation decides to install
displays at the tram stops for this purpose. All the
latest departure times and timetable changes are to
be displayed on them. Equivalent displays are also
to be set up in the trams themselves. The data
should be reliable, correct and up to date. For this
purpose, the organisation has laid down a reliabil-
ity of R(1 a) • 99 %, which means the implementa-
tion of the quality goal “high customer loyalty”.
Validation
In the validation, a determination is made that all
the relevant influencing factors (organisation, au-
thorities, customer and state of the art) have been
taken into consideration. For the main goal derived
from this, i.e. “increasing passenger convenience
through latest display of departure times and time-
table changes” with a reliability of R(1 a) • 99 %,
the partial goals are determined in the subsequent
steps.
Determining the sub-goals
The main goal “increasing passenger convenience
through latest display of departure times and time-
table changes” of R(1 a) • 99 % is divided equally
between the sub-goals.
The subsystems are:
x display unit
x central computer
x data transmission

a) Teilsystem Anzeigegerät:
Es müssen gut lesbare Anzeigegeräte an den
Haltestellen und in den Straßenbahnen instal-
liert werden.
Für die Darstellung der Information in Form
von Schriftart und Symbolik gibt es bereits sehr
gute Lösungen bei anderen Verkehrsbetrieben.
Diese können adaptiert werden.
Aus der Gleichverteilung des Hauptziels von
R(1 a) • 99 % wird die Zuverlässigkeitsforde-
rung des Teilzieles mit F(1 h) = 3,8 × 10–7 er-
mittelt.
Hauptziel:
R(1 a) • 99 % => F(1 a) ” 1 %
Teilziel:
F(1 a) ” 0,33 % => F(1 h) = 3,8 × 10–7
b) Teilsystem Zentralrechner:
Die Anzeigeinformationen an den Haltestellen
und in den Straßenbahnen müssen überein-
stimmen.
Voraussetzung für die Übereinstimmung der
Anzeigen ist eine gemeinsame Datenquelle.
Dies ist ein Zentralrechner, der alle relevanten
Daten aufbereitet und an die entsprechende Hal-
testelle liefert. Eine aktuelle Übertragung der
Daten in die Straßenbahn kann von der Halte-
stelle über eine Funkstrecke dargestellt werden.
Die Zuverlässigkeitsforderung wird mit
F(1 h) = 3,8 × 10–7 ermittelt, was sich aus der
Kombination der Zuverlässigkeit von
R(1 a) • 99 % während der Nutzungsdauer von
8760 h normiert auf eine Stunde ergibt und die
Gleichverteilung berücksichtigt.
c) Teilsystem Datenübertragung:
Die Datenübertragung vom Zentralrechner zu
den Anzeigegeräten muss zuverlässig sein. Da
zwischen dem Zentralrechner und den vielen
Haltestellen bisher keine Datenkabel verlegt
sind, würde eine kabelgebundene Lösung den
Kostenrahmen sprengen. Zudem wäre eine
schnelle Einführung nicht möglich. Daher ent-
scheidet sich die Organisation für eine Funküber-
tragung zwischen Zentralrechner und Haltestelle.
Die Zuverlässigkeitsforderung wird mit
F(1 h) = 3,8 × 10–7 ermittelt (Gleichverteilung).
Verifizierung
Das Hauptziel wird während der Verifizierung aus
den Teilzielen mit einer geeigneten Methode (z. B.
FMEA und FTA) berechnet, um nachzuweisen dass
sich bei den ermittelten Teilzielen (Istwerte) das
spezifizierte Hauptziel mit R(1 a) • 99 % ergibt.
VDI 4007 – 43 –
a) subsystem: display unit:
Easily readable display units must be installed
at the tram stops and in the trams.
For the depiction of the information in the form
of lettering and symbols, there are already very
good solutions with other passenger transport
systems. These can be adapted.
From the equal distribution of the main goal of
R(1 a) • 99 %, the reliability requirement of the
sub-goal is determined as F(1 h) = 3,8 × 10–7.
main goal:
R(1 a) • 99 % => F(1 a) ” 1 %
sub-goal:
F(1 a) ” 0,33 % => F(1 h) = 3,8 × 10–7
b) subsystem: central computer:
The information displayed at the tram stops and
in the trams must be the same.
The precondition for them to be the same is a
common data source. This is a central computer
that prepares all the relevant data and supplies it
to the corresponding tram stop. The latest data
can be displayed in the tram cars through a ra-
dio connection from the tram stop.
The reliability requirement is calculated as
F(1 h) = 3,8 × 10–7, which is obtained from the
combination of the reliability of R(1 a) • 99 %
during the usage duration of 8760 h standard-
ised to one hour, and takes the equal distribu-
tion into account.
c) subsystem: data transmission:
The data transmission from the central comput-
er to the display units must be reliable. Since
data cables have not been laid between the cen-
tral computer and the many tram stops so far, a
cable-based solution would exceed cost budg-
ets. Moreover, fast implementation would not
be possible. Therefore, the organisation decides
on radio transmission between the central com-
puter and the tram stop.
The reliability requirement is determined as
F(1 h) = 3,8 × 10–7 (equal distribution).
Verification
The main goal is calculated during the verification
from the sub-goals using a suitable method (e.g.
FMEA and FTA), to prove that the specified main
goal is obtained with the calculated sub-goals (ac-
tual values) as R(1 a) • 99 %.
– 44 – VDI 4007
Schrifttum / Bibliography
Gesetze, Verordnungen, Verwaltungsvorschriften /
Acts, ordinances, administrative regulations
Richtlinie 2006/95/EG des Europäischen Parlaments und des
Rates vom 12. Dezember 2006 zur Angleichung der Rechts-
vorschriften der Mitgliedstaaten betreffend elektrische Be-
triebsmittel zur Verwendung innerhalb bestimmter Span-
nungsgrenzen (ABl EU, 2006, Nr. 374, S. 10–19)
Gesetz über den Verkehr mit Arzneimitteln (Arzneimittelge-
setz – AMG) vom 12.12.2005 (BGBl I, 2005, Nr. 73,
S. 3394–3469)
Bürgerliches Gesetzbuch (BGB) vom 2. Januar 2002
(BGBl I, S. 42, 2909; 2003 I S. 738
Gesetz zum Schutz vor schädlichen Umwelteinwirkungen
durch Luftverunreinigungen, Geräusche, Erschütterungen
und ähnliche Vorgänge (Bundes-Immissionsschutzgesetz –
BImSchG) vom 26.09.2002 (BGBl I, 2002, Nr. 71, S. 3830–
3855)
Dreizehnte Verordnung zur Durchführung des Bundes-
Immissionsschutzgesetzes (Verordnung über Großfeuerungs-
und Gasturbinenanlagen – 13. BImSchV) vom 20.07.2004
(BGBl I, 2004, Nr. 37, S. 1717–1730)
Gesetz zur Regelung der Gentechnik (Gentechnikgesetz –
GenTG) vom 16.12.1993 (BGBl I, 1993, Nr. 67, S. 2066–
2083)
Neunte Verordnung zum Geräte- und Produktsicherheitsge-
setz (Maschinenverordnung – 9. GPSGV) vom 12. Mai 1993
(BGBl I, 1993, Nr. 22, S. 704–707)
Gesetz über die Haftung für fehlerhafte Produkte (Produkt-
haftungsgesetz – ProdHaftG) vom 15. Dezember 1989
(BGBl I, 1989, Nr. 59, S. 2198–2200)
Technische Regeln / Technical rules
DIN EN 31010*VDE 0050-1:2010-11 Risikomanagement;
Verfahren zur Risikobeurteilung (IEC/ISO 31010:2009);
Deutsche Fassung EN 31010:2010 (Risk management; Risk
assessment techniques (IEC/ISO 31010:2009); German
version EN 31010:2010). Berlin: Beuth Verlag
DIN EN 50126*VDE 0115-103:2000-03 Bahnanwendungen;
Spezifikation und Nachweis der Zuverlässigkeit, Verfügbar-
keit, Instandhaltbarkeit, Sicherheit (RAMS); Deutsche Fas-
sung EN 50126:1999 (Railway applications; The specifica-
tion and demonstration of reliability, availability, maintain-
ability and safety (RAMS); German version EN 50126:
1999). Berlin: Beuth Verlag
DIN EN 50128*VDE 0831-128:2012-03 Bahnanwendungen;
Telekommunikationstechnik, Signaltechnik und Datenverar-
beitungssysteme; Software für Eisenbahnsteuerungs- und
Überwachungssysteme; Deutsche Fassung EN 50128:2011
(Railway applications; Communication, signalling and proc-
essing systems; Software for railway control and protection
systems; German version EN 50128:2011). Berlin: Beuth
Verlag
DIN EN 50129*VDE 0831-129:2003-12 Bahnanwendungen;
Telekommunikationstechnik, Signaltechnik und Datenverar-
beitungssysteme; Sicherheitsrelevante elektronische Systeme
für Signaltechnik; Deutsche Fassung EN 50129:2003 (Rail-
way applications; Communications, signalling and process-
ing systems; Safety related electronic systems for signalling;
German version EN 50129:2003). Berlin: Beuth Verlag
DIN EN 60300-1:2010-10 (Entwurf / Draft) Zuverlässigkeits-
management; Teil 1: Leitfaden für Management und Anwen-
dung (IEC 56/1368/CD:2010) (Dependability management;
Part 1: Guidance for management and application
(IEC 56/1368/CD:2010)). Berlin: Beuth Verlag
DIN EN 60300-1:2004-02 Zuverlässigkeitsmanagement;
Teil 1: Zuverlässigkeitsmanagementsysteme (IEC 60300-1:
2003); Deutsche Fassung EN 60300-1:2003 (Dependability
management; Part 1: Dependability management systems
(IEC 60300-1:2003); German version EN 60300-1:2003).
Berlin: Beuth Verlag
DIN EN 60300-2:2004-10 Zuverlässigkeitsmanagement; Teil 2:
Leitfaden zum Zuverlässigkeitsmanagement (IEC 60300-2:
2004); Deutsche Fassung EN 60300-2:2004 (Dependability
management; Part 2: Guidelines for dependability manage-
ment (IEC 60300-2:2004); German version EN 60300-2:
2004). Berlin: Beuth Verlag
DIN EN 60300-3-11*VDE 0050-5:2010-05 Zuverlässig-
keitsmanagement; Teil 3-11: Anwendungsleitfaden; Auf die
Funktionsfähigkeit bezogene Instandhaltung (IEC 60300-3-11:
2009); Deutsche Fassung EN 60300-3-11: 2009 (Dependabil-
ity management; Part 3-11: Application guide; Reliability
centred maintenance (IEC 60300-3-11:2009); German ver-
sion EN 60300-3-11:2009). Berlin: Beuth Verlag
DIN EN 60706-5:2008-03 Instandhaltbarkeit von Geräten;
Teil 5: Prüfbarkeit und diagnostisches Prüfen (IEC 60706-5:
2007); Deutsche Fassung EN 60706-5:2007 (Maintainability
of equipment; Part 5: Testability and diagnostic testing
(IEC 60706-5:2007); German version EN 60706-5:2007).
Berlin: Beuth Verlag
DIN EN 60812:2006-11 Analysetechniken für die Funktions-
fähigkeit von Systemen; Verfahren für die Fehlzustandsart-
und -auswirkungsanalyse (FMEA) (IEC 60812:2006); Deut-
sche Fassung EN 60812:2006 (Analysis techniques for sys-
tem reliability; Procedure for failure mode and effects analy-
sis (FMEA) (IEC 60812:2006); German version EN 60812:
2006). Berlin: Beuth Verlag
DIN EN 61025:2007-08 Fehlzustandsbaumanalyse (IEC 61025:
2006); Deutsche Fassung EN 61025:2007 (Fault tree analysis
(FTA) (IEC 61025:2006); German version EN 61025:2007).
Berlin: Beuth Verlag
DIN EN 61508*VDE 0803 Funktionale Sicherheit sicher-
heitsbezogener elektrischer/elektronischer/programmierbarer
elektronischer Systeme; Deutsche Fassung EN 61508 (Func-
tional safety of electrical/electronic/programmable electronic
safety-related systems; German version EN 61508). Berlin:
Beuth Verlag
DIN EN 61511*VDE 0810 Funktionale Sicherheit; Sicher-
heitstechnische Systeme für die Prozessindustrie; Deutsche
Fassung EN 61511 (Functional safety; Safety instrumented
systems for the process industry sector; German version
EN 61511). Berlin: Beuth Verlag
DIN EN 61703:2002-09 Mathematische Ausdrücke für Be-
griffe der Funktionsfähigkeit, Verfügbarkeit, Instandhaltbar-
keit und Instandhaltungsbereitschaft (IEC 61703:2001);
Deutsche Fassung EN 61703:2002 (Mathematical expres-
sions for reliability, availability, maintainability and mainte-
nance support terms (IEC 61703:2001); German version
EN 61703:2002). Berlin: Beuth Verlag
DIN EN 61709:2012-01 Elektrische Bauelemente; Zuverläs-
sigkeit; Referenzbedingungen für Ausfallraten und Be-
anspruchungsmodelle zur Umrechnung (IEC 61709:2011);
Deutsche Fassung EN 61709:2011 (Electric components;
Reliability; Reference conditions for failure rates and stress
models for conversion (IEC 61709:2011); German version
EN 61709:2011). Berlin: Beuth Verlag
DIN EN ISO 13849 Sicherheit von Maschinen; Sicherheits-
bezogene Teile von Steuerungen; Deutsche Fassung EN
ISO 13849:2008 (Safety of machinery; Safety-related parts of

control systems; German version EN ISO 13849:2008).
Berlin: Beuth Verlag
DIN EN ISO 14971:2009-10 Medizinprodukte; Anwendung
des Risikomanagements auf Medizinprodukte (ISO 14971:
2007, korrigierte Fassung 2007-10-01); Deutsche Fassung
EN ISO 14971:2009 (Medical devices; Application of risk
management to medical devices (ISO 14971:2007, Corrected
version 2007-10-01); German version EN ISO 14971:2009).
Berlin: Beuth Verlag
DIN ISO 10007:2004-12 Qualitätsmanagement; Leitfaden für
Konfigurationsmanagement (ISO 10007:2003) (Quality
management systems; Guidelines for configuration manage-
ment (ISO 10007:2003)). Berlin: Beuth Verlag
DIN ISO/IEC 15504 Informationstechnik; Prozess Assess-
ment (ISO/IEC 15504:2004) (Information technology; Pro-
cess assessment (ISO/IEC 15504:2004)). Berlin: Beuth
Verlag
EASA CS-25:2003-10 Certification specifications on large
aeroplanes. Köln: Europäische Agentur für Flugsicherheit
IEV 191:2002-10 Internationales Elektrotechnisches Wörter-
buch; Kapitel 191: Zuverlässigkeit und Dienstgüte (Konsoli-
dierte Fassung einschließlich Änderung 1 und Änderung 2);
Identisch mit IEC 60050-191:1990-12 (Konsolidiert mit
IEC 60050-191/A1:1993-03 und IEC 60050-191/A2:2002-
01) (International Electrotechnical Vocabulary; Chapter 191:
Dependability and quality of service (Consolidated version
included Amendment 1 and Amendment 2); Identical with
IEC 60050-191:1990-12 (Consolidated with IEC 60050-191/
A1:1993-03 and IEC 60050-191/A2:2002-01). Frankfurt/M.:
DKE Deutsche Kommission Elektrotechnik Elektronik In-
formationstechnik im DIN und VDE
ISO 26262-6:2011-11 Road vehicles; Functional safety; Part
6: Product development at the software level (Straßenfahr-
zeuge; Funktionale Sicherheit; Teil 6: Produktentwicklung;
Software-Ebene). Genf: ISO
ISO/IEC 12207:2008-02 Systems and software engineering;
Software life cycle processes (Systeme und Software-
Engineering; Software Lebenszyklusprozesse). Genf: ISO
ISO/IEC 14598 Information technology; Software product
evaluation (Informationstechnik; Bewertung von Software-
produkten). Genf: ISO
ISO/IEC 25010:2011-03 Systems and software engineering;
Systems and software Quality Requirements and Evaluation
(SQuaRE); System and software quality models (Software-
Engineering; Qualitätskriterien und Bewertung von Soft-
wareprodukten (SQuaRE); Qualitätsmodell und Leitlinien).
Genf: ISO
JAR 25: Large aeroplanes. Englewood: IHS
MIL-HDBK-217F:1991-12 Reliability Prediction of Elec-
tronic Equipment. Washington D.C.: DoD
MIL-STD-1629A:1980-12 Procedures for Performing a
Failure Mode, Effects and Criticality Analysis. Zurückgezo-
gen 1998-08. Kein Nachfolgedokument
MIL-STD-882D:2000-02 System Safety Program Require-
ments. Washington D.C.: DoD
NASA 8739.8:2004-07 Software assurance standard. Wash-
ington D.C: NASA
RTCA DO-178B:1992-12 Software considerations in air-
borne systems and equipment certification. Washington D.C.:
RTCA
SAE ARP 4754A:2010-12 Guidelines for Development of
Civil Aircraft and Systems. Warrendale, PA: SAE
VDI 4007 – 45 –
SAE ARP 4761:1996-12 Guidelines and Methods for Con-
ducting the Safety Assessment Process on Civil Airborne
Systems and Equipment. Warrendale, PA: SAE
VDI 1000:2010-06 VDI-Richtlinienarbeit; Grundsätze und
Anleitungen (VDI Guideline Work; Principles and proce-
dures). Berlin: Beuth Verlag
VDI 4003:2007-03 Zuverlässigkeitsmanagement (Reliability
management). Berlin: Beuth Verlag
VDI 4008 Blatt 4:2008-07 Methoden der Zuverlässigkeit;
Petri-Netze (Reliability methodology; Petri nets). Berlin: Beuth
Verlag
VDI 4009 Blatt 1:1998-05 Überblick über Zuverlässigkeits-
tests (Survey on reliability tests). Berlin: Beuth Verlag
Literatur / Literature
Bertsche, B.; Lechner, G.: Zuverlässigkeit im Fahrzeug- und
Maschinenbau. Berlin: Springer Verlag, 2004
Birolini, A.: Zuverlässigkeit von Geräten und Systemen.
Berlin: Springer Verlag, Januar 1997, ISBN 3540609970
Bundesamt für Strahlenschutz: Zusammenstellung der Leit-
fäden für die Periodische Sicherheitsüberprüfung für Kern-
kraftwerke. Dezember 1996, Bundesanzeiger Nr. 232a
Bundesamt für Strahlenschutz: Methoden zur probabi-
listischen Sicherheitsanalyse für Kernkraftwerke. Fachar-
beitskreis Probabilistische Sicherheitsanalyse für Kernkraft-
werke. Salzgitter: Juni 1997, BfS-KT-16/97
Bundesamt für Strahlenschutz: Daten zur Quantifizierung
von Ereignisablaufdiagrammen und Fehlerbäumen. Fachar-
beitskreis Probabilistische Sicherheitsanalyse für Kernkraft-
werke. Salzgitter: Juni 1997, BfS-KT-18/97
Camarinopoulos, L.; Becker, A.: Zuverlässigkeits- und Risi-
koanalysen; Kerntechnische Gesellschaft e.V. KTG-Seminar,
Band 2; Verlag TÜV Rheinland, 1983
Cepin, M.: Complexity and time requirements in a fault tree.
Paper ESREL 2001. 3rd Volume, Proceedings of the Europe-
an Conference on Safety and Reliability Conference, ESREL
2001, Torino, 16–20 September 2001, pp. 1667–1674
Gottschalk, A.: Qualitäts- und Zuverlässigkeitssicherung
elektronischer Bauelemente und Systeme. Expert Verlag,
2010
Italtel: Italtel Reliability Prediction Handbook – IRPH, 2003
Technische Zuverlässigkeit; Herausgegeben von Messer-
schmitt-Bölkow-Blohm; Springer Verlag, 1977
Moubray, J.: Reliability-Centered Maintenance Industrial
Press, 2nd Edition, April 1997, ISBN: 0831130784
NASA: RCM Guide for Facilities and Collateral Equipment
http://www.hq.nasa.gov/office/codej/codejx/rcm-iig.pdf
Non-electronic Parts Reliability Data (NPRD-95), or Failure
Mode/Mechanism Distributions (FMD-97) from the Reliabil-
ity Analysis Center, 201 Mill Street, Rome, NY 13440-6916
O’Connor, P.D.T.: Zuverlässigkeitstechnik; John Wiley &
Sons; 1985
Rakowsky, U.K.; Richardson N.: Wörterbuch der Zuverläs-
sigkeit. Hagen: LiLoLe Verlag, 2001
Schneeweiss, W.G.: Zuverlässigkeitstechnik – von Kompo-
nenten zum System. Köln: Datakontext-Verlag
Smith, A.M.: Reliability-Centered Maintenance. New York:
McGraw-Hill, Inc., 1993, ISBN 0-07-059046-X
Zuverlässigkeit von Komponenten technischer Systeme.
VDI-Berichte 771, Düsseldorf: VDI Verlag, 1989
VGB Datensammlung KKW