Beruflich Dokumente
Kultur Dokumente
in der Praxis
Referent: Thomas Haller
Seite 2 www.newtec.de
Funktionale Sicherheit
Seite 3 www.newtec.de
Wenn die Technik versagt
• Als Folge dieses Unfalls wurde die Verschärfung der Gesetze und Verordnung
zum Schutz von Menschen, Lebewesen und Umwelt beschlossen
Seite 5 www.newtec.de
Funktionale Sicherheit
Einführung
Seite 6 www.newtec.de
Definition
Spannungsfeld
Sicheres System Entwicklungsaufwand
Seite 7 www.newtec.de
Was ist ein System?
Seite 8 www.newtec.de
Funktionale Sicherheit
Begriffsdefinitionen
Seite 9 www.newtec.de
Definition „funktionale Sicherheit“
Funktionale Sicherheit bezeichnet den Teil der Sicherheit eines Systems, der von der
korrekten Funktion der sicherheitsbezogenen (Sub-)Systeme und externer Einrichtungen zur
Risikominderung abhängt. Nicht zur funktionalen Sicherheit gehören u. a. elektrische
Sicherheit, Brandschutz, Strahlenschutz. Da Sicherheit auch erreicht werden kann, indem
notfalls die bestimmungsgemäße Funktion eingestellt und ein sicherer Zustand eingenommen
wird, spricht man auch von der Sicherheitsintegrität des Systems.
Mit der Komplexität elektronischer, insbesondere programmierbarer Systeme steigt auch die
Vielfalt der Fehlermöglichkeiten. Entsprechend fordert die Normenreihe IEC 61508 Funktionale
Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbar elektronischer
Systeme die Anwendung diverser Methoden zur Vermeidung systematischer Fehler (das sind
Fehler bei der Spezifikation, Implementierung etc. des Systems) und zur sicheren
Beherrschung von Ausfällen und Störungen (oft durch physikalische Phänomene oder
Bedienungsfehler). Eine Anpassung dieser Normenreihe für Kraftfahrzeuge ist die ISO-Norm
26262
Seite 10 www.newtec.de
Abgrenzung „funktionale Sicherheit“
Seite 11 www.newtec.de
Funktionale Sicherheit
Produkthaftungsgesetz
Seite 12 www.newtec.de
Definition „Produkthaftung“
Die Produkthaftung bezeichnet die Haftung auf Schadensersatz gegen den Hersteller für
Schäden, die beim Endabnehmer infolge eines fehlerhaften Produkts entstanden sind. Sie ist
in den §§ 1 bis 19 des Produkthaftungsgesetzes (ProdHaftG) geregelt und von der
verschuldensabhängigen „Produzentenhaftung“ nach § 823 BGB zu unterscheiden.
Die Produkthaftung setzt weder einen Vertrag zwischen dem Hersteller und dem
Endverbraucher voraus, noch ist ein Verschulden für die Haftung des Herstellers erforderlich.
Vielmehr soll der Endabnehmer vor bestimmten von einem fehlerhaften Produkt ausgehenden
Gefahren unabhängig von einem Verschulden des Herstellers geschützt werden, auch wenn
sich erst nach Inverkehrbringen des Produkts gezeigt haben. Es handelt sich also um eine
reine Gefährdungshaftung. Mangels Vertrags oder Kontakt zwischen Hersteller und
Endabnehmer, der das Produkt in der Regel bei einem Zwischenhändler erworben hat,
scheiden Ansprüche aus Gewährleistung, Positiver Vertragsverletzung (pVV) und der culpa in
contrahendo („cic“, Verschulden vor Vertragsabschluss) aus. Auch ein Vertrag zugunsten
Dritter kommt regelmäßig nicht in Betracht, da der Endabnehmer dem Hersteller und den
Zwischenhändlern noch nicht bekannt ist und daher in dem zwischen ihnen geschlossenen
Vertrag nicht einbezogen ist.
Seite 13 www.newtec.de
Geltungsbereich funktionale
Sicherheit
Voraussetzung
QM-System Normen
Safety Management DIN EN
Mehrkosten durch Prozesse (~ 50%) ISO, IEC
Wann? Anwendungsbereich
Produktlebenszyklus sicherheitsbezogene elektronische
(Produktidee bis Außerbetriebnahme) Systeme
Methodik
• Gefahren- u. Risikoanalyse Zielsetzung
• Fehleranalyse (FMEA) Gefahren für Mensch und Umwelt
• sichere Produktentwicklung abwenden
und Herstellung nach
anerkannten Praktiken
Motivation
Strategie • Produkthaftungsgesetz
Fehlervermeidung und • Imageschaden vorbeugen
Fehlerbeherrschung • Nachfrage nach sicheren Produkten
Seite 14 www.newtec.de
Normen und deren Nichtbeachtung
Die Normen zur funktionalen Sicherheit gelten ab deren offiziellen Release. Sie gelten für
alle, ab ihrer Veröffentlichung verkauften, Produkte.
Die Anwendung der Normen zur funktionalen Sicherheit ist stets freiwillig.
Tritt ein Fehler oder gar ein Unfall auf, wird jedoch die Einhaltung der Normen bei der
Entwicklung des Systems geprüft, da es sich um den „aktuellen Stand der Technik“ handelt.
Wurden die Normen verletzt oder nicht beachtet, drohen empfindliche zivil- und strafrechtliche
Folgen. Es kann als grob fahrlässige Handlung oder Vorsatz gewertet werden. Daraus ergeben
sich erhöhte Schadensersatzansprüche, persönliche Haftung sowie höhere Versicherungs-
prämien zur Risiko Absicherung. Managerhaftpflichtversicherungen schützen nicht!
Eine Zertifizierung nach Normen der funktionalen Sicherheit dagegen befreit nicht von der
Produkthaftung, sie mindert jedoch die einstehenden Ansprüche im Falle des Versagens des
Systems.
Seite 16 www.newtec.de
Welche Normen gibt es wofür
Seite 17 www.newtec.de
Kritikalitätslevels:
SIL Level
DAL Level
ASIL Level
SILCL Level
Seite 18 www.newtec.de
Sicherheits-Integritätslevel SIL
IEC 61508
Beispiel: SIL 4
Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde < 10-8
oder 1 gefahrbringender Ausfall in > 10 8 Stunden
1 : 100.000.000
Seite 19 www.newtec.de
Kritikalitätslevel DAL
DO 178B
Seite 20 www.newtec.de
Kritikalitätslevel ASIL
ISO/FDIS 26262
Kritikalitätslevel – ISO/FDIS 26262
Zur Risikoanalyse in der ISO 26262 wird eine festgelegte qualitative Methodik angewendet.
Dazu muss für jede identifizierte Gefährdung einzeln:
• die Schwere der Auswirkung (severity - S)
• die Häufigkeit der Fahrsituation (exposure - E)
• die Beherrschbarkeit der Fehlfunktion in der jeweiligen Fahrsituation z. B. durch den
Fahrer (controllability - C)
abgeschätzt werden. Aus einer vorgegebenen Tabelle lässt sich dann für jede Gefährdung
die Einstufung QM oder ASIL A bis D ablesen.
Seite 21 www.newtec.de
Kritikalitätslevel ASIL
ISO/FDIS 26262
Seite 22 www.newtec.de
Kritikalitätslevel ASIL
ISO/FDIS 26262
Beherrschbarkeit
Schwere Häufigkeit
C1 C2 C3
E1 QM QM QM
E2 QM QM QM
S1
E3 QM QM A
E4 QM A B
E1 QM QM QM
E2 QM QM A
S2
E3 QM QM B
E4 A B C
E1 QM QM A
E2 QM A B
S3
E3 A B C
E4 B C D
Seite 23 www.newtec.de
SILCL Sicherheits-Integritätslevel
IEC/EN 62061
(PFHd)
„hazardous /severe-major“ 3 ≥10-8 bis < 10-7
„major“ 2 ≥10-7 bis < 10-6
„minor“ 1 ≥10-6 bis < 10-5
Seite 24 www.newtec.de
Klassifikation Risikoparameter
Reversibel: erste Reversibel: Behandlung durch Irreversibel: gebrochene Irreversibel: Tod, Verlust
Hilfe erforderlich Mediziner erforderlich Gliedmaßen, Verlust eines Fingers eines Auges oder Arms
Seite 25 www.newtec.de
SILCL Sicherheits-Integritätslevel
IEC/EN 62061
Die Addition dieser Zahlen ergibt die Klasse der Wahrscheinlichkeit des Schadens K
1 (AM) SIL 1
Seite 26 www.newtec.de
Beispiele Gefährdungseinstufung
Seite 27 www.newtec.de
Funktionale Sicherheit
Begriffsdefinition
Seite 28 www.newtec.de
Zuverlässig verfügbar
Zuverlässigkeit
Die Wahrscheinlichkeit, daß ein System unter definierten Bedingungen eine gewisse Zeit
fehlerfrei arbeitet
Verfügbarkeit
Die Wahrscheinlichkeit, daß ein System unter definierten Bedingungen zu einem bestimmten
Zeitpunkt fehlerfrei arbeitet
Seite 29 www.newtec.de
Die Fehlerrate, Ausfallrate und FIT
Ausfallrate, Fehlerrate λ
Seite 30 www.newtec.de
Ausfallrate Berechnung, Beispiel
Bei einem System von Objekten wird die Ausfallrate des Systems berechnet als die Summe
der Ausfallrate der einzelnen Elemente. Dabei wird davon ausgegangen, daß der Verlust
irgendeines Elements zum Ausfall des Systems führt, was nicht der Fall ist, wenn das System
Redundanz ausweist.
Die totale Ausfallrate ist 206 fit, die mittlere Lebensdauer ist 550 Jahre. Diese Zahl gilt aber nur
unter der Voraussetzung, daß die Batterie regelmäßig ausgewechselt wird: Die Batterie hat zu
Anfang eine kleine Ausfallrate, die aber mit zunehmender Entladung stark ansteigt.
Seite 31 www.newtec.de
Ausfallrate Beispiel
Ausfallratemessungen an Glühbirnen
oben: Kurve der funktionierenden Glühbirnen über der Zeit
unten: Ausfallsrate, es ergibt sich hier ein auch für viele
andere Produkte typisches Badewannenprofil der
Ausfallswahrscheinlichkeit
Seite 32 www.newtec.de
Funktionale Sicherheit
Begriffsdefinition
Seite 33 www.newtec.de
Ausfallsicherheit
In der Technik wird eine Ausfallsicherheit durch organisatorische Maßnahmen und technische
Redundanzen erzielt – steigend geordnet:
Bereitstellung einer Ersatzkomponente, die bei einem Ausfall zum Einsatz kommt; wie ein
Notstromgenerator bei einem Stromausfall.
Seite 34 www.newtec.de
Es gibt 2 Typen von Fehlern
Zufällige Fehler:
• Der Fehler tritt durch zufälliges Zusammentreffen von unterschiedlichen Ereignissen auf
• Kann nicht vermieden werden und muss in der Applikation berücksichtigt werden
• Ein Eintreten kann durch Gefährdungsbeurteilung und Risikoanalyse verringert werden
Systematische Fehler:
Seite 35 www.newtec.de
Sichere Entwicklung
Seite 36 www.newtec.de
Betrachtung aller System-Einflüsse
Seite 37 www.newtec.de
Betrachtung aller System-Einflüsse
Seite 38 www.newtec.de
Betrachtung aller System-Einflüsse
Seite 39 www.newtec.de
Betrachtung aller System-Einflüsse
Seite 40 www.newtec.de
Betrachtung aller System-Einflüsse
Seite 41 www.newtec.de
Sichere Entwicklung
Seite 42 www.newtec.de
Entstehung aus Safety Goals
Seite 43 www.newtec.de
Risikoanalyse: Verfolgbarkeit
durch Verlinkung sicherstellen
Sicherheits-
Sicherheitsziele
anforderungen
Seite 44 www.newtec.de
Risikoanalyse ist übergeordnet
Gefährdungs- und
Risikoanalyse Zertifizierung
Safety goals
Safety requirements
Systemrequirements
Kundenabnahme
Kundenrequirements
Systemtest
Planung des Projekts
Sicherheitsabnahme
Top-Level Integrations
System-Design Test
Detaillierte Detaillierte
Requirements Verifikation
Detailliertes Modul
System-Design Test
Implementierung
Entwicklung
Seite 45 www.newtec.de
Sichere Entwicklung
Seite 46 www.newtec.de
Erforderliche Organisationsstruktur
Seite 47 www.newtec.de
Die Umsetzung
Seite 48 www.newtec.de
Redundanzen erhöhen
Ausfallsicherheit
• Redundante Sensorik
• Redundante Steuergeräte Hardware (vgl. Hardware Architekturen)
• Redundante Aktorik
• Diagnose Kanäle
• Mischung von unterschiedlichen Technologien auf verschiedenen Kanälen (z.B.
Bremsfunktion ABS und Handbremse, mechanische und digitale Sensoren)
• Intelligente Überwachungsfunktionen (z.B. Notaus durch aktiven Türsensor)
• Autonome Notausfunktionen (z.B. Blockade einer Presse im Notaus-Fall)
Seite 49 www.newtec.de
Die Umsetzung
Seite 50 www.newtec.de
Hardware: 1oo1 Architektur
Dies ist die einfachste und meist kostengünstigste Form eines Systems. Hier gibt es keine
Überwachung der sicheren Funktionsfähigkeit.
• Einfache Überwachungen sind durch Software realisierbar
• Keine funktionale Sicherheit gewährleistet
Hardware
Software
Zuverlässigkeit ▼
Verfügbarkeit ▼
Seite 51 www.newtec.de
Hardware: 1oo1D Architektur
Hier überwacht eine Diagnose Einheit die Funktionsfähigkeit der Hardware. Es kann im
Fehlerfall (Hardware) reagiert werden. Softwarefehler oder Fehler außerhalb der Diagnose
Überwachung werden nicht erkannt.
• Hardware Überwachung gewährleistet, Software nicht überwacht
• Einfache funktionale Sicherheit realisierbar
Diagnose
Hardware
Software
Zuverlässigkeit ►
Verfügbarkeit ▼
Seite 52 www.newtec.de
Hardware: 1oo2 Architektur
Zuverlässigkeit ►
Verfügbarkeit ▲
Seite 53 www.newtec.de
Hardware: 2oo2 Architektur
Zuverlässigkeit ▲
Verfügbarkeit ▼
Seite 54 www.newtec.de
Hardware: 2oo3 Architektur
Entscheidungslogik
Multiplexer
Zuverlässigkeit ▲
Verfügbarkeit ▲
Seite 55 www.newtec.de
Die Umsetzung
Seite 56 www.newtec.de
Reviews effizienter als Tests
Reviews: Tests:
• Architektur Reviews • Komponententests (HiL)
• Design Reviews • Systemtests (Black- / Whitebox)
• Code Reviews • Umwelteinflüsse (EMV, Temperatur)
Jeweils in sehr frühen Phasen (sobald erste Erst nach Verfügbarkeit eines testbaren
Ergebnisse zum Review zur Verfügung Systems möglich
stehen) Umwelteinflüsse sind nur durch Tests
abzusichern
Seite 57 www.newtec.de
Die Umsetzung
Praxisbeispiel DO178B
Seite 58 www.newtec.de
Praxisbeispiel DO178B
DAL-A: Autopilot
Funktionalität:
Seite 59 www.newtec.de
Praxisbeispiel DO178B
DAL-A: Autopilot
Notwendige Software Entwicklungsaktivitäten
Seite 60 www.newtec.de
Praxisbeispiel DO178B
Funktionalität:
• Sicherheitsinformationen
• Bereitstellung von Passagierinfos
• Bordunterhaltungssystem
Seite 61 www.newtec.de
Praxisbeispiel DO178B
Seite 62 www.newtec.de
Die Umsetzung
Seite 63 www.newtec.de
Praxisbeispiel ISO 13849-1
Seite 64 www.newtec.de
Risikoanalyse Schutzschaltung
Antrieb Industrieroboter
Fehler im Steuergerät:
Software- oder Hardwarefehler
Speicherfehler durch EMV
Fehler am internen Bussystem Verklebte Kontakte
(Adress-/Datenbus), I/O Fehler
Über-/ Unterspannung
Input Output
Sensoren
Gefahrenbereich
Abschaltung (STO)
Drehzahl- (safe torque off)
erfassung
Notaus
Kabelbruch
Fehler am Sensor:
Schluss zur Versorgungsspannung
Masseschluß
Oszillierendes, offenes Signal
Seite 65 www.newtec.de
Beispiele für Sicherheitsziele,
Risiken und Anforderungen
Ein Kabelbruch in der
Notausverkabelung führt dazu, daß die
Notausanforderung nicht erkannt wird
Sicherheits-
Sicherheitsziele
anforderungen
Seite 66 www.newtec.de
Gewählte Architektur
Schutzschaltung Industrieroboter
Sensoren Gefahren-
bereich (öffner)
Abschaltung
Drehzahlerfassung STO (safe torque off)
(Hall Sensor Typ 1)
Logik / Steuerung
Zwangsgeführte
Temperatursensor Typ 1 Hilfskontakte
(digital)
(Rückmeldepfad)
Notaus (Öffner)
Kreuzvergleich durch
PWM mit 500 Hz gegenseitige
Überwachung
Sensoren Gefahren-
bereich (Lasergatter)
Abschaltung
Drehzahlerfassung STO (safe torque off)
(Schleifring)
Logik / Steuerung
Zwangsgeführte
Temperatursensor Typ 2 Hilfskontakte
(analog)
(Rückmeldepfad)
Notaus (Schließer)
Seite 67 www.newtec.de
Die Umsetzung
Seite 68 www.newtec.de
Praxisbeispiel ISO 26262
Seite 69 www.newtec.de
Praxisbeispiel ISO 26262
Die Auslösung erfolgt durch die Zündung eines pyrotechnischen Treibsatzes. Die hierbei
entstehenden Abbrandgase füllen den Airbag. Die Abbrandgeschwindigkeit beträgt bei
Natriumazid ca. 4700 m/s und es entsteht eine Gastemperatur von ca. 400°C bis 500°C.
Ein Fahrerairbag besitzt ein Aufblasvolumen von ca. 67 l und ist 30 ms nach dem Zünden
entfaltet. Die Ausdehnungsgeschwindigkeit beträgt ca. 550 km/h. Der Beifahrerairbag besitzt
ein Volumen von ca. 140 l und ist nach etwa 35 ms gefüllt. Das Gasgemisch besteht zu rund
99 % aus Stickstoff, Wasserdampf und Kohlendioxid
Ein Airbag kann mit einfacher pyrotechnischer Zündung nur einmal auslösen. Bei
Mehrfachaufprall des Fahrzeugs wird die Schutzfunktion dadurch eingeschränkt.
Die Zündkapsel hat eine eigene, autonome Spannungsquelle, um im Falle einer durch den
Unfall bereits zerstörten Energieversorgung trotzdem zu zünden.
Seite 70 www.newtec.de
„Trau‘ keiner Statistik…“
Das zugehörige Steuergerät wird 2 kanalig redundant ausgeführt (auf einem MC).
Seite 73 www.newtec.de
Zertifizierung / Zulassung
Seite 74 www.newtec.de
Unterscheidung Zulassung und
Zertifizierung
Typ-Zulassung:
• Eine Typ-Zulassung erfolgt durch eine staatliche Stelle (Luftfahrtbundesamt,
Kraftfahrtbundesamt, EASA, …)
• Die Typ-Zulassung qualifiziert baugleiche Flug- / Fahrzeuge oder Geräte für einen
sicheren Betrieb
• Eine Typ-Zulassung ist zwingend erforderlich, um z.B. ein Flug- / Fahrzeug oder Gerät in
den Verkehr zu bringen
• Die Typ-Zulassung erfordert auch einen Nachweis der Sicherheit von Hard- und Software
Zertifizierung:
• Eine Zertifizierung ist nicht gesetzlich vorgeschrieben
• Zertifizierungen können nur von akkreditierten Institutionen vorgenommen werden (z.B.
akkreditiert durch DAkkS – Deutsche Akkreditierungsstelle)
• Zertifizierungen vereinfachen die Typ-Zulassung, garantieren sie jedoch nicht
Seite 75 www.newtec.de
Zertifizierungen
Seite 76 www.newtec.de
Die Zertifizierung
Seite 77 www.newtec.de
Ablauf einer Zertifizierung
- frühe Phase, Schritt 1
Seite 78 www.newtec.de
Ablauf einer Zertifizierung
- Abschluß, Schritt 2
Entwicklung abgeschlossen
Systemtests und Reviews abgeschlossen
Alle erforderlichen Dokumente sind verfügbar
Seite 79 www.newtec.de
Die Dienstleister
Seite 80 www.newtec.de
Wer kann zulassen/ zertifizieren
Typ-Zulassungen: Zertifizierungen:
Luftfahrtbundesamt TÜV Nord Gruppe
Kraftfahrtbundesamt TÜV Süd Gruppe
EASA TÜV Rheinland
US: JAA Joint Aviation Authorities SGS TÜV Saar
VDE
Exida
Seite 81 www.newtec.de
Agil und sicher?
Seite 82 www.newtec.de
Wenn viele Anforderungen konstant
sind, lohnt sich agil nicht
agil V-Modell
Konstante Anforderungen über den
gesamten Entwicklungszeitraum
Seite 83 www.newtec.de
Trotzdem lohnt es sich die Regeln der
agilen Methoden anzuwenden
Seite 84 www.newtec.de
Ihre Ansprechpartner der
NewTec
NewTec GmbH
System-Entwicklung und Beratung
Buchenweg 3
89284 Pfaffenhofen a. d. Roth
Svenja Notz
Marketing & Training
Tel.: +49 (0)7302 / 9611-42
E-Mail: svenja.notz@newtec.de
Seite 85 www.newtec.de