Funktionale Sicherheit

Transkript

1 Josef Börcsök Funktionale Sicherheit Grundzüge sicherheitstechnischer Systeme 2., überarbeitete Auflage Hitthis

2 Inhaltsverzeichnis 1 Einleitung 23 2 Historische Entwicklung von Sicherheitssystemen und Normen 25 3 Normen und Richtlinien Normengremien Normen DINV DIN V VDE IEC IEC IEC ISA TR RTCA DO 178B Definitionen rundum den Begriff der Sicherheit Stand der Technik Automobilbereich Luftfahrt Automatisierungstechnik 56 4 Fehler, Fehlerursachen und Ausfälle Fehlerraten.: Fehler-Ausfall-Abweichung Fehlerquellen Fehlertoleranz Fehler gemeinsamer Ursache 65 5 Kenngrößen der Risiko- und Zuverlässigkeitsanalyse Kenngrößen der Zuverlässigkeit Ausfallwahrscheinlichkeit Mittlere Lebensdauer Mittlere Instandsetzungszeit Mittlere Brauchbarkeitsdauer Verfügbarkeit Ausfallraten SFF DC Tests MTTF MTTF - Spurious Trip Rate 77

3 XII Inhaltsverzeichnis 5.11 PFD 78 6 Maßnahmen zur Risikobestimmung.< Grundsätzliche Konzepte Methoden der Gefahrenanalyse Vorwärts-und Rückwärts-Suche Top-Down und Bottom-Up Suche Wahrscheinlichkeitsanalyse Statistische Analyse Fehlerausbreitungsmodell 87 7 Risikomatrix 89 8 Risikograph Risikograph nach DIN V Zusammenhang zwischen Risiko, Grenzrisiko, Restrisiko und Risikoreduzierung Risikoparameter Weitere Risikoparameter Risikograph Anforderungsklassen Risikograph nach IEC und IEC Risikograph nach DIN EN Fehlerbaumanalyse Anwendungsbereich und Zweck der Fehlerbaumanalyse Begriffe Bildzeichen Vorgehen bei der Analyse, Schritte der Analyse Systemanalyse L Unerwünschtes Ereignis und Ausfallkriterien, Relevante Zuverlässigkeitskenngröße und Zeitintervall Ausfallarten der Komponenten Aufstellen des Fehlerbaumes Auswerten des Fehlerbaums Fehlerbaum-Analyse / Ereignisbaumanalyse Bestandteile eines Ereignisbaumes LOPA Schutzebenen LOPA-Bewertung Typische Schutzebenen Basis-Prozess-Kontroll-System Physikalische Einrichtungen Externe Anlagen zur Risikoreduzierung Mehrere auslösende Ereignisse 140

4 Inhaltsverzeichnis XIII 12 Zuverlässigkeitsblockanalyse Zuverlässigkeitsmodelle Systeme ohne Redundanz Systeme mit Redundanz Gemischte Systeme Redundante Systeme mit unterschiedlicher Ausfallrate Ersatz von redundanten Systemkomponenten durch Einzelsystemkomponenten Markov-Modell Einleitung Möglichkeiten des Markov-Modells Theoretische Grundlagen der Markov-Modelle Zeitabhängiges Markov-Modell Durchführung einer Markov-Berechnung für ein sicherheitsgerichtetes System Übergangsmatrix P für System-Modell Lebenszyklusbetrachtung eines Sicherheitssystems Gefahr-und Risikoanalyse Durchführung einer Risikobewertungsanalyse Lebenszyklusphasen Entwicklung einer sicherheitsgerichteten Funktion Fehlermodelle und PFD Berechnung Systemarchitektur Gesamte Planung Realisierung einer SIS Installation, Inbetriebnahme und Validierung Betrieb, Wartung und Reparatur Verändern und Aufrüsten Zusammenfassung 205 / 15 Common Cause Failure ' Allgemeines Ausfälle gemeinsamer Ursache..* Analyse von Ausfallen mit gemeinsamer Ursache Common Mode Ausfälle Beispiele für den Ausfall durch gemeinsame Ursache Techniken zur Bewertung,von SIS Entwürfen für CCF Industrielle Standards Technische unternehmensspezifische Richtlinien und Standards Qualitative Methoden zur Gefahrenidentifikation Qualitative Bewertung Checklisten Quantitative Bewertung von Ausfallen mit gemeinsamer Ursache Explizite Methoden Implizite Methoden bei einer gemeinsamen Fehlerursache Basic-Parameter-Modell Beta-Faktor-Modell Mehrfache Griechische Buchstaben Modell ct-faktor Modell 228

5 XIV Inhaltsverzeichnis Binomial-Ausfallraten Modell (BFR) Beta-Faktor Auswirkungen des yff-faktors auf die Sicherheit Einschätzung des /^-Faktors Ioo2-System Ausfallwahrscheinlichkeit bei Common Cause Fehlern Maßnahmen gegen Ausfälle durch gemeinsame Ursache Proof-Test Überwachung und Durchführung von Proof-Tests Arten von Proof-Tests Zuverlässigkeitsfunktion und MTTF Ausfallwahrscheinlichkeit Probability of Failure on Demand Proof-Test-Intervall T x Definition des Proof-Tests nach IEC/EN Auswirkungen eines nicht ausreichenden Proof-Tests Unterschiede zwischen Diagnose-Test und Proof-Test Definition von Diagnose-und Proof-Test Performance-Indikatoren Berechnungsergebnisse mit und ohne Diagnose PFD-Berechnung mit variablen Proof-Test-Abdeckung Einfluss des Proof-Test-Intervalls auf den PFD 3Vg -Wert Risikoreduzierung Risikorate und durchschnittliche Ausfallwahrscheinlichkeit Proof-Test-Häufigkeit Proof-Test Erweiterungsfaktor Hardware sicherheitsgerichteter Systeme Normative Architekturvorschriften Qualitätssicherheit für Nutzer sicherheitskritischen Systeme Realisierungssicherheit für Hersteller sicherheitskritischer Systeme Hardware-Sicherheitslebenszyklus Spezifikation der Sicherheitsanforderungen Planung der Sicnerheitsvalidation Entwurf und Entwicklung des E/E/PES Hardware F,ehlertoleranz Constraints Architectural constraints Allgemeine Konzepte zur Risikoreduzierung lool-system PFD-Fehlerbaum der lool-architektur Markov-Modell für die lool-architektur Berechnung des MTTF-Wertes einer lool-architektur Weitere Architekturen Softwareanforderungen an ein System mit funktionaler Sicherheit Software in Systemen mit funktionaler Sicherheit Anforderungen an die Software 297

6 Inhaltsverzeichnis XV Nicht-funktionale Anforderungen Zielsetzung Zielkontrolle '.' Kategorien von nicht-funktionalen Anforderungen Softwareentwicklung Modelle der Software-Entwicklung Wasserfallmodell Spiralmodell V-Modell Projektplanung Anforderungsspezifikation Merkmale einer Spezifikation Darstellung von Anforderungen Formalität der Anforderungen Pflichtenheft Software-Architektur Aufteilung in Komponenten ; Schnittstellen Kommunikation innerhalb des Systems Testbarkeit von Komponenten Zusätzliche Qualitätsmerkmale Ressourcen Qualität der Lösung Mögliche Architekturstile Funktionsorientierung Objektorientierung Wiederverwendbare Architekturstrukturen Entwurfsmuster Rahmen / Architekturmuster..! Programmierkonventionen Dokumentation und Aussehen des Quelltextes Namenskonventionen Softwareentwicklung mit UML Objektorientierte Analyse Objektorientiertes Design Architektur Ablaufstrukturen zuordnen Design-Klassen entwickeln Komponentenschnittstellen beschreiben Zustandsmodelle spezialisieren Objektfluss der Aktivitätsmodelle Interaktionsmodelle modellieren Tests entwickeln Attribute festlegen Verwendung von CASE-Tools Roundtrip-Engineering mit CASE-Tools 325

7 XVI Inhaltsverzeichnis MDA (Model Driven Architecture) Vergleich von UML-CASE-Töols Softwarequalität.'.' Qualitätsplan Software-Zuverlässigkeit Zuverlässigkeitskenngrößen Unterschiede zwischen Hardware- und Softwarezuverlässigkeit Erhöhung der Zuverlässigkeit durch Verifikation und Validierung Validierung der Zuverlässigkeit Nachweis der Zuverlässigkeit Messen von Software-Qualität Lines of Code (LoC) McCabe-Maß Maße von Halstead Nutzen von Maßen Fehler in Software-Systemen : Fehlertoleranz und Fehlervermeidung Testverfahren Testablauf Black-Box-Testmethoden White-Box-Testmethoden Intuitive Testfallermittlung Testen in der Praxis Integration Top-Down-Integration Bottom-Up-Integration Outside-In-Integration System- und Abnahmetest Anwendungsbeispiele ' Praktische Implementierung des"iec SicherheitsStandards IEC Norm.*' Funktionales Sicherheitsmanagement Pipe to Pipe Ansatz Quantitative Sicherheitseinschätzung Bestimmung des SIL eines Prozessorsystems SILiAnforderung Bestimmung des SIL einer Prozessor-Einheit mit Prozessor-Peripherie DC-Maßnahmen für eine Prozessor-Einheit mit Prozessor-Peripherie Prozessor-Einheiten Festspeicher Veränderlicher Speicher Bestimmung des SIL einer Sicherheitsfunktion Bestimmung des SIL einer Sicherheitsfunktion Modifikation der Architektur der Sicherheitsfunktion Bestimmung des SIL der modifizierten Sicherheitsfunktion Modifikation der Sicherheitsfunktion Bestimmung des SIL der Sicherheitsfunktion mit Diagnose 371

8 Inhaltsverzeichnis XVII 19.4 Bestimmung des SIL eines Sicherheitsloops Bestimmung des SIL des Sicherheitsloops Beispiele zu Zuverlässigkeitsanalysen.'.' Beispiel 1 (Chemische Anlage) Risikograph Ereignisbaum Fehlerbaumanalyse Zuverlässigkeitsblockdiagramm Beispiel 2 (Fahrer-Airbag) Risikograph Ereignisbaum Fehlerbaumanalyse Zuverlässigkeitsblockdiagramm Beispiel 3 (Flugzeug) Risikograph Ereignisbaum Fehlerbaumanalyse Beispiel 4 (Pipeline) Risikograph Ereignisbaum Fehlerbaumanalyse Beispiel 5 (Sporthalle) Risikograph Ereignisbaum Fehlerbaumanalyse IEC/EN IEC/EN Übersicht und Anwendungsbereich Übereinstimmung mit dieser Norm Dokumentation / Sicherheitsmanagement Sicherheitslebenszyklus Verifikation Beurteilung der funktionalen Sicherheit IEC/EN Anwendungsbereich E/E/PES-Sicherheits-Lebenszyklus Techniken und Maßnahmen zur Beherrschung von Ausfällen während des Betriebs Methoden zur Vermeidung von systematischen Fehlern während der verschiedenen Phasen des Lebenszyklusses IEC/EN Anwendungsbereich Qualitätsmanagementsystem der Software Software-Sicherheitslebenszyklus Beurteilung der funktionalen Sicherheit Anhang A Richtlinien zur Auswahl von Techniken und Maßnahmen 413

9 XVIII Inhaltsverzeichnis 20.4 IEC/EN Begriffe zu Sicherheit Begriffe zu Einrichtungen und Geräten ' Begriffe zu Systemen Begriffe zu Sicherheitsfunktionen und Sicherheits-Integrität Begriffe zu Fehler, Ausfall und Abweichung Begriffe zu Lebenszyklus Begriffe zu Bestätigung von Sicherheitsmaßnahmen IEC/EN Anwendungsbereich Anhang A - Grundlegende Konzepte Anhang B - ALARP und das Konzept des tolerierbaren Risikos Anhang C - quantitative Methode zur Bestimmung der Sicherheits- Integritätslevel Anhang D - qualitative Methode zur Bestimmung der Sicherheits- Integritätslevel (Risiko-Graph) Anhang E - Festlegung der Sicherheits- Integritätslevel Eine qualitative Vorgehensweise - Matrix des Ausmaßes des gefährlichen Vorfalls IEC/EN Anwendungsbereich Anhang A - Anwendung von IEC/EN und Anhang B - Beispielhafte Vorgehensweise zur Bestimmung von Hardware- Ausfällen Anhang D - Methodik zur Quantifizierung der Auswirkungen von Hardware-Ausfallen mit gemeinsamer Ursache in E/E/PES IEC/EN Anwendungsbereich Anhang A - Überblick über Verfahren und Maßnahmen für E/E/PES: Beherrschung von zufälligen Hardwareausfallen Anhang B - Übersicht über Techniken und Maßnahmen zur Vermeidung systematischer Ausfälle./ Anhang C - Übersicht über Techniken und Maßnahmen, um die Sicherheits-Integrität der Software zu erreichen IEC f Anwendungsbereich Aufteilung der Norm Begriffe und Abkürzungen Abkürzungen Begriffe Management der funktionalen Sicherheit Ziel Anforderungen Beurteilung, Auditierung und Revisionen Management der SIS-Konfiguration Anforderungen an den Sicherheitslebenszyklus Verifikation Ziel 458

10 Inhaltsverzeichnis XIX Anforderungen Gefahrdungsanalyse und Risikobewertung Ziel.'.' Anforderungen Zuordnung von Sicherheitsfunktionen zu Schutzebenen Ziel Anforderungen für die Zuordnung Anforderungen für Sicherheits-Integritätslevel Anforderungen an Betriebseinrichtungen, die als Schutzebene eingesetzt werden Anforderungen zur Vermeidung von Ausfällen Sicherheitsspezifikation des SIS Ziel Sicherheitsanforderungen an das SIS SIS-Entwurf und Planung Ziel Allgemeine Anforderungen Anforderungen an das Systemverhalten bei Entdeckung eines Fehlers Anforderungen an die Fehlertoleranz der Hardware Anforderungen an die Auswahl von Komponenten und Teilsystemen Feldgeräte Schnittstellen Anforderungen an Instandhaltungs- oder Prüfeinrichtungen Ausfallwahrscheinlichkeit sicherheitstechnischer Funktionen Anforderungen an Anwendungssoftware Anforderungen an den Sicherheitslebenszyklus der Anwendungssoftware Spezifikation der Sicherheitsanforderungen an die Anwendungssoftware / Validierungsplanung für die Sicherheit der Anwendungssoftware Entwurf und Erstellung der Anwendungssoftware Integration der AnwendungsSoftware in das SIS-Teilsystem Vorgehen bei Modifikation der Anwendungssoftware Verifikation der Anwendungssoftware Werksendprüfungen.i.V Ziele * Empfehlungen SIS-Montage und Inbetriebnahme SIS-Sicherheits-Validierung Betrieb und Instandhaltung des SIS Ziele Anforderungen Wiederholungsprüfung und Inspektion Modifikationen am SIS Ziele Anforderungen Außerbetriebnahme des SIS 476

11 XX Inhaltsverzeichnis Anforderungen an die Dokumentation Ziel Anforderungen '.' Begriffe und Definitionen Sicherheitssysteme Risiko Teilrisiko Grenzrisiko Risikoparameter Anforderungsklasse Maßnahmen Schutz MSR-Schutzmaßnahmen MSR-Schutzeinrichtung Unerwünschtes Ereignis Fehler Redundanz Diversitäre Redundanz Fail-safe Verlässlichkeit (Dependability) Zuverlässigkeit Verfügbarkeit Sicherheit Wartbarkeit Darstellung des Ausfallverhaltens Dichtefunktion bzw. Ausfalldichte f(t) Ausfallwahrscheinlichkeit bzw. Verteilungsfunktion F(t) Zuverlässigkeit bzw. Überlebenswahrscheinlichkeit R(t) Ausfallrate X(t).'' Beschreibung des Ausfallsverhalten durch Beispiele Boolsche Theorie i Zeit-Faktor MTTF MTTF spuri0us (. ' MTBF L MTTjR :'" Beispiel zur Berechnung von MTTF Dauerverfügbarkeit Downtime DT Uptime UT Mean Down Time MDT Allgemeines zu den Begrifflichkeiten und Normen Diagnoseabdeckungsgrad DC ; Common Cause Failure CCF Probability of Failure on Demand PFD Ausfallraten Risiko, Schaden und Gefahr 514

12 Inhaltsverzeichnis XXI Hazard Rate Safety Integrity Level SIL Prozessleittechnik PLT.'.' Performance Level PL 520 Literaturverzeichnis, 521 Stichwortverzeichnis 553