Einführung in die Funktionale Sicherheit

Transkript

1 Einführung in die Funktionale Sicherheit Teil 2 Wahlmodul Prof. Dr. Ing. Ulrich Adolph Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 1

2 Einflussfaktoren auf die Ausfallwahrscheinlichkeit systematische Ausfälle Systemarchitektur zufällige Systemverhalten bei Fehlererkennung Hardware Ausfälle Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 2

3 Systematischer Ausfall systematischer Ausfall deterministisch mit einer bestimmten Ursache verbundener Ausfall, der durch eine Änderung der Gestaltung oder des Herstellungsprozesses, der Betriebsverfahren, der Dokumentation oder anderer relevanter Faktoren beseitigt werden kann Systematische Ausfälle führen automatisch zum Ausfall eines Systems. Korrigierende Wartungsmaßnahmen ohne Änderungen können die Fehlerursache in der Regel nicht beheben. Mit zunehmender Komplexität des sicherheitsbezogenen Systems steigt auch das Potenzial systematischer Ausfälle und die Wahrscheinlichkeit, diese zu erkennen, sinkt. systematische Ausfälle Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 3

4 Maßnahmen gegen systematische Ausfälle Qualitätsmanagement Konfiguration der sicherheitsbezogenen Merkmale Sicherheitslebenszyklus Sicherheitsorganisation Sicherheitsplan Spezifikation der Anforderungen an die Sicherheit Architektur und Komponentengestaltung (Redundanz, Vielfalt, Selbsttest, etc.) spezifische technische Maßnahmen (Enkodierungen, spezifische Parameter) Revision der Sicherheitsmerkmale Sicherheitsverifikation und validierung Konfiguration der Arbeitsbedingungen Betrieb und Instandhaltung Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 4

5 Zufälliger Hardware Ausfall zufälliger Hardware Ausfall Ausfall, der zu einem zufälligen Zeitpunkt wegen eines oder mehrerer Verschleißteile in der Hardware entsteht Obwohl sie zu unvorhersehbaren (d. h. zufälligen) Zeitpunkten auftreten, ist die Häufigkeit von zufälligen Hardware Ausfällen vorhersehbar. Zufällige Ausfälle werden durch geräteinterne Diagnosen, extern konfigurierte Diagnoseprozesse und durch Nachweistest erkannt. Fehlertolerante, redundante Subsysteme werden oftmals eingesetzt, um die Wahrscheinlichkeit zu verringern, dass ein Einzelausfall zum Ausfall des gesamten sicherheitsbezogenen Systems führt. zufällige Hardware Ausfälle Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 5

6 Möglichkeiten / aufdeckung zufälliger Fehler gefährlich & entdeckt DD sicher & entdeckt SD gefährlich & unentdeckt DU dangerous undetected failure rate SU sicher & unentdeckt Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 6

7 Verteilung der Fehlerwahrscheinlichkeit auf Anlagenkomponenten Sensor Controller Aktor 50% 15% 35% Sensor Controller Aktor Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 7

8 Ausfallwahrscheinlichkeit /Fehlerrate Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 8

9 Ausfallwahrscheinlichkeit /Fehlerrate Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 9

10 MTTF d Übersicht MTTF d : Erwartungswert der mittleren Zeit bis zum gefahrbringenden Ausfall statistischer Wert mit der Einheit Jahr nur gefahrbringende Ausfälle sind relevant bei mehrkanaligen Systemen: ein gefahrbringender Ausfall kann sich auch nur auf einen einzelnen Kanal beziehen. In EN ISO werden konstante Ausfallraten über die Lebensdauer hinweg angenommen. Frühausfälle Korrektur: Burn In Tests Prozessoptimierung Zufallsausfälle Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 10

11 Ausfallwahrscheinlichkeit /Fehlerrate Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 11

12 Ausfallwahrscheinlichkeit /Fehlerrate Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 12

13 Ausfallwahrscheinlichkeit /Fehlerrate Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 13

14 Ausfallarten Komponenten können auf verschiedene Art und Weise ausfallen. Diese werden Ausfallarten genannt. Für weitere Systembewertung müssen die Ausfallraten unter Berücksichtigung des relativen Prozentanteils jeder Ausfallart zugeteilt werden. zum Beispiel: Widerstand Offener Stromkreis 80 % Kurzschluss 10 % Drift 10 % Die Entscheidung, ob eine Ausfallart unsicher oder sicher ist, hängt von der Funktionsweise des Systems ab. Falls keine Ausfallarten verfügbar sind, wird angenommen, dass 50 % aller Ausfälle sicher und 50 % unsicher sind. Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 14

15 Ausfallwahrscheinlichkeit /Fehlerrate Bauteil Ausfallrate λ in fit Widerstand R1 0,2 Widerstand R2 0,2 Kondensator C 10 Zenerdiode ZD 10 Widerstand R3 0,2 Widerstand R4 0,2 Transistor T 5 Widerstand R5 0,2 Summe 26 Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 15

16 Ausfallwahrscheinlichkeit /Fehlerrate Bauteil λ gesamt λ anteilig Fehler Auswirkung Ausfall sicher gefährlich Widerstand R1 0,2 Widerstand R1 0,2 Widerstand R2 0,2 Widerstand R2 0,2 Kondensator C 10 Kondensator C 10 Zenerdiode ZD 10 Zenerdiode ZD 10 Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 16

17 Ausfallwahrscheinlichkeit /Fehlerrate Bauteil Widerstand R3 0,2 Widerstand R3 0,2 Widerstand R4 0,2 Widerstand R4 0,2 Transistor T 5 Transistor T 5 Transistor T 5 Transistor T 5 Transistor T 5 Transistor T 5 Widerstand R5 0,2 Widerstand R5 0,2 λ gesamt λ anteilig Fehler Auswirkung Ausfall sicher gefährlich Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 17

18 FMEDA Relevanz I Systemausfall zufälliger Hardwareausfall systematischer Ausfall Maßnahme Maßnahme FMEDA FSM Strukturierte systematische Herangehensweise Spezifizierung/ Dokumentation Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 18

19 FMEDA Relevanz II Gründe für FMEDA: Erkennung solcher Ausfälle mit negativen Folgen für das System Erfüllen vertraglicher Forderungen eines Kundens (falls zutreffend) Ermöglichen von Verbesserung der Sicherheit oder der Systemfunktionalität Ermöglichen von Verbesserung der Instandhaltungstätigkeiten FMEDA sollte in einem frühen Stadium des Entwurfs abgeschlossen werden! Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 19

20 FMEDA Ziel: Analyse eines Systementwurfs, indem systematisch sowohl alle möglichen Quellen der Ausfälle von Systemkomponenten untersucht werden als auch die Auswirkungen dieser Ausfälle auf das Verhalten und die Sicherheit des Systems. Beschreibung: Jede Komponente eines Systems wird nacheinander analysiert, um einen Satz Ausfallarten für jede Komponente anzugeben sowie dessen Ursache und Wirkung (lokal und auf der gesamten Systemebene), Erkennungsverfahren und Empfehlungen. Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 20

21 Anforderungen für die Quantifizierung zufälliger Ausfälle zufällige Hardwareausfälle Muss bei jeder sicherheitsbezogenen Funktion erfolgen. Die Ausfallwahrscheinlichkeit muss kleiner sein als die Grenze, die von dem SIL festgelegt wurde. Es muss berücksichtigt werden: die Architektur der E/E/PES in Relation zu der Sicherheitsfunktion, Ausfallraten in allen Arten, die von Diagnosetests erfasst wurden DD, Ausfallraten in allen Arten, die nicht von Diagnosetests erfasst wurden DU, Ausfall in Folge gemeinsamer Ursache, der Typ Diagnosetest (Diagnosedeckungsgrad, Diagnosetestzeitraum), die Intervalle, in denen die Proof Checks durchgeführt werden, Reparaturzeiten und nicht erkannte Ausfälle in dem Prozess der Datenkommunikation Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 21

22 Ausfallraten bei einmalig ausgeführten Sicherheitsfunktionen Eingangs Subsystem Logik Subsystem Ausgangs Subsystem PFH ges PFH E PFH E L A L PFH A Das Symbol (lambda) wird für gewöhnlich für die Ausfallrate eines Kanals oder einer Komponente benutzt. Mögliche Einheiten sind: [1/h] oder [FIT] (1 FIT = 10 9 /h). Einzig gefährliche unerkannte Ausfälle einer Sicherheitsfunktion stehen im Fokus. Die MTTF, Mean Time To Failure (mittlere Betriebsdauer bis zum Ausfall), ist der Kehrwert der Ausfallrate. Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 22

23 Anteil sicherer Ausfälle (SFF) Komplette Ausfallrate ges sicher S unsicher D erkannt SD nicht erkannt SU erkannt DD nicht erkannt DU Der Anteil sicherer Ausfälle (Safe Failure Fraction, SFF) beschreibt den Anteil sicherer Fehler in der Gesamtfehlerrate eines Subsystems. Der Diagnosedeckungsgrad (Diagnostic Coverage DC) beschreibt, wie viele unsichere Fehler erkannt werden. DC SFF 1 S DD 1 ges DU D DU ges Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 23

24 MTTF d Einzelbauteil 3 Die MTTF d elektrischer Bauteile stellt in der Regel entweder der Hersteller oder folgende Datenbanken zur Verfügung: 1. SN 29500/ IEC 61709: Ausfallrate von Bauteilen, Siemens AG 2. IEC TR 62380/ RDF 2000/ UTE C : Universelles Modell für die Zuverlässigkeitsvorhersage für elektronische Bauteile, Leiterplatten und Einrichtungen 3. MIL HDBK 217F: Zuverlässigkeitsvorhersage für elektronische Einrichtungen, Department of Defense, Washington DC 4. Telecordia HRD5/ Telecordia SR332/ Bellcore TR332: Verfahren zur Zuverlässigkeitsvorhersage für elektronische Einrichtungen. 5. NPRD 95: Zuverlässigkeitsdaten von nicht elektronischen Bauteilen, Reliability Information Analysis Center, New York 6. EPRD : Zuverlässigkeitsdaten von elektronischen Bauteilen 7. NSWC 10: Handbuch der Verfahren zur Zuverlässigkeitsvorhersage für mechanische Einrichtungen Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 24

25 Quellen für Daten über die Ausfallrate III SN (IEC 61709) ehemalige interne Richtlinien der Siemens AG leicht anwendbar berücksichtigt nicht periodische Temperaturschwankungen typische Erscheinung: Bauteil = ref * π T * π L * π S * π E b : Basisausfallrate (abhängig von der Komponente) π T : Temperaturkoeffizient π L : Belastung π S : Schallfrequenz π E : Umweltkoeffizient Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 25

26 Quellen für Daten über die Ausfallrate I MIL HDBK 217F: Empirisch erworbene Ausfallraten Modelle, die auf einer breiten Auswahl von Komponententypen basieren Das Wissen über spezifische Betriebsbedingungen für jede Komponente ist notwendig. Das Handbuch wurde nicht erneuert seit Typische Erscheinung: Bauteil = b * π T * π P * π S * π Q * π E b : Basisausfallrate (abhängig von der Komponente) π T : Temperaturkoeffizient π P : Verlustleistungskoeffizient π S : Lastenkoeffizient π Q : Qualitätskoeffizient π E : Umweltkoeffizient Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 26

27 Quellen für Daten über die Ausfallrate II RDF 2000 / UTE C / IEC TR vergleichsweise neue und extensive Norm für elektrische Komponenten berücksichtigt Lastfluktuation berücksichtigt zeitweise Temperaturschwankungen Die bestehenden Modelle sind komplex und schwierig in der Handhabung. Typisches Model: Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 27

28 Quellen für Daten über die Ausfallrate IV Telecordia HRD5 (oder Telecordia SR332 oder Bellcore TR332) Telekommunikationskomponenten leicht anwendbar aber ungenaue Koeffizienten berücksichtigt nicht periodische Temperaturfluktuationen typische Erscheinung: Bauteil = B * π T * π P * π Q * π E b : Basis Ausfallrate (abhängig von den Komponenten) π T : Temperaturkoeffizient π P : Verpackungskoeffizient π Q : Qualitätskoeffizient π E : Umweltkoeffzient Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 28

29 Quellen für Daten über Ausfallraten bei mechanischer Ausrüstung NPRD 95 enthält Ausfallraten für mehr als Komponenten verschiedenen Typs basiert auf 2.5 Billionen Betriebsstunden und Ausfällen, Datenerfassung dauerte von 1970 bis 1994 Mangel an präzisen Informationen über Betriebs und Umgebungsbedingungen Anpassung der Ausfallrateunter Berücksichtigung der Umgebungsbedingungen ist nicht möglich. NSWC 10 Handbuch der Verfahren zur Zuverlässigkeitsvorhersage für mechanische Einrichtungen. enthält Ausfallratenmodelle für generische Komponenten, Materialeigenschaften, sowie Umgebungs und Betriebsbedingungen sind in den Modellen enthalten, mögliche Ausfallarten für jede Komponente sind aufgelistet und präzise Modelle können erstellt werden, sind aber auch sehr zeit und kostenintensiv. OREDA 2002 empirische Daten aus der Ölindustrie(Offshore, Tiefsee) basieren auf einem Gesamtbeobachtungszeitraum von Jahren enthält Daten über Verfügbarkeit und Ausfallraten Anpassung der Ausfallrate unter Berücksichtigung der Umgebungsbedingungen ist nicht möglich. Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 29

30 FMEDA Schaltungsbeispiel I Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 30

31 FMEDA Beispiel I Sicherheitsfunktion Not Halt Funktion, STO abgeschaltetes Drehmoment durch Schaltung des Not Halt Geräts funktionale Beschreibung Gefährliche Bewegungen oder Zustände werden durch Unterbrechung der Steuerspannung an Schütz Q1 spannungsfrei geschaltet, sobald das Not Halt Gerät S1 betätigt wird. Die Sicherheitsfunktion kann nicht mit allen Komponentenfunktionen aufrecht erhalten werden und ist abhängig von der Zuverlässigkeit der Komponenten. Maßnahmen zur Fehlererkennung sind nicht vorhanden. Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 31

32 FMEDA Schaltungsbeispiel II Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 32

33 FMEDA Beispiel II Sicherheitsfunktion sicherheitsbezogene Stopfunktion, initiiert durch ein Schutzgerät: Öffnung einer beweglichen Vorrichtung (Schutzvorrichtung) löst die Sicherheitsfunktion STO (sicher abgeschaltetes Drehmoment) aus Funktionale Beschreibung Eine gefährliche Zone wird über zwei bewegliche Vorrichtungen geschützt; das Öffnen einer dieser beiden löst das STO aus. Kombinationen aus Schließerkontakt und Öffnerkontakt Jede Logik ist unabhängig voneinander dazu fähig die Versorgung für den Motor spannungsfrei zu schalten. Alle Schaltungspositionen werden von einem zweiten Kontakt nachgelesen. Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 33

34 FMEDA Beispiel III Gegeben ist dieses vereinfachte System: Ein µc basiertes einkanaliges System erhält ein ausfallsicheres Eingangssignal von einem Sensor. Das µc System testet sich selbst mit Hilfe von dem CPU Test, RAM Test, ROM Test etc. und erreicht einen Diagnosedeckungsgrad von 90 %. Der unsichere Zustand ist erreicht, wenn der Sensor des Ausgangssignals nicht mehr ausgeschaltet werden kann. Die Funktion des gesamten Systems analysieren, Funktion der Komponenten und der möglichen Fehlertypen bestimmen, Fehlerreaktionen beschreiben und Fehler aufteilen in unsicher/sicher und entdeckt unentdeckt. SRS Safety Related Services Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 34

35 FMEDA Example Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 35

36 FMEDA Beispiel # Komponente Funktion Ausfallart Ausfallwirkung 1 Optischer Koppler 2 CPU 3 Treiber 4 Relais 4 5 Relais 5 6 WDC Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 36

37 FMEDA Beispiel # Komponente Funktion Ausfallart Ausfallwirkung 1 Optischer Koppler Entkopplung des Eingangssignals 2 CPU Steuerung und Überwachung 3 Treiber Signalverstärkung 4 Relais 4 Ausgangssignal ausschalten 5 Relay 5 zweite Abschaltungsoption 6 WDC Überwachung der zweiten Abschaltfunktion Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 37

38 FMEDA Beispiel # Komponente Funktion Ausfallart Ausfallwirkung a) Offene Schaltung (OC) 1 Optischer Koppler Entkopplung des Eingangssignals b) Kurzschluss (SC) an der Diode oder dem Transistor 2 CPU Steuerung und Überwachung SC und OC zwischen jedweden Pins 3 Driver Unit Signalverstärkung a) OC zwischen Ein- und Ausgängen b) SC oder Stuck-At auf jedweder Pin 4 Relay 4 Ausgangssignal ausschalten a) Kontaktwechsel öffnet nicht b) Kontaktwechsel schließt nicht 5 Relay 5 zweite Abschaltungsoption a) Kontaktwechsel öffnet nicht b) Kontaktwechsel schließt nicht 6 WDC Überwachung der zweiten Abschaltfunktion a) Stuck-At 0 an jedweder Pin b) Stuck-At 1an jedweder Pin Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 38

39 FMEA Beispiel # Komponente Funktion Ausfallart Ausfallwirkung a) Offene Schaltung (OC) 1 Optischer Koppler Entkopplung des Eingangssignals b) Kurzschluss(SC) an der Diode oder dem Transistor Verlust des dynamischen Signals, Erkennung durch die CPU 2 CPU Steuerung und Überwachung SC und OC zwischen jedweden Pins Ausfallerkennung durch Selbsttest und im Falle von Stuck-At Abschaltung durch den Watchdog 3 Driver Unit Signalverstärkung a) OC zwischen Ein- und Ausgängen b) SC oder Stuck-At auf jedweder Pin Beide Ausfälle können durch das Überwachen des Ausgangsignals erkannt werden. 4 Relay 4 Ausgangssignal ausschalten a) Kontaktwechsel öffnet nicht b) Kontaktwechsel schließt nicht a) Ausfallerkennung durch Überwachung b) sicherer Ausfall 5 Relay 5 zweite Abschaltungsoption a) Kontaktwechsel öffnet nicht b) Kontaktwechsel schließt nicht a) unerkannter Ausfall b) sicherer Ausfall 6 WDC Überwachung der zweiten Abschaltfunktion a) Stuck-At 0 an jedweder Pin b) Stuck-At 1 an jedweder Pin a) führt zur Öffnung des R5 b) bei Eingabe Öffnung des R5 bei Ausgabe unerkannter Ausfall Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 39

40 MTTF d Kanalebene Auf Kanalebene schlägt EN ISO eine Aufteilung des MTTF d Wertes in drei Klassen vor. MTTF d Bezeichnung der Kanäle Reichweite der Kanäle niedrig mittel 3 Jahre < MTTF d < 10 Jahre 10 Jahre < MTTF d < 30 Jahre hoch 30 Jahre < MTTF d < 100 Jahre MTTF d < 3 Jahre ist nicht erlaubt MTTF d > 100 Jahre dürfen nicht in Rechnung gestellt werden Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 40

41 MTTF d Kanalebene (Fs.) Wenn der MTTF d Wert für jedes Bauteil gegeben ist, kann das Parts Count Verfahren angewendet werden, um den MTTF d Wert für den Kanal zu berechnen. Der Höchstwert eines Kanals ist 100 Jahre. 1 n N i MTTFd i 1 MTTFd, i wobei MTTF d MTTF d,i der Wert für den gesamten Kanal ist der MTTF d - Wert jedes einzelnen Bauteils ist Beispiel j Bauteil Einheiten n j MTTF d,j [Jahre] n j / MTTF d,j [1/Jahre] 1 Transistor, bipolar, Kleinleistung Widerstand, Kohleschicht Standard-Kondensator, keine Leistung Relais (kleine Last) (B 10d = 2x10 6 Zyklus, n op = ) 5 Relais (normale Last) (B 10d = 2x10 6 Zyklus, n op = ) Σ (n j / MTTF d,j ) MTTF d = 1/ Σ (n j / MTTF d,j ) [Jahre] Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 41

42 MTTF d Kanalebene (Fs.) Die vorgesehenen Architekturen nehmen an, dass in SRP/CS unterschiedliche Kanäle die gleiche MTTF d haben. Wenn die MTTF d der unterschiedlichen Kanäle verschieden sind: 1. muss in der Annahme des ungünstigsten Falls der niedrigere Wert als MTTF d jedes Kanals angenommen oder 2. die folgende Gleichung benutzt werden, um einen Ersatzwert für jeden Kanal zu berechnen: MTTF wobei d 2 3 MTTF MTTF d C1 d, C1 und MTTF MTTF d C2 d, C 2 1 MTTF d, C1 1 1 MTTF d, C 2 Werte für zwei unterschie dliche redundante Kanäle sind Beispiel: Ein redundantes System hat in einem Kanal MTTF dc1 = 3 Jahre und in einem anderen Kanal MTTF dc2 = 100 Jahre. 1. Das System kann mit MTTF d = 3 Jahre für jeden Kanal berechnet werden. 2. Das System kann mit MTTF d = 66 Jahre berechnet werden. Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 42

43 MTTF d Kanalebene (Fs.) Die Ergebnisse der FMEDA nach IEC oder IEC können auch zur Abschätzung der MTTF d verwendet werden. Eingang 2oo3 Typ A SFF [%] Lambda gesamt (IEC 61508) PFH S [1/h]: λ SD λ SU λ DD λ DU PFD S: 3,61E-06 3,14E-08 2,76E-08 1,74E-08 Logik 1oo1 Typ A SFF [%] Parameter gem. DIN EN ISO PFH L [1/h]: MTTF d = 1/(Σ(λDD+λDU)*24h*365T) PFD L: = 2536,4 Jahre = hoch Aktor 1oo1 Typ A SFF [%] 99,5% SIL 3 DC AVG = ΣλDD/Σ(λDD+λDU) PFH A [1/h]: 1,74E-08 SIL 3 = 61,23% = niedrig PFD A: 7,65E-04 SIL 3 Bauteiltyp [EN62061] [SN 29500] Fehlerart Lambda Widerstand Fehlerart Fehlerverteilung [%] λ=λ Basis+K [FIT] sicher [%] unsicher [%] DC [%] λ SD λ SU λ DD λ DU R4 OC 80 0, ,76E-10 1,76E-10 0,00E+00 0,00E+00 SC 10 0, ,00E+00 2,20E-11 0,00E+00 2,20E-11 Drift 10 0, ,00E+00 4,40E-11 0,00E+00 0,00E+00 Kondensator Fehlerart Fehlerverteilung [%] λ=λ Basis+K [FIT] sicher [%] unsicher [%] DC [%] λ SD λ SU λ DD λ DU C31 OC 40 5, ,00E+00 2,04E-09 0,00E+00 0,00E+00 SC 40 5, ,00E+00 0,00E+00 1,02E-09 1,02E-09 Drift 20 5, ,00E+00 1,02E-09 0,00E+00 0,00E+00 tan a 0,00E+00 0,00E+00 0,00E+00 0,00E+00 Diode Fehlerart Fehlerverteilung [%] λ=λ Basis+K [FIT] sicher [%] unsicher [%] DC [%] λ SD λ SU λ DD λ DU D1 OC 40 3, ,00E+00 7,80E-10 0,00E+00 7,80E-10 SC 40 3, ,80E-10 7,80E-10 0,00E+00 0,00E+00 Drift 20 3, ,00E+00 7,02E-10 0,00E+00 7,80E-11 Transistor Fehlerart Fehlerverteilung [%] λ=λ Basis+K [FIT] sicher [%] unsicher [%] DC [%] λ SD λ SU λ DD λ DU T1 OC ein Pin 25 42, ,25E-09 5,25E-09 0,00E+00 0,00E+00 SC 25 42, ,00E+00 0,00E+00 5,25E-09 5,25E-09 SC alle Pins 25 42, ,00E+00 0,00E+00 5,25E-09 5,25E-09 Änd. Charakteristika 25 42, ,00E+00 9,45E-09 0,00E+00 1,05E-09 Σ 3,61E-06 3,14E-08 2,76E-08 1,74E-08 Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 43

44 MTTF d Einzelbauteil Allgemein Zur Abschätzung der MTTF d eines Bauteils muss die folgende hierarchische Reihenfolge eingehalten werden: a) Herstellerdaten verwenden b) Methoden nach Anhang C und D verwenden c) 10 Jahre auswählen Die unterschiedlichen Methoden für die Abschätzung der MTTF d nach Anhang C werden auf den nächsten Folien demonstriert: Einzelbauteil 1 : Regeln der Technik Methode Einzelbauteil 2 : MTTF d pneumatischer, mechanischer und elektromechanischer Bauteile Einzelbauteil 3 : MTTF d Daten elektrischer Bauteile Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 44

45 MTTF d Einzelbauteil 1 Regeln der Technik Methode: Wenn die folgenden Kriterien erfüllt sind, können der MTTF d oder B 10d Wert für ein Bauteil nach der folgenden Tabelle abgeschätzt werden (Tabelle C.1 in EN ISO 13849). a) Die Bauteile wurden nach grundlegenden und bewährten Sicherheitsprinzipien oder gemäß der anzuwendenden Norm hergestellt (Bestätigung im Datenblatt). b) Der Hersteller des Bauteils legt den Verwendungszweck und die Betriebsbedingungen für den Nutzer fest. Grundlegende und Sonstige Übliche Werte: c) Die Gestaltung der SRP/CS bewährte genügt dem grundlegenden und Sicherheitsprinzipien anzuwendende MTTF d [Jahre] bewährten nach EN ISO für den Normen Einsatz und Bdie 10d [Zyklen] Mechanische Bedienung Bauteile des Bauteils. Tabellen A.1 und A.2 MTTF d = 150 Hydraulische Bauteile Tabellen C.1 und C.2 EN 982 MTTF d = 150 Pneumatische Bauteile Tabellen B.1 und B.2 EN 983 B 10d = 20,000,000. Schütz mit Nominallast Tabellen D.1 und D.2 IEC B 10d = 2,000,000 Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 45

46 MTTF d Einzelbauteil 2 Die MTTF d pneumatischer, mechanischer und elektromechanischer Bauteile kann mit Hilfe der Formeln auf der nächsten Folie abgeschätzt werden, wenn die folgenden Kriterien erfüllt werden: a) Die Bauteile wurden nach grundlegenden Sicherheitsprinzipien gemäß EN ISO , Tabelle B.1 oder Tabelle D.1 für die Gestaltung des Bauteils hergestellt. b) Die Bauteile, die in Kategorie 1, 2, 3 oder 4 eingesetzt werden sollen, wurden nach bewährten Sicherheitsprinzipien gemäß EN ISO , Tabelle B.2 oder Tabelle D.2 für die Gestaltung des Bauteils hergestellt. c) Der Hersteller des Bauteils legt den Verwendungszweck und die Betriebsbedingungen für den Nutzer fest. d) Der Hersteller des SRP/CS stellt alle Informationen über seine Verantwortung bezüglich der Einhaltung der grundlegenden und bewährten Sicherheitsprinzipien gemäß EN ISO , Tabellen B.1 und D.1 für die Implementierung und den Betrieb des pneumatischen Bauteils zur Verfügung. e) Bei Kategorie, 1, 2, 3, oder 4 muss der Nutzer über seine Verantwortung bezüglich der Einhaltung der bewährten Sicherheitsprinzipien gemäß EN ISO , Tabelle B.2 oder Tabelle D.2 für die Implementierung und den Betrieb des Bauteils informiert werden. Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 46

47 MTTF d Einzelbauteil 2 (Fs.) Bei pneumatischen, mechanischen und elektromechanischen Bauteilen wird B 10d (die durchschnittliche Anzahl der Zyklen bevor 10 % der Bauteile gefahrbringend versagen) in der Regel vom Hersteller bekannt gegeben. Die MTTF d des Bauteils kann mit Hilfe der folgenden Formeln aus B 10d berechnet werden: Vom Hersteller bekannt gegeben d op durchschnittliche Anzahl Betriebstage pro Jahr h op durchschnittliche Anzahl Betriebsstunden pro Tag t cycle durchschnittliche Anforderung der Sicherheitsfunktion in s Mit Formeln berechnet n op d op hop 3600s t cycle durchschnittliche Anzahl der Anforderungen pro Jahr h B 10d durchschnittliche Anzahl der Zyklen bevor 10 % der Bauteile gefahrbringend versagen MTTF d B10d 0.1 n op Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 47

48 Beispiel MTTF d eines Einzelbauteils Berechnen Sie MTTF d, B 10d und T 10d eines Relais V Kontakt = 230 VAC I Kontakt = 2,0 A d op = 16 h/d h op = 300 d/a t cycle = 3600 s B 10d = (nach EN IOS :2008 Tabelle C.1) n op = ( ) / 3600 = MTTF d = / (4800 0,1) = 4167 Jahre T 10d = / 4800 = 467 Jahre (< 20 Jahre übliche Lebensdauer) Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 48

49 DC Übersicht Der Diagnosedeckungsgrad DC ist ein Maß für die Wirksamkeit der Diagnose Maßnahmen, der als Anteil der erkannten gefahrbringenden Ausfälle an allen denkbaren gefahrbringenden Ausfällen bezeichnet werden kann. In EN ISO wird DC in vier Klassen angegeben. DC Bezeichnung Bereich kein DC < 60 % niedrig 60 % DC < 90 % mittel 90 % DC < 99 % hoch 99 % DC Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 49

50 DC Methoden zur Abschätzung 1 EN ISO bietet einen vereinfachten Ansatz zur Abschätzung des DC (Anhang E) Schritt 1: nach Tabelle E.1 den DC für jede Funktion und jeden Block abschätzen Maßnahme Eingang Plausibilitätskontrolle, z.b. Verwendung normalerweise offener und normalerweise 99 % geschlossener mechanisch verbundener Kontakte 0 % bis 99 %, abhängig von der Häufigkeit der Kreuzvergleich der Eingangssignale ohne dynamischen Test Signalwechsel durch die Anwendung Logik Varianter Speicher: RAM Überwachung mit modifiziertem Hammingcode oder RAM 99 % Selbsttest (z.b..galpat. oder.abraham.) Verarbeitungseinheit: Selbsttest durch die Software 60 % bis 90 % Ausgang Kreuzvergleich der Ausgangssignale ohne dynamischen Test 0 % bis 99 % abhängig von der Häufigkeit der Signalwechsel durch die Anwendung Redundanter Abschaltpfad ohne Überwachung des Aktors 0 % Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 50 DC

51 DC Methoden zur Abschätzung 1 (Fs.) EN ISO bietet einen vereinfachten Ansatz zur Abschätzung des DC (Anhang E) Schritt 1: nach Tabelle E.1 den DC für alle jede Funktion und jeden Block abschätzen Schritt 2: durchschnittlichen Dc avg abschätzen Da nur ein DC (der durchschnittliche DC) für das gesamte SRP/CS zur Abschätzung des PL benötigt wird, kann der DC avg für Systeme mit unterschiedlichen DC in unterschiedlichen Bauteilen mit der folgenden Formel berechnet werden: wobei DC avg DC1 MTTF 1 MTTF d1 d1 DC2 MTTF 1 MTTF DC i und MTTF di Werte für jedes einzelne Bauteil sind und DC sich nur auf das getestete Bauteil, nicht aber auf die Testeinrichtungen bezieht. d 2 d 2 DCN... MTTF 1... MTTF dn dn Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 51

52 Abschätzung des PL EN ISO enthält eine vereinfachte grafische Methode nach dem Markov Verfahren, die auf den vorgesehenen Architekturen für die Kategorien basiert. Für eine genauere zahlenmäßige Bestimmung des PL in Abhängigkeit von der genauen MTTF d jedes Kanals kann die Tabelle in Anhang K verwendet werden. Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 52

53 Kombination von SRP/CS als Subsysteme Eine Sicherheitsfunktion kann von einer Kombination verschiedener SRP/CS ausgeführt werden, die unterschiedliche Kategorien und PL haben. Sensor Logik Aktor Erfassen Verarbeiten Schalten Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 53

54 Kombination von SRP/CS als Subsysteme (Fs.) In EN ISO werden SRP/CS nur in Reihenschaltung berücksichtigt. SRP/CS 1 PL 1 SRP/CS 2 PL 2 SRP/CS N PL N Für die Bestimmung des PL der ganzen Kombination können zwei verschiedene Verfahren angewandt werden. Verfahren 1: gegeben: Kategorie, MTTF d und DC jedes Bauteils in jedem SRP/CS Vorgehen: 1. DC und MTTF d für das gesamte System berechnen. 2. Kategorie für das gesamte System analysieren. 3. PL für das gesamte System mit Hilfe der vereinfachten graphischen Methode abschätzen. Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 54

55 Kombination von SRP/CS als Subsysteme (Fs.) Zwei verschiedene Verfahren können angewandt werden, um den PL für die ganze Kombination zu bestimmen. Verfahren 2: PL niedrig N niedrig PL gegeben: Kategorie und PL jedes SRP/CS Vorgehen: 1. PL niedrig bestimmen: niedrigster PL i 2. N niedrig bestimmen: Anzahl der SPR/CS i mit PL i = PL niedrig 3. PL des gesamten Systems nach der folgenden Tabelle bestimmen a b c d e > 3 kein PL, nicht erlaubt 3 a > 2 a 2 b > 2 b 2 c > 3 c 3 d > 3 d 3 e Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 55

56 Kombination von SRP/CS als Subsysteme (Fs.) Beispiel PL niedrig N niedrig PL a > 3 kein PL, nicht erlaubt 3 a Verfahren 2: gegeben: PL 1 = c, PL 2 = d, PL 3 = c Vorgehen: 1. PL niedrig PL niedrig = c bestimmen 2. N niedrig N niedrig = 2 bestimmen 3. PL des gesamten Systems nach der Tabelle bestimmen PL = c Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 56 b c d e > 2 a 2 b > 2 b 2 > 3 c 3 c d > 3 d 3 e

57 CCF Ausfälle infolge gemeinsamer Ursache Sensor 1 Logic Solver 1 Signal ein Sensor 2 Logic Solver 2 Ausfälle infolge gemeinsamer Ursache (CCF) Ein Ausfall, der als Ergebnis eines oder mehrerer Ereignisse zu gleichzeitigen Ausfällen in zwei oder mehr separaten Kanälen in einem Mehrkanalsystem und damit zum Systemausfall führt. Beispiele für CCF: Fehlkalibrierung redundanter Sensoren unsachgemäße Instandhaltung unsachgemäßer Bypass Belastung des Feldgeräts durch die Umgebung Diversität (z. B. durch unterschiedliche Technik) wird oft als Mittel zur Vermeidung von CCF angeführt. Die Wahrscheinlichkeit des Auftretens von CCF kann dadurch jedoch nicht völlig eliminiert werden. Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 57

58 Maßnahmen gegen Ausfälle infolge gemeinsamer Ursache EN ISO enthält eine Checkliste mit wichtigen Gegenmaßnahmen für die jeweils zwei Punkte vergeben werden. Mindestens 65 Punkte müssen erreicht werden um die Anforderung zur Vermeidung von CCF zu erfüllen. Maßnahmen gegen CCF Separation/ Trennung physikalische Trennung zwischen den Signalpfaden zweier Kanäle 15 Diversität Entwicklung / Anwendung / Erfahrung Beurteilung / Analyse Kompetenz / Schulung Umgebung Diversität in der Technologie, der Gestaltung oder den physikalischen Prinzipien der Kanäle Die Gegenmaßnahmen sind entweder vollständig oder gar nicht anzuwenden. Für die teilweise Umsetzung der Gegenmaßnahmen werden keine Punkte vergeben. Nur in den Kategorien 2, 3 und 4 möglich. In Systemen der Kategorie 2 ist das Ziel die Vermeidung von gefährlichem Ausfälle infolge gemeinsamer Ursachen in Test und Funktionskanälen, das zu einem unentdeckten gefahrbringenden Versagen führen könnte. Einführung in die Funktionale Sicherheit Vers.1.1 Punkte Schutz vor möglicher Überlastung 15 Einsatz bewährter Bauteile 5 Ausfalleffektanalyse FMEA während der Entwicklung zur Erkennung potentieller CCF. Schulung der Konstrukteure / Instandhalter im Bereich CCF und deren Vermeidung Schutz vor Ausfälle infolge gemeinsamer Ursache durch Verschmutzung (mechanische und fluidische Systeme) und elektromagnetische Interferenz (elektrische Systeme) Schutz vor CCF durch ungünstige Umweltbedingungen 10 Prof. Dr. Ing. U. Adolph Gesamt

59 Systemarchitektur Das höchste Sicherheits Integritätslevel, das eine Sicherheitsfunktion aufweisen kann, wird durch Beschränkungen aufgrund der Hardware Architektur begrenzt. Folgendes Verfahren wird angewendet, um den maximalen SIL einer Sicherheitsfunktion zu bestimmen: Bestimmung des Subsystems, aus dem das sicherheitsbezogene E/E/PE System besteht Bestimmung des maximalen SIL für alle Elemente jedes Subsystems: Bestimmung des gesamten Anteils sicherer Ausfälle Hardware Fehlertoleranz des Subsystems Elementarten (Typ A oder Typ B) Gruppierung der Subsysteme in Kombinationen und deren Analyse zur Bestimmung des gesamten maximalen SIL. System architektur Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 59

60 Anteil sicherer Ausfälle (SFF) Gesamtausfallrate ges sicher S unsicher D erkannt SD unerkannt SU erkannt DD unerkannt DU Der Anteil sicherer Ausfälle (Safe Failure Fraction, SFF) beschreibt den Anteil sicherer Fehler in der Gesamtfehlerrate eines Subsystems. Der Diagnosedeckungsgrad (Diagnostic Coverage DC) beschreibt, wie viele unsichere Fehler erkannt werden. DC SFF 1 S DD 1 ges DU D DU ges Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 60

61 Ausfallraten Wahrscheinlichkeitsrechnung Ergebnisse der gemäß IEC oder IEC durchgeführten FMEDA können auch zur Bestimmung der MTTF d genutzt werden. Eingabe 2oo3 Typ A SFF [%] Lambda gesamt (IEC 61508) PFH S [1/h]: λ SD λ SU λ DD λ DU PFD S: 3,61E-06 3,14E-08 2,76E-08 1,74E-08 Logik 1oo1 Typ A SFF [%] Parameter gem. DIN EN ISO PFH L [1/h]: MTTF d = 1/(Σ(λDD+λDU)*24h*365T) PFD L: = 2536,4 Jahre = High Aktor 1oo1 Typ A SFF [%] 99,5% SIL 3 DC AVG = ΣλDD/Σ(λDD+λDU) PFH A [1/h]: 1,74E-08 SIL 3 = 61,23% = Low PFD A: 7,65E-04 SIL 3 Bauteiltyp [EN62061] [SN 29500] Fehlerart Lambda Widerstand Fehlerart Fehlerverteilung [%] λ=λ Basis+K [FIT] sicher[%] unsicher[%] DC[%] λ SD λ SU λ DD λ DU R4 OC 80 0, ,76E-10 1,76E-10 0,00E+00 0,00E+00 SC 10 0, ,00E+00 2,20E-11 0,00E+00 2,20E-11 Drift 10 0, ,00E+00 4,40E-11 0,00E+00 0,00E+00 Kondensator Fehlerart Fehlerverteilung [%] λ=λ Basis+K [FIT] sicher[%] unsicher[%] DC[%] λ SD λ SU λ DD λ DU C31 OC 40 5, ,00E+00 2,04E-09 0,00E+00 0,00E+00 SC 40 5, ,00E+00 0,00E+00 1,02E-09 1,02E-09 Drift 20 5, ,00E+00 1,02E-09 0,00E+00 0,00E+00 tan a 0,00E+00 0,00E+00 0,00E+00 0,00E+00 Diode Fehlerart Fehlerverteilung [%] λ=λ Basis+K [FIT] sicher[%] unsicher[%] DC[%] λ SD λ SU λ DD λ DU D1 OC 40 3, ,00E+00 7,80E-10 0,00E+00 7,80E-10 SC 40 3, ,80E-10 7,80E-10 0,00E+00 0,00E+00 Drift 20 3, ,00E+00 7,02E-10 0,00E+00 7,80E-11 Transistor Fehlerart Fehlerverteilung [%] λ=λ Basis+K [FIT] sicher[%] unsicher[%] DC[%] λ SD λ SU λ DD λ DU T1 OC ein Pin 25 42, ,25E-09 5,25E-09 0,00E+00 0,00E+00 SC 25 42, ,00E+00 0,00E+00 5,25E-09 5,25E-09 SC alle Pins 25 42, ,00E+00 0,00E+00 5,25E-09 5,25E-09 Änd. Charakteristika 25 42, ,00E+00 9,45E-09 0,00E+00 1,05E-09 Σ 3,61E-06 3,14E-08 2,76E-08 1,74E-08 Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 61

62 Elementtypen Ein Subsystem ist als Typ A zu klassifizieren, wenn Folgendes auf die Komponenten zutrifft, die für die Erfüllung der Sicherheitsfunktion gefordert sind: a) klare Bestimmung der Ausfallarten aller Bestandteile und b) Möglichkeit der vollständigen Bestimmung des Verhaltens des Subsystems unter Fehlerbedingungen und c) Vorhandensein ausreichender, zuverlässiger Ausfalldaten aus Felderfahrung zur Demonstration der Einhaltung der angegebenen Ausfallraten für erkannte und unerkannte unsichere Ausfälle. Ein Subsystem ist als Typ A zu klassifizieren, wenn Folgendes auf die Komponenten zutrifft, die für die Erfüllung der Sicherheitsfunktion gefordert sind: a) klare Bestimmung der Ausfallart mindestens eines Bestandteils oder b) keine Möglichkeit der vollständigen Bestimmung des Verhaltens des Subsystems unter Fehlerbedingungen oder c) Vorhandensein unzureichender zuverlässiger Ausfalldaten aus Felderfahrung zur Stützung der Angaben für Ausfallraten für erkannte und unerkannte unsichere Ausfälle. Erfüllt mindestens eine der Komponenten des Subsystems die Bedingungen für Typ B, so kann es sich nur um ein Typ B System, nicht aber um ein Typ A System handeln. Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 62

63 Hardware Fehlertoleranz Die Hardware Fehlertoleranz (Hardware Fault Tolerance, HFT) ist ein Index, welcher die Anzahl der Fehler in einem Subsystem angibt, die zur Nichterfüllung einer festgelegten Funktion führen: HFT = 0: der erste Fehler kann zu einem Verlust der Sicherheitsfunktion führen. HFT = 1: 2 Fehlerkombinationen können zu einem Verlust der Sicherheitsfunktion führen. HFT = N: N+1 Fehler können zu einem Verlust der Sicherheitsfunktion führen. Die HFT ist eng mit der Architektur des sicherheitsbezogenen Systems verbunden: einkanaliges System mehrkanaliges System System mit Diagnoseeinheit Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 63

64 Systemarchitektur Signal Eingangsmodul Steuermodul Ausgangsmodul Abschlusselement In dem oben aufgeführten System: werden von den Sensoren wahrgenommene Signale überwacht. schaltet das Ausgangsmodul im Falle von Anomalien das Abschlusselement ab. Zur Ausführung dieser Systemfunktionen können verschiedene Systemarchitekturen verwendet werden. Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 64

65 Einkanalige Struktur 1oo1 Eingangsmodul Steuermodul Ausgangsmodul Sensor Ausgangsschaltung Eingangsschaltung CPU Abschlusselement HFT =? Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 65

66 Zweikanalige Struktur 1oo2 Eingangsmodul Steuermodul Ausgangsmodul Sensor Sensor Ausgangsschaltung Eingangsschaltung Eingangs modul Ausgangsschaltung Eingangsschaltung CPU Steuermodul CPU Ausgangsmodul Abschlusselement HFT =? Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 66

67 Zweikanalige Struktur 2oo2 Eingangs modul Steuermodul Ausgangsmodul Sensor Ausgangsschaltung Eingangsschaltung CPU Eingangs modul Steuermodul Ausgangsmodul Sensor Ausgangsschaltung Eingangsschaltung CPU Abschlusselement HFT =? Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 67

68 Dreikanalige Struktur 1oo3 Eingangs modul Steuermodul Ausgangsmodul Sensor Ausgangsschaltung Eingangsschaltung CPU Eingangs modul Steuermodul Ausgangsmodul Sensor Sensor Eingangs modul Ausgangsschaltung Eingangsschaltung CPU Steuermodul CPU Ausgangsmodul Ausgangsschaltung Eingangsschaltung Abschlusselement HFT =? Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 68

69 Dreikanalige Struktur 2oo3 Eingangs modul Steuermodul Ausgangsmodul Sensor Ausgangsschaltung Eingangsschaltung CPU Eingangs modul Steuermodul Ausgangsmodul Sensor Sensor Eingangs modul Ausgangsschaltung Eingangsschaltung CPU Steuermodul CPU Ausgangsmodul Ausgangsschaltung Eingangsschaltung Abschlusselement HFT =? Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 69

70 System mit Diagnoseeinheit: 1oo1D Eingangs modul Steuermodul Ausgangsmodul Sensor Eingangsschaltung CPU Ausgangsschaltung Diagnoseschaltung Diagnoseschaltung Diagnoseschaltung Abschlusselement HFT =? Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 70

71 System mit Diagnoseeinheit: 1oo2D Eingangs modul Steuermodul Ausgangsmodul Sensor Eingangsschaltung CPU Ausgangsschaltung Diagnoseschaltung Diagnoseschaltung Diagnoseschaltung Eingangs modul Steuermodul Ausgangsmodul Sensor Eingangsschaltung CPU Ausgangsschaltung Diagnoseschaltung Diagnoseschaltung Diagnoseschaltung HFT =? Abschlusselement Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 71

72 System mit Diagnoseeinheit: 2oo2D Eingangs modul Steuermodul Ausgangsmodul Sensor Eingangsschaltung CPU Ausgangsschaltung Diagnoseschaltung Diagnoseschaltung Diagnoseschaltung Eingangs modul Steuermodul Ausgangsmodul Sensor Eingangsschaltung CPU Ausgangsschaltung Diagnoseschaltung Diagnoseschaltung Diagnoseschaltung HFT =? Abschlusselement Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 72

73 SIL für sicherheitsbezogene Elemente Die folgenden Tabellen zeigen das höchste Sicherheits Integritätslevel, das unter Beachtung der Hardware Fehlertoleranz, des Typs und des Anteils sicherer Ausfälle eines sicherheitsbezogenen Elements oder Subsystems für dieses angegeben werden kann. Anteil sicherer Ausfälle Hardware Fehlertoleranz Typ A Anteil sicherer Ausfälle Hardware Fehlertoleranz Typ B nicht gestattet Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 73

74 Maximales Gesamt SIL Ausgangspunkt: Ein sicherheitsbezogenes System besteht aus mehreren sicherheitsbezogenen Elementen mit verschiedenen Typen und verschiedenen SFF. Element 1 Element 2 Typ B Typ A SFF = 99.7% SFF = 82.6% Element 3 Typ B SFF = 94.1% Element 4 Typ B SFF = 79.7% Element 5 Typ A SFF = 66.3% Subsystem X Subsystem Y Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 74

75 Maximales Gesamt SIL (Fortsetzung) Schritt 1: Betrachtung der Tabellen auf Folie 73 zur Bestimmung des SIL jedes Elements unter der Voraussetzung, dass für alle Elemente HFT = 0 ist. Element 1 Element 2 Typ B SFF = 99.7% Element 3 Typ B SFF = 94.1% Typ A SFF = 82.6% Element 4 Typ B SFF = 79.7% Element 5 Typ A SFF = 66.3% Subsystem X Subsystem Y Element 1 Element 2 Typ B SIL 3 Element 3 Typ B SIL 2 Typ A SIL 2 Element 4 Typ B SIL 1 Element 5 Typ A SIL 2 Subsystem X Subsystem Y Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 75

76 Maximales Gesamt SIL (Fortsetzung) Schritt 2: Bestimmung des maximalen Gesamt SIL für eine Reihenkombination von Elementen durch Bestimmung des niedrigsten durch diese Elemente erzielten SIL Element 1 Element 2 Typ B SIL 3 Element 3 Typ B SIL 2 Typ A SIL 2 Element 4 Typ B SIL 1 Element 5 Typ A SIL 2 Subsystem X Subsystem Y Element 1 & 2 Typ B SIL 2 Element 3 & 4 Typ B SIL 1 Element 5 Typ A SIL 2 Subsystem X Subsystem Y Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 76

77 Maximales Gesamt SIL (Fortsetzung) Schritt 3: Bestimmung des maximalen SIL für eine parallele Kombination von Elementen durch das höchste erzielte SIL und die Hardware Fehlertoleranz N Element 1 & 2 Typ B SIL 2 Element 3 & 4 Typ B SIL 1 Element 5 Typ A SIL 2 Subsystem X Subsystem Y Element 1, 2, 3 & 4 Element 5 Typ B Typ A SIL 3 SIL 2 Subsystem X Subsystem Y Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 77

78 Maximales Gesamt SIL (Fortsetzung) falls notwendig, Wiederholung der Schritte 2 & 3 zur Gewinnung des endgültigen Ergebnisses Element 1, 2, 3 & 4 Element 5 Typ B Typ A SIL 3 SIL 2 Subsystem X Subsystem Y Element 1, 2, 3, 4 & 5 Typ B SIL 2 gesamtes System Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 78

79 Systemverhalten bei Fehlererkennung in fehlertoleranten Subsystemen: Umschaltung in sicheren Zustand, oder Genehmigung des weiterlaufenden Betriebs während eines Reparaturzeitraums wenn Fehlerbehebung nicht während des Reparaturzeitraums möglich, Umschaltung in sicheren Zustand in nicht fehlertoleranten Subsystemen: Ausführung einer festgelegten Reaktion, um den Übergang in den sicheren Zustand zu ermöglichen Falls die Sicherheit durch andere Maßnahmen und Einschränkungen gewährleistet ist, Genehmigung des weiterlaufenden Betriebs während des Reparaturzeitraums mit niedriger Anforderungsrate, nach Ablauf des Reparaturzeitraums Umschaltung in sicheren Zustand Systemverhalten bei Fehlererkennung Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 79

80 SRP/CS Gestaltungsprozess Aus Risikoanalyse (EN ISO 12100) 1 2 Identifizieren der Sicherheitsfunktionen (SF) Festlegen der Eigenschaften jeder SF 4 Realisieren der SF, Identifizieren der SRP/CS Für jede SF 6 Verifikation PL PL r Nein Ja 8 Alle SF analysiert Nein 7 Validierung: Anforderungen erreicht? Nein Ja Einführung in die Funktionale Sicherheit Vers.1.1 Ja Zur Risikoanalyse (EN ISO 12100) Prof. Dr. Ing. U. Adolph 80

81 5.2 Softwarefehler Software ist in der Regel komplex Zahl der SW Fehler nimmt zu, HW Fehler vergleichbar selten Im Gegensatz zu Hardware Fehlern, die durch zufällige Bauteilausfälle entstehen, haben Software Fehler systematische Ursachen. Die Anforderungen von EN ISO zielen daher besonders auf die Fehlervermeidung in den Entwicklungsphasen Spezifikation, Gestaltung und Modifikation ab, in denen sicherheitskritische Fehler bevorzugt auftreten. Um eine gute Qualität sicherheitsbezogener Software zu erreichen, ist es naheliegend, entsprechende aktuelle und bewährte Entwicklungsmodelle des Software Engineering aufzugreifen. Für sicherheitsbezogene Systeme wird dabei meist auf das sogenannte V Modell verwiesen. Da das V Modell eher für sehr komplexe Software verwendet wird, fordert EN ISO , Abschnitt nur eine vereinfachte Form (Abbildung oben). Diese vereinfachte Form wird bei sicherheitsbezogenen SRP/CS im Maschinensektor und dort speziell für die Entwicklung von SRASW als praxisgerecht und zielführend bewertet. Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 81

82 Vereinfachtes V Modell für den Software Lebenszyklus Vereinfachtes V Modell für den Software Lebenszyklus Spezifikation der Sicherheitsfunktionen Validierung Validierung validierte Software Das Ziel ist die Entwicklung einer lesbaren, verständlichen, testbaren und wartbaren Modulgestaltung Modultests Software. Systemgestaltung Integrationstests Sicherheitsbezogene Softwarespezifikation konstruktive Aktivitäten überprüfende Aktivitäten Ergebnis Verifikation Codierung Validierung in diesem Zusammenhang eine abschließende Verifikation der gesamten Software Verifikation qualitätssichernde Aktivität, mit der geprüft wird, ob das Ergebnis einer Phase den Vorgaben der Vorgängerphase entspricht. Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 82

83 Vereinfachtes V Modell (Fs.) Sicherheitsbezogene Spezifikation der Validierung Sicherheitsfunktionen Softwarespezifikation Validierung validierte Software Systemgestaltung Integrationstests konstruktive Aktivitäten Modulgestaltung Modultests überprüfende Aktivitäten Ergebnis Verifikation Codierung Die folgenden Aspekte müssen in diesem Schritt dokumentiert werden: Spezifikation der Sicherheitsfunktionen der Software ausgehend von der Spezifikation der Sicherheitsfunktionen der SRP/CS Funktionen, die Hardware Fehler erkennen und einschränken Leistungsmerkmale wie z. B. die maximale Reaktionszeit Reaktionen im Fehlerfall vorgesehene Schnittstellen zu anderen Systemen etc. der zu erreichende PL r der Sicherheitsfunktionen für die Auswahl der notwendigen Maßnahmen zur Fehlervermeidung Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 83

84 Vereinfachtes V Modell (Fs.) Sicherheitsbezogene Spezifikation der Validierung Sicherheitsfunktionen Softwarespezifikation Validierung Validierte Software Systemgestaltung Integrationstests konstruktive Aktivitäten Modulgestaltung Modultests überprüfende Aktivitäten Ergebnis Verifikation Codierung Folgende Aspekte müssen in diesem Schritt definiert werden: Struktur und Module, mit denen die spezifizierte Sicherheitsteilfunktion umgesetzt werden soll welche existierenden Bibliotheksfunktionen eingesetzt werden sollen ob neue Funktionen, ihre Schnittstellen und Testfälle für Modultests projektspezifisch neu entwickelt werden müssen Das Software Gestaltungsdokument sollte Aufbau und Ablauf der Software beschreiben und durch Grafiken illustrieren. Bei weniger komplexen SRP/CS kann die System und Modulgestaltung in einem sicherheitsbezogenen Softwarepflichtenheft zusammengefasst werden. Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 84

85 Vereinfachtes V Modell (Fs.) Sicherheitsbezogene Spezifikation der Validierung Sicherheitsfunktionen Softwarespezifikation Validierung validierte Software Systemgestaltung Integrationstests konstruktive Aktivitäten Modulgestaltung Modultests überprüfende Aktivitäten Ergebnis Verifikation Codierung Zur Fehlervermeidung sind folgende Aspekte zu beachten: Der Code muss lesbar und verständlich sein, damit er später leichter getestet und fehlerfrei modifiziert werden kann. Defensiv programmieren, d. h. immer mit internen oder externen Fehlern rechnen und diese erkennen. Der Code muss statistisch, d. h. ohne Ausführung, analysiert werden: für niedrige PL reicht ein Code Review, für PL d und e sollte der Daten und Steuerfluss zusätzlich, möglichst werkzeugbasiert, geprüft werden. Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 85

86 Vereinfachtes V Modell (Fs.) Sicherheitsbezogene Spezifikation der Validierung Sicherheitsfunktionen Softwarespezifikation Validierung validierte Software Systemgestaltung Integrationstests konstruktive Aktivitäten Modulgestaltung Modultests überprüfende Aktivitäten Ergebnis Verifikation Codierung Im Modultest werden die projektspezifisch neu entwickelten Softwarefunktionen getestet und simuliert, um zu prüfen, ob sie so codiert sind, wie in der Modulgestaltung spezifiziert. Spätestens beim Integrationstest, z. B. bei der typischen Inbetriebnahme der SPS einer Maschine, wird die Gesamtsoftware auf korrekten Ablauf auf der Hardware (Integration) und auf Übereinstimmung mit der Systemgestaltung (Verifikation) getestet. Einführung in die Funktionale Sicherheit Vers.1.1 Prof. Dr. Ing. U. Adolph 86