Sicherheits-SPS IEC 61508 (VDE 0803) oder EN 5012x

DKE Tagung zur IEC 61508 Ed. 2 Sicherheits-SPS IEC 61508 (VDE 0803) oder EN 5012x IEC 61508: Anwendungen / Konsequenzen aus der 2. Ausgabe Abteilung: Rail Automation 02.12.2009 1

Einführung Zertifizierung von nach ist EN 5012x IEC 61508 wenig sinnvoll und sehr schwer IEC 61508 IEC 5012x möglich Abteilung: Rail Automation 02.12.2009 2

Einführung Warum nicht von EN 5012x zu IEC 61508? Kein SFF, kein DC, keine HFT andere probabilistische Betrachtungen üblich andere CCF-Betrachtungen üblich meist sehr spezifisch entwickelte Geräte viele Anwendungsvorschriften mit Bezug zur Applikation Einschränkungen, die nur für den Bahnbereich anwendbar sind Abteilung: Rail Automation 02.12.2009 3

Einführung Warum von IEC 61508 zu EN 5012x? EN 5012x ist prinzipiell aus IEC 61508 abgeleitet. Hinzugekommene Einfach- und Mehrfachfehlerbetrachtungen müssen in der Industriewelt meist auch erfüllt werden (ISO 13849-1, EN 81-1, ). Abteilung: Rail Automation 02.12.2009 4

Prüfgrundlage Bahn / Industrie Fachgrundnorm IEC 61508 Ableitungen Industrie Bahn EN 50126/ 50128/ 50129 Automotive ISO WD 26262 Ableitungen Prozessindustrie IEC 61511 Automatisierung Maschinensicherheit IEC 62061 Abteilung: Rail Automation 02.12.2009 5

Prüfgrundlage Bahn / Industrie Einschränkung nur generisches Produkt aus EN 50129 korreliert mit IEC 61508 Abteilung: Rail Automation 02.12.2009 6

Zusammenhang HR, PFD und PFH EN 50129: Hazard Rate, HR IEC 61508: Betriebsart mit kontinuierlicher Anforderungsrate Probability of a dangerous Failure per Hour, PFH, in Ed. 2 average frequency of dangerous failure of the safety function Umrechnung: HR = PFH Niedrige Anforderungsrate PFD bei Bahntechnik/Stellwerken nicht anwendbar Abteilung: Rail Automation 02.12.2009 7

Prüfgrundlage Bahn / Industrie IEC 61508 1 EN 50126: Prozess / RAMS IEC 61508 2 EN 50129 System und Hardware IEC 61508 3 EN 50128 Software EN 50126 EN 5012x ist ebenfalls in Überarbeitung, vorraussichtlich Anpassung der Struktur: part 1: Generic RAMS process part 2: Systems approach to safety part 4: Functional Safety Electric and electronic systems part 3: [Safety management system for RU and IM] part 5: Functional Safety - Software part 6 bis x offen für weitere Normenteile (z.b. RAM) Abteilung: Rail Automation 02.12.2009 8

Unterschiede Was ist zu tun? Was sollte sich ändern? Abteilung: Rail Automation 02.12.2009 9

Unterschiede EN 5012x vs. IEC 61508 EN 5012x, SIL IEC 61508, SIL 1 / 2 1 3 / 4 3 4 Grobe Einteilung für qualitative Anforderungen 4 abgestufte Klassen in der Industrie, IEC 61508 2-Klassengesellschaft SIL 1/2 und SIL 3/4 in der Bahn, EN 5012x Unterschiede - Software hier sind kaum Unterschiede zwischen den Welten vorhanden - Hardware - Dokumentation - Sicherheitsprozess Softwareaspekte und Risikoanalyse werden hier nicht betrachtet! 2 Abteilung: Rail Automation 02.12.2009 10

Unterschiede EN 5012x vs. IEC 61508 EN 5012x IEC 61508 Sicherheitsgerichtete Kommunikation EN 50159 ohne absolutes Limit Safety Management - Sicherheitsnachweis - Genaue Vorgabe der Unabhängigkeiten der Rollen Übertragungsstrecken dürfen nur 1% vom SIL beanspruchen (EN 61784-3) Management der Funktionalen Sicherheit - Nur impliziter SiNa Dokumentierter Lebenszyklus - Unabhängigkeit des Assessors definiert - Unabhängigkeit Validierer nicht definiert in der Praxis aber meist unabhängig SIL 3 and 4 PM DES VER VAL Org A ASS Org B Abteilung: Rail Automation 02.12.2009 11

Unterschiede EN 50129 <-> IEC 61508 EN 50129 IEC 61508 Komplexe Komponenten wenig Information zu neuen Komponenten, z.b. ASIC, FPGA Komplexe Komponenten Spezielle Anforderungen hinsichtlich der Architektur von integrierten Bausteinen (ICs) mit On-Chip Redundanz, IEC 61508-2, Anhang E (normativ) Technik/ Maßnahme 1 Watchdog auf dem Chip wird zur Überwachung genutzt Delta Bemerkung β-factor [ %] 5 Überwachungselemente, die als WD benutzt werden sollten extern realisiert sein um die benötigte SFF bzw. DC zu erreichen. Hier sind auch die common cause Fehler zu berücksichtigen. Tabelle E.1 Techniken und Maßnahmen, die β B-IC erhöhen Technik/ Maßnahme 1a Diverse Maßnahmen um Fehler in verschiedenen Kanälen zu beherrschen Delta β-factor [ %] 4 Bemerkung Tabelle E.2 Techniken und Maßnahmen, die β B-IC reduzieren Abteilung: Rail Automation 02.12.2009 12

Unterschiede EN 50129 <-> IEC 61508 EN 50129 IEC 61508 Einfach- und Mehrfachfehlerbetrachtungen: ab SIL3 Nachweis zu fail-safe- Verhalten für Einzelfehler gefordert. Bei SIL1/SIL2 nur Nachweis der HR nötig. Einfachfehlerbetrachtung mit Anforderungen an die Redundanz (HFT 0,1,2) Fehlerbetrachtung berücksichtigt Fehleraufdeckung, SFF (Anteil ungefährlicher Ausfälle) Anteil ungefährlicher Ausfälle Fehlertoleranz der Hardware Typ B, Komplexe Teilsysteme 0 1 2 <60 % Nicht erlaubt SIL 1 SIL 2 60 % <90 % SIL 1 SIL 2 SIL 3 90 % <99 % SIL 2 SIL 3 SIL 4 schwer zu erreichen ³ 99 % SIL 3 SIL 4 SIL 4 Eine Fehlertoleranz der Hardware von N bedeutet, dass N+1 Fehler zum Verlust der Sicherheitsfunktion führen können. Diese mögliche Architektur kann im Sinne der EN 50129 ein Problem darstellen. Mehrfachfehlerbetrachtungen sind durch C-Normen, z.b. IEC 62061 gefordert. Abteilung: Rail Automation 02.12.2009 13

Unterschiede EN 50129 <-> IEC 61508 EN 50129 IEC 61508 Architekturvorschriften keine normativen Vorgaben Table E.4 - Architektur des/der Systems/Teilsystems/Einrichtung à lediglich informativ Technik/Maßnahme SIL 3 SIL 4 1. Trennung von sicherheitsrelevanten Systemen von nicht sicherheitsrelevanten System HR HR 4. Zweikanalige elektronische Struktur basierend auf der failsafe Struktur durch Redundanz (composite fail-safety) mit fail-safe Vergleich 5. Einkanalige elektronische Struktur basierend auf der failsafe Struktur durch unverlierbare Eigenschaften (inherent fail-safety) 6. Einkanalige elektronische Struktur basierend auf der failsafe Struktur durch sicherheitsgerichtete Ausfallreaktion (reactive fail safety) 7. Diversitäre elektronische Struktur mit fail-safe Vergleich Fehlerausschlüsse sind in beiden Welten zulässig HR HR HR HR HR HR HR HR Architekturvorschriften: HFT/SFF/Zugehörige Architektur Fehlertoleranz der Hardware Typ B, Komplexe Teilsysteme 0 1 2 Nicht erlaubt SIL 1 SIL 2 SIL 1 SIL 2 SIL 3 SIL 2 SIL 3 SIL 4 SIL 3 SIL 4 SIL 4 Eine Fehlertoleranz der Hardware von N bedeutet, dass N+1 Fehler zum Verlust der Sicherheitsfunktion führen können. Bei IEC 61508, SIL 4 ausgeschlossen Abteilung: Rail Automation 02.12.2009 14

Unterschiede EN 50129 <-> IEC 61508 EN 50129 IEC 61508 Common cause Analysen um physikalische Unabhängigkeit nachzuweisen. Dadurch wird die Verwendung von UND- Verknüpfungen in der probabilistischen Berechnung möglich. ABER: Keine spezielle Methode vorgegeben. Quantifizierung von Common Cause Faktor Beta Faktor Umfangreiche Anleitung vorhanden IEC 61508-6 Trennung der Betrachtungseinheiten explizit gefordert. Merkmal Logik- Teilsystem Sensoren und Stellglieder X LS Y LS X SF Y SF Trennung Werden alle Signalkabel an allen Stellen für die Kanäle getrennt geführt? 1,5 1,5 1,0 2,0 Sind die Kanäle des Logik-Teilsystem auf getrennten Leiterplatten? 3,0 1,0 Sind die Kanäle des Logik-Teilsystem in getrennten Schaltschränken? 2,5 0,5 Wenn die Sensoren/Stellglieder zugeordnete Steuerelektroniken haben, befinden sich 2,5 1,5 diese für jeden Kanal auf getrennten Leiterplatten? Wenn die Sensoren/Stellglieder zugeordnete Steuerelektroniken haben, befinden sich diese für jeden Kanal im Innenraum und in getrennten Schaltschränken? 2,5 0,5 Tabelle D.1 Anrechnung programmierbarer Elektronik oder Sensoren/Stellglieder Abteilung: Rail Automation 02.12.2009 15

Unterschiede EN 50129 <-> IEC 61508 EN 50129 IEC 61508 Diagnosedeckungsgrade werden nicht betrachtet Genauere Info zu Diagnosedeckungsgraden skalierbar (IEC 61508-2, Table A.1) Größter Unterschied zwischen EN 50129 und IEC 61508 Bauteil Interrupt- Behandlung SieheTa bellen Anforderungen zum beanspruchten Diagnosedeckungsgrad oder Anteil der ungefährlichen Ausfälle niedrig (60 %) mittel (90 %) hoch (99 %) A.4 Keine oder ständige Interrupts Keine oder ständige Interrupts Gegenseitige Beeinflussung von Interrupts Keine oder ständige Interrupts Gegenseitige Beeinflussung von Interrupts Nicht Veränderlicher Speicher A.5 Stuck-at für Daten und Adressen DC-Fehlermodell für Daten und Adressen Alle Fehler, die Daten im Speicher beeinflussen Veränderlicher Speicher A.6 Stuck-at für Daten und Adressen DC-Fehlermodell für Daten und Adressen DC-Fehlermodell für Daten und Adressen Wechsel von Informationen bedingt durch transiente Fehler (soft-errors) bei DRAM mit einer Größe von 1Mbit und größer Dynamisches Übersprechen für Speicherzellen Keine, falsche oder mehrfache Adressierung Wechsel von Informationen bedingt durch transiente Fehler (soft-errors) bei DRAM mit einer Größe von 1Mbit und größer Abteilung: Rail Automation 02.12.2009 16

Unterschiede EN 50129 <-> IEC 61508 EN 50129 IEC 61508 Probabilistische Berechnung Große Freiheit bei der Wahl der Berechnungsmethode Diagnosemaßnahmen werden nicht berücksichtigt Umfangreiche Beispiele zur Berechnung unter Berücksichtigung von Diagnosemaßnahmen und Beta-Faktor Formeln für gängige Architekturen in IEC 61508-6 FMEDA mit genauer Fehleraufteilung und Diagnosedeckungsgraden Abteilung: Rail Automation 02.12.2009 17

Unterschiede EN 50129 <-> IEC 61508 EN 50129 IEC 61508 Probabilistische Berechnung Diagnosemaßnahmen werden nicht berücksichtigt Probabilistische Berechnung Diagnosemaßnahmen und Beta-Faktor werden berücksichtigt Es ist nicht klar, welche Methode zu konservativeren Ergebnissen führt. Lösungsvorschläge - EN 50129 akzeptiert die Vorgehensweise aus der IEC 61508 Fachgrundnorm (A) -Begründung - EN 50129 macht keine Aussagen zur Wertung von Diagnosemaßnahmen - EN 50129 spricht von geeigneter Methode zur probabilistischen Berechnung oder - Systeme werden nach beiden Methoden berechnet doppelter Aufwand Abteilung: Rail Automation 02.12.2009 18

Berechnungsbeispiel IEC 61508 Berechnung TOP EVENT = Verlust der Sicherheitsfunktion mit Modellierung nach IEC 61508 mit Einteilung Safe/Dangerous, DC, Betafaktoren: PFH= 7,43E-11 (20 Jahre Lebensdauer) Abteilung: Rail Automation 02.12.2009 19

Berechnungsbeispiel EN 50129 Berechnung TOP EVENT = Verlust der Sicherheitsfunktion mit Modellierung nach EN 50129 mit voller Ausfallrate aller Bauteile, ABER alle DC-Liefernden Teile aus IEC 61508-Betrachtung modelliert: HR=7,07E-11 (20 Jahre Lebensdauer) Abteilung: Rail Automation 02.12.2009 20

Theoretische Ausfallratenprognose vs. realen Ausfallverhalten sicherheitsrelevanter Baugruppen hat gezeigt, das reale Ausfallverhalten ist um den Faktor 4-5 geringer als es die Berechnung vorhersagt! Damit ist die Ausfallrate mindestens um den gleichen Faktor zu konservativ berechnet mit der Konsequenz, dass bereits heute etliche SIL3 - Baugruppen die THR für bahntechnische Anwendungen nach SIL 4 erfüllen! 21 02.12.2009 Abteilung: Rail Automation

Unterschiede EN 50129 <-> IEC 61508 EN 50129 IEC 61508 Probabilistische Berechnung -> Umfangreiche Vorgaben zur Berechnung -> Modellierung des Anstiegs von PFH/PFD während eines Testintervalls und durch l DU, IEC 61508-6 Bild B.22 zeigt die resultierende Sägezahnkurve wenn folgende Komponenten zu einem bestehenden System hinzugefügt werden Komponente, die nie getestet wird -> PFD steigt kontinuierlich Komponente, die alle 2 Jahre getestet wird -> PFD sinkt alle 2 Jahre 1.8e-3 PFD(t) 1.6e-3 1.4e-3 1.2e-3 1.0e-3 8.0e-4 6.0e-4 4.0e-4 2.0e-4 PFDavg: 5.7 e-4 PFDavg: 6.3 e-4 PFDavg: 6.9 e-4 PFDavg: 7.5 e-4 PFDavg: 8.1 e-4 0.0e+0 0 10000 20000 30000 40000 50000 60000 70000 80000 90000 Abteilung: Rail Automation 02.12.2009 22

Ergebnis des Vergleichs IEC 61508 allein nicht ausreichend für Bahnbereich wegen Ein- und Mehrfachfehlerbetrachtungen Kombination beider Welten sicherheitstechnisch sinnvoll und kommerziell wünschenswert bei Neuentwicklungen ist Mehraufwand überschaubar Akzeptanz der Methode der probabilistischen Berechnung muss geklärt werden Abteilung: Rail Automation 02.12.2009 23

Ergebnis des Vergleichs Wenn ein System aus der Industrie, das gemäß - IEC 61508 und - z.b. IEC 62061 (Maschinensicherheit Mehrfachfehlerbetrachtung vorhanden) zertifiziert ist und besonderes Augenmerk auf - probabilistische Berechnung - unabhängige Validierung - zusätzliche Dokumentation gelegt wird, ist die Überführung nach EN 5012x möglich! Abteilung: Rail Automation 02.12.2009 24

Neue Systeme In Zukunft sollten Systeme, die für Bahn und Industrie vorgesehen sind von vorneherein entwicklungsbegleitend gemäß IEC 61508, Applikationsnormen und EN 5012x begutachtet werden. Minimierung des Aufwandes! Abteilung: Rail Automation 02.12.2009 25

Anregungen, Ausblick Generische Produkte aus dem Industrieumfeld sollten nur bis SIL 4 betrachtet werden. Höhere Anforderungen, die aus Bahn-Risikoanalysen stammen ( SIL 5 bei hohen THR Anforderungen), sind über die generische Applikation abzudecken. EN 50129 ist hier unklar: SIL5 -Anforderungen sind in der Signaltechnik realistisch, in EN 50129 aber ausgeschlossen werden. Abteilung: Rail Automation 02.12.2009 26

Anregungen, Ausblick Erstellung eines Leitfadens zum Mapping von IEC 61508-Anforderungen auf CENELEC Bahn- Anforderungen für generische Produkte ist sowohl für Gutachter als auch für Zulassungsbehörden sicherlich hilfreich. Im Zuge der laufenden Überarbeitungen der CENELEC - Bahnnormen könnte ein solcher Leitfaden erstellt werden. In RG 2 Part 2: Systems Approach to Safety der EN 50126 ist eine Comparison with IEC 61508 vorgesehen. Abteilung: Rail Automation 02.12.2009 27

Anregungen, Ausblick Generische Produkte von Inspektions- und Zertifizierstellen begutachten und zertifizieren lassen, die gemäß - EN 45011 Allgemeine Anforderungen an Stellen, die Produktzertifizierungssysteme betreiben und - ISO/IEC 17020 Allgemeine Kriterien für den Betrieb verschiedener Typen von Stellen, die Inspektionen durchführen akkreditiert sind. Abteilung: Rail Automation 02.12.2009 28

Applikationsbeispiel Kabellose Einklemmerkennung an Türen: Übertragungssystem auf Transponderbasis für Bus und Bahn Abteilung: Rail Automation 02.12.2009 29

} Anwendungen sicherer SPS Einsatz der PSS 3000 in österreichischen Urlaubsgebieten Bis zu 150 Fahrgäste können in einer Gondel transportiert werden Allein auf Österreich bezogen gilt, dass im Winter 2008/2009 623 Millionen Personen mit Seilbahnen befördert wurden Abb.: Gletscherbus, Hintertux, Dopplmayer-Garaventa Group Zum Vergleich: die ÖBB hat 2007 ca.200 Mio. Fahrgäste (30Mio Fernverkehr, 170Mio Nahverkehr) befördert. Quellen: Fachverband der Seilbahnen Österreichs, ÖBB Abb.: ÖBB Fernverkehrszug ÖBB Persoinenverkehr AG 30 02.12.2009 Abteilung: Rail Automation

Referent Vielen Dank für Ihre Aufmerksamkeit! Guido Neumann Ridlerstr. 57 D-80339 München Germany Guido.Neumann@tuev-sued.de http://www.tuev-sued.de Abteilung: Rail Automation 02.12.2009 31