Abhängig vom zu erreichenden Sicherheitsintegritätslevel macht diese Norm konkrete Vorgaben bezüglich der zu erreichenden Hardware-fehlertoleranz (HFT) sowie dem Anteil sicherer Fehler (SFF). Neben fehlersicheren Design-Prinzipien sind Diagnosemaßnahmen der Schlüssel zu einer hohen SFF. Da die Norm applikationsunabhängig und abstrakt ist, ergeben sich für den Anwender in der Praxis häufig Probleme bei der Interpretation. Im Folgenden werden die typischen Anforderungen der Fabrikautomation herangezogen (max. SIL3, Anforderungsrate: High Demand).
Hintergrund
Die IEC61508-2 fordert Maßnahmen zur Vermeidung, beziehungsweise zur Beherrschung von Fehlern. Fehler lassen sich einteilen in systematische und zufällige Fehler. Systematische Fehler können in den verschiedenen Phasen des Produktlebenszyklus auftreten. Entsprechend formuliert die Norm Verfahren und Maßnahmen zur Vermeidung von systematischen Fehlern, wie zum Beispiel Anwendung eines Projektmanagements, strukturierter Entwurf, Dokumentation und Tests auf mehreren Ebenen. Diese Methoden sind somit von qualitätssichernder Natur. Mit diesen soll erreicht werden, dass Fehler erst gar nicht in das Produkt eingebracht werden. Davon abzugrenzen sind Methoden zur Beherrschung von Fehlern. Der Beherrschung von Fehlern wird einerseits mit einer erhöhten Robustheit des Produkts, zum Beispiel gegen EMV-Einflüsse, und andererseits mit einer Erkennung der Fehler (im Betrieb) und darauf folgender Fehlerreaktion reagiert. Eine typische Maßnahme ist die Überführung des Systems in den sicheren Zustand. Der Schlüssel für die Erkennung von Fehlern (im Betrieb) sind Diagnosemaßnahmen, die additiv zur gewünschten Sicherheitsfunktion im Produkt implementiert werden. Im Folgenden werden die grundsätzlichen Schritte bei der Berücksichtigung der IEC61508-2 zur Identifikation, Implementierung und Bewertung von Diagnosemaßnahmen erläutert. Ein geeignetes Werkzeug hierfür ist die Failure Mode and Effects Analysis – die FMEA (dt.: Ausfallarten- und Auswirkungsanalyse).
Die FMEA im Safety-Projekt
FMEAs werden in der Praxis vielfältig angewendet und mit unterschiedlichen Begriffen bezeichnet (Prozess-FMEA, Konstruktions-FMEA,…). Für das Ziel dieses Artikels ist die System-FMEA am zweckmäßigsten. Den weiteren Betrachtungen liegt folgendes zugrunde:
- Unter System wird das zu entwickelnde Produkt aufgefasst. Formal korrekt aus Sicht der IEC61508 wäre die Bezeichnung Subsystem, da es sich bei dem Produkt i.d.R. nur um einen Teil der gesamten Sicherheitskette handelt.
- Systemelemente sind die Bestandteile der Highlevel-Produktarchitektur. Die Betrachtung von einzelnen Bauteilen erfolgt erst in der nachgelagerten Ausfallratenberechnung (FMEDA).
- Die Methode wird meist iterativ angewendet werden, da sich durch die FMEA ggf. erforderliche Anpassungen an der ursprünglichen Architektur ergeben.
- Wie geschildert, steht hier als Analyseziel die Festlegungvon fehlervermeidenden Maßnahmen und Diagnosemaßnahmen im Vordergrund. Andere Maßnahmen, die sich ebenfalls aus der FMEA ergeben können, werden in diesem Fall nicht betrachtet, wie etwa Ermittlung von Schulungsbedarfen für Mitarbeiter oder Verwendungshinweise für das Produkt.
Einflussfaktoren Entwicklung nach IEC61508-2
Ein Überblick über die Einflussfaktoren bei einer Produktentwicklung nach IEC61508-2 schafft Transparenz. Die funktionalen Anforderungen und die Anforderungen an die Sicherheitsintegrität ergeben sich aus der Safety Requirements Specification, die in der Praxis oft mit dem Lastenheft gleichgesetzt wird. Direkt aus der IEC61508-2 ergeben sich mehrere Anforderungen, die teilweise in Wechselbeziehung zueinander stehen.