IEC 61508 Sicherheitslebenszyklus & das systematische Vorgehen

Von der Idee bis zur Entsorgung ist die Funktionale Sicherheit in ihrer erforderlichen Integrität sicherzustellen. Daher ist der IEC 61508 Sicherheitslebenszyklus in Teil 1 umfangreich und bildet die systematisch grundlegende Vorgehensweise zum Erreichen der erforderlichen Sicherheitsintegrität für die Sicherheitsfunktionen, welche durch E/E/EP-Systeme ausgeführt werden. Insgesamt sind drei Lebenszyklen (SLC) in der IEC 61508 enthalten. Den ganzheitlichen “Gesamtsystem-Sicherheitslebenszyklus” und die speziell in der Entwicklung vorhandenen disziplinspezifischen Zyklen der Hardware und der Software. Es sind quasi 3 ineinander geschachtelte Vorgehensmodelle auf 3 Betrachtungsebenen die iterativ angewendet werden. Siehe zum Vergleich die geschachtelten V-Modelle in der ISO 26262. Jede Phase hat ein Ziel und benötigt verifizierte Eingangsinformationen, um ein weiteres Ziel zu erreichen.

Der Normteil “1” zur Funktionalen Sicherheit nach IEC DIN EN 61508 ist im Beuth-Verlag hier verfügbar.

Die Norm beschränkt sich in Ihrer Gültigkeit auf den Anwendungsbereich elektrischer/elektronischer/programmierbarer elektronischer Systeme (E/E/PE-Systeme). Der Gesamt-Sicherheitslebenszyklus jedoch berücksichtigt auch die Spezifikation und Realisierung anderer risikomindernde Maßnahmen. Dieser Umstand ist auf die Gesamtbetrachtung in der Gefahren- und Risikoanalyse zurückzuführen. Risikomindernde Maßnahmen wie physikalische Strukturen (Baumaßnahmen, Brandschutz) oder andere Technologien wie Hydraulik können auch Sicherheitsfunktionen teilweise übernehmen und die erforderliche Integrität unterstützen (Bsp. Notstromaggregat für Kühlsysteme von Atomkraftwerken im Erdbeben- und Überschwemmungssicheren Gebäude). Die ISO 13849 – Funktionale Sicherheit im Maschinenbereich kennt neben den E/E/PE-Systemen auch Technologien wie Hydraulik oder auch Pneumatik.

IEC 61508 Sicherheitslebenszyklus in 3 Phasen

Alles beginnt mit der Konzeptphase

Die Idee für ein System zu Papier zu bringen und iterativ mehr und mehr Details zu beschreiben ist nicht ausreichend. Es muss ein ausreichendes Verständnis des “equipment under control” (EUC), welches die bestimmungsgemäße Funktion ausführt, erarbeitet sein, damit der IEC 61508 Sicherheitslebenszyklus geplant und die nachfolgenden Analysen genau sowie effektiv begrenzt auf den Kern erfolgen können. Eine Funktion und Ihre Umwelt zu beschreiben mit einfachen physikalischen Eigenschaften ohne umfangreiche technische Details ist nicht einfach. Wenn eine Technologie bereits maßgeblich die Funktion bestimmt, so kann diese bereits vollständig beschreibend sein. Können Sie die Funktion in wenigen Sätzen vollständig, also abgeschlossen und ohne Details beschreiben ? Nutzen Sie SysML und Anwendungsszenarien (Use-Case) um ihre Funktion verständlich zu beschreiben in Bild und Wort. Funktionsblöcke helfen, die Funktionsarchitektur zu verstehen. Evtl. ist auch schon ein grobes Zeitverständnis aufzeigbar.

Ohne vollständig beschriebene Funktion ist keine Funktionale Sicherheit entwickelbar!

Die Gefährdungs- und Risikoanalyse (G&R)

Vor der G&R-Analyse muss der Anwendungsbereich klar beschrieben und abgegrenzt sein. Systemgrenzen sind nicht immer gleich dem Anwendungsbereich der G&R. Manchmal kann es sogar notwendig sein, neben dem Prozess oder dem EUC auch Teile der Umwelt mit zu Betrachten (das Meer oder der Fluss zur Kühlung nahe dem Atomkraftwerk oder der Luftraum als Übertragungsmedium einer Funkstrecke). Prozesse und Prozessparameter zu Identifizieren und daraus mögliche Gefährdungsquellen, Gefährdungssituationen und Schadensereignisse zu bestimmen sowie den nächst möglichen sicheren Zustand zu identifizieren ist allgemeiner Natur der G&R. Die Gefährdung sollte sich auf eine am höchsten gefährdete Person beziehen. Im Detail muss die ermittelte Gefährdung konkret beschrieben werden z.B. durch:

  • Kraft / Drehmoment
  • Dauer
  • Intensität
  • Giftigkeit und Expositionsgrenzen
  • Brennbarkeit, Reaktionsmöglichkeiten mit anderen Substanzen (Chemie, Staub)

Eine Untersuchung auf Wechselwirkungen mit anderen Einrichtungen/Systemen des EUC und des Steuerungssystems des EUC sowie andere EUC in der Umgebung, welche vorhersehbar auch noch nachträglich installiert werden könnten, ist vorzunehmen. Meist wird der Anwendungsbereich iterativ nach dem ersten Durchgang der G&R angepasst. Die Grenzen zwischen den EUC (z.B. ein strömende Fluid, eine bewegte Masse, eine Mechanik) und dem EUC-Steuerungssystem, welche das EUC beeinflusst und dem Menschen sind oft schwer erkennbar und abgrenzbar. Von welchem der drei folgenden Systeme gehen diese Gefährungen aus ?

  • EUC
  • Steuerungssystem des EUC
  • Mensch

Oft ist der Mensch eine Gefährdung für sich selbst. Meist sind folgende auslösende Ereignisse die Grundlage einer Fehlerquelle:

  • menschliches Versagen
  • Bauteilversagen
  • Verfahrensfehler (Reste von Reinigungsmittel in der Anlage)
  • abhängige Ausfallmechanismen

Sind die Gefährdungen identifiziert, so folgt die Sicherheitsgrundnorm IEC 61508 in Teil 1 einem risikobasierten Bewertungsansatz. Durch unterschiedliche Risikomodelle qualitativer und quantitativer Art ist eine Grenze zum tolerierbaren Restrisiko ermittelbar. Diese Risikoanalyse muss mit gesundem Menschenverstand und kritisch nach dem Mehraugenprinzip erfolgen. Kern ist die Ermittlung aller Risiken (Klassifikation), welche auf Grundlage eines gefahrbringenden Ausfalles oder Fehlfunktion durch eine Abweichung von Funktionsparametern erfolgen kann.

Es besteht oft Diskussionsbedarf durch die subjektive Grundhaltung zur Sicherheit und der Vernunft der Beteiligten.

Die Norm fordert die Bestimmung von Risiken für vernünftigerweise vorhersagbare Fehlbedingungen, Fehlanwendungen sowie böswilliger und nicht autorisierter Handlung und dies i.d.R. von einem vernunftorientierten Ingenieur. Nehmen Sie den Kunden und dessen Fachkraft für Arbeitssicherheit mit ins G&R-Gespräch. Die Fahigkeit die Gefährdungen zu erkennen wächst mit den Erkenntnissen und Erfahrung.

Hierzu spielen die Abläufe, die Reihenfolgen bestimmter Ereignisse entscheidende Rollen. Wer rechnet damit, dass der Anwender sein Haustier in die Mikrowelle steckt zum trocken ? Oft kann bei Systemen mit Kommunikationsschnittstellen bei dessen Verwendung von böswilliger Handlung oder nicht austorisierter Handlung ausgegangen werden. Hierzu sollte nebenläufig zum IEC 61508 Sicherheitslebenszyklus eine Bedrohungsanalyse zur IT-Sicherheit nach IEC 62443 durchgeführt werden.

Oft entstehen Gefahren erst durch eine Funktion bzw. dessen Fehlfunktion. Die Vermeidung dieser Gefahren erfolgt in der Regel durch eine inhärent sichere Konstruktion (z.B. Mensch von Gefahrenquellen räumlich trennen), Sicherheitsfunktionen (z.B. berührungslos wirkende Schutzeinrichtungen) oder Information (z.B. Anwender-Schulungen, Handbücher und Warnschilder). Wenn nun der Entwicklungsgegenstand selbst eine reine Sicherheitsfunktion ist, so müssen Annahmen über die Risiken in der G&R-Analyse sowie die erreichbare Risikominderung dem Anwender kommuniziert (z.B. Sicherheitshandbuch) werden. Eine Teilmenge vieler Anwendungsfälle hat i.d.R. gemeinsame Gefahrenmerkmale, deren Risikopotenzial mit einer Sicherheitsfunktion vermindert wird. Beispielsweise muss bei berührungslos wirkenden Schutzeinrichtungen der sichere Zustand erreicht werden, bevor der Mensch mit der Gefahrenquelle in Berührung kommt. Hier sind Zeitverhalten und damit auch räumliche Nähe entscheidend für die Anwendbarkeit dieser Schutzeinrichtungen in einem Anwendungsszenario. I.d.R. wird durch die Forderung nach Validierung die Prüfung dieser Annahmen auf Gültigkeit sichergestellt.

Der Risikograph – pragmatisch – nicht immer ausreichend

Teil 5 zeigt in den Anhängen E und F Beispiele dieser Methoden zur Ermittlung der Risiken und des erforderlichen Sicherheitsintegritätslevels. Der Risikograph ist der bekannteste Vertreter der qualitativen Art.

Risikograph nach 61508

Dabei sind die Auswirkung (Parameter C):

  • leichte Verletzungen
  • schwere Verletzungen
  • ein Toter oder viele schwer verletzte
  • mehrere Tote Menschen (Katastrophenfall)

die Haufigkeit und Aufenthaltsdauer (Parameter F):

  • selten
  • häufig

die Vermeidung (Parameter P):

  • möglich unter bestimmten Umständen
  • unmöglich

und die ggf. auch die Wahrscheinlichkeit eines unerwünschten Ereignisses (Parameter W, nur beim Low-Demand-Mode):

  • extrem unwahrscheinlich
  • unwahrscheinlich
  • wahrscheinlich

wesentliche Bewertungsmerkmale für die Klassifikation des Risikos.

Das tolerierbare Risiko beschreibt die Akzeptanzgrenze eines gefährlichen Vorfalls im Hinblick auf seine Häufigkeit und Auswirkung unter gegebenen gesetzlichen Anforderungen (Anwendungsspezifisch, Arbeitsschutz, Sicherheitsregeln der Berufsgenossenschaften etc…). Die möglichen Gefahren und Risiken gilt es in der G&R herauszuarbeiten. Die Sicherheitsfunktion sollte die Auswirkungen und/oder die Häufigkeit gefährlicher Vorfälle auf ein notwendiges Maß reduzieren um ein Restrisiko unter diese Akzeptanzgrenze zu erreichen.

Ist ein SIL für eine Sicherheitsfunktion gefunden, folgt die weitere Entwicklung von Anforderungen im Hinblick auf die Gesamtsicherheit (S. Kapitel Sicherheitsanforderungsspezifikation) im IEC 61508 Sicherheitslebenszyklus. Dabei ist zu beachten, dass die Risikominderung i.d.R. nur durch die Gesamtheit mehrerer risikomindernden Maßnahmen erfolgt. Dies muss iterativ erfolgen, da durch das Hinzufügen einer Sicherheitsfunktion neue Gefahren und Risiken entstehen könnten, welche ggf. wiederum durch andere Sicherheitsmaßnahmen behandelt werden müssten. Ein Airbag als Sicherheitsfunktion vermindert die Auswirkung eines Schadens durch ein Unfall. Der Airbag sollte jedoch nicht während der normalen Fahrt auslösen. Effektivität, Sicherheit und die Gebrauchstauglichkeit stehen in Wechselwirkung. Es gilt iterativ die wesentlichen Merkmale der anwendungsspezifischen Gefahren zu identifizieren und zu bewerten. Anschließend ist mit einer Menge an risikomindernden Maßnahmen die ermittelte tolerierbare Risikogrenze zu unterschreiten. Dabei helfen Programme wie z.B. Safexpert und ein Blick in die ISO 12100 zur Risikobeurteilung.

Risikominderung und Gesamtsicherheit

Wenn es im weiteren Verlauf durch Analysen wie eine System- oder Design-FMEA weitere Fehlerfolgen und Ursachen gefunden werden, so muss ggf. die G&R-Analyse iterativ um diesen Fall ergänzt werden. Der Quell dieser Iterationen sind meisst systemspezifische Fehlzustände auf der Aktorseite der bestimmungsgemäßen Funktion wie z.B. oszilierende Aktoren durch eine Resetschleife der Steuerung oder ein Fehler im Übergang zum sicheren Zustand durch falsche Annahmen in der G&R. Es ist ratsam, ausreichend Zeit in die Beschreibung der bestimmungsgemäßen Funktion und die Fälle in der G&R zu investieren.

Die G&R wird i.d.R. in den anwendungsspezifischen Normen bereits anwendungsspezifisch festgelegt. Die HAZOP-Methode bietet einen guten Einstieg in die G&R-Welt der IEC 61508

Zusammengefasst sind folgende Schritte für die G&R im IEC 61508 Sicherheitslebenszyklus notwendig:

Sicherheitsanforderungsspezifikation

Es gilt nach der Ermittlung aller Gefährdungen die Spezifikation von Anforderungen auf funktionaler Ebene an die Gesamtsicherheit nach dem IEC 61508 Sicherheitslebenszyklus zu entwickeln für alle gefährlichen Vorfälle (Hazards). Es ist der Beginn eines funktionalen Sicherheitskonzeptes. Die formale funktionale Sicherheitsanforderungsspezifikation enthält i.d.R. physikalische Grenzwerte im Hinblick auf Sicherheitsziele bzw. einer Gesamtsicherheitsfunktion wie z.B. folgende Sicherheitsanforderungen:

  • Verhinderung des Übersteigens/Überschreitens/Unterschreitens von [kg;°C;m/s;m/s²;U/min usw….]
  • Verhinderung des Blockierens ….

Jedem der Sicherheitsanforderungen wir das Attribut “Sicherheitsintegritätslevel” [SIL] des zugrundeliegenden Hazards zugeordnet.

Die Sicherheitsanforderungsspezifikation beschreibt, wie die tolerierbare Risikogrenze unterschritten werden soll und auf welche Art (bevorzugt durch Reduzierung der Auswirkungen und/oder Häufigkeit des Hazards).

Weiterhin ist die Formulierung von Anforderungen an die IT-Sicherheit durch Schwachstellenanalyse gem. IEC 62443 notwendig, jedoch ohne SIL-Attribut, da diese Anforderungen nicht im Scope der Entwicklung der 61508 liegen.

Die Steuerung des EUC im Kontext der Gesamtsicherheit

Die Gesamtsicherheit bezieht sich nicht nur auf das Gefahrenpotenzial des EUC oder menschliche Faktoren sondern auch auf das EUC-Steuerungssystem. Diesem sollte eine Sicherheitsintegrität zugesprochen werden, wenn Risiken von dem EUC-Steuerungssystem ausgehen (was regelmäßig der Fall ist) und dieses Risiko durch Reduzierung der Häufigkeit behandelt werden soll und nicht durch eine oder mehrerer andere Sicherheitsfunktion bevorzugt in dessen Auswirkung gemindert werden kann.

Wenn eine Einzelfunktion der EUC-Steuerung in der Risikobeurteilung der G&R mit einer mittleren gefahrbringenden Ausfallwahrscheinlichkeit von weniger als 10.000 FIT berücksichtigt wurde, so ist die EUC-Steuerung als sicherheitsrelevante Steuerung anzusehen und damit als Teil der Gesamtsicherheit mit mindestens SIL 1 zu behandeln.

Frei nach dem Motto, dort wo die Quelle der Gefahr ist, ist auch der größte oder effektivste Hebel zur Sicherheit

Es wird damit eine Mindestintegrität an das EUC-Steuerungssystem gestellt, wenn in der G&R das EUC-Steuerungssystem als Teilsystem zum Beitrag der Gesamtsicherheit bei der Risikobeurteilung berücksichtigt wurde. Wenn das EUC-Steuerungssystem jedoch nicht als sicherheitsrelevant eingestuft werden soll, so ist dies nur abbildbar mit folgenden Anforderungen:

  • Wechselwirkungsfreiheit zwischen dem EUC-Steuerungssystem und den anderen Maßnahmen zur Gesamtsicherheit
  • Ermittlung der Wahrscheinlichkeit der EUC-Steuerung im Hinblick auf gefährliche Ausfälle durch Daten aus Betriebserfahrung, Zuverlässigkeitsanalyse (FMEDA) oder Zuverlässigkeitsdatenbanken
  • Berücksichtigung aller vorhersehbaren gefahrbringenden Ausfallarten der ECU-Steuerung

Wechselwirkung zwischen der Sicherheitsfunktion und der Steuerung

Wechselwirkungsfreiheit kann selten im Kontext einer Funktion mit dynamischen Charakter realisert werden. Das erforderliche Zeitverhalten der Sicherheitsfunktion ist oft ausschlaggebend für das Konzept zur Gesamtsicherheit. Daher ist es meist einfacher, ein ganzheitlichen und integrativen Ansatz zur Implementierung der Sicherheitsfunktion in die EUC-Steuerung in Betracht zu ziehen. Dies jedoch unter genauer Berücksichtigung der Fehler gemeinsamer Ursache (CCF) und den Erhalt des sicheren Zustandes. Weiterhin ist das Wechselspiel zwischen Normalfunktion (EUC-Steuerung) und den Sicherheitsfunktionen (sicherheitsrelevante E/E/PE-Systeme / andere risikomindernde Maßnahmen) ein wichtiges Kriterium im Hinblick auf die Rolle der EUC-Steuerung in der Gesamtsicherheit. Ein Beispiel wäre die anwendungsspezifische Funktionale Sicherheit bei elektischen Leistungsantriebssystemen nach DIN EN 61800-5-2. Die zum Einsatz kommenden Umrichter haben i.d.R. einheitliche parametrierbare Sicherheitsfunktionen wie z.B. eine sicher begrenzte Drehzahl (SLS = Safe Limited Speed) oder sicher abgeschaltetes Drehmment (STO = Safe Toque Off) integriert.

Beispiele an Anforderungen für Gesamtsicherheitsfunktionen:

  • Verhinderung des Überschreitens der Drehzahl von 1500 U/min des Vortriebs in Z Richtung [SIL 2, High-Demand]
  • Absicherung der Kommunikationsschnittstelle nach IEC 62443 gem. IT Bedrohungsanalyse
  • Sicherer Stopp mit einer Rampe (Zeitverhalten s. Diagramm…) [SIL 2, High-Demand]
  • Verhinderung des Überschreiten einer Temperatur von 210 °C in Behälter A während der Betriebart …. [SIL2, Low-Demand]
  • Verhinderung des Überschreitens des Behälterdruckes von mehr als 150 bar [SIL 2, Low-Demand]

Die Sicherheitsanforderungsspezifikation wird i.d.R. in den anwendungsspezifischen Normen ausführlich behandelt. Zum Vergleich, in der ISO 26262 werden “Sicherheitsziele” spezifiziert, in der ISO13849 wird von “Risikominderung” gesprochen. In allen Normen in dieser “Gesamtsicherheitsebene” ist gemeinsam, dass neben elektronischen Systemen auch andere Maßnahmen zur Gesamtsicherheit spezifiziert werden. Dabei ist das Sicherheitsintegritätslevel nur auf die Entwicklung der Sicherheitsfunktionen in elektrischen, elektronischen oder programmierbar-elektrischen Systemen anzuwenden.

Sicherheitsfunktionen im Low-Demand, wie z.B. das seltene Ereignis eines Überdrucks oder einer zu hohen Temperatur in seltenen Betriebsarten wie die Wartung sind i.d.R. etwas kritischer, da keine Zustandswechsel und damit Dynamik im E/E/PE-System ist, um Diagnosen durchführen zu können. Daher ist es oft erforderlich, diese Sicherheitsfunktionen und das EUC bzw. den Prozess oder den Wiederholungsprüfintervall so zu gestalten, dass die kritischen Komponenten vollständig getestet werden können. Ein Haupt-Notabschalt-Ventil einer Anlage (z.B. Raffinerie oder Hochofen) im Low-Demand kann i.d.R. durch einen “Partial-Stroke-Test” (PST*) nur einen Teil seiner Fehlermodi durch Testen diagnostizieren mit der Folge, dass der SFF < 60% liegt für den einen Kanal (HFT=0) für Typ A Elemente (z.B. Ventil). D.h. zwei Ventile (Redundanz, HFT=1) könnten erforderlich sein, je nach SIL und dem sicheren Zustand der Anlage.

Die notwendigen Infomationen zur Interpretation dieses Beispiels findet sich im Kapitel “Anteil sicherer Ausfälle bestimmen (SFF)” in Teil 2 der IEC 61508 (Realisierung und Systementwurf).

 

PST*: Ventil schließt nur zum geringen Anteil, da ein Mindest-Volumenstrom im Dauerbetrieb gewährleistet sein muss. Ein Testnachweis, dass das Ventil vollständig schließt, kann mit einem PST nicht erreicht werden.

Abgrenzung und Zuordnung der Sicherheitsanforderungen – Funktionales Sicherheitskonzept

Nun stellt sich die Frage, wie die Gesamtsicherheitsfunktion aufgeteilt wird auf ein oder mehrere E/E/PE-Systeme und/oder risikomindernde Maßnahmen. Dabei spielt neben der Abgrenzung bzw. klaren Zuordnung der Gesamtsicherheitsfunktion auch der SIL und der Ausfallgrenzwert (PFD/PFH) eine entscheidende Rolle. Weiterhin spielt das Verhältnis der notwendigen Ressourcen zur Sicherstellung der zugrundeliegenden Technologiekompetenz über den gesamten IEC 61508 Sicherheitslebenszyklus eine kritische Rolle zum Erhalt der erforderlichen Funktionalen Sicherheit auch nach der Entwicklung.

Eigensichere, einfache Technologien können effektiver zur Funktionalen Sicherheit führen, als komplexe Systeme, welche nur durch eine hohe Kompetenz der Mitarbeiter und Anwendung komplexer Analysemethoden beherrschbar wäre.

Die Zuordnung einer Gesamtsicherheitsfunktion erfolgt i.d.R. auf folgende sicherheitsbezogene Maßnahmen:

  • ein oder mehrere sicherheitsbezogene E/E/PE-Systeme
  • sowie ein oder mehrere andere risikomindernde Maßnahmen

Dabei sind iterativ mehrere mögliche Konzepte denkbar, welche jedoch jeweils vollständig die Anforderungen an die Gesamtsicherheit und Gesamtintegrität gewährleisten müssen. Es kann zum Beispiel notwendig sein, die Funktionen und Sicherheitsfunktionen auf die ECU-Steuerung, sicherheitsbezogene E/E/PE-Systeme oder andere risikomindernde Maßnahmen neu zu verteilen. Jede Gesamtsicherheitsfunktion muss klar und eindeutig mit Sicherheitsintegritätslevel und Ausfallgrenzwert (PFD/PFH) einem oder mehrerer Elemente zugeordnet sein. Dabei kann es zum “SIL-Lift-Up” eines Elements kommen, wenn keine Wechselwirkungsfreiheit möglich und nachweisbar ist. Beispiel:

  • µC-Element der eine SIL x Sicherheitsfunktion und eine beliebige andere Funktion ausführt, welche beide nach SIL x entwickelt werden müssten, da gemeinsame Ressourcen verwendet werden.

Für SIL 4 gelten besondere Vorschriften zur Iteration im Zuordnungsprozess. Ziel ist u.a. ein SIL 4 für eine Einzelmaßnahme (nur ein sicherheitsbezogenes E/E/PE-System) zu vermeiden.

Die Anforderungsrate zur Sicherheitsfunktion und der sichere Zustand bestimmt die Art der Ausfallgrenzwerte

Es ist je nach Hazard und Anforderungsrate einer Sicherheitsfunktion entweder eine Betriebsart mit niedriger (Low-Demand-Mode) oder hoher bzw. kontinuierlicher Betriebsart (High-Demand-Mode) für die Sicherheitsfunktion festzulegen. Dabei spielt die EUC-Steuerung, die zu erwartende mittlere Häufigkeit zur Anforderung der Sicherheitsfunktion und der sichere Zustand eine entscheidende Rolle. Dieser Umstand wurde bereits in der Sicherheitsanforderungsspezifikation zur Gesamtsicherheit berücksichtigt. Ausschlaggebend ist, ob mit mindestens 1 mal pro Jahr mit ein Ansprechen der Sicherheitsfunktion gerechnet werden kann. Die Betriebsart der Sicherheitsfunktion bedingt folgende Festlegung:

  • mittlere Wahrscheinlichkeit eines gefahrbringenden Ausfalls bei Anforderung der Sicherheitsfunktion (Low-Demand -> PFDavg)
  • mittlere Häufigkeit eines gefahrbringenden Ausfalls der Sicherheitsfunktion pro Stunde (High-Demand -> PFH)
Ausfallgrenzwerte für High Demand und Low Demand (Modes of operation for Safetyfunctions)

Keiner Sicherheitsfunktion dürfen Werte geringer ihrer jeweiligen Betriebsarten-SIL-Beziehung zugeordnet werden (Low-Demand < 10^-5 oder High-Demand < 1 Fit).

Die Ausfälle gemeinsamer Ursache (CCF)

Bei der Abgrenzung und Zuordnung können Fehler gemeinsamer Ursache (common cause failure) und Abhängigkeiten entscheidend sein. Dabei können nur komplexe Analysen oder Abschätzungen “zur sicheren Seite” die systematische Eignung eines gewählten Konzeptes aufzeigen. Wenn in einem Umrichter eine Sicherheitsfunktion zum Halten einer Vertikalachse gegen äussere Kräfte (Bsp. Gewichtskraft) implementiert werden würde, dieser Umrichter jedoch eine Fehlfunktion in seiner drehfelderzeugenden Funktion hat mit der Folge des Auslösens der Sicherung zur gemeinsamen Energiezufuhr, so ist die Sicherheitsfunktion durch einen Ausfall infolge gemeinsamer Ursache systematisch nicht geeignet. Der Einsatz einer mechanischen Haltebremse bei Energieausfall des gemeinsamen Stromkreises wäre eine sinnvolle “andere risikomindernde Maßnahme” zur sicherheitstechnischen Ertüchtigung dieses Elements für diesen CCF-Fall. Ähnlicher Fall wäre eine sichere Begrenzung der Drehzahl durch den Umrichter als sicherheitstechnisches PE-System in Verbindung mit einer anderen risikomindernden Maßnahme wie eine mechanische Fliehkraftkupplung. Folgende System-Charakteristika sind Quellen für Ausfälle gemeinsamer Ursache:

  • Ausfälle durch “veknüpfte Systeminfrastrukturen” (z.B. gemeinsamer Stromkreis für Sensoren des ECU Steuerungssystems und Sensoren des E/E/PE-Systems bei Kurzschluss durch einen defekten Sensor)
  • Betriebsmittel gleicher Bauart (i.d.R. gleiches Sensorprinzip)
  • Gleiche Wiederholungsprüfungen in mehrkanaligen und diversitärer Strukturen (z.B. gemeinsamer Testzeitpunkt bei zeitlich anders liegendem Fehler (z.B. POST-Pre-Operational-Self-Test))
  • Verwendung gleicher Elemente (z.B. eine B6-Brücke zur Leistungsregelung eines Elektromotors und Sicherheitsfunktion z.B. “sicherer Halt”)
  • Nutzung eines Elementes in mehreren Systemen (z.B. ein µC für 2 Sicherheitsfunktionen, welche in einer Reihenfolge aktiviert werden (sicheren Zustand erreichen und halten))

Kern der aufwendigen CCF-Analysen (Markov, FTA, DFA, siehe ISO 31010) sind zeitliche und räumliche Gemeinsamkeiten der endgültigen Systemarchitektur im gesamten Zustandsraum mit Umweltkontext mit dem Ziel, die Wirkung der CCF durch Maßnahmen oder bestimmte Eigenschaften positiv zu beeinflussen im Hinblick auf die gesamte Risikominderung. Bei der Quantifizierung der zufälligen Hardwarefehler mit gefahrbringenden Ausfällen können die CCF signifikanten Einfluss nehmen. Daher ist eine CCF-Analyse bereits im Architekturentwurf sinnvoll und generell iterativ und oberflächlich durchzuführen. Bei katastrophalen Auswirkungen (Atomkraftwerk) sind auch Vorsichtsmaßnahmen wie Schutz gegen Flugzeugabsturz oder Überflutung/Erdbeben in Betracht zu ziehen. Die NUREG hat diverse Dokumente zu diesem Thema und bietet einen guten Einblick in die Welt der “abhängigen Fehler”.

Systemarchitekturen mit unabhängigen Strukturen

Oft ist es erforderlich, Wechselwirkungsfreiheit zwischen bestimmten Elementen (z.B. Kanäle oder Funktionskanal und Testkanal) zu gewährleisten. Dazu ist es erforderlich, funktional, räumlich und technologisch verschiedenartige Strukturen ohne gemeinsam genutzte Resssourcen oder gleichartigen Betriebs- Instandhaltungs- und Prüfverfahren zu verwenden.

Diversität als goldenes zweischneidiges Schwert der FuSi

Diversität ist über den gesamten IEC 61508 Sicherheitslebenszyklus teuer und aufwendig. Meist wird Diversität notwendig, um mehrkanalige Strukturen in Anwendungen höherer Sicherheitsintegritätslevel (SIL 3 / SIL 4) robust zu gestalten gegen systematische Fehler und gegen Fehler gemeinsamer Ursache (CCF). Diversität geht einher mit der Forderung nach komplementären bzw. sich ergänzenden Eigenschaften der unterschiedlichen Technologien. Oft ist es herausfordernd oder gar unmöglich, ein optimales Zusammenspiel ohne Verfügbarkeitsverlust oder Performanceverlust der Normalfunktion im Betrieb zu gewährleisten. Ein weiteres Manko ist die eingeschränkte Skalierbarkeit und die aufwendige Wartbarkeit.

Am Ende der Konzeptphase steht das Funktionale Sicherheitskonzept oder die vollständige Zuordnung der Gesamtsicherheitsanforderungen

Zum Ende der Konzeptphase sollte ein vollständiger Satz von Gesamtsicherheitsanforderungen vorliegen. Eine funktionale Architektur sollte beschrieben sein, welche die identifizierten Gefährungen aus der G&R passend behandelt und systematisch geeignet ist, um auf ein tolerierbares Restrisiko im jeweiligen Anwendungsbereich zu kommen. Dabei dürfen Annahmen und Begründungen zum EUC, dem EUC-Steuerungssystem und dem Menschen nicht undokumentiert bleiben. Notwendige Wechselwirkungsfreiheiten sollten definiert sein, um möglichen CCFs Rechnung tragen zu können. Es sollten nun vollständig für jede Sicherheitsfunktion klargestellt sein, welche Funktion (Name) mit welchen Sicherheitsintegritätslevel (SIL) und Betriebsart (High-Demand / Low-Demand) sowie Ausfallwahrscheinlichkeit bzw. Häufigkeit (PFH / PFD) durch ein oder mehrere Elemente ausgeführt wird und wie diese mit anderen Maßnahmen zusammenwirken über den gesamten IEC 61508 Sicherheitslebenszyklus.

Beispiel der Gesamtsicherheitsebene nach 61508 SIL 3

Die Realisierungsphase beginnt mit Planung

Nachdem nun alles was getan werden muss, in der Konzeptphase beschrieben wurde, stehen die Planungen und die daraus resultierenden Anforderungen an die Sicherheit des E/E/PE-Systems zum Erhalt der Funktionalen Sicherheit im Gesamtbetrieb und bei Instandhaltungen im Mittelpunkt.

Ausgehend von dem Gesamtbetrieb aller sicherheitsbezogener Systeme und anderer Maßnahmen müssen die Betriebstätigkeiten und Instandhaltungstätigkeiten geplant werden mit folgenden Aspekten:

  • Festlegung von Routinehandlungen (z.B. Testeinrichtungen betätigen (Routinetest) oder Kontrollmeldungen prüfen) u.a. zum Erhalt der Sicherheitsintegrität während des Betriebs
  • Degradierung zum unsicheren Zustand und damit einhergehende notwendige Handlungen und Einschränkungen wie z.B:
    • Betriebseinschränkungen durch Fehler oder Instandhaltung des EUC-Systems
    • Bedingungen zur Rücknahme von Betriebseinschränkungen
    • Verfahren zur Rückkehr und Bestätigung zum Normalbetrieb
    • Umstände zur Überbrückung von Sicherheitsfunktionen für Tests, Anlauf- und Sonderbetriebsarten
    • Genehmigungsverfahren mit Genehmigungsebenen vor, während und nach der Überbrückung von Sicherheitsfunktionen
    • Festlegen, dass bei Prüfungen von Teilsystemen (z.B. Einzelkanalprüfung) eines sicherheitsbezogenen E/E/PE-Systems mit HFT > 0 die Sicherheit des EUC erhalten bleibt durch gleichwertige Maßnamen oder Einschränkungen gemäß dem erforderlichen SIL.
    • Festlegen, dass bei Prüfungen an mehrkanaligen Systemen mit HFT > 0 mindestens ein Kanal im Normalbetrieb verbleibt.
  • Dokumentation über gefährliche Vorfälle und potenziell gefährliche Störfälle
  • Dokumentation über Tests und Audits
  • Umfang aller Instandhaltungstätigkeiten
    • Regelinstandhaltung zur Erkennung von unerkannten Ausfällen (gemäß den Ergebnissen der systematischen Analyse)
    • Überwachung der Anforderungsrate, um eine erhöhte Anforderungsrate der sicherheitsbezogenen E/E/PE-Systeme oder anderer risikomindernden Maßnahmen z.B. durch eine fehlerhafte ECU-Steuerung zu erkennen
  • Sofort-Maßnahmen bei vorliegen gefährlicher Vorfälle
  • Chronologische Dokumentation der Betriebs- und Instandhaltungsarbeiten

Insbesondere stellt sich regelmäßig die Frage nach “Verfahren zur Softwaremodifikation” (s. 61508 Teil 3, Kapitel 7.6) im Kontext der normalen Betriebstätigkeit. Ein Software-Update z.B. “over the Air” für sicherheitsrelevante Systeme ohne Sicherungsmaßnahmen beeinflusst die Integrität und damit die Funktionale Sicherheit erheblich. Auch hier sind wieder mögliche Berührpunkte zur IT-Sicherheit nach IEC 62443 vorhanden. I.d.R. werden Änderungseinflussanalysen (Software-Impactanalyse) nach IEC 61508 Teil 3 Kapitel 7.8.2.3 durchgeführt, bevor die Softwareänderung autorisiert werden würde.

Diese Sicherheitsplanung wird durch das Funktionale Sicherheitsmanagement (FSM) ausgeführt und überwacht mit allen erforderlichen Aktivitäten des IEC 61508 Sicherheitslebenszyklus (z.B. Änderung der Spezifikation, Realisierung, Test, Validierung) auf den jeweiligen Ebenen (Systemebene nach Teil 2 Kap. 7.8 oder Softwarebene nach Teil 3 Kap. 7.6 & 7.8). Dabei ist eine Abstimmung mit den verantwortlichen Personen für Betrieb und Instandhaltung der sicherheitsbezogenen E/E/PE-Systeme, andere risikomindernde Maßnahmen sowie in Wechselwirkung befindlichen nicht sicherheitsbezogenen Systemen erforderlich.

Die Betriebsartenwahl hat für das EUC, die EUC-Steuerung sowie die Sicherheitsfunktion im sicherheitsbezogenen E/E/PE-System großen Einfluss auf die Gesamtsicherheit. Es muss klar, eindeutig und sicher die Auswahl und die Aktivierung der Betriebsarten erfolgen. Damit liegt die Auswahl und Aktivierung im Bereich der Funktionalen Sicherheit. Der Zugang zu diesen Betriebsarten liegt jedoch primär im Bereich der Betriebssicherheitsverordnung (BetrSichV), welche z.B. teils noch altmodisch mit Vorhängeschlössern gesichert werden. Ganzheitliche Konzepte im Sinne der FuSi und der BetrSichV durch speziell zertifizierte “Modes of Operation” edieninterfaces sind heute problemlos realisierbar.

Anderes Beispiel sind wählbare seltene Betriebsarten und die Fernwartung (IoT 4.0, Industrie 4.0). Zugang zu sicherheitskritischen Parametern aus der Ferne können gefährliche Zustände an der Maschine erzeugen ohne das der Bediener damit rechnet oder diese Situation noch kontrollieren könnte (z.B. Roboterarm mit modifizierter Trajektorie).

Planung der Validierung zur Gesamtsicherheit der sicherheitsbezogenen E/E/PE-Systeme

Wie bereits in der Konzeptphase erörtert, ist die Gesamtsicherheit meist durch Sicherheitsfunktionen ausgeführt von sicherheitsbezogenen E/E/PE-Systemen und anderen risikomindernden Maßnahmen abhängig. Die Gesamtheit dieser Maßnahmen bedingt eine systematische Abhängigkeit, welche in den folgenden Punkten zur Validierungsplanung ganzheitlich berücksichtigt werden muss:

  • Einzelheiten, wann und wer die Validierung durchführt
  • Festlegen der relevanten Betriebsarten des EUC im Hinblick auf die Funktion der sicherheitsbezogenen E/EPE/Systeme:
    • Vorbereitung für die Verwendung (Kalibrierung, Einstellung)
    • Lernmodus
    • Anlauf
    • manueller Betrieb
    • voll und halb Automatikbetrieb
    • Rücksetzen / Abschaltung
    • Dauerbetrieb
    • Instandhaltung
    • vorhersehbare, nicht bestimmungsgemäße Zustände
  • Festlegung der Validierung von sicherheitsbezogenen E/E/PE-Systemen für jede einzelne Betriebsart vor Inbetriebnahme
  • Validierungsstrategie festlegen (z.B. statistische Tests, analytische Methoden)
  • Festlegen der Maßnahmen/Verfahren/Methoden zur Bestätigung der korrekten Zuordnung der Sicherheitsfunktionen sowie deren Anforderungsspezifikation an die Gesamtsicherheitsfunktion und Integrität.
  • Verweise auf die Bestandteile der Konzeptphase
  • erforderliche Umgebungsbedingungen zu den Validierungstätigkeiten (Umwelt, kalibrierte Werkzeuge, Testinjektionseinrichtungen)
  • Pass/Fail-Kriterien
  • Vorgehensweise und Verfahren im Hinblick auf die Auswertung der Validierungsaktivitäten

Die in der IEC 61508 Teil 2 und Teil 3 geforderte Teilvalidierung der Hardware und Software im Gesamtkontext und damit die Wechselwirkung mit anderen Systemen und Maßnahmen unter den gemachten Annahmen ist zu bestätigen. Eine Berührungslos wirkende Schutzeinrichtung (BWS) kann z.B. nur unter gültigen zeitlichen/räumlichen und sphärischen Randbedingungen einen Beitrag zur Gesamtsicherheit leisten, wenn die auslösende Annäherungsreaktion in Wechselwirkung mit den anderen risikomindernden Maßnahmen und/oder anderen sicherheitsbezogenen Systemen dem anwendungsspezifischen Dynamikbereich passend ist.

Gesamtinstallation und Gesamtinbetriebnahme

Auch diese Themen sind bereits wie die Validierung frühzeitig zu planen. Eine fehlende Installation oder eine Installation ohne ordnungsgemäße Inbetriebnahme der Sicherheitsfunktion sind oft Quellen systematischer Fehler. Es sind Aspekte wie Zeitpläne, verantwortliche Personen und Zuständigkeiten, Verfahren, Installationsreihenfolge, Pass-Kriterien z.B. durch Checklistenabarbeitung, Beziehung der Verfahrensschritte und Beziehung zur Validierung zu beschreiben. I.d.R. wird die Anlage oder Maschine mit der EUC-Steuerung ausgerüstet und dann das sicherheitstechnisch ertüchtigt. Dabei müssen z.B. Sensoren mechanisch befestigt werden, mit der Logik über Leitungen mit der Logik verbunden sein und diese wiederum mit einem Abschaltpfad zu Aktoren verbunden sein. Der Test dieser Verbindungen, allgemeiner Test und Kalibrierung sowie das Setzen der Parameter folgen Schritt für Schritt. Diese Arbeitsschritte müsse geplant, klar abgegrenzt sein und definierte Zustände (Stufen der Installation/Integration/Inbetriebnahme) aufweisen.

Nach der Planung ist vor der Systemspezifikation

Nachdem die Gefahren identifiziert und das Risiko bewertet wurde und ein funktionales Sicherheitskonzept entwickelt wurde zur Behandlung dieser Risiken und Planungen mit dem Blick in die zukünftige Verwendung des sicherheitsbezogenen E/E/PE-Systems im Gesamtsystemkontext, werden nun konkrete Anforderungen aus der Konzeptphase abgeleitet. Ausgehend von der nun vorliegenden Gesamtsicherheitsfunktion und dessen Attribute wie Sicherheitsintegrität (SIL) und Ausfallwahrscheinlichkeit (PFDavg/PFH), Wechselwirkung und/oder Wechselwirkungsfreiheit werden folgende Merkmale behandelt:

  • Für jede Sicherheitsfunktion
    • ausreichende Details für Entwurf und Entwicklung
    • den sicheren Zustand und wie dieser aufrechterhalten wird für das EUC
    • festlegen, ob eine Steuerung/Regelung zum Erreichen oder Erhalt des sicheren Zustandes erfolgen muss und wie lange dies erforderlich sein muss (Anforderungen an potenziell notwendige Energiespeicher)
    • festlegen, ob diese in der Betriebsart Low-Demand oder High-Demand verwendet werden kann
  • Das Zeitverhalten (Reaktionszeit / Fehlertoleranzzeit)
  • Schnittstellen, deren Arten und deren Funktion (HMI, interne Kommunikation oder Konfigurationsschnittstelle, Sensorschnittstellen, Abschaltpfad zum EUC, Energie usw…)
  • Sonstige relevante Informationen
  • Betriebsarten des EUC mit Relevanz (s. Validierungsplanung) wie z.B. Einrichtbetrieb, welche nur mit einer Sicherheitsfunktion mit sicher begrenzter Drehzahl zum Verfahren einer Achse aktiviert werden darf
  • Ausfallverhalten und Ausfallreaktion des sicherheitsbezogenen E/E/PE-Systems

Generell muss die Anforderungsspezifikation folgende Eigenschaften aufweisen:

  • genau, klar, eindeutig, nachprüfbar, testbar, ausführbar und pflegbar sein
  • leicht verständlich für jede Person im IEC 61508 Sicherheitslebenszyklus
  • in formaler und/oder natürlicher Sprache für jede Sicherheitsfunktion einzeln definiert z.B. durch Ursache-Wirkungs- und/oder Ablauf- und/oder Logik-Diagramme

Allgemein muss für die Sicherheitsintegrität des E/E/PE-Systems folgendes spezifiziert sein:

  • SIL und Ausfallgrenzwert (PFH/PFDavg) je Sicherheitsfunktion
  • Betriebsart (Low-/High-Demand)
  • Einschaltdauer (ED) und Gebrauchsdauer
  • Extremwerte aller Umgebungsbedingungen [Temperaturbereich, Schock, IP-Schutzart, Spannungen usw…] im gesamten Lebenszyklus (Herstellung, Tests, Lagerung, Transport, Installation und Betrieb sowie Instandhaltung.
  • EMV: elektromagetische Störfestigkeit [Grenzwerte siehe DIN EN 61000-1-2 und DIN EN 61000-6-7 “Prüfpegel und Kriterum DS”]
  • Einrichtungen und Funktionen der vernünftigerweise der Anwendung möglichen und erwartbaren Wiederholungsprüfung für die Hardware des E/E/PE-Systems (Bsp. Bremskraftverstärker alle 2 Jahre, Industrieanlage z.B. jährliches Intervall)
  • Maßnahmen und Bedingungen zur Vermeidung von Ausfällen gemeinsamer Ursache (CCF)

Wechselwirkungsfreiheit und ausreichend Freiheit von CCF sind in gleichartigen Strukturen wie z.B. Analoginterfacemodule mit Schwellwerttrigger in Software unmöglich realisierbar, wenn diese von dem gleichen Hersteller kommen. Die Software bildet dann den kritischen Punkt in der Systemarchitektur mit homogener Redundanz.

Eine Verifikation dieser Systemspezifikation gegen die in der Konzeptphase entwickelten Anforderungen an die Gesamtsicherheit und deren Zuordnung bildet den Abschluss der Spezifikationsphase.

Nach der Systemspezifikation ist vor der Realisierung des E/E/PE-Systems

Nachdem die Sicherheitsfunktion und die erforderliche Sicherheitsintegrität an das sicherheitsbezogene E/E/PE-System nach Teil 1 der IEC 61508 spezifiziert wurde, wird nun die Realisierung der Hardware in Teil 2 und der Software in Teil 3 der IEC 61508 weiter behandelt.

Spezifikation und Realisierung anderer Maßnahmen

Wie bereits erwähnt sind andere Technologien (Hydraulik) oder zur Sicherheitsintegrität beitragende Strukturen physikalischer Art (z.B. Brandschutzmauer oder Deich) zu spezifizieren und zu realisieren.

Gesamtinstallation und Inbetriebnahme gemäß Planung

Die Tätigkeiten zur Installation und Inbetriebnahme sind gemäß der Planung auszuführen und zu dokumentieren. Insbesondere sind Ausfälle sowie Inkompatibilitäten oder Abstellmaßnahmen zu dokumentieren.

Validierung

Die Validierung erfolgt auf Grundlage der Top-Level-Anforderungen an die Gesamtsicherheitsfunktion und die Gesamtsicherheitsintegrität sowie deren abgeleiteten Anforderungen auf das sicherheitsbezogenen E/E/PE-System gemäß der Validierungsplanung. Dabei ist sicherzustellen, dass:

  • nur kalibrierte Betriebsmittel bei quantitativen Messungen zum Einsatz kommen
  • die Tätigkeiten zur Validierung in chronologischer Reihenfolge dokumentiert werden
  • der Bezug zur Version der Systemanforderungsspezifikation (Versionsmanagement) vorhanden ist
  • ggf. eine bereits notwendige validierte Sicherheitsfunktion vorliegt
  • Werkzeuge und Ausrüstung mit Kalibrierdatensatz verwendet werden
  • Ergebnisse zu Validierungstätigkeiten vorliegen
  • die Konfigurationsdaten des DUT, die Prüfverfahren und Prüfumgebung idenitifzierbar sind
  • Pass/Fail-Kriterien ausgewertet werden

Bei Abweichungen zu den Validierungserwartungen ist der Lebenszyklus nach Analyse und Modifikation ggf. zu iterieren.

Betrieb, Instandhaltung und Reparatur

Das Thema Funktionale Sicherheit ist für den Hersteller nicht abgeschlossen nach der Entwicklung bzw. Realisierung des sicherheitsbezogenen E/E/PE-Systems. Gemäß dem ganzheitlichen IEC 61508 Sicherheitslebenszyklus sind organisatorische Maßnahmen zur wirksamen Aufrechterhaltung der Funktionale Sicherheit notwendig. Dabei können diese Maßnahmen unterschiedlich wirksam sein in den unterschiedlichen Phasen (Betrieb, Instandhaltung, Reparatur). Daher ist nicht jede Maßnahme z.B. bei Erstinbetriebnahme auch genauso wirksam oder handhabbar wie bei der Instandhaltung. Die folgende Festlegung technischer Anforderungen ist für den Gesamtbetrieb, Instandhaltung und Reparatur für verantwortliche Personen notwendig:

  • Ein Betriebs- und Instandhaltungsplan mit
    • Implementierungsinformationen der Verfahren
    • Instandhaltungszeitplan (Intervalle)
    • Dokumentenpflege
    • periodisches FuSi-Audit
    • Chronologie der Modifikationen
  • Die Betriebs-, Instandhaltungs- und Reparaturverfahren im Detail
  • Chronologie des Betriebs, der Reparatur und Instandhaltung der sicherheitsbezogenen E/E/PE-Systeme mit folgenden Informationen (ggf. nach anwendungsspezifischen Normen)
    • Audit-Bericht und Testbericht
    • Zeitpunkt und Auslösegründe der Sicherheitsfunktion sowie Performance
    • erkannte verdeckte Fehler durch Instandhaltung
    • Modifikation des EUC, der EUC-Steuerung und der sicherheitsbezogenen E/E/PE-Systeme

Generell gilt, dass der Hersteller des sicherheitsbezogenen E/E/PE-Systems für die wirksame Implementierung notwendiger organisatorischer Maßnahmen und deren technischen Anforderungen zum Erhalt der Funktionalen Sicherheit geeignete Informationen bereitstellen muss. Wenn der Mensch ein wichtiger Bestandteil der Gesamtsicherheit ist, so ist dieser regelmäßig durch den Hersteller zu qualifizieren.

Modifikation und Nachrüstung

Gemäß der Modifikationsmanagementplanung sind die festgelegten Verfahren während der Modifikation und/oder Nachrüstung nur durch autorisierte Anforderungen an das FSM einzuleiten. Die relevante Gefährdung, die vorgesehene Änderung und deren Gründe sind zu beschreiben und innerhalb einer Impactanalyse (Einflussanalyse) durch das FSM dokumentiert zu bewerten. Dabei ist die Tragweite der Modifikation auf den IEC 61508 Sicherheitslebenszyklus der die Funktionale Sicherheit des gegenständlichen sicherheitsrelevanten E/E/PE-Systems zu bewerten. Angefangen von der G&R bis zur Validierung und dem Betrieb, Instandhaltung und Reparatur.

I.d.R. sind die Gründe für Impactanalysen durch Feststellungen von systematischen Fehlern, Modifikation des EUC, Änderung von Anforderungen an die Gesamtsicherheit, schlechte Performance der Sicherheitsfunktion, Auffälligkeiten eines FuSi-Audits oder eine geänderten Gesetzgebung gegeben.

Die Impactanalysen sind der Anfang einer modifizierten Lebenszyklusplanung (Iteration) und sind chronologisch zu dokumentieren mit der Modifikations- oder Nachrüstanforderung sowie der erneuten Verifikations- und Validierungstätigkeiten aller beeinflussten Dokumente.

Außerbetriebnahme (End of Life)

Die Außerbetriebnahme bedeutet die Trennung der Verbindung zwischen dem EUC bzw. der EUC-Steuerung und dem sicherheitsbezogenen E/E/PE-System. Dabei ist es erforderlich eine Impactanalyse durchzuführen, um eine Beurteilung zu erhalten, wie sich die angeforderte Außerbetriebnahme auswirkt. Insbesondere ist auch das Umfeld des EUC zu betrachten. Durch systemische Abhängigkeiten zu anderen Sicherheitsfunktionen, ist es evtl. notwendig, die Gesamtsicherheit neu zu bewerten im IEC 61508 Sicherheitslebenszyklus. Eine neue G&R ist damit zu erstellen. Dieses Vorgehen unterliegt dem FSM und ist nur mit autorisierter Genehmigung nach Anforderung zur Außerbetriebnahme möglich. Die Stilllegung und Demontage der sicherheitsbezogenen E/E/PE-Systeme ist zu planen und chronologisch zu dokumentieren mit Verweis auf den Plan und die Impactanalyse zur Außerbetriebnahme.