Fokus Funktionale Sicherheit

Der Autor: Dr. Rolf Jung, Leiter Funktionale Sicherheit, STW Sensor-Technik Wiedemann, Kaufbeuren

Im Rahmen der Produktsicherheit oder von anwendungsspezifischen normativen Forderungen muss für mobile Arbeitsmaschinen und Nutzfahrzeuge immer eine Gefährdungs- und Risikoanalyse durchgeführt werden, um Gefahren einzuschätzen und verringern zu können. Nutzfahrzeuge und mobile Spezialmaschinen werden immer häufiger mit elektronischen Steuerungen und Sensoren ausgestattet, um die steigende Variantenvielfalt, kürzere Produktzyklen und Sonder- und Komfortfunktionen zu beherrschen. Verschiedene Anbauten können durch flexible Programmierung individuell bedient werden.

Die Steuerung über Kleincomputer von bisher hauptsächlich hydraulischen, pneumatischen und elektrischen Abläufen öffnete in Bezug auf die Gefährdungsanalyse ein neues Kapitel. Für mechanische oder fluidische Bauelemente gibt es Kataloge, um die Wahrscheinlichkeit von Ausfällen anzugeben. Mit der Verwendung von elektronischen Steuerungen oder Sensoren, die mit programmierbaren Mikrocontrollern und vielen Bauteilen bestückt sind, wurde die Betrachtung von Ausfällen im Rahmen der Risikobeurteilung wesentlich umfangreicher. Seit einigen Jahren entstehen für immer mehr mobile Spezialanwendungen Normen, die eine strukturierte Analyse von Ausfällen der programmierbar elektronischen Steuerungen im Rahmen von Architekturbetrachtungen, quantifizierten Berechnungen und systematischen Ausfallanalysen vorgeben.

Grundlage dieser Betrachtungen ist häufig die Maschinenrichtlinie mit ihren harmonisierten Normen über Funktionale Sicherheit von programmierbaren elektronischen Systemen. Der Begriff Funktionale Sicherheit wird definiert als der Teil der Gesamtsicherheit, bezogen auf das überwachte System, der von der korrekten Funktion des sicherheitsbezogenen programmierbar elektronischen Systems und anderer risikomindernder Maßnahmen abhängt.

Was bedeutet diese Definition in einer konkreten Anwendung? Zunächst wird eine Gefährdungs- und Risikoanalyse durchgeführt, aus der sich ein Wert für eine Ausfallwahrscheinlichkeit ergibt. Wird dieser Wert als zu hoch eingestuft, müssen Maßnahmen zur Verringerung getroffen werden, bis ein akzeptiertes Restrisiko erreicht ist (Abb. 1). Beispiele für derartige Maßnahmen sind bei stationären Anlagen Lichtvorhänge oder Zugangskontrollen. Die Maßnahmen zur Risikoverringerung können auch in Sensoren und programmierbaren Steuerungen integriert werden.

Die Einstufung der Risikominderung kann je nach Norm unterschiedlich vorgenommen werden. Als Beispiel sei die Norm DIN EN ISO 13849 herangezogen, die Risikostufen als erforderliche Performance Level PLr mit den Kleinbuchstaben a bis e vorgibt. Eine Einstufung in PLr a kennzeichnet die niedrigste, PLr e beschreibt die höchste Risikominderung.

Zur genaueren Beschreibung wird hier auf die einschlägigen Normen verwiesen. Nachdem die Sicherheitseinstufung vorliegt, werden Maßnahmen ermittelt, die für eine spezifische Anwendung geeignet sind, das Risiko zu verringern. Sind an der Risikoverringerung programmierbar elektronische Steuerungen beteiligt, müssen sie entsprechend der angewendeten Normen eine Vielzahl von Anforderungen erfüllen, auf die im Folgenden näher eingegangen wird.

Für Anwendungen, die unter Bedingungen der Funktionalen Sicherheit entwickelt werden, ist Grundvoraussetzung eine Planung des Sicherheitslebenszyklus. Die Planung erstreckt sich von den ersten Konzepten über Gefährdungsanalysen, der Zuordnung von Sicherheitsfunktionen, Verifikations- und Validierungsmaßnahmen, Inbetriebnahme, Betrieb und Wartung bis zu Modifikationen. Diese Planungen werden in einem Sicherheitsplan dokumentiert, der gewährleistet, dass systematische Fehler während der Entwicklung minimiert oder frühzeitig erkannt werden.

Voraussetzungen für die Entwicklung mit Anforderungen an Funktionale Sicherheit sind ein Projektmanagement, ein Konfigurationsmanagement, eine Qualitätssicherungsplanung, eine Verifikations- und Validierungsplanung und ein Modifikationsmanagement (Abb. 2). Die organisatorische Planung beinhaltet auch eine Aufstellung der geforderten Dokumente und eine Meilensteinplanung.

Zur technischen Realisierung wird ein Sicherheitskonzept erstellt, das die grundlegende Sicherheitsarchitektur für das System und die benötigten Komponenten der Hard- und Software vorgibt. Je nach Sicherheitseinstufung können Architekturen einkanalig (Abb. 3) oder redundant (Abb. 4) aufgebaut sein. Allen Architekturen gemeinsam ist die Erkennung und ggf. Beherrschung von zufälligen Fehlern durch Hardwareausfälle. Grundsätzlich muss für jede Sicherheitsfunktion ein sicherer Zustand definiert sein. Je nach Anwendung können dabei entweder Fehler nur erkannt werden, d.h. das System wird abgeschaltet, oder Fehler müssen beherrscht werden, d.h. das System kann weiter vollständig oder eingeschränkt in Betrieb bleiben. Letzteres ist nur mit redundanten Architekturen realisierbar.

In programmierbar elektronischen Systemen können einkanalige Architekturen aus einem komplexen Mikrocontroller bestehen, der sowohl Standardfunktionen als auch Überwachungstätigkeiten im Rahmen der Funktionalen Sicherheit ausübt. Dieser Controller muss ggf. über eine weitere Überwachungseinheit kontrolliert werden, die bei Fehlern das System unabhängig in den sicheren Zustand bringen kann. Redundante Architekturen beinhalten identische Baugruppen, die jeweils unabhängige Eingangssignale verarbeiten. Die Ausgangssignale werden verglichen und bei Abweichungen wird der sichere Zustand eingenommen oder ein eingeschränkter Betrieb zugelassen.

Generell durchlaufen Systeme beim Start sicherheitsgerichteter Anwendungen einen Eigentest. Meldet diese Überprüfung ein fehlerfrei arbeitendes System zurück, kann der Betrieb aufgenommen werden. Die Eigentests erfolgen einmal je Arbeitsschicht, bei mobilen Maschinen typisch einmal am Tag. Bei höheren Sicherheitseinstufungen können auch zyklische Eigentests der Elektronik gefordert sein. Die Gesamtreaktionszeit zur Fehlererkennung jeder einzelnen Sicherheitsfunktion darf dabei nicht überschritten werden. Diese Gesamtreaktionszeit setzt sich im Allgemeinen aus den Zeiten für die Fehlererkennung von Sensoren, Steuerungen und Aktoren zusammen.

Wie werden die beschriebenen Eigentests festgelegt? Die möglichen Fehler des Systems und der Komponenten werden in Fehlermodus-, Ausfall- und Diagnoseanalysen ermittelt. Daraus kann ein Diagnosedeckungsgrad berechnet werden, der je nach Sicherheitseinstufung den Umfang der Eigentests festlegt. Eigentests werden in einkanaligen Systemen z.B. als unabhängige und zugriffsgeschützte Softwarefunktionen im Mikrocontroller durchgeführt und durch eine unabhängige Überwachungseinheit überprüft.

Das Unternehmen Sensor-Technik Wiedemann (STW) bietet frei programmierbare elektronische Steuerungen unter C und Codesys bis Performance Level d in der oben beschriebenen einkanaligen Struktur an. Die Steuerung ESX-3XL bietet 52 sichere Ein- und Ausgänge. Die Eingänge verarbeiten digitale, analoge und Frequenzsignale. Ausgänge können digital oder als pulsweitenmodulierte Signale ausgelegt werden (Abb. 5). Passend dazu gibt es Drucktransmitter in einkanaliger Struktur mit redundanten Ausgängen. STW bietet den Typ F01 an, der ein Drucksignal sicher aufnimmt, verarbeitet und über zwei Signalwege an eine Steuerung weiterleitet (Abb. 6). I

STW Sensor-Technik Wiedemann GmbH Dr. Rolf Jung, Leiter Funktionale Sicherheit Tel.: 08341 9505-0 info@sensor-technik.de www.sensor-technik.de

Detaillierte Informationen zur Sicherheits- steuerung ESX-3XL