Funktionale Sicherheit – Ein Interview mit Lisa Weichsel

Vermeiden Sie Fehler im System von Beginn an – Ein Interview mit Lisa Weichsel, Projektingenieurin bei PEM Motion

Funktionale Sicherheit (kurz „FuSi“) gewährleistet die Sicherheit von komplexen Produkten, Anlagen und Prozessen für Mensch und Umwelt. Experten werden bereits in der Konzept- oder Entwicklungsphase eingebunden, um Risiken der Produkte zu minimieren.

Lisa Weichsel arbeitet seit 2019 als Projektingenieurin bei PEM Motion und ist im Themenfeld der funktionalen Sicherheit tätig. Sie hat sich nicht nur im Rahmen ihrer Masterarbeit im Detail mit dem Thema auseinandergesetzt, sondern auch schon einige unserer Kunden beraten und in Entwicklungen begleitet.

Heute nimmt uns Lisa mit in ihren Arbeitsalltag und berichtet über Erfahrungen und Projekte aus dem Bereich FuSi.

Was war bisher deine spannendste Erfahrung bei PEM?

Meine bislang spannendste Erfahrung bei PEM ist die Begleitung der Entwicklung eines „Safety Element out of Context (SEooC)“ von Beginn an. Dabei handelt es sich um ein sicherheitsrelevantes Teilsystem, welches nicht im Zusammenhang mit einem bestimmten Fahrzeug spezifiziert wird. In diesem Projekt bieten sich mir viele Möglichkeiten mein eigenes Wissen zu erweitern und den Entwicklungsprozess gemäß der ISO 26262:2018 vollumfänglich zu begleiten. 
Darüber hinaus freut es mich immer, mein Wissen über ein relativ trockenes Thema, welches oft als innovationshemmend und lästig erachtet wird, anderen zu vermitteln und Begeisterung in Workshops mit unseren Kunden zu wecken.

Was bedeutet funktionale Sicherheit?

Die Sicherheitsgrundnorm IEC 61508 definiert die funktionale Sicherheit als wesentlichen Teil der Gesamtsicherheit eines Systems. Die Norm ISO 26262 – über die funktionale Sicherheit von Straßenfahrzeugen – definiert FuSi als die Fähigkeit eines elektrischen, elektronischen oder programmierbaren elektronischen Systems (E/E/PE) bei einem gefahrbringenden Ausfall einen wohldefinierten sicheren Zustand einzunehmen bzw. in einem sicheren Zustand zu verharren. Es geht also darum, elektrische Systeme sicher zu gestalten und mit Normen einheitliche Standards zu setzen. Das Ziel der funktionalen Sicherheit ist es Menschen und die Umwelt vor Risiken durch Fehlfunktionen bei der Nutzung technischer Produkte und Systeme zu schützen.

In welchen Bereichen kommt die FuSi zum Einsatz?

Funktionale Sicherheit kommt überall da vor, wo die Sicherheit eines Gesamtsystems von der korrekten Funktion eines E/E/PE-Systems abhängt. Meist spielt funktionale Sicherheit dann eine Rolle, wenn es sich um komplexe Produkte, Anlagen oder Prozesse handelt, deren Sicherheitsfunktionen durch eine sicherheitsbezogene Steuerung übernommen werden.

Hersteller von technischen Produkten und Systemen sind über das Produkthaftungsgesetz dazu verpflichtet, ihre Systeme gemäß dem Stand der Technik und Wissenschaft zu entwickeln und die Sicherheit ihrer Produkte zu gewährleisten. Sie haften für Schäden, die in Zusammenhang mit dem entwickelten System entstehen. Bei einer Bohrmaschine kann ich jede Funktion testen und einen Stresstest durchführen. Ein Fahrassistenzsystem ist da schon schwieriger zu testen. Die möglichen Anwendungs- und Testfälle überschreiten hier schnell einen Bereich, den ich realistisch testen kann.

Ohne ein übergeordnetes Sicherheitsmanagement, welches von der Identifizierung von Gefährdungen über die Entwicklung sicherheitsbezogener Systeme bis zur Verifizierung geht, ist es Unternehmen in der Regel nicht möglich, die Sicherheitsintegrität ihres Systems nachzuweisen.

Warum ist funktionale Sicherheit so wichtig in der Entwicklung neuer Produkte?

Neue Technologien eröffnen neben Chancen auch neue Risiken. Die Identifizierung und Bewertung der relevanten Risiken sind in diesem Zusammenhang von großer Bedeutung. Zur Vermeidung von Fehlern und gefährlichen Systemausfällen ist ein übergeordnetes funktionales Sicherheitsmanagement zur Kontrolle erforderlich. Hierdurch wird sichergestellt, dass ein System die geforderte Sicherheitsintegrität erreicht. Nur so kann die Abdeckung der Sicherheitsziele durch die Sicherheitsanforderungen und die Erfüllung der Anforderungen durch die technische Entwicklung vollständig verifiziert und gewährleistet werden.

Es lohnt sich für Unternehmen, die Funktionale Sicherheit schon früh anzugehen. Dies ist oft zeit- und kostengünstiger als sich erst zur Zulassung mit dem Thema auseinander zu setzen.

Das leitet uns direkt zur nächsten Frage über: Erst der Prototyp, dann FuSi – oder anders herum?

Je eher man die funktionale Sicherheit berücksichtigt, desto einfacher wird es, diese in das System zu integrieren. Schutzmaßnahmen gewährleisten im Rahmen der Risikominderung die Gesamtsicherheit des Systems. Das Risiko kann sowohl durch die Beseitigung von Gefährdungen als auch durch die Minderung des Schadensausmaßes oder der Eintrittswahrscheinlichkeit verringert werden. Die DIN EN ISO 12100:2010 „Safety of machinery — General principles for design — Risk assessment and risk reduction“ beschreibt ein Drei-Stufen-Verfahren zur Definition von Schutzmaßnahmen:

  • Stufe 1: Inhärent sichere Konstruktion
  • Stufe 2: Technische Schutzmaßnahmen
  • Stufe 3: Betriebsinformation

Eine Maschine gilt als inhärent sicher konstruiert, wenn durch eine geeignete Auswahl von Konstruktionsmerkmalen Gefährdungen beseitigt oder damit verbundene Risiken vermindert werden. Entsprechende Konstruktionsmerkmale sind im Hardwaredesign beispielsweise Architekturmerkmale wie Redundanzen, die eine Hardwarefehlertoleranz ≥ 1 ermöglichen. Die erste Stufe ist die einzige, in der Gefährdungen vollständig beseitigt werden können.

In Stufe zwei werden die verbleibenden Risiken durch zusätzliche technische oder andere Schutzmaßnahmen gemindert. Im Bereich der Sensorik gibt es beispielsweise die Möglichkeit den Sensor vollständig gemäß dem geforderten Sicherheitsintegritätslevel der sicherheitsrelevanten Funktion auszulegen. Dies würde einer inhärent sicheren Konstruktion entsprechen. Oder alternativ ergänzende Schutz- und Diagnosemaßnahme in der logikverarbeitenden Einheit zu integrieren, um die geforderte Sicherheitsintegrität zu gewährleisten.

Kommt es nach der Anwendung der Stufen eins und zwei zu verbleibenden Risiken, dann muss im Rahmen einer Betriebsinformation auf jegliches Restrisiko hingewiesen werden.

Allgemein gilt es, Schutzmaßnahmen wenn möglich bereits in der Konstruktionsphase zu berücksichtigen, da diese dann üblicherweise wirksamer und kostengünstiger sind als Maßnahmen, die zu einem späteren Zeitpunkt getroffen werden.

Schauen wir mal in die Praxis. Woher weiß ich, welche Norm ich zu erfüllen habe? Wie finde ich mich im Dschungel der einzelnen Normen zurecht?

Die Anwendung von Normen ist grundsätzlich freiwillig. Normen erlangen dann eine Rechtsverbindlichkeit, wenn Gesetze oder Rechtsverordnungen wie beispielsweise EU-Richtlinien auf sie verweisen. Vom Deutschen Institut für Normung (DIN) oder internationalen technischen Komitees erstellte Normen dienen in der Regel der Identifizierung des Stands der Technik zum Zeitpunkt ihrer Bekanntmachung und bieten einen Leitfaden für die Entwicklung. Um die richtigen Normen zu finden, können bibliographische Datenbanken helfen. Grundsätzlich ist es aber immer erforderlich, sich den Geltungsbereich einer Norm anzuschauen und zu bewerten, ob dieser auf den Gegenstand der Entwicklung anzuwenden ist. Häufig hilft es, sich darüber klar zu werden, welche EU-Richtlinien Anwendung finden sollten und basierend darauf eine Normenrecherche durchzuführen.

Welche Bereiche sind für Unternehmen der Mobilitätsbranche besonders wichtig?

Aus der IEC 61508 leiten sich eine Reihe von Sicherheitsgrundnormen für einzelne Branchen ab.

Im Automotivsektor finden insbesondere die ISO 26262 häufige Anwendung. Diese Norm bietet einen Leitfaden zur Einführung eines übergeordneten Sicherheitsmanagements.
Die Norm gibt einen Sicherheitslebenszyklus, angelehnt an das V-Modell der Entwicklung und definiert erforderliche Aktivitäten innerhalb der einzelnen Lebenszyklusphasen. Die Norm gilt von der ersten Planungsphase über die Entwicklung, den Betrieb, die Wartung, die Stilllegung bis zur Demontage. Ziel der Norm ist es, den Anwender von der Klassifizierung der Risiken, die im Zusammenhang mit seinem System entstehen können, bis zum Nachweis der erforderlichen Sicherheitsintegrität zu unterstützen. Hierzu gibt die Norm Methoden und Designvorgaben, um die erforderlichen Sicherheitsanforderungen abzuleiten und ein akzeptables Restrisiko zu erreichen.

Fahrzeuge, die nicht für den öffentlichen Straßenverkehr gedacht sind, fallen häufig in den Anwendungsbereich der ISO 13849 zur funktionalen Sicherheit von Maschinen.

Im Sinne der Maschinenrichtlinie 2006/42/EG (Artikel 2, a) ist eine Maschine „eine mit einem anderen Antriebssystem als der unmittelbar eingesetzten menschlichen oder tierischen Kraft ausgestattete oder dafür vorgesehene Gesamtheit miteinander verbundener Teile oder Vorrichtungen, von denen mindestens eines bzw. eine beweglich ist und die für eine bestimmte Anwendung zusammengefügt sind.“

Diese Norm bietet primär einen Entwicklungsleitfaden zur Erfüllung von Architekturanforderungen, der Zuverlässigkeit von Bauteilen und zur Anwendung von Diagnosemaßnahmen zum Erreichen der geforderten Sicherheitsintegrität.

Gibt es weitere Themen, mit denen sich Unternehmen beschäftigen müssen, um Sicherheit und Funktionalität zu gewährleisten?

Ein wesentlicher Aspekt zur Gewährleistung der Gesamtsicherheit eines technischen Systems ist das Anforderungsmanagement.  Dieses sollte, wie auch in der ISO 26262 gefordert, eine vollständige Rückverfolgbarkeit von den Sicherheitszielen, über die Anforderungen bis zur Verifizierung bieten. Ein vollumfängliches Anforderungsmanagement ist ausschlaggebend für jede technische Entwicklung.

Was macht PEM Motion besonders aus, wenn es um funktionale Sicherheit geht?

PEM Motion in a workshop: fit 4 electromobility

Individualität – Wir unterstützen unsere Kunden individuell von der ersten Planungsphase über Entwicklung, Betrieb, Wartung, Stilllegung bis zur Demontage. Dabei berücksichtigen wir stets auch weitere geltende Richtlinien und Normen, wie z.B. ECE-Regelungen in Fahrzeugen. Wir bieten individuelle Unterstützung bei der Umsetzung von Normen zur funktionalen Sicherheit und der Integration des Managements der funktionalen Sicherheit in die Entwicklungsprozesse des Kunden. Durch unser technisches Know-how sind wir in der Lage, unsere Kunden bei der Entwicklung von funktionalen Sicherheitskonzepten und der technischen Umsetzung von Sicherheitsanforderungen zu unterstützen. Kunden profitieren von unserer Erfahrung auf dem Gebiet der disruptiven Innovation, um funktionale Sicherheitsstandards auf neue, innovative Entwicklungen anzuwenden.

Uns geht es bei der Beratung nicht darum aufzuzeigen, welche Kriterien ein potenzielles Produkt nicht erfüllt – wir fokussieren uns gemeinsam mit dem Kunden darauf, dass alles erfüllt wird, wir kümmern uns um das „WIE“ und nicht um das „Warum nicht“.

Wie verschaffen sich Interessierte am besten einen Überblick?

Für die funktionale Sicherheit in der Industrie gibt es eine Reihe wichtiger Normen, insbesondere die übergeordnete Sicherheitsgrundnorm EN/IEC 61508, aus der die Sicherheitsgrundnormen EN ISO 13849 (Maschinenindustrie) und ISO 26262 abgeleitet sind, sowie eine Reihe von Normen zur funktionalen Sicherheit mit detaillierten Sicherheitsanforderungen für spezifische Anwendungen (Typ-C-Norm). Letztlich kommt es allerdings immer auf das zu entwickelnde System an.

Interessierten Lesern bieten wir gerne individuelle Workshops an, um gemeinsam eine Ausrichtung und die Ziele zu definieren.

Schauen Sie für nähere Informationen auf unserer Seite vorbei und nehmen gerne direkt Kontakt auf!

pem-motion.com/safety-partner-ansatz/