Funktionale
Sicherheit
Beim Institut für Qualitäts-und Zuverlässigkeitsmanagement, kurz IQZ.
Funktionale
Sicherheit (FUSI)
Was müssen Sie im Bereich Funktionale Sicherheit beachten, wenn Sie sicherheitsrelevante Systeme mit Hard- und Software entwickeln wollen? Wie lässt sich ein Prozess im Bereich Funktionale Sicherheit optimal in bestehende Entwicklungsprozesse integrieren? Wie nutzen Sie moderne statistische Methoden im Bereich Funktionale Sicherheit, um den quantitativen Sicherheitsnachweis zu führen?
Unsere Experten vom IQZ blicken zum Teil auf mehr als 15 Jahre Erfahrung im Bereich der Funktionalen Sicherheit zurück und helfen Ihnen gerne, wenn Sie vor den oben genannten Herausforderungen stehen. Sie stehen das erste Mal vor der Aufgabe, Funktionale Sicherheit in einem Entwicklungsprojekt zu integrieren?
Kein Problem: Projektbegleitend arbeiten wir an einer optimalen Organisations- und Prozessentwicklung mit und unterstützen Sie operativ im aktuellen Projekt. Mit diesem „begleiteten Laufen Lernen“ haben Sie die Möglichkeit, auch ohne große Vorkenntnisse Funktionale Sicherheit in ein Entwicklungsprojekt zu integrieren. Dann übernehmen wir z.B. auch die Funktion des externen Functional Safety Managers. Mit steigendem Know How in Ihrem Unternehmen, ziehen wir uns immer mehr zurück; Sie bestimmen den Grad der Unterstützung. Aber auch erfahrene Kunden vertrauen auf uns, wenn es z.B. um die operative Unterstützung in Projekten oder die Durchführung von komplexen, statistischen Methoden geht. Durch unsere intensive Forschung im Bereich des autonomen Fahrens sind wir auch mit Methoden nach Stand der Wissenschaft vertraut.
Gerne helfen wir Ihnen bei Fragestellungen zum Themenkomplex der Funktionalen Sicherheit, so dass Ihre Produkte noch besser werden, getreu dem Motto „Sicherheit darf kein Zufall sein!“.
Unsere
Leistungen
- Beratung zur Normenanwendung (z.B. IEC 61508, ISO 26262)
- Moderation von Sicherheitsanalysen, wie z.B. FMEA, FMEDA, Fehlerbaumanalyse/Fault Tree Analysis (FTA), Dependent Failure Analysis (DFA)
- Moderation von Risikoanalysen (HARA / GuR) inkl. der Ermittlung der Sicherheitsintegritätslevel Safety Integrity Level / Automotive Safety Integrity Level (SIL/ASIL) sowie der Ableitung von Sicherheitszielen
- Gap-Analyse bestehender Prozesslandschaften
- Unterstützung bei der Entwicklung und Einführung individueller Prozesse
- Unterstützung beim Aufbau und der Etablierung eines Sicherheitsmanagements (u.a. Safety Plan, Safety Case, DIA, Toolqualifizierung, Kundenkommunikation)
- Support bei der Erstellung von Sicherheitskonzepten (funktional sowie technisch)
- Übernahme der Rolle des Safety Managers
- Schulung von involviertem internen Personal
- Unterstützung bei der Ermittlung quantitativer Ausfalldaten aus eigenen Felddaten oder gem. international anerkannter Standards (u.a. SN 29500, IEC/TR 62380)
- Durchführung von Confirmation Reviews mit einer entsprechenden Unabhängigkeit
- Beratung zur Proven-in-Use-Argumentation
- Methodenberatung (welche Methode ist für welche Fragestellung überhaupt geeignet?)
- Methodentraining
Funktionale Sicherheit - Eine Kurzeinführung
In der heutigen Zeit verlassen wir uns in fast allen Bereichen auf die korrekte Funktionalität von elektronischen und software-basierten Systemen. Hersteller und Zulieferer müssen dabei nachweisen, dass von ihren Produkten keine Gefährdungen ausgehen und dass die Produkte die geforderte Funktion auch wie gewünscht realisieren. Für viele Branchen existieren entsprechende Richtlinien und Standards, die Vorgaben und Anforderungen an die Entwicklungsphasen und darüber hinaus adressieren. Insbesondere in einem Haftungsfall wird es für einen Hersteller nicht förderlich sein, wenn er den dokumentierten Nachweis der Erfüllung der Stands der Technik nicht erbringen kann.
Ist Ihr Unternehmen beispielsweise ein Spezialist für Fahrzeugelektronik, elektronische Systeme oder Komponenten für sicherheitskritische Applikationen im Automobil? Dann fallen Sie u.a. unter den Geltungsbereich der ISO 26262, dem automobilspezifischen Normenwerk für den Bereich der Funktionalen Sicherheit von E/E-Systemen, welches seit 2011 den Stand der Technik widerspiegelt und im Dezember 2018 in seiner 2. Auflage erschienen ist und nun neben dem Pkw auch für weitere Fahrzeugklassen (wie, z.B. Motorräder, Nutzfahrzeuge und Busse) Gültigkeit hat. Die ISO 26262 verwendet genau wie die Sicherheitsgrundnorm IEC 61508 einen so genannten Sicherheitslebenszyklus (s. nachfolgende Abbildung als Beispiel aus der ISO 26262) als Rahmen, um diejenigen Tätigkeiten auf systematische Art und Weise zu erfassen, die notwendig sind, um die Funktionale Sicherheit von sicherheitsbezogenen E/E-Systemen zu gewährleisten.
Die Basis für alle weiteren Aktivitäten bildet die Risikoanalyse mit dem Ergebnis der Ermittlung des Sicherheitsintegritätslevels Safety Integrity Level / Automotive Safety Integrity Level (SIL/ASIL). Der Safety Integrity Level (SIL) kann frei übersetzt als das erforderliche Maß zur Risikoreduzierung angesehen werden. Sobald der entsprechende Safety Integrity Level ermittelt worden ist, werden Sie im Rahmen der Entwicklung eines (automotiven) Produktes (s. nachfolgendes vereinfachtes V-Modell) mit diversen Herausforderungen und Aufgaben konfrontiert, bei denen wir Sie gerne unterstützen und beraten. Die erforderlichen Tätigkeiten sind abhängig von der Safety Integrity Level / Automotive Safety Integrity Level (SIL/ASIL)-Klassifizierung.
Eines der vorrangigen Ziele der bereits erwähnten Sicherheitsgrundnorm IEC 61508 ist es, die Ableitung von sektorspezifischen Derivaten zu ermöglichen, welche die Besonderheiten der entsprechenden Branche besser reflektieren können. Dies ist im Laufe der Zeit für viele Anwendungsfelder bereits geschehen, was in nachfolgender Abbildung exemplarisch gezeigt wird.
Alle Normenwerke haben eines gemeinsam: (Funktionale) Sicherheit darf kein Zufall sein!
Unsere Referenzen:
- Safety Manager bei verschiedenen Sensor-Entwicklungen
- Safety Manager bei Schiebetürentwicklung
- Safety Engineering bei einem Entwicklungsprojekt zum automatisierten Fahren
- Entwicklung eines Ansatzes zum Betriebsbewährtheitsnachweis bei einem Zulieferer
- Schulungen bei Zulieferern für:
- Verantwortliche im Management,
- komplette Projektteams und
- relevante Rollen im Projekt
- Methodenunterstützung zum Sicherheitsnachweis in diversen Entwicklungsprojekten bei Zulieferern und OEMs
- Prozessuale Beratung beim Aufbau FuSi-relevanter Strukturen und Prozesse bei diversen Zulieferern
- Durchführung von Confirmation Measures bei Zulieferern
- Stochastische Modelle
- Durchführung von Pre-Assessments von Sub-Zulieferern
- Methodentrainings bei Zulieferern und OEMs
- Coaching involvierter Personen beim Zulieferer
Hier finden Sie mehr:
Methodenportfolio:
Fehlerbaumanalyse (FTA)
Die Fehlerbaumanalyse (engl.: Fault Tree Analysis, FTA), nach DIN EN 61025 auch Fehlzustandsbaumanalyse, kann zur Sicherheits- und Zuverlässigkeitsanalyse für Anlagen und Systeme aller Art, einschließlich gemeinsam verursachter Ausfälle (Common Mode Failure) und menschlicher Fehler (Human Error), herangezogen werden. Es handelt sich hierbei um eine, auf der Grundlage der Booleschen Algebra basierende, deduktive Analyse. Es werden die logischen Verknüpfungen von Komponenten- oder Teilsystemausfällen ermittelt, die zu einem unerwünschten Ereignis (Top Event) führen. Die Ergebnisse der Analysen ermöglichen eine Systembeurteilung im Hinblick auf Zuverlässigkeit, Verfügbarkeit und Sicherheit.
Die nachfolgende Abbildung zeigt die Darstellung eines Serien- sowie eines Parallelsystems als Zuverlässigkeitsblockdiagramm und als Fehlerbaum. Beim Parallelsystem müssen Basisereignis 1 UND Basisereignis 2 auftreten, damit das Top-Event eintritt. Das Top-Event beim Seriensystem wird hingegen durch Eintreten von Basisereignis 1 ODER Basisereignis 2 eingenommen.
Wir bieten Ihnen die mathematische Beschreibung und KNN-basierte Lösungen Ihrer individuellen Fragestellungen – sprechen Sie uns an, wir helfen Ihnen gerne.
Die Ziele der Fehlerbaumanalyse sind im Einzelnen:
- Die systematische Identifizierung aller möglichen Ausfallursachen und Ausfallkombinationen, die zu einem unerwünschten Ereignis führen
- Die systematische Identifizierung aller möglichen Ausfallursachen und Ausfallkombinationen, die zu einem unerwünschten Ereignis führen
- Die Erstellung der graphischen Darstellung in einer Art Baumstruktur (logisches Schaltnetz) mit Eingangs- und Ausgangsvariablen
- Durch probabilistische Zuverlässigkeits- und Sicherheitsvorhersagen verschiedene Entwurfsvorschläge zu vergleichen, Schwachstellen aufzuzeigen, geforderte Zuverlässigkeits- und Sicherheitsanforderungen analytisch nachzuweisen
Die Fehlerbaumanalyse eignet sich besonders gut zur zuverlässigkeits- und sicherheitsrelevanten Darstellung und Analyse großer komplexer Systeme, die in der Regel aus tausenden von Minimalschnitten (dies sind Ereigniskombinationen, die zum unerwünschten Top-Ereignis führen) bestehen können. Die Erstellung und Auswertung erfolgt dementsprechend rechnergestützt.
Weitere Erkenntnisse zum während der FBA betrachteten System können über Importanzkenngrößen erlangt werden. Mit diesen Bewertungsgrößen kann der Einfluss einzelner Basisereignisse (oftmals Komponenten) auf die Zuverlässigkeit bzw. Sicherheit ermittelt werden, um dadurch beispielsweise Fragestellungen hinsichtlich einer Systemoptimierung, Schwachstellenanalyse, Fehlererkennung oder Wartungsstrategien zu objektivieren und quantifizieren.
Die Mitarbeiter des IQZ setzen qualitative und quantitative Fehlerbaumanalysen unter Anderem im Bereich der Funktionalen Sicherheit ein, um in einem sehr frühen Stadium des Produktentwicklungsprozesses erste Abschätzungen über die Wahrscheinlichkeit des Auftretens eines definierten Top-Ereignisses zu erhalten. Durch die softwaregestützte Erstellung und Berechnung können unterschiedliche Systemkonfigurationen miteinander verglichen werden, um ein Optimum an Sicherheit, Zuverlässigkeit und Wirtschaftlichkeit zu erhalten.
Als Basis kann das IQZ auf alle gängigen Ausfallratendatenbanken zugreifen. Zudem ermöglicht der Einsatz des Wuppertaler Zuverlässigkeitsprognosemodells die Einbeziehung kundenbezogener Ausfallraten.
PAAG / HAZOP
Das PAAG-Verfahren (engl. HAZOP, Hazard and Operability) ist ein systematisches Vorgehen (induktiv) zur Ermittlung von Gefährdungen, um den jeweiligen Ursachen und Auswirkungen auf den Grund zu gehen und geeignete Gegenmaßnahmen zu erarbeiten (siehe auch DIN EN 60300-3-1). Dabei steht PAAG für Prognose, Auffinden der Ursache, Abschätzung der Auswirkungen und Gegenmaßnahmen. Das PAAG Verfahren ist vom Grundgedanken her mit der FMEA vergleichbar, nutzt jedoch im Gegensatz zur FMEA definierte Leitworte (z.B. nein, mehr, weniger, teilweise …), um Abweichungen von der Sollfunktion der betrachteten Einheit zu ermitteln.
Das PAAG-Verfahren eignet sich daher besonders zur Gefährdungsanalyse in der Prozessindustrie, ist aber dennoch auf alle Bereiche der Technik anwendbar. Der Nutzen des Verfahrens liegt in der frühzeitigen Erkennung von Abweichungen, Gefährdungen und Schwachstellen sowie der Dokumentation des Produktentwicklungs- bzw. Prozessplanungsstandes (Produktwissen allgemein).
Ausgewählte Referenzen:
- Erstellung des Zuverlässigkeitskonzeptes für eine Stromversorgung einer sicherheitskritischen Infrastruktur
- Gefahren- und Sicherheitsanalyse zur Bewertung des Gefahrenpotentials und zur Erhöhung der prozessbezogenen Betriebssicherheit von Brennstoffzellen – Heizgeräten (BZH)
Ihre Herausforderungen:
- Erstellung des Zuverlässigkeitskonzeptes für eine Stromversorgung einer sicherheitskritischen Infrastruktur
- In jüngster Vergangenheit ereigneten sich z.B. Störungen/Störfälle?
Wir bieten Ihnen die erforderlichen Werkzeuge, unterstützen Sie bei der Anwendung und Erstellung der erforderlichen Dokumente – sprechen Sie uns an, wir helfen Ihnen gerne.
Ereignisbaumanalyse
Die Ereignisbaumanalyse (EBA) (engl.: Event Tree Analysis – ETA, siehe auch DIN EN 60300-3-1) ist geeignet, Ereignisketten ausgehend von einem Startereignis (Initial Event) abzubilden (induktiv). Sie wird eingesetzt, wenn es darum geht, alle möglichen Pfade von Folgeereignissen (z.B. Störfallablaufszenarien), ihre Reihenfolge und die wahrscheinlichste Folge abzubilden und zu untersuchen.
Die Ereignisbaumanalyse wird in der Praxis häufig mit der Fehlerbaumanalyse (FBA) kombiniert, z.B. im Rahmen einer Quantitativen Risikoanalyse (QRA). Hierbei werden die im System enthaltenen Sicherheitsebenen (Layer of Protection) im Ereignisbaum abgebildet. Die Wahrscheinlichkeiten, mit welchen im Ereignisbaum den Ereignisabläufen (z.B. Versagen einer Sicherheitsebene) gefolgt wird, können z.B. auf Basis von Methoden wie der Fehlerbaumanalyse oder der Monte-Carlo-Simulation (MCS) ermittelt werden.
Ausgewählte Referenzen:
- Erstellung des Zuverlässigkeitskonzeptes für eine Stromversorgung einer sicherheitskritischen Infrastruktur
- Gefahren- und Sicherheitsanalyse zur Bewertung des Gefahrenpotentials und zur Erhöhung der prozessbezogenen Betriebssicherheit von Brennstoffzellen – Heizgeräten (BZH)
Ihre Herausforderungen:
- Ihr System verfügt über mehrere Sicherheitsebenen (Layer of Protection), welche unter Verwendung von Methoden wie FMEA oder Fehlerbaumanalyse in Gänze schwer abzubilden sind?
- Im Rahmen einer standortbezogenen Gefährdungs- & Risikobeurteilung sind aufgrund des Gefahrenpotentials Störfälle zu untersuchen?
- In jüngster Vergangenheit kam es z.B. zu Störungen/Störfällen?
Wir bieten Ihnen die erforderlichen Werkzeuge, unterstützen Sie bei der Anwendung und Erstellung der erforderlichen Dokumente – sprechen Sie uns an, wir helfen Ihnen gerne.