Die System-FMEA im Safety-Projekt
Die Entwicklung funktional-sicherer Komponenten stellt den Entwickler vor zusätzliche Herausforderungen. Im Gegensatz zu Standardproduktentwicklungen ergeben sich normative Anforderungen, die die Komplexität der Produktentwicklung weiter erhöhen. Hierzu zählen beispielsweise die Architekturanforderungen der IEC61508-2.
Abhängig vom zu erreichenden Sicherheitsintegritätslevel macht diese Norm konkrete Vorgaben bezüglich der zu erreichenden Hardware-fehlertoleranz (HFT) sowie dem Anteil sicherer Fehler (SFF). Neben fehlersicheren Design-Prinzipien sind Diagnosemaßnahmen der Schlüssel zu einer hohen SFF. Da die Norm applikationsunabhängig und abstrakt ist, ergeben sich für den Anwender in der Praxis häufig Probleme bei der Interpretation. Im Folgenden werden die typischen Anforderungen der Fabrikautomation herangezogen (max. SIL3, Anforderungsrate: High Demand).
Hintergrund
Die IEC61508-2 fordert Maßnahmen zur Vermeidung, beziehungsweise zur Beherrschung von Fehlern. Fehler lassen sich einteilen in systematische und zufällige Fehler. Systematische Fehler können in den verschiedenen Phasen des Produktlebenszyklus auftreten. Entsprechend formuliert die Norm Verfahren und Maßnahmen zur Vermeidung von systematischen Fehlern, wie zum Beispiel Anwendung eines Projektmanagements, strukturierter Entwurf, Dokumentation und Tests auf mehreren Ebenen. Diese Methoden sind somit von qualitätssichernder Natur. Mit diesen soll erreicht werden, dass Fehler erst gar nicht in das Produkt eingebracht werden. Davon abzugrenzen sind Methoden zur Beherrschung von Fehlern. Der Beherrschung von Fehlern wird einerseits mit einer erhöhten Robustheit des Produkts, zum Beispiel gegen EMV-Einflüsse, und andererseits mit einer Erkennung der Fehler (im Betrieb) und darauf folgender Fehlerreaktion reagiert. Eine typische Maßnahme ist die Überführung des Systems in den sicheren Zustand. Der Schlüssel für die Erkennung von Fehlern (im Betrieb) sind Diagnosemaßnahmen, die additiv zur gewünschten Sicherheitsfunktion im Produkt implementiert werden. Im Folgenden werden die grundsätzlichen Schritte bei der Berücksichtigung der IEC61508-2 zur Identifikation, Implementierung und Bewertung von Diagnosemaßnahmen erläutert. Ein geeignetes Werkzeug hierfür ist die Failure Mode and Effects Analysis - die FMEA (dt.: Ausfallarten- und Auswirkungsanalyse).
Die FMEA im Safety-Projekt
FMEAs werden in der Praxis vielfältig angewendet und mit unterschiedlichen Begriffen bezeichnet (Prozess-FMEA, Konstruktions-FMEA,?). Für das Ziel dieses Artikels ist die System-FMEA am zweckmäßigsten. Den weiteren Betrachtungen liegt folgendes zugrunde:
- • Unter System wird das zu entwickelnde Produkt aufgefasst. Formal korrekt aus Sicht der IEC61508 wäre die Bezeichnung Subsystem, da es sich bei dem Produkt i.d.R. nur um einen Teil der gesamten Sicherheitskette handelt.
- • Systemelemente sind die Bestandteile der Highlevel-Produktarchitektur. Die Betrachtung von einzelnen Bauteilen erfolgt erst in der nachgelagerten Ausfallratenberechnung (FMEDA).
- • Die Methode wird meist iterativ angewendet werden, da sich durch die FMEA ggf. erforderliche Anpassungen an der ursprünglichen Architektur ergeben.
- • Wie geschildert, steht hier als Analyseziel die Festlegungvon fehlervermeidenden Maßnahmen und Diagnosemaßnahmen im Vordergrund. Andere Maßnahmen, die sich ebenfalls aus der FMEA ergeben können, werden in diesem Fall nicht betrachtet, wie etwa Ermittlung von Schulungsbedarfen für Mitarbeiter oder Verwendungshinweise für das Produkt.
Einflussfaktoren Entwicklung nach IEC61508-2
Ein Überblick über die Einflussfaktoren bei einer Produktentwicklung nach IEC61508-2 schafft Transparenz. Die funktionalen Anforderungen und die Anforderungen an die Sicherheitsintegrität ergeben sich aus der Safety Requirements Specification, die in der Praxis oft mit dem Lastenheft gleichgesetzt wird. Direkt aus der IEC61508-2 ergeben sich mehrere Anforderungen, die teilweise in Wechselbeziehung zueinander stehen.
Architekturanforderungen
Die Norm definiert einen Zusammenhang zwischen der Hardware-Fehlertoleranz (HFT) eines Elements, dem geforderten SIL und dem Anteil sicherer Fehler (SFF). Darüber hinaus macht die Norm eine Unterscheidung zwischen Elementen, die nur aus einfachen Bauteilen (Typ A) und Elementen, die zumindest ein komplexes Bauteil umfassen (Typ B). Die Zusammenhänge sind in der folgenden Tabelle zusammengestellt. Zum besseren Verständnis: Ein Element in diesem Kontext, sind zum Beispiel alle Schaltungsteile eines Produkts, die der Stromversorgung dienen.
Diagnosetestintervall und Prozesssicherheitszeit (PST)
Für die Anforderungsrate High Demand beziehungsweise Continuous Mode gilt folgendes: Bei einkanaligen Elementen können nur Diagnosemaßnahmen berücksichtigt werden, die innerhalb der Prozesssicherheitszeit den Fehler erkennen und das System in den sicheren Zustand überführen. Bei mehrkanaligen Systemen darf die festgelegte Mittlere Dauer bis zur Wiederherstellung (MTTR) als maximales Diagnosetestintervall genutzt werden.
Fehlermodelle und DC
Mit steigendem angestrebten Diagnosedeckungsgrad (DC) für ein Element sind zunehmend komplexere Fehlermodelle zu berücksichtigen und das System auf deren Auswirkungen hin zu untersuchen. Beispielsweise muss bei einem angestrebten DC von 60% ein digitaler Ausgang nur auf die einfachen Fehlermodelle Stuck-at Low und Stuck-at High hin betrachtet werden. Bei einem DC von 99% hingegen müssen - über die einfachen Fehlermodelle hinaus - auch das DC-Fehlermodell, Drift und Oszillation berücksichtigt werden. Der höhere DC wiederum kann nur in Anspruch genommen werden, wenn nachgewiesen wird, dass diese komplexeren Fehler auch erkannt werden.
Diagnosemaßnahmen und erreichbarer DC
Die Norm benennt konkrete Diagnosemaßnahmen und deren höchstens erreichbaren DC. Als Hilfestellung sind die benannten Diagnosemaßnahmen in der IEC61508-7 etwas detaillierter beschrieben. Da die Wirksamkeit der Diagnosemaßnahme nachzuweisen ist, kann es in der Praxis ratsam sein, nicht pauschal immer den maximal erreichbaren DC zu beanspruchen.
Ausfallgrenzwerte für eine Sicherheitsfunktion in der Betriebsart High Demand/Continuous Mode
In Abhängigkeit vom zu erreichenden SIL sind konkrete Grenzwerte für die Rate der gefährlichen Ausfälle einzuhalten. Im Falle der Betriebsart High Demand/Continuous Mode ist deren Bezeichnung die PFH (Probability of dangerous failure per hour - mittlere Häufigkeit eines gefahrbringenden Ausfalls der Sicherheitsfunktion pro Stunde). Anmerkung: Für Produkte/Subsysteme wird in der Regel die Erreichung eines bestimmten prozentualen Anteils der PFH vorgegeben.
Zusammenhänge und Ablauf in der Praxis
Die Vielfalt und die gegenseitige Abhängigkeit der Einflussfaktoren erschweren gerade Neueinsteigern die Anwendung und führen bei falscher Anwendung oft zu sub-optimalen Ergebnissen. Typische negative Folgen in der Praxis sind die Notwendigkeit von Anpassentwicklungen, die erst spät im Entwicklungszyklus erkannt werden, aber auch Over-Engineering von Sicherheitsmaßnahmen, die zu Lasten der Verfügbarkeit des Produkts gehen und das Produkt unnötig verteuern. Die System-FMEA sollte als Hilfsmittel betrachtet werden, das bereits zu einem frühen Zeitpunkt in der Entwicklungsphase zum Einsatz kommt. Es empfiehlt sich folgender Ablauf:
- • Entwurf der Systemarchitektur (ohne Diagnosemaßnahmen)
- • Erstellung des zugehörigen Reliability-Block Diagrams (RBD)
- • Durchführung der System-FMEA anhand von Blockschaltbild und RBD
- • Ermittlung von Diagnosemaßnahmen und dem zu erreichenden DC
- • Ergänzung der Diagnosemaßnahmen in der Systemarchitektur. Ggf. Vornahme von Änderungen an der Architektur und RBD, wenn die Erreichung der Architektur-Anforderungen nicht realistisch erscheint (z.B. die mehrkanalige Ausführung der Elemente, zur Reduktion der Anforderungen für die SFF)
- • Erneute Durchführung der System-FMEA und Abschätzung, ob alle Anforderungen der SRS und Norm damit erreichbar sind
Ist die Architektur stabil kann eine Umsetzung entsprechend dem Hardware-Pfad nach IEC61508-2 erfolgen. Sofern für sicherheitsrelevante Teile Software zum Einsatz kommt, gilt hierfür der entsprechende Software-Pfad nach IEC61508-3.Die Ermittlung der Ausfallraten der (Element-)Sicherheitsfunktion erfolgt gegen Ende der Design&Development-Phase, auf Basis des Stromlaufplans und der Materialstückliste, im Rahmen der FMEDA. Die FMEDA lässt sich prinzipiell als Erweiterung der FMEA auffassen. Wurden auf der Ebene der (System)-FMEA Elemente als Blackbox betrachtet, liegen nun Details zum inneren Aufbau dieser Elemente vor. Die (Basis-)Ausfallrate jedes verwendeten Bauteils kann dem Herstellerdatenblatt oder einer geeigneten Datenbank entnommen werden. Entsprechend der individuellen Ausfallarten des Bauteils ergibt sich auf der Ebene des Elements ein sicherer oder ein gefährlicher Ausfall, wodurch sich eine Verteilung der Basisausfallrate auf _safe und _dangerous ergibt. Jetzt kommt die Diagnose nutzbringend zur Wirkung, da mit ihr ein Teil der gefährlichen Fehler entdeckt und das Produkt als Fehlerreaktion in den sicheren Zustand überführt wird. Aus Sicht der Funktionalen Sicherheit sind die entdeckten gefährlichen Fehler somit nicht mehr relevant. Für den Vergleich mit dem geforderten SIL-Ausfallratengrenzwert sind nur noch die gefährlichen unentdeckten Fehler _du relevant. Für den Fall von einkanaligen (Sub-)Systemen gilt der einfache Zusammenhang: PFH=_du
Die Entwicklung funktional-sicherer Komponenten stellt den Entwickler vor zusätzliche Herausforderungen. Im Gegensatz zu Standardproduktentwicklungen ergeben sich normative Anforderungen, die die Komplexität der Produktentwicklung weiter erhöhen. Hierzu zählen beispielsweise die Architekturanforderungen der IEC61508-2.
Abhängig vom zu erreichenden Sicherheitsintegritätslevel macht diese Norm konkrete Vorgaben bezüglich der zu erreichenden Hardware-fehlertoleranz (HFT) sowie dem Anteil sicherer Fehler (SFF). Neben fehlersicheren Design-Prinzipien sind Diagnosemaßnahmen der Schlüssel zu einer hohen SFF. Da die Norm applikationsunabhängig und abstrakt ist, ergeben sich für den Anwender in der Praxis häufig Probleme bei der Interpretation. Im Folgenden werden die typischen Anforderungen der Fabrikautomation herangezogen (max. SIL3, Anforderungsrate: High Demand).
Hintergrund
Die IEC61508-2 fordert Maßnahmen zur Vermeidung, beziehungsweise zur Beherrschung von Fehlern. Fehler lassen sich einteilen in systematische und zufällige Fehler. Systematische Fehler können in den verschiedenen Phasen des Produktlebenszyklus auftreten. Entsprechend formuliert die Norm Verfahren und Maßnahmen zur Vermeidung von systematischen Fehlern, wie zum Beispiel Anwendung eines Projektmanagements, strukturierter Entwurf, Dokumentation und Tests auf mehreren Ebenen. Diese Methoden sind somit von qualitätssichernder Natur. Mit diesen soll erreicht werden, dass Fehler erst gar nicht in das Produkt eingebracht werden. Davon abzugrenzen sind Methoden zur Beherrschung von Fehlern. Der Beherrschung von Fehlern wird einerseits mit einer erhöhten Robustheit des Produkts, zum Beispiel gegen EMV-Einflüsse, und andererseits mit einer Erkennung der Fehler (im Betrieb) und darauf folgender Fehlerreaktion reagiert. Eine typische Maßnahme ist die Überführung des Systems in den sicheren Zustand. Der Schlüssel für die Erkennung von Fehlern (im Betrieb) sind Diagnosemaßnahmen, die additiv zur gewünschten Sicherheitsfunktion im Produkt implementiert werden. Im Folgenden werden die grundsätzlichen Schritte bei der Berücksichtigung der IEC61508-2 zur Identifikation, Implementierung und Bewertung von Diagnosemaßnahmen erläutert. Ein geeignetes Werkzeug hierfür ist die Failure Mode and Effects Analysis - die FMEA (dt.: Ausfallarten- und Auswirkungsanalyse).
MESCO
Dieser Artikel erschien in SPS-MAGAZIN 5 2019 - 15.05.19.Für weitere Artikel besuchen Sie www.sps-magazin.de