Sicherungsmaßnahmen
Wie sicher ist sicher genug?
Stellt eine Anlage oder ein technisches System eine Gefährdung für Menschen oder die Umwelt dar, so müssen angemessene Sicherungsmaßnahmen ergriffen werden. Eine vollständige 100%-Absicherung wird in der Regel – wenn überhaupt möglich – wirtschaftlich nicht darstellbar sein. Die Angemessenheit für den Umfang der Maßnahmen wird aus verschiedenen Ansätzen abgeleitet und als THR festgehalten, welche durch die Rate gefährlicher Systemfehler nicht überschritten werden darf. Rein technische Systeme mit nachweislich geringer Fehlerrate sind sehr kostenintensiv. Ein Mensch Maschine System kann dazu eine attraktive und wirtschaftliche Alternative darstellen.
Bei der Systemgestaltung wird sich der Systemarchitekt insbesondere bei besonders hohen Anforderungen an die Sicherheit nicht auf die korrekte Funktion einer einzelnen Einheit/ Komponente verlassen. Herkömmlicherweise wird er einen weiteren, möglichst unabhängig arbeitenden und ggf. diversitären Funktionskanal hinzufügen, der entweder als Prüfeinrichtung Fehler der Primäreinheit erkennen kann oder im Falle funktionaler Redundanz bei Unterschieden den Fehler durch Vergleich offenbaren und eine entsprechende sicherheitsgerichtete Reaktion auslösen kann.
Mehrkanaliges System
Ein solches mehrkanaliges System kann ’noch sicherer‘ gemacht werden, indem beispielsweise ein weiterer Kanal oder eine zusätzliche Prüfeinrichtung, als Prüffunktion hinzugefügt wird. Die Aufwendungen in technische Sicherheitsmaßnahmen müssen jedoch dem Nutzen der Anlage gegenübergestellt werden, unter Berücksichtigung des verbliebenen Restrisikos (als Produkt aus möglichem Schadensausmaß und der Wahrscheinlichkeit des Eintretens eines Fehlerfalls bzw. Unfalls). Ist die Anlage nicht wirtschaftlich und gleichzeitig mit angemessener Sicherheitsintegrität zu realisieren, muss die Realisierung in Frage gestellt werden.
Kernfrage: Was ist nun angemessen?
Um diese Frage zu beantworten, wird das Restrisiko häufig monetär, beispielsweise durch zu entrichtende Versicherungsprämien bewertet. Hier stoßen wir an Grenzen, was ist z.B. der Wert eines Menschenlebens. Daher müssen andere Maßstäbe für die Angemessenheit genutzt werden, die weitere Faktoren wie z.B. die gesellschaftliche Akzeptanz bzw. Ablehnung solcher Risiken berücksichtigen. Hierzu finden sich in der Literatur verschiedene Ansätze, wie sie beispielsweise im Anhang D der EN50126 „Beispiele für Grundsätze der Risikoakzeptanz“ dargestellt sind. Aus all den dort aufgeführten Ansätzen und Betrachtungen wird letztlich eine THR, die sogenannte ‚Tolerable Hazard Rate‘ als akzeptiertes Grenzrisiko abgeleitet. Dabei muss jedoch die ‚Einwirkzeit‘ des Systems anteilig pro Jahr als ein (mit großer Unsicherheit behafteter) Faktor abgeschätzt werden. (Beispiel: Fahrzeit pro Jahr eines Passagiers mit der Bahn). Die THR ist dann die quantifizierte Vorgabe der Angemessenheit, denn die technischen Systeme müssen nun so gestaltet werden, dass deren zu erwartende Rate gefährlicher Fehler mindestens unterhalb dieser THR liegt. Mögliche Fehler gehen nicht nur vom technischen System aus, sie werden unter anderem von Umweltseinflüssen ausgelöst, die auf das System einwirken. Das Beispiel des Kernkraftwerks Fukushima beweist dabei die limitierten Fähigkeiten des Menschen, solche Szenarien vollständig in Betracht zu ziehen, um alle denkbaren Fehlerzustände, die zu erwartende Fehlerrate und damit auch die THR korrekt und umfänglich einzuschätzen. Letztlich müssen zum einen die möglichen Gefährdungen vollständig erfasst werden (Gefährdungsanalyse). Weiterhin müssen die möglichen Ursachen für das Eintreten der Gefährdung und deren Ableitung aus Fehlerzuständen der Systembestandteile (z.B. durch eine Fehlerbaumanalyse) bestimmt werden und die erwartete Eintrittswahrscheinlichkeit des gefährlichen Zustand abgeleitet aus der Eintrittwahrscheinlichkeit externen Faktoren oder internen Fehlerzustände (z.B. Ausfallraten der Bauteile) berechnet bzw. abgeschätzt werden. Die THR darf durch die gefährlichen Fehlerraten des Gesamtsystems nicht überschritten werden. Bei Gestaltung des Systems können die Fehlerraten auf die Systemkomponenten verteilt werden, bei einer nicht redundanten Realisierung darf die Fehlerrate der Einzelkomponente nur einen Bruchteil der Systeme ‚aufbrauchen‘. Bei redundanter Auslegung hingegen ist nur die bedingte Wahrscheinlichkeit gleichzeitiger Fehler relevant. Anhand dieser können dann für die Komponenten in verschiedenen Normen (z.B. IEC61508 bzw. EN50126) SIL (Safety Integrity Level) Stufen zugewiesen werden.
Ausfallraten technischer System
Die quantitative Betrachtung erfasst jedoch nur einen Teil der Ausfallmöglichkeiten. Man unterscheidet in der Regel dabei zwischen zufälligen und systematischen Ausfällen. Dabei ist ein systematischer Ausfall auf Fehler bei einer Tätigkeit zurückzuführen, die in einer bestimmten Kombination von Eingaben oder Umweltbedingungen einen Ausfall zulassen (EN ISO14971 Anhang E). Der Fehler, der zu systematischen Ausfällen führt, kann sowohl bei der elektronischen Hardware als auch bei der Software auftreten sowie während der Entwicklung, der Herstellung oder Wartung eines Produkts. Da die systematische Ausfallhäufigkeit in der Regel fundiert nicht quantifiziert werden kann, wird hierzu ein qualitativer Ansatz verfolgt. Dabei werden entsprechend der SIL einer Komponente Anforderungen bezüglich der Prozessqualität und der dafür anzuwendenden Methoden und Verfahren über den gesamten Lebenszyklus hinweg gestellt. Neben Vorgaben bzw. dem Ausschluss bestimmter Technologien schließt dies den Umfang der Verifikations- und Validierungsmaßnahmen sowie der Dokumentation explizit mit ein. Im Vergleich zu einer Komponente ohne Sicherheitsrelevanz entstehen dabei erhebliche Mehrkosten, die sowohl mit der SIL Stufe als auch mit der Komplexität der Komponente überproportional ansteigen. In vielen Bereichen muss zum Abschluss der Produktrealisierung von einer unabhängigen Stelle nachgewiesen werden, dass die Entwicklung bis zu diesem Zeitpunkt konform dieser Vorgaben verlaufen ist, sowie die Lebenszyklusphasen nach der Inbetriebsetzung auch konform vorbereitet sind. Schlüsselelemente und wesentliche Wirtschaftlichkeitsfaktoren sind dabei:
–
eine Anforderungsspezifikation, die Sicherheitsanforderungen klar und vollständig herausarbeitet,
–
eine Architektur, die möglichst sichere von nicht sicheren Anteilen separiert,
–
sowie ein geschicktes Systemkonzept, welches beispielsweise durch Redundanz die zulässigen
Einzelfehlerraten der Komponenten maximiert und damit die SIL so weit wie möglich reduziert,
ohne die Anlageneinzelkosten drastisch zu erhöhen.
Mensch Maschine Systeme
Ein oft vernachlässigter und dennoch sehr attraktiver und wirtschaftlicher Ansatz ist die Konzeption eines Mensch Maschine Systems anstelle eines vollständig technisch automatisierten Systems. Gelingt es das System so zu konzipieren, dass ein gefährlicher Zustand nur dann eintreten kann, wenn sowohl der Mensch als auch die Technik unabhängig voneinander und gleichzeitig versagen, so kann für das technische System eine um ca. drei Größenordnungen höhere Fehlerrate erlaubt werden. Entsprechend reduziert sich die SIL Anforderungsstufe der Komponente sowie auch deren Erstellungs- und Betriebskosten (z.B. durch die Reduktion aufwendiger Wartungsmaßnahmen). Insbesondere in der Entwicklungsphase kommt es damit zu erheblichen Einsparungen bei den NRE (Non-recurring expenditure). Durch solch eine Aufteilung ist der Mensch mit voller Aufmerksamkeit im Betrieb integriert und kann auf unvorhergesehene Fehlerfälle flexibel reagieren. Manche Umgebungseinflüsse bzw. Störgrößen sind nicht völlig vorhersehbar (z.B. Straßenverkehr). Auch eine auf dem Bahngleis stehende Kuh kann durch das Zugsicherungssystem weder erfasst noch berücksichtigt werden.
Mensch Maschine Schnittstelle
Die Mensch Maschine Schnittstelle (HMI – Human Machine Interface) hat für eine solche Konzeption eine zentrale Rolle, der in ihrer Bedeutung und in der Ausgestaltung gerade bei der Informationsanzeige oft nur unzureichend Rechnung getragen wird. Dies betrifft einerseits die Ergonomie, beispielsweise in der Software der PC basierten HMI. Hier wird der Bediener mit einer Fülle von Informationen oftmals überfordert. Gerade die Beschränkung auf relevante Informationen sowie z.B. eine farbliche Priorisierung ist mit moderner TFT-basierter Anzeigetechnik vorzüglich möglich. Anderseits muss die durch das HMI übertragene Information verlässlich sein. Die Funktion der korrekten Informationsdarstellung darf nachweislich eine bestimmte Fehlerrate nicht überschreiten. Für die konkrete Anwendung ergibt die Systemanalyse dabei oft keine hohe SIL Anforderungsstufe, darf aber bei der Betrachtung und der Sicherheitsnachweisführung nicht vernachlässigt werden. Bevor die technische Realisierung untersucht wird, müssen die Sicherheitsanforderung möglichst genau gefasst werden. Oft ist es nicht sicherheitskritisch, wenn die Anzeige für den Betrachter erkennbar fehlerhaft oder gestört ist. Auch ist ein Pixelfehler oder ein Fehler, der nur für kurze Zeit (< 1 Sek.) angezeigt wird, nicht kritisch. Demgegenüber sind Zustände kritisch, bei denen eine Information konsistent auf dem Bildschirm erscheint, nicht aber dem übermittelten Anzeigeinhalt entspricht (z.B. ein als Zeigerinstrument visualisierter Druckanzeiger zeigt den halben statt den übermittelten Wert). Erst diese sorgfältige Anforderungsanalyse und die Einschränkung auf tatsächlich zu erfassende sicherheitsrelevante Fehlerfälle erlaubt den geeigneten Lösungsansatz zu finden, der nur diese Fehler offenbart. Mit dem unter dem Namen IconTrust vermarkteten Konzept werden nur solche Anzeigezustände 'erlaubt', die korrekte Anzeigeinformationen entsprechend der Vorgaben visualisieren. Auch der Wirtschaftlichkeitsfaktor wurde umgesetzt. Zum einen überwacht die Methode nur sicherheitsrelevante Inhalte auf dem TFT. Zum anderen ist die sichere Überwachungsfunktion von dem die Darstellung generierenden Rechner vollständig unabhängig in einer einfachen separaten Schaltungseinheit realisiert. Für den darstellenden Rechner kann somit auf den anspruchsvollen und kostenintensiven Nachweis funktionaler Sicherheit verzichtet werden. Diese Eigenschaften erlaubt die kosteneffektive Realisierung von sicheren Mensch Maschine Schnittstellen. Autor: Dr. Rudolf Ganz, Technischer Geschäftsführer Deuta-Werke GmbH, Bergisch Gladbach
