Belastbarer Umgang mit technischen Unsicherheiten

Statistik, RAMS & Qualitätsmanagement
Auf 950 Seiten suchen:
Sitemap
Abschliessende Bewertung
  Funktionale Sicherheit, Einleitung
  Sicherheit vs. Zuverlässigkeit
  IEC 61508
  ISO 13849
  IEC 61508 vs. ISO 13849

  Abschliessende Bewertung

Das Begriffs- und Wertesystem des IEC 61508 erscheint bei flüchtigem Hinsehen stimmig und plausibel, und dieser Eindruck bleibt auch bei genauerem Hinsehen bestehen. ISO 13849 dagegen ist deutlich weniger übersichtlich.

IEC 61508 stellt SFF und HFT Anforderungen an die SIL Level des Gesamtsystems, deren Sinn sich intuitiv erschliesst. Die SFF und HFT Anforderungen gehen in die PFH nicht rechnerisch ein, sondern sind zusätzliche Nebenbedingungen in dem Sinne, dass Sicherheitstechnik sich nicht allein auf Zuverlässigkeitsberechnungen gründet.

Die reinen PFH Werte hängen z.B. entscheidend von den Fehleroffenbarungszeiten ab. Darüber sagt IEC 61508 zwar direkt nichts aus, indirekt  allerdings schon über die PFH Forderung selbst, die  -egal wie- erreicht werden muss. Damit lässt IEC 61508 weitgehenden Freiraum bezüglich des gesamten Systemaufbaus.

ISO 13849 dagegen hat genau drei mögliche konkrete Systemkonfigurationen im Visier. Sie stellt konkrete Anforderungen weniger an das gesamte System, sondern vielmehr an die einzelnen Kanäle (und damit Teile des Systems). Daraus berechnet sie unter Berücksichtigung der DCavg und der Systemarchitektur die PFH des Gesamtsystems.
Speziell bezüglich der Fehleroffenbarungszeiten verhält sich ISO 13849 äusserst pauschal, sodass deren Verringerung in der Denkweise dieser Norm leider kein besonders wirksames Mittel darstellt.
Der Blickwinkel, oder allgemein der Bereich des Erlaubten ist bei ISO 13849 also wesentlich kleiner als bei IEC 61508.

Auffällig in der ISO 13849 sind die relativ schwachen Einflüsse der beiden Faktoren DCavg und Systemarchitektur auf die PFH, wie folgendes Beispiel verdeutlicht:

Ein einkanaliges simples System der Kategorie B mit einer MTTFd von 10 Jahren für diesen Kanal hat laut Anhang K eine PFH von 1,14E-5. Für diesen einfachen Fall sind die 10 Jahre und die 1,14E-5 einfach eine Umrechnung; die beiden Werte besagen genau das Selbe.
Nun betrachte man ein System, das aus genau 2 parallelen solchen Kanälen besteht und zusätzlich eine DCavg von über 90% hat.  Dieses System hat bereits Kategorie 3.
Laut Anhang K ergibt sich für dieses System eine PFH von 1,36E-6, was gerade mal um Faktor 8 besser ist als das eingangs beschriebene simple System.
Der Grund für diese relativ schwache Verbesserung liegt darin, dass Kategorie 3 Systeme eben nicht 100% fehlertolerant sein müssen, sondern nur "fast".
Die Fehlertoleranzforderung für Kategorie 3 Systeme ist nämlich weich formuliert ("...wann immer möglich")

Ein ähnliches Zahlenbeispiel mit einem einkanaligen System der Kategorie B und einem Kategorie 4 System aus 2 solchen Kanälen führt auf einen Unterschied von Faktor 40.
Zwar Sind Kategorie 4 Systeme zu 100% fehlertolerant, doch sind die mit Fehlertoleranz verbundenen Anforderungen hinsichtlich Ausfällen mit gemeinsamer Ursache (Common Cause Fehler, CCF) wiederum relativ weich formuliert. Es handelt sich hier um eine Checkliste, die den Entwicklungsprozess und nicht das System selbst addressiert. Die quantitative Erklärung dieses relativ kleinen Faktors von 40 beruht auf einem angenommenen Betafaktor von 2%, das heisst,  bei einem  redundanten und damit theoretisch 100% fehlertoleranten System wird davon ausgegangen, dass 2% der Fehler gleichzeitig in allen Kanälen auftreten und somit als Einzelfehler anzusehen sind.

Die relative Kompliziertheit der ISO 13849, genauer gesagt die Festlegung auf bestimmte Architekturen und Vorgehensweisen führt dazu, dass diese Norm leichter in der Praxis anzuwenden ist. Die Forderungen sind eher weich formuliert und an allgemeinen technischen Regeln orientiert. Dafür kommen im Endeffekt schlechtere PFH Werte als beim IEC 61508 heraus.
IEC 61508 gestattet  im Gegensatz zur ISO 13849 wesentlich sicherere Systeme, allerdings bei höherem Nachweisaufwand.

Einzige echte Wermutstropfen der ISO 13849 sind die Definition der DCavg  und die Beschränkung der MTTFd pro Kanal auf einen Bereich zwischen 3 und 100 Jahren, was einer Fehlerrate zwischen 38 und 1,14 fpmh entspricht. Dies spiegelt längst nicht das realistisch Machbare wieder. Mit Schaltern und etwas passiver Elektronik pro Kanal lassen sich ohne Weiteres belastbare MTTFd Werte von weit über 100 bis zu 1000 Jahren realisieren.

Weiterführende Links Analyseangebote Schulungsangebote


Datenschutzhinweise