Vorwort

Funktionale Sicherheit bezeichnet den Teil der Sicherheit eines Systems, der von der korrekten Funktion der sicherheitsbezogenen (Sub-)Systeme und externer Einrichtungen zur Risikominderung abhängt.

Dies bedeutet, dass der Bereich der funktionalen Sicherheit nur einen Teil der Gesamtsicherheit abdeckt. Nicht zur funktionalen Sicherheit gehören u. a. elektrische Sicherheit, Brandschutz, Strahlenschutz etc.

Da in modernen Systemen Sicherheitsfunktionen in zunehmenden Umfang von elektronischen, insb. programmierbaren, Systemen implementiert werden, besteht die grundlegende Herausforderung bez. der funktionalen Sicherheit darin, die korrekte Funktion von komplexen programmierbaren Systemen sicherzustellen.

Dazu müssen geeignete Methoden zur Vermeidung systematischer Fehler (in der Regel auf menschliche Fehler bei der Spezifikation, Implementierung etc. zurückzuführen) sowie zur Beherrschung von Ausfällen und Störungen (in der Regel physikalische Phänomene) benutzt werden.

Die Norm ISO EN 61508

Die Aspekte der Funktionalen Sicherheit für elektrische oder elektronische (programmierbare) Systeme sind in der international gültigen Normenreihe IEC 61508 Funktionale Sicherheit beschrieben. Sie wird von der International Electrotechnical Commission (IEC) herausgegeben.

Die Norm besteht aus sieben Teilen und trägt den Titel „Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbar elektronischer Systeme“. Sie wurde im Jahre 2001 vom Europäischen Komitee für Normung (CENELEC) inhaltsgleich als EN 61508 übernommen, alle nationalen und europäischen Normen, die dieser EN entgegenstehen, haben auf Beschluss der CENELEC im Aug. 2004 ihre Gültigkeit verloren.

Die Norm kann auf alle sicherheitsbezogenen Systeme, die elektrische, elektronische oder programmierbare elektronische Komponenten (E/E/PES) enthalten und deren Ausfall ein massgebliches Risiko für Mensch oder Umwelt bedeutet, angewendet werden.

Systeme, die auf Anforderung eine Sicherheitsfunktion ausführen, sind zum Beispiel das Antiblockiersystem bei einem Kraftfahrzeug, und Systeme, die auf ständige Ausführung der Sicherheitsfunktion angewiesen sind, zum Beispiel die Steuerungseinheit einer Trägerrakete. Die IEC 61508 ist als „Sicherheits-Grundnorm“ ausgewiesen, das heisst sie kann als Basis für anwendungsspezifische Normen dienen.

Der Geltungsbereich der Norm erstreckt sich über Konzept, Planung, Entwicklung, Realisierung, Inbetriebnahme, Instandhaltung, Modifikation bis hin zur Ausserbetriebnahme und Deinstallation sowohl des gefahrverursachenden Systems als auch der sicherheitsbezogenen (risikomindernden) Systeme. Die Norm bezeichnet die Gesamtheit dieser Phasen als „gesamten Sicherheitslebenszyklus“.

Ein Element ist die Bestimmung von Sicherheitsintegritätsleveln (SIL) (es gibt SIL 1 bis SIL 4). Dieser dient bei der Analyse der Sicherheitsfunktionen des E/E/PES dazu, das tolerierbare Risiko des gefahrverursachenden Systems abzuschätzen, damit das vertretbare Risiko nicht überschritten wird.

Mit höherer notwendiger risikomindernder Wirkung des sicherheitsbezogenen Systems müssen der SIL und somit die Anforderungen an die Sicherheit des Systems steigen.

Anwendungsspezifischen Normen, die sich von der ISO EN 61508 ableiten, sind:

• IEC 60601 + ISO 14971 für Medizinprodukte
• ISO 26262 für die Automobilindustrie
• EN 50128/29 für die Eisenbahntechnik
• IEC 61513 für den Nuklearbereich
• IEC 61511 für die Prozess-Industrie
• IEC 62061 für die Sicherheit von Maschinen — Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme

Sicherheit-Normen der Luftfahrt DO-178B und DO-254

Die Normen DO-178B für SW-Entwicklung + DO-254 für HW-Entwicklung sind speziell für die Luftfahrt entwickelt worden und keine Ableitung der ISO EN 61508. Sie stellen eher eine Zusammenfassung von unterschiedlichen Disziplinen dar, z.B. im SW-Entwicklungsbereich vergleichbar einer Kombination aus ISO EN 61508 + ISO IEC 12207 + ISO 15504.