Bestimmung der sicherheitsbezogenen Zuverlässigkeit von Steuerungssystemen: Entwicklung praxisgerechter Prüfverfahren

Status:

abgeschlossen 07/2003

Zielsetzung:

Elektronische Sicherheitseinrichtungen für Maschinen und Maschinensteuerungen mit Sicherheitsaufgaben müssen in wachsendem Umfang nach der Norm IEC 61508 "Funktionale Sicherheit elektrischer/elektronischer/programmierbar elektronischer Sicherheitssysteme" und zukünftig auch nach IEC 62061 "Sicherheit von Maschinen - Funktionale Sicherheit - Elektrische, elektronische und programmierbar elektronische Steuerungssysteme" bzw. einer Neufassung von EN 954-1 "Sicherheit von Maschinen - sicherheitsbezogene Teile von Steuerungen" beurteilt werden. Anders als bei früheren Normen ist hier u.a. jeweils vorgesehen, ein quantitatives Maß für die sicherheitsbezogene Zuverlässigkeit in Form einer Wahrscheinlichkeitsgröße zu ermitteln. Dies kann z. B. die "Probability of a dangerous failure per hour" (PFH), ein daraus abgeleiteter "Safety Integrity Level" (SIL) oder ein besonders definierter "Performance level" (PL) sein. Die jeweils geforderte Wahrscheinlichkeitsgröße muss aus den Eigenschaften der verwendeten Bauelemente, der inneren Struktur der Steuerung, den automatischen Abläufen und den manuellen Aktionen abgeleitet werden. Dazu muss ein mathematisches Modell entwickelt werden, das eine Fülle von Einzeldaten wie z. B. Bauelement-Ausfallraten, Schaltungs-Topologie, Diagnosegüte automatischer Tests (Online-Tests), Anforderungsart usw. miteinander verknüpfen kann. Prinzipiell sind Markov-Modelle sehr geeignet, jedoch werden sie bei komplexeren Steuerungen, wie sie durchaus in der Praxis vorkommen, unpraktikabel groß. Bei komplexen Systemen können jedoch nur moderate Modellvergröberungen vorgenommen werden, wenn eine hohe sicherheitsbezogene Zuverlässigkeit (hoher SIL) nachgewiesen werden muss. Ziel des Projektes war es, Modellierungs- und Berechnungsverfahren zu entwickeln, die es erlauben, auch komplexe Sicherheitseinrichtungen und Steuerungen mit Sicherheitsaufgaben mit ausreichender Genauigkeit und innerhalb eines akzeptablen Zeitrahmens bezüglich ihrer sicherheitsbezogenen Zuverlässigkeit zu quantifizieren. Ferner sollten weitere Erkenntnisse darüber gewonnen werden, wie Hard- und Software zweckmäßig gestaltetet bzw. optimiert werden kann, um Normforderungen bezüglich der Ausfallwahrscheinlichkeit in die gefährliche Richtung mit kostengünstigen Mitteln einzuhalten.

Aktivitäten/Methoden:

Anknüpfend an die im Rahmen des EU-Projektes STSARCES (BIA-Projekt 5076 "Quantitative Analyse von komplexen elektronischen Systemen durch den Einsatz von Fehlerbaumanalysen und Markov-Modellen") entwickelten Verfahren zur Markov-Modellierung von Sicherheitssystemen, sollten Methoden zur Vereinfachung übergroßer Markov-Modelle erarbeitet werden. Insbesondere waren Wege zu finden, eine Vielzahl parallel ablaufender Online-Tests mit rationellen Mitteln zu berücksichtigen, und gleichzeitig den durch diese Tests erzielten Gewinn an sicherheitsbezogener Zuverlässigkeit rechnerisch nachzuweisen. Die angewandten Prinzipien mussten an überschaubaren Beispielen auf Plausibilität und Genauigkeit geprüft werden. An einem besonders komplizierten praktischen Fall sollte die Durchführbarkeit der Verfahren nachgewiesen werden. Parallel sollte untersucht werden, inwieweit sich als Alternativmethode stochastische Petri-Netze (Generalized Stochastic Petri Nets, GSPN) für Quantifizierungszwecke im Bereich des Maschinenschutzes eignen. Hierzu waren Modellierungstechniken für alle relevanten (d. h. die Ausfallwahrscheinlichkeit in die gefährliche Richtung beeinflussenden) Effekte zu erarbeiten. Bei allen neu entwickelten Techniken musste anhand aussagekräftiger Beispiele nachgewiesen werden, dass die erzielten Ergebnisse hinreichend genau mit den Ergebnissen bewährter Markov-Techniken übereinstimmten.

Ergebnisse:

Es konnte gezeigt werden, dass sich für einen Signalverarbeitungskanal ein mittlerer Diagnosedeckungsgrad (Average diagnostic coverage, DCavg) so definieren lässt, dass er unterschiedlichen schwerpunktmäßigen Lokalisierungen des Ausfallaufdeckungsvermögens in der Kette aus Sensor, Verarbeitungseinheit und Aktor gerecht wird. Eine Vielzahl verschiedener DC-Verteilungen kann somit auf denselben Mittelwert zurückgeführt werden. Dadurch wird es möglich, eine Vielzahl unterschiedlich dimensionierter Systeme mit einer begrenzten Anzahl vorkalkulierter Markov-Modelle zu quantifizieren. Auf der Basis von Markov-Modellen für einige wenige Standard-Systemarchitekturen wurde ein Diagramm zur einfachen näherungsweisen Bestimmung der PFH entwickelt. Bei Kenntnis der Systemarchitektur, der kanalbezogenen Mean time to failure (MTTF) und des mittleren Diagnosedeckungsgrades lässt sich damit die PFH bzw. der PL abschätzen, ohne dass eine neuerliche Markov-Modellierung erforderlich ist. Dieses Verfahren ist in den Entwurf der Norm prEN ISO 13849-1 (geplanter Ersatz für EN 954-1) eingeflossen. Rückwärts gelesen, erleichtert das Diagramm bei einem gegebenen erforderlichen PL die Entscheidung für ein bestimmtes technisches Design. Für das Detailproblem von mehreren überlagerten Online-Tests wurde ein Ansatz zur vereinfachten Markov-Modellierung entwickelt, der die Anzahl der benötigten Subzustände im Modell erheblich verringert. Ein weiteres Ergebnis: Obwohl periodische Tests keine exponentiell verteilten Übergangsprozesse sind, können sie in Markov-Modellen durch solche näherungsweise dargestellt werden. Wählt man als Übergangsrate den Kehrwert des Testintervalls, so ergibt sich eine Abschätzung zur sicheren Seite. Weitere Arbeitsergebnisse beziehen sich auf den Einfluss der Anforderungsrate und der Testrate auf die PFH, wobei eine charakteristische Abhängigkeit von der Systemarchitektur festgestellt wurde. Es ergeben sich dadurch auch einige neue Aspekte bezüglich der Definition der PFH, der Modellierungstechnik und des Systemdesigns. Auf Grund der erarbeiteten Vereinfachungen wurde auf den komplexen Ansatz der Monte-Carlo-Simulation von Petri-Netzen vorläufig verzichtet. Dies wird in einem kommenden Projekt noch einmal aufgegriffen.

Stand: