Sicherheitsanforderungsstufe

Die Sicherheitsanforderungsstufe ist ein Begriff aus dem Gebiet der Funktionalen Sicherheit und wird in der internationalen Normung gemäß IEC 61508/IEC61511 auch als Sicherheitsstufe oder Sicherheits-Integritätslevel (entlehnt aus dem englischen ‚safety integrity level‘, kurz SIL) bezeichnet.^[1] Sie dient der Beurteilung elektrischer/elektronischer/programmierbarer elektronischer (E/E/PE)-Systeme in Bezug auf die Zuverlässigkeit von Sicherheitsfunktionen. Aus dem angestrebten Level ergeben sich die sicherheitsgerichteten Konstruktionsprinzipien, die eingehalten werden müssen, damit das Risiko einer Fehlfunktion minimiert werden kann.

Abgrenzung

In der Sicherheitsnorm EN 61508, entstanden aus der internationalen Norm IEC 61508, wird das Sicherheits-Integritätslevel wie folgt definiert:

„Vier wohlunterschiedene Stufen zur Spezifizierung der Anforderung für die Sicherheitsintegrität von Sicherheits­funktionen, die dem E/E/PE-sicherheitsbezogenen System zugeordnet werden, wobei der Sicherheits-Integritätslevel 4 die höchste Stufe der Sicherheitsintegrität und der Sicherheits-Integritätslevel 1 die niedrigste darstellt.“

Sicherheitsfunktionen dienen in der Industrie dem Schutz der Gesundheit der dort Beschäftigten, der Umwelt und von Gütern. Diese Sicherheitsfunktionen werden durch einen Sicherheitskreis, der aus verschiedenen Betriebsmitteln wie z. B. Sensoren, Steuerungselementen und Aktoren bestehen kann, realisiert. Die Sicherheitsanforderungsstufe stellt ein Maß für die Zuverlässigkeit des Systems in Abhängigkeit von der Gefährdung dar. Prozesse mit einer geringeren Gefährdung werden durch einen Sicherheitskreis mit geringerem Level aufgebaut als Prozesse mit höherer Gefährdung, bei denen z. B. Menschen getötet werden können. Typische Sicherheitsfunktionen sind Notausschaltungen, Abschalten überhitzter Geräte oder auch die Überwachung gefährlicher Bewegungen.

Die Betreiber von Anlagen mit sicherheitsrelevanten Funktionen legen im Rahmen einer Gefährdungsbeurteilung den Sicherheits-Integritätslevel für die jeweilige Sicherheitsfunktion fest. Entsprechend dieser Festlegung werden die dafür geeigneten Geräte ausgewählt und zu einem System zusammengeführt.

Die Gerätehersteller beurteilen ihre Geräte entsprechend den Normen. Bis zum Level 2 kann dies der Hersteller in eigener Verantwortung vornehmen; ab Level 3 wird dies durch einen unabhängigen Dritten durchgeführt, der nach erfolgreicher Zertifizierung ein entsprechendes Zertifikat ausstellt.

Für die Festlegung der Stufe der Sicherheitsintegrität ist zum einen eine Betrachtung des Ausfallverhaltens der betrachteten Baugruppe notwendig. Weiterhin wird in dem Assessment genau beurteilt, ob redundante Strukturen vorliegen, wie das Verhältnis zwischen sicheren Fehlern und unsicheren Fehlern ist und ob die Sicherheitsfunktion kontinuierlich oder auf Anforderung zu betrachten ist. Aus diesen Angaben werden dann die Ausfallraten bestimmt. Diese Kennwerte dienen einer Beurteilung des Sicherheitsintegritäts-Levels entsprechend den Vorgaben der Norm.

Die Betrachtung der Kennzahlen ist aber für die Einstufung der Geräte nicht hinreichend. Es ist noch eine Betrachtung des Lebensdauerprozesses des Gerätes notwendig. Hierbei werden z. B. die sicherheitsgerichtete Konstruktion und ähnliche Bereiche betrachtet. Das Normenwerk gibt hier spezielle Maßnahmen für die einzelnen Stufen der funktionalen Sicherheit an. Eine besondere Bedeutung hat dieser Bestandteil bei der Betrachtung von Betriebsmitteln mit komplexen Baugruppen, dies sind z. B. Mikroprozessoren, die über ein internes Programm verfügen. Hier werden in den Normen besondere Maßnahmen dargelegt, um auch auf Programmierfehler reagieren zu können. Ein besonderes Problem stellen hier z. B. Fehler dar, die nicht durch eigene Entwicklungstätigkeiten entstehen, sondern schon in Softwarewerkzeugen wie Compilern und ähnlichem enthalten sind. Erst die Betrachtung aller Punkte lässt eine Einschätzung zu, ob sich das Betriebsmittel in einem Sicherheitskreis der entsprechenden Sicherheitsanforderungsstufe einsetzen lässt.

Eine Klassifizierung der einzelnen Baugruppen entsprechend dem Sicherheits-Integritätslevel ist nicht sinnvoll, da sich die Normenforderungen auf die Sicherheitskreise beziehen. Dies bedeutet, dass die Festlegung der Stufe erst für die bekannte Zusammenschaltung der verschiedenen Betriebsmittel wie Sensoren, Aktoren, Steuerungselemente etc. getroffen werden kann.

Normung

• EN 61 508-1, Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme – Teil 1: Allgemeine Anforderungen (IEC 61508-1:2010)
• EN 61 508-2, Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme – Teil 2: Anforderungen an sicherheitsbezogene elektrische/elektronische/programmierbare elektronische Systeme (IEC 61508-2:2010)
• EN 61 508-3, Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme – Teil 3: Anforderungen an Software (IEC 61508-3:2010)
• EN 61 508-4, Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme – Teil 4: Begriffe und Abkürzungen (IEC 61508-4:2010)
• EN 61 508-5, Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme – Teil 5: Beispiel zur Ermittlung der Stufe der Sicherheitsintegrität (IEC 61508- 5:2010)
• EN 61 508-6, Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme – Teil 6: Anwendungsrichtlinie für IEC 61508-2 und IEC 61508-3 (IEC 61508-6:2010)
• EN 61 508-7, Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme – Teil 7: Anwendungshinweise über Verfahren und Maßnahmen (IEC 61508-7:2010)
• EN 61 511-1, Funktionale Sicherheit – Sicherheitstechnische Systeme für die Prozessindustrie – Teil 1: Allgemeines, Begriffe, Anforderungen an Systeme, Software und Hardware (IEC 61511-1:2003 + Corrigendum 2004)
• EN 61 511-2, Funktionale Sicherheit – Sicherheitstechnische Systeme für die Prozessindustrie – Teil 2: Anleitungen zur Anwendung des Teils 1 (IEC 61511-2:2003)
• EN 61 511-3, Funktionale Sicherheit – Sicherheitstechnische Systeme für die Prozessindustrie – Teil 3: Anleitung für die Bestimmung der erforderlichen Sicherheits-Integritätslevel (IEC 61511-3:2003 + Corrigendum 2004)
• EN 50 129 Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme - Sicherheitsbezogene elektronische Systeme für Signaltechnik
• EN/IEC 62061: Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme
• IEC 62304 – Medical Device Software

(Hinweis: Obige Normen wurden in Deutschland, Österreich und der Schweiz als nationale Norm mit der vorangestellten Kennzeichnung DIN, ÖVE/ÖNORM bzw. SN veröffentlicht)

• US RTCA DO-178B North American Avionics Software
• US RTCA DO-254 North American Avionics Hardware
• EUROCAE ED-12B European Airborne Flight Safety Systems
• ISO 26262 – Road vehicles – Functional safety

Definition der Stufen

Folgende Kennwerte dienen zur Definition:

• PFD: Abkürzung für probability of failure on demand, also Wahrscheinlichkeit für Versagen bei Anforderung;
• RRF: Abkürzung für risk reduction factor, also Faktor der Risikoverringerung;
• PFH: Abkürzung für Probability of failure per hour, also Wahrscheinlichkeit für Versagen je (Betriebs-)Stunde;
• MTBF: Abkürzung für Mean Time Between Failures, also mittlere (Betriebs-)Dauer zwischen zwei Ausfällen.

Welche Kennzahl ausgewählt wird, hängt vom Anwendungsfall ab.

SIL	PFD	PFD als Potenz von 10	RRF	PFH	PFH als Potenz von 10	MTBF (h)	MTBF (a)
1	0,1...0,01	10−1...10−2	10...100	0,00001...0,000001	10−5...10−6	100000...1000000	10...100
2	0,01...0,001	10−2...10−3	100...1 000	0,000001...0,0000001	10−6...10−7	1000000...10000000	100...1000
3	0,001...0,000 1	10−3...10−4	1 000...10 000	0,0000001...0,00000001	10−7...10−8	10000000...100000000	1000...10000
4	0,000 1...0,000 01	10−4...10−5	10 000...100 000	0,00000001...0,000000001	10−8...10−9	100000000...1000000000	10000...100000

Siehe auch

• Fehlermanagement
• Fehler-Ursachen-Analyse
• Störfall

Literatur

• Josef Börcsök: Elektronische Sicherheitssysteme. Hüthig GmbH & Co. KG, Heidelberg 2004, ISBN 3-7785-2939-0. 
• Josef Börcsök: Funktionale Sicherheit Grundzüge sicherheitstechnischer Systeme. Hüthig GmbH & Co. KG, Heidelberg 2006, ISBN 3-7785-2985-4. 
• Peter Wratil, Michael Kieviet: Sicherheitstechnik für Komponenten und Systeme. Hüthig GmbH & Co. KG, Heidelberg 2007, ISBN 3-7785-2984-6. 

Belege

1. Sicherheitsstufe (SIL) – ITWissen.info, 17. Juli 2016.