Safety Engineering, Teil 2 So führen Sie eine modellbasierte Gefahren- und Risikoanalyse durch

Ein Gastbeitrag von Dr.-Ing. Rasmus Adler, Dr.-Ing. Daniel Schneider*

Die Gefahren- und Risikoanalyse ist die erste Aktivität im Safety Engineering und entscheidend für die Ableitung der übergeordneten Sicherheitsanforderungen. Diese bieten wiederum die Grundlage für alle weiteren Aktivitäten.

Firmen zum Thema

(Bild: gemeinfrei / Pixabay )

Die Gefahren- und Risikoanalyse (G&R) umfasst folgende drei Schritte:

  • 1. die Grenzen der Maschine festlegen,
  • 2. Gefährdungen und Gefährdungssituationen identifizieren,
  • 3. die diesbezüglichen Risiken abschätzen und bewerten unter Berücksichtigung der möglichen Konsequenzen.

Zu den Grenzen der Maschine gehören Verwendungsgrenzen, räumliche Grenzen und zeitliche Grenzen wie die Lebensdauer. Die Beschreibung der Grenzen der Maschine sollte so erfolgen, dass alle Gefährdungen identifiziert und deren Risiken korrekt abgeschätzt und bewertet werden können.

Detaillierte Beschreibung der Grenzen

Von besonderer Relevanz sind hierbei Überschneidungen von Grenzen verschiedener Maschinen oder des Arbeitsbereiches mit Menschen (räumlich und zeitlich). Die hieraus resultierenden Interaktionen und Schnittstellen der Maschine mit ihrer Umgebung müssen verstanden, analysiert und vor dem Hintergrund von Gefährdungen und Risiken bewertet werden.

Ergänzendes zum Thema

Modellbasiertes Safety Engineering – die Serie

Von den Vorteilen der modellbasierten Entwicklung kann auch das Safety Engineering profitieren, wie diese vierteilige Serie zeigt.

  • Nach einer allgemeinen Einführung im ersten Artikel zeigt der Autor in den darauffolgenden Beiträgen dieser Serie entlang des Safety Engineering Lebenszyklus exemplarisch, wie typische Aktivitäten des Safety Engineering modellbasiert umgesetzt werden können.
  • Hier geht's zu Teil 1.
  • Im vorliegenden zweiten Beitrag steht im Mittelpunkt, die Gefährdungen und Risiken eines zu entwickelnden Systems zu analysieren und wie dies in einen modellbasierten Ansatz integriert werden kann.
  • Aufbauend darauf wird im dritten Artikel beschrieben, wie sich die Safety-Analyse bezüglich der zuvor identifizierten Gefährdungen mit Hilfe des modellbasierten Ansatzes und Komponentenfehlerbäumen realisieren lässt.
  • Abschließend wird im vierten Artikel gezeigt, wie ein modellbasierter Sicherheitsnachweis mit den benötigten Verknüpfungen der Entwicklungsartefakte erstellt werden kann.

Aus diesem Grund ist der Verwendungszweck bei der Analyse und Bewertung so entscheidend: Betrachtet man einen Roboter mit einem Arm ohne konkreten Anwendungsfall und dessen Umgebung, kann nicht vollständig analysiert werden, welche gefährlichen Situationen sich ergeben können und wie hoch das Risiko in den jeweiligen Situationen ist.

Systematische Identifikation von Gefährdungen

Der erste wesentliche Schritt einer G&R ist die systematische Identifikation von Gefährdungen, Betriebsphasen und daraus resultierenden Gefährdungssituationen.

Eine Gefährdung ist im Grunde eine „potenzielle Schadensquelle“. Die DIN EN ISO 12100 beschreibt grundlegende Gefährdungen wie beispielsweise mechanische, elektrische oder thermische Gefährdungen. Ob und wie eine Gefährdung zu einem Schaden führen kann und wie dieser zu bewerten ist, ist situationsabhängig.

Entsprechend werden neben den Gefährdungen auch die relevanten Situationen und dann aus der Kombination von Gefährdung und relevanter Situation die möglichen Gefährdungssituationen identifiziert. Beispielsweise ergeben sich bei einem mit einem Menschen kollaborierenden Roboter (Cobot) durch die bewegten Komponenten (Armsegmente, Endeffektor) ganz unterschiedliche Gefährdungssituationen in denen mechanische Gefährdungen auftreten können, je nachdem, auf welche Weise er mit Menschen kollaboriert und wie der Arbeitsbereich abgegrenzt ist.

Das assoziierte Risiko ermitteln

Sind die Gefährdungssituationen identifiziert geht es in einem weiteren Schritt darum das jeweils assoziierte Risiko zu ermitteln. Ein Risiko wird allgemein als Kombination aus der Wahrscheinlichkeit des Eintritts eines Schadens und seines Schadensausmaßes definiert. Die eigentliche Bewertung des Risikos erfolgt anhand eines Risikographen.

Der Risikograph in der Sicherheitsnorm IEC 61508 nennt folgende 4 Faktoren um das Risiko einer Gefährdungssituation abzuschätzen:

  • 1. das Ausmaß des möglichen Schadens,
  • 2. die Wahrscheinlichkeit bzw. Häufigkeit, mit der sich eine Person im Gefahrenbereich aufhält,
  • 3. Möglichkeiten zur Vermeidung/Begrenzung des Schadens,
  • 4. Eintrittswahrscheinlichkeit der Gefährdungssituation oder des Gefährdungsereignisses.

Der Risikograph bildet Risikoparameter ab

Der Risikograph gibt für jeden dieser Risikoparameter quantifizierbare Stufen an. Beispielsweise hat der erste Parameter vier Stufen (S1-S4) wobei S1 leichte und reversible Verletzungen und S4 katastrophale Auswirkungen mit mehreren Toten kodiert. Der Risikograph bildet jede mögliche Wertekombination der Risikoparameter auf ein bestimmtes Safety Integrity Level (SIL) ab, wobei es insgesamt 4 unterschiedliche Level SIL1 – SIL4 gibt.

Das SIL wird den aus der G&R abgeleiteten Sicherheitsanforderungen zugeordnet und kodiert im Prinzip ein nötiges Maß der Risikoreduktion. Wurde also bezüglich einer Gefährdungssituation ein sehr hohes Risiko ermittelt, führt dies zu einem entsprechend hohen SIL der abgeleiteten Anforderung. Dies bedeutet wiederum, dass in der Entwicklung eine besondere Sorgfalt und besondere Maßnahmen (entlang der Empfehlungen der Norm) angewendet werden müssen, welche dann das Risiko der betrachteten Gefährdungssituation auf ein akzeptables Maß reduziert. Dies kann durch Maßnahmen zur Verringerung der Auftretenswahrscheinlichkeit (z. B. Fehlervermeidung) oder zur Verringerung des Schadensausmaßes (z. B. Reduzierung der kinetischen Energie der Maschine) erfolgen. Bei technischen Systemen verbleibt immer ein gewisses Restrisiko. Das akzeptable Maß ist hierbei implizit im SIL in der Norm kodiert.

IEC 61508 entsprechend des Kontextes interpretieren

Die IEC 61508 ist anwendungsdomänenübergreifend und nicht spezifisch für die Maschinensicherheit oder andere Domänen. Teilweise gibt es anwendungsdomänenspezifische Ableitungen der IEC 61508, welche auf die Erfordernisse, Besonderheiten und Herausforderungen der jeweiligen Domäne zugeschnitten sind und die Vorgaben der IEC 61508 entsprechend des Kontextes interpretieren. In Bezug auf den Automobilsektor ist dies die ISO 26262, für Steuerung von Maschinen die EN ISO 13849.

Der Risikograph der EN ISO 13849 wurde gegenüber der IEC 61508 angepasst und verwendet nur drei Risikoparameter (Ausmaß des möglichen Schadens, Häufigkeit/Dauer der Gefährdungsexposition und Möglichkeit der Vermeidung des Schadens). Anstatt SIL werden „required Performance Level“ (PLr) als Maß für die erforderliche Risikoreduktion verwendet. Das Grundprinzip ist also sehr ähnlich. Die Ausführungen im Hinblick auf die risikominimierenden Maßnahmen sind aber wesentlich knapper. Deswegen kann die IEC 61508 ergänzend angewendet werden.

Welche Herausforderungen gibt es bei einer G&R?

Eine erste Herausforderung ist häufig die Festlegung der Grenzen der Maschine sowie die Interaktion und Schnittstelle mit der Umgebung, da diese die Basis für eine systematische Analyse von potentiellen Gefährdungen bilden. Die zunehmende Vernetzung von Systemen ist auch in der Produktionsautomatisierung angekommen, welches die Definition der Grenzen einer Maschine erheblich erschwert. Zwar definiert die Maschinenrichtline, Begriffe wie die „Gesamtheit von Maschinen“ und „unvollständige Maschine“ und bietet Herstellern möglichst viel Freiheit um ihr Erzeugnis entsprechend zu klassifizieren. Das löst aber nicht das Grundproblem, dass für eine Analyse in einem solchen Umfeld geeignete Annahmen über den (offenen) Kontext erforderlich sind.

Auch sehr situationsspezifisches Agieren von Maschinen erschwert die Beschreibung der Einsatzumgebung und Interaktionen mit dieser: Ein Extremfall hier sind autonome Maschinen, da diese sehr situationsspezifisch in komplexen Umgebungen eigenständig agieren und deren Verhalten respektive Fehlverhalten sich nur schwer eingrenzen lässt.

Eine weitere Herausforderung ist die Verfolgbarkeit zwischen den verschiedenen voneinander abhängigen Aspekten, welche in ihrer Gesamtheit die G&R ausmachen und prägen: Kontextfaktoren, Gefährdungen, Gefährdungssituationen, Risiken bzw. Risikoparametern, Sicherheits- bzw. Performance Level, Sicherheitsziele beziehungsweise gewählte Sicherheitsmaßnahmen wie Schutzfunktionen, Fehlerbilder von Schutzfunktionen und deren Risikobewertung, um nur die wichtigsten zu nennen.

Vorteile einer modellbasierten G&R

Die Nutzung eines modelbasierten Ansatzes für die Gefahren- und Risikoanalyse bietet ein breites Spektrum an Vorteilen: Zunächst bieten model-basierte Methoden die Möglichkeit die Beschreibung der Maschinengrenzen zu formalisieren. Kontextfaktoren werden als Modellelemente erfasst und in Beziehung gesetzt.

Designzeitmodelle können in Laufzeitmodelle überführt werden, um während des Betriebes die Grenzen des sicheren Betriebes automatisiert zu überwachen.

Beim automatisierten Fahren im Anwendungsfeld Automotive hat sich der Begriff der Operational Design Domain (ODD) durchgesetzt um die Grenzen des sicheren Betriebes zu beschreiben. Model-basierte Methoden aus dem Bereich der Ontologien werden hier verwendet um die ODD zur Designzeit zu beschreiben. Diese Designzeitmodelle können dann sogar in Laufzeitmodelle überführt werden, um während des Betriebes die Grenzen des sicheren Betriebes automatisiert zu überwachen.

Kontextinformationen und Maschinengrenzen abbilden

Im Bereich der Maschinensicherheit gibt es ähnliche Konzepte in der Forschung (Digital Dependability Identities – digitaler Zwilling) auch wenn sie noch nicht in großem Umfang in der Praxis angewendet werden. In vielen Fällen ist dies noch nicht zwingend notwendig; ein erster wichtiger Schritt ist die formale Abbildung der Kontextinformationen und Maschinengrenzen in Modellen. Dies ermöglicht es bereits, logische Verknüpfungen zu spezifizieren und hierauf aufsetzende Analysen unter Berücksichtigung der Semantik dieser Verknüpfungen zu ermöglichen. Eine Beschreibung der Maschinengrenzen in Word scheidet hier ganz offensichtlich aus und Werkzeuge wie Excel sind hier ebenfalls limitiert.

Die Abbildung im Rahmen eines Modells erlaubt die Verfolgbarkeit und Verknüpfung aller abgelegten Informationen sowie Unterstützung der systematischen Prozesse für die Ableitung der G&R. Ein weiterer Vorteil des maschinenlesbaren Modells sind Unterstützungen bei der Analyse durch geeignete Werkzeuge sowie die Möglichkeit, beliebige Sichten und Reports aus den abgelegten Informationen zu generieren, speziell für die Anforderungen der jeweiligen Zielgruppen und Stakeholder.

Aus der Risikobewertung die Risikominderung ableiten

Ein weiterer Vorteil ist die Möglichkeit, den Inhalt der model-basierten G&R mit der model-basierten Beschreibung der Maschine selbst integrativ zu verknüpfen. Voraussetzung hierfür ist ein entsprechendes Modell der Maschine, welches die nominale Funktion sowie die erforderlichen Schutzfunktionen umfasst und für komplexe Maschinen generell vorgesehen werden sollte.

Aus der Risikobewertung kann die notwendige Risikominderung abgeleitet werden. Die notwendigen Schutzfunktionen ergeben sich aus Risiken, welche nicht bereits durch ein inhärent sicheres Design adressiert werden können. Die konkrete Verknüpfung von G&R-Aspekten mit den Sicherheitsfunktionen erlaubt es beispielsweise einem Hersteller teilautomatisiert Sicherheitsanforderungen für sein Produkt (unvollständiger Maschine) abzuleiten. Bei der Änderung nominaler Funktionen lässt sich über deren Verknüpfung mit Gefährdungssituationen und Sicherheitsfunktionen die notwendige Analyse von Änderungsauswirkungen systematisch und teilautomatisiert entlang dieser Verbindungen der Elemente realisieren.

Beispiel einer modellbasierten G&R

Im Folgenden wird die Gefahren- und Risikoanalyse gemäß IEC 61508 veranschaulicht. Im ersten Schritt werden alle sicherheitsrelevanten Funktionen identifiziert. Dies können dedizierte Sicherheitsfunktionen sein, etwa eine Notabschaltung durch eine Lichtschranke oder sicherheitsrelevante Funktionen, die zwangsläufig zur Maschine gehören.

Im Bereich der Produktion ist aktuell die Verwendung dedizierter Sicherheitsfunktionen üblich, in anderen Domänen wie zum Beispiel dem Automobilbau und der Medizintechnik stehen typischerweise sicherheitsrelevante Funktionen im Fokus der Absicherung. Für die Zukunft ist allerdings auch im Bereich Produktion von einer Zunahme der sicherheitsrelevanten Funktionen auszugehen, wenn man an Szenarien mit autonomen Vehikeln, Robotern und kollaborativem Arbeiten zwischen Mensch und Maschine denkt.

Beatmungsgerät mit sicherheitsrelevanter Funktion

Zur Veranschaulichung verwenden wir im Folgenden ein Beispiel aus der Medizintechnik: Ein Beatmungsgerät mit der sicherheitsrelevanten Funktion „Inhalieren“:

ID System Mode Function Description
F001 Inhalation Inhalation The patient inhales air from the device

Im nächsten Schritt werden systematisch alle Fehlerbilder der Funktion analysiert. Eine Liste generischer Leitworte wie „NO OR NOT“ oder „MORE“ wird auf die Funktion angewendet, um auf spezifische Fehlfunktionen wie „Fails to begin inhalation“ oder „Inhale more air than needed“ zu kommen. Dann wird der Effekt dieser Fehler beschrieben und generischen Gefährdungen „No air inhaled“ zugeordnet oder als unkritisch markiert.

(Bild: Fraunhofer IESE)

Anschließend wird jede kritische Fehlfunktion mittels des Risikographen der IEC 61508 bewertet. Der Risikograph bildet Wertebelegungen von den Risikoparametern „Schadensausmaß/Schwere der Verletzung“, „Häufigkeit und Dauer des Aufenthalts“, „Möglichkeiten zur Vermeidung“ und „Eintrittswahrscheinlichkeit“ auf ein Sicherheitsintegritätslevel „SIL“ ab. In der modell-basierten Gefahren- und Risikoanalyse ist diese Abbildung so formalisiert, dass für jeden Risikoparameter ein zulässiger Wert zugewiesen werden kann und daraus das SIL automatisch berechnet wird.

Die Begründung für jede gewählte Einstufung kann (und sollte) mittels des nachfolgenden Feldes („Argumentation“) für spätere Reviews und zur Verbesserung der Verständlichkeit hinterlegt werden.

(Bild: Fraunhofer IESE)

Basierend auf den identifizierten und bewerteten Risiken erfolgt die Definition von Sicherheitsfunktionen, um die beschriebenen Risiken zu reduzieren. Hierbei wird die höchste SIL-Einstufung aller Gefährdungssituationen und möglicher Schäden, die in Zusammenhang mit einer Sicherheitsfunktion stehen, als SIL der Sicherheitsfunktion übernommen und mit dieser verknüpft. Die Sicherheitsfunktion sowie deren wesentliche Attribute (z. B. das zeitliche Verhalten) werden als Sicherheitsanforderung spezifiziert.

(Bild: Fraunhofer IESE)

Wie in dem Beispiel veranschaulicht, ist die Benutzerschnittstelle der modellbasierten Gefahren- und Risikoanalyse typisch tabellarischer Natur. Hierbei ist wichtig hervorzuheben, dass die Benutzerschnittstelle im Gegensatz zu Excel mit einem auf die G&R speziell zugeschnittenen Metamodell der repräsentierten Daten hinterlegt ist; d. h. alle eingegebenen Daten sind typisiert und lassen sich entsprechend ihrer Typen nur sinnvoll miteinander verknüpfen.

Dieses Metamodell bildet die Grundlage für Verknüpfungen und Nachverfolgbarkeit, aber auch teil- sowie vollautomatisierter Einflussanalysen in Bezug auf Änderungen. Die Möglichkeit der Verknüpfung der Elemente und Informationen der G&R betrifft hierbei sowohl die abgelegten Informationen innerhalb der G&R (z. B. zwischen Funktion, Fehlfunktion, Gefährdungssituation, Risikobewertung bis hin zur Sicherheitsfunktion), als auch die Verknüpfung mit den Elementen weiterer Artefakte des Safety Engineering (wie z. B. Sicherheitskonzept und Sicherheitsnachweis).

Zusammenfassung

Es bestehen viele Abhängigkeiten zwischen den Informationen in der G&R sowie zu auf Informationen folgende Aktivitäten wie dem Sicherheitskonzept. Der Schlüssel, diese Abhängigkeiten trotz steigender Komplexität von Produktionssystemen und Maschinen effizient zu beherrschen, ist ein passender modellbasierter Ansatz. Dabei ist es wichtig, dass dieser Ansatz den spezifischen Bedürfnissen eines Unternehmens angepasst werden kann und durch ein entsprechend passgenaues Werkzeug unterstützt wird.

* Dr.-Ing. Rasmus Adler, Programm-Manager Autonome Systeme, Dr.-Ing. Daniel Schneider, Department Head Safety Engineering; beide am Fraunhofer-Institut für Experimentelles Software Engineering IESE

(ID:47847902)