:quality(80)/p7i.vogel.de/wcms/6d/b1/6db1d3ca7b4a203d20e8775591194f8d/0110539172.jpeg "In der Realität noch nicht existent, aber virtuell schon am Produzieren: Im neuen BMW-Werk in Ungarn war kürzlich virtueller SOP. Möglich macht das 3D-Visualisierung. (Bild: BMW)")
:quality(80)/p7i.vogel.de/wcms/7b/d5/7bd526c31806af83b9abde52a3879cf9/0110499734.jpeg "Die Einlegesohlen werden mitsamt den integrierten Sensoren und Leiterbahnen in nur einem Arbeitsgang auf einem 3D-Drucker hergestellt. (Bild: Marco Binelli / ETH Zürich)")
:quality(80)/p7i.vogel.de/wcms/29/60/296052411714d97bce193ad32444d48b/0110516149.jpeg "Michael Kynast (links), Geschäftsführer der Messe Erfurt, und Markus Heering, Geschäftsführer der VDMA-Arbeitsgemeinschaft Additive Manufacturing sowie des gleichnamigen Fachverbandes. (Bild: Messe Erfurt)")
:quality(80)/p7i.vogel.de/wcms/2b/e8/2be8fc6164e2c44879d38e129a4ea583/0110532444.jpeg "... und wieder heißt es: Eine Stunde weniger schlafen von Samstag auf Sonntag. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b0/39/b039f1ad8bcc34b432b71a22bb155363/0110456052.jpeg "Betreiber von Produktionsanlagen, Maschinenbauer und Systemintegratoren, Schaltanlagenbauer und Komponentenhersteller haben eines gemeinsam: Sie alle arbeiten gemeinsam entlang der Wertschöpfungskette und tauschen dabei – im Idealfall kontinuierlich und aktuell – Informationen aus. (Bild: Eplan)")
:quality(80)/p7i.vogel.de/wcms/82/78/82788fac444a16b78ddad04290de3f20/0110511199.jpeg "Zwischen leichten und schweren Aufgaben an anstrengenden Arbeitstagen abzuwechseln, sorgt für überproportionale Erschöpfung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/76/e3/76e32652f725fc4e9fd9e878e666bcf1/0110563179.jpeg "Marcel Flicker ist seit Mai 2021 als Produktmanager bei der R+W Antriebselemente GmbH tätig. Der studierte Wirtschaftsingenieur ist das Bindeglied zwischen Vertrieb, Marketing und Technik und unterstützt den nationalen und internationalen Vertrieb dabei, neue Produkte und Produktinnovationen vorzubereiten und einzuführen. (Bild: R+W/Sarah Kastner)")
:quality(80)/p7i.vogel.de/wcms/3f/68/3f6809ff3b0a3d6adaf75a433a315036/0110534308.jpeg "Wer KI im eigenen Betrieb einsetzen will, sollte sich zunächst fragen, welches Problem gelöst oder welche Verbesserung erreicht werden soll. (Bild: OMRON)")
:quality(80)/p7i.vogel.de/wcms/fd/7e/fd7e2ea50e5d66c4fa1ae1700352d530/0110357139.jpeg "Porsche ist am konsequentesten in die Fahrradindustrie eingestiegen. Weitere Automobilhersteller und -zulieferer folgen. (Bild: Porsche)")
:quality(80)/p7i.vogel.de/wcms/74/b2/74b2340d70b3cb6f82d1c7e86f7308a8/0110481958.jpeg "Damit Maschinen und Anlagen im Falle von Gefahr bringenden Bewegungen und Prozessen sofort gestoppt werden können, müssen diese mit einem auffällig gekennzeichneten Not-Halt-Befehlsgerät ausgestattet sein. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/45/54/4554f5199c9b0762af0556b683b867b3/0110468114.jpeg "Zur Pilz-Komplettlösung gehören der Sicherheitslaserscanner PSENscan (Kollisionschutz von Mensch und FTS, siehe links), das modulare Sicherheitsrelais myPNOZ (als eine von zwei möglichen Auswerteeinheiten, siehe rechts) sowie die Industrial Firewall SecurityBridge (Manipulationsschutz, siehe hinten). (Bild: Pilz GmbH & Co. KG)")
:quality(80)/p7i.vogel.de/wcms/aa/81/aa813b2d1932fb5a73ed8aa745652a33/0110069723.jpeg "Für die Zugangssicherung mit dynamischer Formatanpassung setzt Leuze auf eine Kombination aus Sicherheits-Laserscannern, optischen Abstandssensoren und zugehörigem Sicherheitsprogramm. (Bild: Leuze electronic GmbH + Co. KG)")
:quality(80)/p7i.vogel.de/wcms/6a/a8/6aa8efb269b74312e879bc7685cc301e/0110071708.jpeg "Frank Rademacher, Gruppenleiter Montage Industriemaschinen, Vemag Maschinenbau: „Für uns ist die Einführung der Vier-Tage-Woche eine „Win-Win-Situation“. Die Mitarbeiter*innen sind zufriedener und die Produktivität steigt.“ (Bild: Vemag)")
:quality(80)/p7i.vogel.de/wcms/98/46/9846dbe2a18b399f26c714e889fb9521/94565606.jpeg "(Bild: ©EtiAmmos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/06/b1/06b13c926a59abf5e1edd094eed2e1c0/0110181909.jpeg "Für lungenkranke Kurgäste: Der erste Skilift wurde von einem Landwirt im Schwarzwald entwickelt und mit Wasserkraft angetrieben. (Bild: gefunden auf: www.schwarzwald-tourismus.info/Gemeinde Eisenbach)")
:quality(80)/p7i.vogel.de/wcms/75/88/7588aadfba18f3fed8e65cbd71b9e9d7/0109629956.jpeg "Zum 100. Todestag von Conrad Wilhelm Röntgen werfen wir einen Blick auf seine Entdeckung: die Röntgenstrahlen. (Bild: ThorstenSchmitt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/36/f0/36f0570a35221cd1dfcb3306c924fd84/0109514144.jpeg "Klapp- oder auch Falträder sind kompakte Formwandler, die heute schnell und unkompliziert zum handlichen Begleiter werden. Das war aber nicht immer so. (Bild: frei lizenisiert)")
:quality(80)/p7i.vogel.de/wcms/13/22/1322818c85ad09a728ede7f6558fe413/0108797487.jpeg "So manch Weihnachtsbaum-Aufsteller hat schon geflucht, weil der Baum einfach nicht gerade im Ständer stehen wollte. Abhilfe schafft die Rundum-Einseil-Technik oder Einseil-Spanntechnik, dank der die Hände frei bleiben. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/40/59/4059a0049f6edbf97b13526f52572a9b/0109730863.jpeg "Der AMR mit einem Aufbau aus Profilen von item Industrietechnik findet von selbst zum Ziel. So entfallen zeitraubende Wege für die Mitarbeiter. (Bild: LMZ)")
:quality(80)/p7i.vogel.de/wcms/d5/90/d5902aa42e6759f3ce6b1bfa3708c71a/0109458016.jpeg "Nur mit entsprechender Ausrüstung sollte man sich an ESD-Arbeitsplätze begeben: Hier ist eine Mitarbeiterin mit ESD-Kittel und ESD-Armband an einem ESD-Arbeitstisch zu sehen. (Bild: item Industrietechnik GmbH)")
:quality(80)/p7i.vogel.de/wcms/0a/c3/0ac37fa204bcf205f4341b03040be6fd/0108524333.jpeg "Eine Montagelinie nach One-Piece-Flow-Prinzip ermöglicht einen kontinuierlichen Produktionsfluss mit höherer Flexibilität und verbesserter Abstimmung (Bild: Plan B)")
Safety Engineering, Teil 2 So führen Sie eine modellbasierte Gefahren- und Risikoanalyse durch
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/64/6364bf757f0b0/deprag-machines-unlimited.png "deprag-machines-unlimited (DEPRAG)")
:fill(fff,0)/p7i.vogel.de/companies/62/56/6256a6a4ceea3/spn-logo-mitschutzzone-rgb.jpeg "spn-logo-mitschutzzone-rgb (https://www.spn-drive.de/)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/59500/59572/65.jpg "CADFEM_Logo.jpg ()")
Die Gefahren- und Risikoanalyse ist die erste Aktivität im Safety Engineering und entscheidend für die Ableitung der übergeordneten Sicherheitsanforderungen. Diese bieten wiederum die Grundlage für alle weiteren Aktivitäten.
Die Gefahren- und Risikoanalyse (G&R) umfasst folgende drei Schritte:
- 1. die Grenzen der Maschine festlegen,
- 2. Gefährdungen und Gefährdungssituationen identifizieren,
- 3. die diesbezüglichen Risiken abschätzen und bewerten unter Berücksichtigung der möglichen Konsequenzen.
Zu den Grenzen der Maschine gehören Verwendungsgrenzen, räumliche Grenzen und zeitliche Grenzen wie die Lebensdauer. Die Beschreibung der Grenzen der Maschine sollte so erfolgen, dass alle Gefährdungen identifiziert und deren Risiken korrekt abgeschätzt und bewertet werden können.
Detaillierte Beschreibung der Grenzen
Von besonderer Relevanz sind hierbei Überschneidungen von Grenzen verschiedener Maschinen oder des Arbeitsbereiches mit Menschen (räumlich und zeitlich). Die hieraus resultierenden Interaktionen und Schnittstellen der Maschine mit ihrer Umgebung müssen verstanden, analysiert und vor dem Hintergrund von Gefährdungen und Risiken bewertet werden.
Aus diesem Grund ist der Verwendungszweck bei der Analyse und Bewertung so entscheidend: Betrachtet man einen Roboter mit einem Arm ohne konkreten Anwendungsfall und dessen Umgebung, kann nicht vollständig analysiert werden, welche gefährlichen Situationen sich ergeben können und wie hoch das Risiko in den jeweiligen Situationen ist.
Systematische Identifikation von Gefährdungen
Der erste wesentliche Schritt einer G&R ist die systematische Identifikation von Gefährdungen, Betriebsphasen und daraus resultierenden Gefährdungssituationen.
Eine Gefährdung ist im Grunde eine „potenzielle Schadensquelle“. Die DIN EN ISO 12100 beschreibt grundlegende Gefährdungen wie beispielsweise mechanische, elektrische oder thermische Gefährdungen. Ob und wie eine Gefährdung zu einem Schaden führen kann und wie dieser zu bewerten ist, ist situationsabhängig.
:quality(80)/images.vogel.de/vogelonline/bdb/1393300/1393365/original.jpg "Risikobeurteilungen durchzuführen ist kein Kinderspiel. (©Marco2811 - stock.adobe.com)")
Safety
Für jede Risikobeurteilung die passende Richtlinie
Entsprechend werden neben den Gefährdungen auch die relevanten Situationen und dann aus der Kombination von Gefährdung und relevanter Situation die möglichen Gefährdungssituationen identifiziert. Beispielsweise ergeben sich bei einem mit einem Menschen kollaborierenden Roboter (Cobot) durch die bewegten Komponenten (Armsegmente, Endeffektor) ganz unterschiedliche Gefährdungssituationen in denen mechanische Gefährdungen auftreten können, je nachdem, auf welche Weise er mit Menschen kollaboriert und wie der Arbeitsbereich abgegrenzt ist.
Das assoziierte Risiko ermitteln
Sind die Gefährdungssituationen identifiziert geht es in einem weiteren Schritt darum das jeweils assoziierte Risiko zu ermitteln. Ein Risiko wird allgemein als Kombination aus der Wahrscheinlichkeit des Eintritts eines Schadens und seines Schadensausmaßes definiert. Die eigentliche Bewertung des Risikos erfolgt anhand eines Risikographen.
Der Risikograph in der Sicherheitsnorm IEC 61508 nennt folgende 4 Faktoren um das Risiko einer Gefährdungssituation abzuschätzen:
- 1. das Ausmaß des möglichen Schadens,
- 2. die Wahrscheinlichkeit bzw. Häufigkeit, mit der sich eine Person im Gefahrenbereich aufhält,
- 3. Möglichkeiten zur Vermeidung/Begrenzung des Schadens,
- 4. Eintrittswahrscheinlichkeit der Gefährdungssituation oder des Gefährdungsereignisses.
Der Risikograph bildet Risikoparameter ab
Der Risikograph gibt für jeden dieser Risikoparameter quantifizierbare Stufen an. Beispielsweise hat der erste Parameter vier Stufen (S1-S4) wobei S1 leichte und reversible Verletzungen und S4 katastrophale Auswirkungen mit mehreren Toten kodiert. Der Risikograph bildet jede mögliche Wertekombination der Risikoparameter auf ein bestimmtes Safety Integrity Level (SIL) ab, wobei es insgesamt 4 unterschiedliche Level SIL1 – SIL4 gibt.
:quality(80)/images.vogel.de/vogelonline/bdb/1817000/1817049/original.jpg "Der konstruktionspraxis-Podcast, das Fachmagazin zum Hören, informiert schnell und unterhaltsam über spannende Technikthemen. (©korkeng / stock.adobe.com)")
Podcast Maschinensicherheit
Die 5 häufigsten Fehler bei der Risikobeurteilung
Das SIL wird den aus der G&R abgeleiteten Sicherheitsanforderungen zugeordnet und kodiert im Prinzip ein nötiges Maß der Risikoreduktion. Wurde also bezüglich einer Gefährdungssituation ein sehr hohes Risiko ermittelt, führt dies zu einem entsprechend hohen SIL der abgeleiteten Anforderung. Dies bedeutet wiederum, dass in der Entwicklung eine besondere Sorgfalt und besondere Maßnahmen (entlang der Empfehlungen der Norm) angewendet werden müssen, welche dann das Risiko der betrachteten Gefährdungssituation auf ein akzeptables Maß reduziert. Dies kann durch Maßnahmen zur Verringerung der Auftretenswahrscheinlichkeit (z. B. Fehlervermeidung) oder zur Verringerung des Schadensausmaßes (z. B. Reduzierung der kinetischen Energie der Maschine) erfolgen. Bei technischen Systemen verbleibt immer ein gewisses Restrisiko. Das akzeptable Maß ist hierbei implizit im SIL in der Norm kodiert.
IEC 61508 entsprechend des Kontextes interpretieren
Die IEC 61508 ist anwendungsdomänenübergreifend und nicht spezifisch für die Maschinensicherheit oder andere Domänen. Teilweise gibt es anwendungsdomänenspezifische Ableitungen der IEC 61508, welche auf die Erfordernisse, Besonderheiten und Herausforderungen der jeweiligen Domäne zugeschnitten sind und die Vorgaben der IEC 61508 entsprechend des Kontextes interpretieren. In Bezug auf den Automobilsektor ist dies die ISO 26262, für Steuerung von Maschinen die EN ISO 13849.
:quality(80)/images.vogel.de/vogelonline/bdb/1693800/1693859/original.jpg "Die Maschinenrichtlinie will Gefahren, die von Maschinen ausgehen, mittels von Sicherheitsfunktionen minimieren. (©getti - stock.adobe.com)")
Maschinensicherheit
Die richtige Anwendung der DIN EN ISO 13849
Der Risikograph der EN ISO 13849 wurde gegenüber der IEC 61508 angepasst und verwendet nur drei Risikoparameter (Ausmaß des möglichen Schadens, Häufigkeit/Dauer der Gefährdungsexposition und Möglichkeit der Vermeidung des Schadens). Anstatt SIL werden „required Performance Level“ (PLr) als Maß für die erforderliche Risikoreduktion verwendet. Das Grundprinzip ist also sehr ähnlich. Die Ausführungen im Hinblick auf die risikominimierenden Maßnahmen sind aber wesentlich knapper. Deswegen kann die IEC 61508 ergänzend angewendet werden.
Welche Herausforderungen gibt es bei einer G&R?
Eine erste Herausforderung ist häufig die Festlegung der Grenzen der Maschine sowie die Interaktion und Schnittstelle mit der Umgebung, da diese die Basis für eine systematische Analyse von potentiellen Gefährdungen bilden. Die zunehmende Vernetzung von Systemen ist auch in der Produktionsautomatisierung angekommen, welches die Definition der Grenzen einer Maschine erheblich erschwert. Zwar definiert die Maschinenrichtline, Begriffe wie die „Gesamtheit von Maschinen“ und „unvollständige Maschine“ und bietet Herstellern möglichst viel Freiheit um ihr Erzeugnis entsprechend zu klassifizieren. Das löst aber nicht das Grundproblem, dass für eine Analyse in einem solchen Umfeld geeignete Annahmen über den (offenen) Kontext erforderlich sind.
:quality(80)/p7i.vogel.de/wcms/44/42/444220ae64376e3ecce9ebbf3815fa42/98210623.jpeg "Die seit dem 1. Juni 2015 gültige Betriebssicherheitsverordnung fordert, dass Unternehmen ihren Beschäftigten nur Maschinen zur Verfügung stellen dürfen, deren sicheres Betreiben dem Stand der Technik entspricht. (Bild: ©Eisenhans - stock.adobe.com)")
CE-Kennzeichnung
LASI-Papier „Maschinen ohne CE“ liefert Handlungsanleitung
Auch sehr situationsspezifisches Agieren von Maschinen erschwert die Beschreibung der Einsatzumgebung und Interaktionen mit dieser: Ein Extremfall hier sind autonome Maschinen, da diese sehr situationsspezifisch in komplexen Umgebungen eigenständig agieren und deren Verhalten respektive Fehlverhalten sich nur schwer eingrenzen lässt.
Eine weitere Herausforderung ist die Verfolgbarkeit zwischen den verschiedenen voneinander abhängigen Aspekten, welche in ihrer Gesamtheit die G&R ausmachen und prägen: Kontextfaktoren, Gefährdungen, Gefährdungssituationen, Risiken bzw. Risikoparametern, Sicherheits- bzw. Performance Level, Sicherheitsziele beziehungsweise gewählte Sicherheitsmaßnahmen wie Schutzfunktionen, Fehlerbilder von Schutzfunktionen und deren Risikobewertung, um nur die wichtigsten zu nennen.
Vorteile einer modellbasierten G&R
Die Nutzung eines modelbasierten Ansatzes für die Gefahren- und Risikoanalyse bietet ein breites Spektrum an Vorteilen: Zunächst bieten model-basierte Methoden die Möglichkeit die Beschreibung der Maschinengrenzen zu formalisieren. Kontextfaktoren werden als Modellelemente erfasst und in Beziehung gesetzt.
Designzeitmodelle können in Laufzeitmodelle überführt werden, um während des Betriebes die Grenzen des sicheren Betriebes automatisiert zu überwachen.
Beim automatisierten Fahren im Anwendungsfeld Automotive hat sich der Begriff der Operational Design Domain (ODD) durchgesetzt um die Grenzen des sicheren Betriebes zu beschreiben. Model-basierte Methoden aus dem Bereich der Ontologien werden hier verwendet um die ODD zur Designzeit zu beschreiben. Diese Designzeitmodelle können dann sogar in Laufzeitmodelle überführt werden, um während des Betriebes die Grenzen des sicheren Betriebes automatisiert zu überwachen.
Kontextinformationen und Maschinengrenzen abbilden
Im Bereich der Maschinensicherheit gibt es ähnliche Konzepte in der Forschung (Digital Dependability Identities – digitaler Zwilling) auch wenn sie noch nicht in großem Umfang in der Praxis angewendet werden. In vielen Fällen ist dies noch nicht zwingend notwendig; ein erster wichtiger Schritt ist die formale Abbildung der Kontextinformationen und Maschinengrenzen in Modellen. Dies ermöglicht es bereits, logische Verknüpfungen zu spezifizieren und hierauf aufsetzende Analysen unter Berücksichtigung der Semantik dieser Verknüpfungen zu ermöglichen. Eine Beschreibung der Maschinengrenzen in Word scheidet hier ganz offensichtlich aus und Werkzeuge wie Excel sind hier ebenfalls limitiert.
![Maschinensicherheit: Die Arbeitsgruppe TA SI des ZVEI Automation hat ein neues Konzept zur Fehlertoleranz im Safety-Bereich vorgestellt. (Bild: Gerd Altmann und Bruno auf pixabay [collage elektronikpraxis])](https://cdn1.vogel.de/aMrfs3JV1G_19EiCuGbWHS_ih54=/320x180/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/81/64/81646dc1610b43bfad31db88ae641f78/0101703336.jpeg "Maschinensicherheit: Die Arbeitsgruppe TA SI des ZVEI Automation hat ein neues Konzept zur Fehlertoleranz im Safety-Bereich vorgestellt. (Bild: Gerd Altmann und Bruno auf pixabay [collage elektronikpraxis])")
Safety
Fehlertoleranz in der Maschinensicherheit
Die Abbildung im Rahmen eines Modells erlaubt die Verfolgbarkeit und Verknüpfung aller abgelegten Informationen sowie Unterstützung der systematischen Prozesse für die Ableitung der G&R. Ein weiterer Vorteil des maschinenlesbaren Modells sind Unterstützungen bei der Analyse durch geeignete Werkzeuge sowie die Möglichkeit, beliebige Sichten und Reports aus den abgelegten Informationen zu generieren, speziell für die Anforderungen der jeweiligen Zielgruppen und Stakeholder.
Aus der Risikobewertung die Risikominderung ableiten
Ein weiterer Vorteil ist die Möglichkeit, den Inhalt der model-basierten G&R mit der model-basierten Beschreibung der Maschine selbst integrativ zu verknüpfen. Voraussetzung hierfür ist ein entsprechendes Modell der Maschine, welches die nominale Funktion sowie die erforderlichen Schutzfunktionen umfasst und für komplexe Maschinen generell vorgesehen werden sollte.
Aus der Risikobewertung kann die notwendige Risikominderung abgeleitet werden. Die notwendigen Schutzfunktionen ergeben sich aus Risiken, welche nicht bereits durch ein inhärent sicheres Design adressiert werden können. Die konkrete Verknüpfung von G&R-Aspekten mit den Sicherheitsfunktionen erlaubt es beispielsweise einem Hersteller teilautomatisiert Sicherheitsanforderungen für sein Produkt (unvollständiger Maschine) abzuleiten. Bei der Änderung nominaler Funktionen lässt sich über deren Verknüpfung mit Gefährdungssituationen und Sicherheitsfunktionen die notwendige Analyse von Änderungsauswirkungen systematisch und teilautomatisiert entlang dieser Verbindungen der Elemente realisieren.
Beispiel einer modellbasierten G&R
Im Folgenden wird die Gefahren- und Risikoanalyse gemäß IEC 61508 veranschaulicht. Im ersten Schritt werden alle sicherheitsrelevanten Funktionen identifiziert. Dies können dedizierte Sicherheitsfunktionen sein, etwa eine Notabschaltung durch eine Lichtschranke oder sicherheitsrelevante Funktionen, die zwangsläufig zur Maschine gehören.
:quality(80)/images.vogel.de/vogelonline/bdb/1741300/1741384/original.jpg "Maschinen, die in explosionsgefährdeten Bereichen eingesetzt werden, etwa zum Abfüllen brennbare Medien wie Lacke, müssen ein sehr hohes Sicherheitsniveau erfüllen. (AG INNOK/EAH JENA)")
Risikobeurteilung
Risiken beurteilen nach ATEX- und Maschinenrichtlinie
Im Bereich der Produktion ist aktuell die Verwendung dedizierter Sicherheitsfunktionen üblich, in anderen Domänen wie zum Beispiel dem Automobilbau und der Medizintechnik stehen typischerweise sicherheitsrelevante Funktionen im Fokus der Absicherung. Für die Zukunft ist allerdings auch im Bereich Produktion von einer Zunahme der sicherheitsrelevanten Funktionen auszugehen, wenn man an Szenarien mit autonomen Vehikeln, Robotern und kollaborativem Arbeiten zwischen Mensch und Maschine denkt.
Beatmungsgerät mit sicherheitsrelevanter Funktion
Zur Veranschaulichung verwenden wir im Folgenden ein Beispiel aus der Medizintechnik: Ein Beatmungsgerät mit der sicherheitsrelevanten Funktion „Inhalieren“:
| ID | System Mode | Function | Description |
|---|---|---|---|
| F001 | Inhalation | Inhalation | The patient inhales air from the device |
Im nächsten Schritt werden systematisch alle Fehlerbilder der Funktion analysiert. Eine Liste generischer Leitworte wie „NO OR NOT“ oder „MORE“ wird auf die Funktion angewendet, um auf spezifische Fehlfunktionen wie „Fails to begin inhalation“ oder „Inhale more air than needed“ zu kommen. Dann wird der Effekt dieser Fehler beschrieben und generischen Gefährdungen „No air inhaled“ zugeordnet oder als unkritisch markiert.
Anschließend wird jede kritische Fehlfunktion mittels des Risikographen der IEC 61508 bewertet. Der Risikograph bildet Wertebelegungen von den Risikoparametern „Schadensausmaß/Schwere der Verletzung“, „Häufigkeit und Dauer des Aufenthalts“, „Möglichkeiten zur Vermeidung“ und „Eintrittswahrscheinlichkeit“ auf ein Sicherheitsintegritätslevel „SIL“ ab. In der modell-basierten Gefahren- und Risikoanalyse ist diese Abbildung so formalisiert, dass für jeden Risikoparameter ein zulässiger Wert zugewiesen werden kann und daraus das SIL automatisch berechnet wird.
Die Begründung für jede gewählte Einstufung kann (und sollte) mittels des nachfolgenden Feldes („Argumentation“) für spätere Reviews und zur Verbesserung der Verständlichkeit hinterlegt werden.
Basierend auf den identifizierten und bewerteten Risiken erfolgt die Definition von Sicherheitsfunktionen, um die beschriebenen Risiken zu reduzieren. Hierbei wird die höchste SIL-Einstufung aller Gefährdungssituationen und möglicher Schäden, die in Zusammenhang mit einer Sicherheitsfunktion stehen, als SIL der Sicherheitsfunktion übernommen und mit dieser verknüpft. Die Sicherheitsfunktion sowie deren wesentliche Attribute (z. B. das zeitliche Verhalten) werden als Sicherheitsanforderung spezifiziert.
Wie in dem Beispiel veranschaulicht, ist die Benutzerschnittstelle der modellbasierten Gefahren- und Risikoanalyse typisch tabellarischer Natur. Hierbei ist wichtig hervorzuheben, dass die Benutzerschnittstelle im Gegensatz zu Excel mit einem auf die G&R speziell zugeschnittenen Metamodell der repräsentierten Daten hinterlegt ist; d. h. alle eingegebenen Daten sind typisiert und lassen sich entsprechend ihrer Typen nur sinnvoll miteinander verknüpfen.
Dieses Metamodell bildet die Grundlage für Verknüpfungen und Nachverfolgbarkeit, aber auch teil- sowie vollautomatisierter Einflussanalysen in Bezug auf Änderungen. Die Möglichkeit der Verknüpfung der Elemente und Informationen der G&R betrifft hierbei sowohl die abgelegten Informationen innerhalb der G&R (z. B. zwischen Funktion, Fehlfunktion, Gefährdungssituation, Risikobewertung bis hin zur Sicherheitsfunktion), als auch die Verknüpfung mit den Elementen weiterer Artefakte des Safety Engineering (wie z. B. Sicherheitskonzept und Sicherheitsnachweis).
Zusammenfassung
Es bestehen viele Abhängigkeiten zwischen den Informationen in der G&R sowie zu auf Informationen folgende Aktivitäten wie dem Sicherheitskonzept. Der Schlüssel, diese Abhängigkeiten trotz steigender Komplexität von Produktionssystemen und Maschinen effizient zu beherrschen, ist ein passender modellbasierter Ansatz. Dabei ist es wichtig, dass dieser Ansatz den spezifischen Bedürfnissen eines Unternehmens angepasst werden kann und durch ein entsprechend passgenaues Werkzeug unterstützt wird.
* Dr.-Ing. Rasmus Adler, Programm-Manager Autonome Systeme, Dr.-Ing. Daniel Schneider, Department Head Safety Engineering; beide am Fraunhofer-Institut für Experimentelles Software Engineering IESE
(ID:47847902)
:quality(80)/images.vogel.de/vogelonline/bdb/1776700/1776779/original.jpg "(gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1886200/1886219/original.jpg "Dank MBD werden 3D-Modelle mit allen Daten ausgestattet, die zum Definieren, Fertigen und Prüfen eines Produkts benötigt werden. (©red150770 - stock.adobe.com)")