Typprüfung Serie, Teil 3

Bevor der TÜV kommt!

Erfahrungen mit der entwicklungsbegleitenden Typprüfung Sicherheit im Spannungsfeld der Vorschriften

10.07.2006 | Autor / Redakteur: Thorsten Gantevoort, Thomas Steffens* / Reinhard Kluger

Phasen einer entwicklungsbegleitenden Typprüfung
Phasen einer entwicklungsbegleitenden Typprüfung

Firmen zum Thema

Die Erfahrungen der TÜV Rheinland Industrie Service GmbH zeigen: Bei der Prüfung von Sicherheitsbauteilen treten immer wieder die gleichen Probleme während der Entwicklung und Prüfung eines Produktes auf. Sinnvoll ist es, das Prüfinstitut möglichst früh einzuschalten. Nur so lassen sich diese Schwierigkeiten gemeinsam zeitnah lösen, oft treten sie dann auch erst gar nicht auf.

Wer zum TÜV geht, der erwartet geprüfte und zertifizierte Sicherheit: So sind Prüfungen von elektrischen und elektronischen Geräten und Systemen für sicherheitsrelevante Anwendungen die Hauptaufgaben des Geschäftsfeldes Automation, Software und Informationstechnik (ASI) vom TÜV Rheinland Industrie Service. Anwendungen, von denen ein hohes Maß an Sicherheit, Zuverlässigkeit und Qualität gefordert wird.

Funktionale Sicherheit

Das Kriterium bei einer Prüfung ist die Funktionale Sicherheit: Ein Versagen der Geräte darf nicht zu einem gefährlichen Zustand für Personen oder die Umwelt führen! Die Geräte müssen auch unter Fehlerbedingungen ihre Sicherheitsfunktionen ausführen können. Die Typprüfung erbringt den Nachweis, dass das Produkt für die vorgesehene Sicherheitsanwendung geeignet und konform zu den relevanten Normen ist. Auf Basis dieser Prüfung kann der Hersteller die Konformität mit den relevanten Europäischen Richtlinien erklären. Die zugrundegelegten Normen im Bereich „Sicherheit von Maschinen“ sind schwerpunktmäßig die EN 954-1 (prEN ISO 13849), IEC 61508 und EN 62061. Beispiele für Prüfgegenstände sind: Schutzeinrichtungen, Sicherheitsbauteile an Maschinen/Anlagen, speicherprogrammierbare- oder konfigurierbare Steuerungen mit Sicherheitsfunktionen, Antriebssteuerungen mit Sicherheitsfunktionen sowie Bussysteme, Geräte mit sicherheitsrelevanter Buskommunikation, Elektronik in kerntechnischen Anlagen und: Software wie Compiler, Programmier-/Konfigurier- und Test-Tools, Betriebssysteme und weitere.

Entwicklungsbegleitende Typprüfung

Nicht am bereits fertig entwickelten Produkt sollte die Typprüfung vorgenommen werden, vorzuziehen ist die entwicklungsbegleitende Typprüfung, weil sich bereits in der Konzeptphase potenzielle Probleme erkennen lassen. Eine enge Zusammenarbeit beschleunigt die Entwicklung, und die Konzeptbeurteilung bietet Planungssicherheit. Am fertig entwickelten Produkt sind sicherheitstechnische Aspekte schnell übersehen, ein Redesign ist die Folge. Die entwicklungsbegleitende Typprüfung ist unterteilt in die drei Phasen: Konzeptprüfung, Hauptprüfung und Zertifizierung.

Konzeptprüfung

Die Konzeptprüfung beginnt in der Regel mit der Vorstellung der Produktspezifikation und des Realisierungskonzeptes durch den Hersteller. Dann ist zu verifizieren, ob alle für dieses Gerät anzuwendende Normen berücksichtigt worden sind und das Konzept geeignet ist, die relevanten Anforderungen zu erfüllen. Sie beinhaltet nicht nur das Prüfen und Beurteilen der geplanten Maßnahmen zum Vermeiden von Fehlern während des Produktlebenszyklus, sondern auch Tipps zu Maßnahmen, wie sich diese Fehler beherrschen lassen. Anhand einer FMEA auf Strukturebene lassen sich die quantitativen sicherheitstechnischen Kenngrößen abschätzen. Abschließend wird ein Prüfplan für die Hauptprüfung erstellt und eine positive Konzeptbeurteilung formuliert, und zwar in Form eines Berichts oder als Stellungnahme.

Hauptprüfung

In der Hauptprüfung erfolgt die Verifikation, sie beinhaltet u.a. folgende Punkte:

•Prüfung aller sicherheitsrelevanten Funktionen, Funktions- und Worst-case-Analysen (HW und SW),

•Prüfung der fehlerbeherrschenden Maßnahmen, Durchführung/Verifizierung der FMEA (HW und SW),

•Inspektion/Verifizierung der SW-Verifikationsprüfungen (Modul-, Integrations- und Systemtests),

•Inspektion und Beurteilung der Dokumentation des Gerätes über alle Lebensphasen,

•Bestimmung und Berechnung der sicherheitstechnischen Kenngrößen,

•Umweltprüfungen (inkl. EMV),

•elektrische Sicherheit (Luft- und Kriechstrecken) und

•Prüfung der Anwenderdokumentation, Sicherheits-Handbuch.

Der Bericht zur Typprüfung schließt die Hauptprüfung ab. Auf Basis dieses Berichtes kann der Hersteller die Konformität zu den relevanten Europäischen Richtlinien erklären. Anschließend kann in einer weiteren Phase die Zertifizierung erfolgen. Auf Basis des Prüfberichtes stellt die Zertifizierungsstelle ein Zertifikat mit oder ohne Prüfzeichen aus. Unterschieden werden die Prüfzeichen „Type Approved“ und „FS Type Approved“. Das „Type Approved“ wird vergeben, wenn alle Vorschriften als Prüfgrundlagen verwendet wurden, die zum Nachweis der Konformität mit den relevanten Europäischen Richtlinien erforderlich sind. Das „FS Type Approved“ bekommen nur Geräte, für die die Produktnormen Anforderungen an die Funktionale Sicherheit stellen und die für den Einsatz in sicherheitsrelevanten Anwendungen vorgesehen sind.

Die Normen EN 954-1 und IEC 61508 sowie die EN 62061 unterscheiden sich in vielerlei Hinsicht. Doch gerade bei der Lebensphase „Entwicklung“ zeigen sich die großen Unterschiede: So resultieren die Maßnahmen der EN 954-1 für die Entwicklung fast ausschließlich aus den Anforderungen, die das fertige Produkt erfüllen muss. Die Normen IEC 61508 und die davon abgeleitete EN 62061 gehen indessen konkret auf die anzuwendenden Maßnahmen für diese und weitere Lebensphasen eines Produktes ein – hierbei seien das Qualitätsmanagement und die Dokumentation als Schwerpunkte genannt.

Zur EN 954-1: Im Anwendungsbereich der EN 954-1 wird erwähnt, dass diese Norm sicherheitstechnische Anforderungen und Hinweise auf Gestaltungsleitsätze von sicherheitsbezogenen Teilen von Steuerungen enthält. Beschrieben jedoch sind sie nur rudimentär. Der Schwerpunkt dieser Norm liegt eindeutig in der Definition von Anforderungen an die Hardware und deren Zuverlässigkeit, bezogen auf das abzusichernde Risiko. Dies bedeutet für den Entwickler eines Produktes nach EN 954-1: Er muss das Hauptaugenmerk auf die Systemarchitektur und die Maßnahmen zur Fehlererkennung legen. Wie jedoch diese Entwicklung zu erfolgen hat, wird nur kurz im Kapitel „Allgemeine Vorgehensweise bei der Gestaltung“ erwähnt: „Das erreichte Verhalten in Bezug auf die Widerstandsfähigkeit der sicherheitsbezogenen Teile der Steuerung gegen Fehler ist eine Funktion von zahlreichen Parametern, z.B.:

•die Zuverlässigkeit im Hinblick auf die Ausführung der Sicherheitsfunktionen,

•Struktur (Architektur) der Steuerung,

•die Qualität der sicherheitsbezogenen Dokumentation,

•die Vollständigkeit der Spezifikation,

•die Gestaltung, Herstellung und Instandhaltung,

•Qualität und Richtigkeit der Software,

•das Ausmaß an Funktionsprüfungen und

•die betriebstechnischen Eigenschaften der gesteuerten Maschine oder des gesteuerten Teils der Maschine.“

Anforderungen an das Qualitätsmanagement beschreibt das Kapitel „Validierung“ der Norm etwas detaillierter. Wer weitergehende Informationen über Art und Weise der Entwicklung eines sicherheitsgerichteten Produktes und der anzuwendenden Maßnahmen sucht, findet nichts dazu in der EN 954-1. Die einfache und klar strukturierte EN 954-1 ist insbesondere für kleinere Unternehmen einfacher und mit geringem Personaleinsatz anwendbar. Sie stellt weniger Ansprüche an das Qualitätsmanagement und die Dokumentation, jedoch hohe Anforderungen an die Hardware und bietet wenige Hilfestellungen beim Vermeiden von Fehlern bei der Produktentwicklung.

Maßnahmen zur Fehlervermeidung

Zur IEC 61508 und EN 62061: Die IEC 61508 ist ein sehr komplexes Werk von Bedingungen und Maßnahmen, die in fast jeder Lebensphase eines Produktes erfüllt und angewendet werden müssen. So sind beispielsweise die Anforderungen an die Hardware geringer als bei der EN 954-1, jedoch ist der Nachweis komplizierter und aufwändiger zu erbringen (Berechnung sicherheitstechnischer Kenngrößen). Zudem sind die Ansprüche an das Qualitätsmanagement und die Dokumentation sehr hoch. Als Hilfestellung beschreibt sie detailliert mögliche anzuwendende Maßnahmen zur Fehlervermeidung und deren Wirksamkeit. Der Teil 3 der IEC 61508 beschreibt alleine auf 58 Seiten die notwendigen Maßnahmen bei der Softwareentwicklung.

Im Bereich des „Management of Functional Safety“ hat die sichere Durchführung aller Arbeitsabläufe und Maßnahmen oberste Priorität. Dazu gehören auch die Definition und Qualifikation verantwortlicher Personen. Alle Maßnahmen sind mit dem Ziel der einfachen Nachvollziehbarkeit nach genauen Vorschriften zu dokumentieren und in allen Phasen des Lebenslaufs nach demselben Prinzip zu bearbeiten: Definition von Sicherheitszielen für jede Phase inklusive untergeordneter Teilphasen, Definition der notwendigen Anforderungen sowie deren Spezifizierung für die jeweils gültigen Anwendungsbereiche sowie Erarbeitung und Dokumentation eines Ergebnisses für jede Teilphase unter Einbezug aller Maßnahmen. Um den komplexen Normen IEC 61508/EN 62061 zu entsprechen, ist somit ein größerer personeller und finanzieller Aufwand notwendig. Die EN 62061 ist als harmonisierte Norm nach der Maschinenrichtlinie für den Bereich „Sicherheit von Maschinen“ angepasst und damit einfacher anwendbar und weniger umfangreich als die IEC 61508.

Sicherheit von Maschinen

Die bereits diskutierten Unterschiede der Normen wirken sich bei der Entwicklung von Produkten verschiedener Komplexität unterschiedlich stark aus. In der folgenden Zusammenstellung sind die verschiedenen Technologien sicherheitstechnischer Geräte aufgeführt und die Unterschiede in den Anforderungen aus der IEC 61508 und EN 62061 zur EN 954-1 herausgearbeitet: Für festverdrahtete diskrete Komponenten gilt:

•geringe Unterschiede zwischen EN 954-1 und IEC 61508, EN 62061,

•neu: Quantifizierung bei IEC 61508,EN 62061,

•leicht erhöhte Anforderungen an das Qualitätsmanagement und

•erhöhter Dokumentationsaufwand.

Für programmierbare Komponenten und Komponenten zur Kommunikation (sicheres Bussystem) gilt:

•höhere Anforderungen durch IEC 61508 und EN 62061,

•neu: Quantifizierung,

•hohe Anforderungen an das Qualitätsmanagement beiIEC 61508,EN62061,

•hoher Dokumentationsaufwand und:

•nicht durch EN 954-1 vollständig abgedeckt!

Hersteller, die sich für eine Typprüfung bei der TÜV Rheinland Group entscheiden, lassen sich in zwei Gruppen unterteilen: in „Hersteller ohne sicherheitstechnische Vorkenntnisse“ und „Hersteller mit sicherheitstechnischen Vorkenntnissen“. Die Motivation, ob die Typprüfung und damit die sicherheitstechnische Bewertung freiwillig aus eigenem Antrieb erfolgt oder nur aufgrund einer geänderten Normenlage erforderlich wurde, ist oft ausschlaggebend für die Schwierigkeiten, die bei einer Typprüfung auftauchen, weil sich darin oft die Einstellung zu den Normen und der Sicherheitstechnik widerspiegelt.

Normen beeinflussen die Entwicklung

Die Entwicklung sicherheitstechnischer Geräte ist deutlich zeitaufwändiger und kostenintensiver. Dies macht erforderlich, dass Unternehmen den sicherheitstechnischen Gedanken bis hoch in die Managementebene verinnerlichen. So sollten die zeitlichen Maßstäbe einer Entwicklung von Standardgeräten nicht für die Entwicklung sicherheitstechnischer Produkte zugrunde gelegt werden. Dies birgt die Gefahr, dass wesentliche Aspekte schon in der Spezifikationsphase unberücksichtigt bleiben und in der späteren Realisierung zu einer unvorhergesehenen, meist kostenintensiveren Verzögerung führen.

Ein weiteres Problem stellt die fehlende Kenntnis der Normen dar. Es muss seitens des Managements die Bereitschaft bestehen, ein Schulungskonzept aufzustellen, um das für die Sicherheitstechnik bereitgestellte Projektteam auf die neuen Aufgaben entsprechend vorzubereiten. Zudem ist es erforderlich, dass alle am Projekt beteiligten Parteien die gleiche „Sprache“ sprechen. Die Verwendung einer einheitlichen Terminologie vermindert Missverständnisse. Es hat sich gezeigt, dass ein vor Projektbeginn geschultes Team effektiver arbeiten kann als ein ungeschultes. Die Kosten für die Schulung lassen sich in der Regel durch die daraus resultierende Zeitersparnis im darauf folgenden Projekt wieder einsparen. Der Geschäftsbereich ASI der TÜV Rheinland Group hat daher aufgrund einer erhöhten Nachfrage ein umfangreiches Schulungsprogramm im Bereich der Sicherheitstechnik aufgebaut.

Umfangreiches Schulungsprogramm

In vielen Projekten wird häufig der erforderliche Personalaufwand unterschätzt, sodass man mit einer zu dünnen Personaldecke beginnt. Die Folge: Das wenige Personal reicht nicht aus, man muss es im Verlaufe des Projekts aufstocken. Dies verzögert das Projekt unweigerlich, weil dann schon die benötigten Ressourcen in der Regel in anderen Projekten verplant sind. Anlass dafür ist eine unzureichende Projektplanung aufgrund der Unerfahrenheit mit sicherheitstechnischen Projekten. Zu Beginn sollte neben dem eigentlichen Projektplan auch ein Safety-Plan erstellt werden, der die erforderlichen Ressourcen und Verantwortlichkeiten für alle Lebenszyklusphasen eines Projektes definiert, und dieser mit dem Prüfinstitut abgestimmt werden. Die Unsicherheit im Neuland „Sicherheitstechnik“ hemmt zusätzlich die Kreativität eines Projektteams. Oft denkt man dort einfach zu komplex, sodass die einfachsten Lösungen unbeachtet bleiben. Hier hat es sich als vorteilhaft erwiesen, dass der Sachverständige des Prüfinstituts häufig als Moderator fungiert und so das Projektteam mit seinen sicherheitstechnischen Kenntnissen unterstützt. Sind diese prinzipiellen Probleme gelöst, stößt auch der Hersteller ohne sicherheitstechnische Kenntnisse teilweise auf ähnliche Probleme wie der Hersteller mit sicherheitstechnischen Kenntnissen.

Hersteller mit sicherheitstechnischen Vorkenntnissen haben in der Regel den sicherheitstechnischen Gedanken verinnerlicht und ihre Unternehmensstruktur auf das Entwickeln sicherheitstechnischer Geräte ausgerichtet. Die Mitarbeiter bilden sich regelmäßig im Themenbereich „Sicherheit von Maschinen“ weiter. Das in diesen Unternehmen implementierte und meist auch zertifizierte Qualitätsmanagement sieht Verfahrensanweisungen sowohl für Standardgeräte als auch für Sicherheitsgeräte vor. Zu erkennen ist eine strukturierte Vorgehensweise – beginnend von der Konzeptphase bis zur abschließenden Typprüfung. Die Geräte sind aus Sicht der sicherheitstechnischen Struktur modular aufgebaut, sodass bei Neuentwicklungen auf bewährte Module aufgesetzt wird. Der Nutzen daran: Das Einreichen eines fertig entwickelten Gerätes mit niedrig komplexer Technologie führt bei diesen Unternehmen ohne weitere Änderungen überwiegend zu einem positiven Abschluss der Typprüfung.

Technologien im Vergleich

Bei der Verwendung komplexer Technologien ist auch den Herstellern mit sicherheitstechnischen Vorkenntnissen eine entwicklungsbegleitende Typprüfung anzuraten, weil die Kenntnisse aus der EN 954-1 für die Anforderungen an programmierbare, komplexe Technologien nicht ausreichend sind. Der TÜV hat ein Großteil der Anforderungen an programmierbare Techniken schon für Prüfungen nach EN 954-1 in diesen entwicklungsbegleitenden Typprüfungen formuliert und verifiziert. Deshalb sind die zu implementierenden fehlerbeherrschenden Maßnahmen bei sicherheitstechnischen Geräten gemäß der IEC 61508 für die Hersteller mit sicherheitstechnischen Vorkenntnissen keine Neuerung, jedoch eine Erweiterung. Insbesondere die in der IEC 61508 formulierten Anforderungen an das Management zur Funktionalen Sicherheit stellen eine Erweiterung bisheriger Forderungen dar. Sie beschreiben jedoch lediglich „Good Engineering Praxis“, dienen überwiegend der Fehlervermeidung während des Entwicklungsprozesses und sollten somit nicht bereits bewährte Prozesse verkomplizieren oder ersetzen.

Erfolgreiche Prozesse sollte man nicht verändern, sondern an den beschriebenen Anforderungen spiegeln und wenn möglich dahingehend optimieren. Ein Review des bewährten Entwicklungsprozesses gemeinsam mit dem Prüfinstitut führt häufig zu dem Ergebnis, dass nur kleinere Nachbesserungen des Entwicklungsprozesses erforderlich sind, um den Erfordernissen zu genügen. Häufig fehlen der Safety-Plan und das eindeutige Zuordnen der Verantwortlichkeiten. Dies bedeutet nicht, dass diese Informationen in einem bewährten Entwicklungsprozess fehlen, sondern dass sie in der Regel nicht die erforderliche Detailtiefe aufweisen oder überhaupt nicht dokumentiert sind. Ein weiteres Problem: die neue probabilistische Sichtweise der IEC 61508 und EN 62061. Um die implementierten Maßnahmen zur Fehlerbeherrschung zu bewerten, ist es erforderlich, die sicherheitstechnische Verfügbarkeit für jede definierte Sicherheitsfunktion zu bestimmen. Dies drückte man als Wert durch die gefährliche Versagenswahrscheinlichkeit PFD und die gefährliche Versagensrate PFH aus. Weitere zu bestimmende Kenngrößen sind die Hardware-Fehler-Toleranz (HFT) und der Anteil der ungefährlichen Fehler (Safe Failure Fraction – SFF).

Qualifizierung der Mitarbeiter

Das Ermitteln der Versagenswahrscheinlichkeit bzw. der Versagensrate kann unter anderem auf Basis eines Markov-Modells oder Zuverlässigkeits-Blockdiagramms (Reliability Block Diagram) erfolgen. Beide Methoden liefern mehr oder weniger komplexe Lösungsansätze, die geschulte Mitarbeiter nur mit erheblichem Aufwand anwenden können. So gibt es bereits in größeren Unternehmen Mitarbeiter, die ausschließlich für die Quantifizierung von Sicherheitsprodukten verantwortlich sind. Der wichtige erste Schritt für die Qualifizierung dieser Mitarbeiter ist, dass sie die probabilistische Betrachtungsweise als Erweiterung des deterministischen Ansatzes der EN 954-1 verinnerlichen. Die vermehrte Nachfrage an Schulungen im Bereich „Quantifizierung“ lässt erkennen, dass viele Hersteller das Ziel haben, die Berechnungen eigenständig durchzuführen und nur die Ergebnisse vom Prüfinstitut verifizieren zu lassen. Kleine Unternehmen hingegen lassen meistens die Quantifizierung vom TÜV Rheinland durchführen. (klu)

TÜV Rheinland Industrie Service, Tel. +49(0)221 8062981

Sechs Fehler, die Sie vermeiden sollten!

1. Unkenntnis und Unverständnis über anzunehmende Fehler(„das kann doch gar nicht passieren“), fehlender Sicherheitsgedanke

2. Unzureichende Projektplanung, Dokumentation (QM)

3. Fehlende Definition der Verantwortlichkeiten (Safety Plan)

4. Unsicherheit bei den anzuwendenden fehlerbeherrschenden Maßnahmen

5. Probleme in der Anwendung der Fehlermodelle

6. Meistens wird der TÜV „zu spät“ eingeschaltet (Geräte bereits fertig entwickelt)

Checkliste zum Planen

Rechtzeitig den TÜV „einschalten“ – bereits in der Konzeptphase (ein gutes, geprüftes Konzept spart viel Geld und Zeit). Frühzeitig den Safety Plan aufstellen:

•Wer macht was, wer ist wofür verantwortlich?

•Wie wird mit den Projektinformationen umgegangen?

•Wie wird jedem die Information zur Verfügung gestellt? (insbesondere bei mehreren Firmen oder FTP-Servern usw.)

•Schulung der Mitarbeiter (Entwickler, Marketing und Management)

•Verinnerlichung des Sicherheitsgedankens

•Betrachtung aller relevanten Normen.

Safety - Die Serie und die Folgen

Teil 1: Normen als Stand der Technik – die Entwicklungen der Maschinensicherheit und die Auswirkungen, Heft 1 – 2006, S. 32–35

Teil 2: Die drei Standards der Maschinensicherheit: EN ISO 13849, IEC 61508 und IEC 62061 – Ausblick und Entwicklungstendenzen, Heft 5, S. 26–31

Teil 3: Erfahrungen und Hilfestellungen bei der entwicklungsbegleitenden Typprüfung – Sicherheit im Spannungsfeld zwischen prEN ISO 13849 (EN 954-1), IEC 61508 und IEC 62061

Teil 4: prEN ISO 13849-1, IEC 61508 und IEC 62061 – Was brauche ich, was bekomme ich? Welche Informationen benötigt der Anwender? Welche Angaben muss der Hersteller bereitstellen?

*Thomas Gantevoort und Dipl.-Ing. Thomas Steffens sind Fachreferenten des TÜV Functional Safety Program bei der TÜV Rheinland Industrie Service GmbH der TÜV Rheinland Group, Köln.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 178276 / Projekt- & Qualitätsmanagement)