Was ist Funktionale Sicherheit
In unserem regulierten Zeitalter ist es als Entwickler kaum mehr möglich, an der Funktionalen Sicherheit, kurz FuSi, vorbei zu kommen. Egal ob in der Maschinenindustrie, der Medizintechnik, der Automobilindustrie oder der Bahntechnik; in allen Branchen taucht sie auf und nimmt einen wichtigen Stellenwert ein.
Für viele Entwickler ist Funktionale Sicherheit gleichgestellt mit Normen wälzen und sich herumschlagen mit Zertifizierungen. Doch FuSi ist etwas ganz anderes, etwas viel fundamentaleres. Etwas, was jeder Entwickler eigentlich schon kann und meist (in gewissem Masse) bereits anwendet!
Funktionale Sicherheit kurz erklärt
Was FuSi ist, lässt sich in einem kurzen Satz zusammenfassen:
Dem kurzen Satz muss jedoch eine Erläuterung nachgeschoben werden, denn die FuSi besagt auch gleich das Was, Wann und Wie:
Daraus ist klar, dass jeder Entwickler, der Entwicklungsprozesse befolgt, Überwachungen implementiert und klare, sichere Zustände definiert, bereits FuSi anwendet. Denn alles sind Instrumente, die im Entwickleralltag längst normal sind. Ohne Sie würde Chaos herrschen, Wiederverwendbarkeit ein Fremdwort und Fehlerbehebung ein Alptraum sein – kein Entwickler kann ruhig schlafen ohne für sein Produkt diese Instrumente angewendet zu haben!
Grundsätzlich kann nun jeder seine eigene FuSi definieren, denn die Grundinstrumente besitzen wir bereits. Nun kommen aber doch die Normen ins Spiel. Schliesslich braucht es eine Richtlinie für angemessene Prozesse, ein Mindestmass an Überwachung und klaren sicheren Zuständen. Und noch viel wichtiger: eine Legitimation für den Entwickler trotz Zeit- und Budgetdruck sauber und sicher arbeiten zu können.
Das Prinzip der FuSi-Normen
Das Prinzip sämtlicher FuSi-Normen ist einfach und in vier Schritten erklärt:
Als Entwickler muss ich für eine erfolgreiche FuSi also folgende Schritte befolgen:
- Die Risikoanalyse durchführen und die Risiken und Sicherheitsfunktionen definieren.
- Basierend auf den Risiken einen erforderlichen Level ermitteln.
- Die vom Level definierten Anforderungen an Architektur, Sicherheitsfunktionen und Dokumentation umsetzen.
- Mittels Bewertung den erreichten Level ermitteln.
Nach erfolgreicher FuSi muss der erreichte Level gleich (oder grösser) als der erforderliche Level sein.
Erfolgreiches Entwickeln mit dem Sicherheitslebenszyklus
Die Schritte der Normen sind immer noch relativ abstrakt und so noch schlecht in einen Projektplan einzugliedern. Für die Entwicklung wird deshalb der Sicherheitslebenszyklus zum Tragen kommen:
Weiter verallgemeinern lässt sich leider kaum, denn die Schritte im Detail sind abhängig von der Norm die angewendet werden muss.
Wichtigste FuSi-Normen
Die Mutter aller FuSi-Normen ist die EN/IEC 61508. Sie ist sozusagen der direkte Vorfahre für die FuSi in den bekannten Normen der Automobilindustrie (ISO 26262), der Medizintechnik (IEC 62304) , der Bahntechnik (EN 50128) oder der Prozessindustrie (IEC 61511).
Ein Sonderfall stellt die Maschinen Industrie dar. Bei ihr gilt neben der EN/IEC 61508 auch die EN ISO 13849, welche kein direkter Nachkomme der EN/IEC 61508, sondern eher ein entfernter Verwandter ist.
Kurzgesagt, sind die beiden Normen EN/IEC 61508 und EN ISO 13849 für den Entwickler relevant. Die Normen unterscheiden sich in zwei wichtigen Punkten:
Vor allem das vereinfachte Verfahren der EN ISO 13849 macht diese Norm und somit die FuSi für Entwickler zugänglich, Einfach und Verständlich.
SIL und PL kurz erklärt
Die beiden Level-Definitionen der Normen EN/IEC 61508 und EN ISO 13849 sind so essentiell und so tief in der FuSi verankert, dass jeder Entwickler sich damit beschäftigt haben muss. Hier das Wichtigste in Kürze:
- Die Levels stellen eine Masseinheit der Risikominderung dar. Konkret heisst das:
Je höher der Level, desto geringer ist das Rest-Risiko und desto höher sind die Anforderungen.
- Safety Integrity Level, kurz SIL, ist aus der EN/IEC 61508 (und deren Derivaten) und definiert sich in 4 Stufen:
SIL wird von 1 bis maximal 4 definiert.
- Der Performance Level, kurz PL, ist aus der EN ISO 13849 und definiert sich in 5 Stufen:
PL wird von a bis maximal e definiert.
- Die beiden Levels entsprechen einander ziemlich gut, trotzdem darf keine direkte Transformation gemacht werden – es benötigt immer einen zusätzlichen Aufwand. Grundsätzlich gilt:
- Neben der Einteilung braucht es ein Verständnis dafür, was bei welchem Level gefordert wird:
Fazit
Es kann also kein Entwickler behaupten, noch nie FuSi angewendet zu haben – auch wenn es seine eigene FuSi-Definition war. FuSi nach Normen bedeutet zwar mehr Aufwand, ist aber nicht nur für das Produkt, sondern auch für den Entwickler, den Projektleiter und die Firma ein perfektes Instrument um anständige und sicherer Produkte zu kriegen.