Der folgende Text ist aus dem Vorwort zu unserem HANDBUCH FÜR SICHERHEIT ELEKTRONISCHER STEUERUNGEN: Er erläutert die von uns begangenen NEUEN WEGE ZUR ERFÜLLUNG DER EN-13849-1 (das Handbuch ist zur Zeit noch in der Entstehungsphase):

Die seit 2011 gültige Sicherheitsnorm EN ISO 13849-1 stellt ein Werkzeug zur einfachen Abschätzung der funktionalen Sicherheit dar und gibt damit dem Konstrukteur von Sicherheitsrelevanten Steuersystemen klare Regeln für deren Entwurf. Dafür gibt es zahlreiche Anleitungen, die dem Anwender helfen, mit den Begriffen und Abschätzungen zurecht zu kommen. In diesem Werk wird keine zusätzliche Anleitung in dieser Hinsicht gegeben.

Die Kompetenz der Normensetzer zeigt sich in einer einfachen Darstellung aller Sicherheitsaspekte von unterschiedlich strukturierten Funktionskanälen sowie Test- bzw. Sicherheitseinrichtungen mittels einer Grafik (Bild 5 der Normenschrift).

Diese Grafik kann nun verhältnismäßig leicht - und damit ist gemeint: ohne komplizierte Berechnung diverser Kenngrößen - auch von Nicht-Experten angewendet werden.

Weiterhin endet das erreichbare Sicherheits-Niveau der vorgeschlagenen Sicherheitsstrukturen bei zwei, mit Testeinrichtungen versehenen Kanälen. Es ist also auf die Abhandlung 2-kanaliger Steuersysteme mit Vergleicherstrukturen verzichtet worden.

Dieser Vorteil hat seinen Preis (seine Nachteile):

In der Grafik (Bild 5 der Norm), die von Fachleuten sorgfältig erstellt worden ist, verbergen sich natürlich vereinfachungsbedingte Überschlagsrechnungen, die wegen der Brisanz der Beherrschung von Todesrisiken sicherlich mit großzügigen Sicherheitsabschlägen versehen worden sind.

Dies ist nicht nur eine aus dem grundsätzlichen Zusammenhang zu vermutende Theorie. Diese Aussage stützt sich z.B. auch auf die in Anhang D vorgestellte Berechnung des "Vereinfachten Verfahrens zur Bestimmung der MTTFd für jeden Kanal".

Wie der Titel dieses Anhangs D schon sagt, hat diese Darstellung nichts mit einer realitätsnahen Berechnung der Gesamtausfallrate (in Bezug auf sicherheitsrelevante Fehler) zu tun.

Die Konsequenz aus dieser Tatsache ist nun aber, dass - wegen der Sicherheitsabschläge - das Ergebnis den anwendenden Konstrukteur zwingt, wesentlich mehr Sicherheiten einzubauen, als dies eine realitätsnahe Berechnung erfordern würde. In einigen Fällen führt die konsequente Anwendung der Norm zu dem Ergebnis, dass für eine komplexe elektronische Steuerung, deren Komplexität nun einmal von den zu bewältigenden Steuerungsaufgaben vorgegeben ist, leider keine Lösung möglich ist: der damit erreichbare Performance-Level reicht oft nicht zum Beherrschen der höchsten Todesrisiken aus. Das ist natürlich bei einer realitätsnahen Berechnung auch irgendwo der Fall – jedoch erst bei größerer Komplexität.

Aus diesen Erkenntnissen ergeben sich weitere Nachteile:

Die auf diese normgemäße Weise entwickelten (Funktions- und) Sicherheitseinrichtungen sind wegen der "eingebauten Sicherheitsabschläge" umständlicher und teurer als realitätsnah berechnete Sicherheitseinrichtungen. Dies ist für Seriensteuerungen u.U. ein beträchtlicher Nachteil.

Deutlich wird dieser Nachteil in der Tatsache des Verzichts auf Darstellung von 2-kanaligen Strukturen mit idealen und nichtidealen (realen) Vergleichern: Wenn man anstelle des Aufwandes für diverse Testeinrichtungen (Hardware + Software) eine Vergleicherstruktur installieren würde, so könnte man bei fast gleichem Serien-Aufwand und gleichen Kosten wesentlich höhere (realitätsnah berechnete) Performance-Levels erreichen. Während die diversen vorgeschlagenen normgemäßen Testeinrichtungen einen „Flickenteppich an Sicherheit“ erzeugen, ist es möglich, mit realen Vergleichern eine umfangreiche Systematik der Erfassung „aller Fehler“ aufzubauen.

Und noch ein erdrückendes ökonomisches Argument drängt sich als Nachteil auf:

Wer die Norm gelesen hat und zu den Passagen der Softwareprüfung gelangt ist, den erfasst das ungute Gefühl, dass hier das wahre Problem für Serienlieferanten schlummert. Zwar ist die Hardware-Auslegung einfach berechenbar gemacht worden - aber der Aufwand für die Software ist mit steigendem Risiko so hoch, dass man davon ausgehen kann, dass bei einer Softwareänderung in der laufenden Serie die Testzeiten für Software so groß werden, dass möglicherweise schon die nächste Änderung gewünscht ist, bevor die vorhergehende Änderung in die Serie eingeflossen ist. Auf diese Weise könnte es also passieren, dass ein Hersteller riesige Software-Pflegekosten bewältigen muss - oder gar keine Änderung herausgeben kann.

Der Autor meint, dass die hochgeschraubte Softwareprüfung auch eine Folge der ungenauen Berechnung der Hardwarestrukturen ist. Es wird gezeigt, dass man solche Hardware/Softwarestrukturen mit Vergleichern bauen kann, welche die Hardware und Software beim Betrieb permanent und besser auf korrekte Sicherheitsfunktion mitprüfen. Dadurch wird nur eine geringe Prüfschärfe der Software vor Implementierung erforderlich, die die Time-to-Market-Spanne bei Serienanlauf und Änderungen kurz und bezahlbar hält. Ein derartiges System wird in diesem Werk vorgestellt.

Alle im folgenden Werk vorgeschlagenen Maßnahmen sind Variationen der herrschenden Norm, wobei der "Geist" der Norm nicht verletzt wird, aber ingenieurmäßig ausgestaltete und realitätsnah berechnete Steuersysteme entstehen, ohne die oben genannten Nachteile und Beschränkungen wirksam werden zu lassen. Diese ingenieurmäßige Ausgestaltung ist offensichtlich normenkonform.

Dadurch eingesparte Serienkosten bei Anlauf und Änderungen können so beträchtlich sein, dass die für diesen Zweck einzusetzenden Kosten für Beratung/Schulung der Mitarbeiter in den meisten Fällen keine Rolle spielen werden.

 -----------------------------------------------------------

Das folgende Bild zeigt unsere Überlegungen zur normgerechten Interpretation von System-Ausgangsgrenzen an "Leistungsstellgliedern", womit wir demonstrieren wollen, daß wir uns über alle Zusammanhänge der Steuerungstechnik tiefgreifende Gedanken machen.