Produkte
IEC 61508
 

Entwicklung sicherer Software zertifiziert

Die IEC 61508 ist seit Juli 2001 gültig und hat sich in den letzten Jahren als zentrale Norm für die Sicherheitstechnik durchgesetzt. Zum einen dient die IEC 61508 als Grundnorm für die Implementierung weiterer Anwendungsgebiete wie etwa der IEC 61511 (Prozessindustrie) und der IEC 61800 (Antriebstechnik) und zum anderen kann sie auch selbstständig angewendet werden.
   
 

IEC 61508 - der neue Standard

Die IEC 61508 beschreibt den Sicherheitslebenszyklus und die Anforderungen für elektrische, elektronische und elektronisch programmierbare Systeme (E/E/PES), die eingesetzt werden, um Sicherheitsfunktionen zu erfüllen.

Teil 3 der IEC 61508 definiert eindeutig die Anforderungen für Softwarekomponenten, die Teil von Sicherheitssystemen (E/E/PES) sind, um einen bestimmten Sicherheitsgrad (SIL) zu erreichen. Darunter fallen die folgenden sicherheitsbezogenen Softwarekomponenten:

  • Betriebssysteme
  • Systemsoftware
  • Software in Netzwerken
  • Funktionen für Mensch-Maschine-Schnittstellen
  • Hilfswerkzeuge
  • Firmware
  • Anwenderprogramme

Der Entwicklungsaufwand von Software als Teil eines Sicherheitssystems ist aufgrund der Anforderungen der IEC 61508 und der erforderlichen Zertifizierung jedoch deutlich größer als bei einer Standardentwicklung und setzt spezielles Wissen hinsichtlich des Projektmanagements und der inhaltlichen Realisierung voraus.

Einige Anforderungen der IEC 61508-3 an die Software:

  • Verwendung eines V-Modells (Validierung & Verifizierung)
  • QS-Handbuch (Prozess, Dokumente...)
  • Safety-Requirement-Spezifikation
  • Requirement Tracking
  • Gleichzeitige Entwicklung und Tests
  • Diversitäre oder redundante Struktur
  • Parallele Validierungsmaßnahmen
  • Anforderungsmanagement
  • ... und viele mehr.

KW-Software untestützt die Kategorien SIL2 und SIL3

Inhaltlich ist aufgrund der Applikationen oft die Sicherheits-Kategorie SIL3 relevant, die eine zweikanalige und in den sicherheitsrelevanten Bereichen zumeist diversitäre Softwarestruktur erfordert.  Die erfolgreiche Realisierung einer solchen Softwarestruktur mit den notwendigen Querprüfungen und Synchronisationspunkten setzt eine mehrjährige Erfahrung voraus. Dies gilt auch für Systeme, welche die Sicherheits-Kategorie SIL2 erfüllen müssen. Hinsichtlich der Hardware- und Software-Architektur sind gegenüber der SIL3-Kategorie natürlich Vereinfachungen möglich. Im Bereich der SIL2-Lösungen werden von KW-Software sowohl zweikanalige als auch einkanalige Architekturen vollständig unterstützt.
 
 

 
 

KW-Software: Großes Know-how in der Realisierung von sicherheitsgerichteter Software

Dieses oben beschriebene spezielle Wissen hat KW-Software durch die Zertifizierung des Software-Entwicklungsprozesses nach der IEC 61508 beim TÜV Rheinland als erstes reines Softwareunternehmen und durch die Realisierung von zertifizierten Softwarekomponenten in Kundenprojekten bereits nachgewiesen.

Vorteile für Kunden von KW-Software:

  • schnelle Zertifizierung weiterer sicherer Software, weil der Entwicklungsprozess explizit nicht mehr Bestandteil der Prüfung ist.
  • qualifizierte Entwicklung von sicheren Softwarekomponenten entsprechend des V-Modells der IEC 61508.
 
  • Systemunabhängige Prüfberichte und Zertifizierung der sicherheitsgerichteten Softwarekomponenten, so dass bei neuen Projekten nur die Schnittstellen durch die Zertifizierungsstellen geprüft werden müssen.
  • geprüfte Sicherheitsmechanismen garantieren hohe Qualität der Funktionalität.
   [Zertifikat IEC 61508-Entwicklungsprozess   0,03 MBytes]
   
 

Security Integration Levels (SIL)

Was ist ein SIL?

Mit Security Integration Levels bezeichnet die IEC 61508 die Bereiche (Stufen) für die Ausfallwahrscheinlichkeit von Sicherheitsfunktionen in sicherheitsbezogenen elektrischen, elektronischen und programmierbar elektronischen (E/E/PE) Systemen. Unter einer Sicherheitsfunktion versteht man in diesem Zusammenhang eine Funktion eines E/E/PE Systems zur Risikominderung. Das bedeutet, in Reaktion auf genau definierte Vorfälle muss die Sicherheitsfunktion einen sicheren Systemzustand wahren oder herstellen.

Wichtig: SIL klassifiziert die Eigenschaft der Sicherheitsfunktion und nicht der Komponente bzw. des Systems selbst. Auf die Komponenten von KW-Software übertragen heißt das: Nicht SAFEGRID, SAFEPROG/SafeOS besitzen die Eigenschaft SIL3, sondern diese Komponenten können in Sicherheitsfunktionen von Systemen verwendet werden, die die Bedingungen bis SIL 3 erfüllen sollen.

Bewertung von Softwarekomponenten

In diesem Zusammenhang wird Software wie jede andere Systemkomponente behandelt und das bedeutet: Isoliert betrachtet hat Software keinen SIL. Erst durch die Integration in ein System übernimmt eine sicherheitsbezogene Softwarekomponente den ihr zugedachten Teil einer Sicherheitsfunktion und kann folglich mit einem Security Integration Level klassifiziert werden. Welchen Level die Softwarekomponente erreichen kann, hängt von mehreren Faktoren ab, beispielsweise die Bedingungen ihres Entwicklungsprozesses, Eigenschaften der Implementierung und der Spezifikation, u.v.m.

Der Entwicklungsprozess für sichere Softwarekomponenten von KW-Software ist gemäß IEC 61508 zertifiziert. Wenn also das sichere Programmiersystem SAFEPROG in Kombination mit dem sicheren Laufzeitsystem SafeOS bis SIL 3 einsetzbar ist, so bedeutet dies: SAFEPROG und SafeOS wurden unter Verwendung geeigneter Techniken und Maßnahmen entwickelt, die gewährleisten, dass diese Softwarekomponenten die Anforderungen gemäß SIL 3 hinsichtlich der gefährlichen Versagenswahrscheinlichkeit innerhalb der ihr zugedachten Sicherheitsfunktion erfüllen.
 
 

 
 

Kriterien für die SIL-Einstufung

Für die SIL-Klassifizierung sind mehrere Kenngrößen auszuwerten:

Gefährliche Versagenswahrscheinlichkeit PFD (Probability of Failure on Demand) oder Wahrscheinlichkeit gefährlicher systematischer Ausfälle der Sicherheitsfunktion.
  Hardware-Fehlertoleranz HFT: definiert die Güte der Sicherheitsfunktion.
  • HFT 0: Einkanalige Verwendung, in der ein Fehler den Verlust der Sicherheit zur Folge haben kann.
  • HFT 1: Redundanz verfügbar. Sicherheitsverlust nur bei gleichzeitigem Auftreten von mindestens zwei Fehlern.
  • HFT 2: Doppelte Redundanz. Sicherheitsverlust nur bei gleichzeitigem Auftreten von mindestens drei Fehlern.
 
   
 

Safe Failure Fraction, SFF:

Prozentualer Anteil der "sicheren Fehler". Der Wert gibt den Anteil ungefährlicher Ausfälle im Verhältnis zu den gefährlichen, d.h. sicherheitstechnisch bedenklichen Ausfällen an.
  SFF = 80% bedeutet: Nur 20 von 100 auftretenden Fehlern sind hinsichtlich der Sicherheitsfunktion des Systems bedenklich.

Der tatsächlich ausgewiesene Security Integration Level bezieht sich nach allen Prüfungen auf den schlechtesten erreichten Wert, sozusagen das schwächste Glied der Sicherheitskette. Beispiel: Für eine Komponente lässt der ermittelte PFD eine Klassifizierung bis SIL3 zu. Ein SFF von 60 bis 99% und HFT 0 (einkanalige Ausführung) erzwingen jedoch die Einstufung in SIL2.

SafeOS für SIL2 oder SIL3

Das sichere diversitäre Laufzeitsystem SafeOS von KW-Software ist in Verbindung mit der entsprechenden diversitären oder redundanten Hardware eingestuft bis SIL3. Wird eine SIL2-Lösung gefordert, so reicht bei bestimmten zusätzlichen Maßnahmen (Hardware-Watchdog, separater Abschaltpfad) eine einkanalige Hardwareplattform in Verbindung mit einem ebenfalls nur einkanaligen SafeOS.
 
   
 
[Druckversion] [Seite weiterempfehlen] [nach oben]
Adresse
KW-Software GmbH
Lagesche Straße 32
32657 Lemgo
Tel.: +49 (0) 52 61 / 93 73-0
 info@kw-software.com
Sie sind hier
Homepage
Produkte
SAFETY
Quick Links
Ansprechpartner
Informationsanfrage
Demo-Software
Firmen-Profil