Startet ein Unternehmen damit, sichere Komponenten, Geräte oder Systeme zu entwickeln, so findet die Ausbildung der ersten Safety-Experten häufig mehr oder weniger zufällig statt. Oft findet sich jemand, der sich aus Interesse oder Veranlagung des Themas annimmt und mit der Zeit durch das Studium der Normen, Schulungen, Diskussionen mit Prüfern etcetera  zum „Experten“ entwickelt. Mit der Zeit nehmen aber die Aufgaben zu, die Safety-Projekte sind irgendwann durch eine einzelne Person nicht mehr zu betreuen. Es stellt sich die Aufgabe, die „Safety-Verantwortung“ auf mehrere Schultern zu verteilen. Und damit stellt sich die Frage: Wie lässt sich Safety-Kompetenz aufbauen?

Was ist Kompetenz?

Diese Frage ist nicht leicht zu beantworten: Welche Kriterien muss jemand erfüllen, um als kompetent zu gelten? Und wie lässt sich Kompetenz nachweisen?
Kompetenz setzt sich zusammen aus Qualifikation und Erfahrung. Das bedeutet, dass man nicht allein durch seine Schulbildung, einen Studienabschluss sowie gegebenenfalls besuchte Lehrgänge kompetent wird. Erfahrungen erwirbt man durch Ausführung von Projekten im angestrebten Kompetenzbereich. Hinzu kommen erforderliche Soft Skills wie Kommunikationsgeschick und Lösungsorientiertheit.

Diese Artikelserie konzentriert sich jedoch auf die technische Kompetenz. Solange man noch keine Expertin oder kein Experte ist, benötigt man einen Mentor. Ein Mentor ist eine kompetente und erfahrene Person, die einer unerfahrenen Person, dem Mentee, fachliches Wissen und Erfahrungen vermittelt, ihn bei der Ausbildung begleitet und die Arbeitsergebnisse überwacht. Gemäß dem Kompetenzmodell des TÜV Rheinlands setzt sich die Kompetenzbildung anteilig wie folgt zusammen:

• 10 % Lernen durch Anleitung, zum Beispiel durch Schulungen und Bücher
• 20 % Lernen durch Andere, sprich: durch Mentoren oder Kollegen
• 70 % Lernen durch Erfahrung, beispielsweise durch Mitarbeit an Projekten, Arbeiten an herausfordernden Aufgaben oder ähnliches.

Bevor wir nun darüber sprechen, wie wir Kompetenz erreichen, gilt es zunächst das Fachgebiet zu beschreiben, um das es hier geht. 

Was ist Funktionale Sicherheit?

Funktionale Sicherheit oder auch Safety wird immer dort verlangt, wo eine Risikoanalyse eine Gefährdung für Mensch beziehungsweise Umwelt oder Anlage identifiziert hat, die durch technische Maßnahmen gemindert werden soll. Typische Gefährdungen im industriellen Umfeld sind beispielsweise die Bewegungen einer Maschine, die einen Menschen verletzen oder gar töten können, oder das Bersten eines Druckkessels. Aber auch in der Mobilität spielt Funktionale Sicherheit eine wesentliche Rolle: So darf der elektrische Antrieb eines Autos oder auch eines E-Bikes nicht ungewollt plötzlich sein maximales Drehmoment aufbauen, denn ein Unfall wäre dann in vielen Fällen unvermeidbar.

Ein ermitteltes Risiko muss auf ein gesellschaftlich akzeptables Restrisiko reduziert werden. Sofern in vernünftiger Weise möglich, müssen hierbei zunächst konstruktive Maßnahmen angewandt werden, zum Beispiel, indem eine Maschine hinter einer Absperrung installiert wird. Sind solche konstruktiven Maßnahmen nicht sinnvoll umsetzbar, so müssen technische Maßnahmen zur Risikoreduktion eingesetzt werden. Das können beispielsweise Sensoren sein, die erkennen, wenn sich ein Mensch der Gefahrenquelle nähert, woraufhin die Gefährdung, zum Beispiel die Maschine, angehalten wird.

Die internationale Norm IEC 61508 formuliert Anforderungen an solche technischen Sicherheitsmaßnahmen in Abhängigkeit von dem jeweils zu reduzierenden Risiko. Eine Vielzahl von anwendungsspezifischen Sicherheitsnormen setzt diese Anforderungen für die unterschiedlichsten Branchen um. Rechtliche Vorschriften wie die Maschinenrichtlinie oder die Medizinprodukteverordnung „harmonisieren“ solche anwendungsspezifischen Sicherheitsnormen, d.h., es gilt die Annahme, dass wenn die Sicherheitsnormen eingehalten werden, auch die Sicherheitsziele der Richtlinie oder Verordnung erfüllt sind. 

Anhand eines Beispiels lassen sich Risiko und entsprechende risikomindernde Maßnahmen erläutern:

Risiko: Ein Roboter könnte einen Mensch verletzen oder gar töten. Eine Risikoanalyse gemäß der anzuwendenden Sicherheitsnormen ergibt eine notwendige Risikominderung von SIL2/PLd.

Risikomindernde Maßnahme: Der Zugang zum Roboterarm wird abgesichert. Dazu verwendet man einen Lichtvorhang. Wird der Lichtvorhang unterbrochen, muss der Roboterarm innerhalb der Zeit, die der Mensch benötigt, um ihn zu erreichen, zum Stillstand kommen. Das identifizierte Sicherheitslevel erfordert dabei, dass die Komponenten, die zur Realisierung dieser Sicherheitsfunktion beitragen, weniger als einmal in 100 Jahren versagen dürfen. 

Jede Komponente, die im Rahmen dieser Sicherheitsfunktion verwendet wird, muss also „mit Sicherheit funktionieren“. Weder zufällige Fehler (von HW-Bauteilen mit bestimmten Ausfallwahrscheinlichkeiten) noch systematische Fehler (die meist bereits in der Entwicklung des Systems oder der Komponenten geschehen) dürfen zu einem gefährlichen Versagen des Systems führen. Gelöst wird das in der Regel unter anderem durch Redundanz und kontinuierliche Überwachung im Betrieb. Wenn beispielsweise ein Microcontroller nicht mehr funktioniert, muss das System trotzdem einen sicheren Zustand einnehmen. 

Welche Kompetenzen werden für Safety benötigt?

Unbestreitbar ist: Funktionale Sicherheit ist kein „Nice to have“, sondern eine Notwendigkeit, um Mensch und Umwelt vor Schaden zu schützen. Die IEC 61508 fordert deshalb, dass alle an der Entwicklung eines funktional sicheren Systems beteiligten Personen ausreichend für Ihr Tätigkeiten qualifiziert sind.
Die Entwicklung eines funktional sicheren Systems beinhaltet eine Vielzahl unterschiedlicher Tätigkeiten, für die entsprechende Kompetenzen vorhanden und nachweisbar sein müssen:

• Management der Funktionalen Sicherheit:
  • Erstellen und Bewerten von Sicherheitsanforderungsspezifikationen (ggf. auf Basis einer Risikoanalyse)
  • Erstellen und Bewerten eines Sicherheitskonzeptes
  • Erstellen und Bewerten von Hardware- und Software-Konzepten
     
• Hardware/Software Design:
  • Anwenden der normativen Maßnahmen zur Vermeidung von Fehlern
  • Erkennen von allen anzunehmenden Fehlern in einem Hardwaredesign
  • Konzipieren und Implementieren von Redundanz und Diagnosen zur Beherrschung dieser Fehler
     
• Berechnung der Sicherheitstechnischen Kenngrößen
• Verifizierung aller Entwicklungsschritte und Ergebnisse
• Validierung des kompletten Produktes, Systems oder der Anwendung gegen die Eingangsspezifikation

Level der Kompetenz

Kompetenzlevel sind nicht in einer Norm definiert. Generell ist ein Drei-Stufen-Modell hilfreich, dem auch das TÜV Rheinland Functional Safety Trainingsprogramm folgt:

• FS-Mitarbeiter in Ausbildung (FS-IA) – wenig Wissen und Erfahrung
• FS-Engineer – viel Wissen und Erfahrung
• FS-Experte – sehr viel Wissen und Erfahrung

Voraussetzung für die kompetente Mitarbeit in einem Entwicklungsprojekt der Funktionalen Sicherheit ist ein Studienabschluss in Elektrotechnik oder eine vergleichbare berufliche Qualifikation. Der FS-Mitarbeiter in Ausbildung arbeitet unter Anleitung in FS-Projekten mit. Das heißt, ein FS-Experte erklärt ihm die normativen Anforderungen für sein jeweiliges Arbeitspaket und überprüft das Arbeitsergebnis. Indem er auf solche Weise praktische FS-Erfahrung sammelt, bekommt der FS-Mitarbeiter in Ausbildung Schritt für Schritt ein Gefühl für die grundlegenden Anforderungen der Funktionalen Sicherheit.

Im TÜV Rheinland Functional Safety Trainingsprogramm ist der entscheidende Schritt zum FS-Engineer eine mehrtägige Schulung, welche die wesentlichen Inhalte der Basisnorm IEC 61508 vermittelt. Abgeschlossen wird die Schulung durch eine anspruchsvolle, mehrstündige Prüfung. Voraussetzung für das Zertifikat ist außerdem die Mitarbeit in FS-Projekten während der zurückliegenden drei Jahre. Nur auf Basis eigener Projekterfahrung gelingt es, die Schulungsinhalte in die praktische Umsetzung einzuordnen. Prinzipiell kann der FS Engineer eigenständig in FS-Projekten mitarbeiten. Seine wichtigste Fähigkeit dabei bleibt aber zunächst, die Grenzen seines eigenen Wissens zu kennen, und sich – wann immer erforderlich – Rat bei einem FS-Experten zu holen.

Dr. Martin Lange ist Leiter des Fachbereichs Funktionale Sicherheit bei embeX.

© embeX

Voraussetzungen für den Titel des FS-Experten sind im genannten Trainingsprogramm mindestens acht Jahre praktische Mitarbeit in FS-Projekten, fundierte FS-Kompetenz, die der Kandidat durch eine einzureichende Fall-Studie oder durch Veröffentlichungen in Fachzeitschriften und auf Fachkonferenzen dokumentiert. Im Unternehmen ist es am Ende eine Frage der persönlichen Einschätzung und des Vertrauens, wer als FS-Experte akzeptiert und angesehen wird.

Der FS-Experte soll in der Lage sein, schnell und zielsicher die neuralgischen Punkte im Konzept, im Design und den angewandten Prozessen eines FS-Projekts zu erkennen. Dabei trägt er einerseits die Verantwortung für die Sicherheit des Entwicklungsgegenstands, wobei auch für den FS-Experten gilt: alles, was er konzipiert, entwirft, entwickelt oder dokumentiert, muss begutachtet, getestet und geprüft werden. Andererseits ist er auch für die Wirtschaftlichkeit der umgesetzten Lösungen verantwortlich, denn: „Sicherheit, die keiner kauft, macht unsere Welt nicht sicherer.“