Ausfallsicherheit

Ausfallsicherheit ist eine Entwurfsphilosophie, die sicherstellt, dass Systeme bei Störungen automatisch in einen sicheren Zustand übergehen, Risiken verringern und Leben sowie Vermögenswerte in kritischen Branchen schützen.

Safety Engineering System Design Risk Management Industrial Automation
Kontaktieren Sie uns Beratung anfordern

Ausfallsicherheit: Definition

Ausfallsicherheit ist ein grundlegendes Konzept im Sicherheitsingenieurwesen und beschreibt ein System oder eine Komponente, die so ausgelegt ist, dass sie bei einem Fehler in einen Zustand übergeht, der Gefährdungen beseitigt oder minimiert. Dieses Prinzip stellt sicher, dass das System beim Erkennen eines Fehlers oder Kontrollverlusts in einen vordefinierten sicheren Zustand wechselt, um Menschen, Sachwerte und Umwelt zu schützen. Die Ausfallsicherheitsphilosophie unterscheidet sich von Ausfallssicherheit (die Sicherheit priorisiert) und Fehlertoleranz (die den Weiterbetrieb ermöglicht); ihr einziges Ziel ist die Sicherheit.

Ausfallsicherheit im Sicherheitsingenieurwesen

Der ausfallsichere Entwurf akzeptiert, dass Fehler unvermeidbar sind, und stellt proaktiv sicher, dass deren Folgen minimiert werden. In der Luftfahrt sind beispielsweise ausfallsichere Prinzipien in Flugsteuerung, Avionik, Fahrwerk und elektrische Systeme integriert, wie es von ICAO- und FAA-Sicherheitsvorschriften gefordert wird. In der Kerntechnik sorgt ausfallsichere Logik dafür, dass Reaktoren bei Steuerungsfehlern schnell abgeschaltet werden (SCRAM). Medizinische Geräte nutzen Ausfallsicherheitsmechanismen, um unsichere Therapien zu stoppen. Industrielle Automatisierung, Eisenbahnen und Fahrzeugsysteme greifen ebenfalls auf ausfallsicheren Entwurf zurück, um die Eskalation von Gefahren zu verhindern.

Ausfallsicherheitsanforderungen und -methoden sind in internationalen Normen wie IEC 61508 (funktionale Sicherheit), ISO 13849 (Maschinen) und DO-178C (Luftfahrtsoftware) festgelegt. Diese Rahmenwerke leiten die Identifikation von Fehlerursachen und die Umsetzung von Mechanismen (Redundanzen, Verriegelungen, Watchdog-Timer) an, die bei Fehlern ein sicheres Ergebnis gewährleisten.

Kerneigenschaften und Vorteile ausfallsicherer Systeme

Kerneigenschaften

  • Rückkehr in sicheren Zustand: Kritische Geräte (Ventile, Aktoren, Leistungsschalter) kehren bei Strom- oder Steuerungsausfall in eine ungefährliche Position zurück (z. B. Fahrwerk fällt beim Flugzeug durch Schwerkraft aus).
  • Fehlererkennung und Diagnostik: Selbsttests, Sensorvergleich und Watchdog-Timer überwachen ständig auf Anomalien und lösen bei Bedarf den Übergang in den sicheren Zustand aus.
  • Redundanz und Diversität: Mehrere unterschiedliche Komponenten oder Subsysteme verhindern Einzel- oder Kollektivausfälle (z. B. dreifach redundante Flugsteuerungscomputer).
  • Systematische Neukonfiguration: Automatische Isolierung oder Abschaltung nur betroffener Subsysteme oder vollständiger System-Übergang in den sicheren Zustand bei erkannten Fehlern.
  • Normenkonformität: Entwicklung und Validierung gemäß branchenspezifischer Normen (IEC 61508, ISO 13849, DO-178C).

Vorteile

  • Risikominderung: Verhindert, dass Fehler zu katastrophalen Ereignissen führen.
  • Gesetzliche Konformität: Erfüllt gesetzliche und branchenspezifische Sicherheitsanforderungen.
  • Zuverlässigkeit: Vorhersehbares, sicheres Systemverhalten im Fehlerfall.
  • Schutz von Personen und Umwelt: Verringert das Risiko für Nutzer, Unbeteiligte und Umwelt.
  • Betriebskontinuität: Ermöglicht ggf. kontrollierte Abschaltung oder Teilfunktion, was die Wiederherstellung vereinfacht.

Herausforderungen und Überlegungen

  • Komplexität und Kosten: Zusätzliche Hardware, Diagnostik und Validierung erhöhen Entwicklungs-, Wartungs- und Testaufwand.
  • Fehlalarme/ungewollte Auslösungen: Zu empfindliche Auslöser können unnötige Abschaltungen oder Übergänge verursachen.
  • Validierung: Umfassende Tests aller möglichen Fehlerfälle sind ressourcenintensiv.
  • Kollektivausfälle: Redundanz kann durch gemeinsame Schwachstellen ausgehebelt werden; vielfältige Ansätze sind notwendig.
  • Menschliche Faktoren: Schnittstellen und Notfallverfahren müssen intuitiv sein, um Bedienfehler mit Sicherheitsfolgen zu verhindern.
  • Wartung: Laufende Inspektionen und Tests sind essenziell; degradierte Ausfallsicherheitsmerkmale können falsche Sicherheit suggerieren.
  • Restrisiko: Nicht alle Risiken werden beseitigt; ergänzende Sicherheitsmaßnahmen bleiben wichtig.

Best Practices für ausfallsicheren Entwurf

  • Redundanz und Diversität: Nutzung mehrerer, unabhängiger und unterschiedlicher Sicherheitswege.
  • Gefahren- und Betriebsanalysen: Anwendung von FMEA und FTA zur systematischen Analyse von Fehlerquellen und Folgen.
  • Konstruktion sicherer Ruhezustände: Aktoren und Relais so spezifizieren, dass sie in der sichersten Position ausfallen (normal offen/geschlossen).
  • Robuste Diagnostik: Zuverlässige Hard-/Software-Prüfungen und klare Kriterien für Übergänge in den sicheren Zustand implementieren.
  • Unabhängigkeit: Sicherheitskritische Logik physisch und logisch von Nicht-Sicherheitsfunktionen trennen.
  • Regelmäßige Tests: Periodische Überprüfung aller Ausfallsicherheitsmechanismen planen und durchführen.
  • Dokumentation: Klare, zugängliche Dokumentation von Entwurf, Validierung und Wartung pflegen.
  • Schulung: Alle relevanten Personen in Betrieb und Notfallverfahren ausfallsicherer Systeme unterweisen.
  • Kollektivausfälle mindern: Separate Verkabelung, verschiedene Lieferanten und unabhängige Stromversorgung nutzen.
  • Einhaltung von Normen: Orientierung an IEC 61508, ISO 13849, DO-178C, EN 50126 und weiteren relevanten Standards.

Systemarchitektur und technische Umsetzung

Redundanz

  • Simplex: Einzelweg mit Basisdiagnostik – setzt auf schnelle Abschaltung.
  • Duplex/Multiplex: Zwei (Duplex) oder mehr (Triplex, Quad) unabhängige Kanäle (z. B. dreifache Flugsteuerungscomputer).
  • Diversität: Kombination verschiedener Technologien oder Lieferanten zur Vermeidung gemeinsamer Schwachstellen.

Diagnostik

  • Sensorvalidierung: Abgleich und Filterung redundanter Sensordaten.
  • Aktorenüberwachung: Rückmeldungen und Umgehungsprüfungen zur Funktionsbestätigung.
  • Hardware-Gesundheitsüberwachung: Watchdog-Timer, Selbsttests und Einschalt-Diagnostik.
  • Kommunikationsintegrität: Paritätsprüfung, CRC und Heartbeat-Signale zur Überwachung von Datenverbindungen.
  • Strom-/Signalausfälle: Verwendung ausfallsicherer Aktoren (Federkraft-Rückstellung, Schwerkraftauslösung).

Sicherheitsgeräte und Verriegelungen

  • Not-Aus (E-Stop): Fest verdrahtete, manuelle Überbrückung, die Gefahren sofort stoppt.
  • Sicherheitsverriegelungen: Verhindern gefährliche Zustände, sofern nicht alle Bedingungen erfüllt sind.
  • Zertifizierte Sicherheitssteuerungen: Geräte mit integrierter Redundanz und Diagnostik, zertifiziert nach Normen wie IEC 61508.

Anwendungsfälle und Praxisbeispiele

Luftfahrt

Ausfallsicherer Entwurf ist für Flugsteuerung, Fahrwerk und Avionik vorgeschrieben. Hydraulikkreise sind dreifach redundant; das Fahrwerk fährt bei Stromausfall durch Schwerkraft aus; Avionik nutzt Abstimmungslogik und Watchdogs. Regulatorische Vorgaben: ICAO Annex 8, FAA AC 25.1309.

Fertigung & Industrie

Roboter verfügen über Verriegelungen und Not-Aus; Förderbänder stoppen durch Stau-Erkennung; Lichtschranken unterbrechen bei Gefahr die Bewegung.

Automobil

Airbags und Stabilitätskontrolle schalten bei Fehlern in sichere oder deaktivierte Modi.

Medizinische Geräte

Infusionspumpen stoppen bei abnormalen Flüssen; Herzschrittmacher wechseln bei Ausfall der Erkennung in einen sicheren Modus.

IT/Rechenzentren

RAID-Arrays gewährleisten Datenzugang bei Festplattenausfall; USV-Systeme übernehmen die Stromversorgung bei Netzausfall.

Kernenergie

Mehrere unabhängige Abschaltsysteme (SCRAM) mit redundanter Energieversorgung und verschiedenen Mechanismen.

Eisenbahnen

Automatische Bremsung bei Signalverlust; relaisbasierte Schaltungen ausfallsicher konstruiert.

Haushaltsgeräte

Temperatursicherungen, Überdruckventile und automatische Abschaltungen verhindern Brand oder Explosion.

Praktische Beispiele Tabelle

BrancheSzenarioAusfallsicherheitsmerkmal
AufzügeStromausfallKabine hält am nächsten Stock, Türen öffnen sich
FertigungNot-Aus betätigtStromzufuhr unterbrochen, Maschine stoppt
AutomobilBremsdruckverlustFederspeicherbremse aktiviert sich
Medizinische GerätePumpe erkennt VerstopfungInfusion gestoppt
IT/RechenzentrenServer überhitztAutomatische Abschaltung
LuftfahrtAusfall des FlugcomputersBackup-System übernimmt
EisenbahnenSignalverlust zum ZugAutomatische Bremsung

Verwandte Konzepte

  • Fehlertolerante Systeme: Betrieb auch bei Fehlern, oft durch Redundanz.
  • Safety Integrity Level (SIL): Bewertet Risikominderung, wie in IEC 61508 definiert.
  • Not-Aus (E-Stop): Hardwareknopf zum sofortigen Stoppen gefährlicher Vorgänge.
  • Sicherheitsverriegelung: Verhindert unsichere Zustände, solange Bedingungen nicht erfüllt sind.
  • Redundanz: Doppelte oder verschiedene kritische Komponenten/Funktionen.
  • Diagnostik: Routinen zur Fehlererkennung und -isolierung.
  • Watchdog-Timer: Hardware-Timer, der bei fehlender Rücksetzung ein Reset oder den sicheren Zustand auslöst.
  • Kollektivausfall: Gleichzeitige Fehler durch eine gemeinsame Schwachstelle.

Zusammenfassungstabelle: Ausfallsicherheits-Elemente

ElementBeschreibungBeispiel
Sicherer ZustandSystemzustand nach FehlerStrom aus, Bewegung gestoppt
FehlererkennungIdentifikation von FehlernWatchdog-Timer, Selbsttest
NeukonfigurationSystemanpassung zur Aufrechterhaltung/Erreichung des sicheren ZustandsSchließen aller Ventile
RedundanzDoppelte/verschiedene Komponenten für kritische AufgabenDoppelte Sensoren, Backup-SPS
DiagnostikÜberwacht und meldet FehlerGesundheitsüberwachungs-Dashboards
KonformitätErfüllt SicherheitsnormenIEC 61508, ISO 13849
WartungGeplante Tests, Kalibrierung, InspektionRegelmäßige Not-Aus-Funktionstests

Weiterführende Informationen und Quellen

  • IEC 61508 – Funktionale Sicherheit elektrischer/elektronischer/programmierbarer elektronischer sicherheitsbezogener Systeme
  • ISO 13849 – Sicherheit von Maschinen
  • ICAO Annex 8 – Lufttüchtigkeit von Luftfahrzeugen
  • DO-178C/DO-254 – Software/Hardware in Luftfahrtsystemen
  • Was ist Ausfallsicherheit? – ITU Online IT Training

Durch die Anwendung von Ausfallsicherheitsprinzipien und die Einhaltung relevanter Normen können Organisationen Gefahren deutlich verringern und die Sicherheit von Menschen, Vermögenswerten und Umwelt in kritischen Branchen gewährleisten.

Häufig gestellte Fragen

Was ist der Unterschied zwischen Ausfallsicherheit und Ausfallssicherheit?

Ausfallsichere Systeme wechseln bei Fehlern in einen Zustand, der Sicherheitsgefahren minimiert (z. B. Entriegeln einer Tür für den Notausstieg), während ausfallssichere Systeme auch bei Fehlern gesichert und verriegelt bleiben, um unbefugten Zugriff zu verhindern.

Können ausfallsichere Mechanismen alle Risiken ausschließen?

Nein. Ausfallsichere Systeme reduzieren Risiken erheblich, beseitigen sie jedoch nicht vollständig. Restgefahren bleiben aufgrund unvorhergesehener Fehlerarten, menschlicher Fehler oder externer Einflüsse bestehen. Ergänzende Maßnahmen wie Notfallplanung und Schulungen sind unerlässlich.

Wie oft sollten ausfallsichere Systeme getestet werden?

Die Testhäufigkeit hängt von Kritikalität, Vorschriften und Umgebung ab. Luftfahrtsysteme werden bei jedem Wartungszyklus überprüft, während Industrie- und Medizinprodukte je nach Hersteller- und gesetzlichen Vorgaben monatlich oder vierteljährlich validiert werden müssen.

Sind ausfallsichere Konstruktionen in allen Branchen vorgeschrieben?

Ausfallsichere Merkmale sind in Hochrisikobereichen gesetzlich vorgeschrieben (Luftfahrt, Eisenbahnen, Kerntechnik, Fahrzeugsicherheit, Gesundheitswesen). In anderen Bereichen sind sie Best Practice oder werden von Versicherern bzw. Branchenstandards gefordert.

Sind ausfallsichere und fehlertolerante Systeme gleich?

Nein. Ausfallsichere Konstruktionen priorisieren den Übergang in einen sicheren Zustand bei Fehlern, während fehlertolerante Systeme versuchen, den normalen Betrieb während eines Fehlers mittels Redundanz und Fehlerkorrektur aufrechtzuerhalten.

Welche typischen Ausfallsicherheitsmerkmale gibt es bei Haushaltsgeräten?

Beispiele sind Temperatursicherungen, automatische Abschaltungen, Überdruckventile und Überstromschutz zur Verhinderung von Brand-, Explosions- oder Stromschlaggefahren.

Welche Normen gelten für ausfallsichere Systeme?

Wichtige Normen sind IEC 61508 (funktionale Sicherheit), ISO 13849 (Maschinensicherheit), DO-178C (Luftfahrtsoftware) und EN 50126 (Eisenbahnen).

Sicherheit erhöhen und Risiko minimieren

Setzen Sie Ausfallsicherheitsprinzipien in Ihren kritischen Systemen um, um maximale Sicherheit, gesetzliche Konformität und Sicherheit zu gewährleisten.

Kontaktieren Sie uns Beratung anfordern

Mehr erfahren

Sicherheit – Freiheit von unvertretbarem Schadensrisiko

Sicherheit – Freiheit von unvertretbarem Schadensrisiko

Sicherheit in der Luftfahrt bedeutet, Risiken auf akzeptablen oder darunter liegenden Niveaus zu halten, durch kontinuierliche Gefahrenidentifikation und Risiko...

7 Min. Lesezeit
Aviation Safety Risk Management +2
Zuverlässigkeit

Zuverlässigkeit

Zuverlässigkeit ist die Wahrscheinlichkeit, dass ein System, Produkt oder eine Komponente seine vorgesehene Funktion über einen definierten Zeitraum unter festg...

5 Min. Lesezeit
Quality Assurance Reliability Engineering +4
Sicherheitsnorm – Erforderliches Sicherheitsleistungsniveau – Normen

Sicherheitsnorm – Erforderliches Sicherheitsleistungsniveau – Normen

Sicherheitsnormen definieren technische und prozedurale Mindestanforderungen zum Schutz von Personen, Sachwerten und Umwelt vor Risiken. Das erforderliche Siche...

6 Min. Lesezeit
Industrial Safety Risk Assessment +3