Talk at Wissenschafts- und Industrieforum Intelligente Technische Systeme, 23.04.2015, Heinz Nixdorf MuseumForum, Paderborn (https://www.hni.uni-paderborn.de/wintesys)

1. Erweiterung der Entwurfsmethodik
CONSENS® um absichernde Maßnahmen
zur Risikominimierung in Produkten
Dr. Alexander Nyßen (itemis) Dr. Martin Schäfer (Smart Mechatronics)
23./24. April 2015, Heinz Nixdorf MuseumsForum, Paderborn

2. © itemis AG, Smart Mechatronics GmbH
 CONSENS ist eine (erprobte) Methodik für die frühe Produktkonzeption
mechatronischer Systeme (Prinziplösung)
 Sie kann generell für Systemanalyse und Systemdesign im Rahmen eines
MBSE-Ansatzes für komplexe mechatronische Systeme eingesetzt werden
 CONSENS wurde ursprünglich mit einer eigenen, proprietären Notation
definiert, kann aber auch auf Basis von SysML eingesetzt werden
 Einsatz von Standard-Modellierungswerkzeugen möglich
 Zusätzliche Aspekte können über Profile ergänzt werden
 Nicht-kanonischer Ansatz der SysML erlaubt es, einfach verschiedene
Sichten für unterschiedliche Stakeholder zu bilden (z.B. „Wirkkettenanalyse“,
System-FMEA)
CONSENS®
CONceptual design Specification technique for the ENgineering of complex
Systems
2

3. © itemis AG, Smart Mechatronics GmbH
CONSENS®
3
Scope ist die Spezifikation einer ‘Prinziplösung’
Anforderungs-
analyse
und
Systementwurf
System-
integration
und Test
Elektrotechnik/Elektronik
Softwaretechnik
Maschinenbau
Entwurf
SystemSystemelement
Verifikation
Modellbildung und -analyse
Implementierung

4. © itemis AG, Smart Mechatronics GmbH
CONSENS®
Übersicht - Partialmodelle im Zusammenhang
4
GestaltVerhalten
Funktions-
hierarchie
Anforderungen
Anwendungs-
szenarien
Umfeld
Wirkstruktur

5. © itemis AG, Smart Mechatronics GmbH
CONSENS® & SysML
Beispiel – Umfeld (Tischkreissäge)
7

6. © itemis AG, Smart Mechatronics GmbH
CONSENS® & SysML
Beispiel – Anwendungsszenarien (Tischkreissäge)
8

7. © itemis AG, Smart Mechatronics GmbH
CONSENS® & SysML
Beispiel – Anforderungen (Tischkreissäge)
9

8. © itemis AG, Smart Mechatronics GmbH
CONSENS® & SysML
Beispiel – Funktionen (Tischkreissäge)
11

9. © itemis AG, Smart Mechatronics GmbH
CONSENS® & SysML
Beispiel – Wirkstruktur (Tischkreissäge)
12

10. © itemis AG, Smart Mechatronics GmbH
Zunehmende Anforderung nach „Safety“
13
IEC 60601
ISO 25119
IEC 61508
ISO 26262
EN/IEC 62061
Richtlinie 2006/42/EG8
1980 1990 2000 2010 2020
DIN EN 60335
?
?

11. © itemis AG, Smart Mechatronics GmbH
Sicherheitsbetrachtung in der Produktkonzeption
14
Anforderungs-
analyse
und
Systementwurf
System-
integration
und Test
Elektrotechnik/Elektronik
Softwaretechnik
Maschinenbau
Entwurf
SystemSystemelement
Verifikation
Modellbildung und -analyse
Implementierung
Implementierung,
Gefährdungs-
und
Risikoanalyse
Sicherheits-
konzept
Management der funktionalen Sicherheit
Unterstützende Prozesse der funktionalen Sicherheit
Anforderungen

12. © itemis AG, Smart Mechatronics GmbH
Sicherheitsbetrachtung nach Normen
15
Risiko-Bewertung nach Normen (Auswahl)
Norm Auswirkung Situation => Wahrscheinlichkeit Bewertung
IEC 61508 Consequence
C1 ... C4
Exposure Time
F1 , F2
Avoidance
P1, P2
Probability
W1, ... W3
risk graph: SIL
QM, 1,..., 4
ISO 26262 Severity
S0 ... S3
Exposure Time
E0 ... E4
Controllability
C0 ... C3
risk graph: ASIL
 QM, A, ..., D
ISO 25119 Severity
S0 ... S3
Exposure Time
E0 ... E4
Avoidance
C0 ... C3
risk graph: AgPL
 a, ..., e
ISO 13849 Severity
S1, S2
Exposure Time
F1, F2
Avoidance
P1, P2
risk graph: PL
a, ..., e
Gängige Sicherheitsnormen schreiben
die Risikobewertung
vor.

13. © itemis AG, Smart Mechatronics GmbH
Sicherheitsbetrachtung nach Methoden
16
Risiko-Bewertung nach Methoden (Auswahl)
Methode System Auswirkung Situation => Wahrscheinlichkeit Bewertung
SFMEA x S (Severity)
1 ... 10
O (Occurrence)
1 ... 10
D (Detection)
1 ... 10
RPN = S x O x D
risk graph: RGB
HAZOP x --------- none ---------
PHA - Severity Probability risk graph
Fault Tree x (selection of
top-event)
quantitative, qualitative
probability
quantitative, qualitative
probability
Gängige Methoden zur Risikobetrachtung schreiben
die Risikobewertung
und/oder
die Systematik zur vollständigen Erfassung
vor.

14. © itemis AG, Smart Mechatronics GmbH
Gefahren als Resultat einer Sicherheitsbetrachtung
17
 Grundlage der Sicherheitsbetrachtung sind identifizierte Gefahren.
 Wie / Wo / Wann kann ein Produkt eine potentielle Gefahr darstellen?
 Gefahren ergeben sich aus
 Umfeld
 Anwendung
 Produktstruktur / physikalisches Produkt
 In Entwicklungsprojekten müssen Gefahren
 identifiziert werden Welche gibt es?
 klassifiziert werden Welche „Bedeutung“ haben sie?
 vermieden/verhindert werden Maßnahmen festlegen
 nachverfolgbar sein „Traceabiltity“ inklusive Klassifikation über
Anforderungen, Komponenten,...

15. © itemis AG, Smart Mechatronics GmbH
Gefährdungssituationen aus der Anwendung
Beispiel – Anwendungsszenarien mit Gefahrensituationen (Tischkreissäge)
18

16. © itemis AG, Smart Mechatronics GmbH
Gefährdungsauswirkungen im Umfeld
Beispiel – Umfeld mit Gefahrenauswirkungen (Tischkreissäge)
19

17. © itemis AG, Smart Mechatronics GmbH
Erweiterung von CONSENS : Partialmodell „Gefahren“
21

18. © itemis AG, Smart Mechatronics GmbH
1. Sicherheitsbetrachtung vor Prinziplösung
22
 Offensichtliche Gefahren
 Beispiel (manuell betriebene) Kreissäge: Abtrennung von Körperteilen
 GRA „Gefährdungs- und Risiko-Analyse“ von Anwendungsszenarien und Umfeld
 geeignete Methode: PHA, HAZOP
 Aus Systemanalyse unter Berücksichtigung von
 Fehlfunktionen, Fehlbedienung, Zusammenwirken mehrerer externer Einflüsse
 Rückwirkung auf Produkteinsatz
 neue (Sicherheits-)Anforderungen, Einschränkung von Umfeld oder Anwendungen
Anforderungen
Anwendungs-
szenarien
Umfeld Partialmodell
„Gefahren“
GRA

19. © itemis AG, Smart Mechatronics GmbH
2. Sicherheitsbetrachtung mit Prinziplösung
23
identifizierte Maßnahmen
• Modifikation der Wirkstruktur
• Anforderungen an Systemkomponenten
identifizierte Qualitätsrisiken
Partialmodell
„Gefahren“
 Identifikation von Gefahren, die von der Wirkstruktur ausgehen
 geeignete Methode: SFMEA - integraler Bestandteil der Qualitätssicherung
 Aus Systemanalyse unter Berücksichtigung von
 Produktdesign, Bauteilausfall, Fehlfunktionen, Fehlbedienung, externe Einflüsse
 Rückwirkung auf Produktdesign
 neue (Sicherheits-)Anforderungen, Optimierung der Wirkstruktur
Wirkstruktur
Umfeld
Funktionen
Anwendungen
SFMEA:
eine pro
Wirkstruktur
identifizierte Gefahren

20. © itemis AG, Smart Mechatronics GmbH
3. Sicherheitsbetrachtung bei identifizierten Gefahren
24
identifizierte Gefahren
identifizierte Ursachen
• Modifikation der Wirkstruktur
• Anforderungen an Systemkomponenten
Partialmodell
„Gefahren“
Wirkstruktur
FTA:
eine pro
Gefährdungs
szenario
 Analyse der Wirkstruktur hinsichtlich identifizierter Gefahren
 geeignete Methode: FTA - quantitativ / qualitativ
 Aus Systemanalyse unter Berücksichtigung von
 Produktdesign, Bauteilausfall, Fehlfunktionen, Fehlbedienung, externe Einflüsse
 Rückwirkung auf Produktdesign
 neue (Sicherheits-)Anforderungen, Optimierung der Wirkstruktur
 Nachweis der Produktsicherheit
 wenn quantitatives/qualitatives Analyseergebnis unterhalb zulässiger Grenze liegt

21. © itemis AG, Smart Mechatronics GmbH
Wirkstruktur
Funktions-
hierarchie
Anforderunge
n
Anwendungs-
szenarien
Umfeld
Erweiterung der Entwurfsmethodik CONSENS
Partialmodell „Gefahren“ im Zusammenspiel
25
Partialmodell
Gefahren
PHA,
HAZOP
PHA,
SFMEA,
HAZOP
FTA

22. © itemis AG, Smart Mechatronics GmbH
 Erweiterung um ein Partialmodell „Gefahren“:
 „Schwere“ (severity)
 „Wahrscheinlichkeit“ (probability), „Vermeidbarkeit“(preventability)
 „Risiko“ (risk)
 Nutzbar für verschiedene normative Vorgaben wie für verschiedene
Methoden zur Risikobewertung.
 Auf dieser Basis lassen sich Anforderungen anhand der zugehörigen
Risiken klassifizieren.
 Die Verkettung von Gefahren zu resultierenden
Sicherheitsanforderungen sichert die Rückverfolgbarkeit.
Zusammenfassung
Erweiterung von CONSENS um Sicherheitsbetrachtungen in Produkt-
Konzeptphase
26