Eisenbahn-Bundesamt                                     Mü 8004 Abschnitt 9 Informationen zu den Technischen Grundsätzen EBA Sg 226 internes Exemplar - 226 EBA

Eisenbahn-Bundesamt                                                                           Mü 8004 Informationen zu den Technischen Grundsätzen Sicherheitsnachweis und Einzelausfälle - Teil 43 1XX -                                  Teil 94 001 Ausgabe: 02.10.1979  Ersetzt: -                                                    Anzahl der Seiten: 8 Sicherheitsnachweis und Einzelausfälle Wilhelm Schwier Bundesbahn-Zentralamt München Statusseminar „Betriebsleittechnik“ des Bundesministers für Forschung und Technologie, 02. und 03.10.79 in Bad Kreuznach EBA Sg 226 internes Exemplar - 226 EBA

94 001 vom 02.10.1979                                    2                                                  Mü 8004 1       Vorbemerkung Dieser Bericht greift aus dem breiten Themenkomplex Sicherheit und Zuverlässigkeit zwei Bereiche - den des Si- cherheitsnachweises und den der Einzelausfälle - heraus. Dargestellt werden soll, welche Überlegungen diesen Teilen der Richtlinienentwürfe des Bundesbahn-Zentralamtes zugrunde liegen und wie sich Ergebnisse eines For- schungsvorhabens allmählich in Praxis umsetzen. Ausgangsbasis für die folgenden Darlegungen sind die vom BMFT geförderten Arbeiten, die von der Firma Siemens in Braunschweig, der Gesellschaft für Reaktorsicherheit in Garching und vom Bundesbahn-Zentralamt München durchgeführt wurden. Dazu kommen Arbeiten des Zentralamts, welche diese Untersuchungen weiterführten und daraus Richtlinienentwürfe entwickelten. 2       Gliederung eines Sicherheitsnachweises Bevor er die Prüfung eines Sicherheitsnachweises beginnt, wird sich der Prüfer in vielen Fällen erst einmal mit allge- meinen Unterlagen über die betroffene Einrichtung auseinandersetzen. In vorderster Linie sind hier Pflichtenheft und Beschreibungen zu nennen. Sie bilden eine nützliche, für den eigentlichen Prüfvorgang jedoch nicht notwendige Hilfe. Die Sicherheit lässt sich am Gerät selbst, an Untersuchungsergebnissen, an Schalt- und Konstruktionsplänen, an Stücklisten sowie an Anwendungsvorschriften feststellen. Auch ein Gerät, das vom Pflichtenheft abweicht, kann sicher sein. Ebenfalls ist umgekehrtes möglich. Ein Sicherheitsnachweis, in dem vom Hersteller einer Einrichtung das Einhalten des in Richtlinien niedergelegten Standes von Wissenschaft und Technik gezeigt wird, gliedert sich nach den Vorstellungen des BZA München in die Abschnitte: 1. Vorbemerkungen 2. Funktionsnachweis 3. Ausfallauswirkungen 4. Störungsauswirkungen 5. Sicherheitsbezogene Anwendungsvorschriften 6. Erprobung. Die Vorbemerkungen haben mehr einen formalen Charakter. Sie weisen darauf hin, dass es sich um eine Sicher- heitseinrichtung handelt und sie geben an, welcher Ausgabestand der Richtlinien zugrunde liegt. Auf Abweichungen von Normen, VDE-Bestimmungen etc. ist bereits in diesem Abschnitt deutlich hinzuweisen. Das Kapitel Funktionsnachweis soll zeigen, dass im ausfall- und störungsfreien Zustand die betrieblichen Bedingun- gen einwandfrei erfüllt werden. Früher, bei einfachen, überschaubaren Einrichtungen mit festgelegten Bauelementen brauchte man hierfür im Sicherheitsnachweis kein besonderes Kapitel, obwohl die Ungefährlichkeit der Funktion schon immer ein wichtiger Teil der Prüfung eines Sicherheitsnachweises war. Mit der komplizierteren Elektronik än- derte sich die Situation. In diesem Zusammenhang ist besonders an den Nachweis der Fehlerfreiheit von Rechner- programmen zu denken. Der Abschnitt Ausfallauswirkungen umfasst den eigentlichen klassischen Sicherheitsnachweis, wie wir ihn von der Relaistechnik her kennen. Auf diesen Abschnitt komme ich gleich zurück. Im nächsten Kapitel Störungsauswirkungen soll das problematische Thema der elektromagnetischen Verträglichkeit behandelt werden. Ebenso in selteneren Fällen Fragen der Sicherheit bei auftretenden thermischen oder mechani- schen Beeinflussungen. Sicherheitsbezogene Anwendungsvorschriften enthalten all das, was spätere Anwender der geprüften Einrichtung beachten müssen, damit die signaltechnische Sicherheit erhalten bleibt. Ein Beispiel sind bestimmte Wartungsvorschriften. Es ist zweckmäßig, derartige Vorschriften in einem Papier zu sammeln, dessen Richtigkeit und Vollständigkeit vom Prüfer festgestellt wird. Die Erprobung letztlich dient der Bestätigung der Sicherheitsüberlegungen. Dabei muss man sich im Klaren sein, dass aus Aufwandsgründen ein statistischer Nachweis der Sicherheit nicht möglich ist. Die Erprobung kann den auf logischer Basis geführten Nachweis nur ergänzen, jedoch nicht ersetzen. Eine Erfahrung durch „trial and error“ bleibt uns heute verwehrt; die Öffentlichkeit würde das zu Recht nicht akzeptieren. 3       Ausfallauswirkungen Der erwähnte Abschnitt Ausfallauswirkungen des Sicherheitsnachweises gliedert sich in 5 Unterabschnitte: 3.1 Ungefährlichkeit von Einzelausfällen 3.2 Unabhängigkeit 3.3 Ausfalloffenbarung 3.4 Mehrfachausfälle 3.5 Beibehalten des sicheren Zustandes. 226 EBA – EBA Sg 226 internes Exemplar

Mü 8004                                                      3                                     94 001 vom 02.10.1979 Die Grundlage jeder Sicherheit von elektronischen Steuerungen oder Überwachungen ist, dass Einzelausfälle nicht gefährlich werden. Dazu wird im Folgenden einiges gesagt werden. Die Unabhängigkeit bezieht sich in dem hier besprochenen Zusammenhang auf das Ausfallverhalten und bedeutet: Systematische Mehrfachausfälle und Folge- ausfälle treten nicht in einer Form auf, die gefährlich werden kann. So muss etwa gezeigt werden, dass bei einem Auswahlsystem Verarbeitungskanäle und Vergleicher gegenseitig unabhängig sind. Der Nachweis einer hinreichend schnellen Offenbarung eingetretener Ausfälle gehörte bereits in der Relaistechnik zum Sicherheitsnachweis. Ziel ist es, zufällige Mehrfachausfälle so selten zu machen, dass sie zum Gefahrenpoten- tial der Eisenbahn nicht merklich beitragen. Gelingt es in einigen Fällen nicht, eine hinreichend schnelle Ausfalloffenbarung eines Einzelausfalls nachzuweisen, dann ist mit dem Hinzukommen eines zweiten Ausfalls zu rechnen. Die Ungefährlichkeit dieses Doppelausfalls muss gezeigt werden. Auch der Doppelausfall hat sich zu offenbaren; anderenfalls kann sich das Spiel fortsetzen zum Mehrfachausfall. Schließlich, der letzte Punkt im Kapitel Ausfallauswirkungen befasst sich mit dem sicheren Zustand, der nach Erken- nen eines Einzelausfalls angenommen wird. Dieser Zustand muss irreversibel sein; die Einrichtung darf ihn auch dann nicht verlassen, wenn weitere Ausfälle hinzukommen. Ein Beispiel: Der sichere Zustand kann die ausgeführte Abschaltung eines als defekt erkannten Rechners in einem Drei-Rechner-System sein. Es darf nicht passieren, dass durch ein später hinzukommendes Versagen der Abschalteinrichtung dieser Rechner wieder mitwirken kann. 4        Sicherheits- und worst-case-Analyse Das Thema Einzelausfälle scheint auf den ersten Blick sehr simpel zu sein. Man fragt sich, was es da noch zu berich- ten gibt. Und doch, so ist zu betonen, liegen hier immer wieder einige der Diskussionen in Sicherheitsnachweisen, wenn es um den konkreten Fall geht. Und - auch darin zeigt sich die Problematik dieses Themenkreises - wurden mehrfach einige durchaus anfechtbare Ansichten geäußert, deren Argumentationstiefe sich mehr an Wünschen, leider nur wenig an der Realität der Elektronik orientierte. Nach DIN 40 041 ist der Ausfall eines Bauelementes die durch Änderung entstandene unzulässige Abweichung mindestens eines Merkmals eines zu Beanspruchungsbeginn fehlerfreien Bauelementes. Die Bundesbahn hat diese Definition ihren Richtlinien zur signaltechnischen Sicherheit der Elektronik zugrunde gelegt. In dieser Definition sind die wesentlichsten Aspekte berücksichtigt, die bei Sicherheitsnachweisen eine Rolle spielen: Das Bauelement ist zu Beanspruchungsbeginn fehlerfrei gewesen. Das ist entscheidend, weil man Sicherheit nur machen kann, wenn bei der Inbetriebnahme, sei es nun die erste oder eine Wiederinbetriebnahme nach Reparaturen, kein Fehler im Gerät enthalten ist. Das schwierige Problem, wie man mit Anfangsfehlern fertig werden kann, gehört nicht zum heutigen Thema. Der zweite Aspekt ist: Mindestens ein Merkmal des Bauelementes weicht von seinem Sollwert ab. Für den Sollwert ist dabei natürlich ein gewisser festgelegter Toleranzbereich möglich. Erst wenn der Istwert außerhalb dieses Berei- ches liegt, spricht man von Ausfall. Bei Änderungen innerhalb des Toleranzbereiches muss die Schaltung einwand- frei und sicher funktionieren. Das ist gegebenenfalls durch eine worst-case-Berechnung zu zeigen. Durch diese Be- rechnung will man demonstrieren, dass auch Kombinationen von Merkmalsänderungen nicht zu einem Versagen führen. Zu beachten ist, dass dieser worst-case-Dimensionierung nicht nur die Änderung eines einzelnen Merkmals zugrunde liegt. Vielmehr geht man notwendigerweise von der gleichzeitigen Variation der Parameter aller Bauele- mente aus. Die einwandfreie Funktion der untersuchten Schaltung muss auch bei der ungünstigsten Kombination gewährleistet sein. Die worst-case- und die Sicherheitsanalyse unterscheiden sich in 3 Punkten. ƒ    Die Sicherheitsanalyse befasst sich mit der Schaltung, wenn die Parameter von Bauelementen außerhalb des Toleranzbereiches liegen, wenn also ein Ausfall vorliegt. Die worst-case-Analyse untersucht dagegen das Verhalten der ausfallfreien Schaltung, bei der sich alle Bauelementeparameter im zulässigen Toleranz- bereich aufhalten. ƒ    Die Sicherheitsanalyse geht davon aus, dass nur ein einziges Merkmal eines Bauelementes gleichzeitig abweicht. Die worst-case-Dimensionierung dagegen unterstellt die gleichzeitige Änderung aller Parameter. ƒ    Bei der worst-case-Analyse braucht man sich keine Gedanken über die Abhängigkeit oder Unabhängigkeit der Änderungen verschiedener Parameter zu machen, sofern die Analyse alle Parameter berücksichtigt hat, die von Einfluss sind. Sowohl die Merkmale von einem Bauelement allein als auch von mehreren Bauele- menten sind bei der Abhängigkeit in Betracht zu ziehen. Die worst-case-Analyse erfasst solche Abhängig- keiten mit, weil alle Parameter gleichzeitig variiert werden. In der Sicherheitsanalyse dagegen ist sorgfältig auf die Unabhängigkeit der einzelnen Ausfallarten zu achten. Falls dennoch eine Abhängigkeit besteht, müssen die Kombinationen auf ihre Ungefährlichkeit hin untersucht werden. 5        Das Ausfallverhalten von Bauelementen Das Ausfallverhalten von Relais ist leicht zu durchschauen. Wir haben einmal die Spulenseite, zum anderen die Kontaktseite. Beide sind galvanisch voneinander getrennt. Ebenso die einzelnen Kontakte. Diese Isolation kann so EBA Sg 226 internes Exemplar - 226 EBA

94 001 vom 02.10.1979                                           4                                              Mü 8004 ausgeführt werden, dass man unter den vorhandenen Umgebungsbedingungen und bei den möglichen Beanspru- chungen nicht mit einem Kurzschluss zwischen den Kontakten oder zwischen Spule und Kontakten zu rechnen hat. Es bleiben also nur die Ausfälle innerhalb eines Kontaktes oder innerhalb der Spule. Außerdem kann das Relais mechanisch klemmen. Die Ausfälle von Spule und Mechanik lassen sich zusammenfassen, da sich ihre Wirkung auf den Kontaktsatz nicht unterscheidet. Noch zwei weitere Vereinfachungen sind möglich: Die durchaus vorhandenen Änderungsausfälle in Mechanik, Spule, Kontakt und Verbindungstechnik wirken wegen der unverlierbaren Hysterese des angesteuerten Relais so wie ein Vollausfall. Beispielsweise wirkt sich die Vergrößerung des Kontaktwiderstandes nicht aus oder sie wirkt genauso wie eine Unterbrechung. Das Bild 1 zeigt die verbleibenden Ausfälle eines Signalrelais, wie sie im Sicherheitsnachweis zu berücksichtigen sind. Wesentlich ist dabei - und dies ist die zweite Vereinfachung -, dass diese Ausfälle sich ge- genseitig ausschließen oder dass sie unabhängig voneinander sind. In diesem Fall bedeutet Unabhängigkeit z. B., dass die Unterbrechung eines Kontaktes nicht die Ursache für eine weitere Unterbrechung bei einem anderen Kon- takt wird. Im Sicherheitsnachweis darf man also die Ausfälle des Relais nacheinander und getrennt untersuchen. Wie ohne weiteres einleuchtet, eine erhebliche Vereinfachung beim Nachweis der Sicherheit. Anker:                           Nichtanziehen Nichtabfallen Kontakt:                         Nichtschließen Nichtöffnen *) *)Nicht bei Signalrelais, bei denen Öffner und Schließer nicht gleichzeitig geschlossen sein können. Bild 1: Ausfallarten des Relais Wie sieht nun das Ausfallverhalten von Halbleiterbauelementen aus? Erst einmal ist festzustellen, dass Halbleiter - von einem Sonderfall abgesehen - nicht nach Sicherheitsgesichtspunkten konstruiert werden und dass sie keine Eigenschaft aufweisen, die im Sinne der Signaltechnik als unverlierbar angesehen werden darf. Man erkennt das sofort, wenn man die unverlierbaren Eigenschaften anschaut, die sich in der Signaltechnik und in der industriellen Steuerungstechnik bewährt haben. Das sind: mechanische Stabilität, ausreichend dimensionierte Isolation bei ent- sprechenden räumlichen Abständen und die Koerzitivkraft eines geschützten Ringkerns besonderer Ausführung. Es fällt schwer, diese Eigenschaften bei Halbleitern wieder zu entdecken. Gewiss, sie können nicht in beliebiger Weise ausfallen. Beispielsweise sind keine Ausfälle zu erwarten, die den Naturgesetzen widersprechen. Man macht kaum einen Fehler, wenn etwa extreme Verstärkungserhöhungen oder starke Verringerungen von Schaltzeiten nicht erwar- tet werden. Jedoch, wo ist die Grenze, bis zu der solche Ausfälle wahrscheinlich sind? Die Reaktionen von Bauele- mentefachleuten, auf diese oder ähnliche Fragen angesprochen, lauten meist: „Ja, das gibt es schon; es wird zwar nicht ins Extrem gehen, eine Grenze jedoch können wir nicht angeben.“ Ausgehend von den Ergebnissen des Forschungsvorhabens hat das BZA München für die Richtlinien zur signaltech- nischen Sicherheit der Elektronik eine Liste mit dem Ausfallverhalten elektronischer Bauelemente zusammengestellt. Für den Transistor zeigt Bild 2 diese Liste. Links stehen die denkbaren Ausfallarten, die rechte Spalte gibt eine Be- wertung an. 226 EBA – EBA Sg 226 internes Exemplar

Mü 8004                                             5                                  94 001 vom 02.10.1979 05 Transistor 05 01 bipolar, NF- und Schalt- 05 01 01                Unterbrechung E                                 ja 05 01 02                Unterbrechung B                                 ja 05 01 03                Unterbrechung C                                 ja 05 01 04                Unterbrechung E-B-C                             ja 05 01 05                Kurzschluss E-B                                 ja 05 01 06                Kurzschluss B-C                                 ja 05 01 07                Kurzschluss E-C                                 ja 05 01 08                Kurzschluss E-B-C                               ja 05 01 09                Kurzschluss E-B: Unterbrechung C                ja 05 01 10                Kurzschluss B-C: Unterbrechung E                ja 05 01 11                Kurzschluss E-C: Unterbrechung B                ja 05 01 12                Kurzschluss E-Gehäuse                           ja 05 01 13                Kurzschluss B-Gehäuse                           ja 05 01 14                Kurzschluss C-Gehäuse                           ja 05 01 15                Vergrößerung Gleichstrom-Verstärkung            ja um 200 % 05 01 16                Verkleinerung Gleichstrom-Verstärkung           ja 05 01 17                Vergrößerung Wechselstrom-Verstärkung           ja um 200 % 05 01 18                Verkleinerung Wechselstrom-Verstärkung          ja 05 01 19                Vergrößerung Schwellspannung UBE                ja 05 01 20                Verkleinerung Schwellspannung UBE               ja 05 01 21                Verkleinerung Durchbruchspannung UBE            ja 05 01 22                Verkleinerung Durchbruchspannung UCB            ja 05 01 23                Verkleinerung Durchbruchspannung UCE            ja 05 01 24                Änderung Anstiegszeit                           ja 05 01 25                Änderung Abfallzeit                             ja 05 01 26                Vergrößerung Einschaltzeit                      ja 05 01 27                Verkleinerung Einschaltzeit                     ja 05 01 28                Vergrößerung Ausschaltzeit                      ja 05 01 29                Verkleinerung Ausschaltzeit                     ja 05 01 30                Vergrößerung Reststrom CBO                      ja 05 01 31                Verkleinerung Reststrom CBO                     ja 05 01 32                Vergrößerung Reststrom EBO                      ja 05 01 33                Verkleinerung Reststrom EBO                     ja 05 01 34                Vergrößerung Reststrom CE                       ja 05 01 35                Verkleinerung Reststrom CE                      ja 05 01 36                Vergrößerung Sättigungsspannung BE              ja 05 01 37                Verkleinerung Sättigungsspannung BE             ja 05 01 38                Vergrößerung Sättigungsspannung CE              ja 05 01 39                Verkleinerung Sättigungsspannung CE             ja 05 01 40                Vergrößerung Bahnwiderstände                    ja 05 01 41                Verkleinerung Bahnwiderstände                   ja 05 01 42                Vergrößerung Sperrschicht-Kapazität             ja 05 01 43                Verkleinerung Sperrschicht-Kapazität            ja 05 01 44                Änderung Gehäusekapazität                       nein 05 01 47                Vergrößerung Rauschen                           ja 05 01 49                Vergrößerung Grenzfrequenz                      ja um 100 % 05 01 50                Verkleinerung Grenzfrequenz                     ja 05 01 51                Wackelkontakte                                  ja 05 01 52                intermittierende Schlüsse                       ja 05 01 53                Vergrößerung Wärmewiderstand                    ja Bild 2: Ausfallarten des Transistors EBA Sg 226 internes Exemplar - 226 EBA

94 001 vom 02.10.1979                                     6                                                     Mü 8004 Welche Überlegungen liegen dieser Liste zugrunde? (1)     Die Angabe des Ausfallverhaltens muss auf das Bauelement bezogen sein. Schaltungsabhängige Auswirkun- gen, auch wenn sie fast immer in der gleichen Weise wirken und wenn sie fast immer zur sicheren Seite ge- hen, dürfen hier nicht berücksichtigt werden. So gibt die Liste beispielsweise auch die unerwartete Verringe- rung eines Reststromes an, obwohl das meistens nicht zu einer Fehlfunktion führt. Es sind jedoch Schaltun- gen denkbar, bei denen es darauf ankommt, dass stets ein gewisser Strom fließt. Erst im Sicherheitsnachweis kann gesagt werden, ob die ungewöhnliche Verringerung eines Reststromes ungefährlich ist. (2)     Änderungsausfälle sind durchaus kein kleiner, vernachlässigbarer Teil aller Ausfälle eines Bauelementes. Sie können nicht generell auf die Vollausfälle Kurzschluss oder Unterbrechung zurückgeführt werden. Selbst bei digitalen Schaltungen lässt sich das nur im Einzelfall zeigen. Es darf nicht als allgemeingültig unterstellt wer- den. (3)     Bei Relaisschaltungen mit Schaltzeiten größer als 1 ms spielt das Zeitverhalten nur in wenigen Fällen eine Rolle im Sicherheitsnachweis. Elektronische Schaltungen sind empfindlicher gegen Veränderungen der Schaltzeiten; eine Fehlfunktion ist möglich. Unzulässige Änderungen von zeitbestimmenden Merkmalen eines Bauelementes dürfen nicht ohne weiteres als ungefährlich eingestuft werden. (4)     Die Angaben über das Ausfallverhalten der Bauelemente müssen nach den verschiedenen Bauformen diffe- renziert werden. Ganz besonders gilt das für die Elemente, bei denen bestimmte Ausfälle ausgeschlossen sind. Pauschale Angaben sind gefährlich. Es gibt z. B. nicht den Schichtwiderstand, bei dem in allen Fällen der Kurzschluss oder die Widerstandsverringerung unmöglich ist. Wir finden nennenswerte Unterschiede zwi- schen Kohle- und Metallschichtwiderständen. Ferner sind Bauformen im Handel, bei denen selbst bei Schichtwiderständen ein Kurzschluss erwartet werden muss. (5)     Nicht nur die eigentlich wirksamen Teile eines Bauelementes tragen dazu bei, dass bestimmte Ausfälle aus- geschlossen werden dürfen. Gleiche Bedeutung haben die Hilfsmittel wie Träger, Befestigung, Umhüllung, Gestaltung der Anschlüsse. Was nützt es, wenn bestimmte Strukturen physikalisch und chemisch sehr stabil sind, wenn andererseits Veränderungen in der Schutzlackierung oder an der Oberfläche auftreten, die den unerwünschten Ausfall doch noch hervorrufen? (6)     Eine Erfahrung ist erwähnenswert, so selbstverständlich sie auch klingt: Alle infrage kommenden Ausfallursa- chen sind zu untersuchen, wenn gezeigt werden soll, dass eine bestimmte Ausfallart bei dem fraglichen Bau- element nicht zu erwarten ist. Was hilft es, wenn man zeigt, dass trotz zu hoher Temperatur eine Unterbre- chung oder eine Widerstandsvergrößerung bei einem ohmschen Widerstand nicht eintritt, falls diese Ausfälle bereits durch mechanische Defekte in der Kontaktierung zu erwarten sind? Ein Nachweis darf nicht nur not- wendige Bedingungen umfassen; er muss auch hinreichend sein. (7)     Noch ein Unterschied zur Relaistechnik soll, obwohl er sich nicht direkt in den angesprochenen Listen der Ausfallarten ausdrückt, erwähnt werden. Die Ausfälle bei elektronischen Bauelementen können jederzeit ein- treten. Eine Korrelation zwischen den Schaltzeitpunkten und dem Wirksamwerden der Ausfälle ist nicht be- kannt. In der Relaistechnik dagegen kann man aufgrund der mechanischen Konstruktion davon ausgehen, dass ein Relais nicht plötzlich anzieht, solange es nicht erregt wird. In dieser Technik wirken sich die meisten Ausfälle erst bei den Schaltvorgängen aus. Die Ausfallarten eines Relais sind unabhängig voneinander. Bei elektronischen Bauelementen, erst recht bei integ- rierten Schaltkreisen, fehlt diese Unabhängigkeit. Auch schließen sich zahlreiche Ausfälle nicht gegenseitig aus. Im Gegenteil, vielfach besteht eine Kopplung. So kann ein Ausfallmechanismus, der die Stromverstärkung eines Tran- sistors ändert, auch zu einer Veränderung der Grenzfrequenz führen. Eine Erhöhung des Sperrstromes steigert die Temperatur der Sperrschicht, was unmittelbar zu Änderungen, auch zu unzulässigen Änderungen weiterer Parame- ter führt. Man muss daher im Sicherheitsnachweis mit dem gleichzeitigen Auftreten mehrerer Ausfallarten an einem Bauelement rechnen. Leider sind die Kopplungen nicht so eindeutig, dass einige Ausfälle stets gemeinsam auftreten. Man kann sie nicht generell zusammenfassen. In integrierten Schaltkreisen liegen die Bauelemente in einer Ebene eingebettet in einer leitenden Schicht, durch gesperrte pn-Übergänge voneinander isoliert. Über den Bauelementen laufen, getrennt durch dünne Oxidschichten, metallische Leiterbahnen. Diese beiden Isolationsmaßnahmen können nicht als unverlierbar angesehen werden. Man muss mit Kurzschlüssen zwischen Bauelementen, Leiterbahnen, Substrat rechnen. Eine weitere Möglichkeit einer Verkopplung sind Überhitzungen benachbarter Elemente, wenn der Ausfall eines Elementes zur Produktion einer größeren Verlustleistung führt. Das Ausfallverhalten der Bauelemente in einem integrierten Schaltkreis ist nicht unabhängig voneinander. Man sollte auch nicht übersehen, dass Ausfälle in Spannungs- oder Masseleitungen zum Funktionsversagen größerer Teile führen, das sich durch mehrere logische Funktionseinheiten hindurchzieht. Verschiedene Einheiten einer integrierten Schaltung können gleichzeitig versagen. Nur eine Ausfallanalyse eines solchen Schaltkreises zeigt auf, welche Ver- kopplungen beim Ausfall möglich sind. Aus den Funktionsdiagrammen kann man das nicht herleiten. 6       Sicherheit und ein einzelnes Bauelement 226 EBA – EBA Sg 226 internes Exemplar

Mü 8004                                                  7                                      94 001 vom 02.10.1979 Aus den skizzierten Überlegungen gibt es nur eine Schlussfolgerung: Es ist unvernünftig, vermutlich unwirtschaftlich, sehr wahrscheinlich sogar gefährlich, wenn man von einem Halbleiterbauelement allein die Sicherheit des Eisen- bahnbetriebes abhängen lässt. Es gibt bis heute keinen Nachweis, dass spezielle Verarbeitungsverfahren oder Co- dierungen einen handelsüblichen elektronischen Schaltkreis zu einem sicheren Element machen. Das ist keine Frage des Sicherheitsniveaus, wie gelegentlich zu hören ist. Es sei denn, die Anforderungen wären gering. Es gehört zur bewährten Tradition, in der Eisenbahnsignaltechnik genau so wie in anderen Bereichen, dass ein Einzelausfall allei- ne nicht gefährlich werden darf und dass hierfür ein logisch geschlossener Nachweis vorliegen muss. Selbst die mittlerweile höher gewordenen Anforderungen an die Zuverlässigkeit und Verfügbarkeit stehen nicht im Widerspruch zu diesem bewährten Prinzip der Sicherheitstechnik. Die arme Fliege auf dem Relaiskontakt darf eben den Zug, der 250 oder gar 350 km/h fährt, nicht gefährden. Sie soll ihn auch nicht zum Halten bringen. Die Sicher- heitstechnik hat längst Prinzipien entwickelt, welche die beiden Anforderungen miteinander kombinieren, die also Gefahrlosigkeit und hohe Verfügbarkeit gleichzeitig gewährleisten. Fail-safe arbeitende Rechnersysteme, z. B. nach dem 2-aus-3-Auswahlprinzip, sind seit einiger Zeit in der Luftfahrt, in Kernkraftwerken, bei industriellen Steuerungen, in der Eisenbahnsignaltechnik in Betrieb. Die Kerntechnik setzt sie übrigens noch nicht als alleiniges Sicherheitsele- ment ein. Bei der Bundesbahn fahren Züge mit 200 km/h, die von derartigen Rechnersystemen gesteuert und über- wacht werden. Ich meine, dies verdeutlicht, dass man hier keineswegs an einem alten, aus den begrenzten Möglich- keiten früherer Techniken entstandenen Prinzip festhält, das als primäres Ziel der signaltechnischen Sicherheit den Zughalt verlangt, falls ein Bauelement versagt. Maßgeblich ist der sichere Zustand des Gesamtsystems, der durch- aus im Weiterarbeiten von intakten Teilsystemen bestehen darf. Kann man eine handelsübliche, nicht nach Sicherheitskriterien entworfene elektronische Schaltung, etwa einen Mik- roprozessor, durch Verfahren, Codierung oder ähnliches so sichern, dass man mit ihr einkanalige Sicherheitssysteme aufbauen kann? Abgesehen davon, dass bei diesen Lösungen wirtschaftliche Vorteile nicht zu erkennen sind, gibt es zahlreiche Unsicherheiten beim Nachweis der Sicherheit. Man muss sich meist auf eine Reihe von nicht belegbaren Vermutungen über das Verhalten der Elektronik abstützen. So setzen alle Codierungsmethoden voraus, dass Fehler oder auch gewisse Fehlerkombinationen unabhängig von- einander auftreten. In speicherfreien, seriellen Übertragungssystemen hat man diese Unabhängigkeit im Falle von Übertragungsstörungen. Innerhalb von elektronischen Schaltungen jedoch fehlt sie, wenn Ausfälle auftreten. Zumin- dest fehlt ein Nachweis. Dazu kommt der Nachteil, dass normale Schaltungen, etwa ein Rechner, nicht ausgelegt sind für eine direkte Verarbeitung codierter Informationen. Genau so wenig lassen sich Befehle, Adressen, Hilfsregis- ter etc. durch redundante Codes absichern. Ein anderer Weg kann in der Diversität gesehen werden. Man verarbeitet in derselben einkanaligen Einrichtung, etwa einem Rechner, alles zweimal mit unterschiedlichen Programmen. Nach dem Prinzip Hoffnung soll es einem Ausfall nicht mehr möglich sein, die beiden Verarbeitungsgänge gemeinsam in nicht entdeckbarer Weise zu beeinflussen. Wie will man nachweisen, dass bei dieser diversitären Verarbeitung ein Einzelausfall stets aufgedeckt wird, bevor er sich auf den Eisenbahnbetrieb auswirken kann? Ein großer Teil der Ausfälle wird beide Verarbeitungsgänge beein- flussen. Also muss man nachweisen, dass diese Auswirkungen unterschiedlich sind. Dieser Nachweis - ich bezweif- le, ob er überhaupt durchführbar ist - wird sehr aufwendig werden. Man kann noch darüber streiten, ob ein einkanaliges System mit diversitärer Verarbeitung, bei dem auch fast alles verdoppelt ist, oder ob ein zweikanaliges System wirtschaftlich günstiger dasteht. Wenn nur minimale Kostenunter- schiede zu finden sind, dann muss das Sicherheitsprinzip gewählt werden, das sicherer ist und bei dem die Unge- fährlichkeit von Einzelausfällen besser nachweisbar ist. Auf ein weiteres Argument möchte ich in diesem Zusammenhang noch eingehen. Man sagt: Fassen wir doch ein Gerät oder eines seiner Teile als „black box“ auf, als schwarzen Kasten also, der durch den Zusammenhang von Ausgangs- und Eingangsinformationen beschrieben wird. In der Regelungstechnik etwa hat sich dieses Vorgehen bewährt. In der Sicherheitstechnik würde man die Funktionsbeschreibung hernehmen und versuchen, daraus die möglichen Fehlfunktionen abzuleiten. Nun ist bekannt, dass bereits bei relativ wenigen Ein- und Ausgängen und bei einigen internen Zustandsgrößen die Zahl der Kombinationen praktisch unendlich ist. Ein derzeit vieldiskutiertes Problem beim Herstellen von höher integrierten Schaltungen liegt beim Austesten der Schaltungen während des Fertigungsprozesses und bei der abschließenden Kontrolle. Knappe Quintessenz: Man kann die Schaltungen nicht ausreichend testen. Die Zahl der möglichen Systemzustände ist einfach zu groß, um jeden Fehler finden zu können. Auch dauern die notwendigen Testvorgänge zu lange, selbst wenn sie automatisch durchgeführt werden. Vorschläge und Versuche mehren sich, neben der eigentlichen Funktion auch das spätere Testen zu einem Konstruktionsmerk- mal zu machen. Dahinter steht die Überlegung der Halbleiterhersteller, dass es billiger sein kann, mehr Aufwand in die Hardware zu stecken, wenn dadurch erheblicher Testaufwand gespart wird. Ohne eine detaillierte Schaltungsanalyse muss man mit einem fast beliebigen Fehlverhalten rechnen. Das Auflisten der Fehlfunktionen einer Schaltung, etwa eines höher integrierten Schaltkreises oder gar eines Mikroprozessors, ist nicht möglich. Der Nachweis der Ungefährlichkeit von Einzelausfällen sollte daher so geführt werden, dass man der- artige Listen auch nicht braucht. Beispielsweise kann man bei 2-von-2- oder 2-von-3-Auswahlsystemen die Sicherheit gegen Einzelausfälle ohne solche Listen nachweisen. 7       Vorteile von bauelementeunabhängigen Sicherheitsprinzipien EBA Sg 226 internes Exemplar - 226 EBA

94 001 vom 02.10.1979                                     8                                                    Mü 8004 Das Prinzip "von einem Bauelement allein - mit Ausnahme von Sicherheitsbauformen - darf die Sicherheit nicht ab- hängen“, bringt einige Vorteile mit sich. Der wichtigste liegt meines Erachtens in folgendem: Man wird in diesem entscheidenden Punkt des Sicherheitsnachweises unabhängig von der besonderen Ausprägung der Bauelemente. Die Entwicklung der Elektronik läuft seit Jahren in einem Tempo, dem Sicherheitsentwicklungen kaum folgen können. Es wäre nicht das erste Mal, dass deswegen eine Entwicklung überholt ist, bevor der Hersteller sie abschließt, den Sicherheitsnachweis aufstellt und vorlegt. Bauelemente werden nur solange hergestellt, wie sie sich in genügender Zahl verkaufen lassen. Irgendwann einmal kann man die Reparaturen eines Gerätes nicht mehr mit den ursprünglichen Baugruppen oder Bauelementen durch- führen. Man muss zu neuen Elementen übergehen. Dann ist es vorteilhaft, wenn der Nachweis der Ungefährlichkeit von Einzelausfällen bestehen bleibt und nicht neu geprüft werden muss. Das jedoch geht nur dann, wenn man sich in diesem Kapitel des Sicherheitsnachweises nicht auf die genauen Eigenschaften der Bauelemente abgestützt hat. Die Interessen der Anwender gebieten daher, dass Systemlösungen den Vorzug erhalten, deren Sicherheit nicht allzu sehr von den derzeit vorhandenen elektronischen Bauelementen abhängt. Dies gilt für die verschiedenen Ebe- nen, vom reparaturbedingten Austausch ganzer Baugruppen bis zu unserem Betrachtungsgegenstand, dem Aufbau der Sicherheitssysteme. Würde etwa der Nachweis der Ungefährlichkeit eines Einzelausfalls auf den genauen Ei- genschaften der Bauelemente aufbauen, wie es bei einem einkanaligen System der Fall ist, dann muss man damit rechnen. dass ein neueres Bauelement trotz unveränderter Gesamtfunktion das Sicherheitsverhalten zum Negativen wendet. Man hätte also den Sicherheitsnachweis neu aufzustellen. Zumindest wäre jedes neue Bauelement, auch jede neue Bauform, auf das Ausfallverhalten hin zu analysieren. Das würde einen erheblichen Aufwand mit sich bringen, der bei einfachen integrierten Schaltungen leicht Mannmonate erreicht, der bei komplizierteren Schaltungen bis hin zum Mikroprozessor äußerst aufwendig wird. Bei neuen Bauelementen oder bei veränderten Herstellungsverfahren bekannter Bauelement fehlt darüber hinaus jede Erfahrung aus dem Einsatz. Man wäre also aus Sicherheitsgründen gezwungen, vor dem Einsatz neuer Ele- mente wieder eine Erprobungsphase einzuschalten, bis die Eigenschaften, auf die es ankommt, bestätigt sind. Die damit verbundenen Erschwernisse im Betrieb und der beim Anwender entstehende Aufwand sollten beachtet wer- den. Aufstellen und Prüfen eines Sicherheitsnachweises verursachen Kosten, die nicht zu vernachlässigen sind. Wählt man Sicherheitsprinzipien, bei denen man sich auf das komplizierte Ausfallverhalten eines Halbleiter-Bauelementes einlässt, dann steigt der Aufwand zum Nachweis der Ungefährlichkeit von Einzelausfällen stark an. Ich unterstelle dabei, dass bei den verschiedenen Nachweisen mit gleicher Sorgfalt gearbeitet wird, dass nicht etwa Ignoranz und Unkenntnis zu billigen Nachweisen führen, bei denen ganze Teile fehlen. Da bei Sicherheitssystemen erfahrungsge- mäß die Serien nicht sehr groß sind, fallen die Kosten des Sicherheitsnachweises noch bei den Kosten der einzelnen Anlage ins Gewicht. Bei einem Lokomotivgerät etwa übersteigen die Kosten für Aufstellen und Prüfen eines Sicher- heitsnachweises umgelegt auf das einzelne Stück den Preis eines Mikroprozessors oder einer einzelnen Schaltkarte bei weitem. Es wird in der Mehrzahl aller Fälle interessant sein, die Struktur der Einrichtungen so zu wählen, dass der Sicherheitsnachweis zügig und mit wenig Aufwand sowohl beim Hersteller als auch beim Prüfer geführt werden kann. Am übersichtlichsten erreicht man die Ungefährlichkeit von Einzelausfällen bei elektronischen Schaltungen dann, wenn man sich auf Bauelemente mit unverlierbaren Eigenschaften abstützt und wenn sich Funktionsgruppen gegen- seitig kontrollieren. Jeweils eine Funktionsgruppe darf versagen, solange nur die anderen einwandfrei arbeiten. Die bekanntesten Beispiele sind die bereits angesprochenen Auswahlsysteme. Die Funktionsgruppen müssen gegensei- tig im erwähnten Sinne unabhängig sein. Das Auftreten von Folgeausfällen verhindern die Bauelemente, die zwi- schen den entscheidenden Punkten keinen Kurzschluss bekommen; das sind bestimmte Widerstände, Übertrager und Optokoppler. Außerdem sind Leiterplatten, Stecker, Verbindungskabel mit ausreichendem Isolationsvermögen zu wählen. Man spannt gleichsam einen Rahmen auf, der die Sicherheit gegen Einzelausfälle gewährleistet. Der Rahmen be- steht aus den soeben genannten Bauteilen, deren Ausfallverhalten gut bekannt ist, die nicht ständigen Verbesserun- gen unterliegen, die lange Zeit geliefert werden. In diesen Rahmen setzt man die Schaltungen aus Halbleiterbauele- menten ein. Von ihrem genauen Ausfallverhalten hängt es dann nicht mehr ab, ob Einzelausfälle ungefährlich blei- ben. 226 EBA – EBA Sg 226 internes Exemplar