Qualitätsmethode - FTA - Qualitative Fehler-Zustands-Baum-Analyse

Logikanalyse

Gemäß EN 61025

• Logische Untersuchung des Systems 
  
• Grundlage: Modellierung durch die man eine Fehlzustandsbaumdarstellung der funktionalen und strukturellen Architektur des Systems erhält 
  
• Untersuchung
  
  • Bewertung der Fehlzustandsbaumstruktur durch Vergleich mit vorliegenden 
    
  • Informationen (schematische Darstellungen, Zeichnungen, Funktionsdiagramm,...) • Boolesche Reduktion 
    
  • Bewertung der Auswirkungen von gemeinsamen Ereignissen 
    
  • Hilfreich, wenn identische Ereignisse in unterschiedlichen Zweigen auftreten 
    
  • Anwendung möglich, wenn das Auftreten des Hauptereignisses vom zeitlichen Ablauf unabhängig ist 
    
• Ermittlung von Minimalschnitten

Allgemeines

• Identifizierung von Systemschwachstellen zur gezielten Optimierung 
  
• Keine numerische Einschätzung der Eintrittswahrscheinlichkeit 
  
• Bewertung der Eintrittswahrscheinlichkeit der Primärereignisse: 
  
  • Äußerst wahrscheinlich 
    
  • Sehr wahrscheinlich 
    
  • Durchschnittlich wahrscheinlich 
    
  • Kaum wahrscheinlich
    
• Ziel: Ermittlung von Minimal Cut Sets (MCS, Minimalschnitt) 
  
• Cut Set = Gruppen von primären Ereignissen, deren Kombination bzw. gemeinsames Eintreten genügt, um das TOP Ereignis auszulöse 
  
  • Bewertung der Fehlerrate (semi-quantitative Analyse)
    Klassenbildung für Fehlerraten kann eine erste quantitative Schätzung untestützen 
    
• Beispiel: 
  
  • kleine Fehlerrate
    1 Fit 
    
  • typische Fehlerrate
    10 Fit 
    
  • moderat erhöhte Fehlerrate
    50 Fit 
    
  • erhöhte Fehlerrate
    100 Fit 
    
• Minimalschnitt 
  
  • Minimalschnitt = kleinste Ereignismenge, die für den Eintritt des Hauptereignisses erforderlich ist. 
    
  • Ausfallkombinationen, die keine anderen Ausfallkombinationen mehr enthalten Minimalschnitt 1.Ordnung (einelementig) = Single Point Failure 
    
• Der Ausfall einer Komponente genügt, um die Systemgefährdung zu verursachen

Ausfallarten

• Common Cause und Common Mode Failure 
  
  • Abschätzung von Common Cause und Common Mode Ausfällen durch qualitative Analyse möglich 
    
• Common Cause Failure (CCF) 
  
  • Ausfälle aufgrund gemeinsamer Ursache 
    
  • Ausfälle verschiedener Einheiten aufgrund eines einzelnen Ereignisses, wobei sich diese Ausfälle nicht gegenseitig beeinflussen 
    
• Common Mode Failure (CMF) 
  
  • Gleichartige Ausfälle 
    
  • Ausfälle von Einheiten, die durch den gleichen Ablauf gekennzeichnet sind 
    
  • Können unterschiedliche Ursachen haben 
    
  • Z.B. Kaskadenfehler 

Bestimmung des Beta-Faktors z. B. über Check listen wie in der IEC 61508 (Werte für ß meist zwischen 0,01 bis 0,3 - gemeinsame Ressourcen, Diversität, gemeinsame CCF-Ursachen)

Ziele

• Identifikation sämtlicher Ausfallarten und Ausfallursachen 
  
• Festhalten aller kritischer Ereignisse und Ereigniskombinationen 
  
• Lokalisierung von Schwachstellen 
  
• Erstellung objektiver Beurteilungskriterien 
  
• Dokumentation 
  
• Beherrschbarkeit der Komplexität

Analyseschritte

Nach EN 61025-2007 sind mindestens die folgenden Analyseschritte durchzuführen: 

• Festlegung des Untersuchungsziels 
  
• Vertraut machen mit dem Konstruktionsentwurf, den Funktionen und der Arbeitsweise des Systems 
  
• Festlegung der Hauptereignisse 
  
• Konstruktion des Fehlzustandsbaums 
  
• Untersuchung des logischen Aufbaus des Fehlzustandsbaums 
  
• Bericht über die Ergebnisse der Untersuchung 
  
• Bewertung der Zuverlässigkeitsverbesserungen und der eingegangenen Kompromisse

1. Analyse des Systems = Systemdefinition

Ziel: 

• Wirkungsweise des Systems deutlich zu machen 
  
• Wechselwirkung über Schnittstellen mit der Umwelt zu ermitteln 
  
• Abhängigkeiten innerhalb des Systems zu ermitteln 
  
• Top-Ereignis wird festlegt 
  
• Wirkungsweise des Systems über Zusammenhang zwischen Anforderungen und Funktionen bestimmen: 
  
• Darlegen der Anforderungen (Funktion, Leistung, Qualität,...) 
  
• Aufzeigen der Funktionalität und Zuordnung einzelner Funktionen zu Komponenten 
  
• Durchgängigkeit zwischen Anforderungen, Funktionen und Komponente 
  herstellen über Lastenheft, Konstruktionsplan, etc. 
  
• Berücksichtigung der Umgebung
  
  • Identifikation relevanter Umgebungseinflüsse (Temperatur, Feuchtigkeit, Vibration,...) 
    
  • Eigenschaften der Systemelemente bestimmen (chemisch und physikalisch), die von der Umgebung beeinflusst werden können 
    
  • Verhaltensabhängigkeiten untersuchen 
    
  • Zusammenwirken von Systemkomponenten 
    
• Reaktion auf Einflüsse der Umgebung und auf Ausfälle externer/interner, mit der System in Verbindung stehender, Komponenten 
  Ansatz: Funktionalität muss immer gewährleistet sein!

Notwendige Informationen über das System gemäß EN 61025:

• Beschreibung der Systemfunktionen 
  
• Benennung der Schnittstellen 
  
• Zusammenfassung des Entwicklungsziels 
  
• Festlegung des Systemausfalls 
  
• Funktionale Struktur des Systems (Blockdiagramm) 
  
• Grenzen des Systems (elektr., mechan., betriebl. Schnittstellen) 
  
• Mechanischer Aufbau des Systems im Gegensatz zur funktionalen Struktur 
  
• Feststellung der Betriebsarten des Systems 
  
• Beschreibung der Arbeitsweise des Systems 
  
• Betriebsprofil des Systems 
  
• Umgebungsbedingungen des Systems 
  
• Liste der notwendigen Unterlagen (z.B. Zeichnungen, Pflichtenheft...)

2. Unerwünschte Ereignisse definieren

Vorgehen nach zwei mögliche Ansätze

Präventiver Ansatz: 

• „Unerwünschten Ereignisse werden von der möglichen Nichterfüllung von Funktionen und Anforderungen abgeleitet.“ 

Korrektiver Ansatz: 

• „Unerwünschte Ereignisse werden direkt von aufgetretenen Ausfällen bzw. Fehlfunktionen abgeleitet.“ 
  
• Unter Berücksichtigung von Kosten und Schadenschwere!

3. Ausfallarten bestimmen

Unterschiedliche Arten von Ausfällen haben unterschiedliche Auswirkungen auf das Top-Event 
Betrachtung verschiedener Arten von Komponentenausfällen: 

• Primärer Ausfall 
  
  • Komponentenausfall durch Schwächen bzw. Fehler, die sich schon zu Beginn im System befinden
    
  • Ausfall bei zulässigen Einsatzbedingungen 
    
• Sekundärer Ausfall 
  
  • Komponentenausfall, der durch die Umgebungsbedingungen oder durch die Einsatzbedingungen eintritt 
    
  • Ausfall bei unzulässigen Einsatzbedingungen
    
• Kommandierter Ausfall 
  
  • Komponentenausfall einer eigentlich funktionsfähigen Komponente durch eine Fehlbedienung oder Eingabe von falschen oder ungültigen Werten (bei Software)
    
  • Bedienung- und Wartungsfehler 
    
  • Absichtliche Fehler

4. Fehlerbaum erstellen

Ermittlung des Top-Ereignis

• Frage: Ereignis auf Ausfall einer Komponente reduzierbar?
  
  • Nein: Berücksichtigung aller Einzelausfälle der Komponente = Ursache ermitteln
    
  • Sofern JA: Eintrag ausgefallener Komponente in Fehlerbaum
    
• Frage: Werden die Ausfälle berücksichtigt?
  
  • Nein: Berücksichtigung aller Einzelausfälle der Komponente = Ursache ermitteln
    
  • Sofern JA: Fehlerbaum verfollständigt

Common Mode Failure

Ausfall mehrerer gleichartiger Komponenten, die zu einem Schadenereignis führen 

• Fehler, die nicht durch eine gemeinsame Ursache ausgelöst werden Gleiche Ausfallart 
  
  • Z. B. Sensor 1 & Sensor 2 fallen aus. Klärung: Hat der Ausfall von Sensor 1 Auswirkungen auf Sensor 2
• Ausfall mehrerer Komponenten, deren Ursache ein einzelner Ausfall einer anderen Komponente darstellt Gemeinsame Ausfallursache 
  
  • Ausfälle sind statistisch abhängig voneinander, da sich verschiedene Äste des Fehlerbaums auf dieselbe ausgefallene Komponente beziehen 
    
  • Z. B. Fehler in der Stromversorgung

5. Qualitative Bewertung

Die Zuverlässigkeit bzw. das Risiko von Ausfällen wird über die graphische Struktur (qualitativ) abgeschätzt 

• Keine Eingangsdaten für den Fehlerbaum (Ausfallraten) notwendig 
  
• Verfahren bzw. Fehlerbaum muss vollständig sein, damit eine qualitative Bewertung zweckmäßig ist 
  
• Vollständigkeit bedeutet, dass alle Ereignisse und Ereigniskombinationen in der Fehlerbaumerstellung berücksichtig wurden 

Alle Ereigniskombinationen, die zum Ausfall eines Systems führen, können gefunden werden 
Voraussetzungen hierfür sind: 

• Konsequente Anwendung der Methode 
  
• Sorgfalt des Anwenders 
  
• Kenntnisstand der verschiedenen Einflüsse auf das betrachtete System 
  
• Eine realistische Fehlerbaumerstellung hängt auch von den Möglichkeiten der Abbildung der kausalen Wirkungskette und seinem funktionalen Ausfallverhalten ab

Qualitative Auswertung – Kritische Pfade

• Risiken werden bereits ohne Eingangsdaten (z.B. Ausfallarten) ersichtlich
  
• Gute Anwendungsmöglichkeit bei einer reinen Ursachenermittlung mit Hilfe der FTA o Auswertung des Gesamtsystems schnell und unkompliziert Zuordenbarkeit der Risiken an die entsprechenden Fachabteilungen möglich
  
• Gewonnene Ergebnisse können auf ähnliche Systeme übertragen werden 
  
• Qualitative Auswertung – Minimale Schnittmengen 
  
• Hierbeiwerden Einzel- oder Mehrfachausfälle untersucht
  
• Systemkomponenten werden kombiniert,diezumschnellstenAusfalldesSystemsführen o Schwachstellen in der Verkettung werden deutlich
  
• Ein Ergebnis dieser Analyseform bringt, unter Umständen, die Notwendigkeit für ein schnelles agieren mit sich (Hohes Risiko -> z.B. Änderungen des Designs)
• Risiken werden bereits ohne Eingangsdaten (z.B. Ausfallarten) ersichtlich
  
• Gute Anwendungsmöglichkeit bei einer reinen Ursachenermittlung mit Hilfe der FTA o Auswertung des Gesamtsystems schnell und unkompliziert Zuordenbarkeit der Risiken an die entsprechenden Fachabteilungen möglich
  
• Gewonnene Ergebnisse können auf ähnliche Systeme übertragen werden 
  
• Qualitative Auswertung – Minimale Schnittmengen 
  
• Hierbeiwerden Einzel- oder Mehrfachausfälle untersucht
  
• Systemkomponenten werden kombiniert,diezumschnellstenAusfalldesSystemsführen o Schwachstellen in der Verkettung werden deutlich
  
• Ein Ergebnis dieser Analyseform bringt, unter Umständen, die Notwendigkeit für ein schnelles agieren mit sich (Hohes Risiko -> z.B. Änderungen des Designs)

Ansätze zu Bewertung:

Kritischer Pfad = Kritische Menge bzw. minimale Schnittmenge 

• Ast des Fehlerbaums, bei dem die Komponentenausfälle nicht durch systemeigene Vermeidungs- bzw. Prüfmechanismen (Diagnose- und Fehlererkennungsmaßnahmen) abgesichert sind oder werden können 
  
• Erkenntnisse über Zusammenhänge von Ursache und Wirkung 
  
• Ableitung von Näherungen über Risiken und Schwachstellen des Systems 

Kritische Menge – Schwächster Ast = ODER-Verknüpfungen

• Die kritische Menge ist der Unterbaum eines Fehlerbaums, der die minimale Kombination von Einzelelementen enthält, deren Ausfall zu einem unerwünschten Ereignis führt 
  
• Es ist somit eine Aussage über den schwächsten Ast des Fehlerbaums möglich 
  
• Schwächster Ast ist die Kombination an Ereignissen, die am ehesten zu einem Ausfall führt 

Kritische Menge – Stärkster Ast = UND Verknüpfungen

• Ist für einen Unterbaum der schwächste Ast bestimmt worden, so ist es auch möglich, den stärksten Ast des Unterbaums zu bestimmen 
  
• Stärkster Ast ist die Kombination an Ereignissen, mit deren Auftreten am ehesten nicht zu rechnen ist und somit ein Ausfall „unrealistischer“ ist 
  
• D.h., ein Ausfall über den stärksten Ast wird am wenigsten erwartet

Beurteilung der qualitativen FTA

Vorteile: 

• Exakte Anpassung an den Untersuchungsgegenstand möglich 
  
• Tiefer Informationsgehalt der Auswertung 
  
• Ermöglicht die Aufdeckung noch unbekannter Ausfallursachen 
  
• Ableitung von Verbesserungsvorschlägen! 

Nachteile: 

• Aufwendige Auswertung der Ergebnisse 
  
• Hohe fachliche Kenntnis der Themenfelder der jeweiligen Äste notwendig 
  
• Relativ zeit- und kostenintensiv 
  
• Vergleichbarkeit?