2008-02-18 dissertation marcus abele · vii kurzfassung um die sicherheit im straßenverkehr zu...

Marcus Abele

Modellierung und Bewertung hochzuverlässiger Energiebordnetz-Architekturen für sicherheitsrelevante Verbraucher in Kraftfahrzeugen

Die vorliegende Arbeit wurde vom Fachbereich Elektrotechnik/Informatik der Universität Kassel als Dissertation zur Erlangung des akademischen Grades eines Doktors der Ingenieurwissenschaften (Dr.-Ing.) angenommen. Erster Gutachter: Prof. Dr.-Ing. Jürgen Leohold Zweiter Gutachter: Prof. Dr.-Ing. Heinz Theuerkauf Tag der mündlichen Prüfung 18. Januar 2008 Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar Zugl.: Kassel, Univ., Diss. 2008 ISBN 978-3-89958-388-5 URN: urn:nbn:de:0002-3886 © 2008, kassel university press GmbH, Kassel www.upress.uni-kassel.de Druck und Verarbeitung: Unidruckerei der Universität Kassel Printed in Germany

I

“A life without adventure is likely to be unsatisfying, but a life in which adventure is allowed to take whatever form it will, is likely to be short.” Bertrand Russel

III

Danksagung Diese Arbeit entstand während meiner Tätigkeit als Doktorand im Zentralbereich Forschung und Vorausentwicklung der Robert Bosch GmbH. Die wissenschaftliche Betreuung erfolgte durch die Fakultät für Elektrotechnik und Informationstechnik der Universität Kassel. Diese Dissertation wäre ohne die Hilfe einer Vielzahl von Personen aus meinem beruflichen und privaten Umfeld nicht dieselbe geworden. Ihnen möchte ich an dieser Stelle für die mir zu Teil gewordene Unterstützung herzlich danken. Ganz besonderer Dank gilt Herrn Prof. Dr.-Ing. Jürgen Leohold, ehemaliger Leiter des Fachgebietes für Fahrzeugtechnik und Grund-lagen der Elektrotechnik an der Universität Kassel. Durch seine Unterstützung, sein stetes Interesse und die vielen wissenschaftlichen Anregungen machte er den erfolgreichen Ab-schluss der Arbeit erst möglich. Herrn Prof. Dr.-Ing. Heinz Theuerkauf vom Fachgebiet An-triebstechnik der Universität Kassel danke ich herzlich für die Übernahme der Betreuung nach dem Wechsel von Professor Leohold zur Konzernforschung der Volkswagen AG. Die Unter-stützung und die Impulse von Professor Theuerkauf haben die Qualität der Arbeit erheblich gesteigert. Auch meinen Kollegen an beiden Fachgebieten und sämtlichen involvierten Stu-denten und Diplomanden danke ich für die angenehme Zeit, die Hilfsbereitschaft und die zahlreichen Diskussionen und Hinweise im Rahmen der Doktorandenkolloquien. Der Robert Bosch GmbH, die mir die Erstellung der Arbeit im Rahmen eines Doktoranden-programms ermöglicht hat, bin ich zu besonderem Dank verpflichtet. Danken möchte ich hier besonders meinen beiden Betreuern Herrn Prof. Dr. rer. nat. Norbert Hoffmann und Herrn Dipl.-Ing. Wolfgang Haas für die Bereitstellung des Themas und die engagierte Unterstüt-zung. Meinen Kollegen der Abteilung CR/AEP2 danke ich für ihre ständige Diskussions- und Hilfsbereitschaft. Jeder hat auf seine Art und Weise zum Gelingen der Arbeit beigetragen. Besonderer Dank gilt Herrn Dipl.-Ing. Wolfgang Müller für die unzähligen Anregungen, Dis-kussionen und Impulse, die mit zu den Ergebnissen der Arbeit geführt haben. Schließlich möchte ich mich besonders herzlich bei meiner Freundin und meinen Eltern be-danken, die mir durch ihre unermüdliche moralische Unterstützung, ihr Verständnis und die geduldige Hinnahme vieler Entbehrungen ein unverzichtbarer Rückhalt waren. Widmen möchte ich diese Arbeit dem Menschen, der meinen Weg 27 Jahre lang begleitet hat, das En-de dieser Arbeit aber nicht mehr miterleben konnte, meiner Mutter Slavica. Marcus Abele Künzelsau im April 2007

V

Meiner Mutter Slavica

VII

Kurzfassung Um die Sicherheit im Straßenverkehr zu erhöhen, werden in Kraftfahrzeugen in zunehmen-dem Maße Systeme mit aktivem Eingriff in die Fahrzeugführung eingesetzt. Neben den etab-lierten Systemen, wie ABS oder ESP, führt die derzeitige Entwicklung auch auf so genannte X-by-Wire-Systeme ohne mechanische oder hydraulische Rückfallebene. Da ein Ausfall der Stromversorgung bei diesen Systemen zu lebensgefährlichen Situationen führen kann, wird die elektrische Energieversorgung zu einem sicherheitsrelevanten Infrastruktursystem. Neben den veränderten elektrischen Anforderungen, muss die elektrische Energiebereitstellung vor allem die Forderungen nach hoher Zuverlässigkeit und Fehlertoleranz erfüllen. Hohe Anforderungen an die Zuverlässigkeit und Sicherheit lassen sich allein über determinis-tische Verfahren, wie Sicherheitsfaktoren oder Redundanzvorgaben, nicht erfüllen. Die Un-zuverlässigkeit kann in sicherheitsrelevanten Systemen erhebliche Auswirkungen haben. Feh-ler sind aber nicht vollständig vermeidbar, da die Zuverlässigkeit jeder Komponente immer endlich ist. Zunehmend etablieren sich daher risikoorientierte probabilistische Anforderungen an sicherheitsrelevante Kfz-Systeme, die die Auswirkungen der Unzuverlässigkeit auf die Sicherheit quantitativ definieren. Durch die endliche Zuverlässigkeit der Betriebsmittel kön-nen auch elektrische Energieversorgungssysteme einen sicherheitsrelevanten Verbraucher nur mit endlicher Zuverlässigkeit versorgen. Es werden Betriebssicherheitsstudien notwendig. Zur Gestaltung einer hochzuverlässigen elektrischen Energieversorgung für sicherheitsrele-vante Verbraucher ist es erforderlich, die Auswirkungen, die sich durch die endliche Zuver-lässigkeit der Betriebsmittel ergeben, frühzeitig zu analysieren. Die Zuverlässigkeitstheorie nutzt als Hilfsmittel zur Beschreibung und Quantifizierung der Zuverlässigkeitseigenschaften eines Systems probabilistische Methoden. Dabei gibt es kein Verfahren, das für alle Systeme oder Fragestellungen geeignet ist. Die Wahl der geeigneten Methode hängt von den Eigen-schaften des zu untersuchenden Systems, den Randbedingungen und den zu klärenden Frage-stellungen ab. Wie bei allen Arten der Modellierung lassen sich auch bei der modellbasierten Zuverlässigkeitsanalyse nur jene Systemeigenschaften untersuchen, die bei der Modellbildung berücksichtigt wurden. Abgestimmt auf die Eigenschaften des zu analysierenden Systems muss daher ein geeignetes Analysewerkzeug angewendet werden. Diese Arbeit untersucht die Anwendbarkeit der mathematischen Methoden der Zuverlässigkeitstheorie unter den besonde-ren Randbedingungen bei sicherheitsrelevanten Kraftfahrzeuganwendungen und unterzieht sie einer vergleichenden Bewertung. Die Methoden werden ausführlich diskutiert und Defizite aufgezeigt. Ausgehend von den Defiziten wird eine Modellierungs- und Bewertungsmethodik entwickelt, die die anforderungsgerechte Auslegung von hochzuverlässigen elektrischen E-nergiebordnetzen für Kraftfahrzeugsysteme mit hoher Sicherheitsrelevanz unterstützt.

IX

Inhaltsangabe

VERZEICHNIS WICHTIGER BEZEICHNUNGEN UND ABKÜRZUNGEN............ XV

EINFÜHRUNG

ENTWICKLUNGEN BEI KRAFTFAHRZEUGSYSTEMEN................................................................. 1 AUSWIRKUNGEN AUF DAS ENERGIEBORDNETZ ....................................................................... 2 PROBLEMSTELLUNG UND ZIEL DER ARBEIT ............................................................................ 4 GLIEDERUNG UND AUFBAU DER DISSERTATION...................................................................... 6

KAPITEL 1

ZUVERLÄSSIGKEIT UND SICHERHEIT BEI ELEKTRISCHEN ENERGIEBORDNETZSYSTEMEN..................................................................................... 7

1.1 GRUNDLEGENDE BETRACHTUNGEN.................................................................................. 7 1.1.1 Endliche Zuverlässigkeit technischer Systeme ........................................................ 8 1.1.2 Abgrenzung von Zuverlässigkeit und Sicherheit ................................................... 11 1.1.3 Das Prinzip der Risikominimierung und der vertretbaren Risiken ........................ 13 1.1.4 Fehler und Ausfälle in technischen Systemen........................................................ 15

1.2 ANFORDERUNGEN AN SICHERHEITSRELEVANTE KFZ-SYSTEME...................................... 21 1.2.1 Qualitative Anforderungen..................................................................................... 21 1.2.2 Quantitative Anforderungen................................................................................... 21

1.3 SICHERHEITSRELEVANTE ENERGIEBORDNETZSYSTEME.................................................. 23 1.3.1 Luftfahrttechnisches elektrisches Energiebordnetzsystem..................................... 23 1.3.2 Schiffstechnisches elektrisches Energiebordnetzsystem........................................ 25 1.3.3 Besondere Randbedingungen im Kraftfahrzeugbereich ........................................ 26

1.4 KRITERIEN FÜR DIE WAHL DER MODELLIERUNGSMETHODE........................................... 28 1.5 ZUSAMMENFASSUNG ZU KAPITEL 1................................................................................ 30

X Inhaltsangabe

KAPITEL 2

VERGLEICHENDE BEWERTUNG VON MODELLIERUNGSMETHODEN ............ 33

2.1 SICHERHEITS- UND ZUVERLÄSSIGKEITSANALYSEN......................................................... 33 2.1.1 Zur Modellbildung und Abstraktion ...................................................................... 33 2.1.2 Modelle der Zuverlässigkeit und Sicherheit........................................................... 34

2.2 PARTS-COUNT UND PARTS-STRESS MODELL.................................................................. 37 2.3 BOOLESCHES ZUVERLÄSSIGKEITSMODELL ..................................................................... 38

2.3.1 Berechnung der pfad- und schnittorientierten Strukturfunktion ............................ 38 2.3.2 Eigenschaften und Einschränkungen ..................................................................... 44 2.3.3 Boolesche Fehlerbaumanalyse ............................................................................... 45 2.3.4 Weitere boolesche Methoden ................................................................................. 47 2.3.5 Erweiterungen des booleschen Zuverlässigkeitsmodells ....................................... 48 2.3.6 Zusammenfassung zu booleschen Modellen.......................................................... 51

2.4 MARKOVSCHES ZUVERLÄSSIGKEITSMODELL.................................................................. 52 2.4.1 Zustandsmodelle und stochastische Prozesse ........................................................ 52 2.4.2 Homogenes Markov-Prozessmodell ...................................................................... 53 2.4.3 Markov-Modelle mit zeitlichen Abhängigkeiten ................................................... 61 2.4.4 Eigenschaften und Einschränkungen von Markov-Prozessen ............................... 64 2.4.5 Zusammenfassung zu Markov-Prozessen .............................................................. 66

2.5 PETRI-NETZ BASIERTES ZUVERLÄSSIGKEITSMODELL ..................................................... 66 2.5.1 Aufbau und Modellierungsregeln........................................................................... 66 2.5.2 Eigenschaften verschiedener Petri-Netz-Klassen................................................... 68 2.5.3 Modellierung des Ausfallverhaltens mit Petri-Netzen ........................................... 70 2.5.4 Zusammenfassung zu den Eigenschaften von Petri-Netzen .................................. 71

2.6 HYBRIDE UND ERWEITERTE MODELLIERUNGSANSÄTZE ................................................. 72 2.6.1 Dynamischer Fehlerbaum - Fehlerbaum und Markov-Prozess.............................. 73 2.6.2 „Extended Fault Tree“ – Fehlerbaum und Petri-Netz ............................................ 76 2.6.3 Variations-Simulationsmodell - Monte-Carlo-Methode ........................................ 77 2.6.4 Genetische Algorithmen in Zuverlässigkeitsanalysen ........................................... 79 2.6.5 Fuzzy-Methoden – Modellierung von unscharfem Wissen ................................... 81

2.8 ZUSAMMENFASSENDE DISKUSSION ZU KAPITEL 2 .......................................................... 83

KAPITEL 3

MODELLIERUNG MIT MARKOV-PROZESSEN .......................................................... 87

3.1 MODELLIERUNG VON SERIEN- UND PARALLELSTRUKTUREN .......................................... 87 3.1.1 Modellierung einer zuverlässigkeitstechnischen Serienstruktur ............................ 87 3.1.2 Modellierung einer zuverlässigkeitstechnischen Parallelstruktur .......................... 88

Inhaltsangabe XI

3.2 MODELLIERUNG ABHÄNGIGER FEHLER .......................................................................... 91 3.2.1 Folgefehler - Ausfallabhängigkeiten durch Mehrbelastung................................... 91 3.2.2 Explizite Berücksichtigung von Redundanz überbrückenden Fehlern .................. 92 3.2.3 Implizite Modellierung abhängiger Fehler - β-Faktor Modell............................... 93 3.2.4 Implizite Modellierung abhängiger Fehler - MGL-Modell.................................... 94

3.3 MODELLIERUNG EINER NICHT PERFEKTEN FEHLERERKENNUNG ..................................... 95 3.3.1 Fehlerprozess bei entdeckten und unentdeckten Fehler ......................................... 95 3.3.2 Falsche Erkennung eines Fehlers ........................................................................... 96 3.3.3 Bedeutung der Anforderungsrate rD ....................................................................... 97

3.4 MODELLIERUNG ZEITLICH BEGRENZTER SYSTEMZUSTÄNDE........................................... 97 3.5 MODELLIERUNG VON REPARATUREN UND INSPEKTIONEN.............................................. 99

3.5.1 Modellierung perfekter Reparaturen ...................................................................... 99 3.5.2 Modellierung nicht perfekter Reparaturen ............................................................. 99 3.5.3 Einfluss periodischer und nicht periodischer Inspektionen.................................. 100

3.6 MODELLIERUNG EINES DYNAMISCH REDUNDANTEN SYSTEMS ..................................... 101 3.7 KURZE ZUSAMMENFASSUNG ZU KAPITEL 3.................................................................. 102

3.7.1 Modellierungsmöglichkeiten mit Markov-Modellen ........................................... 102 3.7.2 Defizite und weitere Ansatzpunkte ...................................................................... 103

KAPITEL 4

SYSTEMATISCHE FEHLERIDENTIFIKATION UND MODELLERSTELLUNG – MAFIA-VERFAHREN........................................................................................................ 105

4.1 ANFORDERUNGEN AN DIE METHODIK........................................................................... 106 4.2 METHODISCHER ANSATZ.............................................................................................. 107 4.3 INDUKTIVE ERSTFEHLERIDENTIFIKATION ..................................................................... 108

4.3.1 Failure Mode and Effect Analysis als Basis der Methodik.................................. 108 4.3.2 FMEA-Modifikationen für fehlertolerante Systeme ............................................ 109 4.3.3 Erstfehlertabelle - Modifizierte FMEA für die Erstfehler.................................... 110

4.4 MATRIXVERFAHREN ZUR FEHLERKORRELATIONSANALYSE.......................................... 111 4.4.1 Bedeutung von Mehrfachfehlern bzw. Ereignisverkettungen.............................. 111 4.4.2 Einführung von Fehlerkorrelationsmatrizen ........................................................ 112 4.4.3 Erstellung des Markov-Modells ........................................................................... 114 4.4.4 Regeln für die Darstellung des Markov-Graphen ................................................ 115

4.5 DAS MAFIA-VERFAHREN AN EINEM BEISPIEL............................................................. 116 4.6 ZUSAMMENFASSUNG ZU KAPITEL 4.............................................................................. 119

KAPITEL 5

XII Inhaltsangabe

ANALYSE EINES MARKOV-MODELLS - KENNGRÖßEN UND MODELLAUSWERTUNG................................................................................................. 121

5.1 BEWERTUNGSKENNGRÖßEN EINES MARKOV-MODELLS ............................................... 121 5.1.1 Relative Sprungwahrscheinlichkeit...................................................................... 121 5.1.2 Berechnung der Mean Time To Failure (MTTF)................................................. 122 5.1.3 Fehlersequenzrate in einen absorbierenden Zustand (FSRA) ............................... 123 5.1.4 Fehlersequenzrate in einen nicht absorbierenden Zustand (FSRNA) .................... 124

5.2 STATISTISCHE PARAMETER-UNSICHERHEITEN ............................................................. 125 5.2.1 Zusammenwirken von Probabilistik und Statistik ............................................... 125 5.2.2 Statistische Unsicherheiten bei Zuverlässigkeitskenndaten................................. 126 5.2.3 Statistische Grenzen bei der Felddatenerfassung ................................................. 129

5.3 ZUSAMMENFASSUNG ZU KAPITEL 5.............................................................................. 130

KAPITEL 6

ANWENDUNG DER ERKENNTNISSE AM BEISPIEL „BRAKE-BY-WIRE-BORDNETZ“ ....................................................................................................................... 133

6.1 ENTWICKLUNG EINES SICHERHEITSRELEVANTEN TEILSYSTEMS ................................... 133 6.1.1 Ableitung von sicherheitstechnischen Anforderungen an Teilsysteme ............... 133 6.1.2 Kurze Beschreibung des Brake-by-Wire-Bordnetzes .......................................... 136

6.2 MODELLIERUNG DES BRAKE-BY-WIRE-BORDNETZES .................................................. 138 6.2.1 Fehleranalyse und Modellierung mit dem MAFIA-Verfahren ............................ 138 6.2.2 Markov-Modell des Brake-by-Wire-Bordnetzes ................................................. 141 6.2.3 Parametrierung des Markov-Modells................................................................... 144 6.2.4 Berechnung des Markov-Modells ........................................................................ 147

6.3 MODELLANALYSE – BEISPIELHAFTE ERGEBNISSE ........................................................ 148 6.3.1 Analyse der Fehlerpfade....................................................................................... 148 6.2.2 Analyse der Restfahrzeit in einem degradierten Zustand..................................... 151 6.2.3 Analyse der Zustandsgruppen .............................................................................. 152 6.3.4 Ableitung von Sicherheitsmaßnahmen und Diagnoseanforderungen .................. 154

6.4 ZUSAMMENFASSUNG ZU KAPITEL 6.............................................................................. 155

KAPITEL 7

ZUSAMMENFASSUNG UND AUSBLICK...................................................................... 157

7.1 REKAPITULATION DER WISSENSCHAFTLICHEN ERKENNTNISSE ..................................... 157 7.2 AUSBLICK AUF WEITERFÜHRENDE ARBEITEN ............................................................... 159 7.3 SCHLUSSWORT.............................................................................................................. 161

SCHRIFTTUM..................................................................................................................... 163

Inhaltsangabe XIII

VERZEICHNIS DER BILDER .......................................................................................... 171

TABELLENVERZEICHNIS .............................................................................................. 174

STUDIEN- UND DIPLOMARBEITEN DIE IM RAHMEN DER ARBEIT ENTSTANDEN SIND.......................................................................................................... 175

PUBLIKATIONEN DES AUTORS ................................................................................... 176

LEBENSLAUF DES AUTORS........................................................................................... 177

XIV Inhaltsangabe

XV

Verzeichnis wichtiger Bezeichnungen und Abkürzungen Formelzeichen Erklärung A Auftretenswahrscheinlichkeit in der FMEA A(t) Availability / Verfügbarkeit A(…) Übergangsmatrix B Bedeutung der Fehlerfolge in der FMEA C Entdeckungswahrscheinlichkeit Ct Cut / Schnitt c Wahrscheinlichkeit eines Phasenwechsels E Entdeckungswahrscheinlichkeit in der FMEA E[…] Erwartungswert exp(a) ea F(t) Failure-Probability / Ausfallwahrscheinlichkeit FSRA Fehlersequenzrate in einen absorbierenden Zustand FSRNA Fehlersequenzrate in einen nicht absorbierenden Zustand f(t) Failure-Probability Density / Ausfallwahrscheinlichkeitsdichte h(t) Phasen-Übergangsrate Im Marginale Importanz i Laufvariable j Laufvariable k Laufvariable l Laufvariable MC Minimal Cut / Minimalschnitt MP Minimal Path / Minimalpfad m Laufvariable bzw. Anzahl N Menge der natürlichen Zahlen n Laufvariable bzw. Anzahl P(t) Probability / Wahrscheinlichkeit Pi(t) Zustandswahrscheinlichkeit des Zustands i

XVI Verzeichnis wichtiger Bezeichnungen und Abkürzungen

Formelzeichen Erklärung PF Funktionsfähiger Zustand PA Ausgefallener Zustand P(…) Zustandvektor P(⋅|⋅) Bedingte Wahrscheinlichkeit Pt Path / Pfad pij(t) Übergangswahrscheinlichkeit vom Zustand i nach j pS, i-j Sprungwahrscheinlichkeit von i nach j Q(t) Generatormatrix QT Transponierte von Q R(t) Reliability / Überlebenswahrscheinlichkeit r Erwartete Anzahl von Ausfällen rD Rate of Demand / Anforderungsrate rT Rate of Test / Testrate S Strukturmodell s Zeitvariable T Parameterraum der Zeitvariablen t bzw. Lebensdauer TB Einsatzzeit einer Komponente TT Test-Zeitintervall Ti Mittlere Verweildauer im Zustand i t Zeitvariable Xi Zufallsvariable X(t) Stochastischer Prozess Xt Stochastischer Prozess mit t ∈ N0 xi Indikatorvariable der Komponente i α Irrtumswahrscheinlichkeit 1-α Signifikanzniveau β Formparameter der Weibull-Verteilung β-Faktor Abhängigkeitsfaktor im β-Faktor-Modell χ Ereignisrate Φ Faktor bzw. Variable im MGL-Modell ΓS(t) Zuverlässigkeits-Systemfunktion γ Lageparameter der Weibull-Verteilung η Maßstabsparameter der Weibull-Verteilung ϕ System-Zustandsindikator ϕS(x) System-Strukturfunktion ξ Zufallsvariable allgemein Ω Zustandsraum λ(t) Ausfallrate

Verzeichnis wichtiger Bezeichnungen und Abkürzungen XVII

Formelzeichen Erklärung λO Statistische Obergrenze der Ausfallrate µ Reparaturrate πE Faktor für die Umweltbedingungen im MIL-HDBK-217F πT Faktor für die Sperrschichttemperatur im MIL-HDBK-217F πQ Faktor für das Qualitätsniveau im MIL-HDBK-217F πL Faktor für die Herstellererfahrung im MIL-HDBK-217F ∀ Unter der Voraussetzung ∨ oder + Disjunktion ∧ oder ⋅ Konjunktion Abkürzung Erklärung A Ausfall ABS Anti-Blockier-System AK Ausgangsknoten ALARP As Low As Reasonably Practicable BbW Brake-by-Wire BZE Batteriezustandserkennung CCF Common Cause Failure CMF Common Mode Failure CSP Cold Spare Gate DCF oder C Diagnostic Coverage Factor DGL Differentialgleichung DIN Deutsches Institut für Normung DNF Disjunktive Normalform EK Eingangsknoten ESP Elektronisches Stabilitätsprogramm eFT Extended Fault Tree FAR Federal Aviation Regulation FDEP Functional Dependency Gate FE Fehlererkennung FHA Functional Hazard Analysis FMEA Failure Mode And Effect Analysis FMECA Failure Mode And Effect Criticality Analysis FTA Fault Tree Analysis G Generator GSPN Generalisiertes Stochstisches Petri-Netz h Stunde IEEE Institute of Electrical and Electronics Engineers

XVIII Verzeichnis wichtiger Bezeichnungen und Abkürzungen

Abkürzung Erklärung JAR Joint Aviation Regulation Kfz Kraftfahrzeug Komp. Komponente L Leitung bzw. Übertragunsgleitung M Motor bzw. Antriebsmotor MAFIA Matrixbasierte Fehleridentifikationsanalyse MDT Mean Down Time MGL Multiple Greek Letter MOTTFF Mean Operation Time To First Failure ms Millisekunde MTBF Mean Time Between Failures MTTF Mean Time To Failure MTTR Mean Time To Repair MUT Mean Up Time NK Netzknoten OR ODER Gatter PAND Priority AND Gate ppm/a Parts Per Million Per Year RPZ Risikoprioritätszahl S Sicher bzw. sicherer Zustand SE Steuer- und Diagnoseeinheit SIL Sicherheits-Integritäts-Level SPN Stochstisches Petri-Netz StVZO Straßenverkehrszulassungsordnung TÜV Technischer Überwachungsverein US Umschalter V Verbraucher VE Voter-Element XbW X-by-Wire Z Zustand Index Erklärung A Availability AKi Ausfall des Kanal i a Abgehend B Batterie bzw. Batterieentladung E Entdeckt e Eingehend ers Ersatz-

Verzeichnis wichtiger Bezeichnungen und Abkürzungen XIX

Index Erklärung G Generator i Laufindex K Kanal k Laufindex LA Lastausfall l Laufindex M Motor bzw. Antriebsmotor MC Minimal Cut / Minimalschnitt m Laufindex α Allgemeiner Faktor oder Exponent max Maximal min Minimal NK Netzknoten n Laufindex OK Fehlerfreier Zustand R Reliability S System T Test TE Top-Ereignis U Unentdeckt Ü Übertragungsleistung V Verbraucher

XX Verzeichnis wichtiger Bezeichnungen und Abkürzungen

1

Einführung

Entwicklungen bei Kraftfahrzeugsystemen Unsicherheitsfaktor Mensch Etwa 95 - 98 % der rund 2,3 Millionen Unfälle im Straßenverkehr, die sich jedes Jahr in Deutschland ereignen, können auf fahrerspezifische Defizite zurückgeführt werden. Über 40 % davon wiederum entfallen auf Müdigkeit oder mangelnde Aufmerksamkeit des Fahrers [FTE-03]. Ursachen für Unfälle sind meist Fehler bei der Situationseinschätzung, Informati-onsverarbeitung und Entscheidungsfindung. Man kann diese Fehler des Menschen nicht voll-ständig vermeiden. Sie sind eine Nebenwirkung seiner Flexibilität, Kreativität, Intuition und seiner Fähigkeit, aus unvollständigen und widersprüchlichen Daten konsistente Schlussfolge-rungen zu ziehen. Gerade diese Fähigkeiten sind es, die der Individualverkehr erfordert. Der Fahrzeugführer kann gefährliche Situationen entschärfen aber auch herbeiführen respektive verschlimmern. Da sich die funktionale und zeitliche Korrektheit des heute noch wichtigsten Verantwortungs- und Funktionsträgers Mensch aber kaum verbessern lässt, liegt das Potenzial zur Verringerung von Unfällen im Straßenverkehr in technischen Ansätzen. Vision vom unfallvermeidenden Fahrzeug Sicherheit wird nicht mehr nur passiv im Sinne der Unfallfolgen durch Minderung des Verlet-zungsrisikos bzw. der Verletzungsschwere der Fahrzeuginsassen definiert, sondern auch durch die Möglichkeit zur Vermeidung von Unfällen durch aktive Assistenzsysteme. In Kraft-fahrzeugen werden unter diesem Aspekt in zunehmendem Maße Systeme mit aktivem Ein-griff in die Fahrzeugführung eingesetzt. Neben den etablierten Systemen, wie ABS (Anti-Blockier-System) oder ESP (Elektronisches Stabilitätsprogramm), führt die derzeitige Ent-wicklung auch auf sogenannte X-by-Wire-Systeme ohne mechanische Rückfallebene. Darun-ter versteht man Fahrzeugsysteme, bei denen kein mechanischer Durchgriff mehr zwischen Bedien- und Stelleinheit besteht. Diese Systeme bieten die Möglichkeit, zur Unfallvermei-dung autonom in die Fahrzeugführung einzugreifen. In neueren Publikationen wird für ein

2 Einführung

intelligentes und autonomes Zusammenspiel Fahrer unterstützender Fahrwerks- und Sicher-heitssysteme häufig auch das Schlagwort „Unfallvermeidendes Fahrzeug“ genannt. X-by-Wire-Systeme sind aber existentiell auf die Versorgung mit elektrischer Energie angewiesen und stellen völlig neue Anforderungen an die Systemsicherheit. Daraus ergeben sich auch signifikante Auswirkungen auf die elektrische Energieversorgung im Kraftfahrzeug.

Auswirkungen auf das Energiebordnetz Elektrisches Energiebordnetz als sicherheitsrelevantes Infrastruktursystem Der Einsatz elektrischer Systeme im Bereich der aktiven Fahrzeugführung setzt beim Ener-giebordnetz die Versorgungszuverlässigkeit von Verbrauchern mit direkter Relevanz für die Fahrzeugsicherheit in den Mittelpunkt des Auslegungsprozesses. Sicherheitsrelevante1 elekt-rische Systeme ohne mechanische oder hydraulische Rückfallebene beziehen ihre Energie aus dem elektrischen Fahrzeugbordnetz. Ein Ausfall der Energieversorgung hätte, bei einem aus-schließlich elektrisch gesteuerten Bremssystem als Beispiel, unweigerlich auch den Verlust der Bremsfunktion zur Folge. Die Energieversorgung wird damit zu einer sicherheitsrelevan-ten Aufgabe und das Energiebordnetz zu einem sicherheitsrelevanten Infrastruktursystem.

Starter G

Sicherungsbox

...

Bild 1: Konventionelle Energiebordnetz-Architektur

Konventionelle Energiebordnetze – Stand der Technik Bild 1 zeigt die Architektur eines konventionellen Energiebordnetzes im Kraftfahrzeug. Ein Generator (G) wirkt als Energiewandler und eine Batterie als Energiespeicher. Die Verteilung der elektrischen Energie zu den Verbrauchern übernimmt ein bislang umfangreiches System aus Kabeln, Schaltern, Sicherungen und Steckverbindern. Durch die hohe Anzahl von Steck-kontakten und Kabeldurchführungen, durch die teilweise komplizierte Führung der Leitungs-verbindungen durch die Fahrzeugkarosserie und nicht zuletzt aufgrund der größtenteils manu-

1 Unter sicherheitsrelevant sind Systeme zu verstehen, die Einfluss auf die Unversehrtheit des Fahrers und der Mitfahrer, sowie anderer Teilnehmer des Straßenverkehrs haben.

Einführung 3

ellen Fertigung und Verlegung des Kabelbaums, gibt es eine Vielzahl potentieller Fehlerstel-len [Leo-96]. Die Bordnetzkomponenten sind dazu hoch belastete Funktionseinheiten. Sie versorgen eine ständig steigende Anzahl elektrischer Verbraucher und sind, durch Vibratio-nen, durch extreme Temperaturen und Temperaturschwankungen sowie durch aggressive Medien, widrigen Umgebungsbedingungen ausgesetzt. Gleichzeitig sind praktisch keine Feh-lertoleranzmaßnahmen vorgesehen, so dass ein einziger Fehler zum Ausfall des gesamten Bordnetzes oder zumindest zum Ausfall einer wichtigen, unter Umständen sicherheitsrelevan-ten Funktion führen kann. Es liegt allerdings in der Natur technischer Systeme, dass sich Feh-ler und Ausfälle nie ganz vermeiden lassen. Bei mechanischen Systemen wird ein drohender Ausfall oft durch Geräusche, Vibrationen oder Leicht- bzw. Schwergängigkeit angezeigt. Das ungewöhnliche Verhalten warnt den Fahrer und veranlasst ihn zu entsprechenden Reaktionen. Elektrische und elektronische Systeme haben dagegen oft die unangenehme Eigenschaft plötzlich und ohne Vorwarnung auszufallen. Ein elektrisches Energieversorgungssystem für sicherheitsrelevante Anwendungen muss deshalb hochzuverlässig und als Fehler erkennendes sowie Fehler tolerierendes System konzipiert werden, das sicherheitsrelevante Verbraucher mindestens so lange mit Energie versorgen kann, bis das Fahrzeug sicher abgestellt ist. Um dies zu gewährleisten, sind eine Vielzahl von Fehlertoleranzmaßnahmen sowie Degradations-konzepten denkbar, die auf eine Vielzahl möglicher, zu bewertender Architekturen führen. Anforderungen an die Energieversorgung sicherheitsrelevanter Verbraucher Die Entwicklung einer Energieversorgung für sicherheitsrelevante elektrische Verbraucher kann nicht mehr nur allein nach funktionalen Auslegungskriterien erfolgen. Durch die Sicher-heitsrelevanz ergeben sich aus Sicht der Produkt- und Produzentenhaftung erhebliche finan-zielle und strafrechtliche Risiken für den Hersteller. Aber auch aus Image-Gründen am Markt steigen die Anforderungen bezüglich der Zuverlässigkeit, Verfügbarkeit und vor allem Si-cherheit des Systems drastisch. Das Energiebordnetz muss, wie jedes andere sicherheitsrele-vante System, den Ansprüchen an die Produktsicherheit entsprechen. Es müssen Betriebssi-cherheitsanalysen durchgeführt werden. Die Untersuchung und die Nachweisführung, dass das System die gestellten Anforderungen erfüllt, ist Aufgabe des Herstellers. Er muss nach-weisen, dass er seiner Sorgfaltspflicht nachgekommen ist. Heutige elektrische Versorgungs-systeme im Kraftfahrzeug werden den neuen Anforderungen nicht gerecht. Neben qualitativen Anforderungen etablieren sich in der Automobilindustrie zunehmend auch quantitative Anforderungen an die Sicherheit der Systeme. Dabei wird die Sicherheit bzw. das akzeptierte Grenzrisiko eines Systems als probabilistische Größe vorgegeben. Diese Vorge-hensweise ist z.B. in der Luftfahrt oder in der Nukleartechnik seit Jahrzehnten etabliert. In der Literatur existieren eine Vielzahl von Pro- und Contraargumenten sowie konkreten Vorschlä-gen zu quantitativen sicherheitstechnischen Anforderungen an Kfz-Systeme, die recht kontro-vers diskutiert werden. Auch einschlägige sicherheitstechnische Normen, wie die [DIN-EN-61508], sehen die Vorgabe quantitativer Anforderungen an die Systemsicherheit vor.

4 Einführung

Diese Vorgehensweise resultiert daraus, dass ein „Null-Fehler“ System technologisch nicht realisierbar ist. Aus unserer täglichen Erfahrungswelt ist einsichtig, dass jede technische Komponente nur eine endliche Zuverlässigkeit hat, was sich auf die Systemsicherheit auswir-ken kann. Durch entsprechenden (finanziellen) Aufwand lässt sich die Zuverlässigkeit zwar in Grenzen beeinflussen, dies hat jedoch einen erheblichen Einfluss auf die ökonomische Bilanz zwischen Nutzen und Aufwand eines Systems. Die endliche Zuverlässigkeit ist damit eine wesentliche und letztendlich auch wirtschaftlich bestimmende Eigenschaft eines Systems. Dies führte beispielsweise in der Luftfahrt Mitte der 70er Jahre dazu, tolerierbare quantitative Zuverlässigkeits- und Sicherheitskennwerte zu definieren, die über geeignete Verfahren und Methoden nachgewiesen werden müssen. Die endliche Zuverlässigkeit der Systemkomponen-ten darf sich nur in definierter Weise auf die Sicherheit eines Systems auswirken. Die Defini-tion von quantitativen Sicherheitsanforderungen bleibt letztendlich ein gesellschaftliches Problem im politisch-moralischen Entscheidungsrahmen. Das Entwickeln und Bewerten von Systemen und das Nachweisen gestellter Anforderungen verlangt aber die Anwendung geeig-neter Methoden, welche die systemspezifischen Besonderheiten berücksichtigen müssen.

Problemstellung und Ziel der Arbeit Modellbasierte Analyse der Sicherheit und Zuverlässigkeit Sollen Sicherheits- und Zuverlässigkeitseigenschaften eines Systems untersucht werden, ist es durch die oft kleinen Ausfall- und Fehlerraten und den komplexen Zusammenhängen zwi-schen Fehlern und Fehlerauswirkungen nicht mehr möglich, quantitative Aussagen auf empi-rischem Weg durch funktionale Tests zu erbringen. Das System muss stattdessen in geeigne-ter Weise modelliert und das zu erwartende Ausfallverhalten analysiert werden. Das Wesen der modellbasierten Analyse von Systemen besteht darin, die entsprechenden zuverlässig-keits- und sicherheitsrelevanten Systemeigenschaften in einem mathematischen Modell zu formulieren. Das Verhalten beim Auftritt von Fehlern wird hierzu in der Systemtheorie der Sicherheit und Zuverlässigkeit mit probabilistischen Modellen beschrieben, um daraus Kenn-größen für die Verlässlichkeit1 der betrachteten Einheit ableiten zu können. Mathematische Modelle ermöglichen auch weitere Untersuchungen, wie beispielsweise die Analyse des Ein-flusses von Parameterunsicherheiten bzw. Parametervariationen oder die Bestimmung von Sensitivitäten und Importanzen bezüglich einzelner Komponenten oder speziellen Fehlern. Problemstellung – Stand der Technik In der Zuverlässigkeitstheorie existiert ein breites Spektrum an mathematischen Formalismen. Verwendet werden Fehlerbäume, Ereignisbäume, Markov-Prozesse, Zuverlässigkeitsblock-diagramme, Monte-Carlo-Simulationen, graphentheoretische Verfahren, Petri-Netze, Fuzzy- 1 Die Erläuterung dieses Begriffes wird in Kapitel 1 gegeben.

Einführung 5

Ansätze, mehrwertige Modellbildungen usw. ([Geis-90], [Vee-91], [Loman-02]). Je komple-xer die mathematischen Methoden werden, umso realitätsnäher können sie die Verhaltenswei-sen des betrachteten Systems abbilden. Jeder Formalismus kann aber nur bestimmte System-eigenschaften modellieren und eignet sich somit nur für bestimmte Anwendungsbereiche und Fragestellungen. Bevor eine Systemanalyse durchgeführt werden kann, sind zunächst die Zie-le und technischen Eigenschaften sowie die Randbedingungen zu identifizieren, die bei der Modellbildung berücksichtigt werden müssen. Anschließend ist eine geeignete Methode oder Methodenkombination zu selektieren. Defizite der Methoden sind im Hinblick auf die spezifi-schen Fragestellungen durch geeignete Weiterentwicklungen und Ansätze aufzulösen. Ziel der Arbeit Ziel der Dissertation ist es, die Methoden zur Bewertung der Zuverlässigkeit und Sicherheit elektrischer Energieversorgungssysteme, unter den speziellen Randbedingungen bei sicher-heitsrelevanten Kraftfahrzeuganwendungen, in einer vergleichenden Bewertung zu untersu-chen, gegenüberzustellen und an Defiziten neue bzw. geeignete methodische Ansätze vorzu-schlagen. Es soll eine Modellierungs- und Bewertungsmethodik entwickelt werden, auf deren Basis der Nachweis, dass zuverlässigkeits- und sicherheitstechnische Anforderungen erfüllt werden, erfolgen kann. Da die vier Bausteine der modellbasierten Zuverlässigkeits- und Si-cherheitsanalyse (Bild 2) in Wechselwirkung zueinander stehen, beinhaltet dies auch eine Diskussion der Problembereiche Bewertung, Daten und Fehlermodelle.

Modellbasierte Sicherheits- und Zuverlässigkeitsanalyse

Fehlermodelle Methode

Daten Bewertung

Ausfall- bzw. Fehlermodelle

Mathematische Systemabbildung

FehlerhäufigkeitenAusfallraten

Anforderungen

Sicherheits-nachweis

Zuverlässigkeits-nachweis

Bild 2: Bausteine der modellbasierten Sicherheits- und Zuverlässigkeitsanalyse

Damit soll ein Beitrag geleistet werden, um elektrische Energieversorgungssysteme für si-cherheitsrelevante Verbraucher in Kraftfahrzeugen hochzuverlässig, sicher und durch die Möglichkeit zur systematischen Optimierung auch kosteneffizient gestalten zu können. Wie noch gezeigt wird, lassen sich die diskutierten Methoden und die entwickelten Ansätze auch auf andere technische Systeme mit ähnlichen Rahmen- und Randbedingungen anwenden.

6 Einführung

Gliederung und Aufbau der Dissertation Kapitel 1 wird grundlegende Zusammenhänge der Sicherheit- und Zuverlässigkeitstheorie technischer Systeme erörtern, sowie die Beurteilungskriterien und Anforderungen an die Auswahl einer geeigneten mathematischen Modellierungsmethode für die modellbasierte Si-cherheits- und Zuverlässigkeitsanalyse erarbeiten. Betrachtet werden dabei speziell Eigen-schaften elektrischer Energiebordnetzsysteme für sicherheitsrelevante Fahrzeuganwendungen. Kapitel 2 untersucht anhand der Beurteilungskriterien aus Kapitel 1 eingehend die individuel-le oder gemeinsame Anwendbarkeit der mathematischen Modellierungsmethoden der Si-cherheits- und Zuverlässigkeitstheorie für die Beurteilung sicherheitsrelevanter elektrischer Energiebordnetzsysteme im Kfz. Die Methoden werden in einer vergleichenden Bewertung gegenüber gestellt sowie Eigenschaften und Defizite aufgezeigt und diskutiert. Kapitel 3 diskutiert wichtige Aspekte der Modellierung des Ausfallverhaltens elektrischer Energiebordnetzsysteme mit Markov-Prozessen und veranschaulicht sie an Beispielen. Neue Aspekte bei der Modellierung werden aufgezeigt und aufzulösende Defizite dargestellt. Kapitel 4 stellt einen Ansatz zur systematischen Fehleridentifikation und Modellerstellung vor. Es wird gezeigt, wie mit definierten Fehlermodellen und einer matrixbasierten Fehlerkor-relationsanalyse für ein fehlertolerantes Energiebordnetzsystem systematisch und strukturiert ein Markov-Modell nach den Aspekten aus Kapitel 3 erstellt werden kann. Kapitel 5 erarbeitet und definiert spezielle Kenngrößen und Auswertungsmöglichkeiten, die in dieser Arbeit für Markov-Analysen eingeführt werden. Sie erlauben eine deutliche Erweite-rung der Analyse und Beurteilung von Markov-Modellen gegenüber heutigen Vorgehenswei-sen. Es werden insbesondere auch statistische Parameterunsicherheiten betrachtet. Kapitel 6 veranschaulicht die Anwendung der Erkenntnisse und Methoden anhand der Si-cherheitsanalyse eines Brake-by-Wire-Bordnetzes. Es wird gezeigt, dass sich die entwickelten Methoden und Ansätze auch für komplexere und umfangreichere Problemstellungen eignen. Kapitel 7 beschließt die Arbeit mit einer kurzen Rekapitulation der wissenschaftlichen Er-kenntnisse und einem Ausblick auf mögliche weitere Arbeiten.

7

Kapitel 1

Zuverlässigkeit und Sicherheit bei elekt-rischen Energiebordnetzsystemen Es dürfte kaum eine ingenieurstechnische Methode geben, deren Anwendung so kontrovers diskutiert wird, gleichzeitig aber so weit reichende Konsequenzen hat, wie der Bereich der modellbasierten Analyse der Zuverlässigkeit und Sicherheit technischer Systeme. Die häufig auf probabilistischen Modellen beruhenden Methoden der Zuverlässigkeitstheorie haben, we-gen der oft nur unscharf vorhanden Eingangsdaten, der hochaggregierten Ergebniskenngrö-ßen, der Validierbarkeit und nicht zuletzt wegen der häufig komplexen und abstrakten ma-thematischen Modelle, in vielen Bereichen mit Akzeptanzproblemen zu kämpfen. Gleichzei-tig werden auf Basis dieser Methoden aber Flugzeuge, chemische Großanlagen bis hin zu Kernkraftwerken analysiert, bewertet und konzipiert. Ziel dieses ersten Kapitels soll deshalb sein, das grundlegende Verständnis der Zusammenhänge zu erörtern, sowie die Anforderun-gen an die modellbasierte Sicherheits- und Zuverlässigkeitsanalyse speziell bei elektrischen Energiebordnetzsystemen für sicherheitsrelevante Fahrzeuganwendungen zu erarbeiten.

1.1 Grundlegende Betrachtungen Beim Studium der Zuverlässigkeits- und Sicherheitstheorie fällt auf, dass vertraute Alltags-begriffe, wie Sicherheit oder Zuverlässigkeit, mit teilweise feinsinnigen Bedeutungsunter-schieden besetzt sind, so dass es zu Beginn der Arbeit sinnvoll ist, zunächst einmal einen Ü-berblick über die Bedeutungen und Zusammenhänge des verwendeten Vokabulars zu geben. In der Literatur finden sich eine Vielzahl von Definitionen was die Terminologie betrifft. An dieser Stelle sollen deshalb keine neuen Definitionen formuliert werden. Vielmehr soll es um

8 Kapitel 1 Zuverlässigkeit und Sicherheit bei elektrischen Energiebordnetzsystemen

die Einführung einer einheitlichen Betrachtungsweise und die Veranschaulichung später be-nutzter Begriffe und Sachverhalte gehen. Das Vokabular und die Zusammenhänge werden so erläutert, wie sie in dieser Arbeit verstanden und verwendet werden. 1.1.1 Endliche Zuverlässigkeit technischer Systeme Technische Systeme werden mit der Intention entwickelt, ihrer Umwelt bestimmte Funktio-nen zur Verfügung zu stellen. Jedes Systems steht über direkte und indirekte Schnittstellen mit der umgebenden und beeinflussenden Umwelt in Wechselwirkung. Die Umwelt erwartet, dass bestimmte Funktionen vom System erfüllt werden. Ein technisches System besteht dazu aus einer endlichen Menge von Elementen, die Eigenschaften besitzen und deren Verknüp-fungen die Struktur des Systems ergeben. Unter Zuverlässigkeit ist die Fähigkeit einer Be-trachtungseinheit zu verstehen, während einer vorgegebenen Zeitspanne und unter vorgege-benen Anwendungsbedingungen, die erwartete(n) Funktion(en) zu erfüllen [DIN-40041]. Der Begriff der Zuverlässigkeit bezieht sich immer auf einen bestimmten Betrachtungszeitraum, spezifizierte Funktionen, vorgegebene Fehlerkriterien und zulässige Betriebsbedingungen. Zuverlässigkeit ist daher ein aggregierter Oberbegriff für bestimmte Erwartungen an die funk-tionellen Eigenschaften eines Systems und zunächst keine quantifizierende Maßgröße. Die Zuverlässigkeit jedes Elements eines technischen Systems ist immer endlich. Damit wird auch die Zuverlässigkeit des Systems selbst endlich. Um Systeme unter dem Gesichtspunkt dieser endlichen Zuverlässigkeit beurteilen und vergleichen zu können ist es sinnvoll, quanti-fizierende Maße für die Zuverlässigkeit einzuführen. In der Zuverlässigkeitstheorie wird die Zuverlässigkeit mathematisch als Wahrscheinlichkeit aufgefasst, mit der eine Betrachtungs-einheit eines Anfangsbestandes ohne zu Versagen seine bestimmungsgemäße Funktion inner-halb einer bestimmten Einsatzdauer [0, t] aufrecht erhält. Eine Zuverlässigkeitskenngröße ist die Überlebenswahrscheinlichkeit (engl. Reliability) mit R(t) = P(T > t). Die komplementäre Größe zu R(t) ist die Ausfallwahrscheinlichkeit F(t). Da technische Systeme, bedingt durch die endliche Zuverlässigkeit der Komponenten, bei genügend großer Einsatzdauer immer in einen Ausfallzustand streben, wird R(t) prinzipiell durch beliebige aber (streng) monoton fal-lende Verteilungsfunktionen beschrieben, die den Bedingungen in Gleichung 1.1.1 genügen.

( )( )( )( ) ( )⎪

⎩

⎪⎨

⎧

−==∞→

==→

tRtFtRtR

tR1

010

(Gl. 1.1.1)

Technische Systeme haben grundsätzlich eine Zerfallstendenz, die, auch wenn sie sehr klein sein mag, bei großen Stückzahlen und/oder langer Einsatzzeit doch relevant in Erscheinung

Kapitel 1 Zuverlässigkeit und Sicherheit bei elektrischen Energiebordnetzsystemen 9

treten kann. Das technische Versagensrisiko ist nicht beliebig klein. Die Voyager Raumsonde wurde beispielsweise so konzipiert, dass sie mit einer Wahrscheinlichkeit von 95% die Reise zum Saturn überlebt. Bei fehlertoleranten und dynamisch konfigurierten Systemen reicht die Überlebenswahrscheinlichkeit als alleinige Kenngröße nicht aus, da es viele systeminterne Betriebszustände mit unterschiedlichen Graden der Funktionserfüllung geben kann. Dies kann entscheidenden Einfluss auf die Zuverlässigkeit haben. Deshalb sind in der Zuverlässigkeits-theorie weitere Kenngrößen definiert, wie die mittlere Betriebszeit bis zum ersten Fehler (MOTTFF, Mean Operation Time To First Failure) oder die Verfügbarkeit A(t) (Availability), bei der Reparaturen und Umkonfigurationen mit betrachtet werden. Die Verfügbarkeit charak-terisiert für reparierbare Systeme den zeitlichen Anteil der Benutzbarkeit. Für nicht reparier-bare Systeme entspricht die Verfügbarkeit A(t) der Überlebenswahrscheinlichkeit R(t). Dar-über hinaus lassen sich weitere problemspezifische Kenngrößen definieren. Bei elektrischen Energieversorgungsnetzen kann die Wahrscheinlichkeit, Häufigkeit oder Dauer interessieren, mit der an einem bestimmten Netzknotenpunkt ein Versorgungsdefizit auftritt. Die Zuverlässigkeit wird von vielen Größen beeinflusst. Relevant sind beispielsweise Stress-faktoren, wie Umgebungs- und Betriebsbedingungen, Wartungen, Schädigungsmechanismen, menschliche Einflüsse und Eingriffe, Redundanzkonfigurationen, usw. Die vielen und teil-weise voneinander abhängigen Größen bewirken, dass die Zuverlässigkeit als probabilistische Systemeigenschaft in Erscheinung tritt. Die Erfüllung der erwarteten Funktionen kann nur mit begrenzter Wahrscheinlichkeit gewährleistet werden. Die Lebensdauer T eines Elements oder der Zeitpunkt wann ein Fehler auftritt sind Zufallsgrößen. Aus diesem Grund greift die Zuver-lässigkeitstheorie auf die Probabilistik als Hilfsmittel zu Beschreibung zurück, da sich die vielen Einflussgrößen meist nicht scharf trennen lassen und somit nicht mehr in einem deter-ministischen Modell beschreibbar sind. Die Zuverlässigkeit einer Komponente kann in unter-schiedlichen Systemen, bedingt z.B. durch Abhängigkeiten von den Betriebsbedingungen, stark schwanken. Die Schwierigkeit liegt in der Identifizierung der beeinflussenden Größen, sowie in der Beschreibung, wie sich diese Einflussfaktoren in einer Zu- oder Abnahme der Zuverlässigkeit äußern. Eine besondere Größe ist in diesem Zusammenhang die Ausfallrate1.

( ) [ ])(1

)( 1lim0 tF

tftTttTtPt

tt −

=≥∆+≤≤∆

=→∆

λ (Gl. 1.1.2)

Die Ausfallrate λ(t) wird über die bedingte Wahrscheinlichkeit P[t < T ≤ t+∆tT > t] defi-niert, dass eine Komponente mit der Lebensdauer T innerhalb eines infinitesimalen Zeitinter-valls ∆t nach dem Zeitpunkt t ausfällt, falls sie das Lebensalter t erreicht hat (Gleichung 1.1.2) [Höfle-78]. Vorausgesetzt wird, dieser Grenzwert existiert. Über λ(t).∆t gibt sie idealisiert, bis auf einen höheren Fehler in ∆t, die Wahrscheinlichkeit an, dass ein Ausfall im Zeitintervall ∆t 1 Auch als Intensitätsfunktion, Risikofunktion oder englisch als Hazardrate bezeichnet.


nach t eintritt. Rate ist so zu verstehen, dass λ(t) auf die Länge des Intervalls ∆t bezogen wird (∆t infinitesimal klein). λ(t) ist dadurch keine bedingte Wahrscheinlichkeit mehr, da sie grö-ßer als eins sein kann. Die Ausfallrate kann als jeweils aktuelles Ausfallrisiko im Intervall ∆t interpretiert werden, falls eine Komponente bis zum Zeitpunkt t überlebt hat.

λ

tVerschleißausfälleFrühausfälle Zufallsausfälle

1 2 3

Bild 1.1: Prinzipielles Ausfallverhalten technischer Komponenten

Das prinzipielle Ausfallverhalten technischer Komponenten kann durch die Badewannenkur-ve beschrieben werden (Bild 1.1). Sie stellt vereinfacht den zeitlichen Verlauf der Ausfallrate λ(t) dar und beschreibt im Bereich 1 Frühausfälle, z.B. durch Fertigungsfehler, im Bereich 2 Zufallsausfälle im Normalbetrieb und im Bereich 3 Alterungsausfälle, die hauptsächlich auf Verschleiß zurückzuführen sind. Die Badewannenkurve charakterisiert prinzipiell mechani-sche wie elektronische Systeme, wobei den Verläufen jedoch unterschiedliche Verteilungs-funktionen zu Grunde liegen können. Homogene Grundgesamtheiten können durch para-metrische Verteilungsmodelle beschrieben werden. Für inhomogene Grundgesamtheiten oder Systeme bei denen sich mehrere Schädigungsmechanismen überlagern werden geeignete nicht parametrische Methoden benötigt. Ein Verfahren ist hier z.B. der Kernschätzer [Schäb-05]. Die wichtigsten parametrischen Lebensdauermodelle sind die Exponentialverteilung für Zufallsausfälle (Elektronik) sowie die Weibullverteilung für verschleißbehaftete Systeme (Mechanik). Gleichung 1.1.31 gibt die zeitvariante Ausfallrate für eine Weibullverteilung an.

( )( )1−

⎟⎟⎠

⎞⎜⎜⎝

⎛−−

−=

β

γηγ

γηβλ tt (Gl. 1.1.3)

Der Verlauf der Ausfallrate ist ein Klassifizierungsmerkmal der Funktionsfähigkeit bzw. der Überlebenswahrscheinlichkeit. Nur im Fall der exponential verteilten Überlebenswahrschein-lichkeit ist die Ausfallrate konstant. Auf die verschiedenen Verteilungsfunktionen sei hier nicht näher eingegangen. Eine Übersicht findet sich z.B. in [Lech-90] oder [Schäf-79]. Die

1 Abhängig von der Wahl des Formparameters β lassen sich mit β < 1 Frühausfälle, mit β = 1 Zufallsausfälle und mit β > 1 Verschleißausfälle modellieren.


Ausfallrate ist eine hochaggregierte Kenngröße, die die Vielzahl von Einflüssen auf die Aus-fallhäufigkeit einer Komponente in einer Zahl vereinigt. Die Interpretation der Ausfallrate setzt damit prinzipiell ein grundlegendes Verständnis der physikalischen Ausfallursachen un-ter bestimmten Betriebsbedingungen voraus. Wird eine Ausfallrate für eine Komponente an-gegeben, so ist dies nur unter gleichzeitiger Angabe der getroffenen Annahmen über die Ab-hängigkeiten und für konkrete Betriebsbedingungen sinnvoll. Die Zuverlässigkeit kann insbesondere bei hochzuverlässigen Systemen mit kleinen Fehlerra-ten nicht direkt durch Prüfungen gemessen werden. Die notwendigen Stückzahlen und Prüf-zeiten wären, selbst bei einem gerade noch akzeptierbaren statistischen Vertrauensniveau, zu hoch (siehe Kapitel 5.2). Die „wahre“ Unzuverlässigkeit offenbart sich erst im Feldeinsatz. Die Zuverlässigkeit lässt sich vor einem Feldeinsatz aber modellbasiert aus Erfahrungen der Vergangenheit prognostizieren. Dazu müssen die Fehlerraten bzw. Verteilungsfunktionen der Elemente, in den Abhängigkeiten der Systemeigenschaften und unter Berücksichtigung der inneren und äußeren Einflussgrößen, modelliert werden. Die Fehlerraten, die zur Modellpa-rametrierung verwendet werden, stammen vorzugsweise aus Felderfahrungen, sofern diese mit ausreichendem Vertrauensniveau für vergleichbare Komponenten und Systeme vorliegen. Für vergleichende Analysen werden häufig auch standardisierte Ausfallratenmodelle, wie die [MIL-217] oder die [RDF-2000], verwendet. Die modellbasierte Analyse führt oft bereits bei einfachen Systemen auf komplizierte Effekte. Ein interessanter Effekt bei redundanten Sys-temen ist beispielsweise, dass die Ausfallrate eines Parallelsystems auch bei zeitlich konstan-ten Ausfallraten der einzelnen Komponenten zeitvariant wird [Schäf-79]. 1.1.2 Abgrenzung von Zuverlässigkeit und Sicherheit Systemfunktionen können unterschiedliche Auswirkungen auf die Umwelt haben. Die endli-che Zuverlässigkeit eines Systems und seiner Komponenten kann sich auch in gefährlichen Zuständen äußern. Gefahr (engl. Hazard) ist als Zustand zu verstehen, in der eine tatsächliche oder potentielle Bedrohung für Leib und Leben von Menschen oder die Umwelt besteht. Ein System, das Gefahren erzeugen kann, wird als sicherheitsrelevant bezeichnet. Sicherheitsrele-vant können auch Teilsysteme in der kausalen Wirkungskette im Systemzusammenhang sein. Viele sicherheitsrelevante Systeme benötigen Infrastruktursysteme, wie beispielsweise eine elektrische Energieversorgung, die damit ebenfalls sicherheitsrelevant werden. Die Forderung, dass ein sicherheitsrelevantes System keine gefährlichen Zustände erzeugen darf, ist wegen der endlichen Zuverlässigkeit der Komponenten unrealistisch. Alle sicher-heitsrelevanten Anwendungen bergen für den Benutzer bestimmte Gefährdungspotenziale und damit Risiken, da immer Systemfehler - scheinbar zufällig - auftreten können. Darüber hinaus kann man nicht alle Fehler vorhersehen, sich aber prinzipiell nur gegen erwartete Fehler


schützen. Deshalb ist es eine allgemein akzeptierte Vorgehensweise von Sicherheit (engl. sa-fety) zu sprechen, wenn das Risiko, dass durch den Umgang mit diesen Systemen entsteht, von der Gesellschaft und dem Gesetzgeber akzeptiert wird [Dil-02]. Risiko hat dabei zwei Ausprägungen: Zum Einen die Häufigkeit eines Schadensfalls und zum Anderen das Ausmaß des Schadens. Je höher der potentielle Schaden liegt, desto geringer darf die Auftretenswahr-scheinlichkeit sein. Der Einfluss der endlichen Zuverlässigkeit auf die Sicherheit lässt sich als Wahrscheinlichkeit angeben, dass ein System keine Gefährdungen verursacht respektive im sicheren Zustand verbleibt. Die Betrachtung bzw. Analyse der Systemzuverlässigkeit im pro-babilistischen Sinne ist bei der Analyse der Sicherheit eines Systems also sinnvoll und not-wendig. Grundsätzlich gilt, dass sicherheitsrelevante Fehler extrem unwahrscheinlich sein müssen (Abschnitt 1.1.3). Die Zuverlässigkeit hat neben der Relevanz für die Sicherheit aber, über die Verfügbarkeit, auch Auswirkungen auf die Akzeptanz und die Kosten eines Systems im Feld und ist damit nicht zuletzt vor allem ein wirtschaftlich bestimmender (Image) Faktor. Eine hohe Zuverlässigkeit senkt die Wahrscheinlichkeit sicherheitsrelevanter Zustände. Um eine hohe Sicherheit zu erreichen, ist eine hohe Zuverlässigkeit hilfreich und in der Regel auch notwendig, nicht jedoch hinreichend. Um Gefahrenpotenziale zu minimieren, sind neben einer hohen Zuverlässigkeit vor allem auch geeignete Sicherheitskonzepte notwendig, bei-spielsweise in Form von geeigneten Degradationskonzepten nach aufgetretenen Fehlern. Das führt zur Erkenntnis, dass sichere Systeme nicht notwendigerweise zuverlässig sind. Für die Entwicklung sicherheitsrelevanter Systeme ist nicht nur ein hoher Grad an Zuverlässigkeit anzustreben, sondern auch eine systemimmanente Minimierung von Gefahren [Mont-99].

Erfüllung erwarteter Funktionen während der Einsatzzeit

Benutzbarkeit eines SystemsGefährdungspotenziale

Zuverlässigkeit Unzuverlässigkeit

Fehler

Sicherheit Verfügbarkeit

Teilweise oder gänzliche Nichterfüllung erwarteter Funktionen (Ausfallkriterien)

Kann Auswirkungen haben auf

Und/Oder

Bild 1.2: Zusammenhang zwischen Zuverlässigkeit, Sicherheit und Verfügbarkeit

Der Begriff „Sicherheit“ schließt alle Faktoren mit ein, die zu einer Gefährdung führen kön-nen, beispielsweise auch das potentielle Fehlverhalten des Bedieners. Die Eigenschaft eines Systems sicher gegen fehlerhafte Einflüsse des Menschen zu sein, wird in der Literatur auch als „Security“ bezeichnet [Laprie-01]. Die Begriffe „Zuverlässigkeit“, „Verfügbarkeit“, „Si-cherheit“ und „Security“ werden unter dem Oberbegriff „Verlässlichkeit“ zusammengefasst. Bild 1.2 stellt den Zusammenhang zwischen Zuverlässigkeit, Sicherheit und Verfügbarkeit


dar. Sichere Systeme sind durch zwei wesentliche Eigenschaften gekennzeichnet: durch eine hohe Zuverlässigkeit, was als quantitatives Ziel formuliert werden kann und durch Fehlertole-ranz mit geeigneten Degradationskonzepten, was ein qualitatives Ziel darstellt. 1.1.3 Das Prinzip der Risikominimierung und der vertretbaren Risiken Grenz- und Restrisiko Sicherheitsrelevante technische Systeme ohne (Rest-) Risiko sind nicht realisierbar, da durch die endliche Zuverlässigkeit der Komponenten, aber auch durch die endliche Zuverlässigkeit des Menschen als Entwickler, Hersteller und Bediener, immer Fehler auftreten können. Oh-nehin ist jeder Mensch z.B. durch Krankheiten von Natur aus einer unausweichlichen Gefähr-dung ausgesetzt, die gänzlich unabhängig von technischen Einrichtungen besteht, so dass der Mensch grundsätzlich nicht in einer risikofreien Umgebung leben kann. Es besteht jedoch die Möglichkeit, durch geeignete Maßnahmen die Wahrscheinlichkeit für einen gefährlichen Zu-stand und die daraus folgenden Konsequenzen zu vermindern. Aus technischer Sicht ist man deshalb bestrebt, das Restrisiko auf ein möglichst minimales und akzeptables Maß zu be-schränken, was die Frage aufwirft, wann ein System sicher genug ist. Dies führt auf die Not-wendigkeit zur Durchführung von Risikoanalysen und der Definition von Sicherheitsanforde-rungen im Kontext zu gesellschaftlich-ethischen Werten. Dabei gibt es keine allgemeine Basis für das Verständnis des Begriffs Sicherheit und der Risikoakzeptanz. Das Grenzrisiko wird über die Wertevorstellungen einer Gesellschaft für unterschiedliche Bereiche unterschiedlich definiert, was beispielsweise die sensible Diskussion um die Kernkraft zeigt. Unter Grenzrisi-ko wird das größte noch akzeptierbare Risiko einer technischen Anwendung verstanden.

Restrisiko AkzeptiertesGrenzrisiko

aktuellesRisiko

notwendige Risikominderung

tatsächliche Risikominderung

steigendes Risiko

GefahrSicherheit

0

Natürliches Lebensrisiko

Bild 1.3: Prinzip der Risikominimierung [SFK-04]

Als sicher kann ein System dann bezeichnet werden, wenn das Restrisiko (deutlich) kleiner ist, als das akzeptierte Grenzrisiko (Bild 1.3). Das Restrisiko ist das verbleibende Risiko nach Anwendung von Schutzmaßnahmen. Je größer die Zahl gefährdeter Personen ist, desto siche-rer muss die entsprechende Einrichtung sein. In [SFK-04] und [Flanz-99] wird noch einmal zwischen Kollektiv- und Individualrisiko einer technischen Anwendung unterschieden.


Vertretbarkeit von Risiken Zunehmend etabliert sich international in vielen technischen Bereichen die quantitative Vor-gabe des akzeptierten Grenzrisikos in Normen und Richtlinien. Zusätzlich zur Vorgabe quali-tativer Anforderungen sollen mit quantitativen Grenzwerten nachprüfbare maximal zulässige Fehlerraten für Systeme abgeleitet werden können. In [IAEA-93] schlägt die Internationale Atomenergie Agentur beispielsweise vor, dass die Wahrscheinlichkeit einer Kernschmelze pro Kraftwerksbetriebsjahr kleiner als 10-5 und die Wahrscheinlichkeit der Freisetzung größe-rer Aktivitätsmengen bei einem Unglück kleiner als 10-6 pro Kraftwerksbetriebsjahr sein muss. Statistisch bedeutet dies, dass als Erwartungswert ein Unglück in 100.000 Jahren auf-tritt. Auch in der zivilen Verkehrsluftfahrt existieren seit den 70er Jahren quantitative Sicher-heitsanforderungen. Für Mehrfachfehler, die zum Totalverlust eines Flugzeuges mit vielen Toten führen, gilt z.B. eine definierte1 maximale Auftretensrate von 10-9 h-1. Das bedeutet einen akzeptierten Absturz mit vielen Toten aufgrund einer technischen Ursache in einer Mil-liarde Betriebsstunden. Für den Fall, dass ein Zustand eintritt, der zu einer geringen Anzahl von Toten führt, gilt eine maximale Auftretensrate von 10-7 h-1. Auch für Stellwerke der Bahn2 ist die Vorgabe einer Versagenswahrscheinlichkeit pro Einstellung einer Fahrstraße von 10-9 pro Betriebsjahr in der öffentlichen Diskussion [TÜV-03]. Vom niederländischen Kabinett wurden in einem nationalen Umweltpolitikplan Risikogrenzwerte festgelegt, dass das größte vertretbare jährliche Todesfallrisiko für einen Bürger einen Wert von 10-6 nicht überschreiten dürfe, ungeachtet von welcher Aktivität das Risiko ausgeht [SFK-04]. Auch für den Kraftfahrzeugbereich ist die Vorgabe quantitativer Risikogrenzwerte Gegenstand von Diskussionen ([Ham-03], [Rie-03], [Kress-05]). Probabilistische Risikokenngrößen entbinden nicht von der Sorgfaltspflicht, ein System nach dem Stand der Technik zu entwickeln und systemimmanente Gefahren bereits in der Entwicklung soweit als möglich zu minimieren. Deshalb spielen neben quantitativen Vorgaben qualitative Vorgehensweisen immer eine be-deutende Rolle bei der Systementwicklung. Allerdings erfordern quantitative Anforderungen ein systematisches Identifizieren, Klassifizieren und Formalisieren von Fehlern, Fehlerhäu-figkeiten und Fehlerauswirkungen in einem System. Sie stellen gerade bei sicherheitsrelevan-ten Systemen eine Ergänzung zur nachvollziehbaren Systemkonzeption und Bewertung dar. Das ALARP-Verfahren Bei der Konzeption eines technischen Systems soll jedes Risiko sowohl qualitativ als auch quantitativ auf die niedrigste, praktikable Stufe verringert werden. Die Definition einer Risi-koanforderung geschieht unter Berücksichtigung des Nutzens des Systems, der Akzeptanz des Risikos und der praktischen Durchführbarkeit einer Risikoverringerung. Die Praktikabilität besteht aus der technischen Praktikabilität und der ökonomisch Praktikabilität. Die technische

1 Die Definition der Risikostufen der Luftfahrt sind in der JAR 25.1309 zu finden (Joint Aviation Regulation). 2 In der europäischen Norm für bahntechnische Anwendungen EN 50126 ist der Begriff „Sicherheit“ als das Nichtvorhandensein eines unzulässig großen Schadensrisikos definiert.


Praktikabilität bezieht sich auf die grundsätzliche Möglichkeit das Risiko durch technische Maßnahmen zu verringern, während die ökonomische Praktikabilität den ökonomischen Auf-wand für eine Risikoverringerung betrachtet. Das Prinzip der Risikominimierung wird als „As Low As Reasonably Practicable“ (ALARP) Verfahren bezeichnet [TÜV-03]. Nachweis definierter Anforderungen Sicherheit ist eine aus dem jeweils augenblicklichen Stand der Technik abgeleitete Systeman-forderung, deren Erfüllung über Betriebssicherheitsstudien und Sicherheitsanalysen nachge-wiesen werden muss. Die Nachweisführung ist Aufgabe des Herstellers. Er muss die Erfül-lung seiner Pflichten im Rahmen der Einhaltung von Normen und Bestimmungen nachweisen können. Die methodischen Werkzeuge können dabei je nach Anforderung, die nachgewiesen werden soll, qualitative und quantitative Ausprägungen haben. Den Nachweis der Erfüllung qualitativer Anforderungen erfolgt über Methodenbausteine wie der Hazard-Analyse, der Fai-lure Mode and Effect Analysis (FMEA), der Common-Cause-Analyse (CCA) usw. Diese Me-thoden müssen integraler Bestandteil eines sicherheitsgerichteten Entwicklungsprozesses sein [Benz-03]. Um quantitative Anforderungen nachzuweisen muss ein System in geeigneter Weise, durch geeignete mathematische Methoden, modelliert und analysiert werden. Dabei werden prinzipiell Fehler, deren erwartete Häufigkeit sowie deren Auswirkungen modelliert. Fehler sind es, die einem System, neben dem erwarteten deterministischen Verhalten, ein sto-chastisches (Ausfall-) Verhalten einprägen. 1.1.4 Fehler und Ausfälle in technischen Systemen Ein Fehler ist das auslösende Ereignis für eine unzulässige Abweichung eines Systemmerk-mals vom erwarteten Verhalten. Ein Fehler kann dabei unterschiedliche Auswirkungen her-vorrufen. Er kann sich in einem völligen Funktionsausfall oder einem Fehlzustand einer Funktion äußern, einem Zustand eingeschränkter Funktionserfüllung (Degradation). Während Zuverlässigkeitsanalysen die Eigenschaften eines Systems gegenüber der Menge aller Fehler untersuchen, die Auswirkungen auf die geforderte(n) Funktion(en) haben, betrachten Sicher-heitsanalysen alle Fehler die zu Systemzuständen führen, aus denen heraus eine Gefährdung besteht oder bestehen kann. Dazu müssen alle möglichen Fehler identifiziert und hinsichtlich der Sicherheitsrelevanz bewertet werden. Die Identifizierung und Klassifizierung von Ein-fachfehlern und deren Auswirkungen wird beispielsweise durch eine FMEA formalisiert. In der Literatur existieren verschiedene Strukturierungsprinzipien, nach denen Fehler klassifi-ziert werden. Es sei hier z.B. auf die Arbeiten von Jean-Claude Laprie verwiesen ([Laprie-00], [Laprie-01]). An dieser Stelle sollen nur die Aspekte und Begriffe diskutiert werden, die im Rahmen der Modellbildung bei Sicherheits- und Zuverlässigkeitsanalysen von Relevanz sind. Für die weiteren Betrachtungen werden hier grundsätzlich drei Fehlerarten unterschieden: systematische Fehler, Bedienfehler und zufällige (physikalische) Fehler.


Systematische Fehler Systematische Fehler entstehen z.B. durch falsche Spezifikationen oder Implementierungsfeh-ler. Sie sind bereits bei der Inbetriebnahme in einem System, äußern sich aber erst unter be-stimmten (deterministischen) Umständen. Softwarefehler sind typische Vertreter solcher Feh-ler. Prinzipiell sind systematische Fehler unerwartete Fehler und deshalb einer modellhaften Beschreibung kaum zugänglich, da weder die Auswirkungen noch die Umstände bekannt sind unter denen sie auftreten. Andernfalls würde man sie vermeiden. Bei großen Softwaresyste-men wird das Auftreten von Fehlern allerdings durchaus statistischer Natur, obwohl die Auf-tretensbedingungen natürlich deterministisch sind. Es gibt deshalb Arbeiten, z.B. [Puk-98], die systematischen Fehlern bei quantitativen Analysen pauschal Fehlermodelle mit statisti-schen Auftretensraten zuordnen. Die Ursachen für systematische Fehler liegen meist in man-gelndem Systemverständnis und unvollkommenen Prozessabläufen bei der Entwicklung. Die Vermeidung systematischer Fehler erfolgt deshalb vor allem durch Fehlerinjektionstests [Scher-02] und sicherheitsgerichtete Entwicklungsprozesse [Moik-02]. In [Benz-04] wird z.B. ein Doppel-V-Ansatz für eine sicherheitsgerichtete Entwicklungsmethodik vorgeschlagen, der Sicherheit und Zuverlässigkeit verstärkt berücksichtigt. Die Verringerung gefährlicher Aus-wirkungen systematischer Fehler erfolgt z.B. durch diversitäre Redundanz [Scheit-03]. Handhabungsfehler - Bedien- und Wartungsfehler Jedes menschliche Handeln ist mit der Möglichkeit eines Misserfolges verknüpft. Bedienfeh-ler entstehen, wenn der Mensch an der Mensch-Maschine-Schnittstelle in einer Form ein-greift, die vom erwarteten Verhalten unzulässig abweicht. Der Mensch kann beispielsweise agieren wenn es nicht notwendig wäre, er kann nicht agieren wenn es notwendig wäre, er kann zu spät reagieren oder gefährliche Zustände nicht erkennen. Ursachen für Bedienfehler, häufig auch als „menschliches Versagen“ bezeichnet, sind vielfältig. Eine Ursache sind die Bediener selbst, die bewusst oder unbewusst Verhaltensspezifikationen missachten und Sys-teme missbräuchlich verwenden oder verändern. Ursache ist häufig aber auch eine komplexe Gestaltung der Mensch-Maschine-Schnittstelle, die den Menschen überfordert [Theis-02]. Die Problematik der Bedienfehler verschärft sich, wenn der Mensch ein aktiver Teil des Sicher-heitskonzeptes darstellt, wie dies z.B. in Flugzeugen der Fall ist. Potenzielle Bedienfehler müssen in Sicherheitsanalysen berücksichtigt werden. Ein Teil der Bedienfehler lässt sich in Fehlermodellen beschreiben, wenn die Funktionen des Menschen an der Schnittstelle zur Ma-schine genau spezifiziert sind. Eine quantitative Beschreibung ist allerdings schwierig. Be-dienfehler lassen sich z.B. durch einen hohen Ausbildungsstand, eine einfache Gestaltung der Mensch-Maschine-Schnittstelle und ein gegen Manipulation geschütztes System vermeiden. Zufällige Fehler Zufällige Fehler sind Fehler, die nicht von Beginn an in einem System vorliegen, sondern erst nach einer zufälligen bzw. scheinbar zufälligen Zeit auftreten. Zufällige Fehler finden sich in der Regel nur im Bereich der Hardware, durch die endliche Zuverlässigkeit einer Komponen-


te. Man spricht von zufälligen Fehlern, obwohl natürlich jeder Fehler auf eine konkrete Ursa-che rückführbar ist, da sie prinzipiell zu beliebigen Zeitpunkten, in beliebiger Reihenfolge und an beliebigen Stellen in einem System auftreten können. Deshalb wird ein solcher Fehler als Elementarereignis auf einem Ereignisraum Ω durch das Konzept einer Zufallsvariablen ξ beschrieben. Eine bei Zuverlässigkeitsanalysen häufig betrachtete Art eines zufälligen Fehlers ist der Ausfall. Dessen Auftretenshäufigkeit wird durch die Ausfallrate parametriert. Analog lassen sich auch die Auftretenshäufigkeiten degradierender Fehler durch Ereignisraten be-schreiben. Unterliegt eine Komponente Verschleißeffekten muss beachtet werden, dass die Ausfall- bzw. Fehlerrate während der Einsatzzeit steigt und zeitvariant ist (siehe Bild 1.1). Common Cause Fehler (CCF) – abhängige Ausfälle gleicher Ursache Ein CCF liegt vor, wenn mehrere Kanäle in einem System zur selben Zeit durch die Ursache eines gemeinsamen Fehlers ausfallen. Es ist eine besondere Art eines abhängigen bzw. ge-koppelten Ausfalls, wobei aus einer einzigen gemeinsamen Ursache gleichzeitig mehrere Ausfälle entstehen. Dabei müssen die Kanäle nicht notwendigerweise in der selben Art aus-fallen. Fallen die Einheiten in der selben Art aus wird dafür der Begriff „Common Mode Feh-ler“ (CMF) verwendet. Es ist ersichtlich, dass CCF innerhalb redundanter Systeme eine be-sondere Rolle spielen, da durch einen CCF die Redundanz aufgehoben werden kann. Da dies unzulässig und zu vermeiden ist, sind sie der Gruppe der systematischen Fehler zuzuordnen. Eine quantitative Beschreibung macht daher in der Regel wenig Sinn, es sei denn, die Com-mon Cause Ursache lässt sich nicht vermeiden (z.B. beim Voter in einem n aus m System). Abhängige und unabhängige Fehler - Folgefehler Von besonderer Relevanz bei redundanten Systemen ist die Betrachtung der Abhängigkeiten zwischen Fehlern. Fehler in einem System sind dann voneinander unabhängig, wenn die Auswirkung eines Fehlers für den Auftritt eines anderen Fehlers nicht relevant ist (Folgefeh-ler). Von stochastischer Unabhängigkeit bei mehreren Fehlern ξ1, ξ2, …, ξn spricht man dann, wenn für jede Teilmenge i1, i2, …, im ⊂ 1, 2, …, n von Indizes Gleichung 1.1.4 gilt.

( ) ( ) ( ) ( )mm iiiiii PPPP ξξξξξξ ⋅⋅⋅= ......

2121II (Gl. 1.1.4)

( ) ( )( )1

2112 ξ

ξξξξP

PP I= für P(ξ1) ≠ 0 (Gl. 1.1.5)

Die Verbundwahrscheinlichkeit einer Teilmenge von Fehlern lässt sich als Produkt der ein-zelnen Fehlerwahrscheinlichkeiten berechnen. Abhängige Fehler liegen entsprechend dann vor, wenn sich die Verbundwahrscheinlichkeiten nicht als Produkt der Einzelwahrscheinlich-keiten berechnen lassen. Für abhängige Fehler bzw. Ereignisse erfolgt die Berechnung der Verbundwahrscheinlichkeiten über die bedingte Wahrscheinlichkeit (Gleichung 1.1.5).


Abhängigkeiten sind beispielsweise dann gegeben, wenn Fehler nur in einer bestimmten se-quentiellen Auftretensreihenfolge zu einem unerwünschten Zustand führen. Abhängige und unabhängige Fehler gibt es sowohl bei systematischen, menschlichen, als auch bei zufälligen Fehlern. CCF sind beispielsweise abhängige systematische Fehler. Der Anstieg der Fehlerrate einer Komponente durch den vorausgegangenen Ausfall einer anderen Komponente wäre ein abhängiger, zufälliger Fehler. Eine gewisse Abhängigkeit ist im Übrigen auch dann gegeben, wenn sich Fehler in ihrem Auftreten gegenseitig ausschließen. Verschiedene Degradationszu-stände einer Komponente beispielsweise schließen sich in der Regel gegenseitig aus. Eine probabilistische Modellierung macht, wie schon ausgeführt, in der Regel nur bei Abhängig-keiten zwischen zufälligen Fehlern Sinn. Werden Abhängigkeiten bei Zuverlässigkeitsanaly-sen nicht berücksichtigt, beschreiben die Zuverlässigkeitsmodelle das System nur unvollstän-dig und die Ergebnisse werden unter Umständen zu optimistisch oder falsch. Abhängige Feh-ler müssen so weit wie möglich vermieden, wo dies nicht möglich ist, ihre Auswirkungen verringert werden. Auf alle Fälle müssen sie bei einer Modellbildung berücksichtigt werden. Entdeckte und unentdeckte Fehler Für Maßnahmen innerhalb von Sicherheitskonzepten spielt es eine entscheidende Rolle, ob ein im System aufgetretener Fehler erkannt wurde oder nicht. Nur nach erkannten Fehlern können Schutzmaßnahmen wie Warnungen, Umkonfigurationen oder Fehlerkapselungen ein-geleitet werden. Da Fehlererkennungseinrichtungen allerdings selbst nur eine endliche Zuver-lässigkeit besitzen, können Fehler auch grundsätzlich nur mit einer endlichen Entdeckungs-wahrscheinlichkeit erkannt werden. Die bedingte Wahrscheinlichkeit, einen Fehler zu entde-cken, nachdem er aufgetreten ist, wird „Diagnostic Coverage Factor“ (DCF oder auch kurz C) genannt. Da der DCF als „Qualität“ der Fehlerentdeckung in einem sicherheitsrelevanten Sys-tem Auswirkung auf das Erreichen gefährlicher Zustände haben kann, wird die Betrachtung und Berücksichtigung des DCF in Normen wie der [DIN-EN-61508] explizit gefordert. Für nicht selbst vom System erkennbare Fehler müssen Inspektionen vorgesehen werden.

Fehlertest Fehlertest

tT

T rT 1=

Fehler tritt aufFehler erkannt oder

Fehler nicht erkannt

C

(1 – C)

Bild 1.4: Zusammenhang zwischen Testrate rt und Fehlerentdeckung C

Bei der Fehlerentdeckung muss weiterhin berücksichtigt werden, ob die Fehlererkennungsein-richtung das System periodisch mit niedriger Testrate, oder (quasi-) kontinuierlich mit hoher Testrate überwacht. Die Testrate rT beschreibt, wie häufig ein Test auf einen bestimmten Feh-


ler innerhalb eines Test-Zeitintervalls TT durchgeführt wird (Bild 1.4). Während beispielswei-se die Überwachung einer Spannung in einem Energieversorgungssystem quasikontinuierlich erfolgen kann, nimmt der Zustandstest einer Bleisäure-Batterie mit notwendigen Testzyklen wesentlich längere Zeit in Anspruch. Eine quasikontinuierliche Überwachung muss nicht ex-plizit modelliert werden. Sie führt unmittelbar mit vernachlässigbarer Verzögerung nach Auf-tritt des Fehlers zur Möglichkeit, den Fehler auch zu erkennen. Eine Überwachung mit niedri-ger Testrate kann dagegen dazu führen, dass ein System längere Zeit in einem potenziell ge-fährlichen Zustand verweilt, bei dem ein Fehler aufgetreten ist, der noch nicht erkannt wurde. Eine dritte Größe, die bei einem aufgetretenen Fehler Auswirkung auf die Sicherheit haben kann, ist der zeitliche Anteil in dem das sicherheitsrelevante System in Betrieb ist. Nur wenn ein sicherheitsrelevantes System auch betrieben wird, wenn ein Fehler eintritt, kann es Ge-fährdungen verursachen. In der [DIN-EN-61508] wird dies als Anforderungsrate rD (engl. demand rate) bezeichnet. Für ein sicherheitsrelevantes System, das kontinuierlich im Betrieb ist, gelten höhere Anforderungen an die Zuverlässigkeit, als an ein System das nur selten be-nützt wird. Die Fehlerhäufigkeit muss korreliert werden mit der Zeit, in der ein Fehler auch tatsächlich zu einer Gefährdung führen kann. In der Luftfahrt wird bei Sicherheitsanalysen beispielsweise die Fehlerkritikalität nach verschiedenen Flugphasen unterschieden [Twig-02]. Die Wahrscheinlichkeit sich in einem gefährlichen Zustand zu befinden hängt also nicht nur von der Fehlerrate λ(t) selbst ab, sondern auch von der Entdeckungswahrscheinlichkeit C des Fehlers, der Zeit bis der Fehler zuerst entdeckt werden kann TT und der Anforderungsrate rD, mit der ein Betrieb des sicherheitsrelevanten Systems angefordert wird. Diese drei Größen haben unter Umständen einen entscheidenden Einfluss auf die Aufenthaltswahrscheinlichkeit in einem bestimmten Systemzustand und müssen deshalb explizit berücksichtigt werden.

Fehler

Bedienfehler Zufällige Fehler

unabhängigabhängig

CCF

Systematische Fehler

unabhängigabhängig

missbräuchliche Veränderung/Verwendung

Falsche Reaktion auf ein gefordertes

Verhalten

entdeckt unentdeckt entdeckt unentdeckt

Einzelfehler

passivaktiv

Qualitativ und quantitativMeist nur qualitativMeist nur qualitativ Bild 1.5: Unterscheidung von Fehlern bei der Modellbildung

Berücksichtigung von Fehlern in Zuverlässigkeits- bzw. Sicherheitsanalysen Ziel modellbasierter Zuverlässigkeits- und Sicherheitsanalysen ist es, die Auswirkungen von zufälligen Fehlern auf die Zuverlässigkeit oder Sicherheit unter den gegebenen Abhängigkei-


ten in einem System in einem mathematischen Modell zu formalisieren, um beispielsweise verlässlichere Systemstrukturen zu wählen oder ein sicherheitstechnisches Niveau nachweisen zu können. Wie aus der vorangegangenen Diskussion deutlich wurde sind nicht alle Fehler probabilistisch modellierbar. Prinzipiell sind nur zufällige Fehler einer quantitativen Modell-bildung zugänglich. Systematische Fehler sind sehr eingeschränkt, Bedienfehler nur bei Schätzung der „menschlichen Unzuverlässigkeit“ quantisierbar. Bild 1.5 veranschaulicht die Fehlerarten. Bei probabilistischen Sicherheitsanalysen kann so nur die Auswirkung der zufäl-ligen Fehler auf die Sicherheit durch Kenngrößen beschrieben werden, was nur einen Teilas-pekt der Systemsicherheit darstellt. Sicher ist ein System erst, wenn zufällige Fehler, systema-tische Fehler und Bedienfehler nur sehr unwahrscheinlich zu einer sicherheitsrelevanten Fehl-funktion des Systems führen. Hohe Sicherheit wird durch vier Bausteine erreicht:

durch die Vermeidung systematischer Fehler und einer robusten Auslegung gegen un-erkannte systematische Fehler, beispielsweise durch diversitäre Redundanz,

durch Fehlertoleranz und geeignete Sicherheitskonzepte zur Beherrschung zufälliger Fehler, z.B. in Form definierter und gestufter Degradationen (fail-controlled system [Laprie-01]), was voraussetzt, dass Fehler zuverlässig erkannt werden können,

durch Schutz gegen absichtliche oder unabsichtliche Bedien- und Wartungsfehler und durch eine hohe Zuverlässigkeit, d.h. zufällig auftretende Fehler sollten im Rahmen

des technisch Möglichen äußerst unwahrscheinlich sein. Da sich nicht alle diese Punkte quantitativ formulieren lassen, gelten für sicherheitsrelevante Systeme immer qualitative und quantitative Anforderungen. Qualitative Aspekte, z.B. Fehler-toleranzvorgaben, reduzieren im Wesentlichen die Fehlerauswirkungen, während quantitative Aspekte sich auf die Reduzierung der Eintrittshäufigkeit von Fehlern beziehen.

Reduzierung der Fehlerauswirkungen

Eintrittshäufigkeit

Schadens-schwere

Reduzierung der Eintrittshäufigkeit

Risikoreduzierung

Steigendes Risik

o

Bild 1.6: Risikomindernde Maßnahmen – Reduzierung des vorhandenen Risikos

Bild 1.6 soll diesen Zusammenhang anschaulich verdeutlichen. Der nächste Abschnitt wird die bestehenden und diskutierten Anforderungen an Kfz-Systeme aufzeigen.


1.2 Anforderungen an sicherheitsrelevante Kfz-Systeme Für die Herleitung von Sicherheitsanforderungen an ein System ist eine Festlegung der Ak-zeptanz der mit dem Betrieb des Systems verbundenen Risiken notwendig. Ausgangsbasis der Betrachtungen bilden dabei die sicherheitsrelevanten Fahrzeugfunktionen. Die sicherheits-technischen Anforderungen an einzelne Fahrzeugsysteme werden aus den Anforderungen abgeleitet, die für das Kraftfahrzeug als Gesamtsystem gelten. Einschlägige Sicherheitsnor-men fordern hierzu eine Gefahren- und Risikoanalyse auf Fahrzeugebene. Die Sicherheitsan-forderungen werden dann auf die Subsysteme, wie beispielsweise die elektrische Energiever-sorgung, abgebildet. Daraus entstehen abgeleitete Sicherheitsanforderungen, aus denen ent-sprechende Sicherheitskonzepte entwickelt werden. Studiert man aktuelle Publikationen stellt man fest, dass derzeit kein gemeinsames Risikoverständnis für Kraftfahrzeugsysteme exis-tiert. Ziel dieser Arbeit ist es nicht, sicherheitstechnische Anforderungen zu definieren oder abzuleiten. Im Folgenden sollen aber die in der Literatur zu findenden qualitativen und quan-titativen probabilistischen Anforderungen an Kfz-Systeme diskutiert werden. 1.2.1 Qualitative Anforderungen Bislang bestehen für Kraftfahrzeugsysteme lediglich konstruktive bzw. qualitative Vorgaben, wie etwa die Formulierung, dass ein Fahrzeug „sicher“ sein muss (§30 StVZO). Der Begriff „sicher“ fordert hierbei eine Orientierung am Stand der Technik. Ein Produkt muss immer mindestens so sicher sein, wie es der derzeitige Stand der Technik erwarten lässt. Bei den konstruktiven Vorgaben gilt, dass ein sicherheitsrelevantes System mindestens einen sicher-heitsrelevanten Fehler tolerieren können muss und anschließend noch in der Lage ist eine hin-reichende Mindestfunktion zu garantieren (n-1 Kriterium). Für Fahrzeugbremsen wird dies beispielsweise über zwei unabhängige Bremskreise erreicht. Eine Einfehlertoleranz bedeutet auch, dass Common Cause Fehler durch das Systemdesign sicher ausgeschlossen sein müs-sen. Rein qualitative Redundanzvorgaben berücksichtigen aber die endliche Zuverlässigkeit der Komponenten nicht, die in unterschiedlichen Systemkonfigurationen auch unterschiedli-che Auswirkung auf die Sicherheit haben kann. Ein Zweitfehler könnte, bedingt durch Ab-hängigkeiten, durchaus sehr wahrscheinlich sein. In neueren Publikationen etablieren sich daher neben deterministischen auch probabilistische Anforderungen im Kraftfahrzeugbereich. 1.2.2 Quantitative Anforderungen In der Literatur existieren eine Vielzahl von Pro- und Contraargumenten sowie konkreten Vorschlägen zu risikoorientierten probabilistischen Anforderungen an sicherheitsrelevante


Kfz-Systeme, wie Lenkung und Bremse. Die diskutierten Anforderungen reichen von 10-7 h-1 bis 10-11 h-1. In Anlehnung an die Luftfahrt wird z.B. in [Kull-01] und [Ham-03] gefordert auch für Kraftfahrzeugsysteme eine Ausfallrate von 10-9 h-1 zu definieren. Dies entspräche einem Totalausfall pro Jahr bei einer Betrachtungseinheit von 3,3 Millionen Fahrzeugen und einer Nutzungsdauer von 300 Stunden pro Fahrzeug im Jahr. Mit der weiteren Begründung, dass nicht jeder Totalausfall auch gleichzeitig zu einem Unfall führen muss, wird dieses Risi-ko in [Ham-03] als akzeptabel bezeichnet. In [Kirr-02] wird für Straßenfahrzeuge eine Aus-fallrate von 10-10 h-1 gefordert. Begründet wird dies damit, dass die Toleranzzeit für Fehler bei Straßenfahrzeugen deutlich kleiner ist (angegeben werden 5 ms) und die produzierten Stück-zahlen wesentlich größer seien als in der Luftfahrt. Somit müssten die Anforderungen im Au-tomobilbereich höher sein. [Kress-05] bezeichnet die Anforderungen in der Luftfahrt dagegen in Anwendung auf den Automobilbereich wiederum als zu hoch. In [Rie-01] und [Rie-03] schließlich wird für ein elektrisches Bremssystem gefordert, dass bei einer Fahrzeuglebens-dauer von 15 Jahren und einer Nutzungszeit von 300 Stunden pro Jahr bei 10 Millionen Fahr-zeugen maximales eines mit einem totalen Bremsversagen ausfallen darf. Daraus resultiert eine Gefährdungsrate von 2x10-11 h-1. Es wird deutlich, dass die Meinungen zu den Vorgaben weit auseinander gehen und kontrovers diskutiert werden. Jede Größenordnung mehr bedeutet einen hohen technischen Aufwand. Werden Sicherheitsanforderungen allerdings zu niedrig definiert läuft man Gefahr, den bereits erreichten Stand der Technik zu verschlechtern. In Anlehnung an die internationale Sicherheitsnorm [DIN-EN-61508], die ursprünglich für sicherheitsgerichtete Automatisierungssysteme konzipiert wurde, wird in der Automobilin-dustrie aktuell ein automobilspezifisches Regelwerk erarbeitet, das nach derzeitigem Stand ebenfalls die Vorgabe von Auftrittsraten für vier definierte Sicherheitsklassen (SIL-Klassen) vorsieht. In der Sicherheitsnorm wird in der Klasse SIL 3 mit hoher Anforderungsrate, in der z.B. X-by-Wire-Systeme einzuordnen wären, ein Bereich von 10-7 h-1 bis 10-8 h-1 vorgegeben [TÜV-03]. Allerdings sind weder die Anforderungen in der Norm noch beispielsweise die in der Luftfahrt für Systeme mit hohen Feldstückzahlen entworfen. Bei hohen Stückzahlen steigt die Anzahl der von Ausfällen betroffenen Personen und dadurch auch das Risiko.

Definierte System-

ausfallrate

Risiko für 106 Fahrzeugeinheiten mit 15 Jahren Nutzungsdauer und

300 h Betrieb pro Jahr

Risiko für 1500 Einheiten (20 Jahre, 5 Flüge pro Tag a 1500

km = 12,5 h Flugzeit pro Tag) 10-7 h-1 2225

Potentielle Unfälle mit wenigen Toten 13,7

Potentielle Unfälle mit wenige Toten 10-8 h-1 225

Potentielle Unfälle mit wenigen Toten -

10-9 h-1 22,5 Potentielle Unfälle mit wenigen Toten

0,137 Potentielle Unfälle mit vielen Toten


-


-

Tabelle 1.1: Risikoauswirkungen probabilistischer Sicherheitsanforderungen


Tabelle 1.1 soll die Auswirkungen der in der Literatur zu findenden Anforderungsspanne von 10-7 h-1 bis 10-11 h-1 auf eine zu Grunde gelegte typische Fahrzeugflotte von 5x106 Fahrzeugen darstellen und mit den Anforderungen in der Luftfahrt vergleichen. Eine Fahrzeugflotte von 5x106 Fahrzeugen entspricht beispielsweise der Anzahl gefertigter Golf III. Als Beispiel für ein Luftfahrtgerät könnte ein Airbus A320 zugrunde gelegt werden. Zu beachten ist, dass die festgelegte Systemausfallrate von 10-9 h-1 in der Luftfahrt definiert ist für einen Absturz mit vielen Toten. Betrachtet man die Anzahl potentieller Unfälle mit wenigen Toten bezogen auf eine Betriebsstunde des jeweiligen Fahrzeugs, so zeigt sich, dass die Anforderung von 10-9 h-1 an ein Kraftfahrzeugsystem ein zur Luftfahrt vergleichbares Risiko ergeben würde. Ein Unfall mit wenigen Toten ist in der Luftfahrt mit einer Auftretensrate von 10-7 h-1 festgelegt. Kurze Rekapitulation Eine Empfehlung welche quantitativen Größen für sicherheitsrelevante Kfz-Systeme vorge-geben werden sollten ist nicht Gegenstand dieser Arbeit. Die Festlegung sicherheitstechni-scher Anforderungen bleibt ohnehin ein Problem im politisch-moralischen Entscheidungs-rahmen. Das quantitative Bewerten im Rahmen einer sicherheitsgerichteten Entwicklung er-fordert aber geeignete Methoden, die systemspezifische Besonderheiten berücksichtigen.

1.3 Sicherheitsrelevante Energiebordnetzsysteme Unter Bordnetz wird hier die Gesamtheit der miteinander verbundenen Komponenten ver-standen, die zur Wandlung, Verteilung, Speicherung und Verwendung elektrischer Energie innerhalb eines Fahrzeuges dienen. Das zu modellierende Ausfallverhalten eines Bordnetzsys-tems wird vor allem von den vorhandenen Fehlerschutzvorrichtungen bestimmt. Im Kraft-fahrzeug ist das elektrische Energiebordnetz bislang nicht sicherheitsrelevant. Dagegen sind in verschiedenen anderen mobilen Bereichen sicherheitsrelevante Verbraucher auf eine zuver-lässige und fehlertolerante Versorgung mit elektrischer Energie angewiesen. Im Folgenden sollen wichtige prinzipielle Merkmale exemplarischer Energiebordnetzsysteme identifiziert werden, die bei der späteren Modellbildung zu berücksichtigen sind. Daraus sollen, sofern die Prinzipien für den Kraftfahrzeugbereich übertragbar sind, Bewertungskriterien abgeleitet werden, die zur Auswahl einer geeigneten Modellierungsmethode dienen. Die Betrachtungen erfolgen vor allem unter den speziellen Randbedingungen bei Kraftfahrzeugen. 1.3.1 Luftfahrttechnisches elektrisches Energiebordnetzsystem In Luftfahrzeugen übernimmt die Elektrik und Elektronik flugwichtige und damit hoch si-cherheitsrelevante Aufgaben. Mit dem Einsatz von Fly-by-Wire-Anlagen [Schm-98] hat man


in der Luftfahrt Mitte der 70er Jahre des letzten Jahrhunderts begonnen. In luftfahrttechni-schen Geräten sind somit hochzuverlässige Stromversorgungen realisiert. Bild 1.7 zeigt als Beispiel das elektrische Energieversorgungssystem eines Helikopters. Funktionsanalyse Das 28 V Gleichspannungsbordnetz verteilt die elektrische Energie zu den Verbrauchern über schaltbare Sammelschienen. Die Energiewandlung übernehmen zwei Generatoren, wobei jeder von einer Turbine angetrieben wird. Im Normalbetrieb arbeiten sie parallel am System. Liegt beispielsweise ein Kurzschluss in einem Generatorsystem vor, werden beide Generator-kreise voneinander getrennt. Jeder Generatorkreis stellt somit auch eine unabhängige Quelle für die Energieversorgung dar. Zusätzlich befindet sich an Bord mindestens eine Batterie. Sie versorgt bei entsprechenden Mehrfachfehlern ausgewählte Verbraucher. Diese sind abhängig von ihrer Sicherheitsrelevanz in drei Kategorien eingeteilt, was sich am ebenfalls dreigeteilten Sammelschienensystem beider Kanäle widerspiegelt. Sicherheitsrelevante Verbraucher wer-den über Bus 1C und 2C redundant versorgt. Hochstromverbraucher liegen in symmetrischer Lastaufteilung entweder an Bus 1B oder Bus 2B. Sonstige nicht sicherheitsrelevante Verbrau-cher werden über Bus 1A oder Bus 2A gespeist. Tritt ein Fehler in einem Bordnetzzweig auf, wird er über Hochlastrelais selektiv vom restlichen Bordnetz getrennt.

Bus 1C

Bus 1B

Bus 1A

G

Bus 2C

Bus 2B

Bus 2A

G

Last C

System 2

System 1

Last D

Last A

Last B

Last E1

Last E2

Redundante Systeme

Symmetrische Lastaufteilung

Bild 1.7: Elektrisches Energiebordnetzsystem eines Helikopters

Sicherheitskonzept Wesentlicher Teil des Sicherheitskonzeptes sind die gestuften Rückfallebenen, die sich durch die Abschaltstrategien der Verbraucher ergeben. Treten Fehler in der Energiewandlung auf, werden einzelne Verbrauchergruppen abgetrennt, um die Verbraucherlast zu reduzieren. Sind beide Generatoren ausgefallen, versorgt die Batterie nur noch flugwichtige Verbraucher. In der Luftfahrt-Richtlinie FAR 29.1351 ist beispielsweise vorgeschrieben, dass die zu versor-


gende Zeitspanne mindestens fünf Minuten betragen muss. Besondere Bedeutung im Sicher-heitskonzept hat der Pilot, der auf alle Handlungen im Bordnetz als letzte Instanz aktiv Ein-fluss nehmen kann. Bei Sicherheitsbewertungen darf sein Einfluss nicht vernachlässigt wer-den. Teil des Sicherheitskonzeptes sind auch die genau vorgeschriebenen Wartungsstrategien und der regelmäßige Tausch von Komponenten, bevor diese in die Alterungsphase gelangen. 1.3.2 Schiffstechnisches elektrisches Energiebordnetzsystem Die Betriebssicherheit eines Schiffes hängt unmittelbar von der Verfügbarkeit seiner techni-schen Systeme ab. Sämtliche Anlagen und Hilfssysteme sind auf die Versorgung mit elektri-scher Energie angewiesen. Primäre Aufgabe der gesamten Maschinenanlage ist die ununter-brochene Gewährleistung der Manövrierbarkeit des Schiffes. Ein in See treibendes manöv-rierunfähiges Schiff stellt für sich und seine Umwelt ein erhebliches Gefahrenpotenzial dar. Klassifikationsgesellschaften1 fordern, um das Risiko, das von manövrierunfähigen Schiffen ausgeht, möglichst gering zu halten, eine hohe Verfügbarkeit der einzelnen schiffstechnischen Systeme. Primär wichtige Aggregate sind mindestens doppelt vorhanden [Boer-03].

24 V =

220 V, 60 Hz, 3 ~

Hauptsammel-schiene

440 V, 60 Hz, 3 ~

24 V Drehzahl-

regler

=~

=~

24 V allgemeiner

Server

3 ~G

Diesel-generator 1

Diesel-generator 2

3 ~G

220 V, 60 Hz, 3 ~

Notsammelschiene440 V, 60 Hz, 3 ~

Verbraucher

Notdiesel-generator

3 ~G

=~

Land-anschluss3 ~

G

PTO

Wellengenerator

Verbraucher

Bild 1.8: Elektrisches Energieversorgungssystem eines Container-Schiffes aus [Boer-03]

Funktionsanalyse Bild 1.8 zeigt das Anlagenschema des elektrischen Energieversorgungssystems eines Mehr-zweck-Containerschiffes aus [Boer-03]. Die zentrale Sammelschiene bildet ein Dreileiter- 1 Die Klassifikationsgesellschaften (Beispiel: Germanischer Lloyd) sind für die Kontrolle und Einhaltung der Betriebssicherheit von Schiffen zuständig und entsprechen etwa dem TÜV bei Kraftfahrzeugen.


Drehstrom-Netz mit einer Spannung von 440 V und einer Frequenz von 60 Hz. Die Verbrau-cher werden schaltbar von der zentralen Sammelschiene oder über Unterverteilungen gespeist. Die Energiebereitstellung erfolgt über einen Wellengenerator, zwei Dieselgeneratoren, sowie einem Not-Dieselgenerator. Als Minimum sind zwei voneinander getrennte Generatoreinhei-ten vorgeschrieben, wobei jedes Aggregat alleine in der Lage sein muss, die Betriebssicher-heit des Schiffes zu gewährleisten. Der Wellengenerator ist die primäre Energiequelle an Bord. Angetrieben wird er von der Hauptmaschine und steht somit nur bei deren Betrieb zur Verfügung. Spannung und Frequenz im Bordnetz werden kontinuierlich überwacht. Bei er-höhtem elektrischen Energiebedarf wird ein Dieselgenerator automatisch aufsynchronisiert. Sicherheitskonzepte Die Verbraucher sind in drei Klassen eingeteilt. Es gibt primär betriebswichtige Einrichtun-gen, wie Ruderanlage und Steuerungseinrichtungen. Weiterhin unterscheidet man die sekun-där betriebswichtigen Verbraucher, zu denen die für die Sicherheit der Besatzung und der Passagiere relevanten Einrichtungen gehören, sowie die sonstigen unwichtigen Verbraucher. Während des Ein- und Auslaufens und bei Revierfahrt muss ein Dieselaggregat zusätzlich auf das Netz geschaltet werden, damit bei Ausfall eines Generators die elektrische Energieversor-gung unterbrechungsfrei erhalten bleibt. Dadurch wird eine aktive Redundanz geschaffen. Da während der kritischen Ein- und Auslaufphase immer noch ein Dieselgenerator im Standby ist, kann eine hohe Verfügbarkeit der elektrischen Energieversorgung gewährleistet werden. Bei einer Fahrt auf offener See wäre ein kurzer Ausfall der primären Energieversorgung tole-rierbar. Hier muss gewährleistet sein, dass die primär wichtigen Einrichtungen innerhalb von 30 s wieder versorgt werden können [Boer-03]. Während der relativ unkritischen Liegezeit am Hafen ist ein Dieselgenerator in Betrieb, der zweite als Standby-Redundanz geschalten. Fallen beide Dieselgeneratoren aus, existiert noch ein Notstromaggregat. Nach Ausfall der Hauptversorgung dient dieses zur Versorgung der Notverbraucher wie Beleuchtung, Funkan-lage, Navigationsanlage usw. Der Betrieb der Maschinenanlage mit dem Notstromaggregat ist allerdings nicht möglich. Deswegen stellt es keine Alternative zu den Dieselgeneratoren dar. Ein wesentliches Sicherheitskonzept ist, dass die Redundanzkonfiguration des Bordnetzes abhängig ist vom Fahrt- bzw. Betriebszustand des Schiffes. Eine weitere Besonderheit bei schiffstechnischen Anlagen stellt dar, dass sie von der Besatzung während des Betriebs in-stand gehalten und gewartet werden können. Außerdem kann die Besatzung auf die norma-lerweise automatisch ablaufende Steuerung direkten Einfluss nehmen. Die Verfügbarkeit der Anlagen ist damit letztlich auch von den Bedienereingriffen abhängig. 1.3.3 Besondere Randbedingungen im Kraftfahrzeugbereich In Publikationen finden sich einige Vorschläge und Ansätze für fehlertolerante Architekturen von Kfz-Energiebordnetzsystemen ([Rie-01], [Lug-03]). Die Prinzipien, wie selektive Ab-


trennung fehlerbehafteter Bordnetzzweige, dynamisch angepasste Verteilungsstruktur, gestuf-te Rückfallebenen, Notversorgung aus Hilfs- oder Nebenaggregaten oder verschiedenen Re-dundanzkonfigurationen, sind denen aus den vorgestellten Bereichen in 1.3.1 und 1.3.2 durchaus vergleichbar. Eine detaillierte Diskussion ist in [Abele2-04] gegeben. Was bei der Modellbildung neben den technischen Eigenschaften der Architekturansätze beachtet werden muss, sind spezielle Randbedingungen im Kraftfahrzeugbereich. Alterungsbedingte Fehler Alterungsbedingte Fehler haben einen signifikanten Einfluss auf die Zuverlässigkeit. In der Luftfahrt werden deshalb alterungsbedingte Fehler in sicherheitsrelevanten Komponenten durch präventiven Tausch minimiert, bevor diese in die Alterungsphase gelangen. Dies er-leichtert die Systemanalyse, da konstante Ausfallraten zugrunde gelegt werden können. Bei Automobilsystemen dagegen werden die Komponenten meist hoch ausgelastet und zeigen damit deutliche Alterungs- und Verschleißeffekte, bereits nach relativ kurzer Einsatzzeit. Bei Verschleiß unterliegenden Komponenten steigt das Fehlerrisiko mit zunehmender Betriebs-dauer. Für die Prädiktion, wann sicherheits- bzw. zuverlässigkeitstechnischen Anforderungen nicht mehr erfüllt werden und eine sicherheitsrelevante Komponente spätestens getauscht werden sollte, muss dieses zeitvariante Fehlerrisiko berücksichtigt werden. Konstante Aus-fallraten führen sonst zu einer Unterschätzung der Ausfallhäufigkeit. Bild 1.9 aus [Abele2-04] zeigt die aus Felddaten generierte Weibullverteilung der Ausfallwahrscheinlichkeit eines Kfz-Bordnetzgenerators, bezogen auf die durchschnittliche Betriebszeit.

0

0.01

0.02

0.03

0.04

0.05

0.06

0.07

0.08

0.09

0.1

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Einsatzzeit des Generators in Jahren

Aus

fallw

ahrs

chei

nlic

hkei

t

Aus Felddaten ermittelte Referenzpunkte

Parametrierte Weibull-Verteilungsfunktion

Bild 1.9: Ausfallwahrscheinlichkeit eines Kfz-Bordnetzgenerators über der Einsatzzeit

Parameterunsicherheiten Basis für die quantitative Bewertung von Systemen sind Angaben über die Häufigkeiten bzw. Wahrscheinlichkeiten von Fehlern und Ausfällen. Dies setzt voraus, dass diese Größen zu-mindest in (möglichst engen) Toleranzgrenzen bekannt sind. In technischen Bereichen, in denen die quantitative Bewertung der Zuverlässigkeit und Sicherheit seit längerer Zeit etab-


liert ist, gibt es meist umfangreiche Tabellenwerke, in denen Ausfallraten von Komponenten gesammelt, dokumentiert und standardisiert sind. Da die Ausfallparameter in der Automobil-industrie meist nur für die Garantiezeit vorliegen und mit Unsicherheiten behaftet sind, sollte die Systemanalyse auch gezielt die Auswirkungen unscharfer Daten untersuchen können. Berücksichtigung des menschlichen Einflusses In den Systemen aus 1.3.1 und 1.3.2, sowie auch in anderen technischen Bereichen, ist der Mensch ein wesentlicher Teil des Betriebskonzeptes. Er kann in die augenblicklichen Abläufe eingreifen. Dies setzt ein speziell geschultes Personal voraus, das auf Gefahrensituationen trainiert ist. Im Kraftfahrzeugbereich ist die Fahrerpopulation dagegen inhomogen und tech-nisch wenig geschult. Die direkten Eingriffsmöglichkeiten des Menschen müssen sich deshalb auf Reaktionen auf Fahrzeugebene beschränken. Anhalten oder eine Werkstatt aufsuchen können hier Sicherheitskonzept darstellen. Wichtig sind die psychologischen Aspekte der Informationsverarbeitung. Der Mensch darf nicht durch Informationen über das System über-fordert werden [Theis-02], sondern muss stattdessen klare, an die Gefahrensituationen ange-passte, Handlungsanweisungen bekommen. Dadurch werden die Anforderungen an die sys-teminterne Fehlererkennung drastisch erhöht. Zum einen wird die Analyse erleichtert, da technische Bedienereingriffe meist nicht berücksichtigt werden müssen. Zum anderen führt dies auf die Notwendigkeit, dem Fahrer eine potentielle oder reelle Gefahrensituation geeig-net aber vor allem mit hoher Zuverlässigkeit mitzuteilen. Das System muss autonom und zu-verlässig Einfach- und Mehrfachfehler erkennen, anzeigen und tolerieren können, besonders wenn diese für den Fahrer nicht erkennbar oder bemerkbar sind. Die modellbasierte Analyse muss deshalb die Beurteilung und Optimierung der Eigenfehlererkennung ermöglichen.

1.4 Kriterien für die Wahl der Modellierungsmethode Bisher wurden einige wichtige Aspekte und Merkmale von elektrischen Energiebordnetzsys-temen für sicherheitsrelevante Fahrzeuganwendungen identifiziert, die bei einer Modellbil-dung berücksichtigt werden müssen. Im Einzelnen lassen sich als wesentliche Punkte die fol-genden Anforderungen an die Modellierung formulieren, die als Beurteilungskriterien zur Auswahl einer geeigneten Modellierungsmethode von Relevanz sind.

Deterministisches Ausfallverhalten und stochastische Fehler: Das Ausfall- respek-tive Fehlverhalten eines technischen Systems nach aufgetretenen Fehlern ist determi-nierbar. Das Auftreten von Fehlern ist jedoch stochastischer Natur. Die Modellierung muss diese stochastische Prägung von Fehlern bei der Beschreibung des Ausfallver-haltens berücksichtigen. Die endliche Zuverlässigkeit wird deshalb auch durch sto-chastische Modelle und Größen beschrieben.


Degradationen: Es muss die Möglichkeit bestehen zumindest auf Gesamtsystemebe-ne Degradationen des Systems zu analysieren. Eine hochzuverlässige und fehlertole-rante Energieversorgung für sicherheitsrelevante Verbraucher ist gerade dadurch ge-kennzeichnet, dass sich bei Auftritt von Fehlern Zustände eingeschränkter Funktiona-lität einstellen, bevor das System vollständig ausfällt. Meist werden Degradationen im Rahmen von Sicherheitskonzepten auch bewusst eingesetzt, um ein inhärent gestuftes und zeitlich verzögerndes Ausfallverhalten zu erreichen (fail-controlled system).

Redundanzkonfigurationen: Man unterscheidet prinzipiell heiße Redundanz (Re-

dundanz bereits vor dem Fehlerfall in Betrieb), warme Redundanz (Redundanz vor dem Fehlerfall teilbelastet in Betrieb) und kalte bzw. standby Redundanz (Redundanz wird erst im Fehlerfall zugeschaltet). Der Einfluss verschiedener Redundanzkonfigu-rationen muss erfasst werden können. Das Zuschalten von Redundanzen kann zu dy-namischen Änderungen der Systemstruktur während des Betriebes führen. Dynami-sche Redundanzen ermöglichen eine gezielte Fehlerbehandlung und eine, auf die au-genblicklichen (Fehler-) Umstände, abgestimmte Konfiguration des Systems (z.B. ge-stufte Degradation). Redundanzen werden auch je nach Aktivierung verschieden be-lastet und weisen somit ein unterschiedliches Alterungs- und Ausfallverhalten auf.

Dynamische Konfigurationen: Nicht nur das Schalten von Redundanzen kann zu

Änderungen der Systemstruktur führen, sondern auch eine Adaptivität bei schwanken-den Lastanforderungen oder bei Fehlern. Kurzschlussbehaftete Verteilungszweige bei-spielsweise werden in der Regel aktiv, durch Schaltelemente oder passiv durch Schmelzsicherungen selektiv vom Energieversorgungssystem getrennt, um Folge-schäden an anderen Betriebsmitteln zu verhindern. Somit ist die Struktur von elektri-schen Energieversorgungssystemen meist dynamisch. Dadurch können sich sowohl Betriebsweisen der Komponenten und damit ihre Zuverlässigkeitseigenschaften än-dern, als auch Sicherheitseigenschaften und Degradationskonzepte.

Zustandsabhängiges Verhalten: Sowohl bei Degradationen, verschiedenen Redun-

danzkonfigurationen als auch bei Umkonfigurationen können sowohl Verhaltenswei-sen als auch Zuverlässigkeitseigenschaften des Systems abhängig vom gegenwärtigen Systemzustand sein. Meist ist die Auswirkung eines Fehlers davon abhängig, in wel-cher kausalen Folge er eintritt und in welchem Zustand oder welcher Betriebsphase sich das System augenblicklich befindet.

Abhängigkeiten zwischen Fehlern: Zeitliche und stochastische Abhängigkeiten zwi-

schen Mehrfachfehlern und bei Fehlerverkettungen müssen modelliert werden können. So kann relevant sein, ob und wie viele Fehler bereits vorher eingetreten sind, in wel-cher Sequenz Fehler auftreten und in welcher Korrelation die Fehler stehen.


Einfluss der Eigenfehlererkennung: Wichtig ist hierbei, dass Coverage Faktoren, Testraten und Anforderungsraten modelliert und bestimmt werden können (siehe auch Abschnitt 1.1.3).

Alterungseffekte: Fahrzeugkomponenten werden zwar meist auf die Fahrzeuglebens-

dauer ausgelegt, zeigen in der Regel aber starke Alterungseffekte. Aus ökonomischen Gründen können alternde Komponenten nicht einfach nach kurzer Einsatzzeit präven-tiv getauscht werden. Die sicherheitstechnischen Anforderungen müssen aber für die gesamte Lebensdauer erfüllt werden. Zeitvariantes Ausfallverhalten muss deshalb bei der Analyse berücksichtigt werden können.

Reparaturen, Inspektionen und Erneuerungen: Manche Komponenten können

prinzipbedingt nicht auf die Fahrzeuglebensdauer ausgelegt werden, z.B. die Fahr-zeugbatterie. Diese Komponenten müssen nach bestimmten Betriebsdauern erneuert werden. Andere Komponenten mit entsprechender Voralterung werden dagegen weiter betrieben. Die Ersetzung führt auf Unstetigkeiten in den Verläufen der Fehlerraten.

Parameterunsicherheiten: Zuverlässigkeitsdaten von Komponenten sind nicht mit

„Exaktheit“ bestimmbar, sondern mit Unschärfen bzw. Unsicherheiten behaftet, da sie Zufallsvariablen sind. Oft liegen sie sogar nur als subjektive Einschätzungen in einem Intervallbereich vor. Unsicherheiten oder Unschärfen sind allerdings nicht zu ver-wechseln mit Unwissenheit. Auch eine Unschärfe, z.B. in Form eines Parameterberei-ches, ist eine Information, deren Einfluss sich in einem mathematischen Modell analy-sieren lässt. Unsicherheiten machen es notwendig, die Sensitivität gegenüber Parame-tervariationswirkungen zu analysieren und Vertrauensbereiche zu betrachten.

Dokumentation: Letztlich ist bei Sicherheitsanalysen auch die Dokumentation für

Nachweiszwecke wesentlich. Eine Zuverlässigkeits- oder Sicherheitsanalyse ist nicht dazu da, um ausschließlich stochastische Kenngrößen zu generieren, sondern vor al-lem, um die identifizierten und analysierten Fehler und Fehlerszenarien transparent und nachvollziehbar zu dokumentieren. Deshalb sollte eine visuell gut interpretierbare graphische Repräsentation der Fehlerszenarien möglich sein.

1.5 Zusammenfassung zu Kapitel 1 Die Zuverlässigkeit technischer Systeme sowie die Zuverlässigkeit des Menschen als Ent-wickler, Hersteller und Bediener bleibt trotz aller Bemühungen unvermeidbar eine endliche Größe. Da diese endliche Zuverlässigkeit über die Feldakzeptanz entscheidet und darüber


hinaus Auswirkungen auf die Sicherheit haben kann, ist sie eine wesentliche Eigenschaft technischer Systeme. Alle sicherheitsrelevanten Anwendungen bergen deshalb Risiken. Der Eintritt eines gefährlichen Fehlers mit einer gravierenden Schadensfolge kann nie mit letzter Sicherheit ausgeschlossen werden, so dass Restrisiken letztendlich hingenommen werden müssen. In vielen Ländern und technischen Bereichen werden daher Anforderungen an die Sicherheit in Richtlinien und Normen, zusätzlich zu deterministischen Vorgaben, quantitativ durch probabilistische Werte rechtswirksam definiert [SFK-04]. Für bestimmte Fehlerklassen werden maximal zulässige Auftretensraten vorgegeben. Probabilistische Vorgaben für die Sicherheit werden oft kontrovers diskutiert, da, wie in Abschnitt 1.1.4 gezeigt, nicht alle As-pekte, die Einfluss auf die Systemsicherheit haben, in einem probabilistischen Modell formu-liert werden können. Probabilistische Methoden sind oft nicht geeignet, um systematische Fehler abzubilden. Auch probabilistische Fehlermodelle für menschliche Handlungsweisen sind zu hinterfragen. Bei der Definition von akzeptierbaren Restrisiken kommt man auch an moralische und ethische Fragestellungen, die nicht allein durch technische Aspekte entschie-den werden können. Letztlich sind Risikogrenzwerte und Sicherheitsziele auch immer so fest-zulegen, dass eine gesellschaftliche und technische Weiterentwicklung berücksichtigt wird. Sicherheits- und Zuverlässigkeitsniveaus von technischen Systemen sind allerdings nur dann vergleichbar und objektiv bewertbar, wenn systematische Analysen, rationale Methoden und nachvollziehbare Kriterien angewendet werden. Die Betrachtung der endlichen Zuverlässig-keit eines Systems ist gerade unter diesen Aspekten im Kontext sicherheitsrelevanter Systeme notwendig und unterstützt andere sicherheitsgerichtete Maßnahmen. Auf quantitative Analy-sen zu verzichten bedeutet eine wesentliche und unvermeidbare Eigenschaft eines Systems nicht zu betrachten. Das Wesen der modellbasierten Sicherheits- und Zuverlässigkeitsanalyse besteht ohnehin nicht im reinen Generieren von stochastischen Kenngrößen, sondern in der Umsicht, alle denkbaren Fehler, deren Wahrscheinlichkeiten sowie Abhängigkeiten zu identi-fizieren, zu bewerten und bei der Modellierung und Analyse zu berücksichtigen. Die Probabi-listik ist dabei ein Hilfsmittel, um das vorhandene, meist ohnehin intuitiv angewendete, Wis-sen in einem mathematischen Modell zu formalisieren. Das Modell dient damit letztlich auch als Erfahrungsspeicher und führt darauf, zu komplizierte Verhaltensweisen eines Systems gezielt zu hinterfragen. Weitere Untersuchungen werden ermöglicht, mit denen z.B. verschie-dene Systeme bzw. Systemarchitekturen vergleichend analysiert oder Schwachstellen identi-fiziert werden können. Daraus lassen sich fundierte Entscheidungsgrundlagen für weitere Maßnahmen ableiten. Über die rein quantitativen Betrachtungsweisen hinaus führen die Me-thoden vor allem auf ein systematisches und strukturiertes Vorgehen bei der Systemanalyse und der Systementwicklung. Voraussetzung für die Ermittlung von Zuverlässigkeitsaussagen ist die Anwendung geeigneter mathematischer Formalismen, welche die realen Systemeigen-schaften hinreichend genau beschreiben. Da probabilistisch unterstützte Sicherheitsanalysen letztendlich die Auswirkungen der endlichen Zuverlässigkeit auf die Sicherheit untersuchen, nutzen sie die Methoden der Zuverlässigkeitstheorie.


Kapitel 1 hat grundlegende Zusammenhänge erörtert, sowie die Anforderungen an die Mo-dellbildung der Zuverlässigkeitseigenschaften von sicherheitsrelevanten elektrischen Energie-bordnetzsystemen identifiziert. Vor diesem Hintergrund soll das folgende Kapitel 2 die exis-tierenden Modellierungsmethoden der Zuverlässigkeitstheorie eingehend diskutieren.

33

Kapitel 2

Vergleichende Bewertung von Modellie-rungsmethoden In der Sicherheits- und Zuverlässigkeitstheorie existieren verschiedene quantitative Modellie-rungsmethoden, die für unterschiedliche Fragestellungen und Systemeigenschaften entwickelt wurden. Kapitel 1 hat die Anforderungen an die Modellbildung identifiziert, die bei der Ana-lyse sicherheitsrelevanter Energieversorgungssysteme unter den speziellen Randbedingungen bei Kraftfahrzeuganwendungen gestellt werden. Die existierenden Modellierungswerkzeuge sollen in diesem Kapitel in Bezug auf diese Anforderungen und ihre speziellen Eigenschaften hin diskutiert und bewertet werden. Aufzulösende Defizite der Methoden werden aufgezeigt.

2.1 Sicherheits- und Zuverlässigkeitsanalysen 2.1.1 Zur Modellbildung und Abstraktion Realweltsysteme sind meist derartig komplex, dass ein Verständnis spezieller Eigenschaften durch bloße Beobachtung nicht mehr möglich ist. Es bedarf der Bildung von Modellen als abstrahierende Abbilder, die Rückschlüsse auf die Eigenschaften und das Verhalten des realen Systems erlauben. Modellbildung ist ein Abstraktionsprozess, bei dem die zu einer bestimm-ten Fragestellung als wesentlich erachteten Aspekte des betrachteten Systems in einem Mo-dell so realitätsnah wie nötig abgebildet werden. Eine Modellbildung erfolgt mit dem originä-ren Ziel einer Komplexitätsreduktion. Modelle sind damit eine reduzierte Repräsentation konkreter Systeme aus unserer Erfahrungswelt und unterliegen, wie alle Formen der Abstrak-tion, einer subjektiven Interpretation, welche Eigenschaften wesentlich oder unwesentlich

34 Kapitel 2 Vergleichende Bewertung von Modellierungsmethoden

sind. Modelle beschreiben somit auch die Menge zielgerichteter Annahmen über das System und dessen Umgebung. In Anlehnung an das Einsteinsche Zitat „Everything should be made as simple as possible, but not simpler“, ist eine möglichst hohe Realitätsnähe wichtiger, als eine zu hohe Detaillierung. Anderseits gilt, dass nicht analysiert werden kann, was nicht mo-delliert wurde. So müssen die Ergebnisse einer Modellanalyse immer unter Berücksichtigung der getroffenen Annahmen und des Detaillierungsgrads interpretiert werden.

Parameter Zielgrößen

Reales System

System-verständnis

ModellStruktur / Verhalten

Abstraktion Modellanalyse

Bild 2.1: Modellbildung und Abstraktion

Modellbildung beschreibt den Vorgang der Identifikation relevanter Systemeigenschaften, sowie deren Formulierung mit einem meist mathematischen Modell (Bild 2.1). Die Wahl des Beschreibungsformalismus und der Granularität hängt vom System respektive der subjektiv als relevant empfundenen Eigenschaften und der Fragestellung ab. Ziel ist, aus einer Modell-analyse, z.B. durch Parametervariationen, zu einem tieferen Verständnis und zu Kenngrößen zu gelangen, mit denen sich Aussagen über spezielle Eigenschaften ableiten lassen. 2.1.2 Modelle der Zuverlässigkeit und Sicherheit Modelle der Zuverlässigkeit und Sicherheit haben das Ziel, zuverlässigkeits- und sicherheits-relevante Systemeigenschaften, Einflussgrößen und Beziehungen der Systemelemente zu formalisieren und in geeigneter mathematischer Weise abzubilden. Kenngrößen und Maße werden so definiert, dass sie bestimmte Designziele reflektieren. Es werden beispielsweise Kenngrößen dazu berechnet, wie lange ein System die Zuverlässigkeitsanforderungen erfüllt oder wie wahrscheinlich ein gefährlicher degradierter Zustand innerhalb der Einsatzzeit ist. Zuverlässigkeits- und Sicherheitsmodelle haben dabei einen unterschiedlichen Fokus. Zuverlässigkeitsmodell einer elektrischen Energieversorgung Eine Zuverlässigkeitsanalyse quantifiziert funktionale Korrektheit über probabilistische Kenngrößen. Im Mittelpunkt der Modellbildung steht dabei das Ausfallverhalten des elektri-schen Energieversorgungssystems. Das Ausfallverhalten wird von der Zuverlässigkeit und dem Ausfallverhalten jeder einzelnen Komponente, der Dimensionierung, der Betriebsweise, den Betriebsbedingungen, der Struktur bzw. Topologie, spezifischen Systemeigenschaften,

Kapitel 2 Vergleichende Bewertung von Modellierungsmethoden 35

wie den Eigenschaften von Schutzeinrichtungen, Abhängigkeiten und Wechselwirkungen und letztlich auch durch Reparaturen und Wartungen bestimmt. Die Ausfallmodi des Energiever-sorgungssystems ergeben sich aus der systemspezifischen Überlagerung dieser Einflussgrö-ßen, was durch das Modell formuliert wird. Ein Zuverlässigkeitsmodell beschreibt in abstrak-ter analytischer Form das systemspezifische Ausfallverhalten. Ermittelt wird daraus z.B. die Zuverlässigkeit der Energieversorgung eines bestimmten elektrischen Verbrauchers. Hierbei muss zwischen Struktur- und Funktionszuverlässigkeit differenziert werden. Struktur- und Funktionszuverlässigkeit Aus methodischen Gründen und zur differenzierten Betrachtung der Zuverlässigkeitseigen-schaften, wird die Zuverlässigkeit in Anlehnung an [Kloep-90] in die Aspekte Struktur und Funktion zerlegt. Methodisch hängt diese Aufteilung damit zusammen, dass die Modellie-rungsmethoden in ihrer Grundform entweder struktur- oder verhaltensorientiert sind. Bezogen auf elektrische Energieversorgungssysteme beschreiben Strukturmodelle Energieflusswege und Topologien [Barth-04]. Strukturzuverlässigkeit ist die Eigenschaft, die Versorgung von Verbrauchern auf vorgegebenen Energieflusswegen von der Einspeisung bis zum Verbraucher unter Einhaltung vorgegebener Grenzen bereitzustellen [Kloep-90]. Strukturzuverlässigkeit umfasst damit Parameter, die die Existenz durchgeschalteter Energieflusswege bewerten, zu-nächst ohne auf die anderen Qualitätsparameter, z.B. der Spannung, einzugehen. Funktion ist das Ensemble von Verhaltensformen eines Systems bei Graduierung der Funkti-onserfüllung (z.B. Voll-, Teil-, Fehl-, Nichterfüllung). Funktionszuverlässigkeit ist die Fähig-keit, alle vorgegebenen Funktionen durch Einhaltung der Grenzwerte der Ergebniskenngrößen aller zu lösenden Teilaufgaben über eine bestimmte Zeitdauer zu erfüllen. Funktionszuverläs-sigkeit umfasst damit Parameter, die den zeitlichen Verlauf von wichtigen Variablen und de-ren Aufenthalt innerhalb vorgeschriebener Werteschranken für diese Variablen bewertet. Während bei der Strukturzuverlässigkeit die Organisation der Systemelemente im Vorder-grund steht, ist es bei der Funktionszuverlässigkeit die Erfüllung erwarteten Verhaltens. Modell der Sicherheitseigenschaften Auch Sicherheitsmodelle beschreiben das Ausfallverhalten eines Systems, bewerten Unzuver-lässigkeiten respektive Fehler und Fehlerszenarios aber zusätzlich anhand der Sicherheitsrele-vanz bzw. des Risikos der resultierenden Auswirkungen. Sicherheit wird hier primär in Bezug auf potentielle Gefährdungen bei einem Versorgungsdefizit oder Versorgungsausfall sicher-heitsrelevanter Verbraucher verstanden. Ein Modell der Sicherheitseigenschaften enthält da-mit die Interpretation der Fehler und Fehlerszenarien in Bezug auf potentielle Gefährdungen und Risiken. Zur Sicherheitsanalyse gehört die Berücksichtigung von anlagenspezifischen Sicherheitskonzepten, die Gefährdungszustände vermeiden sollen. Vor der Modellierung müssen mögliche Fehler im System identifiziert, die Auswirkungen analysiert und anhand der Sicherheitsrelevanz bewertet werden. Der prinzipielle Ablauf ist in Bild 2.2 illustriert.


• Stochastische Modellierung der Abhängigkeiten in einem System

• Ermittlung der Wahrscheinlich-keiten kritischer Systemzustände

Risiko- und Anforderungs-

analyse

qualitativ quantitativ

Systemanalyse Systembewertung

Ziele Methoden

FehlerartenanalyseSystematische Identifizierung, Klassi-fizierung und Bewertung von Fehlern

Fehlermodelle

Fehler-Wahrscheinlichkeiten

FehleranalyseIdentifizierung von: • Fehlern• Fehlermechanismen• Fehlerauswirkungen• kritischen Zuständen• Fehlermodellen• Systemzuständen

Ziele Methoden

FehlerratenanalyseErwartete Häufigkeit unerwünschter

Systemzustände und Ereignisse

• FMEA• Fehlerbaum• Fehlerinjektion• formale Methoden/

Beweise• Petri-Netz• CCF-Analyse• ...

• Fehlerbaum• Markov-Analysen• Semi-Markov• Erneuerungstheorie• Hybride Ansätze

(z.B. dynamische Fehlerbäume)

• ...

Bild 2.2: Ablauf einer Sicherheits- respektive Zuverlässigkeitsanalyse [Abele-04]

Diskussion von (systematischen) Fehlern bei der Modellbildung Modelle, unabhängig welcher Art, basieren auf abstrahierenden Annahmen und spiegeln das vorhandene Systemverständnis. Bei Sicherheits- und Zuverlässigkeitsanalysen können diese Annahmen konservative Natur haben, d.h. das System wird tendenziell eher schlechter bewer-tet als es ist, oder optimistischer Natur sein. Systematische Fehler, z.B. durch falsche Annah-men aufgrund mangelnden Systemverständnisses, können dadurch im Modell einfließen. Auch das Modell kann Quelle systematischer Fehler sein, wenn eine ungeeignete Modellie-rungsmethode verwendet wird, Parameter falsch sind, eine Lösung fehlerhaft bestimmt wird, oder die Ergebnisse falsch interpretiert werden. Bild 2.3 stellt die Einflussfaktoren dar.

Reales System Modell

Modellierungsfehler

Falsche Parameter

Lösungs-technik Auswertung

Falsche Interpretation

Lösungsfehler

Fehlerhafte Annahmen

Bild 2.3: Mögliche Fehler bei der Modellbildung

Aus dieser Diskussion darf allerdings nicht schlussgefolgert werden, dass auf die Modellbil-dung verzichtet werden sollte. Gerade Modelle bieten die Möglichkeit, unsichere Parameter und die Auswirkungen verschiedener Annahmen zu untersuchen. Um systematische Fehler bei der Modellbildung zu vermeiden, muss aber eine Methode gewählt werden, mit der die


Systemeigenschaften hinreichend real abgebildet werden können und die für die Problemstel-lung geeignet ist. Die Grenzen der Modellierungsmethode müssen beachtet werden. Die Ana-lyse der Sicherheit selbst ist sicherheitsrelevant. Aus Bild 2.2 geht hervor, dass ein breites Spektrum an methodischen Werkzeugen existiert, um eine quantitative Analyse unter Zuver-lässigkeits- und Sicherheitsaspekten durchzuführen. In den folgenden Abschnitten werden deshalb die mathematischen Modellierungsformalismen auf die Erfüllung der Kriterien aus Kapitel 1 und ihren speziellen Eigenschaften hin untersucht.

2.2 Parts-Count und Parts-Stress Modell Das einfachste mathematische Zuverlässigkeitsmodell ist das Parts-Count Modell. Es geht von der Annahme aus, dass bereits ein Fehler oder Komponentenausfall einen Ausfall des Systems zur Folge hat. Wegen dieser Eigenschaft wird es auch als Serienmodell bezeichnet. Da unabhängige Einzelausfälle unterstellt werden, berechnet sich die Systemüberlebenswahr-scheinlichkeit RS(t) für n Komponenten aus Gleichung 1.1.6 nach Gleichung 2.2.1.

( ) ( ) ( ) ( ) ( )tRtRtRtRtR nS ⋅⋅⋅⋅= ...321 (Gl. 2.2.1)

Weiterhin legt man exponential verteilte Überlebenswahrscheinlichkeiten der Komponenten zugrunde. Somit kann RS(t) nach Gleichung 2.2.2 berechnet werden.

( ) ⎟⎠

⎞⎜⎝

⎛−= ∑=

n

iiS ttR

1exp λ (Gl. 2.2.2)

Durch die Annahme exponential verteilter Überlebenswahrscheinlichkeiten ergibt sich die Systemausfallrate als Summe der Komponentenausfallraten. Über Gleichung 2.2.1 ließen sich zwar prinzipiell beliebig verteilte Ri(t) berücksichtigen, dies ist jedoch unüblich, weil die Sys-temausfallrate dann nicht mehr einfach als Summe der Einzelausfallraten berechnet werden darf. Das Parts-Stress Modell ist im Grunde identisch mit dem Parts-Count Modell. Der Un-terschied besteht lediglich darin, dass Stressfaktoren, z.B. durch widrige Umgebungsbedin-gungen, in der Ausfallrate einer Komponente durch bestimmte Faktoren berücksichtigt wer-den [RDF-2000]. Das kann prinzipiell bei jedem Zuverlässigkeitsmodell integriert werden. Parts-Count bzw. Parts-Stress Modelle werden beispielsweise bei der Failure Mode, Effects and Criticality Analysis (FMECA) zugrunde gelegt [MIL-1629A]. Mit beiden Modellansätzen ist es nicht möglich, redundante Systeme und stochastische, zeitliche oder kombinatorische Ausfallabhängigkeiten zu beschreiben. Auch Alterungen und dynamische Strukturänderungen können nicht berücksichtigt werden. Parts-Count bzw. Parts-Stress Modelle eignen sich somit nur für Einfachfehlerbetrachtungen und zuverlässigkeitstechnische Seriensysteme.


2.3 Boolesches Zuverlässigkeitsmodell 2.3.1 Berechnung der pfad- und schnittorientierten Strukturfunktion Einige grundlegende Betrachtungen Boolesche Modelle basieren auf einer algebraischen Struktur mit den zwei Verknüpfungsarten Disjunktion (∨ oder +) und Konjunktion (∧ oder .). Komponenten und aus diesen gebildete Systeme werden durch die beiden Zustände „funktionsfähig“ und „ausgefallen“ beschrieben, d.h. es werden binäre Fehlermodelle zugrunde gelegt. Eine Komponente i wird durch eine binäre Indikatorvariable xi in Positivlogik nach Gleichung 2.3.1 modelliert. Die Negation kann durch Gleichung 2.3.2 beschrieben werden. Auf die Axiome der booleschen Algebra soll an dieser Stelle nicht näher eingegangen werden (siehe z.B. [Meyn-94] oder [Pauli-03]).

Zustand-Soll imsich befindet i Komponente 1, Zustand-Ausfall imsich befindet i Komponente ,0

=ix (Gl. 2.3.1)

ii xx −= 1 (Gl. 2.3.2)

Boolesche Modelle beschreiben die zuverlässigkeitstechnische Abhängigkeit der System-komponenten als boolesche Funktion. Es wird angenommen, dass die Funktionsfähigkeit des Systems deterministisch von der Funktionsfähigkeit seiner Komponenten abhängt. Dem Sys-tem wird in Positivlogik der System-Zustandsindikator ϕ zugeordnet (Gleichung 2.3.3).

Zustand-Soll imsich befindet System 1, Zustand-Ausfall imsich befindet System ,0

=ϕ (Gl. 2.3.3)

Sei S ein System, das aus n Komponenten x1, ..., xn bestehe. Dann beschreibt das Strukturmo-dell S=x1, ..., xn die Abhängigkeit zwischen einem definierten Funktionszustand des Sys-tems und den Zuständen seiner Komponenten durch die kohärente (monotone) System-Strukturfunktion ϕS(x) (Gleichung 2.3.4). Die Zeit t ist nicht explizit enthalten.

),...,( 1 nS xxS ϕ= (Gl. 2.3.4)

Die Kohärenz1, oder auch Monotonieeigenschaft, resultiert aus der Majorisierung der Zu-standsvektoren [Kauf-70] und spielt eine wesentliche Rolle in der booleschen Theorie. Daraus leiten sich einige Bedingung an die Modellierung ab, die in 2.3.2 diskutiert sind. Am Beispiel

1 Statt Kohärenz wird in der Literatur manchmal auch der Begriff „Isotonie“ verwendet.


des Energienetzwerkes in Bild 2.4 soll zunächst die Vorgehensweise bei der Modellierung eines Systems mit der Strukturfunktion verdeutlicht werden. Das System bestehe aus zwei Generatoren (xGi), drei Netzknoten (xNKi) sowie einem Verbraucher (xV). Die Leitungen wer-den nicht modelliert. Jedes Element ist entweder ausgefallen oder funktionsfähig.

MinimalpfadNK1G1

NK2G2

NK3 V

Pfad

Bild 2.4: Energienetzwerk mit Generatoren (Gi), Netzknoten (NKi) und Verbraucher (V)

Pfadorientierte Ermittlung der Strukturfunktion ϕS(x) Zur Aufstellung der Strukturfunktion ϕS(x), werden zunächst die Minimalpfade (MPi) ermit-telt. Anschaulich ist ein Pfad (Pti) eine nicht leere Menge von Komponenten, deren Funktio-nieren die Funktionstüchtigkeit des Gesamtsystems bedingt. Minimalpfade sind Funktions-pfade des Systems, die keine anderen Funktionspfade als echte Teilmenge enthalten. In einem Energie-Verteilungsnetzwerk könnten Pfade auch als Energieflusswege interpretiert werden. Das System in Bild 2.4 enthält für die betrachtete Funktion „Verbraucher V funktioniert“ vier Pfade (Pt1 bis Pt4). Von den vier Pfaden sind Pt1 und Pt2 die Minimalpfade des Systems.

VNKNKNKGVNKNKG

VNKNKNKGVNKNKG

xxxxxPtxxxxPtxxxxxPtxxxxPt

3212322

3211311

42

31

====

Mit den Minimalpfaden lässt sich der Zuverlässigkeitsgraph des Systems darstellen (Bild 2.5). Dazu werden sämtliche Minimalpfade parallel angeordnet gezeichnet. Die Darstel-lung in Bild 2.5 wird auch als reduzierte Parallelform bezeichnet.

XG1

XG2

XNK1

XNK2

XNK3 XVEK AK

Bild 2.5: Zuverlässigkeitsgraph des Energienetzwerkes in Minimalpfad-Darstellung

Ein Zuverlässigkeitsgraph ist ein gerichteter azyklischer Graph mit einem Eingangsknoten EK und einem Ausgangsknoten AK. Er ist nicht notwendigerweise identisch mit dem technischen Funktions-Blockdiagramm. Jeder Block im Zuverlässigkeitsgraph gibt eine Zuverlässigkeits-


eigenschaft einer Komponente wieder. Hat eine Komponente mehrere unabhängige Ausfallar-ten, kann jede separat durch einen Block repräsentiert werden. Ein System ist funktionsfähig, solange es einen Kantenzug von EK nach AK gibt, der über Knoten mit fehlerfreien Kompo-nenten führt. Die mehrfache Verwendung eines Komponentenblocks im Zuverlässigkeits-graph ist zulässig, auch wenn die Komponente physikalisch nur einmal vorhanden ist. Bei der späteren Berechnung der Zuverlässigkeits-Systemfunktion werden mehrfach auftretende Komponentenblöcke wieder reduziert. Die pfadorientierte Darstellung wird auch als Zuver-lässigkeits-Blockdiagramm1 bezeichnet. Diese sind z.B. in der Luftfahrt weit verbreitet ([Vahl-98]). Die boolesche Strukturfunktion lässt sich durch die disjunktive Verknüpfung der Minimalpfade nach Gleichung 2.3.5 bilden, wobei m die Anzahl der Minimalpfade sei.

( ) ( )∏==

−−==m

ii

m

MPiS MPMPx

i 11

11Uϕ (Gl. 2.3.5)

Einführung von Wahrscheinlichkeiten Weite Verbreitung in der Zuverlässigkeitstheorie haben boolesche Modelle vor allem auf-grund des relativ einfachen Übergangs in eine reell algebraische Gleichung gefunden. Werden stochastisch unabhängige Ausfälle unterstellt und existieren keine zeitlichen Abhängigkeiten, kann die Ausfall- respektive Überlebenswahrscheinlichkeit des Systems über Gleichung 2.3.5 durch Bildung der „Einfachen Form2“ [Kauf-70] bestimmt werden (Gleichung 2.3.6).

( ) VNKNKNKGGVNKNKGVNKNKGS xxxxxxxxxxxxxxx32121322311

−+=ϕ (Gl. 2.3.6)

Da in der „Einfachen Form“ durch die Anwendung der Idempotenzrelationen [Rak-02] nur lineare Terme der Indikatorvariablen auftauchen, wird sie auch Multilinearform genannt. Die booleschen Indikatorvariablen xi der Systemkomponenten sowie der System-Strukturfunktion ϕS(x) können als binäre Zufallsvariablen aufgefasst werden. Aufgrund der Linearität des Er-wartungswertoperators ist der Erwartungswert einer Summe gleich dem Erwartungswert der Summe der Summanden. Für unabhängige Systemkomponenten gilt, dass der Erwartungswert eines Produktes gleich dem Produkt der Erwartungswerte der Faktoren ist. Da unabhängige Systemkomponenten vorausgesetzt werden folgt aus Gleichung 2.3.6 die Gleichung 2.3.7.

][][][][][][ ][][][][][][][][][

32121

322311

VENKENKENKEGEGEVENKENKEGEVENKENKEGEE S

⋅⋅⋅⋅⋅−⋅⋅⋅+⋅⋅⋅=ϕ

(Gl. 2.3.7)

1 Häufig wird das Zuverlässigkeits-Blockdiagramm auch Reliability-Block-Diagram genannt (kurz RBD). 2 Darunter versteht man die disjunkte Verknüpfung linearer nicht-negierter Terme.


Bei Systemen ohne Erneuerung können für die Erwartungswerte die Verteilungsfunktionen Ri(t) der Komponenten und bei Systemen mit Erneuerung (Komponententausch oder Repara-tur) die Verfügbarkeiten Ai(t) eingesetzt werden. Reparaturen können in einem booleschen Zuverlässigkeitsmodell somit nur indirekt in den Verteilungsfunktionen berücksichtigt wer-den. Es entsteht die Zuverlässigkeits-Systemfunktion ΓS(t) (Gleichung 2.3.8 - ohne Argument t). Dieser Isomorphismus ist allerdings nur gültig, wenn die entsprechenden Umformungsge-setze beachtet wurden (Idempotenzrelation, Absorptionsgesetz, usw.).

( ) VNKNKNKGGVNKNKGVNKNKGS RRRRRRRRRRRRRRt32121322311

−+=Γ (Gl. 2.3.8)

An die Art der Verteilungen werden bei dieser Vorgehensweise, außer der stochastischen Un-abhängigkeit, keine weiteren Bedingungen gestellt. Boolesche Modelle sind damit grundsätz-lich verteilungsunabhängig. Insbesondere kann man zeitabhängiges Ausfallverhalten bei Alte-rung und Verschleiß durch beliebige Verteilungsfunktionen berücksichtigen. Schnittorientierte Ermittlung der Strukturfunktion ϕS(x) Anschaulich ist ein Schnitt (Cti) eine nicht leere Menge von Komponenten, deren Ausfall den Ausfall des Gesamtsystems nach sich zieht. Ähnlich zur Definition von Minimalpfaden sind Minimalschnitte (MCi) Schnitte des Systems, die keine anderen Schnitte als echte Teilmenge enthalten. Bei allgemeinen, auch nicht-kohärenten Funktionen, bezeichnet man minimale Schnitte auch als Primimplikanten [Bucha-00]. Der Systemausfall tritt ein, wenn mindestens ein Minimalschnitt realisiert ist. Minimalschnitte charakterisieren die Verletzbarkeit [Cin-79]. Bild 2.6 veranschaulicht den Unterschied zwischen einem Schnitt und einem Minimalschnitt.

MinimalschnittNK1G1

NK2G2

NK3 V

Schnitt

Bild 2.6: Schnitt und Minimalschnitt im Energienetzwerk Um die Strukturfunktion ϕS(x) eines Systems in Schnittdarstellung aufzustellen, werden zu-nächst die Minimalschnitte (MCi) ermittelt. Dazu gibt es verschiedene Verfahren, z.B. über graphentheoretische Methoden oder Karnaugh-Diagramme [Kloep-90]. Die Strukturfunktion wird durch die Gleichung 2.3.9 gebildet, wobei n die Anzahl der Minimalschnitte und k die Anzahl der Elemente eines Minimalschnittes sei.


( ) ( )∏ ∏= ==

⎥⎦

⎤⎢⎣

⎡−−==

n

MC

k

iiMC

n

MCjS

j

j

j

j

xMCx1 1

,1

11Iϕ (Gl. 2.3.9)

Durch die disjunktive Verknüpfung aller Primimplikanten lässt sich die Disjunktive Normal-form (DNF) bilden (Gleichung 2.3.10).

212121213)( NKNKNKGGNKGGVNKS xxxxxxxxxxx ⋅+⋅+⋅+⋅++=ϕ (Gl. 2.3.10)

Zur zweckmäßigeren Darstellung der DNF wird häufig zur Negativlogik übergegangen (Feh-lerbaum). Aus der DNF kann das Zuverlässigkeits-Ersatzschaltbild in Minimalschnittdarstel-lung gezeichnet werden, indem alle Minimalschnitte seriell angeordnet werden (Bild 2.7).

XNK3 XV

XG1

XG2

XNK1

XG2

XG1

XNK2

XNK1

XNK2

EK AK

Bild 2.7: Zuverlässigkeitsgraph des Energienetzwerkes in der Minimalschnitt-Darstellung

Über Gleichung 2.3.9 kann aus der Strukturfunktion in Minimalschnittdarstellung die Multili-nearform und daraus wieder die reell algebraische Zuverlässigkeits-Systemfunktion ΓS(t) be-rechnet werden. Es ergibt sich Gleichung 2.3.11.

( ) VNKNKNKGGVNKNKGVNKNKGS RRRRRRRRRRRRRRt32121322311

−+=Γ (Gl. 2.3.11)

Minimalschnitte sind kritische Fehlerkombinationen, da sie die kleinste Anzahl von Fehlern repräsentieren, die zu einem Systemausfall führen. Oft werden in Zuverlässigkeitsanalysen Minimalschnitte höherer Ordnung vernachlässigt. Diese Annahme ist nicht gerechtfertigt, wenn die Komponenten stark unterschiedliche Ausfallwahrscheinlichkeiten besitzen oder stochastische Abhängigkeiten bestehen. So kann ein Element zur gleichzeitigen Realisierung mehrerer Minimalschnitte führen. Minimale Schnitte, die nur ein Element enthalten, sind so genannte „single-point failures“ und in sicherheitsrelevanten Anwendungen zu vermeiden. Man erkennt, dass auch die qualitative Analyse der Strukturfunktion nach Minimalschnitten ohne Wahrscheinlichkeiten bereits Rückschlüsse auf kritische Fehlerkombinationen zulässt. Vergleich von Schnitt- und Pfadorientierung Die pfad- und schnittorientiert Darstellung der kohärenten Strukturfunktion sind grundsätzlich äquivalent. Sie lassen sich durch boolesche Theoreme ineinander überführen. Allerdings un-terscheiden sich beide Formen in der Anzahl ihrer additiven Terme erheblich. Die Termanzahl hat aufgrund der meist sehr kleinen Ausfallwahrscheinlichkeiten Einfluss bei der numerischen


Auswertung. Die Anzahl additiver Terme sollte möglichst klein sein. Die Bildung von Struk-turfunktionen über Minimalpfade führt in der Regel auf eine kleinere Termanzahl, da in ei-nem System meist mehr Fehler als Funktionspfade und somit auch mehr Minimalschnitte als Minimalpfade existieren. Ein energietechnisches Netzwerk lässt sich deshalb und wegen der Analogie zu den Stromflusspfaden über pfadorientierte Strukturfunktionen meist geeigneter modellieren. Enthält das System allerdings viele Elemente oder viele Verzweigungen zwi-schen den Elementen, wird die Strukturfunktion sehr groß. Um den Rechenaufwand zu mini-mieren, wird die Strukturfunktion dann meist als Näherung über eine Minimalschnitt- oder Minimalpfadschätzung bestimmt. Sei nMC die Anzahl minimaler Schnitte und nk die Anzahl der Elemente des k-ten Minimalschnittes. Dann kann die untere Grenze der Systemzuverläs-sigkeit durch Gleichung 2.3.12 abgeschätzt werden (abgeleitet aus [Höfle-78]).

( ) ( )[ ]∑∏= =

−−>MC jn

j

k

iiS tRtR

1 1

11 (Gl. 2.3.12)

Sei mMP die Anzahl minimaler Pfade und mi die Anzahl der Elemente des i-ten Pfades. Dann kann die obere Grenze der Systemzuverlässigkeit durch Gleichung 2.3.13 geschätzt werden.

( ) ( )∑∏= =

<MP jm

j

k

iiS tRtR

1 1 (Gl. 2.3.13)

Die Gleichungen besagen, dass eine Abschätzung der Systemzuverlässigkeit über Minimal-schnitte das System pessimistisch bewertet. Die tatsächliche Zuverlässigkeit des Systems liegt höher. Sicherheitstechnisch liegt man damit auf der „sicheren“ Seite. Eine Abschätzung über Minimalpfade bewertet das System optimistisch. Die tatsächliche Zuverlässigkeit des Systems liegt niedriger. Sicherheitstechnisch liegt man auf der „schlechten“ Seite (Bild 2.8).

Sicherheitstechnischkritisch

Sicherheitstechnischunkritisch

10 Exakte Ausfallwahrscheinlichkeit FS(t)

Minimalpfadmethode Minimalschnittmethode

NäherungNäherung

Bild 2.8: Abschätzung der Systemzuverlässigkeit über Minimalschnitte und Minimalpfade

Die Bewertung eines Systems über Minimalpfade liefert zwar Strukturfunktionen mit einer kleineren Anzahl von Termen. Müssen jedoch Näherungen berechnet werden ist zu beachten,


dass die Ergebnisse optimistischer Natur sind und die Näherungen zur unsicheren Seite ten-dieren. Näherungen liefern allerdings sowohl bei der Pfad- als auch bei der Schnittorientie-rung nur für den Bereich kleiner Ausfallwahrscheinlichkeiten korrekte Ergebnisse. Auch wird davon ausgegangen, dass die Wahrscheinlichkeitsverteilungen der Komponenten in der glei-chen Größenordnung liegen. Reale Systeme enthalten jedoch oft Komponenten, deren Aus-fallwahrscheinlichkeiten gerade bei Alterung um viele Größenordnungen steigen. Will man solche Verteilungen über einem längeren Zeitraum analysieren, können die Näherungen zu hohen Abweichungen führen, was ebenfalls beachtet werden muss [Rak-02]. 2.3.2 Eigenschaften und Einschränkungen Für die Anwendung boolescher Zuverlässigkeitsmodelle müssen vom zu modellierenden Sys-tem die folgenden Voraussetzungen erfüllt werden.

1. Die Anzahl der Komponenten ist endlich. 2. Jede Komponente xi und das System ϕ(x) kann durch die zwei Zustände „ausgefallen“

und „funktionsfähig“ hinreichend genau beschrieben werden. 3. Die Verknüpfungen der Komponenten eines Systems können durch die Operatoren

UND respektive ODER direkt beschrieben oder auf diese zurückgeführt werden. 4. Zeitliche Abhängigkeiten zwischen den Ausfällen liegen nicht vor. 5. Die Ausfalldichten der Komponenten xi müssen paarweise stochastisch unabhängig

sein, um den einfachen Übergang in die reell algebraische Funktion zu ermöglichen. 6. Das System erfüllt die Kohärenz-Eigenschaft (Monotonie).

Voraussetzung 2 bedingt, dass Komponenten mit komplexem Ausfallverhalten nicht oder nur angenähert modelliert werden können, beispielsweise durch das Zusammenfassen aller Aus-fall- bzw. Fehlerzustände zu einem. Aus der 3. und 4. Forderung ergibt sich, dass die Reihen-folge der Ausfälle keine Rolle spielen darf. Boolesche Modelle sind statisch. Es können ledig-lich logische Ausfallzusammenhänge abgebildet werden. Die Voraussetzung 5 hat zur Folge, dass Ausfallabhängigkeiten zwischen Komponenten nicht modelliert werden können. Weiter-hin wird die Erfüllung der Kohärenz gefordert, woraus weitere Bedingungen resultieren.

Sind alle Elemente funktionsfähig, soll auch das System funktionsfähig sein. Sind alle Elemente ausgefallen, soll das System ebenfalls ausgefallen sein. Ist ein System bereits ausgefallen, soll das System bei Ausfall eines weiteren Elements

nicht wieder funktionsfähig werden. Ein funktionsfähiges System soll bei Wiederinbetriebnahme einer vorher ausgefalle-

nen Komponente nicht ausfallen.


B

G1

G2

SE

A USV

Bild 2.9: Dynamische Generatorumschaltung („kalte“ Generatorredundanz)

Dass diese Bedingungen durch reale Systeme nicht immer erfüllt werden, soll das einfache Beispiel der Generatorumschaltung in Bild 2.9 zeigen. Fällt der Generator G1 aus, dann gibt die Steuer- und Diagnoseeinheit SE an den Umschalter US den Befehl, auf den Generator G2 umzustellen. Der Generator G2 kann als dynamische kalte Redundanz für den Verbraucher V aufgefasst werden. Folgende Umstände berücksichtigt das Zuverlässigkeitsmodell nicht:

Die verschiedenen Ausfallmodi bleiben unberücksichtigt. US kann klemmen oder kei-nen Kontakt geben, SE kann umschalten, wenn es nicht soll, die Generatoren können Leistungsdegradationen haben, ohne gänzlich auszufallen.

Die Kohärenz ist nicht immer erfüllt. Ist z.B. G1 ausgefallen, G2 liefert Strom an V und SE gibt fälschlicherweise ein Umschaltsignal an den Umschalter, dann fällt das System aus, wenn der Umschalter in Ordnung ist. Klemmt der Umschalter jedoch bleibt ein Fehler von SE wirkungslos.

Die zeitliche Reihenfolge der Ausfälle der einzelnen Komponenten wird nicht berück-sichtigt, was jedoch gerade bei Fehler erkennenden Systemen wesentlich sein kann.

Das Ausfallverhalten einzelner Komponenten kann sich in Abhängigkeit vom Zustand der anderen Komponenten ändern, z.B. durch veränderten Lastfluss.

Wie zu sehen ist, kann die boolesche Modellbildung nicht alle Fehlermechanismen beschrei-ben. Da sie statischer Natur ist, bildet sie prinzipiell nur die Strukturzuverlässigkeit ab. Die Modellierung dynamischer Systeme ist oft nur durch starke Vereinfachungen möglich. 2.3.3 Boolesche Fehlerbaumanalyse Die Fehlerbaumanalyse wurde um 1960 in den Bell Telephone Laboratories entwickelt und hat sich zu einem Standardverfahren für Zuverlässigkeits- und Sicherheitsanalysen etabliert. Sie soll hier deshalb gesondert diskutiert werden. Ein Fehlerbaum ist die graphische Darstel-lung der booleschen Strukturfunktion eines Systems in schnittorientierter Darstellung und zeigt die kombinatorischen Verknüpfungen zwischen einem definiertem Top-Ereignis und dessen Ursachen in einem System. Die Darstellung ist fehlerorientiert, d.h. sie repräsentiert


die logischen Zusammenhänge von Fehlern, die zu einem unerwünschten Top-Ereignis füh-ren. Ein Fehlerbaum dokumentiert damit auch visuell die betrachteten Fehlermechanismen. Die strukturierte graphische Darstellung und die Top-Down-Vorgehensweise ist intuitiv ver-ständlich und bietet eine vergleichsweise einfache Schnittstelle zum Anwender. Bild 2.10 zeigt den Fehlerbaum für das Netzwerk aus Bild 2.4 für das Top-Ereignis „Ausfall von V“.

Ausfall von V

≥ 1

V NK3&

≥ 1

G1 NK1 NK2G2

≥ 1

Keine Energie an NK3

Keine Energie von G1

Keine Energie von G2

Top-Ereignis

Bild 2.10: Fehlerbaum des Energienetzwerkes aus Bild 2.4

Die in Kreisen dargestellten Basisereignisse entsprechen den Ausfällen der Systemkomponen-ten. Leitet man die boolesche Strukturfunktion aus dem Fehlerbaum ab, führt dies auf Glei-chung 2.3.14. Diese Gleichung ist identisch mit der Gleichung 2.3.10, was zu erwarten war.

( ) 212121213 NKNKNKGGNKGGNKVS xxxxxxxxxxx ⋅+⋅+⋅+⋅++=ϕ (Gl. 2.3.14)

Auswertung eines Fehlerbaumes Ein Fehlerbaum kann qualitativ oder quantitativ ausgewertet werden. Unter qualitativer Aus-wertung versteht man vor allem die Bestimmung der Minimalschnitte. Sie repräsentieren die kritischen Mechanismen des Systemversagens. Besonders bei komplexen Systemen lassen sich so potentielle Schwachstellen systematisch ermitteln. Durch gezielte Änderungen des Systems können diese Schwachstellen beseitigt werden. In [Boer-03] z.B. werden Fehlerbäu-me verwendet, um ein schiffstechnisches Energieversorgungssystem zu analysieren. Bei der quantitativen Auswertung werden für die Basisereignisse Wahrscheinlichkeiten eingetragen und über die diskutierten Verfahren die Wahrscheinlichkeit des Top-Ereignisses berechnet. Einschränkungen der Fehlerbaumanalyse Da die Grundlage dieses deduktiven Verfahrens die boolesche Modellbildung ist, zeigt die Fehlerbaumanalyse prinzipiell die gleichen Modellierungseinschränkungen. Viele wichtige Systemeigenschaften und Fehlermechanismen, insbesondere Fehlerszenarien die an bestimm-


te zeitliche Ereignisabfolgen gebunden sind, können nicht modelliert werden. Zusammenhän-ge zwischen Fehlern sind nur kombinatorisch beschreibbar. Ein bestimmter Systemzustand kann auch nur durch eine Strukturfunktion beschrieben werden. Innerhalb dieser Struktur-funktion können gleiche Variablen nicht mit unterschiedlichen Werten belegt werden, damit lassen sich stochastische Abhängigkeiten zwischen Ausfällen nicht modellieren. Die boole-schen Variablen dürfen das Prinzip der Unabhängigkeit nicht verletzen. Analyse von Systemdegradationen Ein Komponentenausfall in einem fehlertoleranten System führt in der Regel nicht zum To-talausfall, sondern lediglich zur Einschränkung der Systemfunktionalität (Degradation). Eine Strukturfunktion kann aber immer nur einen Systemzustand bzw. ein Top-Ereignis beschrei-ben, das entweder eingetreten ist oder nicht. Um ein detailliertes System-Ausfallverhalten zuverlässigkeitstechnisch analysieren zu können, ist es notwendig, für jede durch ihre Min-destfunktionalität spezifizierte Degradationsstufe des Systems ein neues Top-Ereignis zu de-finieren und eine neue Strukturfunktion zu berechnen. Zu fehlerhaften Ergebnissen kann es führen, wenn ein Basisereignis einen Beitrag in mehreren Teilfehlerbäumen leistet. Ein derar-tiges Ereignis wird auch als „Repeated Event“ bezeichnet. Es führt dazu, dass die Top-Ereignisse nicht mehr unabhängig voneinander sind. Die Abhängigkeit kann aber nicht expli-zit beschrieben werden, so dass die Fehlerbaumanalyse allein keine geschlossene Betrachtung eines Systems zulässt, sondern nur in Bezug auf einzelne Top-Ereignisse anwendbar ist. Die rein binäre Betrachtungsweise wird komplexen fehlertoleranten Systemen nicht gerecht. 2.3.4 Weitere boolesche Methoden Im Zusammenhang mit booleschen Modellen werden zwei weitere verwendete Verfahren erwähnt: Die Ereignisbaumanalyse und die Strukturfunktionsanalyse mittels Wahrheitstabelle. Ereignisbaumanalyse Ein Ereignisbaum modelliert eine Sequenz möglicher Folgen ausgehend von einem Initiale-reignis. Nach einem Startereignis gibt es mehrere nachfolgende Ereignisse, die eintreten kön-nen. Um die Schwere gewisser Folgen zu beurteilen, werden alle möglichen Pfade von Ereig-nissen ermittelt und deren Wahrscheinlichkeiten bestimmt. Die Ereignishäufigkeit eines spe-ziellen Pfades (einer Abfolge von Ereignissen) ist gleich dem Produkt der bedingten Wahr-scheinlichkeiten aller Ereignisse in diesem Pfad. Das Initialereignis kann beispielsweise das Topereignis eines Fehlerbaumes sein. Diese Kombination wird als Ursache-Folgen-Analyse bezeichnet [DIN-EN-60300-3-1]. Der Fehlerbaum analysiert die Ursachen und der Ereignis-baum die Folgen eines Initialereignisses. Besondere Eigenschaft eines Ereignisbaumes ist die Möglichkeit sequentielle Ereignisses zu beurteilen, da bedingte Wahrscheinlichkeiten ver-wendet werden. Das lässt auch eingeschränkt die Berücksichtigung stochastischer Abhängig-


keiten zu. Allerdings werden nur sequentielle Eigenschaften beschrieben. Es lassen sich somit beispielsweise weder Degradationen, noch Alterungen oder Reparaturen modellieren. Wegen dieser Einschränkungen kann die Ereignisbaumanalyse meist nur in Kombination mit anderen Verfahren sinnvoll angewendet werden. Häufig ist es aber schwierig, Wahrscheinlichkeiten für bedingte Ereignisse anzugeben. Strukturfunktionsanalyse mittels Wahrheitstabelle Die Strukturfunktionsanalyse untersucht alle möglichen Zustandskombinationen der Elemente eines System und listet deren Auswirkungen auf. Ein Zustandsvektor besteht aus der Kombi-nation von (binären) Komponentenzuständen. Durch das Analysieren der Auswirkungen aller Zustandsvektoren wird eine Wahrheitstabelle ermittelt. Die Wahrscheinlichkeit eines System-ausfalls ergibt sich aus der Summe aller Wahrscheinlichkeiten der Zustandsvektoren, die in einen Systemausfall münden, sofern die Komponenten voneinander unabhängig sind. Das Wahrheitstabellenverfahren bedingt die Untersuchung aller möglichen Kombinationen aller Elemente. Um nur relevante Kombinationen zu berücksichtigen, kann die Wahrheitstabelle mittels boolescher Verfahren reduziert werden. Die Anwendung dieser Methodik auf komple-xe Systeme ist schwierig, da die Anzahl der Zustände schnell groß werden und somit schwie-rig zu handhaben sein kann. Die Berücksichtigung von Abhängigkeiten ist nicht möglich. Dynamisches Ausfallverhalten, z.B. bei Strukturänderungen und Degradationen, kann nicht beurteilt werden, da bedingte Zustandsübergänge nicht definiert werden können. 2.3.5 Erweiterungen des booleschen Zuverlässigkeitsmodells Aus den Diskussionen wird deutlich, dass sich die boolesche Modellbildung nicht als Modell für beliebig komplexe Systeme eignet. Boolesche Modelle sind grundsätzlich statische Mo-delle, d.h. die Strukturfunktion bildet ein System als Momentaufnahme ab. Eine Behandlung zeitlicher und stochastischer Abhängigkeiten ist mit erhöhtem Aufwand in bestimmten Gren-zen möglich. Im Folgenden sollen einige wichtige Erweiterungen diskutiert werden. Die Er-weiterungen können allerdings nicht bei allen Derivaten boolescher Methoden angewendet werden, sondern nur bei jenen, die die Strukturfunktion eines Systems ableiten. Importanzen und Sensitivitätsanalyse Aufgrund der Funktion und der Anordnung in einem System sind manche Komponenten ein-flussreicher als andere. Die wichtigste Komponente ist diejenige, die den größten Einfluss auf einen möglichen Systemausfall ausübt. So ist eine bestimmte Komponente in einer Serien-struktur wichtiger als die gleiche Komponente in einer Parallelstruktur. Für boolesche Modell existieren verschiedene Größen, um die Wichtigkeit (Importanz) einer Komponente qualitati-ve oder quantitativ zu bewerten. Beispiel für eine der gebräuchlichsten Importanzkenngrößen ist die marginale Importanz. Sie ist ein Maß für die Sensitivität, mit der die Systemzuverläs-


sigkeit RS(t) auf Änderungen der Zuverlässigkeit einer Komponente Ri reagiert. Die margina-le Importanz Im ist durch die partielle Ableitung nach Gleichung 2.3.15 definiert [Vahl-98].

( ) ( )i

Sm R

rRiI∂

∂=r , (Gl. 2.3.15)

Sie ermöglicht die Identifizierung jener Einheit, die sich am stärksten auf der Systemebene auswirkt. Die strukturelle Importanz beurteilt die Bedeutung einer Komponente in Abhängig-keit der Struktur eines Systems. Sie ist ein Maß für die Wichtigkeit einer Komponente auf-grund ihrer strukturellen Anordnung. Es existieren weitere Importanzkenngrößen auf die hier jedoch nicht näher eingegangen werden soll (siehe z.B. [Vahl-98], [Rak-02], [Pauli-03]). Boolesche Modelle bei degradierten Systemkonfigurationen Zur Analyse degradierter Zustände mit booleschen Modellen wird in [Vahl-98] eine Erweite-rung durch logische Nebenbedingungen vorgeschlagen. Mit deren Hilfe werden schärfere Randbedingungen für degradierte Zustände vorgegeben. Zunächst werden tolerierbare Degra-dationsstufen des Systems definiert. Basis bildet ein Systemmodell mit einer strukturorientier-ten Modellierung der Architektur in einem Zuverlässigkeitsblockdiagramm. Im Zuverlässig-keitsblockdiagramm werden den Komponenten Automatenmodelle hinterlegt, die für die Sys-temzuverlässigkeit relevante Degradationsstufen repräsentieren. Jeder degradierte Systemzu-stand wird durch eine Menge funktionstragender Komponenten bzw. Komponentenzuständen charakterisiert. Die Nebenbedingungen spezifizieren alternative Kombinationen von System-komponenten, deren Funktion zur System-Funktionsfähigkeit in einem degradierten Zustand notwendig ist. Aus dieser Vorgehensweise lässt sich die Wahrscheinlichkeit des Unterschrei-tens der durch die logischen Nebenbedingungen spezifizierten Degradationsstufen berechnen. Erfüllt ein System die definierten Anforderungen nicht, kann, neben der Beeinflussung der Komponentenzuverlässigkeiten, die Struktur des Systems verändert werden. Diese Vorge-hensweise hat den Vorteil, dass der Anwender von der Theorie stochastischer Prozesse befreit wird und nur mit einer Modellierungsmethode arbeitet. Nachteil ist jedoch, dass man sich bei den definierten Degradationsstufen des Systems nach wie vor in der booleschen Wahrheitsta-belle befindet. Stochastische und zeitliche Abhängigkeiten zwischen den Zuständen sowie eine Analyse der Übergangsbedingungen sind mit dieser Methode nicht möglich. Berücksichtigung stochastisch abhängiger Fehler Definitionsgemäß werden im booleschen Modell stochastisch unabhängige Variablen gefor-dert. Das bedeutet, dass die Komponenten sich gegenseitig in ihrem Ausfallverhalten nicht beeinflussen dürfen und dass für jede Komponente nur unabhängige Fehler in einem Zuver-lässigkeitsblockdiagramm oder in einem Fehlerbaum existieren dürfen. Abhängige Fehler verletzen das Prinzip der stochastischen Unabhängigkeit. Die Probleme würden beim Über-gang von der System-Strukturfunktion zur Zuverlässigkeits-Systemfunktion in der Erwar-


tungswertbildung auftreten. Die Annahme stochastisch unabhängiger Fehler widerspricht aber häufig den Eigenschaften technischer Systeme. Der Ausfall einer Leitung in einem Energie-versorgungssystem kann z.B. zu einer höheren Belastung einer weiteren Leitung und damit zu Folgeschäden führen. Zur Berücksichtigung von Abhängigkeiten existiert ein in der Literatur häufig als β–Faktor-Methode bezeichnetes Modell. Diesem Modell liegt die Annahme zugrunde, dass sich alle Fehler einer Komponente in zwei Ausfallarten einteilen lassen.

Durch die erste Ausfallart werden alle unabhängigen Fehler beschrieben. Mit der zweiten Ausfallart werden alle Fehler modelliert, die bei denen die Kompo-

nenten einer bestimmten Gruppe durch ein Ereignis gemeinsam ausfallen können. Die Ausfallrate einer Komponente wird additiv aus den zwei Bestandteilen λ1 bzw. λ2 zu-sammengesetzt. λ1 quantifiziert alle unabhängigen Fehler, die lediglich die jeweilige Kompo-nente betreffen. λ2 quantifiziert alle abhängigen Fehler, die auf die Komponenten einer zuge-ordneten Gruppe einwirken. Beispiel hierfür wäre ein elektrischer Kurzschluss. Mit dem β–Faktor-Modell lassen sich somit CCFs modellieren, sofern deren quantitative Beschreibung Sinn macht (siehe 1.1). Man kann sich vorstellen, dass abhängige Fehler durch einen gemein-samen Komponentenblock in Serie im Funktionspfad berücksichtigt werden.

1

2

λλβ = (Gl. 2.3.16)

Der β–Faktor wird durch Gleichung 2.3.16 bestimmt. Der Wert β = 0 (λ2 = 0) impliziert eine vollständige statistische Unabhängigkeit aller Fehler. Allerdings ist einsichtig, dass sich Ab-hängigkeiten durch dieses Modell nur sehr vereinfacht und idealisiert darstellen lassen. Zeitliche Abhängigkeiten Da die Indikatorvariablen in den Termen der booleschen Strukturfunktion kommutativ sind, lassen sich Ereignisreihenfolgen nicht modellieren. Für besonders relevante Fälle verschiede-ner Redundanzkonfigurationen, wie beispielsweise der kalten Redundanz, lässt sich diese Problematik unter Anwendung von Faltungsintegralen bearbeiten. Die Problematik gerade bei der kalten Redundanz liegt darin, dass die Umschaltung auf die Standby-Redundanz erst er-folgt, wenn das Hauptsystem ausgefallen ist. Dieser Umschaltzeitpunkt ist durch das sto-chastische Auftreten des Hauptsystemsausfalls allerdings eine Zufallsvariable. Die Überle-benswahrscheinlichkeit R(t) einer solchen Konfiguration berechnet sich unter Vernachlässi-gung der Diagnose- und Umschaltzuverlässigkeit nach Gleichung 2.3.17 [Schäf-79].

( ) ( ) ( ) ( ) ( )∫ ∫ −−=−−=t t

dxxfxtFxdFxtFtR0 0

1212 11 (Gl. 2.3.17)


Gleichung 2.3.17 entspricht gerade der Faltung der Lebensdauer-Verteilungsfunktion des Hauptsystems 1 mit der Funktion der Ausfallwahrscheinlichkeitsdichte der Standby-Einheit 2. Auch die Berücksichtigung der Umschaltzuverlässigkeit ist prinzipiell möglich (MBB-71). Dies führt aber recht schnell auf komplexe und kaum transparente mathematische Ausdrücke. 2.3.6 Zusammenfassung zu booleschen Modellen Boolesche Modelle sind komponentenbasiert und strukturorientiert. Das System wird anhand seiner Komponenten und deren strukturellen Kopplungen modelliert, wobei den Komponen-ten nur einfaches Ausfallverhalten in Form eines binären Fehlermodells zugeordnet werden kann. Vorteilhaft ist die relativ einfache Ermittlung probabilistischer Zuverlässigkeitskenn-größen, die Verteilungsunabhängigkeit über die Alterungseffekte beschrieben werden können, sowie die Analogie zwischen der Funktionspfad-Betrachtung und den Energieflusswegen in einem elektrischen Verteilungsnetzwerk. So lässt sich die Versorgungszuverlässigkeit eines Abnehmerpunktes mit elektrischer Energie in einem verzweigten Versorgungsnetz gut mit pfadorientierten Strukturmodellen beschreiben (z.B. [Rash-92]). In [Prop-01] wird diese Defi-zitwahrscheinlichkeit noch mit der zu erwartenden Dauer und den entstehenden Kosten eines Versorgungsausfalls korreliert. Daraus ergeben sich mangementgerechte Risikokenngrößen. Boolesche Modelle sind aber nur bedingt für die Analyse fehlertoleranter oder reparierbarer Systeme geeignet. Das Systemverhalten, insbesondere bei Degradationen, lässt sich nur ein-geschränkt modellieren, weil Ausfälle oder Umkonfigurationen während des Betriebes zu dynamischen Änderungen der Struktur führen und dementsprechend neue Strukturfunktionen aufgestellt werden müssen. Bei Systemen mit vielen Degradationsstufen wird dies nicht nur aufwendig, sondern kann auch zu fehlerhafter Modellbildung führen, da die Strukturfunktio-nen durch bestimmte Übergangsfunktionen in der Regel nicht unabhängig sind, diese Kopp-lungen aber nicht explizit beschrieben werden. Auch ist die geforderte Monotonieeigenschaft der Systeme nicht immer gegeben. Abhängigkeiten von der Fehlerentdeckung, stochastische Ausfallabhängigkeiten und zeitliche Reihenfolgen von Ausfällen können, wie gezeigt, nur sehr eingeschränkt modelliert werden. Auch können Teilsysteme auf verschiedene Arten aus-fallen, so dass sich je nach Ausfallart eine andere Struktur des Zuverlässigkeitsblockschaltbil-des des Gesamtsystems ergibt. Dieses Phänomen wird bei der Betrachtung von elektrischen Netzwerken mit Dioden deutlich. Dioden können im Kurzschluss und im Leerlauf ausfallen. Verschiedene Ausfallmodi von Teilsystemen können nur explizit durch separate Struktur-funktionen berücksichtigt werden. Boolesche Modelle eignen sich also zusammenfassend gut zur Beurteilung der Strukturzuverlässigkeit, z.B. der Topologie elektrischer Verteilungsnetz-werke [Barth-04], jedoch nur eingeschränkt zur differenzierten Beurteilung der Funktionszu-verlässigkeit und des komplexen Ausfallverhaltens von fehlertoleranten Systemen.


2.4 Markovsches Zuverlässigkeitsmodell 2.4.1 Zustandsmodelle und stochastische Prozesse Das Verhalten eines zeitkontinuierlichen oder zeitdiskreten Systems kann durch ein äquiva-lentes Zustandsmodell beschrieben werden, indem das Verhalten in Zustände, Zustandsüber-gänge und Regeln für die Zustandsübergänge transformiert wird. Es wird unterstellt, dass sich das System zu jedem Zeitpunkt t in genau einem Zustand befindet, d.h. die Zustände sind ex-klusiv und schließen sich damit gegenseitig aus. Unter dem Zustandsraum Ω soll die Menge der Zustände eines Prozesses X(t) verstanden werden, die den Zustandsablauf vollständig beschreiben. Die Zustandsübergänge, die die Systemdynamik beschreiben, entstehen durch Elementarereignisse im System und beschreiben die Evolution des Prozesses. Ist die Dynamik stochastischer Natur, sind die Übergänge stochastisch zu bewerten1. Wahrscheinlichkeitstheo-retisch können Zustandsmodelle als stochastische Prozesse interpretiert werden. Ein stochastischer Prozess beschreibt die Evolution von Ereignisketten, für die eine determi-nistische Beschreibung entweder nicht vorliegt oder nicht möglich ist. Zur Erfassung mögli-cher Abhängigkeiten zufälliger Größen von deterministischen Parametern geht man dabei vom Begriff der Zufallsgröße zu dem des stochastischen Prozesses über. Eine Folge von Zu-fallsvariablen X0, X1, X2, ... auf einem Wahrscheinlichkeitsraum, die von einem Parameter2 t abhängen, welcher einen nichtleeren Parameterraum T durchläuft, heißt stochastischer Pro-zess. In Abhängigkeit der Charakteristik von T unterscheidet man stochastische Prozesse mit stetiger und mit diskreter Zeit. Stochastische Prozesse sind Modelle für zufällige zeitliche Abläufe insbesondere dann, wenn zeitlich dynamische Abhängigkeiten vorliegen. Von zentra-ler Bedeutung ist die stochastische Bindung der zeitlich benachbarten zufälligen Werte, die durch den Begriff der Korrelation zwischen Zufallsvariablen ausgedrückt wird. Praktisch be-deutsam sind MARKOVsche Prozesse, GAUSSsche Prozesse, stationäre Prozesse, POIS-SONsche Prozesse, WIENERsche Prozesse, Diffusionsprozesse, Martingale und Verzwei-gungsprozesse. Die Klassifizierung stochastischer Prozesse hängt von der Natur des Zu-standsraums, der Natur des Zeitparameters und den Abhängigkeiten zwischen den Zufallsva-riablen für verschiedene Werte des Zeitparameters ab [Lange-99]. Eine wesentliche Vereinfachung bei der Arbeit mit stochastischen Prozessen ergibt sich bei Ergodizität eines Prozesses. Ein stationärer stochastischer Prozess ist im Besonderen ein er-godischer Prozess, wenn eine einzige Realisierung des Prozesses die gesamte Information über die Wahrscheinlichkeitseigenschaften enthält [Lange-99]. Die Modellierung voller Ab- 1 Für stochastisch bewertete Zustandmodelle findet sich in der Literatur häufig auch der Begriff der „stochasti-schen Automaten“. 2 Der Parameter t hat in den meisten Anwendungen, so auch in dieser Arbeit, die Bedeutung einer Zeitvariablen.


hängigkeiten mag ein realistisches Abbild der Wirklichkeit liefern, sie wird aber zu Schwie-rigkeiten bei der wahrscheinlichkeitstheoretischen Behandlung führen. Man verwendet des-halb Modelle, die genügend Abhängigkeit erlauben und gleichzeitig mathematisch gut behan-delbar sind. Eine reichhaltige und geeignete Klasse sind die Markov-Prozesse. Bei ihnen wird nur die Abhängigkeit vom letzten Zustand modelliert. Das ist meist ein akzeptabler Kompro-miss zwischen der Abhängigkeit von der gesamten Vergangenheit und völliger Unabhängig-keit. 2.4.2 Homogenes Markov-Prozessmodell Markovsche Zustandsbedingung Ohne Beweise werden hier die Aussagen über Markov-Prozesse mit diskretem und endlichem Zustandsraum Ω präsentiert, die im Rahmen der Arbeit nötig sind. Entsprechend dem Zeitpa-rameter t muss zwischen zeitkontinuierlichen und zeitdiskreten Prozessen unterschieden wer-den. Aufgrund der Gestalt von Ω, die im Folgenden immer vorausgesetzt wird, spricht man im zeitdiskreten Fall auch von Markov-Ketten. Sei Ω = 0, 1, 2, …, m die endliche Menge von Zuständen eines Systems und X(t) = Xt; t ∈ N0 ein zeitdiskreter stochastischer Prozess auf Ω. Xt ist dann ein Markov-Prozess, wenn für Gleichung 2.4.1 die Gleichung 2.4.2 gilt.

Ω∈∀∈∀ − 010 ,...,,,: iiijNt t (Gl. 2.4.1)

[ ] [ ]iXjXPiXiXiXjXP tttttt ======= +−−+ 100111 ,...,, (Gl. 2.4.2)

Gleichung 2.4.2 lässt sich verkürzt auch durch Gleichung 2.4.3 ausdrücken.

[ ] [ ]ttttt XjXPXXXjXP === +−+ 1011 ,...,, (Gl. 2.4.3)

Die Markovsche Zustandsbedingung gibt vor, dass ein Übergang von einem Zustand i in ei-nen Zustand j nur vom Zustand i und nicht von Zuständen k mit k < i abhängt. Das ist eine wesentliche Bedingung, die auch für inhomogene Markov-Prozesse und Semi-Markov-Prozesse gilt. Die zustandsbezogene Gedächtnislosigkeit kennzeichnet auch den zeitkontinu-ierlichen Markov-Prozess für alle Zeiten s, t ≥ 0 (Gleichung 2.4.4).

( ) ( ) ( )[ ] ( ) ( )[ ]isXjtsXPisXjtsXP ==+=≤≤==+ su0 ,uX , (Gl. 2.4.4)

Die Wahrscheinlichkeit, dass sich ein System zur Zeit t in einem bestimmten Prozesszustand i mit i ∈ Ω befindet, wird als Zustandwahrscheinlichkeit Pi(t) bezeichnet. Da sich das System


mit Sicherheit in einem der Zustände i = 0, 1, …, m des Zustandsraums Ω befinden muss, Exklusivität der Zustände wird vorausgesetzt, gilt für die Zustandswahrscheinlichkeiten Pi(t) für alle i ∈ Ω Gleichung 2.4.5. Die Zustandswahrscheinlichkeit ist eine Erhaltungsgröße.

∑=

=m

ii tP

11)( (Gl. 2.4.5)

Übergangswahrscheinlichkeit - Konditionale Modelle Abhängigkeiten der Prozesszustände werden durch die Übergangswahrscheinlichkeit pij(t) beschrieben. pij(t) ist die bedingte Wahrscheinlichkeit mit der zur Zeit t + ∆t der Zustand j eingenommen wird, wenn zur Zeit t der Zustand i vorlag (Gleichung 2.4.6).

[ ]iXjXPtttptttp tttijij ===∆+=∆+ ∆+),(:),( (Gl. 2.4.6)

Da die Übergangswahrscheinlichkeit als bedingte Wahrscheinlichkeit definiert ist, lassen sich auch abhängige Fehler modellieren und damit konditionale Modelle erstellen. Die Modellie-rungsmöglichkeiten sind damit gegenüber der booleschen Modellbildung deutlich erweitert. Markovsche Zeitbedingung – Eigenschaft der Gedächtnislosigkeit Ein Zustandsübergang in einem Zeitintervall (t, t + ∆t) darf höchsten vom Zeitpunkt t, nicht von weiter zurückliegenden Zeitpunkten abhängen. Die Wahrscheinlichkeit zur Zeit t + ∆t im Zustand X(t+∆t) = j zu sein, ist durch X(t) = i zur Zeit t eindeutig bestimmt und nicht beein-flusst durch frühere Zeiten. Diese Eigenschaft wird anschaulich dadurch charakterisiert, dass bei bekannter Gegenwart die Vergangenheit und die Zukunft des Prozesses voneinander un-abhängig sind. Der Prozess hat kein Gedächtnis. Dies gilt bezüglich aller möglichen Zeit-punkte und damit sowohl für den zeitdiskreten als auch für den zeitkontinuierlichen Fall. Ist pij(t) für Übergänge in (t, t+∆t) unabhängig von t sondern nur von der Zeitdifferenz ∆t ab-hängig, nennt man den Markov-Prozess homogen (Gleichung 2.4.7 bzw. Gleichung 2.4.8).

( ) ( )[ ] ( ) ( )[ ]iXjtXPisXjtsXP =====+ 0 (Gl. 2.4.7)

( )tptttp ijij ∆=∆+ ),( (Gl. 2.4.8)

Zeithomogenität bezeichnet die Eigenschaft, dass die Prozesscharakteristik nicht von t ab-hängt. Ein gegebener Zustand i führt immer auf die gleiche weitere zeitliche Evolution des Prozesses, egal zu welchem Zeitpunkt i eintritt. Zudem ist die Verweildauer in i unabhängig vom Zeitpunkt t, wann i eingenommen wird. Der Prozess ist regenerativ bezüglich jedes Zeit-


punktes. Notwendige und hinreichende Bedingung dafür sind exponential verteilte Aufent-haltswahrscheinlichkeiten (Beweis siehe [Bause-96]). Ein zeitdiskreter oder zeitkontinuierli-cher Markov-Prozess muss nicht notwendigerweise zeithomogen sein. Sind die Übergänge abhängig von t, nennt man den Prozess inhomogen. Beschreibung zeitdiskreter homogener Markov-Prozesse Die Zustandswahrscheinlichkeit Pi(n) sei die Wahrscheinlichkeit, dass sich das System zum Zeitpunkt tn im Zustand i befindet und die Übergangswahrscheinlichkeit durch pij(n, n+1) definiert. Die Wahrscheinlichkeiten aller Zustände i mit i ∈ Ω und Ω = 0, 1, 2, …, m wer-den dabei in einem Zeilenvektor P(n) = (P1(n), P2(n), …, Pm(n)) und die Übergangswahr-scheinlichkeiten in einer Übergangsmatrix A(n, n+1) zusammengefasst (Gleichung 2.4.9).

( )⎥⎥⎥

⎦

⎤

⎢⎢⎢

⎣

⎡

++

++=+

)1,(...)1,(:...:

)1,(...)1,(1,

1

111

nnpnnp

nnpnnpnnA

mmm

m

(Gl. 2.4.9)

Homogenität liegt vor, wenn A(n, n+1) nicht von n abhängt. Einige weitere Eigenschaften dieser Matrix werden bei der Beschreibung zeitkontinuierlicher Prozesse erläutert. Für die Berechnung des Zustandsvektors P(n+1) gilt der Einschritt-Formalismus in Gleichung 2.4.10.

( ) ( ) ( )1,1nP +⋅=+ nnAnP (Gl. 2.4.10)

Mit Kenntnis der Übergangswahrscheinlichkeiten lassen sich die Verbundwahrscheinlichkei-ten höherer Ordnung bestimmen. Es sei die Verbundwahrscheinlichkeit dritter Ordnung pi;j;k(l; m; n) für das Auftreten der Zustände i, j, k zu den Zeitschritten l < m < n betrachtet. Nach der Zerlegungsregel für Verbundwahrscheinlichkeiten gilt Gleichung 2.4.11.

⎪⎩

⎪⎨

⎧

⋅⋅⋅⋅

⋅⋅=

Prozesse eunabhängigh statistisc )()()( Kette-Markov )(),(),( Prozesse Allgemeine )(),(),,(

),,(,

,,

lpmpnplpmlpnmp

lpmlpnmlpnmlp

ijk

iijjk

iijjik

kji(Gl. 2.4.11)

Wird diese Zerlegung für den Fall der Markov-Kette auf zeitlich folgende Zustände angewen-det, so gibt sie die Wahrscheinlichkeit für eine Trajektorie von Prozesszuständen an. Man kann auch für Mehrschritt-Zustandsübergänge eine Übergangswahrscheinlichkeit berechnen. Es gilt die rekursive Chapman-Kolmogorov- oder Smoluchowsky-Gleichung zur Berechnung von (n-l)-schrittigen Übergangswahrscheinlichkeiten (Gleichung 2.4.12) [Bause-96].

∑ ⋅==j

jkijikik nmpmlpnlpnlp ),(),(),(),( (Gl. 2.4.12)


Zur Berechnung der gesuchten Übergangswahrscheinlichkeiten werden die Wahrscheinlich-keiten aller möglichen Pfade vom Zustand i zum Zustand k aufsummiert. Die Übergangs-wahrscheinlichkeiten entlang eines Pfades werden multipliziert. Der Zustandsvektor zu einem beliebigen Zeitschritt k berechnet sich dann über Gleichung 2.4.13.

( ) ( ) kAnPknP ⋅=+ (Gl. 2.4.13)

Beschreibung zeitkontinuierlicher homogener Markov-Prozesse Die Übergangswahrscheinlichkeiten pij(t) für alle i, j eines Markov-Prozesses werden wie im zeitdiskreten Fall in der m x m Übergangsmatrix A(t) zusammengefasst (auch Markovkern genannt). Jede Komponente pij(t) von A(t) kann eine Funktion von t sein. A(t) ist dann eine matrixwertige Funktion. Gleichung 2.4.14 zeigt ein Beispiel A(t) für t = 0 und m = 3.

( ) ( ) ( )( ) ( ) ( )( ) ( ) ( ) ⎟

⎟⎟

⎠

⎞

⎜⎜⎜

⎝

⎛=

⎟⎟⎟

⎠

⎞

⎜⎜⎜

⎝

⎛== =

7,01,02,04,04,02,0

02,08,0

000000000

)0(

333231

232221

131211

3

ppppppppp

tA m (Gl. 2.4.14)

mit ( ) ( ) Ω∈∀≥ ji, 0tpij für alle t ≥ 0 (Gl. 2.4.15)

und ( )∑

Ω∈

=j

1 tpij für alle t ≥ 0 (Gl. 2.4.16)

Die Hauptdiagonalelemente geben die Wahrscheinlichkeit an, nach dem nächsten Zeitinter-vall ∆t im gleichen Zustand zu verbleiben. Die Eigenschaften (2.4.15) und (2.4.16) folgen daraus, dass A(t) eine Matrix von Übergangswahrscheinlichkeiten ist. Ein Prozess, der zur Zeit t im Zustand i ist, befindet sich zur Zeit t + ∆t entweder noch in i oder hat einen Zu-standsübergang vollzogen. Die Zeilensumme in der Matrix muss deshalb Eins sein (Glei-chung 2.4.16). Übergangsmatrizen mit diesen Eigenschaften werden auch stochastische Mat-rizen genannt. Die Übergangsmatrix A(t) ist ein Analogon zur Übergangsmatrix beim zeitdis-kreten Markov-Prozess. Diese Matrix gibt den Übergang von einem Anfangszustandsvektor P(0) zu einem Zustandsvektor P(t) an. Es gilt wie im zeitdiskreten Fall Gleichung 2.4.17.

( ) ( ) ( )tAPtP ⋅= 0 (Gl. 2.4.17)

Haben die Funktionen der Übergangswahrscheinlichkeiten in A(t) die Eigenschaft, dass sie nur von ∆t und nicht von t abhängen, kennzeichnet dies den homogenen Prozess. Die Chap-man-Kolmogorov-Gleichung für den zeitdiskreten Fall (Gleichung 2.4.12) gilt ähnlich auch für den zeitkontinuierlichen Fall (Gleichung 2.4.18). Die Übergangsmatrix zu s + t berechnet


sich aus der Multiplikation der Teilschrittmatrizen zu s bzw. zu t. Das beide Matrizen kom-mutieren, ist eine Folge ihrer speziellen Eigenschaften als Übergangsmatrizen.

( ) ( ) ( ) ( ) ( )sAtAtAsAtsA ==+ (Gl. 2.4.18)

Die Angabe der vollen Übergangsmatrix A(t) ist in der Regel zu kompliziert, da A(t) für jedes t anders ist. Ein Markov-Prozess ist erst spezifiziert, wenn A(t) für alle t angegeben ist (und natürlich eine Anfangsverteilung vorliegt). Eine äquivalente aber einfachere und für die Zu-verlässigkeitstheorie besser geeignete Beschreibungsmöglichkeit, als die Angabe der Über-gangsmatrix, ist die Beschreibung des Übergangsverhaltens eines zeitkontinuierlichen Mar-kov-Prozesses durch Übergangsraten. Im weiteren Verlauf der Arbeit werden deshalb nur noch zeitkontinuierliche Markov-Prozesse mit diskretem Zustandsraum betrachtet. Übergangsverhalten und Verweildauer Da Ω als diskret angenommen wird, kann sich der Systemzustand nur sprunghaft ändern. Zwischen den Zustandsänderungen verbleibt das System eine Zeit lang im selben Zustand. Die Verweildauer Ti im Zustand i ist eine Zufallsvariable in [0, ∞[ und kann daher durch eine Verteilungsfunktion beschrieben werden. Aufgrund der Gedächtnislosigkeit gilt, dass die Ver-teilung von Ti unabhängig sein muss. Das bedeutet, dass die verbleibende Aufenthaltszeit in einem Zustand unabhängig von der bisherigen Aufenthaltszeit in diesem Zustand ist. Diese Eigenschaft wird nur erfüllt, wenn die resultierende Wahrscheinlichkeitsverteilung für die Aufenthaltszeit Ti einer exponentiell verteilten Zufallsvariablen entspricht (Gleichung 2.4.19).

[ ] ( )00 exp1 ttTP ii λ−−=< (Gl. 2.4.19)

Das ist gerade die Wahrscheinlichkeit, dass Ti < t0 ist, wobei t0 eine vorgegebene Wartezeit ist. Das führt zur Wahrscheinlichkeitsdichte nach Gleichung 2.4.20.

( ) ( )iiii TTf λλ −= exp (Gl. 2.4.20)

Beim homogenen Markov-Prozess ist die Aufenthaltswahrscheinlichkeit im Zustand i expo-nential verteilt. Die Aufenthaltszeit wird allein parametriert durch λi, wobei λi die Rate ist, mit der der Zustand i in einen beliebigen weiteren Zustand verlassen wird. Für kleine ∆t ist λi∆t gerade die Wahrscheinlichkeit, den Zustand i zu verlassen. λi

-1 ist die mittlere Aufent-haltszeit in i bevor der Prozess in einen weiteren Zustand springt (Gleichung 2.4.21) und kann somit auch als Wartezeitparameter interpretiert werden.

[ ]i

iTEλ1= (Gl. 2.4.21)


Je höher die Rate ist, mit der ein Zustand verlassen wird, je kleiner ist die mittlere Aufenthalt-zeit in diesem Zustand. Bild 2.11 zeigt eine mögliche Trajektorie eines Markov-Prozesses. Das System bleibt eine gewisse Wartezeit Ti im Zustand i. Dann springt es zu einem neuen Zustand j, verbleibt dort wieder eine Wartezeit Tj, springt in den nächsten Zustand k usw.

exp(λi)i

j

k

X(t)

t

exp(λj)

exp(λk)

Ti Tj Tk

Bild 2.11: Trajektorie eines Markov-Prozesses Gibt es aus einem Zustand i heraus mehrere mögliche Folgezustände und ist λij die Rate, mit der der Prozess vom Zustand i zum nächsten beliebigen Zustand j springt, dann kann man die Summe über λij über alle n abgehenden Pfade eines Zustandes als Rate interpretieren, mit der der Prozess diesen Zustand i verlässt. Das ist gerade λi (Gleichung 2.4.22).

∑=

=n

jiji

1λλ (Gl. 2.4.22)

Auch wenn aus einem Zustand heraus mehrere Folgezustände erreicht werden können, bleibt die resultierende Wahrscheinlichkeitsverteilung für die Aufenthaltszeit Ti im Zustand i die Exponentialverteilung mit der Wahrscheinlichkeitsdichte nach Gleichung 2.4.23.

( ) ⎟⎟⎠

⎞⎜⎜⎝

⎛⎟⎟⎠

⎞⎜⎜⎝

⎛−⎟⎟

⎠

⎞⎜⎜⎝

⎛= ∑∑

==i

n

jij

n

jiji TTf

11exp λλ (Gl. 2.4.23)

Wenn der Prozess den Zustand i verlässt, wird mit einer bestimmten Wahrscheinlichkeit ein bestimmter nächster Zustand j eingenommen. Ein Sprung vom Zustand i zum Zustand j er-folgt mit der Wahrscheinlichkeit λij/λi. Da die Übergangsraten im homogenen Fall konstant sind, ist auch diese Sprungwahrscheinlichkeit stationär. Zwischen den Übergangsraten des zeitkontinuierlichen Markov-Prozesses und den Übergangswahrscheinlichkeiten des zeitdis-kreten Markov-Prozesses gibt es einen wesentlichen Unterschied: Die λij sind Raten, keine Wahrscheinlichkeiten und sind deshalb nicht auf den Maximalwert 1 gebunden.


Generatormatrix Q Es ist zweckmäßig, die Übergangsraten zwischen den Zuständen als Elemente in der so ge-nannten Generatormatrix Q zusammenzufassen. Die Hauptdiagonalelemente können als nega-tive Gesamtrate interpretiert werden, einen Zustand zu verlassen (Parameter der Aufenthalts-zeit). Die Beschreibung eines Markov-Prozesses über die Matrix der Übergangsraten Q hat den Vorteil, dass Q die Dynamik des Prozess vollständig beschreibt und im homogenen Fall zeitinvariant ist. Im inhomogenen Fall wird Q zeitabhängig (Q → Q(t)). Die Generatormatrix hat in allgemeiner Form Q(t) die Struktur nach Gleichung 2.4.24.

( )

( ) ( ) ( )

( ) ( ) ( )

( ) ( ) ( )⎥⎥⎥⎥⎥⎥⎥⎥

⎦

⎤

⎢⎢⎢⎢⎢⎢⎢⎢

⎣

⎡

−

−

−

=

∑

∑

∑

−

=

=≠

=

1

121

1

12

212

1212

1

m

jmjmm

m

m

jj

j

m

m

jj

ttt

ttt

ttt

tQ

λλλ

λλλ

λλλ

(Gl. 2.4.24)

Aus der Struktur von Q(t) ist erkennbar, dass nicht nur Übergänge i → j möglich sind, son-dern auch Übergänge j → i. Die Übergänge j → i (z.B. λ21(t) in Gl. 2.4.24) können beispiels-weise als Reparaturen interpretiert werden. Während ein Markov-Modell ohne Reparaturen die Wahrscheinlichkeit beschreibt überhaupt in einen bestimmten Systemzustand zu kommen (Zuverlässigkeit), beschreibt ein Modell mit Reparaturen die Wahrscheinlichkeit in einem Zustand zu sein (Verfügbarkeit). Es kann so zwischen einer Zuverlässigkeits-Generatormatrix QR(t) und einer Verfügbarkeits-Generatormatrix QA(t) unterschieden werden. Unter Sicher-heitsaspekten interessiert meist nicht die Wahrscheinlichkeit in einem unsicheren Zustand zu sein, sondern vor allem die Wahrscheinlichkeit überhaupt in diesen Zustand zu gelangen.

Pe1(t)

Pe2(t)

Pen(t)

Pn+1(t)

Pa1(t)

Pam(t)

λe1

λe2

λen

λa1

λam

Bild 2.12: Gerichteter Übergangsgraph des Markov-Prozessmodells

Berechnung der Zustandswahrscheinlichkeiten Markov-Prozesse mit diskretem Zustandsraum lassen sich durch gerichtete Graphen darstel-len. Es sei das Markov-Prozessmodell in Bild 2.12 betrachtet, bestehend aus einem Zustand


Pn+1(t), dessen Zustandswahrscheinlichkeit bestimmt werden soll, einer Menge von Eingangs-zuständen (Pe

i(t), mit i = 1, …, n) und einer Menge von Ausgangszuständen (Paj(t), mit

j = 1, …, m). Die Übergänge seien durch die Transitionsraten λei bzw. λa

j parametriert. Die Bestimmung der Zustandswahrscheinlichkeiten basiert auf einer Bilanzierung der Zustands-übergänge durch Gleichgewichtsbeziehungen. Die Änderung von Pn+1(t) in einem Zeitinter-vall dt ergibt sich aus der Summe der zufließenden Wahrscheinlichkeit abzüglich der Summe der abfließenden Wahrscheinlichkeit (Gleichung 2.4.25). Die zufließenden Wahrscheinlich-keiten ergeben sich aus den Initialwahrscheinlichkeiten der vorherigen Zustände multipliziert mit den jeweiligen Übergangsraten in Pn+1(t). Die abfließenden Wahrscheinlichkeiten ergeben sich aus der Multiplikation der jeweils abgehenden Raten mit Pn+1(t).

∑∑=

+=

+ −=m

jn

aj

n

k

ek

ek

n PPdt

dP1

11

1 λλ (Gl. 2.4.25)

Für alle n Zustände können solche Gleichgewichtsbeziehungen formuliert werden. Das Pro-zessmodell lässt sich so in ein homogenes lineares DGL-System erster Ordnung überführen. Die Anzahl der DGL entspricht der Anzahl n der Zustände. Das zu lösende Problem lässt sich als Bilanzgleichungssystem in vektorieller Form ausdrücken (Gleichung 2.4.26).

( )tPQdt

tPdR

⋅=)( (Gl. 2.4.26)

Gleichung 2.4.26 beschreibt die Dynamik des zeitkontinuierlichen homogenen Markov-Prozesses über ein System gekoppelter DGL in vektorieller Form. P(t) ist der Vektor der Zu-standswahrscheinlichkeiten mit P(t) = [P1(t), P2(t), … Pn(t)]T und QR die (Zuverlässigkeits-) Generatormatrix1. Für das Prozessmodell ergibt sich Gleichung 2.4.27.

( )( )( )( )( )( )

( )( )( )( )( )( )⎪⎪⎪⎪

⎭

⎪⎪⎪⎪

⎬

⎫

⎪⎪⎪⎪

⎩

⎪⎪⎪⎪

⎨

⎧

⋅

⎟⎟⎟⎟⎟⎟⎟⎟

⎠

⎞

⎜⎜⎜⎜⎜⎜⎜⎜

⎝

⎛

+−−

−−

=

⎪⎪⎪⎪

⎭

⎪⎪⎪⎪

⎬

⎫

⎪⎪⎪⎪

⎩

⎪⎪⎪⎪

⎨

⎧

tPtPtPtPtPtP

tPtPtPtPtPtP

dtd

6

5

4

3

2

1

6

5

65321

3

2

1

6

5

4

3

2

1

000000000000)(000000000000000

λλ

λλλλλλ

λλ

(Gl. 2.4.27)

Die Dynamik des Systems lässt sich so interpretieren, dass zwischen den Zuständen Wahr-scheinlichkeitsflüsse ausgetauscht werden, wobei die Gesamtwahrscheinlichkeit eins ist. Sie ist eine Erhaltungsgröße. Insofern sind die Bilanzgleichungen formal identisch mit Bilanz-

1 Die Generatormatrix Q(t) ist nicht zu verwechseln mit der Matrix der Übergangswahrscheinlichkeiten A(t) (siehe Gleichung 2.4.29). In der Generatormatrix sind die Koeffizienten der Differentialgleichungen enthalten.


gleichungen z.B. aus der Elektrodynamik. Charakteristisch ist die Existenz von bilanzierbaren Größen (Ladung oder Wahrscheinlichkeit) und von Strömen (elektrischer Strom oder Wahr-scheinlichkeitsfluss). Auch von den Einheiten her ist Parallelität gegeben. Die Wahrschein-lichkeit ist ohne Einheit, der „Wahrscheinlichkeitsstrom“ hat die Einheit 1/s. Das System be-schreibt die zeitliche Entwicklung des Vektors P(t). Dieser kann für den homogenen Fall und für beliebiges t durch Lösen des DGL-Systems nach Gleichung 2.4.28 berechnet werden.

( ) ( ) ( )tQPtP ⋅⋅= exp0 (Gl. 2.4.28)

Die Zustandsvektor P(t) konvergiert für t → ∞ gegen einen Grenzwert. Der Prozess ist dann stationär, d.h. P(t) ist invariant unter einer weiteren Translation der Zeit. In der Regel ist, be-dingt durch die kleinen Ausfallraten bei hochzuverlässigen Systemen, die Einsatzzeit eines Systems deutlich kleiner, als die Zeit bis zu einem stationären Verhalten. Bei Zuverlässig-keitsanalysen interessiert deshalb vor allem die transiente Lösung des Prozesses. P(0) ist der Vektor der Anfangsverteilung. Der Term exp(Q⋅t) stellt eine Matrixexponentiation dar, die durch eine Reihenentwicklung definiert ist. Für die Matrix Q gilt Gleichung (2.4.29).

( ) k

k

k

QkttQ ∑

∞

=

=⋅0 !

exp (Gl. 2.4.29)

Damit liegt eine numerische Lösungsprozedur vor, mit der aus einem Anfangszustand der Zustand zu einem beliebigen Zeitpunkt t berechnet werden kann. Zwischen Q und der anfangs eingeführten Übergangsmatrix A(t) gilt der Zusammenhang nach Gleichung 2.4.30.

( ) ( )tQtA ⋅= exp (Gl. 2.4.30)

Dieser Zusammenhang ist leicht einsichtig, wenn man Gleichung 2.4.28 und Gleichung 2.4.17 vergleicht. Um (einfache) homogene Markov-Modelle analytisch zu berechnen, kann z.B. die Integraltransformation oder die lineare Transformation mit Eigenvektoren angewendet wer-den. Die numerische Berechnung der Bilanzgleichungen ist gleichbedeutend mit der Suche eines (normierten) Eigenvektors der Matrix QT mit Eigenwert 0. 2.4.3 Markov-Modelle mit zeitlichen Abhängigkeiten Inhomogenes Markov-Prozessmodell Eine Verallgemeinerung des homogenen Markov-Prozesses ist der inhomogene Markov-Prozess. Alterungs- und Verschleißeffekte beispielsweise führen auf zeitabhängige Fehlerra-


ten. Wie bereits erwähnt sind Markov-Modelle dann inhomogen, wenn die Transitionsraten λi als zeitvariant betrachtet werden (λi → λi(t)). Die Zeitvarianz bezieht sich dabei auf die globa-le Zeit t, d.h. jede zeitabhängige Übergangsrate ist eine Funktion der verstrichenen Prozess-zeit des gesamten Systems. Lässt man Zeitvarianzen von der Prozesszeit zu, wird die Genera-tormatrix Q zeitabhängig (Q → Q(t)). Gleichung 2.4.26 wird zu Gleichung 2.4.31.

( ) ( )tPtQdt

tPd ⋅=)( (Gl. 2.4.31)

Für die Einträge der Generatormatrix können beliebige Verteilungsfunktionen verwendet werden. Der inhomogene Markov-Prozess erfüllt trotzdem sowohl die markovsche Zustands- als auch die markovsche Zeitbedingung (Abschnitt 2.4.2). Wie beim homogenen Markov-Prozess gilt, dass jeder Zeitpunkt t ein Regenerationspunkt darstellt, da der weitere Verlauf des Prozesses zu jedem t eindeutig bestimmt ist. Da die Abhängigkeit von der Prozesszeit besteht, können allerdings nur Alterungen bezüglich der globalen Zeit berücksichtigt werden. Markov-Modell mit fixer Zeitphasensegmentierung Eine nicht exponential verteilte Funktion kann durch eine Menge von Exponentialverteilun-gen approximiert werden (Erlang-Verteilung). Auch ein inhomogener Markov-Prozess lässt sich durch eine Reihe homogener Markov-Prozesse approximieren, wenn die Prozesszeit in Phasen segmentiert wird. Die Phasen werden zu fixen Zeiten gewechselt, müssen aber nicht notwendigerweise identisch lang sein. In jeder Zeitphase kann einer Transition eine spezifi-sche Übergangsrate zugewiesen werden. Den Sachverhalt veranschaulicht Bild 2.12.

Prozesszeit t

Phase 2Phase 1 Phase 3 Phase 4

1

2

4

3

1

2

4

3

1

2

4

3

1

2

4

3

Bild 2.13: Segmentierung der System-Einsatzzeit in Phasen

Zur Berücksichtigung von Alterungen kann diese Übergangsrate in jeder neuen Phase anstei-gend gewählt werden. Der berechnete Zustandsvektor am Ende einer Phase wird jeweils als Initialwerte des Differentialgleichungssystems der folgenden Phase verwendet. Zwei Arten von Markov-Prozessen mit Zeitphasensegmentierung können unterschieden werden: Prozesse mit Änderungen der Struktur der Generatormatrix und Prozesse bei denen nur die Einträge


der Generatormatrix geändert werden. Werden nur die Einträge der Generatormatrix geändert, kann dies einer Alterungsnachbildung entsprechen oder einem phasenabhängigen Komponen-tentausch. Bei Änderungen der Struktur der Generatormatrix lassen sich verschiedene aufein-ander folgende Betriebsphasen des Systems unterscheiden, bei denen bestimmte Übergänge nicht möglich sind, z.B. durch zeitlich bedingte Änderungen der Systemstruktur. Der Über-gang zu unendlich vielen Phasen mit der Phasenlänge ∆t für ∆t → 0 verdeutlich die Aussage, warum auch beim inhomogenen Markov-Prozess jeder Zeitpunkt ein Regenerationspunkt dar-stellt. Dem Markov-Modell mit fixer Zeitphasensegmentierung liegt zugrunde, dass phasen-spezifische Übergangsraten keine Abhängigkeit von der globalen Prozesszeit aufweisen dür-fen1. Innerhalb einer Phase müssen spezifische Übergangsraten konstant sein. Es sei denn, man geht zu Semi-Markov-Prozessen und „lokalen“ Zeitabhängigkeiten über. Markov-Modell mit stochastischen Phasenwechseln Betriebsphasen eines Systems können nicht nur zu fixen Zeitpunkten wechseln. Dem Wechsel können auch stochastische Ereignisse zugrunde liegen. Das Zu- bzw. Wegschalten von Verbrauchern in Spitzen- bzw. Schwachlastzeiten in einem Energieversorgungssystem und eine damit veränderte Betriebsmittelauslastung könnte ein Beispiel hierfür sein. Ein Ansatz einen solchen Sachverhalt zu beschreiben wird in [Smot-89] anhand der Einsatzphasen eines Satelliten diskutiert. Die mittlere Verweildauer in einer Phase wird durch eine Verteilungs-dichte beschrieben. Alternativ kann auch eine Phasenübergangsrate definiert werden. Als An-schauungsbeispiel sei ein System mit heißer Redundanz betrachtet, das sich stochastisch be-einflusst in drei verschiedenen Phasen befinden kann. In Phase 1 reicht die Funktion einer Komponente aus, um die Lastanforderungen zu erfüllen, während in Phase 2 beide Kompo-nenten funktionieren müssen. Der Phasenwechsel 1 → 2 wird durch die Übergangsrate h1(t) beschrieben und ist nur möglich aus dem Zustand in Phase 1 heraus, in dem beide Komponen-ten funktionieren. In der Phase 3 sei wieder eine Komponente für die Erfüllung der Lastan-forderrungen ausreichend. Der Phasenwechsel 2 → 3 wird durch die Übergangsrate h2(t) be-schrieben. Technisch bedingt kann der Wechsel von einer Phase zu einer anderen nur mit ei-ner bestimmten Wahrscheinlichkeit c1 bzw. c2 vollzogen werden. Da im Gegensatz zum Mar-kov-Modell mit fixer Zeitphasensegmentierung die Phasenwechsel stochastisch sind, können in diesem Beispiel für die Komponentenausfälle zeitabhängige Übergangsraten verwendet werden, die auch noch abhängig sind von der augenblicklichen Phase. Die Ausfallraten in Phase 3 seien identisch zu denen in Phase 1. Die Ausfallraten in Phase 2 sollen bedingt durch eine höhere Lastanforderung höher sein. Reparatur sei, außer nach einer fehlerhaften Um-schaltung, möglich und durch eine konstante Rate µ beschrieben. Bild 2.14 (Seite 63) zeigt das resultierende inhomogene Markov-Modell. Der Rücksprung aus einer Phase zurück in eine vorhergehende ist hier nicht modelliert, aber prinzipiell möglich.

1 Mathematisch lässt sich eine derartiges Modell natürlich berechnen, physikalisch gesehen macht dies jedoch keinen Sinn.


Phase 2Phase 1 Phase 3

0

1

3

2

µ

µ

2λ1(t)

λ1(t)

4

5

µ2λ2(t)

7

8

9

2λ1(t)

λ1(t)

µ

µ

c1h1(t) c2h2(t)

(1 - c1)h1(t)

6

(1 – c2)h2(t)

Bild 2.14: Markov-Modell mit stochastischen Phasenwechseln

Semi-Markov-Prozessmodelle Semi-Markov-Prozesse [Opri-01] sind gegenüber dem homogenen und dem inhomogenen Fall eine weitere Verallgemeinerung und wurden nahezu zeitgleich von P. Lévy (1954) und W. L. Smith (1955) eingeführt. Die Wahrscheinlichkeit einen Zustand i zu verlassen hängt zusätzlich von der Aufenthaltsdauer in i ab. Die Übergangsraten sind damit Funktionen belie-biger „lokaler“ Verweildauerverteilungen. Die Bezeichnung „Semi“ resultiert daraus, dass der Prozess nur zu bestimmten Zeitpunkten die Markov-Eigenschaften erfüllt. Die Markov-Eigenschaften sind immer dann gegeben, wenn der Prozess in einen neuen Zustand übergeht. Die Weiterentwicklung des Prozesses im neuen Zustand hängt nur von diesem neuen Zustand ab, nicht von der Vorgeschichte des Prozesses. Jeder Zustandswechsel ist somit ein Regenera-tionspunkt. Während eines Zustandsaufenthalts muss die Markov-Eigenschaft nicht erfüllt sein. Bei nicht exponential verteilten Aufenthaltszeiten vergisst der Prozess seine Vergangen-heit in diesem Zustand nicht. Bei exponential verteilten Aufenthaltszeiten entspricht der Se-mi-Markov-Prozess dem homogenen Markov-Prozess. Dann sind wieder alle Zeitpunkte Re-generationspunkte. Mit Semi-Markov-Prozessen können z.B. Standby-Redundanzen model-liert werden, die erst dann zu altern beginnen, wenn Sie nach einem Ausfall im System zuge-schaltet werden (Kapitel 3). Auch Reparaturzeiten lassen sich i. A. realistischer durch einen Semi-Markov-Prozess als durch einen homogenen Markov-Prozess beschreiben. 2.4.4 Eigenschaften und Einschränkungen von Markov-Prozessen Während boolesche Modelle strukturorientiert sind und damit gut für Topologieuntersuchun-gen von Verteilungsnetzwerken verwendet werden können, beschreiben Markov-Prozesse die zeitliche Evolution der Zustände eines Systems und sind somit verhaltensorientiert. Mit Mar-kov-Modellen sind Aussagen über ein System mit den gleichen Arten von Kenngrößen mög-


lich, wie bei booleschen Modellen. Da das Systemverhalten über ein System gekoppelter Dif-ferentialgleichungen beschrieben wird, erlaubt dies zusätzlich komplexere Abhängigkeiten als beispielsweise mit einem Fehlerbaum zu modellieren, der nur durch eine (schnittorientierte) Systemstrukturfunktion repräsentiert wird. Mit Markov-Modellen sind deshalb verschiedene fehlerfreie und fehlerbehaftete Zustände mit verschiedenen Übergangsraten unterscheidbar, oder verschiedene Betriebsphasen mit verschiedenen Systemstrukturen. Die Systemstruktur kann implizit über das Verhalten berücksichtigt werden. Es sind weiterhin nahezu beliebige Zustandsübergänge modellierbar. So lassen sich Degradationen, Rekonfigurationen, zeitlich sequentielle Fehlermechanismen, Alterungen und Reparaturen beschreiben. Auch dynamische Abhängigkeiten der Komponenten, wie beispielsweise kalte und warme Redundanzen, lassen sich modellieren. Besonderer Vorteil ist, dass sich der Abstraktions- und Detaillierungsgrad bei der Modellierung des Systemverhaltens in weiten Grenzen frei wählen lässt. Da Markov-Graphen als Zustandsübergangsdiagramme darstellbar sind, erfüllen Sie auch die wichtige Forderung nach einer visuellen Darstellungsmöglichkeit. Somit sind sie zur Dokumentation von betrachteten Mehrfach- und Folgefehlern gut geeignet. Meist wird als Haupteinschränkung der markovschen Modellbildung das schnelle Wachstum des Zustandsraumes bei größeren Systemen oder komplexen Verhaltensweisen, z.B. bei Sys-temen mit vielen Nebenläufigkeiten, genannt. In [Zdrall-00] wird angegeben, dass die Anzahl der Zustände etwa exponentiell mit jeder neuen Komponente wächst. Auch in [Mah-00] wird argumentiert, dass die Grenzen praktischer Realisierbarkeit des Zustandsraummodells, mit wachsender Komponentenanzahl n und daraus resultierend 2n Elementarzuständen bei binären Fehlermodellen schnell erreicht wären. Deswegen wird in [Mah-00] ein Ansatz zur Zustands-raumreduktion durch die hierarchische Kombination von homogenen Markov-Prozessen mit Fehlerbäumen entwickelt. Ein Markov-Modell ist aber vor allem deshalb umfangreicher als ein Fehlerbaum, da sich mit einem Markov-Prozess deutlich komplexere Verhaltensweisen modellieren lassen. Aber es muss beachtet werden, dass nicht jede Kombination von fehler-haften Komponentenzuständen physikalisch sinnvoll ist. Die Anzahl der möglichen System-zustände hängt im Allgemeinen nicht von der reinen Kombinatorik der Betriebsmittelfehler ab, sondern vor allem von der kausalen Folge der Fehler. Ist ein Teilsystem bereits durch ei-nen Fehler ausgefallen, muss die weitere Betrachtung von Fehlern in diesem Teilsystem nicht unbedingt sinnvoll sein und die Berücksichtigung dementsprechend bei der Modellierung hinterfragt werden. Praktikabel wäre hier beispielsweise zuverlässigkeitstechnisch seriell lie-gende Komponenten zu einem Fehlermodell zusammen zu fassen. Viele Fehler in einem Sys-tem haben auf Systemebene die gleichen Auswirkungen. Sie können in Ereignisklassen und die resultierenden Zustände in Zustandsklassen gebündelt werden. Ein Nachteil der Markov-Prozesse ist, dass deterministische Zeiten in einem System, bei-spielsweise fixe Zeiten für Reparaturen, über Verteilungsfunktionen nachgebildet werden müssen. Gerade im Fall der Reparatur ist aber die Exponentialverteilung im homogenen Fall


nur eine Näherung für die realen Verhältnisse. Weiterer Nachteil ist, dass das Zustandsmodell praktisch von Hand entworfen werden muss. Dadurch ist die Erstellung fehleranfällig und es können Fehlerszenarios übersehen werden. Besonders bei adaptiven Systemen, bei denen sich das System auf unterschiedliche Betriebsbedingungen einstellen kann, wächst die Komplexi-tät schnell an. Ein möglicher Ansatz, die Erstellung des Zustandsgraphen zu vereinfachen, ist die Kombination mit Petri-Netzen. Dies wird in Kapitel 2.5 vorgestellt. Ein weiterer Ansatz ist die Definition dynamischer Fehlerbaummodelle, in denen spezielle Funktionsgatter mit vordefinierten Markov-Modellen verwendet werden, was in Kapitel 2.6 diskutiert wird. Letzt-lich können sich bedingt durch die teilweise enormen Größenunterschiede zwischen den Ü-bergangsraten Probleme durch steife Differentialgleichungssysteme ergeben. 2.4.5 Zusammenfassung zu Markov-Prozessen Ein fehlertolerantes (Energiebordnetz-) System folgt bei Auftritt von Fehlern einer Trajektorie von Zuständen bevor es gänzlich ausfällt. Die stochastische Evolution der fehlerbehafteten Systemzustände kann als zeitkontinuierlicher Markov-Prozess beschrieben werden. Ein Mar-kov-Prozess modelliert aus globaler Systemsicht das Verhalten eines Systems und somit die Funktionszuverlässigkeit. Die Wahrscheinlichkeit in einem fehlerbehafteten Zustand zu sein, ist ein Maß für die Unzuverlässigkeit oder die Unsicherheit des Systems, je nach Interpretati-on des Zustandes. Über die Möglichkeit zur quantitativen Systembewertung hinaus bietet der Zustandsübergangsgraph auch qualitative Informationen über das Fehlerverhalten des Sys-tems. Meist wird bei Zuverlässigkeitsanalysen, wegen seiner mathematischen Eleganz und der daraus resultierenden einfachen Behandlung und Anwendung, vor allem das homogene Mar-kov-Modell mit negativ verteilten Exponentialfunktionen verwendet. Dieses Modell ist nicht für beliebige Problemstellungen geeignet. Wie verdeutlicht wurde, gibt es jedoch auch allge-meinere Markov-Prozess-Typen, die zu Modellierung umfangreicher und komplexer Frage-stellungen verwendet werden können. Markov-Modell bieten Möglichkeiten, die weit über die Bestimmung der Verfügbarkeit reparierbarer Systeme hinausgehen.

2.5 Petri-Netz basiertes Zuverlässigkeitsmodell 2.5.1 Aufbau und Modellierungsregeln Fehler können zu beliebigen Zeitpunkten, in beliebigen Kombinationen und zeitlichen Rei-henfolgen sowie an beliebigen Orten in einem (Energiebordnetz-) System auftreten. Unter dem Aspekt der Fehler gesehen zeigt daher jedes System ein verteiltes, nebenläufiges Verhal-ten. Da Fehler als (unerwünschte) diskrete Ereignisse interpretiert werden können, lässt sich


das Zuverlässigkeitsverhalten eines Systems auch ereignisdiskret und nebenläufig modellie-ren, als Petri-Netz. Petri-Netze arbeiten im Wesentlichen mit vier Modellierungselementen.

Stellen S = s1, s2, …, sm werden als Kreise gezeichnet und repräsentieren Zustände. Transitionen T = t1, t2, …, tn werden als Rechtecke oder Striche dargestellt und

modellieren Zustandsübergangsereignisse. Sie beschreiben die Systemdynamik. Kanten K = k1, k2, …, kl werden als Pfeile gezeichnet und stellen gerichtete Ver-

bindungen zwischen Stellen und Transitionen oder Transitionen und Stellen dar. Marken M = m(s1), m(s2), …, m(sm) werden als ausgefüllte Kreise dargestellt und

kennzeichnen aktivierte Stellen. M0 ist der Initialmarkierungsvektor des Netzes. Eine der wichtigsten Konvention für das Verständnis von Petri-Netzen ist die, dass eine Tran-sition nur schalten kann, wenn alle eingehenden Stellen markiert sind. Eine Transition bewirkt dann die Entnahme aller Marken aus den vorausgehenden und das Auffüllen der nachfolgen-den Stellen. Welche Marken wo entnommen und eingefügt werden, legen die Kanten fest. Ein Petri-Netz mit zwei Transitionsfolgen zeigt Bild 2.15. Zunächst ist über s1 und s2 (Vorbereich von t1) die Transition t1 aktiviert. Tritt das für t1 festgelegte Ereignis ein, schaltet t1 und s3 (Nachbereich von t1) wird über die Postkante von t1 aufgefüllt. Nun ist s3 und s4 markiert und damit über die zugehörigen Prekanten t2 aktiviert. Bei dem spezifischen Ereignis für t2 wür-den die Marken nun zu s5 wandern. s5 ist in diesem Beispiel ein Endzustand, den das System nicht wieder verlässt, ein so genannter persistenter Zustand.

s 1

s 2

s 3

s 4

s 5

s 1

s 2

s 3

s 4

s 5

t 1

t 2

t 1

t 2

Bild 2.15: Einfaches Schalten eines Petri-Netzes

In einfachen Petri-Netzen haben die Marken keine besonderen Eigenschaften. Eine Transition kann schalten, wenn in ihren Eingangsstellen je eine Marke vorhanden ist. Das Schalten ent-fernt je eine Marke aus den Eingangsstellen und fügt in jeder Ausgangsstelle eine Marke hin-zu. Diese Eigenschaft führt dazu, dass beim Schalten von t1 die Anzahl der Gesamtmarken im Petri-Netz reduziert wird. Ebenso können beim Schalten einer Transition auch neue Marken erzeugt werden. Dies ist meist unkritisch, muss aber beachtet werden. Ein Petri-Netz, bei dem jede Stelle maximal eine Marke enthält und alle Kanten maximal eine Marke verschieben, wird als Bedingungs-/Ereignis-Netz bezeichnet. Bild 2.16 zeigt, dass sich damit sowohl boo-lesche Verknüpfungen als auch Zustandsmodelle formulieren lassen ([He-02], [Abele-04]).


1

2

ZustandsmodellUND ODER

Bild 2.16: Modellierung von logischen Verknüpfungen und Zuständen mit Petri-Netzen

2.5.2 Eigenschaften verschiedener Petri-Netz-Klassen Petri-Netze gehören zur Klasse der zustandsraumbasierten Modellierungsverfahren. Sie lassen sich neben der Form als bipartite Graphen auch in die lineare Algebra abbilden. Allgemein kann ein Petri-Netz als 6-Tupel in der Form NM0 = [S, T, K, W, V, M0] beschrieben werden. NM0 wird markiertes Netz genannt, da M0 die Initialmarkierung kennzeichnet. In Bild 2.15 wäre M0 = (1, 1, 0, 1, 0)T. Es gibt verschiedene Petri-Netz-Klassen, die sich vor allem in der Markeninterpretation und den Kapazitäts- und Gewichtsrestriktionen unterscheiden. Erweiterte Petri-Netze Bei einem erweiterten Petri-Netz gibt W(s) die Markenkapazität einer Stelle an und V(k) die Vielfachheit (auch Kantengewicht) einer Kante. Die Anzahl der aus dem Vorbereich ent-nommenen und in den Nachbereich gefüllten Marken bestimmt die Flussrelation entsprechend dem Kantengewicht. Ist weder W noch V definiert, gilt als Konvention W = 1 bzw. V = 1. Gilt W∈IN und V∈IN, so liegt ein Stellen-/Transitions-Netz vor. Sind die Markenkapazitäten aller Stellen eines Netzes beschränkt, so ist auch das Gesamtmodell beschränkt.

s 1 s 2

s 3

t 1

W=3

V=2

V=2

V=2

W=4

W=2

s 1 s 2

s 3

t 1

W=3

V=2

V=2

V=2

W=4

W=2 Bild 2.17: Erweitertes Petri-Netz mit Kapazitäts- und Gewichtsfunktionen

Eine Transition t ist aktiviert, wenn für jede Eingangsstelle se das Gewicht der Prekante von se nach t nicht größer ist als die Anzahl der Marken in se und in jeder Ausgangsstelle sa die be-reits vorhandene Anzahl der Marken addiert mit dem Gewicht der Postkante zu sa nicht größer ist als die Kapazität von sa. Schaltet die Transition t vermindert sich die Markenzahl jeder Eingangsstelle um so viele Marken, wie das Gewicht der zugehörigen Prekante nach t angibt. Die Anzahl der Marken einer Ausgangsstelle erhöht sich um so viele Marken, wie das Ge-wicht der Postkante von t nach sa angibt. Dieser Sachverhalt ist in Bild 2.17 illustriert.


Stochastische Petri-Netze (SPN) und Generalisierte SPN (GSPN) Bedingungs-Ereignis-Netze lassen sich zu stochastischen Petri-Netzen erweitern, indem den Transitionen (beliebig verteilte) Schaltraten zugewiesen werden. Zu generalisierten stochasti-schen Petri-Netzen gelangt man durch Hinzunehmen hemmender Kanten und direkter Transi-tionen. Eine hemmende Kante (Bild 2.18) übt auf eine Transition ihre hemmende Wirkung aus, wenn eine durch das Kantengewicht spezifizierte Anzahl von Marken in der zugeordne-ten Stelle überschritten ist. Eine Transition ist nur dann aktiviert, wenn die normalen Ein-gangsstellen genügend viele Marken enthalten und sich nicht zu viele Marken in der Stelle befinden, die durch eine hemmende Kante mit der Transition verbunden ist.

Bild 2.18: Hemmende Kante

Eine direkte Transition ist zeitlos. Wenn eine direkte Transition aktiviert ist, schaltet sie so-fort. Damit können kausale Beziehungen im Systemverhalten ausgedrückt werden. Der Zu-standsraum eines GSPN enthält somit zeitlose Zustände, die sofort wieder verlassen werden und zeitbehaftete Zustände mit prinzipiell beliebig verteilten Aufenthaltsdauern. Die zeitlosen direkten Transition haben Vorrang gegenüber den zeitbehafteten Transitionen. Dadurch wer-den Konflikte zwischen gleichzeitig aktivierten Transitionen gelöst. Mit einem GSPN können sowohl deterministische als auch stochastische Schaltverzögerungen modelliert werden. Farbige stochastische Petri-Netze Eine weitere Verallgemeinerung der Eigenschaften stochastischer und generalisierter Petri-Netze erfolgt, indem den Marken bestimmte Attribute zugeordnet werden [Niebe-03]. Die Marken selbst können dann Informationen enthalten und werden deshalb als farbig bezeich-net. Den Marken lassen sich z.B. Altersinformationen zuordnen. Das „Alter“ einer Marke kann über Kantenfunktionen in die Ermittlung der Schaltraten einfließen. Mit farbigen Mar-ken könnte somit ein zustandsabhängiges Alterungsverhalten modelliert werden [Volov-03]. Erreichbarkeitsanalyse - Erreichbarkeitsgraph Besondere Bedeutung bei der Analyse von Petri-Netzen hat die Analyse der Erreichbarkeit von Zuständen. Durch die Transitionen und die modellierten Bedingungen können nur be-stimmten Netzmarkierungen entstehen. Der Erreichbarkeitsgraph eines Petri-Netzes stellt alle durch die Transitionsfolgen erreichbaren Zustände dar, die ein Petri-Netz ausgehend von einer Initialmarkierung M0 durch Schalten einnehmen kann. Inhaltlich bedeutet dies den Übergang von einem verteilten Systemmodell zu einem (endlichen) Automatenmodell. Allerdings muss das Netz beschränkt sein, da sonst der Erreichbarkeitsgraph unendlich ist und nicht gebildet werden kann. Werden nur konstante Transitionsraten zugelassen, entspricht der Erreichbar-


keitsgraph dem Zustandübergangsgraph eines homogenen Markov-Prozess. Die Algorithmen zur Erreichbarkeitsanalyse werden in der Literatur eingehend behandelt. Einsatz von Petri-Netzen bei Zuverlässigkeits- und Sicherheitsanalysen Da sich sowohl boolesche Verknüpfungen als auch Zustandsmodelle, sowie deterministisches und stochastisches Verhalten mit und ohne Abhängigkeiten mit Petri-Netzen modellieren las-sen, können Petri-Netze auch für Zuverlässigkeits- und Sicherheitsmodelle verwendet wer-den. Es gibt hierbei im Wesentlichen drei Möglichkeiten Petri-Netze einzusetzen.

In verallgemeinerter Form als generalisierte stochastische Petri-Netze können sie zur quasi-empirischen Ermittlung von Zuverlässigkeitskenngrößen herangezogen werden. Das Petri-Netz wird so oft simuliert, dass sich die Häufigkeit bestimmter Zustände mit statistischen Mitteln auswerten lässt. Alternativ können Petri-Netze mit konstanten Transitionsraten über den Erreichbarkeitsgraphen auch als homogene Markov-Prozesse berechnet werden, wobei aber zeitlose Zuständen eliminiert werden müssen.

Durch Modellierung und Simulation der möglichen Verhaltens- und Ausfallszenarien eines Systems lassen sich Abläufe nebenläufiger Prozesse, z.B. nach aufgetretenen Fehlern, auf zeitliche oder funktionale Korrektheit prüfen ([Schnee-01], [Phil-02]). In [Ein-05] werden farbige Petri-Netze auch zur Szenarienspezifikation verwendet.

Besonders relevant ist die Untersuchung der Erreichbarkeit von Systemszuständen. So lassen sich die resultierenden Zustände oder Zustandsfolgen (Verhaltensszenarien) nach aufgetretenen Fehlern durch Bildung des Erreichbarkeitsgraphen ermitteln.

G1Ausfall desGenerator 1

US

G2

Schalter auf A

0

Schalter auf B

SE

US verklemmtoder SE defekt

0

Ausfall desGenerator 2

Generator 2in Betrieb

Generator 1in Betrieb

1 2

3

4

56

78 Bild 2.19: Einfaches Petri-Netz-Modell der Generatorumschaltung aus Bild 2.09

2.5.3 Modellierung des Ausfallverhaltens mit Petri-Netzen Am Beispiel der Generatorumschaltung aus Bild 2.9 soll ein Ansatz zur Systemanalyse mit Petri-Netzen verdeutlicht werden. Bild 2.19 zeigt das generalisierte stochastische Petri-Netz.


Aufbau, Funktion und die Komponenten der Generatorumschaltung wurden bereits in Ab-schnitt 2.3 erläutert. Der Verbraucher und die Leitungen sind nicht modelliert. Zur einfache-ren Darstellung werden hier nur einfache binäre Fehlermodelle der Komponenten zugrunde gelegt. Die 0-Transitionen sind zeitlose Transitionen, die sofort schalten, wenn alle Eingangs-bedingungen erfüllt sind. Sie dienen lediglich zur Modellierung boolescher Abhängigkeiten. Die anderen Transitionen kennzeichnen die (zufälligen) Ausfallereignisse der Komponenten. Das Petri-Netz beschreibt aus funktionaler und stochastischer Sicht das Zusammenspiel der Komponenten. Gestört wird die erwartete Funktion des Systems durch das Auftreten von Feh-lern. Welche Reihenfolge beim Auftritt von Fehlern zu kritischen Zuständen führt, kann durch die Bildung des Erreichbarkeitsgraphen analysiert werden. Dieser ist in Bild 2.20 zu sehen.

1,0,1,1,0,0,0,0

0,1,0,1,0,1,1,0

0,1,0,1,0,1,0,1

1,0,1,0,1,0,0,0

0,1,1,0,1,0,0,0

0,1,0,0,1,1,1,0

0,1,0,0,1,1,0,1

ErwartetesVerhalten

Verhalten bei Auftritt von Fehlern

Bild 2.20: Erreichbarkeitsgraph des Petri-Netz-Modells aus Bild 2.19

Alle drei grau hinterlegten Zustände sind Zustände, in denen der Verbraucher nicht mehr mit Energie versorgt wird. Wie zu sehen ist, werden diese Zustände über unterschiedliche Transi-tionsfolgen erreicht. Die Nummernfolgen in den Zuständen entsprechen den jeweiligen Stel-lenmarkierungen im Petri-Netz. Für komplexere Systeme stellt diese Methode eine erhebliche Erweiterung der Systemanalyse dar. Die Erreichbarkeitsanalyse zeigt, welche Sequenz von Transitionen, bei den zugrunde gelegten Fehlermodellen, zu kritischen Zuständen führen. Die quantitative Auswertung kann durch eine statistische Simulation des Petri-Netzes erfolgen oder durch die Interpretation des Erreichbarkeitsgraphen als Markov-Prozess. 2.5.4 Zusammenfassung zu den Eigenschaften von Petri-Netzen Die Stärke von Petri-Netzen liegt in der umfassenden Modellierungsmöglichkeit. Prinzipiell lassen sich gleich- und nebenläufige Prozesse, Wechselbeziehungen zwischen nebenläufigen Prozessen, stochastische und deterministische Verhaltensweisen, logische Bedingungen, ver-schiedene Komponenten- und Systemzustände, sowie komplexe Abhängigkeiten zwischen Systemkomponenten oder Prozessen modellieren. Petri-Netze erlauben eine sehr realitätsnahe Modellierung des (Ausfall-) Verhaltens dynamischer ereignisdiskreter Systeme. Wegen die-


sen Möglichkeiten wird der Petri-Netz-Formalismus auch bei der Modellierung von Zuverläs-sigkeits- und Sicherheitseigenschaften eingesetzt ([Schnee-99] oder [Rak-02]). Besonders im Softwarebereich oder bei Transportprozessen werden sie zur Analyse und zum Nachweis zeit-licher oder funktionaler Korrektheit verwendet oder auch zur Analyse von Prozessverklem-mungen oder notwendigen Prozessressourcen. In [Trost-05] werden beispielsweise verschie-dene Instandhaltungsprozesse mit Petri-Netzen vergleichend bewertet. Wie an dem Ansatz in 2.5.3 gezeigt wurde, lassen sich Petri-Netze auch zur Analyse der Erreichbarkeit von Zustän-den verwenden. Damit bieten sie prinzipiell die Möglichkeit Markov-Graphen aus einem funktionalen Systemmodell zu generieren oder besonders kritische Fehlersequenzen zu identi-fizieren. Allerdings muss das System zunächst als Petri-Netz modelliert werden. Da auch Pet-ri-Netze im Allgemeinen nicht trivial zu bilden sind (siehe z.B. [Schnee-03]) und sich damit bei der Modellierung neue Fehlermöglichkeiten ergeben können, ist der Aufwand beim Ein-satz zur Generierung von Markov-Graphen nur dann sinnvoll und gerechtfertigt, wenn das Systemverhalten zusätzlich auch auf andere Aspekte hin simuliert und analysiert werden soll. Bei der Modellierung muss z.B. auf Beschränktheit und einen deadlockfreien Betrieb des Sys-temmodells geachtet werden, was oftmals nicht trivial zu erreichen ist. Zwar lassen sich mit Petri-Netzen, durch die Einführung von Modularisierungen und den Ein-satz von Referenz- und Kommunikationsstellen zwischen Subnetzen, auch umfangreichere Systeme modellieren, allerdings werden die Petri-Netze bei komplexen Verhaltensweisen schnell unübersichtlich. Die besondere Fähigkeit Nebenläufigkeiten zu modellieren führt da-zu, dass sie letztlich schwer zu lesen sind und die Funktions- oder Zustandsabläufe meist nicht ohne Simulation nachvollzogen werden können. Dies ist gegenüber einem Zustands-übergangsgraphen oder einem Fehlerbaum ein gravierender Nachteil bezüglich der graphi-schen Repräsentation des Ausfallverhaltens. Ein weiterer Nachteil ist gerade für quantitative Zuverlässigkeitsanalysen, dass stochastische Aussagen nur über statistische Simulationen o-der auf dem Umweg über Markov-Prozesse ermittelt werden können. Probleme treten dann auf, wenn kleine Ereignisraten für Fehler vorliegen, da viele Simulationszyklen notwendig werden, bis eine statistische Konvergenz gegen die gesuchten Kenngrößen eintritt. Gleiches gilt bei großen Unterschieden zwischen Fehler- und Reparaturraten. In [Volov-03] wird deut-lich, dass bereits kleinere Problemstellungen zu langen Simulationsdauern führen können.

2.6 Hybride und erweiterte Modellierungsansätze Neben den bisher diskutierten Methoden existieren eine Reihe weiterer hybrider Ansätze, bei denen verschiedene Methoden problemspezifisch kombiniert oder erweitert werden. Im Rah-men dieser Arbeit kann die Diskussion der existierenden Ansätze nur unvollständig sein. Aus den Darstellungen werden jedoch die Vorgehensweisen und Zielsetzungen deutlich.


2.6.1 Dynamischer Fehlerbaum - Fehlerbaum und Markov-Prozess Die Verlässlichkeit von Systemen mit dynamischer Konfiguration oder nicht rein kombinato-rischen Fehlerabhängigkeiten quantitativ zu bewerten, ist mit einem booleschen Fehlerbaum oft nur unter Vereinfachungen bei der Modellierung des Ausfallverhaltens möglich. Durch die Einschränkungen, die in Abschnitt 2.3 diskutiert wurden, werden wichtige Systemeigenschaf-ten, die auf das Ergebnis erheblichen Einfluss haben können, nicht oder nur stark vereinfacht betrachtet. Jedes statische Fehlerbaummodell mit konstanten Fehlerraten kann aber auch als homogenes Markov-Modell gelöst werden [Hine-92]. Das Konzept dynamischer Fehler-baummodelle bestehet darin, die Fehlerbaum-Schnittstelle zum Anwender zu erhalten und die Modellierungsmächtigkeit durch die Erweiterung der Modellierungselemente über dynami-sche Gatter zu vergrößern [Dugan-01]. Zur quantitativen Auswertung wird das dynamische Fehlerbaummodell in einen äquivalenten homogenen Markov-Prozess transformiert. Die Grundstruktur des Fehlerbaums bildet die relativ einfach zu handhabende Schnittstelle zum Anwender, während Markov-Prozesse die Berechnung komplexer Abhängigkeiten ermögli-chen. Bild 2.21 zeigt als Beispiel das „Functional Dependency Gate“ (FDEP) aus [Yipin-96].

Top-Failure

FDEP

A B

4

2 5

3 1

D

λD

λD

λA

λD

λA

λB

λB

Bild 2.21: Functional Dependency Gate (FDEP) und korrespondierendes Markov-Modell

Das FDEP beinhaltet einen Triggereingang (D), der von einem Basisereignis oder einem an-deren Gatter im dynamischen Fehlerbaum getriggert werden kann, einen Ausgang, der den Zustand der Gatters anzeigt sowie einen oder mehrere von D abhängige Eingänge. Die vom Triggereingang abhängigen Basisereignisse (A und B) können eintreten, sobald das auslösen-de Ereignis eingetreten ist. Das Eintreten eines der abhängigen Ereignisse beeinflusst weder das auslösende noch die andere abhängigen Ereignisse. Dieses Gatter ermöglicht die Model-lierung von Ausfallabhängigkeiten in einem System. Ähnlich lassen sich weitere Gatter defi-nieren, mit denen sich weitere dynamische Verhaltensweisen modellieren lassen.

1 2 3λBλA

A B

PAND

Bild 2.22: Priority-AND Gate (PAND) und korrespondierendes Markov-Modell


Das Priority-AND Gate (PAND) wird dann wahr, wenn nach Konvention alle Basisereignisse in der Sequenz von links nach rechts aufgetreten sind (Bild 2.22). Zur Modellierung einer kalten Redundanzkonfiguration ist das Cold-Spare Gate (CSP) definiert (Bild 2.23).

1

2λA

CSP

A B

4

3 λAλB1

λB2

Bild 2.23: Cold-Spare Gate (CSP) und korrespondierendes Markov-Modell

Das CSP ist realisiert, wenn sowohl die Basiskomponente A als auch die kalte Redundanz B ausgefallen sind. Prinzipiell ließe sich das auch mit einem PAND beschrieben. Bei einem CSP lässt sich der Ersatzkomponente allerdings eine (kleine) Ausfallrate λB1 für den Standby-Betrieb zuweisen, sowie eine (höhere) Ausfallrate λB2, die nach der Aktivierung gilt. Ähnliche Gatter gibt es auch für warme und heiße Redundanzen [Dugan-00]. Beispielhafte Modellierung Die Modellierung eines einfachen elektrischen Energieversorgungssystems soll die Anwen-dung beispielhaft veranschaulichen. Betrachtet sei die Generatorumschaltung aus Bild 2.9. Das elektrische Versorgungssystem für einen Verbraucher V, das aus einem Betriebsgenera-tor G1, einem Standby-Generator G2, sowie einer Umschalt- (US) und einer Steuereinheit (SE) besteht, soll hier um einen Antriebsmotor M erweitert werden. Dieser treibt über zu- bzw. abkuppelbare Wellen beide Generatoren an, wobei G2 erst angetrieben wird, wenn G1 ausgefallen ist. Der Motor ist somit eine Common Cause Fehlerursache. Bild 2.24 stellt das System dar. Das Ausfallverhalten wurde bereits in Abschnitt 2.3 diskutiert.

SE

USV

M

G2

G1

Bild 2.24: Erweitertes Beispiel der Generatorumschaltung aus Bild 2.9

Beschreibt man die möglichen Fehlerereignisse (siehe Abschnitt 2.3) des Systems mit den diskutierten Gattern, lässt sich der dynamische Fehlerbaum in Bild 2.25 bilden (Seite 75). Das ODER-Gatter (OR) verknüpft alle relevanten Fehlerereignisse, die zum Top-Ereignis führen. Sowohl die Abhängigkeit von der Common Cause Ursache Motorausfall (FDEP), sowie die zeitlich sequentiellen Fehlerereignisse (PAND), als auch der Ausfall des Betriebs- und des Ersatzgenerators nach einer Umschaltung (CSP), sind im Fehlerbaum modelliert.


Ausfall G1/G2 durch M-Ausfall

FDEP

G1M

G2

Funktionsausfallvon V

Ausfall beider Generatoren

CSP

G1 G2SE G1 V

SE fällt vor G1 aus

PAND

OR

US G1

US fällt vor G1 aus

PANDAusfall von V

Bild 2.25: Dynamischer Fehlerbaum für die Generatorumschaltung aus Bild 2.17

Sind kombinatorische und dynamische Gatter in einem Fehlerbaum enthalten, werden zur Aufwandsreduzierung nur die dynamischen Elemente in einen Markov-Prozess transformiert [Dugan-98]. Der statische Teil kann über kombinatorische Methoden berechnet werden (siehe Abschnitt 2.3). Auf die Illustration des aus Bild 2.25 resultierenden Markov-Modells sei an dieser Stelle aus Übersichtlichkeitsgründen verzichtet. Softwaretools zur automatischen Transformation werden derzeit vor allem im Hochschulbereich entwickelt [Assaf-04]. Eigenschaften und Einschränkungen Boolesche Fehlerbäume erlauben nur die Modellierung rein kombinatorischer Fehlerereignis-se. Dynamische Fehlerbäume können durch die erweiterten Gatter auch Top-Ereignisse analy-sieren, bei denen zeitlich sequentielle Fehler oder Fehlerabhängigkeiten zur Realisierung füh-ren. Die dynamischen Gatter erweitern die Modellierungsmöglichkeiten gegenüber boole-schen Fehlerbäumen, entlasten den Modellierer aber von der Konstruktion eines Markov-Modells. Dynamische (und kombinatorische) Fehlereignisse werden zusätzlich graphisch an-schaulich repräsentiert. Sie bieten somit eine einfachere und brauchbarere Methode, als z.B. die in [Mah-00] vorgeschlagene hierarchische Modellierung von Fehlerbäumen mit Markov-Ketten. Die Möglichkeiten von Markov-Modellen werden aber, bedingt durch die starre Defi-nition von speziellen und automatisch transformierbaren Gattern, bei weitem nicht ausge-schöpft. Bei rein kombinatorischen Gattern können die Ausfallraten beliebig verteilt sein. Dynamischen Gattern dagegen müssen, wegen der Transformation in einen homogenen Mar-kov-Prozess, konstante Ausfallraten zugewiesen werden. Dadurch lassen sich Alterungen nicht modellieren. Einschränkend ist auch, dass, wie beim konventionellen booleschen Feh-lerbaum, nur die Analyse eines einzelnen Top-Ereignisses möglich ist. Für die Analyse de-gradierter Zustände auf Systemebene gelten die gleichen Einschränkungen, wie für den boole-schen Fehlerbaum, da das grundlegende Prinzip der deduktiven Beschreibung eines Top-Ereignisses das gleich ist. Degradierte Zustände können nur durch separate Fehlerbäume mo-delliert werden, wobei auch hier das Problem von „Repeated Events“ beachtet werden muss (siehe Abschnitt 2.3). Degradationen auf Komponentenebene sind nicht, Reparaturen und


verschiedene Betriebsphasen sind nur eingeschränkt modellierbar. Letztlich lassen sich über die Gatter auch nur „lokale“ Strukturänderungen im System berücksichtigen. 2.6.2 „Extended Fault Tree“ – Fehlerbaum und Petri-Netz Ein anderer Ansatz zur Erweiterung der Modellierungsmöglichkeiten eines booleschen Feh-lerbaums ist die in [Buch-98] vorgestellte Auswertung eines so genannten „Extended Fault Tree“ (eFT) auf der Grundlage generalisierter stochastischer Petri-Netze. Wie bei den dyna-mischen Fehlerbäumen in Abschnitt 2.6.1 werden erweiterte Beschreibungssymboliken defi-niert, mit denen sich stochastische Abhängigkeiten und dynamische (Ausfall-) Verhaltenswei-sen modellieren lassen. Auch hier besteht die Intention darin, die für den Anwender relativ einfach zu handhabende Fehlerbaumschnittstelle zu erhalten. Die Transformation in ein sto-chastisches generalisiertes Petri-Netz geschieht anhand der Vorgaben des Modellierers auto-matisch. Die Auswertung des eFT erfolgt durch die Auswertung des resultierenden Petri-Netzes. Bild 2.26 illustriert zur Veranschaulichung einen extended Fault Tree aus [Buch-00].

Bild 2.26: Extended Fault Tree eines Flugsteuerungssystems aus [Buch-00]

Eigenschaften und Einschränkungen Auch dieser Ansatz verfolgt die Zielsetzung, dynamische Verhaltensweisen in eine Fehler-baummodellierung integrieren zu können. Die Besonderheit liegt darin, dass über den hinter-


legten Petri-Netz-Formalismus auch Komponenten mit mehreren (degradierten) Zuständen zugelassen werden, was bei dem Ansatz in 2.6.1 bislang nicht möglich war. Im Gegensatz zu dynamischen Fehlerbäumen sind mit eFTs auch komplexe Reparaturenszenarien der Kompo-nenten beschreibbar. Die erweiterten Gatter eines eFTs sind auf einer höheren Abstraktions-ebene, so dass dem Modellierer viele Möglichkeiten des Petri-Netz-Formalismus zwar zur Verfügung stehen, die eigentliche Petri-Netz-Semantik aber verborgen bleibt. Problematisch bei diesem Ansatz ist, wie bei der Auswertung von Petri-Netzen allgemein (siehe Abschnitt 2.5), die Bestimmung quantitativer Bewertungsgrößen. Das Petri-Netz lässt sich zur Generierung stochastischer Zuverlässigkeitskenngrößen nur über eine statistisch aus-gewertete Simulation oder durch die Umwandlung in einen äquivalenten Markov-Prozess auswerten. Hierbei gelten dann die Restriktionen beider Verfahren. So ist nicht jeder Erreich-barkeitsgraph eines Petri-Netzes auch als Markov-Modell lösbar, da die grundlegenden Ei-genschaften eines Markov-Prozesses auch vom Erreichbarkeitsgraph und damit vom Petri-Netz selbst erfüllt werden müssen. Die Eigenschaften und Einschränkungen statistischer Si-mulationen sollen im nächsten Abschnitt diskutiert werden. 2.6.3 Variations-Simulationsmodell - Monte-Carlo-Methode Die Monte-Carlo-Methode basiert auf der Nachbildung einer Problemstellung durch einen stochastischen Prozess in einem Simulationsmodell. Zur Analyse wird das (Ausfall-) Verhal-ten eines Systems, unter Berücksichtigung des stochastischen Charakters der inneren und äu-ßeren Einflussgrößen, über einen Beobachtungszeitraum simuliert. Prozess steuernde Zufalls-größen werden durch Verteilungsfunktionen beschrieben. Der Zufallsprozess wird durch Ge-nerieren von Zufallszahlen mehrfach realisiert. Dabei muss zwischen sequentiellen und nicht-sequentiellen Verfahren unterschieden werden [San-95]. Sequentielle Verfahren berücksichti-gen zeitliche Korrelationen zwischen Systemzuständen. Die statistischen Mittelwerte der Rea-lisationen werden zur Abschätzung des Erwartungswertes der gesuchten Kenngrößen quasi-empirische ausgewertet1. Die nötige Anzahl an Realisationen (Simulationsläufen) hängt vom vorgegebenen Konfidenzintervall sowie der Größe der stochastischen Parameter ab [Lange-99]. Sei ξ die nachzubildende Zufallsgröße und n die Anzahl der Realisationen, dann gilt für deren Erwartungswert E[ξ] Gleichung 2.6.1 bzw. als Nährung Gleichung 2.6.2 [Lian-93].

[ ] ⎟⎠

⎞⎜⎝

⎛= ∑=∞→

n

iin n

E1

1lim ξξ (Gl. 2.6.1)

1 Die Monte-Carlo-Methode wird deshalb häufig auch als Methode der statistischen Versuche bezeichnet.


[ ] ∑=

=n

iin

E1

1~ ξξ (Gl. 2.6.2)

Es muss so lange simuliert werden, bis eine Konvergenz gegen den Erwartungswert eintritt. Für n → ∞ konvergiert die Simulation sicher gegen den Erwartungswert. Damit kann die Monte-Carlo-Methode als eine Art numerische Integration interpretiert werden. Da n in der Praxis beschränkt ist kann der Erwartungswert nur mit einem statistischem Vertrauensniveau bestimmt werden. Das präferierte Einsatzgebiet der Monte-Carlo-Methode ist deshalb die numerische Auswertung vieldimensionaler Probleme mit nicht zu seltenen Ereignissen. Modellierung des Ausfallverhaltens Das Ausfallverhalten des zu untersuchenden Systems kann in Form eines Fehlerbaums, eines Petri-Netzes oder anderen abstrakten Modellen vorliegen. In [Vala-04] beispielsweise wird die auf der Monte-Carlo-Methode basierende Auswertung von dynamischen und statischen Fehlerbäumen diskutiert. Die Berechnung von Zuverlässigkeitskenngrößen von Energiever-sorgungssystemen mit definierten Fehlermodellen der Betriebsmittel wird in [Zdrall-00] dar-gestellt. Das Ausfallverhalten kann auch in einem physikalischen Verhaltensmodell vorliegen. In [Wag-89], [Boll-93] und [Gran-03] wird die Monte-Carlo-Methode kombiniert mit einem physikalischen Netzwerkmodell eines Energieversorgungssystems. Sowohl Fehler, wie Kurz-schlüsse oder Überspannungen samt zugehörigen Verteilungsfunktionen, Alterungen der Be-triebsmittel, sowie Auslösezeiten der Schutzelemente und Wartungsdauern werden in den Modellen berücksichtigt. Mit der Monte-Carlo-Methode werden stochastisch Fehler in das System injiziert, um daraus z.B. die mittlere Zeit von Verbraucherausfällen zu bestimmen. Zur Ermittlung quasi-empirischer Zuverlässigkeitskenngrößen ist diese Kombination aller-dings nur für einfache Systemmodelle geeignet. Bei komplexen dynamischen Vorgängen ü-berlagert sich der Rechenzeitbedarf für kleine Fehlerraten dem Rechenzeitbedarf zur Lösung des Netzwerkmodells, was zu unpraktikabel langen Simulationsdauern führen kann [Boll-93]. Meist ist es vorteilhafter die Verhaltensmodellierung und die Zuverlässigkeitsanalyse zu tren-nen und das Ausfallverhalten in abstrakter Form zu modellieren. Zumindest bei Sicherheits-analysen muss das Ausfallverhalten ohnehin in geeigneter Form dokumentiert werden. Eigenschaften und Einschränkungen Besonderer Vorteil der simulationsbasierten Verfahren ist die hohe Flexibilität. Es lässt sich praktisch jeder Vorgang simulieren, auf den zufällige Faktoren einwirken. Es können nahezu beliebige stochastische Abhängigkeiten und Verteilungsfunktionen modelliert werden. Auch deterministische Zeitabläufe von Ereignissen können berücksichtigt werden. Zur Plausibilisie-rung lassen sich Monte-Carlo-Methoden auch parallel zu analytischen Berechnungen als Kon-trolle verwenden [Lian-93]. Für die Berechnung von Zuverlässigkeitskenngrößen sind der Monte-Carlo-Methode allerdings Grenzen gesetzt. Besonders bei sehr kleinen Fehlerraten, also hochzuverlässigen Systemen und komplexen Verhaltensweisen steigt der Rechenzeitbe-


darf schnell an. Varianzreduzierende Verfahren zur Verkürzung der Simulationszeiten, wie z.B. das „importance sampling“, werden zwar in [Fritz-01] diskutiert, sind jedoch bei mehr-dimensionalen Problemen praktisch nicht anwendbar [Fritz-01]. Letztlich sind durch die qua-si-empirische Kenngrößenermittlung Unschärfen in der Auswertung zu akzeptieren, die sich den ohnehin meist unscharfen Eingangsparametern überlagern. Verschärft wird diese Proble-matik, wenn Sensitivitätsanalysen bei Parameterschwankungen durchgeführt werden müssen, da Simulationen für beliebige Überlagerungen von Parametern notwendig werden. Für hoch-zuverlässige Systeme sind Monte-Carlo-Methoden daher eher ungeeignet, auch weil sich nur schwer abschätzen lässt, wann im Modell die Konvergenz gegen den Erwartungswert eintritt. 2.6.4 Genetische Algorithmen in Zuverlässigkeitsanalysen Evolutionäre bzw. genetische Algorithmen dienen vor allem der Suche und der Optimierung indem sie evolutionäre Prozesse unter besonderer Betonung genetischer Evolutionsmecha-nismen imitieren. Sie gehören zu den stochastischen Optimierungsverfahren. Im Gegensatz zu deterministischen Optimierungsverfahren, wie lineare Regression oder Gradientenverfahren, verwenden sie keine Ableitungsinformationen, sondern nehmen mehr heuristische Funktions-auswertungen vor. Die Streuung der einzelnen Funktionsauswertungen wird dabei von so ge-nannten genetischen Operatoren gesteuert. Für die Effizienz der genetischen Algorithmen ist daher die Konstruktion geeigneter genetischer Operatoren entscheidend. Bild 2.27 veran-schaulicht den prinzipiellen Mechanismus eines evolutionären Algorithmus.

Initialpopulation

Bewertung

Paarungs-selektion

Rekombination

Mutation

Terminierungs-bedingungOptimierungs-

problem

Bewertung

Bild 2.27: Prinzipieller Ablauf eines evolutionären Algorithmus

Ein genetischer Algorithmus startet mit der Generierung einer Initialpopulation, einer zufälli-gen Menge künstlicher Individuen (Lösungsvorschläge) aus dem Lösungsraum, die sich suk-zessive mit den folgenden Generationen weiterentwickeln. Um die Güte der einzelnen Indivi-duen zu bewerten, wird eine dem Problem angepasste Fitnessfunktion verwendet. Der Fit-


nesswert wird bei der Selektion herangezogen, um die besten Individuen einer Generation in die nächste Generation zu übernehmen. Die Fitness eines Individuums ist das Maß, für die Häufigkeit mit der es sich vermehren darf, d.h. in die neu entstehende Population kopiert wird. Schlechte werden nicht weiter verwendet. Lösungen mit hoher Fitness werden durch Kreuzung mit anderen Lösungen vermählt (Rekombination). Weiterhin werden einige Lö-sungsstrings mutiert. Durch stochastische Mutationen werden kleine Veränderungen einiger Individuen generiert, die verhindern, dass sich der Algorithmus auf eine lokales Minima oder Maxima beschränkt. Im Laufe des Evolutionsprozesses werden dann nur die besten Nach-kommen selektiert und weiterentwickelt. Damit wird der Zustandsraum der möglichen Lö-sungen stochastisch nach dem Optimum abgetastet. Das Optimum und die Terminierungsbe-dingung für den Abbruch müssen vorher über bestimmende Zielfunktionen definiert werden. Im Unterschied zur technischen Nutzung ist der biologische Evolutionsprozess1 kein Prozess der eine Optimum als Endziel anstrebt, sondern vielmehr eine optimale Adaptierung an die augenblicklichen und sich verändernden Umweltbedingungen, ein Anpassungsprozess. Anwendungen bei Zuverlässigkeitsanalysen Meist spielen neben der Zuverlässigkeit auch Gewicht, Struktur, Redundanzgrad, Volumen und letztendlich Kosten eine Rolle. Neben einem häufig schon komplexen Zuverlässigkeits-modell kommen bei der Systemsoptimierung dadurch weitere Dimensionen hinzu. Ein naive Lösung eines Such- oder Optimierungsproblems ist die randomisierte Wahl von Elementen des Suchraums. Bei komplexen Problemen ist dies jedoch nicht mehr handhabbar. In [Pain-95] wird der Ansatz diskutiert, unter Verwendung eines evolutionären Algorithmus eine Computersystemarchitektur, dessen Zuverlässigkeitsmodell als Zuverlässigkeitsblockdia-gramm vorliegt, unter verschiedenen Konfigurationsmöglichkeiten zu optimieren. Häufig werden evolutionäre Algorithmen auch zur Ordnungsreduktion von Systemmodellen verwen-det, um die Modellkomplexität zu reduzieren. In [Breik-00] wird das Verhalten einer Flug-zeug-Gasturbine durch einen dynamischen stochastischen Prozess höherer Ordnung beschrie-ben. Da eine sehr große Anzahl von Modellparametern existiert, wird das Modell durch eine evolutionäre Optimierung so reduziert, dass die Parameteranzahl möglichst klein wird, gleichzeitig aber die Vorhersageabweichungen vom Ausgangsmodell nicht zu groß werden. Eigenschaften und Einschränkungen Evolutionäre Algorithmen sind probabilistische Suchverfahren, deren Verhalten die biologi-sche Evolution nachbildet. Sie eignen sich wegen der Art der Suche besonders für hochdi-mensionale stochastische Probleme mit vielen Nichtlinearitäten, Diskontinuitäten oder Ne-benbedingungen. Da sie heuristischer Natur sind garantieren sie nicht das Finden eines globa-len Maximums. Eine starke Zunahme der Suchraumdimensionen, insbesondere bei Mehrziel-

1 Das Evolutionsprinzip der Natur wurde erstmals von Charles Darwin in dem zu seiner Zeit revolutionärem Werk „The Origin of Species“ beschrieben.


optimierungen, führt in der Regel auch zu einer wesentlich vergrößerten Anzahl lokaler Op-tima, wodurch die Konvergenzgeschwindigkeit des Algorithmus stark abnimmt. Eine Aussa-ge wann ein evolutionärer Algorithmus nicht mehr anwendbar ist, kann nicht allgemeingültig erfolgen, sondern muss problemspezifisch untersucht werden. Bislang finden sich erst wenige Arbeiten, die evolutionäre Algorithmen für die Anwendung im Rahmen von Zuverlässigkeits- oder Sicherheitsanalysen untersuchen. 2.6.5 Fuzzy-Methoden – Modellierung von unscharfem Wissen Die bisher diskutierten Methoden berechnen Zuverlässigkeitskennwerte für exakte und ein-deutige Eingangsdaten (Fehlerraten). Da es sich bei Fehlerraten wiederum um Erwartungs-werte von verschiedenen zugrunden liegenden Verteilungsfunktionen handelt, haben diese Parameter prinzipbedingt ein begrenztes Vertrauensniveau, dass bei Zuverlässigkeitsanalysen jedoch meist nicht betrachtet wird. Die Ermittlung oder Angabe von „genauen“ Ausfall- oder Fehlerraten gestaltet sich in einer frühen Phase der Systementwicklung schwierig. Die Ein-gangsdaten sind oft nur in bestimmten Intervallbereichen, unscharf oder als Erfahrungswerte und subjektive Einschätzungen ermittelbar. Daraus resultiert, dass auch die Zuverlässigkeits-prognosen mit gewissen Unsicherheiten behaftet sind. Dennoch sollen auch in einer frühen Entwicklungsphase nachvollziehbare Kenngrößen für fundiert Architekturentscheidungen zur Verfügung stehen. Unsichere Daten, die z.B. nur in Form eines Intervallbereiches vorliegen, sind aber ebenfalls Informationen über ein System. Welche Auswirkungen die Unsicherheiten der Eingangsparameter haben und wie sie sich durch die verschiedenen Modellebenen auf die gesuchten Kenngrößen fortpflanzen, lässt sich untersuchen. In neueren Ansätzen wird hierfür u. A. die Fuzzy-Theorie verwendet. Diese Theorie geht davon aus, die Unschärfe bezüglich bestimmten Wissens modellieren und formal exakt behandeln zu können. Die Theorie unscharfer Mengen kann man als Verallgemeinerung der klassischen Mengenleh-re und die Fuzzy-Logik als Verallgemeinerung der klassischen Logik ansehen. Fuzzy-Logik ist keine unscharfe Logik, sondern eine Logik, um Unschärfe mathematisch zu beschreiben. Die klassische Mengenlehre ist eine Theorie der Schärfe. Elemente gehören zu einer Menge oder nicht. Bei einer Fuzzy-Menge dagegen werden die Elemente x einer Grundmenge G auf der Grundlage eines graduellen Zugehörigkeitsbegriffs bewertet. Die Bewertungsfunktion µA heißt Zugehörigkeitsfunktion von A. Sie definiert auf G die unscharfe (Teil-) Menge A, die durch die Menge aller Paare (x, µA(x))1 mit x ∈ G gegeben ist (Gleichung 2.6.3).

( )( ) ( ) [ ] 1 ,0 , ∈∧∈= xGxxxA AA µµ (Gl. 2.6.3)

1 Dieses Wertepaar wird in der Fuzzy-Theorie auch als Singleton bezeichnet.


Eine Fuzzy-Menge ist immer eine Funktion, die eine Grundmenge in das Einheitsintervall [0, 1] abbildet (Bild 2.28). Diese Grundmenge kann beispielsweise der Intervallbereich eines Parameters sein. Die Zugehörigkeitsfunktion µA gibt für jedes Element x eine ihm eigene Be-wertung an. Je nach Präzision des Bewertungskriteriums ergibt sich die Schärfe der Menge.

µA(x)0 1

Grundmenge G Einheitsintervall

µAx ∈ G

Bild 2.28: Abbildung einer Parametermenge in das Einheitsintervall [Iwe-00]

Der Unterschied zur Wahrscheinlichkeitstheorie besteht darin, dass die Wahrscheinlichkeit die relative Häufigkeit bei wiederholter Durchführung langer Versuchsreihen ausdrückt. Der Zugehörigkeitsgrad µA(x) repräsentiert dagegen die Ähnlichkeit eines Objektes zu unscharf formulierten Eigenschaften bzw. den Grad der Zuordnung eines Elementes zu einer Teilmen-ge. Ein Fuzzy-Element x kann auch mehreren Teilmengen An mit unterschiedlichen Zugehö-rigkeitsfunktionen angehören. Den unterschiedlichen Teilmengen werden dann oft verschie-dene linguistische Variablen zugeordnet, um beispielsweise subjektive Experteneinschätzun-gen zu beschreiben. Die Zugehörigkeitsfunktionen können prinzipiell beliebig sein, meist werden zur einfacheren Handhabung jedoch Standardfunktionen verwendet. Die Beschrei-bung einer trapezförmigen Zugehörigkeitsfunktion ist exemplarisch in Gleichung 2.6.4 ange-geben. l ist der linksseitige, r der rechtsseitige Schnittpunkt mit der Abszisse.

( ) [ ]2

21

1

2

2

1

1

mfür x,mfür x

mfür x1

>∈<

⎪⎪

⎩

⎪⎪

⎨

⎧

−−

−−

= m

mrmx

lmxm

xµA (Gl. 2.6.4)

(m1 - l) bzw. (r - m2) sind Maße für den symmetrischen oder unsymmetrischen Grad der Un-schärfe eines Fuzzy-Intervalls. Für eine trianguläre Fuzzy-Menge fallen m1 und m2 zusam-men. Ist jedes Element x einer Teilmenge A eindeutig zuordenbar, würde man dies durch eine rechteckige Zugehörigkeitsfunktion ausdrücken. Fuzzy-Mengen an sich nützen jedoch wenig. Um aus Ihnen ein anwendbares Werkzeug zu machen, benötigt man eine Arithmetik, die die Beziehungen und Operationen zwischen Fuzzy-Mengen festlegt. Zur Verknüpfung von Fuz-zy-Mengen stehen zwei Verfahren zur Verfügung: zum Einen das Erweiterungsprinzip [Flanz-99] und zum Anderen die Intervallarithmetik, meist dargestellt über das Alpha-Schnitt-verfahren [Längst-03]. Auf deren genaue Darstellung sei jedoch an dieser Stelle verzichtet.


Fuzzy-Ansätze in der Zuverlässigkeits- und Sicherheitsmodellierung Das Wort „fuzzy“ bzw. das Adjektiv „unscharf“ ist im Kontext einer modellhaften Analyse nicht negativ besetzt. Eine unscharfe Modellierung ist keine schlecht ausgeführte Analyse, sondern eine, deren Ansatz auf einer Berücksichtigung von Unsicherheiten beruht. Daher werden Fuzzy-Methoden auch bei Zuverlässigkeits- und Sicherheitsbewertungen verwendet ([Rux-97], [Flanz-99], [Längst-03]). Boolesche Fehlerbäume lassen sich wegen der einfachen mathematischen Operationen in den Strukturgleichungen relativ einfach um Fuzzy-Ansätze erweitern [Cheng-00]. Den Elementarereignissen werden Fuzzy-Wahrscheinlichkeiten zuge-ordnet. Über das Erweiterungsprinzip oder über das Alpha-Schnittverfahren wird die Wahr-scheinlichkeit des Top-Events berechnet. In [Flanz-99] und [Rak-02] werden auch Fuzzy-Petri-Netze erwähnt. Hierbei werden den Transitionen und Marken Zugehörigkeitsgrade zu-geordnet, die zum Überspringen von Schwellwerten genutzt werden. Auch Ansätze Markov-Prozesse um Fuzzy-Modelle zu erweitern, werden in der Literatur diskutiert [Sym-02]. Eigenschaften und Einschränkungen Fuzzy-Erweiterungen beschreiben explizit Unsicherheiten in den Eingangsdaten, d.h. wie sich die Unsicherheiten der Eingangsparameter auf die Unsicherheit des Ergebnisses fortpflanzen. Sie haben damit eine andere Zielsetzung als beispielsweise Sensitivitätsanalysen, die nur die Abhängigkeit des Ergebnisses bezüglich eines Parameters untersuchen. Im Gegensatz zu rei-nen Intervallmethoden [Roc-98] lassen sich mit Fuzzy-Ansätzen nicht nur Intervallbereiche von Parametern berücksichtigen. Der Zugehörigkeitsgrad µ(x) erlaubt es zusätzlich einem Intervallbereich eine Information zum (geschätzten) Vertrauenswert eines enthaltenen Para-meters aufzuprägen. Fuzzy-Ansätze müssen dabei nicht notwendigerweise in der Form mit linguistischen Variablen genutzt werden. Prinzipiell lassen sich alle bisher vorgestellten Me-thoden um Fuzzy-Ansätze erweitern. Meist wird bei der Erweiterung bestehender Methoden das Alpha-Schnittverfahren verwendet, da hier die Auflösung des Ergebnisses frei wählbar ist. Besonders ungenaue Daten, subjektive Einschätzungen und vorhandene Erfahrungen kön-nen mit relativ geringem Aufwand unter Anwendung der Fuzzy-Ansätze modelliert werden. Dies ist zwar in den meisten Fällen auch mit probabilistischen Ansätzen möglich, jedoch mit weitaus größerem Aufwand und ohne höhere Aussagefähigkeit der Ergebnisse. Die einfachere mathematische Behandelbarkeit ist meist der eigentliche Grund für Fuzzy-Methoden.

2.8 Zusammenfassende Diskussion zu Kapitel 2 Wie deutlich wurde, gibt es verschiedene Modellierungsansätze, die für eine quantitative Sys-temanalyse unter Zuverlässigkeits- respektive Sicherheitsgesichtspunkten verwendet werden können. In den vorangegangenen Abschnitten wurden die existierenden Modellierungsmetho-den und erweiternden Ansätze der Zuverlässigkeitstheorie im Bezug auf die aufgestellten Be-


urteilungskriterien aus Kapitel 1 in einer vergleichenden Bewertung diskutiert. Es wurde deut-lich, dass kein Verfahren allein umfassend und flexibel genug ist, um alle möglichen System-eigenschaften geschlossen zu behandeln und zu beurteilen. Welche Methode angewendet wird hängt letztlich von den zugrunde liegenden Fragestellungen und den systemspezifischen Ei-genschaften ab, die modelliert werden sollen. Die Einschränkungen der jeweiligen Methoden legen es nahe, ggf. verschiedene Modellierungsmethoden problemspezifisch zu kombinieren und zu erweitern, um das Ausfallverhalten eines Systems realistisch abbilden zu können.

Degradation auf Komponentenebene

Degradation auf Systemebene

Alterung (beliebige Verteilungsfunktionen)

Zeitliche Abfolge von Mehrfachfehlern

Logische Abfolge von Mehrfachfehlern

Wahrscheinlichkeits-theoretische Prädiktion

Dynamische (adaptive) Strukturänderungen

Fehl

erba

umBl

ockd

iagr

amm

Mar

kov

Hom

ogen

Mar

kov

Inho

mog

en

Sem

i-Mar

kov

Sensitivitätsanalyse (Importanzkenngrößen)

Petri

-Net

z Mod

ell

Dyna

mis

ches

Fehl

erba

umm

odell

Visuelle Darstellbarkeit

Reparierbare Systeme (Verfügbarkeit)

Sim

ulat

ive

Verfa

hren

Kleine Ausfallraten (<10-5 h-1)

Große Systeme (viele Komponenten)

Parts

-Cou

ntM

odel

l

(auc

h Pa

rts-S

tress

)

Zustands- oder Phasenabhängigkeit

Stochastische Abhängigkeiten

Erei

gnis

baum

Erwe

iterte

St

rukt

urm

odel

le

Wah

rhei

tsta

belle

nicht möglich bedingt möglich möglich

Bild 2.29: Matrix der Methodenbewertung


Im Folgenden soll unter den Aspekten aus Kapitel 1 eine geeignete Modellierungsmethode gewählt werden. Im weiteren Verlauf der Arbeit werden dann auf die speziellen Defizite zu-geschnittene methodische Ansätze entwickelt und angewendet. Bild 2.29 illustriert zusam-menfassend die Diskussion und Bewertung der verschiedenen Modellierungsmethoden und deren Analysemöglichkeiten. Auf das Einbringen subjektiver Beurteilungskriterien, wie bei-spielsweise formaler oder zeitlicher Aufwand der Methode, wurde bewusst verzichtet. Zur Erläuterung von Bild 2.29 sei auf die entsprechende Diskussion in Kapitel 2 verwiesen. Die Fuzzy-Methodik und evolutionäre Algorithmen sind nicht explizit aufgeführt, da sie ohnehin nur im Verbund mit den anderen Methoden sinnvoll anwendbar sind. Ergebnis – Auswahl einer geeigneten Modellierungsmethode Aus Bild 2.29 ist ersichtlich, dass Markov-Modelle die größte Übereinstimmung mit den auf-gestellten Beurteilungskriterien haben. Mit Markov-Prozessen können sowohl Ausfallreihen-folgen, stochastische Abhängigkeiten als auch dynamische Strukturänderungen während des Betriebes modelliert werden. Auch lassen sich Abhängigkeiten aufgrund von wechselnden Beanspruchungen oder sich durch bestimmte Faktoren ändernde Übergangsraten erfassen. Sicherheit ist eine globale Systemeigenschaft. Für die Modellierung, Analyse und Bewertung von sicherheitsrelevanten Systemen mit degradierten Modi, was bei Sicherheitskonzepten meist die Folge ist, sind Modelle nötig, die das Systemverhalten global beschreiben. Da ein Markov-Modell die Zustände eines Systems repräsentiert und somit eine Gesamtsystemsicht ermöglicht, ist es gerade für Betrachtungen der Sicherheitseigenschaften geeignet. Aus Bild 2.29 wird deutlich, dass sich Markov-Modell hierzu besser eignen, als die übrigen Methoden, da der Detaillierungsgrad frei gewählt werden kann und komplexe Ausfallszenarien model-liert werden können. Sicherheitsmodelle unterscheiden sich von Zuverlässigkeitsmodellen zum Einen durch die Berücksichtigung umfangreicherer Fehlereinflüsse und zum Anderen durch die Interpretation der Modellergebnisse im Sinne von Gefährdungen bzw. Risiken. Markov Modelle bieten hier die flexibelsten Möglichkeiten bei der Modellierung. Aus diesen Gründen wird hier die Markov-Analyse als Verfahren zur Beurteilung der gut abgrenzbaren Systemstrukturen und komplexen Verhaltensweisen eines Energiebordnetzes favorisiert. Das folgende Kapitel 3 wird anschaulich die Modellierung grundsätzlicher Problemstellungen bei Energiebordnetzsystemen mit Markov-Modellen untersuchen. Zielsetzung wird insbeson-dere auch die Diskussion der noch vorhandenen Defizite sein, die problemspezifisch durch neue und geeignete Ansätze aufgelöst werden müssen.

87

Kapitel 3

Modellierung mit Markov-Prozessen Die Analyse der verschiedenen mathematischen Modellierungswerkzeuge in Kapitel 2 hat verdeutlicht, dass Markov-Prozesse die meisten der in Kapitel 1 aufgestellten Kriterien erfül-len. In diesem Kapitel soll eingehender untersucht und dargestellt werden, wie das Ausfall-verhalten grundlegender Energiebordnetzarchitekturen mit Markov-Modellen beschrieben werden kann. Außerdem sollen insbesondere die Defizite aufgezeigt werden, an denen für die praktische Anwendung geeignete methodische Ansätze entwickelt werden müssen.

3.1 Modellierung von Serien- und Parallelstrukturen 3.1.1 Modellierung einer zuverlässigkeitstechnischen Serienstruktur Bei einem System in Serienstruktur ist die Funktion jeder Komponente notwendig, um die geforderte Funktion zu erfüllen. Als Beispiel sei in Bild 3.1 die elektrische Energieversorgung einer Last über einen Antriebsmotor und einen Generator betrachtet. Der Antriebsmotor habe die Ausfallrate λM und der Generator die Ausfallrate λG.

RM(t), λM RG(t), λGM G LastλM λG

Bild 3.1: Einfache Serienstruktur bestehend aus Generator und antreibendem Motor

In Bild 3.2 a) - d) sind die zugehörigen Markov-Modelle dargestellt. Bild a) beschreibt jeden Komponentenausfall detailliert als eigene Transition. Der resultierende Systemzustand ist in

88 Kapitel 3 Modellierung mit Markov-Prozessen

beiden Fällen identisch, die Vorgeschichte in diesen Zustand ist jedoch unterschiedlich. Bild b) und c) zeigen eine erste Möglichkeit den Zustandsraum zu reduzieren, indem die beiden Ausfallzustände in a) zu einem gemeinsamen Zustand zusammengefasst werden. Die Transi-tion in c) setzt sich dann kombinatorisch aus den beiden Einzelausfallraten zusammen. Aller-dings führt diese Aggregation auf den Verlust an Information über die Vorgeschichte.

OK

Last-ausfall

Last-ausfall

λM λG

OK

Last-ausfall

λM λG

OK

Last-ausfall

λM + λG

Last-ausfall

≥1

FM(t) FG(t)

AusfallAusfall

a) b) c) d)

Bild 3.2: Äquivalenz zwischen Markov-Modellen und Fehlerbaum

Die Markov-Strukturen a) – c) sind dem kombinatorischen ODER-Gatter d) eines Fehler-baums äquivalent. Die Zustandswahrscheinlichkeit PLA(t) im Zustand „Lastausfall“ in c) ent-spricht in d) gerade der Eintrittswahrscheinlichkeit des Top-Ereignisses PTE(t). Dies lässt sich leicht über das Produktgesetz für Wahrscheinlichkeiten zeigen. Für das ODER-Gatter gilt für exponentielle Verteilungen und unabhängige Fehler Gleichung 3.1.1.

( ) ( ) ( ) ( ) ( )t-p11 )exp(1 S1

Λ−=⋅−=⇒−−= ∏=

extRtRtPttP GMTE

n

iiTE λ (Gl. 3.1.1)

GMS

n

ii λλλ +=Λ⇒=Λ ∑

=

mit 1

S (Gl. 3.1.2)

Löst man das entstehende homogene Gleichungssystem für c) z.B. mit der Laplace-Transformation, ergibt sich für PLA(t) Gleichung 3.1.3. Es gilt PLA(t) = PTE(t), übrigens auch für den inhomogenen Fall, d.h. für nicht exponentielle Verteilungen und zeitvariante Raten.

( )( )

( )( ) ( ) ( )ttPtPtP

tPtP

SLALA

OK

S

S

LA

OK Λ−−=⇒⎥⎦

⎤⎢⎣

⎡⋅⎥⎦

⎤⎢⎣

⎡Λ+Λ−

=⎥⎦

⎤⎢⎣

⎡exp1

00

&

& (Gl. 3.1.3)

3.1.2 Modellierung einer zuverlässigkeitstechnischen Parallelstruktur Bei der Parallelstruktur reicht eine funktionstragende Komponente bzw. ein funktionstragen-der Kanal, um die Gesamtfunktion darzustellen. Parallelstrukturen, bei denen jeder Kanal die

Kapitel 3 Modellierung mit Markov-Prozessen 89

volle geforderte Funktion erbringen kann und keine Umschalteinheit vorhanden ist, nennt man auch statische Redundanz. In Bild 3.3 sind als Beispiel zwei Serienstrukturen aus Bild 3.1 parallel geschalten. Jede Serienstruktur bildet einen eigenen funktionstragenden Kanal.

RM1(t), λM1 RG1(t), λG1M1 G1

Last

M2 G2

λM2 λG2

RM2(t), λM2 RG2(t), λG2

λM1 λG1 λK1 = λM1 + λG1

λK2 = λM2 + λG2

Bild 3.3: Parallelstruktur aus zwei Serienstrukturen

Die Ausfallrate eines Kanals λKi berechnet sich aus der Addition der Komponentenausfallra-ten (Gleichung 3.1.2). Das Systemausfallverhalten lässt sich als Markov-Prozess mit vier Zu-ständen modellieren (Bild 3.4). Aus dem Zustand „OK“ gibt es zwei mögliche Fehlersequen-zen, die zu einem Lastausfall führen können: zuerst kann Kanal 1 ausfallen und dann Kanal 2, oder umgekehrt. Das Markov-Modell in Bild 3.4 entspricht dem booleschen UND-Gatter.

OK

AusfallKanal2

AusfallKanal1λK1

λK2

Last-ausfall

&1

FK1(t) FK2(t)

AusfallAusfall

Last-ausfall

λK2

λK1

λers(t)

Bild 3.4: Markov-Modell der Parallelstruktur aus zwei Serienstrukturen1

Auch dies kann leicht gezeigt werden. Die Berechnung der (Un-) Zuverlässigkeit statisch pa-ralleler Systeme basiert auf dem Produktgesetz der Unzuverlässigkeit [Schäf-79]. Die Ein-trittswahrscheinlichkeit des Top-Ereignisses in Bild 3.4 berechnet sich aus der Multiplikation der Wahrscheinlichkeiten der Basisereignisse. Unter der Annahme nicht diversitärer Kanäle, unabhängiger Fehler und exponentieller Verteilungsfunktionen ergibt sich Gleichung 3.1.4.

( ) ( )( ) ( ) ( ) ( )tttttP KK

n

iKiTE λλλ λλ 2expexp21P exp1 TE

1

KKi −+−−=⎯⎯ →⎯−= =

=∏ (Gl. 3.1.4)

1 Die Berechnung der Ersatzrate λers(t) vom Zustand „OK“ in den Zustand „Lastausfall“ (in Bild 3.4 gestri-chelt), darf nicht durch Addition der Kanalausfallraten erfolgen, da die Ausfallrate eines Parallelsystems nicht konstant ist. Die Berechnung der zeitabhängigen Rate einer Sequenz von Fehlern in einem Markov-Modell wird in Kapitel 5 hergeleitet. Sie kennzeichnet das Risiko eines Systemversagens durch sequentielle Mehrfachfehler.


Mit den getroffenen Annahmen lässt sich für das Markov-Modell durch das Differentialglei-chungssystem in Gleichung 3.1.5 beschreiben.

( )( )( )

( )

( )( )( )

( ) ⎟⎟⎟⎟⎟

⎠

⎞

⎜⎜⎜⎜⎜

⎝

⎛

⋅

⎥⎥⎥⎥

⎦

⎤

⎢⎢⎢⎢

⎣

⎡

−−

−

=

⎟⎟⎟⎟⎟

⎠

⎞

⎜⎜⎜⎜⎜

⎝

⎛

tPtPtPtP

tPtPtPtP

LA

AK

AK

OK

KK

KK

KK

K

LA

AK

AK

OK

2

1

2

1

0000000002

λλλλ

λλλ

&

&

&

&

(Gl. 3.1.5)

Löst man das DGL-System z.B. mit der Laplace-Transformation, ergibt sich für die Wahr-scheinlichkeit des Lastausfall PLA(t) Gleichung 3.1.6. Sie ist äquivalent zu Gleichung 3.1.4.

( ) ( ) ( )tttP KKLA λλ 2expexp21 −+−−= (Gl. 3.1.6) Auch für den inhomogenen Fall ist diese Äquivalenz gegeben. Mit dieser Äquivalenz wird es in Kapitel 5 möglich sein, ein Modul eines gegebenen Markov-Modells in einen Fehlerbaum zu transformieren, wenn z.B. die Ereignisketten in einen bestimmten Zustand durch einen Fehlerbaum dargestellt werden sollen. Durch die bereits in Bild 3.2 beschriebene Aggregati-on, hätte sich das Markov-Modell auch zu drei Zuständen vereinfachen lassen (Bild 3.5).

OK2λK

Last-ausfall

&1

FK1(t) FK2(t)

AusfallAusfallLast-ausfall

λK

Ausfall Ki

≥1

FK1(t) FK2(t)

AusfallAusfall

λK1 = λK2 = λK

AusfallKi

Bild 3.5: Parallelstruktur aus zwei Serienstrukturen

Aus Bild 3.4 kann zunächst der Eindruck entstehen, dass die Modellierung mit Markov-Prozessen zu umfangreicheren Modellen führt, als z.B. mit booleschen Modellen. Tatsächlich lassen sich dem Markov-Modell aber auch mehr Informationen darstellen. So kann im Gegen-satz zum Fehlerbaummodell differenziert zwischen den Degradationszuständen unterschieden werden, in denen nur noch ein Kanal zu Verfügung steht1. Insbesondere wenn redundante Kanäle diversitär aufgebaut sind, erweitert dies die Analyse- und Darstellungsmöglichkeiten. Aus Bild 3.5 wird deutlich, dass die detaillierte Beschreibung des Ausfallverhaltens, unter Berücksichtigung des degradierten Zustandes, bereits zwei Teilfehlerbäume erfordert. Dage-gen ist zur Beschreibung des gleichen Ausfallverhaltens nur ein Markov-Modell nötig. Zu-sätzlich enthält das Markov-Modell die Information über die zeitliche Abfolge der Fehler.

1 Eine Leistungsminderung unter Aufrechterhaltung der Verfügbarkeit des Systems nennt man auch einen „sanf-ten Leistungsabfall“ (englisch „graceful degradation“) [Cin-79].


3.2 Modellierung abhängiger Fehler Man kann zwei Gruppen abhängiger Fehler unterscheiden. Die erste Gruppe sind die Com-mon Cause Failure, bei denen durch die Einwirkung einer Ursache mehrere Elemente ge-meinsam ausfallen. Die zweite Gruppe sind Folgefehler. Hier führt der Ausfall eines Elements durch Abhängigkeiten mittelbar zum Ausfall eines oder mehrerer weiterer Elemente. 3.2.1 Folgefehler - Ausfallabhängigkeiten durch Mehrbelastung Oft ist die Belastung eines fehlertoleranten Systems derart auf dessen Einheiten verteilt, dass der Ausfall einer Komponente eine Mehrbelastung der verbleibenden Einheiten bedeutet, was bei diesen zu steigenden Fehlerraten führen kann. Das Ausfallverhalten dieser Komponenten ist dann korreliert. Derartige Systeme werden auch als warme Redundanz bezeichnet. Die Modellierung von Ausfallabhängigkeiten durch Mehrbelastung sei an dem Beispiel der Last-flussaufteilung bei einem elektrischen Energieübertragungssystem in Bild 3.6 verdeutlicht.

L1

L2

Ln

.

.

.

PÜ PÜ

Bild 3.6: Beispiel eines lastaufteilenden Energieübertragungssystems Die Belastung durch die Übertragungsleistung sei PÜ. Sind alle Übertragungsleitungen intakt, verteilt sich PÜ gleichmäßig, d.h. pro Leitung PÜ/n. Fällt nun eine Übertragungsleitung aus erhöht sich eine Leitungsbelastung auf PÜ/(n-1). Das Ausfallgeschehen der n Leitungsstränge ist stochastisch abhängig. Für die weiteren Betrachtungen soll die Abhängigkeit der Ausfallra-ten der einzelnen Leitungen durch die nachfolgenden Beziehungen beschrieben werden.

Keine Leitung defekt → λ0

1 Leitung ausgefallen → 01 1λλ

α

⎟⎠⎞

⎜⎝⎛

−=

nn

(n-1) Leitungen ausgefallen → ( ) 01 λλ αnn =−

Mit wachsender Anzahl von Ausfällen nimmt die Ausfallrate einer Leitung abhängig von α durch die veränderte Lastflusssituation und die Mehrbelastung pro Leitung zu. In [VDI-4008-9] wird die Ausfallwahrscheinlichkeit FS(t) dieses Systems beschrieben durch eine allgemeine


Erlangsche Verteilung mit n Stufen. In mathematisch äquivalenter Weise jedoch deutlich an-schaulicher kann dieser Sachverhalt auch durch das homogene Markov-Modell in Bild 3.7 beschrieben werden. Die einzelnen Leitungsausfälle werden hier als sequentielle Ereignisse eines stochastischen Prozesses gedeutet, die die Transitionen des Prozesses parametrieren.

OK 1nλ0

2 nn - 1( ) 0λαn( ) 01

1 λα

⎟⎠⎞

⎜⎝⎛

−−

nnn

. . .

Bild 3.7: Markov-Modell des lastaufteilenden Energieübertragungssystems

Wegen des Exponentialcharakters des homogenen Markov-Prozesses ist diese Modellierung der Beschreibung durch die Erlangsche Verteilung völlig äquivalent. Die Zustandsbezeich-nungen kennzeichnen die jeweilige Anzahl ausgefallener Leitungen.

Sensor 1

VESensor 2

Sensor 3

Bild 3.8: 2 aus 3 Struktur mit Voter-Element als CCF 3.2.2 Explizite Berücksichtigung von Redundanz überbrückenden Fehlern CCF sind oft einer probabilistischen Modellbildung nicht zugänglich (Kapitel 1.2). Sie lassen sich quantitativ berücksichtigen, wenn die Ursache der CCF einem statistisch beschreibbaren, nicht vermeidbaren Hardwarefehler zugeordnet werden kann (Single-Point-Failure). Beispiel wäre ein elektrischer Kurschluss, der mehrere Kanäle überbrückt, oder das Voter-Element VE einer 2-aus-3 Sensorauswahl, deren prinzipielle Struktur in Bild 3.8 dargestellt ist.

0 1 A3 λ 2 λ

0 1 A3 λ(1) 2 λ(1)

3 λ(2)

λ(3)

λ(2)

a) b) Bild 3.9: Explizite Berücksichtigung von CCF in einem Markov-Modell


Bild 3.9 a) zeigt das Markov-Modell dieses 2-aus-3 Systems ohne Berücksichtigung von CCF, mit der Annahme, dass alle Elemente gleiche Fehlerraten aufweisen. Die Einbindung von CCF in das Markov-Modell kann durch zusätzliche Transitionen geschehen, welche die Redundanzwirkung des 2-aus-3 Systems überbrücken (Bild 3.9 b)). Dabei können verschie-dene theoretisch denkbare Fehlerprozesse betrachtet werden. Im Zustand 0 sind alle drei Ein-heiten funktionsfähig. Aus dem Zustand 0 heraus gibt es drei mögliche Fehlerprozesse, die miteinander konkurrieren: drei unabhängige Fehler (3λ(1)), drei jeweils zwei Komponenten betreffende Fehler (3λ(2)), sowie einen alle drei Komponenten betreffenden Fehler (λ(3), z.B. Ausfall des Voters). Aus dem Zustand 1 heraus sind zwei konkurrierende Fehlerprozesse denkbar: zwei unabhängige Fehler (2λ(1)) sowie einen zwei Komponenten betreffenden Fehler (λ(2)). Unter Umständen wird sich nicht jeder dieser Fehlerprozesse quantitativ beschreiben lassen, obwohl sie möglicherweise erheblichen Einfluss auf das Ausfallverhalten ausüben. Das macht deutlich, dass CCF soweit wie möglich sicher vermieden werden müssen. Die ex-plizite Berücksichtigung von Redundanz überbrückenden Fehlern ist ereignisspezifisch. Strukturelle bzw. funktionelle Abhängigkeiten werden durch eine jeweils eigene Rate para-metriert. Diese ist unabhängig von den übrigen Transitionsraten. Dadurch werden physikali-sche Wechselbeziehungen im System beschrieben, die zu gekoppelten Fehlern führen.

3.2.3 Implizite Modellierung abhängiger Fehler - β-Faktor Modell Implizite Methoden zur Berücksichtigung von abhängigen bzw. Redundanz überbrückenden Fehlern erfassen gekoppelte Ausfälle als nicht vermeidbare Restanteile einer Basisfehlerrate. Hierbei muss unterschieden werden zwischen einem Fehlerprozess, der immer alle n Kompo-nenten einer Redundanzschaltung erfasst, sowie einem Fehlerprozess, der nur Teile der Re-dundanzschaltung beeinflusst. Der erste Fall führt auf das schon in Kapitel 2.3 vorgestellte β-Faktor Modell. Der zweite Fall wird durch zusätzliche Parameter beschrieben und deshalb auch Multiple-Greek-Letter-Model (MGL-Modell) genannt. Das MGL-Modell ist somit nur bei n-kanaligen Systemen mit n > 2 relevant und wird in Abschnitt 3.2.4 diskutiert.

β.λ

(1-β).λ (1-β).λ

b)a)

0 1 2 λ

β.λ

3.(1-β).λ A2.(1-β).λ

β.λ

Bild 3.10: β-Faktor Modell im Markov-Prozess


Bild 3.10 b) zeigt die Integration des β-Faktors in einen Markov-Prozess für eine dreikanalige nicht diversitäre Redundanzschaltung. Der β-Faktor ist jeweils der Anteil der Transitionsrate, der gleichzeitig auf alle Kanäle wirkt. Dieses Modell beschreibt parametrisch den Anteil von Fehlern einer Komponente, die sich auf die anderen Komponenten der Redundanzschaltung auswirken (Bild 3.10 a). Das β-Faktor Modell ist im Grunde simpler Natur, lässt sich aber bei vielen Problemstellungen einsetzen. Beispielsweise kann der Ausfall eines Kondensators oder einer Diode zum Teil als Kurzschluss und zum Teil hochohmig erfolgen. Da beide Fehlerbil-der nicht gleichzeitig auftreten können, kann die Basisfehlerrate prozentual aufgeteilt werden. 3.2.4 Implizite Modellierung abhängiger Fehler - MGL-Modell Eine Erweiterung des β-Faktor Modells ist das MGL-Modell. Beim MGL-Modell werden nicht nur gekoppelte Ausfälle zugelassen, die alle Komponenten betreffen, sondern auch Feh-lerkopplungen auf Teilmengen der Redundanzgruppe. Da diesen Kopplungen in der Regel verschiedene Fehlermechanismen zu Grunde liegen, werden sie jeweils durch einen eigenen Parameter beschrieben. Mit Gleichung 3.1.7 [Mock-02] lassen sich die MGL-Faktoren für einen beliebigen Grad an Redundanz berechnen. Es sei als Beispiel n = 3 betrachtet.

( ) λλ ⋅Φ−⋅⎟⎟⎠

⎞⎜⎜⎝

⎛Φ⋅

⎟⎟⎠

⎞⎜⎜⎝

⎛−−

= +=

∏ 11

1

11

1k

i

k

ik

kn

(Gl. 3.1.7)

n sei die Anzahl der redundanten Komponenten und k die Teilmenge der Redundanzgruppe, die von einer bestimmten Fehlerkopplung betroffen ist (n>k>1). Für Φ gilt die Notation Φ1 = 1, Φ2 = β und Φ3 = γ. Schrittweises auflösen liefert die Gleichungen 3.1.8 – 3.1.10.

( ) λβλ ⋅−== 11k (Gl. 3.1.8)

( ) λγβλ ⋅−⋅⋅== 121

2k (Gl. 3.1.9)

λγβλ ⋅⋅==3k (Gl. 3.1.10)

Einsichtig wird, dass das β-Faktor Modell gerade ein Spezialfall des MGL-Modells ist (für n = 2). Bild 3.11 a) veranschaulicht die Wirkung der aufteilenden MGL-Faktoren anhand von Venn-Diagrammen. Bild 3.11 b) zeigt die Übertragung auf einen Markov-Prozess.


0 1 2

b)a)

β.γ.λ½.β.(1-γ).λ

3.(1-β).λA

λ

3.β.γ.λ

β.(1+γ).λ

(1-β).λ 3.β.(1-γ).λ

(2-β.(1+γ)).λ

λ

λ

λ

Bild 3.11: Multiple-Greek-Letter-Model übertragen auf einen Markov-Prozess

Beim Markov-Modell wurde ein dreikanaliges nicht diversitäres Redundanzsystem zugrunde gelegt. Die Richtigkeit der Übertragung lässt sich leicht prüfen. So müssen, wegen der para-metrischen Aufteilung der Fehlerraten, die Faktoren aller abgehenden Transitionen eines Zu-standes Eins ergeben. Man erkennt, dass Bild 3.11 b) eine aggregierte aber dennoch anschau-liche Art ermöglicht, die möglichen Fehlerprozesse darzustellen und zu beschreiben. In wieweit gekoppelte Fehler in expliziter oder impliziter Form berücksichtigt werden kön-nen, hängt aber letztlich auch vor allem von den zur Verfügung stehenden Daten ab.

3.3 Modellierung einer nicht perfekten Fehlererkennung 3.3.1 Fehlerprozess bei entdeckten und unentdeckten Fehler In Abschnitt 1.1.4 wurde erläutert, dass neben den Fehlerraten auch die Eigenschaften der Eigenfehlererkennung erheblichen Einfluss auf das Erreichen oder die Vermeidung gefährli-cher Zustände haben. Die drei wesentlichen Größen werden folgend kurz rekapituliert. Zur Erläuterung der Zusammenhänge sei auf das Bild 1.4 verwiesen.

Die Testrate rT beschreibt, wie häufig ein Test auf einen bestimmten Fehler innerhalb eines Test-Zeitintervalls TT durchgeführt wird.

Der Diagnostic Coverage Factor C ist die bedingte Wahrscheinlichkeit einen Fehler zu entdecken, nachdem er aufgetreten ist.

Die Anforderungsrate rD beschreibt die Häufigkeit, mit der ein Betrieb des sicherheits-relevanten (Schutz-) Systems angefordert wird.

Ob ein Test innerhalb eines bestimmten Zeitintervalls ∆t durchgeführt wird, lässt sich als Wahrscheinlichkeit PT über Gleichung 3.1.11 ausdrücken.


trT

tP TT

T ∆⋅=∆= (Gl. 3.1.11)

Über Gleichung 3.1.11 und C kann die Wahrscheinlichkeit eines entdeckten Fehlers innerhalb ∆t (PE) mit Gleichung 3.1.12 und die Wahrscheinlichkeit eines unentdeckten Fehlers (PU) mit Gleichung 3.1.13 beschrieben werden. C wird analog zum β-Faktor Modell verwendet.

trCPCP TTE ∆⋅⋅=⋅= (Gl. 3.1.12)

( ) ( ) trCPCP TTU ∆⋅⋅−=⋅−= 11 (Gl. 3.1.13)

Durch die Beschreibung als Wahrscheinlichkeiten lassen sich PT, PE und PU direkt als Über-gangswahrscheinlichkeiten in einen Markov-Prozess übertragen (Bild 3.12 a)).

0rD

. ∆t

C . rT. ∆t

1

AE

AU(1-C) . rT. ∆t

0rD = λ

C . rT

1

AE

AU(1-C) . rT

a) b) Bild 3.12: Fehlerprozess unter Berücksichtigung entdeckter und unentdeckter Fehler

Durch Bezug auf das Zeitintervall ∆t werden die Übergangswahrscheinlichkeiten zu Über-gangsraten eines zeitkontinuierlichen Markov-Prozesses (Bild 3.12 b)). Im Zustand 0 ist das System fehlerfrei. Im Zustand 1 ist ein Fehler aufgetreten, auf den allerdings noch nicht getes-tet wurde. Im Zustand AE wurde dieser Fehler erkannt, im Zustand AU nicht. Dabei liegt die Annahme zugrunde, dass ein Fehler, der einmal nicht erkannt wurde auch in Zukunft nicht mehr erkannt wird. Dies ist zwar bei der Bewertung eine konservative Annahme, im Rahmen von Sicherheitsanalysen ist dies jedoch durchaus zweckmäßig. Arbeitet die Fehlererken-nungseinrichtung kontinuierlich bzw. quasi-kontinuierlich, ist rT⋅∆t gleich 1 und C könnte wie der β-Faktor zur Fallunterscheidung der abgehenden Transitionsrate aus 0 genutzt werden. 3.3.2 Falsche Erkennung eines Fehlers Neben der Möglichkeit, dass ein Fehlers nicht entdeckt wurde, gibt es auch die Möglichkeit, dass ein anderer Fehler erkannt wurde, als aufgetreten ist. Das System könnte in Folge dessen


nicht angemessen reagieren oder sogar in einer Weise, die zu zusätzlichen Gefahren führt. Auch die falsche Erkennung eines Fehlers lässt sich durch eine Fallunterscheidung analog zu Bild 3.12 modellieren. Aus dem Zustand AE heraus würden sich hierzu weitere zwei oder mehrere konkurrierende Transitionen einfügen lassen, die die Möglichkeit eines richtigen oder falsch erkannten Fehlers beschreiben würden. Voraussetzung ist hier ebenfalls, dass sich der Prozess einer falschen Fehlererkennung durch Übergangsraten parametrieren lässt. 3.3.3 Bedeutung der Anforderungsrate rD rD ist die Rate, mit der die Funktion der Eigenfehlererkennung „angefordert“ wird. In Bild 3.12 b) entspricht rD gerade der Fehlerrate λ. Dies muss nicht immer der Fall sein. Bei einem mehrstufigen Prozess kann rD auch die Rate über mehrere Zustände hinweg sein, oder die Rate in eine Gruppe von Zuständen. rD ist eine Größe, die in der Regel nicht angegeben wird, sondern meist aus dem Modell bestimmt werden soll (Kapitel 6). Sie ist eine Kenngröße, wie häufig eine Schutzeinrichtung respektive die Eigenfehlererkennung tätig werden muss. Je häufiger eine Schutzeinrichtung ansprechen muss, also je unzuverlässiger dass System ist, desto höher sind die Anforderungen an die Zuverlässigkeit der Eigenfehlererkennung.

3.4 Modellierung zeitlich begrenzter Systemzustände In mobilen Energiebordnetzen sind häufig Energiespeicher integriert, die im Falle eines Gene-ratorausfalls eine zeitlich begrenzte elektrische Versorgung sicherheitstechnisch relevanter Verbraucher gewährleisten sollen (siehe z.B. Bild 1.7). Energiespeicher wie Batterien verän-dern somit das Ausfallverhalten, da neue zeitlich begrenzte Systemzustände entstehen. Das System hat während der Entladung des Energiespeichers die Zeit, vorher aufgetretene Fehler zu entdecken und durch ein Fehlermanagement gesteuert in einen sicheren Zustand über zu gehen. Zeitlich begrenzte Zustände können auch durch Sicherheitskonzepte entstehen, wenn ein System, das sich in einem degradierten Zustand befindet, nicht sofort in einen sicheren Zustand übergeht, sondern noch eine begrenzte Zeit betrieben wird. Während eines zeitlich begrenzten Zustandes besteht dann die Gefahr, dass parallel auch wei-tere Fehler auftreten. Zeitlich begrenzte Zustände können in einem Markov-Prozess durch die Beschreibung über mittlere Verweildauern modelliert werden. Im homogenen Fall ist die Verweildauer in einem Zustand eine exponential verteilte Zufallsvariable (siehe Gleichung 2.4.20). Die mittlere Aufenthaltszeit kann über Gleichung 2.4.21 und Gleichung 2.4.22 für mehrere Folgezustände j0, j1, ..., jn nach Gleichung 3.1.14 berechnet werden.


[ ]∑

=

= n

kijk

iTE

1

1

λ (Gl. 3.1.14)

Die mittlere Verweilzeit in einem Zustand i wird parametriert durch die Summe aller abge-henden Raten. Bild 3.13 zeigt ein einfaches Beispiel. In Bild 3.13 a) ist das Markov-Modell abgebildet, Bild 3.13 b) illustriert zum besseren Verständnis das zugrunde liegende System.

λG⋅ (1-C)

0

1

A2

λG⋅C

1´

λV + χB

S A1

λVχB

G

E[TB] = 1/χB

FEC

λG

λV

a) b) Bild 3.13: Modellierung eines zeitlich begrenzten Systemzustandes

Aus dem Zustand 0 gibt es den Pfad des entdeckten Generatorausfalls in den Zustand 1 und den Pfade des unentdeckten Generatorausfalls in den Zustand 1´. Aus dem Zustand 1´ führt sowohl die unentdeckte Batterieentladung mit der Entladerate χB (ermittelt aus dem Kehrwert der mittleren Batterieentladungszeit E[TB]), als auch der Ausfall des Verbrauchers mit der Ausfallrate λV in den ausgefallenen Zustand A2. Für die mittlere Batterieentladungszeit E[TB] muss ein bestimmtes Entladeszenario durch den Verbraucher angenommen werden. Im ande-ren Pfad wird der Verbraucher durch die Fehlererkennungseinheit (FE) spätestens nach E[TB] in den sicheren Zustand S überführt, wenn nicht das System vorher durch einen Verbraucher-ausfall dennoch ausfällt. Da meist χB >> λV gilt entspricht die Verweildauer im Zustand 1 und 1´ näherungsweise der Batterieentladungszeit E[TB]. Da E[TB] eine Zufallsvariable ist, lassen sich allerdings keine zeitlich deterministisch begrenzten Zustände modellieren. Vielmehr muss der Ansatz so interpretiert werden, dass bei einer großen Anzahl von Bordnetzen eine Speicherentladung im Mittel E[TB] lang dauert. In der Praxis muss dies jedoch keine Ein-schränkung sein, da meist ohnehin Schwankungen bei der Entladezeit auftreten. Einschrän-kend ist jedoch, dass diese zeitlich begrenzten Zustände Exponentialcharakter aufweisen. Mit diesem Ansatz lassen sich auch gezielt zulässige Aufenthaltsdauern in zeitlich begrenzten Zuständen bestimmen, beispielsweise wie lange ein System in einem degradierten Zustand überhaupt noch betrieben werden darf, bevor das Risiko, durch einen Folgefehler in einen gefährlichen Zustand zu kommen, unvertretbar hoch wird (siehe Kapitel 6.4).


3.5 Modellierung von Reparaturen und Inspektionen 3.5.1 Modellierung perfekter Reparaturen In Kapitel 2.4.2 wurde diskutiert, dass die Übergänge j → i in der Generatormatrix als Repa-raturen aufgefasst werden können, während die Übergänge i → j Fehler sind. Ein exemplari-sches Reparaturmodell für ein symmetrisches zweikanaliges System zeigt Bild 3.14.

2⋅λ⋅ (1-C)

0 1

A

2 ⋅λ⋅C

λ

System vollfunktionsfähig

Ein Kanal ausgefallen

System vollfunktionsunfähig

µ2

µ1

Bild 3.14: Fehlerprozess unter Berücksichtigung von perfekten Reparaturen

Die Reparaturen sind durch die Reparaturraten µ1 bzw. µ2 ausgedrückt. Im Bild 3.14 ist eine sequentielle Reparatur modelliert. Aus dem Zustand A nach 1 gilt die Reparaturrate µ2, aus dem Zustand 2 nach 1 die Rate µ1. Das entspricht dem Umstand einer partiellen Reparatur. In Bild 3.14 ist beispielhaft auch eine „Coverage-Übergang“ zur Berücksichtigung eines „Sin-gle-Point-Failures“ eingefügt, der zu einem Ausfall beider Kanäle führt. Da in der Regel µ >> λ gilt, wird die mittlere Aufenthaltszeit in einem fehlerbehafteten Zustand fast ausschließlich durch µ dominiert. Die mittlere Verweilzeit im Zustand 1 bzw. A lässt sich deshalb nähe-rungsweise als mittlere Instandsetzungszeit interpretieren, wenn der Einfluss der Fehlerrate λ vernachlässigt wird. Mittlere Instandsetzungszeit bedeutet hierbei, dass eine Reparatur mit rund 63%iger Wahrscheinlichkeit in der Zeit 1/µ erfolgen kann. Diese Größe wird auch als Mean Time To Repair (MTTR) oder Reparierbarkeit [MBB-71] bezeichnet. Eine Reparaturra-te kann auch zeitvariant modelliert werden. Praktisch würde dies bedeuten, dass die Reparatur mit zunehmendem Systemalter länger dauert. Ist die Reparaturzeit zustandsabhängig, kann die Reparatur auch durch Semi-Markov-Prozesse beschrieben werden. 3.5.2 Modellierung nicht perfekter Reparaturen Da auch Reparaturen und Inspektionen nicht perfekt sein können, ließe sich über das β-Faktor-Modell auch eine Fallunterscheidung bei den Reparaturraten realisieren. Als Folge


einer erfolgreichen Reparatur wird das System in den Ausgangszustand zurückversetzt. Meist wird davon ausgegangen, dass sich das System dann wieder im neuen und fehlerfreien Zu-stand befindet. Als Folge einer nicht erfolgreichen Reparatur würde das System entweder im gleichen fehlerbehafteten Zustand verbleiben, oder aber nach einer Teilreparatur in einen an-deren fehlerbehafteten Zustand übergehen. Da die Modellierung analog zu Bild 3.12 erfolgen würde, wird auf eine beispielhafte Darstellung einer nicht erfolgreichen Reparatur verzichtet. 3.5.3 Einfluss periodischer und nicht periodischer Inspektionen Neben Reparaturen können auch Inspektionen einen erheblichen Einfluss auf die Zuverlässig-keit eines Systems ausüben. Periodische Inspektionen dienen vor allem dazu, vom System selbst nicht entdeckte Fehler zu erkennen und Verschleißfehler, die sich durch Abnutzungser-scheinungen an Komponenten meist frühzeitig ankündigen, zu vermeiden. Sowohl periodi-sche als auch nicht periodische Inspektionen von alternden und nicht alternden Systemen, lassen sich mit Markov-Modellen durch die in Bild 2.13 dargestellte Zeitphasensegmentie-rung modellieren. Dies setzt voraus, dass die Inspektionsintervalle nicht stochastisch sondern deterministisch sind. Im einfachsten Fall, bei periodischen Inspektionen an einem nicht al-ternden System, lassen sich die Ergebnisse bis zur ersten Inspektion periodisch fortsetzen.

F(t)

λ=konstantλ=λ(t)

t Bild 3.15: Zeitlicher Verlauf der Ausfallwahrscheinlichkeit bei periodischen Inspektionen

Bild 3.15 zeigt linear vereinfacht den potentiellen Zeitverlauf von F(t) bei nicht alternden Komponenten (λ = konstant) und bei alternden Komponenten (λ = λ(t)). Nach einer Inspekti-on beträgt die Ausfallwahrscheinlichkeit zunächst Null. Im Falle eines alternden Systems steigt die Ausfallwahrscheinlichkeit umso schneller je älter das System ist. Inspektionen sen-ken nicht die Ausfallrate, verringern aber das Risiko unentdeckter Fehler während des Einsat-zes insbesondere bei verschleißenden Systemen. Sie führen jedoch auch zu erhöhten Einsatz-kosten. Durch die modellhafte Berücksichtigung von Inspektionen lassen sich optimale In-spektionsintervalle z.B. für den Präventivtausch von Verschleißteilen bestimmen. Auch nicht perfekte Inspektionen lassen sich modellieren, wenn nach einer erfolgten Inspektion eine Wahrscheinlichkeit für den Start aus einem fehlerbehafteten Zustand berücksichtigt wird.


3.6 Modellierung eines dynamisch redundanten Systems Die Modellierung der statischen Parallelstruktur (heiße Redundanz), wurde in Abschnitt 3.1.1 diskutiert. Abhängigkeiten bei einer warmen Redundanzstruktur können durch den Ansatz in Abschnitt 3.1.2 (gekoppelte Fehlermechanismen) modelliert werden. Als letztes relevantes Beispiel soll noch die Modellierung einer dynamisch redundanten Struktur diskutiert werden, hier im Besonderen der passiven (kalten) Redundanz. Besonderes Kennzeichen dynamisch redundanter Systeme ist ihre Adaptivität. Sie passen sich selbstständig bestimmten Fehlersitu-ationen an. Um dies zu ermöglichen sind zusätzliche Umschaltpfade und Fehlererkennungs-einrichtungen notwendig. Bei der passiven Redundanz wird nach Ausfall der ersten Einheit auf die Reserveeinheit umgeschaltet (siehe Bild 2.9). Die Systemzuverlässigkeit ist somit auch von der Zuverlässigkeit des Umschalters und der Eigenfehlererkennung abhängig. Dy-namische Redundanzen führen darüber hinaus zu einer sprunghaften Veränderung der Sys-temstruktur. Damit verbunden sind meist auch Sprünge in den Verläufen der Ausfallraten. Die Umschalteinrichtung und die Eigenfehlererkennung führen zu zusätzlichen Ausfallursa-chen, die den durch Redundanz erzielten Zuverlässigkeitsgewinn schmälern. Insbesondere wird das Ausfallverhalten abhängig von der Reihenfolge der auftretenden Fehler (siehe Kapi-tel 2.3.2). Das Ausfallverhalten der passiven Generatorredundanz mit Primär- und Sekundär-generator aus Bild 2.9 soll im Folgenden mit einem Markov-Prozess modelliert werden. Im Besonderen werden Fehler der Eigenfehlererkennung und des Umschalters sowie die Auftre-tensreihenfolge der Fehler berücksichtigt. Auf die Funktion und das spezifische Ausfallver-halten des Systems sei auf das Kapitel 2.3.2 verwiesen. Bild 3.16 illustriert das Ausfallverhal-ten der passiven Generatorredundanz mit Primär- und Sekundärgenerator als Markov-Prozess.

0

1

8

λSE

2 3

54

7 96 10

λG1 λG2

λG2λG2

λG1

λSE

λG1

λUS

λUS

Bild 3.16: Markov-Modell des Standby-Systems aus Bild 2.9

Das Auftreten eines Fehlers wird durch die Auftretensrate λ beschrieben. Die Indizes kenn-zeichnen die entsprechend fehlerhafte Komponente. Die Zustände 1 bis 5 sind Zustände, in


denen das System trotz aufgetretener Fehler die volle energietechnische Versorgung erbringen kann. In den Zuständen 6 bis 10 findet dagegen keine energietechnische Versorgung des Verbrauchers mehr statt. Es wird ersichtlich, dass die Abhängigkeit des Ausfallverhaltens vom Auftretenszeitpunkt eines Fehlers im Markov-Prozess transparent berücksichtigt werden kann. Beispielsweise ergibt sich aus dem Ausfall der Eigenfehlererkennung (λSE) und der Verklemmung des Umschalters (λUS) aus dem Zustand 0 eine erheblich Auswirkung, da eine Umschaltung nach dem Ausfall des Primärgenerators nicht mehr möglich ist. Dagegen sind diese Fehler im Zustand 2 unbedeutend für die weitere Systemfunktion. Die Berücksichtigung dieses Sachverhaltes war mit dem booleschen Fehlerbaum in Bild 2.10 nicht möglich. Durch den Fehlerbaum in Bild 2.10 wurden aufgrund der rein kombinatorischen Verknüpfung auch Zustände als schlecht bewertet, die nur bei speziellen Ereignisfolgen relevant sind. Veränderte Konfigurationen der Systemstruktur sind in einem Markov-Modell implizit in den Zuständen beschreibbar. Daraus resultiert, dass beispielsweise einer Komponente in verschie-denen Fehlerpfaden unterschiedliche Fehlerraten zuordenbar sind. So lassen sich durch unter-schiedliche Fehlerpfade auch möglich Sprünge in den Verläufen von Fehlerraten darstellen.

3.7 Kurze Zusammenfassung zu Kapitel 3 3.7.1 Modellierungsmöglichkeiten mit Markov-Modellen Bild 3.17 stellt die relevanten zeitlichen Größen bei Zuverlässigkeitsbetrachtungen unmaß-stäblich dar. Wie in Abschnitt 3.1 gezeigt wurde, lassen sich alle Größen mit einem Markov-Prozess beschreiben respektive bestimmen. Als Wartezeit kann z.B. die Fehlererkennungszeit oder ein anderer zeitlich begrenzter Zustand verstanden werden. Für die weitere Erläuterung der Abkürzungen sei auf das Abkürzungsverzeichnis am Anfang der Arbeit verwiesen.

MTTF

Störungsfreier Betrieb Wartezeit Reparaturzeit

1. Fehler 2. FehlerReparatur Wieder-inbetriebnahme

Störungsfreier Betrieb

MTTR

MDT MUT

MTBF

Inbetriebnahme

t

Bild 3.17: Beziehungen zwischen zeitlichen Größen der Zuverlässigkeitstheorie


In diesem Kapitel wurden die sehr umfassenden Möglichkeiten der Markov-Modellbildung bei der Beschreibung des Ausfallverhaltens von elektrischen Energiebordnetzsystemen disku-tiert. Es wurde deutlich, dass mit homogenen Markov-Prozessen fast alle wichtigen (Ausfall-) Verhaltensweisen modelliert werden können, die bei fehlertoleranten Energiebordnetzsyste-men relevant sind. Aufgrund der zugrunde gelegten Exponentialverteilung für alle Zufallszei-ten sind bei homogenen Markov-Prozessen alle möglichen Systemvarianten bzw. Abhängig-keiten zulässig. Alle Redundanzarten mit verschiedenen Untervarianten sind möglich. Obwohl Markov-Prozesse im mathematischen Sinne gedächtnislos sind, kann mit Ihnen die zeitliche Evolutionsgeschichte von Fehlerszenarien insbesondere von Fehlerabhängigkeiten modelliert werden. Während die Erweiterung von booleschen Modellen, um Abhängigkeiten zu modellieren, sehr schnell an Übersichtlichkeit verliert, lassen sich mit Markov-Prozessen auch noch komplexe Abhängigkeiten anschaulich und transparent modellieren. Zu Einschrän-kungen führen Alterungseffekte bzw. zeitabhängige Übergangsraten, die mit homogenen Mo-dellen nur durch Zeitphasensegmentierung approximiert werden können (siehe auch Kapitel 2.4.3), als auch zustandsabhängige Übergangsraten, die mit homogenen Modellen nicht be-schreibbar sind. Hier sind Semi-Markov-Prozesse zweckmäßig (siehe Kapitel 2.4.3). 3.7.2 Defizite und weitere Ansatzpunkte Erstellung eines Markov-Modells Es ist nicht trivial, die möglichen Zustände und Zustandsübergänge eines Systems ohne ge-eignete Systematik zu identifizieren und mit einem Markov-Modell zu beschreiben. Die vie-len möglichen Fehlerereignisse und der deswegen meist schnelle Anstieg des Zustandsraums, setzen eine intensive Strukturierungsarbeit der vorhandenen Fehler und Zustände voraus. Deswegen wird das folgende Kapitel 4 einen im Rahmen dieser Arbeit entwickelten methodi-schen Ansatz vorstellen, mit dem sich zu einem gegebenen System das Ausfallverhalten sys-tematisch identifizieren und das beschreibende Markov-Modell erstellen lässt. Interpretation eines Markov-Modells Die Berechnung des Differentialgleichungssystems eines Markov-Modells liefert als Ergebnis zunächst einen Vektor mit den Zustandswahrscheinlichkeiten. Darüber hinaus hat sich ge-zeigt, dass bei der Beurteilung eines Systems weitere Kenngrößen erforderlich und hilfreich sind. So kann z.B. die Realisierungsrate eines bestimmten Fehlerpfades über mehrere Ereig-nisse hinweg interessant sein. Auch der Einfluss von Parametervariationen und der Umgang mit Unsicherheiten bei den Fehlerraten sind in der Regel von besonderer Bedeutung. Die Be-rechnung und Definition geeigneter Kenngrößen wird in Kapitel 5 diskutiert. Da ein Markov-Graph auch eine transparente graphische Darstellung des Ausfallverhaltens bietet, wird in Kapitel 5 auch auf Möglichkeiten der qualitativen Interpretation eingegangen.

105

Kapitel 4

Systematische Fehleridentifikation und Modellerstellung – MAFIA-Verfahren Eine Herausforderung bei der Modellierung der Verlässlichkeit ist die adäquate Abstraktion des Ausfallverhaltens, so dass das konstruierte Modell alle wesentlichen Eigenschaften im Sinne der Sicherheit bzw. Zuverlässigkeit abbildet, gleichzeitig aber noch für eine qualitative respektive quantitative Auswertung handhabbar bleibt. In der Literatur wird man vergeblich nach einer geeigneten Vorgehensweise suchen, um systematisch das Ausfallverhalten eines gegebenen (Energiebordnetz-) Systems in ein beschreibendes Markov-Modell abzubilden.

Markov-VerlässlichkeitsmodellFunktionales Modell

G

G

Last C

Last D

Last A

Last B

Last E1

Last E2

0

1

3

2

µ

µ

2λ1(t)

λ1(t)

4

5

µ2λ2(t)

7

8

9

2λ1(t)

λ1(t)

µ

µ

c1h1(t) c2h2(t)

(1 - c1)h1(t)

6

(1 – c2)h2(t)

Methodik

Bild 4.1: Entwicklung eines Verlässlichkeitsmodells

In diesem Kapitel wird deshalb ein methodisches Konzept vorgeschlagen, um aus einem funktionalen Systemmodell ein markovsches Verlässlichkeitsmodell zu erstellen (Bild 4.1). Die Vorgehensweise wird in diesem Kapitel nur an einem einfachen Beispiel veranschaulicht und diskutiert. In Kapitel 6 wird dann gezeigt, dass sich die Methodik bei der realen Anwen-dung bewährt hat und auch bei komplexeren Problemstellungen verwendet werden kann.

106 Kapitel 4 Systematische Fehleridentifikation und Modellerstellung – MAFIA-Verfahren

4.1 Anforderungen an die Methodik Kapitel 3 hat verdeutlicht, dass Markov-Prozesse sehr komplexe Verhaltensweisen abbilden können. Komplexe Systeme lassen sich jedoch meist nicht „aus dem Stand“ modellieren. Zu-nächst muss der Prozess verstanden werden, wie das System in einen Ausfallzustand über-geht. Die Vielzahl von Fehlermöglichkeiten und Fehlerkopplungen setzt dabei eine geeignete Identifizierung, Strukturierung und Abstrahierung der erwarteten und vor allem relevanten Fehler und Fehlerauswirkungen voraus. Die Entscheidung welche Strukturierung oder Klassi-fizierung geeignet ist, stellt im Wesentlichen einen subjektiven Prozess dar (siehe Kapitel 2.1). Dieser kann jedoch durch eine geeignete strukturierte Vorgehensweise systematisiert werden. An eine Methodik zur systematischen Markov-Modellierung sicherheitsrelevanter Energieversorgungssysteme lassen sich die folgenden Anforderungen formulieren.

Die methodische Vorgehensweise soll auf die Modellierungsmöglichkeiten der Mar-kov-Modellbildung optimiert sein (siehe Ergebnis Kapitel 2.8).

Die Stärke der Markov-Prozesse liegt vor allem in der Beschreibung von sequentiellen Fehlerszenarios. Fehlerereignisse haben in Abhängigkeit ihres zeitlichen Auftretens eine differenzierte Wirkungscharakteristik auf die Entwicklung eines gefährlichen Zu-standes. Die zeitliche Abfolge spielt eine entscheidende Rolle, so dass die Methode gezielt sequentielle Mehrfachfehler und Fehlermechanismen identifizieren soll.

Markov-Modelle dienen zunächst zur quantitativen Bewertung des Ausfallverhaltens. Daneben soll aber auch eine qualitative Bewertung, durch eine strukturierte graphi-sche Darstellung des Ausfallverhaltens, ermöglicht werden. Die graphische Darstel-lung soll so weit wie möglich als Hilfsmittel beim Systemdesign dienen können.

Die Vorgehensweise soll systematisch und strukturiert sein und somit vor allem einer zu subjektiv geprägten Modellierung entgegen wirken, um beispielsweise systemati-sche Fehler bei der Modellierung zu vermeiden (siehe Kapitel 2.1).

Die Detaillierung und der Abstraktionsgrad der Modellierung sollen in weiten Gren-zen frei wählbar sein, um den Aufwand, angepasst an die jeweils zugrunde liegenden Fragestellungen, zu minimieren.

Die Methodik soll skalierbar und flexibel genug sein, um durch Anpassung des Abs-traktionsgrades auch auf komplexere Problemstellungen anwendbar zu sein.

Elemente und Inhalte sollten mehrfach verwendet werden können, um bei einer verän-derten Systemarchitektur schnell zu einem neuen Modell gelangen zu können.

Eine Zustandsraumexplosion ist zu vermeiden, indem nur relevante und nur physika-lisch sinnvolle Mehrfachfehler betrachtet werden.

Modelle der Sicherheit und Zuverlässigkeit dienen auch für Dokumentationen und Si-cherheitsnachweise bei Zulassungen sicherheitsrelevanter Systeme. Die Methodik muss deshalb die Forderungen nach Transparenz und Nachvollziehbarkeit erfüllen.

Kapitel 4 Systematische Fehleridentifikation und Modellerstellung – MAFIA-Verfahren 107

Fehler und Systemzustände sollen beliebig klassifizierbar und strukturierbar sein. Idealerweise baut die Methodik auf bereits standardisierten methodischen Konzepten

auf oder lässt sich in bestehende sicherheitstechnische Methoden integrieren. Nur so lässt sich eine hohe Akzeptanz bei der Anwendung der Methodik zur sicherheitstech-nischen Bewertung eines Systems erreichen.

4.2 Methodischer Ansatz Bild 4.2 illustriert die Zielsetzung der Methodik. Aus den möglichen Fehlern in einem elektri-schen Energieversorgungsnetzwerk soll systematisch ein sowohl graphisches als auch ma-thematisch interpretierbares Modell des Ausfallverhaltens entstehen. Voraussetzung dafür ist das grundlegende Verständnis des Betriebs- und Ausfallverhaltens des betrachteten Systems. Hier müssen zunächst qualitative1 Analysetechniken vorausgehen, um die Fehlerarten und (sequentiellen) Fehlerkopplungen geeignet zu identifizieren und zu strukturieren.

Fehler im Netzwerk

Elektrisches Netzwerk Verbraucher Fahrzeugebene

Markov-Modell des Ausfallverhaltens

Auswirkung auf Verbraucher

Funktions-degradation

Zustandsklassifizierung

Quantitative Systembewertung

Qualitative Designunterstützung

Bild 4.2: Prinzipielle Zielsetzung der Methodik Bei der qualitativen Fehleranalyse kann zwischen zwei grundsätzlichen methodischen Vorge-hensweisen unterschieden werden: dem induktiven und dem deduktiven Ansatz. Beim induk-tiven Ansatz werden die möglichen Fehler auf Komponentenebene identifiziert und die resul-tierenden Auswirkungen über die verschiedenen hierarchischen Schichten des Systems hin-weg bis auf Top-Ebene betrachtet. Beim deduktiven Ansatz werden zunächst globale System-zustände und Top-Ereignisse2 identifiziert und danach über die verschiedenen Systemschich-ten „nach unten hin“ ihre möglichen Ursachen erforscht. Beide Herangehensweisen haben individuelle Vor- und Nachteile. Die induktive Vorgehensweise fokussiert die Identifikation aller potentiellen Fehler auf unterster Systemschicht und ist damit besonders detailliert aber 1 Qualitativ im Sinne der Zuverlässigkeitstheorie, nicht im Sinne einer „oberflächlichen“ Vorgehensweise. 2 Beispielsweise abgleitet aus den Ergebnissen einer Gefahren- und Risikoanalyse.


auch umfangreich. Diese Eigenschaft verlangt bei sehr komplexen Systemen die Möglichkeit zur systematischen Hierarchisierung. Die deduktive Vorgehensweise betrachtet das System zunächst auf höchster Ebene. Die Analyse wird kontinuierlich verfeinert. Deduktive Ansätze, wie die Fehlerbaummethode, beinhalten durch die Vorgabe von Top-Ereignissen jedoch die Gefahr relevante Abhängigkeiten zwischen Fehlern zu übersehen. Da hier für die sicherheits-technische Bewertung die Entdeckung aller relevanten Fehlerszenarios adressiert wird, soll für die Vorgehensweise in dieser Arbeit ein induktiver Ansatz gewählt werden.

4.3 Induktive Erstfehleridentifikation 4.3.1 Failure Mode and Effect Analysis als Basis der Methodik Die Markov-Modellierung basiert auf der Quantisierung des Systemverhaltens in beschrei-bende Zustände und Zustandsübergänge. Systeme ändern ihren Zustand aufgrund zweier un-terschiedlicher Ereignisklassen: Die erste Ereignisklasse besteht aus der Ausführung von er-wartetem, funktionalem Verhalten. Die zweite Klasse besteht aus den Fehlereignissen. Fehler erweitern die Verhaltensweise und den Zustandsraum eines Systems indem sie zu ungewoll-ten Zustandsübergängen und neuen Zuständen führen. Hier soll im Kontext sicherheitstechni-scher Analysen die zweite Ereignisklasse fokussiert werden. Dabei geht es zunächst um die Identifikation aller erwarteter Erstfehlereignisse sowie der Bestimmung und Klassifikation der resultierenden Auswirkungen auf Systemebene. Um auf bestehenden Verfahren aufzubau-en und eine hohe Akzeptanz der Vorgehensweise zu erreichen, wird als Basis für die Erstfeh-leridentifikation eine modifizierte und adaptierte Form der Failure Mode and Effect Analysis (FMEA) verwendet. Die ursprüngliche Form der FMEA ist in Tabelle 4.1 dargestellt.

Fort-laufendeNummer

der Kompo-nente

Welche Kompo-

nente wird betrachtet?

Welche Funktion/

Funktionen erfüllt die

Komponente?

Welche denkbaren Fehlerarten existieren?

Welches sind die Fehler-

ursachen?

Welche Folgen hat

die Fehlerart?

Nr. Komponente Funktion Fehlerart

Tabellenorientierte Failure Mode and Effect Analysis - FMEA

Fehlerfolge Fehler-ursache

Fehler-vermeidung

Fehler-entdeckung

Maßnahmen zur Folgen-

begrenzung?

Maßnahmen zur Fehler-

vermeidung?

B A E RPZ

ARPZ

Auftretens-wahrscheinlichkeit

Entdeckungs-wahrscheinlichkeit

Bedeutung desFehlers

B

Maßnahmen zur Fehler-

entdeckung?E

Tabelle 4.1: Ursprüngliche Form der FMEA

Die FMEA ist eine Methode, um für jede Komponente eines Systems die Funktionen, Fehler-arten, Fehlerfolgen, Fehlerursachen, Möglichkeiten zur Fehlervermeidung, das von einem


Fehler ausgehende Risiko, sowie Abhilfemaßnahmen, systematisch zu ermitteln und tabellen-orientiert zu dokumentieren ([Meyn-94], [Längst-03]). Um ein quantitatives Maß für das Ri-siko eines Fehlers zu erhalten, wird die Risikoprioritätszahl (RPZ) verwendet. Diese setzt sich aus dem Produkt der Auftretenswahrscheinlichkeit (A), der Bedeutung der Fehlerfolge (B) und der Entdeckungswahrscheinlichkeit (E) zusammen (RPZ = A⋅B⋅E). Für jede der Größen wird eine natürliche Zahl zwischen eins und zehn angegeben, wobei ein tiefer Wert (nahe eins) ein geringes Risiko bzw. eine geringe Wahrscheinlichkeit und ein hoher Wert (nahe zehn) ein ernstes Risiko bzw. eine hohe Wahrscheinlichkeit darstellt. Zunächst wird für jeden Einflussfaktor von einer zehn ausgegangen. Das „Herunterstufen“ in Richtung eins kann nur durch „Begründung“ erfolgen. Die RPZ kann einen Wert zwischen eins und 1.000 einneh-men. Ausgehend von der RPZ werden Maßnahmen zur Risikominderung getroffen. Die FMEA ist mittlerweile eine standardisierte Methode in der Automobilindustrie und wird durch die generell steigenden Zuverlässigkeitsanforderungen häufig auch bei der Analyse und Bewertung nicht sicherheitsrelevanter Systeme angewendet, um mögliche Schwachstellen zu identifizieren. Es liegt also Nahe die FMEA für die Erstfehleridentifikation so zu modifizie-ren, dass sie den Anforderungen bei einer späteren Markov-Modellbildung gerecht wird. 4.3.2 FMEA-Modifikationen für fehlertolerante Systeme Systemebenendifferenzierte Bewertung der Fehlerauswirkungen Die Standard-FMEA geht von einer Einfachfehlerbetrachtung aus und ist damit im Grunde für ein fehlertolerantes System ungeeignet. Das äußert sich vor allem darin, dass die Fehlerfolge in der FMEA als Gesamtsystemzustand interpretiert wird. Will man die FMEA als Basis für eine Mehrfachfehleranalyse eines fehlertoleranten Systems verwenden, muss die Auswirkung eines Fehlers differenziert auf den einzelnen betrachteten Systemebenen bewertet werden, um Fehler, die zu degradierten Zuständen führen, zuverlässigkeitstechnisch differenziert bewerten zu können. Beispielsweise kann ein Komponentenfehler zu einem Ausfall eines Systemkanals führen. Das fehlertolerante Gesamtsystem kann unter Umstände dennoch seine bestimmungs-gemäße Funktion erfüllen. Der Fehler würde auf Kanalebene einen Ausfall verursachen, auf Gesamtsystemebene dagegen gar nicht in Erscheinung treten. Die FMEA ist also so zu erwei-tern, dass sie eine systemebenendifferenzierte Bewertung einer Fehlerauswirkung ermöglicht. Sicherheitsbewertung - Einstufung der Fehlerauswirkung auf Top-Systemebene Im Rahmen der FMEA wird die Bedeutung einer Fehlerfolge mit den Bewertungszahlen eins bis zehn quantifiziert. Für eine sicherheitstechnische Bewertung ist das meist eine zu feine Granularität und entspricht auch nicht der gebräuchlichen SIL-Klassifikation, die für sicher-heitsrelevante Fehlerauswirkungen z.B. durch die internationale Norm [DIN-EN-61508] vor-gegeben wird. Da Sicherheit eine Systemeigenschaft ist wird die sicherheitstechnische Bewer-


tung nicht ebenendifferenziert vorgenommen. Die Einteilung eines bestimmten Systemzu-standes in ein sicherheitstechnisches Bewertungsschema erfolgt durch die Beurteilung der Fehlerfolge auf höchster Systemebene. Statt der bisher üblichen FMEA-Bewertung wird zur Eingruppierung des Risikos einer Fehlerfolge die SIL-Klassifikation verwendet (Tabelle 4.2).

SIL-Level Betriebsart mit niedriger Anforderungsrate

4

3

2

1

≥10-5 bis <10-4 h-1

≥10-4 bis <10-3 h-1

≥10-3 bis <10-2 h-1

≥10-2 bis <10-1 h-1

SIL-Level Betriebsart mit hoher Anforderungsrate

4

3

2

1

≥10-9 bis <10-8 h-1

≥10-8 bis <10-7 h-1

≥10-7 bis <10-6 h-1

≥10-6 bis <10-5 h-1

Tabelle 4.2: SIL-Klassifikation [TÜV-03]

Die SIL-Tabelle gibt abhängig von der Betriebsart die maximale zulässige Wahrscheinlichkeit für einen gefahrbringenden Ausfall pro Stunde an. Die Auftretensrate beispielsweise eines Zustandes mit dem SIL-Level 4 bei Betriebsart mit hoher Anforderungsrate muss kleiner als 10-8 h-1 sein. Diese Anforderung muss für alle Fehler erfüllt werden, die zu einem Zustand mit SIL-Level 4 führen könnten. Die Einstufung einer Fehlerfolge in eine SIL-Klasse erfolgt durch einen Risikographen (siehe z.B. [Leo-04]). Alternativ könnten auch analysespezifische Klassifikationsschemata zur Anwendung kommen, sofern dies notwendig sein sollte. Ausfallwahrscheinlichkeit eines Fehlers Auch die Auftretenswahrscheinlichkeit eines Fehlers wird in der FMEA durch eine natürliche Zahl zwischen eins und zehn quantifiziert. Für eine probabilistische Berechnung mit einem Markov-Modell ist diese Quantifizierung nicht verwendbar. Deshalb wird in der hier modifi-zierten Form der FMEA die tatsächliche Auftretensrate eines Fehlers berücksichtigt. Liegen zeitvariante Fehlerraten vor, wird der Zeitverlauf angegeben oder geeignet beschrieben. Bildung von charakteristischen Zustandsklassen Die FMEA ist letztlich eine tabellarische Auflistung aller möglichen Fehlerereignisse in ei-nem System. Die Anzahl von möglichen Fehlerereignissen ist meist jedoch relativ groß. Für eine Modellbildung bedeutet dies, dass der Zustandsraum schnell anwächst. Da viele Fehler jedoch gleiche Auswirkungen auf das System haben ist es zweckmäßig, die Fehlerauswirkun-gen in Zustandsklassen zusammenzufassen, um eine Zustandsraumexplosion zu vermeiden. 4.3.3 Erstfehlertabelle - Modifizierte FMEA für die Erstfehler Die Modifikationen an der FMEA erfolgen in dieser Arbeit mit der Intention, die Erstellung eines Markov-Modells zu erleichtern und zu systematisieren. Entsprechend weist die modifi-


zierte FMEA-Tabelle gegenüber der Standard-FMEA einige ergänzte Spalten auf. Auch wur-den einige Spalten nicht mit aufgenommen, die im Rahmen der Modellerstellung nicht von Relevanz sind (z.B. Fehlerursache). Diese können jedoch bei Bedarf aufgeführt werden. In Tabelle 4.3 ist die unter den Aspekten aus Abschnitt 4.3.2 modifizierte FMEA dargestellt. Sie stellt letztlich eine Erstfehlertabelle dar, da alle potentiellen Fehlerereignisse aufgelistet sind.

Modifizierte FMEA für fehlertolerante Systeme

Nr. Komponente Funktion FehlerartEbenendifferenzierte Fehlerfolge

Komponente Kanal Teilsystem

Zustand-klasse

TopsystemFehlerrate Sicherheits-

bewertung

Einstufung der

Fehlerfolge auf das

Topsystem in SIL-

Klassen(siehe

Tabelle x.xx)

Einstufungin Charak-teristischeZustands-klassen

In ppm/a oder 1/h

auch Angabe

von Alterung

Hier ist es zweckmäßig für jede Ebene charakteristische Zustandsdefinitionen zu bilden, in die verschiedene Fehler mit

gleichen Folgen zusammengefasst werden

Fehlerfolge für

Komponente

Fehler-folgefür

Kanal

Fehler-folge für

Teilsystem

Fehler-folge für

TopsystemSiehe Bild 4.3

Tabelle 4.3: Erstfehlertabelle - Modifizierte FMEA für die Erstfehleridentifikation

Die in Tabelle 4.3 dargestellte Aufteilung in die vier Ebenen Komponente, Kanal, Teilsystem und Topsystem ist nur eine mögliche Aufteilung. Abhängig vom System können auch mehr oder weniger Ebenen zweckmäßig sein. Die Aufteilung in Ebenen dient vor allem dazu, die Folgen eines Fehlers entlang der kausalen, hierarchischen Wirkungskette zu identifizieren. Jede Fehlerfolge auf einer Ebene bezeichnet einen, durch die Fehlerauswirkung hervorgerufe-nen, ebenenspezifischen Zustand. Damit lässt sich für einen Fehler eine differenzierte zuver-lässigkeitstechnische Bewertung durchführen und für das betrachtete Teilsystem, z.B. einem Energiebordnetz, ein charakteristischer Zustand definieren. Dieser charakteristische Zustand wird später dem fehlerbehafteten Zustand im Markov-Modell entsprechen. Zweckmäßig ist es hierbei, die charakteristischen Zustände so zu wählen, dass sie als Zustandsklasse für mög-lichst viele Fehler mit gleichen oder weitgehend ähnlichen Auswirkungen dienen können.

4.4 Matrixverfahren zur Fehlerkorrelationsanalyse 4.4.1 Bedeutung von Mehrfachfehlern bzw. Ereignisverkettungen Für fehlertolerante Systeme reicht die Betrachtung von Erst- bzw. Einfachfehlern nicht aus. Ziel fehlertoleranter Systeme ist ja gerade eine degradierte oder auch volle Restfunktionalität nach einem ersten Fehler bereit zu stellen, ohne unmittelbar in einen sicheren aber unverfüg-baren Zustand übergehen zu müssen. Wird das fehlertolerante System nach einem ersten Feh-ler weiter betrieben, muss auch die Möglichkeit von Folgefehlern in Betracht gezogen wer-


den. Unter Umständen existieren auch sequentielle Abhängigkeiten in Form von Ereignisver-kettungen, bei denen durch den zeitlich ersten Fehler ein weiterer Fehler erst begünstigt wird. Dies ist für ein fehlertolerantes System äußerst kritisch, da dadurch Fehlertoleranzmaßnah-men zeitlich schnell wirkungslos werden können. Zielsetzung des im Weiteren vorgestellten Verfahrens ist daher speziell die Identifikation von Folgefehlern und Fehlerverkettungen. 4.4.2 Einführung von Fehlerkorrelationsmatrizen Alle potentiellen Fehlerereignisse in einem betrachteten System sind in der Erstfehlertabelle abgelegt. Zur systematischen Identifizierung von Folgefehlern und Fehlerverkettungen, insbe-sondere von zeitlich sequentiellen Fehlerszenarien, werden im Folgenden Korrelationsmatri-zen eingeführt. Den prinzipiellen Aufbau dieser Korrelationsmatrizen zeigt Bild 4.3.

Potentielle Folgeereignisse zum Zeitpunkt t1 + ∆t

Korrelationsmatrix für Folgefehler

Fehler zum Zeitpunkt t1

Zustand Folgezustand 1Ereignis Folgezustand n

Bild 4.3: Prinzipieller Aufbau der Fehlerkorrelationsmatrizen zur Folgefehleranalyse

Der methodische Ansatz besteht darin eine Matrixdarstellung (Fehlerkorrelationsmatrix) als Hilfsmittel zur zeitlich sequentiellen Überlagerung von Fehlerereignissen zu nutzen. Die Kor-relationsmatrix gibt wieder, dass ein System aus einer Menge potentieller Fehlerereignisse besteht, die zueinander in einer kausalen Abhängigkeit stehen können. Ein vorangehender Fehler kann einen späteren Fehler begünstigen. Ob eine Abhängigkeit zwischen den beiden Fehlern besteht, wird bei der Korrelationsanalyse untersucht. Jede Überlagerung von zwei Fehlern stellt somit ein potentielles Fehlerszenario dar. Bei der sequentiellen Überlagerung wird explizit auch geprüft, ob die Überlagerung überhaupt sinnvoll ist. Ein Fehler in einer Komponente kann einen Beitrag zum Systemausfall nur dann liefern, wenn sie nicht bereits durch einen vorangegangenen Fehler funktionell isoliert ist. Bild 4.3 lässt bereits erkennen, dass sich in der Korrelationsmatrix eine Markov-Kette abbildet. Da sich mit einer Fehlerkorrelationsmatrix jeweils nur zwei Ereignisse überlagern lassen, wird für jede Fehlerebene spezielle eine Korrelationsmatrix verwendet. Dadurch kann nicht nur eine systematische Überlagerung von Fehlern und Folgefehlern erfolgen, sondern die Vorgehensweise stellt auch eine transparente Dokumentation für den Sicherheitsnachweis dar. Da Mehrfachfehler mit jeder betrachteten Fehlerebene zunehmend unwahrscheinlicher wer-den, sind mehr als vier Zwischenschritte in der Regel nicht nötig. Kapitel 6 wird allerdings


auch verdeutlichen, dass Zweit- und Drittfehler oft noch nicht so unwahrscheinlich sind, dass sie bei sicherheitsrelevanten Systemen nicht mehr betrachtet werden bräuchten. Bis zu welchem Grad die Mehrfachfehler betrachtet werden ist prinzipiell frei wählbar. Kon-servative Resultate können durch Abbruch einer Ereigniskette in einen absorbierenden Zu-stand erfolgen. Das heißt, soll eine Ereigniskette beispielsweise nach dem dritten Ereignis nicht weiter betrachtet werden, befindet sich das System aber noch nicht in einem Zustand mit der höchsten sicherheitstechnischen Bedeutungsstufe, so wird der Zustand dennoch nach dem dritten Ereignis in die sicherheitstechnisch höchste Bewertungsklasse eingestuft. Es erfolgt somit ein konservativer Abbruch der Analyse.

ξ1

Ereignis

Erstfehler Potentielle Zweitfehler

Korrelationsmatrix für Zweitfehler

Zustand

ξ2

ξ3

ξ4

ξ5

ξ6

ξn

z1

z2

z3

z5

z6

zn

z4

ξ1 ξ2 ξ3 ξ4 ξ5 ξ6 ξn

0

0

A

A

Z12 Z13 Z14 Z15 Z16 Z1n

Z21 Z23

0 0

0

0

0

0

0

0A

A

A

Z26

Z43

Z53 Z54

Z64

Zn4 Zn5Zn2Zn1

Z62

Z31

Z43

Z51

Z35 Z3n

Z45 Z4n

Z56

Z6n

0

0

0

0

0

0

0 Bild 4.4: Aufbau der Fehlerkorrelationsmatrix für Zweitfehler

Eine ausführlichere Fehlerkorrelationsmatrix zeigt Bild 4.4. Da alle potentiellen Erstfehler bereits in der Erstfehlertabelle dokumentiert sind, genügt in der Korrelationsmatrix eine ver-kürzte Darstellung der Fehlerereignisse. Aus der Erstfehlertabelle werden natürlich nur die Ereignisse in die Zweitfehlermatrix übernommen, die nicht schon als Erstfehler zu einem Zu-stand der höchsten Bedeutungsstufe geführt haben. Nicht relevant sind die mit „0“ gekenn-zeichneten Überlagerungen von Ereignissen mit sich selbst. Durch die spezifischen Systemei-genschaften können die Zustände nicht beliebig durchlaufen werden, sondern nur in bestimm-ten Trajektorien. Ist eine Überlagerung nicht sinnvoll oder im Rahmen der Betrachtungen unrelevant, wird dies gekennzeichnet (im Bild 4.4 ebenfalls durch „0“). Dadurch wird die Menge der zu überlagernden Fehler auf die der tatsächlich sinnvollen reduziert.

Komponente Topsystem

Ebenendifferenzierte Fehlerfolge

Kanal TeilsystemZustands-

klasseSicherheits-bewertung

Änderung der Fehlerrate Zweitfehler

Abhängigkeit der Fehler

Zelle in der Korrelationsmatrix

Bild 4.5: Erweiterte Informationen einer Zelle aus der Korrelationsmatrix


Um auch die überlagerten Ereignisse differenziert bewerten zu können, werden jeder Zelle weitere Informationen hinterlegt. Bild 4.5 zeigt die erweiterten Informationen einer Zelle in der Korrelationsmatrix. Existiert eine Abhängigkeit zwischen den überlagerten Fehlern, wird diese in der ersten Spalte dokumentiert. Die sich ändernde Fehlerrate des zweiten Ereignisses wird in der zweiten Spalte vermerkt. Besteht keine Abhängigkeit ist die Ereignisrate für den Zweitfehler die Selbe, wie in der Erstfehlertabelle angegeben. Auch für Mehrfachfehler ist es sinnvoll, die Fehlerfolge ebenendifferenziert zu bewerten. Auf der Ebene „Komponente“ bei-spielsweise kann es auch Folgefehler innerhalb einer Komponente geben. Die Sicherheitsbe-wertung und die Einteilung in eine Zustandsklasse erfolgt analog zur Erstfehlertabelle. Wie bereits angedeutet wird für jede Fehlerebene eine Korrelationsmatrix verwendet. Es dürf-te einsichtig sein, dass sich diese Vorgehensweise leicht mit standardmäßigen Tabellenverar-beitungsprogrammen realisieren lässt und nicht auf die Verwendung einer speziellen Software angewiesen ist. Deshalb wurde in der vorliegenden Arbeit auf die Erstellung eines speziellen Software-Tools verzichtet. 4.4.3 Erstellung des Markov-Modells In Bild 4.3 wurde angedeutet, dass sich in den Korrelationsmatrizen die Transitionen und Zu-stände befinden, die für die Erstellung des Markov-Modells notwendig sind. Die Ereignisse und Zustände bzw. Zustandsklassen in der Erstfehlertabelle und in den Korrelationsmatrizen entsprechen den Transitionen und Zuständen eines Markov-Prozesses. Warum hier Korrelati-onsmatrizen ideal sind, liegt an der Möglichkeit der Markov-Modelle sequentielle Fehlerme-chanismen zu modellieren. Diese sequentiellen Fehlermechanismen werden gerade durch die Korrelationsmatrizen beschrieben. Da es sich um eine „Matrixbasierte Fehleridentifikations-analyse“ handelt, wird für die Methodik hier der Begriff „MAFIA-Verfahren“ eingeführt.

0

1 2

Ereignisebene 1

Zustandsebene 1 A 3

Ereignisebene 2

4 A 5 AZustandsebene 2

A A

Ereignisebene 3

Zustandsebene 3

Erstfehlertabelle

Zweitfehler-Korrelationsmatrix

Zustandsebene 0

Drittfehler-Korrelationsmatrix

MAFIA-Verfahren

Bild 4.6: Erstellung des Markov-Graphen


Bild 4.6 veranschaulicht die prinzipielle Vorgehensweise der hier entwickelten Methodik. Die Fehlerereignisse samt Fehlerraten und die Zustände aus den betrachteten Fehlerebenen wer-den in eine pfadorientierte Baumstruktur übertragen. Es entsteht ein Markov-Graph. Die im Markov-Graphen dargestellten Verknüpfungen der kausal zusammenhängenden Fehlerereig-nisse stellen auch ein qualitatives Ergebnis der Fehlerablaufanalyse dar. Bei der quantitativen Analyse werden beispielsweise die Wahrscheinlichkeiten bestimmter Fehlerpfade ermittelt. Kapitel 5 wird auf die quantitative Auswertung des Markov-Modells detaillierter eingehen. Nicht erwähnt wurde bislang die Berücksichtigung von Reparaturen und einer nicht perfekten Eigenfehlererkennung. Eine nicht perfekte Eigenfehlererkennung wird als eigenständiges Feh-lerereignis aufgefasst. Dadurch wird die Auswirkung einer potentiellen Nichtentdeckung ei-nes Fehlers systematisch bei der Analyse erfasst. Eine Reparatur könnte während der Durch-führung des MAFIA-Verfahren durch separate Spalten zu jedem Fehlerzustand berücksichtigt bzw. angegeben werden. Bei der praktischen Anwendung hat sich jedoch gezeigt, dass es vor-teilhafter ist Reparaturen dann zu definieren, wenn über den fertig erstellten Markov-Graphen eine Gesamtsystemsicht vorliegt. Kapitel 6 wird dies anschaulich zeigen. 4.4.4 Regeln für die Darstellung des Markov-Graphen Es hat sich bei der praktischen Anwendung des MAFIA-Verfahrens als zweckmäßig erwiesen für die Darstellung des Markov-Graphen bestimmte Darstellungsregeln einzuführen, die die Transparenz erhöhen sollen. Diese sind folgend aufgelistet.

Gefahrbringende Zustände der höchsten sicherheitstechnischen Bewertungsstufe wer-den als absorbierend aufgefasst. Ein Zustand ist absorbierend, wenn nur noch Transi-tionen in den Zustand münden und keine mehr herausführen. Das bedeutet aus einem gefahrbringenden Zustand wird nicht mehr repariert (konservative Annahme).

Systemzustände, die derselben Anzahl aufgetretener Fehler entsprechen, werden in ei-ner Linie bzw. Ebene dargestellt.

Für jede Kette von Fehlerereignissen wird ein eigener Pfad in einen absorbierenden Zustand gezeichnet. Querverbindungen zwischen Fehlerpfaden sind nicht zulässig. Dies erleichtert und erweitert die quantitativen Auswertungsmöglichkeiten (Kapitel 5). Soll die gemeinsame Wirkung mehrerer Fehlerpfade auf das System untersucht wer-den, können diese durch Superposition überlagert werden.

Gibt es zu einem Fehler mehrere Folgefehler, werden diese durch Verzweigungen symbolisiert. Das entspricht einer Fallunterscheidung. Innerhalb eines spezifischen Fehlerpfades dürfen dann einzelne Fehler nicht mehrfach auftauchen.

Es empfiehlt sich die Systemzustände klar und systematisch zu bezeichnen (siehe auch Kapitel 6).


4.5 Das MAFIA-Verfahren an einem Beispiel An einem einfachen Beispiel soll das MAFIA-Verfahren veranschaulicht werden. Die Vorge-hensweise kann in insgesamt sieben Schritte unterteilt werden. 1. Schritt: Definition der Systemkomponenten, Funktionen und Systemstruktur Hier werden die betrachteten Komponenten, deren Funktionen, die Systemgrenzen und die Schnittstellen definiert. Das verwendete Beispielsystem ist in Bild 4.7 abgebildet. Es ist ein dynamisch redundantes System ähnlich dem aus Bild 2.24. Im störungsfreien Fall ist G1 bzw. M1 in Betrieb. Bei einem erkannten Fehler schaltet die Betriebsführung auf G2 bzw. M2 um. Es sei angenommen, dass der zu versorgende Verbraucher V SIL 2 klassifiziert ist.

Betriebsführung

Fehlererkennung

G1

G2

US

V

M1

M2

Bild 4.7: Dynamisch redundantes Beispielsystem 2. Schritt: Definition der Betrachtungsebenen Der Detaillierungsgrad bei der Modellierung ist letztlich frei wählbar. Die geeignete Wahl der Betrachtungsebenen hängt vom System und den Fragestellungen ab. Eine allgemeingültige Empfehlung für einen geeigneten Detaillierungsgrad kann nicht gegeben werden. Hier bleibt jede Modellierung subjektiv. Bei komplexeren Systemen ist es zweckmäßig mehrere System-ebenen zu definieren. Für die weiteren Betrachtungen sei das System in vier Ebenen betrach-tet: Komponente, Kanal 1 bzw. Kanal 2, Teilsystem Energieversorgung und Topsystem. 3. Schritt: Erstfehleranalyse - Definition der Ausfallarten der Komponenten Zu jeder Komponente werden aufgrund ihrer Funktionen die potentiellen Fehlerarten be-schrieben und in der Erstfehlertabelle dokumentiert. Es ist meist sinnvoll Fehlermodelle für die Komponenten zu definieren, die nur die relevanten Fehler und Fehlerauswirkungen für die nächste Ebene beinhalten. Hier muss auch definiert werden, ob innerhalb einer Komponente nur Einfachfehler oder auch Folgefehler möglich sind und betrachtet werden. Eine Blei-Säure-Batterie kann beispielsweise nach einem Einzelzellenkurzschluss auch weitere Fehler, wie z.B. einen hochohmigen oder einen niederohmigen Ausfall, aufweisen. Sind innerhalb einer Komponente Folgefehler möglich, müssen diese bei der Fehlerüberlagerung berücksich-tigt werden. Sind alle potentiellen Fehler definiert, werden die spezifischen Fehlerfolgen auf


den einzelnen Ebenen ermittelt. Unterstützt werden kann dieses Vorgehen sinnvoll durch Si-mulationen, Fehlerinjektionsverfahren oder Tests. Die Sicherheitsbewertung wird anhand der Fehlerauswirkung auf Topsystemebene vorgenommen. Mit welchem SIL-Level eine Fehler-auswirkung klassifiziert wird, hängt vom Ergebnis einer Gefahren- und Risikoanalyse ab. Für das dynamisch redundante Beispielsystem zeigt Tabelle 4.4 die Erstfehlertabelle.

Komponente Kanal Teilsystem Topsystem

1.1 Generator 1 Abgabe elektrischer Leistung

Hochohmiger Ausfall - keine

Leistungsabgabe5x10E-5 Ausfall Umschaltung

auf Kanal 2Betrieb mit

Kanal 2Versorgung ohne

Redundanz SIL 1 Z1

1.2 Abgabe 70 % Mindestleistung

Leistungsverlust um 50 % 2x10E-6 Abschaltung Umschaltung

auf Kanal 2Betrieb mit


Redundanz SIL 1 Z1

2.1 Generator 2(Nur Standby)

Abgabe elektrischer Leistung

Hochohmiger Ausfall - keine

Leistungsabgabe5x10E-5 Ausfall Ausfall

Standby-KanalBetrieb mit


Redundanz SIL 1 Z2

2.2 Abgabe 70 % Mindestleistung

Leistungsverlust um 50 % 2x10E-6 Abschaltung Ausfall

Standby-KanalBetrieb mit


Redundanz SIL 1 Z2

3.1 Umschalter Umschaltung bei Ansteuerung

Verklemmung in gegenwärtiger

Stellung1,5x10E-4 Verklemmung Kanal 1 in

BetriebBetrieb mit


Redundanz SIL 1 Z3

3.2Leitende Verbindung zwischen Schaltein-

und ausgang

Kein leitende Verbindung 3x10E-6 Ausfall 0 Ausfall Ausfall SIL 2 A

4.1 Betriebsführung Eigenfehler-erkennung Ausfall Fehlererkennung 4x10E-4 0 0 Betrieb mit


Redundanz SIL 1 Z4

4.2Umschalten und Standby-System

starten

Falsche Um-schaltung ohne Standby-Start

8x10E-9 0 0 Ausfall Ausfall SIL 2 A

5.1Verbindungsleitung

Schalter - Sammelschiene

Energieübertragung zur Sammelschiene Hochohmiger Ausfall 6,5x10E-4 Ausfall 0 Ausfall Ausfall SIL 2 A

5.2 Energieübertragung zur Sammelschiene Kurzschluss 3x10E-7 Brandgefahr 0 Ausfall Ausfall SIL 2 A

Ebenendifferenzierte FehlerfolgeErstfehleranalyse

Zustands-klasse

Fehlerrate pro StundeFehlerartFunktionKomponenteNr. Sicherheits-

bewertung

Tabelle 4.4: Erstfehlertabelle für das dynamisch redundante Beispielsystem

4. Schritt: Mehrfachfehleranalyse mit Fehlerkorrelationstabellen Die Mehrfachfehleranalyse hat die Zielsetzung die potentiellen Fehler im System systema-tisch zu überlagern, sowie mögliche Abhängigkeiten zwischen einem vorausgegangenen Feh-ler und einem nachfolgenden Fehlerereignis zu identifizieren. Die Korrelation der Fehler er-folgt mit Hilfe der in Abschnitt 4.4.2 vorgestellten Fehlerkorrelationstabellen.

Generator 1 Generator 2 Leitung Schalter - Sammelschiene

Ereignis Systemzustand nach Erstfehler

Ausfall oder Abschaltung

Ausfall oder Abschaltung Verklemmung Kein Kontakt Fälschliche

UmschaltungAusfall

FehlererkennungAusfall oder Kurzschluss

Generator 1Ausfall oder Abschaltung

Z1Betrieb mit Kanal 2 0 A Z1.1

Betrieb mit Kanal 2 A A 0 A


Z2Betrieb mit Kanal 1 A 0 Z2.2


UmschalterVerklemmung

Z3Betrieb mit Kanal 1 A Z3.1

Betrieb mit Kanal 1 0 A 0 0 A

FehlererkennungAusfall

Z4Betrieb mit Kanal 1 A Z4.1

Betrieb mit Kanal 1 0 A A 0 A

Korrelationsmatrix für Zweitfehler

Umschalter BetriebsführungErstfehlerZweitfehler

Tabelle 4.5: Korrelationsmatrix für Zweitfehler des Beispielsystems

Tabelle 4.5 zeigt die Korrelationsmatrix für Zweitfehler des Beispielsystems. „0“ kennzeich-net nicht relevante bzw. nicht sinnvolle Überlagerungen. „A“ kennzeichnet einen ausgefalle-


nen Zustand. Aus der Erstfehlertabelle wurden alle Fehler übernommen, die nicht in einen ausgefallenen Zustand geführt haben. Überlagert wurden diese mit allen potentiellen Kompo-nentenfehlern. Letztlich bleiben in der Zweitfehlermatrix nach der Überlagerung vier nicht ausgefallene Zustände übrig, die in die Drittfehlermatrix übernommen werden.

Generator 1 Generator 2 Leitung Schalter - Sammelschiene

Ereignis Systemzustand nach Zweitfehler

Ausfall oder Abschaltung

Ausfall oder Abschaltung Verklemmung Kein Kontakt Fälschliche

UmschaltungAusfall

FehlererkennungAusfall oder Kurzschluss


Z1.1Betrieb mit Kanal 2 0 A 0 0 0 0 A


Z2.2Betrieb mit Kanal 1 A 0 0 0 0 0 A


Z3.1Betrieb mit Kanal 1 A 0 0 0 0 0 A


Z4.1Betrieb mit Kanal 1 A 0 Z4.1.1


Korrelationsmatrix für Drittfehler

ZweitfehlerDrittfehler

Umschalter Betriebsführung

Tabelle 4.6: Korrelationsmatrix für Drittfehler des Beispielsystems

Tabelle 4.6 zeigt die Drittfehlermatrix des Beispielsystems. Aus der erneuten Überlagerung bleibt nur noch der Zustand Z4.1.1 übrig, bei dem das System noch funktionsfähig ist. Der Erstfehler zu diesem Zustand war ein Ausfall der Fehlererkennung, gefolgt vom Ausfall des Generators 2, gefolgt von einem verklemmten Umschalter. Nach dieser Fehlerkette ist das System immer noch mit Kanal 1 in Betrieb. Die Fehlerkette ist aus den Tabellen leicht nach-zuvollziehen. Hier wird die Analyse abgebrochen, indem dieser Zustand als ausgefallen klas-sifiziert wird. Es ist anhand dieses Beispiels ersichtlich, dass sich der Analyseaufwand nicht zunehmend aufbläht, sondern im Gegenteil abnimmt, da mit jeder Fehlerebene weniger Zu-stände existieren, in denen das System praktisch noch funktionsfähig bleibt. Durch die geziel-te Untersuchung relevanter und nicht relevanter Fehlerketten kann eine Zustandsraumexplosi-on vermieden werden (natürlich nicht für beliebig komplexe Systeme).

Z0

Z1Betrieb mit Kanal 2

Fehlerfreier Betrieb

1.1+1.2

Z3 AZ2 Z4

Z1.1 A

A

Z2.2

A

A Z4.1

A

AZ3.1

A

A

1.

2.

3.

Betrieb mit Kanal 1

2.1+2.2 3.1

Betrieb mit Kanal 1

3.2+4.2 +5.1+5.2

Betrieb mit Kanal 1

4.1

3.1 3.1

2.1+2.2 +5.1+5.2

2.1+2.2+3.2+5.2+5.2

1.1+1.2+3.2 +4.1+5.1+5.2

1.1+1.2 +5.1+5.2

1.1+1.2+3.2+5.1+5.22.1+2.2

1.1+1.2 +5.1+5.2

1.1+1.2+3.2 +4.1+5.1+5.22.1+2.2

1.1+1.2+3.1 +3.2+4.1+5.1+5.2

Bild 4.8: Markov-Graph des dynamisch redundanten Beispielsystems


5. Schritt: Erstellung des Markov-Modells In den Korrelationstabellen sind nun alle Informationen enthalten die notwendig sind, um ein Markov-Modell des Ausfallverhaltens zu erstellen. Die pfadorientierte Baumstruktur wird ausgehend von einem fehlerfreien Zustand über alle Fehlerketten hinweg gebildet. Der daraus abgeleitete Markov-Graph ist in Bild 4.8 illustriert. Hier werden die in Abschnitt 4.4.4 disku-tierten Darstellungsregeln offensichtlich. Jeder Fehlerpfad endet mit einem absorbierenden Zustand. Durch die Bildung von Zustandsklassen bei der Fehleranalyse sind pro Übergang teilweise mehrere Ereignisse möglich, die in den gleichen Zustand führen. Die Nummern in den Übergängen entsprechen den Fehlernummern der Einträge in der Erstfehlertabelle (vgl. Tabelle 4.2). Die jeweils resultierende Übergangsrate kann leicht durch einen Addition der Fehlerraten erfolgen, da die Fehlerereignisse durch die Bildung von Zustandsklassen (Menge von Fehlern mit gleichen Auswirkungen) einer ODER-Verknüpfung unterliegen. Auf die Be-rücksichtigung von Reparaturen wird hier bei diesem Beispiel verzichtet. 6. Schritt: Zuverlässigkeits- und Sicherheitsbewertung vornehmen Den 6. Schritt bildet die Auswertung des Markov-Modells. Einerseits können aus dem Mar-kov-Modell Kenngrößen berechnet werden, wie beispielsweise die Wahrscheinlichkeit eines bestimmten Zustandes, einer bestimmten Zustandsklasse oder auch eines bestimmten Fehler-pfades. Andererseits kann der Markov-Graph auch qualitativ ausgewertet werden. Die Dar-stellung der Fehlerpfade und der Ereignisse die zu bestimmten Zuständen führen erlaubt auch eine transparente qualitative Analyse des Ausfallverhaltens. Ein einfaches aber anschauliches Beispiel soll dies erläutern. In Bild 4.8 ist sofort ersichtlich, dass das Beispielsystem keine echte Hardwarefehlertoleranz (siehe Kapitel 5) bietet. Aus dem Zustand Z0 gibt es einen Ü-bergang, der sofort nach einem Erstfehler in einen ausgefallenen Zustand (A) führt. Kapitel 5 wird die quantitativen und qualitativen Analysemöglichkeiten noch ausführlicher diskutieren. 7. Schritt: Optimierung einleiten und umsetzen 7. und letzter Schritt ist die Durchführung von Optimierungsmaßnahmen, sofern das System nicht schon den gestellten Anforderungen genügt. Schlussfolgernd aus den Ergebnissen der quantitativen oder qualitativen Analyse können Maßnahmen zur Risikoreduzierung festgelegt werden. Da gezielt einzelne Fehlerpfade und Fehlerverkettungen untersucht werden können, können beispielsweise Schutzmaßnahmen auch speziell für Fehlerpfade mit einer besonders hohen Realisierungswahrscheinlichkeit festgelegt werden.

4.6 Zusammenfassung zu Kapitel 4 Ohne eine systematische Fehleranalyse ist eine gezielte Modellierung eines spezifischen Aus-fallverhaltens nicht möglich. Betrachtete man die Literatur der Zuverlässigkeits- und Sicher-


heitstheorie stellt man fest, dass die Modellierungsmethoden meist nur mathematisch abge-handelt werden. Eine Systematik, um strukturiert Ereignisketten und sequentielle Fehlerme-chanismen zu identifizieren und in einem Modell zu formalisieren, wird man vergeblich su-chen. Ein Grund hierfür liegt vor allem darin, dass die heute eingesetzten Standardmethoden, wie Zuverlässigkeitsblockschaltbilder oder Fehlerbäume, ohnehin nicht zur Beschreibung sequentieller Fehlermechanismen geeignet sind. Die qualitative Standardmethode FMEA ist in ihrer ursprünglichen Form nur für die Einfachfehleranalyse geeignet. Komplexe Abhängig-keiten bei Ereignisverkettungen können durch sie nicht erfasst werden. Die im Kapitel 4 vorgestellte Methodik ist ein Verfahren zum systematischen Identifizieren und Modellieren von Fehlerszenarien. Basis bildet die qualitative Ausfalleffektanalyse FMEA. Da diese jedoch auf die Betrachtung von Einfachfehlern beschränkt ist, wurde sie modifiziert und methodisch um Fehlerkorrelationsmatrizen erweitert. Über die Fehlerkorrela-tionsmatrizen, als zweidimensionales Ordnungsschema, ist eine formalisierte Verknüpfung von Fehlern möglich, wobei das Verfahren sinnvoll durch Tests oder Simulationen ergänzt wird, um die jeweiligen Fehlerauswirkungen im System zu ermitteln. Die Ergebnisse der Feh-leridentifikation können leicht in einen Markov-Graphen übertragen werden. Die Verknüp-fungsreihenfolge kann dabei direkt als Ereignissequenz im Markov-Prozess modelliert wer-den. Zwischenergebnisse bzw. Zwischenzustände repräsentieren degradierte Systemzustände. Die sicherheitstechnische Bewertung eines Zustandes erfolgt aufgrund der Spiegelung der resultierenden Auswirkung auf Gesamtsystemebene. Die zuverlässigkeitstechnische Bewer-tung erfolgt ebenendifferenziert. Besonderer Vorteil ist, dass der Betrachter immer mit dem vollständigen Situations- bzw. Zustandsraum konfrontiert wird und hierüber auch eine trans-parente Dokumentation für den Sicherheitsnachweis erfolgt. Die Methodik ist dabei nicht als unveränderlich zu sehen. Spalten und Zeilen können auch anwendungsspezifisch erweitert werden, sofern zusätzliche Informationen dokumentiert oder bei der Analyse berücksichtigt werden sollen. Die Relevanz einer Kette von Ereignissen lässt sich durch die Quantifizierung der Realisie-rungswahrscheinlichkeit über die mathematische Interpretation als Markov-Prozess bestim-men. Hierbei lassen sich auch komplexe Kopplungen zwischen Ereignissen berücksichtigen (siehe Kapitel 3). Aufgrund des induktiven Charakters ist die Vorgehensweise prinzipiell nicht für beliebig komplexe Systeme geeignet. Komplexere Systeme sind jedoch durch eine geeignete Modularisierung und Abstrahierung zugänglich, was in Kapitel 6 an einem realen Beispiel verdeutlicht wird. Dass die Auswertung des Zustandsmodells besonders flexibel möglich ist und aus der Interpretation als Markov-Prozess viele nützliche Kenngrößen bere-chenbar sind, zeigt das folgende Kapitel 5. Es wird sich sowohl mit der quantitativen als auch qualitativen Auswertung des Markov-Modells beschäftigen und die Analysemöglichkeiten aufzeigen. So wird beispielsweise eine Kenngröße bzw. Berechnungsvorschrift für die Quan-tifizierung des Risikos einzelner Fehlerszenarien entwickelt.

121

Kapitel 5

Analyse eines Markov-Modells - Kenn-größen und Modellauswertung Ist das Ausfallverhalten eines Systems nach der in Kapitel 4 vorgestellten Methodik adäquat durch einen Markov-Prozess beschrieben, sind für die Bewertung des Systems und der Feh-lerszenarien vor allem aussagekräftige Bewertungskenngrößen und Auswertungsverfahren nötig. Im Verlauf der Arbeit wurden bereits einige Größen vorgestellt, die über den Markov-Prozess bestimmt werden können, beispielsweise die mittlere Verweildauer oder die Wahr-scheinlichkeit eines bestimmten Zustandes. Wie ebenfalls bereits erwähnt wurde, lassen sich in einem Markov-Modell die Zustände beliebig gruppieren, so dass sich auch beliebige Zu-standsgruppen-Wahrscheinlichkeiten berechnen lassen, z.B. die Gruppenwahrscheinlichkeit aller absorbierender Zustände. Neben den bereits vorgestellten Kenngrößen sollen in diesem Kapitel einige weitere wichtige Kenngrößen und Berechnungsmöglichkeiten zur Auswertung eines Markov-Modells entwickelt, vorgestellt und diskutiert werden.

5.1 Bewertungskenngrößen eines Markov-Modells 5.1.1 Relative Sprungwahrscheinlichkeit Als Bewertungsgröße zur Analyse der Fehlerzustandspfade eines Markov-Graphen wird die Sprungwahrscheinlichkeit pS,i→j0 eingeführt. Die Sprungwahrscheinlichkeit ist die Wahr-scheinlichkeit, in einen bestimmten Folgezustand j0 zu springen, wenn der Zustand i verlassen wird. Die Sprungwahrscheinlichkeit bezieht die n abgehenden Raten relativ zueinander (Glei-chung 5.1.1). Sie ist deshalb nicht zu verwechseln mit der Übergangswahrscheinlichkeit.

122 Kapitel 5 Analyse eines Markov-Modells - Kenngrößen und Modellauswertung

∑=

→ = n

kjk

jijiSp

0

0,0,

λ

λ (Gl. 5.1.1)

Während die Übergangswahrscheinlichkeiten zeitvariant sind, sind die Sprungswahrschein-lichkeiten zumindest bei homogenen Markov-Prozessen durch die konstanten Übergangsraten zeitinvariant. Die Sprungwahrscheinlichkeit kann so interpretiert werden, dass wenn ein Ü-bergang stattfindet, dieser mit einer bestimmten Wahrscheinlichkeit über einen bestimmten Pfad erfolgt. Bild 5.1 illustriert anschaulich die Nützlichkeit dieser Größe.

i

0,75

j1j0 jn…

0,15 0,10

i

j1j0 jn…

λi,,j0 λi,j1 λi,jn

0,800,20

Bild 5.1: Relative Sprungwahrscheinlichkeit Interessant ist die relative Sprungwahrscheinlichkeit auch bei inhomogenen Prozessen, da hier durch unterschiedliche Zeitverläufe der Ausfallraten, die Sprungwahrscheinlichkeit pS nicht mehr notwendigerweise konstant sein muss. Praktisch bedeutet dies, dass sich die Realisie-rungswahrscheinlichkeiten der Fehlerpfade relativ zueinander ändern können. Welcher Feh-lerpfad der wahrscheinlichste ist kann zeitabhängig sein. Die Sprungwahrscheinlichkeit1 be-wertet ein Fehlerszenario nicht absolut, sondern veranschaulicht die Relationen zwischen den möglichen Fehlerpfaden. Somit lassen sich aus dem Zustandsgraphen die relativ wahrschein-lichsten Fehlersequenzen schnell identifizieren. Es ist deshalb vor allem eine Kenngröße zur qualitativen Auswertung eines Markov-Graphen. 5.1.2 Berechnung der Mean Time To Failure (MTTF) Die Überlebenswahrscheinlichkeit R(t) ist definiert als die Wahrscheinlichkeit, dass ein Sys-tem seine erwartungsgemäße Funktion erbringt. Im Kontext eines Markov-Modells ist dies die Wahrscheinlichkeit, dass sich das System nicht in einem der Ausfallzustände befindet. R(t) kann in einem Markov-Modell durch Summation der Zustandswahrscheinlichkeiten der

1 Die Sprungwahrscheinlichkeit entspricht gerade der Übergangswahrscheinlichkeit der „eingebetteten“ Mar-kov-Kette ([Bause-96]).

Kapitel 5 Analyse eines Markov-Modells - Kenngrößen und Modellauswertung 123

nicht ausgefallenen Zustände bestimmt werden (Gleichung 5.1.2). n sei hierbei die Menge aller funktionsfähigen Zustände (PF) und m die Menge aller ausgefallenen Zustände (PA).

( ) ( ) ( )∑∑==

−==m

lAl

n

kFk tPtPtR

111 (Gl. 5.1.2)

Die Zuordnung welche Zustände als funktionsfähig und welche als ausgefallen klassifiziert werden, bleibt dem Anwender überlassen. Damit wird deutlich, dass die Berechnung einer MTTF über ein Markov-Modell eine viel differenziertere Betrachtung auch der Zwischenzu-stände eines Systems zulässt, als beispielsweise die boolesche Modellbildung, bei der nur der Zustände „ausgefallen“ oder „funktionsfähig“ existieren. Berechnet wird die MTTF durch Integration der Überlebenswahrscheinlichkeit (Gleichung 5.1.3). Die MTTF kann als die mitt-lere Lebensdauer eines Systems interpretiert werden [Schäf-79].

[ ] ( ) dttRTEMTTF ⋅== ∫∞

0

(Gl. 5.1.3)

Bei einem Markov-Prozess ist es die mittlere Zeit, bis die Zustände der Funktionsfähigkeit verlassen werden, also die Verweildauer in der Zustandsmenge, in der das System die volle oder eine eingeschränkte aber ausreichende Funktionsfähigkeit gewährleistet. Die MTTF für ein Markov-Modell kann über Gleichung 5.1.2 und 5.1.3 berechnet werden (Gleichung 5.1.4).

( ) dttPMTTFn

kFk ⋅⎥

⎦

⎤⎢⎣

⎡= ∫ ∑∞

=0 1

(Gl. 5.1.4)

Sie ist als Erwartungswert für den Zeitpunkt des Systemausfalls definiert. Allerdings ist bei der Interpretation dieser Kenngröße Vorsicht geboten: bei Erreichen der MTTF sind bei ex-ponential verteilten Überlebenswahrscheinlichkeiten bereits 63% (!) der Geräte ausgefallen. 5.1.3 Fehlersequenzrate in einen absorbierenden Zustand (FSRA) Ein Markov-Prozess durchläuft bestimmte Zustandsketten X(t), t ≥ 0 = (x0, x1, …, xn im Zustandsraum des Systems. Diese entsprechen gerade den möglichen Pfaden der Mehrfach-fehler. Die grundsätzlich möglichen Sequenzen der Zustände sind durch die Systemeigen-schaften deterministisch vorgegeben. Probabilistisch ist die Realisierungswahrscheinlichkeit der einzelnen Sequenzen. Bei der Bewertung von Mehrfachfehlern in fehlertoleranten Syste-men ist das Risiko mit der eine bestimmte Fehlersequenz durchlaufen wird von besonderem Interesse. Zur Quantifizierung dieses Risikos wird hier als Kenngröße die Fehlersequenzrate


(FSR) eingeführt. Zunächst wird die FSR in einen absorbierenden Zustand betrachtet (FSRA). Die FSRA wird definiert als die Realisierungsrate einer bestimmten Prozesstrajektorie vom Ausgangszustand in den (gefährlichen) absorbierenden Endzustand dieser Sequenz. Der Ansatz für die Berechnung der FSRA besteht darin, den homogenen oder inhomogenen Ausgangsprozess über mehrere Transitionsebenen durch einen inhomogenen Prozess über eine Transitionsebene zu substituieren. Bild 5.2 verdeutlicht den Ansatz.

0

2

1

3

4

5

1. Fehlerebene 2. Fehlerebene 3. Fehlerebene

λ04(t)

λ05(t)

λ01

λ12

λ13

λ34

λ35

0 4´

5´

λ04(t)

λ05(t)

2´λ02(t)

Bild 5.2: Fehlersequenzrate in einen absorbierenden Zustand (FSRA)

Der substituierende Prozess muss dabei inhomogen sein, auch wenn der Ausgangsprozess homogen ist, da jeder Zustand in der ursprünglichen Sequenz einem „Speicherelement“ ent-spricht. In Kapitel 2.4.2 wurde bereits erläutert, dass ein Markov-Prozess als ein „Wahr-scheinlichkeitsflussmodell“ verstanden werden kann. Der „Wahrscheinlichkeitsstrom“ von der treibenden Quelle, in diesem Fall dem Ausgangszustand P0, fließt über die Zustandsse-quenz in den absorbierenden Zustand. Da im absorbierenden Zustand kein Abfluss mehr statt-findet, lässt sich die FSRA als Änderung der Zustandswahrscheinlichkeit des absorbierenden Zustandes aufgrund des treibenden Zustandes P0 bestimmen (Gleichung 5.1.5). Mit der FSRA lässt sich das Risiko jedes Fehlerszenarios bewerten.

( ) ( )( )

( )tP

tPdtd

ttFSRA0

5

05 == λ (Gl. 5.1.5)

5.1.4 Fehlersequenzrate in einen nicht absorbierenden Zustand (FSRNA) Neben der FSR in einen absorbierenden Zustand ist bei einer Bewertung von Fehlerszenarien auch die FSR bis zum Erreichen einer bestimmten Fehlerebene eines nicht absorbierenden Zustandes von Interesse (FSRNA). Der Ansatz für die Berechnung der FSRNA entspricht dem


der FSRA. Der homogene oder inhomogene Ausgangsprozess über mehrere Transitionsebenen wird durch einen inhomogenen Prozess über eine Transitionsebene substituiert.

0

2

1

3

4

5

1. Fehlerebene 2. Fehlerebene

λ02(t)

λ03(t)

λ01

λ12

λ13

λ34

λ35

Absorbierende Zustandsklasse

Bild 5.3: Fehlersequenzrate in einen nicht absorbierenden Zustand (FSRNA)

Bei der Berechnung der FSRNA besteht zur FSRA der Unterschied, dass die abfließende Wahr-scheinlichkeit des nicht absorbierenden Zustandes berücksichtigt werden muss (Bild 5.3). So hat der Zustand „3“ in Bild 5.3 zwei abgehende Transitionen in die Zustände „4“ und „5“. Die vom Zustand „0“ in den Zustand „3“ strömende Wahrscheinlichkeit verteilt sich auch auf die Zustände „4“ und „5“. Die Berechnung der FSRNA erfolgt deshalb nach Gleichung 5.1.6.

( )( )

( )tP

tPdtd

tFSR ii

NA0

]5,4,3[03

⎥⎦

⎤⎢⎣

⎡

==∑

∈λ (Gl. 5.1.6)

Auf die Zustandswahrscheinlichkeit des Zustandes „0“ muss die Gesamtwahrscheinlichkeit der Zustandsklasse unterhalb der interessierenden Fehlerebene bezogen werden. Die FSRNA entspricht somit der Rate mit der mindestens ein Zustand der interessierenden Fehlerebene erreicht wird. Die Verwendung und Nützlichkeit der Fehlersequenzrate wird in Kapitel 6 an einigen praktischen Beispielberechnungen diskutiert.

5.2 Statistische Parameter-Unsicherheiten 5.2.1 Zusammenwirken von Probabilistik und Statistik In der Zuverlässigkeitstheorie wird das Ausfallverhalten eines Systems als Zufallsexperiment aufgefasst, dessen Resultate oder Realisierungen beschrieben werden sollen. Die Probabilistik stellt hierzu mathematische Modelle zur Verfügung, beispielsweise die Markov-Theorie. In der Statistik geht man umgekehrt von beobachteten Resultaten aus und versucht ein geeigne-


tes Modell für ein beobachtetes Zufallsexperiment zu entwickeln. Bei quantitativen Zuverläs-sigkeitsanalysen fließt beides zusammen und führt auf ein stochastisches Modell (Bild 5.4).

erwartete Funktionen Beobachtetes oder erwartetes System-Ausfallverhalten

Fehleranalyse

StatistischeParameter

ProbabilistischesAusfallmodell

Stochastisches Modell

z.B. Markov-Prozess z.B. Ausfallrate

Modellbasierte Hypothesen

Modellanalyse

Bild 5.4: Probabilistik und Statistik bei der Zuverlässigkeitsanalyse

Aus der Analyse des stochastischen Modells und der Interpretation der Ergebniskenngrößen werden Aussagen abgeleitet, die letztlich statistische Hypothesen sind. Aufgrund der statisti-schen Modellparameter, die beispielsweise über Feldausfallanalysen in der Vergangenheit beobachtet wurden, ergibt sich, wie sich das System künftig im Feld „wahrscheinlich“ verhal-ten wird. Über die Parametrierung des Ausfallmodells mit Ausfallraten fließen in die Analy-sen und somit auch in die Hypothesen statistische Unsicherheiten ein. Die berechneten Kenn-größen sind damit keine sicheren Größen, sondern mit statistischen Unsicherheiten behaftet. Da die abgeleiteten Hypothesen Grundlage für die Annahme oder Ablehnung bestimmter Sys-temarchitekturen oder Sicherheitskonzepte sind und auch für Sicherheitsnachweise bei Zulas-sungen Verwendung finden, muss die erreichbare Aussagekraft der Hypothese unter Berück-sichtigung statistischer Gesetze beurteilt werden. Dies wird heute bei Zuverlässigkeitsanaly-sen nicht betrachtet und soll deshalb im Folgenden genauer untersucht werden. Die Aussage-kraft einer modellbasierten, quantitativen Zuverlässigkeits- und Sicherheitsanalyse hängt letztlich von der Signifikanz der Modellparameter ab, wenn von systematischen Fehlern bei der Modellierung abgesehen wird (siehe auch Diskussion in Kapitel 2.2.1). 5.2.2 Statistische Unsicherheiten bei Zuverlässigkeitskenndaten Jede Feldbeobachtung über einen bestimmten Zeitraum stellt im statistischen Sinne das Er-gebnis einer Stichprobe dar. Die aus dieser Stichprobenprüfung bzw. Feldbeobachtung ermit-telten Zuverlässigkeitskenndaten sind lediglich Schätzwerte, da die tatsächlichen Parameter nicht bekannt sind. Diese Schätzwerte sind im Allgemeinen nicht identisch mit den „wahren“ Parameterwerten des betrachteten Kollektivs einer Komponente, sondern weichen mehr oder weniger von Ihnen ab. Die Abweichung und damit die Aussagekraft der Stichprobe lässt sich


nach statistischen Gesetzten beurteilen. Die Statistik bietet hierzu die Möglichkeit Vertrau-ensbereiche zu bestimmen, innerhalb derer Grenzen der „tatsächliche“ Wert des Parameters mit vorgegebener Wahrscheinlichkeit liegt. Bild 5.5 soll dies verdeutlichen.

50 ppm/a

100 ppm/a

1. Jahr

2. Jahr

70 ppm/a

40 ppm/a

3. Jahr

4. JahrλU λOλU λO

Bild 5.5: Felddatenerhebung als statistische Stichprobe Die beispielsweise in einem bestimmten Jahr beobachtete Ausfallrate einer Komponente darf nicht etwa als der wahrscheinlichste Wert der Ausfallrate interpretiert werden. Es ist lediglich ein Wert innerhalb einer bestimmten Verteilungskurve, z.B. der Normalverteilung. In ver-schiedenen Jahren der Feldbeobachtung wird auch der ermittelte (Schätz-) Wert für die Aus-fallrate mehr oder weniger stark schwanken. Die Vertrauensgrenzen sind hierbei als eine Art Prognose zu interpretieren, dass bei zukünftigen Stichproben, also beispielsweise weiteren Feldbeobachtungen in den folgenden Jahren, die Vertrauensgrenzen mit einer Sicherheit von (1-α)⋅100% die künftigen Beobachtungswerte einschließen. In α⋅100% wird dies nicht der Fall sein. α wird in diesem Zusammenhang auch als Irrtumswahrscheinlichkeit und 1-α als Signifikanzniveau bezeichnet. Die Lage der Vertrauensgrenzen ist neben dem gewählten α unter Anderem auch abhängig vom Stichprobenumfang. Da dieser begrenzt ist, ist auch die Aussagekraft von Feldbeobachtungen bzw. Felddatenerfassungen begrenzt. Die Ausfallrate ist durch die alleinige Angabe eines beobachteten Schätzwertes aus einem bestimmten Zeitintervall nicht charakterisiert. Rückschlüsse auf die Ausfallrate einer Kompo-nente aus „Einzelstichproben“ dürfen dementsprechend nur unter Berücksichtigung statisti-scher Gesetze gezogen werden. Die Statistik bietet hier die Möglichkeit des Hypothesentests. Im Bezug auf Ausfallraten könnten drei mögliche Hypothesen getroffen werden.

1. λ = xx ppm/a (Punktschätzung). Diese Hypothese ist allerdings nicht relevant, da der Stichprobenumfang n gegen unendlich gehen müsste.

2. λU ≤ λ ≤ λO (zweiseitiger Test bzw. Intervallschätzung). Diese Hypothese wäre möglich aber unnötig, da sicherheitstechnisch die Untergrenze nicht von Interesse ist.


3. λ ≤ λO (einseitige Tests - Obergrenzenschätzung). Die Hypothese geht davon aus, dass eine gesetzte Obergrenze nicht überschritten wird (vgl. auch SIL-Level).

Für die Betrachtung im Rahmen von Sicherheitsanalysen ist der einseitige Test, d.h. die Be-stimmung einer Obergrenze der Ausfallrate, ausreichend. Aus der Stichprobe wird derjenige Grenzwert bestimmt, der auch bei zukünftigen Stichproben mit einer möglichst hohen Wahr-scheinlichkeit nicht überschritten wird. Geht man von einer normalverteilten Lage der Beo-bachtungswerte aus, führt dies auf den Hypothesentest mit der Chi-Quadrat-Verteilung [Pauli-03]. Für die obere einseitige Vertrauensgrenze λO gilt Gleichung 5.2.1.

( )B

O Tnrhi

⋅⋅+= −

222c 1

2αλ (Gl. 5.2.1)

Ist eine bestimmte Ausfallrate nachzuweisen, kann durch Umstellung der Gleichung 5.2.1 auch die zum Nachweis notwendige Feldstückzahl n berechnet werden (Gleichung 5.2.2).

( )BO T

rhin⋅⋅

+= −

λα

222c 1

2

(Gl. 5.2.2)

Hierbei bezeichnet r die erwartete Anzahl an Ausfällen, 1-α ist das schon erwähnte Signifi-kanzniveau der Chi-Quadrat-Verteilung, TB bezeichnet die Einsatzzeit einer Komponente und n ist die Anzahl einer Komponente im Feld.

Nötige Feld-Beobachtungsmenge bei 70 % Vertrauensniveau für den statistischen Nachweis von Ausfallraten in Abhängigkeit der erwarteten Feld-Rückläufer bezogen auf ein Jahr

100

1.000

10.000

100.000

1.000.000

10.000.000

1 10 100 1.000 10.000Nachzuweisende Obergrenze der Ausfallrate in ppm/a

Nöt

ige

Anz

ahl F

eldm

enge

Keine Rückläufer1 Rückläufer10 Rückläufer50 Rückläufer100 Rückläufer200 Rückläufer

Bild 5.6: Nötige Feldbeobachtungsmenge zum Nachweis einer bestimmten Ausfallrate


5.2.3 Statistische Grenzen bei der Felddatenerfassung Die praktischen Auswirkungen dieser beider Gleichungen sollen etwas eingehender diskutiert werden. Das Diagramm in Bild 5.6 stellt die notwendige Feldstückzahl über der nachzuwei-senden Obergrenze einer bestimmten Ausfallrate bezogen auf ein Jahr dar. Als zusätzlicher Parameter ist die Anzahl der zu erwartenden Rückläufer bzw. Ausfälle im Feld dargestellt. Als Vertrauensniveau wurde bei der Berechnung des Diagramms 70 % gewählt. Da die maximale Stichprobengröße der im Feld befindlichen bzw. beobachtbaren Komponen-ten begrenzt ist, gibt es auch eine Grenze für die nachweisbare Ausfallrate. Ein eindrucksvol-les Beispiel ist im Diagramm gestrichelt eingezeichnet und folgendermaßen zu interpretieren: werden 1.000 Komponenten ein Jahr lang beobachtet und treten dabei im Feld keine Ausfälle auf, darf nicht geschlussfolgert werden, dass die Komponente eine Ausfallrate von 0 ppm/a aufweist. Vielmehr kann mit dem zugrunde gelegten Vertrauensniveau von 70 % nur ausge-sagt werden, dass die Ausfallrate der Komponente kleiner oder gleich 1.000 ppm/a beträgt. Soll in einem anderen Fall eine Ausfallrate von 1 ppm/a nachgewiesen werden, so müssen immerhin ein Jahr lang 1.000.000 Komponenten eines Typs beobachtet werden und es darf sich hierbei kein Ausfall zeigen. Zeigen sich dagegen beispielsweise zwischen 10 und 50 Ausfälle im Laufe des Jahres, kann ein Nachweis für eine Ausfallrate von 1 ppm/a nur noch erbracht werden, wenn mehrere Millionen Stück dieser Komponente beobachtet werden.

Nötige Feld-Beobachtungsmenge in Abhängigkeit des gewählten Vertrauensniveaus für den statistischen Nachweis von Ausfallraten ohne Feld-Rückläufer bezogen auf ein Jahr

100

1.000

10.000

100.000

1.000.000

10.000.000

0,40 0,45 0,50 0,55 0,60 0,65 0,70 0,75 0,80 0,85 0,90 0,95 1,00

Vertrauensniveau der Ausfallraten-Obergrenze

Nöt

ige

Feld

stüc

kzah

l

1 ppm/a

10 ppm/a

5 ppm/a

50 ppm/a

100 ppm/a

1000 ppm/a

500 ppm/a

5000 ppm/a

Bild 5.7: Nötige Feldbeobachtungsmenge in Abhängigkeit des Vertrauensniveaus


Bild 5.7 zeigt ein Diagramm bei dem die nötige Feldstückzahl über dem zu wählenden Ver-trauensniveau der Aussage aufgezeichnet ist. Als Parameter sind in diesem Diagramm die nachzuweisenden Ausfallraten-Obergrenzen dargestellt. Hierbei wird der günstigste Fall an-genommen, dass während der Beobachtungszeit keine Ausfälle auftreten. Übliche Vertrau-ensniveaus in der Statistik liegen in der Regel bei 0,95 oder höher. Das Diagramm in Bild 5.7 zeigt, dass die Nachweisbarkeit sehr kleiner Ausfallraten auch bei den hohen Stückzahlen der Automobilbranche begrenzt ist. Es lassen sich zwar bei längerer Beobachtung einer Kompo-nente im Feld auch sehr kleine Ausfallraten bestimmen, jedoch setzt das eine systematische und lückenlose Beobachtung einer großen Anzahl von Komponenten voraus. Modellbasierte quantitative Zuverlässigkeits- und Sicherheitsanalysen sind nur dann statistisch aussagekräf-tig, wenn die Zuverlässigkeit der Komponenten und die Aussagekraft der Prognose signifi-kant bestimmt und angegeben werden kann. Welches Vertrauensniveau gewählt wird kann und soll in dieser Arbeit nicht grundsätzlich definiert werden. Für die weiteren Analysen im Rahmen der Arbeit wurde jedoch mindestens ein Vertrauensniveau von 70 % angestrebt. Einsichtig wird, dass durch Prüfungen und Tests während der Entwicklung und vor Serienbe-ginn lediglich systematische Fehler identifiziert werden können und nur die prinzipielle Eig-nung einer Komponente für den Einsatzzweck festgestellt werden kann. Eine unmittelbare Messung der Zuverlässigkeit eines Erzeugnisses auf experimentellem Weg ist bei kleinen Ausfallraten nicht möglich. Erst die Beobachtung der Erzeugnisse im Feld gibt letztendlich Aufschluss darüber, ob die bei der Zuverlässigkeitsvorhersage zugrunde gelegten Parameter auch tatsächlich erreicht wurden. In diesem Zusammenhang sind modellbasierte quantitative Zuverlässigkeits- und Sicherheitsanalysen zusammen mit der Felddatenerfassung als eine Art Regelschleife anzusehen. Es kann eine Beurteilung der „wahren“ Zuverlässigkeit einer Sys-temkomponente erst durch längere Feldbeobachtung erfolgen. Statistisch gesehen gibt es je-doch bei einem hochzuverlässigen System auch hier Auflösungsgrenzen der nachweisbaren Zuverlässigkeit. Diese Grenzen werden durch den Stichprobenumfang, die Beobachtungszeit, der Zahl der beobachteten Ausfälle und durch weitere Aspekte beschränkt. Ein weiterer As-pekt könnte z.B. die Beschränkung der Feldbeobachtung auf einen Teilmarkt sein. Die Be-schränkung der Feldbeobachtungen kann notwendig werden, wenn eine umfassende Feldbeo-bachtung aller im Feld befindlicher Geräte, wegen fehlender oder unzureichender Infrastruk-tur der Datenerfassung nicht möglich ist. Eine Beschränkung auf einen Teilmarkt kann auch notwendig sein, wenn eine differenzierende Analyse der Ausfälle erfolgen soll.

5.3 Zusammenfassung zu Kapitel 5 Die Aufgabe von modellbasierten Zuverlässigkeits- respektive Sicherheitsanalysen ist vor allem eine quantitative Bewertung der inhärenten Güte eines technischen Systems. Inhärent


ist dabei so zu verstehen, dass zufällige permanente Fehler fokussiert werden und systemati-sche Aspekte, wie etwa Fehler während des Entwicklungsprozesses, Implementierungsfehler oder systematische Fehler in der Fertigung, zunächst von den quantitativen Betrachtungen ausgeblendet werden. Diesen systematischen Aspekten muss durch andere geeignete Maß-nahmen begegnet werden (siehe Kapitel 1.1.4). Für die Modellanalyse hat dieses Kapitel eini-ge neue Kenngrößen und Auswertungsmöglichkeiten aufgezeigt. Insbesondere wurde auch auf die Problematik der statistischen Parameterunsicherheit eingegangen, welche die Aussa-gekraft einer quantitativen Analyse erheblich bestimmen. Statistische Parameterunsicherhei-ten werden bei den heutigen Analysen bislang ausgeblendet. Im Folgenden Kapitel sollen die Erkenntnisse der Arbeit an einem praktischen Exempel angewendet und diskutiert werden.

133

Kapitel 6

Anwendung der Erkenntnisse am Bei-spiel „Brake-by-Wire-Bordnetz“ Die im Rahmen der Dissertation entwickelten Methoden und Erkenntnisse wurden in einem realen Entwicklungsprojekt angewendet. Projektziel ist die Entwicklung einer fehlertoleranten und hochzuverlässigen elektrischen Energieversorgung für ein trockenes1 Brake-by-Wire-System. Projektbeitrag dieser Dissertation ist die Bereitstellung geeigneter Methoden, um die sicherheitstechnischen Eigenschaften dieses Energiebordnetzes modellbasiert analysieren und bewerten zu können. Dieses Kapitel wird die praktische Anwendung der erarbeiteten Er-kenntnisse vorstellen und diskutieren. Daneben soll der Vollständigkeit wegen auch die si-cherheitsgerichtete Entwicklung im Projekt kurz beschrieben werden. Nahezu alle Publikatio-nen auf dem Gebiet der Anwendung von Markov-Modellen verifizieren ihre Theorien an ein-fachen Beispielen. Besonderes Ziel dieses Kapitels wird deshalb auch die Verdeutlichung sein, dass diese Arbeit insbesondere die Analyse komplexerer Kfz-Systeme fokussiert hat.

6.1 Entwicklung eines sicherheitsrelevanten Teilsystems 6.1.1 Ableitung von sicherheitstechnischen Anforderungen an Teilsysteme Eine hochzuverlässige und fehlertolerante elektrische Energieversorgung stellt eine unver-zichtbare Voraussetzung für die Einführung von trockenen Brake-by-Wire-Systemen in Kraft-

1 Ein trockenes Brake-by-Wire-System ist ein vollelektrisches bzw. vollelektronisches Fahrzeugbremssystem ohne hydraulische oder mechanische Rückfallebene.

134 Kapitel 6 Anwendung der Erkenntnisse am Beispiel „Brake-by-Wire-Bordnetz“

fahrzeugen dar. Nur wenn sichergestellt ist, dass die elektrische Energieversorgung, sowie natürlich auch jedes andere funktionstragende Teilsystem, nur mit minimaler Wahrschein-lichkeit zu gefährlichen Zuständen beiträgt, ist ein Brake-by-Wire-System realisierbar. Wie bereits in der Einführung erwähnt, muss die elektrische Energieversorgung hierfür hochzuver-lässig und fehlertolerant sein. Fehlertoleranz ist dabei ein Entwurfsziel, das aus den Anforde-rungen an die Zuverlässigkeit, die Verfügbarkeit und insbesondere die Sicherheit des betrach-teten Systems abgeleitet wird. Die Entwurfsaufgabe besteht darin, aus den Sicherheitsspezifi-kationen an die Energieversorgung, geeignete Fehlertoleranzmaßnahmen abzuleiten. Andererseits fügt jeder Fehlertoleranzmechanismus einem System mehr Komplexität und neue Fehlerquellen hinzu. Montenegro [Mont-04] prägte für sicherheitsrelevante Systeme den Begriff der „irreduziblen Komplexität“. Für jede Aufgabe gibt es eine theoretische minimale Komplexität, die nicht unterschritten werden kann, ohne die Funktion des Systems einzu-schränken. Eine höhere Komplexität erzeugt unnötig Gefahren. Für jedes sicherheitsrelevante System ist diese irreduzible Komplexität anzustreben. Die Auswahl der Fehlertoleranz darf nicht durch subjektive Überdimensionierung erfolgen, sondern muss auf objektiv bewerteten Sicherheitsbedürfnissen aufgebaut werden. Man untersucht welche Fehler zu einer Verletzung von Sicherheitsspezifikationen führen können und welche dieser Fehler nicht tolerierbar sind.

BbW-System

BbW-Bordnetz Sicherheitskonzepte BbW-BordnetzSicherheitskonzepte BbW-Bordnetz

Sicherheitsanforderungen werden von der Fahrzeugebene auf das betrachtete Teilsystem abgebildet

Technische Sicherheitskonzepte werden definiert

Funktionen, Fahr- und Betriebs-situationen werden auf Fahrzeug-ebene bewertet

Gefahren- und Risikoanalyse Gefahren- und Risikoanalyse

Sicherheitsziele BbW-SystemSicherheitsziele BbW-System

Sicherheitsanforderungen werden definiert, z.B. durch Zuordnung von SIL-Klassen zu Systemzuständen

Qualitative und quantitative Sicherheitsanforderungen

Qualitative und quantitative Sicherheitsanforderungen

Abgeleitete qualitative und quantitativeSicherheitsanforderungen

Abgeleitete qualitative und quantitativeSicherheitsanforderungen

Entsprechend den identifizierten Gefahren werden Sicherheitsziele des Gesamtsystems festgelegt

Architektur und Funktionen BbW-BordnetzArchitektur und Funktionen BbW-Bordnetz Aus den Sicherheitskonzepten wird eine oder werden mehrere mögliche Bordnetz-Architekturen abgeleitet

Bild 6.1: Ableitung von sicherheitstechnischen Anforderungen an Teilsysteme

Identifizierung von Gefahren und Risiken auf Fahrzeugebene Bild 6.1 illustriert die prinzipielle Vorgehensweise zur Ableitung von Sicherheitsanforderun-gen an Teilsysteme. Die Sicherheitsspezifikationen an Teilsysteme, wie das elektrische Bord-netz, leiten sich aus den Anforderungen ab, die an das betrachtete Gesamtsystem auf Fahr-

Kapitel 6 Anwendung der Erkenntnisse am Beispiel „Brake-by-Wire-Bordnetz“ 135

zeugebene gestellt werden, da die Sicherheit nur im gesamten Systemkontext bewertet werden kann. Ausgangspunkt dafür ist in der Regel eine Gefahren- und Risikoanalyse1. Unter diesem Begriff werden verschiedene Methoden zusammengefasst, die dazu dienen sollen, ein System systematisch auf potentielle Gefahren hin zu untersuchen und Risiken zu identifizieren und zu bewerten [Mont-99]. Auf Fahrzeugebene werden Systemfunktionen unter Einbeziehung der signifikanten system- und umgebungsbezogenen Einflüsse bei bestimmungsgemäßem und nicht bestimmungsgemäßem Verhalten analysiert und bewertet. Ziel ist hierbei alle vernünfti-gerweise vorhersehbaren Umstände mit einfließen zu lassen. Die Bewertung erfolgt anhand der Auswirkungen bzw. der zu erwartenden Schadensschwere, beispielsweise durch eine Ein-stufung in die bereits erwähnten SIL-Klassen (Kapitel 4.3.2). Die Bewertung der Systemfunk-tionen erfolgt, soweit dies möglich ist, unabhängig von einem konkreten Systemdesign. Sind die Systemfunktionen bzw. deren mögliche Fehlfunktionen bewertet, werden für die einzelnen Systemfunktionen qualitative und quantitative Sicherheitsanforderungen definiert. Dies geschieht entweder auf Basis einschlägiger Rechtsvorschriften oder, falls diese nicht existieren oder nicht weitgehend genug sind, mindestens entsprechend dem üblichen Stand der Technik. Bei der Robert Bosch GmbH beispielsweise vertritt man bei der Entwicklung von Brake-by-Wire-Systemen für sicherheitsrelevante Fehler die Forderung nach einer maxi-malen Auftretensrate von 10-9 h-1 bzw. 0,6 ppm/a. Darunter sind alle Fehler aller Teilsysteme zu verstehen, die zu einer Unterschreitung der gesetzlich vorgeschriebenen Mindestbremswir-kung führen, oder die sonstige gefährliche Zustände verursachen. Übertragung der Anforderungen auf Teilsysteme Nachdem die Gefahren- und Risikoanalyse auf oberster Ebene (Fahrzeugebene) durchgeführt wurde und die Sicherheitsanforderungen für die Fahrzeugfunktionen ermittelt sind, können die Sicherheitsanforderungen auf Teilsystemebene übertragen werden. Über die funktionalen Wirkungsketten im Systemverbund lassen sich die System-Gefahrenklassen auf die Auswir-kungen von fehlerhaften Teilsystemfunktionen abbilden. Idealerweise sind daraus technische Sicherheitskonzepte definierbar, aus denen mögliche Architekturen abgeleitet werden können. Es kann nun eine Vielzahl von Architekturen geben, welche die funktionalen Sicherheitsan-forderungen erfüllen. Es ist auch möglich, dass die qualitativen Anforderungen nicht wider-spruchsfrei erfüllt werden können. Hier können dann die quantitativen Verfahren, die den Hauptgegenstand dieser Arbeit bilden, die Widersprüche auflösen. Die in Bild 6.1 illustrierte Vorgehensweise ist nur im Idealfall ein exakter Top-Down-Prozess. In der praktischen Umsetzung hat sich gezeigt, dass sich Iterationen und die Einbeziehung von konkreten Vorstellungen über das Systemdesign nicht gänzlich ausblenden lassen.

1 In vielen Publikationen wird hierfür auch die englischen Begriffe „Functional Hazard Assessment“ (FHA) oder „Functional Hazard Analysis“ (FHA) verwendet ([Mont-99], [Wery-02]).


6.1.2 Kurze Beschreibung des Brake-by-Wire-Bordnetzes Da der Hauptgegenstand dieser Arbeit die modellbasierte Analyse und Bewertung von elekt-rischen Energiebordnetzarchitekturen ist, wird auf die detaillierte Darstellung des Prozesses zur Ableitung von Sicherheitsanforderungen verzichtet. Auch auf die Vorgehensweise zur Erstellung einer geeigneten Bordnetzarchitektur und auf relevante rechtliche Rahmenbedin-gungen für XbW-Systeme soll nicht weiter eingegangen werden. Erste Übersichten zu rechtli-che Rahmenbedingungen finden sich beispielsweise in [Mah-00] oder [Theis-02]. Das Brake-by-Wire-System und das Brake-by-Wire-Bordnetz werden im Folgenden nur insoweit erläu-tert, wie es zum Verständnis der Anwendung der Methoden und Erkenntnisse erforderlich ist. Das Brake-by-Wire-System Das Bremssystem besteht prinzipiell aus den elektrisch angesteuerten Bremsaktuatoren, dem Bremspedal, der elektronischen Steuerung und der elektrischen Energieversorgung. Das Bremspedal wirkt als Fahrerwunscherfassung und nimmt die Bremsanforderung entgegen. Entsprechend des Fahrerwunsches und der aktuellen Fahrzeugsituation erzeugt das Bremssys-tem die erforderliche bzw. gewünschte Verzögerung des Fahrzeugs, wobei Funktionen wie ABS oder ESP im der Steuerung integriert sind. In diesem Zusammenhang muss erwähnt werden, dass die verschiedenen Teilsysteme meist durch unterschiedliche Methoden sicher-heitstechnisch analysiert werden müssen. Während für das hardwarebasierte elektrische Ener-giebordnetz die Markov-Analyse ideal ist, können beispielsweise für stark softwarebasierte Systemteile anderen Techniken, wie z.B. formale Methoden [Moik-02], besser geeignet sein. Das Brake-by-Wire-Bordnetz Es sei für die weiteren Betrachtungen vorausgesetzt, dass das hier beispielhaft betrachtete Brake-by-Wire-Bordnetz den qualitativen Anforderungen aus der Gefahren- und Risikoanaly-se genügen soll. Hier soll noch einmal explizit darauf hingewiesen werden, dass es viele Bordnetzvarianten geben kann, welche die qualitativen Sicherheitsspezifikationen aus einer Gefahren- und Risikoanalyse erfüllen. Die Bewertung, ob die betrachtete Bordnetzarchitektur auch den quantitativen Anforderungen genügt, ist unter Anderem die Aufgabenstellung der modellbasierten quantitativen Sicherheitsanalyse, die hier veranschaulicht werden soll. Das Brake-by-Wire-Bordnetz, das Gegenstand der weiteren modellbasierten Betrachtungen sein wird, ist in Bild 6.2 abgebildet. Wesentliches Merkmal der Architektur ist die zweikana-lige Versorgung zweier Bremskreise und die funktionale Unabhängigkeit der einzelnen Kanä-le. Die konventionellen elektrischen Verbraucher im Fahrzeug und die sicherheitsrelevanten Brake-by-Wire-Kanäle stellen unterschiedliche Anforderungen an die Versorgungszuverläs-sigkeit. Das Basisbordnetz ist prinzipiell identisch mit dem heutigen konventionellen Ener-giebordnetz (vgl. Bild 1). Zur optimalen Nutzung der vorhandenen und begrenzten elektri-schen Energie ist es jedoch empfehlenswert ein elektrisches Energiemanagement vorzusehen,


das insbesondere auf Hochlastverbraucher Einfluss nehmen kann. Die beiden Energieversor-gungskanäle für die Brake-by-Wire-Kanäle, die hochzuverlässig gestaltet sein müssen, sind durch geeignete Komponenten, z.B. Gleichspannungswandler, vom Basisbordnetz und vom jeweils anderen Kanal entkoppelt. Die in Bild 6.2 abgebildete Bordnetzarchitektur ist auch schon in dem Patent DE 37 14 193 A1 (1987) der Robert Bosch GmbH beschrieben.

GSSG GR

BSS

V1

Starter

BbW1

BbW2

BZE

BZE

SteuerungKanal 1

SteuerungKanal 2

==

==

==

==

V2

BZE

Basisbordnetz-management

BbW - Brake-by-Wire-Kanal

BSS - Batteriestromschiene

BZE - Batteriezustandserkennung

GSS - Generatorstromschiene

GR - Generatorregelung

Brake-by-Wire-BordnetzBasisbordnetzBasisbordnetz

V3

Bild 6.2: Das beispielhaft betrachtete Brake-by-Wire-Bordnetz

Hauptaufgabe der beiden BbW-Bordnetz-Kanäle ist die unterbrechungsfreie Versorgung der elektrischen Bremskanäle. Außerdem soll eine Überlastung des Basisbordnetzes durch Last-spitzen bei der Bremsbetätigung vermieden werden. Dementsprechend wird jedem Brems-kreis ein separater elektrischer Energiespeicher zugeordnet. Die Batterien gewährleisten auch, dass bei einem Ausfall des Basisbordnetzes die Bremsanlage für eine bestimmte Zeit weiter-versorgt werden kann. Die Batterien, die jeweils eine eigene Batteriezustandserkennung (BZE) besitzen, arbeiten in der Architektur im Pufferbetrieb. Der Pufferbetrieb ist gekenn-zeichnet durch eine kontinuierliche Ladung, die die Batterien in etwa optimalem Ladezustand hält. Der Strom und die maximale Stromanstiegsgeschwindigkeit der Spannungswandler sind begrenzt, um die Belastungen des Basisbordnetzes möglichst gering zu halten. Der restliche (Spitzen-) Leistungsbedarf wird den elektrischen Speichern entnommen. Die dem Basisbord-netz entnommene Leistung wird somit auf den mittleren Leistungsbedarf der Bremse be-grenzt. Dadurch kann auch der Spannungswandler auf den mittleren Leistungsbedarf begrenzt werden. Diese Betriebsweise führt nur zu einer schwachen und genau definierten Zyklisierung der Energiespeicher, was sich positiv auf deren Zuverlässigkeit und Lebensdauer auswirkt. Jeder Kanal erhält außerdem eine eigene Diagnose- und Steuereinheit.


6.2 Modellierung des Brake-by-Wire-Bordnetzes 6.2.1 Fehleranalyse und Modellierung mit dem MAFIA-Verfahren 1. Schritt: Definition der Systemkomponenten, Funktionen und Systemstruktur Für die Modellierung wird hier nur das elektrische Energiebordnetz aus Bild 6.2 bestehend aus Basisbordnetz und den beiden über Spannungswandler entkoppelten Teilnetzen betrach-tet. Das Ausfallverhalten der elektrischen Bremsanlage mit Steuergeräten, Leistungselektro-nik und Bremsaktoren wird nicht in die Modellierung eingeschlossen. Es werden nur Fehler betrachtet, die sich vom elektrischen Bordnetz auf das Bremssystem auswirken. Für die Be-wertung der Bordnetzfehler werden aber natürlich deren Auswirkungen auf die Zustände des Bremssystems berücksichtigt. Bei der Analyse und Modellierung werden Fehler in den beiden Teilnetzen betrachtet, Fehler im Basisbordnetz, Fehlerkopplungen zwischen Basisbordnetz und den Teilnetzen, sowie der Einfluss der Eigenfehlererkennung bzw. der Diagnose. 2. Schritt: Definition der Betrachtungsebenen Die im Rahmen der Modellierung des Brake-by-Wire-Bordnetzes definierten Betrachtungs- respektive Abstraktionsebenen sind in Bild 6.3 veranschaulicht.

Fehlerklassen Kanal 1

Fehler-klassen

physikalische Komponentenfehler

ZustandsreduktionKomponentenfehler

Kanal-Fehler

Auswirkung Brake-by-Wire-Bordnetz

Auswertungsebene

Kanal 1

Komp. 1

Fehlerauswirkung auf Brake-by-Wire-Bordnetz

ZustandsreduktionKanalfehler

Zustandsreduktion Fehlerklassen Brake-by-Wire-Bordnetz

Sicherheits- und Zuverlässigkeitsbewertung

Abst

rakt

ions

grad

Fehler-klassen

Komp. n

Fehlerklassen Kanal 2

Fehler-klassen

Kanal 2

Komp. 1

Fehler-klassen

Komp. n

Bild 6.3: Abstraktionsebenen und Zustandsreduktion bei der Analyse und Modellierung Die Abstraktionsebenen haben zum einen das Ziel Fehler ebenenspezifisch bewerten zu kön-nen. Zum anderen soll aber auch, durch die Bildung von Fehlerklassen bzw. Fehlermodellen in jeder Abstraktionsebene, der Aufwand bei der Fehlerüberlagerung minimiert werden. Zu-


nächst wurden ausgehend von Fehlermodellen der Komponenten die Fehlerauswirkungen auch von Mehrfachfehlern nur innerhalb eines Kanals analysiert. Das Basisbordnetz wurde dabei als „Komponente“ eines Kanals betrachtet. Diese Vorgehensweise hat den Vorteil, dass bei der Überlagerung auf zunehmendem Abstraktionsgrad nicht alle Einzelfehler aller Kom-ponenten korreliert werden müssen, sondern nur die entsprechende Fehlermodelle. Ein Feh-lermodell ist sozusagen der mögliche und auch tatsächlich relevante Zustandsraum einer Abs-traktionsebene. Der Aufwand kann noch einmal reduziert werden, wenn die Kanäle wie in diesem Beispiel nicht diversitär aufgebaut sind. Die Fehlermodelle beider Kanäle sind dann identisch. Das MAFIA-Verfahren, also die Überlagerung von Fehler oder Fehlerklassen, muss dann nur für einen Kanal angewendet werden. Das so entstehende Fehlermodell für einen Kanal, kann für den anderen Kanal übernommen werden. Um schließlich zu den möglichen Fehlerzuständen des Brake-by-Wire-Bordnetzes zu kommen, werden abschließend die Feh-lermodelle beider Kanäle überlagert und die Auswirkungen auf das Bremssystem bewertet. Diese Vorgehensweise macht deutlich, dass durch eine geeignete Wahl der Abstraktionsebe-nen und einer geeigneten Wahl der Betrachtung der Aufwand für das MAFIA-Verfahren nicht über alle Grenzen wächst, sondern beherrschbar bleibt. In jeder Abstraktionsebene wird der Zustandsraum auf einen signifikant beschreibenden reduziert. 3. Schritt: Erstfehleranalyse – Definition der Ausfallarten der Komponenten Auf unterster Abstraktionsebene werden als erstes Fehlermodelle der Komponenten definiert. Die Fehlermodelle entstehen durch die Untersuchung aller denkbaren Fehler bzw. Fehlerursa-chen innerhalb der als „Black-Box“ betrachteten Komponenten und den jeweiligen Fehler-auswirkungen. Wie schon erwähnt wurde auch das Basisbordnetz in diesem Zusammenhang als eine Komponente der beiden Teilnetze mit mehreren Fehlerzuständen betrachtet. Für die Erstellung der Fehlermodelle ist es erforderlich mögliche Fehlerbilder und mögliche Kausal-zusammenhänge hinter den Fehlerbildern zu kennen, sowie Angaben über die Häufigkeit von Fehlern treffen zu können. Dieses Wissen kann beispielsweise aus Erfahrungen, Systemanaly-sen, Technologieanalysen, Feldausfallanalysen usw. stammen. Als Fehler wurden in dieser Arbeit sowohl Totalausfälle als auch Parameterdriftfehler, dass sind beispielsweise Grenzwertüber- oder Grenzwertunterschreitungen bestimmter Eigenschaf-ten, angesehen. Diese können z.B. Folge von Alterung und Verschleiß sein. Als Ergebnis er-hält man für jede Komponente eine Menge von Fehlern, die zu spezifischen Fehlerauswir-kungen führen. Die Angabe aller ermittelten Fehler für das Brake-by-Wire-Bordnetz würde den Rahmen dieser Arbeit sprengen. Allein für die Bordnetzbatterien wurden beispielsweise jeweils 18 potentielle Fehlermodi ermittelt. Auch für die Spannungswandler existieren jeweils allein 22 Fehlerbilder. Deshalb ist das nächste Ziel innerhalb der Abstraktionsebene eine Zu-standsraumreduktion durch die Bildung von charakteristischen Fehlermodellen bzw. Zu-standsklassen durchzuführen. In der vorliegenden Analyse wurden auch Mehrfachfehler in-


nerhalb einer Komponente zugelassen. So kann eine Batterie beispielsweise nach einem Ein-zelzellenkurzschluss auch in einen Totalausfall übergehen. Tabelle 6.1 zeigt einen beispiel-haften Ausschnitt aus der Erstfehlertabelle des Brake-by-Wire-Bordnetzes.

Komponente Kanal XbW-Bordnetz Bremsanlage

B1.1 BatterieKanal 1

Unterbrechungsfreie Kanalversorgung

Unterbrechung Polklemme 25 ppm/a

Abtrennung der Batterie vom

Kanal

(D) Eingschränkte Dynamik, da

Pufferwirkung fehlt

1. Kanal eingeschränkte

Dynamik (D); 2. Kanal voll funktionsfähig (O)

1. Kreis eingeschränkte Bremsdynamik (D); 2.

Kreis voll funktionsfähig (O)

1 (DO)


Bereistellung von ca. 12 V mit 6

Einzelzellen

Kurzschluss Einzelzelle

niederohmig5 ppm/a

Nennspannung verringert sich

um ca. 2 V

(D) Durch geringere

Spannung weniger Leistungsfähigkeit





1 (DO)


Pufferung von Lastspitzen

Verlust der Pufferfähigkeit durch Alterung

50 ppm/a

Stromspitzen können nicht

mehr gepuffert werden

(D) Eingschränkte Dynamik, da

Pufferwirkung fehlt





1 (DO)

W2.5Spannungs-

wandlerKanal 2

Deckung mittlerer Leistungsbedarf

Hochohmiger Funktionsausfall 120 ppm/a Ausfall

(Z) Zeitlich begrenzter

Batteriebetrieb, Batterientladung

1. Kanal voll funktionsfähig (O); 2.

Kanal mit zeiltich begrenzter Funktion (Z)

1. Kreis voll funktionsfähig (O); 2. Kreis zeiltich

begrenzter Betrieb (Z)2 (OZ)

W2.7Spannungs-

wandlerKanal 2

Bereitstellung einer Nennspannung von

12 bis 14 V

Permanente Überspannung 75 ppm/a Überspannung

am Ausgang

(A) Ausfall, Komponenten und

Verbraucher werden zerstört

1. Kanal voll funktionsfähig (O); 2. Kanal ausgefallen (A)

1. Kreis voll funktionsfähig (O); 2. Bremskreis

ausgefallen (A)2 (OA)

Erstfehleranalyse des Brake-by-Wire-Bordnetzes

Nr. Komponente Funktion Fehlerart Fehlerrate in ppm/a

Ebenendifferenzierte Fehlerfolge Sicherheits-bewertung

Zustands-klasse

Tabelle 6.1: Ausschnitt aus der Erstfehlertabelle des Brake-by-Wire-Bordnetzes

Aus Tabelle 6.1 wird ersichtlich, dass die ebenenspezifische Analyse der Fehlerauswirkungen eine systematische Fehlerbewertung entlang der Wirkungskette im System ermöglicht. Die jeweilige Zustandsklasse ist hier in Bezug auf die Ebene „XbW-Bordnetz“ gebildet. Die Zu-standsklasse „DO“ (D = dynamisch begrenzt, O = Ohne Fehler) fasst beispielsweise alle Feh-ler zusammen, die bezogen auf das XbW-Bordnetz zu einem Kanal ohne Fehler und einem Kanal mit dynamischer Leistungsbeschränkung führen (begrenzte Stromanstiegsgeschwin-digkeit). Die Sicherheitsbewertung bezieht sich auf die Auswirkungen der Fehler auf die Bremsanlage. Es ist ersichtlich, dass verschiedene Fehler in den Komponenten eine ähnliche oder gleiche Auswirkung auf den Zustand des XbW-Bordnetzes bzw. der Bremsanlage aus-üben können (B1.1, B1.4, B1.11). Die Bildung von Zustandsklassen bewirkt hier eine Reduk-tion des Zustandsraums und somit einfachere Verhältnisse bei der Fehlerkorrelation.

Kanal 1 Kanal 2

Ereignis Systemzustand nach Erstfehler W1.7 Entdeckt Unentdeckt W2.7

BN12Ausfall Basisbordnetz

(ZZ) Beide Kanäle zeitlich begrenzte

Funktion,Batterieentladung

…(SS) Überführung in

sicheren Zustand bevor Batterien entladen sind

(AA) Beide Bremskreise fallen

nach Batterientladung aus

…

W2.7Spannungswandler

Überspannung > xx V

1. Kanal voll funktionsfähig (O); 2. Kanal ausgefallen (A)

(AA) Beide Kanäle fallen aus

(OA) Komponenten und Verbraucher

schalten sich vom Kanal 2 frei

(OA) Komponenten und Verbraucher in

Kanal 2 werden zerstört

0

B1.1B1.4

B1.11

(DO) 1. Kanal eingeschränkte

Dynamik; 2. Kanal voll funktionsfähig

(AO) 1. Kanal ausgefallen; 2. Kanal

voll funktionsfähig … …

(DA) 1. Kanal eingeschränkte

Dynamik; 2. Kanal ausgefallen

Korrelationsmatrix für Zweitfehler des Brake-by-Wire-Bordnetzes

Erstfehler ZweitfehlerFehlererkennung

Bild 6.4: Ausschnitt aus einer Fehlerkorrelationsmatrix des Brake-by-Wire-Bordnetzes


4. Schritt: Mehrfachfehleranalyse mit Fehlerkorrelationsmatrizen Auch die Mehrfachfehleranalyse mit den Fehlerkorrelationsmatrizen kann hier nur andeu-tungsweise veranschaulicht werden. Eine Darstellung der umfangreichen Analyseergebnisse ist hier nicht möglich und zum Verständnis der Methodik auch nicht notwendig. Bild 6.4 zeigt einen kleinen Ausschnitt aus einer Fehlerkorrelationsmatrix für Zweitfehler des Brake-by-Wire-Bordnetzes. Mehrfachfehler wurden insgesamt bis zur vierten Fehlerebene analysiert. Dabei wird der Aufwand mit zunehmender Fehlerebene geringer, da immer weniger degra-dierte Zustände existieren, für die die Betrachtung von Folgefehlern sinnvoll sind.

Komponente Kanal XbW-Bordnetz Bremsanlage

Nicht entdeckte Überspannung W2.7 führt zur Gasung der Batterie in Kanal 2

Batterie wird innerhalb von 15 Minuten zerstört

Batterie wird zerstört

Kanal 2 fällt nach Fehler W2.7 durch Überspannung aus

1. Kanal voll funktionsfähig (O);

2. Kanal ausgefallen (A)

1. Kreis voll funktionsfähig (O);

2. Bremskreis ausgefallen (A)

2 (OA)

Zwischen W1.7 und W2.7 besteht keine

Abhängigkeit

Wie bei W2.7 in Erstfehlertabelle

angegeben0

Kanal 2 fällt nach Fehler W2.7 durch Überspannung aus

(AA) Beide Kanäle fallen aus

(AA) Beide Bremskreise fallen

aus3 (AA)

Erweiterte Zellinformationen in der Korrelationsmatrix

Abhängigkeit der Fehler

Änderung der Fehlerrate Zweitfehler

Ebenendifferenzierte FehlerfolgeSicherheits-bewertung

Zustands-klasse

Tabelle 6.2: Ausschnitt aus den erweiterten Informationen der Matrixzellen

Es hat sich gezeigt, dass das im Grunde einfache MAFIA-Verfahren, die Fehlerkorrelation mit Matrizen, zur Identifikation sehr relevanter Fehlerabhängigkeiten geführt hat. Tabelle 6.2 zeigt beispielhaft einen Ausschnitt aus den erweiterten Informationen der Zellen in der Zweit-fehlermatrix. Besonders relevant ist der erste Fall, bei dem der Überspannungsfehler eines Spannungswandlers zur Gasung der Batterie im selben Kanal führen kann, wenn sich die Bat-terie und auch andere Komponenten nicht frei schalten. Im schlimmsten Fall kann die Batterie als Folge bersten, da sich bei der Batteriegasung letztlich Knallgas bildet. 5. Schritt: Erstellung des Markov-Modells Der 5. Schritt, die Erstellung des Markov-Modells, wird etwas ausführlicher in Abschnitt 6.2.2 diskutiert. Die Parametrierung des Markov-Modells ist Gegenstand des Abschnitts 6.2.3. 6. und 7. Schritt: Modellauswertung und Systemoptimierung Die Zuverlässigkeits- und Sicherheitsbewertung, also die Modellanalyse, wird zusammen mit dem 7. Schritt (Optimierung) etwas ausführlicher in Abschnitt 6.3 erläutert. 6.2.2 Markov-Modell des Brake-by-Wire-Bordnetzes Der Markov-Graph kann wie in Kapitel 4.5 gezeigt systematisch aus den Fehlerketten in den Fehlerkorrelationsmatrizen abgeleitet werden. Aufgrund der hier gewählten Vorgehensweise könnte sogar für jede Abstraktionsebene ein eigenes Markov-Modell erstellt werden, z.B. für


den 1. Kanal. Dargestellt wird im Folgenden nur das Markov-Modell des Gesamtsystems Brake-by-Wire-Bordnetz. Es besteht aus vier Fehlerebenen, rund 150 Zuständen und 54 ein-zelnen Fehlerpfaden, die in absorbierende Zustände führen.

Bild 6.5: Markov-Modell des Gesamtsystems Brake-by-Wire-Bordnetz

Bild 6.5 soll deshalb nur einen Eindruck vom Umfang des Markov-Modells geben und keinen detaillierten Einblick in das Modell bieten. Das Markov-Modell enthält alle im Rahmen der Fehleranalyse als relevant identifizierten Mehrfachfehlerpfade und Zustände des Brake-by-Wire-Bordnetzes. Um die qualitative Auswertung zu erleichtern und die Darstellung für den Betrachter transparenter zu gestalten, wurde für die einzelnen Zustände eine bestimmte Be-zeichnungssystematik eingeführt. Diese ist in Bild 6.6 gezeigt.

SIL 2

1 D A 23Fehlerebene Laufende Nummer

innerhalb der Fehlerebene

Risikoeinstufung des Zustands

Eingehende Transitionen

Abgehende Transitionen

Reparatur-Transition

Zustand Kanal 1 Zustand Kanal 2 Bild 6.6: Bezeichnungssystematik für die Zustände des Markov-Modells

Die Zustands-Bezeichnung enthält alle signifikanten Informationen, die zum Verständnis des Markov-Graphen notwendig sind. Aus der Bezeichnung sind die Fehlerebene, der Zustand des 1. Kanals und der Zustand des 2. Kanals des BbW-Bordnetzes ersichtlich. Auch die Risi-koeinstufung des Zustandes wird mit aufgeführt. Alternativ kann die Risikoeinstufung auch farblich gekennzeichnet werden. Dies wurde bei der vorliegenden Analyse angewendet. Aus einigen Zuständen heraus wird auch eine Reparatur vorgesehen. Hier wird angenommen, dass Reparaturen immer nur in den funktionsfähigen Ausgangszustand zurück erfolgen. Eine nicht perfekte Reparatur in einen anderen degradierten Zustand wird somit nicht betrachtet, könnte aber leicht, wie in Kapitel 3.5.1 bzw. 3.5.2 diskutiert, integriert werden. Die Reparatur-Transitionen werden zur Wahrung der Übersichtlichkeit nicht zurück in den Ausgangszustand gezeichnet, sondern nur wie in Bild 6.6 gezeigt durch einen waagrechten Pfeil angedeutet.


(O/D): Ein Kanal fehlerfrei, der andere Kanal mit begrenzter Dynamik

(D/A): Ein Kanal mit begrenzter Dynamik, der andere Kanal ausgefallen

(O/Z): Ein Kanal fehlerfrei, der andere Kanal zeitbegrenzt

(Z/A) Ein Kanal zeitbegrenzt, der andere Kanal ausgefallen

(D/D): Beide Kanäle mit begrenzter Dy-namik

(Z/Z): Beide Kanäle sind zeitbegrenzt, Batte-rieentladung in beiden Kanälen

(O/A): Ein Kanal fehlerfrei, der andere Kanal ausgefallen

(S/S): Fahrzeug ist im sicheren Zustand

(D/Z): Ein Kanal mit begrenzter Dynamik, der andere Kanal zeitbegrenzt

(A/A): Beide Kanäle ausgefallen

Tabelle 6.3: Bezeichnungssystematik der Zustandsklassen Für die Bezeichnung der Kanalzustände wird die Bezeichnungssystematik verwendet, die in Tabelle 6.3 aufgelistet ist. Diese Bezeichnungssystematik benennt die als wesentlich betrach-teten Zustandsklassen des BbW-Bordnetzes. Ist eine feinere Granularität bei der Bewertung erforderlich, können die Zustandsklassen bei der Fehleranalyse auch feiner unterteilt werden.

Bild 6.7: Ausschnitt aus dem Markov-Modell des BbW-Bordnetzes

Bild 6.7 bietet einen etwas ausführlicheren Einblick in einige Fehlerpfade des Markov-Modells. In den einzelnen Zustandsübergängen sind teilweise mehrere Fehlerereignisse bzw.


Ereignisklassen enthalten. Dies wurde auch schon an dem Markov-Graphen in Bild 4.8 disku-tiert und resultiert aus der konsequenten Bildung von Zustandsklassen und der Zusammenfas-sung von Ereignissen mit gleicher Auswirkung. Die Zustände „SS“ werden immer dann eingenommen, wenn nach einem entdeckten Fehler bestimmte Sicherheitsmaßnahmen eingeleitet werden. Sicherheitsmaßnahmen können Warn- und Handlungsanweisungen an den Fahrer bis hin zu Eingriffen in das Motormanagement und den Antriebstrang sein. Hier liegt die Annahme zugrunde, dass nach einer Sicherheitsmaß-nahme der Übergang in den sicheren Zustand stattfindet. Im Markov-Modell wurden dazu bereits Szenarien möglicher Diagnose- und Sicherheitskonzepte berücksichtigt bzw. hinein entwickelt. Kann ein sicherer Zustand nicht eingenommen werden, weil ein Fehler beispiels-weise nicht entdeckt wurde, besteht die Gefahr, dass weitere Folgefehler auftreten. Modelliert wurden ebenfalls entdeckte oder unentdeckte Batterieentladungen, die z.B. nach einem ausgefallenen Spannungswandler auftreten. Ein Kanal oder beide Kanäle sind dann nur noch zeitlich begrenzt funktionsfähig. In dem Modell wurden teilweise auch Aufenthaltszei-ten in einem Zustand modelliert. Ist beispielsweise ein Versorgungskanal ausgefallen stellt sich die Frage, wie lange das Fahrzeug in diesem Zustand mit nur einem funktionsfähigen Kanal noch betrieben werden darf. Ob es unmittelbar stillgesetzt werden muss oder ob es dem Fahrer noch gestattet werden kann seine Fahrt eine gewisse Zeit fortzusetzen, um beispiels-weise eine Werkstatt aufzusuchen, hängt von dem Risiko ab, durch einen weiteren Fehler in einen gefährlichen Zustand zu kommen. Nach dem Konzept aus Abschnitt 3.4 (Modellierung zeitlich begrenzter Systemzustände) wurden daher auch Übergänge integriert, die diese Rest-fahrzeiten darstellen. Beim Pfad in den Zustand „2SS2“ ist ein solcher Übergang als Beispiel mit 10 Tagen Restfahrdauer angegeben. Durch die Integration solcher Größen wie der Rest-fahrdauer, können diese gezielt auf ein Optimum hin untersucht werden (vgl. Abschnitt 6.3). 6.2.3 Parametrierung des Markov-Modells Die Qualität und Aussagekraft der Ergebnisse einer quantitativen Modellanalyse hängt im Wesentlichen von der Qualität der verwendeten Parameter ab (siehe Kapitel 5.2). Für die Pa-rametrierung des hier entwickelten Markov-Modells wurden ausnahmslos firmenspezifische Fehlerraten aus Felddatenerhebungen verwendet. Da die Bestimmung verlässlicher Parameter grundsätzlich eine der größten Herausforderungen bei der Anwendung quantitativer Zuverläs-sigkeits- und Sicherheitsanalysen darstellt, soll im Folgenden eine kurze Diskussion der mög-lichen Quellen für die Bestimmung von Fehlerraten erfolgen. Daten, die bei quantitativen Zuverlässigkeits- und Sicherheitsanalysen zur Parametrierung verwendet werden, sind ihrer Art nach immer empirische Daten. Sie können aus firmenspezifischen Felddatenerhebungen stammen oder aus standardisierten Handbüchern wie dem [MIL-217] oder dem [RDF-2000].


Parameter aus Felddatenerhebungen Im Gegensatz zu Labortests und Freigabeerprobungen spiegeln Fehler- und Ausfalldaten aus dem Feldeinsatz die realen Betriebsbedingungen und Belastungen einer Komponente wider. Kleine Fehlerraten können ohnehin weder bei Labortests noch Freigabeerprobungen bestimmt werden (siehe Kapitel 5.2). Felddaten scheinen somit zunächst eine geeignete Datenbasis für quantitative Zuverlässigkeits- und Sicherheitsanalysen darzustellen. Unter dem Aspekt der Qualitätssicherung werden zwar auch heute bereits firmenspezifisch Felddaten erhoben, diese sind aufgrund der Art der Datenerhebung allerdings oft nur für Statistiken unter ökonomi-schen Gesichtspunkten optimiert. Für quantitative Analysen unter Sicherheitsgesichtspunkten sind sie meist nur eingeschränkt verwendbar. Ein Grund hierfür ist, dass Qualitätsstatistiken fast ausschließlich nur für den Garantiezeit-raum einer Komponente erhoben werden. Außerhalb des Garantiezeitraumes ist es aufgrund der Infrastruktur der Datenerhebung derzeit schwierig verlässliche Fehlerdaten zu bestimmen. Einen theoretischen Modellansatz, um auch bei kurzer Beobachtungszeit Prognosen über die Garantiezeit hinaus treffen zu können, wird z.B. in [Mey-00] vorgestellt. Auch die Differen-zierung hinsichtlich der Fehler- bzw. Ausfallarten und die Korrelation der Fehlerhäufigkeiten mit Betriebs- oder Umgebungsbedingungen sind bei Qualitätsstatistiken meistens unzurei-chend. Eine Komponente die im südeuropäischen Raum eingesetzt wird zeigt andere Ver-schleiß- und Fehlercharakteristiken als eine Komponente die im nordeuropäischen Klimaraum betrieben wird. Qualitätsstatistiken gestatten Rückschlüsse, beispielsweise auf Einsatz- oder Temperaturprofile die eine Komponente erfahren hat, meist nur sehr eingeschränkt. Jedoch ist gerade die Stratifizierung der Daten für Sicherheitsanalysen von besonderer Relevanz. Strati-fizieren bedeutet, Daten nach festgelegten Unterscheidungsmerkmalen zur Analyse zu tren-nen. Schon bei der Datenerhebung sind Stratifizierungsmerkmale zu berücksichtigen. Als Stratifizierungsmerkmale kommen mögliche Einflussgrößen wie beispielsweise Einbauort, Belastung durch Temperaturzyklen, mechanische Belastungen usw. in Frage. So lassen sich Korrelationen zwischen den Fehlermechanismen und deren Häufigkeiten herstellen und somit mögliche Verbesserungsmaßnahmen ableiten. Auch lassen sich nur auf diese Weise Felder-fahrungen auf neue Systeme übertragen, für die noch keine Ausfallstatistiken vorliegen. Es kommt hinzu, dass heute keine 100%ige Rückmeldungsquote fehlerhafter Komponenten garantiert werden kann. Im Allgemeinen muss also beachtet werden, dass Felddaten dazu ten-dieren, die Zuverlässigkeit der Komponenten zu überschätzen. Da nie alle Fehlerereignisse im Feld bekannt werden, sind Felddaten meist eher als optimistisch anzusehen. Felddatenerhe-bungen können für quantitative Risiko- und Sicherheitsanalysen dann verwendet werden, wenn die Infrastruktur der Felddatenerhebung eine hohe statistische Signifikanz der Daten garantieren kann, Komponentenausfälle über die gesamte Produktlebensdauer erfasst werden und eine Stratifizierung der Daten erfolgt. Felddatenerfassungen für die Verwendung in quan-titativen Sicherheitsanalysen müssen weit höheren Anforderungen genügen als Qualitätsstatis-


tiken. Eine deshalb immer noch angewendete und zulassungsrechtlich akzeptierte Methode ist die Verwendung von Ausfallratenhandbüchern, wie dem [MIL-217] und dem [RDF-2000]. Parametrierung mit standardisierten Ausfallraten-Handbüchern Für die Vorhersage der Fehlerraten für permanente Fehler existieren verschiedene Modelle. Eines der gebräuchlichsten ist das MIL-HDBK-217F [MIL-217] des amerikanischen Vertei-digungsministeriums. Das Modell ist in Gleichung 6.1 formelmäßig beschrieben.

( )ETQL πλπλππλ 21 += Gl. 6.1

Sämtliche Parameter des Modells in Gleichung 6.1 sind im Handbuch in tabellarischer Form angegeben. Dabei bedeutet λ1 die Basisfehlerrate, die durch die Komplexität des Bauteils be-stimmt wird. λ2 bezeichnet die Basisfehlerrate des Bauteilgehäuses. Die generellen Umwelt-bedingungen in denen das Bauteil arbeitet werden durch πE berücksichtigt, während πT die Sperrschichttemperatur in die Fehlerrate einfließen lässt. Ein wichtiger Einfußfaktor für die Zuverlässigkeit eines Bauteils ist die Beherrschung des Herstellungsprozesses. Diesem Um-stand wird durch die Parameter πQ und πL Rechnung getragen. Dabei berücksichtigt πQ das allgemeine Qualitätsniveau des Prozesses, während πL die Erfahrung des Herstellers bei der Produktion des betrachteten Bauteils mit einbezieht. Als Datenbasis zur Berechnung der Ausfallrate enthält das [MIL-217] die Ausfallraten von elektrischen als auch elektronischen Bauelementen, außerdem eine Anzahl von elektromecha-nischen Komponenten. Grundlage der Berechnung ist das einfache Exponentialmodell (Kapi-tel 2.2). Alterungsprozesse während des Betriebes werden nicht berücksichtigt. Der Einfluss-faktor π berücksichtigt Umgebungsbedingungen wie mechanische Schwingungen oder Feuch-te nur auf sehr unspezifische Weise. Beispielweise wird bei den Umgebungsbedingungen für erdgebundene Systeme zwischen „ground benign“, „ground fixed“ und „ground mobil“ unter-schieden. Diesen Betriebweisen werden unterschiedliche Faktoren π zugeordnet. Viele An-wender setzen die berechneten Systemausfallraten bzw. die in der Datenbasis vorhandenen Bauteilausfallraten mit den zu erwarteten Feldausfällen gleich. Allerdings ist das MIL-HDBK-217F auch aus eigenem Selbstverständnis heraus nicht dazu geeignet, die im Feld auf-tretenden Ausfälle verlässlich zu prognostizieren (siehe dazu [MIL-217] Abschnitt 3.3). Vielmehr dient die Ausfallraten-Analyse zu Berechnung vergleichender Kenngrößen, um bei-spielsweise unterschiedliche elektronische Schaltungen vergleichen zu können. In einer Studie [Bro-03] für plastikverpackte, kommerzielle integrierte Schaltkreise wurde die Vorhersage auf Basis des MIL-HDBK-217F und mit den tatsächlichen Ausfällen im Feld ver-gleichend untersucht. Das Ergebnis dieser Studie ergibt, dass heutige kommerzielle integrierte Schaltkreise im MIL-HDBK-217F deutlich zu schlecht bewertet werden. Dies weist auf eine


generelle Problematik hin, denn die einzelnen Modellfaktoren sind wenig definierte Größe und letztlich frei durch den Analysten wählbar. Da dieses Modell aber zu deutlich konservati-ven Schätzungen der Fehlerraten und damit meist zu Überdimensionierung führt, wird es nach wie vor bei quantitativen Analysen z.B. in der Luftfahrt verwendet. Da das MIL-HDBK- 217F schon seit 1995 nicht weiter gepflegt wird, veralten die dort dokumentierten Ausfallra-ten und dokumentieren den Stand der Bauteil- und Fertigungstechnologie immer weniger. Ein anderer weit verbreiteter Standard ist das Handbuch [RDF-2000]. Dieser Standard wurde im Jahr 2000 veröffentlicht und berücksichtigt zusätzliche, im MIL-HDBK-217F nicht mo-dellierte Fehlermechanismen, wie beispielsweise ein Coffin-Manson Modell für Temperatur-zyklen. Ein weiterer Vorteil ist, dass die prozentuale Verteilung unterschiedlicher Ausfallar-ten wie Kurzschluss, Unterbrechung und Drift dargestellt wird. Dieser Standard umfasst we-sentlich aktuellere Bauelement-Ausfallraten als das MIL-HDBK-217F. Die [RDF-2000] berücksichtigt hauptsächlich nur innere Fehler des Systems. Vorausgesetzt werden an die spezifischen Umgebungs- und Betriebsbedingungen angepasste bzw. ausge-wählte Bauteile. Im Gegensatz zum MIL-HDBK-217F ist daher der Einflussfaktor π zur Be-schreibung der Umwelteinflüsse nicht notwendig. Die einzige Ausnahme besteht darin, dass zwischen Bauteilen, die direkt mit der Systemumgebung gekoppelt sind und solchen, die kei-ne Interfacefunktion besitzen, unterschieden wird. Bei Interface-Elementen wie Aktoransteue-rungen wird die Ausfallrate erhöht. Durch diesen Ansatz werden Wechselwirkungen mit der Systemumgebung berücksichtigt. Ein wesentlicher Vorteil der [RDF-2000] im Vergleich zum MIL-HDBK-217F ist, dass Einsatz-Profile definiert werden können. Ein Einsatz-Profil wird in Zeiten mit Ein/Aus-Betrieb bei unterschiedlichen Umgebungstemperaturen, Arbeitsphasen mit permanentem Betrieb bei unterschiedlichen Umgebungstemperaturen und Ruhezeiten bzw. Lagerzeiten unterteilt, in denen das Bauteil nur den, durch die Umwelt hervorgerufenen Temperaturschwankungen ausgesetzt ist. Im Gegensatz zum MIL-HDBK-217F, das nur die reine Betriebszeit berücksichtigt, werden bei der [RDF-2000] daher sowohl die Betrieb- als auch die Ruhe- und Lagerzeiten und die Temperaturzyklen zur Berechnung der Ausfallrate benützt. Diese Bauteil-Temperaturenzyklen ergeben sich sowohl aus den Schwankungen der Umgebungstemperatur als auch durch die Verlustleistung bedingten Temperaturdifferenzen. Durch die Definition von Einsatzprofilen ist daher auch die Modellierung von spezifischen Klimazonen und Belastungskollektiven möglich. Die Modellierung berücksichtigt allerdings nur die Temperatur, nicht jedoch andere Klimafaktoren wie die Luftfeuchtigkeit. 6.2.4 Berechnung des Markov-Modells Für die Berechnung von Alterungseinflüssen und des Tauschs von Komponenten wurde die in Kapitel 2.4.3 erläuterte Modellierung mit fixer Zeitphasensegmentierung angewandt. Fixe


Zeitphasen erlauben eine sehr praxisnahe Modellierung regelmäßig präventiv getauschter Komponenten, beispielsweise von Batterien, deren Lebensdauer die Lebensdauer eines Fahr-zeugs in der Regel nicht erreicht. Für die Modellanalyse unter den diskutierten Aspekten sind gängige Tools in vielen Punkten nicht oder nur wenig geeignet. Hier müssten entsprechend leistungsfähige Tools erst noch entwickelt werden. Für die Berechnungen wurde daher teil-weise ein Standard-Programm verwendet, das Toolkit der Firma ITEM, teilweise wurden die Berechnungen auch mit MatLab durchgeführt. Hierbei müssen nummerische Aspekte bei der Berechnung berücksichtigt werden, da die Generatormatrix eines Markov-Modells meist meh-rere Größenordnungen bei den Fehlerraten durchstreicht. Einzige Fehlerquelle ist dabei der Rundungsfehler, welcher durch die endliche Anzahl an zur Verfügung stehenden Stellen be-dingt ist [Scher-02]. Im Zuge praktischer Berechnung hat sich gezeigt, dass aufgrund der Tat-sache, dass das Spektrum der Generatormatrix mitunter mehr als 12 Größenordnungen über-streicht, die Zahlendarstellung im IEEE-Format, welches 16 gültige Stellen zur Verfügung stellt, nicht mehr ausreichend ist [Scher-02]. Deshalb kann es abhängig von der Generator-matrix notwendig sein sämtliche Berechnungen im CRAY-Zahlenformat mit einer Maschi-nengenauigkeit von 10-29 durchzuführen. Da im Rahmen dieser Arbeit die Modellierung und Bewertung im Vordergrund steht und nicht die Eigenschaften numerischer Verfahren zur Lö-sung von Differentialgleichungssystemen, wird an dieser Stelle auf eine weitere Diskussion nummerischer Aspekte verzichtet und auf die hierfür einschlägige Literatur verwiesen.

6.3 Modellanalyse – Beispielhafte Ergebnisse Die Ergebnisse für das BbW-Bordnetz aus der Modellanalyse können hier nur beispielhaft dargestellt werden. Es wurde aber im Folgenden darauf geachtet die Darstellungen so zu wäh-len, dass die diskutierten neuen Analyse- und Bewertungsmöglichkeiten in der praktischen Anwendung transparent werden. Nicht dargestellt werden die einzelnen Parameterwerte für die Fehlerraten. Sie sind für das Verständnis der Analysemethodik auch nicht notwendig. Die Ergebnisse für Fehlerraten werden ausschließlich in der im Automobilbereich üblichen Form „ppm/a“ angegeben. Falls nichts anderes angemerkt ist wird dabei von einer durchschnittli-chen Nutzungsdauer eines Fahrzeugs von 600 h pro Jahr ausgegangen. 6.3.1 Analyse der Fehlerpfade Als erstes Beispiel wird die Verwendung der FSRA für die Analyse der Fehlerpfade in gefähr-liche Zustände gezeigt. Die Realisierungsraten für die Fehlerpfade sind zu jedem beliebigen Zeitpunkt oder Zeitintervall berechenbar. Für die folgenden Berechnungen werden die Reali-sierungsraten für ein Fahrzeug nach 15 Jahren Einsatzzeit aufgezeigt.


1E-16

1E-15

1E-14

1E-13

1E-12

1E-11

1E-10

1E-09

1E-08

1E-07

1E-06

1E-05

0,0001

0,001

0,01

0,1

1G_

AA2A

A12A

A22A

A42A

A32A

A53A

A13A

A23A

A33A

A43A

A3e

3AA4

e3A

A53A

A63A

A5e

3AA6

e3A

A73A

A21

3AA8

3AA9

3AA1

03A

A11

3AA2

23A

A12

3AA1

33A

A14

3AA1

53A

A16

3AA2

33A

A17

3AA1

83A

A19

3AA2

43A

A20

4AA1

4AA2

4AA1

e4A

A2e

4AA3

4AA4

4AA5

4AA6

4AA7

4AA8

4AA7

e4A

A8e

4AA9

4AA1

04A

A11

4AA1

24A

A13

4AA1

44A

A15

4AA1

64A

A17

4AA1

84A

A17e

4AA1

8e4A

A19

4AA2

04A

A21

4AA2

24A

A23

4AA2

44A

A23e

Fehlerpfade in gefährliche (absorbierende) ZuständeR

ealis

ieru

ngsr

ate

in p

pm/a

Drittfehler ViertfehlerZweitfehler

Gesamtgefährdungsrate Fehlerpfade des BbW-Bordnetzes

Bild 6.8: Prinzipielle Darstellungsweise der Ergebnisse aus der Fehlerpfadanalyse

Die erste Graphik in Bild 6.8 soll zunächst lediglich die Art der Darstellung für eine beispiel-hafte Parametrierung aufzeigen und noch keinen detaillierten Einblick in die Ergebnisse er-möglichen. Entlang der Abszisse sind die aus dem Markov-Modell übernommen einzelnen Fehlerpfade des Systems mit nach rechts zunehmender Fehlerebene aufgetragen. Die Ordinate stellt die Realisierungsrate in ppm/a nach 15 Jahren Einsatzzeit dar. Der von links erste Bal-ken auf der Abszisse wird im Folgenden immer die Gesamtgefährdungsrate repräsentieren, sofern nichts anderes angegeben wird. Aus der Graphik ist ersichtlich, dass die einzelnen Feh-lerpfade teilweise erhebliche Unterschiede in der Realisierungsrate aufweisen. Es tritt aber aus der Graphik auch eine weitere, besonders wichtige Erkenntnis hervor: es kann nicht grundsätzlich davon ausgegangen werden, dass mit zunehmender Fehlerebene die Gefährdung unwahrscheinlicher wird. Manche Fehlerpfade in der dritten oder vierten Fehlerebene sind deutlich wahrscheinlicher als andere Fehlerpfade in der Zweitfehlerebene. Das resultiert meist aus speziellen Abhängigkeiten zwischen Fehlerereignissen. Das die Darstellung erst in der Zweitfehlerebene beginnt liegt an der fehlertoleranten, zweikanaligen Struktur des Systems. Es existiert kein Einzelfehler, der zu einem als gefährlich klassifizierten Zustand führen kann. In der Darstellung in Bild 6.8 fällt eine gewisse Symmetrie bei einigen Fehlerpfaden auf. Dies liegt am symmetrischen Aufbau der beiden Kanäle des BbW-Bordnetzes, der sich natürlich in gleichen Realisierungsraten für gleiche Fehlerpfade niederschlägt. Bei einem symmetrischen


System kann dieser Sachverhalt nützlicherweise als zusätzliche Kontrollmöglichkeit bei der Auswertung verwendet werden. Bei diversitären Systemen, bei denen also die einzelnen Ka-näle unterschiedlich aufgebaut wären, würde sich diese Symmetrie nicht zeigen.

0,000001

0,00001

0,0001

0,001

0,01

0,1

1

G_AA

2AA1

2AA4

2AA5

3AA1

03A

A11

3AA1

33A

A15

3AA1

63A

A17

3AA1

83A

A20

3AA2

23A

A23

3AA3

3AA3

e3A

A53A

A5e

3AA8

3AA9

4AA1

74A

A17e

4AA1

84A

A18e

4AA1

94A

A64A

A74A

A7e

4AA8

4AA8

e

Fehlerpfade in gefährliche Zustände

Rea

lisie

rung

srat

e in

ppm

/a

Spannungswandler mit 99%-Ausfall / 1%-Kurzschluss

Spannungswandler mit 85%-Ausfall / 15%-Kurzschluss

Bild 6.9: Einfluss des Fehlerbildes eines Spannungswandlers

Bei den weiteren Beispielen erfolgt jeweils eine Reduzierung der Betrachtung auf im Sinne der Probabilistik relevante Fehlerpfade. Das Bild 6.9 zeigt die Ergebnisse einer Berechnung, bei der der Einfluss des Fehlerbildes eines Spannungswandlers untersucht werden sollte. Ein bestimmtes Fehlerbild, hier angenommen als Relation zwischen Kurzschlussfehler und hoch-ohmigem Ausfall1, kann sich mehr oder weniger ausgeprägt auf die Gesamtgefährdungsrate bzw. die einzelnen Fehlerpfade auswirken. Bild 6.9 macht deutlich, dass sich in dem unter-suchten Fall das Fehlerbild eines Spannungswandlers nur marginal auf die Gesamtgefähr-dungsrate auswirkt. Dagegen werden aber bestimmte Fehlerpfade besonders stark beeinflusst. Aus der Untersuchung lässt sich schlussfolgern, dass ein auf möglichst wenig Kurzschlussfeh-ler optimierter Spannungswandler zwar bei der Gesamtgefährdungsrate kaum Verbesserungen bewirkt, insbesondere aber bestimmte Zweitfehler deutlich unwahrscheinlicher werden lässt. Das System wird dadurch robuster. Ob der Aufwand für das spezielle Design eine Span-nungswandlers hier tatsächlich gerechtfertigt ist, kann so systematisch beurteilt werden.

1 Der Spannungswandler kann prinzipiell auch weitere Fehlerbilder zeigen, z.B. Überspannung am Ausgang. Für die Berechnung wurden hier exemplarisch aber nur diese beiden Fehlermodi zugrunde gelegt.


Über die Bezeichnungssystematik der einzelnen absorbierenden Zustände lässt sich im Übri-gen jeder Fehlerpfad im Markov-Graph genau nachvollziehen. So lässt sich nach einer Be-rechnung auch der Grund analysieren, weshalb eine spezielle Maßnahme auf manche Fehler-pfade verbessernd respektive verschlechternd wirkt. 6.2.2 Analyse der Restfahrzeit in einem degradierten Zustand Eine weitere wichtige Frage ist die Frage nach der Zeit, wie lange ein System in einem degra-dierten Zustand betrieben werden darf. Da eine (mittlere) Aufenthaltszeit in dem Markov-Modell leicht modelliert werden kann (Kapitel 3.4), lässt sich auch dieser Einflussfaktor ge-zielt untersuchen und entsprechende Schlussfolgerungen bzw. Optimierungen ableiten.

0,000001

0,00001

0,0001

0,001

0,01

0,1

1

10

G_AA

2AA1

2AA2

2AA3

2AA4

2AA5

3AA3

3AA5

3AA8

3AA9

3AA1

03A

A11

3AA1

53A

A16

3AA1

73A

A18

3AA2

03A

A21

3AA2

23A

A23

3AA2

44A

A34A

A64A

A17

4AA1

84A

A19

4AA2

14A

A22

Fehlerpfade in gefährliche Zustände

Rea

lisie

rung

srat

e in

ppm

/a

10 Tage Restfahrzeit im Zustand AO

1 Tag Restfahrzeit im Zustand AO

Bild 6.10: Einfluss der Restfahrzeit in einem degradierten Zustand

Bild 6.10 zeigt das Balkendiagramm für den Einfluss der Restfahrzeit in dem Zustand „AO“, bei dem ein Kanal ausgefallen und der andere voll funktionsfähig ist. Es ist aus der Gesamtge-fährdungsrate ersichtlich, dass die Restfahrzeit in einem Zustand, indem nur noch ein funkti-onsfähiger Kanal zur Verfügung steht, einen drastischen Einfluss auf die Sicherheit des Fahr-zeugs hat. Während bei 10 Tagen Restfahrzeit die Gesamtgefährdungsrate deutlich über ei-nem ppm/a liegt und damit die Anforderung von 0,6 ppm/a der Robert Bosch GmbH nicht erfüllen würde, liegt die Gesamtgefährdungsrate bei nur 1 Tag Restfahrzeit bei deutlich unter 0,1 ppm/a. Daraus lässt sich schlussfolgern, dass bei den gewählten Voraussetzungen nach


dem Ausfall eines Kanals unmittelbar ein Sicherheitskonzept eingeleitet werden muss, das das Fahrzeug in einen sicheren Zustand bringt. Eine längere Betriebszeit mit nur einem Kanal ist aus rein quantitativer Risikosicht nicht vertretbar. 6.2.3 Analyse der Zustandsgruppen Eine besondere Eigenschaft von Markov-Modellen ist die Flexibilität bei der Zuordnung von einzelnen Zuständen zu Zustandsgruppen. Je nach Klassifizierungsschema lassen sich die Zustände praktisch beliebig zu Gruppen oder Klassen zuordnen. Mit dieser Eigenschaft ist eine differenzierende Sicherheits- bzw. Risikobewertung möglich. Beim folgenden Analyse-beispiel wird auch auf den Unterschied zwischen der Interpretation der reinen Zustandswahr-scheinlichkeit und der in dieser Arbeit eingeführten Fehlersequenzrate eingegangen.

8,29E-09 1,14E-08 4,08E-12 8,24E-09 2,71E-10 1,52E-09 1,32E-06

1,28E-05

1,19E-04

0,00E+00

2,00E-05

4,00E-05

6,00E-05

8,00E-05

1,00E-04

1,20E-04

1,40E-04

G_ZZ G_ZO G_DZ G_DO G_DD G_AZ G_AO G_AD G_AA

Zustandsgruppen

Wah

rsch

einl

ichk

eit e

iner

Zus

tand

sgru

ppe

Bild 6.11: Analyse der Wahrscheinlichkeit bestimmter Zustandsgruppen

Bild 6.11 zeigt die berechneten Wahrscheinlichkeiten der einzelnen Zustandsgruppen. Die Graphik ist zunächst so zu interpretieren, dass unter Berücksichtigung der Alterungseffekte nach 15 Jahren Einsatzzeit die Wahrscheinlichkeit besonderes hoch ist sich in der Zustands-gruppe „G_DO“ zu befinden (ein Kanal ist leistungsbegrenzt, der andere Kanal ist voll funk-tionsfähig), sofern man sich nicht im Ausgangszustand befindet. Die nächst wahrscheinlichste Zustandsgruppe ist immerhin bereits die gefährliche Zustandsgruppe „G_AA“, bei der beide Kanäle ausgefallen sind. Allerdings ist die reine Betrachtung der Zustandswahrscheinlichkei-ten nicht zur tatsächlichen Bewertung der Zustandsgruppen geeignet. Dies liegt daran, dass die Zustandswahrscheinlichkeit nur eine relative Verteilung angibt, in welchem Zustand man


sich zu einem bestimmten Zeitpunkt am wahrscheinlichsten befindet. Die Zustandswahr-scheinlichkeit lässt nicht erkennen wie häufig ein Zustand tatsächlich durchlaufen oder einge-nommen wird. Beispielsweise ist in dem zeitlich begrenzten Zustand „G_ZZ“ die Aufent-haltswahrscheinlichkeit immer sehr gering, da die mittlere Verweilzeit in diesem Zustand durch die zeitliche Begrenzung gering ist. Dennoch könnte der Zustand unverhältnismäßig häufig durchlaufen werden. Die reine Berechnung der Zustandswahrscheinlichkeiten aus der Lösung des Differentialgleichungssystems zum Markov-Modell liefert für transiente Zu-standsgruppen also keine zufrieden stellende Bewertungsmöglichkeit. Das in Bild 6.11 die Zustandsgruppe „G_DO“ besonders wahrscheinlich ist liegt einfach daran, dass man in die-sem Zustand noch keine besondere Sicherheitsmaßnahme wie Stillsetzung einleiten würde, die das System aus diesem Zustand heraus zwingen würde. Dagegen ist die Zustandsgruppe „G_AA“ dadurch gekennzeichnet, dass sie absorbierend ist und keine Transitionen aus diesen Zuständen heraus führen. Ein einmal erreichter Zustand „AA“ wird nicht mehr verlassen.

145,19

397,91

0,14 9,95 0,00 9,50

798,47

0,19 1,560

100

200

300

400

500

600

700

800

900

G_ZZ G_ZO G_DZ G_DO G_DD G_AZ G_AO G_AD G_AA

Zustandsgruppen

Eint

ritts

rate

in e

ine

Zust

ands

grup

pe in

ppm

/a

Bild 6.12: Analyse der Fehlersequenzrate bestimmter Zustandsgruppen

Wesentlich geeigneter zur Beurteilung der Relevanz einzelner Zustände oder Zustandsgrup-pen ist die Betrachtung deren Realisierungshäufigkeit über die Fehlersequenzrate. Das Bild 6.12 zeigt die Fehlersequenzraten der einzelnen Zustandsgruppen in ppm/a. Diese entsprechen gerade den Eintrittsraten in die jeweilige Zustandsgruppe. Bild 6.12 führt nun zu anderen Schlussfolgerungen als Bild 6.11. Es ist ersichtlich, dass die in Bild 6.11 dominierenden Zu-standsgruppen „G_DO“ und „G_AA“ nur selten eingenommen werden, im Beispiel „G_AA“ nur mit rund 2 ppm/a. Dagegen werden besonders häufig die Zustandsgruppen „G_AO“,


„G_ZO“ und „G_ZZ“ eingenommen. Da aus diesen aber durch Sicherheitsmaßnahmen recht schnell in einen sicheren Zustand übergegangen werden muss (siehe 6.2.2), ist deren Zu-standswahrscheinlichkeit in Bild 6.11 auch nur sehr gering. Dass gerade die Zustandsgruppen „G_AO“ und „G_ZO“ besonders häufig eingenommen werden wird transparent wenn man sich überlegt, dass diese Zustandsgruppen Erstfehlerereignisse repräsentieren. Über die Feh-lersequenzrate und der flexiblen Zuordnung von Zuständen zu Gruppen lassen sich nahezu beliebig differenzierende Bewertungsschemas bilden.

0

0,2

0,4

0,6

0,8

1

1,2

1,4

1,6

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Einsatzzeit in Jahren

Gef

ährd

ungs

rate

in p

pm/a

Bild 6.13: Verlauf der Gefährdungsrate über der Einsatzzeit

Bild 6.13 zeigt den Verlauf der Gefährdungsrate durch das BbW-Bordnetz in einen als ge-fährlich eingestuften Zustand (z.B. mit SIL3-Einstufung) zu gelangen. Durch die redundante Struktur des Systems (Abschnitt 1.1.1) und die Alterungseffekte im System ist die Gefähr-dungsrate nicht konstant, sondern steigt mit zunehmendem Einsatzalter an. 6.3.4 Ableitung von Sicherheitsmaßnahmen und Diagnoseanforderungen Definition von Sicherheitsmaßnahmen Nachdem das Markov-Modell aus dem MAFIA-Verfahren abgeleitet wurde ist es nicht als statisch und unveränderbar anzusehen. Vielmehr kann es als Werkzeug zur Untersuchung und zur Definition von Sicherheitsmaßnahmen Verwendung finden, die in das Markov-Modell hineinentwickelt werden. Aus den Ergebnissen der Modellanalyse wird ersichtlich, ob das Realisierungsrisiko bestimmter Fehlerszenarien tolerierbar gering ist oder durch geeignete Schutzmaßnahmen verringert werden muss. Besonderer Vorteil der gezeigten Analysemetho-


dik ist die Möglichkeit selektiv einzelne Fehlerpfade beurteilen zu können. Ergibt die Modell-analyse, dass bei bestimmten Ereignisketten ein nicht vertretbares Risiko besteht, können spe-ziell auf die Gefahrenszenarien optimierte Schutzmaßnahmen zur Risikominderung getroffen werden. Es ist dabei natürlich darauf zu achten, dass die Sicherheitsmaßnahmen selbst keine neuen Beiträge zur Gefahrenentstehung liefern. Über die entwickelte Methodik lässt sich auch die Verhältnismäßigkeit von Schutzkonzepten bewerten. Ableitung von Partitionierungskriterien für die Eigenfehlererkennung Aus den Analyseergebnissen wurde deutlich, dass mit dem Auftreten von Mehrfachfehlern durchaus zu rechnen ist. Dies gilt insbesondere dann, wenn das System nicht bereits nach je-dem Erstfehler stillgesetzt werden soll, sondern weiter betrieben wird. Für die Diagnose und Eigenfehlererkennung des Systems bedeutet dies, dass nicht nur Einfachfehler zuverlässig erkannt werden müssen. Vielmehr muss die Eigenfehlererkennung auch beispielsweise nach einem Zweitfehler noch in der Lage sein, den Fahrer über den augenblicklichen Systemzu-stand zu informieren. Entsprechend müssen die Diagnosefunktionen und Sensoren im System so partitioniert sein, dass beispielsweise ein Fehler im Spannungswandler nicht zum Ausfall der gesamten Eigenfehlererkennung führen kann. Aus dem Zustandsgraphen des Markov-Modells lassen sich unter diesem Aspekt aus den möglichen Fehlerszenarien gezielt Anforde-rungen an die Verteilung der Diagnosefunktionen ableiten. Der im jeweiligen Fehlerpfad po-tentielle Zweitfehler muss auch nach den Auswirkungen des Erstfehlers noch diagnostizierbar sein. Der Markov-Graph kann also auch qualitativ zur Ableitung sicherheitsgerichteter Parti-tionierungskriterien und –anforderungen verwendet werden.

6.4 Zusammenfassung zu Kapitel 6 Die in dieser Arbeit entwickelten Methoden und Erkenntnisse konnten erfolgreich in einem Entwicklungsprojekt angewendet werden. Auch bei einem komplexeren System ergibt sich bei dem hier angewendeten MAFIA-Verfahren, durch eine geeignete Hierarchisierung in Be-trachtungsebenen, eine überschaubare Anzahl von Modellzuständen. Natürlich basiert die Analyse und die sicherheitsgerichtete Optimierung des Systems immer auf der Annahme, dass das entwickelte Markov-Modell das Systemausfallverhalten in ausreichender Weise be-schreibt. Da sich bei der Modellierung, wie auch bei jedem anderen menschlichen Handeln, Fehler nicht grundsätzlich vermeiden lassen, sollten Systeme nie allein auf quantitativer Basis bewertet werden. Die in dieser Dissertation vorgestellten Ansätze sind deshalb so gewählt, dass sie über die quantitative Analyse hinaus auch weitere, qualitative Analysemöglichkeiten bieten. Insbesondere ging es darum eine transparente Vorgehensweise zu entwickeln, die als Grundlage für fundierte Designentscheidungen und den Sicherheitsnachweis dienen kann. Es ist sicherlich einsichtig, dass in der Art und Weise der hier durchgeführten Analysen jeder


modellierte Parameter untersucht und optimiert werden kann. Neben den in Kapitel 6 bei-spielhaft diskutierten Parametern sind weitere Parameter, wie die Testrate oder die Entde-ckungswahrscheinlichkeit der Eigenfehlererkennung, von Relevanz. Das folgende Kapitel 7 soll die Erkenntnisse der Arbeit noch einmal zusammenfassen und daneben auch einen Ausblick auf mögliche weiter Arbeiten geben.

157

Kapitel 7

Zusammenfassung und Ausblick

7.1 Rekapitulation der wissenschaftlichen Erkenntnisse Der Einsatz elektrischer und elektronischer Systeme im Bereich der aktiven Fahrzeugführung setzt bei der elektrischen Energieversorgung die Versorgungszuverlässigkeit von Fahrzeug-systemen mit direkter Relevanz für die Fahrzeugsicherheit in den Mittelpunkt der Auslegung. X-by-Wire-Systeme sind existentiell auf die Versorgung mit elektrischer Energie angewiesen und stellen deshalb völlig neue Anforderungen an die Sicherheit. Daraus ergeben sich auch signifikante Auswirkungen auf die elektrische Energieversorgung im Kraftfahrzeug, sowie auf die Methoden zur Analyse und Bewertung der Systemsicherheit. Die endliche Zuverläs-sigkeit der Betriebsmittel ist dafür verantwortlich, dass elektrische Energiebordnetze sicher-heitsrelevante Fahrzeugsysteme auch nur mit endlicher Zuverlässigkeit versorgen können. Die elektrische Energieversorgung wird dadurch selbst zu einem sicherheitsrelevanten Infrastruk-tursystem, dessen Ausfallverhalten und dessen Einfluss auf die Sicherheit analysiert und be-wertet werden muss. Die endliche Zuverlässigkeit ist eine wesentliche Eigenschaft, die sich nur definiert und minimal auf die Sicherheit auswirken darf. Die Aufgabe der modellbasierten quantitativen Analyse besteht nun darin, das Ausfallverhal-ten eines betrachteten Systems in einem mathematischen Modell zu formulieren und es so einer quantitativen Bewertung und weiterführenden Untersuchungen zugänglich zu machen. Das Modellieren und Bewerten verlangt hierbei die Anwendung geeigneter Methoden. Diese sind abhängig von der Aufgabenstellung, den Randbedingungen des Einsatzes, sowie vor al-lem von den systemspezifischen Eigenschaften, die bei der Modellbildung und Modellanalyse berücksichtigt werden müssen. Zielsetzung dieser Arbeit lag diesbezüglich in der Entwick-lung einer Modellierungs- und Bewertungsmethodik, um das Ausfallverhalten elektrischer

158 Kapitel 7 Zusammenfassung und Ausblick

Energieversorgungssysteme unter den speziellen Randbedingungen bei sicherheitsrelevanten Kraftfahrzeuganwendungen hinsichtlich der Sicherheit zu analysieren. In den vorangegange-nen Kapiteln wurden unter dieser Zielsetzung verschiedene methodische Bausteine für eine quantitative Ausfallanalyse entwickelt und diskutiert, auf deren Basis der modellbasierte Nachweis, dass sicherheitstechnische Anforderungen erfüllt werden, erfolgen kann. Nach einer Diskussion der sicherheitstechnischen Zusammenhänge und Anforderungen wur-den die systemspezifischen Eigenschaften von sicherheitsrelevanten elektrischen Energiever-sorgungssystemen identifiziert, die bei einer Modellbildung berücksichtigt werden müssen. Daraus wurden Kriterien abgeleitet, mit denen die Anwendbarkeit der existierenden Modellie-rungsmethoden der Zuverlässigkeitstheorie in einer vergleichenden Bewertung untersucht und gegenübergestellt wurden. Die Methoden wurden ausführlich diskutiert und Defizite aufge-zeigt. Die vergleichende Bewertung hat erwiesen, dass für die hier betrachteten Systeme die Markov-Theorie besonders geeignet ist. Es konnte gezeigt werden, dass alle relevanten Aus-fallverhaltensweisen von elektrischen Energiebordnetzsystemen mit Markov-Prozessen mo-delliert werden können. Neben Ausfällen und Fehlern haben auch weitere Einflüsse, wie bei-spielsweise Alterungen, Fehlererkennungseigenschaften, Reparaturen, Inspektionen und Rest-fahrzeiten in einem degradierten Systemzustand, erheblichen Einfluss auf die Zuverlässig-keits- und Sicherheitseigenschaften eines Systems. Im Gegensatz zu allen anderen Methoden lassen sich diese Einflussfaktoren geschlossen in einem Markov-Modell berücksichtigen. Die Erstellung eines Markov-Modells für ein komplexes Ausfallverhalten ist allerdings nicht trivial. Auch ist, wegen der besonderen Relevanz sicherheitstechnischer Systeme, eine Ein-fachfehlerbetrachtung nicht ausreichend. Die Annahme, dass bereits Zweifach- oder Dreifach-fachfehler hinreichend unwahrscheinlich sind, ist unzulässig. Vielmehr müssen alle relevan-ten Fehlerszenarien eines Systems identifiziert und bewertet, sowie aus den Ergebnissen Si-cherheitsmaßnahmen abgeleitet werden. Deswegen wurde im Rahmen der Dissertation auch eine Vorgehensweise entwickelt, die sowohl zur systematischen Identifikation von Fehlersze-narien und Ereignisverkettungen dient, als auch eine vereinfachte Erstellung eines Markov-Modells ermöglicht. Darüber hinaus ist sie eine transparente nachvollziehbare Form der Do-kumentation. Um eine möglichst breite Akzeptanz bei der Anwendung zu erreichen, basiert die Vorgehensweise auf einer modifizierten Form der FMEA kombiniert mit Fehlerkorrelati-onstabellen für sequentielle Mehrfachfehler. Es konnte an einer realen Problemstellung ge-zeigt werden, dass die Markov-Analyse mit diesem Strukturierungskonzept grundsätzlich nicht nur für sehr einfache Systeme anwendbar ist, wie z.B. in [Xing-03] behauptet wird. Durch die beispielhafte Anwendung an einem Brake-by-Wire-Bordnetz wurde weiterhin deut-lich, dass die Markov-Analyse auch als Hilfsmittel bei der Optimierung der Eigenfehlerer-kennung verwendet werden kann. Auch die Identifizierung von CCF kann unterstützt werden. Dies ist möglich, da über die zustandsraumbasierte Markov-Modellierung immer eine Ge-

Kapitel 7 Zusammenfassung und Ausblick 159

samtsystemsicht gegeben ist. Andere Methoden, wie die Ereignisbaumanalyse oder die Feh-lerbaumanalyse, bieten diese Möglichkeiten nicht, da nur Einzelereignisse betrachtet werden. Um die Bewertungsmöglichkeiten zu erweitern, wurden im Rahmen der Arbeit sowohl neue Kenngrößen eingeführt, als auch die besondere Problematik von statistischen Parameterunsi-cherheiten diskutiert. Diese bestimmen und begrenzen letztlich die Aussagekraft einer quanti-tativen Zuverlässigkeits- bzw. Sicherheitsanalyse. Die einzelnen methodischen Bausteine wurden in Kapitel 6 bei der Analyse eines beispielhaf-ten Brake-by-Wire-Bordnetzes zu einer Modellierungs- und Bewertungsmethode vereint, die sich bei der Anwendung unter praktischen Gegebenheiten bewährt hat. Fokussiert hat diese Dissertation vor allem die Analyse der elektrischen Energieversorgung für sicherheitsrelevan-te Fahrzeugsysteme. In wieweit die einzelnen methodischen Bausteine auch für andere techni-schen Systeme mit ähnlichen oder gleichen Eigenschaften oder Randbedingungen verwendet werden können, bleibt der Untersuchung weiterer Arbeiten vorbehalten. Für stark softwareba-sierte Systeme werden eher andere Methoden, wie beispielsweise formale Methoden, zur Ve-rifikation und Überprüfung von Sicherheitseigenschaften geeignet sein [Moik-02]. Da die Betrachtungen und Diskussionen in dieser Arbeit nicht erschöpfend sein können, werden im nächsten Abschnitt mögliche weiterführende Arbeiten vorgestellt.

7.2 Ausblick auf weiterführende Arbeiten Methoden zur Felddatenerfassung Die Aussagekraft quantitativer Zuverlässigkeits- und Sicherheitsanalysen hängt im Wesentli-chen von der Qualität der Modellparameter ab. Die Bereitstellung einer konsistenten Datenba-sis mit hohem statistischem Vertrauensniveau ist Vorraussetzung für die Anwendung quanti-tativer Modellierungsmethoden. Die meist firmenspezifischen Datensammlungen im indus-triellen Bereich sind heute noch überwiegend auf betriebswirtschaftliche Belange im Bezug auf Qualitäts- und Garantiekosten fokussiert und weniger auf den Einsatz bei der Entwicklung sicherheitsrelevanter Systeme. Die Verwendung der Daten aus standardisierten Handbüchern, wie dem [MIL-217] oder der [RDF-2000], ist zwar prinzipiell möglich, diese sind jedoch we-gen ihres äußerst konservativen Charakters lediglich für vergleichende Untersuchungen ge-eignet. Sie ersetzen nicht eine kontinuierliche Felddatenerfassung und -analyse. Weitere Anstrengungen müssen deshalb vor allem dahin gehen, fundierte Datenbasen zu schaffen, die eine Korrelation zwischen Ausfallhäufigkeiten und den Umständen ermöglicht, unter denen Fehler oder Ausfälle auftreten. Nur so lassen sich Zusammenhänge zwischen Einsatzbedingungen und Ausfallhäufigkeiten herstellen, die gezielt zur Ableitung von Opti-mierungsmaßnahmen eingesetzt werden können. In der Automobilindustrie besteht im Ge-


gensatz zu anderen technischen Bereichen, wie der Luftfahrt, die Situation, dass man Kompo-nenten mit hohen Stückzahlen im Feldeinsatz hat. Wahrscheinlichkeitsbezogene Aussagen zu bestimmten Fehlerereignissen lassen sich deshalb prinzipiell mit relativ hohem Vertrauensni-veau ableiten. Es ist somit in der Automobilindustrie weniger eine Frage der prinzipiellen technischen Machbarkeit Datenmaterial für quantitative Analysen bereitzustellen, als viel-mehr eine Frage der Bereitschaft, die notwendige Infrastruktur und die notwendigen Metho-den für die Felddatenerfassung innerhalb einer Organisationseinheit zu implementieren. Automatisierte Erstellung von Zuverlässigkeits- und Sicherheitsmodellen Jegliche manuelle Modellerstellung ist im Wesentlichen ein subjektiver Prozess. Dieser kann zwar durch entsprechende Vorgehensweisen systematisiert werden (Kapitel 4), erfordert je-doch trotzdem Erfahrung und zeitlichen Aufwand. Dagegen hat sich die Simulation techni-scher Systeme bereits in vielen Entwicklungsbereichen als integraler Bestandteil des Ent-wurfs- und Entwicklungsprozesses etabliert. Oft werden Simulationen gerade auch zur Feh-lerauswirkungsanalyse eingesetzt. Dies legt den Ansatz nahe Zuverlässigkeits- und Sicher-heitsmodelle aus meist ohnehin eingesetzten Simulationsmodellen abzuleiten. In [Pet-05] wird z.B. die automatisierte Fehlerbaumsynthese diskutiert. Die Simulationsumgebung eines nautischen Brennstoffsystems wird beispielhaft dazu verwendet, automatisiert einen Fehler-baum zu erstellen. Der methodische Ansatz besteht darin, dass jeder Komponente Fehlerdaten hinterlegt sind. Die Auswirkungen jeder Fehlerart auf das System werden über einen steuern-den Algorithmus aus der Simulation ermittelt und in einen Fehlerbaum überführt. Auch die automatische Generierung eines Markov-Modells aus einem Simulationsmodell könnte eine Vereinfachung bei der Zuverlässigkeits- und Sicherheitsanalyse bieten. Der automatisierten Erstellung von Sicherheitsmodellen stehen jedoch mehrere kritische Punkte entgegen.

Die Transparenz der Ergebnisse ist deutlich eingeschränkt. Komplexe Ausfallverhal-tensweisen lassen sich nicht mehr ohne weiteres nachvollziehen.

Der explizite Bezug zum System bei der Sicherheitsanalyse geht verloren. Gerade die manuelle Modellierung erfordert von den Entwicklern eine systematische Auseinan-dersetzung mit dem System und dem spezifischen Ausfallverhalten.

Letztlich ist fragwürdig, ob der zeitliche Aufwand tatsächlich minimiert werden kann. Die Fehlerauswirkungen müssen zwar im Rahmen der Sicherheitsanalyse nicht mehr manuell überlagert werden, jedoch muss das Simulationsmodell die Fähigkeit besit-zen, alle relevanten Fehler und Fehlerauswirkungen abzubilden. Der zeitliche Auf-wand wird deshalb vor allem nur in die Erstellung des Simulationsmodells verlagert.

Common Cause Fehler werden ggf. nicht berücksichtigt, da das Simulationsmodell funktional aufgebaut ist und nicht den physikalischen Aufbau des Modells nachbildet.

Es bleibt deshalb kritisch zu prüfen, ob die automatisierte Erstellung von Zuverlässigkeits- und Sicherheitsmodellen tatsächlich einen rechtfertigenden Gewinn erzielt.

Kapitel 7 Zusammenfassung und Ausblick 161

Sensitivitätsanalyse mit evolutionären Algorithmen Die Modellauswertung in Kapitel 6 hat gezeigt, dass die Analyse von Sensitivitäten zu einer aufwendigen Aufgabenstellung werden kann. Hier könnte es möglicherweise von Vorteil sein, relevante Sensitivitäten durch evolutionäre Algorithmen zu identifizieren.

7.3 Schlusswort Steigende Sicherheit im Straßenverkehr ist einer der Hauptinnovationstreiber in der Automo-biltechnik. Von den Nutzern und der Gesellschaft wird erwartet, dass sich das Sicherheitsni-veau insbesondere der elektrischen und elektronischen Fahrzeugsysteme kontinuierlich in Richtung einer Reduktion von Risiken entwickelt. Die Zuverlässigkeit von technischen Kom-ponenten lässt sich allerdings nicht beliebig steigern. Da durch die endliche Zuverlässigkeit Fehler und Risiken nicht vollständig vermeidbar sind und qualitative Bewertungsverfahren oftmals einen großen Ermessensspielraum haben, werden risikoorientierte quantitative Analy-severfahren in der Kraftfahrzeugtechnik zunehmend an Bedeutung gewinnen, um sicherheits-relevante Systeme unter dem Aspekt ihres Risikopotenzials zu bewerten und zu verbessern. Probabilistische Zuverlässigkeits- und Sicherheitsanalysen sind selbstverständlich kein Garant dafür, dass alle technischen Gefährdungsszenarien erkannt oder vermieden werden. Auch sind sie selbst noch kein Sicherheitsnachweis sondern vielmehr ein Baustein in der Nachweisfüh-rung. Modellbasiert lassen sich schließlich nur jene Eigenschaften analysieren und bewerten, die bei der Modellbildung berücksichtigt werden können. Aber modellbasierte quantitative Methoden führen auf eine systematische Beschreibung von wechselwirkenden Eigenschaften und insbesondere von Fehlerhäufigkeiten im betrachteten System, die bei qualitativen Analy-sen sonst nur intuitiv berücksichtigt werden. Die Modellbildung erfordert zudem im Rahmen der Abstraktion eine konsequente Bewertung von relevanten und nicht relevanten Einflüssen. Modellvorstellungen zu entwickeln ist demnach nicht als Ersatz sondern als sinnvolle und notwendige Ergänzung bestehender deterministischer Methoden der Sicherheitsanalyse zu sehen. Erst das modellhafte Beschreiben des Ausfallverhaltens ermöglicht letztlich weiterge-hende Untersuchungen zu den Fehlerprozessen, die zur Entwicklung gefährlicher Systemzu-stände führen. Wie in dieser Arbeit gezeigt wurde, lassen sich erst so gezielte Systemoptimie-rungen hinsichtlich der Reduzierung technischer Risiken erzielen. Ist eine hohe Sicherheit bei verschiedenen Lösungen nachgewiesen, kann die ökonomischste Variante gewählt werden. In vielen Publikationen werden die Methoden der Luftfahrt als Paradebeispiel für die Ent-wicklung sicherheitsrelevanter Systeme zitiert ([Kress-04], [Kress-05]). Methoden aus der Luftfahrt oder auch aus anderen Bereichen unverändert zu übernehmen, steigert jedoch nicht automatisch die Zuverlässigkeit oder Sicherheit künftiger Fahrzeugsysteme. Wie gezeigt wur-


de, gibt es kein allgemeingültiges Modellierungs- und Bewertungsverfahren, das für alle Sys-teme oder Fragestellungen verwendet werden kann. Die Wahl der geeigneten Methode hängt von den Eigenschaften des zu untersuchenden Systems, den Randbedingungen und den zu klärenden Fragestellungen ab. Abgestimmt auf die speziellen Eigenschaften des zu analysie-renden Systems muss daher ein geeignetes Analysewerkzeug angewendet werden. Diese Dissertation versteht sich als methodischer Beitrag, um elektrische Energiebordnetze für Kraftfahrzeugsysteme mit hoher Sicherheitsrelevanz hochzuverlässig, sicher und durch die Möglichkeit zur systematischen Optimierung auch kosteneffizient gestalten zu können.

163

Schrifttum [Abele-04] Abele, M.; Leohold, J.; Müller, W.; Haas, W.; Hoffmann, N.; Kraft, D.:

„Modellierung und Bewertung fehlertoleranter Energie-Bordnetzarchitekturen für X-by-Wire-Systeme.“ 12. Internationaler VDI-Kongress Berechnung und Simulation im Fahrzeugbau, VDI-Gesellschaft Fahrzeug und Verkehrstechnik, Würzburg, September 2004.

[Abele2-04] Abele, M.: „Modellierung und Bewertung von Fehlertoleranzmaßnahmen in Kfz-Energiebordnetzen für sicherheitsrelevante Verbraucher.“ Diplom-arbeit, Universität Kassel, 2004.

[Assaf-04] Assaf, T.; Dugan, J. B.: “Diagnostic Expert Systems from Dynamic Fault Trees.” In Annual Reliability and Maintainability Symposium 2004 Pro-ceedings, Los Angeles, January 2004.

[Barth-04] Barthlott, J.: „Modellierung und Parametrierung von Energie-Bordnetz-Architekturen im Kraftfahrzeug.“ Dissertation, Institut für Industrielle Informationstechnik, Universität Karlsruhe, 2004.

[Bause-96] Bause, F.; Kritzinger, P. S.: “Stochastic Petri Nets - An Introduction to the Theory.” Vieweg Verlag, Wiesbaden, 1996.

[Benz-04] Benz, S.: „Eine Entwicklungsmethodik für sicherheitsrelevante Elektro-niksysteme im Automobil.“ Dissertation, Universität Karlsruhe, 2004.

[Benz-03] Benz, S.: „Eine Entwicklungsmethodik für sicherheitsrelevante Elektro-niksysteme im Automobil.“ 15. ITG-Tagung der Informationstechnischen Gesellschaft im VDE, Timmendorfer Strand, 2003.

[Buch-00] Buchacker, K.: „Definition und Auswertung erweiterter Fehlerbäume für die Zuverlässigkeitsanalyse technischer Systeme“. Dissertation, Institut für Informatik, Friedrich-Alexander-Universität Erlangen Nürnberg, 2000.

[Bucha-00] Buchacker, K.: “Modelling with Extended Fault Trees.” In Proc. High-Assurance System Engineering Symposium HASE 2000. IEEE, 2000, Pages 238-246.

[Buch-98] Buchacker, K.: „Integration erweiterter Fehlerbäume und generalisierter

164 Schrifttum

stochastischer Petrinetze.“ In J. Desel, P. Kemper, E. Kindler, A. Ober-weis (Eds.): 5. Workshop Algorithmen und Werkzeuge für Petrinetze. Universität Dortmund, Fachbereich Informatik, Forschungsbericht Nr. 694, 1998, Pages 13 - 18.

[Boer-03] De Boer, R.: „Zuverlässigkeitstechnische Systemanalyse für schiffstechni-sche Systeme am Beispiel der elektrischen Energieversorgung.“ Disserta-tion, Technische Universität Hamburg-Harburg, Shaker Verlag, 2003.

[Boll-93] Bollen, M. H. J.: “Method for reliability analysis of industrial distribution systems.” IEEE Proceedings-C, Vol. 140, No. 6, November 1993, Pages 497 - 502.

[Breik-00] Breikin, T.; Arkov, V.; Kulikov, G.; Fleming, P.: “On Evolutionary Opti-misation of Markov Models of Aero Engines.” Proceedings of the 15th IEEE International Symposium on Intelligent Control. July 2000, Pages 235 - 239.

[Bro-03] Brown, L.M.: “Comparing Reliability Predictions to Field Data for Plastic Parts in a Military Airborne Environment.” IEEE Proceedings Annual Reliability and Maintainability Symposium, 2003.

[Cheng-00] Cheng, Y-L.: “Uncertainties in Fault Tree Analysis.“ Tamkang Journal of Science and Engineering, Vol. 3, No. 1/2000, Pages 23 - 29.

[Cin-79] Cin, M. D.: „Fehlertolerante Systeme – Modelle der Zuverlässigkeit, Ver-fügbarkeit, Diagnose und Erneuerung.“ Verlag Teubner, Stuttgart, 1979.

[Dil-02] Dilger, E; Dieterle, W.: „Fehlertolerante Elektronikarchitekturen für si-cherheitsgerichtete Kraftfahrzeugsysteme.“ at - Automatisierungstechnik. Ausgabe 50/2002. Seiten 375 - 381.

[DIN-40041] DIN-40041: „Zuverlässigkeit – Begriffe.“ DIN Deutsches Institut für Nor-mung e.V., Berlin, Dezember 1990.

[DIN-EN-60300-3-1]

DIN-EN-60300-3-1: „Verfahren zur Analyse der Zuverlässigkeit - Leitfa-den zur Methodik.“ DIN Deutsches Institut für Normung e.V., Berlin, Mai 2005.

[DIN-EN-61508]

DIN-EN-61508 Teil 0 - 7: „Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer Systeme.“ DIN Deutsches Institut für Normung e.V., Berlin, November 2002.

[Dugan-01] Dugan, J. B.: “Reliability Analysis of Computer-Based Systems using Dynamic Fault Trees.” Computer and Systems Engineering, University of Virginia, June 2001.

[Dugan-00] Dugan, J. B.; Meshkat, L.; Andrews, J. D.: “Analysis of safety systems with on-demand and dynamic failure modes.” Computer and Systems En-gineering, University of Virginia, 2000.

[Dugan-98] Dugan, J. B.; Manian, R.; Sullivan, K. J.; Coppit, D.: “Combining various solution techniques for dynamic fault tree analysis of computer based sys-

Schrifttum 165

tems.” In Proceedings of the Third IEEE International High-Assurance Systems Engineering Symposium, November 1998, Pages 21- 28.

[Ein-05] Einer, S.: „Szenarienspezifikation zur Systemverhaltensanalyse mit Petri-netzen.“ at - Automatisierungstechnik 53, Oldenbourg Verlag, Ausgabe 6/2005, Seiten 261 – 272.

[Flanz-99] Flanz, J.: „Methoden der Risikoquantifizierung verfahrenstechnischer An-lagen.“ Dissertation, Universität Dortmund, Shaker Verlag, 1999.

[Fritz-01] Fritz, A.: „Berechnung und Monte-Carlo Simulation der Zuverlässigkeit und Verfügbarkeit technischer Systeme.“ Dissertation, Institut für Ma-schinenelemente, Universität Stuttgart, 2001.

[FTE-03] FTE – Magazin: „Sicherheit im Straßenverkehr.“ FTE – Magazin für die europäische Forschung, Heft 37, 05/2003.

[Geis-90] Geist, R.; Trivedi, K.: “Reliability Estimation of Fault-Tolerant Systems: Tools and Techniques.” IEEE Computer Society, Vol. 23, No. 7, July 1990, Pages 52-61.

[Gran-03] Granata, F.; Delfanti, M.; Braun, D.; Palazzo, M.; Caletti, M.: “Reliability and Economic Analysis of Different Power Station Layouts.” IEEE Bolo-gna PowerTech Conference, June 23-26, Bologna, Italy, 2003.

[Ham-03] Hammett, R. C.; Babcock P. S.: „Achieving 10-9 Dependability with Drive-by-Wire-Systems.” Charles Stark Draper Laboratory, SAE Interna-tional, Cambridge, 2003.

[He-02] He, D.; Adamyan, A.: “Failure and Safety Assessment of Systems using Petri Nets.” Proceedings of the 2002 IEEE International Conference on Robotics and Automation, Washington DC, May 2002, Pages 1919 - 1924.

[Hine-92] Petterson-Hine, F. A.; Dugan, J. B.: “Modular Techniques for Dynamic Fault-tree Analysis.” IEEE Proceedings Annual Reliability and Maintai-nability Symposium, 1992, Pages 363 - 369.

[Höfle-78] Höfle-Isphording, U.: „Zuverlässigkeitsrechnung - Einführung in ihre Me-thoden.“ Springer-Verlag, Berlin, Heidelberg, 1978.

[IAEA-93] International Atomic Energy Agency. “Safety fundamentals - The safety of nuclear installations.” Vienna: IAEA; Safety series no. 110; 1993.

[Kauf-70] Kaufmann, A.: „Zuverlässigkeit in der Technik - Eine Einführung in die mathematische Theorie.“ R. Oldenbourg Verlag, München, 1970.

[Kirr-02] Kirrmann, H.; Großpietsch, K.-E.: „Fehlertolerante Steuerungs- und Rege-lungssysteme.“ at - Automatisierungstechnik 50, Oldenbourg Verlag, Heft 8/2002, Seiten 362 - 374.

[Kloep-90] Kloeppel, F. W.; Adler, G.; Sorin, W.; Tislenko, W.: „Zuverlässigkeit von Elektroenergiesystemen.“ 1. Auflage, VEB Deutscher Verlag für Grund-stoffindustrie, Leipzig, 1990.

166 Schrifttum

[Kress-05] Beugel-Kress, P.: „Die Sicherung der Zuverlässigkeit - Die Erfahrungen der Luftfahrt für die Automobilindustrie nutzen“. Elektronik Automotive Heft 4/2005, Seiten 43 – 48.

[Kress-04] Beugel-Kress, P.: „Diffuse Entwicklung - Prozess zur Gewährleistung zuverlässiger X-by-Wire-Systeme.“ QZ, Heft 10/2004, Carl-Hanser-Verlag, München, Seiten 25 – 30.

[Kull-01] Binfet-Kull, M.: „Entwicklung einer Steer-by-Wire-Architektur nach zu-verlässigkeits- und sicherheitstechnischen Vorgaben.“ Dissertation Bergi-sche Universität Gesamthochschule Wuppertal, 2001.

[Lange-99] Lange, C.; Friedrich, H.: „Stochastische Prozesse in Natur und Technik - Modellierung, Simulation, Zuverlässigkeit.“ 1. Auflage, Verlag Harri Deutsch, Frankfurt am Main, 1999.

[Längst-03] Längst, W.: „Formale Anwendung von Sicherheitsmethoden bei der Ent-wicklung verteilter Systeme.“ Dissertation Universität Karlsruhe/Robert Bosch GmbH, 2003.

[Laprie-01]

Laprie, J.-C.; Avizienis, A.; Randell, B.: “Fundamental Concepts of De-pendability.” Department of Computing Science, University of Newcastle upon Tyne, Technical Report 739, 2001, Pages 1 - 21.

[Laprie-00] Laprie, J.-C.; Avizienis, A.; Randell, B.: “Fundamental Concepts of De-pendability.” IEEE Computer Society / Software Engineering Institute Carnegie Mellon University, Position Paper for the Third Information Survivability Workshop -- ISW-2000 October 24-26, 2000.

[Lech-90] Lechner, G.; Bertsche, B.: „Zuverlässigkeit im Maschinenbau - Ermittlung von Bauteil- und System-Zuverlässigkeiten.“ Springer Verlag, Berlin, Heidelberg, New York, 1990.

[Leo-04] Leohold, J.: „Die Elektrische Infrastruktur für künftige Fahrerassistenz-systeme.“ Vortrag auf dem Braunschweiger Symposium für Fahrerassis-tenzsysteme und Transportmittel, Braunschweig, 2004.

[Leo-96] Leohold, J.: „Auslegung und Optimierung von Fahrzeug-Bordnetzen.“ VDI Berichte 437, 1996, Seiten 251 - 262.

[Lian-93] Lian, G.; Billinton, R.: “Monte Carlo approach to substation reliability evaluation.” IEE Proceedings-C, Vol. 140, No. 2, March 1993, Pages 147 - 152.

[Loman-02] Loman, J.; Wang, W.: “On Reliability Modeling and Analysis of Highly-Reliable Large Systems.” IEEE Proceedings of Annual Reliability and Maintainability Symposium, November 2002, Pages: 456 - 459.

[Lug-03] Luger, G.; Knorr, R.; Bolz, S.: „Duales Energieversorgungssystem - Weg-bereiter für den ISG und X-by-Wire-Applikationen.“ VDI-Berichte Nr. 1789, 2003.

[Mah-00] Mahmoud, R.: „Sicherheits- und Verfügbarkeitsanalyse komplexer Kfz-

Schrifttum 167

Systeme.“ Dissertation Universität Siegen, 2000. [MBB-71] Messerschmitt-Bölkow-Blohm: „Technische Zuverlässigkeit.“ Springer-

Verlag, Berlin, Heidelberg, New York, 1971. [Mey-00] Meyna, A.; Pauli, B.: „Zuverlässigkeitsprognosen für Kfz-Komponenten

bei unvollständigen Daten.“ ATZ - Automobiltechnische Zeitschrift 102, 12/2000, Seiten 1104 - 1107.

[Meyn-94] Meyna, A.: „Zuverlässigkeitsbewertung zukunftsorientierter Technolo-gien.“ Vieweg Verlag, Braunschweig/Wiesbaden, 1994.

[MIL-217] Military Standard: “Reliability Prediction of Electronic Equipment.” MIL-HDBK-217F, US Department of Defense, December1991.

[MIL-1629A] Military Standard: “Procedures for Performing A Failure Mode And Ef-fect Criticality Analysis.” MIL-STD-1629A, US Department of Defense, November 1980.

[Mock-02] Mock, R.: „Berücksichtigung von abhängigen Ausfällen in Zuverlässig-keitsanalysen.“ ETHZ - Eidgenössische Technische Hochschule Zürich, Laboratorium für Sicherheitsanalytik, April 2002.

[Moik-02] Moik, A.: „Ingenieurgerechte formale Methoden für die Entwicklung von sicheren Automatisierungssystemen.“ Dissertation, Institut für Automati-sierungs- und Softwaretechnik, Universität Stuttgart, 2002.

[Mont-04] Montenegro, S.: „Fehlerursache Komplexität.“ Design & Elektronik, Heft 07/2004, Seiten 66/67.

[Mont-99] Montenegro, S.: „Sichere und fehlertolerante Steuerungen - Entwicklung sicherheitsrelevanter Systeme.“ Carl Hanser Verlag, München, Wien, 1999.

[Niebe-03] Niebert, P.: „Petrinetze - Ein anschaulicher Formalismus der Nebenläufig-keit (Teil 1 und 2).“ at - Automatisierungstechnik, Oldenbourg Verlag, Ausgabe 4/2003, Seiten A9 - A12.

[Opri-01] Oprisan, G.; Limnios, N.: „Semi-Markov Processes and Reliability.“ Birkhäuser Verlag, Boston Basel Berlin, 2001.

[Pain-95] Painton, L.; Campbell, J.: “Genetic Algorithms in Optimization of System Reliability.” IEEE Transactions On Reliability, Vol. 44 No. 2, June 1995, Pages 172 – 178.

[Pauli-03] Pauli, B.; Meyna, A.: „Taschenbuch der Zuverlässigkeits- und Sicherheits-technik - Quantitative Bewertungsverfahren.“ Carl Hanser Verlag, Mün-chen Wien, 2003.

[Pet-05] Petersen, U.; Qiong, W.; Hamann, R.: „Integration von Simulation und Zuverlässigkeitsanalyse für komplexe Systeme.“ 22. Tagung Technische Zuverlässigkeit, VDI-Berichte Nr. 1884, April 2005.

[Phil-02] Philippi, S.: “Modeling and Simulation of Safety-Critical Automotive Systems” Proceedings of the second IEEE International Conference on

168 Schrifttum

Systems, Man and Cybernetics (SMC'02), October 6-9, 2002, Hammamet, Tunisia, Volume 5. IEEE Computer Society Press.

[Prop-01] Propst, J. E.; Doan, D. R.: “Improvements in Modeling and Evaluation of Electrical Power System Reliability”. IEEE Transactions on Industry Ap-plications, Vol. 37, No. 5, September 2001, Pages 1413 - 1422.

[Puk-98] Pukite, J.; Pukite, P.: “Modeling for Reliability Analysis - Markov Model-ing for Reliability, Maintainability, Safety, and Supportability Analysis of Complex Computer Systems.” IEEE Press Series on Engineering of Com-plex Computer Systems, New York, 1998.

[Rak-02] Rakowsky, U. K.: „System-Zuverlässigkeit – Terminologie, Methoden, Konzepte.“ Life-Long Learning Verlag, Hagen, 2002.

[Rash-92] Rashed, A. M.: “A New Approach To Electrical Network Reliability Evaluation Based On Dual Fault Tree.” IEEE Transactions on Power Sys-tems, 1992, Pages 183 - 188.

[RDF-2000] IEC TR 62380: “Reliability data handbook – Universal model for reliabil-ity prediction of electronics components, PCBs and equipment.” Interna-tional Electrotechnical Commission, Geneva - Switzerland, August 2004.

[Rie-03] Rieth, P. E.: „Sicherer als ein Flugzeug.“ Automobil-Elektronik, August 2003, Seiten 16 - 18.

[Rie-01] Rieth, P. E.; Kelling, E.; Meyer, R.: „Bordnetzanforderungen sicherheits-relevanter X-by-Wire-Systeme am Beispiel Brake-by-Wire.“ Vortrag auf der IIR-Konferenz 42V-Bordnetz, Stuttgart 2001.

[Roc-98] Rocco, C. M.; Klindt, W.: “Distribution Systems Reliability Uncertainty Evaluation Using an Interval Arithemtic Approach.” IEEE Transactions on Reliability 1998, Pages 421 - 425.

[Rux-97] Ruxton, T.; Wang, J.: “Design for Safety.” Professional Safety, Heft Januar 1997, Seiten 24 - 29.

[San-95] Sankarakrishan, A; Billinton, R.: “Sequential Monte Carlo Simulation For Composite Power System Reliability With Time Varying Loads.” IEEE Transactions on Power Systems, Vol. 10, No. 3, August 1995, Pages 1540 - 1545.

[Schäb-05] Schäbe, H.: „Die Anwendung von Kernschätzungen bei der Analyse von Ausfalldaten.“ 22. Technische Tagung Zuverlässigkeit, Stuttgart, VDI-Berichte Nr. 1884, 2005, Seiten 271 – 280.

[Schäf-79] Schäfer, E.: „Zuverlässigkeit, Verfügbarkeit und Sicherheit in der Elekt-ronik.“ 1. Auflage, Vogel Verlag, Würzburg, 1979.

[Scheit-03] Scheithauer, D.: „Fly-by-Wire - Einsatzbereiche und Randbedingungen.“ Tagung Bayern Innovativ, Mechatronik für den Automobilbau, Nürnberg, 2003.

[Scher-02] Scherrer, C.: „Zuverlässigkeit zweifach redundanter Architekturen unter

Schrifttum 169

besonderer Berücksichtigung latenter Fehler.“ Dissertation, Technische Universität Wien, 2002.

[Schm-98] Schmitt, V. R.; Morris, J.W.; Jenney, G. D.: “Fly-by-Wire – A Historical and Design Perspective.” SAE International, Society of Automotive Engi-neers Warrendale, 1994.

[Schnee-03] Schneeweiss W. G.: „Zur Vergröberung/Verfeinerung von Petri-Netzen bei der Zuverlässigkeits-Modellbildung.“ at - Automatisierungstechnik 51, Oldenbourg Verlag, Ausgabe 9/2003, Seiten 424 – 430.

[Schnee-01] Schneeweiss W. G.: “Tutorial: Petri Nets as a Graphical Description Me-dium for Many Reliability Scenarios.” IEEE Transactions on Reliability, Vol. 50, No. 2, June 2001, Pages 159 - 164.

[Schnee-99] Schneeweis, W. G.: “Petri Nets for Reliability Modeling: In the Fields of Engineering Safety and Dependability.” Life-Long Learning Verlag Ha-gen, 1999.

[SFK-04] Störfallkommission: „Risikomanagement im Rahmen der Störfall-Verordnung.“ Bericht des Arbeitskreises Technische Systeme, Risiko und Verständigungsprozesse der Störfall-Kommission, 2004.

[Smot-89] Smotherman, M.; Zemoudeh, K.: „A Non-Homogeneous Markov-Model for Phased-Mission Reliability Analysis.” IEEE Transactions on Reliabil-ity, Vol. 38, No. 5, December 1989, Pages 585 - 590.

[Sym-02] Symeonaki, M. A.; Stamou, G. B.; Tzafestas, S. G.: “Fuzzy Non-Homogeneous Markov-Systems.” Kluwer Academic Publishers, Applied Intelligence 17, 2002, Pages 203 - 214.

[Theis-02] Theis, I.: „Das Steer-by-Wire-System im Kraftfahrzeug – Analyse der menschlichen Zuverlässigkeit.“ Dissertation, Technische Universität München, 2002.

[Trost-05] Trost, M.; Nebel, S.; Betsche, B.; Pozsgai, P.: „Modellierung komplexer Systeme mit Hilfe stochastischer Netzverfahren.“ 22. Tagung Technische Zuverlässigkeit, VDI-Berichte 1884, Stuttgart, 7. und 8. April 2005.

[TÜV-03] TÜV: „IEC 61508 Funktionale Sicherheit – Sicherheitssysteme.“ Work-shop, TÜV Informationstechnik GmbH Augsburg, 2003.

[Twig-02] Twigg, D. W.; Ramesh, A.; Sandadi, U. R.; Sharma, T. C.: “Reliability Analysis of Systems With Operation-Time Management.” IEEE Transac-tions On Reliability, Vol. 51, NO. 1, March 2002, Pages 39 - 48.

[Vahl-98] Vahl, A.: „Interaktive Zuverlässigkeitsanalyse von Flugzeug-Systemarchitekturen.“ Dissertation, Technische Universität Hamburg-Harburg, 1998.

[Vala-04] Valavi, M. H.; Miremadi, S. G.: “Reliability Evaluation Using Fault Tree Based on Monte Carlo Simulation.” Sharif University of Technology, De-partment of Computer Engineering, 2004.

170 Schrifttum

[VDI-4008-9] VDI-Richtlinie: „Mathematische Modelle für Redundanz.“ Verein Deut-scher Ingenieure, VDI 4008 Blatt 9, VDI-Handbuch Technische Zuverläs-sigkeit, April 1986.

[Vee-91] Veeraraghavan, M.: “Reliability Modeling: An Overview for System De-signers.” IEEE Computer Society, April 1990, Pages 49 - 57.

[Volov-03] Volovoi, V.: “Modeling of System Reliability Using Petri Nets with Ag-ing Tokens.” School of Aerospace Engineering, Georgia Institute of Tech-nology, Reliability Engineering and Safety Systems, 2003.

[Wag-89] Wagner, H.; Singh, C.: “A Simulation Model for Reliability Evaluation of Space Station Power Systems.” IEEE Transactions on Power Systems, 1989, Pages 39 - 42.

[Wery-02] Wery, S.: „Anwendung der Functional Hazard Analysis (FHA) in der Ei-senbahnsignaltechnik am Beispiel ETCS Level 2.“ Diplomarbeit, Tech-nische Universität Dresden, 2002.

[7Xing-03] Xing, L.: “Reliability Analysis of Fault-Tolerant Systems with Common-Cause Failures.” IEEE Computer Society, Proceedings of the 2003 Inter-national Conference on Dependable Systemes and Networks, USA, 2003.

[Yipin-96] Yao Yiping; Yang Xiaojun; Li Peiqiong: “Dynamic fault tree analysis for digital fly-by-wire flight control system.” Digital Avionics Systems Con-ference, 1996, 15th AIAA/IEEE , 27-31 Oct. 1996, Pages 479 – 484.

[Zdrall-00] Zdrallek, M.: „Zuverlässigkeitsanalyse elektrischer Energieversorgungs-systeme - Neue Aspekte der Modellbildung und Anwendung.“ Dissertati-on, Universität Siegen, Shaker Verlag, Aachen, 2000.

171

Verzeichnis der Bilder Bild 1: Konventionelle Energiebordnetz-Architektur................................................................ 2 Bild 2: Bausteine der modellbasierten Sicherheits- und Zuverlässigkeitsanalyse..................... 5 Bild 1.1: Prinzipielles Ausfallverhalten technischer Komponenten........................................ 10 Bild 1.2: Zusammenhang zwischen Zuverlässigkeit, Sicherheit und Verfügbarkeit............... 12 Bild 1.3: Prinzip der Risikominimierung [SFK-04] ................................................................ 13 Bild 1.4: Zusammenhang zwischen Testrate rt und Fehlerentdeckung C................................ 18 Bild 1.5: Unterscheidung von Fehlern bei der Modellbildung ................................................ 19 Bild 1.6: Risikomindernde Maßnahmen – Reduzierung des vorhandenen Risikos................. 20 Bild 1.7: Elektrisches Energiebordnetzsystem eines Helikopters ........................................... 24 Bild 1.8: Elektrisches Energieversorgungssystem eines Container-Schiffes aus [Boer-03] ... 25 Bild 1.9: Ausfallwahrscheinlichkeit eines Kfz-Bordnetzgenerators über der Einsatzzeit....... 27 Bild 2.1: Modellbildung und Abstraktion................................................................................ 34 Bild 2.2: Ablauf einer Sicherheits- respektive Zuverlässigkeitsanalyse [Abele-04] ............... 36 Bild 2.3: Mögliche Fehler bei der Modellbildung ................................................................... 36 Bild 2.4: Energienetzwerk mit Generatoren (Gi), Netzknoten (NKi) und Verbraucher (V).... 39 Bild 2.5: Zuverlässigkeitsgraph des Energienetzwerkes in Minimalpfad-Darstellung ........... 39 Bild 2.6: Schnitt und Minimalschnitt im Energienetzwerk ..................................................... 41 Bild 2.7: Zuverlässigkeitsgraph des Energienetzwerkes in der Minimalschnitt-Darstellung.. 42 Bild 2.8: Abschätzung der Systemzuverlässigkeit über Minimalschnitte und Minimalpfade. 43 Bild 2.9: Dynamische Generatorumschaltung („kalte“ Generatorredundanz) ........................ 45 Bild 2.10: Fehlerbaum des Energienetzwerkes aus Bild 2.4 ................................................... 46 Bild 2.11: Trajektorie eines Markov-Prozesses....................................................................... 58 Bild 2.12: Gerichteter Übergangsgraph des Markov-Prozessmodells..................................... 59 Bild 2.13: Segmentierung der System-Einsatzzeit in Phasen .................................................. 62 Bild 2.14: Markov-Modell mit stochastischen Phasenwechseln ............................................. 64 Bild 2.15: Einfaches Schalten eines Petri-Netzes.................................................................... 67 Bild 2.16: Modellierung von logischen Verknüpfungen und Zuständen mit Petri-Netzen ..... 68 Bild 2.17: Erweitertes Petri-Netz mit Kapazitäts- und Gewichtsfunktionen........................... 68

172 Verzeichnis der Bilder

Bild 2.18: Hemmende Kante ................................................................................................... 69 Bild 2.19: Einfaches Petri-Netz-Modell der Generatorumschaltung aus Bild 2.09................. 70 Bild 2.20: Erreichbarkeitsgraph des Petri-Netz-Modells aus Bild 2.19 .................................. 71 Bild 2.21: Functional Dependency Gate (FDEP) und korrespondierendes Markov-Modell .. 73 Bild 2.22: Priority-AND Gate (PAND) und korrespondierendes Markov-Modell ................. 73 Bild 2.23: Cold-Spare Gate (CSP) und korrespondierendes Markov-Modell ......................... 74 Bild 2.24: Erweitertes Beispiel der Generatorumschaltung aus Bild 2.9 ................................ 74 Bild 2.25: Dynamischer Fehlerbaum für die Generatorumschaltung aus Bild 2.17................ 75 Bild 2.26: Extended Fault Tree eines Flugsteuerungssystems aus [Buch-00]......................... 76 Bild 2.27: Prinzipieller Ablauf eines evolutionären Algorithmus ........................................... 79 Bild 2.28: Abbildung einer Parametermenge in das Einheitsintervall [Iwe-00]...................... 82 Bild 2.29: Matrix der Methodenbewertung ............................................................................. 84 Bild 3.1: Einfache Serienstruktur bestehend aus Generator und antreibendem Motor ........... 87 Bild 3.2: Äquivalenz zwischen Markov-Modellen und Fehlerbaum....................................... 88 Bild 3.3: Parallelstruktur aus zwei Serienstrukturen ............................................................... 89 Bild 3.4: Markov-Modell der Parallelstruktur aus zwei Serienstrukturen............................... 89 Bild 3.5: Parallelstruktur aus zwei Serienstrukturen ............................................................... 90 Bild 3.6: Beispiel eines lastaufteilenden Energieübertragungssystems................................... 91 Bild 3.7: Markov-Modell des lastaufteilenden Energieübertragungssystems ......................... 92 Bild 3.8: 2 aus 3 Struktur mit Voter-Element als CCF............................................................ 92 Bild 3.9: Explizite Berücksichtigung von CCF in einem Markov-Modell.............................. 92 Bild 3.10: β-Faktor Modell im Markov-Prozess ..................................................................... 93 Bild 3.11: Multiple-Greek-Letter-Model übertragen auf einen Markov-Prozess.................... 95 Bild 3.12: Fehlerprozess unter Berücksichtigung entdeckter und unentdeckter Fehler .......... 96 Bild 3.13: Modellierung eines zeitlich begrenzten Systemzustandes...................................... 98 Bild 3.14: Fehlerprozess unter Berücksichtigung von perfekten Reparaturen ........................ 99 Bild 3.15: Zeitlicher Verlauf der Ausfallwahrscheinlichkeit bei periodischen Inspektionen 100 Bild 3.16: Markov-Modell des Standby-Systems aus Bild 2.9.............................................. 101 Bild 3.17: Beziehungen zwischen zeitlichen Größen der Zuverlässigkeitstheorie................ 102 Bild 4.1: Entwicklung eines Verlässlichkeitsmodells............................................................ 105 Bild 4.2: Prinzipielle Zielsetzung der Methodik.................................................................... 107 Bild 4.3: Prinzipieller Aufbau der Fehlerkorrelationsmatrizen zur Folgefehleranalyse........ 112 Bild 4.4: Aufbau der Fehlerkorrelationsmatrix für Zweitfehler ............................................ 113 Bild 4.6: Erstellung des Markov-Graphen............................................................................. 114 Bild 4.7: Dynamisch redundantes Beispielsystem................................................................. 116 Bild 4.8: Markov-Graph des dynamisch redundanten Beispielsystems ................................ 118 Bild 5.1: Relative Sprungwahrscheinlichkeit ........................................................................ 122 Bild 5.2: Fehlersequenzrate in einen absorbierenden Zustand (FSRA).................................. 124 Bild 5.3: Fehlersequenzrate in einen nicht absorbierenden Zustand (FSRNA)....................... 125 Bild 5.4: Probabilistik und Statistik bei der Zuverlässigkeitsanalyse.................................... 126

Verzeichnis der Bilder 173

Bild 5.5: Felddatenerhebung als statistische Stichprobe ....................................................... 127 Bild 5.6: Nötige Feldbeobachtungsmenge zum Nachweis einer bestimmten Ausfallrate..... 128 Bild 5.7: Nötige Feldbeobachtungsmenge in Abhängigkeit des Vertrauensniveaus............. 129 Bild 6.1: Ableitung von sicherheitstechnischen Anforderungen an Teilsysteme.................. 134 Bild 6.2: Das beispielhaft betrachtete Brake-by-Wire-Bordnetz........................................... 137 Bild 6.3: Abstraktionsebenen und Zustandsreduktion bei der Analyse und Modellierung ... 138 Bild 6.4: Ausschnitt aus einer Fehlerkorrelationsmatrix des Brake-by-Wire-Bordnetzes .... 140 Bild 6.5: Markov-Modell des Gesamtsystems Brake-by-Wire-Bordnetz ............................. 142 Bild 6.6: Bezeichnungssystematik für die Zustände des Markov-Modells ........................... 142 Bild 6.7: Ausschnitt aus dem Markov-Modell des BbW-Bordnetzes ................................... 143 Bild 6.8: Prinzipielle Darstellungsweise der Ergebnisse aus der Fehlerpfadanalyse ............ 149 Bild 6.9: Einfluss des Fehlerbildes eines Spannungswandlers .............................................. 150 Bild 6.10: Einfluss der Restfahrzeit in einem degradierten Zustand ..................................... 151 Bild 6.11: Analyse der Wahrscheinlichkeit bestimmter Zustandsgruppen............................ 152 Bild 6.12: Analyse der Fehlersequenzrate bestimmter Zustandsgruppen.............................. 153 Bild 6.13: Verlauf der Gefährdungsrate über der Einsatzzeit................................................ 154

174

Tabellenverzeichnis Tabelle 1.1: Risikoauswirkungen probabilistischer Sicherheitsanforderungen ...................... 22 Tabelle 4.1: Ursprüngliche Form der FMEA ........................................................................ 108 Tabelle 4.2: SIL-Klassifikation [TÜV-03]............................................................................ 110 Tabelle 4.3: Erstfehlertabelle - Modifizierte FMEA für die Erstfehleridentifikation ........... 111 Tabelle 4.4: Erstfehlertabelle für das dynamisch redundante Beispielsystem ...................... 117 Tabelle 4.5: Korrelationsmatrix für Zweitfehler des Beispielsystems .................................. 117 Tabelle 4.6: Korrelationsmatrix für Drittfehler des Beispielsystems.................................... 118 Tabelle 6.1: Ausschnitt aus der Erstfehlertabelle des Brake-by-Wire-Bordnetzes ............... 140 Tabelle 6.2: Ausschnitt aus den erweiterten Informationen der Matrixzellen ...................... 141 Tabelle 6.3: Bezeichnungssystematik der Zustandsklassen .................................................. 143

175

Studien- und Diplomarbeiten die im Rahmen der Arbeit entstanden sind [Garcia-04] Garcia, A. D.: “Reliability Evaluation of the Power Supply of an Electrical

Power Net for Safety Relevant Applications.” Interner Entwicklungsbericht, Robert Bosch GmbH - FV/SLN2, Juni, 2004.

[Geng-04] Geng, L.: „Modellierung eines Steer-by-Wire-Systems für die Ermittlung seines

elektrischen Verhalten.“ Diplomarbeit, Universität Karlsruhe (TH) - Robert Bosch GmbH, 2004.

[Vier-03] Viernau, D.: „Lichtbogenproblematik im 42 V Bordnetz.“ Diplomarbeit Univer-

sität Kassel, 2003. [Abele-03] Abele, M.: „Modellierung und Bewertung von Fehlertoleranzmaßnahmen in

Kfz-Energiebordnetzen für sicherheitsrelevante Verbraucher.“ Diplomarbeit, Universität Kassel, 2003.

[Abele-03] Abele, M.: „Fly-by-Wire - Ein Vorbild für die Automobilindustrie?“ Unveröf-

fentlichter FV-Bericht, Robert Bosch GmbH, Stuttgart, 2003.

176

Publikationen des Autors Abele, M.; Leohold, J.; Hoffmann, N.; Kraft, D.: “Electrical Requirements for X-by-Wire-Systems.” MIT/Industry Consortium on Advanced Automotive Electrical/Electronic Compo-nents and Systems, October 5th - 6th, 2004, Barcelona, Spain. Abele, M.; Leohold, J.; Müller, W.; Haas, W.; Hoffmann, N.; Kraft, D.: „Modellierung und Bewertung fehlertoleranter Energie-Bordnetzarchitekturen für X-by-Wire-Systeme.“ 12. Internationaler VDI-Kongress Berechnung und Simulation im Fahrzeugbau, Würzburg, September 2004. Abele, M.; Leohold, J: „Electrical Requirements for X-by-Wire-Systems.” Vortrag auf dem 25. Forum Vehicle Electrical Systems Architecture, Hannover, Juni 2004. Abele, M.; Mall, S.; Träger, A.: „Qualitätsbewertung von Drehstromsystemen.“ etz – E-lektrotechnische Zeitschrift des VDE, Heft 1-2/2003, Seiten 35 – 37. Abele, M.; Lanfer, H.; Haas, W.; Hoffmann, N.: „Sensorlose Rotorlagebestimmung bei permanenterregten Synchronmaschinen.“ Antriebstechnik – Vereinigte Fachverlage, Heft 1/2003, Seiten 32 – 33.

177

Lebenslauf des Autors

Name: Marcus Kurt Abele

Geburtstag/-ort: 21. April 1976 / Künzelsau

Schulbildung: 1986 bis 1992 Realschule Künzelsau 1992 bis 1995 Technisches Gymnasium Öhringen

Wehrdienst: 07/1995 bis 04/1996 Grundwehrdienst als Funker beim Fern-

meldebataillon 230 in Dillingen an der Donau

Berufsausbildung: 08/1996 bis 07/1998 Ausbildung zum Industrieelektroniker der Fachrichtung Gerätetechnik bei der Firma Kriwan Forchtenberg

Studium: 10/1998 bis 08/2002 Elektrotechnik an der FH Künzelsau, Ver-

tiefungsrichtung: Elektrische Antriebe und Leistungselektronik 11/2002 Wirtschaftsjuniorenpreis der IHK Heilbronn-Franken für die Fachhochschul-Diplomarbeit 09/2002 bis 04/2004 Elektrotechnik an der Universität Kassel, Schwerpunkt: Elektrische Energieversorgungssysteme

Berufliche Praxis: 07/1998 bis 09/1998 Facharbeiter in der Qualitätssicherung der

Firma Kriwan in Forchtenberg 07/2000 bis 02/2001 Praxissemester bei der EADS in Ottobrunn im Bereich Forschung und Technologie 10/2002 bis 01/2005 Angestellt im Doktorandenprogramm bei der Robert Bosch GmbH in Schwieberdingen Seit 02/2005 Entwicklungsingenieur in der Forschung und Vor-entwicklung der Robert Bosch GmbH in Schwieberdingen

2008-02-18 dissertation marcus abele · vii kurzfassung um die sicherheit im straßenverkehr zu...

Documents