Fehlerbaumanalyse

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
Logo des Deutschen Instituts für Normung DIN 25424
Bereich Wahrscheinlichkeitsrechnung
Titel Fehlerbaumanalyse, Teil 1: Methode und Bildzeichen, Teil 2: Handrechenverfahren zur Auswertung eines Fehlerbaumes
Kurzbeschreibung: Wahrscheinlichkeit eines Ausfalls
Letzte Ausgabe 1981-09, 1990-04
ISO -

Die Fehlerbaumanalyse, englisch Fault Tree Analysis (FTA), ist ein Verfahren zur Zuverlässigkeitsanalyse von technischen Anlagen und Systemen. Sie basiert auf der booleschen Algebra, um die Wahrscheinlichkeit eines Ausfalls einer Anlage oder Gesamtsystems zu bestimmten. Sie ist eine Art der Systemanalyse und je nach Anwendungsbereich in verschiedenen Spezifikationen wie der NUREG–0492 im Bereich der Nuklearindustrie und bei der NASA[1] und im Bereich der Luftfahrt Teil der ARP4761 von der SAE International. Als internationaler Standard IEC 61025 (EN 61025) ist das Verfahren unter dem Begriff Fehlerzustandsbaumanalyse von der International Electrotechnical Commission beschrieben.[2] In Deutschland ist die Fehlerbaumanalyse Inhalt der nationalen DIN 25424.[3]

Im Rahmen der Fehlerbaumanalyse werden die logischen Verknüpfungen von Teilsystemausfällen auf allen kritischen Pfaden ermittelt, welche zu einem Gesamtsystemsausfall führen. Das Gesamtsystem wird im Rahmen der Analyse in Minimalschnitte unterteilt, dies sind Ereigniskombinationen die zu einem Gesamtausfall führen können. Die Anzahl der Minimalschnitte kann je nach Anwendung bis zu einigen Millionen Ereigniskombinationen umfassen, die Erstellung komplexer Fehlerbäume und deren Auswertung erfolgt mit speziellen Softwarepaketen. Beispielhafte Anwendungsbereiche der Fehlerbaumanalyse stellen die Luft- und Raumfahrttechnik und die probabilistische Sicherheitsanalyse in der Kernkraftwerkstechnik dar.

Geschichte[Bearbeiten]

Entwickelt wurde die Fehlerbaumanalyse Anfang der 1960er Jahre von H. A. Watson bei den Bell Laboratories zur Sicherheitsbewertung des Abschusskontrollsystems für die von Boeing hergestellte Interkontinentalrakete vom Typ LGM-30 Minuteman. In den Folgejahren wurde bei Boeing die Fehlerbaumanalyse auch beim Entwurf von kommerziellen Flugzeugen eingesetzt.[4] In den 1970er und 1980er Jahren wurde die Fehlerbaumanalyse unter anderem bei der Planung von Atomkraftwerken eingesetzt, in diesem Zeitbereich entstanden auch erste kommerzielle Softwarepakete zur FTA. In der weiteren Folge kamen Einsatzbereiche in der Automobilindustrie und bei deren Zulieferern hinzu. Letzte Entwicklungen betreffen die dynamische Fehlerbaumanalyse, in deren Rahmen die zeitliche Reihenfolge von Ausfällen und Abhängigkeiten von Basisereignissen modelliert werden können.[5]

Verfahren[Bearbeiten]

Im Rahmen der Fehlerbaumanalyse und deren Beschreibung wird eine sogenannte negative Logik verwendet, d.h. der Fehlerbaum beschreibt eine Ausfallsfunktion die bei dem Zustand logisch-1 einen Ausfall ausdrückt, bei logisch-0 liegt ein funktionsfähiges System vor. Da sich die Fehlerbaumanalyse der Booleschen Algebra bedient, kann das Gesamtsystem, oder Teilsysteme wie Komponenten, sich jeweils nur in den beiden Zuständen Funktionsfähig (logisch-0) oder Ausgefallen (logisch-1) befinden.

Ausgegangen wird nach einer Systemanalyse von einem einzigen unerwünschten Ereignis welches an der Spitze des Fehlerbaums steht, das sogenannte Top-Ereignis, welches beispielsweise den Gesamtausfall des zu betrachtenden Systems beschreibt und im Rahmen einer Gefahrenanalyse ermittelt wird. Je nach Aufgabenstellung kann dieses Top-Ereignis auf bestimmte Randbedingungen eingeschränkt sein. Im Bereich der Luftfahrttechnik beispielsweise nur auf katastrophale Zustände, in welchen der unkontrollierbare Absturz des Luftfahrzeuges Folge ist.

Einfacher Fehlerbaum mit den als Gatter dargestellten logischen Verknüpfungen und acht verschiedenen Basisereignissen, die zu einem Ausfall von Subsystem A führen

Ausgehend vom diesem Top-Ereignis wird der Fehlerbaum in einer Top-down Analyse bis zu den einzelnen Ausfallzuständen der Komponenten erstellt. Bei komplexeren Systemen erfolgt die Unterteilung in Subsysteme, welche analog weiter unterteilt werden, bis das komplette System in Form von nicht mehr weiter unterteilbaren Minimalschnitten in Form von Basisereignissen abgebildet ist. Die Ausfallkombinationen im Fehlerbaum werden mit der booleschen Algebra und deren Symbole, wie insbesondere das UND und ODER logisch verknüpft.

Im einfachsten Fall werden Komponenten eines Systems, welche in Ihrer Funktionsfähigkeit voneinander abhängen, durch die logische ODER-Funktion verknüpft. In diesem Fall führt bereits der Ausfall einer Komponente zu einem Ausfall des gesamten Systems. Komponenten, die sich wechselseitig in der Funktion ersetzen können (man spricht dann auch von einer Redundanz), werden durch die UND-Funktion im Fehlerbaum verknüpft. In komplexen Systemen können auch redundanzübergreifende Fehler auftreten, dies sind Fehlerquellen die an mehreren Stellen des Fehlerbaums auftreten und sich aufgrund der Systemstruktur nicht direkt in nur einen Minimalschnitt zusammenfassen lassen. Diese sogenannten "Gemeinsam verursachte Fehler" (GVA), englisch Common Cause Failure, (CCF), erschweren die Analyse.

Systemkomponenten werden im Fehlerbaum üblicherweise in drei Fehlerkategorien unterteilt, die über ein Oder-Gatter verknüpft werden:[6]

  1. Primärausfall: Ausfall der Systemkomponente durch technisches Versagen bei sonst zulässigen Einsatzbedingungen. Beispielsweise Materialversagen der Systemkomponente.
  2. Sekundärausfall: Ausfall der Systemkomponente bedingt durch unzulässige Einsatz- und/oder Umgebungsbedingungen. Beispielsweise Betrieb bei unzulässiger Umgebungstemperatur.
  3. Kommandierter Ausfall: eine funktionsfähige Systemkomponente, welche zu einem falschen Zeitpunkt oder am falschen Ort aktiviert oder deaktiviert wird, beispielsweise durch Ausfall einer Hilfsenergieversorgung oder einer fehlerhaften Ansteuerung über eine Schnittstelle.

Berechnung[Bearbeiten]

Nach Erstellung des Fehlerbaums wird bei der quantitativen Fehlerbaumanalyse jedem Basisereignis eine bestimmte Eintrittwahrscheinlichkeit für den Ausfall zugewiesen. Daten für konkrete Ausfallsraten können aus eigenen Untersuchungsreihen für die einzelnen Basiskomponente stammen, oder es wird bei handelsüblichen Bauelementen und Komponenten auf freie Datenbanken wie das MIL-HDBK-217F oder kommerzielle Datenbanken wie 217Plus zurückgegriffen.[7][8] In die Ermittlung der Eintrittswahrscheinlichkeiten können dabei auch Umgebungsbedingungen wie spezielle Temperaturbereiche, geplante Einsatzzeiten, Wartungsintervalle und Ähnliches mehr einfließen.

Die den einzelnen Basiskomponenten zugewiesenen Ausfallraten λ lassen sich im einfachen Fall einer Exponentialverteilung – dies entspricht einer angenommenen zeitlich konstanten Ausfallsrate über die Zeit t – mit der Ausfallwahrscheinlichkeit P ausdrücken als:

P = 1 - e^{-\lambda t}

was für hinreichend kleine Werte von λt < 0,1 in Näherung

P \approx \lambda t

entspricht. Die Werte im Fehlerbaum werden im Normalfall auf ein bestimmtes, fixes Zeitintervall bezogen. Dieses Intervall für die Normierung kann je nach System unterschiedlich gewählt werden, beispielsweise bei einem Flugzeug auf eine Flugstunde bezogen sein. Die Eintrittswahrscheinlichkeiten sind damit von der Wahl dieses Zeitintervalls abhängig.

Die Ausfallswahrscheinlichkeiten werden in der Fehlerbaumanalyse mit den Symbolen von logischen Gattern zueinander in Bezug gesetzt. Ein UND-Gatter verknüpft zwei statistisch unabhängige Ereignisse an seinen beiden Eingängen P(A) und P(B) und bildet an seinen Ausgang die Wahrscheinlichkeit, dass beide Systeme ausgefallen sind:

P ( A \, \textrm{und} \, B ) = P ( A \cap B ) = P ( A ) \cdot P ( B )

Ein ODER-Gatter entspricht im Fehlerbaum der Funktion:

P ( A \, \textrm{oder} \, B ) = P ( A \cup B ) = P ( A ) + P ( B ) - P ( A ) \cdot P ( B )

und bildet die Wahrscheinlichkeit, wenn eines der beiden oder beide Basiskomponenten ausgefallen ist. Damit lassen sich iterativ die einzelnen Ausfallswahrscheinlichkeiten im Baum bis zu dem Top-Ereignis berechnen. Spezielle Fälle wie "Gemeinsam verursachte Fehler" (GVA) bedingen erweiterte Modelle. Im Regelfall werden, vor allem bei komplexen Systemen, auch verschiedene Vereinfachungen bei der Berechnung vorgenommen. So wird unter anderem aufgrund der im Allgemeinen kleinen Eintrittswahrscheinlichkeiten angenommen, dass ein Systemausfall nicht durch gleichzeitigen Ausfall mehrere Minimalschnitte erfolgt, wodurch bei der Berechnung der Gesamtausfallswahrscheinlichkeit die Terme höherer Ordnung vernachlässigbar sind. Zur Auswertung komplexer Fehlerbäume ist spezielle Software verfügbar, welche die grafische Erstellung, Berechnung und Auswertung erleichtert.

Literatur[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. W. Vesely u.a.: "Fault Tree Handbook." (PDF-Datei; 9,49 MB) NUREG-0492, U.S. Nuclear Regulatory Commission, Washington DC 1981 (Englisch)
  2.  International Electrotechnical Commission (IEC) (Hrsg.): Fault Tree Analysis, IEC 61025. 2. Auflage. 2006, ISBN 2-8318-8918-9.
  3. DIN 25424 Fehlerbaumanalyse, Ausgabe 1981-09, Beuth Verlag Berlin
  4. Clifton A. Ericson: Fault Tree Analysis – A History. A History from the Proceedings of The 17th International System Safety Conference. The Boeing Company; Seattle, Washington, 1999, abgerufen am 25. Dezember 2013.
  5.  Simon J. Schilling: Beitrag zur dynamischen Fehlerbaumanalyse ohne Modulbildung und zustandsbasierte Erweiterungen. Dissertation an der Bergischen Universität Wuppertal, 2009 (Online).
  6. W. Vesely u.a.: "Fault Tree Handbook." (PDF-Datei; 9,49 MB) NUREG-0492 Page V-3: Component Fault Categories, U.S. Nuclear Regulatory Commission, Washington DC 1981 (Englisch)
  7. Military Handbook 217F: Reliability Prediction of Electronic Equipment. Abgerufen am 27. Dezember 2013.
  8. Reliability Information Analysis Center: 217Plus. Abgerufen am 28. Dezember 2013.

Weblinks[Bearbeiten]