Berechnungen zur Funktionalen Sicherheit — Größen, Formeln und Methoden — Ausfallrate von komplexen Funktionen (2024)

\(\newcommand{\footnotename}{footnote}\)\(\def \LWRfootnote {1}\)\(\newcommand {\footnote }[2][\LWRfootnote ]{{}^{\mathrm {#1}}}\)\(\newcommand {\footnotemark }[1][\LWRfootnote ]{{}^{\mathrm {#1}}}\)\(\let \LWRorighspace \hspace \)\(\renewcommand {\hspace }{\ifstar \LWRorighspace \LWRorighspace }\)\(\newcommand {\mathnormal }[1]{{#1}}\)\(\newcommand \ensuremath [1]{#1}\)\(\newcommand {\LWRframebox }[2][]{\fbox {#2}} \newcommand {\framebox }[1][]{\LWRframebox } \)\(\newcommand {\setlength }[2]{}\)\(\newcommand {\addtolength }[2]{}\)\(\newcommand {\setcounter }[2]{}\)\(\newcommand {\addtocounter }[2]{}\)\(\newcommand {\arabic }[1]{}\)\(\newcommand {\number }[1]{}\)\(\newcommand {\noalign }[1]{\text {#1}\notag \\}\)\(\newcommand {\cline }[1]{}\)\(\newcommand {\directlua }[1]{\text {(directlua)}}\)\(\newcommand {\luatexdirectlua }[1]{\text {(directlua)}}\)\(\newcommand {\protect }{}\)\(\def \LWRabsorbnumber #1 {}\)\(\def \LWRabsorbquotenumber "#1 {}\)\(\newcommand {\LWRabsorboption }[1][]{}\)\(\newcommand {\LWRabsorbtwooptions }[1][]{\LWRabsorboption }\)\(\def \mathchar {\ifnextchar "\LWRabsorbquotenumber \LWRabsorbnumber }\)\(\def \mathcode #1={\mathchar }\)\(\let \delcode \mathcode \)\(\let \delimiter \mathchar \)\(\let \LWRref \ref \)\(\renewcommand {\ref }{\ifstar \LWRref \LWRref }\)\( \newcommand {\multicolumn }[3]{#3}\)\(\newcommand {\toprule }[1][]{\hline }\)\(\let \midrule \toprule \)\(\let \bottomrule \toprule \)\(\def \LWRbooktabscmidruleparen (#1)#2{}\)\(\newcommand {\LWRbooktabscmidrulenoparen }[1]{}\)\(\newcommand {\cmidrule }[1][]{\ifnextchar (\LWRbooktabscmidruleparen \LWRbooktabscmidrulenoparen }\)\(\newcommand {\morecmidrules }{}\)\(\newcommand {\specialrule }[3]{\hline }\)\(\newcommand {\addlinespace }[1][]{}\)\(\newcommand {\intertext }[1]{\text {#1}\notag \\}\)\(\let \Hat \hat \)\(\let \Check \check \)\(\let \Tilde \tilde \)\(\let \Acute \acute \)\(\let \Grave \grave \)\(\let \Dot \dot \)\(\let \Ddot \ddot \)\(\let \Breve \breve \)\(\let \Bar \bar \)\(\let \Vec \vec \)\(\newcommand {\tothe }[1]{^{#1}}\)\(\newcommand {\raiseto }[2]{{#2}^{#1}}\)\(\newcommand {\LWRsiunitxEND }{}\)\(\def \LWRsiunitxang #1;#2;#3;#4\LWRsiunitxEND {\ifblank {#1}{}{\num {#1}\degree }\ifblank {#2}{}{\num {#2}^{\unicode {x2032}}}\ifblank {#3}{}{\num {#3}^{\unicode {x2033}}}}\)\(\newcommand {\ang }[2][]{\LWRsiunitxang #2;;;\LWRsiunitxEND }\)\(\newcommand {\LWRsiunitxnumscientific }[2]{\ifblank {#1}{}{\ifstrequal {#1}{-}{-}{\LWRsiunitxprintdecimal {#1}\times }}10^{\LWRsiunitxprintdecimal {#2}} }\)\(\def \LWRsiunitxnumplus #1+#2+#3\LWRsiunitxEND {\ifblank {#2} {\LWRsiunitxprintdecimal {#1}}{\ifblank {#1}{\LWRsiunitxprintdecimal {#2}}{\LWRsiunitxprintdecimal {#1}\unicode{x02B}\LWRsiunitxprintdecimal {#2}}}}\)\(\def \LWRsiunitxnumminus #1-#2-#3\LWRsiunitxEND {\ifblank {#2} {\LWRsiunitxnumplus #1+++\LWRsiunitxEND }{\LWRsiunitxprintdecimal {#1}\unicode {x02212}\LWRsiunitxprintdecimal {#2}}}\)\(\def \LWRsiunitxnumpm #1+-#2+-#3\LWRsiunitxEND {\ifblank {#2}{\LWRsiunitxnumminus #1---\LWRsiunitxEND }{\LWRsiunitxprintdecimal {#1}\unicode {x0B1}\LWRsiunitxprintdecimal {#2}}}\)\(\def \LWRsiunitxnumx #1x#2x#3x#4\LWRsiunitxEND {\ifblank {#2}{\LWRsiunitxnumpm #1+-+-\LWRsiunitxEND }{\ifblank {#3}{\LWRsiunitxprintdecimal {#1}\times \LWRsiunitxprintdecimal{#2}}{\LWRsiunitxprintdecimal {#1}\times \LWRsiunitxprintdecimal {#2}\times \LWRsiunitxprintdecimal {#3}}}}\)\(\def \LWRsiunitxnumD #1D#2D#3\LWRsiunitxEND {\ifblank {#2}{\LWRsiunitxnumx #1xxxxx\LWRsiunitxEND }{\mathrm {\LWRsiunitxnumscientific {#1}{#2}}}}\)\(\def \LWRsiunitxnumd #1d#2d#3\LWRsiunitxEND {\ifblank {#2}{\LWRsiunitxnumD #1DDD\LWRsiunitxEND }{\mathrm {\LWRsiunitxnumscientific {#1}{#2}}}}\)\(\def \LWRsiunitxnumE #1E#2E#3\LWRsiunitxEND {\ifblank {#2}{\LWRsiunitxnumd #1ddd\LWRsiunitxEND }{\mathrm {\LWRsiunitxnumscientific {#1}{#2}}}}\)\(\def \LWRsiunitxnume #1e#2e#3\LWRsiunitxEND {\ifblank {#2}{\LWRsiunitxnumE #1EEE\LWRsiunitxEND }{\mathrm {\LWRsiunitxnumscientific {#1}{#2}}}}\)\(\def \LWRsiunitxnumcomma #1,#2,#3\LWRsiunitxEND {\ifblank {#2} {\LWRsiunitxnume #1eee\LWRsiunitxEND } {\LWRsiunitxnume #1.#2eee\LWRsiunitxEND } }\)\(\newcommand {\num }[2][]{\LWRsiunitxnumcomma #2,,,\LWRsiunitxEND }\)\(\newcommand {\si }[2][]{\mathrm {#2}}\)\(\def \LWRsiunitxSIopt #1[#2]#3{{#2}\num {#1}{#3}}\)\(\newcommand {\LWRsiunitxSI }[2]{\num {#1}\,{#2}}\)\(\newcommand {\SI }[2][]{\ifnextchar [{\LWRsiunitxSIopt {#2}}{\LWRsiunitxSI {#2}}}\)\(\newcommand {\numlist }[2][]{\mathrm {#2}}\)\(\newcommand {\numrange }[3][]{\num {#2}\,\unicode {x2013}\,\num {#3}}\)\(\newcommand {\SIlist }[3][]{\mathrm {#2\,#3}}\)\(\newcommand {\SIrange }[4][]{\num {#2}\,#4\,\unicode {x2013}\,\num {#3}\,#4}\)\(\newcommand {\tablenum }[2][]{\mathrm {#2}}\)\(\newcommand {\ampere }{\mathrm {A}}\)\(\newcommand {\candela }{\mathrm {cd}}\)\(\newcommand {\kelvin }{\mathrm {K}}\)\(\newcommand {\kilogram }{\mathrm {kg}}\)\(\newcommand {\metre }{\mathrm {m}}\)\(\newcommand {\mole }{\mathrm {mol}}\)\(\newcommand {\second }{\mathrm {s}}\)\(\newcommand {\becquerel }{\mathrm {Bq}}\)\(\newcommand {\degreeCelsius }{\unicode {x2103}}\)\(\newcommand {\coulomb }{\mathrm {C}}\)\(\newcommand {\farad }{\mathrm {F}}\)\(\newcommand {\gray }{\mathrm {Gy}}\)\(\newcommand {\hertz }{\mathrm {Hz}}\)\(\newcommand {\henry }{\mathrm {H}}\)\(\newcommand {\joule }{\mathrm {J}}\)\(\newcommand {\katal }{\mathrm {kat}}\)\(\newcommand {\lumen }{\mathrm {lm}}\)\(\newcommand {\lux }{\mathrm {lx}}\)\(\newcommand {\newton }{\mathrm {N}}\)\(\newcommand {\ohm }{\mathrm {\Omega }}\)\(\newcommand {\pascal }{\mathrm {Pa}}\)\(\newcommand {\radian }{\mathrm {rad}}\)\(\newcommand {\siemens }{\mathrm {S}}\)\(\newcommand {\sievert }{\mathrm {Sv}}\)\(\newcommand {\steradian }{\mathrm {sr}}\)\(\newcommand {\tesla }{\mathrm {T}}\)\(\newcommand {\volt }{\mathrm {V}}\)\(\newcommand {\watt }{\mathrm {W}}\)\(\newcommand {\weber }{\mathrm {Wb}}\)\(\newcommand {\day }{\mathrm {d}}\)\(\newcommand {\degree }{\mathrm {^\circ }}\)\(\newcommand {\hectare }{\mathrm {ha}}\)\(\newcommand {\hour }{\mathrm {h}}\)\(\newcommand {\litre }{\mathrm {l}}\)\(\newcommand {\liter }{\mathrm {L}}\)\(\newcommand {\arcminute }{^\prime }\)\(\newcommand {\minute }{\mathrm {min}}\)\(\newcommand {\arcsecond }{^{\prime \prime }}\)\(\newcommand {\tonne }{\mathrm {t}}\)\(\newcommand {\astronomicalunit }{au}\)\(\newcommand {\atomicmassunit }{u}\)\(\newcommand {\bohr }{\mathit {a}_0}\)\(\newcommand {\clight }{\mathit {c}_0}\)\(\newcommand {\dalton }{\mathrm {D}_\mathrm {a}}\)\(\newcommand {\electronmass }{\mathit {m}_{\mathrm {e}}}\)\(\newcommand {\electronvolt }{\mathrm {eV}}\)\(\newcommand {\elementarycharge }{\mathit {e}}\)\(\newcommand {\hartree }{\mathit {E}_{\mathrm {h}}}\)\(\newcommand {\planckbar }{\mathit {\unicode {x210F}}}\)\(\newcommand {\angstrom }{\mathrm {\unicode {x212B}}}\)\(\let \LWRorigbar \bar \)\(\newcommand {\bar }{\mathrm {bar}}\)\(\newcommand {\barn }{\mathrm {b}}\)\(\newcommand {\bel }{\mathrm {B}}\)\(\newcommand {\decibel }{\mathrm {dB}}\)\(\newcommand {\knot }{\mathrm {kn}}\)\(\newcommand {\mmHg }{\mathrm {mmHg}}\)\(\newcommand {\nauticalmile }{\mathrm {M}}\)\(\newcommand {\neper }{\mathrm {Np}}\)\(\newcommand {\yocto }{\mathrm {y}}\)\(\newcommand {\zepto }{\mathrm {z}}\)\(\newcommand {\atto }{\mathrm {a}}\)\(\newcommand {\femto }{\mathrm {f}}\)\(\newcommand {\pico }{\mathrm {p}}\)\(\newcommand {\nano }{\mathrm {n}}\)\(\newcommand {\micro }{\mathrm {\unicode {x00B5}}}\)\(\newcommand {\milli }{\mathrm {m}}\)\(\newcommand {\centi }{\mathrm {c}}\)\(\newcommand {\deci }{\mathrm {d}}\)\(\newcommand {\deca }{\mathrm {da}}\)\(\newcommand {\hecto }{\mathrm {h}}\)\(\newcommand {\kilo }{\mathrm {k}}\)\(\newcommand {\mega }{\mathrm {M}}\)\(\newcommand {\giga }{\mathrm {G}}\)\(\newcommand {\tera }{\mathrm {T}}\)\(\newcommand {\peta }{\mathrm {P}}\)\(\newcommand {\exa }{\mathrm {E}}\)\(\newcommand {\zetta }{\mathrm {Z}}\)\(\newcommand {\yotta }{\mathrm {Y}}\)\(\newcommand {\percent }{\mathrm {\%}}\)\(\newcommand {\meter }{\mathrm {m}}\)\(\newcommand {\metre }{\mathrm {m}}\)\(\newcommand {\gram }{\mathrm {g}}\)\(\newcommand {\kg }{\kilo \gram }\)\(\newcommand {\of }[1]{_{\mathrm {#1}}}\)\(\newcommand {\squared }{^2}\)\(\newcommand {\square }[1]{\mathrm {#1}^2}\)\(\newcommand {\cubed }{^3}\)\(\newcommand {\cubic }[1]{\mathrm {#1}^3}\)\(\newcommand {\per }{/}\)\(\newcommand {\celsius }{\unicode {x2103}}\)\(\newcommand {\fg }{\femto \gram }\)\(\newcommand {\pg }{\pico \gram }\)\(\newcommand {\ng }{\nano \gram }\)\(\newcommand {\ug }{\micro \gram }\)\(\newcommand {\mg }{\milli \gram }\)\(\newcommand {\g }{\gram }\)\(\newcommand {\kg }{\kilo \gram }\)\(\newcommand {\amu }{\mathrm {u}}\)\(\newcommand {\pm }{\pico \metre }\)\(\newcommand {\nm }{\nano \metre }\)\(\newcommand {\um }{\micro \metre }\)\(\newcommand {\mm }{\milli \metre }\)\(\newcommand {\cm }{\centi \metre }\)\(\newcommand {\dm }{\deci \metre }\)\(\newcommand {\m }{\metre }\)\(\newcommand {\km }{\kilo \metre }\)\(\newcommand {\as }{\atto \second }\)\(\newcommand {\fs }{\femto \second }\)\(\newcommand {\ps }{\pico \second }\)\(\newcommand {\ns }{\nano \second }\)\(\newcommand {\us }{\micro \second }\)\(\newcommand {\ms }{\milli \second }\)\(\newcommand {\s }{\second }\)\(\newcommand {\fmol }{\femto \mol }\)\(\newcommand {\pmol }{\pico \mol }\)\(\newcommand {\nmol }{\nano \mol }\)\(\newcommand {\umol }{\micro \mol }\)\(\newcommand {\mmol }{\milli \mol }\)\(\newcommand {\mol }{\mol }\)\(\newcommand {\kmol }{\kilo \mol }\)\(\newcommand {\pA }{\pico \ampere }\)\(\newcommand {\nA }{\nano \ampere }\)\(\newcommand {\uA }{\micro \ampere }\)\(\newcommand {\mA }{\milli \ampere }\)\(\newcommand {\A }{\ampere }\)\(\newcommand {\kA }{\kilo \ampere }\)\(\newcommand {\ul }{\micro \litre }\)\(\newcommand {\ml }{\milli \litre }\)\(\newcommand {\l }{\litre }\)\(\newcommand {\hl }{\hecto \litre }\)\(\newcommand {\uL }{\micro \liter }\)\(\newcommand {\mL }{\milli \liter }\)\(\newcommand {\L }{\liter }\)\(\newcommand {\hL }{\hecto \liter }\)\(\newcommand {\mHz }{\milli \hertz }\)\(\newcommand {\Hz }{\hertz }\)\(\newcommand {\kHz }{\kilo \hertz }\)\(\newcommand {\MHz }{\mega \hertz }\)\(\newcommand {\GHz }{\giga \hertz }\)\(\newcommand {\THz }{\tera \hertz }\)\(\newcommand {\mN }{\milli \newton }\)\(\newcommand {\N }{\newton }\)\(\newcommand {\kN }{\kilo \newton }\)\(\newcommand {\MN }{\mega \newton }\)\(\newcommand {\Pa }{\pascal }\)\(\newcommand {\kPa }{\kilo \pascal }\)\(\newcommand {\MPa }{\mega \pascal }\)\(\newcommand {\GPa }{\giga \pascal }\)\(\newcommand {\mohm }{\milli \ohm }\)\(\newcommand {\kohm }{\kilo \ohm }\)\(\newcommand {\Mohm }{\mega \ohm }\)\(\newcommand {\pV }{\pico \volt }\)\(\newcommand {\nV }{\nano \volt }\)\(\newcommand {\uV }{\micro \volt }\)\(\newcommand {\mV }{\milli \volt }\)\(\newcommand {\V }{\volt }\)\(\newcommand {\kV }{\kilo \volt }\)\(\newcommand {\W }{\watt }\)\(\newcommand {\uW }{\micro \watt }\)\(\newcommand {\mW }{\milli \watt }\)\(\newcommand {\kW }{\kilo \watt }\)\(\newcommand {\MW }{\mega \watt }\)\(\newcommand {\GW }{\giga \watt }\)\(\newcommand {\J }{\joule }\)\(\newcommand {\uJ }{\micro \joule }\)\(\newcommand {\mJ }{\milli \joule }\)\(\newcommand {\kJ }{\kilo \joule }\)\(\newcommand {\eV }{\electronvolt }\)\(\newcommand {\meV }{\milli \electronvolt }\)\(\newcommand {\keV }{\kilo \electronvolt }\)\(\newcommand {\MeV }{\mega \electronvolt }\)\(\newcommand {\GeV }{\giga \electronvolt }\)\(\newcommand {\TeV }{\tera \electronvolt }\)\(\newcommand {\kWh }{\kilo \watt \hour }\)\(\newcommand {\F }{\farad }\)\(\newcommand {\fF }{\femto \farad }\)\(\newcommand {\pF }{\pico \farad }\)\(\newcommand {\K }{\mathrm {K}}\)\(\newcommand {\dB }{\mathrm {dB}}\)\(\newcommand {\kibi }{\mathrm {Ki}}\)\(\newcommand {\mebi }{\mathrm {Mi}}\)\(\newcommand {\gibi }{\mathrm {Gi}}\)\(\newcommand {\tebi }{\mathrm {Ti}}\)\(\newcommand {\pebi }{\mathrm {Pi}}\)\(\newcommand {\exbi }{\mathrm {Ei}}\)\(\newcommand {\zebi }{\mathrm {Zi}}\)\(\newcommand {\yobi }{\mathrm {Yi}}\)\(\newcommand {\LWRsubmultirow }[2][]{#2}\)\(\newcommand {\LWRmultirow }[2][]{\LWRsubmultirow }\)\(\newcommand {\multirow }[2][]{\LWRmultirow }\)\(\newcommand {\mrowcell }{}\)\(\newcommand {\mcolrowcell }{}\)\(\newcommand {\STneed }[1]{}\)\(\def \LWRsiunitxprintdecimalsub #1.#2.#3\LWRsiunitxEND {\mathrm {#1}\ifblank {#2}{}{,\mathrm {#2}}}\)\(\newcommand {\LWRsiunitxprintdecimal }[1]{\LWRsiunitxprintdecimalsub #1...\LWRsiunitxEND }\)

6 Ausfallrate von komplexen Funktionen

Die Ausfallrate ist die wesentliche Größe für Sicherheitsfunktionen, die kontinuierlich oder zumindest häufig (quasi-kontinuierlich) benötigt werden. Beispiele für Systeme, die kontinuierlichbenötigte Sicherheitsfunktionen implementieren, sind Flugantriebe (sollen immer den geforderten Schub liefern und vor allem nicht fälschlich stehenbleiben), Lageregelungen (sollen immer die vorgegebene Lage sicherstellen),Antriebsregelungen (sollen immer geforderte Drehmomente, Geschwindigkeiten oder Positionen gewährleisten oder nicht zur Unzeit anlaufen), Eisenbahn-Signalanlagen (sollen nie einen zu freigiebigen Signalbegriff anzeigen bzw. einen zufreigiebigen Fahrbefehl geben) aber auch Airbag-Steuerungen (sollen niemals fälschlich den Airbag auslösen), ABS-Steuerungen (sollen den Bremsdruck nie zu stark reduzieren), Zug-Türsteuerungen (sollen dieTür nie zur falschen Zeit öffnen). Sobald die Sicherheitsfunktion versagt, ist unmittelbar eine gefährliche Situation gegeben. Das Wort „unmittelbar“ heißt nicht, dass zwingend ein Schaden entstehen muss, sondern nur,dass bei üblichen externen Bedingungen ein Schaden nicht unwahrscheinlich ist. ¹⁴

Beispiele für Systeme, die quasi-kontinuierlich benötigte Sicherheitsfunktionen implementieren, gehören Fahrwerke von Flugzeugen (müssen nur bei der Landung funktionieren, aber die Landung istunausweichlich), Bremsen von sämtlichen Fahrzeugen (müssen nur bei Bremsanforderung funktionieren, aber die Anforderung kommt fast sicher – nur im Ausnahmefall wird ein Ausrollen möglich sein).

Die prinzipielle Struktur solcher Sicherheitsfunktionen ist in Abbildung21 dargestellt.

Charakteristisch ist, dass ein Ausfall der Sicherheitsfunktion unmittelbar Einfluss auf das Verhalten des physikalischen Prozesses hat (welcher etwa durch die Bewegungsgleichungen des Fahrzeugs, des Flugzeugs, der Maschine oder dieReaktionsdynamik der Chemikalien und Apparate gegeben ist) und somit zur Gefährdung führt – egal ob der Schaden sofort oder erst nach einer absehbaren Zeit eintritt.

Für kontinuierliche Sicherheitsfunktionen ist der Begriff der Prozessfehlertoleranzzeit (PFTZ, auch Prozesssicherheitszeit genannt) existenziell: Das ist die Zeit,für die die Sicherheitsfunktion verletzt werden darf, ohne dass sich hieraus eine Gefährdung ergibt. Im Fall einer hochdynamischen Antriebsregelung oder einer Lageregelung eines Kampfjets sind dies maximal wenigeMillisekunden, im Fall einer Bremse mögen es wenige Sekunden sein, im Fall der Brennstoffzufuhr eines Großkraftwerks vielleicht einige Minuten. Eventuell vorhandene Diagnosemaßnahmen müssen in dieser Zeit den Fehlererkennen und eine adäquate Reaktion initiieren, zum Beispiel eine Sicherheitsabschaltung veranlassen oder die defekte Steuerung isolieren und einen redundanten Steuerpfad aktivieren. Eine reine Fehlermeldung an den Bediener ist beikontinuierlichen oder quasi-kontinuierlichen Sicherheitsfunktionen in der Regel nicht ausreichend, da der Bediener die Funktion meist nicht wiederherstellen kann, bevor der Schaden eintritt.

Wie bei der Nichtverfügbarkeit ist auch bei der System-Ausfallrate der Mittelwert über die Lebenszeit relevant:

\begin{equation}\label {eq:overline_h_sys} \overline {h_\mathrm {sys}} = \frac {1}{T_{\mathrm {Life}}} \int \limits _0^{T_{\mathrm {Life}}} h_\mathrm {sys}(t)\,dt\end{equation}

In [IEC 61508] wird dieser Mittelwert \(\overline {h}\) als Probability of Failure per Hour (kurz PFH) bezeichnet. ¹⁵

Auf oberster Ebene stellt \(\overline {h_\mathrm {sys}}\) die Gefährdungsrate dar, oft mit HR (für engl. hazard rate) abgekürzt (vgl. [EN 50126]). Wenn es sich beidem betrachteten System nur um eine Teilfunktion einer Sicherheitsfunktion handelt, wird \(\overline {h_\mathrm {sys}}\) entsprechend als Funktional Failure Rate (FFR) bezeichnet.

\(\overline {h_\mathrm {sys}}\) ist das relevante Maß für die Sicherheit für alle Sicherheitsfunktionen, bei deren Versagen es ohne weitere Bedingungen zu einem Schaden kommen kann (also Sicherheitsfunktionen mitkontinuierlicher oder zumindest häufiger Anforderung).

Anmerkung: Viele Steuerungen nehmen sowohl kontinuierliche Sicherheitsfunktionen wahr, als auch selten benötigte. In diesem Fall muss für die Steuerung sowohl die Nichtverfügbarkeit im Anforderungsfall\(\overline {Q}\) als auch die Häufigkeit eines falschen Kommandos an die Aktorik \(\overline {h}\) bestimmt werden. ¹⁶

6.1 Berechnung mit Fehlerbäumen

Die Berechnung der Ausfallrate \(\overline {h}\) ist wesentlich schwieriger als die Berechnung der Nichtverfügbarkeit \(\overline {Q}\), sowohl bezüglich der Aufstellung eines korrekten Fehlerbaums als auchbezüglich der eigentlichen mathematischen Berechnung. Dennoch ist für die meisten Sicherheitsfunktionen die Fehlerbaumanalyse eine geeignete Methode zur Bestimmung der Ausfallrate, und oft die einzige praktikable Methodeder Modellierung. Es gibt jedoch leider keinerlei Standardisierung hierfür ¹⁷, obwohl die wesentlichen mathematischen Grundlagen schon in [NUREG] erwähnt sind. Daher ist es unerlässlich, dass sich derAnalyst intensiv mit den Eigenschaften und Eigenheiten des verwendeten Werkzeugs vertraut macht, und im Zweifelsfall anhand von einfachen Tests von der korrekten Funktion des Werkzeugs überzeugt. Die folgenden Beispielekönnen Basis solcher Tests sein.

6.1.1 System ohne Redundanzen

Im einfachsten Fall wird die Sicherheitsfunktion von einer Anzahl \(n\) Komponenten realisiert, welche alle für die Sicherheitsfunktion zwingend erforderlich sind. Fällt eine Komponente aus, fällt die Sicherheitsfunktionaus. Der Fehlerbaum besteht nur aus ODER-Gattern.

Dieses Beispiel war zweifellos trivial, und kaum jemand würde auf die Idee kommen, für solch ein System überhaupt einen Fehlerbaum (oder ein Markov-Modell) aufzustellen.

6.1.2 System mit Redundanzen

Wirklich interessant und als Modell nahezu unverzichtbar werden Fehlerbäume erst für Systeme mit Redundanzen (Mehrkanaligkeit). Im Fall von Redundanzen führt nicht jeder Einzelausfall zum Versagen derSicherheitsfunktion, im Fehlerbaum wird also mindestens ein UND-Gatter enthalten sein, und es wird mindestens einen Minimalschnitt geben, der mehr als ein Basis-Ereignis enthält, also eine Ordnung größer eins hat.

Die im Beispiel verwendete Formel für die Eintrittsrate eines Minimalschnitts lässt sich auf Minimalschnitte beliebiger Ordnung \(m=n_{\mathrm {Lit}}\) erweitern:

\begin{equation}\label {eq:h_mcs} \begin{split} h_{\mathrm {MCS}}(t) & \lessapprox h_{1}(t) \cdot Q_{2}(t) \cdot Q_{3}(t) \cdot \ldots \cdot Q_{m}(t) \\ & + h_{2}(t) \cdot Q_{1}(t) \cdot Q_{3}(t)\cdot \ldots \cdot Q_{m}(t) \\ & + \dots \\ & + h_{m}(t) \cdot Q_{1}(t) \cdot Q_{2}(t) \cdot \ldots \cdot Q_{m-1}(t)\\ &=\sum _{j=1}^{m} \left ( h_j(t) \cdot \prod _{k=1,k\neqj}^{m} Q_{k}(t) \right ) \end {split}\end{equation}

Formel(64) ist nur für \(Q_i \rightarrow 0\) korrekt. Die exakte Formel für zweiEreignisse mit beliebig großen Nichtverfügbarkeiten wird in Beispiel6.7 hergeleitet. Der Fehler fällt jedoch erst fürgroße Nichtverfügbarkeiten ins Gewicht, ist also für korrekt ausgelegte Systeme (also wenn die Detektions- und Reparaturzeiten wesentlich kleiner sind als die MTTF) unrelevant. Die Formel ist zudem immer konservativ, so dassselbst bei nicht korrekt ausgelegten Systemen die Ausfallrate nicht zu klein geschätzt wird.

Für die System-Ausfallrate (oder allgemeiner: die Eintrittsrate des Top-Events) gilt

\begin{equation}\label {eq:h_sys_mcs} \begin{split} h_{\mathrm {sys}}(t) &\lessapprox h_{\mathrm {MCS 1}}(t) + h_{\mathrm {MCS 2}}(t) + \ldots + h_{\mathrm {MCS n}}(t)\\ &= \sum_{i=1}^{n_{\mathrm {MCS}}} \left ( \sum _{j=1}^{n_{\mathrm {Lit,MCS_i}}} \left ( h_j(t) \cdot \prod _{k=1,k\neq j}^{n_{\mathrm {Lit,MCS_i}}} q_{i,k}(t) \right ) \right ) \end {split}\end{equation}

Diese Formel gilt exakt nur, wenn alle Minimalschnitte nur aus einem Ereignis bestehen. Andernfalls kann es sein, dass sich die Minimalschnitte gegenseitig überlappen, so dass das Ergebnis etwas zu groß wird. Dies lässt sich wiebei der Berechnung der System-Nichtverfügbarkeit durch Disjunktion der Minimalschnitte berücksichtigen. Diese Operation ist jedoch sehr aufwändig und stößt selbst bei Verwendung von BDDs bei großenFehlerbäumen an die Leistungsgrenzen moderner PCs.

6.1.3 Einkanalig Fail-Safe

Im letzten Beispiel wurde angenommen, dass der Prozess nicht einfach abgeschaltet und in einen sicheren Zustand gebracht werden kann, wenn ein Fehler erkannt wird. Bei vielen Prozessen ist dies durchaus möglich, beispielsweise kann einZug immer noch sicher zum Stillstand gebracht werden, wenn die Weg- oder Geschwindigkeitsmessung ausfällt. Dabei muss nicht einmal bekannt sein, welche Komponente genau ausgefallen ist, sondern man kann den sicheren Zustand auchim Fall von Inkonsistenzen jeglicher Art anfordern. Dies soll im nächsten Beispiel verdeutlicht werden.

Gelegentlich spricht man von einer Fail-Safe-Architektur, wenn die Steuerung in der Lage ist, den Prozess im Fall erkannter Fehler in einen sicheren Zustand zu bringen. Der Begriff ist allerdings äußerstunscharf, denn nirgends ist definiert, welche Fehlermodi oder welcher Anteil der gefährlichen Fehlermodi erkannt werden müssen, um ein System „fehlersicher“ nennen zu dürfen. ²⁰

Allgemein gilt: Bei der Modellierung können Ausfälle, die unmittelbar zur sicheren Seite gehen, oder bei deren Eintritt eine immer zur Verfügung stehende Maßnahme mit höchster Wahrscheinlichkeit einensicheren Zustand herbeiführt, weggelassen werden. Es muss jedoch unbedingt geprüft werden, ob diese Maßnahmen auch tatsächlich vorhanden und geeignet sind, in allen Fällen einen sicheren Zustand (desProzesses!) zu erreichen. Um diese Prüfung durchführen zu können, müssen alle angenommenen Maßnahmen und sicheren Zustände zwingend erwähnt und insbesondere bei generischenKomponenten in die für den Kunden bestimmte Dokumentation des Produkts übernommen werden.

Bei Ereignissen unterhalb von UND-Gattern ist eine korrekte Modellierung der Nichtverfügbarkeit nötig. Diese basiert auf Fehlerdetektions- und Wiederherstellungszeiten. Zudem kann es notwendig sein, gleichzeitigeAusfälle redundanter Komponenten zu berücksichtigen, beispielsweise durch Common-Cause-Faktoren \(\beta \).

Zur korrekten Modellierung von Diagnose und Inspektion ist die Kenntniss des physikalischen oder technischen Prozesses, in den die Sicherheitsfunktion eingebettet ist notwenig. Ist diese (noch) nicht bekannt, müssen alle getroffenenAnnahmen als Bedingungen bezüglich der Gültigkeit des Fehlerbaums dokumentiert und ggf. an Kunden weitergegeben werden.

6.1.4 Modellierung von regelmäßigen Tests und Diagnose

In Beispiel6.3 wurde angenommen, dass sich der Prozess leicht in einen sicheren Zustand bringen lässt. Die Sicherheit istmaßgeblich durch die Ausfallrate der Steuerung bestimmt. Es liegt nun nahe, eine Diagnoseeinheit zu ergänzen, welche die Aktivität der Steuerung überwacht. Wenn die Diagnoseeinheit einen Fehler erkennt, bringt sieden Prozess (z. B. die Maschine oder die verfahrenstechnische Anlage) typischerweise über einen zusätzlichen, einfach aufgebauten binären Not-Aktor (beispielsweise ein Relais oder ein Abschaltventil) in einensicheren Zustand (Stillstand, Leerlauf). Die Grundarchitektur solcher Steuerungen oder Regelungen ist in Abbildung25 dargestellt. Sie wird oft alseinkanalig mit Diagnose, kurz 1oo1D (für engl. 1-out-of-1) bezeichnet.

Die systematische Qualität der Diagnoseeinheit, also der Anteil der durch die Diagnose rechtzeitig erkennbaren Ausfälle an der Gesamtheit der (gefährlichen) Ausfallmodi des diagnostizierten Bauteils, wird als Diagnose-Deckungsgrad (engl. Diagnostic Coverage, DC) bezeichnet. Angenommen die Diagnoseeinheit überwacht die Versorgungsspannungen, den Prozessortakt und die regelmäßige Abarbeitung derkritischen Software-Tasks (Watchdog-Funktion), nicht jedoch die Logik der Recheneinheiten, die Speicher, oder die Ein-/Ausgabeeinheiten (A/D- und D/A-Wandler etc.) der Steuerung, so erhält man gemäß Tabellen ineinschlägigen Normen vielleicht einen Diagnose-Deckungsgrad von 70%.

Es gibt nun mindestens drei Möglichkeiten, die Diagnose zu modellieren:

• 1. Man verringert die Ausfallrate der diagnostizierten Komponente (hier STRG) entsprechend des Diagnose-Deckungsgrads. Die Diagnose taucht also im Fehlerbaum nicht explizit auf. Der Vorteil ist offensichtlich ein einfacher Fehlerbaum. Nachteilist, dass die Diagnose nicht ausdrücklich als sicherheitsrelevante Komponente erwähnt wird, man also stillschweigend voraussetzt, dass die Diagnose immer funktionieren wird. Tatsächlich aber unterliegt auch dieDiagnose und insbesondere der Abschaltpfad zufälligen Ausfällen und muss daher in den meisten Anwendungen regelmäßig getestet werden.

• 2. Man teilt die Ausfälle der diagnostizierten Komponente gemäß Diagnose-Deckungsgrad auf zwei Basisereignisse auf, eines für die von der Diagnose nicht detektierbaren Ausfälle (AUSFALL_UNDET), einesfür die detektierbaren (AUSFALL_DET).

  Der Ausfall der Diagnose selbst wird ebenfalls als Basisereignis (DIAG) mit einer bestimmten Ausfallrate und Testintervall modelliert. Das Ereignis für die erkennbaren Ausfälle wird mit der Diagnose mittels UND-Gatterverbunden, vgl. Abbildung26 links.

• 3. Wie zuvor, aber das Basisereignis des Diagnoseausfalls wird als Bedingung (engl. Condition) gekennzeichnet (DIAG_COND), und mittels INHIBIT-Gatter mit dem zudiagnostizierenden Ausfall (AUSFALL_DET) verbunden, vgl. Abbildung26 rechts.

Der Unterschied der Varianten 2 und 3 ist folgender: Beim UND-Gatter gilt Formel(64). Bei derVerknüpfung von AUSFALL_DET und DIAG ergibt sich also

\begin{equation*}h_\mathrm {UND} = h_\mathrm {AUSFALL\_DET} \cdot Q_\mathrm {DIAG} + h_\mathrm {DIAG} \cdot Q_\mathrm {AUSFALL\_DET}\end{equation*}

Das spiegelt aber nicht die Realität wider, denn die Ausfallrate der Diagnose \(h_\mathrm {DIAG}\) hat keinerlei Einfluss auf die Eintrittsrate des Systemausfalls, sondern nur deren Nichtverfügbarkeit \(Q_\mathrm {DIAG}\).Solange also \(Q_\mathrm {DIAG}\) konstant ist, sollte auch die Ausfallrate der Verknüpfung gleich bleiben. Dies erreicht man, indem man ein Ereignis als Bedingung kennzeichnet, und mittels INHIBIT an die durch Eintrittsraten \(h\)und Nichtverfügbarkeiten \(Q\) beschriebenen „normalen“ Teile des Fehlerbaums anbindet. Damit wird die Eintrittsrate der Bedingung ignoriert (als wäre sie null), und somit wird der zweite Summand in vorheriger Formel null –genau das, was hier gewünscht ist:

\begin{equation*}h_\mathrm {INHIBIT} = h_\mathrm {AUSFALL\_DET} \cdot Q_\mathrm {DIAG} + 0 \cdot Q_\mathrm {AUSFALL\_DET}\end{equation*}

Anmerkung: Die Unterscheidung von UND und INHIBIT mag in unterschiedlichen Werkzeugen unterschiedlich streng gehandhabt werden, da es auch hier keine Standardisierung gibt.

Anmerkung: Oft beschreibt man mit einem Bedingungs-Ereignis auch die Wahrscheinlichkeit, dass bestimmte Randbedingungen vorliegen. In dem Fall wird diese Wahrscheinlichkeit direkt als Konstante eingegeben, siehe AnhangA.3.

Anmerkung: Bedingungen können miteinander verknüpft werden (z. B. mittels UND-, oder ODER-Gattern), bevor sie als Gesamt-Bedingung an ein INHIBIT-Gatter angeschlossen werden.

6.1.5 Zweikanalig Fail-Safe

Das in Beispiel6.4 betrachtet System wird gelegentlich als fehlersicheres einkanaliges System mit Diagnose (1oo1D) bezeichnet.

Steuerungen für hohe Sicherheitsanforderungen baut man oft aus zwei gleichartigen Einzelsteuerungen auf, wovon jede mit einer eigenen Diagnose versehen ist. Ist jede der Steuerungen in der Lage, den Prozess im Fall erkannter Fehler ineinen sicheren Zustand zu bringen, wird dies manchmal als zweikanaliges fehlersicheres System, oder 1-aus-2 System mit Diagnose bezeichnet, kurz 1oo2D. Man sollte diese Bezeichnungen aber nur mit Vorsicht verwenden, da sie nicht harmonisiertsind, und in der Literatur durchaus unterschiedlich und sogar widersprüchlich verwendet werden. ²¹

6.1.6 Fail-Operational Systeme

Wie im einleitenden Beispiel6.1 erwähnt, gibt es eine Vielzahl von Prozessen, die sich nicht einfach in einen sicheren Zustand bringen lassen.

Falls die Sicherheitsanforderungen nicht sehr hoch sind, genügt oft eine zweikanalige Architektur, wobei im Falle eines erkannten Fehlers jeder Kanal sich selbst abschalten kann oder sich gegenüber einer Auswahlschaltung alsdefekt erklären kann. Eine gute Eigendiagnose jedes einzelnen Kanals ist hierfür unerlässlich, denn nur wenn klar ist, welcher Kanal defekt ist, kann auf den intakten Kanal umgeschaltet werden. Die Umschaltung selbstmuss durch eine nachgeschaltete Auswahlschaltung erfolgen.

Für höhere Sicherheitsanforderungen ist der Diagnose-Deckungsgrad der Kanal-internen Diagnose der einzelnen Kanäle oft nicht ausreichend, es kommt also zu einer zu großen Rate von widersprüchlichenAusgaben der einzelnen Kanäle, ohne dass ein Kanal anzeigt, dass er defekt ist. Die Auswahlschaltung hätte in diesem Fall eine 50% Chance, den richtigen auszuwählen. Die Wahrscheinlichkeit, den richtigen Kanalabzuschalten, lässt sich dadurch wesentlich verbessern, dass die Ausgaben von drei Kanälen verglichen werden. Unter der Bedingung, dass systematische Fehler und Ausfälle aufgrund gemeinsamer Ursache hinreichendselten sind, werden in der Regel mindestens zwei Kanäle die korrekte Ausgangsgröße ermitteln. Die Auswahlschaltung wird daher so aufgebaut, dass sie die Ergebnisse der beiden Kanäle verwendet, deren Ergebnisseidentisch sind oder zumindest am nähesten beieinander liegen. Eine solche Architektur wird als 2-aus-3-Architektur (2oo3 oder auch 2oo3D, falls jeder Kanal eine eigene Diagnose hat) bezeichnet. ²²

Unabhängig von der Anzahl der Kanäle darf die Auswahlschaltung nur eine minimale Ausfallrate haben, um nicht das für die Gesamt-Sicherheit maßgebliche Element zu sein. Manchmal erfolgt die Auswahl auchüber die Mechanik, beispielsweise in dem jeder von drei Kanälen einen Aktor treibt, welcher von zwei anderen mechanisch überstimmt werden kann. Bei entsprechender „Intelligenz“ der Auswahlschaltung kann ein2oo3-System sogar mit zwei ausgefallenen Kanälen noch korrekt arbeiten, wenn die Ausfälle von der Kanal-Diagnose erkannt und an die Auswahllogik gemeldet werden.

Im vorherigen Beispiel wurden sogenannte KOMBINATIONS-Gatter (engl. Combination-Gate), auch Mehrheitsentscheider (engl. Voting-Gate) genannt, für die Gatter „Steuerung“ und „Sensorik“verwendet. Sie sind nur eine Abkürzung für die entsprechende Kombination aus UND- und ODER-Gattern. Die Zahl im Gatter (oft mit \(m\) abgekürzt, hier also \(m=2\)) gibt an, wieviele der \(n\) Eingängemindestens versagen müssen (also erfüllt sein müssen), damit das durch das Gatter beschriebene Ereignis eintritt. \(m=1\) bedeutet also ein reines ODER-Gatter, \(m=n\) bedeutet ein reines UND-Gatter,\(1<m<n\) bedeutet eine Kombination eines ODER- mit mehreren UND-Gattern, wie in Abbildung35 beispielhaft fürein 2-von-3-Gatter gezeigt.

Zur Berechnung werden die Kombinations-Gatter in die entsprechende Kombination von UND- und ODER-Gattern umgewandelt. Es gibt daher keine besonderen Formeln oder Berechnungsmethoden für diese Gatter.

6.1.7 Transiente und stationäre Berechnung

Wie die mittlere System-Nichtverfügbarkeit kann auch die mittlere System-Ausfallrate sowohl über eine stationäre Berechnung als auch eine transiente Berechung ermittelt werden, siehe hierzu Abschnitt5.1.4.

Einziger Unterschied ist, dass der in Abschnitt5.1.4 beschriebene mathematische Fehler beim Rechnen mit Mittelwertenfür die Ausfallrate erst bei Minimalschnitten dritter Ordnung (also Minimalschnitten mit drei Basis-Ereignissen) auftritt, und nicht schon bei Minimalschnitten zweiter Ordnung wie bei der Nichtverfügbarkeit. Das liegt daran, dassgemäß Formel(64) bei einem Minimalschnitt zweiter Ordnung noch keine Multiplikation vonNichtverfügbarkeiten auftritt. Wenn also klar ist, dass sich das System (abgesehen von einer im Vergleich zur Einsatzzeit vernachlässigbaren Einschwingphase) in einem quasi-stationären Zustand befinden wird, kann dieSystem-Ausfallrate meist in guter Näherung mit Mittelwerten berechnet werden.

6.2 Berechnung mit Markov-Modellen

Bezüglich der Modellierung gibt es keine Unterschiede zu Kapitel5.2.

Wie für die Berechnung der Nichtverfügbarkeit muss zunächst entweder der stationäre Zustand berechnet werden, oder das lineare Differenzialgleichungssystem muss über die Lebenszeit integriertwerden.

Die Eintrittshäufigkeit \(w_i(t)\) eines Zustands \(i\) ist die Summe der \(m\) Transitionsraten \(h_{i,j}\), die zu diesem Zustand führen, jeweils multipliziert mit der Aufenthaltswahrscheinlichkeit im Ursprungszustand derjeweiligen Kante \(p_{\mathrm {ursprung}_{i,j}}\):

\begin{equation}w_i(t) = \sum _{j=1}^m h_{\mathrm {ein}_{i,j}}(t) \cdot p_{\mathrm {ursprung}_{i,j}}(t) \label {eq:w_state}\end{equation}

Die System-Ausfallhäufigkeit ergibt sich aus der Summe der Zustands-Eintrittshäufigkeiten für alle \(n\) Ausfallzustände

\begin{equation}w_\mathrm {sys}(t) = \sum _{i=1}^n w_i(t) = \sum _{i=1}^n \sum _{j=1}^m h_{\mathrm {ein}_{i,j}}(t) \cdot p_{\mathrm {ursprung}_{i,j}}(t) \label {eq:w_sys}\end{equation}

Die Ausfallhäufigkeit \(w(t)\) ist nur dann identisch zur gesuchten Ausfallrate \(h(t)\), wenn die Aufenthaltswahrscheinlichkeit in allen Ausfallzuständen null ist, da in der Praxis im Fall einer (quasi-)kontinuierlichbenötigten Sicherheitsfunktion ein Systemausfall praktisch sofort erkannt wird (nämlich durch das Eintreten eines Unfalls), was zur unmittelbaren Beendigung des Betriebs führt. Der Betrieb wird erst nach der Reparaturoder dem Ersatz des Systems durch ein anderes oder neues wieder aufgenommen, die Zeit bis dahin darf zur Berechnung der Ausfallrate nicht berücksichtigt werden (sonst würde sie zu optimistisch, wie man sich leicht mitExtrem-Beispielen vor Augen führen kann).

Möchte man also ein Markov-Modell zur Berechnung der Ausfallrate \(h_\mathrm {sys}(t)\) bzw. \(\overline {h_\mathrm {sys}}\) einsetzen, muss man entweder von allen Ausfallzuständen eine Transition mit einersehr hohen Rate \(\mu \) zurück in einen Nicht-Ausfallzustand modellieren (in der Regel zurück in den Ausgangszustand), oder man muss die Ausfallhäufigkeit \(w(t)\) durch die Wahrscheinlichkeit, nicht in einemAusfallzustand zu sein, dividieren:

\begin{equation}\label {eq:h_sys_MM} h_\mathrm {sys}(t) = \frac {w_\mathrm {sys}(t)}{1-\sum \limits _{i=1}^n p_i(t)}\end{equation}

Falls die Wahrscheinlichkeiten der Ausfallzustände null sind, ergibt sich \(h(t) = w(t)\). Formel(68) kann man und sollte man sicherheitshalber immer anwenden, auch wenn – wie zuvor erwähnt – bereits Transitionen mit großerWiederherstellungsrate \(\mu \) im Modell eingefügt wurden.

6.3 Erwartungswert der Ausfälle

Für reparierbare bzw. ersetzbare Systeme ist neben der Ausfallrate noch der Erwartungswert der Ausfälle \(N(t)\) interessant:

\begin{equation}N_\mathrm {sys}(T) = \int \limits _0^T h_\mathrm {sys}(t) dt\end{equation}

Er gibt an, wie viele Ausfälle im Zeitintervall \(t=0\dots T\) zu erwarten sind.

Die mittlere Ausfallrate \(\overline {h}\) kann auch aus \(N(T)\) berechnet werden:

\begin{equation}\label {eq:h_mean_N} \overline {h_\mathrm {sys}} = \mathrm {PFH} = \frac {N_\mathrm {sys}(T)}{T}\end{equation}