Erstellung FTA Fehlerbaumanalyse


Erfahren Sie mehr über die Notwendigkeit der Fehlerbaumanalyse

Einführung in das Thema der FTA

  • Fehlerbaumanalyse (FTA) ist eine Methode, die einen graphischen Zusammenhang zwischen einem Top-Ereignis (Systemausfall, Gefährdung,...) und den Ursachen, die zu diesem Top-Ereignis führen, darstellt
  • Deduktives Verfahren, d.h., ausgehend von dem unerwünschten Top- Ereignis werden die möglichen Ursachen gesucht
  • Ursachen können dabei entweder alleine oder in Kombination mit anderen Ursachen auftreten und zu einem definierten Fehler führen
    Top-Down-Analyse

Entstehung der FTA

  • Die Fault Tree Analysis (FTA) entstand in den 60er Jahren in der USA
  • Die FTA wurde in der Telekommunikations- und Flugzeugindustrie entwickelt
  • 1970er Planung von Kernkraftwerken - führte zur internationalen Verbreitung
  • Entstehung von Auswerte-Algorithmen und unterstützender Software
  • Erstellung des „Fault Tree Handbook“ (united states nuclear regulatory commission)
  • Anfang der 80er Jahre wurde die FTA auf Druck der amerikanischen Behörden formalisiert
  • Mittlerweile findet die FTA verbreitete Anwendung, besonders in der Elektronik bzw. Elektrotechnik und wird für Zuverlässigkeits- und Sicherheitsanalysen eingesetzt
  • Stellenwert der FTA ist die genaue Berechnung der Ausfallrate (qualtitativ)
  • Normung nach DIN 25424-1/-2 (1981/1990) und DIN EN 61025 (2007)

Anwendungsbereich

  • Produktentwicklung bei allen modernen sicherheitskritischen Systemen z.B. Automobil, Luftfahrt, Schiff, etc.
  • Planung von Industrieanlagen, insbesondere Verfahrenstechnik sowie vorbeugender Brandschutz
  • Softwareentwicklung zur Analyse von Fehlern in EDV-Programmen
  • Flugsicherheit (Fehlerbaumanalysen mit Checklisten)
  • Sicherheitsanalysen für nukleare Anlagen
  • Funktionale Sicherheit gemäß
    • ISO 26262 für Fahrzeuge bis 3,5 t
    • IEC 61508 im Maschinen- & Anlagenbau

Warum Risikoanalysen überhaupt durchführen?

Die Ziele der FTA ergeben sich aus den veränderten Einflussfaktoren auf das Unternehmen, wie z. B. gestiegene Qualitätsansprüche der Kunden, Kostenoptimierung und Produkthaftung.

Produkthaftung = Haftung für Folgeschäden, die durch ein fehlerhaftes Produkt verursacht wurden

  • wegen gesetzlicher Auflagen wie Produkthaftung und Umweltschutz
  • aufgrund gesteigerter Kundenerwartungen und verschärftem Wettbewerb
  • zur Implementierung eines aktiven QM-Systems
    • bei der Herstellung sicherheitsrelevanter Systeme
    • bei der Planung grundsätzlicher Neuentwicklungen
  • zur termingerechten Einführung von Produkten
    zur Qualitätsverbesserung und zur Kosteneinsparung
  • zur Verbesserung der innerbetrieblichen Kommunikation
  • zur Vermeidung potenzieller Ausfälle mit schweren und teuren Folgen
  • Begrenzung von Risiken

Der Grundgedanke der Kostenstruktur

  • Am Anfang eines Projektes reine Prävention
  • Somit am Anfang = Hoher Aufwand
  • Armortisation über den Produktentstehungszeitraum
  • Nutzen: Im Übergang zur Serienphase
  • Gewährleistungskosten

Weitere Zielsetzungen:

  • Verbesserung der Funktionssicherheit und Zuverlässigkeit von Produkten
  • Erstellung graphischer/logischer Baumstrukturen (Verständnis der Zusammenhänge) o Aufzeigen möglicher Ausfallursachen und deren Kombinationen
  • Berechnung der Wahrscheinlichkeit eines unerwünschten Ereignisses
  • Störungsfreiere Serienanläufe
  • Vergleich von Varianten
  • Wirtschaftlichere Herstellung
  • bessere Kommunikation innerhalb des Betriebes und extern mit den Kunden und Lieferanten
  • Aufzeigen von Ursachen und Kombinationen von Ursachen, die zum Hauptereignis führen
  • Beurteilen, ob ein System eine festgelegte Forderung erfüllt
  • Aufzeigen potentieller Ausfallarten oder Einflussgrößen
  • Analyse und Vergleich verschiedener Entwurfs-/Konstruktionsalternativen
  • Aufzeigen von gemeinsamen Ereignissen (CCF)
  • Wichtigste Optimierungspunkte ausfindig machen
  • System auf Komponentenbasis wirklichkeitsnah zu modellieren und auszuwerten:
    • Ausfallarten und Ausfallursachen zu detektieren
    • Funktionale Zusammenhänge der Ausfälle herzustellen
    • Auswirkungen von Ausfällen auf das System zu beschreiben

Die FTA wird eingesetzt zur:

  • Präventiven Qualitätssicherung
  • Systemanalyse
  • Problemlösung bei neu auftretenden Fehlern
  • Analyse der Zuverlässigkeit über qualitativen oder quantitativen Ansatz:
    • Qualitativ: Identifikation von Schwachstellen
    • Quantitativ: Berechnung von Kenngrößen

Abgrenzung anderer Analysemethoden

FMEA „Failure Modes and Effects Analysis“ oder Fehlermöglichkeits- und Einflussanalyse

  • Entwicklungs- und planungsbegleitende System- und Risikoanalyse
    Induktives Analyseverfahren

 

FMEDA

  • Fehlermöglichkeits- und Einfluss-Diagnose-Analyse
  • Verfahren zur detaillierten Ermittlung von Fehlerursachen und deren Auswirkung auf das System
  • Erweiterung der FMEA
  • Quantitative Untersuchung der Bauteilzuverlässigkeit
  • Bestimmung des Diagnosedeckungsgrades
  • Quantitativer Nachweis des Erreichens oder Nichterreichens der geforderten Ausfallwahrscheinlichkeit

Zuverlässigkeitsblockdiagramm

  • Modellbasiertes Analyseverfahren zur Überprüfung oder zum
  • Nachweis der Zuverlässigkeit von Systemen
  • Welche Elemente müssen für die geforderte Funktion verfügbar sein und welche dürfen ausfallen
  • Darstellung der einzelnen Elemente als Blöcke
  • Für jedes Element dürfen nur zwei Zustände und eine Ausfallart angenommen werden

Markov-Analyse

  • Die Modellierung als Markov-Kette bedeutet, dass das System auf zufällige Weise von einem Zustand in einen anderen übergeht, wobei die Übergangswahrscheinlichkeiten nur jeweils vom aktuellen Zustand abhängen, aber nicht von den davor eingenommenen Zuständen.
  • Außerdem wird angenommen, dass die Übergangswahrscheinlichkeiten über die Zeit konstant sind.

FTA-Vorbereitung Arbeitsunterlagen

  • Spezifikationen / Lastenhefte / Zeichnungen
  • Stücklisten, Fertigungspläne, Montage- und Prüfpläne
  • Ergebnisse aus früheren Analysen (z. B. Gefahrenanalyse)
  • Nachweis über Erfahrungen aus Vergleichserzeugnissen / Vorgängerprodukten
  • gesetzliche Vorschriften, Verfahrensanweisungen, Qualitätsvorschriften, Qualitätsziel- Definition, Verordnungen, Sicherheitsvorschriften, Normen, Typisierungsunterlagen
  • Die Arbeitsunterlagen müssen dem aktuellen Stand entsprechen.
  • Systematische Vorbereitung vor dem eigentlichen Beginn der FTA
  • Aufgabenstellung festlegen
  • Zielsetzung festlegen
  • Teammitglieder ermitteln
  • Schulungsbedarf ermitteln, ggf. Schulung vorsehen o Übersichten und Diagramme bereitstellen
  • zu bearbeitende Themen planen
  • Aufwandsabschätzung durchführen
  • organisatorische Vorbereitungen treffen

Fault Tree Analysis

  • Analytisches Verfahren zur Beurteilung der Zuverlässigkeit eines Systems
  • Beschrieben in der EN 61025
  • Deduktives Verfahren
  • Top-Down-Methode
  • Die FTA wird üblicherweise aus Fehlersicht erstellt ("Fehler-Modell", bewertet mit den Ausfallraten der Komponenten)
  • Top-Event = Kritisches Ereignis
  • Die Fehlerbaumanalyse befasst sich mit dem Aufzeigen und dem Untersuchen von Bedingungen und Einflussgrößen, die zum Auftreten oder potentiell möglichen Auftreten eines festgelegten Hauptereignisses führen oder dazu beitragen.“ Quelle: EN 61025:2007
  • Aufzeigen von:
    • Faktoren mit Einfluss auf das untersuchte Hauptereignis
    • Faktoren, die die Zuverlässigkeit und Leistungseigenschaften des Systems beeinflussen
    • Ereignisse, die mehr als einen Funktionsteil betreffen und spezifische Redundanzen unwirksam machen könnten

Begriffe im Zusammenhang der FTA

  • Betrachtungseinheit- > z.B.Systeme, Komponenten, Funktionselemente
  • System -> Unterscheidung technisches System oder Funktionssystem
  • Komponente- > Unterste Betrachtungseinheit eines technischen Systems
  • Funktionselement- > Unterste Betrachtungseinheit eines Funktionssystems
  • Ausfall (Versagen) -> Ausfall einer technischen Betrachtungseinheit
  • Fehler- > Unzulässige Abweichung eines Merkmals
    Ausfallart (Versagensart) -> Verschiedene Möglichkeiten des Ausfalls einer Komponente
  • Unerwünschtes Ereignis (topevent) -> Fehlerbaumausgang, in Bezug auf Ausfall des untersuchten Funktionssystems
  • Ausfallkombinationen - > gleichzeitiger Ausfall von Funktionselementen

Begriffe der Modellierung

  • Gatter
    • Symbol zur Herstellung symbolischer Verbindungen zwischen Ausgabeereignis und den entsprechenden Eingaben
    • Symbole (logische Verbindungsglieder), die die logische Beziehung zwischen Eingangsereignissen und dem Ausgabeereignis herstellen
  • Statische Gatter:
    • Ergebnis (Ausgabe) hängt nicht von der Reihenfolge des Eintritts der Eingaben ab
    • Kein Zeitverhalten berücksichtigt
  • Dynamische Gatter:
    • Ergebnis (Ausgabe) hängt von der Reihenfolge des Eintritts der Eingaben ab
      Zeitverhalten berücksichtigt
  • Ereignis
    • Eintritt einer Bedingung oder einer Aktion
  • Hauptereignis
    • Unerwünschtes Ereignis oder TOP-Ereignis
    • Ausgangspunkt bei der Entwicklung eines Fehlerbaums
    • Eintretender Fehler, der vermieden werden soll
    • Wird vorab festgelegt
  • Zwischenereignis
    • Ereignis, welches weder Hauptereignis noch Primärereignis ist
    • Üblicherweise ist es das Ergebnis eines oder mehrerer Primärereignisse oder anderer Zwischenereignisse
  • Primärereignis
    • Ereignis am Ende des Fehlzustandsbaums (die Blätter des Baumes)
    • Kann ein Grundereignis sein (kann nicht weiter untersucht werden), ein Ereignis, das an anderer Stelle weiter untersucht wird oder ein Ereignis das nicht weiter untersucht wird

Begriffe des Ausfalls / Fehlers

  • Singulärer Punktausfall (Ereignis):
    • Kritisches Ereignis das direkt zum Top-Event führt
  • Ereignisse mit gemeinsamer Ursache:
    • Unterschiedliche Ereignisse, deren Eintritt durch dieselbe Ursache bewirkt wird Common Cause Failure oder Common Mode Failure
    • z.B. der Kurzschluss von SMD-Kondensatoren, verursacht durch das Biegen einer gedruckten Leiterplatte, Kurzschluss von unterschiedlichen Kondensatoren mit unterschiedlichen Funktionen mit derselben Ursache (Eingangsereignis)
  • Repliziertes oder wiederholtes Ereignis:
    • Ein und dasselbe Ereignis geht in mehrere Äste ein Ist im Baum zu kennzeichnen
  • Failure Cause
    • Initiator des Fehlers
      Bsp.: Ein Ventil öffnet nicht, weil ein Operator nicht funktioniert
  • Failure Mechanism
    • Der Prozess mit dem sich der Fehler ereignet
      Bsp.: Ein Ventil öffnet sich nicht, weil der Operator korrodiert ist
  • Fault
    • Fehlerart
    • Bsp.: Kurzschluss, Open

Ergebnisanalyse

  • Nach Berechnung der Zuverlässigkeit oder Systemausfallwahrscheinlichkeit eines unerwünschten Ereignisses erfolgt die Beurteilung hinsichtlich:
    • Mechanik
    • Elektonik
    • Software
    • Informationstechnik

Placeholder image

 

  • Durchführung einer Sensitivitätsanalyse als Basis der Ergebnis-Beurteilung durch Entscheidungsträger (Vorgesetzte bzw. Auftraggeber)
    Methode, wie empfindlich Kennzahlen auf eine Änderung der Eingangsparameter reagieren:
    Eintrittswahrscheinlichkeit von λges
    • akzeptabel
    • Nicht akzeptabe = Gegenmaßnahmen = Analyse verursachender Ereignisse

Wahrscheinlichtkeitstabellen

  • ODER-Verknüpfung:
    • ODER-Gatter mit Eingängen E1 ; E2 entspricht: E1 ∨ E2
  • UND-Verknüpfung:
    • UND-Gatter mit Eingängen E1; E2 entspricht: E1 ∧ E2
  • Nicht-Verknüpfung:
    • Nicht-Gatter mit Eingängen E1; E2 entspricht: E1= 1 = 0

FTA-Nachbereitung

  • Review/LessonsLearned
    Erstellte Unterlagen/ Dokumentation prüfen
  • Firmeneigenen Fehlerkatalog aktualisieren
  • Lessons Learned Datenbank/-en pflegen
  • VervollständigungderDokumentation
    Kommentare/ Bemerkungen/ Anregungen der Teilnehmer
  • Definierte Maßnahmen
  • KommunikationderErgebnissebzw.Maßnahmen
    Entscheidungen/ Maßnahmen/ Ergebnisse an beteiligte Personen verteilen
  • Ableitung des Verbesserungspotentials an andere Abteilungen (Transfer)
  • Maßnahmenverfolgung/Projektmanagement
    Definierte Maßnahmen an Verantwortlichen senden
  • Terminüberwachung
    Wirksamkeit der definierten Maßnahmen überwachen

Handlungsbedarf festlegen und Maßnahmen auswählen

VergleichderqualitativenundquantitativenAnforderunginBezugaufdie Ausfallwahrscheinlichkeit eines „top events“. Bei einer Differenz dieser Werte besteht Handlungsbedarf (Maßnahmen)
SchwachstellenfürmöglichesVersagendefinieren
Maßnahmenergreifen,umdievorgegebeneWerteerreichenzukönnen

Empfohlene Verbesserungsmaßnahmen
Um die definierten Schwachstellen zu beseitigen werden Maßnahmen vorgeschlagen,die unter Beachtung der folgenden Punkte gewichtet und bewertet wird:

  • Realisierbarkeit
  • Kosten
  • Termine
  • Es muss ein Verantwortlicher und der Einsatztermin für die Realisierung bestimmt werden
  • Erfolgskontrolle
    Um die Wirksamkeit der Maßnahme nachzuweisen muss eine Neuberechnung des Fehlerbaumes durchgeführt werden.
  •  Entsprechen die Berechnungsergebnisse den Zielvorgaben, ist die Wirksamkeit der Maßnahme nachgewiesen

Entsprechen die Berechnungsergebnisse nicht den Zielvorgaben, muss eine Analyse für das Fehlschlagen erfolgen und Verbesserungsmaßnahmen eingeleitet werden

Grundelemente eines Berichts:

Zielsetzung und Anwendungsbereich:

  • Systembeschreibung: Beschreibung des Systementwurfs, des Systembetriebs, der genauen und festgelegten Systemgrenzen
  • Annahmen zum Systementwurf
    • Annahme zum Betrieb, Instandhaltung, Prüfung und Inspektion, Annahmen zum
      Zuverlässigkeitsmodell
  • Person oder Team, die/das die Analyse durchgeführt hat, mit Angabe des jeweiligen Hintergrundes zum Fachwissen
  • In der Überschrift oder in einem getrennten Abschnitt des Berichts: Hauptereignisdefinition und Kriterien
  • Hinweise auf Grundereignisse, nicht weiter untersuchte Ereignisse und anderweitig untersuchte Ereignisse, etwa in anderen Projekten sowie eine Rechtfertigung für die übernommenen Wahrscheinlichkeiten
  • Fehlzustandsanalyse: Untersuchung, Daten, verwendete Symbole, Ausfälle mit gemeinsamer Ursache und Minimalschnitte, soweit jeweils zutreffend
  • Ergebnisse, Schlussfolgerungen und Empfehlungen
  • Zusätzlich kann der Bericht enthalten:
    • Systemblockdiagramme und Schaltpläne
    • Zusammenfassung von Zuverlässigkeitsdaten einschließlich ihrer Quelle, wie etwa Datenbank, Angaben des Bauelementeherstellers, gespeicherte Angaben usw.
    • FMEA oder Verweis auf die Analyse

Software-FTA

Anfangs Einsatz der FTA rein zur Bewertung von Anlagen, Schaltungen etc.
Komplexe Fehlerbäume lassen sich nur unter Anwendung rechnergestützter Methoden sinnvoll behandeln
Mit zunehmender Zahl informationstechnischer Systeme ging eine zunehmende Verflechtung der FTA mit Software einher:

  • Software-Tools
  • Unterstützung der Auswertung von Fehlerbäumen
  • Beherrschung komplexer Software-Systeme
  • Entwurf von Software
  • Minimierung des Ausfallrisikos durch Identifikation von fehleranfälligen
  • Modulen (high-risk modules)
  • Kontrolle von Code-Segmenten

Software-Tools

  • SafetyOffice X2 (EnCo -> siehe Screen)
  • Fault Tree+ (Isograph)
  • Open FTA
  • CAFTA Fault Tree Analysis
  • ITEM Toolkit
  • APIS

Probleme bei der Software FTA

  • Fehlerbaum gibt ein System nur zu einem festen Zeitpunkt wieder
  • Aber die Reihenfolge und die zeitlichen Abstände des Auftretens von Ereignissen ist entscheidend über einen Ausfall von Software!
  • Abhilfe über mehrere Fehlerbäume, die einen dynamischen Ablauf darstellen können
  • Komplexität?

Kontrolle von Code-Segmenten

  • Kontrolle einer kompletten Software kaum möglich, da Abhängigkeiten im Code zu komplex sind um diese über einen Fehlerbaum darzustellen
  • Daher ist nur die automatische oder manuelle Überführung von Modulen, Funktionen oder Schleifen in Fehlerbäume sinnvoll
  • Top-Ereignis wird durch einen unerwünschten Output dargestellt
  • Minimierung des Ausfallrisikos von Software-Systemen erfolgt durch die Identifikation von fehleranfälligen Modulen, sogenannten high-risk modules
  • Ableitung von Maßnahmen zur Absicherung der erkannten Module
    Im Anschluss ausführliche Tests und Re-Design des Systems (falls nötig) = Ersetzt nicht die eigentliche Verifikation des Software-Systems!
  • Software-Systeme können verschiedene Zustände einnehmen, wobei erst der weitere Verlauf oder der Kontext angibt, ob dieser Zustand zu einem Ausfall führen kann
  • Aber die FTA erlaubt nur die Zustände „funktionsfähig“ oder „defekt“!
    Abhilfe bei der quantitativen Durchführung über Wahrscheinlichkeitstheorie auf Basis exakter statistischer Daten
  • Qualität der Daten?

Zukunft

  • System werden immer komplexer, sodass eine Auswertung „von Hand“ kaum mehr möglich ist
  • Rechnergestützte Methoden zur Behandlung von Fehlerbäumen
  • Effektive Methoden notwendig, die analytischen und simulativen Charakter aufweisen
  • Kombination der FTA mit anderen Methoden
  • Aussagen über Software auf Basis empirischer Daten kaum möglich
  • Genauigkeit und Belastbarkeit der Ergebnisse können in jeder Entwicklungsphase in Frage gestellt werden
  • Berechnungsverfahren müssen Erfahrungswerte berücksichtigen

Normen

DIN 25424 Teil 1 “Fehlerbaumanalyse Methode und Bildzeichen“
DIN 25424 Teil 2 “Fehlerbaumanalyse Handrechenverfahren zur Auswertung eines Fehlerbaumes

Logikanalyse

Gemäß EN 61025

  • Logische Untersuchung des Systems
  • Grundlage: Modellierung durch die man eine Fehlzustandsbaumdarstellung der funktionalen und strukturellen Architektur des Systems erhält
  • Untersuchung
    • Bewertung der Fehlzustandsbaumstruktur durch Vergleich mit vorliegenden
    • Informationen (schematische Darstellungen, Zeichnungen, Funktionsdiagramm,...) • Boolesche Reduktion
    • Bewertung der Auswirkungen von gemeinsamen Ereignissen
    • Hilfreich, wenn identische Ereignisse in unterschiedlichen Zweigen auftreten
    • Anwendung möglich, wenn das Auftreten des Hauptereignisses vom zeitlichen Ablauf unabhängig ist
  • Ermittlung von Minimalschnitten

Allgemeines

  • Identifizierung von Systemschwachstellen zur gezielten Optimierung
  • Keine numerische Einschätzung der Eintrittswahrscheinlichkeit
  • Bewertung der Eintrittswahrscheinlichkeit der Primärereignisse:
    • Äußerst wahrscheinlich
    • Sehr wahrscheinlich
    • Durchschnittlich wahrscheinlich
    • Kaum wahrscheinlich
  • Ziel: Ermittlung von Minimal Cut Sets (MCS, Minimalschnitt)
  • Cut Set = Gruppen von primären Ereignissen, deren Kombination bzw. gemeinsames Eintreten genügt, um das TOP Ereignis auszulöse
    • Bewertung der Fehlerrate (semi-quantitative Analyse)
      Klassenbildung für Fehlerraten kann eine erste quantitative Schätzung untestützen
  • Beispiel:
    • kleine Fehlerrate  1 Fit
    • typische Fehlerrate  10 Fit
    • moderat erhöhte Fehlerrate  50 Fit
    • erhöhte Fehlerrate 100 Fit
  • Minimalschnitt
    • Minimalschnitt = kleinste Ereignismenge, die für den Eintritt des Hauptereignisses erforderlich ist.
    • Ausfallkombinationen, die keine anderen Ausfallkombinationen mehr enthalten Minimalschnitt 1.Ordnung (einelementig) = Single Point Failure
  • Der Ausfall einer Komponente genügt, um die Systemgefährdung zu verursachen

Ausfallarten

  • Common Cause und Common Mode Failure
    • Abschätzung von Common Cause und Common Mode Ausfällen durch qualitative Analyse möglich
  • Common Cause Failure (CCF)
    • Ausfälle aufgrund gemeinsamer Ursache
    • Ausfälle verschiedener Einheiten aufgrund eines einzelnen Ereignisses, wobei sich diese Ausfälle nicht gegenseitig beeinflussen
  • Common Mode Failure (CMF)
    • Gleichartige Ausfälle
    • Ausfälle von Einheiten, die durch den gleichen Ablauf gekennzeichnet sind
    • Können unterschiedliche Ursachen haben
    • Z.B. Kaskadenfehler

Bestimmung des Beta-Faktors z. B. über Check listen wie in der IEC 61508 (Werte für ß meist zwischen 0,01 bis 0,3 - gemeinsame Ressourcen, Diversität, gemeinsame CCF-Ursachen)

Ziele

  • Identifikation sämtlicher Ausfallarten und Ausfallursachen
  • Festhalten aller kritischer Ereignisse und Ereigniskombinationen
  • Lokalisierung von Schwachstellen
  • Erstellung objektiver Beurteilungskriterien
  • Dokumentation
  • Beherrschbarkeit der Komplexität

Analyseschritte

Nach EN 61025-2007 sind mindestens die folgenden Analyseschritte durchzuführen:

  • Festlegung des Untersuchungsziels
  • Vertraut machen mit dem Konstruktionsentwurf, den Funktionen und der Arbeitsweise des Systems
  • Festlegung der Hauptereignisse
  • Konstruktion des Fehlzustandsbaums
  • Untersuchung des logischen Aufbaus des Fehlzustandsbaums
  • Bericht über die Ergebnisse der Untersuchung
  • Bewertung der Zuverlässigkeitsverbesserungen und der eingegangenen Kompromisse

1. Analyse des Systems = Systemdefinition

Ziel:

  • Wirkungsweise des Systems deutlich zu machen
  • Wechselwirkung über Schnittstellen mit der Umwelt zu ermitteln
  • Abhängigkeiten innerhalb des Systems zu ermitteln
  • Top-Ereignis wird festlegt
  • Wirkungsweise des Systems über Zusammenhang zwischen Anforderungen und Funktionen bestimmen:
  • Darlegen der Anforderungen (Funktion, Leistung, Qualität,...)
  • Aufzeigen der Funktionalität und Zuordnung einzelner Funktionen zu Komponenten
  • Durchgängigkeit zwischen Anforderungen, Funktionen und Komponente
    herstellen über Lastenheft, Konstruktionsplan, etc.
  • Berücksichtigung der Umgebung
    • Identifikation relevanter Umgebungseinflüsse (Temperatur, Feuchtigkeit, Vibration,...)
    • Eigenschaften der Systemelemente bestimmen (chemisch und physikalisch), die von der Umgebung beeinflusst werden können
    • Verhaltensabhängigkeiten untersuchen
    • Zusammenwirken von Systemkomponenten
  • Reaktion auf Einflüsse der Umgebung und auf Ausfälle externer/interner, mit der System in Verbindung stehender, Komponenten
    Ansatz: Funktionalität muss immer gewährleistet sein!

Notwendige Informationen über das System gemäß EN 61025:

  • Beschreibung der Systemfunktionen
  • Benennung der Schnittstellen
  • Zusammenfassung des Entwicklungsziels
  • Festlegung des Systemausfalls
  • Funktionale Struktur des Systems (Blockdiagramm)
  • Grenzen des Systems (elektr., mechan., betriebl. Schnittstellen)
  • Mechanischer Aufbau des Systems im Gegensatz zur funktionalen Struktur
  • Feststellung der Betriebsarten des Systems
  • Beschreibung der Arbeitsweise des Systems
  • Betriebsprofil des Systems
  • Umgebungsbedingungen des Systems
  • Liste der notwendigen Unterlagen (z.B. Zeichnungen, Pflichtenheft...)

2. Unerwünschte Ereignisse definieren

Vorgehen nach zwei mögliche Ansätze

Präventiver Ansatz:

  • „Unerwünschten Ereignisse werden von der möglichen Nichterfüllung von Funktionen und Anforderungen abgeleitet.“

Korrektiver Ansatz:

  • „Unerwünschte Ereignisse werden direkt von aufgetretenen Ausfällen bzw. Fehlfunktionen abgeleitet.“
  • Unter Berücksichtigung von Kosten und Schadenschwere!

3. Ausfallarten bestimmen

Unterschiedliche Arten von Ausfällen haben unterschiedliche Auswirkungen auf das Top-Event
Betrachtung verschiedener Arten von Komponentenausfällen:

  • Primärer Ausfall
    • Komponentenausfall durch Schwächen bzw. Fehler, die sich schon zu Beginn im System befinden
    • Ausfall bei zulässigen Einsatzbedingungen
  • Sekundärer Ausfall
    • Komponentenausfall, der durch die Umgebungsbedingungen oder durch die Einsatzbedingungen eintritt
    • Ausfall bei unzulässigen Einsatzbedingungen
  • Kommandierter Ausfall
    • Komponentenausfall einer eigentlich funktionsfähigen Komponente durch eine Fehlbedienung oder Eingabe von falschen oder ungültigen Werten (bei Software)
    • Bedienung- und Wartungsfehler
    • Absichtliche Fehler

4. Fehlerbaum erstellen

Ermittlung des Top-Ereignis

  • Frage: Ereignis auf Ausfall einer Komponente reduzierbar?
    • Nein: Berücksichtigung aller Einzelausfälle der Komponente = Ursache ermitteln
    • Sofern JA: Eintrag ausgefallener Komponente in Fehlerbaum
  • Frage: Werden die Ausfälle berücksichtigt?
    • Nein: Berücksichtigung aller Einzelausfälle der Komponente = Ursache ermitteln
    • Sofern JA: Fehlerbaum verfollständigt

Common Mode Failure

Ausfall mehrerer gleichartiger Komponenten, die zu einem Schadenereignis führen

  • Fehler, die nicht durch eine gemeinsame Ursache ausgelöst werden Gleiche Ausfallart
    • Z. B. Sensor 1 & Sensor 2 fallen aus. Klärung: Hat der Ausfall von Sensor 1 Auswirkungen auf Sensor 2
  • Ausfall mehrerer Komponenten, deren Ursache ein einzelner Ausfall einer anderen Komponente darstellt Gemeinsame Ausfallursache
    • Ausfälle sind statistisch abhängig voneinander, da sich verschiedene Äste des Fehlerbaums auf dieselbe ausgefallene Komponente beziehen
    • Z. B. Fehler in der Stromversorgung

5. Qualitative Bewertung

Die Zuverlässigkeit bzw. das Risiko von Ausfällen wird über die graphische Struktur (qualitativ) abgeschätzt

  • Keine Eingangsdaten für den Fehlerbaum (Ausfallraten) notwendig
  • Verfahren bzw. Fehlerbaum muss vollständig sein, damit eine qualitative Bewertung zweckmäßig ist
  • Vollständigkeit bedeutet, dass alle Ereignisse und Ereigniskombinationen in der Fehlerbaumerstellung berücksichtig wurden

Alle Ereigniskombinationen, die zum Ausfall eines Systems führen, können gefunden werden
Voraussetzungen hierfür sind:

  • Konsequente Anwendung der Methode
  • Sorgfalt des Anwenders
  • Kenntnisstand der verschiedenen Einflüsse auf das betrachtete System
  • Eine realistische Fehlerbaumerstellung hängt auch von den Möglichkeiten der Abbildung der kausalen Wirkungskette und seinem funktionalen Ausfallverhalten ab

Qualitative Auswertung – Kritische Pfade

  • Risiken werden bereits ohne Eingangsdaten (z.B. Ausfallarten) ersichtlich
  • Gute Anwendungsmöglichkeit bei einer reinen Ursachenermittlung mit Hilfe der FTA o Auswertung des Gesamtsystems schnell und unkompliziert Zuordenbarkeit der Risiken an die entsprechenden Fachabteilungen möglich
  • Gewonnene Ergebnisse können auf ähnliche Systeme übertragen werden
  • Qualitative Auswertung – Minimale Schnittmengen
  • Hierbeiwerden Einzel- oder Mehrfachausfälle untersucht
  • Systemkomponenten werden kombiniert,diezumschnellstenAusfalldesSystemsführen o Schwachstellen in der Verkettung werden deutlich
  • Ein Ergebnis dieser Analyseform bringt, unter Umständen, die Notwendigkeit für ein schnelles agieren mit sich (Hohes Risiko -> z.B. Änderungen des Designs)

Ansätze zu Bewertung:

Kritischer Pfad = Kritische Menge bzw. minimale Schnittmenge

  • Ast des Fehlerbaums, bei dem die Komponentenausfälle nicht durch systemeigene Vermeidungs- bzw. Prüfmechanismen (Diagnose- und Fehlererkennungsmaßnahmen) abgesichert sind oder werden können
  • Erkenntnisse über Zusammenhänge von Ursache und Wirkung
  • Ableitung von Näherungen über Risiken und Schwachstellen des Systems

Kritische Menge – Schwächster Ast = ODER-Verknüpfungen

  • Die kritische Menge ist der Unterbaum eines Fehlerbaums, der die minimale Kombination von Einzelelementen enthält, deren Ausfall zu einem unerwünschten Ereignis führt
  • Es ist somit eine Aussage über den schwächsten Ast des Fehlerbaums möglich
  • Schwächster Ast ist die Kombination an Ereignissen, die am ehesten zu einem Ausfall führt

Kritische Menge – Stärkster Ast = UND Verknüpfungen

  • Ist für einen Unterbaum der schwächste Ast bestimmt worden, so ist es auch möglich, den stärksten Ast des Unterbaums zu bestimmen
  • Stärkster Ast ist die Kombination an Ereignissen, mit deren Auftreten am ehesten nicht zu rechnen ist und somit ein Ausfall „unrealistischer“ ist
  • D.h., ein Ausfall über den stärksten Ast wird am wenigsten erwartet

Beurteilung der qualitativen FTA

Vorteile:

  • Exakte Anpassung an den Untersuchungsgegenstand möglich
  • Tiefer Informationsgehalt der Auswertung
  • Ermöglicht die Aufdeckung noch unbekannter Ausfallursachen
  • Ableitung von Verbesserungsvorschlägen!

Nachteile:

  • Aufwendige Auswertung der Ergebnisse
  • Hohe fachliche Kenntnis der Themenfelder der jeweiligen Äste notwendig
  • Relativ zeit- und kostenintensiv
  • Vergleichbarkeit?

 

Numerische Analyse

  • Ziel: Quantitative Bewertung der Eintrittswahrscheinlichkeit des Hauptereignisses oder einer ausgewählten Gruppierung von Ereignissen
    • Voraussetzung: Wahrscheinlichkeitsangaben in der Bauelementebene
  • Verwendung von Zuverlässigkeitsvorhersagetechniken, aktuellen Prüfdaten oder Daten aus dem Einsatz
  • Verschiedene Kennzahlen werden zur quantitativen Beurteilung des Fehlerbaums herangezogen
    • Ausfallwahrscheinlichkeit, Ausfallrate, Überlebenswahrscheinlichkeit, Wahrscheinlichkeit für das Eintreten des unerwünschten Ereignisses

Fehlerbibliotheken

  • SN29500 (Siemens-Norm  meistens genutzt)
  • EN ISO 13849-1
  • EN 62061 (für Maschinen und Anlagen)
  • RDF 2000 (IEC TR 62380) (französische Norm, die Temperatureinflüsse etc. berücksichtigt)
  • MIL-HDBK-217 F Notice 2 (Militärstandard)
  • 217Plus (der Nachfolger von PRISM)
  • Telcordia SR-332
  • FIDES

Die Werte der einzelnen Normen weichen von einander ab.  Normen deshalb nicht miteinander mischen!!!

Quantitative FTA – Anwendung

Ziele:

  • Nachweis geforderter Zuverlässigkeitsanforderungen
  • Berechnung von Zuverlässigkeitskenngrößen bzgl. konkreter Zahlenwerte (Ausfall- und Überlebenswahrscheinlichkeit)
  • Aufzeigen von Faktoren oder Komponenten, die die Zuverlässigkeit besonders beeinflussen
  • Zuverlässigkeitsprognose komplexer Systeme

Zuverlässigkeitskenngrößen der Komponenten (Ausfallrate, Zuverlässigkeit)

  • Bekannt durch Herstellerangaben
  • Normen
  • Erkenntnisse aus Stand der Technik
  • Ermittelt über Labortests
  • Geschätzt über Wahrscheinlichkeitsrechnung
  • Bestimmung der Zuverlässigkeitskenngrößen für Basisereignisse
  • Ausfallwahrscheinlichkeit über einen Zeitraum berechnen, d.h., die Berechnung der zu erwarteten Eintrittshäufigkeit des Top-Events = Nichtverfügbarkeit zu einem beliebigen Zeitpunkt berechnen

Berechnung am Fehlerbaum

UND-Verknüpfungen:

Placeholder image

ODER-Verknüpfungen:

Placeholder image

Minimale Erfolgspfade

  • Ein Pfad entspricht einer Menge an Komponenten, deren Funktionsfähigkeit das Funktionieren des Gesamtsystems garantiert
  • Pfade sind dabei minimale Pfade, d.h., ein Pfad darf keine weiteren (Unter-) Pfade als Teilmenge enthalten
  • Für jeden Pfad wird die Zuverlässigkeit anhand der darin enthaltenen

Minimale Ausfallschnitte

  • Ein Schnitt ist der komplementäre Begriff zu einem Pfad, d.h., ein Schnitt ist die Menge an Komponenten, deren Ausfall zum Ausfall des Gesamtsystems führt
  • Schnitte sind dabei minimale Schnitte, d.h., ein Schnitt darf keine weiteren Schnitte als Teilmenge enthalten
  • Für jeden Schnitt wird die Ausfallwahrscheinlichkeit anhand der darin enthaltenen Komponenten berechnet

Quantitative Auswertung

  • Eine der interessantesten Auswertungsarten überhaupt
    Mit Hilfe von Ausfallwahrscheinlichkeiten oder Versagen von Systemen können
    • Eintrittshäufigkeiten und die damit verbundene Schwere der Auswirkung ermittelt werden
    • Eintrittshäufigkeiten können durch Beobachtungen (z.B. Labortests oder Erfahrungen aus dem Feld) bzw. aus anderen einschlägigen Datenquellen abgeleitet werden
  • Quantitative Auswertung – Eintrittswahrscheinlichkeit des unerwünschten Ereignisses
  • Voraussetzung für die Berechnung hierfür ist die entsprechende Quantifizierung der Basisereignisse
  • Die Berechnung kann von Handerfolgen (Formeln siehe DIN 25424, Teil 2)
  • Bei komplexen Fehlerbäumen können systematische Rechenfehler nicht ausgeschlossen werden, aus diesem Grund ist eine Rechenprogramm mehr als nur zu empfehlen
  • Quantitative Auswertung – Sensitivitätsanalysen
    • Durch die Berechnung der Eintrittswahrscheinlichkeit eines „topevents“ können Rückschlüsse auf den Handlungsbedarf gezogen werden (z.B. Risiko akzeptabel?)
    • Diese Analyseart zeigt die Sensibilität des Gesamtsystemsauf
    • Durch die Berechnung der Bedeutung der Eintrittswahrscheinlichkeitenkönnenerst effektive Maßnahmen zur Stabilisierung des Systems getroffen werden

Beurteilung der quantitativen Durchführung einer FTA

Vorteile:

  • Exakte Ergebnisse
  • Große Objektivität und Vergleichbarkeit
  • Relativ geringer Zeit- und Kostenaufwand
  • Eindeutig und unmissverständlich!


Nachteile:

  • Keine direkt ableitbaren Verbesserungsvorschläge
  • Keine Flexibilität bei der Untersuchung
  • Nicht alle Ausfallursachen erfassbar
  • Zuverlässigkeitswert für den „Faktor Mensch“?

 

FTA vs. FMEA

FTA:

  • Kann nicht präventiv eingesetzt werden
  • Betrachtet Technische Systeme oder Funktionen
  • Visualisierung der Abläufe und Ereignisse
  • Visualisierung nur bedingt möglich
  • Zusammenhänge der Ursachen für Fehler und Auswirkungen gut erkennbar
  • Ursachen und Fehler müssen im Vorfeld bekannt sein

FMEA:

  • Wird im Vorfeld zur Analyse eines Produktes oder Prozesses durchgeführt
  • Betrachtet Technische Systeme und/ oder Funktionen
  • Visualisierung nur bedingt möglich
  • Zusammenhänge der Ursachen auf Fehler und Auswirkung nicht immer eindeutig
  • Ursachen und Fehler werden hier erst ermitte

Vor- und Nachteile der FTA

Vorteile:

  • einfach
  • schnell
  • Spezifische Software nicht zwingend notwendig
  • Visualisierung der Systeme bzw. Funktionen
  • Systematische Ursachen können abgeleitet werden

Nachteile:

  • Fehler müssen bekannt sein
  • Zeitliche Aspekte, für zusammenwirken gewisser Komponenten, die somit zum Versagen des Systems führen können, können nicht betrachtet werden
  • Dokumentation fällt sehr „dünn“ aus
  • Lösungsansätze lassen sich schwer ermitteln und müssen auf einem gesonderten Dokument niedergeschrieben werden
  • Wirkzusammenhänge können nicht quantitativ beschrieben werd

Kombination mit der FMEA

  • FTA deduktives Verfahren
  • FMEA induktives Verfahren
  • Kombination vollständige Analyse
  • Einfache und mehrfache Ausfälle
  • FMEA: Umfassende Ermittlung von Grundereignissen oder Gefährdungen
  • FTA: Praktisches Verfahren für die Analyse der Ursachen unerwünschter Ereignisse
  • Einfache Überprüfung der Folgerichtigkeit zwischen FMEA und FTA
    In FMEA ermittelter einfacher Ausfall, der zum Hauptereignis des Fehlzustandsbaums führt, muss als singulärer Punktausfall erscheinen
    Jeder Ausfallpunkt aus der FTA sollte auch in der FMEA erscheinen (außer CCF)
  • Kontrolle redundanter Systeme 
  • Gegenkontrolle

Kombination mit der Ereignisbaumanalyse

Probleme dieser Kombination:

  • Ereignisabläufe einfacher zu erkunden, als kausale Beziehungen
  • Ergebender Baum könnte sehr groß werden
  • Häufig verschiedene Teile der Analyse von getrennt arbeitenden Teams behandelt
  • Jedes Ereignis könnte mit Hilfe eines Fehlzustandsbaums analysiert werden
  • Häufig zunächst Benennung potentiell unerwünschter Ereignisse an der Schnittstelle zwischen funktionalem und technischem Bereich
  • Potentiell unerwünschte Ereignisse
  • FTA Ermittlung der Ursachen
  • Ursachen- Folgen-Analyse

Kombination mit der Markov-Analyse

Erweiterung der FTA durch Einführung zusätzlicher Verknüpfungsglieder, hinter denen Markov-Modelle stehen

  • Dynamische Gatter (Ergebnis hängt von der Reihenfolge des Eintritts der Eingaben ab)
  • Berechnung der Ausfallwahrscheinlichkeit zur Zeit (t) mittels eines geeigneten Markov-Modells oder durch Simulation berechnen
  • Dynamisches Gatter darf durch ein einziges Primärereignis ersetzt werden
  • Eintrittswahrscheinlichkeit dieses Primärgatters wurde durch Markov-Analyse berechnet
    Ereignisse sind voneinander unabhängig

Kombination mit dem Zuverlässigkeitsblockdiagramm

  • Fehlerbaum kann in Zuverlässigkeitsblockdiagramm umgewandelt werden
  • ODER-Gatter > Seriensystem
  • UND-Gatter > Parallelsystem
  • Wechselbeziehungen der Bauelemente innerhalb eines Moduls werden beim Zuverlässigkeitsblockdiagramm nicht berücksichtigt
  • Erhöhung der Genauigkeit der funktionalen Modellierung innerhalb eines Blockes durch Modellierung mit einem Fehlzustandsbaum
  • Daraus ergebende Informationen zur Eintrittswahrscheinlichkeit dieser Blöcke können mit betreffendem Block im Zuverlässigkeitsblockdiagramm verbunden werden
  • Realistische Vorhersage möglich

FTA Moderation Effizienz in der FTA-Arbeitsgruppe

Deutliche Minimierung des Zeitaufwandes durch eine strukturierte Arbeitsweise seitens des Moderators, welcher das Team führt

Moderation: Definition und Zielsetzung
v. lat.: moderatio/moderare → mässigen, steuern, lenken, schlichten

Ziel: Alle Beteiligen in den (Analyse) Prozess integrieren

Aufgaben eines FTA-Moderators ???

  • Strukturieren
  • Lenken / leiten
  • Aufzeichnen (Ergebnisse)

Ziele:

  • (Experten-) Wissen Aller integrieren
  • Zeit ökonomie sicherstellen
  • Wissen strukturiert darstellen
  • Maßnahmenbewerten – Risikengewichten
  • Risikenreduzieren

Vorbereitung:

  • Inhaltlich
  • Methodisch
  • Organisatorisch
  • Persönlich

Die Rolle des Moderators

  • Methodenspezialist stellt die Arbeitsfähigkeit der Gruppe her und trägt die Verantwortung, für das erarbeiten von Ergebnissen und die
  • Erreichung der Ziele
  • Der Moderator wird seine Arbeit nach einer bestimmten, einer spezifischen Grundhaltung entsprechend, Methodik durchführen.
  • Ein guter Moderator wird Methoden und Medien situativ und dem Lernziel entsprechend variieren (Methoden- und Medienmix).
  • Beispiele hierfür:
    • FTA Methode
    • Kreativitätstechniken
    • FTA Software
    • Beamer
    • Flipchart
    • Metaplan

Gruppenverantwortung

  • Jede Aussage ist wichtig
  • Es gibt keine dummen Fragen
  • Alle Teammitglieder sind gleichberechtigt
  • Probleme werden offen und direkt angesprochen
  • Ja, aber ... sind Sekundärprobleme und werden getrennt bearbeitet
  • Jeder ist für den Erfolg des Projekts verantwortlich
  • Es spricht nur einer, die anderen hören aufmerksam zu
  • Schweigen bedeutet Zustimmen!
  • Kritik bitte nur an der Sache, nie an der Person üben

Moderation Mithilfe geeigneter Fragetechnik

  • Offene Frage (W-Frage) = Gibt keine Richtung vor
    • Warum? Warum? Warum?
  • Geschlossene Frage = Klärt Sachstand
  • Alternativfrage = Gibt Auswahlmöglichkeit

 


Seminare & Webinare

Informationsplattform


Informationen zur Plattform

Informationsplattform

Ihr Zugang zur Wissendatenbank für Industrieunternehmen im Hinblick betrieblicher Managementsysteme, Qualitätsmethoden und OEM Kundenanforderungen

Seminare & Webinare

Individuell auf Ihre Anforderungen abgestimmt