Skript vom Sommersemester 2012 - Institut fÃ¼r Automatisierungs ...

Universität Stuttgart 

Institut für Automatisierungs- und Softwaretechnik 

Prof. Dr.-Ing. Dr. h. c. P. Göhner 

Zuverlässigkeit und Sicherheit 

von Automatisierungssystemen 

Sommersemester 2012 

www.ias.uni-stuttgart.de/zsa 

zsa@ias.uni-stuttgart.de 

© 2012 IAS, Universität Stuttgart 

1

Zuverlässigkeit und Sicherheit von Automatisierungssystemen 

ZSA 

Ansprechpartner für die Vorlesung 

Bei organisatorischen Fragen zur oder bei Problemen mit dem Ablauf der 

Vorlesung „ Zuverlässigkeit und Sicherheit von Automatisierungssystemen“ 

wenden Sie sich bitte an: 

Dr.-Ing. Nasser Jazdi 

Zimmer: 2.113 (Pfaffenwaldring 47, 2. Stock am IAS) 

Tel.: 0711- 685-67303 

E-Mail: zsa@ias.uni-stuttgart.de 

© 2012 IAS, Universität Stuttgart 2


ZSA 

Unterlagen 

– Skript „ Zuverlässigkeit und Sicherheit von Automatisierungssystemen“ 

• Blaue Texte zum Mitschreiben (im Skript nicht enthalten) 

• Live-Mitschriebe (leere Folien im Skript für Mitschrieb vorgesehen) 

– Vorlesungsportal im Internet unter: www.ias.uni-stuttgart.de/zsa 

• Aktuelle Informationen zur Vorlesung 

• Vollständige Vorlesungsunterlagen 

• Lecturnity-Aufzeichnungen 

• Vorlesungen 



ZSA 

Vorlesungstermine 

Nr. Termin Thema der Vorlesung 

01 12.04.12 Einführung / Normen / Begriffe & Kenngrößen 

02 19.04.12 Fehlererkennung / Anforderungen 

03 26.04.12 Beeinflussende Faktoren / Wahrscheinlichkeitsrechnung / 

Risiko & Gefährdung 

04 03.05.12 Risiko & Gefährdung / Risiko- und Gefährdungsanalyse 

05 10.05.12 Beispiel / Zuverlässigkeits- und Sicherheitstechnik 

06 24.05.12 Sicherungsmethoden / Berechnungsmethoden 

07 14.06.12 Berechnungsmethoden 

08 21.06.12 Berechnungsmethoden 

09 28.06.12 Zuverlässigkeit kompl. Systeme / Sicherheitskenngrößen 

10 05.07.12 Softwarezuverlässigkeit 

11 12.07.12 RAMS-Management, Sicherheitsnachweis (SN) 

12 19.07.12 Prüfungsbesprechung 



ZSA 

Ziele der Vorlesung 

– Grundlagen der Zuverlässigkeit und Sicherheit verstehen 

• Begriffe und Kenngrößen kennenlernen 

• Normen zur Zuverlässigkeit und Sicherheit diskutieren 

• Wahrscheinlichkeitsrechnung durchführen 

– Relevante Zuverlässigkeits- und Sicherheitstechnik verstehen 

• Risiko- und Gefährdungsanalyse bearbeiten 

• Berechnung von Sicherheitskenngrößen durchführen 

• Sicherheitsnachweis diskutieren 

– Softwarezuverlässigkeit verstehen 

• Probleme bei der Softwarezuverlässigkeit kennenlernen 

• Softwarezuverlässigkeitsmodelle diskutieren 

• Konzept für frühzeitige Zuverlässigkeitsaussage verstehen 



ZSA 

Bezug zu anderen Vorlesungen der Fakultät: 

Vertiefung einzelner 

Themen in 

Komplexitätstheorie 

Zuverlässigkeit und Sicherheit von 

Automatisierungssystemen 

Grundkenntnisse aus 

Höhere 

Mathematik 

Automatisierungstechnik I 

Automatisierungstechnik II 

Grundlagen der 

Softwarezuverlässigkeit 

Hardware Based 

Fault Tolerance 

Networks and 

Processes 

Embedded 

Systems 

Engineering 



ZSA 

Gliederung 

§ 01 Einführung, Begriffe und Kenngrößen 

§ 02 Normen zur Zuverlässigkeit und Sicherheit 

§ 03 Fehlererkennung 

§ 04 Anforderungen, Beeinflussende Faktoren 

§ 05 Wahrscheinlichkeitsrechnung 

§ 06 Risiko und Gefährdung 


7


ZSA 

§ 1 Einführung 

Trends 

– Computersysteme werden immer breiter eingesetzt 

– Computersysteme werden immer komplexer 

– Der Mensch ist immer mehr von Computersystemen abhängig 

– Computer-Fehler und Ausfälle können Unfälle verursachen 

– Immer höhere Zuverlässigkeit und Sicherheit wird gefordert 

Fazit 

– Neue und bessere Lösungen und Systeme werden benötigt 

– Hohe Zuverlässigkeit und Sicherheit muss sich lohnen 

– Die Chancen der neuen Technologie nutzen 

– Zuverlässigkeits-/Sicherheits-Methoden systematisch anwenden 


8


ZSA 

Zuverlässigkeit: Wahrscheinlichkeit, dass ein System innerhalb eines 

Zeitintervalls unter zulässigen Betriebsbedingungen seine 

Funktion erfüllt 

Zuverlässigkeitsanalyse ermöglicht erwartete Zuverlässigkeit zu 

prognostizieren sowie Schwachstellen zu erkennen 

Rechtzeitige Beseitigung der Schwachstellen 

Zuverlässigkeitsanalysearten: 

• Qualitative Analyse 

• Quantitative Analyse 



ZSA 

Möglichkeiten zur Analyse der Zuverlässigkeit 

Ziele: 

Zuverlässigkeitsanalysen 

- Prognose der erwarteten Zuverlässigkeiten 

- Erkennung und Beseitigung von Schwachstellen 

- Durchführung von Vergleichsstudien 

Quantitativ 

Berechnung der vorausgesagten 

Zuverlässigkeit, Ausfallratenanalyse, 

Probabilistische 

Zuverlässigkeitsprognose 

Analysen: 

- Boole 

- Markov 

-FTA 

- Lebensdauerverteilungen 

-… 

Qualitativ 

Systematische Untersuchung der 

Auswirkungen von Fehlern und 

Ausfällen 

Ausfallartenanalyse 

Analysen: 

- FMEA/MECA 

-FTA 

- Ereignisablaufanalysen 

- Checklisten 

- ABC-Analyse 

-… 



ZSA 

Verlagerung der Fehlerquellen 

– Fehler beim Einsatz konventioneller Technik 

• Hardwarefehler / Komponentenausfälle (technische Fehler) 

• Bedienungsfehler (menschliche Fehler in der Handhabung) 

– Fehler beim Einsatz neuer Technologie 

• Abstürze durch Fehler in der Software 

• Kompatibilitätsprobleme beim SW-Update 

• Schnittstellprobleme beim Zusammenspiel von SW-Produkten 

• Bedienungsfehler beim Handbetrieb (Notbetrieb) 

– Fazit 

• Verlagerung der Fehlerquellen in Systemen berücksichtigen 

• Zuverlässigkeits-/Sicherheits-Methoden systematisch anwenden 


11


ZSA 

Kleine Fehler, große Auswirkung 

– Softwarefehler 

• Ein kleiner Fehler kann einen hohen Schaden verursachen 

– Beispiel 

• Ariane 5 

• Kosten 5,8 Milliarden Euro 

• Nach 36,7 Sekunden sprengte sich die Rakete selbst mitsamt 

ihrer Nutzlast, den vier Cluster-Satelliten 

– Ursache 

• Überlauf einer Variablen 

 

Umwandlung einer 64-Bit-Gleitkommazahl in eine 

vorzeichenbehaftete 16-Bit-Ganzzahl 


Film: Ariane 5 

12


ZSA 

Einfluss der Menschen 

Menschen (M) haben auf jede Einheit einen Einfluss und können in jeder 

Einheit einen Fehler verursachen 

M M M 

M 

M 

Kommunikationssystem 

MMS 

Feldgeräte 

Softwaresystem 

Steuerungssystem 

Technischer 

Prozess 

M 

M 

M 

Umwelt und Umgebung 


13


ZSA 

Eigenschaften und Merkmale von Systemen 

– Funktionen 

– Leistungen 

– Konstruktion 

– Material 

– Zuverlässigkeit 

– Verfügbarkeit 

– Wartbarkeit 

– Sicherheit 

– Schutz (Security) 

– Wirtschaftlichkeit 

– Handhabung 

– Dokumentation 

– Einfachheit 

– Testbarkeit 

– Kompatibilität 

– Portabilität 

– Modularität 

– Änderbarkeit 

– Integrität 

– Fehlertoleranz 

– Intelligentes Verhalten 

Eigenschaften beeinflussen sich gegenseitig 


14


ZSA 

Definitionen 

Zuverlässigkeit und Sicherheit sind in den Normen definiert. Hier keine 

Definitionen, sondern Begriffserklärungen. 

– Zuverlässigkeit/Verlässlichkeit (reliability/dependability) 

Die Fähigkeit, Anforderungen zu erfüllen, innerhalb eines Zeitintervalls 

und unter Beanspruchung (Betriebs-/Umgebungsbedingungen) 

– Ausfall (failure) 

• Übergang von funktionsfähig in fehlerhaft 

• Ausfall ist ein Zustandsübergang (Ereignis, kein Zustand) 

– Fehler (fault) 

• Nichterfüllung mindestens einer Forderung 

• Fehler ist ein Zustand 


15


ZSA 

Zusammenhang zwischen Begriffen 

Zustand 

1 

HW/SW- 

Fehler 

2 

3 

4 

Funktionsfähig 

(Anforderungen werden erfüllt) 

HW-Ausfall 

AO+Ab. 

Anforderung 1 

Versagen 

Störung 

Abschaltung 

Instandsetzung 

PC ein 

funktionsfähig 

Anforderung 3 

in Betrieb 

Anforderung 2 

Pause 

UT DT UT 

AOZ 

AOZ SW 

PC aus 

PC ein 


DT 

Ausfalloffenbarungszeit (HW) 

Fehleroffenbarungszeit (SW) 

UT 

außer Betrieb 

Up Time, Down Time 

Ausfalloffenbarung, Abschaltung 

16


ZSA 

Beispiele zum obigen Zusammenhang 

– HW-Beispiel: Taste F1 

HW-Ausfall: 

HW-Fehler: 

Pause: 

Anforderung: 

Störung: 

Abschaltung: 

Instandsetzung: 

Ausfall der Taste F1 

Taste F1 nicht verwendbar 

PC wird nicht benutzt 

PC wird eingeschaltet, OS prüft HW, OK 

F1 wird gefordert (Hilfefunktion) 

PC wird heruntergefahren und abgeschaltet 

Eine neue Tastatur wird eingesetzt 

– SW-Beispiel: Funktion Sortieren 

SW-Fehler: 

Pause: 

Anforderung: 

Störung: 

Abschaltung: 

Instandsetzung: 

Die Funktion Sortieren ist fehlerhaft 

PC wird nicht benutzt 

Eine Liste soll sortiert werden 

Sortierergebnis ist fehlerhaft 

PC wird heruntergefahren und abgeschaltet 

Ein SW-Update wird durchgeführt 


17


ZSA 

RAMS(S) 

– RAMSS ist die Abkürzung für 

Reliability, Availability, Maintainability, Safety and Security 

– Reliability 

Zuverlässigkeit: Lebensdauer des Systems (ohne Wartung) 

– Availability 

Verfügbarkeit: Funktionsfähigkeit bei Anforderung 

– Maintainability 

Instandhaltbarkeit: Dauer für Reparaturen 

– Safety 

Sicherheit: Gefährdungsfreiheit 

– Security 

Informationssicherheit: Schutz gegen unberechtigten Zugriff 


18


ZSA 

Kenngrößen F, f, R 

– Ausfallwahrscheinlichkeit F(t): 

Wahrscheinlichkeit, dass Betriebszeiten T bis zum Ausfall nicht länger 

sind, als ein vorgegebener Zeitraum t 

F( t) 

= P( 

T ≤ t) 

– Ausfalldichte f(t): 

Zeitliche Ableitung der Ausfallwahrscheinlichkeit 

dF( 

t) 

f ( t) 

= , F( 

t) 

= ∫ f ( τ ) dτ 

, 

dt 

∫ 

– Überlebenswahrscheinlichkeit R(t): 

R( 

t) 

= 1− 

F( 

t) 

t 

= 

∞ 

∫ 

0 

t 

0 

t 

∫ 

f ( τ ) dτ 

− f ( τ ) dτ 

= f ( τ ) dτ 

R( 

t) 

+ F( 

t) 

= ∫ f ( τ ) dτ 

+ ∫ f ( τ ) dτ 

= ∫ 

0 

∞ 

t 

0 

∞ 

0 

∞ 

∫ 

t 

∞ 

0 

f ( τ ) dτ 

= 1 

f ( τ ) dτ 

= 1 

(01) 

(02) 

(03) 


19


ZSA 

Ausfallrate λ(t) 

– Ausfallrate λ(t) 

f ( t) 

dR( 

t) / dt 

λ( t) 

= = − = −R'( 

t) / R( 

t) 

R( 

t) 

R( 

t) 

(04) 

Durch Integration von 0 bis t 

t 

∫ 

0 

t 

R( 

t) 

dR( 

τ ) / dτ 

dR( 

x) 

λ ( τ ) dτ 

= −∫ 

dτ 

= − ∫ = −ln 

R( 

t) 

(05) 

R( 

τ ) 

R( 

x) 

0 

R(0) 

– Allgemeine Formel für die Überlebenswahrscheinlichkeit 

− ( ) 

= ∫ λ τ dτ 

0 

R( t) 

e 

t 

, 

R(0) 

= 1 

(06) 


20


ZSA 

Abschätzung der Ausfallrate 

– Abschätzung der Ausfallrate 

( t) 

≅ 

1 

n( 

t) 

ΔN( 

t) 

⋅ 

Δt 

λ (07) 

ΔN(t) Anzahl der im Zeitintervall Δt ausgefallenen Einheiten 

n(t) Anzahl der zu Beginn des Δt funktionsfähigen Einheiten 

– Beispiel für identische Einheiten: 

Von 100 funktionsfähigen Einheiten sind im Zeitraum von 1000 Stunden 

10 Einheiten ausgefallen. 

– Ausfallrate (Schätzwert) 

λ ≅ 

1 10 −4 

− 1 

⋅ 

100 1.000h 

= 10 

h 


21


ZSA 

Mittlere Lebensdauer 

– Berechnungsformel 

Der Erwartungswert E der Zufallsgröße T, d.h. die mittlere Betriebszeiten 

bis zum Ausfall 

MTTF 

∞ 

⎛ dR( 

t) 

⎞ 

E( T ) = ∫ tf ( t) 

dt = ∫ t ⋅ ⎜ − ⎟ dt 

⎝ dt ⎠ 

= 

0 

0 

∞ 

∞ 

∞ 

( − R t) 

) | −∫ 

− R( 

t) 

dt = ∫ 

= t ⋅ ( R( 

t) 

dt 

(08) 

0 

0 

∞ 

0 

– Annahmen über Grenzwerte 

lim t ⋅ R( 

t) 

= 0⋅ 

R(0) 

= 0⋅1 

= 0 

t→0 

( R( 

t) 

) 

( 1/ t) 

' 

R( 

t) 

' 

lim t ⋅ R( 

t) 

= lim = lim = 

t→∞ 

t→∞ 

1/ t t→∞ 

R( 

t) 

= e 

− λ t 

,( R( 

t))' 

= 

( e 

− λ t 

)' = −λe 

− λ t 

0 

, für 

konstante λ 


22


ZSA 

Zeitverlauf der Ausfallrate (Live–Mitschrieb) 

– Badewannenkurve 

Zeitlicher Ablauf der Ausfallrate 

λ(t) 

Frühausfälle 

konstante Ausfallrate λ 

Zufallsausfälle 

Verschleißausfälle 

t 

– Brauchbarkeitsdauer 

Der Zeitraum nach Frühausfällen und vor Verschleißausfällen 

(Bereich konstanter Ausfallraten) 

– Konstante Ausfallrate 

R( 

t) 

t 

−∫λ 

( τ ) dτ 

= e 

0 

= 

e 

−λt 


23


ZSA 

Beispiel: λ = konstant 

– Beispiel: 

Die Zeiten T bis zum Ausfall seien exponential verteilt. 

Die Ausfallrate λ = 0,001/h ist konstant. Zeitintervall t = 1000 h. 

– Ausfalldichte f(1000h): 

f ( t) 

dF( 

t) 

= 

dt 

= λe 

−λt 

= 0,001/ h ⋅e 

− Ausfallwahrscheinlichkeit F(1000h): 

F( 

t) 

= 1− 

e 

−λt 

= 1− 

e 

−0,001/ 

h⋅1000h 

– Überlebenswahrscheinlichkeit R(1000h): 

−0,001/ 

h⋅1000h 

= 0,632 

= 

0,000368 / h 

R( 

t) 

= 1− 

F( 

t) 

= e 

−λt 

= e 

−0,001/ 

h⋅1000h 

= 0,368 

– Mittlere Lebensdauer MTTF (Mean Time To Failure): 

∞ 

MTTF = E( 

t) 

= ∫ R( 

t) 

dt = 1/ λ = 1000h 

0 


24


ZSA 

Beispiel: Graphik 

Zum Zeitpunkt t = 1000 h kann man die Werte ablesen: 

0,001 

λ = = konstant 

h 

F(1000h) = 0,632 

R(1000h) = 0,368 

1 

0,8 

0,6 

0,4 

0,2 

0 

F(t) R(t) la 

E(T)=1000h 

0,010 

0,009 

0,008 

0,007 

0,006 

0,005 

0,004 

0,003 

0,002 

0,001 

0,000 

0 

200 

400 

600 

800 

1000 

1200 

1400 

1600 

1800 

2000 


25


ZSA 

Instandhaltung 

– Instandhaltungsstrategie 

• Präventive Instandhaltung (vorbeugende/periodische Wartung) 

• In regelmäßigen festen Zeitintervallen t w 

• Typisch für mechanische Komponenten (Verschleiß) 

• Optimaler Zeitpunkt vor der Verschleißphase 

• Vorbeugende Maßnahmen gegen Ausfall 

• Korrektive Instandhaltung nach einem Ausfall 

• Bis zum Ausfall im Einsatz 

• Instandsetzung gleich nach Ausfall 

• Typisch für elektronische Schaltungen 

• Bei konstanten Ausfallraten (kein Verschleiß) 

• Kombination der beiden Strategien 

• Vorbeugend gegen Verschleißausfälle 

• Instandsetzung gleich nach dem Ausfall 


26


ZSA 

Periodische Wartung 

– Wartungsintervall t w 

ein 

System in Betrieb 

DT 

UT 

aus 

0 

t w 2t w 

3t w 4t w 

t 

– Zeit bis zur Instandsetzung DT (Down Time) 

DT 

min 

MDT 

= 0, 

DTmax 

= t 

w 

/ 2 

= 

t 

w 

, 

Down Time Mean Down Time 

Up Time Mean Up Time 


27


ZSA 

Verfügbarkeit 

– Zeitlicher Verlauf der Verfügbarkeit 

V ( t) 

= R( 

t − n ⋅t 

), n ⋅t 

< t < ( n + 1) 

n ⋅t 

w 

w 

w 

1 

V(t) 

0 t w 

2t w 3t w 

4t w 

– Mittelwert der periodischen Funktion 

V 

1 

t 

w 

R(t) 

0 

1 

= lim 

t→∞ 

t 

t 

w 

∫ 

0 

e 

−λτ 

t 

∫ 

0 

dτ 

tw 

1 

( τ ) dτ 

= R d 

t 

∫ ( τ ) τ = 

w 0 

t 

1 ⎛ 1 ⎞ 1 

= ⎜ − ⎟ 

tw 

⎝ λ ⎠ 0 λtw 

V 

( ) 

w 

−λτ 

( 

−λt 

) 

w 

e | = 1− 

e 

t 

(10) 


28


ZSA 

Korrektive Instandhaltung nach Ausfall (1) 

– Zeitlicher Verlauf 

ein 


aus 

UT 1 UT 2 UT 3 

DT 

– Beobachtete Verfügbarkeit 

V 

= 

UT 

+ UT2 

+ L+ 

UT 

M 

M 

1 n 

(11) 

t 

UT 

DT 

M 

Up Time (in Betrieb) 

Down Time (außer Betrieb) 

gesamte Missionszeit 


29


ZSA 

Korrektive Instandsetzung nach Ausfall (2) 

– Berechnete Verfügbarkeit (Vorhersage) 

= 

MTBF 

MTBF + MTR 

= 

μ 

λ + μ 

V (12) 

μ 

λ 

MTBF 

MTR 

Instandsetzungsrate 

Ausfallrate 

Mean Time Between Failures (= MUT) 

Mean Time to Repair (= MDT) 

– Periodische Wartung und Instandsetzung nach Ausfall 

ein 

MTBF 

MTR 

aus 

t w 

t 


30


ZSA 

Sicherheitskenngrößen (VDI/VDE 3542) 

– Zustände und Ereignisse bis zu einem Schaden 

nicht 

sicherheitsbezogener 

Ausfall 

sichere 

Zustände 

nicht 


Fehlzustand 

kein 

Unfall 

kein 

Schaden eingetreten 

Fehlerfreier Zustand 


Ausfall 


Fehlzustand 

Unfall 

Schaden eingetreten 


31


ZSA 

Sicherheitsbezogene Begriffe 

– Das Konzept nach VDI/VDE 3542 

• Begriffe der Sicherheit an die Zuverlässigkeit angelehnt 

• Bezeichnung "sicherheitsbezogen" (safety related) eingeführt 

Begriff 

Sicherheitsbezogener 

Ausfall 

Sicherheitsbezogener 

Fehlzustand 

Sicherheitsbezogene 

Fehlfunktion 

Erläuterung 

gefährlicher oder kritischer Ausfall (safety 

related failure) 

gefährlicher oder kritischer Zustand 

(safety related state) 

gefährliche oder kritische Funktion 

(safety related function) 


32


ZSA 

Sicherheitsbezogene Kenngrößen 

– Bezeichnung der Kenngrößen 

Sicherheitsbezogene Kenngrößen durch Apostroph markiert 

Kenngröße 

sicherheitsbezogene 

Ausfallwahrscheinlichkeit 

F'(t) 

sicherheitsbezogene Ausfallrate 

λ'(t) 

mittlere sicherheitsbezogene 

Lebensdauer 

T' 

Sicherheitsbezogene 

Unverfügbarkeit 

U'(t) 

Mittlere Zeit zwischen 

sicherheitsbezogenen Ausfällen 

MTBF' 

Erläuterung 

Gefährdungswahrscheinlichkeit 

Gefährdungsrate 

Mittlere Zeit bis zum einem 

gefährlichen oder kritischen Ausfall 

Wahrscheinlichkeit, dass zu einem 

Zeitpunkt ein System gefährlicher oder 

kritische ausgefallen ist 

Mittlere Zeit zwischen gefährlichen 

oder kritischen Ausfällen 


33


ZSA 

Frage zu § 1 

Welche Aussage gilt für die Zuverlässigkeit? 

Antwort 

f 

? 

 

Erfüllung der Anforderungen 

Erfüllung der Anforderungen in einem Zeitintervall 

Vermeidung von Fehlfunktionen 


34


ZSA 

Gliederung 








35


ZSA 

Normung: 

Planmäßige, durch interessierte Kreise gemeinschaftlich durchgeführte 

einheitliche Festlegung von Begriffen, Kennzeichen, Messtechniken sowie 

produkt- oder materialspezifischer Eigenschaften. 

[Brockhaus Enzyklopädie] 

Gründe für Normungen 

• Internationaler Handel 

• Konstruktion, Fertigung, Instandhaltung 

• Qualitätssicherung 

• Sicherheit und Nachhaltigkeit 


36


ZSA 

Abgrenzung zwischen Norm und Industriestandard 

Norm 

Industriestandard 

Ist das Ergebnis eines 

Normungsverfahrens 

(de jure) 

Hat sich Im Laufe der Zeit als 

nützlich und richtig erwiesen 

(de facto) 

Beispiel: 

DIN A4 Papier 

Beispiel: 

IBM-kompatibler 

PC 


37


ZSA 

Verbindlichkeit von Normen 

• Anwendung einer Norm ist grundsätzlich freiwillig 

• Anwendungspflicht kann sich durch Gesetze und Verordnungen sowie durch 

Verträge ergeben 

• Bei sicherheitstechnischen Festlegungen besteht juristisch eine tatsächliche 

Rechtsvermutung, dass diese fachgerecht sind („anerkannte Regeln der 

Technik“) 


38


ZSA 

Nationale Normen 

DIN: 

DKE: 

Deutsches Institut für Normung 

Deutsche Kommission Elektrotechnik, 

Elektronik, Informationstechnik-Normen 

Rechtsgrundlage 

• Satzung des DIN 

• DIN 820 „Normungsarbeit“ 

• Normenvertrag vom 5. Juni 1975 mit der BRD 


39


ZSA 

Europäische Normen 

CEN: 

CENELEC: 

ETSI: 

Comité Européen de Normalisation 

Comité Européen de Normalisation Électrotechnique 

European Telecommunications Standards Institute 

Europäische Normen (EN) 

Die 30 nationalen Mitgliedsorganisationen stimmen über Normen ab und 

implementieren diese auf nationaler Ebene 


40


ZSA 

Internationale Normen 

ISO: 

IEC: 

International Organization for 

Standardization, von griech. „isos“ 

International Electrotechnical Commission 

ISO bzw. IEC Normen 

Über 150 Staaten sind durch ihre Mitgliedsorganisationen vertreten 

Es besteht die Möglichkeit, aber keine Verpflichtung, die internationalen 

Normen in das jeweilige nationale Normenwerk zu übernehmen 


41


ZSA 

Internationale Normen 

ISO: 

IEC: 

International Organization for 

Standardization, von griech. „isos“ 

International Electrotechnical Commission 

ISO bzw. IEC Normen 

• Über 150 Staaten sind durch ihre Mitgliedsorganisationen vertreten 

• Es besteht die Möglichkeit, aber keine Verpflichtung, die internationalen 

Normen in das jeweilige nationale Normenwerk zu übernehmen 

• Wiener Vereinbarung zwischen ISO und CEN von 1991 mit dem Ziel, die 

fachliche Arbeit auf eine Ebene zu konzentrieren und parallele Anerkennung 

als ISO- und EN-Norm herbeizuführen 

27 % des CEN-Normenbestandes identisch mit den ISO-Standards 

• Dresdner Abkommen von 1996 zwischen IEC und CENELEC mit gleichem Ziel 

67 % des CENELEC-Normenbestandes identisch mit den IEC-Normen 


42


ZSA 

Arbeitsumfeld am Beispiel Elektrotechnik 

Bundesregierung 

Norm-Anwender 

DKE-Arbeitsgremien, 

Technische Experten der betroffenen Fachkreise 

Europäische Kommission 

National Europäisch / International 


43


ZSA 

Ursprung aller Normungsverfahren des DIN 

1984 

2008 

National 

Europäisch/International 

National 

Europäisch/International 

20% 

15% 

80% 

85% 


44


ZSA 

Beispiele 

• DIN EN 61508: 

• Titel: „Funktionale Sicherheit sicherheitsbezogener elektrischer / 

elektronischer / programmierbar elektronischer Systeme“ (E/E/PE- 

Systeme) 

• Ist als Sicherheits-Grundnorm die Basis für anwendungsspezifische 

Normen 

• Inhalt u.a.: Ermittlung der Sicherheitsanforderungsstufe (SIL) 

• Bahnspezifische Implementierung der DIN EN 61508 

• DIN EN 50126: Spezifikation und Nachweis der Zuverlässigkeit, Verfügbarkeit, 

Instandhaltbarkeit, Sicherheit 

• DIN EN 50128: Software für Eisenbahnsteuerungs- und Überwachungssysteme 

• DIN EN 50129: Sicherheitsrelevante elektronische Systeme für Signaltechnik 

• DIN EN 50159: Sicherheitsrelevante Kommunikation in Übertragungssystemen 


45


ZSA 

Frage zu § 2 

Wann macht einen Sinn eine Norm zu definieren? 

Antwort 

f 

 

 

Gleichartige oder ähnliche Sachverhalt in vielen Anwendungen 

Für sicherheitskritische Anwendungen 

Einsatz des Produktes in unterschiedlichen Personenkreisen 


46


ZSA 

Gliederung 







§ 07 Risiko- und Gefährdungsanalyse 


47


ZSA 


– Allgemeines Prinzip 

• In einem beliebigen Verfahren der Erkennung von Fehlern werden 

• mindestens zwei Werte 

• auf die Erfüllung der zwischen diesen Werten vorgegebenen 

Zusammenhänge geprüft 

• Unzulässige Abweichungen von diesen Zusammenhängen werden 

• als Fehler interpretiert 

Film: Pyrotechnik 


48


ZSA 

Graphische Darstellung des Prinzips 

y 1 

E 1 

x 1 

y 2 

E 2 

x 2 

Prüfeinheit 

PE 

Fehlermeldung 

y n 

E n 

x n 

y 1 , y 2 , ..., y n 

E 1 , E 2 , .., E n 

x 1 , x 2 , ..., x n 

unterschiedliche Eingangswerte für die Datenverarbeitung 

unterschiedliche Einheiten der Datenverarbeitung 

unterschiedliche Ausgangswerte für die Prüfung (sie müssen 

vorgegebene Zusammenhänge erfüllen) 


49


ZSA 

Beispiel: Plausibilitätsprüfung 

E 1 

Messung der Laufzeit 

für ein 

Unterprogramm 

x 1 

y 

E 2 

Bestimmung des 

Minimalwertes von x 1 

x 2 

Prüfeinheit 

PE 

X 2 < x 1 < x 3 

Fehlermeldung 

E 3 

Bestimmung des 

Maximalwertes von x 1 

x 3 

y 

x 1 

Parameter, z.B. Rechengenauigkeit 

gemessene Rechenzeit (Prozessorzeit) 

x 2 der minimale Wert von x 1 

x 3 der maximale Wert von x 1 


50


ZSA 

Was ist Diversität? 

– diversitär 

• Gegenteil von identisch 

– Vollkommen identisch 

• Zwei Hardware-Einheiten sind vollkommen identisch, 

falls sie sich in allen Situationen vollkommen identisch verhalten. Sie 

haben zum Beispiel folgende Eigenschaften: 

• identische Anzahl, Art und Struktur aller Moleküle 

• identische Schwingungen aller Moleküle in Zeit und Raum 

• identische Bewegung aller Elektronen (Ströme) 

• identische Abnutzungsprozesse (Strukturänderung) 

• identische Ausfallprozesse 

• identischer Ort und identische Zeit des Einsatzes 

• identische Betriebs- und Umgebungsbedingungen 

• Eine Einheit ist nur mit sich selbst vollkommen identisch 


51


ZSA 

Diversitätsarten (1) 

– Diversität der Einsatzbedingungen (Zeitredundanz) 

• unterschiedlicher Einsatzort 

• unterschiedlicher zeitlicher Einsatz 

• unterschiedliche Umgebungsbedingungen 

• unterschiedliche Betriebsbedingungen 

– Physikalische Diversität (gleiche Hersteller) 

• gleicher Herstellung beim selben Hersteller 

• unterschiedliche Charge bei der Herstellung 

– Herstellungs-Diversität (verschiedene Hersteller) 

• unterschiedliche Hersteller 

• unterschiedliches Herstellungsverfahren 

• unterschiedliche Materialien bzw. deren Qualität 


52


ZSA 

Diversitätsarten(2) 

– Implementations-Diversität 

• unterschiedliche Module, Schnittstellen, Komponenten 

• unterschiedliche Lösungen 

• unterschiedliche Entwicklungsumgebung (Tools) 

• unterschiedliche Entwicklungs-Teams 

– Funktionale Diversität (Diversität der Requirements) 

• unterschiedliche Funktionen 


53


ZSA 

Diversität und Fehlererkennbarkeit 

Diversität 

Sporadische 

HW-Ausfälle 

Statische 

HW- 

Ausfälle 

Fehler-/Ausfallart 

Herstellungs 

-fehler 

Implementierungs 

-fehler 

Funktions 

-fehler 

Einsatzbedingungen Ja Nein Nein Nein Nein 

Physikalisch Ja Ja Nein Nein Nein 

Herstellung Ja Ja Ja Nein Nein 

Implementierung Ja Ja Ja Ja Nein 

Funktional Ja Ja Ja Ja Ja 


54


ZSA 

Fehlereigenschaften 

– Fehlerursachen und -auswirkungen 

Naturgesetze 

Physikalische und chemische Prozesse 

Prozesse im System 

Prozesse in der Umwelt 

Fehlerursache 

Mensch 

Bauelementausfall 

Störsignal 

Bedienungs- 

Fehler 

Software- 

Fehler 

Hardware- 

Fehler 

Fehler 

Ausgabefehler 

Fehlerauswirkung 


55


ZSA 

Beispiel: Diversität der Signaldarstellung 

– Signaldarstellung in einem zweikanaligen System 

K1 

Null 

K2 

K1 

Eins 

K2 

H 

L 

H 

L 

H 

L 

H 

L 

1 2 3 4 1 Takt 

1 2 3 4 1 Takt 

1 2 3 4 1 Takt 

1 2 3 4 1 Takt 


56


ZSA 

Fehlerauswirkung bei der Signaldarstellung 

Einfach- und Doppelfehler 

Wert Null 

Takt 1 2 3 4 1 

Prüfung auf Äquiv.00/11 Antiv.10/01 Äquiv.00/11 Antiv.10/01 Äquiv.00/11 

Fehlerfrei 

K1 0 1 1 0 0 

K2 0 0 1 1 0 

Prüfergebnis OK OK OK OK OK 

Fehler 

K1 0 1 1 Fehler = 1 Fehler = 1 

K2 0 0 1 1 0 

Prüfergebnis OK OK OK Erkennung Erkennung 

Doppelfehler 



Prüfergebnis OK OK OK keine Erkenn. Erkennung 


57


Ausfallarten 

– Änderungsgröße 

• Änderungsausfall 

• Verkleinerung 

• Vergrößerung 

• Extremausfall 

• Kurzschluss 

• Unterbrechung 

– Zeitverlauf 

• Sprungausfall 

• Driftausfall 

– Zeitpunkt 

• Frühausfall 

• Zufallsausfall 

• Verschleißausfall 

– Dauer 

• Sporadischer Ausfall 

• Statischer Ausfall 


– Statistisches Verhalten 

• Zufallsausfall 

• Systematischer Ausfall 

• Deterministischer Ausfall 

– Zahl 

• Einzelausfall / Mehrfachausfall 

– Ursache 

• Primärausfall 

• Folgeausfall 

ZSA 


• sicherheitsbezogener Ausfall 

• nicht Sicherheitsbezogener Ausfall 

– Schwere 

• Kritischer Ausfall 

• Nicht kritischer Ausfall 

– Umfang 

• Vollausfall (Totalausfall) 

58


ZSA 

Fehlerarten 

– Bauelemente- und Gerätefehler 

• Dimensionierungsfehler 

• Fertigungsfehler 

• Schaltungsfehler 

• Verdrahtungsfehler 

• Entwurfsfehler 

• Konzeptfehler 

– Fehlerarten der Programmsystemen 

• Spezifikationsfehler 

• Entwurfsfehler 

• Implementierungsfehler 

• Dokumentationsfehler 


59


Beispiel: Software-Fehler 

– Datenreferenz 

• Initialisierungsfehler 

• Indizes nicht innerhalb 

der Grenzen 

– Datendeklaration 

• Deklaration der Variablen fehlt 

• Attribute falsch verstanden 

– Berechnungen 

• Berechnung mit verschiedenen 

Datentypen 

• Klammer falsch gesetzt 

• Rundungsfehler 

– Vergleich 

• Priorität der Vergleichsoperatoren 

falsch verstanden 

• Boole'sche Ausdrücke sind 

inkorrekt 


– Steuerfluss 

• Schleifenendekriterium falsch 

• DO/END-Struktur falsch 

ZSA 

– Schnittstellen 

• Parameter und Argumente nicht 

konsistent 

• Verwechslung von Konstanten 

und Variablen 

– Ein-/Ausgaben 

• Formate der E/A-Anweisungen 

sind fehlerhaft 

• Behandlung der E/A-Fehler unklar 

– Sonstige 

• Bestimmte Funktionen wurden 

nicht realisiert 

• Warnungen der Compilerläufe 

nicht beachtet 

60


ZSA 

Frage zu § 3 

Welche Aussagen gelten für die physikalische Diversität? 

Antwort 

f 

f 

 

 

Gleicher Herstellung beim selben Hersteller 

Unterschiedliche Hersteller 

Unterschiedliche Charge bei der Herstellung 

Unterschiedliche Materialien bzw. deren Qualität 


61


ZSA 

Gliederung 








62


ZSA 

§4 Anforderungen 

– Zuverlässigkeitsanforderungen 

• Lebensdauer der Komponenten 

• MTBF der Systeme 

• Verfügbarkeit der Systeme 

• Wartbarkeit bzw. Instandsetzbarkeit der Systeme 

– Sicherheitsanforderungen 

• Qualitative Anforderungen 

• durch Vorgabe von Maßnahmen 

(z.B. erster Fehler muss vor dem zweiten erkannt werden) 

• Quantitative Anforderungen 

• durch Vorgabe von Zielwerten 

• (z.B. Gefährdungsraten, Ausfall/Fehleroffenbarungszeiten, SIL: 

Anforderungsstufen nach CENELEC) 


63


ZSA 

Beispiel: Anforderungen 

– Anforderungen der DBP 

Verfügbarkeit von Vermittlungsstellen der DBP 

Fernvermittlungsstellen 

Vermittlungsstellenart 

Ortsvermittlungsstelle 

Mindestverfügbarkeit 

entsprechende 

Ausfallzeit 

Wirkverfügbarkeit 

entsprechende 

Ausfallzeit 

99,909 % 8 h/Jahr 99,977 % 2 h/Jahr 

99,954 % 4 h/Jahr 99,989 % 1 h/Jahr 


64


ZSA 

Beispiel für mittlere Verfügbarkeit 

Betrachtet wird ein System im Dauerbetrieb (8760 Stunden im Jahr) 


Min. erwartete 

Betriebszeit 

Max. erlaubte 

Ausfallzeit 

Max. erlaubte 

Ausfallzeit 

99 % 8672,4 h 87,6 h 5256 min. 

99,1 % 8681,16 h 78,84 h 4730,4 min. 

99,5 % 8716,2 h 43,8 h 2628 min. 

99,9 % 8751,24 h 8,76 h 525,6 min. 

99,99 % 8759,124 h 0,876 h 52,56 min. 

100 % 8760 h 0 h 0 min. 


65


ZSA 

Sicherheitsanforderungen (Live–Mitschrieb) 

Systemanforderungsspezifikation 

Nicht sicherheitsrelevante 

(funktionale) 

Systemanforderungen 

Sicherheitsanforderungen 

Sicherheitsanforderungsspezifikation 

Sicherheitsgrad 

Sicherheitsfunktionen 

systematische Fehler 

Zufallsausfälle 


66


ZSA 

Sicherheitsgrad (Safety Integrity) 

– Sicherheitsgrad 

• Wahrscheinlichkeit, dass ein sicherheitsrelevantes System die 

Sicherheitsanforderungen erfüllt 

– Bestandteile des Sicherheitsgrades 

• Der Sicherheitsgrad besteht aus zwei Teilen: 

• Sicherheitsgrad hinsichtlich systematischer Fehler 

• Sicherheitsgrad hinsichtlich Zufallsausfälle 


67


ZSA 

SIL und quantitative Festlegung 

– SIL 

Der Sicherheitsgrad wird in vier diskrete Sicherheits-anforderungsstufen 

(Safety Integrity Levels) unterteilt 

– SIL-Werte von IEC 61508 

Für die Realisierung einer einzelnen Funktion durch eine 

programmierbare elektronische Einheit (Programmable Electronic 

System PES) werden folgende Angaben zugrundegelegt: 

Safety Integrity Level (SIL) Tolerable Hazard Rate (THR) 

per hour and function 

4 THR < 10 -8 

3 10 -8 < THR < 10 -7 

2 10 -7 < THR < 10 -6 

1 10 -6 < THR < 10 -5 


68


ZSA 

Ausgewogenheit der Anforderungen 

Versagen 

Mensch 

(menschlicher Fehler) 

Oder 

Physik 

(Zufallsausfälle) 

Systematische 

Fehler 

Schwer quantifizierbar 

qualitative Stufen (SIL) 

Hardware 

Ausfälle 

Quantifizierbar 

quantitativ durch 

Ausfallraten 


69


ZSA 

Beispiel: Zuverlässigkeitsanforderungen 

– Sporadische Fehler oder Ausfälle, die 

• zu keinem Systemausfall führen und 

• keine Instandsetzung verursachen 

MTBF ≥ 0,3 Jahre 

– Fehler oder Ausfälle von Komponenten, die 

• zu keinem Systemausfall führen und 

• eine Instandsetzung verursachen 

MTBF ≥ 3 Jahre 

– Fehler oder Ausfälle von Komponenten, die 

• einen Systemausfall und 

• eine Instandsetzung verursachen 

MTBF ≥ 30 Jahre 


70


ZSA 

Beispiel: Sicherheitsanforderungen 

Anforderungen an Eisenbahnsicherungsanlagen: 

– Die Meldung "FREI (grün)" darf auch nicht kurzzeitig zur Unzeit 

ausgegeben werden. 

– Wenn die Meldungen "BELEGT" und "GESTÖRT" zur Unzeit ausgegeben 

werden, muss verhindert werden, dass danach ohne Grundstellung die 

Meldung "FREI" ausgegeben wird. 

– Die Meldungen "BELEGT" und "GESTÖRT" stellen den sicheren Zustand 

eines Abschnitts dar. 


71


ZSA 

Beeinflussende Faktoren 

– Bereiche der Beeinflussungen der Zuverlässigkeit und Sicherheit 

Beeinflussungen 

Systembezogene 


Betriebsbezogene 


Instandhaltungsbezogene 



72


ZSA 

Systembezogene Beeinflussungen 

Systembezogene Beeinflussungen 

Technische 

Merkmale 

Interne 

Störungen 

Instandhaltbarkeit 

Systematischer 

Fehler/Ausfall 

Zufallsbedingter 

Ausfall 

• Anforderungen oder Entwurf fehlerhaft 

• Herstellung oder Ausführung fehlerhaft 

• Inhärente Mängel oder Schwächen 

• Softwarefehler 

• Überlastung 

• usw. 

Ausfall bei normaler 

• Abnutzung 

• Belastung 

• Umwelteinflüsse 

• Betriebsarten 

• usw. 


73


ZSA 

Betriebsbezogene Beeinflussungen 

Betriebsbezogene Beeinflussungen 

Umweltbedingungen 

Menschliche 

Faktoren 

Betriebliches 

Aufgabenprofil 

Betriebsarten 

Externe 

Störungen 

Menschliche 

Fehlhandlungen 

Änderungen 

des Aufgabenprofils 

Mangelhafte 

Betriebsanweisungen 

Menschliche 

Korrektureingriffe 


74


ZSA 

Instandhaltungsbezogene Beeinflussungen 

Instandhaltungsbezogene Beeinflussungen 

Menschliche 

Faktoren 

Logistik 

Korrektive 


Präventive 


Instandhaltungsverfahren 

Diagnoseverfahren 

Planmäßige 


Zustandsabhängige 



75


ZSA 

Frage zu § 4 

Welche Fehler werden als Systematischer Fehler bezeichnet 

Antwort 

f 

f 

 

 

Entwurfsfehler 

Betriebsfehler 

Abnutzung 

Herstellungsfehler 


76


ZSA 

Gliederung 








77


ZSA 


– Zufallsereignis 

• Das Auftreten eines bestimmten Ereignisses aus einer Menge 

möglicher Ereignisse hängt vom Zufall ab 

– Beispiele für Zufallsereignisse 

• Ziehen einer Zahl aus einer Trommel (Lottozahlen) 

• Ausfall einer Komponente, eines Systems 

• Unfall 

– Kein Zufallsereignis 

• Es gibt eine Ursache für das Ereignis 

• Unfälle durch überhöhte Geschwindigkeit 

• Häufiges Gewinnen durch Falschspielen 


78


ZSA 

Relative Häufigkeit 

– Relative Häufigkeit H 

H = 

Anzahl beobachteter Ereignisse 

Anzahl möglicher Ereignisse 

– Beispiel: 

In einer Urne sind 10 gleiche Kugeln, schwarze bzw. weiße. 

Bei jedem Ziehen sind alle 10 Kugeln in der Urne 

Bei N=50 Versuchen: 11 mal schwarz, 39 mal weiß 

Bei N=200 Versuchen: 39 mal schwarz, 161 mal weiß 

(13) 

Die relative Häufigkeit für schwarz H(s) und weiß H(w): 

Relative N = 50 N = 200 N → ∞ 

Häufigkeit 

H(s) 11/50 = 0,22 39/200 = 0,195 0,20 

H(w) 39/50 = 0,78 161/200 = 0,805 0,80 


79


ZSA 

Wahrscheinlichkeit 

– Wahrscheinlichkeit : 

Die Wahrscheinlichkeit P(A) eines Ereignisses A ist als Grenzwert der 

relativen Häufigkeit H für eine gegen unendlich strebende Anzahl der 

Versuche N definiert: 

P( A) 

= lim H ( A) 

N →∞ 

N 

(14) 

– Bedingte Wahrscheinlichkeit: 

Die Wahrscheinlichkeit P(A|B) eines Ereignisses A vorausgesetzt, dass 

ein anderes Ereignis B eingetreten ist: 

P( 

A | 

B) 

= 

P( 

A∩ 

B) 

P( 

B) 

A A ∩ B B 

(15) 


80


ZSA 

Unabhängigkeit der Ereignisse 

– Begriff der Unabhängigkeit : 

Ereignisse A und B sind voneinander unabhängig, wenn gilt: 

P ( A∩ 

B) 

= P( 

A) 

P( 

B) 

(16) 

– Bedingte Wahrscheinlichkeit unabhängiger Ereignisse: 

Für voneinander unabhängige Ereignisse ergibt sich die bedingte 

Wahrscheinlichkeit: 

P( 

A∩ 

B) 

P( 

A) 

P( 

B) 

P ( A | B) 

= = = P( 

A) 

P( 

B) 

P( 

B) 

(17) 


81


ZSA 

Beispiel: abhängiges Ereignis 

– Beispiel für abhängige Ereignisse: 

In einer Urne sind 2 weiße und 4 schwarze Kugeln nummeriert 

von 1 bis 2 (Weiße) und von 1 bis 4 (Schwarze). 

Die Wahrscheinlichkeit für das Ziehen der Kugel mit der Zahl 1, 

und für das Ziehen der weißen oder schwarzen Kugel 

2 1 2 1 4 

P( 1) = = , P( 

w) 

= = , P(s) = = 

6 3 6 3 6 

2 

3 

Die Wahrscheinlichkeit für das Ziehen der Kugel mit der Zahl 1, 

falls weiß gezogen wurde 

1 

P(1 

∩ w) 

P( 

1| w) 

= = 6 = 

P( 

w) 

1 

3 

1 

2 


82


ZSA 

Beispiel: unabhängiges Ereignis 

– Beispiel für unabhängige Ereignisse: 

Die Ereignisse Zahl 1 und Farbe w und s seien voneinander unabhängig. 

– Die Wahrscheinlichkeiten sind wie oben berechnet: 

1 1 

P( 1) = , P( 

w) 

= , P( 

s) 

= 

3 3 

– Die Wahrscheinlichkeit für die Zahl 1, falls weiß gezogen wurde: 

1 1 

P(1 

∩ w) 

P(1) 

⋅ P( 

w) 

⋅ 

3 3 1 

P ( 1| w) 

= = = = = P(1) 

P( 

w) 

P( 

w) 

1 3 

3 

– Beispiel zur obigen Betrachtung: 

Von zwei Urnen A und B wird je eine Karte gezogen. 

Urne A: 6 Karten mit den Zahlen 1, 1, 2, 2, 3, 4. 

Urne B: 6 Karten davon 2 weiße und 4 schwarze. 

2 

3 


83


ZSA 

Gegenseitiger Ausschluss von Ereignissen 

– Formel 

Schließen sich die Ereignisse A und B gegenseitig aus (disjunktiv), 

so kann nur eines der Ereignisse auftreten. 

Die Wahrscheinlichkeit, dass A oder B auftritt: 

P ( A∪ 

B) 

= P( 

A) 

+ P( 

B) 

(18) 

– Beispiel: 

Die Wahrscheinlichkeit, dass bei einem Wurf eines Würfels die Zahl 1 oder 

6 auftritt: 

1 1 

P( 

1∪ 

6) = P(1) 

+ P(6) 

= + = 

6 6 

1 

3 

(19) 


84


ZSA 

Kein gegenseitiger Ausschluss von Ereignissen 

– Formel allgemein: 

Schließen sich die Ereignisse A und B gegenseitig nicht aus, 

dann gilt ganz allgemein: 

P( A ∪ B) 

= P( 

A) 

+ P( 

B) 

− P( 

A ∩ B) 

(20) 

– Formel für unabhängige Ereignisse: 

Sind die beiden Ereignisse A und B von einander unabhängig, 

dann gilt: 

P( A ∪ B) 

= P( 

A) 

+ P( 

B) 

− P( 

A) 

P( 

B) 

(21) 

– Beispiel: 

Die Wahrscheinlichkeit, dass bei einem Wurf von zwei Würfeln mindestens 

an einer Würfel die Zahl 6 auftritt: 

1 1 1 

P( 

6 ∪ 6) = P(6) 

+ P(6) 

− P(6 

∩ 6) = + − = 

6 6 36 

11 

36 


85


ZSA 

Aufgaben 

– Aufgabe 1 : 

Berechnen Sie die Wahrscheinlichkeit, dass bei einem Wurf 

von zwei Würfeln folgende Zahlen auftreten: 

Würfel A: Zahl 1 oder 5 

Würfel B: Zahl 6 

– Aufgabe 2: 

Berechnen Sie die Wahrscheinlichkeit, dass bei einem Wurf 

von zwei Würfeln folgende Zahlen auftreten: 

Würfel A: Zahl 6 

Würfel B: Zahl 1, 2, 3, 4, oder 5 


86


ZSA 

Lösung der Aufgaben 

− Lösung der Aufgabe 1: 

Die Wahrscheinlichkeit, dass auf A die Zahl 1 oder 5 auftritt: 

1 1 

P( 1∪5) 

= P(1) 

+ P(5) 

= + = 

6 6 

Die Wahrscheinlichkeit, dass auf B die Zahl 6 auftritt: 

P( 6) = 

1 

6 

Wahrscheinlichkeit, dass auf A 1 oder 5 und auf B 6 auftritt: 

1 1 1 

( P(1 

∪5) 

∩ P(6)) 

= ( P(1 

∪5) 

⋅ P(6)) 

= ⋅ = 

3 6 18 

− Lösung der Aufgabe 2: 

Wahrscheinlichkeit, dass auf A 6 und auf B keine 6 auftritt: 

1 5 

( P(6) 

∩ P(1 

∪ 2 ∪3∪ 

4 ∪5)) 

= ⋅ = 

6 6 

1 

3 

5 

36 


87


ZSA 

Totale Wahrscheinlichkeit 

– Für ein beliebiges Ereignis A: 

Schließen sich die Ereignisse B i , i=1,...n, gegenseitig aus und stellt 

den gesamten Raum dar, so gilt für ein beliebiges Ereignis A (Satz der 

totalen Wahrscheinlichkeit): 

P ( A) 

= ∑ P( 

A | Bi ) P( 

B i 

) 

i 

– Beispiel : 

Die Urnen und Ereignisse sind in Tabellen beschrieben: 

Ereignis 

A 

Beschreibung 

weiß gezogen 

Urne weiße schwarze 

U1 2 1 

∪B i 

B1 

B2 

U1 gewählt 

U2 gewählt 

U2 1 3 

Die Wahrscheinlichkeit für das Ereignis A: 

P 

A) 

= P( 

A | B1 

) P( 

Bi 

) + P( 

A | B2 

) P( 

B 

2 1 1 1 1 1 7 

= ⋅ + ⋅ = + = 

6 2 4 2 6 8 24 

( 

2 

) 


88


ZSA 

Bayessche Formel 

– Wahrscheinlichkeit a posteriori: 

Falls A eingetreten ist, kann man die Wahrscheinlichkeiten 

für B i durch die folgende Bayessche Formel ermitteln: 

P( 

B 

k 

| A) 

= 

P( 

A | Bk 

) P( 

Bk 

) 

P( 

A | B ) P( 

B ) 

∑ 

– Beispiel: 

Eine weiße Kugel wurde im obigen Beispiel gezogen. 

Die Wahrscheinlichkeit, dass sie von U 1 bzw. U 2 ist 


i 

i 

i 

2 1 

⋅ 

P( 

A | B1 

) P( 

B1 

) 

P( 

B 

6 2 

1 

| A) 

= 

= 

= 

P( 

A | B ) ( ) ( | ) ( ) 2 1 1 1 

1 

P B1 

+ P A B2 

P B2 

⋅ + ⋅ 

6 2 4 2 

1 1 

⋅ 

P( 

A | B2 

) P( 

B2 

) 

P( 

B 

4 2 

2 

| A) 

= 

= 

= 

P( 

A | B ) ( ) ( | ) ( ) 2 1 1 1 

1 

P B1 

+ P A B2 

P B2 

⋅ + ⋅ 

6 2 4 2 

3 

7 

4 

7 

=1 

89


ZSA 

Regeln für Boolesche Formeln 

– Regeln bei der Auswertung der Booleschen Formeln: 

(1) Kommutativ 

A + B 

= B + 

A, 

A⋅ 

B 

= 

B ⋅ 

A 

(2) Assoziativ 

A + ( B + C) 

= ( A + B) 

+ C = A + B + C 

(3) Distributiv 

( A + B)⋅C 

= 

A⋅C 

+ 

B ⋅C 

(4) Indempotenz 

A + A = A, 

A⋅ 

A = 

A 

(5) Absorbtion 

A + A⋅ 

B = 

A 

(6) Negation 

!(! A ) = 

A 

(7) Morgan 

(8) Operationen mit den Werten 0, 1 


!( 

A + B) 

= ! A⋅! 

B, 

!( A⋅ 

B) 

= ! A+ 

! B 

A + 0 = A, 

A + 1 = 1 

A ⋅0 

= 0, A⋅1 

= A 

90


ZSA 

Verteilungsfunktion 

– Verteilungsfunktion : 

Die Verteilungsfunktion F(X) einer Zufallsgröße X stellt 

die Wahrscheinlichkeit P dar, dass die Zufallsgröße X 

kleiner oder gleich eines vorgegebenen Wertes x ist: 

F( X ) = P( 

X ≤ x) 

(23) 

– Beispiel: 

Die Wahrscheinlichkeit für die Zahl X bei einer Würfel 

X 

X 

X 

X 

≤ 9, F 

≤ 3, F 

≤1, 

F 

≤ −1, 

F 

= 1 

= 

= 

0,5 

1 

6 

= 

0 

0,8 1 

0,6 

F(X) 

0,4 

0,2 

0 

0 1 2 3 4 5 6 7 8 9 10 

x 


91


ZSA 

Dichtefunktion 

– Dichtefunktion: 

Die Verteilungsfunktion F(X) sei durch eine Dichtefunktion f(x) der 

Zufallsgröße X gegeben: 

X 

∫ 

−∞ 

F ( X ) = f ( x) 

dx ∫ 

∞ 

−∞ 

f 

( x) 

dx 

=1 

(24) 

– Dichtefunktion (diskret): 

Die Dichtefunktion für eine diskrete Zufallsgröße X: 

f ( X 

i 

) 

= p , = 1,2,..., ( ) = ∑ , ∑ 

i 

i n F X 

i 

pi 

n 

i= 

1 

n 

i= 

1 

p 

i 

= 1 

(25) 


92


ZSA 

Beispiel: Dichtefunktionen 

– Beispiel (diskret): 

Die Wahrscheinlichkeit für 

die Zahlen 1 bis 6 (Würfen) 

sei gleich groß 1/6 = 0,1666. 

Bei allen anderen Werten 

sei die Wahrscheinlichkeit 

gleich Null. 

0,2 

0,1 

0 

f(x) 

0 1 2 3 4 5 6 7 8 

x 

– Beispiel (kontinuierlich): 

Die Wahrscheinlichkeit F(X) 

für X kleiner oder gleich x: 

F(X) = 1-exp(-x) für alle x ≥ 0 

F(X) = Null für alle x < 0 

Die Dichtefunktion f(x) ist: 

f(x) = exp(-x) 

0,8 1 f(x) 

0,6 

0,4 

0,2 

0 

0 1 2 3 4 5 

x 


93


ZSA 

Erwartungswert 

– Erwartungswert : 

Der Erwartungswert E(X) (Mittelwert) einer Zufallsgröße X 

ist gegeben durch: 

E( 

X ) 

∞ 

∫ 

−∞ 

= x ⋅ f ( x) 

dx 

(26) 

wobei f(x) die Dichtefunktion darstellt. 

Für diskrete Zufallsgrößen ist der Erwartungswert gegeben durch: 

– Beispiel: 

Bei dem obigen Beispiel mit einem Würfel erhält man 

den folgenden Erwartungswert: 

E( 

X ) = ∑ x i 

p i 


6 

i= 1 

n 

E ( X ) = ∑ x p i i 

i 

1⋅1 

2⋅1 

3⋅1 

4⋅1 

5⋅1 

6⋅1 

= + + + + + = 3, 5 

6 

6 

6 

6 

6 

6 

(27) 

94


ZSA 

Normalverteilung (Gaußverteilung) 

– Anwendung: 

Statistische Auswertung von Meßergebnissen 


f 

– Erwartungswert: 

( x−a) 

1 − 

2 

2σ 

( x) 

= e 

2πσ 

2 

E ( x) 

= 

a 

– Graphik: 

Das Maximum befindet sich im Wert a. 

Der Wert σ bestimmt den Verlauf der Kurve. 

Kleines σ hoher, großes σ flacher Verlauf. 

Beispiel: a = 0, σ = 1 oder σ = 0,5. 


1 

0,8 

0,6 

0,4 

0,2 

0 

σ = 0,5 

σ = 1 

-3 -2 -1 0 1 2 3 

a = 0 

95


ZSA 

Gleichverteilung 


Erzeugung von Zufallszahlen, die zwischen 

a und b gleich wahrscheinlich sind. 


1 

f ( x) 

= = const. 

b − a 


E( 

x) 

= 

a + b 

2 

– Graphik: 

Die Dichtefunktion ist 

zwischen a und b konstant. 

Beispiel: a = -1, b = 1, E = 0. 

1 

0,8 

0,6 

0,4 

0,2 

0 

-3 -2 -1 0 1 2 3 


96


ZSA 

Exponentialverteilung 


Berechnung von Zuverlässigkeits- und 

Sicherheitskenngrößen für Komponente und Systeme 


f 

(x) 

= 


E( 

X ) = 

1 

λ 

– Graphik: 

Für x < 0 sind alle Werte gleich Null. 

Der höchste Wert liegt im Wert x=0. 

Mit steigendem x fällt der Wert. 

Er erreicht Null gegen unendlich. 

Beispiel: λ = 1, E(X) = 1. 


− 

λe λx 

, λ > 0, x ≥ 

0 , x < 0 

0 

1 

0,8 

0,6 f(x) 

0,4 

0,2 

0 

x 

-1 0 1 2 3 

97


ZSA 

Weibullverteilung 


Berechnung der Ausfallraten im Bereich der Früh- und 

Verschleißausfälle 


p−1 

−bx 

f ( x) 

= bpx ⋅e 

, b, 

p > 

f ( x) 

= 0, 

x < 0 

Exponentialverteilung bei p = 1, b = λ 

p 

0, 

x 

≥ 

0 


1 

( ) = − p 

E X b ⋅Γ( 

p 

– Graphik: 

1 

Die Funktion wächst von Null an 

und geht wieder zu Null zurück. 

0,5 

Beispiel: b = 2, p = 2 0 


1 

+ 1) 

1,5 

-1 -0,5 0 0,5 1 1,5 2 

98


ZSA 

Binomialverteilung 

– Anwendung 

• Wahrscheinlichkeit, dass ein sicherheitsrelevantes System die 

Sicherheitsanforderungen erfüllt. 

– Wahrscheinlichkeit: 

f 

n, 

p 

( k) 

⎛n⎞ 

⎜ ⎟ p 

⎝k 

⎠ 

k n−k 

= ( = ) = (1 ) 

P 

X 

k 

n Anzahl aller Versuche 

k Anzahl aller beobachteten Ereignisse 

p Wahrscheinlichkeit, dass das beobachtete Ereignis auftritt 

− 

p 


E( 

X 

) 

= 

n ⋅ 

p 


99


ZSA 

Beispiel: Binomialverteilung 

– Daten: 

Anzahl der Rechner n = 3 

Wahrscheinlichkeit, dass ein Rechner 

1 Jahr nicht überlebt p = 0,1 (Einzelausfall) 

Anzahl der Rechner, die 1 Jahr nicht überlebt haben 

k = 0, 1, 2, und 3 

– Graphik: 

Für jeden Wert k = 0, 1, 2, ... n gibt es eine Wahrscheinlichkeit für das 

Auftreten von k 

1 

0,1 

0,01 

0,001 

0,0001 

0,729 0,243 

0,027 

0,001 

0 1 2 3 


100


ZSA 

Gliederung 








101


ZSA 


– Definitionen: 

Risikobegriffe sind in den EN-, IEC- und DIN-Normen definiert. 

Hier werden nur Erläuterungen der Definitionen gebracht. 

– Risiko 

• Produkt von Schadensausmaß und Schadenshäufigkeit 

• Risiko = Schaden pro Zeiteinheit 

– Individuelles Risiko 

• Risiko bezogen auf einzelne Person 

– Kollektives Risiko 

• Risiko bezogen auf Personengruppen 

– Grenzrisiko 

• Größtes, noch vertretbares Risiko (noch akzeptables Risiko) 

– Restrisiko 

• Risiko unter Wirkung aller Sicherheitsfunktionen 


• Freisein von nicht akzeptablen Risiken 


102


ZSA 

Risiko, Gefahr und Sicherheit 

Sicherheit 

Gefahr 

Risiko vertretbar gering, 

kleiner als Grenzrisiko 

Restrisiko 

Grenzrisiko 

Sicherheitsfaktor 

mindestens 

erforderliche 

Risikoreduzierung 

durch Konstruktion, 

Schutz-maßnahmen, 

Benutzerinformationen 

Risiko größer 

als Grenzrisiko 

Risiko ohne 

Maßnahmen 

tatsächliche 

Risikoreduzierung 


103


ZSA 

Grenzrisiko 

– Individuelle Risikoakzeptanz 

• Risiko, dass man selbst bereit ist, zu akzeptieren 

• Beispiele: Rauchen, Motorrad fahren, Sport (Ski fahren) 

– Allgemeine Risikoakzeptanz (Restrisiko) 

• Risiko, dass bei der richtigen Anwendung der nach dem Stand der 

Technik notwendigen Maßnahmen nicht ausschließbar ist 

• Neben der Technik sind die Betriebsführung (Organisation, Personal) 

und externe Einflüsse am Gesamtrisiko beteiligt 

– Akzeptanzkriterien 

• Eine Norm für Akzeptanzkriterien gibt es nicht 

• SIL ist kein Akzeptanzkriterium sonder eine Anforderung 

• Der Betreiber legt die Akzeptanzkriterien fest (EN50129) 

• Aktuelle Statistiken sind die Basis für das Grenzrisiko 


104


ZSA 

Gefährdungen im Bahnbetrieb 

Nr. Kategorie Gefährdung 

1 Überschreiten 

zulässiger 

• Überschreiten zulässiger 

Fahrzeughöchstgeschwindigkeit 

Geschwindigkeit • Überschreiten zulässiger 

Streckenhöchstgeschwindigkeit 

2 Kollision • Frontalkollision mit einem Zug 

• Kollision mit abgestellten Fahrzeugen bzw. Wagen 

• Kollision mit Gegenständen im Gleis/ Stationsbereich 

3 Weiche nicht in 

richtiger Lage 

• Weiche hat falsche Endlage 

• Weiche hat Endlage nicht erreicht 

4 Bahnübergang • Bahnübergang ist nicht gesichert 

• Bahnübergang öffnet zu früh 

5 Fahrgastwechsel • Abfahrt bei nicht abgeschlossenen Fahrgastwechsel 

• Unzeitige Türfreigabe 

6 Halt an verbotenen 

Stellen 

7 Verletzung der 

Einschränkungen 

• Nothalt an verbotenen Stellen 

• Unzulässiger Halt nach Fahrgastnotbremse 

• Verletzung des zulässigen max. Gewichts (Brücke) 

• Verletzung des zulässigen max. Lichtraumprofils 

(Tunnel) 


105


ZSA 

Vergleich der Risiken 

– Zum Tode führende Ereignisse (1 Tote/Jahr) 

Das Verhältnis zwischen dem kleinsten und größten Risiko: 1:50.000 

Situation 

Größe eines 

Kollektivs 

Zigarettenrauchen (1 Päckchen pro Tag) 200 

Motorradfahren (USA) 1.000 

Grippe (GB) 5.000 

Leukämie (GB) 12.500 

Fußgänger im Straßenverkehr (USA) 26.000 

Tornados (USA) 450.000 

Flugreisen 814.000 

Vom Blitz getroffen werden (USA) 1.900.000 

Bienenstich (USA) 5.500.000 

Vom abstürzenden Flugzeug getroffen werden (USA) 10.000.000 

[V1] S. 6 


106


ZSA 

Sicherheit von Verkehrssystemen 

− Deutsche Airlines (1973-2007) 

74 Todesopfer 

• Air Berlin (inkl. LTU) 0 

• TUIfly 7 

• Lufthansa 61 

• Condor 16 

− Verkehrsunfälle in Deutschland (2008) 4477 Todesopfer 

− Eisenbahnunfälle in der EU (2004) 1483 Todesopfer 

(ohne GR, IT, NL, AT, PT, SE, UK) 

http://www.eds-destatis.de/de/downloads/sif/nz_06_06.pdf 

http://de.wikipedia.org/wiki/Stra%C3%9Fenverkehrsunfall 

http://www.eds-destatis.de/de/downloads/sif/nz_06_06.pdf 


107


ZSA 

Spektakuläre Unfälle 

– 1986 Kernkraftwerk Tschernobyl (Explosion) 

– 1987 Space Shuttle Challenger (Explosion) 

– 1988 Ölbohrinsel in der Nordsee (Explosion, Brand) 

– 1989 Öltanker Exxon bei Alaska (Kollision, Riff) 

– 1993 Hoechst AG (Freisetzung von Gasen) 

– 1994 Fährschiff von Petersburg nach Schweden (versunken) 

– 1996 Großraumflugzeug in Karibik (Absturz) 

– 1998 Zugunglück bei Eschede (Radbruch, Kollision) 

– 1999 Feuer im Mont Blanc Tunnel (Kollision, Feuer) 

– 2000 Concorde (Reifen geplatzt, Absturz) 

– ... 


108


ZSA 

ICE-Unglück von Eschede (1998) 


109


ZSA 

Kleine und große Unfälle 

– Beispiel für kleine Unfälle 

• Verkehrsunfälle auf deutschen Straßen: 8000 Tote pro Jahr und 

100000 Verletzte (150 Tote pro Woche) 

– Beispiel für einen großen Unfall 

• Eschede-Unfall mit ca. 100 Toten (1998) 

• Flugzeugabsturz mit ca. 200-300 Toten 

– Wirkung eines großen Unfalls 

• Ein einzelner großer Unfall ist immer sehr medienwirksam 

• Forderungen nach höherer Sicherheit werden dann sehr stark 

– Wirkung vieler kleiner Unfälle 

• Gegen viele "kleine" Unfälle wird zu wenig getan 

• Mehr Aufmerksamkeit auf Beinaheunfälle ist erforderlich 


110


ZSA 

Grundlebensrisiko 

– Natürliche Sterblichkeit 

• Sterblichkeit einschließlich der krankheitsbedingten Todesfälle 

• R n = 9 · 10 -3 Todesfälle/(Person x Jahr) 

– Minimale endogene Sterblichkeit (natürliche von Innen) 

• Sterblichkeit der Gruppe der 5- bis 15-jährigen 

• R m = 2 · 10 -4 Todesfälle/(Person x Jahr) 


111


ZSA 

Beispiel: Grundrisiken 

Todesursachen in der Schweiz 2007 

Aids 

Illegale Drogen 

Vorsätzliche Tötungsdelikte 

Verkehrsunfälle 

Suizide 

76 

193 

245 

384 

1360 

Tabak 

9201 


112


ZSA 

Risikoakzeptanzkriterium MEM 

– Das Kriterium 

• Es darf keine nennenswerte Erhöhung von R m verursachen 

– In der Praxis akzeptierte Werte: 

•


ZSA 

Beispiel: Anwendung von MEM 

– Risiko durch die Bahn 

• Zusätzliches Risiko durch die Bahn < 10-5 Todesfälle/(Person x Jahr) 

– Risiko durch die Eisenbahnsignaltechnik 

• Zusätzliches Risiko durch die Eisenbahnsignaltechnik ist 

< 4·10-10 Todesfälle/Passagierstunde 

– Risiko durch die Eisenbahnsignaltechnik 

Beispiel: Benutzung der Bahn von 2 Std./Tag 

• Die Benutzung der Bahn von 2 Stunden/Tag entspricht 

730 Stunden/Jahr 

• Bei ca. 1000 Stunden/Jahr ergibt sich ein zusätzliches 

Risiko von < 4 · 10-7 Todesfälle/(Person x Jahr) 


114


ZSA 

Betrachtung schwerer Unfälle 

Bei Unfällen mit mehr als 

100 Todesfällen wird eine 

fallende Kennlinie, die 

Differential Risk Aversion 

(DRA), angewendet, um 

das individuelle Risiko 

stärker zu begrenzen 


Todesfälle 

Person x Jahr 

10 -3 

10 -4 

10 -5 

10 -6 

10 -7 

Minimale 

endogene 

Sterblichkeit 

Zusätzliches 

Risiko durch 

die Bahn 

Aversionskennlinie 

(DRA) 

10 -8 Risiko durch Benutzung 

10 -9 der Eisenbahnsignaltechnik 

2 Std./Tag 

10 -10 10 0 10 1 10 2 10 3 10 4 10 5 10 6 

Anzahl der Todesfälle pro Unfall 

115


ZSA 

Risikoakzeptanzkriterium ALARP 

− Kriterium: 

Zusätzliches Risiko muss so 

niedrig wie vernünftig machbar 

sein. Das System muss 

wirtschaftlich sein. (As Low As is 

Reasonably Practicable) 

Unzulässiger 

Bereich 

ALARP- 

Bereich 

Risiko nicht 

gerechtfertigt 

Zulässig, wenn 

Risikominderung 

nicht möglich 

− Anwendung vorwiegend in England: 

Es genügt nicht nachzuweisen, 

dass die Risiken im ALARP- 

Bereich liegen. Risiken müssen 

niedrig gehalten werden. 

Die Kosten für die 

Risikominderung müssen auf 

einer wirtschaftlichen 

Basis beruhe 

zulässiger 

Bereich 

(muss Vorteile 

haben) 

Weitgehend 

zulässiger 

Bereich 

Zulässig, wenn 

Kosten der 


größer als die der 

Verbesserung sind 


nicht notwendig 


116


ZSA 

Risikoakzeptanzkriterium GAMAB 

• Das Kriterium (Globalement Au Moins Aussi Bon) 

• Das neue System muss einen Sicherheits-Level bieten, der 

mindestens so hoch ist, wie der in irgendeinem vergleichbaren 

existierenden System 

– Anwendung vorwiegend in Frankreich 

• Aus den bisher eingesetzten Systemen werden statistische Daten 

abgeleitet z.B. Anzahl der Zusammenstöße/Fahrgast 

• Das neue System ist durch eine Reihe von Parametern 

charakterisiert, wie maximale Zuggeschwindigkeit, usw. 

• Daraus lassen sich bestimmte Daten wie die Anzahl der 

Zusammenstöße pro Fahrgast schätzen 

• Dieser Wert muss beim neuen System kleiner sein als beim 

vorhandenen System 


117


ZSA 

Häufigkeit 

Kategorie 

häufig 

wahrscheinlich 

gelegentlich 

selten 

Definition 

Wird häufig auftreten. Die Gefahr ist ständig gegenwärtig. 

Wird mehrmals auftreten. Es ist zu erwarten, dass die Gefahr 

oft eintritt. 

Kann mehrmals auftreten. Es ist zu erwarten, dass die Gefahr 

mehrmals eintritt. 

Kann manchmal während des Lebenszyklus auftreten. Es 

ist sinnvoll, mit dem Auftreten der Gefahr zu rechnen. 

unwahrscheinlich Das Auftreten ist unwahrscheinlich, aber möglich. Es darf 

angenommen werden, dass diese Gefahr nur in Ausnahmefällen 

eintritt. 

unvorstellbar Das Auftreten ist extrem unwahrscheinlich. Es darf angenommen 

werden, dass diese Gefahr nicht eintritt. 

[E1] S. 17 


118


ZSA 

Schadensausmaß 

Kategorie 

katastrophal 

kritisch 

marginal 

unbedeutend 

Konsequenzen für Personen 

oder Umwelt 

Unfalltote und/oder zahlreiche 

Schwerverletzte und/oder 

schere Umweltschäden 

einzelne Unfalltote und/oder 

Schwerverletzte und/oder 

nennenswerte Umweltschäden 

kleinere Verletzungen 

und/oder nennenswerte bedrohung 

der Umwelt 

mögliche, geringfügige Verletzung 

Konsequenzen für die Betriebs- 

und Dienstleistung 

Verlust eines wichtigen Systems 

schwere Beschädigung 

des/der Systems/e 

geringfügige Beschädigung 

des Systems 

[E1] S. 17 


119


ZSA 

Risikostufen 

Kategorie 

intolerabel 

Anzuwendende Maßnahmen 

muss ausgeschlossen werden 

unerwünscht 

tolerabel 

darf nur akzeptiert werden, wenn eine Risikominderung 

praktisch nicht durchführbar ist und eine Zustimmung entweder 

des Bahnunternehmens oder der für die Sicherheit 

zuständigen Aufsichtsbehörde vorliegt 

akzeptierbar bei geeigneter Überwachung und mit der Zustimmung 

des Bahnunternehmens 

vernachlässigbar akzeptierbar mit/ohne weitere Zustimmung des Bahnunternehmens 

[E1] S. 18 


120


ZSA 

Beispiel: qualitative Risikobewertung 

Häufigkeit 

Risikostufen 

häufig unerwünscht intolerabel intolerabel intolerabel 

wahrschein- tolerabel unerwünscht intorelabel intolerabel 

lich 

gelegentlich tolerabel unerwünscht unerwünscht intolerabel 

selten 

unwahrscheinlich 

unvorstellbar 

vernachlässigbar 

tolerabel unerwünscht unerwünscht 

vernachlässigbasigbar 

vernachläs- 

tolerabel tolerabel 

vernachlässigbasigbasigbasigbar 

vernachläs- 

vernachläs- 

vernachläs- 

unbedeutend marginal kritisch katastrophal 


[E1] S. 19 


121


ZSA 

Beispiel: quantitative Risikoabschätzung 

1 Todesfall = 10 schwer Verletzte = 100 leicht verletzte 

[E1] S. 19 

unbedeutend 

Häufigkeit per hour Risikostufen 

häufig 1,0.10 -01 unerwünschraberabel 

intole- 

intole- 

wahrschein- 1,0.10 -02 tolerabel unerwünscht 

intorelabel 

lich 

gelegentlich 1,0.10 -03 tolerabel unerwünschwünscht 

uner- 

selten 1,0.10 -04 vernachlässigbawünscht 

tolerabel uner- 

unwahr- 1,0.10 -05 vernachlässigbalässigbar 

vernach- 

tolerabel 

scheinlich 

unvorstellbar 1,0.10 -06 vernachlässigbalässigbalässigbar 

vernach- 

vernach- 

1 leicht 1 schwer 1 

Verletzter Verletzter Todesfall 

intolerabel 

intolerabel 

intolerabel 

unerwünscht 

tolerabel 

vernachlässigbar 

> 10 

Todesfälle 

marginal kritisch katastrophal 



122


ZSA 

Risiko- und Gefährdungsanalyse 

– Risikoanalyse 

• Schritt 1: Systemdefinition 

• Schritt 2: Gefährdungsidentifikation 

• Schritt 3: Auswirkungsanalyse/Risikoabschätzung 

– System Design Analyse (Gefährdungsanalyse) 

• Schritt 4: (Ursachen-) Gefährdungsanalyse 

• Schritt 5: Zuordnung von Sicherheitsanforderungen (SIL) zu 

Subsystemen und Komponenten 


123


ZSA 

Übersicht der Methode 

Zulassungsbehörde 

[C1] S. 12 

Betreiber 

1 Systemdefinition, 

2 Gefährdungsidentifikation 

3 Auswirkungsanalyse/ 

Risikoabschätzung 

tolerierbare Gefährdungsraten THR 

4 (Ursachen-) 

Gefährdungsanalyse 

5 Zuordnung von 

Sicherheitsanforderungen (SIL) 

zu Subsystemen und Komponenten 

Hersteller 

Risikoanalyse 

System Design 

Analyse 


124


ZSA 

Schritt 1: Systemdefinition 

– Das System in Kurzform beschreiben 

• Systemkonzept 

• Systemfunktionen 

• System-Schnittstellen und -Grenzen 

• Performance 

• Umgebung 

• Betriebs- und Wartungsstrategie 

• Anwendungs-, Betriebs- und Wartungsbedingungen 

• RAMS-Ziele 


125


ZSA 

Fragen zum System 

– Wichtige Fragen zum System 

• Ist das System von der Umgebung klar abgegrenzt? 

• Sind alle Ein- und Ausgaben (Systemschnittstellen) definiert? 

• Ist die Systemstruktur festgelegt? 

• Ist die Aufgabe des Systems hinreichend definiert? 

• Sind alle Systemfunktionen festgelegt? 

• Sind alle Einsatzbedingungen und Betriebsarten bekannt? 

• Sind die möglichen Auswirkungen auf die Umwelt bekannt? 

• Sind Analysen, wie "was passiert, wenn ...", durchführbar? 


126


ZSA 

Schritt 2: Gefährdungsidentifikation 

– Identifikation bekannter Gefährdungen (empirisch) 

• Checkliste der Gefährdungsumstände 

• Strukturiertes Walkthrough 

• FMEA 

• Aktivitäten-Analyse für MMI 

– Identifikation neuer, unbekannter Gefährdungen (kreativ) 

• Strukturiertes "was passiert, wenn" 

• Brainstorming 

• HAZOP (Hazard and Operability Study) 

– Ergebnis 

• Liste der Gefährdungen H j , j = 1, 2, ... 


127


ZSA 

Schritt 3: Auswirkungsanalyse/Risikoabschätzung 

– Zwei Arten von Analysen: qualitativ und quantitativ 

– Qualitative Risikoanalyse 

• Ermittlung von Risiken in Kategorien 

Risiko 

• intolerabel 

• unerwünscht 

• tolerabel 

• vernachlässigbar 

– Quantitative Risikoanalyse 

• Abschätzung der Eingangsdaten (z.B. Gefährdungsdauer) 

• Berechnung von Risiken (z.B. Target Individual Risk TIR) 

• Berechnung von Gefährdungsraten (z.B. Tolerable Hazard Rate THR) 

[C1] S. 24 


128


ZSA 

Schritt 4: (Ursachen-) Gefährdungsanalyse 

– Ausgangssituation: Ergebnis der Risikoanalyse 

• Gefährdungen auf Systemebene 

• Gefährdungen H 1 , ..., H n , Gefährdungsraten THR 1 , ..., THR n 

– Fehlerbaumanalyse auf der Systemebene 

• Für jede Gefährdung auf der Systemebene Fehlerbaumanalyse 

durchführen und Ursachen auf der Teilsystemebene feststellen 

– FMEA auf der Komponentenebene 

• Für jedes Teilsystem FMEA durchführen Ursachen auf der 

Komponentenebene feststellen 

– Ergebnis 

• Ursachen für Gefährdungen auf der Ebene der 

• Teilsysteme 

• Komponenten 


129


ZSA 

Hierarchie von Gefährdungen 

Subsystem- 

Grenze 

Gefährdung auf 

Subsystem- 

Ebene 

Systemgrenze 

Unfall 1 

Gefährdung auf 

Systemebene 

Unfall 2 

Unfall k 

Ursache auf 

Subsystemebene 

Ursache auf 

Subsystemebene 

[C1] S. 22 

Ursache 

Auswirkung 


130


ZSA 

Schritt 5: Zuordnung v. Sicherheitsanforderungen 

– Grundregeln 

• Eine hohe SIL-Anforderung an das System kann durch Kombination 

von Komponenten niedriger SIL-Anforderungen erreicht werden 

• Bei der Kombination von Komponenten müssen SIL-Anforderungen 

für jedes Element bestimmt werden (Top-down-Verfahren). 

– Unabhängigkeit 

• Bei der Kombination von Komponenten muss durch Unabhängigkeit 

der Komponenten gewahrt werden 

• Physikalische 

• funktionale 

• Prozess-Unabhängigkeit 


131


ZSA 

Physikalische Unabhängigkeit 

– Merkmale 

• Voraussetzung für die Aufteilung von SIL auf Teilsysteme 

• Ausschließen von "Common Cause Failure (CCF)" 

• Voraussetzung für die Fehlererkennung und -Isolation 

• Basis für die Instandsetzungsstrategie 

– Nachweis der Unabhängigkeit 

• Durch CCF-Analyse (Common Cause Failure) 

– Beispiel 

• Zwei identische Komponenten mit MTBF = 10000 h 

• System: UND-Kombination der Komponenten 

• Mittlere Fehleroffenbarungszeit T = 1 h 

• Ausfallrate für das System 1,0·10 -8 /h 

• Für T = 1000 h ergibt sich die Ausfallrate zu 1,0·10 -5 /h 


132


ZSA 

Funktionale Unabhängigkeit 

– Merkmale 

• Voraussetzung für die Aufteilung von SIL auf Einzelfunktionen 


• Durch CCF-Analyse (Common Cause Failure) 

– Beispiel 

• Zwei Funktionen A und B werden unabhängig realisiert 

• Fehler der Funktion A hat keinen Einfluss auf die Funktion B 

A&B 

Gefährdung 

Fehler 

in A 

CCF 

CCF 

Fehler 

in B 

ODER 

A&B 

UND 

Fehler in A Fehler in B 

CCF 

[C1] S. 39 


133


ZSA 

Prozess-Unabhängigkeit 

– Merkmale 

• Voraussetzung zur Vermeidung systematischer Fehler 

• Festlegen unabhängiger Entwicklungsphasen (life cycle) 

• Anforderungen, Systementwurf, Implementierung, Test 

• Festlegen unabhängiger Organisationseinheiten 

• Validation, Qualitätssicherung 

• Festlegen unabhängiger Aktivitäten 

• Entwicklung, Prüfung (Review) 


• Durch Reviews und Audits 

– Beispiel unabhängiger Prozesse (Aktivitäten) 

• Team 1 Modul-Spezifikation und –Implementierung 

• Team 2 Modultest-Spezifikation und -Durchführung 


134


ZSA 

Unabhängigkeit nach EN50129 

SIL 0 

SIL 3-4 oder s.u. 

PM 

DI, VER, VAL 

GUT 

PM 

DI 

VER, VAL 

GUT 

SIL 1-2 

SIL 3-4 

DI 

PM 

VER, VAL 

GUT 

PM 

Di VER VAL 

GUT 

PM 

Di 

Ver 

Val 

GUT 

Projektmanager 

Designer/Implementierer 

Verifizierer 

Validierer 

Gutachter 

kann dieselbe 

Person sein 

kann dieselbe 

Organisation sein 


135


ZSA 

Gliederung 

§ 7 Zuverlässigkeits- und Sicherheitstechnik 

§ 8 Sicherungsmethoden 

§ 9 Berechnungsmethoden 

§ 10 Vereinfachungen 

§ 11 Zuverlässigkeit komplexer Systeme 

§ 12 Berechnung von Sicherheitskenngrößen 

§ 13 Softwarezuverlässigkeit 

§ 14 RAMS-Management 

§ 15 Sicherheitsnachweis (SN) 

§ 16 Abkürzungen, Literatur 


136


ZSA 


– Zuverlässiges jedoch nicht sicheres System 

• Ausfallwahrscheinlichkeit 

sehr niedrig 

• Ausfallauswirkung 

Unfall sehr wahrscheinlich 

• Beispiel: 1-von-2-Rechnersystem oder Stand-by 

– Sicheres jedoch nicht zuverlässiges System 



• Beispiel: 2-von-2-Rechnersystem 

sehr hoch 

keine Gefährdungen 

– Zuverlässiges und sicheres System 



• Beispiel: 2-von-3-Rechnersystem 

sehr niedrig 

keine Gefährdungen 


137


ZSA 

Methoden und Techniken 

– Zuverlässigkeitstechnik 

• Ausfallwahrscheinlichkeit reduzieren 

• bessere Komponenten (HW und SW) 

• bessere Systemstruktur (HW und SW) 

• bessere Redundanzstruktur (HW und SW) 

– Sicherheitstechnik 

• Gefährdungen ausschließen 

• Fehlerausschluss (HW und SW) 

• Fehlersicher (fail-safe) (echt fail-safe nur HW) 

• Fehlererkennung (HW und SW) und Überführung zur sicheren 

Seite 

– Zuverlässigkeits- und Sicherheitstechnik 

• Kombination der obigen Methoden und Techniken 

• Sicherheit nicht auf Kosten der Verfügbarkeit und umgekehrt 

• Hohe Sicherheit und Verfügbarkeit konzeptionell lösen 


138


ZSA 

Hardware- und Software-Strategien 

– Hardware-Strategien 

• Verbesserung des Materials 

• Verbesserung der Herstellungstechnologie 

• Verbesserung der Konstruktion/Gestaltung 

• Auswahl geeigneter Komponenten 

• Überdimensionierung, Unterlastung 

• Störfestigkeit, Schutz gegen Umwelteinflüsse 

• Verwendung von Selbsttestverfahren 

• Verwendung von Redundanz und Fehlertoleranz 

– Software-Strategien 

• Geeignete Methoden der Softwareentwicklung 

• Geeignete Tools zur Softwareentwicklung 

• Standardisierung der Softwareentwicklung (Lifecycle) 

• Wiederverwendung von Software 

• Wirksame Software-QS-Maßnahmen 


139


ZSA 

Zuverlässigkeitssteuerung 

– Baustein MOS-RAM (Intel) 

• Die Ausfallrate wurde in den 5 Jahren (1973 bis 1978) mehr als 20- 

fach reduziert 


140


ZSA 

Fail-safe-Technik 

– Echt fail-safe-Verfahren 

• Ohne einer Fehler- oder Ausfallerkennung 

• Durch konstruktiv festgelegte Ausfallrichtung und geeignete 

Zusammenschaltung der Komponenten wird ein 

sicherheitsgerichtetes Ausfallverhalten erreicht. 

• Beispiel 

• Ruhestromprinzip bei Relaischaltungen 

Ausfall Relaisgrundstellung Nullsignal sicherer Zustand 

– Quasi-fail-safe-Verfahren 

• Verwendung einer Fehler- oder Ausfallerkennung 

• Durch Fehler- oder Ausfallerkennung und anschließende 

Überführung in den sicheren Zustand 

• Beispiel 

• Zweikanalige Signalverarbeitung 

Ausfall Kanal 1 defekt Ausfallerkennung sicherer Zustand 


141


ZSA 

Sicherer Zustand 

– Sicherer Zustand (VDI/VDE 3542) 

• Zustand einer Betrachtungseinheit, bei dem das Risiko vertretbar 

gering ist. 

– Sichere Zustände des Betriebes 

• Bestimmungsgemäße Betriebszustände (Normaler Betrieb) 

• Betriebszustände, die als Folge von Störungen eingenommen werden 

(Reduzierte Leistung, verminderte Geschwindigkeit, Notbetrieb) 

• Abschalt-, oder Haltzustände, die als Folge von Störungen eintreten 

können (außer Betrieb) 

– Beispiele für sichere Zustände 

• Zugfahrt mit zulässiger Geschwindigkeit 

• Flugzeug im Fliegen und nach der Landung 

(Ausgenommen verbotene Situationen wie Halten im Tunnel) 


142


ZSA 

Redundanzmaßnahmen (Live–Mitschrieb) 

– Redundanz (DIN 40042) 

• Funktionsbereites Vorhandensein zusätzlicher technischer Mittel 

Redundanzfreies 

System 

Redundanz 

Redundantes 

System 

Aktive 

funktionsbeteiligte 

heiße 

statische 

Passive 

nicht funktionsbeteiligte 

kalte 

dynamische 

stand-by (kalte, heiße) 


143


ZSA 

Stand-by-Redundanz 

– Ablauf im Redundanzfall 

• Erkennung des Ausfalls 

• Lokalisierung der ausgefallenen Einheit 

• Aktivieren der redundanten Einheit 

• Aktualisieren der redundanten Einheit 

• Umschalten auf die redundante Einheit 

• Isolierung der ausgefallenen Einheit 

• Vollständige Funktionsübernahme 

– Probleme: Versagen eines der obigen Schritte 

• Ausfall nicht erkannt bzw. nicht oder falsch lokalisiert 

• Aktivieren/Aktualisieren nicht möglich oder fehlerhaft 

• Umschalten nicht möglich oder fehlerhaft 

• Isolieren nicht möglich oder fehlerhaft 

• Übernahme nur teilweise 


144


ZSA 

Redundanzarten 

– Ebenen der Redundanz 

• Bauelement-Redundanz 

• Modul-Redundanz 

• Teilsystem-Redundanz 

• Systemredundanz 

– Hardware/Software 

• Hardware-Redundanz 

• Software-Redundanz 

– Weitere Formen 

• Code-Redundanz 

• Zeit-Redundant 


145


ZSA 

Bauelement-Redundanz (1) 

– Prinzip 

• Mehrfacher Einsatz des gleichen Bauelements 

– Beispiel Relaiskontakt (1) 

• Ausfallarten 

• K0 Kontakt schließt nicht (offen) 

• K1 Kontakt öffnet nicht (geschlossen) 

• Redundante Lösungen 

• Serienschaltung 

Funktionsfähig nach Ausfall: K0: Nein, K1: Ja 

• Parallelschaltung 

Funktionsfähig nach Ausfall: K0: Ja, K1: Ja 


146


ZSA 


– Beispiel Relaiskontakt (2) 

• Redundante Lösungen 

• Serienparallelschaltung 


Funktionsfähig nach Doppelausfall: 

K0/K0: 8xJa, K1/K1: 4xJa, K0/K1: 12xJa 

• Parallelserienschaltung 


Funktionsfähig nach Doppelausfall:K0/K1: Ja 

K0/K0: 4xJa, K1/K1: 8xJa, K0/K1: 12xJa 


147


ZSA 


– Auswahl der redundanten Lösung 

Ausfallart 

Fall A 

λ 

Fall B 

λ 

Fall C 

λ 

Fall D 

λ 

Fall E 

λ 

K0 klein groß groß klein klein 

K1 groß klein groß klein Null 

Schaltung: (a), (d) (b), (c) alle 4 alle 4 (b), (c) 

– Fall C oder D 

• Alle Schaltungen (a) bis (d) sind nicht sinnvoll, da 2- oder 4-fach 

höhere Ausfallrate auftritt 

• Empfehlung: Durch konstruktive Maßnahmen auf die Fälle A, B oder E 

überführen. 

– Fall E 

• Dieser Fall ist bei sog. Signalrelais realisiert. 


148


ZSA 

Code-Redundanz 

– Parity-Bit-Verfahren 

• Summe aller Bits = ungerade Zahl (1, 3, usw.) 

– Beispiel 

• Parity-Bit für eine Oktalzahl (3 Bits) 

Wort Code Paritybit 

Summe 

der Bits 

H-Zahl 

zu 

Wort 0 

0 000 1 1 - 

1 001 0 1 2 

2 010 0 1 2 

3 011 1 3 2 

4 100 0 1 2 

5 101 1 3 2 

6 110 1 3 2 

7 111 0 3 4 


149


ZSA 

Hamming-Distanz 

– Ermittlung der Hamming-Distanz 

• Minimum der Bitzahl des Unterschiedes zwischen zwei beliebigen 

Worten 

– Erkennbare und korrigierbare Bits 

• Anzahl der erkennbaren m und der korrigierbaren fehlerhaften Bits n 

hängt von der Hamming-Distanz ab 

H 1 2 3 4 5 6 7 

m 0 1 2 3 4 5 6 

n 0 0 1 1 2 2 3 

m = H - 1 

n = Ganzzahl von m/2 (30) 


150


ZSA 

Redundanz der Signale (1) 

– Zweikanalige Signaldarstellung 

• Codierung der Signale 

Signal Code 

0 01 

1 10 

• UND-Verknüpfung einkanalig 

x 

y & z 

xy z 

00 0 

01 0 

10 0 

11 1 

• UND-Verknüpfung zweikanalig 

x 1 

x 2 z 

& 

1 

y 1 

z 2 

y 2 

x 1 x 2 y 1 y 2 z 1 z 2 

01 01 01 

01 10 01 

10 01 01 

10 10 10 


151


ZSA 

Redundanz der Signale (2) 

– Realisierung durch UND/ODER-Module 

Kanal 1 (UND) 

x 1 y 1 z 1 

0 0 0 

0 1 0 

1 0 0 

1 1 1 

Kanal 2 (ODER) 

x 2 y 2 z 2 

1 1 1 

1 0 1 

0 1 1 

0 0 0 

Schaltung 

x 1 

x & z 1 

2 

y 1 

y 

≥1 z 2 

2 


152


ZSA 

Erkennbarkeit der Fehler 

– Fehlererkennung (F0, F1 sind Fehler) 

• Durch Prüfung der Signale auf Antivalenz 

• Alle Eingangsfehler und Ausgangsfehler sind erkennbar 

fehlerfrei 

x 1 x 2 y 1 y 2 z 1 z 2 

Fehler 

x 1 x 2 y 1 y 2 z 1 z 2 

Erkennung 

Eing.-F 

Erkennung 

Ausg.-F 

01 01 01 F11 01 01 ja 

01 10 01 F11 10 F11 ja ja 

10 01 01 F00 01 01 ja 

10 10 10 F00 10 F00 ja ja 

01 01 01 0F0 01 01 ja 

01 10 01 0F0 10 0F0 ja ja 

10 01 01 1F1 01 01 ja 

10 10 10 1F1 10 1F1 ja ja 


153


ZSA 

Tripple Modular Redundancy (1) 

– Dreikanalige Realisierung 

• Einfacher 2-von3-Mehrheitsentscheid 

• Einfachfehler der Eingangssignale und der UND-Module werden 

erkannt 

• Fehler des Mehrheitsentscheids werden nicht erkannt 

u 1 

x u 1 u 2 u 3 z 1 =z 2 =z 3 

1 

& 

z 1 0 0 0 0 

0 0 1 0 

0 1 0 0 

x 2 

u 2 

& 

0 1 1 1 

M z2 

1 0 0 0 

1 0 1 1 

x 3 

& 

z 

u 3 

3 

y 1 y 2 y 3 

1 1 0 1 

1 1 1 1 


154


ZSA 

Tripple Modular Redundancy (2) 

– Dreikanalige Realisierung 

• Dreifacher 2-von3-Mehrheitsentscheid 

• Alle Einfachfehler (Eingänge, Module, Mehrheitsentscheid) 

werden erkannt 

x 1 

& M z 1 

y 1 y 2 y 3 

x 2 & M z 2 

x 3 

& M z 3 


155


ZSA 

Rechensysteme für kritische Anwendungen 

− Anforderungen 

• Anforderungen an Rechnersysteme für kritische Anwendungen 

können sehr unterschiedlich sein: 

• Hohe Sicherheit 

• Hohe Verfügbarkeit 

• Hohe Zuverlässigkeit 

• Lange Lebensdauer 

Anwendungen Anforderungen Beispiele 

Kommunikation, 

Vermittlung 

Hohe Verfügbarkeit 

Systemausfall 2 Std./40 

ESS (Bell) 

SSP (Siemens 

Jahre 

Prozesssteuerung Hohe Zuverlässigkeit, 

Echtzeit 

TELEPERM 

(Siemens) 

Schienenverkerhr Hohe Zuverlässigkeit TAS (Alcatel) 

SIMIS (Siemens) 

Flugverkehr Hohe Zuverlässigkeit FTMP (Draper 

Satellit 

Raumfahrt 

Ausfallrate < 10 -9 

Hohe Zuverlässigkeit, 

lange Lebensdauer 

SIFT (SRI) 

Voyager (Jet Prop. 

Lab.) 

FTSC (Raytheon) 


156


ZSA 

Einkanalige Systemstruktur 

nach IEC 61508 

Struktur 1001 

Eingangskreis 

Prozessor 

Ausgangskreis 

Struktur 1001D 

Eingangskreis 

Prozessor 

Ausgangskreis 

Diagnosekreis 


157


ZSA 

Zweikanalige Systemstruktur 

nach IEC 61508 

Struktur 2002D 

Eingangskreis 

Prozessor 

Ausgangskreis 

Diagnosekreis 

Eingangskreis 

Prozessor 

Ausgangskreis 

Diagnosekreis 


158


ZSA 

Zweikanalige HW/SW-Strukturen (1) 

− 2 identische Mikrorechner / 2 identische Anwendersoftware 

AS 

MC 

V1 

AS 

MC 

V2 

− 2 diversitäre Mikrorechner / 2 identische Anwendersoftware 

AS 

AS 

MC1 

MC2 

V1 

V2 

− 2 identische Mikrorechner / 2 diversitäre Anwendersoftware 

AS1 

MC 

V1 

[K5] S.46 

AS2 

MC 

V2 


159


ZSA 

Zweikanalige HW/SW-Strukturen (2) 

− 1 Mikrorechner / 2 diversitäre Anwendersoftware 

AS1 

SV1 

MC 

AS2 

SV2 

− 2 diversitäre Mikrorechner / 2 diversitäre Anwendersoftware 

AS1 

MC1 

V1 

AS2 

MC2 

V2 

[K5] S. 47 


160


ZSA 

Blockbild eines Satellitenrechners 

[F2] 



ZSA 

Redundanzstruktur des Satellitenrechners 

No. ABR. Functional Elements Redundance 

1 CPU CENTRAL PROCESSING UNIT SYSTEM 2a, 2sb 

2 CCU CONFIGURATION CONTROL UNIT TMR 

3 MM MEMORY MODULE 15a, 9sb 

4 SDU SERIAL DATA BUS SYSTEM 1 von 2a 

5 SIU SERIAL INTERFACE UNIT 1a, 1sb 

6 DIU DEVICE INTERFACE UNIT 1 von 2a 

7 DMA DIRECT MEMORY ACCESS 1a, 1sb 

8 TU TIMING UNIT 1a, 1 sb 

9 PU POWER UNIT 1a, 1sb 

10 CU CIRCUMVENTION UNIT TMR 

11 HT HARDENED TIMER TMR 

a active modules 

sb stand by modules 

TMR Tripple Modular Redundancy 


162


ZSA 

Blockbild eines sichereren Rechnersystems 

Prozess 

Rechnerkanal 1 Rechnerkanal 2 

Eingabeeinheit 

Rechnerkanalüberwachung 

Eingabeverteiler 

Eingabe 

Eingabeeinheit 

Kern 

Koordination und 

SW-Vergleich 

Eingabesynchronisation 

Verarbeitung 

Programm- und 

Datenspeicherung 

Versorgungsspannung 

Sichere Abschaltung 

und Überwachung 

Koordination und 

SW-Vergleich 

Eingabesynchronisation 

Rechnerkanalüberwachung 

Verarbeitung 

Programm- und 

Datenspeicherung 

Ausgabeeinheit 

Ausgabevergleicher 

Ausgabe 

Ausgabeeinheit 

Prozess 


163


ZSA 

Blockbild einer sicherheitsgerichteten SPS 

– HIMA 

[Z1] S. 51 


164


ZSA 

Redundanzstrukturen der sicheren SPS 

– Durchschnittliche Betriebsdauer der sicheren SPS (HIMA) 

EA: Ein- und Ausgabeeinheit, a: Jahr 

[Z1] S. 60 


165


ZSA 

Blockbild eines 2-von-3-Systems Leitsystems 

[L1] S. 295 


166


ZSA 

Zuverlässigkeitsmaßnahmen für Software 

– Zwei Kategorien von Maßnahmen 

• Vermeiden von Fehlern 

• Entdecken und Beheben/Tolerieren von Fehlern 

– Vermeiden von Fehlern 

• Höhere Programmiersprache 

• Strukturierte Programmierung 

• Top-down-Entwurf 

• Spezifikations- und Entwurfssysteme 

– Entdecken und Beheben/Tolerieren von Fehlern 

• Programmtest und Korrektur 

• Programmablaufüberwachung 

• Programmteilwiederholung 

• Diversitäre Programmierung 


167


ZSA 

Sicherheitsmaßnahmen für Software 

– Vermeiden von Fehlern 

• Höhere Programmiersprachen 

• Software-Entwicklungwerkzeuge 

• Software-Prüfung und -Qualitätssicherung 

– Echt-fail-safe-Verfahren 

• Bei Software nicht realisierbar, da auch unbekannte Fehler 

sicherheitsgerichtet wirken müssten 

– Quasi-fail-safe-Verfahren 

• Fehlererkennung durch 

• Programmablaufüberwachung 

• Rechnezeit-, Laufzeit-Überwachung 

• Plausibilitätsprüfungen 

• Software-Diversität 

und anschließender sicherheitsgerichteter Maßnahmen. 


168


ZSA 

Gliederung 












169


ZSA 


− Ereignisfolge bis zum 

Unfall und Schaden 

Fehler 

Entwurf und Aufbau 

− Fehler und Ausfall: 

Alle möglichen Fehler- und 

Ausfallarten sind zu betrachten. 

P FV 

Ausfall 

P AV 

Versagen 

P VG 

Betrieb 

Gefahr 

− Übergangswahrscheinlichkeiten: 

Die Übergangswahrscheinlichkeiten 

P FV , P AV , P VG hängen mit den 

Sicherheitsanforderungen zusammen. 

Dabei sind auch Kombinationen von 

Fehlern und Ausfällen zu betrachten. 

P GU 

Unfall 

P US 

Schaden 


170


ZSA 

Sicherungsmethoden gegen Gefahr 

– Fehlerausschluß 

• Normung der Entwicklungsvorgänge 

• Normung der Dokumentationsverfahren und 

–darstellungen 

• Normung der Softwareentwicklung 

• Anwendung von ProgrammierstandardsBeispiel 

– Fehlerabwehr 

• Vermeidung unvollständiger Beschreibung 

des Systems 

• Vermeidung der Durchführung mehrerer Schritte zugleich 

• Zerlegung komplexer Vorgänge in einfache Schritte 

• Nutzung der Rechnerunterstützung in allen Vorgängen 

– Fehlererkennung 

• Anwendung nachvollziehbarer Überprüfungen 

• Anwendung unabhängiger Prüfinstanzen 

• Anwendung rechnergestützter 

Test- und Analyseverfahren 


mögliche 

Fehler 

Fehlerausschluß 

Fehlerabwehr 

Fehlererkennung 

Versagen 

171


ZSA 

Sicherungsmethoden gegen Ausfälle 

– Ausfallausschluß 

(Der beste Ausfall ist der, der gar nicht auftreten kann.) 

• Anwendung unverlierbarer Eigenschaften 

in der Konstruktion der Bauteile 

• "worst-case"-Überdimensionierung 

– Begrenzung der Ausfallwahrscheinlichkeit 

• Anwendung verläßlicher Eigenschaften 

in der Konstruktion der Bauteile 

• Überdimensionierung 

• Konstruktive Verbesserung der Komponenten 

aufgrund von Erfahrungen 

• Einführung neuer Technologien 

– Ausfallerkennung 

• Anwendung selbstmeldender Ausfallzustände 

• Anwendung von Selbsttests 

• Anwendung verschiedener Prüfverfahren 

mögliche 

Fehler 

Ausfallausschluß 

Begrenzung 

der 

AW 

Ausfallerkennung 

Versagen 


172


ZSA 

Sicherungsmethoden gegen Gefahr 

– Gefahrenausschluss 

• Überführung des Systems in den 

sicheren Zustand durch eine Funktion 

mit unverlierbaren Eigenschaften 

• Direkter Gefahrenausschluss: 

• einkanalige Fail-safe-Technik 

• Indirekter Gefahrenausschluss: 

• einkanalig mit Fail-safe-Überwachung 

• zweikanalig mit Fail-safe-Vergleicher 

– Begrenzung der Gefährdungswahrscheinlichkeit 

• Überführung des Systems in den 

sicheren Zustand durch eine Funktion 

mit sehr geringer Wahrscheinlichkeit eines 

Versagens 

• Parallel redundante Systemstrukturen 

• 2v2-Systeme mit Vergleicher 

• nvn- oder mvn-Systeme mit Mehrheitsentscheid 


mögliches 

Versagen 

Gefahrenausschluss 

Begrenzung 

der GW 

Gefahr 

173


ZSA 

Sicherungsmethoden gegen Schaden 

– Aktive Sicherheit 

Der bisher behandelte Komplex der Methoden gegen 

Fehler, Ausfälle und Gefahren bezeichnet man auch 

als den Bereich der aktiven Sicherheit. 

Zusätzlich zu obigen Maßnahmen sind weitere 

Komponenten der aktiven Sicherheit denkbar. 

• Erkennen der Gefahrensituation durch das 

Personal (Fahrer, Fahrdienstleiter) und 

Eingreifen in die Prozeßsteuerung, 

um einen Unfall völlig zu vermeiden. 

– Passive Sicherheit 

Sicherungsmaßnahmen zur Begrenzung des 

Schadensausmaßes 

• Automatisches Erkennen der Gefahrensituation und 

Einleiten von Schadensbegrenzenden Maßnahmen 

(z.B. Kollision + Airbag, Radbruch + Halt) 

mögliche 

Unfälle 

Begrenzung 

des 

Schadensausmaßes 

Schaden 


174


ZSA 

Anwendung der Sicherungsmethoden 

– Aufteilung passive/aktive Sicherheit 

• mehr passive Sicherheit bei niedrigem Grad der Automatisierung 

• mehr aktive Sicherheit bei hohem Grad der Automatisierung 

– Spezifische Aufteilung der Sicherungsmethoden 

• Um hohe Sicherheitsanforderungen (SIL) wirtschaftlich zu erfüllen, ist 

eine optimale Aufteilung aller Sicherungsmethoden notwendig. 

• Eine einfache Methode dafür gibt es nicht. Erfahrungen in allen 

Bereichen der Sicherungsmethoden sind erforderlich. 

• Die MMI-Schnittstelle soll nicht nur die fehlerfreie Funktion, sondern 

auch Ausnahmesituationen unterstützen 

• Bei der Aufteilung von Sicherungsmethoden ist ein zyklisches 

Vorgehen unerläßlich. 

• Das Gesamtergebnis aller Sicherungsmaßnahmen muss während des 

Entwicklungsprozesses mehrfach überprüft werden. 


175


ZSA 

Gliederung 












176


ZSA 


– Übersicht der Methoden 

• Zuverlässigkeitsblockdiagramm 

(Zuverlässigkeitsblockbild, Zuverlässigkeitsnetzwerk) 

• Boolesches Zuverlässigkeitsmodell 

• Verfahren der Verbindungen und Trennungen 

(Pfade und Schnitte) 

• Fehlerbaumanalyse 

• Markov Modell 

• Bayessche Methode 


177


ZSA 

Zuverlässigkeitsblockdiagramm 

– Zuverlässigkeitsblockdiagramm 

(Reliability Block Diagram RBD) 

• Graphische Darstellung für das Ausfallverhalten eines Systems 

– Graphische Symbole 

• Eingangsknoten, Ausgangsknoten 

• Komponente, Systeme 

E A 

K 

• Pfade 


178


ZSA 

Graphische Darstellung 

− Komponenten 

− Systeme 

E K A 

S 

E A 

E Eingangsknoten 

A Ausgangsknoten 

K Komponente 

S System 

− Interpretation durch Kontaktfunktion: 

Der Weg von E nach A ist… 

K 

verbunden: K, S sind in Ordnung E A 

K 

unterbrochen: K, S sind ausgefallen E A 


179


ZSA 

Serienanordnung (s) (1) 

– Eigenschaft 

Die einzige nicht redundante Anordnung 


K 1 

K 2 

E … 

K n 

A 

– Ausfallverhalten 

Alle Komponenten in Ordnung → System in Ordnung 

Mindestens eine K i ausgefallen → System ausgefallen 

– Überlebenswahrscheinlichkeit 

R 

( s) 

n 

( t) 

= R ( t) 

(31) 

∏ 

i= 

1 

i 


180


ZSA 

Serienanordnung (s) (2) 

– Ausfallrate 

λ 

( s) 

= 

n 

∑ 

i= 

1 

λ 

i 

R 

( s) 

( t) 

= 

e 

−( 

λ + λ + 

+ λ 

1 2 L n ) 

⋅t 

= 

e 

−λ 

( s ) 

⋅t 

(32) 

– Mittlere Lebensdauer 

MTTF 

n 

−1 

n 

( s) 

1 ⎛ ⎞ ⎛ 

= = ⎜ ⎟ = ⎜ 

( ) ∑λ 

s 

i ∑ 

λ i= 

1 

i= 

1 

⎝ 

⎠ 

⎝ 

MTTF 

−1 

i 

⎞ 

⎟ 

⎠ 

−1 

(33) 

– Für identische Ausfallraten: 

R 

R 

1 

−λ0t 

( t) = L = R ( t) = R ( t) = e , 

n 

( s ) 

() t R n 

= 

0 

( t ), 

0 

( s ) 

λi = λ 0 

λ = nλ 0 

, 

MTTF 

0 

= 

1 

λ 

( ) MTTF 

MTTF s 0 

= 

n 

0 

(34) 

(35) 


181


ZSA 

Parallelanordnung (p) (1) 


• Funktionsfähig bis zum Ausfall 

der letzten Komponente 


K 1 

K 2 

E 

... 

A 


K n 

• Mindestens eine K i in Ordnung → System in Ordnung 

• Alle Komponenten ausgefallen → System ausgefallen 


R 

( p) 

n 

∏( 1− 

Ri 

( t) 

) 

( t) 

= 1− 

(36) 

i= 

1 


182


ZSA 



λ 

( p ) 

( t) ≠ konstant 


Nach der allgemeinen Formel: 

(37) 

∞ 

( p) ∫ 

( p 

MTTF = R ) 

() t dt 

(38) 

0 

∞ 

∞ 

( p) ∫ 

( p 

MTTF = R ) 

() t dt = ∫ [ 1− 

( 1− 

R )( − ) ] 

1( 

t) 

1 R2 

( t) 

dt (39) 

0 

0 

∞ 

( ) 1 1 1 

MTTF p ( R + R − R R ) dt = + − 

(40) 

Für zwei Komponenten mit konstanten λ 1 und λ 2 

= ∫ 

0 

1 

2 

1 

2 

λ λ λ + λ 

1 

2 

1 

2 


183


ZSA 


– Für identische Ausfallraten λ i 

= λ 0 : 

R 

−λ0t 

( t) = L = R ( t) = R ( t) = e , 

MTTF 

1 

n 0 

0 

(41) 

λ0 

( p) 

R ( t) 

= 1− 

( 1− 

R ( t) 

) n 

(42) 

0 

n 

( p) MTTF = MTTF0 ∑( 1/ 

i) 

(43) 

i= 

1 

– Für zwei identische Komponenten 

( ) 

2 

R p ( t) 

= 2 R0 

( t) 

− R0 

( t) 

(44) 

( ) 

1 3 

MTTF p ⎛ ⎞ 

= MTTF 1 + = MTTF 

(45) 

0 

⎜ 

⎝ 

⎟ 

2 ⎠ 

2 

0 

= 

1 


184


ZSA 

Parallel-Serienanordnung (ps) (1) 


• Funktionsfähig bis zum Ausfall der letzten Serienanordnung 


K 11 K 12 K 1n 

E 

K 21 K 22 K 2n 

A 

K m1 K m2 K mn 


• Mindestens eine Serienanordnung in Ordnung → System in Ordnung 

• Alle Serienanordnungen ausgefallen → System ausgefallen 


185


ZSA 



Für die i-te Serienanordnung: 

R 

( s) 

i 

( t) 

= 

n 

∏ 

j= 

1 

R 

ij 

( t) 

Für die parallele Anordnung dieser Serienanordnungen (ps): 

R 

( ps) 

( t) 

∏ 

m 

= 1 − 

⎛ 

⎜ 

1 − 

⎝ 

∏ 

i= 1 j= 

1 

⎞ 

( t) 

⎟ 

⎠ 


Die Ausfallrate der i-ten Serienanordnung: 

λ 

( s) 

i 

= 

n 

∑ 

j= 

1 

λ 

ij 

n 

R 

ij 

Die Ausfallrate der Parallel-Serienanordnung (ps) ist im allgemeinen nicht 

konstant. 

(46) 

(47) 

(48) 


186


ZSA 



Nach der allgemeinen Formel für n=2 und konstante Ausfallraten: 

MTTF 

( ps ) 

= 

1 1 1 

+ − 

λ λ λ + λ 

( s) ( s) ( s) ( s) 

1 

2 

1 

2 

(49) 

λ 

ij 

= λ 0 

– Für identische Ausfallraten : 

R 

ij 

−λ0t 

( t) = R ( t) = e , 

MTTF 

0 

MTTF 

n 

∑ 

( ps ) 0 

= ( 1/ 

j) 

m 

j= 

1 

MTTF 

0 

= 

1 

λ 

0 

(50) 

(51) 

( 

n 

1− 

R ( t ) m 

( ps) 

R ( t) 

= 1− 

0 

) 

(52) 


187


ZSA 

Serien-Parallelanordnung (sp) (1) 


• Mehr Verbindungen von E nach A als bei (ps) 


K 11 

K 12 

K 1n 

E 

K 21 

K 22 

K 2n 

A 

K m1 

K m2 

K mn 


• Alle Parallelanordnungen in Ordnung → System in Ordnung 

• Mindestens eine Parallelanordnungen ausgefallen → S ausgefallen 


188


ZSA 



Für die j-te Parallelanordnung: 

R 

m 

( p) = −∏( − ) 

j 

( t) 

1 1 Rij 

( t) 

i= 

1 

(53) 

Für die serielle Anordnung dieser Parallelanordnungen (sp): 

R 

n 

⎡ 

( sp) ( t) 

= ∏ ∏( ) 

⎢1 

− 1− 

Rij 

( t) 

⎣ 

m 

j= 1 i= 

1 

⎤ 

⎥ 

⎦ 

(54) 


Die Ausfallrate der Serien-Parallelanordnung (sp) ist im allgemeinen nicht 

konstant. 


189


ZSA 



Nach der allgemeinen Formel: 

∞ 

( sp) ( sp 

MTTF = ) 

∫ R () t dt 

(55) 

0 

λ 

ij 

= λ 0 

−λ0t 

1 

Rij 

( t) = R0 

( t) = e , MTTF0 

= 

(56) 

λ0 

∞ 

( ) 

= ∫ [ 1− 

( 1− 

) ] 

sp 

m n 

MTTF 

R0 

dt 

(57) 

0 

∞ 

( ) 

= ∫ [ − ( − ) ] 

2 2 

MTTF sp 1 1 R0 

dt 

(58) 

0 

– Für identische Ausfallraten : 

– Für zwei identische Komponenten: 


190


ZSA 

k-von-n-Anordnung (1) 


• Wird auch als partielle Redundanz bezeichnet. 

• Kombinationen von Komponenten werden betrachtet. 

– Zuverlässigkeitsblockdiagramm: Beispiel 2-von-3-Redundanz (2oo3) 

K 1 K 2 

E K 2 K 3 A 

K 1 

K 3 


• Mindestens k Komponenten in Ordnung → System in Ordnung 

• Mindestens n-k+1 Komponenten ausgefallen → System ausgefallen 


191


ZSA 



• Für 2-von-3-Anordnung (k= 2, n=3) 

( 2 3 ) 

() t = R1 

( t) R2 

( t) R3 

( t) 

+ 

R1 

() t R2 

() t Q3() 

t 

R1 

() t Q2() t R3 

() t 

Q () t R () t R () t 

R v 1 2 3 

( 2 3 ) 

() t = R1 

( t) R2 

( t) + R1 

( t) R3 

( t) 

+ 

R () t R () t − 2R 

() t R () t R () t 

R v 2 3 

1 2 3 

+ 

+ 

(59) 

• Für k-von-n-Anordnung 

• Nach der obigen Systematik der Kombination von R und Q 

• Anzahl der R in jedem Produkt: k bis n 

• Anzahl der Q in jedem Produkt: 0 bis n-k 


192


ZSA 

k-von-n-Anordnung /Forts. 


Die Ausfallrate der k-von-n-Anordnung ist im allgemeinen nicht konstant 


Nach der allgemeinen Formel 

– Für identische Ausfallraten 

• Für 2v3-Anordnung 

R 

−λ0t 

() t = L = R ( t) = R ( t) = e , 

MTTF 

1 

n 0 

0 

(60) 

λ0 

( 2 

R v 3 ) 2 

() t = 3R 

( t) R 

3 0 

− 2 

0 

( t) 

(61) 

∞ 

( 2 3) ∫ ( 

2 

3 

MTTF v = 3R 

() − ()) 0 

t 2R0 

t dt = MTTF0 

( 1/ 2 + 1/ 3) 

(62) 

0 

= 

1 



ZSA 


– Für k-von-n-Anordnung 

R 

n 

( ) 

( kvn ) n i 

() t () R () t − R () t 

MTTF 

= ∑ 0 

1 

0 

i= 

k 

i 

∑ 

( kvn) = MTTF ( 1 i) 

n 

0 

/ 

i= 

1 

n−i 

(63) 

(64) 


194


ZSA 

Vergleich der Anordnungen 

– Redundanzarten 

• Redundanzfrei nvn-Anordnung 

• Parallelredundanz 1vn-Anordnung 

• kvn-Redundanz kvn-Anordnung 

• Für identische Ausfallraten und n=3, k=2 

R 

R 

R 

( s ) ( 3v3) 3 

= 

R 

= 

R 

( p ) ( 1v3) 2 3 

= 

R 

0 

= 3R 

− 3R 

+ R 

( kvn ) ( 2v3) 2 3 

MTTF 

MTTF 

MTTF 

= 

R 

0 

0 

0 

= 3R 

− 2R 

0 

0 

( s ) ( 3v3) = MTTF = MTTF ( / 3) = MTTF ( 2 / 6) 

0 

1 

0 

( p ) ( 1v3) = MTTF = MTTF ( + 1/ 2 + 1/ 3) = MTTF ( 11/ 6) 

0 

1 

0 

( kvn ) ( 2v3) = MTTF = MTTF ( / 2 + 1/ 3) = MTTF ( 5 / 6) 

0 

1 

0 


195


ZSA 

Graphische Darstellung des Vergleichs 

– MTTF für (kvn) von (1v1) bis (3v3) 

n 

3 

2 

1 

MTTF 0 /3 

MTTF 0 /2 

MTTF 0 

(3v3) (2v2) (1v1) 

(2v3) 

t 

MTTF (kvn) 

(1v2) 

(1v3) 


196


ZSA 

Boolesches Zuverlässigkeitsmodell 

– Beschreibung des Systems 

• System S 

• S besteht aus Komponenten: K i , i=1, ... N 

• Jede Komponente K i kann folgende Zustände annehmen 

z i = 

• Systemfunktion 

ϕ = ϕ 

0 für K i ausgefallen 

1 für K i in Ordnung 

ϕ 

( z , z , , ) 

2 

1 

L 

z n 

ϕ = 

0 für S ausgefallen 

1 für S in Ordnung 


197


ZSA 

Systemfunktion 

– Auswirkung von Komponentenausfällen 

• Für reale Systeme: 

Keine Auswirkung oder Systemausfall (Degradation) 

• In realen Systemen nicht möglich: 

Übergang von System ausgefallen → System in Ordnung 

– Monotone nicht abnehmende Systemfunktion (isotone) 

Für zwei beliebige Zustände z i und z' i , die den folgenden Zusammenhang 

erfüllen: 

' 

zi < zi 

, i = 1,2,..., 

N 

gilt für deren Systemfunktionen: 

(65) 

ϕ 

( z Lz 

, L, 

z ) ≤ ϕ ( z , Lz' 

, , z ) 

1, i n 1 i 

L 

n 

(66) 


198


ZSA 

Formen der Systemfunktion 

– Zwei Formen der Systemfunktion 

• Disjunktive Normalform ϕ (D) 

• Linearform ϕ (L) 

– Beispiel für disjunktive Normalform ϕ (D) (1) 

• Ein System besteht aus zwei Komponenten 

• Die Zustände werden bezeichnet mit z 1 und z 2 

• Die Zustände können zwei Werte annehmen j 1 , j 2 = 0 oder 1 

Systemzustand Systemfunktion Beschreibungsform 

j 1, j 2 ϕ( j 1, j 2 ) 

2 

ji 

1− 

j 

∏ z 

i 

i 

(1 − zi) 

i= 

1 

0, 0 0 (1-z 1 ) . (1-z 2 ) 

0, 1 1 (1-z 1 ) . z 2 

1, 0 1 z 1 . (1-z 2 ) 

1, 1 1 z 1 . z 2 


199


ZSA 

Disjunktive Normalform 

– Beispiel für disjunktive Normalform ϕ (D) (2) 

• Die Beschreibungsform: 

Für jeden Zustandswert j i den Ausdruck 

j 

z i 

(1 − zi 

) 

1− 

i j i 

in die Formel einsetzen, d.h. 

für i=1, j 1 = 0 den Ausdruck (1-z 1 ) 

für i=1, j 1 = 1 den Ausdruck z 1 

– Disjunktive Normalform für zwei Komponenten 

ϕ 

( D) 

( z 

1 

, z 

2 

∑∑ 

j 

1 

1 

) = ϕ( 

j1, 

j2). 

∏ z 

= 0 j = 0 

1 2 

2 

i= 

1 

j 

i 

(1 − 

z 

i j i 

i 

) 

1− 

(67) 

ϕ 

( D) 

= 

( 1− 

z ) z + z (1 − z ) + z z 

1 

2 

1 

2 

1 

2 

(68) 


200


ZSA 

Linearform 

– Disjunktive Normalform für n Komponenten 

ϕ 

( D) 

( z 

1 

Lz 

n 

) 

1 1 

n 

= ∑L∑ϕ( 

j j ∏ 

1L 

n). 

j = 0 j = 0 

i= 

1 

1 

n 

z 

j 

i 

i 

(1 − 

z 

i 

) 

1− 

j 

i 

(69) 

– Linearform für System mit zwei Komponenten 

ϕ 

( D) 

= 

( 1− 

z ) z + z (1 − z ) + z z 

1 

2 

1 

2 

1 

2 

ϕ 

( D) 

= 

z 

1 

+ 

z 

2 

− 

z 

1 

z 

2 

(70) 

ϕ 

( D) 

2 

= ∑ aiz 

i 

i= 

1 

+ 

a 

12 

z 

1 

z 

2 

a1 

= a2 

= 1, 

a12 

= −1 

(71) 


201


ZSA 

Berechnung der Koeffizienten 

– Linearform für System mit n Komponenten 

ϕ 

( L) 

n 

n−1 

n 

1Lzn) 

= a0 

+ ∑ aizi 

+ ∑∑aij 

ziz 

j 

+ L a12.. 

nz1z2 

i= 

1 i= 1 j= 

i+ 

1 

( z 

+ 

– Berechnung der Koeffizienten (1) 

• Berechnung von a 0 

Für z i = 0, i=1, 2, ... n gilt: 

L 

ϕ ( z = a 

1 

Lzn 

) 

0 

Lz 

n 

(72) 

• Berechnung von a i 

Für z i = 1, und alle z j = 0, i,j=1, 2, ... n , j≠i gilt: 

ϕ 

( L) 

( z Lz 

) a + a 

1 

n 

= 0 

• Berechnung von a ij 

Für z i = 1, z j = 1, und alle z k = 0, i,j=1, 2, ... n , i


ZSA 

Überlebenswahrscheinlichkeit 

– Berechnung der Koeffizienten (2) 

• Berechnung fortsetzen bis a 12...n 

Für z i = 1, i=1, 2, ... n gilt: 


Die Zustandsvariablen z i werden durch die 

Überlebenswahrscheinlichkeiten R i (t) ersetzt 

oder 

ϕ 

( L) 

( L) 

R( t) 

= ϕ 

1 

( z 

+ 

( D) 

R( t) 

ϕ 

1 

1Lzn) 

= a0 

+ ai 

+ a 

j 

aij 

La12 

Ln 

( R ( t) 

LR 

( t) 

) 

= (73) 

( R ( t) 

LR 

( t) 

) 

n 

n 

Die Berechnung gilt nur für die beiden Formen (disjunktive 

Normalform und Linearform). 

(74) 


203


ZSA 

Mittlere Lebensdauer 


Für konstante Ausfallraten: 

MTTF 

∞ 

∫ 

o 

MTTF 

∞ 

∞ 

( L) 

= ∫ = ∫ 

L 

R( t) 

dt ϕ ( R ) 

1( 

t) 

LRn 

( t) 

dt = 

0 

0 

∞ n 

∞ n−1 

n 

∞ 

∫∑a ∫∑∑ ∫ 

iRi 

dt + aiRi 

dt + L+ 

a12.. 

n 

0 i= 

1 

0 i= 1 j= 

i+ 

1 

0 

n 

n−1 

n 

( L) 

= ∑ 

−1 

+ ∑∑ ( + ) 

−1 

aiλi 

aij 

λi 

λ 

j 

+ 

i= 

1 

i= 1 j= 

1+ 

1 

n−2 

n−1 

n 

∑∑∑ ( + + ) 

−1 

aijk 

λi 

λ 

j 

λk 

+ 

i= 

1 j= i+ 

1k= 

j+ 

1 

( ) 

− 

+ L+ 

a 

1 

12 L n 

λ1 

+ λ2 

+ L+ 

λn 

a0dt 

+ 

R1 

R2 

LR 

dt 


n 

(75) 

204


ZSA 

Identische Ausfallraten 

– Für identische Ausfallraten 

MTTF 

( L) 

n 

n−1 

n 

MTTF 

= ∑ 

0 

MTTF + ∑∑ 

0 

ai 

a 

2 

i= 

1 

i= 1 j= 

1+ 

1 

ij 

+ 

MTTF 

3 

0 

n−2 

i= 

1 

n−1 

n 

∑∑∑ 

j= i+ 

1k 

= j+ 

1 

a 

ijk 

+ 

MTTF 

n 

0 

L+ 

a12L 

n 

(76) 


205


ZSA 

Verbindungen und Trennungen 


• Komponenten einer Verbindung von E nach A sind in Ordnung → 

System ist in Ordnung 

• E ist von A durch defekte Komponenten getrennt → System ist 

ausgefallen 

– Beispiel: System mit zwei Komponenten 

E 

K 1 K 2 

A 

Trennung 

Verbindung 

• Verbindung: V = {K 1 , K 2 } 

• Trennungen: T 1 = {K 1 }, T 2 = {K 2 } 


206


ZSA 

Verbindung und Trennung als Teilmengen 

– System S 

Das System S ist durch die Menge aller Komponenten definiert: 

M = {K 1 , K 2 , ..., K n } 

– Verbindung V ⊆ M 

Verbindung V ist eine Teilmenge von M falls gilt: 

alle K i ∈ V intakt und alle K i ∉ V defekt → System in Ordnung 

– Trennung T ⊆ M 

Trennung T ist eine Teilmenge von M falls gilt: 

alle K i ∈ T defekt und alle K i ∉ T intakt → System ist ausgefallen 


207


ZSA 

Minimale Verbindung und Trennung 

– Minimale Verbindung 

Eine Verbindung V' ist minimal, falls keine echte Teilmenge 

von V existiert, die ebenfalls eine Verbindung ist, d.h. keine echte 

Teilmenge X ⊂ V' kann eine Verbindung sein. 

– Minimale Trennung 

Eine Trennung T' ist minimal, falls keine echte Teilmenge 

von T existiert, die ebenfalls eine Trennung ist, d.h. keine echte Teilmenge 

X ⊂ T' kann eine Trennung sein. 


208


ZSA 

Systemfunktion aus Verbindungen 

– Systemfunktion auf der Basis minimaler Verbindungen 

• Teilsystemfunktion 

• Alle minimalen Verbindungen des Systems V 1 , ... V m 

• Jede V i stellt eine Serienanordnung mit folgender 

Teilsystemfunktion dar: 

ϕ 

V 

j 

= ∏ 

K ∈V 

i 

j 

z 

i 

, j = 1Lm 

(77) 


• Die Systemfunktion erhält man durch die Parallelanordnung der 

obigen Serienanordnungen 

ϕ 

⎛ 

− 

m 

∏ ( ) 

m 

= 1 − 1 − ϕ = − ∏⎜ 

∏ ⎟ V 

1 1 z 

j 

i 

j= 1 

j= 1 

⎝ 

Ki∈Vj 

⎠ 

⎞ 

(78) 


209


ZSA 

Systemfunktion aus Trennungen 

– Systemfunktion auf der Basis minimaler Trennungen 

• Teilsystemfunktion 

• Alle minimalen Trennungen des Systems T 1 , ... T n 

• Jede T i stellt eine Parallelanordnung mit folgender 

Teilsystemfunktion dar: 

ϕ 

T 

i 

K 

j 

∈T 

i 

( 1− 

z ), 

i 1Ln 

= 1 − ∏ j 

= 

(79) 


• Die Systemfunktion erhält man durch die Serienanordnung der 

obigen Parallelanordnungen 

ϕ = 

n 

∏ 

i= 

1 

ϕ 

T 

i 

= 

⎛ 

n 

∏⎜1− 

∏( 1− 

z 

j 

) 

⎜ 

⎝ 

i= 1 K ∈T 

j 

i 

⎞ 

⎟ 

⎠ 

(80) 


210


ZSA 

Minimale Verbindungen 

– Ermittlung minimaler Verbindungen 

• Erstellen eines Baumdiagramms der elementaren Verbindungen 

• Im Eingangsknoten E beginnen 

• Alle Zweige bis zum nächsten Knoten auflisten 

• Von jedem Knoten alle Zweige erneut bis zum Ausgangsknoten A 

auflisten 

• Eine Verbindung erhält man, wenn Zweige von E nach A genommen 

werden 

• Minimale Verbindung erhält man, wenn in jeder Verbindung 

mindestens ein Zweig unterschiedlich ist. 


211


ZSA 

Minimale Trennungen 

– Ermittlung Minimale Trennungen 

• Eine Trennung erhält man, wenn aus jeder minimalen 

Verbindung mindestens ein Zweig (Komponente) 

genommen wird 

• Minimale Trennung erhält man, wenn in jeder Trennung 

keine Komponente weggelassen werden kann, die auch 

eine Trennung ist 


212


ZSA 

Ermittlung der linearen Systemfunktion 

– Umrechnung 

• Die aufgrund der Verbindungen und Trennungen erhaltene 

Funktionen werden in eine Linearform überführt 

• Umrechnungsregeln: 

• Alle Klammern entfernen 

• Zustandsvariablen mit Exponenten > 1 durch einfache Variablen 

ohne Exponent ersetzen, d.h. 

z → z 

(81) 

n 

i 

i 

• Erklärung der Regel: 

Der Boolesche Wert ist 0 oder 1. Der Exponent hat keinen 

Einfluss auf diesen Wert. 


213


ZSA 

Fehlerbaumanalyse 

– Fehlerbaum 

• Graphische Darstellung des Zusammenhangs zwischen 

• Top-Ereignis (z.B. Systemausfall, Gefährdung) und 

• Ursachen (Komponentenausfälle, Störungen) 

– Fehlerbaumanalyse 

• Top-down: 

Für ein bestimmtes Top-Ereignis die möglichen Ursachen 

(Komponentenausfälle) ermitteln 

• Bottom up: 

Zu bekannten Primärereignissen (Komponentenausfälle) das Top- 

Ereignis bestimmen 


214


ZSA 

Top-down-Vorgehen 

– Die wichtigsten Schritte beim Top-down-Vorgehen 

• Festlegung des Top-Ereignisses (Systemausfall als 

Ausgangsereignis) 

• Ermittlung der Ursachen (Teilsystemausfall als Eingangsereignis) 

• Festlegung der Verknüpfungen der Eingangsereignisse zum 

Ausgangsereignis 

• Darstellung der Verknüpfungen in Form eines Fehlerbaums 

• Festlegung der Wahrscheinlichkeiten für jedes Eingangsereignis 

• Berechnung der Wahrscheinlichkeit des TOP-Ereignisses 


215


ZSA 

Symbole 

– Ereignisse 

Top-Ereignis und 

Zwischenereignisse 

Basis-Ereignis 

bzw.Primärereignis 

Ereignis nicht 

näher betrachtet 

– Verknüpfungen 

& 

≤1 

UND 

ODER 


216


ZSA 

Analyse und Graphische Darstellung 

– Analyse 

• Ermittlung der Primärereignisse (Komponenten-Fehler, Ausfall) und 

deren Verknüpfungen zu Ausgangsereignissen bis zum Top-Ereignis 

(Systemausfall) 

A 

Ausgangsereignis (Top-Ereignis) 

Verknüpfung 

UND, ODER 

Primärereignisse (Ursachen) 

E 1 E 2 E n 


217


ZSA 

Wahrscheinlichkeit der Ereignisse 

– Berechnungsformel 

• Voraussetzung: 

Alle Ereignisse sind voneinander unabhängig 

n 

P UND 

= P i 

∏ 

i= 

1 

n 

∏ 

i= 

1 

P ODER 

= 1− 

(1 − P i 

) 

(82) 

(83) 

P i Wahrscheinlichkeit für das Ereignis E i 

– Abschätzung 

Für kleine Werte von P i


ZSA 

Komplementär-Baum 

– Zusammenhang mit Fehlerbaum 

• Tausch der Verknüpfungen UND und ODER 

• Komplement der Ereignisse von Ausfall zu In Ordnung 

Fehlerbaum Komplementär-Baum 

_ 

A Systemausfall System in Ordnung A 

UND 

ODER 

ODER UND 

E 1 E 2 E n 

Komponentenausfall 

_ _ _ 

E 1 E 2 E n 

Komponenten in Ordnung 


219


ZSA 

Beispiel: Serienanordnung 

– Fehlerbaum 

≤1 

A 

Systemausfall 

ODER-Verknüpfung 

Komponentenausfall 

E 1 E 2 E n 

– Komplementär-Baum 

_ 

A 

& 

_ _ _ 

E 1 E 2 E n 

System in Ordnung 

UND-Verknüpfung 

Komponenten in Ordnung 


220


ZSA 


– Ermittlung aus Fehlerbaum 

P 

Ausfall 

= 

P( 

A) 

= 

P 

ODER 

( E 

i 

) 

= 1− 

n 

∏( 1− 

Pi 

) 

i= 

1 

– Ermittlung aus Komplementär-Baum 

P 

1− 

Ausfall 

n 

∏ 

i= 

1 

= 1− 

P( 

A) 

= 1− 

P 

n 

( P( 

E ) = −∏( − ) = −∏ 

i ) 1 1 P( 

Ei 

) 1 ( 1− 

Pi 

) 

i= 

1 

UND 

( E 

i 

) 

= 

n 

i= 

1 


221


ZSA 

Überlebenswahrscheinlichkeit 

– Ermittlung aus Fehlerbaum 

PInOrdnung 

= 1− 

P( 

A) 

= 1− 

PODER 

( Ei 

) = 

n 

n 

⎛ ⎞ 

⎞ 

1 − ⎜1 

− ∏ 

⎝ i= 

1 ⎠ ⎝ i= 

1 ⎠ 

⎛ 

( P( 

E ) ⎟ = − ⎜ − ∏( ) ⎟ = ∏ 

i 

) 1 1 Pi 

( Pi 

) 

n 

i= 

1 

– Ermittlung aus Komplementär-Baum 

P 

InOrdnung 

n 

∏ 

i= 

1 

= 

P( 

A) 

= 

P 

( 1− 

(1 − P ) = ∏ 

i 

) ( Pi 

) 

n 

i= 

1 

UND 

( E 

i 

) 

= 

n 

∏ 

i= 

1 

( 1− 

P( 

E ) i ) 

= 


222


ZSA 

Beispiel: 2-von-3-System (2oo3) 

– Das System 

Das System besteht aus drei unabhängigen, identischen Rechnern 

R 1 , R 2 und R 3 

– System in Ordnung 

wenn mindestens zwei Rechner in Ordnung sind 

R 1 und R 2 (E 12 ) 

R 1 und R 3 (E 13 ) 

R 2 und R 3 (E 23 ) 

– System ausgefallen 

wenn mindestens zwei Rechner ausgefallen sind 

R 1 und R 2 (E 12 ) 

R 1 und R 3 (E 13 ) 

R 2 und R 3 (E 23 ) 


223


ZSA 

Fehlerbaum für 2-von-3-System 

TOP- 

Ereignis 

≥1 

E 12 

E 13 

E 23 

& 

& 

& 

E 1 

E 2 

E 1 

E 3 

E 2 

E 3 


224


ZSA 

Analyse des 2-von-3-Systems 

– Ereignisse 

• Top-Ereignis: Ausfall des Dreirechnersystems 

• Zwischenereignisse: E 12 , E 13 , E 23 Ausfall von 2 Rechnern 

• Primärereignisse: E 1 , E 2 , E 3 Ausfall eines Rechners 

– Verknüpfung von Ereignissen 

• Die Verknüpfungen von Ereignissen lassen sich in Form von 

Booleschen Gleichungen darstellen 

• Das Zeichen + bedeutet eine ODER-Verknüpfung 

• Das Zeichen · bedeutet eine UND-Verknüpfung 

TOP = E 

E 

E 

E 

12 

13 

23 

= ( E 

1 

= ( E 

1 

= ( E 

12 

2 

+ 

⋅ E 

⋅ E 

2 

3 

⋅ E 

3 

E 

) 

) 

) 

13 

+ 

E 

23 


225


ZSA 

Wahrscheinlichkeit unabhängiger Ereignisse 

– Für zwei unabhängige Ereignisse A und B gilt allgemein: 

( 1) P( 

A⋅ 

B) 

= P( 

A) 

⋅ P( 

B) 

( 2) P( 

A + B) 

= P( 

A) 

+ P( 

B) 

− P( 

A) 

⋅ P( 

B) 

(85) 

(86) 

– Berechnung der Wahrscheinlichkeit: 

Ereignisse E 1 ,E 2 ,E 3 sind unabhängig, schließen sich jedoch nicht aus. 


226

ZSA 


Anwendung der Regeln 

227 

– Wahrscheinlichkeit des TOP-Ereignisses 


3 

2 

3 

1 

2 

1 

23 

13 

12 ) 

( 

) 

( E 

E 

E 

E 

E 

E 

E 

E 

E 

TOP 

⋅ 

+ 

⋅ 

+ 

⋅ 

= 

+ 

+ 

= 

[ ] 

) 

( 

) 

( 

) 

( 

) 

( 

) 

( 

) 

( 

23 

13 

12 

23 

13 

12 

23 

13 

12 

E 

P 

E 

E 

P 

E 

P 

E 

E 

P 

E 

E 

E 

P 

TOP 

P 

⋅ 

+ 

− 

+ 

+ 

= 

+ 

+ 

= 

[ ] ) 

( 

) 

( 

) 

( 

) 

( 

) 

( 

) 

( 

) 

( 

) 

( 

) 

( 

) 

( 

) 

( 

23 

13 

12 

13 

12 

23 

13 

12 

13 

12 

E 

P 

E 

P 

E 

P 

E 

P 

E 

P 

E 

P 

E 

P 

E 

P 

E 

P 

E 

P 

TOP 

P 

⋅ 

⋅ 

− 

+ 

− 

+ 

⋅ 

− 

+ 

= 

[ ] 

) 

( 

) 

( 

) 

( 

) 

( 

) 

( 

) 

( 

) 

( 

) 

( 

) 

( 

) 

( 

) 

( 

) 

( 

) 

( 

23 

13 

12 

23 

13 

23 

12 

23 

13 

12 

13 

12 

E 

P 

E 

P 

E 

P 

E 

P 

E 

P 

E 

P 

E 

P 

E 

P 

E 

P 

E 

P 

E 

P 

E 

P 

TOP 

P 

⋅ 

⋅ 

− 

⋅ 

+ 

⋅ 

− 

+ 

⋅ 

− 

+ 

= 

3 

2 

1 

3 

2 

1 

3 

2 

1 

3 

2 

3 

2 

1 

3 

1 

2 

1 

) 

( P 

PP 

PP P 

PP P 

P P 

PP P 

PP 

PP 

TOP 

P + 

− 

− 

+ 

− 

+ 

= 

3 

2 

1 

3 

2 

3 

1 

2 

1 2 

) 

( P 

PP 

P P 

PP 

PP 

TOP 

P 

− 

+ 

+ 

=


ZSA 

Vereinfachung der Berechnungen 

− Für sehr kleine Werte kann man die Berechnung der Wahrscheinlichkeiten 

nur als Summe darstellen. Für das TOP-Ereignis gilt: 

P ( TOP) 

≈ PP + PP + P P 

Numerisches Beispiel: 

P 

− Vorsicht bei großen Werten: 

1 

1 

= P2 

= P3 

= 

2 

1 

0,001 

P( TOP) 

= PP2 

+ PP 

1 3 

+ P2 

P3 

− 2PP 

1 2P3 

3 

2 

1 

= 

P( TOP) 

≈ PP2 

+ PP 

1 3 

+ P2 

P3 

Berechnungsfehler 

P 

1 

= P2 

= P3 

= 

1 

= 

0,9 

3 

= 2⋅10 

−9 

0,000003 

P( TOP) 

= PP 

1 2 

+ PP 

1 3 

+ P2 

P3 

− 2PP 

1 2P3 

= 0,81+ 

0,81+ 

0,81− 

2⋅0,729 

= 

P( 

TOP) 

≈ PP2 

+ PP 

1 3 

+ P2 

P3 

0,000002998 

0,972 

0,81+ 

0,81+ 

0,81 = 

2,43 

1 

= 

> 

1! 


228


ZSA 

Beispiel: Motorsteuerung (Live–Mitschrieb) 

Schaltkreis 

Schalter S 

= 

= 

Zeitrelais 

z 

K 

Sicherung 

Motor 

Relais 

a 

A Kabel B 

[H5] S. 242 


229


ZSA 

Fehlerbaum Motorsteuerung 

TOP- 

Ereignis 

Kabel A-B überhitzt 

& 

Sicherung 

Strom für Motor 

spricht E 1 

X 3 

E 2 wird durch a nicht 

nicht an 

Motor hat 

unterbrochen 

≥1 

Kurzschluss 

≥1 

Strom für Relais z 

Relaiskontakt 

E 

X 1 X nicht unterbrochen 3 X 6 

K öffnet nicht 

2 

defekte 

Sicherung 

Überdimensionierte 

Sicherung 

defektes 

Zeitrelais z 

& 

X 4 X 5 

Schalter S 

öffnet nicht 

[H5] S. 243 


230


ZSA 

Ausfallwahrscheinlichkeiten 

Ausfallwahrscheinlichkeiten der Komponenten 

Die Ausfallwahrscheinlichkeiten P werden aus der vorgegebenen Ausfallrate λ 

der Komponente X für einen Zeitraum von t = 1.000 h berechnet. 

Nr. Komponente 

X 

Ausfallart Ausfallrate 

λ [10 -6 h -1 ] 


P 

1 Sicherung brennt nicht durch 50,0 0,0488 

2 Sicherung überdimensionierte 2,5 0,0025 

3 Motor Kurzschluß 25,0 0,0247 

4 Zeitrelais z fallt nicht ab 40,0 0,0392 

5 Schalter S öffnet nicht 45,2 0,0447 

6 Relaiskontakt K öffnet nicht 33,3 0,0328 

[H5] S. 242 


231


ZSA 

Wahrscheinlichkeit für TOP-Ereignis 

Boolesche Gleichungen (s. Fehlerbaum): 

TOP = 

E 

E 

E 

1 

2 

3 

= 

= 

E 

X 

E 

= X 

1 

1 

3 

4 

X 

3 

5 

E 

+ X 

+ X 

X 

2 

2 

6 

Durch Einsetzen der Gleichungen für E 1 , E 2 und E 3 

Wahrscheinlichkeit für TOP-Ereignis: 

TOP 

= 

E 

1 

X 

3 

E 

2 

= ( X 

1 

+ 

X 

2 

) X 

3 

( X 

4 

X 

5 

+ 

X 

6 

) 

P( 

TOP) 

= 

(0,0488 + 

0,0025) ⋅0,0247 

⋅(0,0392⋅0,0477 

+ 

0,0328) 

[H5] S. 245 

= 

4,37 ⋅10 

−5 


232


ZSA 

Verbindungen 

– Ermittlung der Verbindungen aus Fehlerbaum 

• ODER-Verknüpfung 

ODER 

{ A} 

{ E , E2 

→ 

, LE 

1 n 

} 

(87) 

• UND-Verknüpfung 

{A}→ UND 

{ E 

{ E 

L 

{ 

1 

2 

E n 

} 

} 

} 

(88) 


233


ZSA 

Trennungen 

– Ermittlung der Trennungen aus Fehlerbaum 

• ODER-Verknüpfung 

{A} 

ODER 

→ 

• UND-Verknüpfung 

UND 

{ A} 

{ E , E2 

→ 

{ E 

{ E 

L 

{ 

1 

2 

E n 

} 

} 

} 

, LE 

1 n 

} 

(89) 

(90) 


234


ZSA 

Beispiel: Fehlerbaum eines Systems mit 4 Komponenten 

A 

& 

B 

C 

≤1 

≤1 

E 1 E 2 E 3 E 4 


235


ZSA 

Verbindungen und Trennungen 

– Verbindungen aus Fehlerbaum 

{ A} 

→ U { B} 

→ { K , K } = V 

O 

O 

– Trennungen aus Fehlerbaum 

1 

{ C} 

→{ 

K 

{ A} 

→{ 

B, 

C} 

→{ 

K 

{ K 

{ K 

1 

2 

U 

O 

, C} 

→{ 

K 

O 

{ K 

, C} 

→{ 

K 

{ K 

1 

1 

, K 

, K 

2 

2 

3 

{ K 

3 

4 

, K 

, K 

2 

, K 

1 

4 

, C} 

2 

, C} 

} = T 

1 

} = T 

3 

4 

2 

} = T 

} = T 

4 

1 

} = V 

3 

2 


236


ZSA 

Markov Modell 

– Was kann man berechnen? 

• Zuverlässigkeits- und Sicherheitskenngrößen 

– Welche Größen kann man berechnen? 

• Zustands-Wahrscheinlichkeiten 

• Zustandsübergangs-Wahrscheinlichkeiten 

• Zustandsübergangs-Zeiten und -Raten 

– Für welche Fälle einsetzbar? 

• Folge von Zufallsereignissen wie Ausfälle und Instandsetzungen 

• Verschiedene Ausfallarten und -raten einer Komponente 

• Dynamische Änderung von Ausfallraten z.B. bei Belastungsänderung 


237


ZSA 

Das Verfahren 

Folgende Schritte 1 bis 6 werden durchgeführt: 

Schritt 1: Erstellen eines Zustandsdiagramms 

Schritt 2: Ermitteln der Zustandsübergangsraten 

Schritt 3: Erstellen des Differenzialgleichungssystems 

Schritt 4: Lösung des Systems im Laplace-Bereich 

Schritt 5: Lösung des Systems im Zeit-Bereich durch 

Rücktransformation aus dem Laplace-Bereich 

Schritt 6: Berechnung der Grenzwerte im Laplace-Bereich 


238


ZSA 

Beispiel 1 (1) 

– Berechnung der Verfügbarkeit eines Systems. 

• Für das System sind zwei Zustände möglich: 

• Zustand 1: System in Ordnung 

• Zustand 2: System ausgefallen 

– Schritt 1: Erstellen eines Zustandsdiagramms 

1 

System in Ordnung 

Instandsetzungsrate μ 

λ 

Ausfallrate 

2 

System ausgefallen 


239


ZSA 


– Schritt 2: Ermitteln der Zustandsübergangsraten 

• Benötigte Daten: 

• Ausfallrate des Systems 

• Instansetzungsrate 

• Berechnungsbasis 

• Ausfallraten der Komponenten 

• Annahme 

Folgende Werte werden angenommen 

• Konstante Ausfallrate λ = 10 -4 h -1 

• Konstante Instansetzungsrate μ = 10 -1 h -1 

• Mittlere Instandsetzungszeit T = 1/μ = 10 h 


240


ZSA 


– Schritt 3: Erstellen des Differenzialgleichungssystems 

• Das Differenzialgleichungssystem hat die Matrixform 

wobei bezeichnet 

P' 

( t) 

= 

M 

⋅ 

P( 

t) 

(91) 

P(t) Vektor der Zustandswahrscheinlichkeiten 

P'(t) zeitliche Ableitung von P(t) 

M Matrix der Zustandsübergangsraten (Übergangsmatrix) 


241


ZSA 


• Die Übergangsmatrix M 

M 

= 

⎡ b1 

⎢ 

⎢ 

c12 

⎢ ... 

⎢ 

⎣c1n 

c 

b 

c 

21 

2 

... 

2n 

... 

... 

... 

... 

n1 

n2 

⎤ 

⎥ 

⎥ 

⎥ 

⎥ 

⎦ 

c ik Übergangsraten von Zustand i nach k, 

c 

c 

... 

b 

n 

P( 

t) 

⎡P1 

( t) 

⎤ 

= 

⎢ ⎥ 

⎢ 

... 

⎥ 

⎢⎣ 

P ( t) 

⎥ 

n ⎦ 

n 

∑ 

b i 

= − c ik 

k = 1 

(92) 

(93) 

• Das Differentialgleichungssystem für das System 

⎡ dP1 

( t) 

⎤ 

⎢ ⎥ 

⎢ ⎥ = 

dP dt 2( 

t) 

⎢ ⎥ 

⎣ dt ⎦ 


⎡− λ 

⎢ 

⎣ λ 

μ⎤ 

⎡ ⎤ 

⎥ ⋅ P1 

( t) 

μ 

⎢ ⎥ 

⎦ ⎣P2 

( t) 

⎦ 

(94) 

242


ZSA 


– Schritt 4: Lösung des Systems im Laplace-Bereich 

• Das Differenzialgleichungssystems in Laplace-Bereich 

s ⋅ P*( 

s) 

− P(0) 

= M ⋅ P*( 

s) 

( Es − M ) ⋅ P*( 

s) 

= P(0) 

• Die Lösung 

P *( s) 

i 

= 

Di 

D 

• Die Determinanten der Lösung 

D Determinante zu (Es - M) 

Di Determinante D mit der i-ten Spalte durch P(0) ersetzt 

• Anfangsbedingungen 

⎡P1(0) 

⎤ 

P(0) 

= 

⎢ ⎥ 

⎢ 

... 

⎥ 

⎢⎣ 

P n 

(0) ⎥⎦ 

, 

(*Laplace- Variablen) 

(95) 

(96) 

(97) 

(98) 


243


ZSA 


– Die Lösung für das System 

D1 

P1 

*( 

s) 

= 

D 

= 

• Die Anfangsbedingungen und Determinanten sind 

α Wahrscheinlichkeit, dass das System zum Zeitpunkt t=0 

in Ordnung war (Zustand 1) 


αs 

+ μ 

s( 

s + λ + μ) 

⎡P1 

(0) ⎤ ⎡ α ⎤ 

P(0) 

= ⎢ ⎥ = ⎢ ⎥ 

⎣P2 

(0) ⎦ ⎣1 

−α 

⎦ 

s + λ − μ 

D = = s( s + λ + μ) 

− λ s + μ 

α − μ 

D1 

= = αs 

+ μ 

1 −α 

s + μ 

(99) 

(100) 

(101) 

(102) 

244


ZSA 


– Schritt 5: Lösung des Systems im Zeitbereich 

• Rücktransformation L-1 aus dem Laplace-Bereich 

P1 ( t) 

= L −1{ 

P1 

*( s)} 

• Ergebnis der Rücktransformation 

P 

( ) t 

1 

( t) 

μ μ − λ μ 

= + ( α − ) e 

+ 

λ + μ 

P2 ( t) 

= 1− 

P1 

( t) 

λ + μ 

(103) 

(104) 

(105) 

• Für t=0 und t∞ erhält man 

lim P 1 

( t) 

t→0 

lim P 1 

( t) 

= 

t→∞ 

= α 

μ 

= V 

λ + μ 

Verfügbarkeit des Systems 

(106) 

(107) 


245


ZSA 


– Schritt 6: Berechnung der Grenzwerte im Laplace-Bereich 

• Zusammenhänge zwischen Zeit- und L-Bereich 

limP( 

t) 

= lims⋅ 

P 

t→0 

i 

s→∞ 

i 

*( s) 

(108) 

limP( 

t) 

t →∞ 

i 

= 

s → 0 

lims⋅ 

P 

i 

*( s) 

(109) 

• Berechnung der Werte für t=0 und t∞ 

limP 

1 

( t) 

= lims 


αs 

+ μ 

= α 

s( 

+ λ + μ 

t→ 0 s→∞ 

s ) 

αs 

+ μ μ 

= 

s( 

s + λ + μ λ + μ 

limP1 

( t) 

= lims 

t → ∞ s → 0 ) 

(110) 

(111) 

246


ZSA 


– Numerische Werte aus Schritt 2 

• Die Verfügbarkeit des Systems 

V 

= 

μ 

= 

λ + μ 

0,1 

h 

0,0001 

+ 

h 

0,1 

h 

= 

0,9990 

• Die Wahrscheinlichkeit für den Zustand 1 bei α = 0,2 

P 

μ μ −( 

λ+ 

μ ) t 

1 

( t) 

= + ( α − ) e 

λ + μ 

P2 ( t) 

= 1− 

P1 

( t) 

λ + μ 


247


ZSA 

Beispiel 1: (Graphische Darstellung) 

– Verlauf von P 1 (t) und P 2 (t) für α = 0,2 

1 

0,9 

0,8 

0,7 

0,6 

0,5 

0,4 

0,3 

0,2 

0,1 

0 

P 1 (t) 

P 2 (t) 

0 10 20 30 40 50 

V=0,9990 

U = 0,0010 

t [h] 


248


ZSA 

Beispiel 2: System mit 3 Zuständen (1) 

– Schritt 1: Zustandsdiagramm 

λ 

γ 

1 

2 

3 

ε 

– Schritt 2: Übergangsraten 

• Folgende Übergangsraten werden angenommen 

• Übergang von 1 nach 2 c 12 = λ = 2.10 -4 h -1 

• Übergang von 2 nach 3 c 23 = γ = 10 -4 h -1 

• Übergang von 2 nach 1 c 21 = ε = 10 -2 h -1 


249

ZSA 



250 


– Schritt 3: Differentialgleichungssystem 

• Im Laplace-Bereich 

⎥ 

⎥ 

⎥ 

⎦ 

⎤ 

⎢ 

⎢ 

⎢ 

⎣ 

⎡ 

⋅ 

⎥ 

⎥ 

⎥ 

⎦ 

⎤ 

⎢ 

⎢ 

⎢ 

⎣ 

⎡ 

= 

⎥ 

⎥ 

⎥ 

⎦ 

⎤ 

⎢ 

⎢ 

⎢ 

⎣ 

⎡ 

) 

( 

) 

( 

) 

( 

) 

'( 

) 

'( 

) 

'( 

3 

2 

1 

3 

23 

13 

32 

2 

12 

31 

21 

1 

3 

2 

1 

t 

P 

t 

P 

t 

P 

b 

c 

c 

c 

b 

c 

c 

c 

b 

t 

P 

t 

P 

t 

P 

⎥ 

⎥ 

⎥ 

⎦ 

⎤ 

⎢ 

⎢ 

⎢ 

⎣ 

⎡ 

⋅ 

⎥ 

⎥ 

⎥ 

⎦ 

⎤ 

⎢ 

⎢ 

⎢ 

⎣ 

⎡ 

− 

− 

− 

= 

⎥ 

⎥ 

⎥ 

⎦ 

⎤ 

⎢ 

⎢ 

⎢ 

⎣ 

⎡ 

) 

( 

) 

( 

) 

( 

0 

0 

0 

0 

) 

'( 

) 

'( 

) 

'( 

3 

2 

1 

3 

2 

1 

t 

P 

t 

P 

t 

P 

t 

P 

t 

P 

t 

P 

γ 

ε 

γ 

λ 

ε 

λ 

⎥ 

⎥ 

⎥ 

⎦ 

⎤ 

⎢ 

⎢ 

⎢ 

⎣ 

⎡ 

= 

⎥ 

⎥ 

⎥ 

⎦ 

⎤ 

⎢ 

⎢ 

⎢ 

⎣ 

⎡ 

⋅ 

⎥ 

⎥ 

⎥ 

⎦ 

⎤ 

⎢ 

⎢ 

⎢ 

⎣ 

⎡ 

− 

+ 

+ 

− 

− 

+ 

*(0) 

*(0) 

*(0) 

) 

*( 

) 

*( 

) 

*( 

0 

0 

0 

3 

2 

1 

3 

2 

1 

P 

P 

P 

s 

P 

s 

P 

s 

P 

s 

s 

s 

γ 

ε 

γ 

λ 

ε 

λ


ZSA 


− Schritt 4: Lösung des Systems im Laplace-Bereich 

s + λ − ε 0 

D = − λ s + γ + ε 0 = s[( 

s + λ)( 

s + γ + ε ) − λε ] 

0 − γ 0 

s 

+ λ 

− ε 

1 

D3 

= − λ s 

0 

+ γ + ε 

− γ 

0 

0 

= λγ 


251


ZSA 


− Schritt 4: Lösung des Systems im Laplace-Bereich 

P 

3 

*( s) 

= 

s[( 

s 

λγ 

+ λ)( 

s + γ + ε ) 

− λε ] 

P(0) 

= 

⎡P1 

(0) ⎤ 

⎢ ⎥ 

⎢ 

P2 

(0) 

⎥ 

⎢⎣ 

P (0) ⎥ 

3 ⎦ 

= 

⎡1⎤ 

⎢ ⎥ 

⎢ 

0 

⎥ 

⎢⎣ 

0⎥⎦ 


252


ZSA 


– Schritt 5: Lösung des Systems im Zeitbereich 

• Rücktransformation L -1 

Die Lösung des Differentialgleichungssystems hinsichtlich P 3 (t) ergibt 

sich durch die Laplace-Rücktransformation L -1 

1 r2t 

r2 

P3 

( t) 

= 1− 

( r1 

e − r2e 

r − r 

wobei 

1 

2 

t 

) 

r 

1,2 

= 

λ + γ + ε ± 

( λ + γ + ε ) 

2 

2 

2 

−8λ 

Die Wahrscheinlichkeit W im Zustand 1 oder 2 

1 r2t 

1 

W ( t) 

= P1 

( t) 

+ P2 

( t) 

= 1− 

P3 

( t) 

= ( r1 

e − r2e 

r − r 

1 

2 

r t 

) 


253


ZSA 

Beispiel 2: System mit 3 Zuständen (Graphische Darstellung) 

– Verlauf von W(t) und P 3 (t) (FTA-Tool berechnet andere Werte) 

1 

0,9 

0,8 

0,7 

0,6 

0,5 

0,4 

0,3 

0,2 

0,1 

0 

P 3 (t) 

W(t) = 1 - P 3 (t) 

0 100000 200000 300000 400000 500000 

t [h] 


254


ZSA 


– Schritt 6: Berechnung der Grenzwerte 

• Berechnung der Grenzwerte ohne Rücktransformation 

L -1 {W*(s)} 

limW 

( t) 

t→0 

= 

lim s 

s→∞ 

= 

⎡ 

1 

⎢ 

⎣ 

s 

− 

s[( 

s 

λγ 

+ λ)( 

s + γ + ε ) 

⎤ 

− λε ] 

⎥ 

⎦ 

= 1 

limW 

( t) 

t→∞ 

= 

lim s 

s→0 

= 

⎡ 

1 

⎢ 

⎣ 

s 

− 

s[( 

s 

λγ 

+ λ)( 

s + γ + ε ) 

⎤ 

− λε ] 

⎥ 

⎦ 

= 

0 


255


ZSA 


• Berechnung von T als Grenzwert 

Allgemeine Formel 

T 

∞ 

∞ 

⎡ ⎤ 

= ∫W 

( t) 

⋅ dt = lim⎢∫W 

( t) 

⋅ dt⎥ 

t→∞ 

0 

⎣ 0 ⎦ 

= 

lim[ W 

s→0 

*( s)] 

Anwendung auf das System mit 3 Zuständen 

Die mittlere Zeit T von Zustand 1 nach 3: 

T 

= 

limW 

⎡ 

*( s) 

= lim 

s→0⎢ 

⎣s( 

s→ 

0 s ) 

s + λ + γ + ε ⎤ λ + γ + ε 

= 

+ λ + γ + ε + λγ 

⎥ 

⎦ λε 


256


ZSA 

Allgemeine Formel für die Berechnung von T 

– Berechnung der mittleren Zeit von 1 nach 3 

• Zustandsdiagramm 

λ 

γ 

1 

2 

3 

ε 

• Berechnungsformel 

λ + γ + ε 

T = 

λε 

• Vereinfachte Formel (Annahmen: λ


ZSA 

Mittlere Zeit bis zum Ausfall/zur Gefährdung 

System 

Zuverlässigkeitsbetrachtung 

Sicherheitsbetrachtung 

Mittlere Zeit 

bis zum 

Systemausfall 

MTTF 

Mittlere Zeit 

bis zur 

Gefährdung 

MTTF' 

System Systemausfall Gefährdung 

Einfaches System (1oo1) Ausfall einer Einheit Ausfall einer Einheit 

Doppelsystem (2oo2) Ausfall einer Einheit Doppelausfall 

2-von-3-System (2oo3) Ausfall zweier Einheiten Doppelausfall 


258


ZSA 

Einfaches System (1oo1) 

– Zustandsdiagramm 

Zustand 1: System in Ordnung 

Zustand 2: System ausgefallen 

1 

λ 

2 

– Zuverlässigkeitsbetrachtung 

konstante Ausfallrate λ 10 -4 /h 

mittlere Lebensdauer MTTF 1/λ 10.000 h 

konstante Instandsetzungsrate μ 4.10 -2 /h 

mittlere Instandsetzungszeit MTTR 1/μ 25 h 

– Sicherheitsbetrachtung 

sicherheitsbezogene Ausfallrate λ' 

(Gefährdungsrate) 

mittlere sicherheitsbezogene Lebensdauer 

MTTF' 

λ 10 -4 /h 

1/λ 10.000 h 


259


ZSA 

Doppelsystem (2oo2) 



Zustand 2: Erster Ausfall 

Zustand 3: Doppelausfall (Gefährdung) 

Zustand 4: Sicherer Zustand 

1 

2λ 

2 

λ 

ε 

μ 

3 

4 

– Daten (Annahme: λ


ZSA 

Zuverlässigkeitsbetrachtung (2oo2) 




1 

2λ 

2 

– Systemverhalten 

Nach erstem Ausfall in sicheren Zustand. 

Ausfallerkennungszeit 1/ε wird vernachlässigt. 

– Kenngrößen: 

Ausfallrate des Systems 2λ 2.10 -4 /h 

mittlere Lebensdauer des Systems 1/2λ 5.000 h 


261


ZSA 

Sicherheitsbetrachtung (2oo2) 







Instandsetzungszeit 1/μ wird vernachlässigt. 

1 

2λ 

2 

λ 

3 

ε 


mittlere sicherheitsbezogene Lebensdauer (3λ+ε)/2λ 2 5,015.10 6 h 

MTTF' (von Zustand 1 nach 3) 

vereinfachte Formel für MTTF' ε/2λ 2 5.10 6 h 



1/MTTF' 2.10 -7 /h 


262


ZSA 

2-von-3-System (2oo3) 





Zustand 4: Sicherer Zustand 

1 

3λ 

2λ 

2 

ε 

μ 

– Daten (Annahme: λ


ZSA 

Zuverlässigkeitsbetrachtung (2oo3) 





1 

3λ 

2 

2λ 

μ 




– Kenngrößen (FTA-Tool berechnet andere Werte#): 

mittlere Lebensdauer 

MTTF (von Zustand 1 nach 3) 

(5λ+μ)/6λ 2 

3 

Raute, 

stimmt? 

6,75.10 5 h 

vereinfachte Formel für MTTF μ/6λ 2 6,66.10 5 h 

Ausfallrate λsys 1/MTTF 1,5.10 -6 /h 


264


ZSA 

Sicherheitsbetrachtung (2oo3) 





2λ 

1 

3λ 

2 

ε 



Instandsetzungszeit 1/μ wird vernachlässigt. 

3 


mittlere sicherheitsbezogene Lebensdauer (5λ+ε)/6λ 2 1,67.10 6 h 

MTTF' (von Zustand 0 nach 2) 

vereinfachte Formel für MTTF' ε/6λ 2 1,66.10 6 h 



1/MTTF' 6.10 -7 /h 


265


ZSA 

Vergleich der Systeme 

System 

Einfaches System 

1oo1 

Doppelsystem 

2oo2 

2-von-3-System 

2oo3 

mittlere 

Lebensdauer 

MTTF [10 3 h] 

mittlere sicherheitsbezogene 

Lebensdauer 

MTTF' [10 3 h] 

10 10 

5 5000 

666 1660 

bestes Ergebnis 


266


ZSA 

2-von-3-System mit einer Auswahleinheit (2oo3A) 

– Annahmen 

• Auswahleinheit ist von den Rechnern unabhängig 

• Ausfall der Auswahleinheit Gesamtsystemausfall 

• Sicherheitsrelevanter Ausfall der Auswahleinheit Gefährdung 

• Ausfallraten der Auswahleinheit 

• λ A = 10 -6 /h, Ausfallrate 

• λ' A = 10 -8 /h, Gefährdungsrate 

– Blockschaltbild des Gesamtsystems 

Rechner 1 

2v3-Rechnerstruktur 

Rechner 2 

Rechner 3 

2 von 3 

Auswahleinheit 


267


ZSA 

Zuverlässigkeitsbetrachtung (2oo3A) 


Zustand 1: Gesamtsystem in Ordnung 

Zustand 2: Gesamtsystem ausgefallen 

1 

μ 

λ R +λ A 

2 


Ausfall der 2-von-3-Rechnerstruktur Gesamtsystemausfall 

Ausfall der Auswahleinheit Gesamtsystemausfall 


konstante *) Ausfallrate der 2-von-3-Rechnerstruktur λ R 1,5.10 -6 /h 

konstante *) Ausfallrate der Auswahleinheit λ A 10 -5 /h 

konstante *) Ausfallrate des Gesamtsystems λ R +λ A 1,15.10 -5 /h 

mittlere Lebensdauer des Gesamtsystems MTTF G 1/(λ R +λ A ) 0,869.10 5 h 

*) Vereinfachung 


268


ZSA 

– Einflussbereich 

• λ A >> λ R großer Einfluss, Verschlechterung von λ G 

• λ A


ZSA 

Sicherheitsbetrachtung (2oo3A) 



Zustand 3:Gefährdung 

1 

λ' R +λ' A 

3 

μ 


Doppelrechner-Ausfall der 2v3-Rechnerstruktur Gefährdung 

Sicherheitsrelevanter Ausfall der Auswahleinheit Gefährdung 


konstante *) Gefährdungsrate der 2-von3- 

λ' R 6.10 -7 /h 

Rechnerstrukur 

konstante *) Gefährdungsrate der Auswahleinheit λ' A 10 -8 /h 

konstante *) Gefährdungsrate des Gesamtsystems λ' R +λ' A 6,1.10 -7 /h 

Sicherheitsbezogene mittlere Lebensdauer des 

Gesamtsystems MTTF' G 

*) Vereinfachung 

1/(λ' R +λ' A ) 

1, 64.10 6 h 


270


ZSA 

– Einflussbereich 

• λ' A >> λ' R großer Einfluss, Verschlechterung von λ' G 

• λ' A


ZSA 

Einfluss der Auswahleinheit 

– Die Auswahleinheit darf nicht vernachlässigt werden 

– Sie hat bei hohen Ausfallraten starken Einfluss auf die Ausfallrate des 

Systems 

– Sie hat bei hohen Gefährdungsraten starken Einfluss auf die 

Gefährdungsrate des Systems 

– Eine fail-safe-Auswahleinheit mit der Gefährdungsrate λ' A = 0, hat keinen 

Einfluss auf die Gefährdungsrate des Systems 


272


ZSA 

Verfügbarkeit von Systemen (Live–Mitschrieb) 

Betrieb 

ein 

System 

in Betrieb 

System 

in Betrieb 

System 

in Betrieb 

aus 

System 

ausgefallen 

System 

ausgefallen 

t 

System 

Einfaches System (1oo1) 

Doppelsystem (2oo2) 

2-von-3-System (2oo3) 

Systemausfall 

Ausfall einer Einheit 

Ausfall einer Einheit 

Ausfall von zwei Einheiten 


273


ZSA 

Kenngrößen der Verfügbarkeit 

– Verfügbarkeit V(t) 

Wahrscheinlichkeit, das System zum Zeitpunkt t im fehlerfreien 

funktionsfähigen Zustand anzutreffen 

– Zeitlicher Verlauf der Verfügbarkeit 

V ( t) 

= P ( t) 

= 1− 

P ( t) 

b 

a 

P b (t) Wahrscheinlichkeit für den fehlerfreien Zustand 

P a (t) Wahrscheinlichkeit für den Ausfallzustand 

– Stationäre Verfügbarkeit 

V limV 

( t) 

t 

= 

→∞ 

MTBF 

= 

MTBF + MTTR 

= 

μ 

λ + μ 


274


ZSA 

Verfügbarkeit des einfachen Systems (1oo1) 





Systemausfall nach erstem Ausfall. 

Instandsetzung nach Systemausfall. 

1 

λ 

2 

μ 


konstante Ausfallrate λ 10 -4 /h 

Konstante Instandsetzungsrate μ 10 -1 /h 

Verfügbarkeit μ/(λ+μ) 0,9990 


275


ZSA 

Verfügbarkeit des Doppelsystems (2oo2) 




1 

2λ 

μ 

2 


Nach erstem Ausfall in sicheren Zustand (Systemausfall). 

Instandsetzung nach Systemausfall. 



Ausfallrate des Systems 2λ 2.10 -4 /h 

Instandsetzungsrate μ 10 -1 /h 

Verfügbarkeit μ/(2λ+μ) 0,9980 


276


ZSA 

Verfügbarkeit des 2-von-3-Systems (2oo3) 






Instandsetzung nach erstem Ausfall. 

Systemausfall nach zweitem Ausfall. 


μ 

1 

3λ 

2 

2λ 

3 

μ 


mittlere Zeit T bis zum Doppelausfall (5λ+μ)/6λ 2 1,675.10 6 h 

(von Zustand 1 nach 3) 

Kehrwert 1/T (vereinfacht) 6λ 2 /μ 5,970.10 -7 h 

Verfügbarkeit V (vereinfacht) μ / (6λ 2 /μ+μ) 0,999994 


277


ZSA 

Vergleich der Systeme (Live–Mitschrieb) 

System 

Einfaches System 

1oo1 

Doppelsystem 

2oo2 

2-von-3-System 

2oo3 


0,9990 

0,9980 

0,999994 


278


ZSA 

Bayes'sche Methode (1) 

Bayes'sche Formel der bedingten Wahrscheinlichkeit kann auf die 

Berechnung der Überlebens- bzw. Ausfallwahrscheinlichkeiten 

angewendet werden. 

R 

Q 

s 

s 

( z = 1 | z = 1) + Q P( z = 1| z = 0) 

= Ri 

P 

s i 

i s i 

( z = 0 | z = 1) + Q P( z = 0 | z = 0) 

= Ri 

P 

s i 

i s i 

(114) 

(115) 

R s , R i 

Q s , Q i 

z s , z i 

Überlebenswahrscheinlichkeit des Systems bzw. der i-ten 

Komponente 

Ausfallwahrscheinlichkeit des Systems bzw. der i-ten 

Komponente 

Zustände des Systems bzw. der i-ten Komponente 

(1 für in Ordnung, 0 für ausgefallen) 


279


ZSA 

Bayes'sche Methode (2) 

P(a|b) : Die bedingte Wahrscheinlichkeit für den Zustand a, vorausgesetzt, der 

Zustand b liegt vor. 

Die beiden Formeln für R s und Q s sind auch für Teilsysteme wiederholt 

anwendbar. 


280


ZSA 

Beispiel: 2-von-4-System (1) 

– Komponenten des Systems K 1 K 2 K 3 K 4 

• Anwendung auf 2-von-4-System: 

R 

s 

= 

R 

2v4 

= 

= 

R 

R 

• Anwendung auf Teilsystem 1-von-3: 

R 

1v3 

= 

= 

R 

3 

R 

3 

P 

• Anwendung auf Teilsystem 2-von-3: 

R 

2v3 

= 

= 

R 

R 

3 

3 

P 

4 

4 

P 

R 

( 

2v4 

) ( 

2v4 

z = 1| z = 1 + Q P z = 1| z = 0) 

1v3 

+ Q R 

4 

4 

2v3 

( 

1v3 

) ( 

1v3 

z = 1| z = 1 + Q P z = 1| z = 0) 

⋅1+ 

Q R 

R 

3 

1v2 

3 

( 

2v3 

) ( 

2v3 

z = 1| z = 1 + Q P z = 1| z = 0) 

1v2 

+ Q R 

3 

3 

2v2 

3 

3 

4 

3 

3 

4 


281


ZSA 


• Anwendung auf Teilsystem 1v2: 

R 

1v2 

= R 

= R 

2 

2 

P 

( 

1v2 

) ( 

1v2 

z = 1| z = 1 + Q P z = 1| z = 0) 

⋅1+ 

Q 

• Anwendung auf Teilsystem 2v2: 

R 

2v2 

= 

= 

R 

R 

2 

2 

P 

R 

2 

⋅ R 

1 

2 

= 

R 

1 

+ 

R 

2 

2 

− 

R R 

1 

2 

= 

R 

( p) 

( 

2v2 

) ( 

2v2 

z = 1| z = 1 + Q P z = 1| z = 0) 

1 

+ Q 

2 

⋅0 

= 

2 

R R 

1 

2 

= 

R 

2 

( s) 

2 

2 

• Nach Einsetzen in 1v3 und in 2v3: 

1 3 

R v = R3 

+ (1 − R3 

)( R1 

+ R2 

− R1R 

2) 

= R1 

+ R2 

+ R3 

− R1R 

2 

− R1R 

3 

− R2R3 

+ 

2 3 

R v 

= R 

= 

3 

1 

( R 

R R 

2 

1 

+ 

+ 

R 

1 

2 

R R 

− 

3 

R R 

+ 

1 

R 

2 

2 

) + (1 − R 

R 

3 

1 

3 

− 2R R 

2 

) R R 

R 

3 

1 

2 

R R 

1 

2 

R 

3 


282


ZSA 


• Nach Einsetzen in 2v4: 

2 4 

R v 

= R4 

+ 

= R R 

( R1 

+ R2 

+ R3 

− R1R 

2 

− R1R 

3 

− R2R3 

+ R1R 

2R3 

) 

( 1− 

R )( R R + R R + R R − 2R R R ) 

1 

− 2 

• Für identische Ausfallraten: 

2 

4 

1 

2 

1 

3 

( R R R + R R R + R R R + R R R ) 

1 

+ 

1 

+ 3R R 

2 

R R 

2 

1 

R 

3 

3 

3 

R 

4 

+ 

R 

1 

2 

R 

2 

3 

+ 

4 

R R 

1 

1 

4 

2 

+ 

3 

3 

R 

4 

2 

R 

4 

2 

1 

+ 

2 

R 

3 

3 

4 

3 

R 

4 

R i 

= R0 , i = 1...4 

2 4 2 3 

R v = R0 

− 8R0 

+ 

6 3R 

4 

0 


283


ZSA 


• Überlebenswahrscheinlichkeit eines kvn-Systems 

n 

kvn 

∑ 

i 

R = ⎜ ⎟R0 1 

0 

i= 

k i 

• Für 2v4-System 

R 

2v4 

= 

4 

∑ 

i= 

2 

⎛ n⎞ 

⎝ 

⎛ 

⎜ 

⎝ 

⎠ 

n⎞ 

⎟R 

i ⎠ 

i 

0 

( − R ) 

( 1− 

R ) 

0 

n−i 

n−i 

2 4 2 

2 

R v = 6R0 

(1 − R0 

) 

2 

= 6R0 

(1 − 2R0 

2 3 

= 6R0 

−8R0 

+ 

+ 4R 

+ 

R 

3R 

4 

0 

2 

0 

3 

0 

) + 

(1 − R 

4R 

3 

0 

0 

) + R 

− 4R 

4 

0 

4 

0 

+ 

R 

4 

0 


284


ZSA 

Gliederung 












285


ZSA 


– Zeitlicher Verlauf der Ausfallraten 

• Konstante Ausfallrate λ 

• Nicht konstante Ausfallrate λ(t) 

– Berechnungen mit konstanten Ausfallraten 

• Der Wert λ = konstant wird ermittelt 

• Mittlere Lebensdauer MTTF = 1/λ 

• Überlebenswahrscheinlichkeit 

– Berechnungen mit nicht konstanten Ausfallraten 

• Die Überlebenswahrscheinlichkeit R(t) wird ermittelt 

• Berechnung von λ(t) aus der allgemeinen Formel 

– Vereinfachungen bei nicht konstanten Ausfallraten 

• Der Wert MTTF wird ermittelt 

• Abschätzung der λ(t) 


286


ZSA 

Abschätzung nicht konstanter Ausfallraten (1) 

– Parallelanordnung von n identischen Komponenten 

• Identische Komponenten 

R 

1 

− λ 0 t 

() t = L = R ( t ) = R ( t ) = e , 

n 

0 

MTTF 

0 

= 

1 

λ 

0 


( 1− 

R ( t ) n 

( p) 

R ( t) 

= 1− 

0 

) 

• Mittlere Zeit bis zum Ausfall 

MTTF 

∑ 

( p) = MTTF ( 1 i) 

0 

/ 

i= 

1 

• Schätzwert der Ausfallrate 

λ 

( p) 

= 1/ MTTF 

( p) 

n 

= 1/ MTTF 

n 

∑( 1/ i) 

0 

i= 

1 

(116) 

(117) 

(118) 


287


ZSA 

Abschätzung nicht konstanter Ausfallraten (2) 

– Parallelanordnung von 2 identischen Komponenten 


( ) 

R p 

( t) 

= 

2 R 

0 

( t) 

− 

R 

2 

0 

( t) 

(119) 

• Mittlere Zeit bis zum Ausfall 

( ) 

MTTF p = 

3 MTTF 

2 

• Schätzwert der Ausfallrate 

0 

(120) 

λ 

( p) 

2 1 2 

= = λ0 

3 MTTF 3 

0 

= 

konstant 

(121) 


288


ZSA 

Berechnung nicht konstanter Ausfallraten (1) 

– Allgemeine Formel der Überlebenswahrscheinlichkeit 

( p) 

2 

0 

R ( t) 

= 2 R ( t) 

− R ( t) 

= e 

0 

0 

t 

−∫λ 

( τ ) dτ 

(122) 

– Lösung der Ausfallrate λ(t) durch Umformungen 

Für die zeitliche Ableitung der obigen Gleichung gilt: 

d 

dt 

d 

dt 

( p) 

d 

2 

' 

( R ( t) 

) = ( 2 R ( t) 

− R ( t) 

) = ( 2 − 2 R ( t) 

) R ( t) 

⎛ 

⎜e 

⎜ 

⎝ 

dt 

0 

0 

t 

t 

λ ( τ ) dτ 

⎞ 

−∫λ 

( τ ) dτ 

⎟ 

0 0 

= −λ( 

t). 

e = −λ( 

t). 

t 

0 0 

⎟ 

⎠ 

−∫ 

0 

2 

( 2 R ( t) 

− R ( )) 

0 


289


ZSA 


– Lösung der Ausfallrate λ(t) durch weitere Umformungen 

Aus der rechten Seite der beiden Gleichungen ergibt sich: 

λ( 

t) 

= −2 

R 

R 

' 

0 

0 

( t) 

( t) 

⋅ 

1− 

R 

2 − R 

0 

0 

( t) 

( t) 

Für die Ableitung von R 0 gilt: 

d 

dt 

d 

dt 

−λ0t 

−λ0t 

( R () t ) = e = −λ 

⋅e 

= −λ 

R () t 

0 

0 

0 

0 

Nach Einsetzen erhält man das Ergebnis: 

1− 

R0 

( t) 

= 2λ0 

2 − R 

0 

( t) 

( t) 

λ (123) 


290


ZSA 

Numerische Daten 

– Mittlere Zeit bis zum Ausfall 

MTTF0 = 10 

– Ausfallrate identischer Komponenten 

– Schätzwert der Ausfallrate 

6 

6 1 

λ0 = 1/ MTTF0 

= 10 

− h − = 

λ 

( p) 

= 

h 

konstant 

2 1 2 2 6 1 

= λ0 

= 10 

− h − 

3 MTTF 3 3 

– Formel für nicht konstante Ausfallrate 

0 

= 

konstant 

λ 

1− 

e 

2 − e 

−λ0 

. t 

( t ) 2λ 

−λ 

. t 

= (124) 

0 

0 


291

ZSA 

4.000.000 

3.800.000 


Verlauf der Ausfallraten 

0,000001 

0,0000009 

0,0000008 


292 

0,0000007 

0,0000006 

0,0000005 

0,0000004 

0,0000003 

0,0000002 

0,0000001 

0 

0 

200.000 

400.000 

600.000 

800.000 

1.000.000 

1.200.000 

1.400.000 

1.600.000 

1.800.000 

2.000.000 

2.200.000 

2.400.000 

2.600.000 

2.800.000 

3.000.000 

3.600.000 

3.400.000 

3.200.000 

λ 0 

= konstant 

( ) 

− p 

λ 

= konstant 

λ(t) 

( ) 

MTTF 

0 MTTF p = 1 ,5 ⋅ MTTF 

0


ZSA 


– Parallelanordnung von n identischen Komponenten 


( 1− 

R ( t) 

) 

( p) 

0 

R ( t) 

= 1− 

= e 

0 

n 

t 

−∫λ 

( τ ) dτ 

(125) 

R 

0 

− λ0t 

() t = e , 

MTTF 

0 

= 

1 

λ 

0 

(126) 

– Lösung der Ausfallrate λ(t) 

Die zeitliche Ableitung nach t ergibt: 

( 1− 

R ( t) 

) 

n−1 

' 

0 

⋅ R0 

( t) 

= −λ( 

t) 

0 

n ⋅ 

⋅e 

t 

−∫λ 

( τ ) dτ 

(127) 


293


ZSA 


– Lösung der Ausfallrate λ(t) durch weitere Umformungen: 

λ( 

t) 

= −n⋅ 

R 

' 

o 

( t) 

1 

n−1 

( 1− 

R0 

( t) 

) 

− ( 1− 

R ( t) 

) n 

0 

R 

' 

0 

−λ0t 

( t) = −λ 

⋅e 

= −λ 

⋅ R t) 

0 

0 

0 ( 

λ( 

t) 

= −n 

⋅λ 

0 

R 

0 

( t) 

1− 

n 

⋅( 1− 

R0 

( t) 

) 

( 1− 

R ( t) 

) n 

0 

−1 

λ( 

t) 

−λ0t 

e ⋅ 

= −n⋅λ0 

1− 

( 

−λ 

) 

0t 

1− 

e 

( 

−λ 

t 

e ) n 

0 

1− 

n−1 


294


ZSA 

Numerische Daten für n=3 


MTTF 

3 

( p) MTTF ( 1/ 

i) = MTTF0 

⎜1+ 

+ ⎟ = MTTF0 

= ∑ 

0 

i= 

1 

⎛ 

⎝ 

1 

2 

1 ⎞ 

3 ⎠ 

11 

6 

– Schätzwert der Ausfallrate 

λ 

( p) 

6 1 6 6 6 1 

= = λ0 

= 10 

− h − 

11 MTTF 11 11 

0 

= 

konstant 

– Formel für nicht konstante Ausfallrate 

(FTA-Tool berechnet andere Werte#) 

λ( 

t) 

t −λ0 

. t 

( 1− 

e ) 

−λ 

. 

( ) 3 

0 t 

1− 

e 

−λ 

. 

2 

0 

e 

= 3λ0 

(128) 

1− 


295


ZSA 

Verlauf der Ausfallraten (n=2, 3) 

λ 0 = konstant 

λ(t) 

λ 

−( 

p) 

= 

konstant 

λ 

−( 

p) 

= 

konstant 

λ(t) 

MTTF 0 

MTTF (p) = 1,833·MTTF 0 

MTTF (p) = 1,5·MTTF 0 

n=2 

n=3 



ZSA 

Gliederung 












297


ZSA 


– Komplexe Systeme 

• Verteilte Systeme 

• Hierarchische Systeme 

• Systemstruktur mit mehreren Ebenen 

• Vielzahl unterschiedlicher Teilsysteme 

• Vielzahl unterschiedlicher Komponenten 

• Hardware- und Software-Komponenten 


• Verschiedene Redundanzarten (-Strukturen) 

• auf allen Ebenen der Systeme 

• Komponenten-Redundanz 

• Teilsystem-Redundanz 

• System-Redundanz 

• Hardware- und Software-Redundanz 


298


ZSA 

FTCS-Rechnersystem (1) 

– Fault Tolerant Spaceborne Computer (FTCS) 

Ein fehlertolerantes System für die Raumfahrt 

– Zuverlässigkeitsanforderung 

R(t) ≥ 0,95 für den Zeitraum t = 5 Jahre 

– Vereinfachte Betrachtung der Anforderung 

• Betrachtung nicht reparierbarer Systeme 

• Annahme konstanter Ausfallrate des Systems 

R(5⋅356⋅24h) 

= 

λ ⋅43800h 

0,00513 

λ ≥ = 1,17 ⋅10 

43800h 

1 

6 

MTTF = ≥ 8,5 ⋅10 

h 

λ 

e 

−λ 

43800h 

≥ −ln 0,95 = 

−7 

0,00513 

h 

≥ 

−1 

0,95 

= 117 

fit 

(fit = 10 

= 970Jahre 

≅ 1000Jahre 

-9 

h 

−1 

) 


299


ZSA 



300


ZSA 



No. ABR. Functional Elements Redundance 

1 CPU CENTRAL PROCESSING UNIT SYSTEM 2a, 2sb 

2 CCU CONFIGURATION CONTROL UNIT TMR 

3 MS MEMORY SYSTEM 15a, 9sb 

4 SDU SERIAL DATA BUS SYSTEM 1 von 2a 

5 SIU SERIAL INTERFACE UNIT 1a, 1sb 

6 DIU DEVICE INTERFACE UNIT 1 von 2a 

7 DMA DIRECT MEMORY ACCESS 1a, 1sb 

8 TU TIMING UNIT 1a, 1 sb 

9 PU POWER UNIT 1a, 1sb 

10 CU CIRCUMVENTION UNIT TMR 

11 HT HARDENED TIMER TMR 

a 

sb 

TMR 

active modules 

stand-by modules 

Tripple Modular Redundancy (2v3) 


301


ZSA 


– Stand-by Redundanz 

Alle Einheiten sind identisch 

MTTF 0 Mittlere Lebensdauer einer Einheit 

n Anzahl aktiver Einheiten 

m Anzahl der Reserve-Einheiten (Redundanz) 

– Mittlere Zeit bis zum Ausfall MTTF (nm) 

• Betrachtung von n aktiven Einheiten und 0 Reserve-Einheiten 

Serienanordnung 

MTTF 

MTTF n0 0 

= 

n 

• Betrachtung von m Reserve-Einheiten 

Nach Ausfall einer aktiven Einheit wird auf eine Reserve-Einheit 

umgeschaltet 

( m MTTF 

MTTF nm ) ( + 1) 

⋅ 

0 

= 

n 


(130) 

(131) 

302


ZSA 


– Mittlere Zeit bis zum Ausfall der Teilsysteme 

MTTF 0 = 10 6 h = 1 Mh Mittlere Lebensdauer einer Einheit 

Mh 

1 Million Stunden (114 Jahre) 

fit 10 -9 h -1 

– Vereinfachte Betrachtung 

• Betrachtung nicht reparierbarer Systeme 

• Annahme konstanter Ausfallrate der Teilsysteme 

Struktur MTTF MTTF 0 = 1 Mh λ [fit] 

1a 1sb 2. MTTF 0 2 Mh 500 

2a 2sb 3. MTTF 0 /2 1,5 Mh 666 

15a 9 sb 10. MTTF 0 /15 0,66 Mh 1.500 

1 von 2a 3. MTTF 0 /2 1,5 Mh 666 

TMR 5. MTTF 0 /6 0,83 Mh 1.200 


303


ZSA 


– Vereinfachte Betrachtung des Gesamtsystems 

No. ABR. Redundance MTTF MTTF 0 =1 Mh λ [fit] 

1 CPU 2a, 2sb 3. MTTF 0 /2 1,5 Mh 666 

2 CCU TMR 5. MTTF 0 /6 0,83 Mh 1.200 

3 MS 15a, 9sb 10. MTTF 0 /15 0,66 Mh 1.500 

4 SDU 1 von 2a 3. MTTF 0 /2 1,5 Mh 666 

5 SIU 1a, 1sb 2. MTTF 0 2 Mh 500 

6 DIU 1 von 2a 3. MTTF 0 /2 1,5 Mh 666 

7 DMA 1a, 1sb 2. MTTF 0 2 Mh 500 

8 TU 1a, 1sb 2. MTTF 0 2 Mh 500 

9 PU 1a, 1sb 2. MTTF 0 2 Mh 500 

10 CU TMR 5. MTTF 0 /6 0,83 Mh 1.200 

11 HT TMR 5. MTTF 0 /6 0,83 Mh 1.200 

Summe 9.098 


304


ZSA 


– Mittlere Zeit bis zum Ausfall des Systems 

1 1 

MTTF = = 110000h 

= 12, 5Jahre 

9098 fit 

– Zuverlässigkeit des Systems 

R(5Jahre) 

= 

e 

−λ⋅43800h 

= 

= λ 

671 

e 

−9098 

fit⋅43800h 

= 

e 

−0,398 

= 

0, 

– Vergleich mit den Anforderungen: 

• R = 0,67 liegt deutlich unter der Anforderung von 0,95 

• MTTF = 12,5 Jahre liegt weit unter dem Wert von 1000 

– Verbesserung der Zuverlässigkeit 

• Verbesserung der Redundanz-Struktur des Systems 

• Verbesserung der Redundanz-Struktur der Teilsysteme 

• Verbesserung der Zuverlässigkeit der Komponenten 

(in der folgenden Tabelle mit Faktor x berechnet) 


305


ZSA 


– Verbesserung der Zuverlässigkeit der Komponenten 

Nr. Einheit λ [fit] CPU 

10 x besser 

Alle 

10 x besser 

Alle 

100 x besser 

1 CPU 666 66 66,6 6,66 

2 CCU 1.200 1.200 120 12 

3 MS 1.500 1.500 150 15 

4 SDU 666 666 66,6 6,66 

5 SIU 500 500 50 5 

6 DIU 666 666 66,6 6,66 

7 DMA 500 500 50 5 

8 TU 500 500 50 5 

9 PU 500 500 50 5 

10 CU 1.200 1.200 120 12 

11 HT 1.200 1.200 120 12 

Summe 9.098 8.498 909,8 90,98 


306


ZSA 

Gliederung 












307


ZSA 


– Zwei Arten von Komponentenausfällen 

• sicherheitsbezogene Ausfälle 

• nicht sicherheitsbezogene Ausfälle 

– Kennzeichnung der Kenngrößen 

• X' 

mit einem Strich, sicherheitsbezogene Kenngrößen, 

die sich nur auf sicherheitsbezogene Ausfälle beziehen 

• X" 

mit zwei Strichen, nicht sicherheitsbezogene Kenngrößen, 

die sich nur auf nicht sicherheitsbezogene Ausfälle beziehen 

• X = X' und X" 

ohne Strich, zuverlässigkeitsbezogene Kenngrößen, 

die sich auf alle Ausfälle beziehen 

(132) 

(133) 

(134) 


308


Ausfallarten und -raten 


0 

ZSA 

fehlerfreier Zustand 

1 

... ... 

2 m m+1 m+2 n 

nsb Ausfälle 

sb Ausfälle 

– Für konstante Ausfallraten: 

• Nicht sicherheitsbezogene Ausfallrate (nsb) 

" 

λ = 

m 

∑ 

i= 

1 

λ 

i 

(135) 

• Sicherheitsbezogene Ausfallrate (sb) 

' 

λ = 

n 

∑ 

i= 

m+ 

1 

λ 

i 

(136) 

• Zuverlässigkeitsbezogene Ausfallrate 

' " 

λ = λ + λ 

(137) 

• Mittlere Lebensdauer 

MTTF 

= 

1 

λ 

(138) 


309


ZSA 

Berechnung der Kenngrößen (1) 

– Keine Instandsetzung nach einem Ausfall 

• Vereinfachtes Zustandsdiagramm 

λ" 

1 


λ' 

3 2 

nsb Ausfall 

sb Ausfall 

• Markov-Modell: 

d 

dt 

⎡P1 

( t) 

⎤ 

⎢ ⎥ 

⎢ 

P2 

( t) 

⎥ 

⎢⎣ 

P ( ) ⎥ 

3 

t ⎦ 

= 

⎡− 

λ' 

⎢ 

⎢ 

λ' 

⎢⎣ 

λ'' 

− λ'' 

0 

0 

0⎤ 

⎡P1 

( t) 

⎤ 

0 

⎥ 

⋅ 

⎢ ⎥ 

⎥ ⎢ 

P2 

( t) 

⎥ 

0⎥⎦ 

⎢⎣ 

P ( ) ⎥ 

3 

t ⎦ 

(139) 


310


ZSA 

Berechnung sicherheitsbezogener Kenngrößen 

– Lösung des Differentialgleichungssystems 

P 

λ 

λ 

' 

−λt 

1 

( t) 

= e 

( 

−λt 

P ( t) 

= 1− e ) 

" 

λ 

λ 

( 

−λt 

) 

2 

P ( t) 

= 1− e 

3 

(140) 

– Sicherheitsbezogene Ausfallwahrscheinlichkeit 

(Gefährdungswahrscheinlichkeit) 

Q 

' 

' 

λ 

( t) 

= P2 

( t) 

= 1 

λ 

– Sicherheitsbezogene Überlebenswahrscheinlichkeit 

R 

' 

( t) 

= 1− 

' 

λ 

λ 


( 

−λt 

− e ) 

' 

' 

R ( t) 

= 1− 

Q ( t) 

= 1− 

P2 

( t) 

= P1 

( t) 

+ P3 

" 

λ 

λ 

( t) 

" 

λ 

λ 

' 

λ 

λ 

( 

−λt 

) 

−λt 

( 

−λt 

) 

−λt 

1− 

e = e + 1− 

e = + e 

(141) 

(142) 

311


ZSA 

Berechnung von Zuverlässigkeitskenngrößen 

– (Zuverlässigkeitsbezogene) Ausfallwahrscheinlichkeit 

Q ( t) 

= 1− 

P1 ( t) 

= P2 

( t) 

+ P3 

( t) 

(146) 

Q( 

t) 

λ 

λ 

λ 

λ 

' 

" 

−λt 

= 1− 

e = 

1 

( 

−λt 

) ( 

−λt 

1− 

e + − e ) 

(147) 

– (Zuverlässigkeitsbezogene) Überlebenswahrscheinlichkeit 

R( t) 

= P1 

( t) 

= 

e 

−λt 

(148) 


312


ZSA 

Abschätzung der Kenngrößen 

– Kurze Betriebsdauer 

Annahme: λt ist sehr klein 0 < λt


ZSA 

Numerisches Beispiel 

– Ausfallraten 

λ 

−5 

−1 

−5 

−1 

−5 

−1 

= 10 h , λ' 

= 0,01⋅10 

h , λ'' 

= 0,99⋅10 

h 


1 

MTTF = 100000h 

= 

λ 

= 100h, 

λt 

= 0,001, 0 < 0,001


ZSA 

Vergleich der Kenngrößen t < 1000h 

– Kleine Betriebszeiten 

genau linear exp 

1,00E-04 

9,00E-05 

8,00E-05 

7,00E-05 

6,00E-05 

5,00E-05 

4,00E-05 

3,00E-05 

2,00E-05 

1,00E-05 

0,00E+00 

0 

50 

100 

150 

200 

250 

300 

350 

400 

450 

500 

550 

600 

650 

700 

750 

800 

850 

900 

950 

1.000 


315

ZSA 

1.000.000 

950.000 

900.000 

850.000 

800.000 

750.000 

Vergleich der Kenngrößen t >100000h 

– Große Betriebszeiten 

1,00E-01 

9,00E-02 

8,00E-02 

7,00E-02 

6,00E-02 

5,00E-02 

4,00E-02 

3,00E-02 

2,00E-02 

1,00E-02 

0,00E+00 


316 

0 

50.000 

100.000 

150.000 

200.000 

250.000 

300.000 

350.000 

400.000 

450.000 

500.000 

550.000 

600.000 

650.000 

700.000 


genau linear exp 

MTTF


ZSA 


– Instandsetzung nach einem Ausfall 

Eine Instandsetzung wird nur nach einem nicht sicherheitsbezogenen 

Ausfall vorgenommen 

• Vereinfachtes Zustandsdiagramm 

μ" 


1 

λ" 

λ' 

3 2 

• Markov-Modell: 

nsb Ausfall 

sb Ausfall 

d 

dt 

⎡P1 

( t) 

⎤ 

⎢ ⎥ 

⎢ 

P2 

( t) 

⎥ 

⎢⎣ 

P ( ) ⎥ 

3 

t ⎦ 

= 

⎡− 

λ' 

−λ'' 

⎢ 

⎢ 

λ' 

⎢⎣ 

λ'' 

0 

0 

0 

μ'' 

⎤ ⎡P1 

( t) 

⎤ 

0 

⎥ 

⋅ 

⎢ ⎥ 

⎥ ⎢ 

P2 

( t) 

⎥ 

− μ'' 

⎥⎦ 

⎢⎣ 

P ( ) ⎥ 

3 

t ⎦ 

(155) 


317


ZSA 


– Lösung des Differentialgleichungssystems 

" ' " 

λ − λ + μ − r 

P2 

( t) 

= 1+ 

e 

2r 

" ' " 

λ − λ + μ + r 

+ 

e 

2r 

wobei r wird bestimmt durch 

" 

−( λ+ 

μ + r )t 

" 

−( λ+ 

μ −r 

)t 

(156) 

r 

= 

"2 " " ' 2 

μ + 2μ 

( λ − λ ) + λ 

(157) 

– Kurze Betriebsdauer 

Der Wert μ" sei wesentlich größer als λ, μ" >> λ 


' 

Q ( t) 

= P2 

( t) 

≅ 1− 

e 

' 

−λ 

t 

(158) 

(159) 


318


ZSA 


– Betrachtung der reinen Betriebszeit (up time) 

• Die Berechnung der sicherheitsbezogenen Kenngrößen wird nur auf 

die reine Betriebszeit bezogen. 

• Die Zeit der Instandsetzung (außer Betrieb d.h. down time) geht in die 

Berechnung nicht ein. 

• Die fehlerhafte Bewertung "Je länger außer Betrieb, um so sicherer" 

wird somit vermieden 

Betrieb 


ein 

aus 

System ausgefallen, außer Betrieb oder wird instand gesetzt 

t 


319


ZSA 


– Betrachtung der reinen Betriebszeit (up time) 

• Dieser Fall ist mit Instandsetzungszeiten gleich Null identisch 

MTTR" → 0, μ" → ∞ 

(160) 

Betrieb 


ein 

aus 

Instandsetzungszeit = 0 

t 


Q 

' 

( t) 

= lim P ( t) 

1 e 

" 2 

= − 

μ →∞ 

' 

−λ 

t 

(161) 


320


ZSA 


– Vereinfachtes Zustandsdiagramm 

Für μ" → ∞kann man die Zustände 1 und 3 zusammenlegen 

λ' 

1 

2 



sicherheitsbezogener Ausfall 

– Mittlere Zeit bis zum sicherheitsbezogenen Ausfall 

MTTF' = MTDF = 1 / λ' 

MTDF 

(Mean Time to Dangerous Failure) 


321


ZSA 

Beispiel: Fußgängerampel (1) 

– Beispiel nach VDI/VDE 3542 Blatt 3 

• Die Sicherheitsaspekte sind allgemein bekannt 

• Das System wird stark vereinfacht 

– Das System 

• Zwei Lichtsignale 

• Rotsignal für Kraftfahrzeuge 

• Grünsignal für Fußgänger 

• Zwei ordnungsgemäße Zustände 

• Beide Signallampen leuchten 

• Beide Signallampen sind dunkel 

• Ein- und Ausschalten der Signale 

• Einschalten vom Fußgänger durch Betätigen einer Taste 

• Ausschalten automatisch nach einer festgelegten Zeit 


322


ZSA 


Gesamtsituation 

T 2 

L r 

L g 

T 1 


323


ZSA 

Beispiel: Fußgängerampel(3) 

– Realisierung 

• Betrachtungseinheit A ohne Redundanz 

• Betrachtungseinheit B mit einer redundanten Komponente 

– Stromlaufplan für Betrachtungseinheit A 

SV 

T 1 T 2 L g 

L r 

ZR 

K 

SV Hilfsenergieversorgung T 1 , T 2 Taster 

ZR Zeitrelais L g , L r Signalleuchten (grün: 

Fußgänger; rot: Kfz 

K Schließkontakt des ZR 


324


ZSA 


− Ausfallarten und -raten für Betrachtungseinheit A 

i Komp. Ausfallart Ausfall λ i 

1 SV Keine Spannung nsb λ 1 

2 T 1 Kein Kontakt nsb λ 2 

3 T 2 Kein Kontakt nsb λ 3 

4 ZR Kein Anziehen nsb λ 4 

5 K Kein Kontakt nsb λ 5 

6 L g unterbrochen nsb λ 6 

7 L r unterbrochen sb λ 7 

nsb 

sb 

nicht sicherheitsbezogener Ausfall 


Annahmen: 

λ i = λ 0 = 10 -4 h -1 = konstant , i=1, 2, ... 7 


325


ZSA 


– Zustandsdiagramm für Betrachtungseinheit A: 

Sichere Zustände 

μ" 

λ" 

1 

3 2 


λ' 

nsb Ausfall 

sb Ausfall 

– Vereinfachtes Zustandsdiagramm: 

1 


λ' 


2 



326


ZSA 


– Nicht sicherheitsbezogene (nsb) und sicherheitsbezogene (sb) Ausfallrate: 

6 

" −4 

−1 

λ = ∑ λ i 

= 6 ⋅10 

h , ' 

−4 

−1 

λ = λ = 10 h 

i= 

1 

– Ausfallrate und Mittlere Lebensdauer: 

' 

−4 

λ = λ + λ = 7 ⋅10 

h 

" −1 

– Sicherheitsbezogene Ausfallwahrscheinlichkeit: 

' 

Q ( t) 

= 1− 

e 

' 

−λt 

– Sicherheitsbezogene Überlebenswahrscheinlichkeit: 

' 

– Mittlere Zeit bis zum sicherheitsbezogenen Ausfall: 

, 

7 

MTTF = 1 / λ = 1. 428 h 

, für t = 10000h 

ist Q' 

= 0,632 

' 

( ) = − λt 

R t e , für t = 10000h 

ist R' 

= 0,368 

MTTF 

' 

= λ 

' 

1 / = 

10 

4 

h 


327


ZSA 


– Bewertung der Betrachtungseinheit A 

• Die Betrachtungseinheit A erfüllt die Forderung nach 

hoher Sicherheit nicht 

• Die sicherheitsbezogene Ausfallrate von 10 -4 h -1 ist viel zu hoch 

• Die mittlere Zeit bis zum sicherheitsbezogenen Ausfall von 

10000h ist zu niedrig 

– Verbesserung der Realisierung 

• Eine Verbesserung der Realisierung kann in verschiedener Form 

vorgenommen werden 

• Im weiteren wird nur eine sehr einfache Form der Verbesserung durch 

Redundanz vorgeschlagen, und die Wirkung quantitativ berechnet 


328


ZSA 


– Betrachtungseinheit B 

• Die rote Signalleuchte wird redundant realisiert 

• Die Ausfalloffenbarung sei τ = 1/ε = 10h, ε = 0,1/h 

– Stromlaufplan für Betrachtungseinheit B 

SV 

T 1 T 2 L g 

L r2 

L r1 

ZR 

K 

τ 

mittlere Zeit für die Ausfallerkennung der roten Signalleuchte 


329


ZSA 


Zustandsdiagramm 

für Betrachtungseinheit B 

Vereinfachtes 

Zustandsdiagramm 

Sichere Zustände 

μ" 

1 

λ" 


ε 

2λ 0 

4 2 

nsb Ausfall 

λ 0 

3 

sb Ausfall 


2λ 0 ε 

1 

2 

λ 0 

3 

sb Ausfall 


330


ZSA 


– Mittlere Zeit bis zum sicherheitsbezogenen Ausfall: 

2 

2 

6 

( 3λ 

+ ε )/ 

2λ 

≅ ε / 2 = 5⋅ 

h 

MTTF ' = 

0 0 

λ0 

10 

– Sicherheitsbezogene (sb) Ausfallrate: 

' 

λ 

≅ 1/ 

MTTF 

' 

= 

2λ 

/ ε = 

2 

0 

2⋅10 

−7 

h 

−1 

– Sicherheitsbezogene Ausfallwahrscheinlichkeit: 

' 

Q ( t) 

= 1− 

e 

' 

−λt 

, 

für 

t 

= 10.000h ist 

Q' 

= 

0,002 

– Sicherheitsbezogene Überlebenswahrscheinlichkeit 

' 

R ( t) 

' 

= − λ t 

e , für t = 10.000h ist R' 

= 

0,998 


331


ZSA 


– Vergleich der Realisierung A und B 

• τ = 10h 

Einheit MTTF' 

10 4 h 

λ' 

10 -4 /h 

Q' 

t=10.000 

R' 

t=10.000 

A 1 1 0,368 0,632 

B 500 0,002 0,002 0,998 

• τ = 0,1h (6 Minuten) 

Diese Zeit kann durch automatische Ausfallerkennung und 

anschließender Abschaltung erreicht werden 

Einheit 

MTTF' 

10 4 h 

λ' 

10 -4 /h 

Q' 

t=10.000 

R' 

t=10.000 

A 1 1 0,368 0,632 

B 5.10 4 2.10 -5 2.10 -5 1-2.10 -5 


332


ZSA 

Gliederung 












333


ZSA 

Unzuverlässige Software in der Presse 


334


ZSA 

Zuverlässigkeitsmodelle für Software 

– Klassifizierung 

• Zeitabhängige Modelle 

Die verwendeten Daten haben jeweils zeitlichen Bezug 

• Shooman Modell 

• Jelinski-Moranda-Modell 

• Poisson-Modell 

• Schick-Wolverton-Modell 

• Zeitunabhängige Modelle 

Zeitunabhängige Testergebnisse werden verwendet 

• Mill-Modell 

• Lipow-Modell 

• Rudner-Modell 

• Nelson-Modell 


335


ZSA 

Zeitabhängige Modelle 

– Prozess der Fehlererkennung und Korrektur 

• Die Anzahl der Fehler eines Programms 

• Hängt von der Komplexität des Programms ab 

• Einfachste Metriken für Komplexität: 

LOC (Lines of Code), Zahl der Programmanweisungen 

• Fehlerrate 

• Anzahl der in einer Zeiteinheit aufgetretenen Fehler hängt von der 

Gesamtzahl der Fehler im Programm ab 

• Fehlerkorrektur 

• Durch die Fehlerbehebung verringert sich die Anzahl der Fehler im 

Programm 

• Im Idealfall wird jeder Fehler richtig korrigiert 

• In der Praxis können neue Fehler dazukommen 

• Mittlere Zeit zwischen zwei erkannten Fehlern 

• Die Zeit wird nach jeder Korrektur größer 


336


ZSA 

Shooman Modell (1) 

– Das Prinzip 

Die Fehlerrate von Software ist der Zahl der im Programm enthaltenen 

Fehler (Restfehler) proportional 

– Anzahl der Fehler 

• E r = E - E c 

• E Anzahl der Fehler zu Beginn der Tests 

• E c , E r Anzahl der korrigierten Fehler und der Restfehler 

– Fehlerrate 

λ 

sw 

( t) 

= c ⋅ 

Er 

( τ ) 

I 

c Proportionalitätskonstante 

I Anzahl der Programmanweisungen (Instruction) 

τ, t Testzeit, Betriebszeit 

E, c unbekannte Modellparameter 


E 

= c ⋅ 

− E 

I 

c 

( τ ) 

(162) 

337


ZSA 


– Gesamtzahl der Fehler E 

Die Summe E der korrigierten Fehler E c und der Restfehler E r 

konstant angenommen. 

wird als 

• E 

= 

E c (τ) + E r (τ) = konstant 

Der Wert E entspricht der Zahl der zu Beginn der Testzeit im 

Programm vorhandenen Fehler. 

– Relative Fehlerzahl (Fehlerdichte) ε 

Bezogen auf die Anzahl der Programmanweisungen I 

Ec 

( τ ) Er 

( τ ) E − Ec 

( τ ) E 

ε c ( τ ) , ε 

r 

( τ ) = = = − ε 

c 

( τ ) 

I 

I I I 

= (163) 

ε c 

ε r 

Anzahl der korrigierten Fehler pro Anweisung 

Anzahl der Restfehler pro Anweisung 


338


ZSA 


– Überlebenswahrscheinlichkeit R sw (t) 

−c⋅⎜ 

−ε 

c ( τ ) ⎟⋅t 

−λsw⋅t 

−c⋅ε 

r ( τ ) ⋅t 

⎝ ⎠ 

Rsw( 

t) 

= e = e = e 

– Voraussetzung: 

Die Fehlerrate ist im Zeitintervall bis zur nächsten Korrektur konstant 

λ ( t) 

= λ sw sw = konstant, im Zeitintervall [0, t] 

– Mittlere Zeit bis zum Fehler MTTF sw 

MTTF 

sw 

= 

1 

λ 

sw 

= 

⎛ 

c ⋅⎜ 

⎝ 

E 

I 

1 

⎞ 

−ε 

c 

( τ ) ⎟ 

⎠ 

⎛ 

E 

I 

⎞ 

(164) 

(165) 

(166) 


339


ZSA 


– Daten zur Berechnung der Modellparameter 

• Testintervalle 

Zwei Testintervalle τ 1 und τ 2 werden betrachtet 

• Korrigierte Fehler 

Anzahl der in den Testintervallen korrigierten Fehler 

E c (τ 1 ) < E c (τ 2 ) , für τ 1 < τ 2 

• Abschätzung der Fehlerrate 

λ ( t) 

= 

sw1 

λ ( t) 

= 

sw2 

E 

E 

(167) 

c 

( τ1) 

(168) 

H1 

c( 

τ 

2) 

(169) 

H 

2 

Testintervallen τ 1 und τ 2 

H1, H2 fehlerfreie Testzeiten in den 


340


ZSA 


– Ableitung der Modellparameter 

• Fehlerrate 

λ 

sw 

Er 

( τ ) ⎛ E ⎞ 

( t) 

= c ⋅ = c ⋅⎜ 

−ε 

c( 

τ ) ⎟ 

I ⎝ I ⎠ 

• Proportionalitätskonstante c 

c 

= 

E 

I 

λ 

sw 

−ε 

c 

(τ ) 

• Die Konstante c ist für beide Testintervalle identisch 

(170) 

(171) 

c 

= 

E 

I 

λsw 

1 

λsw2 

= 

E 

−ε 

c 

( τ1) 

−ε 

c 

( τ 

2) 

I 

(172) 


341


ZSA 


– Weitere Umformungen 

E 

I 

E 

I 

λ 

( λ 

1 

− λ 

2 

) = ε τ 

2) 

λ 

1 

− ε ( τ1) 

λ 

2 

sw 

sw 

E 

I 

sw1 − ε 

c 

( τ 

2) 

λsw 

1 

= λsw2 

−ε 

c 

( τ1) 

λsw2 

c 

( 

sw c sw 

E 

I 

E 

I 

E 

I 

= 

= 

= 

ε ( τ 

c 

2 

) λsw 

1 

−ε 

c 

( τ1) 

( λ − λ ) 

sw1 

sw2 

sw2 

ε 

c 

( τ 

2) 

−ε 

c 

( τ1) 

λ 

1− 

λ / λ 

ε 

c 

( τ1) 

λ 

λ 

sw2 

sw2 

/ λ 

/ λ 

sw1 

sw1 

sw2 

sw1 

λ 

sw2 

/ λ 

sw1 

−ε 

c 

( τ 

2) 

−1 


342


ZSA 


– Die Berechnung des Modell-Parameters E 

E 

= 

I 

⋅ 

( λ / λ ) 

– Die Berechnung des Modell-Parameters c 

– Änderung der Fehlerrate 

⋅ε 

c 

( τ1) 

− ε 

c 

( τ 

2) 

/ λ −1 

sw2 

sw1 

(173) 

λsw2 

sw1 

λsw 

1 

λsw2 

c = I ⋅ = I ⋅ 

(174) 

E − Ec 

( τ1) 

E − Ec 

( τ 

2) 

c 

λsw 

1 

− λsw2 

= ( Ec 

( τ 

2) 

− Ec( 

τ1) 

) 

(175) 

I 

Δλ = c 

(176) 

sw 

– Änderung der Fehlerrate pro Fehlerkorrektur 

I 


343


ZSA 

Numerisches Beispiel (1) 

– Anweisungen eines Programmsystem 

Ein Programmsystem hat I = 1000 Anweisungen 

– Testintervalle 

τ 1 = 20 Tage, τ 2 = 40 Tage 

– Fehlerfreie Testzeiten 

Pro Tag werden 5 Stunden fehlerfreie Testzeit angenommen 

H 1 = 100 h, H 2 = 200 h 

– Anzahl der korrigierten Fehler 

E c (τ 1 ) = 16, ε c (τ 1 ) = 16/1000 = 0,016 

E c (τ 2 ) = 24, ε c (τ 2 ) = 24/1000 = 0,024 

– Abschätzung der Fehlerraten 

λ sw1 = 16/100h = 0,16/h 

= 24/200h = 0,12/h 

λ sw2 


344


ZSA 

Numerisches Beispiel (2) 

– Modellparameter 

• Gesamtzahl der Fehler E 

( 0,12 / 0,16) 

⋅0,016 

− 0,024 

E = 1000 ⋅ 

= 

0,12 / 0,16 −1 

• Proportionalitätskonstante c 

48 

0,16 0,12 

c = 1000 ⋅ = 1000⋅ 

= 5 

48 −16 

48 − 24 

• Änderung der Fehlerrate pro Fehlerkorrektur 

Δλ 

sw 

= 

5 

1000 

= 

0,005 


345


ZSA 

Zeitunabhängige Modelle 

– Tests für zeitunabhängige Modelle 

• Eine große Zahl von Tests wird durchgeführt 

• Alle Tests sind von einander unabhängig 

• Die Zeit der Testdurchführung hat keine Bedeutung 

– Testergebnisse 

• Jeder Test liefert eine eindeutige Aussage 

• Funktion in Ordnung 

• Funktion fehlerhaft 

• Ein erkannter Fehler wird nur einmal gezählt 

– Auswertung der Daten 

Die erhaltenen Daten werden statistisch ausgewertet 


346


ZSA 

Mill-Modell (Fehlersaat-Verfahren) 

– Voraussetzungen 

• Gleiche Wahrscheinlichkeit für jeden Fehler erkannt zu werden 

• Anzahl der eingebauten >> Anzahl der echten Fehler 

– Zahl der Fehler 

• X Gesamtzahl der echten Fehler 

• Y Gesamtzahl der eingebauten Fehler 

• U Zahl der erkannten echten Fehler 

• V Zahl der erkannten eingebauten Fehler 

– Folgender Zusammenhang wird angenommen 

X 

Y 

U 

= , 

V 

Y 

>> 

X 

– Abschätzung der Zahl der echten Fehler 

U 

X = Y 

V 


(177) 

(178) 

347


ZSA 

Wodurch wird Software qualitativ hochwertig? 

Sind alle notwendigen 

Funktionen in der 

Software enthalten? 

Wie einfach ist es, 

die Software auf eine 

andere Umgebung 

zu portieren? 

Übertragbarkeit 

Funktionalität 

Zuverlässigkeit 

Wie zuverlässig 

ist die Software? 

Qualität 

Wie einfach ist 

Software 

zu ändern? 

Änderbarkeit 

Effizienz 

Benutzbarkeit 

Ist die Software 

einfach 

zu benutzen? 

Wie effizient ist 

die Software? 

[ISO/IEC 9126:1991] 


348


ZSA 

Quantitative Software Reliability: To Use Or Not To Use? 

[1994 Lyu et al.] 

[2002 Shull Basili Boehm et al.] 

Frühzeitige quantitative Zuverlässigkeitsanalyse 

spart Zeit und Kosten 


349


ZSA 

Quantifizierung der Softwarezuverlässigkeit 

– Qualitative Aussage "möglichst zuverlässig" nicht nachprüfbar 

– Beantwortung der Frage "Wie zuverlässig ist zuverlässig?“ 

• 100%ige Zuverlässigkeit ist unmöglich 

– „Engineering“ der Zuverlässigkeit 

• So viel Zuverlässigkeit wie nötig 

• So wenig Aufwand an Zeit und Kosten wie möglich 

– Vergleich mit Brückenbau 

• Auslegung der Brücke für eine 

bestimmte Belastung 

(Anzahl + Gewicht der Fahrzeuge) 

• Berechnung und Simulation 

der Lebensdauer der Brücke 

zur Absicherung 

[SFB398] 


Zusammenbruch der Tacoma Brücke 

(1940) 

350


ZSA 

Messung der Softwarezuverlässigkeit (1) 

− Quantitative Zuverlässigkeit: 

Wahrscheinlichkeit, dass ein System innerhalb eines Zeitintervalls unter 

festgelegten Betriebsbedingungen seine Funktion erfüllt 

[IEC60050] 

Test / Betrieb 

Eingaben 

System 

Ausgaben 

Empirische Daten: 

Zeitpunkte, an denen 

das System versagt 

5h 

7,5h 

8h 

 

 

 

Verlauf der 



351


ZSA 

Messung der Softwarezuverlässigkeit (2) 

─ Zuverlässigkeitsmodell: 

Mathematisches Modell zur Berechnung der Zuverlässigkeit mittels 

wahrscheinlichkeitstheoretischer Methoden 

[IEC60050] 

Gesucht: Ableitung der 

Zuverlässigkeit aus vorhandenen 

empirischen Daten 

Welches Modell 

ist das richtige? 

Empirische Daten: 

Zeitpunkte, an denen 

das System versagt 

5h 

7,5h 

8h 

 

 

 

? 

Verlauf der 



352


ZSA 

Kurze Historie der Zuverlässigkeitsmodelle 

1975 Musa-Modell 

1975 Schneidewind- 

1991 Shooman- 

Modell 

Modell 

1998 Gokhale- 

1973 Littlewood- 

1984 Dunn-Modell Modell 

Verrall-Modell 

1984 Musa- 

1999-2007 

1973 Schick- 

Wolverton-Modell 

Okumoto-Modell 

Cukic-Modell 

1972 Jelinski- 

Moranda-Modell 

1979 Goel- 

Okumoto-Modell 

2007 

# Modelle > 100 

1972 1980 1990 

2000 

Jahr 


353


ZSA 

Klassifikation von Zuverlässigkeitsmodellen nach 

Entwicklungsphasen 

Entwicklungsphasen 

Anforderungen Entwurf Implementierung Test Feldeinsatz 

Frühzeitige Prognosemodelle 

Architekturbasierte Modelle 

Zuverlässigkeitswachstumsmodelle 

Andere Modelle 


354


ZSA 

Frühzeitige Prognosemodelle (1) 

− 

Empirische Daten der Software 

• Komplexität 

• Größe des Quellcodes 

Computersystem 

Software 

Wahrscheinlichkeit, dass 

Fehler zu Versagen führt 

Frühzeitige 

Prognosemodelle 

+ 

Fehlerdichte 

Prognostizierte 

SW-Zuverlässigkeit 

z. B. D = 4,86 + 0,018 * L 

Anzahl Quellcodezeilen 

Konstanten aus empirischen Untersuchungen 

Prognostizierte Anzahl der Fehler im Quellcode 


355


ZSA 

Frühzeitige Prognosemodelle (2) 

Beurteilung: 

+ Anwendbar in frühen Entwicklungsphasen durch Schätzung der 

Eigenschaften 

– Geringe Genauigkeit, da kein signifikanter Zusammenhang zwischen 

Eigenschaften der Software und der Anzahl der Fehler nachweisbar 

[1999 Fenton Ohlsson] 


356


ZSA 

Architekturbasierte Modelle (1) 

[2001 Goseva–Popstojanova et al.] 

− Empirische Daten 

• Modul – Zuverlässigkeiten 

• Ausführungshäufigkeit der Module 


Software 

SW-Architektur 

Architekturbasierte 

Modelle 

SW-Zuverlässigkeit 

abhängig von Modulen 

z. B. Shooman-Modell 


357


ZSA 

Architekturbasierte Modelle (2) 

Beurteilung: 

+ Hohe Genauigkeit der Modelle bei präzisen Eingabedaten 

+ Einfluss einzelner Module auf Systemzuverlässigkeit analysierbar 

– Zuverlässigkeiten einzelner Module häufig unbekannt 

– Bestimmung der Ausführungshäufigkeiten in der Praxis schwierig 

(in frühen Entwicklungsphasen unbekannt) 


358


ZSA 

Zuverlässigkeitswachstumsmodelle (1) 

[1996 Lyu] 

− Empirische Daten 

• Versagenszeitpunkte der Software 


Software 

Zuverlässigkeitswachstumsmodelle 

Verlauf der 

SW- 


z. B. Jelinski-Moranda-Modell 

Zuverlässigkeit nimmt 

stetig zu 

(alle Fehler lokalisiert und 

korrekt beseitigt) 


359


ZSA 

Zuverlässigkeitswachstumsmodelle (1) 

Beurteilung: 

+ Hohe Genauigkeit bei Auswertung empirischer Daten aus Test und Betrieb 

– Zuverlässigkeitsmodelle setzen Annahmen voraus, die in der Praxis nicht 

zutreffen 

– Keine empirischen Daten in frühen Entwicklungsphasen verfügbar 

– Übertragbarkeit von Ergebnissen früherer Systeme nicht möglich, 

da individuell entwickelte Software nicht über Systeme hinweg vergleichbar 


360


ZSA 

Heutige Probleme mit klassischen Zuverlässigkeitsmodellen 

– Verfügbarkeit empirischer Daten 

• Notwendige Daten werden häufig gar nicht oder nicht systematisch 

erfasst 

• In frühen Entwicklungsphasen sind keine empirischen Daten über zu 

entwickelnde Software verfügbar 

• Aufwand für den Aufbau von Datenbasen ist sehr hoch (z. B. durch 

manuelle Klassifikation aufgetretener Fehler) 

– Anwendbarkeit der Modelle im Entwicklungsprozess 

• Keine Modelle mit guter Genauigkeit für frühe Entwicklungsphasen 

• Zuverlässigkeitsaussagen (z. B. 10 -3 Versagensfälle / Anforderung) 

schwer interpretierbar 

Entwicklung eines Konzepts für die 

frühzeitige Zuverlässigkeitsanalyse 


361


ZSA 

Lösungsansatz in anderen Ingenieurbereichen: 

Komponenten 

− 

− 

Kleinstbausteine werden durch vorgefertigte Komponenten ersetzt, für die 

bereits empirische Zuverlässigkeitsdaten vorliegen 

Beispiele für vorgefertigte Komponenten: 

• Maschinenbau: Kfz-Triebstrang aus Kupplung, Wandler, Differenzial, 

Wellen, Gelenken, Bedienelementen … 

• Elektrotechnik: Fernseher aus Empfänger, Bildröhre, 

Bedienelementen… 

Beispiel Entwicklungstiefe 

in der Automobilindustrie: 

System 

Anforderungen 

Realisierung 

Instanziierung 

Komponenten 

Für japanische Fahrzeuge 

der Kompaktklasse 

werden ca. 50% als 

abgeschlossene 

Komponenten von 

Zulieferern zugekauft. 

[2000 Moldaschl][2001 Bergner et al.] 


362


ZSA 

Vergleich Zuverlässigkeitsanalyse Software Hardware (1) 

Vorgefertigte 

HW- 

Komponenten 

Hardware 

Software 

Individuell 

entwickelte 

Software 

System 

– Generische 

Zuverlässigkeitsaussagen aus 

früherem Einsatz 

– Keine generischen 

Zuverlässigkeitsaussagen 

z. B. λ P = λ B π T π A … 

[IEEE1413] 

Einflussgrößen 

(Temperatur, …) 

Generische 

Basis-Ausfallrate 

Ausfallrate HW-Komponente 

Zuverlässigkeit in frühen 

Entwicklungsphasen nicht 

analysierbar 


363


ZSA 

Vergleich Zuverlässigkeitsanalyse Software Hardware (2) 

– Zuverlässigkeit HW-Komponenten 

• Aktuelle Einflussgrößen 

(Temperatur, ...) bestimmen 

• Generische Aussagen übertragen 

– Zuverlässigkeit des Hardware-Systems 

• HW-Architektur analysieren 

(Fehlerbaumanalyse, ...) 

• Einzelne Zuverlässigkeiten kombinieren 


364


ZSA 

Übertragung des Lösungsansatzes auf Software 

Vorgefertigte 

HW-Komponenten 

Hardware 

Software 

Komponentenbasierte 

Software 

Analogie 

− Unveränderliche SW-Komponenten 

• funktional geschlossen 

• Verknüpfung über Schnittstellen 

• Anpassbar an Umgebung 

System 

 

− Generische Zuverlässigkeitsaussagen 

• Mehrfacher Einsatz der SW- 

Komponenten in verschiedenen 


• Erfassung und Auswertung 

empirischer Daten 

• Ergebnis: Abhängigkeit 

Einflussgrößen Zuverlässigkeit 

− 

− 

Zuverlässigkeit SW-Komponenten 

Zuverlässigkeit des Software-Systems 


365


ZSA 

Was genau versteht man unter einer Softwarekomponente? 

Funktionale Geschlossenheit 

(sichtbares Verhalten) 

Innere Abläufe 

Anpassbarkeit mittels 

Konfiguration durch die 

Anwendung 

Parametrierung, 

Konfiguration 

Komponente A 

Betriebsprofil: Aktivierung durch 

• andere Komponenten über 

Verknüpfungen, 

• Benutzer oder 

• Betriebssystem 


Komponente B 

Strukturell unabhängig, da 

Verknüpfung von Komponenten nicht 

fest vorgegeben 

Verknüpfbarkeit über Schnittstellen 

nicht fest vorgegeben 

366


ZSA 

Mehrfacher Einsatz von Komponenten 

Komponentenbibliothek 

Komponenten- 

Entwicklung 

HW 

SW 


Mehrfacher Einsatz 

in versch. 


Empirische 

Daten 

Generische 

Zuverlässigkeitsaussagen 

Aktuelles System 

Entwicklung des aktuellen 

Automatisierungssystems 

Konfiguration, 

Auswahl Parametrierung, Verknüpfung 

Anpassung an 

aktuelle Umgebung 

HW SW Zuverlässigkeitsaussage 

für aktuelles System? 


367


ZSA 

Konzept für eine frühzeitige Zuverlässigkeitsaussage 


– Generische Zuverlässigkeitsaussagen 

• Empirische Daten auswerten 

• Abhängigkeit Einflussgrößen 

Zuverlässigkeit beschreiben 

Welches sind relevante 

Einflussgrößen für Software? 

Wie werden Abhängigkeiten aus 

den empirischen Daten ermittelt? 

Aktuelles System 

– Zuverlässigkeit SW-Komponenten 

• Aktuelle Einflussgrößen 

bestimmen 

• Generische Aussagen 

übertragen 

– Zuverlässigkeit des 

Software-Systems 

• SW-Architektur analysieren 

• Einzelne Zuverlässigkeiten 

kombinieren 

Wie werden Einflussgrößen aus 

der aktuellen Umgebung 

bestimmt? 

Wie werden die Zuverlässigkeiten 

kombiniert? 


368


ZSA 

Was sind relevante Einflussgrößen für Software? 

− Hardware 

• Temperatur, Feuchtigkeit, 

äußere Beschaltung … 

• Beanspruchung, Lastprofil, ... 

Software (aus Definition 

einer SW-Komponente) 

Parametrierung 

Konfiguration 

Bsp.: P = 80 

− Wie werden Abhängigkeiten 

aus den empirischen Daten ermittelt? 

• Anwendung von Verfahren der 

Regressionsanalyse zur 

Auswertung der empirischen Daten 

• Ergebnis: Generische Zuverlässigkeitsaussagen 

für SW-Komponenten 

Komponente A 

− Betriebsprofil: 

Aktivierung der Komponente 

z. B. f(x) mit x ∈ [20,40] alle 40ms 

Bsp.: abhängig von 

Parameter P: 

R(t) = func(t, P) 


369


ZSA 

Wie werden Einflussgrößen aus der aktuellen Umgebung 

bestimmt? 

− Hardware 

• Physikalische Umgebung 

(Temperatur, Feuchtigkeit, 

äußere Beschaltung, …) 

• Benutzung (Beanspruchung, 

Lastprofil, ...) 

− Einsetzen der ermittelten 

Einflussgrößen 

Bsp.: R(t) = func(t, P) 

− Ergebnis: 


der SW-Komponenten 

− Software 

• Parametrierung und Konfiguration aus 

den Vorgaben des Entwicklers 

• Betriebsprofil aus 

z. B. durch 

Benutzer: 

f(x) mit x ∈ 

[20,40] 

alle 40ms 

• externer Aktivierung durch Benutzer 

oder Betriebssystem 

• der Verknüpfung mit anderen 

Komponenten 

Software 

z. B. g(x) mit 

x ∈ [60,100] 

alle 80ms 

Propagierung über 

Verknüpfungen 


370


ZSA 

Wie werden Zuverlässigkeiten kombiniert? (1) 

− Hardware 

• Analyse der HW-Architektur 

(Blockdiagramm, …) 

• Zusammenhang zwischen 

Zuverlässigkeiten der HW- 

Komponenten und des 

Hardware-Systems 

(Fehlerbaumanalyse, …) 

Hardware 

− Software 

• Analyse der SW-Architektur 

(UML-Diagramme, …) 

• Betrachtung auf Komponentenebene 

analog zu HW-Systemen 

• Analyse, welche Kombination an 

SW-Komponenten zum Versagen 

des Software-Systems führt 

Software 

A 

B 

A 

B 

C 


371


ZSA 

Wie werden Zuverlässigkeiten kombiniert? (2) 

Bsp.: Fehlerbaumanalyse 

(FTA) 

− Ergebnis: 

Berechnungsgleichung 

− Ergebnis: 

Berechnungsgleichung 

für Zuverlässigkeit des 

Software-Systems 

R 

HW 

= 

R 

A 

R 

A 

( B 

1− 

C 

) 

R 

SW 

= RAR 

B 

B 

C 

R 

+ (1 − RA)(1 

− RB 

) R 

+ (1 − RA) 

RBRC 

+ R 

+ R R R 

C 

A 

(1 − 

R 

B 

) R 

C 


372


ZSA 

Beispiel: Frühzeitige Zuverlässigkeitsanalyse der Steuerung 

eines am IAS entwickelten Lkw-Modells 

− Konstruktion der Steuerung aus vorhandenen SW-Komponenten 

Hardware 

Vorgabe des 

Entwicklers 

Software 

Automatisierungssystem 

P = 4.000 

Auswahl 

Konfiguration 

Parametrierung 

Verknüpfung 

«Component» 

B 

P 

«Component» 

A 


Lkw-Modell 

Film: Truck 

373


ZSA 

Anwendung des Konzeptes auf die Steuerungssoftware 

− Zuverlässigkeit SW-Komponenten 

Vorgabe des 

Entwicklers 

Generische 

Zufallsaussage 

P = 4.000 

R(t) = func(t, P) 

Reliability R(t) 

0.0 0.2 0.4 0.6 0.8 1.0 

0 200 400 600 800 1000 

Zuverlässigkeiten 

(Bsp.: konstante Werte) 

R 

R 

Control 

OutDriver 

= 0,5 

= 0,8 

Berechnete 

Softwarezuverlässigkeit 

R 

SW 

= RControl 

⋅ ROutDriver 

= 0,4 


374


ZSA 

Gliederung 












375

§ 14 Rams-Management 

ZSA 


– RAMS-Management 

• Zuverlässigkeits- und Sicherheits-Management 

– Zuverlässigkeits-Management 

• Alle Aktivitäten und Maßnahmen zum Festlegen der RAM- 

Anforderungen (Zuverlässigkeit, Verfügbarkeit und Wartbarkeit) 

• Erreichen, Nachweisen und Erhalten der RAM-Eigenschaften von 

Komponenten und Systemen 

– Sicherheitsmanagement 

• Alle Aktivitäten und Maßnahmen zum Festlegen der 

Sicherheitsanforderungen 

• Erreichen, Nachweisen und Erhalten der geforderten Sicherheit von 

Komponenten und Systemen 


376


ZSA 

RAM-Logbuch 

– Das RAM-Logbuch (Journal) 

• Alle RAM-Aktivitäten, Ereignisse und Vorgänge, getroffene 

Entscheidungen und angewandte Lösungen werden im RAM-Logbuch 

in Form eines Journal festgehalten 

• Beispiele von RAM-Aktivitäten 

• Erstellung, Review und Freigabe von RAM-Dokumenten 

• Schulungen, Teilnahme an RAM-Seminaren 

• Präsentation von RAM-Verfahren und -Werkzeuge 

• Ermittlung der RAM-Daten für Komponenten und Systeme 

– Nutzen 

• Das RAM-Logbuch dient der Verfolgbarkeit aller RAM-Aktivitäten. 


377


ZSA 

Beispiel: RAM-Logbuch 

Nr. Datum Ereignis Art Verantw 

ort. 

1 28.02.98 Erstellung einer vorläufigen RAM-Analyse, D Ma. 

Start 

2 16.04.98 RAM-Plan, erster Entwurf 09.04.1998 D Ma. 

Bemerk. 

3 17.04.98 Einladung zum Review des RAM-Plans R Mü. 

4 21.04.98 Reviewstellungnahmen zum RAM-Plan R Mü. 

5 29.05.98 Überarbeitung und Einarbeitung der R Ma. 

Reviewkommentare in den RAM-Plan 

6 10.06.98 Präsentation des Tools RAT (Reliability B Be. 

Assessment Tool) 

7 11.09.98 RAM-Analyse, Version 1.0 wird freigegeben F Bü. 

8 18.09.98 Teilnahme der Entwicklung und des Support 

am Seminar RAMSS 

B Ko. 


378


ZSA 

Sicherheits- und Gefährdungslogbuch 

– Sicherheitslogbuch 

Das Sicherheitslogbuch besteht aus zwei Teilen: 

• Journal (wie RAM-Logbuch jedoch für sicherheitsrelevante Ereignisse) 

• Gefährdungslogbuch 

– Gefährdungslogbuch 

• Es enthält eine Auflistung aller für das System identifizierten 

potentiellen Gefährdungen einschließlich entsprechender Lösungen 

und Gegenmaßnahmen 

• Es wird kontinuierlich fortgeschrieben 


379


ZSA 

Beispiel: Sicherheitslogbuch 

Nr. Datum Ereignis / Dokument Art Verant 

wort. 

1 05.09.97 Systemsicherheitsbeauftragter wird ernannt, E Ba. 

Protokoll 06.09.97 

2 01.10.98 Audit am 01.10.1997, Auditbericht 07.10.97 A Ma. 

Bemerk. 

3 15.10.97 Sicherheitslogbuchs in Form einer ACCESS- 

Datenbank wird erstellt, Protokoll 20.10.97 

4 10.11.97 Sicherheitslogbuchs (Datenbank) wird zur 

Anwendung freigegeben, Email 10.11.1997 

5 03.02.98 Gefährdungsanalyse wird in Auftrag gegeben, 

Schreiben 03.02.1998 

6 05.03.98 Zur Besprechung mit EBA wird eingeladen. 

Thema Rückfallstrategie bei 

Datenübertragungsausfall, Einladung 

05.03.1998 

7 15.03.98 Gefährdungsanalyse vom 01.03.1998 wird 

geliefert 

8 11.06.98 Gefährdungsanalyse vom 01.03.1998 wird am 

11.06.1998 freigegeben 

E Ba. 

F Mü. 

E Mü. 

B Mü. 

D Bu. 

F Bu. 


380


ZSA 

Beispiel: Gefährdungslogbuch 

Nr. Ausfallart Ursache Maßnahmen Ausfall- 

Auswirkung 

A1 Mode Manager 

1.Funktion ausgefallen 

Übergang in 

liefert 2.Datenübertragung on- 

den sicheren 

keine Daten board ausgefallen 

Zustand 

A2 Mode Manager 

liefert falsche 

Daten 

A4 Diagnosemeldung 

zu 

spät 

1. Mode Manager berechnet 

falsch 

2.Bekam falsche Daten 

3.Ausgabedaten bei Datenübertragung 

onboard 

verfälscht 

1. Fehler d. Übertragung 

2. Manipulation 

3. Falsche RBC Daten 

4. Falsche Ortsdaten 

1.Übertragungsfehler 

2.Fehler im Diagnosespeicher 

Bei statischem 

Fehler 

mehrfaches 

abspeichern 

Es kann eine 

falsche 

Bremskurve 

ausgewählt 

werden. 

Gefährdung 

Keine 

Entgleisung 

oder 

Zusammenstoß. 

A3 Ausgabe falscher 

Streckendaten 

Bremskurvenüberwachung 

falsch 

Keine 


381


ZSA 

Gefährdungslogbuch, Klassifizierung 

– Klassifizierung der Gefährdungen 

• Art der Gefährdung 

• Person P, Gerät/System G, Umwelt U, offen 99 

• Häufigkeit 

• unglaublich 0, unwahrscheinlich 1, gelegentlich 2, 

kaum vorstellbar 3, wahrscheinlich 4, häufig 5, offen 99 

• Schwere der Gefährdung 

• unbedeutend 0, marginal 1, kritisch 2, katastrophal 3, 

offen 99 

• Status der Gefährdung 

• in Arbeit 0, abgeschlossen 1, offen 99 

• Risiko 

• nicht tolerierbar 1, unerwünscht 2, tolerierbar 3, vernachlässigbar 

4, offen 99 


382


ZSA 

Beispiel: Bewertung Gefährdungslogbuch 

– Klassifizierung 

Fehler- 

Nr. 

Art 

P/G/U, 99 

Häufigkeit 

1-5, 99 

Schwere 

0-3, 99 

Status 

0-1, 99 

Funktion 

F1-F100 

A1 P 99 0 1 F1 4 

A2 P 99 3 0 F1 1 

A3 99 99 99 99 F5 99 

A4 P 99 0 1 F6 4 

– Funktion 

Nr. Funktion 

F1 Betriebsartüberwachung 

F2 Kommunikation mit dem Tf 

F3 Bereitstellung der Zugdaten 

F4 Aufzeichnen der Diagnosedaten 

F5 Verwaltung der Streckendaten 

F6 Bereitstellung von Diagnosedaten 

Risiko 

1-4, 99 


383


ZSA 

Sicherheitsmanagement 

– Interne und externe Schnittstellen im Projekt 

Projekt 

Entwickler 

Verifizierer 

Projektleiter 

Qualitätsmanagement 


Zulieferer, . . . 

Validierer 

Gutachter 

Zulassungsbehörde 


384


ZSA 

Gliederung 












385


ZSA 


– Struktur nach EN 50129 6 Schlußfolgerung 

5 Mitgeltende 

Sicherheitsnachweise 

4 Technischer 

Sicherheitsbericht 

3 Nachweis des 

Sicherheitsmanagements 

2 Nachweis des 

Qualitätsmanagements 

1 Definition des Systems 

Sicherheitsnachweis 


386


ZSA 

SN1 Definition des Systems 

– Definition des Systems 

Das System muss genau definiert werden (genaue Identifikation) 

• Versionsnummern aller Komponenten 

• Änderungsstatus aller Dokumente 

– Was gehört zum System? 

Genaue Identifikation aller 

• Komponenten 

• Teilsysteme 

• Schnittstellen 


387


ZSA 

SN2 Nachweis des Qualitätsmanagements 

– QM-System 

• Ein QM-System ist für SIL 1-4 zwingend vorgegeben. 

• Ein Qualitätsmanagementsystem muss die Qualität des Systems oder 

Gerätes während des gesamten Lebenszyklus (definiert in EN 50126) 

wirksam zu steuern. 

• Der Zweck des QM-Systems ist, die durch menschliche Fehlbarkeit 

verursachten Fehler zu minimieren. 

• QM-Aktivitäten in einem QM-Bericht zu nachweisen 

– QM-System nach ISO9001 

• Das QM-System muss der Norm ISO 9001 entsprechen. 


388


ZSA 

SN3 Nachweis des Sicherheitsmanagements 

– Notwendigkeit eines Sicherheitsmanagement 

• Ein Sicherheitsmanagement ist für SIL 1-4 zwingend vorgegeben. 

– Im Nachweis des Sicherheitsmanagements ist zu zeigen 

• Die im Sicherheitsplan gestellten Aufgaben wurden ausgeführt. 

• Die Erfüllung der Sicherheitsanforderungen (SIL) des Systems oder 

Gerätes wurde während des gesamten Lebenszyklus überwacht und 

gesteuert. 

– Inhalt des Nachweises 

• Nachweis des Management nicht der Sicherheit 


389


ZSA 


– Aufgabenbereiche, Verantwortlichkeiten 

• Sicherheitsplan erstellen, Aktivitäten einplanen 

• Kompetenznachweise für aller Mitarbeiter sichern 

• Gefährdungsanalyse durchführen 

• Sicherheitskonzept erstellen 

• Sicherheits- und Gefährdungslogbuch angelegen und führen 

• Sicherheits-Audits durchführen 

• Sicherheitsanforderungen festlegen 

• Sicherheitsanforderungen den System-Komponenten zuordnen 

• Sicherheit der extern beschafften Teile (COTS) überwachen 

• Validierung der Sicherheitsanforderungen überwachen 

• Sicherheitsnachweis erstellen (lassen) 

• Vorschriften für sicheren Betrieb und Wartung festlegen 

• Sicherheitsmanagementreport erstellen 


390


ZSA 

SN4 Technischer Sicherheitsbericht 

– Allgemeines 

• Der Technischer Sicherheitsbericht ist für SIL 1 - 4 zwingend 

vorgeschrieben 

• In diesem Bericht müssen die technischen Grundsätze, die für den 

Nachweis der Sicherheit erforderlich sind, erklärt werden. 

• Dabei ist sowohl für den fehlerfreien als auch den gestörten Betrieb 

nachzuweisen, dass die Sicherheit gewährleistet ist 

• Der Umfang dieser Dokumentation hängt von SIL ab 

• Umfangreiche Dokumente mit detaillierten Informationen sind nicht 

erforderlich, falls man auf andere Dokumente mit entsprechenden 

Informationen verweisen kann 


391


ZSA 

Technischer Sicherheitsbericht (TS) 

– Struktur nach EN 50129 6 Qualifikationstests 

1 Einleitung 

5 Anwendungsbedingungen 

4 Umgebungsbedingungen 

3 Auswirkung von Fehlern 

2 Sicherung des 

fehlerfreien Betriebs 

Technischer 

Sicherheitsbericht 


392


ZSA 

TS2 Sicherung des fehlerfreien Betriebs 

– Sicherung fehlerfreier Hardwarefunktion 

• Die Fehlerfreiheit der Hardwarefunktion zeigen 

– Sicherung fehlerfreier Softwarefunktion 

• Die Fehlerfreiheit der SW nachweisen (Validierungsbericht) 

– Erfüllung der Sicherheitsanforderungen 

• Erfüllung der Sicherheitsanforderungen zeigen 

– Hardware/Software-Interaktionen 

• Die Fehlerfreiheit der HW/SW-Interaktionen zeigen 

– Umgebungsbedingungen 

• Den fehlerfreien Betrieb unter vorgegebenen Umgebungsbedingung 

nachweisen 


393


ZSA 

TS3 Auswirkung von Fehlern 

– Einfachfehler 

• Das Fail-safe-Verhalten bezüglich Einfachfehler zeigen. 

– Erkennung von Einfachfehlern 

• Die Erkennung von Einfachfehlern zeigen 

– Maßnahmen nach der Fehlererkennung 

• Das schnelle Erreichen eines sicheren Ausfallzustands zeigen 

– Sicherer Ausfallzustand 

• Das kontrollierte Verlassen sicherer Ausfallzustand zeigen 

– Unabhängigkeit von Komponenten 

• Die Unabhängigkeit der Komponenten nachweisen 

– Maßnahmen gegen Mehrfachfehler 

• Rechtzeitige Erkennung gefährlicher Mehrfachfehler zeigen 


394


ZSA 

TS4 Umgebungsbedingungen 

– Klimatische Bedingungen 

• Temperatur, Feuchte, Wärmeschocks betrachten 

– Einsatzort 

• Gebäude, Außenbereich, Fahrzeug, Strecke, Lager betrachten 

– Mechanische Bedingungen 

• Vibration, Schock, Lärm betrachten 

– Elektrische Bedingungen 

• Stromversorgung, EMV, ESD betrachten 

– Schutz gegen nichtautorisierten Zugriff 

• Zugriffsarten und berechtigte Personengruppen nennen 

• Zeigen, dass ein unberechtigter Zugriff ausgeschlossen ist 

– Weitere Bedingungen 

• Umweltverschmutzung, Lebewesen (Insekten) usw. betrachten 


395


ZSA 

TS5 Anwendungsbedingungen 

– Systemkonfiguration und -generierung 

• Die verwendeten Verfahren und Werkzeuge nennen 

• Konfigurationen und Einstellungen dokumentieren 

– Betrieb und Wartung 

• Betriebsarten Anfahren, Abfahren, Normalbetrieb beschreiben 

• Wartungsstrategien vorbeugende, periodische u.a. beschreiben 

– Überwachung der Performance 

• Zeigen, das die Performance während des gesamten Betriebs 

erhalten bleibt 

– Übergabe und Transport 

• Technische Vorkehrungen hinsichtlich Sicherheit beachten 


396


ZSA 

TS6 Qualifikationstests (Feldtests/Erprobung) 

– Zweck 

• Ein höheres Vertrauen in das System bezüglich der Erfüllung der 

Betriebsanforderungen gewinnen 

• Ein höheres Vertrauen in das System bezüglich der Erreichung der 

Zuverlässigkeits- und Sicherheitsziele gewinnen 

– Feldtests / Erprobung 

• Umfang und Dauer werden zwischen Betreiber und 

Zulassungsbehörde abgestimmt 

• Die Sicherheit des Betriebs ist während der Feldtests zu 

gewährleisten 

– Ergebnisse 

• Der Ablauf und die Ergebnisse der Feldtests sind zu dokumentieren 


397


ZSA 

Hierarchie des Technischen Sicherheitsberichts 

Technischer Sicherheitsbericht für 

das Gesamtsystem 

Gesamtsystem- 

Ebene 

Technischer Sicherheitsbericht 

für Teilsystem 

1 


für Teilsystem 

2 

Teilsystem- 

Ebene 


für Gerät 1 


für Gerät 2 


für Gerät 3 

Geräte- 

Ebene 


398


ZSA 

Ermittlung der Ausfallarten (zu TS3) 

– Diskrete Komponenten 

• Listen von bekannten Ausfallarten berücksichtigen (EN50129) 

• Abweichungen davon begründen. 

– Integrierte Schaltungen 

• Eine vollständige Liste ist nicht möglich 

• FMEA ist zwar möglich, jedoch zu aufwendig 

• Top-Down-Verfahren zur Ermittlung der Ausfallarten anwenden 

• Eine Bewertung der Auswirkung der Ausfallarten durchführen 

• Mögliche Bewertung der Ausfälle: 

• sie treten wegen interner Redundanz-Struktur nicht auf 

• sie werden erkannt und in den sicheren Zustand überführt 

– Komponenten mit inhärent physikalischen Eigenschaften 

• Ausgeschlossene Ausfallarten begründen. 

• Die Fail-safe-Technik beschreiben 


399


ZSA 

Ausfallarten eines Relais (zu TS3) 

Nr. Ausfallart 

1 Interruption of any coil 

2 Interruption of any contact 

3 

4 

5 

6 

7 

8 

Short-circuit or decrease of insulation 

resistance: 

• across open contacts 

• between coil and coil 

• between coil and contact 

• between coil and case 

• between contact and contact 

• between contact and case 

9 Welding of contacts * 

10 Increase of contact resistance 

11 Contact chatter 

12 Increase of pick-up current 

13 Decrease of pick-up current * 

* 

* 

* 

* 

* 

* 

Nr Ausfallart 

14 Increase of drop-away current 

15 Decrease of drop-away current * 

16 Change of pick-up to drop-away ratio * 

17 Increase of pick-up time 

18 Decrease of pick-up time * 

19 Increase of drop-away time * 

20 Decrease of drop-away time * 

21 Relay does not pick up 

22 Relay does not drop away * 

23 Closure of any front contact at the * 

same time as any back contact 

(transient or continuous) 

24 Non-correspondence between front 

contacts 

25 Non-correspondence between back 

contacts 

* Ausfallarten können mit entsprechender Begründung ausgeschlossen werden. 


400


ZSA 

Ausfallarten eines Transistors (zu TS3) 

Nr. Ausfallart 

Interruption: 

1 • of emitter (E) 

2 • and/or base (B) 

3 • and/or collector (C) 

4 

5 

6 

7 

Short circuit: 

• between E and B 

• between B and C 

• between E and C 

• between E and B and C 

8 Short-circuit between two connections and interruption of the 

third connection 

9 Short-circuit between casing and E or B or C 

10 Increase of DC and/or AC amplification * 

11 Decrease of DC and/or AC amplification 

12 Increase of base-emitter conducting-state voltage 

13 Decrease of base-emitter conducting-state voltage 

14 Increase of threshold voltage VBE * 

15 Decrease of threshold voltage VBE * 

16 Decrease of break-down voltage VEB or VCB or VCE 

17 Change of rise time, fall time, turn-on time, turn-off time 

18 Increase of residual current ICB, IEB, ICE 

19 Change of saturation voltage VCE 


* Ausfallarten 

können mit 

entsprechender 

Begründung 

ausgeschlossen 

werden. 

401


ZSA 

Vermeidung und Beherrschung von Fehlern (zu TS2) 

– Anwendung von Techniken und Maßnahmen 

• Im Rahmen des Safety Management werden Techniken und 

Maßnahmen zur Vermeidung von systematischen Fehlern und zur 

Beherrschung von Zufallsausfällen für verschiedene SIL während des 

Systemlebenszyklusses angewendet. 

• Einige dieser Techniken und Maßnahmen sind in den folgenden 

Tabellen zusammengestellt (Auszüge aus der Norm). 

– Folgende Bereiche werden betrachtet. 

• Architecture of System/Sub-system/Equipment 

• Design features 

• Risk reduction at the level of system element 

• Verification and Validation of the System 


402


ZSA 

Architecture of System/Sub-system/Equipment (zu TS2) 

Techniques / Measures SIL 1 SIL 2 SIL 3 SIL 4 

1. Separation of safety-related systems 

R R HR HR 

from non safety-related systems 

2. single electronic structure with self tests and 

R R - - 

supervision 

3. Dual electronic structure R R - - 

4. Dual electronic structure based on composite failsafety 

R R HR HR 

with fail-safe comparison 

5. single electronic structure based on inherent failsafety 

R R HR HR 

6. single electronic structure based on reactive failsafety 

R R HR HR 

7. Diverse electronic structure with fail-safe 

R R HR HR 

comparison 

8. Justification of the architecture by a quantitative 

reliability analysis of the hardware 

HR HR HR HR 


403


ZSA 

Design features (zu TS2) 

Technique/ Measures 

1. Protection against operating errors 

Plausibility checks 

2. Protection against single fault for discrete 

components 

All hazardous failure modes to be either detected 

and negated or demonstrated to be inherently safe 

3. Protection against single fault for integrated circuits 

stuck-at fault model (SIL1), or DC-fault model (SIL2), 

or permanent and transient malfunction model on 

item level (SIL3/4) 

4. Physical independence 

Insulation distances should be dimensioned to the 

reinforced value according to EN 50124-1 

5. Detection of single and multiple faults 

Dependent on the safety target. The time for 

detection-plus-negation should be within the safety 

target 

SIL1 SIL2 SIL3/4 

R R HR 

R R HR 

R R HR 

R R HR 

R R HR 


404


ZSA 

Risk reduction at the level of system element (zu TS2) 

Techniques / Measures SIL 1 SIL 2 SIL 3 SIL 4 

1. Preliminary Hazard Analysis HR HR HR HR 

2. Fault Tree Analysis R R HR HR 

3. FMECA R R HR HR 

4. HAZOP R R HR HR 

5. Cause-Consequence diagrams R R HR HR 

6. Markov diagrams R R R R 

7. Event Tree R R R R 

8. Reliability Block Diagram R R R R 

9. Zonal Analysis R R R R 

10. Common Cause Failure Analysis R R R R 

11. Historical Event Analysis R R R R 


405


ZSA 

Verification and Validation of the System (zu TS2) 

Technique/ 

Measures 

1.Checklists 

3.Functional testing 

of the system 

6.Calculation of 

failure rates 

10.Design review 

SIL 1 SIL 2 SIL 3 SIL 4 

R: prepared checklists, 

concentration on the main 

safety issues 

HR: functional tests, 

reviews should be carried 

out to demonstrate that the 

specified characteristics 

and safety requirements 

have been achieved 

HR: on the basis of typical 

R: prepared detailed 

checklists 

HR: comprehensive 

functional tests to 

demonstrate that the 

specified characteristics 

and safety-requirements 

are fulfilled 

HR: on the basis of 

conditions 

worst case conditions 

HR: Reviews should be carried out at appropriate 

stages in the lifecycle to confirm that the specified 

characteristics and safety requirements have been 

achieved 


406


ZSA 

Zulassung 

– Zulassung erfolgt durch 

• Sicherheitsbehörde 

• TÜV 

• Eisenbahn Bundesamt (EBA) 

• Betreiber 

– Basis für die Zulassung 

• Normen 

• Stand der Technik 

– Verfahren der Zulassung 

• Wichtige Dokumente der Entwicklung zur Prüfung vorlegen 

• Sicherheitsnachweis erstellen und zur Prüfung vorlegen 

• System durch Betreiber abnehmen lassen 

Film: Autoschutz 


407


ZSA 

Gliederung 












408


ZSA 

Abkürzungen (1) 

- Die Technik/Maßnahme wird weder empfohlen noch 

verboten 

ε 

Ausfallerkennungsrate 

λ 

Ausfallrate 

λ' 


μ 

Instandsetzungsrate 

Ak Unfallarten k=1, 2, ... 

ALARP As Low As is Reasonably Practicable 

CBT Computer Based Training 

CCF Common Cause Failure 

CENELEC Europäisches Komitee für Elektrotechnische Normung 

Cj k Wahrscheinlichkeit der Auswirkung von Hj nach Ak 

DIN Deutsches Institut für Normung e.V. 

Dj Gefährdungsdauer der Gefährdungsarten Hj , j=1, 2, .. 

DRA Aversionskennlinie (differential risk aversion) 

DR Fehlererkennungs-Rate (Detection Rate) 

Ereignis: R 1 ist ausgefallen 

E 1 


409


ZSA 


E 12 Ereignis: R 1 und R 2 sind ausgefallen 

Eij Dauer in der Gruppe i der Gefährdungsarten Hj ausgesetzt ist 

EN Europäische Norm 

F 

Die Technik/Maßnahme ist verboten (Forbidden) 

FFA Funktionale FMEA 

Fi k Wahrscheinlichkeit für Todesfall eines Individuums i bei Ak 

FMEA Failure Modes and Effects Analysis 

FR Ausfallrate (Failure Rate) 

FR Failure Rate 

FTA Fault Tree Analysis (Fehlerbaumanalyse) 

GAMAB Globalement Au Moins Aussi Bon 

HAZOP HAZard and OPerability Study 

Hj Gefährdungsarten j=1, 2, .. 

HR Die Technik/Maßnahme wird dringend empfohlen 

(Highly Recomended) 

HR Hazard Rate 

HRj Gefährdungsrate der Gefährdungsarten Hj , j=1, 2, .. 

IEC International Electrotechnical Commission 


410


ZSA 


IRF Individuelles Risiko für Todesfall (Individual Risk Fatality) 

M 

gesamte Missionszeit 

M 

Die Technik/Maßnahme ist verbindlich (Mandatory) 

MEM Minimum endogene Sterblichkeit (Mortality) 

MMI Man Machine Interface 

MTBF mittlere Zeit zwischen zwei Ausfällen (mean time between 

failures) 

MTTF' mittlere sicherheitsbezogene Lebensdauer 

MTTR mittlere Instandsetzungszeit (mean time to repair) 

Ni Benutzungszahl von der Gruppe i 

Np Personenzahl einer Gruppe 

NR Die Technik/Maßnahme wird nicht empfohlen (Not 

Recommended) 

P( ) Wahrscheinlichkeit 

P(TOP) Wahrscheinlichkeit des TOP-Ereignisses 

PES Programable Electronic System 

R 

Die Technik/Maßnahme wird empfohlen (Recommended) 

R 1 Rechner 1, ... 


411


ZSA 


RAMS Reliability, Availability, Maintainability, Safety 

RAMSS Reliability, Availability, Maintainability, Safety, and Security 

Rm Minimale endogene Sterblichkeit (Todesrate) 

Rn Natürliche Sterblichkeit (Todesrate) 

SAM Safety Argument Manager 

SIL Safety Integrity Level (Sicherheitsanforderungsstufen) 

Sk Schwere eines Unfalls Ak (Severity of accident type k) 

Sk=1 1 Fatality: 1 Todesfall oder 10 schwer oder 100 leicht 

Verletzte 

SN Sicherheitsnachweis 

SL Severity Level 

THRj Tolerierbare Gefährdungsrate (Tolerable Hazard Rate) 

TIR Tolerierbares individuelles Risiko (Target/Tolerable Ind. Risk) 

TOP TOP- Ereignis 

TS Technischer Sicherheitsbericht 

VDI/VDE Verein Deutscher Ingenieure / Verein Deutscher 

Elektrotechniker 

X 1 , ... Ereignis: Ausfal einer Komponente 


412


ZSA 

Literatur (1) 

[B1] Bitter, P.: Technische Zuverlässigkeit. Springer-Verlag, Heidelberg 1977 

[C1] CENELEC Report R009-004 October 1999. Railway Applications, 

Systematic Allocation of Safety Integrity Requirements. 

[C2] Safety Integrity Levels, Annex A, Proposal for EN 50129, October 1999 

[C3] Single-line Signalling System Example, 

Annex A to CENELEC Report R009-004 October 1999 

[C4] Level Crossing Example, 

Annex B to CENELEC Report R009-004 October 1999 

[C5] CENELEC Report R009-004 October 1999. 

Establishing Safety Integrity Level (SIL) from Frequency of Failure 

[D1] DIN V 19250: Grundlegende Sicherheitsbetrachtungen für MSR- 

Schutzeinrichtungen. Mai 1994 


413


ZSA 

Literatur (2) 

[D2] DIN 19250 grundlegende Sicherheitsbetrachtungen für MSR- 

Schutzeinrichtungen. 1989 

[D3] DIN 19251 MSR Schutzeinrichtungen. Anforderungen und Maßnahmen 

zur gesicherten Funktion. 1995 

[D4] DIN VDE 31000 Teil 2. Allgemeine Leitsätze für das sicherheitsgerechte 

Gestalten technischer Erzeugnisse. Begriffe der Sicherheitstechnik 

[E1] EN 50126 Railway Applications: The Specification and Demonstration of 

Dependability: Reliability, Availability, Maintainability and Safety (RAMS), 

2000 

[E2] prEN 50128 Railway Applications: Software for railway control and 

protection systems, 1998 

[E3] ENV 50129 Railway Applications: Safety-related Electronic Railway 

Control and Protection Systems, 1998 

[E4] CENELEC 50159, EN 50159 Railway Applications: Signalling and 

Communications. 1998 


414


ZSA 

Literatur (3) 

[E5] EN ISO 9001: Quality Systems - Model for quality assurance in design, 

development, production, installation and servicing 

[E6] EN 29000-3: Quality Management and Quality Assurance Standards, 

Part 3 - Guidelines for the Application of EN 29001 to the development, 

supply and maintenance of software 

[E7] ERTMS Safety Requirement & Objective Group (ESROG), 

ERTMS Hazard Rates & Safety Forecasts. 

Report ESROG_HFR_01, Issue 1 Draft 3 April 2000, pp. 1-90 

[F1] Fricke, H., Pierick, K.: Verkehrssicherung. Teubner Verlag Stuttgart, 1990 

[F2] Fault Tolerant Spaceborne Computer. Technical Description. Raytheon 

[G1] Gaede, K.-W.: Zuverlässigkeit. Mathematische Modelle. 

Karl Hanser Verlag, München 1977 

[G2] Gewald, K., Haake, G., Pfadler, W.: Software-Engineering. 

Grundlagen und Technik rationneller Programmentwicklung. 

Oldenbourg, München 1985. 


415


ZSA 

Literatur (4) 

[G3] Grable, R., Jernigang, J., Pogue, C., Divis, D.: Metrics for Small Projects: 

Experiences at the SED. IEEE Software, March/April 1999, p. 21-29 

[H1] Heinhold, J., Gaede, K.-W.: Ingenieur-Statistik. Oldenbourg Verlag, 

München 1979 

[H2] Heilmann, A., Braband, J., Peters, H.: Sicherheitsanalyse nach CENELEC. 

Signal + Draht (90), 7+8/98, S. 10-14 

[H3] Hosemann, G. (Hrsg.): Risiko in der Industriegesellschaft. Analysen, 

Vorsorge und Akzeptanz. Verlag UB Erlangen 1989 

[H4] HAZOP Studies on Systems containing programmable electronics. 

INTERIM Defence Standard. UK. 

[H5] Hammer, W.: Handbook of System and Product Safety. 

[H6] Hammer, W.: Product Safety Management and Engineering. Prentice-Hall 

Inc. N.J.1980 


416


ZSA 

Literatur (5) 

[I2] IEC 61508 Functional Safety of electrical/electronic/programmable 

electronic safety-related systems. Part 1-7, 1997 

[I2] IEC 880 Software for Computers in the Safety Systems of Nuclear Power 

generating Stations. 1986. 

[K1] Konakovsky, R.: Definition und Berechnung der Sicherheit von 

Automatisierungssystemen. Vieweg Verlag, Braunschweig 1977 

[K2] Konakovsky, R.: Sichere Prozeßdatenverarbeitung mit Mikrorechnern. 

Oldenbourg Verlag, München 1988 

[K3] Konakovsky, R. (Tagungsleiter): Sicherheitstechnik und Automatisierung. 

VDI Berichte 1336, VDI Verlag, Düsseldorf 1997 

[K4] Halang, W.A., Konakovsky, R.: Sicherheitsgerichtete Software. 

Automatisierungstechnik at, Heft 2 1998, S.93-103 


417


ZSA 

Literatur (6) 

[K5] Halang, W.A., Konakovsky, R.: Sicherheitsgerichtete Echtzeitsysteme. 

Oldenbourg Verlag 1999 

[L1] Leist, K.: Sicherheitsgerichtete speicherprogrammierbare Steuerungen. 

atp, Heft 6/87, S. 267-275 

[L2] LOGISIRE . Das sichere Mikrorechnersystem für komplexe 

Anwendungen. Technische Beschreibung. AEG 

[L3] Lörch, T.: Einsatz der FMEA in der Entwicklung der TAS Platform. DTK 

Hamburg 2000 

[M1] Myers, G. J.: Methodisches Testen von Programmen. Oldenbourg Verlag 

1982 

[S1] Siemens, Projekt ETCS2000, Systemgefährdungsanalyse 


418


ZSA 

Literatur (7) 

[T1] Trompeta, B.: PLT-Schutzeinrichtungen in petrochemischen Anlagen. 

Tagung Sicherheitstechnik und Automatisierung (Ltg. Konakovsky) in 

Langen 1997. VDI Berichte 1336, VDI Verlag, Düsseldorf 1997, S. 181- 

196 

[V1] Sicherheit komplexer Verkehrssysteme, VDI Bericht 1546, Mai 2000 

[V2] VDI/VDE 2180 Sicherung von Anlagen der Verfahrenstechnik mit 

Mitteln der Prozeßleittechnik (PLT), Blatt 1-5, 1998 

[V2] VDI/VDE 3541 Steuerungseinrichtungenmit vereinbarter gesicherter 

Funktion, Blatt 1-4, 1989 

[V2] VDI/VDE 3542, Blatt 1-4, Sicherheitstechnische Begriffe für 

Automatisierungssysteme 1998 

[Z1] Zender, P.: Struktur, Programmierung und Betrieb der 

sicherheitsgerichteten SPS zur Kombination von Sicherheit und 

Verfügbarkeit. Sichere Steuerungs- und Schutzsysteme (Hrsg. Zender), 

VDE Verlag, Berlin 1994, S. 45-62 


419

Skript vom Sommersemester 2012 - Institut fÃ¼r Automatisierungs ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?