Skript vom Sommersemester 2012 - Institut für Automatisierungs ...
Skript vom Sommersemester 2012 - Institut für Automatisierungs ...
Skript vom Sommersemester 2012 - Institut für Automatisierungs ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Universität Stuttgart<br />
<strong>Institut</strong> für <strong>Automatisierungs</strong>- und Softwaretechnik<br />
Prof. Dr.-Ing. Dr. h. c. P. Göhner<br />
Zuverlässigkeit und Sicherheit<br />
von <strong>Automatisierungs</strong>systemen<br />
<strong>Sommersemester</strong> <strong>2012</strong><br />
www.ias.uni-stuttgart.de/zsa<br />
zsa@ias.uni-stuttgart.de<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
1
Zuverlässigkeit und Sicherheit von <strong>Automatisierungs</strong>systemen<br />
ZSA<br />
Ansprechpartner für die Vorlesung<br />
Bei organisatorischen Fragen zur oder bei Problemen mit dem Ablauf der<br />
Vorlesung „ Zuverlässigkeit und Sicherheit von <strong>Automatisierungs</strong>systemen“<br />
wenden Sie sich bitte an:<br />
Dr.-Ing. Nasser Jazdi<br />
Zimmer: 2.113 (Pfaffenwaldring 47, 2. Stock am IAS)<br />
Tel.: 0711- 685-67303<br />
E-Mail: zsa@ias.uni-stuttgart.de<br />
© <strong>2012</strong> IAS, Universität Stuttgart 2
Zuverlässigkeit und Sicherheit von <strong>Automatisierungs</strong>systemen<br />
ZSA<br />
Unterlagen<br />
– <strong>Skript</strong> „ Zuverlässigkeit und Sicherheit von <strong>Automatisierungs</strong>systemen“<br />
• Blaue Texte zum Mitschreiben (im <strong>Skript</strong> nicht enthalten)<br />
• Live-Mitschriebe (leere Folien im <strong>Skript</strong> für Mitschrieb vorgesehen)<br />
– Vorlesungsportal im Internet unter: www.ias.uni-stuttgart.de/zsa<br />
• Aktuelle Informationen zur Vorlesung<br />
• Vollständige Vorlesungsunterlagen<br />
• Lecturnity-Aufzeichnungen<br />
• Vorlesungen<br />
© <strong>2012</strong> IAS, Universität Stuttgart 3
Zuverlässigkeit und Sicherheit von <strong>Automatisierungs</strong>systemen<br />
ZSA<br />
Vorlesungstermine<br />
Nr. Termin Thema der Vorlesung<br />
01 12.04.12 Einführung / Normen / Begriffe & Kenngrößen<br />
02 19.04.12 Fehlererkennung / Anforderungen<br />
03 26.04.12 Beeinflussende Faktoren / Wahrscheinlichkeitsrechnung /<br />
Risiko & Gefährdung<br />
04 03.05.12 Risiko & Gefährdung / Risiko- und Gefährdungsanalyse<br />
05 10.05.12 Beispiel / Zuverlässigkeits- und Sicherheitstechnik<br />
06 24.05.12 Sicherungsmethoden / Berechnungsmethoden<br />
07 14.06.12 Berechnungsmethoden<br />
08 21.06.12 Berechnungsmethoden<br />
09 28.06.12 Zuverlässigkeit kompl. Systeme / Sicherheitskenngrößen<br />
10 05.07.12 Softwarezuverlässigkeit<br />
11 12.07.12 RAMS-Management, Sicherheitsnachweis (SN)<br />
12 19.07.12 Prüfungsbesprechung<br />
© <strong>2012</strong> IAS, Universität Stuttgart 4
Zuverlässigkeit und Sicherheit von <strong>Automatisierungs</strong>systemen<br />
ZSA<br />
Ziele der Vorlesung<br />
– Grundlagen der Zuverlässigkeit und Sicherheit verstehen<br />
• Begriffe und Kenngrößen kennenlernen<br />
• Normen zur Zuverlässigkeit und Sicherheit diskutieren<br />
• Wahrscheinlichkeitsrechnung durchführen<br />
– Relevante Zuverlässigkeits- und Sicherheitstechnik verstehen<br />
• Risiko- und Gefährdungsanalyse bearbeiten<br />
• Berechnung von Sicherheitskenngrößen durchführen<br />
• Sicherheitsnachweis diskutieren<br />
– Softwarezuverlässigkeit verstehen<br />
• Probleme bei der Softwarezuverlässigkeit kennenlernen<br />
• Softwarezuverlässigkeitsmodelle diskutieren<br />
• Konzept für frühzeitige Zuverlässigkeitsaussage verstehen<br />
© <strong>2012</strong> IAS, Universität Stuttgart 5
Zuverlässigkeit und Sicherheit von <strong>Automatisierungs</strong>systemen<br />
ZSA<br />
Bezug zu anderen Vorlesungen der Fakultät:<br />
Vertiefung einzelner<br />
Themen in<br />
Komplexitätstheorie<br />
Zuverlässigkeit und Sicherheit von<br />
<strong>Automatisierungs</strong>systemen<br />
Grundkenntnisse aus<br />
Höhere<br />
Mathematik<br />
<strong>Automatisierungs</strong>technik I<br />
<strong>Automatisierungs</strong>technik II<br />
Grundlagen der<br />
Softwarezuverlässigkeit<br />
Hardware Based<br />
Fault Tolerance<br />
Networks and<br />
Processes<br />
Embedded<br />
Systems<br />
Engineering<br />
© <strong>2012</strong> IAS, Universität Stuttgart 6
Zuverlässigkeit und Sicherheit von <strong>Automatisierungs</strong>systemen<br />
ZSA<br />
Gliederung<br />
§ 01 Einführung, Begriffe und Kenngrößen<br />
§ 02 Normen zur Zuverlässigkeit und Sicherheit<br />
§ 03 Fehlererkennung<br />
§ 04 Anforderungen, Beeinflussende Faktoren<br />
§ 05 Wahrscheinlichkeitsrechnung<br />
§ 06 Risiko und Gefährdung<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
7
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
§ 1 Einführung<br />
Trends<br />
– Computersysteme werden immer breiter eingesetzt<br />
– Computersysteme werden immer komplexer<br />
– Der Mensch ist immer mehr von Computersystemen abhängig<br />
– Computer-Fehler und Ausfälle können Unfälle verursachen<br />
– Immer höhere Zuverlässigkeit und Sicherheit wird gefordert<br />
Fazit<br />
– Neue und bessere Lösungen und Systeme werden benötigt<br />
– Hohe Zuverlässigkeit und Sicherheit muss sich lohnen<br />
– Die Chancen der neuen Technologie nutzen<br />
– Zuverlässigkeits-/Sicherheits-Methoden systematisch anwenden<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
8
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
Zuverlässigkeit: Wahrscheinlichkeit, dass ein System innerhalb eines<br />
Zeitintervalls unter zulässigen Betriebsbedingungen seine<br />
Funktion erfüllt<br />
Zuverlässigkeitsanalyse ermöglicht erwartete Zuverlässigkeit zu<br />
prognostizieren sowie Schwachstellen zu erkennen<br />
Rechtzeitige Beseitigung der Schwachstellen<br />
Zuverlässigkeitsanalysearten:<br />
• Qualitative Analyse<br />
• Quantitative Analyse<br />
© <strong>2012</strong> IAS, Universität Stuttgart 9
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
Möglichkeiten zur Analyse der Zuverlässigkeit<br />
Ziele:<br />
Zuverlässigkeitsanalysen<br />
- Prognose der erwarteten Zuverlässigkeiten<br />
- Erkennung und Beseitigung von Schwachstellen<br />
- Durchführung von Vergleichsstudien<br />
Quantitativ<br />
Berechnung der vorausgesagten<br />
Zuverlässigkeit, Ausfallratenanalyse,<br />
Probabilistische<br />
Zuverlässigkeitsprognose<br />
Analysen:<br />
- Boole<br />
- Markov<br />
-FTA<br />
- Lebensdauerverteilungen<br />
-…<br />
Qualitativ<br />
Systematische Untersuchung der<br />
Auswirkungen von Fehlern und<br />
Ausfällen<br />
Ausfallartenanalyse<br />
Analysen:<br />
- FMEA/MECA<br />
-FTA<br />
- Ereignisablaufanalysen<br />
- Checklisten<br />
- ABC-Analyse<br />
-…<br />
© <strong>2012</strong> IAS, Universität Stuttgart 10
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
Verlagerung der Fehlerquellen<br />
– Fehler beim Einsatz konventioneller Technik<br />
• Hardwarefehler / Komponentenausfälle (technische Fehler)<br />
• Bedienungsfehler (menschliche Fehler in der Handhabung)<br />
– Fehler beim Einsatz neuer Technologie<br />
• Abstürze durch Fehler in der Software<br />
• Kompatibilitätsprobleme beim SW-Update<br />
• Schnittstellprobleme beim Zusammenspiel von SW-Produkten<br />
• Bedienungsfehler beim Handbetrieb (Notbetrieb)<br />
– Fazit<br />
• Verlagerung der Fehlerquellen in Systemen berücksichtigen<br />
• Zuverlässigkeits-/Sicherheits-Methoden systematisch anwenden<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
11
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
Kleine Fehler, große Auswirkung<br />
– Softwarefehler<br />
• Ein kleiner Fehler kann einen hohen Schaden verursachen<br />
– Beispiel<br />
• Ariane 5<br />
• Kosten 5,8 Milliarden Euro<br />
• Nach 36,7 Sekunden sprengte sich die Rakete selbst mitsamt<br />
ihrer Nutzlast, den vier Cluster-Satelliten<br />
– Ursache<br />
• Überlauf einer Variablen<br />
<br />
Umwandlung einer 64-Bit-Gleitkommazahl in eine<br />
vorzeichenbehaftete 16-Bit-Ganzzahl<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
Film: Ariane 5<br />
12
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
Einfluss der Menschen<br />
Menschen (M) haben auf jede Einheit einen Einfluss und können in jeder<br />
Einheit einen Fehler verursachen<br />
M M M<br />
M<br />
M<br />
Kommunikationssystem<br />
MMS<br />
Feldgeräte<br />
Softwaresystem<br />
Steuerungssystem<br />
Technischer<br />
Prozess<br />
M<br />
M<br />
M<br />
Umwelt und Umgebung<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
13
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
Eigenschaften und Merkmale von Systemen<br />
– Funktionen<br />
– Leistungen<br />
– Konstruktion<br />
– Material<br />
– Zuverlässigkeit<br />
– Verfügbarkeit<br />
– Wartbarkeit<br />
– Sicherheit<br />
– Schutz (Security)<br />
– Wirtschaftlichkeit<br />
– Handhabung<br />
– Dokumentation<br />
– Einfachheit<br />
– Testbarkeit<br />
– Kompatibilität<br />
– Portabilität<br />
– Modularität<br />
– Änderbarkeit<br />
– Integrität<br />
– Fehlertoleranz<br />
– Intelligentes Verhalten<br />
Eigenschaften beeinflussen sich gegenseitig<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
14
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
Definitionen<br />
Zuverlässigkeit und Sicherheit sind in den Normen definiert. Hier keine<br />
Definitionen, sondern Begriffserklärungen.<br />
– Zuverlässigkeit/Verlässlichkeit (reliability/dependability)<br />
Die Fähigkeit, Anforderungen zu erfüllen, innerhalb eines Zeitintervalls<br />
und unter Beanspruchung (Betriebs-/Umgebungsbedingungen)<br />
– Ausfall (failure)<br />
• Übergang von funktionsfähig in fehlerhaft<br />
• Ausfall ist ein Zustandsübergang (Ereignis, kein Zustand)<br />
– Fehler (fault)<br />
• Nichterfüllung mindestens einer Forderung<br />
• Fehler ist ein Zustand<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
15
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
Zusammenhang zwischen Begriffen<br />
Zustand<br />
1<br />
HW/SW-<br />
Fehler<br />
2<br />
3<br />
4<br />
Funktionsfähig<br />
(Anforderungen werden erfüllt)<br />
HW-Ausfall<br />
AO+Ab.<br />
Anforderung 1<br />
Versagen<br />
Störung<br />
Abschaltung<br />
Instandsetzung<br />
PC ein<br />
funktionsfähig<br />
Anforderung 3<br />
in Betrieb<br />
Anforderung 2<br />
Pause<br />
UT DT UT<br />
AOZ<br />
AOZ SW<br />
PC aus<br />
PC ein<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
DT<br />
Ausfalloffenbarungszeit (HW)<br />
Fehleroffenbarungszeit (SW)<br />
UT<br />
außer Betrieb<br />
Up Time, Down Time<br />
Ausfalloffenbarung, Abschaltung<br />
16
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
Beispiele zum obigen Zusammenhang<br />
– HW-Beispiel: Taste F1<br />
HW-Ausfall:<br />
HW-Fehler:<br />
Pause:<br />
Anforderung:<br />
Störung:<br />
Abschaltung:<br />
Instandsetzung:<br />
Ausfall der Taste F1<br />
Taste F1 nicht verwendbar<br />
PC wird nicht benutzt<br />
PC wird eingeschaltet, OS prüft HW, OK<br />
F1 wird gefordert (Hilfefunktion)<br />
PC wird heruntergefahren und abgeschaltet<br />
Eine neue Tastatur wird eingesetzt<br />
– SW-Beispiel: Funktion Sortieren<br />
SW-Fehler:<br />
Pause:<br />
Anforderung:<br />
Störung:<br />
Abschaltung:<br />
Instandsetzung:<br />
Die Funktion Sortieren ist fehlerhaft<br />
PC wird nicht benutzt<br />
Eine Liste soll sortiert werden<br />
Sortierergebnis ist fehlerhaft<br />
PC wird heruntergefahren und abgeschaltet<br />
Ein SW-Update wird durchgeführt<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
17
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
RAMS(S)<br />
– RAMSS ist die Abkürzung für<br />
Reliability, Availability, Maintainability, Safety and Security<br />
– Reliability<br />
Zuverlässigkeit: Lebensdauer des Systems (ohne Wartung)<br />
– Availability<br />
Verfügbarkeit: Funktionsfähigkeit bei Anforderung<br />
– Maintainability<br />
Instandhaltbarkeit: Dauer für Reparaturen<br />
– Safety<br />
Sicherheit: Gefährdungsfreiheit<br />
– Security<br />
Informationssicherheit: Schutz gegen unberechtigten Zugriff<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
18
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
Kenngrößen F, f, R<br />
– Ausfallwahrscheinlichkeit F(t):<br />
Wahrscheinlichkeit, dass Betriebszeiten T bis zum Ausfall nicht länger<br />
sind, als ein vorgegebener Zeitraum t<br />
F( t)<br />
= P(<br />
T ≤ t)<br />
– Ausfalldichte f(t):<br />
Zeitliche Ableitung der Ausfallwahrscheinlichkeit<br />
dF(<br />
t)<br />
f ( t)<br />
= , F(<br />
t)<br />
= ∫ f ( τ ) dτ<br />
,<br />
dt<br />
∫<br />
– Überlebenswahrscheinlichkeit R(t):<br />
R(<br />
t)<br />
= 1−<br />
F(<br />
t)<br />
t<br />
=<br />
∞<br />
∫<br />
0<br />
t<br />
0<br />
t<br />
∫<br />
f ( τ ) dτ<br />
− f ( τ ) dτ<br />
= f ( τ ) dτ<br />
R(<br />
t)<br />
+ F(<br />
t)<br />
= ∫ f ( τ ) dτ<br />
+ ∫ f ( τ ) dτ<br />
= ∫<br />
0<br />
∞<br />
t<br />
0<br />
∞<br />
0<br />
∞<br />
∫<br />
t<br />
∞<br />
0<br />
f ( τ ) dτ<br />
= 1<br />
f ( τ ) dτ<br />
= 1<br />
(01)<br />
(02)<br />
(03)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
19
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
Ausfallrate λ(t)<br />
– Ausfallrate λ(t)<br />
f ( t)<br />
dR(<br />
t) / dt<br />
λ( t)<br />
= = − = −R'(<br />
t) / R(<br />
t)<br />
R(<br />
t)<br />
R(<br />
t)<br />
(04)<br />
Durch Integration von 0 bis t<br />
t<br />
∫<br />
0<br />
t<br />
R(<br />
t)<br />
dR(<br />
τ ) / dτ<br />
dR(<br />
x)<br />
λ ( τ ) dτ<br />
= −∫<br />
dτ<br />
= − ∫ = −ln<br />
R(<br />
t)<br />
(05)<br />
R(<br />
τ )<br />
R(<br />
x)<br />
0<br />
R(0)<br />
– Allgemeine Formel für die Überlebenswahrscheinlichkeit<br />
− ( )<br />
= ∫ λ τ dτ<br />
0<br />
R( t)<br />
e<br />
t<br />
,<br />
R(0)<br />
= 1<br />
(06)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
20
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
Abschätzung der Ausfallrate<br />
– Abschätzung der Ausfallrate<br />
( t)<br />
≅<br />
1<br />
n(<br />
t)<br />
ΔN(<br />
t)<br />
⋅<br />
Δt<br />
λ (07)<br />
ΔN(t) Anzahl der im Zeitintervall Δt ausgefallenen Einheiten<br />
n(t) Anzahl der zu Beginn des Δt funktionsfähigen Einheiten<br />
– Beispiel für identische Einheiten:<br />
Von 100 funktionsfähigen Einheiten sind im Zeitraum von 1000 Stunden<br />
10 Einheiten ausgefallen.<br />
– Ausfallrate (Schätzwert)<br />
λ ≅<br />
1 10 −4<br />
− 1<br />
⋅<br />
100 1.000h<br />
= 10<br />
h<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
21
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
Mittlere Lebensdauer<br />
– Berechnungsformel<br />
Der Erwartungswert E der Zufallsgröße T, d.h. die mittlere Betriebszeiten<br />
bis zum Ausfall<br />
MTTF<br />
∞<br />
⎛ dR(<br />
t)<br />
⎞<br />
E( T ) = ∫ tf ( t)<br />
dt = ∫ t ⋅ ⎜ − ⎟ dt<br />
⎝ dt ⎠<br />
=<br />
0<br />
0<br />
∞<br />
∞<br />
∞<br />
( − R t)<br />
) | −∫<br />
− R(<br />
t)<br />
dt = ∫<br />
= t ⋅ ( R(<br />
t)<br />
dt<br />
(08)<br />
0<br />
0<br />
∞<br />
0<br />
– Annahmen über Grenzwerte<br />
lim t ⋅ R(<br />
t)<br />
= 0⋅<br />
R(0)<br />
= 0⋅1<br />
= 0<br />
t→0<br />
( R(<br />
t)<br />
)<br />
( 1/ t)<br />
'<br />
R(<br />
t)<br />
'<br />
lim t ⋅ R(<br />
t)<br />
= lim = lim =<br />
t→∞<br />
t→∞<br />
1/ t t→∞<br />
R(<br />
t)<br />
= e<br />
− λ t<br />
,( R(<br />
t))'<br />
=<br />
( e<br />
− λ t<br />
)' = −λe<br />
− λ t<br />
0<br />
, für<br />
konstante λ<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
22
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
Zeitverlauf der Ausfallrate (Live–Mitschrieb)<br />
– Badewannenkurve<br />
Zeitlicher Ablauf der Ausfallrate<br />
λ(t)<br />
Frühausfälle<br />
konstante Ausfallrate λ<br />
Zufallsausfälle<br />
Verschleißausfälle<br />
t<br />
– Brauchbarkeitsdauer<br />
Der Zeitraum nach Frühausfällen und vor Verschleißausfällen<br />
(Bereich konstanter Ausfallraten)<br />
– Konstante Ausfallrate<br />
R(<br />
t)<br />
t<br />
−∫λ<br />
( τ ) dτ<br />
= e<br />
0<br />
=<br />
e<br />
−λt<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
23
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
Beispiel: λ = konstant<br />
– Beispiel:<br />
Die Zeiten T bis zum Ausfall seien exponential verteilt.<br />
Die Ausfallrate λ = 0,001/h ist konstant. Zeitintervall t = 1000 h.<br />
– Ausfalldichte f(1000h):<br />
f ( t)<br />
dF(<br />
t)<br />
=<br />
dt<br />
= λe<br />
−λt<br />
= 0,001/ h ⋅e<br />
− Ausfallwahrscheinlichkeit F(1000h):<br />
F(<br />
t)<br />
= 1−<br />
e<br />
−λt<br />
= 1−<br />
e<br />
−0,001/<br />
h⋅1000h<br />
– Überlebenswahrscheinlichkeit R(1000h):<br />
−0,001/<br />
h⋅1000h<br />
= 0,632<br />
=<br />
0,000368 / h<br />
R(<br />
t)<br />
= 1−<br />
F(<br />
t)<br />
= e<br />
−λt<br />
= e<br />
−0,001/<br />
h⋅1000h<br />
= 0,368<br />
– Mittlere Lebensdauer MTTF (Mean Time To Failure):<br />
∞<br />
MTTF = E(<br />
t)<br />
= ∫ R(<br />
t)<br />
dt = 1/ λ = 1000h<br />
0<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
24
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
Beispiel: Graphik<br />
Zum Zeitpunkt t = 1000 h kann man die Werte ablesen:<br />
0,001<br />
λ = = konstant<br />
h<br />
F(1000h) = 0,632<br />
R(1000h) = 0,368<br />
1<br />
0,8<br />
0,6<br />
0,4<br />
0,2<br />
0<br />
F(t) R(t) la<br />
E(T)=1000h<br />
0,010<br />
0,009<br />
0,008<br />
0,007<br />
0,006<br />
0,005<br />
0,004<br />
0,003<br />
0,002<br />
0,001<br />
0,000<br />
0<br />
200<br />
400<br />
600<br />
800<br />
1000<br />
1200<br />
1400<br />
1600<br />
1800<br />
2000<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
25
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
Instandhaltung<br />
– Instandhaltungsstrategie<br />
• Präventive Instandhaltung (vorbeugende/periodische Wartung)<br />
• In regelmäßigen festen Zeitintervallen t w<br />
• Typisch für mechanische Komponenten (Verschleiß)<br />
• Optimaler Zeitpunkt vor der Verschleißphase<br />
• Vorbeugende Maßnahmen gegen Ausfall<br />
• Korrektive Instandhaltung nach einem Ausfall<br />
• Bis zum Ausfall im Einsatz<br />
• Instandsetzung gleich nach Ausfall<br />
• Typisch für elektronische Schaltungen<br />
• Bei konstanten Ausfallraten (kein Verschleiß)<br />
• Kombination der beiden Strategien<br />
• Vorbeugend gegen Verschleißausfälle<br />
• Instandsetzung gleich nach dem Ausfall<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
26
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
Periodische Wartung<br />
– Wartungsintervall t w<br />
ein<br />
System in Betrieb<br />
DT<br />
UT<br />
aus<br />
0<br />
t w 2t w<br />
3t w 4t w<br />
t<br />
– Zeit bis zur Instandsetzung DT (Down Time)<br />
DT<br />
min<br />
MDT<br />
= 0,<br />
DTmax<br />
= t<br />
w<br />
/ 2<br />
=<br />
t<br />
w<br />
,<br />
Down Time Mean Down Time<br />
Up Time Mean Up Time<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
27
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
Verfügbarkeit<br />
– Zeitlicher Verlauf der Verfügbarkeit<br />
V ( t)<br />
= R(<br />
t − n ⋅t<br />
), n ⋅t<br />
< t < ( n + 1)<br />
n ⋅t<br />
w<br />
w<br />
w<br />
1<br />
V(t)<br />
0 t w<br />
2t w 3t w<br />
4t w<br />
– Mittelwert der periodischen Funktion<br />
V<br />
1<br />
t<br />
w<br />
R(t)<br />
0<br />
1<br />
= lim<br />
t→∞<br />
t<br />
t<br />
w<br />
∫<br />
0<br />
e<br />
−λτ<br />
t<br />
∫<br />
0<br />
dτ<br />
tw<br />
1<br />
( τ ) dτ<br />
= R d<br />
t<br />
∫ ( τ ) τ =<br />
w 0<br />
t<br />
1 ⎛ 1 ⎞ 1<br />
= ⎜ − ⎟<br />
tw<br />
⎝ λ ⎠ 0 λtw<br />
V<br />
( )<br />
w<br />
−λτ<br />
(<br />
−λt<br />
)<br />
w<br />
e | = 1−<br />
e<br />
t<br />
(10)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
28
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
Korrektive Instandhaltung nach Ausfall (1)<br />
– Zeitlicher Verlauf<br />
ein<br />
System in Betrieb<br />
aus<br />
UT 1 UT 2 UT 3<br />
DT<br />
– Beobachtete Verfügbarkeit<br />
V<br />
=<br />
UT<br />
+ UT2<br />
+ L+<br />
UT<br />
M<br />
M<br />
1 n<br />
(11)<br />
t<br />
UT<br />
DT<br />
M<br />
Up Time (in Betrieb)<br />
Down Time (außer Betrieb)<br />
gesamte Missionszeit<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
29
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
Korrektive Instandsetzung nach Ausfall (2)<br />
– Berechnete Verfügbarkeit (Vorhersage)<br />
=<br />
MTBF<br />
MTBF + MTR<br />
=<br />
μ<br />
λ + μ<br />
V (12)<br />
μ<br />
λ<br />
MTBF<br />
MTR<br />
Instandsetzungsrate<br />
Ausfallrate<br />
Mean Time Between Failures (= MUT)<br />
Mean Time to Repair (= MDT)<br />
– Periodische Wartung und Instandsetzung nach Ausfall<br />
ein<br />
MTBF<br />
MTR<br />
aus<br />
t w<br />
t<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
30
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
Sicherheitskenngrößen (VDI/VDE 3542)<br />
– Zustände und Ereignisse bis zu einem Schaden<br />
nicht<br />
sicherheitsbezogener<br />
Ausfall<br />
sichere<br />
Zustände<br />
nicht<br />
sicherheitsbezogener<br />
Fehlzustand<br />
kein<br />
Unfall<br />
kein<br />
Schaden eingetreten<br />
Fehlerfreier Zustand<br />
sicherheitsbezogener<br />
Ausfall<br />
sicherheitsbezogener<br />
Fehlzustand<br />
Unfall<br />
Schaden eingetreten<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
31
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
Sicherheitsbezogene Begriffe<br />
– Das Konzept nach VDI/VDE 3542<br />
• Begriffe der Sicherheit an die Zuverlässigkeit angelehnt<br />
• Bezeichnung "sicherheitsbezogen" (safety related) eingeführt<br />
Begriff<br />
Sicherheitsbezogener<br />
Ausfall<br />
Sicherheitsbezogener<br />
Fehlzustand<br />
Sicherheitsbezogene<br />
Fehlfunktion<br />
Erläuterung<br />
gefährlicher oder kritischer Ausfall (safety<br />
related failure)<br />
gefährlicher oder kritischer Zustand<br />
(safety related state)<br />
gefährliche oder kritische Funktion<br />
(safety related function)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
32
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
Sicherheitsbezogene Kenngrößen<br />
– Bezeichnung der Kenngrößen<br />
Sicherheitsbezogene Kenngrößen durch Apostroph markiert<br />
Kenngröße<br />
sicherheitsbezogene<br />
Ausfallwahrscheinlichkeit<br />
F'(t)<br />
sicherheitsbezogene Ausfallrate<br />
λ'(t)<br />
mittlere sicherheitsbezogene<br />
Lebensdauer<br />
T'<br />
Sicherheitsbezogene<br />
Unverfügbarkeit<br />
U'(t)<br />
Mittlere Zeit zwischen<br />
sicherheitsbezogenen Ausfällen<br />
MTBF'<br />
Erläuterung<br />
Gefährdungswahrscheinlichkeit<br />
Gefährdungsrate<br />
Mittlere Zeit bis zum einem<br />
gefährlichen oder kritischen Ausfall<br />
Wahrscheinlichkeit, dass zu einem<br />
Zeitpunkt ein System gefährlicher oder<br />
kritische ausgefallen ist<br />
Mittlere Zeit zwischen gefährlichen<br />
oder kritischen Ausfällen<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
33
§ 1 Einführung, Begriffe und Kenngrößen<br />
ZSA<br />
Frage zu § 1<br />
Welche Aussage gilt für die Zuverlässigkeit?<br />
Antwort<br />
f<br />
?<br />
<br />
Erfüllung der Anforderungen<br />
Erfüllung der Anforderungen in einem Zeitintervall<br />
Vermeidung von Fehlfunktionen<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
34
Zuverlässigkeit und Sicherheit von <strong>Automatisierungs</strong>systemen<br />
ZSA<br />
Gliederung<br />
§ 01 Einführung, Begriffe und Kenngrößen<br />
§ 02 Normen zur Zuverlässigkeit und Sicherheit<br />
§ 03 Fehlererkennung<br />
§ 04 Anforderungen, Beeinflussende Faktoren<br />
§ 05 Wahrscheinlichkeitsrechnung<br />
§ 06 Risiko und Gefährdung<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
35
§ 2 Normen zur Zuverlässigkeit und Sicherheit<br />
ZSA<br />
Normung:<br />
Planmäßige, durch interessierte Kreise gemeinschaftlich durchgeführte<br />
einheitliche Festlegung von Begriffen, Kennzeichen, Messtechniken sowie<br />
produkt- oder materialspezifischer Eigenschaften.<br />
[Brockhaus Enzyklopädie]<br />
Gründe für Normungen<br />
• Internationaler Handel<br />
• Konstruktion, Fertigung, Instandhaltung<br />
• Qualitätssicherung<br />
• Sicherheit und Nachhaltigkeit<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
36
§ 2 Normen zur Zuverlässigkeit und Sicherheit<br />
ZSA<br />
Abgrenzung zwischen Norm und Industriestandard<br />
Norm<br />
Industriestandard<br />
Ist das Ergebnis eines<br />
Normungsverfahrens<br />
(de jure)<br />
Hat sich Im Laufe der Zeit als<br />
nützlich und richtig erwiesen<br />
(de facto)<br />
Beispiel:<br />
DIN A4 Papier<br />
Beispiel:<br />
IBM-kompatibler<br />
PC<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
37
§ 2 Normen zur Zuverlässigkeit und Sicherheit<br />
ZSA<br />
Verbindlichkeit von Normen<br />
• Anwendung einer Norm ist grundsätzlich freiwillig<br />
• Anwendungspflicht kann sich durch Gesetze und Verordnungen sowie durch<br />
Verträge ergeben<br />
• Bei sicherheitstechnischen Festlegungen besteht juristisch eine tatsächliche<br />
Rechtsvermutung, dass diese fachgerecht sind („anerkannte Regeln der<br />
Technik“)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
38
§ 2 Normen zur Zuverlässigkeit und Sicherheit<br />
ZSA<br />
Nationale Normen<br />
DIN:<br />
DKE:<br />
Deutsches <strong>Institut</strong> für Normung<br />
Deutsche Kommission Elektrotechnik,<br />
Elektronik, Informationstechnik-Normen<br />
Rechtsgrundlage<br />
• Satzung des DIN<br />
• DIN 820 „Normungsarbeit“<br />
• Normenvertrag <strong>vom</strong> 5. Juni 1975 mit der BRD<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
39
§ 2 Normen zur Zuverlässigkeit und Sicherheit<br />
ZSA<br />
Europäische Normen<br />
CEN:<br />
CENELEC:<br />
ETSI:<br />
Comité Européen de Normalisation<br />
Comité Européen de Normalisation Électrotechnique<br />
European Telecommunications Standards <strong>Institut</strong>e<br />
Europäische Normen (EN)<br />
Die 30 nationalen Mitgliedsorganisationen stimmen über Normen ab und<br />
implementieren diese auf nationaler Ebene<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
40
§ 2 Normen zur Zuverlässigkeit und Sicherheit<br />
ZSA<br />
Internationale Normen<br />
ISO:<br />
IEC:<br />
International Organization for<br />
Standardization, von griech. „isos“<br />
International Electrotechnical Commission<br />
ISO bzw. IEC Normen<br />
Über 150 Staaten sind durch ihre Mitgliedsorganisationen vertreten<br />
Es besteht die Möglichkeit, aber keine Verpflichtung, die internationalen<br />
Normen in das jeweilige nationale Normenwerk zu übernehmen<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
41
§ 2 Normen zur Zuverlässigkeit und Sicherheit<br />
ZSA<br />
Internationale Normen<br />
ISO:<br />
IEC:<br />
International Organization for<br />
Standardization, von griech. „isos“<br />
International Electrotechnical Commission<br />
ISO bzw. IEC Normen<br />
• Über 150 Staaten sind durch ihre Mitgliedsorganisationen vertreten<br />
• Es besteht die Möglichkeit, aber keine Verpflichtung, die internationalen<br />
Normen in das jeweilige nationale Normenwerk zu übernehmen<br />
• Wiener Vereinbarung zwischen ISO und CEN von 1991 mit dem Ziel, die<br />
fachliche Arbeit auf eine Ebene zu konzentrieren und parallele Anerkennung<br />
als ISO- und EN-Norm herbeizuführen<br />
27 % des CEN-Normenbestandes identisch mit den ISO-Standards<br />
• Dresdner Abkommen von 1996 zwischen IEC und CENELEC mit gleichem Ziel<br />
67 % des CENELEC-Normenbestandes identisch mit den IEC-Normen<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
42
§ 2 Normen zur Zuverlässigkeit und Sicherheit<br />
ZSA<br />
Arbeitsumfeld am Beispiel Elektrotechnik<br />
Bundesregierung<br />
Norm-Anwender<br />
DKE-Arbeitsgremien,<br />
Technische Experten der betroffenen Fachkreise<br />
Europäische Kommission<br />
National Europäisch / International<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
43
§ 2 Normen zur Zuverlässigkeit und Sicherheit<br />
ZSA<br />
Ursprung aller Normungsverfahren des DIN<br />
1984<br />
2008<br />
National<br />
Europäisch/International<br />
National<br />
Europäisch/International<br />
20%<br />
15%<br />
80%<br />
85%<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
44
§ 2 Normen zur Zuverlässigkeit und Sicherheit<br />
ZSA<br />
Beispiele<br />
• DIN EN 61508:<br />
• Titel: „Funktionale Sicherheit sicherheitsbezogener elektrischer /<br />
elektronischer / programmierbar elektronischer Systeme“ (E/E/PE-<br />
Systeme)<br />
• Ist als Sicherheits-Grundnorm die Basis für anwendungsspezifische<br />
Normen<br />
• Inhalt u.a.: Ermittlung der Sicherheitsanforderungsstufe (SIL)<br />
• Bahnspezifische Implementierung der DIN EN 61508<br />
• DIN EN 50126: Spezifikation und Nachweis der Zuverlässigkeit, Verfügbarkeit,<br />
Instandhaltbarkeit, Sicherheit<br />
• DIN EN 50128: Software für Eisenbahnsteuerungs- und Überwachungssysteme<br />
• DIN EN 50129: Sicherheitsrelevante elektronische Systeme für Signaltechnik<br />
• DIN EN 50159: Sicherheitsrelevante Kommunikation in Übertragungssystemen<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
45
§ 2 Normen zur Zuverlässigkeit und Sicherheit<br />
ZSA<br />
Frage zu § 2<br />
Wann macht einen Sinn eine Norm zu definieren?<br />
Antwort<br />
f<br />
<br />
<br />
Gleichartige oder ähnliche Sachverhalt in vielen Anwendungen<br />
Für sicherheitskritische Anwendungen<br />
Einsatz des Produktes in unterschiedlichen Personenkreisen<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
46
Zuverlässigkeit und Sicherheit von <strong>Automatisierungs</strong>systemen<br />
ZSA<br />
Gliederung<br />
§ 01 Einführung, Begriffe und Kenngrößen<br />
§ 02 Normen zur Zuverlässigkeit und Sicherheit<br />
§ 03 Fehlererkennung<br />
§ 04 Anforderungen, Beeinflussende Faktoren<br />
§ 05 Wahrscheinlichkeitsrechnung<br />
§ 06 Risiko und Gefährdung<br />
§ 07 Risiko- und Gefährdungsanalyse<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
47
§ 3 Fehlererkennung<br />
ZSA<br />
§ 3 Fehlererkennung<br />
– Allgemeines Prinzip<br />
• In einem beliebigen Verfahren der Erkennung von Fehlern werden<br />
• mindestens zwei Werte<br />
• auf die Erfüllung der zwischen diesen Werten vorgegebenen<br />
Zusammenhänge geprüft<br />
• Unzulässige Abweichungen von diesen Zusammenhängen werden<br />
• als Fehler interpretiert<br />
Film: Pyrotechnik<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
48
§ 3 Fehlererkennung<br />
ZSA<br />
Graphische Darstellung des Prinzips<br />
y 1<br />
E 1<br />
x 1<br />
y 2<br />
E 2<br />
x 2<br />
Prüfeinheit<br />
PE<br />
Fehlermeldung<br />
y n<br />
E n<br />
x n<br />
y 1 , y 2 , ..., y n<br />
E 1 , E 2 , .., E n<br />
x 1 , x 2 , ..., x n<br />
unterschiedliche Eingangswerte für die Datenverarbeitung<br />
unterschiedliche Einheiten der Datenverarbeitung<br />
unterschiedliche Ausgangswerte für die Prüfung (sie müssen<br />
vorgegebene Zusammenhänge erfüllen)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
49
§ 3 Fehlererkennung<br />
ZSA<br />
Beispiel: Plausibilitätsprüfung<br />
E 1<br />
Messung der Laufzeit<br />
für ein<br />
Unterprogramm<br />
x 1<br />
y<br />
E 2<br />
Bestimmung des<br />
Minimalwertes von x 1<br />
x 2<br />
Prüfeinheit<br />
PE<br />
X 2 < x 1 < x 3<br />
Fehlermeldung<br />
E 3<br />
Bestimmung des<br />
Maximalwertes von x 1<br />
x 3<br />
y<br />
x 1<br />
Parameter, z.B. Rechengenauigkeit<br />
gemessene Rechenzeit (Prozessorzeit)<br />
x 2 der minimale Wert von x 1<br />
x 3 der maximale Wert von x 1<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
50
§ 3 Fehlererkennung<br />
ZSA<br />
Was ist Diversität?<br />
– diversitär<br />
• Gegenteil von identisch<br />
– Vollkommen identisch<br />
• Zwei Hardware-Einheiten sind vollkommen identisch,<br />
falls sie sich in allen Situationen vollkommen identisch verhalten. Sie<br />
haben zum Beispiel folgende Eigenschaften:<br />
• identische Anzahl, Art und Struktur aller Moleküle<br />
• identische Schwingungen aller Moleküle in Zeit und Raum<br />
• identische Bewegung aller Elektronen (Ströme)<br />
• identische Abnutzungsprozesse (Strukturänderung)<br />
• identische Ausfallprozesse<br />
• identischer Ort und identische Zeit des Einsatzes<br />
• identische Betriebs- und Umgebungsbedingungen<br />
• Eine Einheit ist nur mit sich selbst vollkommen identisch<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
51
§ 3 Fehlererkennung<br />
ZSA<br />
Diversitätsarten (1)<br />
– Diversität der Einsatzbedingungen (Zeitredundanz)<br />
• unterschiedlicher Einsatzort<br />
• unterschiedlicher zeitlicher Einsatz<br />
• unterschiedliche Umgebungsbedingungen<br />
• unterschiedliche Betriebsbedingungen<br />
– Physikalische Diversität (gleiche Hersteller)<br />
• gleicher Herstellung beim selben Hersteller<br />
• unterschiedliche Charge bei der Herstellung<br />
– Herstellungs-Diversität (verschiedene Hersteller)<br />
• unterschiedliche Hersteller<br />
• unterschiedliches Herstellungsverfahren<br />
• unterschiedliche Materialien bzw. deren Qualität<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
52
§ 3 Fehlererkennung<br />
ZSA<br />
Diversitätsarten(2)<br />
– Implementations-Diversität<br />
• unterschiedliche Module, Schnittstellen, Komponenten<br />
• unterschiedliche Lösungen<br />
• unterschiedliche Entwicklungsumgebung (Tools)<br />
• unterschiedliche Entwicklungs-Teams<br />
– Funktionale Diversität (Diversität der Requirements)<br />
• unterschiedliche Funktionen<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
53
§ 3 Fehlererkennung<br />
ZSA<br />
Diversität und Fehlererkennbarkeit<br />
Diversität<br />
Sporadische<br />
HW-Ausfälle<br />
Statische<br />
HW-<br />
Ausfälle<br />
Fehler-/Ausfallart<br />
Herstellungs<br />
-fehler<br />
Implementierungs<br />
-fehler<br />
Funktions<br />
-fehler<br />
Einsatzbedingungen Ja Nein Nein Nein Nein<br />
Physikalisch Ja Ja Nein Nein Nein<br />
Herstellung Ja Ja Ja Nein Nein<br />
Implementierung Ja Ja Ja Ja Nein<br />
Funktional Ja Ja Ja Ja Ja<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
54
§ 3 Fehlererkennung<br />
ZSA<br />
Fehlereigenschaften<br />
– Fehlerursachen und -auswirkungen<br />
Naturgesetze<br />
Physikalische und chemische Prozesse<br />
Prozesse im System<br />
Prozesse in der Umwelt<br />
Fehlerursache<br />
Mensch<br />
Bauelementausfall<br />
Störsignal<br />
Bedienungs-<br />
Fehler<br />
Software-<br />
Fehler<br />
Hardware-<br />
Fehler<br />
Fehler<br />
Ausgabefehler<br />
Fehlerauswirkung<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
55
§ 3 Fehlererkennung<br />
ZSA<br />
Beispiel: Diversität der Signaldarstellung<br />
– Signaldarstellung in einem zweikanaligen System<br />
K1<br />
Null<br />
K2<br />
K1<br />
Eins<br />
K2<br />
H<br />
L<br />
H<br />
L<br />
H<br />
L<br />
H<br />
L<br />
1 2 3 4 1 Takt<br />
1 2 3 4 1 Takt<br />
1 2 3 4 1 Takt<br />
1 2 3 4 1 Takt<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
56
§ 3 Fehlererkennung<br />
ZSA<br />
Fehlerauswirkung bei der Signaldarstellung<br />
Einfach- und Doppelfehler<br />
Wert Null<br />
Takt 1 2 3 4 1<br />
Prüfung auf Äquiv.00/11 Antiv.10/01 Äquiv.00/11 Antiv.10/01 Äquiv.00/11<br />
Fehlerfrei<br />
K1 0 1 1 0 0<br />
K2 0 0 1 1 0<br />
Prüfergebnis OK OK OK OK OK<br />
Fehler<br />
K1 0 1 1 Fehler = 1 Fehler = 1<br />
K2 0 0 1 1 0<br />
Prüfergebnis OK OK OK Erkennung Erkennung<br />
Doppelfehler<br />
K1 0 1 1 Fehler = 1 Fehler = 1<br />
K2 0 0 1 Fehler = 0 Fehler = 0<br />
Prüfergebnis OK OK OK keine Erkenn. Erkennung<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
57
§ 3 Fehlererkennung<br />
Ausfallarten<br />
– Änderungsgröße<br />
• Änderungsausfall<br />
• Verkleinerung<br />
• Vergrößerung<br />
• Extremausfall<br />
• Kurzschluss<br />
• Unterbrechung<br />
– Zeitverlauf<br />
• Sprungausfall<br />
• Driftausfall<br />
– Zeitpunkt<br />
• Frühausfall<br />
• Zufallsausfall<br />
• Verschleißausfall<br />
– Dauer<br />
• Sporadischer Ausfall<br />
• Statischer Ausfall<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
– Statistisches Verhalten<br />
• Zufallsausfall<br />
• Systematischer Ausfall<br />
• Deterministischer Ausfall<br />
– Zahl<br />
• Einzelausfall / Mehrfachausfall<br />
– Ursache<br />
• Primärausfall<br />
• Folgeausfall<br />
ZSA<br />
– Sicherheit<br />
• sicherheitsbezogener Ausfall<br />
• nicht Sicherheitsbezogener Ausfall<br />
– Schwere<br />
• Kritischer Ausfall<br />
• Nicht kritischer Ausfall<br />
– Umfang<br />
• Vollausfall (Totalausfall)<br />
58
§ 3 Fehlererkennung<br />
ZSA<br />
Fehlerarten<br />
– Bauelemente- und Gerätefehler<br />
• Dimensionierungsfehler<br />
• Fertigungsfehler<br />
• Schaltungsfehler<br />
• Verdrahtungsfehler<br />
• Entwurfsfehler<br />
• Konzeptfehler<br />
– Fehlerarten der Programmsystemen<br />
• Spezifikationsfehler<br />
• Entwurfsfehler<br />
• Implementierungsfehler<br />
• Dokumentationsfehler<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
59
§ 3 Fehlererkennung<br />
Beispiel: Software-Fehler<br />
– Datenreferenz<br />
• Initialisierungsfehler<br />
• Indizes nicht innerhalb<br />
der Grenzen<br />
– Datendeklaration<br />
• Deklaration der Variablen fehlt<br />
• Attribute falsch verstanden<br />
– Berechnungen<br />
• Berechnung mit verschiedenen<br />
Datentypen<br />
• Klammer falsch gesetzt<br />
• Rundungsfehler<br />
– Vergleich<br />
• Priorität der Vergleichsoperatoren<br />
falsch verstanden<br />
• Boole'sche Ausdrücke sind<br />
inkorrekt<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
– Steuerfluss<br />
• Schleifenendekriterium falsch<br />
• DO/END-Struktur falsch<br />
ZSA<br />
– Schnittstellen<br />
• Parameter und Argumente nicht<br />
konsistent<br />
• Verwechslung von Konstanten<br />
und Variablen<br />
– Ein-/Ausgaben<br />
• Formate der E/A-Anweisungen<br />
sind fehlerhaft<br />
• Behandlung der E/A-Fehler unklar<br />
– Sonstige<br />
• Bestimmte Funktionen wurden<br />
nicht realisiert<br />
• Warnungen der Compilerläufe<br />
nicht beachtet<br />
60
§ 3 Fehlererkennung<br />
ZSA<br />
Frage zu § 3<br />
Welche Aussagen gelten für die physikalische Diversität?<br />
Antwort<br />
f<br />
f<br />
<br />
<br />
Gleicher Herstellung beim selben Hersteller<br />
Unterschiedliche Hersteller<br />
Unterschiedliche Charge bei der Herstellung<br />
Unterschiedliche Materialien bzw. deren Qualität<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
61
Zuverlässigkeit und Sicherheit von <strong>Automatisierungs</strong>systemen<br />
ZSA<br />
Gliederung<br />
§ 01 Einführung, Begriffe und Kenngrößen<br />
§ 02 Normen zur Zuverlässigkeit und Sicherheit<br />
§ 03 Fehlererkennung<br />
§ 04 Anforderungen, Beeinflussende Faktoren<br />
§ 05 Wahrscheinlichkeitsrechnung<br />
§ 06 Risiko und Gefährdung<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
62
§ 4 Anforderungen, Beeinflussende Faktoren<br />
ZSA<br />
§4 Anforderungen<br />
– Zuverlässigkeitsanforderungen<br />
• Lebensdauer der Komponenten<br />
• MTBF der Systeme<br />
• Verfügbarkeit der Systeme<br />
• Wartbarkeit bzw. Instandsetzbarkeit der Systeme<br />
– Sicherheitsanforderungen<br />
• Qualitative Anforderungen<br />
• durch Vorgabe von Maßnahmen<br />
(z.B. erster Fehler muss vor dem zweiten erkannt werden)<br />
• Quantitative Anforderungen<br />
• durch Vorgabe von Zielwerten<br />
• (z.B. Gefährdungsraten, Ausfall/Fehleroffenbarungszeiten, SIL:<br />
Anforderungsstufen nach CENELEC)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
63
§ 4 Anforderungen, Beeinflussende Faktoren<br />
ZSA<br />
Beispiel: Anforderungen<br />
– Anforderungen der DBP<br />
Verfügbarkeit von Vermittlungsstellen der DBP<br />
Fernvermittlungsstellen<br />
Vermittlungsstellenart<br />
Ortsvermittlungsstelle<br />
Mindestverfügbarkeit<br />
entsprechende<br />
Ausfallzeit<br />
Wirkverfügbarkeit<br />
entsprechende<br />
Ausfallzeit<br />
99,909 % 8 h/Jahr 99,977 % 2 h/Jahr<br />
99,954 % 4 h/Jahr 99,989 % 1 h/Jahr<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
64
§ 4 Anforderungen, Beeinflussende Faktoren<br />
ZSA<br />
Beispiel für mittlere Verfügbarkeit<br />
Betrachtet wird ein System im Dauerbetrieb (8760 Stunden im Jahr)<br />
Verfügbarkeit<br />
Min. erwartete<br />
Betriebszeit<br />
Max. erlaubte<br />
Ausfallzeit<br />
Max. erlaubte<br />
Ausfallzeit<br />
99 % 8672,4 h 87,6 h 5256 min.<br />
99,1 % 8681,16 h 78,84 h 4730,4 min.<br />
99,5 % 8716,2 h 43,8 h 2628 min.<br />
99,9 % 8751,24 h 8,76 h 525,6 min.<br />
99,99 % 8759,124 h 0,876 h 52,56 min.<br />
100 % 8760 h 0 h 0 min.<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
65
§ 4 Anforderungen, Beeinflussende Faktoren<br />
ZSA<br />
Sicherheitsanforderungen (Live–Mitschrieb)<br />
Systemanforderungsspezifikation<br />
Nicht sicherheitsrelevante<br />
(funktionale)<br />
Systemanforderungen<br />
Sicherheitsanforderungen<br />
Sicherheitsanforderungsspezifikation<br />
Sicherheitsgrad<br />
Sicherheitsfunktionen<br />
systematische Fehler<br />
Zufallsausfälle<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
66
§ 4 Anforderungen, Beeinflussende Faktoren<br />
ZSA<br />
Sicherheitsgrad (Safety Integrity)<br />
– Sicherheitsgrad<br />
• Wahrscheinlichkeit, dass ein sicherheitsrelevantes System die<br />
Sicherheitsanforderungen erfüllt<br />
– Bestandteile des Sicherheitsgrades<br />
• Der Sicherheitsgrad besteht aus zwei Teilen:<br />
• Sicherheitsgrad hinsichtlich systematischer Fehler<br />
• Sicherheitsgrad hinsichtlich Zufallsausfälle<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
67
§ 4 Anforderungen, Beeinflussende Faktoren<br />
ZSA<br />
SIL und quantitative Festlegung<br />
– SIL<br />
Der Sicherheitsgrad wird in vier diskrete Sicherheits-anforderungsstufen<br />
(Safety Integrity Levels) unterteilt<br />
– SIL-Werte von IEC 61508<br />
Für die Realisierung einer einzelnen Funktion durch eine<br />
programmierbare elektronische Einheit (Programmable Electronic<br />
System PES) werden folgende Angaben zugrundegelegt:<br />
Safety Integrity Level (SIL) Tolerable Hazard Rate (THR)<br />
per hour and function<br />
4 THR < 10 -8<br />
3 10 -8 < THR < 10 -7<br />
2 10 -7 < THR < 10 -6<br />
1 10 -6 < THR < 10 -5<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
68
§ 4 Anforderungen, Beeinflussende Faktoren<br />
ZSA<br />
Ausgewogenheit der Anforderungen<br />
Versagen<br />
Mensch<br />
(menschlicher Fehler)<br />
Oder<br />
Physik<br />
(Zufallsausfälle)<br />
Systematische<br />
Fehler<br />
Schwer quantifizierbar<br />
qualitative Stufen (SIL)<br />
Hardware<br />
Ausfälle<br />
Quantifizierbar<br />
quantitativ durch<br />
Ausfallraten<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
69
§ 4 Anforderungen, Beeinflussende Faktoren<br />
ZSA<br />
Beispiel: Zuverlässigkeitsanforderungen<br />
– Sporadische Fehler oder Ausfälle, die<br />
• zu keinem Systemausfall führen und<br />
• keine Instandsetzung verursachen<br />
MTBF ≥ 0,3 Jahre<br />
– Fehler oder Ausfälle von Komponenten, die<br />
• zu keinem Systemausfall führen und<br />
• eine Instandsetzung verursachen<br />
MTBF ≥ 3 Jahre<br />
– Fehler oder Ausfälle von Komponenten, die<br />
• einen Systemausfall und<br />
• eine Instandsetzung verursachen<br />
MTBF ≥ 30 Jahre<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
70
§ 4 Anforderungen, Beeinflussende Faktoren<br />
ZSA<br />
Beispiel: Sicherheitsanforderungen<br />
Anforderungen an Eisenbahnsicherungsanlagen:<br />
– Die Meldung "FREI (grün)" darf auch nicht kurzzeitig zur Unzeit<br />
ausgegeben werden.<br />
– Wenn die Meldungen "BELEGT" und "GESTÖRT" zur Unzeit ausgegeben<br />
werden, muss verhindert werden, dass danach ohne Grundstellung die<br />
Meldung "FREI" ausgegeben wird.<br />
– Die Meldungen "BELEGT" und "GESTÖRT" stellen den sicheren Zustand<br />
eines Abschnitts dar.<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
71
§ 4 Anforderungen, Beeinflussende Faktoren<br />
ZSA<br />
Beeinflussende Faktoren<br />
– Bereiche der Beeinflussungen der Zuverlässigkeit und Sicherheit<br />
Beeinflussungen<br />
Systembezogene<br />
Beeinflussungen<br />
Betriebsbezogene<br />
Beeinflussungen<br />
Instandhaltungsbezogene<br />
Beeinflussungen<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
72
§ 4 Anforderungen, Beeinflussende Faktoren<br />
ZSA<br />
Systembezogene Beeinflussungen<br />
Systembezogene Beeinflussungen<br />
Technische<br />
Merkmale<br />
Interne<br />
Störungen<br />
Instandhaltbarkeit<br />
Systematischer<br />
Fehler/Ausfall<br />
Zufallsbedingter<br />
Ausfall<br />
• Anforderungen oder Entwurf fehlerhaft<br />
• Herstellung oder Ausführung fehlerhaft<br />
• Inhärente Mängel oder Schwächen<br />
• Softwarefehler<br />
• Überlastung<br />
• usw.<br />
Ausfall bei normaler<br />
• Abnutzung<br />
• Belastung<br />
• Umwelteinflüsse<br />
• Betriebsarten<br />
• usw.<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
73
§ 4 Anforderungen, Beeinflussende Faktoren<br />
ZSA<br />
Betriebsbezogene Beeinflussungen<br />
Betriebsbezogene Beeinflussungen<br />
Umweltbedingungen<br />
Menschliche<br />
Faktoren<br />
Betriebliches<br />
Aufgabenprofil<br />
Betriebsarten<br />
Externe<br />
Störungen<br />
Menschliche<br />
Fehlhandlungen<br />
Änderungen<br />
des Aufgabenprofils<br />
Mangelhafte<br />
Betriebsanweisungen<br />
Menschliche<br />
Korrektureingriffe<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
74
§ 4 Anforderungen, Beeinflussende Faktoren<br />
ZSA<br />
Instandhaltungsbezogene Beeinflussungen<br />
Instandhaltungsbezogene Beeinflussungen<br />
Menschliche<br />
Faktoren<br />
Logistik<br />
Korrektive<br />
Instandhaltung<br />
Präventive<br />
Instandhaltung<br />
Instandhaltungsverfahren<br />
Diagnoseverfahren<br />
Planmäßige<br />
Instandhaltung<br />
Zustandsabhängige<br />
Instandhaltung<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
75
§ 4 Anforderungen, Beeinflussende Faktoren<br />
ZSA<br />
Frage zu § 4<br />
Welche Fehler werden als Systematischer Fehler bezeichnet<br />
Antwort<br />
f<br />
f<br />
<br />
<br />
Entwurfsfehler<br />
Betriebsfehler<br />
Abnutzung<br />
Herstellungsfehler<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
76
Zuverlässigkeit und Sicherheit von <strong>Automatisierungs</strong>systemen<br />
ZSA<br />
Gliederung<br />
§ 01 Einführung, Begriffe und Kenngrößen<br />
§ 02 Normen zur Zuverlässigkeit und Sicherheit<br />
§ 03 Fehlererkennung<br />
§ 04 Anforderungen, Beeinflussende Faktoren<br />
§ 05 Wahrscheinlichkeitsrechnung<br />
§ 06 Risiko und Gefährdung<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
77
§ 5 Wahrscheinlichkeitsrechnung<br />
ZSA<br />
§ 5 Wahrscheinlichkeitsrechnung<br />
– Zufallsereignis<br />
• Das Auftreten eines bestimmten Ereignisses aus einer Menge<br />
möglicher Ereignisse hängt <strong>vom</strong> Zufall ab<br />
– Beispiele für Zufallsereignisse<br />
• Ziehen einer Zahl aus einer Trommel (Lottozahlen)<br />
• Ausfall einer Komponente, eines Systems<br />
• Unfall<br />
– Kein Zufallsereignis<br />
• Es gibt eine Ursache für das Ereignis<br />
• Unfälle durch überhöhte Geschwindigkeit<br />
• Häufiges Gewinnen durch Falschspielen<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
78
§ 5 Wahrscheinlichkeitsrechnung<br />
ZSA<br />
Relative Häufigkeit<br />
– Relative Häufigkeit H<br />
H =<br />
Anzahl beobachteter Ereignisse<br />
Anzahl möglicher Ereignisse<br />
– Beispiel:<br />
In einer Urne sind 10 gleiche Kugeln, schwarze bzw. weiße.<br />
Bei jedem Ziehen sind alle 10 Kugeln in der Urne<br />
Bei N=50 Versuchen: 11 mal schwarz, 39 mal weiß<br />
Bei N=200 Versuchen: 39 mal schwarz, 161 mal weiß<br />
(13)<br />
Die relative Häufigkeit für schwarz H(s) und weiß H(w):<br />
Relative N = 50 N = 200 N → ∞<br />
Häufigkeit<br />
H(s) 11/50 = 0,22 39/200 = 0,195 0,20<br />
H(w) 39/50 = 0,78 161/200 = 0,805 0,80<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
79
§ 5 Wahrscheinlichkeitsrechnung<br />
ZSA<br />
Wahrscheinlichkeit<br />
– Wahrscheinlichkeit :<br />
Die Wahrscheinlichkeit P(A) eines Ereignisses A ist als Grenzwert der<br />
relativen Häufigkeit H für eine gegen unendlich strebende Anzahl der<br />
Versuche N definiert:<br />
P( A)<br />
= lim H ( A)<br />
N →∞<br />
N<br />
(14)<br />
– Bedingte Wahrscheinlichkeit:<br />
Die Wahrscheinlichkeit P(A|B) eines Ereignisses A vorausgesetzt, dass<br />
ein anderes Ereignis B eingetreten ist:<br />
P(<br />
A |<br />
B)<br />
=<br />
P(<br />
A∩<br />
B)<br />
P(<br />
B)<br />
A A ∩ B B<br />
(15)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
80
§ 5 Wahrscheinlichkeitsrechnung<br />
ZSA<br />
Unabhängigkeit der Ereignisse<br />
– Begriff der Unabhängigkeit :<br />
Ereignisse A und B sind voneinander unabhängig, wenn gilt:<br />
P ( A∩<br />
B)<br />
= P(<br />
A)<br />
P(<br />
B)<br />
(16)<br />
– Bedingte Wahrscheinlichkeit unabhängiger Ereignisse:<br />
Für voneinander unabhängige Ereignisse ergibt sich die bedingte<br />
Wahrscheinlichkeit:<br />
P(<br />
A∩<br />
B)<br />
P(<br />
A)<br />
P(<br />
B)<br />
P ( A | B)<br />
= = = P(<br />
A)<br />
P(<br />
B)<br />
P(<br />
B)<br />
(17)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
81
§ 5 Wahrscheinlichkeitsrechnung<br />
ZSA<br />
Beispiel: abhängiges Ereignis<br />
– Beispiel für abhängige Ereignisse:<br />
In einer Urne sind 2 weiße und 4 schwarze Kugeln nummeriert<br />
von 1 bis 2 (Weiße) und von 1 bis 4 (Schwarze).<br />
Die Wahrscheinlichkeit für das Ziehen der Kugel mit der Zahl 1,<br />
und für das Ziehen der weißen oder schwarzen Kugel<br />
2 1 2 1 4<br />
P( 1) = = , P(<br />
w)<br />
= = , P(s) = =<br />
6 3 6 3 6<br />
2<br />
3<br />
Die Wahrscheinlichkeit für das Ziehen der Kugel mit der Zahl 1,<br />
falls weiß gezogen wurde<br />
1<br />
P(1<br />
∩ w)<br />
P(<br />
1| w)<br />
= = 6 =<br />
P(<br />
w)<br />
1<br />
3<br />
1<br />
2<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
82
§ 5 Wahrscheinlichkeitsrechnung<br />
ZSA<br />
Beispiel: unabhängiges Ereignis<br />
– Beispiel für unabhängige Ereignisse:<br />
Die Ereignisse Zahl 1 und Farbe w und s seien voneinander unabhängig.<br />
– Die Wahrscheinlichkeiten sind wie oben berechnet:<br />
1 1<br />
P( 1) = , P(<br />
w)<br />
= , P(<br />
s)<br />
=<br />
3 3<br />
– Die Wahrscheinlichkeit für die Zahl 1, falls weiß gezogen wurde:<br />
1 1<br />
P(1<br />
∩ w)<br />
P(1)<br />
⋅ P(<br />
w)<br />
⋅<br />
3 3 1<br />
P ( 1| w)<br />
= = = = = P(1)<br />
P(<br />
w)<br />
P(<br />
w)<br />
1 3<br />
3<br />
– Beispiel zur obigen Betrachtung:<br />
Von zwei Urnen A und B wird je eine Karte gezogen.<br />
Urne A: 6 Karten mit den Zahlen 1, 1, 2, 2, 3, 4.<br />
Urne B: 6 Karten davon 2 weiße und 4 schwarze.<br />
2<br />
3<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
83
§ 5 Wahrscheinlichkeitsrechnung<br />
ZSA<br />
Gegenseitiger Ausschluss von Ereignissen<br />
– Formel<br />
Schließen sich die Ereignisse A und B gegenseitig aus (disjunktiv),<br />
so kann nur eines der Ereignisse auftreten.<br />
Die Wahrscheinlichkeit, dass A oder B auftritt:<br />
P ( A∪<br />
B)<br />
= P(<br />
A)<br />
+ P(<br />
B)<br />
(18)<br />
– Beispiel:<br />
Die Wahrscheinlichkeit, dass bei einem Wurf eines Würfels die Zahl 1 oder<br />
6 auftritt:<br />
1 1<br />
P(<br />
1∪<br />
6) = P(1)<br />
+ P(6)<br />
= + =<br />
6 6<br />
1<br />
3<br />
(19)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
84
§ 5 Wahrscheinlichkeitsrechnung<br />
ZSA<br />
Kein gegenseitiger Ausschluss von Ereignissen<br />
– Formel allgemein:<br />
Schließen sich die Ereignisse A und B gegenseitig nicht aus,<br />
dann gilt ganz allgemein:<br />
P( A ∪ B)<br />
= P(<br />
A)<br />
+ P(<br />
B)<br />
− P(<br />
A ∩ B)<br />
(20)<br />
– Formel für unabhängige Ereignisse:<br />
Sind die beiden Ereignisse A und B von einander unabhängig,<br />
dann gilt:<br />
P( A ∪ B)<br />
= P(<br />
A)<br />
+ P(<br />
B)<br />
− P(<br />
A)<br />
P(<br />
B)<br />
(21)<br />
– Beispiel:<br />
Die Wahrscheinlichkeit, dass bei einem Wurf von zwei Würfeln mindestens<br />
an einer Würfel die Zahl 6 auftritt:<br />
1 1 1<br />
P(<br />
6 ∪ 6) = P(6)<br />
+ P(6)<br />
− P(6<br />
∩ 6) = + − =<br />
6 6 36<br />
11<br />
36<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
85
§ 5 Wahrscheinlichkeitsrechnung<br />
ZSA<br />
Aufgaben<br />
– Aufgabe 1 :<br />
Berechnen Sie die Wahrscheinlichkeit, dass bei einem Wurf<br />
von zwei Würfeln folgende Zahlen auftreten:<br />
Würfel A: Zahl 1 oder 5<br />
Würfel B: Zahl 6<br />
– Aufgabe 2:<br />
Berechnen Sie die Wahrscheinlichkeit, dass bei einem Wurf<br />
von zwei Würfeln folgende Zahlen auftreten:<br />
Würfel A: Zahl 6<br />
Würfel B: Zahl 1, 2, 3, 4, oder 5<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
86
§ 5 Wahrscheinlichkeitsrechnung<br />
ZSA<br />
Lösung der Aufgaben<br />
− Lösung der Aufgabe 1:<br />
Die Wahrscheinlichkeit, dass auf A die Zahl 1 oder 5 auftritt:<br />
1 1<br />
P( 1∪5)<br />
= P(1)<br />
+ P(5)<br />
= + =<br />
6 6<br />
Die Wahrscheinlichkeit, dass auf B die Zahl 6 auftritt:<br />
P( 6) =<br />
1<br />
6<br />
Wahrscheinlichkeit, dass auf A 1 oder 5 und auf B 6 auftritt:<br />
1 1 1<br />
( P(1<br />
∪5)<br />
∩ P(6))<br />
= ( P(1<br />
∪5)<br />
⋅ P(6))<br />
= ⋅ =<br />
3 6 18<br />
− Lösung der Aufgabe 2:<br />
Wahrscheinlichkeit, dass auf A 6 und auf B keine 6 auftritt:<br />
1 5<br />
( P(6)<br />
∩ P(1<br />
∪ 2 ∪3∪<br />
4 ∪5))<br />
= ⋅ =<br />
6 6<br />
1<br />
3<br />
5<br />
36<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
87
§ 5 Wahrscheinlichkeitsrechnung<br />
ZSA<br />
Totale Wahrscheinlichkeit<br />
– Für ein beliebiges Ereignis A:<br />
Schließen sich die Ereignisse B i , i=1,...n, gegenseitig aus und stellt<br />
den gesamten Raum dar, so gilt für ein beliebiges Ereignis A (Satz der<br />
totalen Wahrscheinlichkeit):<br />
P ( A)<br />
= ∑ P(<br />
A | Bi ) P(<br />
B i<br />
)<br />
i<br />
– Beispiel :<br />
Die Urnen und Ereignisse sind in Tabellen beschrieben:<br />
Ereignis<br />
A<br />
Beschreibung<br />
weiß gezogen<br />
Urne weiße schwarze<br />
U1 2 1<br />
∪B i<br />
B1<br />
B2<br />
U1 gewählt<br />
U2 gewählt<br />
U2 1 3<br />
Die Wahrscheinlichkeit für das Ereignis A:<br />
P<br />
A)<br />
= P(<br />
A | B1<br />
) P(<br />
Bi<br />
) + P(<br />
A | B2<br />
) P(<br />
B<br />
2 1 1 1 1 1 7<br />
= ⋅ + ⋅ = + =<br />
6 2 4 2 6 8 24<br />
(<br />
2<br />
)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
88
§ 5 Wahrscheinlichkeitsrechnung<br />
ZSA<br />
Bayessche Formel<br />
– Wahrscheinlichkeit a posteriori:<br />
Falls A eingetreten ist, kann man die Wahrscheinlichkeiten<br />
für B i durch die folgende Bayessche Formel ermitteln:<br />
P(<br />
B<br />
k<br />
| A)<br />
=<br />
P(<br />
A | Bk<br />
) P(<br />
Bk<br />
)<br />
P(<br />
A | B ) P(<br />
B )<br />
∑<br />
– Beispiel:<br />
Eine weiße Kugel wurde im obigen Beispiel gezogen.<br />
Die Wahrscheinlichkeit, dass sie von U 1 bzw. U 2 ist<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
i<br />
i<br />
i<br />
2 1<br />
⋅<br />
P(<br />
A | B1<br />
) P(<br />
B1<br />
)<br />
P(<br />
B<br />
6 2<br />
1<br />
| A)<br />
=<br />
=<br />
=<br />
P(<br />
A | B ) ( ) ( | ) ( ) 2 1 1 1<br />
1<br />
P B1<br />
+ P A B2<br />
P B2<br />
⋅ + ⋅<br />
6 2 4 2<br />
1 1<br />
⋅<br />
P(<br />
A | B2<br />
) P(<br />
B2<br />
)<br />
P(<br />
B<br />
4 2<br />
2<br />
| A)<br />
=<br />
=<br />
=<br />
P(<br />
A | B ) ( ) ( | ) ( ) 2 1 1 1<br />
1<br />
P B1<br />
+ P A B2<br />
P B2<br />
⋅ + ⋅<br />
6 2 4 2<br />
3<br />
7<br />
4<br />
7<br />
=1<br />
89
§ 5 Wahrscheinlichkeitsrechnung<br />
ZSA<br />
Regeln für Boolesche Formeln<br />
– Regeln bei der Auswertung der Booleschen Formeln:<br />
(1) Kommutativ<br />
A + B<br />
= B +<br />
A,<br />
A⋅<br />
B<br />
=<br />
B ⋅<br />
A<br />
(2) Assoziativ<br />
A + ( B + C)<br />
= ( A + B)<br />
+ C = A + B + C<br />
(3) Distributiv<br />
( A + B)⋅C<br />
=<br />
A⋅C<br />
+<br />
B ⋅C<br />
(4) Indempotenz<br />
A + A = A,<br />
A⋅<br />
A =<br />
A<br />
(5) Absorbtion<br />
A + A⋅<br />
B =<br />
A<br />
(6) Negation<br />
!(! A ) =<br />
A<br />
(7) Morgan<br />
(8) Operationen mit den Werten 0, 1<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
!(<br />
A + B)<br />
= ! A⋅!<br />
B,<br />
!( A⋅<br />
B)<br />
= ! A+<br />
! B<br />
A + 0 = A,<br />
A + 1 = 1<br />
A ⋅0<br />
= 0, A⋅1<br />
= A<br />
90
§ 5 Wahrscheinlichkeitsrechnung<br />
ZSA<br />
Verteilungsfunktion<br />
– Verteilungsfunktion :<br />
Die Verteilungsfunktion F(X) einer Zufallsgröße X stellt<br />
die Wahrscheinlichkeit P dar, dass die Zufallsgröße X<br />
kleiner oder gleich eines vorgegebenen Wertes x ist:<br />
F( X ) = P(<br />
X ≤ x)<br />
(23)<br />
– Beispiel:<br />
Die Wahrscheinlichkeit für die Zahl X bei einer Würfel<br />
X<br />
X<br />
X<br />
X<br />
≤ 9, F<br />
≤ 3, F<br />
≤1,<br />
F<br />
≤ −1,<br />
F<br />
= 1<br />
=<br />
=<br />
0,5<br />
1<br />
6<br />
=<br />
0<br />
0,8 1<br />
0,6<br />
F(X)<br />
0,4<br />
0,2<br />
0<br />
0 1 2 3 4 5 6 7 8 9 10<br />
x<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
91
§ 5 Wahrscheinlichkeitsrechnung<br />
ZSA<br />
Dichtefunktion<br />
– Dichtefunktion:<br />
Die Verteilungsfunktion F(X) sei durch eine Dichtefunktion f(x) der<br />
Zufallsgröße X gegeben:<br />
X<br />
∫<br />
−∞<br />
F ( X ) = f ( x)<br />
dx ∫<br />
∞<br />
−∞<br />
f<br />
( x)<br />
dx<br />
=1<br />
(24)<br />
– Dichtefunktion (diskret):<br />
Die Dichtefunktion für eine diskrete Zufallsgröße X:<br />
f ( X<br />
i<br />
)<br />
= p , = 1,2,..., ( ) = ∑ , ∑<br />
i<br />
i n F X<br />
i<br />
pi<br />
n<br />
i=<br />
1<br />
n<br />
i=<br />
1<br />
p<br />
i<br />
= 1<br />
(25)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
92
§ 5 Wahrscheinlichkeitsrechnung<br />
ZSA<br />
Beispiel: Dichtefunktionen<br />
– Beispiel (diskret):<br />
Die Wahrscheinlichkeit für<br />
die Zahlen 1 bis 6 (Würfen)<br />
sei gleich groß 1/6 = 0,1666.<br />
Bei allen anderen Werten<br />
sei die Wahrscheinlichkeit<br />
gleich Null.<br />
0,2<br />
0,1<br />
0<br />
f(x)<br />
0 1 2 3 4 5 6 7 8<br />
x<br />
– Beispiel (kontinuierlich):<br />
Die Wahrscheinlichkeit F(X)<br />
für X kleiner oder gleich x:<br />
F(X) = 1-exp(-x) für alle x ≥ 0<br />
F(X) = Null für alle x < 0<br />
Die Dichtefunktion f(x) ist:<br />
f(x) = exp(-x)<br />
0,8 1 f(x)<br />
0,6<br />
0,4<br />
0,2<br />
0<br />
0 1 2 3 4 5<br />
x<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
93
§ 5 Wahrscheinlichkeitsrechnung<br />
ZSA<br />
Erwartungswert<br />
– Erwartungswert :<br />
Der Erwartungswert E(X) (Mittelwert) einer Zufallsgröße X<br />
ist gegeben durch:<br />
E(<br />
X )<br />
∞<br />
∫<br />
−∞<br />
= x ⋅ f ( x)<br />
dx<br />
(26)<br />
wobei f(x) die Dichtefunktion darstellt.<br />
Für diskrete Zufallsgrößen ist der Erwartungswert gegeben durch:<br />
– Beispiel:<br />
Bei dem obigen Beispiel mit einem Würfel erhält man<br />
den folgenden Erwartungswert:<br />
E(<br />
X ) = ∑ x i<br />
p i<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
6<br />
i= 1<br />
n<br />
E ( X ) = ∑ x p i i<br />
i<br />
1⋅1<br />
2⋅1<br />
3⋅1<br />
4⋅1<br />
5⋅1<br />
6⋅1<br />
= + + + + + = 3, 5<br />
6<br />
6<br />
6<br />
6<br />
6<br />
6<br />
(27)<br />
94
§ 5 Wahrscheinlichkeitsrechnung<br />
ZSA<br />
Normalverteilung (Gaußverteilung)<br />
– Anwendung:<br />
Statistische Auswertung von Meßergebnissen<br />
– Dichtefunktion:<br />
f<br />
– Erwartungswert:<br />
( x−a)<br />
1 −<br />
2<br />
2σ<br />
( x)<br />
= e<br />
2πσ<br />
2<br />
E ( x)<br />
=<br />
a<br />
– Graphik:<br />
Das Maximum befindet sich im Wert a.<br />
Der Wert σ bestimmt den Verlauf der Kurve.<br />
Kleines σ hoher, großes σ flacher Verlauf.<br />
Beispiel: a = 0, σ = 1 oder σ = 0,5.<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
1<br />
0,8<br />
0,6<br />
0,4<br />
0,2<br />
0<br />
σ = 0,5<br />
σ = 1<br />
-3 -2 -1 0 1 2 3<br />
a = 0<br />
95
§ 5 Wahrscheinlichkeitsrechnung<br />
ZSA<br />
Gleichverteilung<br />
– Anwendung:<br />
Erzeugung von Zufallszahlen, die zwischen<br />
a und b gleich wahrscheinlich sind.<br />
– Dichtefunktion:<br />
1<br />
f ( x)<br />
= = const.<br />
b − a<br />
– Erwartungswert:<br />
E(<br />
x)<br />
=<br />
a + b<br />
2<br />
– Graphik:<br />
Die Dichtefunktion ist<br />
zwischen a und b konstant.<br />
Beispiel: a = -1, b = 1, E = 0.<br />
1<br />
0,8<br />
0,6<br />
0,4<br />
0,2<br />
0<br />
-3 -2 -1 0 1 2 3<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
96
§ 5 Wahrscheinlichkeitsrechnung<br />
ZSA<br />
Exponentialverteilung<br />
– Anwendung:<br />
Berechnung von Zuverlässigkeits- und<br />
Sicherheitskenngrößen für Komponente und Systeme<br />
– Dichtefunktion:<br />
f<br />
(x)<br />
=<br />
– Erwartungswert:<br />
E(<br />
X ) =<br />
1<br />
λ<br />
– Graphik:<br />
Für x < 0 sind alle Werte gleich Null.<br />
Der höchste Wert liegt im Wert x=0.<br />
Mit steigendem x fällt der Wert.<br />
Er erreicht Null gegen unendlich.<br />
Beispiel: λ = 1, E(X) = 1.<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
−<br />
λe λx<br />
, λ > 0, x ≥<br />
0 , x < 0<br />
0<br />
1<br />
0,8<br />
0,6 f(x)<br />
0,4<br />
0,2<br />
0<br />
x<br />
-1 0 1 2 3<br />
97
§ 5 Wahrscheinlichkeitsrechnung<br />
ZSA<br />
Weibullverteilung<br />
– Anwendung:<br />
Berechnung der Ausfallraten im Bereich der Früh- und<br />
Verschleißausfälle<br />
– Dichtefunktion:<br />
p−1<br />
−bx<br />
f ( x)<br />
= bpx ⋅e<br />
, b,<br />
p ><br />
f ( x)<br />
= 0,<br />
x < 0<br />
Exponentialverteilung bei p = 1, b = λ<br />
p<br />
0,<br />
x<br />
≥<br />
0<br />
– Erwartungswert:<br />
1<br />
( ) = − p<br />
E X b ⋅Γ(<br />
p<br />
– Graphik:<br />
1<br />
Die Funktion wächst von Null an<br />
und geht wieder zu Null zurück.<br />
0,5<br />
Beispiel: b = 2, p = 2 0<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
1<br />
+ 1)<br />
1,5<br />
-1 -0,5 0 0,5 1 1,5 2<br />
98
§ 5 Wahrscheinlichkeitsrechnung<br />
ZSA<br />
Binomialverteilung<br />
– Anwendung<br />
• Wahrscheinlichkeit, dass ein sicherheitsrelevantes System die<br />
Sicherheitsanforderungen erfüllt.<br />
– Wahrscheinlichkeit:<br />
f<br />
n,<br />
p<br />
( k)<br />
⎛n⎞<br />
⎜ ⎟ p<br />
⎝k<br />
⎠<br />
k n−k<br />
= ( = ) = (1 )<br />
P<br />
X<br />
k<br />
n Anzahl aller Versuche<br />
k Anzahl aller beobachteten Ereignisse<br />
p Wahrscheinlichkeit, dass das beobachtete Ereignis auftritt<br />
−<br />
p<br />
– Erwartungswert:<br />
E(<br />
X<br />
)<br />
=<br />
n ⋅<br />
p<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
99
§ 5 Wahrscheinlichkeitsrechnung<br />
ZSA<br />
Beispiel: Binomialverteilung<br />
– Daten:<br />
Anzahl der Rechner n = 3<br />
Wahrscheinlichkeit, dass ein Rechner<br />
1 Jahr nicht überlebt p = 0,1 (Einzelausfall)<br />
Anzahl der Rechner, die 1 Jahr nicht überlebt haben<br />
k = 0, 1, 2, und 3<br />
– Graphik:<br />
Für jeden Wert k = 0, 1, 2, ... n gibt es eine Wahrscheinlichkeit für das<br />
Auftreten von k<br />
1<br />
0,1<br />
0,01<br />
0,001<br />
0,0001<br />
0,729 0,243<br />
0,027<br />
0,001<br />
0 1 2 3<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
100
Zuverlässigkeit und Sicherheit von <strong>Automatisierungs</strong>systemen<br />
ZSA<br />
Gliederung<br />
§ 01 Einführung, Begriffe und Kenngrößen<br />
§ 02 Normen zur Zuverlässigkeit und Sicherheit<br />
§ 03 Fehlererkennung<br />
§ 04 Anforderungen, Beeinflussende Faktoren<br />
§ 05 Wahrscheinlichkeitsrechnung<br />
§ 06 Risiko und Gefährdung<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
101
§ 6 Risiko und Gefährdung<br />
ZSA<br />
§ 6 Risiko und Gefährdung<br />
– Definitionen:<br />
Risikobegriffe sind in den EN-, IEC- und DIN-Normen definiert.<br />
Hier werden nur Erläuterungen der Definitionen gebracht.<br />
– Risiko<br />
• Produkt von Schadensausmaß und Schadenshäufigkeit<br />
• Risiko = Schaden pro Zeiteinheit<br />
– Individuelles Risiko<br />
• Risiko bezogen auf einzelne Person<br />
– Kollektives Risiko<br />
• Risiko bezogen auf Personengruppen<br />
– Grenzrisiko<br />
• Größtes, noch vertretbares Risiko (noch akzeptables Risiko)<br />
– Restrisiko<br />
• Risiko unter Wirkung aller Sicherheitsfunktionen<br />
– Sicherheit<br />
• Freisein von nicht akzeptablen Risiken<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
102
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Risiko, Gefahr und Sicherheit<br />
Sicherheit<br />
Gefahr<br />
Risiko vertretbar gering,<br />
kleiner als Grenzrisiko<br />
Restrisiko<br />
Grenzrisiko<br />
Sicherheitsfaktor<br />
mindestens<br />
erforderliche<br />
Risikoreduzierung<br />
durch Konstruktion,<br />
Schutz-maßnahmen,<br />
Benutzerinformationen<br />
Risiko größer<br />
als Grenzrisiko<br />
Risiko ohne<br />
Maßnahmen<br />
tatsächliche<br />
Risikoreduzierung<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
103
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Grenzrisiko<br />
– Individuelle Risikoakzeptanz<br />
• Risiko, dass man selbst bereit ist, zu akzeptieren<br />
• Beispiele: Rauchen, Motorrad fahren, Sport (Ski fahren)<br />
– Allgemeine Risikoakzeptanz (Restrisiko)<br />
• Risiko, dass bei der richtigen Anwendung der nach dem Stand der<br />
Technik notwendigen Maßnahmen nicht ausschließbar ist<br />
• Neben der Technik sind die Betriebsführung (Organisation, Personal)<br />
und externe Einflüsse am Gesamtrisiko beteiligt<br />
– Akzeptanzkriterien<br />
• Eine Norm für Akzeptanzkriterien gibt es nicht<br />
• SIL ist kein Akzeptanzkriterium sonder eine Anforderung<br />
• Der Betreiber legt die Akzeptanzkriterien fest (EN50129)<br />
• Aktuelle Statistiken sind die Basis für das Grenzrisiko<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
104
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Gefährdungen im Bahnbetrieb<br />
Nr. Kategorie Gefährdung<br />
1 Überschreiten<br />
zulässiger<br />
• Überschreiten zulässiger<br />
Fahrzeughöchstgeschwindigkeit<br />
Geschwindigkeit • Überschreiten zulässiger<br />
Streckenhöchstgeschwindigkeit<br />
2 Kollision • Frontalkollision mit einem Zug<br />
• Kollision mit abgestellten Fahrzeugen bzw. Wagen<br />
• Kollision mit Gegenständen im Gleis/ Stationsbereich<br />
3 Weiche nicht in<br />
richtiger Lage<br />
• Weiche hat falsche Endlage<br />
• Weiche hat Endlage nicht erreicht<br />
4 Bahnübergang • Bahnübergang ist nicht gesichert<br />
• Bahnübergang öffnet zu früh<br />
5 Fahrgastwechsel • Abfahrt bei nicht abgeschlossenen Fahrgastwechsel<br />
• Unzeitige Türfreigabe<br />
6 Halt an verbotenen<br />
Stellen<br />
7 Verletzung der<br />
Einschränkungen<br />
• Nothalt an verbotenen Stellen<br />
• Unzulässiger Halt nach Fahrgastnotbremse<br />
• Verletzung des zulässigen max. Gewichts (Brücke)<br />
• Verletzung des zulässigen max. Lichtraumprofils<br />
(Tunnel)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
105
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Vergleich der Risiken<br />
– Zum Tode führende Ereignisse (1 Tote/Jahr)<br />
Das Verhältnis zwischen dem kleinsten und größten Risiko: 1:50.000<br />
Situation<br />
Größe eines<br />
Kollektivs<br />
Zigarettenrauchen (1 Päckchen pro Tag) 200<br />
Motorradfahren (USA) 1.000<br />
Grippe (GB) 5.000<br />
Leukämie (GB) 12.500<br />
Fußgänger im Straßenverkehr (USA) 26.000<br />
Tornados (USA) 450.000<br />
Flugreisen 814.000<br />
Vom Blitz getroffen werden (USA) 1.900.000<br />
Bienenstich (USA) 5.500.000<br />
Vom abstürzenden Flugzeug getroffen werden (USA) 10.000.000<br />
[V1] S. 6<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
106
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Sicherheit von Verkehrssystemen<br />
− Deutsche Airlines (1973-2007)<br />
74 Todesopfer<br />
• Air Berlin (inkl. LTU) 0<br />
• TUIfly 7<br />
• Lufthansa 61<br />
• Condor 16<br />
− Verkehrsunfälle in Deutschland (2008) 4477 Todesopfer<br />
− Eisenbahnunfälle in der EU (2004) 1483 Todesopfer<br />
(ohne GR, IT, NL, AT, PT, SE, UK)<br />
http://www.eds-destatis.de/de/downloads/sif/nz_06_06.pdf<br />
http://de.wikipedia.org/wiki/Stra%C3%9Fenverkehrsunfall<br />
http://www.eds-destatis.de/de/downloads/sif/nz_06_06.pdf<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
107
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Spektakuläre Unfälle<br />
– 1986 Kernkraftwerk Tschernobyl (Explosion)<br />
– 1987 Space Shuttle Challenger (Explosion)<br />
– 1988 Ölbohrinsel in der Nordsee (Explosion, Brand)<br />
– 1989 Öltanker Exxon bei Alaska (Kollision, Riff)<br />
– 1993 Hoechst AG (Freisetzung von Gasen)<br />
– 1994 Fährschiff von Petersburg nach Schweden (versunken)<br />
– 1996 Großraumflugzeug in Karibik (Absturz)<br />
– 1998 Zugunglück bei Eschede (Radbruch, Kollision)<br />
– 1999 Feuer im Mont Blanc Tunnel (Kollision, Feuer)<br />
– 2000 Concorde (Reifen geplatzt, Absturz)<br />
– ...<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
108
§ 6 Risiko und Gefährdung<br />
ZSA<br />
ICE-Unglück von Eschede (1998)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
109
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Kleine und große Unfälle<br />
– Beispiel für kleine Unfälle<br />
• Verkehrsunfälle auf deutschen Straßen: 8000 Tote pro Jahr und<br />
100000 Verletzte (150 Tote pro Woche)<br />
– Beispiel für einen großen Unfall<br />
• Eschede-Unfall mit ca. 100 Toten (1998)<br />
• Flugzeugabsturz mit ca. 200-300 Toten<br />
– Wirkung eines großen Unfalls<br />
• Ein einzelner großer Unfall ist immer sehr medienwirksam<br />
• Forderungen nach höherer Sicherheit werden dann sehr stark<br />
– Wirkung vieler kleiner Unfälle<br />
• Gegen viele "kleine" Unfälle wird zu wenig getan<br />
• Mehr Aufmerksamkeit auf Beinaheunfälle ist erforderlich<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
110
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Grundlebensrisiko<br />
– Natürliche Sterblichkeit<br />
• Sterblichkeit einschließlich der krankheitsbedingten Todesfälle<br />
• R n = 9 · 10 -3 Todesfälle/(Person x Jahr)<br />
– Minimale endogene Sterblichkeit (natürliche von Innen)<br />
• Sterblichkeit der Gruppe der 5- bis 15-jährigen<br />
• R m = 2 · 10 -4 Todesfälle/(Person x Jahr)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
111
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Beispiel: Grundrisiken<br />
Todesursachen in der Schweiz 2007<br />
Aids<br />
Illegale Drogen<br />
Vorsätzliche Tötungsdelikte<br />
Verkehrsunfälle<br />
Suizide<br />
76<br />
193<br />
245<br />
384<br />
1360<br />
Tabak<br />
9201<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
112
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Risikoakzeptanzkriterium MEM<br />
– Das Kriterium<br />
• Es darf keine nennenswerte Erhöhung von R m verursachen<br />
– In der Praxis akzeptierte Werte:<br />
•
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Beispiel: Anwendung von MEM<br />
– Risiko durch die Bahn<br />
• Zusätzliches Risiko durch die Bahn < 10-5 Todesfälle/(Person x Jahr)<br />
– Risiko durch die Eisenbahnsignaltechnik<br />
• Zusätzliches Risiko durch die Eisenbahnsignaltechnik ist<br />
< 4·10-10 Todesfälle/Passagierstunde<br />
– Risiko durch die Eisenbahnsignaltechnik<br />
Beispiel: Benutzung der Bahn von 2 Std./Tag<br />
• Die Benutzung der Bahn von 2 Stunden/Tag entspricht<br />
730 Stunden/Jahr<br />
• Bei ca. 1000 Stunden/Jahr ergibt sich ein zusätzliches<br />
Risiko von < 4 · 10-7 Todesfälle/(Person x Jahr)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
114
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Betrachtung schwerer Unfälle<br />
Bei Unfällen mit mehr als<br />
100 Todesfällen wird eine<br />
fallende Kennlinie, die<br />
Differential Risk Aversion<br />
(DRA), angewendet, um<br />
das individuelle Risiko<br />
stärker zu begrenzen<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
Todesfälle<br />
Person x Jahr<br />
10 -3<br />
10 -4<br />
10 -5<br />
10 -6<br />
10 -7<br />
Minimale<br />
endogene<br />
Sterblichkeit<br />
Zusätzliches<br />
Risiko durch<br />
die Bahn<br />
Aversionskennlinie<br />
(DRA)<br />
10 -8 Risiko durch Benutzung<br />
10 -9 der Eisenbahnsignaltechnik<br />
2 Std./Tag<br />
10 -10 10 0 10 1 10 2 10 3 10 4 10 5 10 6<br />
Anzahl der Todesfälle pro Unfall<br />
115
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Risikoakzeptanzkriterium ALARP<br />
− Kriterium:<br />
Zusätzliches Risiko muss so<br />
niedrig wie vernünftig machbar<br />
sein. Das System muss<br />
wirtschaftlich sein. (As Low As is<br />
Reasonably Practicable)<br />
Unzulässiger<br />
Bereich<br />
ALARP-<br />
Bereich<br />
Risiko nicht<br />
gerechtfertigt<br />
Zulässig, wenn<br />
Risikominderung<br />
nicht möglich<br />
− Anwendung vorwiegend in England:<br />
Es genügt nicht nachzuweisen,<br />
dass die Risiken im ALARP-<br />
Bereich liegen. Risiken müssen<br />
niedrig gehalten werden.<br />
Die Kosten für die<br />
Risikominderung müssen auf<br />
einer wirtschaftlichen<br />
Basis beruhe<br />
zulässiger<br />
Bereich<br />
(muss Vorteile<br />
haben)<br />
Weitgehend<br />
zulässiger<br />
Bereich<br />
Zulässig, wenn<br />
Kosten der<br />
Risikominderung<br />
größer als die der<br />
Verbesserung sind<br />
Risikominderung<br />
nicht notwendig<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
116
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Risikoakzeptanzkriterium GAMAB<br />
• Das Kriterium (Globalement Au Moins Aussi Bon)<br />
• Das neue System muss einen Sicherheits-Level bieten, der<br />
mindestens so hoch ist, wie der in irgendeinem vergleichbaren<br />
existierenden System<br />
– Anwendung vorwiegend in Frankreich<br />
• Aus den bisher eingesetzten Systemen werden statistische Daten<br />
abgeleitet z.B. Anzahl der Zusammenstöße/Fahrgast<br />
• Das neue System ist durch eine Reihe von Parametern<br />
charakterisiert, wie maximale Zuggeschwindigkeit, usw.<br />
• Daraus lassen sich bestimmte Daten wie die Anzahl der<br />
Zusammenstöße pro Fahrgast schätzen<br />
• Dieser Wert muss beim neuen System kleiner sein als beim<br />
vorhandenen System<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
117
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Häufigkeit<br />
Kategorie<br />
häufig<br />
wahrscheinlich<br />
gelegentlich<br />
selten<br />
Definition<br />
Wird häufig auftreten. Die Gefahr ist ständig gegenwärtig.<br />
Wird mehrmals auftreten. Es ist zu erwarten, dass die Gefahr<br />
oft eintritt.<br />
Kann mehrmals auftreten. Es ist zu erwarten, dass die Gefahr<br />
mehrmals eintritt.<br />
Kann manchmal während des Lebenszyklus auftreten. Es<br />
ist sinnvoll, mit dem Auftreten der Gefahr zu rechnen.<br />
unwahrscheinlich Das Auftreten ist unwahrscheinlich, aber möglich. Es darf<br />
angenommen werden, dass diese Gefahr nur in Ausnahmefällen<br />
eintritt.<br />
unvorstellbar Das Auftreten ist extrem unwahrscheinlich. Es darf angenommen<br />
werden, dass diese Gefahr nicht eintritt.<br />
[E1] S. 17<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
118
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Schadensausmaß<br />
Kategorie<br />
katastrophal<br />
kritisch<br />
marginal<br />
unbedeutend<br />
Konsequenzen für Personen<br />
oder Umwelt<br />
Unfalltote und/oder zahlreiche<br />
Schwerverletzte und/oder<br />
schere Umweltschäden<br />
einzelne Unfalltote und/oder<br />
Schwerverletzte und/oder<br />
nennenswerte Umweltschäden<br />
kleinere Verletzungen<br />
und/oder nennenswerte bedrohung<br />
der Umwelt<br />
mögliche, geringfügige Verletzung<br />
Konsequenzen für die Betriebs-<br />
und Dienstleistung<br />
Verlust eines wichtigen Systems<br />
schwere Beschädigung<br />
des/der Systems/e<br />
geringfügige Beschädigung<br />
des Systems<br />
[E1] S. 17<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
119
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Risikostufen<br />
Kategorie<br />
intolerabel<br />
Anzuwendende Maßnahmen<br />
muss ausgeschlossen werden<br />
unerwünscht<br />
tolerabel<br />
darf nur akzeptiert werden, wenn eine Risikominderung<br />
praktisch nicht durchführbar ist und eine Zustimmung entweder<br />
des Bahnunternehmens oder der für die Sicherheit<br />
zuständigen Aufsichtsbehörde vorliegt<br />
akzeptierbar bei geeigneter Überwachung und mit der Zustimmung<br />
des Bahnunternehmens<br />
vernachlässigbar akzeptierbar mit/ohne weitere Zustimmung des Bahnunternehmens<br />
[E1] S. 18<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
120
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Beispiel: qualitative Risikobewertung<br />
Häufigkeit<br />
Risikostufen<br />
häufig unerwünscht intolerabel intolerabel intolerabel<br />
wahrschein- tolerabel unerwünscht intorelabel intolerabel<br />
lich<br />
gelegentlich tolerabel unerwünscht unerwünscht intolerabel<br />
selten<br />
unwahrscheinlich<br />
unvorstellbar<br />
vernachlässigbar<br />
tolerabel unerwünscht unerwünscht<br />
vernachlässigbasigbar<br />
vernachläs-<br />
tolerabel tolerabel<br />
vernachlässigbasigbasigbasigbar<br />
vernachläs-<br />
vernachläs-<br />
vernachläs-<br />
unbedeutend marginal kritisch katastrophal<br />
Schadensausmaß<br />
[E1] S. 19<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
121
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Beispiel: quantitative Risikoabschätzung<br />
1 Todesfall = 10 schwer Verletzte = 100 leicht verletzte<br />
[E1] S. 19<br />
unbedeutend<br />
Häufigkeit per hour Risikostufen<br />
häufig 1,0.10 -01 unerwünschraberabel<br />
intole-<br />
intole-<br />
wahrschein- 1,0.10 -02 tolerabel unerwünscht<br />
intorelabel<br />
lich<br />
gelegentlich 1,0.10 -03 tolerabel unerwünschwünscht<br />
uner-<br />
selten 1,0.10 -04 vernachlässigbawünscht<br />
tolerabel uner-<br />
unwahr- 1,0.10 -05 vernachlässigbalässigbar<br />
vernach-<br />
tolerabel<br />
scheinlich<br />
unvorstellbar 1,0.10 -06 vernachlässigbalässigbalässigbar<br />
vernach-<br />
vernach-<br />
1 leicht 1 schwer 1<br />
Verletzter Verletzter Todesfall<br />
intolerabel<br />
intolerabel<br />
intolerabel<br />
unerwünscht<br />
tolerabel<br />
vernachlässigbar<br />
> 10<br />
Todesfälle<br />
marginal kritisch katastrophal<br />
Schadensausmaß<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
122
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Risiko- und Gefährdungsanalyse<br />
– Risikoanalyse<br />
• Schritt 1: Systemdefinition<br />
• Schritt 2: Gefährdungsidentifikation<br />
• Schritt 3: Auswirkungsanalyse/Risikoabschätzung<br />
– System Design Analyse (Gefährdungsanalyse)<br />
• Schritt 4: (Ursachen-) Gefährdungsanalyse<br />
• Schritt 5: Zuordnung von Sicherheitsanforderungen (SIL) zu<br />
Subsystemen und Komponenten<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
123
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Übersicht der Methode<br />
Zulassungsbehörde<br />
[C1] S. 12<br />
Betreiber<br />
1 Systemdefinition,<br />
2 Gefährdungsidentifikation<br />
3 Auswirkungsanalyse/<br />
Risikoabschätzung<br />
tolerierbare Gefährdungsraten THR<br />
4 (Ursachen-)<br />
Gefährdungsanalyse<br />
5 Zuordnung von<br />
Sicherheitsanforderungen (SIL)<br />
zu Subsystemen und Komponenten<br />
Hersteller<br />
Risikoanalyse<br />
System Design<br />
Analyse<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
124
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Schritt 1: Systemdefinition<br />
– Das System in Kurzform beschreiben<br />
• Systemkonzept<br />
• Systemfunktionen<br />
• System-Schnittstellen und -Grenzen<br />
• Performance<br />
• Umgebung<br />
• Betriebs- und Wartungsstrategie<br />
• Anwendungs-, Betriebs- und Wartungsbedingungen<br />
• RAMS-Ziele<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
125
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Fragen zum System<br />
– Wichtige Fragen zum System<br />
• Ist das System von der Umgebung klar abgegrenzt?<br />
• Sind alle Ein- und Ausgaben (Systemschnittstellen) definiert?<br />
• Ist die Systemstruktur festgelegt?<br />
• Ist die Aufgabe des Systems hinreichend definiert?<br />
• Sind alle Systemfunktionen festgelegt?<br />
• Sind alle Einsatzbedingungen und Betriebsarten bekannt?<br />
• Sind die möglichen Auswirkungen auf die Umwelt bekannt?<br />
• Sind Analysen, wie "was passiert, wenn ...", durchführbar?<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
126
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Schritt 2: Gefährdungsidentifikation<br />
– Identifikation bekannter Gefährdungen (empirisch)<br />
• Checkliste der Gefährdungsumstände<br />
• Strukturiertes Walkthrough<br />
• FMEA<br />
• Aktivitäten-Analyse für MMI<br />
– Identifikation neuer, unbekannter Gefährdungen (kreativ)<br />
• Strukturiertes "was passiert, wenn"<br />
• Brainstorming<br />
• HAZOP (Hazard and Operability Study)<br />
– Ergebnis<br />
• Liste der Gefährdungen H j , j = 1, 2, ...<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
127
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Schritt 3: Auswirkungsanalyse/Risikoabschätzung<br />
– Zwei Arten von Analysen: qualitativ und quantitativ<br />
– Qualitative Risikoanalyse<br />
• Ermittlung von Risiken in Kategorien<br />
Risiko<br />
• intolerabel<br />
• unerwünscht<br />
• tolerabel<br />
• vernachlässigbar<br />
– Quantitative Risikoanalyse<br />
• Abschätzung der Eingangsdaten (z.B. Gefährdungsdauer)<br />
• Berechnung von Risiken (z.B. Target Individual Risk TIR)<br />
• Berechnung von Gefährdungsraten (z.B. Tolerable Hazard Rate THR)<br />
[C1] S. 24<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
128
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Schritt 4: (Ursachen-) Gefährdungsanalyse<br />
– Ausgangssituation: Ergebnis der Risikoanalyse<br />
• Gefährdungen auf Systemebene<br />
• Gefährdungen H 1 , ..., H n , Gefährdungsraten THR 1 , ..., THR n<br />
– Fehlerbaumanalyse auf der Systemebene<br />
• Für jede Gefährdung auf der Systemebene Fehlerbaumanalyse<br />
durchführen und Ursachen auf der Teilsystemebene feststellen<br />
– FMEA auf der Komponentenebene<br />
• Für jedes Teilsystem FMEA durchführen Ursachen auf der<br />
Komponentenebene feststellen<br />
– Ergebnis<br />
• Ursachen für Gefährdungen auf der Ebene der<br />
• Teilsysteme<br />
• Komponenten<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
129
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Hierarchie von Gefährdungen<br />
Subsystem-<br />
Grenze<br />
Gefährdung auf<br />
Subsystem-<br />
Ebene<br />
Systemgrenze<br />
Unfall 1<br />
Gefährdung auf<br />
Systemebene<br />
Unfall 2<br />
Unfall k<br />
Ursache auf<br />
Subsystemebene<br />
Ursache auf<br />
Subsystemebene<br />
[C1] S. 22<br />
Ursache<br />
Auswirkung<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
130
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Schritt 5: Zuordnung v. Sicherheitsanforderungen<br />
– Grundregeln<br />
• Eine hohe SIL-Anforderung an das System kann durch Kombination<br />
von Komponenten niedriger SIL-Anforderungen erreicht werden<br />
• Bei der Kombination von Komponenten müssen SIL-Anforderungen<br />
für jedes Element bestimmt werden (Top-down-Verfahren).<br />
– Unabhängigkeit<br />
• Bei der Kombination von Komponenten muss durch Unabhängigkeit<br />
der Komponenten gewahrt werden<br />
• Physikalische<br />
• funktionale<br />
• Prozess-Unabhängigkeit<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
131
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Physikalische Unabhängigkeit<br />
– Merkmale<br />
• Voraussetzung für die Aufteilung von SIL auf Teilsysteme<br />
• Ausschließen von "Common Cause Failure (CCF)"<br />
• Voraussetzung für die Fehlererkennung und -Isolation<br />
• Basis für die Instandsetzungsstrategie<br />
– Nachweis der Unabhängigkeit<br />
• Durch CCF-Analyse (Common Cause Failure)<br />
– Beispiel<br />
• Zwei identische Komponenten mit MTBF = 10000 h<br />
• System: UND-Kombination der Komponenten<br />
• Mittlere Fehleroffenbarungszeit T = 1 h<br />
• Ausfallrate für das System 1,0·10 -8 /h<br />
• Für T = 1000 h ergibt sich die Ausfallrate zu 1,0·10 -5 /h<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
132
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Funktionale Unabhängigkeit<br />
– Merkmale<br />
• Voraussetzung für die Aufteilung von SIL auf Einzelfunktionen<br />
– Nachweis der Unabhängigkeit<br />
• Durch CCF-Analyse (Common Cause Failure)<br />
– Beispiel<br />
• Zwei Funktionen A und B werden unabhängig realisiert<br />
• Fehler der Funktion A hat keinen Einfluss auf die Funktion B<br />
A&B<br />
Gefährdung<br />
Fehler<br />
in A<br />
CCF<br />
CCF<br />
Fehler<br />
in B<br />
ODER<br />
A&B<br />
UND<br />
Fehler in A Fehler in B<br />
CCF<br />
[C1] S. 39<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
133
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Prozess-Unabhängigkeit<br />
– Merkmale<br />
• Voraussetzung zur Vermeidung systematischer Fehler<br />
• Festlegen unabhängiger Entwicklungsphasen (life cycle)<br />
• Anforderungen, Systementwurf, Implementierung, Test<br />
• Festlegen unabhängiger Organisationseinheiten<br />
• Validation, Qualitätssicherung<br />
• Festlegen unabhängiger Aktivitäten<br />
• Entwicklung, Prüfung (Review)<br />
– Nachweis der Unabhängigkeit<br />
• Durch Reviews und Audits<br />
– Beispiel unabhängiger Prozesse (Aktivitäten)<br />
• Team 1 Modul-Spezifikation und –Implementierung<br />
• Team 2 Modultest-Spezifikation und -Durchführung<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
134
§ 6 Risiko und Gefährdung<br />
ZSA<br />
Unabhängigkeit nach EN50129<br />
SIL 0<br />
SIL 3-4 oder s.u.<br />
PM<br />
DI, VER, VAL<br />
GUT<br />
PM<br />
DI<br />
VER, VAL<br />
GUT<br />
SIL 1-2<br />
SIL 3-4<br />
DI<br />
PM<br />
VER, VAL<br />
GUT<br />
PM<br />
Di VER VAL<br />
GUT<br />
PM<br />
Di<br />
Ver<br />
Val<br />
GUT<br />
Projektmanager<br />
Designer/Implementierer<br />
Verifizierer<br />
Validierer<br />
Gutachter<br />
kann dieselbe<br />
Person sein<br />
kann dieselbe<br />
Organisation sein<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
135
Zuverlässigkeit und Sicherheit von <strong>Automatisierungs</strong>systemen<br />
ZSA<br />
Gliederung<br />
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
§ 8 Sicherungsmethoden<br />
§ 9 Berechnungsmethoden<br />
§ 10 Vereinfachungen<br />
§ 11 Zuverlässigkeit komplexer Systeme<br />
§ 12 Berechnung von Sicherheitskenngrößen<br />
§ 13 Softwarezuverlässigkeit<br />
§ 14 RAMS-Management<br />
§ 15 Sicherheitsnachweis (SN)<br />
§ 16 Abkürzungen, Literatur<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
136
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
– Zuverlässiges jedoch nicht sicheres System<br />
• Ausfallwahrscheinlichkeit<br />
sehr niedrig<br />
• Ausfallauswirkung<br />
Unfall sehr wahrscheinlich<br />
• Beispiel: 1-von-2-Rechnersystem oder Stand-by<br />
– Sicheres jedoch nicht zuverlässiges System<br />
• Ausfallwahrscheinlichkeit<br />
• Ausfallauswirkung<br />
• Beispiel: 2-von-2-Rechnersystem<br />
sehr hoch<br />
keine Gefährdungen<br />
– Zuverlässiges und sicheres System<br />
• Ausfallwahrscheinlichkeit<br />
• Ausfallauswirkung<br />
• Beispiel: 2-von-3-Rechnersystem<br />
sehr niedrig<br />
keine Gefährdungen<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
137
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Methoden und Techniken<br />
– Zuverlässigkeitstechnik<br />
• Ausfallwahrscheinlichkeit reduzieren<br />
• bessere Komponenten (HW und SW)<br />
• bessere Systemstruktur (HW und SW)<br />
• bessere Redundanzstruktur (HW und SW)<br />
– Sicherheitstechnik<br />
• Gefährdungen ausschließen<br />
• Fehlerausschluss (HW und SW)<br />
• Fehlersicher (fail-safe) (echt fail-safe nur HW)<br />
• Fehlererkennung (HW und SW) und Überführung zur sicheren<br />
Seite<br />
– Zuverlässigkeits- und Sicherheitstechnik<br />
• Kombination der obigen Methoden und Techniken<br />
• Sicherheit nicht auf Kosten der Verfügbarkeit und umgekehrt<br />
• Hohe Sicherheit und Verfügbarkeit konzeptionell lösen<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
138
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Hardware- und Software-Strategien<br />
– Hardware-Strategien<br />
• Verbesserung des Materials<br />
• Verbesserung der Herstellungstechnologie<br />
• Verbesserung der Konstruktion/Gestaltung<br />
• Auswahl geeigneter Komponenten<br />
• Überdimensionierung, Unterlastung<br />
• Störfestigkeit, Schutz gegen Umwelteinflüsse<br />
• Verwendung von Selbsttestverfahren<br />
• Verwendung von Redundanz und Fehlertoleranz<br />
– Software-Strategien<br />
• Geeignete Methoden der Softwareentwicklung<br />
• Geeignete Tools zur Softwareentwicklung<br />
• Standardisierung der Softwareentwicklung (Lifecycle)<br />
• Wiederverwendung von Software<br />
• Wirksame Software-QS-Maßnahmen<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
139
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Zuverlässigkeitssteuerung<br />
– Baustein MOS-RAM (Intel)<br />
• Die Ausfallrate wurde in den 5 Jahren (1973 bis 1978) mehr als 20-<br />
fach reduziert<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
140
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Fail-safe-Technik<br />
– Echt fail-safe-Verfahren<br />
• Ohne einer Fehler- oder Ausfallerkennung<br />
• Durch konstruktiv festgelegte Ausfallrichtung und geeignete<br />
Zusammenschaltung der Komponenten wird ein<br />
sicherheitsgerichtetes Ausfallverhalten erreicht.<br />
• Beispiel<br />
• Ruhestromprinzip bei Relaischaltungen<br />
Ausfall Relaisgrundstellung Nullsignal sicherer Zustand<br />
– Quasi-fail-safe-Verfahren<br />
• Verwendung einer Fehler- oder Ausfallerkennung<br />
• Durch Fehler- oder Ausfallerkennung und anschließende<br />
Überführung in den sicheren Zustand<br />
• Beispiel<br />
• Zweikanalige Signalverarbeitung<br />
Ausfall Kanal 1 defekt Ausfallerkennung sicherer Zustand<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
141
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Sicherer Zustand<br />
– Sicherer Zustand (VDI/VDE 3542)<br />
• Zustand einer Betrachtungseinheit, bei dem das Risiko vertretbar<br />
gering ist.<br />
– Sichere Zustände des Betriebes<br />
• Bestimmungsgemäße Betriebszustände (Normaler Betrieb)<br />
• Betriebszustände, die als Folge von Störungen eingenommen werden<br />
(Reduzierte Leistung, verminderte Geschwindigkeit, Notbetrieb)<br />
• Abschalt-, oder Haltzustände, die als Folge von Störungen eintreten<br />
können (außer Betrieb)<br />
– Beispiele für sichere Zustände<br />
• Zugfahrt mit zulässiger Geschwindigkeit<br />
• Flugzeug im Fliegen und nach der Landung<br />
(Ausgenommen verbotene Situationen wie Halten im Tunnel)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
142
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Redundanzmaßnahmen (Live–Mitschrieb)<br />
– Redundanz (DIN 40042)<br />
• Funktionsbereites Vorhandensein zusätzlicher technischer Mittel<br />
Redundanzfreies<br />
System<br />
Redundanz<br />
Redundantes<br />
System<br />
Aktive<br />
funktionsbeteiligte<br />
heiße<br />
statische<br />
Passive<br />
nicht funktionsbeteiligte<br />
kalte<br />
dynamische<br />
stand-by (kalte, heiße)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
143
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Stand-by-Redundanz<br />
– Ablauf im Redundanzfall<br />
• Erkennung des Ausfalls<br />
• Lokalisierung der ausgefallenen Einheit<br />
• Aktivieren der redundanten Einheit<br />
• Aktualisieren der redundanten Einheit<br />
• Umschalten auf die redundante Einheit<br />
• Isolierung der ausgefallenen Einheit<br />
• Vollständige Funktionsübernahme<br />
– Probleme: Versagen eines der obigen Schritte<br />
• Ausfall nicht erkannt bzw. nicht oder falsch lokalisiert<br />
• Aktivieren/Aktualisieren nicht möglich oder fehlerhaft<br />
• Umschalten nicht möglich oder fehlerhaft<br />
• Isolieren nicht möglich oder fehlerhaft<br />
• Übernahme nur teilweise<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
144
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Redundanzarten<br />
– Ebenen der Redundanz<br />
• Bauelement-Redundanz<br />
• Modul-Redundanz<br />
• Teilsystem-Redundanz<br />
• Systemredundanz<br />
– Hardware/Software<br />
• Hardware-Redundanz<br />
• Software-Redundanz<br />
– Weitere Formen<br />
• Code-Redundanz<br />
• Zeit-Redundant<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
145
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Bauelement-Redundanz (1)<br />
– Prinzip<br />
• Mehrfacher Einsatz des gleichen Bauelements<br />
– Beispiel Relaiskontakt (1)<br />
• Ausfallarten<br />
• K0 Kontakt schließt nicht (offen)<br />
• K1 Kontakt öffnet nicht (geschlossen)<br />
• Redundante Lösungen<br />
• Serienschaltung<br />
Funktionsfähig nach Ausfall: K0: Nein, K1: Ja<br />
• Parallelschaltung<br />
Funktionsfähig nach Ausfall: K0: Ja, K1: Ja<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
146
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Bauelement-Redundanz (2)<br />
– Beispiel Relaiskontakt (2)<br />
• Redundante Lösungen<br />
• Serienparallelschaltung<br />
Funktionsfähig nach Ausfall: K0: Ja, K1: Ja<br />
Funktionsfähig nach Doppelausfall:<br />
K0/K0: 8xJa, K1/K1: 4xJa, K0/K1: 12xJa<br />
• Parallelserienschaltung<br />
Funktionsfähig nach Ausfall: K0: Ja, K1: Ja<br />
Funktionsfähig nach Doppelausfall:K0/K1: Ja<br />
K0/K0: 4xJa, K1/K1: 8xJa, K0/K1: 12xJa<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
147
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Bauelement-Redundanz (3)<br />
– Auswahl der redundanten Lösung<br />
Ausfallart<br />
Fall A<br />
λ<br />
Fall B<br />
λ<br />
Fall C<br />
λ<br />
Fall D<br />
λ<br />
Fall E<br />
λ<br />
K0 klein groß groß klein klein<br />
K1 groß klein groß klein Null<br />
Schaltung: (a), (d) (b), (c) alle 4 alle 4 (b), (c)<br />
– Fall C oder D<br />
• Alle Schaltungen (a) bis (d) sind nicht sinnvoll, da 2- oder 4-fach<br />
höhere Ausfallrate auftritt<br />
• Empfehlung: Durch konstruktive Maßnahmen auf die Fälle A, B oder E<br />
überführen.<br />
– Fall E<br />
• Dieser Fall ist bei sog. Signalrelais realisiert.<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
148
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Code-Redundanz<br />
– Parity-Bit-Verfahren<br />
• Summe aller Bits = ungerade Zahl (1, 3, usw.)<br />
– Beispiel<br />
• Parity-Bit für eine Oktalzahl (3 Bits)<br />
Wort Code Paritybit<br />
Summe<br />
der Bits<br />
H-Zahl<br />
zu<br />
Wort 0<br />
0 000 1 1 -<br />
1 001 0 1 2<br />
2 010 0 1 2<br />
3 011 1 3 2<br />
4 100 0 1 2<br />
5 101 1 3 2<br />
6 110 1 3 2<br />
7 111 0 3 4<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
149
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Hamming-Distanz<br />
– Ermittlung der Hamming-Distanz<br />
• Minimum der Bitzahl des Unterschiedes zwischen zwei beliebigen<br />
Worten<br />
– Erkennbare und korrigierbare Bits<br />
• Anzahl der erkennbaren m und der korrigierbaren fehlerhaften Bits n<br />
hängt von der Hamming-Distanz ab<br />
H 1 2 3 4 5 6 7<br />
m 0 1 2 3 4 5 6<br />
n 0 0 1 1 2 2 3<br />
m = H - 1<br />
n = Ganzzahl von m/2 (30)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
150
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Redundanz der Signale (1)<br />
– Zweikanalige Signaldarstellung<br />
• Codierung der Signale<br />
Signal Code<br />
0 01<br />
1 10<br />
• UND-Verknüpfung einkanalig<br />
x<br />
y & z<br />
xy z<br />
00 0<br />
01 0<br />
10 0<br />
11 1<br />
• UND-Verknüpfung zweikanalig<br />
x 1<br />
x 2 z<br />
&<br />
1<br />
y 1<br />
z 2<br />
y 2<br />
x 1 x 2 y 1 y 2 z 1 z 2<br />
01 01 01<br />
01 10 01<br />
10 01 01<br />
10 10 10<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
151
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Redundanz der Signale (2)<br />
– Realisierung durch UND/ODER-Module<br />
Kanal 1 (UND)<br />
x 1 y 1 z 1<br />
0 0 0<br />
0 1 0<br />
1 0 0<br />
1 1 1<br />
Kanal 2 (ODER)<br />
x 2 y 2 z 2<br />
1 1 1<br />
1 0 1<br />
0 1 1<br />
0 0 0<br />
Schaltung<br />
x 1<br />
x & z 1<br />
2<br />
y 1<br />
y<br />
≥1 z 2<br />
2<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
152
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Erkennbarkeit der Fehler<br />
– Fehlererkennung (F0, F1 sind Fehler)<br />
• Durch Prüfung der Signale auf Antivalenz<br />
• Alle Eingangsfehler und Ausgangsfehler sind erkennbar<br />
fehlerfrei<br />
x 1 x 2 y 1 y 2 z 1 z 2<br />
Fehler<br />
x 1 x 2 y 1 y 2 z 1 z 2<br />
Erkennung<br />
Eing.-F<br />
Erkennung<br />
Ausg.-F<br />
01 01 01 F11 01 01 ja<br />
01 10 01 F11 10 F11 ja ja<br />
10 01 01 F00 01 01 ja<br />
10 10 10 F00 10 F00 ja ja<br />
01 01 01 0F0 01 01 ja<br />
01 10 01 0F0 10 0F0 ja ja<br />
10 01 01 1F1 01 01 ja<br />
10 10 10 1F1 10 1F1 ja ja<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
153
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Tripple Modular Redundancy (1)<br />
– Dreikanalige Realisierung<br />
• Einfacher 2-von3-Mehrheitsentscheid<br />
• Einfachfehler der Eingangssignale und der UND-Module werden<br />
erkannt<br />
• Fehler des Mehrheitsentscheids werden nicht erkannt<br />
u 1<br />
x u 1 u 2 u 3 z 1 =z 2 =z 3<br />
1<br />
&<br />
z 1 0 0 0 0<br />
0 0 1 0<br />
0 1 0 0<br />
x 2<br />
u 2<br />
&<br />
0 1 1 1<br />
M z2<br />
1 0 0 0<br />
1 0 1 1<br />
x 3<br />
&<br />
z<br />
u 3<br />
3<br />
y 1 y 2 y 3<br />
1 1 0 1<br />
1 1 1 1<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
154
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Tripple Modular Redundancy (2)<br />
– Dreikanalige Realisierung<br />
• Dreifacher 2-von3-Mehrheitsentscheid<br />
• Alle Einfachfehler (Eingänge, Module, Mehrheitsentscheid)<br />
werden erkannt<br />
x 1<br />
& M z 1<br />
y 1 y 2 y 3<br />
x 2 & M z 2<br />
x 3<br />
& M z 3<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
155
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Rechensysteme für kritische Anwendungen<br />
− Anforderungen<br />
• Anforderungen an Rechnersysteme für kritische Anwendungen<br />
können sehr unterschiedlich sein:<br />
• Hohe Sicherheit<br />
• Hohe Verfügbarkeit<br />
• Hohe Zuverlässigkeit<br />
• Lange Lebensdauer<br />
Anwendungen Anforderungen Beispiele<br />
Kommunikation,<br />
Vermittlung<br />
Hohe Verfügbarkeit<br />
Systemausfall 2 Std./40<br />
ESS (Bell)<br />
SSP (Siemens<br />
Jahre<br />
Prozesssteuerung Hohe Zuverlässigkeit,<br />
Echtzeit<br />
TELEPERM<br />
(Siemens)<br />
Schienenverkerhr Hohe Zuverlässigkeit TAS (Alcatel)<br />
SIMIS (Siemens)<br />
Flugverkehr Hohe Zuverlässigkeit FTMP (Draper<br />
Satellit<br />
Raumfahrt<br />
Ausfallrate < 10 -9<br />
Hohe Zuverlässigkeit,<br />
lange Lebensdauer<br />
SIFT (SRI)<br />
Voyager (Jet Prop.<br />
Lab.)<br />
FTSC (Raytheon)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
156
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Einkanalige Systemstruktur<br />
nach IEC 61508<br />
Struktur 1001<br />
Eingangskreis<br />
Prozessor<br />
Ausgangskreis<br />
Struktur 1001D<br />
Eingangskreis<br />
Prozessor<br />
Ausgangskreis<br />
Diagnosekreis<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
157
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Zweikanalige Systemstruktur<br />
nach IEC 61508<br />
Struktur 2002D<br />
Eingangskreis<br />
Prozessor<br />
Ausgangskreis<br />
Diagnosekreis<br />
Eingangskreis<br />
Prozessor<br />
Ausgangskreis<br />
Diagnosekreis<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
158
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Zweikanalige HW/SW-Strukturen (1)<br />
− 2 identische Mikrorechner / 2 identische Anwendersoftware<br />
AS<br />
MC<br />
V1<br />
AS<br />
MC<br />
V2<br />
− 2 diversitäre Mikrorechner / 2 identische Anwendersoftware<br />
AS<br />
AS<br />
MC1<br />
MC2<br />
V1<br />
V2<br />
− 2 identische Mikrorechner / 2 diversitäre Anwendersoftware<br />
AS1<br />
MC<br />
V1<br />
[K5] S.46<br />
AS2<br />
MC<br />
V2<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
159
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Zweikanalige HW/SW-Strukturen (2)<br />
− 1 Mikrorechner / 2 diversitäre Anwendersoftware<br />
AS1<br />
SV1<br />
MC<br />
AS2<br />
SV2<br />
− 2 diversitäre Mikrorechner / 2 diversitäre Anwendersoftware<br />
AS1<br />
MC1<br />
V1<br />
AS2<br />
MC2<br />
V2<br />
[K5] S. 47<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
160
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Blockbild eines Satellitenrechners<br />
[F2]<br />
© <strong>2012</strong> IAS, Universität Stuttgart 161
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Redundanzstruktur des Satellitenrechners<br />
No. ABR. Functional Elements Redundance<br />
1 CPU CENTRAL PROCESSING UNIT SYSTEM 2a, 2sb<br />
2 CCU CONFIGURATION CONTROL UNIT TMR<br />
3 MM MEMORY MODULE 15a, 9sb<br />
4 SDU SERIAL DATA BUS SYSTEM 1 von 2a<br />
5 SIU SERIAL INTERFACE UNIT 1a, 1sb<br />
6 DIU DEVICE INTERFACE UNIT 1 von 2a<br />
7 DMA DIRECT MEMORY ACCESS 1a, 1sb<br />
8 TU TIMING UNIT 1a, 1 sb<br />
9 PU POWER UNIT 1a, 1sb<br />
10 CU CIRCUMVENTION UNIT TMR<br />
11 HT HARDENED TIMER TMR<br />
a active modules<br />
sb stand by modules<br />
TMR Tripple Modular Redundancy<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
162
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Blockbild eines sichereren Rechnersystems<br />
Prozess<br />
Rechnerkanal 1 Rechnerkanal 2<br />
Eingabeeinheit<br />
Rechnerkanalüberwachung<br />
Eingabeverteiler<br />
Eingabe<br />
Eingabeeinheit<br />
Kern<br />
Koordination und<br />
SW-Vergleich<br />
Eingabesynchronisation<br />
Verarbeitung<br />
Programm- und<br />
Datenspeicherung<br />
Versorgungsspannung<br />
Sichere Abschaltung<br />
und Überwachung<br />
Koordination und<br />
SW-Vergleich<br />
Eingabesynchronisation<br />
Rechnerkanalüberwachung<br />
Verarbeitung<br />
Programm- und<br />
Datenspeicherung<br />
Ausgabeeinheit<br />
Ausgabevergleicher<br />
Ausgabe<br />
Ausgabeeinheit<br />
Prozess<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
163
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Blockbild einer sicherheitsgerichteten SPS<br />
– HIMA<br />
[Z1] S. 51<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
164
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Redundanzstrukturen der sicheren SPS<br />
– Durchschnittliche Betriebsdauer der sicheren SPS (HIMA)<br />
EA: Ein- und Ausgabeeinheit, a: Jahr<br />
[Z1] S. 60<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
165
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Blockbild eines 2-von-3-Systems Leitsystems<br />
[L1] S. 295<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
166
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Zuverlässigkeitsmaßnahmen für Software<br />
– Zwei Kategorien von Maßnahmen<br />
• Vermeiden von Fehlern<br />
• Entdecken und Beheben/Tolerieren von Fehlern<br />
– Vermeiden von Fehlern<br />
• Höhere Programmiersprache<br />
• Strukturierte Programmierung<br />
• Top-down-Entwurf<br />
• Spezifikations- und Entwurfssysteme<br />
– Entdecken und Beheben/Tolerieren von Fehlern<br />
• Programmtest und Korrektur<br />
• Programmablaufüberwachung<br />
• Programmteilwiederholung<br />
• Diversitäre Programmierung<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
167
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
ZSA<br />
Sicherheitsmaßnahmen für Software<br />
– Vermeiden von Fehlern<br />
• Höhere Programmiersprachen<br />
• Software-Entwicklungwerkzeuge<br />
• Software-Prüfung und -Qualitätssicherung<br />
– Echt-fail-safe-Verfahren<br />
• Bei Software nicht realisierbar, da auch unbekannte Fehler<br />
sicherheitsgerichtet wirken müssten<br />
– Quasi-fail-safe-Verfahren<br />
• Fehlererkennung durch<br />
• Programmablaufüberwachung<br />
• Rechnezeit-, Laufzeit-Überwachung<br />
• Plausibilitätsprüfungen<br />
• Software-Diversität<br />
und anschließender sicherheitsgerichteter Maßnahmen.<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
168
Zuverlässigkeit und Sicherheit von <strong>Automatisierungs</strong>systemen<br />
ZSA<br />
Gliederung<br />
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
§ 8 Sicherungsmethoden<br />
§ 9 Berechnungsmethoden<br />
§ 10 Vereinfachungen<br />
§ 11 Zuverlässigkeit komplexer Systeme<br />
§ 12 Berechnung von Sicherheitskenngrößen<br />
§ 13 Softwarezuverlässigkeit<br />
§ 14 RAMS-Management<br />
§ 15 Sicherheitsnachweis (SN)<br />
§ 16 Abkürzungen, Literatur<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
169
§ 8 Sicherungsmethoden<br />
ZSA<br />
§ 8 Sicherungsmethoden<br />
− Ereignisfolge bis zum<br />
Unfall und Schaden<br />
Fehler<br />
Entwurf und Aufbau<br />
− Fehler und Ausfall:<br />
Alle möglichen Fehler- und<br />
Ausfallarten sind zu betrachten.<br />
P FV<br />
Ausfall<br />
P AV<br />
Versagen<br />
P VG<br />
Betrieb<br />
Gefahr<br />
− Übergangswahrscheinlichkeiten:<br />
Die Übergangswahrscheinlichkeiten<br />
P FV , P AV , P VG hängen mit den<br />
Sicherheitsanforderungen zusammen.<br />
Dabei sind auch Kombinationen von<br />
Fehlern und Ausfällen zu betrachten.<br />
P GU<br />
Unfall<br />
P US<br />
Schaden<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
170
§ 8 Sicherungsmethoden<br />
ZSA<br />
Sicherungsmethoden gegen Gefahr<br />
– Fehlerausschluß<br />
• Normung der Entwicklungsvorgänge<br />
• Normung der Dokumentationsverfahren und<br />
–darstellungen<br />
• Normung der Softwareentwicklung<br />
• Anwendung von ProgrammierstandardsBeispiel<br />
– Fehlerabwehr<br />
• Vermeidung unvollständiger Beschreibung<br />
des Systems<br />
• Vermeidung der Durchführung mehrerer Schritte zugleich<br />
• Zerlegung komplexer Vorgänge in einfache Schritte<br />
• Nutzung der Rechnerunterstützung in allen Vorgängen<br />
– Fehlererkennung<br />
• Anwendung nachvollziehbarer Überprüfungen<br />
• Anwendung unabhängiger Prüfinstanzen<br />
• Anwendung rechnergestützter<br />
Test- und Analyseverfahren<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
mögliche<br />
Fehler<br />
Fehlerausschluß<br />
Fehlerabwehr<br />
Fehlererkennung<br />
Versagen<br />
171
§ 8 Sicherungsmethoden<br />
ZSA<br />
Sicherungsmethoden gegen Ausfälle<br />
– Ausfallausschluß<br />
(Der beste Ausfall ist der, der gar nicht auftreten kann.)<br />
• Anwendung unverlierbarer Eigenschaften<br />
in der Konstruktion der Bauteile<br />
• "worst-case"-Überdimensionierung<br />
– Begrenzung der Ausfallwahrscheinlichkeit<br />
• Anwendung verläßlicher Eigenschaften<br />
in der Konstruktion der Bauteile<br />
• Überdimensionierung<br />
• Konstruktive Verbesserung der Komponenten<br />
aufgrund von Erfahrungen<br />
• Einführung neuer Technologien<br />
– Ausfallerkennung<br />
• Anwendung selbstmeldender Ausfallzustände<br />
• Anwendung von Selbsttests<br />
• Anwendung verschiedener Prüfverfahren<br />
mögliche<br />
Fehler<br />
Ausfallausschluß<br />
Begrenzung<br />
der<br />
AW<br />
Ausfallerkennung<br />
Versagen<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
172
§ 8 Sicherungsmethoden<br />
ZSA<br />
Sicherungsmethoden gegen Gefahr<br />
– Gefahrenausschluss<br />
• Überführung des Systems in den<br />
sicheren Zustand durch eine Funktion<br />
mit unverlierbaren Eigenschaften<br />
• Direkter Gefahrenausschluss:<br />
• einkanalige Fail-safe-Technik<br />
• Indirekter Gefahrenausschluss:<br />
• einkanalig mit Fail-safe-Überwachung<br />
• zweikanalig mit Fail-safe-Vergleicher<br />
– Begrenzung der Gefährdungswahrscheinlichkeit<br />
• Überführung des Systems in den<br />
sicheren Zustand durch eine Funktion<br />
mit sehr geringer Wahrscheinlichkeit eines<br />
Versagens<br />
• Parallel redundante Systemstrukturen<br />
• 2v2-Systeme mit Vergleicher<br />
• nvn- oder mvn-Systeme mit Mehrheitsentscheid<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
mögliches<br />
Versagen<br />
Gefahrenausschluss<br />
Begrenzung<br />
der GW<br />
Gefahr<br />
173
§ 8 Sicherungsmethoden<br />
ZSA<br />
Sicherungsmethoden gegen Schaden<br />
– Aktive Sicherheit<br />
Der bisher behandelte Komplex der Methoden gegen<br />
Fehler, Ausfälle und Gefahren bezeichnet man auch<br />
als den Bereich der aktiven Sicherheit.<br />
Zusätzlich zu obigen Maßnahmen sind weitere<br />
Komponenten der aktiven Sicherheit denkbar.<br />
• Erkennen der Gefahrensituation durch das<br />
Personal (Fahrer, Fahrdienstleiter) und<br />
Eingreifen in die Prozeßsteuerung,<br />
um einen Unfall völlig zu vermeiden.<br />
– Passive Sicherheit<br />
Sicherungsmaßnahmen zur Begrenzung des<br />
Schadensausmaßes<br />
• Automatisches Erkennen der Gefahrensituation und<br />
Einleiten von Schadensbegrenzenden Maßnahmen<br />
(z.B. Kollision + Airbag, Radbruch + Halt)<br />
mögliche<br />
Unfälle<br />
Begrenzung<br />
des<br />
Schadensausmaßes<br />
Schaden<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
174
§ 8 Sicherungsmethoden<br />
ZSA<br />
Anwendung der Sicherungsmethoden<br />
– Aufteilung passive/aktive Sicherheit<br />
• mehr passive Sicherheit bei niedrigem Grad der Automatisierung<br />
• mehr aktive Sicherheit bei hohem Grad der Automatisierung<br />
– Spezifische Aufteilung der Sicherungsmethoden<br />
• Um hohe Sicherheitsanforderungen (SIL) wirtschaftlich zu erfüllen, ist<br />
eine optimale Aufteilung aller Sicherungsmethoden notwendig.<br />
• Eine einfache Methode dafür gibt es nicht. Erfahrungen in allen<br />
Bereichen der Sicherungsmethoden sind erforderlich.<br />
• Die MMI-Schnittstelle soll nicht nur die fehlerfreie Funktion, sondern<br />
auch Ausnahmesituationen unterstützen<br />
• Bei der Aufteilung von Sicherungsmethoden ist ein zyklisches<br />
Vorgehen unerläßlich.<br />
• Das Gesamtergebnis aller Sicherungsmaßnahmen muss während des<br />
Entwicklungsprozesses mehrfach überprüft werden.<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
175
Zuverlässigkeit und Sicherheit von <strong>Automatisierungs</strong>systemen<br />
ZSA<br />
Gliederung<br />
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
§ 8 Sicherungsmethoden<br />
§ 9 Berechnungsmethoden<br />
§ 10 Vereinfachungen<br />
§ 11 Zuverlässigkeit komplexer Systeme<br />
§ 12 Berechnung von Sicherheitskenngrößen<br />
§ 13 Softwarezuverlässigkeit<br />
§ 14 RAMS-Management<br />
§ 15 Sicherheitsnachweis (SN)<br />
§ 16 Abkürzungen, Literatur<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
176
§ 9 Berechnungsmethoden<br />
ZSA<br />
§ 9 Berechnungsmethoden<br />
– Übersicht der Methoden<br />
• Zuverlässigkeitsblockdiagramm<br />
(Zuverlässigkeitsblockbild, Zuverlässigkeitsnetzwerk)<br />
• Boolesches Zuverlässigkeitsmodell<br />
• Verfahren der Verbindungen und Trennungen<br />
(Pfade und Schnitte)<br />
• Fehlerbaumanalyse<br />
• Markov Modell<br />
• Bayessche Methode<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
177
§ 9 Berechnungsmethoden<br />
ZSA<br />
Zuverlässigkeitsblockdiagramm<br />
– Zuverlässigkeitsblockdiagramm<br />
(Reliability Block Diagram RBD)<br />
• Graphische Darstellung für das Ausfallverhalten eines Systems<br />
– Graphische Symbole<br />
• Eingangsknoten, Ausgangsknoten<br />
• Komponente, Systeme<br />
E A<br />
K<br />
• Pfade<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
178
§ 9 Berechnungsmethoden<br />
ZSA<br />
Graphische Darstellung<br />
− Komponenten<br />
− Systeme<br />
E K A<br />
S<br />
E A<br />
E Eingangsknoten<br />
A Ausgangsknoten<br />
K Komponente<br />
S System<br />
− Interpretation durch Kontaktfunktion:<br />
Der Weg von E nach A ist…<br />
K<br />
verbunden: K, S sind in Ordnung E A<br />
K<br />
unterbrochen: K, S sind ausgefallen E A<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
179
§ 9 Berechnungsmethoden<br />
ZSA<br />
Serienanordnung (s) (1)<br />
– Eigenschaft<br />
Die einzige nicht redundante Anordnung<br />
– Zuverlässigkeitsblockdiagramm<br />
K 1<br />
K 2<br />
E …<br />
K n<br />
A<br />
– Ausfallverhalten<br />
Alle Komponenten in Ordnung → System in Ordnung<br />
Mindestens eine K i ausgefallen → System ausgefallen<br />
– Überlebenswahrscheinlichkeit<br />
R<br />
( s)<br />
n<br />
( t)<br />
= R ( t)<br />
(31)<br />
∏<br />
i=<br />
1<br />
i<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
180
§ 9 Berechnungsmethoden<br />
ZSA<br />
Serienanordnung (s) (2)<br />
– Ausfallrate<br />
λ<br />
( s)<br />
=<br />
n<br />
∑<br />
i=<br />
1<br />
λ<br />
i<br />
R<br />
( s)<br />
( t)<br />
=<br />
e<br />
−(<br />
λ + λ +<br />
+ λ<br />
1 2 L n )<br />
⋅t<br />
=<br />
e<br />
−λ<br />
( s )<br />
⋅t<br />
(32)<br />
– Mittlere Lebensdauer<br />
MTTF<br />
n<br />
−1<br />
n<br />
( s)<br />
1 ⎛ ⎞ ⎛<br />
= = ⎜ ⎟ = ⎜<br />
( ) ∑λ<br />
s<br />
i ∑<br />
λ i=<br />
1<br />
i=<br />
1<br />
⎝<br />
⎠<br />
⎝<br />
MTTF<br />
−1<br />
i<br />
⎞<br />
⎟<br />
⎠<br />
−1<br />
(33)<br />
– Für identische Ausfallraten:<br />
R<br />
R<br />
1<br />
−λ0t<br />
( t) = L = R ( t) = R ( t) = e ,<br />
n<br />
( s )<br />
() t R n<br />
=<br />
0<br />
( t ),<br />
0<br />
( s )<br />
λi = λ 0<br />
λ = nλ 0<br />
,<br />
MTTF<br />
0<br />
=<br />
1<br />
λ<br />
( ) MTTF<br />
MTTF s 0<br />
=<br />
n<br />
0<br />
(34)<br />
(35)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
181
§ 9 Berechnungsmethoden<br />
ZSA<br />
Parallelanordnung (p) (1)<br />
– Eigenschaft<br />
• Funktionsfähig bis zum Ausfall<br />
der letzten Komponente<br />
– Zuverlässigkeitsblockdiagramm<br />
K 1<br />
K 2<br />
E<br />
...<br />
A<br />
– Ausfallverhalten<br />
K n<br />
• Mindestens eine K i in Ordnung → System in Ordnung<br />
• Alle Komponenten ausgefallen → System ausgefallen<br />
– Überlebenswahrscheinlichkeit<br />
R<br />
( p)<br />
n<br />
∏( 1−<br />
Ri<br />
( t)<br />
)<br />
( t)<br />
= 1−<br />
(36)<br />
i=<br />
1<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
182
§ 9 Berechnungsmethoden<br />
ZSA<br />
Parallelanordnung (p) (2)<br />
– Ausfallrate<br />
λ<br />
( p )<br />
( t) ≠ konstant<br />
– Mittlere Lebensdauer<br />
Nach der allgemeinen Formel:<br />
(37)<br />
∞<br />
( p) ∫<br />
( p<br />
MTTF = R )<br />
() t dt<br />
(38)<br />
0<br />
∞<br />
∞<br />
( p) ∫<br />
( p<br />
MTTF = R )<br />
() t dt = ∫ [ 1−<br />
( 1−<br />
R )( − ) ]<br />
1(<br />
t)<br />
1 R2<br />
( t)<br />
dt (39)<br />
0<br />
0<br />
∞<br />
( ) 1 1 1<br />
MTTF p ( R + R − R R ) dt = + −<br />
(40)<br />
Für zwei Komponenten mit konstanten λ 1 und λ 2<br />
= ∫<br />
0<br />
1<br />
2<br />
1<br />
2<br />
λ λ λ + λ<br />
1<br />
2<br />
1<br />
2<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
183
§ 9 Berechnungsmethoden<br />
ZSA<br />
Parallelanordnung (p) (3)<br />
– Für identische Ausfallraten λ i<br />
= λ 0 :<br />
R<br />
−λ0t<br />
( t) = L = R ( t) = R ( t) = e ,<br />
MTTF<br />
1<br />
n 0<br />
0<br />
(41)<br />
λ0<br />
( p)<br />
R ( t)<br />
= 1−<br />
( 1−<br />
R ( t)<br />
) n<br />
(42)<br />
0<br />
n<br />
( p) MTTF = MTTF0 ∑( 1/<br />
i)<br />
(43)<br />
i=<br />
1<br />
– Für zwei identische Komponenten<br />
( )<br />
2<br />
R p ( t)<br />
= 2 R0<br />
( t)<br />
− R0<br />
( t)<br />
(44)<br />
( )<br />
1 3<br />
MTTF p ⎛ ⎞<br />
= MTTF 1 + = MTTF<br />
(45)<br />
0<br />
⎜<br />
⎝<br />
⎟<br />
2 ⎠<br />
2<br />
0<br />
=<br />
1<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
184
§ 9 Berechnungsmethoden<br />
ZSA<br />
Parallel-Serienanordnung (ps) (1)<br />
– Eigenschaft<br />
• Funktionsfähig bis zum Ausfall der letzten Serienanordnung<br />
– Zuverlässigkeitsblockdiagramm<br />
K 11 K 12 K 1n<br />
E<br />
K 21 K 22 K 2n<br />
A<br />
K m1 K m2 K mn<br />
– Ausfallverhalten<br />
• Mindestens eine Serienanordnung in Ordnung → System in Ordnung<br />
• Alle Serienanordnungen ausgefallen → System ausgefallen<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
185
§ 9 Berechnungsmethoden<br />
ZSA<br />
Parallel-Serienanordnung (ps) (2)<br />
– Überlebenswahrscheinlichkeit<br />
Für die i-te Serienanordnung:<br />
R<br />
( s)<br />
i<br />
( t)<br />
=<br />
n<br />
∏<br />
j=<br />
1<br />
R<br />
ij<br />
( t)<br />
Für die parallele Anordnung dieser Serienanordnungen (ps):<br />
R<br />
( ps)<br />
( t)<br />
∏<br />
m<br />
= 1 −<br />
⎛<br />
⎜<br />
1 −<br />
⎝<br />
∏<br />
i= 1 j=<br />
1<br />
⎞<br />
( t)<br />
⎟<br />
⎠<br />
– Ausfallrate<br />
Die Ausfallrate der i-ten Serienanordnung:<br />
λ<br />
( s)<br />
i<br />
=<br />
n<br />
∑<br />
j=<br />
1<br />
λ<br />
ij<br />
n<br />
R<br />
ij<br />
Die Ausfallrate der Parallel-Serienanordnung (ps) ist im allgemeinen nicht<br />
konstant.<br />
(46)<br />
(47)<br />
(48)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
186
§ 9 Berechnungsmethoden<br />
ZSA<br />
Parallel-Serienanordnung (ps) (3)<br />
– Mittlere Lebensdauer<br />
Nach der allgemeinen Formel für n=2 und konstante Ausfallraten:<br />
MTTF<br />
( ps )<br />
=<br />
1 1 1<br />
+ −<br />
λ λ λ + λ<br />
( s) ( s) ( s) ( s)<br />
1<br />
2<br />
1<br />
2<br />
(49)<br />
λ<br />
ij<br />
= λ 0<br />
– Für identische Ausfallraten :<br />
R<br />
ij<br />
−λ0t<br />
( t) = R ( t) = e ,<br />
MTTF<br />
0<br />
MTTF<br />
n<br />
∑<br />
( ps ) 0<br />
= ( 1/<br />
j)<br />
m<br />
j=<br />
1<br />
MTTF<br />
0<br />
=<br />
1<br />
λ<br />
0<br />
(50)<br />
(51)<br />
(<br />
n<br />
1−<br />
R ( t ) m<br />
( ps)<br />
R ( t)<br />
= 1−<br />
0<br />
)<br />
(52)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
187
§ 9 Berechnungsmethoden<br />
ZSA<br />
Serien-Parallelanordnung (sp) (1)<br />
– Eigenschaft<br />
• Mehr Verbindungen von E nach A als bei (ps)<br />
– Zuverlässigkeitsblockdiagramm<br />
K 11<br />
K 12<br />
K 1n<br />
E<br />
K 21<br />
K 22<br />
K 2n<br />
A<br />
K m1<br />
K m2<br />
K mn<br />
– Ausfallverhalten<br />
• Alle Parallelanordnungen in Ordnung → System in Ordnung<br />
• Mindestens eine Parallelanordnungen ausgefallen → S ausgefallen<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
188
§ 9 Berechnungsmethoden<br />
ZSA<br />
Serien-Parallelanordnung (sp) (2)<br />
– Überlebenswahrscheinlichkeit<br />
Für die j-te Parallelanordnung:<br />
R<br />
m<br />
( p) = −∏( − )<br />
j<br />
( t)<br />
1 1 Rij<br />
( t)<br />
i=<br />
1<br />
(53)<br />
Für die serielle Anordnung dieser Parallelanordnungen (sp):<br />
R<br />
n<br />
⎡<br />
( sp) ( t)<br />
= ∏ ∏( )<br />
⎢1<br />
− 1−<br />
Rij<br />
( t)<br />
⎣<br />
m<br />
j= 1 i=<br />
1<br />
⎤<br />
⎥<br />
⎦<br />
(54)<br />
– Ausfallrate<br />
Die Ausfallrate der Serien-Parallelanordnung (sp) ist im allgemeinen nicht<br />
konstant.<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
189
§ 9 Berechnungsmethoden<br />
ZSA<br />
Serien-Parallelanordnung (sp) (3)<br />
– Mittlere Lebensdauer<br />
Nach der allgemeinen Formel:<br />
∞<br />
( sp) ( sp<br />
MTTF = )<br />
∫ R () t dt<br />
(55)<br />
0<br />
λ<br />
ij<br />
= λ 0<br />
−λ0t<br />
1<br />
Rij<br />
( t) = R0<br />
( t) = e , MTTF0<br />
=<br />
(56)<br />
λ0<br />
∞<br />
( )<br />
= ∫ [ 1−<br />
( 1−<br />
) ]<br />
sp<br />
m n<br />
MTTF<br />
R0<br />
dt<br />
(57)<br />
0<br />
∞<br />
( )<br />
= ∫ [ − ( − ) ]<br />
2 2<br />
MTTF sp 1 1 R0<br />
dt<br />
(58)<br />
0<br />
– Für identische Ausfallraten :<br />
– Für zwei identische Komponenten:<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
190
§ 9 Berechnungsmethoden<br />
ZSA<br />
k-von-n-Anordnung (1)<br />
– Eigenschaft<br />
• Wird auch als partielle Redundanz bezeichnet.<br />
• Kombinationen von Komponenten werden betrachtet.<br />
– Zuverlässigkeitsblockdiagramm: Beispiel 2-von-3-Redundanz (2oo3)<br />
K 1 K 2<br />
E K 2 K 3 A<br />
K 1<br />
K 3<br />
– Ausfallverhalten<br />
• Mindestens k Komponenten in Ordnung → System in Ordnung<br />
• Mindestens n-k+1 Komponenten ausgefallen → System ausgefallen<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
191
§ 9 Berechnungsmethoden<br />
ZSA<br />
k-von-n-Anordnung (2)<br />
– Überlebenswahrscheinlichkeit<br />
• Für 2-von-3-Anordnung (k= 2, n=3)<br />
( 2 3 )<br />
() t = R1<br />
( t) R2<br />
( t) R3<br />
( t)<br />
+<br />
R1<br />
() t R2<br />
() t Q3()<br />
t<br />
R1<br />
() t Q2() t R3<br />
() t<br />
Q () t R () t R () t<br />
R v 1 2 3<br />
( 2 3 )<br />
() t = R1<br />
( t) R2<br />
( t) + R1<br />
( t) R3<br />
( t)<br />
+<br />
R () t R () t − 2R<br />
() t R () t R () t<br />
R v 2 3<br />
1 2 3<br />
+<br />
+<br />
(59)<br />
• Für k-von-n-Anordnung<br />
• Nach der obigen Systematik der Kombination von R und Q<br />
• Anzahl der R in jedem Produkt: k bis n<br />
• Anzahl der Q in jedem Produkt: 0 bis n-k<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
192
§ 9 Berechnungsmethoden<br />
ZSA<br />
k-von-n-Anordnung /Forts.<br />
– Ausfallrate<br />
Die Ausfallrate der k-von-n-Anordnung ist im allgemeinen nicht konstant<br />
– Mittlere Lebensdauer<br />
Nach der allgemeinen Formel<br />
– Für identische Ausfallraten<br />
• Für 2v3-Anordnung<br />
R<br />
−λ0t<br />
() t = L = R ( t) = R ( t) = e ,<br />
MTTF<br />
1<br />
n 0<br />
0<br />
(60)<br />
λ0<br />
( 2<br />
R v 3 ) 2<br />
() t = 3R<br />
( t) R<br />
3 0<br />
− 2<br />
0<br />
( t)<br />
(61)<br />
∞<br />
( 2 3) ∫ (<br />
2<br />
3<br />
MTTF v = 3R<br />
() − ()) 0<br />
t 2R0<br />
t dt = MTTF0<br />
( 1/ 2 + 1/ 3)<br />
(62)<br />
0<br />
=<br />
1<br />
© <strong>2012</strong> IAS, Universität Stuttgart 193
§ 9 Berechnungsmethoden<br />
ZSA<br />
k-von-n-Anordnung (3)<br />
– Für k-von-n-Anordnung<br />
R<br />
n<br />
( )<br />
( kvn ) n i<br />
() t () R () t − R () t<br />
MTTF<br />
= ∑ 0<br />
1<br />
0<br />
i=<br />
k<br />
i<br />
∑<br />
( kvn) = MTTF ( 1 i)<br />
n<br />
0<br />
/<br />
i=<br />
1<br />
n−i<br />
(63)<br />
(64)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
194
§ 9 Berechnungsmethoden<br />
ZSA<br />
Vergleich der Anordnungen<br />
– Redundanzarten<br />
• Redundanzfrei nvn-Anordnung<br />
• Parallelredundanz 1vn-Anordnung<br />
• kvn-Redundanz kvn-Anordnung<br />
• Für identische Ausfallraten und n=3, k=2<br />
R<br />
R<br />
R<br />
( s ) ( 3v3) 3<br />
=<br />
R<br />
=<br />
R<br />
( p ) ( 1v3) 2 3<br />
=<br />
R<br />
0<br />
= 3R<br />
− 3R<br />
+ R<br />
( kvn ) ( 2v3) 2 3<br />
MTTF<br />
MTTF<br />
MTTF<br />
=<br />
R<br />
0<br />
0<br />
0<br />
= 3R<br />
− 2R<br />
0<br />
0<br />
( s ) ( 3v3) = MTTF = MTTF ( / 3) = MTTF ( 2 / 6)<br />
0<br />
1<br />
0<br />
( p ) ( 1v3) = MTTF = MTTF ( + 1/ 2 + 1/ 3) = MTTF ( 11/ 6)<br />
0<br />
1<br />
0<br />
( kvn ) ( 2v3) = MTTF = MTTF ( / 2 + 1/ 3) = MTTF ( 5 / 6)<br />
0<br />
1<br />
0<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
195
§ 9 Berechnungsmethoden<br />
ZSA<br />
Graphische Darstellung des Vergleichs<br />
– MTTF für (kvn) von (1v1) bis (3v3)<br />
n<br />
3<br />
2<br />
1<br />
MTTF 0 /3<br />
MTTF 0 /2<br />
MTTF 0<br />
(3v3) (2v2) (1v1)<br />
(2v3)<br />
t<br />
MTTF (kvn)<br />
(1v2)<br />
(1v3)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
196
§ 9 Berechnungsmethoden<br />
ZSA<br />
Boolesches Zuverlässigkeitsmodell<br />
– Beschreibung des Systems<br />
• System S<br />
• S besteht aus Komponenten: K i , i=1, ... N<br />
• Jede Komponente K i kann folgende Zustände annehmen<br />
z i =<br />
• Systemfunktion<br />
ϕ = ϕ<br />
0 für K i ausgefallen<br />
1 für K i in Ordnung<br />
ϕ<br />
( z , z , , )<br />
2<br />
1<br />
L<br />
z n<br />
ϕ =<br />
0 für S ausgefallen<br />
1 für S in Ordnung<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
197
§ 9 Berechnungsmethoden<br />
ZSA<br />
Systemfunktion<br />
– Auswirkung von Komponentenausfällen<br />
• Für reale Systeme:<br />
Keine Auswirkung oder Systemausfall (Degradation)<br />
• In realen Systemen nicht möglich:<br />
Übergang von System ausgefallen → System in Ordnung<br />
– Monotone nicht abnehmende Systemfunktion (isotone)<br />
Für zwei beliebige Zustände z i und z' i , die den folgenden Zusammenhang<br />
erfüllen:<br />
'<br />
zi < zi<br />
, i = 1,2,...,<br />
N<br />
gilt für deren Systemfunktionen:<br />
(65)<br />
ϕ<br />
( z Lz<br />
, L,<br />
z ) ≤ ϕ ( z , Lz'<br />
, , z )<br />
1, i n 1 i<br />
L<br />
n<br />
(66)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
198
§ 9 Berechnungsmethoden<br />
ZSA<br />
Formen der Systemfunktion<br />
– Zwei Formen der Systemfunktion<br />
• Disjunktive Normalform ϕ (D)<br />
• Linearform ϕ (L)<br />
– Beispiel für disjunktive Normalform ϕ (D) (1)<br />
• Ein System besteht aus zwei Komponenten<br />
• Die Zustände werden bezeichnet mit z 1 und z 2<br />
• Die Zustände können zwei Werte annehmen j 1 , j 2 = 0 oder 1<br />
Systemzustand Systemfunktion Beschreibungsform<br />
j 1, j 2 ϕ( j 1, j 2 )<br />
2<br />
ji<br />
1−<br />
j<br />
∏ z<br />
i<br />
i<br />
(1 − zi)<br />
i=<br />
1<br />
0, 0 0 (1-z 1 ) . (1-z 2 )<br />
0, 1 1 (1-z 1 ) . z 2<br />
1, 0 1 z 1 . (1-z 2 )<br />
1, 1 1 z 1 . z 2<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
199
§ 9 Berechnungsmethoden<br />
ZSA<br />
Disjunktive Normalform<br />
– Beispiel für disjunktive Normalform ϕ (D) (2)<br />
• Die Beschreibungsform:<br />
Für jeden Zustandswert j i den Ausdruck<br />
j<br />
z i<br />
(1 − zi<br />
)<br />
1−<br />
i j i<br />
in die Formel einsetzen, d.h.<br />
für i=1, j 1 = 0 den Ausdruck (1-z 1 )<br />
für i=1, j 1 = 1 den Ausdruck z 1<br />
– Disjunktive Normalform für zwei Komponenten<br />
ϕ<br />
( D)<br />
( z<br />
1<br />
, z<br />
2<br />
∑∑<br />
j<br />
1<br />
1<br />
) = ϕ(<br />
j1,<br />
j2).<br />
∏ z<br />
= 0 j = 0<br />
1 2<br />
2<br />
i=<br />
1<br />
j<br />
i<br />
(1 −<br />
z<br />
i j i<br />
i<br />
)<br />
1−<br />
(67)<br />
ϕ<br />
( D)<br />
=<br />
( 1−<br />
z ) z + z (1 − z ) + z z<br />
1<br />
2<br />
1<br />
2<br />
1<br />
2<br />
(68)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
200
§ 9 Berechnungsmethoden<br />
ZSA<br />
Linearform<br />
– Disjunktive Normalform für n Komponenten<br />
ϕ<br />
( D)<br />
( z<br />
1<br />
Lz<br />
n<br />
)<br />
1 1<br />
n<br />
= ∑L∑ϕ(<br />
j j ∏<br />
1L<br />
n).<br />
j = 0 j = 0<br />
i=<br />
1<br />
1<br />
n<br />
z<br />
j<br />
i<br />
i<br />
(1 −<br />
z<br />
i<br />
)<br />
1−<br />
j<br />
i<br />
(69)<br />
– Linearform für System mit zwei Komponenten<br />
ϕ<br />
( D)<br />
=<br />
( 1−<br />
z ) z + z (1 − z ) + z z<br />
1<br />
2<br />
1<br />
2<br />
1<br />
2<br />
ϕ<br />
( D)<br />
=<br />
z<br />
1<br />
+<br />
z<br />
2<br />
−<br />
z<br />
1<br />
z<br />
2<br />
(70)<br />
ϕ<br />
( D)<br />
2<br />
= ∑ aiz<br />
i<br />
i=<br />
1<br />
+<br />
a<br />
12<br />
z<br />
1<br />
z<br />
2<br />
a1<br />
= a2<br />
= 1,<br />
a12<br />
= −1<br />
(71)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
201
§ 9 Berechnungsmethoden<br />
ZSA<br />
Berechnung der Koeffizienten<br />
– Linearform für System mit n Komponenten<br />
ϕ<br />
( L)<br />
n<br />
n−1<br />
n<br />
1Lzn)<br />
= a0<br />
+ ∑ aizi<br />
+ ∑∑aij<br />
ziz<br />
j<br />
+ L a12..<br />
nz1z2<br />
i=<br />
1 i= 1 j=<br />
i+<br />
1<br />
( z<br />
+<br />
– Berechnung der Koeffizienten (1)<br />
• Berechnung von a 0<br />
Für z i = 0, i=1, 2, ... n gilt:<br />
L<br />
ϕ ( z = a<br />
1<br />
Lzn<br />
)<br />
0<br />
Lz<br />
n<br />
(72)<br />
• Berechnung von a i<br />
Für z i = 1, und alle z j = 0, i,j=1, 2, ... n , j≠i gilt:<br />
ϕ<br />
( L)<br />
( z Lz<br />
) a + a<br />
1<br />
n<br />
= 0<br />
• Berechnung von a ij<br />
Für z i = 1, z j = 1, und alle z k = 0, i,j=1, 2, ... n , i
§ 9 Berechnungsmethoden<br />
ZSA<br />
Überlebenswahrscheinlichkeit<br />
– Berechnung der Koeffizienten (2)<br />
• Berechnung fortsetzen bis a 12...n<br />
Für z i = 1, i=1, 2, ... n gilt:<br />
– Überlebenswahrscheinlichkeit<br />
Die Zustandsvariablen z i werden durch die<br />
Überlebenswahrscheinlichkeiten R i (t) ersetzt<br />
oder<br />
ϕ<br />
( L)<br />
( L)<br />
R( t)<br />
= ϕ<br />
1<br />
( z<br />
+<br />
( D)<br />
R( t)<br />
ϕ<br />
1<br />
1Lzn)<br />
= a0<br />
+ ai<br />
+ a<br />
j<br />
aij<br />
La12<br />
Ln<br />
( R ( t)<br />
LR<br />
( t)<br />
)<br />
= (73)<br />
( R ( t)<br />
LR<br />
( t)<br />
)<br />
n<br />
n<br />
Die Berechnung gilt nur für die beiden Formen (disjunktive<br />
Normalform und Linearform).<br />
(74)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
203
§ 9 Berechnungsmethoden<br />
ZSA<br />
Mittlere Lebensdauer<br />
– Mittlere Lebensdauer<br />
Für konstante Ausfallraten:<br />
MTTF<br />
∞<br />
∫<br />
o<br />
MTTF<br />
∞<br />
∞<br />
( L)<br />
= ∫ = ∫<br />
L<br />
R( t)<br />
dt ϕ ( R )<br />
1(<br />
t)<br />
LRn<br />
( t)<br />
dt =<br />
0<br />
0<br />
∞ n<br />
∞ n−1<br />
n<br />
∞<br />
∫∑a ∫∑∑ ∫<br />
iRi<br />
dt + aiRi<br />
dt + L+<br />
a12..<br />
n<br />
0 i=<br />
1<br />
0 i= 1 j=<br />
i+<br />
1<br />
0<br />
n<br />
n−1<br />
n<br />
( L)<br />
= ∑<br />
−1<br />
+ ∑∑ ( + )<br />
−1<br />
aiλi<br />
aij<br />
λi<br />
λ<br />
j<br />
+<br />
i=<br />
1<br />
i= 1 j=<br />
1+<br />
1<br />
n−2<br />
n−1<br />
n<br />
∑∑∑ ( + + )<br />
−1<br />
aijk<br />
λi<br />
λ<br />
j<br />
λk<br />
+<br />
i=<br />
1 j= i+<br />
1k=<br />
j+<br />
1<br />
( )<br />
−<br />
+ L+<br />
a<br />
1<br />
12 L n<br />
λ1<br />
+ λ2<br />
+ L+<br />
λn<br />
a0dt<br />
+<br />
R1<br />
R2<br />
LR<br />
dt<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
n<br />
(75)<br />
204
§ 9 Berechnungsmethoden<br />
ZSA<br />
Identische Ausfallraten<br />
– Für identische Ausfallraten<br />
MTTF<br />
( L)<br />
n<br />
n−1<br />
n<br />
MTTF<br />
= ∑<br />
0<br />
MTTF + ∑∑<br />
0<br />
ai<br />
a<br />
2<br />
i=<br />
1<br />
i= 1 j=<br />
1+<br />
1<br />
ij<br />
+<br />
MTTF<br />
3<br />
0<br />
n−2<br />
i=<br />
1<br />
n−1<br />
n<br />
∑∑∑<br />
j= i+<br />
1k<br />
= j+<br />
1<br />
a<br />
ijk<br />
+<br />
MTTF<br />
n<br />
0<br />
L+<br />
a12L<br />
n<br />
(76)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
205
§ 9 Berechnungsmethoden<br />
ZSA<br />
Verbindungen und Trennungen<br />
– Ausfallverhalten<br />
• Komponenten einer Verbindung von E nach A sind in Ordnung →<br />
System ist in Ordnung<br />
• E ist von A durch defekte Komponenten getrennt → System ist<br />
ausgefallen<br />
– Beispiel: System mit zwei Komponenten<br />
E<br />
K 1 K 2<br />
A<br />
Trennung<br />
Verbindung<br />
• Verbindung: V = {K 1 , K 2 }<br />
• Trennungen: T 1 = {K 1 }, T 2 = {K 2 }<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
206
§ 9 Berechnungsmethoden<br />
ZSA<br />
Verbindung und Trennung als Teilmengen<br />
– System S<br />
Das System S ist durch die Menge aller Komponenten definiert:<br />
M = {K 1 , K 2 , ..., K n }<br />
– Verbindung V ⊆ M<br />
Verbindung V ist eine Teilmenge von M falls gilt:<br />
alle K i ∈ V intakt und alle K i ∉ V defekt → System in Ordnung<br />
– Trennung T ⊆ M<br />
Trennung T ist eine Teilmenge von M falls gilt:<br />
alle K i ∈ T defekt und alle K i ∉ T intakt → System ist ausgefallen<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
207
§ 9 Berechnungsmethoden<br />
ZSA<br />
Minimale Verbindung und Trennung<br />
– Minimale Verbindung<br />
Eine Verbindung V' ist minimal, falls keine echte Teilmenge<br />
von V existiert, die ebenfalls eine Verbindung ist, d.h. keine echte<br />
Teilmenge X ⊂ V' kann eine Verbindung sein.<br />
– Minimale Trennung<br />
Eine Trennung T' ist minimal, falls keine echte Teilmenge<br />
von T existiert, die ebenfalls eine Trennung ist, d.h. keine echte Teilmenge<br />
X ⊂ T' kann eine Trennung sein.<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
208
§ 9 Berechnungsmethoden<br />
ZSA<br />
Systemfunktion aus Verbindungen<br />
– Systemfunktion auf der Basis minimaler Verbindungen<br />
• Teilsystemfunktion<br />
• Alle minimalen Verbindungen des Systems V 1 , ... V m<br />
• Jede V i stellt eine Serienanordnung mit folgender<br />
Teilsystemfunktion dar:<br />
ϕ<br />
V<br />
j<br />
= ∏<br />
K ∈V<br />
i<br />
j<br />
z<br />
i<br />
, j = 1Lm<br />
(77)<br />
• Systemfunktion<br />
• Die Systemfunktion erhält man durch die Parallelanordnung der<br />
obigen Serienanordnungen<br />
ϕ<br />
⎛<br />
−<br />
m<br />
∏ ( )<br />
m<br />
= 1 − 1 − ϕ = − ∏⎜<br />
∏ ⎟ V<br />
1 1 z<br />
j<br />
i<br />
j= 1<br />
j= 1<br />
⎝<br />
Ki∈Vj<br />
⎠<br />
⎞<br />
(78)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
209
§ 9 Berechnungsmethoden<br />
ZSA<br />
Systemfunktion aus Trennungen<br />
– Systemfunktion auf der Basis minimaler Trennungen<br />
• Teilsystemfunktion<br />
• Alle minimalen Trennungen des Systems T 1 , ... T n<br />
• Jede T i stellt eine Parallelanordnung mit folgender<br />
Teilsystemfunktion dar:<br />
ϕ<br />
T<br />
i<br />
K<br />
j<br />
∈T<br />
i<br />
( 1−<br />
z ),<br />
i 1Ln<br />
= 1 − ∏ j<br />
=<br />
(79)<br />
• Systemfunktion<br />
• Die Systemfunktion erhält man durch die Serienanordnung der<br />
obigen Parallelanordnungen<br />
ϕ =<br />
n<br />
∏<br />
i=<br />
1<br />
ϕ<br />
T<br />
i<br />
=<br />
⎛<br />
n<br />
∏⎜1−<br />
∏( 1−<br />
z<br />
j<br />
)<br />
⎜<br />
⎝<br />
i= 1 K ∈T<br />
j<br />
i<br />
⎞<br />
⎟<br />
⎠<br />
(80)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
210
§ 9 Berechnungsmethoden<br />
ZSA<br />
Minimale Verbindungen<br />
– Ermittlung minimaler Verbindungen<br />
• Erstellen eines Baumdiagramms der elementaren Verbindungen<br />
• Im Eingangsknoten E beginnen<br />
• Alle Zweige bis zum nächsten Knoten auflisten<br />
• Von jedem Knoten alle Zweige erneut bis zum Ausgangsknoten A<br />
auflisten<br />
• Eine Verbindung erhält man, wenn Zweige von E nach A genommen<br />
werden<br />
• Minimale Verbindung erhält man, wenn in jeder Verbindung<br />
mindestens ein Zweig unterschiedlich ist.<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
211
§ 9 Berechnungsmethoden<br />
ZSA<br />
Minimale Trennungen<br />
– Ermittlung Minimale Trennungen<br />
• Eine Trennung erhält man, wenn aus jeder minimalen<br />
Verbindung mindestens ein Zweig (Komponente)<br />
genommen wird<br />
• Minimale Trennung erhält man, wenn in jeder Trennung<br />
keine Komponente weggelassen werden kann, die auch<br />
eine Trennung ist<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
212
§ 9 Berechnungsmethoden<br />
ZSA<br />
Ermittlung der linearen Systemfunktion<br />
– Umrechnung<br />
• Die aufgrund der Verbindungen und Trennungen erhaltene<br />
Funktionen werden in eine Linearform überführt<br />
• Umrechnungsregeln:<br />
• Alle Klammern entfernen<br />
• Zustandsvariablen mit Exponenten > 1 durch einfache Variablen<br />
ohne Exponent ersetzen, d.h.<br />
z → z<br />
(81)<br />
n<br />
i<br />
i<br />
• Erklärung der Regel:<br />
Der Boolesche Wert ist 0 oder 1. Der Exponent hat keinen<br />
Einfluss auf diesen Wert.<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
213
§ 9 Berechnungsmethoden<br />
ZSA<br />
Fehlerbaumanalyse<br />
– Fehlerbaum<br />
• Graphische Darstellung des Zusammenhangs zwischen<br />
• Top-Ereignis (z.B. Systemausfall, Gefährdung) und<br />
• Ursachen (Komponentenausfälle, Störungen)<br />
– Fehlerbaumanalyse<br />
• Top-down:<br />
Für ein bestimmtes Top-Ereignis die möglichen Ursachen<br />
(Komponentenausfälle) ermitteln<br />
• Bottom up:<br />
Zu bekannten Primärereignissen (Komponentenausfälle) das Top-<br />
Ereignis bestimmen<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
214
§ 9 Berechnungsmethoden<br />
ZSA<br />
Top-down-Vorgehen<br />
– Die wichtigsten Schritte beim Top-down-Vorgehen<br />
• Festlegung des Top-Ereignisses (Systemausfall als<br />
Ausgangsereignis)<br />
• Ermittlung der Ursachen (Teilsystemausfall als Eingangsereignis)<br />
• Festlegung der Verknüpfungen der Eingangsereignisse zum<br />
Ausgangsereignis<br />
• Darstellung der Verknüpfungen in Form eines Fehlerbaums<br />
• Festlegung der Wahrscheinlichkeiten für jedes Eingangsereignis<br />
• Berechnung der Wahrscheinlichkeit des TOP-Ereignisses<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
215
§ 9 Berechnungsmethoden<br />
ZSA<br />
Symbole<br />
– Ereignisse<br />
Top-Ereignis und<br />
Zwischenereignisse<br />
Basis-Ereignis<br />
bzw.Primärereignis<br />
Ereignis nicht<br />
näher betrachtet<br />
– Verknüpfungen<br />
&<br />
≤1<br />
UND<br />
ODER<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
216
§ 9 Berechnungsmethoden<br />
ZSA<br />
Analyse und Graphische Darstellung<br />
– Analyse<br />
• Ermittlung der Primärereignisse (Komponenten-Fehler, Ausfall) und<br />
deren Verknüpfungen zu Ausgangsereignissen bis zum Top-Ereignis<br />
(Systemausfall)<br />
A<br />
Ausgangsereignis (Top-Ereignis)<br />
Verknüpfung<br />
UND, ODER<br />
Primärereignisse (Ursachen)<br />
E 1 E 2 E n<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
217
§ 9 Berechnungsmethoden<br />
ZSA<br />
Wahrscheinlichkeit der Ereignisse<br />
– Berechnungsformel<br />
• Voraussetzung:<br />
Alle Ereignisse sind voneinander unabhängig<br />
n<br />
P UND<br />
= P i<br />
∏<br />
i=<br />
1<br />
n<br />
∏<br />
i=<br />
1<br />
P ODER<br />
= 1−<br />
(1 − P i<br />
)<br />
(82)<br />
(83)<br />
P i Wahrscheinlichkeit für das Ereignis E i<br />
– Abschätzung<br />
Für kleine Werte von P i
§ 9 Berechnungsmethoden<br />
ZSA<br />
Komplementär-Baum<br />
– Zusammenhang mit Fehlerbaum<br />
• Tausch der Verknüpfungen UND und ODER<br />
• Komplement der Ereignisse von Ausfall zu In Ordnung<br />
Fehlerbaum Komplementär-Baum<br />
_<br />
A Systemausfall System in Ordnung A<br />
UND<br />
ODER<br />
ODER UND<br />
E 1 E 2 E n<br />
Komponentenausfall<br />
_ _ _<br />
E 1 E 2 E n<br />
Komponenten in Ordnung<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
219
§ 9 Berechnungsmethoden<br />
ZSA<br />
Beispiel: Serienanordnung<br />
– Fehlerbaum<br />
≤1<br />
A<br />
Systemausfall<br />
ODER-Verknüpfung<br />
Komponentenausfall<br />
E 1 E 2 E n<br />
– Komplementär-Baum<br />
_<br />
A<br />
&<br />
_ _ _<br />
E 1 E 2 E n<br />
System in Ordnung<br />
UND-Verknüpfung<br />
Komponenten in Ordnung<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
220
§ 9 Berechnungsmethoden<br />
ZSA<br />
Ausfallwahrscheinlichkeit<br />
– Ermittlung aus Fehlerbaum<br />
P<br />
Ausfall<br />
=<br />
P(<br />
A)<br />
=<br />
P<br />
ODER<br />
( E<br />
i<br />
)<br />
= 1−<br />
n<br />
∏( 1−<br />
Pi<br />
)<br />
i=<br />
1<br />
– Ermittlung aus Komplementär-Baum<br />
P<br />
1−<br />
Ausfall<br />
n<br />
∏<br />
i=<br />
1<br />
= 1−<br />
P(<br />
A)<br />
= 1−<br />
P<br />
n<br />
( P(<br />
E ) = −∏( − ) = −∏<br />
i ) 1 1 P(<br />
Ei<br />
) 1 ( 1−<br />
Pi<br />
)<br />
i=<br />
1<br />
UND<br />
( E<br />
i<br />
)<br />
=<br />
n<br />
i=<br />
1<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
221
§ 9 Berechnungsmethoden<br />
ZSA<br />
Überlebenswahrscheinlichkeit<br />
– Ermittlung aus Fehlerbaum<br />
PInOrdnung<br />
= 1−<br />
P(<br />
A)<br />
= 1−<br />
PODER<br />
( Ei<br />
) =<br />
n<br />
n<br />
⎛ ⎞<br />
⎞<br />
1 − ⎜1<br />
− ∏<br />
⎝ i=<br />
1 ⎠ ⎝ i=<br />
1 ⎠<br />
⎛<br />
( P(<br />
E ) ⎟ = − ⎜ − ∏( ) ⎟ = ∏<br />
i<br />
) 1 1 Pi<br />
( Pi<br />
)<br />
n<br />
i=<br />
1<br />
– Ermittlung aus Komplementär-Baum<br />
P<br />
InOrdnung<br />
n<br />
∏<br />
i=<br />
1<br />
=<br />
P(<br />
A)<br />
=<br />
P<br />
( 1−<br />
(1 − P ) = ∏<br />
i<br />
) ( Pi<br />
)<br />
n<br />
i=<br />
1<br />
UND<br />
( E<br />
i<br />
)<br />
=<br />
n<br />
∏<br />
i=<br />
1<br />
( 1−<br />
P(<br />
E ) i )<br />
=<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
222
§ 9 Berechnungsmethoden<br />
ZSA<br />
Beispiel: 2-von-3-System (2oo3)<br />
– Das System<br />
Das System besteht aus drei unabhängigen, identischen Rechnern<br />
R 1 , R 2 und R 3<br />
– System in Ordnung<br />
wenn mindestens zwei Rechner in Ordnung sind<br />
R 1 und R 2 (E 12 )<br />
R 1 und R 3 (E 13 )<br />
R 2 und R 3 (E 23 )<br />
– System ausgefallen<br />
wenn mindestens zwei Rechner ausgefallen sind<br />
R 1 und R 2 (E 12 )<br />
R 1 und R 3 (E 13 )<br />
R 2 und R 3 (E 23 )<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
223
§ 9 Berechnungsmethoden<br />
ZSA<br />
Fehlerbaum für 2-von-3-System<br />
TOP-<br />
Ereignis<br />
≥1<br />
E 12<br />
E 13<br />
E 23<br />
&<br />
&<br />
&<br />
E 1<br />
E 2<br />
E 1<br />
E 3<br />
E 2<br />
E 3<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
224
§ 9 Berechnungsmethoden<br />
ZSA<br />
Analyse des 2-von-3-Systems<br />
– Ereignisse<br />
• Top-Ereignis: Ausfall des Dreirechnersystems<br />
• Zwischenereignisse: E 12 , E 13 , E 23 Ausfall von 2 Rechnern<br />
• Primärereignisse: E 1 , E 2 , E 3 Ausfall eines Rechners<br />
– Verknüpfung von Ereignissen<br />
• Die Verknüpfungen von Ereignissen lassen sich in Form von<br />
Booleschen Gleichungen darstellen<br />
• Das Zeichen + bedeutet eine ODER-Verknüpfung<br />
• Das Zeichen · bedeutet eine UND-Verknüpfung<br />
TOP = E<br />
E<br />
E<br />
E<br />
12<br />
13<br />
23<br />
= ( E<br />
1<br />
= ( E<br />
1<br />
= ( E<br />
12<br />
2<br />
+<br />
⋅ E<br />
⋅ E<br />
2<br />
3<br />
⋅ E<br />
3<br />
E<br />
)<br />
)<br />
)<br />
13<br />
+<br />
E<br />
23<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
225
§ 9 Berechnungsmethoden<br />
ZSA<br />
Wahrscheinlichkeit unabhängiger Ereignisse<br />
– Für zwei unabhängige Ereignisse A und B gilt allgemein:<br />
( 1) P(<br />
A⋅<br />
B)<br />
= P(<br />
A)<br />
⋅ P(<br />
B)<br />
( 2) P(<br />
A + B)<br />
= P(<br />
A)<br />
+ P(<br />
B)<br />
− P(<br />
A)<br />
⋅ P(<br />
B)<br />
(85)<br />
(86)<br />
– Berechnung der Wahrscheinlichkeit:<br />
Ereignisse E 1 ,E 2 ,E 3 sind unabhängig, schließen sich jedoch nicht aus.<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
226
ZSA<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
Anwendung der Regeln<br />
227<br />
– Wahrscheinlichkeit des TOP-Ereignisses<br />
§ 9 Berechnungsmethoden<br />
3<br />
2<br />
3<br />
1<br />
2<br />
1<br />
23<br />
13<br />
12 )<br />
(<br />
)<br />
( E<br />
E<br />
E<br />
E<br />
E<br />
E<br />
E<br />
E<br />
E<br />
TOP<br />
⋅<br />
+<br />
⋅<br />
+<br />
⋅<br />
=<br />
+<br />
+<br />
=<br />
[ ]<br />
)<br />
(<br />
)<br />
(<br />
)<br />
(<br />
)<br />
(<br />
)<br />
(<br />
)<br />
(<br />
23<br />
13<br />
12<br />
23<br />
13<br />
12<br />
23<br />
13<br />
12<br />
E<br />
P<br />
E<br />
E<br />
P<br />
E<br />
P<br />
E<br />
E<br />
P<br />
E<br />
E<br />
E<br />
P<br />
TOP<br />
P<br />
⋅<br />
+<br />
−<br />
+<br />
+<br />
=<br />
+<br />
+<br />
=<br />
[ ] )<br />
(<br />
)<br />
(<br />
)<br />
(<br />
)<br />
(<br />
)<br />
(<br />
)<br />
(<br />
)<br />
(<br />
)<br />
(<br />
)<br />
(<br />
)<br />
(<br />
)<br />
(<br />
23<br />
13<br />
12<br />
13<br />
12<br />
23<br />
13<br />
12<br />
13<br />
12<br />
E<br />
P<br />
E<br />
P<br />
E<br />
P<br />
E<br />
P<br />
E<br />
P<br />
E<br />
P<br />
E<br />
P<br />
E<br />
P<br />
E<br />
P<br />
E<br />
P<br />
TOP<br />
P<br />
⋅<br />
⋅<br />
−<br />
+<br />
−<br />
+<br />
⋅<br />
−<br />
+<br />
=<br />
[ ]<br />
)<br />
(<br />
)<br />
(<br />
)<br />
(<br />
)<br />
(<br />
)<br />
(<br />
)<br />
(<br />
)<br />
(<br />
)<br />
(<br />
)<br />
(<br />
)<br />
(<br />
)<br />
(<br />
)<br />
(<br />
)<br />
(<br />
23<br />
13<br />
12<br />
23<br />
13<br />
23<br />
12<br />
23<br />
13<br />
12<br />
13<br />
12<br />
E<br />
P<br />
E<br />
P<br />
E<br />
P<br />
E<br />
P<br />
E<br />
P<br />
E<br />
P<br />
E<br />
P<br />
E<br />
P<br />
E<br />
P<br />
E<br />
P<br />
E<br />
P<br />
E<br />
P<br />
TOP<br />
P<br />
⋅<br />
⋅<br />
−<br />
⋅<br />
+<br />
⋅<br />
−<br />
+<br />
⋅<br />
−<br />
+<br />
=<br />
3<br />
2<br />
1<br />
3<br />
2<br />
1<br />
3<br />
2<br />
1<br />
3<br />
2<br />
3<br />
2<br />
1<br />
3<br />
1<br />
2<br />
1<br />
)<br />
( P<br />
PP<br />
PP P<br />
PP P<br />
P P<br />
PP P<br />
PP<br />
PP<br />
TOP<br />
P +<br />
−<br />
−<br />
+<br />
−<br />
+<br />
=<br />
3<br />
2<br />
1<br />
3<br />
2<br />
3<br />
1<br />
2<br />
1 2<br />
)<br />
( P<br />
PP<br />
P P<br />
PP<br />
PP<br />
TOP<br />
P<br />
−<br />
+<br />
+<br />
=
§ 9 Berechnungsmethoden<br />
ZSA<br />
Vereinfachung der Berechnungen<br />
− Für sehr kleine Werte kann man die Berechnung der Wahrscheinlichkeiten<br />
nur als Summe darstellen. Für das TOP-Ereignis gilt:<br />
P ( TOP)<br />
≈ PP + PP + P P<br />
Numerisches Beispiel:<br />
P<br />
− Vorsicht bei großen Werten:<br />
1<br />
1<br />
= P2<br />
= P3<br />
=<br />
2<br />
1<br />
0,001<br />
P( TOP)<br />
= PP2<br />
+ PP<br />
1 3<br />
+ P2<br />
P3<br />
− 2PP<br />
1 2P3<br />
3<br />
2<br />
1<br />
=<br />
P( TOP)<br />
≈ PP2<br />
+ PP<br />
1 3<br />
+ P2<br />
P3<br />
Berechnungsfehler<br />
P<br />
1<br />
= P2<br />
= P3<br />
=<br />
1<br />
=<br />
0,9<br />
3<br />
= 2⋅10<br />
−9<br />
0,000003<br />
P( TOP)<br />
= PP<br />
1 2<br />
+ PP<br />
1 3<br />
+ P2<br />
P3<br />
− 2PP<br />
1 2P3<br />
= 0,81+<br />
0,81+<br />
0,81−<br />
2⋅0,729<br />
=<br />
P(<br />
TOP)<br />
≈ PP2<br />
+ PP<br />
1 3<br />
+ P2<br />
P3<br />
0,000002998<br />
0,972<br />
0,81+<br />
0,81+<br />
0,81 =<br />
2,43<br />
1<br />
=<br />
><br />
1!<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
228
§ 9 Berechnungsmethoden<br />
ZSA<br />
Beispiel: Motorsteuerung (Live–Mitschrieb)<br />
Schaltkreis<br />
Schalter S<br />
=<br />
=<br />
Zeitrelais<br />
z<br />
K<br />
Sicherung<br />
Motor<br />
Relais<br />
a<br />
A Kabel B<br />
[H5] S. 242<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
229
§ 9 Berechnungsmethoden<br />
ZSA<br />
Fehlerbaum Motorsteuerung<br />
TOP-<br />
Ereignis<br />
Kabel A-B überhitzt<br />
&<br />
Sicherung<br />
Strom für Motor<br />
spricht E 1<br />
X 3<br />
E 2 wird durch a nicht<br />
nicht an<br />
Motor hat<br />
unterbrochen<br />
≥1<br />
Kurzschluss<br />
≥1<br />
Strom für Relais z<br />
Relaiskontakt<br />
E<br />
X 1 X nicht unterbrochen 3 X 6<br />
K öffnet nicht<br />
2<br />
defekte<br />
Sicherung<br />
Überdimensionierte<br />
Sicherung<br />
defektes<br />
Zeitrelais z<br />
&<br />
X 4 X 5<br />
Schalter S<br />
öffnet nicht<br />
[H5] S. 243<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
230
§ 9 Berechnungsmethoden<br />
ZSA<br />
Ausfallwahrscheinlichkeiten<br />
Ausfallwahrscheinlichkeiten der Komponenten<br />
Die Ausfallwahrscheinlichkeiten P werden aus der vorgegebenen Ausfallrate λ<br />
der Komponente X für einen Zeitraum von t = 1.000 h berechnet.<br />
Nr. Komponente<br />
X<br />
Ausfallart Ausfallrate<br />
λ [10 -6 h -1 ]<br />
Ausfallwahrscheinlichkeit<br />
P<br />
1 Sicherung brennt nicht durch 50,0 0,0488<br />
2 Sicherung überdimensionierte 2,5 0,0025<br />
3 Motor Kurzschluß 25,0 0,0247<br />
4 Zeitrelais z fallt nicht ab 40,0 0,0392<br />
5 Schalter S öffnet nicht 45,2 0,0447<br />
6 Relaiskontakt K öffnet nicht 33,3 0,0328<br />
[H5] S. 242<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
231
§ 9 Berechnungsmethoden<br />
ZSA<br />
Wahrscheinlichkeit für TOP-Ereignis<br />
Boolesche Gleichungen (s. Fehlerbaum):<br />
TOP =<br />
E<br />
E<br />
E<br />
1<br />
2<br />
3<br />
=<br />
=<br />
E<br />
X<br />
E<br />
= X<br />
1<br />
1<br />
3<br />
4<br />
X<br />
3<br />
5<br />
E<br />
+ X<br />
+ X<br />
X<br />
2<br />
2<br />
6<br />
Durch Einsetzen der Gleichungen für E 1 , E 2 und E 3<br />
Wahrscheinlichkeit für TOP-Ereignis:<br />
TOP<br />
=<br />
E<br />
1<br />
X<br />
3<br />
E<br />
2<br />
= ( X<br />
1<br />
+<br />
X<br />
2<br />
) X<br />
3<br />
( X<br />
4<br />
X<br />
5<br />
+<br />
X<br />
6<br />
)<br />
P(<br />
TOP)<br />
=<br />
(0,0488 +<br />
0,0025) ⋅0,0247<br />
⋅(0,0392⋅0,0477<br />
+<br />
0,0328)<br />
[H5] S. 245<br />
=<br />
4,37 ⋅10<br />
−5<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
232
§ 9 Berechnungsmethoden<br />
ZSA<br />
Verbindungen<br />
– Ermittlung der Verbindungen aus Fehlerbaum<br />
• ODER-Verknüpfung<br />
ODER<br />
{ A}<br />
{ E , E2<br />
→<br />
, LE<br />
1 n<br />
}<br />
(87)<br />
• UND-Verknüpfung<br />
{A}→ UND<br />
{ E<br />
{ E<br />
L<br />
{<br />
1<br />
2<br />
E n<br />
}<br />
}<br />
}<br />
(88)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
233
§ 9 Berechnungsmethoden<br />
ZSA<br />
Trennungen<br />
– Ermittlung der Trennungen aus Fehlerbaum<br />
• ODER-Verknüpfung<br />
{A}<br />
ODER<br />
→<br />
• UND-Verknüpfung<br />
UND<br />
{ A}<br />
{ E , E2<br />
→<br />
{ E<br />
{ E<br />
L<br />
{<br />
1<br />
2<br />
E n<br />
}<br />
}<br />
}<br />
, LE<br />
1 n<br />
}<br />
(89)<br />
(90)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
234
§ 9 Berechnungsmethoden<br />
ZSA<br />
Beispiel: Fehlerbaum eines Systems mit 4 Komponenten<br />
A<br />
&<br />
B<br />
C<br />
≤1<br />
≤1<br />
E 1 E 2 E 3 E 4<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
235
§ 9 Berechnungsmethoden<br />
ZSA<br />
Verbindungen und Trennungen<br />
– Verbindungen aus Fehlerbaum<br />
{ A}<br />
→ U { B}<br />
→ { K , K } = V<br />
O<br />
O<br />
– Trennungen aus Fehlerbaum<br />
1<br />
{ C}<br />
→{<br />
K<br />
{ A}<br />
→{<br />
B,<br />
C}<br />
→{<br />
K<br />
{ K<br />
{ K<br />
1<br />
2<br />
U<br />
O<br />
, C}<br />
→{<br />
K<br />
O<br />
{ K<br />
, C}<br />
→{<br />
K<br />
{ K<br />
1<br />
1<br />
, K<br />
, K<br />
2<br />
2<br />
3<br />
{ K<br />
3<br />
4<br />
, K<br />
, K<br />
2<br />
, K<br />
1<br />
4<br />
, C}<br />
2<br />
, C}<br />
} = T<br />
1<br />
} = T<br />
3<br />
4<br />
2<br />
} = T<br />
} = T<br />
4<br />
1<br />
} = V<br />
3<br />
2<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
236
§ 9 Berechnungsmethoden<br />
ZSA<br />
Markov Modell<br />
– Was kann man berechnen?<br />
• Zuverlässigkeits- und Sicherheitskenngrößen<br />
– Welche Größen kann man berechnen?<br />
• Zustands-Wahrscheinlichkeiten<br />
• Zustandsübergangs-Wahrscheinlichkeiten<br />
• Zustandsübergangs-Zeiten und -Raten<br />
– Für welche Fälle einsetzbar?<br />
• Folge von Zufallsereignissen wie Ausfälle und Instandsetzungen<br />
• Verschiedene Ausfallarten und -raten einer Komponente<br />
• Dynamische Änderung von Ausfallraten z.B. bei Belastungsänderung<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
237
§ 9 Berechnungsmethoden<br />
ZSA<br />
Das Verfahren<br />
Folgende Schritte 1 bis 6 werden durchgeführt:<br />
Schritt 1: Erstellen eines Zustandsdiagramms<br />
Schritt 2: Ermitteln der Zustandsübergangsraten<br />
Schritt 3: Erstellen des Differenzialgleichungssystems<br />
Schritt 4: Lösung des Systems im Laplace-Bereich<br />
Schritt 5: Lösung des Systems im Zeit-Bereich durch<br />
Rücktransformation aus dem Laplace-Bereich<br />
Schritt 6: Berechnung der Grenzwerte im Laplace-Bereich<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
238
§ 9 Berechnungsmethoden<br />
ZSA<br />
Beispiel 1 (1)<br />
– Berechnung der Verfügbarkeit eines Systems.<br />
• Für das System sind zwei Zustände möglich:<br />
• Zustand 1: System in Ordnung<br />
• Zustand 2: System ausgefallen<br />
– Schritt 1: Erstellen eines Zustandsdiagramms<br />
1<br />
System in Ordnung<br />
Instandsetzungsrate μ<br />
λ<br />
Ausfallrate<br />
2<br />
System ausgefallen<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
239
§ 9 Berechnungsmethoden<br />
ZSA<br />
Beispiel 1 (2)<br />
– Schritt 2: Ermitteln der Zustandsübergangsraten<br />
• Benötigte Daten:<br />
• Ausfallrate des Systems<br />
• Instansetzungsrate<br />
• Berechnungsbasis<br />
• Ausfallraten der Komponenten<br />
• Annahme<br />
Folgende Werte werden angenommen<br />
• Konstante Ausfallrate λ = 10 -4 h -1<br />
• Konstante Instansetzungsrate μ = 10 -1 h -1<br />
• Mittlere Instandsetzungszeit T = 1/μ = 10 h<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
240
§ 9 Berechnungsmethoden<br />
ZSA<br />
Beispiel 1 (3)<br />
– Schritt 3: Erstellen des Differenzialgleichungssystems<br />
• Das Differenzialgleichungssystem hat die Matrixform<br />
wobei bezeichnet<br />
P'<br />
( t)<br />
=<br />
M<br />
⋅<br />
P(<br />
t)<br />
(91)<br />
P(t) Vektor der Zustandswahrscheinlichkeiten<br />
P'(t) zeitliche Ableitung von P(t)<br />
M Matrix der Zustandsübergangsraten (Übergangsmatrix)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
241
§ 9 Berechnungsmethoden<br />
ZSA<br />
Beispiel 1 (4)<br />
• Die Übergangsmatrix M<br />
M<br />
=<br />
⎡ b1<br />
⎢<br />
⎢<br />
c12<br />
⎢ ...<br />
⎢<br />
⎣c1n<br />
c<br />
b<br />
c<br />
21<br />
2<br />
...<br />
2n<br />
...<br />
...<br />
...<br />
...<br />
n1<br />
n2<br />
⎤<br />
⎥<br />
⎥<br />
⎥<br />
⎥<br />
⎦<br />
c ik Übergangsraten von Zustand i nach k,<br />
c<br />
c<br />
...<br />
b<br />
n<br />
P(<br />
t)<br />
⎡P1<br />
( t)<br />
⎤<br />
=<br />
⎢ ⎥<br />
⎢<br />
...<br />
⎥<br />
⎢⎣<br />
P ( t)<br />
⎥<br />
n ⎦<br />
n<br />
∑<br />
b i<br />
= − c ik<br />
k = 1<br />
(92)<br />
(93)<br />
• Das Differentialgleichungssystem für das System<br />
⎡ dP1<br />
( t)<br />
⎤<br />
⎢ ⎥<br />
⎢ ⎥ =<br />
dP dt 2(<br />
t)<br />
⎢ ⎥<br />
⎣ dt ⎦<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
⎡− λ<br />
⎢<br />
⎣ λ<br />
μ⎤<br />
⎡ ⎤<br />
⎥ ⋅ P1<br />
( t)<br />
μ<br />
⎢ ⎥<br />
⎦ ⎣P2<br />
( t)<br />
⎦<br />
(94)<br />
242
§ 9 Berechnungsmethoden<br />
ZSA<br />
Beispiel 1 (5)<br />
– Schritt 4: Lösung des Systems im Laplace-Bereich<br />
• Das Differenzialgleichungssystems in Laplace-Bereich<br />
s ⋅ P*(<br />
s)<br />
− P(0)<br />
= M ⋅ P*(<br />
s)<br />
( Es − M ) ⋅ P*(<br />
s)<br />
= P(0)<br />
• Die Lösung<br />
P *( s)<br />
i<br />
=<br />
Di<br />
D<br />
• Die Determinanten der Lösung<br />
D Determinante zu (Es - M)<br />
Di Determinante D mit der i-ten Spalte durch P(0) ersetzt<br />
• Anfangsbedingungen<br />
⎡P1(0)<br />
⎤<br />
P(0)<br />
=<br />
⎢ ⎥<br />
⎢<br />
...<br />
⎥<br />
⎢⎣<br />
P n<br />
(0) ⎥⎦<br />
,<br />
(*Laplace- Variablen)<br />
(95)<br />
(96)<br />
(97)<br />
(98)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
243
§ 9 Berechnungsmethoden<br />
ZSA<br />
Beispiel 1 (6)<br />
– Die Lösung für das System<br />
D1<br />
P1<br />
*(<br />
s)<br />
=<br />
D<br />
=<br />
• Die Anfangsbedingungen und Determinanten sind<br />
α Wahrscheinlichkeit, dass das System zum Zeitpunkt t=0<br />
in Ordnung war (Zustand 1)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
αs<br />
+ μ<br />
s(<br />
s + λ + μ)<br />
⎡P1<br />
(0) ⎤ ⎡ α ⎤<br />
P(0)<br />
= ⎢ ⎥ = ⎢ ⎥<br />
⎣P2<br />
(0) ⎦ ⎣1<br />
−α<br />
⎦<br />
s + λ − μ<br />
D = = s( s + λ + μ)<br />
− λ s + μ<br />
α − μ<br />
D1<br />
= = αs<br />
+ μ<br />
1 −α<br />
s + μ<br />
(99)<br />
(100)<br />
(101)<br />
(102)<br />
244
§ 9 Berechnungsmethoden<br />
ZSA<br />
Beispiel 1 (7)<br />
– Schritt 5: Lösung des Systems im Zeitbereich<br />
• Rücktransformation L-1 aus dem Laplace-Bereich<br />
P1 ( t)<br />
= L −1{<br />
P1<br />
*( s)}<br />
• Ergebnis der Rücktransformation<br />
P<br />
( ) t<br />
1<br />
( t)<br />
μ μ − λ μ<br />
= + ( α − ) e<br />
+<br />
λ + μ<br />
P2 ( t)<br />
= 1−<br />
P1<br />
( t)<br />
λ + μ<br />
(103)<br />
(104)<br />
(105)<br />
• Für t=0 und t∞ erhält man<br />
lim P 1<br />
( t)<br />
t→0<br />
lim P 1<br />
( t)<br />
=<br />
t→∞<br />
= α<br />
μ<br />
= V<br />
λ + μ<br />
Verfügbarkeit des Systems<br />
(106)<br />
(107)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
245
§ 9 Berechnungsmethoden<br />
ZSA<br />
Beispiel 1 (8)<br />
– Schritt 6: Berechnung der Grenzwerte im Laplace-Bereich<br />
• Zusammenhänge zwischen Zeit- und L-Bereich<br />
limP(<br />
t)<br />
= lims⋅<br />
P<br />
t→0<br />
i<br />
s→∞<br />
i<br />
*( s)<br />
(108)<br />
limP(<br />
t)<br />
t →∞<br />
i<br />
=<br />
s → 0<br />
lims⋅<br />
P<br />
i<br />
*( s)<br />
(109)<br />
• Berechnung der Werte für t=0 und t∞<br />
limP<br />
1<br />
( t)<br />
= lims<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
αs<br />
+ μ<br />
= α<br />
s(<br />
+ λ + μ<br />
t→ 0 s→∞<br />
s )<br />
αs<br />
+ μ μ<br />
=<br />
s(<br />
s + λ + μ λ + μ<br />
limP1<br />
( t)<br />
= lims<br />
t → ∞ s → 0 )<br />
(110)<br />
(111)<br />
246
§ 9 Berechnungsmethoden<br />
ZSA<br />
Beispiel 1 (9)<br />
– Numerische Werte aus Schritt 2<br />
• Die Verfügbarkeit des Systems<br />
V<br />
=<br />
μ<br />
=<br />
λ + μ<br />
0,1<br />
h<br />
0,0001<br />
+<br />
h<br />
0,1<br />
h<br />
=<br />
0,9990<br />
• Die Wahrscheinlichkeit für den Zustand 1 bei α = 0,2<br />
P<br />
μ μ −(<br />
λ+<br />
μ ) t<br />
1<br />
( t)<br />
= + ( α − ) e<br />
λ + μ<br />
P2 ( t)<br />
= 1−<br />
P1<br />
( t)<br />
λ + μ<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
247
§ 9 Berechnungsmethoden<br />
ZSA<br />
Beispiel 1: (Graphische Darstellung)<br />
– Verlauf von P 1 (t) und P 2 (t) für α = 0,2<br />
1<br />
0,9<br />
0,8<br />
0,7<br />
0,6<br />
0,5<br />
0,4<br />
0,3<br />
0,2<br />
0,1<br />
0<br />
P 1 (t)<br />
P 2 (t)<br />
0 10 20 30 40 50<br />
V=0,9990<br />
U = 0,0010<br />
t [h]<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
248
§ 9 Berechnungsmethoden<br />
ZSA<br />
Beispiel 2: System mit 3 Zuständen (1)<br />
– Schritt 1: Zustandsdiagramm<br />
λ<br />
γ<br />
1<br />
2<br />
3<br />
ε<br />
– Schritt 2: Übergangsraten<br />
• Folgende Übergangsraten werden angenommen<br />
• Übergang von 1 nach 2 c 12 = λ = 2.10 -4 h -1<br />
• Übergang von 2 nach 3 c 23 = γ = 10 -4 h -1<br />
• Übergang von 2 nach 1 c 21 = ε = 10 -2 h -1<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
249
ZSA<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
Beispiel 2: System mit 3 Zuständen (2)<br />
250<br />
§ 9 Berechnungsmethoden<br />
– Schritt 3: Differentialgleichungssystem<br />
• Im Laplace-Bereich<br />
⎥<br />
⎥<br />
⎥<br />
⎦<br />
⎤<br />
⎢<br />
⎢<br />
⎢<br />
⎣<br />
⎡<br />
⋅<br />
⎥<br />
⎥<br />
⎥<br />
⎦<br />
⎤<br />
⎢<br />
⎢<br />
⎢<br />
⎣<br />
⎡<br />
=<br />
⎥<br />
⎥<br />
⎥<br />
⎦<br />
⎤<br />
⎢<br />
⎢<br />
⎢<br />
⎣<br />
⎡<br />
)<br />
(<br />
)<br />
(<br />
)<br />
(<br />
)<br />
'(<br />
)<br />
'(<br />
)<br />
'(<br />
3<br />
2<br />
1<br />
3<br />
23<br />
13<br />
32<br />
2<br />
12<br />
31<br />
21<br />
1<br />
3<br />
2<br />
1<br />
t<br />
P<br />
t<br />
P<br />
t<br />
P<br />
b<br />
c<br />
c<br />
c<br />
b<br />
c<br />
c<br />
c<br />
b<br />
t<br />
P<br />
t<br />
P<br />
t<br />
P<br />
⎥<br />
⎥<br />
⎥<br />
⎦<br />
⎤<br />
⎢<br />
⎢<br />
⎢<br />
⎣<br />
⎡<br />
⋅<br />
⎥<br />
⎥<br />
⎥<br />
⎦<br />
⎤<br />
⎢<br />
⎢<br />
⎢<br />
⎣<br />
⎡<br />
−<br />
−<br />
−<br />
=<br />
⎥<br />
⎥<br />
⎥<br />
⎦<br />
⎤<br />
⎢<br />
⎢<br />
⎢<br />
⎣<br />
⎡<br />
)<br />
(<br />
)<br />
(<br />
)<br />
(<br />
0<br />
0<br />
0<br />
0<br />
)<br />
'(<br />
)<br />
'(<br />
)<br />
'(<br />
3<br />
2<br />
1<br />
3<br />
2<br />
1<br />
t<br />
P<br />
t<br />
P<br />
t<br />
P<br />
t<br />
P<br />
t<br />
P<br />
t<br />
P<br />
γ<br />
ε<br />
γ<br />
λ<br />
ε<br />
λ<br />
⎥<br />
⎥<br />
⎥<br />
⎦<br />
⎤<br />
⎢<br />
⎢<br />
⎢<br />
⎣<br />
⎡<br />
=<br />
⎥<br />
⎥<br />
⎥<br />
⎦<br />
⎤<br />
⎢<br />
⎢<br />
⎢<br />
⎣<br />
⎡<br />
⋅<br />
⎥<br />
⎥<br />
⎥<br />
⎦<br />
⎤<br />
⎢<br />
⎢<br />
⎢<br />
⎣<br />
⎡<br />
−<br />
+<br />
+<br />
−<br />
−<br />
+<br />
*(0)<br />
*(0)<br />
*(0)<br />
)<br />
*(<br />
)<br />
*(<br />
)<br />
*(<br />
0<br />
0<br />
0<br />
3<br />
2<br />
1<br />
3<br />
2<br />
1<br />
P<br />
P<br />
P<br />
s<br />
P<br />
s<br />
P<br />
s<br />
P<br />
s<br />
s<br />
s<br />
γ<br />
ε<br />
γ<br />
λ<br />
ε<br />
λ
§ 9 Berechnungsmethoden<br />
ZSA<br />
Beispiel 2: System mit 3 Zuständen (2)<br />
− Schritt 4: Lösung des Systems im Laplace-Bereich<br />
s + λ − ε 0<br />
D = − λ s + γ + ε 0 = s[(<br />
s + λ)(<br />
s + γ + ε ) − λε ]<br />
0 − γ 0<br />
s<br />
+ λ<br />
− ε<br />
1<br />
D3<br />
= − λ s<br />
0<br />
+ γ + ε<br />
− γ<br />
0<br />
0<br />
= λγ<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
251
§ 9 Berechnungsmethoden<br />
ZSA<br />
Beispiel 2: System mit 3 Zuständen (3)<br />
− Schritt 4: Lösung des Systems im Laplace-Bereich<br />
P<br />
3<br />
*( s)<br />
=<br />
s[(<br />
s<br />
λγ<br />
+ λ)(<br />
s + γ + ε )<br />
− λε ]<br />
P(0)<br />
=<br />
⎡P1<br />
(0) ⎤<br />
⎢ ⎥<br />
⎢<br />
P2<br />
(0)<br />
⎥<br />
⎢⎣<br />
P (0) ⎥<br />
3 ⎦<br />
=<br />
⎡1⎤<br />
⎢ ⎥<br />
⎢<br />
0<br />
⎥<br />
⎢⎣<br />
0⎥⎦<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
252
§ 9 Berechnungsmethoden<br />
ZSA<br />
Beispiel 2: System mit 3 Zuständen (4)<br />
– Schritt 5: Lösung des Systems im Zeitbereich<br />
• Rücktransformation L -1<br />
Die Lösung des Differentialgleichungssystems hinsichtlich P 3 (t) ergibt<br />
sich durch die Laplace-Rücktransformation L -1<br />
1 r2t<br />
r2<br />
P3<br />
( t)<br />
= 1−<br />
( r1<br />
e − r2e<br />
r − r<br />
wobei<br />
1<br />
2<br />
t<br />
)<br />
r<br />
1,2<br />
=<br />
λ + γ + ε ±<br />
( λ + γ + ε )<br />
2<br />
2<br />
2<br />
−8λ<br />
Die Wahrscheinlichkeit W im Zustand 1 oder 2<br />
1 r2t<br />
1<br />
W ( t)<br />
= P1<br />
( t)<br />
+ P2<br />
( t)<br />
= 1−<br />
P3<br />
( t)<br />
= ( r1<br />
e − r2e<br />
r − r<br />
1<br />
2<br />
r t<br />
)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
253
§ 9 Berechnungsmethoden<br />
ZSA<br />
Beispiel 2: System mit 3 Zuständen (Graphische Darstellung)<br />
– Verlauf von W(t) und P 3 (t) (FTA-Tool berechnet andere Werte)<br />
1<br />
0,9<br />
0,8<br />
0,7<br />
0,6<br />
0,5<br />
0,4<br />
0,3<br />
0,2<br />
0,1<br />
0<br />
P 3 (t)<br />
W(t) = 1 - P 3 (t)<br />
0 100000 200000 300000 400000 500000<br />
t [h]<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
254
§ 9 Berechnungsmethoden<br />
ZSA<br />
Beispiel 2: System mit 3 Zuständen (5)<br />
– Schritt 6: Berechnung der Grenzwerte<br />
• Berechnung der Grenzwerte ohne Rücktransformation<br />
L -1 {W*(s)}<br />
limW<br />
( t)<br />
t→0<br />
=<br />
lim s<br />
s→∞<br />
=<br />
⎡<br />
1<br />
⎢<br />
⎣<br />
s<br />
−<br />
s[(<br />
s<br />
λγ<br />
+ λ)(<br />
s + γ + ε )<br />
⎤<br />
− λε ]<br />
⎥<br />
⎦<br />
= 1<br />
limW<br />
( t)<br />
t→∞<br />
=<br />
lim s<br />
s→0<br />
=<br />
⎡<br />
1<br />
⎢<br />
⎣<br />
s<br />
−<br />
s[(<br />
s<br />
λγ<br />
+ λ)(<br />
s + γ + ε )<br />
⎤<br />
− λε ]<br />
⎥<br />
⎦<br />
=<br />
0<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
255
§ 9 Berechnungsmethoden<br />
ZSA<br />
Beispiel 2: System mit 3 Zuständen (6)<br />
• Berechnung von T als Grenzwert<br />
Allgemeine Formel<br />
T<br />
∞<br />
∞<br />
⎡ ⎤<br />
= ∫W<br />
( t)<br />
⋅ dt = lim⎢∫W<br />
( t)<br />
⋅ dt⎥<br />
t→∞<br />
0<br />
⎣ 0 ⎦<br />
=<br />
lim[ W<br />
s→0<br />
*( s)]<br />
Anwendung auf das System mit 3 Zuständen<br />
Die mittlere Zeit T von Zustand 1 nach 3:<br />
T<br />
=<br />
limW<br />
⎡<br />
*( s)<br />
= lim<br />
s→0⎢<br />
⎣s(<br />
s→<br />
0 s )<br />
s + λ + γ + ε ⎤ λ + γ + ε<br />
=<br />
+ λ + γ + ε + λγ<br />
⎥<br />
⎦ λε<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
256
§ 9 Berechnungsmethoden<br />
ZSA<br />
Allgemeine Formel für die Berechnung von T<br />
– Berechnung der mittleren Zeit von 1 nach 3<br />
• Zustandsdiagramm<br />
λ<br />
γ<br />
1<br />
2<br />
3<br />
ε<br />
• Berechnungsformel<br />
λ + γ + ε<br />
T =<br />
λε<br />
• Vereinfachte Formel (Annahmen: λ
§ 9 Berechnungsmethoden<br />
ZSA<br />
Mittlere Zeit bis zum Ausfall/zur Gefährdung<br />
System<br />
Zuverlässigkeitsbetrachtung<br />
Sicherheitsbetrachtung<br />
Mittlere Zeit<br />
bis zum<br />
Systemausfall<br />
MTTF<br />
Mittlere Zeit<br />
bis zur<br />
Gefährdung<br />
MTTF'<br />
System Systemausfall Gefährdung<br />
Einfaches System (1oo1) Ausfall einer Einheit Ausfall einer Einheit<br />
Doppelsystem (2oo2) Ausfall einer Einheit Doppelausfall<br />
2-von-3-System (2oo3) Ausfall zweier Einheiten Doppelausfall<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
258
§ 9 Berechnungsmethoden<br />
ZSA<br />
Einfaches System (1oo1)<br />
– Zustandsdiagramm<br />
Zustand 1: System in Ordnung<br />
Zustand 2: System ausgefallen<br />
1<br />
λ<br />
2<br />
– Zuverlässigkeitsbetrachtung<br />
konstante Ausfallrate λ 10 -4 /h<br />
mittlere Lebensdauer MTTF 1/λ 10.000 h<br />
konstante Instandsetzungsrate μ 4.10 -2 /h<br />
mittlere Instandsetzungszeit MTTR 1/μ 25 h<br />
– Sicherheitsbetrachtung<br />
sicherheitsbezogene Ausfallrate λ'<br />
(Gefährdungsrate)<br />
mittlere sicherheitsbezogene Lebensdauer<br />
MTTF'<br />
λ 10 -4 /h<br />
1/λ 10.000 h<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
259
§ 9 Berechnungsmethoden<br />
ZSA<br />
Doppelsystem (2oo2)<br />
– Zustandsdiagramm<br />
Zustand 1: System in Ordnung<br />
Zustand 2: Erster Ausfall<br />
Zustand 3: Doppelausfall (Gefährdung)<br />
Zustand 4: Sicherer Zustand<br />
1<br />
2λ<br />
2<br />
λ<br />
ε<br />
μ<br />
3<br />
4<br />
– Daten (Annahme: λ
§ 9 Berechnungsmethoden<br />
ZSA<br />
Zuverlässigkeitsbetrachtung (2oo2)<br />
– Zustandsdiagramm<br />
Zustand 1: System in Ordnung<br />
Zustand 2: System ausgefallen<br />
1<br />
2λ<br />
2<br />
– Systemverhalten<br />
Nach erstem Ausfall in sicheren Zustand.<br />
Ausfallerkennungszeit 1/ε wird vernachlässigt.<br />
– Kenngrößen:<br />
Ausfallrate des Systems 2λ 2.10 -4 /h<br />
mittlere Lebensdauer des Systems 1/2λ 5.000 h<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
261
§ 9 Berechnungsmethoden<br />
ZSA<br />
Sicherheitsbetrachtung (2oo2)<br />
– Zustandsdiagramm<br />
Zustand 1: System in Ordnung<br />
Zustand 2: Erster Ausfall<br />
Zustand 3: Doppelausfall (Gefährdung)<br />
– Systemverhalten<br />
Nach erstem Ausfall in sicheren Zustand.<br />
Instandsetzungszeit 1/μ wird vernachlässigt.<br />
1<br />
2λ<br />
2<br />
λ<br />
3<br />
ε<br />
– Kenngrößen:<br />
mittlere sicherheitsbezogene Lebensdauer (3λ+ε)/2λ 2 5,015.10 6 h<br />
MTTF' (von Zustand 1 nach 3)<br />
vereinfachte Formel für MTTF' ε/2λ 2 5.10 6 h<br />
sicherheitsbezogene Ausfallrate λ'<br />
(Gefährdungsrate)<br />
1/MTTF' 2.10 -7 /h<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
262
§ 9 Berechnungsmethoden<br />
ZSA<br />
2-von-3-System (2oo3)<br />
– Zustandsdiagramm<br />
Zustand 1: System in Ordnung<br />
Zustand 2: Erster Ausfall<br />
Zustand 3: Doppelausfall (Gefährdung)<br />
Zustand 4: Sicherer Zustand<br />
1<br />
3λ<br />
2λ<br />
2<br />
ε<br />
μ<br />
– Daten (Annahme: λ
§ 9 Berechnungsmethoden<br />
ZSA<br />
Zuverlässigkeitsbetrachtung (2oo3)<br />
– Zustandsdiagramm<br />
Zustand 1: System in Ordnung<br />
Zustand 2: Erster Ausfall<br />
Zustand 3: System ausgefallen<br />
1<br />
3λ<br />
2<br />
2λ<br />
μ<br />
– Systemverhalten<br />
Nach erstem Ausfall in sicheren Zustand.<br />
Ausfallerkennungszeit 1/ε wird vernachlässigt.<br />
– Kenngrößen (FTA-Tool berechnet andere Werte#):<br />
mittlere Lebensdauer<br />
MTTF (von Zustand 1 nach 3)<br />
(5λ+μ)/6λ 2<br />
3<br />
Raute,<br />
stimmt?<br />
6,75.10 5 h<br />
vereinfachte Formel für MTTF μ/6λ 2 6,66.10 5 h<br />
Ausfallrate λsys 1/MTTF 1,5.10 -6 /h<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
264
§ 9 Berechnungsmethoden<br />
ZSA<br />
Sicherheitsbetrachtung (2oo3)<br />
– Zustandsdiagramm<br />
Zustand 1: System in Ordnung<br />
Zustand 2: Erster Ausfall<br />
Zustand 3: Doppelausfall (Gefährdung)<br />
2λ<br />
1<br />
3λ<br />
2<br />
ε<br />
– Systemverhalten<br />
Nach erstem Ausfall in sicheren Zustand.<br />
Instandsetzungszeit 1/μ wird vernachlässigt.<br />
3<br />
– Kenngrößen:<br />
mittlere sicherheitsbezogene Lebensdauer (5λ+ε)/6λ 2 1,67.10 6 h<br />
MTTF' (von Zustand 0 nach 2)<br />
vereinfachte Formel für MTTF' ε/6λ 2 1,66.10 6 h<br />
sicherheitsbezogene Ausfallrate λ'<br />
(Gefährdungsrate)<br />
1/MTTF' 6.10 -7 /h<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
265
§ 9 Berechnungsmethoden<br />
ZSA<br />
Vergleich der Systeme<br />
System<br />
Einfaches System<br />
1oo1<br />
Doppelsystem<br />
2oo2<br />
2-von-3-System<br />
2oo3<br />
mittlere<br />
Lebensdauer<br />
MTTF [10 3 h]<br />
mittlere sicherheitsbezogene<br />
Lebensdauer<br />
MTTF' [10 3 h]<br />
10 10<br />
5 5000<br />
666 1660<br />
bestes Ergebnis<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
266
§ 9 Berechnungsmethoden<br />
ZSA<br />
2-von-3-System mit einer Auswahleinheit (2oo3A)<br />
– Annahmen<br />
• Auswahleinheit ist von den Rechnern unabhängig<br />
• Ausfall der Auswahleinheit Gesamtsystemausfall<br />
• Sicherheitsrelevanter Ausfall der Auswahleinheit Gefährdung<br />
• Ausfallraten der Auswahleinheit<br />
• λ A = 10 -6 /h, Ausfallrate<br />
• λ' A = 10 -8 /h, Gefährdungsrate<br />
– Blockschaltbild des Gesamtsystems<br />
Rechner 1<br />
2v3-Rechnerstruktur<br />
Rechner 2<br />
Rechner 3<br />
2 von 3<br />
Auswahleinheit<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
267
§ 9 Berechnungsmethoden<br />
ZSA<br />
Zuverlässigkeitsbetrachtung (2oo3A)<br />
– Zustandsdiagramm<br />
Zustand 1: Gesamtsystem in Ordnung<br />
Zustand 2: Gesamtsystem ausgefallen<br />
1<br />
μ<br />
λ R +λ A<br />
2<br />
– Systemverhalten<br />
Ausfall der 2-von-3-Rechnerstruktur Gesamtsystemausfall<br />
Ausfall der Auswahleinheit Gesamtsystemausfall<br />
– Kenngrößen:<br />
konstante *) Ausfallrate der 2-von-3-Rechnerstruktur λ R 1,5.10 -6 /h<br />
konstante *) Ausfallrate der Auswahleinheit λ A 10 -5 /h<br />
konstante *) Ausfallrate des Gesamtsystems λ R +λ A 1,15.10 -5 /h<br />
mittlere Lebensdauer des Gesamtsystems MTTF G 1/(λ R +λ A ) 0,869.10 5 h<br />
*) Vereinfachung<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
268
§ 9 Berechnungsmethoden<br />
ZSA<br />
– Einflussbereich<br />
• λ A >> λ R großer Einfluss, Verschlechterung von λ G<br />
• λ A
§ 9 Berechnungsmethoden<br />
ZSA<br />
Sicherheitsbetrachtung (2oo3A)<br />
– Zustandsdiagramm<br />
Zustand 1: System in Ordnung<br />
Zustand 3:Gefährdung<br />
1<br />
λ' R +λ' A<br />
3<br />
μ<br />
– Systemverhalten<br />
Doppelrechner-Ausfall der 2v3-Rechnerstruktur Gefährdung<br />
Sicherheitsrelevanter Ausfall der Auswahleinheit Gefährdung<br />
– Kenngrößen:<br />
konstante *) Gefährdungsrate der 2-von3-<br />
λ' R 6.10 -7 /h<br />
Rechnerstrukur<br />
konstante *) Gefährdungsrate der Auswahleinheit λ' A 10 -8 /h<br />
konstante *) Gefährdungsrate des Gesamtsystems λ' R +λ' A 6,1.10 -7 /h<br />
Sicherheitsbezogene mittlere Lebensdauer des<br />
Gesamtsystems MTTF' G<br />
*) Vereinfachung<br />
1/(λ' R +λ' A )<br />
1, 64.10 6 h<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
270
§ 9 Berechnungsmethoden<br />
ZSA<br />
– Einflussbereich<br />
• λ' A >> λ' R großer Einfluss, Verschlechterung von λ' G<br />
• λ' A
§ 9 Berechnungsmethoden<br />
ZSA<br />
Einfluss der Auswahleinheit<br />
– Die Auswahleinheit darf nicht vernachlässigt werden<br />
– Sie hat bei hohen Ausfallraten starken Einfluss auf die Ausfallrate des<br />
Systems<br />
– Sie hat bei hohen Gefährdungsraten starken Einfluss auf die<br />
Gefährdungsrate des Systems<br />
– Eine fail-safe-Auswahleinheit mit der Gefährdungsrate λ' A = 0, hat keinen<br />
Einfluss auf die Gefährdungsrate des Systems<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
272
§ 9 Berechnungsmethoden<br />
ZSA<br />
Verfügbarkeit von Systemen (Live–Mitschrieb)<br />
Betrieb<br />
ein<br />
System<br />
in Betrieb<br />
System<br />
in Betrieb<br />
System<br />
in Betrieb<br />
aus<br />
System<br />
ausgefallen<br />
System<br />
ausgefallen<br />
t<br />
System<br />
Einfaches System (1oo1)<br />
Doppelsystem (2oo2)<br />
2-von-3-System (2oo3)<br />
Systemausfall<br />
Ausfall einer Einheit<br />
Ausfall einer Einheit<br />
Ausfall von zwei Einheiten<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
273
§ 9 Berechnungsmethoden<br />
ZSA<br />
Kenngrößen der Verfügbarkeit<br />
– Verfügbarkeit V(t)<br />
Wahrscheinlichkeit, das System zum Zeitpunkt t im fehlerfreien<br />
funktionsfähigen Zustand anzutreffen<br />
– Zeitlicher Verlauf der Verfügbarkeit<br />
V ( t)<br />
= P ( t)<br />
= 1−<br />
P ( t)<br />
b<br />
a<br />
P b (t) Wahrscheinlichkeit für den fehlerfreien Zustand<br />
P a (t) Wahrscheinlichkeit für den Ausfallzustand<br />
– Stationäre Verfügbarkeit<br />
V limV<br />
( t)<br />
t<br />
=<br />
→∞<br />
MTBF<br />
=<br />
MTBF + MTTR<br />
=<br />
μ<br />
λ + μ<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
274
§ 9 Berechnungsmethoden<br />
ZSA<br />
Verfügbarkeit des einfachen Systems (1oo1)<br />
– Zustandsdiagramm<br />
Zustand 1: System in Ordnung<br />
Zustand 2: System ausgefallen<br />
– Systemverhalten<br />
Systemausfall nach erstem Ausfall.<br />
Instandsetzung nach Systemausfall.<br />
1<br />
λ<br />
2<br />
μ<br />
– Kenngrößen:<br />
konstante Ausfallrate λ 10 -4 /h<br />
Konstante Instandsetzungsrate μ 10 -1 /h<br />
Verfügbarkeit μ/(λ+μ) 0,9990<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
275
§ 9 Berechnungsmethoden<br />
ZSA<br />
Verfügbarkeit des Doppelsystems (2oo2)<br />
– Zustandsdiagramm<br />
Zustand 1: System in Ordnung<br />
Zustand 2: System ausgefallen<br />
1<br />
2λ<br />
μ<br />
2<br />
– Systemverhalten<br />
Nach erstem Ausfall in sicheren Zustand (Systemausfall).<br />
Instandsetzung nach Systemausfall.<br />
Ausfallerkennungszeit 1/ε wird vernachlässigt.<br />
– Kenngrößen:<br />
Ausfallrate des Systems 2λ 2.10 -4 /h<br />
Instandsetzungsrate μ 10 -1 /h<br />
Verfügbarkeit μ/(2λ+μ) 0,9980<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
276
§ 9 Berechnungsmethoden<br />
ZSA<br />
Verfügbarkeit des 2-von-3-Systems (2oo3)<br />
– Zustandsdiagramm<br />
Zustand 1: System in Ordnung<br />
Zustand 2: Erster Ausfall<br />
Zustand 3: System ausgefallen<br />
– Systemverhalten<br />
Instandsetzung nach erstem Ausfall.<br />
Systemausfall nach zweitem Ausfall.<br />
Ausfallerkennungszeit 1/ε wird vernachlässigt.<br />
μ<br />
1<br />
3λ<br />
2<br />
2λ<br />
3<br />
μ<br />
– Kenngrößen:<br />
mittlere Zeit T bis zum Doppelausfall (5λ+μ)/6λ 2 1,675.10 6 h<br />
(von Zustand 1 nach 3)<br />
Kehrwert 1/T (vereinfacht) 6λ 2 /μ 5,970.10 -7 h<br />
Verfügbarkeit V (vereinfacht) μ / (6λ 2 /μ+μ) 0,999994<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
277
§ 9 Berechnungsmethoden<br />
ZSA<br />
Vergleich der Systeme (Live–Mitschrieb)<br />
System<br />
Einfaches System<br />
1oo1<br />
Doppelsystem<br />
2oo2<br />
2-von-3-System<br />
2oo3<br />
Verfügbarkeit<br />
0,9990<br />
0,9980<br />
0,999994<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
278
§ 9 Berechnungsmethoden<br />
ZSA<br />
Bayes'sche Methode (1)<br />
Bayes'sche Formel der bedingten Wahrscheinlichkeit kann auf die<br />
Berechnung der Überlebens- bzw. Ausfallwahrscheinlichkeiten<br />
angewendet werden.<br />
R<br />
Q<br />
s<br />
s<br />
( z = 1 | z = 1) + Q P( z = 1| z = 0)<br />
= Ri<br />
P<br />
s i<br />
i s i<br />
( z = 0 | z = 1) + Q P( z = 0 | z = 0)<br />
= Ri<br />
P<br />
s i<br />
i s i<br />
(114)<br />
(115)<br />
R s , R i<br />
Q s , Q i<br />
z s , z i<br />
Überlebenswahrscheinlichkeit des Systems bzw. der i-ten<br />
Komponente<br />
Ausfallwahrscheinlichkeit des Systems bzw. der i-ten<br />
Komponente<br />
Zustände des Systems bzw. der i-ten Komponente<br />
(1 für in Ordnung, 0 für ausgefallen)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
279
§ 9 Berechnungsmethoden<br />
ZSA<br />
Bayes'sche Methode (2)<br />
P(a|b) : Die bedingte Wahrscheinlichkeit für den Zustand a, vorausgesetzt, der<br />
Zustand b liegt vor.<br />
Die beiden Formeln für R s und Q s sind auch für Teilsysteme wiederholt<br />
anwendbar.<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
280
§ 9 Berechnungsmethoden<br />
ZSA<br />
Beispiel: 2-von-4-System (1)<br />
– Komponenten des Systems K 1 K 2 K 3 K 4<br />
• Anwendung auf 2-von-4-System:<br />
R<br />
s<br />
=<br />
R<br />
2v4<br />
=<br />
=<br />
R<br />
R<br />
• Anwendung auf Teilsystem 1-von-3:<br />
R<br />
1v3<br />
=<br />
=<br />
R<br />
3<br />
R<br />
3<br />
P<br />
• Anwendung auf Teilsystem 2-von-3:<br />
R<br />
2v3<br />
=<br />
=<br />
R<br />
R<br />
3<br />
3<br />
P<br />
4<br />
4<br />
P<br />
R<br />
(<br />
2v4<br />
) (<br />
2v4<br />
z = 1| z = 1 + Q P z = 1| z = 0)<br />
1v3<br />
+ Q R<br />
4<br />
4<br />
2v3<br />
(<br />
1v3<br />
) (<br />
1v3<br />
z = 1| z = 1 + Q P z = 1| z = 0)<br />
⋅1+<br />
Q R<br />
R<br />
3<br />
1v2<br />
3<br />
(<br />
2v3<br />
) (<br />
2v3<br />
z = 1| z = 1 + Q P z = 1| z = 0)<br />
1v2<br />
+ Q R<br />
3<br />
3<br />
2v2<br />
3<br />
3<br />
4<br />
3<br />
3<br />
4<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
281
§ 9 Berechnungsmethoden<br />
ZSA<br />
Beispiel: 2-von-4-System (2)<br />
• Anwendung auf Teilsystem 1v2:<br />
R<br />
1v2<br />
= R<br />
= R<br />
2<br />
2<br />
P<br />
(<br />
1v2<br />
) (<br />
1v2<br />
z = 1| z = 1 + Q P z = 1| z = 0)<br />
⋅1+<br />
Q<br />
• Anwendung auf Teilsystem 2v2:<br />
R<br />
2v2<br />
=<br />
=<br />
R<br />
R<br />
2<br />
2<br />
P<br />
R<br />
2<br />
⋅ R<br />
1<br />
2<br />
=<br />
R<br />
1<br />
+<br />
R<br />
2<br />
2<br />
−<br />
R R<br />
1<br />
2<br />
=<br />
R<br />
( p)<br />
(<br />
2v2<br />
) (<br />
2v2<br />
z = 1| z = 1 + Q P z = 1| z = 0)<br />
1<br />
+ Q<br />
2<br />
⋅0<br />
=<br />
2<br />
R R<br />
1<br />
2<br />
=<br />
R<br />
2<br />
( s)<br />
2<br />
2<br />
• Nach Einsetzen in 1v3 und in 2v3:<br />
1 3<br />
R v = R3<br />
+ (1 − R3<br />
)( R1<br />
+ R2<br />
− R1R<br />
2)<br />
= R1<br />
+ R2<br />
+ R3<br />
− R1R<br />
2<br />
− R1R<br />
3<br />
− R2R3<br />
+<br />
2 3<br />
R v<br />
= R<br />
=<br />
3<br />
1<br />
( R<br />
R R<br />
2<br />
1<br />
+<br />
+<br />
R<br />
1<br />
2<br />
R R<br />
−<br />
3<br />
R R<br />
+<br />
1<br />
R<br />
2<br />
2<br />
) + (1 − R<br />
R<br />
3<br />
1<br />
3<br />
− 2R R<br />
2<br />
) R R<br />
R<br />
3<br />
1<br />
2<br />
R R<br />
1<br />
2<br />
R<br />
3<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
282
§ 9 Berechnungsmethoden<br />
ZSA<br />
Beispiel: 2-von-4-System (3)<br />
• Nach Einsetzen in 2v4:<br />
2 4<br />
R v<br />
= R4<br />
+<br />
= R R<br />
( R1<br />
+ R2<br />
+ R3<br />
− R1R<br />
2<br />
− R1R<br />
3<br />
− R2R3<br />
+ R1R<br />
2R3<br />
)<br />
( 1−<br />
R )( R R + R R + R R − 2R R R )<br />
1<br />
− 2<br />
• Für identische Ausfallraten:<br />
2<br />
4<br />
1<br />
2<br />
1<br />
3<br />
( R R R + R R R + R R R + R R R )<br />
1<br />
+<br />
1<br />
+ 3R R<br />
2<br />
R R<br />
2<br />
1<br />
R<br />
3<br />
3<br />
3<br />
R<br />
4<br />
+<br />
R<br />
1<br />
2<br />
R<br />
2<br />
3<br />
+<br />
4<br />
R R<br />
1<br />
1<br />
4<br />
2<br />
+<br />
3<br />
3<br />
R<br />
4<br />
2<br />
R<br />
4<br />
2<br />
1<br />
+<br />
2<br />
R<br />
3<br />
3<br />
4<br />
3<br />
R<br />
4<br />
R i<br />
= R0 , i = 1...4<br />
2 4 2 3<br />
R v = R0<br />
− 8R0<br />
+<br />
6 3R<br />
4<br />
0<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
283
§ 9 Berechnungsmethoden<br />
ZSA<br />
Beispiel: 2-von-4-System (4)<br />
• Überlebenswahrscheinlichkeit eines kvn-Systems<br />
n<br />
kvn<br />
∑<br />
i<br />
R = ⎜ ⎟R0 1<br />
0<br />
i=<br />
k i<br />
• Für 2v4-System<br />
R<br />
2v4<br />
=<br />
4<br />
∑<br />
i=<br />
2<br />
⎛ n⎞<br />
⎝<br />
⎛<br />
⎜<br />
⎝<br />
⎠<br />
n⎞<br />
⎟R<br />
i ⎠<br />
i<br />
0<br />
( − R )<br />
( 1−<br />
R )<br />
0<br />
n−i<br />
n−i<br />
2 4 2<br />
2<br />
R v = 6R0<br />
(1 − R0<br />
)<br />
2<br />
= 6R0<br />
(1 − 2R0<br />
2 3<br />
= 6R0<br />
−8R0<br />
+<br />
+ 4R<br />
+<br />
R<br />
3R<br />
4<br />
0<br />
2<br />
0<br />
3<br />
0<br />
) +<br />
(1 − R<br />
4R<br />
3<br />
0<br />
0<br />
) + R<br />
− 4R<br />
4<br />
0<br />
4<br />
0<br />
+<br />
R<br />
4<br />
0<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
284
Zuverlässigkeit und Sicherheit von <strong>Automatisierungs</strong>systemen<br />
ZSA<br />
Gliederung<br />
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
§ 8 Sicherungsmethoden<br />
§ 9 Berechnungsmethoden<br />
§ 10 Vereinfachungen<br />
§ 11 Zuverlässigkeit komplexer Systeme<br />
§ 12 Berechnung von Sicherheitskenngrößen<br />
§ 13 Softwarezuverlässigkeit<br />
§ 14 RAMS-Management<br />
§ 15 Sicherheitsnachweis (SN)<br />
§ 16 Abkürzungen, Literatur<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
285
§ 10 Vereinfachungen<br />
ZSA<br />
§ 10 Vereinfachungen<br />
– Zeitlicher Verlauf der Ausfallraten<br />
• Konstante Ausfallrate λ<br />
• Nicht konstante Ausfallrate λ(t)<br />
– Berechnungen mit konstanten Ausfallraten<br />
• Der Wert λ = konstant wird ermittelt<br />
• Mittlere Lebensdauer MTTF = 1/λ<br />
• Überlebenswahrscheinlichkeit<br />
– Berechnungen mit nicht konstanten Ausfallraten<br />
• Die Überlebenswahrscheinlichkeit R(t) wird ermittelt<br />
• Berechnung von λ(t) aus der allgemeinen Formel<br />
– Vereinfachungen bei nicht konstanten Ausfallraten<br />
• Der Wert MTTF wird ermittelt<br />
• Abschätzung der λ(t)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
286
§ 10 Vereinfachungen<br />
ZSA<br />
Abschätzung nicht konstanter Ausfallraten (1)<br />
– Parallelanordnung von n identischen Komponenten<br />
• Identische Komponenten<br />
R<br />
1<br />
− λ 0 t<br />
() t = L = R ( t ) = R ( t ) = e ,<br />
n<br />
0<br />
MTTF<br />
0<br />
=<br />
1<br />
λ<br />
0<br />
• Überlebenswahrscheinlichkeit<br />
( 1−<br />
R ( t ) n<br />
( p)<br />
R ( t)<br />
= 1−<br />
0<br />
)<br />
• Mittlere Zeit bis zum Ausfall<br />
MTTF<br />
∑<br />
( p) = MTTF ( 1 i)<br />
0<br />
/<br />
i=<br />
1<br />
• Schätzwert der Ausfallrate<br />
λ<br />
( p)<br />
= 1/ MTTF<br />
( p)<br />
n<br />
= 1/ MTTF<br />
n<br />
∑( 1/ i)<br />
0<br />
i=<br />
1<br />
(116)<br />
(117)<br />
(118)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
287
§ 10 Vereinfachungen<br />
ZSA<br />
Abschätzung nicht konstanter Ausfallraten (2)<br />
– Parallelanordnung von 2 identischen Komponenten<br />
• Überlebenswahrscheinlichkeit<br />
( )<br />
R p<br />
( t)<br />
=<br />
2 R<br />
0<br />
( t)<br />
−<br />
R<br />
2<br />
0<br />
( t)<br />
(119)<br />
• Mittlere Zeit bis zum Ausfall<br />
( )<br />
MTTF p =<br />
3 MTTF<br />
2<br />
• Schätzwert der Ausfallrate<br />
0<br />
(120)<br />
λ<br />
( p)<br />
2 1 2<br />
= = λ0<br />
3 MTTF 3<br />
0<br />
=<br />
konstant<br />
(121)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
288
§ 10 Vereinfachungen<br />
ZSA<br />
Berechnung nicht konstanter Ausfallraten (1)<br />
– Allgemeine Formel der Überlebenswahrscheinlichkeit<br />
( p)<br />
2<br />
0<br />
R ( t)<br />
= 2 R ( t)<br />
− R ( t)<br />
= e<br />
0<br />
0<br />
t<br />
−∫λ<br />
( τ ) dτ<br />
(122)<br />
– Lösung der Ausfallrate λ(t) durch Umformungen<br />
Für die zeitliche Ableitung der obigen Gleichung gilt:<br />
d<br />
dt<br />
d<br />
dt<br />
( p)<br />
d<br />
2<br />
'<br />
( R ( t)<br />
) = ( 2 R ( t)<br />
− R ( t)<br />
) = ( 2 − 2 R ( t)<br />
) R ( t)<br />
⎛<br />
⎜e<br />
⎜<br />
⎝<br />
dt<br />
0<br />
0<br />
t<br />
t<br />
λ ( τ ) dτ<br />
⎞<br />
−∫λ<br />
( τ ) dτ<br />
⎟<br />
0 0<br />
= −λ(<br />
t).<br />
e = −λ(<br />
t).<br />
t<br />
0 0<br />
⎟<br />
⎠<br />
−∫<br />
0<br />
2<br />
( 2 R ( t)<br />
− R ( ))<br />
0<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
289
§ 10 Vereinfachungen<br />
ZSA<br />
Berechnung nicht konstanter Ausfallraten (2)<br />
– Lösung der Ausfallrate λ(t) durch weitere Umformungen<br />
Aus der rechten Seite der beiden Gleichungen ergibt sich:<br />
λ(<br />
t)<br />
= −2<br />
R<br />
R<br />
'<br />
0<br />
0<br />
( t)<br />
( t)<br />
⋅<br />
1−<br />
R<br />
2 − R<br />
0<br />
0<br />
( t)<br />
( t)<br />
Für die Ableitung von R 0 gilt:<br />
d<br />
dt<br />
d<br />
dt<br />
−λ0t<br />
−λ0t<br />
( R () t ) = e = −λ<br />
⋅e<br />
= −λ<br />
R () t<br />
0<br />
0<br />
0<br />
0<br />
Nach Einsetzen erhält man das Ergebnis:<br />
1−<br />
R0<br />
( t)<br />
= 2λ0<br />
2 − R<br />
0<br />
( t)<br />
( t)<br />
λ (123)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
290
§ 10 Vereinfachungen<br />
ZSA<br />
Numerische Daten<br />
– Mittlere Zeit bis zum Ausfall<br />
MTTF0 = 10<br />
– Ausfallrate identischer Komponenten<br />
– Schätzwert der Ausfallrate<br />
6<br />
6 1<br />
λ0 = 1/ MTTF0<br />
= 10<br />
− h − =<br />
λ<br />
( p)<br />
=<br />
h<br />
konstant<br />
2 1 2 2 6 1<br />
= λ0<br />
= 10<br />
− h −<br />
3 MTTF 3 3<br />
– Formel für nicht konstante Ausfallrate<br />
0<br />
=<br />
konstant<br />
λ<br />
1−<br />
e<br />
2 − e<br />
−λ0<br />
. t<br />
( t ) 2λ<br />
−λ<br />
. t<br />
= (124)<br />
0<br />
0<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
291
ZSA<br />
4.000.000<br />
3.800.000<br />
§ 10 Vereinfachungen<br />
Verlauf der Ausfallraten<br />
0,000001<br />
0,0000009<br />
0,0000008<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
292<br />
0,0000007<br />
0,0000006<br />
0,0000005<br />
0,0000004<br />
0,0000003<br />
0,0000002<br />
0,0000001<br />
0<br />
0<br />
200.000<br />
400.000<br />
600.000<br />
800.000<br />
1.000.000<br />
1.200.000<br />
1.400.000<br />
1.600.000<br />
1.800.000<br />
2.000.000<br />
2.200.000<br />
2.400.000<br />
2.600.000<br />
2.800.000<br />
3.000.000<br />
3.600.000<br />
3.400.000<br />
3.200.000<br />
λ 0<br />
= konstant<br />
( )<br />
− p<br />
λ<br />
= konstant<br />
λ(t)<br />
( )<br />
MTTF<br />
0 MTTF p = 1 ,5 ⋅ MTTF<br />
0
§ 10 Vereinfachungen<br />
ZSA<br />
Berechnung nicht konstanter Ausfallraten (3)<br />
– Parallelanordnung von n identischen Komponenten<br />
• Überlebenswahrscheinlichkeit<br />
( 1−<br />
R ( t)<br />
)<br />
( p)<br />
0<br />
R ( t)<br />
= 1−<br />
= e<br />
0<br />
n<br />
t<br />
−∫λ<br />
( τ ) dτ<br />
(125)<br />
R<br />
0<br />
− λ0t<br />
() t = e ,<br />
MTTF<br />
0<br />
=<br />
1<br />
λ<br />
0<br />
(126)<br />
– Lösung der Ausfallrate λ(t)<br />
Die zeitliche Ableitung nach t ergibt:<br />
( 1−<br />
R ( t)<br />
)<br />
n−1<br />
'<br />
0<br />
⋅ R0<br />
( t)<br />
= −λ(<br />
t)<br />
0<br />
n ⋅<br />
⋅e<br />
t<br />
−∫λ<br />
( τ ) dτ<br />
(127)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
293
§ 10 Vereinfachungen<br />
ZSA<br />
Berechnung nicht konstanter Ausfallraten (4)<br />
– Lösung der Ausfallrate λ(t) durch weitere Umformungen:<br />
λ(<br />
t)<br />
= −n⋅<br />
R<br />
'<br />
o<br />
( t)<br />
1<br />
n−1<br />
( 1−<br />
R0<br />
( t)<br />
)<br />
− ( 1−<br />
R ( t)<br />
) n<br />
0<br />
R<br />
'<br />
0<br />
−λ0t<br />
( t) = −λ<br />
⋅e<br />
= −λ<br />
⋅ R t)<br />
0<br />
0<br />
0 (<br />
λ(<br />
t)<br />
= −n<br />
⋅λ<br />
0<br />
R<br />
0<br />
( t)<br />
1−<br />
n<br />
⋅( 1−<br />
R0<br />
( t)<br />
)<br />
( 1−<br />
R ( t)<br />
) n<br />
0<br />
−1<br />
λ(<br />
t)<br />
−λ0t<br />
e ⋅<br />
= −n⋅λ0<br />
1−<br />
(<br />
−λ<br />
)<br />
0t<br />
1−<br />
e<br />
(<br />
−λ<br />
t<br />
e ) n<br />
0<br />
1−<br />
n−1<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
294
§ 10 Vereinfachungen<br />
ZSA<br />
Numerische Daten für n=3<br />
– Mittlere Lebensdauer<br />
MTTF<br />
3<br />
( p) MTTF ( 1/<br />
i) = MTTF0<br />
⎜1+<br />
+ ⎟ = MTTF0<br />
= ∑<br />
0<br />
i=<br />
1<br />
⎛<br />
⎝<br />
1<br />
2<br />
1 ⎞<br />
3 ⎠<br />
11<br />
6<br />
– Schätzwert der Ausfallrate<br />
λ<br />
( p)<br />
6 1 6 6 6 1<br />
= = λ0<br />
= 10<br />
− h −<br />
11 MTTF 11 11<br />
0<br />
=<br />
konstant<br />
– Formel für nicht konstante Ausfallrate<br />
(FTA-Tool berechnet andere Werte#)<br />
λ(<br />
t)<br />
t −λ0<br />
. t<br />
( 1−<br />
e )<br />
−λ<br />
.<br />
( ) 3<br />
0 t<br />
1−<br />
e<br />
−λ<br />
.<br />
2<br />
0<br />
e<br />
= 3λ0<br />
(128)<br />
1−<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
295
§ 10 Vereinfachungen<br />
ZSA<br />
Verlauf der Ausfallraten (n=2, 3)<br />
λ 0 = konstant<br />
λ(t)<br />
λ<br />
−(<br />
p)<br />
=<br />
konstant<br />
λ<br />
−(<br />
p)<br />
=<br />
konstant<br />
λ(t)<br />
MTTF 0<br />
MTTF (p) = 1,833·MTTF 0<br />
MTTF (p) = 1,5·MTTF 0<br />
n=2<br />
n=3<br />
© <strong>2012</strong> IAS, Universität Stuttgart 296
Zuverlässigkeit und Sicherheit von <strong>Automatisierungs</strong>systemen<br />
ZSA<br />
Gliederung<br />
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
§ 8 Sicherungsmethoden<br />
§ 9 Berechnungsmethoden<br />
§ 10 Vereinfachungen<br />
§ 11 Zuverlässigkeit komplexer Systeme<br />
§ 12 Berechnung von Sicherheitskenngrößen<br />
§ 13 Softwarezuverlässigkeit<br />
§ 14 RAMS-Management<br />
§ 15 Sicherheitsnachweis (SN)<br />
§ 16 Abkürzungen, Literatur<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
297
§ 11 Zuverlässigkeit komplexer Systeme<br />
ZSA<br />
§ 11 Zuverlässigkeit komplexer Systeme<br />
– Komplexe Systeme<br />
• Verteilte Systeme<br />
• Hierarchische Systeme<br />
• Systemstruktur mit mehreren Ebenen<br />
• Vielzahl unterschiedlicher Teilsysteme<br />
• Vielzahl unterschiedlicher Komponenten<br />
• Hardware- und Software-Komponenten<br />
– Redundanzarten<br />
• Verschiedene Redundanzarten (-Strukturen)<br />
• auf allen Ebenen der Systeme<br />
• Komponenten-Redundanz<br />
• Teilsystem-Redundanz<br />
• System-Redundanz<br />
• Hardware- und Software-Redundanz<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
298
§ 11 Zuverlässigkeit komplexer Systeme<br />
ZSA<br />
FTCS-Rechnersystem (1)<br />
– Fault Tolerant Spaceborne Computer (FTCS)<br />
Ein fehlertolerantes System für die Raumfahrt<br />
– Zuverlässigkeitsanforderung<br />
R(t) ≥ 0,95 für den Zeitraum t = 5 Jahre<br />
– Vereinfachte Betrachtung der Anforderung<br />
• Betrachtung nicht reparierbarer Systeme<br />
• Annahme konstanter Ausfallrate des Systems<br />
R(5⋅356⋅24h)<br />
=<br />
λ ⋅43800h<br />
0,00513<br />
λ ≥ = 1,17 ⋅10<br />
43800h<br />
1<br />
6<br />
MTTF = ≥ 8,5 ⋅10<br />
h<br />
λ<br />
e<br />
−λ<br />
43800h<br />
≥ −ln 0,95 =<br />
−7<br />
0,00513<br />
h<br />
≥<br />
−1<br />
0,95<br />
= 117<br />
fit<br />
(fit = 10<br />
= 970Jahre<br />
≅ 1000Jahre<br />
-9<br />
h<br />
−1<br />
)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
299
§ 11 Zuverlässigkeit komplexer Systeme<br />
ZSA<br />
FTCS-Rechnersystem (2)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
300
§ 11 Zuverlässigkeit komplexer Systeme<br />
ZSA<br />
FTCS-Rechnersystem (3)<br />
– Redundanzarten<br />
No. ABR. Functional Elements Redundance<br />
1 CPU CENTRAL PROCESSING UNIT SYSTEM 2a, 2sb<br />
2 CCU CONFIGURATION CONTROL UNIT TMR<br />
3 MS MEMORY SYSTEM 15a, 9sb<br />
4 SDU SERIAL DATA BUS SYSTEM 1 von 2a<br />
5 SIU SERIAL INTERFACE UNIT 1a, 1sb<br />
6 DIU DEVICE INTERFACE UNIT 1 von 2a<br />
7 DMA DIRECT MEMORY ACCESS 1a, 1sb<br />
8 TU TIMING UNIT 1a, 1 sb<br />
9 PU POWER UNIT 1a, 1sb<br />
10 CU CIRCUMVENTION UNIT TMR<br />
11 HT HARDENED TIMER TMR<br />
a<br />
sb<br />
TMR<br />
active modules<br />
stand-by modules<br />
Tripple Modular Redundancy (2v3)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
301
§ 11 Zuverlässigkeit komplexer Systeme<br />
ZSA<br />
FTCS-Rechnersystem (4)<br />
– Stand-by Redundanz<br />
Alle Einheiten sind identisch<br />
MTTF 0 Mittlere Lebensdauer einer Einheit<br />
n Anzahl aktiver Einheiten<br />
m Anzahl der Reserve-Einheiten (Redundanz)<br />
– Mittlere Zeit bis zum Ausfall MTTF (nm)<br />
• Betrachtung von n aktiven Einheiten und 0 Reserve-Einheiten<br />
Serienanordnung<br />
MTTF<br />
MTTF n0 0<br />
=<br />
n<br />
• Betrachtung von m Reserve-Einheiten<br />
Nach Ausfall einer aktiven Einheit wird auf eine Reserve-Einheit<br />
umgeschaltet<br />
( m MTTF<br />
MTTF nm ) ( + 1)<br />
⋅<br />
0<br />
=<br />
n<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
(130)<br />
(131)<br />
302
§ 11 Zuverlässigkeit komplexer Systeme<br />
ZSA<br />
FTCS-Rechnersystem (5)<br />
– Mittlere Zeit bis zum Ausfall der Teilsysteme<br />
MTTF 0 = 10 6 h = 1 Mh Mittlere Lebensdauer einer Einheit<br />
Mh<br />
1 Million Stunden (114 Jahre)<br />
fit 10 -9 h -1<br />
– Vereinfachte Betrachtung<br />
• Betrachtung nicht reparierbarer Systeme<br />
• Annahme konstanter Ausfallrate der Teilsysteme<br />
Struktur MTTF MTTF 0 = 1 Mh λ [fit]<br />
1a 1sb 2. MTTF 0 2 Mh 500<br />
2a 2sb 3. MTTF 0 /2 1,5 Mh 666<br />
15a 9 sb 10. MTTF 0 /15 0,66 Mh 1.500<br />
1 von 2a 3. MTTF 0 /2 1,5 Mh 666<br />
TMR 5. MTTF 0 /6 0,83 Mh 1.200<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
303
§ 11 Zuverlässigkeit komplexer Systeme<br />
ZSA<br />
FTCS-Rechnersystem (6)<br />
– Vereinfachte Betrachtung des Gesamtsystems<br />
No. ABR. Redundance MTTF MTTF 0 =1 Mh λ [fit]<br />
1 CPU 2a, 2sb 3. MTTF 0 /2 1,5 Mh 666<br />
2 CCU TMR 5. MTTF 0 /6 0,83 Mh 1.200<br />
3 MS 15a, 9sb 10. MTTF 0 /15 0,66 Mh 1.500<br />
4 SDU 1 von 2a 3. MTTF 0 /2 1,5 Mh 666<br />
5 SIU 1a, 1sb 2. MTTF 0 2 Mh 500<br />
6 DIU 1 von 2a 3. MTTF 0 /2 1,5 Mh 666<br />
7 DMA 1a, 1sb 2. MTTF 0 2 Mh 500<br />
8 TU 1a, 1sb 2. MTTF 0 2 Mh 500<br />
9 PU 1a, 1sb 2. MTTF 0 2 Mh 500<br />
10 CU TMR 5. MTTF 0 /6 0,83 Mh 1.200<br />
11 HT TMR 5. MTTF 0 /6 0,83 Mh 1.200<br />
Summe 9.098<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
304
§ 11 Zuverlässigkeit komplexer Systeme<br />
ZSA<br />
FTCS-Rechnersystem (7)<br />
– Mittlere Zeit bis zum Ausfall des Systems<br />
1 1<br />
MTTF = = 110000h<br />
= 12, 5Jahre<br />
9098 fit<br />
– Zuverlässigkeit des Systems<br />
R(5Jahre)<br />
=<br />
e<br />
−λ⋅43800h<br />
=<br />
= λ<br />
671<br />
e<br />
−9098<br />
fit⋅43800h<br />
=<br />
e<br />
−0,398<br />
=<br />
0,<br />
– Vergleich mit den Anforderungen:<br />
• R = 0,67 liegt deutlich unter der Anforderung von 0,95<br />
• MTTF = 12,5 Jahre liegt weit unter dem Wert von 1000<br />
– Verbesserung der Zuverlässigkeit<br />
• Verbesserung der Redundanz-Struktur des Systems<br />
• Verbesserung der Redundanz-Struktur der Teilsysteme<br />
• Verbesserung der Zuverlässigkeit der Komponenten<br />
(in der folgenden Tabelle mit Faktor x berechnet)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
305
§ 11 Zuverlässigkeit komplexer Systeme<br />
ZSA<br />
FTCS-Rechnersystem (8)<br />
– Verbesserung der Zuverlässigkeit der Komponenten<br />
Nr. Einheit λ [fit] CPU<br />
10 x besser<br />
Alle<br />
10 x besser<br />
Alle<br />
100 x besser<br />
1 CPU 666 66 66,6 6,66<br />
2 CCU 1.200 1.200 120 12<br />
3 MS 1.500 1.500 150 15<br />
4 SDU 666 666 66,6 6,66<br />
5 SIU 500 500 50 5<br />
6 DIU 666 666 66,6 6,66<br />
7 DMA 500 500 50 5<br />
8 TU 500 500 50 5<br />
9 PU 500 500 50 5<br />
10 CU 1.200 1.200 120 12<br />
11 HT 1.200 1.200 120 12<br />
Summe 9.098 8.498 909,8 90,98<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
306
Zuverlässigkeit und Sicherheit von <strong>Automatisierungs</strong>systemen<br />
ZSA<br />
Gliederung<br />
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
§ 8 Sicherungsmethoden<br />
§ 9 Berechnungsmethoden<br />
§ 10 Vereinfachungen<br />
§ 11 Zuverlässigkeit komplexer Systeme<br />
§ 12 Berechnung von Sicherheitskenngrößen<br />
§ 13 Softwarezuverlässigkeit<br />
§ 14 RAMS-Management<br />
§ 15 Sicherheitsnachweis (SN)<br />
§ 16 Abkürzungen, Literatur<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
307
§ 12 Berechnung von Sicherheitskenngrößen<br />
ZSA<br />
§ 12 Berechnung von Sicherheitskenngrößen<br />
– Zwei Arten von Komponentenausfällen<br />
• sicherheitsbezogene Ausfälle<br />
• nicht sicherheitsbezogene Ausfälle<br />
– Kennzeichnung der Kenngrößen<br />
• X'<br />
mit einem Strich, sicherheitsbezogene Kenngrößen,<br />
die sich nur auf sicherheitsbezogene Ausfälle beziehen<br />
• X"<br />
mit zwei Strichen, nicht sicherheitsbezogene Kenngrößen,<br />
die sich nur auf nicht sicherheitsbezogene Ausfälle beziehen<br />
• X = X' und X"<br />
ohne Strich, zuverlässigkeitsbezogene Kenngrößen,<br />
die sich auf alle Ausfälle beziehen<br />
(132)<br />
(133)<br />
(134)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
308
§ 12 Berechnung von Sicherheitskenngrößen<br />
Ausfallarten und -raten<br />
– Zustandsdiagramm<br />
0<br />
ZSA<br />
fehlerfreier Zustand<br />
1<br />
... ...<br />
2 m m+1 m+2 n<br />
nsb Ausfälle<br />
sb Ausfälle<br />
– Für konstante Ausfallraten:<br />
• Nicht sicherheitsbezogene Ausfallrate (nsb)<br />
"<br />
λ =<br />
m<br />
∑<br />
i=<br />
1<br />
λ<br />
i<br />
(135)<br />
• Sicherheitsbezogene Ausfallrate (sb)<br />
'<br />
λ =<br />
n<br />
∑<br />
i=<br />
m+<br />
1<br />
λ<br />
i<br />
(136)<br />
• Zuverlässigkeitsbezogene Ausfallrate<br />
' "<br />
λ = λ + λ<br />
(137)<br />
• Mittlere Lebensdauer<br />
MTTF<br />
=<br />
1<br />
λ<br />
(138)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
309
§ 12 Berechnung von Sicherheitskenngrößen<br />
ZSA<br />
Berechnung der Kenngrößen (1)<br />
– Keine Instandsetzung nach einem Ausfall<br />
• Vereinfachtes Zustandsdiagramm<br />
λ"<br />
1<br />
fehlerfreier Zustand<br />
λ'<br />
3 2<br />
nsb Ausfall<br />
sb Ausfall<br />
• Markov-Modell:<br />
d<br />
dt<br />
⎡P1<br />
( t)<br />
⎤<br />
⎢ ⎥<br />
⎢<br />
P2<br />
( t)<br />
⎥<br />
⎢⎣<br />
P ( ) ⎥<br />
3<br />
t ⎦<br />
=<br />
⎡−<br />
λ'<br />
⎢<br />
⎢<br />
λ'<br />
⎢⎣<br />
λ''<br />
− λ''<br />
0<br />
0<br />
0⎤<br />
⎡P1<br />
( t)<br />
⎤<br />
0<br />
⎥<br />
⋅<br />
⎢ ⎥<br />
⎥ ⎢<br />
P2<br />
( t)<br />
⎥<br />
0⎥⎦<br />
⎢⎣<br />
P ( ) ⎥<br />
3<br />
t ⎦<br />
(139)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
310
§ 12 Berechnung von Sicherheitskenngrößen<br />
ZSA<br />
Berechnung sicherheitsbezogener Kenngrößen<br />
– Lösung des Differentialgleichungssystems<br />
P<br />
λ<br />
λ<br />
'<br />
−λt<br />
1<br />
( t)<br />
= e<br />
(<br />
−λt<br />
P ( t)<br />
= 1− e )<br />
"<br />
λ<br />
λ<br />
(<br />
−λt<br />
)<br />
2<br />
P ( t)<br />
= 1− e<br />
3<br />
(140)<br />
– Sicherheitsbezogene Ausfallwahrscheinlichkeit<br />
(Gefährdungswahrscheinlichkeit)<br />
Q<br />
'<br />
'<br />
λ<br />
( t)<br />
= P2<br />
( t)<br />
= 1<br />
λ<br />
– Sicherheitsbezogene Überlebenswahrscheinlichkeit<br />
R<br />
'<br />
( t)<br />
= 1−<br />
'<br />
λ<br />
λ<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
(<br />
−λt<br />
− e )<br />
'<br />
'<br />
R ( t)<br />
= 1−<br />
Q ( t)<br />
= 1−<br />
P2<br />
( t)<br />
= P1<br />
( t)<br />
+ P3<br />
"<br />
λ<br />
λ<br />
( t)<br />
"<br />
λ<br />
λ<br />
'<br />
λ<br />
λ<br />
(<br />
−λt<br />
)<br />
−λt<br />
(<br />
−λt<br />
)<br />
−λt<br />
1−<br />
e = e + 1−<br />
e = + e<br />
(141)<br />
(142)<br />
311
§ 12 Berechnung von Sicherheitskenngrößen<br />
ZSA<br />
Berechnung von Zuverlässigkeitskenngrößen<br />
– (Zuverlässigkeitsbezogene) Ausfallwahrscheinlichkeit<br />
Q ( t)<br />
= 1−<br />
P1 ( t)<br />
= P2<br />
( t)<br />
+ P3<br />
( t)<br />
(146)<br />
Q(<br />
t)<br />
λ<br />
λ<br />
λ<br />
λ<br />
'<br />
"<br />
−λt<br />
= 1−<br />
e =<br />
1<br />
(<br />
−λt<br />
) (<br />
−λt<br />
1−<br />
e + − e )<br />
(147)<br />
– (Zuverlässigkeitsbezogene) Überlebenswahrscheinlichkeit<br />
R( t)<br />
= P1<br />
( t)<br />
=<br />
e<br />
−λt<br />
(148)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
312
§ 12 Berechnung von Sicherheitskenngrößen<br />
ZSA<br />
Abschätzung der Kenngrößen<br />
– Kurze Betriebsdauer<br />
Annahme: λt ist sehr klein 0 < λt
§ 12 Berechnung von Sicherheitskenngrößen<br />
ZSA<br />
Numerisches Beispiel<br />
– Ausfallraten<br />
λ<br />
−5<br />
−1<br />
−5<br />
−1<br />
−5<br />
−1<br />
= 10 h , λ'<br />
= 0,01⋅10<br />
h , λ''<br />
= 0,99⋅10<br />
h<br />
– Mittlere Lebensdauer<br />
1<br />
MTTF = 100000h<br />
=<br />
λ<br />
= 100h,<br />
λt<br />
= 0,001, 0 < 0,001
§ 12 Berechnung von Sicherheitskenngrößen<br />
ZSA<br />
Vergleich der Kenngrößen t < 1000h<br />
– Kleine Betriebszeiten<br />
genau linear exp<br />
1,00E-04<br />
9,00E-05<br />
8,00E-05<br />
7,00E-05<br />
6,00E-05<br />
5,00E-05<br />
4,00E-05<br />
3,00E-05<br />
2,00E-05<br />
1,00E-05<br />
0,00E+00<br />
0<br />
50<br />
100<br />
150<br />
200<br />
250<br />
300<br />
350<br />
400<br />
450<br />
500<br />
550<br />
600<br />
650<br />
700<br />
750<br />
800<br />
850<br />
900<br />
950<br />
1.000<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
315
ZSA<br />
1.000.000<br />
950.000<br />
900.000<br />
850.000<br />
800.000<br />
750.000<br />
Vergleich der Kenngrößen t >100000h<br />
– Große Betriebszeiten<br />
1,00E-01<br />
9,00E-02<br />
8,00E-02<br />
7,00E-02<br />
6,00E-02<br />
5,00E-02<br />
4,00E-02<br />
3,00E-02<br />
2,00E-02<br />
1,00E-02<br />
0,00E+00<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
316<br />
0<br />
50.000<br />
100.000<br />
150.000<br />
200.000<br />
250.000<br />
300.000<br />
350.000<br />
400.000<br />
450.000<br />
500.000<br />
550.000<br />
600.000<br />
650.000<br />
700.000<br />
§ 12 Berechnung von Sicherheitskenngrößen<br />
genau linear exp<br />
MTTF
§ 12 Berechnung von Sicherheitskenngrößen<br />
ZSA<br />
Berechnung der Kenngrößen (2)<br />
– Instandsetzung nach einem Ausfall<br />
Eine Instandsetzung wird nur nach einem nicht sicherheitsbezogenen<br />
Ausfall vorgenommen<br />
• Vereinfachtes Zustandsdiagramm<br />
μ"<br />
fehlerfreier Zustand<br />
1<br />
λ"<br />
λ'<br />
3 2<br />
• Markov-Modell:<br />
nsb Ausfall<br />
sb Ausfall<br />
d<br />
dt<br />
⎡P1<br />
( t)<br />
⎤<br />
⎢ ⎥<br />
⎢<br />
P2<br />
( t)<br />
⎥<br />
⎢⎣<br />
P ( ) ⎥<br />
3<br />
t ⎦<br />
=<br />
⎡−<br />
λ'<br />
−λ''<br />
⎢<br />
⎢<br />
λ'<br />
⎢⎣<br />
λ''<br />
0<br />
0<br />
0<br />
μ''<br />
⎤ ⎡P1<br />
( t)<br />
⎤<br />
0<br />
⎥<br />
⋅<br />
⎢ ⎥<br />
⎥ ⎢<br />
P2<br />
( t)<br />
⎥<br />
− μ''<br />
⎥⎦<br />
⎢⎣<br />
P ( ) ⎥<br />
3<br />
t ⎦<br />
(155)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
317
§ 12 Berechnung von Sicherheitskenngrößen<br />
ZSA<br />
Berechnung der Kenngrößen (3)<br />
– Lösung des Differentialgleichungssystems<br />
" ' "<br />
λ − λ + μ − r<br />
P2<br />
( t)<br />
= 1+<br />
e<br />
2r<br />
" ' "<br />
λ − λ + μ + r<br />
+<br />
e<br />
2r<br />
wobei r wird bestimmt durch<br />
"<br />
−( λ+<br />
μ + r )t<br />
"<br />
−( λ+<br />
μ −r<br />
)t<br />
(156)<br />
r<br />
=<br />
"2 " " ' 2<br />
μ + 2μ<br />
( λ − λ ) + λ<br />
(157)<br />
– Kurze Betriebsdauer<br />
Der Wert μ" sei wesentlich größer als λ, μ" >> λ<br />
– Sicherheitsbezogene Ausfallwahrscheinlichkeit<br />
'<br />
Q ( t)<br />
= P2<br />
( t)<br />
≅ 1−<br />
e<br />
'<br />
−λ<br />
t<br />
(158)<br />
(159)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
318
§ 12 Berechnung von Sicherheitskenngrößen<br />
ZSA<br />
Berechnung der Kenngrößen (4)<br />
– Betrachtung der reinen Betriebszeit (up time)<br />
• Die Berechnung der sicherheitsbezogenen Kenngrößen wird nur auf<br />
die reine Betriebszeit bezogen.<br />
• Die Zeit der Instandsetzung (außer Betrieb d.h. down time) geht in die<br />
Berechnung nicht ein.<br />
• Die fehlerhafte Bewertung "Je länger außer Betrieb, um so sicherer"<br />
wird somit vermieden<br />
Betrieb<br />
System in Betrieb<br />
ein<br />
aus<br />
System ausgefallen, außer Betrieb oder wird instand gesetzt<br />
t<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
319
§ 12 Berechnung von Sicherheitskenngrößen<br />
ZSA<br />
Berechnung der Kenngrößen (5)<br />
– Betrachtung der reinen Betriebszeit (up time)<br />
• Dieser Fall ist mit Instandsetzungszeiten gleich Null identisch<br />
MTTR" → 0, μ" → ∞<br />
(160)<br />
Betrieb<br />
System in Betrieb<br />
ein<br />
aus<br />
Instandsetzungszeit = 0<br />
t<br />
– Sicherheitsbezogene Ausfallwahrscheinlichkeit<br />
Q<br />
'<br />
( t)<br />
= lim P ( t)<br />
1 e<br />
" 2<br />
= −<br />
μ →∞<br />
'<br />
−λ<br />
t<br />
(161)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
320
§ 12 Berechnung von Sicherheitskenngrößen<br />
ZSA<br />
Berechnung der Kenngrößen (6)<br />
– Vereinfachtes Zustandsdiagramm<br />
Für μ" → ∞kann man die Zustände 1 und 3 zusammenlegen<br />
λ'<br />
1<br />
2<br />
fehlerfreier Zustand<br />
sicherheitsbezogene Ausfallrate<br />
sicherheitsbezogener Ausfall<br />
– Mittlere Zeit bis zum sicherheitsbezogenen Ausfall<br />
MTTF' = MTDF = 1 / λ'<br />
MTDF<br />
(Mean Time to Dangerous Failure)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
321
§ 12 Berechnung von Sicherheitskenngrößen<br />
ZSA<br />
Beispiel: Fußgängerampel (1)<br />
– Beispiel nach VDI/VDE 3542 Blatt 3<br />
• Die Sicherheitsaspekte sind allgemein bekannt<br />
• Das System wird stark vereinfacht<br />
– Das System<br />
• Zwei Lichtsignale<br />
• Rotsignal für Kraftfahrzeuge<br />
• Grünsignal für Fußgänger<br />
• Zwei ordnungsgemäße Zustände<br />
• Beide Signallampen leuchten<br />
• Beide Signallampen sind dunkel<br />
• Ein- und Ausschalten der Signale<br />
• Einschalten <strong>vom</strong> Fußgänger durch Betätigen einer Taste<br />
• Ausschalten automatisch nach einer festgelegten Zeit<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
322
§ 12 Berechnung von Sicherheitskenngrößen<br />
ZSA<br />
Beispiel: Fußgängerampel (2)<br />
Gesamtsituation<br />
T 2<br />
L r<br />
L g<br />
T 1<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
323
§ 12 Berechnung von Sicherheitskenngrößen<br />
ZSA<br />
Beispiel: Fußgängerampel(3)<br />
– Realisierung<br />
• Betrachtungseinheit A ohne Redundanz<br />
• Betrachtungseinheit B mit einer redundanten Komponente<br />
– Stromlaufplan für Betrachtungseinheit A<br />
SV<br />
T 1 T 2 L g<br />
L r<br />
ZR<br />
K<br />
SV Hilfsenergieversorgung T 1 , T 2 Taster<br />
ZR Zeitrelais L g , L r Signalleuchten (grün:<br />
Fußgänger; rot: Kfz<br />
K Schließkontakt des ZR<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
324
§ 12 Berechnung von Sicherheitskenngrößen<br />
ZSA<br />
Beispiel: Fußgängerampel (4)<br />
− Ausfallarten und -raten für Betrachtungseinheit A<br />
i Komp. Ausfallart Ausfall λ i<br />
1 SV Keine Spannung nsb λ 1<br />
2 T 1 Kein Kontakt nsb λ 2<br />
3 T 2 Kein Kontakt nsb λ 3<br />
4 ZR Kein Anziehen nsb λ 4<br />
5 K Kein Kontakt nsb λ 5<br />
6 L g unterbrochen nsb λ 6<br />
7 L r unterbrochen sb λ 7<br />
nsb<br />
sb<br />
nicht sicherheitsbezogener Ausfall<br />
sicherheitsbezogener Ausfall<br />
Annahmen:<br />
λ i = λ 0 = 10 -4 h -1 = konstant , i=1, 2, ... 7<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
325
§ 12 Berechnung von Sicherheitskenngrößen<br />
ZSA<br />
Beispiel: Fußgängerampel (5)<br />
– Zustandsdiagramm für Betrachtungseinheit A:<br />
Sichere Zustände<br />
μ"<br />
λ"<br />
1<br />
3 2<br />
fehlerfreier Zustand<br />
λ'<br />
nsb Ausfall<br />
sb Ausfall<br />
– Vereinfachtes Zustandsdiagramm:<br />
1<br />
fehlerfreier Zustand<br />
λ'<br />
sicherheitsbezogene Ausfallrate<br />
2<br />
sicherheitsbezogener Ausfall<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
326
§ 12 Berechnung von Sicherheitskenngrößen<br />
ZSA<br />
Beispiel: Fußgängerampel (6)<br />
– Nicht sicherheitsbezogene (nsb) und sicherheitsbezogene (sb) Ausfallrate:<br />
6<br />
" −4<br />
−1<br />
λ = ∑ λ i<br />
= 6 ⋅10<br />
h , '<br />
−4<br />
−1<br />
λ = λ = 10 h<br />
i=<br />
1<br />
– Ausfallrate und Mittlere Lebensdauer:<br />
'<br />
−4<br />
λ = λ + λ = 7 ⋅10<br />
h<br />
" −1<br />
– Sicherheitsbezogene Ausfallwahrscheinlichkeit:<br />
'<br />
Q ( t)<br />
= 1−<br />
e<br />
'<br />
−λt<br />
– Sicherheitsbezogene Überlebenswahrscheinlichkeit:<br />
'<br />
– Mittlere Zeit bis zum sicherheitsbezogenen Ausfall:<br />
,<br />
7<br />
MTTF = 1 / λ = 1. 428 h<br />
, für t = 10000h<br />
ist Q'<br />
= 0,632<br />
'<br />
( ) = − λt<br />
R t e , für t = 10000h<br />
ist R'<br />
= 0,368<br />
MTTF<br />
'<br />
= λ<br />
'<br />
1 / =<br />
10<br />
4<br />
h<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
327
§ 12 Berechnung von Sicherheitskenngrößen<br />
ZSA<br />
Beispiel: Fußgängerampel (7)<br />
– Bewertung der Betrachtungseinheit A<br />
• Die Betrachtungseinheit A erfüllt die Forderung nach<br />
hoher Sicherheit nicht<br />
• Die sicherheitsbezogene Ausfallrate von 10 -4 h -1 ist viel zu hoch<br />
• Die mittlere Zeit bis zum sicherheitsbezogenen Ausfall von<br />
10000h ist zu niedrig<br />
– Verbesserung der Realisierung<br />
• Eine Verbesserung der Realisierung kann in verschiedener Form<br />
vorgenommen werden<br />
• Im weiteren wird nur eine sehr einfache Form der Verbesserung durch<br />
Redundanz vorgeschlagen, und die Wirkung quantitativ berechnet<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
328
§ 12 Berechnung von Sicherheitskenngrößen<br />
ZSA<br />
Beispiel: Fußgängerampel (8)<br />
– Betrachtungseinheit B<br />
• Die rote Signalleuchte wird redundant realisiert<br />
• Die Ausfalloffenbarung sei τ = 1/ε = 10h, ε = 0,1/h<br />
– Stromlaufplan für Betrachtungseinheit B<br />
SV<br />
T 1 T 2 L g<br />
L r2<br />
L r1<br />
ZR<br />
K<br />
τ<br />
mittlere Zeit für die Ausfallerkennung der roten Signalleuchte<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
329
§ 12 Berechnung von Sicherheitskenngrößen<br />
ZSA<br />
Beispiel: Fußgängerampel (9)<br />
Zustandsdiagramm<br />
für Betrachtungseinheit B<br />
Vereinfachtes<br />
Zustandsdiagramm<br />
Sichere Zustände<br />
μ"<br />
1<br />
λ"<br />
fehlerfreier Zustand<br />
ε<br />
2λ 0<br />
4 2<br />
nsb Ausfall<br />
λ 0<br />
3<br />
sb Ausfall<br />
fehlerfreier Zustand<br />
2λ 0 ε<br />
1<br />
2<br />
λ 0<br />
3<br />
sb Ausfall<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
330
§ 12 Berechnung von Sicherheitskenngrößen<br />
ZSA<br />
Beispiel: Fußgängerampel (10)<br />
– Mittlere Zeit bis zum sicherheitsbezogenen Ausfall:<br />
2<br />
2<br />
6<br />
( 3λ<br />
+ ε )/<br />
2λ<br />
≅ ε / 2 = 5⋅<br />
h<br />
MTTF ' =<br />
0 0<br />
λ0<br />
10<br />
– Sicherheitsbezogene (sb) Ausfallrate:<br />
'<br />
λ<br />
≅ 1/<br />
MTTF<br />
'<br />
=<br />
2λ<br />
/ ε =<br />
2<br />
0<br />
2⋅10<br />
−7<br />
h<br />
−1<br />
– Sicherheitsbezogene Ausfallwahrscheinlichkeit:<br />
'<br />
Q ( t)<br />
= 1−<br />
e<br />
'<br />
−λt<br />
,<br />
für<br />
t<br />
= 10.000h ist<br />
Q'<br />
=<br />
0,002<br />
– Sicherheitsbezogene Überlebenswahrscheinlichkeit<br />
'<br />
R ( t)<br />
'<br />
= − λ t<br />
e , für t = 10.000h ist R'<br />
=<br />
0,998<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
331
§ 12 Berechnung von Sicherheitskenngrößen<br />
ZSA<br />
Beispiel: Fußgängerampel (11)<br />
– Vergleich der Realisierung A und B<br />
• τ = 10h<br />
Einheit MTTF'<br />
10 4 h<br />
λ'<br />
10 -4 /h<br />
Q'<br />
t=10.000<br />
R'<br />
t=10.000<br />
A 1 1 0,368 0,632<br />
B 500 0,002 0,002 0,998<br />
• τ = 0,1h (6 Minuten)<br />
Diese Zeit kann durch automatische Ausfallerkennung und<br />
anschließender Abschaltung erreicht werden<br />
Einheit<br />
MTTF'<br />
10 4 h<br />
λ'<br />
10 -4 /h<br />
Q'<br />
t=10.000<br />
R'<br />
t=10.000<br />
A 1 1 0,368 0,632<br />
B 5.10 4 2.10 -5 2.10 -5 1-2.10 -5<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
332
Zuverlässigkeit und Sicherheit von <strong>Automatisierungs</strong>systemen<br />
ZSA<br />
Gliederung<br />
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
§ 8 Sicherungsmethoden<br />
§ 9 Berechnungsmethoden<br />
§ 10 Vereinfachungen<br />
§ 11 Zuverlässigkeit komplexer Systeme<br />
§ 12 Berechnung von Sicherheitskenngrößen<br />
§ 13 Softwarezuverlässigkeit<br />
§ 14 RAMS-Management<br />
§ 15 Sicherheitsnachweis (SN)<br />
§ 16 Abkürzungen, Literatur<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
333
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Unzuverlässige Software in der Presse<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
334
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Zuverlässigkeitsmodelle für Software<br />
– Klassifizierung<br />
• Zeitabhängige Modelle<br />
Die verwendeten Daten haben jeweils zeitlichen Bezug<br />
• Shooman Modell<br />
• Jelinski-Moranda-Modell<br />
• Poisson-Modell<br />
• Schick-Wolverton-Modell<br />
• Zeitunabhängige Modelle<br />
Zeitunabhängige Testergebnisse werden verwendet<br />
• Mill-Modell<br />
• Lipow-Modell<br />
• Rudner-Modell<br />
• Nelson-Modell<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
335
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Zeitabhängige Modelle<br />
– Prozess der Fehlererkennung und Korrektur<br />
• Die Anzahl der Fehler eines Programms<br />
• Hängt von der Komplexität des Programms ab<br />
• Einfachste Metriken für Komplexität:<br />
LOC (Lines of Code), Zahl der Programmanweisungen<br />
• Fehlerrate<br />
• Anzahl der in einer Zeiteinheit aufgetretenen Fehler hängt von der<br />
Gesamtzahl der Fehler im Programm ab<br />
• Fehlerkorrektur<br />
• Durch die Fehlerbehebung verringert sich die Anzahl der Fehler im<br />
Programm<br />
• Im Idealfall wird jeder Fehler richtig korrigiert<br />
• In der Praxis können neue Fehler dazukommen<br />
• Mittlere Zeit zwischen zwei erkannten Fehlern<br />
• Die Zeit wird nach jeder Korrektur größer<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
336
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Shooman Modell (1)<br />
– Das Prinzip<br />
Die Fehlerrate von Software ist der Zahl der im Programm enthaltenen<br />
Fehler (Restfehler) proportional<br />
– Anzahl der Fehler<br />
• E r = E - E c<br />
• E Anzahl der Fehler zu Beginn der Tests<br />
• E c , E r Anzahl der korrigierten Fehler und der Restfehler<br />
– Fehlerrate<br />
λ<br />
sw<br />
( t)<br />
= c ⋅<br />
Er<br />
( τ )<br />
I<br />
c Proportionalitätskonstante<br />
I Anzahl der Programmanweisungen (Instruction)<br />
τ, t Testzeit, Betriebszeit<br />
E, c unbekannte Modellparameter<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
E<br />
= c ⋅<br />
− E<br />
I<br />
c<br />
( τ )<br />
(162)<br />
337
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Shooman Modell (2)<br />
– Gesamtzahl der Fehler E<br />
Die Summe E der korrigierten Fehler E c und der Restfehler E r<br />
konstant angenommen.<br />
wird als<br />
• E<br />
=<br />
E c (τ) + E r (τ) = konstant<br />
Der Wert E entspricht der Zahl der zu Beginn der Testzeit im<br />
Programm vorhandenen Fehler.<br />
– Relative Fehlerzahl (Fehlerdichte) ε<br />
Bezogen auf die Anzahl der Programmanweisungen I<br />
Ec<br />
( τ ) Er<br />
( τ ) E − Ec<br />
( τ ) E<br />
ε c ( τ ) , ε<br />
r<br />
( τ ) = = = − ε<br />
c<br />
( τ )<br />
I<br />
I I I<br />
= (163)<br />
ε c<br />
ε r<br />
Anzahl der korrigierten Fehler pro Anweisung<br />
Anzahl der Restfehler pro Anweisung<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
338
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Shooman Modell (3)<br />
– Überlebenswahrscheinlichkeit R sw (t)<br />
−c⋅⎜<br />
−ε<br />
c ( τ ) ⎟⋅t<br />
−λsw⋅t<br />
−c⋅ε<br />
r ( τ ) ⋅t<br />
⎝ ⎠<br />
Rsw(<br />
t)<br />
= e = e = e<br />
– Voraussetzung:<br />
Die Fehlerrate ist im Zeitintervall bis zur nächsten Korrektur konstant<br />
λ ( t)<br />
= λ sw sw = konstant, im Zeitintervall [0, t]<br />
– Mittlere Zeit bis zum Fehler MTTF sw<br />
MTTF<br />
sw<br />
=<br />
1<br />
λ<br />
sw<br />
=<br />
⎛<br />
c ⋅⎜<br />
⎝<br />
E<br />
I<br />
1<br />
⎞<br />
−ε<br />
c<br />
( τ ) ⎟<br />
⎠<br />
⎛<br />
E<br />
I<br />
⎞<br />
(164)<br />
(165)<br />
(166)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
339
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Shooman Modell (4)<br />
– Daten zur Berechnung der Modellparameter<br />
• Testintervalle<br />
Zwei Testintervalle τ 1 und τ 2 werden betrachtet<br />
• Korrigierte Fehler<br />
Anzahl der in den Testintervallen korrigierten Fehler<br />
E c (τ 1 ) < E c (τ 2 ) , für τ 1 < τ 2<br />
• Abschätzung der Fehlerrate<br />
λ ( t)<br />
=<br />
sw1<br />
λ ( t)<br />
=<br />
sw2<br />
E<br />
E<br />
(167)<br />
c<br />
( τ1)<br />
(168)<br />
H1<br />
c(<br />
τ<br />
2)<br />
(169)<br />
H<br />
2<br />
Testintervallen τ 1 und τ 2<br />
H1, H2 fehlerfreie Testzeiten in den<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
340
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Shooman Modell (5)<br />
– Ableitung der Modellparameter<br />
• Fehlerrate<br />
λ<br />
sw<br />
Er<br />
( τ ) ⎛ E ⎞<br />
( t)<br />
= c ⋅ = c ⋅⎜<br />
−ε<br />
c(<br />
τ ) ⎟<br />
I ⎝ I ⎠<br />
• Proportionalitätskonstante c<br />
c<br />
=<br />
E<br />
I<br />
λ<br />
sw<br />
−ε<br />
c<br />
(τ )<br />
• Die Konstante c ist für beide Testintervalle identisch<br />
(170)<br />
(171)<br />
c<br />
=<br />
E<br />
I<br />
λsw<br />
1<br />
λsw2<br />
=<br />
E<br />
−ε<br />
c<br />
( τ1)<br />
−ε<br />
c<br />
( τ<br />
2)<br />
I<br />
(172)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
341
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Shooman Modell (6)<br />
– Weitere Umformungen<br />
E<br />
I<br />
E<br />
I<br />
λ<br />
( λ<br />
1<br />
− λ<br />
2<br />
) = ε τ<br />
2)<br />
λ<br />
1<br />
− ε ( τ1)<br />
λ<br />
2<br />
sw<br />
sw<br />
E<br />
I<br />
sw1 − ε<br />
c<br />
( τ<br />
2)<br />
λsw<br />
1<br />
= λsw2<br />
−ε<br />
c<br />
( τ1)<br />
λsw2<br />
c<br />
(<br />
sw c sw<br />
E<br />
I<br />
E<br />
I<br />
E<br />
I<br />
=<br />
=<br />
=<br />
ε ( τ<br />
c<br />
2<br />
) λsw<br />
1<br />
−ε<br />
c<br />
( τ1)<br />
( λ − λ )<br />
sw1<br />
sw2<br />
sw2<br />
ε<br />
c<br />
( τ<br />
2)<br />
−ε<br />
c<br />
( τ1)<br />
λ<br />
1−<br />
λ / λ<br />
ε<br />
c<br />
( τ1)<br />
λ<br />
λ<br />
sw2<br />
sw2<br />
/ λ<br />
/ λ<br />
sw1<br />
sw1<br />
sw2<br />
sw1<br />
λ<br />
sw2<br />
/ λ<br />
sw1<br />
−ε<br />
c<br />
( τ<br />
2)<br />
−1<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
342
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Shooman Modell (7)<br />
– Die Berechnung des Modell-Parameters E<br />
E<br />
=<br />
I<br />
⋅<br />
( λ / λ )<br />
– Die Berechnung des Modell-Parameters c<br />
– Änderung der Fehlerrate<br />
⋅ε<br />
c<br />
( τ1)<br />
− ε<br />
c<br />
( τ<br />
2)<br />
/ λ −1<br />
sw2<br />
sw1<br />
(173)<br />
λsw2<br />
sw1<br />
λsw<br />
1<br />
λsw2<br />
c = I ⋅ = I ⋅<br />
(174)<br />
E − Ec<br />
( τ1)<br />
E − Ec<br />
( τ<br />
2)<br />
c<br />
λsw<br />
1<br />
− λsw2<br />
= ( Ec<br />
( τ<br />
2)<br />
− Ec(<br />
τ1)<br />
)<br />
(175)<br />
I<br />
Δλ = c<br />
(176)<br />
sw<br />
– Änderung der Fehlerrate pro Fehlerkorrektur<br />
I<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
343
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Numerisches Beispiel (1)<br />
– Anweisungen eines Programmsystem<br />
Ein Programmsystem hat I = 1000 Anweisungen<br />
– Testintervalle<br />
τ 1 = 20 Tage, τ 2 = 40 Tage<br />
– Fehlerfreie Testzeiten<br />
Pro Tag werden 5 Stunden fehlerfreie Testzeit angenommen<br />
H 1 = 100 h, H 2 = 200 h<br />
– Anzahl der korrigierten Fehler<br />
E c (τ 1 ) = 16, ε c (τ 1 ) = 16/1000 = 0,016<br />
E c (τ 2 ) = 24, ε c (τ 2 ) = 24/1000 = 0,024<br />
– Abschätzung der Fehlerraten<br />
λ sw1 = 16/100h = 0,16/h<br />
= 24/200h = 0,12/h<br />
λ sw2<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
344
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Numerisches Beispiel (2)<br />
– Modellparameter<br />
• Gesamtzahl der Fehler E<br />
( 0,12 / 0,16)<br />
⋅0,016<br />
− 0,024<br />
E = 1000 ⋅<br />
=<br />
0,12 / 0,16 −1<br />
• Proportionalitätskonstante c<br />
48<br />
0,16 0,12<br />
c = 1000 ⋅ = 1000⋅<br />
= 5<br />
48 −16<br />
48 − 24<br />
• Änderung der Fehlerrate pro Fehlerkorrektur<br />
Δλ<br />
sw<br />
=<br />
5<br />
1000<br />
=<br />
0,005<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
345
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Zeitunabhängige Modelle<br />
– Tests für zeitunabhängige Modelle<br />
• Eine große Zahl von Tests wird durchgeführt<br />
• Alle Tests sind von einander unabhängig<br />
• Die Zeit der Testdurchführung hat keine Bedeutung<br />
– Testergebnisse<br />
• Jeder Test liefert eine eindeutige Aussage<br />
• Funktion in Ordnung<br />
• Funktion fehlerhaft<br />
• Ein erkannter Fehler wird nur einmal gezählt<br />
– Auswertung der Daten<br />
Die erhaltenen Daten werden statistisch ausgewertet<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
346
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Mill-Modell (Fehlersaat-Verfahren)<br />
– Voraussetzungen<br />
• Gleiche Wahrscheinlichkeit für jeden Fehler erkannt zu werden<br />
• Anzahl der eingebauten >> Anzahl der echten Fehler<br />
– Zahl der Fehler<br />
• X Gesamtzahl der echten Fehler<br />
• Y Gesamtzahl der eingebauten Fehler<br />
• U Zahl der erkannten echten Fehler<br />
• V Zahl der erkannten eingebauten Fehler<br />
– Folgender Zusammenhang wird angenommen<br />
X<br />
Y<br />
U<br />
= ,<br />
V<br />
Y<br />
>><br />
X<br />
– Abschätzung der Zahl der echten Fehler<br />
U<br />
X = Y<br />
V<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
(177)<br />
(178)<br />
347
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Wodurch wird Software qualitativ hochwertig?<br />
Sind alle notwendigen<br />
Funktionen in der<br />
Software enthalten?<br />
Wie einfach ist es,<br />
die Software auf eine<br />
andere Umgebung<br />
zu portieren?<br />
Übertragbarkeit<br />
Funktionalität<br />
Zuverlässigkeit<br />
Wie zuverlässig<br />
ist die Software?<br />
Qualität<br />
Wie einfach ist<br />
Software<br />
zu ändern?<br />
Änderbarkeit<br />
Effizienz<br />
Benutzbarkeit<br />
Ist die Software<br />
einfach<br />
zu benutzen?<br />
Wie effizient ist<br />
die Software?<br />
[ISO/IEC 9126:1991]<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
348
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Quantitative Software Reliability: To Use Or Not To Use?<br />
[1994 Lyu et al.]<br />
[2002 Shull Basili Boehm et al.]<br />
Frühzeitige quantitative Zuverlässigkeitsanalyse<br />
spart Zeit und Kosten<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
349
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Quantifizierung der Softwarezuverlässigkeit<br />
– Qualitative Aussage "möglichst zuverlässig" nicht nachprüfbar<br />
– Beantwortung der Frage "Wie zuverlässig ist zuverlässig?“<br />
• 100%ige Zuverlässigkeit ist unmöglich<br />
– „Engineering“ der Zuverlässigkeit<br />
• So viel Zuverlässigkeit wie nötig<br />
• So wenig Aufwand an Zeit und Kosten wie möglich<br />
– Vergleich mit Brückenbau<br />
• Auslegung der Brücke für eine<br />
bestimmte Belastung<br />
(Anzahl + Gewicht der Fahrzeuge)<br />
• Berechnung und Simulation<br />
der Lebensdauer der Brücke<br />
zur Absicherung<br />
[SFB398]<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
Zusammenbruch der Tacoma Brücke<br />
(1940)<br />
350
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Messung der Softwarezuverlässigkeit (1)<br />
− Quantitative Zuverlässigkeit:<br />
Wahrscheinlichkeit, dass ein System innerhalb eines Zeitintervalls unter<br />
festgelegten Betriebsbedingungen seine Funktion erfüllt<br />
[IEC60050]<br />
Test / Betrieb<br />
Eingaben<br />
System<br />
Ausgaben<br />
Empirische Daten:<br />
Zeitpunkte, an denen<br />
das System versagt<br />
5h<br />
7,5h<br />
8h<br />
<br />
<br />
<br />
Verlauf der<br />
Zuverlässigkeit<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
351
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Messung der Softwarezuverlässigkeit (2)<br />
─ Zuverlässigkeitsmodell:<br />
Mathematisches Modell zur Berechnung der Zuverlässigkeit mittels<br />
wahrscheinlichkeitstheoretischer Methoden<br />
[IEC60050]<br />
Gesucht: Ableitung der<br />
Zuverlässigkeit aus vorhandenen<br />
empirischen Daten<br />
Welches Modell<br />
ist das richtige?<br />
Empirische Daten:<br />
Zeitpunkte, an denen<br />
das System versagt<br />
5h<br />
7,5h<br />
8h<br />
<br />
<br />
<br />
?<br />
Verlauf der<br />
Zuverlässigkeit<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
352
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Kurze Historie der Zuverlässigkeitsmodelle<br />
1975 Musa-Modell<br />
1975 Schneidewind-<br />
1991 Shooman-<br />
Modell<br />
Modell<br />
1998 Gokhale-<br />
1973 Littlewood-<br />
1984 Dunn-Modell Modell<br />
Verrall-Modell<br />
1984 Musa-<br />
1999-2007<br />
1973 Schick-<br />
Wolverton-Modell<br />
Okumoto-Modell<br />
Cukic-Modell<br />
1972 Jelinski-<br />
Moranda-Modell<br />
1979 Goel-<br />
Okumoto-Modell<br />
2007<br />
# Modelle > 100<br />
1972 1980 1990<br />
2000<br />
Jahr<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
353
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Klassifikation von Zuverlässigkeitsmodellen nach<br />
Entwicklungsphasen<br />
Entwicklungsphasen<br />
Anforderungen Entwurf Implementierung Test Feldeinsatz<br />
Frühzeitige Prognosemodelle<br />
Architekturbasierte Modelle<br />
Zuverlässigkeitswachstumsmodelle<br />
Andere Modelle<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
354
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Frühzeitige Prognosemodelle (1)<br />
−<br />
Empirische Daten der Software<br />
• Komplexität<br />
• Größe des Quellcodes<br />
Computersystem<br />
Software<br />
Wahrscheinlichkeit, dass<br />
Fehler zu Versagen führt<br />
Frühzeitige<br />
Prognosemodelle<br />
+<br />
Fehlerdichte<br />
Prognostizierte<br />
SW-Zuverlässigkeit<br />
z. B. D = 4,86 + 0,018 * L<br />
Anzahl Quellcodezeilen<br />
Konstanten aus empirischen Untersuchungen<br />
Prognostizierte Anzahl der Fehler im Quellcode<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
355
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Frühzeitige Prognosemodelle (2)<br />
Beurteilung:<br />
+ Anwendbar in frühen Entwicklungsphasen durch Schätzung der<br />
Eigenschaften<br />
– Geringe Genauigkeit, da kein signifikanter Zusammenhang zwischen<br />
Eigenschaften der Software und der Anzahl der Fehler nachweisbar<br />
[1999 Fenton Ohlsson]<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
356
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Architekturbasierte Modelle (1)<br />
[2001 Goseva–Popstojanova et al.]<br />
− Empirische Daten<br />
• Modul – Zuverlässigkeiten<br />
• Ausführungshäufigkeit der Module<br />
Computersystem<br />
Software<br />
SW-Architektur<br />
Architekturbasierte<br />
Modelle<br />
SW-Zuverlässigkeit<br />
abhängig von Modulen<br />
z. B. Shooman-Modell<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
357
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Architekturbasierte Modelle (2)<br />
Beurteilung:<br />
+ Hohe Genauigkeit der Modelle bei präzisen Eingabedaten<br />
+ Einfluss einzelner Module auf Systemzuverlässigkeit analysierbar<br />
– Zuverlässigkeiten einzelner Module häufig unbekannt<br />
– Bestimmung der Ausführungshäufigkeiten in der Praxis schwierig<br />
(in frühen Entwicklungsphasen unbekannt)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
358
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Zuverlässigkeitswachstumsmodelle (1)<br />
[1996 Lyu]<br />
− Empirische Daten<br />
• Versagenszeitpunkte der Software<br />
Computersystem<br />
Software<br />
Zuverlässigkeitswachstumsmodelle<br />
Verlauf der<br />
SW-<br />
Zuverlässigkeit<br />
z. B. Jelinski-Moranda-Modell<br />
Zuverlässigkeit nimmt<br />
stetig zu<br />
(alle Fehler lokalisiert und<br />
korrekt beseitigt)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
359
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Zuverlässigkeitswachstumsmodelle (1)<br />
Beurteilung:<br />
+ Hohe Genauigkeit bei Auswertung empirischer Daten aus Test und Betrieb<br />
– Zuverlässigkeitsmodelle setzen Annahmen voraus, die in der Praxis nicht<br />
zutreffen<br />
– Keine empirischen Daten in frühen Entwicklungsphasen verfügbar<br />
– Übertragbarkeit von Ergebnissen früherer Systeme nicht möglich,<br />
da individuell entwickelte Software nicht über Systeme hinweg vergleichbar<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
360
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Heutige Probleme mit klassischen Zuverlässigkeitsmodellen<br />
– Verfügbarkeit empirischer Daten<br />
• Notwendige Daten werden häufig gar nicht oder nicht systematisch<br />
erfasst<br />
• In frühen Entwicklungsphasen sind keine empirischen Daten über zu<br />
entwickelnde Software verfügbar<br />
• Aufwand für den Aufbau von Datenbasen ist sehr hoch (z. B. durch<br />
manuelle Klassifikation aufgetretener Fehler)<br />
– Anwendbarkeit der Modelle im Entwicklungsprozess<br />
• Keine Modelle mit guter Genauigkeit für frühe Entwicklungsphasen<br />
• Zuverlässigkeitsaussagen (z. B. 10 -3 Versagensfälle / Anforderung)<br />
schwer interpretierbar<br />
Entwicklung eines Konzepts für die<br />
frühzeitige Zuverlässigkeitsanalyse<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
361
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Lösungsansatz in anderen Ingenieurbereichen:<br />
Komponenten<br />
−<br />
−<br />
Kleinstbausteine werden durch vorgefertigte Komponenten ersetzt, für die<br />
bereits empirische Zuverlässigkeitsdaten vorliegen<br />
Beispiele für vorgefertigte Komponenten:<br />
• Maschinenbau: Kfz-Triebstrang aus Kupplung, Wandler, Differenzial,<br />
Wellen, Gelenken, Bedienelementen …<br />
• Elektrotechnik: Fernseher aus Empfänger, Bildröhre,<br />
Bedienelementen…<br />
Beispiel Entwicklungstiefe<br />
in der Automobilindustrie:<br />
System<br />
Anforderungen<br />
Realisierung<br />
Instanziierung<br />
Komponenten<br />
Für japanische Fahrzeuge<br />
der Kompaktklasse<br />
werden ca. 50% als<br />
abgeschlossene<br />
Komponenten von<br />
Zulieferern zugekauft.<br />
[2000 Moldaschl][2001 Bergner et al.]<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
362
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Vergleich Zuverlässigkeitsanalyse Software Hardware (1)<br />
Vorgefertigte<br />
HW-<br />
Komponenten<br />
Hardware<br />
Software<br />
Individuell<br />
entwickelte<br />
Software<br />
System<br />
– Generische<br />
Zuverlässigkeitsaussagen aus<br />
früherem Einsatz<br />
– Keine generischen<br />
Zuverlässigkeitsaussagen<br />
z. B. λ P = λ B π T π A …<br />
[IEEE1413]<br />
Einflussgrößen<br />
(Temperatur, …)<br />
Generische<br />
Basis-Ausfallrate<br />
Ausfallrate HW-Komponente<br />
Zuverlässigkeit in frühen<br />
Entwicklungsphasen nicht<br />
analysierbar<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
363
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Vergleich Zuverlässigkeitsanalyse Software Hardware (2)<br />
– Zuverlässigkeit HW-Komponenten<br />
• Aktuelle Einflussgrößen<br />
(Temperatur, ...) bestimmen<br />
• Generische Aussagen übertragen<br />
– Zuverlässigkeit des Hardware-Systems<br />
• HW-Architektur analysieren<br />
(Fehlerbaumanalyse, ...)<br />
• Einzelne Zuverlässigkeiten kombinieren<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
364
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Übertragung des Lösungsansatzes auf Software<br />
Vorgefertigte<br />
HW-Komponenten<br />
Hardware<br />
Software<br />
Komponentenbasierte<br />
Software<br />
Analogie<br />
− Unveränderliche SW-Komponenten<br />
• funktional geschlossen<br />
• Verknüpfung über Schnittstellen<br />
• Anpassbar an Umgebung<br />
System<br />
<br />
− Generische Zuverlässigkeitsaussagen<br />
• Mehrfacher Einsatz der SW-<br />
Komponenten in verschiedenen<br />
<strong>Automatisierungs</strong>systemen<br />
• Erfassung und Auswertung<br />
empirischer Daten<br />
• Ergebnis: Abhängigkeit<br />
Einflussgrößen Zuverlässigkeit<br />
−<br />
−<br />
Zuverlässigkeit SW-Komponenten<br />
Zuverlässigkeit des Software-Systems<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
365
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Was genau versteht man unter einer Softwarekomponente?<br />
Funktionale Geschlossenheit<br />
(sichtbares Verhalten)<br />
Innere Abläufe<br />
Anpassbarkeit mittels<br />
Konfiguration durch die<br />
Anwendung<br />
Parametrierung,<br />
Konfiguration<br />
Komponente A<br />
Betriebsprofil: Aktivierung durch<br />
• andere Komponenten über<br />
Verknüpfungen,<br />
• Benutzer oder<br />
• Betriebssystem<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
Komponente B<br />
Strukturell unabhängig, da<br />
Verknüpfung von Komponenten nicht<br />
fest vorgegeben<br />
Verknüpfbarkeit über Schnittstellen<br />
nicht fest vorgegeben<br />
366
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Mehrfacher Einsatz von Komponenten<br />
Komponentenbibliothek<br />
Komponenten-<br />
Entwicklung<br />
HW<br />
SW<br />
Test / Betrieb<br />
Mehrfacher Einsatz<br />
in versch.<br />
<strong>Automatisierungs</strong>systemen<br />
Empirische<br />
Daten<br />
Generische<br />
Zuverlässigkeitsaussagen<br />
Aktuelles System<br />
Entwicklung des aktuellen<br />
<strong>Automatisierungs</strong>systems<br />
Konfiguration,<br />
Auswahl Parametrierung, Verknüpfung<br />
Anpassung an<br />
aktuelle Umgebung<br />
HW SW Zuverlässigkeitsaussage<br />
für aktuelles System?<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
367
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Konzept für eine frühzeitige Zuverlässigkeitsaussage<br />
Test / Betrieb<br />
– Generische Zuverlässigkeitsaussagen<br />
• Empirische Daten auswerten<br />
• Abhängigkeit Einflussgrößen<br />
Zuverlässigkeit beschreiben<br />
Welches sind relevante<br />
Einflussgrößen für Software?<br />
Wie werden Abhängigkeiten aus<br />
den empirischen Daten ermittelt?<br />
Aktuelles System<br />
– Zuverlässigkeit SW-Komponenten<br />
• Aktuelle Einflussgrößen<br />
bestimmen<br />
• Generische Aussagen<br />
übertragen<br />
– Zuverlässigkeit des<br />
Software-Systems<br />
• SW-Architektur analysieren<br />
• Einzelne Zuverlässigkeiten<br />
kombinieren<br />
Wie werden Einflussgrößen aus<br />
der aktuellen Umgebung<br />
bestimmt?<br />
Wie werden die Zuverlässigkeiten<br />
kombiniert?<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
368
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Was sind relevante Einflussgrößen für Software?<br />
− Hardware<br />
• Temperatur, Feuchtigkeit,<br />
äußere Beschaltung …<br />
• Beanspruchung, Lastprofil, ...<br />
Software (aus Definition<br />
einer SW-Komponente)<br />
Parametrierung<br />
Konfiguration<br />
Bsp.: P = 80<br />
− Wie werden Abhängigkeiten<br />
aus den empirischen Daten ermittelt?<br />
• Anwendung von Verfahren der<br />
Regressionsanalyse zur<br />
Auswertung der empirischen Daten<br />
• Ergebnis: Generische Zuverlässigkeitsaussagen<br />
für SW-Komponenten<br />
Komponente A<br />
− Betriebsprofil:<br />
Aktivierung der Komponente<br />
z. B. f(x) mit x ∈ [20,40] alle 40ms<br />
Bsp.: abhängig von<br />
Parameter P:<br />
R(t) = func(t, P)<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
369
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Wie werden Einflussgrößen aus der aktuellen Umgebung<br />
bestimmt?<br />
− Hardware<br />
• Physikalische Umgebung<br />
(Temperatur, Feuchtigkeit,<br />
äußere Beschaltung, …)<br />
• Benutzung (Beanspruchung,<br />
Lastprofil, ...)<br />
− Einsetzen der ermittelten<br />
Einflussgrößen<br />
Bsp.: R(t) = func(t, P)<br />
− Ergebnis:<br />
Zuverlässigkeit<br />
der SW-Komponenten<br />
− Software<br />
• Parametrierung und Konfiguration aus<br />
den Vorgaben des Entwicklers<br />
• Betriebsprofil aus<br />
z. B. durch<br />
Benutzer:<br />
f(x) mit x ∈<br />
[20,40]<br />
alle 40ms<br />
• externer Aktivierung durch Benutzer<br />
oder Betriebssystem<br />
• der Verknüpfung mit anderen<br />
Komponenten<br />
Software<br />
z. B. g(x) mit<br />
x ∈ [60,100]<br />
alle 80ms<br />
Propagierung über<br />
Verknüpfungen<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
370
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Wie werden Zuverlässigkeiten kombiniert? (1)<br />
− Hardware<br />
• Analyse der HW-Architektur<br />
(Blockdiagramm, …)<br />
• Zusammenhang zwischen<br />
Zuverlässigkeiten der HW-<br />
Komponenten und des<br />
Hardware-Systems<br />
(Fehlerbaumanalyse, …)<br />
Hardware<br />
− Software<br />
• Analyse der SW-Architektur<br />
(UML-Diagramme, …)<br />
• Betrachtung auf Komponentenebene<br />
analog zu HW-Systemen<br />
• Analyse, welche Kombination an<br />
SW-Komponenten zum Versagen<br />
des Software-Systems führt<br />
Software<br />
A<br />
B<br />
A<br />
B<br />
C<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
371
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Wie werden Zuverlässigkeiten kombiniert? (2)<br />
Bsp.: Fehlerbaumanalyse<br />
(FTA)<br />
− Ergebnis:<br />
Berechnungsgleichung<br />
− Ergebnis:<br />
Berechnungsgleichung<br />
für Zuverlässigkeit des<br />
Software-Systems<br />
R<br />
HW<br />
=<br />
R<br />
A<br />
R<br />
A<br />
( B<br />
1−<br />
C<br />
)<br />
R<br />
SW<br />
= RAR<br />
B<br />
B<br />
C<br />
R<br />
+ (1 − RA)(1<br />
− RB<br />
) R<br />
+ (1 − RA)<br />
RBRC<br />
+ R<br />
+ R R R<br />
C<br />
A<br />
(1 −<br />
R<br />
B<br />
) R<br />
C<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
372
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Beispiel: Frühzeitige Zuverlässigkeitsanalyse der Steuerung<br />
eines am IAS entwickelten Lkw-Modells<br />
− Konstruktion der Steuerung aus vorhandenen SW-Komponenten<br />
Hardware<br />
Vorgabe des<br />
Entwicklers<br />
Software<br />
<strong>Automatisierungs</strong>system<br />
P = 4.000<br />
Auswahl<br />
Konfiguration<br />
Parametrierung<br />
Verknüpfung<br />
«Component»<br />
B<br />
P<br />
«Component»<br />
A<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
Lkw-Modell<br />
Film: Truck<br />
373
§ 13 Softwarezuverlässigkeit<br />
ZSA<br />
Anwendung des Konzeptes auf die Steuerungssoftware<br />
− Zuverlässigkeit SW-Komponenten<br />
Vorgabe des<br />
Entwicklers<br />
Generische<br />
Zufallsaussage<br />
P = 4.000<br />
R(t) = func(t, P)<br />
Reliability R(t)<br />
0.0 0.2 0.4 0.6 0.8 1.0<br />
0 200 400 600 800 1000<br />
Zuverlässigkeiten<br />
(Bsp.: konstante Werte)<br />
R<br />
R<br />
Control<br />
OutDriver<br />
= 0,5<br />
= 0,8<br />
Berechnete<br />
Softwarezuverlässigkeit<br />
R<br />
SW<br />
= RControl<br />
⋅ ROutDriver<br />
= 0,4<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
374
Zuverlässigkeit und Sicherheit von <strong>Automatisierungs</strong>systemen<br />
ZSA<br />
Gliederung<br />
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
§ 8 Sicherungsmethoden<br />
§ 9 Berechnungsmethoden<br />
§ 10 Vereinfachungen<br />
§ 11 Zuverlässigkeit komplexer Systeme<br />
§ 12 Berechnung von Sicherheitskenngrößen<br />
§ 13 Softwarezuverlässigkeit<br />
§ 14 RAMS-Management<br />
§ 15 Sicherheitsnachweis (SN)<br />
§ 16 Abkürzungen, Literatur<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
375
§ 14 Rams-Management<br />
ZSA<br />
§ 14 RAMS-Management<br />
– RAMS-Management<br />
• Zuverlässigkeits- und Sicherheits-Management<br />
– Zuverlässigkeits-Management<br />
• Alle Aktivitäten und Maßnahmen zum Festlegen der RAM-<br />
Anforderungen (Zuverlässigkeit, Verfügbarkeit und Wartbarkeit)<br />
• Erreichen, Nachweisen und Erhalten der RAM-Eigenschaften von<br />
Komponenten und Systemen<br />
– Sicherheitsmanagement<br />
• Alle Aktivitäten und Maßnahmen zum Festlegen der<br />
Sicherheitsanforderungen<br />
• Erreichen, Nachweisen und Erhalten der geforderten Sicherheit von<br />
Komponenten und Systemen<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
376
§ 14 Rams-Management<br />
ZSA<br />
RAM-Logbuch<br />
– Das RAM-Logbuch (Journal)<br />
• Alle RAM-Aktivitäten, Ereignisse und Vorgänge, getroffene<br />
Entscheidungen und angewandte Lösungen werden im RAM-Logbuch<br />
in Form eines Journal festgehalten<br />
• Beispiele von RAM-Aktivitäten<br />
• Erstellung, Review und Freigabe von RAM-Dokumenten<br />
• Schulungen, Teilnahme an RAM-Seminaren<br />
• Präsentation von RAM-Verfahren und -Werkzeuge<br />
• Ermittlung der RAM-Daten für Komponenten und Systeme<br />
– Nutzen<br />
• Das RAM-Logbuch dient der Verfolgbarkeit aller RAM-Aktivitäten.<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
377
§ 14 Rams-Management<br />
ZSA<br />
Beispiel: RAM-Logbuch<br />
Nr. Datum Ereignis Art Verantw<br />
ort.<br />
1 28.02.98 Erstellung einer vorläufigen RAM-Analyse, D Ma.<br />
Start<br />
2 16.04.98 RAM-Plan, erster Entwurf 09.04.1998 D Ma.<br />
Bemerk.<br />
3 17.04.98 Einladung zum Review des RAM-Plans R Mü.<br />
4 21.04.98 Reviewstellungnahmen zum RAM-Plan R Mü.<br />
5 29.05.98 Überarbeitung und Einarbeitung der R Ma.<br />
Reviewkommentare in den RAM-Plan<br />
6 10.06.98 Präsentation des Tools RAT (Reliability B Be.<br />
Assessment Tool)<br />
7 11.09.98 RAM-Analyse, Version 1.0 wird freigegeben F Bü.<br />
8 18.09.98 Teilnahme der Entwicklung und des Support<br />
am Seminar RAMSS<br />
B Ko.<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
378
§ 14 Rams-Management<br />
ZSA<br />
Sicherheits- und Gefährdungslogbuch<br />
– Sicherheitslogbuch<br />
Das Sicherheitslogbuch besteht aus zwei Teilen:<br />
• Journal (wie RAM-Logbuch jedoch für sicherheitsrelevante Ereignisse)<br />
• Gefährdungslogbuch<br />
– Gefährdungslogbuch<br />
• Es enthält eine Auflistung aller für das System identifizierten<br />
potentiellen Gefährdungen einschließlich entsprechender Lösungen<br />
und Gegenmaßnahmen<br />
• Es wird kontinuierlich fortgeschrieben<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
379
§ 14 Rams-Management<br />
ZSA<br />
Beispiel: Sicherheitslogbuch<br />
Nr. Datum Ereignis / Dokument Art Verant<br />
wort.<br />
1 05.09.97 Systemsicherheitsbeauftragter wird ernannt, E Ba.<br />
Protokoll 06.09.97<br />
2 01.10.98 Audit am 01.10.1997, Auditbericht 07.10.97 A Ma.<br />
Bemerk.<br />
3 15.10.97 Sicherheitslogbuchs in Form einer ACCESS-<br />
Datenbank wird erstellt, Protokoll 20.10.97<br />
4 10.11.97 Sicherheitslogbuchs (Datenbank) wird zur<br />
Anwendung freigegeben, Email 10.11.1997<br />
5 03.02.98 Gefährdungsanalyse wird in Auftrag gegeben,<br />
Schreiben 03.02.1998<br />
6 05.03.98 Zur Besprechung mit EBA wird eingeladen.<br />
Thema Rückfallstrategie bei<br />
Datenübertragungsausfall, Einladung<br />
05.03.1998<br />
7 15.03.98 Gefährdungsanalyse <strong>vom</strong> 01.03.1998 wird<br />
geliefert<br />
8 11.06.98 Gefährdungsanalyse <strong>vom</strong> 01.03.1998 wird am<br />
11.06.1998 freigegeben<br />
E Ba.<br />
F Mü.<br />
E Mü.<br />
B Mü.<br />
D Bu.<br />
F Bu.<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
380
§ 14 Rams-Management<br />
ZSA<br />
Beispiel: Gefährdungslogbuch<br />
Nr. Ausfallart Ursache Maßnahmen Ausfall-<br />
Auswirkung<br />
A1 Mode Manager<br />
1.Funktion ausgefallen<br />
Übergang in<br />
liefert 2.Datenübertragung on-<br />
den sicheren<br />
keine Daten board ausgefallen<br />
Zustand<br />
A2 Mode Manager<br />
liefert falsche<br />
Daten<br />
A4 Diagnosemeldung<br />
zu<br />
spät<br />
1. Mode Manager berechnet<br />
falsch<br />
2.Bekam falsche Daten<br />
3.Ausgabedaten bei Datenübertragung<br />
onboard<br />
verfälscht<br />
1. Fehler d. Übertragung<br />
2. Manipulation<br />
3. Falsche RBC Daten<br />
4. Falsche Ortsdaten<br />
1.Übertragungsfehler<br />
2.Fehler im Diagnosespeicher<br />
Bei statischem<br />
Fehler<br />
mehrfaches<br />
abspeichern<br />
Es kann eine<br />
falsche<br />
Bremskurve<br />
ausgewählt<br />
werden.<br />
Gefährdung<br />
Keine<br />
Entgleisung<br />
oder<br />
Zusammenstoß.<br />
A3 Ausgabe falscher<br />
Streckendaten<br />
Bremskurvenüberwachung<br />
falsch<br />
Keine<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
381
§ 14 Rams-Management<br />
ZSA<br />
Gefährdungslogbuch, Klassifizierung<br />
– Klassifizierung der Gefährdungen<br />
• Art der Gefährdung<br />
• Person P, Gerät/System G, Umwelt U, offen 99<br />
• Häufigkeit<br />
• unglaublich 0, unwahrscheinlich 1, gelegentlich 2,<br />
kaum vorstellbar 3, wahrscheinlich 4, häufig 5, offen 99<br />
• Schwere der Gefährdung<br />
• unbedeutend 0, marginal 1, kritisch 2, katastrophal 3,<br />
offen 99<br />
• Status der Gefährdung<br />
• in Arbeit 0, abgeschlossen 1, offen 99<br />
• Risiko<br />
• nicht tolerierbar 1, unerwünscht 2, tolerierbar 3, vernachlässigbar<br />
4, offen 99<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
382
§ 14 Rams-Management<br />
ZSA<br />
Beispiel: Bewertung Gefährdungslogbuch<br />
– Klassifizierung<br />
Fehler-<br />
Nr.<br />
Art<br />
P/G/U, 99<br />
Häufigkeit<br />
1-5, 99<br />
Schwere<br />
0-3, 99<br />
Status<br />
0-1, 99<br />
Funktion<br />
F1-F100<br />
A1 P 99 0 1 F1 4<br />
A2 P 99 3 0 F1 1<br />
A3 99 99 99 99 F5 99<br />
A4 P 99 0 1 F6 4<br />
– Funktion<br />
Nr. Funktion<br />
F1 Betriebsartüberwachung<br />
F2 Kommunikation mit dem Tf<br />
F3 Bereitstellung der Zugdaten<br />
F4 Aufzeichnen der Diagnosedaten<br />
F5 Verwaltung der Streckendaten<br />
F6 Bereitstellung von Diagnosedaten<br />
Risiko<br />
1-4, 99<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
383
§ 14 Rams-Management<br />
ZSA<br />
Sicherheitsmanagement<br />
– Interne und externe Schnittstellen im Projekt<br />
Projekt<br />
Entwickler<br />
Verifizierer<br />
Projektleiter<br />
Qualitätsmanagement<br />
Sicherheitsmanagement<br />
Zulieferer, . . .<br />
Validierer<br />
Gutachter<br />
Zulassungsbehörde<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
384
Zuverlässigkeit und Sicherheit von <strong>Automatisierungs</strong>systemen<br />
ZSA<br />
Gliederung<br />
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
§ 8 Sicherungsmethoden<br />
§ 9 Berechnungsmethoden<br />
§ 10 Vereinfachungen<br />
§ 11 Zuverlässigkeit komplexer Systeme<br />
§ 12 Berechnung von Sicherheitskenngrößen<br />
§ 13 Softwarezuverlässigkeit<br />
§ 14 RAMS-Management<br />
§ 15 Sicherheitsnachweis (SN)<br />
§ 16 Abkürzungen, Literatur<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
385
§ 15 Sicherheitsnachweis (SN)<br />
ZSA<br />
§ 15 Sicherheitsnachweis (SN)<br />
– Struktur nach EN 50129 6 Schlußfolgerung<br />
5 Mitgeltende<br />
Sicherheitsnachweise<br />
4 Technischer<br />
Sicherheitsbericht<br />
3 Nachweis des<br />
Sicherheitsmanagements<br />
2 Nachweis des<br />
Qualitätsmanagements<br />
1 Definition des Systems<br />
Sicherheitsnachweis<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
386
§ 15 Sicherheitsnachweis (SN)<br />
ZSA<br />
SN1 Definition des Systems<br />
– Definition des Systems<br />
Das System muss genau definiert werden (genaue Identifikation)<br />
• Versionsnummern aller Komponenten<br />
• Änderungsstatus aller Dokumente<br />
– Was gehört zum System?<br />
Genaue Identifikation aller<br />
• Komponenten<br />
• Teilsysteme<br />
• Schnittstellen<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
387
§ 15 Sicherheitsnachweis (SN)<br />
ZSA<br />
SN2 Nachweis des Qualitätsmanagements<br />
– QM-System<br />
• Ein QM-System ist für SIL 1-4 zwingend vorgegeben.<br />
• Ein Qualitätsmanagementsystem muss die Qualität des Systems oder<br />
Gerätes während des gesamten Lebenszyklus (definiert in EN 50126)<br />
wirksam zu steuern.<br />
• Der Zweck des QM-Systems ist, die durch menschliche Fehlbarkeit<br />
verursachten Fehler zu minimieren.<br />
• QM-Aktivitäten in einem QM-Bericht zu nachweisen<br />
– QM-System nach ISO9001<br />
• Das QM-System muss der Norm ISO 9001 entsprechen.<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
388
§ 15 Sicherheitsnachweis (SN)<br />
ZSA<br />
SN3 Nachweis des Sicherheitsmanagements<br />
– Notwendigkeit eines Sicherheitsmanagement<br />
• Ein Sicherheitsmanagement ist für SIL 1-4 zwingend vorgegeben.<br />
– Im Nachweis des Sicherheitsmanagements ist zu zeigen<br />
• Die im Sicherheitsplan gestellten Aufgaben wurden ausgeführt.<br />
• Die Erfüllung der Sicherheitsanforderungen (SIL) des Systems oder<br />
Gerätes wurde während des gesamten Lebenszyklus überwacht und<br />
gesteuert.<br />
– Inhalt des Nachweises<br />
• Nachweis des Management nicht der Sicherheit<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
389
§ 15 Sicherheitsnachweis (SN)<br />
ZSA<br />
Sicherheitsmanagement<br />
– Aufgabenbereiche, Verantwortlichkeiten<br />
• Sicherheitsplan erstellen, Aktivitäten einplanen<br />
• Kompetenznachweise für aller Mitarbeiter sichern<br />
• Gefährdungsanalyse durchführen<br />
• Sicherheitskonzept erstellen<br />
• Sicherheits- und Gefährdungslogbuch angelegen und führen<br />
• Sicherheits-Audits durchführen<br />
• Sicherheitsanforderungen festlegen<br />
• Sicherheitsanforderungen den System-Komponenten zuordnen<br />
• Sicherheit der extern beschafften Teile (COTS) überwachen<br />
• Validierung der Sicherheitsanforderungen überwachen<br />
• Sicherheitsnachweis erstellen (lassen)<br />
• Vorschriften für sicheren Betrieb und Wartung festlegen<br />
• Sicherheitsmanagementreport erstellen<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
390
§ 15 Sicherheitsnachweis (SN)<br />
ZSA<br />
SN4 Technischer Sicherheitsbericht<br />
– Allgemeines<br />
• Der Technischer Sicherheitsbericht ist für SIL 1 - 4 zwingend<br />
vorgeschrieben<br />
• In diesem Bericht müssen die technischen Grundsätze, die für den<br />
Nachweis der Sicherheit erforderlich sind, erklärt werden.<br />
• Dabei ist sowohl für den fehlerfreien als auch den gestörten Betrieb<br />
nachzuweisen, dass die Sicherheit gewährleistet ist<br />
• Der Umfang dieser Dokumentation hängt von SIL ab<br />
• Umfangreiche Dokumente mit detaillierten Informationen sind nicht<br />
erforderlich, falls man auf andere Dokumente mit entsprechenden<br />
Informationen verweisen kann<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
391
§ 15 Sicherheitsnachweis (SN)<br />
ZSA<br />
Technischer Sicherheitsbericht (TS)<br />
– Struktur nach EN 50129 6 Qualifikationstests<br />
1 Einleitung<br />
5 Anwendungsbedingungen<br />
4 Umgebungsbedingungen<br />
3 Auswirkung von Fehlern<br />
2 Sicherung des<br />
fehlerfreien Betriebs<br />
Technischer<br />
Sicherheitsbericht<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
392
§ 15 Sicherheitsnachweis (SN)<br />
ZSA<br />
TS2 Sicherung des fehlerfreien Betriebs<br />
– Sicherung fehlerfreier Hardwarefunktion<br />
• Die Fehlerfreiheit der Hardwarefunktion zeigen<br />
– Sicherung fehlerfreier Softwarefunktion<br />
• Die Fehlerfreiheit der SW nachweisen (Validierungsbericht)<br />
– Erfüllung der Sicherheitsanforderungen<br />
• Erfüllung der Sicherheitsanforderungen zeigen<br />
– Hardware/Software-Interaktionen<br />
• Die Fehlerfreiheit der HW/SW-Interaktionen zeigen<br />
– Umgebungsbedingungen<br />
• Den fehlerfreien Betrieb unter vorgegebenen Umgebungsbedingung<br />
nachweisen<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
393
§ 15 Sicherheitsnachweis (SN)<br />
ZSA<br />
TS3 Auswirkung von Fehlern<br />
– Einfachfehler<br />
• Das Fail-safe-Verhalten bezüglich Einfachfehler zeigen.<br />
– Erkennung von Einfachfehlern<br />
• Die Erkennung von Einfachfehlern zeigen<br />
– Maßnahmen nach der Fehlererkennung<br />
• Das schnelle Erreichen eines sicheren Ausfallzustands zeigen<br />
– Sicherer Ausfallzustand<br />
• Das kontrollierte Verlassen sicherer Ausfallzustand zeigen<br />
– Unabhängigkeit von Komponenten<br />
• Die Unabhängigkeit der Komponenten nachweisen<br />
– Maßnahmen gegen Mehrfachfehler<br />
• Rechtzeitige Erkennung gefährlicher Mehrfachfehler zeigen<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
394
§ 15 Sicherheitsnachweis (SN)<br />
ZSA<br />
TS4 Umgebungsbedingungen<br />
– Klimatische Bedingungen<br />
• Temperatur, Feuchte, Wärmeschocks betrachten<br />
– Einsatzort<br />
• Gebäude, Außenbereich, Fahrzeug, Strecke, Lager betrachten<br />
– Mechanische Bedingungen<br />
• Vibration, Schock, Lärm betrachten<br />
– Elektrische Bedingungen<br />
• Stromversorgung, EMV, ESD betrachten<br />
– Schutz gegen nichtautorisierten Zugriff<br />
• Zugriffsarten und berechtigte Personengruppen nennen<br />
• Zeigen, dass ein unberechtigter Zugriff ausgeschlossen ist<br />
– Weitere Bedingungen<br />
• Umweltverschmutzung, Lebewesen (Insekten) usw. betrachten<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
395
§ 15 Sicherheitsnachweis (SN)<br />
ZSA<br />
TS5 Anwendungsbedingungen<br />
– Systemkonfiguration und -generierung<br />
• Die verwendeten Verfahren und Werkzeuge nennen<br />
• Konfigurationen und Einstellungen dokumentieren<br />
– Betrieb und Wartung<br />
• Betriebsarten Anfahren, Abfahren, Normalbetrieb beschreiben<br />
• Wartungsstrategien vorbeugende, periodische u.a. beschreiben<br />
– Überwachung der Performance<br />
• Zeigen, das die Performance während des gesamten Betriebs<br />
erhalten bleibt<br />
– Übergabe und Transport<br />
• Technische Vorkehrungen hinsichtlich Sicherheit beachten<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
396
§ 15 Sicherheitsnachweis (SN)<br />
ZSA<br />
TS6 Qualifikationstests (Feldtests/Erprobung)<br />
– Zweck<br />
• Ein höheres Vertrauen in das System bezüglich der Erfüllung der<br />
Betriebsanforderungen gewinnen<br />
• Ein höheres Vertrauen in das System bezüglich der Erreichung der<br />
Zuverlässigkeits- und Sicherheitsziele gewinnen<br />
– Feldtests / Erprobung<br />
• Umfang und Dauer werden zwischen Betreiber und<br />
Zulassungsbehörde abgestimmt<br />
• Die Sicherheit des Betriebs ist während der Feldtests zu<br />
gewährleisten<br />
– Ergebnisse<br />
• Der Ablauf und die Ergebnisse der Feldtests sind zu dokumentieren<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
397
§ 15 Sicherheitsnachweis (SN)<br />
ZSA<br />
Hierarchie des Technischen Sicherheitsberichts<br />
Technischer Sicherheitsbericht für<br />
das Gesamtsystem<br />
Gesamtsystem-<br />
Ebene<br />
Technischer Sicherheitsbericht<br />
für Teilsystem<br />
1<br />
Technischer Sicherheitsbericht<br />
für Teilsystem<br />
2<br />
Teilsystem-<br />
Ebene<br />
Technischer Sicherheitsbericht<br />
für Gerät 1<br />
Technischer Sicherheitsbericht<br />
für Gerät 2<br />
Technischer Sicherheitsbericht<br />
für Gerät 3<br />
Geräte-<br />
Ebene<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
398
§ 15 Sicherheitsnachweis (SN)<br />
ZSA<br />
Ermittlung der Ausfallarten (zu TS3)<br />
– Diskrete Komponenten<br />
• Listen von bekannten Ausfallarten berücksichtigen (EN50129)<br />
• Abweichungen davon begründen.<br />
– Integrierte Schaltungen<br />
• Eine vollständige Liste ist nicht möglich<br />
• FMEA ist zwar möglich, jedoch zu aufwendig<br />
• Top-Down-Verfahren zur Ermittlung der Ausfallarten anwenden<br />
• Eine Bewertung der Auswirkung der Ausfallarten durchführen<br />
• Mögliche Bewertung der Ausfälle:<br />
• sie treten wegen interner Redundanz-Struktur nicht auf<br />
• sie werden erkannt und in den sicheren Zustand überführt<br />
– Komponenten mit inhärent physikalischen Eigenschaften<br />
• Ausgeschlossene Ausfallarten begründen.<br />
• Die Fail-safe-Technik beschreiben<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
399
§ 15 Sicherheitsnachweis (SN)<br />
ZSA<br />
Ausfallarten eines Relais (zu TS3)<br />
Nr. Ausfallart<br />
1 Interruption of any coil<br />
2 Interruption of any contact<br />
3<br />
4<br />
5<br />
6<br />
7<br />
8<br />
Short-circuit or decrease of insulation<br />
resistance:<br />
• across open contacts<br />
• between coil and coil<br />
• between coil and contact<br />
• between coil and case<br />
• between contact and contact<br />
• between contact and case<br />
9 Welding of contacts *<br />
10 Increase of contact resistance<br />
11 Contact chatter<br />
12 Increase of pick-up current<br />
13 Decrease of pick-up current *<br />
*<br />
*<br />
*<br />
*<br />
*<br />
*<br />
Nr Ausfallart<br />
14 Increase of drop-away current<br />
15 Decrease of drop-away current *<br />
16 Change of pick-up to drop-away ratio *<br />
17 Increase of pick-up time<br />
18 Decrease of pick-up time *<br />
19 Increase of drop-away time *<br />
20 Decrease of drop-away time *<br />
21 Relay does not pick up<br />
22 Relay does not drop away *<br />
23 Closure of any front contact at the *<br />
same time as any back contact<br />
(transient or continuous)<br />
24 Non-correspondence between front<br />
contacts<br />
25 Non-correspondence between back<br />
contacts<br />
* Ausfallarten können mit entsprechender Begründung ausgeschlossen werden.<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
400
§ 15 Sicherheitsnachweis (SN)<br />
ZSA<br />
Ausfallarten eines Transistors (zu TS3)<br />
Nr. Ausfallart<br />
Interruption:<br />
1 • of emitter (E)<br />
2 • and/or base (B)<br />
3 • and/or collector (C)<br />
4<br />
5<br />
6<br />
7<br />
Short circuit:<br />
• between E and B<br />
• between B and C<br />
• between E and C<br />
• between E and B and C<br />
8 Short-circuit between two connections and interruption of the<br />
third connection<br />
9 Short-circuit between casing and E or B or C<br />
10 Increase of DC and/or AC amplification *<br />
11 Decrease of DC and/or AC amplification<br />
12 Increase of base-emitter conducting-state voltage<br />
13 Decrease of base-emitter conducting-state voltage<br />
14 Increase of threshold voltage VBE *<br />
15 Decrease of threshold voltage VBE *<br />
16 Decrease of break-down voltage VEB or VCB or VCE<br />
17 Change of rise time, fall time, turn-on time, turn-off time<br />
18 Increase of residual current ICB, IEB, ICE<br />
19 Change of saturation voltage VCE<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
* Ausfallarten<br />
können mit<br />
entsprechender<br />
Begründung<br />
ausgeschlossen<br />
werden.<br />
401
§ 15 Sicherheitsnachweis (SN)<br />
ZSA<br />
Vermeidung und Beherrschung von Fehlern (zu TS2)<br />
– Anwendung von Techniken und Maßnahmen<br />
• Im Rahmen des Safety Management werden Techniken und<br />
Maßnahmen zur Vermeidung von systematischen Fehlern und zur<br />
Beherrschung von Zufallsausfällen für verschiedene SIL während des<br />
Systemlebenszyklusses angewendet.<br />
• Einige dieser Techniken und Maßnahmen sind in den folgenden<br />
Tabellen zusammengestellt (Auszüge aus der Norm).<br />
– Folgende Bereiche werden betrachtet.<br />
• Architecture of System/Sub-system/Equipment<br />
• Design features<br />
• Risk reduction at the level of system element<br />
• Verification and Validation of the System<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
402
§ 15 Sicherheitsnachweis (SN)<br />
ZSA<br />
Architecture of System/Sub-system/Equipment (zu TS2)<br />
Techniques / Measures SIL 1 SIL 2 SIL 3 SIL 4<br />
1. Separation of safety-related systems<br />
R R HR HR<br />
from non safety-related systems<br />
2. single electronic structure with self tests and<br />
R R - -<br />
supervision<br />
3. Dual electronic structure R R - -<br />
4. Dual electronic structure based on composite failsafety<br />
R R HR HR<br />
with fail-safe comparison<br />
5. single electronic structure based on inherent failsafety<br />
R R HR HR<br />
6. single electronic structure based on reactive failsafety<br />
R R HR HR<br />
7. Diverse electronic structure with fail-safe<br />
R R HR HR<br />
comparison<br />
8. Justification of the architecture by a quantitative<br />
reliability analysis of the hardware<br />
HR HR HR HR<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
403
§ 15 Sicherheitsnachweis (SN)<br />
ZSA<br />
Design features (zu TS2)<br />
Technique/ Measures<br />
1. Protection against operating errors<br />
Plausibility checks<br />
2. Protection against single fault for discrete<br />
components<br />
All hazardous failure modes to be either detected<br />
and negated or demonstrated to be inherently safe<br />
3. Protection against single fault for integrated circuits<br />
stuck-at fault model (SIL1), or DC-fault model (SIL2),<br />
or permanent and transient malfunction model on<br />
item level (SIL3/4)<br />
4. Physical independence<br />
Insulation distances should be dimensioned to the<br />
reinforced value according to EN 50124-1<br />
5. Detection of single and multiple faults<br />
Dependent on the safety target. The time for<br />
detection-plus-negation should be within the safety<br />
target<br />
SIL1 SIL2 SIL3/4<br />
R R HR<br />
R R HR<br />
R R HR<br />
R R HR<br />
R R HR<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
404
§ 15 Sicherheitsnachweis (SN)<br />
ZSA<br />
Risk reduction at the level of system element (zu TS2)<br />
Techniques / Measures SIL 1 SIL 2 SIL 3 SIL 4<br />
1. Preliminary Hazard Analysis HR HR HR HR<br />
2. Fault Tree Analysis R R HR HR<br />
3. FMECA R R HR HR<br />
4. HAZOP R R HR HR<br />
5. Cause-Consequence diagrams R R HR HR<br />
6. Markov diagrams R R R R<br />
7. Event Tree R R R R<br />
8. Reliability Block Diagram R R R R<br />
9. Zonal Analysis R R R R<br />
10. Common Cause Failure Analysis R R R R<br />
11. Historical Event Analysis R R R R<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
405
§ 15 Sicherheitsnachweis (SN)<br />
ZSA<br />
Verification and Validation of the System (zu TS2)<br />
Technique/<br />
Measures<br />
1.Checklists<br />
3.Functional testing<br />
of the system<br />
6.Calculation of<br />
failure rates<br />
10.Design review<br />
SIL 1 SIL 2 SIL 3 SIL 4<br />
R: prepared checklists,<br />
concentration on the main<br />
safety issues<br />
HR: functional tests,<br />
reviews should be carried<br />
out to demonstrate that the<br />
specified characteristics<br />
and safety requirements<br />
have been achieved<br />
HR: on the basis of typical<br />
R: prepared detailed<br />
checklists<br />
HR: comprehensive<br />
functional tests to<br />
demonstrate that the<br />
specified characteristics<br />
and safety-requirements<br />
are fulfilled<br />
HR: on the basis of<br />
conditions<br />
worst case conditions<br />
HR: Reviews should be carried out at appropriate<br />
stages in the lifecycle to confirm that the specified<br />
characteristics and safety requirements have been<br />
achieved<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
406
§ 15 Sicherheitsnachweis (SN)<br />
ZSA<br />
Zulassung<br />
– Zulassung erfolgt durch<br />
• Sicherheitsbehörde<br />
• TÜV<br />
• Eisenbahn Bundesamt (EBA)<br />
• Betreiber<br />
– Basis für die Zulassung<br />
• Normen<br />
• Stand der Technik<br />
– Verfahren der Zulassung<br />
• Wichtige Dokumente der Entwicklung zur Prüfung vorlegen<br />
• Sicherheitsnachweis erstellen und zur Prüfung vorlegen<br />
• System durch Betreiber abnehmen lassen<br />
Film: Autoschutz<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
407
Zuverlässigkeit und Sicherheit von <strong>Automatisierungs</strong>systemen<br />
ZSA<br />
Gliederung<br />
§ 7 Zuverlässigkeits- und Sicherheitstechnik<br />
§ 8 Sicherungsmethoden<br />
§ 9 Berechnungsmethoden<br />
§ 10 Vereinfachungen<br />
§ 11 Zuverlässigkeit komplexer Systeme<br />
§ 12 Berechnung von Sicherheitskenngrößen<br />
§ 13 Softwarezuverlässigkeit<br />
§ 14 RAMS-Management<br />
§ 15 Sicherheitsnachweis (SN)<br />
§ 16 Abkürzungen, Literatur<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
408
§ 16 Abkürzungen, Literatur<br />
ZSA<br />
Abkürzungen (1)<br />
- Die Technik/Maßnahme wird weder empfohlen noch<br />
verboten<br />
ε<br />
Ausfallerkennungsrate<br />
λ<br />
Ausfallrate<br />
λ'<br />
sicherheitsbezogene Ausfallrate<br />
μ<br />
Instandsetzungsrate<br />
Ak Unfallarten k=1, 2, ...<br />
ALARP As Low As is Reasonably Practicable<br />
CBT Computer Based Training<br />
CCF Common Cause Failure<br />
CENELEC Europäisches Komitee für Elektrotechnische Normung<br />
Cj k Wahrscheinlichkeit der Auswirkung von Hj nach Ak<br />
DIN Deutsches <strong>Institut</strong> für Normung e.V.<br />
Dj Gefährdungsdauer der Gefährdungsarten Hj , j=1, 2, ..<br />
DRA Aversionskennlinie (differential risk aversion)<br />
DR Fehlererkennungs-Rate (Detection Rate)<br />
Ereignis: R 1 ist ausgefallen<br />
E 1<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
409
§ 16 Abkürzungen, Literatur<br />
ZSA<br />
Abkürzungen (2)<br />
E 12 Ereignis: R 1 und R 2 sind ausgefallen<br />
Eij Dauer in der Gruppe i der Gefährdungsarten Hj ausgesetzt ist<br />
EN Europäische Norm<br />
F<br />
Die Technik/Maßnahme ist verboten (Forbidden)<br />
FFA Funktionale FMEA<br />
Fi k Wahrscheinlichkeit für Todesfall eines Individuums i bei Ak<br />
FMEA Failure Modes and Effects Analysis<br />
FR Ausfallrate (Failure Rate)<br />
FR Failure Rate<br />
FTA Fault Tree Analysis (Fehlerbaumanalyse)<br />
GAMAB Globalement Au Moins Aussi Bon<br />
HAZOP HAZard and OPerability Study<br />
Hj Gefährdungsarten j=1, 2, ..<br />
HR Die Technik/Maßnahme wird dringend empfohlen<br />
(Highly Recomended)<br />
HR Hazard Rate<br />
HRj Gefährdungsrate der Gefährdungsarten Hj , j=1, 2, ..<br />
IEC International Electrotechnical Commission<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
410
§ 16 Abkürzungen, Literatur<br />
ZSA<br />
Abkürzungen (3)<br />
IRF Individuelles Risiko für Todesfall (Individual Risk Fatality)<br />
M<br />
gesamte Missionszeit<br />
M<br />
Die Technik/Maßnahme ist verbindlich (Mandatory)<br />
MEM Minimum endogene Sterblichkeit (Mortality)<br />
MMI Man Machine Interface<br />
MTBF mittlere Zeit zwischen zwei Ausfällen (mean time between<br />
failures)<br />
MTTF' mittlere sicherheitsbezogene Lebensdauer<br />
MTTR mittlere Instandsetzungszeit (mean time to repair)<br />
Ni Benutzungszahl von der Gruppe i<br />
Np Personenzahl einer Gruppe<br />
NR Die Technik/Maßnahme wird nicht empfohlen (Not<br />
Recommended)<br />
P( ) Wahrscheinlichkeit<br />
P(TOP) Wahrscheinlichkeit des TOP-Ereignisses<br />
PES Programable Electronic System<br />
R<br />
Die Technik/Maßnahme wird empfohlen (Recommended)<br />
R 1 Rechner 1, ...<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
411
§ 16 Abkürzungen, Literatur<br />
ZSA<br />
Abkürzungen (4)<br />
RAMS Reliability, Availability, Maintainability, Safety<br />
RAMSS Reliability, Availability, Maintainability, Safety, and Security<br />
Rm Minimale endogene Sterblichkeit (Todesrate)<br />
Rn Natürliche Sterblichkeit (Todesrate)<br />
SAM Safety Argument Manager<br />
SIL Safety Integrity Level (Sicherheitsanforderungsstufen)<br />
Sk Schwere eines Unfalls Ak (Severity of accident type k)<br />
Sk=1 1 Fatality: 1 Todesfall oder 10 schwer oder 100 leicht<br />
Verletzte<br />
SN Sicherheitsnachweis<br />
SL Severity Level<br />
THRj Tolerierbare Gefährdungsrate (Tolerable Hazard Rate)<br />
TIR Tolerierbares individuelles Risiko (Target/Tolerable Ind. Risk)<br />
TOP TOP- Ereignis<br />
TS Technischer Sicherheitsbericht<br />
VDI/VDE Verein Deutscher Ingenieure / Verein Deutscher<br />
Elektrotechniker<br />
X 1 , ... Ereignis: Ausfal einer Komponente<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
412
§ 16 Abkürzungen, Literatur<br />
ZSA<br />
Literatur (1)<br />
[B1] Bitter, P.: Technische Zuverlässigkeit. Springer-Verlag, Heidelberg 1977<br />
[C1] CENELEC Report R009-004 October 1999. Railway Applications,<br />
Systematic Allocation of Safety Integrity Requirements.<br />
[C2] Safety Integrity Levels, Annex A, Proposal for EN 50129, October 1999<br />
[C3] Single-line Signalling System Example,<br />
Annex A to CENELEC Report R009-004 October 1999<br />
[C4] Level Crossing Example,<br />
Annex B to CENELEC Report R009-004 October 1999<br />
[C5] CENELEC Report R009-004 October 1999.<br />
Establishing Safety Integrity Level (SIL) from Frequency of Failure<br />
[D1] DIN V 19250: Grundlegende Sicherheitsbetrachtungen für MSR-<br />
Schutzeinrichtungen. Mai 1994<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
413
§ 16 Abkürzungen, Literatur<br />
ZSA<br />
Literatur (2)<br />
[D2] DIN 19250 grundlegende Sicherheitsbetrachtungen für MSR-<br />
Schutzeinrichtungen. 1989<br />
[D3] DIN 19251 MSR Schutzeinrichtungen. Anforderungen und Maßnahmen<br />
zur gesicherten Funktion. 1995<br />
[D4] DIN VDE 31000 Teil 2. Allgemeine Leitsätze für das sicherheitsgerechte<br />
Gestalten technischer Erzeugnisse. Begriffe der Sicherheitstechnik<br />
[E1] EN 50126 Railway Applications: The Specification and Demonstration of<br />
Dependability: Reliability, Availability, Maintainability and Safety (RAMS),<br />
2000<br />
[E2] prEN 50128 Railway Applications: Software for railway control and<br />
protection systems, 1998<br />
[E3] ENV 50129 Railway Applications: Safety-related Electronic Railway<br />
Control and Protection Systems, 1998<br />
[E4] CENELEC 50159, EN 50159 Railway Applications: Signalling and<br />
Communications. 1998<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
414
§ 16 Abkürzungen, Literatur<br />
ZSA<br />
Literatur (3)<br />
[E5] EN ISO 9001: Quality Systems - Model for quality assurance in design,<br />
development, production, installation and servicing<br />
[E6] EN 29000-3: Quality Management and Quality Assurance Standards,<br />
Part 3 - Guidelines for the Application of EN 29001 to the development,<br />
supply and maintenance of software<br />
[E7] ERTMS Safety Requirement & Objective Group (ESROG),<br />
ERTMS Hazard Rates & Safety Forecasts.<br />
Report ESROG_HFR_01, Issue 1 Draft 3 April 2000, pp. 1-90<br />
[F1] Fricke, H., Pierick, K.: Verkehrssicherung. Teubner Verlag Stuttgart, 1990<br />
[F2] Fault Tolerant Spaceborne Computer. Technical Description. Raytheon<br />
[G1] Gaede, K.-W.: Zuverlässigkeit. Mathematische Modelle.<br />
Karl Hanser Verlag, München 1977<br />
[G2] Gewald, K., Haake, G., Pfadler, W.: Software-Engineering.<br />
Grundlagen und Technik rationneller Programmentwicklung.<br />
Oldenbourg, München 1985.<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
415
§ 16 Abkürzungen, Literatur<br />
ZSA<br />
Literatur (4)<br />
[G3] Grable, R., Jernigang, J., Pogue, C., Divis, D.: Metrics for Small Projects:<br />
Experiences at the SED. IEEE Software, March/April 1999, p. 21-29<br />
[H1] Heinhold, J., Gaede, K.-W.: Ingenieur-Statistik. Oldenbourg Verlag,<br />
München 1979<br />
[H2] Heilmann, A., Braband, J., Peters, H.: Sicherheitsanalyse nach CENELEC.<br />
Signal + Draht (90), 7+8/98, S. 10-14<br />
[H3] Hosemann, G. (Hrsg.): Risiko in der Industriegesellschaft. Analysen,<br />
Vorsorge und Akzeptanz. Verlag UB Erlangen 1989<br />
[H4] HAZOP Studies on Systems containing programmable electronics.<br />
INTERIM Defence Standard. UK.<br />
[H5] Hammer, W.: Handbook of System and Product Safety.<br />
[H6] Hammer, W.: Product Safety Management and Engineering. Prentice-Hall<br />
Inc. N.J.1980<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
416
§ 16 Abkürzungen, Literatur<br />
ZSA<br />
Literatur (5)<br />
[I2] IEC 61508 Functional Safety of electrical/electronic/programmable<br />
electronic safety-related systems. Part 1-7, 1997<br />
[I2] IEC 880 Software for Computers in the Safety Systems of Nuclear Power<br />
generating Stations. 1986.<br />
[K1] Konakovsky, R.: Definition und Berechnung der Sicherheit von<br />
<strong>Automatisierungs</strong>systemen. Vieweg Verlag, Braunschweig 1977<br />
[K2] Konakovsky, R.: Sichere Prozeßdatenverarbeitung mit Mikrorechnern.<br />
Oldenbourg Verlag, München 1988<br />
[K3] Konakovsky, R. (Tagungsleiter): Sicherheitstechnik und Automatisierung.<br />
VDI Berichte 1336, VDI Verlag, Düsseldorf 1997<br />
[K4] Halang, W.A., Konakovsky, R.: Sicherheitsgerichtete Software.<br />
<strong>Automatisierungs</strong>technik at, Heft 2 1998, S.93-103<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
417
§ 16 Abkürzungen, Literatur<br />
ZSA<br />
Literatur (6)<br />
[K5] Halang, W.A., Konakovsky, R.: Sicherheitsgerichtete Echtzeitsysteme.<br />
Oldenbourg Verlag 1999<br />
[L1] Leist, K.: Sicherheitsgerichtete speicherprogrammierbare Steuerungen.<br />
atp, Heft 6/87, S. 267-275<br />
[L2] LOGISIRE . Das sichere Mikrorechnersystem für komplexe<br />
Anwendungen. Technische Beschreibung. AEG<br />
[L3] Lörch, T.: Einsatz der FMEA in der Entwicklung der TAS Platform. DTK<br />
Hamburg 2000<br />
[M1] Myers, G. J.: Methodisches Testen von Programmen. Oldenbourg Verlag<br />
1982<br />
[S1] Siemens, Projekt ETCS2000, Systemgefährdungsanalyse<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
418
§ 16 Abkürzungen, Literatur<br />
ZSA<br />
Literatur (7)<br />
[T1] Trompeta, B.: PLT-Schutzeinrichtungen in petrochemischen Anlagen.<br />
Tagung Sicherheitstechnik und Automatisierung (Ltg. Konakovsky) in<br />
Langen 1997. VDI Berichte 1336, VDI Verlag, Düsseldorf 1997, S. 181-<br />
196<br />
[V1] Sicherheit komplexer Verkehrssysteme, VDI Bericht 1546, Mai 2000<br />
[V2] VDI/VDE 2180 Sicherung von Anlagen der Verfahrenstechnik mit<br />
Mitteln der Prozeßleittechnik (PLT), Blatt 1-5, 1998<br />
[V2] VDI/VDE 3541 Steuerungseinrichtungenmit vereinbarter gesicherter<br />
Funktion, Blatt 1-4, 1989<br />
[V2] VDI/VDE 3542, Blatt 1-4, Sicherheitstechnische Begriffe für<br />
<strong>Automatisierungs</strong>systeme 1998<br />
[Z1] Zender, P.: Struktur, Programmierung und Betrieb der<br />
sicherheitsgerichteten SPS zur Kombination von Sicherheit und<br />
Verfügbarkeit. Sichere Steuerungs- und Schutzsysteme (Hrsg. Zender),<br />
VDE Verlag, Berlin 1994, S. 45-62<br />
© <strong>2012</strong> IAS, Universität Stuttgart<br />
419