Systems Engineering Trends

Jede Woche Neuigkeiten aus der Welt des Systems Engineering

Funktionale SicherheitIndustrie

Wie funktioniert eine Fault Tree Analyse (FTA)?

Die Fault Tree Analyse (FTA) ist ein weiteres Werkzeug, das die Sicherstellung der funktionalen Sicherheit unterstützt. Zentrales Element ist ein Fehlerbaum, der mit Hilfe von Logikverknüpfungen die verschiedenen Kombinationen von Ausfällen, Fehlern, Irrtümern und normalen Ereignissen modelliert, die zum Auftreten eines bestimmten unerwünschten Ereignisses führen.

Die Fehlerbaumanalyse wird in der Luft- und Raumfahrt, in der Kernkraft, in der chemischen und verfahrenstechnischen Industrie, in der pharmazeutischen und petrochemischen Industrie sowie in anderen Hochrisikoindustrien eingesetzt. Eine FTA ist recht aufwändig und wird daher in der Regel nur dort eingesetzt, wo sie wirklich notwendig ist. Ein Systems Engineer sollte zumindest die Grundlagen der FTA kennen.

Ein Beispiel

Eine FTA beginnt in der Regel mit einem unerwünschten Ereignis.

1.Negativ-Ereignis festlegen

Zum Beispiel sollte ein Zug nicht mit offenen Passagiertüren fahren. Es gibt andere Techniken, mit denen wir die unerwünschten Ereignisse identifizieren können, zum Beispiel FMEA (Failure-Mode and Effect Analysis).

Da jedes Ereignis eine eigene FTA erfordert, sollten wir die Liste der Ereignisse sorgfältig erstellen. Sie dürfen nicht zu allgemein sein („Zug hat einen Unfall“) oder zu detailliert („Tür verklemmt“).

2.Kontext

Im nächsten Schritt müssen wir analysieren, inwieweit der Kontext relevant ist. Es könnte zum Beispiel sinnvoll sein zu unterscheiden, ob (1) der Zug mit offenen Türen anfährt oder (2) ob sich die Türen während der Fahrt geöffnet haben.

3.Erstellung des Fehlerbaums

Nun können wir den Fehlerbaum konstruieren, indem wir alle Ausfallursachen untersuchen. Im konkreten Beispiel könnte es entweder sein, dass das System irrtümlich annimmt, dass die Türen geschlossen seien. Oder dass es irrtümlich annimmt, dass der Zug sich nicht bewegt. Dabei reicht es aus, wenn einer dieser beiden Fälle eintritt.

Fehlerbäume werden in der Regel grafisch mit der folgenden Notation dargestellt (Quelle: Wikipedia):

Wir können dieses Beispiel nun ein Stück weiterentwickeln und untersuchen, wie einer dieser Fälle auftreten könnte. Ein banaler Ansatz wäre, einfach zwei Sensoren zu verbauen, die beide ausfallen können. In dem Fall müssten beide Sensoren ausfallen. Und zwar derartig, dass beide im offenen Zustand das Signal „Tür geschlossen“ melden.

Das bisher Beschriebene können wir nun grafisch darstellen, wie im Titelbild zu sehen.

Eine unvollständige FTA
4.Qualitative Analyse

Wir betreiben den ganzen Aufwand, um unser System sicherer zu machen. Im ersten Schritt führen wir eine qualitative Analyse durch, deren Ziel es ist, die für einen Ausfall verantwortlichen Komponenten zu finden.

Single Point of Failure und Cut Sets

Interessant sind immer „Single Points of Failure“ also Komponenten, deren alleiniger Ausfall das negative Ereignis herbeiführen würde. Falls wir nur einen Sensor verbaut hätten, dann wäre das ein Single Point of Failure.

In der Regel wollen wir Single Points of Failure vermeiden. In der Praxis ist dies jedoch nicht immer möglich. Zum Beispiel wäre das Abbrechen eines Flugzeugflügels ein Single Point of Failure, es ist jedoch unrealistisch, ein zweites Paar Flügel zu verbauen.

Im zweiten Schritt suchen wir nach Cut Sets. Das sind Mengen von Komponenten, deren gemeinsamer Ausfall das Eintreten des negativen Ereignisses hervorrufen würde. Von diesen gibt es natürlich viele. In der Praxis interessant sind die „Minimal Cut Sets“, also Mengen von so wenig Komponenten wie möglich.

5Qualitative Analyse

Bei der qualitativen Analyse arbeiten wir mit Ausfallwahrscheinlichkeiten. Dazu müssen wir Elementen des Baums Wahrscheinlichkeiten zuordnen. Zum Beispiel hat der Türsensor eine Ausfallwahrscheinlichkeit. Leider fehlen hier oft belastbare Zahlen. Lieferanten haben oft Komponenten im Sortiment, für die entsprechende Zahlen verfügbar sind. Natürlich zum entsprechenden Preis.

Wir müssen auch aufpassen, dass wir nicht nur eine allgemeine Ausfallwahrscheinlichkeit haben, sondern eine spezifische. In diesem Fall interessiert uns nur der Fall, dass der Sensor „Tür geschlossen“ meldet. Der Fehlerfall „Tür offen bei geschlossener Tür“ ist für diese FTA nicht interessant.

Wenn wir alle Eintrittswahrscheinlichkeiten gesammelt haben, können wir die Gesamtwahrscheinlichkeit für den Eintritt des Top-Ereignis berechnen. Die Mathematik dahinter ist einfach. Durch die in der Praxis recht großen Fehlerbäume ist dies eigentlich nur mit entsprechenden Softwarewerkzeugen zu bewältigen.

FTA in der Praxis

Zurück zur Frage: Wozu ist eine FTA denn gut und was rechtfertigt den Aufwand? Es gibt zwei Hautanwendungsszenarien:

  • FTA in der Entwicklung — Hier wird die FTA eingesetzt, um Compliance-Anforderungen zu erfüllen, zum Beispiel in der Luftfahrt, wo sehr strenge Auflagen herrschen.
  • FTA in der nachträglichen Fehleranalyse — Wenn in Betrieb ein bestimmtes Versagen häufig vorkommt, dann kann eine FTA helfen, das Problem nachhaltig zu beseitigen, zumindest bei Systemen ab einer gewissen Komplexität. Ohne FTA besteht die Gefahr, dass an der falschen Stelle nachgebessert und das Problem doch nicht nachhaltig beseitigt wird.

Photo by Finn Mund on Unsplash

Michael Jastram

Creator and Author of SE-Trends