Vorlesung - Prozessleittechnik 2 (PLT 2)

Transkript

1 Fakultät Elektro- & Informationstechnik, Institut für Automatisierungstechnik, Professur für Prozessleittechnik Vorlesung - Prozessleittechnik 2 (PLT 2) Sicherheit und Zuverlässigkeit von Prozessanlagen - Sicherheitslebenszyklus Teil 2: Spezifikation, Entwurf und Planung des Safety Instrumented System (SIS) A. Krause, L. Urbas Dresden,

2 Sicherheitslebenszyklus nach DIN EN [1] Teil 2: Spezifikation der Sicherheitsanforderungen an das Safety Instrumented System (SIS) Entwurf und Planung des SIS Sicherheitslebenszyklus - Entwurf Folie 2 von 55

3 SPEZIFIKATION DER SICHERHEITS- ANFORDERUNGEN Sicherheitslebenszyklus - Entwurf Folie 3 von 55

4 Auszug aus der Übersicht über den Sicherheitslebenszyklus eines SIS [1] Phase: Spezifikation der Sicherheitsanforderungen für das SIS Ziele: Festlegung der Anforderungen an jedes SIS in Form der notwendigen sicherheitstechnischen Funktionen und der zugehörigen Sicherheits- Integritätslevel zur Erreichung der erforderlichen funktionalen Sicherheit Sicherheitslebenszyklus - Entwurf Folie 4 von 55

5 Auszug aus der Übersicht über den Sicherheitslebenszyklus eines SIS [1] Anforderungen: DIN EN Abschnitt 10 Vorgaben: Beschreibung der Zuordnung der Sicherheitsanforderungen Ergebnisse: Sicherheitsanforderungen an das sicherheitstechnische System und an die Anwendungssoftware Sicherheitslebenszyklus - Entwurf Folie 5 von 55

6 Sicherheitsanforderungen 1/2 1) sicherheitstechnische Funktionen (SIF) und ihr zugehöriges Sicherheits-Integritätslevel (SIL) werden beschrieben, dazu gehören Erforderliche Messungen Erforderliche Maßnahmen zur Verhinderung von Gefährdungen Maßnahmen zur Betriebsführung Prozesszustände oder Abläufe, die verhindert werden sollen 2) Festlegung des sicheren Zustandes für jede einzelne SIF Sicherheitslebenszyklus - Entwurf Folie 6 von 55

7 Sicherheitsanforderungen (2/2) 3) Festlegung eines Prüfintervalls 4) Anforderungen an einen Handeingriff 5) Anforderungen an ein Wiederanfahren 6) Zielwert für die Häufigkeit aktiver Fehler 7) Schnittstellen zum Bediener 8) Erforderliche Überbrückungen (zur Prüfung des SIS während des Betriebs) 9) Ausfallarten und Verhalten bei Erkennen von Fehlern Sicherheitslebenszyklus - Entwurf Folie 7 von 55

8 Anforderungen an das Anwendungsprogramm Drei Arten von Software Anwendungssoftware Software-Hilfsmittel (zum Erstellen und Testen der Anwendungssoftware) Embedded Software (Firmware des PE) Drei Sprachtypen feste Programmiersprachen (FPL) mit eingeschränktem Umfang (LVL) mit vollem Sprachumfang (FVL) Sicherheitslebenszyklus - Entwurf Folie 8 von 55

9 Anforderungen an das Anwendungsprogramm Abgeleitet aus der Spezifikation des SIS wobei folgende Punkte wichtig sind Sicherheitsanforderungen der SIF einschließlich der Bewertung der Sensorik, etc. Anforderungen, die sich aus der Architektur des SIS und dem Sicherheitshandbuch ergeben (beispielsweise Einschränkungen der HW und Embedded SW) alle Anforderungen der Sicherheitsplanung Sicherheitslebenszyklus - Entwurf Folie 9 von 55

10 ENTWURF UND PLANUNG Sicherheitslebenszyklus - Entwurf Folie 10 von 55

11 Auszug aus der Übersicht über den Sicherheitslebenszyklus eines SIS [1] Phase: Entwurf und Planung des SIS Ziele: Entwurf eines SIS, das den Anforderungen bezüglich der sicherheitstechnischen Funktionen und ihrer Sicherheitsintegrität genügt Anforderungen: DIN EN Abschnitt 11 und 12 Sicherheitslebenszyklus - Entwurf Folie 11 von 55

12 Auszug aus der Übersicht über den Sicherheitslebenszyklus eines SIS [1] Vorgaben: Sicherheitsanforderungen an das SIS und an das Anwendungsprogramm Ergebnisse: Entwurf der SIS-Hardware und des Anwendungsprogramms in Übereinstimmung mit den Sicherheitsanforderungen, Planung des SIS- Integrationstests Sicherheitslebenszyklus - Entwurf Folie 12 von 55

13 Anforderungen an Entwurf und Planung 1) Allgemeine Anforderungen 2) Anforderungen an das Systemverhalten bei Entdeckung eines Fehlers 3) Anforderungen an die Hardware-Fehlertoleranz 4) Anforderungen an die Geräteauswahl 5) Feldgeräte 6) Schnittstellen 7) Anforderungen an die Instandhaltungs- und Testeinrichtungen 8) Ausfallwahrscheinlichkeit sicherheitstechnischer Funktionen (SIF) Sicherheitslebenszyklus - Entwurf Folie 13 von 55

14 ALLGEMEINE ANFORDERUNGEN Sicherheitslebenszyklus - Entwurf Folie 14 von 55

15 Allgemeine Anforderungen 1) muss alle Anforderungen der Spezifikation unter Berücksichtigung aller Anforderungen aus diesem Abschnitt erfüllen 2) Gemeinsam genutzte Einrichtungen müssen den Anforderungen des höchsten geforderten Sicherheits-Integritätslevels genügen 3) BPCS und SIS möglichst trennen 4) Anforderungen bezüglich Betrieb, Instandhaltung und Prüfung beachten 5) Berücksichtigung von Abhängigkeiten zum BPCS und zu anderen Schutzebenen Sicherheitslebenszyklus - Entwurf Folie 15 von 55

16 Warum die Trennung zwischen BPCS und SIS? um Ausfälle gemeinsamer Art, gemeinsame Ausfallart und systematische Ausfälle und den Einfluss von BPCS- Ausfälle auf das SIS zu vermindern um Änderungen, Instandhaltung, Prüfung und Dokumentation des BPCS zu erleichtern Klarere Validierung und Beurteilung der funktionalen Sicherheit Verringerung des Umfanges von Analysen Sicherheitslebenszyklus - Entwurf Folie 16 von 55

17 Arten der Trennung von BPCS und SIS Homogene Trennung gleiche Technologie für BPCS und SIS akzeptabel für SIL 1, SIL 2 und SIL 3 Reduzierung zufälliger Ausfälle Diversitäre Trennung unterschiedliche Technologie zusätzliche Verminderung systematischer Ausfälle (besonders wichtig für SIL 3 und SIL 4) Ausfälle gemeinsamer Ursache Sicherheitslebenszyklus - Entwurf Folie 17 von 55

18 Wo sollen BPCS und SIS getrennt werden? Gebiete, wo eine Trennung vorgesehen wird Sensoren Aktoren (Stellglieder) Logiksysteme (Steuerungen) Verdrahtung Eine körperliche Trennung ist nicht erforderlich, sofern die Unabhängigkeit sichergestellt ist. (z.b. Kabel oder Bussysteme nutzen gleiche Trassen) Sicherheitslebenszyklus - Entwurf Folie 18 von 55

19 Begriffe nach DIN EN [1] Ausfall in Folge gemeinsamer Ursache (en: common cause failure) Ausfall, der das Ergebnis eines oder mehrerer Ereignisse ist, die Ausfälle von zwei oder mehr getrennten Kanälen in einem mehrkanaligen System verursachen und zu einem Systemausfall führen. Ausfall in Folge gemeinsamer Ausfallart (en: common mode failure) gleichartiger Ausfall von zwei oder mehr Kanälen, der das gleiche falsche Ergebnis erzeugt. Sicherheitslebenszyklus - Entwurf Folie 19 von 55

20 Ausfall Fehler [1] Ausfall (en: failure) Beendigung der Fähigkeit einer Funktionseinheit eine geforderte Funktion auszuführen. Fehler (en: fault) anormaler Zustand, der eine Verminderung oder den Verlust der Fähigkeit einer Funktionseinheit verursachen kann, eine geforderte Funktion auszuführen. Sicherheitslebenszyklus - Entwurf Folie 20 von 55

21 Unterschiedliche Ausfallmodelle [4] Hierarchischer Aufbau einer funktionale Einheit Allgemeine Ansicht Ansicht nach DIN EN [4] Sicherheitslebenszyklus - Entwurf Folie 21 von 55

22 Systematischer und zufälliger Ausfall [1] Zufälliger Hardwareausfall Ausfall der zu einem zufälligem Zeitpunkt auftritt und der aus einem oder mehreren möglichen Mechanismen in der Hardware resultiert, die zu einer Verschlechterung der Eigenschaften von Bauteilen führt. Systematischer/s Ausfall/Versagen Versagen/Ausfall bei dem eindeutig auf eine Ursache geschlossen werden kann, die nur durch Modifikation des Entwurfs, [..] beseitigt werde kann. Sicherheitslebenszyklus - Entwurf Folie 22 von 55

23 Systematischer Ausfall [1] kann gezielt durch Simulation ausgelöst werden dazu gehört auch menschliches Versagen In der Spezifikation Beim Entwurf Bei der Implementierung Beim Einbau Beim Betrieb kann gewöhnlich nicht quantifiziert werden Sicherheitslebenszyklus - Entwurf Folie 23 von 55

24 ANFORDERUNGEN AN DAS SYSTEMVERHALTEN BEI ENTDECKUNG EINES FEHLERS Sicherheitslebenszyklus - Entwurf Folie 24 von 55

25 Gefahr bringender Fehler im Teilsystem Redundant sicheren Zustand herstellen/erhalten oder Prozess sicher weiterbetreiben und Reparatur Nicht-redundant, Anforderungsbetriebsart sicheren Zustand herstellen/erhalten oder Reparatur und zusätzliche Maßnahmen mit adäquater Risikominderung Nicht-redundant, kontinuierliche Betriebsart sicheren Zustand herstellen z.b. durch Abfahren Sicherheitslebenszyklus - Entwurf Folie 25 von 55

26 ANFORDERUNGEN AN DIE HARDWARE- FEHLERTOLERANZ Sicherheitslebenszyklus - Entwurf Folie 26 von 55

27 Begriffe [1] Fehlertoleranz Fähigkeit einer Funktionseinheit, eine geforderte Funktion bei Bestehen von Fehlern oder Abweichungen weiter auszuführen. Hardware-Fehlertoleranz (HFT) Fähigkeit einer Komponente oder eines Teilsystems, trotz des Vorliegens eines oder mehrerer gefahrbringender Hardwarefehler die geforderte SIF auszuführen. Sicherheitslebenszyklus - Entwurf Folie 27 von 55

28 Wozu Hardware-Fehlertoleranz? traditioneller Ansatz: Einzelfehler soll nicht zum Ausfall der gewünschten Funktion führen standardmäßig wurde deshalb HFT=1 umgesetzt, da widerstandsfähig gegen zufällige Hardwareausfälle Schutz auch gegen systematische Fehler, die nicht gleichzeitig auftreten Prozessindustrie benötigt mehrere Leistungsniveaus gestaffelte HFT abhängig vom SIL Sicherheitslebenszyklus - Entwurf Folie 28 von 55

29 Anforderungen an die Hardware-Fehlertoleranz (HFT) 1) Mindest-HFT für jede SIF 2) Anforderungen abgeleitet aus DIN EN [4] Pfad 2 H, DIN EN alternativ kann auch Pfad 1 H benutzt werden 3) Mindest-HFT hängt vom SIL der SIF ab 4) Reduzierung des Mindest-HFT für Typ A-Geräte möglich Route 1 H Route 2 H DIN EN Sicherheitslebenszyklus - Entwurf Folie 29 von 55

30 Faktoren für die Hardware-Fehlertoleranz Komplexität der Geräte im SIS Geräte vom Typ A oder Typ B Ausfalldaten aus Felderfahrung Anforderung bezüglich SIL Umfang der Fehlererkennung Abschaltverhalten aufgrund sicherer Ausfälle Ausfälle gemeinsamer Ursache und systematische Ausfälle Sicherheitslebenszyklus - Entwurf Folie 30 von 55

31 Mindest-HFT in Abhängigkeit vom SIL [1] Mindest-Hardware-Fehlertoleranz SIL x 2 (Betriebsart mit niedriger Anforderungsrate) x 2 (Betriebsart mit hoher Anforderungsrate) x 3 x 4 x Sicherheitslebenszyklus - Entwurf Folie 31 von 55

32 Typ A-Geräte und Typ B-Geräte [4] Typ A-Gerät Für alle Bauteile, die für die SIF relevant sind, ist das Ausfallverhalten eindeutig definiert kann das Verhalten des Elements unter Fehlerbedingungen vollständig bestimmt werden liegen ausreichend verlässliche Ausfalldaten vor Typ B-Gerät Für die Bauteile, die für die SIF relevant sind, gilt: das Ausfallverhalten für mindestens ein Bauteil ist nicht eindeutig definiert das Verhalten des Elements unter Fehlerbedingungen kann nicht vollständig bestimmt werden es liegen keine ausreichend verlässliche Ausfalldaten vor Sicherheitslebenszyklus - Entwurf Folie 32 von 55

33 Reduzierung der Mindest-HFT für Typ A-Geräte nach [1] Wenn die Mindest-HFT zu einer Verminderung der Gesamt- Prozess-Sicherheit führen würde, dann darf die HFT reduziert werden. Dies muss begründet und dokumentiert werden. [..] Wenn sich daraus eine HFT von Null ergibt, dann muss die Begründung nachweisen, dass die entsprechenden Gefahr bringenden Ausfallarten ausgeschlossen werden können. Das Potential für systematische Ausfälle muss dabei berücksichtigt werden. Sicherheitslebenszyklus - Entwurf Folie 33 von 55

34 Aktive und passive Fehler Sichere und Gefahr bringende Ausfälle Aktive Fehler Fehler, der Schutzfunktionen auslöst, ohne dass die aufgabengemäß festgelegten Bedingungen erfüllt sind. [2] Ungefährlicher Ausfall Ausfall ohne das Potential, das SIS in einen Gefahr bringenden oder funktionsunfähigen Zustand zu versetzen. [1] Passive Fehler Fehler, der die Schutzfunktion blockiert, obwohl alle aufgabengemäß festgelegten Bedingungen erfüllt sind. [2] Gefährlicher Ausfall Ausfall mit dem Potential das SIS in einen Gefahr bringenden oder funktionsunfähigen Zustand zu versetzen. [1] Sicherheitslebenszyklus - Entwurf Folie 34 von 55

35 Fehlererkennung - Erkennbare und nichterkennbare Fehler [1] Erkennbare Fehler können mit Diagnose oder im normalen Betrieb erkannt werden. Nicht erkennbare Fehler können nicht mit Diagnose oder im normalen Betrieb erkannt werden. Wiederholungsprüfung Prüfung zur Aufdeckung verdeckter Fehler im SIS [..]. Sicherheitslebenszyklus - Entwurf Folie 35 von 55

36 MooN-Systemarchitekturen für HFT c 1 1oo1-System c 1 c 2 2oo2-System oder 1oo2-System c 1 c 2 HFT=0 HFT=1 HFT=2 c 1 c 1 c 2 c 1 c 1 c 2 c 3 c 2 c 1 c 2 Redundanz - Verwendung mehrerer Elemente oder Systeme zur Durchführung der gleichen Funktion. Redundanz kann mit gleichartigen Elementen (homogene Redundanz) oder mit unterschiedlichen Elementen (Diversität) realisiert werden. [1] c 1 c 3 c 1 c 3 3oo3-System oder 2oo3-System oder 1oo3-System c 2 c 3 c 2 c 3 Sicherheitslebenszyklus - Entwurf Folie 36 von 55

37 Zuverlässigkeitsblockdiagramm (ZBD) [5] Boole sches Modell keine Analyse zeitabhängiger Ereignisse Annahme: Unabhängigkeit der Ereignisse Modellierung bedarf Definition von Systemausfall bzw. erfolg Ebene auf der modelliert wird quantitative Auswertung über einfache Boole sche Techniken Pfad- und Schnittanalysen Sicherheitslebenszyklus - Entwurf Folie 37 von 55

38 Überlebenswahrscheinlichkeit [5] Die Überlebenswahrscheinlichkeit eines Systems R S (t) ist die Wahrscheinlichkeit, dass ein System eine geforderte Funktion ohne Ausfall unter gegebenen Bedingungen für ein gegebenes Zeitintervall (0, t) erfüllen kann. Sie wird im Allgemeinen durch die Beziehung: l.. Ausfallrate Sicherheitslebenszyklus - Entwurf Folie 38 von 55

39 Ausfallwahrscheinlichkeit [5] Die Ausfallwahrscheinlichkeit Q S (t) ist das Komplement der Überlebenswahrscheinlichkeit und wird wie folgt berechnet: Q S (t)=1-r S (t) Sicherheitslebenszyklus - Entwurf Folie 39 von 55

40 Ausfallrate l(t) [4] Zuverlässigkeitsparameter einer Einheit derart, dass l(t)dt l ( t ) d t die Ausfallwahrscheinlichkeit dieser Einheit innerhalb [t, t+dt] ist, vorausgesetzt, dass sie während [0, t] nicht ausgefallen ist. Mathematisch: l(t) ist die bedingt Ausfallwahrscheinlichkeit je Zeiteinheit [t, t+dt] l(t) steht in starker Beziehung zur Überlebenswahrscheinlichkeit R(t) durch dr ( t ) l ( t ) 1 dt R ( t ) Sicherheitslebenszyklus - Entwurf Folie 40 von 55

41 Ausfallrate [6] Badewannenkurve (Weibull-Verteilung) Frühausfälle meist aufgrund von Ursachen im Produktionsund Entwicklungsprozess Ende der Lebensdauer aufgrund von Verschleiß und Alterung Bereich konstanter Ausfallrate (l=konstant) ist signifikant für Sicherheitsbetrachtungen, da nur hier quantitative Aussagen möglich sind Sicherheitslebenszyklus - Entwurf Folie 41 von 55

42 Verfügbarkeitsberechnungen [5] Anstelle der Überlebenswahrscheinlichkeit kann mit Zuverlässigkeitsblockdiagrammen auch die stationäre Verfügbarkeit berechnet werden. Dafür müssen die Werte der Überlebenswahrscheinlichkeit nur mit den Werten der Verfügbarkeit ersetzt werden. Das gilt nur, wenn die Reparatur (ebenso wie der Ausfall) einer Komponente unabhängig von der Reparatur der anderen Komponenten ist. MTTF Stationäre Verfügbarkeit A MTTF MTTR Sicherheitslebenszyklus - Entwurf Folie 42 von 55

43 MTTF, MTTR und MTBF Mean Time To Failure (MTTF) mittlere Dauer bis zum Ausfall MTTF=1/l, (wenn l konstant) Mean Time To Restoration [4] (MTTR) - mittlere Dauer bis zur Wiederherstellung MTTR=1/m, (wenn m konstant) Mean Repair Time [4] (MRT) mittlere Reparaturdauer Mean Time Between Failures (MTBF) mittlerer Ausfallabstand MTBF=MTTF+MTTR wenn MTTR << MTTF, dann wird MTTF = MTBF angenommen Sicherheitslebenszyklus - Entwurf Folie 43 von 55

44 Einfache Strukturen Serien- und Parallelstrukturen [5] Serienschaltung: R S (t)= R i (t) A1 B1 C1 R S (t)=r A1 (t) R B1 (t) R C1 (t) Parallelschaltung: Q S (t)= Q i (t) R S (t)=1-q S (t) =1- Q i (t) =1- (1-R i (t)) A1 B1 R S (t)=1-(1-r A1 ) (1-R B1 ) Sicherheitslebenszyklus - Entwurf Folie 44 von 55

45 Einfache Kombinationen von Serien- und Parallelstrukturen [5] Serienparallelstruktur (Systemredundanz) A1 B1 C1 A2 B2 C2 Parallelserienstruktur (Elementredundanz) A1 B1 C1 A2 B2 C2 Allgemeine Struktur A1 A2 B1 B2 C1 C2 D Sicherheitslebenszyklus - Entwurf Folie 45 von 55

46 Komplexe Strukturen[5] keine Vereinfachung zu Serien- und Parallelstrukturen möglich (a) mehrfaches Vorkommen einer Komponente (b) nur als Boole scher Ausdruck vorhanden (c) A a) b) B D A B1 B1 B2 C E c) F=c 1 c 2 v c 4 c 3 v c 1 c 4 c 5 => Anwendung des Theorems der totalen Wahrscheinlichkeit Sicherheitslebenszyklus - Entwurf Folie 46 von 55

47 Boole sche Ausdrücke Jedes ZBD kann als Boole scher Ausdruck formuliert werden. Dieser Ausdruck ist die Systemgleichung F. Aufstellung der Systemgleichung möglich über: Erfolgspfade oder Wahrheitstabellen. Erfolgspfade am Beispiel 2oo3-System: F= c 1 c 2 v c 1 c 3 v c 2 c 3 c 1 c 2 c 1 c 3 c 2 c 3 Shannon-Zerlegung: R S =R 1 P r (F c 1 =1)+(1-R 1 ) P r (F c 1 =0) Sicherheitslebenszyklus - Entwurf Folie 47 von 55

48 Theorem der totalen Wahrscheinlichkeit Shannon-Zerlegung [5] A 1 A n sind sich gegenseitig ausschließende Ereignisse, deren Wahrscheinlichkeiten in Summe gleich 1 ergeben. P(B)=P(B A 1 ) P(A 1 ) P(B A n ) P(A n ) Im ZBD gilt: P(A=1)+P(A=0)=R A +Q A =1 R S (t) =P r (F A=1) P(A=1) + P r (F A=0) P(A=0) =P r (F A=1) R A + P r (F A=0) Q A P r (F A=1).. Überlebenswahrscheinlichkeit des Systems unter der Bedingung, dass Komponente A funktioniert P r (F A=0).. Überlebenswahrscheinlichkeit des Systems unter der Bedingung, dass Komponente A ausgefallen ist Sicherheitslebenszyklus - Entwurf Folie 48 von 55

49 Zusammenfassung einiger Regeln Umformungsregeln F = c 1 c 2 R S =P r (F)=P r (c 1 c 2 )=R 1 R 2 F = c 1 v c 2 R S =P r (F)=P r (c 1 v c 2 )=R 1 +R 2 - R 1 R 2 Häufige Vereinfachungsregeln Neutralitätsgesetz a 1 a Extremalgesetz a 0 0 Komplementärgesetz a a 0 Absorptiosgesetz a ( a b ) a Sicherheitslebenszyklus - Entwurf Folie 49 von 55

50 NÄCHSTE WOCHE ÜBUNG Sicherheitslebenszyklus - Entwurf Folie 50 von 55

51 Übung Zuverlässigkeitsblockdiagramm Aufgaben Selbstständige Bearbeitung, 1 Student präsentiert eine Lösung Sicherheitslebenszyklus - Entwurf Folie 51 von 55

52 NÄCHSTE VORLESUNG Sicherheitslebenszyklus - Entwurf Folie 52 von 55

53 Sicherheitslebenszyklus Teil 1: Analyse Gefahren erkennen & Risiken bewerten Teil 2: Spezifikation & Entwurf Risiken reduzieren Teil 3: Inbetriebnahme & Betrieb Sicherheit aufrecht erhalten [1, 2] Sicherheitslebenszyklus - Entwurf Folie 53 von 55

54 Anforderungen an Entwurf und Planung 1) Allgemeine Anforderungen 2) Anforderungen an das Systemverhalten bei Entdeckung eines Fehlers 3) Anforderungen an die Hardware-Fehlertoleranz 4) Anforderungen an die Geräteauswahl 5) Feldgeräte 6) Schnittstellen 7) Anforderungen an die Instandhaltungs- und Testeinrichtungen 8) Ausfallwahrscheinlichkeit sicherheitstechnischer Funktionen (SIF) Sicherheitslebenszyklus - Entwurf Folie 54 von 55

55 Quellen [1] DIN EN 61511: Funktionale Sicherheit - Sicherheitstechnische Systeme für die Prozessindustrie. [2] VDI/VDE 2180: Sicherung von Anlagen der Verfahrenstechnik mit Mitteln der Prozessleittechnik. [3] NE 93: Nachweis der sicherheits-technischen Zuverlässigkeit von PLT- Schutzeinrichtungen [4] DIN EN 61508: Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme. [5] DIN EN 61078: Techniken für die Analyse der Zuverlässigkeit Zuverlässigkeitsblockdiagramm und Boole sche Verfahren. [6] Wratil, P., Kieviet, M.: Sicherheitstechnik für Komponenten und Systeme. Hüthig Verlag Heidelberg, Sicherheitslebenszyklus - Entwurf Folie 55 von 55