Otto-von-Guericke-Universität Magdeburg Fakultät für Informatik Institut für Simulation und Grafik Seminararbeit Problem-/Gefahrenanalyse mittels Fehlerbaumanalyse Verfasser: Matthias Trojahn 14. November 2007 Betreuer: Benjamin Rauch-Gebbensleben Kristina Dammasch
INHALTSVERZEICHNIS i Inhaltsverzeichnis Inhaltsverzeichnis Abbildungsverzeichnis i ii 1 Abstract 1 2 Einleitung 1 3 Mathematische Grundlagen 1 4 Fehlerbaum/-analyse 2 4.1 Geschichte................................... 2 4.2 Beschreibung................................. 3 4.3 Aufbau..................................... 3 5 Analyse 4 5.1 Qualitative Analyse.............................. 4 5.2 Quantitative Analyse............................. 5 6 Beispiele 6 6.1 Kaffeekochen................................. 6 6.2 Funkbasierter Bahnübergang......................... 7 7 Anwendung 9 7.1 Einsatzgründe................................. 9 7.2 Anwendungsgebiete.............................. 9 7.3 Vorteile/Nachteile............................... 9 8 Zusammenfassung 10 Literatur 11
ii ABBILDUNGSVERZEICHNIS Abbildungsverzeichnis 1 Eine AND -Verknüpfung.......................... 2 2 Eine OR -Verknüpfung........................... 2 3 Das Fischgräten- /Ishikawadiagramm.................... 3 4 Symbole für die Fehlerbaumanalyse nach IEC 1025............ 4 5 Die qualitative Analyse............................ 5 6 Die quantitative Analyse........................... 6 7 Kaffeekochen................................. 7 8 Der Bahnübergang.............................. 7 9 Der Fehlerbaum................................ 8
1. ABSTRACT 1 1 Abstract Diese Arbeit befasst sich im Rahmen des Seminars Das virtuelle Labor (ViLab) im Wintersemester 2007/2008 mit der Fehlerbaumanalyse. Es ist wichtig ein Problem richtig analysieren und auswerten zu können, um die Ursachen herauszufinden. Leider fehlen dazu oft die passenden Mittel. Der Fehlerbaum bietet dafür einen guten, grafischen Lösungsansatz. Es wird in dieser Arbeit anhand anschaulicher Beispiele gezeigt, dass ein Fehlerbaum in der Industrie und sogar im täglichen Leben angewendet werden kann. 2 Einleitung Heutzutage bestehen technische Systeme wie Autos, Flugzeuge etc. nicht nur aus Blech und Schrauben. Stattdessen wird immer mehr auf Mikrocontroller und Software gesetzt, die dem Benutzer die Bedienung erleichtern sollen. Dieser Fortschritt bringt aber auch Nachteile mit sich. Ausfälle kommen zustande, die so komplex sind, dass meistens nur Fachleute sie beheben können. Durch einfache, verständliche Fehlerbäume kann man allerdings viele Probleme selber lösen. Mit Hilfe von grafischen Analysen ist es möglich einem Fehler auf den Grund zu gehen und wenn auch nicht den ganzen Fehler, mindestens die Fehlerquelle genau lokalisieren zu können. Doch nicht nur im Alltag ist der Fehlerbaum nützlich. 1996 beim Absturz der Ariane 5 hätte es zu diesem Problem gar nicht kommen müssen. Die Ariane 5 ist beim Start von ihrer geplanten Flugroute abgekommen und explodiert. Die Ursache war lediglich ein Fehler bei der Umrechnung der Horizontalgeschwindigkeit von einer 64-Bit Zahl in einen 16-Bit Wert. Das gleiche Problem trat auch bei dem Ersatzsystem auf, was zum gesamten Ausfall des Trägheitsnavigationssystems führte. Dies wurde aber nicht vom Hauptrechner erkannt, somit interpretierte er die Flugdaten falsch und änderte die Flugkurve drastisch, was dazu führte, dass die Raketen drohten auseinanderzubrechen. Dadurch wurde die Selbstzerstörung aktiviert. Das Problem ist nur entstanden, weil man das System von der Ariane 4 übernommen hatte. Allerdings funktionierte es dort, da diese nur eine geringere Geschwindigkeit erreichte. Dieses Beispiel wurde der Quelle [Thums04] entnommen. 3 Mathematische Grundlagen Um Fehlerbäume genau analysieren zu können, braucht man vor allem Wissen über stochastische Zusammenhänge. Dabei spielen für dieses Gebiet AND -Verknüpfungen und OR -Verknüpfungen eine große Rolle. Ein kleiner Einblick wird im folgenden gezeigt.
2 4. FEHLERBAUM/-ANALYSE Hierbei ist P E die Wahrscheinlichkeit für das Eintreten des Ereignisses E, analog P A und P B. Abbildung 1: Eine AND -Verknüpfung Bei der AND -Verknüpfung berechnet sich die P E aus dem Produkt von P A und P B, da beide Eingänge für das Ergebnis eine Rolle spielen. Abbildung 2: Eine OR -Verknüpfung Bei der OR -Verknüpfung werden beide Wahrscheinlichkeiten addiert, da aber in beiden Wahrscheinlichkeiten die Schnittmenge von A und B enthalten ist, muss diese noch einmal abgezogen werden. 4 Fehlerbaum/-analyse In dem folgenden Abschnitt soll der Fehlerbaum, der ein Teil der Zuverlässigkeitsanalysen ist, eingeführt und definiert werden. 4.1 Geschichte Allgemein wurde der Fehlerbaum während des 2. Weltkrieges vom Japaner Kaoru Ishikawa (1915-1989) entwickelt. Durch seinen Entwickler kam der Fehlerbaum zu vielen Namen wie Ishikawa-Diagramm oder Fischgräten-Diagramm, da es wie der Fehlerbaum die Ursache eines Problems in Form eines Fisches aufspaltet, bis das Problem weitestgehend tief analysiert ist. So entstand eine universelle grafische Methode zur Systemoptimierung und Fehlerursachenanalyse.
4. FEHLERBAUM/-ANALYSE 3 Abbildung 3: Das Fischgräten- /Ishikawadiagramm Auf diesem Modell wurde dann 1961 die Fehlerbaumanalyse(engl. Fault Tree Analyse (FTA)) von der amerikanischen Luft- und Raumfahrt zur Untersuchung eines Raketenabschuss-Systems entwickelt. Mittlerweile ist die Fehlerbaumanalyse mit der DIN 25424 und dem IEC 1025 standardisiert. 4.2 Beschreibung In einer Arbeit aus dem Wissenschaftszweig der Softwareentwicklung wird eine Fehlerbaumanalyse wie folgt beschrieben. Die FTA untersucht Anlagen oder technische Systeme daraufhin, ob sie Gefährdungen verursachen können. Dazu werden systematisch alle Ursachen für eine mögliche Gefährdung analysiert und das Gefährdungspotential aus den Ursachen abgeleitet. [Thums04] 4.3 Aufbau Der Fehlerbaum ist eine grafische Darstellung der logischen Zusammenhänge zwischen Fehlern und daraus entstehenden Ergebnissen. Die Baumstruktur wird zwischen zwei Gruppen von Symbolen unterschieden: Ereignisse (Events) und logischen Verknüpfungen (Gates). Die Ergebnisse werden wie folgt unterschieden: 1 Intermediate events (Rechtecke) sind Fehlerereignisse, die in einfachere (Fehler-) Ereignisse unterteilt werden können. 2 Basic events (Kreise) sind Fehlerereignisse, die sich nicht weiter unterteilen lassen. 3 Undeveloped events (Rauten) sind diejenigen Fehlerereignisse, die noch nicht unterteilt wurden, aber noch unterteilt werden müssen. Dies kann mehrere Ursachen haben. Zum einen, weil es in bestimmten Fällen unrelevant ist oder zum anderen, weil die Fehlerquelle erkannt, aber noch nicht weiter darauf eingegangen wurde. 4 House events (Hausform) sind Ereignisse, die Teile des Entscheidungsbaumes beeinflussen. Zum Beispiel wäre bei dem Problem der Bremsen eines Autos Regen ein house event.
4 5. ANALYSE Die wichtigsten logischen Verbindungen sind: 1 OR-Gates (Oder-Gatter), hier tritt der Fehler auf, falls ein oder mehrere Ereignisse eintreten. 2 AND-Gates (Und-Gatter), bei dem nur bei Eintreten aller Ereignisse (Input) der Fehler auftritt. 3 Transfer Gates, sind Verbindungspunkte bei sehr großen Systemen oder falls sich einige Teile wiederholen. Abbildung 4: Symbole für die Fehlerbaumanalyse nach IEC 1025 5 Analyse Bei dem Aufbau eines Fehlerbaumes muss man sich zwei Fragen stellen, da diese die Grundlagen der beiden Analyseformen sind. Bei der qualitativen Analyse muss geklärt werden, aufgrund welcher Ursachen ein Ergebnis eingetreten ist. Dagegen wird bei der quantitativen Analyse nach der Ausfallwahrscheinlichkeit eines Systems gesucht. Im folgenden werden diese beiden Formen näher erläutert (entnommen aus [Schw04]). 5.1 Qualitative Analyse Die qualitative Untersuchung befasst sich mit der Struktur des Fehlerbaumes. Es wird versucht alle Ursachen in einem System darzustellen, wobei die Art und Weise der Verknüpfungen Aufschluss über die Bedeutung einzelner Prozesse gibt. Ausgehend von dem
5. ANALYSE 5 Top-Ereignis (Problem) wird immer tiefer nach der Ursache des Problems gesucht. Daher wird der Fehlerbaum auch als eine top-down Analysetechnik bezeichnet, die einen gerichteten Graphen zur Darstellung nutzt. An diesem kleinen, stark abstrahierten Beispiel kann man die Bedeutung eines Fehlerbaumes schon erkennen. Als erstes sollte herausgefunden werden, welche minimale Kombination an Ereignissen notwendig ist um das Problem auszulösen. Diese werden als Minimal Cut Sets (MCS) bezeichnet. Man geht dabei nur von den Endknoten (Basis Event) des Baumes aus. Abbildung 5: Die qualitative Analyse In diesem Fall wären die MCS A,B,C,E,D,E. Das heißt, dass z.b. unter der Bedingung, dass C und E eintreten, das Problem ausgelöst wird. A und B würden jeweils schon alleine ausreichen, darum werden sie auch als Single Point Failures bezeichnet. Diese Fälle sind jedoch äußerst selten zu finden. 5.2 Quantitative Analyse Erst wenn die qualitative Analyse durchgeführt wurde, kann man das Problem quantitativ analysieren. Der Baum wird einfach übernommen und noch ergänzt. Hierbei lässt sich jetzt die Ausfallwahrscheinlichkeit des Gesamtsystems errechnen. Durch diesen quantitativen Beitrag ist ein gezielter Ansatz zur Verbesserung des Systems möglich. Als kleinen Auszug für die Berechnung möchte ich den Teilbaum, wo F das interne Top-Ereignis ist, beschreiben. Dazu benötigt man die Wahrscheinlichkeit vom G-Baum, der sich berechnen lässt durch: P G = P C + P D - P C * P D
6 6. BEISPIELE Abbildung 6: Die quantitative Analyse Für den F-Baum gilt analog: P F = P E + P G - P E * P G Somit lässt sich der Baum berechnen durch: P F = P E + (P C + P D - P C * P D ) - P E * (P C + P D - P C * P D ) 6 Beispiele In diesem Abschnitt stelle ich zwei Beispielszenarien vor und werde danach die Analysetechniken darauf anwenden. Zudem werden zu beiden Beispielen exemplarische Fehlerbäume dargestellt und erläutert. Zu Vereinfachungszwecken wird bei den beiden Beispielen nur die Methodik der quantitativen Analyse angewendet. 6.1 Kaffeekochen Eines der berühmtesten und meistverbreitesten Beispiele für die Fehlerbaumanalyse ist das Problem des Kaffekochens. Man steht morgens in der Küche und möchte sich einen Kaffee kochen, doch es geht nicht. Nun ist die Frage, wie man eventuell doch noch an seinen Kaffee kommt. Oft sind es nur kleine Probleme, die man einfach lösen kann. Der folgende Baum zeigt einige Vorgehensweisen wie man das Problem analysieren kann. Das Bild zeigt die quantitative Analyse, wobei das Problem (Top-Event) ist, dass es kein heißes Getränk gibt. Das liegt entweder daran, dass es kein Getränk gibt oder dass das Gerät nicht am Strom angeschlossen ist. Der zweite Grund ist hier sogar ein Basis Event.
6. BEISPIELE 7 Abbildung 7: Kaffeekochen Obwohl es so nahe am ursprünglichen Problem liegt, wird es aber nicht weiter verfolgt, da man in dem Moment nichts daran ändern könnte. Interessanter ist dabei der andere Ast. Damit ein Getränk da ist, muss z.b. Kaffee und Milch vorhanden sein. Das kann man sehr weit führen, muss dabei aber immer auch die Umsetzbarkeit prüfen. 6.2 Funkbasierter Bahnübergang Das zweite Beispiel ist ein Projekt der Deutschen Bahn AG, der sogenannte Funk- FahrBetrieb [Thums04]. Es geht darum, die Schranken bei einem annähernden Zug, der mit maximaler Zuggeschwindigkeit (160 km/h) fährt, dezentral zu schließen. Dabei wird durch Signalübertragung zwischen Zug und Schranke berechnet, wann die Schranke schließen, muss damit die Wartezeiten für Zug und Autos minimiert wird. In der folgenden Abbildung ist das Funktionsprinzip skizziert. Abbildung 8: Der Bahnübergang
8 6. BEISPIELE Wenn der Zug sich in optimaler Entfernung zur Schranke befindet, sendet er ein Schließsignal. Die Schranken sind im Streckenprofil des Zuges enthalten und die Geschwindigkeit und Position misst ein sogenannter Odometer. Wenn die Schranke geschlossen ist, schickt sie das Signal gesichert an den Zug zurück. Bekommt er jedoch den Status ungesichert zurück, bremst er. Abbildung 9: Der Fehlerbaum In Abbildung 9 ist ein Fehlerbaum dargestellt, der die Gefahren einer Kollision analysiert. Allgemein gibt es zwei große Fehlerbereiche. Einmal bremst der Zug nicht, hat aber auch keine Freigabe. Der zweite Bereich ist, dass er Freigabe hat, aber die Schranken nicht geschlossen sind. Die Ursache, dass ein Zug nicht bremst, kann an den defekten Bremsen (primär und sekundär) liegen oder dass es kein Bremssignal gibt, bei keiner Freigabe. Das kann dann sein, wenn es einen Fehler in der Zugsteuerung gibt. Auf der anderen Seite ist es möglich, dass das Freigabesignal gegeben wurde, die Schranken aber noch offen sind. Des Weiteren kann es sein, dass die Schranken wieder öffnen, weil es einen Timeout gibt (dabei werden die Schranken automatisch wieder geöffnet) oder der Zug schon signalisert, dass er durchgefahren ist.
7. ANWENDUNG 9 Das Letzte ist besonders wichtig, da bevor der Fehlerbaum erstellt wurde, es diese Überlegung nicht gab und dafür somit keine Lösung. Daraufhin wurde die Fallstudie nochmal bearbeitet und die entscheidenden Sicherheitsvorkehrungen überarbeitet. 7 Anwendung Wenn man ein Verfahren vorstellt, muss auch gezeigt werden warum und wie es genutzt wird. Daran kann man dann die Vor- und Nachteile aufdecken. Einen kleinen Einblick darüber soll dieser Abschnitt geben. 7.1 Einsatzgründe Fehlerbäume sind vorallem für den Hersteller von Bedeutung. Es ist immer wichtig kostengünstige Produkte zu bauen, die zuverlässig sind. Was ist schon ein Produkt, was zwar billig ist, aber dauernd repariert werden muss? Durch diese Vorfälle wird der Kunde unzufrieden sein und nie mehr ein Produkt der Firma kaufen. Zudem sind Garantiefälle schlecht für den Hersteller, da er zusätzliche Kosten aufbringen muss. Weiterhin ist die Vermeidung von Funktionseinbußen und Konventionalstrafen ein wichtiges Thema. 7.2 Anwendungsgebiete In Abschnitt 6.2 wurde bereits das Beispiel von dem funkbasiertem Bahnübergang erklärt. Das ist zwar nur ein fiktives Projekt, aber es verdeutlicht wie wichtig es für den Fortschritt ist. Daher sollte jedes produzierende Unternehmen mehrere Fehlerbaumanalyse machen. Zum einen geht es dabei um die Produktion an sich und zum anderen geht es um das Produkt direkt. Sicherheitsanalysen können speziell durch die qualitativen Analysen gut dargestellt werden. Des Weiteren kann man es in der Medizin und Schifffahrt einsetzen. 7.3 Vorteile/Nachteile Die Vorteile sind ein schnelles Verständnis durch die grafische Darstellung, es ist intuitiv. Man bekommt qualitative und quantitative Ergebnisse. Mathematische Grundlage ist dabei die boolesche Algebra, die eine eindeutige Entscheidung bewirkt. Um einen korrekten Baum zu erzeugen, muss man intensive Untersuchungen des Systems und des Zusammenwirkens der Komponenten machen. Dabei beschäftigt man sich so stark mit der Materie, dass oft noch Fehler aufgedeckt werden können. Dem gegenüber stehen die Nachteile, wo das größte Problem ist, dass menschliches Versagen nicht erfassbar ist. Außerdem muss das Top Ereignis vorher bekannt sein, neue Gefahren werden nicht entdeckt. Je Baum kann es nur ein Top Ereignis geben. Die Fehlerbäume sind schon bei kleinen Systemen sehr umfangreich und es wird ein fundiertes Fachwissen gebraucht, um es zu erstellen.
10 8. ZUSAMMENFASSUNG 8 Zusammenfassung Eine allgemeine Vorgehensweise um einen Fehlerbaum zu erstellen gibt es nicht, da jedes Problem anders geartet ist. Das Verfahren eignet sich besonders zur Analyse komplexer Systeme für die Ausfallwahrscheinlichkeit und den Ausfallgrund. Die Top-Down Vorgehensweise ist logisch und leicht nachvollziehbar. Es würde im Idealfall dazu führen, dass der Fehlerbaum genauso wie eine Bottom-Up Analyse aussieht, was in der Praxis aber selten der Fall ist. Dabei sollten beide Analyseformen genutzt werden. Abschließend kann man noch sagen, dass ein Fehlerbaum nur so gut ist, wie die Fähigkeit des Gestalters, Fehler vorherzusehen und das Problem zu verstehen.
LITERATUR 11 Literatur [Thums04] Thums, A.: Formale Fehlerbaumanalyse. 2004, Dissertation, http://www.opus-bayern.de/uniaugsburg/volltexte/2004/38/pdf/everoeffentlichung.pdf Stand: 12.11.2007 [Schw04] Schwindt, E.: Gefahrenanalyse mittels Fehlerbaumanalyse. 2004, Seminararbeit, http://wwwcs.uni-paderborn.de/cs/agschaefer/lehre/lehrveranstaltungen/seminare/aeizs/abgaben/folien/ 3 F T A E Schwindt.pdfStand : 12.11.2007