Safety and Reliability of Embedded Systems

Ähnliche Dokumente
GESELLSCHAFTLICHE AKZEPTANZ

Prof. Dr.-Ing. Peter Liggesmeyer. Qualität Eingebetteter Systeme: Beispiel Sicherheit Die Bedeutung von Standards Die Erfahrung Der Common Sense

Ein Beispiel für die Anwendung des Risikographen

Medizininformatik. Insulinpumpe Fachgebiet Technische Informatik ti.uni due.de. Medizininformatik Sommersemester 2017

Technisches Risikomanagement 2009 Matthias Herold

Dokumenten-Nr.: Bewertung von Abweichungen, Fehlern und Mängeln 2/5

Erfahrungsberichte zur Umsetzung einer Gefahren- und Risikobeurteilung für Kessel, Turbine u. Nebenanlagen

Berechnung und Bewertung des individuellen Risikos für den öffentlichen Verkehr

Risikomanagement bei der Aufbereitung von Medizinprodukten Teil 2 Dr. Thomas Kießling TÜV Rheinland LGA Products GmbH

1./2. Dezember 2008 / Braunschweig Das Risikokonzept

Beurteilung des individuellen Risikos

Das tolerierbare Grenzrisiko nach MEM - eine Konstante?

No risk - no fun Lebendige Zahlen - mein Risiko und ich

Risiko-Management für Mittelständische Unternehmen. Quelle: Riskmanagement System, swissconsultants.ch

Interne Solvenzmodelle für Non-Life Versicherungen in in der Schweiz

Risikobeurteilung oder Gefährdungsbeurteilung?

12 Systemsicherheitsanalyse

Risikomanagement. Schaden

Informationen zur Risikoanalyse für die Verwendung von Sitzgurten mit verschiedenen Liftertypen. 25. November 2010

Die Bedeutung von Abhängigkeitsstrukturen in der Rückversicherung. Dresdner Versicherungsforum 23. Juni 2006 Dr. Ekkehard Kessner

Nachklausur Statistik

Arbeitsschutz im Betrieb (Verantwortung und Unterstützung) Das Vorschriften- und Regelwerk des Arbeitsschutzes

6.6 Poisson-Verteilung

Risikomanagement: Aufgabensammlung I

Interne Strukturen des DRK

1. IT-Grundschutz-Tag 2014

Nüchtern betrachtet führt jegliche Wissenschaft lediglich zum vorläufig letzten Irrtum. (Kafka)

Projektrisiken analysieren

FTg SMS, , WS 3.1. Workshop 1. Umgang mit Risiken. Fachtagung SMS , Bern. Gerhard Züger. Leiter Produktion und Rollmaterial zb

mit. Wir definieren (Skalarprodukt = Winkel).

Aufgabe 1.3. Teil a) Teil b)

Risikoanalyse (Schritt 1 bis 3) Risikobewertung (Schritt 4) Risikokontrolle (Schritt 5 bis 10) Gesamtrisikobewertung (Schritt 11)

Die Risikoadjustierung im Leistungsbereich Dekubitusprophylaxe - laienverständlich erklärt -

Technisches Forum Kernkraftwerke Frage 22

Haftung im Brandschutz

Können Risiken aus technisch-ökonomischen Entwicklungen zuverlässig eingeschätzt werden? 1

Bewertungssystem Nachhaltiges Bauen (BNB) Neubau Büro- und Verwaltungsgebäude

Risikotragfähigkeitsmodelle für nichtfinanzielle Risiken in produzierenden Unternehmen

Wahrscheinlichkeiten

Täuschung und Manipulation mit Zahlen Teil 1

No risk, no fun? Risikomanagement in Doku-Projekten

Ihre Schweizer Versicherung. Workshop Risikoanalyse Umgang mit Risiken im öffentlichen Verkehr 6. Basler Risikotag, Freitag 28.

Carl Friedrich Gethmann. Die rationale Rekonstruktion von Risiken bei Schadenszenarien mit großem Schadensausmaß ( Katastrophen )

Chancen & Risiken. Was überwiegt? Handlungsbedarf? Nürnberg, 02. März 2017

Messbare Sicherheit?

Berufsgenossenschaften

Aufgabenblock 3. Durch zählen erhält man P(A) = 10 / 36 P(B) = 3 / 36 P(C) = 18 / 36 und P(A B) = 3 /

2. Klassifizierung von PLT-Schutzeinrichtungen gemäß VDI/VDE-Richtlinie

Fall Handlungskomplex: Die Alkoholfahrt des Al. Strafbarkeit des Al wegen fährlässiger Tötung gem. 222 StGB durch Erfassen des Mopeds

Analyse eines zweistufigen, regionalen Clusteralgorithmus am Beispiel der Verbundenen Wohngebäudeversicherung

Interne Strukturen des DRK

JWG B3-35. Substation Earthing System Design Optimisation through the Application of Quantified Risk Analysis

Methoden zur Zielfindung

In der VWL-Bibliothek befindet sich ein Mikro III-Ordner:

Vgl. Ehrmann, Harald: Kompakt-Training Risikomanagement: Rating - Basel II, Ludwigshafen (Rhein), 2005, S.52, 188, 201.

Risikomanagement. von Medizinprodukten der Klasse I. Univ.-Prof. Dipl.-Ing. Dr. N. Leitgeb

RMSecur Umfassende Risikoberatung für Ihre Logistik RMSecur Risk-Management

Todesfälle nach Todesursachen und Geschlecht, Kanton St.Gallen

Inventarisierung + Bewertung von IT-Risiken

Nutzen-Schaden-Bewertung von Arzneimitteln nach der Zulassung

Versicherungstechnik

Risikomanagement - Prozessmodelle im Kontext von Verträgen Nutzen und Standards

Sicherheitstechnischen Anlagen in Sonderbauten. Gewerke übergreifende Prüfungen

Todesfälle nach Todesursachen und Geschlecht, Stadt St.Gallen

Was sagen uns Odds Ratio oder Risk Ratio in medizinischen Studien?

Gefährdungsanalyse für Veranstaltungen

Dualitätssätze der linearen Optimierung

ISO 9001:2015 denkt risikobasiert weiter Anni Koubek, Quality Austria

PRAXISTAUGLICHE RISIKOBEWERTUNG VON BETRIEBSBEREICHEN UND ANLAGEN, DIE DER 12. BIMSCHV UNTERLIEGEN

Kriterien für die Beurteilung von Gefährdungen durch technische Anlagen

Regierungspräsidium Darmstadt

Herzlich. Willkommen zum Seminar Gefährdungsbeurteilung

HTC: Neue Technologie - Herausfordernder Weg zum ersten Grossprojekt in der Schweiz

Teil II. Wahrscheinlichkeitsrechnung

Teil II. Wahrscheinlichkeitsrechnung. Inhaltsverzeichnis (Ausschnitt) Zufallsexperimente (Zufallsvorgänge) Ergebnisse

Begriffe zum Risiko. Quelle: ONR 49000:2008. Risikomanagement 2011 Projekt Ragus / Sojarei Mag. Michael Forstik Unternehmensberatung 7210 Mattersburg

Sicherheitspsychologische Programme zur VISION ZERO

Risiko ist, wenn Kundenanforderungen gefährdet sind.

Ältere im Straßenverkehr

Bestimmung aufgabenträgerorientierter Informationsbedarfe in industriellen Unternehmen

Schriftenreihe Finanz- und Risikomanagement. Band 16. Stefan Peter Giebel. Optimierung der passiven Risikobewältigung

Täuschung und Manipulation mit Zahlen

IV. Symposium für moderne Technik im Aufzug Schwelm 15./16.Mai Verfügbarkeit von Aufzügen aus Betreibersicht

Risikomanagement in KMU als Mittel der Arbeitsplatzbeschaffung und -sicherung

1. Grundlagen der Wahrscheinlichkeitsrechnung

Univ.-Prof. DDr. Franz Adunka, A

Gemeinsamkeiten von Hygiene und Arbeitsschutz bei der Beurteilung von Infektionsrisiken

KAP 1. Normalform Definition Ein Spiel G in Normalform (auch: Strategieform) besteht aus den folgenden 3 Elementen:

Unfallbilanz Polizeiinspektion Prüm 2015

Synthese Eingebetteter Systeme. Übung 6

Martha C. Nussbaum: Emotionen als Urteil über Wert und Wichtigkeit

Wie stellt man Qualität sicher? Prozessmodelle, Requirements Engineering. Hassenzahl, M. (2004). Interaktive Produkte wahrnehmen, erleben,

BGH, Beschluss vom 18. November 1969, BGHSt 23, 156 Schläfrigkeit

Bewertung von biometrischen Risiken in der bav

Risikoanalyse am Arbeitsplatz

SEMINAR "WIRTSCHAFTSSTRAFRECHT- COMPLIANCE" (17./18. JUNI 2016)

INDUSTRIEVERBUND MEDIZINTECHNIK

Ingenieur-Bureau Oscar Kihm AG Seestrasse 14b CH-5432 Neuenhof

I. Überblick über Kinderunfälle im Straßenverkehr Unfallzahlen 2010 sowie die Veränderung im Vergleich zum Vorjahr:

Transkript:

(Sicherheit und Zuverlässigkeit eingebetteter Systeme) -Verfahren Prof. Dr. Liggesmeyer, 1 Definition Risiko verfahren MEM Beispiel: Risikograph nach DIN 19250 Prof. Dr. Liggesmeyer, 2

Definition Risiko Definition Risiko: R = H * S H zu erwartende Häufigkeit des Eintritts eines Ereignisses, das zu einem bestimmten Schaden führt S das bei Ereigniseintritt zu erwartende Schadenausmaß Prof. Dr. Liggesmeyer, 3 Definition Risiko Die Häufigkeit H kann objektiv durch Angabe von Wahrscheinlichkeiten oder Raten quantifiziert werden. Verfahren zur Bestimmung bzw. Modellierung von Schadensereignissen (z.b. Fehlerbaumanalysen) sind ein adäquates Mittel um H zu bestimmen. Das Schadensausmaß kann oft nur subjektiv quantifiziert werden, da Schäden oft potentiell sehr unterschiedlich sein können. Finanzielle Schäden, Leichtverletzte, Schwerverletzte oder getötete Personen können objektiv kaum gegeneinander verglichen werden. Vergleiche eines gegebenen Risikos, das durch ein System verursacht ist, mit akzeptablen Risiken sind deshalb ebenfalls subjektiv. Prof. Dr. Liggesmeyer, 4

Übersicht Risikobegriffe Für den Umgang mit Risiken sind deren Identifikation, Bewertung und Akzeptanz wichtige Schritte. Im folgenden wird die betrachtet. Prof. Dr. Liggesmeyer, 5 Ziele Ziel der ist die systematische, begründete Herbeiführung einer Entscheidung darüber, ob ein betrachtetes, bewertetes Risiko akzeptiert werden kann, oder das System von dem das Risiko ausgeht, so nicht betrieben werden kann, weil das betrachtete Risiko zu hoch ist. Dies ist insbesondere bei Systemen, die sicherheitskritisch sind, eine Betrachtung, die von Zulassungsstellen als Voraussetzung für die Zulassung zum Betrieb durchgeführt wird (z.b. für Systeme des Schienenverkehrs). Die Kosten der Risikoreduktion steigen nicht linear mit der Verkleinerung der Restrisiken an, sondern entwickeln sich überproportional. Daher gibt es ein wirtschaftliches Optimum der Kosten, die ein System verursacht und seiner Restrisiken. Dieses Optimum kann akzeptabel sein. Es ist aber auch möglich, dass die damit verknüpften Restrisiken zu hoch sind und aus Risikosicht eine weitere Restrisikoreduzierung erforderlich ist. Prof. Dr. Liggesmeyer, 6

Wie sicher ist sicher genug? Prof. Dr. Liggesmeyer, 7 Einflussfaktoren für Welche Risiken akzeptabel sind, ist ebenfalls subjektiv und unter anderem von folgenden Faktoren abhängig: Wie hoch ist der Nutzen? Große Strecken in der Luftfahrt: Bezieht man die Gefährdung auf die zurückgelegte Strecke oder auf die im Flugzeug verbrachte Zeit? Wer ist gefährdet? Raumfahrer, Kranke, Bahnpassagiere, Betriebspersonal, unbeteiligte Dritte Wie hoch ist der Grad der Selbstbestimmung? Autofahrer vs. Aufzug Wie viele Menschen befinden sich in Gefahr? Auto vs. Kernkraftwerk - Schadenausmaß: Tod? Verletzte? Prof. Dr. Liggesmeyer, 8

Grenzkosten vs. Fremdbestimmung Prof. Dr. Liggesmeyer, 9 Grenzwert für individuelles Risiko pro Jahr vs. Fremdbestimmung Prof. Dr. Liggesmeyer, 10

-Verfahren Einige wichtige Verfahren zur quantitativen sind: MEM (Minimale Endogene Mortalität) GAMAB (Globalement Au Moins Aussi Bon) ALARP (As Low as Reasonably Practicable) Prof. Dr. Liggesmeyer, 11 -Verfahren MEM MEM - Minimale Endogene Mortalität Das Verfahren MEM basiert darauf, dass es verschiedene vom Alter und vom Geschlecht abhängige Todesraten in der Gesellschaft gibt. Ein Teil der Todesfälle ist durch technische Systeme verursacht. MEM vergleicht die Risiken, die durch ein neues System zustande kommen, mit den bereits vorhandenen Risiken, deren Wirkung in Form der natürlichen Sterblichkeit bekannt sind. MEM fordert, dass ein neues technisches System nicht nennenswert zur Todesrate, die durch technische Systeme verursacht wird, beiträgt. Untersuchungen weisen die niedrigste Todesrate für 13jährige, gesunde Jungen mit einem Wert von 2 10-4 Tote pro Person und Jahr aus. 10-5 Tote pro Person und Jahr für ein neues technisches System werden als nennenswerter Beitrag zu dieser Rate angesehen. Bei einer größeren Zahl von Toten pro Unfall sinkt die Akzeptanz weiter. Prof. Dr. Liggesmeyer, 12

Minimale Endogene Mortalität (MEM) Prof. Dr. Liggesmeyer, 13 -Verfahren MEM MEM - Minimale Endogene Mortalität MEM ermöglicht die Durchführung der Restrisikoakzeptanz auch für neuartige Systeme, bei denen kein Vergleich mit bereits existierenden ähnlichen Systemen möglich ist. Unklar ist die zeitliche Bezugsbasis, d.h. wird der Aufenthalt eines bestimmten Individuums oder der Aufenthalt irgendwelcher Menschen im Gefahrenbereich betrachtet. Darüber hinaus ist fraglich, ob die Betrachtung eines einzelnen Systems ausreicht, da wir einer Vielzahl von Systemen ausgesetzt sind und sich die Einzelrisiken kumulieren können. Prof. Dr. Liggesmeyer, 14

-Verfahren MEM Das kollektive Risiko (Risk of Fatality, RF gesamt ) entsprechend MEM wird aus den Gefährdungen 1,..,i wie folgt berechnet: Es handelt sich hier um eine dem System eingeprägte Größe, die unabhängig von der Aufenthaltsdauer einer betrachteten Person ist. Prof. Dr. Liggesmeyer, 15 -Verfahren MEM Das individuelle, wahrgenommene Risiko (Individual Risk of Fatality; IRF i ) für eine Person i kann aus den Gefährdungen wie folgt berechnet werden: Prof. Dr. Liggesmeyer, 16

-Verfahren MEM Extrembeispiel: Achterbahn Annahmen: Gefährdung: Fahrwegbruch Niemand überlebt: C F = 1 Toter Sie fahren einmal pro Jahr: NP = 1/a 10-4 h-1 Eine Fahrt dauert 5 min: E = 0,08 h Dauer der Gefährdung: D = 0,01 h Frage: Wie groß darf die Gefährdungsrate HR sein, damit MEM erfüllt ist? Prof. Dr. Liggesmeyer, 17 -Verfahren MEM Extrembeispiel: Achterbahn Antwort: IRF i = 10-4 h -1 HR 0,09 h 1 Tote << 10-5 / a 10-9 h -1 HR = HR << 1,11 10-4 h-1 1/a Kollektives Risiko vielleicht 50 Tote pro Jahr => sicherlich nicht akzeptabel! Prof. Dr. Liggesmeyer, 18

-Verfahren GAMAB GAMAB Globalement Au Moins Aussi Bon Im Gegensatz zu MEM erfordert GAMAB die Existenz eines Vergleichssystems, dessen Restrisiken akzeptiert sind. Die Basisforderung von GAMAB ist, dass die durch ein neues System hervorgerufenen Restrisiken nicht höher sein dürfen als jene des Vergleichssystems. Anders formuliert: Innovativere Lösungen dürfen keine erhöhten Risiken hervorrufen (GAMAB: Globalement Au Moins Aussi Bon = global (insgesamt) mindestens genau so gut). Bei der Anwendung des Verfahrens ist das Wort globalement (insgesamt) wichtig. Es ist zulässig die Verschlechterung eines Restrisikos durch die Verbesserung eines anderen Restrisikos zu kompensieren. Entscheidend ist letztendlich die Summe der Restrisiken des Gesamtsystems. GAMAB verlangt im Grunde die Bestimmung der Restrisiken des betrachteten Systems und deren Vergleich mit den Restrisiken des Vergleichssystems. Dies kann z.b. durch eine explizite Risikoanalyse (z.b. mit Fehlerbäumen) durchgeführt werden. Das System ist akzeptabel, wenn es insgesamt nicht schlechter ist, als das Vergleichssystem (s. EN 50126). Prof. Dr. Liggesmeyer, 19 -Verfahren ALARP ALARP As Low as Reasonably Practicable ALARP strebt die Minimierung von Risiken unter Berücksichtigung wirtschaftlicher und sozialer Aspekte an. ALARP versucht das technisch Machbare, vor dem Hintergrund dessen, was gesellschaftlich akzeptabel und finanziell sinnvoll ist, zu bewerten (s. Abb.). Das Gesamtrisiko kann in einen von drei möglichen Bereichen fallen: Das Risiko ist so unerheblich, dass es ohne weitere Maßnahmen akzeptiert werden kann. Das Risiko ist größer als allgemein akzeptabel, aber unterschreitet die obere Grenze der Tolerabilität. Das Risiko ist unakzeptabel groß. Prof. Dr. Liggesmeyer, 20

-Verfahren ALARP Prof. Dr. Liggesmeyer, 21 -Verfahren ALARP ALARP: Falls das Risiko unerheblich ist, so ist entsprechend ALARP keinerlei Maßnahme erforderlich. Falls das Risiko unakzeptabel hoch ist, so müssen in jedem Fall risikoreduzierende Maßnahmen durchgeführt werden. Die korrekte Einstufung erfordert eine Bewertung der Restrisiken und einen Vergleich mit den entsprechenden Werten für die Akzeptanz. Diese Werte sind branchenspezifisch und unterscheiden verschiedene Personengruppen. So wird man in der Branche Schienenverkehrssysteme für einen Eisenbahnangestellten größere Restrisiken akzeptieren als für einen Passagier. ALARP fordert, dass das Restrisiko welches durch ein neues System erzeugt wird, darunter liegt. Prof. Dr. Liggesmeyer, 22

Teilaspekte der funktionalen Sicherheit Prof. Dr. Liggesmeyer, 23 Risikograph nach DIN 19250 Prof. Dr. Liggesmeyer, 24

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback