Modes And Effect Analysis)

Gefahrenanalyse mittels FMEA (Failure Modes And Effect Analysis) Vortragender: Holger Sinnerbrink Betreuer: Holger Giese Gefahrenanalyse mittels FMEA Holger Sinnerbrink Seite: 1

Gliederung Motivation Einordnung des Verfahrens Prinzip von FMEA und FMECA Vorstellung des Verfahrens am Beispiel Anwendbarkeit auf Software Zusammenfassung Gefahrenanalyse mittels FMEA Holger Sinnerbrink Seite: 2

Motivation In sicherheitskritischen Systemen besteht Notwendigkeit die ordnungsgemässe Funktion des Systems belegen (wenn möglich beweisen) zu können Risiken eines Systems für Nutzer oder Dritte Personen muss untersucht werden Bei hochgradig sicherheitskritischen Systemen ggf. Prüfbarkeit des Systems durch staatliche Stellen notwendig systematische Ansätze notwendig Gefahrenanalyse mittels FMEA Holger Sinnerbrink Seite: 3

Einordnung von FMEA Gefahrenursachen Auswirkungen von Komponentenversagen bekannt bekannt Beschreibung des Systemverhaltens unbekannt Deduktive Analyse (Fehlerbaumanalyse) Auswirkungen von Komponentenversagen unbekannt Induktive Analyse (FMEA) Explorative Analyse (HAZOP) Gefahrenanalyse mittels FMEA Holger Sinnerbrink Seite: 4

Beschreibung von FMEA Induktives Verfahren: Identifikation der Einzelkomponenten eines Gesamtsystems Für jede Komponente: Identifikation aller möglichen Fehler mit den jeweiligen Ursachen Auswirkungen des Fehlers auf die jeweilige Komponente sowie auf das Gesamtsystem tabellarische Darstellung der Ergebnisse Anmerkungen zu den Auswirkungen bzw. zur Systemverbesserung Angabe von Ausfallwahrscheinlichkeiten möglich Gefahrenanalyse mittels FMEA Holger Sinnerbrink Seite: 5

Beschreibung von FMECA (Failure Modes, Effects and Criticality Analysis) Basiert auf FMEA Erweitert FMEA: Besondere Beachtung kritischer Fehler quantitative Analyse Betrachtet Möglichkeiten der Risikominimierung Isoliert Teilbereiche eines Systems, die besonders kritisch sind Gefahrenanalyse mittels FMEA Holger Sinnerbrink Seite: 6

Beispiel Sicherheitskritisches System: chemischer Reaktor Kritischer Fehler: Anstieg von T 2 über kritisches Niveau Gefahrenanalyse mittels FMEA Holger Sinnerbrink Seite: 7

Hauptkomponenten des Systems S 1 : HNO 3 System: Ventil V 1 Wärmetauscher (innere Rohrleitungen) S 2 : Wasserversorgung: Pumpe druckluftbetriebenes Ventil V 2 Wärmetauscher (äusserer Mantel) S 3 : Sicherheitssystem S 4 : Kontrollsystem S 5 : Hilfsysteme S 6 : Umwelt Gefahrenanalyse mittels FMEA Holger Sinnerbrink Seite: 8

Bsp: : FMEA für HNO 3 System (S 1 ) Systemkomponente Funktion Fehlerfälle mögliche Ursachen direkte Auswirkungen Seiteneffekte Name Funktion Ventil V1 HNO 3 Zufluss stoppen Typ elektr. betriebenes Auf-Zu Ventil Zustände Offen (normal) Geschlossen (zu wenig Kühlwasser) Unbeabsichtigtes Schliessen Ventil schliesst nicht mech. Fehler elektr. Fehler Control-Fehler S 3 -Fehler s.o. + Verlust der Spannungsversorgung (48 V oder 380 V) (S 5 ) HNO 3 Fluss unterbrochen V 1 kann nicht mehr geschlossen werden, bei Wassermangel => T 2 kritisch Kontrollsystem (S 4 ) muss V 2 öffnen Gefahrenanalyse mittels FMEA Holger Sinnerbrink Seite: 9

Systemkomponente Funktion Fehlerfälle mögliche Ursachen Auswirkungen Seiteneffekte Zustände Offen (normal) Typ elektr. betriebenes Auf-Zu Ventil Unbeabsichtigtes Schliessen mech. Fehler elektr. Fehler Control-Fehler S 3 -Fehler HNO 3 Fluss unterbrochen Gefahrenanalyse mittels FMEA Holger Sinnerbrink Seite: 10

Funktion Systemkomponente Fehlerfälle mögliche Ursachen direkte Auswirkungen Seiteneffekte Typ elektr. betrieebenes Auf-Zu Ventil Zustände Geschlossen (zu wenig Kühlwasser) Ventil schliesst nicht s.o. + Verlust der Spannungsversorgung (48 V oder 380 V) (S 5 ) V 1 kann nicht mehr geschlossen werden, bei Wassermangel => T 2 kritisch Kontrollsystem (S 4 ) muss V 2 öffnen Gefahrenanalyse mittels FMEA Holger Sinnerbrink Seite: 11

FMEA für Wasserversorgung (S 2 ) Funktion Systemkomponente Fehlerfälle mögliche Ursachen direkte Auswirkungen Seiteneffekte Name Pumpe Typ E-Motor Ausfall der Pumpe Mech. Fehler Elektr. Fehler Stromausfall (6.6 kv) (S 5 ) Funktion Kühlwasserzirkulation Kühlwasserfluss unterbrochen Sicherheitssystem (S 3 ) muss V 1 schliessen (S 1 ) Gefahrenanalyse mittels FMEA Holger Sinnerbrink Seite: 12

Anmerkungen zum Beispiel Ausfall mehrerer Komponenten nur indirekt berücksichtigt, z.b: Fehler: Ausfall der Kühlwasser-Pumpe: Effekt: Kühlwasserfluss unterbrochen Seiteneffekt: Sicherheitssystem (S 3 ) muss V 1 schliessen (S 1 ) Anmerkung: falls S 3 ebenfalls ausgefallen => T 2 kritisch kritische Situation aufgrund mehrer ausgefallener Komponenten sind in der Tabelle nicht explizit genannt, => genaue Betrachtung der Seiteneffekte notwendig Gefahrenanalyse mittels FMEA Holger Sinnerbrink Seite: 13

Anmerkungen zum Beispiel (2) In zusätzlicher Spalte: Anmerkungen, z.b. zu: Risiken bei Ausfall mehrer Komponenten Risiken durch common mode Fehler Betrachtungen zur Verbesserung des Systems allgemein (inkl. Zuverlässigkeit) Im besonderen: Vorschläge zur Beseitigung von Risiken Gefahrenanalyse mittels FMEA Holger Sinnerbrink Seite: 14

Eigenschaften von FMEA Vorteile systematische Identifizierung aller Auswirkungen des Versagens einzelner Komponenten Ergebnis: u.a. Übersicht über alle Fehlerfälle und deren Ursachen Auswirkungen der Fehler Ergebnisse von FMEA (Fehlerfälle) können als Eingangsdaten für andere Verfahren genutzt werden (z.b. Fehlerbäume) Kann einfach zu FMECA verfeinert werden Gefahrenanalyse mittels FMEA Holger Sinnerbrink Seite: 15

Eigenschaften von FMEA (2) Nachteile Aufwendiges, teures Verfahren detaillierte Kenntnisse des Systems zur Durchführung der Analyse notwendig vollständige Systemspezifikation notwendig erkennt nur einzelne Fehler, keine mehrfachen oder common mode Fehler Gefahrenanalyse mittels FMEA Holger Sinnerbrink Seite: 16

FMECA Beispiel Beispieltabelle zu FMECA: Zusätzliche Angabe von: - Fehlerwahrscheinlichkeit - Gefährlichkeit des Fehlers Funktion mögliche Ursachen Systemkomponente Fehlerfälle Auswirkungen Wahrscheinlichkeit Level Name Pumpe Typ E-Motor Ausfall der Pumpe Mech. Fehler Elektr. Fehler Stromausfall (6.6 kv) (S 5 ) Funktion Kühlwasserzirkulation Kühlwasserfluss unterbrochen, S 3 muss V 1 schliessen 0.0006 kritisch Gefahrenanalyse mittels FMEA Holger Sinnerbrink Seite: 17

Anwendbarkeit auf Software Konzept nur schwer auf Software anzuwenden: Einzelne Komponenten von Software sind nicht voneinander unabhängig Weiteres Vorgehen: Identifikation aller möglichen Fehlerfälle mit den jeweiligen Ursachen Feststellung der Auswirkungen auf die jeweilige Komponente UND Seiteneffekte => Für (komplexe) Software: UNMÖGLICH Gefahrenanalyse mittels FMEA Holger Sinnerbrink Seite: 18

Anwendbarkeit auf Software (2) Auswertung der Ergebnisse (falls Analyse möglich): tabellarisch viel zu komplex Grosser Nachteil: FMEA erkennt nur einzelne Fehler Realität (bes. Software): mehrere Fehler (abhängige + unabhängige) common mode Fehler => beides leistet FMEA nicht Gefahrenanalyse mittels FMEA Holger Sinnerbrink Seite: 19

Fazit FMEA gut geeignet für: Prüfung einzelner besonders wichtiger Systemkomponenten hochgradig sicherheitskritische Systeme, in denen einzelne Fehler ein Risiko darstellen Erarbeitung eines Fehlerkataloges => Eingabe für weitere Verfahren Analyse der Zuverlässigkeit von Systemen möglich: Einbringung von Fehler-Wahrscheinlichkeiten Gefahrenanalyse mittels FMEA Holger Sinnerbrink Seite: 20

Fazit (2) FMECA: besonderen Berücksichtigung risikoreicher Elemente geringe Eignung von FMEA für: hochkomplexe Systeme, da sehr aufwändig Vernachlässigung des Faktors Mensch : fehlerhafte Bedienung des Systems unberücksichtigt keine Berücksichtigung mehrfacher, abhängiger Fehler, daher auch kaum geeignet für Softwaresysteme Gefahrenanalyse mittels FMEA Holger Sinnerbrink Seite: 21