Gefahrenanalyse mittels Fehlerbaumanalyse

Ähnliche Dokumente
Modes And Effect Analysis)

Folie 1: Fehlerbaumanalyse (FTA) Kurzbeschreibung und Ziel Die Fehlerbaumanalyse im Englischen als Fault Tree Analysis bezeichnet und mit FTA

Gefahrenanalyse mittels Fehlerbaumanalyse

HAZOP. Universität Paderborn AG Softwaretechnik Prof. Dr. W. Schäfer

Fault Trees. Überblick. Synonyme für Fehlerbäume. Geschichte Friederike Adler CV 03

Die qualitative Fehlerbaumanalyse am Beispiel einer Präsentation. -Sandra Mierz-

Risikomanagement. Schaden

GLIEDERUNG. Methoden der Risikobewertung. FMEA-Ziele. Hauptparameter. RPN und Kritikalität. Risikokontrolle. Quellen.

2 Methodik Grundlagen 21 Martin Werdich 2.1 Generelles Vorgehen zur Erstellung der FMEA 21

Einführung in die qualitative Fehlerbaumanalyse anhand des Beispiels einer Präsentation

Fehlerbäume. Beispiel Kuchenbacken. Beispiel Kuchenbacken. Beispiel Kuchenbacken. der Kuchen gelingt nicht. der Kuchen.

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2c) Vorlesung im Sommersemester 2010 an der Universität Ulm von Bernhard C.

Die Hohe Schule für RAM / LCC Manager. RAM / LCC Intensivtraining. DEUTSCHE Version (September 2017)

Funktionale Sicherheit: Wie macht man das? Andreas Stucki, Solcept AG

Tim Krämer. Archimetrix - Improved Software Architecture Recovery in the Presence of Design Deficiencies. 08. Mai 2013

Grundlagen des Datenschutzes und der IT-Sicherheit (8)

Vorlesung - Prozessleittechnik 2 (PLT 2)

Proseminar Technische Informatik WS08/09 bei Georg Wittenburg, M.Sc. Zuverlässigkeit und Fehlertoleranz in der Technik

Dr. Jörg Tautrim Engineering

Theoretische und praktische Grundlagen für Fehlerbaumanalysen

Otto-von-Guericke-Universität Magdeburg. Fakultät für Informatik Institut für Simulation und Grafik. Seminararbeit

Risikoanalyse im Licht der neuen Medizinprodukterichtlinie

Integrierte modellgestützte Risikoanalyse komplexer Automatisierungssysteme

Vorlesung - Prozessleittechnik 2 (PLT 2) Sicherheit und Zuverlässigkeit von Prozessanlagen - Sicherheitslebenszyklus Teil 1: Analyse

Seminar Visualisierung von Graphen

Ishikawa Ursache - Wirkungsdiagramm Definition

Fehlertoleranz in eingebetteten Systemen

ISO / FuSi Funktionale Sicherheit Road Vehicle - Functional Safety

FMEA- Einführung und Moderation

FEHLERBAUMANALYSE TECHNISCHE RISIKEN QUALITATIV UND QUANTITATIV BETRACHTEN

Testen eingebetteter Systeme

Abweichungen. AG 7 Abweichungsmanagement 16. August 2010, Dr. Andrea Behrenswerth

Universität Paderborn Die Universität der Informationsgesellschaft. Validierung und Verifikation (inkl. Testen, Model-Checking, Theorem Proving)

6.1 Motivation. Elemente Ereignisse. 6.2 Konstruktion von Fehlerbäumen

Funktionale Sicherheit gewährleisten

Failure Mode and Effect Analysis FMEA. Methodik zur frühzeitigen Erkennung und Vermeidung von potentiellen Fehlern

Nüchtern betrachtet führt jegliche Wissenschaft lediglich zum vorläufig letzten Irrtum. (Kafka)

Systemtheorie 1. Formale Systeme 1 # WS 2006/2007 Johannes Kepler Universität Linz, Österreich

Wir freuen uns auf Ihre Teilnahme und rege Diskussionen.

Risiko- und Gefahrenanalyse und deren Berücksichtigung beim Entwurf von Sicherheitskritischen Systeme. Kelen-Yo Rodrigue

Grundlagen des Datenschutzes

Methoden der Psychologie Dr. Z. Shi Wiss. Arbeiten

Vortrag zum Hauptseminar Hardware/Software Co-Design

FMEA. Integrierte Managementsysteme. Rathausstr Gröbenzell. Tel.: , Fax:

Am Beispiel eines international tätigen Automotive Lieferanten

Balanced Scorecard und Ursache-Wirkungsbeziehungen

FRAUNHOFER-INSTITUT FÜR PRODUKTIONSTECHNOLOGIE IPT INTEGRIERTE MECHATRONISCHE SYSTEME

ISO / FuSi Funktionale Sicherheit Road Vehicle - Functional Safety

Begriffe zum Risiko. Quelle: ONR 49000:2008. Risikomanagement 2011 Projekt Ragus / Sojarei Mag. Michael Forstik Unternehmensberatung 7210 Mattersburg

Medizinprodukte 200 Fragen und Antworten zum Selbststudium

DIN EN (VDE ): EN :2010

Markus Pister (Autor) Integration formaler Fehlereinflussanalyse in die Funktionsentwicklung bei der Automobilindustrie

Fachforum 5: Systems Engineering Modellgetriebene Entwicklung von Schrittketten G. KRAFT Maschinenbau GmbH 06. Dezember 2017 Paderborn

Sicherheit. Funktionale Sicherheit als Produkt aus Quantität und Qualität

Funktionale Sicherheit und Simulation

Seminar Programmierung und Reaktive Systeme

Entwurf E DIN EN (VDE ): FprEN :2008

Risikomanagement als Führungsaufgabe

Sicherheit für Maschinen und Anlagen

Systemtheorie 1. Einführung Systemtheorie 1 Formale Systeme 1 # WS 2006/2007 Armin Biere JKU Linz Revision: 1.4

SRE-Methodenleitfaden

MoSiS Modell der Sicherheits-Schichten im Eisenbahnsystem

Ereignis-basierter Test grafischer Benutzeroberflächen ein Erfahrungsbericht

Ein Beispiel für die Anwendung des Risikographen

Theorem Proving. Software Engineering in der Praxis. Prädikatenlogik. Software Engineering in der Praxis Wintersemester 2006/2007

5. Methoden der Wirtschaftsinformatik

Modellierungsansatz für die realitätsnahe Abbildung der technischen Verfügbarkeit

Dürfen Fehler in der Jugendhilfe vorkommen Betrachtung aus der Sicht eines systemischen Risikomanagement

Bayes-Netze (1) Lehrstuhl für Künstliche Intelligenz Institut für Informatik Friedrich-Alexander-Universität Erlangen-Nürnberg

KAPITEL 7. Einführung in die Gefährdungs-Analyse. 7.1 Einführung. Jan Sanders 2010

Modelle. VL PLT2, SS 2012 Professur für Prozessleittechnik

Zuverlässige Kommunikation mittels. Time-Triggered Protokolle

Musterlösungen Vieweg-Buch IT-Risiko-Management mit System

Automatisierte Architekturanalyse unter Einsatz von UML 2.0 Modellen

Seminar Benchmarking von Unternehmen. Wedel, 4. Juni 2008 Jens Umland

ONKOLEIT. Ein medizinisches Expertensystem zum Therapiemonitoring von Krebserkrankungen. ITG-Workshop Usability,

FMEA als Teil des Entwicklungsprozesses

Integrierte Sicherheitsanalyse komplexer Syteme. Michael Roth, Max Steiner, Peter Liggesmeyer TU Kaiserslautern

Seminar: Theorien induktiven und deduktiven Denkens aus KI und Psychologie

Formale Entwicklung objektorientierter Software

Schulungen zur Funktionalen Sicherheit Modulares Schulungsprogramm 2006 Automobil- und Automatisierungsbranche

Entwicklung einer sensorlosen Motorregelung für Dentalbohrer nach IEC Dr. Michael Schwarz

Geschäftsprozessmodellierung mittels Software- Services auf Basis der EPK

ProMan Manual FMEA. von: BioCon Interlink. Stand: Mai 2001

Qualitätssicherung von Software (SWQS)

Gefahrenanalyse mittels HAZOP anhand eines Beispiels

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt

Ein Vorgehensmodell zur Durchführung einer prozessorientierten Sicherheitsanalyse Daniela Simić-Draws

Produktionsprozesse in der Pharmazie

Technisch sichere Systeme in UAV

Fehlerkultur bei der Feuerwehr

Weitere Methoden. Beispiel Risikoindikatoren

Evaluierung des SimPDM-Metadatenmodells

Formale Verifikation von Software. 8. Juli 2015

1 Einleitung Hintergründe der Arbeit Zielsetzung und Aufbau der Arbeit 8. 2 Definitionen und Grundlagen 11

Projektrisiken vorab erkennen

INPRO Trainingstag Bildungs- und Entwicklungsdokumentation

Telepräsenz und virtuelle Realität

Test & Diagnose digitaler! Systeme,! Prüffreundlicher Entwurf.!

Fehlertolerante Systeme

Transkript:

UNIVERSITÄT PADERBORN Die Universität der Informationsgesellschaft Institut für Informatik Arbeitsgruppe Softwaretechnik Gefahrenanalyse mittels Fehlerbaumanalyse von Eike Schwindt Vortrag im Rahmen des Seminars Analyse, Entwurf und Implementierung zuverlässiger Software 30. Januar 2004

Agenda Motivation Einordnung der Verfahren Vorstellung des Beispielsystems Grundlagen und Syntax der Fehlerbaumanalyse Fehlerbaumsemantik am Beispiel Anwendung auf Software Zusammenfassung Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 2

Motivation technische Systeme enthalten neben»klassischer«hardware zunehmend Mikrocontroller und Software garantierte und nachprüfbare Aussagen über Sicherheit des Gesamtsystems erforderlich Betrachtung dreier formaler Verfahren zur Gefahrenanalyse und Untersuchung ihrer Eignung für hybride Systeme und Software: Fehlerbaumanalyse, FMEA, HAZOP Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 3

Einordnung der Verfahren 1 bekannt Gefahrenursache unbekannt Auswirkungen von Komponentenversagen bekannt Beschreibung des Systemverhaltens Deduktive Analyse (Fehlerbaumanalyse) Auswirkungen von Komponentenversagen unbekannt Induktive Analyse (FMEA) Explorative Analyse (HAZOP) 1 nach Fenelon, McDermid, Nicholson und Pumfrey: Towards Integrated Safety Analysis and Design Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 4

Vorstellung des Beispielsystems Kühlwasserauslass Einspeisesystem für heißes HNO3 (Temperatur T ) 1 380 V Spannungsversorgung Ventil V 1 Ventil V 2 Wärmetauscher Temperatur- Sensor Regler Reaktorspeisesystem für kaltes HNO 3 (Temperatur T ) 2 Umwälzpumpe Druckluftversorgung Kühlwasserzufluss 6.6 kv Spannungsversorgung Durchflussmesser 48 V Spannungsversorgung Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 5

Fehlerbaumanalyse engl.: Fault Tree Analysis (FTA) entwickelt 1961 zur Untersuchung eines Raketenabschuss-Systems seit längerem standardisiert (DIN und IEC) dient der Ursachenermittlung von Systemversagen ermöglicht qualitative und quantitative Analysen deduktive Top-Down-Methode graphische Repräsentation kausaler Abläufe Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 6

Vorgehensweise FTA besteht aus: 1. Systemdefinition (TOP Ereignis, Systemgrenzen,»Auflösung«, ) 2. Fehlerbaum-Konstruktion Zurückführen der Ursache des TOP Ereignis auf Kombinationen von Komponentenversagen mittels logischer Verknüpfungen 3. qualitativer und quantitativer Analyse 4. Dokumentation der Ergebnisse Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 7

Fehlerbaum-Syntax TOP Ereignis / Zwischenereignis UND-Verknüpfung Primäres Ereignis ODER-Verknüpfung unentwickeltes Ereignis X-ODER-Verknüpfung IN OUT Transfer Symbole B Bedingte Verknüpfung Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 8

Fehlerbaumkonstruktion (1) nicht-korrigierbarer Temperaturanstieg im HNO -Zufluss 3 korrigierbarer Temperaturanstieg im HNO -Zufluss 3 Versagen des Sensors (PE) exzessiver Anstieg der Temperatur T 2 korrigierbarer Temperaturanstieg im HNO3-Zufluss und Versagen des Regelsystems Ausfall des Temperatursensors Verlust der 48V Versorgung Unzureichender Kühlwasserzufluss, unentdeckt durch Sicherheitssystem Versagen des Regelsystems Versagen des Reglers (PE) Versagen des Reglers Bedien-Fehler: Regler steht auf manuell Unzureichender Kühlwasserzufluss (feststellbar durch Sicherheitssystem) und Versagen des Sicherheitssystems Ventil V2 sitzt fest Verlust der 48V Versorgung Identifizieren des TOP Ereignis Identifizieren der Verursacher der ersten Ebene Verbinden durch log. Verknüpfungen Wiederholen/Fortsetzen für die nächsten Ebenen bis Primäre Ereignisse erreicht sind Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 9

Fehlerbaumkonstruktion (2) Gesamtansicht des kompletten Fehlerbaumes: exzessiver Anstieg der Temperatur T2 nicht-korrigierbarer Mengen-/Temperaturanstieg im Salpetersäure-Zufluß korrigierbarer Mengen-/ Temperaturanstieg im Salpetersäure-Zufluß UND Versagen des Regelsystems unzureichender Kühlwasserzufluß, unentdeckt durch Sicherheitssystem unzureichender Kühlwasserzufluß (feststellbar durch Sicherheitssystem) UND Versagen des Sicherheitssystems 1 Signifikanter Anstieg der Temperatur im Salpetersäure- Zufluß 2 signifikanter Anstieg der Menge des Salpetersäure- Zuflusses 3 Feuer im Wärmetauscher- Raum 4 Internes Leck im Wärmetauscher 5 6 moderater Anstieg der Temperatur im Salpetersäure-Zufluß moderater Mengen-/ Temperaturanstieg im Salpetersäure-Zufluß moderater Anstieg der Menge des Salpetersäure- Zuflusses Ausfall des Temperatursensors Versagen des Regelsystems Versagen des Reglers 13 externes Leck im Wärmetauscher 12 Ventil V2 sitzt fest externes Leck im Ventil V2 14 unzureichender Pumpen- Saugdruck Versagen der Pumpe unzureichender Kühlwasserzufluß (feststellbar durch Sicherheitssystem) unbeabsichtigtes Schließen von Ventil V 2 (PE) 15 16 Wärmetauscher verstopft (auf Wasserseite) Ausfall des Durchflußmessers Versagen des Sicherheitssystems Versagen des Auslöse- Stromkreises Ventil V1 schließt nicht 7 8 9 Ausfall des Temperatursensors (PE) Verlust der 48V Versorgung Versagen des Reglers (PE) 10 Bedien-Fehler (Regler steht auf manuell ) 8 Verlust der 48V Versorgung 17 18 19 Versagen der Pumpe (PE) Verlust der 6.6kV Versorgung unbeabsichtigtes Schließen von Ventil V 2 (PE) 20 Regelsystem 21 Fehlfunktion Verlust des Regel- Luftdrucks Ausfall des V2 Regelsystems Ausfall des Durchflußmessers (PE) Feuer im Kontroll-Raum 24 8 25 8 Verlust der 48V Versorgung Versagen des Auslöse-Stromkreises (PE) 21 Feuer im Kontroll- Raum Verlust der 48V Versorgung 26 27 Ventil V1 schließt nicht (PE) Verlust der 380V Versorgung 22 Unbeabsichtigtes Schließen von Ventil V 2 (durch Regler) 23 fehlerhaft zu niedriges Temperatursignal vom Sensor Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 10

Qualitative Analyse Fehlerbaum entspricht einer logischen Gleichung ermöglicht Bestimmung von: TOP Minimal Cut Sets (MCS) {A}, {B}, {C,E}, {D,E} Single Point Failures {A}, {B} A B E Anfälligkeiten für Common Mode Fehler C D Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 11

Quantitative Analyse Ausfallw'keiten oder raten aller Komponenten bekannt weitere Berechnungen möglich: TOP λ=14,84 10 6 Ausfallw keit oder -rate des Gesamtsystems A B E C D quantitativer Beitrag einzelner Komponenten liefert Rangliste ihrer Wichtigkeit Ansätze zur gezielten Verbesserung des Systems Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 12

FTA für Software/hybride Systeme Einsatz in der Designphase: identifiziert potentiell gefährliche Module/Schnittstellen bzw. risikobehafteten Programm-Output liefert Anforderungsdefinitionen für SW bietet Ansätze für präventive oder protektive Maßnahmen Schwierigkeiten: Fehlerbäume allein unzureichend zur Modellierung komplexer Systeme FTA erfordert genaue Kenntnisse des Systems in der Designphase nicht vorhanden Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 13

Software Fault Tree Analysis (SFTA) 2 Einsatz direkt auf Quellcode-Ebene: unerwünschter Programm-Output wird als TOP Ereignis definiert Umwandlung von Statements in Fehlerbaumausdrücke mittels Templates Ergebnis ist graphische Repräsentation einer»umgekehrten«verifikation ebenso wie Verifikation nur für kurze Programme praktikabel 2 nach Leveson: Safeware System Safety and Computers Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 14

Bewertung des Verfahrens Nachteile erfordert intensive Untersuchung des Systems und des Zusammenwirkens der Komponenten im Idealfall nachprüfbare qualitative und quantitative Aussagen über Zuverlässigkeit des Systems und Bedeutung von Komponenten Einschätzung der Anfälligkeit für Common Causes modularer Aufbau ermöglicht Bearbeitung im Team Vorteile? TOP Ereignis muss vorher bekannt sein, neue Gefahren werden nicht entdeckt je TOP Ereignis ein Baum umfangreiche Fehlerbäume schon aus kleinen Systemen genaue Kenntnis des Systems erforderlich eingeschränkte Möglichkeiten zur Modellierung dynamischer Prozesse quantitativen Daten oft nicht für alle Komponenten vorhanden Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 15

Noch Fragen? Vortrag mißglückt Vortragender kann Fragen nicht beantworten Zeit überzogen Zuhörer eingeschlafen schlecht vorbereitet auf Party versumpft schlechte Folien langweiliger Vortragsstil Seminar AEIzS -- Gefahrenanalyse mittels Fehlerbaumanalyse 16

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback