Post on 05-Sep-2019
Sonja-Lara Kurz und Birgit MiliusInstitut für Eisenbahnwesen und Verkehrssicherung der TU Braunschweig 1
Rail Automation 2007
Die Analyseebene für Risikobeurteilungen
Sonja-Lara Kurz (s-l.kurz@tu-bs.de)Promotionsstudentin des IfEV, TU BraunschweigStipendiatin der Rail Automation Graduate School (RA:GS!)
Birgit Milius (b.milius@tu-bs.de)
Sonja-Lara Kurz und Birgit MiliusInstitut für Eisenbahnwesen und Verkehrssicherung der TU Braunschweig 2
Rail Automation 2007Outline
• Begriffe und Definitionen• Was ist eine Analyseebene?• Schwerpunkt Funktionsebene• Schwerpunkt Gefährdungsebene• Fazit
Sonja-Lara Kurz und Birgit MiliusInstitut für Eisenbahnwesen und Verkehrssicherung der TU Braunschweig 3
Rail Automation 2007Risikobeurteilung
Worüber sprechen wir überhaupt?
Sonja-Lara Kurz und Birgit MiliusInstitut für Eisenbahnwesen und Verkehrssicherung der TU Braunschweig 4
Rail Automation 2007Verfahren zur Risikobeurteilung
Worüber sprechen wir überhaupt?
Qualitative und quantitative Methoden unterscheiden sich hinsichtlich der Freiheitsgrade bei der Parameterbeurteilung
Sonja-Lara Kurz und Birgit MiliusInstitut für Eisenbahnwesen und Verkehrssicherung der TU Braunschweig 5
Rail Automation 2007
Die Analyseebene hat Bedeutung/Auswirkungen • … für die an der Analyse beteiligte Gruppen• … die Festlegung des tolerierbaren Risikos• … die Anzahl der zu identifizierenden Gefährdungen• … die Berücksichtigung des Menschen
Zusammenhang von Verfahren und Analyseebene
Sonja-Lara Kurz und Birgit MiliusInstitut für Eisenbahnwesen und Verkehrssicherung der TU Braunschweig 6
Rail Automation 2007Das Problem – die Analyseebene
• Funktion des ATP-Fahrzeuggerät : Zug bremsen, wenn Zug unberechtigt über Signal hinausfährt• Gefährdung: Zug wird nicht gebremst, obwohl der Zug das haltzeigende Signal überfährt• Unfall: Schadensausmaß ist abh. von Randbedingungen; Annahme: katastrophal
• Subfunktion des ATP Fahrzeuggeräts: Empfang der Information von der Strecke• Gefährdung: Falsche/verfälschte Information wird empfangen• Unfall: Schadensausmaß ist abh. von Randbedingungen; Annahme: katastrophal
?Funktion
Subfunktion
Worüber sprechen wir überhaupt?
Sonja-Lara Kurz und Birgit MiliusInstitut für Eisenbahnwesen und Verkehrssicherung der TU Braunschweig 7
Rail Automation 2007Was ist eine Analyseebene?
• Systemebene – Funktionsebene - Gefährdungsebene?
• Systemebene: Es wird stets ein System analysiert, aber es gibt keine einheitliche, formale und praktische einfach umsetzbare Definition, was genau ein System ist; daher ungeeignet.
• Funktionsebene: Normen fordern die funktionale Systemdefinition; die Festlegung einer Analyseebene basierend auf Funktionen erscheint deshalb sinnvoll. Ebenenbildung durch Betrachtung von Funktionen, Sub- oder Superfunktionen möglich.
• Gefährdungsebene: Die Risikobetrachtung geht immer von Gefährdungen aus. Eine Festlegung der Analyseebene basierend auf Gefährdungen erscheint sinnvoll. Was jedoch sind Gefährdungen auf einer Ebene ?
Sonja-Lara Kurz und Birgit MiliusInstitut für Eisenbahnwesen und Verkehrssicherung der TU Braunschweig 8
Rail Automation 2007Definition: Funktion und Subfunktion
• Art von Aktion und Tätigkeit, durch die ein Produkt seinen beabsichtigen Zweck erfüllt (EN 50129)
Problem:Wie kann (formal) gezeigt werden, dass alle Teilfunktionen zu einer Funktion ermittelt wurden?
Sonja-Lara Kurz und Birgit MiliusInstitut für Eisenbahnwesen und Verkehrssicherung der TU Braunschweig 9
Rail Automation 2007Funktion – Use Case - Teilfunktion
Funktionsebene
Sonja-Lara Kurz und Birgit MiliusInstitut für Eisenbahnwesen und Verkehrssicherung der TU Braunschweig 10
Rail Automation 2007
Ereignis AEreignis AEreignis Ax
Ereignis Z
Functional Dependency Test (I)
• Bei der Unfallanalyse wird überprüft, ob alle und richtige Unfallursachen ermittelt wurden. Dazu gibt es formale Tests, die die Kausalität von Ereignissen prüfen.
• Ein Beispiel ist das Multilinear-Event-Sequencing-Verfahren (MES).• Wesentliche Komponente von MES ist der Necessary and Sufficient-Test:
• Notwendig wird das Ereignis Ax für das Ereignis Z, wenn für das Eintreten des Ereignisses Z das Eintreten des Ereignisses Ax eine Grundvoraussetzung oder eine Vorbedingung ist.
• Als notwendig und hinreichend wird das vorhergehende Ereignis A bzw. die Ereigniskombination A1, A2, .... Ax für das Ereignis Z,wenn das Ereignis Z zwangsläufig aus dem Ereignis Aoder der Ereigniskombination folgt.
Funktionsebene
Sonja-Lara Kurz und Birgit MiliusInstitut für Eisenbahnwesen und Verkehrssicherung der TU Braunschweig 11
Rail Automation 2007
Funktionsebene
Es ist NICHT möglich zu zeigen, dass alle Teilfunktionen zu einer Funktion identifiziert wurden. Es ist nur möglich zu zeigen, dass alle Teilfunktionen eines Use Cases identifiziert wurden.
Functional Dependency Test (II)
Sonja-Lara Kurz und Birgit MiliusInstitut für Eisenbahnwesen und Verkehrssicherung der TU Braunschweig 12
Rail Automation 2007Anwendung des FDT – Indusi (I)
Funktionsebene
Funktion einer Zugbeeinflussung: Eine Zugbeeinflussung ist eine Sicherungseinrichtung die Daten über die erlaubte Fahrweise vom Fahrweg zum Zug überträgt und bei Abweichung von der erlaubten Fahrweise Schutzreaktionen (Zwangsbremsung) auslöst. Betrachtet wird die induktive Zugbeeinflussung, abgekürzt (veraltet) Indusi.
Identifizierte Teilfunktionen:• Vorbeifahrt eines Zuges detektieren• Geschwindigkeit des Zuges ermitteln bzw. empfangen• Vergleich der Ist-Geschwindigkeit mit der zulässigen Soll-Geschwindigkeit• Einleiten einer Zwangsbremsung
Sonja-Lara Kurz und Birgit MiliusInstitut für Eisenbahnwesen und Verkehrssicherung der TU Braunschweig 13
Rail Automation 2007Anwendung des FDT – Indusi (II)
Funktionsebene
Sonja-Lara Kurz und Birgit MiliusInstitut für Eisenbahnwesen und Verkehrssicherung der TU Braunschweig 14
Rail Automation 2007Anwendung des FDT – Indusi (II)
Funktionsebene
Sonja-Lara Kurz und Birgit MiliusInstitut für Eisenbahnwesen und Verkehrssicherung der TU Braunschweig 15
Rail Automation 2007Anwendung des FDT – Indusi (III)
Funktionsebene
Sonja-Lara Kurz und Birgit MiliusInstitut für Eisenbahnwesen und Verkehrssicherung der TU Braunschweig 16
Rail Automation 2007Anwendung des FDT – Indusi (III)
Funktionsebene
Sonja-Lara Kurz und Birgit MiliusInstitut für Eisenbahnwesen und Verkehrssicherung der TU Braunschweig 17
Rail Automation 2007Schlussfolgerung
Sinnvolle Definition und formales Ableiten von Funktionsebenen ist möglich.
Funktionsebene
Sonja-Lara Kurz und Birgit MiliusInstitut für Eisenbahnwesen und Verkehrssicherung der TU Braunschweig 18
Rail Automation 2007
• Vorschlag für Risikoakzeptanzkriterium für technische Systeme (Braband 2007):
Any failure mode of a function that has a credible immediate effect for an accident with catastrophicconsequences shall not occur with a frequency higher than 10-9 per operation hour: Immediate in this context means that no or few barriers exist that may prevent an accident.
• Darstellung aus EN 50129:
Gefährdungsebene - Was sagt die Literatur?
Sonja-Lara Kurz und Birgit MiliusInstitut für Eisenbahnwesen und Verkehrssicherung der TU Braunschweig 19
Rail Automation 2007
Gefährdungsebene
Beispiel ATP (I)
Sonja-Lara Kurz und Birgit MiliusInstitut für Eisenbahnwesen und Verkehrssicherung der TU Braunschweig 20
Rail Automation 2007Beispiel ATP (II)
Gefährdungsebene
Sonja-Lara Kurz und Birgit MiliusInstitut für Eisenbahnwesen und Verkehrssicherung der TU Braunschweig 21
Rail Automation 2007Schlussfolgerungen
Beispiel zeigt, dass die Definition von Gefährdungsebene nicht eindeutig ist. Je nach Betrachtungsweise liegen Gefährdungen auf der gleichen oder auf unterschiedlichen Ebenen. Es fehlt ein eindeutiges Kriterium, was Gefährdungen auf unterschiedlichen Ebenen unterscheidet.
Gefährdungsebene
Sonja-Lara Kurz und Birgit MiliusInstitut für Eisenbahnwesen und Verkehrssicherung der TU Braunschweig 22
Rail Automation 2007
• Vorgaben einer Funktionsebene als Analyseebene scheint geeigneter als Vorgabe einer Gefährdungsebene
• Formales Ableiten von Funktionen auf unterschiedlicher Ebene scheint möglich• Forschungsbedarf ist groß!
Fazit
Sonja-Lara Kurz und Birgit MiliusInstitut für Eisenbahnwesen und Verkehrssicherung der TU Braunschweig 23
Rail Automation 2007Vielen Dank für Ihre Aufmerksamkeit !