Die Analyseebene für...

Sonja-Lara Kurz und Birgit MiliusInstitut für Eisenbahnwesen und Verkehrssicherung der TU Braunschweig 1

Rail Automation 2007

Die Analyseebene für Risikobeurteilungen

Sonja-Lara Kurz ([email protected])Promotionsstudentin des IfEV, TU BraunschweigStipendiatin der Rail Automation Graduate School (RA:GS!)

Birgit Milius ([email protected])


Rail Automation 2007Outline

• Begriffe und Definitionen• Was ist eine Analyseebene?• Schwerpunkt Funktionsebene• Schwerpunkt Gefährdungsebene• Fazit


Rail Automation 2007Risikobeurteilung

Worüber sprechen wir überhaupt?


Rail Automation 2007Verfahren zur Risikobeurteilung


Qualitative und quantitative Methoden unterscheiden sich hinsichtlich der Freiheitsgrade bei der Parameterbeurteilung



Die Analyseebene hat Bedeutung/Auswirkungen • … für die an der Analyse beteiligte Gruppen• … die Festlegung des tolerierbaren Risikos• … die Anzahl der zu identifizierenden Gefährdungen• … die Berücksichtigung des Menschen

Zusammenhang von Verfahren und Analyseebene


Rail Automation 2007Das Problem – die Analyseebene

• Funktion des ATP-Fahrzeuggerät : Zug bremsen, wenn Zug unberechtigt über Signal hinausfährt• Gefährdung: Zug wird nicht gebremst, obwohl der Zug das haltzeigende Signal überfährt• Unfall: Schadensausmaß ist abh. von Randbedingungen; Annahme: katastrophal

• Subfunktion des ATP Fahrzeuggeräts: Empfang der Information von der Strecke• Gefährdung: Falsche/verfälschte Information wird empfangen• Unfall: Schadensausmaß ist abh. von Randbedingungen; Annahme: katastrophal

?Funktion

Subfunktion



Rail Automation 2007Was ist eine Analyseebene?

• Systemebene – Funktionsebene - Gefährdungsebene?

• Systemebene: Es wird stets ein System analysiert, aber es gibt keine einheitliche, formale und praktische einfach umsetzbare Definition, was genau ein System ist; daher ungeeignet.

• Funktionsebene: Normen fordern die funktionale Systemdefinition; die Festlegung einer Analyseebene basierend auf Funktionen erscheint deshalb sinnvoll. Ebenenbildung durch Betrachtung von Funktionen, Sub- oder Superfunktionen möglich.

• Gefährdungsebene: Die Risikobetrachtung geht immer von Gefährdungen aus. Eine Festlegung der Analyseebene basierend auf Gefährdungen erscheint sinnvoll. Was jedoch sind Gefährdungen auf einer Ebene ?


Rail Automation 2007Definition: Funktion und Subfunktion

• Art von Aktion und Tätigkeit, durch die ein Produkt seinen beabsichtigen Zweck erfüllt (EN 50129)

Problem:Wie kann (formal) gezeigt werden, dass alle Teilfunktionen zu einer Funktion ermittelt wurden?


Rail Automation 2007Funktion – Use Case - Teilfunktion

Funktionsebene



Ereignis AEreignis AEreignis Ax

Ereignis Z

Functional Dependency Test (I)

• Bei der Unfallanalyse wird überprüft, ob alle und richtige Unfallursachen ermittelt wurden. Dazu gibt es formale Tests, die die Kausalität von Ereignissen prüfen.

• Ein Beispiel ist das Multilinear-Event-Sequencing-Verfahren (MES).• Wesentliche Komponente von MES ist der Necessary and Sufficient-Test:

• Notwendig wird das Ereignis Ax für das Ereignis Z, wenn für das Eintreten des Ereignisses Z das Eintreten des Ereignisses Ax eine Grundvoraussetzung oder eine Vorbedingung ist.

• Als notwendig und hinreichend wird das vorhergehende Ereignis A bzw. die Ereigniskombination A1, A2, .... Ax für das Ereignis Z,wenn das Ereignis Z zwangsläufig aus dem Ereignis Aoder der Ereigniskombination folgt.

Funktionsebene



Funktionsebene

Es ist NICHT möglich zu zeigen, dass alle Teilfunktionen zu einer Funktion identifiziert wurden. Es ist nur möglich zu zeigen, dass alle Teilfunktionen eines Use Cases identifiziert wurden.

Functional Dependency Test (II)


Rail Automation 2007Anwendung des FDT – Indusi (I)

Funktionsebene

Funktion einer Zugbeeinflussung: Eine Zugbeeinflussung ist eine Sicherungseinrichtung die Daten über die erlaubte Fahrweise vom Fahrweg zum Zug überträgt und bei Abweichung von der erlaubten Fahrweise Schutzreaktionen (Zwangsbremsung) auslöst. Betrachtet wird die induktive Zugbeeinflussung, abgekürzt (veraltet) Indusi.

Identifizierte Teilfunktionen:• Vorbeifahrt eines Zuges detektieren• Geschwindigkeit des Zuges ermitteln bzw. empfangen• Vergleich der Ist-Geschwindigkeit mit der zulässigen Soll-Geschwindigkeit• Einleiten einer Zwangsbremsung


Rail Automation 2007Anwendung des FDT – Indusi (II)

Funktionsebene


Rail Automation 2007Anwendung des FDT – Indusi (III)

Funktionsebene


Rail Automation 2007Schlussfolgerung

Sinnvolle Definition und formales Ableiten von Funktionsebenen ist möglich.

Funktionsebene



• Vorschlag für Risikoakzeptanzkriterium für technische Systeme (Braband 2007):

Any failure mode of a function that has a credible immediate effect for an accident with catastrophicconsequences shall not occur with a frequency higher than 10-9 per operation hour: Immediate in this context means that no or few barriers exist that may prevent an accident.

• Darstellung aus EN 50129:

Gefährdungsebene - Was sagt die Literatur?



Gefährdungsebene

Beispiel ATP (I)


Rail Automation 2007Beispiel ATP (II)

Gefährdungsebene


Rail Automation 2007Schlussfolgerungen

Beispiel zeigt, dass die Definition von Gefährdungsebene nicht eindeutig ist. Je nach Betrachtungsweise liegen Gefährdungen auf der gleichen oder auf unterschiedlichen Ebenen. Es fehlt ein eindeutiges Kriterium, was Gefährdungen auf unterschiedlichen Ebenen unterscheidet.

Gefährdungsebene



• Vorgaben einer Funktionsebene als Analyseebene scheint geeigneter als Vorgabe einer Gefährdungsebene

• Formales Ableiten von Funktionen auf unterschiedlicher Ebene scheint möglich• Forschungsbedarf ist groß!

Fazit


Rail Automation 2007Vielen Dank für Ihre Aufmerksamkeit !

Die Analyseebene für...

Documents

Transcript of Die Analyseebene für...