Datenbanksysteme und Informationsmanagement Technische Universität Berlin

http://www.dima.tu-berlin.de/

Failure Mode Effect Analysis Fault Tree Analysis Fahrzeugdiagnose

Benjamin Brand

Agenda

■ Einführung

■ Failure Mode Effects Analysis

■ Fault Tree Analysis

■ Fahrzeugdiagnose

2

Einführung: Problem

■ bei der Bearbeitung eines Projektes

□ Verständigungsprobleme

□ Schnittstellenungenauigkeiten

□ Doppelarbeit

□ arbeitsaufwändige Nacharbeiten

■ nach der Markteinführung

□ Mangelhafte Nachweisbarkeit über Einhaltung von Verkehrssicherungspflichten (Produkthaftung: Fabrikations- und Konstruktionspflicht)

□ Reklamationen

Werden Projekte ohne geeignete Qualitätsicherungsverfahren

durchgeführt, so können verschiedene Probleme entstehen…

„

3

Resultat: Fehler!

Einführung: Folgen von Fehlern (1)

■ Finanzielle Folgen

□ Rückrufaktionen

□ Kostspielige Fehlerbeseitigung im späten Entwicklungsstadium

■ Existenzielle Folgen

□ Insolvenz

□ Juristische Konsequenzen, Schadensersatzforderungen

■ Rufschädigung

□ Verlust von Kunden, weniger Absatz

Spät oder nicht entdeckte Fehler können Konsequenzen

unterschiedlichen Ausmaßes haben

„

4

Einführung: Folgen von Fehlern (2)

Kosten

Fehler sind umso schwerwiegender, je später sie korrigiert werden „

5

Projektdefinition

Projektplanung

Projektdurchführung

Projektkontrolle

Markteinführung

0,1

1

10

100

Einführung: Überlegungen

■ Überlegung

□ Welche Fehler können auftreten?

□ …mit welcher Wahrscheinlichkeit?

□ …mit welchen Konsequenzen?

□ Wie können diese vermieden werden?

□ Kann ein bestimmtes Sicherheitsniveau erreicht werden?

□ Umfasst die Projektspezifikation alle Punkte?

□ Ist die Aufwandsabschätzung realistisch?

Eine sorgfältige Planung hilft bei der Vermeidung ungewollter

Konsequenzen und verbessert die Produktqualität

„

6

FMEA: Failure Mode Effects Analysis

■ Failure Mode Effects Analysis FMEA

□ FMEA betrachtet präventiv Fehler, deren Ursache und bewertet deren Risiken bezüglich Auftreten, Bedeutung und Entdeckung

□ DIN-Norm: Analysetechniken für die Funktionsfähigkeit von Systemen - Verfahren für die Fehlzustandsart- und Auswirkungsanalyse (FMEA) (IEC 60812:2006); Deutsche Fassung EN 60812:2006

□ Dt. auch „Fehler-Möglichkeits- und Einflussanalyse“

□ oder auch „Auswirkungsanalyse“

Die FMEA ist eine optimale Verfahrensweise zur Unterstützung des

Risikomanagementprozesses und letztendlich der Qualitätssicherung

„

7

FMEA: Definition

■ Systematisches, induktives Analyseverfahren

■ zur Ermittlung Fehlzustandsarten

■ deren Ursachen

■ deren Auswirkungen auf das Systemverhalten

□ Verhalten der übergeordneten Baugruppe und des gesamten Systems oder eines Prozesses

Die FMEA ist ein wichtiges methodisches Instrument und eine

systematische Vorgehensweise, um mögliche Fehler bei der

Entwicklung von Produkten und Prozessen bereits vor ihrer

Entstehung zu erkennen und zu vermeiden. Dabei werden

Fehlermöglichkeiten konsequent strukturiert durch Erkennen,

Bewerten und Vermeiden von Risiken.

„

8

Quelle: EN 60812:2006

Quelle: FG Qualitätswissenschaft TU Berlin

FMEA: Gründe

■ Hinterfragung und Bewertung der Planungs- und Entwicklungsgüte

□ Reifegradmonitor & Managementinstrument

■ Fehler werden in der Entwicklungsphase behoben in der sie auftreten

□ geringere Abstell- & Änderungskosten

□ höhere Termintreue

■ Reduzierung der Garantie- & Kulanzkosten

□ Steigerung der Kundenzufriedenheit

Aus der Durchführung einer FMEA kann Nutzen in verschiedener

Hinsicht gezogen werden

„

9

Quelle: FG Qualitätswissenschaft TU Berlin

FMEA: Wirtschaftlicher Nutzen

■ Reduzierung von Fehlern in Entwicklung und Fertigung

■ Vermeidung von Fehlentwicklungen und Doppelarbeit

■ Vermeidung von Wiederholungsfehlern

■ Reduzierung von Produktivitätseinbußen

■ Verringerung der Gefahr von Rückrufaktionen

■ Verkürzung der Entwicklungszeit

Die Durchführung einer FMEA ermöglicht kurz- und langfristige

Vorteile

„

10

Quelle: FG Qualitätswissenschaft TU Berlin

FMEA: Diskussions- und Kommunikationsinstrument

■ Die interdisziplinäre Teambildung zusammen mit der methodischen Vorgehensweise ermöglicht eine sehr gute Diskussions- und Kommunikationsbasis.

■ Alle Teilnehmer werden umfassend über die Risiken informiert.

■ Schnittstellenprobleme können sofort diskutiert werden.

■ Die Methode lenkt den Fokus der Diskussion immer wieder auf die sachliche Ebene.

■ Die Diskussionsergebnisse werden sofort dokumentiert, Verantwortlichkeiten inkl. Termine sofort festgelegt.

Eine FMEA bietet eine fördert als Diskussions- und

Kommunikationsgrundlage die Zusammenarbeit

„

11

Quelle: FG Qualitätswissenschaft TU Berlin

FMEA: Arten

■ Produkt-FMEA

□ Funktionsorientierte Zusammenhänge des betrachteten Systems mit Untersuchung bis in die Merkmale der Bauteile

■ Prozess-FMEA

□ welche die ablauforientierten Zusammenhänge zur Herstellung des betrachteten Systems analysiert.

FMEAs werden in der Regel ab der Konzeptionsphase

von Produkten oder Prozessen eingesetzt und vor Anlauf

der Serienfertigung abgeschlossen

„

12

Quelle: FG Qualitätswissenschaft TU Berlin

FMEA: Vorgehen (Planung)

■ Zeitliche Einplanung

□ Setzen von Meilensteinen

■ Personelle Planung

□ Einbeziehen fähiger Experten

Erkennen der möglichen Fehler

Wissen über deren Auswirkungen

Abschätzung der FMECA-Maßzahlen

…

Die FMEA muss bei der Planung eines Projektes mitberücksichtigt

werden

„

13

Quelle: FG Qualitätswissenschaft TU Berlin

FMEA: Vorgehen (Systemgrenzen)

■ Festlegen der Systemgrenzen für die Analyse

■ Auswahl eines Teilsystems

■ Beachtung der Systemumwelt

□ „Die Umweltbedingungen des Systems sollten spezifiziert sein, einschließlich der Umgebungsbedingungen und solcher, die von anderen Systemen in der näheren Umgebung ausgehen. Das System sollte beschrieben werden bezüglich seiner Beziehungen, Abhängigkeiten oder Verbindungen mit Hilfs- oder anderen Systemen und Mensch-Maschine-Schnittstellen.“

Der Umfang des zu untersuchenden Systems oder Teilsystems muss

festgelegt werden

„

14

Quelle: EN 60812:2006

FMEA: Vorgehen (Unterteilung) (1)

■ Zerlegung des Gesamtsystems in immer kleinere Strukturen bis hin zu Einzelkomponenten

■ Geeignete Darstellung der Abhängigkeiten

□ „Die Diagramme sollten alle Reihen- und Redundanzbeziehungen zwischen den Bestandteilen und die funktionalen Abhängigkeiten zwischen ihnen darstellen.“

■ Vorgehensweise: Bottom Up

Das System muss in viele Einzelteile zerlegt werden „

15

Quelle: EN 60812:2006

FMEA: Vorgehen (Unterteilung) (2)

Eine Untergliedrung mit Modul- und Ursachenzusammenhängen

unterstützt die Nachvollziehbarkeit von Fehlern und deren Ursprung

„

16

Quelle: EN 60812:2006

FMEA: Ausfallarten

□ Eine Beurteilung muss auf der niedrigsten Detailebene durchgeführt werden, um alle potentiellen Ausfallarten zu erkennen

□ Können Ausfallarten aufgrund mangelnder Daten oder Erfahrung nur schlecht eingeschätzt werden, so sollten diese dennoch unbedingt einbezogen werden

□ „Das Ermitteln von Ausfallarten und, wo nötig, das Festlegen von Abhilfemaßnahmen im Entwurf, vorbeugende Qualitätssicherungs-maßnahmen oder Wartungsmaßnahmen, sind von höchster Wichtigkeit. Es ist wichtiger, Ausfallarten zu ermitteln und, wenn möglich, diese durch Änderungen im Entwurf zu beseitigen, als deren Eintrittswahrscheinlichkeit zu kennen. Wenn es schwierig ist, Dringlichkeitsstufen zuzuweisen, kann eine Ausfallbedeutungsanalyse erforderlich sein.“

Das Erkennen kritischer Systemelemente ist von elementarer

Bedeutung

„

17

Quelle: EN 60812:2006

FMEA: Ausfallursachen

■ Je schwerwiegender die Auswirkungen von Ausfallarten sind desto genauer sollten die Ausfallursachen beschrieben werden

■ Ursachen mit geringen Auswirkungen können ggf. vernachlässigt werden

■ Ursachen können z.B. durch Beobachtungen in Testeinrichtungen ermittelt werden

Die wahrscheinlichsten Ursachen jeder möglichen Ausfallart sollten

bestimmt und beschrieben werden

„

18

Quelle: EN 60812:2006

FMEA: Ausfallwirkungen

■ Auswirkung auf verschiedene Ebenen des Systems

□ „örtliche Auswirkung“ auf das Teil selbst

□ Auswirkung auf das Gesamtsystem oder Teile dessen

■ Auswirkung durch mehrere Einzelkomponenten

□ Wird ein Fehler nur durch den Ausfall mehrerer Komponenten hervorgerufen (z.B. Redudanz- oder Sicherungssysteme), so muss auch dies festgehalten werden

Die Folgen jeder Ausfallart auf Betrieb, Funktion oder Zustand eines

Systemelements müssen ermittelt, beurteilt und aufgezeichnet

werden

„

19

Quelle: EN 60812:2006

FMEA: Ausfall-Erkennungsmethoden

■ Feststellung durch

□ Einbau von Prüffunktionen in das System selbst

□ Tests vor dem Systembetrieb

□ Prüfungsprozeduren während der Instandhaltung

Es ist wichtig zu wissen, woran man merkt wenn ein Fehler eintritt „

20

Quelle: EN 60812:2006

FMEA: FMECA

■ Failure Mode Effects and Criticality Analysis

■ Dt. “Ausfallbedeutungsanalyse”

■ „Die Bestimmung der Kritizität (Bedeutung) bedingt das Hinzufügen eines messbaren Merkmals für das Ausmaß einer Ausfallartauswirkung.“

■ Drei verschiedene Merkamale werden zu einem Indikator zusammengefasst

□ O Eintrittswahrscheinlichkeit

□ S Schwere der Auswirkung

□ D Wahrscheinlichkeit der Nichterkennung

Risikoprioritätszahl: RPN= O x S x D

Eine FMEA kann zu einer FMECA erweitert werden, indem man die

Fehler bewertet. Auf diese Weise können die Fehler nach Priorität

behandelt werden.

„

21

Quelle: EN 60812:2006

FMEA: Eintrittswahrscheinlichkeit

■ Datenerhebung durch

□ Lebensdauerprüfungen

□ Ausfalldatenbanken

□ Ausfalldaten ähnlicher Einheiten

□ …

Die Eintrittshäufigkeit oder Eintrittswahrscheinlichkeit jeder Ausfallart

sollte bestimmt werden, um die Auswirkung oder die Bedeutung der

Ausfallart angemessen zu beurteilen

„

22

Quelle: EN 60812:2006

FMEA: Eintrittswahrscheinlichkeit (Beispiel)

23

Quelle: EN 60812:2006

Quelle: AIAG: Potential Failure Mode and Effects Analysis, FMEA, Third Edition.

FMEA: Schwere der Auswirkung

■ Funktion des Systems

■ Auswirkungen auf Benutzer und Umwelt

Schwere ist eine Bewertung der Bedeutung der Auswirkung einer

Ausfallart auf den Betrieb der Einheit unter Berücksichtigung

verschiedener Faktoren

„

24

■ Funktion des Systems

■ Auswirkungen auf Benutzer und Umwelt

Quelle: EN 60812:2006

FMEA: Schwere (Beispiel Automobilindustrie)

25

■ Funktion des Systems

■ Auswirkungen auf Benutzer und Umwelt

Quelle: EN 60812:2006

FMEA: Erkennungswahrscheinlichkeit

die Wahrscheinlichkeit, dass ein Satz von Prozessüberwachungs-

maßnahmen, der zurzeit eingesetzt wird, in der Lage ist, einen

Ausfall zu erkennen und auszusondern, bevor er dem nachfolgenden

Prozess oder dem endgültigen Produktausstoß übergeben wird.

„

26

Quelle: EN 60812:2006

Quelle: AIAG: Potential Failure Mode and Effects Analysis, FMEA, Third Edition

…

FMEA: Risikoakzeptanzbeurteilung

■ Einteilung meist subjektiv

■ Große Unterscheide je nach Industriesektor

■ Kann bereits Endprodukt einer Analyse sein

Eine Kritizitätsmatrik erlaubt einen Überblick über die Auswirkungen

einzelner Ausfälle

„

27

Quelle: EN 60812:2006

FMEA: Beispiel Arbeitsblatt

28

Quelle: EN 60812:2006

FMEA: Wozu?

■ Informationen aus einer FMEA können die Dringlichkeit aufzeigen für statistische Prozessregelung, Stichproben- und Inspektionsprüfungen während Fertigung und Installation und für Qualifikation, Zulassung, Annahmeprüfungen und Inbetriebnahmeprüfungen. FMEA liefert wesentliche Informationen für Diagnose- und Instandhaltungsverfahren zur Aufnahme in Handbücher.

■ Die Forderungen nach einer FMEA entstammen der Notwendigkeit, das Verhalten der Hardware und ihre Auswirkungen auf den Betrieb des Systems oder Gerätes zu verstehen.

■ Am Ende des Projektes wird die FMEA zur Prüfung des Entwurfs verwendet und sie kann für den Nachweis der Konformität eines Systementwurfs mit geforderten Normen, Vorschriften und Anwenderforderungen erforderlich sein.

… „

29

Quelle: EN 60812:2006

FMEA: Vorteile (Auszug)

■ Vermeiden von teuren Modifikationen durch frühzeitiges Erkennen von Schwächen im Entwurf

■ Erkennen von Ausfällen mit ernsten Konsequenzen

■ Offenlegen von sicherheits- und hinsichtlich der Produkthaftung problematischen Gebieten oder von Nicht-Übereinstimmung mit behördlichen Anforderungen

■ Hinweisen auf die entscheidenden Gebiete, auf die sich Qualitätslenkung, Prüfung und Überwachung des Fertigungsprozesses konzentrieren sollen

■ Bereitstellen eines Abschlussdokumentes, aus dem hervorgeht, dass dafür gesorgt wurde (und bis zu welchem Maße), dass der Entwurf die Spezifikation im Einsatz erfüllen wird. (Dies ist insbesondere für den Fall der Produkthaftung bedeutend.)

30

Quelle: EN 60812:2006

FMEA: Grenzen der FMEA (Auszug)

■ Geeignet zur Analyse von Elementen, die den Ausfall des gesamten Systems oder einer Hauptfunktion des Systems verursachen

■ Anzahl der zu berücksichtigenden detaillierten Information macht Anwendung auf komplexe Systeme schwierig

□ Systeme mit vielen Funktionen

□ Mehrfachfunktionen

□ Mehrere Betriebsarten

Nicht alle Beziehungen zwischen einzelnen oder Gruppen von

Ausfallarten oder Ursachen von Ausfallarten können tatsächlich in

einer FMEA dargestellt werden, da die wesentliche Voraussetzung

der Analyse die Unabhängigkeit der Ausfallarten ist

„

31

Quelle: N 60812:2006

Bessere Methoden!

z.B. Fault Tree Analysis

Fault Tree Analysis

■ Zweck

□ Ermittlung der logischen Verknüpfungen von Komponenten oder Teilsystemen, die zu einem unerwünschten Ergebnis beitragen

■ Ziel

□ Systematische Identifizierung aller möglichen Ausfallkombinationen

□ Ermittlung von Zuverlässigkeitsgrößen

z.B. Eintrittshäufigkeit der Ausfallkombinationen, Eintrittshäufigkeit der unerwünschten Ereignisse oder Nicht-Verfügbarkeit des Systems

Wie häufig passiert es, dass…

Die Methode der Fehlerbaumanalyse ermöglicht es, ein betrachtetes

System in einem Modell abzubilden, das qualitativ und quantitativ im

Hinblick auf das Systemausfallverhalten auswertbar ist.

„

32

Quelle: FG Qualitätswissenschaft TU Berlin

Fault Tree Analysis

33

Quelle: FG Qualitätswissenschaft TU Berlin

Oder-Verknüpfung

Und-Verknüpfung

Primärereignis

Kommentar

Übertragungseinheit

Fahrzeugdiagnose

■ Tritt in einem Fahrzeugmodul ein Fehler auf, wird dieser über eine hexadezimale Kennnummer (Diagnostic Trouble Code) in einem nicht flüchtigen Fehlerspeicher gespeichert, um später ausgelesen werden zu können

Im engeren Sinne bedeutet Fahrzeugdiagnose in der

Automobilindustrie die (Diagnose-) Kommunikation zwischen einem

externen Prüfgerät, dem Diagnose-Tester und den einzelnen

Elektronik-Komponenten, den so genannten Steuergeräten, über ein

Diagnoseprotokoll.

„

34

Quelle: http://de.wikipedia.org/wiki/Fahrzeugdiagnose

Bild: http://www.ankenbrand-online.de

Fahrzeugdiagnose: Diagnoseprotokolle

35 Quelle: http://de.wikipedia.org/wiki/Fahrzeugdiagnose

Hardware Transportprotokoll Diagnoseprotokoll Einsatz bei Anmerkungen

K-Leitung -- KWP1281 Volkswagen AG veralteter, nicht mehr verwendeter Standard

K-Leitung -- KWP2000 light Plus Volkswagen AG veralteter, nicht mehr verwendeter Standard

CAN TP 1.6, TP 2.0 KWP2000 (ISO 14230) Volkswagen AG herstellerspezifische Erweiterungen und Modifikationen

CAN ISO-TP (ISO 15765-2) KWP2000 (ISO 14230) Daimler AG herstellerspezifische Erweiterungen und Modifikationen

CAN ISO-TP (ISO 15765-2) UDS (ISO 14229) Volkswagen AG, Daimler AG, BMW AG, Porsche AG

Einsatz unterschiedlicher Normenversionen und herstellerspezifische Einschränkungen

CAN ISO-TP (ISO 15765-2) ISO-OBD (ISO 15031) Volkswagen AG, Daimler AG, BMW AG, Porsche AG

CAN BAM und CDMT SAE J1939 Nutzfahrzeuge aller Hersteller, US Fahrzeughersteller

Ethernet DoIP (ISO 13400) UDS (ISO 14229) BMW AG

Fahrzeugdiagnose: Diagnoseverfahren

■ Verfahren

□ Die elektrische Diagnose, mit einer Überwachung der an den jeweiligen Steuergeräteanschlüssen verbundenen elektrischen Sensoren oder Aktoren.

□ Die Plausibilitätsprüfung, durch eine Bewertung von einem oder mehreren, in einem bestimmten Zusammenhang stehenden Signalen. Hierbei erfolgt die Bewertung durch einen Vergleich mit im jeweiligen Steuergerät hinterlegten Sollgrößen, Kennlinien oder Algorithmen.

□ Die Ausfallüberwachung zyklisch eingehender Informationen oder Signalgrößen, wie z. B. angeschlossene Netzwerke und deren Daten.

□ Aktive Prüfung durch Erzeugen von Prüfimpulsen, welche einmalig oder zyklisch gesendet werden, und Auswertung der Reaktion des jeweiligen Sensors oder Aktors.

36

Quelle: http://de.wikipedia.org/wiki/Fahrzeugdiagnose

Fahrzeugdiagnose: typische Fehler

■ elektrische Fehler mit Angabe der Fehlerart, z. B. Unterbrechung (einer Leitung), Kurzschluss nach Plus oder nach Masse, etc.

■ Ausfall von Aktoren (Stellgliedern)

■ unplausible Signalwerte, z. B. von Sensoren, welche nicht zum aktuellen Betriebszustand passen

■ Ausfall zyklischer Botschaften über Netzwerk

■ ungültige und unplausible Werte über Netzwerk

■ Hinweise auf durchgeführte Schutzfunktionen, um das Fahrzeug nicht zu gefährden, z. B. Abschaltung elektrischer Verbraucher zur Vermeidung von Batterieentladung

■ reguläre Betriebszustände, die die Stabilität eines Systems gefährden, aber kein eigentlicher Defekt sind, z. B. Reaktion auf Überhitzung

37

Quelle: http://de.wikipedia.org/wiki/Fahrzeugdiagnose

Fahrzeugdiagnose: Zusammenhang QM

■ Qualitätssicherungsmethoden wie die FMEA oder die FTA ermitteln eine detaillierte Übersicht darüber,

□ welche möglichen Fehler auftreten können

□ wie man diese erkennt

□ was man dagegen tun kann

■ Sie bieten außerdem auch nach der Markteinführung eine Grundlage für die Notwendigkeit und Art der Durchführung von

□ Routinetests

□ Fehlerbehandlung

Eine möglichst lückenlose Analyse möglicher Fehlerarten ist die

Voraussetzung für die Einrichtung einer geeigneten

Selbstanalysefunktion im Fahrzeug

„

38

Fahrzeugdiagnose: Beispiel Werkstatt

□ Das Fahrzeug erkennt Fehler und speichert diesen ab

□ Das Fahrzeug meldet den Fahrer je nach Schwere des Fehlers ein Problem

□ Ein Mechatroniker liest in der Werkstatt den Fehlercode aus dem Fehlerspeicher des Fahrzeugs

□ Der Mechatroniker orientiert sich mittels einer geführten Suche mit Hilfe eines Entscheidungsbaumes

an dessen Verzweigungen er Tests durchführt

die ihn schlussendlich zur Lösung des Problems führen

39

Bild oben: autobild.de

Bild unten: bmw.de