Otto-von-Guericke-Universitat Magdeburg

Fakultat fur InformatikInstitut fur Simulation und Grafik

Seminararbeit

Problem-/Gefahrenanalyse mittels

Fehlerbaumanalyse

Verfasser:

Matthias Trojahn

14. November 2007

Betreuer:

Benjamin Rauch-GebbenslebenKristina Dammasch

INHALTSVERZEICHNIS i

Inhaltsverzeichnis

Inhaltsverzeichnis i

Abbildungsverzeichnis ii

1 Abstract 1

2 Einleitung 1

3 Mathematische Grundlagen 1

4 Fehlerbaum/-analyse 2

4.1 Geschichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

4.2 Beschreibung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

4.3 Aufbau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

5 Analyse 4

5.1 Qualitative Analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

5.2 Quantitative Analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

6 Beispiele 6

6.1 Kaffeekochen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

6.2 Funkbasierter Bahnubergang . . . . . . . . . . . . . . . . . . . . . . . . . 7

7 Anwendung 9

7.1 Einsatzgrunde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

7.2 Anwendungsgebiete . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

7.3 Vorteile/Nachteile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

8 Zusammenfassung 10

Literatur 11

ii ABBILDUNGSVERZEICHNIS

Abbildungsverzeichnis

1 Eine”AND“-Verknupfung . . . . . . . . . . . . . . . . . . . . . . . . . . 2

2 Eine”OR“-Verknupfung . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

3 Das Fischgraten- /Ishikawadiagramm . . . . . . . . . . . . . . . . . . . . 3

4 Symbole fur die Fehlerbaumanalyse nach IEC 1025 . . . . . . . . . . . . 4

5 Die qualitative Analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

6 Die quantitative Analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

7 Kaffeekochen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

8 Der Bahnubergang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

9 Der Fehlerbaum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

1. ABSTRACT 1

1 Abstract

Diese Arbeit befasst sich im Rahmen des Seminars”Das virtuelle Labor“ (ViLab) im

Wintersemester 2007/2008 mit der Fehlerbaumanalyse. Es ist wichtig ein Problem rich-tig analysieren und auswerten zu konnen, um die Ursachen herauszufinden. Leider feh-len dazu oft die passenden Mittel. Der Fehlerbaum bietet dafur einen guten, grafischenLosungsansatz. Es wird in dieser Arbeit anhand anschaulicher Beispiele gezeigt, dass einFehlerbaum in der Industrie und sogar im taglichen Leben angewendet werden kann.

2 Einleitung

Heutzutage bestehen technische Systeme wie Autos, Flugzeuge etc. nicht nur aus Blechund Schrauben. Stattdessen wird immer mehr auf Mikrocontroller und Software gesetzt,die dem Benutzer die Bedienung erleichtern sollen. Dieser Fortschritt bringt aber auchNachteile mit sich. Ausfalle kommen zustande, die so komplex sind, dass meistens nurFachleute sie beheben konnen. Durch einfache, verstandliche Fehlerbaume kann manallerdings viele Probleme selber losen. Mit Hilfe von grafischen Analysen ist es moglicheinem Fehler auf den Grund zu gehen und wenn auch nicht den ganzen Fehler, mindestensdie Fehlerquelle genau lokalisieren zu konnen.Doch nicht nur im Alltag ist der Fehlerbaum nutzlich. 1996 beim Absturz der Ariane 5hatte es zu diesem Problem gar nicht kommen mussen. Die Ariane 5 ist beim Start vonihrer geplanten Flugroute abgekommen und explodiert. Die Ursache war lediglich einFehler bei der Umrechnung der Horizontalgeschwindigkeit von einer 64-Bit Zahl in einen16-Bit Wert. Das gleiche Problem trat auch bei dem Ersatzsystem auf, was zum gesamtenAusfall des Tragheitsnavigationssystems fuhrte. Dies wurde aber nicht vom Hauptrechnererkannt, somit interpretierte er die Flugdaten falsch und anderte die Flugkurve drastisch,was dazu fuhrte, dass die Raketen drohten auseinanderzubrechen. Dadurch wurde dieSelbstzerstorung aktiviert. Das Problem ist nur entstanden, weil man das System von derAriane 4 ubernommen hatte. Allerdings funktionierte es dort, da diese nur eine geringereGeschwindigkeit erreichte. Dieses Beispiel wurde der Quelle [Thums04] entnommen.

3 Mathematische Grundlagen

Um Fehlerbaume genau analysieren zu konnen, braucht man vor allem Wissen uber sto-chastische Zusammenhange. Dabei spielen fur dieses Gebiet

”AND“-Verknupfungen und

”OR“-Verknupfungen eine große Rolle. Ein kleiner Einblick wird im folgenden gezeigt.

2 4. FEHLERBAUM/-ANALYSE

Hierbei ist PE die Wahrscheinlichkeit fur das Eintreten des Ereignisses E, analog PA undPB.

Abbildung 1: Eine”AND“-Verknupfung

Bei der”AND“-Verknupfung berechnet sich die PE aus dem Produkt von PA und PB,

da beide Eingange fur das Ergebnis eine Rolle spielen.

Abbildung 2: Eine”OR“-Verknupfung

Bei der”OR“-Verknupfung werden beide Wahrscheinlichkeiten addiert, da aber in beiden

Wahrscheinlichkeiten die Schnittmenge von A und B enthalten ist, muss diese nocheinmal abgezogen werden.

4 Fehlerbaum/-analyse

In dem folgenden Abschnitt soll der Fehlerbaum, der ein Teil der Zuverlassigkeitsanalysenist, eingefuhrt und definiert werden.

4.1 Geschichte

Allgemein wurde der Fehlerbaum wahrend des 2. Weltkrieges vom Japaner Kaoru Ishika-wa (1915 - 1989) entwickelt. Durch seinen Entwickler kam der Fehlerbaum zu vielen Na-men wie Ishikawa-Diagramm oder Fischgraten-Diagramm, da es wie der Fehlerbaum dieUrsache eines Problems in Form eines Fisches aufspaltet, bis das Problem weitestgehendtief analysiert ist. So entstand eine universelle grafische Methode zur Systemoptimierungund Fehlerursachenanalyse.

4. FEHLERBAUM/-ANALYSE 3

Abbildung 3: Das Fischgraten- /Ishikawadiagramm

Auf diesem Modell wurde dann 1961 die Fehlerbaumanalyse(engl. Fault Tree Ana-lyse (FTA)) von der amerikanischen Luft- und Raumfahrt zur Untersuchung einesRaketenabschuss-Systems entwickelt. Mittlerweile ist die Fehlerbaumanalyse mit der DIN25424 und dem IEC 1025 standardisiert.

4.2 Beschreibung

In einer Arbeit aus dem Wissenschaftszweig der Softwareentwicklung wird eine Fehler-baumanalyse wie folgt beschrieben.

”Die FTA untersucht Anlagen oder technische Systeme daraufhin, ob sie

Gefahrdungen verursachen konnen. Dazu werden systematisch alle Ursachenfur eine mogliche Gefahrdung analysiert und das Gefahrdungspotential ausden Ursachen abgeleitet.“ [Thums04]

4.3 Aufbau

Der Fehlerbaum ist eine grafische Darstellung der logischen Zusammenhange zwischenFehlern und daraus entstehenden Ergebnissen. Die Baumstruktur wird zwischen zweiGruppen von Symbolen unterschieden: Ereignisse (Events) und logischen Verknupfungen(Gates).Die Ergebnisse werden wie folgt unterschieden:

1 Intermediate events (Rechtecke) sind Fehlerereignisse, die in einfachere (Fehler-)Ereignisse unterteilt werden konnen.

2 Basic events (Kreise) sind Fehlerereignisse, die sich nicht weiter unterteilen lassen.

3 Undeveloped events (Rauten) sind diejenigen Fehlerereignisse, die noch nicht un-terteilt wurden, aber noch unterteilt werden mussen. Dies kann mehrere Ursachenhaben. Zum einen, weil es in bestimmten Fallen unrelevant ist oder zum anderen,weil die Fehlerquelle erkannt, aber noch nicht weiter darauf eingegangen wurde.

4 House events (Hausform) sind Ereignisse, die Teile des Entscheidungsbaumes be-einflussen. Zum Beispiel ware bei dem Problem der Bremsen eines Autos Regenein house event.

4 5. ANALYSE

Die wichtigsten logischen Verbindungen sind:

1 OR-Gates (Oder-Gatter), hier tritt der Fehler auf, falls ein oder mehrere Ereignisseeintreten.

2 AND-Gates (Und-Gatter), bei dem nur bei Eintreten aller Ereignisse (Input) derFehler auftritt.

3 Transfer Gates, sind Verbindungspunkte bei sehr großen Systemen oder falls sicheinige Teile wiederholen.

Abbildung 4: Symbole fur die Fehlerbaumanalyse nach IEC 1025

5 Analyse

Bei dem Aufbau eines Fehlerbaumes muss man sich zwei Fragen stellen, da diese dieGrundlagen der beiden Analyseformen sind. Bei der qualitativen Analyse muss geklartwerden, aufgrund welcher Ursachen ein Ergebnis eingetreten ist. Dagegen wird bei derquantitativen Analyse nach der Ausfallwahrscheinlichkeit eines Systems gesucht. Im fol-genden werden diese beiden Formen naher erlautert (entnommen aus [Schw04]).

5.1 Qualitative Analyse

Die qualitative Untersuchung befasst sich mit der Struktur des Fehlerbaumes. Es wirdversucht alle Ursachen in einem System darzustellen, wobei die Art und Weise der Ver-knupfungen Aufschluss uber die Bedeutung einzelner Prozesse gibt. Ausgehend von dem

5. ANALYSE 5

Top-Ereignis (Problem) wird immer tiefer nach der Ursache des Problems gesucht. Da-her wird der Fehlerbaum auch als eine

”top-down“ Analysetechnik bezeichnet, die einen

gerichteten Graphen zur Darstellung nutzt.An diesem kleinen, stark abstrahierten Beispiel kann man die Bedeutung eines Feh-lerbaumes schon erkennen. Als erstes sollte herausgefunden werden, welche minimaleKombination an Ereignissen notwendig ist um das Problem auszulosen. Diese werdenals Minimal Cut Sets (MCS) bezeichnet. Man geht dabei nur von den Endknoten (BasisEvent) des Baumes aus.

Abbildung 5: Die qualitative Analyse

In diesem Fall waren die MCS A,B,C,E,D,E. Das heißt, dass z.B. unter der Bedingung,dass C und E eintreten, das Problem ausgelost wird. A und B wurden jeweils schon al-leine ausreichen, darum werden sie auch als Single Point Failures bezeichnet. Diese Fallesind jedoch außerst selten zu finden.

5.2 Quantitative Analyse

Erst wenn die qualitative Analyse durchgefuhrt wurde, kann man das Problem quantita-tiv analysieren. Der Baum wird einfach ubernommen und noch erganzt. Hierbei lasst sichjetzt die Ausfallwahrscheinlichkeit des Gesamtsystems errechnen. Durch diesen quanti-tativen Beitrag ist ein gezielter Ansatz zur Verbesserung des Systems moglich.Als kleinen Auszug fur die Berechnung mochte ich den Teilbaum, wo F das interne

Top-Ereignis ist, beschreiben. Dazu benotigt man die Wahrscheinlichkeit vom G-Baum,der sich berechnen lasst durch:

PG = PC + PD - PC * PD

6 6. BEISPIELE

Abbildung 6: Die quantitative Analyse

Fur den F-Baum gilt analog:

PF = PE + PG - PE * PG

Somit lasst sich der Baum berechnen durch:

PF = PE + (PC + PD - PC * PD) - PE * (PC + PD - PC * PD)

6 Beispiele

In diesem Abschnitt stelle ich zwei Beispielszenarien vor und werde danach die Analy-setechniken darauf anwenden. Zudem werden zu beiden Beispielen exemplarische Feh-lerbaume dargestellt und erlautert. Zu Vereinfachungszwecken wird bei den beiden Bei-spielen nur die Methodik der quantitativen Analyse angewendet.

6.1 Kaffeekochen

Eines der beruhmtesten und meistverbreitesten Beispiele fur die Fehlerbaumanalyse istdas Problem des Kaffekochens. Man steht morgens in der Kuche und mochte sich einenKaffee kochen, doch es geht nicht. Nun ist die Frage, wie man eventuell doch noch anseinen Kaffee kommt. Oft sind es nur kleine Probleme, die man einfach losen kann. Derfolgende Baum zeigt einige Vorgehensweisen wie man das Problem analysieren kann.

Das Bild zeigt die quantitative Analyse, wobei das Problem (Top-Event) ist, dass es keinheißes Getrank gibt. Das liegt entweder daran, dass es kein Getrank gibt oder dass dasGerat nicht am Strom angeschlossen ist. Der zweite Grund ist hier sogar ein Basis Event.

6. BEISPIELE 7

Abbildung 7: Kaffeekochen

Obwohl es so nahe am ursprunglichen Problem liegt, wird es aber nicht weiter verfolgt,da man in dem Moment nichts daran andern konnte. Interessanter ist dabei der andereAst. Damit ein Getrank da ist, muss z.B. Kaffee und Milch vorhanden sein. Das kannman sehr weit fuhren, muss dabei aber immer auch die Umsetzbarkeit prufen.

6.2 Funkbasierter Bahnubergang

Das zweite Beispiel ist ein Projekt der Deutschen Bahn AG, der sogenannte”Funk-

FahrBetrieb“ [Thums04]. Es geht darum, die Schranken bei einem annahernden Zug,der mit maximaler Zuggeschwindigkeit (160 km/h) fahrt, dezentral zu schließen. Dabeiwird durch Signalubertragung zwischen Zug und Schranke berechnet, wann die Schrankeschließen, muss damit die Wartezeiten fur Zug und Autos minimiert wird. In der folgen-den Abbildung ist das Funktionsprinzip skizziert.

Abbildung 8: Der Bahnubergang

8 6. BEISPIELE

Wenn der Zug sich in optimaler Entfernung zur Schranke befindet, sendet er ein Schließsi-gnal. Die Schranken sind im Streckenprofil des Zuges enthalten und die Geschwindigkeitund Position misst ein sogenannter Odometer. Wenn die Schranke geschlossen ist, schicktsie das Signal gesichert an den Zug zuruck. Bekommt er jedoch den Status “ungesichert“zuruck, bremst er.

Abbildung 9: Der Fehlerbaum

In Abbildung 9 ist ein Fehlerbaum dargestellt, der die Gefahren einer Kollision analy-siert. Allgemein gibt es zwei große Fehlerbereiche. Einmal bremst der Zug nicht, hat aberauch keine Freigabe. Der zweite Bereich ist, dass er Freigabe hat, aber die Schrankennicht geschlossen sind. Die Ursache, dass ein Zug nicht bremst, kann an den defektenBremsen (primar und sekundar) liegen oder dass es kein Bremssignal gibt, bei keinerFreigabe. Das kann dann sein, wenn es einen Fehler in der Zugsteuerung gibt.Auf der anderen Seite ist es moglich, dass das Freigabesignal gegeben wurde, die Schran-ken aber noch offen sind. Des Weiteren kann es sein, dass die Schranken wieder offnen,weil es einen Timeout gibt (dabei werden die Schranken automatisch wieder geoffnet)oder der Zug schon signalisert, dass er durchgefahren ist.

7. ANWENDUNG 9

Das Letzte ist besonders wichtig, da bevor der Fehlerbaum erstellt wurde, es diese Uber-legung nicht gab und dafur somit keine Losung. Daraufhin wurde die Fallstudie nochmalbearbeitet und die entscheidenden Sicherheitsvorkehrungen uberarbeitet.

7 Anwendung

Wenn man ein Verfahren vorstellt, muss auch gezeigt werden warum und wie es genutztwird. Daran kann man dann die Vor- und Nachteile aufdecken. Einen kleinen Einblickdaruber soll dieser Abschnitt geben.

7.1 Einsatzgrunde

Fehlerbaume sind vorallem fur den Hersteller von Bedeutung. Es ist immer wichtig ko-stengunstige Produkte zu bauen, die zuverlassig sind. Was ist schon ein Produkt, waszwar billig ist, aber dauernd repariert werden muss? Durch diese Vorfalle wird der Kundeunzufrieden sein und nie mehr ein Produkt der Firma kaufen. Zudem sind Garantiefalleschlecht fur den Hersteller, da er zusatzliche Kosten aufbringen muss. Weiterhin ist dieVermeidung von Funktionseinbußen und Konventionalstrafen ein wichtiges Thema.

7.2 Anwendungsgebiete

In Abschnitt 6.2 wurde bereits das Beispiel von dem funkbasiertem Bahnubergang er-klart. Das ist zwar nur ein fiktives Projekt, aber es verdeutlicht wie wichtig es fur denFortschritt ist. Daher sollte jedes produzierende Unternehmen mehrere Fehlerbaumana-lyse machen. Zum einen geht es dabei um die Produktion an sich und zum anderengeht es um das Produkt direkt. Sicherheitsanalysen konnen speziell durch die qualita-tiven Analysen gut dargestellt werden. Des Weiteren kann man es in der Medizin undSchifffahrt einsetzen.

7.3 Vorteile/Nachteile

Die Vorteile sind ein schnelles Verstandnis durch die grafische Darstellung, es ist intui-tiv. Man bekommt qualitative und quantitative Ergebnisse. Mathematische Grundlageist dabei die boolesche Algebra, die eine eindeutige Entscheidung bewirkt. Um einenkorrekten Baum zu erzeugen, muss man intensive Untersuchungen des Systems und desZusammenwirkens der Komponenten machen. Dabei beschaftigt man sich so stark mitder Materie, dass oft noch Fehler aufgedeckt werden konnen.Dem gegenuber stehen die Nachteile, wo das großte Problem ist, dass menschliches Ver-sagen nicht erfassbar ist. Außerdem muss das Top Ereignis vorher bekannt sein, neueGefahren werden nicht entdeckt. Je Baum kann es nur ein Top Ereignis geben. Die Feh-lerbaume sind schon bei kleinen Systemen sehr umfangreich und es wird ein fundiertesFachwissen gebraucht, um es zu erstellen.

10 8. ZUSAMMENFASSUNG

8 Zusammenfassung

Eine allgemeine Vorgehensweise um einen Fehlerbaum zu erstellen gibt es nicht, da jedesProblem anders geartet ist. Das Verfahren eignet sich besonders zur Analyse komplexerSysteme fur die Ausfallwahrscheinlichkeit und den Ausfallgrund. Die Top-Down Vorge-hensweise ist logisch und leicht nachvollziehbar. Es wurde im Idealfall dazu fuhren, dassder Fehlerbaum genauso wie eine Bottom-Up Analyse aussieht, was in der Praxis aberselten der Fall ist. Dabei sollten beide Analyseformen genutzt werden. Abschließend kannman noch sagen, dass ein Fehlerbaum nur so gut ist, wie die Fahigkeit des Gestalters,Fehler vorherzusehen und das Problem zu verstehen.

LITERATUR 11

Literatur

[Thums04] Thums, A.: Formale Fehlerbaumanalyse. 2004,Dissertation, http://www.opus-bayern.de/uni-augsburg/volltexte/2004/38/pdf/eVeroeffentlichung.pdf Stand: 12.11.2007

[Schw04] Schwindt, E.: Gefahrenanalyse mittels Fehlerbaumanalyse.2004, Seminararbeit, http://wwwcs.uni-paderborn.de/cs/ag-schaefer/Lehre/Lehrveranstaltungen/Seminare/AEIzS/Abgaben/Folien/3F TAESchwindt.pdfStand : 12.11.2007