Berechnungen zur Funktionalen Sicherheit
Größen, Formeln und Methoden
3 Mittlere Ausfallrate und mittlere Zeit bis zum Ausfall
Bei vielen Komponenten ist die Ausfallrate stark zeitabhängig. Auch für solche Komponenten wird oft eine mittlere Ausfallrate benötigt, unter anderem aus folgenden Gründen:
-
• Sollen Systemgrößen (\(\overline {h_\mathrm {sys}}\), \(\overline {Q_\mathrm {sys}}\)) stationär berechnet werden, können prinzipbedingt nur mittlere Ausfallraten verwendet werden.
-
• Wenn eine Komponente während der Einsatzzeit des Systems wahrscheinlich mehrfach ausfallen (und ersetzt oder repariert werden) wird, ist ab dem ersten Ausfall auch die Ausfallratenfunktion selbst eine Zufallsgröße, die mit zunehmender Anzahl von Ausfällen immer unschärfer wird. Selbst bei transienten, also zeitlich kontinuierlich aufgelösten Betrachtungen, kann also keine Ausfallratenfunktion angegeben werden.
-
• Falls die Komponente regelmäßig präventiv getauscht werden soll, damit sie möglichst nicht ausfallen wird, stellt sich die Frage, in welchem Intervall die Komponente getauscht werden sollte, um die effektive (Rest-)Ausfallrate und damit die Wahrscheinlichkeit eines Ausfalls möglichst gering zu halten.
In diesem Abschnitt sollen daher die folgenden Aufgaben behandelt werden:
-
1. Wie groß sind MTTF und mittlere Ausfallrate für den Fall, dass die Komponente bis zum Ausfall betrieben wird und dann getauscht wird? (Beispiel: Glühbirne)
-
2. Was groß sind MTTF und effektive mittlere Ausfallrate für den Fall, dass die Komponente regelmäßig präventiv getauscht wird? (Beispiel: Steuerriemen eines Verbrennungsmotors)
-
3. Wenn es gefährliche und ungefährliche Ausfallmodi einer Komponente gibt: Wie können die gefährliche MTTF und die gefährliche mittlere Ausfallrate für die beiden vorgenannten Fälle berechnet werden?
Häufig wird behauptet, man solle bei derlei Fragestellungen die Ausfallrate im flachen Bereich der „Badewannenkurve“ verwenden. Dies ist jedoch nur dann richtig, wenn die Komponente auch wirklich nur in diesem Bereich betrieben wird, also Frühausfälle (insbesondere Produktionsfehler) ebenso absolut ausgeschlossen werden können wie Ausfälle durch Alterung und Verschleiß. Diese Bedingungen sind sehr häufig nicht erfüllt – und zudem weist die Badewannenkurve oft auch gar keinen richtig flachen Bereich auf, sondern sogenannte Frühausfälle überlagern sich mit Spätausfällen.
Anmerkung: Mancher Leser wird sich fragen, warum die Abkürzung MTTF auch für die Zeit zwischen zwei Ausfällen verwendet wird, und nicht etwa MTBF (Mean Time Between Failures). Die Antwort ist einfach, dass fast immer, wenn von MTBF die Rede ist, tatsächlich die MTTF gemeint ist. In Anwendungen oder Berechnungen, in denen Fehlerdetektionszeiten oder Reparaturzeiten nicht unerheblich sind, müssen diese ohnehin ausdrücklich erwähnt werden. Es gibt somit weder in der Sicherheits- noch in der Zuverlässigkeitstheorie einen stichhaltigen Grund, eine Größe MTBF einzuführen oder zu verwenden. 2
2 Tatsächlich bin ich nicht sicher, ob ich jemals ein Dokument gesehen habe, in dem der Begriff MTBF korrekt verwendet worden wäre – abgesehen von Lehrbüchern.
3.1 MTTF bei langer Nutzung ohne vorbeugenden Tausch
Zunächst sollen die MTTF und die mittlere Ausfallrate für eine Komponente berechnet werden, welche eine deutlich geringere Lebenserwartung hat als die nominale Einsatzzeit des Gesamtsystems. In dem Fall ist davon auszugehen, dass die Komponente mehrfach ausfallen wird und daher mehrfach getauscht werden muss.
Für beliebige Ausfallverteilungsfunktionen gilt:
\(\seteqnumber{0}{}{20}\)\begin{equation} \label {eq:MTTF_int_tf} \mathrm {MTTF} = \int \limits _0^\infty t \cdot f(t)\, dt \end{equation}
Liegen ausreichende Test- oder Felddaten vor, so kann dieses Integral leicht mit einer Tabellenkalkulation berechnet werden. Falls anstelle von \(f(t)\) die Daten \(F(t)\) oder \(R(t)\) vorliegen, kann \(f(t)\) leicht durch numerisches Differenzieren gewonnen werden.
Ganz allgemein gilt für die Ausfalldichtenfunktion
\(\seteqnumber{0}{}{21}\)\begin{equation} f(t) = h(t) \cdot R(t) = h(t) \cdot \mathrm {e}^{-\int \limits _0^t h(\tau )\,d\tau } \end{equation}
und damit für die MTTF
\(\seteqnumber{0}{}{22}\)\begin{equation} \mathrm {MTTF} = \int \limits _0^\infty t \cdot h(t) \cdot \mathrm {e}^{-\int \limits _0^t h(\tau )\,d\tau }\;dt \end{equation}
Fast alle Komponenten haben mehrere Fehlermodi, die unterschiedlichen Ausfallverteilungsfunktionen gehorchen. Angenommen die Ausfallverteilungsfunktionen der einzelnen Fehlermodi seien bekannt, wie kann dann die MTTF berechnet werden? Dazu muss vorausgesetzt werden, dass die Fehlermodi voneinander unabhängig sind, also sich nicht gegenseitig beeinflussen. Damit diese Voraussetzung erfüllt ist, ist insbesondere notwendig, dass die Komponente im Fall eines jeden Ausfalls ausgetauscht wird. Dann gilt für die Gesamt-Ausfallratenfunktion \(h(t)\) der Komponente, dass sie durch die Summe der Ausfallratenfunktionen der einzelnen Fehlermodi gegeben ist:
\(\seteqnumber{0}{}{23}\)\begin{equation} \label {eq:h_sum} h(t) = \sum _{i=1}^n h_i(t) \end{equation}
Falls sowohl alle \(h_i(t)\) als auch die jeweils zugehörigen Zuverlässigkeitsfunktionen \(R_i(t)\) durch mathematische Formeln gegeben sind, ist es hilfreich, das doppelte Integral zu vereinfachen:
\(\seteqnumber{0}{}{24}\)\begin{align} \label {eq:MTTF_vollstaendig} \begin{split} \mathrm {MTTF} &= \int \limits _0^\infty t \cdot h(t) \cdot \mathrm {e}^{-\int \limits _0^t \sum \limits _{i=1}^n h_i(\tau )\,d\tau }\;dt = \int \limits _0^\infty t \cdot h(t) \cdot \mathrm {e}^{-\sum \limits _{i=1}^n \int \limits _0^t h_i(\tau )\,d\tau }\;dt\\ &= \int \limits _0^\infty t \cdot h(t) \cdot \prod _{i=1}^n R_i(t)\;dt \end {split} \end{align} Die so ermittelte MTTF wird im folgenden vollständige MTTF oder natürliche MTTF genannt, denn es ist die mittlere Zeit bis zum Ausfall, die sich ergibt, wenn die Komponente bis zum Ausfall eingesetzt und dann getauscht wird (wie dies in langlebigen Systemen wie Maschinen, Flugzeugen oder Eisenbahnfahrzeugen für viele Komponenten der Fall ist).
Die mittlere Ausfallrate der Komponente für den Fall, dass die Komponente wahrscheinlich (mehrfach) ausfallen wird und dann jeweils ersetzt wird, ist der Kehrwert der vollständigen MTTF:
\(\seteqnumber{0}{}{25}\)\begin{equation} \label {eq:lambda_MTTF} \lambda = \frac {1}{\mathrm {MTTF}} \end{equation}
3.2 Vorbeugender Tausch und unvollständige MTTF
Im Falle von vorbeugendem Austausch nach einem Zeitintervall \(T\) wird die unvollständige MTTF(T) für die Zeitspanne 0 bis \(T\) benötigt, ebenso wenn die natürliche MTTF der Komponente (in der Anwendung) wesentlich größer ist als die Lebenszeit des Systems, in dem sie eingesetzt wird. Aus Überlegungen, welche hier nicht wiedergegeben werden können, folgt:
\(\seteqnumber{0}{}{26}\)\begin{equation} \mathrm {MTTF}(T) = \frac {\int \limits _0^T t\cdot f(t)\,dt +T\cdot R(T)}{F(T)} \end{equation}
Mit \(R(T)=1-F(T)\) und den bereits bekannten Formeln für die Beziehung zwischen Zuverlässigkeit und Ausfallrate erhält man eine Formel zur Berechnung von \(\mathrm {MTTF}(T)\) bei gegebener oder experimentell ermittelter Ausfallratenfunktion \(h(t)\):
\(\seteqnumber{0}{}{27}\)\begin{align} \label {eq:mttf_T} \begin{split} \mathrm {MTTF(T)} &= \frac {\int \limits _0^T t\cdot f(t)\,dt +T\cdot \big (1-F(T)\big )}{F(T)} = \frac {\int \limits _0^T t\cdot f(t)\,dt + T}{F(T)} - T \\ &= \frac { \int \limits _0^T t \cdot h(t) \cdot \mathrm {e}^{-\int \limits _0^t h(\tau )\,d\tau }\;dt + T } { 1 - \mathrm {e}^{-\int \limits _0^T h(t)\,dt} } - T \end {split} \end{align} Für \(T \rightarrow \infty \) geht die unvollständige MTTF(T) in die vollständige MTTF über.
Der Kehrwert der unvollständigen MTTF zur Zeit \(T\) ist die effektive Ausfallrate \(\lambda _\mathrm {eff}\). Sie gibt ganz praktisch an, wie oft die Komponente trotz regelmäßiger präventiver Tauschs bei einer (sehr langen) Einsatzzeit des Gesamtsystems \(T_\mathrm {Life,sys}\) ausfallen würde:
\(\seteqnumber{0}{}{28}\)\begin{equation} \label {eq:h_eff_MTTF} \lambda _\mathrm {eff}(T) = \frac {1}{\mathrm {MTTF}(T)} = \frac {N(T_\mathrm {Life,sys})}{T_\mathrm {Life,sys}} \end{equation}
Dabei meint \(N(T_\mathrm {Life,sys})\) die zählbaren Ausfälle der Komponente im System. Man kann MTTF(T) daher auch als die effektive MTTF für ein bestimmtes Tauschintervall \(T\) bezeichnen.
-
Beispiel 3.1 Die Ausfallrate des Steuerriemens eines Motors eines PKW lasse sich durch zwei überlagerte Weibull-Verteilungen beschreiben:
\(\seteqnumber{0}{}{29}\)\begin{equation*} \lambda _1=\SI {1e-9}{\per \hour }\,;\, k_1=\num {0,3} \Rightarrow h_1(t) = \SI {1e-9}{\per \hour } \cdot \num {0,3} \cdot (\SI {1e-9}{\per \hour } \cdot t)^{\num {0,3}-1} \end{equation*}
\(\seteqnumber{0}{}{29}\)\begin{equation*} \lambda _2=\SI {2e-4}{\per \hour }\,;\, k_2=\num {4,0} \Rightarrow h_2(t) = \SI {2e-4}{\per \hour } \cdot \num {4,0} \cdot (\SI {2e-4}{\per \hour } \cdot t)^{\num {4,0}-1} \end{equation*}
Dabei beschreibt \(h_1(t)\) sogenannte Frühausfälle, wie sie etwa durch fehlerhafte Komponenten oder fehlerhafte Montage entstehen, und \(h_2(t)\) die verschleißbedingten Ausfälle des Riemens.
Für die Ausfallrate des Steuerriemens gilt gemäß Formel (24):
\(\seteqnumber{0}{}{29}\)\begin{equation*} h_\mathrm {ges}(t) = h_1(t) + h_2(t) \end{equation*}
Weiter sei angenommen, dass ein PKW mindestens 5000 Betriebsstunden wirtschaftlich betrieben werden können soll.
Mit dieser Ausfallratenfunktion errechnet sich die Unzuverlässigkeit zum Zeitpunkt \(T=\SI {5000}{\hour }\) zu \(F(\SI {5000}{\hour })\approx \num {0,64}\). Es wäre also bei mindestens jedem zweiten Fahrzeug zu erwarten, dass der Steuerriemens reißt, bevor 5000 Betriebsstunden erreicht sind. Da der Riss des Steuerriemens eines Motors meist einen Totalschaden des Motors und somit oft einen wirtschaftlichen Totalschaden des Fahrzeugs mit sich bringt, stellt sich die Frage, ob nicht ein präventiver Tausch nach einer bestimmten Zeit (oder Fahrstrecke) sinnvoll ist.
In Abbildung 7 sind neben Ausfalldichte \(f(t)\), Ausfallrate \(h(t)\), Zuverlässigkeit \(R(t)\) und Unzuverlässigkeit \(F(t)\) auch die effektive \(\mathrm {MTTF}(T)\) und (gestrichelt) die effektive Ausfallrate \(\lambda _\mathrm {eff}(T)\) in Abhängigkeit der Zeit bis zum präventiven Tausch \(T\) dargestellt.
Man erkennt, dass bei einer Einsatzzeit \(T\) von etwa 1200 Stunden die MTTF(T) mit etwa 61000 h ein Maximum annimmt. Wechselt man also nach etwa 1200 Stunden den Steuerriemen, beträgt die effektive Ausfallrate \(\lambda _\mathrm {eff}\approx \SI {1,6e-5}{\per \hour }\). Wird der Riemen häufiger gewechselt, sinkt die effektive (unvollständige) MTTF(T), da Frühausfälle noch einen relativ starken Einfluss haben. Wird der Riemen länger betrieben, sinkt die effektive MTTF(T) ebenfalls, da sich Ausfälle aufgrund von Verschleiß stärker bemerkbar machen. Der präventive Tausch sollte also nach etwa 1200 Stunden (oder einer entsprechenden Strecke) vorgeschrieben werden.
Die effektive MTTF(T) von 61000 h bedeutet bei einem Tauschintervall von 1200 h praktisch, dass etwa jeder fünfzigste (61000 h/1200 h\(\approx \)50) Riemen im Betrieb reißen wird. 3
3.3 Gefährliche und ungefährliche Ausfallmodi, gefährliche MTTF
Viele insbesondere komplexere Komponenten können verschiedenartig ausfallen. Dabei sind oft einige Ausfallarten sicherheitskritisch, andere nicht. Für Sicherheitsbetrachtungen ist es daher oft sinnvoll oder erforderlich, zwischen gefährlichen (dangerous, d) und ungefährlichen (safe, s) Ausfallarten zu unterscheiden. Die Gesamt-Ausfallrate zu jeder Zeit t ist die Summe zweier Teil-Ausfallraten für gefährliche und ungefährliche Ausfälle:
\(\seteqnumber{0}{}{29}\)\begin{equation} h(t) = h_d(t) + h_s(t) \end{equation}
Die Dichte kann man über
\(\seteqnumber{0}{}{30}\)\begin{align} \begin{split} f(t) &= h(t) \cdot R(t) = \big ( h_d(t) + h_s(t) \big ) \cdot R(t) \\ &= h_d(t) \cdot R(t) + h_s(t) \cdot R(t) \\ &= \varphi _d(t) + \varphi _s(t) \end {split} \end{align} in zwei Teil-Ausfalldichten \(\varphi _d\) und \(\varphi _s\) zerlegen (\(\varphi _d\) und \(\varphi _s\) sind selbst keine Dichten, da ihre einzelnen Integrale kleiner 1 sind).
Entsprechend kann man die Verteilungsfunktion \(F(t)\) in zwei Teilfunktionen zerlegen:
\(\seteqnumber{0}{}{31}\)\begin{equation} F(t) = \Phi _d(t) + \Phi _s(t) = \int \limits _0^t \varphi _d(\tau )\,d\tau + \int \limits _0^t \varphi _s(\tau )\,d\tau \end{equation}
Aus ähnlichen Überlegungen wie für die unvollständige \(\mathrm {MTTF}(T)\) erhält man für die effektive gefährliche \(\mathrm {MTTF_d}(T)\):
\(\seteqnumber{0}{}{32}\)\begin{equation} \mathrm {MTTF_d}(T) = \frac {\int \limits _0^T t\cdot f(t)\,dt + T \cdot R(T)}{\Phi _d(T)} \end{equation}
Mit den bereits bekannten Formeln für die Beziehung zwischen Zuverlässigkeit und Ausfallrate erhält man eine Formel zur Berechnung von \(\mathrm {MTTF_d}(T)\) bei gegebenen oder experimentell ermittelten Ausfallratenfunktionen \(h(t)\) und \(h_d(t)\):
\(\seteqnumber{0}{}{33}\)\begin{align} \begin{split} \mathrm {MTTF_d}(T) &= \frac {\int \limits _0^T t\cdot f(t)\,dt + T \cdot R(T)} {\int \limits _0^T \varphi _d(t)\,dt} = \frac {\int \limits _0^T t\cdot h(t) \cdot R(t)\,dt + T \cdot R(T)} {\int \limits _0^T h_d(t) \cdot R(t)\,dt} \\ &= \frac {\int \limits _0^T t\cdot h(t) \cdot \mathrm {e}^{-\int \limits _0^t h(\tau )\,d\tau } \,dt + T \cdot \mathrm {e}^{-\int \limits _0^T h(t)\,dt} } {\int \limits _0^T h_d(t) \cdot \mathrm {e}^{-\int \limits _0^t h(\tau )\,d\tau } \,dt} \end {split} \end{align} Ein einfacher Formelvergleich liefert ferner die Beziehung:
\(\seteqnumber{0}{}{34}\)\begin{equation} \mathrm {MTTF_d}(T) = \mathrm {MTTF}(T) \frac { F(T) }{ \Phi _d(T) } \end{equation}
Auch hier kann man die effektive mittlere gefährliche Ausfallrate \(\lambda _\mathrm {d}\) als Kehrwert berechnen:
\(\seteqnumber{0}{}{35}\)\begin{equation} \lambda _\mathrm {d}(T)=\frac {1}{\mathrm {MTTF_d}(T)} \end{equation}
In der folgenden Abbildung 8 sind die für eine Komponente mit je drei gefährlichen und drei ungefährlichen Ausfallarten relevanten Zuverlässigkeitsgrößen dargestellt (durchgezogene Linien für gefährliche Ausfälle, gestrichelte Linien für gesamte Ausfälle):
