Berechnungen zur Funktionalen Sicherheit
Größen, Formeln und Methoden

A Modelle für Basis-Ereignisse

Die Basis-Ereignisse von Fehlerbäumen oder die Kanten (Transitionen) von Markov-Modellen modellieren Ereignisse oder Bedingungen (Zustände). Hierfür werden unterschiedliche Modelle benötigt, je nachdem ob es sich um einmalige oder mehrmalige zufällige Ereignisse handelt, um regelmäßige Ereignisse, oder um Bedingungen (Zustände). Nachfolgend werden die wichtigsten erwähnt, es gibt aber auch andere.

A.1 Modell Wiederherstellbar

Mit diesem Modell, das auch als „Dormant Failure Model“ (deutsch: schlafende-Fehler-Modell) oder „Reparierbar“ oder „Testbar“ bezeichnet wird 24, können beispielsweise die folgenden Ausfallszenarien modelliert werden:

  • • Ausfälle, die direkt zum Systemausfall führen (und damit unmittelbar erkannt werden)

  • • Ausfälle, die nur in Gegenwart oder bei nachfolgendem Auftreten anderer Ereignisse zum Systemausfall führen, die aber durch regelmäßige Tests erkannt werden können

Dieses Modell ist das Standardmodell, mit diesem können fast alle Ausfälle von technischen Komponenten wie Elektrik/Elektronik, Hydraulik, Pneumatik etc. abgebildet werden, von einer einfachen Leitung bis hin zu ganzen Steuerungen.

Wenn weder Detektionszeit noch Reparaturzeit vernachlässigbar klein sind, ist die Nichtverfügbarkeit \(Q(t)\) durch die in Kapitel 4 erwähnte Formel (48) sehr gut angenähert:

\[ Q(t) = 1-\frac { e^{-\;\dfrac {\lambda \cdot (t \bmod T_{\mathrm {test}}) }{ \lambda \cdot \mathrm {MRT} + 1 }} }{ \lambda \cdot \mathrm {MRT} + 1 } \]

mit dem Testintervall \(T_{\mathrm {test}}\) und der mittleren Reparaturzeit pro Ausfall \(\mathrm {MRT}\) (einschließlich Zeit zur Ersatzbeschaffung).

Die mittlere Nichtverfügbarkeit \(\overline {Q}\) ist gegeben durch die in Kapitel 4 hergeleitete Formel (44)

\[ \overline {Q} = \frac { e^{-\lambda \cdot T_{\mathrm {test}}} - 1 } { \lambda \cdot T_{\mathrm {test}} + \lambda \cdot \mathrm {MRT} \cdot ( 1-e^{-\lambda \cdot T_{\mathrm {test}}} ) } + 1 \]

sowie die dort erwähnte Formel (45) bei vernachlässigbarer Detektionszeit \(T_{\mathrm {test}} \rightarrow 0\)

\[ \overline {Q} = \frac { \lambda \cdot \mathrm {MRT} } { \lambda \cdot \mathrm {MRT} + 1 } \]

bzw. Formel (46) bei vernachlässigbarer Reparaturzeit \(\mathrm {MRT} \rightarrow 0\):

\[ \overline {Q} = \frac {e^{-\lambda \cdot T_{\mathrm {test}}}-1} {\lambda \cdot T_{\mathrm {test}} }+1 \]

Das Modell kann oft auch verwendet werden, wenn es kein definiertes Test- oder Inspektionsintervall gibt, jedoch ein Ausfall sich während des Betriebs in einer unkritischen Situation offenbart. Falls es keine Tests gibt und sich ein Ausfall nur offenbart, wenn noch ein anderes Ereignis eintritt, muss das Testintervall auf die nominale Einsatzdauer gesetzt werden, oder das Modell „Nicht-Wiederherstellbar“ verwendet werden.

Wenn die Ausfallrate nicht konstant ist, muss eine mittlere Ausfallrate über Formel (26) in Verbindung mit (25) berechnet werden:

\begin{equation} \lambda _\mathrm {eff} = \frac {1}{\mathrm {MTTF}} = \frac {1}{\int \limits _0^\infty t\cdot f(t)\,dt} = \frac {1}{\int \limits _0^\infty t \cdot h(t) \cdot \mathrm {e}^{-\int \limits _0^t \sum \limits _{i=1}^n h_i(\tau )\,d\tau }\;dt} \end{equation}

Das Modell kann auch als Beschreibung von Bedingungen verwendet werden.

24 Manche Werkzeuge bieten separate Modell für Testbar und Reparierbar an. Die klare Trennung vereinfacht das Verständnis, jedoch werden manchmal sowohl eine Fehlerdetektionszeit größer null als auch eine Reparaturzeit größer null benötigt.

A.2 Modell Nicht-Wiederherstellbar

Mit diesem Modell können beispielsweise die folgenden Ausfallszenarien modelliert werden:

  • • Ausfälle, die direkt zum Systemausfall führen

  • • Ausfälle, die nur zum Systemausfall führen, wenn auch schon andere Ereignisse eingetreten sind oder noch eintreten, und die auch nur dann erkannt werden

Nur bei diesem Ereignismodell macht es Sinn, bei einer transienten Berechnung mit zeitvarianten Ausfallraten (also beispielsweise Weibull-Verteilungen) zu rechnen.

Die Unzuverlässigkeit berechnet sich gemäß der bekannten Formel (8) zu

\begin{equation} \label {eq:F_h_wdh} F(T) = 1-\mathrm {e}^{-\int \limits _0^T h(t)\,dt} \end{equation}

Die mittlere Ausfallrate bezüglich \(F(T)\) ergibt sich damit zu

\begin{equation} \label {eq:h_mean_wdh} \begin{split} F(T) &= 1-\mathrm {e}^{-\int \limits _0^T h(t)\,dt} = 1-\mathrm {e}^{-\overline {h(T)} \cdot T} \\ \Rightarrow \overline {h(T)} &= \frac {1}{T} \int \limits _0^T h(t)\,dt \end {split} \end{equation}

Wenn also eine Unzuverlässigkeit \(F(T)\) für ein nicht-reparierbares Element mit einer prinzipiell zeitabhängigen Ausfallrate berechnet werden soll, muss entweder die Unzuverlässigkeit über die Integration mittels Formel (75) berechnet werden, oder es muss eine konstante Ausfallrate verwendet werden, welche gemäß Formel (76) berechnet wurde. Es darf nicht die gemäß Formel (29) berechnete mittlere effektive Ausfallrate \(\lambda _\mathrm {eff}\) verwendet werden!

Die mittlere Nichtverfügbarkeit über die geplante Einsatzzeit \(\overline {Q(T)}\) ist gegeben durch

\begin{equation} \label {eq:nonrep_qmean} \overline {Q(T)} = \frac {\int \limits _0^T F(t)\,dt}{T} \end{equation}

Die maximale Nichtverfügbarkeit ergibt sich am Ende der geplanten Einsatzzeit.

Das Modell darf offensichtlich nur verwendet werden, wenn sicher ist, dass die Komponente zum Zeitpunkt \(t=0\) nicht defekt ist. Es verbietet sich also, irgendwelche kurzen (geplanten) Einsatzzeiten wie etwa einen einzelnen Flug oder eine einzelne Autofahrt anzunehmen, da vor diesen nicht sichergestellt ist, dass alle Komponenten wie neu sind (im Gegensatz zu einer Raumfahrt-Mission).

Das Modell kann auch als Beschreibung von Bedingungen verwendet werden.

A.3 Modell Konstant

Insbesondere für konstante Nichtverfügbarkeiten \(Q=\mathrm {const}\), aber auch für die (konstante) Wahrscheinlichkeit, dass eine externe Randbedingung erfüllt ist, wird das Modell „Konstante“ verwendet.

Das Modell wird (fast) nur als Beschreibung von Bedingungen verwendet.

A.4 Allgemeine Empfehlungen zu Basismodellen

Es ist sinnvoll, mehrere Ausfallmodi in einem Basis-Ereignis zusammenzufassen. Wichtig ist, dass alle Ausfällemodi, die von diesem einen Basis-Ereignis modelliert werden sollen, sich bezüglich der Modellierung der Wiederherstellung nicht unterscheiden, also insbesondere die gleiche Fehleroffenbarungszeit und ggf. Reparaturzeit besitzen.

Bei komplexen Komponenten (wie beispielsweise einer Elektronik-Karte oder einem ganzen Steuerungssystem) ist es weder notwendig noch sinnvoll, jede einzelne der zig-tausend Ausfallarten einzeln als Basis-Ereignis aufzunehmen. Typischerweise ist die Anzahl der an den Schnittstellen beobachtbaren Ausfallarten ohnehin recht überschaubar (typisch: binäres Signal High statt Low oder umgekehrt, analoges Signal zu hoch/zu niedrig, Buskommunikation ausgefallen/Lebenszeichen ungültig, Busvariable unerkennbar falsch).

So ist es in der Regel sinnvoll, eine komplexe Baugruppe mit zwei bis vier Basis-Ereignissen zu beschreiben:

  • 1. ein Basis-Ereignis für Ausfälle, die sofort erkannt werden,

  • 2. ein Basis-Ereignis für Ausfälle, die im Rahmen von täglichen Tests erkannt werden,

  • 3. ein Basis-Ereignis für Ausfälle, die im Rahmen von regelmäßigen Inspektionen erkannt werden,

  • 4. ein Basis-Ereignis für Ausfälle, die nie bzw. nur im Anforderungsfall erkannt werden.

Die Zuordnung aller möglichen Ausfälle zu einer dieser Kategorien erfolgt typischerweise in einer FMEA. Die Ausfallrate für jedes dieser maximal vier Basis-Ereignisse ist die Summe der Einzel-Ausfallraten aller Fehlermodi, die in der FMEA der jeweiligen Kategorie zugeordnet wurden.