Berechnungen zur Funktionalen Sicherheit
Größen, Formeln und Methoden

A Modelle für Basis-Ereignisse

Die Basis-Ereignisse von Fehlerbäumen oder die Kanten (Transitionen) von Markov-Modellen modellieren Ereignisse oder Bedingungen (Zustände). Hierfür werden unterschiedliche Modelle benötigt, je nachdem ob es sich um einmalige oder mehrmalige zufällige Ereignisse handelt, um regelmäßige Ereignisse, oder um Bedingungen (Zustände). Nachfolgend werden die wichtigsten erwähnt, es gibt aber auch andere.

A.1 Modell Wiederherstellbar

Mit diesem Modell, das auch als „Dormant Failure Model“ (deutsch: schlafende-Fehler-Modell) oder „Reparierbar“ oder „Testbar“ bezeichnet wird ²⁴, können beispielsweise die folgenden Ausfallszenarien modelliert werden:

• Ausfälle, die direkt zum Systemausfall führen (und damit unmittelbar erkannt werden)
• Ausfälle, die nur in Gegenwart oder bei nachfolgendem Auftreten anderer Ereignisse zum Systemausfall führen, die aber durch regelmäßige Tests erkannt werden können

Dieses Modell ist das Standardmodell, mit diesem können fast alle Ausfälle von technischen Komponenten wie Elektrik/Elektronik, Hydraulik, Pneumatik etc. abgebildet werden, von einer einfachen Leitung bis hin zu ganzen Steuerungen.

Wenn weder Detektionszeit noch Reparaturzeit vernachlässigbar klein sind, ist die Nichtverfügbarkeit \(Q(t)\) durch die in Kapitel 4 erwähnte Formel (48) sehr gut angenähert:

\[ Q(t) = 1-\frac { e^{-\;\dfrac {\lambda \cdot (t \bmod T_{\mathrm {test}}) }{ \lambda \cdot \mathrm {MRT} + 1 }} }{ \lambda \cdot \mathrm {MRT} + 1 } \]

mit dem Testintervall \(T_{\mathrm {test}}\) und der mittleren Reparaturzeit pro Ausfall \(\mathrm {MRT}\) (einschließlich Zeit zur Ersatzbeschaffung).

Die mittlere Nichtverfügbarkeit \(\overline {Q}\) ist gegeben durch die in Kapitel 4 hergeleitete Formel (44)

\[ \overline {Q} = \frac { e^{-\lambda \cdot T_{\mathrm {test}}} - 1 } { \lambda \cdot T_{\mathrm {test}} + \lambda \cdot \mathrm {MRT} \cdot ( 1-e^{-\lambda \cdot T_{\mathrm {test}}} ) } + 1 \]

sowie die dort erwähnte Formel (45) bei vernachlässigbarer Detektionszeit \(T_{\mathrm {test}} \rightarrow 0\)

\[ \overline {Q} = \frac { \lambda \cdot \mathrm {MRT} } { \lambda \cdot \mathrm {MRT} + 1 } \]

bzw. Formel (46) bei vernachlässigbarer Reparaturzeit \(\mathrm {MRT} \rightarrow 0\):

\[ \overline {Q} = \frac {e^{-\lambda \cdot T_{\mathrm {test}}}-1} {\lambda \cdot T_{\mathrm {test}} }+1 \]

Das Modell kann oft auch verwendet werden, wenn es kein definiertes Test- oder Inspektionsintervall gibt, jedoch ein Ausfall sich während des Betriebs in einer unkritischen Situation offenbart. Falls es keine Tests gibt und sich ein Ausfall nur offenbart, wenn noch ein anderes Ereignis eintritt, muss das Testintervall auf die nominale Einsatzdauer gesetzt werden, oder das Modell „Nicht-Wiederherstellbar“ verwendet werden.

Wenn die Ausfallrate nicht konstant ist, muss eine mittlere Ausfallrate über Formel (26) in Verbindung mit (25) berechnet werden:

\begin{equation} \lambda _\mathrm {eff} = \frac {1}{\mathrm {MTTF}} = \frac {1}{\int \limits _0^\infty t\cdot f(t)\,dt} = \frac {1}{\int \limits _0^\infty t \cdot h(t) \cdot \mathrm {e}^{-\int \limits _0^t \sum \limits _{i=1}^n h_i(\tau )\,d\tau }\;dt} \end{equation}

Das Modell kann auch als Beschreibung von Bedingungen verwendet werden.

²⁴ Manche Werkzeuge bieten separate Modell für Testbar und Reparierbar an. Die klare Trennung vereinfacht das Verständnis, jedoch werden manchmal sowohl eine Fehlerdetektionszeit größer null als auch eine Reparaturzeit größer null benötigt.

A.2 Modell Nicht-Wiederherstellbar

Mit diesem Modell können beispielsweise die folgenden Ausfallszenarien modelliert werden:

• Ausfälle, die direkt zum Systemausfall führen
• Ausfälle, die nur zum Systemausfall führen, wenn auch schon andere Ereignisse eingetreten sind oder noch eintreten, und die auch nur dann erkannt werden

Nur bei diesem Ereignismodell macht es Sinn, bei einer transienten Berechnung mit zeitvarianten Ausfallraten (also beispielsweise Weibull-Verteilungen) zu rechnen.

Die Unzuverlässigkeit berechnet sich gemäß der bekannten Formel (8) zu

\begin{equation} \label {eq:F_h_wdh} F(T) = 1-\mathrm {e}^{-\int \limits _0^T h(t)\,dt} \end{equation}

Die mittlere Ausfallrate bezüglich \(F(T)\) ergibt sich damit zu

\begin{equation} \label {eq:h_mean_wdh} \begin{split} F(T) &= 1-\mathrm {e}^{-\int \limits _0^T h(t)\,dt} = 1-\mathrm {e}^{-\overline {h(T)} \cdot T} \\ \Rightarrow \overline {h(T)} &= \frac {1}{T} \int \limits _0^T h(t)\,dt \end {split} \end{equation}

Wenn also eine Unzuverlässigkeit \(F(T)\) für ein nicht-reparierbares Element mit einer prinzipiell zeitabhängigen Ausfallrate berechnet werden soll, muss entweder die Unzuverlässigkeit über die Integration mittels Formel (75) berechnet werden, oder es muss eine konstante Ausfallrate verwendet werden, welche gemäß Formel (76) berechnet wurde. Es darf nicht die gemäß Formel (29) berechnete mittlere effektive Ausfallrate \(\lambda _\mathrm {eff}\) verwendet werden!

Die mittlere Nichtverfügbarkeit über die geplante Einsatzzeit \(\overline {Q(T)}\) ist gegeben durch

\begin{equation} \label {eq:nonrep_qmean} \overline {Q(T)} = \frac {\int \limits _0^T F(t)\,dt}{T} \end{equation}

Die maximale Nichtverfügbarkeit ergibt sich am Ende der geplanten Einsatzzeit.

Das Modell darf offensichtlich nur verwendet werden, wenn sicher ist, dass die Komponente zum Zeitpunkt \(t=0\) nicht defekt ist. Es verbietet sich also, irgendwelche kurzen (geplanten) Einsatzzeiten wie etwa einen einzelnen Flug oder eine einzelne Autofahrt anzunehmen, da vor diesen nicht sichergestellt ist, dass alle Komponenten wie neu sind (im Gegensatz zu einer Raumfahrt-Mission).

Das Modell kann auch als Beschreibung von Bedingungen verwendet werden.

A.3 Modell Konstant

Insbesondere für konstante Nichtverfügbarkeiten \(Q=\mathrm {const}\), aber auch für die (konstante) Wahrscheinlichkeit, dass eine externe Randbedingung erfüllt ist, wird das Modell „Konstante“ verwendet.

Das Modell wird (fast) nur als Beschreibung von Bedingungen verwendet.

A.4 Allgemeine Empfehlungen zu Basismodellen

Es ist sinnvoll, mehrere Ausfallmodi in einem Basis-Ereignis zusammenzufassen. Wichtig ist, dass alle Ausfällemodi, die von diesem einen Basis-Ereignis modelliert werden sollen, sich bezüglich der Modellierung der Wiederherstellung nicht unterscheiden, also insbesondere die gleiche Fehleroffenbarungszeit und ggf. Reparaturzeit besitzen.

Bei komplexen Komponenten (wie beispielsweise einer Elektronik-Karte oder einem ganzen Steuerungssystem) ist es weder notwendig noch sinnvoll, jede einzelne der zig-tausend Ausfallarten einzeln als Basis-Ereignis aufzunehmen. Typischerweise ist die Anzahl der an den Schnittstellen beobachtbaren Ausfallarten ohnehin recht überschaubar (typisch: binäres Signal High statt Low oder umgekehrt, analoges Signal zu hoch/zu niedrig, Buskommunikation ausgefallen/Lebenszeichen ungültig, Busvariable unerkennbar falsch).

So ist es in der Regel sinnvoll, eine komplexe Baugruppe mit zwei bis vier Basis-Ereignissen zu beschreiben:

1. ein Basis-Ereignis für Ausfälle, die sofort erkannt werden,
2. ein Basis-Ereignis für Ausfälle, die im Rahmen von täglichen Tests erkannt werden,
3. ein Basis-Ereignis für Ausfälle, die im Rahmen von regelmäßigen Inspektionen erkannt werden,
4. ein Basis-Ereignis für Ausfälle, die nie bzw. nur im Anforderungsfall erkannt werden.