Zuverlässigkeit und Sicherheit von Automatisierungssystemen
Contents
1. gilt e Zuverl ssigkeit 3 R 1 1 R 0 1 A Ro D 3R 3Ro Ro 0 i 1 MTTF MTTF f R t dt F 3Ro 3Ro R dt e Tee z _ Z x P Jo P o 3Ro em o 2A 36 A 6 3 1 1 11 x o 6 1 1 MTTF MTTF gt 2 MTTF k 53 3 i 0 2015 IAS Universit t Stuttgart 2 4 Zuverl ssigkeitsblockdiagramm ZSA Komplexe Zuverl ssigkeitsblockschaltbilder Reduzierung ber Serien und Parallelanordnungen 2015 IAS Universit t Stuttgart 2 4 Zuverl ssigkeitsblockdiagramm ZSA Separation bei Br ckenelementen Bei Br ckenelementen ist eine allgemeine Reduktion auf Serien bzw Parallelanordnungen nicht m glich daher Durchf hrung einer Separation ber Methode der relevanten Systemkomponenten Modul 5 ist Modul 5 ist st ndig MARRA st ndig ausgefallen ee 2015 IAS Universit t Stuttgart 2 4 Zuverl ssigkeitsblockdiagramm ZSA Methode der relevanten Systemkomponenten 1 2 Betrachtung des Falls R ist st ndig funktionsf hig ko f up e Boolesche Funktion Yup X5 A X AX3 V 1 A X4 V 32 A X3 V R2AX4 e Umformung Distributivgesetz Yup X5 A 81 A 3 V x4 V X 4 33 V x4 Kommutativgesetz Yup X5 A amp 3 V x4 A x1 V amp 3 V x4 AX2 Distributivgesetz Yup X5 A 3 V X4 A X1 VX2 e Zuverl ssigkeit Rup Rs 1 1 R3 1 R4 1 12. 2015 IAS Universit t Stuttgart 1 3 Wichtige Begriffe und Bedeutungen ZSA bergange in einen sicheren Zustand fail operational e Girundfunktionalit t wird solange aufrechterhalten bis es m glich ist einen sicheren Zustand zu erreichen auch ber l ngere Dauer hinweg e System beinhaltet redundante Strukturen um den Betrieb weiterzuf hren fail safe e Unmittelbarer bergang in einen sicheren Zustand e System bleibt bis zur Reparatur im sicheren Zustand fail silent e Sofortiges Stillhalten oder Abschalten von Teilsystemen oder Komponenten nach Detektion einer Abweichung vom vorgegebenen Betrieb e Ziel ist es die Beeinflussung anderer Teilsystemen zu verhindern 2015 IAS Universit t Stuttgart 1 3 Wichtige Begriffe und Bedeutungen ZSA Begriffe Verf gbarkeit und Verl sslichkeit Verf gbarkeit e Wahrscheinlichkeit ein reparierbares System zu einem vorgegebenen Zeitpunkt im funktionsf higen Zustand anzutreffen e Wesentliche Kennzahl eines Systems Verl sslichkeit e Eigenschaft eines Systems die es erlaubt volles Vertrauen in die bereitgestellte Funktionalit t zu setzen e berbegriff f r Qualit tskriterien eines Systems 2015 IAS Universit t Stuttgart 1 3 Wichtige Begriffe und Bedeutungen ZSA bersicht Begriffe der Zuverl ssigkeits Sicherheitstechnik Fehler Error Fehler Defect Fehler Fault Fehler Mistake Gefahr Korrektheit Risiko
3. 2015 IAS Universit t Stuttgart 3 3 Quantitative FTA ZSA Fragen zu Kapitel 3 3 Welchen Aussagen stimmen Sie zu Eine quantitative Analyse zeigt stark zuverl ssigkeitsbeeinflussende Teile auf Quantitativ lassen sich nicht alle Ausfallursachen ber cksichtigen C Funktionsb ume lassen sich mathematisch in Fehlerb ume berf hren Die Ergebnisse einer quantitativen Bewertung sind eindeutig 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen 8 3 Fehlerbaumanalyse FTA 3 1 Grundlagen der FTA 3 2 Qualitative FTA 3 3 Quantitative FTA 3 4 FTA in der Softwareentwicklung 2015 IAS Universit t Stuttgart ZSA 3 4 FTA in der Softwareentwicklung ZSA Software FTA Anfangs Einsatz der FTA rein zur Bewertung von Anlagen Schaltungen etc Mit zunehmender Zahl informationstechnischer Systeme ging eine zunehmende Verflechtung der FTA mit Software einher e Software Tools Unterst tzung der Auswertung von Fehlerb umen Beherrschung komplexer Software Systeme e Entwurf von Software Minimierung des Ausfallrisikos durch Identifikation von fehleranf lligen Modulen high risk modules Kontrolle von Code Segmenten 2015 IAS Universit t Stuttgart 3 4 FTA in der Softwareentwicklung ZSA Unterst tzung bei der Auswertung Komplexe Fehlerb ume lassen sich nur unter Anwendung rechnergest tzter Methoden sinnvoll behandeln e Quali
4. 2015 IAS Universit t Stuttgart Abweichung zwischen einem berechneten Wert und dem wahren spezifizierten oder theoretisch richtigem Wert aufgrund eines Fehlers oder einer St rung Nichterf llung der Anforderungsspezifikation Unkorrektheit Abweichung der tats chlichen Ausf hrung von der f r die Erf llung der Anforderungsspezifikation erforderlichen konstruktiven und fertigungstechnischen Ausf hrung des Systems Menschliche Handlung mit unerw nschtem Ergebnis ein Irrtum oder Schnitzer Sachlage bei der das Risiko gr er als das Grenzrisiko ist wobei unter Grenzrisiko das gr te noch vertretbare Risiko verstanden wird Erf llung der Anforderungsspezifikation bereinstimmung zwischen realisierter und spezifizierter Funktion M glichkeit Schaden zu erleiden Risiko Schadensausma x Wahrscheinlichkeit des Schadeneintritts 1 3 Wichtige Begriffe und Bedeutungen ZSA bersicht Begriffe der Zuverl ssigkeits Sicherheitstechnik Schaden Schutz Sicherheit St rung Interference St rung Deficiency Validation Verifikation Versagen Robustheit 2015 IAS Universit t Stuttgart Nachteil durch Verletzung von Rechtsg tern aufgrund eines bestimmten technischen Vorgangs oder Zustandes Verringerung des Risikos durch Ma nahmen die entweder die Eintrittsh ufigkeit oder das Ausma des Schadens oder beide einschr nken Sachlage bei der das Risiko kleiner als das Grenzrisi
5. 2015 IAS Universit t Stuttgart 2 1 Grundlagen der Wahrscheinlichkeitsrechnung ZSA Ausfallraten von Komponenten 2 2 Bei den in Dokumenten genannten Werte handelt es sich um bekannte konstante Ausfallraten f r Komponenten die mit Qualit ts und Einsatzfaktoren modifiziert werden um Unsicherheiten zu ber cksichtigen Die Angaben sind daher in der Regel erheblich gr er als im konkreten Einsatz und variieren f r bestimmte Komponenten je nach Herausgeber deutlich Relativ gesicherte Angaben f r eine bestimmte Komponente k nnen direkt den Reliability Reports der Hersteller entnommen werden In 1970er und 1980er versuchte die Projekt Gruppe EuReDatA European Reliability Data Banks Association den Austausch und die Zusammenfassung von Datenbest nden zwischen Unternehmen Beh rden und Hochschulen zu f rdern 2015 IAS Universit t Stuttgart 2 1 Grundlagen der Wahrscheinlichkeitsrechnung ZSA Typische Ausfallratenbereiche nach A E Green und A J Bourne Reliability Technologie 109 10 8 107 10 6 10 5 10 4 103 102 10 10 l l l l l l L A Halbleiter mech Bauteile elektr Bauteile Stromschalter Transformatoren Transistoren Gro e elektr Systeme ohne Redundanz e Gro e elektr Systeme mit Redundanz Gro e elektr Systeme mit Redundanz und Diversit t 2015 IAS Universit t Stuttgart 2 1 Grundlagen der Wahrscheinlichkeitsrechnung ZSA Frage zu Kapitel 2 1
6. Der erste Schritt einer FTA ist die Erstellung eines Fehlerbaums Eine qualitative FTA findet Einsatz bei der Dokumentation L Eine qualitative Auswertung hat einen tiefen Informationsgehalt 1 Qualitative FTA erm glicht die Vergleichbarkeit von Systemen 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen 8 3 Fehlerbaumanalyse FTA 3 1 Grundlagen der FTA 3 2 Qualitative FTA 3 3 Quantitative FTA 3 4 FTA in der Softwareentwicklung 2015 IAS Universit t Stuttgart ZSA 3 3 Quantitative FTA ZSA Quantitative FTA Anwendung 1 2 Ziele e Nachweis geforderter Zuverl ssigkeitsanforderungen e Berechnung von Zuverl ssigkeitskenngr en bzgl konkreter Zahlenwerte Ausfall und berlebenswahrscheinlichkeit e Aufzeigen von Faktoren oder Komponenten die die Zuverl ssigkeit besonders beeinflussen 2015 IAS Universit t Stuttgart 3 3 Quantitative FTA ZSA Quantitative FTA Anwendung 2 2 Durchf hrung Ist z Soll Zuverl ssigkeitskenngr en der Komponenten ben tigt 2015 IAS Universit t Stuttgart 3 3 Quantitative FTA ZSA 5 Zuverl ssigkeitskenngr en Zuverl ssigkeitskenngr en der Komponenten Ausfallrate Zuverl ssigkeit e Bekannt durch Herstellerangaben e Ermittelt ber Labortests e Gesch tzt ber Wahrscheinlichkeitsrechnung Bestimmung der Zuverl ssigkeitskenngr en f
7. 2015 IAS Universit t Stuttgart 5 4 Komponentenansatz ZSA Probleme mit klassischen Zuverl ssigkeitsmodelle Verf gbarkeit empirischer Daten e In fr hen Entwicklungsphasen sind oftmals keine empirischen Daten ber die zu entwickelnde Software verf gbar e Notwendige Daten werden h ufig gar nicht oder nicht systematisch erfasst e Aufwand f r den Aufbau von Datenbanken ist sehr hoch Anwendbarkeit der Modelle im Entwicklungsprozess e Keine Modelle mit guter Genauigkeit f r fr he Entwicklungsphasen e Zuverl ssigkeitsaussagen schwer interpretierbar z B 10 Versagensf lle Anforderung e Entwicklung eines Konzepts zur fr hzeitigen Zuverl ssigkeitsanalyse 2015 IAS Universit t Stuttgart 5 4 Komponentenansatz ZSA Zuverl ssigkeitsanalyse von Hardware und Software Vorgefertigte Individuell HW Komponenten entwickelte Software Generische Zuverl ssigkeitsaussagen Fehlende generischen aus fr herem Einsatz Li Zuverl ssigkeitsaussagen VZ Zuverl ssigkeit der Hardware Komponenten E gt Zuverl ssigkeit des Hardware Systems TET 2015 IAS Universit t Stuttgart 5 4 Komponentenansatz ZSA Komponentenentwicklung als L sungsansatz Kleinstbausteine werden durch vorgefertigte Komponenten ersetzt f r die bereits empirische Zuverl ssigkeitsdaten vorliegen Anwendung bisher in der Hardware Entwicklung nun bertrag des Prinzips auf Software Entwicklung 2015
8. 8 1076h71 Asy 3 107 h7 A Die Zuverl ssigkeit des Gesamtsystems muss erh ht werden daher sollen die einzelnen Teilsysteme jeweils redundant ausgef hrt werden Ist es durch einfache Redundanz m glich eine Zuverl ssigkeit von 75 bei einer Betriebszeit von 1 5 Jahren zu erreichen B Wenn nein wie ist dies durch Redundanz zu erreichen Aus wirtschaftlichen Gr nden darf nur ein Teilsystem maximal aus 3 Komponenten ausgef hrt werden C Welche Verf gbarkeit weist das System f r die h chstm gliche Zuverl ssigkeit auf wenn eine Reparatur ca 3 Tage in Anspruch nimmt 2015 IAS Universit t Stuttgart Aufgabe 1 Zuverl ssigkeitsblockdiagramm ZSA L sung Teil A 1 4 M glichkeit 1 Mikrocontroller redundant F r die einzelnen Komponenten gilt Parallelschaltung von C1 und C2 Serienschaltung von SV und uC1 uC2 2015 IAS Universit t Stuttgart Aufgabe 1 Zuverl ssigkeitsblockdiagramm L sung Teil A 2 4 M glichkeit 1 Mikrocontroller redundant F r die gesamte Ausfallrate gilt F r die Zuverl ssigkeit folgt 2015 IAS Universit t Stuttgart ZSA Aufgabe 1 Zuverl ssigkeitsblockdiagramm ZSA L sung Teil A 3 4 M glichkeit 2 Spannungsversorgung redundant F r die einzelnen Komponenten gilt Parallelschaltung von SV1 und SV2 Serienschaltung von SV und uC1 uC2 2015 IAS Universit t Stuttgart Aufgabe 1 Zuverl ssigkeitsblockdiagramm
9. Feuchtigkeit Eingaben Entwickler Vibration Parametersch tzverfahren e Benutzung e Zeitliche Aktivierung Lastprofil Externe zeitliche Aktivierung Beanspruchungen Andere Komponente ber e Wechselwirkungen Verkn pfung 2015 IAS Universit t Stuttgart 351 5 4 Komponentenansatz ZSA Zuverl ssigkeitsanalyse beim Systementwurf C D Hardware Komponenten Bauteil Beschaltung Bibliothek Software Konfiguration Auswahl Parametrierung Verkn pfung Zuverl ssigkeit des m aktuellen System Komponentenzuverl ssigkeit Systemzuverl ssigkeit e Aktuelle Einflussgr en e Architektur analysieren bestimmen e Einzelne Zuverl ssigkeiten e Generische Aussagen kombinieren bertragen 2015 IAS Universit t Stuttgart 5 4 Komponentenansatz ZSA Zuverl ssigkeitsanalyse beim Test und Betrieb des Systems C D Hardware Komponenten Bauteil Beschaltung ET Bibliothek m re Mehrfacher Einsatz in verschiedenen Systemen Generische Zuverl ssigkeitsaussagen AR e Empirische Daten auswerten e Abh ngigkeit von Einflussgr en zur Zuverl ssigkeit beschreiben Generische Aussagen zur Zuverl ssigkeit 2015 IAS Universit t Stuttgart 5 4 Komponentenansatz ZSA Frage zu Kapitel 5 4 Welchen Aussagen stimmen Sie zu C Empirische Daten fr herer Software Systeme d rfen nicht direkt wiederverwendet werden l Eine Komponente darf nicht funktional geschlo
10. R1 1 R32 2015 IAS Universit t Stuttgart 126 2 4 Zuverl ssigkeitsblockdiagramm ZSA Methode der relevanten Systemkomponenten 2 2 Betrachtung des Falls R ist st ndig ausgefallen 7 e Boolesche Funktion Ydown X5 A X1 A X3 V 3X2 A x4 e Zuverl ssigkeit Raown 1 R5 1 1 R R3 1 R2R4 Berechnung der Systemzuverl ssigkeit des Br ckenelements ber die Addition der Teilwahrscheinlichkeiten M glich da Ereignisse voneinander unabh ngig sind vgl dazu Satz der totalen Wahrscheinlichkeit Es gilt also f r ein Br ckenelement 2015 IAS Universit t Stuttgart 2 4 Zuverl ssigkeitsblockdiagramm ZSA Obere Grenze der Zuverl ssigkeit Bei komplexen Systemen kann die obere Grenze bzw die maximale Zuverl ssigkeit schnell abgesch tzt werden Absch tzung max Zuverl ssigkeit des Systems 2015 IAS Universit t Stuttgart 2 4 Zuverl ssigkeitsblockdiagramm ZSA Zuverl ssigkeitsanalyse ber Blockdiagramme 1 2 Am Beispiel eines Steuerger ts Asensor 2 10 h 2 uC Asse 1 107 h1 Auc 0 5x 1076 h t t 10a 87 600 h Rsensor 87 600h e7 2 107 h 87600h 0 839 Ryerst 87 600h e7 1 107 h 87600h 0 999 R c 87 600h e 5 10 h 87600h _ 0 957 2015 IAS Universit t Stuttgart 2 4 Zuverl ssigkeitsblockdiagramm ZSA Zuverl ssigke
11. Welchen Aussagen stimmen Sie zu L 2015 IAS Universit t Stuttgart Die Zuverl ssigkeit eines Bauteils weist direkt bei Inbetriebnahme eine Wahrscheinlichkeit von 100 auf Mit steigender Ausfallwahrscheinlichkeit sinkt die Zuverl ssigkeit In fr hen Stadien eines Produkts ist mit einer hohen Ausfallrate zu rechnen Ausf lle lassen sich ber rein deterministische Verfahren berechnen Zuverl ssigkeit und Sicherheit von Automatisierungssystemen 8 2 Wahrscheinlichkeit und Zuverl ssigkeit 2 1 Grundlagen der Wahrscheinlichkeitsrechnung 2 2 Lebensdauerverteilungen 2 3 Verf gbarkeit von Systemen 2 4 Zuverl ssigkeitsblockdiagramm 2015 IAS Universit t Stuttgart ZSA 2 2 Lebensdauerverteilungen ZSA Einf hrung Lebensdauer ist die Zeit in der eine Einheit betriebsbereit ist Lebensdauer selbst besitzt eine Lebensdauerverteilung die als quantitative Methode zur Prognose der Zuverl ssigkeit verwendet wird Kontinuierliche Lebensdauerverteilungen e Exponentialverteilung e Weibullverteilung e Erlang Verteilung Diskrete Lebensdauerverteilungen e Binomialverteilung e Poisson Verteilung 2015 IAS Universit t Stuttgart 2 2 Lebensdauerverteilungen ZSA Exponentialverteilung Allgemeines Moderne Wahrscheinlichkeitsrechnung wurde 1933 von dem russischen Mathematiker Andrei Kolmogorow 1903 1987 in seinem Buch Grundbegriffe der win m le www heise de 2014 W
12. Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA Literatur Bertsche Bernd G hner Peter Jensen Uwe Schink the Wolfgang Wunderlich Hans Joachim Zuverl ssigkeit mechatronischer Systeme Grundlagen und Bewertungen in fr hen Entwicklungsphasen Springer Verlag Berlin Heidelberg 2009 Bernd Bertsche Peter G hner Uwe Jensen Wolfgang Schink the Hans Joachim Wunderlich Zuverl ssigkeit mechatronischer Systeme Grundlagen und Bewertung in fr hen Entwicklungsphasen a Springer y Di 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA Vorlesungstermine Nr Termin Thema der Vorlesung 01 16 04 2015 Einf hrung in die Zuverl ssigkeit und Sicherheit 02 23 04 2015 Begriffe und Normen 03 30 04 2015 Wahrscheinlichkeit und Lebensdauerverteilungen 04 07 05 2015 Verf gbarkeit und Zuverl ssigkeitsberechnung 05 21 05 2015 Einf hrung in die Fehlerbaumanalyse 06 11 06 2015 Durchf hrung der Fehlerbaumanalyse 07 18 06 2015 Einf hrung in die Fehlerm glichkeits und Einfluss Analyse 08 25 06 2015 Durchf hrung der Fehlerm glichkeits und Einfluss Analyse 09 02 07 2015 Einf hrung in die Softwarezuverl ssigkeit 10 09 07 2015 Modelle der Softwarezuverl ssigkeit 11 16 07 2015 Zuverl ssigkeits und Sicherheitstechnik 12 23 07 2015 bung Pr fungsbesprechung 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Autom
13. hnlich verhalten 1 Im Sommer wird mehr Eis gegessen und es gibt mehr Sonnenbr nde e Kausalit t ist das Prinzip zwischen Ursache und Wirkung d h es gibt eine Richtung von Aktion zu Reaktion Eis essen verursacht Sonnenbrand 2015 IAS Universit t Stuttgart 4 3 Einsatz von Werkzeugen ZSA Matrix Diagramm Einsatz und Bewertung Bei der FMEA erfolgt die Verbindung von Komponenten zu den einzelnen produktsicherheitsrelevanten Merkmalen und Sichtweisen auf das Produkt Problemursache Verantwortlichkeiten Ressourcen Es erfolgt berf hrung und Gewichtung in Tabellenform Gewichtung Vorteil e Klare bersicht e Besseres Verst ndnis Nachteil e Erfordert Erfahrung und Fachverst ndnis bei gro en und komplexen Systemen 2015 IAS Universit t Stuttgart 223 4 3 Einsatz von Werkzeugen Matrix Diagramm Vorgehensbeispiel der Tabellenform Merkmale in den Zeilen werden mit Faktoren z B 1 3 gewichtet Zeilenwerte einer Komponente werden in der Spalte addiert Komponente mit dem h chsten Zahlenwerten birgt das gr te Ausfallrisiko ZSA Komponente mit dem gr ten Risiko wird in der FMEA detaillierter untersucht Kosten Kriterien Neuentwicklung Produkt nderung Prozess nderungen Summe 2015 IAS Universit t Stuttgart 2 2 2 6 r Bauteil Systemelement Sensor versarer me 1 3 3 2 8 224 4 3 Einsatz von Werkzeugen ZSA
14. p X1 A X3 P2 X2 A X4 Menge an Pfaden stellt Parallelanordnung dar P12 X1 A X3 V X2 A X4 2015 IAS Universit t Stuttgart 3 3 Quantitative FTA ZSA Minimale Erfolgspfade 2 2 Beispiel e Pfad P X1 A X3 e Pfad2 p2 32 Xx4 e Pfad 3 P3 X1 A X5 A X4 e Pfad 4 P4 32 A X5 A X3 Boolesche Verkn pfung der Pfade Pges X1 A X3 V X2 A X4 V X1 A X5 A X4 V X2 A X5 A X3 Berechnung der Systemzuverl ssigkeit boolesche Modellbildung Rges 1 1 R1R3 1 R2R4 1 R1R5R4 1 R2R5R3 2015 IAS Universit t Stuttgart 173 3 3 Quantitative FTA ZSA Minimale Ausfallschnitte 1 2 Ein Schnitt ist der komplement re Begriff zu einem Pfad d h ein Schnitt ist die Menge an Komponenten deren Ausfall zum Ausfall des Gesamtsystems f hrt Schnitte sind dabei minimale Schnitte d h ein Schnitt darf keine weiteren Schnitte als Teilmenge enthalten F r jeden Schnitt wird die Ausfallwahrscheinlichkeit anhand der darin enthaltenen Komponenten berechnet zum Beispiel Schnitte als solche stellen Serienanordnungen dar c1 1 A32 c2 3 A X4 Menge an Schnitten stellt Parallelanordnung dar C 2 X1 A X2 V 3 A X4 2015 IAS Universit t Stuttgart 3 3 Quantitative FTA ZSA Minimale Ausfallschnitte 2 2 Beispiel e Schnitt1 c X1 A X2 e Schnitt 2 C2 X3 A X4 Schnitt
15. 1 1 Einf hrung in die Zuverl ssigkeits und Sicherheitstechnik ZSA Beispiel Daimler AG Sieben kategorische Imperative Die Zuverl ssigkeit elektronischer Systeme muss mindestens genauso gro sein wie die vergleichbarer mechanischer Systeme Wir brauchen Standards Softwarefehler sind kein Zufall Software Entwicklungs Tools d rfen nicht schnellere Fortschritte machen als Software Validierungs Tools Zertifizierung und Systemintegration sind Dom nen der Erstausr ster OEM Keine Hardware Fenhler Keine Funktionen die dem Kunden keinen Nutzen bieten 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA 8 1 Einf hrung Begriffe und Normen 1 1 Einf hrung in die Zuverl ssigkeits und Sicherheitstechnik 1 2 Definition von Zuverl ssigkeit und Sicherheit 1 3 Wichtige Begriffe und Bedeutungen 1 4 Normen 2015 IAS Universit t Stuttgart 1 2 Definition von Zuverl ssigkeit und Sicherheit ZSA Zuverl ssigkeit Wahrscheinlichkeit dass ein System 1 innerhalb eines bestimmten Zeitintervalls 2 unter den zul ssigen Betriebsbedingungen die geforderte spezifizierte Funktion erf llt Ma nahmen der Zuverl ssigkeitstechnik richten sich gegen das Auftreten von Fehlern und Ausf llen Grund f r Ma nahmen ist die Wirtschaftlichkeit Nachweisverfahren Zuverl ssigkeitsanalyse Ziel ist die Erf llun
16. 2015 IAS Universit t Stuttgart 6 1 Risiko Gef hrdung und Gefahr ZSA Allgemeine Definitionen 1 2 Begriffe f r Risiko Gef hrdung und Gefahr sind in verschiedenen ISO EN und DIN Normen definiert z B DIN 31000 hier sollen nur die Erl uterungen gebracht werden Risiko risk 2015 IAS Universit t Stuttgart Die M glichkeit Schaden zu erleiden Produkt aus Schadensh ufigkeit und Schadensausma Risiko entspricht dem Schaden pro Zeiteinheit Unterteilung Kollektives Risiko bezogen auf Personengruppen Individuelles Risiko bezogen auf einzelne Personen Sicherheit ist das Frei sein von nicht akzeptablen Risiken 6 1 Risiko Gef hrdung und Gefahr ZSA Allgemeine Definitionen 2 2 Gef hrdung hazard e Eine potenzielle Gefahrenquelle e Art der m glichen Auswirkungen einer Gefahr durch Angaben ber m gliche nicht vertretbare Personen und oder Sachsch den Gefahr danger e Die m gliche Schadwirkung der Gefahrenquelle oder der Zustand einer Bedrohung durch eine Gefahrenquelle e Zustand des Vorhandenseins von nicht vertretbaren Risiken Schaden damage obj harm pers e Die konkrete sch digende Auswirkung der Gefahrenquelle als M glichkeit oder Wirklichkeit e Jeder materielle oder immaterielle Nachteil den eine Person oder Sache durch ein Ereignis erleidet 2015 IAS Universit t Stuttgart 370 O 6 1 Risiko Gef hrdung und Gefahr ZSA Risikokriterium Schadens
17. 2015 IAS Universit t Stuttgart Ausfallwahrscheinlichkeit Ausfallwahrscheinlichkeit 0 9 F 0 8 0 7 0 67 0 57 0 4 0 3 0 2 0 1 b 050 T 5 000h 7b 050 T 50 000h b D 50 T 500 000h b 0 25 T 50 000h b 1 00 T 50 000h b 5 00 T 50 000h Zeit Jahre ZSA 2 2 Lebensdauerverteilungen ZSA Weibullverteilung Rechenbeispiel Ein System sei weibull verteilt mit dem Formparameter b 2 Welche charakteristische Lebensdauer T liegt vor wenn das System im ersten Jahr eine Zuverl ssigkeit von 95 aufweist R 8 760h el T 0 95 8 760h In 0 95 T 8 760h T x 38 679h In 0 95 2015 IAS Universit t Stuttgart 2 2 Lebensdauerverteilungen ZSA Erlang Verteilung Allgemeines Entwickelt von Agner Krarup Erlang 1878 1929 D nischer Mathematiker und Ingenieur 1896 1901 Studium an der Universit t Kopenhagen Nach verschiedenen Lehrt tigkeiten ab 1908 Entwicklungsingenieur bei der Kopenhagener Telefongesellschaft Ver ffentlichung der Erlang Verteilung in 1917 zur Beschreibung der statistischen Modellierung von Intervall L ngen zwischen Telefonanrufen Einsatz der Erlang Verteilung e Vorwiegend im Zusammenhang mit der Warteschlangen bzw Bedienungs Theorie und Schalt Redundanzen e Hier Betrachtung von n Stufen mit derselben konstanten Ausfallrate A 2
18. 86 Zuverl ssigkeits und Sicherheitstechnik 6 1 Risiko Gef hrdung und Gefahr 6 2 Strategien der Zuverl ssigkeits und Sicherheitstechnik 6 3 Sicherheits und Risikoanalysen 6 4 Ermittlung des Safety Integrity Levels SIL 2015 IAS Universit t Stuttgart 6 2 Strategien der Zuverl ssigkeits und Sicherheitstechnik ZSA Methoden und Techniken Erh hung der Sicherheit um Gef hrdungen auszuschlie en e Fehlerausschluss e Fehlersicher fail safe e Fehlererkennung und berf hrung zur sicheren Seite Erh hung der Zuverl ssigkeit um die Ausfallwahrscheinlichkeit zu reduzieren e Bessere Komponenten e Besser Systemstruktur e Redundanzstrukturen Zuverl ssigkeits und Sicherheitstechnik ist die Kombination beider Methoden und Techniken wobei gilt 2015 IAS Universit t Stuttgart 6 2 Strategien der Zuverl ssigkeits und Sicherheitstechnik ZSA Echte Fail Safe Verfahren Konstruktiv festgelegte Ausfallrichtung durch die Ausnutzung von physikalischen Effekten Sichere Ausfallrichtung durch Zusammenschaltung von Komponenten Keine Ausfall oder Fehlererkennung wird verwendet Beispiel Ruhestromprinzip bei Relaisschaltungen e System wird auch in Ruhe mit st ndigem definierten Strom betrieben Aktion wird veranlasst wenn Strom au erhalb eines Toleranzbereich ist oder eine Unterbrechung des Stromfluss vorliegt Bei Software Systemen nicht realisierbar da auch unbekannte Fehler sicherhe
19. Aufgabe 2 Fehlerbaumanalyse FTA ZSA L sung Schritt 2 Unterbaum Zusammenfassen ODER Verkn pfung wird nach Schema wie folgt zusammengefasst vgl Kap 3 3 2015 IAS Universit t Stuttgart 435 amp Aufgabe 2 Fehlerbaumanalyse FTA ZSA L sung Schritt 3 Gesamtzuverl ssigkeit berechnen ODER Verkn pfung wird nach Schema wie folgt zusammengefasst vgl Kap 3 3 2015 IAS Universit t Stuttgart 436 Zuverl ssigkeit und Sicherheit von Automatisierungssystemen 87 bungsaufgaben Aufgabe 1 Zuverl ssigkeitsblockdiagramm Aufgabe 2 Fehlerbaumanalyse FTA Aufgabe 3 Softwarezuverl ssigkeit 2015 IAS Universit t Stuttgart ZSA Aufgabe 3 Shooman Modell ZSA Aufgabe 3 Aufgabenstellung Ein Software Programm mit 5000 Anweisungen wurde 25 Tage getestet Durchschnittlich lief das Programm 6 Stunden pro Tag Es wurden dabei 20 Fehler gefunden und korrigiert Die Proportionalit tskonstante betr gt bei diesem Projekt 8 h Berechnen Sie die Fehlerrate und die Gesamtzahl der sich im Programm befindlichen Fehler 2015 IAS Universit t Stuttgart Aufgabe 3 Shooman Modell ZSA L sung 1 2 Es gilt e Berechnung der Fehlerrate 2015 IAS Universit t Stuttgart Aufgabe 3 Shooman Modell ZSA L sung 2 2 Es gilt e Berechnung der Fehlerzahl 2015 IAS Universit t Stuttgart Appendix ZSA Literatur G hn12a G hner Peter
20. MTTR Mean Time To Repair MTTR Durchschnittliche Reparaturzeit MTBF Mean Time Between Failure MTBF MTTR MTTF Mittlere Betriebsdauer zwischen zwei Ausf llen 2015 IAS Universit t Stuttgart 1 amp 2 3 Verf gbarkeit von Systemen Berechnung der Verf gbarkeit Berechnung der Verf gbarkeit ber _ MTTF _ MTTF MTBF MTTF MTTR p A Ziel ist das erreichen einer hohen Verf gbarkeit Verf gbarkeit Ausfallzeit Jahr SIAGI LALAY 0 90 0 99 0 99 9 99 99 99 999 99 9999 99 99999 ca 880h ca 88h ca 9h ca 53min ca 5min ca 32s ca 3s 2015 IAS Universit t Stuttgart ZSA u u an 1 V 1 gt V MTTF Unmanaged Managed Standard f r Systeme Well Managed Fault Tolerant Highly Available Very Highly Available Ultra Highly Available nur f r Mikro Bauteile keine Systeme 12 2 3 Verf gbarkeit von Systemen ZSA Hochverf gbarkeit high availability Definition nach IEEE High Availability HA for short refers to the availability of resources in a computer system in the wake of component failures in the system System ist hochverf gbar wenn es auch im Fehlerfall weiter verf gbar ist und ohne unmittelbaren menschlichen Eingriff weiter genutzt werden kann Erreichbar durch e Hohe Verf gbarkeit durch hohe Zuverl ssigkeit Hoch zuverl ssige Komponenten Redundante Strukturen e Hohe Verf
21. Ma nahmen zur Fehlerpr vention fault prevention e Um das Auftreten von Fehlern von vornherein zu vermeiden Fehlertoleranz fault tolerance e Um auch mit begrenzter Anzahl von fehlerhaften Komponenten noch die geforderte Funktion erf llen zu k nnen Fehlerbehebung fault removal e Um die Anzahl oder Auswirkungen von Fehlern zu vermindern Fehlervorhersage fault forecasting e Um die zuk nftige Zahl von Fehlern und deren Konsequenzen absch tzen zu k nnen 2015 IAS Universit t Stuttgart 1 3 Wichtige Begriffe und Bedeutungen ZSA Begriff Ausfall Ausfall failure e Aussetzen der Ausf hrung einer festgelegten Aufgabe e bergang vom funktionsf higen in den fehlerhaften Zustand Unterscheidung e hard failure Sofortiger bergang zum v lligen Versagen des Systems e soft failure bergang hin zu einer unzul ssigen Abweichung Drift x x 2015 IAS Universit t Stuttgart 1 3 Wichtige Begriffe und Bedeutungen ZSA Begriffe Sicherer Zustand und R ckfallebene Sicherer Zustand e Zustand in dem trotz gewisser zugelassener Ausf lle keine Gefahr mehr vom bzw auf das System ausgehen kann e Beispiel Haltezustand von Z gen R ckfallebene e Sekund rsystem das bei Ausfall des prim ren Systems einen Schutz gegen ber einer Gef hrdung bietet und den Totalausfall des Systems verhindert e Meist Aufrechterhaltung einer reduzierten Betriebsqualit t
22. Skript zur Vorlesung Automatisierungstechnik Il IAS Stuttgart 2012 G hn12b G hner Peter Skript zur Vorlesung Softwaretechnik I IAS Stuttgart 2012 G hn12c G hner Peter Skript zur Vorlesung Softwaretechnik Il IAS Stuttgart 2012 Jazd14 Jazdi Nasser Skript zur Vorlesung Zuverl ssigkeit und Sicherheit von Automatisierungssystemen IAS Stuttgart 2014 Bles11 Blessing Peter Skript zur Vorlesung Sicherheit und Zuverl ssigkeit HSHN Heilbronn 2011 Bert10 Bertsche Bernd Skript zur Vorlesung Zuverl ssigkeitstechnik I und Il IMA Stuttgart 2010 BGJ 09 Bertsche Bernd G hner Peter Jensen Uwe Schink the Wolfgang Wunderlich Hans Joachim Zuverl ssigkeit mechatronischer Systeme 1 Aufl Berlin Heidelberg Springer Verlag 2009 MePa10 Meyna Arno Pauli Bernhard Zuverl ssigkeitstechnik Quantitative Bewertungsverfahren 2 Aufl M nchen Wien Hanser Verlag 2010 Balz08 Balzert Helmut Lehrbuch der Softwaretechnik 2 Aufl Heidelberg Spektrum Akademischer Verlag 2008 BeHa09 Benra Juliane Halang Wolfgang Software Entwicklung f r Echtzeitsysteme 1 Aufl Berlin Heidelberg Springer Verlag 2009 Ligg09 Liggesmeyer Peter Software Qualit t Testen Analysieren und Verifizieren von Software 2 Auflg Heidelberg Spektrum Akademischer Verlag 2009 Hala13 Halang Wolfgang Funktionale Sicherheit Echtzeit 2013 1 Auflg Berlin Heidelberg Springer 2015 IAS Univer
23. i 2 o o 2 Ag e Zuverl ssigkeit 2 Rs Ri R10 R20 amp RoW Ro Rod i 1 2015 IAS Universit t Stuttgart 2 4 Zuverl ssigkeitsblockdiagramm ZSA Serienanordnung mit 3 identischen Komponenten E F r identische Ausfallraten mit A t const gilt 3 e Ausfallrate und MTTF t Ya 3 x o i 1 MTTF 2 ger S Epa 3 e Zuverl ssigkeit 3 RO RW RW i 1 2015 IAS Universit t Stuttgart 2 4 Zuverl ssigkeitsblockdiagramm ZSA Parallelanordnung Redundanz System ist funktionsf hig wenn mindestens ein Modul funktionsf hig ist Sobald alle Module ausgefallen sind ist das System ausgefallen Es gilt Boolesche Funktion y Xa V XB lt MTTF 5 MTTF Ry odt 0 n Zuverl ssigkeit R t 1 BE _R 0 i 1 2015 IAS Universit t Stuttgart 2 4 Zuverl ssigkeitsblockdiagramm ZSA Parallelanordnung mit 2 identischen Komponenten F r identische Ausfallraten mit A t A Aa A gilt e Zuverl ssigkeit 2 R 1 11 RW 1 A Ro 0 2R0 t Ro 0 i 1 MTTF i i 5 2 1 1 1 1 3 Ao 2 o Ao 2 2 2 MTTF MTTF gt MTTE 1 2 042 x z x p 7 1 j 2 o 2 i 0 2015 IAS Universit t Stuttgart 2 4 Zuverl ssigkeitsblockdiagramm ZSA Parallelanordnung mit 3 identischen Komponenten F r identische Ausfallraten mit A t gt
24. r Basisereignisse Ausfallwahrscheinlichkeit ber einen Zeitraum berechnen d h die Berechnung der zu erwarteten Eintrittsh ufigkeit des Top Events e Nichtverf gbarkeit zu einem beliebigen Zeitpunkt berechnen 2015 IAS Universit t Stuttgart 3 3 Quantitative FTA ZSA Funktions und Fehlerbaum Es gibt eine grunds tzliche Unterscheidung zwischen einer Funktionsbaum und einer Fehlerbaum Betrachtung Es gilt f r eine Funktionsbaum Betrachtung dass Ereignisse bzw positive Parameter verkn pft werden zum Beispiel y y X AXz X X2 Es gilt f r eine Fehlerbaum Betrachtung dass Fehl Ereignisse bzw negative Parameter verkn pft werden zum Beispiel y 2015 IAS Universit t Stuttgart 3 3 Quantitative FTA ZSA Gegenseitige berf hrung 1 2 Rees Fges t y y MERE gt J LV X X2 X R t R2 t F t F t l Fges t 1 1 F 1 F2 t 1 Rest 1 1 1 R 0 i 1 1 R2 I Rges t 1 R1 t R l Rges t R t R Rges t R4 t R2 t 2015 IAS Universit t Stuttgart 3 3 Quantitative FTA Gegenseitige berf hrung 2 2 X X X X lt lt X X2 X X2 168 2015 IAS Universit t Stuttgart 3 3 Quantitative FTA ZSA Berechnung am Fehlerbaum Die quantitative Zuverl ssigkeitsuntersuchung bei Fehlerb umen l sst sich demnach zu f
25. t Stuttgart 5 3 Modelle der Softwarezuverl ssigkeit ZSA Lipow Modell Zeitunabh ngiges Zuverl ssigkeitswachstumsmodell Vorgehen 2015 IAS Universit t Stuttgart Ein Testprogramm wird in N Stufen unterteilt Jede Stufe besitzt eine bestimmte Anzahl von Testversuchen Alle Tests einer Stufe beziehen sich auf hnliche Elemente Testergebnisse sind entweder erfolgreich oder fehlgeschlagen Ergebnisse einer Stufe werden verwendet um das jeweilige Elemente zu verbessern Kontinuierliche Verbesserung der Zuverl ssigkeit 5 3 Modelle der Softwarezuverl ssigkeit ZSA Frage zu Kapitel 5 3 Welchen Aussagen stimmen Sie zu Basis aller SW Zuverl ssigkeitsmodelle sind empirische Daten Architekturbasierte Modelle erm glichen eine relativ genaue Absch tzung der Zuverl ssigkeit bei Kenntnis der Eingabeparameter Bei fr hzeitigen Prognosemodellen kann die fr he Interpretation der Werte zu falschen Ergebnissen f hren Zuverl ssigkeitswachstumsmodelle profitieren davon dass Werte vorheriger Projekte direkt eingesetzt werden k nnen 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA 8 5 Softwarezuverl ssigkeit 5 1 Grundlagen der Softwarezuverl ssigkeit 5 2 Ma nahmen gegen Softwarefehler 5 3 Modelle der Softwarezuverl ssigkeit 5 4 Komponentenansatz 5 5 Situationsbasierte qualitative Modellbildung und Analyse SQMA
26. 1 Grundlagen der FMEA 4 2 Arten der FMEA 4 3 Einsatz von Werkzeugen 4 4 Durchf hrung der FMEA 4 5 Risikopriorit tszahl RPZ 4 6 FMEA Formblatt 4 7 Software FMEA SFMEA 2015 IAS Universit t Stuttgart 4 4 Durchf hrung der FMEA ZSA Teamorientierung FMEA ist immer teamorientiert Einzelnen Punkte werden von einem FMEA Team diskutiert und er rtert 2015 IAS Universit t Stuttgart 230 4 4 Durchf hrung der FMEA ZSA Beteiligte Fachbereiche Expertengruppe setzt sich aus Vertretern verschiedener Fachbereiche zusammen Qualit tssicherung nn we Entwicklung Vertrieb Fertigung Verwaltung ei Logistik Projektplanung Erprobung Test Moderator ist ein Methodenspezialist aus einem der Fachbereiche Moderator kann auch identisch mit dem Verantwortlichen sein Verantwortlicher ist der Initiator der FMEA oftmals Gesamtprojektleiter 2015 IAS Universit t Stuttgart gt 31 amp 4 4 Durchf hrung der FMEA Aufgabe des FMEA Team 1 2 Probleml sung und Ideenfindung durch gegenseitige Anregung auf m glichst intuitive Art Laute Techniken z B Diskussion ber Brainstorming 2015 IAS Universit t Stuttgart Nach Alex F Osborn Autor USA 1939 Gruppe von 5 7 Personen je nach Problemstellung Experten Laien Grunds tzliche Regeln Freies Aufgreifen von Ideen freies Assoziieren und Phantasieren Kommentare Korrekturen und Kritik sind verboten Begre
27. 3 3 1 A X5 A X4 Schnitt4 C4 amp 2 A X5 A X3 Boolesche Verkn pfung der Pfade fges X1 A X2 V 3 A X4 V 1 A X5 A X4 V RZ A X5 A X3 Berechnung der Systemausfallwahrscheinlichkeit Boolesche Modellbildung Fges 1 1 F 1 B 1 1 B 1 FH n 1 1 E A B A B 1 4 F2 1 F3 1 Fs 2015 IAS Universit t Stuttgart 175 3 3 Quantitative FTA Ergebnisanalyse 1 2 Nach Berechnung der Zuverl ssigkeit oder Systemausfallwahrscheinlichkeit eines unerw nschten Ereignisses erfolgt die Beurteilung hinsichtlich e Mechanik e Elektronik Ages Amech Ag Asw e Software bzw Informationstechnik 2015 IAS Universit t Stuttgart 3 3 Quantitative FTA Ergebnisanalyse 2 2 Durchf hrung einer Sensitivit tsanalyse als Basis der Ergebnis Beurteilung durch Entscheidungstr ger Vorgesetzte bzw Auftraggeber Methode wie empfindlich Kennzahlen auf eine nderung der Eingangsparameter reagieren N pate i Analyse verursachender Ereignisse 2015 IAS Universit t Stuttgart 3 3 Quantitative FTA ZSA Beurteilung der quantitativen Durchf hrung einer FTA Vorteile e Exakte Ergebnisse e Gro e Objektivit t und Vergleichbarkeit e Relativ geringer Zeit und Kostenaufwand Nachteile e Keine direkt ableitbaren Verbesserungsvorschl ge e Keine Flexibilit t bei der Untersuchung Nicht alle Ausfallursachen erfassbar
28. 3 Ausfallarten bestimmen Unterschiedliche Arten von Ausf llen haben unterschiedliche Auswirkungen auf das Top Event Betrachtung verschiedener Arten von Komponentenausf llen e Prim rer Ausfall Komponentenausfall durch Schw chen bzw Fehler die sich schon zu Beginn im System befinden Ausfall bei zul ssigen Einsatzbedingungen e Sekund rer Ausfall Komponentenausfall der durch die Umgebungsbedingungen oder durch die Einsatzbedingungen eintritt Ausfall bei unzul ssigen Einsatzbedingungen 2015 IAS Universit t Stuttgart 3 2 Qualitative FTA ZSA 3 Ausfallarten bestimmen e Kommandierter Ausfall Komponentenausfall einer eigentlich funktionsf higen Komponente durch eine Fehlbedienung oder Eingabe von falschen oder ung ltigen Werten bei Software Bedienung und Wartungsfehler Absichtliche Fehler 2015 IAS Universit t Stuttgart 3 2 Qualitative FTA ZSA 2 Schritt 3 Schritt 4 Fehlerbaum erstellen omponen Ausfallkriterien bestimmen Allgemeines Vorgehensmuster 2015 IAS Universit t Stuttgart 153 3 2 Qualitative FTA ZSA Common Mode Failure Ausfall mehrerer gleichartiger Komponenten die zu einem Schadenereignis f hren Fehler die nicht durch eine gemeinsame Ursache ausgel st werden Hat der Ausfalle eines Sensors den AN Ausfall eines anderen Sensors zur 2015 IAS Universit t Stuttgart 3
29. 5 5 Situationsbasierte qualitative Modellbildung und Analyse SQMA ZSA Modellierung einzelner Komponenten Situationstabelle Abh ngigkeiten und Zusammenh nge der ber Intervall Variablen beschriebenen Gr en bzw Nachrichten werden mit Situationsregeln modelliert Es werden dadurch alle m glichen Kombinationen bzw Situationen ermittelt Beispielhaft ein Ausschnitt aus der Situationstabelle 2015 IAS Universit t Stuttgart 360 5 5 Situationsbasierte qualitative Modellbildung und Analyse SQMA ZSA Modellierung einzelner Komponenten Transitionsmatrix Das dynamisches Verhalten der Komponente wird ber Transitionsregeln beschrieben Es wird festgehalten von welchen Situationen in welche Situationen bergegangen werden kann Es werden somit die Situationsregel bergange dargestellt werden Beispielhaft ein Ausschnitt aus der Transitionsmatrix ESEHEIEZIEIEZ B X X 2015 IAS Universit t Stuttgart 361 5 5 Situationsbasierte qualitative Modellbildung und Analyse SQMA ZSA Von den Komponenten zum System 1 2 Im n chsten Schritt erfolgt die Verkn pfung der modellierten Komponenten zum Gesamtsystem In Netz listen werden dazu die Verbindungen und Kommunikationen der Komponenten untereinander festgelegt Verbindung entspricht sozusagen einem Nachrichtenkanal der einen Sender mit einen Empf nger verbindet Es entsteht somit eine Art Ablaufdiagramm bzw Schaltplan wodurch die We
30. Anwendung in nahezu allen Bereichen e Verbreitung der FTA in der SW Entwicklung e Normung nach DIN 25424 1 2 1981 1990 und DIN EN 61025 2007 2015 IAS Universit t Stuttgart 136 3 1 Grundlagen der FTA ZSA Ziele der FTA System auf Komponentenbasis wirklichkeitsnah zu modellieren und auszuwerten e Ausfallarten und Ausfallursachen zu detektieren e Funktionale Zusammenh nge der Ausf lle herzustellen e Auswirkungen von Ausf llen auf das System zu beschreiben Die FTA wird eingesetzt zur e Pr ventiven Qualit tssicherung e Systemanalyse e Probleml sung bei neu auftretenden Fehlern Analyse der Zuverl ssigkeit ber qualitativen oder quantitativen Ansatz e Qualitativ e Quantitativ 2015 IAS Universit t Stuttgart 3 1 Grundlagen der FTA ZSA Struktur eines Fehlerbaums Top Down Graphische Darstellung ber mehrere Systemebenen die durch logische Verkn pfungen miteinander verbunden sind Steuerger t funktioniert nicht Mikrocontroller C liefert keine Daten HW der uC Einheit defekt Bauteil uC defekt Kurzschluss durch Feuchtigkeitseintritt Konstruktionsfehler ll 2015 IAS Universit t Stuttgart 138 3 1 Grundlagen der FTA ZSA G ngige Symbole des Fehlerbaums 1 2 Konstruktion des Fehlerbaums nach DIN 25424 1 genormten Symbolen Unterscheidung in Ereignis Verkn pfungs und Tranfersymbole Ereignissymbole C Ereignis Prim res Ereignis i Un
31. Code vollst ndig gepr ft wird L SFMEA erlaubt eine klare Bestimmung der Ausfallwahrscheinlichkeit eines Moduls 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA Gliederung 8 1 Einf hrung Begriffe und Normen 82 Wahrscheinlichkeit und Zuverl ssigkeit 8 3 Fehlerbaumanalyse FTA 84 Fehlerm glichkeits und Einfluss Analyse FMEA 8 5 Softwarezuverl ssigkeit 86 Zuverl ssigkeits und Sicherheitstechnik 8 7 bungsaufgaben 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA 8 5 Softwarezuverl ssigkeit 5 1 Grundlagen der Softwarezuverl ssigkeit 5 2 Ma nahmen gegen Softwarefehler 5 3 Modelle der Softwarezuverl ssigkeit 5 4 Komponentenansatz 5 5 Situationsbasierte qualitative Modellbildung und Analyse SQMA 2015 IAS Universit t Stuttgart 5 1 Grundlagen der Softwarezuverl ssigkeit ZSA Softwarekrise Damals Mitte der 1960er berstiegen Softwarekosten erstmals die Hardwarekosten Entwicklungs und Zuverl ssigkeitsmethoden waren nicht an die Komplexit t und Anforderungen von Software angepasst e Termine konnten nicht gehalten werden e Zeitdruck und in Folge davon die Zahl der Softwarefehler erh hten sich e Gesamtkosten berstiegen Planung um ein Vielfaches Folge war dass die ersten gro en Software Projekte scheiterten Daher Einf hrung des Begriffs Software Engineering und Defini
32. L sung Teil A 4 4 M glichkeit 2 Spannungsversorgung redundant F r die gesamte Ausfallrate gilt F r die Zuverl ssigkeit folgt 2015 IAS Universit t Stuttgart ZSA Aufgabe 1 Zuverl ssigkeitsblockdiagramm ZSA L sung Teil B 1 4 M glichkeit 3 Mehrfache Redundanz nach dem Schema Es gilt Parallelschaltung von SV1 und SV2 Parallelschaltung von C1 uC2 uC3 2015 IAS Universit t Stuttgart Aufgabe 1 Zuverl ssigkeitsblockdiagramm ZSA L sung Teil B 2 4 M glichkeit 3 Mehrfache Redundanz nach dem Schema Serienschaltung von SV1 SV2 und uC1 uC2 uC3 Ausfallrate und Zuverl ssigkeit 2015 IAS Universit t Stuttgart Aufgabe 1 Zuverl ssigkeitsblockdiagramm ZSA L sung Teil B 3 4 M glichkeit 4 Mehrfache Redundanz nach dem Schema Es gilt Parallelschaltung von SV1 SV2 SV3 Parallelschaltung von uC1 und uC2 2015 IAS Universit t Stuttgart Aufgabe 1 Zuverl ssigkeitsblockdiagramm ZSA L sung Teil B 4 4 M glichkeit 3 Mehrfache Redundanz nach dem Schema Serienschaltung von SV1 SV2 SV3 und uC1 uC2 Ausfallrate und Zuverl ssigkeit 2015 IAS Universit t Stuttgart Aufgabe 1 Zuverl ssigkeitsblockdiagramm L sung Teil C F r die Verf gbarkeit des Systems folgt e Berechnung der MTTR e Berechnung der Verf gbarkeit 2015 IAS Universit t Stuttgart ZSA Zuverl ssigkeit und Sicherheit von
33. Speicher und Peripherie erreicht nderbarkeit changeability K nnen Merkmale mit kleinstm glichem Aufwand ge ndert werden bertragbarkeit portability Ist die Software unabh ngig vom Betriebssystem und der Hardware Funktionalit t functionality Tut die Software was sie soll 2015 IAS Universit t Stuttgart 5 1 Grundlagen der Softwarezuverl ssigkeit ZSA Weitere Qualit tsmerkmale von Software Dokumentation documentation Liegen alle erforderlichen Dokumente vor und sind diese aktuell Integrit t integrity Ist die Software sicher gegen eine unerlaubte Anwendung Konsistenz consistency Enth lt die Software eindeutige Zuordnungen Robustheit robustness Ist die Software stabil bei Fehlbedienung oder berlast Pr fbarkeit testability Kann die Software leicht beurteilt bzw gepr ft werden Vollst ndigkeit completeness Ist es nachgewiesen dass die gesamte geforderte Funktionalit t erf llt ist 2015 IAS Universit t Stuttgart 284 5 1 Grundlagen der Softwarezuverl ssigkeit ZSA Konstruktive Ma nahmen Konstruktive Ma nahmen zur Erh hung der Softwarezuverl ssigkeit haben das Ziel eine strukturierte Vorgehensweise in der Entwicklung zu erm glichen Konstruktive Ma nahmen dienen der Gestaltung der Zuverl ssigkeit und sollen pr ventiv die Entstehung von Fehlern vermeiden Einsa
34. Stuttgart 1 4 Normen ZSA Beispiel ISO 26262 abgeleitet aus DIN EN 61508 e Teil 3 Konzeptphase Definition des Systems Identifikation und Analyse von Gef hrdungen Risikoabsch tzung e Teil 4 Produktentwicklung auf Systemebene e Teil 5 Produktentwicklung auf Hardwareebene e Teil 6 Produktentwicklung auf Softwareebene 2015 IAS Universit t Stuttgart 1 4 Normen ZSA Beispiel ISO 26262 abgeleitet aus DIN EN 61508 e Teil 7 Anforderungen an Produktion Betrieb und Au erbetriebnahme Installation und Stilllegung Wartung Pflege und Reparatur e Teil 8 Unterst tzende Prozesse Konfigurations und nderungsmanagement Verifikation und Dokumentation e Teil 9 SIL und sicherheitsorientierte Analysen Unterteilung in Sicherheitsanforderungsstufen SIL M glichkeiten zur Reduzierung von Gefahrensituationen e Teil 10 Guideline Anwendungsbeispiele Weiterf hrende Informationen Erl uterungen 2015 IAS Universit t Stuttgart 1 4 Normen ZSA Weitere Beispiele abgeleiteter Normen DINEN 61511 Funktionale Sicherheit Sicherheitstechnische Systeme f r Prozessindustrie Stand 2005 05 DIN EN ISO 13849 Sicherheit von Maschinen Sicherheitsbezogene Teile von Steuerungen Stand 2008 12 Teil 1 Allgemeine Gestaltungsgrunds tze Teil2 Validierung DIN EN ISO 50129 Bahnanwendungen Telekommunikationstechnik Signaltechnik und Datenverarbeitungssysteme Sicherheitsrelevante
35. Trennung von Energie und Signalleitungen Ma nahmen der Non Perfektionsstrategie e Redundante Struktur von Sensoren innerhalb einer Sensoreinheit 2015 IAS Universit t Stuttgart 6 2 Strategien der Zuverl ssigkeits und Sicherheitstechnik ZSA Frage zu Kapitel 6 2 Welchen Aussagen stimmen Sie zu Detaillierte Pr fung des Systems ist Teil der Perfektionsstrategie Redundanz ist Teil der Perfektionsstrategie C Potentialtrennung ist Teil der Perfektionsstrategie Die Verwendung mechanischer Konstruktionen mit einer hohen Steifigkeit ist Teil der Perfektionsstrategie 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA 86 Zuverl ssigkeits und Sicherheitstechnik 6 1 Risiko Gef hrdung und Gefahr 6 2 Strategien der Zuverl ssigkeits und Sicherheitstechnik 6 3 Sicherheits und Risikoanalysen 6 4 Ermittlung des Safety Integrity Levels SIL 2015 IAS Universit t Stuttgart 6 3 Sicherheits und Risikoanalysen ZSA Risikoanalyse Risikoanalyse risk assessmenti ist ein Mittel zur Bewertung von Situationen Vorhaben Systeme oder Ereignissen in allen m glichen Bereichen des Lebens Prim res Ziel in der Sicherheits und Zuverl ssigkeitstechnik ist die Vermeidung negativer Ereignisse durch Pr ventionsma nahmen die aus Methoden bzw Verfahren der Risikobewertung abgeleitet werden Anwendungsgebiete von Risikoanalysen sind beispielsweise
36. das Betriebssystem Anpassung Anpassung 2015 IAS Universit t Stuttgart 5 4 Komponentenansatz ZSA Spezifische Eigenschaften von Softwarekomponenten 1 3 Anpassbarkeit e Eine SW Komponenten muss durch geeignete Parametrierung und Konfiguration an die Aufgabe im aktuellen System angepasst werden e Dazu geh rt auch das An und Abschalten von Funktionen Funktionale Geschlossenheit e Funktionalit t innerhalb der Komponente ist logisch zusammenh ngend e Nach au en ist Funktionalit t nur ber die Schnittstellen sichtbar Unver nderbarkeit durch Dritte e SW Komponenten werden in verschiedenen Systemen eingesetzt e Quellcode kann dabei vom Einsetzenden nicht ver ndert werden 2015 IAS Universit t Stuttgart 5 4 Komponentenansatz ZSA Spezifische Eigenschaften von Softwarekomponenten 2 3 Verkn pfbarkeit SW Komponenten werden ber Schnittstellen miteinander verkn pft um geforderte Systemfunktionen zu erbringen e Klare Unterscheidung notwendig ob Dienst erfragt oder angeboten wird Ereignis gemeldet oder entgegengenommen wird Strukturelle Unabh ngigkeit e SW Komponenten k nnen die Dienste anderer Komponenten erfordern e Dabei wird nur die jeweilige Funktionalit t ben tigt nicht eine andere Komponenten als solche e SW Komponenten sind somit strukturell voneinander abh ngig 2015 IAS Universit t Stuttgart 5 4 Komponentenansatz ZSA Spezifische Eigenschaft
37. der FMEA 4 3 Einsatz von Werkzeugen 4 4 Durchf hrung der FMEA 4 5 Risikopriorit tszahl RPZ 4 6 FMEA Formblatt 4 7 Software FMEA SFMEA 2015 IAS Universit t Stuttgart 4 5 Risikopriorit tszahl RPZ ZSA Risikopriorit tszahl RPZ Die Risikobeurteilung bei einer FMEA erfolgt im Rahmen der Ma nahmenanalyse ber die Risikopriorit tszahl RPZ F r jede Fehlerart eines Betrachtungsgegenstand wird die RPZ ermittelt RPZ berechnet sich ber die Multiplikation von Einzelbewertungen e Auftretenswahrscheinlichkeit A e Bedeutung bzw Schwere einer Gef hrdung d h einer Fehler Folge B e Entdeckungswahrscheinlichkeit E RPZ A B E Die Einzelbewertungen werden von der interdisziplin ren Experten Gruppe gem genormten Tabellenvorlagen bestimmt 2015 IAS Universit t Stuttgart 4 5 Risikopriorit tszahl RPZ ZSA Begriff Auftretenswahrscheinlichkeit A Bewertung der Auftretenswahrscheinlichkeit A einer Fehler Ursache erfolgt unter Ber cksichtigung der definierten Vermeidungsma nahmen Ist es nahezu sicher dass eine Fehler Ursache auftritt dann entspricht das einer Auftretenswahrscheinlichkeit von 10 Ist es u erst unwahrscheinlich so entspricht das dem Wert 1 Je detaillierter die Fehleranalyse durchgef hrt wurde desto differenzierter kann die Bewertung erfolgen Es wird bei der Bewertung von Ursachen auf bekannte Erfahrungswerte zur ckgegriffen Schadenstatistiken Zuve
38. dieselbe Person sein 6 4 Safety Integrity Level SIL ZSA ASIL nach ISO 26262 1 2 SIL Stufen aus der Grundnorm DIN 61508 k nnen direkt angewandt oder f r spezifische Bereiche angepasst werden In der Norm ISO 26262 wurde SIL in den Automotive Bereich berf hrt und mit ASIL Automotive Safety Integrity Levels bezeichnet ASIL ist ein qualitatives Ma f r die Sicherheitsrelevanz einer Fehlfunktion und ergibt sich aus den Parametern e Auftretenswahrscheinlichkeit E Exposure Wie h ufig sind Situationen in denen die Fehlfunktion relevant ist e Kontrollierbarkeit C Controllability Wenn die Fehlfunktion auftritt wie gut kann sie beherrscht werden e Schwere der Sch digung S Severity Wenn die Fehlfunktion nicht beherrscht wird wie gro ist die Auswirkung 2015 IAS Universit t Stuttgart 416 6 4 Safety Integrity Level SIL ZSA ASIL nach ISO 26262 2 2 Methodik der ASIL Einstufung e Skala A bis D wobei A die niedrigste und D die h chste Einstufung einer Fehlfunktion darstellt e Einstufung als QM Qualit tsmanagement d h dass eine Fehlfunktion nicht als sicherheitsrelevant eingestuft wird Beispiele f r ASIL von Gef hrdungen aus der Praxis e Airbag l st ohne Bedarfsfall aus e Ungewollte Beschleunigung e Lenkunterst tzung f llt aus Nach der Einstufung einer Fehfunktion erfolgt die Ableitung von Ma nahmen falls eine Reduzierung der Stufe n tig ist m glich ist 2
39. e In der Entwicklung zur Identifikation von Risiken neuer Systeme e Inder Politik zu Erhebung von Risikostatistiken e In Banken zur Bestimmung von risikobehafteten Kundensegmenten Hier betrachtete Risikoanalyse befassen sich mit der Sicherheit von Systeme e PSA PRA e PAAG 2015 IAS Universit t Stuttgart 6 3 Sicherheits und Risikoanalysen ZSA Einf hrung in PSA PRA 1 2 Probabilistische Sicherheitsanalyse Probability Safety Assessment PSA auch probabilistische Risikoanalyse Probability Risk Assessment PRA ist ein quantitatives Verfahren zur Risiko Untersuchung mittels probabilistischer bzw wahrscheinlichkeitsbasierender Methoden Entwickelt im Rahmen der amerikanischen Reaktorsicherheitsstudie WASH 1400 im Jahr 1975 Methodischen Ans tze der Studie wurden u a in Deutschland bernommen berarbeitet und gelten als Referenzanalyse f r Kernkraftwerke e Stufe 1 Ermittlung der H ufigkeit von Kernsch den im Reaktor e Stufe 2 Ermittlung der Abl ufe im Falle einer Kernschmelze e Stufe 3 Analysen m glicher Folgen au erhalb des Kraftwerks 2015 IAS Universit t Stuttgart 6 3 Sicherheits und Risikoanalysen ZSA Einf hrung in PSA PRA 2 2 PSA PRA bedient sich bekannter Methoden FTA FMEA und wird heute in allen Industriebereichen eingesetzt Luftfahrt Bahn Chemie Industrie Wesentliche Kernfragen der PSA PRA sind e Was kann versagen e Wie wahrscheinlich ist es e Was sin
40. elektronische Systeme f r Signaltechnik Stand 2003 12 2015 IAS Universit t Stuttgart 1 4 Normen ZSA Weitere Beispiele abgeleiteter Normen VDI VDE 3542 Sicherheitstechnische Begriffe f r Automatisierungssysteme Stand 2000 10 Teil 1 Qualitative Begriffe Teil 2 Quantitative Begriffe und Definitionen Teil 3 Anwendungshinweise und Beispiele Teil 4 Zuverl ssigkeit und Sicherheit komplexer Systeme Begriffe DIN 40041 Zuverl ssigkeit Begriffe Stand 1990 12 2015 IAS Universit t Stuttgart 1 4 Normen ZSA Frage zu Kapitel 1 2 Was ist der Kerninhalt der Norm ISO 26262 Was ist der grunds tzliche Unterschied zwischen den Normen DIN EN 61508 und der Norm DIN EN 62061 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA Gliederung 8 1 Einf hrung Begriffe und Normen 82 Wahrscheinlichkeit und Zuverl ssigkeit 8 3 Fehlerbaumanalyse FTA 84 Fehlerm glichkeits und Einfluss Analyse FMEA 8 5 Softwarezuverl ssigkeit 86 Zuverl ssigkeits und Sicherheitstechnik 8 7 bungsaufgaben 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen 8 2 Wahrscheinlichkeit und Zuverl ssigkeit 2 1 Grundlagen der Wahrscheinlichkeitsrechnung 2 2 Lebensdauerverteilungen 2 3 Verf gbarkeit von Systemen 2 4 Zuverl ssigkeitsblockdiagramm 2015 IAS Universit t Stuttgart ZSA 2 1 Grund
41. t Stuttgart 235 Schema 4 4 Durchf hrung der FMEA ZSA Funktionsanalyse Auf Basis der Strukturanalyse werden den Systemelementen einzelne Funktionen zugeordnet Vorgehen nach Top Down Methode e Ausgehend von den Top Funktionen des Systems werden die entsprechenden Funktionalit ten mit den Elementen verkn pft Kenntnis der Funktionsanforderung unverzichtbar Lasten Pflichtenheft _ af 2015 IAS Universit t Stuttgart 4 4 Durchf hrung der FMEA ZSA Fehleranalyse F r jedes Systemelement wird eine Fehleranalyse durchgef hrt d h m gliche Fehlfunktionen werden ermittelt Funktionsfehler k nnen ber die Negation der Funktionalit t abgeleitet werden Entsprechend der Top Down Methode werden die Fehlfunktionen mit den Funktionen verkn pft 2015 IAS Universit t Stuttgart 4 4 Durchf hrung der FMEA ZSA Ma nahmenanalyse Es wird nun der aktuelle Stand des Systems bewertet Dazu werden die Kombinationen aus Funktion und Fehler unter Einbeziehung der bisherigen festgelegten Pr fma nahmen untersucht e Vermeidungsma nahmen zur Risikobeseitigung e Entdeckungsma nahmen zur Risikominderung Das Ergebnis der Untersuchung wird ber folgende Kriterien bewertet e Auftretenswahrscheinlichkeit der Fehler Ursache e Bedeutung der Fehler Folge e Entdeckungswahrscheinlichkeit der Fehler Ursache Aus den Bewertungskriterien wird Risikopriorit tszahl berechnet
42. zu entdecken und somit die Zuverl ssigkeit zu erh hen Es muss bei der Wiederverwendung von Software genau gepr ft werden ob die Einsatz bzw Umgebungsbedingungen bereinstimmen 2015 IAS Universit t Stuttgart 5 1 Grundlagen der Softwarezuverl ssigkeit ZSA Frage zu Kapitel 5 1 Welchen Aussagen stimmen Sie zu L 2015 IAS Universit t Stuttgart Tests weisen die Fehlerfreiheit von Software nach Ein Softwarefehler f hrt nicht immer zum Ausfall eines Systems Menschliche Irrt mer sind der Grund f r Fehler in Software Kommentare in Software haben keinen Einfluss auf deren Zuverl ssigkeit Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA 8 5 Softwarezuverl ssigkeit 5 1 Grundlagen der Softwarezuverl ssigkeit 5 2 Ma nahmen gegen Softwarefehler 5 3 Modelle der Softwarezuverl ssigkeit 5 4 Komponentenansatz 5 5 Situationsbasierte qualitative Modellbildung und Analyse SQMA 2015 IAS Universit t Stuttgart 5 2 Ma nahmen gegen Softwarefehler ZSA Unterscheidung von Ma nahmen Ma nahmen um die Entstehung von Softwarefehler ber einen verbesserten Entwicklungsprozess m glichst zu vermeiden e Reviews e Formale Anforderungsspezifikation Ma nahmen um vor der Inbetriebnahme m glichst viele der enthaltenen Softwarefehler ber ein sicherheitsbezogenes Vorgehensmodell aufzudecken e Testen e Diversit re R ckw rtsanalyse Ma nahmen um gef hr
43. 015 IAS Universit t Stuttgart 2 2 Lebensdauerverteilungen ZSA Erlang Verteilung Gleichungen Es gilt f r t 2 O e Ausfallrate e Ausfalldichte e Ausfallwahrscheinlichkeit e Zuverl ssigkeit 2015 IAS Universit t Stuttgart ACO E Ao t n 1i1 n i1 o t ar u iz D2 j i 0 n i o t E e ze 2 i i 0 Zuverl ssigkeit 2 2 Lebensdauerverteilungen Erlang Verteilung Simulation Betrachtung von verschiedenen n Stufen von Schaltredundanzen Ausfallwahrscheinlichkeit Zeit Jahre Zeit Jahre 2015 IAS Universit t Stuttgart ZSA 2 2 Lebensdauerverteilungen ZSA Erlang Verteilung Rechenbeispiel Zur Sicherstellung der Stromversorgung einer Anlage werden zwei gleiche Generatoren als Standby System mit einer Ausfallrate von A 104 h eingesetzt Die Generatoren werden alle 14 Tage gewartet Welche Zuverl ssigkeit liegt innerhalb der Wartungsintervalle vor T do 0 a ot 0 Roen 2 j i 0 2 1 i t R t e At x CA e At 1 4 Ao i 1 i 0 10 n 1x 336h Pa EEE EEE 10 4h 1 e 10 h 1 T 0 9994 99 94 2015 IAS Universit t Stuttgart 2 2 Lebensdauerverteilungen ZSA Binomialverteilung Allgemeines Erste Diskussion der Verteilung von Blaise Pascal 1623 1662 Franz sischer Mathematiker Physiker und Philosoph 1654 Geburtsstunde der Wahrscheinlichkeitsrechnung e Unt
44. 015 IAS Universit t Stuttgart 6 4 Safety Integrity Level SIL ZSA Frage zu Kapitel 6 4 Welchen Aussagen stimmen Sie zu C Der Tod mehrerer Personen ist nicht ber eine SIL Stufe erfassbar und muss bei jedem System ausgeschlossen werden SIL repr sentiert ein quantitatives Verfahren zur Risikobewertung C Nach der Unabh ngigkeit nach SIL 0 kann der Designer auch seine Arbeit validieren Nach der Unabh ngigkeit nach SIL 2 3 sind Verifikation und Validation dem gleichen Projektmanagement unterworfen wie das Design 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA Gliederung 8 1 Einf hrung Begriffe und Normen 82 Wahrscheinlichkeit und Zuverl ssigkeit 8 3 Fehlerbaumanalyse FTA 84 Fehlerm glichkeits und Einfluss Analyse FMEA 8 5 Softwarezuverl ssigkeit 86 Zuverl ssigkeits und Sicherheitstechnik 8 7 bungsaufgaben 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen 87 bungsaufgaben Aufgabe 1 Zuverl ssigkeitsblockdiagramm Aufgabe 2 Fehlerbaumanalyse FTA Aufgabe 3 Softwarezuverl ssigkeit 2015 IAS Universit t Stuttgart ZSA Aufgabe 1 Zuverl ssigkeitsblockdiagramm ZSA Aufgabe 1 Aufgabenstellung Ein Steuerger t wird aus einem Mikrocontrollersystem und einem Spannungs Versorgungssystem aufgebaut F r die Ausfallraten der Teilsystem gilt A c
45. 2 Qualitative FTA ZSA Common Cause Failure Ausfall mehrerer Komponenten deren Ursache ein einzelner Ausfall einer anderen Komponente darstellt Ausf lle sind statistisch abh ngig voneinander da sich verschiedene ste des Fehlerbaums auf dieselbe ausgefallene Komponente beziehen Handelt es sich um denselben Spannungsversorgungsanschluss 2015 IAS Universit t Stuttgart 3 2 Qualitative FTA ZSA 5 Qualitative Bewertung Die Zuverl ssigkeit bzw das Risiko von Ausf llen wird ber die graphische Struktur qualitativ abgesch tzt Keine Eingangsdaten f r den Fehlerbaum Ausfallraten notwendig Verfahren bzw Fehlerbaum muss vollst ndig sein damit eine qualitative Bewertung zweckm ig ist Vollst ndigkeit bedeutet dass alle Ereignisse und Ereigniskombinationen in der Fehlerbaumerstellung ber cksichtig wurden Ans tze zu Bewertung e Kritischer Pfad e Kritische Menge bzw minimale Schnittmenge 2015 IAS Universit t Stuttgart 3 2 Qualitative FTA ZSA Kritischer Pfad Ast des Fehlerbaums bei dem die Komponentenausf lle nicht durch systemeigene Vermeidungs bzw Pr fmechanismen Diagnose und Fehlererkennungsma nahmen abgesichert sind oder werden k nnen Erkenntnisse ber Zusammenh nge von Ursache und Wirkung Ableitung von N herungen ber Risiken und Schwachstellen des Systems 2015 IAS Universit t Stuttgart 3 2 Qualitat
46. 6 1 Risiko Gef hrdung und Gefahr ZSA Lebens und Sterberisiko Begriffe aus der Rechtsprechung die m gliche Gefahren bzw negative Ereignisse beschreiben die zum Nachteil oder Tod von Menschen f hren k nnen Tod ergibt sich aus vielen verschiedenen Ursachen wobei eine Ursachengruppe der Technologie zugeordnet wird e Verkehr PKW Bahn e Arbeitsmaschinen e Heimwerken e Unterhaltung und Sport Jede Ursachengruppe hat einen bestimmten Prozentsatz von Toten Jahr Entsprechend der Altersverteilung der Mortalit t wird das Risiko bzw der jeweilige Prozentsatz als Endogene Sterblichkeit Mortalit t R bezeichnet 2015 IAS Universit t Stuttgart 378 O 6 1 Risiko Gef hrdung und Gefahr ZSA Minimale Endogene Mortalit t MEM MEM ist das Ma f r das unvermeidliche und akzeptierte Risiko dass Personen durch den Einsatz einer Technologie zu Tode kommen Wird in der Norm EN 50126 konkret beschrieben und orientiert sich an der Mortalit t der Gruppe der 5 15j hrigen in einem entwickelten Industrieland R 2 10 Todesf lle Person x Jahr Es wird daraus die Regel abgeleitet dass Gefahren die sich durch ein neues technologisches System z B Verkehr ergeben zu keiner nennenswerte Erh hung der minimalen endogenen Mortalit t f hren In der Praxis akzeptierte Werte sind dabei e R lt 10 Todesf lle Person x Jahr e R lt 104 Schwerverletzte Person x Jahr e R lt 10 Leichtverletz
47. Abk rzungen Teil 5 Beispiele zur Ermittlung der Stufe der Sicherheitsintegrit t SIL Teil 6 Anwendunggsrichtlinie f r IEC 61508 2 und IEC 61508 3 Teil 7 berblick ber Verfahren und Ma nahmen 1 4 Normen ZSA Ausschnitt DIN EN 61508 1 3 Funktionale Sicherheit elektrischer elektronischer programmierbar elektronischer sicherheitsbezogener Systeme Teil 1 Allgemeine Anforderungen 1 Anwendungsbereich 1 1 Diese Internationale Norm behandelt diejenigen Gesichtspunkte die zu betrachten sind wenn elektrische elektronische programmierbar elektronische Systeme E E PES zur Ausf hrung von Sicherheitsfunktionen eingesetzt werden Ein Hauptziel dieser Norm ist es f r ein bestimmtes Anwendungsgebiet die Entwicklung einer entsprechenden Internationalen Norm durch das jeweils verantwortliche Komitee zu erm glichen Dies wird es erlauben alle wichtigen Einflussgr en dieses Anwendungsgebietes vollst ndig zu ber cksichtigen und damit dessen besonderen Erfordernissen nachzukommen Ein zweites Ziel dieser Norm ist es die Entwicklung eines elektrischen elektronischen programmierbar elektronischen E E PE sicherheitsbezogenen Systems f r dessen Anwendungsgebiet noch keine Internationale Norm besteht zu erm glichen 1 2 Insbesondere a gilt diese Norm f r sicherheitsbezogene Systeme wenn eines oder mehrere dieser Systeme elektri sche elektronische programmierbar elektronische Ger te enthalten ANMERKUNG 1 F r einfac
48. Annahme dass jede Funktion in einen Fehlerzustand geraten kann e Variable wird falsch zugewiesen e Eingabewert ist falsch e Ungewollter Aufruf eines Moduls Es m ssen daher alle m glichen Fehler Ursachen betrachtet werden e Algoritnmen Fehler Formeln Modelle e Bedatungs Fehler Festwerte von Konstanten Grenzwerte von Variablen e Programmierfehler Semantik e Methodenfehler Programmiersprache e Designfehler 2015 IAS Universit t Stuttgart 4 7 Software FMEA SFMEA ZSA Fehleranalyse 2 2 Um wirklich alle Fehler Ursachen betrachten zu k nnen m ssen s mtliche Pfade des Kontrollflussgraphen ber cksichtigt werden e Sehr zeitaufwendig und un bersichtlich e Gefahr Pfade zu bersehen unbewusst bewusst Automatisierte Unterst tzung notwendig zur e Generierung der gro en Menge an Daten e Verarbeitung der Datenmenge Notwendig da nur bei Ber cksichtigung aller Fehler Ursachen und Zust nde eine Ableitung von effektiven Gegenma nahmen m glich ist 2015 IAS Universit t Stuttgart 4 7 Software FMEA SFMEA ZSA Frage zu Kapitel 4 7 Welchen Aussagen stimmen Sie zu C Die berf hrung von menschlicher in maschinelle Sprache ist immer ein kritischer Vorgang C Beider SFMEA muss nicht jede Zeile Code analysiert werden bereits eine Betrachtung der einzelnen Module ist aussagekr ftig C SFMEA wird besonders bei sicherheitskritischen Systemen eingesetzt da der
49. Automatisierungssystemen 87 bungsaufgaben Aufgabe 1 Zuverl ssigkeitsblockdiagramm Aufgabe 2 Fehlerbaumanalyse FTA Aufgabe 3 Softwarezuverl ssigkeit 2015 IAS Universit t Stuttgart ZSA Aufgabe 2 Fehlerbaumanalyse FTA ZSA Aufgabe 2 Aufgabenstellung Ein System realisiert die Regelung des Kompressor Drucks f r eine verfahrenstechnische Anlage Um die geforderte Funktion zu erf llen ben tigt die Anlage einen Minimaldruck von 4 bar Die Anlage soll 12 Jahre im Betrieb sein Das Automatisierungssystem besteht aus einem Drucksensor einer Druckluftpumpe der Spannungsversorgung f r die Pumpe einem Regelsystem Mikrocontrollersteuerung und einer Spannungsversorgung f r die Mikrocontrollersteuerung Ein zu hoher Kompressor Druck soll in dieser Betrachtung nicht ber cksichtigt werden dieser soll ber ein berdruckventil verhindert werden F hren Sie f r dieses System eine quantitative Fehlerbaumanalyse durch 2015 IAS Universit t Stuttgart Aufgabe 2 Fehlerbaumanalyse FTA Aufgabe 2 Kenngr en Die Ausfallraten sind wie folgt gegeben Apumpe 4 Aspg Pumpe 2 Auc 8 Aspg uc 72 Asensor 3 F r die Betriebszeit gilt 2015 IAS Universit t Stuttgart ZSA 10 n 1 1077h7t 10 n 1 10 n 1 10 n Aufgabe 2 Fehlerbaumanalyse FTA ZSA L sung Schritt 1 Erstellen des Fehlerbaums 2015 IAS Universit t Stuttgart 434
50. Betrachtung erfolgt ber alle Systemhierarchien hinweg Am Prozess e Betrachtet werden Fehler im Produktionsprozess Fertigung Montage Logistik Transport e Strukturierte Beschreibung nach den 5 M s Mensch Maschine Material Methode Miliew Mitwelt Wird von der Planung und Produktion durchgef hrt 2015 IAS Universit t Stuttgart 4 2 Arten der FMEA ZSA bersicht der FMEA Arten Betrachtungs Eingangsgr e Durchf hrender gegenstand Bereich Abteilung System Systemebene bzw Pflichtenheft und Entwicklung FMEA bergeordnetes Produktkonzept Produkt Konstruktions Bauteile bzw Konstruktions Konstruktion FMEA Komponenten unterlagen und Ergebnis der System FMEA Produkt und Produkt und Fertigungs bzw Planung und Prozess FMEA Fertigungsschritte Montageabl ufe und Produktion Ergebnis der Konstruktions FMEA 2015 IAS Universit t Stuttgart 208 4 2 Arten der FMEA ZSA Frage zu Kapitel 4 2 Welchen Aussagen stimmen Sie zu L Eine System FMEA ist die Grundlage f r eine Konstruktions FMEA Die System FMEA sch tzt die Fertigungseignung eines Produkts ab C Die Produktion f hrt die Konstruktions FMEA durch Produkt FMEA befasst sich mit physikalischen Fehlern 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA 8 4 Fehlerm glichkeits und Einfluss Analyse FMEA 4 1 Grundlagen der FMEA 4 2 Arten d
51. Durchf hrung e Freiheitsgrade im Ablauf e Erfahrung der FMEA Teilnehmer 2015 IAS Universit t Stuttgart 4 1 Grundlagen der FMEA ZSA Ziele der FMEA Am System bzw Produkt e Steigerung der Zuverl ssigkeit e Einhaltung der Garantiezeiten e Funktionssicherheit In der Entwicklung und Produktion e Verbesserte Kommunikation zwischen den Beteiligten e Effektivere Prozesse e Reduzierung von Kosten e Reibungslose Serienanl ufe in der Fertigung 2015 IAS Universit t Stuttgart 4 1 Grundlagen der FMEA ZSA Vergleich FMEA vs qualitative FTA FMEA und qualitative FTA sind grundlegend unterschiedliche Methoden Methoden schlie en sich aber gegenseitig nicht aus sondern erg nzen sich Es gilt Induktive Methode Deduktive Methode Ursache Wirkung Ursache gt Wirkung Kombination von Fehlerursachen Systematische Suche nach Fehlerursachen und Fehlerfolgen ber ber Ereignis Verkn pfungen innerhalb von Systemebenen hinweg Systemebenen 2015 IAS Universit t Stuttgart 199 4 1 Grundlagen der FMEA ZSA Frage zu Kapitel 4 1 Welchen Aussagen stimmen Sie zu L Der Durchf hrungszeitpunkt einer FMEA beeinflusst das Ergebnis C Ein Ziel der FMEA ist die fehlerfreie Gestaltung von Prozessen L Die FMEA ist eine induktive Zuverl ssigkeitsmethode FMEA entspricht prinzipiell der qualitativen FTA 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherhei
52. EA ZSA Einf hrung in die FMEA Fehlerm glichkeits und Einflussanalyse kurz FMEA Failure Mode and Effects Analysis ist die bekannteste Methode der Zuverl ssigkeitsanalyse Qualitatives induktives Verfahren zur Analyse von Ausf llen Es erfolgt die Ausfall und Fehler Betrachtung nach e Folge e Art e Ursache FMEA ist eine vorbeugende Ma nahme e zur Fehlerpr vention e zur Fehlerdetektion 2015 IAS Universit t Stuttgart 4 1 Grundlagen der FMEA ZSA Historie 1940er 1960er 1949 Beschreibung als milit rische Anweisung MIL P 1629 Procedures for Performing a Failure Mode Effects and Criticality Analysis 1960er e Planung von Kernkraftwerken e Einsatz in der Luft und Raumfahrt z B Apollo Mission der NASA Quelle en wikipedia org 2014 2015 IAS Universit t Stuttgart 4 1 Grundlagen der FMEA ZSA Historie 1970er heute 1970er 1980er e Einsatz in der Automobilindustrie Ford in USA e Normung nach DIN 25448 1980 1990er heute Einsatz in der Elektronik und Softwareentwicklung e Stetige Weiterentwicklungen System FMEA Software FMEA e Normung nach DIN EN 60812 2006 2015 IAS Universit t Stuttgart 4 1 Grundlagen der FMEA ZSA Fehlerpr vention Erkennen und Verhindern von Fehlern in fr hen Stadien eines Produktzyklus Fehlerverh tung ee Sn Fehlerentdeckung Aktionschance Reaktionszwang Entwickeln Beschaf
53. FMEA Software Nutzen der EDV Unterst tzung e Einfache Erstellung Pflege und Dokumentation e Unterst tzung des FMEA Teams besonders Moderator vgl Kap 4 4 e berwachung der Terminplanung und Verantwortlichkeiten e Gute Darstellung der Schritte bzw Ergebnisse w hrend der Durchf hrung Zus tzlicher Aufwand e Auswahl einer geeigneten Software gem den Anforderungen des Unternehmens bzw des FMEA Teams e Erlernen und Beherrschen des FMEA Programms 2015 IAS Universit t Stuttgart 4 3 Einsatz von Werkzeugen ZSA Software Beispiel IQ FMEA APIS Informationstechnologien GmbH Quelle www apis de 2014 IQ FMEA von APIS Informationstechnologien 5 IQ RM PRO APIS IT GmbH 10000 50 Personal Desktop E IQ RM PRO APIS IT GmbH 10000 50 Personal Desktop Datei Bearbeiten Ansicht Verwaltung Editoren CARM Server Konsolidierung Extras Fenster Hilfe Datei Bearbeiten Ansicht Werwaltung Editoren CARM Server Konsolidierung Extras Fenster Hilfe DEsuB eB83 gt A FAI Tlel y X Bel DER Ba gt aa T ly u lo Formblatt Editor YDA 96 Kabel Signalkabel komplett RG 2042 konstruktive Betrachtung Konstruktion Fehlerfolge Fehlerart Fehlerursache K Vermeidungsma A Entdeckungsma nahme nahme 4 h lt den Abschirmung lef RD S Systement 13 03 2006 x E Sensor S W Erzeugt ein zur Drehzahl proportionales Signal F erzeugt kein S
54. IAS Universit t Stuttgart 5 4 Komponentenansatz ZSA bertragung des Komponentenansatz auf Software Vorgefertigte HW Komponenten Vorgefertigte SW Komponenten Analogie J 2015 IAS Einsatz von Komponenten in beiden Systemen Erfassung und Auswertung empirischer Daten Ergebnis Abh ngigkeit Einflussgr en gt Zuverl ssigkeit Generische Zuverl ssigkeitsaussagen Zuverl ssigkeit des Gesamtsystems Hardware und Software Universit t Stuttgart 344 O 5 4 Komponentenansatz ZSA Erfassung und Auswertung empirischer Daten Ziel ist es Erkenntnisse aus empirischen Daten fr herer Test oder Betriebszeiten auf das aktuell zu untersuchende System bertragen zu k nnen Es ist aber nicht m glich Daten direkt zu bertragen Daher keine Entwicklung eines allgemein g ltigen Modells sondern eines Werkzeugs zur Bewertung von e Produkteigenschaften unter bestimmten Randbedingungen e Parameter des Entwicklungsprozess u Er Rechner Unterst tzung nn 2015 IAS Universit t Stuttgart 5 4 Komponentenansatz ZSA Struktur einer Softwarekomponente SW Komponente ist eine unver nderliche geschlossene Einheit die an die jeweilige Umgebung angepasst werden muss Prinzip En Anpassung an Umgebung W Innere Abl ufe Komponenten sind ber Schnittstellen miteinander verbunden Aktivierung einer Komponente ber eine andere Komponente den Benutzer oder
55. Komposition der Komponenten zum Gesamtsystem 5 Analyse des Gesamtsystems zur Ermittlung von Gefahren 2015 IAS Universit t Stuttgart 5 5 Situationsbasierte qualitative Modellbildung und Analyse SQMA ZSA Modellierung einzelner Komponenten Intervall Variablen Komponente wird aus ihrer Umgebung herausgel st Es entstehen Schnittstellen zur Umgebung an denen Gr en bzw Nachrichten auftreten Nachricht 1 Nachricht 2 gt gt Nachricht 3 Nachricht 4 Nachrichten werden ber qualitative Variablen beschrieben Variablen umfassen einen bestimmten Werteraum der in unterschiedliche f r die Komponente typische Intervalle unterteilt wird Beispielsweise gilt f r Nachrichten ein Intervall X X wobei e 0 0 den Fall beschreibt dass eine Nachricht noch nicht eingetroffen ist e 1 1 den Fall beschreibt dass eine Nachricht bereits eingetroffen ist 2015 IAS Universit t Stuttgart 5 5 Situationsbasierte qualitative Modellbildung und Analyse SQMA ZSA Modellierung einzelner Komponenten Zustandsgraph Verhalten der Komponente wird in einem Zustandsgraph beschrieben e Tritt Nachricht 1 auf so erfolgt direkt der bergang in Zustand B und senden der Nachricht 2 e Tritt Nachricht 4 auf so erfolgt direkt der bergang in Zustand A und Senden der Nachricht 3 Nachricht 2 Nachricht 1 e _ C Nachricht 4 gt Ey Nachricht 3 2015 IAS Universit t Stuttgart
56. PZ 4 6 FMEA Formblatt 4 7 Software FMEA SFMEA 2015 IAS Universit t Stuttgart 4 6 FMEA Formblatt ZSA Grundlegendes Schema eines FMEA Formblatts Durchf hrung und Ergebnis einer FMEA werden in einem Formblatt dargestellt Formbl ttere k nnen einen unterschiedlichen Aufbau oder verschiedene Bezeichnungen haben jedoch ist die Struktur immer ber folgenden 4 Bereiche gegeben Stammdaten Betrachtungs Risiko Analyse Ma nahmen der gegenstand und Bewertung Risikominderung 2015 IAS Universit t Stuttgart 255 4 6 FMEA Formblatt ZSA Stammdaten Im Kopf des FMEA Formblatts oder auf dem Deckblatt Beinhaltet z B e Daten des Unternehmens e Bearbeiter bzw FMEA Team e Kenndaten des Projekts e Kenndaten des Systemelements System Nr Es muss klar ersichtlich sein e Um welches Projekt es sich handelt e Welches Systemelement betrachtet wird e Welche Fehler Folge untersucht wird 2015 IAS Universit t Stuttgart 4 6 FMEA Formblatt ZSA Betrachtungsgegenstand Enth lt e Zu untersuchendes Systemelement Baugruppe Bauteil Prozessschritt e Zugeh rige Funktionalit t e Fehlerbeschreibung Fehler Art Fehler Ursache Daten werden entsprechend den Erfordernissen Top Teil oder Sub System eingetragen 2015 IAS Universit t Stuttgart 4 6 FMEA Formblatt ZSA Risiko Analyse und Bewertung Enth lt die be
57. Qualitative FTA 3 3 Quantitative FTA 3 4 FTA in der Softwareentwicklung 2015 IAS Universit t Stuttgart ZSA 3 1 Grundlagen der FTA ZSA Einf hrung in die FTA Fehlerbaumanalyse FTA ist eine Methode die einen graphischen Zusammenhang zwischen einem Top Ereignis Systemausfall Gef hrdung und den Ursachen die zu diesem Top Ereignis f hren darstellt Deduktives Verfahren d h ausgehend von dem unerw nschten Top Ereignis werden die m glichen Ursachen gesucht Ursachen k nnen dabei entweder alleine oder in Kombination mit anderen Ursachen auftreten und zu einem definierten Fehler f hren 2015 IAS Universit t Stuttgart 3 1 Grundlagen der FTA ZSA Historie 1960er 1980er 1960er e Entwicklung FTA von H A Watson bei Bell Laboratories in New Jersey USA e Einsatz in der Luft und Raumfahrt u a f r Flugzeuge von Boeing 1970er und 1980er e Planung von Kernkraftwerken f hrte zur internationalen Verbreitung e Entstehung Auswerte Algorithmen und unterst tzender Software 2015 IAS Universit t Stuttgart 135 3 1 Grundlagen der FTA ZSA Historie 1990er heute 1990er e Einsatz in der a au nn Rr Dealsizialaim az Automobilindustrie is z z e Software Tools zur a Konstruktion und Auswertung der FTA Heute e
58. Risikominderung nicht notwendig 2015 IAS Universit t Stuttgart 381 O 6 1 Risiko Gef hrdung und Gefahr ZSA GAMAB Globalement Au Moins Aussi Bon Prinzip das ein neues System mindestens so sicher bzw risikoarm sein muss wie ein bereits existierendes vergleichbares System Mindestanforderung an ein neues System ist der derzeitige Sicherheitsstandard Technischer Fortschritt baut auf den Mindestanforderungen auf Vorgehen e Ableitung statistischer Daten aus bisher eingesetzten Systemen e Charakterisierung des neuen Systems durch eine Reihe von Parametern e Untersuchung der System Parameter mit Hilfe der statistischen Daten der bisher eingesetzten Systeme e Giesch tzten Daten des neuen Systems entsprechen oder bertreffen Daten der bisherigen Systeme 2015 IAS Universit t Stuttgart 382 O 6 1 Risiko Gef hrdung und Gefahr ZSA Frage zu Kapitel 6 1 Welchen Aussagen stimmen Sie zu Ist ein Risiko tolerabel so kann es bei geeigneter berwachung und mit Zustimmung einer Aufsichtsbeh rde akzeptiert werden C Das individuelle Risiko ist das Risiko das man selbst bereit ist zu akzeptieren Nach dem GAMAB Prinzip muss ein System so risikoarm sein dass es gerade noch praktikabel ist Ein System orientiert sich bei der Risikobewertung nach dem ALARP Prinzip an vergleichbaren Systemen 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA
59. agen der Wahrscheinlichkeitsrechnung ZSA Ausfallraten von Komponenten 1 2 Unternehmen und Forschungsinstitute ver ffentlichen Datenbanken oder Online Handb cher zur Bestimmung der Ausfallraten von Komponenten e Siemens SN29500 e Union Technique de l Electricite RDF 2000 e Reliability Information Center EPRD 97 Part i gt Da ail Ho Beispiel EPRD 97 JE en een Capacitor Fixed Electrolytic Summary 0 1745 ii da Commercin I GBC 0 0070 Military 0 3410 AIA lt 0 1669 AIC 0 1847 AU 0 2149 AUA 2 3770 AUF 5 391 G 0 7143 GF 0 0957 Capacitor Fixed Electrolytic 1 1228 Pa y Military 1 1228 AIA 23035 000 lt 0 1728 0 5 1865 AIC 17189 000 0 3166 0 1584 AU 000 0 2200 85 3 AUA 23035 000 2 4194 28 11 5731 AUF 23035 000 5 4930 36 6 5598 GF 14851 000 0 5899 17 28 8183 Capacitor Fixed Eleetrolytie Al 0 0455 Commercial GBC 13567 021 0 0099 236 23852 2128 Military 0 0859 AU 13655 000 lt 0 1091 0 9 1624 AUA 23035 000 lt 48388 0 0 2067 AUF 23035 000 8 544 0 0 1170 GF 0 0976 14851 000 0 2082 10 48 0305 23039 000 0 0458 1 21 8542 Capacitor Fixed Eleetrolytie Ta 0 0094 Commercial GBC 13567 021 0 0049 224 45341 4884 Military GF 14851 000 0 0189 3 166 5056 Capacitor Fixed Electrolytic Ta Foil 0 7143 Military G 23040 000 0 7143 5 7 0000 Capacitor Fixed Electrolytic Ta Solid 0 0655 Military 0 0655 ALA 23035 000 4 8356 0 2 2067 AIC 17189 000 0 4433 1 1 000 0 Quelle www theriac org
60. ahrscheinlichkeitsrechnung beschrieben 1920 1925 Studium am chemisch technischen Institut der staatlichen Lomonossow Universit t Moskau 1929 Promotion 1931 Professur auf dem Gebiet der Wahrscheinlichkeit 1933 Direktor des mathematischen Instituts Exponentialverteilung beschreibt eine stetige Wahrscheinlichkeitsverteilung ber die Menge der positiven reellen Zahlen Lebensdauer von elektrischen Bauteilen und Systemen mit sehr geringer Alterung bzw Verschlei 2015 IAS Universit t Stuttgart 2 2 Lebensdauerverteilungen ZSA Exponentialverteilung Gleichungen Annahme einer konstanten Ausfallrate d h die Restlebensdauer h ngt nicht von der bisherigen Lebensdauer ab Es gilt f r t 2 O e Ausfallrate A t o const e Ausfalldichte f t Ay re Hot e Ausfallwahrscheinlichkeit F t 1 et e Zuverl ssigkeit R t e tt 2015 IAS Universit t Stuttgart 2 2 Lebensdauerverteilungen Exponentialverteilung Simulation Ausfalldichte Dichteverteilung Zeit Jahre Zuverl ssigkeit und Ausfallwahrscheinlichkeit 1 03H osp 0 7 06 05 0 4 Zuverl ssigkeit 0 3 0 2 0 1 Zeit Jahre 2015 IAS Universit t Stuttgart 1 0 9 0 8 0 7 0 6 0 5 0 4 0 3 Ausfallwahrscheinlichkeit Zeit Jahre ZSA 2 2 Lebensdauerverteilungen ZSA Exponentialverteilung Rechenbeispiel D
61. analyse aber e FTA Ermittlung aller Ursachen die zu einer bestimmten Gef hrdung f hren k nnen deduktiv e ETA Ermittlung aller Gef hrdungen die auf einen bestimmten Fehler bzw St rfall folgen k nnen induktiv 2015 IAS Universit t Stuttgart 4 3 Einsatz von Werkzeugen ZSA ETA Einsatz und Bewertung 2015 IAS Universit t Stuttgart Sinnvoller Einsatz fr hestens dann wenn alle Systemanforderungen bekannt sodass alle Verzweigungen ber cksichtigt werden k nnen Praxis h ufig in Kombination mit FTA im Rahmen der probabilistischen Sicherheitsanalyse PSA vgl Kap 6 Vorteil e Erm glicht vollst ndige Sicherheitsbetrachtung nach einem einfachem Schema Ja oder Nein e Zuordnung von Wahrscheinlichkeiten zur quantitativen Auswertung m glich Nachteil e Un bersichtliche B ume bei komplexen Problemstellungen e Erstellung und Auswertung daher oft nur ber Computerprogramme m glich 4 3 Einsatz von Werkzeugen ZSA Beispiel einer ETA zu HC liefert keine Daten 2015 IAS Universit t Stuttgart 21 4 3 Einsatz von Werkzeugen ZSA Matrix Diagramme Korrelation und Kausalit t Graphische Darstellung von Korrelationen zwischen Betrachtungs Gegenst nden und oder ihren spezifischen Eigenschaften SOUNDS LIKE THE H ufiger Irrtum CLASS HELPED l WELL MAYBE e Korrelation ist eine Wechselbeziehung d h dass sich beispielsweise Merkmale Funktionen oder Ereignisse
62. arer und verfolgbarer Entwicklungs und Fehlerkorrekturverlauf Nachteile e In fr hen Phasen liegen nicht ausreichend empirische Daten vor e Es werden oftmals Annahmen getroffen die in der Praxis nicht zutreffen besonders in fr hen Phasen e Einfache bzw direkte bertragung der Ergebnisse von fr heren System ist nicht m glich da individuell entwickelte Software direkt vergleichbar ist 2015 IAS Universit t Stuttgart 321 5 3 Modelle der Softwarezuverl ssigkeit ZSA Klassifizierung nach der Zeitabh ngigkeit Bei zeitabh ngigen Modellen haben die Daten und Testergebnisse einen zeitlichen Bezug Prozesse der Fehlererkennung und Korrektur zur Bestimmung der e Anzahl der Fehler in einem Programm e Fehlerrate d h der Anzahl der in einer Zeiteinheit aufgetretenen Fehler in Abh ngigkeit von der Gesamtfehlerzahl e Mittleren Zeit zwischen zwei erkannten Fehlern wobei die Zeit nach jeder Korrektur gr er wird Beispiele e Shooman Modell e Jelinski Moranda Modell e Schick Wolverton Modell 2015 IAS Universit t Stuttgart 5 3 Modelle der Softwarezuverl ssigkeit ZSA Shooman Modell Prinzip Zeitabh ngiges Modell zur Sch tzung der e Anzahl von Fehlern die sich zu Beginn im Programm befinden e Anzahl der Restfehler die sich weiterhin im Programm befinden e Fehlerrate und Zuverl ssigkeit der Software Programmcode wird ber einen bestimmten Zeitraum Intervall in Betrieb genommen und getes
63. atisierungssystemen ZSA Ziele der Vorlesung Grundlagen der Zuverl ssigkeit und Sicherheit verstehen e Kennenlernen der wichtigen Begriffe Kenngr en und Normen e Verstehen der Notwendigkeit von Zuverl ssigkeits und Sicherheitstechnik Zuverl ssigkeitsma nahmen kennen und anwenden k nnen e Methoden der Zuverl ssigkeitsberechnung e Modelle der Zuverl ssigkeitsanalyse Sicherheitskriterien ber cksichtigen und handhaben e Strategien zum Entwurf sicherer Systeme e Bewertung von Risiko und Gef hrdungssituationen 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA Bezug zu anderen Vorlesungen der Fakult t Vertiefung einzelner Themen in Komplexit tstheorie Grundlagen der Software zuverl ssigkeit Hardware Based Fault Tolerance Grundkenntnisse aus Networks and Processes Automatisierungstechnik H here Mathematik a Automatisierungstechnik Il Engineering 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA Gliederung 8 1 Einf hrung Begriffe und Normen 82 Wahrscheinlichkeit und Zuverl ssigkeit 8 3 Fehlerbaumanalyse FTA 4 Fehlerm glichkeits und Einfluss Analyse FMEA 8 5 Softwarezuverl ssigkeit 86 Zuverl ssigkeits und Sicherheitstechnik 8 7 bungsaufgaben 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sich
64. bh ngigen Modellen liegt kein zeitlicher Bezug der Daten und Testergebnisse vor Kennzeichnend f r zeitunabh ngige Tests ist e Gro e Zahl an Testdurchf hrungen e Alle Tests sind voneinander unabh ngig e Dauer der Testdurchf hrung hat keine Bedeutung F r die Testergebnisse gilt e Jeder Test ist eindeutig in Ordnung nicht in Ordnung e Ein erkannter Fehler wird nur einmal gez hlt Beispiele e Mill Modell e Lipow Modell 2015 IAS Universit t Stuttgart 5 3 Modelle der Softwarezuverl ssigkeit ZSA Mill Modell Fehlersaat Verfahren Zeitunabh ngiges Modell zur Absch tzung der Fehlerzahl Vorgehen e K nstliche Fehler werden in ein Programm einbaut e Durchf hrung von Programmtests mit den eingebauten Fehlern e Aus Testergebnisse erfolgt Ableitung der Zahl erkannter echter Fehler e R ckf hrung auf die Zahl zu Beginn im Programm enthaltener Fehler Annahmen e Gleiche Erkennungswahrscheinlichkeit f r jeden Fehler e Anzahl der eingebauten Fehler Sch tzung aus Erfahrungswerten ist deutlich gr er als Anzahl der echten Fehler 2015 IAS Universit t Stuttgart 5 3 Modelle der Softwarezuverl ssigkeit ZSA Mill Modell Rechenvorschrift Es gilt X 2 Gesamtzahl der echten Fehler Y amp Gesamtzahl der eingebauten Fehler U 2 Zahl der erkannten echten Fehler V Zahl der erkannten eingebauten Fehler Mit dem Zusammenhang Y V 2015 IAS Universit
65. bsprofil Umgebung 2015 IAS Universit t Stuttgart 5 1 Grundlagen der Softwarezuverl ssigkeit ZSA Aspekte von Software 2 2 Testverfahren zeigen die Anwesenheit von Fehlern Keine genauen auf empirischen Untersuchungen beruhenden Daten und Aussagen ber die Ausfallrate A von Software m glich Entwicklung zuverl ssiger Software ist ein Drahtseilakt Anforderungen SW Programm 2015 IAS Universit t Stuttgart 5 1 Grundlagen der Softwarezuverl ssigkeit ZSA Hardware Einheiten und Software Einheiten Basis der Software Zuverl ssigkeitsarbeit ist das Verst ndnis der Unterschiede zwischen Hardware und Software Einheiten Durchlaufen immer mehrere Fertigungsphasen Fehlerfrei bei Inbetriebnahme Ausfall zu einem nicht vorhersagbaren Zeitpunkt Ausfall f hrt zum sofortigen Versagen 2015 IAS Universit t Stuttgart Werden nach einmaliger Implementierung einfach kopiert Enth lt Fehler bei Inbetriebnahme Ausfall unter nicht vorhersagbaren Mechanismen Ausfall in Abh ngigkeit bestimmter Konstellationen 5 1 Grundlagen der Softwarezuverl ssigkeit ZSA Fehlerursache von Hardware und Software Einordnung und Abgrenzung von Hardware und Software Fehlern S Bauelemente Ausfall Haranareioner St rsignal 777n S Softwarefehler Ausgabefehler KETA oder A 2015 IAS Universit t Stuttgart 5 1 Grundlagen der Softwarezuverl ssigk
66. chnisches Review zur Bewertung des Produkts durch Gutachter Walk Through zur komprimierten Vorstellung des Produkts durch einen Autor Inspektion zur Betrachtung von Fehlern durch Gutachter Audit zum Nachweis von Konformit t durch unabh ngige Dritte Leser und Protokollant 2015 IAS Universit t Stuttgart 5 2 Ma nahmen gegen Softwarefehler ZSA Formale Spezifikation von Anforderungen Formale Spezifikation ist die Beschreibung von Software bzw eines Programms mittels einer formalen Sprache Formale Sprache entspricht einer eindeutig definierten Notation ber Zeichen W rter Symbole oder Phrasen Ziel ist die pr zise Beschreibung der zu l senden Aufgabe bzw des zu analysierenden Systems Es erfolgt der Einsatz von Werkzeugen zur berpr fung der Regeleinhaltung der formalen Sprache Erm glicht die Pr fung des Softwaresystems gegen die Anforderungen d h gegen die Systembeschreibung im Lastenheft 2015 IAS Universit t Stuttgart 5 2 Ma nahmen gegen Softwarefehler ZSA Ablauf formale Anforderungsspezifikation Verbal beschriebene Anforderungen Anforderungen Nicht sicherheitskritisch gegenseitige Verifikation e S SEANN Verifikation ber Standards e Compiler keine Verifikation a e Betriebssystem Sotwaresysom ES 2015 IAS Universit t Stuttgart 29 Sicherheits sicherheitskritisch Anforderungen z B CTL Petri Netze 5 2 Ma nahmen gegen Softwarefe
67. chselwirkungen zwischen den Komponenten beschrieben werden k nnen Durch die Modellierung zugeh riger Messwerte und Stellgr en erfolgt die Einbindung des technischen Prozess in das Ablaufdiagramm 2015 IAS Universit t Stuttgart 5 5 Situationsbasierte qualitative Modellbildung und Analyse SQMA ZSA Von den Komponenten zum System 2 2 Die Situationstabellen die f r die einzelnen Komponenten aufgestellt wurden lassen sich nun reduzieren und der Situationsraum des Systems ableiten Der reduzierte Situationsraum enth lt nun die Menge an tats chlich m glichen Systemsituationen Beispielhaft zur Reduzierung auf den Situationsraum a 0 0 0 0 0 0 0 0 Nicht m glich da Nachricht 3 nur Ea p 0 0 0 0 0 0 B gesendet wird wenn EA 1 1 1 1 0 0 0 0 B Nachricht 4 angekommen ist J J J J E23 1 1 1 1 1 1 1 1 A USW 2015 IAS Universit t Stuttgart 5 5 Situationsbasierte qualitative Modellbildung und Analyse SQMA ZSA Analyse und Auswertung Systemsituationen werden als Szenarien interpretiert die einzelne Systemzust nde beschreiben Systemzust nde und bergang in die Zust nde k nnen dabei m glichen Gefahrensituationen zugeordnet werden Bei komplexen Systemen erfolgt ein rechnerbasiertes Aufsp ren von gef hrlichen Systemzust nden bzw Vorg ngen Einheitliche Betrachtung des Systems durch Analyse des Zusammenwirkens von Software dem technischen P
68. d die Auswirkungen Probabilistische Eingangsgr en der Methode werden aus Betriebserfahrung z B einer Anlage oder von vergleichbaren Systemen gewonnen Beispiele f r Eingangsgr en sind e H ufigkeit der st rfallausl senden Ereignisse e Ausfallraten der Komponenten e Verf gbarkeit bzw Nichtverf gbarkeit der Teilsysteme e Fehlerraten Personenhandlungen Redundanzen 2015 IAS Universit t Stuttgart 6 3 Sicherheits und Risikoanalysen ZSA Ablauf von PSA PRA 1 2 Tiefe des Informationsgehalts der PSA PRA ist abh ngig vom jeweiligen Anwendungsgebiet und der beteiligten Personen Idealerweise besteht ein PSA PRA Team aus Spezialisten Systemanalytiker e Ingenieure e Informatiker N e Naturwissenschaftler Verhaltensanalyst I Datenanalyst Betriebspersonal Nutzer 2015 IAS Universit t Stuttgart 6 3 Sicherheits und Risikoanalysen ZSA Ablauf von PSA PRA 2 2 2015 IAS Universit t Stuttgart 6 3 Sicherheits und Risikoanalysen ZSA Herausforderung menschliche Handlungen Grundlegende Problematik quantitativer Methoden ist der Umgang bzw die Bewertung menschlicher Handlungsweisen Menschliche Handlungen finden vor w hrend und nach einem Ereignis statt e Als ausl sendes Ereignis bzw Ursache e Beinflussend mit Folge einer Eind mmung oder Verschlimmerung e Als Reaktion auf ein Ereignis Handlungen m ssen ebenso ber Wahrscheinlichkeiten abgesch tzt werden Basi
69. d internationaler Ebene e Erarbeitung einheitlicher Richtlinien nicht produktspezifisch e Qualit tsmerkmale als Grunds tze bzw Ziele der Entwicklung e Einbeziehung von Kunden und Lieferanten 2015 IAS Universit t Stuttgart 1 1 Einf hrung in die Zuverl ssigkeits und Sicherheitstechnik ZSA Bedeutung im Entwicklungsprozess Kundenzufriedenheit ist elementarer Aspekt Komplexer werdende Systeme sind teurer als ihre Vorg nger Erwartungen der Kunden an Zuverl ssigkeit und Sicherheit der Systeme steigen mit dem Preis Aspekte der Zuverl ssigkeit und Sicherheit m ssen im Entwicklungsprozess bereits in fr hen Phasen ber cksichtigt und besonders beachtet werden 2015 IAS Universit t Stuttgart 1 1 Einf hrung in die Zuverl ssigkeits und Sicherheitstechnik ZSA Zuverl ssigkeitsmanagement Organisation der Zuverl ssigkeitsarbeit im Unternehmen nach VDI 4003 Gesamtheit von Planung Durchf hrung und Kontrolle der Zuverl ssigkeit Dazu geh ren die Ziele e Nachweis einer definierten Ausfallwahrscheinlichkeit eines Produkts bzw Systems e Optimierung der Verf gbarkeit ber den geplanten Lebenszyklus e Verbesserungen durch Vergleiche mit alternativen Systementw rfen e Identifikation kritischer Komponenten oder Teilsysteme e Gewinnung von Planungswerten e Definition allgemeing ltiger Zuverl ssigkeitsziele e Aufbau einer Wissensbasis 2015 IAS Universit t Stuttgart
70. des Pr fen ist schwierig da bereits einfache Programme eine gro e Anzahl zu beachtender Zust nde aufweisen Daher sorgf ltige Planung und Definition von e Aufgaben e Zielen e Strategien bei der Ausf hrung 2015 IAS Universit t Stuttgart 5 1 Grundlagen der Softwarezuverl ssigkeit ZSA Pr fgrunds tze Pr fung kann nur gegen Vorgaben erfolgen Anforderungen Vergleiche Pr fung muss schon w hrend des Entwurfs geplant werden Verwendung geeigneter Hilfsmittel Debugger Testgeneratoren Pr fverfahren m ssen reproduzierbare Ergebnisse liefern Ergebnisse m ssen dokumentiert werden wobei jeder Fehler ausreichend protokolliert wird e Angabe der Pr fdauer bis zur Entdeckung e Ursache Art und Folge des Fehlers e Aufwand der Fehlerbeseitigung Bei komplexen Softwaresysteme kann die Pr fung mit zugeh riger Fehlerkorrektur ber 50 des Entwicklungsaufwand beanspruchen 2015 IAS Universit t Stuttgart 5 1 Grundlagen der Softwarezuverl ssigkeit ZSA Konsequenzen der Ma nahmen f r den Entwicklungsprozess Bei der Entwicklung von Software m ssen Fehlfunktionen nicht nur erkannt und korrigiert werden sondern die Software selbst muss robust gegen das Auftreten von Fehlfunktionen sein Alle Entscheidungen und nderungen am Entwurf m ssen ausf hrlich dokumentiert werden Es m ssen feste Verantwortlichkeiten vergeben werden Pr fung von Software ist die einzige praktische M glichkeit um Fehler
71. des Risikos erfolgt vor und nach der Ausf hrung einer Ma nahme zur Erh hung der Sicherheit Es gilt das folgende Schema unerw nscht intolerabel intolerabel intolerabel tolerabel unerw nscht intolerabel intolerabel tolerabel unerw nscht unerw nscht intolerabel vernachl ssigbar tolerabel unerw nscht unerw nscht vernachl ssig bar vernachl ssigbar vernachl ssigbar vernachl ssigbar vernachl ssigbar vernachl ssigbar tolerabel tolerabel 2015 IAS Universit t Stuttgart 6 1 Risiko Gef hrdung und Gefahr ZSA Bewertung der Risikostufen Beurteilung ob ein Risiko unter bestimmten Rahmenbedingungen akzeptabel oder nicht akzeptabel ist und ob m gliche Restrisiken vertretbar sind intolerabel Ein Risiko muss unbedingt ausgeschlossen werden unerw nscht Ein Risiko darf nur akzeptiert werden wenn eine Risikominderung praktisch nicht durchf hrbar ist und eine Zustimmung der f r die Sicherheit zust ndigen Aufsichtsbeh rde vorliegt tolerabel Bei geeigneter berwachung und mit Zustimmung einer Aufsichtsbeh rde kann das Risiko akzeptiert werden vernachl ssigbar Ohne weiter Zustimmung einer Aufsichtsbeh rde darf das Risiko akzeptiert werden 2015 IAS Universit t Stuttgart 6 1 Risiko Gef hrdung und Gefahr ZSA Grenzrisiko und Risikoakzeptanz Grenzrisiko ist das gr te noch vertretbare bzw noch akzeptable Risiko Grenze f r das noch akzeptable Risiko wird durch gesetzliche gesell
72. des Teams Experten Nutzer und Protokollant e Auswahl der Leitw rter e Planung der Teamarbeit e Moderation der Diskussionsrunden 2015 IAS Universit t Stuttgart 6 3 Sicherheits und Risikoanalysen ZSA Teamarbeit und Schlussfolgerung Moderator leitet die Diskussion Es wird dabei eine Tabelle angelegt die Abweichungen vom Sollverhalten enth lt C Einheit Mikrocontroller Spannungs NO Verschlei Ausfall Redundanz Versorgung Teammitglieder schlagen im Anschluss an die Diskussion m gliche Ma nahmen vor wie kritische Fehlerf lle vermieden werden k nnen Bis zur n chsten Diskussionsrunde werden die Ma nahmen umgesetzt Es erfolgt eine erneute Diskussion und somit die Probe ob die kritischen Fehlerf lle neutralisiert wurden Gesamter Vorgang wird dokumentiert 2015 IAS Universit t Stuttgart 6 3 Sicherheits und Risikoanalysen ZSA Frage zu Kapitel 6 3 Welchen Aussagen stimmen Sie zu Ziel von Risikoanalysen ist die Ableitung pr ventiver Ma nahmen L PSA PRA und PAAG sind beides qualitative Modelle der Risikoanalyse L Erster Schritt einer PSA PRA ist die Erstellung eines Modells L Bei PAAG erfolgt eine Bewertung von Risikosituationen ber Parameter 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA 86 Zuverl ssigkeits und Sicherheitstechnik 6 1 Risiko Gef hrdung und Gefahr 6 2 Strategien d
73. e Zulassungsbeh rde Nachweisverfahren Sicherheitsnachweis ber Gefahrenanalyse Ziel ist das Verhindern einer Gefahr Sicher sein bedeutet frei sein von Gef hrdungen 2015 IAS Universit t Stuttgart 1 2 Definition von Zuverl ssigkeit und Sicherheit ZSA Sicherheit Safety Verhindern von Gefahren die vom System auf die Umwelt oder den Mensch ausgehen Gefahr wirkt von Innen nach Au en Ziel Erf llung von rechtlichen Sicherheitsstandards Sicherheitsmanagement w hrend der Entwicklung nach ISO 26262 e Sicherheitsplan safety plan Planung von Entwicklungsaktivit ten und Analysemethoden Ableitung von Verifikationsma nahmen e Sicherheitsnachweis safety case Ergebnisse der Aktivit ten und Ma nahmen Nachweis dass die sicherheitskritischen Anforderungen vollst ndig erf llt werden 2015 IAS Universit t Stuttgart 1 2 Definition von Zuverl ssigkeit und Sicherheit ZSA Sicherheit Security Verhindern von Gefahren die vom Menschen oder der Umwelt auf das System einwirken Gefahr wirkt von Au en nach Innen Beinhaltet Au enzugriffe Hackerangriffe Viren die das System so beeinflussen k nnen dass es gef hrlich werden kann Ziel Schutz vor Bedrohungen und Vermeidung wirtschaftlicher Sch den Informationstechnik beinhaltet die Schutzziele e Vertraulichkeit confidentiality Zugriff nur f r autorisierte Benutzer e Integrit t integrity Verhinder
74. egriff Bedeutung der Fehler Folge B Bedeutung der Fehler Folge B bewertet die Folgen einer Fehler Ursache auf das System Unter Folgen sind konkrete Risiken und Gef hrdungen zu verstehen Bewertung erfolgt stets aus der Sicht des Nutzers bzw Endverbrauchers Wert 10 steht f r eine sehr hohe 1 f r eine sehr geringe Gef hrdung Gleiche Fehler Folgen m ssen stets mit der gleichen Schwere bzw dem gleichen Zahlenwert bewertet werden 2015 IAS Universit t Stuttgart 4 5 Risikopriorit tszahl RPZ ZSA Berechnung der Bedeutung der Fehler Folge ka Verletzungsgrad Leichte Verletzungen Erste Hilfe Versorgung 2 Mittelschwere Verletzungen ambulante Behandlung notwendig 3 Sehr schwere Verletzungen station re Behandlung notwendig Ld Schadensdauer LU 1 Keine Langzeitsch den oder Verletzungsfolgen 2 Noch tragbare Langzeitsch den 3 Schwere Langzeitsch den Berufsunf higkeit Invalidit t 15 _ Rettungschancen und Schadensbegrenzung 0 Gute Rettungschancen erfolgversprechende Schadensbegrenzung 1 Schlechte Voraussetzungen f r Rettung und Schadensbegrenzung 2015 IAS Universit t Stuttgart 4 5 Risikopriorit tszahl RPZ ZSA Bewertungskriterien der Bedeutung der Fehler Folge Allgemeine Bewertungskriterien Bewertungs punkte Es tritt ein u erst schwerwiegender Fehler auf der dar ber hinaus die Sicherheit 10 und oder die Einhaltung gesetzlicher Vorschriften beeintr chtigt 9 Es tritt ein
75. eilen sind gewisser Stochastik und Streuung unterworfen Einflussnahme auf die Ursachen der Streuung sind begrenzt Ein Ausfall l sst sich daher nicht ber rein deterministische Verfahren bestimmen Kenntnis der Wahrscheinlichkeitsrechnung notwendig u a e Ausfallrate e Ausfalldichte e Ausfallwahrscheinlichkeit e berlebenswahrscheinlichkeit Zuverl ssigkeit 2015 IAS Universit t Stuttgart 2 1 Grundlagen der Wahrscheinlichkeitsrechnung ZSA Zustand eines technischen Systems Zustand des Systems zum Zeitpunkt t UP 1 DOWN 0 t 0 t T Lebensdauer T eines technischen Systems ist die Zeitspanne f r t 2 0 von der ersten Inbetriebnahme bei t 0 bis hin zum Ausfall des Systems bei t T 1 t lt T x t o 2015 IAS Universit t Stuttgart 2 1 Grundlagen der Wahrscheinlichkeitsrechnung ZSA Ausfallwahrscheinlichkeit F t Lebensdauer T ist eine reelle Zufallsgr e mit einer gewissen Verteilungsfunktion Verteilungsfunktion hei t Ausfallwahrscheinlichkeit F t und stellt die Wahrscheinlichkeit P so dar dass die Zufallsgr e T kleiner oder gleich eines vorgegebenen Wertes t ist probability of failure F t P T lt t Va F t ist die Wahrscheinlichkeit f r das Eintreten eines Systemausfalls im Intervall 0 t mit 2015 IAS Universit t Stuttgart ZSA 2 1 Grundlagen der Wahrscheinlichkeitsrechnung Ausfalldichte f t H ufigkeit der Au
76. eit ZSA Beispiele f r Softwarefehler Betrachtet wird ein simples C Programm mit eingebauten Fehlern int a int c 10 int main printf a ist c oder kleiner als c n return else if a b printf a ist b n return printf a ist weder b noch c sowie gr er als c n return 2015 IAS Universit t Stuttgart 5 1 Grundlagen der Softwarezuverl ssigkeit ZSA Typische Softwarefehler 1 2 Datenreferenz e Initialisierungsfehler e Indizes au erhalb definierter Grenzen Datendeklaration e Deklaration der Variablen fehlt e Attribute wurden falsch verstanden Berechnung e Verwendung inkorrekter Datentypen Rundungsfehler berl ufe e Falsch gesetzte Klammern Vergleich Inkorrekte Boolesche Ausdr cke e Priorit ten der Vergleichsoperatoren wurden falsch verstanden 2015 IAS Universit t Stuttgart 5 1 Grundlagen der Softwarezuverl ssigkeit ZSA Typische Softwarefehler 2 2 Steuerfluss e Falsche Schleifenendekriterien e Struktur fehlerhaft z B bei DO END Anweisung Schnittstellen e Verwechslung von Variablen und Konstanten e Parameter oder Argumente nicht konsistent Ein Ausgabe e Fehlerhafte Formate der Daten e Unklarer Umgang mit Fehlern bei der Ein und Ausgabe Sonstiges e Funktionen wurden nicht realisiert e Warnungen bei der Kompilierung wurden nicht beachtet 2015 IAS Universit t Stuttgart 5 1 G
77. eitungen 2015 IAS Universit t Stuttgart Ja Nein Ja Nein Ja Nein Ja Nein Ja Nein Ja Nein Ja Nein Abgleich mit Datenblatt Pr fung Bildverarbeitung Kontrollflussgraph Abgleich mit Datenblatt z B 120 Ohm bei CAN 4 3 Einsatz von Werkzeugen ZSA Pr ffragenkatalog Einsatz und Bewertung Bestehende Fragenkataloge k nnen von Gewerkschaften Berufsverb nden oder Industrieverb nden angefordert werden Einsatz vor der FMEA da Aussagen ber Komponenten ableitbar die bei der Durchf hrung genauer untersucht werden m ssen Vorteil e Zielgerichtetes Vorgehen durch klare und nachvollziehbare Abl ufe e Hinweise auf realtypische auch komplexe M ngel und Fehlerarten e Arbeitshilfe zur Dokumentation und Qualit tssicherung Nachteil e Qualit t h ngt von der Erfahrung der Ersteller ab e Keine Angaben ber neu entstandene nicht ber cksichtigte oder noch unbekannt Fehlerursachen m glich 2015 IAS Universit t Stuttgart 4 3 Einsatz von Werkzeugen ZSA Ausschnitt Pr ffragenkatalog Bildschirmarbeitspl tze Bildschirmger t und Tastatur Pr fliste um PR Bildschirmarbeitspl tze 24 Sind Bildschirmger t und Tastatur mit dem CE oder GS Zeichen gekennzeichnet Falls Nein so ist beim Hersteller Pr fliste Bildschirmarbeitspl tze eine schriftliche Best tigung einzuholen dass Ger t und Tastatur den zum Zeitpunkt der erstmaligen Inbetriebnahme Werden Fragen mit Nein bea
78. en Em Ausgangsgr en 2015 IAS Universit t Stuttgart 204 4 2 Arten der FMEA ZSA System FMEA Ziel ist es m gliche funktionale Fehler in einem fr hen Stadium zu identifizieren e Strukturierung des zu untersuchenden Systems in Einheiten e Aufzeigen von funktionalen Zusammenh ngen zwischen Einheiten e Ableitung von Fehlfunktionen der Einheiten e Logische Verkn pfung der Fehlfunktionen e Abgleich des Ergebnis mit dem Pflichtenheft Bildet die Grundlage der Konstruktions FMEA Wird von der Entwicklungsabteilung durchgef hrt 2015 IAS Universit t Stuttgart 4 2 Arten der FMEA ZSA Konstruktions FMEA Ziel ist der einwandfreie Entwurf eines Produkts bzw Systems unter Betrachtung der einzelnen Komponenten e Fertigungseignung in fr hen Phase absch tzen e Identifikation systematischer Fehler in der Konstruktion e Vermeidung von Entwicklungsfehler Spezielle Unterteilung m glich in e Hardware FMEA zur Analyse von Hardware und Elektronik e Software FMEA zur Analyse von Programmcode Bildet die Grundlage der Produkt und Prozess FMEA Wird von der Konstruktionsabteilung durchgef hrt 2015 IAS Universit t Stuttgart 4 2 Arten der FMEA ZSA Produkt und Prozess FMEA Ziel ist die Elemination von identifizierten Fehlern am Produkt selbst und am produzierenden Prozess Am Produkt e Betrachtet werden physikalische Ausfallarten Bruch Verschlei e
79. en von Softwarekomponenten 3 3 Nebenl ufigkeit e SW Komponente muss in der Lage sein parallel mit anderen Komponenten ausgef hrt zu werden Einmaligkeit e SW Komponente ist nur einmal in einem System vorhanden kann aber mehrerer Zust nde annehmen e D h sie kann eine Funktionalit t in einem System in verschiedenen Zusammenh ngen bereitstellen Offenheit e Spezifikation Komponenten muss gut dokumentiert und zug nglich sein Funktionalit t Schnittstellenbeschreibung 2015 IAS Universit t Stuttgart 5 4 Komponentenansatz ZSA Einsatz von Komponenten Wesentliche Eigenschaft einer SW Komponenten ist die unver nderte mehrfache Verwendung Versagen einer Komponente ist auf Fehler zur ckzuf hren die von der jeweiligen Umgebung unterschiedlich h ufig aktiviert werden Fehler sind dabei auf Einflussfaktoren der Umgebung zur ckzuf hren da die Komponente funktional geschlossen und unver nderbar ist Nur ber die Parametrierung bzw Anpassung an die Umgebung kann auf die Fehler Einfluss genommen werden Abh ngigkeit zwischen Komponente und Umgebung muss bekannt sein Daher Beschreibung bekannter Abh ngigkeiten in Komponenten Bibliotheken 2015 IAS Universit t Stuttgart 5 4 Komponentenansatz ZSA Identifikation relevanter Einflussfaktoren System N Auf Hardware Komponenten Auf Software Komponenten e Physikalische Umgebung e Konfiguration bzw Temperatur Parametrierung
80. enden Module Prinzip Zuverl ssigkeit der R t Einzel Module SI Ausf hrung _ H ufigkeit X Sch tzung SW Zuverl ssigkeit 2015 IAS Universit t Stuttgart 5 3 Modelle der Softwarezuverl ssigkeit ZSA Architekturbasierte Modelle Bewertung Vorteile e Hohe Genauigkeit bei m glichst pr zisen Eingabedaten e Einfluss einzelner Module auf die Gesamtheit kann analysiert werden Nachteile e Zuverl ssigkeitswerte der einzelnen Module sind h ufig unbekannt e Bestimmung der Ausf hrungs H ufigkeit ist in fr hen Phasen schwierig 2015 IAS Universit t Stuttgart 5 3 Modelle der Softwarezuverl ssigkeit ZSA Zuverl ssigkeitswachstumsmodelle Prinzip Schrittweise Sch tzung der Zuverl ssigkeit auf Basis der zu Beginn unter Annahme getroffenen und der im Betrieb empirischen Versagenszeitpunkte von Software Annahme dass nach einem Versagenszeitpunkt der Fehler korrigiert wird und bei der Korrektur keine neuen Fehler entstehen Prinzip Fehlerzeitpunkt Fehlerzahl h Versagen gt A a 9 SW Zuverl ssigkeit Fehler SW Bez Korrekturen Zuverl ssigkeit Ziel Zuverl ssigkeit Zeit Zeit 2015 IAS Universit t Stuttgart 5 3 Modelle der Softwarezuverl ssigkeit ZSA Zuverl ssigkeitswachstumsmodelle Bewertung Vorteile e Hohe Genauigkeit bei pr ziser Auswertung der empirischen Daten n vorangegangen Tests m laufenden Betrieb e Nachvollziehb
81. ensdauerverteilungen 2 3 Verf gbarkeit von Systemen 2 4 Zuverl ssigkeitsblockdiagramm 2015 IAS Universit t Stuttgart ZSA 2 4 Zuverl ssigkeitsblockdiagramm ZSA Zuverl ssigkeitsblockdiagramm Betrachtung eines aus mehreren Komponenten aufgebauten Gesamtsystems Zuverl ssigkeitsblockdiagramm stellt dar unter welcher Bedingung das Gesamtsystem funktionsf hig ist Gesamtsystem ist funktionsf hig wenn das Blockdiagramm auf mindestens einem Pfad durchlaufen werden kann auf welchem kein Modul ausgefallen ist Block ist eine Komponente bzw eine bereits zusammengefasste Einheit von Komponenten Sensor _ no amp esner m 2015 IAS Universit t Stuttgart 2 4 Zuverl ssigkeitsblockdiagramm ZSA Serienanordnung E System ist funktionsf hig wenn alle Module funktionsf hig sind Sobald mindestens ein Modul ausf llt ist das System ausgefallen Es gilt e Boolesche Funktion y XA A Xp e Ausfallrate und MTTF n aD IA i 1 MTTF Ba S U A e Zuverl ssigkeit sd Lid n Ri Ri t R4 t R2 t Rp t ettttre niit ein i 1 2015 IAS Universit t Stuttgart 18 2 4 Zuverl ssigkeitsblockdiagramm ZSA Serienanordnung mit 2 identischen Komponenten E F r identische Ausfallraten mit A t const gilt 2 e Ausfallrate und MTTF As t Ya A EM o 2 o i 1 MTTF s 1 j fahi
82. entwickeltes Ereignis Ausl sendes Ereignis 2015 IAS Universit t Stuttgart Fehlereignis das aus der Interaktion mehrerer Ereignisse durch logische Verkn pfung resultiert Feinste Aufl sung des Fehlerbaums z B der Ausfall einer Komponente Wird nicht weiter untergliedert Sonderfall ein Ereignis ber das keine weiteren Details bekannt sind Keine weitere Untergliederung m glich Keine eigenst ndige Fehlerquelle tritt als Rahmenbedingung im Betrieb auf Kombination mit weiteren Ereignissen n tig 139 3 1 Grundlagen der FTA ZSA G ngige Symbole des Fehlerbaums 2 2 Verkn pfungssymbole UND Verkn pfung Ausgangsereignis tritt genau dann ein wenn alle Eingangsereignisse wahr sind ODER Verkn pfung Ausgangsereignis tritt genau dann ein wenn mindestens ein Eingangsereignis wahr ist Tranfersymbole Input Ereigniseingang einer Verbindung zu Transfer IN einem anderen Fehlerbaum Transfer OUT den Input liefert An Position des Top Ereignisses Ereignis Output der an einen anderen Baum 2015 IAS Universit t Stuttgart 140 3 1 Grundlagen der FTA ZSA Beispiel Fehlerbaum Ausfall Steuerger t Systemausfall Ausfall Teilsystem 2015 IAS Universit t Stuttgart 3 1 Grundlagen der FTA ZSA Beispiel Fehlerbaum Ausfall Steuerger t Ausfall Baugruppe Ausfallebene a 2015 IAS Universit t Stuttgart 142 3 1 Grundlage
83. er FMEA 4 3 Einsatz von Werkzeugen 4 4 Durchf hrung der FMEA 4 5 FMEA Formblatt 4 6 Software FMEA SFMEA 2015 IAS Universit t Stuttgart 4 3 Einsatz von Werkzeugen ZSA Werkzeuge bei der Durchf hrung einer FMEA Bei der FMEA wird ein Betrachtungsgegenstand so lange unterteilt bis er als geschlossene Funktionseinheit betrachtet werden kann 2015 IAS Universit t Stuttgart Sehr komplex bei gr eren Systemen Einsatz von Werkzeugen notwendig um Komplexit t zu beherrschen Beispiele Fehlerbaumanalyse FTA Fischgr ten bzw Ursache Wirkungs Diagramm Fragenkatalog bzw Checklisten Ereignisablaufanalyse ETA Matrix Diagramm FMEA Software 4 3 Einsatz von Werkzeugen ZSA Fehlerbaumanalyse FTA Grundlagen und Durchf hrung siehe Kap 3 Anwendung erfolgt in Form der qualitativen FTA Ziel der FTA im Rahmen der FMEA ist es nicht nur Ausfallarten bzw Ausfallursachen eines Systems zu detektieren sondern speziell e Funktionale Zusammenh nge ber Verkn pfungen herzustellen e Auswirkungen auf das System beschreiben e Systematische Strukturierung herzustellen 2015 IAS Universit t Stuttgart 4 3 Einsatz von Werkzeugen ZSA Fischgr ten bzw Ursache Wirkungs Diagramm Darstellung der Kausalit t zwischen einem unerw nschten Ereignis Wirkung und den Gr nden die zu diesem Ereignis f hren Ursachen 2015 IAS Universit t Stuttgart 213 4 3 Einsatz von Werkze
84. er Zuverl ssigkeits und Sicherheitstechnik 6 3 Sicherheits und Risikoanalysen 6 4 Ermittlung des Safety Integrity Levels SIL 2015 IAS Universit t Stuttgart 6 4 Safety Integrity Level SIL ZSA Definition eines Sicherheitsgrads Ein Sicherheitsgrad ist eine Einordnung daf r wie ein sicherheitsrelevantes System eine Sicherheitsanforderung erf llt Sicherheitsgrade k nnen in zwei Gruppen unterteilt werden e Hinsichtlich systematischer Fehler e Hinsichtlich zuf lliger Ausf lle Ta xN a a a 2015 IAS Universit t Stuttgart 41 6 4 Safety Integrity Level SIL ZSA Safety Integrity Levels 1 2 Safety Integrity Levels SIL sind vier diskrete Stufen von Sicherheits Anforderungen bzw Integrit ten an eine Sicherheitsfunktion Normung nach DIN 61508 Sicherheitsgrundnorm Bestimmung der jeweiligen SIL Stufe ber die Risikoanalyse eines Ausfalls des technischen Systems und der davon ausgehenden Ereignisse F r jede Stufe ergeben sich sicherheitsgerichtete Entwicklungsprinzipien die eingehalten werden m ssen um das Risiko einer Fehlfunktion zu vermindern Nach Bestimmung einer SIL Stufe k nnen falls n tig bzw m glich Ma nahmen abgeleitet und durchgef hrt werden sodass die SIL Stufe reduziert werden kann 2015 IAS Universit t Stuttgart 6 4 Safety Integrity Level SIL ZSA Safety Integrity Levels 2 2 Das Vorgehen der SIL Einstufung ist nicht ber ein abs
85. erheit von Automatisierungssystemen ZSA 8 1 Einf hrung Begriffe und Normen 1 1 Einf hrung in die Zuverl ssigkeits und Sicherheitstechnik 1 2 Definition von Zuverl ssigkeit und Sicherheit 1 3 Wichtige Begriffe und Bedeutungen 1 4 Normen 2015 IAS Universit t Stuttgart 1 1 Einf hrung in die Zuverl ssigkeits und Sicherheitstechnik ZSA Wenn Systeme versagen Beispiel 1 Bosch und Siemens Hausger te BSH in 2013 e R ckruf von ber 5 Millionen Geschirrsp lmaschinen weltweit e Brandgefahr durch einen Fehler in einem elektr Bauteil des Bedienfelds e Kunden erhalten kostenfreie Reparatur oder reduziertes Neuger t Kosten f r das Unternehmen ca 700Mio Euro Beispiel 2 Toyota von 2010 bis 2013 e R ckruf von ber 22 Millionen Fahrzeugen in den USA e Ursachen u a klemmende Gaspedale explodierende Airbags e Kosten der R ckrufaktionen f r das Unternehmen nicht bekannt e Dazu aber mehrere Straf bzw Entsch digungs Zahlungen an US Kunden von insgesamt 2 6Mrd Dollar 2015 IAS Universit t Stuttgart 1 1 Einf hrung in die Zuverl ssigkeits und Sicherheitstechnik ZSA Aktuelle Trends Systeme werden immer komplexer Menschen werden immer mehr von Systemen abh ngig Fehler in Systemen haben Ausf lle oder Unf lle mit betr chtlichen Auswirkungen zur Folge e Besch digung von G ter e Verletzung und Tod von Menschen 2015 IAS Universit t Stuttgart 1 1 Einf h
86. ersuchung der Gewinnchancen bei W rfelspielen e Ver ffentlichung einer Abhandlung mit Beschreibung der Binomialkoeffizienten Vollst ndige Beschreibung von Jakob I Bernoulli 1655 1705 Schweizer Mathematiker und Physiker Baute seine Abhandlungen auf den Diskussionen Pascals auf Behandelte Prozesse mit denen die Anzahl f r Erfolge bei einer Serie von gleichen Versuchen beschrieben werden konnten 2015 IAS Universit t Stuttgart 2 2 Lebensdauerverteilungen ZSA Binomialverteilung Beschreibung Diskrete Lebensdauerverteilung die bei einem Experiment mit der Erfolgswahrscheinlichkeit bzw dem Merkmal p und der Anzahl bzw Serie von gleichartigen und unabh ngigen Versuchen n beschreibt mit welcher Wahrscheinlichkeit genau k Erfolge erzielt werden k nnen Es gilt f r eine Zufallsvariable X und n 2 k mit n k 20 e Verteilungsdichte P X k K p x 1 p Binomialkoeffizient _ n k k n k 2015 IAS Universit t Stuttgart 2 2 Lebensdauerverteilungen ZSA Binomialverteilung Simulation Verteilungsdichte ordnet den nat rlichen Zahlen k bestimmte Wahrscheinlichkeitswerte zu Simulation der Wahrscheinlichkeitsverteilung bei n 100 Versuchen und ver nderlicher Erfolgswahrscheinlichkeit p E 100 7 0 1 BE 100 p05 BEE 1 100 p 03 Wahrscheinlichkeit 2015 IAS Universit t Stuttgart 2 2 Lebensdauerverteilungen ZSA Binomialvertei
87. ert wurde F r neue sicherheitskritische Systeme Achtung Im Produkthaftungsfall nicht Sch den am Produkt sondern Sch den durch das Produkt ist nicht der Stand der Technik sondern der Stand von Wissenschaft und Technik nachzuweisen Stand von Wissenschaft und Technik entspricht dem was heute erkenntnistheoretisch erreichbar ist h chstes Niveau F r neue sicherheitskritische Systeme 2015 IAS Universit t Stuttgart 1 4 Normen ZSA Chancen und Vorteile von Normen f r ein Unternehmen Kostensenkungen in Entwicklung und Produktion e Massenproduktion e Gilobaler Einkauf e Verminderte Anpassungskosten e Verk rzung der Entwicklungszeiten Wettbewerbsvorteile gegen ber Konkurrenten e Wissens und Zeitvorteile e Imagesteigerung e Zugang zu neuen M rkten Klar definierte Schnittstellen sowohl intern als auch zu Kunden und Zulieferern Verbesserung der Kundenkontakte und Anreize f r neue Kunden 2015 IAS Universit t Stuttgart 1 4 Normen ZSA Sicherheitsgrundnorm DIN EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer programmierbar elektronischer Systeme Aufbau Stand 02 2011 2015 IAS Universit t Stuttgart Teil 0 Funktionale Sicherheit Teil 1 Allgemeine Anforderungen Teil 2 Anforderungen an sicherheitsbezogene elektrische elektronischer und programmierbar elektronischer Systeme Teil 3 Anforderungen an Software Teil 4 Begriffe und
88. f r Besch ftigte mit unterdurchschnittlicher K rpergr e Software 7 Steht ein h henverstellbarer B rodrehstuhl mit verstellbarer R ckenlehne zur Verf gung NE l 30 Enth lt die Software alle f r die Aufgaben der Benutzer 8 Ist eine ausreichend blend und flimmerfreie Beleuchtung von ben fi Funkti J mindestens 500 Lux vorhanden i gten unk onen r 9 Sind Langfeldleuchten parallel zu den Fenstern angebracht und 31 K nnen die Benutzer ohne Umwege und Tricks ihre sorgen f r eine gleichm ige Helligkeit Arbeitsergebnisse erzielen 10 Ist die vorwiegende Blickrichtung parallel zu den Fenstern 32 Sind die Informationen die f r die Benutzer zur Erledigung ihrer 11 Ist der Bildschirm frei von Spiegelungen Blendungen Aufgaben notwendig sind auf dem Bildschirm bersichtlich Reflexionen verf gbar 12 Lassen sich die Fenster abdunkeln z B durch Jalousien oder 33 Sind die Meldungen des Systems f r die Benutzer immer Vorh nge verst ndlich Quelle www bghw de 2014 2015 IAS Universit t Stuttgart 4 3 Einsatz von Werkzeugen ZSA Ereignisablaufanalyse ETA Ereignisablaufanalyse ETA Event Tree Analysis ist ein induktives Verfahren bei dem m gliche Folgen eines Fehlers bestimmt werden sollen Normung nach DIN 25419 Vorg nge bzw logische Zusammenh nge werden graphisch in verzweigten Ereignisb umen dargestellt ber Ja Nein Bedingung Ereignisablaufanalyse gleicht auf ersten Blick der Fehlerbaum
89. fen Einsatz im und und Beschaffen Herstellen Kosten pro Fehler g Einfluss auf Fehler ao 1 Konstruktion Konzept Produkt Planung Phase entwicklung Beschaffung Entwicklung Produktion Fead Produktion Produkteinsatz 2015 IAS Universit t Stuttgart 4 1 Grundlagen der FMEA ZSA Fehlerdetektion Detektion m glicher Fehlerquellen die zu Ausf llen f hren k nnen Alle Ursachen und resultierenden Folgen von Fehlern auf ein Produkt bzw System zu ermitteln zu reduzieren oder gar zu vermeiden Fehlerfreie Gestaltung von Prozessen w hrend der Entwicklung Schwachstellen von System Produkten oder Prozesse identifizieren sodass eine konstruktive berarbeitung erfolgen kann 2015 IAS Universit t Stuttgart 4 1 Grundlagen der FMEA ZSA Zeitpunkt des Einsatz So fr h wie m glich e Direkt bei Lasten oder Pflichtenhefterstellung e In fr hen Phasen des Produktentstehungsprozess nach ersten Entw rfen Entwicklungsbegleitend e Mit permanenter Anpassung und Aktualisierung e Als dynamisches Dokument 2015 IAS Universit t Stuttgart 4 1 Grundlagen der FMEA ZSA Einflussfaktoren auf den Einsatz u ere Einflussfaktoren e Geestiegene Kundenanforderungen an Qualit t Funktionalit t Benutzbarkeit e Druck der Kostenoptimierung durch Wettbewerb e Gesetzliche Produkthaftung Innere Einflussfaktoren e Zeitpunkt der
90. g der Garantiezeiten Zuverl ssigkeit ist elementarer Teil der Qualit t Qualit tsmanagement 2015 IAS Universit t Stuttgart 1 2 Definition von Zuverl ssigkeit und Sicherheit ZSA Einflussfaktoren auf die Zuverl ssigkeit Verringerte Entwicklungskosten H here Komplexit t K rzere Entwicklungszeiten N Gr ere Funktionalit t N N Minimierung von Fehlerkosten Gestiegene Kundenanforderungen Steigende Produkthaftung 2015 IAS Universit t Stuttgart 1 2 Definition von Zuverl ssigkeit und Sicherheit ZSA Zuverl ssigkeitsanalyse Ziele e Prognose der zu erwartenden Zuverl ssigkeit e Erkennung und Beseitigung von Schwachstellen e Durchf hrung von Vergleichsstudien Anforderungen an die Durchf hrung e Erfahrenes Bearbeitungsteam e Systematische Planung aller erforderlichen Arbeitsschritte e Geeignete Zuverl ssigkeitsdatenbasis e Geeignete Software 2015 IAS Universit t Stuttgart 1 2 Definition von Zuverl ssigkeit und Sicherheit ZSA Quantitative Modelle der Zuverl ssigkeitsanalyse Probabilistische Zuverl ssigkeitsprognose Berechnung einer vorausgesagten und erwarteten Zuverl ssigkeit Analyse der Ausfallrate Beispiel e Fehlerbaumanalyse FTA vgl Kap 3 e Lebensdauerverteilungen vgl Kap 2 e Boole Modell vgl Kap 2 e Markov Modell 2015 IAS Universit t Stuttgart Markov Modell 1 2 Benannt nach russischem Mathematiker A A Mark
91. gation NOT X1 Disjunktion OR y X1 V X2 2015 IAS Universit t Stuttgart 2 1 Grundlagen der Wahrscheinlichkeitsrechnung ZSA Grundgatter der Boolschen Modellbildung 2 3 Schaltzeichen IEC 60617 Wertetabelle Funktion Konjunktion AND X1 y X1 N X2 x y X1 X2 Antivalenz XOR X1 X2 2015 IAS Universit t Stuttgart 2 1 Grundlagen der Wahrscheinlichkeitsrechnung ZSA Grundgatter der Boolschen Modellbildung 3 3 Schaltzeichen IEC 60617 Wertetabelle Funktion NAND X1 A X2 X1 X2 O 2015 TAS Universit t Stuttgart 7 NnS 2015 IAS Universit t Stuttgart 2 1 Grundlagen der Wahrscheinlichkeitsrechnung ZSA Boolesche Modellbildung Axiome der Booleschen Algebra Kommutativgesetz x1 A X2 X2 A X1 x1 V X2 32 V X1 Assoziativgesetz X1 A X2 A X3 X1AX32 A X3 X V x2 V X3 x1 V X2 V X3 Distributivgesetz X1 V X2 A X3 X1 V X2 A X1 V X3 X1 A 2 V X3 X1 A X2 V X1 A X3 Idempotenzgesetz xAX X xVx X De Morgansches Gesetz X V x2 X1AXz X AX2 X VXz Weiter gilt xVO x xv1 1 xvx 1 xA1l x xA0 0 xAX 0 2015 IAS Universit t Stuttgart 73 2 1 Grundlagen der Wahrscheinlichkeitsrechnung ZSA Zuverl ssigkeit als W ahrscheinlichkeit Quantitative Methoden sind eng mit Begriffen und Verfahren der Statistik und Wahrscheinlichkeit verkn pft Ausfallzeiten von Baut
92. gbarkeit durch kurze Reparaturzeiten Kurze Fehlerdiagnosezeit durch Selbstdiagnose Software Modulare Struktur zum einfachen Austausch von Komponenten 2015 IAS Universit t Stuttgart 2 3 Verf gbarkeit von Systemen ZSA Hochverf gbarkeit nach der Harvard Research Group HRG Einteilung der Hochverf gbarkeit in AEC Stufen Availability Environment Classification 0 1 2 Funktion kann unterbrochen werden Datenintegrit t ist nicht essentiell Funktion kann unterbrochen werden Datenintegrit t muss jedoch gew hrleistet sein Funktion darf nur innerhalb festgelegter Zeiten oder zur Hauptbetriebszeit minimal unterbrochen werden Funktion muss innerhalb festgelegter Zeiten oder w hrend der Hauptbetriebszeit ununterbrochen aufrechterhalten werden Funktion muss ununterbrochen aufrechterhalten werden 24 7 Betrieb muss gew hrleistet sein Funktion muss unter allen Umst nden verf gbar sein Probleme beim Erreichen einer hohen Verf gbarkeit 2015 IAS Universit t Stuttgart 2 3 Verf gbarkeit von Systemen ZSA Frage zu Kapitel 2 3 Welche Verf gbarkeit weist eine Anlagensteuerung mit einer Ausfallrate von A 6 5 10 ht auf wenn die durchschnittliche Reparaturzeit 20 h betr gt 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen 8 2 Wahrscheinlichkeit und Zuverl ssigkeit 2 1 Grundlagen der Wahrscheinlichkeitsrechnung 2 2 Leb
93. gen e Charakterisiert durch konstante Ausfallraten Inh rente Fehler e Fehler die schon vor Beginn des Betriebs vorhanden sind e Oft systematische Fehler die nicht immer offensichtlich sind Pflichtenheftfehler Software Entwurfsfehler Verdrahtungsfehler 2015 IAS Universit t Stuttgart 1 3 Wichtige Begriffe und Bedeutungen ZSA Arten von Fehlern 2 2 Nicht inh rente Fehler e Fehler die erst nach der Inbetriebnahme begangen werden e Oftkaum abzusehen bzw zu verhindern Bedienfehler Fehler bei Wartung und Pflege Absichtliche Fehler Sabotage oder Vandalismus 2015 IAS Universit t Stuttgart 1 3 Wichtige Begriffe und Bedeutungen ZSA Fehlertypen Fehler berg nge Statischer Fehler e bergang in Fehlerzustand statisch d h Komponente wird abrupt defekt und bleibt defekt bis zur Reparatur e Dient als Annahme f r einfache Zuverl ssigkeitsmodelle Drift Fehler e Langsamer bergang der Systemmerkmale in einen Fehlerzustand e Meist bei analogen weniger bei digitalen Bauteilen Transienter Fehler e Kurze Wirkungsdauer bedingt durch externe Einstreuung z B EMV e Oft vernachl ssigbar wenn Wirkungsdauer sehr gering Intermittierender Fehler e H ufig auftretender transienter Fehler mit nachfolgender Ruhepause e Oft durch Betrieb der Hardware an Belastungsgrenze 2015 IAS Universit t Stuttgart 1 3 Wichtige Begriffe und Bedeutungen ZSA Umgang mit Fehlern
94. griffe und Bedeutungen 1 4 Normen 2015 IAS Universit t Stuttgart 1 3 Wichtige Begriffe und Bedeutungen ZSA Begriff RAMS S Management nach DIN EN 50126 Prozess bzw Methodik zur Verhinderung von Fehlern bereits in der Planungsphase Dient zur Systemspezifikation von sicherheitskritischen Systemen RAMS S Prozess ist erst abgeschlossen wenn System bzw Produkt au er Betrieb genommen und entsorgt worden ist Beinhaltet 2015 IAS Universit t Stuttgart Reliability Zuverl ssigkeit Availability Verf gbarkeit Maintainability Instandhaltbarkeit Dauer von Reparaturen Safety Sicherheit Gef hrdungsfreiheit des Ger tes nach au en Security Sicherheit Schutz gegen unberechtigten Zugriff 1 3 Wichtige Begriffe und Bedeutungen ZSA Begriff Fehler Fehler e Nichterf llung mindestens einer vorgegebenen Forderung e Fehler entstehen durch Mensch Material Milieu Umgebung Methode Im engl klare Unterscheidung nach ISO 26262 e fault Eine abnormale Bedingung die ein Element scheitern lassen kann e error Abweichung zwischen dem berechneten und dem spezifizierten Wert x 2015 IAS Universit t Stuttgart 1 3 Wichtige Begriffe und Bedeutungen ZSA Arten von Fehlern 1 2 Physikalische Fehler e Meist stochastischen Ursprungs e Ursachen sind physikalische oder chemische Ausfallmechanismen oder Effekte z B elektromagnetische St run
95. h ufigkeit Schadensh ufigkeit ist die Anzahl von Fehlereignissen innerhalb eines Zeitraums d h Anzahl der Gefahren die im Lebenszyklus eines Produkts eintreten Kategorie Definition h ufig Eine st ndige Gefahr die allgegenw rtig eintreten kann wahrscheinlich Es ist zu erwarten dass eine Gefahr oft und mehrmals eintritt gelegentlich Eine Gefahr kann mehrmals eintreten selten Es sinnvoll mit dem Eintreten einer Gefahr zu rechnen unwahrscheinlich Es ist anzunehmen dass eine Gefahr nur in Ausnahmesituationen eintritt unvorstellbar Es darf angenommen werden dass keine Gefahr eintritt 2015 IAS Universit t Stuttgart 6 1 Risiko Gef hrdung und Gefahr ZSA Risikokriterium Schadensausma Schadensausma ist ein qualitatives Ma m glicher Konsequenzen katastrophal Mehrere Unfalltote und oder zahlreiche Verlust des gesamten Systems Schwerverletzte und oder schwere bzw der gesamten Funktionalit t Umweltsch den kritisch Einzelne Unfalltote und oder Verlust eines bzw mehrerer Schwerverletzte und oder nennenswerte wichtiger Teil Systeme Umweltsch den marginal Kleinere Verletzungen und oder Schwere Besch digung des nennenswerte Bedrohung der Umwelt Systems unbedeutend M gliche geringf gige Verletzungen Geringf gige Besch digung des Systems 2015 IAS Universit t Stuttgart 6 1 Risiko Gef hrdung und Gefahr ZSA Risikostufen auf Basis der Risikokriterien Eine Bewertung
96. he sicherheitsbezogene E E PE Systeme geringer Komplexit t k nnen bestimmte in dieser Norm festgelegte Anforderungen unn tig sein und eine Befreiung von der Normerf llung in Bezug auf solche Anforde rungen ist m glich siehe 4 2 und Definition eines einfachen sicherheitsbezogenen E E PE Systems in 3 4 4 von IEC 61508 4 2015 IAS Universit t Stuttgart 1 4 Normen ZSA Ausschnitt DIN EN 61508 2 3 2015 IAS Universit t Stuttgart Entwicklung der gesamten Sicherheits anforderungen Konzept Definition des Anwendungsbereichs Gef hrdungs und Risikoanalyse sicherheitsbezogene E E PE Systeme sicherheitsbezogene Systeme anderer Technologien und externe Einrichtungen zur Risikominderung 7 1 bis 7 5 Zuordnung der Sicherheits anforderungen an das sicherheitsbezogene E E PE System 7 6 Realisierungs Realisierungs phase f r das phase f r die sicherheits sicherheits bezogene bezogene E E PE System Software TEIL 1 Installation Inbetriebnahme und Sicherheitsvalidierung des sicherheitsbezogenen E E PE Systems 7 13 und 7 14 Betrieb und Instandhaltung Modifikation und Nachr stung Au erbetriebnahme oder Deinstallation des sicherheits bezogenen E E PE Systems 7 15 bis 7 17 Technische Anforderungen TEIL 5 Risikobasierte Ans tze zur Entwicklung der Anforderungen zur Sicherheitsintegrit t berblick ber Verfahren und Ma nahmen Richtlinien f r die An
97. hler ZSA Bewertung einer formalen Spezifikation St rken e Immer eindeutig da Bedeutung der Notation definiert e Neutrale und widerspruchsfreie L sung e Erf llung von Eigenschaften Sicherheitsanforderungen beweisbar e Modelle sind simulierbar z B Petri Netze Schw chen e Sehr aufwendige Durchf hrung Zerlegung des Systems Beschreibung von Ausnahmef llen e Erstellung und Pr fung nur ber ausgebildetes Fachpersonal e Teilweise einseitige Ausrichtung z B bezogen auf Die Funktionalit t mathematische Notationen Das Verhalten Petri Netze 2015 IAS Universit t Stuttgart 5 2 Ma nahmen gegen Softwarefehler ZSA Prozess des Testens Testen ist ein Verfahren bzw ein Versuch der Softwarepr fung mit dem Ziel ein Programm so auszuf hren dass Fehler gefunden werden Vorgehen Testvorbereitung TV Ermittlung von Testf llen Spezifikation Testmanagement TM Testdurchf hrung TD 9 un i Planung des Testprozess Ausf hrung der Testf lle Steuerung Protokollierung Kontrolle Testnachbereitung TN Aufbereitung der Testergebnisse Bewertung 2015 IAS Universit t Stuttgart 300 5 2 Ma nahmen gegen Softwarefehler ZSA Testplanung Testplanung ist die Grundlage der Qualit tssicherung und Voraussetzung f r die berwachung und Steuerung der Testausf hrung Testplan beinhaltet Aufgaben Ziele und Strategien der Testausf hrung Besch
98. ht durch Bedienungs z B Dauerbruch rkstoff und eklatante oder Wartungsfehler Alterung Gr bchen Konstruktionsfehler Schmutzpartikel L_L_ Fr hausf lle 1 mitb lt 1 rm Ausfallrate A t e Ausfallsteilheit bzw Formparameter b Zufallsausf lle 2 mit b 1 Verschlie Erm dungs Fehler 3 mit b gt 1 e Charakteristische Lebensdauer bzw Lageparameter T Praxis typ Zeitspanne in der 63 aller Komponenten Einheiten eines Systems Bauteile einer Serienproduktion ausfallen Beispiel f r Komponenten mit typischem e Fr hausfall Verhalten e Verschlei Erm dungs Fehler Verhalten 2015 IAS Universit t Stuttgart 2 2 Lebensdauerverteilungen ZSA Weibullverteilung Gleichungen Es gilt f r t 2 0 e Ausfallrate e Ausfalldichte e Ausfallwahrscheinlichkeit e Zuverl ssigkeit 2015 IAS Universit t Stuttgart b 1 or ft gt el Ft 1 E R t AEON 2 2 Lebensdauerverteilungen Weibullverteilung Simulation Variation der charakteristischen Lebensdauer T Zuverl ssigkeit 1 0 9 0 8 0 7 0 6 0 5 0 4 0 3 0 2 0 1 b 050 T 5 000h b 0 50 T 50 000h b 0 50 T 500 000h Zeit Jahre Variation der Ausfallsteilheit b Zuverl ssigkeit 1 0 9 0 8 0 7 0 6 0 5 0 4 0 3 0 2 0 1 0 1 2 3 4 5 6 7 8 9 10 Zeit Jahre
99. i AANAA i ESAR i aa ELSE Universit t Stuttgart u Po EETTTEHENT Institut f r Automatisierungs und Softwaretechnik 444 004 u OO a Prof Dr Ing Dr h c P G hner i i Zuverl ssigkeit und Sicherheit von Automatisierungssystemen Sommersemester 2015 Dr N Jazdi www ilas uni stuttgart de zsa zsa ias uni stuttgart de 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA Ansprechpartner f r die Vorlesung Bei organisatorischen Fragen zur Vorlesung oder bei Problemen mit dem Ablauf der Vorlesung Zuverl ssigkeit und Sicherheit von Automatisierungssystemen wenden Sie sich bitte an Dr Ing Nasser Jazdi Zimmer 2 139 Pfaffenwaldring 47 2 Stock am IAS Tel 0711 685 67303 E Mail zsa ias uni stuttgart de 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA Unterlagen Skript Zuverl ssigkeit und Sicherheit von Automatisierungssystemen Blaue Texte zum Mitschreiben im Skript nicht enthalten Live Mitschriebe leere Folien im Skript f r Mitschrieb vorgesehen Fragen am Ende jedes Unterkapitels Antworten zum Mitschreiben Vorlesungsportal im Internet www ias uni stuttgart de zsa Aktuelle Informationen zur Vorlesung Vollst ndige Vorlesungsunterlagen Lecturnity Aufzeichnungen im Internet und als Podcast Vorlesungen 2015 IAS Universit t Stuttgart
100. iche Redundanz 2015 IAS Universit t Stuttgart 5 2 Ma nahmen gegen Softwarefehler ZSA Redundanz K ategorien 1 2 R umliche bzw strukturelle Redundanz e Wird h ufig auch als Hardware Redundanz bezeichnet e Aber alle Techniken k nnen auf Software bertragen und implementiert werden Mehrere Systeme mind 3 die gleichzeitig die gleiche u Rada Funktion ausf hren Kalte Redundanz Mehrere Systeme die eine gleiche Funktion ausf hren k nnen Zus tzliche Mittel im System auf die im Fehlerfall Standbye Redundanz umgeschaltet wird Komponenten kein ganzes System N 1 Redundanz N aktive Einheiten und 1 passive Einheit im System die im Fehlerfall eine aktive Einheit ersetzen kann 2015 IAS Universit t Stuttgart 5 2 Ma nahmen gegen Softwarefehler ZSA Redundanz K ategorien 2 2 Informations Redundanz e Einsatz um Fehler bei der Kommunikation zwischen Komponenten zu vermeiden bzw zu reduzieren oder Speicher gegen Fehler abzusichern e Kodierungs Techniken und Verfahren Zeitliche Redundanz e Anweisungsausf hrung erfolgt zu unterschiedlichen Zeiten e Informationen der Ausf hrung werden mit einem Datum versehen e Die mit dem jeweiligen Datum versehenen Informationen werden zeitlich getrennt voneinander an die jeweiligen Komponenten bertragen e Besonders geeignet um intermittierende Fehler zu erkennen 2015 IAS Universit t Stuttgart 5 2 Ma nahmen gegen Softwarefehle
101. ie Lebensdauer eines Bauteils sei exponentiell verteilt mit A 0 5 10 h a Wie gro ist die Wahrscheinlichkeit dass das Bauteil innerhalb eines Jahres ausf llt P T lt 1a F 1a F 8 760h 1 e 0 5 10 h 8 760h 0 0428 4 3 b Wie gro e ist die Wahrscheinlichkeit dass das Bauteil zwischen dem 5 und 10 Jahr ausf llt P 5a lt T lt 10a F 10a F 5a 0 355 0 197 0 158 15 8 2015 IAS Universit t Stuttgart 2 2 Lebensdauerverteilungen ZSA Weibullverteilung Allgemeines Benannt nach Waloddi Weibull 1887 1979 Schwedischer Mathematiker und Ingenieur 1932 Promotion an der Universit t Uppsala A 1941 Professur f r technische Physik an der k niglichen technischen Hochschule Stockholm Verfasste diverse Abhandlungen ber die Materialfestigkeit Materialerm dung und das Bruchverhalten von Festk rpern Ver ffentlichung der Weibull Verteilung in 1951 e Beschreibung von Lebensdauerverteilungen mit monoton fallender konstanter und monoton wachsender Ausfallrate m glich e Findet Einsatz bei lebensdauerbeeinflussenden Lastmerkmalen wie Spannung oder Kraft sowie bei dynamischen Festigkeitsversuchen 2015 IAS Universit t Stuttgart 2 2 Lebensdauerverteilungen ZSA Weibullverteilung Beschreibung ri 2 2 Verschlei amp een an Erm dungsfehler Bereich 1 Bereich 3 Charakterisierung ber Parameter Montage Fertigungs z B verursac
102. ignal erzeugt ein falsches Signal Umgebungsbedingun unzureichend zum Abschirmungsmateri wicklung In Bearbeitun gen ber L ten geeignet al falsch ausgew hlt 11 08 2006 Lebensdauer nicht In Bearbeitung 5 stand Lebensdauertests 9 mit Schwerpunkt Schwingungsbest n 5 E digkeit 2 Versuch Dr 18 08 2006 In Bearbeitung i Merkmal St rempfindlichkeit der Signal bertragung sowohl Pegel als auch Modulation 5 th Messsignal Sch tzt den Ma nahmenstand Anfang 18 01 200 repr sentiert nicht Leiter nicht vor Abschirmungsmateri amp Erfah 3 Material den aufgenommenen St rsignalen aus der al falsch ausgew hlt amp Erfahrung aus E Materialve Messwert Umgebung E elektrische Abschirmung Sensor Sch tzt den Sensor nicht vor St rsignalen aus der Umgebung A Huygzustans des Systems erzeugt ein falsches Signal E optischer Geber Sensor detektiert Drehung der Geberscheibe Symbol f r den Betriebszustand nicht zuverlassig Verschmutzungen vorangegangenen an Probeplatt Entwicklungsprojekt en 9 Ma nahmenstand 19 01 2006 amp Untersuchung zu A Versuche m glichen Prototypen A Beschichtungen im Muster v L tbereich v gt v u L Example 20090407_EXAMPLE_NEW fme Supervisor Lesen Schreibe Y m 31 gt Deutsch 4 C Fmea Data 60 EXAMPLE_DE FME Supervisor Lesen Schreibe Y E gt Deutsch Quelle www ap
103. is de A Quelle www apis de 2014 2015 IAS Universit t Stuttgart 4 3 Einsatz von Werkzeugen Software Beispiel PLATO SCIO FMEA PLATO SCIO FMEA von Plato GmbH Input Risikobetrachtung mit PLATO SCIO FMEA Fehlerbaum analyse 4 fe s aA Anforderungen Normen LNSTGELEINET Gesetze Strukturen Block Diagram a Dokumentation Produkthaftung Quelle www plato de 2014 2015 IAS Universit t Stuttgart Risiko bewertung Dokumentation Risiko Managementakte Risiko minimierung Dokumentation QS 9000 PPAP VDA ZSA D SOLUTIONS AY SOFTWARE Quelle www plato de 2014 Output Ma nahmen management Control Plan Pr fplan Produkt FMEA Prozess FMEA Prozessplanung 4 3 Einsatz von Werkzeugen ZSA Frage zu Kapitel 4 3 Welchen Aussagen stimmen Sie zu E FTA entspricht der Ermittlung aller Gef hrdungen die auf einen bestimmten Fehler bzw St rfall folgen k nnen O In Matrix Diagrammen werden Kausalit ten von Komponenten verglichen und bewertet o Bei Fischgr ten Diagrammen k nnen auch zeitbehaftetet Ausfallarten korrekt dargestellt werden O Checklisten garantieren eine qualitative Zuverl ssigkeitsanalyse auch von Entwicklern die noch ber keine gro e Erfahrung verf gen 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA 8 4 Fehlerm glichkeits und Einfluss Analyse FMEA 4
104. it von Automatisierungssystemen 8 2 Wahrscheinlichkeit und Zuverl ssigkeit 2 1 Grundlagen der Wahrscheinlichkeitsrechnung 2 2 Lebensdauerverteilungen 2 3 Verf gbarkeit von Systemen 2 4 Zuverl ssigkeitsblockdiagramm 2015 IAS Universit t Stuttgart ZSA 2 3 Verf gbarkeit von Systemen ZSA Verf gbarkeit Wahrscheinlichkeit ein reparierbares System zu einem vorgegebenen Zeitpunkt in einem funktionsf higem Zustand anzutreffen Zeitlicher Anteil der Benutzbarkeit eines Systems e Wert 1 System ist funktionsf hig e Wert 0 System ist nicht funktionsf hig 2015 IAS Universit t Stuttgart 2 3 Verf gbarkeit von Systemen ZSA Ableitung des Erwartungswerts Der Erwartungswert ist der geometrische Mittelwert einer Zufallsgr e In der Zuverl ssigkeitstechnik ist der Erwartungswert der Zeitpunkt bei dem durchschnittlich ein Ausfall auftritt The expectation of the time to failure IEC 60050 Der Erwartungswert der Zuverl ssigkeit wird als MTTF Mean Time To Failure bezeichnet MTTF E t t gt f dt R t dt 0 0 Unter der Annahme einer konstanten Ausfallrate gilt 2015 IAS Universit t Stuttgart 2 3 Verf gbarkeit von Systemen ZSA Kenngr en der Verf gbarkeit MTBF E Zustand l MTTF i l UP 1 41 DOWN 0 Zeit t Inbetriebnahme Ausfall 1 Ausfall 2 1 MTTF Mean Time To Failure MTTF A Durchschnittliche Zeit bis zum Ausfall
105. itsanalyse ber Blockdiagramme 2 2 Ma nahme Redundanz zur Erh hung der Zuverl ssigkeit RP Sensor t 2Rsensor t Rsensor t u 0 839 0 839 0 974 Zuverl ssigkeit des Steuerger ts mit Redundanz R ges neu t RP Sensor t Ryerst Ruc t 0 974 x 0 999 0 957 0 931 Vgl Zuverl ssigkeit des Steuerger ts ohne Redundanz Rges alt t Rsensor t Ryerst t T Ruc t 0 839 0 999 x 0 957 0 802 2015 IAS Universit t Stuttgart 130 2 4 Zuverl ssigkeitsblockdiagramm ZSA Frage zu Kapitel 2 4 Um eine h here Zuverl ssigkeit zu erreichen soll die Sensoreinheit eines Steuerger ts aus 3 identischen parallel geschalteten Sensoren aufgebaut werden Es soll dabei im Durchschnitt h chstens alle 20 Jahre zu einem Ausfall kommen K nnen dazu Sensoren eingesetzt werden die eine Ausfallrate von A 9 3 108 ht aufweisen 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA Gliederung 8 1 Einf hrung Begriffe und Normen 82 Wahrscheinlichkeit und Zuverl ssigkeit 8 3 Fehlerbaumanalyse FTA 84 Fehlerm glichkeits und Einfluss Analyse FMEA 8 5 Softwarezuverl ssigkeit 86 Zuverl ssigkeits und Sicherheitstechnik 8 7 bungsaufgaben 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen 8 3 Fehlerbaumanalyse FTA 3 1 Grundlagen der FTA 3 2
106. itsgerichtet wirken m ssten 2015 IAS Universit t Stuttgart 6 2 Strategien der Zuverl ssigkeits und Sicherheitstechnik ZSA Quasi Fail Safe Verfahren Bei Erkennung eines Fehlers erfolgt die Einleitung von sicherheitsgerichteten Ma nahmen unterbrechungsfreie Stromversorgung Verwendung einer Ausfall oder Fehlererkennung Beispiel Zweikanalige Signalverarbeitung e Versorgung und Kommunikation ber parallele Einheiten e Systemfunktionalit t gegeben trotz Ausfall einer Einheit Bei Software Systemen erfolgt Ausfall oder Fehlererkennung ber e Programmablauf berwachung e Rechenzeit bzw Laufzeit berwachung e Plausibilit tspr fungen Enge Verbindung bzw Zusammenwirken von Hardware und Software 2015 IAS Universit t Stuttgart 6 2 Strategien der Zuverl ssigkeits und Sicherheitstechnik ZSA Allgemeine Beispiele von Strategien Hardware Strategien e Verbesserung von Material Konstruktion und Herstellungsprozess e Auswahl besserer Komponenten e Redundanz e Schutz gegen Umwelteinfl sse Software Strategien e Geeignete Methoden der Softwareentwicklung e Geeignete Tools zur Softwareentwicklung e Wiederverwendung von Software e Selbst berwachung 2015 IAS Universit t Stuttgart 6 2 Strategien der Zuverl ssigkeits und Sicherheitstechnik ZSA Perfektionsstrategie und Non Perfektionsstrategie Strategien der Zuverl ssigkeits und Sicherheitstechnik lassen sich grunds tzlich in zwei K
107. ive FTA ZSA Kritische Menge Schw chster Ast Die kritische Menge ist der Unterbaum eines Fehlerbaums der die minimale Kombination von Einzelelementen enth lt deren Ausfall zu einem unerw nschten Ereignis f hrt Es ist somit eine Aussage ber den schw chsten Ast des Fehlerbaums m glich Schw chster Ast ist die Kombination an Ereignissen die am ehesten zu einem Ausfall f hrt 2015 IAS Universit t Stuttgart 3 2 Qualitative FTA ZSA Kritische Menge St rkster Ast Ist f r einen Unterbaum der schw chste Ast bestimmt worden so ist es auch m glich den st rksten Ast des Unterbaums zu bestimmen St rkster Ast ist die Kombination an Ereignissen mit deren Auftreten am ehesten nicht zu rechnen ist und somit ein Ausfall unrealistischer ist D h ein Ausfall ber den st rksten Ast wird am wenigsten erwartet 2015 IAS Universit t Stuttgart 3 2 Qualitative FTA ZSA Beurteilung der qualitativen FTA Vorteile e Exakte Anpassung an den Untersuchungsgegenstand m glich e Tiefer Informationsgehalt der Auswertung e Erm glicht die Aufdeckung noch unbekannter Ausfallursachen Nachteile e Aufwendige Auswertung der Ergebnisse e Hohe fachliche Kenntnis der Themenfelder der jeweiligen ste notwendig e Relativ zeit und kostenintensiv 2015 IAS Universit t Stuttgart 3 2 Qualitative FTA ZSA Fragen zu Kapitel 3 2 Welchen Aussagen stimmen Sie zu
108. iversit t Stuttgart 4 5 Risikopriorit tszahl RPZ ZSA Analyse der Risikopriorit tszahl Je nachdem welcher Wert sich f r die RPZ ergibt sind bestimmte weitere Ma nahmen sinnvoll BPZ _ Einstutunn Bemerkung Ma nahmen 1 lt RPZ lt 100 Akzeptables Restrisiko Keine Ma nahme erforderlich Zus tzlicher Warnhinweis erforderlich 100 lt RPZ lt 125 Geringes Restrisiko Maschine bzw Benutzerhandbuch Erg nzende zus tzliche Schutzma nahmen erforderlich trennende und nicht trennende Schutzeinrichtungen notwendig 125 lt RPZ lt 250 Erh htes Restrisiko Konstruktive Ma nahmen unbedingt 250 lt RPZ lt 1000 Inakzeptables Restrisiko erforderlich 2015 IAS Universit t Stuttgart 4 5 Risikopriorit tszahl RPZ ZSA Frage zu Kapitel 4 5 Welchen Aussagen stimmen Sie zu Die RPZ ist das Produkt aus Auftretenswahrscheinlichkeit Bedeutung einer Gef hrdung und Erfindungsreichtum von Ma nahmen 1 Wird ein Fehler gefunden so ist die Entdeckungswahrscheinlichkeit 10 RPZ Werte ab 250 sind f r ein System inakzeptabel Akzeptable Risiken erfordern einen Warnhinweis im Benutzerhandbuch 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA 8 4 Fehlerm glichkeits und Einfluss Analyse FMEA 4 1 Grundlagen der FMEA 4 2 Arten der FMEA 4 3 Einsatz von Werkzeugen 4 4 Durchf hrung der FMEA 4 5 Risikopriorit tszahl R
109. ko ist Vor bergehende Beeintr chtigung einer Funktion Fehlende fehlerhafte oder unvollst ndige Erf llung einer geforderten Funktion Nachweis dass ein System seinen Erfordernissen gen gt Nachweis dass eine Betrachtungseinheit die Anforderungsspezifikation vollst ndig erf llt Verhalten eines Systems das nicht der Anforderungsspezifikation entspricht F higkeit einer Betrachtungseinheit auch bei Verletzung der spezifizierten Randbedingungen vereinbarte Funktionen zu erf llen 1 3 Wichtige Begriffe und Bedeutungen ZSA Frage zu Kapitel 1 3 Welchen Aussagen stimmen Sie zu L Ein Fehler ist ein Zustand 1 Ein Fehler hat immer einen Ausfall zur Folge Verifikation ist der Nachweis dass ein System den Erfordernissen gen gt Verf gbarkeit steht f r Sicherheit Zuverl ssigkeit Verl sslichkeit 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA 8 1 Einf hrung Begriffe und Normen 1 1 Einf hrung in die Zuverl ssigkeits und Sicherheitstechnik 1 2 Definition von Zuverl ssigkeit und Sicherheit 1 3 Wichtige Begriffe und Bedeutungen 1 4 Normen 2015 IAS Universit t Stuttgart 1 4 Normen ZSA Allgemeines zu Normen Norm Regel Ma stab Richtung Normung Formulierung Ver ffentlichung und Anwendung von Regeln Leitlinien und Merkmalen durch eine anerkannte Organisation Nationale Normung e Deutsches Institu
110. lagen der Wahrscheinlichkeitsrechnung ZSA Einf hrung Wahrscheinlichkeit zuf lliger Ereignisse Wahrscheinlichkeitsrechnung beschreibt ein Zufallsexperiment das unter bestimmten Randbedingungen durchgef hrt wird und dessen Ergebnis ber ein Ereignis E charakterisiert wird Beispiele f r zuf llige Ereignisse e Werfen eines W rfels Verhalten einer Komponenten innerhalb au erhalb eines definierten Bereichs Zustand eines Systems funktionsf hig nicht funktionsf hig Wahrscheinlichkeit P E f r die ein Ereignis E auftritt P E Anzahl der zu E geh renden Ergebnisse u Anzahl aller Ergebnisse 2015 IAS Universit t Stuttgart 2 1 Grundlagen der Wahrscheinlichkeitsrechnung ZSA Kombination von Ereignissen Boolesche Modellbildung Ereignisse k nnen miteinander verkn pft werden um so zu neuen Ereignissen zu f hren Verkn pfung erfolgt ber logische Gaitter die als elementare Bausteine einer Schaltung logische Operationen durchf hren Eine logische Operation ist eine boolesche Funktion ber die Menge M 0 1 und kann mithilfe von Wertetabellen definiert werden Ein Logikgatter repr sentiert dabei eine Funktion X1 X2 2015 IAS Universit t Stuttgart 2 1 Grundlagen der Wahrscheinlichkeitsrechnung ZSA Grundgatter der Boolschen Modellbildung 1 3 Normung nach IEC 60617 Graphische Symbole f r Schaltpl ne Schaltzeichen IEC 60617 Wertetabelle Funktion Ne
111. lassen unterteilen Perfektionsstrategie Non Perfektionsstrategie Fehlervermeidung Fehlertoleranz Ausschlie en von Fehlern System kann die spezifizierte vor der Inbetriebnahme Funktion nach der eines Systems Inbetriebnahme trotz vorhandener Fehler erf llen Em dp Zeitpunkt der Inbetriebnahme 2015 IAS Universit t Stuttgart 6 2 Strategien der Zuverl ssigkeits und Sicherheitstechnik ZSA Perfektionsstrategie 1 2 Der Einsatz von Perfektionsstrategien richtet sich nach der Wirtschaftlichkeit eines Produkts und ist abh ngig von geltenden Normen bzw Vorschriften Ziel ist das generelle Ausschlie en von Fehlern ber e Ma nahmen gegen Ausf lle aufgrund von bestimmten Ausfallmechanismen e Ma nahmen gegen Ausf lle aufgrund von St reinfl ssen 2015 IAS Universit t Stuttgart 6 2 Strategien der Zuverl ssigkeits und Sicherheitstechnik ZSA Perfektionsstrategie 2 2 Nach der Perfektionsstrategie gilt f r den Entwicklungsprozess die Einhaltung bzw Durchf hrung von e Konstruktiven Ma nahmen e Sorgf ltiger Entwurf Erh hte Anzahl von Tests e Ausgereifte Verifikations und Testmethoden 2015 IAS Universit t Stuttgart 6 2 Strategien der Zuverl ssigkeits und Sicherheitstechnik ZSA Non Perfektionsstrategie 1 2 Verhinderung gef hrlicher Auswirkungen von Fehlern und Ausf llen die im laufenden Betrieb auftreten k nnen durch Diagnose E
112. lerrate Spezifische Fehlerrate in den Test Intervallen t bzw t Ec Ec Asw t Aswz t Fehlerrate wird innerhalb der Intervalle bis zur n chsten Korrektur als konstant angenommen Asw y2 t Asw y2 const nderung der Fehlerrate c Asw sw2 I E T2 E T nderung der Fehlerrate pro Fehlerkorrektur c Alswy T 2015 IAS Universit t Stuttgart 5 3 Modelle der Softwarezuverl ssigkeit ZSA Shooman Modell Proportionalit tskonstante c Proportionalit tskonstante c ist ein fester Wert und ergibt sich aus e Programmiererfahrung der Softwareentwickler e Dauer des Projekts Gegeben aus Erfahrungswerten oder wird berechnet ber e Proportionalit t der Fehlerrate zu der Anzahl der Fehler E T E E T I e Umformung f hrt zu E I x Asw _ Asw def Asw _ Asw2 E E E E E c T gt T TI E T1 I Ec T2 2015 IAS Universit t Stuttgart 5 3 Modelle der Softwarezuverl ssigkeit ZSA Shooman Modell Bestimmung der Modellparameter Berechnung der Gesamtzahl der im Programmcode enthaltenen Fehler Asw2 amp T u Ec T2 W1 E Asw2 _ Asw Berechnung der berlebenswahrscheinlichkeit bzw Zuverl ssigkeit E E T Rsw t e swt e IT Berechnung der mittleren Betriebsdauer bis zum Ausfall MTTF 1 1 MTTFsw Aw EZEM I 2015 IAS Universit t Stuttgart 5 3 Mode
113. liche Auswirkungen von Softwarefehler w hrend des Betriebs zu verhindern e Redundanz e Software Diversit t 2015 IAS Universit t Stuttgart 5 2 Ma nahmen gegen Softwarefehler ZSA Review Review ist nach IEEE 729 ein mehr oder weniger formal geplanter und strukturierter Prozess zur Analyse und Bewertung schriftlicher Dokumente Schema Moderator gt Ziel mr D e Feststellung von M ngeln Fehlern und Unvollst ndigkeiten Fehler im Design Falsche Schnittstellenspezifikation Unzureichende Wartbarkeit e Formale Planung und Strukturierung des Bewertungsprozess e Formale Abnahme des Pr fobjekts 2015 IAS Universit t Stuttgart 5 2 Ma nahmen gegen Softwarefehler ZSA Allgemeine Review Methoden Entwurfs oder Programmreviews e Aufdecken von Fehlern im Entwurf oder Programm e Durchf hrung anhand von Checklisten Fortschrittsreview Bereitstellung von Informationen ber den Fortschritt des Projekts f r das Management e Betrifft vor allem Kosten und Termine Qualit tsreview Technische Analyse des Produkts Komponenten und Dokumente Aufdeckung von Fehlern und Inkonsistenzen zwischen der Systemspezifikation dem Entwurf dem Programm und der Dokumentation 2015 IAS Universit t Stuttgart 295 amp 5 2 Ma nahmen gegen Softwarefehler ZSA Review Arten nach IEEE 1028 Management Review zur Bewertung des Projektstands durch das Management Te
114. lle der Softwarezuverl ssigkeit ZSA Shooman Modell Rechenbeispiel 1 4 Gegeben e 1000 Anweisungen im Programm e Testintervalle t 20 Tage und qt 40 Tage e 5 Stunden fehlerfreie Testzeit pro Tag e Im ersten Testintervall werden 16 im zweiten 24 Fehler korrigiert Daraus folgt e Anzahl der normierten Fehler E t1 16 e 4 1900 9 016 E T 24 e T l 1000 0 024 2015 IAS Universit t Stuttgart 5 3 Modelle der Softwarezuverl ssigkeit ZSA Shooman Modell Rechenbeispiel 2 4 e Fehlerfreie Testzeiten H 20d 5h 100h H 40d 5h 200h e Absch tzung der Fehlerraten E T1 16 ETE y E 0 16h 1 SW1 SW1 H 100h E T2 24 Asw2 t amp Asy 0 12h71 SW2 SW2 H 200h 2015 IAS Universit t Stuttgart 5 3 Modelle der Softwarezuverl ssigkeit ZSA Shooman Modell Rechenbeispiel 3 4 Bestimmung der Modellparameter e Gesamtzahl der Fehler EN v el EeCT2 sw1 I Asw2 _ Asw 0 12 1000 ne x 0 016 0 024 0 12 0 16 1 2015 IAS Universit t Stuttgart 5 3 Modelle der Softwarezuverl ssigkeit ZSA Shooman Modell Rechenbeispiel 4 4 e Proportionalit tskonstante I Asw I Asw2 a oe E E T E E T _ 1000 0 16 1000 0 12 48 16 48 24 e nderung der Fehlerrate pro Fehlerkorrektur 0 005 A se 5 SW 11000 2015 IAS U
115. llsgr e X im Raum der nat rlichen Zahlen k und dem Parameter u gt 0 k u u e Verteilungsdichte P X k P k a p Einsatz im Rahmen statistischer Pr fplanung von Ausf llen in der Produktion oder der Modellierung von St rf llen komplexer Industrieanlagen Experimente bei denen ein Ereignis selten eintritt dieses jedoch ein gro es Risiko mit sich bringen kann 2015 IAS Universit t Stuttgart 104 2 2 Lebensdauerverteilungen ZSA Poisson Verteilung Simulation Poisson Verteilung wird vollst ndig ber den Parameter u beschrieben Simulation der Wahrscheinlichkeitsverteilung bei ver nderlichem Parameter u Wahrscheinlichkeit 2015 IAS Universit t Stuttgart 2 2 Lebensdauerverteilungen ZSA Poisson Verteilung Rechenbeispiel Ein Hersteller produziert Bauteile mit einem durchschnittlichen Ausschuss von 1 Wie gro ist die Wahrscheinlichkeit dass bei einer Qualit tskontrolle von 10 Bauteilen genau 2 defekt sind u n p 10 0 01 0 1 2 0 1 Da P X 2 Po 1 2 7 xe Z 0 0045 0 45 2015 IAS Universit t Stuttgart 2 2 Lebensdauerverteilungen ZSA Frage zu Kapitel 2 2 Ein Sensors soll bei einer Betriebszeit von 10 000h eine exponenitiell verteilte Ausfallwahrscheinlichkeit von 8 nicht berschreiten Welche dabei als konstant annehmbare Ausfallrate sollte der Sensor maximal haben 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherhe
116. lung Zuverl ssigkeitsberechnung Einsatz zur Berechnung der Zuverl ssigkeit von mvn Systemen Redundante Systeme Majorit tsredundanz bei denen m von n Komponenten funktionieren m ssen z B 2 von 3 Voraussetzung ist dass dabei alle Komponenten dieselbe Ausfallrate besitzen und somit identische Zuverl ssigkeitswerte p aufweisen Es gilt n Rmvn gt 6 px 1 pP k m 2015 IAS Universit t Stuttgart 2 2 Lebensdauerverteilungen ZSA Poisson Verteilung Allgemeines Benannt nach Sim on Denis Poisson 1781 1840 Franz sischer Mathematiker und Physiker 1798 1800 Studium der Mathematik an der Ecole Polytechnique in Paris 1802 stellvertretender Professor von Joseph Fourier 1806 bernahme dessen Lehrstuhl f r Analysis und Mechanik 1837 Ver ffentlichung erster Gedankeng nge zur Poisson Verteilung im Rahmen der Wahrscheinlichkeitsbetrachtung von Urteilen in Straf und Zivil Sachen e Basiert auf der Binomialverteilung und stellt deren Grenzverteilung dar e Verteilung f r einen gro en Stichprobenumfang bzw Zahl der Versuche n gt und kleine Merkmalswerte bzw Abnahme der Wahrscheinlichkeit p gt 0 2015 IAS Universit t Stuttgart 2 2 Lebensdauerverteilungen ZSA Poisson Verteilung Beschreibung Die Forderung liegt vor dass das Produkt aus n und p weder Null noch Unendlich wird und gegen einen endlichen Grenzwert u konvergiert gem Es gilt f r eine Zufa
117. mitteln e Abh ngigkeiten innerhalb des Systems zu ermitteln Wirkungsweise des Systems ber Zusammenhang zwischen Anforderungen und Funktionen bestimmen e Darlegen der Anforderungen Funktion Leistung Qualit t e Aufzeigen der Funktionalit t und Zuordnung einzelner Funktionen zu Komponenten e Durchg ngigkeit zwischen Anforderungen Funktionen und Komponente herstellen 2015 IAS Universit t Stuttgart 148 3 2 Qualitative FTA ZSA 1 Analyse des Systems 2 2 Ber cksichtigung der Umgebung e Identifikation relevanter Umgebungseinfl sse Temperatur Feuchtigkeit Vibration e Eigenschaften der Systemelemente bestimmen chemisch und physikalisch die von der Umgebung beeinflusst werden k nnen Verhaltensabh ngigkeiten untersuchen e Zusammenwirken von Systemkomponenten e Reaktion auf Einfl sse der Umgebung und auf Ausf lle externer interner mit der System in Verbindung stehender Komponenten 2015 IAS Universit t Stuttgart 3 2 Qualitative FTA ZSA 2 Unerw nschte Ereignisse definieren Vorgehen nach zwei m gliche Ans tze e Pr ventiver Ansatz Unerw nschten Ereignisse werden von der m glichen Nichterf llung von Funktionen und Anforderungen abgeleitet e Korrektiver Ansatz Unerw nschte Ereignisse werden direkt von aufgetretenen Ausf llen bzw Fehlfunktionen abgeleitet 2015 IAS Universit t Stuttgart 3 2 Qualitative FTA ZSA
118. n ZSA 8 5 Softwarezuverl ssigkeit 5 1 Grundlagen der Softwarezuverl ssigkeit 5 2 Ma nahmen gegen Softwarefehler 5 3 Modelle der Softwarezuverl ssigkeit 5 4 Komponentenansatz 5 5 Situationsbasierte qualitative Modellbildung und Analyse SQMA 2015 IAS Universit t Stuttgart 5 3 Modelle der Softwarezuverl ssigkeit ZSA Software Zuverl ssigkeitsmodelle Zuverl ssigkeitsmodelle in der Softwaretechnik sind mathematische Modelle zur e Absch tzung der Zuverl ssigkeit einer Software e Berechnung von Fehlerraten e Sch tzung der Anzahl von Rest Fehlern in einem Codeabschnitt Basis aller Modelle sind empirische Daten z B gesammelte Daten von Tests Erkenntnisse aus empirischen Daten werden als Empirie bezeichnet Pi N N D Z E 2015 IAS Universit t Stuttgart 313 5 3 Modelle der Softwarezuverl ssigkeit ZSA Klassifizierung nach geschichtlich zeitlichem Auftreten 1993 SQMA IAS vgl Kap 5 5 2015 Modelle gt 200 Jahr 1972 1980 1990 2000 2015 2015 IAS Universit t Stuttgart 5 3 Modelle der Softwarezuverl ssigkeit ZSA Klassifizierung nach Entwurfsphasen Pen Entwurf npero Test Feldeinsatz 2015 IAS Universit t Stuttgart 315 amp 5 3 Modelle der Softwarezuverl ssigkeit ZSA Fr hzeitige Prognosemodelle Prinzip Aus den je nach Modell ben tigten empirischen Daten von Software l sst sich eine Prognose der Zuverl ssigkeit ablei
119. n der FTA ZSA Beispiel Fehlerbaum Ausfall Steuerger t Ausfall Bauteil Bauteilmerkmal bzw Entwicklungsfehler 2015 IAS Universit t Stuttgart 3 1 Grundlagen der FTA ZSA Fragen zu Kapitel 3 1 Welchen Aussagen stimmen Sie zu Bei der FTA handelt es sich um ein deduktives Verfahren L Das Vorgehen der FTA entspricht einer Bottom Up Analyse Ein prim res Ereignis kann mehrere Fehlerursachen haben L Das Ergebnis einer FTA kann immer ber Zahlenwerte beschrieben werden 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen 8 3 Fehlerbaumanalyse FTA 3 1 Grundlagen der FTA 3 2 Qualitative FTA 3 3 Quantitative FTA 3 4 FTA in der Softwareentwicklung 2015 IAS Universit t Stuttgart ZSA 3 2 Qualitative FTA ZSA Qualitative FTA Anwendung 1 2 Ziele 2015 IAS Universit t Stuttgart Identifikation s mtlicher Ausfallarten und Ausfallursachen Festhalten aller kritischer Ereignisse und Ereigniskombinationen Lokalisierung von Schwachstellen Erstellung objektiver Beurteilungskriterien Dokumentation 3 2 Qualitative FTA ZSA Qualitative FTA Anwendung 2 2 Gliederung 2015 IAS Universit t Stuttgart 147 3 2 Qualitative FTA ZSA 1 Analyse des Systems 1 2 Mit dem Ziel e Wirkungsweise des Systems deutlich zu machen e Wechselwirkung ber Schnittstellen mit der Umwelt zu er
120. n kann 2015 IAS Universit t Stuttgart 4 5 Risikopriorit tszahl RPZ ZSA Berechnung der Entdeckungswahrscheinlichkeit E a Qualifikation der gef hrdeten Person 1 Fachmann 2 unterwiesene Person 3 Laie nicht unterwiesene Person ko Komplexit t der Gef hrdungssituation 1 Geringe Komplexit t Situation gut durchschaubar 2 Mittlere Komplexit t Situation noch durchschaubar Hohe Komplexit t Situation kaum durchschaubar am Reaktions Eingreif Ausweichm glichkeit Gute Reaktionsm glichkeiten 1 Schlechte Reaktionsm glichkeiten 2015 IAS Universit t Stuttgart gt 50 4 5 Risikopriorit tszahl RPZ ZSA Bewertungskriterien der Entdeckungswahrscheinlichkeit Allgemeine Bewertungskriterien H ufigkeit Bewertungs punkte Unwahrscheinlich Das Merkmal wird nicht gepr ft bzw kann nicht gepr ft werden Verdeckter Fehler der in der Fertigung oder Montage nicht entdeckt wird lt 90 10 Sehr gering Schwerer zu erkennendes Fehlermerkmal Erkennung durch gt 90 9 visuelle oder manuelle 100 Pr fung m glich Gering Leicht zu erkennendes messbares Fehlermerkmal gt 98 6 8 Erkennung durch 100 Pr fung m glich automatisiert M ig Es handelt sich um ein augenscheinliches Fehlermerkmal gt 99 7 2 5 Erkennung durch 100 Pr fung m glich automatisiert Hoch Funktioneller Fehler der bei den nachfolgenden Arbeitsschritten gt 99 99 1 bemerkt wird 2015 IAS Un
121. n sind Teil des FMEA Formblatts _Betrachtungsgegenstand ist Teil des FMEA Formblatts Instrumente bzw Werkzeuge der Risiko Analyse sind Teil des FMEA Formblatts C Ma nahmen der Risikominderung sind Teil des FMEA Formblatts 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA 8 4 Fehlerm glichkeits und Einfluss Analyse FMEA 4 1 Grundlagen der FMEA 4 2 Arten der FMEA 4 3 Einsatz von Werkzeugen 4 4 Durchf hrung der FMEA 4 5 Risikopriorit tszahl RPZ 4 6 FMEA Formblatt 4 7 Software FMEA SFMEA 2015 IAS Universit t Stuttgart 4 7 Software FMEA SFMEA ZSA FMEA in der Softwareentwicklung FMEA f r Software Systeme muss an die speziellen Anforderungen von Software angepasst werden vgl Kap 5 e Software unterliegt nicht dem Verschlie e Software beinhaltet direkt bei Inbetriebnahme Fehler e USW Entscheidend ist die Tatsache dass Software keine spezifischen bekannten und eindeutigen Ausfallwahrscheinlichkeiten aufweist Eine Bewertung ber Wahrscheinlichkeiten f llt somit weg Man spricht daher im Zusammenhang mit der Software FMEA SFMEA von einer Analyse von M glichkeiten 2015 IAS Universit t Stuttgart 4 7 Software FMEA SFMEA ZSA Vorgehen Es fehlen noch allgemeing ltige Standards bzw Prozeduren zur Durchf hrung einer SFMEA Es wird sich daher auf den bekannten Ablauf bezogen 1 Struktura
122. nalyse 2 Funktionsanalyse 3 Fehleranalyse 4 Risikobewertung 5 Optimierung Hier erfolgt eine Betrachtung der Schritte 1 3 da sich das Kapitel 5 ausf hrlich mit der Bewertung von Softwarezuverl ssigkeit und Ma nahmen zur Steigerung dieser besch ftigt 2015 IAS Universit t Stuttgart 264 4 7 Software FMEA SFMEA ZSA Strukturanalyse Strukturanalyse entspricht prinzipiell der Analyse des Programma blaufs Programmablauf wird dem im Entwurf definierten Flussdiagramm entnommen Sollte das Flussdiagramm nicht aktuell sein oder fehlen so kann ein Kontrollflussgraph zu einem Software Segment erstellt werden Beispiel eg if x gt 0 amp amp y gt 0 return a 2015 IAS Universit t Stuttgart 4 7 Software FMEA SFMEA ZSA Funktionsanalyse Die exakte Funktionalit t des Systems zu verstehen ist der wichtigste aber auch komplexeste Schritt Anforderungen an das Software System m ssen mit dem zu analysierenden Code abgeglichen werden e berf hrung von menschlicher Sprache in maschinelle Sprache Code ist immer kritisch e Fehler bei diesem Schritt f hren zu unbrauchbaren Ergebnissen der SFMEA Weitere Aspekt ist der Durchf hrungszeitpunkt e In fr hen Phasen liegen oft nur Teile der Gesamtsoftware vor e Betrachtung des Gesamtsystems ist nicht m glich 2015 IAS Universit t Stuttgart 4 7 Software FMEA SFMEA ZSA Fehleranalyse 1 2 Ansatz der Fehleranalyse ist die
123. niversit t Stuttgart 5 3 Modelle der Softwarezuverl ssigkeit ZSA Jelinski Moranda Modell Zeitabh ngiges Zuverl ssigkeitswachstumsmodell Zeitr ume der Zuverl ssigkeitssch tzung im Bereich von Monaten Es gelten folgende Annahmen e Zu Beginn befinden sich eine Zahl von X Fehlern im Programm e Tritt ein Fehler auf so wird dieser ohne die Entstehung neuer Fehler erfolgreich behoben e Fehler sind voneinander und von der Vorgeschichte unabh ngig Ben tigte Daten e Anzahl der Fehler zu Beginn Sch tzung aus Erfahrungswerten e Zahl der Fehler bis zu einem Ausfall e Zeit zwischen den Ausf llen MTBF 2015 IAS Universit t Stuttgart 5 3 Modelle der Softwarezuverl ssigkeit ZSA Schick Wolverton Modell Zeitabh ngiges Modell zur Berechnung der Restfehlerzahl und der Fehlererkennungsrate innerhalb definierter Zeitintervalle Es gelten folgende Annahmen e Fehlerentdeckungsrate ist proportional zu der Zahl der enthaltenen Restfehler e Anzahl der Restfehler nimmt exponentiell ab e Fehler treten zuf llig auf und sind voneinander unabh ngig e Alle Fehler sind zu jedem Zeitpunkt gleich gef hrlich e Fehlerentdeckungsrate ist in den vorgegebenen Zeitintervallen konstant e Alle entdeckten Fehler werden behoben und es werden dabei keine neuen Fehler gemacht 2015 IAS Universit t Stuttgart 5 3 Modelle der Softwarezuverl ssigkeit ZSA Klassifizierung nach der Zeitunabh ngigkeit Bei zeituna
124. ntwortet sind geeignete Ma nahmen zu geltenden Arbeitsschutzbestimmungen entsprechen veranlassen um Unfall und Gesundheitsgefahren an diesen n a n 5 Arbeitspl tzen vorzut i 25 Istdie Tastatur variabel aufstellbar und die Beschriftung gut lesbar Arbeitsplatz Arbeitsumgebung Unterweisung 1 Hat der Arbeitstisch je nach Aufgabe zus tzliche Arbeitsmittel wechselnde T tigkeiten eine ausreichende Arbeitsfl che Breiie 120 am 160 cm Tiefe mind 80 cm 26 Sind die Besch ftigten ber die richtige Einstellung der 2 Ist der Arbeitstisch mindestens so tief dass vor der Tastatur ein Arbeitsm Het de Reinigung CeT Eisch r g e e und Tasir Freiraum von 5 bis 10 cm Tiefe zur Auflage der Handballen sowie ber die richtige Sitzhaltung unterrichtet verbleibt und gleichzeitig der Sehabstand zum Bildschirm 60 cm 27 Ist die Unterweisung dokumentiert UENCE AS BEE C OET oe 28 Wird die Unterweisung unter Ber cksichtigung des intere Kante der Tischplatte hinausragt Bag A NF an BESSERE REES festgestellten Fehlverhaltens sowie bei k rperlichen nn be er ee en Beschwerden die auf die T tigkeit am Bildschirmarbeitsplatz 3 zur ckgef hrt werden k nnen wiederholt z P 29 wW f tigt N g 5 Istein Vor lager halter vorhanden verschiebbar und in H he und i E Neigung verstellbar E Ar P 6 Sind die notwendigen Fu st tzen vorhanden z B bei nicht Arbeitsmittel richtig einzustellen und zu benutzen h henverstellbaren Tischen
125. nzter Zeitrahmen von ca 5 30 min Einfache und kosteng nstige Methode Gruppendynamik synergie f hrt oftmals zu innovativen L sungsans tzen Nachteilig ist die Abh ngigkeit von den Teilnehmern Gefahr des Abschweifens und die Selektion geeigneter Ideen 4 4 Durchf hrung der FMEA ZSA Aufgabe des FMEA Team 2 2 Ruhige Techniken z B Kreativit tstechnik Brainwriting ber 6 3 5 Methode e Nach Bernd Rohrbach Unternehmensberater Deutschland 1968 e Reihenweise werden Ideen nach dem Schema niedergeschrieben dass bereits notierte Ideen aufgegriffen und erg nzt werden 6 Teilnehmer 3 Ideen pro Teilnehmer 5 Weitergaben 1 e Viele Ideen in kurzer Zeit die nicht zerredet werden e Jeder Teilnehmer ist gleichberechtigt e Nachteilig ist dass der starre Ablaufmechanismus die Kreativit t st ren oder der Bearbeitungstakt f r Teilnehmer zu langsam schnell sein kann 2015 IAS Universit t Stuttgart 233 4 4 Durchf hrung der FMEA ZSA Grunds tzlicher Ablauf einer FMEA 2015 IAS Universit t Stuttgart 234 4 4 Durchf hrung der FMEA ZSA Strukturanalyse Systemstruktur erstellen e Zu untersuchendes System wird von der Umgebung abgegrenzt und Schnittstellen werden klar definiert e System wird in immer weitere Systemelemente aufgeteilt bis einzelne Funktionsgruppe Baugruppen oder Bauteile vorliegen e Einzelne Systemelemente werden hierarchisch angeordnet 2015 IAS Universit
126. ode zu komplex sind um diese ber einen Fehlerbaum darzustellen Daher ist nur die automatische oder manuelle berf hrung von Modulen Funktionen oder Schleifen in Fehlerb ume sinnvoll Top Ereignis wird durch einen unerw nschten Output dargestellt Schematisches Beispiel 2015 IAS Universit t Stuttgart 185 3 4 FTA in der Softwareentwicklung ZSA Probleme bei der Software FTA Fehlerbaum gibt ein System nur zu einem festen Zeitpunkt wieder e Aber die Reihenfolge und die zeitlichen Abst nde des Auftretens von Ereignissen ist entscheidend ber einen Ausfall von Software e Abhilfe ber mehrere Fehlerb ume die einen dynamischen Ablauf darstellen k nnen Software Systeme k nnen verschiedene Zust nde einnehmen wobei erst der weitere Verlauf oder der Kontext angibt ob dieser Zustand zu einem Ausfall f hren kann e Aber die FTA erlaubt nur die Zust nde funktionsf hig oder defekt e Abhilfe bei der quantitativen Durchf hrung ber Wahrscheinlichkeitstheorie auf Basis exakter statistischer Daten 2015 IAS Universit t Stuttgart 3 4 FTA in der Softwareentwicklung ZSA Aussichten System werden immer komplexer sodass eine Auswertung von Hand kaum mehr m glich ist e Rechnergest tzte Methoden zur Behandlung von Fehlerb umen e Effektive Methoden notwendig die analytischen und simulativen Charakter aufweisen e Kombination der FTA mit anderen Methoden Aussagen be
127. olgendem Schema zusammenfassen e UND Verkn pfungen Rgesi t n gt Rus 1 fi RO eamel z R t R t R t e ODER Verkn pfung Rges2 t gt Rund RO i 1 R t R t R t 2015 IAS Universit t Stuttgart 3 3 Quantitative FTA ZSA Zusammenfassen von Pfaden Um die Analyse gr erer Fehlerb ume zu erm glichen werden die Zuverl ssigkeiten entlang einzelner Pfade nach Schema zusammengefasst Beispiel t 10a 87600h o 0 5 1076 nn Rsv g t 2015 IAS Universit t Stuttgart 3 3 Quantitative FTA ZSA 6 Quantitative Bewertung Bei der Durchf hrung einer quantitativen Bewertung gilt es den Ist Zustand eines Gesamtsystem anhand von charakteristischen und eindeutigen Zuverl ssigkeitskenngr en mit dem geplanten und vorher definierten Soll Zustand zu vergleichen Methoden dabei e Methode der minimalen Erfolgspfade e Methode der minimalen Ausfallschnitte 2015 IAS Universit t Stuttgart 3 3 Quantitative FTA ZSA Minimale Erfolgspfade 1 2 Ein Pfad entspricht einer Menge an Komponenten deren Funktionsf higkeit das Funktionieren des Gesamtsystems garantiert Pfade sind dabei minimale Pfade d h ein Pfad darf keine weiteren Unter Pfade als Teilmenge enthalten F r jeden Pfad wird die Zuverl ssigkeit anhand der darin enthaltenen Komponenten berechnet zum Beispiel Pfade als solche stellen Serienanordnungen dar
128. olutes Verfahren vorgegeben sondern erfolgt anhand der qualitativen Absch tzung von Risikoparametern e Schadensausma e H ufigkeit der Gefahr bzw des Aufenthalts von Personen im Gefahrenbereich Aufenthaltsdauer M glichkeit die Gefahr abzuwehren oder den Schaden zu begrenzen e Eintrittswahrscheinlichkeit eines gef hrlichen Ereignisses Beurteilung ist schwer da Umgang mit einem Ereignis oder Einordnung eines Umstands oft nicht eindeutig klassifizierbar Einfaches aber treffendes Beispiel Anfahren am Berg e Unterschiedliche Auffassung von Berg wenn eine Person aus K sten oder Alpen Region stammt 2015 IAS Universit t Stuttgart 413 6 4 Safety Integrity Level SIL ZSA Ermittlung des Safety Integrity Levels Werte Bedeutung leichte Verletzungen S2 Tod einer Person ernste dauerhafte Verletzung Tod mehrerer Personen Tod sehr vieler Personen F1 selten bis fters und oder kurze Aufenthaltsdauer F2 h ufige und oder lange Aufenthaltsdauer P1 m glich unter bestimmten Bedingungen kaum m glich sehr unwahrscheinlich unwahrscheinlich wahrscheinlich SOARE EUL DABEI 2015 IAS Universit t Stuttgart 6 4 Safety Integrity Level SIL Unabh ngigkeit nach SIL PM 2 Projektmanager DI 2 Designer Implementierer VER 2 Verifizierer VAL 2 Validierer GUT Gutachter 2015 IAS Universit t Stuttgart ZSA darf dieselbe Organisation sein darf
129. ov Stochastisches Modell bei dem ein System ber unbeobachtete Zust nde modelliert wird bergange zwischen den Zust nden und das Verweilen in einem Zustand werden mit Wahrscheinlichkeiten versehen Beispiel Beschreibung des Systemverhaltens ber ein Zustandsdiagramm mit den zwei Zust nden 1 System ist in Ordnung und 2 System ist e 5 Wi2 Wahrscheinlichkeit W 0 3 u ausgefallen Wahrscheinlichkeit C O W4 0 6 2015 IAS Universit t Stuttgart 1 2 Definition von Zuverl ssigkeit und Sicherheit ZSA 1 2 Definition von Zuverl ssigkeit und Sicherheit ZSA Markov Modell 2 2 Ablauf BE 4 een ee _ Ko 2015 IAS Universit t Stuttgart 1 2 Definition von Zuverl ssigkeit und Sicherheit ZSA Qualitative Modelle der Zuverl ssigkeitsanalyse Systematische Untersuchung der Auswirkungen von Fehlern oder Ausf llen Aufdeckung von Schwachstellen in Systemen Analyse der Ausfallart Beispiele Fehlerbaumanalyse FTA vgl Kap 3 Fehlerm glichkeits und Einfluss Analyse FMEA vgl Kap 4 Checklisten vgl Kap 4 ABC Analyse 2015 IAS Universit t Stuttgart 1 2 Definition von Zuverl ssigkeit und Sicherheit ZSA ABC Analyse 1 2 Beschreibung von H Ford Dickie Manager bei General Electric in 1951 Ziel ist nach einer Zustandsbeschreibung die Trennung des Wesentlichen vom Unwesentlichen und dadurch die Steigerung der Wi
130. r Software auf Basis empirischer Daten kaum m glich e Genauigkeit und Belastbarkeit der Ergebnisse k nnen in jeder Entwicklungsphase in Frage gestellt werden e Erfahrungswerte m ssen geschaffen werden e Berechnungsverfahren m ssen Erfahrungswerte ber cksichtigen 2015 IAS Universit t Stuttgart 3 4 FTA in der Softwareentwicklung ZSA Fragen zu Kapitel 3 4 Welchen Aussagen stimmen Sie zu Ll FTA erm glicht die Identifikation von fehleranf lligen SW Modulen L Es ist sinnvoll die FTA mit weitere Analysemethoden zu kombinieren Jede Software l sst sich in einen Fehlerbaum berf hren LC Ein Fehlerbaum kann immer die Zust nde einer Software wiederspiegeln 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA Gliederung 1 Einf hrung Begriffe und Normen 2 Wahrscheinlichkeit und Zuverl ssigkeit 3 Fehlerbaumanalyse FTA 4 Fehlerm glichkeits und Einfluss Analyse FMEA 5 Softwarezuverl ssigkeit 6 Zuverl ssigkeits und Sicherheitstechnik 7 bungsaufgaben 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA 8 4 Fehlerm glichkeits und Einfluss Analyse FMEA 4 1 Grundlagen der FMEA 4 2 Arten der FMEA 4 3 Einsatz von Werkzeugen 4 4 Durchf hrung der FMEA 4 5 FMEA Formblatt 4 6 Software FMEA SFMEA 2015 IAS Universit t Stuttgart 4 1 Grundlagen der FM
131. r ZSA Software Diversit t Zur Vermeidung der Kopie von Fehlern wie bei redundanten Systemen erfolgt eine Realisierung von Gleichartigkeit ber unterschiedliche Mittel e Unterschiedliche Algorithmen e Unterschiedliche Programmiersprachen e Unterschiedliche Automatisierungsger te Steuerungen e Unterschiedliche Entwicklungs Teams Struktur 1 Ergebnis 2015 IAS Universit t Stuttgart 309 5 2 Ma nahmen gegen Softwarefehler ZSA Probleme bei Software Diversit t Nachweis der Diversit t grunds tzlich problematisch Zeitliche Koordinierung diversit rer Programme ist aufwendig und schwierig Diversit re Programme verursachen hohe Kosten e Entwicklung e Nachweis e Wartung und Pflege Diversit t muss auch nach nderungen gew hrleistet bleiben Auswahl der Art Algorithmus Programmiersprache Denkmuster von Menschen 2015 IAS Universit t Stuttgart 5 2 Ma nahmen gegen Softwarefehler ZSA Frage zu Kapitel 5 2 Welchen Aussagen stimmen Sie zu DT Die berf hrung einer verbalen in eine formale Sprache ist immer ein kritischer Schritt L Ein Audit ist eine komprimierte Vorstellung eines Produkts Bei Standbye Redundanzen erfolgt im Fehlerfall ein Umschalten auf ein separates zweites System Software Diversit t zeichnet sich durch geringe Kosten aus 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssysteme
132. reibung Testobjekt Testdokumentation u l on Art der Abnahme gt 7S e Testkriterien Testmethode Testwerkzeuge 2015 IAS Universit t Stuttgart 5 2 Ma nahmen gegen Softwarefehler ZSA Hinweise zum Testen Ein modularer Aufbau des Testobjekts mit definierten Schnittstellen erleichtert die Fehlerlokalisierung ber e Programmablaufverfolgung e Zustandsverfolgung e Zustands berwachung Sorgf ltige Durchf hrung der Fehlerkorrektur zur Vermeidung von e Neuen Fehlern e Mehrfacher Wiederholung der Testf lle Beachtung bekannter typischer Fehler z B e Endlosschleifen e Falsche logische Operationen e Sonderf lle 2015 IAS Universit t Stuttgart 5 2 Ma nahmen gegen Softwarefehler ZSA Diversit re R ckw rtsanalyse Vom T V Rheinland im Rahmen eines Projekts am experimentellen Kernkraftwerk in Norwegen entwickelte Methode zur Software Verifikation und zum Sicherheitsnachweis von Software Systemen Prinzip Objekt wird aus der Zielmaschine ausgelesen und an zwei Pr fgruppen bergeben Pr fgruppen arbeiten in Folge ohne Kontakt untereinander Code wird r ck bersetzt bis hin zu den spezifizierten Anforderungen R ckspezifikationen werden untereinander und mit den urspr nglichen Anforderungen verglichen Bei bereinstimmung gilt Softwaresystem als korrekt entwickelt und erh lt Sicherheitsnachweis Annahme System ist frei von Fehlern nach dem Stand der Technik 2015 IAS Univer
133. reignissen die zu Unf llen f hren k nnen Frage Was sind die Folgen f r das Gesamtsystem wenn das Einzelereignis X eintritt 2015 IAS Universit t Stuttgart 1 2 Definition von Zuverl ssigkeit und Sicherheit ZSA Deduktive Zuverl ssigkeitsanalyse Es wird ein Schluss von der Allgemeinheit auf das Einzelne gezogen Ziel ist die Schlussfolgerung logischer Konsequenzen Vereinfachter Gedankengang In der Zuverl ssigkeitstechnik R ckw rts gerichtete Herleitung von m glichen Ausf llen oder Fehlerquellen die zu Unf llen f hren k nnen Frage Welche Einzelereignisse oder Kombinationen von Einzelereignissen k nnen zu einem unerw nschten Zustand f hren 2015 IAS Universit t Stuttgart 1 2 Definition von Zuverl ssigkeit und Sicherheit ZSA Zuverl ssigkeitsanalyse in Entwicklungsprozess Vereinfacht dargestellt am Beispiel des V Modells Lastenheft Abnahme Test gt Modelbildung Pflichtenheft Systemtest 2015 IAS Universit t Stuttgart 1 2 Definition von Zuverl ssigkeit und Sicherheit ZSA Sicherheit Sachlage dass von einem System 1 innerhalb vorgegebenen Grenzen und 2 f r eine bestimmte Zeitdauer keine Gefahr ausgeht oder keine Gef hrdung eintritt Ma nahmen der Sicherheitstechnik richten sich gegen gef hrliche Auswirkungen von Fehlern und Ausf llen Grund f r Ma nahmen ist die Genehmigung durch ein
134. rkennungs und Redundanzma nahmen Non Perfektionsstrategie erfolgt immer nur erg nzend zur Perfektionsstrategie Grund daf r ist e Menschliche Bedienhandlungen sind im Fehler bzw St rungsfall immer als kritisch anzusehen e Reduzierung der Wahrscheinlichkeit von Mehrfachfehlern die auch f r die Toleranzstrategien kritisch sind 2015 IAS Universit t Stuttgart 6 2 Strategien der Zuverl ssigkeits und Sicherheitstechnik ZSA Non Perfektionsstrategie 2 2 Ma nahmen der Non Perfektionsstrategie werden eingesetzt zur e Fehlerausgrenzung d h eine fehlerhafte Komponente wird durch eine fehlerfreie funktionsf hige Komponente ersetzt e Fehlerbehebung d h R cksetzung auf einen gesicherten und bekannten vorherigen fehlerfreien Zustand e Fehlermaskierung d h Aufbau redundanter Strukturen sodass ein Mehrheitsentscheider definiert welches Ereignis korrekt ist Fehlerdetektion und korrektur 2015 IAS Universit t Stuttgart 6 2 Strategien der Zuverl ssigkeits und Sicherheitstechnik ZSA Anwendungs Beispiel Ausfall eines Bauteils Betrachtung physikalischer Fehler die zu dem Ausfall des Bauteils f hren Ma nahmen der Perfektionsstrategie e Ma nahmen gegen Ausf lle aufgrund von Ausfallmechanismen berdimensionierung des Bauteils Verwendung eines hochwertigen vorgealterten Bauteils e Ma nahmen gegen Ausf lle aufgrund von St reinfl ssen Abschirmung R umliche
135. rl ssigkeitsraten 2015 IAS Universit t Stuttgart 4 5 Risikopriorit tszahl RPZ ZSA Berechnung der Auftretenswahrscheinlichkeit El Fehlerwahrscheinlichkeit Fehlverhalten wird selten erwartet 2 Fehlverhalten wird mit m iger H ufigkeit erwartet 3 Fehlverhalten wird sehr h ufig erwartet 3 Gef hrdungsdisposition 1 Aufenthalt im Gefahrenbereich sehr selten 2 Nur zeitweiser Aufenthalt im Gefahrenbereich 3 Sehr langer oder st ndiger Aufenthalt im Gefahrenbereich o Anf lligkeit der Gef hrdung 0 Nicht anf llig gute pers nliche Schutzausr stung 1 Sehr anf llig keine Schutzausr stung 2015 IAS Universit t Stuttgart 4 5 Risikopriorit tszahl RPZ ZSA Bewertungskriterien der Auftretenswahrscheinlichkeit SLR EEE E Bewertungs Allgemeine Bewertungskriterien H ufigkeit ne 1 10 10 Es ist nahezu sicher dass Fehler in gr erem Umfang auftreten 1 20 9 werden P 1 50 8 Mit fr herem Fertigungsverfahren vergleichbar das oft zu Fehlern f hrte Prozess wird beherrscht 1 100 7 Gering 1 200 6 Mit fr herem Fertigungsverfahren vergleichbar das gelegentlich 1 500 5 jedoch nicht in einem wesentlichen Umfang Fehler aufweist 1 1000 Prozess wird beherrscht Sehr gering 1 2000 3 Der Prozess wird statistisch beherrscht 1 20 000 2 Unwahrscheinlich 5 Die Prozessf higkeit ist sichergestellt 2015 IAS Universit t Stuttgart 4 5 Risikopriorit tszahl RPZ ZSA B
136. rozess und dem Menschen bzw Benutzer qualitatives Proze modell 2015 IAS Universit t Stuttgart 5 5 Situationsbasierte qualitative Modellbildung und Analyse SQMA ZSA Frage zu Kapitel 5 5 Welchen Aussagen stimmen Sie zu L SQMA erlaubt die Beschreibung komplexer Systeme trotz unvollst ndigen Informationen C Um SQMA anzuwenden m ssen ausreichend empirische Daten vorliegen C Vor der Modellierung ber SQMA m ssen die SW Komponenten zu einem Gesamtsystem verkn pft werden C SQMA erm glicht die einheitliche Analyse des Mensch Prozess und Softwaremodels 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA Gliederung 1 Einf hrung Begriffe und Normen 2 Wahrscheinlichkeit und Zuverl ssigkeit 3 Fehlerbaumanalyse FTA 4 Fehlerm glichkeits und Einfluss Analyse FMEA 5 Softwarezuverl ssigkeit 6 Zuverl ssigkeits und Sicherheitstechnik 7 bungsaufgaben 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA 86 Zuverl ssigkeits und Sicherheitstechnik 6 1 Risiko Gef hrdung und Gefahr 6 2 Strategien der Zuverl ssigkeits und Sicherheitstechnik 6 3 Sicherheits und Risikoanalysen 6 4 Ermittlung des Safety Integrity Levels SIL 2015 IAS Universit t Stuttgart 6 1 Risiko Gef hrdung und Gefahr ZSA Risiko Gef hrdung und Gefahr
137. rtschaftlichkeit Basiert auf Pareto Prinzip nach Vilfredo Pareto 1896 gt 80 der Ergebnisse eines Projekts in 20 der Zeit gt 20 der Ergebnisse eines Projekts in 80 der Zeit Lorenz Kurve nach Max Otto Lorenz 1905 gt Statistische Verteilungskurve gt Ber cksichtigt das Ausma bzw den Grad der Ungleichverteilung einer Gr e zu einer anderen Gr e 2015 IAS Universit t Stuttgart 1 2 Definition von Zuverl ssigkeit und Sicherheit ZSA ABC Analyse 2 2 Vorhandene Daten werden in drei Relevanz Klassen eingeteilt und nach Gr e und Wichtigkeit geordnet und visualisiert Beispiel Beanspruchung eines Bauteils e A risikoreich mit Wertanteil 5 Beanspruchung z B statische Belastungen Ausfallverhalten ber Berechnung bestimmbar 20 80 e B teil risikoreich mit Wertanteil 15 Beanspruchung z B Verschlei Ausfallverhalten ber Sch tzung oder Experimente bestimmbar e C risikoneutral mit Wertanteil 80 Beanspruchung z B stochastische St e Ausfallverhalten kaum bzw nicht bestimmbar 2015 IAS Universit t Stuttgart 1 2 Definition von Zuverl ssigkeit und Sicherheit ZSA Induktive Zuverl ssigkeitsanalyse Es wird ein Schluss vom Einzelnen auf die Allgemeinheit gezogen Ziel ist die Ableitung von allgemeinen Regeln oder Zusammenh ngen Vereinfachter Gedankengang In der Zuverl ssigkeitstechnik Vorw rts gerichtete Verfolgung von E
138. rundlagen der Softwarezuverl ssigkeit ZSA Betrachtung der Softwarezuverl ssigkeit Eine hohe Zuverl ssigkeit von Softwaresystemen wird durch Anwendung und Zusammenspiel verschiedener Ma nahmen Arten erreicht Es gilt Gegenseitige Beeinflussung daher e Vorausschauendes Planen erspart Arbeit bei der Implementierung e Strukturierte Implementierung erspart Arbeit beim Testen 2015 IAS Universit t Stuttgart 21 5 1 Grundlagen der Softwarezuverl ssigkeit ZSA Organisatorische Ma nahmen Organisatorische Ma nahmen zur Erh hung der Softwarezuverl ssigkeit haben das Ziel definierte und kontrollierbare Prozesse zu gestalten Ausarbeitung und Einhaltung von Merkmalen ist Bestandteil der Ma nahmen Beispiele f r organisatorische Ma nahmen e Entwicklung von Software nach Schema eines Vorgehensmodells e Anwendung von Konfigurationsmanagement zur Steuerung und berwachung aller nderungen und Aktivit ten e Entwicklung nach allgemeing ltigen Software Qualit tsmerkmalen bereits in der Analyse und Entwurfsphase 2015 IAS Universit t Stuttgart 5 1 Grundlagen der Softwarezuverl ssigkeit ZSA Qualit tsmerkmale nach ISO IEC 9126 Zuverl ssigkeit reliability Wird die geforderte Funktion fehlerfrei ausgef hrt Benutzbarkeit useability Ist die Software verst ndlich und einfach bzw intuitiv benutzbar Effizienz efficiency Wird der kleinste Bedarf an Rechenzeit
139. rung in die Zuverl ssigkeits und Sicherheitstechnik ZSA Fazit Systeme m ssen Zuverl ssigkeit und Sicherheit gew hrleisten Methoden der Zuverl ssigkeits und Sicherheitstechnik m ssen beherrscht werden Nur dadurch kann weiterer Fortschritt gew hrleistet werden Beispiel Mercedes DICE Dynamic amp Intuitive Control Experience 2015 IAS Universit t Stuttgart 1 1 Einf hrung in die Zuverl ssigkeits und Sicherheitstechnik ZSA Historie 1940er 1980er Bis 1940 e Festlegung von produktspezifischen Qualit ts Merkmalen e Einf hrung von Qualit ts Pr fungen 1940 1960 mit wachsender Zahl von Systemen e Systematische Erfassung und Analyse von Ausf llen Einf hrung statistischer Qualit tskontrollen e Zuverl ssigkeitsuntersuchungen bereits w hrend der Entwicklung 1960 1980 mit wachsender Komplexit t der Systeme e Methoden zur Sch tzung und zum Nachweis von Ausfallzeiten e Festlegung von Zuverl ssigkeitszielen bereits w hrend der Analyse e Zunehmende Bedeutung der Softwarezuverl ssigkeit 2015 IAS Universit t Stuttgart 1 1 Einf hrung in die Zuverl ssigkeits und Sicherheitstechnik ZSA Historie 1980er heute 1980 1990 e Detailliertere Untersuchung der Software Zuverl ssigkeit e Notwendigkeit automatisierter Tests bzw Selbsttests von Systemen e Steigende Bedeutung der Produkthaftung 1990 bis heute e Gegenseitiger Austausch auf nationaler un
140. s sind statistische Daten die aber h ufig fehlen oder mangelhaft sind Daher Verfahren die eine Kombination beinhalten aus e Statistiken e Extrapolation verschiedenster Informationsquellen e Expertenbeurteilen Soziologen Psychologen 2015 IAS Universit t Stuttgart 6 3 Sicherheits und Risikoanalysen ZSA Einf hrung in PAAG 1 2 Verfahren zur qualitativen Untersuchung der Sicherheit eines Systems Normung nach IEC 61882 als HAZOP Verfahren Hazard and Operability Study Es gilt das Vorgehen nach dem Prinzip e Prognose eines Ereignisses das auftreten k nnte e Auffinden der Ursache e Absch tzen der Auswirkungen e Gegenma nahmen ableiten Entwickelt in der Chemieindustrie in den 1970er Jahren in England Berufsgenossenschaft Chemie setzte das Verfahren f r Deutschland um Seit den 1990er wird das Verfahren auch in der Softwareentwicklung eingesetzt 2015 IAS Universit t Stuttgart 6 3 Sicherheits und Risikoanalysen ZSA Einf hrung in PAAG 2 2 PAAG kann durchgef hrt werden wenn ein erster Entwurf eines System vorliegt Verfahren begleitet den gesamten Entwicklungsprozess Experten Team aus erfahrenen Mitarbeitern Bereiche Entwicklung Betrieb Wartung und Pflege definieren das Soll Verhalten des Systems Auf Basis des Soll Verhalten werden Parameter ver ndert sodass Abweichungen vom normalen Prozessbetrieb auftreten die Gef hrdungen darstellen k nnen Moderator f hrt das Experten Team systema
141. schaftliche oder pers nliche Regeln gesetzt e Aktuelle Statistiken als Basis f r das Grenzrisiko e Genormte Akzeptanzkriterien z B in EN 50126 Das verbleibende Restrisiko ist das Risiko das nicht durch Ma nahmen und die Wirkung aller Sicherheitsfunktionen ausgeschlossen werden kann Restrisiko setzt sich aus einem bekannten bzw absch tzbaren und einem unbekannten Teil zusammen 2015 IAS Universit t Stuttgart 6 1 Risiko Gef hrdung und Gefahr ZSA Arten der Risikoakzeptanz Allgemeine Risikoakzeptanz e Risiko dass bei der richtigen Anwendung der nach dem Stand der Technik notwendigen Ma nahmen nicht ausschlie bar ist e Neben der Technik an sich sind Betriebsf hrung Organisation Personal und m gliche Externe Einfl sse am Gesamtrisiko beteiligt Individuelle Risikoakzeptanz e Risiko das man selbst bereit ist zu akzeptieren e Zum Beispiel Rauchen Motorrad fahren Sport 2015 IAS Universit t Stuttgart 6 1 Risiko Gef hrdung und Gefahr ZSA Mortalit t Begriff aus der Demographie f r die Sterberate d h es wird die Zahl der Todesf lle bezogen auf die Anzahl der Individuen berechnet Darstellung der Mortalit t erfolgt bezogen auf die Altersgruppen Beispiel Deutschland als entwickeltes Industrieland 100 000 10 000 S E A SIS t Be Sterberate je 100 000 r 80 90 100 110 Quelle de wikipedia org 2015 IAS Universit t Stuttgart
142. schwerer Fehler auf der eine Ver rgerung beim Kunden ausl st Fehlfunktionen Sicherheitsaspekte oder gesetzliche Vorschriften werden A hierdurch nicht ber hrt bzw treffen hier nicht zu Es tritt ein mittelschwerer Fehler auf der beim Kunden Unzufriedenheit ausl st 6 Der Kunde f hlt sich dadurch bel stigt oder gest rt 5 Der Kunde wird diese Beeintr chtigungen bemerken bzw wahrnehmen A Lautsprecher brummt oder Pedalkr fte zu hoch Der Fehler ist unbedeutend und der Kunde wird nur geringf gig bel stigt Der 3 Kunde wird nur geringe Beeintr chtigungen am Untersuchungsgegenstand 2 bemerken Es ist unwahrscheinlich dass der Fehler wahrnehmbare Auswirkungen auf das Verhalten des Untersuchungsgegenstandes haben k nnte Der Kunde wird den Fehler wahrscheinlich nicht bemerken 2015 IAS Universit t Stuttgart 4 5 Risikopriorit tszahl RPZ ZSA Begriff der Entdeckungswahrscheinlichkeit E Bewertung der Entdeckungswahrscheinlichkeit E einer Fehler Ursache erfolgt unter Ber cksichtigung der definierten Entdeckungsma nahmen Es werden auch Entdeckungsma nahmen ber cksichtigt die lediglich die Fehler Folge an sich erkennen und somit nur indirekt auf die Fehler Ursache geschlossen werden kann Bewertung von 10 wird vergeben wenn keine Entdeckungsma nahmen definiert wurden und ein Fehler sicher nicht gefunden werden kann Wert 1 wenn ein Fehler mit einer sehr hohen Wahrscheinlichkeit gefunden werde
143. sf lle d h die zeitliche Ableitung der Ausfallwahrscheinlichkeit wird als Ausfalldichte f t bezeichnet failure density dF I g LA F r die Ausfalldichte gilt 0 t lt 0 f t ist gt 0 t gt 0 2015 IAS Universit t Stuttgart 2 1 Grundlagen der Wahrscheinlichkeitsrechnung ZSA berlebenswahrscheinlichkeit Zuverl ssigkeit R t Zuverl ssigkeit R t stellt die Wahrscheinlichkeit P so dar dass die Zufallsgr e T gr er eines vorgegebenen Wertes t ist reliability R t P T gt t A R t ist die Wahrscheinlichkeit f r keinen Systemausfall im Intervall 0 t d h die Zuverl ssigkeit ist das Gegenereignis zur Ausfallwahrscheinlichkeit mit Rtt 0 1 R t gt 0 2015 IAS Universit t Stuttgart 2 1 Grundlagen der Wahrscheinlichkeitsrechnung ZSA Ausfallrate A t Ausfallrate A t ist die Ausfallneigung eines Systems in Abh ngigkeit der Zeit Kenngr e die die Wahrscheinlichkeit eines Systemausfalls bezogen auf die gesamte Lebensdauer T darstellt failure rate Fr hausf lle _ Zufallsausf lle Verschlei amp Bereich 1 M Bereich 2 Erm dungsfehler Bereich 3 z B Montage Fertigungs z B verursacht durch Bedienungs z B Dauerbruch Werkstoff und eklatante oder Wartungsfehler Alterung Gr bchen Konstruktionsfehler Schmutzpartikel Ausfallrate A t Lebensdauer t 2015 IAS Universit t Stuttgart 2 1 Grundl
144. siehe Kap 4 5 Entsprechend der Risikopriorit tszahl erfolgt die Ableitung von weiteren Ma nahmen zur Risikobeseitigung minderung 2015 IAS Universit t Stuttgart 4 4 Durchf hrung der FMEA ZSA Optimierung Optimierungen an den Systemelementen ber die zuvor abgeleiteten zus tzlichen Ma nahmen erfolgt je nach Priorit t e Konzept nderungen um Fehler Ursachen auszuschlie en nderung der Konstruktion Umgestaltung von Prozessen e Konzeptzuverl ssigkeit erh hen um Schwere der Fehler Art zu reduzieren Redundanz Fehleranzeigen e Wirksamere Entdeckungsma nahmen Gr ere Anzahl von Tests Reviews Abschlie end wird der neue bzw ge nderte Stand des Systems bewertet Absch tzung des Systemzustands erfolgt ernuet ber die Risikopriorit tszahl 2015 IAS Universit t Stuttgart 239 4 4 Durchf hrung der FMEA ZSA Frage zu Kapitel 4 4 Welchen Aussagen stimmen Sie zu C Der FMEA Prozess beginnt mit der Auflistung der Funktionalit t Die 6 3 5 Methode beschreibt eine Diskussionsform zur Ideenfindung C Zus tzliche Ma nahmen lassen sich unter anderem aus der Entdeckungswahrscheinlichkeit von Fehlern ableiten C Der Initiator einer FMEA kann auch die Moderation bernehmen 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA 8 4 Fehlerm glichkeits und Einfluss Analyse FMEA 4 1 Grundlagen der FMEA 4 2 Arten
145. sit t Stuttgart Verlag 2013
146. sit t Stuttgart 303 5 2 Ma nahmen gegen Softwarefehler ZSA Ablauf der diversit ren R ckw rtsanalyse Pr fer 1 Maschinencode Pr fer 2 Zielrechners Rekonstruktion des Rekonstruktion des Software Entwurfs Software Entwurfs Rekonstruktion der Rekonstruktion der Anforderungsspezifikation f Anforderungsspezifikation 2015 IAS Universit t Stuttgart Vergleich der Anforderungsspezifikationen Sicherheits Zertifikat _ 304 5 2 Ma nahmen gegen Softwarefehler ZSA Bewertung Vorteile e Leicht verst ndlich und direkt anwendbar e Sehr wirkungsvoll da alle Abweichungen aufgedeckt werden Nachteile e Gro er Aufwand e Keine Betrachtung m glicher Fehlerf lle w hrend des Betriebs Verringerung des Aufwands durch Rechnerunterst tzung e Im ersten Zweig erfolgt berpr fung durch einen Pr fer bzw Pr fgruppe e Im zweiten Zweig wird ein speziell entwickeltes Werkzeugsystem zum R ck bersetzung eingesetzt e Pr fer bzw Pr fgruppe vergleicht die automatisierten Ergebnisse mit den Eigenen 2015 IAS Universit t Stuttgart 305 5 2 Ma nahmen gegen Softwarefehler ZSA Redundanz Redundanz bedeutet das Vorhandensein zus tzlicher funktionsbereiter Mittel Methode um gef hrliche Auswirkungen verbleibender Restfehler w hrend des Betriebs zu verhindern Kategorisierung Pi bzw Pi Redundanz Informations Redundanz Redundanz Zeitl
147. ssen sein C Komponenten m ssen immer ber Parameter an ihre Umgebung angepasst werden Eine spezifische Eigenschaft von SW Komponenten ist es dass diese nur einmalig im System vorhanden ist 2015 IAS Universit t Stuttgart Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA 8 5 Softwarezuverl ssigkeit 5 1 Grundlagen der Softwarezuverl ssigkeit 5 2 Ma nahmen gegen Softwarefehler 5 3 Modelle der Softwarezuverl ssigkeit 5 4 Komponentenansatz 5 5 Situationsbasierte qualitative Modellbildung und Analyse SQMA 2015 IAS Universit t Stuttgart 5 5 Situationsbasierte qualitative Modellbildung und Analyse SQMA ZSA Einf hru ng in SQ MA If you can not measure it you can not manage it SQMA Situationsbasierte Qualitative Modellbildung und Analyse ist eine am IAS entwickelte Methode zum Entwurf komplexer Systeme e in fr hen Entwicklungsphasen e trotz unvollst ndigen bzw ungewissen Informationen Komponentenbasierter Ansatz zur e Systemmodellierung e Analyse des Systems 2015 IAS Universit t Stuttgart 5 5 Situationsbasierte qualitative Modellbildung und Analyse SQMA ZSA Konzept der Modellbildung mit SQMA Ansatz besteht aus mehreren sequentiell durchzuf hrenden Schritten 1 Zerlegung des Gesamtsystems in Komponenten 2 Beschreibung der Komponenten mit qualitativen Ausdr cken 3 Modellierung des Verhaltens auf Komponentenebene 4
148. stehenden Pr fma nahmen e Vermeidungsma nahmen e Erkennungsma nahmen Bestimmung bzw Berechnung der Risikopriorit tszahl gem Kap 4 5 e Auftretenswahrscheinlichkeit einer Fehler Ursache unter Ber cksichtigung der Vermeidungsma nahmen e Bedeutung der Fehler Folge f r das Gesamtsystem e Entdeckungswahrscheinlichkeit unter Ber cksichtigung aller wirksamen Erkennungsma nahmen 2015 IAS Universit t Stuttgart 4 6 FMEA Formblatt ZSA Ma nahmen der Risikominderung Enth lt die entsprechend der Risikopriorit tszahl neuen abgeleiteten Ma nahmen zur Fehlerbehandlung Verantwortlichkeit bei der Durchf hrung der Ma nahmen Wurden die Ma nahmen durchgef hrt so erfolgt die erneute Bestimmung und Dokumentation der Risikopriorit tszahl im FMEA Formblatt Es wird dadurch ermittelt ob die get tigten Verbesserungen ausreichend waren um das Risiko auf einen vertretbaren Rahmen zu mindern oder ob nochmals weitere Optimierungen notwendig sind 2015 IAS Universit t Stuttgart 4 6 FMEA Formblatt ZSA Auszug FMEA Formblatt Ef Teer Funktion Fehlerart Fehler I Derzengerzum 1 Derzeitiger Zustand FE pfohlene Verantwortlich Verbesserter Zustand schritt ursache Abstellungsma keit Termin nahmen 7 7 2 Priman RPZ A RPZ nahme 2015 IAS Universit t Stuttgart 4 6 FMEA Formblatt ZSA Frage zu Kapitel 4 6 Welchen Aussagen stimmen Sie zu C Stammdate
149. t f r Normung DIN e Verein Deutscher Ingenieure VDI EU Normung e Europ isches Komitee f r Normung CEN e Europ isches Komitee f r elektrotechnische Normung CENLEC Internationale Normung e Internationale Organisation f r Normung ISO e Institut of Electrical and Electronics Engineers IEEE 2015 IAS Universit t Stuttgart 1 4 Normen ZSA Nationale Normungsarbeit nach DIN Historie e 1917 Gr ndung Normenausschuss der deutschen Industrie e 1926 Umbenennung zu Deutscher Normenausschuss und Gr ndung von zus tzlichen Arbeitsbereichen f r Krankenh user B rowesen etc e 1975 Zusammenfassung aller Arbeitsbereiche zum Deutschen Institut f r Normung DIN und Gr ndung von Normenaussch sse z B Normenausschuss Automobiltechnik NAAutomobil Normenstelle Elektrotechnik NE DIN hat ca 1800 Mitglieder aus Unternehmen Beh rden oder Wissenschaft Aufgabe ist die Erarbeitung von Normen innerhalb interessierter Kreise die sich aus Vertretern der verschiedenen Normenaussch sse bilden Jeder kann einen Antrag auf Normung stellen 2015 IAS Universit t Stuttgart 1 4 Normen ZSA Umgang mit Normen Normen sind kein Gesetz d h deren Einhaltung ist nicht verbindlich Normen repr sentieren den zu diesem Zeitpunkt aktuellen Stand der Technik Stand der Technik entspricht dem was heute technisch machbar ist und tats chlich mindestens einmal realisi
150. t von Automatisierungssystemen ZSA 8 4 Fehlerm glichkeits und Einfluss Analyse FMEA 4 1 Grundlagen der FMEA 4 2 Arten der FMEA 4 3 Einsatz von Werkzeugen 4 4 Durchf hrung der FMEA 4 5 FMEA Formblatt 4 6 Software FMEA SFMEA 2015 IAS Universit t Stuttgart 4 2 Arten der FMEA ZSA Unterscheidung nach Arten Im Entwicklungsprozess wird nach drei FMEA Arten unterschieden e System FMEA e Konstruktions FMEA auch als Design FMEA bezeichnet e Produkt und Prozess FMEA Aufteilung in Arten notwendig da e Oft funktionale Zusammenh nge zwischen Komponenten nicht korrekt erfasst werden k nnen e Aufgrund steigender Komplexit t keine Analyse des gesamten Herstellungsprozess von der Planung bis hin zur Auslegung von Systemen mehr m glich ist 2015 IAS Universit t Stuttgart 4 2 Arten der FMEA ZSA FMEA Arten im Entwicklungsfeld Varianten viel wenig ungenau genau Konkretisierung der Produktmerkmale 2015 IAS Universit t Stuttgart 203 4 2 Arten der FMEA ZSA Begriffe System und Funktion System ist ein technisches Gebilde Maschine Ger t Anlage e Klar abgrenzbar von der Umgebung e Untergliederung in Teilsysteme m glich e Einteilung in Einheiten m glich Baugruppen Komponenten Funktion beschriebt den Zusammenhang zwischen dem Ein und Ausgangsgr en von Systemen e Aufgabenbeschreibung e Eindeutige Zuordnung m glich Eingangsgr
151. tativen Bewertung Identifikation kritischer Pfade Erkennen kritischer Mengen e Quantitativen Bewertung Aufstellen von Pfaden und Schnitten Berechnung von Zuverl ssigkeitskenngr en Lange Rechenzeiten und gro e Speicherkapazit ten notwendig Sorgf ltige Planung des Einsatz e Strukturierte Analyse des Systems e Effiziente Aufstellung des Fehlerbaums 2015 IAS Universit t Stuttgart 3 4 FTA in der Softwareentwicklung ZSA Beherrschung komplexer Systeme Fehlerb ume sind h ufig un bersichtlich und enthalten Redundanzen Auf Basis der Prim r Ereignisse und deren Kombination k nnen Fehlerb ume mathematisch als boolesche Funktionen beschrieben werden die ber Algorithmen vereinfacht werden k nnen z B Verfahren nach Quine und McCluskey Beispiel der Systematik in Form bin rer Entscheidungsdiagramme 2015 IAS Universit t Stuttgart 3 4 FTA in der Softwareentwicklung ZSA Minimierung des Ausfallrisikos Minimierung des Ausfallrisikos von Software Systemen erfolgt durch die Identifikation von fehleranf lligen Modulen sogenannten high risk modules Ableitung von Ma nahmen zur Absicherung der erkannten Module Im Anschluss ausf hrliche Tests und Re Design des Systems falls n tig 2015 IAS Universit t Stuttgart 184 3 4 FTA in der Softwareentwicklung ZSA Kontrolle von Code Segmenten Kontrolle einer kompletten Software kaum m glich da Abh ngigkeiten im C
152. te Person x Jahr 2015 IAS Universit t Stuttgart 6 1 Risiko Gef hrdung und Gefahr ZSA Bewertung des Risikoakzeptanzkriterium MEM Vorteile des Ansatz e Garantiert feste Grenzwerte unabh ngig vom Nutzungsverhalten sowie den individuellen Risiken eines Nutzers e Erm glicht den Vergleich verschiedener Teil Systeme e Erleichtert die Arbeit von Sicherheitsaufsichtsbeh rden indem Entscheidungskriterien zur Freigabe eines Systems gegeben sind e Festes Ma das sich nicht an gesellschaftliche oder politische Gegebenheiten anpassen l sst Sensibilit t aufgrund aktueller Unf lle Nachteil des Ansatz e Verallgemeinerung da das Systemverhalten im Betrieb nicht genauer betrachtet wird Nutzungsdauer Bedienpersonal 2015 IAS Universit t Stuttgart 6 1 Risiko Gef hrdung und Gefahr ZSA ALARP Prinzip As Low As Reasonably Practicable Prinzip der Risikoreduzierung nach dem ein Risiko durch ein zus tzliches System so niedrig wie vern nftigerweise praktikabel sein soll System muss unter dem m glichen Grad der Wirtschaftlichkeit sicher sein die Kosten f r eine Risikominderung m ssen auf wirtschaftlichen Basis beruhen Es gilt Unzul ssiges Risiko Risikominderung ungeachtet der Kosten Tod Person x Jahr 10 Arbeit 104 Privat Risiko ist zul ssig wenn 1 Eine Risikominderung nicht m glich 2 Kosten der Risikominderung gt Nutzen 108 generell Zul ssiges Risiko
153. ten Bereits in fr hen Phasen ist eine Absch tzung der Zuverl ssigkeit f r eine Software m glich Prinzip Konstanten aus Wahrscheinlichkeit dass ein Fehler empirischen zum Ausfall f hrt Untersuchungen A LOC gt Prognostizierte SW Zuverl ssigkeit Anzahl Quellcodezeilen 2015 IAS Universit t Stuttgart 5 3 Modelle der Softwarezuverl ssigkeit ZSA Fr hzeitige Prognosemodelle Bewertung Problematisch ist die Genauigkeit der Ergebnisse Es ist kaum vorhersehbar ob wie viele und wie schwere Fehler in einer Entwicklungsphase gemacht werden Typische Fehler im Umgang mit Prognosemodellen 2015 IAS Universit t Stuttgart Zeitlich j ngere Werte werden berbewertet Popul re bzw viel diskutierte Werte werden berbewertet Es werden scheinbare Muster erkannt die nicht nachweisbar sind Einfluss von Wunsch und Angst Vorstellungen Daten werden so ausgew hlt oder interpretiert wie es den eigenen Erwartungen entspricht Predicition is very difficult especially about the future Niels Bohr 1885 1962 d nischer Physiker Nobelpreis 1922 f r die Erforschung der Atomstruktur 5 3 Modelle der Softwarezuverl ssigkeit ZSA Architekturbasierte Modelle Prinzip Absch tzung der Zuverl ssigkeit eines Entwurfs oder einer Implementierung auf Basis der jeweilig bekannten empirischen Einzel Zuverl ssigkeiten und Ausf hrungs H ufigkeiten der beinhalt
154. tet In einem Testintervall wird eine bestimmte Fehlerzahl gefunden und korrigiert Es gilt dabei I amp Anzahl der Programmanweisungen t 2 Betriebszeit t 2 Testzeit H fehlerfreie Testzeit 2015 IAS Universit t Stuttgart 5 3 Modelle der Softwarezuverl ssigkeit ZSA Shooman Modell Fehlerzahl und Zeitabh ngigkeit 1 2 F r die Anzahl der Fehler gilt E A A E amp amp o Gesamt Anzahl der Fehler zu Beginn Relative Fehlerzahl Fehlerdichte d h Fehlerzahl auf normiert Anzahl der korrigierten Fehler Anzahl auf normiert Anzahl der Restfehler Anzahl auf I normiert Summe E der korrigierten und restlichen Fehler wird als konstant angenommen E E T E const Es gilt dabei f r die auf die Anzahl der Programmanweisung bezogenen Fehler 2015 IAS Universit t Stuttgart u nz E E T I e T 5 3 Modelle der Softwarezuverl ssigkeit ZSA Shooman Modell Fehlerzahl und Zeitabh ngigkeit 2 2 Es werden mehrere Testintervalle betrachtet z B t und r E t 0 ti T y E t Es werden dabei folgende Annahmen getroffen e Es entstehen keine neuen Fehler bei der Korrektur e F rdie Zahl der korrigierten Fehler in den Intervallen mit 1 lt t gilt E T lt E Tz 2015 IAS Universit t Stuttgart 5 3 Modelle der Softwarezuverl ssigkeit ZSA Shooman Modell Berechnung der Feh
155. tfinden Dieje nigen Personen die die Beurteilung der funktionalen Sicherheit ausf hren m ssen die w hrend jeder Phase des gesamten Sicherheitslebenszyklus des E E PES Sicherheitslebenszyklus und des Software Sicher heitslebenszyklus ausgef hrten T tigkeiten und erzielten Ergebnisse betrachten und beurteilen inwieweit die Ziele und Anforderungen dieser Norm erreicht worden sind 8 2 4 Die Beurteilung der funktionalen Sicherheit muss w hrend des gesamten Lebenszyklus des E E PES Lebenszyklus und des Software Lebenszyklus ausgef hrt werden Sie darf unter Ber cksichtigung der vorrangigen Anforderung dass eine Beurteilung der funktionalen Sicherheit ausgef hrt werden muss be vor eine ermittelte Gef hrdung auftritt nach jeder Phase eines Sicherheitslebenszyklus oder nach mehreren Sicherheits Lebenszyklusphasen ausgef hrt werden 2015 IAS Universit t Stuttgart 1 4 Normen ZSA Beispiel ISO 26262 abgeleitet aus DIN EN 61508 Sicherheitsnorm zur funktionalen Sicherheit von Kraftfahrzeugen Inkrafttreten November 2011 aktuell berarbeitung zu Version 2 in 2017 18 Im Beuth Verlag erschienen Kosten gesamt 1 262 70 Euro Umfang ca 400 Seiten in 10 Teilen auf engl Sprache e Teil 1 Vokabular e Teil 2 Management der funktionalen Sicherheit Projekt bergreifendes Sicherheitsmanagement Sicherheitsmanagement w hrend der Entwicklung Aktivit ten nach Produktfreigabe 2015 IAS Universit t
156. tion von Entwicklungsvorgehen NATO Tagung 1968 mit der Erkenntnis when we had a few weak computers programming became a mild problem and now we have gigantic computers programming has become an equally gigantic problem Edsger Dijkstra 1930 2002 niederl ndischer Informatiker Wegbereiter der strukturierten Programmierung 2015 IAS Universit t Stuttgart 5 1 Grundlagen der Softwarezuverl ssigkeit ZSA Softwarekrise Heute Einsatz Variation und Komplexit t von Software w chst rasant Softwaregesteuerte Produkte bernehmen immer wichtigere und kritischere Aufgaben in unserem Alltag Aber noch viele offene Punkte und Fragen e F hrt der weiterhin steigende Entwicklungs und Kostendruck auch zu einer immer weiter steigenden Zahl von Fehlern e Kann die Qualit tssicherung mit dem Tempo der Entwicklung Schritt halten e Was sind die Folgen von unzureichender Zuverl ssigkeit oder m glicher Sicherheitsl cken Softwarekrise ist weiterhin ein ungel stes Problem der Informationstechnik 2015 IAS Universit t Stuttgart 5 1 Grundlagen der Softwarezuverl ssigkeit ZSA Aspekte von Software 1 2 Software zur Realisation komplexer Funktionen nimmt eine immer wichtigere Rolle ein Jede Software beinhaltet Fehler e Inh rente systematische Fehler Spezifikationsfehler Entwurfsfehler Implementierungsfehler Dokumentationsfehler e Verhalten abh ngig vom Betrie
157. tisch durch das Verfahren indem Leitw rter mit den ver nderlichen Prozess Parameter verbunden werden welche den Fokus der Analyse auf die Ursachen von Gefahren richtet 2015 IAS Universit t Stuttgart 6 3 Sicherheits und Risikoanalysen PAAG Leitw rter ZSA Definierte Leitw rter guidewords sind dabei Nein nicht No Mehr More Weniger Less Sowohl als auch As well as Teilweise Part of Umkehrung Reverse Anders als Other than Fr her sp ter Earlier later Zuvor danach Before after Schneller langsamer Faster slower 2015 IAS Universit t Stuttgart Abweichung vom Soll Verhalten Quantitativer Zuwachs Quantitative Abnahme Zus tzliche Ereignisse zum Soll Verhalten Soll Verhalten erfolgt unvollst ndig Gegenteiliges als das Soll Verhalten Etwas anders als das Soll Verhalten Ein nicht erwarteter Zeitpunkt einer Aktion Eine nicht erwartete Einordnung in eine Sequenz Eine nicht erwartete nderung der Ablauf bzw Ausf hrungsgeschwindigkeit 6 3 Sicherheits und Risikoanalysen ZSA Durchf hrung von PAAG Unterteilung in vier Phasen nach Felix Redmill Buch System Safety HAZOP and Software HAZOP 1999 2015 IAS Universit t Stuttgart 406 6 3 Sicherheits und Risikoanalysen ZSA Initialisierung und Planung PAAG Verfahren wird von einem Verantwortlichen initiator gestartet in dem dieser einen Leiter leader benennt Aufgaben des Leiters sind e Auswahl
158. tz von e Richtlinien und Prinzipien f r den Entwicklungsprozess e Methoden und Techniken zur Programmierung e Einsatz von Prototypen e Verwendung von Werkzeuge 2015 IAS Universit t Stuttgart 5 1 Grundlagen der Softwarezuverl ssigkeit ZSA Anwendung konstruktiver Techniken 1 2 Gegebene Anforderungen m ssen genau berpr ft werden nach Strukturiertheit Erkennbarkeit und Nachpr fbarkeit Vollst ndigkeit Widerspruchsfreiheit und Verst ndlichkeit Es m ssen Absicherung eingeplant werden gegen typische Programmierfehler e jede Art der Fehlbedienung und 2015 IAS Universit t Stuttgart m gliche u ere St rfaktoren 5 1 Grundlagen der Softwarezuverl ssigkeit ZSA Anwendung konstruktiver Techniken 2 2 Bei der Implementierung ist zu beachten 2015 IAS Universit t Stuttgart Vorgehen nach Top Down Methode Verwendung h herer Programmiersprachen Strukturierung und Trennung von Funktionen Modularit t Format der Daten Aspekte der Pr fbarkeit Klarer Programmierstil Geeignete Verwendung von Kommentaren 5 1 Grundlagen der Softwarezuverl ssigkeit ZSA Analytische Ma nahmen Analytische Ma nahmen zur Erh hung der Softwarezuverl ssigkeit haben das Ziel m glichst viele in der Software enthaltenen Fehler und M ngel zu entdecken Es werden gezielt Informationen gesammelt um den Zustand eines Pr fobjekts zu bewerten Effektives und erfolgsversprechen
159. ugen ZSA Ursache Wirkungs Diagramm Einsatz und Bewertung Einsatzm glichkeiten e Analyse von Fehler und Ausfallursachen e Prozesse zur Produktivit tssteigerung e Problemen innerhalb bzw zwischen Abteilungen e Optimierung eines Systems Vorteile e bersichtliche und interdisziplinare Darstellung Einfache Erlern und Lehrbarkeit geringer Zeit und Kostenaufwand Nachteile e Zu umfangreich bei komplexen Problemstellungen Wechselwirkungen oder Zeitabh ngigkeiten nicht erfassbar 2015 IAS Universit t Stuttgart 4 3 Einsatz von Werkzeugen ZSA Ursache Wirkungs Diagramm Anpassung an Software Adaption und Einsatz des Ursachen Wirkungs Diagramms f r die FMEA von Software Systemen m glich Beispiel Richtigkeit Reife Erlernbarkeit Verbrauch Anpassbarkeit Pr fbarkeit 2015 IAS Universit t Stuttgart 215 amp 4 3 Einsatz von Werkzeugen Pr f Fragenkatalog bzw Checklisten ZSA Zusammenstellung von Fragen zur Analyse von Systemen Prozessen und Arbeitsmitteln Erm glicht eine systematische Bewertung des Ist Zustands Beispielhafter Auszug zu einem unerw nschten Ereignis uC liefert keine Daten Spannungsversorgung angeschlossen Hardware Pins korrekt beschaltet L tstellen in Ordnung Schleifen korrekt verschachtelt Software Register korrekt initialisiert Flags richtig gel scht Schnittstelle Abschlusswiderst nde an L
160. ung unbemerkter Ver nderungen e Verf gbarkeit availability Verhinderung von Systemausf llen e Authenzit t authenticity Echtheit und berpr fbarkeit von Daten 2015 IAS Universit t Stuttgart 1 2 Definition von Zuverl ssigkeit und Sicherheit ZSA Risikobetrachtung Grundrisiko Grenzrisiko ohne Ma nahmen Risiko vertretbar gering Risiko nicht vertretbar kleiner als Grenzrisiko gr er als Grenzrisiko Sicherheit Gefahr Restrisiko Mindestens erforderliche Risikoreduzierung tats chliche Risikoreduzierung 2015 IAS Universit t Stuttgart 1 2 Definition von Zuverl ssigkeit und Sicherheit ZSA Sicherheitsnachweis 2015 IAS Universit t Stuttgart 1 2 Definition von Zuverl ssigkeit und Sicherheit ZSA Frage zu Kapitel 1 2 Welchen Aussagen stimmen Sie zu L 2015 IAS Universit t Stuttgart Eine Anlage mit einer hohen Sicherheit zeichnet sich grunds tzlich auch durch eine hohe Zuverl ssigkeit aus Grund f r Zuverl ssigkeitsma nahmen von Systemen ist die Wirtschaftlichkeit Absolute Sicherheit ohne jegliches Risiko gibt es in der Technik nicht Die Berechnung der Zuverl ssigkeit ist das Ziel einer qualitativen Analyse Zuverl ssigkeit und Sicherheit von Automatisierungssystemen ZSA 8 1 Einf hrung Begriffe und Normen 1 1 Einf hrung in die Zuverl ssigkeits und Sicherheitstechnik 1 2 Definition von Zuverl ssigkeit und Sicherheit 1 3 Wichtige Be
161. wendung von IEC 61508 2 und IEC 61508 3 Andere Anforderungen Definitionen und Abk rzungen TEIL 4 Dokumentation Abschnitt 5 und Anhang A TEIL 1 Management der funktionalen Sicherheit Abschnitt 6 TEIL 1 Beurteilung der funktionalen Sicherheit Abschnitt 8 TEIL 1 1 4 Normen ZSA Ausschnitt DIN EN 61508 3 3 8 Beurteilung der funktionalen Sicherheit 8 1 Ziel Das Ziel der Anforderungen dieses Abschnitts ist es zu untersuchen und zu beurteilen ob die funktionale Si cherheit durch die sicherheitsbezogenen E E PE Systeme erreicht worden ist 8 2 Anforderungen 8 2 1 Es m ssen eine oder mehrere Personen f r die Durchf hrung der Beurteilung der funktionalen Si cherheit ernannt werden um zu einer Beurteilung zu gelangen ob die funktionale Sicherheit durch die si cherheitsbezogenen E E PE Systeme erreicht worden ist 8 2 2 Diejenigen Personen die die Beurteilung der funktionalen Sicherheit ausf hren m ssen Zugriff auf alle Personen die in irgendeine T tigkeit des gesamten Sicherheitslebenszyklus des E E PES Sicherheits lebenszyklus oder des Software Sicherheitslebenszyklus eingebunden sind und alle relevanten Informatio nen und Einrichtungen sowohl Hardware als auch Software haben 8 2 3 Die Beurteilung der funktionalen Sicherheit muss in allen Phasen des gesamten Sicherheitslebens zyklus des E E PES Sicherheitslebenszyklus und dem Software Sicherheitslebenszyklus stat
Download Pdf Manuals
Related Search