Kapitel 2 : Fehlerbaum-Analyse

Eine Art der Fehleranalyse ist als Fehlerbaumanalyse (Fault Tree Analysis, FTA) bekannt und beinhaltet die Analyse eines Zustands eines Systems, der als unerwünscht eingestuft wird. In den Bereichen Safety Engineering und Reliability Engineering wird diese Analysemethode vor allem eingesetzt, um ein Verständnis dafür zu erlangen, wie Systeme ausfallen können, um die effektivsten Methoden zur Risikominderung zu etablieren und um die Ereignisraten eines Sicherheitsunfalls oder eines bestimmten (funktionalen) Ausfalls auf Systemebene zu ermitteln (oder ein Gefühl dafür zu erlangen). FTA wird in einer Vielzahl von Hochrisikobranchen eingesetzt, darunter Luft- und Raumfahrt, Kernkraft, Chemie- und Prozessindustrie, Pharmazie und Petrochemie. Darüber hinaus wird es in so unterschiedlichen Bereichen wie der Identifizierung von Risikofaktoren im Zusammenhang mit dem Versagen sozialer Dienstleistungsstrukturen eingesetzt. Darüber hinaus wird FTA in der Softwareentwicklung zum Ziel des Debuggens eingesetzt und steht in direktem Zusammenhang mit dem Ansatz der Ursachenbeseitigung, der zur Identifizierung von Fehlern verwendet wird.

Der "unerwünschte Zustand" oder das Top-Event des Fehlerbaums wird in der Luft- und Raumfahrtindustrie als "Systemausfallsituation" bezeichnet. Dieses Wort stellt ein allgemeineres Konzept dar. Jede dieser Krankheiten wird nach dem Schweregrad ihrer Folgen kategorisiert. Für die härtesten Umstände ist eine möglichst umfassende Fehlerbaumanalyse erforderlich. Diese Zustände des Systemausfalls und die Klassifizierung dieser Zustände werden häufig im Voraus durch den Prozess der Funktionsgefahrenanalyse bestimmt.

Durch die Anwendung der Fehlerbaumanalyse kann man:

Die Fehlerbaumanalyse (FTA) wurde ursprünglich 1962 in den Bell Laboratories von H.A. Watson entwickelt. Dies geschah in Übereinstimmung mit einem Auftrag, den die United States Air Force Ballistics Systems Division zur Untersuchung des Minuteman I Intercontinental Ballistic Missile (ICBM) Launch Control System vergeben hatte. Seitdem hat die Verwendung von Fehlerbäumen umfangreiche Unterstützung gefunden und wird häufig von Praktikern der Zuverlässigkeitsanalyse als Werkzeug für die Fehleranalyse verwendet. Nach der ersten gemeldeten Anwendung von FTA, die 1962 in der Minuteman I Launch Control Safety Study enthalten war, erweiterten Boeing und AVCO die Anwendung von FTA zwischen 1963 und 1964 auf das gesamte Minuteman II-System. Anlässlich des System Safety Symposiums, das 1965 in Seattle stattfand und von Boeing und der University of Washington gesponsert wurde, wurde der FTA viel Aufmerksamkeit geschenkt. Um 1966 begann Boeing, FTA für die Konstruktion von Zivilflugzeugen einzusetzen.

In den 1960er und 1970er Jahren untersuchte das Picatinny Arsenal die Möglichkeit, FTA zum Zwecke der Durchführung von Zündern im militärischen Rahmen der Vereinigten Staaten zu nutzen. FTA wurde im Jahr 1976 vom United States Army Materiel Command in ein Engineering Design Handbook on Design for Reliability aufgenommen. Dokumente über FTA und Zuverlässigkeitsblockdiagramme wurden vom Reliability Analysis Center am Rome Laboratory und seinen Nachfolgeorganisationen veröffentlicht, die jetzt Teil des Defense Technical Information Center (Reliability Information Analysis Center und jetzt Defense Systems Information Analysis Center) sind. Diese Veröffentlichungen reichen bis in die 1960er Jahre zurück. Aktuellere Informationen finden Sie in der MIL-HDBK-338B-Referenz.

Eine Änderung der Lufttüchtigkeitsanforderungen für Luftfahrzeuge der Transportkategorie, die in 14 CFR 25.1309 gefunden wurde, wurde am 8. April 1970 von der Federal Aviation Administration (FAA) der Vereinigten Staaten von Amerika im Federal Register unter der Nummer 35 FR 5665 veröffentlicht. Diese Modifikation führte zu einer breiten Implementierung von FTA in der zivilen Luftfahrtindustrie und zur Einführung von Kriterien für die Ausfallwahrscheinlichkeit von Flugzeugsystemen und -ausrüstungen. Im Jahr 1998 erließ die Federal Aviation Administration (FAA) die Order 8040.4, die eine Risikomanagementrichtlinie festlegte, die eine Gefahrenanalyse in einer Vielzahl notwendiger Vorgänge umfasste, die über die Zertifizierung von Flugzeugen hinausgingen. Zu diesen Aktivitäten gehörten die Flugsicherung und die Modernisierung des nationalen Luftraumsystems in den Vereinigten Staaten. Dies führte zur Veröffentlichung des FAA System Safety Handbook, in dem die Anwendung von FTA in einer Vielzahl formaler Gefahrenanalysemethoden detailliert beschrieben wird.

Als das Apollo-Programm gerade erst startete, stellte sich die Frage, ob es möglich sein würde, Menschen erfolgreich zum Mond zu bringen und sie sicher zur Erde zurückzubringen. Nach Abschluss einer Risiko- oder Zuverlässigkeitsberechnung war das Ergebnis eine Erfolgswahrscheinlichkeit der Mission, die deutlich niedriger war als das, was als akzeptabel angesehen werden konnte. Als Konsequenz dieses Ergebnisses verzichtete die NASA darauf, zusätzliche quantitative Risiko- oder Zuverlässigkeitsanalysen durchzuführen, bis sich das Wrack der Challenger im Jahr 1986 ereignete. Stattdessen entschied sich die National Aeronautics and Space Administration (NASA), die Systemsicherheit mit Hilfe der Fehlermöglichkeits- und Einflussanalyse (FMEA) und anderer qualitativer Methoden zu bewerten. FTA gilt heute als eine der wichtigsten Techniken für die Analyse der Systemzuverlässigkeit und -sicherheit. Diese Erkenntnis entstand durch die Challenger-Katastrophe, die die Bedeutung von probabilistischer Risikobewertung (PRA) und FTA im Rahmen der Risiko- und Zuverlässigkeitsanalyse von Systemen ans Licht brachte. Darüber hinaus hat die Nutzung von FTA bei der NASA zugenommen.

Nach dem Unfall, der sich 1979 auf Three Mile Island ereignete, begann die United States Nuclear Regulatory Commission 1975 mit der Anwendung von PRA-Methoden, einschließlich FTA, in der Kernkraftindustrie. Darüber hinaus hat die NRC die PRA-Forschung nach dem Unfall erheblich ausgeweitet. Am Ende führte dies 1981 zur Veröffentlichung des NRC Fault Tree Handbook, das als NUREG-0492 bezeichnet wurde, sowie zur obligatorischen Verwendung von PRA innerhalb der Regulierungsbehörde der NRC.

Die Occupational Safety and Health Administration (OSHA) des US-Arbeitsministeriums veröffentlichte 1992 ihren Standard für das Prozesssicherheitsmanagement (PSM) in 19 CFR 1910.119 im Federal Register. Dies war eine Reaktion auf eine Reihe von Katastrophen, die sich in der Prozessindustrie ereigneten, darunter die Katastrophe von Bhopal im Jahr 1984 und die Explosion in Piper Alpha im Jahr 1988. Das OSHA Process Safety Management erkennt FTA als gültigen Ansatz für die Durchführung von Prozessgefahrenanalysen (PHA) an.

Gegenwärtig wird FTA in großem Umfang in der Entwicklung von Systemsicherheit und -zuverlässigkeit sowie in allen wichtigen technischen Bereichen eingesetzt.

Zahlreiche Industrie- und Regierungsstandards, wie z. B. NUREG-0492 des National Research Council für die Kernenergieindustrie, eine auf die Luft- und Raumfahrt ausgerichtete Version von NUREG-0492 für die NASA, die ARP4761 der Society of Automotive Engineers für zivile Flugzeuge, der MIL-HDBK-338-Standard für militärische Systeme und der Standard der International Electrotechnical Commission erklären die FTA-Technik. IEC 61025 ist eine Norm, die als europäische Norm EN 61025 anerkannt wurde. Die Nutzung ist so konzipiert, dass sie sich über mehrere Branchen erstreckt.

Immer dann, wenn ein System hinreichend komplex ist, ist es anfällig für ein Versagen als Folge des Ausfalls eines oder mehrerer seiner Teilsysteme. Auf der anderen Seite kann die Wahrscheinlichkeit eines Ausfalls häufig durch den Einsatz eines überlegenen Systemdesigns verringert werden. Die Erstellung eines Logikdiagramms des gesamten Systems ist die Methode, die bei der Fehlerbaumanalyse verwendet wird. Diese Methode bildet die Beziehung zwischen Fehlern, Subsystemen und redundanten Sicherheitsdesignelementen ab.

In einem Baum der Logik wird die unerwünschte Konsequenz als die Wurzel angesehen, die auch als "Top-Ereignis" bezeichnet wird. Ein Beispiel für eine unerwünschte Konsequenz, die sich aus einem zu evaluierenden Vorgang einer Metallstanzpresse ergeben könnte, ist die Möglichkeit, dass ein menschliches Anhängsel gestanzt wird. Geht man von diesem jüngsten Vorfall einen Schritt zurück, so lässt sich ableiten, dass es zwei mögliche Szenarien gibt, in denen dies passieren könnte: entweder im Normalbetrieb oder im Wartungsbetrieb. Die fragliche Bedingung ist ein ODER in der Logik. Wenn man den Zweig des Risikos berücksichtigt, der während des normalen Betriebs auftritt, kann man zu dem Schluss kommen, dass es zwei Möglichkeiten gibt, wie dies geschehen kann: entweder die Presse läuft und verursacht Schäden für den Bediener, oder die Presse führt zu Schäden an einer anderen Person. Ein weiteres logisches ODER wird hier vorgestellt. Zusätzlich kann eine Sicherheitsfunktion in Form eines logischen UND implementiert werden, indem der Bediener gezwungen wird, zwei verschiedene Tasten zu drücken, um die Maschine zu fahren. Dies ist eine Verbesserung, die am Design vorgenommen werden kann. Eine Möglichkeit ist, dass der Knopf eine inhärente Fehlerrate hat; In diesem Fall wird der Knopf zu einem Defekt-Stimulus, der untersucht werden kann.

Die Fähigkeit von Computersystemen, Ausfallwahrscheinlichkeiten aus Fehlerbäumen zu bestimmen, wird durch die Beschriftung von Fehlerbäumen mit tatsächlichen Zahlen ermöglicht, die die Ausfallwahrscheinlichkeit darstellen. Das Phänomen, das als gemeinsame Ursache oder gemeinsamer Modus bezeichnet wird, tritt auf, wenn festgestellt wird, dass...