Fehlerbaumanalyse in Theorie und Praxis: Grundlagen und Anwendung der Methode

Von Frank Edler, Michael Soden und René Hankammer

Dieses Fachbuch gibt eine praxisorientierte Einführung in Grundlagen und Anwendung der Fehlerbaumanalyse (FTA). Die Autoren erläutern nicht nur die mathematische und theoretischen Grundlagen, sondern auch Modellierungsregeln für die konkrete Systemanalyse. Anhand vieler Beispiele werden diese so erläutert, dass dem Leser die Konstruktion auch von komplexen Fehlerbäumen mit der Abbildung verschiedener Abstraktionsebenen eines Systems deutlich wird. Neben der Einbindung der Analyse in Entwicklungsprojekte widmet sich das Werk auch den Qualifikationen von Analysten sowie der optimalen sprachlichen Ausarbeitung. Das Buch erfordert keine spezifischen Vorkenntnisse, setzt jedoch voraus, technische Darstellungen erfassen zu können. Das Werk richtet sich neben angehenden und praktizierenden Analysten insbesondere auch an andere, die bei Entwicklung, in Projekten oder beispielsweise als Gutachter mit Fehlerbaumanalysen in Kontakt kommen.

• Sprache: Deutsch
• Herausgeber: Springer Vieweg
• Erscheinungsdatum: 19. Okt. 2015
• ISBN: 9783662481660

Buchvorschau

© Springer-Verlag Berlin Heidelberg 2015

Frank Edler, Michael Soden und René HankammerFehlerbaumanalyse in Theorie und Praxis10.1007/978-3-662-48166-0_1

1. Einführung

Frank Edler¹  , Michael Soden²   und René Hankammer³  

(1)

elbon.de, München, Deutschland

(2)

KPIT medini Technologies AG, Berlin, Deutschland

(3)

Funktionale Sicherheit, SGS-TÜV Saar GmbH, München, Deutschland

Frank Edler (Korrespondenzautor)

Email: frank.edler@elbon.de

Michael Soden

Email: soden@ikv.de

René Hankammer

Email: rene.hankammer@sgs.com

1.1 Fehlerbaumanalyse – was ist das?

Die Fehlerbaumanalyse (englisch Fault Tree Analysis, kurz FTA) wurde dafür entwickelt, Fragen der Art „wie kann es dazu kommen, dass … in einer strukturierten Weise zu beantworten und zu bewerten. Der Platzhalter „ … steht hierbei für ein unerwünschtes Ereignis, genannt Hauptereignis. Es gibt grundsätzlich keine Einschränkung, welche Frage hierbei im Raum stehen kann, wie folgende Beispiele zeigen:

… die Stromversorgung in einem Flugzeug komplett ausfällt

… eine Regelungs-Software einen falschen Befehl gibt

… ein wichtiges Schreiben seinen Adressaten nicht erreicht.

Bei einfachen Zusammenhängen reicht meist die Textform für die Beantwortung der Frage. Beispielsweise könnte die Frage „Warum erlischt die Zimmerbeleuchtung?" folgendermaßen beantwortet werden:

Weil jemand das Licht ausschaltet ODER weil beide Lampen defekt sind ODER weil die Leitungsführung defekt ist ODER weil die Sicherung unterbricht ODER weil die Stromversorgung ausfällt.

A336278_1_De_1_Fig1_HTML.gif

Abb. 1.1

Beispiel für die graphische Strukturierung von Kausalitäten im Fehlerbaum

Ein Fehlerbaum stellt die Kausalitäten (d. h. das „warum") demgegenüber in graphischer Form dar, wie Abb. 1.1 für das Beispiel zeigt. Dem Hauptereignis werden die Ursachen untergeordnet. Die logischen Gattersymbole ermöglichen einen schnellen Überblick der Ursachen und Ursachenkombinationen. Man sieht an diesem Beispiel auch, dass „beide Lampen defekt bereits weiter untergliedert wurde in „Lampe 1 defekt UND „Lampe 2 defekt".

Die Ursachenermittlung kann mit gleicher Methodik weiter detailliert werden. Im obigen Beispiel könnte „Leitungsführung defekt" bei Bedarf weiter untergliedert werden in mögliche Defekte der einzelnen Leitungsabschnitte bzw. des Lichtschalters. Dieses iterative Verfahren stellt eine deduktive Analyse dar, häufig auch als Top-Down-Verfahren bezeichnet. Der aus diesem Analyseprozess resultierende Fehlerbaum führt zu einem Modell für ein vorab definiertes Fehlverhalten des Untersuchungsgenstands, das die tieferen Ursachen als Kombinationslogik abbildet. Die Kombinationslogik kann dann mit speziellen Algorithmen ausgewertet werden, um alle Ursachenkombinationen zu bestimmen.

Anstelle von Untersuchungsgegenstand werden wir im Folgenden häufig den Begriff System verwenden, auch wenn mittels FTA auch andere Betrachtungen durchgeführt werden können, wie z. B. die Analyse fehlerhafter Verfahrensabläufe. Diese Verkürzung (wie sie auch andere einschlägige Quellen vornehmen), begründet sich darin, dass FTAs vorwiegend für technische Systeme erstellt werden.

Zur Frage des „warum kommt bei der Fehlerbaumanalyse meist noch die Frage hinzu „und wie wahrscheinlich ist es?. Kennt man für alle Einzelursachen deren Wahrscheinlichkeiten, so kann man daraus die Wahrscheinlichkeit des Hauptereignisses errechnen. Bei technischen Analysen benötigt man daher zur Bestimmung der Fehlerwahrscheinlichkeiten noch zusätzliche Daten über das Ausfallverhalten in Funktion der Zeit. Diese Berechnungen erfolgen im Rahmen der Zuverlässigkeitstheorie.

Die Fehlerbaumanalyse ruht demnach auf folgenden drei Säulen:

Logische Operationen der Booleschen Algebra (Mengenlehre, Kombinatorik)

Elemente der Wahrscheinlichkeitslehre (Theorie zufälliger Ereignisse)

Zuverlässigkeitstheorie für technische Elemente (Zeitverhalten von Ausfallwahrscheinlichkeiten).

1.2 Wozu die Fehlerbaumanalyse geeignet ist

Lassen sich für die zu untersuchende Fragestellung klar abgrenzbare Ursachen ermitteln, kann die FTA-Methodik eingesetzt werden. Sie ist damit im Prinzip weder auf technische Systeme beschränkt, noch auf bestimmte Teilaspekte eines Systems oder eines Ablaufs. Auch grenzt sich die Methodik im Prinzip auf keine bestimmte Ursachenklassen ein (wie z. B. zufällige Bauteilausfälle), sondern ermöglicht einen weiteren Betrachtungsrahmen (z. B. Berücksichtigung von menschlichem Versagen, Umwelteinflüssen etc.). Ähnlich wie die FMEA¹ ist sie also vielfältig einsetzbar.

Bevor man die Fehlerbaumanalyse einsetzt, sollte man sich jedoch darüber klar zu werden, ob sie das geeignete Mittel zum Zweck ist.

Wenn die Frage nach den Ursachen für ein Hauptereignis in einfacher Weise beantwortet werden kann, etwa in der Art „weil A oder B oder C", dann lohnt es sich kaum, dies in einem Fehlerbaum darzustellen (außer zur graphischen Veranschaulichung).

Nachfolgend finden sich Eckpunkte, die bei der Entscheidungsfindung helfen können, in welchem Rahmen die Fehlerbaumanalyse sinnvoll und angemessen ist:

1.

Bei den möglichen Ursachen für die zu untersuchenden Fragen muss die Kombination (also das Zusammentreffen) verschiedener Ereignisse eine Rolle spielen

2.

Der Untersuchungsgenstand weist eine gewisse Komplexität auf, so dass einfachere Methoden nicht oder nur mit größerem Aufwand zum Ergebnis führen

3.

Der Zweck muss die Mittel rechtfertigen, d. h. der Aufwand für die Fehlerbaumanalyse muss in einem angemessenen Gegenwert resultieren.

Zu 1.:

Eine Fehlerbaumanalyse ermöglicht, vielfältige Ereigniskombinationen darzustellen und deren Wahrscheinlichkeit zu berechnen. Spielen solchen Kombinationen keine maßgebliche Rolle, sind tabellarische Analysen (z. B. auf Basis einer FMEA) oft effektiver.

Zu 2.:

Zur Komplexität des Untersuchungsgegenstandes tragen viele Faktoren bei. Dazu gehören Anzahl und Interaktionen seiner Teilelemente, aber auch, welche Ursachenklassen betrachtet werden sollen (z. B. neben Hardware-Fehlern auch externe Störeinflüsse). Die FTA ist dann besonders geeignet, wenn eine andere Technik (z. B. ein Zuverlässigkeitsblockdiagramm) nicht den gleichen analytischen Inhalt bzw. Umfang erbringen kann.

Zu 3.:

Die FTA wird meist erst ab einer gewissen Fehler-Kritikalität eingesetzt, d. h. die zu untersuchenden Hauptereignisse beinhalten in der Regel ein bedeutsames Risiko. Wobei Risiken im wirtschaftlichen Schadenspotential liegen können oder in unzureichender Sicherheit – FTA-Ergebnisse bewerten die Restrisiken trotz einschlägiger risikomindernder Maßnahmen (wie z. B. Redundanz). Zur Analyse weniger bedeutsamer Risiken, wie etwa kleinere Qualitätsmängel oder ungefährliche Betriebsstörungen, ist der Einsatz der FTA in der Regel zu aufwändig.

A336278_1_De_1_Fig2_HTML.gif

Abb. 1.2

Mehrfach abgesicherte Spannungsversorgung für ein Flugzeug

Die obigen Punkte sind natürlich in praktischen Anwendungsfällen der FTA nicht unabhängig voneinander: Wenn ein hohes Risiko in geeigneter Weise durch Gegenmaßnahmen begrenzt werden muss, setzt man in vielen Fällen mehrfache Absicherungen ein. Infolgedessen kann nur mehrfaches Versagen (also Fehlerkombination) zum kritischen Zustand führen. Der Untersuchungsgegenstand wird dadurch zwangsläufig komplexer als z. B. eine einfache Funktionskette. Abbildung 1.2 illustriert dies am Beispiel eines mehrfach redundanten Systems zur Spannungsversorgung in einem Flugzeug.

1.3 Analysemethodik und ihre technische Unterstützung

Bedenkt man die obigen Punkte, dann ist es logisch, dass die Analyse eines komplexen Systems mit kritischen Merkmalen eine sorgfältige und belastbare Untersuchung erfordert.

Zuerst erfordert dies, ein Modell des untersuchten, unerwünschten Fehlverhaltens des Systems mit Hilfe einer passenden logischen Strukturierung zu entwickeln. Dies setzt voraus, dass der Fehlerbaum-Analyst die Analysemethodik beherrscht und sie für das betrachtete System richtig einsetzt.

Ist daraus ein geeigneter Fehlerbaum aufgebaut (und mit Daten zur Berechnung versehen), erfolgt die Auswertung und Bewertung der Ergebnisse. Dazu gibt es eine ganze Reihe von Auswertemöglichkeiten, die auf komplizierten Berechnungen beruhen. Neben den Wahrscheinlichkeitsprognosen stehen auch fortgeschrittene Auswertemethoden zur Vertiefung und Plausibilitätsprüfung der Analyse zur Verfügung.

Die graphische Darstellung eines Fehlerbaums ist das eine, die zugehörigen Berechnungen sind das andere. Für beides ist geeignete Computerunterstützung durch leistungsfähige Spezialsoftware notwendig.

Manchmal sieht man zwar auch Fehlerbaum-Zeichnungen, die mit Standardsoftware erstellt wurden und die eine Gatterlogik mit manuell eingefügten Wahrscheinlichkeitswerten darstellen. Für einfachste Fälle kann so etwas akzeptabel sein (vorausgesetzt die Wahrscheinlichkeitsberechnungen sind korrekt), für umfangreiche Systemanalysen benötigt man dagegen ein geeignetes Softwarewerkzeug.

1.4 Was eine Fehlerbaumanalyse leisten kann

Richtig eingesetzt ist die FTA ein mächtiges Werkzeug. Die Erfahrung zeigt, dass nicht nur die Analyseergebnisse wichtige Aussagen zur Zuverlässigkeit bzw. Sicherheit eines Systems ermöglichen. Auch der Weg zur fertigen Analyse stellt in vielen Fällen schon einen Mehrwert dar, gerade wenn verschiedene Organisationseinheiten mit ihrer jeweiligen Expertise beitragen. Wo technische Schnittstellen und organisatorische Schnittstellen zusammentreffen, bringt die systematische Analyse der Fehlermöglichkeiten manchmal Ungereimtheiten in der Systemauslegung zu Tage. Dinge, die sich häufig noch mit vergleichsweise wenig Aufwand ausmerzen lassen, seien es beispielsweise optimierte Softwarefunktionen zur Fehlerdiagnose oder Änderungen in der Signalführung auf Datenbussen.

Auch vertieft sich durch die Arbeit an der Analyse manchmal erst ein gemeinsames Systemverständnis. Gerade wegen des Top-Down-Ansatzes der FTA lassen sich die Zusammenhänge, die zu Fehlzuständen führen können, im Gesamtkontext überblicken. Nicht selten ermöglicht das den unterschiedlichen Beteiligten (z. B. Konstrukteuren, Hardware- und Software-Entwicklern) bei kritischen Funktionen und Elementen das Wesentliche ihres individuellen Beitrags zu erkennen.

Ein ausgearbeiteter Fehlerbaum enthält letztlich viel Informationen zur Systemauslegung: zum Einsatzprofil, zur Architektur, zur Funktionsweise von Mechanismen zur Fehlerbeherrschung und vieles mehr. Die Quellen dieser Informationen sind häufig auf viele Dokumente verteilt, so dass eine ordentlich erstellte und dokumentierte FTA oft zu einer regelrechten Wissensdatenbank wird. Im Ergebnis ist die graphische Gatterlogik für Techniker und Ingenieure vergleichsweise intuitiv verständlich, so dass sie die zusammengetragenen Daten und Informationen auf eine nachvollziehbare Darstellung komprimiert.

Auch steckt in den Rechenergebnissen weit mehr als die Werte für die Restfehlerwahrscheinlichkeiten der Hauptereignisse. Setzt man die vielfältigen Auswertemethoden zielgerichtet ein, gewinnt man viele weitere Informationen. Beispiele für Fragen, die sich damit beantworten lassen:

Sind alle Absicherungsmechanismen im System auf vergleichbarem Niveau?

Welches Gewicht haben die einzelnen Daten im Analyseergebnis?

Wie stark wirken sich Variationen der Eingangsdaten auf das Gesamtergebnis aus?

Die Erfahrung zeigt leider auch, dass aktuell viele Anwender dieses gesamte Potential der FTA nur unzureichend nutzen. Dies kann an unvollständigen Kenntnissen liegen, aber auch am Einsatz von Analysewerkzeugen mit eingeschränkten Funktionsumfängen.

Es soll nicht verschwiegen werden, dass die Fehlerbaumanalyse auch missbraucht werden kann, um etwas „schönzurechnen". Eine unzutreffende Gatterlogik und unzulängliche Eingangsdaten bzw. Berechnungsparameter verfälschen die Analyseergebnisse. So wurden schon Fälle bekannt, wo mit FTAs auf zweifelhafter Datenbasis ein ausreichendes Sicherheitsniveau vorgegaukelt wurde.

Ein Beispiel dafür sind die zum Teil tödlichen Bestrahlungsunfälle mit dem Medizingerät THERAC 25. Die zugehörige FTA beruhte auf fragwürdigen numerischen Daten, was eine nachträgliche Überprüfung der Analyse ergab (s. [3], S. 58 und ebenda S. 520–521).

1.5 Hintergrund zu Geschichte, Anwendung und Beschreibung der Methodik

Bevor wir zum aktuellen Wissensstand zur Methodik und dem heutigen Status der FTA-Anwendung kommen, lohnt sich ein kurzer historischer Rückblick.

1.5.1 Historie und Meilensteine in der Entwicklung der Methodik

H. A. Watson erdachte 1960 die FTA-Methode, als er in den Bell Laboratories das Abschusssystem der Nuklearrakete Minuteman untersuchte (solche Systeme sind durch eine Kette von Barrieren gegen unzulässigen Abschuss gesichert). Sein Kollege Dave Haasl erkannte in der Vorgehensweise den projektübergreifenden Nutzen für sicherheitstechnische Bewertungen und sorgte dafür, dass zunächst das komplette Minuteman-Programm mittels FTA analysiert wurde. Die Methode fand – zuerst in den USA – in den 1960er und 1970er Jahren rasch Verbreitung in Luft- und Raumfahrt, militärischen Entwicklungen, der zivilen Kerntechnik und anderen Bereichen.

Bereits in diesen beiden Jahrzehnten wurden Theorie, Methodik und auch die notwendigen Algorithmen weitgehend bis zum heutigen Stand entwickelt. Ab den 1980er Jahren folgte eine zunehmend internationale Verbreitung, zuerst in der Kerntechnik, dann in weiteren Feldern wie der Luftfahrt. In den beiden genannten Branchen ist die Fehlerbaumanalyse mittlerweile zum festen Bestandteil der sicherheitstechnischen Beurteilung im Zulassungsverfahren geworden.

Begünstigt wurde die Verbreitung durch die zunehmende Leistungsfähigkeit der Computer, insbesondere als es möglich wurde, die aufwändigen Algorithmen auch auf Personalcomputern und Laptops zu implementieren. Berechnungen, die ursprünglich selbst auf Großrechnern lange dauerten, vollziehen sich heute in wenigen Sekunden bis Minuten. Nicht zu vergessen ist dabei auch, dass moderne Software mit graphischer Benutzeroberfläche wesentlich einfacher zu bedienen ist, als dies bei früheren Computern und Programmen der Fall war.

1.5.2 Anwendungsfelder der Methode

Neben den oben erwähnten Industriesektoren Kerntechnik sowie Luft- und Raumfahrt findet die FTA auch in anderen Bereichen seit geraumer Zeit Anwendung, wie beispielsweise bei der Eisenbahntechnik, der Automobilentwicklung und weiteren. Allerdings ist die Anwendung dort bisher nicht flächendeckend. Einerseits liegt dies daran, dass die Zulassungs- und Freigabeverfahren unterschiedlich sind (z. B. durch nationale Unterschiede geprägt, wie etwa beim Schienenverkehr), andererseits weil probabilistische² Sicherheitsnachweise nicht normativ gefordert werden (wie es beispielsweise im Automobilsektor vor der Erstausgabe des Standards ISO 26262³ der Fall war).

Die FTA findet hingegen nach unserer Kenntnis in manchen Industriebereichen kaum Anwendung, obwohl dort probabilistische Sicherheitsnachweise erforderlich sind und redundante Systeme zur Absicherung gegen gefährliche Fehlfunktionen üblich sind. Dies lässt sich z. B. im Zusammenhang mit Industrieanlagen oder Arbeitsmaschinen beobachten. In diesen Sektoren sind andere Methoden (z. B. Zuverlässigkeitsblockdiagramme oder Markov-Analysen) stärker verbreitet.

Unabhängig vom Branchenkontext werden Fehlerbaumanalysen meist entwicklungsbegleitend (also proaktiv) eingesetzt, d. h. vor dem Inverkehrbringen bzw. der Zulassung der untersuchten Systeme oder Technologien. In Einzelfällen wird sie jedoch auch zur (reaktiven) Störfall- oder Schadensanalyse eingesetzt, beispielsweise geschah dies nach dem Reaktorstörfall 1979 in Three Mile Island (Harrisburg).

Am stärksten verbreitet ist die Fehlerbaumanalyse bisher zur Untersuchung von Systemen, von denen im Ernstfall die Sicherheit⁴ von Leib und Leben in Gefahr ist. Im Fokus sind dabei häufig elektronisch geregelte Systeme, die zur Gewährleistung der Sicherheitsintegrität redundant ausgelegt werden. Beispiele sind Avioniksysteme, Reaktorsteuerungen, Schienenleitsysteme, Fahrdynamikregelungen im Automobil etc.

Die bisherigen Hauptanwendungsfelder entwickelten sich aus der Historie, stellen aber nicht die einzigen dar, wo der Einsatz von FTAs sinnvoll sein kann. Auch wenn große wirtschaftliche Schäden zu vermeiden sind, bedarf es manchmal mehrfach absichernder Mechanismen. Ein Beispiel hierfür ist das Thema Datensicherheit (engl. security), das immer stärkere Bedeutung gewinnt. Safety und Security können auch zusammenhängen. Beispielsweise ist die Zuverlässigkeit der Versorgungseinrichtungen für Wasser und Strom heute für Milliarden von Stadtbewohnern lebenswichtig und damit ihre wirksame Absicherung, etwa gegen Hackerangriffe.

1.5.3 Literatur zur Fehlerbaumanalyse

Angesichts der Tatsache, dass die methodischen und theoretischen Grundlagen für die FTA bereits seit Jahrzehnten entwickelt sind, ist es umso erstaunlicher, dass nach unserer Kenntnis bisher nur ein einziges Buch (s. ) dazu erschienen ist, welches sich ausschließlich der Methode FTA widmet und das nicht für eine bestimmte Branche geschrieben wurde. Häufig zitiert werden die Branchenstandards aus den historisch ältesten Anwendungsfeldern, nämlich Kerntechnik (NUREG 1981) und Luft- und Raumfahrt (NASA 2002). Diese Quellen stammen aus Zeiten, als die komplexe Embedded-Elektronik, die heute unsere Technik prägt, noch kaum im Einsatz war. Dementsprechend fehlen dort methodische Richtlinien für die FTA-Modellierung in der Anwendung für Systeme heutiger Technologie noch weitgehend.

Es gibt einige weitere Quellen, wo die Fehlerbaumanalyse zusammen mit anderen Methoden der Sicherheits- und Zuverlässigkeitsanalyse beschrieben wird. Diese vermitteln teilweise den Eindruck, dass die verschiedenen Analysetechniken nur verschiedene Wege zum gleichen Ergebnis darstellen. Dies halten wir nur für bedingt richtig, nämlich nur dann, wenn die FTA um die Möglichkeiten beschnitten wird, die sie anderen Techniken voraus hat, nämlich das mögliche Einbeziehen aller Kausalitäten (s. Abschn. 1.7).

In der Mehrzahl der existierenden Fachliteratur kommt nach unserer Meinung der Zuverlässigkeitstheorie ein überproportionaler Rahmen zu. Es wurden zwar etliche Publikationen in Fachjournalen und teils auf wissenschaftlicher Ebene erstellt (s. Tab. 1.1), wichtige Aspekte der Auswertung werden dagegen oft nur am Rande behandelt. Beispielsweise gibt es nur wenige Fachbücher, in denen die vielfältigen Möglichkeiten tabellarischer Auswertungen einer FTA (Minimalschnittanalyse, Importanz- und Sensitivitätsanalysen) erläutert werden.

Tab. 1.1

Fachpublikationen zur Fehlerbaumanalyse 1961–2000 (vgl. [2])

Äußerst wichtige Begleitfaktoren, die notwendig sind, um eine „ordentliche" FTA zu erstellen, werden oft nicht oder nur oberflächlich behandelt. Die Systemanalyse, die ein Prozess ist, nur aus der technischen Perspektive zu sehen, greift nach unserer Erfahrung zu kurz. Einerseits benötigt es qualifizierte Analysten, andererseits die Einbindung der Analysetätigkeit in einen größeren Kontext des Informationsaustauschs mit anderen Beteiligten (wie Fachexperten, Management, Gutachter usw.).

Mit IEC 61025 (2007, [1]) gibt es immerhin einen einschlägigen internationalen Standard zur FTA, der nicht branchenspezifisch ist. Erfreulicherweise betrachtet dieser auch die anderweitig oft nicht beschriebenen methodischen Aspekte. Leider klammert der Standard auf der anderen Seite aber den äußerst wichtigen Einflussfaktor Zeit auf Rechenergebnisse praktisch aus, was im Vergleich zu anderer Literatur eine große inhaltliche Lücke darstellt.

Nicht unerwähnt soll bleiben, dass auch manche anderen technischen Standards, vor allem zur Funktionalen Sicherheit (englisch: functional safety), die Anwendung der FTA ab einem gewissen Sicherheitsintegritätslevel empfehlen. Beispiele dafür sind IEC 65108 (2010) und ISO 26262 (2011).

Leider unterscheiden sich deren Terminologie bei den nachzuweisenden Kenngrößen sowohl untereinander und zudem deutlich von den anderen oben beschriebenen Quellen. Das erschwert es FTA-Anwendern, Analyseergebnisse in korrekter Weise auf normative Anforderungen abzubilden.

Es ergibt sich also, was die bisherige Literatur zur FTA angeht, aus unserer Sicht ein eher unbefriedigendes Gesamtbild. Dementsprechend ist es vielleicht kein Wunder, dass manche Unwahrheiten, Halbwahrheiten, Mythen und Vorurteile zum Thema FTA kursieren.

1.6 Zu Mythen und Vorurteilen gegenüber der Methode

In Diskussionen sind schon Aussagen wie diese zu hören gewesen: „eine FTA muss immer auf Ebene der Hardware-Bauteile durchgeführt werden oder „Software-FTA erfolgt auf Ebene des Quellcodes. So etwas kann nur jemand sagen, der eine der großen Stärken der FTA nicht kennt, nämlich dass die Analysetiefe an den jeweiligen Bedarf angepasst werden kann. Insbesondere in geeigneter Kombination mit anderen Methoden können Fehlerbaumanalysen auf den Systemkontext beschränkt werden und liefern dennoch detailgetreue Ergebnisse.

Auch wird bisweilen mit der angeblichen Unmöglichkeit argumentiert, eine FTA für ein Teilsystem zu erstellen, weil die Kenntnis des Gesamtsystems fehle. Leider ist das wahr, falls es an der notwendigen Abstimmung zwischen den beteiligten Organisationen mangelt (z. B. zwischen Systemintegrator und Zulieferern). Gutes Systems Engineering ermöglicht es jedoch, analysierbare Fehlzustände für Systemschnittstellen zu bestimmen. Damit können Einzelnachweise auf die einzelnen Verantwortlichkeiten verteilt werden.

Manchmal wird auch geäußert „Es wird bereits eine FMEA durchgeführt. Das sowieso erstellte Fehlernetz kann zur Fehlerbaumanalyse umstrukturiert werden". Diese Aussage kann im spezifischen Kontext richtig sein, sollte aber nicht als allgemeingültig betrachtet werden. Schließlich folgen FMEA und FTA komplementären methodischen Ansätzen – mit ihren jeweiligen Stärken und Schwächen. Die Fehlerbaumanalyse ist am besten geeignet für die Wiedergabe von Redundanz und/oder mehrschaligen Absicherungskonzepten, wenn diese maßgeblich für Sicherheits- oder Zuverlässigkeitsziele sind. Mit ihrer Hilfe lassen sich zudem Wirkketten von Fehlern (z. B. entlang von Signalpfaden in einer Schaltung) gut nachbilden. Beides sind Aspekte, für die die FMEA nur sehr eingeschränkt tauglich ist (die aber dafür den kompletten Querschnitt eines Systems abbilden kann, und nicht nur die kritischsten Elemente). Deshalb sind wir der Ansicht, dass keiner der beiden Analyseansätze den anderen ersetzen kann. Gerade bei sicherheitsrelevanten Themen liefern sie gewissermaßen eine analytisch-methodische Redundanz und ergänzen sich daher gut.

Ganz allgemein gibt es auch Meinungen wie: „Mehrfachfehler müssen gar nicht betrachtet werden, weil sie so unwahrscheinlich sind, wozu also FTA?". Dies blendet aber wichtige Dinge aus, und zwar in mehrerlei Hinsicht. Erstens sollte eine gut durchgeführte FTA nicht nur eine Systemarchitektur abbilden (z. B. mit ihren implementierten Redundanzen), sondern auch nach der eventuellen gegenseitigen Abhängigkeit von Mehrfachabsicherungen fragen (z. B. im Rahmen von Common-Cause-Betrachtungen). Zweitens wird dabei vergessen, dass in die FTA-Kombinatorik nicht zwangsläufig nur Fehler-Ereignisse eingehen, sondern eventuell auch andere Ereignisse (wie z. B. relative Häufigkeiten von Betriebszuständen, die in der Regel häufiger als einzelne Hardware-Fehler sind). Drittens trifft die Aussage nicht in jedem Kontext zu, z. B. wenn auch menschliche Fehler betrachtet werden müssen. Und nicht zuletzt wird die Wahrscheinlichkeit zufälliger (Hardware-)Fehler nicht nur von deren Zuverlässigkeitskenngrößen bestimmt, sondern auch von den relevanten Zeitdauern (Lebensdauer, Wartungszyklen etc.). Die Analyse sollte eigentlich vor der Bewertung kommen – anstatt umgekehrt.

Speziell zum Thema quantitativer Sicherheits- oder Zuverlässigkeitsanalysen wird von manchen die Meinung vertreten, dass diese generell unnötig seien. Auch wir haben eine gewisse Skepsis, wenn numerische Aussagen allzu ernst genommen werden, weil die individuelle Prognosegüte für Einzelfehlerwahrscheinlichkeiten erfahrungsgemäß ziemlich unsicher ist. Wenn man sich dessen jedoch bewusst ist und die Rechenergebnisse für Restfehlerwahrscheinlichkeiten auch mit Importanz- und Sensitivitätsanalysen untersucht, ergeben sich wertvolle Ansatzpunkte für das Systems Engineering. Deren Aussagekraft ist weitaus weniger von der Datenqualität abhängig als die Berechnungen für gewisse Gesamtmetriken.

Manche wagen sich an das Thema Fehlerbaumanalyse nicht heran, weil es ihnen „zu speziell" erscheint. Es ist richtig, dass spezielle Kenntnisse notwendig sind, eine korrekte FTA zu erstellen. Gerade für Organisationen, die nur von Zeit zu Zeit eine solche Analyse benötigen, kann es deshalb die bessere Lösung sein, auf externe Methodenspezialisten zurückzugreifen (wie auch bei FMEAs häufig praktiziert). Um eine Fehlerbaumanalyse nachzuvollziehen, reichen jedoch Kenntnisse wichtiger Schlüsselelemente. Sind diese bekannt, lässt sich der dafür notwendige Abgleichprozess zwischen Methoden- und Fachexpertise steuern und die Analysequalität gewährleisten.

Einem der Autoren begegnete folgende Aussage während einer Fortbildung zum Qualitätsingenieur (und Jahre bevor er seine erste FTA erstellte): „die Fehlerbaumanalyse ist eine veraltete Methode. Mittlerweile, nach einer Reihe von FTAs für hochkomplexe und innovative Systeme, bleibt dafür ein Schmunzeln übrig. Inwieweit die Fehlerbaumanalyse als Methode zur präventiven Qualitätssicherung geeignet ist oder ggf. „zu viel des Guten, sei dahingestellt.

1.7 Flexibilität der Methode und damit verbundene Tücken

Die Fehlerbaumanalyse hat ihre Tauglichkeit und Aktualität vielfach unter Beweis gestellt und in manchen Projekten wichtigen Erkenntnisgewinn erzeugt. Nur weil manche Literaturquellen nicht mehr auf dem Stand der Technik sind (vgl. Abschn. 1.5.3) – die Methodik ist es nach unserer Meinung weiterhin. Es ist deshalb ein Anliegen, gemeinsames Verständnis für die sinnvolle Anwendung, die Möglichkeiten aber