Verfügbarkeit und Markov- Modelle€¦ · IEC 61511 • Diese internationale Norm behandelt die AdAnwendung sih hitt hi hicherheitstechnischer StSysteme in der Prozessindustrie.

Verfügbarkeit und Markov-Verfügbarkeit und MarkovModelle

VL PLT2, SS 2012Professur für ProzessleittechnikP f L U b Di l I A KProf. Leon Urbas, Dipl.-Ing. A. Krause

Übersicht

• Grundlagen zur Verfügbarkeit und zu Markov-Modellen

• Berechnung des PFD eines heterogenen 1oo2-Systems

• Generisch erzeugte Markov-Modelle für PFDavg

16.05.2012 Folie 2PLT 2

Wozu brauche ich Markov-Wozu brauche ich MarkovModelle?

Leistungskatalog des TÜV Nord

• Optimierung von Strukturen i h h it i ht t S t itt l sicherheitsgerichteter Systeme mittels

Markov-Analysen• Erstellung von Markov Modellen• Erstellung von Markov-Modellen• Bestimmung von sicherheitsrelevanten

Parametern der IEC 61508 und IEC 61511 Parametern der IEC 61508 und IEC 61511 wie PFDavg, HFT, CCF, SSF, su, du, dd, sd

16.05.2012 Folie 4PLT 2

Markov-Analysen

• Zustandsraumanalyse• Modellierung von

– Ausfallwahrscheinlichkeiten und Wahrscheinlichkeiten von ZustandsänderungenWahrscheinlichkeiten von Zustandsänderungen

– sowie Ausfallraten und Reparaturraten

• Quantitatives AnalyseverfahrenQuantitatives Analyseverfahren• Grafisches Modell zur Darstellung von Zuständen

(fehlerfrei, eingeschränkt arbeitend, ausgefallen)

• Annahme: System ist nur vom aktuellenZustand und der Zeit abhängig

16.05.2012 Folie 5PLT 2

Markov-Modell (1)

• Vektor P beschreibt die Aufenthalts-h h i li hk it i i Z t d iwahrscheinlichkeit in einem Zustand i

Üb b h b d TiPPPtP ..21

• Übergangsmatrix M beschreibt die Übergangs-wahrscheinlichkeit von Zustand inach Zustand jnach Zustand j

n

aaa......

....

21

111

M

nnn

ij

aaa....

......

1

21M

16.05.2012 Folie 6PLT 2

nnn1

Markov-Modell (2)

• Vektor dP/dt beschreibt die Änderung derA f th lt h h i li hk it i iAufenthaltswahrscheinlichkeit in einemZustand i

T

Folgende Glei h ng e gibt i h

iPPPtP

..21

• Folgende Gleichung ergibt sich:

tPtP

M

Hinweis: VDI 4008-3 “Markoff Zustandsänderungsmodellemit endlich vielen Zuständen” (über Perinorm erhältlich)

tPtP M

( )

16.05.2012 Folie 7PLT 2

IEC 61508

• Diese internationale Norm beschreibt einenll i Lö fü ll Täti k itallgemeinen Lösungsweg für alle Tätigkeiten

während des Sicherheitslebenszyklusses fürSysteme die aus elektrischen und/oderSysteme, die aus elektrischen und/oderelektronischen und/oder programmierbarenelektronischen Elementen bestehen und die eingesetzt werden, um Sicherheitsfunktionenauszuführen. [1]

16.05.2012 Folie 8PLT 2

IEC 61511

• Diese internationale Norm behandelt die A d i h h it t h i h S tAnwendung sicherheitstechnischer Systemein der Prozessindustrie. Sie fordert außerdemdie Durchführung einer Gefährdungs- und die Durchführung einer Gefährdungs und Risikoanalyse, um daraus die Spezifikationsicherheitstechnischer Systeme ableiten zuykönnen. [… ] Das sicherheitstechnischeSystem umfasst dabei alle zur Ausführungd i h h it t h i h F ktider sicherheitstechnsichen Funktionerforderlichen Komponenten und Teilsystemevom Sensor bis zum Aktor [2]vom Sensor bis zum Aktor. [2]

16.05.2012 Folie 9PLT 2

Beziehung zw. IEC 61508 und IEC 61511

[2]

16.05.2012 PLT 2 Folie 10

PFD und PFDavg [1]

• Probability of dangerous Failure on Demand• PFD

– Sicherheitsbezogene Nichtverfügbarkeit einesSystems die festgelegte SicherheitsfunktionSystems die festgelegte Sicherheitsfunktionauszuführen, wenn eine Anforderung erfolgt

• PFDavg– Mittlere Nichtverfügbarkeit eines Systems die

f t l t Si h h it f kti füh festgelegte Sicherheitsfunktion auszuführen, wenneine Anforderung erfolgt

16.05.2012 Folie 11PLT 2

Ausfallraten Su, Du, Dd und Sd [1]

• Ausfallrate (en: failure rate)– Zuverlässigkeitsparameter t einer Einheit unter

der Voraussetzung, dass sie noch nicht ausgefallenist

• Bedeutung der Indizes:– S = safe = ungefährlich– D = dangerous = gefahrbringend– d = detected = erkannt

d t t d k t– u = undetected = unerkannt

16.05.2012 Folie 12PLT 2

Gefahrbringender Ausfall [1]

• Ausfall einer Einheit, die Anteil an derA füh d Si h h it f kti h t dAusführung der Sicherheitsfunktion hat, der

– verhindert, dass eine Sicherheitsfunktion beiAnforderung ausgeführt wird, so dass die EUC in Anforderung ausgeführt wird, so dass die EUC in einen gefährlichen oder möglicherweisegefährlichen Zustand gebracht wirddi W h h i li hk it i d t di – die Wahrscheinlichkeit vermindert, die Sicherheitsfunktion bei Anforderungordnungsgemäß auszuführen

EUC = Equipment under Control

16.05.2012 Folie 13PLT 2

Ungefährlicher Ausfall [1]

• Ausfall einer Einheit, die Anteil an derA füh d Si h h it f kti h t dAusführung der Sicherheitsfunktion hat, der

– zur Fehlauslösung der Sicherheitsfunktion führt, die EUC in einen sicheren Zustand zu bringen oderdie EUC in einen sicheren Zustand zu bringen oderden sicheren Zustand aufrechtzuerhalten

– die Wahrscheinlichkeit der Fehlauslösung derSi h h it f kti höht di EUC i iSicherheitsfunktion erhöht, die EUC in einensicheren Zustand zu bringen oder den sicherenZustand aufrechtzuerhalten

16.05.2012 Folie 14PLT 2

Ausfall infolge gemeinsamer Ursache (CCF) [1](CCF) [1]

• CCF = Common Cause Failure – Ausfall, der das Ergebnis eines oder mehrerer

Ereignisse ist, die gleichzeitige Ausfälle von zweioder mehr getrennten Kanälen in einemgmehrkanaligen System verursachen und zu einemSystemausfall führen

16.05.2012 Folie 15PLT 2

HFT und SFF [1]

• Hardware Fault Tolerance– Eine Hardwarefehlertoleranz von N bedeutet, dass

N+1 die minimale Anzahl von Fehlern ist, die zueinem Verlust der Sicherheitsfunktion führen kann

• Safe Failure Fraction

konstant wenn

DdSSFF konstant wenn

DuDdS

SFF

16.05.2012 Folie 16PLT 2

Berechnung des PFD einesBerechnung des PFD einesheterogenen 1oo2-Systems [3]

Diversität [1]

• Ungleichartige Mittel zur Ausführung einerF kti litätFunktionalität

– Diversität kann durch unterschiedlichephysikalische Methoden oder unterschiedlichephysikalische Methoden oder unterschiedlicheLösungen für die gleiche Aufgabenstellung erreichtwerden

16.05.2012 Folie 18PLT 2

Heterogenes 1oo2-System

Zuverlässigkeits-blockdiagramm

Zustandsdiagrammblockdiagramm

00 Beide Komponenten funktionieren10 Erste Komponente ausgefallen01 Zweite Komponenten ausgefallenp g11 Beide Komponenten ausgefallenKomponente 1

01

Komponente 2 00

10

11

Grün – System funktioniertRot – System ausgefallen

16.05.2012 Folie 19PLT 2

Herleitung PFD1oo2 in Anlehnung an die EN 61508 [3]61508 [3]

1. Ermittlung der mittleren Systemausfalldauer bei erkannten bzw unerkannten Fehlernerkannten bzw. unerkannten Fehlern

2. Berechnung der relativen Systemausfalldauern (Bezug auf Zeitintervall zwischen WdhPrüfungen)

3. Berechnung der Wahrscheinlichkeiten für Systemausfall

4 Multiplikation der rel Ausfalldauern (2 ) mit WS 4. Multiplikation der rel. Ausfalldauern (2.) mit WS für Systemausfälle (3.)

5. Addition der Teilergebnisse für erkannten/unerkannten Fehler

6. Berücksichtigung von Fehlern mit gemeinsamer UrsacheUrsache

16.05.2012 Folie 20PLT 2

Bei erkannten Fehlern (1/3)

• Schritt 1: Mittlere Systemausfalldauer MTTR– Ein erkannter Fehler wird sofort repariert

• Schritt 2: Relative Systemausfalldauerb i T d Z iti t ll fü di 1T

MTTR

T– wobei T1 das Zeitintervall für die Wiederholungsprüfung ist

• Schritt 3: Wahrscheinlichkeit für einen

1T1T

Schritt 3: Wahrscheinlichkeit für einen Systemausfall

– Ausfall von Kanal 1 aufgrund erkanntem Fehler während Kanal 2 nicht verfügbar und umgekehrt

112211 KDDKDDerk PFDTPFDTP

16.05.2012 Folie 21PLT 2

Bei erkannten Fehlern (2/3)

• Schritt 4: Anteil an der gesamten PFD

TMTTR

PPFD erkerk 1

T

MTTRPFDTPFDTPFD

T

KDDKDDerk 1

112211

1

MTTRPFDPFD KDDKDD 1221

1

16.05.2012 Folie 22PLT 2

Bei erkannten Fehlern (3/3)

• Fortsetzung Schritt 4:

11

11 2 Mit MTTRMTTR

TPFD DDDUK

21

22 2 und

2

MTTRMTTRT

PFD DDDUK

221

11221 2

2)( MTTRMTTRMTTR

TPFD DDDDDDDUDDDUerk

16.05.2012 Folie 23PLT 2

Bei unerkannten Fehlern (1/3)

• Schritt 1: Mittlere Systemausfalldauer

MTTRT 131

• Schritt 2: Relative Systemausfalldauer

11

MTTRT

1

13T

MTTRT

• Schritt 3: Wahrscheinlichkeit eines Systemausfalls

112211 KDUKDUunerk PFDTPFDTP

16.05.2012 Folie 24PLT 2

112211 KDUKDUunerk

Bei unerkannten Fehlern (2/3)

• Schritt 4: Anteil an der gesamten PFD

1

3T

MTTRT

PPFD unerkunerk

1

1

3MTTR

T

PFDTPFDTPFD

Tunerkunerk

1112211

3T

PFDTPFDTPFD KDUKDUunerk

16.05.2012 Folie 25PLT 2

Bei unerkannten Fehlern (3/3)

• Fortsetzung Schritt 4:

MTTRMTTRT

PFD DDDUK

2 Mit 1

111

MTTRMTTRT

PFD DDDUK

2 und 2

122

MTTRT

MTTRT

PFD DDDDunerk

322 11

21

MTTRMTTRT

DDDUDDDU

3)( 1

1221

16.05.2012 Folie 26PLT 2

Gesamtergebnis PFD1oo2

• Schritt 5:

MTTRMTTRT

PFDPFDPFD unerkerkoo

)( 1

21

MTTR

MTTRMTTR

DDDD

DDDUDDDU

2

2)(

221

11221

MTTRT

MTTRT

DUDU

DDDD

322 11

21

21

MTTRMTTRT

DDDUDDDU

3)( 1

1221

16.05.2012 Folie 27PLT 2

Berücksichtigung von CCF

• Schritt 6:

T

PFDPFDPFDPFD CCFunerkerkoo

1

21

MTTRMTTRT

PFD DDDDDDUDUCCF

21

121 2

Mit

16.05.2012 Folie 28PLT 2

Markov-Modelle für heterogene 1oo2-SystemeSysteme

01

00

10

11

[3]

16.05.2012 Folie 29PLT 2

Generisch erzeugte Markov-M d ll [4]Modelle [4]

Generische Erzeugung (1/2)

• Motivation– Mit den Formeln nach DIN EN 61508 sind nur

homogene Systeme und Standardsysteme mit biszu 3 Kanälen berechenbar

– Ansätze zur Erweiterung auf heterogene Systemewurden in [3] vorgestellt

A t• Ansatz– Norm verweist auf weitere zulässige Berechnungs-

verfahren u a Fault Tree Analysis und Markovmodelleverfahren u.a. Fault Tree Analysis und Markovmodelle

– Markovmodelle eignen sich gut zur Berechnungvon PFD

16.05.2012 Folie 31PLT 2

Generische Erzeugung (2/2)

• Nachteile des Markovmodells– Zusandsraumexplosion– Händische Erstellung für große Systeme uneffizient

• Lösung• Lösung– Genenerische Erzeugung von Markovmodellen

basierend auf üblichen Beschreibungs-gterminologien

16.05.2012 Folie 32PLT 2

Fehlertypen

• SD– Safe detected

• DDD d t t d– Dangerous detected

• DUDangerous undetected– Dangerous undetected

• ND– Not detectableNot detectable

16.05.2012 Folie 33PLT 2

Annahmen (1/2)

• A1– Präsentierte Werte beziehen sich auf SIF (Safety

Integrated Function) -> Sensorik, Logik u. Aktorik

• A2• A2– Nur ein Fehler pro Kanal, d.h. ein Kanal mit Fehler

DU kann nicht zusätzlich einen Fehler DD haben

• A3– Kanal o.k., wenn keine untergeordnete

K t f ll i t A t t i htKomponente ausgefallen ist. Ansonsten entsprichtder Zustand des Kanals dem der ausgefallenenKomponente.

16.05.2012 Folie 34PLT 2

Annahmen (2/2)

• A4– Wiederholungsprüfung entdeckt und repariert alle

Fehler vom Typ SD, DD, DU– Alle Kanäle gehen von SD-, DD- und DU-Status Alle Kanäle gehen von SD , DD und DU Status

nach o.k. über– Kanäle mit ND verbleiben in diesem Zustand

• A5– Fehler können nicht zeitgleich auftreten

A ß h C C F il– Außnahme: Common Cause Failure

16.05.2012 Folie 35PLT 2

Strukturregeln

• R1– Sichere Fehler werden automatisch erkannt

• R2R t i SD d DD F hl i h– Reparaturen eines SD- oder DD-Fehlers zieheneinen Funktionstest nach sich, der auch DU-Fehleraufdeckt

– ND-Fehler sind davon nicht betroffen

• R3– System geht in sicheren Zustand, wenn mehr als

M Kanäle eines MooN-Systems im Zustand SD sind

16.05.2012 Folie 36PLT 2

Eingabeparameter

• Kanalausfallraten • Reparaturrate• M und N aus MooN

– Fehlerraten werden getrennt nach Ausfallartbenötigt, d.h.

– Zerlegung der Gesamtfehlerrate kann nachCCNDCCDUCCDDCCSDNDDUDDSD ,,,, , , ,, , , ,

Zerlegung der Gesamtfehlerrate kann nachfolgenden Formeln erfolgen

NDDDDUDSDSDS , ,

DU

DNDDUDDD

PTC

λDCλλλλDC

:Coverage Test Proof

1 , :Coverage Diagnostic

16.05.2012 Folie 37PLT 2NDDU λλ

PTC

:Coverage Test Proof

Markovmodell für 1oo2-System

• 16 ZuständeNr. Kanal 1 Kanal 2 System

1 o.k. o.k. Nein

Nr. Kanal 1 Kanal 2 System

9 o.k. DU Nein1 o.k. o.k. Nein

2 DD o.k. Nein

3 DU o.k. Nein

k i

9 o.k. DU Nein

10 DD DU Ja

11 DU DU Ja

24 ND o.k. Nein

5 o.k. DD Nein

6 DD DD Ja

12 ND DU Ja

13 o.k. ND Nein

14 DD ND Ja

7 DU DD Ja

8 ND DD Ja

15 DU ND Ja

16 ND ND Ja

16.05.2012 Folie 38PLT 2

Markov-Modell für 1oo2-System [4]

Modell für Wiederholungsprüfung

16.05.2012 Folie 39PLT 2

Literatur

[1] DIN EN 61508 (VDE 0803). „Funktionale Sicherheit sicherheits-bezogener elektrischer/elektronischer/programmierbar l kt i h S t “ 2011elektronischer Systeme“, 2011.

[2] DIN EN 61511 (VDE 0810). „Funktionale Sicherheit -Sicherheitstechnische Systeme für die Prozessindustrie“, 2005.

[3] A. Hildebrandt: „Berechnung der „Probability of Failure on [ ] „ g „ yDemand“(PFD) einer heterogenen 1-aus-2-Struktur in Anlehnung an die EN 61508“, atp – Automatisierungstechnische Praxis, 10/2007, Oldenbourg.

[4] T. Gabriel, L. Litz, B. Schrörs: „Generische Erzeugung von Markov-[ ] , , „ g gModellen zur Berechnung sicherheitstechnischer Kenngrößen in PLT-Schutzeinrichtungen“, atp – Automatisierungstechnische Praxis, 07/2008, Oldenbourg.

16.05.2012 Folie 40PLT 2

16.05.2012 PLT 2 Folie 41