View
2
Download
0
Category
Preview:
Citation preview
Verfügbarkeit und Markov-Verfügbarkeit und MarkovModelle
VL PLT2, SS 2012Professur für ProzessleittechnikP f L U b Di l I A KProf. Leon Urbas, Dipl.-Ing. A. Krause
Übersicht
• Grundlagen zur Verfügbarkeit und zu Markov-Modellen
• Berechnung des PFD eines heterogenen 1oo2-Systems
• Generisch erzeugte Markov-Modelle für PFDavg
16.05.2012 Folie 2PLT 2
Wozu brauche ich Markov-Wozu brauche ich MarkovModelle?
Leistungskatalog des TÜV Nord
• Optimierung von Strukturen i h h it i ht t S t itt l sicherheitsgerichteter Systeme mittels
Markov-Analysen• Erstellung von Markov Modellen• Erstellung von Markov-Modellen• Bestimmung von sicherheitsrelevanten
Parametern der IEC 61508 und IEC 61511 Parametern der IEC 61508 und IEC 61511 wie PFDavg, HFT, CCF, SSF, su, du, dd, sd
16.05.2012 Folie 4PLT 2
Markov-Analysen
• Zustandsraumanalyse• Modellierung von
– Ausfallwahrscheinlichkeiten und Wahrscheinlichkeiten von ZustandsänderungenWahrscheinlichkeiten von Zustandsänderungen
– sowie Ausfallraten und Reparaturraten
• Quantitatives AnalyseverfahrenQuantitatives Analyseverfahren• Grafisches Modell zur Darstellung von Zuständen
(fehlerfrei, eingeschränkt arbeitend, ausgefallen)
• Annahme: System ist nur vom aktuellenZustand und der Zeit abhängig
16.05.2012 Folie 5PLT 2
Markov-Modell (1)
• Vektor P beschreibt die Aufenthalts-h h i li hk it i i Z t d iwahrscheinlichkeit in einem Zustand i
Üb b h b d TiPPPtP ..21
• Übergangsmatrix M beschreibt die Übergangs-wahrscheinlichkeit von Zustand inach Zustand jnach Zustand j
n
aaa......
....
21
111
M
nnn
ij
aaa....
......
1
21M
16.05.2012 Folie 6PLT 2
nnn1
Markov-Modell (2)
• Vektor dP/dt beschreibt die Änderung derA f th lt h h i li hk it i iAufenthaltswahrscheinlichkeit in einemZustand i
T
Folgende Glei h ng e gibt i h
iPPPtP
..21
• Folgende Gleichung ergibt sich:
tPtP
M
Hinweis: VDI 4008-3 “Markoff Zustandsänderungsmodellemit endlich vielen Zuständen” (über Perinorm erhältlich)
tPtP M
( )
16.05.2012 Folie 7PLT 2
IEC 61508
• Diese internationale Norm beschreibt einenll i Lö fü ll Täti k itallgemeinen Lösungsweg für alle Tätigkeiten
während des Sicherheitslebenszyklusses fürSysteme die aus elektrischen und/oderSysteme, die aus elektrischen und/oderelektronischen und/oder programmierbarenelektronischen Elementen bestehen und die eingesetzt werden, um Sicherheitsfunktionenauszuführen. [1]
16.05.2012 Folie 8PLT 2
IEC 61511
• Diese internationale Norm behandelt die A d i h h it t h i h S tAnwendung sicherheitstechnischer Systemein der Prozessindustrie. Sie fordert außerdemdie Durchführung einer Gefährdungs- und die Durchführung einer Gefährdungs und Risikoanalyse, um daraus die Spezifikationsicherheitstechnischer Systeme ableiten zuykönnen. [… ] Das sicherheitstechnischeSystem umfasst dabei alle zur Ausführungd i h h it t h i h F ktider sicherheitstechnsichen Funktionerforderlichen Komponenten und Teilsystemevom Sensor bis zum Aktor [2]vom Sensor bis zum Aktor. [2]
16.05.2012 Folie 9PLT 2
Beziehung zw. IEC 61508 und IEC 61511
[2]
16.05.2012 PLT 2 Folie 10
PFD und PFDavg [1]
• Probability of dangerous Failure on Demand• PFD
– Sicherheitsbezogene Nichtverfügbarkeit einesSystems die festgelegte SicherheitsfunktionSystems die festgelegte Sicherheitsfunktionauszuführen, wenn eine Anforderung erfolgt
• PFDavg– Mittlere Nichtverfügbarkeit eines Systems die
f t l t Si h h it f kti füh festgelegte Sicherheitsfunktion auszuführen, wenneine Anforderung erfolgt
16.05.2012 Folie 11PLT 2
Ausfallraten Su, Du, Dd und Sd [1]
• Ausfallrate (en: failure rate)– Zuverlässigkeitsparameter t einer Einheit unter
der Voraussetzung, dass sie noch nicht ausgefallenist
• Bedeutung der Indizes:– S = safe = ungefährlich– D = dangerous = gefahrbringend– d = detected = erkannt
d t t d k t– u = undetected = unerkannt
16.05.2012 Folie 12PLT 2
Gefahrbringender Ausfall [1]
• Ausfall einer Einheit, die Anteil an derA füh d Si h h it f kti h t dAusführung der Sicherheitsfunktion hat, der
– verhindert, dass eine Sicherheitsfunktion beiAnforderung ausgeführt wird, so dass die EUC in Anforderung ausgeführt wird, so dass die EUC in einen gefährlichen oder möglicherweisegefährlichen Zustand gebracht wirddi W h h i li hk it i d t di – die Wahrscheinlichkeit vermindert, die Sicherheitsfunktion bei Anforderungordnungsgemäß auszuführen
EUC = Equipment under Control
16.05.2012 Folie 13PLT 2
Ungefährlicher Ausfall [1]
• Ausfall einer Einheit, die Anteil an derA füh d Si h h it f kti h t dAusführung der Sicherheitsfunktion hat, der
– zur Fehlauslösung der Sicherheitsfunktion führt, die EUC in einen sicheren Zustand zu bringen oderdie EUC in einen sicheren Zustand zu bringen oderden sicheren Zustand aufrechtzuerhalten
– die Wahrscheinlichkeit der Fehlauslösung derSi h h it f kti höht di EUC i iSicherheitsfunktion erhöht, die EUC in einensicheren Zustand zu bringen oder den sicherenZustand aufrechtzuerhalten
16.05.2012 Folie 14PLT 2
Ausfall infolge gemeinsamer Ursache (CCF) [1](CCF) [1]
• CCF = Common Cause Failure – Ausfall, der das Ergebnis eines oder mehrerer
Ereignisse ist, die gleichzeitige Ausfälle von zweioder mehr getrennten Kanälen in einemgmehrkanaligen System verursachen und zu einemSystemausfall führen
16.05.2012 Folie 15PLT 2
HFT und SFF [1]
• Hardware Fault Tolerance– Eine Hardwarefehlertoleranz von N bedeutet, dass
N+1 die minimale Anzahl von Fehlern ist, die zueinem Verlust der Sicherheitsfunktion führen kann
• Safe Failure Fraction
konstant wenn
DdSSFF konstant wenn
DuDdS
SFF
16.05.2012 Folie 16PLT 2
Berechnung des PFD einesBerechnung des PFD einesheterogenen 1oo2-Systems [3]
Diversität [1]
• Ungleichartige Mittel zur Ausführung einerF kti litätFunktionalität
– Diversität kann durch unterschiedlichephysikalische Methoden oder unterschiedlichephysikalische Methoden oder unterschiedlicheLösungen für die gleiche Aufgabenstellung erreichtwerden
16.05.2012 Folie 18PLT 2
Heterogenes 1oo2-System
Zuverlässigkeits-blockdiagramm
Zustandsdiagrammblockdiagramm
00 Beide Komponenten funktionieren10 Erste Komponente ausgefallen01 Zweite Komponenten ausgefallenp g11 Beide Komponenten ausgefallenKomponente 1
01
Komponente 2 00
10
11
Grün – System funktioniertRot – System ausgefallen
16.05.2012 Folie 19PLT 2
Herleitung PFD1oo2 in Anlehnung an die EN 61508 [3]61508 [3]
1. Ermittlung der mittleren Systemausfalldauer bei erkannten bzw unerkannten Fehlernerkannten bzw. unerkannten Fehlern
2. Berechnung der relativen Systemausfalldauern (Bezug auf Zeitintervall zwischen WdhPrüfungen)
3. Berechnung der Wahrscheinlichkeiten für Systemausfall
4 Multiplikation der rel Ausfalldauern (2 ) mit WS 4. Multiplikation der rel. Ausfalldauern (2.) mit WS für Systemausfälle (3.)
5. Addition der Teilergebnisse für erkannten/unerkannten Fehler
6. Berücksichtigung von Fehlern mit gemeinsamer UrsacheUrsache
16.05.2012 Folie 20PLT 2
Bei erkannten Fehlern (1/3)
• Schritt 1: Mittlere Systemausfalldauer MTTR– Ein erkannter Fehler wird sofort repariert
• Schritt 2: Relative Systemausfalldauerb i T d Z iti t ll fü di 1T
MTTR
T– wobei T1 das Zeitintervall für die Wiederholungsprüfung ist
• Schritt 3: Wahrscheinlichkeit für einen
1T1T
Schritt 3: Wahrscheinlichkeit für einen Systemausfall
– Ausfall von Kanal 1 aufgrund erkanntem Fehler während Kanal 2 nicht verfügbar und umgekehrt
112211 KDDKDDerk PFDTPFDTP
16.05.2012 Folie 21PLT 2
Bei erkannten Fehlern (2/3)
• Schritt 4: Anteil an der gesamten PFD
TMTTR
PPFD erkerk 1
T
MTTRPFDTPFDTPFD
T
KDDKDDerk 1
112211
1
MTTRPFDPFD KDDKDD 1221
1
16.05.2012 Folie 22PLT 2
Bei erkannten Fehlern (3/3)
• Fortsetzung Schritt 4:
11
11 2 Mit MTTRMTTR
TPFD DDDUK
21
22 2 und
2
MTTRMTTRT
PFD DDDUK
221
11221 2
2)( MTTRMTTRMTTR
TPFD DDDDDDDUDDDUerk
16.05.2012 Folie 23PLT 2
Bei unerkannten Fehlern (1/3)
• Schritt 1: Mittlere Systemausfalldauer
MTTRT 131
• Schritt 2: Relative Systemausfalldauer
11
MTTRT
1
13T
MTTRT
• Schritt 3: Wahrscheinlichkeit eines Systemausfalls
112211 KDUKDUunerk PFDTPFDTP
16.05.2012 Folie 24PLT 2
112211 KDUKDUunerk
Bei unerkannten Fehlern (2/3)
• Schritt 4: Anteil an der gesamten PFD
1
3T
MTTRT
PPFD unerkunerk
1
1
3MTTR
T
PFDTPFDTPFD
Tunerkunerk
1112211
3T
PFDTPFDTPFD KDUKDUunerk
16.05.2012 Folie 25PLT 2
Bei unerkannten Fehlern (3/3)
• Fortsetzung Schritt 4:
MTTRMTTRT
PFD DDDUK
2 Mit 1
111
MTTRMTTRT
PFD DDDUK
2 und 2
122
MTTRT
MTTRT
PFD DDDDunerk
322 11
21
MTTRMTTRT
DDDUDDDU
3)( 1
1221
16.05.2012 Folie 26PLT 2
Gesamtergebnis PFD1oo2
• Schritt 5:
MTTRMTTRT
PFDPFDPFD unerkerkoo
)( 1
21
MTTR
MTTRMTTR
DDDD
DDDUDDDU
2
2)(
221
11221
MTTRT
MTTRT
DUDU
DDDD
322 11
21
21
MTTRMTTRT
DDDUDDDU
3)( 1
1221
16.05.2012 Folie 27PLT 2
Berücksichtigung von CCF
• Schritt 6:
T
PFDPFDPFDPFD CCFunerkerkoo
1
21
MTTRMTTRT
PFD DDDDDDUDUCCF
21
121 2
Mit
16.05.2012 Folie 28PLT 2
Markov-Modelle für heterogene 1oo2-SystemeSysteme
01
00
10
11
[3]
16.05.2012 Folie 29PLT 2
Generisch erzeugte Markov-M d ll [4]Modelle [4]
Generische Erzeugung (1/2)
• Motivation– Mit den Formeln nach DIN EN 61508 sind nur
homogene Systeme und Standardsysteme mit biszu 3 Kanälen berechenbar
– Ansätze zur Erweiterung auf heterogene Systemewurden in [3] vorgestellt
A t• Ansatz– Norm verweist auf weitere zulässige Berechnungs-
verfahren u a Fault Tree Analysis und Markovmodelleverfahren u.a. Fault Tree Analysis und Markovmodelle
– Markovmodelle eignen sich gut zur Berechnungvon PFD
16.05.2012 Folie 31PLT 2
Generische Erzeugung (2/2)
• Nachteile des Markovmodells– Zusandsraumexplosion– Händische Erstellung für große Systeme uneffizient
• Lösung• Lösung– Genenerische Erzeugung von Markovmodellen
basierend auf üblichen Beschreibungs-gterminologien
16.05.2012 Folie 32PLT 2
Fehlertypen
• SD– Safe detected
• DDD d t t d– Dangerous detected
• DUDangerous undetected– Dangerous undetected
• ND– Not detectableNot detectable
16.05.2012 Folie 33PLT 2
Annahmen (1/2)
• A1– Präsentierte Werte beziehen sich auf SIF (Safety
Integrated Function) -> Sensorik, Logik u. Aktorik
• A2• A2– Nur ein Fehler pro Kanal, d.h. ein Kanal mit Fehler
DU kann nicht zusätzlich einen Fehler DD haben
• A3– Kanal o.k., wenn keine untergeordnete
K t f ll i t A t t i htKomponente ausgefallen ist. Ansonsten entsprichtder Zustand des Kanals dem der ausgefallenenKomponente.
16.05.2012 Folie 34PLT 2
Annahmen (2/2)
• A4– Wiederholungsprüfung entdeckt und repariert alle
Fehler vom Typ SD, DD, DU– Alle Kanäle gehen von SD-, DD- und DU-Status Alle Kanäle gehen von SD , DD und DU Status
nach o.k. über– Kanäle mit ND verbleiben in diesem Zustand
• A5– Fehler können nicht zeitgleich auftreten
A ß h C C F il– Außnahme: Common Cause Failure
16.05.2012 Folie 35PLT 2
Strukturregeln
• R1– Sichere Fehler werden automatisch erkannt
• R2R t i SD d DD F hl i h– Reparaturen eines SD- oder DD-Fehlers zieheneinen Funktionstest nach sich, der auch DU-Fehleraufdeckt
– ND-Fehler sind davon nicht betroffen
• R3– System geht in sicheren Zustand, wenn mehr als
M Kanäle eines MooN-Systems im Zustand SD sind
16.05.2012 Folie 36PLT 2
Eingabeparameter
• Kanalausfallraten • Reparaturrate• M und N aus MooN
– Fehlerraten werden getrennt nach Ausfallartbenötigt, d.h.
– Zerlegung der Gesamtfehlerrate kann nachCCNDCCDUCCDDCCSDNDDUDDSD ,,,, , , ,, , , ,
Zerlegung der Gesamtfehlerrate kann nachfolgenden Formeln erfolgen
NDDDDUDSDSDS , ,
DU
DNDDUDDD
PTC
λDCλλλλDC
:Coverage Test Proof
1 , :Coverage Diagnostic
16.05.2012 Folie 37PLT 2NDDU λλ
PTC
:Coverage Test Proof
Markovmodell für 1oo2-System
• 16 ZuständeNr. Kanal 1 Kanal 2 System
1 o.k. o.k. Nein
Nr. Kanal 1 Kanal 2 System
9 o.k. DU Nein1 o.k. o.k. Nein
2 DD o.k. Nein
3 DU o.k. Nein
k i
9 o.k. DU Nein
10 DD DU Ja
11 DU DU Ja
24 ND o.k. Nein
5 o.k. DD Nein
6 DD DD Ja
12 ND DU Ja
13 o.k. ND Nein
14 DD ND Ja
7 DU DD Ja
8 ND DD Ja
15 DU ND Ja
16 ND ND Ja
16.05.2012 Folie 38PLT 2
Markov-Modell für 1oo2-System [4]
Modell für Wiederholungsprüfung
16.05.2012 Folie 39PLT 2
Literatur
[1] DIN EN 61508 (VDE 0803). „Funktionale Sicherheit sicherheits-bezogener elektrischer/elektronischer/programmierbar l kt i h S t “ 2011elektronischer Systeme“, 2011.
[2] DIN EN 61511 (VDE 0810). „Funktionale Sicherheit -Sicherheitstechnische Systeme für die Prozessindustrie“, 2005.
[3] A. Hildebrandt: „Berechnung der „Probability of Failure on [ ] „ g „ yDemand“(PFD) einer heterogenen 1-aus-2-Struktur in Anlehnung an die EN 61508“, atp – Automatisierungstechnische Praxis, 10/2007, Oldenbourg.
[4] T. Gabriel, L. Litz, B. Schrörs: „Generische Erzeugung von Markov-[ ] , , „ g gModellen zur Berechnung sicherheitstechnischer Kenngrößen in PLT-Schutzeinrichtungen“, atp – Automatisierungstechnische Praxis, 07/2008, Oldenbourg.
16.05.2012 Folie 40PLT 2
16.05.2012 PLT 2 Folie 41
Recommended