Redundanz - mehr ist nicht immer sicherer
Sicherheitsanalysen sind für das Design und die Implementierung sicherer Systeme von entscheidender Bedeutung, insbesondere in Branchen, in denen ein Ausfall schwerwiegende Auswirkungen haben kann (Luft- und Raumfahrt, Schiene, Medizin, Öl und Gas).
In vielen Fällen ist die "magische" Heilung der Sicherheit Redundanz, zum Beispiel:
- Notstromversorgungen (USV und Generatoren)
- Kommunikationsnetze mit redundanten Pfaden
- Redundante Bremssysteme
- Redundante Motoren
Es gibt jedoch einige Fallstricke beim Hinzufügen vieler Redundanzen:
Kosten:
Mehr Einheiten bedeuten höhere Beschaffungskosten (CAPEX).
Darüber hinaus werden vor Ort mehr Geräteausfälle auftreten, sodass auch die Wartungskosten steigen (OPEX zugeschrieben).
Häufige Fehlerursachen:
Häufige Fehler sind Fehlermodi, die nicht unabhängig von anderen Elementfehlern sind.
Beispiele:
- Wenn ein Netzteil kurzgeschlossen wird, kann dies zum Ausfall anderer Systeme führen, sofern es nicht durch eine Sicherung geschützt ist
- Wenn ein Motor ausfällt und der interne Schaden nicht im Gehäuse enthalten ist, werden Gegenstände aus dem Motor ausgeworfen und können zum Ausfall benachbarter Systeme führen
Eine Möglichkeit, häufige Ursachen zu reduzieren, besteht darin, verschiedene Arten redundanter Einheiten zu verwenden (wie im „Fault Tree Handbook with Aerospace Applications“ der NASA [1] beschrieben).
Es folgen zwei interessante Beispiele aus dem Bereich der Luftfahrt:
1. Boeing KC-46 Pegasus [2]
Im Juli 2014 verbuchte Boeing eine Vorsteuerbelastung von $272 Millionen, um eine Neugestaltung der Boeing KC-46 Pegasus-Verkabelung abzudecken. Es wurde festgestellt, dass 5-10% der Verkabelungsbündel keinen ausreichenden Abstand hatten oder nicht ordnungsgemäß abgeschirmt waren, um die Anforderungen der Luftwaffe für doppelt oder dreifach redundante Verkabelung für einige Missionssysteme zu erfüllen.
Der Grund für die Forderung nach einer Trennung zwischen redundanten Kabeln besteht darin, einen Ausfall einer häufigen Ursache zu verhindern. Angenommen, ein loses Objekt trennt einen Draht. Wenn sich der redundante Draht in der Nähe befindet, besteht eine hohe Wahrscheinlichkeit, dass er ebenfalls durchtrennt wird.
2. ETOPS
ETOPS steht für Extended Operations. Früher wurden 4-motorige Flugzeuge für Langstreckenflüge eingesetzt, heute können zweimotorige Flugzeuge ähnliche Flüge durchführen. Ein Grund dafür ist die hohe Zuverlässigkeit moderner Kraftwerke.
Es folgt eine Analyse mit der FTA-Software (Fault Tree Analysis) von BQR.
Die Wahrscheinlichkeit für das Abstellen des Triebwerks während des Fluges (IFSD) beträgt etwa 2 · 10-6 pro Flugstunde für ein modernes PW4000-Kraftwerk [3] (zum Vergleich: 1952 betrug die IFSD-Wahrscheinlichkeit pro Flugstunde 2,5 · 10-4 für Kolbenmotoren [4]).
Die FAA fordert eine Wahrscheinlichkeit für einen katastrophalen Ausfall von weniger als 10-9 pro Flugstunde für ein Pendlerflugzeug [5].
Unter der Annahme, dass ein einziges Triebwerk während des Fluges ausreicht, zeigt eine einfache Analyse, dass mehr Triebwerke einen sichereren Flug ergeben:
| Anzahl der Motoren | Wahrscheinlichkeit für alle Triebwerksausfälle pro Flugstunde |
| 1 | 2 · 10-6 |
| 1 | 4 · 10-12 |
| 1 | 8 · 10-18 |
| 1 | 1,6 · 10-23 |
Wenn jedoch eine gemeinsame Ursache vorliegt, ist die Situation anders:
Während Motorausfalltests durchgeführt werden (siehe Film [6]), um sicherzustellen, dass Schmutz nicht in der Nähe befindliche Systeme gefährdet, sollten Sie den Fall berücksichtigen, in dem eine Wahrscheinlichkeit von 0,015% * besteht, dass ein einzelner Motorausfall einen häufigen katastrophalen Ausfall verursacht. Es folgen Fehlerbaumdiagramme für die Fälle von 2, 3 und 4 Motoren:
