Ausfälle aufgrund gemeinsamer Ursache

aus Wikipedia, der freien Enzyklopädie
(Weitergeleitet von Common Cause Failure)

Als Ausfälle aufgrund gemeinsamer Ursache (auch Versagen aufgrund gemeinsamer Ursache[1], Ausfall infolge gemeinsamer Ursache[1] oder gemeinsam verursachte Ausfälle, GVA[2]; englisch common cause failures, CCF[3]) werden in der Risikoanalyse Ausfälle von mehreren Komponenten oder Systemen bezeichnet, die als Folge einer einzelnen Fehlerursache oder eines einzelnen Ereignisses auftreten. Ihr Ausfallverhalten ist damit statistisch voneinander abhängig.

Arten abhängiger Ausfälle

Von Ausfällen aufgrund gemeinsamer Ursache zunächst zu unterscheiden sind gleichartige Ausfälle (Common Mode Failure), die durch einen gleichen Ablauf gekennzeichnet sind.

Es werden drei grundsätzlich verschiedene Arten von Ausfällen aufgrund gemeinsamer Ursache unterschieden:[2][4]

  • Ausfälle aufgrund einer gemeinsamen äußeren Ursache (Sekundärausfälle),
  • Ausfälle aufgrund funktionaler Abhängigkeiten der Komponenten (kommandierte Ausfälle),
  • Ausfälle aufgrund einer – den Komponenten innewohnenden – gemeinsamen Ursache (GVA).

Sekundärausfälle können durch unerwartete Umgebungsbedingungen wie z. B. Feuchtigkeit, Vibration, Hitze ausgelöst werden, die mehrere Komponenten ausfallen lassen (nach [5] Extrinsic dependency). Befinden sich alle Pumpen einer Sprinkleranlage im selben Raum, dann können alle diese Pumpen gleichzeitig ausfallen, wenn der Raum zu heiß wird (z. B. infolge eines Brandereignisses) oder durch eine Wasserleckage geflutet wird (mögliche gemeinsame Fehlerursachen).

Kommandierte Ausfälle treten auf, wenn mehrere Komponenten gemeinsame Steuerungs- oder Versorgungssysteme (Energieversorgung, Lüftung, Kühlwasser) haben, die bei Ausfall gleichzeitig zum Folgeausfall der zu versorgenden Komponenten führt (nach [5] Intrinsic / functional input dependency). (In der detaillierten Fehlerbaumanalyse werden diese funktionalen Abhängigkeiten im Fehlerbaummodell dargestellt und sind damit explizit bewertbar.)

Ausfälle aufgrund einer – mehreren Komponenten innewohnenden – gemeinsamen Ursache treten bei Komponenten des gleichen Typs eines Herstellers, insbesondere bei gleichen Betriebsbedingungen auf. Entsprechendes gilt auch für typgleiche Betriebsmittel mehrerer Komponenten.[2] Die Fehlerursachen können durch verdeckte Konstruktions- oder Herstellungsfehler, durch fehlerhafte Instandhaltungsmaßnahmen (wie fehlerhaftes Prüfkonzept, fehlerhaftes Schmier- oder Reinigungsmittel) oder durch die Verwendung der gleichen (fehlerhaften) Software hervorgerufen werden.

Bedeutung von Ausfällen aufgrund gemeinsamer Ursache

Von besonderer Bedeutung sind mögliche Ausfälle aufgrund gemeinsamer Ursache bei einer unerwünschten Aufhebung von Redundanzen sicherheitsrelevanter Teilsysteme. Auf die Vermeidung dieser Möglichkeit muss daher insbesondere bei Ausfällen, die große Gefahren hervorrufen, großer Wert gelegt werden. Beispiel hierfür sind die Sicherheitssysteme von Kernkraftwerken oder Flugzeugen.

In den Probabilistischen Sicherheitsanalysen (PSA) und speziell in der Fehlerbaumanalyse wird der Gemeinsam verursachte Ausfall (GVA) explizit analysiert (vgl.[2] Kap.3.3).

Strategien gegen Ausfälle aufgrund gemeinsamer Ursache

Strategien gegen Ausfälle aufgrund gemeinsamer Ursache (GVA) sind beispielsweise räumliche Trennung, Einsatz diversitärer Software und Verwendung diversitär redundanter Komponenten, z. B. von parallel geschalteten Bauteilen verschiedener Hersteller, siehe Diversität (Technik).

Mit der Verkürzung der Prüfintervalle redundanter Komponenten kann auch die Wahrscheinlichkeit eines GVA gesenkt werden, da bei einer Reihe von Ursachen die Zeitpunkte der Komponentenausfälle einer Redundanzgruppe versetzt auftreten (wie insbesondere durch Verschmutzung, Korrosion, Verkleben, Verschleiß – GVA-Ereignisse der Kategorie „Nicht-letaler Schock“). Bei der Erkennung des ersten Fehlers kann ein sich anbahnender GVA durch Behebung der Fehlerursache abgewendet werden, da die anderen Komponenten der Redundanzgruppe noch intakt sind.[2]

Modelle zur Quantifizierung von GVA

Ein “gemeinsam verursachter Ausfall” (GVA) einer Komponentengruppe entsteht im Grundsatz aus zwei Faktoren, (1.) der Anfälligkeit der Komponenten hinsichtlich einer bestimmten Fehlerursache („Root cause“) und (2.) einem Mechanismus (Kopplungsfaktor), der die Bedingungen für den Mehrfachausfall herbeiführt.[5]

Beispiel: Zwei Druckentlastungsventile öffnen bei Überdruck wegen zu hoch eingestellten Ansprechdruckes (infolge eines Personalfehlers / „Human error“) nicht.

Die GVA-Modelle unterscheiden zwei wesentliche Arten des Ausfallverhaltens redundanter Komponentengruppen:[2][5]

  • Letaler Schock – alle Komponenten der Redundanzgruppe sind aufgrund einer gemeinsamen Fehlerursache ausgefallen (die Kopplungswahrscheinlichkeit aller Komponenten ist 1).
  • Nicht-letaler Schock – die Komponenten der Redundanzgruppe sind von einem gemeinsamen Fehlermechanismus betroffen, wobei der Grad der Schädigung der einzelnen Komponenten unterschiedlich ausgeprägt sein kann, von schwach bis vollständig (Kopplungswahrscheinlichkeiten von 0 bis 1).

Die Auswertung der Betriebserfahrung zur Gewinnung von GVA-Wahrscheinlichkeiten ist in den Fällen Letaler Schock eindeutig, d. h. Ausfall aller Komponenten der Redundanzgruppe.

Bei Ereignissen der Art Nicht-letaler Schock muss zur Gewinnung der GVA-Wahrscheinlichkeiten jeweils der Grad der Schädigung der einzelnen Komponenten in Form einer Kopplungswahrscheinlichkeit geschätzt werden („Expertenschätzung“). Diese Schätzung ist in der Regel mit erheblicher Unsicherheit behaftet, da diese vom Erfahrungsstand des Experten und insbesondere von der Qualität der Schadens- und Ursachenbeschreibung abhängig ist. Die Ermittlung und Beschreibung möglicher grundlegenden Schadensursachen („Root Cause“) ist nicht trivial, sie bleiben nicht selten unentdeckt und werden häufig erst im Wiederholungsfall offenkundig. In[2] wird daher über die statistische Streuung der Datenerhebung hinaus eine Interpretationsunsicherheit ermittelt, mit dem der Unsicherheitsfaktor bzw. Streufaktor (K) erweitert wird (K ≥ 4).

Ermittlung der GVA-Wahrscheinlichkeiten

Die GVA-Wahrscheinlichkeiten der Komponentengruppen werden aus den Anzahlen der beobachteten GVA-Ereignisse, den geschätzten Kopplungswahrscheinlichkeiten und den Beobachtungszeiten (den Kraftwerksbetriebszeiten) der jeweiligen Gruppe ermittelt. Sie stellen damit Nichtverfügbarkeitsgrößen im probabilistischen Modell dar.[2][5]

In [6] (Anhang A: Generische GVA-Wahrscheinlichkeiten) werden für eine Reihe von verfahrens- und elektrotechnischen Komponenten aus der Betriebserfahrung von Kernkraftwerken abgeleitete GVA-Wahrscheinlichkeiten für unterschiedliche Redundanzgruppen ausgewiesen (wie für Ventile, Schieber, Wärmetauscher, Ventilatoren, Pumpen, Dieselaggregate, Messeinrichtungen, Batterien, Schalter, Relais, siehe Beispiele in nachstehender Tabelle).

Tabelle: GVA-Wahrscheinlichkeiten von Redundanzgruppen (2 von 2) und (3 von 3) nach [6].

Komponentengruppe

(Beobachtungszeit)

GVA-Ereignisse Ausfallart Testintervall GVA-Wahrscheinlichkeit 2 von 2 (Streufaktor) GVA-Wahrscheinlichkeit 3 von 3 (Streufaktor)
Kreiselpumpe

(920 Jahre)

8 Startet nicht monatlich 1,2x10−4

(4,0)

8,1x10−5

(4,9)

Dieselaggregat

(326 Jahre)

7 Startet nicht monatlich 2,2x10−4

(4,0)

1,4x10−4

(5,5)

Absperrschieber

mit Motorantrieb

im Kühlwassersystem

(3.950 Jahre)

21 Öffnet nicht monatlich 1,3x10−4

(4,0)

9,3x10−5

(4,2)

Öffnet nicht jährlich 1,7x10−3

(4,0)

1,2x10−3

(4,2)

14 Schließt nicht monatlich 1,1x10−4

(4,0)

8,2x10−5

(4,2)

Schließt nicht jährlich 1,5x10−3

(4,0)

1,1x10−3

(4,2)

Die GVA-Wahrscheinlichkeit der Redundanzgruppen (2 von 2) und (3 von 3) unterscheiden sich aufgrund ihrer Kopplungswahrscheinlichkeiten nur geringfügig, d. h. eine Zuverlässigkeitssteigerung durch eine Erhöhung des Redundanzgrades ist daher marginal.[6]

Das Testintervall hat dagegen einen deutlich höheren Einfluss, da die Mehrzahl der GVA-Ereignisse in die Kategorie Nicht-letaler Schock fallen und das GVA-Ereignis bereits durch die Prüfung erkannt werden kann, bevor alle Komponenten einer Redundanzgruppe ausgefallen sind. Die GVA-Wahrscheinlichkeiten monatlich geprüfter Gruppen unterscheiden sich daher gegenüber jährlich geprüfter Gruppen um praktisch ein Größenordnung, d. h. das Testintervall geht annähernd linear in die GVA-Wahrscheinlichkeiten ein.[6]

Quellen

  1. a b Sicherheit von Maschinen ZVEI, April 2012
  2. a b c d e f g h "Methoden zur probabilistischen Sicherheitsanalyse für Kernkraftwerke" (PDF; 2,7 MB), Anhang D1 Modelle zur Quantifizierung von GVA, Dez. 1996, BfS-KT-16-97.
  3. DIN EN ISO 12100 Sicherheit von Maschinen – Allgemeine Gestaltungsleitsätze – Risikobeurteilung und Risikominderung
  4. DIN 25424 Fehlerbaumanalyse, Ausgabe 1981-09, Beuth Verlag Berlin.
  5. a b c d e Common-Cause Failure Database and Analysis, System: Event Data Collection, Classification, and Coding, NUREG/CR-6268, Rev. 1, September 2007 (PDF; 6,64 MB)
  6. a b c d Daten zur Quantifizierung von Ereignisablaufdiagrammen und Fehlerbäumen, Anhang A: Generische GVA-Wahrscheinlichkeiten, Seiten A1 - A166, März 1997, BfS-KT-18/97.