Sicherheitstechnik - Safety engineering
Sicherheitstechnik ist eine technische Disziplin, die sicherstellt, dass technische Systeme ein akzeptables Maß an Sicherheit bieten . Es hat einen starken Bezug zum Wirtschaftsingenieurwesen / Systemtechnik und der Teilmenge Systemsicherheitstechnik . Die Sicherheitstechnik stellt sicher, dass sich ein lebenswichtiges System bedarfsgerecht verhält, auch wenn Komponenten ausfallen.
Analysetechniken
Analysetechniken können in zwei Kategorien unterteilt werden: qualitative und quantitative Methoden. Beide Ansätze teilen das Ziel, kausale Abhängigkeiten zwischen einer Gefährdung auf Systemebene und Ausfällen einzelner Komponenten zu finden. Qualitative Ansätze fokussieren auf die Frage „Was muss schief gehen, damit eine Systemgefährdung auftreten kann?“, während quantitative Methoden darauf abzielen, Abschätzungen über Wahrscheinlichkeiten, Häufigkeiten und/oder Schwere der Folgen zu liefern.
Die Komplexität der technischen Systeme wie Verbesserungen von Design und Materialien, geplante Inspektionen, narrensicheres Design und Backup-Redundanz verringert das Risiko und erhöht die Kosten. Das Risiko kann auf ALARA (so niedrig wie vernünftigerweise erreichbar) oder ALAPA (so niedrig wie praktisch erreichbar) gesenkt werden.
Herkömmlicherweise verlassen sich Sicherheitsanalysetechniken ausschließlich auf die Fähigkeiten und das Fachwissen des Sicherheitsingenieurs. In den letzten zehn Jahren haben sich modellbasierte Ansätze durchgesetzt. Im Gegensatz zu traditionellen Methoden versuchen modellbasierte Techniken, Zusammenhänge zwischen Ursachen und Folgen aus einer Art Modell des Systems abzuleiten.
Traditionelle Methoden zur Sicherheitsanalyse
Die beiden gebräuchlichsten Fehlermodellierungstechniken werden als Fehlermöglichkeits- und Auswirkungsanalyse und Fehlerbaumanalyse bezeichnet . Diese Techniken sind nur Möglichkeiten, um Probleme zu finden und Pläne zur Bewältigung von Fehlern zu erstellen, wie bei der probabilistischen Risikobewertung . Eine der frühesten vollständigen Studien, die diese Technik an einem kommerziellen Kernkraftwerk verwendeten, war die WASH-1400- Studie, auch bekannt als Reaktorsicherheitsstudie oder Rasmussen-Bericht.
Analyse von Fehlermöglichkeiten und Auswirkungen
Die Fehlermöglichkeits- und Einflussanalyse (FMEA) ist eine induktive Analysemethode von unten nach oben, die entweder auf Funktions- oder Einzelteilebene durchgeführt werden kann. Für funktionelle FMEA, Fehlerarten sind für jede Funktion in einem System oder Ausrüstungsgegenstand, in der Regel mit Hilfe eines funktionellen identifiziert Blockdiagramm . Bei der Stückteil-FMEA werden Fehlermodi für jede Stückteilkomponente (z. B. Ventil, Stecker, Widerstand oder Diode) identifiziert. Die Auswirkungen des Fehlermodus werden beschrieben und basierend auf der Fehlerrate und dem Fehlermodusverhältnis der Funktion oder Komponente mit einer Wahrscheinlichkeit versehen . Diese Quantisierung ist für Software schwierig ---ein Fehler existiert oder nicht, und die für Hardwarekomponenten verwendeten Fehlermodelle gelten nicht. Temperatur, Alter und Fertigungsschwankungen wirken sich auf einen Widerstand aus; sie wirken sich nicht auf Software aus.
Fehlermodi mit identischen Auswirkungen können kombiniert und in einer Fehlermodus-Effektzusammenfassung zusammengefasst werden. In Kombination mit der Kritikalitätsanalyse ist die FMEA als Fehlermöglichkeits-, Auswirkungs- und Kritikalitätsanalyse oder FMECA bekannt, ausgesprochen "fuh-MEE-kuh".
Fehlerbaumanalyse
Die Fehlerbaumanalyse (FTA) ist eine deduktive Analysemethode von oben nach unten . In FTA werden initiierende Primärereignisse wie Komponentenausfälle, menschliche Fehler und externe Ereignisse durch Boolesche Logikgatter bis zu einem unerwünschten Top-Ereignis wie einem Flugzeugabsturz oder einer Kernschmelze von Kernreaktoren verfolgt. Die Absicht besteht darin, Wege zu finden, um Top-Ereignisse weniger wahrscheinlich zu machen, und zu überprüfen, ob die Sicherheitsziele erreicht wurden.
Fehlerbäume sind eine logische Umkehrung von Erfolgsbäumen und können durch Anwendung des Satzes von de Morgan auf Erfolgsbäume (die in direktem Zusammenhang mit Zuverlässigkeits-Blockdiagrammen stehen ) erhalten werden.
FTA kann qualitativ oder quantitativ sein. Wenn Ausfall- und Ereigniswahrscheinlichkeiten unbekannt sind, können qualitative Fehlerbäume für minimale Schnittmengen analysiert werden. Wenn beispielsweise ein minimaler Schnittsatz ein einzelnes Basisereignis enthält, kann das oberste Ereignis durch einen einzelnen Fehler verursacht werden. Quantitative FTA wird verwendet, um die Wahrscheinlichkeit von Top-Ereignissen zu berechnen, und erfordert normalerweise Computersoftware wie CAFTA vom Electric Power Research Institute oder SAPHIRE vom Idaho National Laboratory .
Einige Branchen verwenden sowohl Fehlerbäume als auch Ereignisbäume . Ein Ereignisbaum beginnt bei einem unerwünschten Initiator (Verlust kritischer Versorgung, Komponentenausfall etc.) und folgt möglichen weiteren Systemereignissen bis hin zu einer Reihe von Endfolgen. Wenn jedes neue Ereignis berücksichtigt wird, wird ein neuer Knoten in dem Baum mit einer Aufteilung der Wahrscheinlichkeiten, einen der Zweige zu nehmen, hinzugefügt. Die Wahrscheinlichkeiten einer Reihe von "Top-Ereignissen", die sich aus dem anfänglichen Ereignis ergeben, können dann gesehen werden.
Offshore-Öl- und Gasindustrie
Die Offshore-Öl- und -Gasindustrie verwendet eine qualitative Sicherheitssystemanalysetechnik, um den Schutz von Offshore-Produktionssystemen und -plattformen sicherzustellen. Die Analyse wird während der Entwurfsphase verwendet, um verfahrenstechnische Gefahren zusammen mit Maßnahmen zur Risikominderung zu identifizieren. Die Methodik ist im American Petroleum Institute Recommended Practice 14C Analysis, Design, Installation, and Testing of Basic Surface Safety Systems for Offshore Production Platforms beschrieben.
Die Technik verwendet Systemanalysemethoden, um die Sicherheitsanforderungen zum Schutz jeder einzelnen Prozesskomponente, z. B. eines Behälters, einer Rohrleitung oder einer Pumpe, zu bestimmen . Die Sicherheitsanforderungen einzelner Komponenten werden in ein komplettes Plattformsicherheitssystem integriert, einschließlich Flüssigkeitseindämmung und Notfallunterstützungssystemen wie Brand- und Gasdetektion.
In der ersten Phase der Analyse werden einzelne Prozesskomponenten identifiziert, diese können umfassen: Durchflussleitungen, Sammler, Druckbehälter , atmosphärische Behälter, befeuerte Erhitzer , abgasbeheizte Komponenten, Pumpen, Kompressoren , Rohrleitungen und Wärmetauscher . Jede Komponente wird einer Sicherheitsanalyse unterzogen, um unerwünschte Ereignisse (Geräteausfall, Prozessstörungen usw.) zu identifizieren, für die ein Schutz bereitgestellt werden muss. Die Analyse identifiziert auch einen nachweisbaren Zustand (zB Hochdruck ), der verwendet wird, um Maßnahmen einzuleiten, um die Auswirkungen unerwünschter Ereignisse zu verhindern oder zu minimieren. Eine Sicherheitsanalysetabelle (SAT) für Druckbehälter enthält die folgenden Details.
Sicherheitsanalysetabelle (SAT) Druckbehälter | ||
---|---|---|
Unerwünschtes Ereignis | Ursache | Erkennbarer anormaler Zustand |
Überdruck | Blockierter oder eingeschränkter Auslass
Zufluss übersteigt Abfluss Gas-Blowby (von stromaufwärts) Druckregelfehler Wärmeausdehnung Überhöhter Wärmeeintrag |
Hoher Druck |
Flüssigkeitsüberlauf | Zufluss übersteigt Abfluss
Flüssiger Schwallstrom Blockierter oder eingeschränkter Flüssigkeitsauslass Fehler bei der Niveausteuerung |
Hoher Flüssigkeitsstand |
Andere unerwünschte Ereignisse für einen Druckbehälter sind Unterdruck, Gasdurchblasen, Undichtigkeit und Übertemperatur zusammen mit den zugehörigen Ursachen und nachweisbaren Zuständen.
Sobald die Ereignisse, Ursachen und erkennbaren Bedingungen identifiziert wurden, verwendet die nächste Stufe der Methodik eine Sicherheitsanalyse-Checkliste (SAC) für jede Komponente. Darin sind die möglicherweise erforderlichen Sicherheitsvorrichtungen oder Faktoren aufgeführt, die die Notwendigkeit einer solchen Vorrichtung überflüssig machen. Für den Fall eines Flüssigkeitsüberlaufs aus einem Behälter (wie oben) identifiziert der SAC beispielsweise:
- A4.2d - Hochpegelsensor (LSH)
- 1. LSH installiert.
- 2. Die dem Gasauslass nachgeschaltete Ausrüstung ist kein Fackel- oder Entlüftungssystem und kann die maximale Flüssigkeitsverschleppung sicher bewältigen.
- 3. Die Gefäßfunktion erfordert keine Handhabung separater Flüssigkeitsphasen.
- 4. Gefäß ist eine kleine Falle, aus der Flüssigkeiten manuell abgelassen werden.
Die Analyse stellt sicher, dass zwei Schutzstufen bereitgestellt werden, um jedes unerwünschte Ereignis zu mindern. Bei einem Druckbehälter, der einem Überdruck ausgesetzt ist, wäre der primäre Schutz beispielsweise ein PSH (Druckschalter hoch) zum Absperren des Zuflusses zum Behälter, der sekundäre Schutz würde durch ein Drucksicherheitsventil (PSV) am Behälter bereitgestellt .
Die nächste Stufe der Analyse bezieht alle Sensorgeräte, Abschaltventile (ESVs), Auslösesysteme und Notfallunterstützungssysteme in Form eines Sicherheitsanalyse-Funktionsbewertungsdiagramms (SAFE) ein.
Diagramm zur Bewertung der Sicherheitsanalysefunktion (SAFE) | Einlassventil schließen | Auslassventil schließen | Alarm | |||
---|---|---|---|---|---|---|
ESV-1a | ESV-1b | |||||
Identifikation | Service | Gerät | SAC-Referenz | |||
V-1 | HD-Abscheider | PSH | A4.2a1 | x | x | |
LSH | A4.2d1 | x | x | |||
LSL | A4.2e1 | x | x | |||
PSV | A4.2c1 | |||||
etc. | ||||||
V-2 | ND-Abscheider | etc. |
X bedeutet, dass das Detektionsgerät links (zB PSH) rechts oben die Abschalt- oder Warnaktion auslöst (zB ESV-Schließung).
Das SAFE-Diagramm bildet die Grundlage für Ursache-Wirkungs-Diagramme, die die Sensorgeräte mit Abschaltventilen und Anlagenauslösungen in Beziehung setzen, was die funktionale Architektur des Prozessabschaltsystems definiert.
Die Methodik spezifiziert auch die Systemprüfung, die notwendig ist, um die Funktionsfähigkeit der Schutzsysteme sicherzustellen.
API RP 14C wurde erstmals im Juni 1974 veröffentlicht. Die 8. Ausgabe wurde im Februar 2017 veröffentlicht. API RP 14C wurde 1993 als ISO-Standard ISO 10418 mit dem Titel Erdöl- und Erdgasindustrie — Offshore-Produktionsanlagen — Analyse, Konstruktion, Installation und Prüfung von grundlegende Sicherheitssysteme für Oberflächenprozesse. Die neueste Ausgabe der ISO 10418 aus dem Jahr 2003 wird derzeit (2019) überarbeitet.
Sicherheitszertifizierung
Normalerweise schreiben Sicherheitsrichtlinien eine Reihe von Schritten, zu liefernden Dokumenten und Ausstiegskriterien vor, die sich auf Planung, Analyse und Design, Implementierung, Verifizierung und Validierung, Konfigurationsmanagement und Qualitätssicherungsaktivitäten für die Entwicklung eines sicherheitskritischen Systems konzentrieren. Darüber hinaus formulieren sie typischerweise Erwartungen bezüglich der Schaffung und Nutzung von Rückverfolgbarkeit im Projekt. Abhängig von der Kritikalitätsstufe einer Anforderung fordert beispielsweise die Richtlinie DO-178B/C der US-amerikanischen Federal Aviation Administration die Rückverfolgbarkeit von Anforderungen bis zum Design und von Anforderungen bis hin zu Quellcode und ausführbarem Objektcode für Softwarekomponenten eines Systems. Dadurch können qualitativ hochwertigere Rückverfolgbarkeitsinformationen den Zertifizierungsprozess vereinfachen und dazu beitragen, Vertrauen in die Reife des angewandten Entwicklungsprozesses aufzubauen.
In der Regel ein Fehler in sicherheits- zertifizierte Systeme ist akzeptabel , wenn im Durchschnitt weniger als ein Leben pro 10 9 Stunden Dauerbetrieb ist zum Scheitern verloren. {Laut FAA Dokument AC 25.1309-1A} Die meisten westlichen Kernreaktoren , medizinische Geräte, und kommerzielle Flugzeuge sind auf diesem Niveau zertifiziert. Die Kosten gegenüber dem Verlust von Menschenleben wurden auf dieser Ebene als angemessen erachtet (von der FAA für Flugzeugsysteme gemäß den Federal Aviation Regulations ).
Fehler vermeiden
Sobald ein Fehlermodus identifiziert wurde, kann er normalerweise durch Hinzufügen zusätzlicher oder redundanter Ausrüstung zum System gemildert werden. Zum Beispiel enthalten Kernreaktoren gefährliche Strahlung , und Kernreaktionen können so viel Wärme erzeugen, dass keine Substanz sie enthalten könnte. Daher verfügen Reaktoren über Notkühlsysteme für den Kern, um die Temperatur niedrig zu halten, Abschirmungen, um die Strahlung einzudämmen, und technische Barrieren (normalerweise mehrere, verschachtelt, überragt von einem Sicherheitsgebäude ), um ein versehentliches Auslaufen zu verhindern. Sicherheitskritische Systeme müssen im Allgemeinen nicht zulassen, dass ein einzelnes Ereignis oder ein Komponentenausfall zu einem katastrophalen Ausfallmodus führt.
Die meisten biologischen Organismen haben eine gewisse Redundanz: mehrere Organe, mehrere Gliedmaßen usw.
Für jeden gegebenen Fehler kann fast immer ein Failover oder eine Redundanz entworfen und in ein System integriert werden.
Es gibt zwei Kategorien von Techniken, um die Ausfallwahrscheinlichkeit zu reduzieren: Fehlervermeidungstechniken erhöhen die Zuverlässigkeit einzelner Elemente (erhöhter Konstruktionsspielraum, Derating usw.). Fehlertoleranztechniken erhöhen die Zuverlässigkeit des Gesamtsystems (Redundanzen, Barrieren usw.).
Sicherheit und Zuverlässigkeit
Sicherheitstechnik und Zuverlässigkeitstechnik haben viel gemeinsam, aber Sicherheit ist nicht Zuverlässigkeit. Wenn ein Medizinprodukt ausfällt, sollte es sicher ausfallen; dem Chirurgen stehen andere Alternativen zur Verfügung. Wenn das Triebwerk eines einmotorigen Flugzeugs ausfällt, gibt es kein Backup. Elektrische Stromnetze sind sowohl auf Sicherheit als auch auf Zuverlässigkeit ausgelegt; Telefonsysteme sind auf Zuverlässigkeit ausgelegt, was bei Notrufen (zB US "911") zu einem Sicherheitsproblem wird.
Die probabilistische Risikobewertung hat eine enge Beziehung zwischen Sicherheit und Zuverlässigkeit geschaffen. Die Komponentenzuverlässigkeit, die im Allgemeinen als Komponentenausfallrate definiert wird , und die Wahrscheinlichkeit externer Ereignisse werden beide in quantitativen Sicherheitsbewertungsmethoden wie FTA verwendet. Verwandte probabilistische Verfahren werden verwendet, um die durchschnittliche Systemzeit zwischen Fehlern (MTBF) , die Systemverfügbarkeit oder die Wahrscheinlichkeit eines Missionserfolgs oder -fehlers zu bestimmen . Die Zuverlässigkeitsanalyse hat einen breiteren Anwendungsbereich als die Sicherheitsanalyse, da nicht kritische Ausfälle berücksichtigt werden. Andererseits werden für unkritische Systeme höhere Ausfallraten als akzeptabel angesehen.
Sicherheit kann in der Regel nicht allein durch die Komponentenzuverlässigkeit erreicht werden. Katastrophale Ausfallwahrscheinlichkeiten von 10 –9 pro Stunde entsprechen den Ausfallraten von sehr einfachen Bauteilen wie Widerständen oder Kondensatoren . Ein komplexes System mit Hunderten oder Tausenden von Komponenten könnte eine MTBF von 10.000 bis 100.000 Stunden erreichen, was bedeutet, dass es bei 10 -4 oder 10 -5 pro Stunde ausfallen würde . Wenn ein Systemausfall katastrophal ist, ist in der Regel die einzige praktische Möglichkeit, eine Ausfallrate von 10 –9 pro Stunde zu erreichen, durch Redundanz.
Wenn das Hinzufügen von Geräten nicht praktikabel ist (normalerweise aus Kostengründen), dann ist die kostengünstigste Form der Konstruktion oft "von Natur aus ausfallsicher". Das heißt, ändern Sie das Systemdesign, damit seine Fehlermodi nicht katastrophal sind. Inhärente Ausfallsicherungen sind in medizinischen Geräten, Verkehrs- und Eisenbahnsignalen, Kommunikationsgeräten und Sicherheitsausrüstungen üblich.
Der typische Ansatz besteht darin, das System so anzuordnen, dass gewöhnliche Einzelausfälle den Mechanismus auf sichere Weise abschalten (bei Kernkraftwerken wird dies als passiv sichere Auslegung bezeichnet, obwohl mehr als gewöhnliche Ausfälle abgedeckt sind). Wenn das System alternativ eine Gefahrenquelle wie eine Batterie oder ein Rotor enthält, ist es möglicherweise möglich, die Gefahr aus dem System zu entfernen, sodass seine Fehlermodi nicht katastrophal sein können. Die Standardpraxis des US-Verteidigungsministeriums für Systemsicherheit (MIL-STD-882) räumt der Beseitigung von Gefahren durch die Designauswahl höchste Priorität ein.
Eines der gängigsten ausfallsicheren Systeme ist das Überlaufrohr in Badewannen und Küchenspülen. Wenn das Ventil offen klemmt, läuft der Tank in einen Überlauf, anstatt einen Überlauf und eine Beschädigung zu verursachen. Ein weiteres häufiges Beispiel ist, dass in einem Aufzug das die Kabine tragende Seil die Federspeicherbremsen offen hält. Wenn das Kabel reißt, greifen die Bremsen und die Aufzugskabine fällt nicht.
Manche Systeme können niemals ausfallsicher gemacht werden, da eine kontinuierliche Verfügbarkeit erforderlich ist. Beispielsweise ist ein Verlust des Triebwerksschubs im Flug gefährlich. Für diese Situationen werden Redundanz-, Fehlertoleranz- oder Wiederherstellungsprozeduren verwendet (zB mehrere unabhängig gesteuerte und kraftstoffgespeiste Motoren). Dies macht das System auch weniger empfindlich gegenüber Zuverlässigkeitsvorhersagefehlern oder qualitätsinduzierter Unsicherheit für die einzelnen Elemente. Andererseits wird hier die Fehlererkennung und -korrektur sowie die Vermeidung von Fehlern aufgrund gemeinsamer Ursache immer wichtiger, um die Zuverlässigkeit auf Systemebene zu gewährleisten.
Siehe auch
- ARP4761
- Erdbebeningenieurwesen – Interdisziplinärer Zweig der Ingenieurwissenschaften
- Effektives Sicherheitstraining
- Forensic Engineering – Untersuchung von Fehlern im Zusammenhang mit rechtlichen Eingriffen
- Gefahren- und Betriebsfähigkeitsstudie
- IEC 61508
- Berater für Verlustkontrolle
- Nukleare Sicherheit
- Arbeitsmedizin
- Arbeitssicherheit und Gesundheitsschutz – Bereich, der sich mit der Sicherheit, Gesundheit und dem Wohlergehen von Menschen bei der Arbeit befasst
- Prozesssicherheitsmanagement
- Reliability Engineering – Teildisziplin des Systems Engineering, die auf Zuverlässigkeit im Lifecycle-Management eines Produkts oder eines Systems Wert legt
- Risikobewertung – Abschätzung des Risikos im Zusammenhang mit der Exposition gegenüber einer bestimmten Gruppe von Gefahren
- Risikomanagement – Maßnahmenpaket zur systematischen Identifikation, Analyse, Bewertung, Überwachung und Steuerung von Risiken
- Sicherheitslebenszyklus
- Zonale Sicherheitsanalyse
Verbände
Verweise
Anmerkungen
Quellen
- Lees, Frank (2005). Schadenverhütung in der Prozessindustrie (3 Hrsg.). Sonst. ISBN 978-0-7506-7555-0.
- Kletz, Trevor (1984). Billigere, sicherere Anlagen oder Wohlstand und Sicherheit am Arbeitsplatz: Hinweise zu an sich sichereren und einfacheren Anlagen . I.Chem.E. ISBN 978-0-85295-167-5.
- Kletz, Trevor (2001). Die Sicht eines Ingenieurs auf menschliches Versagen (3 Aufl.). I.Chem.E. ISBN 978-0-85295-430-0.
- Kletz, Trevor (1999). HAZOP und HAZAN (4 Hrsg.). Taylor & Franziskus. ISBN 978-0-85295-421-8.
- Lutz, Robyn R. (2000). Software Engineering für Sicherheit: Eine Roadmap (PDF) . Die Zukunft der Softwareentwicklung. ACM-Presse. ISBN 978-1-58113-253-3. Abgerufen am 31. August 2006 .
-
Grünske, Lars; Kaiser, Bernhard; Reußner, Ralf H. (2005). "Spezifikation und Bewertung von Sicherheitseigenschaften in einem komponentenbasierten Software-Engineering-Prozess". Springer. CiteSeerX 10.1.1.69.7756 . Cite Journal erfordert
|journal=
( Hilfe ) - US-DOD (10. Februar 2000). Standardverfahren für Systemsicherheit (PDF) . Washington, DC: US-DOD. MIL-STD-882D . Abgerufen am 7. September 2013 .
- US-Luftfahrtbehörde FAA (30. Dezember 2000). Handbuch zur Systemsicherheit . Washington, DC: US-FAA . Abgerufen am 7. September 2013 .
- NASA (16. Dezember 2008). Verfahrensanforderungen für das Risikomanagement von Agenturen . NASA. NPR 8000.4A.
- Leveson, Nancy (2011). Entwicklung einer sichereren Welt – Systemdenken auf die Sicherheit angewendet . Engineering-Systeme. Die MIT-Presse. ISBN 978-0-262-01662-9. Abgerufen am 3. Juli 2012 .