Was ist Fehlerstrukturanalyse (FTA)?

Die Fehlerstrukturanalyse ist ein deduktiver Top-Down-Ansatz zur Bestimmung der Ursache eines bestimmten unerwünschten Ereignisses innerhalb eines komplexen Systems. Dabei wird die Ursache eines Fehlers in die dazu beitragenden Faktoren aufgeschlüsselt und durch ein grafisches Modell, den so genannten Fehlerbaum, dargestellt, das Führungskräften und Ingenieuren hilft, potenzielle Fehlermöglichkeiten – und die Wahrscheinlichkeit jeder Fehlermöglichkeit – für Sicherheits- und Reliabilitätsanalysen zu ermitteln.

Die FTA wurde Anfang der 1960er Jahre von den Bell Laboratories entwickelt, um der US-Luftwaffe zu helfen, potenzielle Schwachstellen im Minuteman-Raketensystem zu erkennen. Seither wird FTA in zahlreichen Branchen eingesetzt, unter anderem in der Luft- und Raumfahrt, der Kernenergie, der Chemie und der Automobilindustrie.

Instandhaltungsmanager könnten die Fehlerstrukturanalyse für Folgendes nutzen:

• Design und/oder Installation eines neuen Systems
• Änderungen an bestehenden Systemen.
• Untersuchung der Systemsicherheit oder Systemzuverlässigkeit.
• Bewertung der Einhaltung von Vorschriften.
• Optimierung Ihres Wartungsbudgets.

Da sich die Fertigungsumgebungen weiter entwickeln und immer komplexer werden, wird der Bedarf an effektiven Risikomanagement-Tools wie FTA immer wichtiger. Die Integration von Fehlerstrukturanalysen in die Sicherheitsanalysen und Praxis der Zuverlässigkeitstechniken kann Ihrem Unternehmen helfen, tiefere Einblicke in potenzielle Ursachen von Systemausfällen zu gewinnen. Zusätzlich kann FTA die Gesamtleistung verbessern und die Wahrscheinlichkeit kostspieliger und potenziell katastrophaler Vorfälle verringern.

Die Durchführung einer Fehlerstrukturanalyse ist ein komplexer Prozess, der sieben Hauptschritte umfasst.

Bevor Sie Ihre Analyse ausführen, sollten Sie das unerwünschte Ereignis, das Sie analysieren möchten, klar definieren. Dieses Ereignis sollte spezifisch und messbar sein, beispielsweise ein Komponentenfehler oder eine Systemstörung. Zudem ist es wichtig, dass Sie das Ereignis klar und einheitlich definieren, da es als Ausgangspunkt für Ihr Fehlerstrukturdiagramm dient.

Nachdem Sie das unerwünschte Ereignis definiert haben, sollten Sie die Faktoren und Ereignisse identifizieren, die zu seinem Vorkommen beitragen könnten. Die beitragenden Faktoren lassen sich in der Regel in zwei große Kategorien einteilen: Basisereignisse und Zwischenereignisse.

Basisereignisse – d. h. Ereignisse, die nicht weiter in einfachere Ereignisse unterteilt werden können – sind die grundlegendsten Ereignisse in einem Fehlerbaum und stellen die niedrigste Ebene von Ereignissen dar, die Sie analysieren können. Ein Basisereignis in einem Fehlerbaum für einen Autounfall könnte beispielsweise sein: „Fahrer verliert die Kontrolle über das Fahrzeug.“

Zwischenereignisse liegen zwischen den Basisereignissen der unteren Ebene und dem Top-Ereignis (dem primären unerwünschten Ereignis, das analysiert wird). Zwischenereignisse werden durch andere Ereignisse im Fehlerbaum verursacht und verursachen wiederum andere Ereignisse. Sie stellen übergeordnete Ereignisse dar, die weiter analysiert werden können. Bei demselben Autounfall könnte ein Zwischenereignis im Fehlerbaum ein „Reifenplatzer“ sein.

Denken Sie daran, sowohl interne als auch externe Ereignisse wie Komponentenfehler, Bedienungsfehler und Umweltbedingungen in Betracht zu ziehen. Möglicherweise müssen Sie in dieser Phase der Analyse Fachleute zu Rate ziehen und/oder historische Daten, Vorfallsberichte und Wartungsaufzeichnungen prüfen.

Erstellen Sie mithilfe von standardmäßigen Gattersymbolen und Ereignissymbolen eine grafische Darstellung der Beziehungen zwischen dem unerwünschten Ereignis (oder Ausgangsereignis) und dessen beitragenden Faktoren (auch Eingangsereignisse genannt). Der Fehlerbaum sollte hierarchisch aufgebaut sein, mit dem unerwünschten Ereignis an der Spitze und den darunter verzweigten Faktoren.

Die Zuweisung von Basisereignissen ist einfach, da Basisereignisse keine anderen Ereignisse hervorbringen können. Das Einbeziehen von Zwischenereignissen ist jedoch etwas komplexer, da Zwischenereignisse boolesche Logikgatter erfordern, die die Beziehungen zwischen Top-, Zwischen- und Basisereignissen angeben.

Es gibt zwei Typen von Logikgattern, die in Fehlerbäumen hauptsächlich verwendet werden: AND-Gatter und OR-Gatter.

• AND-Gatter: Verwenden Sie AND-Gatter, wenn alle beitragenden Ereignisse gleichzeitig auftreten müssen, damit das unerwünschte Ereignis eintritt. Wenn beispielsweise ein Systemfehler sowohl einen Komponentenfehler als auch einen Betriebsfehler erfordert, wird ein AND-Gatter verwendet, um die Ereignisse im Fehlerbaum zu verbinden.

• OR-Gatter: Verwenden Sie ein OR-Gatter, wenn eines der Eingangsereignisse ausreicht, um das Ausgangsereignis zu verursachen. Mit anderen Worten: Das Ausgangsereignis tritt auf, wenn mindestens eines der mit dem OR-Gatter verbundenen Eingangsereignisse auftritt. Wenn beispielsweise ein Systemausfall entweder durch einen Komponentenfehler oder einen Bedienungsfehler verursacht werden könnte, würde ein OR-Gatter zur Verknüpfung der Ereignisse verwendet werden.

Obwohl sie eher selten verwendet werden, können NOT-Gatter, XOR-Gatter, K/N-Gatter und INHIBIT-Gatter auch dabei helfen, spezifische Beziehungen zwischen Eingangs- und Ausgangsereignissen zu identifizieren.

• NOT-Gatter: NOT-Gatter stellen die Umkehrung eines Eingangsereignisses dar. Wenn das Eingangsereignis nicht auftritt, tritt das Ausgangsereignis auf. Diese Gatter sind in der Fehlerstrukturanalyse weniger gebräuchlich, da sie das Fehlen eines Ereignisses oder das Auftreten eines ergänzenden Ereignisses modellieren.

• XOR-Gatter (Exklusive OR-Gatter): Verwenden Sie ein XOR-Gatter, wenn genau eines der Eingangsereignisse eintreten muss, damit das Ausgangsereignis eintritt. Wenn keines oder mehr als eines der Eingangsereignisse eintritt, wird das Ausgangsereignis nicht eintreten.

• K/N-Gatter: K/N-Gatter, auch Voting-Gatter oder Threshold-Gatter genannt, werden verwendet, wenn eine bestimmte Anzahl von Eingangsereignissen (K) von allen möglichen Eingangsereignissen (N) eintreten muss, damit das Ausgangsereignis eintritt. K/N-Gatter können Ihnen helfen, komplexere Zusammenhänge in einer Fehlerstrukturanalyse zu veranschaulichen.

• INHIBIT-Gatter: Wie ein AND-Gatter gibt ein INHIBIT-Gatter an, dass ein Ausgangsereignis eintritt, wenn sowohl Eingangsereignisse als auch ein bedingtes Ereignis (eine Bedingung oder Einschränkung, die für jedes Gatter gelten kann) auftreten.

Zu den Zwischenereignissen können auch unentwickelte Ereignisse gehören, d. h. Ereignisse, die noch nicht vollständig verstanden oder analysiert worden sind.

Mithilfe der verschiedenen verfügbaren Gatter können Sie einen umfassenden Fehlerbaum erstellen, der die komplexen Wechselwirkungen zwischen den verschiedenen Ereignissen und Faktoren erfasst, die das unerwünschte Ereignis ausgelöst haben.

Der Aufbau einer Fehlerstruktur ist ein iterativer Prozess, d. h. Sie werden die beitragenden Ereignisse so lange in ihre grundlegenden Unterereignisse zerlegen, bis sie nicht mehr analysiert werden können. Wenn Sie neue Informationen erhalten und/oder sich die Systembedingungen ändern, müssen Sie möglicherweise mehrere Anpassungen vornehmen, um den Fehlerbaum zu präzisieren.

Um die mit dem unerwünschten Ereignis verbundenen Risiken zu quantifizieren, müssen Sie Fehlerdaten (aus Protokollaufzeichnungen, gängigen Datenbanken, Expertenmeinungen usw.) für die Basisereignisse im Fehlerbaum sammeln. Die Fehlerdaten sollten als Ausfallwahrscheinlichkeiten oder Fehlerraten ausgedrückt werden, je nach Art der von Ihnen durchgeführten Analyse.

Sobald Sie den Fehlerbaum erstellt und die Fehlerdaten gesammelt haben, führen Sie die Analyse durch, bei der Sie die Wahrscheinlichkeit des Auftretens des unerwünschten Ereignisses berechnen und die kritischsten, beitragenden Faktoren identifizieren. Nutzen Sie entweder eine qualitative oder eine quantitative Methode zur Datenanalyse.

Eine qualitative Analyse konzentriert sich auf das Verständnis der Struktur des Fehlerbaums, der Beziehungen zwischen Ereignissen und der Identifizierung kritischer Pfade und Minimal Cut Sets (der kleinsten Gruppe von Ereignissen, die das unerwünschte Ereignis auslösen können). Eine qualitative Analyse kann dabei helfen, Korrekturmaßnahme zu priorisieren und Bereiche für weitere Untersuchungen zu identifizieren.

Bei einer quantitativen Methodik hingegen wird die Wahrscheinlichkeit des Eintretens des unerwünschten Ereignisses auf der Grundlage der Ausfallwahrscheinlichkeiten der Basisereignisse berechnet. Quantitative Analysen können dazu beitragen, Risikomanagemententscheidungen zu treffen und die Wirksamkeit von Verbesserungsvorschlägen zu bewerten.

Nach der Durchführung der Analyse interpretieren Sie Ihre Ergebnisse und geben alle relevanten Informationen an die erforderlichen Stakeholder weiter.

Die Ergebnisse einer Ereignisstrukturanalyse hängen von der Qualität der Eingabedaten und den während der Analyse getroffenen Annahmen ab. Daher sollten Sie die Ergebnisse als Ausgangspunkt für weitere Untersuchungen und Überprüfungen betrachten und nicht als endgültige Schlussfolgerung.

Basierend auf den Ergebnissen der Fehlerstrukturanalyse können Sie nun präventive Maßnahmen und Verbesserungen implementieren, um die Wahrscheinlichkeit eines unerwünschten Ereignisses zu eliminieren oder zu verringern. Überwachen Sie daher die Leistung dieser Verbesserungen und aktualisieren Sie den Fehlerbaum kontinuierlich, um Änderungen in dem Systementwurf, den Betriebsbedingungen oder der Leistung der Komponenten zu berücksichtigen, damit Ihr Baum weiterhin genau und somit für Ihr Unternehmen nützlich ist.

• FTA bietet eine visuelle Darstellung der Faktoren und Ereignisse, die zu einem Systemausfall führen können, und erleichtert so das Verständnis komplexer Wechselwirkungen zwischen Systemkomponenten.

• Mit FTA können Sie die Wahrscheinlichkeit des Auftretens eines Fehlerereignisses berechnen, was ein besseres Risikomanagement und eine bessere Entscheidungsfindung ermöglicht und den Teams hilft, proaktiv Korrekturmaßnahmen zu ergreifen.

• Da immer nur ein Ausgangsereignis analysiert werden kann, hilft die Fehlerstrukturanalyse den Teams, bei der Bewertung der Systemebenen und der methodischen Durchführung von Wirkungsanalysen den Überblick zu behalten.

• Im Gegensatz zu anderen Ansätzen der Fehlermöglichkeiten- und Auswirkungsanalyse (Failure Modes and Effects Analysis, FMEA) berücksichtigt die FTA Bedienungsfehler, was den Teams helfen kann, zu verstehen, ob Probleme mit Abweichungen von dem Standard Operating Procedure zusammenhängen.

• FTA identifiziert, welche Ausfälle am wahrscheinlichsten auftreten, und hilft Teams zu entscheiden, welche Probleme dringend Aufmerksamkeit erfordern.

• Die Genauigkeit und Effektivität der FTA hängt in hohem Maße von den Fachkenntnissen der Analysten, ihrer Fähigkeit zur Identifizierung relevanter Fehlerursachen und ihrem Verständnis der Komplexität des Fehlerbaums selbst ab.
• FTA eignet sich am besten für kleinere Systemanalysen. Große, komplexe Systeme erfordern wahrscheinlich große, komplexe Fehlerbäume, was die Analyse zeitaufwändig und schwierig macht.
• Die Verfügbarkeit und Qualität der Fehlerdaten bestimmen die Genauigkeit der berechneten Wahrscheinlichkeiten in einem Fehlerbaum.
• Mit der Fehlerstrukturanalyse können Sie jeweils nur ein Top-Ereignis untersuchen.