Ohne Konzept kann man schon mal baden gehen

Um es gleich vorwegzunehmen – ich musste mich für den Aufbau unseres CADFEM Seminars für funktionale Sicherheit sowieso für ein Beispiel entscheiden. Also bin ich dem gefolgt, was ich wirklich erlebt habe. Die Geschichte im Folgenden hat tatsächlich so stattgefunden. Während der Covid Phase hat sich mein Sohn im Keller eine moderne Seifenkiste gebaut. Ein halbes Fahrrad (der Vater durfte die Flex bedienen), ein Anbau aus Aluminiumprofilen, ein Standardbausatz zur Elektrifizierung von Fahrrädern und schon bald wurde das Gefährt getestet.

Die Überraschung war groß, die Idee hatte (zu gut?) funktioniert. Unschuldig wie wir waren, hatten wir in unserem Haushalt ein ernstzunehmendes motorisiertes Fahrzeug gebaut. Mit 35 km/h im städtischen Raum zu fahren – das verstößt allerdings so ziemlich gegen jedes deutsche Straßenverkehrsrecht. Wir mussten also in geschütztere Gebiete umsiedeln und brachten das Gefährt in eine Schrebergarten Siedlung in der Nähe eines beliebten Badesees. Hier gab es genug Privatwege, ein bisschen Spaß war also möglich.

Dort stand ich dann in der Frühlingssonne mit Spaten im Garten, der Sohn war auf Tour, da erreicht mich dieser Anruf: „Papa, Papa – das Trike … das Trike ist im See!“. Tatsächlich hatte mein Spross es geschafft, das gesamte Ding im See zu versenken. Als Vater war ich bloß froh, dass ihm nichts passiert war. Aber alle Eltern dieser Welt mögen nachvollziehen könne, was jetzt in meinem Kopf vor sich ging: Angst natürlich. Nur – waren meine Ängste überhaupt berechtigt? Genau das wollte ich wissen. Und so habe ich mich auch als Vater auf ein Spiel eingelassen und mit Medini Analyze mal eine professionelle Software aus der automobilen Sicherheitssparte auf diese Situation losgelassen.

Nichts ahnend arbeitet der Vater im Garten während am See der Ernstfall eintritt. | © CADFEM Germany GmbH 

Hara – welches Risiko geht von Fehlfunktionen aus?

Was war jetzt da schief gegangen? Ganz einfach. Der Ausflug ging zum Ufer des Sees. Dort sind diese angenehmen Liegewiesen, der See ist ein Baggersee. Der Sohn machte Halt, um bei herrlichem Wetter ein Foto von der Umgebung zu schießen. Er stieg vom Trike herunter, achtete jedoch nicht darauf, dass es am Hang abgestellt war. Und so kam es ins Rollen und verschwand alsbald in 4-5 m Tiefe im Wasser. Wir haben es hier also mit einer speziellen Nutzungssituation des Fahrzeuges zu tun.

Die HARA (Hazard Analysis & Risk Assessment) ist die erste Analyse überhaupt in der Erstellung von Sicherheitskonzepten in der Automobilbranche. In diese Sprache übersetzt würden wir uns für das Trike um eine Funktion „Safe Parking“ kümmern müssen, die in ihrer Negation zu „Safe Parking not possible“ würde. Die wiederum gilt es nun mit unterschiedlichen Szenarien der Verwendung des Gefährts abzugleichen. Und hier offenbart auch schon die Schwäche der Spaß orientierten Seifenkiste: es existiert technisch gar keine Vorrichtung, mit der robustes Parken hätte sichergestellt werden können.

Und jetzt kann man spielen: parkt man auf (normal) ebener Strecke, so stellt das kein Problem dar. Parkt man jedoch am Hang, kann Ärger entstehen. Letztlich gibt es 3 Faktoren – „Severity“, „Exposure“ und „Controllability“, die verwendet werden, um den ASIL (Automotive Safety Integration Level) zu ermitteln. Liegt der bei A oder B, so liegt ein Risiko vor. Ab C und D sind Leib und Leben in Gefahr. Welche Überraschung gab es hier: tatsächlich kommt man mit der vermeintlich kritischen Situation am See gerade mal auf den Level A. Das liegt am „Exposure“ Wert. Die Häufigkeit, dass man genau am Hang am See in Richtung See parkt, ist einfach sehr gering - also bereits an dieser Stelle … Entwarnung!

In der HARA (Hazard Analysis & Risk Assessment) werden Gefährdungsszenarien untersucht und für kritische Fehlfunktionen Sicherheitsziele abgeleitet. | © CADFEM Germany GmbH 

ASIL: vom Sicherheitsziel ins technische Konzept

Schön und gut – aber jetzt hatte es mich gepackt. Ich saß hier vor einem Tool, das scheinbar ganz gut geeignet war, meine Gedanken zu sortieren und das Designkonzept sicherer zu gestalten. Was könnte man also tun, um das „Trike 2.0“ entsprechend vom Konzept her zu verändern? ASIL führt nach der Norm ISO 26262 zur Verpflichtung, zur Verhinderung gewisser Risiken („Hazards“) - Sicherheitsziele zu definieren. In unserem Fall hieß das:

1. Stelle sicher, dass das Trike beim Parken nicht wegrollen kann
2. Falls das Trike in ein Gewässer fällt/fährt soll es nicht mehr untergehen können

Diese Punkte könnten über eine Parkbremse, eine automatische Wegrollsperre und einen automatischen Schwimmmechanismus umgesetzt werden. Na ja, vor allem der zweite Punkt ist da schon eine Maximalforderung, erwachsen aus dem Gedanken, dass der Junge vielleicht hätte vom Trike unter Wasser hätte gezogen werden können. Vielleicht war aber auch nur das Wasser im April so kalt, dass ich nie wieder zu der Jahreszeit auf 4 Meter Tiefe tauchen wollte, um entsprechend Wracks zu bergen.

Zurück zum Prozess der Konzepterstellung: Sicherheitsziele werden über Lastenhefte mit Forderungen zur Implementierung („Requirements“) weiter unterfüttert. Hier stellt sich konkret heraus: in der Trike Architektur fehlt eine Parkvorrichtung völlig und muss eingebaut werden. Das verändert einiges im Projekt. Es müssen sicherheitsrelevante Erweiterungen des funktionalen Konzeptes erfolgen, was natürlich auf nächster Ebene auch die Menge der möglichen Fehlfunktionen erweitert. Und ein technisches Konzept zur Umsetzung muss erstellt werden, auch das kann selbst wieder versagen.

Ausgehend von den Sicherheitszielen können Anforderungen formuliert und als Konzept auf der funktionalen Ebene implementiert werden. | © CADFEM Germany GmbH 

FMEA: Induktive Analyse von Ursache und Wirkung

Es gilt also jetzt, die technische Ebene weiter zu untersuchen und die Ergebnisse der Analyse(n) mit der funktionalen Ebene zur verknüpfen. Dazu eignet sich klassisch die FMEA (Fehlermöglichkeits- und -Einflussanalyse). Prinzipiell startet sie auf der untersten Systemebene des technischen Versagens und verknüpft allgemein die Fehlerursache mit der unmittelbaren Auswirkung. Wir können sie in unserem Konzept mehrfach anwenden, um entsprechende Designebenen zu verbinden: erst im Technischen, dann aber auch für das funktionale Konzept.

Das klingt kompliziert, da in der funktionalen Sicherheit immer auch die Nachverfolgbarkeit von Informationen („Traceability“) eingefordert wird. Bei einem auf Tabellen basierenden Verfahren würden uns falsche und/oder doppelte Einträge zu schaffen machen und die Einführung von Datei übergreifenden Verlinkungen vor Herausforderungen stellen. Mit Medini war von diesen Problemen nichts zu spüren. Im Gegenteil: da die Software modellbasiert ist und ich die Konzepte auf allen Ebenen bereits als Architektur definiert hatte, konnte ich direkt daraus die Analysen ableiten.

Als Ingenieur habe ich in das Bremssystem der Hinterachse eine Wegfahrsperre hinein konstruiert und diese analysiert. Das wirkte Wunder auf die Ergebnisse. Ein sicheres Abstellen des Trikes war nun offensichtlich möglich. Man sollte natürlich schauen, dass das System auch funktionstüchtig ist, was über „Detection“ und „Prevention“ von Fehlerursache erreicht werden kann. Als Motorradfahrer hatte ich da meinen Spaß: hier also kamen Forderungen wie visuelle Inspektion, Bremstest auf Fahrzeugebene, aber auch die regelmäßige Wartung des Fahrzeuges ins Spiel!

Die FMEA (Fehlermöglichkeits- und -Einflussanalyse) verknüpft Fehlfunktionen mit technischem Versagen und ermöglicht das Ergreifen gezielter Maßnahmen zu deren Vermeidung. | © CADFEM Germany GmbH 

FTA: Der deduktive Ansatz über Fehlerbäume

Und trotzdem stimmte etwas noch nicht. Zum Parken ist es nicht erforderlich, dass die Bremswirkung beider hinterer Bremsen zum Tragen kommt, eine würde schon genügen. Die FMEA kann dieses Faktum nicht abbilden, da sie nur lineare, direkte Zusammenhänge darstellen kann: „Bremse versagt“ führt zu „sicheres Abstellen nicht möglich“. Um das Prinzip der Redundanz im Sicherheitskonzept abzubilden, musste jetzt also noch eine andere Methode her, die Logik abbilden kann. Die FTA (Fault Tree Analysis) macht genau das, aber noch mehr – sie bietet einen Top-Down Denkansatz, der in Synergie zur FMEA steht.

Als Analyse startet die FTA ganz oben bei der Verletzung des Sicherheitszieles. Von dort aus können Ereignisse (Events) über boolesche Logik verknüpft werden, um das Zustandekommen des obersten Events zu beschreiben. Und wieder zeigte sich mir, wie praktikabel der modellbasierte Ansatz war. Jedes zuvor erstellte Modell, sei es in der Architektur, eine Fehlfunktion oder ein schon definiertes Versagen konnte über einfaches Drag-n-Drop automatisch als Event herangezogen werden. Dabei wurde automatisch die Nachverfolgbarkeit sichergestellt, das Event mit dem Quellmodel verknüpft.

Und so hatte ich sehr schnell, was ich wollte: in der FTA konnte ich eindeutig beschreiben, dass für den Fall des Versagens beim Parken eintreten muss, dass die linke UND die rechte Hinterradbremse nicht blockiert werden können. Das war ja schon viel realistischer! Aber wie immer will man mehr – mein Blick viel auf die Möglichkeit, das Eintreten von Ereignissen in ihrer Wahrscheinlichkeit zu modellieren.

Die FTA (Fault Tree Analysis) formuliert Ereignisse und verwendet boolesche Logik zur weiteren Analyse der Verletzung von Sicherheitszielen oder Fehlfunktionen. | © CADFEM Germany GmbH 

Quantifizierung: auf Nummer sicher gehen

Quantifizierung – an der Stelle müssen wir selber auf die Bremse treten, sonst nimmt die Geschichte hier kein Ende. In Medini Analyze ist unglaublich viel in diese Richtung möglich. Bibliotheken mit Fehlerraten und Versagensmodi, Zugriff auf Kataloge wie den aus der Norm SN 29500, darauf aufbauend die Berechnung quantitativer Eigenschaften gemäß der dahinter liegenden Formeln in Abhängigkeit von Temperatur, Missionsprofile etc. Herrje – klar ist das bei elektronischen Komponenten der richtige Weg. Aber für mein niedrig gestecktes Ziel hier brauche ich so viel Funktionalität doch gar nicht.

Ich konnte es aber trotzdem nicht lassen und habe nochmal einen neuen Fehlerbaum erstellt. Mein Ziel war es diesmal, das Gesamtkonzept zu prüfen. Hier sollten alle Ereignisse in ihrem Eintreten abgeschätzt, aber auch Sicherheitsmechanismen wie Parkbremse, die Wegrollsperre und die Schwimmautomatik in ihrer Wirksamkeit untersucht werden. Und wieder ging es sehr schnell, dass sich mir die Augen öffneten. Ich habe einfach für alle Situationen Ereignisse mit groben und konservativen, festen Eintrittswahrscheinlichkeiten definiert und verknüpft. Interaktiv hat sich das Gesamtszenario dann in der Software vor mir entfaltet.

Der Trick war das „UND“. Baut man systematisch auf, wie der Trike-im-See Szenario zustande gekommen ist, so kann man dafür eine Wahrscheinlichkeit von 0,075% abschätzen. Das ist an sich schon sehr gering und spiegelt das Ergebnis aus der HARA gut wider. Schrittweise kann man jetzt Sicherheitsmechanismen einbauen. Die Parkbremse lässt uns schon auf 0,015% kommen, die automatische Wegrollsperre reduziert das Szenario auf 0,0003% und die Schwimmautomatik bringt uns eine Eintrittswahrscheinlichkeit von nur noch 0,000006% für das Versinken des Trikes im See.

In der quantitativen FTA kann man die Wahrscheinlichkeit für das Auftreten eines Ereignisses aus den darunter liegenden Events über viele Ebenen hinweg ableiten. | © CADFEM Germany GmbH 

Mit einem guten Konzept klappt es dann auch …

Tatsächlich sitze ich gerade während des Schreibens im Schrebergarten und schaue auf das Trike 2.0. Nachdem wir die erste Version aus dem See gezogen hatten, war es eine Sache von ein paar Wochen, alles auseinanderzunehmen und zu trocknen. Klar – ein neuer Akku musste schon her, aber der Rest konnte mit Föhn und Geduld recht erfolgreich reanimiert werden. Zum Schluss wurde noch das Sicherheitskonzept integriert. In der Realität besteht es heute aus einem Stück Seil und einem Kabelbinder. Das ist eine sehr einfache Lösung, aber sie ist äußerst effektiv.

Ich selber bin heute begeistert von dieser Geschichte. Mit der gefundenen Lösung kann ich äußerst ruhig schlafen und bin nach meinem Ausflug in Analyse und Konzept davon überzeugt, dass mir in der Zukunft kalte Badeseen im April erspart bleiben werden. Am interessantesten fand ich aber, dass ich mir vor Augen führen konnte, wie stark sich eine Angst basierte, emotionale Beurteilung einer Situation von einem auf Analysen basierten, rationalem Konzept unterscheidet. Letztlich geht es ja immer um die Beurteilung von Restrisiken, die wir minimieren wollen, aber nie ganz ausschließen können.

Kommen wir zu einem Fazit. Ich habe Medini Analyze in einer echten Anwendung als wirklich effizientes und mächtiges Werkzeug erleben können. Natürlich hat mich die Vorbereitung des kompletten Seminars sehr viel mehr Zeit gekostet. Der Teufel steckt in den Details und die sind in den Projekten minutiös in Checklisten festgehalten, so dass die Teilnehmer genau nachvollziehen können, auf welche Art Arbeitsprodukte zustande kommen. Aber es hat sich gelohnt. Mit der e-Trike Geschichte gelingt es mir regelmäßig, ein Schmunzeln auf die Gesichter zu bekommen. Und Spaß ist schließlich nach wie vor die gesündeste Grundlage für erfolgreiches Lernen.

Das e-Trike wurde aus dem See geborgen, getrocknet und wieder aufgebaut. In der neuen Version ziert eine sehr einfache, aber effiziente Wegfahrsperre den Lenker. | © CADFEM Germany GmbH 

Titelbilder: © CADFEM GmbH | Getty Images