Ein Angebot von

Modellbasierte Risikoanalyse sicherheitskritischer Systeme

| Autor / Redakteur: Markus Schacher* / Christine Kremser

Eine riskante Situation: Bei Systemen im sicherheitskritischen Umfeld tut eine sorgfältige Abwägung der Risiken Not.
Eine riskante Situation: Bei Systemen im sicherheitskritischen Umfeld tut eine sorgfältige Abwägung der Risiken Not. (Bild: gemeinfrei/Pixabay / CC0)

Die Europäische Norm für den Nachweis der Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit und Sicherheit von Bahnanwendungen definiert den Begriff „Risiko“ als die „Kombination aus der erwarteten Häufigkeit eines Verlustes und der erwarteten Schwere dieses Verlustes“. Dieser Artikel zeigt, wie sich solche Risikoüberlegungen in Form eines UML-Modells erarbeiten lassen.

Risiken im Bahnumfeld

Der Betrieb einer Eisenbahn birgt schon aufgrund der hohen Zahl der transportierten Passagiere ein inhärentes Betriebsrisiko. Sowohl technisches als auch menschliches Versagen kann zu fatalen Unfällen führen, die hohe Sachschäden verursachen oder gar Menschenleben gefährden können. Aus diesem Grund hat sich im Bahnumfeld über viele Jahrzehnte eine Sicherheitskultur entwickelt, die heute in Form der europäischen CENELEC-Norm [EN50126] niedergeschrieben ist. In dieser Norm sind nicht nur Techniken zur Identifikation und Begrenzung von Risiken beschrieben, sondern es wird auch das grundsätzliche Zusammenspiel zwischen Bahnbetreiber dessen Lieferanten geregelt.

Zentrales Konzept ist die Gefährdung: Eine Situation, die zu einem Unfall führen kann, aber nicht unbedingt muss. Dies kann beispielsweise ein Signal sein, das auf Grün steht, obwohl sich auf dem dahinter liegenden Gleis ein Zug befindet. Eine Gefährdung bezieht sich immer auf einen spezifischen Systemkontext, beispielsweise das Signal sowie dessen dahinter stehende Steuerlogik (Stellwerk) inklusive weiterer Sensoren. Auf dieser Basis lassen sich nun Szenarien analysieren, die zu verschiedenen Unfällen führen könnten. Diese Analysetechnik wird auch als „Ereignisbaumanalyse“ (eng. Event Tree Analysis, ETA) bezeichnet.

Umgekehrt haben Gefährdungen auch immer Ursachen, die aus dem Inneren des Systemkontexts herrühren: Ein Sensor ist defekt, die Steuerlogik weist unter gewissen Umständen fehlerhaftes Verhalten auf oder das Wartungspersonal hat eine fehlerhafte Konfiguration vorgenommen. Die Anwendung dieser Analysetechnik wird auch als „Fehlerbaumanalyse“ (eng. Fault Tree Analysis, FTA) bezeichnet.

Die Analyse der Folgen einer Gefährdung liegt nach EN50126 hauptsächlich in der Verantwortlichkeit des Bahnbetreibers: Er muss Zulassungsbehörden und damit der Öffentlichkeit gegenüber nachweisen, dass er mit den aus der Gefährdung resultierenden Risiken leben, d.h. mit ihnen umgehen kann. Dies kann er aber nur, wenn die Häufigkeit dieser Gefährdungen (die "Gefährdungsrate") ein gewisses Maß nicht überschreitet. Demgegenüber liegt die Verantwortlichkeit für die Analyse der Ursachen einer Gefährdung beim Lieferanten des Systems, welches durch den Systemkontext begrenzt ist. Er muss nachweisen, dass sein System die geforderte Gefährdungsrate unter keinen Umständen überschreitet. Für den Lieferanten sind also Gefährdungsraten sicherheitsrelevante Anforderungen, die er einhalten muss, um für sein System eine Zulassung zu erhalten.

Modellbasierte Risikoanalyse

Wird eine Risikoanalyse modellbasiert vorgenommen, so werden die wichtigen Konzepte der Risikoanalyse in Form von Modellelementen erfasst und zueinander in Beziehung gesetzt. Die wichtigsten Zusammenhänge zwischen diesen Konzepten sind in Bild 2 (s.h. Bildergalerie) zusammengefasst.

Thematisch lässt sich eine modellbasierte Risikoanalyse in drei Bereiche gruppieren:

  • In der Systemmodellierung (grüner Bereich in Bild 2) werden die relevanten Systeme und Subsysteme sowie ihre Funktionen beschrieben. In detaillierter Form kann dies beispielsweise mittels der Systems Modeling Language [SysML] der OMG erfolgen. Zudem können in diesem Bereich verschiedene Organisationen als Systemverantwortliche festgelegt werden.
  • In der Risikomodellierung (gelber Bereich) werden (System-)Zustände als Gefährdungen, Ursachen und Folgen klassifiziert, über Ursache/Wirkungs-Beziehungen verknüpft sowie die auslösenden Vorfälle identifiziert. Diese Systemzustände lassen sich dann einzelnen Systemkomponenten (technische Modellierung) oder einzelnen Funktionen (funktionale Modellierung) zuordnen.
  • Die Anforderungsmodellierung (blauer Bereich) verbindet die Systemmodellierung mit der Risikomodellierung, indem Schutzmaßnahmen identifiziert werden, welche die Häufigkeiten unerwünschter Systemzustände minimieren und/oder deren Folgen reduzieren. Schutzmaßnahmen werden dann mittels Sicherheitsanforderungen den ursächlichen Systemkomponenten bzw. Funktionen zugeordnet.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44295414 / Safety & Security)