1    Einführung

Das Buch befasst sich mit der Sicherheit von Systemen und Geräten. Im Englischen wird dieses Thema Safety Engineering genannt, und zwar abgegrenzt von der Sicherheit vor Angriffen, die von außen auf Systeme und Geräte wirken. Im Englischen wird dafür der Begriff Security verwendet. In diesem Buch stehen Gefahren, die selbst von Systemen und Geräten ausgehen, im Vordergrund. Die englische Bezeichnung dafür ist Safety. Abbildung 1.1 zeigt die Abgrenzung zwischen Security und Safety. Bezüglich einer detaillierteren Unterscheidung wird auf das Buch [1] hingewiesen.

Abbildung 1.1     Abgrenzung zwischen Security und Safety (aus [1])

Gefahren und Risiken, die aus dem System oder Gerät hervorgehen, werden über Methoden bewertet. In den ersten Kapiteln werden qualitative Ansätze und in den folgenden Kapiteln quantitative (also rechnerische) Ansätze vorgestellt. In jedem Kapitel sind ein oder zwei Fallbeispiele beschrieben, um zu zeigen, welche Vorfälle zu teilweise katastrophalen Unglücken führten. So werden die vorgestellten Methoden an den Fallbeispielen durchgespielt bzw. diskutiert.

Viele der Methoden in diesem Buch sind bereits in Normen zusammengestellt. Für eine Übersicht werden in Kapitel 3 die wichtigsten Normen aufgezählt, und deren Inhalt wird kurz beschrieben. Auch Normen, die keine Anwendung mehr finden, sind darunter. Die Benennung der alten Normen ist wegen der Historie interessant, damit die Entstehung der aktuellen Normen aufgezeigt wird.

Da dieses Buch im Rahmen einer Vorlesung in der Informatik entstanden ist, enthält die Softwareentwicklung ein entsprechendes Gewicht, ihr ist ein ganzes Kapitel gewidmet. Software ist heutzutage ein fester Bestandteil von Systemen und Geräten. Im Gegensatz zu Hardwarefehlern lassen sich Softwarefehler (vermeintlich) sehr leicht und kostengünstig beheben. Bei neueren Systemen oder Geräten kann die Software mit Orchestrierungswerkzeugen (z. B. Kubernetes) direkt von der Entwicklungsabteilung auf eine technische Anlage des Kunden aufgespielt werden. Dies verleitet dazu, Sicherheitsbetrachtungen bei der Software zu vernachlässigen, da die Behebung der Probleme unter Umständen leicht sein kann. Diese Leichtigkeit ist aber ein Trugschluss, denn der Entwickler von Software hat nicht in allen Fällen Zugang zur technischen Anlage des Kunden. Debug-Daten zur Fehleranalyse, notwendig zur Fehlerbehebung, sind oft umständlich zu erhalten.

Unglücke aus der Vergangenheit sind aufgrund von Fehlern oder Ausfällen unterschiedlicher Art entstanden. So gibt es z. B. unterschiedliche technische Fehler, hervorgerufen durch Hardwarefehler, Softwarefehler oder menschliche Fehler. Bei laufenden Systemen und Geräten entstehen immer Fehler und Ausfälle bei den Komponenten. Dabei gibt es ungefährliche und gefährliche Fehler und Ausfälle. Des Weiteren kann bei der Detektierbarkeit von Fehlern und Ausfällen unterschieden werden. In den Fallbeispielen dieses Buchs wird beschrieben, wie auftretende Fehler und Ausfälle nicht bemerkt wurden und so zu einem katastrophalen Unglück führten.

Vor allem bei der Hardware, aber auch in vielen Fällen bei der Software, folgen Fehler und Ausfälle statistischen Mustern. Deswegen können statistische Methoden eingesetzt werden, um die Häufigkeiten und ihre zeitlichen Verläufe zu beschreiben. Durch den Einsatz der Wahrscheinlichkeitstheorie können Vorhersagen bezüglich der Zuverlässigkeit und der Verfügbarkeit von Systemen und Geräten getroffen werden.

Bereits in der zweiten Hälfte des 20. Jahrhunderts wurden Verfahren entwickelt, um Gefahren zu ermitteln, die von Systemen und Geräten ausgehen. Das Studium der Fallbeispiele aus der Vergangenheit, aber auch das Sammeln eigener Erfahrungen hilft bei der Entwicklung von Systemen und Geräten mit hohen sicherheitstechnischen Anforderungen. So gibt es Methoden, die sowohl am Anfang als auch am Ende der Entwicklungsphase eingesetzt werden. Idealerweise liefern Methoden der unterschiedlichen Projektphasen auch ähnliche Ergebnisse. Es ist dabei wichtig, dass die Methoden von Experten angewendet werden, die Erfahrung darin haben, sie richtig einzusetzen. Dennoch ist es von Vorteil, junge Entwickler und Entwicklerinnen mit ihren Ideen und kreativen Denkansätzen einzubeziehen.

Ergebnisse der Gefahrenanalyse aus teamorientierten Methoden (qualitativ) und mathematischen Beschreibungen von Systemen und Geräten (quantitativ) mit Methoden der Statistik können miteinander kombiniert werden. Ziel ist unter anderem die Ermittlung von Kenngrößen, die eine Aussage über den sicherheitstechnischen Zustand liefern können. Kenngrößen lassen sich bestimmen, indem Systeme und Geräte über längere Zeit beobachtet werden. Publikationen und Normen helfen, aus Daten und über Berechnungsvorschriften Kenngrößen zu ermitteln.

Es gibt teamorientierte Methoden zur Gefahrenanalyse, womit Ereignisse, die zum unerwünschten Ausfall führen können, herausgearbeitet werden können. So sind Ereignisse z. B. Bedienfehler, Verschleißausfälle etc. In der Regel führt aber nicht ein einziger Fehler oder Ausfall zum Unglück, sondern eine Kombination daraus. Es gibt Methoden, z. B. die Fehlerbaumanalyse, mit der sich diese Ereignisse mit Elementen aus der booleschen Algebra kombinieren lassen. Dieses Verfahren kann dazu verwendet werden, die Ergebnisse aus der teamorientierten Gefahrenanalyse zu validieren. Aber auch Berechnungen zur Wahrscheinlichkeitsbestimmung bei Kenntnis der Kenngrößen können angewendet werden.

Weitere Methoden zur Untersuchung der Gefahren ist die Anwendung von Methoden wie Risikographen und Layer of Protection Analysis. Es sind Methoden, die auf teamorientierten Gefahrenanalysen aufsetzen. So liefert die erste Methode eine Einschätzung für weitergehende Maßnahmen zur Risikominimierung von Gefahren. Mögliche Maßnahmen können in Normen vorgeschlagen sein, was den Vorteil hat, dass der Safety Engineer sich darauf beziehen kann. Die zweite oben genannte Methode ist eine Erweiterung der Methode aus der Gefahrenanalyse. So werden während der Entwicklung Maßnahmen zur Risikominimierung aufgezählt und dokumentiert. Über Berechnungen lässt sich durch den Einsatz von Schätzwerten eine Wahrscheinlichkeit für das Eintreten von Gefahrsituationen bestimmen. Das Ergebnis der Analyse kann zur Bestimmung der notwendigen Maßnahmen herangezogen werden. Normen stehen dafür als Entscheidungsgrundlage zu Verfügung.

Normen schlagen in vielen Fällen die Redundanz als technische Maßnahme zur Gefahrenreduzierung vor. So gibt es Zuverlässigkeitsdiagramme, mit denen sich Systeme und Geräte mit ihren Sicherheitssystemen zur Risikoreduzierung grafisch beschreiben lassen. Bei Einsatz der Zuverlässigkeitskenngröße der einzelnen Komponenten kann auch die Wahrscheinlichkeit des Ausfalls für ein ganzes System oder Gerät bestimmt werden. Der Einsatz dieser Diagramme geht also über die Dokumentation von System und Gerät und die Darstellung von konstruktiven Maßnahmen zur Gefahrenreduzierung hinaus.

Nachteilig bei Modellen mit Fehlerbäumen und Zuverlässigkeitsdiagrammen ist, dass der Verlauf der Zeit nicht ausreichend berücksichtigt wird. Es ist die Regel, dass ein Fahrzeug alle zwei Jahre zur Inspektion in die Werkstatt gebracht wird. Das Ziel ist es, mögliche Fehler und Ausfälle zu erkennen und beheben, sodass ein weiterer Fehler oder Ausfall in den folgenden zwei Jahren vermieden werden kann. Die beiden oben genannten Methoden können zwar diese rudimentären Instandsetzungsmaßnahmen abbilden, aber der Markov-Prozess bietet eine wesentlich elegantere Methode, die die Zeit berücksichtigt. Sie zeichnet sich durch höhere Flexibilität in der Modellierung aus. Mathematische Methoden können eingesetzt werden, um zeitliche Simulationen durchzuführen, und Wahrscheinlichkeiten für Ausfälle unter Berücksichtigung von Betriebsarten von Systemen und Geräten (Betrieb, Instandsetzung, Prüfung) zu ermitteln.

Eine Erweiterung des Markov-Prozesses ist der Markov Decision-Prozess. Damit können verschiedene Szenarien von verschiedenen ineinandergreifenden Markov-Modellen modelliert werden. So kann der Betrieb des Systems mit dem ersten Markov-Modell und die Wartung mit einem zweiten Markov-Modell beschrieben werden. Das Überführen von einem Modell zu einem anderem erfolgt über Aktionen, die der Betreiber einleiten kann. Belohnungen können Aktionen zugeordnet werden, genannt Strategie, um die die Gesamtbelohnung zu optimieren.

Zuverlässigkeitsdiagramme und Markov-Diagramme sind Methoden, um Systeme und Geräte, die regelmäßig geprüft werden, zu modellieren. Normen stellen dafür Formeln für die Zuverlässigkeitsberechnung zur Verfügung. Die Formeln sind zwar leicht anzuwenden, aber die Herleitung ist nicht immer offensichtlich. So sollen mithilfe von Zuverlässigkeitsdiagrammen und einem Modell, bei dem das System in regelmäßigen Prüfintervallen instandgesetzt wird, die Formeln aus den Normen hergeleitet werden. Markov-Prozesse sind zwar hervorragend für die Beschreibung von Systemen mit Prüfintervallen geeignet, dennoch kann die analytische Berechnung kompliziert sein. Bei Betrachtung von langen Zeiträumen kann der zeitliche Verlauf mit Grenzwerten vereinfacht werden.

Schlussendlich soll in diesem Buch noch eine letzte Methode zur Modellierung von Fehlern und Ausfällen beschrieben werden. Das Binary Decision Diagram ist eine der letzten...