Der Betrieb von Prozessautomatisierungssystemen ist immer mit einem gewissen Risiko verbunden. Ein Prozessautomatisierungssystem gilt dann als sicher, wenn das vorhandene Risiko zu keiner Zeit ein so genanntes Grenzrisiko uberschreitet. Wird das Grenzrisiko uberschritten, so droht Menschen und Umwelt unmittelbar ein Schaden. Mit Hilfe von Sicherheitsanalysen kann das vorhandene Risiko untersucht und abgeschatzt werden. Klassische Sicherheitsanalysen betrachten in der Regel nur einzelne Bestandteile eines Prozessautomatisierungssystems, welches aber im Allgemeinen aus drei verschiedenen Bestandteilen besteht: dem technischen System, dem Rechnersystem und dem Bedienpersonal. Was passiert aber, falls im technischen System ein Bauelement ausfallt, die Automatisierungssoftware Fehler enthalt und zur gleichen Zeit das Bedienpersonal falsche Bedieneingriffe ausfuhrt? Solche Fragen konnen mit klassischen Sicherheitsanalysen nur unzureichend beantwortet werden. Hinzu kommt, dass bei den meisten klassischen Sicherheitsanalysen die eigentliche Analyse des Systems in Form von Brainstorming-Prozessen durchgefuhrt wird. Dabei kann der Mensch niemals alle moglichen Kombinationen des Zusammenspiels zwischen den Bestandteilen uberblicken und bewerten.
In der vorliegenden Arbeit wird ein modellbasierter Ansatz zur Durchfuhrung einer ganzheitlichen Sicherheitsanalyse vorgestellt, welche alle Bestandteile eines Prozessautomatisierungssystems berucksichtigt. Die Ausfuhrung erfolgt rechnergestutzt. Auf Grund der Komplexitat von Prozessautomatisierungssystemen wird eine qualitative komponentenorientierte Modellierungsmethode gewahlt. Die Systemgrosen werden durch qualitative Intervallvariablen beschrieben, wobei die definierten Intervallbereiche zusatzlich durch qualitative Ausdrucke kommentiert werden. Durch Kombination von Intervallbereichen entstehen kommentierte Situationen, die das Verhalten wiedergeben. Dabei wird sowohl der bestimmungsgemase als auch der fehlerhafte Betrieb berucksichtigt. Anhand der Systemstruktur werden die Modelle der Bestandteile miteinander kombiniert, um alle moglichen Situationen des gesamten Prozessautomatisierungssystems zu erhalten. Anschliesend werden die ermittelten sicherheitskritischen Situationen des Prozessautomatisierungssystems bewertet und es wird entschieden, ob Sicherheitsmasnahmen notwendig sind.
Durch das rechnergestutzte Vorgehen lassen sich im Unterschied zu klassischen Methoden beliebig viele Fehlerkombinationen analysieren und damit Sicherheitslucken im Prozessautomatisierungssystem ermitteln. Das komplexe Zusammenspiel der Bestandteile wird mit Hilfe des qualitativen Modells transparent und analysierbar. Das Modell ist auf Grund seines qualitativen Charakters einfach anzuwenden und die Ergebnisse konnen leicht interpretiert werden.
The operation of an automation system carries certain risks. A system is considered safe if a maximum acceptable risk is not exceeded at any time. If the maximum acceptable risk is exceeded, damage to human life and environment may occur. With the help of a safety analysis, the risk associated with a system can be examined and estimated. In general, conventional safety analysis methods consider only one particular part of an automation system. However, automation systems consist of three different parts: the technical system, the computer system and the operating crew. But what happens, if an element of the technical system is damaged, the software has bugs and the operator takes inappropriate actions at the same time? Using conventional safety analysis methods such questions can be answered inadequately, only. An additional lack of conventional methods of safety analysis is, that the analysis process is done by brainstorming. Therefore the user can hardly evaluate all possible interactions between the three counterparts.
In this work a model-based concept for an integral safety analysis is presented. It takes all parts of an automation system into account and the analysis is carried out by a computer. Because of the complexity of automation systems a qualitative component-oriented modelling method is chosen. The quantities of the system are described by qualitative interval variables. A qualitative value is given to each interval. Commented situations which represent the behaviour of a system part arise by combining the intervals. In the model, both the normal and the faulty behaviour are taken into account. Base on the system structure the models of the system parts are combined to get all possible situations of the complete automation system. Any resulting safety critical situations of the automation system have to been judged with respect to their risk and may have to be avoid by adding extra safety functions.
In difference to classic methods, the computer-aided procedure is able to analyse any numbers of combinations of failures to find safety-gaps in the system. With the help of the qualitative model, the complex interaction of the system parts becomes transparent and analysable. Because of its qualitative character, the model is simple to apply and the results can be interpreted easily.
[1]
David Harel,et al.
Statecharts: A Visual Formalism for Complex Systems
,
1987,
Sci. Comput. Program..
[2]
Uwe Biegert.
Using qualitative models for safety analysis of industrial automation systems
,
2000
.
[3]
Donald A. Norman.
New views of information processing: implications for intelligent decision support systems
,
1986
.
[4]
Sergio Yovine,et al.
KRONOS: a verification tool for real-time systems
,
1997,
International Journal on Software Tools for Technology Transfer.
[5]
Lothar Litz.
Grundlagen der sicherheitsgerichteten Automatisierungstechnik
,
1998
.
[6]
Dirk Abel,et al.
Petri-Netze für Ingenieure
,
1990
.
[7]
Dan Craigen,et al.
Experience with formal methods in critical systems
,
1994,
IEEE Software.
[8]
Thomas A. Henzinger,et al.
HYTECH: a model checker for hybrid systems
,
1997,
International Journal on Software Tools for Technology Transfer.
[9]
P. Struss.
Problems of interval-based qualitative reasoning
,
1989
.
[10]
Norman C. Rasmussen,et al.
The Application of Probabilistic Risk Assessment Techniques to Energy Technologies
,
1981
.
[11]
Alan D. Swain,et al.
The human element in systems safety : a guide for modern management
,
1974
.
[12]
Jens Rasmussen,et al.
Skills, rules, and knowledge; signals, signs, and symbols, and other distinctions in human performance models
,
1983,
IEEE Transactions on Systems, Man, and Cybernetics.
[13]
Rajeev Alur,et al.
A Theory of Timed Automata
,
1994,
Theor. Comput. Sci..
[14]
Jan Lunze,et al.
Qualitative Modellierung dynamischer Systeme durch stochastische Automaten
,
1998
.
[15]
Peter Liggesmeyer,et al.
Qualitätssicherung Software-basierter technischer Systeme – Problembereiche und Lösungsansätze
,
1998,
Informatik-Spektrum.
[16]
Bran Selic,et al.
Real-time object-oriented modeling
,
1994,
Wiley professional computing.
[17]
E. Westkämper,et al.
Product Life Cycle Costing Applied to Manufacturing Systems
,
1998
.
[18]
Wang Yi,et al.
Uppaal in a nutshell
,
1997,
International Journal on Software Tools for Technology Transfer.
[19]
Fevzi Belli.
Methoden und Hilfsmittel für die systematische Prüfung komplexer Software
,
1998,
Informatik-Spektrum.
[20]
D. Meister.
The nature of human error
,
1989,
IEEE Global Telecommunications Conference, 1989, and Exhibition. 'Communications Technology for the 1990s and Beyond.
[21]
Uwe Biegert.
Computer-aided safety analysis of computer-controlled systems : a case example
,
2000
.
[22]
Kenneth D. Forbus.
Qualitative Process Theory
,
1984,
Artif. Intell..
[23]
Ralf Mock.
Moderne Methoden der Risikobewertung komplexer Systeme
,
2001
.
[24]
Ivar Jacobson,et al.
The Unified Modeling Language User Guide
,
1998,
J. Database Manag..
[25]
F. J. Redmill.
Dependability of Critical Computer Systems 1
,
1988
.
[26]
Gerard J. Holzmann,et al.
The SPIN Model Checker
,
2003
.