Ganzheitliche modellbasierte Sicherheitsanalyse von Prozessautomatisierungssystemen

Abstract

Der Betrieb von Prozessautomatisierungssystemen ist immer mit einem gewissen Risiko verbunden. Ein Prozessautomatisierungssystem gilt dann als sicher, wenn das vorhandene Risiko zu keiner Zeit ein so genanntes Grenzrisiko überschreitet. Wird das Grenzrisiko überschritten, so droht Menschen und Umwelt unmittelbar ein Schaden. Mit Hilfe von Sicherheitsanalysen kann das vorhandene Risiko untersucht und abgeschätzt werden. Klassische Sicherheitsanalysen betrachten in der Regel nur einzelne Bestandteile eines Prozessautomatisierungssystems, welches aber im Allgemeinen aus drei verschiedenen Bestandteilen besteht: dem technischen System, dem Rechnersystem und dem Bedienpersonal. Was passiert aber, falls im technischen System ein Bauelement ausfällt, die Automatisierungssoftware Fehler enthält und zur gleichen Zeit das Bedienpersonal falsche Bedieneingriffe ausführt? Solche Fragen können mit klassischen Sicherheitsanalysen nur unzureichend beantwortet werden. Hinzu kommt, dass bei den meisten klassischen Sicherheitsanalysen die eigentliche Analyse des Systems in Form von Brainstorming-Prozessen durchgeführt wird. Dabei kann der Mensch niemals alle möglichen Kombinationen des Zusammenspiels zwischen den Bestandteilen überblicken und bewerten. In der vorliegenden Arbeit wird ein modellbasierter Ansatz zur Durchführung einer ganzheitlichen Sicherheitsanalyse vorgestellt, welche alle Bestandteile eines Prozessautomatisierungssystems berücksichtigt. Die Ausführung erfolgt rechnergestützt. Auf Grund der Komplexität von Prozessautomatisierungssystemen wird eine qualitative komponentenorientierte Modellierungsmethode gewählt. Die Systemgrößen werden durch qualitative Intervallvariablen beschrieben, wobei die definierten Intervallbereiche zusätzlich durch qualitative Ausdrücke kommentiert werden. Durch Kombination von Intervallbereichen entstehen kommentierte Situationen, die das Verhalten wiedergeben. Dabei wird sowohl der bestimmungsgemäße als auch der fehlerhafte Betrieb berücksichtigt. Anhand der Systemstruktur werden die Modelle der Bestandteile miteinander kombiniert, um alle möglichen Situationen des gesamten Prozessautomatisierungssystems zu erhalten. Anschließend werden die ermittelten sicherheitskritischen Situationen des Prozessautomatisierungssystems bewertet und es wird entschieden, ob Sicherheitsmaßnahmen notwendig sind. Durch das rechnergestützte Vorgehen lassen sich im Unterschied zu klassischen Methoden beliebig viele Fehlerkombinationen analysieren und damit Sicherheitslücken im Prozessautomatisierungssystem ermitteln. Das komplexe Zusammenspiel der Bestandteile wird mit Hilfe des qualitativen Modells transparent und analysierbar. Das Modell ist auf Grund seines qualitativen Charakters einfach anzuwenden und die Ergebnisse können leicht interpretiert werden.

The operation of an automation system carries certain risks. A system is considered safe if a maximum acceptable risk is not exceeded at any time. If the maximum acceptable risk is exceeded, damage to human life and environment may occur. With the help of a safety analysis, the risk associated with a system can be examined and estimated. In general, conventional safety analysis methods consider only one particular part of an automation system. However, automation systems consist of three different parts: the technical system, the computer system and the operating crew. But what happens, if an element of the technical system is damaged, the software has bugs and the operator takes inappropriate actions at the same time? Using conventional safety analysis methods such questions can be answered inadequately, only. An additional lack of conventional methods of safety analysis is, that the analysis process is done by brainstorming. Therefore the user can hardly evaluate all possible interactions between the three counterparts. In this work a model-based concept for an integral safety analysis is presented. It takes all parts of an automation system into account and the analysis is carried out by a computer. Because of the complexity of automation systems a qualitative component-oriented modelling method is chosen. The quantities of the system are described by qualitative interval variables. A qualitative value is given to each interval. Commented situations which represent the behaviour of a system part arise by combining the intervals. In the model, both the normal and the faulty behaviour are taken into account. Base on the system structure the models of the system parts are combined to get all possible situations of the complete automation system. Any resulting safety critical situations of the automation system have to been judged with respect to their risk and may have to be avoid by adding extra safety functions. In difference to classic methods, the computer-aided procedure is able to analyse any numbers of combinations of failures to find safety-gaps in the system. With the help of the qualitative model, the complex interaction of the system parts becomes transparent and analysable. Because of its qualitative character, the model is simple to apply and the results can be interpreted easily.