UNI STUTTGART Jan Gröber Zuverlässigkeitsanalyse neuartiger mechatronischer Systeme Bericht Nr. 198 Berichte aus dem Institut für Maschinenelemente Antriebs-, Dichtungs-, Schienenfahrzeug- u. Zuverlässigkeitstechnik D 93 ISBN 978-3-936100-99-X Institut für Maschinenelemente Antriebs-, Dichtungs-, Schienenfahrzeug- u. Zuverlässigkeitstechnik Universität Stuttgart Pfaffenwaldring 9 70569 Stuttgart Tel. (0711) 685 – 66170 Prof. Dr.-Ing. B. Bertsche, Ordinarius und Direktor Zuverlässigkeitsanalyse neuartiger mechatronischer Systeme Von der Fakultät Konstruktions-, Produktions- und Fahrzeugtechnik der Universität Stuttgart zur Erlangung der Würde eines Doktor-Ingenieurs (Dr.-Ing.) genehmigte Abhandlung Vorgelegt von Jan Gröber, M.Sc. aus Tübingen Hauptberichter: Prof. Dr.-Ing. Bernd Bertsche Mitberichter: Prof. Dr.-Ing. Bernd Gundelsweiler Tag der mündlichen Prüfung: 29.4.2021 Institut für Maschinenelemente der Universität Stuttgart 2021 Vorwort Die vorliegende Arbeit entstand während meiner Tätigkeit als akademi- scher Mitarbeiter im Fachbereich Zuverlässigkeitstechnik am Institut für Maschinenelemente der Universität Stuttgart sowie als Doktorand bei der Festo SE & Co. KG. Mein besonderer Dank gilt dem Direktor des Instituts für Maschinenele- mente Herrn Prof. Dr.-Ing. Bernd Bertsche für die Ermöglichung dieser Ar- beit, die fortwährende fachliche Unterstützung sowie das entgegenge- brachte Vertrauen. Herrn Prof. Dr.-Ing. Bernd Gundelsweiler danke ich für die Übernahme des Mitberichts und der kritischen Durchsicht der Arbeit. Bei Herrn Prof. Dr.-Ing. Peter Zeiler möchte ich mich für die hervorra- gende fachliche Unterstützung sowie das entgegengebrachte Vertrauen bedanken. Herrn Frank Müller danke ich für die Unterstützung und das Interesse an dem Projekt. Des Weiteren bedanke ich mich bei allen Beteiligten des Ko- operationsprojektes des Institutes für Maschinenelemente und der Festo SE & Co. KG. Besonderen Dank gilt meinem Betreuer Herrn Dr.-Ing. Wolf- gang Gauchel für die kritische und konstruktive Unterstützung. Bei Herrn Thomas Rittler möchte ich mich für die fachliche Betreuung bedanken. Herrn Manuel Häderle danke ich für seinen Einsatz bei der Realisierung von Dauerlaufprüfaufbauten. Herrn Uwe Hönlinger und Marco De Lucia möchte ich für die Unterstützung bei der Versuchsdurchführung danken. Weiterhin möchte ich mich bei Herrn Prof. Dr. Peter Post für die Unter- stützung der Arbeit bedanken. Mein herzlichster Dank gilt meinen Eltern für die fortwährende Unterstüt- zung bei der Erstellung dieser Arbeit. Inhaltsverzeichnis I Inhaltsverzeichnis Indizes und Abkürzungen ............................................................................. IV Abstract .............................................................................................................. VII 1 Einleitung ...................................................................................................... 1 1.1 Problemstellung und Zielsetzung .......................................................... 1 1.2 Aufbau der Arbeit .......................................................................................... 2 2 Stand der Wissenschaft und Technik ................................................... 4 2.1 Begriffe und Definitionen der Zuverlässigkeitstechnik ............... 4 2.2 Grundlagen quantitativer Zuverlässigkeitsanalysen ..................... 6 2.3 Qualitative Zuverlässigkeitsanalyse ..................................................... 9 2.4 Zuverlässigkeitsabsicherung pneumatischer Ventile ................ 11 2.4.1 Herkömmliche pneumatische Ventile ................................ 12 2.4.2 Festo Motion Terminal (VTEM) ............................................ 13 2.5 Grundlagen der Zuverlässigkeit mechatronischer Systeme ... 16 2.5.1 Zuverlässigkeit von Mechanik ............................................... 16 2.5.2 Zuverlässigkeit von Elektronik ............................................. 17 2.5.3 Zuverlässigkeit von Software ................................................ 19 2.5.4 Erfassung von Wechselwirkungen ...................................... 21 2.5.5 Zuverlässigkeitsmodellierung von Systemen ................. 23 2.6 Methoden zur Klassifizierung der Betriebsbelastung ................ 26 2.7 Grundlagen der statistischen Versuchsplanung ........................... 27 3 Analyse und Auswahl geeigneter Methoden .................................... 36 3.1 Anforderungen an die Vorgehensweise ........................................... 36 3.2 Analyse bestehender Vorgehensweisen .......................................... 38 3.3 Methoden der Versuchsdurchführung .............................................. 41 3.4 Methoden der Versuchsverkürzung .................................................. 45 II Inhaltsverzeichnis 3.5 Eignung bestehender Methoden .......................................................... 48 4 Gesamtheitliches Vorgehen .................................................................. 52 4.1 Definition der Zuverlässigkeitsziele und Systemgrenzen ........ 55 4.2 Qualitative Analyse .................................................................................... 55 4.3 Voruntersuchung und quantitative Analyse .................................. 56 4.4 Statistische Versuchsplanung ............................................................... 59 4.5 Versuchsdurchführung und Auswertung ........................................ 63 4.6 Ableitung eines Lebensdauermodells ............................................... 64 4.7 Entwicklungsbegleitende Untersuchungen zur Robustheit der Algorithmen der Firmware .................................................................... 66 4.8 Zuverlässigkeitsbewertung der Firmware ...................................... 70 4.9 Quantitative Modellierung und Berechnung der Systemzuverlässigkeit .............................................................................. 73 4.10 Zuverlässigkeits-Monitoring ................................................................. 75 4.11 Evaluierung des vorgeschlagenen gesamtheitlichen Vorgehens ............................................................................................................................ 76 5 Exemplarische Anwendung des vorgeschlagenen Vorgehens ... 79 5.1 Definition der Zuverlässigkeitsziele und Systemgrenzen ........ 80 5.2 Qualitative Analyse .................................................................................... 81 5.3 Versuchstechnische Voruntersuchungen ........................................ 86 5.3.1 Erkenntnisse aus vorausgehenden Versuchen .............. 86 5.3.2 Analyse von Belastungsverläufen ........................................ 89 5.3.3 Auswahl der Testmethodik und Möglichkeiten der Testzeitverkürzung .................................................................... 90 5.3.4 Messaufbauten und Analysemöglichkeiten ..................... 93 5.3.5 Durchführung von Voruntersuchungen ............................ 98 5.3.6 Bewertung der Zuverlässigkeit der Elektronik .......... 107 5.3.7 Erste Abschätzung der Systemzuverlässigkeit ........... 110 5.4 Statistische Planung der Versuche................................................... 111 5.4.1 Zieldefinition .............................................................................. 111 5.4.2 Erfassung der Einflussgrößen ............................................ 112 5.4.3 Aufstellung und Auswahl möglicher Versuchspläne 113 Inhaltsverzeichnis III 5.5 Versuchsdurchführung und Auswertung ..................................... 123 5.5.1 Dauerlaufprüfstände .............................................................. 124 5.5.2 Automatisierte Messungen und Messdatenaufbereitung ......................................................... 127 5.5.3 Analyse unterschiedlicher Schadensmechanismen .. 134 5.5.4 Eigenschaftsänderungen der Pilotpatrone ................... 138 5.5.5 Eigenschaftsänderungen der Boosterpatrone ............ 141 5.6 Ableitung eines Lebensdauermodells ............................................ 144 5.6.1 Ermitteln von Ausfallzeiten ................................................. 145 5.6.2 Ableitung eines ersten Lebensdauermodells .............. 147 5.6.3 Abgleich des Lebensdauermodells ................................... 153 5.7 Entwicklungsbegleitende Untersuchungen zur Robustheit der Algorithmen der Firmware ................................................................. 162 5.8 Zuverlässigkeitsbewertung der Firmware .................................. 166 5.9 Quantitative Modellierung und Berechnung der Systemzuverlässigkeit ........................................................................... 168 5.10 Zuverlässigkeits-Monitoring .............................................................. 173 5.11 Zusammenfassung und Bewertung der exemplarischen Anwendung ................................................................................................ 174 6 Zusammenfassung und Ausblick ...................................................... 178 7 Literatur.................................................................................................... 180 Anhang ...................................................................................................... 191 A.1 Mögliche vollfaktorielle Versuchspläne ......................... 191 A.2 Versuchspunkte der statistischen Versuchsplanung 197 A.3 Ausfallzeiten durch Leckage am unteren Lippendichtring ........................................................................ 198 A.4 Kennwertverläufe Vorsteuerung ...................................... 209 IV Indizes und Abkürzungen Indizes und Abkürzungen Abkürzung Bezeichnung 2FWW 2-fach Wechselwirkungen 3FWW 3-fach Wechselwirkungen 4FWW 4-fach Wechselwirkungen B2P Belüftungsbooster Anschluss 2 B2R Entlüftungsbooster Anschluss 2 B4P Belüftungsbooster Anschluss 4 B4R Entlüftungsbooster Anschluss 4 CPN Coloured Petri Nets DoE Design of Experiments, Statistische Versuchsplanung DSG Direct System Grid DSM Design Structure Matrix E2Pp Belüftungspiezo für Belüftungsbooster Anschluss 2 E2Pr Entlüftungspiezo für Belüftungsbooster Anschluss 2 E2Rp Belüftungspiezo für Entlüftungsbooster Anschluss 2 E2Rr Entlüftungspiezo für Entlüftungsbooster Anschluss 2 E4Pp Belüftungspiezo für Belüftungsbooster Anschluss 4 E4Pr Entlüftungspiezo für Belüftungsbooster Anschluss 4 E4Rp Belüftungspiezo für Entlüftungsbooster Anschluss 4 E4Rr Entlüftungspiezo für Entlüftungsbooster Anschluss 4 ECSPN Extended Coloured Stochastic Petri Nets ESPN Extended Stochastic Petri Nets FBD Funktionsblockdiagramm FDV Funktionsdauerversuche FFT Fast Fourier Transform FMEA Fehler-Möglichkeits- und Einfluss- Analyse Indizes und Abkürzungen V Abkürzung Bezeichnung FPGA Field Programmable Gate Array FTA Fault Tree Analysis, Fehlerbaumanalyse HALT Highly Accelerated Life Test HiL Hardware-in-the-Loop LDV Lebensdauerversuche MDS Multifunktionales Datenerfassungs System MiL Model-in-the-Loop OFAT One-factor-at-a-time PiL Processor-in-the-Loop RF Raffungsfaktor SiL Software-in-the-Loop SPS Speicherprogrammierbare Steuerung XiL X-in-the-Loop ZBD Zuverlässigkeitsblockdiagramm Abstract VII Abstract Reliability Analysis of Novel Mechatronic Systems Mechatronic systems combine the domains of mechanics, electronics and software. Thereby possibilities for new products emerge. This also applies to the exemplary use case of pneumatic valves. If the pneumatic valve is designed as a mechatronic system instead of mechanical components, it is possible to implement different functionalities using software. New challenges arise for the reliability assurance of mechatronic systems. In addition to the reliability of the mechanics, the reliability of the elec- tronics and software and their interactions must be considered. For the first product generation of a mechatronic system, it is not or only occa- sionally possible to fall back on previous knowledge. To keep develop- ment times as short as possible, it is desirable to apply reliability methods already during development. Within this thesis, a holistic approach for the reliability analysis of novel mechatronic systems to predict the reliability for different operating con- ditions is proposed. Methods for the domains of mechanics, electronics and software are considered. The proposed approach is exemplarily ap- plied to a novel pneumatic valve terminal. A focus of this thesis is the determination of reliability parameters for dif- ferent operating conditions during the development phase. It is demon- strated how the necessary experiments can be planned, performed and evaluated by using a reliability DoE. In conventional test designs, only un- censored failures have been considered so far. In this thesis, an iterative VIII Abstract procedure for estimating the influence of right- and interval-censored fail- ures is proposed. The experiments planned in this way were implemented in extensive test series. Statistically significant effects could be deter- mined with the collected right- and interval-censored failure data. A sim- plified lifetime model was derived. In additional tests, predictions of the lifetime model were compared with empirically determined lifetime char- acteristics. To ensure the reliability of the control algorithms of the firmware of the mechatronic system, a model-in-the-loop simulation environment was de- scribed and implemented. Using design of experiments, the correct func- tioning of the application can be examined efficiently in a predetermined parameter space. To make statements about the reliability of the firmware, an approxima- tion of the course of the detected failures of the firmware was considered using mathematical models. This approximation can be used to derive statements about the reliability of the firmware. It can be estimated how much time is still necessary in the project to realize a minimum quality of the firmware. Even if these forecasts relate to uncertainties, a plausibility check of the project duration can be performed. To evaluate the system reliability based on the determined reliability pa- rameters of the individual components, a simplified reliability model us- ing Petri nets (ECSPN) was presented and the system reliability was sim- ulated exemplarily. By modelling using Petri nets, it is possible to map interactions between individual components. 1 Einleitung Durch mechatronische Systeme werden die Domänen der Mechanik, Elektronik und Software vereint [1, 2]. Hierdurch ergeben sich Möglichkeiten für neue Pro- dukte. Mit einem vergrößerten Funktionsumfang von mechatronischen Syste- men steigt jedoch auch deren Komplexität. Gekoppelt mit immer kürzer wer- denden Entwicklungszeiten steigt die Gefahr von Rückrufen. Zur Reduzierung der Rückrufgefahr sind an die geänderten Anforderungen angepasste Metho- den der Zuverlässigkeitsanalyse notwendig. 1.1 Problemstellung und Zielsetzung Herkömmliche pneumatische Ventile sind stark von mechanischen Komponen- ten geprägt. Die Pneumatikventile besitzen üblicherweise eine durch die Me- chanik vorgegebene, unveränderliche Funktionalität. Bei einem Aufbau des Pneumatikventils als mechatronisches System ist es möglich, per Software un- terschiedliche Funktionalitäten mit einem entsprechend angepassten mechani- schen Ventilaufbau zu realisieren (vgl. [3]). Für die Absicherung der Mechanik herkömmlicher Pneumatikventile existieren bereits etablierte Vorgehensweisen (vgl. [4–6]). Für die Absicherung eines me- chatronischen Systems ergeben sich neue Herausforderungen. Die Mechanik muss für die unterschiedlichen Anwendungsfälle geeignet sein. Zusätzlich zur Zuverlässigkeit der Mechanik, muss die Zuverlässigkeit der Elektronik und Software sowie deren Wechselwirkungen berücksichtigt werden. Für die erste Produktgeneration als mechatronisches System kann nicht oder nur vereinzelt auf Vorwissen zurückgegriffen werden. Für möglichst kurze Entwicklungszei- ten besteht der Wunsch, Zuverlässigkeitsmethoden bereits während der Ent- wicklung anzuwenden. 2 1: Einleitung Das Ziel dieser Arbeit ist es, eine ganzheitliche Vorgehensweise zur entwick- lungsbegleitenden Zuverlässigkeitsanalyse neuartiger mechatronischer Sys- teme für die Vorhersage der Zuverlässigkeit bei unterschiedlichen Betriebs- punkte aufzuzeigen. Hierbei sollen Methoden für die Domänen der Mechanik, Elektronik und Software berücksichtigt werden. Da die Vorgehensweise für neuartige Systeme anwendbar sein soll, muss diese auch ohne Vorwissen von Lebensdauerkennwerten aus vorausgehenden Produkten geeignet sein. Die zu erarbeitende Vorgehensweise soll an einem neuartigen mechatronischen Sys- tem exemplarisch angewendet werden. Die Vorgehensweise soll jedoch allge- mein auf neuartige mechatronische Systeme übertragbar sein. 1.2 Aufbau der Arbeit In Kapitel 2 wird der Stand der Wissenschaft und Technik vorgestellt. Neben allgemeinen Begriffen und Definitionen der Zuverlässigkeitstechnik werden die Grundlagen von quantitativer und qualitativer Zuverlässigkeitsanalysen vorgestellt. Es wird auf die üblichen Vorgehensweisen zur Zuverlässigkeitsab- sicherung von pneumatischen Ventilen sowie das hier beispielhaft betrachtete mechatronische System eingegangen. Weiterhin werden die Grundlagen der Zuverlässigkeitsanalyse für mechatronische Systeme vorgestellt. Den Ab- schluss des Kapitels 2 bilden die Methoden zur Klassifizierung von Betriebsbe- lastungen sowie die Grundlagen zur statistischen Versuchsplanung. Zur Analyse und Auswahl geeigneter Methoden werden in Kapitel 3 Anforde- rungen an die zu erarbeitende Vorgehensweise ermittelt. Bestehende Metho- den werden anschließend analysiert, bewertet und überprüft, inwieweit die hier gestellten Anforderungen bereits erfüllt werden. Geeignete Methoden wer- den ausgewählt. Das in dieser Arbeit vorgeschlagene gesamtheitliche Vorgehen zur Zuverlässig- keitsanalyse neuartiger mechatronischer Systeme wird in Kapitel 4 vorge- stellt. Nach der Definition der Zuverlässigkeitsziele und Systemgrenzen wird eine qualitative Analyse durchgeführt. In Voruntersuchungen und quantitati- 1.2: Aufbau der Arbeit 3 ven Analysen werden notwendige Informationen für eine statistische Ver- suchsplanung ermittelt. Nach der Durchführung der mittels Zuverlässigkeits- DoE geplanten Versuche kann ein Lebensdauermodell abgeleitet werden. Zur Absicherung der Firmware werden entwicklungsbegleitende Untersuchungen zur Robustheit von Regelalgorithmen sowie Methoden zur Bewertung der Soft- warezuverlässigkeit beschrieben. Den Abschluss des gesamtheitlichen Vorge- hens bilden eine quantitative Modellierung, die Berechnung der Systemzuver- lässigkeit sowie ein Zuverlässigkeits-Monitoring. Die exemplarische Anwendung des vorgeschlagenen Vorgehens wird in Kapi- tel 5 vorgestellt. Die Kapitelstruktur von Kapitel 5 ist gleich wie bei Kapitel 4. Die Arbeit schließt mit der Zusammenfassung und dem Ausblick in Kapitel 6 ab. Eine Übersicht der Kapitel dieser Arbeit ist in Bild 1.1 dargestellt. Bild 1.1: Übersicht der einzelnen Kapitel dieser Arbeit 2 Stand der Wissenschaft und Technik In den folgenden Unterkapiteln werden Grundlagen erläutert, welche für das Verständnis dieser Arbeit relevant sind. Basierend auf der Definition von wich- tigen Begriffen werden quantitative und qualitative Methoden der Zuverlässig- keitsanalyse vorgestellt (Abschnitt 2.2 und 2.3). Es wird auf die Grundlagen der Zuverlässigkeitsabsicherung pneumatischer Ventile (Abschnitt 2.4) und me- chatronischer Systeme (Abschnitt 2.5), auf Methoden zur Klassifizierung von Betriebsbelastungen (Abschnitt 2.6), sowie auf die statistische Versuchspla- nung eingegangen (Abschnitt 2.7). 2.1 Begriffe und Definitionen der Zuverlässigkeitstechnik Nach [7, S. 20] ist die Zuverlässigkeit 𝑅𝑅(𝑡𝑡) definiert als „die Wahrscheinlichkeit dafür, dass ein Produkt während einer definierten Zeitdauer unter gegebenen Funktions- und Umgebungsbedingungen nicht ausfällt.“ Die Verwendung von Methoden der Wahrscheinlichkeitsrechnung sind notwendig, da die Ausfallzei- ten der einzelnen Produkte stark streuen [7, S. 7]. Im Folgenden werden grund- legende Begriffe der quantitativen Zuverlässigkeitsanalyse vorgestellt (vgl. [7– 11]). Die Ausfallwahrscheinlichkeit 𝐹𝐹(𝑡𝑡) ist das Komplement der Zuverlässigkeit und gibt die Wahrscheinlichkeit an, mit welcher ein Produkt ausfällt: 𝐹𝐹(𝑡𝑡) = 1 − 𝑅𝑅(𝑡𝑡) (2.1) 2.1: Begriffe und Definitionen der Zuverlässigkeitstechnik 5 Durch die Ableitung der Ausfallwahrscheinlichkeit wird die Dichtefunktion 𝑓𝑓(𝑡𝑡) ermittelt. Diese beschreibt die Anzahl der Ausfälle zu einem bestimmten Zeitpunkt: 𝑓𝑓(𝑡𝑡) = 𝑑𝑑𝐹𝐹(𝑡𝑡) 𝑑𝑑𝑡𝑡 (2.2) Mit der Ausfallrate 𝜆𝜆(𝑡𝑡) wird das Verhältnis von Dichtefunktion und Zuverläs- sigkeit beschrieben: 𝜆𝜆(𝑡𝑡) = 𝑓𝑓(𝑡𝑡) 𝑅𝑅(𝑡𝑡) (2.3) Die Ausfallrate gibt somit an, welcher Anteil der noch funktionsfähigen Prüf- linge in einem definierten Zeitabschnitt ausfallen werden. Je nach zeitlichem Verlauf der Ausfallrate können die Ausfälle in drei verschiedene Bereiche klas- sifiziert werden (vgl. Bild 2.1). Der Bereich der Frühausfälle ist durch eine ab- nehmende Ausfallrate gekennzeichnet. Eine konstante Ausfallrate lässt auf Zu- fallsausfälle schließen. Der Bereich der Verschleiß- und Ermüdungsausfälle ist durch eine ansteigende Ausfallrate charakterisiert. Zur Angabe der Lebensdauer von Produkten kann die 𝑩𝑩𝒙𝒙-Lebensdauer ver- wendet werden. Diese Lebensdauer stellt den Zeitpunkt dar, bei dem x-Pro- zent der Prüflinge ausgefallen sind [7, S. 33]. Ein häufig genutzter Kennwert Bild 2.1: Badewannenkurve nach [7, S. 24] Lebensdauer t Au sf al lr at e λ (t ) Frühausfälle (Bereich 1) Zufallsausfälle (Bereich 2) Verschleiß- und Ermüdungsausfälle (Bereich 3) 6 2: Stand der Wissenschaft und Technik ist hierbei die 𝐵𝐵10-Lebensdauer. Die beispielhafte Angabe 𝐵𝐵10 = 10.000 h gibt somit an, dass 10 % aller Prüflinge bei einer Lebensdauer von 10.000 h ausgefallen sind. 2.2 Grundlagen quantitativer Zuverlässigkeitsanalysen Basierend auf Lebensdauerversuchen können quantitative Zuverlässigkeits- kennwerte abgeleitet werden. Mit Hilfe dieser Kennwerte kann überprüft wer- den, ob das Produkt eine vorher spezifizierte Lebensdauer erreicht hat und so- mit ausreichend zuverlässig ist. Um Zuverlässigkeitskennwerte aus den Versuchen abzuleiten, werden die in den Lebensdauerversuchen ermittelten Ausfalldaten mit entsprechenden Aus- fallverteilungen ausgewertet. Die Grundlagen zur Auswertung der Lebensdau- erversuche werden im Folgenden vorgestellt. Bei der Durchführung eines Lebensdauerversuches werden baugleiche Prüf- linge unter identischen Bedingungen so lange belastet, bis diese ausfallen (vgl. [4, 6, 7]). Aus Zeit- oder Kostengründen können die Lebensdauerversuche je- doch nicht immer bis zum Ausfall aller Prüflinge durchgeführt werden. Ein Bei- spiel eines Lebensdauerversuches ist in Bild 2.2 dargestellt. Ausfälle sind hier- bei mit einem „x“ gekennzeichnet. Von den sieben getesteten Prüflingen sind die Prüflinge fünf und sieben bei Versuchsende noch funktionsfähig. Da die „rechte Seite“ der Daten fehlt, spricht man hier auch von rechtszensierten Da- ten [12, S. 34–35]. Nicht immer kann der genaue Ausfall eines Prüflings beobachtet werden. Muss der Prüfling beispielsweise zyklisch aus dem Dauerlauf entnommen werden um die Funktionsfähigkeit zu überprüfen, kann nur ein Zeitintervall des Aus- falls angegeben werden. Bei dieser Art der Zensierung spricht man von inter- vallzensierten Daten [12, S. 34–35]. 2.2: Grundlagen quantitativer Zuverlässigkeitsanalysen 7 Bild 2.2: Ausfallzeitpunkte eines beispielhaften Lebensdauerversuches nach [13] Zur Auswertung von Lebensdauerdaten werden die in den Lebensdauerversu- chen ermittelten Ausfallzeiten ausgewertet und mittels entsprechender Aus- fallverteilungen angenähert. Im Folgenden wird eine Auswahl an relevanter Ausfallverteilungen vorgestellt. Die Normalverteilung ist wohl die bekannteste und am besten untersuchte Wahrscheinlichkeitsverteilung (vgl. [7, S. 58] und [11, S. 29]). Die Dichtefunk- tion stellt hierbei die bekannte Glockenkurve dar. Soll die Normalverteilung zur Beschreibung von Ausfalldaten verwendet werden, müssten die Auftretens- häufigkeit der Ausfälle dieser Glockenkurve entsprechen. Dies ist in der Praxis selten der Fall. Als Lebensdauerverteilung spielt die Normalverteilung somit nur eine untergeordnete Rolle [11, S. 29]. Eine logarithmische Normalverteilung, auch als Lognormalverteilung be- zeichnet, verwendet anstelle der statistischen Variable 𝑡𝑡 die logarithmierte Form lg 𝑡𝑡 [7, S. 56]. Mit dem Lageparameter 𝜇𝜇 und dem “Formparameter” 𝜎𝜎 re- sultieren die folgende Dichtefunktion und Ausfallwahrscheinlichkeit: 𝑓𝑓(𝑡𝑡) = 1 𝑡𝑡𝜎𝜎√2𝜋𝜋 𝑒𝑒− (lg 𝑡𝑡−𝜇𝜇)2 2𝜎𝜎2 (2.4) 𝐹𝐹(𝑡𝑡) = � 1 𝜏𝜏𝜎𝜎√2𝜋𝜋 𝑒𝑒− (lg 𝜏𝜏−𝜇𝜇)2 2𝜎𝜎2 𝑡𝑡 0 𝑑𝑑𝜏𝜏 (2.5) Pr üf lin g Nr . Zeit (bzw. Lebensdauermerkmal) 7 6 5 4 3 2 1 8 2: Stand der Wissenschaft und Technik Wie in Bild 2.3 links dargestellt, können durch unterschiedliche Formparame- ter 𝜎𝜎 andere Formen der Dichtefunktion dargestellt werden. Hierdurch lassen sich flexibler Ausfälle annähern. Mit der Lognormalverteilung lassen sich gut Ausfälle abbilden, wenn anfangs viele Prüflinge ausfallen, aber auch entspre- chend viele Prüflinge sehr lange überleben. Ausfälle bedingt durch Ermüdung oder Verschleiß, welche sich durch eine monoton ansteigende Ausfallrate aus- zeichnen, können durch die Lognormalverteilung jedoch nur bedingt beschrie- ben werden [7, S. 58]. Bild 2.3: Dichtefunktion und Ausfallrate einer Lognormalverteilung [7, S. 57] Die im Maschinenbau am häufigsten verwendete Lebensdauerverteilung ist die Weibullverteilung [7, S. 37]. Diese wurde von W. Weibull auf rein empirischer Grundlage entwickelt und 1951 vorgestellt [14]. Die Überlebenswahrschein- lichkeit bzw. Zuverlässigkeit für die zweiparametrige Weibullverteilung ergibt sich mit der charakteristischen Lebensdauer 𝑇𝑇 und dem Formparameter 𝑏𝑏 zu 𝑅𝑅(𝑡𝑡) = 𝑒𝑒−� 𝑡𝑡 𝑇𝑇� 𝑏𝑏 . (2.6) Für die Dichtefunktion ergibt sich 𝑓𝑓(𝑡𝑡) = 𝑑𝑑𝐹𝐹(𝑡𝑡) 𝑑𝑑𝑡𝑡 = 𝑏𝑏 𝑇𝑇 � 𝑡𝑡 𝑇𝑇 � 𝑏𝑏−1 𝑒𝑒−� 𝑡𝑡 𝑇𝑇� 𝑏𝑏 . (2.7) Bei Erreichen der charakteristischen Lebensdauer 𝑇𝑇 ergibt sich die Ausfall- wahrscheinlichkeit zu 𝐹𝐹(𝑇𝑇) = 1 − 𝑒𝑒−1 = 0,632. (2.8) 2.3: Qualitative Zuverlässigkeitsanalyse 9 Die Lebensdauer, bei welcher 63,2 % Ausfallwahrscheinlichkeit erreicht wird, entspricht somit – unabhängig vom Formparameter 𝑏𝑏 – der charakteristischen Lebensdauer 𝑇𝑇. Wie in Bild 2.4 ersichtlich ist, können durch den Formparameter 𝑏𝑏 unterschied- liche Formen der Dichtefunktion und Ausfallrate realisiert werden. Mit 𝑏𝑏 < 1 können Frühausfälle, mit 𝑏𝑏 = 1 Zufallsausfälle und mit 𝑏𝑏 > 1 Ermüdungsaus- fälle beschrieben werden [7, S. 46]. Neben der zweiparametrigen Weibullverteilung existiert eine dreiparametrige Form. Diese beinhaltet zusätzlich zu den Parametern 𝑏𝑏 und 𝑇𝑇 eine ausfallfreie Zeit 𝑡𝑡0. Zwei- und dreiparametrige Formen der Weibullverteilung werden vielfältig in der Fachliteratur behandelt, für weiterführende Informationen sei auf diese verwiesen [1, 7–17]. Bild 2.4: Dichtefunktion und Ausfallrate einer Weibullverteilung [7, S. 54–55] 2.3 Qualitative Zuverlässigkeitsanalyse Wie in Bild 2.5 nach [7] dargestellt ist, können Zuverlässigkeitsanalysen in quantitative und qualitative Untersuchungen unterteilt werden. Das Ziel der quantitativen Methoden (vgl. Abschnitt 2.2) ist es, Zuverlässigkeitskennwerte berechnen zu können. Mit Hilfe der qualitativen Methoden werden Systeme und Komponenten systematisch untersucht und die Auswirkung der Fehler analysiert. Ziel ist es, mögliche Fehler frühzeitig zu identifizieren und entspre- chende Maßnahmen zur Zuverlässigkeitssteigerung zu treffen. Für diese Arbeit relevante Methoden werden im Folgenden kurz vorgestellt. 10 2: Stand der Wissenschaft und Technik Bild 2.5: Möglichkeiten der Zuverlässigkeitsanalyse nach [7, S. 7] Die wohl bekannteste Methode der Ausfallartenanalyse ist die Fehler-Möglich- keits- und Einfluss- Analyse (FMEA) [7, S. 106]. Diese wurde bereits in den sechziger Jahren von der NASA im Rahmen des Apollo-Projektes verwendet [18, S. 11]. Nach Etablierung in der Luft- und Raumfahrt (vgl. [19]) wird die FMEA u. a. standardmäßig in der Automobilindustrie eingesetzt (vgl. [20, 21]). Bei der FMEA werden die möglichen Ausfallarten ermittelt und mit den ent- sprechenden Ausfallursachen und -folgen in Verbindung gebracht. Eine Bewer- tung durch die so genannte Risikoprioritätszahl ermöglicht die Identifikation der größten Risiken. Als Schritte einer FMEA ergeben sich [1, 7, 20]: 1. Definition der Systemelemente und der Systemstruktur 2. Analyse der Funktionen und der Funktionsstruktur 3. Fehleranalyse 4. Risikobewertung 5. Optimierung Die „Fault Tree Analysis“ (FTA, Fehlerbaumanalyse) nach [7, 1, 22–24, 21] ist eine häufig eingesetzt Methode. Hierbei handelt es sich um eine deduktive (Top-Down) Methode, d. h. es werden ausgehend von einem unerwünschten Ereignis, wie einem Systemausfall, mögliche Ursachen gesucht. Die logischen Zusammenhänge werden in einem Fehlerbaum zusammengeführt. Die Struktur Zuverlässigkeinsanalysen in der Entwicklungsphase Ziele: - Prognose der erwarteten Zuverlässigkeiten - Erkennung und Beseitigungvon Schwachstellen - Durchführung von Vergleichsstudien quantitativ qualitativ Ausfallratenanalyse Berechnung der Zuverlässigkeit Probabilistische Zuverlässigkeitsprognose Methoden: - Boole - Markoff - FTA - ... Ausfallartenanalyse Systematische Untersuchung der Auswirkungen von Fehlern und Ausfällen Methoden: - FMEA / FMECA - FTA - Ereignisablaufanalysen - Checklisten - ... 2.4: Zuverlässigkeitsabsicherung pneumatischer Ventile 11 kann als Basis für eine quantitative Bewertung mittels der booleschen Algebra (vgl. Abschnitt 2.5.5) verwendet werden. Für eine Veranschaulichung der Funktionen der unterschiedlichen Komponen- ten und deren Wechselwirkungen sowie als Basis für darauf aufbauende Ana- lysen kann ein Funktionsblockdiagramm (FBD) verwendet werden [25, 7]. In diesem werden funktionale Beziehungen zwischen den einzelnen Komponen- ten abstrahiert als Zusammenschluss einzelner Funktionsblöcke dargestellt. Beispiele für ein FBD sind in [7, S. 95] und [25, S. 653] dargestellt. Das FBD kann als Basis zur Aufstellung eines Zuverlässigkeitsblockdiagramms (ZBD) verwendet werden. Das ZBD visualisiert die Funktionsfähigkeit des Sys- tems mittels logischer Verknüpfungen der jeweiligen Komponenten [26]. Vorausgehend wurden die Grundlagen der quantitativen und qualitativen Zu- verlässigkeitsanalyse vorgestellt. Im Folgenden wird näher auf die üblichen Methoden zur Absicherung der in dieser Arbeit exemplarisch betrachteten pneumatischen Ventile eingegangen. 2.4 Zuverlässigkeitsabsicherung pneumatischer Ventile Für die Zuverlässigkeitsabsicherung herkömmlicher pneumatischer Kompo- nenten existiert bereits eine bewährte Vorgehensweise, welche im folgenden Abschnitt 2.4.1 vorgestellt wird. Das in dieser Arbeit beispielhaft betrachtete mechatronische System lässt sich nicht in bisher bestehende Kategorien der Pneumatik einordnen. Eine Übersicht des hier betrachteten Systems sowie der sich hierbei ergebenen Herausforderungen bei der Zuverlässigkeitsabsiche- rung werden im Abschnitt 2.4.2 vorgestellt. 12 2: Stand der Wissenschaft und Technik 2.4.1 Herkömmliche pneumatische Ventile Pneumatische Ventile sind Steuerelemente, die durch die Änderung des Strö- mungsquerschnittes den Druck oder Volumenstrom auf Basis pneumatischer, elektrischer oder mechanischer Eingangsgrößen beeinflussen [27, S. 150]. Ein- gesetzt werden können pneumatische Ventile u.a. zur Ansteuerung von pneu- matischen Aktuatoren wie beispielsweise Pneumatik-Zylindern. Ein herkömm- liches pneumatisches Ventil ist in Bild 2.6 dargestellt. Je nach Ausführung der Dichtstellen kann ein Ventil der Gruppe der Sitz- oder Schieberventilen zuge- ordnet werden [27, S. 151–155]. Die Sitzbauweise ist exemplarisch in Bild 2.7 links dargestellt. Hierbei wird das Dichtelement zur Abdichtung auf einen Dichtsitz gedrückt. Bei der Schieberbauweise (Bild 2.7 rechts) werden die Dich- tungskanäle durch ein Schieberelement geschalten. Für weiterführende Infor- mationen sei auf [27] und [28] verwiesen. Bild 2.6: Herkömmliches pneumatisches Ventil [29] Bild 2.7: Vereinfachte schematische Darstellung der Sitzbau- weise (links) und Kolbenschieberausführung (rechts) (vgl. [27]) Bei der Zuverlässigkeitsabsicherung pneumatischer Ventile wird üblicher- weise zwischen Funktionsdauer- und Lebensdauerversuchen unterschieden [6]. Die Funktionsdauerversuche (FDV) dienen im Rahmen der Produktfreigabe zur Sicherstellung einer Mindestzuverlässigkeit. Hierbei werden jeweils drei baugleiche Prüflinge bei unterschiedlichen Druck- und Temperaturbedingun- gen getestet. Die Versuche dürfen gestoppt werden, wenn eine vorab spezifi- zierte Schaltspielzahl erreicht ist [6]. 2.4: Zuverlässigkeitsabsicherung pneumatischer Ventile 13 Im Rahmen von Lebensdauerversuchen (LDV) werden gemäß ISO 19973 [4, 5] Lebensdauerkennwerte für die Ventile ermittelt. Bei LDVs werden mindes- tens sieben baugleiche Prüflinge getestet. Üblicherweise werden die Versuche nur unter Nennbedingungen durchgeführt. Sowohl bei FDV, als auch bei LDV werden die Ventile an ein Volumen ange- schlossen. Durch ein zyklisches Schalten der Ventile wird das Volumen abwech- selnd be- und entlüftet. Die Testfrequenz darf hierbei soweit erhöht werden, dass der Druck in den Volumen in jedem Zyklus noch unterhalb von 10 % sinkt und oberhalb 90 % des Versorgungsdruckes steigt [5, S. 4]. Es wird angenom- men, dass die bis zu dieser Grenze erhöhte Frequenz keinen Einfluss auf die Lebensdauer hat. Wird im Versuch ein Lebensdauerkennwert unter erhöhten Frequenzen ermittelt, wird erwartet, dass dieser dem im Feld beobachteten Le- bensdauerkennwert bei geringeren Frequenzen entspricht. Zur Feststellung der Funktionsfähigkeit der einzelnen Ventile werden diese regelmäßig aus dem Versuch entnommen und spezifische Messungen durchgeführt. Die Ventile gelten als ausgefallen, wenn diese eine zu hohe Leckage aufweisen oder nicht mehr korrekt schalten (vgl. ISO 19973 [4, 5]). 2.4.2 Festo Motion Terminal (VTEM) Im Gegensatz zu herkömmlichen pneumatischen Ventilen kann bei den Venti- len des Festo Motion Terminals durch Software die Funktionalität des Ventils geändert werden. So lassen sich neben einfachen Schaltaufgaben auch kom- plexe Bewegungsaufgaben realisieren (vgl. [3]). Eine Übersicht des Motion Terminals ist in Bild 2.8 dargestellt. Es besteht aus bis zu acht Ventilscheiben, die von einem Controllermodul angesteuert werden. Das Controllermodul ist an einer speicherprogrammierbaren Steuerung ange- schlossen. Eine Ventilscheibe besteht jeweils aus acht Piezobiegern, welche zur Vorsteue- rung von insgesamt vier Membransitzventilen („Boosterpatronen“) verwendet werden. Die Boosterpatronen sind notwendig, da die Piezobieger allein nicht 14 2: Stand der Wissenschaft und Technik für den vorgesehenen Durchfluss ausreichen. Sowohl die Boosterpatronen, als auch die Vorsteuerventile sind jeweils als pneumatische Vollbrücke verschal- tet. Dies hat den Vorteil, dass die Arbeitsanschlüsse des Motion Terminals völlig unabhängig voneinander angesteuert werden können (vgl. Bild 2.9). Der Öffnungsquerschnitt der Boosterpatrone kann über einen integrierten Hubsensor abgeleitet werden. Durch eine Rückmeldung der Sensorwerte an ein Bild 2.8: Übersicht des Festo Motion Terminals (VTEM) basierend auf [30] 2.4: Zuverlässigkeitsabsicherung pneumatischer Ventile 15 Field Programmable Gate Array (FPGA) kann eine Hubregelung realisiert wer- den. Im Festo Motion Terminal sind Drucksensoren an jedem Arbeitsanschluss sowie an der Zuluft und Abluft vorhanden. Die Drucksensorwerte werden im Controller verarbeitet und können in übergeordneten Applikationen („Motion Apps“) verwendet werden. Bild 2.9: Verschaltung der Booster als pneumatische Vollbrücke im Ventil Bei herkömmlichen Ventilen existieren etablierte Vorgehensweisen zur Zuver- lässigkeitsabsicherung. Bei dem hier beispielhaft betrachteten mechatroni- schen System stellt sich die Frage, wie die Zuverlässigkeit der praktisch unbe- grenzten Anwendungsfälle sichergestellt werden kann. In den folgenden Abschnitten wird daher der Stand der Technik zur Zuverlässigkeitsanalyse me- chatronischer Systeme näher betrachtet. 16 2: Stand der Wissenschaft und Technik 2.5 Grundlagen der Zuverlässigkeit mechatronischer Systeme Mechatronische Systeme vereinen die Domänen der Mechanik, Elektronik und Software [1, 2], wodurch sich die Möglichkeit neuer Produkte ergeben. Da mit mechatronischen Systemen ein vergrößerter Funktionsumfang als bisher rea- lisiert werden kann, steigt die Komplexität des Systems. Im Rahmen einer Zu- verlässigkeitsanalyse muss die Zuverlässigkeit in den drei Domänen, als auch mögliche Interaktionen zwischen den einzelnen Domänen berücksichtigt wer- den. Im Folgenden werden die Grundlagen der Zuverlässigkeitsanalyse der Mecha- nik (Abschnitt 2.5.1), Elektronik (Abschnitt 2.5.2) und Software (Abschnitt 2.5.3) vorgestellt. Darauf aufbauend folgen im Abschnitt 2.5.4 die Grundlagen zur Ermittlung und Modellierung von Wechselwirkungen. In Abschnitt 2.5.5 wird dargestellt, wie die Zuverlässigkeit eines Gesamtsystems aus den Ausfall- wahrscheinlichkeiten von Unterkomponenten ermittelt werden kann. 2.5.1 Zuverlässigkeit von Mechanik Bei Ausfällen mechanischer Komponenten kann zwischen einem Ausfall durch Überbeanspruchung sowie einem Driftausfall unterschieden werden [1, S. 24]. Ausfälle durch Überbeanspruchung können mittels einer entsprechenden Aus- legung unterbunden werden. Driftausfälle, beispielsweise hervorgerufen durch Ermüdung und Verschleiß, treten bei mechanischen Komponenten häufig auf. Für die Zuverlässigkeitsuntersuchung mechanischer Komponenten können je nach Phase im Produktlebenszyklus unterschiedliche Methoden angewendet werden (vgl. Bild 2.10). So können qualitative Methoden wie die FMEA und FTA (vgl. Abschnitt 2.3) frühzeitig eingesetzt werden. Wird die Komponente durch eine schwingende Belastung geschädigt, kann bei bekannter Wöhlerlinie durch eine Schadensakkumulation eine Lebensdauer berechnet werden [31, 32, 7]. Alternativ können durch Lebensdauerversuche und eine anschließende statistische Auswertung von Ausfalldaten (vgl. Ab- schnitt 2.2) Lebensdauerkennwerte abgeleitet werden. 2.5: Grundlagen der Zuverlässigkeit mechatronischer Systeme 17 Bild 2.10: Zuverlässigkeitsmethoden im Produktlebenszyklus [7, S. 3] 2.5.2 Zuverlässigkeit von Elektronik Elektronische Baugruppen können aus diskreten, bereits bestehenden elektro- nischen Komponenten aufgebaut werden. Für viele dieser Komponenten konn- ten bereits Lebensdauerkennwerte im Feld ermittelt und in sogenannten Aus- fallratenkatalogen festgehalten werden. Gängige Ausfallratenkataloge sind beispielsweise das Military-Handbook 217F [33], die Siemens Norm 29500 [34] und die IEC TR 62380 [35]. Eine Übersicht verschiedener Ausfallratenka- talogen kann [36] entnommen werden. Zumeist werden in den Ausfallratenkatalogen Berechnungsmodelle mit ent- sprechenden Parametern angegeben, welche eine Berechnung der Ausfallrate für die vorgesehenen Einsatzbedingungen ermöglichen. Alternativ können ty- pische bzw. minimale Ausfallraten unter vorgegebenen Bedingungen entnom- men werden. Bei der Berechnung wird eine konstante Ausfallrate angenom- men. Ermüdungserscheinungen können somit nicht abgebildet werden. Zwischen den unterschiedlichen Ausfallratenkatalogen bestehen, u. a. bedingt durch unzureichend berücksichtigte Betriebs- und Versuchsbedingungen, teil- 18 2: Stand der Wissenschaft und Technik weise Unterschiede im Bereich mehrerer Zehnerpotenzen [37, S. 63]. Die Vor- hersage der sich in Realität ergebenden Lebensdauer ist somit nur mit entspre- chenden Ungenauigkeiten möglich. Dennoch können die Literaturangaben für Konzeptvergleiche und Schwachstellenanalysen genutzt werden. Hierbei müs- sen die Lebensdauerkennwerte aus einem einzelnen Katalog verwendet wer- den [37, S. 63]. Für elektronische Komponenten existieren verschiedene Raffungsmodelle (vgl. [38–42]). Mit Hilfe dieser Modelle ist es möglich, Lebensdauern für unter- schiedliche Belastungen zu berechnen. So können beispielsweise bei erhöhten Belastungen Versuche durchgeführt und die resultierenden Lebensdauern auf die Lebensdauern im Feld umgerechnet werden. Durch die Wahl einer erhöh- ten Belastung kann die Versuchszeit deutlich reduziert werden. Da die Lebensdauer elektronischer Komponenten durch die Temperatur beein- flusst werden kann, kann die Temperatur folglich zur Testbeschleunigung ver- wendet werden. Zur Ermittlung der Testbeschleunigung kann häufig das Arr- henius-Modell angewendet werden . Das Arrhenius-Gesetz beschreibt die Geschwindigkeit einer chemischen Reaktion in Abhängigkeit der Temperatur [44]. Mit Hilfe der Aktivierungsenergie 𝐸𝐸𝑎𝑎, der Boltzmannschen Konstante 𝑘𝑘 und den absoluten Temperaturniveaus 𝑇𝑇1 und 𝑇𝑇2 ergibt sich folgender Raf- fungsfaktor : 𝑅𝑅𝐹𝐹 = 𝑒𝑒 𝐸𝐸𝑎𝑎 𝑘𝑘 � 1 𝑇𝑇1 − 1 𝑇𝑇2 � (2.9) In Abhängigkeit des Schadensmechanismus kann ein anderes Raffungsmodell notwendig sein. Für eine korrekte Anwendung der Modelle darf sich der Scha- densmechanismus in dem betrachteten Temperaturbereich nicht ändern. Auch sollte das gewählte Modell und dessen Parameter für den jeweiligen Anwen- dungsfall verifiziert werden. Für weitere gängige Modelle, deren Anwendungs- fälle und entsprechende Testmethoden sei auf [38–42] verwiesen. 2.5: Grundlagen der Zuverlässigkeit mechatronischer Systeme 19 2.5.3 Zuverlässigkeit von Software Im Gegensatz zu mechanischen und elektronischen Komponenten fällt Soft- ware nicht durch Verschleiß aus. Fehler in der Software sind bereits vor der Nutzung vorhanden und können im Betrieb unter gewissen Umständen zum Ausfall des Systems führen („inhärente Fehler“, vgl. [45]). Softwarefehler lassen sich in Spezifikationsfehler, Entwurfsfehler, Programmierfehler sowie durch Wartung und den Compiler hervorgerufene Fehler untergliedern [46]. Den größten Fehleranteil können hierbei der Spezifikation (Spezifikationsfehler) und deren Interpretation (Entwurfsfehler) zugeordnet werden [47, 48]. Zum Test der Software eines mechatronischen Systems werden in der Regel die Hardware des Systems und ggf. dessen Umgebungskomponenten benötigt. Um beispielsweise die Software des Controllers des Festo Motion Terminals testen zu können, muss eine Ventilinsel mit Controllern und Ventilen zur Verfügung stehen. Die Hardware steht üblicherweise erst zum Schluss des Entwicklungsprojektes in ausreichender Zahl für die notwendigen Versuche zur Verfügung. Um den- noch frühzeitig testen zu können, wird bei der Entwicklungsmethodik für me- chatronische Systeme (VDI 2206 [49]) der Einsatz von Hardware-in-the-Loop (HiL) und Software-in-the-Loop Simulationen vorgesehen. Hierbei werden Teile oder sogar das gesamte mechatronischen Systems durch Simulationsmo- delle ersetzt. Neben HiL und SiL Simulationen gibt es weitere Simulationsmöglichkeiten wie Model-in-the-Loop (MiL) oder Processor-in-the-Loop (PiL). Die verschiedenen Simulationen sind unter dem Überbegriff X-in-the-Loop (XiL) Simulationen zu- sammengefasst. Hierbei steht das „X“ für die zu testende Komponente (vgl. [50]). Bei MiL werden im Gegensatz zu SiL nur die Algorithmen und nicht die komplette Software / Firmware getestet. 20 2: Stand der Wissenschaft und Technik Wie auch bei der Mechanik, können bei der Softwareentwicklung qualitative Methoden, wie die FMEA oder die Fehlerbaumanalyse, angewendet werden (vgl. Abschnitt 2.3). Mit Hilfe der qualitativen Methoden kann die Anzahl ver- bleibender Softwarefehler reduziert werden. Mit Hilfe quantitativer Modelle kann die Anzahl der Softwarefehler abgeschätzt und eine entsprechende Zuverlässigkeit abgeleitet werden. Hierzu werden die in der Software entdeckten Fehler kumuliert über die Zeit aufgetragen und mit- tels geeigneter Modelle approximiert (vgl. Bild 2.11). Ist eine Zielzuverlässig- keit definiert, kann die verbleibende Entwicklungszeit vorhergesagt werden. Liegt die vorhergesagte Entwicklungszeit oberhalb bzw. die Zuverlässigkeit un- terhalb der Planung, können entsprechende Maßnahmen eingeleitet werden. Eingesetzt werden können unterschiedliche Modelle wie z. B. das Jelinski-Mo- randa Modell oder das Goel-Okumoto Modell. Eine Übersicht und Beschreibung gängiger Modelle kann [51–54] entnommen werden. Bild 2.11: Vergleich realer und gefitteter Daten [54, S. 61] Vorausgehend wurden die Grundlagen der Zuverlässigkeit für die jeweiligen Domänen eines mechatronischen Systems gesondert betrachtet. Im folgenden Abschnitt werden die Wechselwirkungen zwischen den einzelnen Domänen, als auch zwischen einzelnen Komponenten domänenübergreifend betrachtet. 2.5: Grundlagen der Zuverlässigkeit mechatronischer Systeme 21 2.5.4 Erfassung von Wechselwirkungen Wechselwirkungen sind in verschiedenen Fachgebieten gegenwärtig. Im Be- reich der Medizin sind Wechselwirkungen zwischen verschiedenen Arzneimit- teln alltäglich. In der Physik beschreiben gravitative Wechselwirkungen die ge- genseitige Beeinflussung von Teilchen durch ihre Masse [55, S. 79]. Im Rahmen einer statistischen Versuchsplanung wird von einer Wechselwirkung gespro- chen, wenn der Effekt eines Faktors von der Einstellung eines anderen Faktors beeinflusst wird ([56–58], vgl. Abschnitt 2.7). Für Wechselwirkungen innerhalb des mechatronischen Systems wird im Rah- men dieser Arbeit die folgende Definition verwendet [59, S. 6]: „Unter einer Wechselwirkung wird eine gegenseitige Beeinflussung von zwei oder mehreren Komponenten verstanden. Diese Beein- flussung kann entweder positiv, neutral oder negativ sein.“ Hierbei werden zwischen direkten und indirekten Wechselwirkungen, sowie zwischen Beeinflussungen durch die Umgebungen unterschieden [59, S. 29]. Wechselwirkungen können mittels unterschiedlicher Methoden erfasst und dargestellt werden. Hervorzuheben sind hierbei die komponentenbasierte De- sign Structure Matrix (DSM) sowie das Direct System Grid (DSG). In einer DSM werden die relevanten Komponenten eines Systems paarweise verglichen und die Wechselwirkungen in einer Matrix eingetragen [60, 61]. Hierbei wird zwischen einer binären und numerischen DSM unterschieden. Während in einer binären DSM nur das Vorhandensein einer Wechselwirkung erfasst wird, wird bei einer numerischen DSM zusätzlich die Stärke der Wech- selwirkung bewertet. Durch eine Neuanordnung der Zeilen und Spalten können Cluster gebildet werden. Ziel ist es, die Wechselwirkungen innerhalb von Clus- tern zu erhöhen und die Wechselwirkungen zwischen Clustern so gering wie möglich zu realisieren. Hierdurch können entsprechend der einzelnen Clustern Baugruppen aufgezeigt werden, welche weitestgehend unabhängig voneinan- der gestaltet werden können. 22 2: Stand der Wissenschaft und Technik Nach einer quantitativen Bewertung der Wechselwirkungen in der Matrixdar- stellung können die Werte in den Zeilen und Spalten aufsummiert werden. Hierdurch ergeben sich die sogenannten Aktiv- und Passivsummen [59, 62, 63]. Die Aktivsumme gibt hierbei an, wie stark die jeweilige Komponente andere Komponenten beeinflusst. Durch die Passivsumme wird ausgedrückt, wie stark die jeweilige Komponente von anderen Komponenten beeinflusst wird. Zur Vi- sualisierung und weiteren Analyse kann die Aktivsumme über der Passiv- summe in einem sogenannten Direct System Grid (DSG) aufgetragen werden [59, 63]. Wie in Bild 2.13 dargestellt, kann das DSG durch die Berechnung der jeweiligen Medianwerte in die vier Teilbereiche aktiv, ambivalent, passiv und puffernd unterteilt werden. Sollen Wechselwirkungen im Rahmen einer Zuver- lässigkeitsanalyse betrachtet werden, können Komponenten mit hohen Aktiv- bzw. Passivsummen priorisiert betrachtet werden. Komponenten im puffern- den Bereich können ggf. vernachlässigt werden. Für weiterführende Informati- onen zur Berücksichtigung von Wechselwirkungen bei Zuverlässigkeitsanaly- sen sei auf [59] verwiesen. Wie die als relevant bewerteten Wechselwirkungen in einer Modellierung be- rücksichtigt werden können wird im folgenden Abschnitt dargestellt. Bild 2.12: Beispielhafte komponentenba- sierte Design-Structure Matrix, vgl. [60, 61] Bild 2.13: Beispielhaftes Direct System Grid, vgl. [63, 59] 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 1 - 2 - 3 - 4 - 5 - 6 - 7 - 8 - 9 - 10 - 11 - 12 - 13 - 14 - 15 - Legende Kein Einfluss Geringer Einfluss Mittlerer Einfluss Hoher Einfluss Einfluss auf Komponente Ei nf lu ss v on K om po ne nt e 2.5: Grundlagen der Zuverlässigkeit mechatronischer Systeme 23 2.5.5 Zuverlässigkeitsmodellierung von Systemen Wie in den vorausgehenden Abschnitten vorgestellt, können Zuverlässigkeits- kennwerte für die unterschiedlichen Komponenten eines mechatronischen Systems ermittelt werden. Für die Berechnung von Zuverlässigkeitskennwer- ten des kompletten Systems können unterschiedliche Methoden zum Einsatz kommen. Im Folgenden werden die Boolesche Systemtheorie, die Markov-Me- thode sowie die Petrinetze vorgestellt. Mit Hilfe der Booleschen Systemtheorie kann das Ausfallverhalten von nicht reparierbaren Systemen berechnet werden. Systemelemente werden hierbei als unabhängig voneinander betrachtet und können nur die Zustände „funkti- onsfähig“ oder „ausgefallen“ annehmen [15, 7]. Wechselwirkungen zwischen Komponenten können somit nicht berücksichtigt werden. Liegt die Struktur des Systems als reine Serienstruktur vor, kann die Systemzuverlässigkeit durch die Multiplikation der einzelnen Bauteilzuverlässigkeiten berechnet werden ([7, S. 81], Gleichung (2.10)). Eine Parallelstruktur kann gemäß Gleichung (2.11) berechnet werden ([7, S. 83]. Mit Hilfe der Booleschen Systemtheorie kann somit vergleichsweise einfach eine Systemzuverlässigkeit unter den ge- nannten Einschränkungen berechnet werden. 𝑅𝑅𝑆𝑆(𝑡𝑡) = �𝑅𝑅𝐵𝐵𝐵𝐵(𝑡𝑡) 𝑛𝑛 𝐵𝐵=1 (2.10) 𝑅𝑅𝑆𝑆(𝑡𝑡) = 1 −�(1 − 𝑅𝑅𝐵𝐵(𝑡𝑡)) 𝑛𝑛 𝐵𝐵=1 (2.11) Mit Hilfe der Markov-Methode können auch reparierbare Systeme beschrie- ben werden [7, 64]. Wie in Bild 2.14 dargestellt, kann ein Systemelement ent- weder den Zustand 𝑍𝑍0 (funktionsfähig) oder 𝑍𝑍1(ausgefallen, Reparaturzustand) annehmen. Zwischen den Zuständen kann mit der Ausfallrate 𝜆𝜆 und der Repa- raturrate 𝜇𝜇 gewechselt werden. Bei der Markov-Methode können jedoch nur konstante Ausfall- und Reparaturraten berücksichtigt werden. Mit Hilfe dieser Methode kann die Systemverfügbarkeit ermittelt werden. 24 2: Stand der Wissenschaft und Technik Bild 2.14: Markov-Graph für ein Einzelelement [7, S. 367] Eine vielfältig einsetzbare Methode zur Modellierung sind die sogenannten Pet- rinetze (vgl. Bild 2.15). Diese wurden von Carl Adam Petri entwickelt und 1962 vorgestellt [65]. Ein Petrinetz basiert auf vier grundlegenden Objekten [66–69]: • Stellen: Eine Stelle repräsentiert einen möglichen Zustand des Systems und wird durch einen Kreis visualisiert. Stellen können Marken enthal- ten. • Marken: Durch Marken wird der aktuelle Zustand des Systems mar- kiert. Dargestellt werden Marken durch ausgefüllte Kreise. • Transitionen: Mögliche Zustandsübergänge werden Transitionen ge- nannt und sind durch ein Rechteck dargestellt. Wird eine Transition geschalten, werden Marken gelöscht oder erzeugt. • Kanten: Kanten stellen die Verbindungen zwischen Stellen und Transi- tionen dar. Eine Normalkante wird durch einen Pfeil dargestellt. Bild 2.15: Petrinetz einer einzelnen Komponente Das in Bild 2.15 dargestellte Petrinetz besteht aus einer Komponente mit zwei möglichen Zuständen. Der Ausgangszustand „Funktionsfähig“ wird durch die Marke in der entsprechenden Stelle angegeben. Nach Aktivierung der Transi- tion wird die bestehende Marke gelöscht und im Zustand „Ausgefallen“ neu er- zeugt. Je nach Klasse des verwendeten Petrinetzes können für die Transitionen Z0 Z1 1-λ λ 1-μ μ Komponente funktionsfähig τ Ausfall der Komponente Komponente ausgefallen 2.5: Grundlagen der Zuverlässigkeit mechatronischer Systeme 25 deterministische oder stochastische Schaltzeiten vorgegeben werden. Im Bei- spiel der Zuverlässigkeitsmodellierung einer Komponente könnte die in Versu- chen ermittelte Ausfallverteilung als Schaltzeitverzögerung eingetragen wer- den. Die mittels Monte-Carlo-Simulation ermittelte mittlere Verweildauer im Zustand „Funktionsfähig“ entspricht der Zuverlässigkeit der Komponente [67, 68]. Basierend auf den von Carl Adam Petri vorgestellten Petrinetzen wurden im Laufe der Zeit verschiedene, aufeinander aufbauende Erweiterungen vorge- stellt. Hervorzuheben sind hierbei die erweiterten stochastische Petrinetze (Extended Stochastic Petri Nets, ESPN), die farbigen Petrinetze (Coloured Petri Nets, CPN) oder die erweiterten farbigen stochastischen Petrinetze (Extended Coloured Stochastic Petri Nets, ECSPN) [67, 68, 70]. Die Petrinetze unterschei- den sich primär durch die möglichen Modellierungsaspekte (wie z. B. die Art der Markeninterpretation und -eigenschaften sowie die unterschiedlichen Möglichkeiten der Zeitverzögerungen von Transitionen). Mit Hilfe des ECSPN ist eine detaillierte zuverlässigkeitstechnische Modellie- rung möglich. Neben Ausfallabhängigkeiten und Alterung können auch Krite- rien der Instandhaltung, wie z. B. Warteschlangenverhalten, direkt modelliert werden [67, S. 39]. Das ECSPN kann somit für eine Modellierung der Zuverläs- sigkeit eines mechatronischen Systems unter der Berücksichtigung von Wech- selwirkungen zwischen Komponenten verwendet werden. In den Unterabschnitten von Abschnitt 2.5 wurden die grundlegenden Metho- den zur Zuverlässigkeitsbewertung der Domänen eines mechatronischen Sys- tems vorgestellt. Durch eine Erfassung der Wechselwirkungen und Modellie- rung des Gesamtsystems kann die Systemzuverlässigkeit ermittelt werden. Die Lebensdauer des Systems ist abhängig von den im Betrieb herrschenden Belas- tungen. Im folgenden Abschnitt wird vorgestellt, mit welchen Methoden die Be- triebsbelastungen erfasst und klassifiziert werden können. 26 2: Stand der Wissenschaft und Technik 2.6 Methoden zur Klassifizierung der Betriebsbelastung Zur Erfassung und Aufbereitung der im Betrieb auftretenden Belastungen exis- tieren unterschiedliche Methoden. Mit Hilfe dieser Methoden ist es möglich, ei- nen zeitlichen Belastungsverlauf in die relevanten Belastungsanteile zu zerle- gen. Ein Beispiel mit Hilfe der Von-Bis-Zählung ist in Bild 2.16 dargestellt. Analog zum Namen des Verfahrens werden hierbei die steigenden und fallen- den Abschnitte des Belastungsverlaufes in einer Matrix abgelegt. Gängige Na- men für diese Von-Bis-Matrix sind auch Übergangsmatrix, Korrelationsmatrix oder Markov-Matrix [7, S. 313]. In dieser Matrix sind die relevanten Informati- onen wie die Extremwerte aus dem zeitabhängigen Belastungsverlauf enthal- ten. Bild 2.16: Veranschaulichung der Von-Bis-Zählung (vgl. [7, S. 314]) Insbesondere bei hohen Abtastraten und langen Messdauern kann der zeitliche Belastungsverlauf einen großen Speicherplatz benötigen. Wie Bild 2.16 zeigt, besitzt die Übergangsmatrix eine nur von der Anzahl an Klassen abhängige Di- mension. Die Größe der Matrix bleibt über die Messdauer stets konstant. Nur die Werte innerhalb der Matrix ändern sich. Durch die Klassifizierung des Be- lastungsverlaufs können folglich die zu speichernden Daten bei Erhalt der rele- vanten Informationen deutlich reduziert werden. Neben der Von-Bis-Zählung existieren weitere Methoden zur Erfassung der Be- triebsbelastung. Bei der Verweildauerzählung wird die kumulierte Zeit in den jeweiligen Klassen ermittelt [7, S. 311–313]. Mit Hilfe der Momentanwertzäh- lung wird in konstanten Zeitintervallen die aktuelle Klasse ermittelt und hoch- 2.7: Grundlagen der statistischen Versuchsplanung 27 gezählt. Beim Klassengrenzenüberschreitungsverfahren werden Überschrei- tungen von den jeweiligen Klassengrenzen aufsummiert [7, S. 308–310]. Bei der Rainflow-Zählung werden geschlossene Hystereseschleifen des Belas- tungsverlaufes gezählt [7, S. 315–316]. Unvollständige Hystereseschleifen wer- den als Residuum abgespeichert. Mit Hilfe der Rainflow-Zählung können Amplituden und Mittelwerte der Schwingspiele des Belastungsverlaufes iden- tifiziert werden. Für weiterführende Informationen zu den einzelnen Methoden sei auf [7, 31, 71] verwiesen. Wie der Einfluss der jeweiligen Betriebsbelastungen auf die Lebensdauer er- mittelt werden kann, wird im folgenden Abschnitt vorgestellt. 2.7 Grundlagen der statistischen Versuchsplanung Zur passenden Beschreibung des Verhaltens eines Systems sind oft experimen- telle Untersuchungen notwendig. Hierbei gilt es, trotz Messungenauigkeiten mit möglichst geringem Aufwand das Maximum an Erkenntnissen zu erzielen. Auch müssen Einflüsse unterschiedlicher Faktoren berücksichtigt werden. Hierzu kann die Methode der statistischen Versuchsplanung („Design of Expe- riments“, DoE) verwendet werden, welche 1935 von R. A. Fischer vorgestellt wurde [56]. Diese Methode ist mit entsprechenden Weiterentwicklungen der aktuelle Stand der Technik zur effizienten Planung und Auswertung von Versu- chen. Die Grundlagen hierzu werden im Folgenden vorgestellt. Die folgenden Begriffe sind in der statistischen Versuchsplanung gebräuchlich und für das Verständnis dieser Arbeit notwendig [56–58]: • Zielgröße: Die im Versuch zu ermittelnde Größe. • Einflussgrößen: Größen, welche die Zielgröße ggf. beeinflussen kön- nen. • Faktor: Im Versuch untersuchte Einflussgrößen. Faktoren können qua- litativ (kategorisch, z. B.: ja / nein) oder quantitativ (numerisch, z. B: 10 °C / 50 °C) sein. 28 2: Stand der Wissenschaft und Technik • Stufe / Einstellung: Einstellungen der jeweiligen Faktoren im Versuch. • Effekt: Gemittelte Änderung der Zielgröße als Folge einer veränderten Stufe eines Faktors. • Wechselwirkung: Der Effekt eines Faktors ist von der Einstellung eines anderen Faktors abhängig. Bei Mehrfachwechselwirkungen ist der Ef- fekt abhängig von den Einstellungen mehrerer Faktoren. Zur Bestimmung des Einflusses mehrerer Faktoren auf eine Zielgröße werden oftmals basierend auf einem Ausgangspunkt die Einstellungen der jeweiligen Faktoren einzeln nacheinander variiert. So soll gewährleistet werden, dass die Änderung der Zielgröße einem einzelnen Faktor zugeordnet werden kann. Die- ses Vorgehen wird auch „one-factor-at-a-time“ (OFAT) genannt und ist in Bild 2.17 links dargestellt (vgl. [58]). Um trotz Streuung die Zielgröße ausreichend genau ermitteln zu können, sind in der Regel mehrere Wiederholungen der ein- zelnen Versuche notwendig. In dem hier gezeigten Beispiel werden acht Versu- che pro Versuchspunkt durchgeführt. Im Gegenzug zu OFAT werden bei der statistischen Versuchsplanung auch Ein- stellungen mehrerer Faktoren gleichzeitig geändert (vgl. Bild 2.17 rechts). Hie- raus ergeben sich verschiedene Vorteile. Durch das Testen aller möglichen Kombinationen können Wechselwirkungen identifiziert werden. Durch den ausgewogenen Versuchsplan können die Versuchsergebnisse alle Versuche der jeweiligen Stufe eines Faktors für die Berechnung des jeweiligen Effektes be- rücksichtigt werden. Wie in Bild 2.17 rechts dargestellt, sind bereits bei der ge- ringen Anzahl an Faktoren des Beispiels insgesamt weniger Versuche als bei dem herkömmlichen Vorgehen notwendig. Da pro Faktor jeweils acht Versuche zur Berechnung des Effektes zur Verfügung stehen, können die Haupteffekte bei der statistischen Versuchsplanung mit der gleichen Güte wie bei OFAT er- mittelt werden [58]. Mit Hilfe der statistischen Versuchsplanung ist es somit möglich, effizient den Einfluss inklusive Wechselwirkungen verschiedener Faktoren auf eine Ziel- größe bestimmen zu können. 2.7: Grundlagen der statistischen Versuchsplanung 29 Bild 2.17: Vergleich von OFAT (links) und DoE (rechts). [58, S. 4] Zur Bewertung, ob ein Faktor einen signifikanten Einfluss auf die Zielgröße be- sitzt, kann ein Hypothesentest angewendet werden [11]. Hierbei besteht jedoch nur die Möglichkeit, eine Hypothese zu widerlegen, nicht diese zu beweisen [57, S. 97]. Somit wird üblicherweise von der so genannten Nullhypothese ausge- gangen. Diese nimmt an, dass die Faktoren keinen Einfluss auf die Zielgröße haben. Kann die Nullhypothese durch entsprechende Beobachtungen widerlegt werden, wird hierdurch die Alternativhypothese (Faktoren haben einen Ein- fluss) wahrscheinlich. Ein Hypothesentest kann nicht mit absoluter Sicherheit eine Hypothese akzep- tieren oder verwerfen. Eine Entscheidung kann dabei nur mit einer gewissen Wahrscheinlichkeit als wahr oder falsch identifiziert werden. Hierbei sind prin- zipiell zwei Fehlentscheidungen möglich [10, 426-429]: • 𝛼𝛼-Fehler (Fehler 1. Art): Die Nullhypothese wird zu Unrecht verwor- fen. „Falscher Alarm“. • 𝛽𝛽-Fehler (Fehler 2. Art): Die Nullhypothese wird zu Unrecht akzeptiert. „Versäumter Alarm“. Die Wahrscheinlichkeit 1 − 𝛽𝛽, mit welcher die Nullhypothese korrekterweise abgelehnt wird (also ein real vorhandener Effekt als solcher erkannt wird), wird auch als „Power“ bezeichnet (vgl. Tabelle 2.1). Temperatur 50 °C 25 °C 8 8 One-factor-at-a-time 8 3 x 8 = 24 1 Anlage 2 Versuchsplanung 4 4 4 4 4 x 4 = 16 1 Anlage 2 30 2: Stand der Wissenschaft und Technik Tabelle 2.1 Fehlentscheidungen im Hypothesentest [10, S. 427] Nullhypothese wahr Nullhypothese falsch Nullhypothese abgelehnt Fehler 1. Art (𝛼𝛼-Fehler) Richtige Entscheidung (Power 1 − 𝛽𝛽) Nullhypothese akzeptiert Richtige Entscheidung (1 − 𝛼𝛼) Fehler 2. Art (𝛽𝛽-Fehler) Mit Hilfe eines Hypothesentests kann überprüft werden, ob die Nullhypothese bei einem vorgegebenen Wert für 𝛼𝛼 (z. B. 𝛼𝛼 = 0,05) abgelehnt oder akzeptiert werden kann. Hierbei wird jedoch keine Information darüber gegeben, ob der vorgegebene Schwellwert knapp oder sehr weit überschritten wird. Daher wird üblicherweise der sogenannte p-Wert verwendet [72, S. 40]. Der p-Wert ist der kleinste Wert von 𝛼𝛼, bei welchem die Nullhypothese abgelehnt werden kann. Mit Hilfe des p-Wertes kann festgestellt werden, mit welcher Wahrscheinlich- keit Effekte vorliegen. Bei 𝑝𝑝 < 0,05 wird üblicherweise von statistisch signifi- kanten Daten gesprochen [10, S. 431]. Für weiterführende Informationen zu Hypothesentests sowie Planung und Auswertungen von statistischen Versuchsplänen sei auf [10, 56, 58, 72, 57] ver- wiesen. Im Rahmen einer statistischen Versuchsplanung können unterschiedliche Ver- suchspläne zum Einsatz kommen. Ein vollständig faktorieller (vollfaktorieller) Versuchsplan beinhaltet alle möglichen Faktorstufenkombinationen. Wie in Bild 2.18 veranschaulicht, beinhaltet ein vollfaktorieller Versuchsplan bei zwei Stufen und drei Faktoren 23=8 Versuchspunkte. Mit zunehmender Anzahl an Faktoren steigt der Versuchsaufwand stark an. Bei acht Faktoren ergeben sich bereits 256 Versuchspunkte. Ein Großteil dieser Versuche wird jedoch für die Bestimmung von Wechselwirkungen benötigt, insbesondere für Wechselwir- kungen zwischen drei und mehr Faktoren [58, S. 122]. Wechselwirkungen zwi- schen drei Faktoren (3-fach Wechselwirkungen, 3FWW) haben in der Praxis nur selten eine Bedeutung [58, S. 138]. Bei größerer Anzahl an Faktoren wer- den vollfaktorielle Versuchspläne folglich ineffizient. Anstelle der höheren Wechselwirkungen können auch weitere Faktoren unter- sucht werden. Solche Versuchspläne werden fraktionelle faktorielle (teilfakto- 2.7: Grundlagen der statistischen Versuchsplanung 31 rielle) Versuchspläne genannt. Die Vermengung von Effekten und Wechselwir- kungen wird hierbei durch die Auflösung beschrieben. Bei einem Versuchsplan mit Auflösung III sind hierbei Hauptfaktoren mit 2FWW vermengt. Bei einem Versuchsplan mit Auflösung IV sind Hauptfaktoren mit 3FWW sowie 2FWW untereinander vermengt. Versuchspläne ab Auflösung V (Vermengung von Haupteffekten und 4FWW sowie 2FWW und 3FWW) eignen sich für die Para- metrierung eines linearen Beschreibungsmodells [57, S. 29, 58, S. 137–138]. Ein teilfaktorieller Versuchsplan für drei Faktoren ist beispielhaft in Bild 2.19 dargestellt. Die Versuchspunkte sind hierbei gleichmäßig angeordnet. Besitzt ein Faktor keinen bzw. einen vernachlässigbaren Einfluss, ergibt sich für die verbleibenden zwei Faktoren ein vollfaktorieller Versuchsplan. Sollte eine Be- stimmung aller Haupteffekte und Wechselwirkungen notwendig sein, kann der teilfaktorielle Versuchsplan durch Testen der fehlenden Versuchspunkte zu ei- nem vollfaktoriellen Versuchsplan ausgebaut werden. Bild 2.18: Vollständig faktorieller Ver- suchsplan [58, S. 108] Bild 2.19: Teilfaktorieller Versuchsplan (vgl. [58, S. 133]) Neben vollfaktoriellen und teilfaktoriellen Versuchsplänen existieren weitere Versuchspläne. Gängig sind zentral zusammengesetzte Versuchspläne, Pla- ckett-Burman, Box-Behnken oder die sogenannten optimalen Versuchspläne [58, 57, 72]. Ein zentral zusammengesetzter Versuchsplan setzt sich aus einem voll- oder teilfaktoriellen Versuchsplan und einem „Stern“ mit „Zentrum“ zusammen (vgl. Faktor C Faktor A Faktor B 1 2 3 4 5 6 7 8 Faktor C Faktor A Faktor B 3 4 5 6 7 8 1 2 6 7 1 4 7 6 1 4 4 6 7 1 32 2: Stand der Wissenschaft und Technik Bild 2.20). Da jeder Faktor in fünf Stufen untersucht wird, können mit Hilfe die- ses Versuchsplanes auch nichtlineare Zusammenhänge ermittelt werden. Wie in Bild 2.21 dargestellt, werden bei einem Box-Behnken Versuchsplan die Versuchspunkte auf die Mittelpunkte der Würfelkanten sowie den Zentral- punkt gelegt. Der Versuchsplan kann ebenfalls zur Parametrierung eines quad- ratischen Modellansatzes verwendet werden. Das ermittelte Beschreibungs- modell gilt jedoch nicht in den Ecken. Bei Plackett-Burman Versuchsplänen der Auflösung III sind Zweifachwechsel- wirkungen mit mehreren Haupteffekten überlagert. Dies ist vorteilhaft, wenn die Zweifachwechselwirkungen klein sind. Dann können die Hauptfaktoren re- lativ genau ermittelt werden. Sind die Zweifachwechselwirkungen jedoch zu groß, werden fast alle Faktoren beeinflusst. Das Versuchsergebnis wird dadurch unbrauchbar verfälscht [58, S. 149–153]. Die Vermengungen von Haupteffekten und Zweifachwechselwirkungen kann durch eine Wiederholung der gesamten Versuche mit invertierten Einstellungen aufgelöst werden [57, S. 31–33]. Bei den sogenannten optimalen Versuchsplänen, wie z. B. den D-optimalen Ver- suchsplänen, kann ein beliebiger Modellansatz vorgegeben werden. Basierend darauf erfolgt die Ermittlung der hierfür notwendigen Versuchspunkte. Die Op- timalität gilt jedoch nur für den vorgegebenen Modellansatz, welcher üblicher- weise nicht zu Versuchsbeginn bekannt ist [58, S. 217]. Bei einer statistischen Versuchsplanung wird üblicherweise ein zweistufiges Vorgehen gewählt [57, S. 264]: In einem ersten Schritt werden mittels eines Screening-Versuchsplanes Faktoren mit signifikantem Einfluss auf die Ziel- größe identifiziert. Auf Basis dieser Informationen wird eine zweite Versuchs- reihe durchgeführt, um den Einfluss dieser ausgewählten Faktoren und ggf. Wechselwirkungen genauer zu untersuchen. Falls notwendig kommen Ver- suchspläne zum Einsatz, mit welchen auch nichtlineare Einflüsse erfasst wer- den können. 2.7: Grundlagen der statistischen Versuchsplanung 33 Bild 2.20: Zentral zusammengesetzter Ver- suchsplan [58, S. 199] Bild 2.21: Box-Behnken Versuchsplan [57, S. 41] Voraussetzung für die Auswertung einer DoE ist, dass die Messwerte der Ziel- größe in den jeweiligen Faktoreinstellungen normalverteilt sind [58, 72, 57]. Ist diese Voraussetzung erfüllt, kann der quantitative Einfluss der als statistisch signifikant bewerteten Faktoren ermittelt werden. Wie beispielhaft in Glei- chung (2.12) für ein lineares Modell ohne Wechselwirkungen dargestellt, ist hierzu ein entsprechender Polynomansatz möglich. Mittels linearer Regressi- onsanalyse können anschließend die Koeffizienten 𝛽𝛽𝑘𝑘 für die einzelnen Fakto- ren 𝑥𝑥𝑘𝑘 geschätzt werden. Das Residuum 𝜖𝜖 soll hierbei möglichst klein werden. Wurden die Koeffizienten geschätzt, kann die vorhergesagte Zielgröße 𝑦𝑦 durch Einsetzen der gewünschten Faktoreinstellungen im untersuchten Parameter- raum berechnet werden (vgl. [73]). 𝑦𝑦 = 𝛽𝛽0 + 𝛽𝛽1𝑥𝑥1 + 𝛽𝛽2𝑥𝑥2 + ⋯+ 𝛽𝛽𝑘𝑘𝑥𝑥𝑘𝑘 + 𝜖𝜖 (2.12) Wie in Abschnitt 2.2 vorgestellt, sind Lebensdauerdaten üblicherweise nicht normalverteilt. Die direkte Auswertung von Lebensdauerdaten in einer DoE ist somit nicht möglich. Können die Lebensdauerdaten mittels einer Lognormalverteilung gefittet wer- den, besteht die Möglichkeit durch Logarithmieren der Ausfalldaten normal- verteilte Daten zu erhalten. Für die so transformierten Daten kann eine übliche Faktor C Faktor A Faktor B Faktor C Faktor A Faktor B 34 2: Stand der Wissenschaft und Technik Auswertung der DoE durchgeführt werden. Liegen jedoch zensierte Ausfallda- ten vor (z. B. intervallzensiert und / oder rechtszensiert, vgl. Abschnitt 2.2), kann dieses Vorgehen nicht angewendet werden [74, S. 605]. Zur Berücksichtigung zensierter Ausfalldaten oder mittels Weibull-Verteilung angenäherte Datensätze muss die Auswertung der DoE angepasst werden. Für Weibull-verteilte Daten mit zwei Faktoren wird beispielsweise der Ansatz in Gleichung (2.13) gewählt [73]. Hierbei beschreibt das Polynom den Lagepara- meter der 2P-Weibullverteilung. Da der Lageparameter keine negativen Werte annehmen kann, ist dieser logarithmisch transformiert. Hierbei wird angenom- men, dass der Formparameter für alle Faktorstufen gleichbleibt. Durch die un- terschiedlichen Belastungen darf sich der Schadensmechanismus folglich nicht ändern. ln(𝑇𝑇) = 𝛽𝛽0 + 𝛽𝛽1𝑥𝑥1 + 𝛽𝛽2𝑥𝑥2 + 𝛽𝛽12𝑥𝑥1𝑥𝑥2 (2.13) Für die Parameterschätzung und die Berechnung des p-Wertes wird die soge- nannte Maximum-Likelihood-Estimation (MLE) zugrunde gelegt. Mit Hilfe die- ser Methode werden diejenigen Parameter einer vorgegebenen Verteilung ge- schätzt, welche die Daten am wahrscheinlichsten abbildet. Die MLE ist bei der Auswertung von Lebensdauerdaten weit verbreitet [16, 7, 9, 10, 75]. Zur Feststellung, ob die getesteten Faktoren bei einer Auswertung mit Lebens- dauerdaten einen statistisch signifikanten Einfluss haben, wird der Likelihood- Quotienten-Test (englisch Likelihood Ratio, LR) gemäß Gleichung (2.14) ver- wendet (vgl. [76]). Hierbei wird der Likelihoodwert 𝐿𝐿 sowohl für den vollstän- digen Modellansatz als auch für den zu testenden Faktor entfernten Modellan- satz berechnet. Wenn der Effekt des getesteten Faktors klein ist, ändert sich der Likelihoodwert 𝐿𝐿 nur gering. Der Likelihood-Quotient ist in diesem Fall nahe 0. Umgekehrt können signifikante Effekte eines Faktors durch einen großen Like- lihood-Quotienten identifiziert werden [76]. 𝐿𝐿𝑅𝑅Faktor X = −2ln 𝐿𝐿Fakor X enfernt 𝐿𝐿Vollständiger Modellansatz (2.14) 2.7: Grundlagen der statistischen Versuchsplanung 35 Der Likelihoodwert 𝐿𝐿 berechnet sich in Abhängigkeit der zugrundeliegenden Wahrscheinlichkeitsverteilung (Weibull, Lognormal, …) sowie der Art der Zen- sierung der Lebensdauerdaten (keine Zensierung, rechtszensiert, intervallzen- siert, intervall- und rechtszensiert). Die Likelihood Funktion für eine Weibull- verteilung mit unzensierten Lebensdauerdaten ist beispielhaft in Gleichung (2.15) dargestellt (vgl. [73]). Hierbei ist 𝐹𝐹𝑒𝑒 die Gesamtanzahl der ermittelten Ausfallzeiten, 𝑇𝑇𝐵𝐵 die charakteristische Lebensdauer und 𝑡𝑡𝐵𝐵 der Zeitpunkt des 𝑖𝑖- ten Ausfalls. 𝐿𝐿Weibull unzensiert = �� 𝑏𝑏 𝑇𝑇𝐵𝐵 � 𝑡𝑡𝐵𝐵 𝑇𝑇𝐵𝐵 � 𝑏𝑏−1 𝑒𝑒𝑥𝑥𝑝𝑝 �−� 𝑡𝑡𝐵𝐵 𝑇𝑇𝐵𝐵 � 𝑏𝑏 �� 𝐹𝐹𝑒𝑒 𝐵𝐵=1 (2.15) Für beispielhafte Auswertungen und weitere Details zur Auswertung von Le- bensdauerdaten im Rahmen einer DoE für unterschiedliche Wahrscheinlich- keitsverteilungen und zensierte Lebensdauerdaten sei auf [12, 74, 73, 76] ver- wiesen. Mit Hilfe der Zuverlässigkeits-DoE ist es möglich, effizient den Einfluss unter- schiedlicher Faktoren auf die Lebensdauer zu ermitteln. Wie vorausgehend vorgestellt, muss hierbei jedoch eine auf Lebensdauerdaten angepasste Aus- wertung verwendet werden. In diesem Kapitel wurden die zum Verständnis dieser Arbeit notwendigen Grundlagen erläutert. Neben quantitativen und qualitativen Methoden der Zu- verlässigkeitsanalyse wurde auf die Grundlagen der Absicherung pneumati- scher Ventile, der einzelnen Domänen eines mechatronischen Systems, Metho- den zur Klassifizierung der Betriebsbelastungen sowie der statistischen Versuchsplanung eingegangen. Im Folgenden werden übergeordnete Vorgehensweisen betrachtet und unter- sucht, inwieweit bestehende Vorgehensweisen den Anforderungen genügen. 3 Analyse und Auswahl geeigneter Methoden Im Rahmen dieses Kapitels wird untersucht, inwieweit bereits bestehende Vor- gehensweisen der Zuverlässigkeitsabsicherung mechatronischer Systeme die Anforderungen zur Absicherung des beispielhaft betrachteten Systems erfül- len. Hierfür werden die Anforderungen an die zu erarbeitende Vorgehensweise in Abschnitt 3.1 aufgestellt. In Abschnitt 3.2 wird untersucht, inwieweit sich be- stehende Vorgehensweisen eignen. Mit Hilfe welcher Methoden Defizite der be- reits bestehenden Vorgehensweisen potenziell behoben werden können, wird in den Abschnitten 3.3 und 3.4 analysiert. Eine Zusammenfassung der Defizite und der verbleibenden Forschungslücke wird in Abschnitt 3.5 vorgestellt. Die Vorgehensweisen bauen auf den im vorausgehenden Kapitel 2 beschriebe- nen Methoden auf. Erfüllen Methoden die gestellten Anforderungen, werden diese in dem gesamtheitlichen Vorgehen des nachfolgenden Kapitels 4 entspre- chend berücksichtigt. 3.1 Anforderungen an die Vorgehensweise Die Vorgehensweise zur Absicherung der Zuverlässigkeit des beispielhaft be- trachteten mechatronischen Systems muss unterschiedliche Anforderungen erfüllen. Zum einen müssen die unterschiedlichen Domänen der Mechanik, Elektronik und Software berücksichtigt werden (Anforderung (A.) 1). Es wird gefordert, dass quantitative Zuverlässigkeitskennwerte für das gesamte System abgeleitet werden können (A. 2). Das mechatronische System, für welches die Methode zum Einsatz kommen soll, ist neuartig. Es sind somit keinerlei Vor- kenntnisse, insbesondere keine Zuverlässigkeitskennwerte für verbaute me- chanische Komponenten vorhanden. Die Vorgehensweise muss die fehlenden 3.1: Anforderungen an die Vorgehensweise 37 Vorkenntnisse berücksichtigen (A. 3). Das betrachtete System kann bei sehr un- terschiedlichen Kundenanwendungen eingesetzt werden. Mit Hilfe der Vorge- hensweise sollen für unterschiedliche Kundenanwendungen Zuverlässigkeits- kennwerte abgeleitet werden können (A. 4). In dem mechatronischen System werden Wechselwirkungen zwischen den ein- zelnen Komponenten erwartet. Die Wechselwirkungen sollen erfasst und in der Zuverlässigkeitsanalyse berücksichtigt werden (A. 5). Die Vorgehensweise soll sich bereits bei der Entwicklung des Systems und nicht erst nach Abschluss der Entwicklung einsetzen lassen (A. 6). Zusammengefasst ergeben sich die folgenden zentralen Anforderungen an die zu entwickelnde Vorgehensweise: 1. Gesamtheitliches Vorgehen unter der Berücksichtigung der Domänen Mechanik, Elektronik und Software. 2. Ableiten quantitativer Zuverlässigkeitskennwerte auf Systemebene (z.B. B10,50 Wert). 3. Anwendung bei neuartigen mechatronischen Systemen: Keine Vor- kenntnisse von Zuverlässigkeitskennwerten. 4. Zuverlässigkeitskennwerte sollen für unterschiedliche Kundenanwen- dungen abgeleitet werden können. 5. Wechselwirkungen zwischen den einzelnen Komponenten sollen er- fasst und in einer Zuverlässigkeitsanalyse berücksichtigt werden. 6. Das Vorgehen soll entwicklungsbegleitend durchgeführt werden kön- nen. Im folgenden Abschnitt wird untersucht, inwieweit bereits bestehenden Vorge- hensweisen die gestellten Anforderungen erfüllen. 38 3: Analyse und Auswahl geeigneter Methoden 3.2 Analyse bestehender Vorgehensweisen Zur Analyse der Zuverlässigkeit von Systemen existieren verschiedene Metho- den und Vorgehensweisen (vgl. [1, 7, 77, 78]). In Bild 3.1 ist eine von [7] vorge- stellte Vorgehensweise gezeigt. Nach einer Systemdefinition wird das System analysiert. Anschließend werden qualitative und quantitative Analysen durch- geführt. Für die Prognose des quantitativen Systemausfallverhaltens werden die ermittelten Ausfallkurven der einzelnen Komponenten beispielsweise mit- tels der Booleschen Systemtheorie (vgl. Abschnitt 2.5.5) zusammengerechnet. Dieses Vorgehen eignet sich vorwiegend für mechanische Komponenten. Bild 3.1: Vorgehensweise zur Berechnung der Systemzuverlässigkeit [7, S. 104] Eine für die Anforderungen weitestgehend geeignete Vorgehensweise zur Zu- verlässigkeitsvorhersage für mechatronische Systeme wird in [78] vorgestellt. Die Methodik ist in zehn Schritte unterteilt [78, S. 241]: 1. Externe funktionale Analyse: Ermittlung von Hauptfunktionen, Einschränkun- gen und Wechselwirkungen zwischen System und Umgebung. 2. Interne funktionale Analyse: Ermittlung der funktionellen Architektur, Be- schreibung des internen Systems und dem Verhältnis interner Funktionen. 3. Organische Analyse: Systemzerlegung in Subsysteme und Komponenten. Er- fassung von Schnittstellen sowie Wechselwirkungen zwischen den einzelnen Komponenten. 4. Physikalische Implementierung: Erarbeiten eines gesamtheitlichen Planes des Systems. Identifikation von Wechselwirkungen. SYSTEM- ANALYSE QUALITATIVE ANALYSE QUANTITATIVE ANALYSE Kritische, berechenbare System - elemente Funktionen, Lastenheft, Daten, … Kritische, qualitative System - elemente Berechnete Ausfallkurven t F(t) Sy ste m Systemelemente qualitativ quantitativ Systemausfallverhalten (Prognose) MOTOR ARBEITS - MAS CHINE GETRIEBE System - definition 3.2: Analyse bestehender Vorgehensweisen 39 5. Fehleranalyse: Identifikation von potenziellen Schäden, deren Ursachen und Auswirkungen auf das System. 6. Wechselwirkungsanalyse: Ermittlung von Wechselwirkungen. 7. Qualitative Modellierung: Erstellung eines Modells von Funktionen und Fehl- funktionen für relevante Komponenten, Untersysteme und Systeme. 8. Datenerfassung und Verarbeitung auf Komponentenbasis: Ermitteln von Zu- verlässigkeitskennwerten von Komponenten in Abhängigkeit von unter- schiedlichen Betriebsbedingungen. 9. Modellierung und Simulation: Erstellung eines Zuverlässigkeitsmodells, Er- mittlung von Zuverlässigkeitskennwerten für Komponenten und für das Sys- tem. 10. Ergebnisanalyse: Ergebnisaufbereitung der Zuverlässigkeitsanalyse. Vergleich mit Vorgaben. In den einzelnen Schritten kommen jeweils unterschiedliche Methoden zum Einsatz. Hervorzuheben sei das Funktions- / Zuverlässigkeitsblockdiagramm, die FMEA, die Wechselwirkungsmatrix und Simulationen (Petrinetze / Monte- Carlo). Mit Hilfe dieser Vorgehensweise ist es möglich, die Systemzuverlässig- keit eines mechatronischen Systems nicht nur versuchstechnisch zu ermitteln, sondern die Zuverlässigkeit für ein vorgegebenes Betriebsprofil vorherzusa- gen. Die Vorhersage wird durch eine Simulation mittels Petrinetzen erstellt. Ba- sis hierfür sind Zuverlässigkeitskennwerte für die unterschiedlichen Phasen ei- nes Betriebsprofils. In dem vorgestellten Vorgehen werden diese Zuverlässigkeitskennwerte durch Expertenbefragung ermittelt. Bei einem neu- artigen System sind diese Informationen in der Regel nicht vorhanden. Der Mangel an Zuverlässigkeitskennwerten wird von den Autoren selbst als größte Limitierung der Vorgehensweise angesehen [78, S. 253]. Die Vorgehensweise nach [78] erfüllt bereits einige der gestellten Anforderun- gen. Es können Zuverlässigkeitskennwerte auf Systemebene mittels Petrinet- zen / Monte-Carlo Simulationen ermittelt werden. Wechselwirkungen zwi- schen Komponenten können mittels Petrinetzen modelliert werden. Es können bei bekannten Zuverlässigkeitskennwerten Aussagen für unterschiedliche An- wendungsfälle getroffen werden. Für neuartige Systeme, bei welchen die Zu- verlässigkeitskennwerte nicht bekannt sind, kann das Vorgehen jedoch nicht ohne Anpassung angewendet werden. Gängige qualitative Methoden wie die 40 3: Analyse und Auswahl geeigneter Methoden FMEA, welche entwicklungsbegleitend eingesetzt werden können, sind berück- sichtigt. Bei dem gesamtheitlichen Vorgehen werden Zuverlässigkeitskenn- werte für die Software berücksichtigt. Im Rahmen der Vorgehensweise wird je- doch nicht gezeigt, wie diese Zuverlässigkeitskennwerte ermittelt und die Software entwicklungsbegleitend abgesichert werden kann. Wie in Abschnitt 2.5.3 vorgestellt, gibt es gesonderte Methoden zur entwick- lungsbegleitenden Absicherung der Software und zur Ableitung von Zuverläs- sigkeitskennwerten. Insbesondere die Nutzung von HiL- und SiL Simulationen gemäß VDI 2206 [49] ist ein wichtiges Instrument in der Entwicklung und Ab- sicherung eines mechatronischen Systems. Auf Basis des zeitlichen Verlaufs von identifizierten Softwarefehlern können durch Nutzung gängiger Modelle Zuverlässigkeitskennwerte abgeleitet werden (vgl. [51–54], Abschnitt 2.5.3). Zur Erfüllung der gestellten Anforderung an die gewünschte Vorgehensweise müssen die Nutzung von HiL- / SiL Simulationen sowie die Ableitung von Zu- verlässigkeitskennwerten berücksichtigt werden. Die Zuverlässigkeit der Elektronik wird in der Vorgehensweise nach [78] hauptsächlich durch die Nutzung von Ausfallratenkatalogen berücksichtigt. Sind neuartige Elektronikkomponenten abzusichern, müssen Versuche zur Er- mittlung von Lebensdauerkennwerten durchgeführt werden. Die üblicher- weise zur Versuchsverkürzung genutzten Raffungsmodelle sind in Abschnitt 2.5.2 vorgestellt. Mit der Hilfe der Raffungsmodelle kann die Lebensdauer der Elektronik für unterschiedliche Betriebsbedingungen berechnet werden. Bis auf die Bestimmung von Lebensdauerkennwerten für die Mechanik für un- terschiedliche Betriebsbedingungen erfüllt die mit den beschriebenen Metho- den ergänzte Vorgehensweise die gestellten Anforderungen. Im Folgenden werden zur vollständigen Erfüllung der Anforderungen unterschiedliche Ver- suchsmethoden und Möglichkeiten der Versuchsverkürzung analysiert und be- wertet. 3.3: Methoden der Versuchsdurchführung 41 3.3 Methoden der Versuchsdurchführung Zur Gewinnung quantitativer Zuverlässigkeitskennwerte müssen ohne Vorwis- sen oder Berechnungsmöglichkeiten Lebensdauerversuche durchgeführt wer- den. Das Ziel dieses Abschnittes ist es, unterschiedliche Methoden zur Ermitt- lung von Zuverlässigkeitskennwerten aufzuzeigen und für eine Verwendung in einem ganzheitlichen Vorgehen zu bewerten. Basierend auf den Anforderungen aus Abschnitt 3.1 können für die Versuchs- methoden die folgenden Bewertungskriterien abgeleitet werden: 1. Zuverlässigkeitskennwerten können abgeleitet werden. 2. Zuverlässigkeitskennwerte sind für unterschiedliche Anwendungs- fälle ableitbar. 3. Die Methode ist ohne Vorwissen anwendbar. 4. Der dominierende Schadensmechanismus kann ermittelt werden. 5. Der Arbeitsaufwand ist gering. 6. Der Zeitaufwand ist gering. In Tabelle 3.1 ist eine Übersicht der hier betrachteten Versuchsmethoden und deren Bewertungen dargestellt. Im Folgenden werden diese näher vorgestellt. In einem Lebensdauerversuch werden gleiche Prüflinge unter gleichen Bedin- gungen so lange getestet, bis diese ausfallen. Durch die Auswertung der Ausfall- zeiten der jeweiligen Prüflinge können Zuverlässigkeitskennwerte für die auf- tretenden Schadensmechanismen ermittelt werden (vgl. Abschnitt 2.2). Die Zuverlässigkeitskennwerte gelten für das getestete Lastniveau, eine Übertra- gung auf andere Bedingungen ist nicht möglich. Der Versuch kann ohne Vor- wissen durchgeführt werden. Als Ausgangslage für eine Bewertung der folgen- den Methoden wird der Arbeits- und Zeitaufwand neutral bewertet. 42 3: Analyse und Auswahl geeigneter Methoden Tabelle 3.1: Vergleich und Bewertung der unterschiedlichen Versuchsmethoden Anforderungen / Bewertungskriterien Bewertung: + voll erfüllt 0 teilweise erfüllt - nicht erfüllt Versuchsmethoden Le be ns da ue rv er su ch Su cc es s- Ru n H AL T St ep -S tr es s Su dd en -D ea th Zu ve rl äs si gk ei ts -D oE Ableiten von Zuverlässigkeitskennwerten + 0 - 0 + + Ableiten von Zuverlässigkeitskennwerten für unterschiedliche Anwendungsfälle - - - - - + Kein Vorwissen notwendig + + 0 - 0 - Ermittlung dominierender Schadensme- chanismus + - + + + + Geringer Versuchsaufwand 0 + - 0 - - Geringer Zeitaufwand 0 + + + + - Soll lediglich eine definierte Mindestzuverlässigkeit abgesichert werden, bietet sich der sogenannte Success-Run an. Dieser Versuch ist ähnlich wie der Le- bensdauerversuch aufgebaut. Im Vergleich zum Lebensdauerversuch wird der Versuch jedoch dann gestoppt, wenn die geforderte Mindestzuverlässigkeit er- reicht ist. Üblicherweise ist der Versuch so ausgelegt, dass während der Ver- suchszeit kein Ausfall auftritt [7]. Ohne Ausfälle können allerdings keine Scha- densmechanismen bestimmt werden. Für das getestete Lastniveau kann nur eine Mindestzuverlässigkeit angegeben werden. Durch den frühzeitigen Stopp der Versuche ergibt sich ein verringerter Versuchs- und Zeitaufwand. Der sogenannten Highly Accelerated Life Test (HALT) ist dafür vorgesehen, mögliche Fehlermechanismen frühzeitig zu erkennen [79, S. 326–327]. Hierzu werden die Belastungen auch über die Einsatzgrenzen hinaus, schrittweise bis zu einem Ausfall erhöht. Anschließend werden die Fehler analysiert und im Entwicklungsprozess berücksichtigt. Während Schwachstellen im Produkt effi- zient erkannt und die Zuverlässigkeit qualitativ verbessert werden kann, kön- nen durch HALT jedoch keine quantitativen Zuverlässigkeitskennwerte für eine Feldbelastung ermittelt werden [7, S. 284–285]. 3.3: Methoden der Versuchsdurchführung 43 Bei der Step-Stress-Methode werden nach einem Ausfall eines Prüflings die Belastung der restlichen Prüflinge der Dauerlaufgruppe erhöht [7, S. 283–284]. Hierdurch kann, ähnlich wie bei HALT, die Testzeit bis zum Ausfall stark ver- kürzt werden. Ein Nachteil dieser Methode ist, dass zur Ableitung von Zuver- lässigkeitskennwerten auf das spätere Betriebsniveau der jeweilige Raffungs- faktor bereits bekannt sein muss. Dies ist üblicherweise nicht der Fall. Für eine Ermittlung von Zuverlässigkeitskennwerten rät [42, S. 19] von variab- len Belastungen ab und empfiehlt ein Test bei konstanten Belastungen. Der sogenannten Sudden-Death-Test bietet die Möglichkeit einer starken Testzeitverkürzung [7, S. 193]. Hierfür ist jedoch eine vergleichsweise hohe Prüflingsanzahl notwendig. Zur Testdurchführung werden die Prüflinge in gleichgroße Prüflose unterteilt [7, S. 219–222]. Jedes Prüflos wird nur so lange getestet, bis jeweils ein Prüfling ausgefallen ist. Durch eine Auswertung der je- weils ersten Ausfälle kann anschließend auf die Ausfallverteilung der gesamten Stichprobe geschlossen werden (vgl. Bild 3.2). Wie in Abschnitt 2.7 bereits vorgestellt, können mittels einer Zuverlässig- keits-DoE Lebensdauerkennwerte für unterschiedliche Anwendungsfälle ab- geleitet werden. Hierbei werden Lebensdauerversuche bei unterschiedlichen Bedingungen durchgeführt. Somit ist der Arbeits- und Zeitaufwand im Ver- gleich zu einem Lebensdauerversuch bei nur einem Anwendungsfall deutlich höher. Für eine zielführende Planung des DoE ist Vorwissen wie dominierende Schadensmechanismen oder die Streuung der Versuche (Parameter einer Le- bensdauerverteilung) notwendig. 44 3: Analyse und Auswahl geeigneter Methoden Bild 3.2: Sudden-Death Verfahren [7] Die Methode der Zuverlässigkeits-DoE ist die einzige Methode, mit welcher Zu- verlässigkeitskennwerte für unterschiedliche Anwendungsfälle abgeleitet wer- den können. Keine andere der dargestellten Methoden erfüllt diese Anforde- rung. Um eine Zuverlässigkeits-DoE planen und durchführen zu können, ist Vorwissen über die dominierenden Schadensmechanismen und Lebensdauer- verteilungen notwendig. Mittels HALT können Schadensmechanismen frühzei- tig ermittelt werden. Für die Ermittlung einer Lebensdauerverteilung für eine vorgegebene Testbedingung kann ein Lebensdauerversuch verwendet werden. Die Methoden Success-Run, HALT und der Step-Stress-Methoden sind hierfür nicht bzw. wenig geeignet. Der Sudden-Death-Test ist prinzipiell geeignet, hat für diese Art der Voruntersuchung jedoch einen vergleichsweise hohen Ver- suchsaufwand. % 99,9 Au sf al lw ah rs ch ei nl ic hk ei tF (t ) 4,0 Fo rm pa ra m et er b 0,1 1 100 Laufzeit t Pol 90,0 63,2 50,0 30,0 20,0 10,0 5,0 3,0 2,0 1,0 0,5 0,3 0,2 0,1 3,5 3,0 2,5 2,0 1,5 1,0 0,5 0,1 10 Ger ad e d er 1. A us fäl le B50 B12,9 Ger ad e d er ge sa m te n S tic hp ro be 1Stichprobe: Prüflos 1: Prüflos 2: Prüflos 3: Prüflos 4: Prüflos 5: Prüflos 6: 1 6 11 16 21 26 2 3 4 5 7 12 17 22 27 28 23 18 13 8 9 10 14 15 19 20 24 25 29 30 2 301 . . . . . . . . .: : : : : : : 1 11 16 21 26 2 3 4 5 7 12 17 22 27 28 23 18 13 8 9 10 14 15 19 20 24 25 29 30 2 Ausfallzeiten: t2, t8, t14, t18, t25, t27 3.4: Methoden der Versuchsverkürzung 45 3.4 Methoden der Versuchsverkürzung Lebensdauerversuche sind in der Regel kosten- und zeitintensiv. Daher wird für eine effiziente Durchführung der Versuche untersucht, wie der Versuchs- aufwand und die Versuchszeit verringert werden können. In Tabelle 3.2 sind hierzu verschiedene Möglichkeiten zusammengefasst. Im Folgenden werden diese Möglichkeiten einzeln vorgestellt und bewertet. Tabelle 3.2: Möglichkeiten zur Versuchsverkürzung [7, 79, 80] Versuchsverkürzung durch Voraussetzung Überbeanspruchung Beschleunigungsfaktor zur Übertragung der ermittelten Lebensdauer auf Nennbe- lastung muss bekannt sein. Der Schadensmechanismus darf sich nicht ändern. Erhöhung der Nutzungsrate Anpassung von Konstruktionspara- metern Anpassung der Ausfallgrenze Zensierte Auswertung der Versuche Es müssen ausreichend viele Ausfälle vor- handen sein. Extrapolation von Degradationsmerk- malen Der Verlauf des Degradationsmerkmals muss bekannt sein. Die Überbeanspruchung ist die gängigste Methode zur Beschleunigung von Dauerlaufversuchen [79, S. 241–243]. Hierbei werden die Prüflinge unter hö- heren Belastungen als im Nennfall bis zum Ausfall getestet. Durch die Lasterhö- hung darf sich der Schadensmechanismus jedoch nicht ändern. Der Beschleu- nigungsfaktor, auch Raffungsfaktor genannt, ergibt sich aus dem Verhältnis von der Lebensdauer bei Nennbedingungen zu der Lebensdauer unter erhöhter Last [7, S. 281–283]: 𝑅𝑅𝐹𝐹 = 𝑡𝑡 𝑡𝑡raff . (3.1) Üblicherweise ist 𝑅𝑅𝐹𝐹 bei einem neuartigen Produkt nicht vorab bekannt, son- dern muss erst durch Versuche ermittelt werden. Bei einer Erhöhung der Nutzungsrate wird eine Versuchsverkürzung durch das Auslassen von Pausenzeiten bzw. durch ein schnelleres Aufbringen der Be- lastungen erreicht [79, S. 243–244]. Diese Möglichkeiten sind in Bild 3.3 46 3: Analyse und Auswahl geeigneter Methoden Bild 3.3: Versuchsverkürzung durch Auslassen von Pausenzeiten (links) und schnelleres Aufbrin- gen der Belastungen (rechts) veranschaulicht. Es muss beachtet werden, dass bei der Methode der Erhöhung der Nutzungsrate eine zusätzliche Schädigung auftreten kann. So könnte bei- spielsweise der Prüfling weniger Zeit zum Abkühlen bekommen und durch eine höhere Temperatur stärker geschädigt werden. Können gleiche Bedingungen, z.B. durch eine zusätzliche Kühlung, nicht gewährleistet werden, folgt eine ten- denziell zu niedrige, ggfs. jedoch auch zu hohe Lebensdauerannahme. Sind diese Einflüsse bekannt oder wurden versuchstechnisch ermittelt, können diese bei einer Auswertung berücksichtigt werden [79, 81, 82]. Eine weitere Methode zur Versuchsverkürzung ist die Anpassung von Kon- struktionsparametern wie z. B. die Verkleinerung eines tragenden Quer- schnittes [79, S. 244]. Diese Methode setzt voraus, dass der quantitative Ein- fluss der vorgenommenen Anpassung auf die Lebensdauer bekannt ist. Dieses Wissen steht üblicherweise zu Beginn der Untersuchung eines neuartigen Sys- tems nicht zur Verfügung. Zur Berücksichtigung unterschiedlicher Größen in einer Produktreihe beschreibt [83, S. 170–173] ein Modell, welches eine Aus- fallrate proportional zur Produktgröße berücksichtigt, [84] beschreibt einen allgemeineren Ansatz. Einige Produkte versagen durch Toleranzausfälle, d. h. eine funktionsrelevante Eigenschaft liegt außerhalb des spezifizierten Wertebereichs. Liegt beispiels- weise die Leckage eines Pneumatikventils oberhalb einer definierten Grenze, t La st t La st t La st t La st 3.4: Methoden der Versuchsverkürzung 47 gilt das Ventil als ausgefallen. Dauerlaufversuche können prinzipiell verkürzt werden, indem eine Anpassung der Ausfallgrenze vorgenommen wird. Pneu- matikventile gelten beispielsweise früher als ausgefallen, wenn die maximale zulässige Leckage verringert wird. Diese Methode erfordert ein Modell, um auf die Ausfallzeiten bei nomineller Ausfallgrenze schließen zu können [79, S. 244]. In [79, 358-378] wird beschrieben, wie ein solches Modell versuchstechnisch ermittelt werden kann. Wie in Abschnitt 2.2 bereits vorgestellt, kann durch eine zensierte Auswer- tung der Versuche bereits ein Zuverlässigkeitskennwert abgeleitet werden, auch wenn noch nicht alle Prüflinge ausgefallen sind. Für eine aussagekräftige Auswertung muss jedoch eine gewisse Mindestanzahl an Ausfällen vorhanden sein. Im Bereich pneumatischer Komponenten wird von der ISO 19973-1 [4, S. 6] ein Anteil von mindestens 70 % ausgefallener Prüflingen gefordert. Durch eine zensierte Auswertung kann – im Gegensatz zu den anderen hier vor- gestellten Methoden – eine Versuchsverkürzung auch ohne bereits existieren- des Vorwissen realisiert werden. Versagt das Produkt durch einen Toleranzausfall und kann der relevante aus- fallspezifische Kennwert (Degradationsmerkmal) versuchsbegleitend gemes- sen werden, ist eine Extrapolation des Degradationsmerkmals zur Ver- suchsverkürzung denkbar. Bei einem pneumatischen Ventil könnte beispiels- weise die Leckage ein solches Degradationsmerkmal sein. Ist der Verlauf der Leckage über die Zeit bekannt, kann ausgehend von einem Testzeitpunkt die Zeit bis zum Überschreiten der Ausfallgrenze berechnet werden (vgl. Bild 3.4). Bild 3.4: Beispielhafte Degradationsverläufe (vgl. [7, S. 286–287]) 48 3: Analyse und Auswahl geeigneter Methoden Dauerlaufversuche können mit unterschiedlichen Methoden erfolgreich ver- kürzt werden. Ein Großteil der vorgestellten Methoden benötigt jedoch Vorwis- sen, um die ermittelten Lebensdauerkennwerte auf Nennbedingungen umzu- rechnen. Ohne ein solches Vorwissen, lassen sich nur die Methoden der zensierten Auswertung und eine Erhöhung der Nutzungsrate (ohne zusätzliche Schädigung des Produktes) anwenden. Ist für ein Produkt jedoch eine größere Anzahl an Versuchen geplant (z. B. im Rahmen einer DoE), erscheint eine Evaluierung der einzelnen Beschleuni- gungsmöglichkeiten sowie ggf. eine Erarbeitung des notwendigen Vorwissens sinnvoll. Zusammenfassend wurden in den vorausgehenden Abschnitten Anforderun- gen an ein gesamtheitliches Vorgehen aufgestellt (Abschnitt 3.1). Es wurden bestehende Vorgehensweisen vorgestellt und analysiert (Abschnitt 3.2). Hier- bei zeigte sich, dass insbesondere die Ermittlung von Lebensdauerdaten für un- terschiedliche Betriebsbedingungen in den bisherigen Vorgehensweisen nicht ausreichend berücksichtigt wurden. Bei einer näheren Analyse von Methoden zur Versuchsdurchführung, wurde die Zuverlässigkeits-DoE als hierfür zielfüh- rende Methodik identifiziert (Abschnitt 3.3). Lebensdauerversuche sind in der Regel kosten- als auch zeitintensiv. Für eine möglichst effiziente Versuchs- durchführung wurden Methoden der Versuchsdurchführung näher betrachtet (Abschnitt 3.4). Inwieweit die vorgestellten Anforderungen mit bestehenden Methoden erfüllt werden, wird im folgenden Abschnitt evaluiert. 3.5 Eignung bestehender Methoden In Tabelle 3.3 ist eine Übersicht des Erfüllungsgrades der in Abschnitt 3.1 auf- gestellten Anforderungen mit den vorausgehend vorgestellten bestehenden Methoden dargestellt. Der Erfüllungsgrad der einzelnen Anforderungen wird im Folgenden detaillierter beschrieben. 3.5: Eignung bestehender Methoden 49 Tabelle 3.3: Übersicht des Erfüllungsgrades der Anforderungen mit bestehenden Methoden Anforderungen Bewertung: + voll erfüllt 0 teilweise erfüllt - nicht erfüllt Erfül- lungs- grad Anmerkung A. 1: Gesamtheitliches Vorgehen (Me- chanik, Elektronik und Software) 0 Durch Methoden wie in Abschnitt 3.2 beschrieben weitestgehend erfüllbar. Integration von Zuv-DoE bisher nicht gezeigt. A. 2: Quantitative Zuverlässigkeits- kennwerte auf Systemebene + Beispielsweise mittels Boolescher Sys- temtheorie oder Petrinetzen möglich. A. 3: Anwendbarkeit bei neuartigem mechatronischem System (kein Vorwissen) 0 Die Zuverlässigkeits-DoE (Zuv-DoE) erfordert Vorwissen. Das Erarbeiten des erforderlichen Wissens muss in ei- nem zusätzlichen Schritt des gesamt- heitlichen Vorgehens berücksichtigt werden. A. 4: Zuverlässigkeitskennwerte für un- terschiedliche Kundenanwendun- gen ableitbar - Die Zuv-DoE ist die einzige Methode, mit welcher sinnvoll Zuverlässigkeits- kennwerte für unterschiedliche Be- dingungen ermittelt werden können. Im aktuellen Stand der Technik wird jedoch nicht gezeigt, wie eine Zuv-DoE mit den hier aufgeführten Anforde- rungen geplant werden kann. A. 5: Wechselwirkungen zwischen Komponenten berücksichtigen + Erfassung und Identifikation mittels Design Structure Matrix und Direct System Grid. Modellierung und Simu- lation mittels Petrinetzen. A. 6: Entwicklungsbegleitend durch- führbar - Die bestehenden Vorgehensweisen sind grundsätzlich entwicklungsbe- gleitend anwendbar.