6.5.4 Fehlerbaumananalyse

Verfahren zum Ermitteln verschiedener (paralleler und sequentieller) Fehlerkombinationen (Hard- und Software, Fehlbedienung, ...) die zum Auftreten eines bestimmten unerwünschten Ereignisses (top event) führen

Ziel: Bestimmen der Wahrscheinlichkeit des Eintritts des top events durch analytische und/oder statistische Methoden

berücksichtigt quantitative Angaben zur Zuverlässigkeit, wie Fehlerwahrscheinlichkeiten, Fehlerraten, MTTR

Konzepte und Definitionen

Fehlerzustände

Komponentenfehler (component fault)
- primärer Fehler (primary fault)
  Fehler einer Komponente, die innerhalb der Spezifikation arbeitet
- sekundärer Fehler (secondary fault)
  Fehler einer Komponente, die außerhalb der Spezifikation arbeitet
- angewiesener Fehler (command fault)
  korrektes Verhalten der Komponente, jedoch zur falschen Zeit oder am falschen Ort

Systemfehler (system fault)
- verursacht durch externe Ereignisse
- erfordern "intelligente" Dekomposition

Ereignisse

top event

primary event

Typ	Bedeutung	Symbol
basic event	atomar, wird nicht weiter untersucht
undeveloped event	nicht atomar, wird nicht weiter untersucht
conditioning event	enthält Bedingung, die eine Verknüpfung betrifft
external event	externes, übliches Ereignis, kein Fehler

intermediate event

Typ Symbol

intermediate event

Typ	Symbol
intermediate event

Verknüpfungen (logic gates)

Verknüpfung	Bedeutung	Symbol
AND	logisches UND
OR	logisches ODER
XOR	exklusives ODER
M-OF-N	m aus n
PRIORITY-AND	logisches UND, Reihenfolge der Eingangsereignisse
INHIBIT	Sperre, logisches UND, zusätzliche Bedingung
TRANSFER	Konnektor, Aufteilen eines Graphen

Schnittmenge (cutset)

Menge von basic events, deren gleichzeitiges Eintreten zum top event führt

minimale Schnittmenge (minimal cutset) enthält keine anderen Schnittmengen

Entfernen eines basic events aus einer minimalen Schnittmenge löst diese auf

Ablauf der Fehlerbaumanalyse

top events definieren (möglicherweise mit ETA)

beteiligte Komponenten identifizieren, Detailtiefe festlegen

für jedes top event Fehlerbaum konstruieren

qualitative Analyse: Fehlerbaum auf minimale Schnittmengen untersuchen

quantitative Analyse: Wahrscheinlichkeiten für jede minimale Schnittmenge berechnen

Regeln für die Fehlerbaumkonstruktion

Ereignis als Fehler beschreiben, exakte Angaben machen

Komponentenfehler: mittels ODER-Verknüpfung primäre, sekundäre oder angewiesene Fehler als Ursache angeben
Systemfehler: mittels UND/ODER/Sperr-Verknüpfung weiter untersetzen, ggf. keine Verknüpfung

keine Wunder: wenn durch normale Funktion einer Komponente ein Fehler propagiert wird, dann ist das kein Fehler dieser Komponente

Verknüpfungen vollständigen (breadth first): zuerst alle Eingangsereignisse für eine bestimmte Verknüpfung festhalten

Verknüpfungen nicht mit Verknüpfungen verbinden

Betrachtetes Teil-Szenarium

top event: eingehende Mail geht verloren

System definieren
Bild 6.5.4-1: MTA's im Subnetz mx.sample.org

Konstruktion des Fehlerbaums

Bild 6.5.4-2: Fehlerbaum 1: erste Analyse

E1 ist ein Systemfehler: Ursachen: E2 ODER E3
E₁ = or( E₂ , E₃ )

Bild 6.5.4-3: Fehlerbaum 2: Ursachen für E2

E2 ist ein Systemfehler: Ursachen: E4 ODER e5
E₂ = or( E₄ , e₅ )

E4 ist ein Komponentenfehler: Ursachen: zwei primäre Fehler: e8 und e9, zwei sekundäre Fehler: e10 und e11 und ein angewiesener Fehler: e12
E₄ = or( e₈ , e₉ , e₁₀ , e₁₁ , e₁₂ )

intermediate event E2 ist vollständig untersetzt: Kombination aus primary events

Bild 6.5.4-4: Fehlerbaum 3: Ursachen für E3

E3 ist ein Systemfehler: Ursache E6 ODER e7
E₃ = or( E₆ , e₇ )

E6 ist ein Systemfehler: Ursachen: E13 UND E14
E₆ = and( E₁₃ , E₁₄ )

e7 ist ein common-cause Fehler: eine gemeinsame Ursache führt zum Ausfall beider MTAs gleichzeitig (z.B. Umgebungsbedingungen: Klimaanlage fällt aus; Hersteller: systematischer Fehler in allen Geräten des Herstellers; automatisches Upgrade-Verfahren: Fehler im Verfahren macht alle Systeme unbrauchbar, etc.)

Bild 6.5.4-5: Fehlerbaum 4: Ursachen für E13

Bild 6.5.4-6: Fehlerbaum 5: Ursachen für E14

Fehlerbäume 4 und 5 ähneln sich (nicht verwunderlich: beide Maschinen sind identisch)

E13/E14 sind Systemfehler
E₁₃ = or( E₁₅ , e₁₆ )
E₁₄ = or( E₁₇ , e₁₈ )

E15/E17 sind Komponentenfehler
E₁₅ = or( e₁₉ , e₂₀ , e₂₁ , e₂₂ , e₂₃ )
E₁₇ = or( e₂₄ , e₂₅ , e₂₆ , e₂₇ , e₂₈ )

Modell ist vollständig, alle Blattknoten sind primary events

Ermitteln der minimalen Schnittmengen

top event E₁ auf primary events zurückführen

in logischem Ausdruck intermediate events E_i ersetzen bis nur noch primary events e_i vorkommen

E₁ = or( e₅ , e₇ , e₈ , e₉ , e₁₀ , e₁₁ , e₁₂ ,

and( or( e₁₆ , e₁₉ , e₂₀ , e₂₁ , e₂₂ , e₂₃) ,

or( e₁₈ , e₂₄ , e₂₅ , e₂₆ , e₂₇ , e₂₈ ) ) )

logischen Ausdruck umformen (Achtung: boolsche Algebra ;-)

Hinweis: e_ae_b = and ( e_a , e_b)

E₁ = or( e₅ , e₇ , e₈ , e₉ , e₁₀ , e₁₁ , e₁₂ ,

e₁₆e₁₈ , e₁₆e₂₄ , e₁₆e₂₅ , e₁₆e₂₆ , e₁₆e₂₇ , e₁₆e₂₈ ,

e₁₉e₁₈ , e₁₉e₂₄ , e₁₉e₂₅ , e₁₉e₂₆ , e₁₉e₂₇ , e₁₉e₂₈ ,

e₂₀e₁₈ , e₂₀e₂₄ , e₂₀e₂₅ , e₂₀e₂₆ , e₂₀e₂₇ , e₂₀e₂₈ ,

e₂₁e₁₈ , e₂₁e₂₄ , e₂₁e₂₅ , e₂₁e₂₆ , e₂₁e₂₇ , e₂₁e₂₈ ,

e₂₂e₁₈ , e₂₂e₂₄ , e₂₂e₂₅ , e₂₂e₂₆ , e₂₂e₂₇ , e₂₂e₂₈ ,

e₂₃e₁₈ , e₂₃e₂₄ , e₂₃e₂₅ , e₂₃e₂₆ , e₂₃e₂₇ , e₂₃e₂₈ )

dieser Ausdruck enthält die Schnittmengen des Modells

es sind nicht alle Schnittmengen: einige der Ereignisse sind keine basic events
es ist nicht die Menge der minimalen Schnittmengen

Menge der minimal Schnittmengen bestimmen durch Entfernen aller Schnittmengen, die Schnittmengen enthalten

Annahme: eine gemeinsame Stromquelle (USV) für alle Geräte: e₁₁, e₂₂ und e₂₇ sind identisch

E₁ = or( e₅ , e₇ , e₈ , e₉ , e₁₀ , e₁₁ , e₁₂ ,

e₁₆e₁₈ , e₁₆e₂₄ , e₁₆e₂₅ , e₁₆e₂₆ , e₁₆e₂₈ ,

e₁₉e₁₈ , e₁₉e₂₄ , e₁₉e₂₅ , e₁₉e₂₆ , e₁₉e₂₈ ,

e₂₀e₁₈ , e₂₀e₂₄ , e₂₀e₂₅ , e₂₀e₂₆ , e₂₀e₂₈ ,

e₂₁e₁₈ , e₂₁e₂₄ , e₂₁e₂₅ , e₂₁e₂₆ , e₂₁e₂₈ ,

e₂₃e₁₈ , e₂₃e₂₄ , e₂₃e₂₅ , e₂₃e₂₆ , e₂₃e₂₈ )

Menge der minimale Schnittmengen

Qualitative Auswertung

sieben Single Point Of Failure (SPOF) und 25 Zweier-Kombinationen von Ereignissen führen zum top event

verschiedene Ursachen (Hardware, Software, Konfiguration)

teilweise durch organisatorische Maßnahmen lösbar
- die Wartung an beiden Maschinen sollte nicht gleichzeitig stattfinden
- Konfigurationsänderungen zuerst an smtp1, wenn dort ok, dann an smtp2 übernehmen

kritische Hardware: Router
- fünf SPOF beziehen sich direkt auf den Router

ein SPOF bezieht sich auf die Stromversorgung

ein SPOF ist ein common-cause Fehler der MTAs
- ggf. weiter untersuchen (undeveloped event)

Quantitative Auswertung

Fehlerraten ermitteln
- Mean Time Between Failure (MTBF)
  - Angaben der Herstellers
  - ermittelt unter einer Reihe von Annahmen (z.B. "Lebenszeit") und unter genau spezifizierten Betriebsbedingungen (Umgebungstemperatur, etc.)
  - Quotient aus akkumulierter Laufzeit einer Gruppe von Geräten innerhalb eines definierten Zeitraums und Anzahl der Fehler in diesem Zeitraum
  - MTBF ist unabhängig von der Nutzungsintensität
  - besser: selbst ermitteln (installations-spezifisch, Umgebungsbedingungen, Lastverhalten, ...)
- Methoden der Wahrscheinlichkeitsrechnung (Wahrscheinlichkeitsverteilung)

Berechnen der Verfügbarkeit einzelner Komponenten
- ausgehend von Fehlerraten und Abschätzungen (durchschnittliche Dauer von Software-Upgrades, MTTR, etc.)
- Ausfallzeit pro Komponente (K) und Jahr (in Minuten/Jahr)
  
  Ausfallzeit_K [min/a] = Anzahl_events_K [events/a]
  
  * Dauer_pro_event_K [min/event]
- Verfügbarkeitsbedarf pro Komponenten und Jahr (in Minuten/pro Jahr)
  
  Bedarf_K [min/a] = Bedarf_K [min/h] * Bedarf_K [h/d] * Bedarf_K [d/a]
- Ausfallwahrscheinlichkeit der Komponente
  
  P_{Ausfall_von_K} = Ausfallzeit_K [min/a] / Bedarf_K [min/a]
- Verfügbarkeit der Komponente
  
  Verfügbarkeit_K = 1 - P_{Ausfall_von_K}

Berechnen der Verfügbarkeit des Gesamtsystems

Berechnen der Ausfallwahrscheinlichkeit aller Komponenten

ggf. Vereinfachen des Modells (Wahrscheinlichkeit einiger Ereignisse mit Null annehmen)

Kombination der Ausfallwahrscheinlichkeiten entsprechend

den Verknüpfungen des Modells

Verfahren aus der Mengentheorie, Boolschen Algebra und Wahrscheinlichkeitsrechnung

Beispiel: ODER-Verknüpfung Q = or( A , B )

P(Q) = P(A) + P(B) - P(A) * P(B|A)

= P(A) + P(B) - P(B) * P(A|B)

wobei P(B|A) die bedingte Wahrscheinlichkeit für das Eintreten von B ist, unter der Voraussetzung, dass A bereits eingetreten ist

Beispiel: UND-Verknüpfung Q = and ( A , B )

P(Q) = P(A) * P(B|A)

= P(B) * P(A|B)

wobei P(B|A) die bedingte Wahrscheinlichkeit für das Eintreten von B ist, unter der Voraussetzung, dass A bereits eingetreten ist

Besonderheiten ergeben sich jeweils aus dem Verhältnis der betrachteten Ereignisse (Abhängigkeiten, gegenseitiger Ausschluß, etc.)

Importance Ranking
- Verfahren zur Vergleich der Bedeutung/Wichtigkeit einzelner Ereignisse
- Ermitteln: "Welches Ereignis (Risiko) hat den größten Einfluß auf die Zuverlässigkeit des Gesamtsystems?"
- Birnbaum: Welchen Einfluß hat die Änderung der Zuverlässigkeit einer Komponente auf das Gesamtrisiko?
- Fussel-Vesely: Welche Komponente trägt in welchem Maße zum Gesamtrisiko bei?
- risk achievement worth (RAW): Wie kann man am effektivsten der Erhöhung des Risikos entgegenwirken?
- risk reduction worth (RRW): Wie kann man am effektivsten das Risiko reduzieren?

Frage 6.5.4.1:
Was bedeutet die Angabe von 500000 Stunden MTBF für ein Gerät (z.B. Harddisk)?
Verändert sich die MTBF, wenn man zwei derartige Geräte unter identischen Bedingungen einsetzt? Wenn ja, wie?

Vertiefung:

http://www.usenix.org/events/sec01/moore.html

backscatter analysis: Quantifizieren von Daten zu Denial-Of-Service Angriffen im Internet

iSixSigma: Measurement System Analysis (MSA) and Gage R&R
[http://www.isixsigma.com/st/msa/]

Hardwaregroup: FAQ - MTBF
[http://www.hardwaregroup.com/faq/gen_mtbf.htm]