Risikoanalyse: Was es zu beachten gibt (13 wichtige Tipps)

In dieser Blogreihe werden wir Ihnen technische Risikoanalysen näherbringen.

Von den folgenden Punkten profitieren bereits unsere Kunden und bald auch Sie:

• Systematische Identifikation und Reduktion von Risiken für den Benutzer
• Reduktion von Haftungsrisiken
• Minderung von Reparatur- und Serviceaufwänden
• Vermeidung von Reputationsschäden

In diesem Blogbeitrag werden wir Ihnen nützliche Tipps zum Verständnis und zur (besseren) Durchführung und Nachverfolgung liefern.

Lassen Sie uns in den kommenden Wochen mit den folgenden Tipps durchstarten!

# Tipp 1: So unterscheiden Sie qualitativ, quantitativ und semi-quantitativ 2

# Tipp 2: Die richtige Risikoanalyse im richtigen Bereich verwenden 2

# Tipp 3: Die richtige Betrachtungsgrundlage wählen 3

# Tipp 4: Die FMEA und ihre Prioritätszahl verstehen 3

# Tipp 5: HAZOP richtig anwenden 4

# Tipp 6: Wie man an eine HAZOP richtig ran geht 5

# Tipp 7: Was Sie auf jeden Fall brauchen um eine HAZOP durchzuführen 5

# Tipp 8: Was Sie für eine FTA brauchen 6

# Tipp 9: Den Fehlerbaum (Fault Tree) schnell verstehen 7

# Tipp 10: Minimal Cut Sets richtig verwenden 7

# Tipp 11: Dann sollten Sie eine DFA für Software durchführen 8

# Tipp 12: Schutzmaßnahmen richtig umsetzen und verfolgen 9

# Tipp 1: So unterscheiden Sie qualitativ, quantitativ und semi-quantitativ

Risikoanalysen lassen sich im Wesentlichen in diese drei Gruppen einordnen. Doch was bedeuten sie?

• Qualitativ: die Bewertung des Risikos beruht auf der Bewertung durch Schlagwörter wie „niedrig“, „mittel“ und „hoch“. Dadurch ist die Bewertung sehr subjektiv und es ist unbedingt erforderlich ein interdisziplinäres Team aus allen Arbeitsbereichen in die Analyse einzubinden.
• Quantitativ: die Bewertung des Risikos beruht auf technischen Bewertungen wie Ausfallwahrscheinlichkeiten, die durch Langzeitversuche oder Erfahrungswerten wie Rückläufer beruhen. Diese Art von Risikoanalysen ist objektiv.
• Semi-quantitativ: die Bewertung erfolgt anhand einer Bewertung, bspw. zwischen 1 und 10, basiert aber nicht auf Risiken die einen technischen Hintergrund haben. Die Bewertung bleibt also subjektiv wie bei den qualitativen Risikoanalysen

# Tipp 2: Die richtige Risikoanalyse im richtigen Bereich verwenden

FTA, HAZOP, DFA, FMEA… es gibt viele Risikoanalyse und die aufgeführten sind nur einige der gängigsten. Wo und wie verwende ich also die richtige Risikoanalyse?

Die Verwendung wird schon durch die jeweilige Vorgehensweise und den Fokus der Risikoanalyse vorgegeben. So ist z.B. eine HAZOP nicht geeignet für die Beurteilung eines technischen Bauteils, eine FMEA aber schon.

Eine grobe Einteilung ist unserer Meinung nach wohl die Folgende:

• Maschinenbau: FMEA, FTA
• Chemieanlagen: HAZOP
• Softwareentwicklung: DFA nach ISO26262

# Tipp 3: Die richtige Betrachtungsgrundlage wählen

Richtige Risikoanalyse aber falsche Betrachtungsgrundlage?

Jeder Risikoanalysentyp benötigt seine eigene Betrachtungsgrundlage. Ihr Team, mit dem Sie die Risikoanalyse durchführen muss also bestimmte Dokumente liefern und erhalten bevor es los geht. Andernfalls sind alle Beteiligten falsch vorbereitet und Sie verlieren Geld und Zeit.

Es gibt doch nichts nervenaufreibenderes als wenn man dann endlich alle Personen an einen Tisch bekommen hat und dann fehlt etwas oder jemand ist nicht im Bilde was eigentlich im Folgenden passieren soll.

Hier also grob die Grundlagen auf denen die jeweiligen Risikoanalysen beruhen:

• DFA: Softwarearchitektur, Safety Plan und Requirements
• FTA, FMEA: Baugruppen, Komponenten
• HAZOP: R&I und Prozesse

# Tipp 4: Die FMEA und ihre Prioritätszahl verstehen

Die FMEA setzt die Verwendung der Risikoprioritätszahl (RPZ) voraus. Diese besteht aus der Multiplikation von Bewertung, Auftretenswahrscheinlichkeit und Entdeckungswahrscheinlichkeit mit einer Zahl von 1-10. Zieht man dieses Verfahren konsequent durch merkt man schnell: Die RPZ lässt nicht mehr erkennen welches Risiko tatsächlich vorliegt, bzw. wie dieses zu bewerten ist.

Dieses Problem wurde durch das FMEA-Handbuch von AIAG & VDA durch ein weiteres Bewertungskriterium, der Aufgabenpriorität (AP), gelöst. Nach dieser Vorgehensweise werden die drei Bewertungskriterien in Kombination mit „niedrig“, „mittel“ und „hoch“ bewertet.

# Tipp 5: HAZOP richtig anwenden

Dafür muss zunächst erklärt werden was eine HAZOP eigentlich macht. Durch die gezielte Analyse von Prozessen werden Abweichungen vom Sollzustand analysiert. Um eben diese Abweichung zu beschreiben, benötigt man die Leitwort Parameter Funktion. Aus diesen können dann Ursachen und Auswirkungen herausgearbeitet, sowie Schutzmaßnahmen festgelegt werden.

Bevor Sie mit der Durchführung einer HAZOP beginnen, sollten Sie also als Grundlage zunächst die Leitwort Parameter Kombinationen herausarbeiten um dann gezielt und schnell die Sollfunktionen betrachten zu können.

# Tipp 6: Wie man an eine HAZOP richtig ran geht

Sie haben die Entscheidung getroffen: es soll eine HAZOP durchgeführt werden. Doch wie soll man die gliedern?

Wichtig ist, dass Sie sich den vorliegenden Prozess, die Anlage oder was immer Sie betrachten möchten, so gut wie möglich gliedern. Dies erfolgt im Falle der HAZOP mittels Teilsystemen und Sollfunktionen.

Konkret heißt dies: Sie teilen ihren Betrachtungsgegenstand möglichst sinnvoll auf, schauen sich an wo einzelne Funktionen enden und gliedern so, dass sie Teilsysteme logisch und vollständig betrachten können. Dies kann zum Beispiel ein Bearbeitungsschritt sein, indem eine thermische Bearbeitung stattfindet oder etwas separiert werden soll. Zu diesem Teilsystem formulieren Sie dann einen Satz der konkret vermittelt was getan werden soll. Das ist die Sollfunktion.

# Tipp 7: Was Sie auf jeden Fall brauchen um eine HAZOP durchzuführen

Wie beschrieben wird eine Sollfunktion und die Beschreibung der Teilsysteme benötigt.

Dafür setzt man sich am besten mit allen relevanten Steakholdern der Produkt- bzw. Anlagenentwicklung zusammen und analysiert die aktuellen Vorgaben.

Bezogen auf chemische Anlagen sollten hier vor allem die Rohrleitungs- und Instrumentenfließschemata (kurz R&Is) herangezogen werden. Eine Visualisierung hilft vielen Menschen sich besser in die Thematik hinein denken zu können. So können auch die Teilsysteme leichter voneinander abgegrenzt werden.

# Tipp 8: Was Sie für eine FTA brauchen

Es wird von Ihnen z. B. durch die ISO26262:2018 gefordert eine FTA durchzuführen. Dies kann der Fall sein, wenn das Safety Goal einen ASIL C aufweist.

So weit so gut. Doch was bedeutet das für Sie? Was brauchen Sie, um anfangen zu können?

Die FTA dient der Identifikation möglicher Fehlerzustände und ihrer logischen Struktur einen Fehler zu verursachen.

Da die FTA eine deduktive Methode ist benötigen wir dafür einen Ausgangspunkt. Dieser wird bei dieser Risikoanalyse Top Event genannt. Das kann nach ISO 26262 z.B. eine Abweichung vom Safety Goal sein. Nehmen wir "Der Motor wird ungewollt aktiviert".

Die Ermittlung der Wahrscheinlichkeit eines unerwünschten Ereignisses erfolgt mittels Boolescher Algebra.

Da eine FTA jedoch schnell kompliziert wird würde ich Ihnen nicht empfehlen die Berechnung per Hand durchzuführen. Dafür nutzt man am besten ein auf dem Markt verfügbares Tool.

# Tipp 9: Den Fehlerbaum (Fault Tree) schnell verstehen

Wer schon einmal Literatur oder Normung zur FTA gelesen hat wird nahezu erschlagen von den möglichen Sympolen, die im Fehlerbaum verwendet werden können. Das kann schon abschreckend wirken.

Wie bei so vielen Dingen werden am Ende des Tages aber doch immer wieder fast die selben Symbole verwendet.

Diese sind unserer Meinung nach die Folgenden:

• Oder-Gatter: Eingangsereignisse werden verordert
• Und-Gatter: Eingangsereignisse werden verundet
• Nicht-Gatter: das Eingangsereignis wird verneint
• Transfergatter: kann z.B. verwendet werden wenn der Fehlerbaum schlicht weg zu groß geraten ist und man einen Verweis auf einen neuen Fehlerbaum einfügen möchte
• Basisereignis: das Ereignis lässt sich nicht weiter aufdröseln oder dies ist nicht relevant
• Nicht untersuchtes Ereignis: es hat entweder noch keine Analyse stattgefunden oder aber diese steht noch aus

# Tipp 10: Minimal Cut Sets richtig verwenden

"Was sagen diese Minimal Cut Sets aus und was soll ich damit anfangen?"

Zunächst einmal zur ersten Frage: Was sind Minimal Cut Sets überhaupt? Minimal Cut Sets sind zusammenhängende Basisereignisse, die wenn sie gleichzeitig eintreten den unerwünschten Top Event auslösen. Somit sind sie essentiell zur Bestimmung der Zuverlässigkeit des zu betrachtenden Systems.

Die Minimal Cut Sets können in verschiedene Ordnungen gesetzt werden und geben so Aussage über die Art des Fehlers:

1. Ordnung: Single Point Faults (z. B. ein Basisereignis das in einem Oder-Gatter zum Ausfall führt)
2. Ordnung: Dual Point Faults (z. B. Kombination von zwei Basisereignissen im Und-Gatter)

Wie viele Ordnungen man betrachten will liegt an den Anforderungen, die man sich selbst setzt oder durch z. B. Normungen verlangt wird.

# Tipp 11: Dann sollten Sie eine DFA für Software durchführen

Auch wenn eine Software nach Maschinenrichtlinie keine Sicherheitsfunktion darstellt, wird es zunehmen auch außerhalb der Automobilindustrie wichtig diese auf ihre Funktion und Sicherheit zu prüfen. Es schadet also nicht sich von der ISO 26262:2018 etwas abzuschauen. Man kann sich die Frage stellen, wann die DFA für Software durchgeführt werden soll.

Laut ISO 26262:2018 ist dies ist der Fall, wenn eine Abhängigkeit zwischen Software und Hardware und deren gemeinsamer Fehler besteht. So wird der Sicherheitsmechanismus, der auf die Hardware bezogen ist auch in die Software implementiert. Vor allem wenn mit Microcontrollern gearbeitet wird muss diese Abhängigkeit bedacht und analysiert werden.

# Tipp 12: Schutzmaßnahmen richtig umsetzen und verfolgen

"Wie soll ich da bitte die Übersicht behalten?"

"Das ist nicht meine Aufgabe das auch noch mit zu überwachen."

"Was ist, wenn ich etwas vergesse, dann bin ich schuld?"

Das Ergebnis einer Risikoanalyse sind viele Schutzmaßnahmen, die oft noch nicht umgesetzt worden sind. Sie müssen also dafür sorgen, dass dies lückenlos erfolgt oder ggf. angepasst werden kann.

Dafür ist es immer sinnvoll eine Maßnahmenliste zu verfassen (was wir im Übrigen auch in unseren Konformitätsbewertungsverfahren immer mit erstellen).

Diese kann man dann entweder via Word, Excel o.ä. Dokumentformate pflegen oder ein Ticketmanagementtool verwenden. Ein Tool bietet den großen Vorteil, dass Personen und Termine festgelegt werden können, über die dann z.B. per Mail erinnert werden.

Stellen Sie sich also die Frage:

• Was passt zu meinen Unternehmensstrategien?
• Wenn muss ich einbinden, damit die neue Vorgehensweise akzeptiert und gelebt wird?
• Möchte ich dafür vielleicht mehr Zeit investieren um besser und nachhaltiger dokumentieren zu können?