In der Functional Hazard Assessment (FHA) wird der Entwurf auf der obersten Systemebene aus einer funktionalen Perspektive analysiert [SAE-ARP 4754/4761, 1996]. Das Ziel dieser Analysetechnik ist die Identifizierung derjenigen Funktionen des Systems, die zu Gefahren beitragen können, weshalb ihnen entsprechende Kritikalitätsstufen zugewiesen werden. Die FHA wurde in der Flugzeugindustrie entwickelt, um die Verbindung zwischen den Bereichen der Hardware- und der Softwareentwicklung herzustellen, da Systemfunktionen im Flugzeugbereich häufig definiert werden, ohne bereits bestimmte Implementierungen vorzusehen. Die FHA erfordert domänenspezifisches Wissen, um sinnvolle Ergebnisse zu erhalten. Die Ausgabe der FHA ist eine Menge von Tabellen, die für jede Systemfunktion, für jede Fehlerbedingung und für jede Entwicklungsphase eine Beschreibung der jeweiligen Auswirkungen, empfohlene Gegenmaßnahmen und häufig auch die notwendige Analysemethode enthalten, die durchgeführt werden muss, damit das System von den Aufsichtsbehörden akzeptiert wird.
Tabelle 1: Beispiel einer FHA-Tabelle
In obiger Tabelle 1 ist als Beispiel die Ergebnistabelle einer Standard-FHA dargestellt, wie sie im Aerospace Recommended Practice Standard [SAE-ARP 4761, 1996] vorgesehen ist. In der ersten Spalte sind die Systemfunktionen aufgeführt, die ausgewertet werden müssen (z.B. Abbremsen des Flugzeugs am Boden). Für diese Funktion enthält die zweite Spalte Fehlerbedingungen (z.B. Verlust der Abbremsfähigkeit, teilweiser Verlust der Abbremsfähigkeit), die auf jede Systemfunktion angewandt werden können. Im Beispiel hat jede der beiden Fehlerbedingungen vier Unterklassen (beschriftet mit a, b, c und d). Gleiche Fehlerbedingungen, also die Unterklassen a und c (oder b und d) haben unterschiedliche Auswirkungen auf das Flugzeug, je nachdem in welchen Betriebszuständen sie auftreten, z.B. beim Rangieren oder beim Landen des Flugzeugs. Der entsprechende Betriebszustand ist in der dritten Spalte aufgeführt. Während der Landephase wird die Fehlerbedingung 1.a. beispielsweise als katastrophal klassifiziert, während die gleiche Fehlerbedingung beim Rangieren nur als bedeutend eingestuft wird. Die Klassifizierung der Fehlerbedingungen wird in der fünften Spalte angegeben. Erforderliche Gegenmaßnahmen zur Eingrenzung der Auswirkungen sind in der sechsten Spalte beschrieben. Analysen, die durchgeführt werden sollten, um nachzuweisen, dass das System die Sicherheitsanforderungen erfüllt, sind in der siebten und letzten Spalte enthalten.
Neben dieser Form der FHA existieren zahlreiche weitere Vorschläge zur Erzielung der gleichen Ergebnisse. Eine dieser Methoden, die Funktionale Fehleranalyse (Functional Failure Analysis, FFA), wird in [Papadopoulos und McDermid, 1999a] empfohlen und berücksichtigt für jede Systemfunktion drei Arten von Fehlfunktionen:
- Die Funktion steht nicht zur Verfügung, wenn sie benötigt wird.
- Die Funktion steht zur Verfügung, obwohl sie nicht benötigt wird.
- Es liegt eine Funktionsstörung vor.
Die FFA-Tabelle unterscheidet sich leicht von der obigen Beispiel-Tabelle, verfolgt jedoch das gleiche Ziel.
Das Ziel der FHA ist, bereits in den frühen Phasen des Entwurfsprozesses eine qualitative Analyse durchzuführen, um zu erkennen, welche Systemfunktionen zu Gefahren beitragen können. Es handelt sich daher um eine deduktive Methode, deren Ergebnis tabellarisch ist. |
Glossar 
Forschungsprojekte 
Anbieterverzeichnis 
Datenbanksuche 
Highlights 
Eintrag kommentieren
