SlideShare ist ein Scribd-Unternehmen logo
Seminar

Fortgeschrittene Themen im Software Engineering


    Fehlerbaumanalyse für
       Energiesysteme
               Eugen Petrosean

                   SS 2012




                   Betreuer:

             Jan-Philipp Steghöfer



          Augsburg, den 19. Juni 2012
Inhaltsverzeichnis



Inhaltsverzeichnis
1 Einleitung........................................................................................3

2 Fehlerbaumanalyse.........................................................................3
      2.1 Allgemeiner Ablauf einer Zuverlässigkeitsanalyse ............................................3
      2.2 Verfahrensablauf zur Durchführung einer Fehlerbaumanalyse........................5
      2.3 Zielsetzung für die Durchführung einer Fehlerbaumanalyse............................5
      2.4 Identifizieren des unerwünschten TOP-Ereignisses..........................................6
      2.5 Systemdefinition................................................................................................6
      2.6 Fehlerbaumkonstruktion...................................................................................7
      2.7 Qualitative Fehlerbaumauswertung...................................................................9
      2.8 Probabilistische Daten für elementare Ereignisse ..........................................10
      2.9 Quantitative Fehlerbaumauswertung..............................................................10

3 Besonderheiten von Energiesystemen...........................................13
      3.1 Abgrenzung der Begriffe Zuverlässigkeit, Angemessenheit und Sicherheit ....13
      3.2 Aufbau elektrischer Energiesysteme................................................................13
      3.3 Beispielhafter Ansatz zur Durchführung der Zuverlässigkeitsanalyse für
      Energiesysteme.......................................................................................................15

4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme 17
      4.1 Beschreibung der Methode...............................................................................17
      4.2 Darstellung der Topologie eines Energiesystems............................................19
      4.3 Modell der Energieflusswege ..........................................................................20
      4.4 Fehlerbaumkonstruktion.................................................................................22
      4.5 Fehlerbaumanalyse – Qualitative und Quantitative Analyse..........................23

5 Fazit..............................................................................................25

Literatur..........................................................................................26
1 Einleitung


1 Einleitung
Die Hauptaufgabe eines Energiesystems besteht darin, die an das System angesch-
lossenen Verbraucher möglichst kostengünstig, effizient und zuverlässig mit Energie zu
versorgen. Heutzutage beobachtet man allerdings neue Tendenzen im Bereich der
Energieversorgung, die die genannten verbraucherfreundlichen Kriterien weiterhin
bzw. noch stärker berücksichtigen müssen.
Zum einen gewinnen erneuerbare Energiequellen wie Windkraftanlagen und
Photovoltaiksysteme immer mehr an Bedeutung, so dass eine dadurch entstehende
Deregulierung im Hinblick auf Energiegewinnung einen erheblichen Einfluss auf die
Funktionsweise und Zuverlässigkeit der Energiesysteme mit den zugehörigen
Energieerzeugungs-, Übertragungs-, und Verteilernetzen hat.
Zum anderen zwingt der zunehmende Wettbewerb auf dem Energiemarkt, dass
Stromanbieter die Qualität und Effektivität ihrer Dienstleistungen ständig verbessern
müssen. Die aufzubringenden Kosten ihrerseits (z.B. für Wartungsarbeiten) sowie die
von Verbrauchern zu tragenden Kosten sollen möglichst gering gehalten werden.
Dagegen die Zuverlässigkeit und Betriebssicherheit der Energiesysteme müssen
aufrechterhalten und weiterhin verbessert werden.
Eine der etabliertesten Methoden zur Bewertung und Verbesserung der Zuverlässigkeit
eines technischen Systems, ist die Fehlerbaumanalyse, deren Anwendung in dieser
Arbeit in Bezug auf Energiesysteme genauer untersucht wird.


2 Fehlerbaumanalyse
Die Fehlerbaumanalyse [Cep11] ist eine sehr wichtige Methode zur Bewertung und
Verbesserung der Zuverlässigkeit (Reliability) eines technischen Systems sowie dessen
Sicherheit (Safety). Das Verfahren kommt in unterschiedlichen Bereichen zur
Anwendung, wie z.B. in der Atomindustrie, Luft- und Raumfahrt, chemische Industrie,
Elektroindustrie – also in solchen sicherheitskritischen Bereichen, in denen ein
möglicher Systemausfall zu fatalen Folgen führen kann.

Die Fehlerbaumanalyse ist ein analytischer Ansatz, bei dem zunächst ein
unerwünschter Zustand des Systems spezifiziert wird, der dann bei der eigentlichen
Systemanalyse     (durch   das   Einbeziehen   von    umgebungsrelevanten      und
einsatzspezifischen Faktoren des Systems) verwendet wird, um alle möglichen
realistischen Systemfehler zu bestimmen, die das unerwünschte Ereignis auslösen
können. Diese formale Technik zur Analyse ausfallbehafteter technischer Systeme
umfasst eine Reihe von Verfahrensschritten, die in den nachfolgenden Abschnitten
genauer erläutert werden.


2.1 Allgemeiner Ablauf einer Zuverlässigkeitsanalyse
Eine Analyse im Hinblick auf die Zuverlässigkeit eines technischen Systems umfasst
hauptsächlich zwei grundlegende Arten von Möglichkeiten, wie Systemfehler analysiert
werden können (siehe Abbildung 2.1). Die erste Analysemöglichkeit basiert auf der
Durchführung einer qualitativen Analyse, bei der Systemfehler systematisch
identifiziert, klassifiziert und bewertet werden. In diesem Fall spricht man von einer
Fehlerartenanalyse. Die zweite Möglichkeit besteht darin, eine quantitative Analyse
durchzuführen, wobei sie sich auf die Ergebnisse der qualitativen Analyse stützt, bei
der durch das Einbeziehen von Fehlerwahrscheinlichkeiten die Häufigkeit (bzw.
Wahrscheinlichkeit des Eintretens) unerwünschter Systemzustände und Ereignisse


                                                                                    3
2 Fehlerbaumanalyse

bestimmt werden kann. In diesem Fall spricht man von einer Fehlerratenanalyse.




             Abbildung 2.1: Ablauf einer Zuverlässigkeitsanalyse [Abe08]


Die Fehlerbaumanalyse ist beispielsweise eine Analyse, die sowohl auf qualitativen als
auch auf quantitativen Analysemechanismen basiert, die in den Abschnitten 2.7 und
2.9 ausführlich erläutert werden.
Da bei der Zuverlässigkeitsanalyse einer der entscheidendsten Schritte darin besteht,
Systemfehler zu identifizieren und sie danach zu klassifizieren, ist es sinnvoll den
Begriff „Systemfehler“ bzw. „Fehler“ genauer zu definieren. Im Englischen gibt es
hauptsächlich zwei Begriffe „failure“ und „fault“, die im Allgemeinen mit Fehler
übersetzt werden. Eine Abgrenzung der Begriffe „failure“ und „fault“ kann nach
[Thu04] wie folgt vorgenommen werden:

   •   Ausfall (failure) – Ein Ausfall ist ein Nichtausführen oder die Unfähigkeit
       eines Systems bzw. einer Komponente, ihre Funktionalität für eine gegebene
       Zeitspanne unter gegebenen Einflüssen auszuführen.

   •   Störung (fault) – Eine Störung ist ein Ereignis, das ein System in einen
       unerwünschten Zustand versetzt.

Im Gegensatz zu einem Ausfall ist eine Störung damit ein übergeordnetes
Fehlerereignis. Im Allgemeinen führt jeder Ausfall zu einer Störung, jedoch liegt nicht
jeder Störung ein Ausfall zugrunde.




                                                                                     4
2 Fehlerbaumanalyse


2.2 Verfahrensablauf zur Durchführung einer Fehlerbaumanalyse
Da das Ziel der Fehlerbaumanalyse darin besteht, systematisch die Ursachen für einen
bestimmten Systemfehler zu bestimmen und Zuverlässigkeitskenngrößen (z.B.
Häufigkeit des Systemfehlers, Wahrscheinlichkeit für den Systemausfall) zu ermitteln,
wird in Abbildung 2.2 der Zusammenhang zwischen den einzelnen Schritten zur
Durchführung einer Fehlerbaumanalyse genauer dargestellt.




              Abbildung 2.2: Ablauf einer Fehlerbaumanalyse [Cepp11]

Die geklammerten Nummern in Abbildung 2.2 entsprechen den einzelnen Schritten,
die in den nachfolgenden Abschnitten näher erläutert werden.


2.3 Zielsetzung für die Durchführung einer Fehlerbaumanalyse
Im ersten Schritt der Fehlerbaumanalyse (siehe Abbildung 2.2 – 1) muss die
Zielsetzung der Analyse in Bezug auf unerwünschte Funktionsweise des Gesamtsystems
definiert werden. Die zu definierende Zielsetzung zur Durchführung der Fehler-
baumanalyse kann dabei einen oder mehrere Aspekte aus der folgenden Liste

                                                                                   5
2 Fehlerbaumanalyse

umfassen:
            •   Beurteilung der Ausfallwahrscheinlichkeit des Systems bzw. der
                Systemfunktion (oder Beurteilung der Zuverlässigkeit/Unzuverlässig-
                keit des Systems)

            •   Identifizieren der wichtigsten Komponenten des Systems in Bezug auf
                ihre Zuverlässigkeit

            •   Identifizieren der wichtigsten Komponenten des Systems in Bezug auf
                ihre Wartungspriorität

            •   Verbesserung der Dokumentation des Systems und Aufrechterhaltung
                der Kenntnisse über dessen Verhalten


2.4 Identifizieren des unerwünschten TOP-Ereignisses
Im zweiten Schritt der Fehlerbaumanalyse (siehe Abbildung 2.2 - 2) wird der zu
untersuchende Systemfehler, das sogennante TOP-Ereignis identifiziert. Da die
Fehlerbaumanalyse eine deduktive Top-Down-Methode ist, werden die Ursachen für
das Auftreten des TOP-Ereignisses mit Hilfe von logischen Verknüpfungen auf
einfachere Ereignisse (sogenannte elementare Ereignisse) zurückgeführt, die in jedem
einzelnen Fall das Versagen eines Bauteils bzw. einer Komponente des Gesamtsystems
darstellen.
Dabei kann das Versagen einer Komponente entweder als Ausfall (failure) oder als
Störung (fault) aufgefasst werden1. Kann beispielsweise ein Relais aufgrund
gebrochener Kontakte nicht geschlossen werden, wird dies als Ausfall des Relais
verstanden. Wenn aber das Relais nicht schliesst, weil das Steuersignal für den
Schliessvorgang nicht empfangen wurde, ist das kein Ausfall des Relais, sondern eine
Störung, da dadurch das Relais ebenfalls nicht funktionieren kann.
Allerdings ist der Fehlerbaum kein Modell zur Analyse von allen möglichen
Fehlerursachen für Komponenten- bzw. Subsystem-Versagen, sondern ein Modell zur
Analyse von solchen Ausfällen oder Störungen, die zum unerwünschten TOP-Ereignis
führen können.


2.5 Systemdefinition
Im dritten Schritt der Fehlerbaumanalyse (siehe Abbildung 2.2 – 3) müssen die
grundlegenden Randbedingungen festgelegt werden, die bei der Analyse unbedingt zu
berücksichtigen sind. Zu den festzulegenden Randbedingungen gehören solche Aspekte
wie:
          • Scope (1) – physikalische Randbedingungen, Anfangskonfiguration des
              Systems, unerlaubte Ereignisse

            •   Resolution (2) – Granularitätsstufe der elementaren Ereignisse

            •   Ground Rules (3) – formale Konventionen zur Erstellung eines
                Fehlerbaums

Die Scope-Randbedingungen des Fehlerbaums (1) geben an, welche Aspekte, die zur
Auslösung von Systemfehlern beitragen können, in die Analyse einbezogen bzw. nicht

1 Eine genaure Abgrenzung der Begriffe „failure“ und „fault“ ist im Abschnitt 2.1 zu finden.

                                                                                               6
2 Fehlerbaumanalyse

einbezogen werden. Zum einen sind das die physikalischen Randbedingungen, die die
Betriebsmittel, die Schnittstellen zu anderen Systemen sowie Hilfs- und Unterstüt-
zungssysteme umfassen. Zum anderen umfassen die Scope-Randbedingungen die
Anfangskonfiguration des Systems, also den Anfangszustand aller zugehörigen Kompo-
nenten und Unterstützungssysteme und beschreiben somit das System in seinem
normalen fehlerfreien Zustand. Durch unerlaubte Ereignisse hat man die Möglichkeit
festzulegen, welche Ereignisse in der Analyse nicht betrachtet werden sollen. Beispiels-
weise kann bei der Analyse eines Systems bestehend aus zwei Pumpen, die an einen
Tank angeschlossen sind, vorausgesetzt werden, dass die Stromzufuhr für diese
elektrischen Betankungspumpen immer vorhanden ist und somit die Notwendigkeit
entfällt, in der Analyse die Unterbrechung der Stromzufuhr zu betrachten.
Die analytische Auflösung des Fehlerbaums (2) beschreibt, bis zu welcher Granulari-
tätsstufe die elementaren Ereignisse aufgegliedert werden sollen. Wird beispielsweise
ein Dieselgenerator als eine einzige Komponente betrachtet, die bei der Analyse nicht
weiter aufgegliedert werden kann, dann beziehen sich die elementaren Ereignisse des
Fehlerbaums auf Störungen/Ausfälle des Dieselgenerators als Ganzes, wobei aus
beschriebener Sicht sich nicht so viele Fehlerursachen werden identifizieren lassen.
Eine weitere Möglichkeit der analytischen Auflösung besteht darin, dass beispielsweise
die Bauteile des Dieselgenerators als granulare Komponenten aufgefasst werden, so
dass die elementaren Ereignisse sich nicht mehr auf eine einzige Komponente, sondern
auf eine Vielzahl von Komponenten und deren Störungen/Ausfälle beziehen werden.
Zusammen mit der Art der analytischen Auflösung ist außerdem festzulegen, wie die
Grundregeln für die Fehlerbaumanalyse (3) sein könnten. Sie beschreiben in erster
Linie die Vorgehensweise, also nach welchen Regeln bzw. Kriterien die Aufstellung
eines Fehlerbaums erfolgen soll (siehe Kapitel 4)2 sowie formale Konventionen zur
Festlegung von Beschreibungen und Abkürzungen für einzelne Ereignisse.


2.6 Fehlerbaumkonstruktion
Die Konstruktion des Fehlerbaums (siehe Abbildung 2.2 – 4) ist ein weiterer Schritt in
der Fehlerbaumanalyse, bei dem der Fehlerbaum graphisch konstruiert wird, so dass er
ausgehend vom ausgewählten TOP-Ereignis unter Berücksichtigung der System-
defintion (siehe Abschnitt 2.5) Ebene für Ebene aufgestellt wird. Die Tabelle 2.1
veranschaulicht nur die wichtigsten bzw. gängigsten Elemente des Fehlerbaums. Über
weitere Symbole zur Fehlerbaumkonstruktion kann man im IEC Standard [IEC06]
nachlesen.


     Symbol               Name                             Bedeutung
                     Top/Zwischen-      Ein Ereignis, das aus der Interaktion mehrerer
                        ereignis        Ereignisse durch eine logische Verknüpfung re-
                                        sultiert, unter anderem das unerwünschte
                                        Eregnis (Top Event) und die Zwischenereig-
                                        nisse (Intermediate Events).

                      Elementares       Ein elementares Ereignis (Basic Event)
                        Ereignis        repräsentiert das Versagen einer Komponente.
                                        Es wird nicht weiter aufgegliedert und stellt

2 Im Kapitel 4 wird sehr genau auf eine aktuelle Methode zur Aufstellung eines Fehlerbaums
  eingegangen, die die Besonderheiten von Energiesystemen berücksichtigt, deren Spezifität
  sich im Aufbau des Fehlerbaums widerspiegeln lässt.

                                                                                        7
2 Fehlerbaumanalyse

                                     somit die feinste Auflösung des Fehlerbaums
                                     dar.

                       Oder-         Bei der Oder-Verknüpfung (Or Gate) tritt das
                    Verknüpfung      Ausgangsereignis ein, sobald mindestens ein
                                     Eingangseregnis eingetreten ist. Die Anzahl der
                                     Eingänge ist beliebig.

                       Und-          Der Ausgang der Und-Verknüpfung (And Gate)
                    Verknüpfung      ist genau dann wahr, wenn alle seine Eingänge
                                     wahr sind. Die Anzahl der Eingänge ist belie-
                                     big.


                      Tabelle 2.1: Symbole eines Fehlerbaums

Die Beschreibung, wie die Fehlerbaumkonstruktion Ebene für Ebene abläuft, wird in
Abbildung 2.3 verdeutlicht. Die eingekreisten Nummern entsprechen den einzelnen
Schritten, die im Folgenden erläutert werden.




   Abbildung 2.3: Vorgehensweise bei der Konstruktion eines Fehlerbaums [Sch04]

Die Vorgehensweise kann wie folgt beschrieben werden:

                                                                                   8
2 Fehlerbaumanalyse

   •   (1) Identifizieren des unerwünschten TOP-Ereignisses
   •   (2) Identifizieren der Verursacher der ersten Ebene
   •   (3) Verbinden der Verursacher mit dem TOP-Ereignis durch logische
       Verknüpfungen
   •   (4) Identifizieren der Verursacher der zweiten Ebene
   •   (5) Verbinden der Verursacher der zweiten Ebene mit dem TOP-Ereignis durch
       logische Verknüpfungen
   •   (6) Wiederholung/Fortsetzung

Anhand von Abbildung 2.4 wird beispielhaft gezeigt, wie die graphische Repräsentation
des dargestellten Fehlerbaums in Form von booleschen Ausdrücken nach ihrer
Aufstellung beschrieben werden kann. Dieser Ansatz bzw. diese Darstellungsform wird
eine sehr wichtige Rolle bei der qualitativen Auswertung des Fehlerbaums (siehe
Abschnitt 2.7) spielen.




  Abbildung 2.4: Beispielhafter Fehlerbaum für ein einfaches Beispielsystem [Cep11]

Die in Abbildung 2.4 dargestellten Ereignisse können durch folgende boolesche
Ausdrücke verdeutlicht werden:

                                G=GA∧GB                                        (2.1)
                           GA= A1∨ A2∨ A3∨A4                                   (2.2)
                           GB=B1∨B2∨B3∨B4                                      (2.3)


2.7 Qualitative Fehlerbaumauswertung
Ist die Fehlerbaumkonstruktion abgeschlossen, so kann mit der qualitativen
Auswertung (siehe Abbildung 2.2 – 5) begonnen werden. Der qualitativen Auswertung
des Fehlerbaums liegt ein Prozess zugrunde, bei dem Gruppen von elementaren
Ereignissen (Minimal Cut Sets) systematisch identifiziert werden, deren gemeinsames
Eintreten genügt, um das TOP-Ereignis auszulösen. Folgende Schritte sind zur Berech-
nung der minimalen Schnittmengen nötig:


                                                                                       9
2 Fehlerbaumanalyse

   •   Schritt 1 – Finde die boolschen Formeln für jede Zerlegung im Fehlerbaum

   •   Schritt 2 – Ersetze in der Formel des TOP-Ereignisses alle zerlegten Ereignisse
       durch ihre Formeln und forme in DNF3 um

   •   Schritt 3 – Ersetze das nächste zerlegte Ereignis und forme in DNF um

   •   Schritt 4 – Wiederhole den Schritt 3 für alle noch übrigen Ereignisse

   •   Schritt 5 – Bilde für jeden Konjunktionsterm eine minimale Schnittmenge, die
       sich aus den Literalen zusammensetzt, die in diesem Konjunktionsterm vor-
       kommen

Für den Fehlerbaum aus der Abbildung 2.4 erhält man, wie bereits beschrieben, die
entsprechende boolesche Darstellungsform, wenn man in die Gleichung (2.1) die
Gleichungen (2.2) und (2.3) einsetzt:

                G= A1∨A2∨A3∨ A4∧ B1∨B2∨B3∨B4                                (2.4)

Nach der Umformung in DNF mit Hilfe des Distributivgesetzes erhält man die
Gleichung (2.5):

         G= A1∧B1∨ A2∧B1∨ A3∧B1∨ A4∧ B1∨ A1∧B2
         ∨ A2∧ B2∨ A3∧B2∨ A4∧ B2∨ A1∧B3∨ A2∧B3
                                                                                (2.5)
         ∨ A3∧B3∨ A4∧ B3∨ A1∧B4 ∨ A2∧B4∨ A3∧B4
                            ∨ A4∧B4

Dieser Ausdruck besteht aus 16 minimalen Schnittmengen zweiter Ordnung:

                       {A1 , B1}, {A2 , B1}, , {A4 , B4}                       (2.6)

d.h. jede solche Schnittmenge enthält genau zwei elementare Ereignisse, die
gleichzeitig eintreten müssen, damit das TOP-Ereignis ausgelöst wird, das zum Ausfall
des Systems führt.
Besonders wichtig sind minimale Schnittmengen erster Ordnung, da diese nur ein
einzelnes elementares Ereignis enthalten, dessen Eintreten allein genügt, um das TOP-
Ereignis auszulösen. Solche Schnittmengen erster Ordnung werden auch als Single
Point Failure bezeichnet.


2.8 Probabilistische Daten für elementare Ereignisse
Damit man mit der quantitativen Analyse beginnen kann, muss die Bereitstellung der
probabilistischen Daten gewährleistet werden (siehe Abbildung 2.2 – 6), die
anschliessend den elementaren Ereignissen des Fehlerbaums zugeordnet werden. Die
Bereitstellung einer solchen probabilistischen Datenbank erfolgt in drei Schritten:

   •   Auswahl eines probabilistischen Modells (z.B. relative Häufigkeit, Binomial-
       verteilung, usw.)

3 Disjunktive Normalform

                                                                                   10
2 Fehlerbaumanalyse

   •   Vorbereitung probabilistischer Daten (z.B. Ausfallrate, mittlere Reparatur-
       dauer, mittlere Zeitspanne bis zum Ausfall, usw.)

   •   Verknüpfung des probabilistischen Modells mit den geeigneten Daten aus der
       Datenbank


2.9 Quantitative Fehlerbaumauswertung
Sobald probabilistische Daten auf alle elementaren Ereignisse des Fehlerbaums ange-
wendet wurden, kann die quantitative Analyse (siehe Abbildung 2.2 - 7) vorgenommen
werden. Dabei können anhand von probabilistischen Daten Ausfallwahrscheinlich-
keiten für einzelne elementare Ereignisse berechnet werden, also die Wahrschein-
lichkeiten dafür, dass sich einzelne Komponenten in einem fehlerhaften Zustand
befinden. Ausgehend von diesen Ausfallkenngrößen, kann eine Propagierung über die
die logischen Verknüpfungen zum TOP-Ereignis stattfinden.
Die zweite Möglichkeit der quantitativen Fehlerbaumauswertung besteht darin, die bei
der qualitativen Fehlerbaumanalyse berechneten Minimal Cut Sets auch in der quanti-
tativen Analyse zu verwenden. Das Ergebnis der quantitativen Fehlerbaumauswertung
stellt letzten Endes die Berechnung der Ausfallwahrscheinlichkeit für das TOP-Ereignis
dar, das gleichzeitig die Ausfallwahrscheinlichkeit des Gesamtsystems repräsentiert.

                                                 n                       n
                                  P TOP =∑ P MCS −∑ P MCS ∩MCS
                                                             i                       i       j
                                                i =1                 i j
                      n                                                                                           (2.7)
                   ∑         P MCS ∩MCS
                                   i       j
                                               ∩MCS k   −⋯−1
                                                                             n−1
                                                                                     P MCS ∩MCS ∩∩MCS
                                                                                         1       2       n
                   i  j k
                                                                     m
                                                  P MCS =∏ P B
                                                         i                   j
                                                                                                                  (2.8)
                                                                 j=1


wobei P B die Wahrscheinlichkeit des elementaren Ereignisses B j ist, das den
           j

Ausfall der zugehörigen Komponente beschreibt; B j sind voneinander unabhängige
Ereignisse; P MCS ist die Wahrscheinlichkeit der minimalen Schnittmenge i ; m
                          i

ist die Anzahl der elementaren Ereignisse in der minimalen Schnittmenge i ; n ist
die Anzahl der minimalen Schnittmengen.

Manchmal ist es ausreichend nur den ersten Summanden der Gleichung (2.7) zu
betrachten, vor allem, wenn man im Auge behält, dass die berechnete Ausfallwahr-
scheinlichkeit des Gesamtsystems auch durch so eine Approximation immer noch
akzeptabel bleibt. Für den in Abbildung 2.5 dargestellten Fehlerbaum wird die
approximierte Variante, also die Gleichung (2.9) verwendet.

                                                                 n
                                                 P TOP =∑ P MCS                  i
                                                                                                                  (2.9)
                                                             i=1


Neben der Berechnung von Ausfallwahrscheinlichkeiten ermöglicht die quantitative
Analyse auch eine Abschätzung der Wichtigkeit von einzelnen Elementen. Dazu
existieren unterschiedliche Verfahren, unter anderem Risk Achievement Worth und
Risk Reduction Worth, die im Folgenden erklärt werden.



                                                                                                                      11
2 Fehlerbaumanalyse

Risk Achievement Worth

Risk Achievement Worth (RAW) für ein elementares Ereignis k beschreibt die Erhöh-
ung der Ausfallwahrscheinlichkeit für das TOP-Ereignis unter der Annahme, dass der
durch das elementare Ereignis k modellierte Ausfall einer Komponente mit 100%-
Wahrscheinlichkeit stattfinden wird. Die Gleichung (2.10) verdeutlicht diesen
Sachverhalt:

                                               P TOP  P k =1
                                     RAW k =                                            (2.10)
                                                    P TOP

Durch diesen Ansatz lassen sich alle elementaren Ereignisse identifizieren, die
ihrerseits Komponenten modellieren, die sehr gut instand gehalten werden müssen,
um am effektivsten der Erhöhung des Risikos bzw. der Ausfallwahrscheinlichkeit des
Gesamtsystems entgegenzuwirken.


  TOP= A∨G1
  G1=B∧G2
  G2=C∨ D
  MCS TOP = A∨ B∧C ∨ B∧D
  P BASIC EVENTS : P A , P B , PC , P D
  P TOP =P AP B P C P B P D




      Abbildung 2.5: Beispielhafter Fehlerbaum zur Ermittlung von quantitativen
                         Zuverlässigkeitskenngrößen [Cep11]

Anhand von Gleichungen (2.11) und (2.12) , die sich auf das Beispiel in Abbildung 2.5
beziehen, wird die Gleichung (2.10) noch einmal verdeutlicht.

                                 P TOP  P A=1      1P B P C P B P D
                  RAW A =                          =                                    (2.11)
                              P A P B P C P B P D P AP B P C P B P D
                                 P TOP  P B=1        P A P C P D
                  RAW B =                          =                                    (2.12)
                              P A P B P C P B P D P AP B P C P B P D


Risk Reduction Worth

Risk Reduction Worth (RRW) für ein elementares Ereignis k beschreibt die Verringe-
rung der Ausfallwahrscheinlichkeit für das TOP-Ereignis unter der Annahme, dass der
durch das elementare Ereignis k modellierte Ausfall einer Komponente mit 100%-
Wahrscheinlichkeit nicht stattfinden wird. Die Gleichung (2.13) verdeutlicht diesen
Sachverhalt:


                                                                                            12
2 Fehlerbaumanalyse


                                            P TOP
                             RRW k =                                              (2.13)
                                       P TOP  P k =0

Mit Hilfe dieser Formel kann man alle elementaren Ereignisse identifizieren, die dazu
beitragen können, das Risiko bzw. die Ausfallwahrscheinlichkeit des Gesamtsystems
am effektivsten zu reduzieren.
Anhand von Gleichungen (2.14) und (2.15), die sich auf das Beispiel in Abbildung 2.5
beziehen, wird die Gleichung (2.13) noch einmal verdeutlicht.

                        P A P B P C P B P D P AP B P C P B P D
              RRW A =                        =                                    (2.14)
                           P TOP  P A=0        P B PC P B P D
                        P A P B P C P B P D P AP B P C P B P D
              RRW B =                        =                                    (2.15)
                           P TOP  P B =0            PA


3 Besonderheiten von Energiesystemen

3.1 Abgrenzung der Begriffe Zuverlässigkeit, Angemessenheit und
     Sicherheit
Der Begriff Zuverlässigkeit (System Reliability) kann im Zusammenhang mit
elektrischen Energiesystemen in zwei wesentliche Unterbegriffe (siehe Abbildung 3.1)
unterteilt werden [Bös07].




    Abbildung 3.1: Zusammenhang zwischen Zuverlässigkeit, Angemessenheit und
                           Betriebssicherheit [Nig03]

Dabei wird unter Systemangemessenheit (System Adequacy) die grundsätzliche
Fähigkeit des Systems verstanden, ausreichend Energie in geforderter Versorgungs-
qualität bereitzustellen, wobei hier der Schwerpunkt auf die Bereitstellung
ausreichender Infrastrukturkapazitäten, d.h. auf angemessene Erzeugungs- und
Transportkapazitäten gelegt wird. Das bedeutet, dass die Analyse der System-
angemessenheit sich mit statischen Zuständen eines elektrischen Energiesystems
befasst. Systemsicherheit (System Security) bzw. Betriebssicherheit bezieht sich
dagegen auf die Fähigkeit des Systems, plötzlichen Störungen zu widerstehen. Die
Analyse der Betriebssicherheit wird somit als Analyse dynamischer Zustände in einem
elektrischen Energiesystem gesehen.




                                                                                      13
3 Besonderheiten von Energiesystemen

3.2 Aufbau elektrischer Energiesysteme
Elektrische Energiesysteme [Elm08] sind sehr komplexe Systeme, die aus einer
Vielzahl von Einrichtungen und Strukturen, Systemen und Teilsystemen, Komponen-
ten und Bauelementen bestehen, die ihrerseits ein komplexes Zusammenspiel
untereinander aufweisen. Generell unterscheidet man zwischen drei grundlegenden
Teilsystemen (siehe Abbildung 3.2), also zwischen dem Energieerzeugungs-,
Übertragungs-, und Verteilernetz.
Diese Teilsysteme sind so miteinander verbunden, dass die im Energieerzeugungsnetz
erzeugte Energie durch das Übertragungs-, und Verteilernetz zum Verbraucher
transportiert wird, und zwar unter Einhaltung der Qualität und Zuverlässigkeit in dem
Maße, in dem der Verbraucher dies beansprucht. Für diese Teilsysteme werden aber
unterschiedliche Zuverlässigkeitskenngrößen definiert:

    •   Energieerzeugungsnetz – Kenngrößen für die Beschreibung der Ange-
        messenheit des Netzes

    •   Übertragungsnetz – Kenngrößen für die Beschreibung der Angemessenheit
        des Netzes sowie für die Bewertung dessen Betriebssicherheit (z.B. Wahr-
        scheinlichkeit für den kompletten Zusammenbruch (Blackout) der Stromver-
        sorgung)

    •   Verteilernetz – Kenngrößen in Bezug auf Häufigkeit und Dauer der
        Unterbrechung der Stromversorgung. Da dieses Netz verbraucherorientiert ist,
        müssen Verbraucher (z.B. Haushaltskunden, gewerbliche und industrielle
        Abnehmer) ständig Zugang zu Energiequellen haben, so dass keine
        Unterbrechung der Stromversorgung stattfindet, unabhängig davon, ob sie zu
        dem Zeitpunkt tatsächlich Strom verbrauchen oder nicht

Der Aufbau jedes einzelnen Teilsystems und deren technische Merkmale (Transforma-
torenkapazität, Spannungsebenen, usw.) werden durch technisch-wirtschaftliche
Aspekte festgelegt. Der vorhandene Grad an Redundanz in dem jeweiligen Teilsystem
bestimmt den Grad an Zuverlässigkeit, mit der die Energie transportiert werden kann
und beeinflusst somit die Höhe des Strompreises. Aus Sicht der elektrischen
Energietechnik geht man aber von einem System aus, das aufgebaut wird, um die
Energielieferung nach verschiedenen physikalischen Gesetzen gewährleisten zu
können. Das System muss deshalb ständig in der Lage sein, das Stromnetz durch
Elektrizitäts-Lastausgleich in Bezug auf die Verbrauchernachfrage zu balancieren.
Zur Durchführung der Zuverlässigkeitsanalyse werden die funktionalen Bereiche, also
die Teilsysteme des Energiesystems zu hierarchischen Ebenen [Hon09, Ppa11] (siehe
Abbildung 3.2) zusammengefasst, so dass Zuverlässigkeitskenngrößen auf jeder
einzelnen Ebene der Hierarchie berechnet werden können. Die erste Ebene
(Hierarchical Level – I) umfasst die Zuverlässigkeitsanalyse, die nur auf das
Energieerzeugungsnetz zugeschnitten ist. Die zweite Ebene (Hierarchical Level – II)
umfasst die Zuverlässigkeitsanalyse, die sowohl für das Energieerzeugungs-, als auch
für das Übertragungsnetz durchgeführt wird, wobei die einbezogenen Netze als eine
Einheit betrachtet werden. Die Zuverlässigkeitsanalyse im Hinblick auf
Betriebssicherheit ist für diese Ebene deutlich komplexer als für die erste Ebene, denn
das Übertragungsnetz beinhaltet viele unterschiedliche Komponenten (wie z.B.
Leitungen, Schaltelemente, Transformatoren, Steuer- und Schutzeinrichtungen) und
erfordert eine entsprechende elektrische Simulation zur Bewertung der Zuverlässigkeit
des Netzes und ihrer Komponenten.



                                                                                    14
3 Besonderheiten von Energiesystemen




       Abbildung 3.2: Hierarchische Ebenen eines Energiesystems in Bezug auf
                          Zuverlässigkeitsanalyse [Hon09]

In der dritten Ebene (Hierarchical Level – III) bezieht sich die Zuverlässigkeitsanalyse
auf das gesamte System, also auf die drei funktionalen Bereiche. Obwohl die
Zuverlässigkeitsanalyse der dritten Ebene eine wichtige Voraussetzung für das
Funktionieren des Gesamtsystems darstellt, wird sie normalerweise wegen ihrer
Komplexität nicht für das Gesamtsystem durchgeführt.


3.3 Beispielhafter Ansatz zur Durchführung der
     Zuverlässigkeitsanalyse für Energiesysteme
Die Bewertung der Zuverlässigkeit eines Energiesystems ist ein wichtiger Prozess, um
seine Funktionsfähigkeit aufrechterhalten zu können. Die Abbildung 3.3 zeigt, warum
die Zuverlässigkeitsanalyse eine notwendige Maßnahme ist, um zu verhindern, dass ein
unbedeutender Ausfall das gesamte Energiesystem und die damit verbundene Energie-
versorgung lahmlegen kann.




   Abbildung 3.3: Schematische Darstellung der Folgen, die durch den Ausfall einer
                    Leitung verursacht werden können [Elm08]

Deshalb wird nach [Hon09] ein Ansatz vorgeschlagen, wie man in vier Schritten eine
Zuverlässigkeitsanalyse für ein Energiesystem durchführen kann (siehe Abbildung 3.4),

                                                                                     15
3 Besonderheiten von Energiesystemen

die dabei die typischen energiesystembezogenen Ausfälle/Störungen berücksichtigt.




        Abbildung 3.4: Ablauf einer fehlerbaumbasierten Zuverlässigkeitsanalyse für
                                 Energiesysteme [Hon09]

    •     Schritt 1 – Analyse von möglichen Ausfällen/Störungen

    •     Schritt 2 – Klassifizierung von identifizierten Problemen anhand von
          Ergebnissen aus Schritt 1. Dabei werden drei Zustände definiert: der
          Normalzustand des Systems, Zustand mit lokalen Störungen (Überlastung der
          Leitung, Niederspannung, Hochspannung) und Zustand mit Systemstörungen
          (Spannungszusammenbruch), wobei die letzten zwei Zustände die Funktions-
          fähigkeit des Energiesystems sehr stark beeinträchtigen können

    •     Schritt 3 – Durchführung der Fehlerbaumanalyse in Bezug auf lokale
          Störungen und Systemstörungen

    •     Schritt 4 – Bestimmung des Risk Reduction Worth (RRW) für sicherheits-

                                                                                      16
3 Besonderheiten von Energiesystemen

       kritische Elemente

Dieser Ansatz sieht vor, dass aufgrund von klassifizierten Fehlern ein einziger
Fehlerbaum konstruiert wird, der eine feste Struktur aufweist. Dabei werden zwei
Arten von Kriterien festgelegt (siehe Abbildung 3.5), die unaghängig voneinander das
TOP-Ereignis auslösen können.




  Abbildung 3.5: Fehlerbaum mit dem TOP-Ereignis in Form von (N-1)- oder (N-2)-
                                Kriterien [Hon09]

Das (N-1)-Kriterium beschreibt, dass eine Übertragungsleitung, ein Transformator
oder ein Generator sich im Zustand eines planmäßigen oder gezwungen Ausfalls
befindet (siehe Abbildung 3.6). Das (N-2)-Kriterium umfasst zwei Bedingungen: (i)
zwei Übertragungsleitungen befinden sich im Zustand eines planmäßigen oder
gezwungenen Ausfalls, oder (ii) der Generator mit der maximalen Kapazität befindet
sich zusammen mit einer Übertragungsleitung im Zustand eines planmäßigen oder
gezwungenen Ausfalls. Wird beispielsweise entweder das (N-1)-Ereignis oder das (N-
2)-Ereignis ausgelöst, dann muss der Normalbetrieb für das Energiesystem trotzdem
eingehalten werden.




            Abbildung 3.6: Fehlerbaum für das (N-1)-Kriterium [Hon09]

Aufgrund der Tatsache, dass für die Zuverlässigkeitsanalyse nur ein Fehlerbaum
konstruiert werden muss, kann eine quantitative Analyse für den erstellten Fehlerbaum
ohne Probleme durchgeführt werden. Im nächsten Kapitel (Kapitel 4) werden wir
dagegen ein weiteres Verfahren kennenlernen, bei dem mehrere Fehlerbäume
aufgestellt werden müssen, so dass eine quantitative Analyse in der Form, die wir sie
aus dem Abschnitt 2.9 kennen, nicht möglich ist und dementsprechend erweitert
werden muss.

                                                                                   17
4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme

4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für
   Energiesysteme

4.1 Beschreibung der Methode
Die Methode zur Durchführung der Zuverlässigkeitsanalyse, die in diesem Kapitel
ausführlich vorgestellt wird, basiert auf der Analyse des Energiesystems aus Sicht jedes
einzelnen Verbrauchers aus dem Verteilernetz des Systems [Vol08, Vol09, Cep11]. Auf
diese Art und Weise kann das gesamte Energiesystem einer Zuverlässigkeitsanalyse
unterzogen werden, die sich auf die dritte hierarchische Ebene bezieht (siehe Abschnitt
3.2) und somit die drei funktionalen Bereiche umfasst.
Das Modell zur Bestimmung der Unzuverlässigkeit eines bestimmten Verbrauchers des
Systems ist im Allgemeinen spezifisch für jeden einzelnen Verbraucher. Deshalb setzt
sich die Bewertung der Zuverlässigkeit des Gesamtsystems aus einzelnen Bewertungen
der Zuverlässigkeit der Teilsysteme bzw. Subsysteme zusammen. Da Systemmodelle
vom Standpunkt der einzelnen Verbraucher sich voneinander unterscheiden, werden
sie als Subsystemmodelle aufgefasst. Die gewonnenen Ergebnisse aus diesen
Subsystemmodellen werden anschliessend bei der Bewertung der Zuverlässigkeit des
gesamten Energiesystems verwendet.




  Abbildung 4.1: Ablauf einer fehlerbaumbasierten Zuverlässigkeitsanalyse aus Sicht
      einzelner Verbraucher eines Energiesystems (Quelle: eigene Darstellung)

Diese Methode ermöglicht, dass eine Erweiterung des Energiesystems keine erhebliche
Erweiterung des Modells erfordert. Dabei ist mit der Erweiterung des Energiesystems
gemeint, dass die Anzahl der Knoten und/oder die Anzahl der Verbindungen zwischen

                                                                                      18
4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme

den Knoten und/oder die Komplexität der Modelle der Knoten zunehmen kann. Das
Energiesystem kann als System gesehen werden, dass aus einer Vielzahl von Knoten
(z.B. Schaltanlagen und Transformator-Stationen) besteht, die miteinander über
entsprechende Verbindungen (z.B. Stromleitungen und Energiekabel) verbunden
werden können. Jeder Knoten kann mit Verbrauchern verbunden werden. Außerdem
kann jeder Knoten mit einer Energiequelle (z.B. Generator oder Generatoren) sowie
mit einem anderen Energiesystem verbunden werden. In Abbildung 4.2 wird die
graphische Repräsentation eines beispielhaften Energiesystems mit drei
Sammelschienen, drei Generatoren und drei Verbrauchern dargestellt. Damit eine
fehlerbaumbasierte Bewertung der Zuverlässigkeit eines solchen Energiesystems
zustande kommen kann, muss eine Reihe von Schritten (siehe Abbildung 4.1)
durchgeführt werden, die in den nachfolgenden Abschnitten ausführlich erläutert
werden.

                                           G1 – Generator 1
                                           B1 – Bus 1
                                           P1 – Verbraucher 1
                                           L12 – Leitung zwischen B1 und B2

                                           G2 – Generator 2
                                           B2 – Bus 2
                                           P2 – Verbraucher 2
                                           L13 – Leitung zwischen B1 und B3
                                           ...

       Abbildung 4.2: Schematische Darstellung eines Energiesystems [Cep11]


4.2 Darstellung der Topologie eines Energiesystems
In diesem Abschnitt wird gezeigt, wie sich die Topologie eines Energiesystems auf zwei
verschiedene Arten unter Verwendung der Matrixdarstellung beschreiben lässt.

Adjazenzmatrix
Die Adjazenzmatrix beschreibt, ob eine direkte Verbindung zwischen der Sammel-
schiene i und der Sammelschiene j besteht oder nicht. Wenn eine direkte Verbindung
zwischen den beiden Sammelschienen besteht, dann steht in der Matrix an der Position
  v ij eine 1, ansonsten eine 0. Die Diagonalelemente der Adjazenzmatrix sind immer
gleich 0, da eine Sammelschiene keine direkte Verbindung zu sich selbst hat. Anhand
der Abbildung 4.2, die ein beispielhaftes Energiesystem darstellt, wird im Folgenden
die zugehörige Adjazenzmatrix aufgestellt.




                                    
                                   0 1 1
                                A= 1 0 1
                                   1 1 0
                                                                                (4.1)



Beispielsweise zeigt die erste Zeile der Adjazenzmatrix, dass die Sammelschiene 1 mit
der Sammelschiene 2 und 3 verbunden ist, da die Einträge v 12 und v 13 den Wert 1
haben. Die zweite Zeile der Adjazenzmatrix zeigt, dass die Sammelschiene 2 mit der
Sammelschiene 1 und 3 verbunden ist, da die Einträge v 21 und v 23 den Wert 1
haben.

                                                                                    19
4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme


Verbindungsmatrix
Die Verbindungsmatrix beschreibt im Wesentlichen denselben Sachverhalt wie die
Adjazenzmatrix nur mit dem Unterschied, dass in der ersten Spalte der jeweiligen Zeile
die laufende Nummer der entsprechenden Sammelschiene steht. Die Zahlen in den
nachfolgenden Spalten der jeweiligen Zeile entsprechen den laufenden Nummern der
Sammelschienen, die mit der Sammelschiene aus der ersten Spalte der jeweiligen Zeile
verbunden sind. Falls es keine Verbindung zwischen ihnen besteht, dann hat der
entsprechende Eintrag den Wert 0. Die Verbindungsmatrix für das in Abbildung 4.2
beschriebene Energiesystem hat dann die folgende Gestalt.




                                    
                                   1 2 3
                                A= 2 1 3
                                   3 1 2
                                                                                (4.2)



Die erste Zeile der Matrix zeigt, dass die Sammelschiene 1 mit der Sammelschiene 2
und 3 verbunden ist. Die zweite Zeile zeigt, dass die Sammelschiene 2 mit der
Sammelschiene 1 und 3 verbunden ist, usw.


4.3 Modell der Energieflusswege
Das Modell der Energieflusswege kann entweder mit Hilfe eines Funktionsbaums
(Functional Tree) oder mit Hilfe eines gewurzelten Baums (Rooted Tree) beschrieben
werden. Der gewurzelte Baum enthält im Gegensatz zum Funktionsbaum zusätzliche
Informationen über Energieflüsse sowie über die gemessene Spannung an Energie-
flusswegen. Diese Informationen werden dann bei der Konstruktion des Fehlerbaums
berücksichtigt. Da im Modell der Energieflusswege alle möglichen Kombinationen von
Energieflüssen mit zugehörigen Sammelschienen, Generatoren und Verbrauchern
abgebildet werden, entspricht dieses Modell sehr stark einem realistischen Energie-
system.

Functional Tree
Der Funktionsbaum für die Darstellung der Energieflusswege ist eine baumbasierte
Repräsentation aller möglichen elektrischen Verbindungen von der Energiequelle zu
den Verbrauchern. Die Abbildung 4.3 verdeutlicht diesen Sachverhalt. Die aufgestellten
Funktionsbäume beschreiben die existierenden Energieflusswege vom Standpunkt der
Verbraucher P1 und P2 aus der Abbildung 4.2.




        Abbildung 4.3: Schematische Darstellung der Funktionsbäume [Cep11]



                                                                                   20
4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme

Der Funktionsbaum der Energieflusswege für den Verbraucher P1 (siehe Abbildung 4.3
links) beginnt mit der Sammelschiene B1, da der Verbraucher P1 über die
Sammelschiene B1 mit den restlichen Energie liefernden (bzw. übertragenden)
Komponenten verbunden ist. Im nächsten Schritt werden anhand der Abbildung 4.2
alle Komponenten identifiziert, die mit der Sammelschiene B1 verbunden sind, also der
Generator G1, die Leitung L12 zwischen der Sammelschiene B1 und B2, die Leitung L13
zwischen der Sammelschiene B1 und B3. Der Generator G1 stellt den Endpunkt der
Auflösung des entsprechenden Zweigs dar, da Generatoren als tatsächliche
Energiequellen gesehen werden. Dagegen für die Leitungen L12 und L13 wird der
Funktionsbaum weiter spezifiziert. Die an die Leitung L12 angeschlossene
Sammelschiene B2 ist die nächste Komponente im entsprechenden Zweig des
Funktionsbaums. Die Auflösung der Energieflusswege bezüglich der Sammelschiene B2
wird solange fortgesetzt, bis die Endpunkte in Form von Generatoren G2 und G3
erreicht werden. Die gleiche Vorgehensweise gilt auch für die Sammelschiene B3.

Rooted Tree
Der gewurzelte Baum stellt, wie bereits beschrieben, ebenfalls eine Struktur der
Energieflusswege zwischen der Energiequelle und den Verbrauchern dar. Diese
Struktur bezieht sich auf die Topologie des Energiesystems und wird somit anhand der
zugehörigen Verbindungsmatrix (siehe Abschnitt 4.2) rekursiv aufgebaut und ist daher
ebenfalls azyklisch. In Abbildung 4.4 (links) werden drei gewurzelte Bäume für die
Darstellung der Energieflusswege bezüglich des Energiesystems aus der Abbildung 4.2
veranschaulicht.




        Abbildung 4.4: Schematische Darstellung der gewurzelten Bäume [Cep11]

Die identifizierten Energieflusswege zwischen den Sammelschienen des Energie-
systems können auf Konsistenz geprüft werden, damit diejenigen Energieflusswege, die
diese Konsistenzkriterien nicht erfüllen, nicht in die Fehlerbaumanalyse einbezogen
bzw. unter anderen Bedingungen einbezogen werden.
    •   Test auf überlastete Leitung – Wenn es eine überlastete Leitung im
        Energieflussweg gibt, dann wird dieser Weg als überlastet gekennzeichnet.
    •   Test auf erforderliche Spannung – Wenn es eine Sammelschiene mit einer


                                                                                  21
4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme

       verminderten Spannung gibt, die außerhalb des erlaubten Spannungs-
       abfallbereichs liegt, werden alle damit verbundenen Energieflusswege als
       vermindert gekennzeichnet.
Die Abbildung 4.4 (rechts) veranschaulicht die Darstellung der Testergebnisse im
gewurzelten Baum eines weiteren Beispielenergiesystems (vgl. [Cep11], S. 234). Die
gestrichelten Linien verdeutlichen dabei, dass die Knoten 5 und 7 nicht alle Konsistenz-
kriterien erfüllen.
Nach der Aufstellung der gewurzelten Bäume kann mit der Konstruktion des
Fehlerbaums und dessen Auswertung begonnen werden. Dabei gibt es drei
Möglichkeiten, wie die im vorherigen Schritt aufgestellten gewurzelten Bäume in die
Fehlerbaumanalyse einbezogen werden:
   •   Möglichkeit 1 – Vernachlässigung von Testergebnissen im Hinblick auf
       überlastete Leitungen und erforderliche Spannung

   •   Möglichkeit 2 – Berücksichtigung von Testergebnissen im Hinblick auf
       überlastete Leitungen und erforderliche Spannung, wobei damit verbundene
       Bauelemente/Komponenten mit deutlich höheren Ausfallwahrscheinlichkeiten
       versehen werden

   •   Möglichkeit 3 – Entfernen von Energie übertragenden Komponenten, also
       von Testergebnissen im Hinblick auf überlastete Leitungen und erforderliche
       Spannung, vollständig aus dem topologischen Modell des Energiesystems


4.4 Fehlerbaumkonstruktion
Das Modell zur Bestimmung der Unzuverlässigkeit des Energiesystems vom
Standpunkt eines bestimmten Verbrauchers kann mit Hilfe der Fehlerbaumanalyse
realisiert werden. Sie wird für alle Verbraucher des Energiesystems durchgeführt, d.h.
genauso wie bei der Aufstellung von Funktionsbäumen und gewurzelten Bäumen
werden im Allgemeinen für n Verbraucher n Fehlerbäume aufgestellt. Für das Beispiel-
energiesystem aus der Abbildung 4.2 müssen zur Bewertung der Zuverlässigkeit 3
Fehlerbäume aufgestellt werden, so dass danach für jeden konstruierten Fehlerbaum
eine qualitative und eine quantitative Analyse durchgeführt werden kann.
Am Beispiel des Energiesystems aus der Abbildung 4.2 wird im Folgenden die
Konstruktion der Fehlerbäume aus Sicht der jeweiligen Verbraucher beschrieben. Da
alle aufzustellenden Fehlerbäume anhand von zugehörigen Funktionsbäumen bzw.
gewurzelten Bäumen konstruiert werden, wird in diesem Abschnitt nur die Konstruk-
tion des Fehlerbaums für den Verbraucher P1 gezeigt.
Der zu konstruierende Fehlerbaum vom Standpunkt des Verbrauchers P1 definiert als
TOP-Ereignis, den Ausfall der Energieversorgung des Verbrauchers P1 (siehe
Abbildung 4.5). Der Funktionsbaum der Energieflusswege für den Verbraucher P1
beginnt mit der Sammelschiene B1, d.h. es müssen dann nur solche elementaren bzw.
Zwischenereignisse spezifiziert werden, dass sie das TOP-Ereignis auslösen können.
Wenn die Sammelschiene B1 ausfällt, dann wird die Energieversorgung des
Verbrauchers P1 unterbrochen. Die Energieversorgung für den Verbraucher P1 kann
außerdem unterbrochen werden, wenn elektrische Energie bei der Sammelschiene B1
nicht ankommt. Mit Hilfe des Funktionsbaums lässt sich feststellen, dass es drei
Möglichkeiten gibt, wie elektrische Energie zur Sammelschiene B1 gebracht werden
kann. D.h. alle drei Energie liefernden Komponenten müssen ausfallen, damit die
Energieversorgung zusammenbricht (Verwendung der logischen und-Verknüpfung):
der Generator G1, die Leitung L12 und die damit verbundenen Komponenten, die


                                                                                     22
4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme

Leitung L13 und die damit verbundenen Komponenten. Der Generator G1 wird als
elementares Ereignis dargestellt, da er als Energiequelle fungiert. Die anderen zwei
Ereignisse werden als Zwischenereignisse dargestellt, da es mehrere Möglichkeiten
gibt, warum die Verbindung zwischen der Sammelschine B1 und B2 sowie zwischen der
Sammelschiene B1 und B3 nicht aufrechterhalten werden konnte (Verwendung der
logischen oder-Verknüpfung): die Leitung ist ausgefallen oder die Sammelschiene
konnte nicht mit elektrischer Energie versorgt werden (siehe Abbildung 4.5).




  Abbildung 4.5: Fehlerbaum für die Darstellung des Ausfalls der Energielieferung an
                            den Verbraucher P1 [Cep11]

Auf diese Art und Weise kann die Konstruktion des Fehlerbaums für den Verbraucher
P1 solange fortgesetzt werden, bis man alle Energieflusswege des Funktionsbaums
durchlaufen und alle Energiequellen erreicht hat.
Der Begriff Sammelschiene (engl. bus), der bei der Modellierung des Energiesystems
verwendet wird, kann im realistischen Energiesystem durch eine Schaltanlage oder
eine Transformator-Station repräsentiert werden, d.h. das elementare Ereignis für eine
bestimmte Sammelschiene kann jederzeit durch einen entsprechenden Fehlerbaum
ersetzt werden, der die Struktur der Ausfallereignisse für Schaltanlagen bzw.
Transformator-Stationen berücksichtigt.


4.5 Fehlerbaumanalyse – Qualitative und Quantitative Analyse
Wie bereits beschrieben (siehe Abschnitt 4.4), wird die qualitative Analyse für jeden


                                                                                   23
4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme

konstruierten Fehlerbaum gemäß Abschnitt 2.7 durchgeführt und minimale Schnitt-
mengen bezüglich jedes einzelnen Fehlerbaums bestimmt. Auf Basis der qualitativen
Analyse kann für jeden einzelnen Fehlerbaum auch eine quantitative Analyse gemäß
Abschnitt 2.9 durchgeführt und die jeweiligen Unzuverlässigkeiten der durch die
Fehlerbäume repräsentierten Subsysteme sowie RAW- und RRW-Größen bestimmt
werden. Nun gilt es zu klären, wie anhand von Unzuverlässigkeiten der einzelnen
Subsysteme, die Zuverlässigkeit bzw. Unzuverlässigkeit des gesamten Energiesystems
ausgedrückt werden kann.
Die Zuverlässigkeit des Energiesystems R PS wird aus der Unzuverlässigkeits-
kenngröße U PS , also von ihrem Komplement abgeleitet.

                                                NL
                                                        Ki
                          R PS =1−U PS=1−∑ U i                                  (4.3)
                                                i=1     K
                                         NL
                                                Ki
                                U PS =∑ U i                                     (4.4)
                                         i =1   K

wobei R PS die Zuverlässigkeit des Energiesystems ist; U PS ist die Unzuverlässigkeit
des Energiesystems; U i ist die Unzuverlässigkeit der Energieversorgung des i-ten
Verbrauchers; NL ist die Anzahl der Verbraucher im Energiesystem; K i ist die
Kapazität des i-ten Verbrauchers (in MW); K i / K ist der Gewichtungsfaktor des i-ten
Verbrauchers; K ist die Gesamtkapazität des Energiesystems, die sich aus der
Summe der Kapazitäten einzelner Verbraucher zusammensetzt.
Damit die Abschätzung der Wichtigkeit von einzelnen Komponenten in Bezug auf das
gesamte Energiesystem vorgenommen werden kann, werden in Anlehnung an die
Größen RAW und RRW zwei neue netzbezogene Größen NRAW (Network Risk
Achievement Worth) und NRRW (Network Risk Reduction Worth) eingeführt, die sich
nicht auf ein Subsystem beziehen, sondern auf alle modellierten Subsysteme und somit
auf das gesamte Energiesystem.

                                   NL                        NL

                                   ∑ U i U k =1 K i ∑ U i K i RAW ki
                     U PS U k =1 i=1
          NRAW k =                =       NL
                                                        = i=1     NL            (4.5)
                          U PS
                                         ∑ Ui K i                 ∑ U i Ki
                                          i=1                     i=1

                                         U i U k =1
                              RAW k =
                                  i                                             (4.6)
                                              Ui

wobei NRAW k Network Achievement Worth für ein elementares Ereignis k ist;
  U PS U k =1 ist die Unzuverlässigkeit des Energiesystems, wenn die Unzuverlässig-
keit bzw. Ausfallwahrscheinlichkeit des elementaren Ereignisses k 100% beträgt;
  U i U k =1 ist die Unzuverlässigkeit der Energieversorgung des i-ten Verbrauchers,
wenn die Unzuverlässigkeit bzw. die Ausfallwahrscheinlichkeit des elementaren
Ereignisses k 100% beträgt; RAW ik ist der Wert von RAW für das elementare
Ereignis k in Bezug auf den i-ten Verbraucher.




                                                                                   24
4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme

                                                 NL                    NL

                           U PS                 ∑Ui Ki             ∑Ui Ki
           NRRW k =                             i=1                    i =1
                                    =   NL
                                                              =   NL             (4.7)
                      U PS U k =0                                      Ki
                                        ∑ U i U k=0 K i         ∑ U i RRW k
                                        i =1                      i=1       i

                                                    Ui
                               RRW k =
                                   i                                             (4.8)
                                               U i U k =0

wobei   NRRW k Network Risk Reduction Worth für ein elementares Ereignis k ist;
 U PS U k =0 ist die Unzuverlässigkeit des Energiesystems, wenn die Unzuverlässig-
keit bzw. die Ausfallwahrscheinlichkeit des elementaren Ereignisses k 0% beträgt;
  U i U k =0 ist die Unzuverlässigkeit der Energieversorgung des i-ten Verbrauchers,
wenn die Unzuverlässigkeit bzw. die Ausfallwahrscheinlichkeit des elementaren
Ereignisses k 0% beträgt; RRW ik ist der Wert von RRW für das elementare Ereignis k
in Bezug auf den i-ten Verbraucher.



5 Fazit
Im ersten Teil dieser Arbeit haben wir ein Verfahren zur Durchführung einer
Zuverlässigkeitsanalyse für technische Systeme vorgestellt, die als Fehlerbaumanalyse
bezeichnet wird und sich auf zwei sehr wichtige Analysemechanismen (qualitative und
quantitative Analyse) stützt. Diese Mechanismen ermöglichen, Erkenntnisse darüber
zu gewinnen, wie zuverlässig ein technisches System funktionieren wird, wenn einzelne
Komponenten des Systems versagen oder umgekehrt noch besser funktionieren.
Im zweiten Teil dieser Arbeit haben wir zwei Ansätze vorgestellt, wie eine Zuverlässig-
keitsanalyse für Energiesysteme durchgeführt werden kann. Obwohl diesen beiden
Ansätzen dasselbe Prinzip der Zuverlässigkeitsanalyse, nämlich das Prinzip der
Fehlerbaumanalyse zugrunde liegt, unterscheiden sie sich dadurch, wie die Besonder-
heiten der Energiesysteme und deren typische Ausfälle/Störungen modelliert und bei
der Fehlerbaumkonstruktion berücksichtigt werden.
Zusammenfassend lässt sich sagen, dass die Fehlerbaumanalyse eine flexible, in Bezug
auf die qualitative und quantitative Analyse erweiterbare Methode darstellt, mit der
eine Zuverlässigkeitsanalyse auch für Energiesysteme möglichst realistisch durchge-
führt werden kann.




                                                                                    25
Literatur


Literatur

 Abe08   Abele, Markus: Modellierung und Bewertung hochzuverlässiger
         Energieboardnetz-Architekturen für sicherheitsrelevante Verbraucher in
         Kraftfahrzeugen. Universität Kassel, Doktorarbeit, 2008

 Bös07   Böske, Johannes: Zur Ökonomie der Versorgungssicherheit in der
         Energiewirtschaft. LIT Verlag, 2007

 Cep11   Cepin, Marko: Assessment of Power System Reliability – Methods and
         Applications. Springer-Verlag, 2011

 Elm08   Elmakis, David: New Computational Methods in Power System
         Reliability. Springer-Verlag, 2008

 Hon09   Hong, Ying-Yi; Lee, Lun-Hui: Reliability assessment of generation and
         transmission systems using fault-tree analysis. Energy Conversion and
         Management 50 (2009) 2810-2817, 2009

 IEC06   International Standard IEC 61025:        Fault Tree Analysis (FTA).
         International Electrotechnical Commission, 2006

 Lam03   Lammintausta, Marko.; Hirvonen, Ritva; Lehtonen, Matti: Modelling of
         Power System Components for Reliability Analysis. IEEE Bologna Power
         Tech Conference, 2003

 Nig03   Nighot, Rajesh U: Incorporating Substation and Switching Station
         Related Outages in Composite System Reliability Evaluation. University
         of Saskatchewan, 2003

 Ppa11   Popoola, Jide Julius; Ponnle, Akinlolu Adediran; O.Ale, Thomas:
         Reliability Worth Assessment of Electric Power Utility in Nigeria.
         University of Witwatersrand, 2011

 Sch04   Schwindt, Eike: Gefahrenanalyse mittels Fehlerbaumanalyse. Universität
         Paderborn, 2004

 Thu04   Thums, Andreas: Formale Fehlerbaumanalyse. Universität Augsburg,
         Dissertation, 2004

 Vol09   Volkanovski, Andrija; Cepin, Marko; Mavko, Borut: Application of the
         fault tree analysis for assessment of power system reliability. Reliability
         Engineering and System Safety 94 (2009) 1116-1127, 2009

 Vol08   Volkanovski, Andrija: Impact of offsite power system reliability on


                                                                                  26
Literatur

nuclear power plant safety. University of Ljubljana, PhD thesis, 2008




                                                                        27

Weitere ähnliche Inhalte

Ähnlich wie Fehlerbaumanalyse für Energiesysteme

Verbesserung des Risikomanagements für Medizinprodukte
Verbesserung des Risikomanagements für MedizinprodukteVerbesserung des Risikomanagements für Medizinprodukte
Verbesserung des Risikomanagements für MedizinprodukteDenis Werner
 
IT Workplace Performance - Anwenderzufriedenheit messbar machen
IT Workplace Performance - Anwenderzufriedenheit messbar machenIT Workplace Performance - Anwenderzufriedenheit messbar machen
IT Workplace Performance - Anwenderzufriedenheit messbar machenBeck et al. GmbH
 
It workplace performance anwenderzufriedenheit messbar machen
It workplace performance   anwenderzufriedenheit messbar machenIt workplace performance   anwenderzufriedenheit messbar machen
It workplace performance anwenderzufriedenheit messbar machenBeck et al. GmbH
 
Workshop Grundlagen der prozesstechnischen Regelungstechnik
Workshop Grundlagen der prozesstechnischen RegelungstechnikWorkshop Grundlagen der prozesstechnischen Regelungstechnik
Workshop Grundlagen der prozesstechnischen Regelungstechnikhome
 
Automatisierter Software-Test unter Java
Automatisierter Software-Test unter JavaAutomatisierter Software-Test unter Java
Automatisierter Software-Test unter JavaGFU Cyrus AG
 
solarthermienator.com Diploma Thesis: Remote-monitoring and -maintenance o...
solarthermienator.com Diploma Thesis: Remote-monitoring  and  -maintenance  o...solarthermienator.com Diploma Thesis: Remote-monitoring  and  -maintenance  o...
solarthermienator.com Diploma Thesis: Remote-monitoring and -maintenance o...Martin Tirol
 
Numerische Methoden: Approximation und Integration
Numerische Methoden: Approximation und IntegrationNumerische Methoden: Approximation und Integration
Numerische Methoden: Approximation und IntegrationRoland Bruggmann
 
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementSven Wohlgemuth
 
SW-Entwicklung nach IEC 62304
SW-Entwicklung nach IEC 62304SW-Entwicklung nach IEC 62304
SW-Entwicklung nach IEC 62304Christian Johner
 
DevOps Prinzipien im Zusammenspiel mit Kubernetes
DevOps Prinzipien im Zusammenspiel mit Kubernetes DevOps Prinzipien im Zusammenspiel mit Kubernetes
DevOps Prinzipien im Zusammenspiel mit Kubernetes QAware GmbH
 
Lims Vortrag von Sieberth und Krenn
Lims Vortrag von Sieberth und KrennLims Vortrag von Sieberth und Krenn
Lims Vortrag von Sieberth und Krennwernerweninger
 
Contech analyser fuer_robust_design_v1.6_dt
Contech analyser fuer_robust_design_v1.6_dtContech analyser fuer_robust_design_v1.6_dt
Contech analyser fuer_robust_design_v1.6_dtClaudia Herrmann
 
Software-Sanierung: Wie man kranke Systeme wieder gesund macht.
Software-Sanierung: Wie man kranke Systeme wieder gesund macht.Software-Sanierung: Wie man kranke Systeme wieder gesund macht.
Software-Sanierung: Wie man kranke Systeme wieder gesund macht.Josef Adersberger
 
Bachelorarbeit paul gerber.pdf
Bachelorarbeit paul gerber.pdfBachelorarbeit paul gerber.pdf
Bachelorarbeit paul gerber.pdfwissem hammouda
 
Real Application Testing - DOAG SIG Database 2010 - Simon Dickmeiß
Real Application Testing - DOAG SIG Database 2010 - Simon DickmeißReal Application Testing - DOAG SIG Database 2010 - Simon Dickmeiß
Real Application Testing - DOAG SIG Database 2010 - Simon DickmeißOPITZ CONSULTING Deutschland
 
Erweiterung der Entwurfsmethodik CONSENS um absichernde Maßnahmen zur Risikom...
Erweiterung der Entwurfsmethodik CONSENS um absichernde Maßnahmen zur Risikom...Erweiterung der Entwurfsmethodik CONSENS um absichernde Maßnahmen zur Risikom...
Erweiterung der Entwurfsmethodik CONSENS um absichernde Maßnahmen zur Risikom...Alexander Nyßen
 

Ähnlich wie Fehlerbaumanalyse für Energiesysteme (20)

Verbesserung des Risikomanagements für Medizinprodukte
Verbesserung des Risikomanagements für MedizinprodukteVerbesserung des Risikomanagements für Medizinprodukte
Verbesserung des Risikomanagements für Medizinprodukte
 
IT Workplace Performance - Anwenderzufriedenheit messbar machen
IT Workplace Performance - Anwenderzufriedenheit messbar machenIT Workplace Performance - Anwenderzufriedenheit messbar machen
IT Workplace Performance - Anwenderzufriedenheit messbar machen
 
It workplace performance anwenderzufriedenheit messbar machen
It workplace performance   anwenderzufriedenheit messbar machenIt workplace performance   anwenderzufriedenheit messbar machen
It workplace performance anwenderzufriedenheit messbar machen
 
SIL in der Praxis (GER)
SIL in der Praxis (GER)SIL in der Praxis (GER)
SIL in der Praxis (GER)
 
Workshop Grundlagen der prozesstechnischen Regelungstechnik
Workshop Grundlagen der prozesstechnischen RegelungstechnikWorkshop Grundlagen der prozesstechnischen Regelungstechnik
Workshop Grundlagen der prozesstechnischen Regelungstechnik
 
Automatisierter Software-Test unter Java
Automatisierter Software-Test unter JavaAutomatisierter Software-Test unter Java
Automatisierter Software-Test unter Java
 
Pr O St Doku
Pr O St DokuPr O St Doku
Pr O St Doku
 
Pcs7redundanz
Pcs7redundanzPcs7redundanz
Pcs7redundanz
 
solarthermienator.com Diploma Thesis: Remote-monitoring and -maintenance o...
solarthermienator.com Diploma Thesis: Remote-monitoring  and  -maintenance  o...solarthermienator.com Diploma Thesis: Remote-monitoring  and  -maintenance  o...
solarthermienator.com Diploma Thesis: Remote-monitoring and -maintenance o...
 
Numerische Methoden: Approximation und Integration
Numerische Methoden: Approximation und IntegrationNumerische Methoden: Approximation und Integration
Numerische Methoden: Approximation und Integration
 
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
 
SW-Entwicklung nach IEC 62304
SW-Entwicklung nach IEC 62304SW-Entwicklung nach IEC 62304
SW-Entwicklung nach IEC 62304
 
DevOps Prinzipien im Zusammenspiel mit Kubernetes
DevOps Prinzipien im Zusammenspiel mit Kubernetes DevOps Prinzipien im Zusammenspiel mit Kubernetes
DevOps Prinzipien im Zusammenspiel mit Kubernetes
 
Lims Vortrag von Sieberth und Krenn
Lims Vortrag von Sieberth und KrennLims Vortrag von Sieberth und Krenn
Lims Vortrag von Sieberth und Krenn
 
Contech analyser fuer_robust_design_v1.6_dt
Contech analyser fuer_robust_design_v1.6_dtContech analyser fuer_robust_design_v1.6_dt
Contech analyser fuer_robust_design_v1.6_dt
 
Software-Sanierung: Wie man kranke Systeme wieder gesund macht.
Software-Sanierung: Wie man kranke Systeme wieder gesund macht.Software-Sanierung: Wie man kranke Systeme wieder gesund macht.
Software-Sanierung: Wie man kranke Systeme wieder gesund macht.
 
Beschreibung
BeschreibungBeschreibung
Beschreibung
 
Bachelorarbeit paul gerber.pdf
Bachelorarbeit paul gerber.pdfBachelorarbeit paul gerber.pdf
Bachelorarbeit paul gerber.pdf
 
Real Application Testing - DOAG SIG Database 2010 - Simon Dickmeiß
Real Application Testing - DOAG SIG Database 2010 - Simon DickmeißReal Application Testing - DOAG SIG Database 2010 - Simon Dickmeiß
Real Application Testing - DOAG SIG Database 2010 - Simon Dickmeiß
 
Erweiterung der Entwurfsmethodik CONSENS um absichernde Maßnahmen zur Risikom...
Erweiterung der Entwurfsmethodik CONSENS um absichernde Maßnahmen zur Risikom...Erweiterung der Entwurfsmethodik CONSENS um absichernde Maßnahmen zur Risikom...
Erweiterung der Entwurfsmethodik CONSENS um absichernde Maßnahmen zur Risikom...
 

Fehlerbaumanalyse für Energiesysteme

  • 1. Seminar Fortgeschrittene Themen im Software Engineering Fehlerbaumanalyse für Energiesysteme Eugen Petrosean SS 2012 Betreuer: Jan-Philipp Steghöfer Augsburg, den 19. Juni 2012
  • 2. Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung........................................................................................3 2 Fehlerbaumanalyse.........................................................................3 2.1 Allgemeiner Ablauf einer Zuverlässigkeitsanalyse ............................................3 2.2 Verfahrensablauf zur Durchführung einer Fehlerbaumanalyse........................5 2.3 Zielsetzung für die Durchführung einer Fehlerbaumanalyse............................5 2.4 Identifizieren des unerwünschten TOP-Ereignisses..........................................6 2.5 Systemdefinition................................................................................................6 2.6 Fehlerbaumkonstruktion...................................................................................7 2.7 Qualitative Fehlerbaumauswertung...................................................................9 2.8 Probabilistische Daten für elementare Ereignisse ..........................................10 2.9 Quantitative Fehlerbaumauswertung..............................................................10 3 Besonderheiten von Energiesystemen...........................................13 3.1 Abgrenzung der Begriffe Zuverlässigkeit, Angemessenheit und Sicherheit ....13 3.2 Aufbau elektrischer Energiesysteme................................................................13 3.3 Beispielhafter Ansatz zur Durchführung der Zuverlässigkeitsanalyse für Energiesysteme.......................................................................................................15 4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme 17 4.1 Beschreibung der Methode...............................................................................17 4.2 Darstellung der Topologie eines Energiesystems............................................19 4.3 Modell der Energieflusswege ..........................................................................20 4.4 Fehlerbaumkonstruktion.................................................................................22 4.5 Fehlerbaumanalyse – Qualitative und Quantitative Analyse..........................23 5 Fazit..............................................................................................25 Literatur..........................................................................................26
  • 3. 1 Einleitung 1 Einleitung Die Hauptaufgabe eines Energiesystems besteht darin, die an das System angesch- lossenen Verbraucher möglichst kostengünstig, effizient und zuverlässig mit Energie zu versorgen. Heutzutage beobachtet man allerdings neue Tendenzen im Bereich der Energieversorgung, die die genannten verbraucherfreundlichen Kriterien weiterhin bzw. noch stärker berücksichtigen müssen. Zum einen gewinnen erneuerbare Energiequellen wie Windkraftanlagen und Photovoltaiksysteme immer mehr an Bedeutung, so dass eine dadurch entstehende Deregulierung im Hinblick auf Energiegewinnung einen erheblichen Einfluss auf die Funktionsweise und Zuverlässigkeit der Energiesysteme mit den zugehörigen Energieerzeugungs-, Übertragungs-, und Verteilernetzen hat. Zum anderen zwingt der zunehmende Wettbewerb auf dem Energiemarkt, dass Stromanbieter die Qualität und Effektivität ihrer Dienstleistungen ständig verbessern müssen. Die aufzubringenden Kosten ihrerseits (z.B. für Wartungsarbeiten) sowie die von Verbrauchern zu tragenden Kosten sollen möglichst gering gehalten werden. Dagegen die Zuverlässigkeit und Betriebssicherheit der Energiesysteme müssen aufrechterhalten und weiterhin verbessert werden. Eine der etabliertesten Methoden zur Bewertung und Verbesserung der Zuverlässigkeit eines technischen Systems, ist die Fehlerbaumanalyse, deren Anwendung in dieser Arbeit in Bezug auf Energiesysteme genauer untersucht wird. 2 Fehlerbaumanalyse Die Fehlerbaumanalyse [Cep11] ist eine sehr wichtige Methode zur Bewertung und Verbesserung der Zuverlässigkeit (Reliability) eines technischen Systems sowie dessen Sicherheit (Safety). Das Verfahren kommt in unterschiedlichen Bereichen zur Anwendung, wie z.B. in der Atomindustrie, Luft- und Raumfahrt, chemische Industrie, Elektroindustrie – also in solchen sicherheitskritischen Bereichen, in denen ein möglicher Systemausfall zu fatalen Folgen führen kann. Die Fehlerbaumanalyse ist ein analytischer Ansatz, bei dem zunächst ein unerwünschter Zustand des Systems spezifiziert wird, der dann bei der eigentlichen Systemanalyse (durch das Einbeziehen von umgebungsrelevanten und einsatzspezifischen Faktoren des Systems) verwendet wird, um alle möglichen realistischen Systemfehler zu bestimmen, die das unerwünschte Ereignis auslösen können. Diese formale Technik zur Analyse ausfallbehafteter technischer Systeme umfasst eine Reihe von Verfahrensschritten, die in den nachfolgenden Abschnitten genauer erläutert werden. 2.1 Allgemeiner Ablauf einer Zuverlässigkeitsanalyse Eine Analyse im Hinblick auf die Zuverlässigkeit eines technischen Systems umfasst hauptsächlich zwei grundlegende Arten von Möglichkeiten, wie Systemfehler analysiert werden können (siehe Abbildung 2.1). Die erste Analysemöglichkeit basiert auf der Durchführung einer qualitativen Analyse, bei der Systemfehler systematisch identifiziert, klassifiziert und bewertet werden. In diesem Fall spricht man von einer Fehlerartenanalyse. Die zweite Möglichkeit besteht darin, eine quantitative Analyse durchzuführen, wobei sie sich auf die Ergebnisse der qualitativen Analyse stützt, bei der durch das Einbeziehen von Fehlerwahrscheinlichkeiten die Häufigkeit (bzw. Wahrscheinlichkeit des Eintretens) unerwünschter Systemzustände und Ereignisse 3
  • 4. 2 Fehlerbaumanalyse bestimmt werden kann. In diesem Fall spricht man von einer Fehlerratenanalyse. Abbildung 2.1: Ablauf einer Zuverlässigkeitsanalyse [Abe08] Die Fehlerbaumanalyse ist beispielsweise eine Analyse, die sowohl auf qualitativen als auch auf quantitativen Analysemechanismen basiert, die in den Abschnitten 2.7 und 2.9 ausführlich erläutert werden. Da bei der Zuverlässigkeitsanalyse einer der entscheidendsten Schritte darin besteht, Systemfehler zu identifizieren und sie danach zu klassifizieren, ist es sinnvoll den Begriff „Systemfehler“ bzw. „Fehler“ genauer zu definieren. Im Englischen gibt es hauptsächlich zwei Begriffe „failure“ und „fault“, die im Allgemeinen mit Fehler übersetzt werden. Eine Abgrenzung der Begriffe „failure“ und „fault“ kann nach [Thu04] wie folgt vorgenommen werden: • Ausfall (failure) – Ein Ausfall ist ein Nichtausführen oder die Unfähigkeit eines Systems bzw. einer Komponente, ihre Funktionalität für eine gegebene Zeitspanne unter gegebenen Einflüssen auszuführen. • Störung (fault) – Eine Störung ist ein Ereignis, das ein System in einen unerwünschten Zustand versetzt. Im Gegensatz zu einem Ausfall ist eine Störung damit ein übergeordnetes Fehlerereignis. Im Allgemeinen führt jeder Ausfall zu einer Störung, jedoch liegt nicht jeder Störung ein Ausfall zugrunde. 4
  • 5. 2 Fehlerbaumanalyse 2.2 Verfahrensablauf zur Durchführung einer Fehlerbaumanalyse Da das Ziel der Fehlerbaumanalyse darin besteht, systematisch die Ursachen für einen bestimmten Systemfehler zu bestimmen und Zuverlässigkeitskenngrößen (z.B. Häufigkeit des Systemfehlers, Wahrscheinlichkeit für den Systemausfall) zu ermitteln, wird in Abbildung 2.2 der Zusammenhang zwischen den einzelnen Schritten zur Durchführung einer Fehlerbaumanalyse genauer dargestellt. Abbildung 2.2: Ablauf einer Fehlerbaumanalyse [Cepp11] Die geklammerten Nummern in Abbildung 2.2 entsprechen den einzelnen Schritten, die in den nachfolgenden Abschnitten näher erläutert werden. 2.3 Zielsetzung für die Durchführung einer Fehlerbaumanalyse Im ersten Schritt der Fehlerbaumanalyse (siehe Abbildung 2.2 – 1) muss die Zielsetzung der Analyse in Bezug auf unerwünschte Funktionsweise des Gesamtsystems definiert werden. Die zu definierende Zielsetzung zur Durchführung der Fehler- baumanalyse kann dabei einen oder mehrere Aspekte aus der folgenden Liste 5
  • 6. 2 Fehlerbaumanalyse umfassen: • Beurteilung der Ausfallwahrscheinlichkeit des Systems bzw. der Systemfunktion (oder Beurteilung der Zuverlässigkeit/Unzuverlässig- keit des Systems) • Identifizieren der wichtigsten Komponenten des Systems in Bezug auf ihre Zuverlässigkeit • Identifizieren der wichtigsten Komponenten des Systems in Bezug auf ihre Wartungspriorität • Verbesserung der Dokumentation des Systems und Aufrechterhaltung der Kenntnisse über dessen Verhalten 2.4 Identifizieren des unerwünschten TOP-Ereignisses Im zweiten Schritt der Fehlerbaumanalyse (siehe Abbildung 2.2 - 2) wird der zu untersuchende Systemfehler, das sogennante TOP-Ereignis identifiziert. Da die Fehlerbaumanalyse eine deduktive Top-Down-Methode ist, werden die Ursachen für das Auftreten des TOP-Ereignisses mit Hilfe von logischen Verknüpfungen auf einfachere Ereignisse (sogenannte elementare Ereignisse) zurückgeführt, die in jedem einzelnen Fall das Versagen eines Bauteils bzw. einer Komponente des Gesamtsystems darstellen. Dabei kann das Versagen einer Komponente entweder als Ausfall (failure) oder als Störung (fault) aufgefasst werden1. Kann beispielsweise ein Relais aufgrund gebrochener Kontakte nicht geschlossen werden, wird dies als Ausfall des Relais verstanden. Wenn aber das Relais nicht schliesst, weil das Steuersignal für den Schliessvorgang nicht empfangen wurde, ist das kein Ausfall des Relais, sondern eine Störung, da dadurch das Relais ebenfalls nicht funktionieren kann. Allerdings ist der Fehlerbaum kein Modell zur Analyse von allen möglichen Fehlerursachen für Komponenten- bzw. Subsystem-Versagen, sondern ein Modell zur Analyse von solchen Ausfällen oder Störungen, die zum unerwünschten TOP-Ereignis führen können. 2.5 Systemdefinition Im dritten Schritt der Fehlerbaumanalyse (siehe Abbildung 2.2 – 3) müssen die grundlegenden Randbedingungen festgelegt werden, die bei der Analyse unbedingt zu berücksichtigen sind. Zu den festzulegenden Randbedingungen gehören solche Aspekte wie: • Scope (1) – physikalische Randbedingungen, Anfangskonfiguration des Systems, unerlaubte Ereignisse • Resolution (2) – Granularitätsstufe der elementaren Ereignisse • Ground Rules (3) – formale Konventionen zur Erstellung eines Fehlerbaums Die Scope-Randbedingungen des Fehlerbaums (1) geben an, welche Aspekte, die zur Auslösung von Systemfehlern beitragen können, in die Analyse einbezogen bzw. nicht 1 Eine genaure Abgrenzung der Begriffe „failure“ und „fault“ ist im Abschnitt 2.1 zu finden. 6
  • 7. 2 Fehlerbaumanalyse einbezogen werden. Zum einen sind das die physikalischen Randbedingungen, die die Betriebsmittel, die Schnittstellen zu anderen Systemen sowie Hilfs- und Unterstüt- zungssysteme umfassen. Zum anderen umfassen die Scope-Randbedingungen die Anfangskonfiguration des Systems, also den Anfangszustand aller zugehörigen Kompo- nenten und Unterstützungssysteme und beschreiben somit das System in seinem normalen fehlerfreien Zustand. Durch unerlaubte Ereignisse hat man die Möglichkeit festzulegen, welche Ereignisse in der Analyse nicht betrachtet werden sollen. Beispiels- weise kann bei der Analyse eines Systems bestehend aus zwei Pumpen, die an einen Tank angeschlossen sind, vorausgesetzt werden, dass die Stromzufuhr für diese elektrischen Betankungspumpen immer vorhanden ist und somit die Notwendigkeit entfällt, in der Analyse die Unterbrechung der Stromzufuhr zu betrachten. Die analytische Auflösung des Fehlerbaums (2) beschreibt, bis zu welcher Granulari- tätsstufe die elementaren Ereignisse aufgegliedert werden sollen. Wird beispielsweise ein Dieselgenerator als eine einzige Komponente betrachtet, die bei der Analyse nicht weiter aufgegliedert werden kann, dann beziehen sich die elementaren Ereignisse des Fehlerbaums auf Störungen/Ausfälle des Dieselgenerators als Ganzes, wobei aus beschriebener Sicht sich nicht so viele Fehlerursachen werden identifizieren lassen. Eine weitere Möglichkeit der analytischen Auflösung besteht darin, dass beispielsweise die Bauteile des Dieselgenerators als granulare Komponenten aufgefasst werden, so dass die elementaren Ereignisse sich nicht mehr auf eine einzige Komponente, sondern auf eine Vielzahl von Komponenten und deren Störungen/Ausfälle beziehen werden. Zusammen mit der Art der analytischen Auflösung ist außerdem festzulegen, wie die Grundregeln für die Fehlerbaumanalyse (3) sein könnten. Sie beschreiben in erster Linie die Vorgehensweise, also nach welchen Regeln bzw. Kriterien die Aufstellung eines Fehlerbaums erfolgen soll (siehe Kapitel 4)2 sowie formale Konventionen zur Festlegung von Beschreibungen und Abkürzungen für einzelne Ereignisse. 2.6 Fehlerbaumkonstruktion Die Konstruktion des Fehlerbaums (siehe Abbildung 2.2 – 4) ist ein weiterer Schritt in der Fehlerbaumanalyse, bei dem der Fehlerbaum graphisch konstruiert wird, so dass er ausgehend vom ausgewählten TOP-Ereignis unter Berücksichtigung der System- defintion (siehe Abschnitt 2.5) Ebene für Ebene aufgestellt wird. Die Tabelle 2.1 veranschaulicht nur die wichtigsten bzw. gängigsten Elemente des Fehlerbaums. Über weitere Symbole zur Fehlerbaumkonstruktion kann man im IEC Standard [IEC06] nachlesen. Symbol Name Bedeutung Top/Zwischen- Ein Ereignis, das aus der Interaktion mehrerer ereignis Ereignisse durch eine logische Verknüpfung re- sultiert, unter anderem das unerwünschte Eregnis (Top Event) und die Zwischenereig- nisse (Intermediate Events). Elementares Ein elementares Ereignis (Basic Event) Ereignis repräsentiert das Versagen einer Komponente. Es wird nicht weiter aufgegliedert und stellt 2 Im Kapitel 4 wird sehr genau auf eine aktuelle Methode zur Aufstellung eines Fehlerbaums eingegangen, die die Besonderheiten von Energiesystemen berücksichtigt, deren Spezifität sich im Aufbau des Fehlerbaums widerspiegeln lässt. 7
  • 8. 2 Fehlerbaumanalyse somit die feinste Auflösung des Fehlerbaums dar. Oder- Bei der Oder-Verknüpfung (Or Gate) tritt das Verknüpfung Ausgangsereignis ein, sobald mindestens ein Eingangseregnis eingetreten ist. Die Anzahl der Eingänge ist beliebig. Und- Der Ausgang der Und-Verknüpfung (And Gate) Verknüpfung ist genau dann wahr, wenn alle seine Eingänge wahr sind. Die Anzahl der Eingänge ist belie- big. Tabelle 2.1: Symbole eines Fehlerbaums Die Beschreibung, wie die Fehlerbaumkonstruktion Ebene für Ebene abläuft, wird in Abbildung 2.3 verdeutlicht. Die eingekreisten Nummern entsprechen den einzelnen Schritten, die im Folgenden erläutert werden. Abbildung 2.3: Vorgehensweise bei der Konstruktion eines Fehlerbaums [Sch04] Die Vorgehensweise kann wie folgt beschrieben werden: 8
  • 9. 2 Fehlerbaumanalyse • (1) Identifizieren des unerwünschten TOP-Ereignisses • (2) Identifizieren der Verursacher der ersten Ebene • (3) Verbinden der Verursacher mit dem TOP-Ereignis durch logische Verknüpfungen • (4) Identifizieren der Verursacher der zweiten Ebene • (5) Verbinden der Verursacher der zweiten Ebene mit dem TOP-Ereignis durch logische Verknüpfungen • (6) Wiederholung/Fortsetzung Anhand von Abbildung 2.4 wird beispielhaft gezeigt, wie die graphische Repräsentation des dargestellten Fehlerbaums in Form von booleschen Ausdrücken nach ihrer Aufstellung beschrieben werden kann. Dieser Ansatz bzw. diese Darstellungsform wird eine sehr wichtige Rolle bei der qualitativen Auswertung des Fehlerbaums (siehe Abschnitt 2.7) spielen. Abbildung 2.4: Beispielhafter Fehlerbaum für ein einfaches Beispielsystem [Cep11] Die in Abbildung 2.4 dargestellten Ereignisse können durch folgende boolesche Ausdrücke verdeutlicht werden: G=GA∧GB (2.1) GA= A1∨ A2∨ A3∨A4 (2.2) GB=B1∨B2∨B3∨B4 (2.3) 2.7 Qualitative Fehlerbaumauswertung Ist die Fehlerbaumkonstruktion abgeschlossen, so kann mit der qualitativen Auswertung (siehe Abbildung 2.2 – 5) begonnen werden. Der qualitativen Auswertung des Fehlerbaums liegt ein Prozess zugrunde, bei dem Gruppen von elementaren Ereignissen (Minimal Cut Sets) systematisch identifiziert werden, deren gemeinsames Eintreten genügt, um das TOP-Ereignis auszulösen. Folgende Schritte sind zur Berech- nung der minimalen Schnittmengen nötig: 9
  • 10. 2 Fehlerbaumanalyse • Schritt 1 – Finde die boolschen Formeln für jede Zerlegung im Fehlerbaum • Schritt 2 – Ersetze in der Formel des TOP-Ereignisses alle zerlegten Ereignisse durch ihre Formeln und forme in DNF3 um • Schritt 3 – Ersetze das nächste zerlegte Ereignis und forme in DNF um • Schritt 4 – Wiederhole den Schritt 3 für alle noch übrigen Ereignisse • Schritt 5 – Bilde für jeden Konjunktionsterm eine minimale Schnittmenge, die sich aus den Literalen zusammensetzt, die in diesem Konjunktionsterm vor- kommen Für den Fehlerbaum aus der Abbildung 2.4 erhält man, wie bereits beschrieben, die entsprechende boolesche Darstellungsform, wenn man in die Gleichung (2.1) die Gleichungen (2.2) und (2.3) einsetzt: G= A1∨A2∨A3∨ A4∧ B1∨B2∨B3∨B4 (2.4) Nach der Umformung in DNF mit Hilfe des Distributivgesetzes erhält man die Gleichung (2.5): G= A1∧B1∨ A2∧B1∨ A3∧B1∨ A4∧ B1∨ A1∧B2 ∨ A2∧ B2∨ A3∧B2∨ A4∧ B2∨ A1∧B3∨ A2∧B3 (2.5) ∨ A3∧B3∨ A4∧ B3∨ A1∧B4 ∨ A2∧B4∨ A3∧B4 ∨ A4∧B4 Dieser Ausdruck besteht aus 16 minimalen Schnittmengen zweiter Ordnung: {A1 , B1}, {A2 , B1}, , {A4 , B4} (2.6) d.h. jede solche Schnittmenge enthält genau zwei elementare Ereignisse, die gleichzeitig eintreten müssen, damit das TOP-Ereignis ausgelöst wird, das zum Ausfall des Systems führt. Besonders wichtig sind minimale Schnittmengen erster Ordnung, da diese nur ein einzelnes elementares Ereignis enthalten, dessen Eintreten allein genügt, um das TOP- Ereignis auszulösen. Solche Schnittmengen erster Ordnung werden auch als Single Point Failure bezeichnet. 2.8 Probabilistische Daten für elementare Ereignisse Damit man mit der quantitativen Analyse beginnen kann, muss die Bereitstellung der probabilistischen Daten gewährleistet werden (siehe Abbildung 2.2 – 6), die anschliessend den elementaren Ereignissen des Fehlerbaums zugeordnet werden. Die Bereitstellung einer solchen probabilistischen Datenbank erfolgt in drei Schritten: • Auswahl eines probabilistischen Modells (z.B. relative Häufigkeit, Binomial- verteilung, usw.) 3 Disjunktive Normalform 10
  • 11. 2 Fehlerbaumanalyse • Vorbereitung probabilistischer Daten (z.B. Ausfallrate, mittlere Reparatur- dauer, mittlere Zeitspanne bis zum Ausfall, usw.) • Verknüpfung des probabilistischen Modells mit den geeigneten Daten aus der Datenbank 2.9 Quantitative Fehlerbaumauswertung Sobald probabilistische Daten auf alle elementaren Ereignisse des Fehlerbaums ange- wendet wurden, kann die quantitative Analyse (siehe Abbildung 2.2 - 7) vorgenommen werden. Dabei können anhand von probabilistischen Daten Ausfallwahrscheinlich- keiten für einzelne elementare Ereignisse berechnet werden, also die Wahrschein- lichkeiten dafür, dass sich einzelne Komponenten in einem fehlerhaften Zustand befinden. Ausgehend von diesen Ausfallkenngrößen, kann eine Propagierung über die die logischen Verknüpfungen zum TOP-Ereignis stattfinden. Die zweite Möglichkeit der quantitativen Fehlerbaumauswertung besteht darin, die bei der qualitativen Fehlerbaumanalyse berechneten Minimal Cut Sets auch in der quanti- tativen Analyse zu verwenden. Das Ergebnis der quantitativen Fehlerbaumauswertung stellt letzten Endes die Berechnung der Ausfallwahrscheinlichkeit für das TOP-Ereignis dar, das gleichzeitig die Ausfallwahrscheinlichkeit des Gesamtsystems repräsentiert. n n P TOP =∑ P MCS −∑ P MCS ∩MCS i i j i =1 i j n (2.7)  ∑ P MCS ∩MCS i j ∩MCS k −⋯−1 n−1 P MCS ∩MCS ∩∩MCS 1 2 n i  j k m P MCS =∏ P B i j (2.8) j=1 wobei P B die Wahrscheinlichkeit des elementaren Ereignisses B j ist, das den j Ausfall der zugehörigen Komponente beschreibt; B j sind voneinander unabhängige Ereignisse; P MCS ist die Wahrscheinlichkeit der minimalen Schnittmenge i ; m i ist die Anzahl der elementaren Ereignisse in der minimalen Schnittmenge i ; n ist die Anzahl der minimalen Schnittmengen. Manchmal ist es ausreichend nur den ersten Summanden der Gleichung (2.7) zu betrachten, vor allem, wenn man im Auge behält, dass die berechnete Ausfallwahr- scheinlichkeit des Gesamtsystems auch durch so eine Approximation immer noch akzeptabel bleibt. Für den in Abbildung 2.5 dargestellten Fehlerbaum wird die approximierte Variante, also die Gleichung (2.9) verwendet. n P TOP =∑ P MCS i (2.9) i=1 Neben der Berechnung von Ausfallwahrscheinlichkeiten ermöglicht die quantitative Analyse auch eine Abschätzung der Wichtigkeit von einzelnen Elementen. Dazu existieren unterschiedliche Verfahren, unter anderem Risk Achievement Worth und Risk Reduction Worth, die im Folgenden erklärt werden. 11
  • 12. 2 Fehlerbaumanalyse Risk Achievement Worth Risk Achievement Worth (RAW) für ein elementares Ereignis k beschreibt die Erhöh- ung der Ausfallwahrscheinlichkeit für das TOP-Ereignis unter der Annahme, dass der durch das elementare Ereignis k modellierte Ausfall einer Komponente mit 100%- Wahrscheinlichkeit stattfinden wird. Die Gleichung (2.10) verdeutlicht diesen Sachverhalt: P TOP  P k =1 RAW k = (2.10) P TOP Durch diesen Ansatz lassen sich alle elementaren Ereignisse identifizieren, die ihrerseits Komponenten modellieren, die sehr gut instand gehalten werden müssen, um am effektivsten der Erhöhung des Risikos bzw. der Ausfallwahrscheinlichkeit des Gesamtsystems entgegenzuwirken. TOP= A∨G1 G1=B∧G2 G2=C∨ D MCS TOP = A∨ B∧C ∨ B∧D P BASIC EVENTS : P A , P B , PC , P D P TOP =P AP B P C P B P D Abbildung 2.5: Beispielhafter Fehlerbaum zur Ermittlung von quantitativen Zuverlässigkeitskenngrößen [Cep11] Anhand von Gleichungen (2.11) und (2.12) , die sich auf das Beispiel in Abbildung 2.5 beziehen, wird die Gleichung (2.10) noch einmal verdeutlicht. P TOP  P A=1 1P B P C P B P D RAW A = = (2.11) P A P B P C P B P D P AP B P C P B P D P TOP  P B=1 P A P C P D RAW B = = (2.12) P A P B P C P B P D P AP B P C P B P D Risk Reduction Worth Risk Reduction Worth (RRW) für ein elementares Ereignis k beschreibt die Verringe- rung der Ausfallwahrscheinlichkeit für das TOP-Ereignis unter der Annahme, dass der durch das elementare Ereignis k modellierte Ausfall einer Komponente mit 100%- Wahrscheinlichkeit nicht stattfinden wird. Die Gleichung (2.13) verdeutlicht diesen Sachverhalt: 12
  • 13. 2 Fehlerbaumanalyse P TOP RRW k = (2.13) P TOP  P k =0 Mit Hilfe dieser Formel kann man alle elementaren Ereignisse identifizieren, die dazu beitragen können, das Risiko bzw. die Ausfallwahrscheinlichkeit des Gesamtsystems am effektivsten zu reduzieren. Anhand von Gleichungen (2.14) und (2.15), die sich auf das Beispiel in Abbildung 2.5 beziehen, wird die Gleichung (2.13) noch einmal verdeutlicht. P A P B P C P B P D P AP B P C P B P D RRW A = = (2.14) P TOP  P A=0 P B PC P B P D P A P B P C P B P D P AP B P C P B P D RRW B = = (2.15) P TOP  P B =0 PA 3 Besonderheiten von Energiesystemen 3.1 Abgrenzung der Begriffe Zuverlässigkeit, Angemessenheit und Sicherheit Der Begriff Zuverlässigkeit (System Reliability) kann im Zusammenhang mit elektrischen Energiesystemen in zwei wesentliche Unterbegriffe (siehe Abbildung 3.1) unterteilt werden [Bös07]. Abbildung 3.1: Zusammenhang zwischen Zuverlässigkeit, Angemessenheit und Betriebssicherheit [Nig03] Dabei wird unter Systemangemessenheit (System Adequacy) die grundsätzliche Fähigkeit des Systems verstanden, ausreichend Energie in geforderter Versorgungs- qualität bereitzustellen, wobei hier der Schwerpunkt auf die Bereitstellung ausreichender Infrastrukturkapazitäten, d.h. auf angemessene Erzeugungs- und Transportkapazitäten gelegt wird. Das bedeutet, dass die Analyse der System- angemessenheit sich mit statischen Zuständen eines elektrischen Energiesystems befasst. Systemsicherheit (System Security) bzw. Betriebssicherheit bezieht sich dagegen auf die Fähigkeit des Systems, plötzlichen Störungen zu widerstehen. Die Analyse der Betriebssicherheit wird somit als Analyse dynamischer Zustände in einem elektrischen Energiesystem gesehen. 13
  • 14. 3 Besonderheiten von Energiesystemen 3.2 Aufbau elektrischer Energiesysteme Elektrische Energiesysteme [Elm08] sind sehr komplexe Systeme, die aus einer Vielzahl von Einrichtungen und Strukturen, Systemen und Teilsystemen, Komponen- ten und Bauelementen bestehen, die ihrerseits ein komplexes Zusammenspiel untereinander aufweisen. Generell unterscheidet man zwischen drei grundlegenden Teilsystemen (siehe Abbildung 3.2), also zwischen dem Energieerzeugungs-, Übertragungs-, und Verteilernetz. Diese Teilsysteme sind so miteinander verbunden, dass die im Energieerzeugungsnetz erzeugte Energie durch das Übertragungs-, und Verteilernetz zum Verbraucher transportiert wird, und zwar unter Einhaltung der Qualität und Zuverlässigkeit in dem Maße, in dem der Verbraucher dies beansprucht. Für diese Teilsysteme werden aber unterschiedliche Zuverlässigkeitskenngrößen definiert: • Energieerzeugungsnetz – Kenngrößen für die Beschreibung der Ange- messenheit des Netzes • Übertragungsnetz – Kenngrößen für die Beschreibung der Angemessenheit des Netzes sowie für die Bewertung dessen Betriebssicherheit (z.B. Wahr- scheinlichkeit für den kompletten Zusammenbruch (Blackout) der Stromver- sorgung) • Verteilernetz – Kenngrößen in Bezug auf Häufigkeit und Dauer der Unterbrechung der Stromversorgung. Da dieses Netz verbraucherorientiert ist, müssen Verbraucher (z.B. Haushaltskunden, gewerbliche und industrielle Abnehmer) ständig Zugang zu Energiequellen haben, so dass keine Unterbrechung der Stromversorgung stattfindet, unabhängig davon, ob sie zu dem Zeitpunkt tatsächlich Strom verbrauchen oder nicht Der Aufbau jedes einzelnen Teilsystems und deren technische Merkmale (Transforma- torenkapazität, Spannungsebenen, usw.) werden durch technisch-wirtschaftliche Aspekte festgelegt. Der vorhandene Grad an Redundanz in dem jeweiligen Teilsystem bestimmt den Grad an Zuverlässigkeit, mit der die Energie transportiert werden kann und beeinflusst somit die Höhe des Strompreises. Aus Sicht der elektrischen Energietechnik geht man aber von einem System aus, das aufgebaut wird, um die Energielieferung nach verschiedenen physikalischen Gesetzen gewährleisten zu können. Das System muss deshalb ständig in der Lage sein, das Stromnetz durch Elektrizitäts-Lastausgleich in Bezug auf die Verbrauchernachfrage zu balancieren. Zur Durchführung der Zuverlässigkeitsanalyse werden die funktionalen Bereiche, also die Teilsysteme des Energiesystems zu hierarchischen Ebenen [Hon09, Ppa11] (siehe Abbildung 3.2) zusammengefasst, so dass Zuverlässigkeitskenngrößen auf jeder einzelnen Ebene der Hierarchie berechnet werden können. Die erste Ebene (Hierarchical Level – I) umfasst die Zuverlässigkeitsanalyse, die nur auf das Energieerzeugungsnetz zugeschnitten ist. Die zweite Ebene (Hierarchical Level – II) umfasst die Zuverlässigkeitsanalyse, die sowohl für das Energieerzeugungs-, als auch für das Übertragungsnetz durchgeführt wird, wobei die einbezogenen Netze als eine Einheit betrachtet werden. Die Zuverlässigkeitsanalyse im Hinblick auf Betriebssicherheit ist für diese Ebene deutlich komplexer als für die erste Ebene, denn das Übertragungsnetz beinhaltet viele unterschiedliche Komponenten (wie z.B. Leitungen, Schaltelemente, Transformatoren, Steuer- und Schutzeinrichtungen) und erfordert eine entsprechende elektrische Simulation zur Bewertung der Zuverlässigkeit des Netzes und ihrer Komponenten. 14
  • 15. 3 Besonderheiten von Energiesystemen Abbildung 3.2: Hierarchische Ebenen eines Energiesystems in Bezug auf Zuverlässigkeitsanalyse [Hon09] In der dritten Ebene (Hierarchical Level – III) bezieht sich die Zuverlässigkeitsanalyse auf das gesamte System, also auf die drei funktionalen Bereiche. Obwohl die Zuverlässigkeitsanalyse der dritten Ebene eine wichtige Voraussetzung für das Funktionieren des Gesamtsystems darstellt, wird sie normalerweise wegen ihrer Komplexität nicht für das Gesamtsystem durchgeführt. 3.3 Beispielhafter Ansatz zur Durchführung der Zuverlässigkeitsanalyse für Energiesysteme Die Bewertung der Zuverlässigkeit eines Energiesystems ist ein wichtiger Prozess, um seine Funktionsfähigkeit aufrechterhalten zu können. Die Abbildung 3.3 zeigt, warum die Zuverlässigkeitsanalyse eine notwendige Maßnahme ist, um zu verhindern, dass ein unbedeutender Ausfall das gesamte Energiesystem und die damit verbundene Energie- versorgung lahmlegen kann. Abbildung 3.3: Schematische Darstellung der Folgen, die durch den Ausfall einer Leitung verursacht werden können [Elm08] Deshalb wird nach [Hon09] ein Ansatz vorgeschlagen, wie man in vier Schritten eine Zuverlässigkeitsanalyse für ein Energiesystem durchführen kann (siehe Abbildung 3.4), 15
  • 16. 3 Besonderheiten von Energiesystemen die dabei die typischen energiesystembezogenen Ausfälle/Störungen berücksichtigt. Abbildung 3.4: Ablauf einer fehlerbaumbasierten Zuverlässigkeitsanalyse für Energiesysteme [Hon09] • Schritt 1 – Analyse von möglichen Ausfällen/Störungen • Schritt 2 – Klassifizierung von identifizierten Problemen anhand von Ergebnissen aus Schritt 1. Dabei werden drei Zustände definiert: der Normalzustand des Systems, Zustand mit lokalen Störungen (Überlastung der Leitung, Niederspannung, Hochspannung) und Zustand mit Systemstörungen (Spannungszusammenbruch), wobei die letzten zwei Zustände die Funktions- fähigkeit des Energiesystems sehr stark beeinträchtigen können • Schritt 3 – Durchführung der Fehlerbaumanalyse in Bezug auf lokale Störungen und Systemstörungen • Schritt 4 – Bestimmung des Risk Reduction Worth (RRW) für sicherheits- 16
  • 17. 3 Besonderheiten von Energiesystemen kritische Elemente Dieser Ansatz sieht vor, dass aufgrund von klassifizierten Fehlern ein einziger Fehlerbaum konstruiert wird, der eine feste Struktur aufweist. Dabei werden zwei Arten von Kriterien festgelegt (siehe Abbildung 3.5), die unaghängig voneinander das TOP-Ereignis auslösen können. Abbildung 3.5: Fehlerbaum mit dem TOP-Ereignis in Form von (N-1)- oder (N-2)- Kriterien [Hon09] Das (N-1)-Kriterium beschreibt, dass eine Übertragungsleitung, ein Transformator oder ein Generator sich im Zustand eines planmäßigen oder gezwungen Ausfalls befindet (siehe Abbildung 3.6). Das (N-2)-Kriterium umfasst zwei Bedingungen: (i) zwei Übertragungsleitungen befinden sich im Zustand eines planmäßigen oder gezwungenen Ausfalls, oder (ii) der Generator mit der maximalen Kapazität befindet sich zusammen mit einer Übertragungsleitung im Zustand eines planmäßigen oder gezwungenen Ausfalls. Wird beispielsweise entweder das (N-1)-Ereignis oder das (N- 2)-Ereignis ausgelöst, dann muss der Normalbetrieb für das Energiesystem trotzdem eingehalten werden. Abbildung 3.6: Fehlerbaum für das (N-1)-Kriterium [Hon09] Aufgrund der Tatsache, dass für die Zuverlässigkeitsanalyse nur ein Fehlerbaum konstruiert werden muss, kann eine quantitative Analyse für den erstellten Fehlerbaum ohne Probleme durchgeführt werden. Im nächsten Kapitel (Kapitel 4) werden wir dagegen ein weiteres Verfahren kennenlernen, bei dem mehrere Fehlerbäume aufgestellt werden müssen, so dass eine quantitative Analyse in der Form, die wir sie aus dem Abschnitt 2.9 kennen, nicht möglich ist und dementsprechend erweitert werden muss. 17
  • 18. 4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme 4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme 4.1 Beschreibung der Methode Die Methode zur Durchführung der Zuverlässigkeitsanalyse, die in diesem Kapitel ausführlich vorgestellt wird, basiert auf der Analyse des Energiesystems aus Sicht jedes einzelnen Verbrauchers aus dem Verteilernetz des Systems [Vol08, Vol09, Cep11]. Auf diese Art und Weise kann das gesamte Energiesystem einer Zuverlässigkeitsanalyse unterzogen werden, die sich auf die dritte hierarchische Ebene bezieht (siehe Abschnitt 3.2) und somit die drei funktionalen Bereiche umfasst. Das Modell zur Bestimmung der Unzuverlässigkeit eines bestimmten Verbrauchers des Systems ist im Allgemeinen spezifisch für jeden einzelnen Verbraucher. Deshalb setzt sich die Bewertung der Zuverlässigkeit des Gesamtsystems aus einzelnen Bewertungen der Zuverlässigkeit der Teilsysteme bzw. Subsysteme zusammen. Da Systemmodelle vom Standpunkt der einzelnen Verbraucher sich voneinander unterscheiden, werden sie als Subsystemmodelle aufgefasst. Die gewonnenen Ergebnisse aus diesen Subsystemmodellen werden anschliessend bei der Bewertung der Zuverlässigkeit des gesamten Energiesystems verwendet. Abbildung 4.1: Ablauf einer fehlerbaumbasierten Zuverlässigkeitsanalyse aus Sicht einzelner Verbraucher eines Energiesystems (Quelle: eigene Darstellung) Diese Methode ermöglicht, dass eine Erweiterung des Energiesystems keine erhebliche Erweiterung des Modells erfordert. Dabei ist mit der Erweiterung des Energiesystems gemeint, dass die Anzahl der Knoten und/oder die Anzahl der Verbindungen zwischen 18
  • 19. 4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme den Knoten und/oder die Komplexität der Modelle der Knoten zunehmen kann. Das Energiesystem kann als System gesehen werden, dass aus einer Vielzahl von Knoten (z.B. Schaltanlagen und Transformator-Stationen) besteht, die miteinander über entsprechende Verbindungen (z.B. Stromleitungen und Energiekabel) verbunden werden können. Jeder Knoten kann mit Verbrauchern verbunden werden. Außerdem kann jeder Knoten mit einer Energiequelle (z.B. Generator oder Generatoren) sowie mit einem anderen Energiesystem verbunden werden. In Abbildung 4.2 wird die graphische Repräsentation eines beispielhaften Energiesystems mit drei Sammelschienen, drei Generatoren und drei Verbrauchern dargestellt. Damit eine fehlerbaumbasierte Bewertung der Zuverlässigkeit eines solchen Energiesystems zustande kommen kann, muss eine Reihe von Schritten (siehe Abbildung 4.1) durchgeführt werden, die in den nachfolgenden Abschnitten ausführlich erläutert werden. G1 – Generator 1 B1 – Bus 1 P1 – Verbraucher 1 L12 – Leitung zwischen B1 und B2 G2 – Generator 2 B2 – Bus 2 P2 – Verbraucher 2 L13 – Leitung zwischen B1 und B3 ... Abbildung 4.2: Schematische Darstellung eines Energiesystems [Cep11] 4.2 Darstellung der Topologie eines Energiesystems In diesem Abschnitt wird gezeigt, wie sich die Topologie eines Energiesystems auf zwei verschiedene Arten unter Verwendung der Matrixdarstellung beschreiben lässt. Adjazenzmatrix Die Adjazenzmatrix beschreibt, ob eine direkte Verbindung zwischen der Sammel- schiene i und der Sammelschiene j besteht oder nicht. Wenn eine direkte Verbindung zwischen den beiden Sammelschienen besteht, dann steht in der Matrix an der Position v ij eine 1, ansonsten eine 0. Die Diagonalelemente der Adjazenzmatrix sind immer gleich 0, da eine Sammelschiene keine direkte Verbindung zu sich selbst hat. Anhand der Abbildung 4.2, die ein beispielhaftes Energiesystem darstellt, wird im Folgenden die zugehörige Adjazenzmatrix aufgestellt.   0 1 1 A= 1 0 1 1 1 0 (4.1) Beispielsweise zeigt die erste Zeile der Adjazenzmatrix, dass die Sammelschiene 1 mit der Sammelschiene 2 und 3 verbunden ist, da die Einträge v 12 und v 13 den Wert 1 haben. Die zweite Zeile der Adjazenzmatrix zeigt, dass die Sammelschiene 2 mit der Sammelschiene 1 und 3 verbunden ist, da die Einträge v 21 und v 23 den Wert 1 haben. 19
  • 20. 4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme Verbindungsmatrix Die Verbindungsmatrix beschreibt im Wesentlichen denselben Sachverhalt wie die Adjazenzmatrix nur mit dem Unterschied, dass in der ersten Spalte der jeweiligen Zeile die laufende Nummer der entsprechenden Sammelschiene steht. Die Zahlen in den nachfolgenden Spalten der jeweiligen Zeile entsprechen den laufenden Nummern der Sammelschienen, die mit der Sammelschiene aus der ersten Spalte der jeweiligen Zeile verbunden sind. Falls es keine Verbindung zwischen ihnen besteht, dann hat der entsprechende Eintrag den Wert 0. Die Verbindungsmatrix für das in Abbildung 4.2 beschriebene Energiesystem hat dann die folgende Gestalt.   1 2 3 A= 2 1 3 3 1 2 (4.2) Die erste Zeile der Matrix zeigt, dass die Sammelschiene 1 mit der Sammelschiene 2 und 3 verbunden ist. Die zweite Zeile zeigt, dass die Sammelschiene 2 mit der Sammelschiene 1 und 3 verbunden ist, usw. 4.3 Modell der Energieflusswege Das Modell der Energieflusswege kann entweder mit Hilfe eines Funktionsbaums (Functional Tree) oder mit Hilfe eines gewurzelten Baums (Rooted Tree) beschrieben werden. Der gewurzelte Baum enthält im Gegensatz zum Funktionsbaum zusätzliche Informationen über Energieflüsse sowie über die gemessene Spannung an Energie- flusswegen. Diese Informationen werden dann bei der Konstruktion des Fehlerbaums berücksichtigt. Da im Modell der Energieflusswege alle möglichen Kombinationen von Energieflüssen mit zugehörigen Sammelschienen, Generatoren und Verbrauchern abgebildet werden, entspricht dieses Modell sehr stark einem realistischen Energie- system. Functional Tree Der Funktionsbaum für die Darstellung der Energieflusswege ist eine baumbasierte Repräsentation aller möglichen elektrischen Verbindungen von der Energiequelle zu den Verbrauchern. Die Abbildung 4.3 verdeutlicht diesen Sachverhalt. Die aufgestellten Funktionsbäume beschreiben die existierenden Energieflusswege vom Standpunkt der Verbraucher P1 und P2 aus der Abbildung 4.2. Abbildung 4.3: Schematische Darstellung der Funktionsbäume [Cep11] 20
  • 21. 4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme Der Funktionsbaum der Energieflusswege für den Verbraucher P1 (siehe Abbildung 4.3 links) beginnt mit der Sammelschiene B1, da der Verbraucher P1 über die Sammelschiene B1 mit den restlichen Energie liefernden (bzw. übertragenden) Komponenten verbunden ist. Im nächsten Schritt werden anhand der Abbildung 4.2 alle Komponenten identifiziert, die mit der Sammelschiene B1 verbunden sind, also der Generator G1, die Leitung L12 zwischen der Sammelschiene B1 und B2, die Leitung L13 zwischen der Sammelschiene B1 und B3. Der Generator G1 stellt den Endpunkt der Auflösung des entsprechenden Zweigs dar, da Generatoren als tatsächliche Energiequellen gesehen werden. Dagegen für die Leitungen L12 und L13 wird der Funktionsbaum weiter spezifiziert. Die an die Leitung L12 angeschlossene Sammelschiene B2 ist die nächste Komponente im entsprechenden Zweig des Funktionsbaums. Die Auflösung der Energieflusswege bezüglich der Sammelschiene B2 wird solange fortgesetzt, bis die Endpunkte in Form von Generatoren G2 und G3 erreicht werden. Die gleiche Vorgehensweise gilt auch für die Sammelschiene B3. Rooted Tree Der gewurzelte Baum stellt, wie bereits beschrieben, ebenfalls eine Struktur der Energieflusswege zwischen der Energiequelle und den Verbrauchern dar. Diese Struktur bezieht sich auf die Topologie des Energiesystems und wird somit anhand der zugehörigen Verbindungsmatrix (siehe Abschnitt 4.2) rekursiv aufgebaut und ist daher ebenfalls azyklisch. In Abbildung 4.4 (links) werden drei gewurzelte Bäume für die Darstellung der Energieflusswege bezüglich des Energiesystems aus der Abbildung 4.2 veranschaulicht. Abbildung 4.4: Schematische Darstellung der gewurzelten Bäume [Cep11] Die identifizierten Energieflusswege zwischen den Sammelschienen des Energie- systems können auf Konsistenz geprüft werden, damit diejenigen Energieflusswege, die diese Konsistenzkriterien nicht erfüllen, nicht in die Fehlerbaumanalyse einbezogen bzw. unter anderen Bedingungen einbezogen werden. • Test auf überlastete Leitung – Wenn es eine überlastete Leitung im Energieflussweg gibt, dann wird dieser Weg als überlastet gekennzeichnet. • Test auf erforderliche Spannung – Wenn es eine Sammelschiene mit einer 21
  • 22. 4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme verminderten Spannung gibt, die außerhalb des erlaubten Spannungs- abfallbereichs liegt, werden alle damit verbundenen Energieflusswege als vermindert gekennzeichnet. Die Abbildung 4.4 (rechts) veranschaulicht die Darstellung der Testergebnisse im gewurzelten Baum eines weiteren Beispielenergiesystems (vgl. [Cep11], S. 234). Die gestrichelten Linien verdeutlichen dabei, dass die Knoten 5 und 7 nicht alle Konsistenz- kriterien erfüllen. Nach der Aufstellung der gewurzelten Bäume kann mit der Konstruktion des Fehlerbaums und dessen Auswertung begonnen werden. Dabei gibt es drei Möglichkeiten, wie die im vorherigen Schritt aufgestellten gewurzelten Bäume in die Fehlerbaumanalyse einbezogen werden: • Möglichkeit 1 – Vernachlässigung von Testergebnissen im Hinblick auf überlastete Leitungen und erforderliche Spannung • Möglichkeit 2 – Berücksichtigung von Testergebnissen im Hinblick auf überlastete Leitungen und erforderliche Spannung, wobei damit verbundene Bauelemente/Komponenten mit deutlich höheren Ausfallwahrscheinlichkeiten versehen werden • Möglichkeit 3 – Entfernen von Energie übertragenden Komponenten, also von Testergebnissen im Hinblick auf überlastete Leitungen und erforderliche Spannung, vollständig aus dem topologischen Modell des Energiesystems 4.4 Fehlerbaumkonstruktion Das Modell zur Bestimmung der Unzuverlässigkeit des Energiesystems vom Standpunkt eines bestimmten Verbrauchers kann mit Hilfe der Fehlerbaumanalyse realisiert werden. Sie wird für alle Verbraucher des Energiesystems durchgeführt, d.h. genauso wie bei der Aufstellung von Funktionsbäumen und gewurzelten Bäumen werden im Allgemeinen für n Verbraucher n Fehlerbäume aufgestellt. Für das Beispiel- energiesystem aus der Abbildung 4.2 müssen zur Bewertung der Zuverlässigkeit 3 Fehlerbäume aufgestellt werden, so dass danach für jeden konstruierten Fehlerbaum eine qualitative und eine quantitative Analyse durchgeführt werden kann. Am Beispiel des Energiesystems aus der Abbildung 4.2 wird im Folgenden die Konstruktion der Fehlerbäume aus Sicht der jeweiligen Verbraucher beschrieben. Da alle aufzustellenden Fehlerbäume anhand von zugehörigen Funktionsbäumen bzw. gewurzelten Bäumen konstruiert werden, wird in diesem Abschnitt nur die Konstruk- tion des Fehlerbaums für den Verbraucher P1 gezeigt. Der zu konstruierende Fehlerbaum vom Standpunkt des Verbrauchers P1 definiert als TOP-Ereignis, den Ausfall der Energieversorgung des Verbrauchers P1 (siehe Abbildung 4.5). Der Funktionsbaum der Energieflusswege für den Verbraucher P1 beginnt mit der Sammelschiene B1, d.h. es müssen dann nur solche elementaren bzw. Zwischenereignisse spezifiziert werden, dass sie das TOP-Ereignis auslösen können. Wenn die Sammelschiene B1 ausfällt, dann wird die Energieversorgung des Verbrauchers P1 unterbrochen. Die Energieversorgung für den Verbraucher P1 kann außerdem unterbrochen werden, wenn elektrische Energie bei der Sammelschiene B1 nicht ankommt. Mit Hilfe des Funktionsbaums lässt sich feststellen, dass es drei Möglichkeiten gibt, wie elektrische Energie zur Sammelschiene B1 gebracht werden kann. D.h. alle drei Energie liefernden Komponenten müssen ausfallen, damit die Energieversorgung zusammenbricht (Verwendung der logischen und-Verknüpfung): der Generator G1, die Leitung L12 und die damit verbundenen Komponenten, die 22
  • 23. 4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme Leitung L13 und die damit verbundenen Komponenten. Der Generator G1 wird als elementares Ereignis dargestellt, da er als Energiequelle fungiert. Die anderen zwei Ereignisse werden als Zwischenereignisse dargestellt, da es mehrere Möglichkeiten gibt, warum die Verbindung zwischen der Sammelschine B1 und B2 sowie zwischen der Sammelschiene B1 und B3 nicht aufrechterhalten werden konnte (Verwendung der logischen oder-Verknüpfung): die Leitung ist ausgefallen oder die Sammelschiene konnte nicht mit elektrischer Energie versorgt werden (siehe Abbildung 4.5). Abbildung 4.5: Fehlerbaum für die Darstellung des Ausfalls der Energielieferung an den Verbraucher P1 [Cep11] Auf diese Art und Weise kann die Konstruktion des Fehlerbaums für den Verbraucher P1 solange fortgesetzt werden, bis man alle Energieflusswege des Funktionsbaums durchlaufen und alle Energiequellen erreicht hat. Der Begriff Sammelschiene (engl. bus), der bei der Modellierung des Energiesystems verwendet wird, kann im realistischen Energiesystem durch eine Schaltanlage oder eine Transformator-Station repräsentiert werden, d.h. das elementare Ereignis für eine bestimmte Sammelschiene kann jederzeit durch einen entsprechenden Fehlerbaum ersetzt werden, der die Struktur der Ausfallereignisse für Schaltanlagen bzw. Transformator-Stationen berücksichtigt. 4.5 Fehlerbaumanalyse – Qualitative und Quantitative Analyse Wie bereits beschrieben (siehe Abschnitt 4.4), wird die qualitative Analyse für jeden 23
  • 24. 4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme konstruierten Fehlerbaum gemäß Abschnitt 2.7 durchgeführt und minimale Schnitt- mengen bezüglich jedes einzelnen Fehlerbaums bestimmt. Auf Basis der qualitativen Analyse kann für jeden einzelnen Fehlerbaum auch eine quantitative Analyse gemäß Abschnitt 2.9 durchgeführt und die jeweiligen Unzuverlässigkeiten der durch die Fehlerbäume repräsentierten Subsysteme sowie RAW- und RRW-Größen bestimmt werden. Nun gilt es zu klären, wie anhand von Unzuverlässigkeiten der einzelnen Subsysteme, die Zuverlässigkeit bzw. Unzuverlässigkeit des gesamten Energiesystems ausgedrückt werden kann. Die Zuverlässigkeit des Energiesystems R PS wird aus der Unzuverlässigkeits- kenngröße U PS , also von ihrem Komplement abgeleitet. NL Ki R PS =1−U PS=1−∑ U i (4.3) i=1 K NL Ki U PS =∑ U i (4.4) i =1 K wobei R PS die Zuverlässigkeit des Energiesystems ist; U PS ist die Unzuverlässigkeit des Energiesystems; U i ist die Unzuverlässigkeit der Energieversorgung des i-ten Verbrauchers; NL ist die Anzahl der Verbraucher im Energiesystem; K i ist die Kapazität des i-ten Verbrauchers (in MW); K i / K ist der Gewichtungsfaktor des i-ten Verbrauchers; K ist die Gesamtkapazität des Energiesystems, die sich aus der Summe der Kapazitäten einzelner Verbraucher zusammensetzt. Damit die Abschätzung der Wichtigkeit von einzelnen Komponenten in Bezug auf das gesamte Energiesystem vorgenommen werden kann, werden in Anlehnung an die Größen RAW und RRW zwei neue netzbezogene Größen NRAW (Network Risk Achievement Worth) und NRRW (Network Risk Reduction Worth) eingeführt, die sich nicht auf ein Subsystem beziehen, sondern auf alle modellierten Subsysteme und somit auf das gesamte Energiesystem. NL NL ∑ U i U k =1 K i ∑ U i K i RAW ki U PS U k =1 i=1 NRAW k = = NL = i=1 NL (4.5) U PS ∑ Ui K i ∑ U i Ki i=1 i=1 U i U k =1 RAW k = i (4.6) Ui wobei NRAW k Network Achievement Worth für ein elementares Ereignis k ist; U PS U k =1 ist die Unzuverlässigkeit des Energiesystems, wenn die Unzuverlässig- keit bzw. Ausfallwahrscheinlichkeit des elementaren Ereignisses k 100% beträgt; U i U k =1 ist die Unzuverlässigkeit der Energieversorgung des i-ten Verbrauchers, wenn die Unzuverlässigkeit bzw. die Ausfallwahrscheinlichkeit des elementaren Ereignisses k 100% beträgt; RAW ik ist der Wert von RAW für das elementare Ereignis k in Bezug auf den i-ten Verbraucher. 24
  • 25. 4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme NL NL U PS ∑Ui Ki ∑Ui Ki NRRW k = i=1 i =1 = NL = NL (4.7) U PS U k =0 Ki ∑ U i U k=0 K i ∑ U i RRW k i =1 i=1 i Ui RRW k = i (4.8) U i U k =0 wobei NRRW k Network Risk Reduction Worth für ein elementares Ereignis k ist; U PS U k =0 ist die Unzuverlässigkeit des Energiesystems, wenn die Unzuverlässig- keit bzw. die Ausfallwahrscheinlichkeit des elementaren Ereignisses k 0% beträgt; U i U k =0 ist die Unzuverlässigkeit der Energieversorgung des i-ten Verbrauchers, wenn die Unzuverlässigkeit bzw. die Ausfallwahrscheinlichkeit des elementaren Ereignisses k 0% beträgt; RRW ik ist der Wert von RRW für das elementare Ereignis k in Bezug auf den i-ten Verbraucher. 5 Fazit Im ersten Teil dieser Arbeit haben wir ein Verfahren zur Durchführung einer Zuverlässigkeitsanalyse für technische Systeme vorgestellt, die als Fehlerbaumanalyse bezeichnet wird und sich auf zwei sehr wichtige Analysemechanismen (qualitative und quantitative Analyse) stützt. Diese Mechanismen ermöglichen, Erkenntnisse darüber zu gewinnen, wie zuverlässig ein technisches System funktionieren wird, wenn einzelne Komponenten des Systems versagen oder umgekehrt noch besser funktionieren. Im zweiten Teil dieser Arbeit haben wir zwei Ansätze vorgestellt, wie eine Zuverlässig- keitsanalyse für Energiesysteme durchgeführt werden kann. Obwohl diesen beiden Ansätzen dasselbe Prinzip der Zuverlässigkeitsanalyse, nämlich das Prinzip der Fehlerbaumanalyse zugrunde liegt, unterscheiden sie sich dadurch, wie die Besonder- heiten der Energiesysteme und deren typische Ausfälle/Störungen modelliert und bei der Fehlerbaumkonstruktion berücksichtigt werden. Zusammenfassend lässt sich sagen, dass die Fehlerbaumanalyse eine flexible, in Bezug auf die qualitative und quantitative Analyse erweiterbare Methode darstellt, mit der eine Zuverlässigkeitsanalyse auch für Energiesysteme möglichst realistisch durchge- führt werden kann. 25
  • 26. Literatur Literatur Abe08 Abele, Markus: Modellierung und Bewertung hochzuverlässiger Energieboardnetz-Architekturen für sicherheitsrelevante Verbraucher in Kraftfahrzeugen. Universität Kassel, Doktorarbeit, 2008 Bös07 Böske, Johannes: Zur Ökonomie der Versorgungssicherheit in der Energiewirtschaft. LIT Verlag, 2007 Cep11 Cepin, Marko: Assessment of Power System Reliability – Methods and Applications. Springer-Verlag, 2011 Elm08 Elmakis, David: New Computational Methods in Power System Reliability. Springer-Verlag, 2008 Hon09 Hong, Ying-Yi; Lee, Lun-Hui: Reliability assessment of generation and transmission systems using fault-tree analysis. Energy Conversion and Management 50 (2009) 2810-2817, 2009 IEC06 International Standard IEC 61025: Fault Tree Analysis (FTA). International Electrotechnical Commission, 2006 Lam03 Lammintausta, Marko.; Hirvonen, Ritva; Lehtonen, Matti: Modelling of Power System Components for Reliability Analysis. IEEE Bologna Power Tech Conference, 2003 Nig03 Nighot, Rajesh U: Incorporating Substation and Switching Station Related Outages in Composite System Reliability Evaluation. University of Saskatchewan, 2003 Ppa11 Popoola, Jide Julius; Ponnle, Akinlolu Adediran; O.Ale, Thomas: Reliability Worth Assessment of Electric Power Utility in Nigeria. University of Witwatersrand, 2011 Sch04 Schwindt, Eike: Gefahrenanalyse mittels Fehlerbaumanalyse. Universität Paderborn, 2004 Thu04 Thums, Andreas: Formale Fehlerbaumanalyse. Universität Augsburg, Dissertation, 2004 Vol09 Volkanovski, Andrija; Cepin, Marko; Mavko, Borut: Application of the fault tree analysis for assessment of power system reliability. Reliability Engineering and System Safety 94 (2009) 1116-1127, 2009 Vol08 Volkanovski, Andrija: Impact of offsite power system reliability on 26
  • 27. Literatur nuclear power plant safety. University of Ljubljana, PhD thesis, 2008 27