1. Seminar
Fortgeschrittene Themen im Software Engineering
Fehlerbaumanalyse für
Energiesysteme
Eugen Petrosean
SS 2012
Betreuer:
Jan-Philipp Steghöfer
Augsburg, den 19. Juni 2012

2. Inhaltsverzeichnis
Inhaltsverzeichnis
1 Einleitung........................................................................................3
2 Fehlerbaumanalyse.........................................................................3
2.1 Allgemeiner Ablauf einer Zuverlässigkeitsanalyse ............................................3
2.2 Verfahrensablauf zur Durchführung einer Fehlerbaumanalyse........................5
2.3 Zielsetzung für die Durchführung einer Fehlerbaumanalyse............................5
2.4 Identifizieren des unerwünschten TOP-Ereignisses..........................................6
2.5 Systemdefinition................................................................................................6
2.6 Fehlerbaumkonstruktion...................................................................................7
2.7 Qualitative Fehlerbaumauswertung...................................................................9
2.8 Probabilistische Daten für elementare Ereignisse ..........................................10
2.9 Quantitative Fehlerbaumauswertung..............................................................10
3 Besonderheiten von Energiesystemen...........................................13
3.1 Abgrenzung der Begriffe Zuverlässigkeit, Angemessenheit und Sicherheit ....13
3.2 Aufbau elektrischer Energiesysteme................................................................13
3.3 Beispielhafter Ansatz zur Durchführung der Zuverlässigkeitsanalyse für
Energiesysteme.......................................................................................................15
4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme 17
4.1 Beschreibung der Methode...............................................................................17
4.2 Darstellung der Topologie eines Energiesystems............................................19
4.3 Modell der Energieflusswege ..........................................................................20
4.4 Fehlerbaumkonstruktion.................................................................................22
4.5 Fehlerbaumanalyse – Qualitative und Quantitative Analyse..........................23
5 Fazit..............................................................................................25
Literatur..........................................................................................26

3. 1 Einleitung
1 Einleitung
Die Hauptaufgabe eines Energiesystems besteht darin, die an das System angesch-
lossenen Verbraucher möglichst kostengünstig, effizient und zuverlässig mit Energie zu
versorgen. Heutzutage beobachtet man allerdings neue Tendenzen im Bereich der
Energieversorgung, die die genannten verbraucherfreundlichen Kriterien weiterhin
bzw. noch stärker berücksichtigen müssen.
Zum einen gewinnen erneuerbare Energiequellen wie Windkraftanlagen und
Photovoltaiksysteme immer mehr an Bedeutung, so dass eine dadurch entstehende
Deregulierung im Hinblick auf Energiegewinnung einen erheblichen Einfluss auf die
Funktionsweise und Zuverlässigkeit der Energiesysteme mit den zugehörigen
Energieerzeugungs-, Übertragungs-, und Verteilernetzen hat.
Zum anderen zwingt der zunehmende Wettbewerb auf dem Energiemarkt, dass
Stromanbieter die Qualität und Effektivität ihrer Dienstleistungen ständig verbessern
müssen. Die aufzubringenden Kosten ihrerseits (z.B. für Wartungsarbeiten) sowie die
von Verbrauchern zu tragenden Kosten sollen möglichst gering gehalten werden.
Dagegen die Zuverlässigkeit und Betriebssicherheit der Energiesysteme müssen
aufrechterhalten und weiterhin verbessert werden.
Eine der etabliertesten Methoden zur Bewertung und Verbesserung der Zuverlässigkeit
eines technischen Systems, ist die Fehlerbaumanalyse, deren Anwendung in dieser
Arbeit in Bezug auf Energiesysteme genauer untersucht wird.
2 Fehlerbaumanalyse
Die Fehlerbaumanalyse [Cep11] ist eine sehr wichtige Methode zur Bewertung und
Verbesserung der Zuverlässigkeit (Reliability) eines technischen Systems sowie dessen
Sicherheit (Safety). Das Verfahren kommt in unterschiedlichen Bereichen zur
Anwendung, wie z.B. in der Atomindustrie, Luft- und Raumfahrt, chemische Industrie,
Elektroindustrie – also in solchen sicherheitskritischen Bereichen, in denen ein
möglicher Systemausfall zu fatalen Folgen führen kann.
Die Fehlerbaumanalyse ist ein analytischer Ansatz, bei dem zunächst ein
unerwünschter Zustand des Systems spezifiziert wird, der dann bei der eigentlichen
Systemanalyse (durch das Einbeziehen von umgebungsrelevanten und
einsatzspezifischen Faktoren des Systems) verwendet wird, um alle möglichen
realistischen Systemfehler zu bestimmen, die das unerwünschte Ereignis auslösen
können. Diese formale Technik zur Analyse ausfallbehafteter technischer Systeme
umfasst eine Reihe von Verfahrensschritten, die in den nachfolgenden Abschnitten
genauer erläutert werden.
2.1 Allgemeiner Ablauf einer Zuverlässigkeitsanalyse
Eine Analyse im Hinblick auf die Zuverlässigkeit eines technischen Systems umfasst
hauptsächlich zwei grundlegende Arten von Möglichkeiten, wie Systemfehler analysiert
werden können (siehe Abbildung 2.1). Die erste Analysemöglichkeit basiert auf der
Durchführung einer qualitativen Analyse, bei der Systemfehler systematisch
identifiziert, klassifiziert und bewertet werden. In diesem Fall spricht man von einer
Fehlerartenanalyse. Die zweite Möglichkeit besteht darin, eine quantitative Analyse
durchzuführen, wobei sie sich auf die Ergebnisse der qualitativen Analyse stützt, bei
der durch das Einbeziehen von Fehlerwahrscheinlichkeiten die Häufigkeit (bzw.
Wahrscheinlichkeit des Eintretens) unerwünschter Systemzustände und Ereignisse
3

4. 2 Fehlerbaumanalyse
bestimmt werden kann. In diesem Fall spricht man von einer Fehlerratenanalyse.
Abbildung 2.1: Ablauf einer Zuverlässigkeitsanalyse [Abe08]
Die Fehlerbaumanalyse ist beispielsweise eine Analyse, die sowohl auf qualitativen als
auch auf quantitativen Analysemechanismen basiert, die in den Abschnitten 2.7 und
2.9 ausführlich erläutert werden.
Da bei der Zuverlässigkeitsanalyse einer der entscheidendsten Schritte darin besteht,
Systemfehler zu identifizieren und sie danach zu klassifizieren, ist es sinnvoll den
Begriff „Systemfehler“ bzw. „Fehler“ genauer zu definieren. Im Englischen gibt es
hauptsächlich zwei Begriffe „failure“ und „fault“, die im Allgemeinen mit Fehler
übersetzt werden. Eine Abgrenzung der Begriffe „failure“ und „fault“ kann nach
[Thu04] wie folgt vorgenommen werden:
• Ausfall (failure) – Ein Ausfall ist ein Nichtausführen oder die Unfähigkeit
eines Systems bzw. einer Komponente, ihre Funktionalität für eine gegebene
Zeitspanne unter gegebenen Einflüssen auszuführen.
• Störung (fault) – Eine Störung ist ein Ereignis, das ein System in einen
unerwünschten Zustand versetzt.
Im Gegensatz zu einem Ausfall ist eine Störung damit ein übergeordnetes
Fehlerereignis. Im Allgemeinen führt jeder Ausfall zu einer Störung, jedoch liegt nicht
jeder Störung ein Ausfall zugrunde.
4

5. 2 Fehlerbaumanalyse
2.2 Verfahrensablauf zur Durchführung einer Fehlerbaumanalyse
Da das Ziel der Fehlerbaumanalyse darin besteht, systematisch die Ursachen für einen
bestimmten Systemfehler zu bestimmen und Zuverlässigkeitskenngrößen (z.B.
Häufigkeit des Systemfehlers, Wahrscheinlichkeit für den Systemausfall) zu ermitteln,
wird in Abbildung 2.2 der Zusammenhang zwischen den einzelnen Schritten zur
Durchführung einer Fehlerbaumanalyse genauer dargestellt.
Abbildung 2.2: Ablauf einer Fehlerbaumanalyse [Cepp11]
Die geklammerten Nummern in Abbildung 2.2 entsprechen den einzelnen Schritten,
die in den nachfolgenden Abschnitten näher erläutert werden.
2.3 Zielsetzung für die Durchführung einer Fehlerbaumanalyse
Im ersten Schritt der Fehlerbaumanalyse (siehe Abbildung 2.2 – 1) muss die
Zielsetzung der Analyse in Bezug auf unerwünschte Funktionsweise des Gesamtsystems
definiert werden. Die zu definierende Zielsetzung zur Durchführung der Fehler-
baumanalyse kann dabei einen oder mehrere Aspekte aus der folgenden Liste
5

6. 2 Fehlerbaumanalyse
umfassen:
• Beurteilung der Ausfallwahrscheinlichkeit des Systems bzw. der
Systemfunktion (oder Beurteilung der Zuverlässigkeit/Unzuverlässig-
keit des Systems)
• Identifizieren der wichtigsten Komponenten des Systems in Bezug auf
ihre Zuverlässigkeit
• Identifizieren der wichtigsten Komponenten des Systems in Bezug auf
ihre Wartungspriorität
• Verbesserung der Dokumentation des Systems und Aufrechterhaltung
der Kenntnisse über dessen Verhalten
2.4 Identifizieren des unerwünschten TOP-Ereignisses
Im zweiten Schritt der Fehlerbaumanalyse (siehe Abbildung 2.2 - 2) wird der zu
untersuchende Systemfehler, das sogennante TOP-Ereignis identifiziert. Da die
Fehlerbaumanalyse eine deduktive Top-Down-Methode ist, werden die Ursachen für
das Auftreten des TOP-Ereignisses mit Hilfe von logischen Verknüpfungen auf
einfachere Ereignisse (sogenannte elementare Ereignisse) zurückgeführt, die in jedem
einzelnen Fall das Versagen eines Bauteils bzw. einer Komponente des Gesamtsystems
darstellen.
Dabei kann das Versagen einer Komponente entweder als Ausfall (failure) oder als
Störung (fault) aufgefasst werden1. Kann beispielsweise ein Relais aufgrund
gebrochener Kontakte nicht geschlossen werden, wird dies als Ausfall des Relais
verstanden. Wenn aber das Relais nicht schliesst, weil das Steuersignal für den
Schliessvorgang nicht empfangen wurde, ist das kein Ausfall des Relais, sondern eine
Störung, da dadurch das Relais ebenfalls nicht funktionieren kann.
Allerdings ist der Fehlerbaum kein Modell zur Analyse von allen möglichen
Fehlerursachen für Komponenten- bzw. Subsystem-Versagen, sondern ein Modell zur
Analyse von solchen Ausfällen oder Störungen, die zum unerwünschten TOP-Ereignis
führen können.
2.5 Systemdefinition
Im dritten Schritt der Fehlerbaumanalyse (siehe Abbildung 2.2 – 3) müssen die
grundlegenden Randbedingungen festgelegt werden, die bei der Analyse unbedingt zu
berücksichtigen sind. Zu den festzulegenden Randbedingungen gehören solche Aspekte
wie:
• Scope (1) – physikalische Randbedingungen, Anfangskonfiguration des
Systems, unerlaubte Ereignisse
• Resolution (2) – Granularitätsstufe der elementaren Ereignisse
• Ground Rules (3) – formale Konventionen zur Erstellung eines
Fehlerbaums
Die Scope-Randbedingungen des Fehlerbaums (1) geben an, welche Aspekte, die zur
Auslösung von Systemfehlern beitragen können, in die Analyse einbezogen bzw. nicht
1 Eine genaure Abgrenzung der Begriffe „failure“ und „fault“ ist im Abschnitt 2.1 zu finden.
6

7. 2 Fehlerbaumanalyse
einbezogen werden. Zum einen sind das die physikalischen Randbedingungen, die die
Betriebsmittel, die Schnittstellen zu anderen Systemen sowie Hilfs- und Unterstüt-
zungssysteme umfassen. Zum anderen umfassen die Scope-Randbedingungen die
Anfangskonfiguration des Systems, also den Anfangszustand aller zugehörigen Kompo-
nenten und Unterstützungssysteme und beschreiben somit das System in seinem
normalen fehlerfreien Zustand. Durch unerlaubte Ereignisse hat man die Möglichkeit
festzulegen, welche Ereignisse in der Analyse nicht betrachtet werden sollen. Beispiels-
weise kann bei der Analyse eines Systems bestehend aus zwei Pumpen, die an einen
Tank angeschlossen sind, vorausgesetzt werden, dass die Stromzufuhr für diese
elektrischen Betankungspumpen immer vorhanden ist und somit die Notwendigkeit
entfällt, in der Analyse die Unterbrechung der Stromzufuhr zu betrachten.
Die analytische Auflösung des Fehlerbaums (2) beschreibt, bis zu welcher Granulari-
tätsstufe die elementaren Ereignisse aufgegliedert werden sollen. Wird beispielsweise
ein Dieselgenerator als eine einzige Komponente betrachtet, die bei der Analyse nicht
weiter aufgegliedert werden kann, dann beziehen sich die elementaren Ereignisse des
Fehlerbaums auf Störungen/Ausfälle des Dieselgenerators als Ganzes, wobei aus
beschriebener Sicht sich nicht so viele Fehlerursachen werden identifizieren lassen.
Eine weitere Möglichkeit der analytischen Auflösung besteht darin, dass beispielsweise
die Bauteile des Dieselgenerators als granulare Komponenten aufgefasst werden, so
dass die elementaren Ereignisse sich nicht mehr auf eine einzige Komponente, sondern
auf eine Vielzahl von Komponenten und deren Störungen/Ausfälle beziehen werden.
Zusammen mit der Art der analytischen Auflösung ist außerdem festzulegen, wie die
Grundregeln für die Fehlerbaumanalyse (3) sein könnten. Sie beschreiben in erster
Linie die Vorgehensweise, also nach welchen Regeln bzw. Kriterien die Aufstellung
eines Fehlerbaums erfolgen soll (siehe Kapitel 4)2 sowie formale Konventionen zur
Festlegung von Beschreibungen und Abkürzungen für einzelne Ereignisse.
2.6 Fehlerbaumkonstruktion
Die Konstruktion des Fehlerbaums (siehe Abbildung 2.2 – 4) ist ein weiterer Schritt in
der Fehlerbaumanalyse, bei dem der Fehlerbaum graphisch konstruiert wird, so dass er
ausgehend vom ausgewählten TOP-Ereignis unter Berücksichtigung der System-
defintion (siehe Abschnitt 2.5) Ebene für Ebene aufgestellt wird. Die Tabelle 2.1
veranschaulicht nur die wichtigsten bzw. gängigsten Elemente des Fehlerbaums. Über
weitere Symbole zur Fehlerbaumkonstruktion kann man im IEC Standard [IEC06]
nachlesen.
Symbol Name Bedeutung
Top/Zwischen- Ein Ereignis, das aus der Interaktion mehrerer
ereignis Ereignisse durch eine logische Verknüpfung re-
sultiert, unter anderem das unerwünschte
Eregnis (Top Event) und die Zwischenereig-
nisse (Intermediate Events).
Elementares Ein elementares Ereignis (Basic Event)
Ereignis repräsentiert das Versagen einer Komponente.
Es wird nicht weiter aufgegliedert und stellt
2 Im Kapitel 4 wird sehr genau auf eine aktuelle Methode zur Aufstellung eines Fehlerbaums
eingegangen, die die Besonderheiten von Energiesystemen berücksichtigt, deren Spezifität
sich im Aufbau des Fehlerbaums widerspiegeln lässt.
7

8. 2 Fehlerbaumanalyse
somit die feinste Auflösung des Fehlerbaums
dar.
Oder- Bei der Oder-Verknüpfung (Or Gate) tritt das
Verknüpfung Ausgangsereignis ein, sobald mindestens ein
Eingangseregnis eingetreten ist. Die Anzahl der
Eingänge ist beliebig.
Und- Der Ausgang der Und-Verknüpfung (And Gate)
Verknüpfung ist genau dann wahr, wenn alle seine Eingänge
wahr sind. Die Anzahl der Eingänge ist belie-
big.
Tabelle 2.1: Symbole eines Fehlerbaums
Die Beschreibung, wie die Fehlerbaumkonstruktion Ebene für Ebene abläuft, wird in
Abbildung 2.3 verdeutlicht. Die eingekreisten Nummern entsprechen den einzelnen
Schritten, die im Folgenden erläutert werden.
Abbildung 2.3: Vorgehensweise bei der Konstruktion eines Fehlerbaums [Sch04]
Die Vorgehensweise kann wie folgt beschrieben werden:
8

9. 2 Fehlerbaumanalyse
• (1) Identifizieren des unerwünschten TOP-Ereignisses
• (2) Identifizieren der Verursacher der ersten Ebene
• (3) Verbinden der Verursacher mit dem TOP-Ereignis durch logische
Verknüpfungen
• (4) Identifizieren der Verursacher der zweiten Ebene
• (5) Verbinden der Verursacher der zweiten Ebene mit dem TOP-Ereignis durch
logische Verknüpfungen
• (6) Wiederholung/Fortsetzung
Anhand von Abbildung 2.4 wird beispielhaft gezeigt, wie die graphische Repräsentation
des dargestellten Fehlerbaums in Form von booleschen Ausdrücken nach ihrer
Aufstellung beschrieben werden kann. Dieser Ansatz bzw. diese Darstellungsform wird
eine sehr wichtige Rolle bei der qualitativen Auswertung des Fehlerbaums (siehe
Abschnitt 2.7) spielen.
Abbildung 2.4: Beispielhafter Fehlerbaum für ein einfaches Beispielsystem [Cep11]
Die in Abbildung 2.4 dargestellten Ereignisse können durch folgende boolesche
Ausdrücke verdeutlicht werden:
G=GA∧GB (2.1)
GA= A1∨ A2∨ A3∨A4 (2.2)
GB=B1∨B2∨B3∨B4 (2.3)
2.7 Qualitative Fehlerbaumauswertung
Ist die Fehlerbaumkonstruktion abgeschlossen, so kann mit der qualitativen
Auswertung (siehe Abbildung 2.2 – 5) begonnen werden. Der qualitativen Auswertung
des Fehlerbaums liegt ein Prozess zugrunde, bei dem Gruppen von elementaren
Ereignissen (Minimal Cut Sets) systematisch identifiziert werden, deren gemeinsames
Eintreten genügt, um das TOP-Ereignis auszulösen. Folgende Schritte sind zur Berech-
nung der minimalen Schnittmengen nötig:
9

10. 2 Fehlerbaumanalyse
• Schritt 1 – Finde die boolschen Formeln für jede Zerlegung im Fehlerbaum
• Schritt 2 – Ersetze in der Formel des TOP-Ereignisses alle zerlegten Ereignisse
durch ihre Formeln und forme in DNF3 um
• Schritt 3 – Ersetze das nächste zerlegte Ereignis und forme in DNF um
• Schritt 4 – Wiederhole den Schritt 3 für alle noch übrigen Ereignisse
• Schritt 5 – Bilde für jeden Konjunktionsterm eine minimale Schnittmenge, die
sich aus den Literalen zusammensetzt, die in diesem Konjunktionsterm vor-
kommen
Für den Fehlerbaum aus der Abbildung 2.4 erhält man, wie bereits beschrieben, die
entsprechende boolesche Darstellungsform, wenn man in die Gleichung (2.1) die
Gleichungen (2.2) und (2.3) einsetzt:
G= A1∨A2∨A3∨ A4∧ B1∨B2∨B3∨B4 (2.4)
Nach der Umformung in DNF mit Hilfe des Distributivgesetzes erhält man die
Gleichung (2.5):
G= A1∧B1∨ A2∧B1∨ A3∧B1∨ A4∧ B1∨ A1∧B2
∨ A2∧ B2∨ A3∧B2∨ A4∧ B2∨ A1∧B3∨ A2∧B3
(2.5)
∨ A3∧B3∨ A4∧ B3∨ A1∧B4 ∨ A2∧B4∨ A3∧B4
∨ A4∧B4
Dieser Ausdruck besteht aus 16 minimalen Schnittmengen zweiter Ordnung:
{A1 , B1}, {A2 , B1}, , {A4 , B4} (2.6)
d.h. jede solche Schnittmenge enthält genau zwei elementare Ereignisse, die
gleichzeitig eintreten müssen, damit das TOP-Ereignis ausgelöst wird, das zum Ausfall
des Systems führt.
Besonders wichtig sind minimale Schnittmengen erster Ordnung, da diese nur ein
einzelnes elementares Ereignis enthalten, dessen Eintreten allein genügt, um das TOP-
Ereignis auszulösen. Solche Schnittmengen erster Ordnung werden auch als Single
Point Failure bezeichnet.
2.8 Probabilistische Daten für elementare Ereignisse
Damit man mit der quantitativen Analyse beginnen kann, muss die Bereitstellung der
probabilistischen Daten gewährleistet werden (siehe Abbildung 2.2 – 6), die
anschliessend den elementaren Ereignissen des Fehlerbaums zugeordnet werden. Die
Bereitstellung einer solchen probabilistischen Datenbank erfolgt in drei Schritten:
• Auswahl eines probabilistischen Modells (z.B. relative Häufigkeit, Binomial-
verteilung, usw.)
3 Disjunktive Normalform
10

11. 2 Fehlerbaumanalyse
• Vorbereitung probabilistischer Daten (z.B. Ausfallrate, mittlere Reparatur-
dauer, mittlere Zeitspanne bis zum Ausfall, usw.)
• Verknüpfung des probabilistischen Modells mit den geeigneten Daten aus der
Datenbank
2.9 Quantitative Fehlerbaumauswertung
Sobald probabilistische Daten auf alle elementaren Ereignisse des Fehlerbaums ange-
wendet wurden, kann die quantitative Analyse (siehe Abbildung 2.2 - 7) vorgenommen
werden. Dabei können anhand von probabilistischen Daten Ausfallwahrscheinlich-
keiten für einzelne elementare Ereignisse berechnet werden, also die Wahrschein-
lichkeiten dafür, dass sich einzelne Komponenten in einem fehlerhaften Zustand
befinden. Ausgehend von diesen Ausfallkenngrößen, kann eine Propagierung über die
die logischen Verknüpfungen zum TOP-Ereignis stattfinden.
Die zweite Möglichkeit der quantitativen Fehlerbaumauswertung besteht darin, die bei
der qualitativen Fehlerbaumanalyse berechneten Minimal Cut Sets auch in der quanti-
tativen Analyse zu verwenden. Das Ergebnis der quantitativen Fehlerbaumauswertung
stellt letzten Endes die Berechnung der Ausfallwahrscheinlichkeit für das TOP-Ereignis
dar, das gleichzeitig die Ausfallwahrscheinlichkeit des Gesamtsystems repräsentiert.
n n
P TOP =∑ P MCS −∑ P MCS ∩MCS
i i j
i =1 i j
n (2.7)
 ∑ P MCS ∩MCS
i j
∩MCS k −⋯−1
n−1
P MCS ∩MCS ∩∩MCS
1 2 n
i  j k
m
P MCS =∏ P B
i j
(2.8)
j=1
wobei P B die Wahrscheinlichkeit des elementaren Ereignisses B j ist, das den
j
Ausfall der zugehörigen Komponente beschreibt; B j sind voneinander unabhängige
Ereignisse; P MCS ist die Wahrscheinlichkeit der minimalen Schnittmenge i ; m
i
ist die Anzahl der elementaren Ereignisse in der minimalen Schnittmenge i ; n ist
die Anzahl der minimalen Schnittmengen.
Manchmal ist es ausreichend nur den ersten Summanden der Gleichung (2.7) zu
betrachten, vor allem, wenn man im Auge behält, dass die berechnete Ausfallwahr-
scheinlichkeit des Gesamtsystems auch durch so eine Approximation immer noch
akzeptabel bleibt. Für den in Abbildung 2.5 dargestellten Fehlerbaum wird die
approximierte Variante, also die Gleichung (2.9) verwendet.
n
P TOP =∑ P MCS i
(2.9)
i=1
Neben der Berechnung von Ausfallwahrscheinlichkeiten ermöglicht die quantitative
Analyse auch eine Abschätzung der Wichtigkeit von einzelnen Elementen. Dazu
existieren unterschiedliche Verfahren, unter anderem Risk Achievement Worth und
Risk Reduction Worth, die im Folgenden erklärt werden.
11

12. 2 Fehlerbaumanalyse
Risk Achievement Worth
Risk Achievement Worth (RAW) für ein elementares Ereignis k beschreibt die Erhöh-
ung der Ausfallwahrscheinlichkeit für das TOP-Ereignis unter der Annahme, dass der
durch das elementare Ereignis k modellierte Ausfall einer Komponente mit 100%-
Wahrscheinlichkeit stattfinden wird. Die Gleichung (2.10) verdeutlicht diesen
Sachverhalt:
P TOP  P k =1
RAW k = (2.10)
P TOP
Durch diesen Ansatz lassen sich alle elementaren Ereignisse identifizieren, die
ihrerseits Komponenten modellieren, die sehr gut instand gehalten werden müssen,
um am effektivsten der Erhöhung des Risikos bzw. der Ausfallwahrscheinlichkeit des
Gesamtsystems entgegenzuwirken.
TOP= A∨G1
G1=B∧G2
G2=C∨ D
MCS TOP = A∨ B∧C ∨ B∧D
P BASIC EVENTS : P A , P B , PC , P D
P TOP =P AP B P C P B P D
Abbildung 2.5: Beispielhafter Fehlerbaum zur Ermittlung von quantitativen
Zuverlässigkeitskenngrößen [Cep11]
Anhand von Gleichungen (2.11) und (2.12) , die sich auf das Beispiel in Abbildung 2.5
beziehen, wird die Gleichung (2.10) noch einmal verdeutlicht.
P TOP  P A=1 1P B P C P B P D
RAW A = = (2.11)
P A P B P C P B P D P AP B P C P B P D
P TOP  P B=1 P A P C P D
RAW B = = (2.12)
P A P B P C P B P D P AP B P C P B P D
Risk Reduction Worth
Risk Reduction Worth (RRW) für ein elementares Ereignis k beschreibt die Verringe-
rung der Ausfallwahrscheinlichkeit für das TOP-Ereignis unter der Annahme, dass der
durch das elementare Ereignis k modellierte Ausfall einer Komponente mit 100%-
Wahrscheinlichkeit nicht stattfinden wird. Die Gleichung (2.13) verdeutlicht diesen
Sachverhalt:
12

13. 2 Fehlerbaumanalyse
P TOP
RRW k = (2.13)
P TOP  P k =0
Mit Hilfe dieser Formel kann man alle elementaren Ereignisse identifizieren, die dazu
beitragen können, das Risiko bzw. die Ausfallwahrscheinlichkeit des Gesamtsystems
am effektivsten zu reduzieren.
Anhand von Gleichungen (2.14) und (2.15), die sich auf das Beispiel in Abbildung 2.5
beziehen, wird die Gleichung (2.13) noch einmal verdeutlicht.
P A P B P C P B P D P AP B P C P B P D
RRW A = = (2.14)
P TOP  P A=0 P B PC P B P D
P A P B P C P B P D P AP B P C P B P D
RRW B = = (2.15)
P TOP  P B =0 PA
3 Besonderheiten von Energiesystemen
3.1 Abgrenzung der Begriffe Zuverlässigkeit, Angemessenheit und
Sicherheit
Der Begriff Zuverlässigkeit (System Reliability) kann im Zusammenhang mit
elektrischen Energiesystemen in zwei wesentliche Unterbegriffe (siehe Abbildung 3.1)
unterteilt werden [Bös07].
Abbildung 3.1: Zusammenhang zwischen Zuverlässigkeit, Angemessenheit und
Betriebssicherheit [Nig03]
Dabei wird unter Systemangemessenheit (System Adequacy) die grundsätzliche
Fähigkeit des Systems verstanden, ausreichend Energie in geforderter Versorgungs-
qualität bereitzustellen, wobei hier der Schwerpunkt auf die Bereitstellung
ausreichender Infrastrukturkapazitäten, d.h. auf angemessene Erzeugungs- und
Transportkapazitäten gelegt wird. Das bedeutet, dass die Analyse der System-
angemessenheit sich mit statischen Zuständen eines elektrischen Energiesystems
befasst. Systemsicherheit (System Security) bzw. Betriebssicherheit bezieht sich
dagegen auf die Fähigkeit des Systems, plötzlichen Störungen zu widerstehen. Die
Analyse der Betriebssicherheit wird somit als Analyse dynamischer Zustände in einem
elektrischen Energiesystem gesehen.
13

14. 3 Besonderheiten von Energiesystemen
3.2 Aufbau elektrischer Energiesysteme
Elektrische Energiesysteme [Elm08] sind sehr komplexe Systeme, die aus einer
Vielzahl von Einrichtungen und Strukturen, Systemen und Teilsystemen, Komponen-
ten und Bauelementen bestehen, die ihrerseits ein komplexes Zusammenspiel
untereinander aufweisen. Generell unterscheidet man zwischen drei grundlegenden
Teilsystemen (siehe Abbildung 3.2), also zwischen dem Energieerzeugungs-,
Übertragungs-, und Verteilernetz.
Diese Teilsysteme sind so miteinander verbunden, dass die im Energieerzeugungsnetz
erzeugte Energie durch das Übertragungs-, und Verteilernetz zum Verbraucher
transportiert wird, und zwar unter Einhaltung der Qualität und Zuverlässigkeit in dem
Maße, in dem der Verbraucher dies beansprucht. Für diese Teilsysteme werden aber
unterschiedliche Zuverlässigkeitskenngrößen definiert:
• Energieerzeugungsnetz – Kenngrößen für die Beschreibung der Ange-
messenheit des Netzes
• Übertragungsnetz – Kenngrößen für die Beschreibung der Angemessenheit
des Netzes sowie für die Bewertung dessen Betriebssicherheit (z.B. Wahr-
scheinlichkeit für den kompletten Zusammenbruch (Blackout) der Stromver-
sorgung)
• Verteilernetz – Kenngrößen in Bezug auf Häufigkeit und Dauer der
Unterbrechung der Stromversorgung. Da dieses Netz verbraucherorientiert ist,
müssen Verbraucher (z.B. Haushaltskunden, gewerbliche und industrielle
Abnehmer) ständig Zugang zu Energiequellen haben, so dass keine
Unterbrechung der Stromversorgung stattfindet, unabhängig davon, ob sie zu
dem Zeitpunkt tatsächlich Strom verbrauchen oder nicht
Der Aufbau jedes einzelnen Teilsystems und deren technische Merkmale (Transforma-
torenkapazität, Spannungsebenen, usw.) werden durch technisch-wirtschaftliche
Aspekte festgelegt. Der vorhandene Grad an Redundanz in dem jeweiligen Teilsystem
bestimmt den Grad an Zuverlässigkeit, mit der die Energie transportiert werden kann
und beeinflusst somit die Höhe des Strompreises. Aus Sicht der elektrischen
Energietechnik geht man aber von einem System aus, das aufgebaut wird, um die
Energielieferung nach verschiedenen physikalischen Gesetzen gewährleisten zu
können. Das System muss deshalb ständig in der Lage sein, das Stromnetz durch
Elektrizitäts-Lastausgleich in Bezug auf die Verbrauchernachfrage zu balancieren.
Zur Durchführung der Zuverlässigkeitsanalyse werden die funktionalen Bereiche, also
die Teilsysteme des Energiesystems zu hierarchischen Ebenen [Hon09, Ppa11] (siehe
Abbildung 3.2) zusammengefasst, so dass Zuverlässigkeitskenngrößen auf jeder
einzelnen Ebene der Hierarchie berechnet werden können. Die erste Ebene
(Hierarchical Level – I) umfasst die Zuverlässigkeitsanalyse, die nur auf das
Energieerzeugungsnetz zugeschnitten ist. Die zweite Ebene (Hierarchical Level – II)
umfasst die Zuverlässigkeitsanalyse, die sowohl für das Energieerzeugungs-, als auch
für das Übertragungsnetz durchgeführt wird, wobei die einbezogenen Netze als eine
Einheit betrachtet werden. Die Zuverlässigkeitsanalyse im Hinblick auf
Betriebssicherheit ist für diese Ebene deutlich komplexer als für die erste Ebene, denn
das Übertragungsnetz beinhaltet viele unterschiedliche Komponenten (wie z.B.
Leitungen, Schaltelemente, Transformatoren, Steuer- und Schutzeinrichtungen) und
erfordert eine entsprechende elektrische Simulation zur Bewertung der Zuverlässigkeit
des Netzes und ihrer Komponenten.
14

15. 3 Besonderheiten von Energiesystemen
Abbildung 3.2: Hierarchische Ebenen eines Energiesystems in Bezug auf
Zuverlässigkeitsanalyse [Hon09]
In der dritten Ebene (Hierarchical Level – III) bezieht sich die Zuverlässigkeitsanalyse
auf das gesamte System, also auf die drei funktionalen Bereiche. Obwohl die
Zuverlässigkeitsanalyse der dritten Ebene eine wichtige Voraussetzung für das
Funktionieren des Gesamtsystems darstellt, wird sie normalerweise wegen ihrer
Komplexität nicht für das Gesamtsystem durchgeführt.
3.3 Beispielhafter Ansatz zur Durchführung der
Zuverlässigkeitsanalyse für Energiesysteme
Die Bewertung der Zuverlässigkeit eines Energiesystems ist ein wichtiger Prozess, um
seine Funktionsfähigkeit aufrechterhalten zu können. Die Abbildung 3.3 zeigt, warum
die Zuverlässigkeitsanalyse eine notwendige Maßnahme ist, um zu verhindern, dass ein
unbedeutender Ausfall das gesamte Energiesystem und die damit verbundene Energie-
versorgung lahmlegen kann.
Abbildung 3.3: Schematische Darstellung der Folgen, die durch den Ausfall einer
Leitung verursacht werden können [Elm08]
Deshalb wird nach [Hon09] ein Ansatz vorgeschlagen, wie man in vier Schritten eine
Zuverlässigkeitsanalyse für ein Energiesystem durchführen kann (siehe Abbildung 3.4),
15

16. 3 Besonderheiten von Energiesystemen
die dabei die typischen energiesystembezogenen Ausfälle/Störungen berücksichtigt.
Abbildung 3.4: Ablauf einer fehlerbaumbasierten Zuverlässigkeitsanalyse für
Energiesysteme [Hon09]
• Schritt 1 – Analyse von möglichen Ausfällen/Störungen
• Schritt 2 – Klassifizierung von identifizierten Problemen anhand von
Ergebnissen aus Schritt 1. Dabei werden drei Zustände definiert: der
Normalzustand des Systems, Zustand mit lokalen Störungen (Überlastung der
Leitung, Niederspannung, Hochspannung) und Zustand mit Systemstörungen
(Spannungszusammenbruch), wobei die letzten zwei Zustände die Funktions-
fähigkeit des Energiesystems sehr stark beeinträchtigen können
• Schritt 3 – Durchführung der Fehlerbaumanalyse in Bezug auf lokale
Störungen und Systemstörungen
• Schritt 4 – Bestimmung des Risk Reduction Worth (RRW) für sicherheits-
16

17. 3 Besonderheiten von Energiesystemen
kritische Elemente
Dieser Ansatz sieht vor, dass aufgrund von klassifizierten Fehlern ein einziger
Fehlerbaum konstruiert wird, der eine feste Struktur aufweist. Dabei werden zwei
Arten von Kriterien festgelegt (siehe Abbildung 3.5), die unaghängig voneinander das
TOP-Ereignis auslösen können.
Abbildung 3.5: Fehlerbaum mit dem TOP-Ereignis in Form von (N-1)- oder (N-2)-
Kriterien [Hon09]
Das (N-1)-Kriterium beschreibt, dass eine Übertragungsleitung, ein Transformator
oder ein Generator sich im Zustand eines planmäßigen oder gezwungen Ausfalls
befindet (siehe Abbildung 3.6). Das (N-2)-Kriterium umfasst zwei Bedingungen: (i)
zwei Übertragungsleitungen befinden sich im Zustand eines planmäßigen oder
gezwungenen Ausfalls, oder (ii) der Generator mit der maximalen Kapazität befindet
sich zusammen mit einer Übertragungsleitung im Zustand eines planmäßigen oder
gezwungenen Ausfalls. Wird beispielsweise entweder das (N-1)-Ereignis oder das (N-
2)-Ereignis ausgelöst, dann muss der Normalbetrieb für das Energiesystem trotzdem
eingehalten werden.
Abbildung 3.6: Fehlerbaum für das (N-1)-Kriterium [Hon09]
Aufgrund der Tatsache, dass für die Zuverlässigkeitsanalyse nur ein Fehlerbaum
konstruiert werden muss, kann eine quantitative Analyse für den erstellten Fehlerbaum
ohne Probleme durchgeführt werden. Im nächsten Kapitel (Kapitel 4) werden wir
dagegen ein weiteres Verfahren kennenlernen, bei dem mehrere Fehlerbäume
aufgestellt werden müssen, so dass eine quantitative Analyse in der Form, die wir sie
aus dem Abschnitt 2.9 kennen, nicht möglich ist und dementsprechend erweitert
werden muss.
17

18. 4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme
4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für
Energiesysteme
4.1 Beschreibung der Methode
Die Methode zur Durchführung der Zuverlässigkeitsanalyse, die in diesem Kapitel
ausführlich vorgestellt wird, basiert auf der Analyse des Energiesystems aus Sicht jedes
einzelnen Verbrauchers aus dem Verteilernetz des Systems [Vol08, Vol09, Cep11]. Auf
diese Art und Weise kann das gesamte Energiesystem einer Zuverlässigkeitsanalyse
unterzogen werden, die sich auf die dritte hierarchische Ebene bezieht (siehe Abschnitt
3.2) und somit die drei funktionalen Bereiche umfasst.
Das Modell zur Bestimmung der Unzuverlässigkeit eines bestimmten Verbrauchers des
Systems ist im Allgemeinen spezifisch für jeden einzelnen Verbraucher. Deshalb setzt
sich die Bewertung der Zuverlässigkeit des Gesamtsystems aus einzelnen Bewertungen
der Zuverlässigkeit der Teilsysteme bzw. Subsysteme zusammen. Da Systemmodelle
vom Standpunkt der einzelnen Verbraucher sich voneinander unterscheiden, werden
sie als Subsystemmodelle aufgefasst. Die gewonnenen Ergebnisse aus diesen
Subsystemmodellen werden anschliessend bei der Bewertung der Zuverlässigkeit des
gesamten Energiesystems verwendet.
Abbildung 4.1: Ablauf einer fehlerbaumbasierten Zuverlässigkeitsanalyse aus Sicht
einzelner Verbraucher eines Energiesystems (Quelle: eigene Darstellung)
Diese Methode ermöglicht, dass eine Erweiterung des Energiesystems keine erhebliche
Erweiterung des Modells erfordert. Dabei ist mit der Erweiterung des Energiesystems
gemeint, dass die Anzahl der Knoten und/oder die Anzahl der Verbindungen zwischen
18

19. 4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme
den Knoten und/oder die Komplexität der Modelle der Knoten zunehmen kann. Das
Energiesystem kann als System gesehen werden, dass aus einer Vielzahl von Knoten
(z.B. Schaltanlagen und Transformator-Stationen) besteht, die miteinander über
entsprechende Verbindungen (z.B. Stromleitungen und Energiekabel) verbunden
werden können. Jeder Knoten kann mit Verbrauchern verbunden werden. Außerdem
kann jeder Knoten mit einer Energiequelle (z.B. Generator oder Generatoren) sowie
mit einem anderen Energiesystem verbunden werden. In Abbildung 4.2 wird die
graphische Repräsentation eines beispielhaften Energiesystems mit drei
Sammelschienen, drei Generatoren und drei Verbrauchern dargestellt. Damit eine
fehlerbaumbasierte Bewertung der Zuverlässigkeit eines solchen Energiesystems
zustande kommen kann, muss eine Reihe von Schritten (siehe Abbildung 4.1)
durchgeführt werden, die in den nachfolgenden Abschnitten ausführlich erläutert
werden.
G1 – Generator 1
B1 – Bus 1
P1 – Verbraucher 1
L12 – Leitung zwischen B1 und B2
G2 – Generator 2
B2 – Bus 2
P2 – Verbraucher 2
L13 – Leitung zwischen B1 und B3
...
Abbildung 4.2: Schematische Darstellung eines Energiesystems [Cep11]
4.2 Darstellung der Topologie eines Energiesystems
In diesem Abschnitt wird gezeigt, wie sich die Topologie eines Energiesystems auf zwei
verschiedene Arten unter Verwendung der Matrixdarstellung beschreiben lässt.
Adjazenzmatrix
Die Adjazenzmatrix beschreibt, ob eine direkte Verbindung zwischen der Sammel-
schiene i und der Sammelschiene j besteht oder nicht. Wenn eine direkte Verbindung
zwischen den beiden Sammelschienen besteht, dann steht in der Matrix an der Position
v ij eine 1, ansonsten eine 0. Die Diagonalelemente der Adjazenzmatrix sind immer
gleich 0, da eine Sammelschiene keine direkte Verbindung zu sich selbst hat. Anhand
der Abbildung 4.2, die ein beispielhaftes Energiesystem darstellt, wird im Folgenden
die zugehörige Adjazenzmatrix aufgestellt.
 
0 1 1
A= 1 0 1
1 1 0
(4.1)
Beispielsweise zeigt die erste Zeile der Adjazenzmatrix, dass die Sammelschiene 1 mit
der Sammelschiene 2 und 3 verbunden ist, da die Einträge v 12 und v 13 den Wert 1
haben. Die zweite Zeile der Adjazenzmatrix zeigt, dass die Sammelschiene 2 mit der
Sammelschiene 1 und 3 verbunden ist, da die Einträge v 21 und v 23 den Wert 1
haben.
19

20. 4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme
Verbindungsmatrix
Die Verbindungsmatrix beschreibt im Wesentlichen denselben Sachverhalt wie die
Adjazenzmatrix nur mit dem Unterschied, dass in der ersten Spalte der jeweiligen Zeile
die laufende Nummer der entsprechenden Sammelschiene steht. Die Zahlen in den
nachfolgenden Spalten der jeweiligen Zeile entsprechen den laufenden Nummern der
Sammelschienen, die mit der Sammelschiene aus der ersten Spalte der jeweiligen Zeile
verbunden sind. Falls es keine Verbindung zwischen ihnen besteht, dann hat der
entsprechende Eintrag den Wert 0. Die Verbindungsmatrix für das in Abbildung 4.2
beschriebene Energiesystem hat dann die folgende Gestalt.
 
1 2 3
A= 2 1 3
3 1 2
(4.2)
Die erste Zeile der Matrix zeigt, dass die Sammelschiene 1 mit der Sammelschiene 2
und 3 verbunden ist. Die zweite Zeile zeigt, dass die Sammelschiene 2 mit der
Sammelschiene 1 und 3 verbunden ist, usw.
4.3 Modell der Energieflusswege
Das Modell der Energieflusswege kann entweder mit Hilfe eines Funktionsbaums
(Functional Tree) oder mit Hilfe eines gewurzelten Baums (Rooted Tree) beschrieben
werden. Der gewurzelte Baum enthält im Gegensatz zum Funktionsbaum zusätzliche
Informationen über Energieflüsse sowie über die gemessene Spannung an Energie-
flusswegen. Diese Informationen werden dann bei der Konstruktion des Fehlerbaums
berücksichtigt. Da im Modell der Energieflusswege alle möglichen Kombinationen von
Energieflüssen mit zugehörigen Sammelschienen, Generatoren und Verbrauchern
abgebildet werden, entspricht dieses Modell sehr stark einem realistischen Energie-
system.
Functional Tree
Der Funktionsbaum für die Darstellung der Energieflusswege ist eine baumbasierte
Repräsentation aller möglichen elektrischen Verbindungen von der Energiequelle zu
den Verbrauchern. Die Abbildung 4.3 verdeutlicht diesen Sachverhalt. Die aufgestellten
Funktionsbäume beschreiben die existierenden Energieflusswege vom Standpunkt der
Verbraucher P1 und P2 aus der Abbildung 4.2.
Abbildung 4.3: Schematische Darstellung der Funktionsbäume [Cep11]
20

21. 4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme
Der Funktionsbaum der Energieflusswege für den Verbraucher P1 (siehe Abbildung 4.3
links) beginnt mit der Sammelschiene B1, da der Verbraucher P1 über die
Sammelschiene B1 mit den restlichen Energie liefernden (bzw. übertragenden)
Komponenten verbunden ist. Im nächsten Schritt werden anhand der Abbildung 4.2
alle Komponenten identifiziert, die mit der Sammelschiene B1 verbunden sind, also der
Generator G1, die Leitung L12 zwischen der Sammelschiene B1 und B2, die Leitung L13
zwischen der Sammelschiene B1 und B3. Der Generator G1 stellt den Endpunkt der
Auflösung des entsprechenden Zweigs dar, da Generatoren als tatsächliche
Energiequellen gesehen werden. Dagegen für die Leitungen L12 und L13 wird der
Funktionsbaum weiter spezifiziert. Die an die Leitung L12 angeschlossene
Sammelschiene B2 ist die nächste Komponente im entsprechenden Zweig des
Funktionsbaums. Die Auflösung der Energieflusswege bezüglich der Sammelschiene B2
wird solange fortgesetzt, bis die Endpunkte in Form von Generatoren G2 und G3
erreicht werden. Die gleiche Vorgehensweise gilt auch für die Sammelschiene B3.
Rooted Tree
Der gewurzelte Baum stellt, wie bereits beschrieben, ebenfalls eine Struktur der
Energieflusswege zwischen der Energiequelle und den Verbrauchern dar. Diese
Struktur bezieht sich auf die Topologie des Energiesystems und wird somit anhand der
zugehörigen Verbindungsmatrix (siehe Abschnitt 4.2) rekursiv aufgebaut und ist daher
ebenfalls azyklisch. In Abbildung 4.4 (links) werden drei gewurzelte Bäume für die
Darstellung der Energieflusswege bezüglich des Energiesystems aus der Abbildung 4.2
veranschaulicht.
Abbildung 4.4: Schematische Darstellung der gewurzelten Bäume [Cep11]
Die identifizierten Energieflusswege zwischen den Sammelschienen des Energie-
systems können auf Konsistenz geprüft werden, damit diejenigen Energieflusswege, die
diese Konsistenzkriterien nicht erfüllen, nicht in die Fehlerbaumanalyse einbezogen
bzw. unter anderen Bedingungen einbezogen werden.
• Test auf überlastete Leitung – Wenn es eine überlastete Leitung im
Energieflussweg gibt, dann wird dieser Weg als überlastet gekennzeichnet.
• Test auf erforderliche Spannung – Wenn es eine Sammelschiene mit einer
21

22. 4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme
verminderten Spannung gibt, die außerhalb des erlaubten Spannungs-
abfallbereichs liegt, werden alle damit verbundenen Energieflusswege als
vermindert gekennzeichnet.
Die Abbildung 4.4 (rechts) veranschaulicht die Darstellung der Testergebnisse im
gewurzelten Baum eines weiteren Beispielenergiesystems (vgl. [Cep11], S. 234). Die
gestrichelten Linien verdeutlichen dabei, dass die Knoten 5 und 7 nicht alle Konsistenz-
kriterien erfüllen.
Nach der Aufstellung der gewurzelten Bäume kann mit der Konstruktion des
Fehlerbaums und dessen Auswertung begonnen werden. Dabei gibt es drei
Möglichkeiten, wie die im vorherigen Schritt aufgestellten gewurzelten Bäume in die
Fehlerbaumanalyse einbezogen werden:
• Möglichkeit 1 – Vernachlässigung von Testergebnissen im Hinblick auf
überlastete Leitungen und erforderliche Spannung
• Möglichkeit 2 – Berücksichtigung von Testergebnissen im Hinblick auf
überlastete Leitungen und erforderliche Spannung, wobei damit verbundene
Bauelemente/Komponenten mit deutlich höheren Ausfallwahrscheinlichkeiten
versehen werden
• Möglichkeit 3 – Entfernen von Energie übertragenden Komponenten, also
von Testergebnissen im Hinblick auf überlastete Leitungen und erforderliche
Spannung, vollständig aus dem topologischen Modell des Energiesystems
4.4 Fehlerbaumkonstruktion
Das Modell zur Bestimmung der Unzuverlässigkeit des Energiesystems vom
Standpunkt eines bestimmten Verbrauchers kann mit Hilfe der Fehlerbaumanalyse
realisiert werden. Sie wird für alle Verbraucher des Energiesystems durchgeführt, d.h.
genauso wie bei der Aufstellung von Funktionsbäumen und gewurzelten Bäumen
werden im Allgemeinen für n Verbraucher n Fehlerbäume aufgestellt. Für das Beispiel-
energiesystem aus der Abbildung 4.2 müssen zur Bewertung der Zuverlässigkeit 3
Fehlerbäume aufgestellt werden, so dass danach für jeden konstruierten Fehlerbaum
eine qualitative und eine quantitative Analyse durchgeführt werden kann.
Am Beispiel des Energiesystems aus der Abbildung 4.2 wird im Folgenden die
Konstruktion der Fehlerbäume aus Sicht der jeweiligen Verbraucher beschrieben. Da
alle aufzustellenden Fehlerbäume anhand von zugehörigen Funktionsbäumen bzw.
gewurzelten Bäumen konstruiert werden, wird in diesem Abschnitt nur die Konstruk-
tion des Fehlerbaums für den Verbraucher P1 gezeigt.
Der zu konstruierende Fehlerbaum vom Standpunkt des Verbrauchers P1 definiert als
TOP-Ereignis, den Ausfall der Energieversorgung des Verbrauchers P1 (siehe
Abbildung 4.5). Der Funktionsbaum der Energieflusswege für den Verbraucher P1
beginnt mit der Sammelschiene B1, d.h. es müssen dann nur solche elementaren bzw.
Zwischenereignisse spezifiziert werden, dass sie das TOP-Ereignis auslösen können.
Wenn die Sammelschiene B1 ausfällt, dann wird die Energieversorgung des
Verbrauchers P1 unterbrochen. Die Energieversorgung für den Verbraucher P1 kann
außerdem unterbrochen werden, wenn elektrische Energie bei der Sammelschiene B1
nicht ankommt. Mit Hilfe des Funktionsbaums lässt sich feststellen, dass es drei
Möglichkeiten gibt, wie elektrische Energie zur Sammelschiene B1 gebracht werden
kann. D.h. alle drei Energie liefernden Komponenten müssen ausfallen, damit die
Energieversorgung zusammenbricht (Verwendung der logischen und-Verknüpfung):
der Generator G1, die Leitung L12 und die damit verbundenen Komponenten, die
22

23. 4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme
Leitung L13 und die damit verbundenen Komponenten. Der Generator G1 wird als
elementares Ereignis dargestellt, da er als Energiequelle fungiert. Die anderen zwei
Ereignisse werden als Zwischenereignisse dargestellt, da es mehrere Möglichkeiten
gibt, warum die Verbindung zwischen der Sammelschine B1 und B2 sowie zwischen der
Sammelschiene B1 und B3 nicht aufrechterhalten werden konnte (Verwendung der
logischen oder-Verknüpfung): die Leitung ist ausgefallen oder die Sammelschiene
konnte nicht mit elektrischer Energie versorgt werden (siehe Abbildung 4.5).
Abbildung 4.5: Fehlerbaum für die Darstellung des Ausfalls der Energielieferung an
den Verbraucher P1 [Cep11]
Auf diese Art und Weise kann die Konstruktion des Fehlerbaums für den Verbraucher
P1 solange fortgesetzt werden, bis man alle Energieflusswege des Funktionsbaums
durchlaufen und alle Energiequellen erreicht hat.
Der Begriff Sammelschiene (engl. bus), der bei der Modellierung des Energiesystems
verwendet wird, kann im realistischen Energiesystem durch eine Schaltanlage oder
eine Transformator-Station repräsentiert werden, d.h. das elementare Ereignis für eine
bestimmte Sammelschiene kann jederzeit durch einen entsprechenden Fehlerbaum
ersetzt werden, der die Struktur der Ausfallereignisse für Schaltanlagen bzw.
Transformator-Stationen berücksichtigt.
4.5 Fehlerbaumanalyse – Qualitative und Quantitative Analyse
Wie bereits beschrieben (siehe Abschnitt 4.4), wird die qualitative Analyse für jeden
23

24. 4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme
konstruierten Fehlerbaum gemäß Abschnitt 2.7 durchgeführt und minimale Schnitt-
mengen bezüglich jedes einzelnen Fehlerbaums bestimmt. Auf Basis der qualitativen
Analyse kann für jeden einzelnen Fehlerbaum auch eine quantitative Analyse gemäß
Abschnitt 2.9 durchgeführt und die jeweiligen Unzuverlässigkeiten der durch die
Fehlerbäume repräsentierten Subsysteme sowie RAW- und RRW-Größen bestimmt
werden. Nun gilt es zu klären, wie anhand von Unzuverlässigkeiten der einzelnen
Subsysteme, die Zuverlässigkeit bzw. Unzuverlässigkeit des gesamten Energiesystems
ausgedrückt werden kann.
Die Zuverlässigkeit des Energiesystems R PS wird aus der Unzuverlässigkeits-
kenngröße U PS , also von ihrem Komplement abgeleitet.
NL
Ki
R PS =1−U PS=1−∑ U i (4.3)
i=1 K
NL
Ki
U PS =∑ U i (4.4)
i =1 K
wobei R PS die Zuverlässigkeit des Energiesystems ist; U PS ist die Unzuverlässigkeit
des Energiesystems; U i ist die Unzuverlässigkeit der Energieversorgung des i-ten
Verbrauchers; NL ist die Anzahl der Verbraucher im Energiesystem; K i ist die
Kapazität des i-ten Verbrauchers (in MW); K i / K ist der Gewichtungsfaktor des i-ten
Verbrauchers; K ist die Gesamtkapazität des Energiesystems, die sich aus der
Summe der Kapazitäten einzelner Verbraucher zusammensetzt.
Damit die Abschätzung der Wichtigkeit von einzelnen Komponenten in Bezug auf das
gesamte Energiesystem vorgenommen werden kann, werden in Anlehnung an die
Größen RAW und RRW zwei neue netzbezogene Größen NRAW (Network Risk
Achievement Worth) und NRRW (Network Risk Reduction Worth) eingeführt, die sich
nicht auf ein Subsystem beziehen, sondern auf alle modellierten Subsysteme und somit
auf das gesamte Energiesystem.
NL NL
∑ U i U k =1 K i ∑ U i K i RAW ki
U PS U k =1 i=1
NRAW k = = NL
= i=1 NL (4.5)
U PS
∑ Ui K i ∑ U i Ki
i=1 i=1
U i U k =1
RAW k =
i (4.6)
Ui
wobei NRAW k Network Achievement Worth für ein elementares Ereignis k ist;
U PS U k =1 ist die Unzuverlässigkeit des Energiesystems, wenn die Unzuverlässig-
keit bzw. Ausfallwahrscheinlichkeit des elementaren Ereignisses k 100% beträgt;
U i U k =1 ist die Unzuverlässigkeit der Energieversorgung des i-ten Verbrauchers,
wenn die Unzuverlässigkeit bzw. die Ausfallwahrscheinlichkeit des elementaren
Ereignisses k 100% beträgt; RAW ik ist der Wert von RAW für das elementare
Ereignis k in Bezug auf den i-ten Verbraucher.
24

25. 4 Fehlerbaumbasierte Zuverlässigkeitsanalyse für Energiesysteme
NL NL
U PS ∑Ui Ki ∑Ui Ki
NRRW k = i=1 i =1
= NL
= NL (4.7)
U PS U k =0 Ki
∑ U i U k=0 K i ∑ U i RRW k
i =1 i=1 i
Ui
RRW k =
i (4.8)
U i U k =0
wobei NRRW k Network Risk Reduction Worth für ein elementares Ereignis k ist;
U PS U k =0 ist die Unzuverlässigkeit des Energiesystems, wenn die Unzuverlässig-
keit bzw. die Ausfallwahrscheinlichkeit des elementaren Ereignisses k 0% beträgt;
U i U k =0 ist die Unzuverlässigkeit der Energieversorgung des i-ten Verbrauchers,
wenn die Unzuverlässigkeit bzw. die Ausfallwahrscheinlichkeit des elementaren
Ereignisses k 0% beträgt; RRW ik ist der Wert von RRW für das elementare Ereignis k
in Bezug auf den i-ten Verbraucher.
5 Fazit
Im ersten Teil dieser Arbeit haben wir ein Verfahren zur Durchführung einer
Zuverlässigkeitsanalyse für technische Systeme vorgestellt, die als Fehlerbaumanalyse
bezeichnet wird und sich auf zwei sehr wichtige Analysemechanismen (qualitative und
quantitative Analyse) stützt. Diese Mechanismen ermöglichen, Erkenntnisse darüber
zu gewinnen, wie zuverlässig ein technisches System funktionieren wird, wenn einzelne
Komponenten des Systems versagen oder umgekehrt noch besser funktionieren.
Im zweiten Teil dieser Arbeit haben wir zwei Ansätze vorgestellt, wie eine Zuverlässig-
keitsanalyse für Energiesysteme durchgeführt werden kann. Obwohl diesen beiden
Ansätzen dasselbe Prinzip der Zuverlässigkeitsanalyse, nämlich das Prinzip der
Fehlerbaumanalyse zugrunde liegt, unterscheiden sie sich dadurch, wie die Besonder-
heiten der Energiesysteme und deren typische Ausfälle/Störungen modelliert und bei
der Fehlerbaumkonstruktion berücksichtigt werden.
Zusammenfassend lässt sich sagen, dass die Fehlerbaumanalyse eine flexible, in Bezug
auf die qualitative und quantitative Analyse erweiterbare Methode darstellt, mit der
eine Zuverlässigkeitsanalyse auch für Energiesysteme möglichst realistisch durchge-
führt werden kann.
25

26. Literatur
Literatur
Abe08 Abele, Markus: Modellierung und Bewertung hochzuverlässiger
Energieboardnetz-Architekturen für sicherheitsrelevante Verbraucher in
Kraftfahrzeugen. Universität Kassel, Doktorarbeit, 2008
Bös07 Böske, Johannes: Zur Ökonomie der Versorgungssicherheit in der
Energiewirtschaft. LIT Verlag, 2007
Cep11 Cepin, Marko: Assessment of Power System Reliability – Methods and
Applications. Springer-Verlag, 2011
Elm08 Elmakis, David: New Computational Methods in Power System
Reliability. Springer-Verlag, 2008
Hon09 Hong, Ying-Yi; Lee, Lun-Hui: Reliability assessment of generation and
transmission systems using fault-tree analysis. Energy Conversion and
Management 50 (2009) 2810-2817, 2009
IEC06 International Standard IEC 61025: Fault Tree Analysis (FTA).
International Electrotechnical Commission, 2006
Lam03 Lammintausta, Marko.; Hirvonen, Ritva; Lehtonen, Matti: Modelling of
Power System Components for Reliability Analysis. IEEE Bologna Power
Tech Conference, 2003
Nig03 Nighot, Rajesh U: Incorporating Substation and Switching Station
Related Outages in Composite System Reliability Evaluation. University
of Saskatchewan, 2003
Ppa11 Popoola, Jide Julius; Ponnle, Akinlolu Adediran; O.Ale, Thomas:
Reliability Worth Assessment of Electric Power Utility in Nigeria.
University of Witwatersrand, 2011
Sch04 Schwindt, Eike: Gefahrenanalyse mittels Fehlerbaumanalyse. Universität
Paderborn, 2004
Thu04 Thums, Andreas: Formale Fehlerbaumanalyse. Universität Augsburg,
Dissertation, 2004
Vol09 Volkanovski, Andrija; Cepin, Marko; Mavko, Borut: Application of the
fault tree analysis for assessment of power system reliability. Reliability
Engineering and System Safety 94 (2009) 1116-1127, 2009
Vol08 Volkanovski, Andrija: Impact of offsite power system reliability on
26

27. Literatur
nuclear power plant safety. University of Ljubljana, PhD thesis, 2008
27