Um Ausfallwahrscheinlichkeiten und FIT-Raten geht es in diesem Abschnitt aus dem Bereich Funktionaler Sicherheit. „Failure in Time“ (FIT) beschreibt die Ausfallrate technischer Komponenten, insbesondere elektronischer Bauteile. Die Einheit FIT gibt dabei die Anzahl der Bauteile an, welche in 109 Stunden ausfallen (Ausfallrate bei 1 Fit also rein rechnerisch einmal in ca. 114.000 Jahren).

Bauteile mit einem hohen FIT-Wert fallen statistisch gesehen häufiger aus als solche mit einem niedrigen Wert. Mit Hilfe der FIT-Werte einzelner Bauteile lässt sich die Ausfallwahrscheinlichkeit komplexer Geräte bereits in der Konstruktions- oder Planungsphase berechnen (oder sagen wir besser: abschätzen). Hierbei geht man davon aus (falls keine Redundanzen vorliegen), dass der Ausfall eines beliebigen Einzelteils zum Versagen des ganzen Gerätes führt. Aus der Summe der Ausfallraten der Einzelteile ergibt sich somit die Ausfallrate des ganzen Gerätes.

Wie alle statistischen Kenngrößen kann eine FIT-Berechnung keine Aussage über Fehler eines bestimmten Einzelgerätes liefern, sondern immer nur Anhaltspunkte für eine größere Serie geben.

Oberflächenmontierte Bauteile (SMD - Surface Mounted Device) haben teilweise wesentlich günstigere Werte. Diese Werte sind nur als Anhaltspunkte zu nehmen, da sie je nach Literaturquelle und Bauteil durchaus um den Faktor 10 unterschiedlich angegeben werden. Zusätzlich sind die Werte sehr stark von der Temperatur abhängig: eine Temperaturerhöhung um 25 °C verzehnfacht die Ausfallrate (Gesetz von Arrhenius). Auch die Umgebung ist zu berücksichtigen (Feuchtigkeit, Höhe, Strahlung, Erschütterungen, usw.). Die MTTF (Mean Time To Failure - mittlere Zeit bis zum Auftreten eines Fehlers (an nicht reparierbaren technischen Systemen) - also die wahrscheinliche mittlere Lebensdauer) ist der Kehrwert der Ausfallrate. Mathematisch exakt gilt das jedoch nur für eine zeitinvariante (=konstante) Ausfallrate.

Normen zu Ausfallwahrscheinlichkeiten:

Die bekannteste und älteste Zusammenfassung von Ausfallwahrscheinlichkeiten ist das US-Handbuch MIL-STD-217. Dieses rechnet jedoch mit FpmH (Failures per million hours), also der Ausfallwahrscheinlichkeit nach einer Million Betriebsstunden. Der Wert ist durch Multiplikation mit 10³ in FIT umzurechnen.

Eine weitere eingeführte Ausfallwahrscheinlichkeitsquelle ist die Siemens-Norm SN 29500, die es ermöglicht, für die gebräuchlichsten elektronischen und elektromechanischen Bauteile FIT-Werte anhand von bekannten Belastungsdaten zu errechnen. Diese Werks-Norm besitzt keinen offiziellen internationalen Status. Dennoch wird sie weltweit bevorzugt zur Berechnung der Kennzahlen sicherheitstechnischer Geräte sowie zur Ermittlung von Zuverlässigkeitsprognosen (Reliability Prognosis) herangezogen. Die damit gewonnenen Ausfallraten sind allesamt konservativer Natur, d.h. das Bauteil wird unabhängig von Hersteller und dessen Produktionsverfahren beurteilt, das Ergebnis befindet sich also auf der „sicheren Seite“ und muss nicht zwangsläufig die physikalische Wirklichkeit widerspiegeln.

Weitere Beispiele für Ausfallraten finden sich in der Anwendungsnorm EN ISO 13849-1, die als Nachfolger zur EN 954 diese im Jahre 2006 vollständig ersetzte, sowie in der Anwendungsnorm EN 62061 zur funktionalen Sicherheit von Maschinen und Anlagen. Weniger verbreitet ist die ursprünglich französische Norm RDF 2000 (IEC TR 62380), die auch reale Betriebszustände, wie beispielsweise Temperatureinflüsse oder Ein-/Ausschaltvorgänge berücksichtigt.

Vielleicht haben Sie schon mal von folgendem Beispiel gehört, bei dem die Sicherheit bzw. der Versagenseintritt ganz bewußt minimiert werden sollte.

Vor einigen Jahren gab es einen Unfall auf dem Warschauer Flughafen, bei dem ein Airbus nicht rechtzeitig zum Stehen kam. Was war passiert?
Die Ingenieure hatten Sicherheitsmechanismen in die Bordelektronik konstruiert, durch die der so genannte „Umkehrschub“ erst dann aktiviert werden konnte, wenn „sicher gestellt“ war, dass das Flugzeug auch tatsächlich Bodenkontakt hat. (Hintergrund: Falls der Umkehrschub eingeleitet wird, wenn sich das Flugzeug noch in der Luft befindet, dann hat das zur Folge, dass es einen Strömungsabriss gibt und das Flugzeug wie ein Stein vom Himmel fällt.) So weit, so gut!
Worüber wurde sicher gestellt, dass das Flugzeug Bodenkontakt hat? Durch diese zwei unabhängigen Mechanismen:

  • Das Fahrwerk musste eingefedert sein
  • Die Drehzahl der Räder musste über einem ganz spezifischen Wert liegen

An diesem Tag in Warschau hatte es sehr stark geregnet und die Landebahn stand völlig unter Wasser => Aquaplaning! Aus diesem Grund konnten die Räder des Flugzeugs keine entsprechende Anfangsgeschwindigkeit aufnehmen, denn sie sind quasi über den Wasserfilm ohne nennenswerte Reibung „gesurft“! Sehr wahrscheinlich stand auch der Pilot noch „auf der Bremse“, so dass die Räder vielleicht sogar still gestanden haben. Die Sensoren sendeten ordnungsgemäß, dass die Räder noch keine Drehzahl haben, die über dem festgelegten Zielwert lagen und so wurde die Anforderung des Piloten nach Umkehrschub NICHT umgesetzt.
Ergebnis: Keine Bremswirkung über die Räder und natürlich auch keinerlei Bremswirkung über den Umkehrschub! Die Auswirkung kann sich jeder vorstellen...