1 EinfhrungDas bliche Anfangsverfahren in einer System-Safety-Analyse besteht aus den folgenden Schritten:
1.1 Das System und die Systemgrenze festlegen* Was fr Objekte interagieren?* Was fr Zustande haben sie /knnen sie haben?* Was fr Relationen mit anderen Objekten haben sie?* Was fr Verhalten (Zustandsnderungen), allein oder zusammen mit anderen Objekten?
1.2 Die Umgebung beschreiben Die Umgebung ist der Teil der Auenwelt, der mit dem System teilweise interagiert
1.3 Die Schnittstelle zwischen System und Umgebung festlegenInteragierende Objekte in System und Umgebung und die Interaktionen beschreiben
1.2 Eine PHA (vorlufige Gefhrdungsanalyse) durchfhrenPreliminary Hazard Analysis (PHA, vorlufige Gefhrdungsanalyse) ist eine Hazardanalyse (HazAn),die auf Basis der groben Beschreibung in Schritt 1 gemacht werden kann. Es wird blicherweiseerwartet, dass detailliertere HazAns im Lauf der genaueren Systembeschreibung whrend derEntwicklung des Systems immer wieder durchgefhrt werden.
2 Funktionale Sicherheit und Nichtfunktionale Sicherheit
2.1 BegriffeDer Begriff der funktionalen Sicherheit behandelt die Sicherheit (hier im Sinn vom englischen Safetyund franzsischen sret) eines Systems in der Ausfhrung seiner vorgesehenen Funktionen undnicht die Sicherheit bzgl. Nebeneffekten. Z.B., dass ein Feuerwehrfahrzeug rot lackiert ist gehrt zuden Eigenschaften des Fahrzeugs, in denen es im Betrieb einfacher zu sehen und zu bemerken istund deshalb zur funktionalen Sicherheit dessen. Das der Lack keine Schadstoffe enthlt und deshalbdie Umwelt nicht belastet gehrt nicht zur vorgesehenen Funktion des Fahrzeuges und deshalb zudessen nichtfunktionaler Sicherheit.
Der Begriff der funktionalen Sicherheit umfasst z.B. elektrische Sicherheit in so weit, als dies imlaufenden Betrieb gewhrleistet bzw. nicht gewhrleistet ist. Wenn aber ein elektrisches Gert durchVandalismus beschdigt wird und dabei der Tter einen elektrischen Schlag erhlt, gehrt dieserGedanke zur nichtfunktionalen Sicherheit des Gertes.
Zur Vereinfachung der Darstellungen werden im folgenden teilweise vereinfachende Formulierungengebraucht. Ladung bezeichnet hier den elektrischen Anschluss eines Fahrzeugs an dasEnergieversorgungsnetz zum Zweck der Energieversorgung durch hierzu vorgesehene Installationen.Ladestation hier im Sinne des Lademodus 3 bezeichnet den ortsfesten Teil der Installation zurEnergieversorgung von Elektrostraenfahrzeugen; Ladesule bezeichnet eine solche Installation zurffentlichen Nutzung. Ladekabel oder Ladeleitung wird hier verkrzend verwendet fr dieLadekabelgarnitur bzw. Ladeleitungsgarnitur. Zum Vergleich mit dem Betrieb von Fahrzeugen mitVerbrennungsmotoren und zur Veranschaulichung der Situation taucht gelegentlich der Begriff derTankstellen-Situation auf. Dies beschreibt den Anschluss eines Elektrostraenfahrzeugs an eineffentliche Installation zum Zwecke der Energieversorgung, und soll keinesfalls eine Analogieherstellen zum Befllen eines Kraftstofftanks mit fossilen Brennstoffen.
2.2 Zuordnen der Ereignismglichkeiten zur funktionalen bzw. nichtfunktionalen Sicherheit
Betrachtet wird ein Elektrofahrzeug samt Ladesystem (Ladestation + Kabel + Zubehr) whrend desLadens. Folgende bemerkenswerte Ereignisse werden diskutiert.
1. Das gesamte Ensemble wrde von Vandalen mit Gewalt angegriffen. Bei der ersten Sitzung inMai 2011 wurde beschlossen, dass Vandalismus nicht zu den Szenarien der funktionalenSicherheit gehrt. Nach Einsicht in den britischen RAEng-Bericht Electric Vehicles, in dem dieMglichkeiten der Strung durch Vandalismus diskutiert und als hoch eingeschtzt wird, kam esin der Sitzung September 2011 zu berlegungen, ob dieser Ausschluss eine passendeVorgehensweise sei. Z. B. kann, was ein Vandale an Ladesule, Ladekabelstecker oderLadekabel stren kann, in vielen Fllen auch durch Kollisionen oder andere unabsichtlicheEreignissen passieren. berlegungen darber, wie Vandalen einen Ladevorgang stren knnenist deshalb auch hilfreich, um vorzustellen, was mglicherweise passieren knnte und dadurch dieEreignisse vom HAZOP mglicherweise zu erweitern.
2. Angriffe gegen eine ffentlich stehende Ladestation, die nicht in Betrieb ist, gehrt nicht zumSystemverhalten, das hier betrachtet wird. Hier wird nur das gesamte System Fahrzeug +Ladekabel + Ladestation + Stromnetz whrend eines Ladevorgangs (inklusive Herstellen undTrennen der elektrischen Verbindung) betrachtet. Das gleiche gilt fr einen Angriff auf dieLadebuchse am Elektrofahrzeug, wenn es nicht zur Aufladung an die Ladestation angeschlossenist.
3. Das gesamte Ensemble wird von einem nahen Blitzschlag heftig beeinflusst. Da ein Blitzschlagwhrend des Betriebs eines elektrischen Gertes praktisch zum Alltag gehrt, wird diesesSzenario zu denen der funktionalen Sicherheit gehren.
4. Eine hnliche externe Wirkung, aber mglicherweise viel strker, knnte durch einSonnenfleckenereignis (Solarsturm, ein elektromagnetischer Sturm) erreicht werden. DasCarrington-Ereignis von 1859 ist bekannt als das strkste seit dem Anfang der meteo-wissenschaftlichen Beobachtung und knnte zu allgemeinen Strungen im Stromnetz fhren,sowie lokale Wirkung durch elektromagnetischen Feldern in der Umgebung der Ladestationhaben.
5. Das Elektrofahrzeug wird whrend des Ladens von einem anderen Fahrzeug angefahren undmehrere Meter mitgenommen. Ladekabel mit Fahrzeugstecker sowie Ladestationsstecker undLadestation werden schweren mechanischen Krften ausgesetzt und mglicherweise beschdigt.Da Ladestationen auf Strassen vorgesehen sind und Kollisionen zwischen geparkten Autos undfahrenden Autos keine Seltenheit sind, wird dieses Szenario auch denen der funktionalenSicherheit zugeordnet.
2.3 Beschrnkung der HazAnViele mgliche Gefhrdungen werden mit den existierenden anzuwendenden Normen und dem Standder Praxis ausgeschlossen bzw. gemindert, z.B.,
die Mglichkeit eines Stromschlages whrend des Einstpseln bzw. Ausziehen eines Steckers in/aus der Steckdose
die Berhrung eines Steckers bzw. einer Steckdose unter Spannung.
Art und Umfang (Ausma) der Isolierung, die blicherweise notwendig ist, um elektrische Leitungen bestimmter Grenordnung gegen Fehlerstrme in den zu erwartenden Wettersituation zu schtzen
Die Gefhrdungen, die allein durch elektrische Sicherheit ausgeschlossen bzw. gemindert werden,werden in dieser Analyse nicht weiter betrachtet.
Ereignisse, die die elektrische Sicherheit mglicherweise in einer Weise beeinflussen , dass sie nichtmehr gewhrleistet w
