FMEA als Werkzeug im Risikomanagement

Risiko wird definiert als “Effect of uncertainty on objectives”, d.h. ein Risiko ist gemäß dieser Definition die Kombination der Schwere einer Gefahr und der Wahrscheinlichkeit des Eintritts derselben. Versicherungsmathematisch kann man beides miteinander kombinieren (multiplizieren) – also die Schadenshöhe in Geldbeträgen mit der prozentualen Wahrscheinlichkeit. Das ist dort auch ausreichend, denn die Versicherungsmathematik betrachtet immer bereits entstandene Schäden, die sich per Definition nicht mehr verhindern lassen.

Im Gegensatz dazu nutzt das Qualitäts- bzw.Risikomanagement Risikoanalysen natürlich genau zu dem Zweck, vorhandenen Risiken qualitativ und quantitativ zu bewerten und somit notwendige Maßnahmen zu identifizieren und zu ergreifen, um potentielle Gefahren noch vor deren Eintritt abzuwenden.

Dazu bedient man sich im Risikomanagement u.a. Methoden wie der FMEA.

FMEA ist die Abkürzung für Failure Mode and Effects Analysis und ist eine bewährte Methode um Failure Modes zu analysieren. FMEA und FMECA – C für Criticality – sind historisch frühe Verfahren.

Die deutsche Übersetzung Fehlermöglichkeits-Einfluss-Analyse ist leider grob irreführend bis schlichtweg falsch.

  • Failure = Ausfall / Versagen ≠ Fehler
  • Mode = Art und Weise ≠ Möglichkeit
  • Effect = Wirkung ≠ Einfluss

Es macht im Risikomanagement daher Sinn, bei der originalen englischen Terminologie zu bleiben – dann verwechselt man auch Fault, Failure und Error nicht – weil alle drei im Deutschen mit Fehler übersetzt werden, wobei diese im Englischen aber unterschiedliche Bedeutungen haben.

Failure Mode ist die Art und Weise wie etwas, z.B. ein Bauteil, ausfällt, also die gewünschte Funktion nicht mehr erfüllt. Es wird also z.B. bei einer Schraube jede Versagensart einzeln untersucht, wie Bruch, Losrappeln, Wegrosten, Abreißen, Abscheren, Verlust der Festigkeit durch Hitze, Verbiegen, usw.

Effect oder die Wirkung des Versagens ist identisch – die Schraube hält nicht mehr, was sie halten soll.

Die FMEA bietet die Möglichkeit jede einzelne Art des Versagens zu beurteilen und eine Gegenmaßnahme zu benennen. Nach der Risikominderung wird eine Risikoprioritätszahl (Risk Priority Number [RPN]) erneut ermittelt. Am niedrigeren Betrag der RPN nach der Risikominderung und der damit korrelierenden farblichen Kennzeichnung ist augenfällig, ob das Risiko tatsächlich reduziert werden konnte.

Die FMEA ist eine Tabelle, und kann als solche in verschiedenen Programmen, sowohl Tabellenkalkulationen, Textprogrammen oder auch Präsentationsprogrammen erzeugt werden, wie z.B. MS Excel oder MS Word, d.h. man braucht kein spezielles technisches System zur Durchführung einer Risikoanalyse in Form einer FMEA.  

Vorlagen für die Tabellenformate finden sich insbesondere in den historischen und nach wie vor aktuellen Normen z.B. US MIL-STD 1629A, auch validAID bietet Ihnen geeignete Templates. Die Verwendung von Tabellenkalkulationsprogrammen, wie z.B. MS Excel, bietet aufgrund der Möglichkeit der automatischen Berechnung der Risikoprioritätszahl scheinbare Vorteile, die aber mit dem Nachteil erkauft werden, dass durch die Formatierung Textzeilen verschwinden können. Daher raten wir davon grundsätzlich ab, denn niemand möchte das durch Formatierungsfehler Menschen zu Schaden kommen. Natürlich gibt es auch spezielle Software für FMEAs, deren Nutzung ist aber nicht notwendig, sondern nur optional.

In FMEAs werden für jeden Failure Mode Risikoprioritätszahlen aus den numerischen Werten für Severity [S] (Schwere der Gefahr), Occurence [O] (Auftrittswahrscheinlichkeit) und Detection [D] (Entdeckungswahrscheinlichkeit vor Eintritt der Gefahr) als Produkt S*O*D ermittelt, und zwar jeweils eine RPN vor und eine RPN nach der Risikominderung.

Die Risikoprioritätszahl RPN = S*O*D korreliert also mit dem Risiko; eine geringere RPN zeigt an, dass ein Risiko durch eine durchgeführte Maßnahme tatsächlich gemindert wurde.

Der Zweck einer Risikoprioritätszahl in einer FMEA besteht darin, beim Mindern des Risikos Prioritäten zu setzen und einen Überblick zu erhalten, ob man im Projekt vorwärts kommt.

Die Idee hinter der Berechnung der Risikoprioritätszahl als Produkt all dieser Einflussgrößen ist, dass weniger schwere Gefahren, die aber häufig bis permanent auftreten oder Gefahren, die schwer erkannt werden können, eine genauso hohe Risikoprioritätszahlen erhalten wie schwere Gefahren, die häufig auftraten, aber schnell entdeckt werden.

Dazu muss vor Beginn der Analyse eine sinnvolle und langfristig brauchbare Metrik festgelegt werden. Beachtet werden sollte auch, dass die direkte Vergleichbarkeit neuer und existierender FMEAs bei einem Wechsel der Metrik entfällt. Sowohl 3-, als auch 5-, oder 10-stufige Metriken sind seit Jahrzehnten bekannt. validAID bietet Ihnen bewährte Einstufungskriterien für medizinische Gefahren und Six Sigma an.

Severity Class [SC] ist die Einteilung der Risikoschweregrade in 4 Klassen:

1. Catastrophic
2. Major / critical
3. Minor/ marginal
4. Negligible

Risikoschweregrade und damit die Severity Class ändern sich im Regelfall durch eine Risikominderung nicht! Die Severity Class nach US MIL-STD 882 sollte in der FMEA-Tabelle deutlich sichtbar gemacht werden – bei hohen Gefahren (niedriger SC) muss, je nach Standard Operating Procedure [SOP] das Risiko auch dann gemindert werden, wenn die Risikoprioritätszahl klein, die Severity Class aber ebenfalls klein ist. Sowohl für die Severity Class als auch für die Risikoprioritätszahl ist es üblich, eine Kennzeichnung in Ampelfarben Rot, Gelb, Grün vorzunehmen. Dies wurde bereits in der US MIL-STD 882 vorgeschlagen und hat sich weltweit durchgesetzt und hervorragend bewährt.

Da eine Risikoprioritätszahl allein dennoch kein zulässiges Kriterium für die Akzeptanz eines Risikos ist, sie aber den einzigen quantitativen Wert in der FMEA darstellt, muss die Akzeptanz der summierten Restrisiken (Gesamtrisiko) ausserhalb der FMEA durch weitere Methoden erfolgen.

Vor allem aber muss man das Gesamtrisiko ermitteln – die Summe aller Risiken. Und genau hier passieren leider z.T. systematische Fehler. Oft werden für eine FMEA Kriterien festgelegt, die dann aber nur einen einzigen Failure Mode betreffen. Der Unterschied, ob man ein angeblich akzeptiertes Risiko 10-mal in Kauf nimmt oder 10.000-mal wird dabei aber ignoriert. Das Gesamtrisiko lässt sich in einer FMEA nicht ermitteln – hierfür gibt es andere Analysen und andere Verfahren – validAID unterstütz Sie hierbei gerne.

Bevor man mit der Bewertung der Failure Modes im Rahmen eine FMEA beginnen kann, braucht man zusätzlich systematische Verfahren zur Ermittlung der Failure Modes als Input für die FMEA. Dieser Input sollte darin bestehen, welche Teile oder Baugruppen tatsächlich sicherheitskritisch sind und detailliert untersucht werden müssen, denn obwohl eine FMEA ein bewährtes und hervorragendes Verfahren darstellt, um viele einzelne Failure Modes zu analysieren, muss man bedenken, dass man sich sozusagen im höchsten Detaillierungsgrad einer Produktentwicklung befindet und damit auch eine Gefahr einher geht. Wenn nämlich für jede Schraube und jedes elektronische Bauteil viele Failure Modes identifiziert werden, ergibt sich daraus eine FMEA mit sehr großem Umfang. Eine FMEA bei 10.000 Bauteilen – in der Elektronik nicht ungewöhnlich – könnte 100.000 einzelne Failure Modes aufweisen – das ist kaum handhabbar. Darüber hinaus müssten diese 100.000 Einträge alle untereinander verglichen und auf Wechselwirkungen untersucht werden – auch das ist nicht handhabbar.

In einer FMEA werden die Ergebnisse der einzelnen Failure Modes nicht zusammengeführt, hierzu benötigt man unter anderem eine Common Cause Analysis [CCA].Die Methoden Fault Tree Analysis [FTA] und Functional Hazard Analysis [FHA] wurden historisch später entwickelt und ergänzen die FMEA in den Bereichen, in denen die FMEA nicht bzw. noch nicht anwendbar ist. Diese Ergänzung ist notwendig, da in verschiedenen Phasen einer Produktentwicklung mit jeweils geeigneten, also unterschiedlichen Methoden gearbeitet werden muss. Die FMEA als Verfahren ist hervorragend, sie ist aber keine „Allzweckwaffe“!

Jedes Werkzeug ist nur so gut, wie es gehandhabt wird. Die scheinbare Einfachheit des tabellenartigen FMEA verführt dazu, die Komplexität des Risikomanagements zu unterschätzen. Beim Risikomanagement geht es immerhin um die Sicherheit von Menschen und die strafrechtliche und zivilrechtliche Produkthaftung. Sie benötigen gut ausgebildete Spezialisten mit umfangreichen Kenntnissen bzgl. der anzuwendenden Methoden, um die richtigen Lösungen für typische Probleme im Risikomanagement zu finden. Selbstverständlich hat validAID Templates und bewährte Verfahren für den gesamten Risikomanagementprozess.

Hierdurch können:

  1. FMEAs so knapp wie möglich gehalten werden.
  2. Kritische Komponenten bereits vor der FMEA identifiziert werden.
  3. Gesamt-Risiken qualitativ und quantitativ, gemäß IEC 61508, ISO 14971 sowie vielen weiteren Normen, bestimmt werden.

Autor: Kai Abrell