SIL-Frage

Ich habe folgende Fragen zu Safety Integrity Level (SIL): Ein Drucktransmitter soll bei erreichen eines bestimmten Drucks ein
Signal geben, welches ein Ventil schließt. Die Wahrscheinlichkeit, dass das gegebenenfalls auch tatsächlich passiert, kann ich ja dadurch erhöhen, dass ich zwei Drucktransmitter und zwei Ventil in Serie schalte, davon ausgehend, dass es ja ausreichend ist, wenn ein Drucktransmitter und ein Ventil korrekt arbeitet. Jetzt taucht bei mir das Problem auf, dass bei zwei in Serie befindlichen Kreisen ja auch die "fälschlicherweise-Dampfventil-schliessenden" Fälle deutlich grösser werden. Seht Ihr das auch so und wie handhabt man soetwas?
--
Gruss Heiner

Add pictures here
<% if( /^image/.test(type) ){ %>
<% } %>
<%-name%>
Add image file
Upload
Am 06.09.12 17.58, schrieb Heiner Veelken:

Wird dann wohl so sein.

So, wie man das immer handhabt. Die Wahrscheinlichkeit gefährlichen Versagens des SIS muss halt den Anforderungen des SIL genügen :-)
Ein Drucktransmitter ist dann wohl nicht erste Wahl, sondern da ist vielleicht eher ein Grenzschalter angesagt? Bei Drucktransmittern werden - da i.d.R. Teil eines high demand Systems - eher auch die PFH-Werte im SIL-Datenblatt angegeben. Bei Grenzschaltern sind die PFDa-Werte für das Versagen i.d.R. (stark) unsymmetrisch, da ein fälschlicherweise auftretendes Ansprechen der Sicherheitsfunktion zwar unschön, aber eben sicherheitstechnisch unproblematisch ist. Die Dinger sind dann so designed, dass für den Verlust der Sicherheitsfunktion ein niedriger PFDa-Wert resultiert. Sowohl Ventil mit ggf. Antrieb als auch Grenzschalter werden dann so ausgesucht, dass der Verlust der Sicherheitsfunktion mit (hoffentlich hinreichend) kleinem PFDa auftritt. Je nach Anwendung kann das ja ein Öffnen oder ein Schließen des Ventils sein und auch Über- oder Unterschreiten des Druckgrenzwerts.
HTH, V.
Add pictures here
<% if( /^image/.test(type) ){ %>
<% } %>
<%-name%>
Add image file
Upload
Heiner Veelken schrieb:

Da gibt es aus meiner Sicht zwei Punkte:
a) Wie wurde der sichere Zustandes festgelegt?
b) Sicherheit ist meist das Gegenteil von Verfügbarkeit. Rein aus Sicherheitsbetrachtung ist eine schlechte Verfügbarkeit kein Problem. Der Kunde nörgelt zwar, aber es gibt nicht beides zum gleichen Preis/Aufwand.
Aus Deiner Beschreibung schließe ich erst mal, dass "Ventil bei erreichtem Druck schließen" die Sicherheitsfunktion ist. Wenn die Steuerung erkennt, dass sie nicht mehr fehlerfrei läuft ... was soll sie dann tun? Was ist der sichere Zustand, den sie "mit letzter Kraft" noch erreichen soll?
Ich vermute aus Deiner Frage, der sichere Zustand ist: "Vorsichtshalber gleich schließen, egal ob der Druck schon erreicht wurde oder nicht."
Das "fälschlicherweise-Dampfventil-schliessenden" Problem ist ein Verfügbarkeitsproblem. Entweder löst man es mit weiterem Aufwand (=teurer) oder man lässt die Anlage abschalten = in den sicheren Zustand wechseln.
Add pictures here
<% if( /^image/.test(type) ){ %>
<% } %>
<%-name%>
Add image file
Upload
On Thu, 06 Sep 2012 23:08:54 +0200, Tom Schneider
Ein Anlage die sich zerlegt, weil sie nicht sicher betrieben werden konnte ist auch nicht mehr verfügbar ....
Add pictures here
<% if( /^image/.test(type) ){ %>
<% } %>
<%-name%>
Add image file
Upload
Am 06.09.12 23.08, schrieb Tom Schneider:

kommt immer darauf an - wessen Verfügbarkeit?
Eigentlich wird Sicherheit gerade durch eine hohe Verfügbarkeit von Sicherheitseinrichtungen erreicht - daher auch bspw. der Selbsttest der Airbag-Auslösefunktion bei jedem Einschalten der Zündung.
Ein sicherer Zustand ist bei Nichtverfügbarkeit der Sicherheitseinrichtung normalerweise nicht mehr gegeben...
V.
Add pictures here
<% if( /^image/.test(type) ){ %>
<% } %>
<%-name%>
Add image file
Upload
Am 06.09.12 23.08, schrieb Tom Schneider:

kommt immer darauf an - wessen Verfügbarkeit?
Eigentlich wird Sicherheit gerade durch eine hohe Verfügbarkeit von Sicherheitseinrichtungen erreicht - daher auch bspw. der Selbsttest der Airbag-Auslösefunktion bei jedem Einschalten der Zündung.
Ein sicherer Zustand ist bei Nichtverfügbarkeit der Sicherheitseinrichtung im ersten Fehlerfall normalerweise nicht mehr garantiert...
V.
Add pictures here
<% if( /^image/.test(type) ){ %>
<% } %>
<%-name%>
Add image file
Upload
Volker Staben schrieb:

Definitiv Nein - es sei denn, wir missverstehen uns.
Mit Verfügbarkeit meine ich, dass die Anlage selbsttätig einen Fehler erkennen und ausgleicht. Das Problem dabei: Die Anlage muss aus Indizien heraus interpretieren, welcher Fehler vorliegt, um weiterhin ordnungsgemäß zu laufen.
Wenn die Interpretation nicht eindeutig ist (was in der Regel ab dem Zweitfehler möglich ist), dann kann die Entscheidung auch falsch sein.
Sicherheit heißt, dass die Anlage bei einem Fehler ohne wenn und aber in den sicheren Zustand geht, statt den Fehler zu interpretieren.
Beispiel: Ein Taster, der über drei Sensoren ausgelesen wird. Wenn ein Sensor AN und zwei Sensoren AUS sind, was liegt dann vor?
Eine fehlertolerante Anlage wird in der Regel einen Einfachfehler annehmen und eine Mehrheitsentscheidung vornehmen, also auf 2 x AUS reagieren und nicht auf 1 x AN.
Wenn die Ursache aber ein Common Cause Fehler oder ein Doppelfehler bei den Sensoren war, wäre 1 x AN richtig, was die auf Verfügbarkeit getrimmte Anlage aber nicht vom Einfachfehler unterscheiden kann und auch diesen Fall wie einen Einfachfehler korrigiert - also falsch korrigiert.

Ja, aber das Versagen der Sicherheitseinrichtung kann ein latenter Fehler sein und wäre dann nicht ein gefährlicher Fehler. Die Anlage läuft dann normal weiter, kann aber ihre Fehlerzustände nicht mehr diagnostizieren und behandeln.
Add pictures here
<% if( /^image/.test(type) ){ %>
<% } %>
<%-name%>
Add image file
Upload
Am 09.09.12 00.01, schrieb Tom Schneider:

Davon gehe ich jetzt mal aus, vorsichtshalber.

In der Sicherheitstechnik nimmt man i.d.R. keine Indizien, sondern Mess- oder Grenzwerte. Die Anlage interpretiert auch nicht: der Planer plant mit geeigneten Werkzeugen die Anlage so, dass sie den sicherheitstechnischen Anforderungen entspricht.

Nein. Sicherheit heißt, das Risiko, das von einer Anlage ausgeht, unter ein akzeptiertes Grenzrisiko zu senken.
Wenn wir von einem bestimmten Schadenausmaß ausgehen, dann bedeutet dies: Sicherheit heißt, die Wahrscheinlichkeit eines zum Schaden führenden Ereignisses unter eine akzeptierte Grenze zu senken.

Hoffentlich nicht. Sie wurde doch hoffentlich so geplant, dass ein sicherer Zustand erreicht wird. Wenn dieser "AN" ist, dann auf "AN", wenn der sichere Zustand aber "AUS" ist, dann auf "AUS".
Beispiel: Füllstand in einem Tank überwachen. Drei Füllstandgrenzschalter A, B, C sind vorhanden.
Szenario 1 - Überfüllsicherung. Hier sollte das Zulaufventil abgesperrt werden, wenn A oder B oder C eine Überschreitung des Grenzfüllstands signalisieren.
Szenario 2 - Trockengehschutz für eine Pumpe, die nicht wegen Trockenfallen überhitzen soll. Hier sollte die Pumpe laufen dürfen, wenn A und B und C eine Überschreitung des Grenzfüllstands melden.
Eine reine Mehrheitsentscheidung bringts nicht.

Und genau deswegen ist eine hohe Verfügbarkeit einer Sicherheitseinrichtung entscheidend für die Sicherheit - s.o.
Add pictures here
<% if( /^image/.test(type) ){ %>
<% } %>
<%-name%>
Add image file
Upload
Volker Staben schrieb:

> ...

Ich glaube, ich weiß jetzt auch, woher das Problem kommt: In der Frage wurde explizit zum SIL gefragt. Damit geht es für mich um die Einhaltung der IEC 61508, d.h. im Teil 3 Software um die Arbeitsprodukte in Tabelle 1.
Falls ein anderer SIL aus einer anderen Norm gemeint ist, habe ich das Thema falsch verstanden.
Sonst würde ich sagen: Die Bestmmung von Mess- und Grenzwerten ist da meines Erachtens nicht Gegenstand der IEC, das ist Teil des Designs. Die IEC verlangt gewisse Maßnahmen, die die Form der Entwicklung betreffen, nicht den Inhalt.

Das ist eine der Kennziffern der IEC, die PFH.

Das Problem meiner Kunden ist, dass sie bei der Wahl zwischen einem Liegenbleiber und einem vorsichtigen System lieber das Problem bis zum nächsten Service verstecken möchten. Ein Liegenbleiber ist halt zu peinlich, wenn nur ein Lämpchen (auch wenn es den Ausfall der Bremsfunktion signalisieren soll) nicht mehr geht.

Entspricht meinem Taster - vorausgesetzt, wir meinen beide, dass die Geber A, B, C Komponenten des gleichen Systems sind und nicht verschiedene Geber an verschiedenen stellen darstellen.
Add pictures here
<% if( /^image/.test(type) ){ %>
<% } %>
<%-name%>
Add image file
Upload
Am 10.09.12 21.40, schrieb Tom Schneider:

Meine Antwort bezog sich auf DIN EN 61508 - Funktionale Sicherheit.

Nein. Die PFH oder PFDa ist eine sicherheitsbezogene Kennzahl einer Komponente (Sensor, Aktor, Grenzschalter,...), die die Wahrscheinlichkeit des Versagens genau dieser Komponente beziffert.
Die Wahrscheinlichkeit eines zum Schden führenden Ereignisses ist die Wahrscheinlichkeit des entsprechenden TOP-Ereignisses einer FTA des Gesamtsystems. In die Berechnung dieser Wahrscheinlichkeit eines TOP-Ereignisses gehen die Wahrscheinlichkeiten von Ereignissen unterer Ebenen der FTA ein - und ganz "unten" sind wir dsnn natürlich bei den einzelnen Komponenten und ihrem Ausfallverhalten.

Klingt nach Kfz-Branche.
Dann bleibt wohl keine Wahl, als das Lämpchen als high-demand-ystem zu betrachten und dafür zu sorgen, dass dessen Versagenswahrscheinlichkeit hinreichend klein ist.
Also Mini-FTA: Liegenbleiber liegt vor, wenn ( 1.1 Bremsanlage gestört ist und 1.2 Lampe versagt ) oder 2 Lampe versagt
Dann wäre mit
Pl : Versagenswahrscheinlichkeit der Lampe Pi : Wahrscheinlichkeit des TOP-Ereignisses Liegenbleiber Pb : Wahrscheinlichkeit Störung Bremsanlage
die Wahrscheinlichkeit Pi des TOP-Ereignisses ja gleich
Pi = Pb * Pl + Pl - Pb * Pl^2
dominiert von Pl. Also am wichtigsten ist, dass das Lämpchen funktioniert? Korrekt?

Ja. Ich hatte nur versucht, das Beispiel anschaulicher zu machen. Im Prinzip ist es egal, wo und wie die drei Geber realisiert sind. Entscheidend ist, dass man sie als getrennte Systeme durch ihr Ausfallverhalten charakterisieren kann.
Gruß, V.
Add pictures here
<% if( /^image/.test(type) ){ %>
<% } %>
<%-name%>
Add image file
Upload
Volker Staben schrieb:

Wo siehst Du da den Unterschied? Ob Komponente eines Zulieferers oder Gesamtsystem, die Entwicklung ist jeweils für sich an die Vorgaben des Kunden und seine SIL-Einstufung für die bestellte Komponente gebunden.

Verwenden wir den Begriff Komponente gleich? Die Komponente kommt von einem Zulieferer, der nach den Vorgaben (SIL und sicherheitsfunktion) des Bestellers = Kunden liefert

Jau. Und inzwischen auf dem Schwenk von der IEC zur ISO 26262

Sieht gut aus.

Naja und in meinem Falle habe ich -um im Bild zu bleiben- einem Geber, dessen Kontakten ich nicht traue und deshalb mehrere Kontakte verwende. Es ist aber eine Komponente 'Geber' die ein Ausgangssignal liefert.
Add pictures here
<% if( /^image/.test(type) ){ %>
<% } %>
<%-name%>
Add image file
Upload
Am 11.09.12 20.53, schrieb Tom Schneider:

stimmt - da ist kein grundsätzlicher Unterschied. Ich hatte das eher aus der automatisierungetechnischen Sicht gesehen - dort gibt es üblicherweise Komponentenhersteller für Sensoren, Aktoren und Steuerungen etc. und Anwender wie Planer oder Errichter von kompletten Anlagen. Die Diskussion sicherheitsrelevanter Kennzahlen hatte ich eher an der Schnittstelle zwischen Komponente und Anlage nach "unten hin" gesehen. Natürlich kann und muss man auch die komplette Anlage durch eine Wahrscheinlichkeit des gefährlichen Versagens kennzeichnen, also durch Angabe eines bzw. Forderung an einen PFH-Wert.

Ich denke schon. Im Grunde geht es aber bei der allgemeinen Sicherheitsdiskussion nicht um zwei Gliederungshierarchien "Anlage" und Komponente", sondern um (beliebig viele) einander über- bzw. unterlagerte Subsysteme.

Danke für den Hinweis. Kfz ist nicht so meine Baustelle, eher die Automatisierungstechnik. Wusste ich nicht, dass die Funktionale Sicherheit auch im Kfz-Bereich inzwischen formalisiert abgearbeitet wird.

Wenn Du das Versagensverhalten jedes der Kontakte unabhängig voneinander beschreiben kannst, sollte es kein Problem sein, die unabhängig zu betrachten - wobei man natürlich common cause-Phänomene mit analysieren müsste.
Im Grunde gehts bei einer FTA um die Berechnung von Wahrscheinlichkeiten von verknüpften Ereignissen, die wiederum bestimmte Wahrscheinlichkeiten besitzen. Diese Analyse wird ja an Hand eines Modells der kausalen Beziehungen durchgeführt. Wie immer muss das Modell natürlich die Realität hinreichend gut beschreiben - was natürlich durch Verifikation nachzuweisen ist. Aber wie die Realitätst tatsächlich "ist", ist doch nach dem Schritt der Modellbildung eigentlich unerheblich?
Gruß, Volker.
Add pictures here
<% if( /^image/.test(type) ){ %>
<% } %>
<%-name%>
Add image file
Upload
Volker Staben schrieb:

Die bayrischen Musterknaben machen das schon länger, teilweise auch nach der IEC, als die ISO noch in den WD/DIS-Stadien war.

Da geht es dann um die Frage, ob der sichere Zustand nicht automatisch erreicht wird, z.B. weil der "Tod" einer Komponente mit dem sicheren Zustand zusammenfällt.

Habe den Spaß gerade hautnah beobachten können, erst die FMEDA und damit dann in die FTA, die günstigere Ausfallraten liefert.

Naja, spätestens bei der Produktbeobachtung im Feld sollte sich das Modell auch in der Realität bewähren, sonst wird zuerst der OEM nervös ...
Add pictures here
<% if( /^image/.test(type) ){ %>
<% } %>
<%-name%>
Add image file
Upload
Am 14.09.12 21.52, schrieb Tom Schneider:

haben die das auch schon Mitte der 80er Jahre des vorigen Jahrhunderts gemacht? DIN 25424 ist AFAIR um die Zeit entstanden.

das ist klar - zu jeder Modellbildung gehört die Validierung. An endless loop.
Gruß, V.
Add pictures here
<% if( /^image/.test(type) ){ %>
<% } %>
<%-name%>
Add image file
Upload

Polytechforum.com is a website by engineers for engineers. It is not affiliated with any of manufacturers or vendors discussed here. All logos and trade names are the property of their respective owners.