Ich habe folgende Fragen zu Safety Integrity Level (SIL):
Ein Drucktransmitter soll bei erreichen eines bestimmten Drucks ein
Signal geben, welches ein Ventil schließt. Die Wahrscheinlichkeit, dass
das gegebenenfalls auch tatsächlich passiert, kann ich ja dadurch
erhöhen, dass ich zwei Drucktransmitter und zwei Ventil in Serie
schalte, davon ausgehend, dass es ja ausreichend ist, wenn ein
Drucktransmitter und ein Ventil korrekt arbeitet.
Jetzt taucht bei mir das Problem auf, dass bei zwei in Serie
befindlichen Kreisen ja auch die
"fälschlicherweise-Dampfventil-schliessenden" Fälle deutlich grösser
werden.
Seht Ihr das auch so und wie handhabt man soetwas?
So, wie man das immer handhabt. Die Wahrscheinlichkeit gefährlichen
Versagens des SIS muss halt den Anforderungen des SIL genügen :-)
Ein Drucktransmitter ist dann wohl nicht erste Wahl, sondern da ist
vielleicht eher ein Grenzschalter angesagt? Bei Drucktransmittern
werden - da i.d.R. Teil eines high demand Systems - eher auch die
PFH-Werte im SIL-Datenblatt angegeben. Bei Grenzschaltern sind die
PFDa-Werte für das Versagen i.d.R. (stark) unsymmetrisch, da ein
fälschlicherweise auftretendes Ansprechen der Sicherheitsfunktion
zwar unschön, aber eben sicherheitstechnisch unproblematisch ist.
Die Dinger sind dann so designed, dass für den Verlust der
Sicherheitsfunktion ein niedriger PFDa-Wert resultiert. Sowohl
Ventil mit ggf. Antrieb als auch Grenzschalter werden dann so
ausgesucht, dass der Verlust der Sicherheitsfunktion mit
(hoffentlich hinreichend) kleinem PFDa auftritt. Je nach Anwendung
kann das ja ein Öffnen oder ein Schließen des Ventils sein und auch
Über- oder Unterschreiten des Druckgrenzwerts.
HTH, V.
Da gibt es aus meiner Sicht zwei Punkte:
a) Wie wurde der sichere Zustandes festgelegt?
b) Sicherheit ist meist das Gegenteil von Verfügbarkeit. Rein aus
Sicherheitsbetrachtung ist eine schlechte Verfügbarkeit kein Problem. Der
Kunde nörgelt zwar, aber es gibt nicht beides zum gleichen Preis/Aufwand.
Aus Deiner Beschreibung schließe ich erst mal, dass "Ventil bei erreichtem
Druck schließen" die Sicherheitsfunktion ist. Wenn die Steuerung erkennt,
dass sie nicht mehr fehlerfrei läuft ... was soll sie dann tun? Was ist der
sichere Zustand, den sie "mit letzter Kraft" noch erreichen soll?
Ich vermute aus Deiner Frage, der sichere Zustand ist: "Vorsichtshalber
gleich schließen, egal ob der Druck schon erreicht wurde oder nicht."
Das "fälschlicherweise-Dampfventil-schliessenden" Problem ist ein
Verfügbarkeitsproblem. Entweder löst man es mit weiterem Aufwand (=teurer)
oder man lässt die Anlage abschalten = in den sicheren Zustand wechseln.
On Thu, 06 Sep 2012 23:08:54 +0200, Tom Schneider
Ein Anlage die sich zerlegt, weil sie nicht sicher betrieben werden
konnte ist auch nicht mehr verfügbar ....
kommt immer darauf an - wessen Verfügbarkeit?
Eigentlich wird Sicherheit gerade durch eine hohe Verfügbarkeit von
Sicherheitseinrichtungen erreicht - daher auch bspw. der Selbsttest
der Airbag-Auslösefunktion bei jedem Einschalten der Zündung.
Ein sicherer Zustand ist bei Nichtverfügbarkeit der
Sicherheitseinrichtung normalerweise nicht mehr gegeben...
V.
kommt immer darauf an - wessen Verfügbarkeit?
Eigentlich wird Sicherheit gerade durch eine hohe Verfügbarkeit von
Sicherheitseinrichtungen erreicht - daher auch bspw. der Selbsttest
der Airbag-Auslösefunktion bei jedem Einschalten der Zündung.
Ein sicherer Zustand ist bei Nichtverfügbarkeit der
Sicherheitseinrichtung im ersten Fehlerfall normalerweise nicht mehr
garantiert...
V.
Definitiv Nein - es sei denn, wir missverstehen uns.
Mit Verfügbarkeit meine ich, dass die Anlage selbsttätig einen Fehler
erkennen und ausgleicht. Das Problem dabei: Die Anlage muss aus Indizien
heraus interpretieren, welcher Fehler vorliegt, um weiterhin ordnungsgemäß
zu laufen.
Wenn die Interpretation nicht eindeutig ist (was in der Regel ab dem
Zweitfehler möglich ist), dann kann die Entscheidung auch falsch sein.
Sicherheit heißt, dass die Anlage bei einem Fehler ohne wenn und aber in den
sicheren Zustand geht, statt den Fehler zu interpretieren.
Beispiel: Ein Taster, der über drei Sensoren ausgelesen wird. Wenn ein
Sensor AN und zwei Sensoren AUS sind, was liegt dann vor?
Eine fehlertolerante Anlage wird in der Regel einen Einfachfehler annehmen
und eine Mehrheitsentscheidung vornehmen, also auf 2 x AUS reagieren und
nicht auf 1 x AN.
Wenn die Ursache aber ein Common Cause Fehler oder ein Doppelfehler bei den
Sensoren war, wäre 1 x AN richtig, was die auf Verfügbarkeit getrimmte
Anlage aber nicht vom Einfachfehler unterscheiden kann und auch diesen Fall
wie einen Einfachfehler korrigiert - also falsch korrigiert.
Ja, aber das Versagen der Sicherheitseinrichtung kann ein latenter Fehler
sein und wäre dann nicht ein gefährlicher Fehler. Die Anlage läuft dann
normal weiter, kann aber ihre Fehlerzustände nicht mehr diagnostizieren und
behandeln.
In der Sicherheitstechnik nimmt man i.d.R. keine Indizien, sondern
Mess- oder Grenzwerte. Die Anlage interpretiert auch nicht: der
Planer plant mit geeigneten Werkzeugen die Anlage so, dass sie den
sicherheitstechnischen Anforderungen entspricht.
Nein. Sicherheit heißt, das Risiko, das von einer Anlage ausgeht,
unter ein akzeptiertes Grenzrisiko zu senken.
Wenn wir von einem bestimmten Schadenausmaß ausgehen, dann bedeutet
dies: Sicherheit heißt, die Wahrscheinlichkeit eines zum Schaden
führenden Ereignisses unter eine akzeptierte Grenze zu senken.
Hoffentlich nicht. Sie wurde doch hoffentlich so geplant, dass ein
sicherer Zustand erreicht wird. Wenn dieser "AN" ist, dann auf "AN",
wenn der sichere Zustand aber "AUS" ist, dann auf "AUS".
Beispiel: Füllstand in einem Tank überwachen. Drei
Füllstandgrenzschalter A, B, C sind vorhanden.
Szenario 1 - Überfüllsicherung. Hier sollte das Zulaufventil
abgesperrt werden, wenn A oder B oder C eine Überschreitung des
Grenzfüllstands signalisieren.
Szenario 2 - Trockengehschutz für eine Pumpe, die nicht wegen
Trockenfallen überhitzen soll. Hier sollte die Pumpe laufen dürfen,
wenn A und B und C eine Überschreitung des Grenzfüllstands melden.
Eine reine Mehrheitsentscheidung bringts nicht.
Und genau deswegen ist eine hohe Verfügbarkeit einer
Sicherheitseinrichtung entscheidend für die Sicherheit - s.o.
Ich glaube, ich weiß jetzt auch, woher das Problem kommt: In der Frage wurde
explizit zum SIL gefragt. Damit geht es für mich um die Einhaltung der IEC
61508, d.h. im Teil 3 Software um die Arbeitsprodukte in Tabelle 1.
Falls ein anderer SIL aus einer anderen Norm gemeint ist, habe ich das Thema
falsch verstanden.
Sonst würde ich sagen: Die Bestmmung von Mess- und Grenzwerten ist da meines
Erachtens nicht Gegenstand der IEC, das ist Teil des Designs. Die IEC
verlangt gewisse Maßnahmen, die die Form der Entwicklung betreffen, nicht
den Inhalt.
Das ist eine der Kennziffern der IEC, die PFH.
Das Problem meiner Kunden ist, dass sie bei der Wahl zwischen einem
Liegenbleiber und einem vorsichtigen System lieber das Problem bis zum
nächsten Service verstecken möchten. Ein Liegenbleiber ist halt zu peinlich,
wenn nur ein Lämpchen (auch wenn es den Ausfall der Bremsfunktion
signalisieren soll) nicht mehr geht.
Entspricht meinem Taster - vorausgesetzt, wir meinen beide, dass die Geber
A, B, C Komponenten des gleichen Systems sind und nicht verschiedene Geber
an verschiedenen stellen darstellen.
Meine Antwort bezog sich auf DIN EN 61508 - Funktionale Sicherheit.
Nein. Die PFH oder PFDa ist eine sicherheitsbezogene Kennzahl einer
Komponente (Sensor, Aktor, Grenzschalter,...), die die
Wahrscheinlichkeit des Versagens genau dieser Komponente beziffert.
Die Wahrscheinlichkeit eines zum Schden führenden Ereignisses ist
die Wahrscheinlichkeit des entsprechenden TOP-Ereignisses einer FTA
des Gesamtsystems. In die Berechnung dieser Wahrscheinlichkeit eines
TOP-Ereignisses gehen die Wahrscheinlichkeiten von Ereignissen
unterer Ebenen der FTA ein - und ganz "unten" sind wir dsnn
natürlich bei den einzelnen Komponenten und ihrem Ausfallverhalten.
Klingt nach Kfz-Branche.
Dann bleibt wohl keine Wahl, als das Lämpchen als high-demand-ystem
zu betrachten und dafür zu sorgen, dass dessen
Versagenswahrscheinlichkeit hinreichend klein ist.
Also Mini-FTA: Liegenbleiber liegt vor, wenn
(
1.1 Bremsanlage gestört ist
und
1.2 Lampe versagt
)
oder
2 Lampe versagt
Dann wäre mit
Pl : Versagenswahrscheinlichkeit der Lampe
Pi : Wahrscheinlichkeit des TOP-Ereignisses Liegenbleiber
Pb : Wahrscheinlichkeit Störung Bremsanlage
die Wahrscheinlichkeit Pi des TOP-Ereignisses ja gleich
Pi = Pb * Pl + Pl - Pb * Pl^2
dominiert von Pl. Also am wichtigsten ist, dass das Lämpchen
funktioniert? Korrekt?
Ja. Ich hatte nur versucht, das Beispiel anschaulicher zu machen. Im
Prinzip ist es egal, wo und wie die drei Geber realisiert sind.
Entscheidend ist, dass man sie als getrennte Systeme durch ihr
Ausfallverhalten charakterisieren kann.
Gruß, V.
Wo siehst Du da den Unterschied? Ob Komponente eines Zulieferers oder
Gesamtsystem, die Entwicklung ist jeweils für sich an die Vorgaben des
Kunden und seine SIL-Einstufung für die bestellte Komponente gebunden.
Verwenden wir den Begriff Komponente gleich? Die Komponente kommt von einem
Zulieferer, der nach den Vorgaben (SIL und sicherheitsfunktion) des
Bestellers = Kunden liefert
Jau. Und inzwischen auf dem Schwenk von der IEC zur ISO 26262
Sieht gut aus.
Naja und in meinem Falle habe ich -um im Bild zu bleiben- einem Geber,
dessen Kontakten ich nicht traue und deshalb mehrere Kontakte verwende. Es
ist aber eine Komponente 'Geber' die ein Ausgangssignal liefert.
stimmt - da ist kein grundsätzlicher Unterschied. Ich hatte das eher aus
der automatisierungetechnischen Sicht gesehen - dort gibt es
üblicherweise Komponentenhersteller für Sensoren, Aktoren und
Steuerungen etc. und Anwender wie Planer oder Errichter von kompletten
Anlagen. Die Diskussion sicherheitsrelevanter Kennzahlen hatte ich eher
an der Schnittstelle zwischen Komponente und Anlage nach "unten hin"
gesehen. Natürlich kann und muss man auch die komplette Anlage durch
eine Wahrscheinlichkeit des gefährlichen Versagens kennzeichnen, also
durch Angabe eines bzw. Forderung an einen PFH-Wert.
Ich denke schon. Im Grunde geht es aber bei der allgemeinen
Sicherheitsdiskussion nicht um zwei Gliederungshierarchien "Anlage" und
Komponente", sondern um (beliebig viele) einander über- bzw.
unterlagerte Subsysteme.
Danke für den Hinweis. Kfz ist nicht so meine Baustelle, eher die
Automatisierungstechnik. Wusste ich nicht, dass die Funktionale
Sicherheit auch im Kfz-Bereich inzwischen formalisiert abgearbeitet wird.
Wenn Du das Versagensverhalten jedes der Kontakte unabhängig voneinander
beschreiben kannst, sollte es kein Problem sein, die unabhängig zu
betrachten - wobei man natürlich common cause-Phänomene mit analysieren
müsste.
Im Grunde gehts bei einer FTA um die Berechnung von Wahrscheinlichkeiten
von verknüpften Ereignissen, die wiederum bestimmte Wahrscheinlichkeiten
besitzen. Diese Analyse wird ja an Hand eines Modells der kausalen
Beziehungen durchgeführt. Wie immer muss das Modell natürlich die
Realität hinreichend gut beschreiben - was natürlich durch Verifikation
nachzuweisen ist. Aber wie die Realitätst tatsächlich "ist", ist doch
nach dem Schritt der Modellbildung eigentlich unerheblich?
Gruß, Volker.
Die bayrischen Musterknaben machen das schon länger, teilweise auch nach der
IEC, als die ISO noch in den WD/DIS-Stadien war.
Da geht es dann um die Frage, ob der sichere Zustand nicht automatisch
erreicht wird, z.B. weil der "Tod" einer Komponente mit dem sicheren Zustand
zusammenfällt.
Habe den Spaß gerade hautnah beobachten können, erst die FMEDA und damit
dann in die FTA, die günstigere Ausfallraten liefert.
Naja, spätestens bei der Produktbeobachtung im Feld sollte sich das Modell
auch in der Realität bewähren, sonst wird zuerst der OEM nervös ...
Polytechforum.com is a website by engineers for engineers. It is not affiliated with any of manufacturers or vendors discussed here.
All logos and trade names are the property of their respective owners.