Ich hätte mal eine Frage an Leute, die in der Prozessindustrie arbeiten (Kraftwerk, Chemieanlagen, o. ä.): Welche der folgenden Arten von Abschaltungen werden bei Euch eingesetzt? 1oo1 eins von eins -> Abschaltung wenn ein Messwert den Abschaltwert erreicht oder schlecht (z.B. Leitungsbruch) wird. (eher sicher) 1oo2 eins von zwei -> Abschaltung wenn ein Messwert den Abschaltwert erreicht oder schlecht (z.B. Leitungsbruch) wird. (eher sicher) 2oo2 zwei von zwei -> Abschaltung wenn zwei Messwerte den Abschaltwert erreichen oder mindestens ein Wert schlecht (z.B. Leitungsbruch) ist und der Abschaltwert erreicht wird. (eher verfügbar) 2oo3 zwei von drei -> Abschaltung wenn mindestens zwei Messwerte den Abschaltwert erreichen oder mindestens ein Wert schlecht (z.B. Leitungsbruch) ist und der Abschaltwert von einer weiteren Messung erreicht wird. (am besten da sicher und verfügbar, aber auch am aufwendigsten -> Kosten) Für die Interresierten, die nicht wissen was Funktionale Sicherheit ist, habe ich einen Vortrag im Netz gefunden: https://www.vdi.de/fileadmin/vdi_de/redakteur/bvs/bv_nordbaden_dateien/Funktionale%20Sicherheit%20f%C3%BCr%20die%20Prozessindustrie%20Vortrag%20VDI%2017%2011%202010.pdf
Hallo, ich bin zwar nicht in der Prozessindustrie sondern Automotive unterwegs, die ersten paar Jahre aber noch mit der 61508 "großgeworden". So pauschal lässt sich das nicht beantworten. Zum einen kommt es darauf an, welches Level benötigt wird (SIL 4 braucht etwas anderes als SIL 1), zum anderen auch darauf, ob das Element ein Fail Safe erlaubt, oder ob ein Fail Functional notwendig ist (letzteres dürfte speziell bei einigen Chemieanlagen notwendig sein). Ansonsten gilt: So sicher wie notwendig, so verfügbar wie wirtschaftlich sinnvoll. Wenn man einen bestimmten SIL also nur durch redundante Abschaltpfade erreichen kann, benötigt man eine entsprechende Anzahl von Sensoren. Denen darf man dann so viele weitere Redundanzen zur Erhöhung der Verfügbarkeit hinzufügen wie man Budget hat, so lange dadurch die Fehlerrate nicht erhöht wird. Übersetzt zu Deinen Beispielen: 1001: Nur ein Sensor wird berücksichtigt - geht der Sensor kaputt muss man in den Safe State -> mittlere Sicherheit, schlechte Verfügbarkeit. 1002: Zwei Sensoren "oder" verschaltet: - wie 1001, nur sicherer -> hohe Sicherheit, schlechte Verfügbarkeit 2002: Zwei Sensoren die sich gegenseitig diagnostizieren: wird erkannt, welcher defekt ist, kann mit dem anderen weitergearbeitet werden -> Mittlere Sicherheit, hohe Verfügbarkeit 2003: "Zwei aus drei-Auswahl" -> Verbesserte Erkennung des defekten Sensors -> hohe Sicherheit, hohe Verfügbarkeit. Klassische "Hoch-Redundanz" z.B. für Anzeigen in Sicherheitsprozessen (z.B. Atomkraftwerke). Daneben gibt es noch andere Verschaltungen, die entweder nur die Sicherheit erhöhen, oder aber nur die Verfügbarkeit. Das Komplexeste was ich bisher hatte war ein Sensorsystem, welches Einzelfehler vollständig kompensieren und gefährliche Doppelfehler sicher erkennen konnte (digital, also Hamming-Distanz von 4 zwischen den sicherheitsrelevanten Positionen). War auf Grund von ein paar interessanten Ideen gleichzeitig billiger als das bis dahin eingesetzte System, welches bei einem Einfachfehler in den Safe State gehen musste. Üblich sind im Automotive-Bereich 1001 bis ASIL B (SIL 1), 1002 für ASIL C/D (SIL 2 / 3) bei Fail-Safe-Systemen. Bei Fail-Functioinal dann eher 2001/2002/2003. Es kommt also wie immer "darauf an" - also was die Anforderungen sind, welche Möglichkeiten man hat und ob einem eine gute Idee kommt, die Anforderungen mit möglichst wenig Mitteln umzusetzen. Schöne Grüße, Martin
Hallo, Claus M. schrieb: > Martin L. schrieb: >> Bei Fail-Functioinal dann >> eher 2001 > > wie soll denn 2oo1 gehen ? ^^ virtuell ;-) - ne, hast Recht, da hab' ich mich verschrieben bzw. an eigensichere Sensoren gedacht. Die fallen tatsächlich dann erst mit zwei Fehlern in einem Sensor aus. Das kann aber nicht mit der Auswahl-Schreibweise (X out of Y) dargestellt werden. Schöne Grüße, Martin
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.