Verständnis IEC 61508

F

Flude

Level-1
Beiträge
4
Reaktionspunkte
0
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo zusammen,

ja ich weiß, ich habe mich heute angemeldet und schreibe gleich eine Frage. Aber ich schreibe gerade eine Studentische Arbeit über die Zuverlässigkeit elektronischer Bauteile und komme einfach nicht weiter.

Über Recherchen bin ich auf die IEC 61508 gestoßen und habe nun gefühlt alles durchsucht und auch die Norm mehrmals Überfolgen. Allerdings bleiben essentielle Fragen ungeklärt. Ich hoffe ich kann mich einigermaßen verständlich ausdrücken.

Das folgende Beispiel ist natürlich sehr sehr vereinfacht dargestellt:

Sagen wir ich habe einen Airbag im Auto. Ganz vereinfacht gesehen verfügt das System über einen Sensor, eine Steuerung und einen Aktor.

Die Steuerung besteht aus mehreren elektronischen Komponenten. Mit Hilfe der Siemens SN29500 oder dem MIL-HDBK-217F kann ich nun über die Ausfallraten die Zuverlässigkeit der Steuerung bestimmen.

Mit Hilfe eines Risikografen habe ich außerdem den Safety Integrity Level einer Funktion bestimmt. D.h. während der normalen Fahrt darf der Airbag nicht auslösen.

Risikoparameter:
S3 – Verletzung oder Tod mehrerer Personen.
A2 – Aufenthaltsdauer häufig bis Dauernd.
W1 – Wahrscheinlichkeit des Eintretens sehr gering.

Hieraus ergibt sich ein SIL von 3.

Nun versteh ich nicht, was nun die IEC 61508 aussagt.
Was genau wird in dieser Norm berücksichtigt. Ich lese immer wieder von der "Sicherheitsfunktion"
Muss nun das gesamte System, also Sensor, Steuerung und Aktor für SIL 3 geeignet sein oder nur die Komponenten der Sicherheitsfunktion, welche nur dann eingreift, wenn ein Defekt im Airbagsystem auftritt um ein Fehlauslösen zu verhindern.
Im zweiten Fall, ist die Zuverlässigkeit des eigentlichen Airbagsystems für die SIL unerheblich?

Ich weiß, dass mein Problem schwer verständlich ist, aber ich habe die Hoffnung, dass zumindest der ein oder andere mich versteht.

Viele Grüße
 
Hallo,

also mir sind die Normen der Automobilindustrie nicht geläufig, aber abhängig von deiner SIL Stufe sind auch die Bauteile auszuwählen. Ist ja eigentlich ganz logisch, umso höher die Gefahr umso vertrauenswürdiger muss die Sicherheitsfunktion (z.B. Airbag) durch die Sicherheitskette (Sensor-Logik-Aktor) umgesetzt werden. Umso geringer die Gefahr, umso leichter können Sicherheitsfunktionen auch mit qualitativ nicht so hochwertigen Bauteilen umgesetzt werden. Wie gesagt, mir ist die Norm im Detail nicht bekannt, aber gewisse Sicherheitsfunktionen können nur durch Kombination von gewissen Bauteilen realisiert werden. Im Maschinenbau ist ein Sensor z.B. geeignet für Performance Level (ähnlich wie SIL) e geeignet. In diesem Fall ist der Bauteil 2 kanalig ausgeführt,d.h. 1 Fehler sicher. Wenn ein Fehler passiert kann trotzdem die Gefahr noch erkannt werden usw. Ab einer gewissen Stufe muss dann auch noch ein Fehler diagnostiziert werden usw.

ich hoffe einer der anderen kann diesbezüglich detailiertere informationen bringen, wo für dich was nachzulesen ist...

sg
jürgen
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Vielen Dank für die schnelle Antwort.

Kann ich dann z.B. sagen, dass eine bestimmte Steuerung aufgrund der berechneten Ausfallrate für eine SIL-Anforderung geeignet ist oder nicht?

Wenn ich beispielsweise von einem einkanaligen, nicht redundanten System ausgehe, könnte ich dann den erreichbaren SIL Level aufgrund der PFH auswählen?
39.jpg
 

Anhänge

  • slide_5.jpg
    slide_5.jpg
    49,5 KB · Aufrufe: 17
hallo,

diese tabelle sagt dir, ob das bauteil für einen geweiligen sil level geeignet ist.

bei beurteilung deiner gefährdung bekommst du einen sil level. dann muss die technische schutzmaßnahme bestehend aus sensor-logik-aktor auch diesen sil level erreichen.
um den gesamt sil level aus diesen bauteilen zu bestimmen, muss eine berechnung durchgeführt werden.

sg
jürgen
 
safety_engineer schrieb:
hallo,

diese tabelle sagt dir, ob das bauteil für einen geweiligen sil level geeignet ist.

bei beurteilung deiner gefährdung bekommst du einen sil level. dann muss die technische schutzmaßnahme bestehend aus sensor-logik-aktor auch diesen sil level erreichen.
um den gesamt sil level aus diesen bauteilen zu bestimmen, muss eine berechnung durchgeführt werden.

sg
jürgen
Zum Vergrößern anklicken....

Vielen Danke, das hilft mir schon mal sehr.

Nun stellt sich mir erneut die Frage, was man unter der "technischen Schutzmaßnahme" versteht.

Vereinfacht dargestellt kann doch gesagt werden, dass wenn ein Bauteil innerhalb der eine Fehlfunktion hat oder ausfällt, dass es im schlimmsten Fall zu einer Auslösung des Airbags kommt.
Ist eine "technische Schutzmaßnahme" sozusagen eine zusätzliche Einheit die benötigt wird um die restlichen Bauteile zu überprüfen und dann eingreift, falls eine Fehlfunktion festgestellt wird?

Viele Grüße
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Flude schrieb:
Vielen Dank für die schnelle Antwort.

Kann ich dann z.B. sagen, dass eine bestimmte Steuerung aufgrund der berechneten Ausfallrate für eine SIL-Anforderung geeignet ist oder nicht?

Wenn ich beispielsweise von einem einkanaligen, nicht redundanten System ausgehe, könnte ich dann den erreichbaren SIL Level aufgrund der PFH auswählen?
Anhang anzeigen 41604
Zum Vergrößern anklicken....

Hallo Flude,

ich gehe jetzt mal davon aus, dass Du die Anforderungen an die konkrete Steuerung meinst, so als wollte jemand diese Steuerung entwickeln. Dann greifst Du Dir hier nämlich nur EINE Anforderung an die Hardware raus, die die Steuerung erfüllen muss. In der 61508-2, welche sich weitgehend auf die Hardware bezieht, werden aber noch andere Anforderungen gestellt (z.B. Hardwarefehlertoleranz (Architektur), etc.). Hinzu kommen noch die Anforderungen an die Software in der 61508-3. Über Hard- und Softwareanforderungen gibt es darüber hinaus noch Anforderung an die gesamte Systementwicklung (z.B. Systemverhalten bei Erkennung eines Fehlers) der Steuerung, welche auch in 61508-2 und 61508-3 behandelt werden.

Was ich damit ausdrücken will - es reicht nicht nur die PFH Werte zu erreichen, damit eine Steuerung ein bestimmtes SIL erreichen kann, sondern es müssen darüber hinaus noch andere Anforderungen erfüllt werden.

Falls man die Steuerung nicht selbst entwickelst, garantiert der Hersteller mit der SIL-Einstufung, dass alle diese Anforderungen erfüllt sind. Nur der PFH-Wert reicht nicht aus.

Edit: Falls es nur um die Zuverlässigkeit elektronischer Bauteile geht - Wieso möchtest Du eigentlich die IEC 61508 heranziehen? Oder muss die in der Arbeit enthalten sein?

VG

Conte
 
Zuletzt bearbeitet:
Flude schrieb:
Vielen Danke, das hilft mir schon mal sehr.

Nun stellt sich mir erneut die Frage, was man unter der "technischen Schutzmaßnahme" versteht.

Vereinfacht dargestellt kann doch gesagt werden, dass wenn ein Bauteil innerhalb der eine Fehlfunktion hat oder ausfällt, dass es im schlimmsten Fall zu einer Auslösung des Airbags kommt.
Ist eine "technische Schutzmaßnahme" sozusagen eine zusätzliche Einheit die benötigt wird um die restlichen Bauteile zu überprüfen und dann eingreift, falls eine Fehlfunktion festgestellt wird?

Viele Grüße
Zum Vergrößern anklicken....

der begriff technische schutzmaßnahme kommt aus dem maschinenbau, hier wird mithilfe des 3 stufen verfahrens ein risiko minimiert...1. inhärent sichere konstruktion (z.B. sichere kräfte, gewisse sicherheitsabstände, konstruktion das kein risiko entsteht), sollte das risiko nicht ausreichend minimiert worden sein 2. technische schutzmaßnahme (sensor-logik-aktor) sollte das risiko nicht ausreichend minimiert worden sein 3.benutzerinformation (restrisiko muss in der bedienungsanleitung kommuniziert werden, warnhinweise)

wie das in der automobilindustrie aussieht, weiß ich nicht aber ich vermute ähnlich...in diesem fall wärst du bei schritt 2. technische schutzmaßnahme, ich schätze der sicherheitsgurt reicht nicht als schutzmaßnahme bzw. ist vom bediener abhängig, wenn der bediener den gurt nicht einhängt, ist dieser wirkungslos, also wird durch 2. technische schutzmaßnahme eine schutzmaßnahme hergestellt die durch die kette sensor-logik-aktor ausgeführt wird....das diese kette zuverlässig funktioniert müssen die bauteile einem gewissen "einzel" sil level entsprechend und nach einer berechnung dem gesamtsil level der erforderlich ist für die vorhandene gefährdung...in deinem fall ein SIL von 3....

sg
jürgen
 
Ja, die IEC 61508 muss enthalten sein. Und genau die versuch ich irgendwie unterzubringen.

Vielen Dank nochmal. Ich versuche jetzt mal diesen Teil soweit fertig zu stellen und hoffe, dass das dann auch Sinn ergibt ;)
 
Zuletzt bearbeitet:

Similar threads

R
Anwendung von SIL Zertifizierten Bauteilen in 13849
2
Antworten
31
Aufrufe
11K
Elektriko
Elektriko
B
Sicherheitsbewertung Auslassen von Elementen
Antworten
18
Aufrufe
6K
stevenn
S
P
CCF - Unklarheit bei Bus-basierter Kommunikation
Antworten
8
Aufrufe
2K
Proxy6484
P
Korniman
Gleitender Mittelwert für Batteriemessung mit ESP32 über OpenPLC realisieren
Antworten
6
Aufrufe
1K
Cassandra
Cassandra
S
Anhäufung unerkannter Fehler
Antworten
2
Aufrufe
4K
s_kraut
s_kraut
Zurück
Oben