PFH-Grenzen 13849/62061/61508

[Flocke92]

Zuviel Werbung?
-> Hier kostenlos registrieren

Hallo zusammen,

derzeit beschäftige ich mich mit der gemischten Betrachtung der Ausfallwahrscheinlichkeit von Sicherheitseinrichtungen ( gemäß 13849, 62061, 61508, 25252).
Beispiel: Sensor und Logik nach 61508 betrachtet und Aktorik (Hydraulikventil o.ä.) nach 13849.

Dabei ist mir aufgefallen, dass dem Performance Level e (13849), SIL 3 (62061) und SIL 4 (61508 ) auch untere Grenzwerte zugeordnet sind (nachfolgend hervorgehoben markiert):
- DIN EN 61508, SIL 4: PFH >= 10^{–9} bis < 10^{–8}
- DIN EN 62061, SIL 3: PFH >= 10^{-8} bis < 10^{-7}
- DIN EN ISO 13849, PL e: PFH >= 10^{-8} bis < 10^{-7}

Gibt es für diese Beschränkung einen Grund? Da niedriger eigentlich besser bedeuten würde, unabhängig der tatsächlichen Auswirkung. Und zumal der Anhang der 13849 PFH-Werte auch kleiner 10^{-9} liefert.

Ich freue mich auf eure Anworten

LG

Flocke

 

[s_kraut]

Hi
ich verstehe die Frage nicht ganz..

Die Safety-(bzw. Performance-)Levels sind statistische Angeben über die Ausfallswahrscheinlichkeit bzw. Bauteilzuverlässigkeit.

Ein Level ist dabei ein Zahlenbereich z.B. von 10..100 entspricht Level x, 101..1000 entspricht Level y.
Wenn Du mit der Zuverlässigkeitsberechnung für dein System fertig bist, kannst Du das Ergebnis betrachten und sehen, in welchen Zahlenbereich bzw. Level Du fällst.
Z.B. wenn bei dir 250 rauskommt, bist du Level y.


Daneben gibt es dann noch weitere Dinge wie architekturbedingte Einschränkungen zu beachten.
Kann also sein, dass Du für Level y zusätzlich noch eine Zweikanaligkeit bräuchtest, die aber nicht hast und daher trotzdem "nur" Level x erfüllst.

Was hast Du denn vor?
LG
S_Kraut

 

[Flocke92]

Zuviel Werbung?
-> Hier kostenlos registrieren

Hallo,

danke für deine Antwort!

Die Safety-(bzw. Performance-)Levels sind statistische Angeben über die Ausfallswahrscheinlichkeit bzw. Bauteilzuverlässigkeit.

Ein Level ist dabei ein Zahlenbereich z.B. von 10..100 entspricht Level x, 101..1000 entspricht Level y.
Wenn Du mit der Zuverlässigkeitsberechnung für dein System fertig bist, kannst Du das Ergebnis betrachten und sehen, in welchen Zahlenbereich bzw. Level Du fällst.
Z.B. wenn bei dir 250 rauskommt, bist du Level y.

Von der Vorgehensweise her, mache ich ja zu allererst eine Risikobeurteilung. Ergebnis der Risikobeurteilung ist, sagen wir mal, Performance Level required "e".
Dabei steht der PLr e zum einen für die notwendige Risikoreduzierung und zum anderen für die Anforderungen die meine Sicherheitsfunktion erfüllen muss (Gebrauchsdauer, Architektur, DC, CCF). Im Rahmen dieser Anforderungen wird eben auch (indirekt) gefordert, eine mittlere gefahrbringende Ausfallhäuigkeit (PFH) zu berechnen.
Und die erforderliche PFH ist für einen PL e bei >= 10^{-8} bis < 10^{-7} angegeben.

Die Frage die ich mir stelle ist (wahrscheinlich völlig unwichtig für die Berechnungen und das Ergebnis etc.):

Warum wird der PL e nach unten hin begrenzt >= 10^{-8}? Ist 10^{-9} nicht mehr erlaubt?

Klar, zum einen liegt es für die ISO 13849 wahrscheinlich an der MTTFd Begrenzung auf 100a je Kanal, was aber wiederum nur bis Kat. 3 gilt (andere Bedingungen und Einschränkungen mal unbeachtet). Für Kat.4 sind ja Werte bis 2500a erlaubt und Anhang K zeigt ja auch das man dann PFH-Werte bis ca 10^{-11} erreichen kann.

Warum steht dann nicht einfach: PL e = PFH < 10^{-7}

Was habe ich vor?

Ich schreibe derzeit eine Arbeit über den gemischten Nachweis der Ausfallwahrscheinlichkeit von Sicherheitsfunktionen. Es geht also darum, dass eine Sicherheitsfunktion sicherheitsrelevante Bauteile enthält, die unterschiedliche Nachweise haben, da andere Safety-Standards genutzt werden. Die Frage ist, ob die berechnete Ausfallwahrscheinlichkeit auf Grund der unteschiedlichen Rahmenbedingungen und Annahmen vergleichbar ist und eine Gesamt Ausfallwahrscheinlichkeit berechnet werden kann und auch repräsentativ ist.

Beispiel wäre:

Hydraulische Kippvorrichtung auf einem LKW. Sensorik und Aktorik nach ISO 13849 (da maschineller Aufbau). Als Steuerung wird jedoch ein sicherheitsgerichtetes Steuergerät des LKW genutzt (Nachweis nach ISO 26262).

Weiteres Beispiel:

Prozessanlage: Gaswarnanlage in einer Prozesshalle.

PFH der Sensorik zur Messung nach 61508, Logik nach 61508 und Aktorik zur Abschaltung umliegender Maschinen nach ISO 13849

LG
Flocke

 

[s_kraut]

Hi

Warum wird der PL e nach unten hin begrenzt >= 10^{-8}? Ist 10^{-9} nicht mehr erlaubt? Warum steht dann nicht einfach: PL e = PFH < 10^{-7}?

Die Levels sind immer nach oben und unten hin begrenzt, weil außerhalb der jeweilige Nachbar dran ist. Vielleicht will sich das Gremium offen halten, eines Tages einen PL z einzuführen, der dann entsprechend 10^{-29} hat.

Wenn Du mit deiner SIF einen besseren Wert erreichst, als die Forderung es stellt, dann bist Du auf der sicheren Seite. Du kannst selbstverständlich mit einer PLe-Lösung auf ein PL-c Problem losgehen, das ist übliche Praxis. Es ist dann nur eine kaufmännische Überlegung, warum Du ggf. zu hochwertige Komponenten verbaust. Abstrakt zusätzlich zum Gürtel noch zwei Paar Hosenträger ist unwirtschaftlich und unkomfortabel.
Eine umfangreiche Lektüre zum Thema bietet die Nasa auf ihren Seiten, zum Beispiel das NASA Risk Management Handbook, gibt's for free als PDF. Mit Risk-Analyses RA, Risk-Informed-Desicion-Making RIDM, Tracking, Impact tracking usw. Sind immer sehr ganzheitliche Betrachtungen. Halt in sauberem Englisch und mit vielen Charts.

Oder das VDE Handbuch Funktionale Sicherheit. Nicht gratis, aber deutsch und praxisnah für das was Du vorhast. Die Richtlinien selber sind als Lektüre recht trocken aber informativ.

Macht sich immer gut, wenn man gute Standards als Stütze hat, wer auch immer Deine Arbeit dann liest, Professor oder Staatsanwalt
Und lass deine Rechnungen immer gegenzeichnen, vier Augen sehen mehr. Risikoanalyse, System-Design und Abnahme sollten nicht auf ein und der selben Person lasten.

LG

S_Kraut