Forum

Einloggen | Registrieren | RSS  

Suche:  
cmyk61(R)

E-Mail

Edenkoben, Rheinland Pfalz,
12.02.2016,
14:14
(editiert von cmyk61
am 12.02.2016 um 14:21)
 

SIL 3 Frage (Elektronik)

antworten

Hallo zusammen,

ich habe eine für mich knifflige Frage:

Unsere Anlage hat, worauf sich der Hersteller/Errichter regelmäßig beruft, einen SIL Level 3.

Beim Überfliegen von SIL-Level-Literatur erscheint regelmäßig die Begriffe "Ausfall" und "Zuverlässigkeit".
Was aber, wenn es aufgrund einer fehlerhaften Programmierung (oder einer Programmierung die Fehlfunktionen nicht richtig auswertet und dementsprechend falsch reagiert) zu einer Störung derart kommt, dass es keinen "Ausfall" gibt - aber dennoch eine Fehlfunktion folgt.
Wie geht eine derartige Problematik in die SIL-Levels mit ein? Falls diese Probleme nicht mit eingehen - wie müssen selbige dann bewertet werden?
Wie müsste/könnte man sinnvollerweise eine derartige Fehlfunktion dokumentieren, wenn zB in der Logdatei keine Fehlfunktion auftaucht - die Maschine aber dennoch eine klare Fehlbewegung durchgeführt hat (es kann nicht sein, was nicht sein darf-Problematik). Es gibt ja lediglich Augenzeugen. Und ein realer Schaden wurde durch das beherzte manuelle Eingreifen (Notstop) von Kollegen stets verhindert. Reproduzierbar sind diese Fehlfunktionen aufgrund stets unterschiedlicher Startbedinungen meist auch nicht. Es heisst dann allenfalls: dann führt diese Aktion einfach so nicht aus.

Gruß
Ralf
bigdie(R)

12.02.2016,
17:36

@ cmyk61

SIL 3 Frage

antworten

» Hallo zusammen,
»
» ich habe eine für mich knifflige Frage:
»
» Unsere Anlage hat, worauf sich der Hersteller/Errichter regelmäßig beruft,
» einen SIL Level 3.
»
» Beim Überfliegen von SIL-Level-Literatur erscheint regelmäßig die Begriffe
» "Ausfall" und "Zuverlässigkeit".
» Was aber, wenn es aufgrund einer fehlerhaften Programmierung (oder einer
» Programmierung die Fehlfunktionen nicht richtig auswertet und
» dementsprechend falsch reagiert) zu einer Störung derart kommt, dass es
» keinen "Ausfall" gibt - aber dennoch eine Fehlfunktion folgt.
» Wie geht eine derartige Problematik in die SIL-Levels mit ein? Falls diese
» Probleme nicht mit eingehen - wie müssen selbige dann bewertet werden?
» Wie müsste/könnte man sinnvollerweise eine derartige Fehlfunktion
» dokumentieren, wenn zB in der Logdatei keine Fehlfunktion auftaucht - die
» Maschine aber dennoch eine klare Fehlbewegung durchgeführt hat (es kann
» nicht sein, was nicht sein darf-Problematik). Es gibt ja lediglich
» Augenzeugen. Und ein realer Schaden wurde durch das beherzte manuelle
» Eingreifen (Notstop) von Kollegen stets verhindert. Reproduzierbar sind
» diese Fehlfunktionen aufgrund stets unterschiedlicher Startbedinungen meist
» auch nicht. Es heisst dann allenfalls: dann führt diese Aktion einfach so
» nicht aus.
»
» Gruß
» Ralf
 Naja der Sicherheitslevel bedeutet eigentlich nur, das der Bediener geschützt ist. Die Maschine kann sich im dümmsten Fall selber zerstören, solange der Bediener dabei nichts abbekommt, ist alles im grünen Bereich.
Blubblubb

13.02.2016,
10:46

@ bigdie

SIL 3 Frage

antworten

» » Hallo zusammen,
» »
» » ich habe eine für mich knifflige Frage:
» »
» » Unsere Anlage hat, worauf sich der Hersteller/Errichter regelmäßig
» beruft,
» » einen SIL Level 3.
» »
» » Beim Überfliegen von SIL-Level-Literatur erscheint regelmäßig die
» Begriffe
» » "Ausfall" und "Zuverlässigkeit".
» » Was aber, wenn es aufgrund einer fehlerhaften Programmierung (oder einer
» » Programmierung die Fehlfunktionen nicht richtig auswertet und
» » dementsprechend falsch reagiert) zu einer Störung derart kommt, dass es
» » keinen "Ausfall" gibt - aber dennoch eine Fehlfunktion folgt.
» » Wie geht eine derartige Problematik in die SIL-Levels mit ein? Falls
» diese
» » Probleme nicht mit eingehen - wie müssen selbige dann bewertet werden?
» » Wie müsste/könnte man sinnvollerweise eine derartige Fehlfunktion
» » dokumentieren, wenn zB in der Logdatei keine Fehlfunktion auftaucht -
» die
» » Maschine aber dennoch eine klare Fehlbewegung durchgeführt hat (es kann
» » nicht sein, was nicht sein darf-Problematik). Es gibt ja lediglich
» » Augenzeugen. Und ein realer Schaden wurde durch das beherzte manuelle
» » Eingreifen (Notstop) von Kollegen stets verhindert. Reproduzierbar sind
» » diese Fehlfunktionen aufgrund stets unterschiedlicher Startbedinungen
» meist
» » auch nicht. Es heisst dann allenfalls: dann führt diese Aktion einfach
» so
» » nicht aus.
» »
» » Gruß
» » Ralf
» Naja der Sicherheitslevel bedeutet eigentlich nur, das der Bediener
» geschützt ist. Die Maschine kann sich im dümmsten Fall selber zerstören,
» solange der Bediener dabei nichts abbekommt, ist alles im grünen Bereich.
Stimmt so nicht ganz. Es werden auch Umwelteinfluesse beim SIL mit erfasst. Heisst also, eine Fehlfunktion die nicht abgefangen wird, dem Bediener nichts direkt antut aber dabei groessere Mengen z.B. Giftstoffe in die Umwelt entweichen laesst ist dementsprechend auch nicht im "Sicheren Zustand"
Blubblubb

13.02.2016,
11:15

@ cmyk61

SIL 3 Frage

antworten

» Hallo zusammen,
»
» ich habe eine für mich knifflige Frage:
»
» Unsere Anlage hat, worauf sich der Hersteller/Errichter regelmäßig beruft,
» einen SIL Level 3.
»
» Beim Überfliegen von SIL-Level-Literatur erscheint regelmäßig die Begriffe
» "Ausfall" und "Zuverlässigkeit".
» Was aber, wenn es aufgrund einer fehlerhaften Programmierung (oder einer
» Programmierung die Fehlfunktionen nicht richtig auswertet und
» dementsprechend falsch reagiert) zu einer Störung derart kommt, dass es
» keinen "Ausfall" gibt - aber dennoch eine Fehlfunktion folgt.
» Wie geht eine derartige Problematik in die SIL-Levels mit ein? Falls diese
» Probleme nicht mit eingehen - wie müssen selbige dann bewertet werden?
» Wie müsste/könnte man sinnvollerweise eine derartige Fehlfunktion
» dokumentieren, wenn zB in der Logdatei keine Fehlfunktion auftaucht - die
» Maschine aber dennoch eine klare Fehlbewegung durchgeführt hat (es kann
» nicht sein, was nicht sein darf-Problematik). Es gibt ja lediglich
» Augenzeugen. Und ein realer Schaden wurde durch das beherzte manuelle
» Eingreifen (Notstop) von Kollegen stets verhindert. Reproduzierbar sind
» diese Fehlfunktionen aufgrund stets unterschiedlicher Startbedinungen meist
» auch nicht. Es heisst dann allenfalls: dann führt diese Aktion einfach so
» nicht aus.
»
» Gruß
» Ralf
Man muss hier unterscheiden zwischen den verschiedenen Funktionen, die die Anlage hat und wo das Fehlverhalten auftritt.

Als Beispiel, Substanzen mischen: Es sollen zwei Substanzen gemischt werden, wenn das Mischungsverhaeltnis nicht passt und man das Endprodukt wegwerfen muss - Pech. Das ist nichts fuer die Funktionale Sicherheit.

Wenn nun aber ein falsches Mischungsverhaeltnis auf einmal dazu fuehren wuerde, dass sich das Zielprodukt entflammt, wuerde das sehr wohl unter die Funktionale Sicherheit fallen.

Ob man sich jetzt auf das SIL berufen kann haengt davon ab, ob die Fehlfunktion eine entsprechend katastrophale Auswirkung haette wenn sie nicht unterbunden worden waehre oder einfach nur ungewuenscht aber ohne eine entsprechende Gefaehrdung fuer Mensch und Umwelt mit einer stehenden/beschaedigten Anlage endet.

Das ist nur grob beschrieben, das Thema ist unglaublich komplex. Auch SIL3 erlaubt eine gewisse Anzahl von Ausfaellen pro Zeiteinheit oder Stueck. Um fuer die Anlage eine Bewertung zu bekommen wuerde ich mir einen Fachmann holen der in den ganzen Normen gut unterwegs ist.
bigdie(R)

13.02.2016,
11:17

@ Blubblubb

SIL 3 Frage

antworten

» » » Hallo zusammen,
» » »
» » » ich habe eine für mich knifflige Frage:
» » »
» » » Unsere Anlage hat, worauf sich der Hersteller/Errichter regelmäßig
» » beruft,
» » » einen SIL Level 3.
» » »
» » » Beim Überfliegen von SIL-Level-Literatur erscheint regelmäßig die
» » Begriffe
» » » "Ausfall" und "Zuverlässigkeit".
» » » Was aber, wenn es aufgrund einer fehlerhaften Programmierung (oder
» einer
» » » Programmierung die Fehlfunktionen nicht richtig auswertet und
» » » dementsprechend falsch reagiert) zu einer Störung derart kommt, dass
» es
» » » keinen "Ausfall" gibt - aber dennoch eine Fehlfunktion folgt.
» » » Wie geht eine derartige Problematik in die SIL-Levels mit ein? Falls
» » diese
» » » Probleme nicht mit eingehen - wie müssen selbige dann bewertet werden?
» » » Wie müsste/könnte man sinnvollerweise eine derartige Fehlfunktion
» » » dokumentieren, wenn zB in der Logdatei keine Fehlfunktion auftaucht -
» » die
» » » Maschine aber dennoch eine klare Fehlbewegung durchgeführt hat (es
» kann
» » » nicht sein, was nicht sein darf-Problematik). Es gibt ja lediglich
» » » Augenzeugen. Und ein realer Schaden wurde durch das beherzte manuelle
» » » Eingreifen (Notstop) von Kollegen stets verhindert. Reproduzierbar
» sind
» » » diese Fehlfunktionen aufgrund stets unterschiedlicher Startbedinungen
» » meist
» » » auch nicht. Es heisst dann allenfalls: dann führt diese Aktion einfach
» » so
» » » nicht aus.
» » »
» » » Gruß
» » » Ralf
» » Naja der Sicherheitslevel bedeutet eigentlich nur, das der Bediener
» » geschützt ist. Die Maschine kann sich im dümmsten Fall selber zerstören,
» » solange der Bediener dabei nichts abbekommt, ist alles im grünen
» Bereich.
»
» Stimmt so nicht ganz. Es werden auch Umwelteinfluesse beim SIL mit erfasst.
» Heisst also, eine Fehlfunktion die nicht abgefangen wird, dem Bediener
» nichts direkt antut aber dabei groessere Mengen z.B. Giftstoffe in die
» Umwelt entweichen laesst ist dementsprechend auch nicht im "Sicheren
» Zustand"
 Wenn Giftstoffe entweichen, dann werden ja auch Menschen gefährdet oder?
Blubblubb

13.02.2016,
11:22

@ bigdie

SIL 3 Frage

antworten

» » » » Hallo zusammen,
» » » »
» » » » ich habe eine für mich knifflige Frage:
» » » »
» » » » Unsere Anlage hat, worauf sich der Hersteller/Errichter regelmäßig
» » » beruft,
» » » » einen SIL Level 3.
» » » »
» » » » Beim Überfliegen von SIL-Level-Literatur erscheint regelmäßig die
» » » Begriffe
» » » » "Ausfall" und "Zuverlässigkeit".
» » » » Was aber, wenn es aufgrund einer fehlerhaften Programmierung (oder
» » einer
» » » » Programmierung die Fehlfunktionen nicht richtig auswertet und
» » » » dementsprechend falsch reagiert) zu einer Störung derart kommt, dass
» » es
» » » » keinen "Ausfall" gibt - aber dennoch eine Fehlfunktion folgt.
» » » » Wie geht eine derartige Problematik in die SIL-Levels mit ein? Falls
» » » diese
» » » » Probleme nicht mit eingehen - wie müssen selbige dann bewertet
» werden?
» » » » Wie müsste/könnte man sinnvollerweise eine derartige Fehlfunktion
» » » » dokumentieren, wenn zB in der Logdatei keine Fehlfunktion auftaucht
» -
» » » die
» » » » Maschine aber dennoch eine klare Fehlbewegung durchgeführt hat (es
» » kann
» » » » nicht sein, was nicht sein darf-Problematik). Es gibt ja lediglich
» » » » Augenzeugen. Und ein realer Schaden wurde durch das beherzte
» manuelle
» » » » Eingreifen (Notstop) von Kollegen stets verhindert. Reproduzierbar
» » sind
» » » » diese Fehlfunktionen aufgrund stets unterschiedlicher
» Startbedinungen
» » » meist
» » » » auch nicht. Es heisst dann allenfalls: dann führt diese Aktion
» einfach
» » » so
» » » » nicht aus.
» » » »
» » » » Gruß
» » » » Ralf
» » » Naja der Sicherheitslevel bedeutet eigentlich nur, das der Bediener
» » » geschützt ist. Die Maschine kann sich im dümmsten Fall selber
» zerstören,
» » » solange der Bediener dabei nichts abbekommt, ist alles im grünen
» » Bereich.
» »
» » Stimmt so nicht ganz. Es werden auch Umwelteinfluesse beim SIL mit
» erfasst.
» » Heisst also, eine Fehlfunktion die nicht abgefangen wird, dem Bediener
» » nichts direkt antut aber dabei groessere Mengen z.B. Giftstoffe in die
» » Umwelt entweichen laesst ist dementsprechend auch nicht im "Sicheren
» » Zustand"
» Wenn Giftstoffe entweichen, dann werden ja auch Menschen gefährdet oder?
Ja, aber eine reine Gefaehrdung wuerde ein geringeres SIL rechtfertigen. Wenn Oel entweicht ist die gefaherdung fuer den Menschen relativ gering, die Umwelt aber katastrophal. Damit waere das SIL wieder hoeher.