# Degradierung des Votingschemas einer SSPS



## williwuff (18 Januar 2009)

Hallo,

ich bin noch Student und daher wenig mit der praktischen Materie vertraut. Ich bin derzeit mit meiner Diplomarbeit beschäftigt, die sich mit Degradierungen des Votingschemas von SSPSen befasst. Ich werde da Untersuchungen von Ausfallwahrscheinlichkeiten vornehmen.

Vielmehr interessieren mich aber hier eher der praktische Teil. Einfach mal allgemeine Infos über Degradierungen von solchen Steuereungen, welche Arten, wann wie degradiert wird etc.

Vielleicht hat jemand ein paar Infos für mich

Merci im voraus


----------



## Ralle (19 Januar 2009)

williwuff schrieb:


> Hallo,
> 
> ich bin noch Student und daher wenig mit der praktischen Materie vertraut. Ich bin derzeit mit meiner Diplomarbeit beschäftigt, die sich mit Degradierungen des Votingschemas von SSPSen befasst. Ich werde da Untersuchungen von Ausfallwahrscheinlichkeiten vornehmen.
> 
> ...



Tut mir Leid, ich bin zu doof zu verstehen, wovon du redest. Das ist ja eh eines der großen Probleme zwischen Theorie und Praxis.  Also erklär doch mal kurz für die Praktiker unter uns, wovon genau redest du? Denn, gehört habe ich davon einfach noch nie.


----------



## vierlagig (19 Januar 2009)

ich hab mal bißchen zeit investiert um zu recherchieren, vielleicht meint er ja das: http://de.wikipedia.org/wiki/Graceful_degradation



> Mit *Graceful degradation* wird die Eigenschaft eines (Computer)Systems bezeichnet, auf Fehler und unerwartet eintreffende Ereignisse sicher und angemessen zu reagieren: Ein Fehler im Einzelsystem reduziert die Funktionalität des Gesamtsystems nur schrittweise, etwa durch eine verminderte Qualität oder einen reduzierten Funktionsumfang.


 
jetzt wäre meine frage: welche fehler sollen hier betrachtet werden? hardware/software interne oder maschinenbedingte? ... also das system der SPS als dummes toastbrot ohne aufgabe oder die SPS als integrierter bestandteil einer anlage?


----------



## Cerberus (19 Januar 2009)

williwuff schrieb:


> Hallo,
> 
> ich bin noch Student und daher wenig mit der praktischen Materie vertraut. Ich bin derzeit mit meiner Diplomarbeit beschäftigt, die sich mit Degradierungen des Votingschemas von SSPSen befasst. Ich werde da Untersuchungen von Ausfallwahrscheinlichkeiten vornehmen.
> 
> ...


 
Mich würde mal interessieren, ob du tatsächlich SSPS schreiben wolltest? Oder ob du in Wirklichkeit SPS meinst.


----------



## williwuff (19 Januar 2009)

Schutzeinrichtungen sind ja i.d.R redundant aufgebaut. Sicherheits-SPSen steuern diese Schutzeinrichtungen. Man betrachte z.B. 3 diversitäre (unterschiedliches Messprinzip, andere Hersteller etc...) Sensoren zur Füllstandsmessung. 2 dieser 3 sollen funktionieren, damit die Anlage in einen sicheren Zustand bei Grenzwertüberschreitung überführt werden kann. Also ein 2oo3 Voting. Tritt allerdings ein Fehler auf, so dass sich ein Sensor im gefährlichen Zustand befindet (z.B. zukorrodiert) und über einen Selbstdiagnosetest dies erkennt, kann die SSPS das Voting degradieren, so dass von mir aus nur noch ein 1oo2 Voting ausreicht (es reicht aus, wenn 1 Sensor korrekt funktioniert), um das System in den sicheren Zustand zu überführen.

Das wäre die Theorie. Hoffe einigermaßen verständlich.


----------



## wincc (20 Januar 2009)

was studierst du ?


----------



## maxi (20 Januar 2009)

Schaut mir nach MSR Technik aus,
Die Analysen für die FDA


----------



## williwuff (20 Januar 2009)

wincc schrieb:


> was studierst du ?



Automatisierungstechnik


----------



## wincc (21 Januar 2009)

williwuff schrieb:


> Schutzeinrichtungen sind ja i.d.R redundant aufgebaut. Sicherheits-SPSen steuern diese Schutzeinrichtungen. Man betrachte z.B. 3 diversitäre (unterschiedliches Messprinzip, andere Hersteller etc...) Sensoren zur Füllstandsmessung. 2 dieser 3 sollen funktionieren, damit die Anlage in einen sicheren Zustand bei Grenzwertüberschreitung überführt werden kann. Also ein 2oo3 Voting. Tritt allerdings ein Fehler auf, so dass sich ein Sensor im gefährlichen Zustand befindet (z.B. zukorrodiert) und über einen Selbstdiagnosetest dies erkennt,* kann die SSPS das Voting degradieren*, so dass von mir aus nur noch ein 1oo2 Voting ausreicht (es reicht aus, wenn 1 Sensor korrekt funktioniert), um das System in den sicheren Zustand zu überführen.
> 
> Das wäre die Theorie. Hoffe einigermaßen verständlich.




soll die sps das selbst machen oder muss man das programmieren? 

sorry das ich so dumm frag.... aber wenn 2 funktionieren sollen und nur noch 1 i.O ist sollte dann nicht die Abschaltung erfolgen ??? ich versteh das so, dass du der meinung bist das die sps entscheiden kann ob 1 fühler ausreichend ist. ???


----------



## vierlagig (27 Januar 2009)

mich würde ja schon interessieren, wie das projekt jetzt aussieht ... gibt es neue erkenntnisse? ... man brauch ja auch mal bißchen theoretischen background um als industrieschauspieler ernst genommen zu werden


----------



## LoKo (27 Januar 2009)

Wenn ich es richtig verstanden habe, geht es darum dass das System selbst entscheiden soll wann es von "ganz Sicher" (2-aus-3-Auswertung), nach Ausfall eines Sensores auf "Sicher" (1-aus-2-Auswertung) herunterschalten soll.

In meiner durchaus längeren Praxis ist mir ein solcher Fall noch nie vorgekommen, könnte aber durchaus ein netter Ansatzpunkt sein um die Verfügbarkeit zu erhöhen. Da jedoch im Normalfall eine 2oo3 bzw. 1oo2 Entscheidung nach dem Risiko-/ Gefährdungsgrad entsprechend ausgeführt wird, denke ich wird das eine interessante Diskussion mit dem Auditor geben, warum die Kiste temporär mit einer 1oo2-Auswahl gefahren werden kann. 

Kann ich mir aber vorstellen um bestimmte Prozesse kontrolliert zu beenden, bevor sie beim Ausfall des 2. Sensors radikal auf sicheren Zustand gebracht werden.


----------



## williwuff (27 Januar 2009)

Hallo,

wie Loko richtig erkannt hat, geht es darum die Sicherheitstechnische Verfügbarkeit zu erhöhen.
Gehen wir nochmal folgendes Beispiel an.

Initialvoting ist 2oo3:
Nun fällt ein Sensor aus, der Ausfall wird durch die Eigendiagnose aber nicht erkannt. Das heißt nur die beiden anderen Sensoren liefern noch zuverlässige Werte. Allerdings darf nun kein weiterer Sensor ausfallen. Fällt ein weiterer Sensor aus, wird nicht mehr die Schutzeinrichtung angesprochen.

Was passiert wenn das Voting geändert wird:
Fällt zusätzlich z.B. noch ein weiterer Sensor aus, bei dem der Ausfall diagnostiziert wurde (zusätzlich zu dem Sensor, bei dem der Ausfall nicht erkannt wurde), wird das Voting z.B. in ein 1oo2 Voting geändert. Das bedeutet, dass die Schutzeinrichtung noch ausgeführt werden kann. Im Gegensatz zu oben konnte dies dort nicht mehr.

Das lässt sich natürlich für viele Fälle betrachten, z.B. noch für Fehlalarme und so. 
Letztendlich ergibt aus solchen Degradierungen eine bessere sicherheitstechnische Verfügbarkeit. Also die Anlage wird mit größerer Wahrscheinlichkeit ihre Schutzeinrichtung ausführen, wenn sie benötigt wird. Nachteil ist die Betriebstechnische Verfügbarkeit,die Anlage könnte öfters Stillstehen. 

Durch eine Degradierung ist auch folgendes Szenario möglich. Bei einem 2oo3 müssen ja 2 Sensoren funktionsfähig sein. Passiert jetzt ein dummer Zufall und es fallen alle 3 Sensoren aus, und dies wird erkannt. Bei einem Standard-Voting kann die Schutzeinrichtung nicht mehr eingreifen; bei einer Degradierung inkl. Abschaltung kann die Anlage in den sicheren Zustand übergehen.

Hoffe es wird ein bisschen klarer. Ist ein schwieriges Thema 

Gruß


----------



## Flinn (27 Januar 2009)

Hallo Williwuff,

was ich, auch nach mehrmaligem Lesen, noch nicht verstanden habe:

1) Wer degradiert? Die Steuerung per Programm selbst??
2) Soll die Anlage durch Degradierung wirklich sicherer werden oder nur verfügbarer?

Gruß
Flinn

PS: Sowas hatten wir in unserem Studiengang Automatisierungstechnik nicht... Oder war ich da krank...


----------



## williwuff (27 Januar 2009)

Flinn schrieb:


> 1) Wer degradiert? Die Steuerung per Programm selbst??



Die Steuerung degradiert selbstständig. Dies muss vorher natürlich in die Steuerung programmiert werden



Flinn schrieb:


> 2) Soll die Anlage durch Degradierung wirklich sicherer werden oder nur verfügbarer?


Sie soll sicherheitstechnisch verfügbarer gemacht werden ;-)
Also die Wahrscheinlichkeit für das Auslösen im Auslösefall.
Aber das ganze muss ich natürlich erst noch untersuchen. Bin ja noch am Anfang der Arbeit



Flinn schrieb:


> PS: Sowas hatten wir in unserem Studiengang Automatisierungstechnik nicht... Oder war ich da krank...


Bei uns wurde sowas auch nicht in Vorlesungen behandelt. Es wurde nur kurz SIL-Berechnungen & Co eingeführt. Hast demnach also nix verpasst.n Und sicher dass du krank warst und nicht Lust auf spannende Vorlesungen hattest?


----------



## LoKo (28 Januar 2009)

Also ich finde das Thema äusserst spannend.



williwuff schrieb:


> Nun fällt ein Sensor aus, der Ausfall wird durch die Eigendiagnose aber nicht erkannt.


 
Wenn es durch Eigendiagnose (z.B. Verschmutzungsanzeige einer Lichtschranke, um es zu konkretisieren) nicht erkannt wird kann bei einer dreifachen Redundanz ja bei jedem Schaltvorgang/jeder Wertänderung überprüft werden ob immer der gleiche Sensor nicht mitmacht. Wenn es gehäuft vorkommt, d.h. selbst wenn hin und wieder eine korrekete Zustandsänderung eintritt (ich bin hier wieder bei der verschmutzten Lichtschranke) kann nach einem Ueberschreiten eines Grenzwertes über ein Zeitintervall, eine Wartungsanforderung ausgegeben werden, bei einem nächsten Grenzwert, oder bei hohem Grenzwert und Ausfall des Sensors auf eine 1-aus-2-Auswahl zurückgestuft werden.

Preisfrage: Was passiert wenn bei einem hohen Grenzwert auf Sensor 2 nun plötzlich Sensor 3 ausfällt? Konsequenterweise müsste, da Sensor 2 ja schon zweifelhafte Signale liefert, abgeschaltet werden da nur noch 1 zuverlässiger Kanal zur verfügung steht. Das wiederspricht nun wieder der ganzen Idee, da mit höherer Komplexität auch das Risiko für einen Ausfall steigt.

Gruss, LoKo.


----------

