# Anhäufung unerkannter Fehler



## safety_engineer (6 April 2020)

Hallo Leute!

In der EN ISO 13849-1 wird in Kategorie 4 der Begriff "Anhäufung unerkannter Fehler" und "Fehleranhäufung" verwendet. Auch im BGIA Report werden diese Begriff des öfteren verwendet. Eine genaue Defintion dazu findet man nicht. Es wird erwähnt: "...in der Praxis KANN die Betrachtung einer Fehlerkombination für zwei Fehler ausreichend sein" ...diese Aussage mit "kann" ist nicht sehr zuverlässig...

Auch in anderen Normen IEC 61508, IEC 61511 und der IEC 62061 finde ich nichts zu Fehleranhäufungen oder einer Anhäufung unerkannter Fehler.

Wie sind eure Erfahrungen diesbezüglich? Hat hier wer einen Tipp für mich, wo ich mich diesbezüglich schlau machen kann.

mfg


----------



## Tommi (7 April 2020)

Hallo,



> "...in der Praxis KANN die Betrachtung einer Fehlerkombination für zwei Fehler ausreichend sein"



vielleicht ist das darauf bezogen, daß für Maschinen 2 gleichzeitige Fehler nicht
betrachtet werden müssen, d.h., wenn beide Kanäle eines OSSD gleichzeitig ausfallen,
ist das Pech. Man darf theoretisch aber auch mehr machen.

Bei Flugzeugen oder Atomkraftwerken gibt es für bestimmte Funktionen darüber
hinausgehende Regeln (hoffe ich ).


----------



## s_kraut (18 Juli 2021)

Hi, wie üblich:
ist schon eine Zeit lang her, aber die guten Probleme laufen nicht davon.

Ich hab das aus der DIN EN 62061, sie bezieht sich an der Stelle auf die 61508.
Prinzipiell: man geht davon aus, dass es verschiedene Ausfallarten gibt.
1. Solche, die nicht stören (behandeln wir nicht weiter);
2. solche die stören, aber ungefährlich sind;
3. solche die stören und gefährlich sind und dabei:
  a) von einer integrierten Diagnoseeinrichtung entdeckt werden; oder
  b) unentdeckt bleiben.




Bei der Betrachtung spielt im ersten Ansatz keine Rolle, ob die Fehler bei einer Inspektion/Wartung entdeckt werden (dazu kommen wir dann später noch). Es geht viel mehr um die automatische Diagnose während des Betriebs bzw. bei Anforderung der Sicherheitsfunktion.




Sobald die Diagnosefunktion einen Fehler aufdeckt und das System in den sicheren Zustand überführt, steigert das die Rate der sicheren Fehler (Safe failure fraction). 

Der Fehler ist ab dem Moment, in dem er entdeckt ist, nicht mehr so gefährlich.

Falls aber ein Fehler von der automatischen Diagnosefunktion nicht erkannt werden kann, weil z.B. kein Rückführkreis da ist, dann bleibt er zunächst unentdeckt, und er kommt möglicherweise erst dann zum Vorschein, (wenn eine Prüfung stattfindet und der Prüfer gut ist, oder) wenn mindestens so viele weitere Fehler auftreten, bis die Wirksamkeit der Fehler eintritt und es zum Vorfall kommt. 
Bis dahin ist das diese ominöse Fehleranhäufung.

Jetzt sind wir hier im SPS-Forum und alle fuchteln mit der DIN EN 13849 rum....sie behandelt das Thema über die Kategorien und den Diagnosedeckungsgrad:




Die Kat4 unterscheidet sich von Kat3 im Wesentlichen dadurch, dass deren Diagnose besser ist.



			https://publikationen.dguv.de/widgets/pdf/download/article/3145
		


Auf Seite 54ff wird das ganz gut herausgearbeitet.


Auf die Frage: was heisst KANN?

kann heißt kann.

Man muss bei der Risikobeurteilung überlegen was DARF (nach eigenem Ermessen) passieren, im Mehrfehlerfall, und wie wahrscheinlich ist das. Nach der Auswahl geeigneter Komponenten ist die Wahrscheinlichkeit recht gering, DASS etwas versagt.

Man kann dann zum Ergebnis kommen Ein-Fehler-Sicherheit reicht. Oder halt Ein-Fehler-Sicherheit reicht halt nicht. Wie Tommi schreibt - baust du einen Kaugummiautomat oder ein AKW?


----------

