Hallo, welche Ausfallrate darf ein Kommunikationssystem in der Automatiserungstechnik maximal haben?
:
Verschoben durch User
Ist abhängig von den Zuverlässigkeitsanforderungen an die automatisierte Anlage.
M.a.W: Die Ausfallrate darf nur so hoch sein, wie die Anforderung an die Ausfallrate zulässt. ;-)
Ich dachte die Rate liegt so bei 10 hoch -6. Das bedeutet innerhalb von 1 Million versendete Datenpackete darf ein Fehler vorkommen.
Ich fürchte, dir könnte mehr geholfen werden, wenn das "wozu" nicht noch lang und breit in zig Beiträgen geklärt werden muss.
Zum Vergleichen: Schalt-MOSFETs in sicherheitskritischen Applikationen beim Auto: 10ppm bei 10.000h Betrieb bei max. Parametern (d.h. Temperatur, Spannung). Das war zumindest 2005 bei meiner Diplomarbeit bei Infineon so.
user schrieb: > Ich dachte die Rate liegt so bei 10 hoch -6. Das bedeutet innerhalb von > 1 Million versendete Datenpackete darf ein Fehler vorkommen. Mit Denken hat das nichts zu tun. Es kommt auf die Spezifikation der Anlage an.
Ausfallrate ist natuerlich nicht Packetverluste. Denn Packetverluste verden vom Kommunikationssystem mit Retries aufgefangen. Ausfallrate bedeutet "nach welcher mittleren Zeit" faellt das System aus. Resp der Kehrwert davon.
user schrieb: > welche Ausfallrate darf ein Kommunikationssystem in der > Automatiserungstechnik maximal haben? Zwischen "unkritisch, darf unbegrenzt ausfallen" und einem "darf nie ausfallen, jeder Ausfall gibt zahlreiche Leichen und kostet Milliarden" gibt es da alles. Ein Extrembeispiel wäre die Fernsteuerung der Kirchenglocke (damit der Pfarrer vom Pfarrhaus aus seine Schäfchen zum Gottesdienst herbeibimmeln kann), das andere die Ansteuerung der Schnellabschaltung im Atomkraftwerk. JW schrieb: > Schalt-MOSFETs in sicherheitskritischen Applikationen beim Auto: 10ppm > bei 10.000h Betrieb bei max. Parametern (d.h. Temperatur, Spannung). Wobei sicherheitskritisch beim Auto ein dehnbarer Begriff ist. In den meisten Fällen wäre eine Fehlfunktion eines kritischen Bauteils überlebbar. In der Luftfahrt gelten ganz andere Anforderungen, was aber manchmal auch kontraproduktiv ist. Am Ende wird dann die (nur mäßig zuverlässige) 50+X Jahre alte Museumstechnik weiterbetrieben, weil keiner eine Neuentwicklung (billig) nebst Zertifizierung (exorbitant teuer) bezahlen will. Aber dafür hat der Pilot dann ein Ipad nebst Luftfahrtsoftware (Navigation, Kollisionsvermeidung...) auf dem Kniebrett, aber das ist ja "advisory only", zumindest offiziell...
Schreiber schrieb: > Wobei sicherheitskritisch beim Auto ein dehnbarer Begriff ist. In den > meisten Fällen wäre eine Fehlfunktion eines kritischen Bauteils > überlebbar. Die ESP-Entwickler sehen das ein bisschen anders. Wenn z.B. bei 180 km/h plötzlich ein einzelnes Vorderrad eine Vollbremsung hinlegt, ist das Überleben eher Zufall. Lenkung und (Automatik-)Getriebesteuerung sind da auch eher unentspannt. Schon der Fensterheber ist nicht unkritisch: die Sensorik gegen Einklemmen dürfte auch mindestens ASIL B sein. Da gibt es wohl verschiedene Prüfkörper, der weichste (und damit anspruchsvollste) heißt im Entwicklerjargon wohl "Kinderhals".
Max G. schrieb: > Die ESP-Entwickler sehen das ein bisschen anders. Wenn z.B. bei 180 km/h > plötzlich ein einzelnes Vorderrad eine Vollbremsung hinlegt, ist das > Überleben eher Zufall. Ich sprach von überlebbar, nicht von keine-blauen-Flecken. Bei einem neueren Auto sollte auch ein Abflug in Leitplanke oder Straßengraben bei hoher Geschwindigkeit im Normalfall überlebbar sein. Dass das Auto danach ein Totalschaden ist und der eine oder andere Knochen gebrochen sein kann, habe ich nicht ausgeschlossen. Und auch beim Fensterheber: Bei einer Fehlfunktion muss nicht nur das Fenster hochfahren, es muss auch (gleichzeitig) ein Kind seine Rübe durchs Fenster strecken. Durchaus was anderes wie ein Flugzeug oder Atomkraftwerk. Da gbit es gleich Leichen, beim Auto meist "nur" einen längeren Krankenhausaufenthalt.
Schreiber schrieb: > Bei einem neueren Auto sollte auch ein Abflug in Leitplanke oder > Straßengraben bei hoher Geschwindigkeit im Normalfall überlebbar sein. Gefährlicher Trugschluss: https://www.adac.de/infotestrat/tests/crash-test/crash_tempo_80/
Max G. schrieb: > Schreiber schrieb: >> Wobei sicherheitskritisch beim Auto ein dehnbarer Begriff ist. In den >> meisten Fällen wäre eine Fehlfunktion eines kritischen Bauteils >> überlebbar. > > Die ESP-Entwickler sehen das ein bisschen anders. Wenn z.B. bei 180 km/h > plötzlich ein einzelnes Vorderrad eine Vollbremsung hinlegt, ist das > Überleben eher Zufall. Lenkung und (Automatik-)Getriebesteuerung sind da > auch eher unentspannt. > > Schon der Fensterheber ist nicht unkritisch: die Sensorik gegen > Einklemmen dürfte auch mindestens ASIL B sein. Da gibt es wohl > verschiedene Prüfkörper, der weichste (und damit anspruchsvollste) heißt > im Entwicklerjargon wohl "Kinderhals". Es reicht schon, wenn bei 180 das Fenster einfach mal runter fährt. 99% der Fahrer handeln dann souverän, der Rest erschreckt sich so, dass das Auto in der Leitplanke landet. Das gilt auch für so unwichtige Dinge, wie eine automatische Sitzverstellung. Man stelle sich vor, der Sitz fährt bei 180 einfach nach vorne und klemmt den Fahrer ein. Und das Auto ist ja nicht alleine unterwegs, bei so einem Crash in die Leitplanke können ja auch andere beteiligt werden, für die das nicht so gut ausgeht. Gruss Axel
Hallo, und genau deswegen gibt es diverse Normen, die in Abhängigkeit der Branche und der Kritikalität verschiedene Fehlerraten zulassen. Übergeordnet wäre das die IEC 61508, für Automotive dann die ISO 26262 und für Anlagenbau DIN EN 61511 oder VDI/VDE 2180 In diesen wird nicht nur beschrieben, wie man die Kritikalität einer Fehlfunktion bestimmt (also wie wahrscheinlich eine Fehlfunktion in welcher Situation bei welcher Kontrollierbarkeit zu welchem Personenschaden führen kann), sondern es werden darauf basierend auch Anforderungen an den Entwicklungsprozess, die Validation und die zufälligen Fehlerraten gestellt. Die oben genannten 10 ppm bei 10.000 Stunden Einsatz entsprechen dabei einer Fehlerrate von 1 FIT (1 Fehler alle 10^9 Stunden). Dies ist inzwischen für den Automotive-Einsatz als Einzelfehlerrate je nach Kritikalität zu hoch, hier wird 0,1 FIT und weniger gefordert, wobei dies auch noch von der Diagnose- und Reaktionsfähigkeit auf den Fehler abhängt. Die erste Frage, die der TO sich also stellen muss ist, ob es sich um eine sicherheitsrelevante Kommunikation handelt (also ob bei Versagen Leib oder Leben in Gefahr sind). Ist dies der Fall, muss er sich an die jeweilige Norm halten. Ist dies nicht der Fall, so muss er sich an die Qualitätsvorgaben des Auftraggebers halten. Sind diese nicht verfügbar, bedarf es einer gewissen Erfahrung, um dann die Anforderungen für sich selber festzulegen. Z.b. könnte man dann über eine zulässige Fehlerrate im von der Anlage hergestellten Endprodukt herangehen. Wenn z.B. durch einen Kommunikationsfehler ein Teil falsch gefertigt wird und eine übliche Fehlerrate von 64ppm zulässig sind, kann man über die benötigte Fertigungszeit pro Teil auf die zulässige Fehlerrate der Kommunikation schließen. Insgesamt klingt es aber danach, dass dem TO eine Aufgabe gestellt wurde, die er mit seinem jetzigen Erfahrungsstand nur schwer erfüllen kann - auch nicht mit Hilfe eines Forums. Schöne Grüße, Martin
:
Bearbeitet durch User
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.