Upload
phungnhi
View
215
Download
0
Embed Size (px)
Citation preview
DHBW Mannheim Automatisierungssysteme Zuverlässigkeit, Verfügbarkeit, Sicherheit Erich Kleiner, Okt. 2016 1. Begriffe, 2. Zuverlässigkeit
ASA_Zuv_Verf_Sich 1
Zuverlässigkeit, Verfügbarkeit, Sicherheit
Diese Unterlage definiert die o.g. Begriffe und zeigt ihre Anwendungen in der Automation.
Inhalt: Seite:
1. Begriffe (Übersicht) 1
2. Zuverlässigkeit 1 (Maße, Wertequellen, Berechnung)
3. Fehler 2 (Fehlerarten, Maßnahmen, -Wahrscheinlichkeit)
4. Verfügbarkeit 4.1 Definition, Berechnung, 5 4.2 Redundanzen, 4.3 Wartungsmaßnahmen 6
5. Sicherheit 5.1 Begriffe, Normen, 5.2 Anforderungen 8 5.3 Validierung 12
6. Fehlertolerante Prozessleitsysteme 16
7. Sicherheits- gerichtete Systeme 17 (Anforderungen, Maßnahmen, Beispiele)
8. Explosionsschutz 25
Literatur 28
1. Begriffe (Übersicht) Zur Beurteilung des Verhaltens von technischen Ein-richtungen im Falle von Fehlern und Störungen gibt es verschiedene Begriffe mit unterschiedlicher Be-deutung: Zuverlässigkeit meint die störungsfreie Ausführung der bestimmungsgemäßen Funktion. Sie wird für Bauelemente und einzelne Geräte angegeben.
Ein Fehler ist das Fehlverhalten eines Bauele-mentes oder eines Gerätes. Fehler sind grundsätz-lich unvermeidbar. Durch geeignete Maßnahmen können aber die Häufigkeit ihres Auftretens sowie ihre Auswirkungen gemildert werden
Verfügbarkeit ist ein Auslegungsziel für das Erstellen einer Anlage. Dabei kommt es darauf an, die Anlage auch beim Auftreten von Fehlern weiter betreiben zu können. Aufwendungen für die Erhöhung der Verfügbarkeit müssen sich durch Einsparung von Ausfallkosten amortisieren.
Sicherheit ist ebenfalls ein Auslegungsziel für das Erstellen einer Anlage. Hier kommt es darauf an, dass durch einen Fehler keine Gefährdung von Menschen, Einrichtungen und Umwelt auftreten. Für viele Anwendungen wird ein bestimmter Grad von Sicherheit als Bedingung für die Betriebser-laubnis vorgeschrieben. Die Einhaltung muss nach-gewiesen werden.
Unter Verlässlichkeit werden Verfügbarkeit und Sicherheit (System- bezogen) sowie Zuverlässigkeit und Instandhaltbarkeit (Komponenten- bezogen) zusammengefasst.
‘Ein Sicherheitssystem ist eine Einrichtung zum Herstellen / aufrecht Erhalten des sicheren Betriebs einer Anlage, das seine Sicherheitsfunktion durch entsprechende Auslegung oder andere Systeme bewahrt.' Wegen des höheren Aufwands ist es oft
parallel oder zusätzlich zu einem "normalen" ("betrieblichen") System angeordnet und beeinflusst nur "Sicherheits - relevante" Anlagenteile. Ein System kann "Sicherheits - gerichtet" ausge-legt sein, d.h. so, dass es eine Anlage im Zweifelsfall in einen sicheren Zustand bringt.
Explosionsschutz meint Maßnahmen zur Ver-hinderung der Entzündung explosionsgefährdeter Gase oder Stäube.
2. Zuverlässigkeit Die Zuverlässigkeit (λ) eines Bauelements oder eines Gerätes wird in zu erwartenden Ausfällen (n) pro Stunde (t) oder als durchschnittlich zu erwartende Zeit in Stunden zwischen zwei Ausfällen (MTBF = Mean Time Between Failures) angegeben.
Dabei ist zu beachten, dass sich diese Größen während der Anwendung eines Bauelementes bzw. Gerätes verändern, wie die „Badewannenkurve“ in Bild 2.1 zeigt. Für mechanische Teile kann man eine durch Verschleiß bedingte kalkulierbare Lebensdauer angeben. Elektronik unterliegt zwar auch gewissen Ver-schleiß- Effekten, wichtiger aber sind die nicht kalkulierbaren Zufallsausfälle. Direkt nach der Herstellung treten erhöhte Ausfallszahlen durch Material- oder Fertigungsfehler auf, die durch „Einbrennen“ (Betrieb unter max. zulässigen Bedingungen über eine bestimmte Zeit) für den Betrieb übersprungen werden. Nur danach bis zum Einsetzen von Verschleißeffekten ist λ etwa kons-tant und es gilt, dass MTBF der Kehrwert von λ ist. Für diese Zeit kann λ durch Tests ermittelt werden: r: Ausfälle n: Anzahl getesteter Teile t: Zeit in Stunden Besser handhabbare Zahlen ergeben sich als „fit“ (failures in time), nämlich bezogen auf 10
9 Stunden:
Meist liegen Erfahrungswerte vor.
1MTBF
t
Früh-
Ausfälle
Zufalls- Ausfälle Verschleiß
Maß: λ
(Ausfälle
pro Std.)
Mean Time Between Failors MTBF
Nur bei konstantem λ gilt:
Betrachtung
für Elektronik
(nicht
kalkulierbar)
Betrachtung für Mechanik
(Verschleiß =
kalkulierbar)
t
Auch bei
Elektronik
gibt es
Verschleiß-
Effekte!
bis 104 h
~ 1 Jahr
105 bis 106 h
8 bis 12 Jahre
Ein-brennenEin-brennen
Maßnahme
Gegen
Frühausfälle:BetriebBetrieb
t
Bild 2.1: Zuverlässigkeit
tn
rtest
][][
][109
fithtn
hr
b
test
/h
Zuverlässigkeit, Verfügbarkeit, Sicherheit Automatisierungssysteme DHBW Mannheim 3. Fehler Erich Kleiner, Oktober 2007
2 ASA_Zuv_Verf_Sich
Werden n Bauelemente (bzw. Geräte) mit bekann-tem λ zusammengeschaltet, so ergibt sich je nach Anordnung
3. Fehler 3.1 Fehlerarten Tab. 3.1 zeigt Fehlerarten und Gegenmaßnahmen: Nach den Auswirkungen sind zu unterscheiden: - systematische Fehler durch falsche HW -
Auslegung oder Programmierung (Entwurf). Diese treten nach Behebung nicht mehr auf.
- physische Fehler der HW durch Verschleiß, Alterung. Sie treten nach Behebung wieder auf.
Bei den physischen Fehlern sind wiederum zu unter-scheiden: - passive Fehler (en: passive fault): - verhindern Prozesseingriff (z.B. EIN – oder auch AUS- Befehl), - lassen sich feststellen durch Funktionsüberwach- ung bzw. zyklische Prüfung,
- aktive Fehler (en: active fault): - bewirken Prozesseingriff (z.B. EIN – oder auch AUS- Befehl), - lassen sich feststellen durch Anlagenüber- wachung
Um eine hohe Gesamtzuverlässigkeit zu erreichen müssen bei der meist vorkommenden seriellen Anordnung die einzelnen Ausfallraten sehr klein sein, da sie sich zur Gesamt- Ausfallrate addieren. Bei der redundanten Anordnung geht rechnerisch die Ordnungsnummer i des Kanals mit ein, so dass der zweite Kanal 50% Verbesserung bringt, der dritte nur noch 33%, usw. Da Fehler grundsätzlich nicht zu vermeiden sind ist es eine Frage der Anlagenauslegung, welche Fehler- Auswirkungen durch geeignete Maßnahmen vermieden werden: - hauptsächlich verfügbar: (Vermeidung einer Betriebsunterbrechung) - keine Verhinderung von EIN- Befehlen, - keine ungewollten AUS- Befehle - hauptsächlich sicher: (Vermeidung von gefährlichen Zuständen) - keine Verhinderung von AUS- Befehlen, - keine ungewollten EIN- Befehle Das sind widersprüchliche Anforderungen. Nur mit relativ hohem Aufwand (z.B. konsequente 2 von 3- Anordnungen) lassen sich Verfügbarkeit und Sicherheit gleichermaßen gewährleisten.
Serielle Anordnung
(keine Redundanz):
n
i
igesamt
1
Parallele Anordnung
(mit Redundanz)
n
i i
gesamt
i1
1
1
Fehlerarten Maßnahmen zur Verringerung Organisatorische Maßnahm.
Systematische Fehler Projektorganisation:
(prinzipiell vermeidbar!) - Verantwortlichkeiten, Bindungen,
- HW: Entwurf, Entwicklung, - Beachtung von Normen, - Qualitätssicherungsmaßnahmen
Konstruktion - ggf. Musterbau / Test, (Prüfungen, Phasenmodell)
- SW: Spezifikation, Entwurf - Prüfung / Simulation von Spezifikationen,
- Benutzung von Entwurfssystemen, Standards,
- Verzicht auf Optimierung,
- Minimierung von Realzeiteinflüssen
Zufällige Fehler in der HW
- Lebensdauer von Bauelementen, - sorgfältige Auswahl von Bauelementen
Komponenten / Komponenten,
- Inspektionen, “Walk through“,
- Überwachungs - und Diagnoseeirichtungen
Handhabungsfehler Betriebsorganisation:
- Falsche Bedienung - Bedienungs - Handbuch - Personalschulung
- Unbeabsichtigte Bedienung (auch an Simulatoren)
Instandhaltungsfehler
- Unterlassene Wartung - IMS - Funktionen (Wartungsprotokoll), - Qualitätssicherung,
- Fehler bei Wartungsdurchführung - Wartungshandbuch - Personalschulung
(auch an Simulatoren)
Fehler durch äussere Einflüsse
- elektrische Störung - EMV - Maßnahmen
- mechanische (Zer-) Störung - schützender mechanischer Aufbau
- Umwelteinflüsse (Korrosion, ..) - Bauelemente - Auswahl
DHBW Mannheim Automatisierungssysteme Zuverlässigkeit, Verfügbarkeit, Sicherheit Erich Kleiner, Oktober 2007 3. Fehler
ASA_Zuv_Verf_Sich 3
3.2 Fehlerwahrscheinlichkeit Das Auftreten von Fehlern ist aus Erfah-rungen in den verschie-denen Teilen eines Automatisierungssys-tems verschieden wahr-scheinlich, wie Bild 3.1 zeigt. Das liegt an unterschiedlicher Tech-nologie (z.B. Verschleiß bei Schützen) und der Anordnung (besonders geschützte Elektronik). So ist z.B. eine doppelt ausgelegte CPU nur sinnvoll bei ziemlich zentraler Anordnung, d.h. wenn sie für viele Funktionen benötigt wird. Bei dezentraler Anordnung ist die ganze Funktion (Ab-zweig) zu betrachten. Dies spielt bei den Sicherheitskategorien eine Rolle. Tabelle 3.2.1 lis-tet verschiedene Ausfallarten nach verschiedenen Aspekten auf. Tabelle 3.2.2 listet Fehlerarten in Hard- und Software auf. Manchmal wird vor dem Bau einer Anlage eine Zuverlässigkeitsanalyse verlangt. Ihre Erstellung ist nur aufgrund genauer Kenntnisse über alle denkbaren Ausfall- und Fehlerarten der im System verwendeten Komponenten möglich. In komplexen Systemen müssen dabei die hierarchischen Ebenen der Systemstruktur berücksichtigt werden. Als Beispiel sei ein Rechner betrachtet, bei dem wie in Bild 2.3.1 gezeigt mehrere Ebenen zu unterscheiden sind. Der Ausfall der Festplatte stellt z.B. eine bestimmte Ausfallart des Rechnersystems dar. Die Ursache dafür kann z.B. ein defekter Chip im Controller sein. Diese Zusammenhänge sind für die Zuverlässig-keitsanalyse von großer Bedeutung. 3.3 Maßnahmen zur Zuverlässigkeits - Erhöhung Zur Erhöhung der Zuverlässigkeit der Komponenten und Systeme werden sogenannte "konstruktive Maßnahmen" angewandt. Sie sind in Tabelle 3.3 aufgelistet.
Pfad - Teil Mögliche Störungen Wahrscheinlichkeit
Geber, - Funktionsausfall, hoch (Umgebungseiflüsse)
Messumformer - falscher Wert mittel
Unterverteiler, Leitungsunterbruch, mittel
Leitungen Kurzschluss nach Erde, mittel
Kurzschluss nach Spannung niedrig
Sicherungen - Überstrom bei Kurzschluss, mittel
Stromversorgung - Ausfall niedrig (wenn 2 - kanalig)
Eingabe - Geräte - Funktionsausfall, niedrig
- Spannungsausfall niedrig (wenn 2 - kanalig)
Verarbeitung (CPU) - Funktionsausfall sehr niedrig,
redund.:besonders niedrig
Ausgabe - Gerät - Funktionsausfall, niedrig
- Spannungsausfall niedrig (wenn 2 - kanalig)
Unterverteiler, (wie oben)
Leitungen
Schaltanlage - Funktionsausfall, mittel (Verschleiss)
- Ausfall Steuerspannung, mittel
- Ausfall Schienenspannung mittel
Aggregat - Funktionsausfall mittel bis hoch (Verschleiss)
(Prozess)
10%
50%
40%
5%
35%
60%
I
P
+
M
Controller
Steuerspannung
Schienen-
Spannung
Bild 3.2.1: Fehlerwahrscheinlichkeiten in einem Abzweig
Umfang:
- Vollausfall,
- Teilausfall
Ursache / Auswirkung:
- Primärausfall,
- Folgeausfall
Geschwindigkeit:
- Sprungausfall,
- Driftausfall
Sicherheit:
- Sicherheits - bezogener Ausfall,
- nicht Sicherheits - bezogener Ausfall,
- gefährlicher Ausfall
Betriebsphasen:
- Frühausfall,
- Zufallsausfall,
- Spätausfall
Schwere:
- Hauptausfall,
- Nebenausfall,
- kritischer Ausfall
Dauer:
- sporadischer Ausfall,
- statistischer Ausfall
Ursache:
- Entwurfs - bedingter Ausfall,
- Fertigungs - bedingter Ausfall
Anzahl:
- Einfachausfall,
- Zweifachausfall,
- Mehrfachausfall
Hardware: Software:
Dimensionierungsfehler Spezifikationsfehler
Schaltungsfehler Konzeptfehler
Verdrahtungsfehler Entwurfsfehler
Fertigungsfehler Codierfehler
EPROM - Fehler Compiler - Fehler
Dokumentationsfehler Dokumentationsfehler
Ebenen bei einem Rechner:
System
Teilsystem
Baugruppe
Bauelement
Rechner
Festplatte Grafik -
Karte
Controller
Chip
Bild 3.2.2: Systemstruktur eines Rechners für eine Zuverlässigkeitsanalyse
Zuverlässigkeit, Verfügbarkeit, Sicherheit Automatisierungssysteme DHBW Mannheim 3. Fehler Erich Kleiner, Oktober 2007
4 ASA_Zuv_Verf_Sich
Durch konstruktive Ge-staltung der Komponen-ten lässt sich deren Aus-fallverhalten beeinflus-sen. Die Verwendung besserer Materialien auf-grund der Grundlagen-forschung in Physik und Chemie, die Verwendung besserer Konstruktionen und die Anwendung besserer Herstellungs-technologien kann die Ausfallrate der Kompo-nenten erheblich ver-bessern. Im Softwarebereich sind die konstruktiven mit die wichtigsten Maßnahmen zur deutlichen Steigerung der Software - Zuverlässigkeit. Ein nicht gemachter Fehler muss nicht durch aufwändige Tests aufge-spürt und behoben werden. Darüber hinaus gibt es weitere Maßnahmen zur Steigerung der Zuverlässigkeit: - Schulung und Training der Mitarbeiter, - Verbesserung der Team- und Projektorganisation, - Verbesserung des Qualitätssicherungs - Systems und der Dokumentation. Insbesondere bei Sensoren wird zur Erhöhung der Zuverlässigkeit auch die Selbstüberwachung ein-gesetzt, was jedoch nur möglich ist, wenn eine Referenzinformation zum betrachteten Messwert zur Verfügung steht. Allerdings kann nur ein Teil der auftretenden Fehler durch Selbstüberwachung fest-gestellt werden. Übliche Methoden sind:
- Umschalten auf Referenzgrößen: zyklisches Umschalten auf bekannten Messwert möglichst weit "vorne" am Sensor zur möglichst vollständigen Kontrolle der Messkette (bedingt Unterbrechung der Prozessgrößenmessung),
- Vor- und Erfahrungswissen über den Signal-verlauf: Vergleich mit gespeichertem Verlauf bzw. Gradient,
- Messen von Hilfs- und Einflussgrößen: Zusatzinformationen durch Hilfssensoren, z.B. Membranbruch - Überwachung (bedingt allerdings höhere Kosten),
- Parameterüberwachung der Messkette: z.B. erhöhter ohm'scher Stromanteil durch Ablagerung (großes Potential, aber aufwändiges Verfahren).
Darüber hinaus wird auch Übergreifende Über-wachung eingesetzt (Bezeichnung von NAMUR und VDE - Fachgesellschaft GMA vorgeschlagen). Dabei ergeben sich folgende Vorteile: + es können mehr Fehler gefunden werden, + auch bei fehlenden Möglichkeiten der Selbstüber- wachung einsetzbar. Nachteile sind allerdings: - Die Diagnosemöglichkeiten sind unspezifischer, - zur Anwendung sind Prozesskenntnisse erforderlich.
Die dabei üblichen Methoden sind: - Redundante Ausführung: Vergleich mehrerer
Messungen des gleichen Messwertes (siehe 3. "Verfügbarkeit", "Prozessredundanz"),
- Plausibilitätsbetrachtungen: fehlerhaft konstante
Werte bei durch andere Werte belegte Dynamik. Leicht zu realisieren, für Diagnose sind aber
Zusatzinformationen nötig. - Vor- und Erfahrungswissen über Signal-
verläufe: Vergleich mit Erfahrungswerten bei einer bestimmten Prozesssituation, die durch andere Messungen erkannt wird.
Relativ geringer Aufwand. - Prozesshistorie: Vergleich des aktuellen
Prozesszustands mit ähnlichen Prozesssituationen aus der Vergangenheit. Bei deutlicher Abweichung ist ein Fehler vorhanden.
Dazu werden für den Prozess charakteristische Signale und eine Anzahl Prozesssituationen
ausgewählt. Diese Methode sollte für diskrete Prozesssituati-
onen bei Batch - Prozessen eingesetzt werden und setzt genaue Prozess - Kenntnis voraus. Wichtig ist die Beschränkung auf wenige sinnvolle Signale, um hochdimensionale Merkmalsräume zu vermeiden.
Kurzzeitig auftretende Fehler (Spikes) werden nicht erkannt.
- Mathematische Modelle: Vergleich der aktuellen
Werte mit den Ergebnissen eines mathematischen Modells (Formel) des Prozesses, möglich als:
- statische Modelle (berücksichtigen nur Signale des aktuellen Abtastschrittes), und - dynamische Modelle (berücksichtigen auch zeit- liche Vorgängermesswerte). - Empirische Modelle: Vergleich der aktuellen
Werte mit einem Polynom, das durch im "GUT" - Zustand gemessene Zusammenhänge gebildet wurde.
Tabelle 3.3: Konstruktive Maßnahmen zur Zuverlässigkeitsverbesserung
Hardware:
- Verwendung hochwertiger Materialien,
- Verwendung neuer Technologien,
- Verwendung hochwertiger Bauelemente,
- Schutz gegen Umwelteinflüsse
(Bauelemente-Verkapselung),
- Störfestigkeit (Abstand zwischen Nutz-
und Störsignal),
- Überdimensionierung (größere Abmessungen)
- Unterlastung (kleinere Spannungen),
- Bessere Kühlung (Packungsdichte, Kühlkörper,
Kühlmedium),
- Schaltungsmaßnahmen (Überspannungsschutz,
Kurzschlussfestigkeit),
- Schwachstellenanalyse (zu viele Steckverbinder),
- Verbesserung des QS - Systems (Materialprüfung,
Funktionsmusterprüfung),
- Verbesserung der Systemkonstruktion
Software:
- Höhere Programmiersprache,
- Strukturierte Programmierung /
Objekt - basierte Programmierung mit Standardbausteinen,
- Top-down-Verfahren,
- Software Tools, Entwicklungsumgebung,
- Spezifikations- und Entwurfssprachen und -Systeme,
- Software-Qualitätssicherungs-Maßnahmen
(Review, Prüfung, Test),
- Verifikation und Validation (Teststrategie, Abdeckung),
- Programmanalyse-Verfahren,
- Simulation,
- Fehler-Ursachenforschung (Schwachstellenanalyse)
Software:
- Höhere Programmiersprache,
- Strukturierte Programmierung /
Objekt - basierte Programmierung mit Standardbausteinen,
- Top-down-Verfahren,
- Software Tools, Entwicklungsumgebung,
- Spezifikations- und Entwurfssprachen und -Systeme,
- Software-Qualitätssicherungs-Maßnahmen
(Review, Prüfung, Test),
- Verifikation und Validation (Teststrategie, Abdeckung),
- Programmanalyse-Verfahren,
- Simulation,
- Fehler-Ursachenforschung (Schwachstellenanalyse)
DHBW Mannheim Automatisierungssysteme Zuverlässigkeit, Verfügbarkeit, Sicherheit Erich Kleiner, Oktober 2007 4. Verfügbarkeit
ASA_Zuv_Verf_Sich 5
Der breite Einsatz der übergreifenden Überwachung scheitert meist am Realisierungsaufwand. Dieser rechnet sich bei großen Stückzahlen (z.B. Fahrzeugindustrie) und ist gering, wenn Prozess und Messtechnik in einer Hand liegen. In der Verfahrenstechnik sind die Anlagen Unikate und die Sensorik wird von verschiedenen Herstellern be-zogen.
4. Verfügbarkeit 4.1 Definitionen, Berechnung Unter Verfügbarkeit versteht man, inwieweit eine Einrichtung zur Erfüllung ihrer Aufgaben zur Verfügung steht, wobei nur die verfügbare Betriebs-zeit in Rechnung zu setzen ist, z.B. 2 x 8 Std./Tag bei Zweischichtbetrieb: Die Verfügbarkeit kann auch über MTBF (Mean Time between Failures) und MTTR (Mean Time To Repair) ausgedrückt werden. Die Verfügbarkeit kann erhöht werden durch: - hohe Zuverlässigkeit von Bauelementen bzw. Geräten - Redundante Anordnung (von lat. redundantia: Überfluss) - homogen (gleichartige Kanäle), oder - diversitär (verschiedenartige Kanäle, z.B. verschiedene Messverfahren) - vorbeugende Wartung (Ausfall- Vorbeugung möglichst außerhalb der Betriebszeit) - Hilfen zur Fehlerdiagnose (Verkürzung MTTR) Die verschiedenen Zeiten erklärt Bild 4.1 Ein Ausfall ist ein Ereignis und führt zu einem Fehlerzustand, der sich evtl. jedoch erst bei einer Funktionsanforderung an die gestörte Funktion bemerkbar macht und zu einem Versagen (Ereignis) führt. Ab jetzt läuft die „Störungsdauer“ (Aus-fallzeit) MTTR bis zur Fertigstellung der In-standsetzung. MTBF ist der „Ausfall-abstand“ zwischen zwei Versagen- Ereig-nissen. Falls eine Anlage nicht 24 Std./Tag in Betrieb ist, dann darf hier natürlich statt 24 Std. nur die tatsächliche Betriebszeit eingehen.
Für das online asset management von Apparaten, Maschinen und Feldgeräten ist die genaue Zustandserkennung Voraussetzung, und diese benötigt mehr Informationen als aus der Selbstüberwachung zur Verfügung stehen. Daher sollten die Methoden der übergreifenden Überwachung nicht wegen Realisierungs-schwierigkeiten verworfen werden. Nach DIN 40 041 gelten folgende Definitionen: Ausfall (Ereignis): Beendigung der Funktionsfähig-keit einer materiellen Einheit innerhalb zugelassener Beanspruchung. Fehler (Zustand): Nichterfüllung einer Forderung (nach bestimmungsgemäßer Funktion). Versagen (Ereignis): Entstehen einer Störung bei zugelassenem Einsatz aufgrund in der Einheit selbst liegender Ursache. Störung (Zustand): Fehlende, fehlerhafte oder un-vollständige Erfüllung einer geforderten Funktion durch die Einheit. Betriebsdauer: Intervall der Anwendungsdauer, in dem die geforderte Funktion erfüllt wird. Störungsdauer: Intervall der geforderten Anwend-ungsdauer, in dem eine Störung besteht. Ausfallabstand: Intervall der Anwendungsdauer zwischen zwei aufeinander folgenden Ausfällen (Störungen). Für Bauelemente gibt es einen weiteren Ausdruck: Ausfallsatz (Fraction Failure) ist der Anteil ausge-fallener Bauelemente während einer anzugebenden Beanspruchungsdauer in % (d.h. je 100 Bauele-mente).
funktionsfähig
Ausfall
(Ereignis)
Fehler
(Zustand)
Versagen (Auswirkung)
(Ereignis)
Störung
(Zustand) Instandsetzung
funktionsfähigAnlagenzustand
Funktions - Anforderung
(betrachtete Teilfunktion
wird benötigt)
Betrieb
(Anlage in Betrieb)
MTTR (Mean Time To
Restoration / Repair),
od. MDT (Main Down Time)
MTBF (Mean Time
Between Failures)
Betriebs-
pause
Betriebs-
pause
Fehleroffen-
barungszeit
Störungsdauer (Ausfallzeit)
FehlerStörung
BetriebsdauerBetriebsdauer
tAusfallabstand
Ausfall
Verfügbarkeit = nutzbare Betriebszeit
verfügbare Betriebszeit
MTTRMTBF
MTBFV
Bild 4.1: Ereignisse, Zustände und Zeiten Ände und
Zuverlässigkeit, Verfügbarkeit, Sicherheit Automatisierungssysteme DHBW Mannheim 4. Verfügbarkeit Erich Kleiner, Oktober 2007
6 ASA_Zuv_Verf_Sich
4.2 Redundanzen Bei der Redundanz sind zu unterscheiden:
CPU- Redundanz: nur die Verarbeitung ist redun-dant (Bild 4.2.1). Unter Berücksichtigung der Fehler-wahrscheinlichkeiten (Bild 3.2.1) nur sinnvoll, wenn die CPU für viele Funktionen benutzt wird. Redun-dante CPUs müssen synchronisiert werden, insbe-sondere für Regelungsaufgaben, da die Werte sonst auseinander laufen können. Dies geschieht oft über einen eigenen sehr schnellen Bus (High Speed Link)
Prozess-Redundanz bedeutet mehrfach vorhande-ne Sensoren und Aktoren (Bild 4.2.2). Das ist mit Kosten verbunden, besonders für z.B. redundante Aggregate wie Pumpen oder Gebläse z.B. als 2x100% / 3x50% oder zumindest 2x75% mit redundanten Schienen in der Schaltanlage und getrennten Ausgabegeräten. Daher werden eher redundante Messungen eingesetzt um sichere Informationen aus dem Prozess zu erhalten. Diese sollten getrennte Versorgung und Eingabegeräte haben, und - wenn in derselben Station- Auswahlschaltungen (1v2 / 2v2 / 2v3 je nach Auslegung bzw. Mittelwertbildung mit Differenzüberwachung der Kanäle).
Prozess- und Stationsredundanz ist für höchste Verfügbarkeitsansprüche sinnvoll (Bild 4.2.3), da diese Variante auch bei Ausfällen zentraler Funktionen in einer Station betriebsfähig bleibt. CPU-Redundanz kann verschieden wirken: Master-Slave: nur eine CPU ist als Master zu einer Zeit aktiv (Bild 4.2.4): - Master-Slave mit Überwachung: die zweite CPU
überwacht die erste und alarmiert bei Differenz, - Master-Slave mit Umschaltung: Über Watchdogs
wird die defekte CPU erkannt und mit Hilfe von HSL auf die andere stoßfrei umgeschaltet.
Parallele CPU-Redundanz (Bild 4.2.5): zwei oder besser drei CPUs arbeiten parallel mit Synchronisierung, möglichst in getrennten Stationen mit getrennten Ein- und Ausgaben, mit einem nachgeschalteten „sicheren“ Voter, der die defekte Station vom Prozesseingriff abtrennt. Bei zwei Kanälen muss der Defekt durch Überwachung festgestellt werden, bei drei Kanälen kann eine einfache 2 von3 – Auswahl der Ergebnisse benutzt werden. Eine Solche Anordnung kommt hauptsächlich in Schutzsystemen vor. Zum Schutz gegen passive Fehler müssen auch re-dundante Einrichtungen regelmäßig geprüft werden, manuell oder durch ein eingebautes Prüfprogramm. Software - Redundanz In der Software werden Redundanzmaßnahmen ein-gesetzt, die Software - Fehler ignorieren können. Es werden zweikanalige Verarbeitung mit einem invers-en Kanal, diversitäre Programmierung (Sprache), Software - Diversität und Zeit – Redundanz eingesetzt.
P=
S
R
=#
=#
=#
=#
M
Druckluft-
Behälter
S
R
S
R
CPU –
Redundanz
P=
=#
=#
=#
=#
M
Druckluft-
Behälter
P=
=#
=#
=#
=#
M
1 oder 2 CPUs
Prozess –
Redundanz
A SchieneB
Bild 4.2.1: CPU-Redundanz Bild 4.2.2: Prozessredundanz
P=
S
R
=#
=#
=#
=#
M
Druckluft-
Behälter
S
R
=#
=#
=#
=#
P=
M
Prozess - und Stations -
Redundanz
ASchiene
B
Bild 4.2.3: Prozess- und Stationsredundanz
„Master – Slave“
P=
S
R
=#
=#
=#
=#
M
Druckluft-
Behälter
S
R
==
Ala
rm- nur Überwachung
P=
=#
=#
=#
=#
M
Druckluft-
Behälter
S
R
S
R
Überw.
- mit Umschaltung
Bild 4.2.4: CPU-Redundanz „Master – Slave“
„3 CPUs mit Voter“
(Stationsredundanz)
P=
S
R
=#
=#
Druckluft-
Behälter
S
R
=#
=#
P=
M
S
R
=#
=#
P= Voter„2 v 3“
Bild 4.2.5: Parallele CPU-Redundanz
DHBW Mannheim Automatisierungssysteme Zuverlässigkeit, Verfügbarkeit, Sicherheit Erich Kleiner, Oktober 2007 4. Verfügbarkeit
ASA_Zuv_Verf_Sich 7
4.3 Wartungsmaßnahmen Wartungsmaßnahmen haben einen entscheidenden Einfluss sowohl auf die Verfügbarkeit eines Systems als auch auf die Wirtschaftlichkeit eines Betriebes. Die wichtigsten Wartungsstrategien sind: - Vorbeugende (periodische) Wartung, - Wartung nach einer Störung bzw. nach einem
Ausfall, und - Wartung bei Anlagen - Revision: Anlagenstillstand bei Anlagen mit hohen Verfügbarkeitsanforder-
ungen bei Dauerbetrieb über eine längere Zeit (z.B. Kraftwerke).
Vorbeugende Wartung ist nur für solche Kompo-nenten sinnvoll, die einen eindeutigen Zusammenhang zwischen Betriebsdauer und Abnutzung aufweisen. Dies gilt vorwiegend für bewegliche und mechanische Bauteile. Bei der vorbeugenden Wartung werden noch funktions-fähige, aber bereits abgenutzte Bauteile durch neue ersetzt. Die Wartungsperiode ist gemäß Betriebs-erfahrungen so festzulegen, dass ein Abnutzungs - bedingter Ausfall verhindert wird. Da verschiedene Komponenten (z.B. redundante Pumpen) von der Gesamt - Betriebszeit der Anlage verschiedene Einzelbetriebszeiten haben können ist ein Wartungsprotokoll der IMS - Funktionen der Mensch - Maschine - Kommunikation sinnvoll, in dem für jede zu wartende Komponente zumindest die Betriebsstunden sowie die Schaltspiele seit der letzten Wartung summiert und angezeigt werden. Dadurch können unnötige, weil zu frühe Austausch-aktionen vermieden werden. Bei Prozess - naher Leittechnik werden solche Aufgaben bereits von der Antriebssteuerung wahrgenommen. Stehen diese Betriebsdaten sowie die Typ-Daten der Geräte über das Bus - System dem Betrieb zur Verfügung, so wird dadurch der Aufwand für die vorbeugende Wartung verringert ("Asset Management").
Zur Optimierung der Revisionswartung gibt es von den zuständigen Genehmigungsbehörden zu-gelassene Stress - Berechnungsprogramme für Komponenten oder ganze Anlagen. Dabei wird der tatsächlich aufgetretene "Stress" (Belastung, Ab-nutzung) in einem Modell aufsummiert. Bei nachgewiesen "schonender" Betriebsweise können die sonst nach festem Zeitplan verlangten Revisi-onstermine verschoben werden, was die Betriebs-kosten wesentlich verringert (Bild 4.3.1).
In der Kraftwerkstechnik sind solche Rechner bereits Standard, insbesondere für die Dampferzeuger (Kessel). Für sie bedeuten häufige und starke Temperaturwechsel einen hohen "Stress", weitgehend konstante Temperaturen oder langsame Änderungen dagegen einen geringen.
Für solche Komponenten wie z.B. elektronische Bauteile / Geräte, die keine Abnutzungserschei-nungen aufweisen, ist periodische Wartung nicht sinnvoll. Dadurch können im Gegenteil sogar Störungen verursacht werden. Hier wird hohe Verfügbarkeit - abgesehen von Re-dundanzen - durch Hilfsmittel zur effektiven Fehler-diagnose und schnellen Instandsetzung erreicht. Innerhalb der Geräte für Steuerung und Regelung werden folgende Maßnahmen angewandt: - Selbsttest- und Diagnoseprogramme, - Plausibilitätstests, - Programmablaufüberwachung, - Rechenzeitüberwachung, - Programmwiederholung (roll-back), - Überwachung der Gültigkeit von Daten (Daten-
integrität), - Überwachung der Gültigkeit von Prozesssignalen
(z.B. Drahtbruch, Erdschluss). In der Formel zur Bestimmung der Verfügbarkeit
MTTRMTBF
MTBFeitVerfügbark
steht die mittlere Reparaturzeit im Nenner, verringert also die Verfügbarkeit. Diese Zeit besteht aus: - Zeit bis zum Eintreffen des Wartungspersonals
nach Auftreten einer Störung, - Störungsanalyse, - Fehlersuche, - Austausch / Reparatur der defekten Komponente, - Test und Wiederinbetriebnahme. Störungsanalyse und Fehlersuche können durch Diagnoseeinrichtungen erleichtert oder ganz über-nommen werden, so dass Zeit eingespart und da-durch die Verfügbarkeit wesentlich erhöht wird. Herkömmliche Diagnosehilfsmittel zeigen die aktuell anstehenden Einzel - Störungen bzw. - Fehler auf, idealerweise nicht nur als Liste sondern grafisch in einem Leitanlagenmodell, sowie mit Erklärungen und Behebungsvorschlägen zu den Einzelfehlern. Das Wartungspersonal muss daraus Schlüsse ziehen und über Maßnahmen entscheiden. Manchmal werden bereits "Expertensysteme" eingesetzt, die darüber hinaus die aktuelle Störungs - Kombination und den aktuellen Zustand mit in geeigneter Form abgespeichertem Expertenwissen vergleichen und daraus genaue Anweisung für zu treffende Maßnahmen geben. Durch die verbesserte Leitanlagen - interne Kommu-nikation und die Anbindungsmöglichkeit an WANs ist auch schon Fern - Diagnose durch Experten beim Betreiber (Zentrale) oder beim Hersteller möglich.
Ebenso gibt es bereits Werkzeuge, die für verschie-dene Fehlerscenarien für den Spezialisten selbst-ständig Daten aus einem Leitsystem holen, z.B. Log- Dateien, Dumps, usw. Der Anwender ist damit oft überfordert. Eingesetzt z.B. beim ABB- Prozess-leitsystem AC 800M.
Temperaturen,
Drücke,
Stress-
Modell
aktueller
Stress
Messwerte
Inte-
grator
„Abnutzung“
Bild 4.3.1: Prinzip einer Stress - Berechnung
Zuverlässigkeit, Verfügbarkeit, Sicherheit Automatisierungssysteme DHBW Mannheim 5. Sicherheit Erich Kleiner, Februar 2011
8 ASA_Zuv_Verf_Sich
5. Sicherheit 5.1 Begriffe, Normen Bild 5.1.1 zeigt Zustände in Bezug auf ihre Sicher-heit. Dazu gehören folgende Norm-gemäße Begriffe:
Schaden: Nachteil durch Verletzung von Rechts-gütern aufgrund eines technischen Vorgangs oder Zustands (Rechtsgüter: z.B. direkte und indirekte Personenschäden, Umwelt- und Sachschäden) Risiko: Wahrscheinlichkeitsaussage über zu er-wartende Häufigkeit zu einem Schaden führender Ereignisse, sowie das beim Ereigniseintritt zu er-wartende Schadensausmaß. (Bild 5.1.2) Grenzrisiko: Größtes noch vertretbares Risiko eines bestimmten techn. Vorgangs oder Zustandes. Sicherheit: Sachlage, bei der das Risiko nicht größer ist als das Grenzrisiko. Gefahr: Sachlage, bei der das Risiko größer ist als Bild 5.1.3: Maßnahmen zur Risiko – Reduzierung Mit der Einführung des europäischen Binnenmarktes wur-den die nationalen Normen und Vor-schriften zur techni-schen Realisierung von Anlagen und Ma-schinen durchgängig harmonisiert. Dabei wurden grundlegende Sicherheitsanforderungen festgelegt, die sich an Hersteller (freier Warenverkehr) und Benutzer (Ar-beitsschutz) wenden. So wurde auch die EG- Maschinenricht-linie in das jeweilige nationale Recht um-gesetzt. Zur Sicher-stellung der Kon-formität empfiehlt es sich, die harmonisier- ten Normen einzu-halten (Bild 5.1.4). Dann kann der Hersteller mit der „CE“- Kennzeichnung dokumen-tieren, dass alle zutreffenden Normen und Vorschriften eingehalten werden, was im im internationalen Warenverkehr wichtig ist. Die jeweils richtige Norm zu finden ist aber nicht einfach. Die DIN EN IEC 61508 ist die Basisnorm für die Sicherheitsanforderungen. Für verschiedene
Sparten gibt es Fachnormen. In der Prozessautoma-tion gilt z.B. die 61511, die sich weitgehend an die Basisnorm hält. In der Fertigungsautomation müs-sen für Entwurf und Realisierung die Normen zur „Sicherheit von Maschinen“ beachtet werden: - 62061 für sicherheitsbezogene Steuerungs- Systeme beliebiger Architektur, und - 13848 für sicherheitsbezogene Teile von Systemen
Bild 5.1.1: Sicherheits - bezogene Zustände
Sicherheit
Grenzrisiko
Gefahr
kleines großes
Risiko Bild 5.1.2: "Risiko"
Sichere Zuständefehlerfrei
Ungefährliche
Fehlfunktion
Nicht sicherheits-
bezogener
Fehlerzustand
Sicherheitsbezogene
FehlfunktionSicherheitsbezogener
Fehlerzustand
Kein Unfall Unfall
Zustand
„Kein Schaden
eingetreten“
Zustand
„Schaden
eingetreten“
RisikoTatsächliches Risiko Grenzrisiko Risiko ohne MSR - Schutzmaßnahme ohne Schutzmaßnahme
notwendige Mindestreduzierung
Verbleibendes
RestrisikoAbgedeckt durch MSR - Schutzmaßnahmen
Abgedeckt von nicht-MSR-
Schutzmaßnahmen
tatsächliche Risikoreduzierung
Sicherheitstechnische Festlegungen: Angaben über technische Werte, Maßnahmen, Verhaltens- weisen, deren Einhaltung (im Rahmen des jew. technischen Konzepts) sicherstellen soll, dass das Grenzrisiko nicht überschritten wird. Schutz: Verringerung des Risikos durch Maßnahmen, die die Eintrittshäufigkeit oder das Ausmaß eines Schadens oder beides beschränken.
das Grenzrisiko.
Bild 5.1.4: Richtlinien und Normen für Sicherheitsbetrachtungen
DIN EN IEC 61508
Funktionale Sicherheit
sicherh.bezogener E/E/PES*
Basisnorm:
- quantitativer Sicherheitsnachweis
„Safety Integrity Level“ SIL 1 - 4
DIN EN IEC 61511
Anwendung der IEC 61508
in der Prozessindustrie
VDE / VDI 2180
„Sicherung von Anlagen
der Verf.Technik m. Mitteln
der Prozessleittechnik“
IEC 61513
Anwendung der IEC 61508
in der Nuklearindustrie
DIN EN IEC 62061:2005Anwendung der IEC 61508bei Maschinen (Fertig.ind.)Funktionale Sicherheit sich.bezog. Steuerungssysteme
SIL 1 .. 3Nationale Vorschriften
DIN EN ISO 13849:2006Anwendung der IEC 61508bei Maschinen (Fertig.ind.)Sicherheitsbezogene Teile
von Steuerungen PL a – e **
Anwendungsnormen
für verschiedene Sparten
und detaillierende
Vorschriften
Beliebige Architekturen
Vorgesehene Architekturen
(„Kategorien“)
* Elektrische, Elektronische
und Programmierbare
Elektronische Systeme
Sicherheitsanforderungen
Harmonisierte europäische Normen Hersteller
** Performance Level
Artikel 95 EG-Vertrag
(freier Warenverkehr)Artikel 137 EG-Vertrag
(Arbeitsschutz)
Nationale Rechtsvorschriften Benutzer
Arbeitsschutz- Rahmenrichtlinie
Einzelrichtlinie: Benutzung von ArbeitsmittelnNiederspannungs- Richtlinie Maschinen- Richtlinie
z.B. Maschinen
Entwurf und Realisierung
Konstruktion, Risikobewertung
EN ISO 12100 Grundbegr.
Sicherheit von Maschinen
EN ISO 1421 Risikobeurteil.
Sicherheit von Maschinen
Berufsakademie Mannheim Automatisierungssysteme Betriebsmittelanforderungen“ Erich Kleiner, Juli 2015 5. Sicherheit
ASA_Zuv_Verf_Sich 9
In allen genannten Normen geht es um die „funktionale Sicherheit“. Dabei handelt es sich um den Teil der Sicherheit einer Maschine oder Anlage, der von der korrekten Funktion ihrer Steuerungs- oder Schutz-einrichtungen abhängt [5]. Bild 5.1.5 zeigt den Inhalt der wichtigsten relevanten Normen [7].
5.2 Anforderungen Die Normen enthalten ge-naue Anweisungen zur Erstellung einer Anlage, in der das Risiko begrenzt werden muss. Bild 5.1.6 zeigt das geforderte Vor-gehen, das im Prinzip auch für die Prozesstech-nik gilt. Die Quantisierung der Sicherheitsanforderungen erfolgt verschieden: - 61508 (Basisnorm): Safety Integrity Level (SIL) 1 .. 4, - 61511 (Prozessautoma- tion): ebenso, - 62061 (Steuerungssys- teme): SIL 1 .. 3, - 13849 (Steuerungsteile): Performance Level PLa-e (Nachfolgenorm der EN 954 mit „Kategorien“) Für die Maschinentechnik stehen also zwei Normen mit unterschiedlichem Be-wertungsmaßstab und un-terschiedlichen Berech-nungswegen zur Verfü-gung.
Die Norm 62061 gilt für Entwurf, Integration und Validierung von sicherheitsrelevanten „elektrischen / elektronischen sowie programmierbaren Steuer-ungssystemen“ (SRECS: Safety Relevant Electrical Control Systems). Sie betrachtet die gesamte Sicherheitskette vom Sensor bis zum Aktor. Die gesamte Sicherheitsfunktion muss den geforderten Ansprüchen gerecht werden. Sie legt keine Anforderungen an nicht elektrische Teile fest (Hydraulik, elektromechanische Teile). Durch Überwachung dieser Teile können sie jedoch außer Acht gelassen werden.
Die Norm 13849-1 setzt auf den bis 2009 gültigen qualitativen „Sicherheitskategorien“ auf und gilt für sicherheitsbezogene „Teile von Steuerungen“ an Maschinen (SRP/CS: Safety relevant Parts of Control Systems) Sie betrachtet die geforderte Sicherheit quantitativ mit „Performance Levels“ (PL).
Die Norm 13849 kann auf alle Teile (auch nicht elektronische) einer sicherheitsrelevanten Steuerung angewandt werden. In Bild 5.1.6 sind in Schritt 2 „Risikobewertung“ beide Wege angegeben. Welcher zu wählen ist muss im Gespräch zwischen allen Beteiligten festgelegt und dokumentiert werden. In Schritt 3 ist die Sicherheitsfunktion zu planen und ihre Sicherheitsintegrität zu bestimmen. In Schritt 4 wird die Einhaltung der Anforderungen geprüft und dokumentiert. Wenn die Anforderungen erfüllt werden, darf der Hersteller bzw. Betreiber die EG- Konformitäts-erklärung erstellen, mit der erklärt wird, dass die einschlägigen Normen eingehalten werden, und das Zeichen „CE“ darf angebracht werden.
DIN EN 61508 7 Teile:
Norm:
1. Allgemeine Anforderungen
2. Anforderungen an E / E / PES
3. Anforderungen an Software
4. Begriffe u. Abkürzungen
Erläuterungen:
5. Beispiele zur Ermittlung der
Stufe der Sicherheitsintegrität
(SIL = Safety Integrity Level)
6. Anwendungsrichtlinien
für Teile 2 und 3
7. Anwendungshinweise zu
Verfahren und Maßnahmen
Die Norm ist / enthält:
- Allgemeiner Standard,
- Anwendungs- unabhängig
- Aussagen zum Erreichen der
funktionalen Sicherheit
- Sicherheitsbezogener Lebenszyklus
- Risiko- orientiert
- Quantitative Anforderungen an die
Versagenswahrscheinlichkeit
DIN EN 62061
„Funktionale Sicherheit von
elektrischen, elektronischen und
programmierbaren Steuerungen
von Maschinen“ (SRECS)
(Ergänzung zur Realisierung
der DIN EN 61508 – Anforderungen
bei Maschinen)
- Systematische Risikominderung
und Risikobeurteilung gemäß den in
ISO 14121 beschriebenen Prinzipien
- Bestimmung des erforderlichen SIL
der Sicherheitsfunktion
- Entwurf des elektr. Steuerungssyst.
- Integration von in Übereinstimmung
mit ISO 13849-1 (EN 954-1) sicher-
heitsbezogenen Teilsystemen
(Risikograph für Maschinenbau!)
- Verifikation des elektrischen
Steuerungssystems
- Ausfallgrenze: max. SIL 3
DIN EN 61511 (VDE 810)
„Funktionale Sicherheit:
Sicherheitstechnische Systeme
für die Prozessindustrie“
(Ergänzung zur Realisierung
der DIN EN 61508 – Anforderungen
In der Prozessindustrie)
Norm:
1. Allg. Begriffe, Anforderungen
an Systeme, SW und HW
Erläuterungen:
2. Anleitungen zur Anwendung
3. Anleitung zur Bestimmung
von SIL (eigener Risikograph)
VDE/VDI 2180
„Sicherung von Anlagen der
Verfahrenstechnik mit Mitteln
der Prozessleittechnik“
1. Einführung, Begriffe, Konz.
2. Management, Lebenszyklus
3. Anlagenplaning, -Err., Betrieb
4. Berechnungsmethode
5. Praktische Umsetzung (i.V.)
Dazu Richtlinie:
DIN EN 13849 (DIN EN 954 bis 2009)
Maschinentechnisches Regelwerk
DIN EN 13849 (DIN EN 954 bis 2009)
Maschinentechnisches Regelwerk
Bild 5.1.5 zeigt den Inhalt der wichtigsten relevanten Normen
Bild 5.1.6: Vorgehensweise bei der Erstellung einer sicherheitsrelevanten Anlage
Zuverlässigkeit, Verfügbarkeit, Sicherheit Automatisierungssysteme DHBW Mannheim 5. Sicherheit Erich Kleiner, Februar 2011
10 ASA_Zuv_Verf_Sich
Die Bilder 5.1.7 - 9 zeigen die Risikographen der verschiedenen Normen zur Bestimmung des geforderten SIL. Zum Vergleich zeigt Bild 5.1.10 die (nicht mehr gültigen) Kategorien der EN 60204. Was geschehen soll, wenn eine Maschine durch eine Sicherheitseinrichtung (oder eine NOT-AUS- Taste) still-gesetzt werden soll, gibt die Norm 60204 als „STOPP- Kategorien“ 0 .. 2 fest: 0: Stillsetzen durch sofortiges
Ausschalten der Energie-zufuhr zu den Maschinen-antrieben (ungesteuertesStillsetzen)
1: gesteuertes Stillsetzen,
wobei die Energiezufuhr zu den Maschinenan-trieben erst bei Stillstand abgeschaltet wird.
2: gesteuertes Stillsetzen, bei
dem die Energiezufuhr zu den Maschinenantrieben erhalten bleibt
(nicht zulässig für NOT-AUS - Funktion)
In der Prozessautomation muss meist der Produk-tionsprozess gestoppt wer-den, detaillierte Forderungen ergeben sich aus den Verfah-ren. So muss z.B. in einer Feuerungsanlage die Brenn-stoffzufuhr unterbrochen wer-den, wobei aber für den Abtransport der Restwärme zu sorgen ist
Risikograph der IEC 61508
Frequenz /
AufenthaltsdauerF
> 1 Std 5
> 1 Std .. < 1Tag 5
> 1 Tag .. < 2 Woch. 4
> 2 Wo. .. < 1 Jahr 3
> 1 Jahr 2
Frequenz /
AufenthaltsdauerF
> 1 Std 5
> 1 Std .. < 1Tag 5
> 1 Tag .. < 2 Woch. 4
> 2 Wo. .. < 1 Jahr 3
> 1 Jahr 2
Eintritts-
WahrscheinlichkeitW
häufig 5
wahrscheinlich 4
möglich. 3
selten 2
vernachlässigbar 1
Eintritts-
WahrscheinlichkeitW
häufig 5
wahrscheinlich 4
möglich. 3
selten 2
vernachlässigbar 1
Möglichkeit der
VermeidungP
unmöglich. 5
möglich 3
wahrscheinlich 1
Möglichkeit der
VermeidungP
unmöglich. 5
möglich 3
wahrscheinlich 1
S Schadens-
ausmaß
Tod, Verlust Auge oder Arm
Permanent, Verlust Finger
Reversibel, med. Behandl.
Reversibel, Erste Hilfe
Auswirkungen:
4
3
2
1
S Schadens-
ausmaß
Tod, Verlust Auge oder Arm
Permanent, Verlust Finger
Reversibel, med. Behandl.
Reversibel, Erste Hilfe
Auswirkungen:
4
3
2
1
Gefährdung:
Rotierende Spindel
S3
Gefährdung:
Rotierende Spindel
S3
F5
F5 +
W4+
W4 +
P3
P3 =
K12
Sicherheitsmaßnahme:
Überwachung Schutzhaube mit SIL 2
Sicher?
Ja, mit SIL2=
K12
Sicherheitsmaßnahme:
Überwachung Schutzhaube mit SIL 2
Sicher?
Ja, mit SIL2
Beispiel: „Eine rotierende Spindel muss bei Öffnen
einer Schutzhaube sicher stillgesetzt werden“
Risikobezogen auf die
identifizierte
Gefährdung
Risikobezogen auf die
identifizierte
Gefährdung
Schadens-
Ausmaß S=
Schadens-
Ausmaß S=
Frequenz und Dauer der Aussetzung FFrequenz und Dauer der Aussetzung F
Eintritts- Wahrscheinlichkeit WEintritts- Wahrscheinlichkeit W
Möglichkeit der Vermeidung der Gefährdung PMöglichkeit der Vermeidung der Gefährdung P
und
Klasse K = F + W + P
3-4 5-7 8-10 11-13 14-15
SIL 2 SIL 2 SIL 2
SIL 1
SIL 3
SIL 2
SIL 1 SIL 2
SIL 1
SIL 3
SIL 3
= 5 + 4 + 3
andere Maßnahmen
Klasse K = F + W + P
3-4 5-7 8-10 11-13 14-15
SIL 2 SIL 2 SIL 2
SIL 1
SIL 3
SIL 2
SIL 1 SIL 2
SIL 1
SIL 3
SIL 3
= 5 + 4 + 3
andere Maßnahmen
Risiko- Parameter: Erforderlicher Performance Level PL:
S = Schwere der Verletzung
S1 = leichte (üblicherweise reversible) Verletzung
S2 = schwere, üblicherweise irreversible Verletzung
einschließlich Tod
S = Schwere der Verletzung
S1 = leichte (üblicherweise reversible) Verletzung
S2 = schwere, üblicherweise irreversible Verletzung
einschließlich Tod
F = Häufigkeit (Frequenz) und / oder Aufenthaltsdauer
der Gefährdungsaussetzung
F1 = selten bis öfter und / oder
Zeit der Gefährdungsaussetzung ist kurz
F2 = häufig bis dauernd und / oder
Zeit der Gefährdungsaussetzung ist lang
F = Häufigkeit (Frequenz) und / oder Aufenthaltsdauer
der Gefährdungsaussetzung
F1 = selten bis öfter und / oder
Zeit der Gefährdungsaussetzung ist kurz
F2 = häufig bis dauernd und / oder
Zeit der Gefährdungsaussetzung ist lang
P = Möglichkeit zur Vermeidung der Gefährdung
oder Begrenzung des Schadens
P1 = möglich unter bestimmten Bedingungen
P2 = kaum möglich
P = Möglichkeit zur Vermeidung der Gefährdung
oder Begrenzung des Schadens
P1 = möglich unter bestimmten Bedingungen
P2 = kaum möglich
Ausgangs-
Punkt zur
Einschätzung
der Risiko-
Minderung
Vorgehensweise:
1. Schadensausmaß S festlegen: S2 = schwere, irreversible Verletzung
Beispiel:
P1
P2
P1
P2
P1
P2
P1
P2
F1
F2
F1
F2
S2
S1
P1
P2
P1
P2
P1
P2
P1
P2
F1
F2
F1
F2
S2
S1
a
b
c
d
e
a
b
c
d
e
2. Häufigkeit und/oder Aufenthaltsdauer F2 = häufig bis dauernd und / oder
der Gefährdungsaussetzung F festlegen: lange Gefährdungsaussetzung
3. Möglichkeit zur Vermeidung der Gefährdung P1 = möglich unter bestimmten
oder Begrenzung des Schadens P festlegen: Bedingungen
Der geforderte
Performance-Level
Ist somit PL d
Der geforderte
Performance-Level
Ist somit PL d
geringes Risiko
hohes Risiko
geringes Risiko
hohes Risiko
Bild 5.1.10: EN 60204 (nicht mehr gültig)
Bild 5.1.7
Bild 5.1.8
Bild 5.1.9
DIN 13849
DIN 62061
Berufsakademie Mannheim Automatisierungssysteme Betriebsmittelanforderungen“ Erich Kleiner, Okt. 2016 5. Sicherheit
ASA_Zuv_Verf_Sich 11
Für Antriebe sind in IEC 61800 – 5 „Sicherheits-funktionen“ festgelegt, die in Motion-Control-Geräten parametrieren lassen. Bild 5.1.10 zeigt die Funktionen, die bei Siemens und B&R vorgesehen sind, aller-dings nicht alle von beiden Herstellern. Andere Hersteller können eine andere Auswahl ver-wenden. Die Funktionen lassen sich in drei „Klassen“ einteilen.
Bild 5.1.10: Sicherheitsfunktionen für Antriebe
Systemkommunikation Automatisierungssysteme Berufsakademie Mannheim 5. Sicherheit Erich Kleiner, Oktober 2016
12 ASA_Zuv_Verf_Sich
5.3 Validierung Dem „Performance Level“ und dem „Safety Integrity Level“ können mittlere Versagenswahrscheinlich-keiten zugeordnet werden (Tabelle 5.3.1). Durch sie können Geräte bewertet und darauf geprüft werden, ob sie den Sicherheitsanforderungen genügen. Man unterscheidet:
- PFD „Probability of Failure on Demand“ für „niedrige Anforderungsrate“ (d.h. ca. einmal
pro Jahr), z.B. in Chemieanlagen. Dabei ist die Zeit zwischen den Tests („wiederholende Prüfung“) wesentlich kleiner als die Ansprechhäufigkeit,
- PFH (Probability of Failure per Hour,) für hohe Anforderungen (z.B. Auto, Lichtschranken an Maschinen, usw.). Dabei ist die Zeit zwischen den Tests („wiederholende Prüfung“) wesentlich größer als die Ansprechhäufigkeit der Schutzeinrichtung.
Merk – Hilfe: Die Ziffer des PFD– Exponenten entspricht der SIL- Klasse.
Für die meisten Anwendungen reicht SIL 3. Dafür sind z.Zt. viele SPS wie z.B. SIMATIC S7-400F und die HIMA – Systeme zertifiziert. Für besonders hohe Anforderungen wie z.B. NOT-AUS auf Bohrinseln ist SIL 4 gefordert. Dafür ist z.Zt. nur das fest verdrahtete PLANAR 4 – System von HIMA zertifiziert. Bei der Anwendung der PFD / PFH- Werte ist zu beachten, dass sich die angegebenen Werte immer auf eine gesamte „Sicherheitsrelevante Funktion“ beziehen, also auf ein ganzes Teilsystem. Dazu sind die PFD / PFH der einzelnen Komponenten zu berechnen, wobei ihre Fehlerwahrscheinlichkeit (siehe Kap. 3.2) zu berücksichtigen ist. In Bild 5.3.1 ist das für eine Steuerung einschließlich Sensor, Ein/Ausgabegerät und Aktor (Absperrventil) dargestellt. Angenommen, die zulässige Ausfallwahr-scheinlichkeit für das gesamte Teilsystem PFDSyst sei 10
-2, dann darf die PDF2 (für das Eingabegerät) als
Anhaltswert nur 10% davon betragen, also 10-3.
. Letztlich gilt natürlich nur die Summe pro Sicherheitskreis. Für den Nachweis einer bestimmten Ausfallwahr-scheinlichkeit einer Komponente gibt es ziemlich komplizierte Verfahren. In der EN 61508 / 6 sind Formeln und Werte in Tabellen angegeben. Für zertifizierte Geräte werden Werte mitgeliefert.
Eine einfache Faustformel für PFD << 1 und einen Kanal ist:
CED
ttePFD CED
1
mit D für „Dangerous Failures“ /h-1
und tCE für die „Unklarzeit“ (siehe Bild 5.3.2)
Hier spielt das Zeitintervall der Wiederholungsprüfung eine Rolle. Dazu wird ein Modell mit bestimmten Annahmen zugrunde gelegt.
Genau ist die Ausfalldauer - für gefährliche, unerkannte Fehler (λDU):
- und für gefährliche,entdeckte Fehler (λDD):
Daraus errechnet man die „Unklarzeit“ tCE:
MTTRMTTRT
tD
DD
D
DUCE
2
1
Das Anforderungs- Zeitintervall (PFD) sollte dabei > T1 / 2 sein.
PFH entspricht etwa dem DU:
mit DU für Dangerous Failures, Undetected
PFD und PFH sehen zwar dem ähnlich, sind aber dimensionslose Zahlen, die berechnet werden müssen.
Tabelle 5.3.1: PL / SIL / PFD / PFH
Sensor
(mit MU)
Eingabe-
Gerät und
Signalweg
Verarbeitung
(SPS / PLS)
Ausgabe-
Gerät und
Signalweg
Aktor
MM
25% 10% 15% 10% 40%
PFD Syst. = PFD1 + PFD2 + PFD3 + PFD4 + PFD5
Bei PFDSyst = 10-2
: PFD2: 10% von 10-2
= 10-3
Bild 5.3.1: PFD / PFH – Verteilung über ein Teilsystem
T1 / 2 + MTTR
MTTR
Regelmäßige Wiederholungsprüfungen (alle Fehler werden erkannt und repariert,
Sicherheitssystem wieder „wie neu“)
MTTR (Diagnosezeit + Reparaturzeit)Reparaturzeit
t
(bei reparierbarem System mit fester Reparaturzeit)
Bei konstanter Ausfallrate („Boden“ der Badewannenkurve)
T1
T1
T1 / 2 + MTTR = Mittlere Ausfalldauer(Ein Ausfall ist zu jedem Zeitpunkt
gleich wahrscheinlich)
Kontinuierliche Diagnose (erkennt nur einen Teil der Fehler)Diagnosezeit: max. 0,1 T1 (meist 0,001 bis 0,01)
Kontinuierliche Diagnose (erkennt nur einen Teil der Fehler)Diagnosezeit: max. 0,1 T1 (meist 0,001 bis 0,01)
Bild 5.3.2: „Unklarzeit“
DUPFH
DHBW Mannheim Automatisierungssysteme Zuverlässigkeit, Verfügbarkeit, Sicherheit Erich Kleiner, Oktober 2016 5. Sicherheit
ASA_Zuv_Verf_Sich 13
Ob eine sicherheitsrelevant einzusetzende Einrich-tung den geforderten SIL erfüllt muss berechnet bzw. nachgewiesen werden. Die Normen enthalten dazu genaue Anweisungen, z.B. die DIN IEC 62061 und die DIN EN ISO 13849. In der Basisnorm wird die „FMEDA“ angewandt, die Failure Mode, Effects and Diagnostic Analysis. Dabei werden mehrere Aspekte betrachtet:
- Fehlertoleranz der HW (HW Failure Tolerance), die Fähigkeit einer funktionalen Einheit, auch bei Auftreten eines Fehlers zu funktionieren (Tab. 5.3.2), IEC 61508 / 2
- Anteil ungefährlicher Ausfälle SFF (Safe Failure Fraction): Anteil derjenigen Fehler, die das sicherheitstechnische System nicht in einen Gefahr bringenden Zustand versetzen können (Bild 5.3.3), IEC 61508 / 2, Anh.C
Einen Eindruck von der durchschnittlichen Verteilung dieser Fehlerarten gibt Bild 5.3.4.
Die - Werte liegen als Erfahrungswerte in verschiedenen Datenbanken vor oder müssen vom Hersteller eines neuen Gerätes ermittelt werden.
- HW- Sicherheitsintegrität, Tab. 5.3.3, IEC 61508 / 2 Diese Aspekte werden auch als „Architektur-
Einschränkungen“ bezeichnet und begrenzen die SIL- Einstufung, wie Tab. 5.3.4 zeigt:
- Ausfallwahrscheinlichkeit PFD / PFH Die Ausfallwahrscheinlichkeit wird
für zwei Anforderungsarten angegeben (siehe Seite 12).
Tabelle 5.3.5 zeigt, für welchen SIL welche PFD / PFH- Werte gefordert werden. Für die endgültige Einstufung gilt der kleinere Level aus den Tabellen 5.3.4 und 5.3.5
In den Normen DIN 62061 und DIN 13849 für die Maschinentechnik sind andere Berechnungsvorgänge für die Validierung verlangt (siehe Bild 5.3.5)
Dafür wird eine Reihe von Daten der Produkte-Hersteller benötigt. Da in einer Anlage meist mehrere Fabrikate eingesetzt sind wurde vom VDMA (Verband Deutscher Maschinen- und Anlagenbau) das Einheitsblatt 66413 erstellt, das seit Juli 2012 die Datenauswahl, ihre Struktur und die Übermitt-lungsform (XML) festlegt, um einheitliche Kennwerte für die Validierung zu gewährleisten. Die Produkte werden dabei je nach Komplexität in vier
Typen unterteilt. Die Hersteller stellen Bibliotheken mit den Kennwerten zur Verfügung
Für die Validierung gibt es auf dem Markt ver-schiedene Tools, die aus Kennwerten und Struktur die Berechnung der PFH-Werte und die Erstellung der normmäßigen Dokumentation durchführen:
SISTEMA von ifa, eigene Bibliothek und XML PAScal von Fa. Pilz, graph. Editor, Daten s.o. SET Von Fa. Siemens, nur XML FSDT von Fa. ABB, graph.Ed., nur XML
Tab. 5.3.2: HFT: Fehlertoleranz „N“
N Ausführung Verlust der sicherheitstechn. Funktion bei:
0 einkanalig 1. Fehler
1 zweikanalig 2. Fehler
usw.
Anteil der Fehler, die das sicherheitstechnische System
nicht in einen Gefahr bringenden Zustand versetzen können
ds
ddsSFF
s „sichere“ Fehler: führen zu ungefährl. Zustand
d „gefährliche“ (dangerous) Fehler,
dd „gefährliche, entdeckte (detected) Fehler,
du „gefährliche, unentdeckte Fehler Bild 5.3.3: SFF
Tab. 5.3.3: HW-Sicherheitsintegrität
Typ A Typ B
Ausfallverhalten: gut definiert nicht ausreichend definiert
Verhalten bei Fehlern: vollständig ermittelbar nicht vollständig ermittelbar
Erfahrungswerte zu SFF: liegen vor unzureichend
SFF max. SIL bei HFT, je: Typ A / Typ B N=0 N=1 N=2
< 60% SIL1 / - SIL2 / SIL1 SIL3 / SIL2
60 … 90% SIL2 / SIL1 SIL3 / SIL2 SIL4 / SIL3
90 … 99% SIL3 / SIL2 SIL4 / SIL3 SIL4 / SIL4
> 99% SIL3 / SIL3 SIL4 / SIL4 SIL4 / SIL4
Tab. 5.3.4: Architektureinschränkungen
SDSU
DD
DU
SDSU
DD
DU
Bild 5.3.4: - Anteile
Wenn nicht anders bekannt nimmt man an:
S = D = / 2
SIL PFD PFH
1 >10-2.. <10-1 >10-6..<10-5
2 >10-3.. <10-2 >10-7..<10-6
3 >10-4.. <10-3 >10-8..<10-7
4 >10-5.. <10-4 >10-9..<10-8
SIL PFD PFH
1 >10-2.. <10-1 >10-6..<10-5
2 >10-3.. <10-2 >10-7..<10-6
3 >10-4.. <10-3 >10-8..<10-7
4 >10-5.. <10-4 >10-9..<10-8
Tabelle 5.3.5: SIL / PFD / PFH
Systemkommunikation Automatisierungssysteme Berufsakademie Mannheim 5. Sicherheit Erich Kleiner, Oktober 2016
14 ASA_Zuv_Verf_Sich
Bild 5.3.5 gibt einen Überblick über die Vali-dierung nach DIN 62061 und DIN 13849:
Zunächst erstellt man aus der geplanten sicherheitsrelevanten Realisierung ein Block-schaltbild (Bild 5.3.6). Dabei fängt man links mit dem Sensor (bzw. den Sensoren) an und zeigt den Weg über die Verarbeitung zum Pro-zesseingriff. Nun kann manuell oder mit einem Tool PFD bzw. PL bestimmt werden.
Für die Kennwerte der Hersteller werden die Geräte je nach nötigen Bearbeitungsschritten (direkt einsetzbar oder nach Berücksichtigung weiterer Daten) in Typen eingeteilt.
Aus den Blockschaltbildern (Bild 5.3.6 und 5.3.7) geht insbesondere die Architektur einer Sicherheits-lösung hervor, die in die Ermittlung der erreichbaren Werte von PFD bzw. PL wesentlich eingeht.
Der Sensor in Bild 5.3.6 gilt als „einkanalig“, da es nur ein Sensor ist. Die zwei parallelen Kontakte erhöhen nur seine Zuverlässigkeit. Der Prozesseingriff geschieht über zwei Leistungsschütze, ist also zweikanalig.
In Bild 5.3.7 gibt es zwei getrennte Sensoren, also zwei Kanäle. Ihre Eignung ist zusammen mit der einkanaligen Logik und dem zweikanaligen Aktor zu bewerten. Das zusätzlich von der Logik angesteuerte Ventil ist ein andersartiger Aktor mit anderem Eingriff, für den von den Sensoren bis zum Aktor eine zweite komplette Berechnung erforderlich ist.
Im Anhang der DIN 13849 finden sich diverse Architektur-Beispiele. Bild 5.3.8 zeigt die Kriterien, die je nach Gerätetyp für die Validierung nach DIN 13849 berücksichtigt werden müssen.
Bild 5.3.5: Validierung nach DIN 62061 bzw. DIN 13849
Bild 5.3.6: Blockschaltbild Beispiel 1
Bild 5.3.7: Blockschaltbild Beispiel 2
DHBW Mannheim Automatisierungssysteme Zuverlässigkeit, Verfügbarkeit, Sicherheit Erich Kleiner, Oktober 2016 5. Sicherheit
ASA_Zuv_Verf_Sich 15
Die Architektur ist nur ein Aspekt der „Kategorien“ von Sicherheitslösungen nach DIN 13849 (Bild 5.3.8). Hier ist zwar der gleiche Begriff „Kategorie“ verwendet wie in EN954-1, aber mit anderer Bedeutung. Diese ist in DIN 13849 genau definiert. Vereinfacht kann man sich vorstellen: „Kat. B“ ist die normale betriebliche einkanalige Aus-führung einer Steuerung unter Beachtung der einschlägigen Normen.
„Kat. 1“ verlangt darüber-hinaus den Einsatz betriebs-bewährter Geräte (bzw. -teile).
„Kat. 2“ besitzt zusätzlich einen Testkanal mit eigener Signalausgabe.
„Kat. 3“ ist zweikanalig aufgebaut, so dass ein Ein-fachfehler eine Sicherheits-abschaltung nicht verhindert.
„Kat. 4“ verlangt höheren Diagnose-Aufwand, so dass der erste Fehler auch ohne Ansprechen einer Sicherheits-Funktion gefunden wird.
MTTFD (Mean Time To (Dangerous) Failure) ist ein weiteres Kriterium. Dieser Wert wird nach Norm in groben Schritten von Jahr-Bereichen angegeben.
DC (Diagnosis Cover, also Diagnose-Deckungsgrad) wird ebenso in groben Schritten angegeben. Besteht eine Schutzeinrichtung aus mehreren Teilen, so wird der Durchschnitt DCavg angegeben.
CCF (Common Cause Failure, also „allgemeiner Fehler“) berücksichtigt Fehler durch für alle Teile gemeinsame Ursachen, z.B. Ausfall der Spannungsversorgung. Für die Wert-Bestimmung enthält die Norm eine Tabelle mit einer Punkte-Bewertung. Bild 5.3.9 stellt den Zusammenhang der o.g. Kriterien dar. Es stammt aus einer ABB-Druckschrift und kombiniert das „Säulendiagramm“ der Norm mit den anderen Kriterien und den Ergeb-nissen PL und PFH. Es zeigt z.B. dass CFF und CD nur für die Kategorien 2 .. 4 relevant sind, und dass z.B. ein PL = d durch verschiedene Kombinationen erreichbar ist.
Bild 5.3.8: Kriterien für die Validierung mit DIN 13849
Bild 5.3.9: Zusammenhang der Validierungs-Kriterien
Systemkommunikation Automatisierungssysteme Berufsakademie Mannheim 6 Fehlertolerante Prozessleitsysteme Erich Kleiner, Februar 2008
16 ASA_Zuv_Verf_Sich
6. Fehlertolerante Prozessleitsysteme
In IEC 61508 sind Begriffe und eine Klassifikation für solche Leitsysteme festgelegt, die das Auftreten von Fehlern tolerieren, indem sie im Fehlerfall - keine falschen Ausgaben liefern sondern keine
und damit evtl. den Betrieb stoppen, bezeichnet als integer, en: fail-stop, - weiter Ausgaben liefern (stetig, en: fail-operate), oder - den Fehler von außen nicht sichtbar machen
bezeichnet als Fehler - Maskierung, z.B. 2 von 3). Fehlertoleranz braucht Redundanz, und zwar als - Prüfredundanz: eine aktive Verarbeitung wird
durch eine Diagnoseeinrichtung überwacht, oder - Wirkredundanz: die Funktion eines ausgefallenen
Teils wird durch einen anderen übernommen. Dadurch sind Fehler - tolerante Systeme teurer als nicht Fehler - tolerante. Eine einfache stetige Lösung kostet etwa das 3-fache, eine Fehler - maskierende das 6-fache einer Simplex - Lösung. Je nach Art der Strecke und der Aufgabe werden verschiedene Lösungen und Kombinationen einge-setzt. Wenn ein Prozess ohne Leiteinrichtung z.B. von Hand in einen sicheren Zustand gebracht werden kann reicht eine integere Methode aus. Verträgt der Prozess einen kurzzeitigen Ausfall der Leitanlage und braucht sie dann aber wieder, so kann eine integer / stetige Lösung eingesetzt werden. Ist die Leitanlage im Dauerbetrieb ununter-brochen nötig, so muss eine stetige Lösung verwendet werden. Hier kommt Fehler - Maskierung zum Einsatz. Bild 6.1 zeigt das Prinzip einer Prüfre-dundanz. Hier über-wacht eine Diagnose - Einrichtung die Verar-beitung und schaltet deren Ausgaben im Fehlerfalle ab, daher englisch: "fail-stop". Die Norm IEC 61508 bezeichnet eine solche sich selbst prüfende Anlage als "1oo1D" (1 von 1 mit Diagnose). Dagegen arbeitet "Verdoppelung und Vergleich". mit zwei untereinander synchronisierten Verarbeit-ungseinrichtungen in Wirk - Redundanz, die beide aktiv sind. Abhängig von der Art des Eingriffs in den Prozess unterscheidet die Norm zwischen "1 von 2" und "2 von 2". In Bild 6.2 dienen zwei redundante Einrichtungen der Abschaltung einer Betriebserlaubnis, hier als Ruhestromkreis ausgeführt. Durch die Reihen-schaltung kann jede der beiden den Kreis auftren-nen, es handelt sich also um eine "1 von 2" - Verknüpfung zur Auslösung. Stellt der Vergleicher Ungleichheit fest, so schaltet er die Ausgaben ab oder auf einen "sicheren" Wert
um. Das müsste hier "0" sein und würde zu einer Abschalt-ung der Betriebs-erlaubnis führen. Es handelt sich hier also um eine Schutzfunktion oder ein Schutzsystem. In anderen Fällen würde nur eine Verarbeitung Daten ausgeben, die bei Ungleichheit ab- oder umgeschaltet würden. In Bild 6.3 sind die Ausgabekontakte parallel geschaltet, für eine Auslösung müssen daher beide Systeme abschalt-en, sie arbeiten also in "2 von 2" (2oo2 = 2 out of 2). Eine einfache stetige Lösung zeigt Bild 6.4. Hier gibt es zwei Verarbeitungen, die beide durch Diagnoseeinricht-ungen überwacht werden. Bei Un-gleichheit schal-tet der Vergleich-er die Ausgaben zunächst ab, so dass die Strecke ohne Daten auskommen muss. Wenn durch die Diagnoseeinrichtungen die defekte Strecke fest-gestellt ist, wird auf die andere umgeschaltet, so dass die Strecke wieder Daten erhält. Diese Methode arbeitet also zunächst integer und dann stetig. Werden z.B. drei aktive Verarbeitungen verwendet wie in Bild 6.5 dargestellt, so kann durch "Mehrheitsentscheid" die defekte abgeschaltet oder durch die Ausgabe unwirksam gemacht werden, so dass der Fehler nach aussen nicht in Erscheinung tritt. Daher wird diese Lösung "Fehler - maskierend" genannt, sie arbeitet in 2 von 3 stetig und integer. Dabei ist unter-stellt, dass der erste Fehler nur in einer Einheit auftritt, was den Erfahrungen entspricht.
Verar-
beitung
Diag-
nose
Eingaben
Abschalten
bei Fehler
Ausgabe: integer
(fail-stop) Bild 6.1: Prüfredundanz
Verar-
beitung
aktiv
Eingaben
Synchronisat.
Vergleicher
Umschaltung
auf sich. Wert
bei Ungleichheit
Auswertung in 2oo2, integer
+
Verar-
beitung
aktiv
„OK“
Verar-
beitung
aktiv
Eingaben
Synchronisat.
Vergleicher
Umschaltung
auf sich. Wert
bei Ungleichheit
Auswertung in 1oo2, integer
+
Verar-
beitung
aktiv
„OK“
Bild 6.2: Verdoppelung und Vergleich, 1oo2
Bild 6.3: Verdoppelung und Vergleich, 2oo2
Verar-
beitung
bereit
Diag-
nose
Verar-
beitung
aktiv
Diag-
nose
Ausgabe: stetig (fail-operate)
Vergleicher
= schaltet ab
Umschaltung auf
nicht gestörte Verarb.
Bild 6.4: Verdoppelung, Ver-gleich und Diagnose, 1oo2D
Verar-
beitung
aktiv
Verar-
beitung
aktiv
Verar-
beitung
aktiv
+ „OK“
Ausgabe: stetig und integer (in 2oo3)
Eingaben
Bild 6.5
Berufsakademie Mannheim Automatisierungssysteme Betriebsmittelanforderungen“ Erich Kleiner, September 2007 7. Sicherheitsgerichtete Systeme
ASA_Zuv_Verf_Sich 17
7. Sicherheitsgerichtete Systeme
7.1 Anforderungen
Aufgabe eines Sicherheits- - gerichteten Systems ist: - sicherer Betrieb einer Anlage mit hohem
Gefahrenpotenzial, oder - Schutz einer Anlage mit hohem
Gefahrenpotenzial, die von einem nicht Sicherheits- - gerichteten System gesteuert / geregelt wird.
Anwendungsbeispiele und Vorschriften (außer IEC / EN 61508): - Produktionseinrichtungen allgemein
DIN 19 250 ff - Aggregateschutz (wichtiger Prozessaggregate)
Projekt - abhängige Spezifikationen - Brennersteuerung, Dampferzeuger - Schutz
Groß - Verbrennungsanlagen - Verordnung - Turbogruppenschutz
Hersteller - abhängige Spezifikationen - Kernkraftwerksschutz
Besondere nationale Normen - Explosionsgefährdete Anlagen, z.B. Petrochemie
NAMUR - Richtlinien (siehe "Ex-i"), ATEX
Anforderungen an Sicherheits-gerichtete Systeme: - Fehler in der Leiteinrichtung (einschl. Sensoren /
Aktoren) müssen zur Abschaltung führen und - dürfen betriebliche Abschaltung nicht verhindern.
Die Maßnahmen sind Anwendungs - abhängig: - Geräte – Eigendiagnose, - Sicherheits - gerichtete Signaldefinition, - Mehrkanaliger Aufbau (auch Geräte - intern),
7.2 Maßnahmen 7.2.1 Geräte - Eigendiagnose Als „Sicherheits – gerichtet“ bezeichnete Geräte müssen automatisch in bestimmten Intervallen ab-laufende Testroutinen enthalten. Bei Eingabegeräten müssen dazu u.a. die Eingänge anstelle des Prozesswertes mit einem simulierten Signal durch den ganzen Eingangsbereich darauf getestet werden, ob sie im Ernstfall richtig reagieren würden. 7.2.2 Signaldefinition Die Definition, welcher Signalpegel (1 oder 0) für welche Wirkung innerhalb der Elektronik verwendet wird, ist ein Teil einer Sicherheits - gerichteten Auslegung. Bild 7.2.1: Signaldefinition "aktiv 1" Bild 7.2.1 zeigt die "aktiv -1"- Definition, bei der log. 1 "Wahr" bzw. „gut“ bedeutet. Alle Eingriffe (Freigaben, Schutzbefehle, Ausgangsbefehle) erfolgen mit log. 1.
- sichere Auswertung (Voter), bei Relais z.B. "Zwangs - Führung" der Kontakte, - Zweiter Logik-Kanal in „Diversitärer Logik“ (inverse
Signale, Wort statt Bit (prüfbar), z.B. ODER statt UND),
- Prüfmöglichkeiten / automatische Prüfprogramme zur Entdeckung passiver Fehler. („Proof Test“)
- Sichere Datenübertragung z.B. durch PROFIsave, INTERBUS-Safe, ASI-Safety at Work und Safe
Ethernet (besondere Telegramme mit mehr Prüfungen, sowie Auswertegeräte, die bei ausbleibenden oder fehlerhaften Telegrammen in den sicheren Zustand gehen),
Die Realisierung (Bild 7.1) erfolgt durch - Sicherheits – gerichtete MRS – Systeme für die komplette Aufgebe, oder - Sicherheits – gerichtetes Schutzsystem zusätzlich zu einem nicht Sicherheits – gerichteten „betrieb- lichen“ System, oder neuerdings durch - „Integrated Safety“ – Systeme, in denen Sicher- heits gerichtete und betriebliche Funktionen kombiniert werden können. Schutz bedeutet dabei: Verringerung des Risikos durch Maßnahmen, die die Eintrittshäufigkeit oder das Ausmaß eines Schadens oder beides beschränken. Ausgabegeräte benötigen zumindest einen zweiten Abschaltkanal, z.B. die geschaltete Spannungs-versorgung für die Ausgangsstufen, damit durchlegierte Endstufen nicht unbemerkt eine Abschaltung verhindern können. Dies ist (unter „Beispiele“) beim HIMA – Systems dargestellt. Im verdrahteten Teil wird diese "1" durch Spannung und Strom abgebildet, so dass ein Drahtbruch oder ein Erdschluss (die häufigsten Fehler) eine 0 bewirk-en und so über die Signaleingabe keine Freigabe
und in der Ausgabe keinen Befehl auslösen können. Wenn auch innerhalb des programmierbaren Teils "aktiv - 1" gilt, kann man Eingangs-signale bei Störungen sperren, um durch Fehler keine ungewollten Freigaben zu erhalten. Hier bringt die Definition nur bessere Übersicht, ansonsten gibt es zwischen 1 und 0 keinen Unterschied.
Für Sicherheits - gerichtete Schutz - Befehle muss im verdrahteten Teil "1" als "GUT" definiert sein. Dann würde bei 0 durch Fehler der "GUT"-Zustand wegfallen, und es würde abgeschaltet (entspricht der "Ruhestrom - Schaltung").
Bild 7.1: Strukturen für sicherheitsgerichtete Funktionen
Sicherheits- Sicherheitsgerichtetes Schutzsystem „Integriertes Syst.“
Anforderungen System für Sicherheits- mit Eingriff in mit Sicherheits -
relevante Funktionen und
normalen Funktionen
Normale Betriebliches System Betriebliches z.B. S7, Rosemount,
(„Betriebliche“) für „normale“ Funktionen System mit z.B. ProfiSafe-
Anforderungen Bus
Realisierungs - Möglichkeiten:
+
Schließt bei „erfüllt“, = „1“
-> sicher gegen
- Leitungsbruch,
- Kurzschluss
Über-
wach.
Signal
Störung
&
z.B. „Freigabe“
des Betriebes&
&
Geräte-
Störung
Eingabe Verarbeitung
>1
Systemkommunikation Automatisierungssysteme Berufsakademie Mannheim 6. Sicherheitsgerichtete Systeme Erich Kleiner, Sept. 2007
18 ASA_Zuv_Verf_Sich
7.2.3 Auswahlschaltungen Auch durch Aus-wahlschaltungen kann die Sicherheit (oder Verfügbarkeit) erhöht werden (Bild 7.2.2). Bei 2 Kanälen ist eine 2v2 - Auswahl für eine Freigabe sicher, und eine 1v2 für eine Abschaltung bei "Nicht GUT", also im Bild bei offenem Kontakt. Aktive Abschaltung mit 1 (ganz rechts) ist zwar verfügbar, gilt aber nicht als "Sicherheits- gerichtet". Bei 3 Kanälen ist eine 2v3 - Auswahl gleich-ermaßen verfügbar und sicher. In nebenstehender Tabelle ist das im Sinne von „Sicher-heits - gerichteten Systemen“ geforderte Betriebsverhalten der verschiedenen Aus-wahlschaltungen dargestellt. 7.2.4 Komplementäre Logik wird oft als 2. Logik - Kanal pro-grammiert, dazu stehen besondere Funktionsbausteine zur Verfügung. 7.2.5 Mehrkanaliges Schutzsystem Schutz von Anlagen mit hohem Gefahrenpotenzial erfolgt durch spezielle Schutzsysteme, die einen Betrieb nur im "GUT" - Zustand einer Reihe von Bedingungen erlauben. Bild 7.2.3 zeigt das Prinzip mit zwei 3-kanaligen Messungen und drei Auswerte-kanälen. Jede Auswertung erhält (über eine spezielle Bus-Verbind-ung) alle 3 Geberkanäle, wertet sie in 2v3, und bildet das Ergebnis (UND zwischen den Messungen). Ein Voter außerhalb bildet in 2v3 die Betriebsfreigabe.
Kanal 1
Kanal 2
Auswahlschaltungen
- bei 2 Kanälen einer Messung:
Freigabe: Schutz (Abschaltung):
&2 von 2
Sicher, aber geringe Verfügbarkeit
(Abschaltung bei 1 gestörten Kanal)
>11 von 2
- bei 3 Kanälen einer Messung:
Kanal 1
Kanal 2
Kanal 3
Schließt bei „gut“
>2 2 von 3
Freigabe: Schutz (Abschaltung):
>2 >2
Oder: schließt zum AbschaltenSchließt bei „gut“
2 von 3
Sicher und verfügbar: toleriert 1 gestörten Kanal
2 von 3
>1 1 von 2
Oder: schließt zum Abschalten:
verfügbarer, nicht Sicherheits - gerichtet!
Bild 7.2.2: Auswahlschaltungen
Messung 1
K1 K2 K3
Messung 2
K1 K2 K3
2 v 32 v 3
&
2 v 32 v 3
&
Geschlossen („1“) für GUT („Ruhestrom“ - Prinzip)
2 v 32 v 3
&
2 v 3
Station 1 Station 2 Station 3
Betriebsfreigabe
S
pezie
lle
Busverb
indung
Bild 7.2.3: Dreikanaliges Schutzsystem
Sicherheits - gerichtete Systeme: Betriebsverhalten
Abk. „1“ = OK Erläuterung bei Erstfehler: bei Zweitfehler:
1oo2 UND - Verknüpfung von 2 Kanälen Abschaltung -
1oo1D einkanalig mit Diagnose Abschaltung -
1oo2D ODER - Verknüpfung von 2 Kanälen fehlerhafter Kanal wird abgeschaltet,
mit Diagnose Betrieb bleibt erhalten Abschaltung
fehlerhafter Kanal wird ignoriert,
2oo3 2 von 3 - Verknüpfung von 3 Kanälen Betrieb bleibt erhalten Abschaltung
für erlaubte Zeit*
2. fehlerh. Kanal
2oo4 2 von 4 - Verknüpfung von 4 Kanälen fehlerhafter Kanal wird ignoriert, wird ignoriert,
Betrieb bleibt erhalten Betrieb bl. erhalten
für erlaubte Zeit*
2oo4D 2 parallele 1oo2D - Systeme (HIMA) fehlerhaftes Syst. wird abgeschaltet, Abschaltung
Betrieb bleibt ungeschränkt erhalten
(einkanalig bis SIL3 zertifiziert!)
&
D
>2
>2
Reaktion im Fehlerfall:
D
„gut“: geschlossen,
D
D
D
D
D
Berufsakademie Mannheim Automatisierungssysteme Betriebsmittelanforderungen“ Erich Kleiner, Januar 2014 6. Sicherheitsgerichtete Systeme
ASA_Zuv_Verf_Sich 19
Zur Erkennung von passiv-en Fehlern erfolgt eine au-tomatische scharfe Prüf-ung. (Bild 7.2.4). Zunächst wird bei jeder Messung ein Kanal nach dem anderen als "Nicht GUT" vorge-täuscht und die Auswirk-ung in der Logik geprüft. Bei Kontakten erfolgt dies sinnvollerweise durch Ab-schalten der Abfrage-spannung. Dann wird am Logikaus-gang der ganze Kanal aus-gelöst und geprüft, ob der Voter eine einkanalige Auslösung erhielt. Diese Prüfung kann natür-lich nur durchgeführt werd-en, wenn nicht schon ein Kanal gestört ist. Für die zusammenfassen-de 2v3-Auswahl Bild 7.2.3 und die Relais in Bild 7.2.4 werden „zwangsgeführte Relais“ eingesetzt, bei denen gleiche Stellung aller Kontakte sichergestellt ist. Nur dann kann z.B. sicher geprüft werden, ob ein Relais ausgelöst hat.
7.3: Beispiele aktueller Systeme 7.3.1 Sicherheitsrelais Bei relativ einfachen, kleinen Einrichtungen werden seit vielen Jahren „Sicherheitsrelais“ einge-setzt. Diese schleifen einen NOT-AUS- Taster oder z.B. eine Schutz-Tür-Überwachung sicher in den Leistungskreis eines sicherheits-relevanten Antriebs ein. Bild 7.3.1.1 zeigt das Prinzip (mit aktuellen Kennzeichen). Der NOT-AUS-Taster –SF1 ist zweikanalig an das Sicherheitsrelais -KF1 angeschlossen, die Eingangs-kreise werden auf Erdschluss und Querschluss überwacht, Unterbrech-ung entspräche einem NOT-AUS. Über Taste -SF2 wird der Betrieb freigegeben, wenn (zunächst) die Abschaltrelais –KM1 und –KM2 abgeschaltet sind. Diese erhalten nun aus dem Sicherheitsrelais -KF1 Spannung und die „normale“ Einschaltung über –QA1 kann den Motor starten. Bei NOT-AUS wird über die Abschaltrelais sicher abgeschaltet.
R S
&
&
R S
1
&
&
Testeinrichtung Schutzkanal 1Start
1.
Prü
fung:
Ein
gangskanäle
2.
Prü
fung:
Au
sg
abe
Schutzkanal 2 Schutzkanal 3
Betriebs-
Freigabe
Wenn OK:
nächster
Kanal Auswertung (Voter)
Bild 7.2.4: Automatische Prüfung auf passive Fehler
Bild 7.3.1.1: Sicherheitsrelais, Prinzip
Zuverlässigkeit, Verfügbarkeit, Sicherheit Automatisierungssysteme DHBW Mannheim 7. Sicherheitsgerichtete Systeme Erich Kleiner, Oktober 2016
20 ASA_Zuv_Verf_Sich
Bild 7.3.1.2 zeigt Sicherheits-Relais PNOZ s3 der Fa. Pilz von außen und als Blockschaltbild. Es ist zertifiziert für PL e und kann auf verschiedene Betriebsarten eingestellt werden, z.B. für manuellen oder automatischen Start usw. Inzwischen werden Sicherheitsrelais auch mit Mikroprozessoren bestückt, wodurch eine Vielzahl von Betriebs-arten möglich ist und mit denen ein ganzes Sicherheitssystem aufgebaut werden kann. Bild 7.3.1.3 zeigt das PNOZplus der Fa. Pilz. Bild 7.3.1.5 zeigt Sicher-heits-Relais der Firma ABB. Hier können in den Eingangskreisen dynami-sche Signale verwendet werden, die sich zyklisch selbst überwachen (200 Hz), statt einer Über-wachung nur bei Betätigung in statischen Kreisen. Dadurch können bis zu 30 Sensoren hintereinander geschaltet werden und dabei Kat. 4 / PL e erreicht werden. In einem Kreis können verschiedene Komponen-ten verwendet werden, über Adapter auch andere (statische) Produkte. Die programmierbare Aus-führung „PLUTO“ kann über einen Sicherheitsbus bis zu 32 Geräte zusammenfassen und kann als AS-i – Master bzw. Monitor eingesetzt werden.
Bild 7.3.1.2: Sicherheitsrelais PNOZ s3 der Fa. Pilz
Bild 7.3.1.4: Sicherheitsrelais PNOZplus der Fa. Pilz, Blockschaltbild
Bild 7.3.1.5: ABB-Sicherheitsrelais „VITAL“ und „PLUTO“
Berufsakademie Mannheim Automatisierungssysteme Betriebsmittelanforderungen“ Erich Kleiner, Januar 2014 6. Sicherheitsgerichtete Systeme
ASA_Zuv_Verf_Sich 21
7.3.2 HIMA – Sicherheitssysteme Die Firma „Hildebrand Mannheim“ (heute Brühl) hat sich auf Sicherheits – Syste-me spezialisiert und einige „Erst – Zertifi-kationen“ geschafft. In ihren Systemen H41q und H51q (q=„quadro“) werden Verarbeitungsgeräte mit je 2 Prozessoren verwendet, die durch einen sicheren Watchdog überwacht werden. Außerdem werden die Ergebnisse verglich-en. Der gestörte Kanal wird abgeschal-tet. Die Eingabegeräte sind „Sicherheits – gerichtet“ durch auto-matisch ablaufende Prüfroutinen. Teilweise werden die Eingangskreise überwacht. Die Auswertung der Prüfungen und Überwachungen erfolgt in den Eingabegeräten selbst oder in der CPU durch Umschaltung auf einen „sicheren“ Wert.
Die Ausgabegeräte arbeiten ebenfalls sicherheits – gerichtet durch Abschaltung der Ausgangsverstärker – Spannung über CPU – Watchdog und Freigaben.
Die Übertragung der sicherheitsgerichteten Tele-gramme erfolgt über „SafeEthernet“, ein von HIMA entwickeltes spezielles Protokoll auf Standard – Ethernet – Komponenten in einer eigenen Domain mit: - deterministischer Übertragung durch festen Zyklus, - zusätzlichen Prüfungen auf - Datenverfälschung, - Adressierung und richtige Reihenfolge, - Zeitverhalten (Ausbleiben von Telegrammen), - Zugriffsschutz –Maßnahmen im Engineering–Tool Bild 7.3.2.2 zeigt den einkanaligen Einsatz, der durch die Doppel – Prozessoren mit Diagnose (1oo2D) bereits für SIL 3 zugelassen ist, wenn sicherheitsgerichtete Ein- / Ausgabegeräte verwendet werden (1oo1D). Auch die Geber und Stellglieder müssen als „sicherheitsgerichtet“ eingestuft sein. Bild 7.3.2.3 zeigt eine Anwendung mit zweikanaliger Elektronik, bei der die beiden CPUs über Dual-Port – Speicher ihre Signale austauschen, so dass eine „2 von 4“ – Lösung entsteht. Die nun zweikanalig vorhandenen Ein- / Ausgabe-geräte müssen sicherheitsgerichtet sein, und natürlich auch die nur einmal vorhandenen Geber und Stellglieder.
µP1 µP2
+ Speicher
Fehlersicherer
Watch Dog
Vergleicher
- Speicher
Multiplexer
Ein/Ausgabe
Zentral-Baugruppe
&+
&
Spann.-
Versorgung
Digit. Ausgabe
z.B. Brennstoff-
Ventil
Dig.
Eing.
Anal.
Eing.
(CPU)
Freigaben Befehle
. . .
rückle
sen
Übertragung: „SafeEthernet“ mit
normalen Ethernet - Komponenten:
- deterministisch (eigene Domain)
- Zusätzliche Prüfungen auf:
- Datenverfälschung,
- Adressierung, Reihenfolge,
- Zeitverhalten (Ausbleiben
von Telegrammen)
-
+
üü
0
Initiator oder
beschalteter Kontakt
„2. Abschaltkanal“:
Abschalten der
Spann.Versorgung
Sicherheits - gerichtete
Ein / Ausgabegeräte
d.h. mit laufendem
FunktionstestMessumformer mit
„life zero“-Anschluss (4..20 mA)
Gerä
te-
test
-+
Gerä
te-
test
Speis
.-Ü
berw
.
Messw
.
I
Ab- bzw. Umschaltung:
- in der SW oder
- im Eingabegerät
ü
Alt.W.
Abschal-
tung0
Bild 7.3.2.1.: Prinzipschaltungen der HIMA - Sicherheitssysteme
Diagnose
µP1 µP2
ZB 1oo2
1oo1D
Stellglied
1oo1D
1oo2
1oo1D
1oo1D
Diagnose
µP1 µP2
ZB1
DP
R
DP
R
Diagnose
µP1 µP2
2oo4
1oo1D
1oo1D
ZB21oo2
Stellglied
Bild 7.3.2.2: Einkanalige Anwendung
Bild 7.3.2.3: mit 2-kanaliger Elektronik
Zuverlässigkeit, Verfügbarkeit, Sicherheit Automatisierungssysteme DHBW Mannheim 7. Sicherheitsgerichtete Systeme Erich Kleiner, Oktober 2007
22 ASA_Zuv_Verf_Sich
Diese Lösung ist ebenfalls bis SIL 3 zertifiziert. Der höhere Aufwand bewirkt nur eine höhere Verfügbarkeit.
Bild 7.3.2.4 zeigt eine zweikanalige Anwendung mit einem gemeinsamen E/A – Bus und – je nach Anforderungen und Möglichkeiten – ein- bis drei- kanalige Eingabe- / Ausgabegeräte einschließlich Gebern und Stellgliedern. Ein „zweikanaliges Stellglied“ ist z.B. die Reihen-schaltung von zwei Brennstoffventilen. Auch diese Lösung ist nur bis SIL 3 zertifiziert, und der höhere Aufwand bewirkt nur eine höhere Verfüg-barkeit. Bild 7.3.2.5 zeigt anhand Sicherheits – gerichteter, verdrahteter (Verbindungs – programmierter) Logik mit Diagnose (durch µP) das Prinzip des HIMA – Systems „Planar F“, das als bisher einziges bis SIL4 zertifiziert ist. Die „wechselstrommäßige“ Verarbeitung ist sicher gegen statische Fehler: „TRUE“ („1“) wird nicht durch einen statischen Signalpegel sondern durch das Vorhandensein von Pulsen dargestellt, so dass ein Bauelementefehler durch Pulsausfall immer zu „FALSE“ („0“) führt und sicher abschalten kann.
Bild 7.3.2.4: Zweikanalige Verarbeitung und 1- bis 3 – kanalige Peripherie
1oo2
Diagnose
µP1 µP2
ZB1
DP
R
DP
R
Diagnose
µP1 µP2
ZB21oo2
1oo1D
1 Geber,
Sich.ger.
2 Geber
1oo2D 2oo3D
3 Geber
1oo1D 1oo2D
1 Stellglied 2 Stellglieder
z.B.:
2oo4
(unerregt schließend)
Bild 7.3.2.5: Verbindunbgsprogrammiertes System HIMA Planar F (bis SIL 4)
DHBW Mannheim Automatisierungssysteme Zuverlässigkeit, Verfügbarkeit, Sicherheit Erich Kleiner, Juli 2015 7. Sicherheitsgerichtete Systeme
ASA_Zuv_Verf_Sich 23
7.3.3 „Safety at work“ bei ASI
Unter dieser Bezeichnung gibt es auch beim ASI (Actuator Sensor Interface) eine sicher-heitsgerichtete Übertragung. Hier können nicht sicher-heitsgerichtete Standard- Geräte und sicherheits-gerichtete Geräte am gleichen Bus betrieben werden, auch Not-Aus-Tasten (Bild 7.3.3.1).
Die sicherheitsgerichteten Aufgaben werden hier durch spezielle „Safety Monitors“ realisiert, vergleichbar mit den in 7.3.3.2 gezeigten Sicher-heitsrelais. Das Bild zeigt den Datenfluss: rot sind die sicherheitsrelevanten Ver-bindungen eingezeichnet. 7.3.4 „Virtuelle“ Lösung von B&R Für kleine bis mittelgroße sicherheitsrelevante Aufgaben hat B&R eine „virtuelle“ Lösung entwickelt, siehe Bild 7.3.4.1
Statt die Verarbeitungsaufgaben in einem zentralen Controller in einem Schrank zu realisieren sind diese dezentral verteilt. Sichere Verarbeitung einschl. zweitem inversen Kanal (siehe Bild 7.3.5.2) erfolgt auf den Eingabegeräten, notwendige sichere Bedienfunktionen sind in den HMI-Komponenten. Diese SW-Lösung ist bis SIL3 / PL e zertifiziert. Dadurch wird Platz und werden Geräte gespart, und auch sehr kleine Aufgaben können mit geringem Aufwand voll programmierbar gelöst werden, anstatt ein spezielles Sicherheitsrelais einsetzen zu müssen. B&R benutzt für die Datenübertragung den Standard „Open Safety“ in Verbindung mit der Echtzeit-Ethernet-Lösung „PowewrLink“ (B&R).
7.3.5 Siemens- Geräte „SIRIUS“ Bei Siemens gibt es unter dem Produktnamen „SIRIUS“ eine große Gerätepalette: z.B. einfache Sicherheitsrelais (Bild 7.3.5.: a), Geräte zum Anschluss an AS-i (b) und sichere Motorstarter (c), alle zertifiziert bis SIL3 / PL e, mit variablem Mengengerüst, flexibel für die verschiedensten Anforderungen.
Bild 7.3.3.1: „Safety at work“ bei ASI
Bild 7.3.3.2: Datenfluss bei „Safety at work“, Rechts: angeschlossenes Sicherheitsrelais
Bild 7.3.4.1: „Virtuelle“ Lösung von B&R
Bild 7.3.5: SIRIUS- Geräte von Siemens
'Textfeldtools', wenn Sie das Format des Textfelds 'Textzitat' ändern möchten.]
a) b) c)
Zuverlässigkeit, Verfügbarkeit, Sicherheit Automatisierungssysteme DHBW Mannheim 7. Sicherheitsgerichtete Systeme Erich Kleiner, September 2014
24 ASA_Zuv_Verf_Sich
7.3.5 "Integrierte Sicherheit" In manchen Leittechnik – Systemen, z.B. bei Siemens (S7), B&R und Emerson, können betrieb-liche (nicht Sicherheits - gerichtete) und Sicherheits- gerichtete Funktionen in einer "Fehler - sicheren" CPU ("F") kombiniert werden, so dass ein einziges Leitsystem eingesetzt und mit den gleichen Engi-neering- und Service - Tools bearbeitet werden kann (Bild 7.3.5.1), zertifiziert bis SIL 3. Problematisch ist aber die Handhabung durch gleiches Personal. Für die Sicherheits - gerichteten Funktionen gibt es spezielle Eingabegeräte (2 Kanäle in 2 von 2) und Ausgabegeräte (zweiter Abschaltweg) in „F“-Ausführung (Fehler-sicher, Fail-safe). In der Verarbeitung stehen spezielle Funktions-bausteine zur Verfügung, welche die Anforderungen Sicherheits – gerichteter Systeme erfüllen.
Um einen zweiten Verarbeitungskanal zu sparen besitzt SIMATIC S7F die Möglichkeit, auf der gleichen CPU eine Aufgabe „normal“ und zusätzlich „diversitär“ zu rechnen (Bild 7.3.5.2). In diesem zweiten Kanal werden inverse Signale, andere Variablendefinition und die entsprechend komple-mentären Verknüpfungsfunktionen verwendet. Die Ergebnisse werden verglichen. Sind sie nicht invers zueinander, so bringt „F-STOPP“ den betroffenen Teil der Anlage in den sicheren Zustand. Diese Sicherheit ist aber nur scheinbar ohne Zusatzkosten zu haben. Die inverse Verarbeitung braucht mehr Verarbeitungszeit als die „normale“, so dass mehr als die doppelte Zeit benötigt wird. Das kann zusätzliche CPUs kosten.
Lange Zeit mussten für Sicherheits - relevante Aufgaben Verdrahtung (statt Bus) oder spezielle Busse eingesetzt werden, welche die Sicherheits-anforderungen erfüllten. Inzwischen gibt es Lösungen, die auf dem gleichen Bussystem "normale" und "sichere" Telegramme verwenden, z.B. bei "PROFIsave" (Bild 7.3.5.3). Hier enthält der Datenteil des Telegramms zusätz-liche Informationen für sicheren Datenverkehr, aus-gewertet durch zusätzlichen Layer (über Schicht 7): - fortlaufende Numerierung der Sicherheitstele-
gramme, mit Laufzeitprüfung und Quittierung, - Kennung zwischen Partnern mit Losungswort, - zusätzliche Datensicherung (CRC), die eine
höhere Übertragungssicherheit bewirken.
Heute werden nicht nur über den PROFIBUS sichere Daten übertragen, sondern auch über Echtzeit-Ethernet-Systeme und z.B, INTERBUS.
Für die Echtzeit-Ethernet-Systeme POWERLINK, PROFINET, Ethernet/IP, Modbus/TCP und SERCOS III werden dazu folgende Protokolle verwendet: PROFIsafe: F-Master und –Slaves (Fail Safe),
Unterscheidung durch Parameter, Überprüfung des sicheren Datenverkehrs, Identifikation: HW
openSAFETY für beliebige, große Netzwerke, spezielle Safety Process Data Objects, Identifi-zierung von Sendern und Empfängern
FSoE (Fail Safe over EtherCAT): spez. Master und Slaves, Identifikation durch HW.
7.3.6 INTERBUS Safe Auch der „Interbus – Club“ hat eine Sicherheits – ge-richtete Lösung: Sicherheits – relevante Geber werden über einen Sicherheits – gerichteten Teil-nehmer („Anschaltgerät“) sicher ausgewertet. Dies erfolgt durch zusätzliche Informationen und Überwachungen im mit normalen Informationen gemeinsamen Summenrahmen auf demselben oder einem getrennten Kabel.
Synchronisation, Start, Nachricht Ende-
Datenlänge, Ziel- u. Quelladresse, (Daten) Markierung
Kontroll- und Prüfbytes
Normales PROFIBUS-DP - Telegramm (Antwort)
- fortlaufende Nummerierung Daten
der Sicherheitstelegramme,
- Zeiterwartung, Quittierung
- Kennung mit Losungswort,
- zusätzliche Datensicherung (CRC)
PROFIsafe - Telegramm
&
A (BOOL)
B (BOOL)
„Codierung“
/A (WORD)
Operanden Operation, z.B. UND
Diversitäre Diversitäre
Operanden Operation, z.B. ODER
/A (WORD)>1
Vergleich
ErgebnisC
D = /C
Diversitäres
Ergebnis
STOP
bei C = D
Bild 7.3.51: Integrierte Sicherheitsfunktionen bei S7
Bild 7.3.5.2: Diversitäre Verarbeitung
Bild 7.3.5.3: PROFIsafe - Telegramm (Prinzip)
Berufsakademie Mannheim Automatisierungssysteme Betriebsmittelanforderungen“ Erich Kleiner, Oktober 2016 7. Sicherheitsgerichtete Systeme
ASA_Zuv_Verf_Sich 25
8. Explosionssicherheit 8.1 Zündsicherheits-Stufen, Maßnahmen Insbesondere in der Petro-chemie ist Sicherheit gegen Explosionsgefahr gefordert. Dazu werden die Betriebs-räume in (Gefahren-) Zonen eingeteilt, je nach dem Auf-treten explosiver Atmosphäre: Gase: Zone 0: ständig oder
langzeitlich oder häufig, Zone 1: Normalbetrieb: gelegentlich, Zone 2: Normalbetrieb: selten od.kurzzeitlich. Zone N: keine Gefährdung
Stäube: Zone 20 / 21 / 22 ... ..“als Wolke“, entspr. 0 / 1 / 2
Früher galten für den Explosionsschutz ver-schiedenen nationale Vorschriften, in Deutschland gab es hauptsächlich die NAMUR- Empfehlungen (Normen - Ausschuss Messen und Regeln der chemischen Industrie). Seit 01. 07. 2003 gelten die ATEX - Richtlinien (ATmosphère EXplosive) der Europäischen Union: ATEX 95 (EU-Richtl. 94/9/EG für Hersteller, und ATEX 137 (EU-Richl.99/2/EG für Betreiber. Diese Richtlinien gelten für elektrische und mechanische Betriebsmittel und Schutzsysteme, unabhängig, ob in Gas- oder Staub - gefährdeten Bereichen. Zeichen für Explosionssicherheit bzw. - Gefährdung sind - für Betriebsmittel: - für Anlagenbereiche Zum Schutz gegen Entzündung durch elektrische (aber auch mechanische) Betriebsmittel sind ver-schiedene Zündschutzarten genormt und mit einem Kleinbuchstaben hinter „Ex-“ gekennzeichnet: Bild 8.1 zeigt Beispiele für den eigensicheren Anschluss von Sensoren und Aktoren:
- Eingabegeräte im nicht gefährdeten Bereich mit speziellen eigensiche-ren Eingängen, die gegen die übrige Schal-tung getrennt sind,
-"Barrieren" (z.B. Zener-barrieren) zur Begrenzung der elektrischen Werte von normalen Eingängen (bin.), oder Trennwandler (analog).
Die eigensichere Ausführung hat in der Speisung der Geräte den Nachteil, dass nur ca. 3 W (DC) eingespeist werden können.
Ex-e: erhöhte Sicherheit, Ex-d: Druckfeste Kapselung Ex-p: Überdruckkapselung Ex-i: eigensicher (begrenzte elektrische Werte), Ex-o: Ölkapselung Ex-q: Sandkapselung, Ex-m: Verguss – Kapselung Ex-n: nicht zündend (Zus.-Fassung für Zone 2)
Dabei bietet die eigensichere Ausführung Vorteile: - weltweite Akzeptanz, - relativ geringe Fertigungskosten, - einfache Gehäuseanforderungen (IP20), - einfache Anschlusstechnik, - bestimmte Arbeiten können am Betriebsmittel ohne Abschaltung durchgeführt werden.
In Geräten der Leittechnik wird die "Eigensicherheit" verwendet: Begrenzung der elektrischen Spannung / Leistung so, dass durch Funkenbildung / Erwärmung keine Entzündung der explosiven Atmosphäre statt-finden kann. In Zone 0 ist (in Deutschland) Potential-trennung vorgeschrieben.
EX
Bild 8.1.1: Gefahrenzonen
Zuverlässigkeit, Verfügbarkeit, Sicherheit Automatisierungssysteme DHBW Mannheim Literatur Erich Kleiner, Sept. 2007
26 ASA_Zuv_Verf_Sich
Bei Feldbusanschluss heißt das je nach Zündstufe eine Begrenzung auf 4 (IIC) . . 7 (IIA) Teilnehmer., nach „FISCO“ (siehe rechte Spalte) 7 .. 13 pro Segmentkoppler z.B. bei PROFIBUS –PA. Eine andere oft verwendete Lösung ist die „Multi-barriere“ (Pepperl & Fuchs, MA). Sie wird über ein Kabel in Schutzart Ex-e mit höherem Strom eingespeist, so dass hier 16 Teilnehmer angeschlossen werden können.
8.2 FISCO (Fieldbus Intrinsically Safe COncept)
Die Physikalisch- Technische Bundesanstalt (PTB) hat die Ex-i- Eigenschaften von Feldbussen, die in der Prozessautomation eingesetzt werden (PROFIBUS-PA / Foundation Fieldbus H1) Herstel-ler- übergreifend untersucht und im „FISCO-Modell“ Regeln für ihren Einsatz im Ex- Bereich festgelegt [8]. Dieses Modell wird inzwischen inter-national anerkannt. Es soll hauptsächlich Planung, Installation und Erweiterung von Feldbus-Netzen im Ex- Bereich erleichtern.
Basis-Überlegung: Ein Netzwerk ist eigensicher, und braucht nicht individuelle berechnet werden, wenn seine Komponenten (Feldgeräte, Kabel, Segmentkoppler und Busabschluss) eigensicher sind.
Die Eigensicherheit der Komponenten zertifiziert das PTB (bzw. in USA die UL u.a.).
Vorteile für den Anwender:
- „Plug and play“ auch im Ex- Bereich, auch für Geräte anderer Hersteller,
- keine Systembescheinigung erforderlich,
- Austausch von Geräten bzw. Erweiterungen ohne Neuberechnung möglich, auch bei Geräten ver- schiedener Hersteller,
- Maximierung der Anzahl der angeschlossenen Geräte (statt 4 nun 7 .. 13 Teilnehmer!).
Bedingungen: - Je Feldbus-Segment gibt es nur eine Speisequelle
- Alle Bus-Teilnehmer sind nach FISCO zugelassen
- Die Kabellänge beträgt (für Zündschutzart i) bei Kabeltyp A*: max. 1000 m, bei Kabeltyp B: max. 1900 m
- Kabelwerte: *Typ A Typ B Z = 135..165 Ω R‘ = 15 … 150 Ω/km, RSchl. < 110 Ω L‘ = 0,4 … 1 mH/km, C < 30 pF/m C‘ = 80 … 200 nF/km Für alle Kombinationen von Speisegerät und Feldgeräten muss sichergestellt sein, dass die zulässigen Eingangsgrößen eines Feldgerätes (Ui, Ii, Pi) größer sind als die im Fehlerfall möglichen und zulässigen maximalen Ausgangsgrößen (U0, I0, P0) des Speisegerätes.
Berufsakademie Mannheim Automatisierungssysteme Betriebsmittelanforderungen“ Erich Kleiner, September 2007 8. Explosionssicherheit
ASA_Zuv_Verf_Sich 27
8.3 DART (Dynamic Arc Recognition and Termination) Bei Einsatz der Multibarrieren muss die aufwendigere Schutzart Ex-e verwendet werden, um mehr Leistung ins Feld zu bringen. Mit der seit Anfang 2008 verwendeten DART- Methode wird das vermieden [9]. Dieser liegt zugrunde, dass in den ersten ca. 5 µs nach einer Stromkreistrennung wegen noch nicht ausreichender Funkenenergie noch keine Entzündung erfolgen kann. DART schaltet in dieser „Initialphase“ die Versorgungs-spannung rechtzeitig ab. Bild 8.2 zeigt, dass der Beginn der Initialphase durch ein hohes di/dt erkannt werden kann. Bild 8.3 zeigt den Verlauf bei Abschaltung durch DART. Bild 8.4 zeigt die Komponenten, die zu einem DART- Versorgungssystem gehören:
- Speisegerät mit Fehlerer-kennung und Abschaltung,
kann bis zu 50 W liefern, das reicht auch z.B. für Magnetventile.
- Leitung mit definiertem Wellenwiderstand und be-grenzter Länge. Hier liegt es an den Signallaufzeiten, ob das Speisegerät die
Information über die Funkenentstehung (di/dt) rechtzeitig erhält. Tabelle 8.1 zeigt den Zusam-menhang zwischen Ausgangsspannung, über-tragbarer Leistung und Leitungslänge an typischen Beispielen.
- Verbraucher Wegen der hohen möglichen Leistung können
auch Verbraucher wie Magnetventile an ein DART- Versorgungssystem angeschlossen werden. Die Verbraucher dürfen aber die Information über die Funkenentstehung nicht dämpfen oder absorbieren. Daher werden
- Entkoppler vorgeschaltet. Wenn auch dieser eine Abschaltung durchführt, verdoppelt sich die
zulässige Leitungslänge. DART kam allerdings zu spät, wird kaum eingesetzt. Für die Zulassung von Geräten für explosionsgefährdeten Einsatz sind die Gewerbeaufsichtsämter zuständig, die die Prüfung normalerweise an den TÜV delegieren. Ein Hersteller kann aber auch eine Typenprüfung bei der Physikalisch-Technischen Bundesanstalt in Braunschweig beantragen. Geräte mit einem solchen Prüfzertifikat brauchen dann nicht mehr im einzelnen Anwendungsfall geprüft werden. (kostengünstiger).
Bild 8.5: Feldbus- Entkoppler
Initial-
phaseKritische Phase
IF
Funkendauer tF = 5 µs .. 2 ms
di/dt UF
t
I, U Initial-
phaseKritische Phase
IF
Funkendauer tF = 5 µs .. 2 ms
di/dt UF
t
Initial-
phaseKritische Phase
IF
Funkendauer tF = 5 µs .. 2 ms
di/dt UF
t
I, U
Bild 8.3: Rechtzeitige Abschaltung durch DART
U
Überstrom-
Detector
I >
Funkenanf.-
Detector
+ dI
Funkenend.-
Detector
- dI
Monoflop
Funkenend.-
Detector
U <
UO=
SpeisegerätRStart
Leitung Verbraucher
8 .. 50 W
mit def.
Wellen-
Widerst.,
z.B.
Signallauf-
Zeit von
190 m/µs
Ent-
koppler
z.B.
Magnet-
Ventil,
Bus-
Gerät, ..
Initial-
phaseKritische Phase
IF
Funkendauer tF < 5 µs
UF
t
I, U Initial-
phaseKritische Phase
IF
Funkendauer tF < 5 µs
UF
t
I, U
Bild 8.4: Komponenten eines DART- Versorgungssystems
Spannung Uout Wirkleistung Pout Leitungslänge
DART High-Power 50 VDC ca. 50 W bei 100 m
24 VDC ca. 22 W bei 100 m
50 VDC ca. 8 W bei 1000 m
DART Feldbus 24 VDC ca. 8 W bei 1000 m
Maximale eigensichere DART- Ausgangswerte bei typ. Leitungslängen
Spannung Uout Wirkleistung Pout Leitungslänge
DART High-Power 50 VDC ca. 50 W bei 100 m
24 VDC ca. 22 W bei 100 m
50 VDC ca. 8 W bei 1000 m
DART Feldbus 24 VDC ca. 8 W bei 1000 m
Maximale eigensichere DART- Ausgangswerte bei typ. Leitungslängen
Tabelle 8.1:
+ di
Detector
Bild 8.2: „normaler“ Zeitverlauf von Funkenstrom und -Spannung
Bild 8.2: „normaler“ Zeitverlauf von Funkenstrom und -Spannung
Zuverlässigkeit, Verfügbarkeit, Sicherheit Automatisierungssysteme DHBW Mannheim Literatur Erich Kleiner, Okt. 2016
28 ASA_Zuv_Verf_Sich
Literaturhinweise / Quellen: [1] „Fehlertolerante Steuerungs - und Regelungssysteme“, H. Kirrmann, K.-E. Großpietsch, at 8/2002
[2] „Selbstüberwachung .. und übergreifende Überwachung ..“, Prof. Dr. Johannes Prock, at 5/2003,
[3] HIMA – Kataloge,
[4] „Interbus applications“ 01/2004 in etz 6/2004,
[5] Journal in der atp 6/2004
[6] „SIL- Übersicht und Zusammenhänge“, Vortrag Udo Hug (BlmSchG- Sachverständiger) www.hug-24.de
[7] „Safety Integrated“, Europäische Maschinenrichtlinie einfach umgesetzt, Siemens-Druckschrift 2009 [8] „Profibusbeschreibung für DKE“, Profibus-Nutzerorganisation, 2003 [9] DART: die neue Dimension der Sicherheit, Autorenteam, atp 3/2008
[10] Industrial Ethernet Facts, EPSG, Februar 2013 [11] “Mit Sicherheit auf dem richtigen Weg / Maschinensicher0102heit” ABB, 2015, 2CD003036B [12] „Sicherheitsfunktionen nach EN ISO 13849-1“ ABB 2012, - Normen (siehe Seite 8 und 9)