Einleitung Advant Controller 31-SSicherheitsgerichtete

Automatisierung

907 PC 338Programmier- und Testsoftware

Sicherheitshandbuch

ABB Schalt-und Steuerungstechnik

M i ti c h e r h e i t

907 PC 338 / Stand: 08.99 0-1 2

Inhaltsverzeichnis

1 BegriffsdefinitionenLiteratur/Normen ......................................... 1-1

2 Grundlagen der sicherheitsgerich-teten Automatisierung ................................ 2-1

2.1 Auswahl ......................................................... 2-2

2.1.1 Abgrenzung.................................................... 2-2

2.1.2 Eigenschaften der Advant Controller 31-S ....... 2-4

2.1.3 Advant Controller: Sicherheitsgerichtete,dezentrale Automatisierung, E/A-Module ........ 2-5

3 Fähigkeitsprofil derAdvant Controller 31-S ................................ 3-1

3.1 Einführung ...................................................... 3-1

3.2 Übersicht über die Sicherheits-funktionen der AC31-S ................................... 3-1

4 Anforderungen, Applikationen ................... 4-1

Sicherheitstechnische Hinweise

Diese Dokumentation wendet sich an erfahrenes und qualifiziertes Personal. Um Gefahren wie gesundheitlicheoder materielle Schäden zu vermeiden, müssen die mit der Projektierung, Montage, Inbetriebnahme und Instand-haltung beauftragten Personen über einschlägige Kenntnisse

- auf dem Gebiet der Automatisierungstechnik, insbesondere auch unter sicherheitstechnischen Belangen,

- im Umgang mit gefährlichen Spannungen

- in der Anwendung von Normen und Vorschriften, auch in bezug auf sicherheitstechnische Vorgaben,

verfügen.

0-22 907 PC 338 / Stand: 08.99

907 PC 338 / Stand: 08.99 1-1 2

1 Begriffsdefinitionen, Literatur/Normen

l Diversität (diversity)

Ungleichartige technische Mittel zur Erreichung nützli-cher Redundanz.Diversitäre Programme (Software) sind Programme oderProgrammteile, die unterschiedliche Lösungen der glei-chen Aufgabe darstellen, die entweder von verschiede-nen Personen (unabhängig voneinander) erstellt wur-den, oder vom Ansatz her verschiedene Lösungswegeverfolgen (konstruierte Diversität) (DIN/VDE 0116/10.89).

l Error

Abweichung zwischem einem berechneten Wert unddem wahren, spezifizierten oder theoretischen Wert.

l Externer Fehler

Drahtbruch, Bereichüberschreitung, Bereichsunter-schreitung, Kurzschluß, Überlast.

l Fault

Unzulässige Eigenschaft, die das Versagen einer Aus-führungseinheit bewirken kann.

l Fehler (allgemein)

Nichterfüllung mindestens einer Anforderung an ein er-forderliches Merkmal einer Betrachtungseinheit.

l Fehlereffektanalyse (FMEA; Failure mode effectsanalysis)

l Fehlerreaktionszeit

Zeitspanne vom Aufdecken eines Fehlers bis zum Er-reichen eines sicheren Zustands.

l Fehlertoleranzzeit (FTZ)

Zeitspanne, in der ein Prozeß durch fehlerhafte Steuer-signale beeinträchtigt werden kann, ohne daß ein ge-fährlicher Zustand eintritt.

l Grenzrisiko

Größtes noch vertretbares anlagenspezifisches Risikoeines bestimmten technischen Vorgangs oder Zu-stands.

l Interner Fehler

Alle nicht-externen Fehler, d. h. geräteinterne oder Ver-arbeitungsfehler.

l Laufzahl

Zusätzliches Datum zur Sicherung des ungesichertenÜbertragungsweges sowie Prüfmittel für die Programm-abarbeitung.

Die nachfolgend wiedergegebenen Begriffe wurden ausbestehenden Regelwerken und Systembeschreibungen fürABB Steuerungssysteme übernommen.

l 1kanaliger Aufbau eines sicherheitsgerichtetenSystems

Aufbau mit einer Zentraleinheit

l 2kanaliger Aufbau eines sicherheitsgerichtetenSystems

Aufbau mit redundanter Zentraleinheit

l Anforderungsklasse

Einordnungsschema zur Beschreibung von sicherheits-technischen Anforderungen zur Vermeidung und Be-herrschung von Fehlern, gegliedert in Klassen(DIN V VDE 0801 und DIN V 19250).

l Ausfall (failure)

Aussetzen der Ausführung einer festgelegten Aufgabeeiner Betrachtungseinheit aufgrund einer in ihr selbstliegenden Ursache und im Rahmen der zulässigen Be-anspruchung. Verletzung mindestens eines Ausfallkri-teriums bei einer vormals bezüglich dieses Kriteriumsfehlerfreien Baueinheit.

l Ausfallkriterium

Grenzbedingung für die Zuverlässigkeit der nach Bean-spruchungsbeginn entstehenden Abweichungen vonMerkmalswerten einer Baueinheit.

l CRC (Cyclic Redundancy Checks)

CRC bedeutet �Zyklische Redundanzprüfungen�. Dahin-ter steht ein Verfahren, das benutzt wird, um auftreten-de Fehler während einer Datenübertragung zu erken-nen. Bei der CRC-Berechnung wird eine komplexeRechnung durchgeführt. Die übertragenen Informatio-nen werden in die Berechnung mit aufgenommen. DerSender führt diese Berechnung vor der Übertragungdurch und sendet das Ergebnis der Berechnung an denEmpfänger. Nach der Übertragung führt der Empfängerdie gleiche Berechnung durch. Ermitteln Sender undEmpfänger das gleiche Ergebnis, wird davon ausge-gangen, daß die Übertragung fehlerfrei war.

l Diskrepanzzeit

Zeitintervall, in welchem der Toleranzwert erreicht wer-den muß.

1-22 907 PC 338 / Stand: 08.99

l Normalbetrieb

Betriebsart, welche mit einem Schlüsselschalter nachder Inbetriebnahme fest eingestellt wird. Alle geforder-ten und projektierten Sicherheitsfunktionen für dasGesamtsystem sind wirksam.

l Primärschutz

Hochleistungs-Schutzkreise oder Schutzgeräte für dieUnterdrückung von energiereichen Überspannungen aufLeitungen, die die Grundfestigkeit des Betriebsmittelsüberschreiten.

l Redundanz (redundancy)

Vorhandensein von mehr als für die Ausführung der vor-gesehenen Aufgaben an sich notwendigen Mitteln.

l Servicebetrieb

Betriebsart für eingeschränkten Sicherheitsbetrieb,welche mit einem Schlüsselschalter zu Service-, Inbe-triebnahme- oder Testzwecken eingestellt wird.

l Sicherheit (safety)

Sicherheit ist eine Sachlage, bei der das Risiko nichtgrößer als das Grenzrisiko ist.

l Sicherer Zustand

Energetisch niedrigster Zustand, d. h. Abschaltung.

l Sicherheits-DatenformatS-Format

Umsetzung von- Bit-Zuständen in Sicherheitsworte- Wortvariablen in ein Wort Wahr und ein Wort

2er-KomplementBit 0 -> Wort (FFFEH)Bit 1 -> Wort (0001H)Wort n -> wort (n) und wort (-n) (2er-Komplem.)

l Sicherheitsgerichtet (fail safe)

Fähigkeit eines Systems, beim Auftreten eines Aus-falls im sicheren Zustand zu bleiben oder unmittelbarin einen anderen sicheren Zustand überzugehen.

l Sicherheitsklasse

Veralteter Begriff aus der Sicherheitstechnik; heute wirdder Begriff �Anforderungsklasse� verwendet.

l Sicherheitstelegramm (S-Telegramm)

Die Daten der sicherheitsgerichteten E/A-Geräte wei-sen eine spezielle Telegrammstruktur auf. Das S-Tele-gramm enthält im wesentlichen Laufzahl, Moduladres-se, Status-Byte, Daten-Byte und CRC-Wert. Weiterhinist das Format des Sicherheitstelegramms gerätespe-zifisch definiert.

l Softwarefehler (software error)

Abweichungen zwischen den im Programm realisier-ten und den beabsichtigten Programmfunktionen.

l Störung

Beeinträchtigung einer Funktion.

l Verknüpfungselement (VE)

Grafisches Symbol (Baustein) im Funktionsplan bzw.Makro in der komfortablen AWL von 907 PC 338. EinVE enthält Programmcode bzw. dient zur Anspracheeines SPS-Funktionsbausteins und vereinfacht die SPS-Programmierung. Es gibt Hersteller-VEs, die mit907 PC 338 ausgeliefert werden. Der Anwender kannsich auch Anwender-VEs erstellen, die häufig wieder-kehrende Programmpassagen enthalten.

l Zentraleinheit (ZE)

Verarbeitungsteil eines Automatisierungsgerätes.

l Zufallsausfall (random failure)

Ausfall, dessen Eintreten von der Betriebszeit oder vonAusfüllen anderer Betrachtungseinheiten statistischunabhängig ist.

l Zweitfehlereintrittszeit (ZFE)

Vom Prozeß abhängig wird eine Zeitspanne, die Zweit-fehlereintrittszeit (ZFE), festgelegt, innerhalb der mandas Auftreten eines zweiten unabhängigen Fehlers nichtunterstellt.Bei dieser Zeit handelt es sich um eine statistischeGröße.

907 PC 338 / Stand: 08.99 1-3 2

Begriffe für Straßenverkehrs-

Signalanlagen (SVA)

l Straßenverkehrs-Signalanlagen (SVA)

sind Anlagen zur Verkehrslenkung und Verkehrssiche-rung, die mit Hilfe elektrischer Betriebsmittel vorwie-gend optische Signale erzeugen.

l Signale und Zeichen

sind bestimmte, festgelegte Informationen an die Ver-kehrsteilnehmer, wie sie sich verhalten sollen.

l Signalgruppe

Eine Signalgruppe wird von den Signalen einer Verkehrs-richtung eines Knotenpunktes gebildet, die zu jedemZeitpunkt übereinstimmen.

l Signalisierungszustand

Einen Signalisierungszustand bilden alle zum selbenZeitpunkt von einer SVA oder von ihren Teilen gegebe-nen Signale.

Verkehrsgefährdende Signalisierungszuständekönnen entstehen durch Fehler in Plänen und Schalt-unterlagen oder durch Abweichungen von den richtigenPlänen und Schaltunterlagen oder durch Fehler an Be-triebsmitteln, durch Beeinflussung der Datenübertra-gung, durch Signalrichtungsänderung, durch höhereGewalt.

l Signallageplan

Im Signallageplan - kurz Lageplan - sind maßstabge-recht für einen Knotenpunkt die Standorte der Geräteeiner SVA sowie weiterer verkehrstechnisch wichtigerEinrichtungen, insbesondere Verkehrszeichen und Fahr-bahnmarkierungen, eingetragen.

l Signalzeitenplan

Ein Signalzeitenplan - kurz Signalplan - faßt die zurAbwicklung des Verkehrs vorgesehenen Signalzeitenund ihre Abhängigkeit untereinander für die Signalgrup-pen eines Knotenpunktes tabellarisch oder grafischzusammen.

l Sicherungstabelle

In einer Sicherungstabelle sind - getrennt nach Signal-gruppen - alle zueinander verträglichen und unverträgli-chen Verkehrsströme eines Knotenpunktes aufgeführt.Verträgliche Verkehrsströme liegen vor, wenn sie sichaufgrund der Zeit-Weg-Bedingungen nicht kreuzen.

l Signalzeit

Eine Signalzeit ist die Dauer, während der ein bestimm-tes Signal gegeben wird.

l Ersatzbetrieb

ist eine Betriebsart der SVA eines Knotenpunktes nacheinem Ersatzsignalplan bei Ausfall einer übergeordne-ten Steuereinrichtung.

l Signalgeber

Lichtsignalgeber, akustische und taktile Signalgebersind Fernmeldegeräte, die den Verkehrsteilnehmernsichtbare, hörbare oder fühlbare Signale übermitteln.

l Vergleichsschaltungen

stellen mit Hilfe von Meldegliedern das ungewollte Auf-treten, Ausbleiben oder Verschwinden von Signalenfest und leiten mit Hilfe von Auswertegliedern geeigne-te Gegenmaßnahmen selbsttätig ein.

l Verriegelungsschaltungen

sind für sich allein keine Signalisierungseinrichtung. Sieverhindern das Einschalten ungewollter Signale, ohneweiter in den Ablauf der Signalpläne einzugreifen.

l Meldeglieder

sind Einrichtungen, die elektrische, mechanische undoptische Zustände von Betriebsmitteln, vorzugsweisevon solchen für Signalstromkreise, melden und die ge-wonnenen Informationen derart umsetzen, daß sie inVergleichs- oder Verriegelungsschaltungen verarbeitetwerden können.

l Auswerteglieder

sind Einrichtungen mit der Aufgabe, bei Fehlern, dievon Vergleichsschaltungen festgestellt wurden, geeig-nete Maßnahmen durchzuführen.

1-42 907 PC 338 / Stand: 08.99

Prüfungsgrundlagen

Auf Grund der Anwendung des Systems Advant Controller31-S wurde die Prüfung auf Basis folgender Gesetze undRichtlinien durchgeführt:

Europäische Richtlinien sowie nationale Gesetzeund Vorschriften

89/392/EWG1 Richtlinie des Rates fürMaschinen

89/336/EWG2 Richtlinie des Rates über dieelektromagnetische Verträglichkeit

1 Die TÜV PRODUCT SERVICE GMBH ist gemeldete Stelle gemäß der Richtlinie des Rates Nr. 89/392/EWG für Maschinen, notifiziert durch

Veröffentlichung im Amtsblatt der EG mit der Kennummer 0123.

2 TÜV Product Service GmbH ist zuständige Stelle gemäß der Richtlinie des Rates Nr: 89/336/EWG (BMPT VFG. 91/1992) über die elektro-

magnetische Verträglichkeit.

DIN V 19250: 1994 Grundlegende Sicherheits-betrachtungen an MSR-Schutz-einrichtungen; Anforderungs-klasse 4

DIN V VDE 0801: Grundsätze für Rechner in1990 und A1: 1994 Systemen mit Sicherheits-

aufgaben

In Ergänzung und als Präzisierung der gesetzlichen Anfor-derungen sowie der in den EU-Direktiven genannten �Grund-legenden Gesundheits- und Sicherheitsanforderungen�wurde die Prüfung auf Basis folgender weiterer Normenund technischer Regeln durchgeführt:

Anwendungsbezogene Anforderungen

DIN VDE 0116: 1989 Elektrische Ausrüstung anZiffer 8.7 Feuerungen; 10.89

EN 954-1: 1997 Sicherheit von Maschinen:Sicherheitsbezogene Teile vonSteuerungen; Kategorie 3

EN 60204-1: 1998 Sicherheit von Maschinen-Elektrische Ausrüstung vonMaschinen, Teil 1

DIN EN 298: 1993 Feuerungsautomaten für Gas-Ziffer 8, 9, 10 brenner und Gasgeräte mit und

ohne Gebläse

NE31: 1993 Anlagensicherung mit Mitteln derProzeßleittechnik, Klasse AI

DIN VDE 0832: 1990 Straßenverkehrs-Signalanlagen(SVA)

Funktionale Sicherheit

Elektrische Sicherheit und Umgebungs-beeinflußbarkeit

IEC 1131-2: 1995 Programmable controllers -Equipment requirements andtests

DIN EN 50178:1998 Ausrüstung von Starkstroman-lagen mit elektronischenBetriebsmitteln

DIN VDE 0110: 1997 Isolationskoordination für elektri-sche Betriebsmittel in Nieder-spannungsanlagen Teil 1:Grundsätze, Anforderungen undPrüfungen

DIN/IEC 68 Teil 2-1: Grundlegende Umweltprüfver-1985 fahren Konstante Kälte,

Prozedur Aa und Ad

DIN/IEC 68 Teil 2-2: Grundlegende Umweltprüfver-1980 fahren Konstante trockene

Wärme, Prozedur Bc und Bd

IEC 68 Teil 2-14: Grundlegende Umweltprüfver-1987 fahren Temperaturwechsel,

Prozedur Na und Nb

DIN/IEC 68 Teil 2-30: Grundlegende Umweltprüfver-1987 fahren Klimawechselbelastung

DIN/IEC 68 Teil 2-6: Grundlegende Umweltprüfver-1990 fahren Schwingen sinusförmig

IEC 68 Teil 2-27: Grundlegende Umweltprüfver-1989 fahren Schocken

EN 60529: 1991 IP-Schutzart

907 PC 338 / Stand: 08.99 1-5 2

Elektromagnetische Verträglichkeit

Prüfnormen

IEC 1131-2: 1995 Programmable controllers -Equipment requirements andtests

EN 61000-4-4:1995 ImmunityElectrical Fast Transient (EFT)

EN 61000-4-3:1994 ImmunityRadiated Electromagnetic Field(RFI)

EN 61000-4-6:1996 ImmunityConducted Electromagnetic Field

EN 61131-2:1994 ImmunityDamped Oscillatory Field

EN 61131-2:1994 ImmunityThird Harmonic Wave

EN 55011:1991 Emissions; radiated

Qualitätsmanagement bei der Prüfung

QSH IQSE Qualitätssicherungshandbuch(Version 1.4) des IQSE

EN 45001 (05.90) Allgemeine Kriterien zum Betrei-ben von Prüflaboratorien

1-62 907 PC 338 / Stand: 08.99

907 PC 338 / Stand: 08.99 2-1 2

1

2

3

4

5

6

7

8

-

1

2

3

4

5

6

7

-

1

1

2

3

4

5

6

W3 W2 W1S1

S2

S3

S4

A1

A2

A1

A2

G1

G2

G1

G2

2 Grundlagen der sicherheitsgerichteten Automatisierung

Immer höhere Anforderungen werden an die Technik ge-stellt. Auch im Fehlerfall soll sichergestellt sein, daß kei-ne Schäden an Mensch, Maschine und Umwelt entste-hen.

Mit Hilfe eines sicherheitsgerichteten Automatisierungs-systems lassen sich Systeme und Anlagen aufbauen, diediesen Anforderungen genügen. Entsprechende Anlagensind beispielsweise in der chemischen Industrie erforder-lich. Mit dem dezentralen Automatisierungssystem Ad-vant Controller 31-S lassen sich größere und kleinereAnlagen und Maschinen kostengünstig und flexibel ge-gen Gefahren schützen.

Beispiele solcher Anlagen und Maschinen sind:

· Baumaschinen, z. B. Krane

· Hebebühnen

· Kraftbetriebene Tore

· Druckmaschinen

· Tunnelanlagen

· Lagertechnik

· Brenner, Kessel

· Signalanlagen

Es ist empfehlenswert, die Zulassung vorab mit den zu-ständigen Stellen (Berufsgenossenschaften, TÜV, etc.)abzustimmen.

Allgemein gilt, daß sich Maschinen und Anlagen, bei de-nen im Fehlerfall eine Gefährdung - vor allem von Men-schen - nicht ausgeschlossen werden kann, durch dieAdvant Controller 31-S automatisieren lassen.

Um das Gefährdungspotential einer solchen Anlage sy-stematisch zu bewerten und zu klassifizieren, hat mansich in DIN V 19250 auf ein Verfahren verständigt (siehenachfolgendes Bild).

Anforderungsklassen nach DIN V 19250

Risikograph

Risikoparameter:

· Schadensausmaß:S1: leichte VerletzungS2: schwere, irreversible Verletzungen

einer oder mehrerer Personen oderTod einer Person

S3: Tod mehrerer PersonenS4: katastrophale Auswirkung,

sehr viele Tote

· Aufenthaltsdauer:A1: selten bis öfterA2: häufig bis dauernd

· Gefahrenabwendung:G1: möglich unter bestimmten

BedingungenG2: kaum möglich

· Eintrittswahrscheinlichkeit desunerwünschten Ereignisses:W1: sehr geringW2: geringW3: relativ hoch1...8: Anforderungsklassen

2-22 907 PC 338 / Stand: 08.99

2.1 Auswahl

Advant Contoller 31-S ist zugelassen für Sicherheitsan-wendungen bis Anforderungsklasse 4 nach DIN V 19250und bis Kategorie 3 nach DIN EN 954-1. Das bedeutetz. B.:

Wenn es bei einer Maschine im Fehlerfall zum Tod einerPerson kommen kann (Schadensausmaß S2) und sichim Gefährdungsbereich der Maschine öfter oder dauerndMenschen aufhalten (Aufenthaltsdauer A2), so kann dieseine Anwendung für das sicherheitsgerichtete Automati-sierungssystem Advant Controller 31-S sein. Zur Bestim-mung der Anforderungsklasse wird eine Risiko-Abschät-zung durchgeführt, die für viele Maschinen und Anlagenbereits vorgeschrieben ist.

Es ist empfehlenswert, die Zulassung vorab mit den zu-ständigen Stellen (Berufsgenossenschaften, TÜV, etc.)abzustimmen.

Bezüglich des Maximal-Ausbaus der AC31-S (max. zu-lässige Anzahl von E/A-Modulen) siehe Griff 3, Kapitel 3.3�Konfigurationsdaten der E/A-Module�.

2.1.1 Abgrenzung

Der Begriff Sicherheit wird oft durch die auch in Sicher-heitssystemen vorhanden Redundanzen mit dem BegriffVerfügbarkeit oder Zuverlässigkeit verwechselt.

· ZuverlässigkeitUnter Zuverlässigkeit, versteht man die Fähigkeit einerBetrachtungseinheit, die beabsichtigte Funktion unterfestgelegten Bedingungen für einen festgelegten Zeit-raum zu erfüllen.

· SicherheitSicherheit ist eine Sachlage, bei der das Risiko nichtgrößer als das Grenzrisiko ist (aus DIN VDE 31000Teil 2).

· Fail-safeFähigkeit eines technischen Systems, beim Auftretenbestimmter Ausfälle im sicheren Zustand zu bleibenoder unmittelbar in einen anderen sicheren Zustandüberzugehen.

Um den Unterschied deutlich zu machen hier ein kleines,drastisches Beispiel:

In einem Turm gibt es einen Fahrstuhl, dessen Funktiones ist, Personen vom Boden bis an die Spitze und zurückzu befördern.

· Fall a:Dieser Aufzug hat nun die Eigenschaft, daß er zwarüber Jahre ohne jede Reparatur läuft, nur manchmalwird der Weg nach unten im freien Fall zurückgelegt,was dem Fahrstuhl aber nicht schadet (wohl aber denbeförderten Personen). Dieser Fahrstuhl ist extremzuverlässig.

· Fall b:Dieser Aufzug hat die Eigenschaft, daß von Anfang andie Tür am Boden sich nicht öffnen läßt. So ist überJahre hinweg keine Person oder Sache zu Schadengekommen. Dieser Fahrstuhl ist extrem sicher.

Dieses Beispiel zeigt,

· daß es einen Zusammenhang zwischen Sicherheit undVerfügbarkeit gibt und

· daß ein System nur dann anwendungsgerecht ist, wenndas Verhältnis von Sicherheit und Verfügbarkeit richtigausgewogen ist.

Bei der Advant Controller 31-S ist die Erhöhung der Aus-fallrate durch zusätzliche Komponenten klein gehaltenworden, da nur die für die Sicherheit absolut notwendigenTeile des Systems redundant ausgeführt wurden.

907 PC 338 / Stand: 08.99 2-3 2

Zuverlässigkeit (DIN 40041)Eigenschaft eines Bauelementes, Gerätes oder Systems, seineSollfunktionen innerhalb einer gegebenen Zeitdauer zu erfüllen

Zuverlässigkeits-Kenngrößen:

· l-WERTE Ausfallrate· MTBF-WERTE Mittlerer Ausfallabstand (Mean Time Between Failures)· MDT-WERTE Mittlere Ausfalldauer (Mean Down Time)

:· VERFÜGBARKEIT· RISIKO

RISIKO (DIN 31004)

Wahrscheinlichkeit, mit dereine Schutzfunktion versagt

ZIEL: Freisein von Gefahr

SICHERHEIT

VERFÜGBARKEIT (DIN 40041)

Wahrscheinlichkeit, mit derein System funktionsfähig ist

ZIEL: Erhaltung der Funktion

VERFÜGBARKEIT

V =MTBF

MTBF + MDT

Bild: Zusammenhang zwischen Zuverlässigkeit, Sicherheit und Verfügbarkeit

2-42 907 PC 338 / Stand: 08.99

07 KT 93-S

Basic UnitAdvant Controller 31

2.1.2 Eigenschaften der Advant Controller 31-S

· System-Sicherheitskonzept

Aufbauend auf dem bestehenden Standard-System Ad-vant Controller 31, mit dezentralen intelligenten E/A-Mo-dulen, wurde das System weiterentwickelt und um sicher-heitsgerichtete E/A-Komponenten, Software-Kontrollfunk-tionen und Hardware-Hintergrundtests erweitert.

Die sicherheitsgerichteten E/A-Module sind zweikanaligaufgebaut und kommunizieren als dezentrale Module durchein Sicherheitsprotokoll über die 2-Draht-Kommunikations-verbindung (CS31-Systembus) mit der Zentraleinheit.

Das Anwenderprogramm auf der Zentraleinheit besteht ausmindestens zwei Modulen. Im Modul 1 werden ausschließ-lich die sicherheitstechnischen Funktionen bearbeitet.Dabei dürfen auch nur die sicherheitsgerichteten Verknüp-fungselemente (S-VE) verwendet werden. Sie sind durchhochwertige Softwaremaßnahmen gesichert (z. B. diver-sitäre Programmierung).

Im Modul 2 werden die nicht-sicherheitsgerichteten Funk-tionen mit den Standard VE�s projektiert.

907 PC 338inklusive derSicherheits-Verknüpfungs-elemente

CS31-Systembus

Sicherheits-E/A-Geräte

Standard-Vorort-E/A-Module

Bild: Beispiel für eine AC31-S Systemkonfiguration

07 AI 90-S 07 DI 90-S 07 DO 90-S

07 AI 91 07 DC 92

907 PC 338 / Stand: 08.99 2-5 2

· Sicherheitsgerichtete E/A-Komponenten

Zur Ausführung sicherheitsgerichteter Ein-/Ausgaben (di-gital und analog) werden sicherheitsgerichtete Baugrup-pen eingesetzt. Sie sind intern zweikanalig aufgebaut undsichern ihre Funktion durch:

- Vergleichstest zwischen den beiden Kanälen

- ergänzende Selbsttests (Einschalt- und Hintergrund-tests) und

- Plausibilitätstests (Assertions).

· Kommunikation

Sicherheitsgerichtete Ein-/Ausgabebaugruppen sendenund empfangen über den CS31-Systembus Nachrichtenim Sicherheitsformat. Die sicherheitsgerichtete Kommu-nikation erfolgt zyklisch und wird zeitlich überwacht.

· Zentraleinheit

Zur Unterstützung der sicherheitsgerichteten Applikatio-nen wurde die Zentraleinheit der Advant Controller 31 umsicherheitsgerichtete Funktionseinheiten erweitert. DieseErweiterungen sind ausschließlich softwaremäßig imple-mentiert und beinhalten:

- Erweiterung der Entwicklungssoftware zur getrenn-ten Erfassung eines sicherheitsgerichteten Pro-gramm-Moduls im Anwenderprogramm,

- Projektierung der sicherheitsgerichteten Systemfunk-tionen innerhalb der sicherheitsgerichteten Pro-gramm-Module,

- die Vorgabe der ausschließlichen Verwendung sicher-heitsgerichteter Verknüpfungselemente (S-VE) mithohem Sicherheitsstandard, innerhalb der sicher-heitsgerichteten Programm-Module,

· Entwicklungsumgebung, Funktion

Die sicherheitsgerichtete speicherprogrammierbare Steue-rung Advant Controller 31-S wird mit der Entwicklungs-software 907 PC 338 programmiert und parametriert.

Durch einen Vergleicher wird das im Flash-EPROM be-findliche Anwenderprogramm gegen Verfälschung durchdas Programmiergerät gesichert.

Das System umfaßt:

· Spezielle Funktionsbausteine und spezielle Regeln fürdie Programmierung der Zentraleinheit Advant Control-ler 31.

· Funktionsbausteine für Datenein- und -ausgabe, logi-sche und arithmetische Verknüpfungen für den sicher-heitsgerichteten Teil des Anwenderprogrammes z. B.UND-Baustein wird intern als redundanter, diversitärerCode abgelegt (diversitär: UND = ODER mit Negati-on).

· Programmierung über 907 PC 338 (Zusatzdiskette zur907 PC 331) mit einer speziellen VE-Bibliothek für diesicherheitsgerichteten Funktionen.

· Sicherheitshandbuch mit den einzuhaltenden Regeln.

· Sicherheitsgerichtete Ein-/Ausgabemodule am CS31-Systembus.

· Nur eine Zentraleinheit für Betriebs- und Sicherheitssi-gnale. Einsparung von Mehrfachanschlüssen durch si-cherheitsgerichtete E/A-Module.

· Selbstüberwachende E/A-Geräte durch interne Red-undanz (Zweikanaligkeit), Überwachung gegen Draht-bruch, Überspannung, Kurzschluß.

· Kurze Erkennungszeit eines gefährlichen Fehlers (z.B.Ausgang legiert durch, CPU setzt Ausgangsbit falsch).Erreichen eines sicheren Zustandes nach Abschaltunginnerhalb von 200 ms, alle Ausgänge auf Null.

· Wenn es der Prozeß zuläßt, ist für einige Fehler eineprojektierbare Reaktion möglich (z. B. für externe Feh-ler wie Drahtbruch oder Kurzschluß eines Eingabe-Kanals).

· Einfache Programmierung im Funktionsplan durch vor-gefertigte sicherheitsgerichtete Verknüpfungselemen-te.

· Umfangreiche Fehlerdiagnose innerhalb der sicher-heitsgerichteten VE�s.

· Zugangsbeschränkung. Gegebenenfalls sind admini-strative Maßnahmen (z. B. abschließbarer Schalt-schrank) gegen unbefugte Eingriffe (z. B. RUN Modeändern, Programmänderungen) zu ergreifen.

2.1.3 Advant Controller 31-S:Sicherheitsgerichtete, dezentraleAutomatisierung, E/A-Module

· 07 DI 90-S:Binäre Eingabe, 8 Eingänge, 24 V DC, potentialge-trennt gegen CS31-Systembus

· 07 DO 90-S:Binäre Ausgabe, 8 Ausgänge, 24 V DC, 0,5 ATransistorausgänge, kurzschlußfest, potentialge-trennt gegen CS31-Systembus und Versorgungs-spannung

· 07 AI 90-S:Analoge Eingabe, 4 Eingänge, 0/4...20 mA, 12-Bit-Auflösung, potentialgetrennt gegen CS31-Systembus

2-62 907 PC 338 / Stand: 08.99

907 PC 338 / Stand: 08.99 3-1 2

3 Fähigkeitsprofil des Advant Controller 31-S

3.1 Einführung

Der sicherheitsgerichtete Advant Controller 31-S erfüllt dieAnforderungsklasse 4 nach DIN V VDE 0801 �Grundsätzefür Rechner in Systemen mit Sicherheitsaufgaben� mit denanwendungsspezifischen Normen für Krane, Öfen, Boiler/Gasanwendungen und Straßenverkehrs-Signalanlagen(SVA).

Die Kategorie 3 nach DIN EN 854-1 �Sicherheitsanwen-dungen im Maschinenbau� wird ebenfalls erfüllt.

Der AC31-S ist eine einkanalige Steuerung mit dezentra-len zweikanalig aufgebauten sicherheitsgerichteten E/A-Geräten (S-E/A-Geräten).

Sie besteht aus:

· Basissteuerungssystem mit Zentraleinheit und Sicher-heitsanwenderprogramm

· Sicherheits-Ein- und Ausgabegeräte am CS31-Systembus

· nichtsicherheitsgerichtete Module angeschlossenan den CS31-Systembus

3.2 Übersicht über die Sicher-heitsfunktionen des AC31-S

Die Sicherheitsfunktionen werden erreicht durch

- eine spezielle Struktur des Anwenderprogramms,

- sicherheitsgerichtete E/A-Geräte und das

- Zusammenwirken beider.

Die Sicherung des Transportweges wird über in sich CRC-gesicherte Datentelegramme erreicht.

Zu unterscheiden sind dabei Sicherheitsfunktionen von:

Anwenderprogramm und Zusammenwirken mitsicherheitsgerichteten E/A-Geräten

· Sicherheitsgerichtete Verarbeitung der Ein-/Ausgabe-daten im Anwenderprogramm, bestehend aus:- Sicherheitsdaten einlesen- Bearbeiten der Sicherheitsdaten mit

- Dekodieren des Telegrammes- CRC-Prüfung- Laufzahlprüfung- Auswertung der Status-Telegramme der

Sicherheits-E/A-Geräte- Sicherheitsdaten ausgeben

· Das Sicherheitsanwenderprogramm (S-AWP) ist sogestaltet, daß ein interner Fehler zu einem Programm-abbruch führt.

· Hintergrundtest der Zentraleinheit sowie Programmlauf-kontrolle durch Schlüsseldaten.

· Konsistenter Austausch der Sicherheitstelegramme mitden sicherheitsgerichteten E/A-Geräten. Die Telegram-me sind in sich über CRC 8 gesichert.

· Definiertes Einleiten einer Fehlerreaktion nach Auftre-ten von Fehlern auf Sicherheits-E/A-Geräten.

· Zusätzliche Zyklusüberwachung über eine zweite un-abhängige Zeitbasis.

· Nutzung der ABB-Programmiersoftware 907 PC 331mit dem Sicherheitspaket 907 PC 338. Damit erstel-len Sie ein Sicherheitsanwenderprogramm mit Sicher-heits-VEs (S-VEs), die für- spezielle Datenablage,- Redundante Programmierung und- Progammlaufüberwachungsorgen.

· Ausschließliche Verwendung von Sicherheits-Verknüp-fungselementen (S-VEs) im sicherheitsgerichteten Teildes AWPs. Diese S-VEs arbeiten intern redundant unddiversitär und führen bei internen Fehlern zum Pro-grammabbruch.

Durch die redundante Programmierung werden Fehlerim Programmspeicher abgedeckt.

Die diversitäre Programmierung von Funktionen decktVerarbeitungsfehler im Programm auf.

Sicherheitsgerichtete E/A-Geräte

· Jedes sicherheitsgerichtete E/A-Gerät tauscht ein spe-zielles Telegramm mit der AC31-S-Zentraleinheit aus.Das Telegramm hat zusätzliche Funktionen:- CRC (Übertragungsweg und Datenspeicher sichern)- Geräteadresse (Fehladressierung sichern)- Laufzahl (Lebenskennung und Aktualisierung der

Daten).

· Die sicherheitsgerichteten E/A-Geräte sind zweikana-lig aufgebaut und verfügen über Eigenintelligenz, d. h.sie überwachen interne und externe Fehler und sind inder Lage, im Fehlerfall geeignete Maßnahmen bzw.die Sicherheitsreaktion einzuleiten.

3-22 907 PC 338 / Stand: 08.99

Prinzipschaltbild Advant Controller 31-S

Sicherheitsrelevante Zeiten

· Fehlertoleranzzeit: 200 ms

· Zweitfehlereintrittszeit: max. 1 h

ARCNET (nicht sicherheitsgerichtet)

Prozeß E/A's

ARCNET OnboardE/A's

Sicherheits-Anwender-programm

SPS-Betriebs-system

CS31-Bus-

Prozessor

CS31-Systembus

SPS-Speicher

DPR

Nichtsicherheits-E/A-Gerät

Übergabe Sicherheits-an EingabegerätSystembus 07 DI 90-S

Übergabe Sicherheits-an AusgabegerätSystembus 07 DO 90-S

Übergabe Sicherheits-an Analog-Ein-Systembus gabegerät

07 AI 90-S

sicherheitsge-richteter Teil

gesamter Transportweg, mit Sicherheitsprotokoll überlagert sicherheitsge-richteter Teil

Bild: Struktur Advant Controller 31-S

907 PC 338 / Stand: 08.99 4-1 2

4 Anforderungen, Applikationen

Die nachfolgend genannten Applikationen stellen nur eineÜbersicht über mögliche Applikationen dar. In jedem Fallmuß die Übereinstimmung mit den Forderungen der an-wendungsspezifischen Norm nochmals überprüft werden:

· Maschinenbau wie Druck- und Papiermaschinen

· Baumaschinen / Krane

· Hebebühnen

· Bühnen und Studios (Ober-/Untermaschinerie)

· Medizintechnik (mit gewissen Zusatzanforderungen)

· Kraftbetriebene Tore

· Müllkipper/-pressen

· Regalbediengeräte

· Brenner / Feuerungs- und Gasanwendungen / Kessel

· Straßenverkehrs-Signalanlagen (SVA)

· Tunnelanlagen

Es ist empfehlenswert, die Zulassung vorab mit den zu-ständigen Stellen (Berufsgenossenschaften, TÜV, etc.)abzustimmen.

Für weitere Fragen und Informationen wenden Sie sichbitte an das für Sie zuständige Außenbüro der ABB Schalt-und Steuerungstechnik.

4-22 907 PC 338 / Stand: 08.99

ABB Schalt- und Steuerungstechnik GmbHEppelheimer Straße 82 Postfach 10 50 09D-69123 Heidelberg D-69040 Heidelberg

Telefon (06221) 777-0Telefax (06221) 777-111E-Mail desst.helpline@de.abb.comInternet http://www.abb-sst.de Printed in the Federal Republic of Germany (08.99)

Druck auf chlorfrei gebleichtem Papier