Versuch 6: Safety-XY-Tisch - uni-saarland.de · IEC/EN 61508 ist ein weltweit etablierter Standard, der als Basis für für Spezifikation, Entwurf und Betrieb von SIS angesehen werden

Laboranleitung zum Praktikum Automatisierungs- und Energiesysteme

(AEPr)

Versuch 6:

Safety-XY-Tisch

(Stand: 19.04.2018)

Lehrstuhl für

Automatisierungs- und Energiesysteme

Prof. Dr.-Ing. Georg Frey

Lehrstuhl für Automatisierungs- und Energiesysteme Prof. Dr.-Ing. Georg Frey

Inhaltsverzeichnis

1 EINLEITUNG ..................................................................................................................................................... 2

1.1 FUNKTIONALE SICHERHEIT ................................................................................................................................. 2

1.2 SICHERHEITSTECHNISCHE SYSTEME NACH IEC 61508/61511 ............................................................................. 3

1.3 EQUIPMENT UNDER CONTROL (EUC) ................................................................................................................. 4

1.4 SAFETY LIFE CYCLE (SLC) ................................................................................................................................. 4

1.5 GEFÄHRDUNG UND RISIKO .................................................................................................................................. 6

1.5.1 Risikobeurteilung.................................................................................................................................. 6

1.5.2 Grundlegender Prozess der Risikominderung ...................................................................................... 7

1.5.3 Risikominderung und Klassifizierung .................................................................................................. 8

1.6 PROBABILITY OF FAILURE ON DEMAND (PFD) ................................................................................................. 10

1.7 SAFETY INTEGRITY LEVEL (SIL)....................................................................................................................... 11

1.8 RISIKO-GRAPH .................................................................................................................................................. 14

2 PROGRAMMIERBARE SAFETY-STEUERUNG ....................................................................................... 15

2.1 UNTERSCHIED ZWISCHEN STANDARD-SPS UND SAFETY-SPS........................................................................... 16

2.2 SICHERHEITSKRITISCHE ANFORDERUNGEN AN SICHERHEITS-PROGRAMME ...................................................... 18

3 XY-KOORDINATENTISCH ........................................................................................................................... 20

3.1 BESCHREIBUNG DES KOORDINATENTISCHES ..................................................................................................... 20

3.3 BESCHREIBUNG DER SYSTEMKOMPONENTEN .................................................................................................... 24

3.3 SAFETY-SPS: E/A-STRUKTUR .......................................................................................................................... 29

4 VERSUCHSVORBEREITUNG ...................................................................................................................... 30

Aufgabe1: Theoretischer Hintergrund ........................................................................................................ 30

Aufgabe 2: Hintergrund zu Safety-Programmen ......................................................................................... 30

Aufgabe 3: Ermittlung des SIL für den XY-Tisch ........................................................................................ 30

Aufgabe 4: Gefahren und Risiken ermitteln und Entwicklung eines Sicherheitskonzeptes ......................... 31

5 VERSUCHSDURCHFÜHRUNG .................................................................................................................... 34

Aufgabe 1: Konfiguration ............................................................................................................................ 34

Aufgabe 2: Implementierung ....................................................................................................................... 34

Aufgabe 3: Testen der Spezifikation ............................................................................................................ 34

Aufgabe 4: Evaluation ................................................................................................................................. 34

QUELLENVERZEICHNIS ................................................................................................................................ 35

Safety-XY-Tisch - Einleitung Seite 2

1 Einleitung

Diese Versuchsanleitung befasst sich mit Steuerungen von gesamten Systemen oder einzelnen

Einrichtungen, welche Personen, Betriebsausstattung oder die Umwelt vor Schäden schützen, die aus

gefährlichen Zuständen entstehen können. Diese Systeme sind bekannt unter dem Begriff

Sicherheitssystem oder Safety Instrumented Systems (SIS) und umfassen Sensoren, Aktuatoren und

Logiksysteme mit den entsprechenden Schnittstellen zum Anwender und der Hauptprozesssteuerung

(Abbildung 1).

SIS werden formal definiert als:

'Safety instrumented systems are designed to respond to conditions of a plant that may

be hazardous in themselves or if no action were taken could eventually give rise to a

hazard. They must generate the correct outputs to prevent the hazard or mitigate the

consequences' [1]

Abbildung 1: Definition von SIS [1]

Safety Systems Engineering (SSE) beschreibt die systematische Herangehensweise zur Auslegung und

dem Management von SIS und umfasst alle Schritte vom Design bis zur Verwendung von

Sicherheitsfunktionen (Safety Functions), welche Sicherheit in allen Situationen bieten.

1.1 Funktionale Sicherheit

Funktionale Sicherheit (Functional Safety) (FS) ist ein Teil der Gesamtsystemsicherheit, welche eine

korrekte Systemantwort auf Eingangsgrößen gewährleistet, insbesondere bei Ausfall oder Fehlfunktion

von Komponenten, äußeren Störungen oder Fehlbedienung. Das Hauptziel von FS besteht darin das

System frei von nichtakzeptablen Zuständen zu halten, welche Gefahr für Leib und Leben für den

Anwender innerhalb und außerhalb der Systemgrenzen darstellen. Dementsprechend bietet FS einen

wichtigen Beitrag zur Gesamtsystemsicherheit, wie in Abbildung 2 gezeigt wird.


Abbildung 2: Gesamtsystemsicherheit [1]

1.2 Sicherheitstechnische Systeme nach IEC 61508/61511

IEC/EN 61508 ist ein weltweit etablierter Standard, der als Basis für für Spezifikation, Entwurf und

Betrieb von SIS angesehen werden kann. Sie verwendet einen auf der Risikobewertung basierenden

Ansatz. Nach der Abschätzung des Risikos wird das Sicherheits-Integritätslevel (Safety Integrity

Level) (SIL) für Komponenten und Systeme mit Sicherheitsaufgaben ermittelt. SIL-bewertete

Komponenten und Systeme sollen das vorhandene Risiko einer Einrichtung auf ein vertretbares Maß,

das „tolerierbare Risiko“ reduzieren. In der Prozessindustrie existieren eine Vielzahl von nationalen,

Industrie- und unternehmensspezifischen Normen bezüglich Sicherheit, wie bspw. IEC/EN 61511

(Anwender), ISA S84.01 (USA) (Anwender) und IEC/EN 61508 (Produkthersteller) wie in

Abbildung 3 gezeigt wird. Diese Standards sind von den Prozess-Planern und Betreibern zu

implementieren und zu beachten und gelten zu allen anderen relevanten Richtlinien für bspw.

Gesundheit, Energie und Maschinen. Die genannten Normen stellen einen Rahmen im

Sicherheitslebenszyklus dar, d.h. aller Phasen des Lebenszyklus von Sicherheitskomponenten.

Systementwickler für Sicherheitssysteme folgen den Normen der IEC/EN 61511 und verwenden

Komponenten, welche nach IEC/EN 61508 zertifiziert sind.

Abbildung 3: Zusammenhänge von sicherheitstechnischen Standards in der Prozessindustrie [1]


1.3 Equipment Under Control (EUC)

Die IEC-Norm verwendet den Begriff EUC für die gesteuerte Einrichtung, Maschine oder Anlage,

welche für die Fertigung. Stoffumformung, zum Transport aber auch zu medizinischen oder anderen

Tätigkeiten verwendet wird. Dies beinhaltet ebenfalls die Aktivitäten des Bedieners oder Anwenders,

welcher mit den EUC in Interaktion steht, wie in Abbildung 4 zu sehen ist. Dementsprechend werden

nur Risiken, welche als Folge von Fehlbedienung und Systemfehlern auftreten, betrachtet.

Abbildung 4: Equipment Under Control (ECU) [1]

1.4 Safety Life Cycle (SLC)

Sicherheitslebenszyklus (Safety Life Cycle) (SLC) stellt einen Leitfaden dar und deckt alle Aspekte

der Sicherheit ab, einschließlich anfänglicher Konzeption, Entwurf, Durchführung, Installation,

Inbetriebsetzung, Validierung, Instandhaltung und Außerbetriebsetzung der risiko-minimierenden

Maßnahmen. Der Begriff beschreibt eine Reihe von Schritten und Handlungen, die von

unterschiedlichen Personen, Gruppen und Unternehmen beachtet und zur Beurteilung vollständig

dokumentiert werden, damit die Anforderungen der Norm erfüllt werden. Das SLC-Modell ist ein

nützliches Werkzeug in der Entwicklung von sicherheitsrelevanten Steuerungs- und

Regelungssystemen. Es existieren eine Vielzahl von spezifischen Ansätzen. Das Flussdiagramm nach

IEC, welche eine allgemeine Variante darstellt ist in Abbildung 5 dargestellt.

Analytical/Design umfasst die ersten fünf Schritte

Umsetzung/Implementierung umfasst die nächsten acht Schritte

Ausführung umfasst die letzten drei Schritte

Es sei angemerkt, dass die Ausgänge der vorherigen Gruppe die Eingänge der darauffolgenden Gruppe

darstellen.


Abbildung 5: Flussdiagramm der IEC-Version des Safety Life Cycle [2], [3]

Eine detaillierte Ansicht des Blocks 9 für ein Electrical/Electronical/Programmable Electronical

Systems (E/E/PES) wird in Abbildung 6 dargestellt. Hauptsächlich besteht hier das Ziel darin, einen

sicheren Zustand der EUC zu erreichen oder beizubehalten. In einfachen Worten gesagt EUC bezieht

sich auf IEC/EN 61508 während die Prozessplanung der IEC/EN 61511 zugrunde liegt.

Abbildung 6: Safety Life Cycle von E/E/PES [2], [3]

Des

ign

Um

setz

un

g

Ausf

ühru

ng


1.5 Gefährdung und Risiko

Eine Phase des Sicherheitslebenszyklus ist die Analyse der Gefährdungen und der Risiken, die sich aus

der EUC ergeben (vgl. Abbildung 5, Schritt 3). Eine Gefährdung kann dabei definiert werden, als eine

inhärente physikalische Eigenschaft, welche das Potential hat, Schaden an Menschen, Objekten oder

der Umwelt zu verursachen. Der Begriff Risiko ist in den Normen definiert als die Kombination aus

der Wahrscheinlichkeit, mit der einen Schaden verursachende Gefährdung auftritt und dem Ausmaß

des Schadens.

RISIKO =

HÄUFIGKEIT_EINES_GEFÄHRLICHEN_VORFALLS

AUSMAß_DER_GEFÄHRDUNG (1)

1.5.1 Risikobeurteilung

Um Gefahren abzuwehren, müssen deren Ursachen bekannt und vermieden werden. Risiko stellt eine

wichtige Kenngröße zur Gefahrenbeurteilung dar, weshalb Sicherheit auch definiert werden kann als

'Sicherheit ist die Abwesenheit von nicht-tolerierbarem Risiko' [4]. Die Risikobeurteilung stellt hierbei

ein effektives Werkzeug dar, um Gefährdungspotential zu erkennen und zu beurteilen. Die klare

Identifizierung der Gefährdungen und eine Analyse des Risikos ist in der Durchführung am

schwierigsten, besonders, wenn es sich bei dem untersuchten Prozess um einen neuen oder innovativen

Prozess handelt für den noch keine Erfahrungswerte vorliegen. Das Verfahren zur Risikobeurteilung

wird in der IEC 61508 ausführlich beschrieben. Ziel ist es, sicherzustellen, dass das verbleibende

Restrisiko -die Wahrscheinlichkeit, dass trotz der Schutzmaßnahmen ein gefährlicher Vorfall eintreten

kann- kleiner oder gleich dem tolerierbaren Risiko ist. Das ALARP (As Low As Reasonably Practical)

– Prinzip leitet die Planer an, tolerierbare Risikowerte für die Gefahren festzulegen. und kategorisiert

Risiko in drei Klassen:

Vernachlässigbares Risiko

Tolerierbares Risiko

Nicht tolerierbares Risiko

Abbildung 7: ALARP-Prinzip [1]


1.5.2 Grundlegender Prozess der Risikominderung

Abbildung 8: Risikominimierungsmodell [4]

Ermittlung der Maschinencharakteristik: Dieser Schritt befasst sich mit den Eingangs- und

Ausgangsgrößen einer Komponente und den damit eingeschlossenen Kenngrößen, wie bspw.

Arbeitsbereich oder Arbeitsgeschwindigkeit.

Gefährdungsermittlung: Die Gefährdungsermittlung erfolgt in unmittelbarem Umfeld der

betrachteten Komponenten. In diesem Schritt wird das Komponentenverhalten und bereits

installierte Schutzschaltungen unabhängig voneinander analysiert. Dabei werden die einzelnen

Gefahren aufgezeigt und Zusammenhänge zwischen ihnen dargestellt. Weltweit wird eine

Vielzahl von Methoden zur Gefährdungsermittlung verwendet. Zu diesen zählen Techniken

wie z.B.

‒ HAZOP (HAZard and Operability) study

‒ FME(C)A (Failure Mode Effect (and Criticality) Analysis)

‒ FMEDA (Failure Mode Effect and Diagnostics Analysis)

sowie weitere Studien, Checklisten, Tabellen und Rastermethoden.

Risikoermittlung: Die Risikoermittlung erfordert die Berechnung von Kennzahlen zur

einfachen Analyse und Vergleichbarkeit. Hierzu haben sich Techniken wie Risikographen,

Saety Integrity Level (SIL) und Probability of Failure on Demand (PFD) etabliert, welche in

den nächsten Kapiteln besprochen werden.

Risikominderung: Die Konzeperionierung von Schutzmaßnahmen in mehreren Schichten

kann das Auftreten von Gefahrensituationen teilweise bereits in der Entstehungsphase

vermeiden und deren Auswirkungen vermindern. Die Wirkung der Maßnahmen muss darin

bestehen, eine „tatsächliche Risikominderung“ zu erreichen, die größer gleich der notwendigen

Risikomonderung ist.

Ermittlung der Systemkomponentencharakteristik

Gefährdungsermittlung

Risikoermittlung

Risiko-

bewertung

Risikominderung

Risikominderung

für einzelne

Gefährdung

abgeschlossen

nächste

Gefährdung

nicht-tolerierbar

tolerierbar


1.5.3 Risikominderung und Klassifizierung

Abbildung 9 veranschaulicht das Konzept aus der IEC 61508, wie das Risiko, das durch eine EUC

entsteht, durch eine „notwendige Risikominderung“ auf ein tolerierbares Niveau reduziert wird. Die

Risikominderung kann durch eine Kombination verschiedener Komponenten mit entsprechender

Risikominderungsfunktion erreicht werden, statt nur von einem sicherheitstechnischen System

abzuhängen, und kann auch organisatorische Maßnahmen umfassen. Ähnlich zur ALARP werden drei

Risikoeinstufungen vorgenommen: EUC-Risiko, welches durch das Steuerungssystem und dem

Anwender verursacht wird, toleriersbares Risiko und Restrisiko, welches auch nach dem Einsatz von

sicherheitstechnischen Systemen weiter bestehen bleibt.

Abbildung 9: Risikominderung - Grundlegendes Konzept [2]

Im Gegensatz zu physikalischen Größen kann Risiko nicht mit festen Einheiten gemessen werden, noch

existiert eine universelle Risikoskala, da Industriezweige unterschiedliche branchenspezifische

Klassifizierungen von Risiken vornehmen. Die IEC bietet allerdings eine allgemeine Herangehensweise

zur Risikoklassifizierung welche für die meisten Situationen angepasst werden kann. Tabelle 1 ist dem

Anhang B der IEC 61508 entnommen.

Tabelle 1: Beispiel einer allgemeinen Risikoklassifizierung [2]

Necessary Risk Reduction

𝑭𝒏𝒑 𝑪


Die verallgemeinerte Risikoklassifizierung nach Tabelle 1 funktioniert in folgender Art und Weise:

Ermittlung der Häufigkeit einer Gefährdung (𝐹𝑛𝑝) durch ein EUC ohne Schutzeinrichtungen

Ermittlung der daraus resultierenden Ausmaßes der Gefährdung (𝐶)

Ermittlung des Risikos unter Verwendung der Tabelle 1

Falls die Risikoklasse I oder II beträgt sind weitere Schutzeinrichtungen zur Risikominderung

einzusetzen. Klasse III bedarf einer weiter differenzierten Untersuchung der Prozesse, während Klasse

IV als tolerierbares Risiko angesehen werden kann.

Nachdem die Riskoklassifizierung nach der oben allgemein beschriebenen Methode erfolgt ist

(Gleichung 2), muss festgestellt werden, um welchen Faktor das Risiko bis zu einem tolerierbaren Wert

gesenkt werden muss (Gleichung 3). Der Anteil der Zeit, die eine Schutzeinrichtung funktionsfähig sein

muss, um die geforderte Risikominderung zu erreichen, wird als Verfügbarkeit der Schutzeinrichtung

(Safety Availabilty) bezeichnet (Gleichung 4)

Risiko (𝑅) 𝑅 = 𝐹𝑛𝑝 ⋅ 𝐶 (2)

Risikoreduktionsfaktor (𝑅𝑅𝐹) 𝑅𝑅𝐹 =𝐹𝑛𝑝

𝐹𝑡 (3)

Verfügbarkeit der Schutzeinrichtung (𝑆𝐴) [%]: 𝑆𝐴 = (𝑅𝑅𝐹 − 1) ⋅100

𝑅𝑅𝐹 (4)

mit

𝐹𝑡 : Häufigkeit der auftretenden tolerierbaren Gefährdung

𝐹𝑛𝑝 : Häufigkeit der auftretenden Gefährdung ohne Schutzeinrichtung

Wie bereits gesagt, ist es sinnvoll die Risikominderung durch eine Serie mehrerer aufeinander folgender

Schutzeinrichtungen (Layers of Protection) mit entsprechender Risikominderungsfunktion zu

erreichen. Hierbei errechnet sich der resultierende Gesamt-RRF durch die Multiplikation der RRF der

einzelnen Schutzeinrichtungen (Abbildung 10).

Abbildung 10: Allgemeines Risikominderungsmodell [1]


1.6 Probability of Failure on Demand (PFD)

Sicherheitssysteme sind oft so ausgelegt, dass sie im Hintergrund arbeiten, Prozesse überwachen, aber

nicht eingreifen sofern keine Sicherheitsgrenzen überschritten werden. Es stellt sich die Frage: Wie

hoch ist die Wahrscheinlichkeit, dass eine Schutzeinrichtung einen gefährlichen Zustand nicht erkennt,

die Schutzfunktion also ein Fehlverhalten aufweist?

Die IEC unterscheidet zwei Operationmdi für eine Sicherheitsfunktion, High-Demand- und Low-

Demand Modus. Im Low-Demand-Modus ist die Anforderung der Schutzfunktion maximal einmal im

Jahr, während diese im High-Demand-Modus größer als eins ist.

Als Kenngröße für die Nichtverfügbarkeit einer Schutzfunktion im Low-Demand-Modus dient die PFD

(Probability of dangerous Failure on Demand). Da die Wahrscheinlichkeit eines Systemfehlverhaltens

jedoch von der Testdauer abhängt, d. h. schwankt, wird die durchschnittliche Wahrscheinlichkeit eines

Fehlers in der Schutzfunktion im Anforderungsfall (average PFD) (𝑃𝐹𝐷𝑎𝑣𝑔) verwendet. 𝑃𝐹𝐷𝑎𝑣𝑔 wird

auch als Fractional Dead Time (𝐹𝐷𝑇) bezeichnet (Abbildung 11).

Im High-Demand-Modus, auch als kontinuerlicher Modus bezeichnet, wird der Begriff Probability of

dangerous Failure per Hour (𝑃𝐹𝐻) verwendet.

Nachfolgend wir nur der Low-Demand-Modus betrachtet und es gelten folgende Zusammenhänge:

Verfügbarkeit der Schutzeinrichtung (𝑆𝐴) [%]: 𝑆𝐴 = 1 − 𝑃𝐹𝐷𝑎𝑣𝑔 (5)

Probability of Failure on Demand [%]: 𝑃𝐹𝐷𝑎𝑣𝑔 =1

𝑅𝑅𝐹=

𝐹𝑝

𝐹𝑛𝑝 (6)

mit

𝐹𝑝 = Häufigkeit der auftretenden Gefährdung mit Schutzeinrichtung

Abbildung 11: PFDavg [1]


1.7 Safety Integrity Level (SIL)

Im Sicherheitslebenszyklus ergibt sich die Notwendigkeit der Risikominderung, welche als Ableitung

der Sicherheitsanforderungen identifiziert wird. Die in den Sicherheitsanforderungen beschriebenen

Gesamtmethoden und -mechanismen werden in spezifische sicherheitstechnische Funktionen zur

Erfüllung der definierten Aufgaben aufgegliedert. Daneben ist ein Maß für die Zuverlässigkeit oder

Integrität der sicherheitstechnischen Funktionien, neben der Zurodnung der gesamten

Sicherheitsanforderungen zu spezifischen sicherheitstechnischen Funktionen erforderlich. Das Maß, in

wie weit man darauf vertrauen kann, das seine sicherheitstechnische Einrichtung die korrekte Funktion

erbringt, falls sie benötigt wird, wir als Sicherheits-Integritätslevel (SIL) bezeichnet und ist abgestuft.

Genauer lässt sich die Sicherheitsintegrität eines Systems definieren als:

"die Wahrscheinlichkeit, dass ein sicherheitstechnisches System die

erforderliche sicherheitstechnische Funktion unter allen festgelegten

Bedingungen innerhalb eines festgelegten Zeitraumes ausführt."

Damit umfasst die Spezifikation der sicherheitstechnischen Funktion sowohl die Zeit, die für

die Reaktion auf das Vorliegen bestimmter Bedingungen benötigt wird, als auch die

Maßnahmen die dabei zu ergreifen sind. SIL gilt als Maß für die Zuverlässigkeit der

sicherheitstechnischen Funktion, die gemäß der Spezifikation arbeitet. Da es einfacher ist, die

möglichen Bedingungen und Ursachen, die zum Ausfall oder Versagen einer

sicherheitstechnischen Funktion führen, zu identifizieren und zu quantifizieren, als die

gewünschte Aktion einer aufgerufenen sicherheitstechnischen Funktion zu garantieren, wir

auf die Wahrscheinlichkeit des gefährlichen Versagens –im Grunde der Kehrwehrt der SIL-

Definition- geachtet. Das Vorgehen zur Bestimmung der SIL wird in Abbildung 12 gezeigt

(vergleiche auch Abbildung 10 und Tabelle 2).

Abbildung 12: Bestimmung der SIL [1]

Other External SIS


Vergleichbar mit 𝑃𝐹𝐷𝑎𝑣𝑔/ 𝐹𝑃𝐻 unterscheidet man auch bei der SIL je nach dem Dienst, den die

sicherheitstechnische Funktion leistet, zwei Klassen:

Im Demand Mode, wenn sicherheitstechnische Funktion bei Aufforderung aktiviert wird,

wird die Ausfallwahrscheinlichkeit der Funktion im Anforderungsfall angegeben

Im Continuous Mode, wenn sicherheitstechnische Funktion kontinuierlich aktiv ist, wird die

Wahrscheinlichkeit eines Gefahr bringenden Ausfalls innerhalb einer vorgegebenen

Zeitspanne (pro Stunde) angegeben.

Die Ausfallwahrscheinlichkeiten sind für vier Sicherheits-Integritätslevel festgelegt (Tabelle 2).

Tabelle 2: Ausfallwahrscheinlichkeit und SIL [5]

Ein sicherheitstechnisches System besteht aus einer oder mehreren sicherheitstechnischen Funktionen,

für die jeweils eine eigene SIL-Anforderung gilt.

Sowohl organisatorische Maßnahmen des Managements als auch technische Maßnahmen sind

erforderlich, um eine gegebene Sicherheitsintegrität zu erreichen. Ein SIL wird einer sichertechnischen

Funktion zugeordnet, die verschiedene Funktionsbaugruppen umfasst, mit denen Systeme beschrieben

werden (z.B. Sensoren, Logic Solver, Aktoren).

Systeme haben eine „SIL-beschränkende Wirkung“, d.h. eine sicherheitstechnische Funktion wird

durch den kleinsten SIL beschränkt.

Um den SIL eines Systems zu erhöhen, können zum einen Systemkomponenten durch andere mit einem

höheren SIL ersetzt werden. Eine andere Möglichkeit ist die parallele Verschaltung mehrerer

Komponenten, d.h. die Errichtung eines redundanten Betriebs (Abbildung 13).


Abbildung 13: Beispiel für redundantes Eingangsleitsystem [5]

Jedoch kann man nicht uneingeschränkt sagen, dass ein redundanter Betrieb automatisch zu einem

höheren SIL führt.

SIL kann bei Bestimmung unterschiedlicher Kenngrößen berechnet werden (Tabelle 3).

Tabelle 3: Bestimmung der SIL [1]


1.8 Risiko-Graph

Verbindung von Risiko und Sicherheits-Integritätslevel

Bis jetzt wurden kurz die Konzepte Risiko, Notwendigkeit der Risikominderung durch

sicherheitstechnische Funktionen und die Anforderungen an die Integrität dieser sicherheitstechnischen

Funktionen behandelt. Der auf der IEC/EN 61508 basierende Risikograph in Abbildung 14 ist eine

Möglichkeit, um eine Verbindung zwischen den Risikoparametern und dem SIL für die

sicherheitstechnischen Funktionen herzustellen.

Abbildung 14: Risiko-Graph [6]

S2

S3

S4

A1

A2

A1

A2

G1

G2

G1

G2

S1ohne PLT-

Schutzeinrichtung

W3 W2 W1

1SIL 1

SIL 2

SIL 3

SIL 4

--

*

-

-

S2

S3

S4

A1

A2

A1

A2

G1

G2

G1

G2

S1ohne PLT-

Schutzeinrichtung

W3 W2 W1

1SIL 1

SIL 2

SIL 3

SIL 4

--

*

-

-

Schadensausmaß S: • S1: leichte Verletzung einer Person; kleinere

schädliche Umwelteinflüsse • S2: schwere irreversible Verletzung einer oder

mehrerer Personen oder Tod einer Person; vorübergehende größere schädliche Umwelteinflüsse

• S3: Tod mehrerer Personen; lang andauernde größere schädliche Umwelteinflüsse

• S4: katastrophale Auswirkungen; sehr viele Tote Aufenthaltsdauer A:

• A1: selten bis öfter • A2: häufig bis dauernd

Gefahrenabwendung G: • G1: möglich unter bestimmten Bedingungen • G2: kaum möglich

Eintrittswahrscheinlichkeit W: • W1: sehr gering • W2: gering • W3: relativ hoch

Safety-XY-Table – Programmierbare Safety-Steuerung Seite 15

2 Programmierbare Safety-Steuerung

In komplexen Maschinen und weit verzweigten Anlagen übernehmen die programmierbaren

Steuerungssysteme (programmable Safety Control System) (PSS) die Überwachung

sicherheitsgerichteter Funktionen und/oder die komplette Maschinensteuerung.

Sicherheitssteuerungen entstanden im Grunde aus dem Wunsch heraus, ähnlich wie bei einer SPS-

Steuerung per Programmierung verschalten zu können und daher dem Programmiermuster der SPS-

Welt folgen. Am Anfang standen zentrale, später auch dezentrale Systeme in Verbindung mit sicheren

Bussystemen. Die Programmierung folgte demselben Schema, nur den Befehlssatz reduzierte man von

Beginn an drastisch auf wenige Sprachen, um der Sicherheit wegen, Fehler bei der Programmerstellung

von Anfang an zu minimieren.

Ein sicheres Steuerungssystem ist prinzipiell wie folgt aufgebaut (Abbildung 15) [7]:

Zwei getrennte Kanäle

Diversitärer Aufbau mit unterschiedlicher Hardware

Ständiger Test der Ein- und Ausgänge

Ständiger Vergleich der Anwenderdaten

Spannungs- und Zeitüberwachungen

Sichere Abschaltung im Fehler-/Gefahrenfall

Abbildung 15: Prinzipaufbau eines sicheren Steuerungssystems

Channel

A

Channel

B

DPR

Cross Check

Flag

Counter

&

PII PII

PIO PIO


2.1 Unterschied zwischen Standard-SPS und Safety-SPS

Im Kern besteht eine Sicherheitssteuerung quasi aus zwei SPS-Steuerungen, die ein

Anwendungsprogramm parallel abarbeiten, dasselbe Prozessabbild der Ein-/Ausgänge nutzen und sich

ständig abgleichen. Dies ist ein komplexer Prozess: Quervergleiche, Tests der Ein-/Ausgangsebene,

Ermittlung eines gemeinsamen gültigen Ergebnisses usw. Dies sind alles vielschichtige Vorgänge, die

solche Systeme intern aufwändig darstellen, wovon der Anwender letztlich wenig mitbekommt. Im

Wesenglichen lässt sich das Design einer Standard-SPS von einer Safety-SPS in drei Punkten

unterscheiden. Diese sind Systemarchitektur, Eingangsschaltung und Ausgangsschaltung, welche

nachfolgend kurz erläutert werden [8].

Architektur: Es werden mehrere Mikroprozessoren zur Verarbeitung von E/A,

Speicher und Sicherheitskommunikation verwendet. Überwachungsschaltkreise

führen Diagnoseanalysen aus. Einer der beiden Mikroprozessoren kann die

Sicherheitsfunktion ausführen wobei umfangreiche Diagnosefunktionen ausgeführt

werden, um sicherzustellen, dass beide Mikroprozessoren synchron arbeiten

(Abbildung 16).

Abbildung 16: Safety-SPS-Architektur [8]

Eingänge: Darüber hinaus wird jede Eingangsschaltung in jeder Sekunde

zahlreichen internen Tests unterzogen, wodurch ihre ordnungsgemäße Funktion

sichergestellt wird. Auch wenn man bspw. einen Not-Halt-Schalter nur einmal im

Monat betätigt, so wurde sein Schaltkreis bis zu diesem Zeitpunkt kontinuierlich

getestet, während das Not-Halt-Signal in der Sicherheits-SPS richtig erkannt wird

(Abbildung 17).


Abbildung 17: Blockdiagramm mit Sicherheitseingangsmodul [8]

Ausgänge: Ausgänge von Sicherheits-SPS sind elektromechanische Ausgänge oder

elektronische Sicherheitsausgänge. In Abbildung 18 sind mehrere Schalter in jeder

Ausgangsschaltung einer Sicherheits-SPS dargestellt. Genau wie die

Eingangsschaltungen werden auch die Ausgangsschaltungen mehrmals pro Sekunde

getestet, um sicherzustellen, dass sie den Ausgang deaktivieren können. Wenn bei

einem der drei Ausgänge ein Fehler auftritt, wird dieser von den beiden anderen

Ausgängen deaktiviert und der Fehler wird vom internen Überwachungsschaltkreis

gemeldet.

Abbildung 18: Blockdiagramm des Sicherheits-Ausgangsmoduls [8]

Im Durchschnitt kostet eine Safety-SPS etwa 20% bis 30% mehr al seine Standard-SPS. Im Vergleich

zu mehreren untereinander verschalteten Standard-SPS ergeben sich jedoch Vorteile im

Verschaltungsaufwand und der Flexibilität.


2.2 Sicherheitskritische Anforderungen an Sicherheits-Programme

Sicherheits-Programme müssen die folgenden Eigenschaften besitzen:

Es dürfen keine systematischen Fehler vorliegen

Fehlerfreier Programmablauf und Monitoring sollte garantiert sein

Einschränken der Programmiermöglichkeiten

Absicherung gegen Programmänderungen

Festgelegtes Verhalten im Fall von Hardwarefehlverhalten

Möglichkeit besitzen, alle vorhersehbaren Logikkombinationen zu

Festgelegte Fehlerbehandlung bei unvorhersebaren Fehlern

Wiederverwendung von Programmteilen in neuen

Für ein sicheres Programm ist es bei der Inbetriebnahme wichtig, dass der Anwender eine Rückmeldung

über die aktuellen E/A-Werte erhält, wodurch die Fehlersuche vereinfacht wird. Durch die Verwendung

von verifizierten und validierten Programmbausteinen wird es ermöglicht, dass zu einen Programmteile

wiederverwendet werden können und gleichzeitig der Testaufwand reduziert und die Systemsicherheit

gewährleistet wird. Für den Software-SLC zeigt Abbildung 19 ein vereinfachtes Validierungsmodell

[6,9].

Abbildung 19: Vereinfachtes Validierungs-Modell


2.3 Standardisierung der Safety-Software

Eine kurze Einführung in PLCopen

Anwender und Hersteller sehen sich mit unzähligen Safety-relevanten Standards konfrontiert. Es ist

nahezu unmöglich, all diese Standards zu kenne oder gar zu implementieren ohne dass Funktionalität

und Performance darunter leiden.

Namhafte Firmen haben sich deshalb unter dem Dach der PLCopen TC5 (Technical Commitee) die

Aufgabe gestellt, das Thema Sicherheitsrelevante Programmierung für den Anwender praxistauglich

und sicherer zu gestalten.

Dabei versuchte man die Anwendbarkeit so einfach wie möglich zu gestalten, um die Gefahr für

Mensch und Maschine zu minimieren. Ein wesentlicher Ansatz hierbei ist, Safety-Funktionalitäten auf

einer höheren Ebene zur Verfügung zu stellen, damit der Anwender unabhängig von

herstellerspezifischen Implementierungsmethoden ist. Im Zuge dessen ist eine Vielzahl von

standardisierten Funktionsbausteinen entwickelt, die dem Anwender sicherheitsbezogene

Grundfunktionen bereitstellen, die lediglich verbunden werden müssen. Man beschränkt sich dabei auf

die grafische Programmiersprache IEC61131-3, um die Lesbarkeit der Programme zu vereinfachen. In

2006 wurden 20 Safety-Function-Blöcke von der PLCopen veröffentlicht [10,11].

Diese sollen Ihnen im Rahmend es Praktikums als Grundlage für die Implementierung der Safety-

Funktionalitäten im XY-Tisch dienen (Anhang B, S.26ff)

.

Safety-XY-Tisch – XY-Koordinatentisch Seite 20

3 XY-Koordinatentisch

3.1 Beschreibung des Koordinatentisches

Bei dem mechatronischen System XY-Koordinatentisch (Abbildung 20) können zwei

Hauptbestandteile unterschieden werden. Zum einen der Koordinatentisch, umgeben von einem

Plexiglas-Schutzgehäuse, und zum anderen der Schaltschrank, der die elektronischen Steuerungen und

Module beherbergt. Das Schutzgehäuse des Tisches lässt sich über zwei Schiebetüren an der Oberseite

öffnen, wenn die Verriegelung der Sicherheitsschalter nicht aktiv ist. Ein Lichtvorhang im Inneren

überwacht, ob der Maschinenbenutzer im Gefahrenbereich tätig ist.

Abbildung 20: XY-Koordinatentisch mit Schaltschrank [12]

An der Front des Schaltschranks (Abbildung 21) sind eine Reihe von Tastern und Schaltern angebracht,

mit denen der Bediener den Koordinatentisch steuern kann. Über den Schalter S4 (Manuell/Automatik)

lässt sich der Betriebsmodus umschalten. Ist der Automatikmodus aktiv, erfolgt die Bewegungsvorgabe

durch die speicherprogrammierbare Steuerung (SPS), im manuellen Modus mithilfe der Schalter S12-

S15 durch den Benutzer. S13 und S15 bestimmen dabei die Drehrichtung der beiden Motoren und

S12/S14 startet bzw. stoppt den Bewegungsvorgang mit einer definierten Geschwindigkeit. Der Taster

S5 (Not-Aus) stoppt beim Betätigen die Motoren und trennt sie von der Spannungsversorgung. Ein

Zurücksetzen von Fehlerzuständen der Antriebe erfolgt durch S16, ein Reset der Sicherheits-SPS ist

mittels S17 nach dem Eintreten von unsicheren Zuständen notwendig.


Abbildung 21:Schaltschrank Front [12]

Im Inneren des Schaltschranks (Abbildung 22) befindet sich eine Siemens SPS, die für Positions- und

Bewegungssteuerung der Achsen im Automatikmodus verantwortlich ist. Sie besteht aus einem

Industrie-PC (Microbox 420 T), dem dezentralen Peripheriesystem ET200s, das Ein- und Ausgänge

verwaltet, und den Frequenzumrichtern SINAMICS S120, welche die beiden Servomotoren des

Koordinatentisches ansteuern. Die Sicherheitsüberwachung erfolgt durch eine sicherheitsgerichtete

speicherprogrammierbare Steuerung (Baumüller bmaXX safe PLC), welche über die Terminalmodule

TM54F mit den Motorsteuerungen S120 kommunizieren kann.

Abbildung 22: Schaltschrank Innen [12]

Die beiden Hauptkomponenten des Schaltschranks, Standard-SPS und Safety-SPS, arbeiten

größtenteils unabhängig voneinander und sind nicht direkt miteinander verbunden (Abbildung 23). Das

Einrichten und Programmieren beider Steuerungen erfolgt über die Ethernetschnittstelle. Mit der

Software Siemens Step 7 lassen sich die Antriebskomponenten der Standard-SPS Microbox WinLC T

projektieren und konfigurieren. Das Einrichten der Safe-PLC (Baumüller bmaXX) erfolgt über die

Software ProMaster und Prosafety im Rahmen dieses Praktikums. Die Bestandteile der Standard-PLC,


dezentrales Peripherie-Modul ET200s und die Frequenzumrichter S120, kommunizieren mittels eines

konfigurierten Telegrammtyps über die Profibus-DP-Schnittstelle mit der Microbox-Steuerung. Das

Schnittstellen-Modul ET200s sendet die Signalzustände seiner Eingänge und empfängt die Stellgrößen

der Ausgänge. Die Motoransteuerungen S120 empfangen Sollgrößen für die Antriebe und geben Ist-

Zustände an die SPS zurück. Aufbau und Inhalt der Telegramme können vom Benutzer angepasst

werden.

Die SINAMICS S120-Module, zusammen mit der Control-Unit CU-310, sind das Bindeglied zwischen

Steuerung und Aktorik. Sie führen jedoch nicht nur die Befehle der Antriebs-SPS aus, sondern

unterstützen auch Überwachungsfunktionen, die sie autonom ausführen. Zu diesen zählen

beispielsweise die Safety integrated functions oder eine Drehmoment-Überwachung.

Das Ein- und Ausschalten dieser Überwachungsfunktionen kann von der Standard-SPS über ein

PROFISAFE-Protokoll erfolgen oder, wie in diesem Fall, von einer gesonderten sicherheitsgerichteten

speicherprogrammierbaren Steuerung (Safety-SPS).

An die Zuverlässigkeit der Kommunikation zwischen Safety-SPS und Motoransteuerungen werden

hohe Anforderungen gestellt, da sie für die korrekte Funktion der Sicherheitsfunktionen entscheidend

ist. Die sichere Kommunikation wird durch die Terminalmodule TM54F gewährleistet. Sie untersuchen

die Signale zwischen Safety-SPS und S120-Modulen auf Konsistenz und schalten die Antriebe bei

einem Übertragungsfehler ab.

Die Safety-SPS analysiert anhand von Sensordaten, ob eine Gefahrensituation vorliegt. Dafür werden

die Signale der zwei Sicherheitsschalter an der Schutztür von dem sicheren Eingangsmodul SI4000

ausgelesen. Sie informieren darüber, ob die Verriegelung der Türen aktiv ist und ob beide Türen

ordnungsgemäß geschlossen sind. Ein Lichtvorhang im Inneren des Schutzgehäuses detektiert

außerdem, ob der Bediener im Gefahrenbereich tätig ist. Als weiterer Sicherheitssensor wird der Not-

Aus-Taster an der Schaltschranktür ausgelesen. Neben den Sensoreingängen spielt auch die

Rückmeldung der Antriebsmodule eine wichtige Rolle. Sie garantieren der Safety-SPS den korrekten

Aufruf der internen Sicherheitsfunktionen. Über das SO4000-Modul setzt die Safety-SPS ihre

Ausgänge. Mit ihnen werden die Zuhaltungen der Sicherheitsschalter und die Sicherheits-Befehle an

die SINAMICS S120 Module gesteuert.


Abbildung 23: Gesamtaufbau des Koordinatentisches [12]


3.3 Beschreibung der Systemkomponenten

Abbildung 24: links: Microbox 420 T; rechts: ET200s mit IM151 [12

Microbox 420 T

Die Microbox T (Abbildung 24) ist eine Hardware-/Software-Kombination, die sich aus dem Industrie-

PC-System Microbox und der PC-basierten Steuerung WinLC T zusammensetzt. WinLC T ist ein

Softwarepaket und beinhaltet neben der programmierbaren Steuerung auch die Möglichkeit, externe

Hardware zu konfigurieren (Integrierte Motion-Control, Technologieobjekte, Achskonfiguration). Das

Ansprechen der dezentralen Peripherie erfolgt über die Profibus DP Schnittstelle. Der Benutzer greift

über die Ethernet-Schnittstelle von einem externen PC (Programmiergerät PG) mit der Software Step7

auf die Microbox zu und kann Projekte auf die interne Speicherkarte laden. Alternativ kann die Soft-

SPS auch direkt an der Microbox programmiert werden, wenn Monitor und Eingabegeräte

angeschlossen werden. Im Fehlerfall ist die Debug-Ausgabe über einen Monitor äußerst nützlich. Über

eine Ethernet- Remotedesktopverbindung lässt sich das SPS-Programm zudem auch ohne Step-7

steuern.

Dezentrales Peripheriesystem ET200s mit Inerfacemodul IM151

Das dezentrale Peripheriesystem ET200s (Abbildung 24) ist über die Profibus-Schnittstelle mit der

Microbox verbunden und bildet mit der Interfacekomponente IM151 das Bindeglied zwischen der SPS

und den Peripheriegeräten. Es liest die Eingänge, schickt deren Werte an die Microbox und erhält von

ihr die Stellwerte für die Ausgänge.

Folgende Ein-/Ausgänge sind vorhanden:

10x 4-Kanal Digitaleingang 4DI DC24V ST

5x 2-Kanal Digitalausgang 2DO DC24V/0.5A ST

4x 2-Kanal Analogeingang 2AI U ST

4x 2-Kanal Analogausgang 2AO U ST

2x Spannungsversorgungsmodul PM-E DC24V


Abbildung 25: links: Servoantriebe SINAMICS S120, rechts: Synchronmotor 1FK7 für Y-Achse

Servoantrieb SINAMICS S120

Die Frequenzumrichter S120 (kombiniert mit der Control-Unit CU310 DP, Abbildung 25) erhalten über

Profibus DP von der SPS Befehle für die beiden Achsen und setzen diese mit ihrer Leistungselektronik

in eine Ansteuerung der Antriebe um. Eine Lageregelung gibt dabei Rückmeldung an WinLC T. Neben

dem Ausführen von Bewegungsbefehlen der SPS bietet das Modul integrierte Sicherheitsfunktionen,

die über die Eingänge des Terminalmoduls TM54F aufgerufen werden können. Diese werden

unabhängig von der Microbox-Steuerung ausgeführt.

Servomotoren 1FK7

Der Koordinatentisch verfügt über zwei kompakte Servoantriebe vom Typ 1FK7 (Abbildung 8). Da der

Servomotor der X-Achse den kompletten Aufbau für die Y-Achse mitbewegen muss, ist er wesentlich

größer dimensioniert. Die Motoren besitzen eine Messeinrichtung (Inkrementalgeber) für die

zurückgelegte Strecke; mithilfe einer Regelung erfolgt das Anfahren und Beibehalten des Sollwerts.

x-Achse:

Bezeichnung 1FK7042-5AK71-1DG0

Stillstandsmoment 3,0 Nm

Stillstandsstrom 4,4 A

y-Achse:

Bezeichnung 1FK7032-5AK71-1DG0

Stillstandsmoment 1,1 Nm

Stillstandsstrom 1,7 A


Abbildung 26: Safety PLC (v.l.n.r.: Ethernetmodul ECT-02, Controller SAF-02, Speicherkartenmodul CFI-01,

Ein-/Ausgangsmodul PSB 02) [12]

Safety-SPS‘Baumüller b maXX safePLC

Zusätzlich zur eigentlichen SPS mit dem Verfahrprogramm wurde der Koordinatentisch um eine

sicherheitsgerichtete speicherprogrammierbare Steuerung (Abbildung 26) erweitert. Diese hat die

Aufgabe, alle sicherheitskritischen Funktionen zu überwachen und zu steuern. Laut Aussage des

Herstellers ist der verwendete Sicherheitskern nach SIL 3 gemäß IEC 61508 zertifiziert. Das

Controllermodul SAF-02 verfügt über zwei serielle Programmier-Schnittstellen (RS 232 und RS 485),

über die der 1 MByte große Programmspeicher beschrieben werden kann. Allerdings benötigt das

mitgelieferte Softwarepaket ProMaster/ProSafety das optionale Ethernetmodul ECT-02, um auf den

Programmspeicher zugreifen zu können.

Die Safety-SPS besteht aus folgenden Modulen:

Ethernetmodul ECT-02

Controllermodul SAF-02

Speicherkartenmodul CFI-01

Eingangs-/Ausgangsmodul PSB-02 mit

3x 4-Kanal Digitaleingang (SI4000)

3x 4-Kanal Digitalausgang (SO4000)

Terminalmodul TM54F

Das TM54F (Abbildung 27, links) ist ein Erweiterungsmodul für den Frequenzumrichter S120 und

bietet sichere digitale Ein- und Ausgänge (Abbildung 27, rechts). Diese dienen der Ansteuerung der

integrierten Sicherheitsfunktionen der SINAMICS-Module. Die Einbindung des TM54F-Moduls


erfolgt über den DRIVE-CliQ-Bus. Insgesamt werden zwei Module verwendet, eines für jede Control-

Unit der Antriebsachen.

Das TM54F verfügt über folgende Schnittstellen:

Fehlersichere Digitaleingänge (F-DI) 10x

Sensor-Stromversorgung 3x

Digitaleingänge zum Überprüfen der F-DO 4x

Weitere Komponenten

Neben den bereits vorgestellten Modulen werden außerdem folgende Komponenten verwendet 1:

Power Module PM 340 (Spannungsversorgung der S120 Leistungselektronik)

EMV-Filter (Netzfilter für Leistungsmodule)

Netzdrossel (Begrenzung der Oberschwingungsströme)

Leistungsschalter

Leistungsschutzschalter

SITOP modular (geregelte Stromversorgung)

SITOP select (Stromversorgungs-Diagnosemodul) 1: Eine detaillierte Beschreibung ist in der Diplomarbeit „Entwicklung eines Prüfstandes zur Positionierung eines 2-Achsen-Koordinatentisches von Fardila

Zaihidee und Y-Khoa Bui aufgeführt.

Sicherheitsschalter mit elektromechanischer Zuhaltung PSEN me 1s

Abbildung 27: links: Erweiterungsmodul TM54, rechts: Anschlüsse des Terminalmoduls [12]


Zusammen mit der Safety-SPS dienen die beiden Sicherheitsschalter (Abbildung 28) der

Stellungsüberwachung der beweglichen Schutzeinrichtungen. Ein Sensor kontrolliert, ob die

Schiebetüren des Schutzgehäuses geöffnet oder geschlossen sind. Desweiteren verfügt der PSEN me 1s

über eine Aktor-Funktion: Im Normalfall ist die elektromechanische Zuhaltung der Tür verriegelt, erst

wenn die Entriegelungsfreigabe durch die Safety-SPS erfolgt ist, lässt sich die Tür öffnen.

Abbildung 28: Pilz PSEN me 1s [12]

Infrarot-Sicherheitslichtvorhänge PSEN op2H s-30-075/1

Die Sicherheitslichtvorhänge PSEN op2H (Abbildung 29)sind mehrstrahlige optoelektronische

Schutzeinrichtungen. Sie bestehen aus einem parallel angeordneten Sender-(TX) und Detektormodul

(RX). Beide Module werden auf optischem Wege synchronisiert und sind nicht miteinander verbunden.

Der Hersteller garantiert eine Detektion von matten Objekten mit einem Radius von mehr als 30 mm.

Damit ist der Lichtvorhang als Handschutz geeignet.

Am Empfängermodul informieren vier LEDs über den Betriebszustand und detektierte Objekte. Der

Empfänger ist mit der Sicherheits-SPS verbunden und liefert den Signalzustand FALSE, sobald der

Lichtstrahl unterbrochen wurde.

Abbildung 29: Sicherheitslichtvorhänge Pilz PSEN op2H, Sender und Empfänger

Not-Aus Taster Eaton M22-K01

Beim Not-Aus-Taster S5 an der Schaltschranktür handelt es sich um einen zweistufigen Sicherheits-

Schalter. Er liefert zwei active-low Signale an die Safety-SPS. Bei halb-gedrücktem Taster

unterscheiden sich diese Signale (TRUE und FALSE), erst beim kompletten Durchdrücken springen

beide auf FALSE. Somit muss von der Sicherheits-SPS nicht nur bei eindeutigen FALSE-Signalen ein

Sicherheitsstopp eingeleitet werden, sondern auch bei inkonsistenten Zuständen. Das Einrasten des

Tasters nach dem Betätigen lässt sich durch eine Drehung im Uhrzeigersinn lösen.


3.3 Safety-SPS: E/A-Struktur

Abbildung 30 zeigt die Ein- und Ausgänge der Safety-SPS die Sie im Rahmen des Praktikumsversuchs

verwenden können. Diese sind jeweils in drei Ein- und Ausgangsmodule untergliedert. Beachten Sie,

dass Sie alle Module bei der Softwarekonfiguration benutzen müssen, um eine einwandfreie

Funktionsweise sicherzustellen.

SDI1_0_NOT_AUS_K1 SDO4_0_DRIVE

SDI1_1_NOT_AUS_K2 SDO4_1_DRIVE

SDI1_2_AUTO_MODE SDO4_2_SS1_K1

SDI1_3_RESET SDO4_3_SS1_K2

SDI2_0_X_AXIS_ACK SDO5_0_RESET_K1

SDI2_1_Y_AXIS_ACK SDO5_1_RESET_K2

SDI2_2_ SDO5_2_ST1_MGNT

SDI2_3_LICHT_VORH SDO5_3_ST2_MGNT

SDI3_0_ST1_ST1_GSCHL SDO6_0_AUS1

SDI3_1_ST1_ST1_VERG SDO6_1_AUS2

SDI3_2_ST1_ANF SDO6_2_SLS_K1

SDI3_3_ST2_ANF SDO6_3_SLS_K2

Anmerkung:

MGNT = Magnet = Solenoid

ANF = Anfordung = Request

VERG = Veriegelt = Locked

GSCHL = Geschlossen = Closed

ST1 = Schütz_Tür1 = Safety Door1

VORH = Vorhang = Curtain

SS1 => Drive (Safety Function Safe Stop 1)

SLS => Drive (Safety Function Safety Limited Speed)

RESET => Drive

Ausgänge Eingänge

Abbildung 30: Safety-SPS Ein- und Ausgänge

Safety-SPS

Modul 3

Modul 2

Modul 1

Safety-XY-Table – Versuchsvorbereitung Seite 30

4 Versuchsvorbereitung

Die folgenden Versuchsvorbereitungen sollten Sie unbedingt schon getroffen haben, bevor Sie zum

vereinbarten Termin ins Praktikumslabor kommen:

Aufgabe1: Theoretischer Hintergrund

1) Erklären Sie die Begriffe:

Risiko

Safety Availability

SIL

PFD

Risiko-Graph

2) Welche grundlegenden Unterschiede bestehen zwischen Standard-SPS und Safety-SPS?

Aufgabe 2: Hintergrund zu Safety-Programmen

Lesen Sie sich die Dokumentation zur Hardwarekonfiguration (Anhang A) und PLCopen (Anhang B)

durch. Verinnerlichen Sie sich dabei folgende Punkte:

Anbindung von Safety-PLC mit ProMaster Software.

Struktur und Aufbau von Safety-Programmen

Datentypen und Typkonvertierung

Funktionen der Safety-Funktionsblöcke

Aufgabe 3: Ermittlung des SIL für den XY-Tisch

Im Unternehmen XY sind durch den Einsatz eines XY-Tisch-Systems ohne Schutzeinrichtungen in

einem Produktionsprozess bereits mehrere Unfälle geschehen. Durch die sich bewegenden

Komponenten waren die Unfallfolgen schwere Verletzungen, welche bereits zum Tod mehrerer

Personen geführt haben. Nach statistischer Auswertung geschehen solche Unfälle im Schnitt 5mal im

Jahr.

1) Ermitteln Sie die Risikoklasse anhand dieser Angaben ohne Schutzeinrichtung

Als neu angestellter Sicherheitsingenieur möchten Sie durch den Einsatz einer Schutzeinrichtung die

tolerierbare Gefahrenhäufigkeit auf 𝐹𝑡 = 1/5000 Jahre senken.

2) Ermitteln Sie die Risikoklasse mit Schutzeinrichtung

3) Ermitteln Sie den 𝑅𝑅𝐹 (Risk Reduction Factor) aus den oben angegebene

Gefahrenhäufigkeiten (𝐹𝑛𝑝, 𝐹𝑡)

4) Berechnen Sie 𝑃𝐹𝐷𝑎𝑣𝑔 (average Probability of Failure on Demand) und 𝑆𝐴 (Safety

Availability)

5) Ermitteln Sie damit den 𝑆𝐼𝐿 (Safety Integrity Level)


Aufgabe 4: Gefahren und Risiken ermitteln und Entwicklung eines Sicherheitskonzeptes

Bei dieser Aufgabe sollen Sie ein Bedienungsszenario durchdenken, die dabei auftretenden Gefahren

analysieren und das Risiko ermitteln, um aus diesen Überlegungen und aus der Beschreibung der

vorhandenen Sicherheitskomponenten ein Sicherheitskonzept vorzustellen.

Schritt 1: Szenario: Manuelle Bedienung des XY-Tisches

Im Modus Manuell können Sie als Bediener den XY-Tisch von Hand verfahren, indem Sie die Motoren

für die X- und Y-Achse jeweils mit den Steuertasten bedienen (Kapitel 3.1, Abbildung 21).

Im angenommenen ersten Testfall sollen Sie den Tisch von einer Ausgangsposition zu einer Position

verfahren, an der Sie den Zeichenstift austauschen können.

Der Zeichenstift wird von Hand der an der Befestigungseinrichtung über dem XY-Tisch arretiert.

Für den zweiten Testfall nehmen Sie an, dass sie den Zeichenstift austauschen müssen, unter der

Bedingung dass der XY-Tisch weiterhin manuell bedient werden kann.

Nachfolgend werden die Testszenarien genauer beschrieben.

Bediener Systemverhalten

Schalten Sie in den Manuell-Modus (durch

Betätigen des Auto/Manuell-Drehschalters in

die Manuell-Stellung)

Steuern Sie die Motoren in X-Achsen und/oder

Y-Achsen-Richtung durch Betätigen der X-

und/oder Y-Start/Stop Schalter.

Verfahren Sie den XY-Tisch in negative oder

positive Richtung durch Betätigen des Schalters

für die Richtungswahl bis zur Anfangsposition.

Arretieren Sie den Zeichenstift an der

Befestigungseinrichtung. Verschließen Sie die

Haltevorrichtung.

Antriebsmotoren sind in Bereitschaft und warten

auf Bedieneranweisung

XY-Tisch bewegt sich nach Bedienerwunsch

Antriebsmotoren sind in Bereitschaft und warten

auf Bedieneranweisung


Schritt 2: Risikoanalyse

Im Modus Manuell können viele gefährliche Situationen mit den damit verbundenen Risiken auftreten,

die identifiziert und benannt werden müssen. Zur Vermeidung oder Verminderung des Risikos, die mit

diesen Situationen einhergehen, müssen Sicherheitsmaßnahmen definiert werden. Im Folgenden ist eine

geführte Risikoanalyse der zuvor beschriebenen Bedienerszenarien durchzuführen.

Risikoanalyse für Testfall 1 (Positionierung) im Manuellen Modus

Modus: Manuell Der Bediener ist in der Lage den XY-Tisch manuell

sowohl in X- als auch in Y-Richtung zu verfahren.

Szenario #1 Bewegen des XY-Tisches zur

Zeichenstiftaustauschposition

Gefahrentyp (z.B. mechanisch, thermisch,

elektrisch,…)

Gefahrenursache: (z.B. technisches

Versagen, Bedienerfehlverhalten,…)

Schadensausmaß: (z.B. leichte/schwere

Verletzung von Personen, Tod von einer oder

mehreren Personen,…)

Schadenshöhe: (Niedrig/Mittel/Hoch)

Eintrittswahrscheinlichkeit:

(Niedrig/Mittel/Hoch)

Risiko: (aktzeptabel/nicht aktezptabel)

Sicherheitsmaßnahmen:(siehe

Anmerkungen am Seitenende)


Risikoanalyse für Testfall 1 (Einsetzen des Zeichenstiftes) im Manuellen Modus

Modus: Manuell Der Bediener ist in der Lage den XY-Tisch manuell sowohl

in X- als auch in Y-Richtung zu verfahren.

Szenario #2 Austausch des Zeichenstiftes

Gefahrentyp (z.B. mechanisch, thermisch,

elektrisch,…)

Gefahrenursache: (z.B. technisches

Versagen, Bedienerfehlverhalten,…)

Schadensausmaß: (z.B. leichte/schwere

Verletzung von Personen, Tod von einer oder

mehreren Personen,…)

Schadenshöhe: (Niedrig/Mittel/Hoch)

Eintrittswahrscheinlichkeit:

(Niedrig/Mittel/Hoch)

Risiko: (aktzeptabel/nicht aktezptabel)

Sicherheitsmaßnahmen:(siehe

Anmerkungen am Seitenende)

Anmerkungen: Maschinenkontrollsysteme werden benutzt um Risiken zu minimieren bspw.: — um das Auftreten von Gefahren zu verhindern (z.B. Verhindern von Bewegungen um Kollisionen zu vermeiden) — um das Schadensausmaß zu vermindern (z.B. Verringerung der Bewegungsgeschwindigkeit — um die Wahrscheinlichkeit des Eintretens von Gefahrensituationen zu vermindern (z.B. schrittweise Abläufe oder Verminderung der Bedienerfreiheitsgrade) — um die Exposition von Gefahrenquellen zu reduzieren (z.B. durch Absicherung und Schließmechanismen

— um Gefahrensituationen kenntlich zu machen (z.B. durch Warnsignale) — um Fehlbedienung oder Systemfehler zu reduzieren (z.B. durch Prozess-Monitoring und überlagerte Schutzvorrichtungen)

Schritt 3: Sicherheitskonzept für den XY-Tisch

Entwickeln Sie aus den Überlegungen in den vorhergehenden Schritten ein Sicherheitskonzept für die

Bedienung des XY-Tisches. Nutzen Sie hierfür die Angaben zu den Ein- und Ausgängen der

Systemkomponenten und die Dokumentation über die Safety-Funktionsblöcke.

Schritt 4: Testszenarien

Entwickeln Sie Testszenarien, um Ihr Sicherheitskonzept für den XY-Tisch zu überprüfen.


5 Versuchsdurchführung

Der Versuch findet im Praktikumslabor des Lehrstuhls AES im Gebäude A5.1, Raum 1.37, statt. Vor

Versuchsbeginn werden die Vorbereitungsaufgaben und den Versuchsablauf mit dem

Praktikumsbetreuer diskutieren. Führen Sie anschließend folgende Versuchsaufgaben durch.

Nach dem Versuchstermin ist eine Versuchsauswertung anzufertigen und beim Versuchsbetreuer

abzugeben.

Aufgabe 1: Konfiguration

Konfigurieren Sie die Hardwarekomponenten der Baumüller Safety-SPS mit ProMaster. Orientieren

Sie sich hierbei am im Anhang A beschriebenen Vorgehen.

Aufgabe 2: Implementierung

Setzen Sie Ihr in Kapitel 4, Aufgabe 3 entwickeltes Sicherheitskonzept für den XY-Tisch um.

Implementieren Sie hierzu ein Safety-Programm ohne die Verwendung von formalen Methoden. Dieses

Programm soll alle installierten Sicherheitskomponenten ansprechen. Nutzen Sie hierfür die

Programmiersprache FBD (Function Block Diagram) nach IEC 61113-3. Informationen zu den Ein-

und Ausgängen des Systems sind in Kapitel 3.3 enthalten.

Gehen Sie hierbei wie folgt vor:

Starten Sie die ProMaster-Software

Konfigurieren Sie den Kommunikationbus

Starten Sie die ProSafety Software.

Starten Sie das System

Schreiben Sie Ihr Programm

Aufgabe 3: Testen der Spezifikation

Testen Sie Ihre Spezifikation, indem Sie Ihr Programm auf die Safety-SPS übertragen:

Übertragen des Programms auf die Safety-SPS

Führen Sie Ihr Programm aus

Die Bezeichnung der Hardwarekomponenten finden Sie auf den Komponenten selbst. Beachten Sie,

dass die Komponenten richtig initialisiert wurden.

Aufgabe 4: Evaluation

Überprüfen Sie Ihr Sicherheitsprogramm, in dem Sie die von Ihnen entwickelten Testszenarien

anwenden.


Quellenverzeichnis

References

[1] D. Macdonald, Practical industrial safety, risk assessment and shutdown systems for industry.

Amsterdam, Oxford: Newnes, 2004.

[2] IEC/EN 61508, 1-7.

[3] IEC/EN 61511, 1-3.

[4] D. Chavez, “Rockwell Automation External LTS Template,”

[5] A. Ingrey, P. Lerévérend, and A. Hildebrandt, “Manual - Safety Integrity Level,” 2007.

[6] Prof. Dr. Ing. Georg Frey, “Grundlagen der Automatisierungstechnik: 5. Funktionale Sicherheit

SAFETY,” Saarbrücken, 2013.

[7] “The Safety Compendium: Chapter 4,” 2012.

[8] “PLC vs. Safety PLC - Fundamental and Significant Differences,” 2002.

[9] A. Otto, “Programming of safety-related applications,” 2009.

[10] “PLCopen - Technical Committee 5 - Safety Software: Technical Specification Part 1: Concepts and

Function Blocks,” Version 1.0 - Official Release Compliance Statement Only

[11] V. Sasse, “First-time standardization of safety-relevant PLC application software by PLCopen,”

[12] N. Helwig, “Erweiterung des XY-Koordinatentisches um eine Safety-SPS,” Studienarbeit AUT.

Documents

Versuch 6: Safety-XY-Tisch - uni-saarland.de · IEC/EN 61508 ist ein weltweit etablierter Standard, der als Basis für für Spezifikation, Entwurf und Betrieb von SIS angesehen werden