Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Laboranleitung zum Praktikum Automatisierungs- und Energiesysteme
(AEPr)
Versuch 6:
Safety-XY-Tisch
(Stand: 19.04.2018)
Lehrstuhl für
Automatisierungs- und Energiesysteme
Prof. Dr.-Ing. Georg Frey
Lehrstuhl für Automatisierungs- und Energiesysteme Prof. Dr.-Ing. Georg Frey
Inhaltsverzeichnis
1 EINLEITUNG ..................................................................................................................................................... 2
1.1 FUNKTIONALE SICHERHEIT ................................................................................................................................. 2
1.2 SICHERHEITSTECHNISCHE SYSTEME NACH IEC 61508/61511 ............................................................................. 3
1.3 EQUIPMENT UNDER CONTROL (EUC) ................................................................................................................. 4
1.4 SAFETY LIFE CYCLE (SLC) ................................................................................................................................. 4
1.5 GEFÄHRDUNG UND RISIKO .................................................................................................................................. 6
1.5.1 Risikobeurteilung.................................................................................................................................. 6
1.5.2 Grundlegender Prozess der Risikominderung ...................................................................................... 7
1.5.3 Risikominderung und Klassifizierung .................................................................................................. 8
1.6 PROBABILITY OF FAILURE ON DEMAND (PFD) ................................................................................................. 10
1.7 SAFETY INTEGRITY LEVEL (SIL)....................................................................................................................... 11
1.8 RISIKO-GRAPH .................................................................................................................................................. 14
2 PROGRAMMIERBARE SAFETY-STEUERUNG ....................................................................................... 15
2.1 UNTERSCHIED ZWISCHEN STANDARD-SPS UND SAFETY-SPS........................................................................... 16
2.2 SICHERHEITSKRITISCHE ANFORDERUNGEN AN SICHERHEITS-PROGRAMME ...................................................... 18
3 XY-KOORDINATENTISCH ........................................................................................................................... 20
3.1 BESCHREIBUNG DES KOORDINATENTISCHES ..................................................................................................... 20
3.3 BESCHREIBUNG DER SYSTEMKOMPONENTEN .................................................................................................... 24
3.3 SAFETY-SPS: E/A-STRUKTUR .......................................................................................................................... 29
4 VERSUCHSVORBEREITUNG ...................................................................................................................... 30
Aufgabe1: Theoretischer Hintergrund ........................................................................................................ 30
Aufgabe 2: Hintergrund zu Safety-Programmen ......................................................................................... 30
Aufgabe 3: Ermittlung des SIL für den XY-Tisch ........................................................................................ 30
Aufgabe 4: Gefahren und Risiken ermitteln und Entwicklung eines Sicherheitskonzeptes ......................... 31
5 VERSUCHSDURCHFÜHRUNG .................................................................................................................... 34
Aufgabe 1: Konfiguration ............................................................................................................................ 34
Aufgabe 2: Implementierung ....................................................................................................................... 34
Aufgabe 3: Testen der Spezifikation ............................................................................................................ 34
Aufgabe 4: Evaluation ................................................................................................................................. 34
QUELLENVERZEICHNIS ................................................................................................................................ 35
Safety-XY-Tisch - Einleitung Seite 2
1 Einleitung
Diese Versuchsanleitung befasst sich mit Steuerungen von gesamten Systemen oder einzelnen
Einrichtungen, welche Personen, Betriebsausstattung oder die Umwelt vor Schäden schützen, die aus
gefährlichen Zuständen entstehen können. Diese Systeme sind bekannt unter dem Begriff
Sicherheitssystem oder Safety Instrumented Systems (SIS) und umfassen Sensoren, Aktuatoren und
Logiksysteme mit den entsprechenden Schnittstellen zum Anwender und der Hauptprozesssteuerung
(Abbildung 1).
SIS werden formal definiert als:
'Safety instrumented systems are designed to respond to conditions of a plant that may
be hazardous in themselves or if no action were taken could eventually give rise to a
hazard. They must generate the correct outputs to prevent the hazard or mitigate the
consequences' [1]
Abbildung 1: Definition von SIS [1]
Safety Systems Engineering (SSE) beschreibt die systematische Herangehensweise zur Auslegung und
dem Management von SIS und umfasst alle Schritte vom Design bis zur Verwendung von
Sicherheitsfunktionen (Safety Functions), welche Sicherheit in allen Situationen bieten.
1.1 Funktionale Sicherheit
Funktionale Sicherheit (Functional Safety) (FS) ist ein Teil der Gesamtsystemsicherheit, welche eine
korrekte Systemantwort auf Eingangsgrößen gewährleistet, insbesondere bei Ausfall oder Fehlfunktion
von Komponenten, äußeren Störungen oder Fehlbedienung. Das Hauptziel von FS besteht darin das
System frei von nichtakzeptablen Zuständen zu halten, welche Gefahr für Leib und Leben für den
Anwender innerhalb und außerhalb der Systemgrenzen darstellen. Dementsprechend bietet FS einen
wichtigen Beitrag zur Gesamtsystemsicherheit, wie in Abbildung 2 gezeigt wird.
Safety-XY-Tisch - Einleitung Seite 3
Abbildung 2: Gesamtsystemsicherheit [1]
1.2 Sicherheitstechnische Systeme nach IEC 61508/61511
IEC/EN 61508 ist ein weltweit etablierter Standard, der als Basis für für Spezifikation, Entwurf und
Betrieb von SIS angesehen werden kann. Sie verwendet einen auf der Risikobewertung basierenden
Ansatz. Nach der Abschätzung des Risikos wird das Sicherheits-Integritätslevel (Safety Integrity
Level) (SIL) für Komponenten und Systeme mit Sicherheitsaufgaben ermittelt. SIL-bewertete
Komponenten und Systeme sollen das vorhandene Risiko einer Einrichtung auf ein vertretbares Maß,
das „tolerierbare Risiko“ reduzieren. In der Prozessindustrie existieren eine Vielzahl von nationalen,
Industrie- und unternehmensspezifischen Normen bezüglich Sicherheit, wie bspw. IEC/EN 61511
(Anwender), ISA S84.01 (USA) (Anwender) und IEC/EN 61508 (Produkthersteller) wie in
Abbildung 3 gezeigt wird. Diese Standards sind von den Prozess-Planern und Betreibern zu
implementieren und zu beachten und gelten zu allen anderen relevanten Richtlinien für bspw.
Gesundheit, Energie und Maschinen. Die genannten Normen stellen einen Rahmen im
Sicherheitslebenszyklus dar, d.h. aller Phasen des Lebenszyklus von Sicherheitskomponenten.
Systementwickler für Sicherheitssysteme folgen den Normen der IEC/EN 61511 und verwenden
Komponenten, welche nach IEC/EN 61508 zertifiziert sind.
Abbildung 3: Zusammenhänge von sicherheitstechnischen Standards in der Prozessindustrie [1]
Safety-XY-Tisch - Einleitung Seite 4
1.3 Equipment Under Control (EUC)
Die IEC-Norm verwendet den Begriff EUC für die gesteuerte Einrichtung, Maschine oder Anlage,
welche für die Fertigung. Stoffumformung, zum Transport aber auch zu medizinischen oder anderen
Tätigkeiten verwendet wird. Dies beinhaltet ebenfalls die Aktivitäten des Bedieners oder Anwenders,
welcher mit den EUC in Interaktion steht, wie in Abbildung 4 zu sehen ist. Dementsprechend werden
nur Risiken, welche als Folge von Fehlbedienung und Systemfehlern auftreten, betrachtet.
Abbildung 4: Equipment Under Control (ECU) [1]
1.4 Safety Life Cycle (SLC)
Sicherheitslebenszyklus (Safety Life Cycle) (SLC) stellt einen Leitfaden dar und deckt alle Aspekte
der Sicherheit ab, einschließlich anfänglicher Konzeption, Entwurf, Durchführung, Installation,
Inbetriebsetzung, Validierung, Instandhaltung und Außerbetriebsetzung der risiko-minimierenden
Maßnahmen. Der Begriff beschreibt eine Reihe von Schritten und Handlungen, die von
unterschiedlichen Personen, Gruppen und Unternehmen beachtet und zur Beurteilung vollständig
dokumentiert werden, damit die Anforderungen der Norm erfüllt werden. Das SLC-Modell ist ein
nützliches Werkzeug in der Entwicklung von sicherheitsrelevanten Steuerungs- und
Regelungssystemen. Es existieren eine Vielzahl von spezifischen Ansätzen. Das Flussdiagramm nach
IEC, welche eine allgemeine Variante darstellt ist in Abbildung 5 dargestellt.
Analytical/Design umfasst die ersten fünf Schritte
Umsetzung/Implementierung umfasst die nächsten acht Schritte
Ausführung umfasst die letzten drei Schritte
Es sei angemerkt, dass die Ausgänge der vorherigen Gruppe die Eingänge der darauffolgenden Gruppe
darstellen.
Safety-XY-Tisch - Einleitung Seite 5
Abbildung 5: Flussdiagramm der IEC-Version des Safety Life Cycle [2], [3]
Eine detaillierte Ansicht des Blocks 9 für ein Electrical/Electronical/Programmable Electronical
Systems (E/E/PES) wird in Abbildung 6 dargestellt. Hauptsächlich besteht hier das Ziel darin, einen
sicheren Zustand der EUC zu erreichen oder beizubehalten. In einfachen Worten gesagt EUC bezieht
sich auf IEC/EN 61508 während die Prozessplanung der IEC/EN 61511 zugrunde liegt.
Abbildung 6: Safety Life Cycle von E/E/PES [2], [3]
Des
ign
Um
setz
un
g
Ausf
ühru
ng
Safety-XY-Tisch - Einleitung Seite 6
1.5 Gefährdung und Risiko
Eine Phase des Sicherheitslebenszyklus ist die Analyse der Gefährdungen und der Risiken, die sich aus
der EUC ergeben (vgl. Abbildung 5, Schritt 3). Eine Gefährdung kann dabei definiert werden, als eine
inhärente physikalische Eigenschaft, welche das Potential hat, Schaden an Menschen, Objekten oder
der Umwelt zu verursachen. Der Begriff Risiko ist in den Normen definiert als die Kombination aus
der Wahrscheinlichkeit, mit der einen Schaden verursachende Gefährdung auftritt und dem Ausmaß
des Schadens.
RISIKO =
HÄUFIGKEIT_EINES_GEFÄHRLICHEN_VORFALLS
AUSMAß_DER_GEFÄHRDUNG (1)
1.5.1 Risikobeurteilung
Um Gefahren abzuwehren, müssen deren Ursachen bekannt und vermieden werden. Risiko stellt eine
wichtige Kenngröße zur Gefahrenbeurteilung dar, weshalb Sicherheit auch definiert werden kann als
'Sicherheit ist die Abwesenheit von nicht-tolerierbarem Risiko' [4]. Die Risikobeurteilung stellt hierbei
ein effektives Werkzeug dar, um Gefährdungspotential zu erkennen und zu beurteilen. Die klare
Identifizierung der Gefährdungen und eine Analyse des Risikos ist in der Durchführung am
schwierigsten, besonders, wenn es sich bei dem untersuchten Prozess um einen neuen oder innovativen
Prozess handelt für den noch keine Erfahrungswerte vorliegen. Das Verfahren zur Risikobeurteilung
wird in der IEC 61508 ausführlich beschrieben. Ziel ist es, sicherzustellen, dass das verbleibende
Restrisiko -die Wahrscheinlichkeit, dass trotz der Schutzmaßnahmen ein gefährlicher Vorfall eintreten
kann- kleiner oder gleich dem tolerierbaren Risiko ist. Das ALARP (As Low As Reasonably Practical)
– Prinzip leitet die Planer an, tolerierbare Risikowerte für die Gefahren festzulegen. und kategorisiert
Risiko in drei Klassen:
Vernachlässigbares Risiko
Tolerierbares Risiko
Nicht tolerierbares Risiko
Abbildung 7: ALARP-Prinzip [1]
Safety-XY-Tisch - Einleitung Seite 7
1.5.2 Grundlegender Prozess der Risikominderung
Abbildung 8: Risikominimierungsmodell [4]
Ermittlung der Maschinencharakteristik: Dieser Schritt befasst sich mit den Eingangs- und
Ausgangsgrößen einer Komponente und den damit eingeschlossenen Kenngrößen, wie bspw.
Arbeitsbereich oder Arbeitsgeschwindigkeit.
Gefährdungsermittlung: Die Gefährdungsermittlung erfolgt in unmittelbarem Umfeld der
betrachteten Komponenten. In diesem Schritt wird das Komponentenverhalten und bereits
installierte Schutzschaltungen unabhängig voneinander analysiert. Dabei werden die einzelnen
Gefahren aufgezeigt und Zusammenhänge zwischen ihnen dargestellt. Weltweit wird eine
Vielzahl von Methoden zur Gefährdungsermittlung verwendet. Zu diesen zählen Techniken
wie z.B.
‒ HAZOP (HAZard and Operability) study
‒ FME(C)A (Failure Mode Effect (and Criticality) Analysis)
‒ FMEDA (Failure Mode Effect and Diagnostics Analysis)
sowie weitere Studien, Checklisten, Tabellen und Rastermethoden.
Risikoermittlung: Die Risikoermittlung erfordert die Berechnung von Kennzahlen zur
einfachen Analyse und Vergleichbarkeit. Hierzu haben sich Techniken wie Risikographen,
Saety Integrity Level (SIL) und Probability of Failure on Demand (PFD) etabliert, welche in
den nächsten Kapiteln besprochen werden.
Risikominderung: Die Konzeperionierung von Schutzmaßnahmen in mehreren Schichten
kann das Auftreten von Gefahrensituationen teilweise bereits in der Entstehungsphase
vermeiden und deren Auswirkungen vermindern. Die Wirkung der Maßnahmen muss darin
bestehen, eine „tatsächliche Risikominderung“ zu erreichen, die größer gleich der notwendigen
Risikomonderung ist.
Ermittlung der Systemkomponentencharakteristik
Gefährdungsermittlung
Risikoermittlung
Risiko-
bewertung
Risikominderung
Risikominderung
für einzelne
Gefährdung
abgeschlossen
nächste
Gefährdung
nicht-tolerierbar
tolerierbar
Safety-XY-Tisch - Einleitung Seite 8
1.5.3 Risikominderung und Klassifizierung
Abbildung 9 veranschaulicht das Konzept aus der IEC 61508, wie das Risiko, das durch eine EUC
entsteht, durch eine „notwendige Risikominderung“ auf ein tolerierbares Niveau reduziert wird. Die
Risikominderung kann durch eine Kombination verschiedener Komponenten mit entsprechender
Risikominderungsfunktion erreicht werden, statt nur von einem sicherheitstechnischen System
abzuhängen, und kann auch organisatorische Maßnahmen umfassen. Ähnlich zur ALARP werden drei
Risikoeinstufungen vorgenommen: EUC-Risiko, welches durch das Steuerungssystem und dem
Anwender verursacht wird, toleriersbares Risiko und Restrisiko, welches auch nach dem Einsatz von
sicherheitstechnischen Systemen weiter bestehen bleibt.
Abbildung 9: Risikominderung - Grundlegendes Konzept [2]
Im Gegensatz zu physikalischen Größen kann Risiko nicht mit festen Einheiten gemessen werden, noch
existiert eine universelle Risikoskala, da Industriezweige unterschiedliche branchenspezifische
Klassifizierungen von Risiken vornehmen. Die IEC bietet allerdings eine allgemeine Herangehensweise
zur Risikoklassifizierung welche für die meisten Situationen angepasst werden kann. Tabelle 1 ist dem
Anhang B der IEC 61508 entnommen.
Tabelle 1: Beispiel einer allgemeinen Risikoklassifizierung [2]
Necessary Risk Reduction
𝑭𝒏𝒑 𝑪
Safety-XY-Tisch - Einleitung Seite 9
Die verallgemeinerte Risikoklassifizierung nach Tabelle 1 funktioniert in folgender Art und Weise:
Ermittlung der Häufigkeit einer Gefährdung (𝐹𝑛𝑝) durch ein EUC ohne Schutzeinrichtungen
Ermittlung der daraus resultierenden Ausmaßes der Gefährdung (𝐶)
Ermittlung des Risikos unter Verwendung der Tabelle 1
Falls die Risikoklasse I oder II beträgt sind weitere Schutzeinrichtungen zur Risikominderung
einzusetzen. Klasse III bedarf einer weiter differenzierten Untersuchung der Prozesse, während Klasse
IV als tolerierbares Risiko angesehen werden kann.
Nachdem die Riskoklassifizierung nach der oben allgemein beschriebenen Methode erfolgt ist
(Gleichung 2), muss festgestellt werden, um welchen Faktor das Risiko bis zu einem tolerierbaren Wert
gesenkt werden muss (Gleichung 3). Der Anteil der Zeit, die eine Schutzeinrichtung funktionsfähig sein
muss, um die geforderte Risikominderung zu erreichen, wird als Verfügbarkeit der Schutzeinrichtung
(Safety Availabilty) bezeichnet (Gleichung 4)
Risiko (𝑅) 𝑅 = 𝐹𝑛𝑝 ⋅ 𝐶 (2)
Risikoreduktionsfaktor (𝑅𝑅𝐹) 𝑅𝑅𝐹 =𝐹𝑛𝑝
𝐹𝑡 (3)
Verfügbarkeit der Schutzeinrichtung (𝑆𝐴) [%]: 𝑆𝐴 = (𝑅𝑅𝐹 − 1) ⋅100
𝑅𝑅𝐹 (4)
mit
𝐹𝑡 : Häufigkeit der auftretenden tolerierbaren Gefährdung
𝐹𝑛𝑝 : Häufigkeit der auftretenden Gefährdung ohne Schutzeinrichtung
Wie bereits gesagt, ist es sinnvoll die Risikominderung durch eine Serie mehrerer aufeinander folgender
Schutzeinrichtungen (Layers of Protection) mit entsprechender Risikominderungsfunktion zu
erreichen. Hierbei errechnet sich der resultierende Gesamt-RRF durch die Multiplikation der RRF der
einzelnen Schutzeinrichtungen (Abbildung 10).
Abbildung 10: Allgemeines Risikominderungsmodell [1]
Safety-XY-Tisch - Einleitung Seite 10
1.6 Probability of Failure on Demand (PFD)
Sicherheitssysteme sind oft so ausgelegt, dass sie im Hintergrund arbeiten, Prozesse überwachen, aber
nicht eingreifen sofern keine Sicherheitsgrenzen überschritten werden. Es stellt sich die Frage: Wie
hoch ist die Wahrscheinlichkeit, dass eine Schutzeinrichtung einen gefährlichen Zustand nicht erkennt,
die Schutzfunktion also ein Fehlverhalten aufweist?
Die IEC unterscheidet zwei Operationmdi für eine Sicherheitsfunktion, High-Demand- und Low-
Demand Modus. Im Low-Demand-Modus ist die Anforderung der Schutzfunktion maximal einmal im
Jahr, während diese im High-Demand-Modus größer als eins ist.
Als Kenngröße für die Nichtverfügbarkeit einer Schutzfunktion im Low-Demand-Modus dient die PFD
(Probability of dangerous Failure on Demand). Da die Wahrscheinlichkeit eines Systemfehlverhaltens
jedoch von der Testdauer abhängt, d. h. schwankt, wird die durchschnittliche Wahrscheinlichkeit eines
Fehlers in der Schutzfunktion im Anforderungsfall (average PFD) (𝑃𝐹𝐷𝑎𝑣𝑔) verwendet. 𝑃𝐹𝐷𝑎𝑣𝑔 wird
auch als Fractional Dead Time (𝐹𝐷𝑇) bezeichnet (Abbildung 11).
Im High-Demand-Modus, auch als kontinuerlicher Modus bezeichnet, wird der Begriff Probability of
dangerous Failure per Hour (𝑃𝐹𝐻) verwendet.
Nachfolgend wir nur der Low-Demand-Modus betrachtet und es gelten folgende Zusammenhänge:
Verfügbarkeit der Schutzeinrichtung (𝑆𝐴) [%]: 𝑆𝐴 = 1 − 𝑃𝐹𝐷𝑎𝑣𝑔 (5)
Probability of Failure on Demand [%]: 𝑃𝐹𝐷𝑎𝑣𝑔 =1
𝑅𝑅𝐹=
𝐹𝑝
𝐹𝑛𝑝 (6)
mit
𝐹𝑝 = Häufigkeit der auftretenden Gefährdung mit Schutzeinrichtung
Abbildung 11: PFDavg [1]
Safety-XY-Tisch - Einleitung Seite 11
1.7 Safety Integrity Level (SIL)
Im Sicherheitslebenszyklus ergibt sich die Notwendigkeit der Risikominderung, welche als Ableitung
der Sicherheitsanforderungen identifiziert wird. Die in den Sicherheitsanforderungen beschriebenen
Gesamtmethoden und -mechanismen werden in spezifische sicherheitstechnische Funktionen zur
Erfüllung der definierten Aufgaben aufgegliedert. Daneben ist ein Maß für die Zuverlässigkeit oder
Integrität der sicherheitstechnischen Funktionien, neben der Zurodnung der gesamten
Sicherheitsanforderungen zu spezifischen sicherheitstechnischen Funktionen erforderlich. Das Maß, in
wie weit man darauf vertrauen kann, das seine sicherheitstechnische Einrichtung die korrekte Funktion
erbringt, falls sie benötigt wird, wir als Sicherheits-Integritätslevel (SIL) bezeichnet und ist abgestuft.
Genauer lässt sich die Sicherheitsintegrität eines Systems definieren als:
"die Wahrscheinlichkeit, dass ein sicherheitstechnisches System die
erforderliche sicherheitstechnische Funktion unter allen festgelegten
Bedingungen innerhalb eines festgelegten Zeitraumes ausführt."
Damit umfasst die Spezifikation der sicherheitstechnischen Funktion sowohl die Zeit, die für
die Reaktion auf das Vorliegen bestimmter Bedingungen benötigt wird, als auch die
Maßnahmen die dabei zu ergreifen sind. SIL gilt als Maß für die Zuverlässigkeit der
sicherheitstechnischen Funktion, die gemäß der Spezifikation arbeitet. Da es einfacher ist, die
möglichen Bedingungen und Ursachen, die zum Ausfall oder Versagen einer
sicherheitstechnischen Funktion führen, zu identifizieren und zu quantifizieren, als die
gewünschte Aktion einer aufgerufenen sicherheitstechnischen Funktion zu garantieren, wir
auf die Wahrscheinlichkeit des gefährlichen Versagens –im Grunde der Kehrwehrt der SIL-
Definition- geachtet. Das Vorgehen zur Bestimmung der SIL wird in Abbildung 12 gezeigt
(vergleiche auch Abbildung 10 und Tabelle 2).
Abbildung 12: Bestimmung der SIL [1]
Other External SIS
Safety-XY-Tisch - Einleitung Seite 12
Vergleichbar mit 𝑃𝐹𝐷𝑎𝑣𝑔/ 𝐹𝑃𝐻 unterscheidet man auch bei der SIL je nach dem Dienst, den die
sicherheitstechnische Funktion leistet, zwei Klassen:
Im Demand Mode, wenn sicherheitstechnische Funktion bei Aufforderung aktiviert wird,
wird die Ausfallwahrscheinlichkeit der Funktion im Anforderungsfall angegeben
Im Continuous Mode, wenn sicherheitstechnische Funktion kontinuierlich aktiv ist, wird die
Wahrscheinlichkeit eines Gefahr bringenden Ausfalls innerhalb einer vorgegebenen
Zeitspanne (pro Stunde) angegeben.
Die Ausfallwahrscheinlichkeiten sind für vier Sicherheits-Integritätslevel festgelegt (Tabelle 2).
Tabelle 2: Ausfallwahrscheinlichkeit und SIL [5]
Ein sicherheitstechnisches System besteht aus einer oder mehreren sicherheitstechnischen Funktionen,
für die jeweils eine eigene SIL-Anforderung gilt.
Sowohl organisatorische Maßnahmen des Managements als auch technische Maßnahmen sind
erforderlich, um eine gegebene Sicherheitsintegrität zu erreichen. Ein SIL wird einer sichertechnischen
Funktion zugeordnet, die verschiedene Funktionsbaugruppen umfasst, mit denen Systeme beschrieben
werden (z.B. Sensoren, Logic Solver, Aktoren).
Systeme haben eine „SIL-beschränkende Wirkung“, d.h. eine sicherheitstechnische Funktion wird
durch den kleinsten SIL beschränkt.
Um den SIL eines Systems zu erhöhen, können zum einen Systemkomponenten durch andere mit einem
höheren SIL ersetzt werden. Eine andere Möglichkeit ist die parallele Verschaltung mehrerer
Komponenten, d.h. die Errichtung eines redundanten Betriebs (Abbildung 13).
Safety-XY-Tisch - Einleitung Seite 13
Abbildung 13: Beispiel für redundantes Eingangsleitsystem [5]
Jedoch kann man nicht uneingeschränkt sagen, dass ein redundanter Betrieb automatisch zu einem
höheren SIL führt.
SIL kann bei Bestimmung unterschiedlicher Kenngrößen berechnet werden (Tabelle 3).
Tabelle 3: Bestimmung der SIL [1]
Safety-XY-Tisch - Einleitung Seite 14
1.8 Risiko-Graph
Verbindung von Risiko und Sicherheits-Integritätslevel
Bis jetzt wurden kurz die Konzepte Risiko, Notwendigkeit der Risikominderung durch
sicherheitstechnische Funktionen und die Anforderungen an die Integrität dieser sicherheitstechnischen
Funktionen behandelt. Der auf der IEC/EN 61508 basierende Risikograph in Abbildung 14 ist eine
Möglichkeit, um eine Verbindung zwischen den Risikoparametern und dem SIL für die
sicherheitstechnischen Funktionen herzustellen.
Abbildung 14: Risiko-Graph [6]
S2
S3
S4
A1
A2
A1
A2
G1
G2
G1
G2
S1ohne PLT-
Schutzeinrichtung
W3 W2 W1
1SIL 1
SIL 2
SIL 3
SIL 4
--
*
-
-
S2
S3
S4
A1
A2
A1
A2
G1
G2
G1
G2
S1ohne PLT-
Schutzeinrichtung
W3 W2 W1
1SIL 1
SIL 2
SIL 3
SIL 4
--
*
-
-
Schadensausmaß S: • S1: leichte Verletzung einer Person; kleinere
schädliche Umwelteinflüsse • S2: schwere irreversible Verletzung einer oder
mehrerer Personen oder Tod einer Person; vorübergehende größere schädliche Umwelteinflüsse
• S3: Tod mehrerer Personen; lang andauernde größere schädliche Umwelteinflüsse
• S4: katastrophale Auswirkungen; sehr viele Tote Aufenthaltsdauer A:
• A1: selten bis öfter • A2: häufig bis dauernd
Gefahrenabwendung G: • G1: möglich unter bestimmten Bedingungen • G2: kaum möglich
Eintrittswahrscheinlichkeit W: • W1: sehr gering • W2: gering • W3: relativ hoch
Safety-XY-Table – Programmierbare Safety-Steuerung Seite 15
2 Programmierbare Safety-Steuerung
In komplexen Maschinen und weit verzweigten Anlagen übernehmen die programmierbaren
Steuerungssysteme (programmable Safety Control System) (PSS) die Überwachung
sicherheitsgerichteter Funktionen und/oder die komplette Maschinensteuerung.
Sicherheitssteuerungen entstanden im Grunde aus dem Wunsch heraus, ähnlich wie bei einer SPS-
Steuerung per Programmierung verschalten zu können und daher dem Programmiermuster der SPS-
Welt folgen. Am Anfang standen zentrale, später auch dezentrale Systeme in Verbindung mit sicheren
Bussystemen. Die Programmierung folgte demselben Schema, nur den Befehlssatz reduzierte man von
Beginn an drastisch auf wenige Sprachen, um der Sicherheit wegen, Fehler bei der Programmerstellung
von Anfang an zu minimieren.
Ein sicheres Steuerungssystem ist prinzipiell wie folgt aufgebaut (Abbildung 15) [7]:
Zwei getrennte Kanäle
Diversitärer Aufbau mit unterschiedlicher Hardware
Ständiger Test der Ein- und Ausgänge
Ständiger Vergleich der Anwenderdaten
Spannungs- und Zeitüberwachungen
Sichere Abschaltung im Fehler-/Gefahrenfall
Abbildung 15: Prinzipaufbau eines sicheren Steuerungssystems
Channel
A
Channel
B
DPR
Cross Check
Flag
Counter
&
PII PII
PIO PIO
Safety-XY-Table – Programmierbare Safety-Steuerung Seite 16
2.1 Unterschied zwischen Standard-SPS und Safety-SPS
Im Kern besteht eine Sicherheitssteuerung quasi aus zwei SPS-Steuerungen, die ein
Anwendungsprogramm parallel abarbeiten, dasselbe Prozessabbild der Ein-/Ausgänge nutzen und sich
ständig abgleichen. Dies ist ein komplexer Prozess: Quervergleiche, Tests der Ein-/Ausgangsebene,
Ermittlung eines gemeinsamen gültigen Ergebnisses usw. Dies sind alles vielschichtige Vorgänge, die
solche Systeme intern aufwändig darstellen, wovon der Anwender letztlich wenig mitbekommt. Im
Wesenglichen lässt sich das Design einer Standard-SPS von einer Safety-SPS in drei Punkten
unterscheiden. Diese sind Systemarchitektur, Eingangsschaltung und Ausgangsschaltung, welche
nachfolgend kurz erläutert werden [8].
Architektur: Es werden mehrere Mikroprozessoren zur Verarbeitung von E/A,
Speicher und Sicherheitskommunikation verwendet. Überwachungsschaltkreise
führen Diagnoseanalysen aus. Einer der beiden Mikroprozessoren kann die
Sicherheitsfunktion ausführen wobei umfangreiche Diagnosefunktionen ausgeführt
werden, um sicherzustellen, dass beide Mikroprozessoren synchron arbeiten
(Abbildung 16).
Abbildung 16: Safety-SPS-Architektur [8]
Eingänge: Darüber hinaus wird jede Eingangsschaltung in jeder Sekunde
zahlreichen internen Tests unterzogen, wodurch ihre ordnungsgemäße Funktion
sichergestellt wird. Auch wenn man bspw. einen Not-Halt-Schalter nur einmal im
Monat betätigt, so wurde sein Schaltkreis bis zu diesem Zeitpunkt kontinuierlich
getestet, während das Not-Halt-Signal in der Sicherheits-SPS richtig erkannt wird
(Abbildung 17).
Safety-XY-Table – Programmierbare Safety-Steuerung Seite 17
Abbildung 17: Blockdiagramm mit Sicherheitseingangsmodul [8]
Ausgänge: Ausgänge von Sicherheits-SPS sind elektromechanische Ausgänge oder
elektronische Sicherheitsausgänge. In Abbildung 18 sind mehrere Schalter in jeder
Ausgangsschaltung einer Sicherheits-SPS dargestellt. Genau wie die
Eingangsschaltungen werden auch die Ausgangsschaltungen mehrmals pro Sekunde
getestet, um sicherzustellen, dass sie den Ausgang deaktivieren können. Wenn bei
einem der drei Ausgänge ein Fehler auftritt, wird dieser von den beiden anderen
Ausgängen deaktiviert und der Fehler wird vom internen Überwachungsschaltkreis
gemeldet.
Abbildung 18: Blockdiagramm des Sicherheits-Ausgangsmoduls [8]
Im Durchschnitt kostet eine Safety-SPS etwa 20% bis 30% mehr al seine Standard-SPS. Im Vergleich
zu mehreren untereinander verschalteten Standard-SPS ergeben sich jedoch Vorteile im
Verschaltungsaufwand und der Flexibilität.
Safety-XY-Table – Programmierbare Safety-Steuerung Seite 18
2.2 Sicherheitskritische Anforderungen an Sicherheits-Programme
Sicherheits-Programme müssen die folgenden Eigenschaften besitzen:
Es dürfen keine systematischen Fehler vorliegen
Fehlerfreier Programmablauf und Monitoring sollte garantiert sein
Einschränken der Programmiermöglichkeiten
Absicherung gegen Programmänderungen
Festgelegtes Verhalten im Fall von Hardwarefehlverhalten
Möglichkeit besitzen, alle vorhersehbaren Logikkombinationen zu
Festgelegte Fehlerbehandlung bei unvorhersebaren Fehlern
Wiederverwendung von Programmteilen in neuen
Für ein sicheres Programm ist es bei der Inbetriebnahme wichtig, dass der Anwender eine Rückmeldung
über die aktuellen E/A-Werte erhält, wodurch die Fehlersuche vereinfacht wird. Durch die Verwendung
von verifizierten und validierten Programmbausteinen wird es ermöglicht, dass zu einen Programmteile
wiederverwendet werden können und gleichzeitig der Testaufwand reduziert und die Systemsicherheit
gewährleistet wird. Für den Software-SLC zeigt Abbildung 19 ein vereinfachtes Validierungsmodell
[6,9].
Abbildung 19: Vereinfachtes Validierungs-Modell
Safety-XY-Table – Programmierbare Safety-Steuerung Seite 19
2.3 Standardisierung der Safety-Software
Eine kurze Einführung in PLCopen
Anwender und Hersteller sehen sich mit unzähligen Safety-relevanten Standards konfrontiert. Es ist
nahezu unmöglich, all diese Standards zu kenne oder gar zu implementieren ohne dass Funktionalität
und Performance darunter leiden.
Namhafte Firmen haben sich deshalb unter dem Dach der PLCopen TC5 (Technical Commitee) die
Aufgabe gestellt, das Thema Sicherheitsrelevante Programmierung für den Anwender praxistauglich
und sicherer zu gestalten.
Dabei versuchte man die Anwendbarkeit so einfach wie möglich zu gestalten, um die Gefahr für
Mensch und Maschine zu minimieren. Ein wesentlicher Ansatz hierbei ist, Safety-Funktionalitäten auf
einer höheren Ebene zur Verfügung zu stellen, damit der Anwender unabhängig von
herstellerspezifischen Implementierungsmethoden ist. Im Zuge dessen ist eine Vielzahl von
standardisierten Funktionsbausteinen entwickelt, die dem Anwender sicherheitsbezogene
Grundfunktionen bereitstellen, die lediglich verbunden werden müssen. Man beschränkt sich dabei auf
die grafische Programmiersprache IEC61131-3, um die Lesbarkeit der Programme zu vereinfachen. In
2006 wurden 20 Safety-Function-Blöcke von der PLCopen veröffentlicht [10,11].
Diese sollen Ihnen im Rahmend es Praktikums als Grundlage für die Implementierung der Safety-
Funktionalitäten im XY-Tisch dienen (Anhang B, S.26ff)
.
Safety-XY-Tisch – XY-Koordinatentisch Seite 20
3 XY-Koordinatentisch
3.1 Beschreibung des Koordinatentisches
Bei dem mechatronischen System XY-Koordinatentisch (Abbildung 20) können zwei
Hauptbestandteile unterschieden werden. Zum einen der Koordinatentisch, umgeben von einem
Plexiglas-Schutzgehäuse, und zum anderen der Schaltschrank, der die elektronischen Steuerungen und
Module beherbergt. Das Schutzgehäuse des Tisches lässt sich über zwei Schiebetüren an der Oberseite
öffnen, wenn die Verriegelung der Sicherheitsschalter nicht aktiv ist. Ein Lichtvorhang im Inneren
überwacht, ob der Maschinenbenutzer im Gefahrenbereich tätig ist.
Abbildung 20: XY-Koordinatentisch mit Schaltschrank [12]
An der Front des Schaltschranks (Abbildung 21) sind eine Reihe von Tastern und Schaltern angebracht,
mit denen der Bediener den Koordinatentisch steuern kann. Über den Schalter S4 (Manuell/Automatik)
lässt sich der Betriebsmodus umschalten. Ist der Automatikmodus aktiv, erfolgt die Bewegungsvorgabe
durch die speicherprogrammierbare Steuerung (SPS), im manuellen Modus mithilfe der Schalter S12-
S15 durch den Benutzer. S13 und S15 bestimmen dabei die Drehrichtung der beiden Motoren und
S12/S14 startet bzw. stoppt den Bewegungsvorgang mit einer definierten Geschwindigkeit. Der Taster
S5 (Not-Aus) stoppt beim Betätigen die Motoren und trennt sie von der Spannungsversorgung. Ein
Zurücksetzen von Fehlerzuständen der Antriebe erfolgt durch S16, ein Reset der Sicherheits-SPS ist
mittels S17 nach dem Eintreten von unsicheren Zuständen notwendig.
Safety-XY-Tisch – XY-Koordinatentisch Seite 21
Abbildung 21:Schaltschrank Front [12]
Im Inneren des Schaltschranks (Abbildung 22) befindet sich eine Siemens SPS, die für Positions- und
Bewegungssteuerung der Achsen im Automatikmodus verantwortlich ist. Sie besteht aus einem
Industrie-PC (Microbox 420 T), dem dezentralen Peripheriesystem ET200s, das Ein- und Ausgänge
verwaltet, und den Frequenzumrichtern SINAMICS S120, welche die beiden Servomotoren des
Koordinatentisches ansteuern. Die Sicherheitsüberwachung erfolgt durch eine sicherheitsgerichtete
speicherprogrammierbare Steuerung (Baumüller bmaXX safe PLC), welche über die Terminalmodule
TM54F mit den Motorsteuerungen S120 kommunizieren kann.
Abbildung 22: Schaltschrank Innen [12]
Die beiden Hauptkomponenten des Schaltschranks, Standard-SPS und Safety-SPS, arbeiten
größtenteils unabhängig voneinander und sind nicht direkt miteinander verbunden (Abbildung 23). Das
Einrichten und Programmieren beider Steuerungen erfolgt über die Ethernetschnittstelle. Mit der
Software Siemens Step 7 lassen sich die Antriebskomponenten der Standard-SPS Microbox WinLC T
projektieren und konfigurieren. Das Einrichten der Safe-PLC (Baumüller bmaXX) erfolgt über die
Software ProMaster und Prosafety im Rahmen dieses Praktikums. Die Bestandteile der Standard-PLC,
Safety-XY-Tisch – XY-Koordinatentisch Seite 22
dezentrales Peripherie-Modul ET200s und die Frequenzumrichter S120, kommunizieren mittels eines
konfigurierten Telegrammtyps über die Profibus-DP-Schnittstelle mit der Microbox-Steuerung. Das
Schnittstellen-Modul ET200s sendet die Signalzustände seiner Eingänge und empfängt die Stellgrößen
der Ausgänge. Die Motoransteuerungen S120 empfangen Sollgrößen für die Antriebe und geben Ist-
Zustände an die SPS zurück. Aufbau und Inhalt der Telegramme können vom Benutzer angepasst
werden.
Die SINAMICS S120-Module, zusammen mit der Control-Unit CU-310, sind das Bindeglied zwischen
Steuerung und Aktorik. Sie führen jedoch nicht nur die Befehle der Antriebs-SPS aus, sondern
unterstützen auch Überwachungsfunktionen, die sie autonom ausführen. Zu diesen zählen
beispielsweise die Safety integrated functions oder eine Drehmoment-Überwachung.
Das Ein- und Ausschalten dieser Überwachungsfunktionen kann von der Standard-SPS über ein
PROFISAFE-Protokoll erfolgen oder, wie in diesem Fall, von einer gesonderten sicherheitsgerichteten
speicherprogrammierbaren Steuerung (Safety-SPS).
An die Zuverlässigkeit der Kommunikation zwischen Safety-SPS und Motoransteuerungen werden
hohe Anforderungen gestellt, da sie für die korrekte Funktion der Sicherheitsfunktionen entscheidend
ist. Die sichere Kommunikation wird durch die Terminalmodule TM54F gewährleistet. Sie untersuchen
die Signale zwischen Safety-SPS und S120-Modulen auf Konsistenz und schalten die Antriebe bei
einem Übertragungsfehler ab.
Die Safety-SPS analysiert anhand von Sensordaten, ob eine Gefahrensituation vorliegt. Dafür werden
die Signale der zwei Sicherheitsschalter an der Schutztür von dem sicheren Eingangsmodul SI4000
ausgelesen. Sie informieren darüber, ob die Verriegelung der Türen aktiv ist und ob beide Türen
ordnungsgemäß geschlossen sind. Ein Lichtvorhang im Inneren des Schutzgehäuses detektiert
außerdem, ob der Bediener im Gefahrenbereich tätig ist. Als weiterer Sicherheitssensor wird der Not-
Aus-Taster an der Schaltschranktür ausgelesen. Neben den Sensoreingängen spielt auch die
Rückmeldung der Antriebsmodule eine wichtige Rolle. Sie garantieren der Safety-SPS den korrekten
Aufruf der internen Sicherheitsfunktionen. Über das SO4000-Modul setzt die Safety-SPS ihre
Ausgänge. Mit ihnen werden die Zuhaltungen der Sicherheitsschalter und die Sicherheits-Befehle an
die SINAMICS S120 Module gesteuert.
Safety-XY-Tisch – XY-Koordinatentisch Seite 23
Abbildung 23: Gesamtaufbau des Koordinatentisches [12]
Safety-XY-Tisch – XY-Koordinatentisch Seite 24
3.3 Beschreibung der Systemkomponenten
Abbildung 24: links: Microbox 420 T; rechts: ET200s mit IM151 [12
Microbox 420 T
Die Microbox T (Abbildung 24) ist eine Hardware-/Software-Kombination, die sich aus dem Industrie-
PC-System Microbox und der PC-basierten Steuerung WinLC T zusammensetzt. WinLC T ist ein
Softwarepaket und beinhaltet neben der programmierbaren Steuerung auch die Möglichkeit, externe
Hardware zu konfigurieren (Integrierte Motion-Control, Technologieobjekte, Achskonfiguration). Das
Ansprechen der dezentralen Peripherie erfolgt über die Profibus DP Schnittstelle. Der Benutzer greift
über die Ethernet-Schnittstelle von einem externen PC (Programmiergerät PG) mit der Software Step7
auf die Microbox zu und kann Projekte auf die interne Speicherkarte laden. Alternativ kann die Soft-
SPS auch direkt an der Microbox programmiert werden, wenn Monitor und Eingabegeräte
angeschlossen werden. Im Fehlerfall ist die Debug-Ausgabe über einen Monitor äußerst nützlich. Über
eine Ethernet- Remotedesktopverbindung lässt sich das SPS-Programm zudem auch ohne Step-7
steuern.
Dezentrales Peripheriesystem ET200s mit Inerfacemodul IM151
Das dezentrale Peripheriesystem ET200s (Abbildung 24) ist über die Profibus-Schnittstelle mit der
Microbox verbunden und bildet mit der Interfacekomponente IM151 das Bindeglied zwischen der SPS
und den Peripheriegeräten. Es liest die Eingänge, schickt deren Werte an die Microbox und erhält von
ihr die Stellwerte für die Ausgänge.
Folgende Ein-/Ausgänge sind vorhanden:
10x 4-Kanal Digitaleingang 4DI DC24V ST
5x 2-Kanal Digitalausgang 2DO DC24V/0.5A ST
4x 2-Kanal Analogeingang 2AI U ST
4x 2-Kanal Analogausgang 2AO U ST
2x Spannungsversorgungsmodul PM-E DC24V
Safety-XY-Tisch – XY-Koordinatentisch Seite 25
Abbildung 25: links: Servoantriebe SINAMICS S120, rechts: Synchronmotor 1FK7 für Y-Achse
Servoantrieb SINAMICS S120
Die Frequenzumrichter S120 (kombiniert mit der Control-Unit CU310 DP, Abbildung 25) erhalten über
Profibus DP von der SPS Befehle für die beiden Achsen und setzen diese mit ihrer Leistungselektronik
in eine Ansteuerung der Antriebe um. Eine Lageregelung gibt dabei Rückmeldung an WinLC T. Neben
dem Ausführen von Bewegungsbefehlen der SPS bietet das Modul integrierte Sicherheitsfunktionen,
die über die Eingänge des Terminalmoduls TM54F aufgerufen werden können. Diese werden
unabhängig von der Microbox-Steuerung ausgeführt.
Servomotoren 1FK7
Der Koordinatentisch verfügt über zwei kompakte Servoantriebe vom Typ 1FK7 (Abbildung 8). Da der
Servomotor der X-Achse den kompletten Aufbau für die Y-Achse mitbewegen muss, ist er wesentlich
größer dimensioniert. Die Motoren besitzen eine Messeinrichtung (Inkrementalgeber) für die
zurückgelegte Strecke; mithilfe einer Regelung erfolgt das Anfahren und Beibehalten des Sollwerts.
x-Achse:
Bezeichnung 1FK7042-5AK71-1DG0
Stillstandsmoment 3,0 Nm
Stillstandsstrom 4,4 A
y-Achse:
Bezeichnung 1FK7032-5AK71-1DG0
Stillstandsmoment 1,1 Nm
Stillstandsstrom 1,7 A
Safety-XY-Tisch – XY-Koordinatentisch Seite 26
Abbildung 26: Safety PLC (v.l.n.r.: Ethernetmodul ECT-02, Controller SAF-02, Speicherkartenmodul CFI-01,
Ein-/Ausgangsmodul PSB 02) [12]
Safety-SPS‘Baumüller b maXX safePLC
Zusätzlich zur eigentlichen SPS mit dem Verfahrprogramm wurde der Koordinatentisch um eine
sicherheitsgerichtete speicherprogrammierbare Steuerung (Abbildung 26) erweitert. Diese hat die
Aufgabe, alle sicherheitskritischen Funktionen zu überwachen und zu steuern. Laut Aussage des
Herstellers ist der verwendete Sicherheitskern nach SIL 3 gemäß IEC 61508 zertifiziert. Das
Controllermodul SAF-02 verfügt über zwei serielle Programmier-Schnittstellen (RS 232 und RS 485),
über die der 1 MByte große Programmspeicher beschrieben werden kann. Allerdings benötigt das
mitgelieferte Softwarepaket ProMaster/ProSafety das optionale Ethernetmodul ECT-02, um auf den
Programmspeicher zugreifen zu können.
Die Safety-SPS besteht aus folgenden Modulen:
Ethernetmodul ECT-02
Controllermodul SAF-02
Speicherkartenmodul CFI-01
Eingangs-/Ausgangsmodul PSB-02 mit
3x 4-Kanal Digitaleingang (SI4000)
3x 4-Kanal Digitalausgang (SO4000)
Terminalmodul TM54F
Das TM54F (Abbildung 27, links) ist ein Erweiterungsmodul für den Frequenzumrichter S120 und
bietet sichere digitale Ein- und Ausgänge (Abbildung 27, rechts). Diese dienen der Ansteuerung der
integrierten Sicherheitsfunktionen der SINAMICS-Module. Die Einbindung des TM54F-Moduls
Safety-XY-Tisch – XY-Koordinatentisch Seite 27
erfolgt über den DRIVE-CliQ-Bus. Insgesamt werden zwei Module verwendet, eines für jede Control-
Unit der Antriebsachen.
Das TM54F verfügt über folgende Schnittstellen:
Fehlersichere Digitaleingänge (F-DI) 10x
Sensor-Stromversorgung 3x
Digitaleingänge zum Überprüfen der F-DO 4x
Weitere Komponenten
Neben den bereits vorgestellten Modulen werden außerdem folgende Komponenten verwendet 1:
Power Module PM 340 (Spannungsversorgung der S120 Leistungselektronik)
EMV-Filter (Netzfilter für Leistungsmodule)
Netzdrossel (Begrenzung der Oberschwingungsströme)
Leistungsschalter
Leistungsschutzschalter
SITOP modular (geregelte Stromversorgung)
SITOP select (Stromversorgungs-Diagnosemodul) 1: Eine detaillierte Beschreibung ist in der Diplomarbeit „Entwicklung eines Prüfstandes zur Positionierung eines 2-Achsen-Koordinatentisches von Fardila
Zaihidee und Y-Khoa Bui aufgeführt.
Sicherheitsschalter mit elektromechanischer Zuhaltung PSEN me 1s
Abbildung 27: links: Erweiterungsmodul TM54, rechts: Anschlüsse des Terminalmoduls [12]
Safety-XY-Tisch – XY-Koordinatentisch Seite 28
Zusammen mit der Safety-SPS dienen die beiden Sicherheitsschalter (Abbildung 28) der
Stellungsüberwachung der beweglichen Schutzeinrichtungen. Ein Sensor kontrolliert, ob die
Schiebetüren des Schutzgehäuses geöffnet oder geschlossen sind. Desweiteren verfügt der PSEN me 1s
über eine Aktor-Funktion: Im Normalfall ist die elektromechanische Zuhaltung der Tür verriegelt, erst
wenn die Entriegelungsfreigabe durch die Safety-SPS erfolgt ist, lässt sich die Tür öffnen.
Abbildung 28: Pilz PSEN me 1s [12]
Infrarot-Sicherheitslichtvorhänge PSEN op2H s-30-075/1
Die Sicherheitslichtvorhänge PSEN op2H (Abbildung 29)sind mehrstrahlige optoelektronische
Schutzeinrichtungen. Sie bestehen aus einem parallel angeordneten Sender-(TX) und Detektormodul
(RX). Beide Module werden auf optischem Wege synchronisiert und sind nicht miteinander verbunden.
Der Hersteller garantiert eine Detektion von matten Objekten mit einem Radius von mehr als 30 mm.
Damit ist der Lichtvorhang als Handschutz geeignet.
Am Empfängermodul informieren vier LEDs über den Betriebszustand und detektierte Objekte. Der
Empfänger ist mit der Sicherheits-SPS verbunden und liefert den Signalzustand FALSE, sobald der
Lichtstrahl unterbrochen wurde.
Abbildung 29: Sicherheitslichtvorhänge Pilz PSEN op2H, Sender und Empfänger
Not-Aus Taster Eaton M22-K01
Beim Not-Aus-Taster S5 an der Schaltschranktür handelt es sich um einen zweistufigen Sicherheits-
Schalter. Er liefert zwei active-low Signale an die Safety-SPS. Bei halb-gedrücktem Taster
unterscheiden sich diese Signale (TRUE und FALSE), erst beim kompletten Durchdrücken springen
beide auf FALSE. Somit muss von der Sicherheits-SPS nicht nur bei eindeutigen FALSE-Signalen ein
Sicherheitsstopp eingeleitet werden, sondern auch bei inkonsistenten Zuständen. Das Einrasten des
Tasters nach dem Betätigen lässt sich durch eine Drehung im Uhrzeigersinn lösen.
Safety-XY-Tisch – XY-Koordinatentisch Seite 29
3.3 Safety-SPS: E/A-Struktur
Abbildung 30 zeigt die Ein- und Ausgänge der Safety-SPS die Sie im Rahmen des Praktikumsversuchs
verwenden können. Diese sind jeweils in drei Ein- und Ausgangsmodule untergliedert. Beachten Sie,
dass Sie alle Module bei der Softwarekonfiguration benutzen müssen, um eine einwandfreie
Funktionsweise sicherzustellen.
SDI1_0_NOT_AUS_K1 SDO4_0_DRIVE
SDI1_1_NOT_AUS_K2 SDO4_1_DRIVE
SDI1_2_AUTO_MODE SDO4_2_SS1_K1
SDI1_3_RESET SDO4_3_SS1_K2
SDI2_0_X_AXIS_ACK SDO5_0_RESET_K1
SDI2_1_Y_AXIS_ACK SDO5_1_RESET_K2
SDI2_2_ SDO5_2_ST1_MGNT
SDI2_3_LICHT_VORH SDO5_3_ST2_MGNT
SDI3_0_ST1_ST1_GSCHL SDO6_0_AUS1
SDI3_1_ST1_ST1_VERG SDO6_1_AUS2
SDI3_2_ST1_ANF SDO6_2_SLS_K1
SDI3_3_ST2_ANF SDO6_3_SLS_K2
Anmerkung:
MGNT = Magnet = Solenoid
ANF = Anfordung = Request
VERG = Veriegelt = Locked
GSCHL = Geschlossen = Closed
ST1 = Schütz_Tür1 = Safety Door1
VORH = Vorhang = Curtain
SS1 => Drive (Safety Function Safe Stop 1)
SLS => Drive (Safety Function Safety Limited Speed)
RESET => Drive
Ausgänge Eingänge
Abbildung 30: Safety-SPS Ein- und Ausgänge
Safety-SPS
Modul 3
Modul 2
Modul 1
Safety-XY-Table – Versuchsvorbereitung Seite 30
4 Versuchsvorbereitung
Die folgenden Versuchsvorbereitungen sollten Sie unbedingt schon getroffen haben, bevor Sie zum
vereinbarten Termin ins Praktikumslabor kommen:
Aufgabe1: Theoretischer Hintergrund
1) Erklären Sie die Begriffe:
Risiko
Safety Availability
SIL
PFD
Risiko-Graph
2) Welche grundlegenden Unterschiede bestehen zwischen Standard-SPS und Safety-SPS?
Aufgabe 2: Hintergrund zu Safety-Programmen
Lesen Sie sich die Dokumentation zur Hardwarekonfiguration (Anhang A) und PLCopen (Anhang B)
durch. Verinnerlichen Sie sich dabei folgende Punkte:
Anbindung von Safety-PLC mit ProMaster Software.
Struktur und Aufbau von Safety-Programmen
Datentypen und Typkonvertierung
Funktionen der Safety-Funktionsblöcke
Aufgabe 3: Ermittlung des SIL für den XY-Tisch
Im Unternehmen XY sind durch den Einsatz eines XY-Tisch-Systems ohne Schutzeinrichtungen in
einem Produktionsprozess bereits mehrere Unfälle geschehen. Durch die sich bewegenden
Komponenten waren die Unfallfolgen schwere Verletzungen, welche bereits zum Tod mehrerer
Personen geführt haben. Nach statistischer Auswertung geschehen solche Unfälle im Schnitt 5mal im
Jahr.
1) Ermitteln Sie die Risikoklasse anhand dieser Angaben ohne Schutzeinrichtung
Als neu angestellter Sicherheitsingenieur möchten Sie durch den Einsatz einer Schutzeinrichtung die
tolerierbare Gefahrenhäufigkeit auf 𝐹𝑡 = 1/5000 Jahre senken.
2) Ermitteln Sie die Risikoklasse mit Schutzeinrichtung
3) Ermitteln Sie den 𝑅𝑅𝐹 (Risk Reduction Factor) aus den oben angegebene
Gefahrenhäufigkeiten (𝐹𝑛𝑝, 𝐹𝑡)
4) Berechnen Sie 𝑃𝐹𝐷𝑎𝑣𝑔 (average Probability of Failure on Demand) und 𝑆𝐴 (Safety
Availability)
5) Ermitteln Sie damit den 𝑆𝐼𝐿 (Safety Integrity Level)
Safety-XY-Table – Versuchsvorbereitung Seite 31
Aufgabe 4: Gefahren und Risiken ermitteln und Entwicklung eines Sicherheitskonzeptes
Bei dieser Aufgabe sollen Sie ein Bedienungsszenario durchdenken, die dabei auftretenden Gefahren
analysieren und das Risiko ermitteln, um aus diesen Überlegungen und aus der Beschreibung der
vorhandenen Sicherheitskomponenten ein Sicherheitskonzept vorzustellen.
Schritt 1: Szenario: Manuelle Bedienung des XY-Tisches
Im Modus Manuell können Sie als Bediener den XY-Tisch von Hand verfahren, indem Sie die Motoren
für die X- und Y-Achse jeweils mit den Steuertasten bedienen (Kapitel 3.1, Abbildung 21).
Im angenommenen ersten Testfall sollen Sie den Tisch von einer Ausgangsposition zu einer Position
verfahren, an der Sie den Zeichenstift austauschen können.
Der Zeichenstift wird von Hand der an der Befestigungseinrichtung über dem XY-Tisch arretiert.
Für den zweiten Testfall nehmen Sie an, dass sie den Zeichenstift austauschen müssen, unter der
Bedingung dass der XY-Tisch weiterhin manuell bedient werden kann.
Nachfolgend werden die Testszenarien genauer beschrieben.
Bediener Systemverhalten
Schalten Sie in den Manuell-Modus (durch
Betätigen des Auto/Manuell-Drehschalters in
die Manuell-Stellung)
Steuern Sie die Motoren in X-Achsen und/oder
Y-Achsen-Richtung durch Betätigen der X-
und/oder Y-Start/Stop Schalter.
Verfahren Sie den XY-Tisch in negative oder
positive Richtung durch Betätigen des Schalters
für die Richtungswahl bis zur Anfangsposition.
Arretieren Sie den Zeichenstift an der
Befestigungseinrichtung. Verschließen Sie die
Haltevorrichtung.
Antriebsmotoren sind in Bereitschaft und warten
auf Bedieneranweisung
XY-Tisch bewegt sich nach Bedienerwunsch
Antriebsmotoren sind in Bereitschaft und warten
auf Bedieneranweisung
Safety-XY-Table – Versuchsvorbereitung Seite 32
Schritt 2: Risikoanalyse
Im Modus Manuell können viele gefährliche Situationen mit den damit verbundenen Risiken auftreten,
die identifiziert und benannt werden müssen. Zur Vermeidung oder Verminderung des Risikos, die mit
diesen Situationen einhergehen, müssen Sicherheitsmaßnahmen definiert werden. Im Folgenden ist eine
geführte Risikoanalyse der zuvor beschriebenen Bedienerszenarien durchzuführen.
Risikoanalyse für Testfall 1 (Positionierung) im Manuellen Modus
Modus: Manuell Der Bediener ist in der Lage den XY-Tisch manuell
sowohl in X- als auch in Y-Richtung zu verfahren.
Szenario #1 Bewegen des XY-Tisches zur
Zeichenstiftaustauschposition
Gefahrentyp (z.B. mechanisch, thermisch,
elektrisch,…)
Gefahrenursache: (z.B. technisches
Versagen, Bedienerfehlverhalten,…)
Schadensausmaß: (z.B. leichte/schwere
Verletzung von Personen, Tod von einer oder
mehreren Personen,…)
Schadenshöhe: (Niedrig/Mittel/Hoch)
Eintrittswahrscheinlichkeit:
(Niedrig/Mittel/Hoch)
Risiko: (aktzeptabel/nicht aktezptabel)
Sicherheitsmaßnahmen:(siehe
Anmerkungen am Seitenende)
Safety-XY-Table – Versuchsvorbereitung Seite 33
Risikoanalyse für Testfall 1 (Einsetzen des Zeichenstiftes) im Manuellen Modus
Modus: Manuell Der Bediener ist in der Lage den XY-Tisch manuell sowohl
in X- als auch in Y-Richtung zu verfahren.
Szenario #2 Austausch des Zeichenstiftes
Gefahrentyp (z.B. mechanisch, thermisch,
elektrisch,…)
Gefahrenursache: (z.B. technisches
Versagen, Bedienerfehlverhalten,…)
Schadensausmaß: (z.B. leichte/schwere
Verletzung von Personen, Tod von einer oder
mehreren Personen,…)
Schadenshöhe: (Niedrig/Mittel/Hoch)
Eintrittswahrscheinlichkeit:
(Niedrig/Mittel/Hoch)
Risiko: (aktzeptabel/nicht aktezptabel)
Sicherheitsmaßnahmen:(siehe
Anmerkungen am Seitenende)
Anmerkungen: Maschinenkontrollsysteme werden benutzt um Risiken zu minimieren bspw.: — um das Auftreten von Gefahren zu verhindern (z.B. Verhindern von Bewegungen um Kollisionen zu vermeiden) — um das Schadensausmaß zu vermindern (z.B. Verringerung der Bewegungsgeschwindigkeit — um die Wahrscheinlichkeit des Eintretens von Gefahrensituationen zu vermindern (z.B. schrittweise Abläufe oder Verminderung der Bedienerfreiheitsgrade) — um die Exposition von Gefahrenquellen zu reduzieren (z.B. durch Absicherung und Schließmechanismen
— um Gefahrensituationen kenntlich zu machen (z.B. durch Warnsignale) — um Fehlbedienung oder Systemfehler zu reduzieren (z.B. durch Prozess-Monitoring und überlagerte Schutzvorrichtungen)
Schritt 3: Sicherheitskonzept für den XY-Tisch
Entwickeln Sie aus den Überlegungen in den vorhergehenden Schritten ein Sicherheitskonzept für die
Bedienung des XY-Tisches. Nutzen Sie hierfür die Angaben zu den Ein- und Ausgängen der
Systemkomponenten und die Dokumentation über die Safety-Funktionsblöcke.
Schritt 4: Testszenarien
Entwickeln Sie Testszenarien, um Ihr Sicherheitskonzept für den XY-Tisch zu überprüfen.
Safety-XY-Table – Versuchsvorbereitung Seite 34
5 Versuchsdurchführung
Der Versuch findet im Praktikumslabor des Lehrstuhls AES im Gebäude A5.1, Raum 1.37, statt. Vor
Versuchsbeginn werden die Vorbereitungsaufgaben und den Versuchsablauf mit dem
Praktikumsbetreuer diskutieren. Führen Sie anschließend folgende Versuchsaufgaben durch.
Nach dem Versuchstermin ist eine Versuchsauswertung anzufertigen und beim Versuchsbetreuer
abzugeben.
Aufgabe 1: Konfiguration
Konfigurieren Sie die Hardwarekomponenten der Baumüller Safety-SPS mit ProMaster. Orientieren
Sie sich hierbei am im Anhang A beschriebenen Vorgehen.
Aufgabe 2: Implementierung
Setzen Sie Ihr in Kapitel 4, Aufgabe 3 entwickeltes Sicherheitskonzept für den XY-Tisch um.
Implementieren Sie hierzu ein Safety-Programm ohne die Verwendung von formalen Methoden. Dieses
Programm soll alle installierten Sicherheitskomponenten ansprechen. Nutzen Sie hierfür die
Programmiersprache FBD (Function Block Diagram) nach IEC 61113-3. Informationen zu den Ein-
und Ausgängen des Systems sind in Kapitel 3.3 enthalten.
Gehen Sie hierbei wie folgt vor:
Starten Sie die ProMaster-Software
Konfigurieren Sie den Kommunikationbus
Starten Sie die ProSafety Software.
Starten Sie das System
Schreiben Sie Ihr Programm
Aufgabe 3: Testen der Spezifikation
Testen Sie Ihre Spezifikation, indem Sie Ihr Programm auf die Safety-SPS übertragen:
Übertragen des Programms auf die Safety-SPS
Führen Sie Ihr Programm aus
Die Bezeichnung der Hardwarekomponenten finden Sie auf den Komponenten selbst. Beachten Sie,
dass die Komponenten richtig initialisiert wurden.
Aufgabe 4: Evaluation
Überprüfen Sie Ihr Sicherheitsprogramm, in dem Sie die von Ihnen entwickelten Testszenarien
anwenden.
Safety-XY-Table – Versuchsvorbereitung Seite 35
Quellenverzeichnis
References
[1] D. Macdonald, Practical industrial safety, risk assessment and shutdown systems for industry.
Amsterdam, Oxford: Newnes, 2004.
[2] IEC/EN 61508, 1-7.
[3] IEC/EN 61511, 1-3.
[4] D. Chavez, “Rockwell Automation External LTS Template,”
[5] A. Ingrey, P. Lerévérend, and A. Hildebrandt, “Manual - Safety Integrity Level,” 2007.
[6] Prof. Dr. Ing. Georg Frey, “Grundlagen der Automatisierungstechnik: 5. Funktionale Sicherheit
SAFETY,” Saarbrücken, 2013.
[7] “The Safety Compendium: Chapter 4,” 2012.
[8] “PLC vs. Safety PLC - Fundamental and Significant Differences,” 2002.
[9] A. Otto, “Programming of safety-related applications,” 2009.
[10] “PLCopen - Technical Committee 5 - Safety Software: Technical Specification Part 1: Concepts and
Function Blocks,” Version 1.0 - Official Release Compliance Statement Only
[11] V. Sasse, “First-time standardization of safety-relevant PLC application software by PLCopen,”
[12] N. Helwig, “Erweiterung des XY-Koordinatentisches um eine Safety-SPS,” Studienarbeit AUT.