DHBW Mannheim Automatisierungssysteme Zuverlässigkeit, Verfügbarkeit, Sicherheit Erich Kleiner, Okt. 2016 1. Begriffe, 2. Zuverlässigkeit

ASA_Zuv_Verf_Sich 1

Zuverlässigkeit, Verfügbarkeit, Sicherheit

Diese Unterlage definiert die o.g. Begriffe und zeigt ihre Anwendungen in der Automation.

Inhalt: Seite:

1. Begriffe (Übersicht) 1

2. Zuverlässigkeit 1 (Maße, Wertequellen, Berechnung)

3. Fehler 2 (Fehlerarten, Maßnahmen, -Wahrscheinlichkeit)

4. Verfügbarkeit 4.1 Definition, Berechnung, 5 4.2 Redundanzen, 4.3 Wartungsmaßnahmen 6

5. Sicherheit 5.1 Begriffe, Normen, 5.2 Anforderungen 8 5.3 Validierung 12

6. Fehlertolerante Prozessleitsysteme 16

7. Sicherheits- gerichtete Systeme 17 (Anforderungen, Maßnahmen, Beispiele)

8. Explosionsschutz 25

Literatur 28

1. Begriffe (Übersicht) Zur Beurteilung des Verhaltens von technischen Ein-richtungen im Falle von Fehlern und Störungen gibt es verschiedene Begriffe mit unterschiedlicher Be-deutung: Zuverlässigkeit meint die störungsfreie Ausführung der bestimmungsgemäßen Funktion. Sie wird für Bauelemente und einzelne Geräte angegeben.

Ein Fehler ist das Fehlverhalten eines Bauele-mentes oder eines Gerätes. Fehler sind grundsätz-lich unvermeidbar. Durch geeignete Maßnahmen können aber die Häufigkeit ihres Auftretens sowie ihre Auswirkungen gemildert werden

Verfügbarkeit ist ein Auslegungsziel für das Erstellen einer Anlage. Dabei kommt es darauf an, die Anlage auch beim Auftreten von Fehlern weiter betreiben zu können. Aufwendungen für die Erhöhung der Verfügbarkeit müssen sich durch Einsparung von Ausfallkosten amortisieren.

Sicherheit ist ebenfalls ein Auslegungsziel für das Erstellen einer Anlage. Hier kommt es darauf an, dass durch einen Fehler keine Gefährdung von Menschen, Einrichtungen und Umwelt auftreten. Für viele Anwendungen wird ein bestimmter Grad von Sicherheit als Bedingung für die Betriebser-laubnis vorgeschrieben. Die Einhaltung muss nach-gewiesen werden.

Unter Verlässlichkeit werden Verfügbarkeit und Sicherheit (System- bezogen) sowie Zuverlässigkeit und Instandhaltbarkeit (Komponenten- bezogen) zusammengefasst.

‘Ein Sicherheitssystem ist eine Einrichtung zum Herstellen / aufrecht Erhalten des sicheren Betriebs einer Anlage, das seine Sicherheitsfunktion durch entsprechende Auslegung oder andere Systeme bewahrt.' Wegen des höheren Aufwands ist es oft

parallel oder zusätzlich zu einem "normalen" ("betrieblichen") System angeordnet und beeinflusst nur "Sicherheits - relevante" Anlagenteile. Ein System kann "Sicherheits - gerichtet" ausge-legt sein, d.h. so, dass es eine Anlage im Zweifelsfall in einen sicheren Zustand bringt.

Explosionsschutz meint Maßnahmen zur Ver-hinderung der Entzündung explosionsgefährdeter Gase oder Stäube.

2. Zuverlässigkeit Die Zuverlässigkeit (λ) eines Bauelements oder eines Gerätes wird in zu erwartenden Ausfällen (n) pro Stunde (t) oder als durchschnittlich zu erwartende Zeit in Stunden zwischen zwei Ausfällen (MTBF = Mean Time Between Failures) angegeben.

Dabei ist zu beachten, dass sich diese Größen während der Anwendung eines Bauelementes bzw. Gerätes verändern, wie die „Badewannenkurve“ in Bild 2.1 zeigt. Für mechanische Teile kann man eine durch Verschleiß bedingte kalkulierbare Lebensdauer angeben. Elektronik unterliegt zwar auch gewissen Ver-schleiß- Effekten, wichtiger aber sind die nicht kalkulierbaren Zufallsausfälle. Direkt nach der Herstellung treten erhöhte Ausfallszahlen durch Material- oder Fertigungsfehler auf, die durch „Einbrennen“ (Betrieb unter max. zulässigen Bedingungen über eine bestimmte Zeit) für den Betrieb übersprungen werden. Nur danach bis zum Einsetzen von Verschleißeffekten ist λ etwa kons-tant und es gilt, dass MTBF der Kehrwert von λ ist. Für diese Zeit kann λ durch Tests ermittelt werden: r: Ausfälle n: Anzahl getesteter Teile t: Zeit in Stunden Besser handhabbare Zahlen ergeben sich als „fit“ (failures in time), nämlich bezogen auf 10

9 Stunden:

Meist liegen Erfahrungswerte vor.

1MTBF

t

Früh-

Ausfälle

Zufalls- Ausfälle Verschleiß

Maß: λ

(Ausfälle

pro Std.)

Mean Time Between Failors MTBF

Nur bei konstantem λ gilt:

Betrachtung

für Elektronik

(nicht

kalkulierbar)

Betrachtung für Mechanik

(Verschleiß =

kalkulierbar)

t

Auch bei

Elektronik

gibt es

Verschleiß-

Effekte!

bis 104 h

~ 1 Jahr

105 bis 106 h

8 bis 12 Jahre

Ein-brennenEin-brennen

Maßnahme

Gegen

Frühausfälle:BetriebBetrieb

t

Bild 2.1: Zuverlässigkeit

tn

rtest

][][

][109

fithtn

hr

b

test

/h

Zuverlässigkeit, Verfügbarkeit, Sicherheit Automatisierungssysteme DHBW Mannheim 3. Fehler Erich Kleiner, Oktober 2007

2 ASA_Zuv_Verf_Sich

Werden n Bauelemente (bzw. Geräte) mit bekann-tem λ zusammengeschaltet, so ergibt sich je nach Anordnung

3. Fehler 3.1 Fehlerarten Tab. 3.1 zeigt Fehlerarten und Gegenmaßnahmen: Nach den Auswirkungen sind zu unterscheiden: - systematische Fehler durch falsche HW -

Auslegung oder Programmierung (Entwurf). Diese treten nach Behebung nicht mehr auf.

- physische Fehler der HW durch Verschleiß, Alterung. Sie treten nach Behebung wieder auf.

Bei den physischen Fehlern sind wiederum zu unter-scheiden: - passive Fehler (en: passive fault): - verhindern Prozesseingriff (z.B. EIN – oder auch AUS- Befehl), - lassen sich feststellen durch Funktionsüberwach- ung bzw. zyklische Prüfung,

- aktive Fehler (en: active fault): - bewirken Prozesseingriff (z.B. EIN – oder auch AUS- Befehl), - lassen sich feststellen durch Anlagenüber- wachung

Um eine hohe Gesamtzuverlässigkeit zu erreichen müssen bei der meist vorkommenden seriellen Anordnung die einzelnen Ausfallraten sehr klein sein, da sie sich zur Gesamt- Ausfallrate addieren. Bei der redundanten Anordnung geht rechnerisch die Ordnungsnummer i des Kanals mit ein, so dass der zweite Kanal 50% Verbesserung bringt, der dritte nur noch 33%, usw. Da Fehler grundsätzlich nicht zu vermeiden sind ist es eine Frage der Anlagenauslegung, welche Fehler- Auswirkungen durch geeignete Maßnahmen vermieden werden: - hauptsächlich verfügbar: (Vermeidung einer Betriebsunterbrechung) - keine Verhinderung von EIN- Befehlen, - keine ungewollten AUS- Befehle - hauptsächlich sicher: (Vermeidung von gefährlichen Zuständen) - keine Verhinderung von AUS- Befehlen, - keine ungewollten EIN- Befehle Das sind widersprüchliche Anforderungen. Nur mit relativ hohem Aufwand (z.B. konsequente 2 von 3- Anordnungen) lassen sich Verfügbarkeit und Sicherheit gleichermaßen gewährleisten.

Serielle Anordnung

(keine Redundanz):

n

i

igesamt

1

Parallele Anordnung

(mit Redundanz)

n

i i

gesamt

i1

1

1

Fehlerarten Maßnahmen zur Verringerung Organisatorische Maßnahm.

Systematische Fehler Projektorganisation:

(prinzipiell vermeidbar!) - Verantwortlichkeiten, Bindungen,

- HW: Entwurf, Entwicklung, - Beachtung von Normen, - Qualitätssicherungsmaßnahmen

Konstruktion - ggf. Musterbau / Test, (Prüfungen, Phasenmodell)

- SW: Spezifikation, Entwurf - Prüfung / Simulation von Spezifikationen,

- Benutzung von Entwurfssystemen, Standards,

- Verzicht auf Optimierung,

- Minimierung von Realzeiteinflüssen

Zufällige Fehler in der HW

- Lebensdauer von Bauelementen, - sorgfältige Auswahl von Bauelementen

Komponenten / Komponenten,

- Inspektionen, “Walk through“,

- Überwachungs - und Diagnoseeirichtungen

Handhabungsfehler Betriebsorganisation:

- Falsche Bedienung - Bedienungs - Handbuch - Personalschulung

- Unbeabsichtigte Bedienung (auch an Simulatoren)

Instandhaltungsfehler

- Unterlassene Wartung - IMS - Funktionen (Wartungsprotokoll), - Qualitätssicherung,

- Fehler bei Wartungsdurchführung - Wartungshandbuch - Personalschulung

(auch an Simulatoren)

Fehler durch äussere Einflüsse

- elektrische Störung - EMV - Maßnahmen

- mechanische (Zer-) Störung - schützender mechanischer Aufbau

- Umwelteinflüsse (Korrosion, ..) - Bauelemente - Auswahl

DHBW Mannheim Automatisierungssysteme Zuverlässigkeit, Verfügbarkeit, Sicherheit Erich Kleiner, Oktober 2007 3. Fehler

ASA_Zuv_Verf_Sich 3

3.2 Fehlerwahrscheinlichkeit Das Auftreten von Fehlern ist aus Erfah-rungen in den verschie-denen Teilen eines Automatisierungssys-tems verschieden wahr-scheinlich, wie Bild 3.1 zeigt. Das liegt an unterschiedlicher Tech-nologie (z.B. Verschleiß bei Schützen) und der Anordnung (besonders geschützte Elektronik). So ist z.B. eine doppelt ausgelegte CPU nur sinnvoll bei ziemlich zentraler Anordnung, d.h. wenn sie für viele Funktionen benötigt wird. Bei dezentraler Anordnung ist die ganze Funktion (Ab-zweig) zu betrachten. Dies spielt bei den Sicherheitskategorien eine Rolle. Tabelle 3.2.1 lis-tet verschiedene Ausfallarten nach verschiedenen Aspekten auf. Tabelle 3.2.2 listet Fehlerarten in Hard- und Software auf. Manchmal wird vor dem Bau einer Anlage eine Zuverlässigkeitsanalyse verlangt. Ihre Erstellung ist nur aufgrund genauer Kenntnisse über alle denkbaren Ausfall- und Fehlerarten der im System verwendeten Komponenten möglich. In komplexen Systemen müssen dabei die hierarchischen Ebenen der Systemstruktur berücksichtigt werden. Als Beispiel sei ein Rechner betrachtet, bei dem wie in Bild 2.3.1 gezeigt mehrere Ebenen zu unterscheiden sind. Der Ausfall der Festplatte stellt z.B. eine bestimmte Ausfallart des Rechnersystems dar. Die Ursache dafür kann z.B. ein defekter Chip im Controller sein. Diese Zusammenhänge sind für die Zuverlässig-keitsanalyse von großer Bedeutung. 3.3 Maßnahmen zur Zuverlässigkeits - Erhöhung Zur Erhöhung der Zuverlässigkeit der Komponenten und Systeme werden sogenannte "konstruktive Maßnahmen" angewandt. Sie sind in Tabelle 3.3 aufgelistet.

Pfad - Teil Mögliche Störungen Wahrscheinlichkeit

Geber, - Funktionsausfall, hoch (Umgebungseiflüsse)

Messumformer - falscher Wert mittel

Unterverteiler, Leitungsunterbruch, mittel

Leitungen Kurzschluss nach Erde, mittel

Kurzschluss nach Spannung niedrig

Sicherungen - Überstrom bei Kurzschluss, mittel

Stromversorgung - Ausfall niedrig (wenn 2 - kanalig)

Eingabe - Geräte - Funktionsausfall, niedrig

- Spannungsausfall niedrig (wenn 2 - kanalig)

Verarbeitung (CPU) - Funktionsausfall sehr niedrig,

redund.:besonders niedrig

Ausgabe - Gerät - Funktionsausfall, niedrig

- Spannungsausfall niedrig (wenn 2 - kanalig)

Unterverteiler, (wie oben)

Leitungen

Schaltanlage - Funktionsausfall, mittel (Verschleiss)

- Ausfall Steuerspannung, mittel

- Ausfall Schienenspannung mittel

Aggregat - Funktionsausfall mittel bis hoch (Verschleiss)

(Prozess)

10%

50%

40%

5%

35%

60%

I

P

+

M

Controller

Steuerspannung

Schienen-

Spannung

Bild 3.2.1: Fehlerwahrscheinlichkeiten in einem Abzweig

Umfang:

- Vollausfall,

- Teilausfall

Ursache / Auswirkung:

- Primärausfall,

- Folgeausfall

Geschwindigkeit:

- Sprungausfall,

- Driftausfall

Sicherheit:

- Sicherheits - bezogener Ausfall,

- nicht Sicherheits - bezogener Ausfall,

- gefährlicher Ausfall

Betriebsphasen:

- Frühausfall,

- Zufallsausfall,

- Spätausfall

Schwere:

- Hauptausfall,

- Nebenausfall,

- kritischer Ausfall

Dauer:

- sporadischer Ausfall,

- statistischer Ausfall

Ursache:

- Entwurfs - bedingter Ausfall,

- Fertigungs - bedingter Ausfall

Anzahl:

- Einfachausfall,

- Zweifachausfall,

- Mehrfachausfall

Hardware: Software:

Dimensionierungsfehler Spezifikationsfehler

Schaltungsfehler Konzeptfehler

Verdrahtungsfehler Entwurfsfehler

Fertigungsfehler Codierfehler

EPROM - Fehler Compiler - Fehler

Dokumentationsfehler Dokumentationsfehler

Ebenen bei einem Rechner:

System

Teilsystem

Baugruppe

Bauelement

Rechner

Festplatte Grafik -

Karte

Controller

Chip

Bild 3.2.2: Systemstruktur eines Rechners für eine Zuverlässigkeitsanalyse

Zuverlässigkeit, Verfügbarkeit, Sicherheit Automatisierungssysteme DHBW Mannheim 3. Fehler Erich Kleiner, Oktober 2007

4 ASA_Zuv_Verf_Sich

Durch konstruktive Ge-staltung der Komponen-ten lässt sich deren Aus-fallverhalten beeinflus-sen. Die Verwendung besserer Materialien auf-grund der Grundlagen-forschung in Physik und Chemie, die Verwendung besserer Konstruktionen und die Anwendung besserer Herstellungs-technologien kann die Ausfallrate der Kompo-nenten erheblich ver-bessern. Im Softwarebereich sind die konstruktiven mit die wichtigsten Maßnahmen zur deutlichen Steigerung der Software - Zuverlässigkeit. Ein nicht gemachter Fehler muss nicht durch aufwändige Tests aufge-spürt und behoben werden. Darüber hinaus gibt es weitere Maßnahmen zur Steigerung der Zuverlässigkeit: - Schulung und Training der Mitarbeiter, - Verbesserung der Team- und Projektorganisation, - Verbesserung des Qualitätssicherungs - Systems und der Dokumentation. Insbesondere bei Sensoren wird zur Erhöhung der Zuverlässigkeit auch die Selbstüberwachung ein-gesetzt, was jedoch nur möglich ist, wenn eine Referenzinformation zum betrachteten Messwert zur Verfügung steht. Allerdings kann nur ein Teil der auftretenden Fehler durch Selbstüberwachung fest-gestellt werden. Übliche Methoden sind:

- Umschalten auf Referenzgrößen: zyklisches Umschalten auf bekannten Messwert möglichst weit "vorne" am Sensor zur möglichst vollständigen Kontrolle der Messkette (bedingt Unterbrechung der Prozessgrößenmessung),

- Vor- und Erfahrungswissen über den Signal-verlauf: Vergleich mit gespeichertem Verlauf bzw. Gradient,

- Messen von Hilfs- und Einflussgrößen: Zusatzinformationen durch Hilfssensoren, z.B. Membranbruch - Überwachung (bedingt allerdings höhere Kosten),

- Parameterüberwachung der Messkette: z.B. erhöhter ohm'scher Stromanteil durch Ablagerung (großes Potential, aber aufwändiges Verfahren).

Darüber hinaus wird auch Übergreifende Über-wachung eingesetzt (Bezeichnung von NAMUR und VDE - Fachgesellschaft GMA vorgeschlagen). Dabei ergeben sich folgende Vorteile: + es können mehr Fehler gefunden werden, + auch bei fehlenden Möglichkeiten der Selbstüber- wachung einsetzbar. Nachteile sind allerdings: - Die Diagnosemöglichkeiten sind unspezifischer, - zur Anwendung sind Prozesskenntnisse erforderlich.

Die dabei üblichen Methoden sind: - Redundante Ausführung: Vergleich mehrerer

Messungen des gleichen Messwertes (siehe 3. "Verfügbarkeit", "Prozessredundanz"),

- Plausibilitätsbetrachtungen: fehlerhaft konstante

Werte bei durch andere Werte belegte Dynamik. Leicht zu realisieren, für Diagnose sind aber

Zusatzinformationen nötig. - Vor- und Erfahrungswissen über Signal-

verläufe: Vergleich mit Erfahrungswerten bei einer bestimmten Prozesssituation, die durch andere Messungen erkannt wird.

Relativ geringer Aufwand. - Prozesshistorie: Vergleich des aktuellen

Prozesszustands mit ähnlichen Prozesssituationen aus der Vergangenheit. Bei deutlicher Abweichung ist ein Fehler vorhanden.

Dazu werden für den Prozess charakteristische Signale und eine Anzahl Prozesssituationen

ausgewählt. Diese Methode sollte für diskrete Prozesssituati-

onen bei Batch - Prozessen eingesetzt werden und setzt genaue Prozess - Kenntnis voraus. Wichtig ist die Beschränkung auf wenige sinnvolle Signale, um hochdimensionale Merkmalsräume zu vermeiden.

Kurzzeitig auftretende Fehler (Spikes) werden nicht erkannt.

- Mathematische Modelle: Vergleich der aktuellen

Werte mit den Ergebnissen eines mathematischen Modells (Formel) des Prozesses, möglich als:

- statische Modelle (berücksichtigen nur Signale des aktuellen Abtastschrittes), und - dynamische Modelle (berücksichtigen auch zeit- liche Vorgängermesswerte). - Empirische Modelle: Vergleich der aktuellen

Werte mit einem Polynom, das durch im "GUT" - Zustand gemessene Zusammenhänge gebildet wurde.

Tabelle 3.3: Konstruktive Maßnahmen zur Zuverlässigkeitsverbesserung

Hardware:

- Verwendung hochwertiger Materialien,

- Verwendung neuer Technologien,

- Verwendung hochwertiger Bauelemente,

- Schutz gegen Umwelteinflüsse

(Bauelemente-Verkapselung),

- Störfestigkeit (Abstand zwischen Nutz-

und Störsignal),

- Überdimensionierung (größere Abmessungen)

- Unterlastung (kleinere Spannungen),

- Bessere Kühlung (Packungsdichte, Kühlkörper,

Kühlmedium),

- Schaltungsmaßnahmen (Überspannungsschutz,

Kurzschlussfestigkeit),

- Schwachstellenanalyse (zu viele Steckverbinder),

- Verbesserung des QS - Systems (Materialprüfung,

Funktionsmusterprüfung),

- Verbesserung der Systemkonstruktion

Software:

- Höhere Programmiersprache,

- Strukturierte Programmierung /

Objekt - basierte Programmierung mit Standardbausteinen,

- Top-down-Verfahren,

- Software Tools, Entwicklungsumgebung,

- Spezifikations- und Entwurfssprachen und -Systeme,

- Software-Qualitätssicherungs-Maßnahmen

(Review, Prüfung, Test),

- Verifikation und Validation (Teststrategie, Abdeckung),

- Programmanalyse-Verfahren,

- Simulation,

- Fehler-Ursachenforschung (Schwachstellenanalyse)

Software:

- Höhere Programmiersprache,

- Strukturierte Programmierung /

Objekt - basierte Programmierung mit Standardbausteinen,

- Top-down-Verfahren,

- Software Tools, Entwicklungsumgebung,

- Spezifikations- und Entwurfssprachen und -Systeme,

- Software-Qualitätssicherungs-Maßnahmen

(Review, Prüfung, Test),

- Verifikation und Validation (Teststrategie, Abdeckung),

- Programmanalyse-Verfahren,

- Simulation,

- Fehler-Ursachenforschung (Schwachstellenanalyse)

DHBW Mannheim Automatisierungssysteme Zuverlässigkeit, Verfügbarkeit, Sicherheit Erich Kleiner, Oktober 2007 4. Verfügbarkeit

ASA_Zuv_Verf_Sich 5

Der breite Einsatz der übergreifenden Überwachung scheitert meist am Realisierungsaufwand. Dieser rechnet sich bei großen Stückzahlen (z.B. Fahrzeugindustrie) und ist gering, wenn Prozess und Messtechnik in einer Hand liegen. In der Verfahrenstechnik sind die Anlagen Unikate und die Sensorik wird von verschiedenen Herstellern be-zogen.

4. Verfügbarkeit 4.1 Definitionen, Berechnung Unter Verfügbarkeit versteht man, inwieweit eine Einrichtung zur Erfüllung ihrer Aufgaben zur Verfügung steht, wobei nur die verfügbare Betriebs-zeit in Rechnung zu setzen ist, z.B. 2 x 8 Std./Tag bei Zweischichtbetrieb: Die Verfügbarkeit kann auch über MTBF (Mean Time between Failures) und MTTR (Mean Time To Repair) ausgedrückt werden. Die Verfügbarkeit kann erhöht werden durch: - hohe Zuverlässigkeit von Bauelementen bzw. Geräten - Redundante Anordnung (von lat. redundantia: Überfluss) - homogen (gleichartige Kanäle), oder - diversitär (verschiedenartige Kanäle, z.B. verschiedene Messverfahren) - vorbeugende Wartung (Ausfall- Vorbeugung möglichst außerhalb der Betriebszeit) - Hilfen zur Fehlerdiagnose (Verkürzung MTTR) Die verschiedenen Zeiten erklärt Bild 4.1 Ein Ausfall ist ein Ereignis und führt zu einem Fehlerzustand, der sich evtl. jedoch erst bei einer Funktionsanforderung an die gestörte Funktion bemerkbar macht und zu einem Versagen (Ereignis) führt. Ab jetzt läuft die „Störungsdauer“ (Aus-fallzeit) MTTR bis zur Fertigstellung der In-standsetzung. MTBF ist der „Ausfall-abstand“ zwischen zwei Versagen- Ereig-nissen. Falls eine Anlage nicht 24 Std./Tag in Betrieb ist, dann darf hier natürlich statt 24 Std. nur die tatsächliche Betriebszeit eingehen.

Für das online asset management von Apparaten, Maschinen und Feldgeräten ist die genaue Zustandserkennung Voraussetzung, und diese benötigt mehr Informationen als aus der Selbstüberwachung zur Verfügung stehen. Daher sollten die Methoden der übergreifenden Überwachung nicht wegen Realisierungs-schwierigkeiten verworfen werden. Nach DIN 40 041 gelten folgende Definitionen: Ausfall (Ereignis): Beendigung der Funktionsfähig-keit einer materiellen Einheit innerhalb zugelassener Beanspruchung. Fehler (Zustand): Nichterfüllung einer Forderung (nach bestimmungsgemäßer Funktion). Versagen (Ereignis): Entstehen einer Störung bei zugelassenem Einsatz aufgrund in der Einheit selbst liegender Ursache. Störung (Zustand): Fehlende, fehlerhafte oder un-vollständige Erfüllung einer geforderten Funktion durch die Einheit. Betriebsdauer: Intervall der Anwendungsdauer, in dem die geforderte Funktion erfüllt wird. Störungsdauer: Intervall der geforderten Anwend-ungsdauer, in dem eine Störung besteht. Ausfallabstand: Intervall der Anwendungsdauer zwischen zwei aufeinander folgenden Ausfällen (Störungen). Für Bauelemente gibt es einen weiteren Ausdruck: Ausfallsatz (Fraction Failure) ist der Anteil ausge-fallener Bauelemente während einer anzugebenden Beanspruchungsdauer in % (d.h. je 100 Bauele-mente).

funktionsfähig

Ausfall

(Ereignis)

Fehler

(Zustand)

Versagen (Auswirkung)

(Ereignis)

Störung

(Zustand) Instandsetzung

funktionsfähigAnlagenzustand

Funktions - Anforderung

(betrachtete Teilfunktion

wird benötigt)

Betrieb

(Anlage in Betrieb)

MTTR (Mean Time To

Restoration / Repair),

od. MDT (Main Down Time)

MTBF (Mean Time

Between Failures)

Betriebs-

pause

Betriebs-

pause

Fehleroffen-

barungszeit

Störungsdauer (Ausfallzeit)

FehlerStörung

BetriebsdauerBetriebsdauer

tAusfallabstand

Ausfall

Verfügbarkeit = nutzbare Betriebszeit

verfügbare Betriebszeit

MTTRMTBF

MTBFV

Bild 4.1: Ereignisse, Zustände und Zeiten Ände und

Zuverlässigkeit, Verfügbarkeit, Sicherheit Automatisierungssysteme DHBW Mannheim 4. Verfügbarkeit Erich Kleiner, Oktober 2007

6 ASA_Zuv_Verf_Sich

4.2 Redundanzen Bei der Redundanz sind zu unterscheiden:

CPU- Redundanz: nur die Verarbeitung ist redun-dant (Bild 4.2.1). Unter Berücksichtigung der Fehler-wahrscheinlichkeiten (Bild 3.2.1) nur sinnvoll, wenn die CPU für viele Funktionen benutzt wird. Redun-dante CPUs müssen synchronisiert werden, insbe-sondere für Regelungsaufgaben, da die Werte sonst auseinander laufen können. Dies geschieht oft über einen eigenen sehr schnellen Bus (High Speed Link)

Prozess-Redundanz bedeutet mehrfach vorhande-ne Sensoren und Aktoren (Bild 4.2.2). Das ist mit Kosten verbunden, besonders für z.B. redundante Aggregate wie Pumpen oder Gebläse z.B. als 2x100% / 3x50% oder zumindest 2x75% mit redundanten Schienen in der Schaltanlage und getrennten Ausgabegeräten. Daher werden eher redundante Messungen eingesetzt um sichere Informationen aus dem Prozess zu erhalten. Diese sollten getrennte Versorgung und Eingabegeräte haben, und - wenn in derselben Station- Auswahlschaltungen (1v2 / 2v2 / 2v3 je nach Auslegung bzw. Mittelwertbildung mit Differenzüberwachung der Kanäle).

Prozess- und Stationsredundanz ist für höchste Verfügbarkeitsansprüche sinnvoll (Bild 4.2.3), da diese Variante auch bei Ausfällen zentraler Funktionen in einer Station betriebsfähig bleibt. CPU-Redundanz kann verschieden wirken: Master-Slave: nur eine CPU ist als Master zu einer Zeit aktiv (Bild 4.2.4): - Master-Slave mit Überwachung: die zweite CPU

überwacht die erste und alarmiert bei Differenz, - Master-Slave mit Umschaltung: Über Watchdogs

wird die defekte CPU erkannt und mit Hilfe von HSL auf die andere stoßfrei umgeschaltet.

Parallele CPU-Redundanz (Bild 4.2.5): zwei oder besser drei CPUs arbeiten parallel mit Synchronisierung, möglichst in getrennten Stationen mit getrennten Ein- und Ausgaben, mit einem nachgeschalteten „sicheren“ Voter, der die defekte Station vom Prozesseingriff abtrennt. Bei zwei Kanälen muss der Defekt durch Überwachung festgestellt werden, bei drei Kanälen kann eine einfache 2 von3 – Auswahl der Ergebnisse benutzt werden. Eine Solche Anordnung kommt hauptsächlich in Schutzsystemen vor. Zum Schutz gegen passive Fehler müssen auch re-dundante Einrichtungen regelmäßig geprüft werden, manuell oder durch ein eingebautes Prüfprogramm. Software - Redundanz In der Software werden Redundanzmaßnahmen ein-gesetzt, die Software - Fehler ignorieren können. Es werden zweikanalige Verarbeitung mit einem invers-en Kanal, diversitäre Programmierung (Sprache), Software - Diversität und Zeit – Redundanz eingesetzt.

P=

S

R

=#

=#

=#

=#

M

Druckluft-

Behälter

S

R

S

R

CPU –

Redundanz

P=

=#

=#

=#

=#

M

Druckluft-

Behälter

P=

=#

=#

=#

=#

M

1 oder 2 CPUs

Prozess –

Redundanz

A SchieneB

Bild 4.2.1: CPU-Redundanz Bild 4.2.2: Prozessredundanz

P=

S

R

=#

=#

=#

=#

M

Druckluft-

Behälter

S

R

=#

=#

=#

=#

P=

M

Prozess - und Stations -

Redundanz

ASchiene

B

Bild 4.2.3: Prozess- und Stationsredundanz

„Master – Slave“

P=

S

R

=#

=#

=#

=#

M

Druckluft-

Behälter

S

R

==

Ala

rm- nur Überwachung

P=

=#

=#

=#

=#

M

Druckluft-

Behälter

S

R

S

R

Überw.

- mit Umschaltung

Bild 4.2.4: CPU-Redundanz „Master – Slave“

„3 CPUs mit Voter“

(Stationsredundanz)

P=

S

R

=#

=#

Druckluft-

Behälter

S

R

=#

=#

P=

M

S

R

=#

=#

P= Voter„2 v 3“

Bild 4.2.5: Parallele CPU-Redundanz

DHBW Mannheim Automatisierungssysteme Zuverlässigkeit, Verfügbarkeit, Sicherheit Erich Kleiner, Oktober 2007 4. Verfügbarkeit

ASA_Zuv_Verf_Sich 7

4.3 Wartungsmaßnahmen Wartungsmaßnahmen haben einen entscheidenden Einfluss sowohl auf die Verfügbarkeit eines Systems als auch auf die Wirtschaftlichkeit eines Betriebes. Die wichtigsten Wartungsstrategien sind: - Vorbeugende (periodische) Wartung, - Wartung nach einer Störung bzw. nach einem

Ausfall, und - Wartung bei Anlagen - Revision: Anlagenstillstand bei Anlagen mit hohen Verfügbarkeitsanforder-

ungen bei Dauerbetrieb über eine längere Zeit (z.B. Kraftwerke).

Vorbeugende Wartung ist nur für solche Kompo-nenten sinnvoll, die einen eindeutigen Zusammenhang zwischen Betriebsdauer und Abnutzung aufweisen. Dies gilt vorwiegend für bewegliche und mechanische Bauteile. Bei der vorbeugenden Wartung werden noch funktions-fähige, aber bereits abgenutzte Bauteile durch neue ersetzt. Die Wartungsperiode ist gemäß Betriebs-erfahrungen so festzulegen, dass ein Abnutzungs - bedingter Ausfall verhindert wird. Da verschiedene Komponenten (z.B. redundante Pumpen) von der Gesamt - Betriebszeit der Anlage verschiedene Einzelbetriebszeiten haben können ist ein Wartungsprotokoll der IMS - Funktionen der Mensch - Maschine - Kommunikation sinnvoll, in dem für jede zu wartende Komponente zumindest die Betriebsstunden sowie die Schaltspiele seit der letzten Wartung summiert und angezeigt werden. Dadurch können unnötige, weil zu frühe Austausch-aktionen vermieden werden. Bei Prozess - naher Leittechnik werden solche Aufgaben bereits von der Antriebssteuerung wahrgenommen. Stehen diese Betriebsdaten sowie die Typ-Daten der Geräte über das Bus - System dem Betrieb zur Verfügung, so wird dadurch der Aufwand für die vorbeugende Wartung verringert ("Asset Management").

Zur Optimierung der Revisionswartung gibt es von den zuständigen Genehmigungsbehörden zu-gelassene Stress - Berechnungsprogramme für Komponenten oder ganze Anlagen. Dabei wird der tatsächlich aufgetretene "Stress" (Belastung, Ab-nutzung) in einem Modell aufsummiert. Bei nachgewiesen "schonender" Betriebsweise können die sonst nach festem Zeitplan verlangten Revisi-onstermine verschoben werden, was die Betriebs-kosten wesentlich verringert (Bild 4.3.1).

In der Kraftwerkstechnik sind solche Rechner bereits Standard, insbesondere für die Dampferzeuger (Kessel). Für sie bedeuten häufige und starke Temperaturwechsel einen hohen "Stress", weitgehend konstante Temperaturen oder langsame Änderungen dagegen einen geringen.

Für solche Komponenten wie z.B. elektronische Bauteile / Geräte, die keine Abnutzungserschei-nungen aufweisen, ist periodische Wartung nicht sinnvoll. Dadurch können im Gegenteil sogar Störungen verursacht werden. Hier wird hohe Verfügbarkeit - abgesehen von Re-dundanzen - durch Hilfsmittel zur effektiven Fehler-diagnose und schnellen Instandsetzung erreicht. Innerhalb der Geräte für Steuerung und Regelung werden folgende Maßnahmen angewandt: - Selbsttest- und Diagnoseprogramme, - Plausibilitätstests, - Programmablaufüberwachung, - Rechenzeitüberwachung, - Programmwiederholung (roll-back), - Überwachung der Gültigkeit von Daten (Daten-

integrität), - Überwachung der Gültigkeit von Prozesssignalen

(z.B. Drahtbruch, Erdschluss). In der Formel zur Bestimmung der Verfügbarkeit

MTTRMTBF

MTBFeitVerfügbark

steht die mittlere Reparaturzeit im Nenner, verringert also die Verfügbarkeit. Diese Zeit besteht aus: - Zeit bis zum Eintreffen des Wartungspersonals

nach Auftreten einer Störung, - Störungsanalyse, - Fehlersuche, - Austausch / Reparatur der defekten Komponente, - Test und Wiederinbetriebnahme. Störungsanalyse und Fehlersuche können durch Diagnoseeinrichtungen erleichtert oder ganz über-nommen werden, so dass Zeit eingespart und da-durch die Verfügbarkeit wesentlich erhöht wird. Herkömmliche Diagnosehilfsmittel zeigen die aktuell anstehenden Einzel - Störungen bzw. - Fehler auf, idealerweise nicht nur als Liste sondern grafisch in einem Leitanlagenmodell, sowie mit Erklärungen und Behebungsvorschlägen zu den Einzelfehlern. Das Wartungspersonal muss daraus Schlüsse ziehen und über Maßnahmen entscheiden. Manchmal werden bereits "Expertensysteme" eingesetzt, die darüber hinaus die aktuelle Störungs - Kombination und den aktuellen Zustand mit in geeigneter Form abgespeichertem Expertenwissen vergleichen und daraus genaue Anweisung für zu treffende Maßnahmen geben. Durch die verbesserte Leitanlagen - interne Kommu-nikation und die Anbindungsmöglichkeit an WANs ist auch schon Fern - Diagnose durch Experten beim Betreiber (Zentrale) oder beim Hersteller möglich.

Ebenso gibt es bereits Werkzeuge, die für verschie-dene Fehlerscenarien für den Spezialisten selbst-ständig Daten aus einem Leitsystem holen, z.B. Log- Dateien, Dumps, usw. Der Anwender ist damit oft überfordert. Eingesetzt z.B. beim ABB- Prozess-leitsystem AC 800M.

Temperaturen,

Drücke,

Stress-

Modell

aktueller

Stress

Messwerte

Inte-

grator

„Abnutzung“

Bild 4.3.1: Prinzip einer Stress - Berechnung

Zuverlässigkeit, Verfügbarkeit, Sicherheit Automatisierungssysteme DHBW Mannheim 5. Sicherheit Erich Kleiner, Februar 2011

8 ASA_Zuv_Verf_Sich

5. Sicherheit 5.1 Begriffe, Normen Bild 5.1.1 zeigt Zustände in Bezug auf ihre Sicher-heit. Dazu gehören folgende Norm-gemäße Begriffe:

Schaden: Nachteil durch Verletzung von Rechts-gütern aufgrund eines technischen Vorgangs oder Zustands (Rechtsgüter: z.B. direkte und indirekte Personenschäden, Umwelt- und Sachschäden) Risiko: Wahrscheinlichkeitsaussage über zu er-wartende Häufigkeit zu einem Schaden führender Ereignisse, sowie das beim Ereigniseintritt zu er-wartende Schadensausmaß. (Bild 5.1.2) Grenzrisiko: Größtes noch vertretbares Risiko eines bestimmten techn. Vorgangs oder Zustandes. Sicherheit: Sachlage, bei der das Risiko nicht größer ist als das Grenzrisiko. Gefahr: Sachlage, bei der das Risiko größer ist als Bild 5.1.3: Maßnahmen zur Risiko – Reduzierung Mit der Einführung des europäischen Binnenmarktes wur-den die nationalen Normen und Vor-schriften zur techni-schen Realisierung von Anlagen und Ma-schinen durchgängig harmonisiert. Dabei wurden grundlegende Sicherheitsanforderungen festgelegt, die sich an Hersteller (freier Warenverkehr) und Benutzer (Ar-beitsschutz) wenden. So wurde auch die EG- Maschinenricht-linie in das jeweilige nationale Recht um-gesetzt. Zur Sicher-stellung der Kon-formität empfiehlt es sich, die harmonisier- ten Normen einzu-halten (Bild 5.1.4). Dann kann der Hersteller mit der „CE“- Kennzeichnung dokumen-tieren, dass alle zutreffenden Normen und Vorschriften eingehalten werden, was im im internationalen Warenverkehr wichtig ist. Die jeweils richtige Norm zu finden ist aber nicht einfach. Die DIN EN IEC 61508 ist die Basisnorm für die Sicherheitsanforderungen. Für verschiedene

Sparten gibt es Fachnormen. In der Prozessautoma-tion gilt z.B. die 61511, die sich weitgehend an die Basisnorm hält. In der Fertigungsautomation müs-sen für Entwurf und Realisierung die Normen zur „Sicherheit von Maschinen“ beachtet werden: - 62061 für sicherheitsbezogene Steuerungs- Systeme beliebiger Architektur, und - 13848 für sicherheitsbezogene Teile von Systemen

Bild 5.1.1: Sicherheits - bezogene Zustände

Sicherheit

Grenzrisiko

Gefahr

kleines großes

Risiko Bild 5.1.2: "Risiko"

Sichere Zuständefehlerfrei

Ungefährliche

Fehlfunktion

Nicht sicherheits-

bezogener

Fehlerzustand

Sicherheitsbezogene

FehlfunktionSicherheitsbezogener

Fehlerzustand

Kein Unfall Unfall

Zustand

„Kein Schaden

eingetreten“

Zustand

„Schaden

eingetreten“

RisikoTatsächliches Risiko Grenzrisiko Risiko ohne MSR - Schutzmaßnahme ohne Schutzmaßnahme

notwendige Mindestreduzierung

Verbleibendes

RestrisikoAbgedeckt durch MSR - Schutzmaßnahmen

Abgedeckt von nicht-MSR-

Schutzmaßnahmen

tatsächliche Risikoreduzierung

Sicherheitstechnische Festlegungen: Angaben über technische Werte, Maßnahmen, Verhaltens- weisen, deren Einhaltung (im Rahmen des jew. technischen Konzepts) sicherstellen soll, dass das Grenzrisiko nicht überschritten wird. Schutz: Verringerung des Risikos durch Maßnahmen, die die Eintrittshäufigkeit oder das Ausmaß eines Schadens oder beides beschränken.

das Grenzrisiko.

Bild 5.1.4: Richtlinien und Normen für Sicherheitsbetrachtungen

DIN EN IEC 61508

Funktionale Sicherheit

sicherh.bezogener E/E/PES*

Basisnorm:

- quantitativer Sicherheitsnachweis

„Safety Integrity Level“ SIL 1 - 4

DIN EN IEC 61511

Anwendung der IEC 61508

in der Prozessindustrie

VDE / VDI 2180

„Sicherung von Anlagen

der Verf.Technik m. Mitteln

der Prozessleittechnik“

IEC 61513

Anwendung der IEC 61508

in der Nuklearindustrie

DIN EN IEC 62061:2005Anwendung der IEC 61508bei Maschinen (Fertig.ind.)Funktionale Sicherheit sich.bezog. Steuerungssysteme

SIL 1 .. 3Nationale Vorschriften

DIN EN ISO 13849:2006Anwendung der IEC 61508bei Maschinen (Fertig.ind.)Sicherheitsbezogene Teile

von Steuerungen PL a – e **

Anwendungsnormen

für verschiedene Sparten

und detaillierende

Vorschriften

Beliebige Architekturen

Vorgesehene Architekturen

(„Kategorien“)

* Elektrische, Elektronische

und Programmierbare

Elektronische Systeme

Sicherheitsanforderungen

Harmonisierte europäische Normen Hersteller

** Performance Level

Artikel 95 EG-Vertrag

(freier Warenverkehr)Artikel 137 EG-Vertrag

(Arbeitsschutz)

Nationale Rechtsvorschriften Benutzer

Arbeitsschutz- Rahmenrichtlinie

Einzelrichtlinie: Benutzung von ArbeitsmittelnNiederspannungs- Richtlinie Maschinen- Richtlinie

z.B. Maschinen

Entwurf und Realisierung

Konstruktion, Risikobewertung

EN ISO 12100 Grundbegr.

Sicherheit von Maschinen

EN ISO 1421 Risikobeurteil.

Sicherheit von Maschinen

Berufsakademie Mannheim Automatisierungssysteme Betriebsmittelanforderungen“ Erich Kleiner, Juli 2015 5. Sicherheit

ASA_Zuv_Verf_Sich 9

In allen genannten Normen geht es um die „funktionale Sicherheit“. Dabei handelt es sich um den Teil der Sicherheit einer Maschine oder Anlage, der von der korrekten Funktion ihrer Steuerungs- oder Schutz-einrichtungen abhängt [5]. Bild 5.1.5 zeigt den Inhalt der wichtigsten relevanten Normen [7].

5.2 Anforderungen Die Normen enthalten ge-naue Anweisungen zur Erstellung einer Anlage, in der das Risiko begrenzt werden muss. Bild 5.1.6 zeigt das geforderte Vor-gehen, das im Prinzip auch für die Prozesstech-nik gilt. Die Quantisierung der Sicherheitsanforderungen erfolgt verschieden: - 61508 (Basisnorm): Safety Integrity Level (SIL) 1 .. 4, - 61511 (Prozessautoma- tion): ebenso, - 62061 (Steuerungssys- teme): SIL 1 .. 3, - 13849 (Steuerungsteile): Performance Level PLa-e (Nachfolgenorm der EN 954 mit „Kategorien“) Für die Maschinentechnik stehen also zwei Normen mit unterschiedlichem Be-wertungsmaßstab und un-terschiedlichen Berech-nungswegen zur Verfü-gung.

Die Norm 62061 gilt für Entwurf, Integration und Validierung von sicherheitsrelevanten „elektrischen / elektronischen sowie programmierbaren Steuer-ungssystemen“ (SRECS: Safety Relevant Electrical Control Systems). Sie betrachtet die gesamte Sicherheitskette vom Sensor bis zum Aktor. Die gesamte Sicherheitsfunktion muss den geforderten Ansprüchen gerecht werden. Sie legt keine Anforderungen an nicht elektrische Teile fest (Hydraulik, elektromechanische Teile). Durch Überwachung dieser Teile können sie jedoch außer Acht gelassen werden.

Die Norm 13849-1 setzt auf den bis 2009 gültigen qualitativen „Sicherheitskategorien“ auf und gilt für sicherheitsbezogene „Teile von Steuerungen“ an Maschinen (SRP/CS: Safety relevant Parts of Control Systems) Sie betrachtet die geforderte Sicherheit quantitativ mit „Performance Levels“ (PL).

Die Norm 13849 kann auf alle Teile (auch nicht elektronische) einer sicherheitsrelevanten Steuerung angewandt werden. In Bild 5.1.6 sind in Schritt 2 „Risikobewertung“ beide Wege angegeben. Welcher zu wählen ist muss im Gespräch zwischen allen Beteiligten festgelegt und dokumentiert werden. In Schritt 3 ist die Sicherheitsfunktion zu planen und ihre Sicherheitsintegrität zu bestimmen. In Schritt 4 wird die Einhaltung der Anforderungen geprüft und dokumentiert. Wenn die Anforderungen erfüllt werden, darf der Hersteller bzw. Betreiber die EG- Konformitäts-erklärung erstellen, mit der erklärt wird, dass die einschlägigen Normen eingehalten werden, und das Zeichen „CE“ darf angebracht werden.

DIN EN 61508 7 Teile:

Norm:

1. Allgemeine Anforderungen

2. Anforderungen an E / E / PES

3. Anforderungen an Software

4. Begriffe u. Abkürzungen

Erläuterungen:

5. Beispiele zur Ermittlung der

Stufe der Sicherheitsintegrität

(SIL = Safety Integrity Level)

6. Anwendungsrichtlinien

für Teile 2 und 3

7. Anwendungshinweise zu

Verfahren und Maßnahmen

Die Norm ist / enthält:

- Allgemeiner Standard,

- Anwendungs- unabhängig

- Aussagen zum Erreichen der

funktionalen Sicherheit

- Sicherheitsbezogener Lebenszyklus

- Risiko- orientiert

- Quantitative Anforderungen an die

Versagenswahrscheinlichkeit

DIN EN 62061

„Funktionale Sicherheit von

elektrischen, elektronischen und

programmierbaren Steuerungen

von Maschinen“ (SRECS)

(Ergänzung zur Realisierung

der DIN EN 61508 – Anforderungen

bei Maschinen)

- Systematische Risikominderung

und Risikobeurteilung gemäß den in

ISO 14121 beschriebenen Prinzipien

- Bestimmung des erforderlichen SIL

der Sicherheitsfunktion

- Entwurf des elektr. Steuerungssyst.

- Integration von in Übereinstimmung

mit ISO 13849-1 (EN 954-1) sicher-

heitsbezogenen Teilsystemen

(Risikograph für Maschinenbau!)

- Verifikation des elektrischen

Steuerungssystems

- Ausfallgrenze: max. SIL 3

DIN EN 61511 (VDE 810)

„Funktionale Sicherheit:

Sicherheitstechnische Systeme

für die Prozessindustrie“

(Ergänzung zur Realisierung

der DIN EN 61508 – Anforderungen

In der Prozessindustrie)

Norm:

1. Allg. Begriffe, Anforderungen

an Systeme, SW und HW

Erläuterungen:

2. Anleitungen zur Anwendung

3. Anleitung zur Bestimmung

von SIL (eigener Risikograph)

VDE/VDI 2180

„Sicherung von Anlagen der

Verfahrenstechnik mit Mitteln

der Prozessleittechnik“

1. Einführung, Begriffe, Konz.

2. Management, Lebenszyklus

3. Anlagenplaning, -Err., Betrieb

4. Berechnungsmethode

5. Praktische Umsetzung (i.V.)

Dazu Richtlinie:

DIN EN 13849 (DIN EN 954 bis 2009)

Maschinentechnisches Regelwerk

DIN EN 13849 (DIN EN 954 bis 2009)

Maschinentechnisches Regelwerk

Bild 5.1.5 zeigt den Inhalt der wichtigsten relevanten Normen

Bild 5.1.6: Vorgehensweise bei der Erstellung einer sicherheitsrelevanten Anlage

Zuverlässigkeit, Verfügbarkeit, Sicherheit Automatisierungssysteme DHBW Mannheim 5. Sicherheit Erich Kleiner, Februar 2011

10 ASA_Zuv_Verf_Sich

Die Bilder 5.1.7 - 9 zeigen die Risikographen der verschiedenen Normen zur Bestimmung des geforderten SIL. Zum Vergleich zeigt Bild 5.1.10 die (nicht mehr gültigen) Kategorien der EN 60204. Was geschehen soll, wenn eine Maschine durch eine Sicherheitseinrichtung (oder eine NOT-AUS- Taste) still-gesetzt werden soll, gibt die Norm 60204 als „STOPP- Kategorien“ 0 .. 2 fest: 0: Stillsetzen durch sofortiges

Ausschalten der Energie-zufuhr zu den Maschinen-antrieben (ungesteuertesStillsetzen)

1: gesteuertes Stillsetzen,

wobei die Energiezufuhr zu den Maschinenan-trieben erst bei Stillstand abgeschaltet wird.

2: gesteuertes Stillsetzen, bei

dem die Energiezufuhr zu den Maschinenantrieben erhalten bleibt

(nicht zulässig für NOT-AUS - Funktion)

In der Prozessautomation muss meist der Produk-tionsprozess gestoppt wer-den, detaillierte Forderungen ergeben sich aus den Verfah-ren. So muss z.B. in einer Feuerungsanlage die Brenn-stoffzufuhr unterbrochen wer-den, wobei aber für den Abtransport der Restwärme zu sorgen ist

Risikograph der IEC 61508

Frequenz /

AufenthaltsdauerF

> 1 Std 5

> 1 Std .. < 1Tag 5

> 1 Tag .. < 2 Woch. 4

> 2 Wo. .. < 1 Jahr 3

> 1 Jahr 2

Frequenz /

AufenthaltsdauerF

> 1 Std 5

> 1 Std .. < 1Tag 5

> 1 Tag .. < 2 Woch. 4

> 2 Wo. .. < 1 Jahr 3

> 1 Jahr 2

Eintritts-

WahrscheinlichkeitW

häufig 5

wahrscheinlich 4

möglich. 3

selten 2

vernachlässigbar 1

Eintritts-

WahrscheinlichkeitW

häufig 5

wahrscheinlich 4

möglich. 3

selten 2

vernachlässigbar 1

Möglichkeit der

VermeidungP

unmöglich. 5

möglich 3

wahrscheinlich 1

Möglichkeit der

VermeidungP

unmöglich. 5

möglich 3

wahrscheinlich 1

S Schadens-

ausmaß

Tod, Verlust Auge oder Arm

Permanent, Verlust Finger

Reversibel, med. Behandl.

Reversibel, Erste Hilfe

Auswirkungen:

4

3

2

1

S Schadens-

ausmaß

Tod, Verlust Auge oder Arm

Permanent, Verlust Finger

Reversibel, med. Behandl.

Reversibel, Erste Hilfe

Auswirkungen:

4

3

2

1

Gefährdung:

Rotierende Spindel

S3

Gefährdung:

Rotierende Spindel

S3

F5

F5 +

W4+

W4 +

P3

P3 =

K12

Sicherheitsmaßnahme:

Überwachung Schutzhaube mit SIL 2

Sicher?

Ja, mit SIL2=

K12

Sicherheitsmaßnahme:

Überwachung Schutzhaube mit SIL 2

Sicher?

Ja, mit SIL2

Beispiel: „Eine rotierende Spindel muss bei Öffnen

einer Schutzhaube sicher stillgesetzt werden“

Risikobezogen auf die

identifizierte

Gefährdung

Risikobezogen auf die

identifizierte

Gefährdung

Schadens-

Ausmaß S=

Schadens-

Ausmaß S=

Frequenz und Dauer der Aussetzung FFrequenz und Dauer der Aussetzung F

Eintritts- Wahrscheinlichkeit WEintritts- Wahrscheinlichkeit W

Möglichkeit der Vermeidung der Gefährdung PMöglichkeit der Vermeidung der Gefährdung P

und

Klasse K = F + W + P

3-4 5-7 8-10 11-13 14-15

SIL 2 SIL 2 SIL 2

SIL 1

SIL 3

SIL 2

SIL 1 SIL 2

SIL 1

SIL 3

SIL 3

= 5 + 4 + 3

andere Maßnahmen

Klasse K = F + W + P

3-4 5-7 8-10 11-13 14-15

SIL 2 SIL 2 SIL 2

SIL 1

SIL 3

SIL 2

SIL 1 SIL 2

SIL 1

SIL 3

SIL 3

= 5 + 4 + 3

andere Maßnahmen

Risiko- Parameter: Erforderlicher Performance Level PL:

S = Schwere der Verletzung

S1 = leichte (üblicherweise reversible) Verletzung

S2 = schwere, üblicherweise irreversible Verletzung

einschließlich Tod

S = Schwere der Verletzung

S1 = leichte (üblicherweise reversible) Verletzung

S2 = schwere, üblicherweise irreversible Verletzung

einschließlich Tod

F = Häufigkeit (Frequenz) und / oder Aufenthaltsdauer

der Gefährdungsaussetzung

F1 = selten bis öfter und / oder

Zeit der Gefährdungsaussetzung ist kurz

F2 = häufig bis dauernd und / oder

Zeit der Gefährdungsaussetzung ist lang

F = Häufigkeit (Frequenz) und / oder Aufenthaltsdauer

der Gefährdungsaussetzung

F1 = selten bis öfter und / oder

Zeit der Gefährdungsaussetzung ist kurz

F2 = häufig bis dauernd und / oder

Zeit der Gefährdungsaussetzung ist lang

P = Möglichkeit zur Vermeidung der Gefährdung

oder Begrenzung des Schadens

P1 = möglich unter bestimmten Bedingungen

P2 = kaum möglich

P = Möglichkeit zur Vermeidung der Gefährdung

oder Begrenzung des Schadens

P1 = möglich unter bestimmten Bedingungen

P2 = kaum möglich

Ausgangs-

Punkt zur

Einschätzung

der Risiko-

Minderung

Vorgehensweise:

1. Schadensausmaß S festlegen: S2 = schwere, irreversible Verletzung

Beispiel:

P1

P2

P1

P2

P1

P2

P1

P2

F1

F2

F1

F2

S2

S1

P1

P2

P1

P2

P1

P2

P1

P2

F1

F2

F1

F2

S2

S1

a

b

c

d

e

a

b

c

d

e

2. Häufigkeit und/oder Aufenthaltsdauer F2 = häufig bis dauernd und / oder

der Gefährdungsaussetzung F festlegen: lange Gefährdungsaussetzung

3. Möglichkeit zur Vermeidung der Gefährdung P1 = möglich unter bestimmten

oder Begrenzung des Schadens P festlegen: Bedingungen

Der geforderte

Performance-Level

Ist somit PL d

Der geforderte

Performance-Level

Ist somit PL d

geringes Risiko

hohes Risiko

geringes Risiko

hohes Risiko

Bild 5.1.10: EN 60204 (nicht mehr gültig)

Bild 5.1.7

Bild 5.1.8

Bild 5.1.9

DIN 13849

DIN 62061

Berufsakademie Mannheim Automatisierungssysteme Betriebsmittelanforderungen“ Erich Kleiner, Okt. 2016 5. Sicherheit

ASA_Zuv_Verf_Sich 11

Für Antriebe sind in IEC 61800 – 5 „Sicherheits-funktionen“ festgelegt, die in Motion-Control-Geräten parametrieren lassen. Bild 5.1.10 zeigt die Funktionen, die bei Siemens und B&R vorgesehen sind, aller-dings nicht alle von beiden Herstellern. Andere Hersteller können eine andere Auswahl ver-wenden. Die Funktionen lassen sich in drei „Klassen“ einteilen.

Bild 5.1.10: Sicherheitsfunktionen für Antriebe

Systemkommunikation Automatisierungssysteme Berufsakademie Mannheim 5. Sicherheit Erich Kleiner, Oktober 2016

12 ASA_Zuv_Verf_Sich

5.3 Validierung Dem „Performance Level“ und dem „Safety Integrity Level“ können mittlere Versagenswahrscheinlich-keiten zugeordnet werden (Tabelle 5.3.1). Durch sie können Geräte bewertet und darauf geprüft werden, ob sie den Sicherheitsanforderungen genügen. Man unterscheidet:

- PFD „Probability of Failure on Demand“ für „niedrige Anforderungsrate“ (d.h. ca. einmal

pro Jahr), z.B. in Chemieanlagen. Dabei ist die Zeit zwischen den Tests („wiederholende Prüfung“) wesentlich kleiner als die Ansprechhäufigkeit,

- PFH (Probability of Failure per Hour,) für hohe Anforderungen (z.B. Auto, Lichtschranken an Maschinen, usw.). Dabei ist die Zeit zwischen den Tests („wiederholende Prüfung“) wesentlich größer als die Ansprechhäufigkeit der Schutzeinrichtung.

Merk – Hilfe: Die Ziffer des PFD– Exponenten entspricht der SIL- Klasse.

Für die meisten Anwendungen reicht SIL 3. Dafür sind z.Zt. viele SPS wie z.B. SIMATIC S7-400F und die HIMA – Systeme zertifiziert. Für besonders hohe Anforderungen wie z.B. NOT-AUS auf Bohrinseln ist SIL 4 gefordert. Dafür ist z.Zt. nur das fest verdrahtete PLANAR 4 – System von HIMA zertifiziert. Bei der Anwendung der PFD / PFH- Werte ist zu beachten, dass sich die angegebenen Werte immer auf eine gesamte „Sicherheitsrelevante Funktion“ beziehen, also auf ein ganzes Teilsystem. Dazu sind die PFD / PFH der einzelnen Komponenten zu berechnen, wobei ihre Fehlerwahrscheinlichkeit (siehe Kap. 3.2) zu berücksichtigen ist. In Bild 5.3.1 ist das für eine Steuerung einschließlich Sensor, Ein/Ausgabegerät und Aktor (Absperrventil) dargestellt. Angenommen, die zulässige Ausfallwahr-scheinlichkeit für das gesamte Teilsystem PFDSyst sei 10

-2, dann darf die PDF2 (für das Eingabegerät) als

Anhaltswert nur 10% davon betragen, also 10-3.

. Letztlich gilt natürlich nur die Summe pro Sicherheitskreis. Für den Nachweis einer bestimmten Ausfallwahr-scheinlichkeit einer Komponente gibt es ziemlich komplizierte Verfahren. In der EN 61508 / 6 sind Formeln und Werte in Tabellen angegeben. Für zertifizierte Geräte werden Werte mitgeliefert.

Eine einfache Faustformel für PFD << 1 und einen Kanal ist:

CED

ttePFD CED

1

mit D für „Dangerous Failures“ /h-1

und tCE für die „Unklarzeit“ (siehe Bild 5.3.2)

Hier spielt das Zeitintervall der Wiederholungsprüfung eine Rolle. Dazu wird ein Modell mit bestimmten Annahmen zugrunde gelegt.

Genau ist die Ausfalldauer - für gefährliche, unerkannte Fehler (λDU):

- und für gefährliche,entdeckte Fehler (λDD):

Daraus errechnet man die „Unklarzeit“ tCE:

MTTRMTTRT

tD

DD

D

DUCE

2

1

Das Anforderungs- Zeitintervall (PFD) sollte dabei > T1 / 2 sein.

PFH entspricht etwa dem DU:

mit DU für Dangerous Failures, Undetected

PFD und PFH sehen zwar dem ähnlich, sind aber dimensionslose Zahlen, die berechnet werden müssen.

Tabelle 5.3.1: PL / SIL / PFD / PFH

Sensor

(mit MU)

Eingabe-

Gerät und

Signalweg

Verarbeitung

(SPS / PLS)

Ausgabe-

Gerät und

Signalweg

Aktor

MM

25% 10% 15% 10% 40%

PFD Syst. = PFD1 + PFD2 + PFD3 + PFD4 + PFD5

Bei PFDSyst = 10-2

: PFD2: 10% von 10-2

= 10-3

Bild 5.3.1: PFD / PFH – Verteilung über ein Teilsystem

T1 / 2 + MTTR

MTTR

Regelmäßige Wiederholungsprüfungen (alle Fehler werden erkannt und repariert,

Sicherheitssystem wieder „wie neu“)

MTTR (Diagnosezeit + Reparaturzeit)Reparaturzeit

t

(bei reparierbarem System mit fester Reparaturzeit)

Bei konstanter Ausfallrate („Boden“ der Badewannenkurve)

T1

T1

T1 / 2 + MTTR = Mittlere Ausfalldauer(Ein Ausfall ist zu jedem Zeitpunkt

gleich wahrscheinlich)

Kontinuierliche Diagnose (erkennt nur einen Teil der Fehler)Diagnosezeit: max. 0,1 T1 (meist 0,001 bis 0,01)

Kontinuierliche Diagnose (erkennt nur einen Teil der Fehler)Diagnosezeit: max. 0,1 T1 (meist 0,001 bis 0,01)

Bild 5.3.2: „Unklarzeit“

DUPFH

DHBW Mannheim Automatisierungssysteme Zuverlässigkeit, Verfügbarkeit, Sicherheit Erich Kleiner, Oktober 2016 5. Sicherheit

ASA_Zuv_Verf_Sich 13

Ob eine sicherheitsrelevant einzusetzende Einrich-tung den geforderten SIL erfüllt muss berechnet bzw. nachgewiesen werden. Die Normen enthalten dazu genaue Anweisungen, z.B. die DIN IEC 62061 und die DIN EN ISO 13849. In der Basisnorm wird die „FMEDA“ angewandt, die Failure Mode, Effects and Diagnostic Analysis. Dabei werden mehrere Aspekte betrachtet:

- Fehlertoleranz der HW (HW Failure Tolerance), die Fähigkeit einer funktionalen Einheit, auch bei Auftreten eines Fehlers zu funktionieren (Tab. 5.3.2), IEC 61508 / 2

- Anteil ungefährlicher Ausfälle SFF (Safe Failure Fraction): Anteil derjenigen Fehler, die das sicherheitstechnische System nicht in einen Gefahr bringenden Zustand versetzen können (Bild 5.3.3), IEC 61508 / 2, Anh.C

Einen Eindruck von der durchschnittlichen Verteilung dieser Fehlerarten gibt Bild 5.3.4.

Die - Werte liegen als Erfahrungswerte in verschiedenen Datenbanken vor oder müssen vom Hersteller eines neuen Gerätes ermittelt werden.

- HW- Sicherheitsintegrität, Tab. 5.3.3, IEC 61508 / 2 Diese Aspekte werden auch als „Architektur-

Einschränkungen“ bezeichnet und begrenzen die SIL- Einstufung, wie Tab. 5.3.4 zeigt:

- Ausfallwahrscheinlichkeit PFD / PFH Die Ausfallwahrscheinlichkeit wird

für zwei Anforderungsarten angegeben (siehe Seite 12).

Tabelle 5.3.5 zeigt, für welchen SIL welche PFD / PFH- Werte gefordert werden. Für die endgültige Einstufung gilt der kleinere Level aus den Tabellen 5.3.4 und 5.3.5

In den Normen DIN 62061 und DIN 13849 für die Maschinentechnik sind andere Berechnungsvorgänge für die Validierung verlangt (siehe Bild 5.3.5)

Dafür wird eine Reihe von Daten der Produkte-Hersteller benötigt. Da in einer Anlage meist mehrere Fabrikate eingesetzt sind wurde vom VDMA (Verband Deutscher Maschinen- und Anlagenbau) das Einheitsblatt 66413 erstellt, das seit Juli 2012 die Datenauswahl, ihre Struktur und die Übermitt-lungsform (XML) festlegt, um einheitliche Kennwerte für die Validierung zu gewährleisten. Die Produkte werden dabei je nach Komplexität in vier

Typen unterteilt. Die Hersteller stellen Bibliotheken mit den Kennwerten zur Verfügung

Für die Validierung gibt es auf dem Markt ver-schiedene Tools, die aus Kennwerten und Struktur die Berechnung der PFH-Werte und die Erstellung der normmäßigen Dokumentation durchführen:

SISTEMA von ifa, eigene Bibliothek und XML PAScal von Fa. Pilz, graph. Editor, Daten s.o. SET Von Fa. Siemens, nur XML FSDT von Fa. ABB, graph.Ed., nur XML

Tab. 5.3.2: HFT: Fehlertoleranz „N“

N Ausführung Verlust der sicherheitstechn. Funktion bei:

0 einkanalig 1. Fehler

1 zweikanalig 2. Fehler

usw.

Anteil der Fehler, die das sicherheitstechnische System

nicht in einen Gefahr bringenden Zustand versetzen können

ds

ddsSFF

s „sichere“ Fehler: führen zu ungefährl. Zustand

d „gefährliche“ (dangerous) Fehler,

dd „gefährliche, entdeckte (detected) Fehler,

du „gefährliche, unentdeckte Fehler Bild 5.3.3: SFF

Tab. 5.3.3: HW-Sicherheitsintegrität

Typ A Typ B

Ausfallverhalten: gut definiert nicht ausreichend definiert

Verhalten bei Fehlern: vollständig ermittelbar nicht vollständig ermittelbar

Erfahrungswerte zu SFF: liegen vor unzureichend

SFF max. SIL bei HFT, je: Typ A / Typ B N=0 N=1 N=2

< 60% SIL1 / - SIL2 / SIL1 SIL3 / SIL2

60 … 90% SIL2 / SIL1 SIL3 / SIL2 SIL4 / SIL3

90 … 99% SIL3 / SIL2 SIL4 / SIL3 SIL4 / SIL4

> 99% SIL3 / SIL3 SIL4 / SIL4 SIL4 / SIL4

Tab. 5.3.4: Architektureinschränkungen

SDSU

DD

DU

SDSU

DD

DU

Bild 5.3.4: - Anteile

Wenn nicht anders bekannt nimmt man an:

S = D = / 2

SIL PFD PFH

1 >10-2.. <10-1 >10-6..<10-5

2 >10-3.. <10-2 >10-7..<10-6

3 >10-4.. <10-3 >10-8..<10-7

4 >10-5.. <10-4 >10-9..<10-8

SIL PFD PFH

1 >10-2.. <10-1 >10-6..<10-5

2 >10-3.. <10-2 >10-7..<10-6

3 >10-4.. <10-3 >10-8..<10-7

4 >10-5.. <10-4 >10-9..<10-8

Tabelle 5.3.5: SIL / PFD / PFH

Systemkommunikation Automatisierungssysteme Berufsakademie Mannheim 5. Sicherheit Erich Kleiner, Oktober 2016

14 ASA_Zuv_Verf_Sich

Bild 5.3.5 gibt einen Überblick über die Vali-dierung nach DIN 62061 und DIN 13849:

Zunächst erstellt man aus der geplanten sicherheitsrelevanten Realisierung ein Block-schaltbild (Bild 5.3.6). Dabei fängt man links mit dem Sensor (bzw. den Sensoren) an und zeigt den Weg über die Verarbeitung zum Pro-zesseingriff. Nun kann manuell oder mit einem Tool PFD bzw. PL bestimmt werden.

Für die Kennwerte der Hersteller werden die Geräte je nach nötigen Bearbeitungsschritten (direkt einsetzbar oder nach Berücksichtigung weiterer Daten) in Typen eingeteilt.

Aus den Blockschaltbildern (Bild 5.3.6 und 5.3.7) geht insbesondere die Architektur einer Sicherheits-lösung hervor, die in die Ermittlung der erreichbaren Werte von PFD bzw. PL wesentlich eingeht.

Der Sensor in Bild 5.3.6 gilt als „einkanalig“, da es nur ein Sensor ist. Die zwei parallelen Kontakte erhöhen nur seine Zuverlässigkeit. Der Prozesseingriff geschieht über zwei Leistungsschütze, ist also zweikanalig.

In Bild 5.3.7 gibt es zwei getrennte Sensoren, also zwei Kanäle. Ihre Eignung ist zusammen mit der einkanaligen Logik und dem zweikanaligen Aktor zu bewerten. Das zusätzlich von der Logik angesteuerte Ventil ist ein andersartiger Aktor mit anderem Eingriff, für den von den Sensoren bis zum Aktor eine zweite komplette Berechnung erforderlich ist.

Im Anhang der DIN 13849 finden sich diverse Architektur-Beispiele. Bild 5.3.8 zeigt die Kriterien, die je nach Gerätetyp für die Validierung nach DIN 13849 berücksichtigt werden müssen.

Bild 5.3.5: Validierung nach DIN 62061 bzw. DIN 13849

Bild 5.3.6: Blockschaltbild Beispiel 1

Bild 5.3.7: Blockschaltbild Beispiel 2

DHBW Mannheim Automatisierungssysteme Zuverlässigkeit, Verfügbarkeit, Sicherheit Erich Kleiner, Oktober 2016 5. Sicherheit

ASA_Zuv_Verf_Sich 15

Die Architektur ist nur ein Aspekt der „Kategorien“ von Sicherheitslösungen nach DIN 13849 (Bild 5.3.8). Hier ist zwar der gleiche Begriff „Kategorie“ verwendet wie in EN954-1, aber mit anderer Bedeutung. Diese ist in DIN 13849 genau definiert. Vereinfacht kann man sich vorstellen: „Kat. B“ ist die normale betriebliche einkanalige Aus-führung einer Steuerung unter Beachtung der einschlägigen Normen.

„Kat. 1“ verlangt darüber-hinaus den Einsatz betriebs-bewährter Geräte (bzw. -teile).

„Kat. 2“ besitzt zusätzlich einen Testkanal mit eigener Signalausgabe.

„Kat. 3“ ist zweikanalig aufgebaut, so dass ein Ein-fachfehler eine Sicherheits-abschaltung nicht verhindert.

„Kat. 4“ verlangt höheren Diagnose-Aufwand, so dass der erste Fehler auch ohne Ansprechen einer Sicherheits-Funktion gefunden wird.

MTTFD (Mean Time To (Dangerous) Failure) ist ein weiteres Kriterium. Dieser Wert wird nach Norm in groben Schritten von Jahr-Bereichen angegeben.

DC (Diagnosis Cover, also Diagnose-Deckungsgrad) wird ebenso in groben Schritten angegeben. Besteht eine Schutzeinrichtung aus mehreren Teilen, so wird der Durchschnitt DCavg angegeben.

CCF (Common Cause Failure, also „allgemeiner Fehler“) berücksichtigt Fehler durch für alle Teile gemeinsame Ursachen, z.B. Ausfall der Spannungsversorgung. Für die Wert-Bestimmung enthält die Norm eine Tabelle mit einer Punkte-Bewertung. Bild 5.3.9 stellt den Zusammenhang der o.g. Kriterien dar. Es stammt aus einer ABB-Druckschrift und kombiniert das „Säulendiagramm“ der Norm mit den anderen Kriterien und den Ergeb-nissen PL und PFH. Es zeigt z.B. dass CFF und CD nur für die Kategorien 2 .. 4 relevant sind, und dass z.B. ein PL = d durch verschiedene Kombinationen erreichbar ist.

Bild 5.3.8: Kriterien für die Validierung mit DIN 13849

Bild 5.3.9: Zusammenhang der Validierungs-Kriterien

Systemkommunikation Automatisierungssysteme Berufsakademie Mannheim 6 Fehlertolerante Prozessleitsysteme Erich Kleiner, Februar 2008

16 ASA_Zuv_Verf_Sich

6. Fehlertolerante Prozessleitsysteme

In IEC 61508 sind Begriffe und eine Klassifikation für solche Leitsysteme festgelegt, die das Auftreten von Fehlern tolerieren, indem sie im Fehlerfall - keine falschen Ausgaben liefern sondern keine

und damit evtl. den Betrieb stoppen, bezeichnet als integer, en: fail-stop, - weiter Ausgaben liefern (stetig, en: fail-operate), oder - den Fehler von außen nicht sichtbar machen

bezeichnet als Fehler - Maskierung, z.B. 2 von 3). Fehlertoleranz braucht Redundanz, und zwar als - Prüfredundanz: eine aktive Verarbeitung wird

durch eine Diagnoseeinrichtung überwacht, oder - Wirkredundanz: die Funktion eines ausgefallenen

Teils wird durch einen anderen übernommen. Dadurch sind Fehler - tolerante Systeme teurer als nicht Fehler - tolerante. Eine einfache stetige Lösung kostet etwa das 3-fache, eine Fehler - maskierende das 6-fache einer Simplex - Lösung. Je nach Art der Strecke und der Aufgabe werden verschiedene Lösungen und Kombinationen einge-setzt. Wenn ein Prozess ohne Leiteinrichtung z.B. von Hand in einen sicheren Zustand gebracht werden kann reicht eine integere Methode aus. Verträgt der Prozess einen kurzzeitigen Ausfall der Leitanlage und braucht sie dann aber wieder, so kann eine integer / stetige Lösung eingesetzt werden. Ist die Leitanlage im Dauerbetrieb ununter-brochen nötig, so muss eine stetige Lösung verwendet werden. Hier kommt Fehler - Maskierung zum Einsatz. Bild 6.1 zeigt das Prinzip einer Prüfre-dundanz. Hier über-wacht eine Diagnose - Einrichtung die Verar-beitung und schaltet deren Ausgaben im Fehlerfalle ab, daher englisch: "fail-stop". Die Norm IEC 61508 bezeichnet eine solche sich selbst prüfende Anlage als "1oo1D" (1 von 1 mit Diagnose). Dagegen arbeitet "Verdoppelung und Vergleich". mit zwei untereinander synchronisierten Verarbeit-ungseinrichtungen in Wirk - Redundanz, die beide aktiv sind. Abhängig von der Art des Eingriffs in den Prozess unterscheidet die Norm zwischen "1 von 2" und "2 von 2". In Bild 6.2 dienen zwei redundante Einrichtungen der Abschaltung einer Betriebserlaubnis, hier als Ruhestromkreis ausgeführt. Durch die Reihen-schaltung kann jede der beiden den Kreis auftren-nen, es handelt sich also um eine "1 von 2" - Verknüpfung zur Auslösung. Stellt der Vergleicher Ungleichheit fest, so schaltet er die Ausgaben ab oder auf einen "sicheren" Wert

um. Das müsste hier "0" sein und würde zu einer Abschalt-ung der Betriebs-erlaubnis führen. Es handelt sich hier also um eine Schutzfunktion oder ein Schutzsystem. In anderen Fällen würde nur eine Verarbeitung Daten ausgeben, die bei Ungleichheit ab- oder umgeschaltet würden. In Bild 6.3 sind die Ausgabekontakte parallel geschaltet, für eine Auslösung müssen daher beide Systeme abschalt-en, sie arbeiten also in "2 von 2" (2oo2 = 2 out of 2). Eine einfache stetige Lösung zeigt Bild 6.4. Hier gibt es zwei Verarbeitungen, die beide durch Diagnoseeinricht-ungen überwacht werden. Bei Un-gleichheit schal-tet der Vergleich-er die Ausgaben zunächst ab, so dass die Strecke ohne Daten auskommen muss. Wenn durch die Diagnoseeinrichtungen die defekte Strecke fest-gestellt ist, wird auf die andere umgeschaltet, so dass die Strecke wieder Daten erhält. Diese Methode arbeitet also zunächst integer und dann stetig. Werden z.B. drei aktive Verarbeitungen verwendet wie in Bild 6.5 dargestellt, so kann durch "Mehrheitsentscheid" die defekte abgeschaltet oder durch die Ausgabe unwirksam gemacht werden, so dass der Fehler nach aussen nicht in Erscheinung tritt. Daher wird diese Lösung "Fehler - maskierend" genannt, sie arbeitet in 2 von 3 stetig und integer. Dabei ist unter-stellt, dass der erste Fehler nur in einer Einheit auftritt, was den Erfahrungen entspricht.

Verar-

beitung

Diag-

nose

Eingaben

Abschalten

bei Fehler

Ausgabe: integer

(fail-stop) Bild 6.1: Prüfredundanz

Verar-

beitung

aktiv

Eingaben

Synchronisat.

Vergleicher

Umschaltung

auf sich. Wert

bei Ungleichheit

Auswertung in 2oo2, integer

+

Verar-

beitung

aktiv

„OK“

Verar-

beitung

aktiv

Eingaben

Synchronisat.

Vergleicher

Umschaltung

auf sich. Wert

bei Ungleichheit

Auswertung in 1oo2, integer

+

Verar-

beitung

aktiv

„OK“

Bild 6.2: Verdoppelung und Vergleich, 1oo2

Bild 6.3: Verdoppelung und Vergleich, 2oo2

Verar-

beitung

bereit

Diag-

nose

Verar-

beitung

aktiv

Diag-

nose

Ausgabe: stetig (fail-operate)

Vergleicher

= schaltet ab

Umschaltung auf

nicht gestörte Verarb.

Bild 6.4: Verdoppelung, Ver-gleich und Diagnose, 1oo2D

Verar-

beitung

aktiv

Verar-

beitung

aktiv

Verar-

beitung

aktiv

+ „OK“

Ausgabe: stetig und integer (in 2oo3)

Eingaben

Bild 6.5

Berufsakademie Mannheim Automatisierungssysteme Betriebsmittelanforderungen“ Erich Kleiner, September 2007 7. Sicherheitsgerichtete Systeme

ASA_Zuv_Verf_Sich 17

7. Sicherheitsgerichtete Systeme

7.1 Anforderungen

Aufgabe eines Sicherheits- - gerichteten Systems ist: - sicherer Betrieb einer Anlage mit hohem

Gefahrenpotenzial, oder - Schutz einer Anlage mit hohem

Gefahrenpotenzial, die von einem nicht Sicherheits- - gerichteten System gesteuert / geregelt wird.

Anwendungsbeispiele und Vorschriften (außer IEC / EN 61508): - Produktionseinrichtungen allgemein

DIN 19 250 ff - Aggregateschutz (wichtiger Prozessaggregate)

Projekt - abhängige Spezifikationen - Brennersteuerung, Dampferzeuger - Schutz

Groß - Verbrennungsanlagen - Verordnung - Turbogruppenschutz

Hersteller - abhängige Spezifikationen - Kernkraftwerksschutz

Besondere nationale Normen - Explosionsgefährdete Anlagen, z.B. Petrochemie

NAMUR - Richtlinien (siehe "Ex-i"), ATEX

Anforderungen an Sicherheits-gerichtete Systeme: - Fehler in der Leiteinrichtung (einschl. Sensoren /

Aktoren) müssen zur Abschaltung führen und - dürfen betriebliche Abschaltung nicht verhindern.

Die Maßnahmen sind Anwendungs - abhängig: - Geräte – Eigendiagnose, - Sicherheits - gerichtete Signaldefinition, - Mehrkanaliger Aufbau (auch Geräte - intern),

7.2 Maßnahmen 7.2.1 Geräte - Eigendiagnose Als „Sicherheits – gerichtet“ bezeichnete Geräte müssen automatisch in bestimmten Intervallen ab-laufende Testroutinen enthalten. Bei Eingabegeräten müssen dazu u.a. die Eingänge anstelle des Prozesswertes mit einem simulierten Signal durch den ganzen Eingangsbereich darauf getestet werden, ob sie im Ernstfall richtig reagieren würden. 7.2.2 Signaldefinition Die Definition, welcher Signalpegel (1 oder 0) für welche Wirkung innerhalb der Elektronik verwendet wird, ist ein Teil einer Sicherheits - gerichteten Auslegung. Bild 7.2.1: Signaldefinition "aktiv 1" Bild 7.2.1 zeigt die "aktiv -1"- Definition, bei der log. 1 "Wahr" bzw. „gut“ bedeutet. Alle Eingriffe (Freigaben, Schutzbefehle, Ausgangsbefehle) erfolgen mit log. 1.

- sichere Auswertung (Voter), bei Relais z.B. "Zwangs - Führung" der Kontakte, - Zweiter Logik-Kanal in „Diversitärer Logik“ (inverse

Signale, Wort statt Bit (prüfbar), z.B. ODER statt UND),

- Prüfmöglichkeiten / automatische Prüfprogramme zur Entdeckung passiver Fehler. („Proof Test“)

- Sichere Datenübertragung z.B. durch PROFIsave, INTERBUS-Safe, ASI-Safety at Work und Safe

Ethernet (besondere Telegramme mit mehr Prüfungen, sowie Auswertegeräte, die bei ausbleibenden oder fehlerhaften Telegrammen in den sicheren Zustand gehen),

Die Realisierung (Bild 7.1) erfolgt durch - Sicherheits – gerichtete MRS – Systeme für die komplette Aufgebe, oder - Sicherheits – gerichtetes Schutzsystem zusätzlich zu einem nicht Sicherheits – gerichteten „betrieb- lichen“ System, oder neuerdings durch - „Integrated Safety“ – Systeme, in denen Sicher- heits gerichtete und betriebliche Funktionen kombiniert werden können. Schutz bedeutet dabei: Verringerung des Risikos durch Maßnahmen, die die Eintrittshäufigkeit oder das Ausmaß eines Schadens oder beides beschränken. Ausgabegeräte benötigen zumindest einen zweiten Abschaltkanal, z.B. die geschaltete Spannungs-versorgung für die Ausgangsstufen, damit durchlegierte Endstufen nicht unbemerkt eine Abschaltung verhindern können. Dies ist (unter „Beispiele“) beim HIMA – Systems dargestellt. Im verdrahteten Teil wird diese "1" durch Spannung und Strom abgebildet, so dass ein Drahtbruch oder ein Erdschluss (die häufigsten Fehler) eine 0 bewirk-en und so über die Signaleingabe keine Freigabe

und in der Ausgabe keinen Befehl auslösen können. Wenn auch innerhalb des programmierbaren Teils "aktiv - 1" gilt, kann man Eingangs-signale bei Störungen sperren, um durch Fehler keine ungewollten Freigaben zu erhalten. Hier bringt die Definition nur bessere Übersicht, ansonsten gibt es zwischen 1 und 0 keinen Unterschied.

Für Sicherheits - gerichtete Schutz - Befehle muss im verdrahteten Teil "1" als "GUT" definiert sein. Dann würde bei 0 durch Fehler der "GUT"-Zustand wegfallen, und es würde abgeschaltet (entspricht der "Ruhestrom - Schaltung").

Bild 7.1: Strukturen für sicherheitsgerichtete Funktionen

Sicherheits- Sicherheitsgerichtetes Schutzsystem „Integriertes Syst.“

Anforderungen System für Sicherheits- mit Eingriff in mit Sicherheits -

relevante Funktionen und

normalen Funktionen

Normale Betriebliches System Betriebliches z.B. S7, Rosemount,

(„Betriebliche“) für „normale“ Funktionen System mit z.B. ProfiSafe-

Anforderungen Bus

Realisierungs - Möglichkeiten:

+

Schließt bei „erfüllt“, = „1“

-> sicher gegen

- Leitungsbruch,

- Kurzschluss

Über-

wach.

Signal

Störung

&

z.B. „Freigabe“

des Betriebes&

&

Geräte-

Störung

Eingabe Verarbeitung

>1

Systemkommunikation Automatisierungssysteme Berufsakademie Mannheim 6. Sicherheitsgerichtete Systeme Erich Kleiner, Sept. 2007

18 ASA_Zuv_Verf_Sich

7.2.3 Auswahlschaltungen Auch durch Aus-wahlschaltungen kann die Sicherheit (oder Verfügbarkeit) erhöht werden (Bild 7.2.2). Bei 2 Kanälen ist eine 2v2 - Auswahl für eine Freigabe sicher, und eine 1v2 für eine Abschaltung bei "Nicht GUT", also im Bild bei offenem Kontakt. Aktive Abschaltung mit 1 (ganz rechts) ist zwar verfügbar, gilt aber nicht als "Sicherheits- gerichtet". Bei 3 Kanälen ist eine 2v3 - Auswahl gleich-ermaßen verfügbar und sicher. In nebenstehender Tabelle ist das im Sinne von „Sicher-heits - gerichteten Systemen“ geforderte Betriebsverhalten der verschiedenen Aus-wahlschaltungen dargestellt. 7.2.4 Komplementäre Logik wird oft als 2. Logik - Kanal pro-grammiert, dazu stehen besondere Funktionsbausteine zur Verfügung. 7.2.5 Mehrkanaliges Schutzsystem Schutz von Anlagen mit hohem Gefahrenpotenzial erfolgt durch spezielle Schutzsysteme, die einen Betrieb nur im "GUT" - Zustand einer Reihe von Bedingungen erlauben. Bild 7.2.3 zeigt das Prinzip mit zwei 3-kanaligen Messungen und drei Auswerte-kanälen. Jede Auswertung erhält (über eine spezielle Bus-Verbind-ung) alle 3 Geberkanäle, wertet sie in 2v3, und bildet das Ergebnis (UND zwischen den Messungen). Ein Voter außerhalb bildet in 2v3 die Betriebsfreigabe.

Kanal 1

Kanal 2

Auswahlschaltungen

- bei 2 Kanälen einer Messung:

Freigabe: Schutz (Abschaltung):

&2 von 2

Sicher, aber geringe Verfügbarkeit

(Abschaltung bei 1 gestörten Kanal)

>11 von 2

- bei 3 Kanälen einer Messung:

Kanal 1

Kanal 2

Kanal 3

Schließt bei „gut“

>2 2 von 3

Freigabe: Schutz (Abschaltung):

>2 >2

Oder: schließt zum AbschaltenSchließt bei „gut“

2 von 3

Sicher und verfügbar: toleriert 1 gestörten Kanal

2 von 3

>1 1 von 2

Oder: schließt zum Abschalten:

verfügbarer, nicht Sicherheits - gerichtet!

Bild 7.2.2: Auswahlschaltungen

Messung 1

K1 K2 K3

Messung 2

K1 K2 K3

2 v 32 v 3

&

2 v 32 v 3

&

Geschlossen („1“) für GUT („Ruhestrom“ - Prinzip)

2 v 32 v 3

&

2 v 3

Station 1 Station 2 Station 3

Betriebsfreigabe

S

pezie

lle

Busverb

indung

Bild 7.2.3: Dreikanaliges Schutzsystem

Sicherheits - gerichtete Systeme: Betriebsverhalten

Abk. „1“ = OK Erläuterung bei Erstfehler: bei Zweitfehler:

1oo2 UND - Verknüpfung von 2 Kanälen Abschaltung -

1oo1D einkanalig mit Diagnose Abschaltung -

1oo2D ODER - Verknüpfung von 2 Kanälen fehlerhafter Kanal wird abgeschaltet,

mit Diagnose Betrieb bleibt erhalten Abschaltung

fehlerhafter Kanal wird ignoriert,

2oo3 2 von 3 - Verknüpfung von 3 Kanälen Betrieb bleibt erhalten Abschaltung

für erlaubte Zeit*

2. fehlerh. Kanal

2oo4 2 von 4 - Verknüpfung von 4 Kanälen fehlerhafter Kanal wird ignoriert, wird ignoriert,

Betrieb bleibt erhalten Betrieb bl. erhalten

für erlaubte Zeit*

2oo4D 2 parallele 1oo2D - Systeme (HIMA) fehlerhaftes Syst. wird abgeschaltet, Abschaltung

Betrieb bleibt ungeschränkt erhalten

(einkanalig bis SIL3 zertifiziert!)

&

D

>2

>2

Reaktion im Fehlerfall:

D

„gut“: geschlossen,

D

D

D

D

D

Berufsakademie Mannheim Automatisierungssysteme Betriebsmittelanforderungen“ Erich Kleiner, Januar 2014 6. Sicherheitsgerichtete Systeme

ASA_Zuv_Verf_Sich 19

Zur Erkennung von passiv-en Fehlern erfolgt eine au-tomatische scharfe Prüf-ung. (Bild 7.2.4). Zunächst wird bei jeder Messung ein Kanal nach dem anderen als "Nicht GUT" vorge-täuscht und die Auswirk-ung in der Logik geprüft. Bei Kontakten erfolgt dies sinnvollerweise durch Ab-schalten der Abfrage-spannung. Dann wird am Logikaus-gang der ganze Kanal aus-gelöst und geprüft, ob der Voter eine einkanalige Auslösung erhielt. Diese Prüfung kann natür-lich nur durchgeführt werd-en, wenn nicht schon ein Kanal gestört ist. Für die zusammenfassen-de 2v3-Auswahl Bild 7.2.3 und die Relais in Bild 7.2.4 werden „zwangsgeführte Relais“ eingesetzt, bei denen gleiche Stellung aller Kontakte sichergestellt ist. Nur dann kann z.B. sicher geprüft werden, ob ein Relais ausgelöst hat.

7.3: Beispiele aktueller Systeme 7.3.1 Sicherheitsrelais Bei relativ einfachen, kleinen Einrichtungen werden seit vielen Jahren „Sicherheitsrelais“ einge-setzt. Diese schleifen einen NOT-AUS- Taster oder z.B. eine Schutz-Tür-Überwachung sicher in den Leistungskreis eines sicherheits-relevanten Antriebs ein. Bild 7.3.1.1 zeigt das Prinzip (mit aktuellen Kennzeichen). Der NOT-AUS-Taster –SF1 ist zweikanalig an das Sicherheitsrelais -KF1 angeschlossen, die Eingangs-kreise werden auf Erdschluss und Querschluss überwacht, Unterbrech-ung entspräche einem NOT-AUS. Über Taste -SF2 wird der Betrieb freigegeben, wenn (zunächst) die Abschaltrelais –KM1 und –KM2 abgeschaltet sind. Diese erhalten nun aus dem Sicherheitsrelais -KF1 Spannung und die „normale“ Einschaltung über –QA1 kann den Motor starten. Bei NOT-AUS wird über die Abschaltrelais sicher abgeschaltet.

R S

&

&

R S

1

&

&

Testeinrichtung Schutzkanal 1Start

1.

Prü

fung:

Ein

gangskanäle

2.

Prü

fung:

Au

sg

abe

Schutzkanal 2 Schutzkanal 3

Betriebs-

Freigabe

Wenn OK:

nächster

Kanal Auswertung (Voter)

Bild 7.2.4: Automatische Prüfung auf passive Fehler

Bild 7.3.1.1: Sicherheitsrelais, Prinzip

Zuverlässigkeit, Verfügbarkeit, Sicherheit Automatisierungssysteme DHBW Mannheim 7. Sicherheitsgerichtete Systeme Erich Kleiner, Oktober 2016

20 ASA_Zuv_Verf_Sich

Bild 7.3.1.2 zeigt Sicherheits-Relais PNOZ s3 der Fa. Pilz von außen und als Blockschaltbild. Es ist zertifiziert für PL e und kann auf verschiedene Betriebsarten eingestellt werden, z.B. für manuellen oder automatischen Start usw. Inzwischen werden Sicherheitsrelais auch mit Mikroprozessoren bestückt, wodurch eine Vielzahl von Betriebs-arten möglich ist und mit denen ein ganzes Sicherheitssystem aufgebaut werden kann. Bild 7.3.1.3 zeigt das PNOZplus der Fa. Pilz. Bild 7.3.1.5 zeigt Sicher-heits-Relais der Firma ABB. Hier können in den Eingangskreisen dynami-sche Signale verwendet werden, die sich zyklisch selbst überwachen (200 Hz), statt einer Über-wachung nur bei Betätigung in statischen Kreisen. Dadurch können bis zu 30 Sensoren hintereinander geschaltet werden und dabei Kat. 4 / PL e erreicht werden. In einem Kreis können verschiedene Komponen-ten verwendet werden, über Adapter auch andere (statische) Produkte. Die programmierbare Aus-führung „PLUTO“ kann über einen Sicherheitsbus bis zu 32 Geräte zusammenfassen und kann als AS-i – Master bzw. Monitor eingesetzt werden.

Bild 7.3.1.2: Sicherheitsrelais PNOZ s3 der Fa. Pilz

Bild 7.3.1.4: Sicherheitsrelais PNOZplus der Fa. Pilz, Blockschaltbild

Bild 7.3.1.5: ABB-Sicherheitsrelais „VITAL“ und „PLUTO“

Berufsakademie Mannheim Automatisierungssysteme Betriebsmittelanforderungen“ Erich Kleiner, Januar 2014 6. Sicherheitsgerichtete Systeme

ASA_Zuv_Verf_Sich 21

7.3.2 HIMA – Sicherheitssysteme Die Firma „Hildebrand Mannheim“ (heute Brühl) hat sich auf Sicherheits – Syste-me spezialisiert und einige „Erst – Zertifi-kationen“ geschafft. In ihren Systemen H41q und H51q (q=„quadro“) werden Verarbeitungsgeräte mit je 2 Prozessoren verwendet, die durch einen sicheren Watchdog überwacht werden. Außerdem werden die Ergebnisse verglich-en. Der gestörte Kanal wird abgeschal-tet. Die Eingabegeräte sind „Sicherheits – gerichtet“ durch auto-matisch ablaufende Prüfroutinen. Teilweise werden die Eingangskreise überwacht. Die Auswertung der Prüfungen und Überwachungen erfolgt in den Eingabegeräten selbst oder in der CPU durch Umschaltung auf einen „sicheren“ Wert.

Die Ausgabegeräte arbeiten ebenfalls sicherheits – gerichtet durch Abschaltung der Ausgangsverstärker – Spannung über CPU – Watchdog und Freigaben.

Die Übertragung der sicherheitsgerichteten Tele-gramme erfolgt über „SafeEthernet“, ein von HIMA entwickeltes spezielles Protokoll auf Standard – Ethernet – Komponenten in einer eigenen Domain mit: - deterministischer Übertragung durch festen Zyklus, - zusätzlichen Prüfungen auf - Datenverfälschung, - Adressierung und richtige Reihenfolge, - Zeitverhalten (Ausbleiben von Telegrammen), - Zugriffsschutz –Maßnahmen im Engineering–Tool Bild 7.3.2.2 zeigt den einkanaligen Einsatz, der durch die Doppel – Prozessoren mit Diagnose (1oo2D) bereits für SIL 3 zugelassen ist, wenn sicherheitsgerichtete Ein- / Ausgabegeräte verwendet werden (1oo1D). Auch die Geber und Stellglieder müssen als „sicherheitsgerichtet“ eingestuft sein. Bild 7.3.2.3 zeigt eine Anwendung mit zweikanaliger Elektronik, bei der die beiden CPUs über Dual-Port – Speicher ihre Signale austauschen, so dass eine „2 von 4“ – Lösung entsteht. Die nun zweikanalig vorhandenen Ein- / Ausgabe-geräte müssen sicherheitsgerichtet sein, und natürlich auch die nur einmal vorhandenen Geber und Stellglieder.

µP1 µP2

+ Speicher

Fehlersicherer

Watch Dog

Vergleicher

- Speicher

Multiplexer

Ein/Ausgabe

Zentral-Baugruppe

&+

&

Spann.-

Versorgung

Digit. Ausgabe

z.B. Brennstoff-

Ventil

Dig.

Eing.

Anal.

Eing.

(CPU)

Freigaben Befehle

. . .

rückle

sen

Übertragung: „SafeEthernet“ mit

normalen Ethernet - Komponenten:

- deterministisch (eigene Domain)

- Zusätzliche Prüfungen auf:

- Datenverfälschung,

- Adressierung, Reihenfolge,

- Zeitverhalten (Ausbleiben

von Telegrammen)

-

+

üü

0

Initiator oder

beschalteter Kontakt

„2. Abschaltkanal“:

Abschalten der

Spann.Versorgung

Sicherheits - gerichtete

Ein / Ausgabegeräte

d.h. mit laufendem

FunktionstestMessumformer mit

„life zero“-Anschluss (4..20 mA)

Gerä

te-

test

-+

Gerä

te-

test

Speis

.-Ü

berw

.

Messw

.

I

Ab- bzw. Umschaltung:

- in der SW oder

- im Eingabegerät

ü

Alt.W.

Abschal-

tung0

Bild 7.3.2.1.: Prinzipschaltungen der HIMA - Sicherheitssysteme

Diagnose

µP1 µP2

ZB 1oo2

1oo1D

Stellglied

1oo1D

1oo2

1oo1D

1oo1D

Diagnose

µP1 µP2

ZB1

DP

R

DP

R

Diagnose

µP1 µP2

2oo4

1oo1D

1oo1D

ZB21oo2

Stellglied

Bild 7.3.2.2: Einkanalige Anwendung

Bild 7.3.2.3: mit 2-kanaliger Elektronik

Zuverlässigkeit, Verfügbarkeit, Sicherheit Automatisierungssysteme DHBW Mannheim 7. Sicherheitsgerichtete Systeme Erich Kleiner, Oktober 2007

22 ASA_Zuv_Verf_Sich

Diese Lösung ist ebenfalls bis SIL 3 zertifiziert. Der höhere Aufwand bewirkt nur eine höhere Verfügbarkeit.

Bild 7.3.2.4 zeigt eine zweikanalige Anwendung mit einem gemeinsamen E/A – Bus und – je nach Anforderungen und Möglichkeiten – ein- bis drei- kanalige Eingabe- / Ausgabegeräte einschließlich Gebern und Stellgliedern. Ein „zweikanaliges Stellglied“ ist z.B. die Reihen-schaltung von zwei Brennstoffventilen. Auch diese Lösung ist nur bis SIL 3 zertifiziert, und der höhere Aufwand bewirkt nur eine höhere Verfüg-barkeit. Bild 7.3.2.5 zeigt anhand Sicherheits – gerichteter, verdrahteter (Verbindungs – programmierter) Logik mit Diagnose (durch µP) das Prinzip des HIMA – Systems „Planar F“, das als bisher einziges bis SIL4 zertifiziert ist. Die „wechselstrommäßige“ Verarbeitung ist sicher gegen statische Fehler: „TRUE“ („1“) wird nicht durch einen statischen Signalpegel sondern durch das Vorhandensein von Pulsen dargestellt, so dass ein Bauelementefehler durch Pulsausfall immer zu „FALSE“ („0“) führt und sicher abschalten kann.

Bild 7.3.2.4: Zweikanalige Verarbeitung und 1- bis 3 – kanalige Peripherie

1oo2

Diagnose

µP1 µP2

ZB1

DP

R

DP

R

Diagnose

µP1 µP2

ZB21oo2

1oo1D

1 Geber,

Sich.ger.

2 Geber

1oo2D 2oo3D

3 Geber

1oo1D 1oo2D

1 Stellglied 2 Stellglieder

z.B.:

2oo4

(unerregt schließend)

Bild 7.3.2.5: Verbindunbgsprogrammiertes System HIMA Planar F (bis SIL 4)

DHBW Mannheim Automatisierungssysteme Zuverlässigkeit, Verfügbarkeit, Sicherheit Erich Kleiner, Juli 2015 7. Sicherheitsgerichtete Systeme

ASA_Zuv_Verf_Sich 23

7.3.3 „Safety at work“ bei ASI

Unter dieser Bezeichnung gibt es auch beim ASI (Actuator Sensor Interface) eine sicher-heitsgerichtete Übertragung. Hier können nicht sicher-heitsgerichtete Standard- Geräte und sicherheits-gerichtete Geräte am gleichen Bus betrieben werden, auch Not-Aus-Tasten (Bild 7.3.3.1).

Die sicherheitsgerichteten Aufgaben werden hier durch spezielle „Safety Monitors“ realisiert, vergleichbar mit den in 7.3.3.2 gezeigten Sicher-heitsrelais. Das Bild zeigt den Datenfluss: rot sind die sicherheitsrelevanten Ver-bindungen eingezeichnet. 7.3.4 „Virtuelle“ Lösung von B&R Für kleine bis mittelgroße sicherheitsrelevante Aufgaben hat B&R eine „virtuelle“ Lösung entwickelt, siehe Bild 7.3.4.1

Statt die Verarbeitungsaufgaben in einem zentralen Controller in einem Schrank zu realisieren sind diese dezentral verteilt. Sichere Verarbeitung einschl. zweitem inversen Kanal (siehe Bild 7.3.5.2) erfolgt auf den Eingabegeräten, notwendige sichere Bedienfunktionen sind in den HMI-Komponenten. Diese SW-Lösung ist bis SIL3 / PL e zertifiziert. Dadurch wird Platz und werden Geräte gespart, und auch sehr kleine Aufgaben können mit geringem Aufwand voll programmierbar gelöst werden, anstatt ein spezielles Sicherheitsrelais einsetzen zu müssen. B&R benutzt für die Datenübertragung den Standard „Open Safety“ in Verbindung mit der Echtzeit-Ethernet-Lösung „PowewrLink“ (B&R).

7.3.5 Siemens- Geräte „SIRIUS“ Bei Siemens gibt es unter dem Produktnamen „SIRIUS“ eine große Gerätepalette: z.B. einfache Sicherheitsrelais (Bild 7.3.5.: a), Geräte zum Anschluss an AS-i (b) und sichere Motorstarter (c), alle zertifiziert bis SIL3 / PL e, mit variablem Mengengerüst, flexibel für die verschiedensten Anforderungen.

Bild 7.3.3.1: „Safety at work“ bei ASI

Bild 7.3.3.2: Datenfluss bei „Safety at work“, Rechts: angeschlossenes Sicherheitsrelais

Bild 7.3.4.1: „Virtuelle“ Lösung von B&R

Bild 7.3.5: SIRIUS- Geräte von Siemens

'Textfeldtools', wenn Sie das Format des Textfelds 'Textzitat' ändern möchten.]

a) b) c)

Zuverlässigkeit, Verfügbarkeit, Sicherheit Automatisierungssysteme DHBW Mannheim 7. Sicherheitsgerichtete Systeme Erich Kleiner, September 2014

24 ASA_Zuv_Verf_Sich

7.3.5 "Integrierte Sicherheit" In manchen Leittechnik – Systemen, z.B. bei Siemens (S7), B&R und Emerson, können betrieb-liche (nicht Sicherheits - gerichtete) und Sicherheits- gerichtete Funktionen in einer "Fehler - sicheren" CPU ("F") kombiniert werden, so dass ein einziges Leitsystem eingesetzt und mit den gleichen Engi-neering- und Service - Tools bearbeitet werden kann (Bild 7.3.5.1), zertifiziert bis SIL 3. Problematisch ist aber die Handhabung durch gleiches Personal. Für die Sicherheits - gerichteten Funktionen gibt es spezielle Eingabegeräte (2 Kanäle in 2 von 2) und Ausgabegeräte (zweiter Abschaltweg) in „F“-Ausführung (Fehler-sicher, Fail-safe). In der Verarbeitung stehen spezielle Funktions-bausteine zur Verfügung, welche die Anforderungen Sicherheits – gerichteter Systeme erfüllen.

Um einen zweiten Verarbeitungskanal zu sparen besitzt SIMATIC S7F die Möglichkeit, auf der gleichen CPU eine Aufgabe „normal“ und zusätzlich „diversitär“ zu rechnen (Bild 7.3.5.2). In diesem zweiten Kanal werden inverse Signale, andere Variablendefinition und die entsprechend komple-mentären Verknüpfungsfunktionen verwendet. Die Ergebnisse werden verglichen. Sind sie nicht invers zueinander, so bringt „F-STOPP“ den betroffenen Teil der Anlage in den sicheren Zustand. Diese Sicherheit ist aber nur scheinbar ohne Zusatzkosten zu haben. Die inverse Verarbeitung braucht mehr Verarbeitungszeit als die „normale“, so dass mehr als die doppelte Zeit benötigt wird. Das kann zusätzliche CPUs kosten.

Lange Zeit mussten für Sicherheits - relevante Aufgaben Verdrahtung (statt Bus) oder spezielle Busse eingesetzt werden, welche die Sicherheits-anforderungen erfüllten. Inzwischen gibt es Lösungen, die auf dem gleichen Bussystem "normale" und "sichere" Telegramme verwenden, z.B. bei "PROFIsave" (Bild 7.3.5.3). Hier enthält der Datenteil des Telegramms zusätz-liche Informationen für sicheren Datenverkehr, aus-gewertet durch zusätzlichen Layer (über Schicht 7): - fortlaufende Numerierung der Sicherheitstele-

gramme, mit Laufzeitprüfung und Quittierung, - Kennung zwischen Partnern mit Losungswort, - zusätzliche Datensicherung (CRC), die eine

höhere Übertragungssicherheit bewirken.

Heute werden nicht nur über den PROFIBUS sichere Daten übertragen, sondern auch über Echtzeit-Ethernet-Systeme und z.B, INTERBUS.

Für die Echtzeit-Ethernet-Systeme POWERLINK, PROFINET, Ethernet/IP, Modbus/TCP und SERCOS III werden dazu folgende Protokolle verwendet: PROFIsafe: F-Master und –Slaves (Fail Safe),

Unterscheidung durch Parameter, Überprüfung des sicheren Datenverkehrs, Identifikation: HW

openSAFETY für beliebige, große Netzwerke, spezielle Safety Process Data Objects, Identifi-zierung von Sendern und Empfängern

FSoE (Fail Safe over EtherCAT): spez. Master und Slaves, Identifikation durch HW.

7.3.6 INTERBUS Safe Auch der „Interbus – Club“ hat eine Sicherheits – ge-richtete Lösung: Sicherheits – relevante Geber werden über einen Sicherheits – gerichteten Teil-nehmer („Anschaltgerät“) sicher ausgewertet. Dies erfolgt durch zusätzliche Informationen und Überwachungen im mit normalen Informationen gemeinsamen Summenrahmen auf demselben oder einem getrennten Kabel.

Synchronisation, Start, Nachricht Ende-

Datenlänge, Ziel- u. Quelladresse, (Daten) Markierung

Kontroll- und Prüfbytes

Normales PROFIBUS-DP - Telegramm (Antwort)

- fortlaufende Nummerierung Daten

der Sicherheitstelegramme,

- Zeiterwartung, Quittierung

- Kennung mit Losungswort,

- zusätzliche Datensicherung (CRC)

PROFIsafe - Telegramm

&

A (BOOL)

B (BOOL)

„Codierung“

/A (WORD)

Operanden Operation, z.B. UND

Diversitäre Diversitäre

Operanden Operation, z.B. ODER

/A (WORD)>1

Vergleich

ErgebnisC

D = /C

Diversitäres

Ergebnis

STOP

bei C = D

Bild 7.3.51: Integrierte Sicherheitsfunktionen bei S7

Bild 7.3.5.2: Diversitäre Verarbeitung

Bild 7.3.5.3: PROFIsafe - Telegramm (Prinzip)

Berufsakademie Mannheim Automatisierungssysteme Betriebsmittelanforderungen“ Erich Kleiner, Oktober 2016 7. Sicherheitsgerichtete Systeme

ASA_Zuv_Verf_Sich 25

8. Explosionssicherheit 8.1 Zündsicherheits-Stufen, Maßnahmen Insbesondere in der Petro-chemie ist Sicherheit gegen Explosionsgefahr gefordert. Dazu werden die Betriebs-räume in (Gefahren-) Zonen eingeteilt, je nach dem Auf-treten explosiver Atmosphäre: Gase: Zone 0: ständig oder

langzeitlich oder häufig, Zone 1: Normalbetrieb: gelegentlich, Zone 2: Normalbetrieb: selten od.kurzzeitlich. Zone N: keine Gefährdung

Stäube: Zone 20 / 21 / 22 ... ..“als Wolke“, entspr. 0 / 1 / 2

Früher galten für den Explosionsschutz ver-schiedenen nationale Vorschriften, in Deutschland gab es hauptsächlich die NAMUR- Empfehlungen (Normen - Ausschuss Messen und Regeln der chemischen Industrie). Seit 01. 07. 2003 gelten die ATEX - Richtlinien (ATmosphère EXplosive) der Europäischen Union: ATEX 95 (EU-Richtl. 94/9/EG für Hersteller, und ATEX 137 (EU-Richl.99/2/EG für Betreiber. Diese Richtlinien gelten für elektrische und mechanische Betriebsmittel und Schutzsysteme, unabhängig, ob in Gas- oder Staub - gefährdeten Bereichen. Zeichen für Explosionssicherheit bzw. - Gefährdung sind - für Betriebsmittel: - für Anlagenbereiche Zum Schutz gegen Entzündung durch elektrische (aber auch mechanische) Betriebsmittel sind ver-schiedene Zündschutzarten genormt und mit einem Kleinbuchstaben hinter „Ex-“ gekennzeichnet: Bild 8.1 zeigt Beispiele für den eigensicheren Anschluss von Sensoren und Aktoren:

- Eingabegeräte im nicht gefährdeten Bereich mit speziellen eigensiche-ren Eingängen, die gegen die übrige Schal-tung getrennt sind,

-"Barrieren" (z.B. Zener-barrieren) zur Begrenzung der elektrischen Werte von normalen Eingängen (bin.), oder Trennwandler (analog).

Die eigensichere Ausführung hat in der Speisung der Geräte den Nachteil, dass nur ca. 3 W (DC) eingespeist werden können.

Ex-e: erhöhte Sicherheit, Ex-d: Druckfeste Kapselung Ex-p: Überdruckkapselung Ex-i: eigensicher (begrenzte elektrische Werte), Ex-o: Ölkapselung Ex-q: Sandkapselung, Ex-m: Verguss – Kapselung Ex-n: nicht zündend (Zus.-Fassung für Zone 2)

Dabei bietet die eigensichere Ausführung Vorteile: - weltweite Akzeptanz, - relativ geringe Fertigungskosten, - einfache Gehäuseanforderungen (IP20), - einfache Anschlusstechnik, - bestimmte Arbeiten können am Betriebsmittel ohne Abschaltung durchgeführt werden.

In Geräten der Leittechnik wird die "Eigensicherheit" verwendet: Begrenzung der elektrischen Spannung / Leistung so, dass durch Funkenbildung / Erwärmung keine Entzündung der explosiven Atmosphäre statt-finden kann. In Zone 0 ist (in Deutschland) Potential-trennung vorgeschrieben.

EX

Bild 8.1.1: Gefahrenzonen

Zuverlässigkeit, Verfügbarkeit, Sicherheit Automatisierungssysteme DHBW Mannheim Literatur Erich Kleiner, Sept. 2007

26 ASA_Zuv_Verf_Sich

Bei Feldbusanschluss heißt das je nach Zündstufe eine Begrenzung auf 4 (IIC) . . 7 (IIA) Teilnehmer., nach „FISCO“ (siehe rechte Spalte) 7 .. 13 pro Segmentkoppler z.B. bei PROFIBUS –PA. Eine andere oft verwendete Lösung ist die „Multi-barriere“ (Pepperl & Fuchs, MA). Sie wird über ein Kabel in Schutzart Ex-e mit höherem Strom eingespeist, so dass hier 16 Teilnehmer angeschlossen werden können.

8.2 FISCO (Fieldbus Intrinsically Safe COncept)

Die Physikalisch- Technische Bundesanstalt (PTB) hat die Ex-i- Eigenschaften von Feldbussen, die in der Prozessautomation eingesetzt werden (PROFIBUS-PA / Foundation Fieldbus H1) Herstel-ler- übergreifend untersucht und im „FISCO-Modell“ Regeln für ihren Einsatz im Ex- Bereich festgelegt [8]. Dieses Modell wird inzwischen inter-national anerkannt. Es soll hauptsächlich Planung, Installation und Erweiterung von Feldbus-Netzen im Ex- Bereich erleichtern.

Basis-Überlegung: Ein Netzwerk ist eigensicher, und braucht nicht individuelle berechnet werden, wenn seine Komponenten (Feldgeräte, Kabel, Segmentkoppler und Busabschluss) eigensicher sind.

Die Eigensicherheit der Komponenten zertifiziert das PTB (bzw. in USA die UL u.a.).

Vorteile für den Anwender:

- „Plug and play“ auch im Ex- Bereich, auch für Geräte anderer Hersteller,

- keine Systembescheinigung erforderlich,

- Austausch von Geräten bzw. Erweiterungen ohne Neuberechnung möglich, auch bei Geräten ver- schiedener Hersteller,

- Maximierung der Anzahl der angeschlossenen Geräte (statt 4 nun 7 .. 13 Teilnehmer!).

Bedingungen: - Je Feldbus-Segment gibt es nur eine Speisequelle

- Alle Bus-Teilnehmer sind nach FISCO zugelassen

- Die Kabellänge beträgt (für Zündschutzart i) bei Kabeltyp A*: max. 1000 m, bei Kabeltyp B: max. 1900 m

- Kabelwerte: *Typ A Typ B Z = 135..165 Ω R‘ = 15 … 150 Ω/km, RSchl. < 110 Ω L‘ = 0,4 … 1 mH/km, C < 30 pF/m C‘ = 80 … 200 nF/km Für alle Kombinationen von Speisegerät und Feldgeräten muss sichergestellt sein, dass die zulässigen Eingangsgrößen eines Feldgerätes (Ui, Ii, Pi) größer sind als die im Fehlerfall möglichen und zulässigen maximalen Ausgangsgrößen (U0, I0, P0) des Speisegerätes.

Berufsakademie Mannheim Automatisierungssysteme Betriebsmittelanforderungen“ Erich Kleiner, September 2007 8. Explosionssicherheit

ASA_Zuv_Verf_Sich 27

8.3 DART (Dynamic Arc Recognition and Termination) Bei Einsatz der Multibarrieren muss die aufwendigere Schutzart Ex-e verwendet werden, um mehr Leistung ins Feld zu bringen. Mit der seit Anfang 2008 verwendeten DART- Methode wird das vermieden [9]. Dieser liegt zugrunde, dass in den ersten ca. 5 µs nach einer Stromkreistrennung wegen noch nicht ausreichender Funkenenergie noch keine Entzündung erfolgen kann. DART schaltet in dieser „Initialphase“ die Versorgungs-spannung rechtzeitig ab. Bild 8.2 zeigt, dass der Beginn der Initialphase durch ein hohes di/dt erkannt werden kann. Bild 8.3 zeigt den Verlauf bei Abschaltung durch DART. Bild 8.4 zeigt die Komponenten, die zu einem DART- Versorgungssystem gehören:

- Speisegerät mit Fehlerer-kennung und Abschaltung,

kann bis zu 50 W liefern, das reicht auch z.B. für Magnetventile.

- Leitung mit definiertem Wellenwiderstand und be-grenzter Länge. Hier liegt es an den Signallaufzeiten, ob das Speisegerät die

Information über die Funkenentstehung (di/dt) rechtzeitig erhält. Tabelle 8.1 zeigt den Zusam-menhang zwischen Ausgangsspannung, über-tragbarer Leistung und Leitungslänge an typischen Beispielen.

- Verbraucher Wegen der hohen möglichen Leistung können

auch Verbraucher wie Magnetventile an ein DART- Versorgungssystem angeschlossen werden. Die Verbraucher dürfen aber die Information über die Funkenentstehung nicht dämpfen oder absorbieren. Daher werden

- Entkoppler vorgeschaltet. Wenn auch dieser eine Abschaltung durchführt, verdoppelt sich die

zulässige Leitungslänge. DART kam allerdings zu spät, wird kaum eingesetzt. Für die Zulassung von Geräten für explosionsgefährdeten Einsatz sind die Gewerbeaufsichtsämter zuständig, die die Prüfung normalerweise an den TÜV delegieren. Ein Hersteller kann aber auch eine Typenprüfung bei der Physikalisch-Technischen Bundesanstalt in Braunschweig beantragen. Geräte mit einem solchen Prüfzertifikat brauchen dann nicht mehr im einzelnen Anwendungsfall geprüft werden. (kostengünstiger).

Bild 8.5: Feldbus- Entkoppler

Initial-

phaseKritische Phase

IF

Funkendauer tF = 5 µs .. 2 ms

di/dt UF

t

I, U Initial-

phaseKritische Phase

IF

Funkendauer tF = 5 µs .. 2 ms

di/dt UF

t

Initial-

phaseKritische Phase

IF

Funkendauer tF = 5 µs .. 2 ms

di/dt UF

t

I, U

Bild 8.3: Rechtzeitige Abschaltung durch DART

U

Überstrom-

Detector

I >

Funkenanf.-

Detector

+ dI

Funkenend.-

Detector

- dI

Monoflop

Funkenend.-

Detector

U <

UO=

SpeisegerätRStart

Leitung Verbraucher

8 .. 50 W

mit def.

Wellen-

Widerst.,

z.B.

Signallauf-

Zeit von

190 m/µs

Ent-

koppler

z.B.

Magnet-

Ventil,

Bus-

Gerät, ..

Initial-

phaseKritische Phase

IF

Funkendauer tF < 5 µs

UF

t

I, U Initial-

phaseKritische Phase

IF

Funkendauer tF < 5 µs

UF

t

I, U

Bild 8.4: Komponenten eines DART- Versorgungssystems

Spannung Uout Wirkleistung Pout Leitungslänge

DART High-Power 50 VDC ca. 50 W bei 100 m

24 VDC ca. 22 W bei 100 m

50 VDC ca. 8 W bei 1000 m

DART Feldbus 24 VDC ca. 8 W bei 1000 m

Maximale eigensichere DART- Ausgangswerte bei typ. Leitungslängen

Spannung Uout Wirkleistung Pout Leitungslänge

DART High-Power 50 VDC ca. 50 W bei 100 m

24 VDC ca. 22 W bei 100 m

50 VDC ca. 8 W bei 1000 m

DART Feldbus 24 VDC ca. 8 W bei 1000 m

Maximale eigensichere DART- Ausgangswerte bei typ. Leitungslängen

Tabelle 8.1:

+ di

Detector

Bild 8.2: „normaler“ Zeitverlauf von Funkenstrom und -Spannung

Bild 8.2: „normaler“ Zeitverlauf von Funkenstrom und -Spannung

Zuverlässigkeit, Verfügbarkeit, Sicherheit Automatisierungssysteme DHBW Mannheim Literatur Erich Kleiner, Okt. 2016

28 ASA_Zuv_Verf_Sich

Literaturhinweise / Quellen: [1] „Fehlertolerante Steuerungs - und Regelungssysteme“, H. Kirrmann, K.-E. Großpietsch, at 8/2002

[2] „Selbstüberwachung .. und übergreifende Überwachung ..“, Prof. Dr. Johannes Prock, at 5/2003,

[3] HIMA – Kataloge,

[4] „Interbus applications“ 01/2004 in etz 6/2004,

[5] Journal in der atp 6/2004

[6] „SIL- Übersicht und Zusammenhänge“, Vortrag Udo Hug (BlmSchG- Sachverständiger) www.hug-24.de

[7] „Safety Integrated“, Europäische Maschinenrichtlinie einfach umgesetzt, Siemens-Druckschrift 2009 [8] „Profibusbeschreibung für DKE“, Profibus-Nutzerorganisation, 2003 [9] DART: die neue Dimension der Sicherheit, Autorenteam, atp 3/2008

[10] Industrial Ethernet Facts, EPSG, Februar 2013 [11] “Mit Sicherheit auf dem richtigen Weg / Maschinensicher0102heit” ABB, 2015, 2CD003036B [12] „Sicherheitsfunktionen nach EN ISO 13849-1“ ABB 2012, - Normen (siehe Seite 8 und 9)