VDMA Informationstag / Workshop „Sicherheitssteuerungen“ Lösungskonzept Pilz VDMA Informationstag / Workshop „Sicherheitssteuerungen“ 27.06.05, Frankfurt Pilz Team: Stefan Olding, Martina Moldaschl, Bernd Maier, Holger Bode

Aufgabenstellung Beispiel LFT – D (Langfaser-Thermoplast-Direktprozess) Pressanlage für Workshop Sicherheitssteuerungen bestehend aus folgenden Anlagenteilnehmern: Presse DYU 3000 Presse PO 100 Extruderanlage Roboter Liniensteuerung Betriebsarten Voll-/ Teilautomatik, Einrichten, Einzelhub sind mit der gleichen SI- Kategorie auszurüsten. Nach EN 954- 1 Kat 4 bzw. EN 13849 PL “e“

Grundlagen für die Sicherheit - technische Ausführung Maschinenrichtlinie (MRL) EU / > GPSG Artikel 9 D > Hersteller Arbeitsmittelrichtlinie EU / Betriebssicherheitsverordnung D > Betreiber Diverse ABC Normen (s. Ausschreibung) C- Normen sind u.a. EN 692 / 693 / 289 Inhalt MRL: Pressen mit Handeinlegeplätzen gehören seit 1.1.95 zu den gefährlichen Maschinen nach Anhang IV der MRL. Hier muß eine C Norm ( z.B. EN 693 für hydraulische Pressen ) vorhanden sein und ohne Einschränkung nach dieser gebaut werden! Ist dies nicht der Fall, muß der Hersteller diese Maschine einer Baumusterprüfung nach Anhang VI durch eine notifizierte Stelle unterziehen.

Baumusterverfahren zur CE Zertifizierung Maschine nicht nach Anhang IV (Art. 8(2)a) nach Anhang IV (Art. 8(2)b,c) gemeldete Stelle führt EG-Baumusterprüfung am Modell durch nicht in vollem Umfang den Normen entsprechend (Art. 8(2)b) Unterlagen gemäß Anhang VI erstellen, mit Modell an gemeldete Stelle senden gemeldete Stelle erstellt EG-Baumuster-bescheinigung Hersteller erstellt Kon-formitätserklärung**), bringt CE-Zeichen an in vollem Umfang den Normen entsprechend (Art. 8(2)c) Hersteller Unterlagen gemäß Anhang V zusammenstellen Unterlagen ge-mäß Anhang VI erstellen, an gemeldete Stelle senden Unterlagen gemäß Anhang VI erstellen, der gemeldeten Stelle vorlegen Unterlagen gemäß Anhang VI erstellen, mit Modell an gemeldete Stelle senden gemeldete Stelle gemeldete Stelle bewahrt Unterlagen auf gemeldete Stelle überprüft, ob Normen korrekt angewendet sind gemeldete Stelle führt EG-Baumusterprüfung am Modell durch gemeldete Stelle bestätigt Empfang gemeldete Stelle erstellt darüber Bescheinigung gemeldete Stelle erstellt EG-Baumuster-bescheinigung Hersteller Hersteller erstellt Konformi-tätserklärung*), bringt CE-Zeichen an Hersteller erstellt Konformitäts-erklärung*), bringt CE-Zeichen an Hersteller erstellt Konformitäts-erklärung*), bringt CE-Zeichen an Hersteller erstellt Kon-formitätserklärung**), bringt CE-Zeichen an *) Konformitätserklärung bescheinigt Übereinstimmung mit grundlegenden Anforderungen der Richtlinie **) Konformitätserklärung bescheinigt Übereinstimmung mit geprüftem Modell

Konsequenz aus den Grundlagen Was besagt die EN 693? Programmierbare elektronische Systeme für Sicherheitsfunktionen werden derzeit nicht von den bekannten Pressennormen (EN 693 usw.) erfasst. Bedeutet, den Nachweis über die gleichwertige Sicherheitstechnik zu führen. Baumusterprüfungen dieser Anlagen werden durch notifizierte Prüfstellen ( z.B. TÜV oder BG) durchgeführt. Baumusterprüfung wird von Pilz durch Zertifizierung der Sicherheitssteuerung PSS und der entsprechenden Pressensicherheitsbausteine PSS- SW HYDR unterstützt!

PSS Zertifikat

Transferstraßen/Robotik Zertifizierte, abgenommene Software-Bausteine... ... unterstützen die Baumusterprüfung! Transferstraßen/Robotik Pressen Exzenterpressen Hydraulikpressen Transferstraßen Feuerungstechnik Gastanklager Regelungstechnik Analogeingabe NOT-Aus-Paket Sichere Kopplung PSS SB AKAS SICK Lichtvorhang

Sicherheitsrelevante Funktionen einer Hydraulikpresse SB 059 - Zweihandbediengerät SB 062 - NOT-AUS (Kat. 4) SB 059 - Fußschalter SB 068 - (BWS) Berührungslos wirkende Schutzeinrichtung SB 051/052 - Betriebsarten SB 061 - Schaltsperre SB 87/88/89 - Pressen- sicherheitsventil (PSHV) Hydraulik- presse SB 050 – Standardteil- Fehlerauswertung

Kundennutzen Für alle Sicherheits- und Standard-Funktionen sowie für komplette Maschinen Wesentliche Verkürzung der Überprüfungszeit der Software und der Abnahme durch TÜV, BG etc. Erhöhte Sicherheit des Prozeßablaufs sowie der Programmfunktionalität Ausschluß von Manipulationen und ungewollten Veränderungen Bausteine müssen lediglich parametriert werden

Aufteilung der SI- Bereiche SK1 SK2 SK3

Mengengerüst Presse DYU 3000 Details

Mengengerüst Presse P01

Mengengerüst Linie/ Extruder

Sicherheitskonzept mit SafetyBUS p : (bereits umgesetzt) Übergeordnete sichere Kommunikation mehrer PSS´en Ethernet TCPIP (div. Protokolle) PSS 1 Extruder/ Linie / Roboter PSS 2 DYU 3000 PSS 3 PO 100 Zentrale Programmierung mit einer FS Datenbank auf PSS WINPRO Gate way Gate way Gate way Bereitstellung aller Diagnose und Prozessdaten Für Visu- und Daten- Auswertungszwecke im www.

Standardtechnik Feldbus Ethernet TCPIP (div. Protokolle) Soft SPS 1 und Visu Extruder / Linie / Roboter Soft SPS 2 und Visu DYU 3000 Soft SPS 3 und Visu PO 100 Zentrale Programmierung mit einer ST Datenbank des jeweiligen SPS Herstellers Feldbus Bereitstellung aller Diagnose und Prozessdaten Für Visu- und Daten- Auswertungszwecke im www.

Variante 1: Verknüpfung FS/ST auf Kontaktbasis Soft SPS Standard Failsafe PSS RFK-Überwachung Schalten der Versorgung FS-Ausgänge ST-Ausgänge Prinzip Eingänge: Zusätzliche Geberkontakte /Verkabelung /Eingänge für Signalisierung Prinzip Ausgänge: Sicheres Abschalten der Versorgungsspannung des unsicheren ST-I/O-Modul ST-Eingänge

Variante 2: Verknüpfung FS/ST auf Steuerungsebene Komplettes PAE/PAA + Diagnosedaten Failsafe Soft SPS Standard PSS Feldbus Schaltbefehle zur PSS-Zustimmung ST-Ausgänge FS-Ausgänge M 3~ ST-Eingänge

Warum die Trennung von FS zur ST Technik? Performancegründe Klare Verantwortlichkeiten Rückwirkungsfreiheit und Manipulationssicherheit bei ungewollten Veränderungen nach IEC 61508 Verfügbarkeit

Performance ( Anforderung an die Pressensteuerung) Je nach geforderter Hubzahl und Hubhöhe, ergibt sich die Zykluszeit des Pressverlaufes. Diesen korrekt und qualitativ gut zu steuern, bedeutet einen n-fachen Aufruf des ST Programmes während des Pressverlaufes. Bei Regelanwendungen in Ziehkissen sind Programmzyklen von 2-5 ms erforderlich! Gleichzeitig muß die 3 fache E/A Menge der SI Technik in dem ST Teil abgearbeitet werden. Sicherheitstechnik erfordert in CPU und Bus ca. die 5 fachen Ressourcen gegenüber konv. Steuerungstechnik! Eine Kombination beider Technologien in einer Ressource unter o.g. Anforderungen ist derzeit nicht realisierbar!

Klare Verantwortlichkeiten Durch die Trennung von SI Technik und ST Technik, ist es möglich den unterschiedlichen Anforderungen in Wissen und Verantwortlichkeit um die SI und ST Technik innerhalb der Firmenorganisation gerecht zu werden . Planer, Inbetriebnehmer und Instandhalter, die für Sicherheitstechnik „verantwortlich“ sind, müssen entsprechendes Spezialwissen nachweisen. Eine isolierte, eigenständige Handhabung der Sicherheitssteuerung ermöglicht Transparenz und Verantwortlichkeitsabgrenzung.

Rückwirkungsfreiheit und Manipulationssicherheit Maßnahmen zur Fehlervermeidung,Auszug aus IEC 61508-2 9 Sicherheitsbezogene Systeme: E/E/PES Spezifikation der E/E/PES Sicherheitsanforderung 9.1 9. 1.1 Realisierung (siehe E/E/PES) Sicherheitslebenszyklus Spezifikation der funktionalen Sicherheitsanforderung 9. 1.2 Spezifikation der sicherheitsbezogenen Zuverlässigkeitsan- forderung u.a. Projektmanagement Dokumentation Trennung von sicherheitsbezogenen und nicht-sicherheitsbezogenen E/E/PES-Syst. Strukturierte Spezifikation 9.2 E/E/PES Validationsplanung 9.3 E/E/PES Entwurf & Entwicklungsplanung 9.4 E/E/PES Integration 9.5 E/E/PES Betriebs- & Wartungsverfahren 9.6 Sicherheitsbezogene E/E/PES Validation Zu Kasten 14 Phasen der IEC 61508 Zu Kasten 12 Phasen der IEC 61508

Verfügbarkeit Eine Einschränkung der Verfügbarkeit durch verstümmelte Rücklesetelegramme bei hohen Baudraten z.B. in „sicheren, hybriden Feldbussystemen“ bedeuten Reduzierung der Verfügbarkeit, da verlorene oder verstümmelte Telegramme die Abschaltung der gesamten Busstruktur nach sich ziehen. Sichere Feldbussysteme sollten Ereignisse schnell und direkt an den jeweilig gewünschte Buspartner übertragen können. Ereignisorientierung, Multi Master Kommunikation und hohe EMV Festigkeit ( ) sichern dies ab. Selektive Abschaltungen von Bussegmenten ist ein „Muß“, da in Wartungsfällen Teilgewerke abgeschaltet werden und normalerweise damit der gesamte Bus abgeschaltet wird. Gruppenabschaltungen im ermöglichen die selektive Abschaltung!

Migrationsschritt mit PSSuniversal mit Safety BUS p + beliebigen Feldbus (01/2006) Ethernet TCPIP (div. Protokolle) Extruder/ Linie /Roboter DYU 3000 PO 100 Zentrale Programmierung mit einer FS +ST Datenbank auf PSS WINPRO Übergeordnete sichere Kommunikation mehrer PSS´en Gate way Gate way Gate way Bereitstellung aller Diagnose und Prozessdaten Für Visu- und Daten- Auswertungszwecke im www.

Zustimmprinzip: ST- und FS-Kommunikationsbeziehungen Failsafe PSS 1:1 Diskrete FS-Ein- und Ausgänge Standard SPS Diskrete ST-Ein- und Ausgänge FS/ST-Ausgänge: Zustimmprinzip 1:1 Zuordnung FS-Eingänge: Diagnose an ST-Bus konfigurierbar für jeden FS-I/O-Punkt

Vergleich der Variante (1): Einsparung von Verkabelung Standard Failsafe Standard Failsafe ST-Ausgänge FS-Ausgänge ST-Ausgänge FS-Ausgänge ST-Eingänge FS-Eingänge ST-Eingänge FS-Eingänge Klassisch: Kontaktverdrahtung Neu: Logik E/A

Vergleich der Variante (2): Reduzieren der Schaltzeiten Komplettes PAE/PAA + Diagnosedaten Standard Failsafe Standard Failsafe Schaltbefehle zur PSS-Zustimmung ST-Ausgänge FS-Ausgänge ST-Eingänge FS-Eingänge SPS-Zyklus ST-Bus PSS-Zyklus SBus DO „Schaltzeit“ Reaktionszeit SPS-Zyklus ST-Bus PSS-Zyklus SBus DO Klassisch: ST „&“ SI in der PSS Neu: Logik E/A

Prinzip FS/ST: beliebige Anreihung der Funktionen Standard I/Os - ohne Bezug zum FS-Teil Sichere Blockabschaltung Diskrete FS- I/Os Nutzen einfacher Aufbau (Vermischbarkeit von ST und FS) rückwirkungsfreier Betrieb „logische“ Aufbaureihenfolge, Erweiterbarkeit nach Bedarf Reserve bietet das System, muß nicht installiert werden Kleine Granularität

Weltweiter Einsatz bis in die höchsten Sicherheitsanforderungen Weltweiten Einsatz durch internationale Zulassungen Erfüllung höchster Sicherheitsanforderungen EN 954-1 bis einschließlich Kat. 4 prEN 13849-1 PL „e“ IEC 61508 bis einschließlich SIL 3 FDIS 62061 EN 60204-1 NFPA 79 UL/CSA

Baukastenprinzip Systemplattform Kopf-Funktionen skalierbare I/O-Funktionen IO- Head FS-DI FS-DO IO- Head & ST-Bus FS-DI FS-DO ST-DI ST-DO PSSu multi FS-DI FS-DO ST-DI ST-DO FS-AI ST-AI n ? n ? ST-AO PSSu multi Ethernet FS/ST CPU

PSSuniversal: Anwendernutzen Kompakte Bauform (mit kleinerem Footprint) Stehende Verdrahtung (in Schraub– oder Käfigzugfeder Technologie) Erweiterung am SafetyBUS p Fail-Safe Relaisausgänge Mehr I/Os pro Adresse am SafetyBUS p (32I/32O) Wirtschaftlich durch kleine Granularität Kombination von Standard- und Sicherheitsfunktionen Breites Portfolio an Funktionen Modularität = Flexibilität

PSSuniversal: Anwendernutzen Performance Geschwindigkeitsvorteile (parallele Verarbeitung) größere SafetyBUS p-Systeme Standardisierung Sicherheitstechnik ist feldbusunabhängig Investitionsschutz Kein Systemwechsel erforderlich, Performancesteigerung auch mit bestehenden Systemen/Architekturen Peripherie ist unabhängig von Steuerungskonzept kein Systemumbau bei künftigen „neuen Medien“ ein System für alle Anforderungen (ST/FS, digital, analog...)

PSSuniversal, sicher in die Zukunft „Die intelligente Verzahnung von Standard & Sicherheit“

Zusammenfassung Normative Anforderungen sind erfüllt. Funktional ist die getrennte Ausführung von SI und ST Technik aus Performance – und Verfügbarkeitsgründen notwendig und sinnvoll. Seit 1995 ist Pilz führend in der Sicherheitsausrüstung von Pressenprojekten. Zahlreiche Projekte dieser Art belegen den Erfolg. Pilz steht für Innovationssicherheit und hat die künftige Systemarchitektur unter Einbindung der Standardtechnologie in die Sicherheitssysteme vollzogen