- Maße, Wertequellen, Berechung 3. Fehler

Präsentation zum Thema: "- Maße, Wertequellen, Berechung 3. Fehler"—  Präsentation transkript:

1 - Maße, Wertequellen, Berechung 3. Fehler
Automatisierungssysteme: Zuverlässigkeit, Verfügbarkeit, Sicherheit Inhalt 1. Begriffe (Übersicht) 2. Zuverlässigkeit - Maße, Wertequellen, Berechung 3. Fehler - Fehlerarten, Maßnahmen, -Wahrscheinlichkeit 4. Verfügbarkeit 4.1 Definition, Berechnung 4.2 Redundanzen 4.3 Wartungsmaßnahmen 5. Sicherheit 5.1 Begriffe, Normen 5.2 Anforderungen 5.3 Evaluierung 6. Fehlertolerante Prozessleitsysteme 7. Sicherheits- gerichtete Systeme - Aufgaben, Anforderungen, Maßnahmen, Beispiele 8. Explosionsschutz [1] „Fehlertolerante Steuerungs - und Regelungssysteme“, H. Kirrmann, K.-E. Großpietsch, at 8/2002 [2] „Selbstüberwachung .. und übergreifende Überwachung ..“, Johannes Prock, at 5/2003, 06/2004 [3] HIMA – Produktunterlagen, [4] Pepperl & Fuchs: SIL-Handbuch, IEC 61508 [5] „Safety Integrated“ Europäische Maschinenrichtlinie – einfach umgesetzt, Siemens- Druckschrift 2009 / 2015 Feb. 2011 Juli 2015 1

2 Fehler: Fehlverhalten Bauelemente,
Begriffe Begriff: Definition: Anwendung für: Zuverlässigkeit: störungsfreie Ausführung der bestimmungsgemäßen Funktion. Bauelemente, einzelne Geräte. Fehler: Fehlverhalten Bauelemente, - grundsätzlich unvermeidbar, Geräte - durch Maßnahmen: Häufigkeit des Auftretens verringern, Auswirkungen mildern Verfügbarkeit: störungsfreie Ausführung der bestimmungsgemäßen Funktion, Anlagen-. Amortisation durch Einsparung von Ausfallkosten Auslegungsziel Sicherheit: keine Gefährdung von Mensch, Einrichtung und Umwelt Anlagen-. teilweise vorgeschrieben, notwendig zur Betriebsgenehmigung Auslegungsziel Verlässlichkeit: Zusammenfassung von Verfügbarkeit und Sicherheit (System) Anlagen und sowie Zuverlässigkeit und Instandhaltbarkeit (Komponenten) Komponenten Sicherheits- Einrichtung zum Herstellen / Erhalten eines sicheren Betriebs Anlagen System einer Anlage durch entsprechende Auslegung / andere Systeme Sicherheits- bringt eine Anlage im Zweifelsfall in den sicheren Zustand Anlagen- gerichtet Gilt für Sichrheits- relevante Anlagenteile Auslegung Explosions- Maßnahmen zur Verhinderung Explosionen Geräte,. Schutz in explosionsgefährdeten Bereichen Anlagen

3 2. Zuverlässigkeit, Maße: λ, MTBF Zuverlässigkeit:
Betrachtung für Elektronik (nicht kalkulierbar) Betrachtung für Mechanik (Verschleiß = kalkulierbar) Woher kommen die λ - Werte? Maß: λ (Ausfälle pro Std.) - Tests mit r Ausfällen bei n getesteten Bauelementen in Testzeit tb (in Stunden) bis 104 h ~ 1 Jahr 105 bis 106 h 8 bis 12 Jahre t Früh- Ausfälle Zufalls- Ausfälle Verschleiß oder: Auch bei Elektronik gibt es Verschleiß- Effekte! Mean Time Between Failors MTBF t (fit: failors in time, 1 Ausfall in 109 Std.) Nur bei konstantem λ gilt: - Erfahrungen mit eingesetzten Teilen durch Reparatur / Rückware- Statistik Maßnahme Gegen Frühausfälle: Betrieb Ein- brennen Dokumentiert in Datenbanken - SN (Siemens) - ┐ enthalten ├ unterschiedliche ┘ Werte! Zusammenwirken mehrerer Bauelemente / Geräte: Serielle Anordnung (keine Redundanz): n Anzahl der in Reihe liegenden Einheiten der Gruppe (im Bild links: 3) Parallele Anordnung (mit Redundanz) n Anzahl der gleichartigen, parallelen Einheiten der Gruppe (im Bild links: 3) also wesentlich besser!

4 3. Fehler Fehlerarten / Maßnahmen
Fehlerarten Maßnahmen zur Verringerung Organisatorische Maßnahm. Systematische Fehler Projektorganisation: (prinzipiell vermeidbar!) - Verantwortlichkeiten, Bindungen, - HW: Entwurf, Entwicklung, - Beachtung von Normen, - Qualitätssicherungsmaßnahmen Konstruktion - ggf. Musterbau / Test, (Prüfungen, Phasenmodell) - SW: Spezifikation, Entwurf - Prüfung / Simulation von Spezifikationen, - Benutzung von Entwurfssystemen, Standards, - Verzicht auf Optimierung, - Minimierung von Realzeiteinflüssen Zufällige Fehler in der HW - Lebensdauer von Bauelementen, - sorgfältige Auswahl von Bauelementen Komponenten / Komponenten, - Inspektionen, “Walk through“, - Überwachungs - und Diagnoseeirichtungen Handhabungsfehler Betriebsorganisation: - Falsche Bedienung - Bedienungs - Handbuch - Personalschulung - Unbeabsichtigte Bedienung (auch an Simulatoren) Instandhaltungsfehler - Unterlassene Wartung - IMS - Funktionen (Wartungsprotokoll), - Qualitätssicherung, - Fehler bei Wartungsdurchführung - Wartungshandbuch - Personalschulung (auch an Simulatoren) Fehler durch äussere Einflüsse - elektrische Störung - EMV - Maßnahmen - mechanische (Zer-) Störung - schützender mechanischer Aufbau - Umwelteinflüsse (Korrosion, ..) - Bauelemente - Auswahl 4

5 3. Fehler Fehlerauswirkung Systematische Fehler - falscher Entwurf
- falsche HW- Auslegung - treten nach Behebung nicht mehr auf Physische Fehler - Alterung der Bauelemente - Verschleiß (Mechanik) - treten nach Behebung wieder auf Passive Fehler (en: passive fault) - verhindern Prozesseingriff (z.B. EIN- oder AUS- Befehl) - lassen sich feststellen durch - Funktionsüberwachung - zyklische Prüfung Aktive Fehler (en: active fault) - bewirken Prozesseingriff (z.B. EIN- oder AUS- Befehl) - lassen sich feststellen durch - Funktionsüberwachung Anlagenauslegung: - hauptsächlich verfügbar (Vermeidung Betriebsunterbrechung) - keine Verhinderung von EIN- Befehlen - keine ungewollten AUS- Befehle - hauptsächlich sicher (Vermeidung Gefahrenzustände) - keine Verhinderung von AUS- Befehlen - keine ungewollten EIN- Befehle = widersprüchliche Anforderungen!

6 Fehlerwahrscheinlichkeit
Pfad - Teil Mögliche Störungen Wahrscheinlichkeit Geber, - Funktionsausfall, hoch (Umgebungseiflüsse) Messumformer - falscher Wert mittel Unterverteiler, Leitungsunterbruch, mittel Leitungen Kurzschluss nach Erde, mittel Kurzschluss nach Spannung niedrig Sicherungen - Überstrom bei Kurzschluss, mittel Stromversorgung - Ausfall niedrig (wenn 2 - kanalig) Eingabe - Geräte - Funktionsausfall, niedrig - Spannungsausfall niedrig (wenn 2 - kanalig) Verarbeitung (CPU) - Funktionsausfall sehr niedrig, redund.:besonders niedrig Ausgabe - Gerät - Funktionsausfall, niedrig Unterverteiler, (wie oben) Leitungen Schaltanlage - Funktionsausfall, mittel (Verschleiss) - Ausfall Steuerspannung, mittel - Ausfall Schienenspannung mittel Aggregat - Funktionsausfall mittel bis hoch (Verschleiss) (Prozess) 5% 35% 60% P I + 10% 50% 40% Controller Steuerspannung Schienen- Spannung M 6

7 Ausfallarten, Ursachen, Fehlerarten
Ausfallarten nach verschiedenen Aspekten: Umfang: - Vollausfall, - Teilausfall Ursache / Auswirkung: - Primärausfall, - Folgeausfall Geschwindigkeit: - Sprungausfall, - Driftausfall Sicherheit: - Sicherheits - bezogener Ausfall, - nicht Sicherheits - bezogener Ausfall, - gefährlicher Ausfall Betriebsphasen: - Frühausfall, - Zufallsausfall, - Spätausfall Schwere: - Hauptausfall, - Nebenausfall, - kritischer Ausfall Dauer: - sporadischer Ausfall, - statistischer Ausfall Ursache: - Entwurfs - bedingter Ausfall, - Fertigungs - bedingter Ausfall Anzahl: - Einfachausfall, - Zweifachausfall, - Mehrfachausfall Fehlerarten: Ebenen bei einem Rechner: Hardware: Software: Dimensionierungsfehler Spezifikationsfehler Schaltungsfehler Konzeptfehler Verdrahtungsfehler Entwurfsfehler Fertigungsfehler Codierfehler EPROM - Fehler Compiler - Fehler Dokumentationsfehler Dokumentationsfehler System Teilsystem Baugruppe Bauelement Rechner Festplatte Grafik - Karte Controller Chip 7

8 Konstruktive Maßnahmen
3. Fehler Konstruktive Maßnahmen Erhöhung der Zuverlässigkeit durch konstruktiveMaßnahmen: Hardware: Software: - Verwendung hochwertiger Materialien, - Verwendung neuer Technologien, - Verwendung hochwertiger Bauelemente, - Schutz gegen Umwelteinflüsse (Bauelemente-Verkapselung), - Störfestigkeit (Abstand zwischen Nutz- und Störsignal), - Überdimensionierung (größere Abmessungen) - Unterlastung (kleinere Spannungen), - Bessere Kühlung (Packungsdichte, Kühlkörper, Kühlmedium), - Schaltungsmaßnahmen (Überspannungsschutz, Kurzschlussfestigkeit), - Schwachstellenanalyse (zu viele Steckverbinder), - Verbesserung des QS - Systems (Materialprüfung, Funktionsmusterprüfung), - Verbesserung der Systemkonstruktion - Höhere Programmiersprache, - Strukturierte Programmierung / Objekt - basierte Programmierung mit Standardbausteinen, - Top-down-Verfahren, - Software Tools, Entwicklungsumgebung, - Spezifikations- und Entwurfssprachen und -Systeme, - Software-Qualitätssicherungs-Maßnahmen (Review, Prüfung, Test), - Verifikation und Validation (Teststrategie, Abdeckung), - Programmanalyse-Verfahren, - Simulation, - Fehler-Ursachenforschung (Schwachstellenanalyse) 8

9 3. Fehler Weitere Maßnahmen Insbesondere bei Sensoren:
Selbstüberwachung Übergreifende Überwachung - wenn Referenzinformation über Messwert vorliegt, - kann je nach Messung nur Teil der Fehler erfassen Methoden: - Umschalten auf Referenzgrößen: zyklisches Umschalten auf bekannten Messwert möglichst weit „vorne“ am Sensor zur möglichst vollständigen Kontrolle der Messkette (Prozessunterbrechung!) - Vor- und Erfahrungswissen über den Signalverlauf Vergleich mit gespeichertem Verlauf oder Gradient - Messen von Hilfs- und Einflussgrößen Zusatzinformationen durch Hilfssensoren, z.B. Membranbruch - Überwachung (allerdings: höhere Kosten, zusätzliche Fehler) - Parameterüberwachung der Messkette z.B. erhöhter ohm‘scher Stromanteil durch Ablagerung (großes Potential, aber aufwändige Verfahren) (Begriff vorgeschlagen von NAMUR und GMA) + erlaubt die Auffindung eines größeren Teils möglicher Fehler, + auch bei fehlenden Möglichkeiten der Selbstüberwachung, - Diagnosemöglichkeiten unspezifischer, - Prozesskenntnisse erforderlich! Methoden: - Redundante Ausführung Vergleich mehrerer Messungen des gleichen Wertes (siehe 3. „Verfügbarkeit“, „Prozessredundanz“) - Plausibilitätsbetrachtungen fehlerhaft konstante Werte bei durch andere Messungen belegte Prozess - Dynamik - Vor- und Erfahrungswissen über Signalverläufe Vergleich mit Erfahrungswerten bei bestimmter Situation, die durch andere Messungen erkannt wird. - Prozesshistorie Vergleich mit früheren ähnlichen Prozesssituationen, identifiziert durch ausgewählte Signale und Zeitfenster. Für diskrete Batchprozesse geeignet, erkennt keine Spikes. Genaue Prozesskenntnis nötig, hoher Aufwand. - Mathematische Modelle Vergleich akt. Werte mit mathematischem Prozessmodell, statisch (nur akt. Abtastschritt) und dynamisch (mit Historie) - Empirische Modelle Vergleich der aktuellen Werte mit einem Polynom, gebildet aus gemessenen Zusammenhängen im „GUT“-Zustand

10 - Maße, Wertequellen, Berechung 3. Fehler
Gliederung 1. Begriffe (Übersicht) 2. Zuverlässigkeit - Maße, Wertequellen, Berechung 3. Fehler - Fehlerarten, Maßnahmen, -Wahrscheinlichkeit 4. Verfügbarkeit 4.1 Definition, Berechnung 4.2 Redundanzen 4.3 Wartungsmaßnahmen 5. Sicherheit 5.1 Begriffe, Normen 5.2 Anforderungen 5.3 Evaluierung 6. Fehlertolerante Prozessleitsysteme 7. Sicherheits- gerichtete Systeme - Aufgaben, Anforderungen, Maßnahmen, Beispiele 8. Explosionsschutz

11 4. Verfügbarkeit Definition Verfügbarkeit = nutzbare Betriebszeit
verfügbare Betriebszeit z.B. 8 h / Tag Verfügbarkeit = MTBF MTBF + MTTR Oder: (Mean Time between Failors) (Mean Time To Repair) Verbesserung: - Bauelemente / Geräte hoher Zuverlässigkeit anwenden - Redundanz - homogen (gleichartige Kanäle) - diversitär (verschiedenartige Kanäle, z.B. Messverfahren) - vorbeugende Wartung (Ausfall- Vorbeugung möglichst außerhalb der Betriebszeit) - Hilfen zur Fehlerdiagnose (Verkürzung von MTTR)

12 4. Verfügbarkeit Begriffe nach DIN 40 041 Ausfall (Ereignis)
Versagen (Auswirkung) (Ereignis) Ausfall Anlagenzustand Funktions - Anforderung (betrachtete Teilfunktion wird benötigt) Betrieb (Anlage in Betrieb) MTTR (Mean Time To Restoration / Repair), od. MDT (Main Down Time) MTBF (Mean Time Between Failures) funktionsfähig funktionsfähig Fehler (Zustand) Fehler Störung (Zustand) Störung Instandsetzung Betriebs- pause Fehleroffen- barungszeit Betriebs- pause Störungsdauer (Ausfallzeit) Betriebsdauer Betriebsdauer Ausfallabstand t Zuverlässigkeit: Beschaffenheit einer Einheit bezüglich ihrer Eignung, während / nach vorgegebenen Zeitspannen bei vorgegebenen Anwendungsbedingungen die Zuverlässigkeitsforderung zu erfüllen. Zuverlässigk.forderung: Gesamtheit der betrachteten Einzelanforderungen an die Beschaffenheit einer Einheit, die ihr Ver- halten während / nach vorgegebenen Zeitspannen bei vorgegebenen Anwend.bedingungen betreffen. Ausfall (Ereignis): Beendigung der Funktionsfähigkeit einer materiellen Einheit innerhalb zugelassener Beanspruchung. Fehler (Zustand): Nichterfüllung einer Forderung (nach bestimmungsgemäßer Funktion). Versagen (Ereignis): Entstehen einer Störung bei zugelassenem Einsatz aufgrund in der Einheit selbst liegender Ursache. Störung (Zustand): Fehlende, fehlerhafte oder unvollständige Erfüllung einer geforderten Funktion durch die Einheit. Betriebsdauer: Intervall der Anwendungsdauer, in dem die geforderte Funktion erfüllt wird. Störungsdauer: Intervall der geforderten Anwendungsdauer, in dem eine Störung besteht. Ausfallabstand: Intervall der Anwendungsdauer zwischen zwei aufeinanderfolgenden Ausfällen (Störungen). 12

13 4. Verfügbarkeit Redundanz Ohne Redundanz CPU – Redundanz
„Redundanz“: von lat. redundantia = Überfluss Automation: zusätzliches Vorhandensein (für Funktionalität nicht nötiger) funktional gleicher oder vergleichbarer Ressourcen P = S R # M CPU E/A Mess- Umf. / Schalt- Gerät Druckluft- Behälter Ohne Redundanz P = S R # M Druckluft- Behälter CPU – Redundanz P = # M Druckluft- Behälter 1 oder 2 CPUs Prozess – Redundanz A Schiene B P = S R # M Druckluft- Behälter Prozess - und Stations - Redundanz A Schiene B Nur CPU mehrfach vorhanden Sensoren und Aktoren mehrfach vorhanden Sensoren und Aktoren und komplette Controller mehrfach vorhanden - wegen niedriger CPU – Fehlerwahrscheinlichkeit nur sinnvoll bei zentraler CPU mit vielen Aufgaben - berücksichtigt höhere Fehlerwahrscheinlichkeit gegenüber CPU = höhere Verfügbarkeit = höchste Verfügbarkeit

14 4. Verfügbarkeit CPU- Redundanz „Master – Slave“ „3 CPUs mit Voter“
(Stationsredundanz) P = S R # Druckluft- Behälter M Voter „2 v 3“ P = S R # M Druckluft- Behälter Alarm - nur Überwachung P = # M Druckluft- Behälter S R Überw. - mit Umschaltung - zu einem Zeitpunkt nur 1 CPU aktiv in Prozess eingreifend (Master) - alle CPUs dauernd aktiv, - im Fehlerfall nur Alarm - im Fehlerfall Umschaltung - Prozesseingriff in 2 v 3 über externen Voter (eigentlich nur sinnvoll mit 3-kanaligen Sensoren) Schutz gegen passive Fehler: ► Regelmäßige Prüfung (manuell oder automatisch)

15 Prozess- Redundanz, SW-Redundanz
4. Verfügbarkeit Prozess- Redundanz, SW-Redundanz P = S R # Druckluft- Behälter M N v M Δ Sensor-Redundanz P = S R # Druckluft- Behälter M N v M Δ Aktor-Redundanz Schiene B A Software- Redundanz: ► zweikanalige Verarbeitung mit inversem Kanal ► diversitäre Programmierung (Sprache) ► Software- Diversität, ► Zeit- Redundanz N v M analog: - Mittelwertbildung, - Kanaleliminierung wenn Wert um mehr als zul. Δ abweicht, - neuer Mittelwert - mehr als 1 Aggregat für wichtige Prozessfunktionen heißt auch: - getrennte Ausgabekanäle, wenn möglich auf verschiedenen Geräten, - verschiedene Schienen in der Schaltanlage N v M binär: 2v3 / 1v2 / 2v2

16 4. Verfügbarkeit Wartungsmaßnahmen
Vorbeugende Wartung: Austausch abgenutzter Teile, verhindert Ausfall durch Abnutzung - nur sinnvoll bei Verschleißteilen, - PIMS- Wartungsprotokoll zum rechtzeitigen Auswechseln Revisionswartung: Kontrolle / Austausch bei großen Anlagen mit Fließprozessen - Stress- Berechnungsprogramme vermeiden zu frühe Revision Effektive Fehlerdiagnose Für Bauteile / Geräte ohne Abnutzungserscheinungen - Selbsttest und Diagnoseprogramme, - Plausibilitätstests, - Programmablaufüberwachung, - Rechenzeitüberwachung, - Programmwiederholung (roll-back) - Überwachung der Gültigkeit von Daten (Datenintegrität), - Überwachung der Gültigkeit von Prozesssignalen (Drahtbruch, Erdschluss) Verfügbarkeit = MTBF MTBF + MTTR Kurze Wartungszeit erhöht Verfügbarkeit! Eintreffen des Wartungspersonals + Störungsanalyse + Fehlersuche + Austausch / Reparatur + Test und Wiederinbetriebnahme Hilfsmittel: - Diagnoseeinrichtungen (Darstellung Einzelstörungen in Listen, graf. Leitanlagenmodell) - Expertensysteme (erfahrene Anweisungen bezogen auf Gesamtsituation) - Ferndiagnose durch Experten

17 - Maße, Wertequellen, Berechung 3. Fehler
Gliederung 1. Begriffe (Übersicht) 2. Zuverlässigkeit - Maße, Wertequellen, Berechung 3. Fehler - Fehlerarten, Maßnahmen, -Wahrscheinlichkeit 4. Verfügbarkeit 4.1 Definition, Berechnung 4.2 Redundanzen 4.3 Wartungsmaßnahmen 5. Sicherheit 5.1 Begriffe, Normen 5.2 Anforderungen 5.3 Evaluierung 6. Fehlertolerante Prozessleitsysteme 7. Sicherheits- gerichtete Systeme - Aufgaben, Anforderungen, Maßnahmen, Beispiele 8. Explosionsschutz 17

18 Sicherheit: Begriffe Sichere Zustände fehlerfrei Ungefährliche
Fehlfunktion Nicht sicherheits- bezogener Fehlerzustand Sicherheitsbezogene Sicherheitsbezogener Kein Unfall Unfall Zustand „Kein Schaden eingetreten“ „Schaden Sicherheit Grenzrisiko Gefahr kleines großes Risiko Schaden: Nachteil durch Verletzung von Rechtsgütern aufgrund eines technischen Vorgangs oder Zustands (Rechtsgüter: z.B. direkte und indirekte Personenschäden, Umwelt- und Sachschäden) Risiko: Wahrscheinlichkeitsaussage über zu erwartende Häufigkeit zu einem Schaden führender Ereignisse, sowie das beim Ereigniseintritt zu erwartende Schadensausmaß (Risiko = Häufigkeit x Ausmaß) Grenzrisiko: Größtes noch vertretbares Risiko eines bestimmten techn. Vorgangs oder Zustandes. Sicherheit: Sachlage, bei der das Risiko nicht größer ist als das Grenzrisiko Gefahr: Sachlage, bei der das Risiko größer ist als das Grenzrisiko Sicherheitstechnische Festlegungen: Angaben über technische Werte, Maßnahmen, Verhaltensweisen, deren Einhaltung (im Rahmen des jew. Technischen Konzepts) sicherstellen soll, daß das Grenzrisiko nicht überschritten wird. Schutz: Verringerung des Risikos durch Maßnahmen, die die Eintrittshäufigkeit oder das Ausmaß eines Schadens oder beide beschränken. Risikoreduzierung durch MSR / Nicht - MSR - Maßnahmen einer Betrachtungseinheit (Equipment Under Control): Risiko Tatsächliches Risiko Grenzrisiko ohne Schutzmaßnahme notwendige Mindestreduzierung tatsächliche Risikoreduzierung Verbleibendes Restrisiko Abgedeckt durch: - Maschinentechnische („externe“) Einrichtungen und Maßnahmen (auch organisatorische) - Elektrische / elektronische Sicherheitssysteme - Andere Technologien 18

19 Sicherheit: Normen Sicherheitsanforderungen
Artikel 95 EG-Vertrag (freier Warenverkehr) Artikel 137 EG-Vertrag (Arbeitsschutz) Arbeitsschutz- Rahmenrichtlinie z.B. Maschinen Nationale Rechtsvorschriften  Benutzer Einzelrichtlinie: Benutzung von Arbeitsmitteln Niederspannungs- Richtlinie Maschinen- Richtlinie Harmonisierte europäische Normen  Hersteller Sicherheit von Maschinen: Risikobewertung, Konstruktion Basisnorm: - quantitativer Sicherheitsnachweis „Safety Integrity Level“ SIL 1 – 4 für * „Elektrische, Elektronische und Programmierbare Elektronische Systeme“ DIN EN IEC 61508 Funktionale Sicherheit sicherh.bezogener E/E/PES* EN ISO Grundbegr. EN ISO 1421 Risikobeurteil. EN El.Sicherh.Asp. Entwurf und Realisierung Anwendungsnormen für verschiedene Sparten DIN EN IEC 61511 Anwendung der IEC 61508 in der Prozessindustrie IEC 61513 Anwendung der IEC 61508 in der Nuklearindustrie DIN EN IEC 62061:2005 Anwendung der IEC 61508 bei Maschinen (Fertig.ind.) Funktionale Sicherheit sich. bezog. Steuerungssysteme  SIL und detaillierende Vorschriften VDE / VDI 2180 „Sicherung von Anlagen der Verf.Technik m. Mitteln der Prozessleittechnik“ Nationale Vorschriften DIN EN ISO 13849:2006 Anwendung der IEC 61508 bei Maschinen (Fertig.ind.) Sicherheitsbezogene Teile von Steuerungen (SRP/CS)  PL a – e Safety Related Electrical Control Systems mit SIL CL (Claim Level) Safety Related Parts of Control Systems mit Performance Level Juli 2008 19

20 Normen- Inhalte Sicherheit: DIN EN 61508 7 Teile: DIN EN 62061
1. Allgemeine Anforderungen 2. Anforderungen an E / E / PES 3. Anforderungen an Software 4. Begriffe u. Abkürzungen Erläuterungen: 5. Beispiele zur Ermittlung der Stufe der Sicherheitsintegrität (SIL = Safety Integrity Level) 6. Anwendungsrichtlinien für Teile 2 und 3 7. Anwendungshinweise zu Verfahren und Maßnahmen DIN EN 62061 DIN EN (VDE 810) „Funktionale Sicherheit von elektrischen, elektronischen und programmierbaren Steuerungen von Maschinen“ (SRECS) „Funktionale Sicherheit: Sicherheitstechnische Systeme für die Prozessindustrie“ (Ergänzung zur Realisierung der DIN EN – Anforderungen In der Prozessindustrie) (Ergänzung zur Realisierung der DIN EN – Anforderungen bei Maschinen) Norm: 1. Allg. Begriffe, Anforderungen an Systeme, SW und HW Erläuterungen: 2. Anleitungen zur Anwendung 3. Anleitung zur Bestimmung von SIL (eigener Risikograph) - Systematische Risikominderung und Risikobeurteilung gemäß den in ISO beschriebenen Prinzipien - Bestimmung des erforderlichen SIL der Sicherheitsfunktion - Entwurf des elektr. Steuerungssyst. - Integration von in Übereinstimmung mit ISO (EN 954-1) sicher- heitsbezogenen Teilsystemen (Risikograph für Maschinenbau!) - Verifikation des elektrischen Steuerungssystems - Ausfallgrenze: max. SIL 3 Die Norm ist / enthält: Allgemeiner Standard, - Anwendungs- unabhängig Aussagen zum Erreichen der funktionalen Sicherheit - Sicherheitsbezogener Lebenszyklus - Risiko- orientiert - Quantitative Anforderungen an die Versagenswahrscheinlichkeit Dazu Richtlinie: VDE/VDI 2180 „Sicherung von Anlagen der Verfahrenstechnik mit Mitteln der Prozessleittechnik“ 1. Einführung, Begriffe, Konz. 2. Management, Lebenszyklus 3. Anlagenplaning, -Err., Betrieb 4. Berechnungsmethode 5. Praktische Umsetzung (i.V.) DIN EN (DIN EN 954 bis 2009) Maschinentechnisches Regelwerk Juli 2008

21 Grundsätzliche Anforderungen (Auszug aus der Maschinen-Richtlinie)
Sicherheit: Grundsätzliche Anforderungen (Auszug aus der Maschinen-Richtlinie) ● Steuerungen sind so zu konzipieren / zu bauen, dass es nicht zu Gefährdungssituationen kommt. Sie müssen so ausgelegt sein, dass: - Sie den zu erwartenden Betriebsansprüchen und Fremdeinflüssen standhalten, - Ein Defekt in HW / SW der Steuerung nicht zu Gefährdungssituationen führt, - Fehler in der Logik des Steuerkreises nicht zu Gefährdungssituationen führen, - Vorhersehbare Bedienungsfehler nicht zu Gefährdungssituationen führen. ● Insbesondere ist zu beachten: - Die Maschine darf nicht unbeabsichtigt in Gang gesetzt werden können, - Die Parameter der Maschine dürfen sich nicht unkontrolliert ändern können (wenn dies zu einer Gefährdungssituation führen kann) - Das Stillsetzen der Maschine darf nicht verhindert werden können, wenn der Stillsetz-Befehl erteilt wurde Nov. 2013

22 Weg zur sicheren Maschine in 5 Schritten (nach SIEMENS-Unterlage)
Sicherheit: Schritte: Ergebnis: 1. Risikobeurteilung - Maschine beschreiben: Verwendung, Nutzer, Grenzen Maschine und Risiken bekannt systematisch vorhersehbare Gefahren identifizieren in allen Lebensphasen und Betriebsarten - Risiken bewerten 2. Risikominderung - Sicherheitsmaßnahmen definieren, bewerten Schutzmaßnahmen definiert Sichere Konstruktion, Technische Maßnahmen, Restrisiko - Definition der techn. Schutzmaßnahmen als Sicherheitsfunktionen - Festlegung der Sicherheitsanforderungen - nach DIN 62061: SIL 1..3 gemäß Tabelle oder Geforderte Sicherheitsintegrität festgelegt - nach DIN : PL aus Risikograph 3. Umsetzung der Technischen Schutzmaßnahmen - Komponenten nach Sicherheits-Anforderungen auswählen Erreichte Sicherheitsintegrität der ausge- wählten Steuerungs-Funktion nachgewiesen - Eignung gemäß PFH – Berechnung prüfen (Prozess: PFD) - Konstruktive / technische Umsetzung, Inbetriebnahme Risiko auf akzeptables Restrisiko vermindert, Benutzer informiert 4. Nachweis der Richtlinien-konformen Erstellung (Tools vorhanden!) - Maßnahmen dokumentieren (Inhalte: Maschinen-Richtlinie Anhang VII) - Validierung: - Erstellung Validierungsplan, Theoretische Überprüfung aller Sicherheitsfunktionen, praktische Überprüfung aller Sicherheitsfunktonen, - Dokumentation (gemäß Vorschriften) Nachweis der Richtlinienkonformität 5. CE-Kennzeichnung (Verwaltungskennzeichen, an Behörden gerichtet, vergleichbar mit „Reisepass“) Bestätigung des Herstellers, alle relevanten Richtlinien eingehalten zu haben Ohne CE-Kennzeichnung ist Vertrieb / Inbetriebnahme im Europäischen Wirtschaftsraum verboten! Juli 2015

23 Sicherheit: Risikobewertung: Sicherheitsgraph (SIL) gemäß Grundnorm DIN IEC 61508
Risikograph der IEC 61508 23

24 Sicherheit: F W P S S F W P K
Risikobewertung: (Safety Integrity Level): Sicherheitsgraph gemäß DIN EN 62061 Sicherheit: Risiko bezogen auf die identifizierte Gefährdung Schadens- Ausmaß S = Frequenz und Dauer der Aussetzung F und Eintritts- Wahrscheinlichkeit W Möglichkeit der Vermeidung der Gefährdung P Frequenz / Aufenthaltsdauer F > 1 Std > 1 Std .. < 1Tag > 1 Tag .. < 2 Woch. 4 > 2 Wo. .. < 1 Jahr 3 > 1 Jahr Eintritts- Wahrscheinlichkeit W häufig wahrscheinlich möglich selten vernachlässigbar Möglichkeit der Vermeidung P unmöglich möglich wahrscheinlich S Schadens- ausmaß Tod, Verlust Auge oder Arm Permanent, Verlust Finger Reversibel, med. Behandl. Reversibel, Erste Hilfe Auswirkungen: 4 3 2 1 Klasse K = F + W + P SIL 2 SIL 1 SIL 3 = andere Maßnahmen Beispiel: „Eine rotierende Spindel muss bei Öffnen einer Schutzhaube sicher stillgesetzt werden“ Gefährdung: Rotierende Spindel S 3 F 5 + W 4 P 3 = K 12 Sicherheitsmaßnahme: Überwachung Schutzhaube mit SIL 2 Sicher? Ja, mit SIL2 +

25 Sicherheit: Risikobewertung: (Performance Level): Risikograph gemäß DIN EN ISO Risiko- Parameter: Erforderlicher Performance Level PL: a b c d e geringes Risiko hohes Risiko S = Schwere der Verletzung S1 = leichte (üblicherweise reversible) Verletzung S2 = schwere, üblicherweise irreversible Verletzung einschließlich Tod P1 P2 F1 F2 S2 S1 F = Häufigkeit (Frequenz) und / oder Aufenthaltsdauer der Gefährdungsaussetzung F1 = selten bis öfter und / oder Zeit der Gefährdungsaussetzung ist kurz F2 = häufig bis dauernd und / oder Zeit der Gefährdungsaussetzung ist lang Ausgangs- Punkt zur Einschätzung der Risiko- Minderung P = Möglichkeit zur Vermeidung der Gefährdung oder Begrenzung des Schadens P1 = möglich unter bestimmten Bedingungen P2 = kaum möglich Vorgehensweise: Beispiel: 1. Schadensausmaß S festlegen: S2 = schwere, irreversible Verletzung 2. Häufigkeit und/oder Aufenthaltsdauer F2 = häufig bis dauernd und / oder der Gefährdungsaussetzung F festlegen: lange Gefährdungsaussetzung Der geforderte Performance-Level Ist somit PL d 3. Möglichkeit zur Vermeidung der Gefährdung P1 = möglich unter bestimmten oder Begrenzung des Schadens P festlegen: Bedingungen

26 Sicherheitsgraph für EN 954-1, STOPP - Kategorien nach EN 60204
S - Schwere der Verletzung S1: leichte Verletzung S2: schwere, irreversible Verletzung einer oder mehrerer Personen, oder Tod einer Person F - Häufigkeit und Aufenthaltsdauer F1: selten bis öfter und / oder kurze Dauer F2: häufig bis dauernd und / oder langer Dauer STOPP - Kategorien nach EN 60204 0: Stillsetzen durch sofortiges Ausschalten der Energiezufuhr zu den Maschinenantrieben (ungesteuertes Stillsetzen) 1: gesteuertes Stillsetzen, wobei die Energiezufuhr zu den Machinenantrieben erst bei Stillstand abgeschaltet wird 2: gesteuertes Stillsetzen, bei dem die Energiezufuhr zu den Maschinenantrieben erhalten bleibt (nicht zulässig für NOT-AUS - Funktion) -> unterteilt in verschiedene Sicherheitsfunktionen (nächste Folie) P - Möglichkeit zur Vermeidung von Gefahren P1: möglich unter bestimmten Bedingungen P2: kaum möglich 26

27 Sicherheitsfunktionen für Antriebe nach IEC 61800 -5
„Klasse“: Sicherheitsfunktionen, integriert in Antriebssteuerungen, parametrierbar Sicheres Stillsetzen ohne Trennung vom Netz v Safe Torque Off STO stoppt sicher Drehmoment- Abgabe STO Safe Stop 1 bremst sicher aktiv Antrieb mit hoher Beweg.- Energie v Safe Stop 2 SOS wie SS1, aber „Save Operating Stop“: bleibt in sicherer Stellg.(?) v Safe Oper. Stop SOS s wird in sichere Position gebracht und gehalten, Antrieb steht v Safe Break Control wird sicher gebremst, Bremse sicher getestet. z.B. als Haltesystem für vertikale Achsen STO v /SBTest Sichere Bewegungs- Überwachung Safely Limited Speed SLS v begrenzt Drehzahl bei MAX-Überschreitung auf Max.-Drehzahl max Safe Speed Monitor v Alarm min meldet z.B.Unterschreitung einer min. Geschwindigkeit ohne Steuerungseingriff Safe Direction Indic. SDI v überwacht Einhaltung der gewählten Bewegungs- / Drehrichtung Safely Limit.Incr. s Δs begrenzt Größe der Positionsveränderung (Inkrement) Sichere Positions- Überwachung Safely Limited Position SLP s max min begrenzt Position auf spez. Positionsbereich Save Position M Sichere Positions- Übertragung Bilder: nach Siemens- / B&R- Veröffentlichungen Juli 2015

28 Sicherheit: Performance Level / Safety Integrity Level / PFH / PFD
Performance- Safety mittlere Versagens- Level Integrity Wahrscheinlichkeit Level bei Anford. / pro Stunde DIN : DIN 61508: PFD / PFH a > <10- 4 b SIL1 > <10 -1 c d SIL2 > < / > <10- 6 e SIL3 > < / > <10- 7 - SIL4 > < / >10-9..<10- 8 / >3*10-6..<10- 5 Beispiele vom TÜV zertifizierter Systeme: / >10-6..<3*10- 6 2 (bis 3) redundante Systeme (bisherige Lösung), einkanalig mit diversit. Verarb.:SIMATIC S7-400F/FH einkanalig mit Doppel-CPU, Diagn: HIMA H41/ H51q nur HIMA Planar4 (verdrahtet) Anwendungsbeispiele: NOT-AUS auf Bohrinseln, extrem zeitkritische Sicherheitskreise, übergeordnete Abschaltsysteme, High-Integrity-Pressure-Protection-Systems Bewertung: Risiko - bezogen gemäß „Sicherheits- Graph“ gemäß „Risiko- Graph“ PFH: Probabiltiy of Failor per Hour Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde bei hoher Anforderungsrate (z.B. Auto, Maschinen-Lichtschranke). Zeit zwischen Tests (wiederhol. Prüfung) >> Schalthäufigkeit (Berechnung nach detaillierten Formeln und Werte - Tabellen in der Norm) PFD: Probability of Failure on Demand Wahrscheinlichkeit eines gefährlichen Ausfalls pro Jahr bei niedriger Anforderungsrate (z.B. Chemieanlage) Zeit zwischen Tests (wiederhol. Prüfung) << Schalthäufigkeit Oktober 2015 28

29 Aufteilung von PFD / PFH, Ermittlung
Sicherheit PFD / PFH beziehen sich immer auf eine ganze Sicherheits – Funktion (Teil – System). Daher ist eine Aufteilung auf die Systemteile (Komponenten) nötig, Berechnung ist jedoch pro Komponente möglich. Beispiel: M Sensor (mit MU) Eingabe- Gerät und Signalweg Verarbeitung (SPS / PLS) Ausgabe- Gerät und Signalweg Aktor (“Final Element“) Fehlerrisiko: 25% % % % % PFD Syst. = PFD PFD PFD PFD PFD5 bzw. PFH Syst. = PFH PFH PFH PFH PFH5 Annahme: gesamt-zuläss.SIL2 z.B  PFDSyst : 10% von 10- 2 Dann bleibt z.B. das Eingabegerät: = 10- 3 Faustformel: für PFD << 1 und 1 Kanal mit: D für „Dangerous Failures“ / h-1 und tCE für „Unklarzeit“ / h Ermittlung von PFD: Daher auch PFHD genannt: Wahrscheinlichkeit eines gefährlichen Ausfalls in 1 Std Näherungswert für PFH: Verschiedene Formeln und Tabellen für verschiedene Systemarchitekturen in IEC  - Werte auch aus Erfahrungen (verschiedene Datenbanken) Nov. 2013 Juli 2008

30 Modell zur PFD- Berechnung
Sicherheit Modell- Bildung (Annahmen zur Berechnung von PFD / PFH)  Bei konstanter Ausfallrate  („Boden“ der Badewannenkurve) Regelmäßige Wiederholungsprüfungen (alle Fehler werden erkannt und repariert, Sicherheitssystem wieder „wie neu“) T1  Kontinuierliche Diagnose (erkennt nur einen Teil der Fehler) Diagnosezeit: max. 0,1 T1 (meist 0,001 bis 0,01)  t  Reparaturzeit (bei reparierbarem System mit fester Reparaturzeit) MTTR (Diagnosezeit + Reparaturzeit) (Ein Ausfall ist zu jedem Zeitpunkt gleich wahrscheinlich)  T1 / 2 + MTTR = Mittlere Ausfalldauer bei unerkanntem Fehler λDU: Ausfalldauer = T1 / 2 + MTTR bei aufgedecktem Fehler λDD: Ausfalldauer = MTTR Hieraus ergibt sich letztlich als „Unklarzeit“ tCE:  und hiermit: PFD: Anforderungs- Zeitintervall > T1 / 2 Jan. 2009

31 Validierung des SIL nach DIN 61508: FMEDA
Sicherheit Validierung des SIL nach DIN 61508: FMEDA Methode: FMEDA Failor Mode, Effects and Diagnostic Analysis gemäß DIN 61508 Fehlertoleranz der HW (HFT) (IEC/EN / 2) Fähigkeit einer funkt. Einheit, auch bei Auftreten eines Fehlers zu funktionieren. Fehlertoleranz N: erst bei N+1 Fehlern Verlust der sicherheitstechn. Funktion (einkanalige HW: meist N = 0) Anteil ungefährlicher Ausfälle (SFF: Safe Failor Fraction) ( „SFF“ nach IEC/EN / 2, Anh.C) Anteil der Fehler, die das sicherheitstechnische System nicht in einen Gefahr bringenden Zustand versetzen können SD SU DD DU s „sichere“ Fehler: führen zu ungefährl. Zustand d „gefährliche“ (dangerous) Fehler, dd „gefährliche, entdeckte (detected) Fehler, du „gefährliche, unentdeckte Fehler - HW - Sicherheitsintegrität SFF max. SIL bei Fehlertoleranz der HW: N= N= N=2 <60% SIL1 / - SIL2 / SIL1 SIL3 / SIL2 % SIL2 / SIL1 SIL3 / SIL2 SIL4 / SIL % SIL3 / SIL2 SIL4 / SIL3 SIL4 / SIL4 >99% SIL3 / SIL3 SIL4 / SIL4 SIL4 / SIL4 (IEC/EN / 2) „Typ A“: „Typ B“: Ausfallverhalten: gut definiert nicht ausr. definiert Verhalten bei Fehlern: vollständig ermittelbar nicht vollst.ermittelb. Erfahrungswerte zu SFF: liegen vor unzureichend - Ausfallwahrscheinlichkeit (PFD / PFH): SIL PFD PFH 1 > <10-1 >10-6..<10-5 2 > < >10-7..<10-6 3 > <10-3 >10-8..<10-7 4 > < >10-9..<10-8 - Bei niedriger Anforderungsrate (ca. 1 x pro Jahr): PFD (Ausfallwahrscheinlichkeit im Anforderungsfall, engl: Probability of Faults on Demand)) Zeit zwischen Tests << Schalthäufigkeit) Geringere Einstufung gilt! Bei kontinuierlicher Anforderung: PFH (Ausfallwahrscheinlichkeit pro Stunde, engl: Probability of Faults per Hour) Zeit zwischen Tests >> Schalthäufigkeit) Juli 2008

32 Validierung nach DIN 62061 und DIN 13849
Sicherheit Validierung nach DIN und DIN 13849 DIN EN IEC 62061:2005 Anwendung der IEC 61508 bei Maschinen (Fertig.ind.) Funktionale Sicherheit sich. bezog. Steuerungssysteme  SIL DC # M Sicherheitsrelevante Realisierung Blockschaltbild DIN EN ISO 13849:2006 Anwendung der IEC 61508 bei Maschinen (Fertig.ind.) Sicherheitsbezogene Teile von Steuerungen (SRP/CS)  PL a – e Sensor Eingabe Verarb. Ausgabe Leist. Schalter Geräte- Hersteller: Liefern „Kennwerte“ Für 4 Geräte-Typen (nach Komplexität) Struktur „gekapselte“ Blöcke: Bibliotheken mit PFH Manuelle Berechnung nach Norm, Dokumentation Tabellen in DIN / DIN 13849 Manuell dokumentieren Verwendung von Validierungstools oder Eignungsnachweis „nicht gekapselte“ Blöcke: PFH aus Kenndaten ermitteln SISTEMA (ifa): eigene Bibl.,und XML PAScal (Pilz): graph., Bibl.,und XML SET (Siemens): nur XML FSDT (ABB):graph., nur XML Autom. Dokum. Inhalt und Form (XML) der Kennwerte: „Einheitsblatt“ VDMA (Juli 2012) Okt. 2015

33 Validierung nach DIN 13849: Blockdiagramme
Sicherheit Sicherheitsfunktion: Blockschaltbild: Sensor -B1 Reset SPS -B1 -Q1 -Q2 -K1 Sicherh. relevantes Ereignis Reaktion Logik -K1 Sicherheits- Relais Aktor -Q1 -Q1 Aktor -Q2 -Q2 M Sensor -B1 (betätigter Schließer) Sensor -B2 Logik -K1 M Aktor -Q1 Aktor -Q2 auf -B1 -Q1 -Q2 -K1 -B2 -B1 -K1 -B2 -V1 getrennte Berechnung! Zusätzl. Ventil -V1 Sept. 2016

34 Validierung nach DIN 13849: Kriterien
Sicherheit Kategorie: anders als in EN definiert als: Architektur: Kategorie B: 1 - kanalig, gem. Normen („Betrieblich“) Input Logic Output Kategorie 1: 1 - kanalig mit „bewährten“ Geräten Logic Input Output Test Equipment O TE Test Kategorie 2: 1 - kanalig, wie 1, mit Test durch Steuerung in „angemessenen Zeiträumen“ Input 1 Logic 1 Output 1 Input 2 Logic 2 Output 2 Kanalvergleich Kategorie 3: 2 - kanalig, wie 1, sicher gegen1 Fehler Kategorie 4: 2 - kanalig, wie 3, Fehler wird erkannt (höherer DCavg) niedrig: < MTTFD < Jahre mittel: < MTTFD < Jahre hoch: < MTTFD < 100 Jahre MTTFD: Mean Time To Failor (Dangerous): DC: Diagnosis Cover: (Diagnose-Deckungsgrad) klein: DC < 60% niedrig: 60% < DC < 90% mittel: 90% < DC < 99% hoch 99% < DC (besteht Sich.Einricht. aus mehreren Teilen: Dcavg) CCF: Common Cause Failor (Ausfall durch gemeinsame Ursache): Punkte-Tabelle im Norm-Anhang Sept. 2016

35 Validierung nach DIN 13849: „Säulendiagramm“ (ABB)
Sicherheit

36 - Maße, Wertequellen, Berechung 3. Fehler
Gliederung 1. Begriffe (Übersicht) 2. Zuverlässigkeit - Maße, Wertequellen, Berechung 3. Fehler - Fehlerarten, Maßnahmen, -Wahrscheinlichkeit 4. Verfügbarkeit 4.1 Definition, Berechnung 4.2 Redundanzen 4.3 Wartungsmaßnahmen 5. Sicherheit 5.1 Begriffe, Normen 5.2 Anforderungen 5.3 Evaluierung 6. Fehlertolerante Prozessleitsysteme 7. Sicherheits- gerichtete Systeme - Aufgaben, Anforderungen, Maßnahmen, Beispiele 8. Explosionsschutz 36

37 Fehler - tolerante Systeme: Klassifizierung
Verar- beitung Diag- nose Eingaben Abschalten bei Fehler Ausgabe: integer (fail-stop) Prüfredundanz 1oo1D (1 von 1 mit Diagnose) Verar- beitung aktiv Eingaben Synchronisat. Vergleicher Umschaltung auf sich. Wert bei Ungleichheit Auswertung in 1oo2, integer Verdoppelung und Vergleich 1oo2 (1 von 2) + „OK“ Verar- beitung aktiv Eingaben Synchronisat. Vergleicher Umschaltung auf sich. Wert bei Ungleichheit Auswertung in 2oo2, integer Verdoppelung und Vergleich 2oo2 (2 / 2 von 2) + „OK“ Verar- beitung bereit Diag- nose aktiv Eingaben Verdoppelung, Vergleich und Diagnose Ausgabe: zunächst integer, dann stetig (fail-operate) Vergleicher = schaltet ab schaltet auf nicht gestörte Verarbeitg. 1oo2D (1 von 2 mit Diagnose) Verar- beitung aktiv + „OK“ Ausgabe: stetig und integer (in 2oo3) Eingaben Fehler - maskierend z.B: 2oo3 (2 von 3) 37

38 - Maße, Wertequellen, Berechung 3. Fehler
Gliederung 1. Begriffe (Übersicht) 2. Zuverlässigkeit - Maße, Wertequellen, Berechung 3. Fehler - Fehlerarten, Maßnahmen, -Wahrscheinlichkeit 4. Verfügbarkeit 4.1 Definition, Berechnung 4.2 Redundanzen 4.3 Wartungsmaßnahmen 5. Sicherheit 5.1 Begriffe, Normen 5.2 Anforderungen 5.3 Evaluierung 6. Fehlertolerante Prozessleitsysteme 7. Sicherheits- gerichtete Systeme - Aufgaben, Anforderungen, Maßnahmen, Beispiele 8. Explosionsschutz

39 Sicherheits - gerichtete Systeme: Übersicht
Aufgaben: - Sicherer Betrieb einer Anlage mit hohem Gefahrenpotenzial, oder - Schutz einer Anlage mit hohem Gefahrenpotential, die von einem nicht Sicherheits - gerichteten System gesteuert wird. Anwendungsbeispiele: - Produktionseinrichtungen allgemein -> DIN ff - Aggregateschutz (wichtiger Prozessaggregate) -> Projekt - abhängige Spezifikation - Brennersteuerung -> Groß - Verbrennungsanlagen - Verordnung - Kesselschutz, -> Groß - Verbrennungsanlagen - Verordnung - Turbogruppenschutz, -> Hersteller - abhängige Spezifikation - Kernkraftwerksschutz -> Besondere nationale Normen - Explosionsgefährdete Anlagen (Petrochemie) -> NAMUR - Richtlinien (siehe Ex-i) Anforderungen: - Fehler in der Leiteinrichtung (incl. Sensoren / Aktoren) müssen zur Abschaltung führen, dürfen betriebliche Abschaltungen nicht verhindern Maßnahmen: - Geräte - Eigendiagnose (bei Eingaben mit Durchfahren des Signalbereichs), (Anwendungs-abhängig) - Sicherheitsgerichtete Signaldefinition und Signalverarbeitung, z.B. „aktiv 1“, „Ruhestrom“ - Mehrkanaliger Aufbau (auch Geräte - intern) mit sicherer Auswertung (Voter), - Prüfmöglichkeiten / autom. ablaufende Prüfprogramme zur Entdeckung passiver Fehler,“Proof Test“ Prüfung: Verantwortlich: je nach Anwendung - Hersteller / Betreiber, oder - zuständiges Gewerbeaufsichtsamt, delegiert z.B. an TÜV, - TÜV - Zertifizierung nach IEC EN 61508 Leitsysteme: Realisierungs - Möglichkeiten: Sicherheits- Sicherheitsgerichtetes Schutzsystem „Integriertes Syst.“ Anforderungen System für Sicherheits- mit Eingriff in mit Sicherheits - relevante Funktionen und normalen Funktionen Normale Betriebliches System Betriebliches z.B. S7, Rosemount, („Betriebliche“) für „normale“ Funktionen System mit z.B. ProfiSafe- Anforderungen Bus 39

40 Sicherheits - gerichtete Systeme: Signaldefinition, Auswahlschaltungen
Eingabe Verarbeitung „Aktiv - 1“ - Signaldefionition, mit Umschaltung auf „0“ bei Störung + Signal Störung Schließt bei „erfüllt“, = „1“ -> sicher gegen - Leitungsbruch, - Kurzschluss & Über- wach. >1 & z.B. „Freigabe“ des Betriebes Geräte- Störung & Kanal 1 Kanal 2 Auswahlschaltungen - bei 2 Kanälen einer Messung: Schließt bei „gut“ Z.B.: -> „Flamme EIN“ Freigabe: Schutz (Abschaltung): >1 1 von 2 z.B.: -> „Flamme AUS“ >1 1 von 2 & 2 von 2 Sicher, aber geringe Verfügbarkeit (Abschaltung bei 1 gestörten Kanal) Oder: schließt zum Abschalten: verfügbarer, nicht Sicherheits - gerichtet! - bei 3 Kanälen einer Messung: Freigabe: Schutz (Abschaltung): >2 2 von 3 Kanal 1 Kanal 2 Kanal 3 >2 2 von 3 >2 2 von 3 Schließt bei „gut“ Oder: schließt zum Abschalten Sicher und verfügbar: toleriert 1 gestörten Kanal Anwendung: nur für Aggregateschutz (keine besonderen Vorschriften), da sich „Sicherheit“ nur auf Eingänge bezieht 40

41 Sicherheits - gerichtete Systeme: Betriebsverhalten
„gut“: geschlossen, Reaktion im Fehlerfall: Abk „1“ = OK Erläuterung bei Erstfehler: bei Zweitfehler: 1oo2 UND - Verknüpfung von 2 Kanälen Abschaltung - 1oo1D einkanalig mit Diagnose Abschaltung - 1oo2D ODER - Verknüpfung von 2 Kanälen fehlerhafter Kanal wird abgeschaltet, mit Diagnose Betrieb bleibt erhalten Abschaltung fehlerhafter Kanal wird ignoriert, 2oo3 2 von 3 - Verknüpfung von 3 Kanälen Betrieb bleibt erhalten Abschaltung für erlaubte Zeit* 2. fehlerh. Kanal 2oo4 2 von 4 - Verknüpfung von 4 Kanälen fehlerhafter Kanal wird ignoriert, wird ignoriert, Betrieb bleibt erhalten Betrieb bl. erhalten 2oo4D 2 parallele 1oo2D - Systeme (HIMA) fehlerhaftes Syst. wird abgeschaltet, Abschaltung Betrieb bleibt uneingeschränkt erhal- ten (einkanalig bis SIL3 zertifiziert!) & D D D >2 >2 D D D D *Zeitbeschränkung gemäß Anforderung und Verhandlung (z.B. 1 Std. für AK6 (SIL3) 41

42 Sicherheits - gerichtete Systeme: Mehrkanaliges Schutzsystem, Betrieb
Messung 1 K1 K2 K3 Messung 2 K1 K2 K3 Geschlossen („1“) für GUT („Ruhestrom“ - Prinzip) Busverbindung Spezielle 2 v 3 2 v 3 2 v 3 2 v 3 2 v 3 2 v 3 & & & Station 1 Station 2 Station 3 2 v 3 Auswertung (Voter) in besonderer Technik, z.B. „zwangsgeführte Relais“ Betriebsfreigabe 42

43 Sicherheits - gerichtete Systeme: Mehrkanaliges Schutzsystem, Prüfung
Testeinrichtung Start Schutzkanal 1 Schutzkanal 2 Schutzkanal 3 R S 1 1. Prüfung: Eingangskanäle & & R S 2. Prüfung: Ausgabe & & Wenn OK: nächster Kanal Betriebs- Freigabe Auswertung (Voter) Zur Vermeidung von Betriebsausfällen (bei einkanaligen Anordnung): „Partial Stroke“ - Verfahren 43

44 Beispiel: Sicherheitsrelais, Prinzip
Sicherheitsgerichtete Systeme Beispiel: Sicherheitsrelais, Prinzip Jan. 2014

45 Beispiele: Sicherheitsrelais der Fa. Pilz
Sicherheitsgerichtete Systeme Beispiele: Sicherheitsrelais der Fa. Pilz „Sicherheitsrelais“ PNOZ s3 Eingangs-Beispiel: NOT-AUS- Taste - zweikanalig, - mit Querschlusserkennung Sicherheitsrelais PNOZ plus Jan. 2014

46 Beispiel: ABB-Sicherheitsrelais mit dynamischenSignalen
Sicherheitsgerichtete Systeme statt Test nur bei Betätigung ● Eingangskreis: zyklische Selbstüberwachung (200 Hz) ● Bis zu 30 Sensoren in Reihe bei durchgängig Kat. 4 / PL e ● Kombination verschiedener Sicherheitskomponenten mögl. ● Info-Ausgang und Statusmeld. (LED) an jedem ABB-Sensor ● Anschluss anderer Sensoren über Adapter „VITAL1“: keine Programmierung notwendig AS-i AS-i Sicherheits-Bus Sicherheits- Bus Gateway zu Profibus DP, CAN, Ethernet, -CAT, Modbus,.. „PLUTO“: ●programmierbar ● bis 20 / 40 E/A stat. oder dyn. PLUTO als AS-i Master als AS-i Monitor „VITAL 2“ mit 2 Sich.-kreisen Sept. 2016

47 Sicherheitsgerichtete Systeme
Prinzipschaltungen Sicherheitsgerichtete Systeme HIMA – Sicherheitssysteme: µP1 µP2 + Speicher Fehlersicherer Watch Dog Vergleicher - Speicher Multiplexer Zentral-Baugruppe (CPU) Übertragung: „SafeEthernet“ mit normalen Ethernet - Komponenten: - deterministisch (eigene Domain) - Zusätzliche Prüfungen auf: - Datenverfälschung, - Adressierung, Reihenfolge, - Zeitverhalten (Ausbleiben von Telegrammen) - Zugriffs - Schutz im Engineering - Tool ü Ab- bzw. Umschaltung: - in der SW oder - im Eingabegerät ü Abschal- tung Ein/Ausgabe Alt.W. Freigaben Befehle Dig. Eing. - + Initiator oder beschalteter Kontakt Geräte-test Anal. Eing. Messumformer mit „life zero“-Anschluss (4..20 mA) - + Geräte- test Speis.- Überw. Messw. I & + Spann.- Versorgung Digit. Ausgabe z.B. Brennstoff- Ventil . . . rücklesen „2. Abschaltkanal“: Abschalten der Spann.Versorgung Sicherheits - gerichtete Ein / Ausgabegeräte d.h. mit laufendem Funktionstest 47

48 Sicherheitsgerichtete Systeme Konfigurationen
Systeme H41q-MS / H51q-MS 1oo2 1oo1D Diagnose µP1 µP2 ZB1 DPR 2oo4 ZB2 Geber, Sicherheits-gerichtet Stellglied H41q-HRS / H51q-HRS 1oo2 Diagnose µP1 µP2 ZB1 DPR ZB2 1oo1D 1 Geber, Sich.ger. 2 Geber 1oo2D 2oo3D 3 Geber 1 Stellglied 2 Stellglieder H41q-HS / H51q-HS 2oo4 Geber, Sicherheits-gerichtet 1oo1D Diagnose µP1 µP2 ZB 1oo2 1oo1D Stellglied z.B.: (unerregt schließend) - sicher bis AK6 / SIL 3 - normale Verfügbarkeit - sicher bis AK6 / SIL 3 - hohe Verfügbarkeit - online änderbar (jeweils 1 Kanal) - sicher bis AK6 / SIL 3 - auch für nicht Sicherheits-gerichtete Geber (Diskrepanzüberwachung zu planen) - zugeordnete Verfügbarkeit (je nach Anforderung / Möglichkeit) - online änderbar 48

49 Verbindungsprogrammiertes System
Sicherheitsgerichtete Systeme „Planar F“ bis SIL4 zugelassen „wechselstrommäßige“ Verarbeitung ist sicher gegen statische Fehler

50 Sicherheitsgerichtete Systeme
ASI - Safety at Work Sicherheitsgerichtete Systeme Schaltungsbeispiel mit „Freischaltekreis“ 50

51 Sicherheitsgerichtete Systeme Verteilte Sicherheit
„Virtuelle“ Sicherheitslösung Für kleine (bis mittelgroße) Aufgaben: „SafeLOGIC X“ von B&R Statt zentraler Sicherheits-Steuerung Verteilung der Sicherheitsfunktionen auf vorhandene Komponenten: Sichere Bediener- Funktionen In HMI – Komponenten Sichere Verarbeitung in Eingabegeräten Zertifiziert bis SIL3 /PLe durch inverse Logik mit Überwachung Erspart Sicherheits-Controller, ersetzt Sicherheits-Relais für kleine Aufgaben gestattet Programmierung über gleiches Tool wie Controller modulare Systeme z.B. über AS-i Siemens – SIRIUS – Geräte: Große Palette, z.B. Sicherheitsrelais für einfache Anwendungen Sichere Motorstarter Variables Mengengerüst für flexible Anforderungen Juli 2015 Sept. 2016

52 „Integrierte Sicherheit“ (Siemens, ähnlich auch Emerson)
Sicherheitsgerichtete Systeme „Integrierte Sicherheit“ (Siemens, ähnlich auch Emerson) Beispiel: SIMATIC S7 52

53 Diversitäre Verarbeitung
Sicherheitsgerichtete Systeme Diversitäre Verarbeitung Operanden Operation, z.B. UND A (BOOL) C & Ergebnis B (BOOL) STOP bei C = /D „Codierung“ Vergleich /A (WORD) Diversitäres Ergebnis >1 /B (WORD) D = /C Diversitäre Diversitäre Operanden Operation, z.B. ODER 53

54 Sichere Datenübertragung
Sicherheitsgerichtete Systeme

55 Sichere Industrial Ethernet Busse
Sicherheitsgerichtete Systeme Protokolle für Echtzeit-Ethernet-Systeme POWERLINK, PROFINET, Ethernet/IP, Modbus/TCP und SERCOS III: ● PROFIsafe: - F-Master und –Slaves (Fail Safe), - Unterscheidung durch Parameter, - Identifikation: HW ● openSAFETY für beliebige, große Netzwerke, - spezielle Safety Process Data Objects, - Identifizierung von Sendern und Empfängern ● FSoE (Fail Safe over EtherCAT): - spez. Master und Slaves, - Identifikation durch HW Dez. 2014

56 - Maße, Wertequellen, Berechung 3. Fehler
Gliederung 1. Begriffe (Übersicht) 2. Zuverlässigkeit - Maße, Wertequellen, Berechung 3. Fehler - Fehlerarten, Maßnahmen, -Wahrscheinlichkeit 4. Verfügbarkeit 4.1 Definition, Berechnung 4.2 Redundanzen 4.3 Wartungsmaßnahmen 5. Sicherheit 5.1 Begriffe, Normen 5.2 Anforderungen 5.3 Evaluierung 6. Fehlertolerante Prozessleitsysteme 7. Sicherheits- gerichtete Systeme - Aufgaben, Anforderungen, Maßnahmen, Beispiele 8. Explosionsschutz 56

57 Explosions - Sicherheit: Zonen
Explosionsgefährdeter Anlagenbereich Einteilung in „Zonen“: N keine Gefährdung Gase 0 Explosionsfähige Atmosphäre ständig oder über lange Zeiträume oder häufig vorhanden 1 Explosionsfähige Atmosphäre im Normalbetrieb gelegentlich vorhanden 2 Explosionsfähige Atmosphäre im Normalbetrieb nicht oder nur kurzzeitig vorhanden Stäube Explosionsfähige Atmosphäre in Form einer Wolke aus Staub ständig oder über lange Zeiträume oder häufig vorhanden 21 Explosionsfähige Atmosphäre im Normalbetrieb in Form einer Wolke aus Staub gelegentlich vorhanden 22 Explosionsfähige Atmosphäre im Normalbetrieb in Form einer Wolke aus Staub nicht oder kurzzeitig vorhanden Bilder: Fa.Turck

58 Explosions - Sicherheit: Zündschutzarten, Maßnahmen
d druckfeste Kapselung (evtl. auslösende Komponenten in Gehäuse eingebaut, das dem Explosionsdruck standhält) e erhöhte Sicherheit (Zündquellen werden durch zusätzliche Maßnahmen / erhöhte Sicherheit verhindert) i eigensicher (begrenzte Zündleistung: ~ 3 W) - weltweite Akzeptanz, geringe Fertigungskosten, - einfache Gehäuseanforderungen (IP20), - einfache Anschlusstechnik, - bestimmte Arbeiten am Betriebsmittel ohne Abschaltung möglich m Verguss - Kapselung n nicht zündend (Zusammenfassung für Zone 2) o Ölkapselung p Überdruckkapselung (in Gehäuse eingebaut, das dem Explosionsdruck standhält) (pressurization, purging) q Sandkapselung Vorgaben in „ATEX“ (ATmoshère EXplosible): ATEX 95 (EU- Richtlinie 94/9/EG) für Arbeitsmittel (Hersteller) - Baumusterprüfung, - Qualitätssicherung, - Fertigungskontrolle ► Konformitätserklärung ATEX 137 (EU- Richtlinie 99/2/EG) für Arbeitsplatz (Betrieb) - Risikoermittlung - Zoneneinteilung - Konformitätsprüfung - Maßnahmen ► Explosionsschutzdokument Verantwortlich für Zulassung: zuständiges Gewerbeaufsichtsamt, delegiert z.B. an TÜV (Typenprüfung auch durch Physikalisch - Technische Bundesanstalt (z.B. Ex-i) Die PTB hat im Standard „FISCO“ (Fieldbus Intrinsically Safe COncept Model) die Eigen-schaften der Ex-i – Anwendung von PROFIBUS –PA / Foundation Fieldbus H1 Hersteller-übergreifend festgelegt. Vereinfacht Planung und Gerätetausch, erlaubt mehr BUS-Teilnehmer. 58

59 Explosions - Sicherheit: Eigensichere Betriebsmittel (Ex-i)
„Normaler“ Bereich (nicht Explosions – gefährdet) Controller CPU Eingabegerät mit speziellen Eingängen Leistungs - Begrenzung z.B. „Zener - Barriere“ (Prinzip - Darstellung) + - Normales Eingabegerät mit zusätzlicher externer Begrenzung Koppler PROFIBUS DP Kopplung über PROFIBUS P I Richtlinien über - Isolationsspannung, - Leiter - Abstände Geräte für Ex-i: Segment - Koppler norm.4.. 7* FISCO: 7..13* Ex-e für mehr Strom Kabel: Richtlinien über - separate Kabel, - Isolationsspannung, - Abstände Trenn- Wandler PROFIBUS PA Ex-i - zugelassen) Explosions - gefährdeter Bereich wegen Strom- bedarf: Multi-Barriere 16 Teiln. Betriebsmittel: Anlagenbereich: - Ex-i = „eigen - sicher“ begrenzte Leistung für elektrische Kreise zur Vermeidung von Entzündung durch elektrische Funken - getrennte Räume, Kabel, ... (NAMUR – Richtlinien, ATEX) (* je nach Explosionsgruppe IIC..IIA = Entzündlichkeit) Sensoren / Aktoren mit / ohne PROFIBUS - Anschluss Im Standard „FISCO“ (PTB) sind Ex-i – Eigenschaften Hersteller- übergreifend festgelegt (Gerätetausch!) („Multi - Barriere: erlaubt höhere Speiseleistung des Segment - Kopplers, dadurch mehr Feldgeräte anschließbar) Juli 2015 59

60 Explosions - Sicherheit:
FISCO - Modell Explosions - Sicherheit: FISCO (Fieldbus Intrinsically Safe COncept) - Modell zur Erleichterung von Planung, Installation und Erweiterung von PROFIBUS-PA – Netzen im Ex - Bereich Entwicklung: PTB (Physikalisch-Technische Bundesanstalt in Braunschweig), international anerkannt Basis: Netzwerk ist eigensicher (benötigt keine individuelle Berechnung), wenn Feldgeräte Kabel Spannung, Strom, Leistung, Induktivität, Kapazität Segmentkoppler innerhalb vorgegebener Grenzwerte Busabschluss Nachweis: Zertifizierung der Komponenten durch PTB (USA: UL) u.a. Vorteile: Plug and Play auch im Ex- Bereich, auch mit Geräten anderer Hersteller, Keine Systembescheinigung erforderlich, Austausch von Geräten / Erweiterung ohne Neuberechnung Maximierung der Zahl der angeschlossenen Geräte (7 … 13 statt 4 … 7) Je Feldbussegment nur eine Speisequelle, Alle Busteilnehmer nach FISCO zugelassen, Kabellänge bei Zündschutzart i: Kat. A: max 1000 m / Kat. B: 1900 m (Kat.A: Wellenwiderstand 135 … 165 Ω, Kapazitätsbelag < 30 pf/m, Schleifenwiderstand < 110 Ω, sonst nur für PROFIBUS –DP mit RS485 notwendig) Kabelwerte: R‘ = 15 … 150 Ω/km, L‘ = 0,4 … 1 mH/km, C‘ = 80 … 200 nF/km für alle Kombinationen: Feldgeräte-Eingänge Ui, / Ii , Pi > Speisegerät-Ausgänge U0 / I0 / P0 (im Fehlerfall max. mögliche sowie zulässige max. Ausgangsgrößen) Bedingungen: Quelle: PROFIBUS- Nutzerorganisation 2003, „PROFIBUS-Beschreibung für DKE“

61 Explosions - Sicherheit: Neue Methode: DART
„Dynamic Arc Recognition and Termination“: Spannungs- Schnellabschaltung bevor eine Entzündung erfolgen kann „normaler“ Zeitverlauf von Funkenstrom und Funkenspannung Initial- phase Kritische Phase IF Funkendauer tF = 5 µs .. 2 ms di/dt UF t I, U Zeitverlauf Mit DART- Abschal- tung: Initial- phase Kritische Phase IF Funkendauer tF < 5 µs UF t I, U Erst in der kritischen Phase kann eine Entzündung erfolgen Keine Entzündung möglich U Überstrom- Detector I > Funkenanf.- + dI Funkenend.- - dI Monoflop U < UO = Speisegerät RStart W Leitung Verbraucher Ent- koppler z.B. Magnet- Ventil, Bus- Gerät, .. mit def. Wellen- Widerst., z.B. Signallauf- Zeit von 190 m/µs + di Detector Spannung Uout Wirkleistung Pout Leitungslänge DART High-Power 50 VDC ca. 50 W bei m 24 VDC ca. 22 W bei m 50 VDC ca. 8 W bei 1000 m DART Feldbus 24 VDC ca. 8 W bei 1000 m Maximale eigensichere DART- Ausgangswerte bei typ. Leitungslängen Nachteil: Kam zu spät! Entkoppler für Feldbusgerät