Sicherheitslebenszyklus - Teil 2 - Fakultät Elektrotechnik und ...
Sicherheitslebenszyklus - Teil 2 - Fakultät Elektrotechnik und ...
Sicherheitslebenszyklus - Teil 2 - Fakultät Elektrotechnik und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Fakultät</strong> Elektro- & Informationstechnik, Institut für Automatisierungstechnik, Professur für Prozessleittechnik<br />
Vorlesung - Prozessleittechnik 2 (PLT 2)<br />
Sicherheit <strong>und</strong> Zuverlässigkeit von<br />
Prozessanlagen - <strong>Sicherheitslebenszyklus</strong><br />
<strong>Teil</strong> 2: Entwurf <strong>und</strong> Planung des Safety<br />
Instrumented System (SIS) - Fortsetzung<br />
A. Krause, L. Urbas<br />
Dresden, 26.06.2013
<strong>Sicherheitslebenszyklus</strong><br />
nach DIN EN 61511 [1]<br />
<strong>Teil</strong> 2: Spezifikation,<br />
Entwurf <strong>und</strong><br />
Planung des<br />
Anwendungsprogramms<br />
(des SIS)<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 2 von 64
SPEZIFIKATION<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 3 von 64
Sicherheitsanforderungen für das<br />
Anwendungsprogramm [1]<br />
• Ableitung aus der Spezifikation der<br />
Sicherheitsanforderungen des SIS sowie aus der<br />
gewählten Architektur des SIS<br />
• Vorgaben für jedes programmierbare SIS-<strong>Teil</strong>system<br />
in Übereinstimmung mit der Architektur des SIS<br />
• Ausführlich genug damit Planung <strong>und</strong> Umsetzung die<br />
geforderte Sicherheitsintegrität erreichen <strong>und</strong> zur<br />
Beurteilung der funktionalen Sicherheit<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 4 von 64
Spezifikation berücksichtigt folgende Punkte [1]<br />
• Bereitgestellte Funktionen <strong>und</strong> zugehöriges SIL<br />
• Verarbeitungskapazität <strong>und</strong> Antwortzeiten<br />
• Programmablauf <strong>und</strong> Zeitverzögerungen<br />
• Geräte- <strong>und</strong> Bedienerschnittstelle <strong>und</strong> deren<br />
Betriebseigenschaften<br />
• Alle für SIS relevanten Betriebsarten des Prozesses<br />
• Notwendige Maßnahmen bei Signalstörungen<br />
• Funktionsprüfungen <strong>und</strong> Diagnosetests externer Geräte<br />
• …<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 5 von 64
Strukturierung <strong>und</strong> Formulierung der<br />
Anforderungen [1]<br />
• klar verständlich für alle, die das Dokument in<br />
irgendeiner Phase des Lebenszyklus verwenden<br />
• verifizierbar, testbar <strong>und</strong> änderbar<br />
• zurückverfolgbar bis zur Spezifikation der<br />
Sicherheitsanforderungen des SIS<br />
•<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 6 von 64
ANFORDERUNGEN AN DIE<br />
ENTWICKLUNG DES<br />
ANWENDUNGSPROGRAMMS<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 7 von 64
Gr<strong>und</strong>sätzliche Anforderungen [1] (1/2)<br />
• Anwendungsprogrammersteller muss die<br />
Informationen der Spezifikation nachprüfen<br />
(eindeutig, konsistent <strong>und</strong> verständlich)<br />
• Verwendung von festen Programmiersprachen (FPL)<br />
oder Programmiersprachen mit eingeschränktem<br />
Sprachumfang (LVL)<br />
• Sicherer Zustand darf erst nach Rücksetzen<br />
verlassen werden (auch bei Spannungsausfall!)<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 8 von 64
Gr<strong>und</strong>sätzliche Anforderungen [1] (2/2)<br />
• Beim Start des SIS müssen Ausgänge im<br />
energielosen oder sicheren Zustand bleiben bis ein<br />
Rücksetzen eingeleitet wird<br />
• Bei jedem Programmdurchlauf müssen alle <strong>Teil</strong>e<br />
bearbeitet werden<br />
• Programm <strong>und</strong> Daten dürfen nur revisionskontrolliert<br />
verändert werden wobei eine Vorgehensweise zur<br />
Wiederherstellung jeder Revision vorhanden <strong>und</strong><br />
eingeführt sein muss<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 9 von 64
Entwurf des Anwendungsprogramms [1] (1/3)<br />
Wie sollen die Anforderungen umgesetzt werden?<br />
• Entwurf der gesamten SIS-Logik einschließlich aller<br />
Betriebsarten<br />
• Vorgaben: Spezifikation des SIS, SIS-Architektur,<br />
Sicherheitsanforderungen, Hilfsmittel & Werkzeuge<br />
zur Erstellung des Entwurfs<br />
• Ziele des Entwurfs<br />
erreicht die erforderliche Sicherheitsintegrität<br />
erlaubt die Beurteilung der funktionalen Sicherheit<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 10 von 64
Entwurf des Anwendungsprogramms [1] (2/3)<br />
• Funktionen um den Prozess in einen sicheren Zustand<br />
zu bringen oder dort zu halten<br />
• Spezifikation aller einzelnen Komponenten<br />
• genaue Beschreibung von Standard-Bibliotheksmodule<br />
<strong>und</strong> anwendungsspezifischen Module<br />
• Speicherzuordnung<br />
• Liste der globalen Variablen<br />
• Auszutauschende Daten (Bedienschnittstelle, BPCS, …)<br />
• Aufzeichnung externer <strong>und</strong> interner Diagnosedaten<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 11 von 64
Entwurf des Anwendungsprogramms [1] (3/3)<br />
Was muss sicher gestellt werden?<br />
• Vollständigkeit in Bezug auf die Spezifikation<br />
• Richtigkeit in Bezug auf die Spezifikation<br />
• Freiheit von Mehrdeutigkeiten<br />
• Freiheit von Entwurfsfehlern<br />
Der Entwurf muss die Anforderung bezüglich der<br />
Validierung jeder SIF enthalten.<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 12 von 64
Implementierung des Anwendungsprogramms [1]<br />
• Techniken zum Schreiben des Anwendungsprogramms für alle<br />
SIL gleich, aber Architektur des SIS <strong>und</strong> Gründlichkeit der<br />
Verifikation können abweichen<br />
• Entwicklungsmethode muss den Entwicklungswerkzeugen <strong>und</strong><br />
Beschränkungen nach Vorgaben des Herstellers des SIS-<br />
<strong>Teil</strong>systems entsprechen<br />
• Folgende Informationen müssen im Anwendungsprogramm<br />
oder der Dokumentation enthalten sein<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 13 von 64
Implementierung – Dokumentation [1] (1/2)<br />
• Ersteller des Programms<br />
• Beschreibung des Zwecks<br />
• Identifikation jeder SIF <strong>und</strong> ihres SIL<br />
• Identifikation <strong>und</strong> Beschreibung der verwendeten<br />
Symbole, einschließlich Logik-Konventionen <strong>und</strong><br />
Bibliotheksfunktionen<br />
• Identifikation der Eingangs- <strong>und</strong> Ausgangssignale<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 14 von 64
Implementierung – Dokumentation [1] (2/2)<br />
• Beschreibung der Programmstruktur, einschließlich<br />
der Beschreibung der Reihenfolge der logischen<br />
Bearbeitung der Daten<br />
• Maßnahmen zur Sicherstellung der Korrektheit der<br />
Felddaten <strong>und</strong> der Daten, die über eine<br />
Kommunikationsschnittstelle gesendet werden<br />
• Maßnahmen zur Sicherstellung der Datensicherheit<br />
• Identifikation der Version <strong>und</strong> Änderungshistorie<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 15 von 64
Implementierung – Wiederverwendung von<br />
Bausteinen [1]<br />
• DIN EN 61508-3 bei Verwendung von FVL<br />
• DIN EN 61511 hinsichtlich Betriebsbewährung<br />
bei Verwendung von FPL oder LVL<br />
• Nachweis, dass keine unbenutzten Funktionen<br />
das Programm negativ beeinflussen<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 16 von 64
Implementierung des Anwendungsprogramms –<br />
Strukturierung [1]<br />
• Modularer Auflösung<br />
• Minimierung der Komplexität des SIF-<br />
Anwendungsprogramms passend zur Komplexität der<br />
geforderten SIF<br />
• Prüfbarkeit der Funktionalität (einschließlich<br />
Fehlertoleranz) <strong>und</strong> interner Struktur<br />
• Nachverfolgbarkeit zu den Anwendungsfunktionen,<br />
deren Erklärung <strong>und</strong> zugeordneter Einschränkungen<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 17 von 64
Verifikation [1]<br />
Plan zur Überprüfung, Analyse<br />
<strong>und</strong>/oder zum Test der jeweiligen<br />
Stufe im <strong>Sicherheitslebenszyklus</strong><br />
• Verifikationstätigkeiten<br />
• Vorgehensweisen, Maßnahmen<br />
<strong>und</strong> Arbeitstechniken<br />
• Zeitpunkt der Durchführung<br />
• Verantwortliche/r<br />
• Benötigte Unterlagen<br />
• Handhabung von<br />
Abweichungen<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 18 von 64
Anforderungen für die Verifikation des Programms<br />
[1] (Review <strong>und</strong> Test) (1/2)<br />
• Planung der Verifikation<br />
• Prüfung des Anwendungsprogramms <strong>und</strong> der Dokumentation durch<br />
eine kompetente Person, die nicht an der Erstellung beteiligt war<br />
• Verifikation durch Überprüfungs-, Simulations- <strong>und</strong> Testmethoden<br />
mit schriftlicher Testspezifikation<br />
Übereinstimmung mit der Spezifikation<br />
Durchführung aller <strong>Teil</strong>e<br />
Überprüfung auf Bereichsverletzungen<br />
Zeitsteuerung <strong>und</strong> Reihenfolge der Bearbeitung<br />
Kommunikationsprüfung von <strong>und</strong> zum SIS<br />
Integration des Anwendungsprogramms <strong>und</strong> unterlagerte Programmlogik<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 19 von 64
Anforderungen für die Verifikation des Programms<br />
[1] (Review <strong>und</strong> Test) (2/2)<br />
• Verifikation der Eingänge mit den Ausgängen durch<br />
das Anwendungsprogramm<br />
• Änderungen müssen der Sicherheits-Einflussanalyse<br />
unterzogen werden<br />
Identifikation aller betroffenen <strong>Teil</strong>e<br />
Erforderliche Aktivitäten zur Neuplanung <strong>und</strong> erneuten<br />
Verifikation<br />
• Dokumentation der Ergebnisse des Tests<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 20 von 64
Dokumentation der Ergebnisse des Tests [1]<br />
• Getestete Version des Programms <strong>und</strong> der Dokumentation<br />
• Version der Hilfssoftware <strong>und</strong> Testhilfsmittel<br />
• Name der Personen, die die Tests durchführten<br />
• Beschreibung der durchgeführten Tests <strong>und</strong> Überprüfung<br />
• Testergebnisse<br />
• Erreichen von Testzielen <strong>und</strong> Testkriterien<br />
• Feststellung eines Ausfalls<br />
Dokumentation der Gründe<br />
Ausfallanalyse<br />
- Aufzeichnung der Korrektur<br />
- erneuter Test<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 21 von 64
Anforderungen hinsichtlich Methodik <strong>und</strong><br />
Werkzeugen [1]<br />
• Entwicklung des Anwendungsprogramms muss den<br />
Randbedingungen der Sicherheitshandbücher genügen<br />
• Methoden, Techniken <strong>und</strong> Werkzeuge müssen für jede<br />
Lebensphase ausgewählt <strong>und</strong> angewendet werden<br />
Minimierung des Risikos, dass Fehler ins Anwendungsprogramm<br />
gelangen<br />
Aufdeckung <strong>und</strong> Entfernung von vorhandenen Fehlern<br />
Sicherstellung, dass verbleibende Fehler nicht zu inakzeptablen<br />
Ergebnissen führen<br />
Sicherstellung der Instandhaltbarkeit des Anwendungsprogramms<br />
Nachweis der erforderlichen Qualität<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 22 von 64
WERKSENDPRÜFUNG<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 23 von 64
Ziel der Werkesendprüfung [1]<br />
(FAT – Factory Acceptance Test)<br />
• Gemeinsamer Test des Logiksystems, der<br />
zugehörigen Software <strong>und</strong> des<br />
Anwendungsprogramms (in einigen Fällen auch<br />
Sensoren oder Aktoren)<br />
• Sicherstellung der Anforderungen aus der<br />
Spezifikation<br />
• Vor der Montage können Fehler leicht erkannt <strong>und</strong><br />
behoben werden<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 24 von 64
Art der durchzuführenden Tests [1]<br />
• Black-Box-Tests<br />
Prüfung der funktionalen Anforderungen<br />
• Leistungstests<br />
Zeitvorgaben, Zuverlässigkeit, Verfügbarkeit<br />
• Umgebungstests<br />
EMV- <strong>und</strong> Lebensdauerprüfungen<br />
• Test der Schnittstellen<br />
• Tests unter verschlechterten <strong>und</strong>/oder Fehlerbedingungen,<br />
Prüfung von Ausnahmezuständen<br />
• Anwendung der Betriebs- <strong>und</strong> Instandhaltungsvorschriften<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 25 von 64
Weitere Inhalte der Planung [1]<br />
• Testfälle, Beschreibung der Tests <strong>und</strong> Testdaten<br />
• Abhängigkeit von anderen Systemen oder<br />
Schnittstellen<br />
• Testumgebung <strong>und</strong> Werkzeuge<br />
• Konfiguration des Logiksystems<br />
• Testkriterien nach denen die Ergebnisse der Tests zu<br />
beurteilen sind<br />
• …<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 26 von 64
Wichtige Angaben zu den durchgeführten Tests [1]<br />
• Version der verwendeten Planung<br />
• Getestete sicherheitstechnische Funktion <strong>und</strong><br />
deren Leistungscharakteristik<br />
• Detaillierte Testvorschrift <strong>und</strong> Testbeschreibung<br />
• Chronologische Aufzeichnung der Testtätigkeit<br />
• Verwendete Werkzeuge, Geräte u. Schnittstellen<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 27 von 64
Weitere Empfehlungen [1]<br />
• Nutzung einer definierten Version des Logiksystems<br />
• Durchführung in Übereinstimmung mit der Planung<br />
• Dokumentation der Ergebnisse<br />
Geprüfte Testfälle<br />
Testergebnisse<br />
Testkriterien erfüllt?<br />
• Sicherheitsanalyse für Modifikationen oder<br />
Veränderungen während des FAT (um Folgewirkungen<br />
<strong>und</strong> Umfang weiterer Tests zu bestimmen)<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 28 von 64
BEISPIEL ZUR ERSTELLUNG EINER<br />
TYPISCHEN ARCHITEKTUR<br />
SICHERHEITSTECHNISCHER<br />
SYSTEME [1]<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 29 von 64
Hintergr<strong>und</strong> [1] (1/2)<br />
• Erläuterung der Schritte zur Erstellung einer SIS-<br />
Architektur nach DIN EN 61511 [1]<br />
• SIS-Engineering läuft nach den Leitlinien<br />
zur Bestimmung der erforderlichen sicherheitstechnischen<br />
Funktion <strong>und</strong> des SIL ab<br />
sowie Techniken der Gerätered<strong>und</strong>anz <strong>und</strong> Entwurfsverfahren<br />
• Instrumentierung in Sicherheitsanwendung verwendet<br />
gelieferte Informationen über Diagnosen, Anteil sicherer<br />
Ausfälle u. aus Anwendungen gesammelte Information<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 30 von 64
Hintergr<strong>und</strong> [1] (2/2)<br />
• Logiksystem<br />
Hardware, Systemsoftware <strong>und</strong> Dienstprogramme<br />
entsprechen DIN EN 61508 [2] – SIL 3<br />
Verwenden eine Sprache mit eingeschränktem<br />
Sprachumfang für das Anwendungsprogramm (LVL)<br />
Sicherheitshandbuch zur Systemanwendung <strong>und</strong><br />
Erstellung der Anwendungssoftware<br />
Definierbare Standardsicherheitsfunktionen sind als<br />
Anwendungsprogramme verfügbar (z.B. 1oo2, 2oo3)<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 31 von 64
Arbeitsablauf<br />
Schritt Titel Tätigkeit<br />
1 Umfang der Anwendung Festlegung der Verfahrenstechnik<br />
2 Funktionale Sicherheitsanforderungen der<br />
Verfahrenstechnik<br />
3 Zuordnung der Sicherheitsanforderungen<br />
an das System<br />
4 Zuordnung der Sicherheitsanforderungen<br />
innerhalb des SIS<br />
Festlegung des Gefährdungspotentials, Durchführung<br />
einer ersten Analyse der Schutzebenen (LOPA)<br />
Planung der SIS-Struktur<br />
Festlegung der SIS-Hardware<br />
5 Erstellung der Anwendungssoftware Erstellung der SIS-Software<br />
6 Prüfung <strong>und</strong> Validierung der<br />
Anwendungssoftware<br />
Prüfung des SIS<br />
7 Montage Feld-Montage<br />
8 Inbetriebnahme Allgemeine Abnahme<br />
9 Betrieb Betreiben der Anlage<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 32 von 64
Schritt 3: Zuordnung der Sicherheitsanforderungen<br />
an das System [1]<br />
• Spezifikation der Sicherheitsanforderungen <strong>und</strong> SIL<br />
für die SIS-Anwendung (SIL für jede SIF)<br />
• Zum Erreichen des SIL angewendetes Modell einer<br />
sicherheitstechnischen Funktion<br />
Sensorkonfiguration<br />
Logiksystem<br />
<strong>und</strong><br />
Ein-/Ausgabemodule<br />
Aktorkonfiguration<br />
• Bestimmung der PFD, so dass Gesamt-PFD innerhalb<br />
der SIL-Grenzen liegt<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 33 von 64
Spezifikation von SIS-Komponenten [1]<br />
Komponenten mit nachgewiesenen Merkmalen (PFD <strong>und</strong> Fehlertoleranz)<br />
• Sensoren <strong>und</strong> Aktoren werden wie für verfahrenstechnische Anwendung<br />
geeignet ausgewählt<br />
• verschiedene Typenmerkmale sind durch die technische Abteilung<br />
entsprechend der vorliegenden Betriebserfahrung standardisiert<br />
• Ein-/Ausgabemodule des Logiksystems werden entsprechend der<br />
Anforderungen der Sensoren <strong>und</strong> Aktoren festgelegt<br />
• Logiksystem, Anwendungssprache, Entwicklungswerkzeuge <strong>und</strong><br />
Kommunikationsschnittstelle sind <strong>Teil</strong> des zugelassenen Sicherheitssystems<br />
• Bedienschnittstelle kann an die Anforderungen der Anwendung angepasst<br />
werden<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 34 von 64
Schritt 4: Zuordnung der Sicherheitsanforderungen<br />
innerhalb des SIS [1]<br />
• Zuordnung aller Funktionen der Spezifikation der<br />
Sicherheitsanforderungen zu Systemkomponenten,<br />
Funktionen oder Anwendungssoftware<br />
• Anforderungen der Sicherheitsintegrität entscheiden<br />
über die geeigneten SIS-Komponenten <strong>und</strong> die<br />
möglichen SIS-Architekturen<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 35 von 64
Schritt 5: Erstellung der Anwendungssoftware<br />
[1]<br />
Architekturbezogene Anforderungen an die Anwendungssoftware<br />
• Nach Auswahl der SIS-Architektur muss unter Umständen die<br />
Anwendungssoftware für die Umsetzung der Red<strong>und</strong>anz (z.B. 1oo2) <strong>und</strong>/oder<br />
der Diagnose für Sensoren, Logiksystem <strong>und</strong> Aktoren festgelegt werden<br />
Erstellung der Anwendungssoftware<br />
• Programmiersprache ist die Funktionsbausteinsprache (eine Sprache mit<br />
eingeschränktem Sprachumfang)<br />
• Erstellung <strong>und</strong> Prüfung der Software sind ein genau bekannter Prozess<br />
• Zusätzlich gibt es ein paar Einschränkungen hinsichtlich der Programmierung<br />
von Sicherheitsfunktionen, die im Sicherheitshandbuch beschrieben sind<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 36 von 64
Beispiel 1 – Einführung [1]<br />
• Beispiel ist nicht real<br />
• Berücksichtigt keine Ausfälle gemeinsamer Ursache<br />
mit anderen Schutzebenen<br />
Gefährdungsszenarium<br />
• Temperaturregelung eines dampfbeheizten Reaktors<br />
fällt aus <strong>und</strong> öffnet das Dampfregelventil<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 37 von 64
Spezifikation der Sicherheitsanforderungen <strong>und</strong> SIL<br />
[1]<br />
• Anstieg des Reaktordrucks über 10bar soll den<br />
Dampfzufluss zum Reaktormantel innerhalb von<br />
20 Sek<strong>und</strong>en schließen um eine exotherme<br />
Reaktion zu vermeiden<br />
• Eingriff des Bedienpersonals ist nicht<br />
erforderlich<br />
• Gefordertes SIL: SIL 3<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 38 von 64
Systemarchitektur/-komponenten [1]<br />
• Konfiguration des Drucksensors<br />
• Konfiguration des Logiksystems<br />
• Konfiguration des Aktors<br />
• Betriebsbewährte intelligente Sensoren werden direkt an die<br />
Eingänge des Logiksystems angeschlossen<br />
• Das Notabsperrventil verfügt über ein integriertes Magnetventil<br />
<strong>und</strong> ist direkt an die Ausgänge des Logiksystems<br />
angeschlossen<br />
• Alle MTTF-Daten stammen aus tatsächlicher Betriebserfahrung<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 39 von 64
Beispiel 1 – Systemarchitektur [1]<br />
Verfügbare Instrumentierung<br />
• Drucksensors – MTTF = 10 5 h, DC = 70%, SFF = 90%,<br />
halbjährliche Wiederholungsprüfung, MTTR = 8 h<br />
• Notabsperrventil – MTTF = 2·10 5 h, DC = 0%, SFF = 60%,<br />
halbjährliche Wiederholungsprüfung, MTTR = 8 h<br />
Einzelkomponenten (Anforderung für SIL 3: PFD avg < 10 -3 )<br />
• Sensor: 2,2·10 -3 – nicht zulässig<br />
• Logiksystem (red<strong>und</strong>ant): 1,3·10 -4 einschl. E-/A-Schnittstelle<br />
• Ventil: 4,38·10 -3 – nicht zulässig<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 40 von 64
Ermittlung einer geeigneten Sensorarchitektur [1]<br />
• Auswahl einer 1oo2-Red<strong>und</strong>anz<br />
• Ausfälle in Folge gemeinsamer Ursache = 10%,<br />
DC = 90%<br />
• Neuer PFD für 1oo2-Sensorarchitektur: 2,3·10 -4<br />
• Tatsächliche Fehlertoleranz = 1<br />
• Prinzipiell zulässig für SIL 3<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 41 von 64
Ermittlung einer geeigneten Aktorarchitektur [1]<br />
• Auswahl einer 1oo2-Red<strong>und</strong>anz<br />
• Ausfälle in Folge gemeinsamer Ursache = 10%<br />
• Neuer PFD für 1oo2-Aktorarchitektur: 4,6·10 -4<br />
• Tatsächliche Fehlertoleranz = 1<br />
• Prinzipiell zulässig für SIL 3<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 42 von 64
Prüfung der PFD der sicherheitstechnischen<br />
Funktion [1]<br />
Gesamtstruktur besteht aus den <strong>Teil</strong>systemen<br />
• Sensor + Logiksystem + Aktor<br />
• 2,3·10 -4 + 1,3·10 -4 + 4,6·10 -4 = 8,2·10 -4<br />
• 8,2·10 -4 < 10-3 zulässig für SIL 3<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 43 von 64
Beispiel 1 – Anwendungssoftware [1]<br />
Sensorkonfiguration<br />
• Für die angegebene 1oo2-Auswahl des Sensorsignals wird eine<br />
Anwendungssoftware erstellt (vorhandener Funktionsbaustein), um<br />
das Dampfventil zu schließen<br />
Aktorkonfiguration<br />
Wenn einer der beiden Sensoren einen Wert oberhalb des festgelegten<br />
Grenzwertes feststellt<br />
Wenn die Diagnose einen gefahrbringenden Ausfall feststellt<br />
• Beide Dampfventilausgänge werden abgesteuert, wenn von der<br />
Anwendungssoftware eine Sicherheitsbehandlung ausgelöst wird.<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 44 von 64
Beispiel 2 – Einführung [1]<br />
• Beispiel ist nicht real<br />
• Berücksichtigt keine Ausfälle gemeinsamer Ursache<br />
mit anderen Schutzebenen<br />
Gefährdungsszenarium<br />
• Temperaturregelung eines dampfbeheizten Reaktors<br />
fällt aus <strong>und</strong> öffnet das Dampfregelventil vollständig<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 45 von 64
Spezifikation der Sicherheitsanforderungen <strong>und</strong> SIL<br />
[1]<br />
• Anstieg des Reaktordrucks über 10 bar soll den<br />
Dampfzufluss zum Reaktormantel innerhalb von<br />
20 Sek<strong>und</strong>en schließen um eine exotherme<br />
Reaktion zu vermeiden<br />
• Eingriff des Bedienpersonals ist nicht<br />
erforderlich<br />
• Gefordertes SIL: SIL 2<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 46 von 64
Beispiel 2 – Systemarchitektur [1]<br />
Verfügbare Instrumentierung<br />
• Drucksensoren – MTTF = 10 5 h, DC = 70%, SFF = 90%,<br />
halbjährliche Wiederholungsprüfung, MTTR = 8 h<br />
• Notabsperrventil – MTTF = 2,5·10 4 h, DC = 0%, SFF = 60%,<br />
wöchentliche Wiederholungsprüfung (168 h), MTTR = 8 h<br />
Einzelkomponenten (Anforderung für SIL 2: PFD avg < 10 -2 )<br />
• Sensor: 2,2·10 -3 – zulässig<br />
• Logiksystem (red<strong>und</strong>ant): 1,3·10 -4 einschl. E-/A-Schnittstelle<br />
• Ventil: siehe nächste Folie<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 47 von 64
Beispiel 2 – PFD für einkanaligen Aktor [1]<br />
• PFD 1oo1 = DU · (½ T 1 + MTTR) , DU =(1-SFF)/MTTF<br />
• PFD 1oo1 = 1,472·10 -3<br />
• Tatsächliche Fehlertoleranz = 0<br />
• Prinzipiell zulässig für SIL 2<br />
Prüfung PFD: Sensor + Logiksystem + Aktor<br />
• PFD Sys = (2,2 + 0,1 + 1,5)·10 -3 = 4,0·10 -3<br />
• 4,0·10 -3 < 10 -2 -> zulässig für SIL 2<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 48 von 64
Anwendungssoftware/Aktorkonfiguration [1]<br />
• Der Dampfventilausgang wird abgesteuert, wenn von der<br />
Anwendungssoftware eine Sicherheitsbehandlung ausgelöst wird.<br />
• Zusätzlich werden Überwachungsfunktionen in der Anwendungssoftware<br />
implementiert, die nachweisen, dass der sichere Zustand des Ventils jedes<br />
Mal erreicht wird, wenn das Ventil betätigt wird (einmal pro Charge,<br />
typischerweise alle 8h)<br />
• Wenn während der Prüfung ein Ausfall festgestellt wird oder wenn seit der<br />
letzten Prüfung mehr als 168h vergangen sind, verbleibt das Logiksystem im<br />
sicheren Zustand (Notabsperrventil geschlossen) <strong>und</strong> es erfolgt ein Alarm<br />
• Durch diese automatische Prüfung kann das Intervall für die<br />
Wiederholungsprüfung bei der PFD-Berechnung auf 168 St<strong>und</strong>en gesetzt<br />
werden<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 49 von 64
FEHLERSICHERE<br />
AUTOMATISIERUNG MIT S7<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 50 von 64
Ziel fehlersicherer Automatisierungssysteme<br />
„Zielsetzung der Sicherheitstechnik ist es, die<br />
Gefährdung von Menschen <strong>und</strong> Umwelt durch<br />
technische Einrichtungen so gering wie<br />
möglich zu halten, ohne dadurch die<br />
industrielle Produktion <strong>und</strong> den Einsatz von<br />
Maschinen <strong>und</strong> chemischen Produkten mehr<br />
als unbedingt notwendig einzuschränken.“ [3]<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 51 von 64
Was sind fehlersichere Automatisierungssysteme<br />
[3]<br />
• Steuerung von Prozessen mit unmittelbar durch Abschaltung<br />
erreichbarem sicheren Zustand (keine Gefahr für Mensch oder<br />
Umwelt)<br />
• Einsatz in Anlagen mit erhöhten Sicherheitsanforderungen<br />
• bessere Fehleraufdeckung bzw. Fehlerlokalisierung<br />
• ausführliche Diagnoseinformationen zur schnelle Fortsetzung<br />
der Produktion nach einer sicherheitsbedingten Unterbrechung<br />
• erlauben einen intelligenten Systemdurchgriff bis hin zu<br />
elektrischen Antrieben <strong>und</strong> Messsystemen<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 52 von 64
Fehlersichere Systeme in SIMATIC S7 [3]<br />
• Realisierung von Sicherheitskonzepten im Bereich Maschinen<strong>und</strong><br />
Personenschutz (z. B. für NOT-AUS-Einrichtungen beim<br />
Betrieb von Be-/Verarbeitungsmaschinen) <strong>und</strong> in der<br />
Prozessindustrie (z. B. zur Durchführung von Schutzfunktionen<br />
für MSR-Schutzeinrichtungen <strong>und</strong> Brenner) durch das System<br />
S7 Distributed Safety<br />
• Das fehlersichere Automatisierungssystem S7 F/FH System<br />
(optional hochverfügbar) eignet sich für Anlagen in der<br />
Prozesstechnik <strong>und</strong> der Ölindustrie<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 53 von 64
Hochverfügbar vs. fehlersicher [4]<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 54 von 64
Erreichbares SIL <strong>und</strong> Funktionsprinzip [3]<br />
• SIL 1 bis SIL 3<br />
• Funktionale Sicherheit – schwerpunktmäßig in der<br />
Software<br />
• Bei gefährlichem Ereignis soll die Anlage in einen<br />
sicheren Zustand gehen (bzw. bleiben)<br />
• Hauptkomponenten dafür<br />
Sicherheitsgerichtetes Anwendungsprogramm in der F-<br />
fähigen CPU (F-CPU)<br />
Fehlersichere Ein- <strong>und</strong> Ausgabe (F-Peripherie)<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 55 von 64
Einsatz von S7 Distributed Safety [3]<br />
• Maschinen- <strong>und</strong><br />
Personenschutz<br />
• Prozessindustrie<br />
• Wenn sicherer Zustand<br />
durch Abschalten der<br />
fehlersicheren<br />
Ausgänge erreichbar<br />
ist<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 56 von 64
Einsatz des S7 F/FH Systems [3]<br />
• Prozess- <strong>und</strong><br />
Leittechnik<br />
• Wenn sicherer Zustand<br />
durch Abschalten der<br />
fehlersicheren<br />
Ausgänge erreichbar ist<br />
• Realisierbar mit PCS 7<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 57 von 64
Gegenüberstellung von S7 Distributed Safety<br />
<strong>und</strong> S7 F/FH System [3]<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 58 von 64
[3]<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 59 von 64
Programmiersprachen [3]<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 60 von 64
Live-Demo<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 61 von 64
NÄCHSTE VORLESUNG<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 62 von 64
<strong>Sicherheitslebenszyklus</strong><br />
<strong>Teil</strong> 1: Analyse<br />
Gefahren erkennen & Risiken<br />
bewerten<br />
<strong>Teil</strong> 2: Spezifikation &<br />
Entwurf Risiken reduzieren<br />
<strong>Teil</strong> 3: Inbetriebnahme<br />
& Betrieb<br />
Sicherheit aufrecht erhalten<br />
[1, 2]<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 63 von 64
Quellen<br />
[1] DIN EN 61511: Funktionale Sicherheit - Sicherheitstechnische<br />
Systeme für die Prozessindustrie.<br />
[2] DIN EN 61508: Funktionale Sicherheit sicherheitsbezogener<br />
elektrischer/elektronischer /programmierbarer elektronischer<br />
Systeme.<br />
[3] Siemens: Industrie Software - Sicherheitstechnik in SIMATIC<br />
S7, A5E00109528-06, 12/2008.<br />
[4] Siemens: Hochverfügbare Systeme S7-400H, A5E00267693-<br />
07, 12/2010.<br />
26.06.2013<br />
<strong>Sicherheitslebenszyklus</strong> - Anwendungsprogramm Folie 64 von 64