atp edition Diagnosefähige Aktorik in sicherheitsgerichteten Kreisen (Vorschau)
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
6 / 2012<br />
54. Jahrgang B3654<br />
Oldenbourg Industrieverlag<br />
Automatisierungstechnische Praxis<br />
<strong>Diagnosefähige</strong> <strong>Aktorik</strong> <strong>in</strong><br />
<strong>sicherheitsgerichteten</strong> <strong>Kreisen</strong> | 30<br />
PFD-Berechnung bei nicht<br />
konstanten Ausfallraten | 40<br />
Komplexe PLT-Schutze<strong>in</strong>richtungen | 48<br />
Automatische Generierung<br />
sicherer diversitärer Software | 58
ZUKUNFT ENTWICKELN<br />
MIT AUTOMATISIERUNG<br />
S<strong>in</strong>d Sie heute schon geflogen?<br />
NEUE<br />
Industrie<br />
Website<br />
www.vp-chemie-pharma.de<br />
Halle 11.1<br />
Stand E16<br />
Planen Sie Ihren ACHEMA Messetag mit YOKOGAWA<br />
Wir freuen uns auf Sie!<br />
Yokogawa Deutschland GmbH · Broichhofstraße 7-11 · 40880 Rat<strong>in</strong>gen<br />
Telefon +49(0)2102 - 4983-0 · Telefax +49(0)2102- 4983-22 · www.vp-chemie-pharma.de · <strong>in</strong>fo@de.yokogawa.com
editorial<br />
Nachweisbar sichere Komponenten<br />
und Anlagen effizient gestalten<br />
Sicherheitsgerichtete Automatisierungssysteme führen entscheidende Aufgaben<br />
von Sicherheitsfunktionen aus. Daher muss ihre Eignung sowohl<br />
qualitativ als auch quantitativ nachgewiesen werden.<br />
Normen und Richtl<strong>in</strong>ien wie die ISO 13849 und die IEC 61508 bieten leider<br />
nur für wenige, spezielle Sicherheitsarchitekturen konkrete Anhaltspunkte.<br />
Deswegen werden oft starke Vere<strong>in</strong>fachungen bei der Modellierung vorgenommen,<br />
um die realen Systeme auf diese Architekturen abzubilden.<br />
Die <strong>in</strong> der Sicherheitstechnik üblichen Abschätzungen und Vere<strong>in</strong>fachungen<br />
zur „sicheren Seite“ führen so oftmals zu unnötig schlechten Sicherheitskennwerten<br />
und letztendlich zu kosten<strong>in</strong>tensiveren Lösungen zur Erreichung der<br />
geforderten Kennwerte. Denn diese Vere<strong>in</strong>fachungen bedeuten immer e<strong>in</strong>e<br />
ungünstigere Bewertung der Sicherheit – und erfordern somit höhere Investitionen<br />
<strong>in</strong> Mechanik und Elektronik <strong>in</strong> Form von Redundanzen und hochwertigeren<br />
Bauteilen.<br />
Der Anlagenbauer beziehungsweise System<strong>in</strong>tegrator kann hier e<strong>in</strong>ige Auswege<br />
f<strong>in</strong>den: Der sche<strong>in</strong>bar e<strong>in</strong>fachste Weg ist die ausschließliche Verwendung<br />
von zertifizierten Sicherheitskomponenten. In diesem Fall kann für ihn der<br />
Nachweis relativ e<strong>in</strong>fach se<strong>in</strong>, und er wird durch Werkzeuge der Hersteller<br />
unterstützt. Zwar wird mittlerweile die Standardisierung von Schnittstellen<br />
und Eigenschaften von Safety-Komponenten von Verbänden gefördert, aber es<br />
ist noch viel Engagement notwendig.<br />
Spezialanwendungen und auch Kostengründe machen demgegenüber eigene<br />
Lösungen erforderlich. Hier ist Sicherheitskompetenz gefragt, die über die<br />
bisherigen Anforderungen h<strong>in</strong>ausgeht. Die existierenden Werkzeuge helfen<br />
zwar bei der Risikoanalyse und Bestimmung des erforderlichen Safety Integrity<br />
Levels (SIL) oder Performance Levels (PL) bei vielen Anwendungen. Sie<br />
kommen jedoch an ihre Grenzen, wenn von den Architekturvorschlägen der<br />
Normen abgewichen werden soll.<br />
Effiziente, generalisierbare, <strong>in</strong>telligente und flexible Lösungen für nachweisbare<br />
Sicherheit s<strong>in</strong>d daher die Hauptaufgabe der modernen Sicherheitstechnik.<br />
Die aktuellen Herausforderungen auf dem Gebiet der Safety bestehen nicht<br />
e<strong>in</strong>fach <strong>in</strong> der Erreichung der Sicherheit, sondern <strong>in</strong> der effizienten Gestaltung<br />
nachweisbar sicherer Komponenten und Anlagen, das heißt, auch mit ger<strong>in</strong>geren<br />
Stückkosten soll e<strong>in</strong>e nachweisbare Sicherheit erreichbar se<strong>in</strong>. Dafür<br />
können die e<strong>in</strong>maligen Kosten für Entwicklung und Nachweis durchaus höher<br />
se<strong>in</strong>. Hier spielen Software-<strong>in</strong>tensive Lösungen e<strong>in</strong>e immer größere Rolle.<br />
Schon seit e<strong>in</strong>iger Zeit wird der E<strong>in</strong>satz von COTS (commercial off the shelf)<br />
auf der Hardware-Seite und SOUP (software of uncerta<strong>in</strong> pedigree) auf der<br />
Software-Seite <strong>in</strong> der Sicherheitstechnik diskutiert.<br />
Obwohl die Sicherheitstechnik <strong>in</strong> unseren Branchen schon auf e<strong>in</strong>e bedeutende<br />
Geschichte zurückblicken kann, besteht noch viel Raum für <strong>in</strong>novative<br />
Lösungen.<br />
Prof. Dr.-Ing.<br />
Frank Schiller,<br />
wissenschaftlicher Leiter<br />
für Safety & Security,<br />
Beckhoff Automation GmbH<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012<br />
3
Inhalt 6 / 2012<br />
Forschung<br />
6 | Exo-Hand verb<strong>in</strong>det menschliche Intelligenz<br />
mit robusten Fähigkeiten e<strong>in</strong>es Roboters<br />
Kompaktes Datenlogger-System ermittelt, wie hoch<br />
die Leistung bei der „Ernte“ von Energie ist<br />
Verband<br />
8 | Stabwechsel bei der Fraunhofer-Gesellschaft:<br />
Reimund Neugebauer löst Hans-Jörg Bull<strong>in</strong>ger ab<br />
Industrie 4.0: GMA will aktuelle IKT-Trends<br />
gezielt für die Automation weiterentwickeln<br />
9 | PNO: Karsten Schneider neuer Vorsitzender<br />
Wood<strong>in</strong>gton-Award für Klaus-Dieter Sommer<br />
branche<br />
10 | Masterstudent Stefan Köhler und Bachelorstudent Stefan Luthardt<br />
gew<strong>in</strong>nen AALE Award 2012<br />
Studie: Informationssicherheit <strong>in</strong> europäischen<br />
Unternehmen „furchterregend schlecht“<br />
11 | Ch<strong>in</strong>esische Produktpiraterie im Masch<strong>in</strong>enbau 2011<br />
erstmals rückläufig<br />
Ingenieurbranchen erwirtschafteten 2011 rund 45 Prozent<br />
aller deutschen Exporte<strong>in</strong>nahmen<br />
12 | Offenes Safety-Profil ermöglicht e<strong>in</strong>e fabrikweite<br />
Sicherheitsarchitektur <strong>in</strong> heterogenen Anlagen<br />
rubriken<br />
3 | Editorial<br />
66 | Impressum, <strong>Vorschau</strong><br />
4<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
Schwerpunkt | achema<br />
16 | Optimale Assistenz für den Anlagenfahrer<br />
erlaubt maximale Kostenreduzierung<br />
für die Produktion<br />
20 | Kosten senken und Steuern sparen –<br />
zertifiziertes Energiemanagement steigert<br />
die Wirtschaftlichkeit<br />
24 | Neue Feldbus-Infrastruktur steigert<br />
Transparenz und Betriebssicherheit <strong>in</strong><br />
<strong>in</strong>discher Zuckerfabrik<br />
26 | Zentrales Eng<strong>in</strong>eer<strong>in</strong>g Tool erleichtert As-built-<br />
Dokumentation und asynchrone Planung<br />
Hauptbeiträge<br />
30 | <strong>Diagnosefähige</strong> <strong>Aktorik</strong> <strong>in</strong><br />
<strong>sicherheitsgerichteten</strong> <strong>Kreisen</strong><br />
T. Karte und B. Schäfer<br />
40 | PFD-Berechnung bei nicht<br />
konstanten Ausfallraten<br />
A. Hildebrandt<br />
48 | Komplexe PLT-Schutze<strong>in</strong>richtungen<br />
S. Haase, D. Hablawetz, T. Hauff, M. Krauss und F. Lenhart<br />
58 | Automatische Generierung<br />
sicherer diversitärer Software<br />
M. Früchtl und F. Schiller
forschung<br />
Exo-Hand verb<strong>in</strong>det menschliche Intelligenz<br />
mit robusten Fähigkeiten e<strong>in</strong>es Roboters<br />
D<br />
em Hersteller Festo ist es gelungen, e<strong>in</strong>en Roboterarm<br />
zu entwickeln, den man sich wie e<strong>in</strong>en Handschuh<br />
anziehen kann. Mit der sogenannten Exo-Hand lassen<br />
sich die F<strong>in</strong>ger aktiv bewegen und die F<strong>in</strong>gerkraft verstärken.<br />
Die Exoskeletthand bildet alle wichtigen physiologischen<br />
Freiheitsgrade e<strong>in</strong>er Hand ab.<br />
Dabei verknüpft die Exo-Hand menschliche Intelligenz<br />
mit den Fähigkeiten e<strong>in</strong>es Roboters. Masch<strong>in</strong>en s<strong>in</strong>d zwar<br />
präzise, robust und leistungsstark, können jedoch nur<br />
bed<strong>in</strong>gt <strong>in</strong> komplexen Situationen reagieren. Meist bleiben<br />
die optische und haptische Wahrnehmung sowie das<br />
menschliche Entscheidungsvermögen unverzichtbar. Mit<br />
der Exo-Hand ist nun, laut Hersteller, e<strong>in</strong> universelles<br />
Assistenzsystem entstanden. Die Roboterhand kann beispielsweise<br />
bei unterschiedlichen Montagetätigkeiten <strong>in</strong><br />
der Industrie e<strong>in</strong>gesetzt werden. Gleichfalls ist die Fernmanipulation<br />
e<strong>in</strong>er Roboterhand durch den „Cyborg“-<br />
Arm, etwa <strong>in</strong> gesundheitsgefährdenden Umgebungen,<br />
denkbar. Acht pneumatische Aktoren erlauben präzise<br />
Bewegungen und verleihen Festo zufolge der Exo-Hand<br />
optimierte Eigenschaften h<strong>in</strong>sichtlich Nachgiebigkeit<br />
und Sicherheit. Gleichzeitig erfassen l<strong>in</strong>eare Potentiometer<br />
die F<strong>in</strong>gerstellung und die jeweils anliegende Kraft<br />
der Antriebe. Der entsprechende Druck <strong>in</strong> den Kammern<br />
wird mittels Piezoproportionalventilen geregelt. Drucksensoren<br />
auf der Ventil<strong>in</strong>sel dienen der Druckregelung<br />
Die Exo-Hand <strong>in</strong> Komb<strong>in</strong>ation mit e<strong>in</strong>em<br />
Bra<strong>in</strong>-Computer-Interface. Bild: Festo.<br />
und erlauben Rückschluss auf die Kräfte, die der Zyl<strong>in</strong>der<br />
ausübt. E<strong>in</strong>e CoDeSys-konforme Steuerung erfasst und<br />
verarbeitet die Positions- und Kraftwerte. Sie regelt die<br />
entsprechenden Drücke <strong>in</strong> den Zyl<strong>in</strong>dern, um die korrekten<br />
F<strong>in</strong>gerstellungen und Krafte<strong>in</strong>flüsse zu erhalten.<br />
Dabei werden nichtl<strong>in</strong>eare Regelalgorithmen verwendet.<br />
Festo AG & Co. KG,<br />
Ruiter Straße 82, D-73734 Essl<strong>in</strong>gen,<br />
Tel. +49 (0) 711 34 70,<br />
Internet: www.festo.com/gruppe<br />
6<br />
Kompaktes Datenlogger-System ermittelt, wie hoch<br />
die Leistung bei der „Ernte“ von Energie ist<br />
Energy Harvest<strong>in</strong>g wird e<strong>in</strong>e Technologie genannt, bei der<br />
aus Quellen wie Temperatur- und Druckunterschieden,<br />
Luftströmungen, mechanischen Bewegungen oder Vibrationen<br />
Energie gewonnen wird. Wenige Milliwatt genügen<br />
etwa, um Sensoren, Funksender oder GPS-Module <strong>in</strong> Betrieb<br />
zu setzen. Die Vibrationen, beispielsweise beim Transport<br />
von Güterwagons oder Conta<strong>in</strong>ern können e<strong>in</strong>e solche Energie<br />
quelle se<strong>in</strong>. Doch reicht diese Energie tatsächlich komplett<br />
aus, um elektronische Mikrosysteme mit Strom zu<br />
versorgen? Darüber Auskunft gibt e<strong>in</strong> Datenlogger, der vom<br />
Fraunhofer-Institut für Integrierte Schaltungen IIS entwi-<br />
Der Datenlogger misst,<br />
ob die geerntete Energie vom<br />
Energy Harvest<strong>in</strong>g ausreicht,<br />
um e<strong>in</strong> Mikrosystem mit Energie<br />
zu versorgen. Er ist bereits<br />
beispielsweise an Conta<strong>in</strong>ern<br />
im E<strong>in</strong>satz. Bild: Fraunhofer IIS<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012<br />
ckelt wurde. Das System analysiert und charakterisiert das<br />
nutzbare Energiepotenzial. Es misst entscheidende Parameter<br />
der Vibrationsquelle wie beispielsweise Amplitude und<br />
Frequenzspektrum der Beschleunigung. „Mit den gewonnenen<br />
Daten lassen sich Vibrationswandler wie etwa piezoelektrische<br />
Generatoren so auslegen, dass sie Sensoren,<br />
Funksendeempfänger, Track<strong>in</strong>g-Systeme und andere Kle<strong>in</strong>geräte<br />
mit ger<strong>in</strong>gem Stromverbrauch mit ausreichend Energie<br />
versorgen“, erläutert Dr.-Ing. Peter Spies, Gruppenleiter<br />
am IIS. Die „abgeerntete“ Energie kann für viele Anwendungen<br />
genutzt werden, etwa um Pulsmesser, Sensoren <strong>in</strong><br />
Waschmasch<strong>in</strong>en und Produktionsanlagen oder Messsysteme<br />
<strong>in</strong> Autos, die den Reifendruck prüfen, aufzuladen.<br />
Bestandteile des Datenloggers s<strong>in</strong>d e<strong>in</strong> Beschleunigungssensor,<br />
e<strong>in</strong> GPS-Modul, e<strong>in</strong> Mikrocontroller, e<strong>in</strong>e SD-Karte<br />
sowie e<strong>in</strong>e WLAN-Schnittstelle.<br />
Der Datenlogger ist bereits <strong>in</strong> Güterwaggons, Lkws und<br />
Masch<strong>in</strong>enanlagen im E<strong>in</strong>satz. Derzeit entwickeln Spies<br />
und se<strong>in</strong> Team e<strong>in</strong> komplettes Track<strong>in</strong>g-System, das neben<br />
GSM-Modul und GPS-Empfänger e<strong>in</strong>en Vibrationswandler<br />
umfasst, der mechanische <strong>in</strong> elektrische Energie<br />
konvertiert.<br />
Fraunhofer-Institut<br />
für Integrierte Schaltungen IIS,<br />
Am Wolfsmantel 33, D-91058 Erlangen,<br />
Tel. +49 (0) 9131 77 60, Internet: www.iis.fraunhofer.de
M<br />
O<br />
V<br />
I<br />
E<br />
N<br />
S<br />
N<br />
O<br />
T<br />
V<br />
H<br />
A<br />
E<br />
T<br />
I<br />
W<br />
0<br />
O<br />
N<br />
R<br />
D<br />
L<br />
Effiziente Bedienung – optimale Produktion?<br />
Def<strong>in</strong>itiv.<br />
Das ideale Prozessleitsystem liefert dem Anlagenfahrer alle wichtigen Informationen für<br />
schnelle und richtige Entscheidungen. Somit behält er auch <strong>in</strong> schwierigen Situationen<br />
den Überblick, kann effektiv e<strong>in</strong>greifen und so Anlagenausfälle vermeiden. Mit den<br />
modernen und besonders ergonomischen Bedienoberflächen von ABB gibt es ke<strong>in</strong>e<br />
Alarm- und Informationsüberflutung. Dadurch kann sich der Anlagenfahrer auf das<br />
Wesentliche konzentrieren und die Produktivität der Anlage erhöhen. Wünschen Sie<br />
sich auch so e<strong>in</strong>e effiziente Anlagenbedienung? www.abb.de/controlsystems<br />
ACHEMA 2012<br />
18 - 22 June 2012<br />
Hall 11.1, Stand A61<br />
ABB Automation GmbH<br />
Tel. +49 69 7930 4142<br />
Fax. +49 69 7930 4499<br />
E-Mail: process.automation@de.abb.com
Verband<br />
Stabwechsel bei der Fraunhofer-Gesellschaft:<br />
Reimund Neugebauer löst Hans-Jörg Bull<strong>in</strong>ger ab<br />
Reimund Neugebauer,<br />
langjähriger Leiter des<br />
Fraunhofer-Instituts für<br />
Werkzeugmasch<strong>in</strong>en und<br />
Umformtechnik IWU <strong>in</strong><br />
Chemnitz, wird im<br />
Oktober neuer<br />
Fraunhofer-Präsident.<br />
Bild: Fraunhofer<br />
Prof. Dr.-Ing. Reimund Neugebauer ist vom Senat der<br />
Fraunhofer-Gesellschaft zum künftigen Präsidenten<br />
gewählt worden. Er soll im Oktober Prof. Dr.-Ing. Hans-<br />
Jörg Bull<strong>in</strong>ger nachfolgen, der zehn Jahre an der Spitze<br />
der Fraunhofer-Gesellschaft stand.<br />
Reimund Neugebauer leitet seit etwa 20 Jahren das<br />
Fraunhofer-Institut für Werkzeugmasch<strong>in</strong>en und<br />
Umform technik IWU <strong>in</strong> Chemnitz. Er studierte Masch<strong>in</strong>enbau<br />
an der TU Dresden mit dem Schwerpunkt Produktionstechnik.<br />
Nach Diplom und Promotion folgten<br />
e<strong>in</strong>e leitende Tätigkeit <strong>in</strong> der Masch<strong>in</strong>enbau<strong>in</strong>dustrie und<br />
die Habilitation 1989.<br />
Danach wurde er als Hochschullehrer an die TU Dresden<br />
berufen, wo er 1990 die Geschäftsführung des Instituts<br />
für Werkzeugmasch<strong>in</strong>en übernahm. 1992 wurde er<br />
Leiter der neuen Fraunhofer-E<strong>in</strong>richtung für Werkzeugmasch<strong>in</strong>en<br />
und Umformtechnik <strong>in</strong> Chemnitz, die zwei<br />
Jahre später zum Institut ernannt wurde. Seit 1993 ist er<br />
Ord<strong>in</strong>arius für Werkzeugmasch<strong>in</strong>en und Umformtechnik<br />
an der TU Chemnitz. Dort gründete er auch das Institut<br />
für Werkzeugmasch<strong>in</strong>en und Produktionsprozesse IWP<br />
und ist seit 2000 dessen Direktor. Von 2003 bis 2006 war<br />
er zudem Dekan der Fakultät für Masch<strong>in</strong>enbau.<br />
Neugebauer ist Mitglied zahlreicher nationaler und <strong>in</strong>ternationaler<br />
wissenschaftlicher Gesellschaften und Verbände.<br />
So war er 2010/2011 Präsident der Wissenschaftlichen<br />
Gesellschaft für Produktionstechnik WGP. Er gehört<br />
der Arbeitsgeme<strong>in</strong>schaft Umformtechnik AGU an<br />
und ist Fellow der Internationalen Akademie für Produktionstechnik<br />
CIRP, deren Generalversammlung er 2007<br />
als Chairman <strong>in</strong> Dresden ausrichtete.<br />
Außerdem ist er Mitglied der Deutschen Akademie der<br />
Technikwissenschaften Acatech und Gründungspräsident<br />
des Industrievere<strong>in</strong>s Sachsen 1828 e.V. Neugebauer hat das<br />
Fraunhofer-Institut für Werkzeugmasch<strong>in</strong>en und Umformtechnik<br />
IWU <strong>in</strong> Chemnitz zu e<strong>in</strong>em <strong>in</strong>ternational führenden<br />
Partner für die Automobil- und Masch<strong>in</strong>enbau<strong>in</strong>dustrie<br />
ausgebaut. Mit den Standorten Dresden, Augsburg und<br />
Zittau wurden die Forschungsgebiete um Mechatronik,<br />
Mediz<strong>in</strong>technik und Leichtbauweisen erweitert. Wichtige<br />
Impulse für e<strong>in</strong>en Paradigmenwandel zur Sicherung und<br />
Entwicklung der Wertschöpfung am Standort Deutschland<br />
lieferte Neugebauer mit dem aktuellen Schwerpunktthema<br />
„Ressourceneffiziente Produktion“.<br />
Hans-Jörg Bull<strong>in</strong>ger, der zehn Jahre an der Spitze der<br />
Fraunhofer-Gesellschaft stand, wechselt <strong>in</strong> den Senat<br />
und bleibt der Forschungsorganisation <strong>in</strong> vielfältigen<br />
Funktionen aktiv verbunden. Außerdem wird er sich <strong>in</strong><br />
Beratungsgremien und Aufsichtsräten weiterh<strong>in</strong> für den<br />
Innovationsstandort Deutschland engagieren.<br />
FRAUNHOFER-GESELLSCHAFT ZUR FÖRDERUNG DER<br />
ANGEWANDTEN FORSCHUNG E.V.,<br />
Hansastraße 27 c, D-80686 München,<br />
Tel. +49 (0) 89 120 50, Internet: www.fraunhofer.de<br />
8<br />
Industrie 4.0: GMA will aktuelle IKT-Trends<br />
gezielt für die Automation weiterentwickeln<br />
Deutschland hat bei der derzeit proklamierten vierten<br />
<strong>in</strong>dustriellen Revolution ‚Industrie 4.0‘ ausgezeichnete<br />
Voraussetzungen, betont der VDI. „Das liegt daran, dass<br />
wir seit Langem die Möglichkeiten der <strong>in</strong>dustriellen Kommunikations-<br />
und Informationsverfahren für die Anwendung<br />
<strong>in</strong> der Automatisierungstechnik konsequent und<br />
systematisch entwickeln und nutzen“, so Dr.-Ing. Kurt D.<br />
Bettenhausen, Vorsitzender der VDI/VDE-Gesellschaft<br />
Mess- und Automatisierungstechnik (GMA). „Die gerade<br />
stattf<strong>in</strong>dende Entwicklung im H<strong>in</strong>blick auf Vernetzung<br />
und Allgegenwärtigkeit jeglicher Information wird uns<br />
hier e<strong>in</strong>en weiteren Schub geben und neue Möglichkeiten<br />
eröffnen“, so Bettenhausen weiter.<br />
Das Ziel der Automatisierung ist und bleibt der wunschgemäße,<br />
sichere, zuverlässige und effiziente Betrieb von<br />
Anlagen. Die Nutzung der zusätzlichen Informationen, die<br />
zukünftig über zusätzliche Sensoren, e<strong>in</strong>gebettete Systeme<br />
und die Vernetzung zur Verfügung stehen können, wird<br />
dieses Ziel unterstützen und neue Möglichkeiten eröffnen.<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012<br />
„Industrie 4.0 bedeutet konsequente<br />
Automation“, beschreibt Bettenhausen<br />
die Perspektiven. „Wir werden die<br />
aktuellen Trends aus der Informations-<br />
und Kommunikationstechnologie<br />
(IKT) nutzen und gezielt für die<br />
<strong>in</strong>dustrielle Automation weiterentwickeln.“<br />
Darunter fallen unter anderem<br />
der Ausbau von Sensor- und Kommunikationsnetzen,<br />
die Vernetzung von<br />
Anlagen, die Verfügbarkeit, Transparenz<br />
und Sicherheit von Daten, die<br />
übersichtliche Visualisierung von Anlagenzuständen sowie<br />
die e<strong>in</strong>fache und <strong>in</strong>tuitive Bedienung von Anlagen.<br />
VDI/VDE-Gesellschaft Mess- und<br />
Automatisierungstechnik (GMA),<br />
VDI-Platz 1, D-40468 Düsseldorf,<br />
Tel. +49 (0) 211 621 40, Internet: www.vdi.de<br />
Dr.-Ing. Kurt D.<br />
Bettenhausen,<br />
GMA-Vorsitzender<br />
betont: „Industrie<br />
4.0 bedeutet<br />
konsequente Auto -<br />
mation.“ Bild: GMA
PNO: Karsten Schneider<br />
neuer Vorsitzender<br />
Karsten<br />
Schneider,<br />
neuer Vorstandsvorsitzender<br />
der<br />
PNO und Leiter der<br />
Strategie ‚Feldbuskommu<br />
nikation‘ <strong>in</strong><br />
der Siemens AG.<br />
Bild: PNO<br />
Karsten Schneider (43) wurde auf<br />
der Mitgliederversammlung der<br />
Profibus Nutzerorganisation e. V.<br />
(PNO) <strong>in</strong> den Vorstand der PNO und<br />
gleichzeitig zu dessen Vorsitzenden<br />
gewählt. Schneider ist seit April<br />
2012 Leiter der Strategie ‚Feldbuskommunikation‘<br />
<strong>in</strong> der Siemens AG.<br />
Er löst Jörg Freitag ab, der sich e<strong>in</strong>er<br />
neuen beruflichen Herausforderung<br />
im Ausland widmen wird.<br />
Neben Schneider gehören dem<br />
PNO-Vorstand nun Klaus-Peter L<strong>in</strong>dner<br />
(Endress + Hauser Process Solutions)<br />
und Prof. Dr. Frithjof Klasen<br />
(AIT, FH Köln) an. Der Vorstand leitet<br />
die Organisation der PNO, der Beirat<br />
steuert die Technologieentwicklung.<br />
Die Technischen Komitees und Arbeitskreise<br />
erarbeiten Spezifikationen, Profile und Richtl<strong>in</strong>ien.<br />
Die operativen Aufgaben werden von der Geschäftsstelle<br />
der PNO <strong>in</strong> Karlsruhe wahrgenommen.<br />
| EK12-06G |<br />
So kompakt sieht<br />
e<strong>in</strong> vollständiger<br />
Servoverstärker aus.<br />
Direkter Anschluss von Servomotor<br />
und Resolver an 12-mm-Busklemme.<br />
PROFIBUS-NUTZERORGANISATION,<br />
Haid-und-Neu-Straße 7, D-76131 Karlsruhe,<br />
Tel. +49 (0) 721 965 85 90,<br />
Internet: www.profibus.com<br />
Wood<strong>in</strong>gton-Award für<br />
Klaus-Dieter Sommer<br />
Für hervorragende Leistungen auf dem Gebiet der<br />
Messtheorie und Messdatenauswertung sowie der<br />
systematischen Modellbildung von Messungen und Kalibrierungen<br />
hat Prof. Dr. Klaus-Dieter Sommer den diesjährigen<br />
Wood<strong>in</strong>gton-Award erhalten wie die VDI/VDE-<br />
Gesellschaft Mess- und Automatisierungstechnik (GMA)<br />
mitteilt. GMA-Beiratsmitglied Sommer ist seit über 25<br />
Jahren der erste Nichtamerikaner, der mit diesem Preis<br />
ausgezeichnet wurde.<br />
Sommer habe wichtige Beiträge sowohl zum gesetzlichen<br />
Messwesen als auch zur Lehre <strong>in</strong> der Messtechnik<br />
sowie zur <strong>in</strong>ternationalen Vernetzung der Metrologie<br />
geleistet. Sommer ist seit vielen Jahren Vizepräsident der<br />
regionalen europäisch-asiatischen Metrologieorganisation<br />
Coomet. Er leitet das Technische Komitee TC 20<br />
‚Energy Measurement‘ der Imeko und hat die GMA mit<br />
der MSC und der NCSLi <strong>in</strong> den USA vernetzt. In Deutschland<br />
habe er sich vor allem um die Implementation des<br />
GUM-Verfahrens zur Messunsicherheitsbewertung <strong>in</strong><br />
die Praxis sowie die Förderung der Messtheorie verdient<br />
gemacht, betont die GMA.<br />
VDI/VDE-Gesellschaft Mess- und<br />
Automatisierungstechnik (GMA),<br />
VDI-Platz 1, D-40468 Düsseldorf,<br />
Tel. +49 (0) 211 621 40, Internet: www.vdi.de<br />
IPC<br />
I/O<br />
Motion<br />
Automation<br />
www.beckhoff.de/EL7201<br />
Die Servoklemme EL7201 für das Beckhoff-EtherCAT-Klemmensystem<br />
<strong>in</strong>tegriert im Standardklemmengehäuse e<strong>in</strong>en vollständigen<br />
Servoverstärker für Motoren bis 200 W:<br />
Direkter Anschluss von Servomotor, Resolver und Haltebremse<br />
an 12-mm-Busklemme<br />
Deutliche Reduzierung des Platzbedarfs sowie der Verdrahtungsund<br />
Inbetriebnahmekosten<br />
Die <strong>in</strong>tegrierte, schnelle Regelungstechnik ist für hochdynamische<br />
Positionieraufgaben ausgelegt.<br />
Die Servoklemme unterstützt Synchronmotoren mit e<strong>in</strong>em<br />
Nennstrom bis 4 A.<br />
Die Komb<strong>in</strong>ation aus Servomotorserie AM3100 und Servoklemme<br />
bietet e<strong>in</strong>e kostengünstige Servoachse im unteren Leistungsbereich.
anche<br />
Masterstudent Stefan Köhler und Bachelorstudent<br />
Stefan Luthardt gew<strong>in</strong>nen AALE Award 2012<br />
Sechs junge Fachhochschul-Studenten wurden bei der<br />
diesjährigen Konferenz für Angewandte Automatisierungstechnik<br />
<strong>in</strong> Lehre und Entwicklung (AALE) für ihre<br />
Forschungsarbeiten ausgezeichnet. Die ersten beiden<br />
AALE Student Awards g<strong>in</strong>gen an Stefan Köhler und Stefan<br />
Luthardt. Köhler erhielt die Auszeichnung für se<strong>in</strong>e<br />
Master-Arbeit zum Thema „Entwurf und Analyse e<strong>in</strong>es<br />
Datenfusionsalgorithmus zur Lagef<strong>in</strong>dung e<strong>in</strong>es Kle<strong>in</strong>stflugzeugs“.<br />
Der Gew<strong>in</strong>ner von der Hochschule Karlsruhe<br />
untersuchte Verfahren, wie man e<strong>in</strong>en Quadrokopter<br />
besser stabilisieren kann. E<strong>in</strong> Quadrokopter ist e<strong>in</strong>e<br />
Schwebeplattform, die mithilfe von vier Propellern <strong>in</strong> der<br />
Luft gehalten wird.<br />
Der erste Preis unter den Bachelor-Studenten g<strong>in</strong>g an Stefan<br />
Luthardt von der Hochschule für Technik, Wirtschaft<br />
und Kultur (HTWK) Leipzig. Luthardt hatte <strong>in</strong> se<strong>in</strong>er Arbeit<br />
Preisträger: (von li. nach re.) Stefan Luthardt (Preisträger<br />
AALE Award Bachelorarbeit), Mirko Kegel, Philipp Scholz, Titanilla<br />
Komenda und Stefan Köhler (Preisträger AALE Award Masterarbeit).<br />
<br />
Bild: FH Aachen/Pia Wilbrand<br />
die „Entwicklung e<strong>in</strong>es Softwarewerkzeugs zur Identifikation<br />
von Regelstrecken und Konfiguration von Reglern auf<br />
Speicherprogrammierbaren Steuerungen“ vorgestellt. Stefan<br />
Köhler erhielt für se<strong>in</strong>e ausgezeichnete Master-Arbeit<br />
e<strong>in</strong> Preisgeld von 1 000 Euro. Stefan Luthardt konnte sich<br />
über 500 Euro für die beste Bachelor-Arbeit freuen.<br />
Als Zweit- und Drittplatzierte unter den e<strong>in</strong>gereichten<br />
Bachelor-Arbeiten machten Kai Dziembala von der Hochschule<br />
Bremen und Mirko Kegel von der FH Bielefeld das<br />
Rennen. Dziembala hatte se<strong>in</strong>e Bachelor-Arbeit zum Thema<br />
„Prozesssichere und gesetzeskonforme Trügungsmessung“<br />
vorgestellt. Kegel befasste sich <strong>in</strong> se<strong>in</strong>er Arbeit mit<br />
„Wieganddraht-basierten Magnetfeldsensoren“.<br />
Auch bei den übrigen nom<strong>in</strong>ierten Masterarbeiten<br />
setzten sich <strong>in</strong>teressante Themen durch. Titanilla Komenda<br />
von der TU Technikum Wien stellte „An Exprimental<br />
Approach to Evaluat<strong>in</strong>g Industrial Robot Energy Efficiency“<br />
vor. Ihr Mitstreiter Philipp Scholz von der FH Westküste<br />
hatte die „Regelung e<strong>in</strong>er wiederzündbaren kryogenen<br />
Oberstufe zur Unterdrückung des Treibstoffschwappens<br />
wärend ausgewählter Manöver“ untersucht.<br />
Die AALE-Fachkonferenz, die <strong>in</strong> diesem Jahr am 3. und<br />
4. Mai <strong>in</strong> den Räumen der Fachhochschule Aachen stattfand,<br />
konnte 170 Teilnehmer verzeichnen. In den rund 40<br />
Vorträgen wurde die Brücke zwischen Industrie und Hochschule<br />
geschlagen und über <strong>in</strong>teressante Kooperationen<br />
zwischen Instituten und Wirtschaft <strong>in</strong>formiert. E<strong>in</strong>e Ausstellung<br />
der Industriepartner zeigte Aachener Fachhochschülern,<br />
wo ihr Know-how <strong>in</strong> der Praxis gefragt ist.<br />
Die AALE-Fachkonferenz f<strong>in</strong>det im kommenden Jahr<br />
<strong>in</strong> Stralsund statt.<br />
FH Aachen,<br />
Fachbereich Elektrotechnik und Informationstechnik,<br />
Eupener Straße 70,<br />
D-52066 Aachen,<br />
Tel. +49 (0) 241 600 95 21 61,<br />
Internet: www.fh-aachen.de/aale2012<br />
10<br />
Studie: Informationssicherheit <strong>in</strong> europäischen<br />
Unternehmen „furchterregend schlecht“<br />
Die Unternehmensberatung Price Waterhouse Coopers<br />
(PwC) attestiert mittelständischen Unternehmen <strong>in</strong><br />
Europa e<strong>in</strong>en „fahrlässigen“ Umgang mit der Informationssicherheit.<br />
Zu diesem Ergebnis kommen PwC und<br />
der Datensicherheitsspezialist Iron Mounta<strong>in</strong> <strong>in</strong> e<strong>in</strong>er<br />
geme<strong>in</strong>samen Studie. Die Befragung hatte <strong>in</strong> sechs europäischen<br />
Ländern <strong>in</strong>sgesamt 600 mittelständische Unternehmen<br />
mit 250 bis 2500 Mitarbeitern unter die Lupe<br />
genommen. Vier Kernbereiche wurden untersucht: Strategie<br />
(etwa Informationsrisikostrategie), Mitarbeiter (Wie<br />
gehen diese mit dem Internet und Social Media um?),<br />
Kommunikation (Gibt es e<strong>in</strong>e Leitl<strong>in</strong>ie zum Umgang mit<br />
Dateien?) und Sicherheit (Datenklassifizierung).<br />
Die erzielten Ergebnisse waren laut William Rim<strong>in</strong>gton,<br />
Studienverantwortlicher von PwC, „furchterregend<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012<br />
schlecht“. Nur 1 % der Unternehmen erkannte, dass Informationssicherheit<br />
e<strong>in</strong> unternehmensweites Thema ist,<br />
60 % s<strong>in</strong>d nicht sicher, ob ihre Mitarbeiter über geeignete<br />
Werkzeuge für die Datensicherheit verfügen. Nur 13 %<br />
der Unternehmen me<strong>in</strong>ten, dass Informationssicherheit<br />
Angelegenheit des Vorstands se<strong>in</strong> sollte. Dagegen sieht<br />
ungefähr e<strong>in</strong> Drittel (35 %) die Zuständigkeit für Informationssicherheit<br />
bei der IT-Abteilung.<br />
„Die meisten mittelständischen Unternehmen agieren,<br />
sowohl was ihre eigenen als auch die Daten ihrer Kunden<br />
angeht, fahrlässig", so Rim<strong>in</strong>gton.<br />
Price waterhouse Coopers AG,<br />
Friedrich-Ebert-Anlage 35-37, D-60327 Frankfurt am Ma<strong>in</strong>,<br />
Tel. +49 (0) 69 958 50, Internet: www.pwc.de
Ch<strong>in</strong>esische Produktpiraterie im<br />
Masch<strong>in</strong>enbau 2011 erstmals rückläufig<br />
E<strong>in</strong>en „Verfall der Sitten“, beklagte Hannes Hesse, Hauptgeschäftsführer<br />
des VDMA (Verband Deutscher Masch<strong>in</strong>en<br />
und Anlagenbau), im Umfeld der Hannover-Messe.<br />
Laut e<strong>in</strong>er vom VDMA durchgeführten Befragung s<strong>in</strong>d<br />
<strong>in</strong> 400 Unternehmen mehr als zwei Drittel der Masch<strong>in</strong>enund<br />
Anlagenbauer von Produktpiraterie betroffen. Dies<br />
betreffe Hersteller von Textil-, Kunststoff- und Gummima-<br />
VDMA-Branche:<br />
Der deutsche<br />
Masch<strong>in</strong>enbau<br />
rechnet mit e<strong>in</strong>er<br />
schwarzen Null beim<br />
diesjährigen Umsatz.<br />
Bild: VDMA/Dornbracht<br />
sch<strong>in</strong>en am stärksten. Laut der Studie erlitt die deutsche<br />
Masch<strong>in</strong>enbau<strong>in</strong>dustrie im vergangenen Jahr dadurch<br />
e<strong>in</strong>en Umsatzverlust von 7,9 Milliarden Euro, rund 24 Prozent<br />
mehr als im Vorjahr.<br />
Gegenmaßnahmen lassen derweil auf sich warten. Rund<br />
44 Prozent der betroffenen Firmen gaben an, ke<strong>in</strong>e Maßnahmen<br />
gegen Plagiate unternommen zu haben. Ursprungsland<br />
der gefälschten Produkte ist <strong>in</strong> drei Vierteln<br />
aller Fälle Ch<strong>in</strong>a. Allerd<strong>in</strong>gs war der Anteil der ch<strong>in</strong>esischen<br />
Plagiate 2011 erstmals rückläufig. VDMA-Hauptgeschäftsführer<br />
Hesse gab e<strong>in</strong>e Prognose zum Wachstum <strong>in</strong><br />
der deutschen Masch<strong>in</strong>enbau<strong>in</strong>dustrie für 2012 bekannt.<br />
„Die Auftragsentwicklung der letzten Monate bestätigt uns<br />
<strong>in</strong> der E<strong>in</strong>schätzung, dass die Produktion nach dem ersten<br />
Halbjahr das Vorjahresniveau erreichen kann“, so Hesse.<br />
VDMA (Verband Deutscher Masch<strong>in</strong>enund<br />
Anlagenbau e.V.),<br />
Lyoner Strasse 18, D-60528 Frankfurt/Ma<strong>in</strong>,<br />
Tel. +49 (0) 69 660 30, Internet: www.vdma.org<br />
Ingenieurbranchen erwirtschafteten 2011 rund<br />
45 Prozent aller deutschen Exporte<strong>in</strong>nahmen<br />
E<strong>in</strong>e aktuelle Studie des Instituts der deutschen Wirtschaft<br />
Köln (IW) <strong>in</strong> Kooperation mit dem Vere<strong>in</strong> Deutscher<br />
Ingenieure (VDI) hat ergeben, dass die Ingenieurbranchen<br />
die Zugpferde der deutschen Wirtschaft s<strong>in</strong>d. Die fünf<br />
Branchen mit den höchsten Ingenieuranteilen (technischer<br />
Service sowie Dienstleistungen <strong>in</strong> der Forschung und Entwicklung,<br />
Elektro<strong>in</strong>dustrie, Masch<strong>in</strong>enbau, Fahrzeugbau<br />
und EDV/Telekommunikation) <strong>in</strong>vestieren geme<strong>in</strong>sam<br />
rund 73 Milliarden Euro, um Innovationen hervorzubr<strong>in</strong>-<br />
gen. In 2011 erwirtschafteten diese Industrien 562 Milliarden<br />
Euro. Das s<strong>in</strong>d rund 45 Prozent aller deutschen Exporte<strong>in</strong>nahmen<br />
aus dem Waren- und Dienstleistungshandel.<br />
Zudem erzielten diese Branchen e<strong>in</strong>en Auslandshandelsüberschuss<br />
von 223 Milliarden Euro.<br />
Institut der deutschen Wirtschaft Köln,<br />
Konrad-Adenauer-Ufer 21, D-50668 Köln,<br />
Tel. +49 (0) 221 498 11, Internet: www.iwkoeln.de<br />
Zukünftige Architekturen von Automatisierungssystemen<br />
In Ausgabe 12/2012 der <strong>atp</strong> <strong>edition</strong><br />
diskutiert das Magaz<strong>in</strong> zukünftige Architekturen<br />
von Automatisierungssystemen. Aktuelle<br />
Entwicklungen der Informations- und<br />
Kommunikationstechnologien wie Virtualisierung,<br />
Grid Comput<strong>in</strong>g, vernetzte Systeme<br />
und semantische Technologien treffen auf<br />
Anforderungen an funktionale Sicherheit,<br />
Anlagensicherheit und Informationssicherheit<br />
und an die optimale bereichsübergreifende<br />
Unterstützung der Bedienmannschaften.<br />
E<strong>in</strong>e realistische Abschätzung der Eng<strong>in</strong>eer<strong>in</strong>g-Aufwände<br />
und Lebenszykluskosten<br />
ist dabei zw<strong>in</strong>gend. Wir bitten Sie, bis<br />
zum 1. August zu diesem Themenschwerpunkt<br />
e<strong>in</strong>en gemäß <strong>atp</strong>-Autorenrichtl<strong>in</strong>ien<br />
ausgearbeiteten Hauptbeitrag per E-Mail an<br />
urbas@oiv.de e<strong>in</strong>zureichen.<br />
<strong>atp</strong> <strong>edition</strong> ist die hochwertige Monatspublikation<br />
für Fach- und Führungskräfte<br />
der Automatisierung. In den Hauptbeiträgen<br />
werden Themen mit hohem wissenschaftlichem<br />
und technischem Anspruch<br />
und vergleichsweise abstrakt dargestellt.<br />
Im Journalteil schlägt <strong>atp</strong> <strong>edition</strong> die Brücke<br />
zur Praxis. Es werden Erfahrungen von Anwendern<br />
mit neuen Technologien, Prozessen<br />
oder Produkten beschrieben. Alle Beiträge<br />
begutachtet e<strong>in</strong> Fachgremium. Sollten<br />
Sie sich aktiv an dem Begutachtungsprozess<br />
beteiligen wollen, bitten wir um Rückmeldung.<br />
Für weitere Fragen stehen wir<br />
Ihnen gerne zur Verfügung.<br />
Redaktion <strong>atp</strong><br />
Leon Urbas, Anne Hütter<br />
Call for<br />
Aufruf zur Beitragse<strong>in</strong>reichung<br />
Thema: Zukünftige Architekturen von<br />
Automatisierungssystemen<br />
Kontakt: urbas@oiv.de<br />
Term<strong>in</strong>: 1. August 2012<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012<br />
11
anche<br />
Offenes Safety-Profil ermöglicht e<strong>in</strong>e fabrikweite<br />
Sicherheitsarchitektur <strong>in</strong> heterogenen Anlagen<br />
Datenaustausch über Gateways – standardisierte Prozessdaten vere<strong>in</strong>fachen die Konfiguration<br />
Konventionelle Sicherheitstechnik im Vergleich zu modernen<br />
Masch<strong>in</strong>enkonzepten mit <strong>in</strong>tegrierter Sicherheitsfunktion.<br />
E<strong>in</strong> offenes Schnittstellenprofil<br />
ermöglicht e<strong>in</strong>en standardisierten Datenaustausch<br />
zwischen den Masch<strong>in</strong>enmodulen.<br />
Für den sicherheitsrelevanten Datenaustausch zwischen<br />
Anlagenteilen e<strong>in</strong>er heterogenen Sicherheits-<br />
Architektur standardisiert die EtherCAT Technology<br />
Group (ETG) e<strong>in</strong> offenes Safety-Profil. Das Profil berücksichtigt,<br />
dass <strong>in</strong>nerhalb der Anlagenteile möglicherweise<br />
unterschiedliche Bussysteme und damit deren native<br />
Safety-Protokolle zum E<strong>in</strong>satz kommen. Der sicherheitsrelevante<br />
Datenaustausch zwischen den Anlagenteilen<br />
erfolgt über Gateway-Funktionen, wobei die Prozessdaten<br />
durch das Safety-Profil standardisiert s<strong>in</strong>d, um die<br />
Konfiguration zu vere<strong>in</strong>fachen.<br />
unterschiedliche Kommunikationstechnologien<br />
Die Konstruktion der Produktionsanlage ist abgeschlossen<br />
und Herr Fastsicher stellt zufrieden fest: „Die funktionale<br />
Kopplung der fünf Masch<strong>in</strong>enmodule verschiedener Hersteller<br />
haben wir durch e<strong>in</strong> Ethernet-Netzwerk auf übergeordneter<br />
Leitebene realisiert. Und da jedes Masch<strong>in</strong>enmodul<br />
die spezifischen Sicherheitsfunktionen bereits <strong>in</strong>tegriert<br />
hat, konnten wir auch die Anforderungen für den<br />
sicheren Betrieb erfüllen.“ Se<strong>in</strong> Kollege Herr Ganzsicher<br />
ist noch skeptisch und fragt: „S<strong>in</strong>d auf der Leitebene und<br />
zwischen den Masch<strong>in</strong>enteilen auch die übergeordneten<br />
Sicherheitsfunktionen realisiert? Wenn etwa im Modul A<br />
e<strong>in</strong> Not-Aus-Taster aktiviert wird, muss auch das nachfolgende<br />
Masch<strong>in</strong>enmodul B <strong>in</strong> e<strong>in</strong>en sicheren Zustand gesetzt<br />
werden.“ Herr Fastsicher überlegt: „Da die Masch<strong>in</strong>enmodule<br />
<strong>in</strong>tern unterschiedliche Kommunikationstechnologien<br />
nutzen, ist e<strong>in</strong> Austausch von Sicherheitsfunktionen<br />
nicht so e<strong>in</strong>fach. Wie soll ich das machen?“<br />
HETEROGENE ANLAGENSTRUKTUR<br />
Produktionsanlagen bestehen häufig aus mehreren Prozessschritten,<br />
die jeweils von separaten Masch<strong>in</strong>enmodulen<br />
ausgeführt werden. Die Interaktion der Masch<strong>in</strong>enmodule<br />
– geführt durch e<strong>in</strong>e Leitsteuerung, die<br />
beispielsweise vorgibt, was gefertigt werden soll – wird<br />
heute über e<strong>in</strong>e anlagenweite Vernetzung realisiert. Die<br />
Masch<strong>in</strong>enmodule selber können dabei von unterschiedlichen<br />
Anbietern bereitgestellt werden und nutzen<br />
unter Umständen <strong>in</strong>tern unterschiedliche Kommunikationssysteme.<br />
Wir bezeichnen dies als e<strong>in</strong>e heterogene<br />
Anlagenstruktur.<br />
Für die sicherheitsrelevante Kopplung der Geräte e<strong>in</strong>er<br />
Masch<strong>in</strong>e ist e<strong>in</strong> klarer Trend zur Nutzung von Kommunikationssystemen<br />
mit sicherheitsrelevanter Übertragung<br />
zu erkennen. Intelligente Sicherheitssensoren wie<br />
Laserscanner oder kamerabasierte Überwachungssysteme<br />
sowie Antriebe mit <strong>in</strong>tegrierten sicheren Überwachungs-<br />
und Abschaltfunktionen können über e<strong>in</strong>en<br />
Sicherheitsbus an e<strong>in</strong>e sichere Logik angeschlossen werden.<br />
Hierdurch ergeben sich wesentliche Vere<strong>in</strong>fachungen<br />
<strong>in</strong> der Masch<strong>in</strong>enarchitektur und dadurch kurze<br />
Reaktionszeiten sowie e<strong>in</strong>e kanalspezifische Diagnose<br />
auch für die Sicherheitsfunktionen.<br />
verschiedene SICHERHEITSPROTOKOLLE<br />
Die Kommunikation auf der Feldebene verwendet immer<br />
häufiger Echtzeit-Kommunikationssysteme für den Austausch<br />
von E/A-Daten der Sensoren und Aktoren. Verschiedene<br />
Ethernet-basierte Technologien haben sich<br />
12<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
TEchnoLogIE<br />
schaFFT<br />
ForTschrITT<br />
DarT FELDbus<br />
E<strong>in</strong>e Produktionsanlage<br />
setzt sich aus mehreren<br />
Masch<strong>in</strong>enmodulen zusammen.<br />
hierfür im Markt etabliert: EtherCAT, Prof<strong>in</strong>et, Ethernet/<br />
IP und weitere. Auf der Ebene der Leitrechner oder der<br />
Masch<strong>in</strong>envernetzung werden e<strong>in</strong>zelne Masch<strong>in</strong>enmodule<br />
zu e<strong>in</strong>er Produktionsanlage zusammengeführt. Die<br />
Kopplung der Masch<strong>in</strong>enteile erfolgt <strong>in</strong> der Regel über<br />
e<strong>in</strong>e übergeordnete Master-Master-Kommunikation; die<br />
Masch<strong>in</strong>ensteuerungen arbeiten als Gateway zwischen<br />
dem <strong>in</strong>ternen Kommunikationssystem und dem übergeordneten<br />
Leitsystem.<br />
Für die sicherheitsrelevante Kopplung der Masch<strong>in</strong>enteile<br />
gelten ähnliche Randbed<strong>in</strong>gungen: Die etablierten<br />
Bussysteme haben aus historischen und technologischen<br />
Gründen unterschiedliche Safety-Protokolle def<strong>in</strong>iert.<br />
Unter Berücksichtigung der Nutzung dieser nativen<br />
Safety-Protokolle <strong>in</strong>nerhalb der Masch<strong>in</strong>enmodule wird<br />
für die anlagenweite Vernetzung der Module e<strong>in</strong>e sichere<br />
Gateway-Funktion benötigt.<br />
SAFETY-GATEWAY ALS EFFIZIENTE LÖSUNG<br />
In diesem Zusammenhang wird häufig auch der Ansatz<br />
diskutiert, durch e<strong>in</strong> allgeme<strong>in</strong>es busunabhängiges<br />
Safety-Protokoll anlagenweite Sicherheitsfunktionen<br />
schließen zu können. Die Zertifizierung e<strong>in</strong>es busunabhängigen<br />
Safety-Protokolls ist allerd<strong>in</strong>gs für den Gerätehersteller<br />
technisch schwierig und br<strong>in</strong>gt e<strong>in</strong>ige wesentliche<br />
E<strong>in</strong>schränkungen mit sich: E<strong>in</strong> Gerätehersteller<br />
wird vorrangig das native Safety-Protokoll für die unterstützte<br />
Busschnittstelle implementieren, um das Gerät<br />
<strong>in</strong> diesem Markt erfolgreich platzieren zu können.<br />
E<strong>in</strong> zusätzliches generisches Protokoll würde daher den<br />
Eigensicherheit ohne Leistungs-<br />
grenzen: Die nächste Innovation<br />
von Pepperl+Fuchs<br />
n High Power Trunk + Eigensicherheit<br />
erstmals komb<strong>in</strong>iert <strong>in</strong> e<strong>in</strong>em<br />
<strong>in</strong>novativen System für maximale<br />
Sicherheit<br />
n Hohe Leistung ermöglicht größere<br />
Segmente mit langen Kabelwegen<br />
n Hohe Betriebssicherheit und<br />
Verfügbarkeit garantieren e<strong>in</strong><br />
Höchstmaß an Effizienz<br />
Erfahren Sie mehr unter:<br />
www.dart-feldbus.de<br />
halle 11.1 · stand a41<br />
Pepperl+Fuchs<br />
Vertrieb Deutschland GmbH<br />
Lilienthalstraße 200 · 68307 Mannheim<br />
Tel. +49 621 776-2222 · Fax +49 621 776-272222<br />
pa-<strong>in</strong>fo@de.pepperl-fuchs.com<br />
www.pepperl-fuchs.de
anche<br />
Aufwand und die Kosten für e<strong>in</strong> Gerät erheblich erhöhen.<br />
Da dies nicht von allen Geräteherstellern unterstützt<br />
wird, reduziert sich die Auswahl der Geräte für<br />
den Anwender.<br />
E<strong>in</strong>e Safety-Gateway-Funktion braucht aber nur e<strong>in</strong>mal<br />
<strong>in</strong> e<strong>in</strong>em Masch<strong>in</strong>enmodul zur Verfügung gestellt<br />
werden. Sie muss nicht e<strong>in</strong>mal als eigenständiges Gerät<br />
ausgeführt werden, sondern kann auch als Teilfunktion<br />
der Sicherheitssteuerung implementiert se<strong>in</strong>. Das funktioniert<br />
auch heute schon: Entsprechende Sicherheitssteuerungen,<br />
die mehrere Safety-Protokolle unterstützen,<br />
s<strong>in</strong>d im Markt verfügbar.<br />
MODULINTERNE SICHERHEITSFUNKTIONEN<br />
Die Sicherheitsfunktionen der Masch<strong>in</strong>enmodule werden<br />
<strong>in</strong> der Regel <strong>in</strong>nerhalb des Moduls gelöst. Muss zum Beispiel<br />
durch das Öffnen e<strong>in</strong>er Schutzklappe e<strong>in</strong>e Stoppfunktion<br />
ausgelöst werden, dann werden die gefahrbr<strong>in</strong>genden<br />
Bewegungen <strong>in</strong>nerhalb des Moduls sicher stillgesetzt<br />
(etwa durch Stillsetzen des Sägeblattes). Die Sicherheitssteuerung<br />
verarbeitet die E<strong>in</strong>gangs<strong>in</strong>formationen der<br />
Sensoren und bestimmt die sicheren Reaktionen an den<br />
Ausgängen beziehungsweise Aktoren.<br />
Hierfür s<strong>in</strong>d <strong>in</strong>nerhalb des Masch<strong>in</strong>enmoduls detaillierte<br />
Informationen über den Status und die Funktionsfähigkeit<br />
der beteiligten Komponenten notwendig.<br />
Wird e<strong>in</strong> defekter Sensor entdeckt, etwa über e<strong>in</strong>e<br />
Querschluss-Erkennung, dann wird für diesen Sensor<br />
e<strong>in</strong>e spezifische sichere Funktion aktiviert, und der<br />
Anwender kann gezielt auf das fehlerhafte Gerät h<strong>in</strong>gewiesen<br />
werden.<br />
Anlagenweit müssen zudem zwischen den Masch<strong>in</strong>enmodulen<br />
Sicherheits<strong>in</strong>formationen ausgetauscht werden,<br />
um beispielsweise übergreifende Not-Aus-Funktionen<br />
zu realisieren oder um Vorgänger- und Nachfolge-<br />
Module über die Aktivierung von Stillstandfunktionen<br />
zu <strong>in</strong>formieren. In e<strong>in</strong>er Gefahrensituation ist es unerheblich,<br />
ob der Not-Aus-Taster an dem Masch<strong>in</strong>enmodul<br />
angebracht ist, <strong>in</strong> dem die Gefahr erkannt wird, oder<br />
nicht – wichtig ist e<strong>in</strong>e schnelle Reaktion.<br />
Für das Be- und Entladen e<strong>in</strong>er Station ist es zudem<br />
notwendig, sicherheitsrelevante Informationen zum Vorgänger-<br />
beziehungsweise Nachfolgemodul auszutauschen.<br />
E<strong>in</strong> Materialaustausch darf beispielsweise nur<br />
freigegeben werden, wenn sich ke<strong>in</strong> Anwender <strong>in</strong> der<br />
Gefahrenzone bef<strong>in</strong>det.<br />
VEREINHEITLICHUNG AUF PROFILEBENE<br />
Auf Ebene der anlagenweiten Masch<strong>in</strong>enkommunikation<br />
ist es daher nicht wichtig, kanalspezifische Informationen<br />
der e<strong>in</strong>zelnen Sensoren und Aktoren auszutauschen; vielmehr<br />
s<strong>in</strong>d der sicherheitsrelevante Gesamtstatus e<strong>in</strong>es<br />
Masch<strong>in</strong>enmoduls und die zentrale Aktivierung von Sicherheitsfunktionen<br />
von Bedeutung. Die Schnittstelle zu<br />
jedem Masch<strong>in</strong>enmodul erfolgt also <strong>in</strong> der Regel durch<br />
vorverarbeitete, gefilterte Informationen; sie ist damit<br />
schlank und kann über e<strong>in</strong> offenes Schnittstellenprofil<br />
standardisiert werden.<br />
Innerhalb der EtherCAT Technology Group (ETG) wird<br />
für die Standardisierung der Daten zwischen den Masch<strong>in</strong>enmodulen<br />
e<strong>in</strong>e Profilspezifikation erarbeitet, die<br />
oberhalb der Safety-Protokolle e<strong>in</strong> Applikationsprofil<br />
def<strong>in</strong>iert. Es handelt sich hierbei um die komprimierten<br />
und vorverarbeiteten sicheren Prozessdaten, die e<strong>in</strong> Masch<strong>in</strong>enmodul<br />
nach außen liefert, beziehungsweise von<br />
außen bekommt.<br />
Wenn sich zwei Masch<strong>in</strong>en mite<strong>in</strong>ander unterhalten,<br />
ist es für den Nachbarn nicht wichtig, ob sich dieser oder<br />
jener Antrieb <strong>in</strong> e<strong>in</strong>em sicheren Zustand bef<strong>in</strong>det oder<br />
ob e<strong>in</strong> Not-Aus-Schalter gedrückt wurde. Was aber tatsächlich<br />
<strong>in</strong>teressiert, ist – um es vere<strong>in</strong>facht zu sagen –<br />
die Information, ob die Nachbaranlage e<strong>in</strong> Sicherheitsproblem<br />
hat, und wenn dem tatsächlich so ist, ob dann<br />
die eigenen Anlagenteile weiter produzieren dürfen.<br />
Inhalte des Schnittstellenprofils s<strong>in</strong>d beispielsweise<br />
der allgeme<strong>in</strong>e sicherheitsrelevante Masch<strong>in</strong>enzustand<br />
e<strong>in</strong>es Moduls, die Information, ob das Modul sicher<br />
gestoppt wurde oder auch e<strong>in</strong>e übergeordnete Not-Aus-<br />
Anforderung. F<strong>in</strong>det man diese Informationen <strong>in</strong> Form<br />
e<strong>in</strong>es Steuer- beziehungsweise Statuswortes an fester<br />
Stelle auf der Schnittstelle wieder, dann ergeben sich<br />
erhebliche Vorteile durch vordef<strong>in</strong>ierte Funktionsbauste<strong>in</strong>e<br />
und durch wiederverwendbare Diagnosemöglichkeiten.<br />
Deshalb wird e<strong>in</strong>e Vere<strong>in</strong>heitlichung auf Profilebene<br />
erarbeitet. Somit muss nur e<strong>in</strong> e<strong>in</strong>ziges Gerät <strong>in</strong> den Masch<strong>in</strong>enmodulen<br />
die „Fremdsprache“ zu den anderen<br />
Anlagenteilen beherrschen; bei den übrigen kann die<br />
Zweisprachigkeit entfallen. Das spart Kosten und erhöht<br />
die Flexibilität!<br />
Für Herrn Fastsicher s<strong>in</strong>d damit die übergeordneten<br />
Sicherheitsfunktionen für se<strong>in</strong>e Anlage genauso e<strong>in</strong>fach<br />
zu lösen, wie er es durch die modernen Sicherheitskonzepte<br />
<strong>in</strong>nerhalb se<strong>in</strong>er Masch<strong>in</strong>enteile gewohnt ist.<br />
Autor<br />
Dr.-Ing. Guido Beckmann<br />
arbeitet seit über 15 Jahren<br />
an der Entwicklung von<br />
Lösungen für die <strong>in</strong>dustrielle<br />
Automation. Se<strong>in</strong> besonderes<br />
Interesse gilt dabei der<br />
Kommunikationstechnik.<br />
Zudem ist er Experte auf<br />
dem Gebiet der funktionalen<br />
Sicherheit. Beide Bereiche führt er <strong>in</strong> se<strong>in</strong>er<br />
Arbeit <strong>in</strong> der EtherCAT Technology Group<br />
zusammen.<br />
EtherCAT Technology Group,<br />
Ostenstrasse 196, D-90482 Nürnberg,<br />
Tel. +49 (0) 911 54 05 60,<br />
E-Mail: g.beckmann@ethercat.org<br />
14<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
E20001-F160-M117<br />
Gew<strong>in</strong>ne optimiert man nicht über<br />
Nacht. Aber Tag für Tag.<br />
Realisieren auch Sie das Potenzial energieeffizienter Lösungen<br />
Knapper werdende Ressourcen, steigende Energiekosten<br />
sowie immer strengere Umweltauflagen verschärfen den<br />
Druck auf die Industrie, effizienter als bisher mit Energie<br />
umzugehen. Und das Potenzial ist riesig. Bis zu 70 % der<br />
e<strong>in</strong>gesetzten Energie <strong>in</strong> Industriebetrieben werden alle<strong>in</strong><br />
durch elektrische Antriebe und Motoren verbraucht.<br />
Ob moderne Energiesparmotoren oder <strong>in</strong>novative Software-Anwendungen<br />
– wir bieten Ihnen e<strong>in</strong> umfangreiches<br />
Portfolio an energieeffizienten Produkten und Lösungen<br />
sowie umfassendes Energy Consult<strong>in</strong>g. Damit erzielen<br />
Sie auf Dauer Effizienzgew<strong>in</strong>ne, die Sie immer wieder<br />
machen. Tag für Tag.<br />
siemens.de/energieeffizienz
Schwerpunkt | achema<br />
Optimale Assistenz für den Anlagenfahrer erlaubt<br />
maximale Kostenreduzierung für die Produktion<br />
Energieeffizienzmanagement-Systeme müssen die wichtigsten Informationen übersichtlich anzeigen<br />
Zeit<br />
Anlagennahes<br />
Energieeffizienzmanagement<br />
Prozessoptimierung<br />
Zustandsoptimierung<br />
Do<br />
Check<br />
Geeignete<br />
Prozessdaten<br />
Geeignete<br />
Prozessauslegung<br />
Optimale<br />
Prozessführung<br />
Zustandserfassung<br />
Zustandserhaltung<br />
Infrastrukturoptimierung<br />
Plan<br />
Act<br />
Energiee<strong>in</strong>satz<br />
optimieren<br />
Regelung<br />
optimieren<br />
Energieoptimierte<br />
Fahrweise<br />
Energieflüsse<br />
erfassen<br />
Apparate<br />
überwachen<br />
Basisregelung<br />
optimieren<br />
. 4<br />
Effizienzmanagement ist<br />
per se e<strong>in</strong> iterativer Prozess,<br />
entsprechend e<strong>in</strong>em „plan –<br />
do – check – act“-Zyklus.<br />
Kont<strong>in</strong>uierliche Wiederholung<br />
macht aus diesem Kreisprozess<br />
e<strong>in</strong>e Verbesserungsspirale.<br />
Energierückgew<strong>in</strong>nung<br />
Komponenten<br />
modernisieren<br />
Während der Betriebsphase<br />
des Anlagen-Lebenszyklus muss<br />
das Energieeffizienzmanagement<br />
zahlreiche Anforderungen erfüllen.<br />
Bedarfsgerechte<br />
Fahrweise<br />
Abb. 5<br />
Leckagen/Verluste<br />
erkennen<br />
Brenn-/Rohstoffe<br />
überwachen<br />
Produktionsablauf<br />
optimieren<br />
Apparatee<strong>in</strong>satz<br />
optimieren<br />
Energiee<strong>in</strong>trag (Elektrizität, Wasser, Dampf etc.)<br />
Energieaustrag<br />
durch Produkt<br />
Vertragskonditionen, Produkt-,<br />
Rohstoff- und Energiepreise<br />
Produktions- und Wartungsplanung,<br />
Lagerkapazitäten<br />
ERP-Ebene<br />
MES-Ebene<br />
Energieeffizienz-<br />
Management-<br />
System<br />
Energienutzung, Prozess- und<br />
Anlagenkonfiguration<br />
PLS- bzw.<br />
Feld-Ebene<br />
Prozessgrafik<br />
Um die Bedienbarkeit zu optimieren, ist es hilfreich, dem<br />
Anlagenfahrer e<strong>in</strong>e leicht verständliche Übersicht über die<br />
Energieströme zu geben. Dazu s<strong>in</strong>d zusätzliche Indikatoren<br />
erforderlich, ähnlich etwa den Pfeilen e<strong>in</strong>es Sankey-Diagramms.<br />
Handlungsempfehlungen zur Zielerreichung<br />
viele Parameter e<strong>in</strong>es Energieeffizienzmanagement-Systems<br />
schwanken tagesaktuell<br />
– etwa Energiepreise –, daher ist e<strong>in</strong>e E<strong>in</strong>b<strong>in</strong>dung<br />
<strong>in</strong> die MES- und ERP-Ebene s<strong>in</strong>nvoll.<br />
E<strong>in</strong> Energieeffizienzmanagement-System ist ke<strong>in</strong> Autopilot,<br />
sondern e<strong>in</strong> Assistenzsystem. Damit es se<strong>in</strong>e<br />
Aufgaben erfüllen kann, bedarf es e<strong>in</strong>er zuverlässigen,<br />
aussagekräftigen Datenbasis, e<strong>in</strong>er strukturierten, priorisierenden<br />
Interpretation dieser Daten und vor allem<br />
e<strong>in</strong>er leicht zu erfassenden, übersichtlichen Visualisierung<br />
der Ergebnisse sowie e<strong>in</strong>er oder mehrerer alternativer<br />
Handlungsempfehlungen. S<strong>in</strong>d diese Bed<strong>in</strong>gungen<br />
erfüllt, kann e<strong>in</strong> Energieeffizienzmanagement-System<br />
bei m<strong>in</strong>imaler Mehrbelastung der Anlagenfahrer zu e<strong>in</strong>er<br />
maximalen Energieeffizienzsteigerung und Energiekostenreduktion<br />
führen.<br />
Fahrerassistenzsysteme unterstützen bereits heute den<br />
Autofahrer auf vielfältige Weise. Weil die Bedienung von<br />
Fahrzeugen und das Verkehrsgeschehen immer komplexer<br />
werden, weil immer mehr Daten erfasst, verarbeitet<br />
und analysiert werden müssen, gew<strong>in</strong>nt dabei die übersichtliche,<br />
leicht verständliche Visualisierung kont<strong>in</strong>uierlich<br />
an Bedeutung. Das ist bei e<strong>in</strong>em Anlagenfahrer<br />
<strong>in</strong> e<strong>in</strong>em prozesstechnischen Betrieb nicht anders und<br />
gilt erst recht, wenn zusätzliche Aufgaben auf ihn zukommen:<br />
Energieeffizienzmanagement (EEM) ist e<strong>in</strong>e<br />
solche Aufgabe.<br />
KOSTEN SENKEN – KLIMASCHUTZ FÖRDERN<br />
Energiemanagementsysteme nach DIN EN 16001 beziehungsweise<br />
<strong>in</strong>zwischen DIN EN ISO 50001:2011 haben<br />
bereits verbreitet E<strong>in</strong>zug <strong>in</strong> die Betriebe und Messwarten<br />
gehalten. Dieser Trend wird sich verstärken, weil ihre<br />
E<strong>in</strong>führung bald Voraussetzung se<strong>in</strong> wird, um staatliche<br />
Vergünstigungen zu nutzen, die zu erheblich niedrigeren<br />
Energiebeschaffungskosten führen werden.<br />
16<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
Wir verändern.<br />
Neben diesem regulatorischen Anreiz bietet effizientes<br />
Energiemanagement jedoch viel mehr: Es hilft,<br />
zum Erreichen der Klimaschutzziele beizutragen,<br />
e<strong>in</strong>e Aufgabe, die über Corporate Social Responsibility<br />
(CSR) weit h<strong>in</strong>ausgeht. Zudem bedeutet Energieersparnis<br />
automatisch auch Kostensenkung, und<br />
zwar umso erheblicher, je weiter die Energiepreise<br />
steigen werden.<br />
Effizienzmanagement <strong>in</strong> diesem S<strong>in</strong>ne ist per se e<strong>in</strong><br />
iterativer Prozess, entsprechend e<strong>in</strong>em „plan – do – check<br />
– act“-Zyklus. Kont<strong>in</strong>uierliche Wiederholung macht aus<br />
diesem Kreisprozess e<strong>in</strong>e Verbesserungsspirale.<br />
KLARE HANDLUNGSEMPFEHLUNGEN<br />
Anlagennahe E<strong>in</strong>sparpotenziale <strong>in</strong> der Prozess<strong>in</strong>dustrie<br />
zu identifizieren und zu realisieren erfordert:<br />
e<strong>in</strong>e ausreichende und qualifizierte Datenbasis,<br />
die <strong>in</strong>telligente Analyse und Interpretation der<br />
Daten,<br />
übersichtliche Visualisierung der Ergebnisse,<br />
aussagekräftige, nachvollziehbare Handlungsempfehlungen.<br />
Diese Anforderungen gelten kont<strong>in</strong>uierlich während<br />
der Betriebsphase des Anlagen-Lebenszyklus. Punktuell<br />
spielen sie jedoch bereits bei Planung und Eng<strong>in</strong>eer<strong>in</strong>g<br />
e<strong>in</strong>e Rolle, denn hier werden die Weichen<br />
gestellt für Effizienz, aber auch für Handhabbarkeit<br />
und Akzeptanz des EEM.<br />
Gerade die Bedeutung der beiden letzten Punkte<br />
– Visualisierung und Interpretation – wird häufig<br />
unterschätzt, obwohl sie entscheidend zur Motivation<br />
des Bedienpersonals, damit zur betrieblichen<br />
Akzeptanz und zum praktischen Nutzen e<strong>in</strong>es EEM-<br />
Systems beitragen.<br />
In prozesstechnischen Anlagen mit durchschnittlichem<br />
bis hohem Automatisierungsgrad stehen heute<br />
bereits zahlreiche Messgrößen zur Verfügung, aus<br />
denen sich die energetische Performance von Apparaten<br />
oder Teilanlagen unmittelbar berechnen oder<br />
– gegebenenfalls modellgestützt – ableiten lässt. Dennoch<br />
gilt es bei der E<strong>in</strong>führung e<strong>in</strong>es EEM-Systems<br />
zu klären, ob die direkte Erfassung von Energieströmen,<br />
etwa durch Wärmemengenzähler oder kont<strong>in</strong>uierliche<br />
Brennwertbestimmungen von Energieträgern,<br />
exaktere Daten und damit auch zuverlässigere Interpretationen<br />
beziehungsweise Handlungsempfehlungen<br />
liefern kann.<br />
ALLE RELEVANTEN ENERGIESTRÖME ERFASSEN<br />
Zudem muss gesichert se<strong>in</strong>, dass alle kosten- und klimarelevanten<br />
Energieströme erfasst und bewertet werden.<br />
So erfordert etwa die E<strong>in</strong>satzoptimierung von<br />
Abgas-Wärmetauschern m<strong>in</strong>destens die Kenntnis der<br />
Volumenflüsse, deren zeitlicher Schwankungen und<br />
der Temperaturen aller Abgasströme.<br />
Durch Auswertung solcher Rohdaten gilt es, weitgehend<br />
automatisiert optimale Strategien für Energiee<strong>in</strong>satz<br />
und -nutzung abzuleiten. Diese müssen der Betriebsmannschaft<br />
<strong>in</strong> strukturierter Form vermittelt<br />
werden. Dabei ist es vorteilhaft, den Anlagenfahrer auf<br />
der ihm vertrauten Ebene der Prozessgrafik „abzuholen“<br />
und ihm e<strong>in</strong>e leicht verständliche Übersicht über<br />
die Energieströme zu geben. Dazu s<strong>in</strong>d zusätzliche<br />
Indikatoren erforderlich, ähnlich etwa den Pfeilen ei-<br />
Wir für Sie<br />
18. – 22.06.2012<br />
Frankfurt am Ma<strong>in</strong><br />
Halle 11.1 · Stand C75<br />
SAMSON AG · MESS- UND REGELTECHNIK<br />
Weismüllerstraße 3 · 60314 Frankfurt am Ma<strong>in</strong><br />
Telefon: 069 4009-0 · Fax: 069 4009-1507<br />
E-Mail: samson@samson.de · www.samson.de<br />
SAMSON GROUP · www.samsongroup.net<br />
A01121DE
Schwerpunkt | achema<br />
nes Sankey-Diagramms. Detail<strong>in</strong>formationen lassen sich<br />
ergänzend über kaskadierende Menüs anbieten. Intuitiv<br />
verständliche Farbschemata, übersichtliches Bildschirm-Layout<br />
und e<strong>in</strong>fache Symbole tragen dazu bei,<br />
dass wichtige Ergebnisse der Analyse rasch und richtig<br />
erfasst werden können. Gerade diesem Verständnisaspekt<br />
trägt das neue „Plant Energy Efficiency Management<br />
System“ (PEEMS) von Yokogawa explizit Rechnung.<br />
INFORMATIONEN MASSGESCHNEIDERT FILTERN<br />
Bei komplexen Anlagenstrukturen können rollenbasierte<br />
Ansichten dazu beitragen, den Anlagenfahrer nicht<br />
unnötig mit Informationen zu belasten. Wenn dieser<br />
zum Beispiel ausschließlich die Dampf- oder Drucklufterzeugung<br />
überwacht, braucht er nicht die Energiebilanzen<br />
aller Verbraucher im Netz zu kennen, sondern<br />
nur deren Bedarfe.<br />
E<strong>in</strong> EEM-System ist ke<strong>in</strong> Autopilot, der e<strong>in</strong>en Anlagenfahrer<br />
ersetzt. Das gilt schon deshalb, weil auch zahlreiche<br />
weitere Parameter, etwa Sicherheit, vorhandene<br />
Rohstoff- und geforderte Produktqualität oder erforderliche<br />
Produktivität beziehungsweise Produktionsleistung<br />
die Fahrweise entscheidend mitbestimmen. Es ist<br />
vielmehr e<strong>in</strong> Werkzeug zur Operator-Unterstützung.<br />
Se<strong>in</strong>e zentralen Funktionen bestehen dar<strong>in</strong>:<br />
aktuelle und energieoptimierte Fahrweise e<strong>in</strong>ander<br />
gegenüberzustellen,<br />
dem Anlagenfahrer zu vermitteln, wie groß der<br />
(energetische) Nutzen ist, den e<strong>in</strong>e Änderung der<br />
Fahrweise mit sich brächte,<br />
den Anlagenfahrer gegebenenfalls beim Wechsel<br />
vom aktuellen <strong>in</strong> den optimierten Betriebszustand<br />
zu unterstützen.<br />
Um den Nutzen des EEM-Systems e<strong>in</strong>zuschätzen, s<strong>in</strong>d<br />
die Antworten auf zwei Fragen entscheidend:<br />
Erlaubt die Lösung e<strong>in</strong>e zuverlässige Ermittlung und<br />
Bewertung der Möglichkeiten zur Energiekosten- beziehungsweise<br />
Emissionsreduktion? Und wird dem Anlagenfahrer<br />
die daraus abgeleitete Handlungsempfehlung<br />
so vermittelt, dass er rasch und zielführend darauf reagieren<br />
kann?<br />
PRIORISIERUNG IST ZWINGEND ERFORDERLICH<br />
Wesentliche Komponente jedes erfolgreichen EEM-Systems<br />
ist e<strong>in</strong> Priorisierungsalgorithmus, der die maßgeblichen<br />
Werthebel identifiziert. Diese E<strong>in</strong>stufung ist<br />
zw<strong>in</strong>gend erforderlich, damit sich die Betriebsmannschaft<br />
auf die energieoptimierte Fahrweise jener Anlagenkomponenten<br />
konzentrieren kann, die den größten<br />
Nutzen verspricht. Gerade <strong>in</strong> komplexen Betrieben mit<br />
vielen Hilfsaggregaten ist nur so e<strong>in</strong> Effizienzgew<strong>in</strong>n<br />
ohne unzumutbare Mehrbelastung des Betriebspersonals<br />
möglich. Nur wenn es gel<strong>in</strong>gt, den Blick des Anlagenfahrers<br />
auf die entscheidenden Komponenten zu<br />
lenken, wird ganzheitliches EEM von Verbundanlagen<br />
oder Standorten überhaupt möglich.<br />
Dabei kann es durchaus s<strong>in</strong>nvoll se<strong>in</strong>, dem Anlagenfahrer<br />
mehrere, h<strong>in</strong>sichtlich der Energiebilanz ähnliche<br />
Alternativen anzubieten. So mag zum Beispiel die Nutzung<br />
e<strong>in</strong>es bestimmten Wärmetauschers <strong>in</strong> e<strong>in</strong>er speziellen<br />
Betriebssituation energetisch ger<strong>in</strong>gfügig überlegen<br />
se<strong>in</strong>. Wenn diese Betriebsänderung aber zahlreiche Bediene<strong>in</strong>griffe<br />
erfordert und gegebenenfalls sogar die Prozessstabilität<br />
verm<strong>in</strong>dert, etwa <strong>in</strong>folge Wartungse<strong>in</strong>griff<br />
oder Komponententausch, dann sprechen betriebliche<br />
Gründe gegen die Änderung, solange die Energiee<strong>in</strong>sparungen<br />
nicht signifikant s<strong>in</strong>d. Es ist also wichtig, dem<br />
Anlagenfahrer zu verdeutlichen, wie groß das E<strong>in</strong>sparpotenzial<br />
ist, damit er Nutzen und Risiken abwägen kann.<br />
E<strong>in</strong> anderer Aspekt betrifft die Entwicklung der Anlage<br />
selbst über den Lebenszyklus h<strong>in</strong>weg. Mit zunehmender<br />
Größe und wachsender Komplexität des Betriebs<br />
muss auch das EEM mitwachsen können. Was im Extremfall<br />
mit e<strong>in</strong>em kle<strong>in</strong>en Recorder-basierten System<br />
beg<strong>in</strong>nt, mag sich dabei über das Stadium e<strong>in</strong>er Steuerung<br />
durch e<strong>in</strong>e E<strong>in</strong>zel-SPS bis zur E<strong>in</strong>führung e<strong>in</strong>es<br />
Prozessleitsystems entwickeln. Die Struktur des EEM-<br />
Prozesses und damit oft auch die entscheidenden Hebel<br />
für e<strong>in</strong>e energieoptimierte Fahrweise bleiben dabei erhalten,<br />
sodass es s<strong>in</strong>nvoll ist, dieses Wissen zu bewahren<br />
und fortzuschreiben.<br />
EINBINDUNG IN MES- UND ERP-EBENE<br />
Verfügbarkeit und Beschaffungskosten von Energien<br />
wie Elektrizität, Dampf oder Druckluft unterliegen gerade<br />
<strong>in</strong> Großanlagen ständigen Schwankungen, s<strong>in</strong>d<br />
aber zugleich entscheidende Rahmenparameter des<br />
EEM. Produktions- und Wartungsplanung, Absatz und<br />
Lagerkapazitäten bee<strong>in</strong>flussen die Produktivität. Dies<br />
macht e<strong>in</strong>e weitgehende vertikale Integration des EEM-<br />
Systems bis <strong>in</strong> die MES- und ERP-Ebene h<strong>in</strong>e<strong>in</strong> wünschenswert<br />
und nützlich. So könnten sich Handlungsempfehlungen<br />
des EEM stets an aktuellen Gegebenheiten<br />
im Unternehmen beziehungsweise am Standort<br />
orientieren. Verwirklicht ist e<strong>in</strong>e solche Integration<br />
bisher oft nur <strong>in</strong> Ansätzen.<br />
Autor<strong>in</strong><br />
M. Eng. Cathr<strong>in</strong> Janssen<br />
ist tätig im Industrial<br />
Automation Bus<strong>in</strong>ess<br />
Development bei Yokogawa.<br />
Yokogawa Deutschland GmbH,<br />
Broichhofstr. 7-11, D-40880 Rat<strong>in</strong>gen,<br />
Tel. + 49 (0) 2102 498 34 63,<br />
E-Mail: cathr<strong>in</strong>.janssen@de.yokogawa.com<br />
18<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
Schwerpunkt | achema<br />
Kosten senken und Steuern sparen – zertifiziertes<br />
Energiemanagement steigert die Wirtschaftlichkeit<br />
ISO DIN EN 50001 bildet die Grundlage – Softwarelösungen setzen Effizienzsteigerungen um<br />
Energiemanagement-Software <strong>in</strong> der Praxis:<br />
Die Daten zahlreicher Messstellen werden exakt und kont<strong>in</strong>uierlich<br />
erfasst. Auf dieser Basis lassen sich E<strong>in</strong>sparpotenziale ermitteln<br />
und konkrete Maßnahmen planen.<br />
Verbrauchsprofil e<strong>in</strong>er Messstelle:<br />
Die Energiemanagement-Software von<br />
Endress+Hauser stellt e<strong>in</strong>e Vielzahl an<br />
Analysemöglichkeiten zur Verfügung.<br />
Integration von Zählimpulsen auf<br />
den Ethernet-Systembus: Im beispielhaft<br />
betrachteten Elektrostahlwerk wurden<br />
zunächst Daten von Stromzählern, Sauerstoff-,<br />
Stickstoff- und Argonmessungen sowie<br />
Daten aus bestehenden Systemen <strong>in</strong> die<br />
Energiemanagement-Software <strong>in</strong>tegriert.<br />
E<strong>in</strong> systematisches Vorgehen zur Reduzierung des<br />
Energieverbrauchs zahlt sich doppelt aus: In der<br />
Regel lassen sich die Kosten deutlich senken, zudem<br />
können Unternehmen ab 2013 Nachlässe bei Energieund<br />
Stromsteuern nur dann <strong>in</strong> Anspruch nehmen,<br />
wenn sie durch e<strong>in</strong> zertifiziertes Energiemanagement-<br />
System gemäß ISO DIN EN 50001 Energiee<strong>in</strong>sparungen<br />
nachweisen. Dies sieht das Energiekonzept der Bundesregierung<br />
vor.<br />
Die Methodik zur Energiee<strong>in</strong>sparung mithilfe e<strong>in</strong>er<br />
Energiemanagement-Software, wie sie Endress+Hauser<br />
anbietet, lässt sich gut am Beispiel e<strong>in</strong>es Elektrostahlwerks<br />
zeigen. Dort wird Stahlschrott mithilfe e<strong>in</strong>es<br />
Lichtbogens e<strong>in</strong>geschmolzen, dessen Erzeugung enorme<br />
Energiemengen erfordert. Mit e<strong>in</strong>em Bedarf von mehr<br />
als 1 TWh pro Jahr steht dieser Kernprozess für zirka<br />
80 Prozent des Stromverbrauchs. Der restliche Anteil<br />
verteilt sich unter anderem auf die Sauerstoff- und<br />
Drucklufterzeugung sowie die Walzstraße. Von diesen<br />
rund 200 GWh Strom pro Jahr lässt sich oft e<strong>in</strong> großer<br />
Teil e<strong>in</strong>sparen, sodass unterm Strich die Kosten s<strong>in</strong>ken<br />
und die Effizienz der Produktion gesteigert wird.<br />
DEN ANLAGENZUSTAND ANALYSIEREN<br />
Dafür muss zunächst Transparenz geschaffen werden. Im<br />
ersten Schritt ist es wichtig, den aktuellen Anlagenzustand<br />
und die Energieflüsse zu kennen. Durch e<strong>in</strong>e Bestandsaufnahme<br />
werden <strong>in</strong> den Bereichen Energieerzeugung,<br />
-verteilung und -verbrauch die energetisch relevanten<br />
Daten aufgenommen. Bereits laufende Energiemessun-<br />
20<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
gen werden bewertet, Energieverbraucher dokumentiert<br />
und fehlende Energiemessstellen zusätzlich erfasst.<br />
Bei e<strong>in</strong>em Druckluftsystem werden beispielsweise<br />
Kompressortyp und Leistung sowie der Systemzustand<br />
dokumentiert. Für noch e<strong>in</strong>zurichtende Energiemessstellen<br />
werden alle notwendigen Umgebungs- und Prozessbed<strong>in</strong>gungen<br />
wie die Nennweite der Rohrleitung<br />
aufgenommen. Der E<strong>in</strong>bauort wird zusätzlich mit e<strong>in</strong>em<br />
Foto dokumentiert.<br />
Frühzeitig muss untersucht werden, ob und wie sich<br />
jede Energiemessstelle später <strong>in</strong> e<strong>in</strong>e Energiemanagement-Software<br />
<strong>in</strong>tegrieren lässt. Auch Struktur und Verhältnisse<br />
der Energieflüsse werden analysiert. E<strong>in</strong>e Bestandsaufnahme<br />
über alle relevanten Versorgungsenergiekreisläufe<br />
ist s<strong>in</strong>nvoll, um bei der späteren Konzepterstellung<br />
erkennen zu können, <strong>in</strong> welchen Bereichen<br />
die größten E<strong>in</strong>sparpotenziale und die kürzesten Amortisationszeiten<br />
zu erwarten s<strong>in</strong>d.<br />
Im beispielhaft betrachteten Elektrostahlwerk wurden<br />
etwa im Druckluftsystem die Druckluftmengen und Drücke<br />
im Vorfeld temporär gemessen. Auf dieser Basis zeigten<br />
sich vor allem im Bereich Druckluft zur Kühlung<br />
erhebliche E<strong>in</strong>sparpotenziale. Durch e<strong>in</strong>e übergreifende<br />
Betrachtung wurden auch bei der Beleuchtung große<br />
E<strong>in</strong>sparmöglichkeiten aufgedeckt.<br />
E<strong>in</strong>fache Berichterstellung br<strong>in</strong>gt<br />
Transparenz: Über die Energiemanagement-<br />
Software konnten E<strong>in</strong>sparungen <strong>in</strong> der<br />
Druckluftmenge von durchschnittlich 53 Prozent<br />
nachgewiesen und dokumentiert werden.<br />
Controll<strong>in</strong>g der<br />
Energiedaten<br />
E<strong>in</strong>sparungen<br />
bis zu 20 %<br />
Optimieren<br />
Prozess<br />
Transparenz<br />
des Verbrauchs<br />
Analyse der<br />
Energiedaten<br />
E<strong>in</strong>sparungen<br />
bis zu 8 %<br />
Energiedaten<br />
erlassen<br />
Systematisches Vorgehen bei der Reduzierung<br />
der Energieverbräuche zahlt sich aus. E<strong>in</strong>en optimalen<br />
Leitfaden zur E<strong>in</strong>führung e<strong>in</strong>es Energiemanagementsystems<br />
stellt die ISO DIN EN 50001 dar.<br />
ENERGIEKONZEPT UND EFFIZIENZANALYSE<br />
Die Erkenntnisse und Informationen aus der Bestandsaufnahme<br />
fließen <strong>in</strong> die Erstellung e<strong>in</strong>es ganzheitlichen<br />
Energiekonzeptes mit e<strong>in</strong>. Über die Bewertung von bereits<br />
<strong>in</strong>stallierten Energiemessstellen können bei Bedarf<br />
Empfehlungen für e<strong>in</strong>en Austausch der Messstellen getroffen<br />
werden. Für noch e<strong>in</strong>zurichtende Energiemessstellen<br />
werden auf Basis der Umgebungs- und Prozessbed<strong>in</strong>gungen<br />
die geeigneten Messpr<strong>in</strong>zipien ausgewählt.<br />
Bei der Konzepterstellung werden neben der Auslegung<br />
der Messstellen auch die notwendigen Komponenten<br />
zur Integration <strong>in</strong> e<strong>in</strong>e Energiemanagement-Software<br />
kalkuliert. So können die Kosten zur Nachrüstung und<br />
Integration der Energiemessstellen <strong>in</strong> e<strong>in</strong>er frühen Phase<br />
ermittelt werden. Das Energiekonzept enthält zusätzlich<br />
Angaben zur Weiterverarbeitung und Auswertung<br />
der Energiedaten. Beispiele hierfür s<strong>in</strong>d die Berechnung<br />
des Wirkungsgrades e<strong>in</strong>es Dampfkessels oder e<strong>in</strong>es<br />
Druckluftsystems. E<strong>in</strong>e Effizienzanalyse liefert Angaben<br />
zu E<strong>in</strong>sparpotenzialen und Amortisationszeiten der E<strong>in</strong>sparmaßnahmen<br />
sowie Handlungsempfehlungen für die<br />
Versorgungsenergiekreisläufe.<br />
Sämtliche Informationen gehören zu e<strong>in</strong>er Zertifizierung<br />
gemäß ISO DIN EN 50001 und werden schriftlich<br />
dokumentiert. Im Beispielfall des Elektrostahlwerkes<br />
wurden als erster Schritt Maßnahmen im Bereich von<br />
Druckluftleckagen und Druckluftverbraucher zur Kühlung<br />
von Sensoren und Kameras vorgeschlagen.<br />
ZUVERLÄSSIGE UND EXAKTE MESSWERTE NÖTIG<br />
Erforderlich s<strong>in</strong>d zuverlässige und genaue Energiemesswerte.<br />
Wird beispielsweise bei e<strong>in</strong>er Dampfmengenmessung<br />
auf e<strong>in</strong>e Druck- und Temperaturkompensation verzichtet,<br />
können <strong>in</strong> der Praxis leicht Messfehler <strong>in</strong> e<strong>in</strong>em<br />
Bereich von rund 20 Prozent entstehen. Abhängig von<br />
den Energiezielen e<strong>in</strong>es Unternehmens und der Priorisierung<br />
der Maßnahmen gilt es, Lücken <strong>in</strong> der Energiemessung<br />
durch zusätzliche Messstellen zu schließen<br />
oder <strong>in</strong> die Jahre gekommene Messstellen, welche die<br />
geforderte Genauigkeit nicht mehr erreichen, zu ersetzen.<br />
Mit jeder neuen Energiemessstelle erhöht sich die<br />
Transparenz der Energieflüsse sowie der Energieverbräuche<br />
im Unternehmen. Im Beispiel des Elektrostahlwerks<br />
wurden im ersten Schritt neue Messstellen zur Ermittlung<br />
des Sauerstoff-, Stickstoff- und Argonverbrauchs<br />
<strong>in</strong>stalliert und diese <strong>in</strong> die Endress+Hauser-Energiemanagement-Software<br />
<strong>in</strong>tegriert.<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012<br />
21
Schwerpunkt | achema<br />
TRANSPARENZ AUF EINEN BLICK<br />
Die Energiemanagement-Software br<strong>in</strong>gt Transparenz<br />
der Energieströme auf e<strong>in</strong>en Blick. Offenheit, Flexibilität<br />
und Modularität der webbasierten Software spielen<br />
e<strong>in</strong>e wichtige Rolle. Die Software lässt sich gezielt<br />
an konkrete Funktionalitäten, Anwender und Messstellen<br />
anpassen. Durch die Erstellung e<strong>in</strong>es Energiekonzeptes<br />
wird auf Basis der bestehenden Anlagentopologie<br />
und der angestrebten Energieziele frühzeitig<br />
e<strong>in</strong>e geeignete Struktur im H<strong>in</strong>blick auf flexible Erweiterbarkeit<br />
geplant.<br />
Über welche Quellen und Schnittstellen können Daten<br />
<strong>in</strong> die Energiemanagement-Software e<strong>in</strong>fließen?<br />
Energiemessstellen aus der Feldebene können über Protokollwandler,<br />
Datenspeicher oder speicherprogrammierbare<br />
Steuerungen <strong>in</strong>tegriert werden. Werden bestehende<br />
Messstellen beispielsweise bereits über Gebäude-<br />
beziehungsweise Produktionsleitsysteme oder<br />
Scada-Systeme erfasst, ist e<strong>in</strong>e direkte Kopplung zwischen<br />
diesen Systemen und der Energiemanagement-<br />
Software möglich.<br />
Werden Zähler noch nicht automatisch erfasst, können<br />
Zählerstände auch manuell e<strong>in</strong>gegeben werden. Zur Berechnung<br />
von Energiekennzahlen wie Energieverbrauch<br />
pro E<strong>in</strong>heit e<strong>in</strong>es produzierten Produkts können Fakturierungsdaten<br />
<strong>in</strong> die Energiemanagement-Software übertragen<br />
werden. Um e<strong>in</strong>e hohe Datensicherheit zu erreichen,<br />
hat sich die Integration und Kopplung über CSV-<br />
Dateien bewährt. Diese bieten den Vorteil, dass bei eventuellen<br />
Ausfällen von Unternehmensnetzwerken ke<strong>in</strong>e<br />
Datenverluste entstehen und Datenlücken automatisch<br />
geschlossen werden, nachdem die Netzwerke wieder zur<br />
Verfügung stehen.<br />
DATEN WERDEN LÜCKENLOS ARCHIVIERT<br />
Die lückenlose Archivierung von Energiedaten bildet<br />
wiederum die Basis für weitere Analysen und Auswertungen.<br />
Über das Berichtswesen können Energie<strong>in</strong>formationen<br />
passend an die Zielgruppen von der Geschäftsführung<br />
bis h<strong>in</strong> zum Anlagenbediener verteilt werden.<br />
So wird e<strong>in</strong> hoher Informations<strong>in</strong>halt erreicht. Die kont<strong>in</strong>uierliche<br />
Messung ermöglicht e<strong>in</strong>e stetige Überwachung<br />
der Prozesse und Systeme. Dabei unterstützt die<br />
Energiemanagement-Software durch e<strong>in</strong>e automatische<br />
Alarmierung.<br />
E<strong>in</strong>e Energiemanagement-Software erlaubt nicht nur<br />
die Planung e<strong>in</strong>er bedarfsgerechten Wartung und Instandhaltung,<br />
sondern sichert auch nachhaltig die Produktionseffizienz<br />
und -qualität. Im Fall des Elektrostahlwerkes<br />
beispielsweise werden durch die Lastkontrollanlage<br />
bereits sehr viele Daten wie Wirkleistung,<br />
Sche<strong>in</strong>leistung und Schaltzeiten der Elektroöfen aufgezeichnet<br />
und archiviert. Die Auswertung erfolgte zuvor<br />
manuell monatlich. Weitere rund 250 Zähler wurden<br />
monatlich manuell abgelesen, erfasst und ausgewertet.<br />
In der ersten Ausbaustufe wurden Daten von 30 Stromzählern,<br />
die Verbrauchsdaten der neu <strong>in</strong>stallierten Sauerstoff-,<br />
Stickstoff- und Argonmessungen sowie Daten<br />
aus bestehenden Systemen wie der Lastkontrollanlage<br />
und Chargenprotokolle der Elektroöfen <strong>in</strong> die Energiemanagement-Software<br />
<strong>in</strong>tegriert. Die Auswertung erfolgt<br />
seitdem automatisch und mit e<strong>in</strong>er enormen Zeitersparnis.<br />
DRUCKLUFTVERBRAUCH SINKT UM 53 PROZENT<br />
Durch e<strong>in</strong>e Energiemanagement-Software und die erreichte<br />
Transparenz kann der Energieverbrauch erfahrungsgemäß<br />
schon mit e<strong>in</strong>fachen Maßnahmen um etwa<br />
6 bis 9 Prozent gesenkt werden. Weitere E<strong>in</strong>sparmöglichkeiten<br />
lassen sich durch gezielte Analysen bestimmen.<br />
So wurden im Elektrostahlwerk hohe Potenziale im Bereich<br />
von Druckluftleckagen und im Verbrauch von<br />
Druckluft zur Kühlung von Sensoren und Kameras festgestellt.<br />
Im ersten Schritt wurden 1 800 Druckluftleckagen<br />
ermittelt und 1 200 davon direkt elim<strong>in</strong>iert. Diese<br />
Maßnahmen ergaben e<strong>in</strong>e Kostene<strong>in</strong>sparung von 120 000<br />
Euro pro Jahr. Bei der Kühlung von Sensoren und Kameras<br />
sorgen spezielle Druckluftdüsen nun für E<strong>in</strong>sparungen<br />
von durchschnittlich 53 Prozent der Druckluftmenge.<br />
Insgesamt wurden 80 Anwendungen optimiert. Das<br />
Ergebnis dieser Maßnahmen s<strong>in</strong>d jährliche E<strong>in</strong>sparungen<br />
von 6,2 Millionen Normkubikmeter, was 850 000 kWh<br />
und e<strong>in</strong>em CO 2 -Ausstoß von 528 Tonnen entspricht. H<strong>in</strong>zu<br />
kommen als weiterer Vorteil ab 2013 noch die Rückerstattungen<br />
bei den Energiesteuern.<br />
Autor<br />
Daniel Stolz<br />
ist Market<strong>in</strong>gmanager<br />
Prozessautomatisierung<br />
bei Endress+Hauser.<br />
Endress+Hauser Messtechnik GmbH+Co. KG,<br />
Colmarer Straße 6, D-79576 Weil am Rhe<strong>in</strong>,<br />
Tel. +49 (0) 7621 97 58 21,<br />
E-Mail: daniel.stolz@de.endress.com<br />
22<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
Automatisierung<br />
auf den Punkt<br />
FORSCHUNG<br />
BEST PRACTICE<br />
EVENTS<br />
Nutzen Sie das neue<br />
Medienspektrum<br />
• Der Nachrichtendienst <strong>atp</strong>!<strong>in</strong>fo ist die konsequente<br />
Ergänzung zur Fachpublikation <strong>atp</strong> <strong>edition</strong>.<br />
Sparen Sie Zeit und nutzen Sie das umfassende<br />
Info-Angebot von <strong>atp</strong>!<strong>in</strong>fo gratis.<br />
Trends<br />
Branchennachrichten<br />
für Experten<br />
• Mit <strong>atp</strong>!<strong>in</strong>fo bietet Ihnen die <strong>atp</strong>-Redaktion<br />
e<strong>in</strong>en schnellen, digitalen Nachrichtenservice.<br />
• Mit <strong>atp</strong>!<strong>in</strong>fo erfahren Sie direkt und komprimiert,<br />
was die Automatisierungsbranche bewegt.<br />
<strong>atp</strong>!<strong>in</strong>fo ist das moderne Info-Medium, das<br />
Ihnen Nachrichten liefert und über das Sie<br />
Nachrichten recherchieren können.<br />
Rund um die Uhr<br />
erstklassig <strong>in</strong>formiert<br />
• Branchenrelevante Meldungen laufend<br />
aktualisiert – immer und überall.<br />
• Umfangreiche Archivfunktionen für Ihre<br />
persönlichen Recherchen.<br />
Technologie<br />
Jetzt<br />
onl<strong>in</strong>e:<br />
www.<strong>atp</strong><strong>in</strong>fo.de<br />
Innovationen<br />
Messen<br />
PRODUKTE<br />
Verfahren<br />
Hochschulen<br />
<strong>atp</strong>!<strong>in</strong>fo ist ideal für unterwegs und für<br />
den E<strong>in</strong>satz auf mobilen Endgeräten.<br />
Entwicklungen<br />
KARRIERE<br />
<strong>atp</strong>!<strong>in</strong>fo-Team | Oldenbourg Industrieverlag GmbH | Rosenheimer Straße 145 | 81671 München
Schwerpunkt | achema<br />
Neue Feldbus-Infrastruktur steigert Transparenz<br />
und Betriebssicherheit <strong>in</strong> <strong>in</strong>discher Zuckerfabrik<br />
Mit Field Connex wurden Planung, Installation und Implementierung entscheidend beschleunigt<br />
Die Zuckerraff<strong>in</strong>erie Shree<br />
Renuga Sugar setzt den Fernzugriff<br />
konsequent für alle Feld<strong>in</strong>strumentierung<br />
e<strong>in</strong> und erreicht damit e<strong>in</strong>e bessere<br />
Anlagenverfügbarkeit bei reduzierten<br />
Instandhaltungskosten.<br />
Mit Farben der NAMUR-Ampel nach<br />
NE 107: die Oberfläche, um die Feldbusphysik<br />
<strong>in</strong>takt und performant zu erhalten.<br />
Vorverdrahtet und<br />
<strong>in</strong>stallationsbereit:<br />
Die Junction Box mit<br />
Segment Protector<br />
verb<strong>in</strong>det die Feldgeräte<br />
mit dem Feldbustrunk.<br />
Nach zwei Wochen erfolgloser Fehlersuche <strong>in</strong> e<strong>in</strong>er<br />
Zuckerraff<strong>in</strong>erie wurde man beim <strong>in</strong>dischen Unternehmen<br />
Shree Renuga Sugars auf das Advanced Diagnostic<br />
Modul von Pepperl+Fuchs aufmerksam. Damit<br />
konnte die Ursache des Problems im Handumdrehen<br />
ermittelt werden. Grund genug für den <strong>in</strong>dischen Zuckerhersteller<br />
bei e<strong>in</strong>er neuen Fabrik auf Foundation<br />
Fieldbus H1 und vor allem Field Connex-Komponenten<br />
von Pepperl+Fuchs zu setzen.<br />
Shree Renuga Sugars Ltd. ist <strong>in</strong> der Zuckerverarbeitung<br />
und der Herstellung von Bioenergie und Düngemitteln<br />
tätig. Das 1998 <strong>in</strong> Mumbai gegründete Unternehmen gilt<br />
als der fünftgrößte Zuckerproduzent der Welt und betreibt<br />
neben acht Produktionsstandorten <strong>in</strong> Indien vier<br />
Zuckerfabriken <strong>in</strong> Brasilien.<br />
MODERNE PRODUKTIONSTECHNOLOGIE<br />
E<strong>in</strong> Beispiel für die moderne Produktionstechnologie von<br />
Shree Renuga Sugar ist die Haldia-Zuckerraff<strong>in</strong>erie im<br />
<strong>in</strong>dischen Bundesstaat Westbengalen. Wie an allen anderen<br />
Standorten beruht auch hier die Prozesssteuerung auf<br />
e<strong>in</strong>er Profibus-PA-Infrastruktur aus 15 Feldbus-Segmenten<br />
<strong>in</strong> Verb<strong>in</strong>dung mit e<strong>in</strong>em Siemens-Automationssystem.<br />
Pepperl+Fuchs war den Managern von Shree Renuga<br />
Sugars lediglich als Lieferant von Näherungsschaltern<br />
e<strong>in</strong> Begriff. Diese wurden vom Unternehmensbereich<br />
Fabrikautomation geliefert und für zahlreiche Überwachungsaufgaben<br />
<strong>in</strong>nerhalb der Produktionsprozesse e<strong>in</strong>gesetzt.<br />
Doch dann sorgte e<strong>in</strong> schlichter Kabelfehler für<br />
weitreichende neue Erkenntnisse.<br />
Der erste Kontakt zwischen Shree Renuga Sugars mit<br />
dem Bereich Prozessautomation von Pepperl+Fuchs war<br />
e<strong>in</strong> Anruf von Senior Manager Instrumentation Haribabu.<br />
Es g<strong>in</strong>g um zwei Feldbus-Segmente <strong>in</strong> der Haldia-<br />
Raff<strong>in</strong>erie, deren Instrumente e<strong>in</strong>fach nicht <strong>in</strong> den Anzeigen<br />
des Systems auftauchen wollten. Ganze zwei<br />
Wochen hatte man nach der Ursache des Problems gesucht,<br />
ohne des Rätsels Lösung zu f<strong>in</strong>den. Doch dann<br />
kam das Stichwort Advanced Diagnostics auf, und es fiel<br />
der Name Pepperl+Fuchs.<br />
SCHNELLE LÖSUNG MIT ADVANCED DIAGNOSTICS<br />
Haribabu zögerte nicht lange und beauftragte den technischen<br />
Service von Pepperl+Fuchs, sich des seltsamen<br />
Problems anzunehmen. Also rückte e<strong>in</strong> Servicetechniker<br />
der <strong>in</strong>dischen Pepperl+Fuchs-Niederlassung an,<br />
24<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
packte se<strong>in</strong> mobiles Advanced Diagnostic Modul (ADM)<br />
aus und wurde schon nach kurzer Zeit fündig. Er analysierte<br />
die Situation mithilfe des Expertensystems, tippte<br />
auf e<strong>in</strong> bestimmtes Kabel als Problemursache und sollte<br />
recht behalten. Das Kabel wurde ausgetauscht und sofort<br />
erschienen alle Feldgeräte <strong>in</strong>nerhalb des Segments wieder<br />
im System. Im zweiten Feldbus-Segment wiederholte<br />
sich der Ablauf. Auch hier lag ke<strong>in</strong> Gerätefehler vor,<br />
sondern schlicht und e<strong>in</strong>fach e<strong>in</strong>e fehlerhafte Kabelverb<strong>in</strong>dung.<br />
In e<strong>in</strong>em Fall war es e<strong>in</strong> Massefehler, im anderen<br />
e<strong>in</strong> extrem hoher Störpegel, der dem Nutzsignal ke<strong>in</strong>e<br />
Chance ließ.<br />
Dank Advanced Diagnostics war <strong>in</strong>nerhalb weniger<br />
Stunden e<strong>in</strong> Problem gelöst worden, das zuvor e<strong>in</strong> ganzes<br />
Team wochenlang beschäftigt hatte. Die Ingenieure und<br />
Techniker waren begeistert, und man entschloss sich<br />
spontan, den Serviceauftrag auf alle übrigen Segmente<br />
der Anlage zu erweitern. Außerdem wurde umgehend<br />
e<strong>in</strong> mobiles ADM bestellt, um künftigen Problemen mit<br />
der physikalischen Feldbusebene ebenso schnell auf die<br />
Spur kommen zu können.<br />
HÖHERE TRANSPARENZ UND BETRIEBSSICHERHEIT<br />
Für Haribabu und se<strong>in</strong> Team musste die Situation e<strong>in</strong><br />
echter Augenöffner gewesen se<strong>in</strong>. Er hatte erkannt, welche<br />
ungeahnten Möglichkeiten Advanced Diagnostics<br />
zu bieten hat und wollte umgehend Näheres über den<br />
aktuellen Stand der Feldbus-Technologie erfahren. Daher<br />
besuchte er e<strong>in</strong>e Schulung, wie sie Pepperl+Fuchs<br />
allen Interessierten aus der Prozess<strong>in</strong>dustrie anbietet,<br />
um das Bewusstse<strong>in</strong> für busgestützte Systeme <strong>in</strong> der<br />
Prozessautomation zu erweitern. Dabei wurde Haribabu<br />
auf die Field Connex-Feldbus<strong>in</strong>frastruktur von Pepperl+Fuchs<br />
aufmerksam. Er erkannte, dass diese Produktreihe<br />
konsequent darauf ausgelegt ist, Planung,<br />
Installation und Implementierung e<strong>in</strong>er Feldbus-Infrastruktur<br />
entscheidend zu beschleunigen. Und er sah<br />
sofort, wie diese Hardwarebasis während des gesamten<br />
Lebenszyklus der Prozessanlage zu mehr Transparenz,<br />
Betriebssicherheit und Verfügbarkeit beiträgt. Eigenschaften,<br />
die jeden Prozessverantwortlichen aufhorchen<br />
lassen.<br />
KONSEQUENT DIGITALISIERTE PROZESSANLAGE<br />
Die neu gewonnenen Erkenntnisse sollten sich schnell<br />
bezahlt machen. Haribabu musste nämlich wenig später<br />
die Feld<strong>in</strong>strumentierung e<strong>in</strong>es völlig neuen Werkes umsetzen,<br />
das Shree Renuga Sugars im west<strong>in</strong>dischen Bundesstaat<br />
Gujarat errichtete.<br />
Dort entstand e<strong>in</strong>e konsequent digitalisierte Prozessanlage,<br />
bei der gezielt der neueste Entwicklungsstand <strong>in</strong><br />
der Prozessautomation umgesetzt werden sollte. Die Prozesssteuerung<br />
erfolgt über e<strong>in</strong> Automatisierungssystem<br />
von Yokogawa. Die Prozess<strong>in</strong>strumentierung wird über<br />
Foundation Fieldbus H1 angebunden. Spezielle Feldgeräte,<br />
wie Frequenzumrichter-Antriebe laufen über Profibus<br />
DP, während alle Sensoren, Aktoren und die e<strong>in</strong>fachen<br />
I/Os über e<strong>in</strong>en AS-I-Bus angeschlossen s<strong>in</strong>d.<br />
Nachdem ihn Advanced Diagnostics und Field Connex<br />
überzeugt hatten, entschied sich Shree Renuga Sugars,<br />
am Standort Gujarat zusätzlich zu den Näherungsschaltern<br />
erstmals auch Field Connex von Pepperl+Fuchs<br />
e<strong>in</strong>zusetzen. „Installation und Inbetriebnahme verliefen<br />
e<strong>in</strong>fach reibungslos“, lautete Haribabus Kommentar, als<br />
er diesen neuen Ansatz zur Feldbus-Kommunikation mit<br />
dem verglich, was er bisher erlebt hatte.<br />
Wobei <strong>in</strong> diesem Zusammenhang <strong>in</strong>teressant ist, dass<br />
Pepperl+Fuchs <strong>in</strong> e<strong>in</strong>er engen strategischen Kooperation<br />
mit Yokogawa steht. Diese Kooperation hat unter anderem<br />
zu e<strong>in</strong>er direkten Integration des Advanced-Diagnostic-<br />
Moduls <strong>in</strong> die Yokogawa-Prozesssteuerung geführt. Und<br />
daraus entstanden unter anderem speziell an die Yokogawa-Steuerung<br />
angepasste Power Hubs. Sie s<strong>in</strong>d mit<br />
speziellen Steckverb<strong>in</strong>dern ausgerüstet, die nicht nur den<br />
Installationsaufwand m<strong>in</strong>imieren, sondern auch deutlich<br />
weniger Platz im Schaltschrank beanspruchen.<br />
Die Kooperation zwischen Yokogawa und<br />
Pepperl+Fuchs half auch beim Aufbau der Produktionsanlage<br />
von Shree Renuga Sugars <strong>in</strong> Gujarat: Alle<br />
Pepperl+Fuchs-Komponenten wurden über Yokogawa<br />
geliefert und vor Ort montiert.<br />
EINFACHE MONTAGE UND WARTUNG<br />
Pepperl+Fuchs lieferte Power Hubs und Segment-Protektoren<br />
aus se<strong>in</strong>em Field Connex-Portfolio sowie AS-I-Interface-Module<br />
und Repeater. Diese Feldbus<strong>in</strong>frastrukturkomponenten<br />
erlauben nicht nur e<strong>in</strong>e problemlose<br />
Realisierung der erforderlichen Eigensicherheit <strong>in</strong> explosionsgefährdeten<br />
Bereichen. Sie bieten auch praxisgerechte<br />
und zeitsparende Montagetechniken und tragen mit<br />
<strong>in</strong>telligenten Lösungen zu e<strong>in</strong>er problemlosen Wartung<br />
bei. So ist zum Beispiel bei e<strong>in</strong>em Modulaustausch ke<strong>in</strong>erlei<br />
Konfigurationsaufwand erforderlich. Stattdessen<br />
erkennt der Controller, dass e<strong>in</strong> baugleiches Ersatzmodul<br />
e<strong>in</strong>gesetzt wurde, und weist diesem automatisch die richtige<br />
Adresse zu. Außerdem lässt sich die Netzwerktopologie<br />
beliebig festlegen und jederzeit zum Beispiel durch<br />
zusätzliche Abzweige erweitern.<br />
Dazu kommen natürlich die weitreichenden Diagnosefähigkeiten<br />
von Advanced Diagnostics, die die gesamte<br />
physikalische Feldbusebene umfassen und sich selbst<br />
auf den e<strong>in</strong>fachsten Sensor erstrecken.<br />
Mit den Field-Connex-Feldbuskomponenten wurden<br />
also im neuen Werk Gujarat von Shree Renuka Sugars<br />
gleich von Anfang an optimale Voraussetzungen geschaffen,<br />
um die gesamte Infrastruktur zur Prozesssteuerung<br />
im Auge zu behalten und e<strong>in</strong>e zeitaufwendige Fehlersuche<br />
zu vermeiden.<br />
Autor<br />
Andreas Hennecke<br />
ist Produkt Market<strong>in</strong>g<br />
Manager im Geschäftsbereich<br />
Prozessautomation<br />
bei Pepperl+Fuchs.<br />
Pepperl+Fuchs GmbH,<br />
Lilienthalstrasse 200, D-68307 Mannheim,<br />
Tel. +49 (0) 621 776 16 01,<br />
E-Mail: ahennecke@de.pepperl-fuchs.com<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012<br />
25
Schwerpunkt | achema<br />
Zentrales Eng<strong>in</strong>eer<strong>in</strong>g Tool erleichtert<br />
As-built-Dokumentation und asynchrone Planung<br />
Konsistente Anlagendaten trotz Um- und Anbauten mit Eng<strong>in</strong>eer<strong>in</strong>g Base von Aucotec<br />
Übersichtlich: E<strong>in</strong>e geme<strong>in</strong>same Datenbasis für verschiedene Eng<strong>in</strong>eer<strong>in</strong>g-Diszipl<strong>in</strong>en<br />
verknüpft die Prozesse konsistent und schafft Synergien.<br />
Das Lifecycle-Management von Anlagen macht es<br />
immer erforderlich, die aktuelle Dokumentation<br />
e<strong>in</strong>er Anlage greifbar zu haben, trotz oder gerade wegen<br />
häufiger Umbauplanung und Wartungsarbeiten.<br />
Diese „As-built“-Dokumentation sollte den Zustand<br />
der Anlage so genau wie möglich zeigen. Unterschiedliche<br />
Diszipl<strong>in</strong>en, etwa Rohrleitungsplanung, Instrumentierung<br />
und Planung der Prozessleitsysteme (PLS)<br />
sowie Sub-Lieferanten müssen hierbei koord<strong>in</strong>iert<br />
mite<strong>in</strong>ander arbeiten und ihre Ergebnisse zusammenführen.<br />
Dabei ist unbed<strong>in</strong>gt sicherzustellen, dass auf<br />
unterschiedlichen Dokumenten sowohl dieselben Geräte<br />
als auch derselbe Ergebnisstand dargestellt s<strong>in</strong>d.<br />
Mit e<strong>in</strong>er <strong>in</strong>homogenen Toollandschaft ist e<strong>in</strong>e zuverlässige<br />
As-built-Dokumentation nicht effizient zu leisten.<br />
Selbst e<strong>in</strong> enormer Aufwand gewährleistet nicht<br />
die Konsistenz bei der Zusammenführung der Daten<br />
aus den verschiedenen Diszipl<strong>in</strong>en.<br />
Fast jeder Lebenszyklus e<strong>in</strong>er Anlage erfordert mittelbis<br />
langfristige Planungsprojekte für Umbauten. Dies<br />
macht das gleichzeitige Sicherstellen des aktuellen „Asbuilt“-Stands<br />
e<strong>in</strong>er Anlage sehr komplex. Häufig überlappen<br />
sich solche Prozesse zeitlich, außerdem werden<br />
Teilprojekte an Sub-Lieferanten ausgelagert. Aufwendige<br />
Abstimmungsprozesse, Missverständnisse oder unterschiedliche<br />
und falsche Daten s<strong>in</strong>d vorprogrammiert.<br />
Das führt zu Verzögerungen und verursacht zusätzliche<br />
Kosten.<br />
INTEGRATION ÜBER ZENTRALE DATENBANK<br />
All diese Anforderungen können erfolgreich gelöst<br />
werden, wenn das verwendete Tool <strong>in</strong> der Lage ist, Eng<strong>in</strong>eer<strong>in</strong>g,<br />
Daten-Management und Dokumentation <strong>in</strong><br />
e<strong>in</strong>em <strong>in</strong>terdiszipl<strong>in</strong>ären, <strong>in</strong>tegrierten Ansatz zu komb<strong>in</strong>ieren.<br />
E<strong>in</strong> charakteristisches Merkmal dieser Tools<br />
ist der Besitz e<strong>in</strong>es virtuellen Anlagenmodells. Jeder<br />
echte Artikel der Anlage ist durch genau e<strong>in</strong> Objekt im<br />
Modell repräsentiert.<br />
E<strong>in</strong>es der wenigen Systeme, die das bisher können,<br />
ist das Software-System Eng<strong>in</strong>eer<strong>in</strong>g Base (EB) von Aucotec.<br />
Se<strong>in</strong> Grundkonzept basiert auf e<strong>in</strong>er mehrschichtigen<br />
Systemarchitektur mit zentraler Datenbank als<br />
Basis aller Informationen. Mit diesem Grundpr<strong>in</strong>zip<br />
bietet die Software verschiedene Lösungen für Eng<strong>in</strong>eer<strong>in</strong>g<br />
und Wartung sowohl <strong>in</strong> der Prozesstechnik als<br />
auch im Masch<strong>in</strong>en- und Anlagenbau, der Energiever-<br />
26<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
sorgung und der Kabelstrangentwicklung für mobile<br />
Systeme. Basierend auf der besonderen Dreischicht-<br />
Architektur lassen sich mit diesem System asynchrone<br />
Planungsprozesse konsistent realisieren.<br />
VON JEDEM OBJEKT NUR EINE DARSTELLUNG<br />
Die erste Schicht bildet der SQL-Server von Microsoft, der<br />
als e<strong>in</strong>es der sichersten Datenbanksysteme gilt. Er enthält<br />
sämtliche Eng<strong>in</strong>eer<strong>in</strong>g-Informationen. Dabei ist gewährleistet,<br />
dass die unterschiedlichen Verknüpfungen der<br />
Daten erhalten bleiben. Nichts wird separiert oder liegt<br />
herausgelöst <strong>in</strong> schlichten Files. Das Datenmodell ist absolut<br />
komplett. Sämtliche Geräte und Vorschriften sowie<br />
die Daten korrespondierender Autorensysteme wie 3D-<br />
CAD oder Steuerungssoftware-Codes s<strong>in</strong>d dar<strong>in</strong> abgelegt.<br />
Jedes Objekt kommt dabei nur e<strong>in</strong>mal vor, der Anwender<br />
kann diese Objekte aber <strong>in</strong> beliebiger Darstellung aufrufen<br />
und bearbeiten. Egal, ob <strong>in</strong> Explorer, Grafik oder Tabelle<br />
gearbeitet wird, jede Änderung ersche<strong>in</strong>t automatisch<br />
auch <strong>in</strong> den anderen Ansichten.<br />
Der Application Server bildet die zweite Schicht. Er<br />
sorgt für e<strong>in</strong>e große Entlastung von Netz und Traffic.<br />
Mit dieser Systematik sparen sich die Nutzer das Laden<br />
sämtlicher Pläne, wenn sie eigentlich nur e<strong>in</strong>e Liste<br />
aller Messstellen benötigen.<br />
Stattdessen stellt die Client-Ebene die Anfrage an den<br />
Application Server, der die Daten aus dem SQL-Server<br />
zieht, die Rechenleistung übernimmt und die Informationen<br />
an die Nutzer „weitergibt“. Sie bilden die dritte<br />
Schicht <strong>in</strong> diesem Modell. Diese Konstellation ermöglicht<br />
es, die Anwendung vom E<strong>in</strong>zelplatz bis zur globalen<br />
Unternehmenslösung auszuweiten. So kann simultan<br />
und von verschiedenen Abteilungen, auch von<br />
weltweit verteilten Standorten aus, an dem Datenmodell<br />
gearbeitet werden. Intelligente Updaterout<strong>in</strong>en unterstützen<br />
zusätzlich den konstanten Überblick über alle<br />
Änderungen und Weiterentwicklungen.<br />
„AS-BUILT“: AKTUELL TROTZ UM- UND ANBAU<br />
Bei Um- und Anbauprojekten größeren Umfangs lassen<br />
sich mit dem beschriebenen Tool die Daten entsprechender<br />
Teilprojekte zur separaten Bearbeitung auslagern,<br />
ohne den aktuellen Stand der Anlagendokumentation zu<br />
bee<strong>in</strong>trächtigen. Wer im ursprünglichen „As-built“-Projekt<br />
arbeitet, wird gezielt auf Auslagerungen h<strong>in</strong>gewiesen.<br />
Dies geschieht <strong>in</strong> Grafik und Objektbaum des „As-built“-<br />
Projektes und <strong>in</strong> den verschiedenen Assistenten, vom<br />
Verdrahtungsmanager bis h<strong>in</strong> zur Zuordnungs-Unterstützung<br />
für die SPS-I/Os.<br />
In e<strong>in</strong>em ersten Schritt, der Reservierung, lassen sich<br />
aus dem „As-built“-Projekt über e<strong>in</strong>en Manager die gewünschten<br />
Daten ziehen. Alle Elemente, bei denen die<br />
Attribute „Reserviert“ und „Export“ bestätigt s<strong>in</strong>d,<br />
zeigt der Objektbaum des Zielprojekts an. Reservierte<br />
Objekte können sowohl Betriebsmittel, also Geräte, Kabel<br />
und E<strong>in</strong>bauorte se<strong>in</strong> als auch Funktionen und Dokumente.<br />
Beim Reservieren berücksichtigt das System<br />
während der Daten-Zusammenstellung auch die logischen<br />
Zusammenhänge. Soll beispielsweise e<strong>in</strong> ganzer<br />
Schrank umgebaut werden, wählt Eng<strong>in</strong>eer<strong>in</strong>g Base<br />
automatisch alle Pläne aus, die Elemente dieses Schrankes<br />
enthalten. Wird e<strong>in</strong> Ort reserviert, werden alle Objekte<br />
unterhalb mit e<strong>in</strong>bezogen, bei Reservierung e<strong>in</strong>es<br />
Gerätes auch alle Sub-Geräte.<br />
Im zweiten Schritt legt der Planer den Exportumfang<br />
fest, der flexibel konfigurier- und erweiterbar ist. Hier<br />
wird bestimmt, ob der Reservierungsumfang als Informationsbasis<br />
ausreicht oder ob Zusatz<strong>in</strong>formationen<br />
zum Überblick über die Rahmenbed<strong>in</strong>gungen <strong>in</strong> der<br />
Anlage notwendig s<strong>in</strong>d, etwa e<strong>in</strong> R&I-Schema oder e<strong>in</strong>e<br />
Raumansicht des Schaltschrankstandortes. E<strong>in</strong>e Reihe<br />
von Optionen unterstützt die Projekteure dabei. So lässt<br />
sich angeben, ob die Kabelziele der Unterelemente mit<br />
berücksichtigt werden sollen, ob e<strong>in</strong> Zielprojekt parallel<br />
zum Quellprojekt separat angelegt oder als Transportconta<strong>in</strong>er<br />
abgelegt werden soll.<br />
Während im „As-built“-Projekt alle reservierten Elemente<br />
zu erkennen s<strong>in</strong>d, ist es beim zu bearbeitenden<br />
Zielprojekt genau umgekehrt. Die ausgelagerten Elemente<br />
s<strong>in</strong>d unmarkiert, alle zusätzlich exportierten<br />
Daten werden gekennzeichnet.<br />
KONKURRENZLOS: Konsistente Daten<strong>in</strong>tegration<br />
Wenn nach der Umbauplanung das modifizierte Projekt<br />
wieder importiert wird, hilft e<strong>in</strong> spezieller Synchronisations-Manager<br />
bei der konsistenten Integration der Daten<br />
<strong>in</strong> den neuen, aktuellen „As-built“-Stand der Anlagendokumentation.<br />
Der Abgleich funktioniert <strong>in</strong>teraktiv, das<br />
heißt, der zuständige Projekteur behält die Kontrolle über<br />
die Änderungen, die er annimmt. Denn auch wenn es um<br />
Automatisierung geht: Ke<strong>in</strong> Anlagenbetreiber oder Planer<br />
sollte sich dieses „letzte Wort“ aus der Hand nehmen lassen.<br />
Über die Diskrepanzliste führt Eng<strong>in</strong>eer<strong>in</strong>g Base den<br />
Anwender und weist gezielt auf jede Neuerung und Unstimmigkeit<br />
h<strong>in</strong>. Diese Vorgehensweise ist bislang e<strong>in</strong>zigartig,<br />
ke<strong>in</strong> anderes System ist zu e<strong>in</strong>er derart kontrollierten<br />
Daten<strong>in</strong>tegration und damit zu e<strong>in</strong>er solch<br />
konsistenten „As-built“-Dokumentation <strong>in</strong> der Betriebsphase<br />
<strong>in</strong> der Lage. Dies ermöglichen die beschriebene<br />
Datenbankbasierung und die frei skalierbare Dreischicht-Architektur.<br />
EINFACH (MACHT) SCHNELL<br />
Während die „As-built“-Dokumentation <strong>in</strong> dieser Form<br />
e<strong>in</strong>e neue Fähigkeit ist, die das Unternehmen auf der<br />
Fachmesse Achema erstmals offiziell vorstellt, ist die<br />
Software bereits e<strong>in</strong>ige Jahre im E<strong>in</strong>satz. Gerade für die<br />
<strong>in</strong> der Prozess<strong>in</strong>dustrie übliche Massendaten-Verwaltung<br />
kann die Technologie des Systems mehr Effizienz erreichen,<br />
zumal hier besonders die Beliebigkeit der Bearbeitungs-Ansicht<br />
zum Tragen kommt. Die Tausenden von<br />
Mess- und Regelstellen lassen sich auch re<strong>in</strong> alphanumerisch<br />
bearbeiten, e<strong>in</strong>e grafische Darstellung ist dazu nicht<br />
Voraussetzung.<br />
Bei der Komplexität der Planungsaufgaben <strong>in</strong> prozesstechnischen<br />
Anlagen und den unterschiedlichen Her-<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012<br />
27
Schwerpunkt | achema<br />
Export-Manager: für die Auslagerung<br />
von Teilprojekten bei Um- und Ausbauten<br />
Markierte Auslagerungen<br />
Dreischichtarchitektur von<br />
Eng<strong>in</strong>eer<strong>in</strong>g Base: Zwei Server-,<br />
e<strong>in</strong>e Client-Ebene. Bilder: Aucotec<br />
angehensweisen der beteiligten Fachleute kann das<br />
Handl<strong>in</strong>g e<strong>in</strong>es Tools, das dies alles abdecken muss,<br />
sehr kompliziert se<strong>in</strong>. Ziel der EB-Entwickler war daher<br />
e<strong>in</strong>e möglichst e<strong>in</strong>fache Handhabung. So <strong>in</strong>tegrierten<br />
sie die weitverbreiteten Microsoft-Komponenten Visio,<br />
SQL-Server und VBA/.NET, die für <strong>in</strong>tuitives Arbeiten<br />
nach den Gewohnheiten aus der Office-Welt sorgen.<br />
Viele Anwender besche<strong>in</strong>igen dem System e<strong>in</strong>e bemerkenswert<br />
kurze E<strong>in</strong>führungsphase. So auch Gunter<br />
Hadwiger, Abteilungsleiter EMSR beim österreichischen<br />
Anlagenbauer Kanzler VT: „Für spezifische Anforderungen,<br />
etwa die Integration der unternehmenseigenen<br />
Stoffbilanz, wurden von der Projektierungstruppe<br />
eigene Objekte <strong>in</strong> kürzester Zeit und ohne Aufwand<br />
oder Vorkenntnisse erstellt.“ Dies bestätigt auch Gunnar<br />
Sandström, zur E<strong>in</strong>führung von EB als Senior Systems<br />
Eng<strong>in</strong>eer zuständig für die Verbesserung technischer<br />
Prozesse im Bereich M<strong>in</strong>erals/Metals and M<strong>in</strong><strong>in</strong>g bei<br />
ABB Roll<strong>in</strong>g Mills <strong>in</strong> Schweden.<br />
„Wir wollten e<strong>in</strong>en vollständigen ‚Werkzeugkasten‘,<br />
ohne selbst Werkzeugexperten se<strong>in</strong> zu müssen oder solche<br />
anzufordern. Mit e<strong>in</strong>em M<strong>in</strong>imum an Schulung<br />
schnell produktiv werden, das schafft Eng<strong>in</strong>eer<strong>in</strong>g<br />
Base.“ Die schnelle E<strong>in</strong>arbeitung lag auch der Holcim<br />
(Deutschland) AG am Herzen. „Dass wir mit Visio, VBA<br />
und dem SQL-Server arbeiten können, hat nicht nur den<br />
E<strong>in</strong>arbeitungsprozess stark beschleunigt. Durch die<br />
bekannten Arbeitsweisen geht auch die Alltagsarbeit<br />
schneller von der Hand“, sagt Mart<strong>in</strong> Wieczorek, Projektleiter<br />
CAE im Werk Lägerdorf.<br />
Autor<br />
mart<strong>in</strong> Imbusch ist<br />
Produktmanager bei<br />
der Aucotec AG. Er war<br />
maßgeblich an der<br />
Entwicklung Eng<strong>in</strong>eer<strong>in</strong>g<br />
Base beteiligt.<br />
Aucotec AG,<br />
Oldenburger Allee, D-30659 Hannover,<br />
Tel. +49 (0) 511 610 30,<br />
E-Mail: mim@aucotec.com<br />
28<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
<strong>atp</strong> <strong>edition</strong><br />
als Heft<br />
oder<br />
als ePaper<br />
Die Referenzklasse für die<br />
Automatisierungstechnik<br />
Erfahren Sie auf höchstem <strong>in</strong>haltlichen Niveau, was die<br />
Automatisierungsbranche bewegt. Alle Hauptbeiträge<br />
werden <strong>in</strong> e<strong>in</strong>em Peer-Review-Verfahren begutachtet,<br />
um Ihnen maximale <strong>in</strong>haltliche Qualität zu garantieren.<br />
Sichern Sie sich jetzt dieses erstklassige Lektüreerlebnis.<br />
Als exklusiv ausgestattetes Heft oder als<br />
praktisches ePaper – ideal für unterwegs, auf mobilen<br />
Endgeräten oder zum Archivieren.<br />
Gratis für Sie: Das Handbuch der Prozessautomatisierung<br />
Die 4. Aufl age dieses Handbuchs vermittelt <strong>in</strong> str<strong>in</strong>genter Struktur das essentielle Wissen zur<br />
Planung automatisierungstechnischer E<strong>in</strong>richtungen für verfahrenstechnische Anlagen und hat<br />
sich <strong>in</strong> der Branche als Standardnachschlagewerk etabliert.<br />
Für Qualität und Praxisnähe <strong>in</strong> der Darstellung steht das Autorenteam von 50 ausgewiesen und<br />
anerkannten Experten auf Ihren Arbeitsfeldern.<br />
<strong>atp</strong> <strong>edition</strong> ersche<strong>in</strong>t <strong>in</strong> der Oldenbourg Industrieverlag GmbH, Rosenheimerstr. 145, 81671 München<br />
Oldenbourg-Industrieverlag<br />
www.<strong>atp</strong>-onl<strong>in</strong>e.de<br />
Vorteilsanforderung per Fax: +49 (0) 931 / 4170 - 492 oder im Fensterumschlag e<strong>in</strong>senden<br />
Ja, ich möchte <strong>atp</strong> <strong>edition</strong> regelmäßig lesen. Bitte schicken Sie mir die Fachpublikation fü r<br />
zunächst e<strong>in</strong> Jahr (12 Ausgaben)<br />
□ als Heft fü r € 468,- zzgl. Versand (Deutschland: € 30,- / Ausland: € 35,-)<br />
□ als e-Paper (PDF-Datei als E<strong>in</strong>zellizenz) fü r € 468,-<br />
□ als Heft + e-Paper (PDF-Datei als E<strong>in</strong>zellizenz) fü r € 638,40 (Deutschland) / € 643,40 (Ausland)<br />
Als Dankeschön erhalte ich das „Handbuch der Prozessautomatisierung“ gratis.<br />
Nur wenn ich nicht bis von 8 Wochen vor Bezugsjahresende kü ndige, verlängert sich der Bezug um e<strong>in</strong> Jahr.<br />
Die sichere, pü nktliche und bequeme Bezahlung per Bankabbuchung wird mit e<strong>in</strong>er Gutschrift von € 20,-<br />
auf die erste Jahresrechung belohnt.<br />
Firma/Institution<br />
Vorname/Name des Empfängers<br />
Straße/Postfach, Nr.<br />
Land, PLZ, Ort<br />
Telefon<br />
Telefax<br />
Antwort<br />
Leserservice <strong>atp</strong><br />
Postfach 91 61<br />
97091 Würzburg<br />
E-Mail<br />
Branche/Wirtschaftszweig<br />
Bevorzugte Zahlungsweise □ Bankabbuchung □ Rechnung<br />
Bank, Ort<br />
Bankleitzahl<br />
✘<br />
Kontonummer<br />
Widerrufsrecht: Sie können Ihre Vertragserklärung <strong>in</strong>nerhalb von 14 Tagen ohne Angabe von Gründen <strong>in</strong> Textform (Brief, Fax, E-Mail) oder durch<br />
Rücksendung der Sache widerrufen. Die Frist beg<strong>in</strong>nt nach Erhalt dieser Belehrung <strong>in</strong> Textform. Zur Wahrung der Widerrufsfrist genügt die rechtzeitige Datum, Unterschrift<br />
PAATPE0112<br />
Absendung des Widerrufs oder der Sache an den Leserservice <strong>atp</strong>, Postfach 91 61, 97091 Würzburg.<br />
Nutzung personenbezogener Daten: Für die Auftragsabwicklung und zur Pfl ege der laufenden Kommunikation werden personenbezogene Daten erfasst, gespeichert und verarbeitet. Mit dieser Anforderung erkläre ich mich damit e<strong>in</strong>verstanden, dass ich vom<br />
Oldenbourg Industrieverlag oder vom Vulkan-Verlag □ per Post, □ per Telefon, □ per Telefax, □ per E-Mail, □ nicht über <strong>in</strong>teressante Fachangebote <strong>in</strong>formiert und beworben werde. Diese Erklärung kann ich mit Wirkung für die Zukunft jederzeit widerrufen.
hauptbeitrag<br />
<strong>Diagnosefähige</strong> <strong>Aktorik</strong> <strong>in</strong><br />
<strong>sicherheitsgerichteten</strong> <strong>Kreisen</strong><br />
E<strong>in</strong> Vergleich von Architekturkonzepten<br />
Für Feldgeräte <strong>in</strong> sicherheitstechnischen <strong>Kreisen</strong> ist es entscheidend, zur Vermeidung<br />
systematischer Fehler den Sicherheitslebenszyklus entsprechend DIN EN 61511 und<br />
DIN EN 61508 zu implementieren. In diesen Normen f<strong>in</strong>den sich klare Forderungen nach<br />
def<strong>in</strong>ierten Prozeduren, regelmäßigen Überprüfungen sowie e<strong>in</strong>er Dokumentation der<br />
erzielten Ergebnisse bis h<strong>in</strong> zur Analyse und de daraus resultierenden Maßnahmen. Diese<br />
organisatorischen Forderungen können durch Instrumentierung entsprechend dem<br />
derzeitigen Stand der Technik wirkungsvoll unterstützt werden. Für den Bereich der<br />
Stellgeräte s<strong>in</strong>d Konfigurationen mit marktgängigen Komponenten möglich. Neben e<strong>in</strong>em<br />
erhöhten Automatisierungsgrad, <strong>in</strong>sbesondere für die Phasen der Validierung, wiederkehrenden<br />
Prüfung und Prüfung im laufenden Betrieb, können diese sogar die Installationen<br />
vere<strong>in</strong>fachen. Aufbauend auf den Forderungen der Normen werden <strong>in</strong> diesem<br />
Beitrag entsprechende Architekturen vorgestellt und e<strong>in</strong> Ausblick auf die E<strong>in</strong>b<strong>in</strong>dung <strong>in</strong><br />
Arbeitsabläufe gegeben.<br />
SCHLAGWÖRTER DIN EN 61511, Partial Stroke Test / Wiederkehrende Prüfung /<br />
Sicherheitslebenszyklus / Automatisierte Prüfverfahren / Stellgeräte<br />
Control Valves with Diagnostic Functions <strong>in</strong> Safety-<strong>in</strong>strumented Systems –<br />
A Comparison of Architectures<br />
Implement<strong>in</strong>g the safety life cycle accord<strong>in</strong>g to IEC 61511 and IEC 61508 is decisive <strong>in</strong><br />
prevent<strong>in</strong>g systematic failures <strong>in</strong> field units <strong>in</strong>stalled <strong>in</strong> safety-<strong>in</strong>strumented systems. In<br />
these standards, clear requirements for def<strong>in</strong>ed procedures, regular test<strong>in</strong>g, documentation<br />
of test results, failure analysis and result<strong>in</strong>g actions are stipulated. Modern <strong>in</strong>strumentation<br />
is an important means of implement<strong>in</strong>g the safety life cycle. In the field of<br />
control valves the required accessories are readily available on the market. In addition to<br />
the higher degree of automation for validation, proof test<strong>in</strong>g and onl<strong>in</strong>e test<strong>in</strong>g while a<br />
process is runn<strong>in</strong>g, these control valves may even be simpler <strong>in</strong> their hook-up.<br />
KEYWORDS IEC 61511 / partial stroke test / proof test / safety life cycle / automated<br />
test<strong>in</strong>g / control valves<br />
30<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
Thomas Karte, Samson<br />
Bernd Schäfer, Hima<br />
Um Stellgeräte <strong>in</strong> Anlagen der Prozess<strong>in</strong>dustrie<br />
im laufenden Betrieb zu testen, wird seit e<strong>in</strong>igen<br />
Jahren das Verfahren des Partial Stroke<br />
Test<strong>in</strong>g (PST) viel diskutiert. Dabei wird die<br />
betreffende Armatur um e<strong>in</strong>e begrenzte Strecke<br />
bewegt; e<strong>in</strong>erseits soll durch diese Bewegung die<br />
Funktionsfähigkeit nachgewiesen werden, andererseits<br />
wird durch e<strong>in</strong>e Wegbegrenzung sichergestellt, dass der<br />
laufende Prozess nicht bee<strong>in</strong>trächtigt wird. Schon länger<br />
bekannt s<strong>in</strong>d Vorgehensweisen, bei denen e<strong>in</strong>e mechanische<br />
Verblockung benutzt wird. Der Test wird dann<br />
durch manuelles Abziehen des Steckers am Magnetventil<br />
ausgelöst. Inzwischen s<strong>in</strong>d jedoch Feldgeräte verfügbar,<br />
die diesen Test automatisch durchführen. Insbesondere<br />
Stellungsregler verschiedener Hersteller bieten e<strong>in</strong>e<br />
solche Möglichkeit. Diese Technologie gilt <strong>in</strong>zwischen<br />
als ausgereift. Ursprüngliche Sorgen, zum Beispiel bezüglich<br />
e<strong>in</strong>es Überschw<strong>in</strong>gens des Ventils und e<strong>in</strong>er<br />
damit verbundenen Störung des laufenden Betriebs der<br />
Anlage, s<strong>in</strong>d widerlegt.<br />
Trotz dieser technischen Fortschritte und trotz des<br />
hohen potenziellen Nutzens werden die Möglichkeiten<br />
des Onl<strong>in</strong>e-Testens noch wenig genutzt. Es hat sich gezeigt,<br />
dass nicht nur die Gerätetechnik des speziellen<br />
Feldgeräts (Stellungsregler) sondern die gesamte E<strong>in</strong>b<strong>in</strong>dung<br />
<strong>in</strong> Anlagenstruktur und Arbeitsorganisation über<br />
die Machbarkeit und den Erfolg des Verfahrens entscheiden.<br />
Der Beitrag erläutert den Stand der Technik bezüglich<br />
dieser Aspekte.<br />
1. Anwendung<br />
E<strong>in</strong>e sehr gute Übersichtsdarstellung zu den Anforderungen<br />
an Test- und Diagnoseverfahren <strong>in</strong> <strong>sicherheitsgerichteten</strong><br />
<strong>Kreisen</strong> f<strong>in</strong>det sich zum Beispiel <strong>in</strong> [1]. E<strong>in</strong>e<br />
umfassende Behandlung etwa der Auswirkungen des<br />
Partial Stroke Test<strong>in</strong>g auf die Verfügbarkeit (Probability<br />
of Failure on Demand – PFD) ist <strong>in</strong> [2] nachzulesen. E<strong>in</strong>e<br />
Betrachtung zur Kategorisierung der Test- und Diagnoseverfahren<br />
wird <strong>in</strong> [3] gegeben. Insgesamt fällt auf, dass<br />
sich die Betrachtungen durchgängig mit den Auswirkungen<br />
der Testverfahren auf die Rate der zufälligen<br />
Fehler befassen. Wichtig ersche<strong>in</strong>t aber, das gesamte<br />
Anforderungsprofil aus DIN EN 61511 zu verstehen und<br />
daraus entsprechende Schlussfolgerungen für den E<strong>in</strong>satz<br />
von Testverfahren abzuleiten. Die Diskussionen und<br />
Veröffentlichungen der letzten Jahre haben die Bedeutung<br />
von systematischen Fehlern, <strong>in</strong>sbesondere für <strong>Aktorik</strong><br />
und damit Stellgeräte, <strong>in</strong> den Mittelpunkt gestellt<br />
[4, 9, 1]. Entsprechend der Norm werden systematische<br />
Fehler und zufällige Fehler unterschieden (Bild 1).<br />
Kann die Ursache e<strong>in</strong>es Fehlers – und sei es nur nach<br />
e<strong>in</strong>em entsprechenden Vorfall – klar festgestellt werden<br />
und lassen sich Maßnahmen ergreifen, die e<strong>in</strong>en solchen<br />
Fehler zuverlässig verh<strong>in</strong>dern, so handelt es sich um<br />
e<strong>in</strong>en systematischen Fehler. Hierunter fällt für Stellgeräte<br />
zum Beispiel die richtige Dimensionierung, die<br />
Auslegung für den E<strong>in</strong>satzfall entsprechend Medienverträglichkeit,<br />
Druck- und Temperaturverhältnissen sowie<br />
die Beachtung der Umgebungsbed<strong>in</strong>gungen [5]. Das entscheidende<br />
Werkzeug zur Beherrschung systematischer<br />
Fehler ist die E<strong>in</strong>führung e<strong>in</strong>es Sicherheitslebenszyklus<br />
(Functional Safety Management System – FSM). Bild 2<br />
verdeutlicht die Forderung nach e<strong>in</strong>er geregelten Vorgehensweise,<br />
die Schritt für Schritt e<strong>in</strong>e systematische<br />
Abarbeitung e<strong>in</strong>zelner Phasen wie Sicherheitsanalyse,<br />
Def<strong>in</strong>ition der Anforderungen, Def<strong>in</strong>ition der Auslegung,<br />
geordnete Implementierung, Validierung bis h<strong>in</strong><br />
zur def<strong>in</strong>ierten Vorgehensweise für Betrieb und Wartung<br />
vorsieht. E<strong>in</strong>e e<strong>in</strong>gehende Erörterung dieser Aspekte<br />
f<strong>in</strong>det sich <strong>in</strong> [4]. Werden alle geforderten Schritte e<strong>in</strong>gehalten,<br />
so ist davon auszugehen, dass systematische<br />
Fehler auf e<strong>in</strong> M<strong>in</strong>imum reduziert s<strong>in</strong>d. Das verbleibende<br />
Risiko – unerkannte systematische Fehler – wird<br />
entsprechend Bild 1 durch drei Mechanismen e<strong>in</strong>gegrenzt,<br />
nämlich durch:<br />
Diagnose oder Tests,<br />
Fail-Safe-Verhalten der e<strong>in</strong>gesetzten Geräte – wenn<br />
Ausfall, dann <strong>in</strong> die sichere Richtung,<br />
Redundanz, bevorzugt diversitäre Redundanz.<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012<br />
31
Hauptbeitrag<br />
Schon diese Betrachtungsweise macht jenseits jeder Wahrsche<strong>in</strong>lichkeitsbetrachtung<br />
die Bedeutung von Diagnose<br />
und Tests, <strong>in</strong>sbesondere im laufenden Betrieb, klar. Aufbauend<br />
auf der Sicherheitsanalyse werden sicherheitsgerichtete<br />
Kreise implementiert. In der überwiegenden<br />
Mehrzahl der Fälle ist es Aufgabe der <strong>in</strong> diesen <strong>Kreisen</strong><br />
<strong>in</strong>stallierten Stellgeräte, im Falle e<strong>in</strong>er Anforderung e<strong>in</strong>e<br />
Rohrleitung abzusperren oder freizugeben. Die Überprüfung<br />
der Funktionsfähigkeit dieser Stellgeräte im laufenden<br />
Betrieb kann zur Aufdeckung bisher nicht erkannter<br />
systematischer Fehler führen. Das wird an e<strong>in</strong>em e<strong>in</strong>fachen<br />
Beispiel verdeutlicht: Berücksichtigt die Antriebsauslegung<br />
e<strong>in</strong>es Stellgeräts nicht alle Betriebsphasen, so<br />
mag die Validierung (also der Funktionstest der Armatur)<br />
im Rahmen der sogenannten Wasserfahrt noch e<strong>in</strong>wandfreie<br />
Funktionalität signalisieren. Das Festsitzen der Armatur<br />
während e<strong>in</strong>er kritischen Betriebsphase, zum Beispiel<br />
wegen kritischer Medien oder falsch e<strong>in</strong>geschätzter<br />
Druckverhältnisse an der Armatur, lässt sich aber nur über<br />
den Beweglichkeitstest im laufenden Betrieb erkennen.<br />
E<strong>in</strong>ige Anforderungen, die sich im Sicherheitslebenszyklus<br />
ergeben und <strong>in</strong> den Normen explizit aufgeführt<br />
s<strong>in</strong>d, seien kurz zitiert: Durchgängig wird e<strong>in</strong>e strukturierte<br />
Vorgehensweise gefordert, das heißt, es müssen<br />
nach DIN EN 61511 Kapitel 15 und 16, sowie VDI 2180-3<br />
und VDI 2180-5 [6, 7, 8]:<br />
def<strong>in</strong>ierte Prozeduren vorhanden se<strong>in</strong>, die reproduzierbar<br />
durchgeführt werden können,<br />
die Prozeduren dokumentiert werden,<br />
das Ergebnis von Prüfungen dokumentiert werden,<br />
sowohl im Falle e<strong>in</strong>es Fehlers als auch im Fall e<strong>in</strong>wandfreier<br />
Funktion,<br />
die Testergebnisse analysiert und Schlussfolgerungen<br />
für mögliche Verbesserungen gezogen werden,<br />
alle Betriebsphasen <strong>in</strong> den Tests berücksichtigt werden,<br />
Stellgeräte unter Betriebsbed<strong>in</strong>gungen geprüft werden,<br />
<strong>in</strong>sbesondere bei vollem Betriebsdruck.<br />
Besonders die letzten beiden Forderungen s<strong>in</strong>d durch<br />
die oft geübte Praxis – Test des Sicherheitskreises durch<br />
Funktionstest bei abgestellter Anlage – sicherlich nicht<br />
erfüllt. Insgesamt verdeutlicht die Aufzählung, dass e<strong>in</strong><br />
automatisierter Testablauf dem geforderten Sicherheitslebenszyklus<br />
weit besser entspricht als manuelle Prüfmethoden<br />
mit Bewertung durch Beobachtung. „E<strong>in</strong>richtungen<br />
zur automatischen Funktionsüberwachung (zum<br />
Beispiel Laufzeit- oder Stellungsüberwachung, Plausibilitätsprüfung,<br />
Schritt- und Zeitüberwachung)“ werden<br />
<strong>in</strong> VDI 2180-3, Absatz 2.2.3.2 [7] explizit verlangt. Die<br />
Anforderungen an den Sicherheitskreis müssen def<strong>in</strong>iert<br />
werden. Aus diesen lassen sich auch die Anforderungen<br />
für das Stellgerät ableiten. Diese s<strong>in</strong>d im Wesentlichen:<br />
Die Reaktionszeit: Innerhalb welchen Zeitraums<br />
nach Anforderung der Sicherheitsfunktion muss<br />
dass Stellgerät die vorgesehene Position erreichen?<br />
Welche Dichtheit oder welcher Öffnungsquerschnitt<br />
muss erreicht werden? Daraus lassen sich Anforderungen<br />
an die genaue Position herleiten.<br />
Welche Antriebskraft oder welches Drehmoment<br />
muss aufgebracht werden? Wie groß ist die erforderliche<br />
Reserve, mit der alle Betriebsbed<strong>in</strong>gungen und<br />
Alterungsprozesse sicher beherrscht werden können?<br />
Je nach spezieller Anwendung können sich zusätzliche<br />
Forderungen ergeben [5, 8]. Entsprechend den gestellten<br />
Anforderungen s<strong>in</strong>d Diagnose- und Testverfahren nach<br />
dem Grad der Fehleraufdeckung (Diagnostic coverage,<br />
proof test coverage) zu bewerten. Dies kann zum Beispiel<br />
durch e<strong>in</strong>e FMEDA geschehen.<br />
Bei der Sensorik ist e<strong>in</strong> <strong>in</strong>teressanter Trend zu beobachten:<br />
In dem Bemühen um e<strong>in</strong>en möglichst hohen Grad<br />
an Fehleraufdeckung werden <strong>in</strong>zwischen b<strong>in</strong>äre Überwachungen<br />
wie Grenzwertschalter für Füllstand, Temperatur<br />
oder Durchfluss häufig durch analoge Sensoren<br />
ersetzt. E<strong>in</strong> analoges Signal lässt sich eben besser auf<br />
Plausibilität überprüfen; hier bieten sich zum Beispiel<br />
e<strong>in</strong>e Analyse des Rauschverhaltens und e<strong>in</strong>e Korrelation<br />
mit Prozesswerten anderer Messstellen an. Dem würde<br />
auf Seiten der <strong>Aktorik</strong> der E<strong>in</strong>satz e<strong>in</strong>es analogen Stellungsmelders<br />
mit kont<strong>in</strong>uierlicher Wegerfassung für den<br />
gesamten Hubbereich anstelle der bisher gebräuchlichen<br />
<strong>in</strong>duktiven Endlagenschalter entsprechen. Dies ist <strong>in</strong><br />
der betrieblichen Praxis entsprechend dem Kenntnisstand<br />
der Autoren nur selten implementiert.<br />
Für folgende Phasen des Lebenszyklus bieten sich automatisierte<br />
Testverfahren an:<br />
Validierung bei Inbetriebnahme<br />
Wiederkehrende Prüfung<br />
Prüfung im laufenden Betrieb<br />
Prüfung bei planmäßiger oder <strong>in</strong>sbesondere auch<br />
unvorhergesehener Abschaltung<br />
Neben der Betrachtung systematischer Fehler s<strong>in</strong>d auch<br />
zufällige Fehler zu berücksichtigen. Bei mechanischen<br />
Systemen ist die Ursache e<strong>in</strong>es Versagens <strong>in</strong> der Regel<br />
erkennbar. Dieser Ursache kann durch entsprechende<br />
Design- oder Verfahrensänderung Rechnung getragen<br />
werden. Daher s<strong>in</strong>d für mechanische Systeme zufällige<br />
Fehler weit weniger signifikant. E<strong>in</strong>e ausführliche Begründung<br />
für diesen Sachverhalt f<strong>in</strong>det sich zum Beispiel<br />
<strong>in</strong> [9]. Auch im Fall zufälliger Fehler fordert die<br />
Norm [6] die Anwendung der Werkzeuge Diagnose, Fail-<br />
Safe-Verhalten und Redundanz. Zusätzlich wird der<br />
rechnerische – probabilistische – Nachweis der erreichten<br />
Zuverlässigkeit verlangt.<br />
Zur Berechnung der Ausfallwahrsche<strong>in</strong>lichkeit wird<br />
entsprechend [6] der e<strong>in</strong>fache Zusammenhang:<br />
Formel 1: PFD = ½ ∙ λ du ∙ T PR<br />
angewendet.<br />
Wird e<strong>in</strong> Testverfahren wie zum Beispiel PST mit e<strong>in</strong>er<br />
gegenüber dem Prooftest<strong>in</strong>tervall häufigeren Testfrequenz<br />
e<strong>in</strong>gesetzt, ändert sich die PFD zu<br />
Formel 2:<br />
PFD = ½ ∙ λ du ∙ (1-DC) ∙ T PR + ½ ∙ λ du ∙ DC ∙ T PST<br />
Diagnose und Testverfahren gehen also direkt <strong>in</strong> das Ergebnis<br />
e<strong>in</strong>. Demzufolge kann e<strong>in</strong>e verlängerte Prüfdauer<br />
über entsprechende Diagnoseverfahren angestrebt werden.<br />
Dies ersche<strong>in</strong>t für viele Anwendungen realistisch,<br />
muss aber im E<strong>in</strong>zelfall analysiert werden. Näherungsweise<br />
ergibt sich, dass e<strong>in</strong>e Testabdeckung von 50 % e<strong>in</strong>e<br />
Verdoppelung der Laufzeit zwischen zwei vollständigen<br />
Prüfungen mit Anlagenstillstand ermöglicht. Weiterfüh-<br />
32<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
ende Betrachtungen liefern [2, 11, 12]. Dieser rechnerisch<br />
ermittelte Wert ist jedoch nur bei konstanter Fehlerrate<br />
gültig. Steigt die Fehlerrate im betrachteten Zeitraum<br />
an, zum Beispiel durch Verschleiß oder Alterung,<br />
so ist dies der maßgebliche Mechanismus. Soll zum<br />
Beispiel e<strong>in</strong>e ununterbrochene Laufzeit von fünf Jahren<br />
erreicht werden, so ist bei entsprechend ger<strong>in</strong>ger Ausfallrate<br />
der rechnerische Nachweis zur Erreichung dieser<br />
Laufzeit e<strong>in</strong>fach möglich. Es ist zu beachten, dass die<br />
angenommene Konstanz der Fehlerrate durch Prozesse<strong>in</strong>fluss,<br />
Alterung, Verschleiß oder andere Mechanismen<br />
bee<strong>in</strong>trächtigt wird.<br />
In diesem Zusammenhang ist jedoch Vorsicht im Umgang<br />
mit den statistischen Daten ratsam: Bei allen den<br />
Autoren bekannten Veröffentlichungen zur rechnerischen<br />
Betrachtung der Ausfallwahrsche<strong>in</strong>lichkeit (PFD)<br />
wird ke<strong>in</strong>e Fehlerrechnung durchgeführt, die Belastbarkeit<br />
der ermittelten Werte also nicht untersucht. Dies<br />
kann zu nicht gerechtfertigtem Vertrauen <strong>in</strong> die rechnerischen<br />
Werte führen. So wird beispielsweise <strong>in</strong> [10]<br />
angeführt, dass sich verschiedene Datenbanken für elektronische<br />
Bauteile oft <strong>in</strong> ihren Angaben um mehr als e<strong>in</strong>e<br />
Zehnerpotenz unterscheiden.<br />
2. Anforderungen an den Workflow<br />
Feldgeräte bieten e<strong>in</strong>e Vielzahl von Diagnosemöglichkeiten.<br />
Über den möglichen Nutzen für den Anwender entscheiden<br />
nicht nur die Leistungsfähigkeit dieser Geräteeigenschaften<br />
sondern <strong>in</strong>sbesondere die Möglichkeit, die<br />
Anwendung dieser Diagnose <strong>in</strong> den betrieblichen Alltag<br />
e<strong>in</strong>zub<strong>in</strong>den.<br />
Die Möglichkeiten für Stellgeräte werden anhand des<br />
E<strong>in</strong>satzes von Stellungsreglern oder <strong>in</strong>telligenten Grenzsignalgebern<br />
kurz angedeutet. E<strong>in</strong>e grafische Darstellung<br />
e<strong>in</strong>es automatisierten Vollhubtests f<strong>in</strong>det sich <strong>in</strong> Bild 3,<br />
e<strong>in</strong>e parametrisierte Auswertung <strong>in</strong> Bild 4. Messungen<br />
dieser Art können von diesen Geräten lokal durchgeführt,<br />
aufgezeichnet und ausgewertet werden [11, 12]. Bild 5<br />
stellt zwei Aufbauvarianten dar: l<strong>in</strong>ks e<strong>in</strong>e mit Magnetventil<br />
und <strong>in</strong>duktiven Endlagenschaltern automatisierte<br />
Klappe, rechts e<strong>in</strong>en nach Stand der Technik mit elektronischem<br />
Grenzwertgeber ausgerüsteten Kugelhahn. Die<br />
Parameter Totzeit, Laufzeit der Armatur bis zum Erreichen<br />
der Endstellung, genaue Messung der erreichten<br />
Endlage und benötigte Antriebskraft werden durch die<br />
geräte<strong>in</strong>terne Weg- und Druckmessung erfasst. Die Resul-<br />
BILD 1: Versagensursachen nach [4] BILD 2: Sicherheitslebenszyklus nach DIN EN 61511-1 Bild 8<br />
Symbolverzeichnis<br />
BPCS Basic process control system Betriebs- und Überwachungse<strong>in</strong>richtungen als e<strong>in</strong> System (Leitsystem)<br />
DC Diagnostic coverage Diagnose-Deckungsgrad<br />
FMEDA Failure modes, effects and diagnostic coverage analysis Fehlermöglichkeits-, E<strong>in</strong>fluss- und Diagnoseanalyse<br />
FSM Functional safety management system Management der funktionalen Sicherheit<br />
HFT Hardware fault tolerance Hardware-Fehlertoleranz (Redundanzgrad)<br />
PFD Probability of failure on demand Mittlere Wahrsche<strong>in</strong>lichkeit e<strong>in</strong>es Ausfalls bei Anforderung<br />
PST Partial stroke test<strong>in</strong>g Teilhub-Testverfahren<br />
SIS Safety <strong>in</strong>strumented system Sicherheitstechnisches System<br />
T PR Proof test <strong>in</strong>tervall Zeitdauer zwischen den wiederkehrenden Prüfungen<br />
T PST Partial stroke test <strong>in</strong>tervall Zeitdauer zwischen Partial-Stroke-Tests<br />
λ du Failure rate dangerous undetected Rate gefährlicher, unentdeckter Fehler<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012<br />
33
Hauptbeitrag<br />
tate lassen sich aus dem Weg-Zeit-Diagramm ablesen, sie<br />
werden aber auch <strong>in</strong>nerhalb des Stellungsreglers als charakteristische<br />
Zeiten beziehungsweise Werte ermittelt.<br />
Darüber h<strong>in</strong>aus kann noch über den Stick-Slip-Effekt auf<br />
Reibkräfte geschlossen werden. E<strong>in</strong> Antrieb mit hoher<br />
Reibung würde im Weg-Zeit-Diagramm e<strong>in</strong> ruckhaftes<br />
Verfahren zeigen.<br />
E<strong>in</strong> Vergleich all dieser Messwerte mit den erwähnten<br />
aus der Norm resultierenden Anforderungen zeigt, dass<br />
die Funktionsfähigkeit des Stellgerätes im Sicherheitskreis<br />
umfassend beurteilt werden kann. Der genaue Grad<br />
der Diagnose- sowie die Testabdeckung ist im E<strong>in</strong>zelnen<br />
festzulegen, e<strong>in</strong> mögliches Vorgehen dafür ist die Gegenüberstellung<br />
der potenziellen Fehlerquellen der Gefahrenanalyse<br />
zu den Diagnosemöglichkeiten des e<strong>in</strong>gesetzten<br />
Feldgerätes. Die Beweglichkeit der Armatur und das<br />
genaue Erreichen der Endlage oder Zwischenposition<br />
kann e<strong>in</strong>wandfrei beurteilt werden. Lediglich bei hohen<br />
Anforderungen an die Dichtigkeit können eventuell zusätzliche<br />
Messungen erforderlich werden.<br />
Die E<strong>in</strong>b<strong>in</strong>dung dieser Methodik <strong>in</strong> den Betriebsablauf<br />
ist mit der Durchführung e<strong>in</strong>es e<strong>in</strong>zelnen Tests aber noch<br />
nicht gegeben. E<strong>in</strong>e Übersicht über die Abfolge aller notwendigen<br />
Schritte gibt Tabelle 1. Neben der automatisierten<br />
Durchführung e<strong>in</strong>es Tests ist es <strong>in</strong>sbesondere von<br />
Bedeutung, dass die Ergebnisse erfasst und abgespeichert<br />
werden können. Es muss e<strong>in</strong>e Datenbank zur Verfügung<br />
stehen, die es gestattet, alle durchgeführten Testläufe festzuhalten.<br />
Hierbei ist die Archivierung von Bedeutung<br />
sowie die entsprechende Auswertung, sowohl für den<br />
E<strong>in</strong>zeltest als auch für Trends, die sich erst <strong>in</strong> der Zusammenschau<br />
mehrerer Tests oder gar <strong>in</strong> Korrelation mit anderen<br />
Prozesswerten ergeben. Entsprechend trägt Tabelle<br />
1 <strong>in</strong> senkrechter Richtung alle notwendigen Arbeitsschritte<br />
auf, <strong>in</strong> waagrechter Richtung wird e<strong>in</strong>e Aufgabenverteilung<br />
auf die Ressourcen Stellungsregler und Asset-<br />
Management-System vorgeschlagen. Die genaue Verteilung<br />
der Aufgaben ist natürlich diskussionsfähig, aber es<br />
wird doch die Notwendigkeit e<strong>in</strong>es übergeordneten Systems<br />
mit gegenüber e<strong>in</strong>em Feldgerät erweiterten Ressourcen<br />
evident.<br />
3. Architekturen des Sicherheitskreises<br />
Wird die Verfügbarkeit e<strong>in</strong>es PST-fähigen Stellungsreglers<br />
vorausgesetzt, so ergibt sich sofort e<strong>in</strong>e Anordnung der<br />
Feldgeräte wie <strong>in</strong> Bild 6 A dargestellt und <strong>in</strong> Tabelle 2<br />
bewertet. Der Sicherheitskreis ist klassisch mit Magnetventil<br />
zur Abschaltung und Endlagenschaltern zur Positionsmeldung<br />
ausgerüstet. E<strong>in</strong> Stellungsregler, pneumatisch<br />
dem Magnetventil vorgeschaltet, sorgt für die gewünschte<br />
PST-Funktionalität. Die Auslösung des Tests<br />
erfolgt lokal am Stellungsregler, die Datenübertragung der<br />
Messdaten und ausgewerteten Ergebnisse an das übergeordnete<br />
Asset-Management-System über digitale Kommunikation<br />
per HART-Protokoll. E<strong>in</strong>e Auskoppelung des<br />
HART-Protokolls kann zum Beispiel über geeignete Trennverstärker<br />
geschehen, wie sie am Markt verfügbar s<strong>in</strong>d<br />
(Beispiele siehe [13, 14]). Diese Konfiguration wurde und<br />
wird <strong>in</strong> der Praxis e<strong>in</strong>gesetzt, für den Test – <strong>in</strong>sbesondere<br />
durch Bedienpersonal vor Ort – ist sie auch durchaus<br />
geeignet. Für große Anlagen mit e<strong>in</strong>er Vielzahl von Armaturen<br />
und bei reduziertem Wartungspersonal fällt aber<br />
der erforderliche Testaufwand negativ <strong>in</strong>s Gewicht. E<strong>in</strong>e<br />
Vielzahl weiterer Konfigurationen ist möglich, hier wird<br />
die vorteilhafteste Lösung B beschrieben (Bild 6 B):<br />
Unter Verzicht auf das Magnetventil wird der Stellungsregler<br />
zur <strong>sicherheitsgerichteten</strong> Abschaltung<br />
und zum automatisierten Test e<strong>in</strong>gesetzt. Voraussetzung<br />
dafür ist e<strong>in</strong>e Eignung des Stellungsreglers<br />
entsprechend DIN EN 61508 beziehungsweise 61511.<br />
Entsprechende Geräte s<strong>in</strong>d verfügbar. Diese Konfiguration<br />
erspart <strong>in</strong> erheblichem Umfang Verkabelungsaufwand<br />
und erhöht auch die Testtiefe, da nur<br />
e<strong>in</strong>e pneumatische E<strong>in</strong>heit verwendet wird und<br />
diese auch den Testlauf durchführt.<br />
Der Stellungsregler ist über 4–20 mA direkt an die<br />
Sicherheits-SPS angeschlossen. Entsprechend zertifizierte<br />
Ausgangskarten s<strong>in</strong>d am Markt.<br />
Das HART-Protokoll wird ohne zusätzliche Rangierung<br />
auf die Ebene der Trennverstärker durch die<br />
Sicherheits-SPS getunnelt. Zur Weiterleitung an das<br />
Asset-Management-System wird die <strong>in</strong> der Praxis ohneh<strong>in</strong><br />
meist gelegte Ethernetverb<strong>in</strong>dung zwischen<br />
SPS und Leitsystem (Basic Process Control System –<br />
BPCS) benutzt. Die Schematik der Verschaltung zeigt<br />
Bild 7. Die Besonderheit dieser Architektur ist die<br />
parallele, gleichzeitige Funktion der HART-Kommunikation.<br />
Dies bedeutet gegenüber der seriellen Arbeitsweise<br />
e<strong>in</strong>es Multiplexers e<strong>in</strong>en erheblichen Zeitvorteil.<br />
Die Kommunikationsmöglichkeiten können<br />
gezielt e<strong>in</strong>geschränkt werden. Damit ist gewährleistet,<br />
dass die ermittelten Testdaten aus den Feldgeräten<br />
ausgelesen werden können, ohne durch irrtümliche<br />
Parametrierung deren Funktionalität zu verändern.<br />
Mit der favorisierten Lösung nach Bild 6 B ist e<strong>in</strong>erseits<br />
das Auslesen von Diagnosedaten möglich, andererseits<br />
wird e<strong>in</strong>e irrtümliche Konfiguration des Feldgeräts zuverlässig<br />
verh<strong>in</strong>dert. Folgende Kriterien werden zur Beurteilung<br />
herangezogen:<br />
Der Stellungsregler wird durch Standardsignale angesteuert:<br />
+20 mA signalisieren Normalbetrieb – Endlage<br />
+12 mA signalisieren Start Testlauf<br />
+4 mA signalisieren sicherheitsgerichtete Abschaltung<br />
Stellungsregler mit entsprechendem Zertifikat für<br />
zuverlässige Abschaltung bei 4 mA (anstelle von<br />
0 mA) gibt es.<br />
Auch während des Testlaufs ist die sicherheitsgerichtete<br />
Abschaltung möglich, da der Stellungsregler<br />
e<strong>in</strong>e etwaige Abschaltung priorisiert behandelt.<br />
Der Testlauf wird nach Triggerung durch e<strong>in</strong> externes<br />
Signal lokal durch den Stellungsregler durchgeführt.<br />
Dadurch ist e<strong>in</strong>e hohe Regelgüte für den vorgegebenen<br />
Verfahrweg möglich.<br />
Die Daten entsprechend Bild 3 werden lokal erfasst<br />
und abgespeichert. Diese Vorgehensweise ermöglicht<br />
Abtastraten beispielsweise für die Position der<br />
Armatur und den Antriebsdruck im Millisekundenbereich<br />
mit entsprechend positiver Auswirkung auf<br />
die Güte der Messwerte und damit e<strong>in</strong>e hohe Diagnoseabdeckung.<br />
Die Bedienschnittstelle wird über die sicherheitsgerichtete<br />
Steuerung abgebildet. Damit ist es möglich,<br />
34<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
Arbeitsschritte PST Stellungsregler Asset Management Annahme<br />
Auslösen Manuell/Automatisch Manuell/Automatisch<br />
Durchführen<br />
Rampe/Sprungantwort<br />
Erfassung Ergebnisse<br />
<strong>in</strong> Echtzeit<br />
Weg-Zeit-Diagramm, Kennzahlen<br />
Ergebnisse aus Feldgerät auslesen Weg-Zeit-Diagramm, Kennzahlen Weg-Zeit-Diagramm, Kennzahlen<br />
Ergebnisse abspeichern Weg-Zeit-Diagramm, Kennzahlen Weg-Zeit-Diagramm, Kennzahlen<br />
Arbeitsschritte Nachbereitung<br />
Auswertung e<strong>in</strong>es Testlaufs Lokale Diagnose<br />
Diagnose, Verb<strong>in</strong>dung zu Prozess<strong>in</strong>formationen<br />
Alarmgenerierung<br />
Lokale Alarmgenerierung<br />
Alarmgenerierung und E<strong>in</strong>beziehung<br />
Prozess<strong>in</strong>formation<br />
Archivierung<br />
Langzeitspeicherung <strong>in</strong> Datenbank<br />
Vergleich e<strong>in</strong>zelner Messwerte<br />
Trend über mehrere Testläufe<br />
über mehrere Testläufe, Diagnose,<br />
Alarmgenerierung<br />
Datenübertragung <strong>in</strong><br />
Echtzeit nicht möglich<br />
Tabelle 1: Workflow Partial Stroke Test (PST)<br />
Lösung A Lösung B Lösung C Lösung D<br />
Sicherheitsgerichtete Ansteuerung Magnetventil Stellungsregler Magnetventil Magnetventil<br />
Partial Stroke Test<strong>in</strong>g (PST) Stellungsregler Stellungsregler Magnetventil Magnetventil<br />
Wegrückmeldung<br />
Endlagenschalter<br />
Endlagenschalter,<br />
alternativ Transmitter<br />
Endlagenschalter,<br />
alternativ Transmitter<br />
Druckmessung Antrieb Stellungsregler Stellungsregler Optional Transmitter<br />
Test der Pneumatik ne<strong>in</strong> ja ja ja<br />
Endschalter<br />
Tabelle 2: Architekturvergleich der Vorschläge aus Bild 6<br />
BILD 3: Vollhubtest<br />
BILD 4: Protokoll Ventilbewegungen<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012<br />
35
Hauptbeitrag<br />
e<strong>in</strong> entsprechendes, normkonformes Regelwerk für<br />
e<strong>in</strong>e Ent- und Verriegelung des Sicherheitskreises<br />
mit e<strong>in</strong>fachen Mitteln zu h<strong>in</strong>terlegen.<br />
Die Wegrückmeldung erfolgt analog. Dies wiederum<br />
führt gegenüber e<strong>in</strong>er Signalisierung über zwei Endlagenschalter<br />
zu e<strong>in</strong>em ger<strong>in</strong>geren Verkabelungsaufwand<br />
und hat den Vorteil e<strong>in</strong>er höheren Messgenauigkeit<br />
beziehungsweise verbesserten Diagnosemöglichkeit.<br />
Bei großen Armaturen mit entsprechender Anforderung<br />
an die Luftleistung der steuernden Komponenten<br />
kann e<strong>in</strong> analoger pneumatischer Booster <strong>in</strong> der<br />
Verb<strong>in</strong>dungsleitung zwischen Stellungsregler und<br />
Antrieb e<strong>in</strong>gesetzt werden (gestrichelte Darstellung<br />
<strong>in</strong> Bild 6 B). Auch hier s<strong>in</strong>d <strong>in</strong>zwischen zertifizierte<br />
Geräte marktgängig.<br />
Zu weiteren denkbaren Varianten s<strong>in</strong>d e<strong>in</strong>ige Anmerkungen<br />
angebracht:<br />
Bild 6 C legt die Funktionalität des Tests ganz <strong>in</strong> die<br />
Sicherheits-SPS: Der pneumatische Antrieb wird nun<br />
über das Magnetventil angesteuert, der Regelkreis zur<br />
Steuerung des Testlaufs über e<strong>in</strong>en analogen Stellungstransmitter<br />
geschlossen. Um e<strong>in</strong>e im Vergleich zu Variante<br />
B gleichwertige Diagnosetiefe zu erhalten, ist e<strong>in</strong><br />
Drucktransmitter zur Messung des Antriebsdrucks<br />
vorgesehen. Diese Konfiguration hat den Vorteil, dass<br />
das komplette Regelwerk für den Testablauf und die<br />
Auswertung <strong>in</strong> der SPS h<strong>in</strong>terlegt werden kann und<br />
damit zertifizierungsfähig ist. Nachteilig ist demgegenüber<br />
e<strong>in</strong>e verr<strong>in</strong>gerte Abtastrate, die aber beim E<strong>in</strong>satz<br />
moderner Systeme je nach Ausführung auch unter<br />
100 Millisekunden liegen kann. Die Abtastrate ist für<br />
die erzielbare Regelgüte des Testlaufs (Überschw<strong>in</strong>gen)<br />
und für die Güte der Diagnose von Bedeutung. Entsprechend<br />
kommt Konfiguration C bevorzugt für große Armaturen<br />
mit Laufzeiten größer 5 Sekunden <strong>in</strong> Betracht.<br />
Bild 6 B ist auch für den Sonderfall der Mitnutzung<br />
e<strong>in</strong>er Regelarmatur für die sicherheitsgerichtete Abschaltung<br />
e<strong>in</strong>setzbar. Diese Mitnutzung f<strong>in</strong>det sich<br />
häufig <strong>in</strong> Anlagen im deutschen und europäischen<br />
Raum. E<strong>in</strong>e entsprechende Analyse der sicherheitstechnischen<br />
Aspekte f<strong>in</strong>det sich <strong>in</strong> [15]. Klassisch wird<br />
<strong>in</strong> diesem Fall e<strong>in</strong> Stellungsregler – angesteuert durch<br />
das BPCS – und e<strong>in</strong> Magnetventil – angesteuert durch<br />
die SPS – <strong>in</strong>strumentiert. Es s<strong>in</strong>d zwei Leitungen <strong>in</strong>s<br />
Feld notwendig. Entsprechend der Abbildung wäre<br />
aber auch e<strong>in</strong>e sehr elegante und e<strong>in</strong>fache Lösung<br />
denkbar. E<strong>in</strong> Stellungsregler wird zur Regelung, Abschaltung<br />
und für den Test e<strong>in</strong>gesetzt. Die Ansteuerung<br />
erfolgt nur über die SPS. Der notwendige Regelalgorithmus<br />
müsste dann <strong>in</strong> der SIS h<strong>in</strong>terlegt werden. Beispiele<br />
für solche Anwendungen f<strong>in</strong>den sich im Bereich<br />
Turbo Mach<strong>in</strong>ery Control bei Überströmventilen oder<br />
im Bereich Burner Management bei Brennstoffregelungen.<br />
Über Ethernet ist die SPS an das BPCS angebunden<br />
und erhält von dort Vorgaben (beispielsweise e<strong>in</strong>e Lastanforderung)<br />
während des Normalbetriebs. Entsprechende<br />
Applikationen s<strong>in</strong>d aufgrund der heute verfügbaren<br />
Systemtechnik ebenfalls marktgängig (zum Beispiel<br />
Himax-System mit Flexsilon-Bibliotheken).<br />
Bild 6 D zeigt e<strong>in</strong>e Variante, die sich ganz an den klassischen<br />
Signalen (Namursignal für Endlagenschalter<br />
entsprechend IEC 60947-5-6, 24 Volt zur Ansteuerung<br />
des Magnetventils) orientiert. Hier wird e<strong>in</strong> Gerät e<strong>in</strong>gesetzt,<br />
dass die Funktionalität von Endlagenschalter<br />
und Magnetventil komb<strong>in</strong>iert, durch den E<strong>in</strong>satz von<br />
analoger Wegmessung und Mikrorechner aber diagnosefähig<br />
ist. Der Vorteil der Benutzung vorhandener<br />
Verkabelung wird allerd<strong>in</strong>gs mit dem Verzicht auf<br />
Kommunikation erkauft; hierfür existiert bei dieser Art<br />
von Signalübermittelung ke<strong>in</strong> standardisiertes Protokoll.<br />
Allerd<strong>in</strong>gs kann das Ergebnis der <strong>in</strong>ternen Diagnose<br />
wie zum Beispiel e<strong>in</strong> nicht erfolgreicher PST über<br />
e<strong>in</strong>en Statuskontakt (Namursignal) an die übergeordnete<br />
Steuerung gemeldet werden (siehe auch [16]).<br />
Zusammenfassend f<strong>in</strong>det sich e<strong>in</strong>e knappe Gegenüberstellung<br />
der verschiedenen Architekturen <strong>in</strong> Tabelle 2. Allen<br />
Lösungen ist geme<strong>in</strong>sam, dass sie marktgängige Komponenten<br />
verwenden, die auch außerhalb des Sicherheitskreises<br />
e<strong>in</strong>gesetzt werden. Damit ist der E<strong>in</strong>satz betriebsbewährter<br />
Komponenten möglich, wie von Anwendern<br />
nachdrücklich gefordert [17]. In diesem Artikel nicht<br />
behandelt s<strong>in</strong>d spezielle, herstellerspezifische Instrumentierungen<br />
mit proprietärer Architektur und Verdrahtung.<br />
Anstelle des Hart-Protokolls kann auch e<strong>in</strong> Feldbus-<br />
Protokoll wie Profibus oder Fieldbus Foundation e<strong>in</strong>gesetzt<br />
werden. Nach heutigem Stand der Technik müssen<br />
die <strong>sicherheitsgerichteten</strong> Signale aber noch durch diskrete<br />
Verkabelung übertragen werden.<br />
4. E<strong>in</strong>b<strong>in</strong>dung <strong>in</strong> betriebliche Arbeitsabläufe<br />
Tabelle 1 listet die zu leistenden Arbeitsschritte auf. Erfahrungen<br />
mit ersten Installationen zeigen, dass E<strong>in</strong>zeltests<br />
auf Ebene der Feldgeräte unproblematisch durchzuführen<br />
s<strong>in</strong>d und aussagekräftige Ergebnisse br<strong>in</strong>gen.<br />
Soll jedoch e<strong>in</strong>e Vielzahl von Geräten <strong>in</strong> e<strong>in</strong>er großen<br />
Anlage regelmäßig getestet werden, so treten im Wesentlichen<br />
folgende Schwierigkeiten auf:<br />
Die mögliche Datenrate für die Übertragung der lokal<br />
<strong>in</strong> den Feldgeräten abgespeicherten Testergebnisse entspricht<br />
nicht den Anforderungen. Es sche<strong>in</strong>t nach heutigem<br />
Stand der Technik nicht möglich, aus e<strong>in</strong>er großen<br />
Menge von Feldgeräten täglich oder auch nur wöchentlich<br />
e<strong>in</strong>en vollständigen Datensatz auszulesen.<br />
Die Begrenzung liegt weniger im Übertragungsprotokoll<br />
(HART-Protokoll) als vielmehr <strong>in</strong> der gesamten<br />
Architektur des Leitsystems. Hier müssen die für den<br />
Prozessbetrieb notwendigen Datentransfers gegenüber<br />
Diagnosedaten natürlich priorisiert behandelt werden.<br />
Auswertemöglichkeiten: Mehrere Hersteller bieten<br />
Asset-Management-Systeme an. Hier können Datensätze<br />
e<strong>in</strong>es Feldgeräts mit Diagnose<strong>in</strong>formationen<br />
ausgelesen und abgespeichert werden. Die Fähigkeit,<br />
aus e<strong>in</strong>em Datensatz e<strong>in</strong>zelne Messwerte isoliert zu<br />
betrachten und mit anderen Messwerten nach e<strong>in</strong>em<br />
freien Algorithmus zu verknüpfen, ist jedoch noch<br />
nicht <strong>in</strong> wünschenswerter Weise implementiert. Notwendig<br />
kann es beispielsweise se<strong>in</strong>, die Historie e<strong>in</strong>es<br />
Messwertes, zum Beispiel der Nullpunktlage e<strong>in</strong>es<br />
Ventils, über mehrere Testläufe h<strong>in</strong>weg wiederzugeben<br />
(Bild 8). Auch die Verknüpfung e<strong>in</strong>es Wertes mit<br />
aus anderen Feldgeräten gewonnenen Prozesswerten,<br />
zum Beispiel die Plausibilitätsprüfung von Ventilstellung<br />
gegen Durchfluss, ersche<strong>in</strong>t <strong>in</strong> der Praxis noch<br />
nicht möglich. Insgesamt gibt Tabelle 1 e<strong>in</strong>en H<strong>in</strong>weis<br />
36<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
BILD 5: Aufbauvarianten (l<strong>in</strong>ks: separate Montage<br />
Magnetventil und Grenzsignalgeber; rechts: Stand der<br />
Technik, Grenzsignalgeber mit <strong>in</strong>tegriertem Magnetventil)<br />
Lösung A<br />
Lösung b<br />
BILD 7: Tunnelung von HART-Signalen<br />
Lösung c<br />
Lösung D<br />
BILD 6: Mögliche Architekturen des Sicherheitskreises–<br />
Lösung A (oben l<strong>in</strong>ks), Lösung B (oben rechts), Lösung C<br />
(unten l<strong>in</strong>ks) und Lösung D (unten rechts)<br />
BILD 8: Nullpunkttrend<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012<br />
37
Hauptbeitrag<br />
Autoren<br />
Dr. rer. nat. Thomas Karte (geb. 1955)<br />
beschäftigt sich bei der Samson AG <strong>in</strong><br />
Frankfurt/Ma<strong>in</strong> mit der Anwendungstechnik<br />
elektropneumatischer Geräte.<br />
Er ist Mitglied im FA 6.13 „Eng<strong>in</strong>eer<strong>in</strong>g<br />
von <strong>sicherheitsgerichteten</strong> Systemen“ des<br />
VDI/VDE-GMA und im DKE GK 914<br />
„Funktionale Sicherheit“.<br />
Samson AG,<br />
Mess- und Regeltechnik,<br />
Weismüllerstr. 3, D-60314 Frankfurt am Ma<strong>in</strong>,<br />
Tel. +49 (0) 69 40 09 20 86,<br />
E-Mail: tkarte@samson.de<br />
Dipl.-Ing. (FH) Bernd Schäfer (geb. 1967)<br />
arbeitet seit 1996 bei Hima, anfangs im<br />
Projekt-Management. Seit 2004 betreut er als<br />
Produktmanager den Bereich der OPC- und<br />
SCADA-Produkte. Darüber h<strong>in</strong>aus fallen <strong>in</strong><br />
se<strong>in</strong> Aufgabengebiet spezielle Applikationen<br />
wie zum Beispiel Asset-Management-Lösungen<br />
und OTS (Operator Tra<strong>in</strong><strong>in</strong>g Simulator)-<br />
Lösungen. Er ist Mitglied <strong>in</strong> der PLCOpen-<br />
Arbeitsgruppe zum Thema „OPC UA Informationsmodell“.<br />
Hima Paul Hildebrandt GbmH & Co KG,<br />
Albert-Bassermann-Str. 28, D-68782 Brühl bei Mannheim,<br />
Tel. +49 (0) 6202 70 94 53,<br />
E-Mail: b.schaefer@hima.com<br />
auf die Arbeitsschritte und die mögliche Aufteilung<br />
auf das Feldgerät und das übergeordnete Asset-Management-System.<br />
Die Domäne des Feldgerätes ist die<br />
schnelle Datenerfassung und lokale Regelung. Wegen<br />
der durch den Energieverbrauch limitierten Verarbeitungsgeschw<strong>in</strong>digkeit<br />
und des dadurch auch begrenzten<br />
Speichers ist es s<strong>in</strong>nvoll, die langfristige Archivierung,<br />
Auswertung nach Trends und komplexe<br />
Alarmbildung im übergeordneten System zu leisten.<br />
Hier können auch die Informationen aus verschiedenen<br />
Feldgeräten s<strong>in</strong>nvoll zusammenfließen und nach<br />
übergeordneten Kriterien ausgewertet werden.<br />
Zusammenfassung<br />
Für Feldgeräte <strong>in</strong> <strong>sicherheitsgerichteten</strong> <strong>Kreisen</strong>, <strong>in</strong>sbesondere<br />
solche mit direktem Kontakt zum Prozessmedium, ist<br />
die Behandlung der systematischen Fehler ausschlaggebend<br />
für die sicherheitstechnische Verfügbarkeit. Die notwendige<br />
Implementierung des Sicherheitslebenszyklus kann<br />
durch e<strong>in</strong>e moderne Instrumentierung unterstützt werden.<br />
Der Stand der Technik bei Feldgeräten und <strong>sicherheitsgerichteten</strong><br />
Steuerungen ermöglicht <strong>in</strong>zwischen die Implementierung<br />
wirkungsvoller und zugleich e<strong>in</strong>facher Architekturen<br />
mit marktgängigen Komponenten. Weitere Entwicklungen<br />
bezüglich Datenübertragungsrate und Funktionalität<br />
im Bereich des Asset Managements s<strong>in</strong>d notwendig,<br />
damit die <strong>in</strong> den Feldgeräten verfügbaren Diagnosetools<br />
ihre volle Funktionsfähigkeit entfalten. Hierzu ersche<strong>in</strong>t<br />
e<strong>in</strong>e enge Zusammenarbeit zwischen Herstellern und Anwendern<br />
bei ausgewählten Pilotprojekten notwendig.<br />
Manuskripte<strong>in</strong>gang<br />
14.03.2012<br />
Im Peer-Review-Verfahren begutachtet<br />
Referenzen<br />
[1] Rogiers, I.: Us<strong>in</strong>g a „Smart“ Partial Stroke<br />
Test Device on SIS Loop On/Off Valves:<br />
Add<strong>in</strong>g Value or Add<strong>in</strong>g Cost?. P4039, Valve<br />
World 2004. KCI Publish<strong>in</strong>g BV<br />
[2] Börcsök, J., Schrörs, B. und Holub, P.:<br />
Reduzierung der Ausfallwahrsche<strong>in</strong>lichkeit<br />
und Verlängerung des Proof-Test-Intervalls<br />
durch E<strong>in</strong>satz von Partial-Stroke-Tests<br />
am Beispiel von Stellgeräten. <strong>atp</strong> <strong>edition</strong> –<br />
Automatisierungstechnische Praxis 50(11),<br />
2008<br />
[3] McCrea-Steele, R.: Partial Stroke Test<strong>in</strong>g The<br />
Good, the Bad and the Ugly. TUEV 7th<br />
International Symposium on Safety, 2006 .<br />
[4] Götz, A., Hildebrandt, A., Karte, T., Schäfer, B<br />
und Ströbl, J.: Realisierung von Schutze<strong>in</strong>richtungen<br />
<strong>in</strong> der Prozess<strong>in</strong>dustrie – SIL <strong>in</strong><br />
der Praxis“. <strong>atp</strong> <strong>edition</strong> – Automatisierungstechnische<br />
Praxis 50(8), 2008<br />
[5] Samson AG: Handbuch „Funktionale<br />
Sicherheit für Stellventile, Drehkegelventile,<br />
Kugelhähne und Stellklappen. WA 236<br />
[6] DIN EN 61511-1 und DIN EN 61511-2: Funktionale<br />
Sicherheit – Sicherheitstechnische Systeme<br />
für die Prozess<strong>in</strong>dustrie – Teil 1 und 2. Mai 2005<br />
[7] VDI 2180-3: Sicherung von Anlagen der<br />
Verfahrenstechnik mit Mitteln der Prozessleittechnik<br />
(PLT) – Anlagenplanung,<br />
-errichtung und –betrieb. April 2007<br />
[8] VDI 2180-5: Sicherung von Anlagen der<br />
Verfahrenstechnik mit Mitteln der Prozessleittechnik<br />
(PLT) – Empfehlungen zur<br />
Umsetzung <strong>in</strong> die Praxis. Mai 2010<br />
[9] Hildebrandt, A.: SIL-Bewertung von Mechanik<br />
– Versagenswahrsche<strong>in</strong>lichkeit mechanischer<br />
Komponenten. <strong>atp</strong> <strong>edition</strong>– Automatisierungstechnische<br />
Praxis 53(1-2), 2011<br />
[10] Smith, D.: Reliability, Ma<strong>in</strong>ta<strong>in</strong>ability and Risk.<br />
Elsevier Butterworth-He<strong>in</strong>emann, Burl<strong>in</strong>gton,<br />
MA 01803, Sixth <strong>edition</strong> 2001<br />
[11] Karte, T. und Kiesbauer, J.: <strong>Diagnosefähige</strong><br />
Ventilstellungsregler und ihre Anwendung <strong>in</strong><br />
<strong>sicherheitsgerichteten</strong> <strong>Kreisen</strong>. Industriearmaturen,<br />
Heft 3, 2008 (September)<br />
[12] Samson AG: Handbuch Applikationsh<strong>in</strong>weise<br />
für sicherheitsgerichtet Kreise. WA 239<br />
[13] P+F Datenblatt: Ventilsteuerbauste<strong>in</strong><br />
KFD2-RI-Ex1. Ausgabedatum 2010-04-13.<br />
Druckschrift 216568_GER.xml<br />
[14] P+F Datenblatt: HART Loop Converter<br />
KFD2-HLC-Ex1.D. Ausgabedatum 2011-01-<br />
26. Druckschrift 198804_GER.xml<br />
[15] Gabriel, T., Litz, L. und Schrörs, B.: Nutzung<br />
von SIS-Armaturen für Leitsystemfunktionen<br />
– Rahmenbed<strong>in</strong>gungen für die Ausführung<br />
von BPCS-Funktionen. <strong>atp</strong> <strong>edition</strong> – Automatisierungstechnische<br />
Praxis 52(3), 2010.<br />
[16] Karte, T. und Kiesbauer, J.: Intelligenter<br />
Grenzsignalgeber für Auf/Zu-Armaturen <strong>in</strong><br />
der Prozesstechnik. <strong>atp</strong> <strong>edition</strong> – Automatisierungstechnische<br />
Praxis 51(5), 2009.<br />
[17] Hablawetz, D., Matalla, N. und Adam, G.: IEC<br />
61511 <strong>in</strong> der Praxis – Erfahrungen e<strong>in</strong>es<br />
Anlagenbetreibers. <strong>atp</strong> <strong>edition</strong> – Automatisierungstechnische<br />
Praxis 49(10), 2007<br />
38<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
Jetzt<br />
doppelt sparen:<br />
Edition<br />
15% Rabatt<br />
gwf Praxiswissen<br />
im Fortsetzungsbezug<br />
20% Rabatt<br />
für gwf-Abonnenten<br />
Diese Buchreihe präsentiert kompakt aufbereitete Fokusthemen aus der Wasserbranche und Fachberichte<br />
von anerkannten Experten zum aktuellen Stand der Technik. Zahlreiche Praxisbeispiele zeigen <strong>in</strong>dividuelle<br />
Lösungen und vermitteln praktisches Know-how für ökologisch und wirtschaftlich s<strong>in</strong>nvolle Konzepte.<br />
Band I – Regenwasserbewirtschaftung<br />
Ausführliche Informationen für die Planung und Ausführung von Anlagen zur Regenwasserbwirtschaftung<br />
mit gesetzlichen Rahmenbed<strong>in</strong>gungen sowie Anwendungsbeispielen aus der Praxis.<br />
Hrsg. C. Ziegler, 1. Auflage 2011, 184 Seiten, Broschur<br />
Buch + Bonusmaterial für € 54,90 € 46,70<br />
Buch + Bonusmaterial + eBook auf DVD für € 69,90 € 59,40<br />
Band II – Messen • Steuern • Regeln<br />
Grundlagen<strong>in</strong>formationen über Automatisierungstechnologien, die dabei helfen, Wasser effizienter<br />
zu nutzen, Abwasser nachhaltiger zu behandeln und Sicherheitsrisiken besser zu kontrollieren.<br />
Hrsg. C. Ziegler, 1. Auflage 2011, ca. 150 Seiten, Broschur<br />
Buch + Bonusmaterial für € 54,90 € 46,70<br />
Buch + Bonusmaterial + eBook auf DVD für € 69,90 € 59,40<br />
Band III – Energie aus Abwasser<br />
Abwärme aus dem Kanal und Strom aus der Kläranlage: Wie aus großen Energieverbrauchern<br />
Energieerzeuger werden. Methoden und Technologien zur nachhaltigen Abwasserbehandlung.<br />
Hrsg. C. Ziegler, 1. Auflage 2011, ca. 150 Seiten, Broschur<br />
Buch + Bonusmaterial für € 54,90 € 46,70<br />
Buch + Bonusmaterial + eBook auf DVD für € 69,90 € 59,40<br />
Band IV – Tr<strong>in</strong>kwasserbehälter<br />
Grundlagen zu Planung, Bauausführung, Instandhaltung und Re<strong>in</strong>igung sowie Sanierung von<br />
Tr<strong>in</strong>kwasserbehältern. Materialien, Beschichtungssysteme und technische Ausrüstung.<br />
Hrsg. C. Ziegler, 1. Auflage 2011, ca. 150 Seiten, Broschur<br />
Buch + Bonusmaterial für € 54,90 € 46,70<br />
Buch + Bonusmaterial + eBook auf DVD für € 69,90 € 59,40<br />
Oldenbourg Industrieverlag München<br />
www.gwf-wasser-abwasser.de<br />
VORTEILSANFORDERUNG PER FAX: +49 (0)201 / 82002-34 oder per Brief e<strong>in</strong>senden<br />
Ja, ich bestelle die Fachbuchreihe gwf Praxiswissen im günstigen Fortsetzungsbezug,<br />
verpasse ke<strong>in</strong>en Band und spare 15%. Ich wünsche die<br />
Lieferung beg<strong>in</strong>nend ab Band<br />
als Buch + Bonusmaterial für € 46,70 (gwf-Abonnenten: € 37,30)<br />
als Buch + Bonusmaterial + eBook auf DVD für € 59,40<br />
(gwf-Abonnenten: € 47,50)<br />
Wir beziehen gwf im Abonnement nicht im Abonnement<br />
Jeder aktuelle Band wird zum Ersche<strong>in</strong>ungsterm<strong>in</strong> ausgeliefert und<br />
separat berechnet. Die Anforderung gilt bis zum schriftlichen Widerruf.<br />
Die pünktliche, bequeme und sichere Bezahlung per Bankabbuchung<br />
wird mit e<strong>in</strong>er Gutschrift von € 3,- auf die erste Rechnung belohnt.<br />
Firma/Institution<br />
Vorname, Name des Empfängers<br />
Straße/Postfach, Nr.<br />
PLZ, Ort<br />
Telefon<br />
E-Mail<br />
Telefax<br />
Antwort<br />
Vulkan Verlag GmbH<br />
Versandbuchhandlung<br />
Postfach 10 39 62<br />
45039 Essen<br />
Branche/Wirtschaftszweig<br />
Bevorzugte Zahlungsweise Bankabbuchung Rechnung<br />
Bank, Ort<br />
Bankleitzahl<br />
✘<br />
Datum, Unterschrift<br />
Kontonummer<br />
PAGWFP2011<br />
Widerrufsrecht: Sie können Ihre Vertragserklärung <strong>in</strong>nerhalb von zwei Wochen ohne Angabe von Gründen <strong>in</strong> Textform (z.B. Brief, Fax, E-Mail) oder durch Rücksendung der Sache widerrufen. Die Frist beg<strong>in</strong>nt nach Erhalt dieser Belehrung <strong>in</strong> Textform. Zur Wahrung der Widerrufsfrist genügt<br />
die rechtzeitige Absendung des Widerrufs oder der Sache an die Vulkan-Verlag GmbH, Versandbuchhandlung, Huyssenallee 52-56, 45128 Essen.<br />
Nutzung personenbezogener Daten: Für die Auftragsabwicklung und zur Pflege der laufenden Kommunikation werden personenbezogene Daten erfasst und gespeichert. Mit dieser Anforderung erkläre ich mich damit e<strong>in</strong>verstanden, dass ich vom Oldenbourg Industrieverlag oder vom<br />
Vulkan-Verlag per Post, per Telefon, per Telefax, per E-Mail, nicht über <strong>in</strong>teressante, fachspezifische Medienund Informationsangebote <strong>in</strong>formiert und beworben werde. Diese Erklärung kann ich mit Wirkung für die Zukunft jederzeit widerrufen.
hauptbeitrag<br />
PFD-Berechnung bei nicht<br />
konstanten Ausfallraten<br />
Mehrphasen-Markov-Modelle mit Mathcad berechnen<br />
Die Versagenswahrsche<strong>in</strong>lichkeit (PFD) realer Schutze<strong>in</strong>richtungen lässt sich nur unter<br />
bestimmten Voraussetzungen mit den Formeln aus der VDI/VDE 2180 beziehungsweise<br />
EN 61508 berechnen. S<strong>in</strong>d diese Bed<strong>in</strong>gungen nicht erfüllt (zum Beispiel bei unvollständiger<br />
Wiederholungsprüfung oder nicht konstanter Ausfallrate), können die Formeln nicht<br />
ohne Weiteres angewendet werden. In solchen Fällen kann die PFD-Berechnung mit zeitveränderlichen<br />
Markov-Modellen auf relativ e<strong>in</strong>fache Weise bewerkstelligt werden. In der<br />
EN 61508 Teil 6 Edition 2 ist die Methode der Mehrphasen-Markov-Modelle dargestellt.<br />
Wenn auch verschleißbehaftete Komponenten bei der PFD-Berechnung zu berücksichtigen<br />
s<strong>in</strong>d, müssen die Übergangswahrsche<strong>in</strong>lichkeiten des betreffenden Markov-Modells als<br />
zeitabhängige Funktion abgebildet werden. Im Beitrag wird dies anhand e<strong>in</strong>es fiktiven<br />
Beispiels beschrieben. Dabei wird die zeitabhängige PFD(t) für die gesamte Anlagenlaufzeit<br />
berechnet und daraus die mittlere Versagenswahrsche<strong>in</strong>lichkeit PFD avg ermittelt.<br />
SCHLAGWÖRTER Mehrphasen-Markov-Modell / Weibull-Verteilung / PFD-Berechnung /<br />
EN 61508 / Schutze<strong>in</strong>richtung / Verschleiß / Chapman-Kolmogorov-<br />
Gleichung<br />
PFD calculation <strong>in</strong> case of non-constant failure rates –<br />
Solv<strong>in</strong>g Multiphase Markov Model with Matchcad<br />
The probability of failure on demand (PFD) of real safety equipment can be calculated<br />
with the help of the formulas given <strong>in</strong> VDI/VDE 2180 or EN 61508 only under certa<strong>in</strong><br />
conditions. If these conditions are not fulfilled (e.g. <strong>in</strong> case of an <strong>in</strong>complete proof test or<br />
a non-constant failure rate), the formulas cannot be applied right away. In such cases, the<br />
PFD calculation can be carried out relatively easily us<strong>in</strong>g time-vary<strong>in</strong>g Markov models.<br />
EN 61508 Part 6 Edition 2 presents the method of multiphase Markov models. If components<br />
subject to wear shall be observed <strong>in</strong> the PFD calculation, this method has to be<br />
further generalized; <strong>in</strong> this generalization, the transition probabilities of the correspond<strong>in</strong>g<br />
Markov model are presented as a time-vary<strong>in</strong>g function. This is described <strong>in</strong> detail <strong>in</strong> the<br />
present contribution, based on a fictitious example. The time-dependent PFD(t) is calculated<br />
for the total plant lifetime which is then used to determ<strong>in</strong>e the average probability<br />
of failure on demand PFD avg . All calculations are carried out with Mathcad as this tool<br />
offers the necessary flexibility and is easy to handle compared to others.<br />
KEYWORDS Multiphase Markov Model / Weibull Distribution / PFD Calculation / EN 61508 /<br />
Safety Instrumented Function / Wear Out / Chapman-Kolmogorov-Equation<br />
40<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
Andreas Hildebrandt, Pepperl+Fuchs<br />
Die Normen zur funktionalen Sicherheit fordern,<br />
dass für sicherheitstechnische Funktionen die<br />
Versagenswahrsche<strong>in</strong>lichkeit aufgrund zufälliger<br />
Fehler berechnet wird [4, 5, 6]. Dies kann<br />
<strong>in</strong> vielen Fällen mit vergleichsweise e<strong>in</strong>fachen<br />
Formeln geschehen (siehe VDI/VDE 2180, Blatt 4 [6]).<br />
S<strong>in</strong>d Struktur, Betriebsweise oder Randbed<strong>in</strong>gungen<br />
komplexer als es diese Formeln unterstellen, werden andere<br />
Verfahren zur Berechnung der Ausfallwahrsche<strong>in</strong>lichkeit<br />
benötigt. Bewährt haben sich hier Markov-Modelle<br />
[2], wobei die klassischen Markov-Modelle ebenfalls<br />
oft an ihre Grenzen stoßen, da von bestimmten<br />
Annahmen ausgegangen wird (zum Beispiel von konstanten<br />
Übergangswahrsche<strong>in</strong>lichkeiten zwischen den<br />
Zuständen), die <strong>in</strong> der Praxis nicht immer gegeben s<strong>in</strong>d.<br />
E<strong>in</strong>e Erweiterung beziehungsweise Verallgeme<strong>in</strong>erung<br />
der Markov-Modellierung ermöglicht es jedoch, auch <strong>in</strong><br />
solchen Fällen mit überschaubarem Aufwand die Versagenswahrsche<strong>in</strong>lichkeit<br />
von Sicherheitsfunktionen zu<br />
bestimmen. Ziel des Beitrags ist es, e<strong>in</strong>e Methode zur<br />
PFD-Berechnung vorzustellen und zu erläutern. Die Zahlenwerte<br />
des Beispiels s<strong>in</strong>d willkürlich gewählt. Bei realen<br />
Schutze<strong>in</strong>richtungen ist es <strong>in</strong> der Regel nicht möglich,<br />
das Ausfallverhalten mechanischer Komponenten<br />
mithilfe e<strong>in</strong>er Weibull-Verteilung zu beschreiben. Werden<br />
diese mit niedrigen Anforderungsraten betrieben,<br />
ist es nahezu unmöglich, die Weibull-Parameter zu bestimmen<br />
[1].<br />
1. Beispiel e<strong>in</strong>er Sicherheitsfunktion<br />
Gegeben ist e<strong>in</strong>e e<strong>in</strong>kanalige Schutze<strong>in</strong>richtung bestehend<br />
aus Sensor, Signalverarbeitung und Aktor, wobei<br />
folgende Randbed<strong>in</strong>gungen bei der PFD-Berechnung<br />
berücksichtigt werden sollen:<br />
1 | Der Sensor, die Signalverarbeitung und Teile des<br />
Aktors s<strong>in</strong>d elektronische Geräte, e<strong>in</strong> Teil des Aktors<br />
(Ventil) ist Mechanik.<br />
2 | Die elektronischen Komponenten haben e<strong>in</strong>e Diagnose<br />
mit vernachlässigbar kle<strong>in</strong>er Diagnosezeit.<br />
Werden Fehler von der Diagnose aufgedeckt, so<br />
werden diese <strong>in</strong>nerhalb von 8 Stunden repariert<br />
(MTTR el = 8 h). Die Reparaturdauer MTTR el be<strong>in</strong>haltet<br />
die Diagnosezeit.<br />
3 | Die Ausfallraten der elektronischen Komponenten<br />
(λ DU und λ DD ) s<strong>in</strong>d konstant, die der mechanischen<br />
Komponenten nicht (siehe Punkt 5 und<br />
Bild 1).<br />
4 | Beim Aktor (Ventil) werden mithilfe e<strong>in</strong>es Teilhubtests<br />
(Partial Stroke Test) Fehler teilweise aufgedeckt.<br />
Dieser wird wöchentlich ausgeführt (Diagnosezeit<br />
der Mechanik DZ mech = 168 h). Im Falle e<strong>in</strong>es<br />
erkannten Fehlers wird e<strong>in</strong>e Reparatur durchgeführt,<br />
die durchschnittlich 4 Tage <strong>in</strong> Anspruch<br />
nimmt (MTTR mech = 96 h).<br />
5 | Die Ausfallrate des mechanischen Ventils ist nicht<br />
konstant (Verschleiß) und muss mithilfe der Weibull-Verteilung<br />
beschrieben werden (Verschleiß<br />
f<strong>in</strong>det unter anderem auch aufgrund des Teilhubtests<br />
statt). Da nicht alle Fehler mithilfe des Teilhubtests<br />
aufgedeckt werden und verschiedene<br />
Teile des Aktors unterschiedlich verschleißen<br />
(manche Teile beziehungsweise Bereiche werden<br />
durch den Teilhubtest regelmäßig bewegt, für andere<br />
gilt „wer rastet, der rostet“), wird die Versagenswahrsche<strong>in</strong>lichkeit<br />
des Ventils durch zwei<br />
verschiedene Weibull-Verteilungen beschrieben.<br />
E<strong>in</strong>e erste Verteilung mit den Parametern T dd und<br />
b dd benennt die Versagenswahrsche<strong>in</strong>lichkeit derjenigen<br />
Teile, die durch den Teilhubtest regelmäßig<br />
bewegt werden. E<strong>in</strong>e zweite Verteilung mit den<br />
Parametern T du und b du def<strong>in</strong>iert die Wahrsche<strong>in</strong>lichkeit<br />
von Ausfällen, die nicht durch den Teilhubtest<br />
aufgedeckt oder bee<strong>in</strong>flusst werden (zum<br />
Beispiel Anhaftungen an Stellen, die beim Teilhubtest<br />
nicht durchfahren werden oder e<strong>in</strong>e Korrosion<br />
beziehungsweise Abrasion der dichtenden<br />
Elemente).<br />
6 | Jedes Jahr wird e<strong>in</strong>e regelmäßige Wiederholungsprüfung<br />
durchgeführt (T 1 = 8760 h). Im Rahmen<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012<br />
41
Hauptbeitrag<br />
dieser Wiederholungsprüfung werden alle Fehler<br />
des Ventils aufgedeckt, auch diejenigen, die vom<br />
Teilhubtest nicht erkannt wurden. Von den elektronischen<br />
Komponenten werden jedoch nicht<br />
alle Fehler aufgedeckt, da der Sensor weder bis<br />
zur Triggerschwelle angefahren werden kann,<br />
noch zum Prüfen ausgebaut werden soll. Bestimmte<br />
Fehler des Sensors werden daher im<br />
Rahmen der Wiederholungsprüfung nicht aufgedeckt.<br />
Der Anteil der aufgedeckten Elektronikfehler<br />
wird mithilfe des Faktors PTC el (PTC =<br />
Proof Test Coverage) quantifiziert. Es wird angenommen,<br />
dass 10 % der Elektronik-Fehler bei der<br />
Wiederholungsprüfung nicht erkannt werden<br />
(PTC el = 0,90).<br />
8 | Alle 5 Jahre f<strong>in</strong>det e<strong>in</strong>e Revision statt (T Rev = 5 х 8760<br />
h), bei der alle Fehler aufgedeckt (sowohl bei Elektronik<br />
wie auch bei der Mechanik) und mechanische<br />
Verschleißteile erneuert werden. Elektronische<br />
Komponenten werden ausgetauscht, wenn das<br />
Ende der Gebrauchsdauer erreicht ist. Das sicherheitstechnische<br />
System ist danach wieder <strong>in</strong> e<strong>in</strong>em<br />
Wie-Neu-Zustand (siehe Punkt 8).<br />
9 | Das System soll 30 Jahre lang betrieben werden (MT<br />
= 30 х 8760 h). Bei den elektronischen Komponenten<br />
wird die vom Lieferanten genannte Gebrauchsdauer<br />
beachtet, das heißt, sie werden rechtzeitig im<br />
Rahmen e<strong>in</strong>er Revision ersetzt, sodass die gesamte<br />
Anlagenlaufzeit mit den unter Punkt 3 genannten<br />
konstanten Ausfallraten (λ DU und λ DD ) gerechnet<br />
werden darf. Da das Ventil (wie unter Punkt 7 beschrieben)<br />
alle 5 Jahre überholt wird, kann es über<br />
die gesamte Anlagenlaufzeit verwendet werden.<br />
2. Lösungsansatz<br />
Soll von der beschriebenen Schutze<strong>in</strong>richtung unter<br />
Beachtung aller Randbed<strong>in</strong>gungen die Versagenswahrsche<strong>in</strong>lichkeit<br />
bei Anforderung (PFD) berechnet werden,<br />
lassen sich die aus der VDI/VDE 2180 und<br />
EN 61508 bekannten Formeln nicht ohne Weiteres anwenden.<br />
E<strong>in</strong> pragmatischer Lösungsansatz besteht dar<strong>in</strong>,<br />
mithilfe von Worst-Case-Annahmen die Berechnung<br />
so weit zu vere<strong>in</strong>fachen, dass die Formeln aus<br />
den genannten Normen angewendet werden können.<br />
Scheitert die Erreichung des geforderten Safety Integrity<br />
Level (SIL) dann an e<strong>in</strong>em zu schlechten PFD-Wert,<br />
besteht sicher der Wunsch, e<strong>in</strong>e genauere Berechnung<br />
durchzuführen. Im Folgenden wird daher e<strong>in</strong> Lösungsansatz<br />
auf Basis e<strong>in</strong>es Markov-Modells vorgestellt, der<br />
mit kommerziell verfügbaren Standardprogrammen<br />
realisiert werden kann. Ausgangspunkt bildet e<strong>in</strong><br />
Mehrphasen-Markov-Modell, wie es zum Beispiel <strong>in</strong><br />
der EN 61508 Teil 6, Edition 2 [4], beschrieben wird.<br />
Indem die Übergangswahrsche<strong>in</strong>lichkeiten als zeitabhängige<br />
Funktionen dargestellt werden (zum Beispiel<br />
Weibull-Verteilung), wird das Verschleißverhalten von<br />
Komponenten berücksichtigt. Die Berechnung des zeitlichen<br />
Verlaufs der momentanen Unverfügbarkeit der<br />
Sicherheitsfunktion PFD(t) erfolgt mithilfe der Chapman-Kolmogorov-Gleichung.<br />
In e<strong>in</strong>em abschließenden<br />
Schritt muss noch der zeitliche Mittelwert (und damit<br />
die PFD avg ) berechnet werden. Die gesamte Rechnung<br />
kann mit e<strong>in</strong>em Mathematik-Programm wie Mathcad<br />
erfolgen. Die PFD-Berechnung für die beschriebene<br />
Schutzfunktion kann auf wenigen DIN-A4-Seiten übersichtlich<br />
dargestellt werden.<br />
2.1 Zeitvariantes Markov-Modell<br />
Die Zustände des im Bild 2 gezeigten Markov-Modells<br />
bedeuten:<br />
Zustand 0:<br />
Zustand 1:<br />
Zustand 2:<br />
Zustand 3:<br />
Zustand 4:<br />
Zustand 5:<br />
Zustand 6:<br />
Das System ist vollständig <strong>in</strong> Ordnung<br />
(Wie-Neu-Zustand).<br />
Die Elektronik ist unerkannt ausgefallen.<br />
Der Fehler wird erst bei der Wiederholungsprüfung<br />
(gepunkteter Übergang „bei<br />
Prooftest“) erkannt und repariert (Reparaturdauer<br />
MTTR el = 8 h).<br />
Die Elektronik ist erkannt ausgefallen. Die<br />
Reparatur erfolgt umgehend und dauert<br />
MTTR el = 8 h.<br />
Die Mechanik ist ausgefallen, der Fehler<br />
wird jedoch vom wöchentlichen Teilhubtest<br />
aufgedeckt. Es dauert im Mittel e<strong>in</strong>e<br />
halbe Woche, bis der Fehler offenbar wird<br />
und die Reparatur beg<strong>in</strong>nen kann (das<br />
heißt, bis das System <strong>in</strong> den Zustand 5<br />
übergeht). Nachdem der Fehler aufgedeckt<br />
ist, dauert die Reparatur weitere 4 Tage<br />
(MTTR mech = 96 h).<br />
Die Mechanik ist unerkannt ausgefallen.<br />
Der Fehler wird erst bei der Wiederholungsprüfung<br />
(gepunkteter Übergang „bei<br />
Prooftest“) erkannt und repariert (Reparaturdauer<br />
MTTR mech = 96 h).<br />
E<strong>in</strong> mechanischer Defekt wurde aufgedeckt<br />
(entweder durch den Teilhubtest<br />
oder im Rahmen der jährlichen Wiederholungsprüfung)<br />
und wird repariert. Die<br />
Reparaturdauer für die Mechanik beträgt<br />
4 Tage (MTTR mech = 96 h).<br />
Die Elektronik ist unerkannt ausgefallen.<br />
Der Fehler wird bei der Wiederholungsprüfung<br />
jedoch nicht erkannt, sondern<br />
erst im Rahmen der Revision aufgedeckt<br />
und repariert (gestrichelter Übergang<br />
„bei Revision“). E<strong>in</strong>e Revision f<strong>in</strong>det bei<br />
jeder fünften Wiederholungsprüfung<br />
statt (T Rev = 5 х T 1 ).<br />
Die Übergangswahrsche<strong>in</strong>lichkeiten vom Zustand 0 <strong>in</strong><br />
den Zustand 3 beziehungsweise 4 s<strong>in</strong>d zeitabhängig und<br />
werden aus der der Weibull-Verteilung anhand der beiden<br />
Parameter „charakteristische Lebensdauer“ (T dd beziehungsweise<br />
T du ) und „Formfaktor“ (b dd beziehungsweise<br />
b du ) berechnet.<br />
42<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
Herausforderung<br />
Automatisierungstechnik<br />
2.2 Berechnung der<br />
Zuverlässigkeitsgrößen<br />
Die zeitabhängigen Zustandswahrsche<strong>in</strong>lichkeiten<br />
des Markov-Modells lassen sich leicht mithilfe der<br />
Chapman-Kolmogorov-Gleichung berechnen. Ausgehend<br />
vom Zeitpunkt t = 0 wird die transponierte Matrix<br />
der Übergangswahrsche<strong>in</strong>lichkeiten mit dem<br />
Vektor der aktuellen Zustandswahrsche<strong>in</strong>lichkeiten<br />
multipliziert. Die Elemente des daraus resultierenden<br />
Ergebnisvektors stellen dann die Zustandswahrsche<strong>in</strong>lichkeiten<br />
des folgenden Zeitschritts dar. Dieses<br />
Ergebnis wird dann erneut mit der transponierten<br />
Wahrsche<strong>in</strong>lichkeitsmatrix multipliziert, um die<br />
Zustandswahrsche<strong>in</strong>lichkeiten des nächsten Zeitschritts<br />
zu erhalten (… und so weiter, bis das Ende<br />
der Systemlaufzeit MT = 30 Jahre erreicht ist). Bei der<br />
Matrix der Übergangswahrsche<strong>in</strong>lichkeiten muss die<br />
Zeilensumme jeweils e<strong>in</strong>s ergeben (sogenannte stochastische<br />
Matrix). Daher können zum Beispiel die<br />
Diagonalelemente (das heißt, die Wahrsche<strong>in</strong>lichkeit,<br />
dass das System <strong>in</strong> dem jeweiligen Zustand bleibt)<br />
aus den bereits ermittelten Werten gesondert berechnet<br />
und <strong>in</strong> die Matrix e<strong>in</strong>gefügt werden.<br />
Da die Schutze<strong>in</strong>richtung zum Zeitpunkt t = 0 neu<br />
ist, ist die Wahrsche<strong>in</strong>lichkeit, dass sich das System<br />
im Zustand null bef<strong>in</strong>det, gleich e<strong>in</strong>s. Für alle anderen<br />
Zustände ergibt sich damit e<strong>in</strong>e Wahrsche<strong>in</strong>lichkeit<br />
von null. Das heißt, beim Startvektor ist das erste<br />
Element e<strong>in</strong>s, alle anderen Elemente s<strong>in</strong>d null.<br />
Die momentane Unverfügbarkeit ergibt sich, wenn<br />
für jeden Zeitschritt die Wahrsche<strong>in</strong>lichkeiten aller<br />
gefahrbr<strong>in</strong>genden Zustände addiert werden. Da im<br />
Beispiel das System nur im Zustand null funktionsfähig<br />
ist, s<strong>in</strong>d alle anderen Zustände (Zustand 1 bis<br />
Zustand 6) gefahrbr<strong>in</strong>gend.<br />
Das Ergebnis ist somit der zeitliche Verlauf der Unverfügbarkeit<br />
der Sicherheitsfunktion (also die zeitabhängige<br />
PFD (t) , siehe Bild 3). Da für die SIL-Bewertung<br />
die mittlere Unverfügbarkeit PFD avg benötigt<br />
wird, muss von diesem Verlauf noch der zeitliche<br />
Mittelwert berechnet werden. Dieser Mittelwert stellt<br />
dann das gesuchte Ergebnis dar.<br />
2.3 Realisierung mit Mathcad<br />
Der oben beschriebene Lösungsweg zur PFD-Berechnung<br />
e<strong>in</strong>es Systems mit verschleißbehafteten Komponenten<br />
kann effizient mithilfe von Mathcad [3]<br />
implementiert werden. E<strong>in</strong> kommentierter und mit<br />
erklärenden Diagrammen versehener Lösungsvorschlag<br />
ist im Bild dargestellt. Im Vergleich zu proprietären<br />
Lösungen bieten universell e<strong>in</strong>setzbare Standardprogramme<br />
e<strong>in</strong>e größere Flexibilität und e<strong>in</strong>e<br />
vollständige Kontrolle über die Berechnungsschritte.<br />
Individuelle Lösungen, wie im Beitrag dargestellt,<br />
werden dadurch erst möglich. Ändern sich Randbed<strong>in</strong>gungen<br />
oder die Struktur der Schutze<strong>in</strong>richtung,<br />
so kann mit wenig Aufwand das vorhandene Modell<br />
Mit dem <strong>atp</strong>-award werden zwei Autoren der <strong>atp</strong> <strong>edition</strong> für<br />
hervorragende Beiträge ausgezeichnet. Ziel dieser Initiative<br />
ist es, Wissenschaftler und Praktiker der Automatisierungstechnik<br />
anzuregen, ihre Ergebnisse und Erfahrungen <strong>in</strong> Veröffentlichungen<br />
zu fassen und die Wissenstransparenz <strong>in</strong> der<br />
Automatisierungstechnik zu fördern. Teilnehmen kann jeder<br />
Autor der zum Zeitpunkt der Veröffentlichung nicht älter als<br />
35 Jahre ist. Nach Veröffentlichung e<strong>in</strong>es Beitrags ist der Autor,<br />
wenn er die Bed<strong>in</strong>gung erfüllt, automatisch im Pool. Die<br />
Auswahl des Gew<strong>in</strong>ners übernimmt die <strong>atp</strong>-Fachredaktion.<br />
Derjenige Autor, der im Autorenteam der jüngste ist, erhält<br />
stellvertretend für alle Autoren die Auszeichnung. Der Preis<br />
wird <strong>in</strong> zwei Kategorien ausgelobt: Industrie und Hochschule.<br />
Die Kategorien ermittlung ergibt sich aus der <strong>in</strong> dem Beitrag<br />
angegebenen Adresse des jüngsten Autors.<br />
Veröffentlichungen – Beitrag zum Wissenspool im<br />
Fachgebiet Automatisierungstechnik<br />
Die Entwicklung e<strong>in</strong>es Wissensgebietes erfolgt durch e<strong>in</strong>en<br />
kooperativen Prozess zwischen wissenschaftlicher Grundlagenforschung,<br />
Konzept- und Lösungsentwicklung und Anwendung<br />
<strong>in</strong> der Praxis. E<strong>in</strong> solcher Prozess bedarf e<strong>in</strong>er geme<strong>in</strong>samen<br />
Informationsplattform. Veröffentlichungen<br />
s<strong>in</strong>d die essentielle Basis e<strong>in</strong>es solchen Informationspools.<br />
Der <strong>atp</strong>-award fördert den wissenschaftlichen Austausch<br />
im dynamischen Feld der Automationstechnik. Nachwuchs<strong>in</strong>ge<br />
nieure sollen gezielt ihre Forschungen präsentieren<br />
können und so leichter den Zugang zur Community erhalten.<br />
Der Preis ist mit e<strong>in</strong>er Prämie von jeweils 2000€ dotiert.<br />
Die Auswahl erfolgt <strong>in</strong> zwei Stufen:<br />
Voraussetzung für die Teilnahme ist die Veröffentlichung<br />
des Beitrags <strong>in</strong> der <strong>atp</strong> <strong>edition</strong>. Jeder Aufsatz, der als Hauptbeitrag<br />
für die <strong>atp</strong> <strong>edition</strong> e<strong>in</strong>gereicht wird, durchläuft das<br />
Peer-Review-Verfahren. Die letzte Entscheidung zur Veröffentlichung<br />
liegt beim Chefredakteur. Wird e<strong>in</strong> Beitrag veröffentlicht,<br />
kommt er automatisch <strong>in</strong> den Pool der <strong>atp</strong>-award-<br />
Bewerber, vorausgesetzt e<strong>in</strong>er der Autoren ist zum Zeitpunkt<br />
der Veröffentlichung nicht älter als 35 Jahre. Ausgezeichnet<br />
wird der jüngste Autor stellvertretend für alle Autoren der<br />
Gruppe. E<strong>in</strong>e Jury aus Vertretern der <strong>atp</strong>-Fachredaktion<br />
und des -Beirats ermittelt schließlich den Gew<strong>in</strong>ner <strong>in</strong> den<br />
jeweiligen Kategorien Hochschule und Industrie.<br />
Der Rechtsweg ist ausgeschlossen.<br />
Beiträge richten Sie bitte an:<br />
Oldenbourg Industrieverlag GmbH<br />
Herrn Prof. Leon Urbas<br />
Chefredakteur <strong>atp</strong> <strong>edition</strong> / automatisieren! by <strong>atp</strong><br />
Rosenheimer Straße 145 • 81761 München<br />
Tel. +49 (0) 89 45051 418 • E-Mail: urbas@oiv.de<br />
Beachten Sie die Autorenh<strong>in</strong>weise der <strong>atp</strong> <strong>edition</strong><br />
für Hauptbeiträge unter folgendem L<strong>in</strong>k:<br />
http://www.<strong>atp</strong>-onl<strong>in</strong>e.de<br />
Bitte senden Sie Ihre Beiträge an: urbas@oiv.de
Hauptbeitrag<br />
DAS MATHCAD-Modell<br />
Berechnung e<strong>in</strong>es verschleiSSbehafteten Systems mithilfe<br />
e<strong>in</strong>es zeitvarianten Markov-Modells und der Weibull-verteilung<br />
Gesamtzahl der Zustände (Anz) und Anzahl der gefährlichen Zustände (Danger) e<strong>in</strong>geben. Bei der Erstellung des Markov-<br />
Diagramms ist folgendes zu beachten: Zustand 0 ist der Zustand, <strong>in</strong> dem das System fehlerfrei arbeitet. Die Nummerierung<br />
der Zustände ist so vorzunehmen, dass die gefährlichen Zustände diejenigen mit den höchsten Nummern s<strong>in</strong>d.<br />
Anz := 7 Danger := 6<br />
Parameter def<strong>in</strong>ieren (Zeit <strong>in</strong> Stunden, das heißt Ausfallraten <strong>in</strong> 1/h bzw. 1 Jahr = 8760 h):<br />
MT := 30 x 8760<br />
T 1 := 1 x 8760<br />
T Rev := 5 x T 1<br />
PTC el := 0.90<br />
MTTR el := 8<br />
MTTR mech := 96<br />
DZ mech := 168<br />
λ du_el :=3 x 10 −7<br />
λ dd_el :=9 x 10 −7<br />
T du := 10 x 8760<br />
b du := 7<br />
T dd := 28 x 8760<br />
b dd := 2.5<br />
Missionszeit (Mission Time), das heißt Anlagenlaufzeit<br />
Zeit<strong>in</strong>tervall der regelmäßigen Wiederholungsprüfung<br />
Revision (Wartung), bei der mechanische Verschleißteile ersetzt werden<br />
Proof Test Coverage der elektronischen Komponenten<br />
Mittlere Reparaturzeit der elektrischen Komponenten (<strong>in</strong>kl. Diagnosezeit)<br />
Mittlere Reparaturzeit der mechanischen Komponenten<br />
Diagnosezeit der Mechanik (wöchentlicher Teilhubtest e<strong>in</strong>es Ventils)<br />
Ausfallrate der unerkannten Fehler bei den elektrischen Komponenten<br />
Ausfallrate der erkannten Fehler bei den elektrischen Komponenten<br />
Charakteristische Lebensdauer für unerkannte Mechanikausfälle<br />
Formfaktor der Weibull-Verteilung für unerkannte Mechanikausfälle<br />
Charakteristische Lebensdauer für erkannte Mechanikausfälle<br />
Formfaktor der Weibull-Verteilung für erkannte Mechanikausfälle<br />
λ du_mech (t):=<br />
λ dd_mech (t):=<br />
(<br />
)<br />
)<br />
b<br />
b<br />
du –1<br />
du<br />
х mod ( t, T Rev<br />
T du T du<br />
Weibull-Verteilung der unerkannten Ausfälle<br />
(nach der Revision ist die Komponente wie neu)<br />
(<br />
)<br />
)<br />
b<br />
b<br />
dd –1<br />
dd mod ( t, T<br />
х<br />
Rev<br />
T dd T dd<br />
Weibull-Verteilung der erkannten Ausfälle<br />
(nach der Revision ist die Komponente wie neu)<br />
Um Division durch 0 zu vermeiden bei Vernachlässigung der Reparatur- bzw. Diagnosezeit:<br />
MTTR el := wenn (MTTR el = 0, 1, MTTR el )<br />
MTTR mech := wenn (MTTR mech = 0, 1, MTTR mech )<br />
DZ mech := wenn (DZ mech = 0, 1, DZ mech )<br />
BILD 1 Darstellung der Ausfallraten über der Zeit (alle 5<br />
Jahre werden Verschleißteile ersetzt)<br />
BILD 2 Mehrphasen-Markov-Modell:<br />
Bei der Wiederholungsprüfung<br />
f<strong>in</strong>den e<strong>in</strong>malig nur die gepunkteten<br />
Übergänge „bei Prooftest“ statt.<br />
Sofern im Rahmen der Wiederholungsprüfung<br />
auch e<strong>in</strong>e Revision<br />
durchgeführt wird, f<strong>in</strong>det zusätzlich<br />
noch der gestrichelte Übergang<br />
„bei Revision“ statt. Bei allen<br />
anderen Zeitschritten gelten die<br />
durchgezogenen Übergänge.<br />
Die Matrix P(t) beschreibt die zeitabhängigen Übergangswahrsche<strong>in</strong>lichkeiten<br />
0 PTC el х λ du_el λ dd_el λ dd_mech (t) λ du_mech (t) 0 (1 – PTC el ) х λ du_el<br />
0 0 0 0 0 0 0<br />
1<br />
0 0 0 0 0 0<br />
MTTR el<br />
2<br />
P(t):= 0 0 0 0 0 0<br />
DZ mech<br />
1<br />
0 0 0 0 0<br />
MTTR mech<br />
0<br />
0 0 0 0 0 0 0<br />
0 0 0 0 0 0 0<br />
44<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
P(t):=<br />
P f P(t)<br />
for k ∈ 0.. Anz – 1<br />
Anz – 1<br />
P k,k f 1 – ∑ P k,r<br />
r = 0<br />
Diagonalelemente berechnen und <strong>in</strong> die Matrix e<strong>in</strong>fügen.<br />
Die Matrix Proof beschreibt die Übergänge bei der normalen Wiederholungsprüfung<br />
0 0 0 0 0 0 0<br />
0 0 1 0 0 0 0<br />
Proof :=<br />
0 0 0 0 0 0 0<br />
Übergangsmatrix für den<br />
0 0 0 0 0 0 0<br />
Proof Test def<strong>in</strong>ieren.<br />
Proof := P f P(t)<br />
0 0 0 0 0 1 0<br />
for k ∈ 0.. Anz – 1<br />
Diagonalelemente berechnen<br />
und <strong>in</strong> die Matrix e<strong>in</strong>fügen.<br />
Anz – 1<br />
Alle gefährlichen Zustände zur Zeit t aufsummieren<br />
PFD t f ∑ S n<br />
und im Ergebnis- Vektor PFD speichern<br />
0 0 0 0 0 0 0<br />
Anz – 1<br />
0 0 0 0 0 0 0<br />
P k,k f 1 – ∑ P k,r<br />
r = 0<br />
Die Matrix Rev beschreibt die Übergänge bei der Revision<br />
Rev :=<br />
0 0 0 0 0 0 0<br />
Übergangsmatrix für die<br />
0 0 1 0 0 0 0<br />
Revision def<strong>in</strong>ieren.<br />
0 0 0 0 0 0 0<br />
(Zusätzlich zum normalen<br />
0 0 0 0 0 0 0<br />
Rev := P f Rev<br />
Prooftest f<strong>in</strong>det noch<br />
0 0 0 0 0 1 0<br />
for k ∈ 0.. Anz – 1<br />
der Übergang von Zustand<br />
0 0 0 0 0 0 0<br />
Anz – 1 Diagonalelemente berechnen<br />
6 <strong>in</strong> den Zustand 2 statt)<br />
0 0 1 0 0 0 0<br />
P und <strong>in</strong> die Matrix e<strong>in</strong>fügen.<br />
k,k f 1 – ∑ P k,r<br />
r = 0<br />
Markov-Kette mithilfe der Chapman-Kolmogorov-Gleichung berechnen<br />
Startvektor def<strong>in</strong>ieren (Erstes Element ist 1, alle anderen Elemente s<strong>in</strong>d 0)<br />
s := 0.. Anz − 1<br />
Ergebnisvektor def<strong>in</strong>ieren, <strong>in</strong>dem das letzte Element<br />
S s := 0<br />
Null gesetzt wird.<br />
S 0 := 1<br />
(Alle anderen Elemente werden dann ebenfalls Null)<br />
PFD MT := 0<br />
PFD := for t ∈ 1.. MT<br />
S f P(t) T х S if mod(t, T 1 ) ≠ 0<br />
Normalen Zeitschritt berechnen<br />
S f Proof T х S if mod(t, T 1 ) = 0 mod(t, T Rev ) ≠ 0<br />
Prooftest (ohne Revision)<br />
S f Rev T х S if mod(t, T Rev ) = 0<br />
Revision<br />
n = Anz–Danger<br />
Darstellung der zeitabhängigen PFD(t)<br />
PFD avg := Mittelwert (PFD)<br />
PFD avg := 2.52 х 10 −3<br />
BILD 3<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012<br />
45
Hauptbeitrag<br />
an die neue Situation angepasst und die Rechnung „auf<br />
Knopfdruck“ erneut durchgeführt werden.<br />
Das Beispiel wurde mit Mathcad 14 erstellt. Auf e<strong>in</strong>em<br />
Laptop mit Intel T7300 Prozessor (2 GHz) beträgt<br />
die Rechenzeit mit den angegebenen Parametern zirka<br />
40 Sekunden.<br />
Fazit<br />
Die Berechnung der PFD mithilfe e<strong>in</strong>es Markov-Modells<br />
stößt immer dann an Grenzen, wenn die Übergangswahrsche<strong>in</strong>lichkeiten<br />
zeitveränderlich s<strong>in</strong>d. Dies<br />
ist beispielsweise dann der Fall, wenn zu bestimmten<br />
Zeitpunkten Prüf- beziehungsweise Wartungsarbeiten<br />
durchgeführt werden oder die Ausfallraten über der<br />
Zeit nicht konstant s<strong>in</strong>d. Für den erstgenannten Fall<br />
wird <strong>in</strong> der neuen Ausgabe der EN 61508, Teil 6 e<strong>in</strong><br />
Lösungsvorschlag <strong>in</strong> Form e<strong>in</strong>es Mehrphasen-Markov-<br />
Modells vorgestellt. Hierbei wird zu den besagten Zeitpunkten<br />
auf e<strong>in</strong>e andere Wahrsche<strong>in</strong>lichkeitsmatrix<br />
„umgeschaltet“, um zum Beispiel den Effekt der regelmäßigen<br />
Wiederholungsprüfung bei der PFD-Berechnung<br />
korrekt zu berücksichtigen. Ändern sich die Ausfallraten<br />
kont<strong>in</strong>uierlich (wie zum Beispiel bei verschleißbehafteten<br />
Elementen), kann dies nicht durch<br />
Mehrphasen-Markov-Modelle modelliert werden. Vielmehr<br />
erfordert dies e<strong>in</strong>e Erweiterung der Methode,<br />
sodass die e<strong>in</strong>zelnen Elemente der Wahrsche<strong>in</strong>lichkeitsmatrix<br />
selbst zeitabhängige Funktionen darstellen.<br />
In beiden Fällen (Mehrphasen-Markov-Modelle<br />
und zeitabhängige Übergangswahrsche<strong>in</strong>lichkeiten)<br />
stoßen proprietäre Programme zur Markov-Modellierung<br />
an ihre Grenzen.<br />
Universelle Mathematik-Programme wie Mathcad bieten<br />
die Funktionalität und Flexibilität, um Mehrphasen-<br />
Markov-Modelle mit zeitabhängigen Übergangswahrsche<strong>in</strong>lichkeiten<br />
zu beschreiben und zu berechnen. Der<br />
Bedienungskomfort und die Funktionalität heutiger<br />
Mathematik-Programme s<strong>in</strong>d so weit fortgeschritten,<br />
dass die Implementierung e<strong>in</strong>es Modells sowie des dazugehörigen<br />
Lösungsalgorithmus ohne nennenswerte<br />
E<strong>in</strong>arbeitung möglich ist.<br />
Manuskripte<strong>in</strong>gang<br />
13.03.2012<br />
Im Peer-Review-Verfahren begutachtet<br />
Autor<br />
Dr.-Ing. Andreas<br />
Hildebrandt (geb. 1959)<br />
machte e<strong>in</strong>e Ausbildung<br />
zum Informationselektroniker<br />
bei der BASF AG,<br />
Ludwigshafen. Studium<br />
der Elektrotechnik mit<br />
anschließender Promotion<br />
am Lehrstuhl für Mikroelektronik<br />
an der TU Kaiserslautern.<br />
Seit 1996 Mitarbeiter bei der Pepperl+Fuchs<br />
GmbH, Mannheim, als Entwicklungs<strong>in</strong>genieur,<br />
später als Leiter des Prüflabors.<br />
Seit 2006 leitet er die Gruppe „Schulung<br />
und Gremienarbeit“. Vorsitzender der ZVEI-<br />
Arbeitsgruppe „EMV“, Mitarbeit bei DKE<br />
K 767.0.4, DKE GK 914, sowie dem FA 6.13<br />
der Gesellschaft Mess- und Automatisierungstechnik<br />
(GMA) des VDI/VDE. Hauptarbeitsgebiete:<br />
Explosionsschutz, funktionale<br />
Sicherheit, EMV und Feldbus-Systeme.<br />
Pepperl+Fuchs GmbH,<br />
Lilienthalstr. 200,<br />
D-68307 Mannheim,<br />
Tel. +49 (0) 621 776 14 54,<br />
E-Mail: ahildebrandt@de.pepperl-fuchs.com<br />
Referenzen<br />
[1] Hildebrandt, A.: SIL-Bewertung von Mechanik,<br />
<strong>atp</strong> <strong>edition</strong> – Automatisierungstechnische Praxis<br />
53(1-2), 2011<br />
[2] Pukite, J. und Pukite, P.: Model<strong>in</strong>g für Reliability<br />
Analysis, IEEE Press<br />
[3] Trölß, J.: Angewandte Mathematik mit Mathcad,<br />
Band 1 – 4, Spr<strong>in</strong>ger Verlag<br />
[4] EN 61508 Teil 6: Edition 2: Funktionale Sicherheit<br />
sicherheitsbezogener elektrischer/elektronischer/<br />
programmierbarer elektronischer Systeme,<br />
Teil 6: Anwendungsrichtl<strong>in</strong>ie für IEC 61508-2 und<br />
IEC 61508-3, Februar 2011<br />
[5] EN 61511, Teil 1 - 3: Funktionale Sicherheit – Sicherheitstechnische<br />
Systeme für die Prozess<strong>in</strong>dustrie,<br />
Mai 2005<br />
[6] VDI/VDE 2180, Blatt 1 - 5: Sicherung von Anlagen der<br />
Verfahrenstechnik mit Mitteln der Prozessleittechnik<br />
(PLT), 2009<br />
46<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
Herausforderung<br />
Automatisierungstechnik<br />
Mit dem <strong>atp</strong>-award werden zwei Autoren der <strong>atp</strong> <strong>edition</strong><br />
für hervorragende Beiträge ausgezeichnet. Ziel dieser<br />
Initiative ist es, Wissenschaftler und Praktiker der<br />
Automatisierungstechnik anzuregen, ihre Ergebnisse<br />
und Erfahrungen <strong>in</strong> Veröffentlichungen zu fassen und<br />
die Wissenstransparenz <strong>in</strong> der Automatisierungstechnik<br />
zu fördern.<br />
Teilnehmen kann jeder Autor der zum Zeitpunkt<br />
der Veröffentlichung nicht älter als 35 Jahre ist. Nach<br />
Veröffentlichung e<strong>in</strong>es Beitrags ist der Autor, wenn er<br />
die Bed<strong>in</strong>gung erfüllt, automatisch im Pool. Die Auswahl<br />
des Gew<strong>in</strong>ners übernimmt die <strong>atp</strong>-Fachredaktion.<br />
Derjenige Autor, der im Autorenteam der jüngste ist,<br />
erhält stellvertretend für alle Autoren die Auszeichnung.<br />
Der Preis wird <strong>in</strong> zwei Kategorien ausgelobt:<br />
Industrie und Hochschule. Die Kategorien ermittlung<br />
ergibt sich aus der <strong>in</strong> dem Beitrag angegebenen Adresse<br />
des jüngsten Autors.<br />
Veröffentlichungen – Beitrag zum Wissenspool<br />
im Fachgebiet Automatisierungstechnik<br />
Die Entwicklung e<strong>in</strong>es Wissensgebietes erfolgt durch<br />
e<strong>in</strong>en kooperativen Prozess zwischen wissenschaftlicher<br />
Grundlagenforschung, Konzept- und Lösungsentwicklung<br />
und Anwendung <strong>in</strong> der Praxis. E<strong>in</strong> solcher<br />
Prozess bedarf e<strong>in</strong>er geme<strong>in</strong>samen Informationsplattform.<br />
Veröffentlichungen s<strong>in</strong>d die essentielle Basis<br />
e<strong>in</strong>es solchen Informationspools.<br />
Der <strong>atp</strong>-award fördert den wissenschaftlichen Austausch<br />
im dynamischen Feld der Automationstechnik.<br />
Nachwuchs<strong>in</strong>genieure sollen gezielt ihre Forschungen<br />
präsentieren können und so leichter den Zugang zur<br />
Community erhalten. Der Preis ist mit e<strong>in</strong>er Prämie<br />
von jeweils 2000€ dotiert.<br />
Die Auswahl erfolgt <strong>in</strong> zwei Stufen:<br />
Voraussetzung für die Teilnahme ist die Veröffentlichung<br />
des Beitrags <strong>in</strong> der <strong>atp</strong> <strong>edition</strong>. Jeder Aufsatz,<br />
der als Hauptbeitrag für die <strong>atp</strong> <strong>edition</strong> e<strong>in</strong>gereicht<br />
wird, durchläuft das Peer-Review-Verfahren. Die<br />
letzte Entscheidung zur Veröffentlichung liegt beim<br />
Chefredakteur. Wird e<strong>in</strong> Beitrag veröffentlicht, kommt<br />
er automatisch <strong>in</strong> den Pool der <strong>atp</strong>-award-Bewerber,<br />
vorausgesetzt e<strong>in</strong>er der Autoren ist zum Zeitpunkt<br />
der Veröffentlichung nicht älter als 35 Jahre. Ausgezeichnet<br />
wird der jüngste Autor stellvertretend für alle<br />
Autoren der Gruppe. E<strong>in</strong>e Jury aus Vertretern der <strong>atp</strong>-<br />
Fachredaktion und des -Beirats ermittelt schließlich<br />
den Gew<strong>in</strong>ner <strong>in</strong> den jeweiligen Kategorien Hochschule<br />
und Industrie. Der Rechtsweg ist ausgeschlossen.<br />
Beiträge richten Sie bitte an:<br />
Oldenbourg Industrieverlag GmbH<br />
Herrn Prof. Leon Urbas<br />
Chefredakteur <strong>atp</strong> <strong>edition</strong> / automatisieren! by <strong>atp</strong><br />
Rosenheimer Straße 145<br />
81761 München<br />
Tel. +49 (0) 89 45051 418<br />
E-Mail: urbas@oiv.de<br />
Beachten Sie die Autorenh<strong>in</strong>weise der <strong>atp</strong> <strong>edition</strong> für<br />
Hauptbeiträge unter folgendem L<strong>in</strong>k:<br />
http://www.<strong>atp</strong>-onl<strong>in</strong>e.de<br />
Bitte senden Sie Ihre Beiträge an:<br />
urbas@oiv.de<br />
Vom Wettbewerb ausgeschlossen s<strong>in</strong>d Mitarbeiter des Oldenbourg Industrieverlags. Wird e<strong>in</strong> Beitrag von mehreren Autoren e<strong>in</strong>gereicht, gelten die Bed<strong>in</strong>gungen für den Erstautor. Der Preis<br />
als ideeller Wert geht <strong>in</strong> diesem Fall an die gesamte Autorengruppe, die Dotierung geht jedoch exklusiv an den jüngsten Autor. Grundlage der Teilnahme am Wettbewerb ist die E<strong>in</strong>sendung<br />
e<strong>in</strong>es Hauptaufsatz-Manuskriptes an die <strong>atp</strong>-Chefredaktion.<br />
www.<strong>atp</strong>-onl<strong>in</strong>e.de
hauptbeitrag<br />
Komplexe<br />
PLT-Schutze<strong>in</strong>richtungen<br />
Entwicklung, Umsetzung und Instandhaltung<br />
Die Anwendung komplexer Schutzfunktionen wird durch Standards wie IEC 61511 abgedeckt.<br />
Wesentliche Voraussetzungen s<strong>in</strong>d e<strong>in</strong>e vollständige Spezifikation und klar<br />
def<strong>in</strong>ierte Entwicklungs- und Prüfprozesse. Jedoch s<strong>in</strong>d die <strong>in</strong> IEC 61511 genannten Anforderungen<br />
<strong>in</strong> e<strong>in</strong>igen Teilbereichen nicht ausreichend, und das E<strong>in</strong>beziehen von zusätzlichen<br />
Standards, zum Beispiel IEC 61508, ist notwendig. Der Beitrag beschreibt e<strong>in</strong> Vorgehen,<br />
das den Besonderheiten von komplexen Schutze<strong>in</strong>richtungen <strong>in</strong> der Prozess<strong>in</strong>dustrie<br />
Rechnung trägt.<br />
SCHLAGWÖRTER Komplexe Schutzfunktionen / V-Modell / IEC 61511 / IEC 61508<br />
Complex E&I-Safety Functions –<br />
Development, Implementation and Ma<strong>in</strong>tenance<br />
The application of complex safety functions is covered by established standards like<br />
IEC 61511. Significant requirements <strong>in</strong>clude a comprehensive specification and a def<strong>in</strong>ed<br />
development and verification process. However, <strong>in</strong> some parts the requirements of<br />
IEC 61511 are not sufficient and the <strong>in</strong>tegration of additional standards, for example<br />
IEC 61508, is necessary. This article describes a procedure which takes the characteristics<br />
of complex safety functions <strong>in</strong>to account.<br />
KEYWORDS Complex based safety functions / V-Model / IEC 61511 / IEC 61508<br />
48<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
Susann Haase, Dirk Hablawetz, Thomas Hauff, Michael Krauß, Felix Lenhart, BASF<br />
Verfahrenstechnische Prozesse werden kont<strong>in</strong>uierlich<br />
weiterentwickelt und führen zu e<strong>in</strong>er<br />
besseren Produktqualität und höheren Anlagenausbeute.<br />
In den vergangenen Jahren wurden<br />
leistungsfähige sicherheitsgerichtete speicherprogrammierbare<br />
Steuerungen (SSPS) entwickelt,<br />
mit denen auch komplexe Schutzfunktionen als Onl<strong>in</strong>e-<br />
Realisierung e<strong>in</strong>gesetzt werden können. Die technischen<br />
Weiterentwicklungen der Hard- und Software ermöglichen<br />
dabei neue Lösungen, vergleichbar mit früher nicht<br />
realisierbaren elektronischen Stabilitätsprogrammen <strong>in</strong><br />
Kraftfahrzeugen.<br />
Komplexe Schutzsysteme s<strong>in</strong>d gekennzeichnet durch<br />
e<strong>in</strong>en hohen Anteil an verfahrenstechnischen Aspekten<br />
<strong>in</strong> der Spezifikation. Oft ist es nicht möglich, die e<strong>in</strong>zelnen<br />
sicherheitstechnischen Funktionen direkt auf der<br />
prozessleittechnischen Ebene zu def<strong>in</strong>ieren, wie das bei<br />
e<strong>in</strong>fachen Schutzfunktionen, zum Beispiel Temperatur-<br />
Maximum-Abschaltungen, möglich ist. Komplexität<br />
kann dabei durch komplexe Produktionsabläufe oder<br />
aufwendige mathematische Modelle zur Berechnung von<br />
sicherheitsrelevanten Größen beziehungsweise deren<br />
Wechselwirkung gegeben se<strong>in</strong>. Die Ermittlung nicht direkt<br />
messbarer Größen kann e<strong>in</strong> numerisches Lösungsverfahren<br />
benötigen, das nur <strong>in</strong> e<strong>in</strong>er höheren Programmiersprache<br />
realisiert werden kann. Unabhängig von der<br />
Art des Lösungsverfahrens oder dessen Umsetzung werden<br />
für komplexe PLT-Schutze<strong>in</strong>richtungen e<strong>in</strong>e den<br />
gesamten Sicherheitslebenszyklus umfassende Methodik<br />
und <strong>in</strong>sbesondere klare organisatorische Prozesse, Rollen<br />
und Verantwortlichkeiten benötigt.<br />
Überall dort, wo es nicht mehr möglich ist, die Komplexität<br />
der Applikation mit den Mitteln der IEC 61511 [1]<br />
abzudecken, ist es möglich, methodische Anleihen von<br />
anderen sektorspezifischen Sicherheitsstandards zu nutzen,<br />
wie zum Beispiel die ISO 26262 für die Automobiltechnik.<br />
Der oft bessere Weg ist der Rückgriff auf den<br />
sicherheitstechnischen Basisstandard IEC 61508 [2], was<br />
jedoch mit überproportionalem Aufwand auf die spezifische<br />
Entwicklung von Speziallösungen assoziiert wird.<br />
Allerd<strong>in</strong>gs zeigt e<strong>in</strong> genauerer Blick auf den Anhang G<br />
der IEC 61508 Teil 3, welcher Komplexitätsgrad für die<br />
erforderliche Sicherheits<strong>in</strong>tegrität def<strong>in</strong>iert werden<br />
muss, (Bild 1) und daraus abgeleitet, welche notwendigen<br />
Maßnahmen beachtet werden müssen. Die Komplexitätskategorie<br />
G4 ist <strong>in</strong> vielen Fällen für komplexe Schutzfunktionen<br />
ausreichend und damit aufwandsreduziert<br />
gegenüber G7.<br />
Basierend auf der IEC 61508-3 wird <strong>in</strong> diesem Beitrag<br />
e<strong>in</strong> Rahmen für den Entwicklungs- und Umsetzungsprozess<br />
von funktional und steuerungstechnisch komplexen<br />
Schutze<strong>in</strong>richtungen im verfahrenstechnischen Umfeld<br />
beschrieben. Der Schwerpunkt liegt dabei auf der Entwicklung<br />
und Verifikation der Applikationssoftware im<br />
Kontext e<strong>in</strong>es geeigneten Gesamtkonzepts.<br />
Im Rahmen der <strong>in</strong> den zitierten Normen genannten<br />
Anforderungen an Methodik, Prozesse und Verantwortlichkeiten<br />
s<strong>in</strong>d <strong>in</strong>sbesondere folgende Aspekte <strong>in</strong> e<strong>in</strong>em<br />
Gesamtkonzept zu beachten:<br />
Spezifikation der Anforderungen an die sicherheitstechnische<br />
Anwendung,<br />
Berücksichtigung von speziellen und spezifischen<br />
Betriebsarten,<br />
erlaubte Sprachenteilmengen für die Realisierung<br />
dieser Anwendung (Sprache<strong>in</strong>schränkungen),<br />
Entwurfsmethoden zur Komb<strong>in</strong>ation der<br />
Sprachen teilmengen (Codierrichtl<strong>in</strong>ien),<br />
Spezifikation der E<strong>in</strong>gabeparameter für die<br />
Anwendung,<br />
Rahmenkriterien für die Verifikation, die unter<br />
anderem die Komb<strong>in</strong>ationen möglicher Systemzustände<br />
abdecken,<br />
Validierung aller Komb<strong>in</strong>ationen der E<strong>in</strong>gabeparameter,<br />
notwendige Dokumentation mit möglichst allgeme<strong>in</strong><br />
verständlicher Darstellung.<br />
Diese Vorgehensweise für die Implementierung von<br />
Schutzfunktionen wird auf komplexe Schutzfunktionen<br />
mit e<strong>in</strong>em unterlagerten chemisch-physikalischen Modell<br />
angewendet. Die Bereiche Spezifikation, Dokumentations-<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012<br />
49
Hauptbeitrag<br />
und Validierungskonzept sowie Softwareverifizierung<br />
werden hierbei besonders betont. Projektspezifisch kann<br />
die Gewichtung der dargestellten Aspekte variieren. Insbesondere<br />
werden auch die Vorteile der Komb<strong>in</strong>ation der<br />
Sicherheitssteuerungen Himax mit der Realisierungsplattform<br />
SPHINX [3] zur Nutzung der Programmiersprache C<br />
diskutiert, durch welche die Erfüllung von Anforderungen<br />
der IEC 61508-3 erheblich erleichtert wird.<br />
Ziel des Artikels ist die Darstellung e<strong>in</strong>es möglichen<br />
Vorgehensmodells aus der Praxis zur Realisierung komplexer<br />
Schutze<strong>in</strong>richtungen <strong>in</strong> der Prozess<strong>in</strong>dustrie für<br />
alle im Sicherheitslebenszyklus beteiligten Personen und<br />
Organisationen. Lösungen <strong>in</strong> der Prozess<strong>in</strong>dustrie s<strong>in</strong>d<br />
überwiegend Unikate beziehungsweise haben maximal<br />
Kle<strong>in</strong>seriencharakter. Es besteht daher e<strong>in</strong> Bedarf an<br />
Vorgehensweisen und Realisierungsplattformen, die ger<strong>in</strong>gen<br />
Anwendungszahlen gerecht werden, aber dennoch<br />
auf effiziente und effektive Weise den gesamten<br />
Sicherheitslebenszyklus abdecken. E<strong>in</strong> solcher Ansatz<br />
wird hier dargestellt.<br />
1. Implementierung komplexer Schutzfunktionen<br />
Sicherheit ist das Resultat angemessener Qualitätsprozesse,<br />
die mit e<strong>in</strong>er Spezifikation beg<strong>in</strong>nen. Aus dieser<br />
Sicht s<strong>in</strong>d die IEC 61511 und die IEC 61508 <strong>in</strong>haltlich<br />
ähnlich zu Normen für Qualitätssicherung und Anwendungen<br />
im validierungspflichtigen Umfeld, zum Beispiel<br />
GMP (Good Manufactur<strong>in</strong>g Practice)-Richtl<strong>in</strong>ien der<br />
Pharmaproduktion [4-7]. Geme<strong>in</strong>same Elemente dieser<br />
Standards und Methoden s<strong>in</strong>d:<br />
Es müssen klare Prozesse für Spezifikation, Entwicklung,<br />
Implementierung, Verifizierung, Validierung,<br />
Dokumentation und Betrieb existieren.<br />
Kompetenzen und Verantwortlichkeiten müssen<br />
e<strong>in</strong>deutig def<strong>in</strong>iert se<strong>in</strong>.<br />
Es müssen verb<strong>in</strong>dliche Schnittstellen für die Kooperation<br />
zwischen verschiedenen beteiligten E<strong>in</strong>heiten<br />
existieren.<br />
Die Dokumentation muss problemspezifisch zugeschnitten<br />
und zielgruppenorientiert hierarchisch<br />
organisiert se<strong>in</strong> (V-Modell [8]) und muss nachvollziehbare<br />
Aussagen über Annahmen, Rechtfertigungen<br />
und E<strong>in</strong>schränkungen machen.<br />
Die Rückverfolgbarkeit der Anforderungen, Implementierungs-<br />
und Validierungsdetails muss gegeben<br />
se<strong>in</strong>.<br />
Bei der technischen Realisierung von komplexen<br />
Schutzsystemen s<strong>in</strong>d meist zahlreiche fachlich spezialisierte<br />
E<strong>in</strong>heiten beteiligt, sodass die Organisation<br />
äußerst anspruchsvoll ist. Das betrifft beispielsweise<br />
die Erarbeitung der chemisch-physikalischen Zusammenhänge<br />
und die Entwicklung e<strong>in</strong>es zugehörigen,<br />
onl<strong>in</strong>efähigen (das heißt, <strong>in</strong> der SSPS realisierbaren)<br />
Algorithmus. Auch die Ausarbeitung von Verifikations-<br />
und Validierungsmaßnahmen sowie die Erstellung<br />
von Betriebsanweisungen werden typischerweise<br />
von Personen aus verschiedenen Organisationen übernommen.<br />
Die Wechselwirkungen zwischen diesen<br />
Schritten s<strong>in</strong>d zu beachten und erfordern e<strong>in</strong>e <strong>in</strong>tensive<br />
Kooperation und Vernetzung der beteiligten Fache<strong>in</strong>heiten<br />
unter e<strong>in</strong>em Koord<strong>in</strong>ator, welcher das komplette<br />
Sicherheitskonzept detailliert kennt, zum Beispiel<br />
dem Verfahrensgeber. Dabei muss <strong>in</strong>sbesondere<br />
die Spezifikation des Schutzsystems als <strong>in</strong>tegraler Teil<br />
des Produktionsverfahrens begriffen werden. Bei der<br />
Organisation ist zu beachten, dass im sicherheitstechnischen<br />
Umfeld all diese Schritte im 4-Augen-Pr<strong>in</strong>zip<br />
verifiziert werden sollten. Zur Def<strong>in</strong>ition und gegenseitigen<br />
Abgrenzung von Entwicklungsschritten und<br />
Verantwortlichkeiten kann zweckmäßigerweise e<strong>in</strong>e<br />
RACI-Matrix verwendet [9] werden. In dieser wird der<br />
gesamte Lebenszyklus beachtet (<strong>in</strong>klusive Management<br />
of Change, bei komplexen Systemen <strong>in</strong>sbesondere das<br />
Know-how-Management).<br />
In der Programmierung muss die höhere Komplexität,<br />
welche durch numerische Lösungsverfahren hervorgerufen<br />
wird, berücksichtigt werden. Die IEC 61511 konzentriert<br />
sich bei der Umsetzung von Sicherheitsfunktionen<br />
maximal auf Programmiersprachen mit e<strong>in</strong>geschränktem<br />
Sprachumfang. Komplexe Sicherheitsfunktionen<br />
benötigen oft e<strong>in</strong>e Programmiersprache mit e<strong>in</strong>em<br />
höheren Funktionsumfang als zum Beispiel Structured<br />
Text (ST). Diese stehen jedoch außerhalb des Fokus der<br />
IEC 61511. Die IEC 61511 bezieht sich spezifisch auf den<br />
Sektor der Prozess<strong>in</strong>dustrie, unterstützt den Anwender<br />
jedoch wenig bei der Wahl geeigneter Verfahren für Umsetzung<br />
und Verifikation komplexer Funktionen. Die<br />
IEC 61508 h<strong>in</strong>gegen hat e<strong>in</strong>en eher generischen Ansatz<br />
und bietet e<strong>in</strong>e Auswahl an Methoden und Verfahren,<br />
aus denen der Anwender die für se<strong>in</strong>e Applikation passenden<br />
heraussuchen kann.<br />
1.1 Dokumentation im Entwicklungsprozess<br />
Die Dokumentation über das V-Modell sollte, wie bereits<br />
erwähnt, vollständig und rückverfolgbar se<strong>in</strong>. Hier s<strong>in</strong>d<br />
drei wesentliche Aspekte zu beachten:<br />
Physikalisch-chemische Modellgleichungen bilden<br />
die Realität nur unvollkommen ab. Die Annahmen<br />
und Voraussetzungen für die Gültigkeit und Anwendbarkeit<br />
dieser Gleichungen müssen dokumentiert<br />
und begründet werden.<br />
Jede im V-Modell tiefer liegende Anforderung an die<br />
Implementierung und jeder Aspekt der Realisierung<br />
muss auf Anforderungen der Spezifikation zurückgeführt<br />
werden können.<br />
Übergeordnete Dokumente müssen für jede Produktionsanlage<br />
bezüglich des mathematischen und ablauforientierten<br />
Teils <strong>in</strong> den projektspezifischen<br />
Dokumenten konkretisiert werden.<br />
E<strong>in</strong>e geeignete Dokumentenstruktur soll <strong>in</strong>sbesondere<br />
def<strong>in</strong>ierte Schnittstellen zwischen den beteiligten E<strong>in</strong>heiten<br />
sicherstellen. Die Dokumentationsstruktur muss<br />
zu den Rollen und Verantwortungen (RACI-Matrix [9])<br />
passen.<br />
50<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
BILD 1: Freiheitsgrad<br />
gegen Komplexität<br />
bei datengesteuerten<br />
Systemen<br />
SIS Realisierungsphase SIS Analysephase Sicherheitskonzept<br />
Review<br />
Spezifikation des<br />
Sicherheitskonzeptes<br />
Review<br />
Modellentwicklung<br />
Entwurfsprüfung<br />
Generisch<br />
Gefährdungs- und<br />
Riskoanalyse<br />
Projektspezifisch (SSPS)<br />
Prüfungen<br />
Zuordnung der<br />
Schutzmaßnahmen<br />
Spezifikation der PLT -<br />
Schutze<strong>in</strong>richtungen<br />
Verfahrenstechnisch e<br />
Validierung<br />
Planung, Projektierung,<br />
Validierungsplanung<br />
S IS Betriebsphase<br />
Funktionale<br />
Validierung<br />
Implementierung und<br />
Inbetriebnahme<br />
Inbetriebnahmeprüfung<br />
Werksabnahme,<br />
Softwareprüfung<br />
Modifikation<br />
Betrieb und Wartung<br />
Wiederholungsprüfung<br />
BILD 2: Vere<strong>in</strong>fachte<br />
Darstellung des V-Modells<br />
für e<strong>in</strong>e komplexe<br />
Schutze<strong>in</strong>richtung<br />
1.2 Prozesse im V-Modell<br />
Im V-Modell (Bild 2) ist e<strong>in</strong> Realisierungsprozess für<br />
e<strong>in</strong> Schutzsystem skizziert. Komplexe Schutzsysteme<br />
s<strong>in</strong>d als Verfahrensbestandteil zu betrachten. Solche<br />
Verfahren werden <strong>in</strong> der Regel <strong>in</strong> mehreren Produktionsanlagen<br />
genutzt, sodass es s<strong>in</strong>nvoll ist, zwischen<br />
e<strong>in</strong>er generischen, das heißt projektübergreifenden allgeme<strong>in</strong>en<br />
Beschreibung, und e<strong>in</strong>er projektspezifischen<br />
Individualisierung zu unterscheiden. Bild 2 zeigt, welche<br />
Abschnitte des V-Modells generisch oder projektspezifisch<br />
s<strong>in</strong>d, oder jeweils sowohl generisch als<br />
auch projektspezifisch durchgeführt werden sollten.<br />
Die generische Implementierung dient als Referenzmodell<br />
für die methodisch und algorithmisch identische,<br />
projektspezifische Implementierung. Im generischen<br />
Teil des V-Modells werden die konkreten Methoden<br />
und Standards festgelegt, zum Beispiel die Aufteilung<br />
der Programm-Funktionen <strong>in</strong> e<strong>in</strong>zelne Module. Diese<br />
werden im projektspezifischen Teil verwendet. Mit<br />
diesem Ansatz lassen sich viele Forderungen der<br />
IEC 61508 bereits <strong>in</strong> der Entwicklungsphase der Onl<strong>in</strong>e-Implementierung<br />
erfüllen. In der Projektphase<br />
muss nur noch auf projektspezifische Aspekte wie die<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012<br />
51
Hauptbeitrag<br />
Anpassung der generischen Prozessabläufe an die jeweilige<br />
Anlage geachtet werden. Das Referenzmodell<br />
wird zur Prüfung der projektspezifischen Realisierung<br />
verwendet.<br />
Typischerweise wird e<strong>in</strong>e komplexe Funktion vor<br />
der Implementierung auf der SSPS auf e<strong>in</strong>em Entwicklungs-PC<br />
getestet. Wenn auf SSPS und Entwicklungs-<br />
PC dieselbe Programmiersprache verwendet werden<br />
kann, entstehen hierdurch mehrere Synergien. Implementierung<br />
und Verifikation vere<strong>in</strong>fachen sich besonders,<br />
wenn ausgehend von e<strong>in</strong>em Programm mithilfe<br />
zweier Compiler sowohl Code für den PC als auch für<br />
die SSPS erzeugt werden kann. Oft kann dann zusätzlicher<br />
Entwicklungsaufwand vermieden werden, um<br />
Algorithmen an Limitierungen, wie Speicher oder Rechenzeit,<br />
der Realisierungsplattform anzupassen.<br />
Im Zusammenhang mit komplexen Schutzfunktionen<br />
s<strong>in</strong>d e<strong>in</strong>ige Teilprozesse dieses V-Modells besonders<br />
relevant. So muss die Spezifikation vollständig<br />
se<strong>in</strong> und alle funktionalen Festlegungen abdecken.<br />
Auch die Schritte, Zustände und erlaubten Transitionen<br />
des Produktionsverfahrens müssen beschrieben<br />
se<strong>in</strong>. Die Dokumentation muss methodisch aufgebaut<br />
und leicht verständlich se<strong>in</strong>. Details der Implementierung<br />
müssen bis zur Spezifikation der verfahrenstechnischen<br />
Anforderungen rückverfolgbar se<strong>in</strong>. Das Validierungskonzept<br />
muss spezifisch an Fragestellung und<br />
Plattform adaptiert se<strong>in</strong>.<br />
2. Spezifikation der Sicherheitsfunktionen<br />
Die Spezifikation komplexer Schutzsysteme muss sich<br />
am Begriff der funktionalen Sicherheit (IEC 61511) orientieren.<br />
Funktionale Sicherheit umfasst den Teil der<br />
gesamten Betriebssicherheit, die von der korrekten Funktion<br />
e<strong>in</strong>es Systems abhängt.<br />
Aus der generischen Beschreibung muss erkennbar<br />
se<strong>in</strong>, wie e<strong>in</strong>e projektspezifische Umsetzung erfolgen<br />
soll. Fahrweisen, Betriebszustände, Reaktionsfortschritte<br />
und Rezeptphasen müssen daher Teil der Spezifikation<br />
se<strong>in</strong>. Die Spezifikation ist damit untrennbarer<br />
Bestandteil des Produktionsverfahrens. Das System<br />
muss geeignet se<strong>in</strong>, unabhängig von Anlagenzuständen,<br />
Nutzere<strong>in</strong>gaben, <strong>in</strong>duzierten oder <strong>in</strong>tr<strong>in</strong>sischen Fehlern<br />
selbstständig mit der erforderlichen Zuverlässigkeit<br />
e<strong>in</strong>en sicheren Zustand aufrechtzuerhalten. Das<br />
Ziel der funktionalen Sicherheit ist, mittels geeigneter<br />
technischer E<strong>in</strong>richtungen die vom System ausgehenden<br />
Gefahren und Risiken auf das erforderliche Niveau<br />
zu reduzieren.<br />
2.1 Vollständigkeit der Spezifikation<br />
Bei e<strong>in</strong>er Spezifikation kommt es auf Vollständigkeit<br />
an (Bild 3). Das bedeutet, dass alle Aussagen begründet<br />
und die verfahrenstechnischen Aspekte der<br />
Schutzfunktionen restlos geklärt se<strong>in</strong> sollen. Besonderer<br />
Wert soll <strong>in</strong> der Spezifikation daher auf das Zustandsdiagramm<br />
der Prozesszustände, auf die mathematischen<br />
Berechnungen und die Architektur des<br />
Systems gelegt werden. Die Interaktionen zwischen<br />
dem Bedienpersonal (zum Beispiel wechselnde Rezepte,<br />
die händische E<strong>in</strong>gaben <strong>in</strong> die Sicherheitssteuerung<br />
bed<strong>in</strong>gen) und funktionaler Sicherheit s<strong>in</strong>d zu<br />
beachten. Die Beschreibung des E<strong>in</strong>gangs- und Ausgangsverhaltens<br />
soll vollständig se<strong>in</strong>. Schutzsysteme<br />
s<strong>in</strong>d nicht nur durch die Reaktion auf vorhersehbare,<br />
sondern auch auf alle möglichen E<strong>in</strong>gangssignale gekennzeichnet.<br />
Daher ist festzulegen, welche Fehlersituationen<br />
auf welche Weise zu erkennen und wie sie<br />
abzufangen s<strong>in</strong>d.<br />
Die Spezifikation muss folgende verfahrenstechnische<br />
Punkte umfassen:<br />
Beschreibung der chemisch-physikalischen Gleichungen<br />
Beschreibung der sicherheitsrelevanten Funktionen<br />
Beschreibung der e<strong>in</strong>zuhaltenden Randbed<strong>in</strong>gungen<br />
Trennung zwischen sicherheitsrelevanten und nichtsicheren<br />
Funktionen und E<strong>in</strong>richtungen<br />
Abgrenzung der Sicherheitsfunktionen zu gegebenenfalls<br />
möglichen sicherheitsrelevanten organisatorischen<br />
Regelungen, zum Beispiel Anfahrüberbrückungen<br />
Verhalten <strong>in</strong> Sondersituationen (Fehlerbehebung,<br />
An- und Abfahren, Forcen, Hardware-Panel mit<br />
Schlüsselschaltern zur Anfahrüberbrückung)<br />
Kopplung zum PLS und Betriebsdaten<strong>in</strong>formationssystem<br />
Bild 3: E<strong>in</strong>e gute Spezifikation setzt sich aus<br />
methodischen und <strong>in</strong>haltlichen Aspekten zusammen.<br />
52<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
2.2 Def<strong>in</strong>ition e<strong>in</strong>es Zustandsgraphen<br />
Häufig läuft die Fahr- oder Betriebsweise e<strong>in</strong>es Prozesses<br />
diskont<strong>in</strong>uierlich ab. Um ungewollte Zustände und<br />
Zustandsübergänge zu vermeiden, müssen zunächst<br />
alle Zustände und gewollten Zustandsübergänge (Transitionen)<br />
def<strong>in</strong>iert se<strong>in</strong>. Dazu empfiehlt sich e<strong>in</strong>e Struktur<br />
nach Bild 4. Zustandsübergänge, die nicht explizit<br />
def<strong>in</strong>iert und damit erlaubt s<strong>in</strong>d, s<strong>in</strong>d verboten. Die<br />
Logiken zur Weiterverarbeitung der Zustände s<strong>in</strong>d zustandsfrei<br />
und enthalten den jeweils aktiven Zustand<br />
als E<strong>in</strong>gangsvariable. Es ist s<strong>in</strong>nvoll, je programmtechnischem<br />
Durchlauf der Steuerung maximal e<strong>in</strong>en e<strong>in</strong>zigen<br />
Zustandsübergang zu erlauben. E<strong>in</strong>e Realisierung<br />
der Struktur nach Bild 4 erleichtert dann die Verifikation,<br />
denn alle steuerungstechnisch möglichen Zustände<br />
und Transitionen s<strong>in</strong>d unmittelbar erkennbar.<br />
Es kann erforderlich se<strong>in</strong>, diese Vorgehensweise zu kaskadieren,<br />
zum Beispiel können Logiken <strong>in</strong> Erweiterung zu<br />
diesen Ausführungen selbst wieder Zustandsgraphen enthalten.<br />
Solange sichergestellt wird, dass Zustandsgraphen<br />
nur auf unterlagerte Logiken wirken, ergibt sich damit e<strong>in</strong>e<br />
übersichtliche und leicht prüfbare Struktur [10].<br />
2.3 Numerisches Lösungsverfahren<br />
Die mathematischen Berechnungen <strong>in</strong> e<strong>in</strong>er Schutzfunktion<br />
s<strong>in</strong>d sehr anwendungsspezifisch und werden daher<br />
hier nicht thematisiert. Die Spezifikation soll jedoch<br />
zum<strong>in</strong>dest die geforderte Genauigkeit und Qualitätskriterien<br />
(zum Beispiel Konvergenz, Stabilität) des Lösungsverfahrens<br />
angeben. Außerdem dürfen die E<strong>in</strong>gangswerte<br />
nicht die (zu spezifizierenden) Voraussetzungen des<br />
Algorithmus verletzen. Die Konzeption der Lösungsverfahren<br />
erfolgt problemspezifisch.<br />
2.4 Architektur des Schutzsystems<br />
Die Anforderungen an die Architektur des Schutzsystems<br />
sollten <strong>in</strong> der generischen Spezifikation beschrieben<br />
werden. Ebenso sollte beschrieben werden, wie diese<br />
Spezifikation <strong>in</strong> e<strong>in</strong>e projektspezifische Spezifikation<br />
überführt werden soll. Der Übergang von Anforderungen<br />
zur Lösungsdokumentation ist zu gestalten. Der Abschnitt<br />
über die Architektur des Systems def<strong>in</strong>iert <strong>in</strong>sbesondere<br />
folgende Systemteile:<br />
Art der Datengew<strong>in</strong>nung (Sensorgruppen mit<br />
N-out-of-M-Schaltungen) mit Diagnose und<br />
Meldungskonzept<br />
Integration grundlegender Schutzfunktionen (zum<br />
Beispiel Rückstromverh<strong>in</strong>derung)<br />
Realisierung der Zustandsübergänge<br />
Durchführung der mathematischen Berechnungen<br />
Art der Systemreaktionen (Aktorgruppen mit<br />
N-out-of-M-Schaltungen)<br />
2.5 Sensitivitätsanalyse<br />
Bereits <strong>in</strong> der Spezifikationsphase sollte e<strong>in</strong>e Sensitivitätsanalyse<br />
durchgeführt werden, um sicherzustellen,<br />
Bild 4:<br />
Separierung von<br />
Zustandsbehandlung<br />
und Logik<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012<br />
53
Hauptbeitrag<br />
Bild 5: Prüfkonzept für<br />
komplexe modellbasierte<br />
Schutzfunktionen<br />
Sichere<br />
Schutzfunktionen<br />
Start<br />
Prozesssimulation<br />
Step = 0<br />
Z1<br />
Step< 10<br />
Mehrfachverwendung<br />
des<br />
C odes<br />
1. Prüfung des Codes<br />
auf dem PC<br />
2. Wiederholungsprüfung<br />
auf der Steuerung<br />
3. Bewährtheit durch<br />
Verwendung als<br />
Planungstool<br />
P rozes s abläufe<br />
1. E<strong>in</strong>facher<br />
Zustandsautomat<br />
2. Verbot von nicht<br />
s<strong>in</strong>nvollen Transitionen<br />
S oftwarevalidierung<br />
1. Erfüllung der IEC 61508 -3<br />
2. Hilfe durch<br />
Implementierungsplattform<br />
SPHINX<br />
ne<strong>in</strong><br />
ja<br />
Temperaturberechnung<br />
(monoton steigend)<br />
Volls tändige S pezifikation<br />
Z2<br />
ne<strong>in</strong><br />
Temperaturschwellwert<br />
überschritten?<br />
ja<br />
Z3<br />
Berechnungsvariante<br />
1<br />
Berechnungsvariante<br />
2<br />
Step = Step + 1<br />
Ende<br />
Z4<br />
Bild 7: Programmablaufplan<br />
Bild 6: Die wichtigsten Maßnahmen<br />
<strong>in</strong> der Programmvalidierung<br />
dass mit der geplanten Methode die geforderte Genauigkeit<br />
e<strong>in</strong>gehalten werden kann. Die Sensitivitätsanalyse<br />
ermittelt auf Basis von Daten über Messfehler oder Ungenauigkeiten<br />
von Materialparametern Aussagen über zu<br />
erwartende Fehlerbereiche. Liegen nur ger<strong>in</strong>ge Fehler vor,<br />
die zum Beispiel während des Betriebs kurzzeitig <strong>in</strong> den<br />
erlaubten Fehlerbereich führen, ist der Fehler anders zu<br />
bewerten als e<strong>in</strong>e Überschreitung des tatsächlichen Berstdrucks<br />
e<strong>in</strong>es Behälters. Die konkrete Umsetzung wird <strong>in</strong><br />
der projektspezifischen Spezifikation beschrieben.<br />
3. Prüfkonzept des Sicherheitssystems<br />
Die Verifizierung des Systems baut im Wesentlichen auf<br />
dem 4-Augen-Pr<strong>in</strong>zip auf. Verifizierung ist damit e<strong>in</strong><br />
kont<strong>in</strong>uierlicher Prozess, der parallel zum Entwicklungsprozess<br />
läuft, und ke<strong>in</strong>e punktuelle Bewertung. Das<br />
erfordert e<strong>in</strong>e nachvollziehbare Dokumentation und e<strong>in</strong>e<br />
leicht verständliche Implementierung, sodass die Prüfung<br />
so weit wie möglich unabhängig von den Entwicklern<br />
oder Spezialisten durchgeführt werden kann.<br />
E<strong>in</strong>e Säule im vorgestellten Konzept ist die Verwendung<br />
der Implementierungsplattform SPHINX [3] (Bild<br />
5). Diese Plattform unterstützt den Anwender bei der<br />
Erfüllung der IEC 61508, da aus e<strong>in</strong>er neutralen Beschreibung<br />
e<strong>in</strong> C-Programm mit e<strong>in</strong>geschränktem Sprachumfang<br />
und erfüllten Programmierrichtl<strong>in</strong>ien erzeugt wird.<br />
Dieses C-Programm kann sowohl auf C-fähigen SSPS als<br />
auch auf dem Entwicklungs-PC ausgeführt und getestet<br />
werden. Auch statische und dynamische Tests werden<br />
durchgeführt.<br />
54<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
Neben dieser Mehrfachverwendung des Codes s<strong>in</strong>d<br />
e<strong>in</strong>fache Prozessabläufe e<strong>in</strong>e wichtige Säule <strong>in</strong> der Erstellung<br />
sicherer Schutzfunktionen. Diese Prozessabläufe<br />
werden durch e<strong>in</strong>en Zustandsautomaten beschrieben,<br />
der möglichst wenig Zustände und Transitionen hat.<br />
Diese Prozesszustände sollten mit e<strong>in</strong>em Standardtool<br />
realisiert werden, das die Validierung vere<strong>in</strong>facht [10].<br />
Historische Anlagedaten, wenn sie aus dem Betrieb<br />
vergleichbarer Anlagen mit anderen Schutzkonzepten<br />
vorhanden s<strong>in</strong>d, bilden e<strong>in</strong>e gute Basis für den Test der<br />
Implementierung und Referenzimplementierung (Bild 2).<br />
Nach Startup e<strong>in</strong>es komplexen Schutzsystems können<br />
solche Daten auch zur Weiterentwicklung und Pflege der<br />
Schutzfunktion verwendet werden. Dabei ist es möglich,<br />
diese historischen Produktionsdaten künstlich so zu verändern,<br />
dass Reaktionen des Schutzsystems provoziert<br />
werden. Zusätzlich kann die Referenzimplementierung<br />
zu Planungs- und Analysezwecken verwendet werden,<br />
was die Bewährtheit und damit die Fehlerarmut fördert.<br />
Die Nutzung von C-Modulen <strong>in</strong> der SSPS unterstützt die<br />
Prüfung mit Referenzdaten, denn diese Module können<br />
unverändert auch auf dem PC ausgeführt werden.<br />
3.1 Programmiersprache und -richtl<strong>in</strong>ie<br />
E<strong>in</strong>e wesentliche Anforderung der IEC 61508 Teil 3 ist die<br />
Wahl e<strong>in</strong>er geeigneten Programmiersprache. IEC 61508<br />
Teil 3 unterscheidet zwischen Limited Variability Languages<br />
(LVL) und Full Variability Languages (FVL). Der Verifikationssaufwand<br />
für Programme mit e<strong>in</strong>er LVL ist<br />
wegen des ger<strong>in</strong>geren Fehlerpotenzials deutlich niedriger<br />
als für FVL. C als Sprache ist dafür e<strong>in</strong>e gute Wahl, wenn<br />
der Sprachumfang auf e<strong>in</strong>e LVL e<strong>in</strong>geschränkt wird. E<strong>in</strong>e<br />
drastische E<strong>in</strong>schränkung ist möglich und erlaubt die<br />
Realisierung e<strong>in</strong>er Plattform SPHINX [3]. Zusätzliche Anforderungen<br />
der IEC 61508 Teil 3, die von C nicht <strong>in</strong>härent<br />
erfüllt werden, werden durch SPHINX abgedeckt. Diese<br />
Plattform schränkt den Sprachumfang von C erheblich<br />
e<strong>in</strong>, der erzeugte Code erfüllt automatisiert geforderte Programmierrichtl<strong>in</strong>ien<br />
und unterstützt bei der Verifikation.<br />
Durch den hohen Verbreitungsgrad von C s<strong>in</strong>d unterschiedliche<br />
Compiler erhältlich, deren Ergebnisse gegene<strong>in</strong>ander<br />
abgeglichen werden können.<br />
3.2 Softwareverifikation<br />
Die Softwareverifikation (Bild 6) anhand der IEC 61508<br />
Teil 3 [2] hat hohe Anforderungen. Durch e<strong>in</strong>e LVL werden<br />
unüberschaubare Programmabläufe durch Sprünge<br />
und die Verwendung von Po<strong>in</strong>tern ausgeschlossen.<br />
Auch bei umfangreichen Programmen mit Schleifen<br />
und vielen Verschachtelungen von Abfragen müssen<br />
die korrekte Funktionalität und e<strong>in</strong> fehlerfreier Programmablauf<br />
sichergestellt werden können. Hierbei<br />
unterstützt SPHINX umfangreich, <strong>in</strong>dem das Tool drei<br />
Versionen C-Code erstellen kann:<br />
Onl<strong>in</strong>e-Version <strong>in</strong>klusive Tests zur Laufzeit<br />
(auf der SSPS)<br />
Offl<strong>in</strong>e-Version identisch zur Onl<strong>in</strong>e-Version<br />
(auf PC)<br />
Version für dynamische Tests (auf PC)<br />
Bei der Erstellung aller Codevarianten kommen statische<br />
Testverfahren zum E<strong>in</strong>satz, wie der Test auf Wohlgeformtheit<br />
und die Datenflussanomalieanalyse [11]. Das<br />
Programm kann an Betriebsdaten<strong>in</strong>formationssysteme<br />
(BDIS) angebunden werden und ermöglicht so Tests mit<br />
e<strong>in</strong>er Vielzahl an Prozessdaten. Die Onl<strong>in</strong>e- und Offl<strong>in</strong>e-<br />
Versionen enthalten Tests zur Laufzeit [3] und unterscheiden<br />
sich lediglich <strong>in</strong> der Fehlerausgabe, die entweder<br />
an die SSPS oder den PC angepasst ist.<br />
In der Version für dynamische Tests können zwei Arten<br />
von Testverfahren <strong>in</strong>tegriert werden:<br />
kontrollflussorientierte Tests; speziell der Zweigüberdeckungstest<br />
und Bed<strong>in</strong>gungsüberdeckungstest<br />
funktionsorientierte Tests; speziell der zustandsbasierte<br />
Test und die funktionale Äquivalenzklassenbildung<br />
Auf die Äquivalenzklassenbildung wird im Folgenden<br />
näher e<strong>in</strong>gegangen. Äquivalenzklassen können anhand<br />
von Zustandsabfolgen bestimmt werden. Diese Methodik<br />
wird von SPHINX unterstützt. In e<strong>in</strong>em Äquivalenzklassentest<br />
wird überprüft, ob für jede Äquivalenzklasse<br />
e<strong>in</strong> Testfall existiert und ob das Programm für<br />
die Testfälle die erwarteten Ergebnisse berechnet. Um<br />
Äquivalenzklassen anhand von Zustandsgraphen zu<br />
def<strong>in</strong>ieren, wird zunächst auf Grundlage des Programmablaufplans<br />
das Zustandsdiagramm erstellt. In diesem<br />
werden die wesentlichen Zustände des Programms berücksichtigt.<br />
E<strong>in</strong>e Äquivalenzklasse entspricht e<strong>in</strong>er<br />
möglichen Abfolge von Zuständen. Diese Methodik<br />
führt zu e<strong>in</strong>er überschaubaren Anzahl an Äquivalenzklassen.<br />
Im Beispiel (Bild 7) ergeben sich aus den vier<br />
gewählten Zuständen (Z1-Z4) elf verschiedene Zustandsabfolgen.<br />
Nach der Def<strong>in</strong>ition der Äquivalenzklassen ordnet<br />
Sph<strong>in</strong>x historische Daten vergleichbarer Anlagen oder<br />
durch Parametervariation erzeugte Daten automatisch<br />
der jeweiligen Klasse zu. Anschließend erfolgt e<strong>in</strong>e Gesamtauswertung,<br />
die anzeigt, welche Klassen überdeckt<br />
wurden. S<strong>in</strong>d nicht alle Klassen überdeckt, so werden<br />
die E<strong>in</strong>gangsdaten händisch geeignet überarbeitet oder<br />
die Relevanz der nicht überdeckten Klassen wird h<strong>in</strong>terfragt.<br />
S<strong>in</strong>d alle Klassen überdeckt, können aus den<br />
zugehörigen Daten repräsentative Testfälle ausgewählt<br />
werden. Sofern der Test auf dem PC erfolgt, werden von<br />
SPHINX die Testfälle und -ergebnisse zur Auswertung<br />
gespeichert. Die Resultate der SSPS können mit diesen<br />
Ergebnissen verglichen werden. Damit ist e<strong>in</strong>e effiziente<br />
Verifikation des SSPS-Programms möglich.<br />
Fazit und Ausblick<br />
Um komplexe Schutzkonzepte sicher und normgerecht<br />
umzusetzen, ist e<strong>in</strong> Gesamtkonzept mit geeigneten Me-<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012<br />
55
Hauptbeitrag<br />
Autoren<br />
Dipl.-Math. Susann Haase (geb. 1987) ist seit 2011 bei der<br />
BASF SE im Fachzentrum Automatisierungstechnik auf dem<br />
Arbeitsgebiet der funktionalen Sicherheit tätig. Themenschwerpunkt<br />
ist die Entwicklung und Anwendung e<strong>in</strong>es Implementierungs-<br />
und Prüfkonzepts für modellbasierte Schutzsysteme.<br />
BASF SE,<br />
D-67056 Ludwigshafen,<br />
Tel. 49 (0) 621 607 41 76, E-Mail: susann.haase@basf.com<br />
Dipl.-Ing. Dirk Hablawetz (geb. 1964) leitet <strong>in</strong> der BASF SE<br />
das Qualitätsmanagement der Anlagentechnik und leitet das<br />
europäische Center of Expertise PLT-Anlagensicherung und<br />
das globale Kompetenzteam der BASF-Gruppe für PLT-Sicherheitskonzepte.<br />
Er vertritt die BASF <strong>in</strong> nationalen und <strong>in</strong>ternationalen<br />
Arbeitskreisen auf dem Gebiet der funktionalen<br />
Sicherheit.<br />
BASF SE,<br />
D-67056 Ludwigshafen,<br />
Tel. 49 (0) 621 604 71 32, E-Mail:dirk.hablawetz@basf.com<br />
Dr.-Ing. Thomas Hauff (geb. 1960) ist im Fachzentrum<br />
Automatisierungstechnik der BASF SE auf dem Arbeitsgebiet<br />
der Prozessleittechnik tätig. Themengebiete s<strong>in</strong>d unter anderem<br />
Qualitätssicherung, technische Evaluierung und Consult<strong>in</strong>g<br />
für Automatisierungslösungen. Er ist Obmann des Namur<br />
AK 2.11.<br />
BASF SE,<br />
D-67056 Ludwigshafen,<br />
Tel. 49 (0) 621 602 03 26, E-Mail: thomas.hauff@basf.com<br />
Dr. rer. nat. Michael Krauß (geb. 1984) ist seit 2010 bei der<br />
BASF SE im Fachzentrum Automatisierungstechnik auf dem<br />
Gebiet der Prozessleittechnik tätig. Schwerpunkte s<strong>in</strong>d Projekte<br />
auf dem Gebiet der Leitsystemmigrationen, der Höherautomatisierung<br />
und modellbasierter Anwendungen.<br />
BASF SE,<br />
D-67056 Ludwigshafen,<br />
Tel. +49 (0) 621 604 66 94, E-Mail: michael.krauss@basf.com<br />
Felix Lenhart (geb. 1987) studiert Elektrotechnik (Dipl.)<br />
Automatisierungstechnik an der TU Kaiserslautern und ist<br />
aktuell bei BASF SE als Diplomand tätig. Im Fachzentrum<br />
Automatisierungstechnik bearbeitet er das Thema „Toolbasierte<br />
Verifikation von Applikationssoftware für Sicherheitssysteme“.<br />
BASF SE,<br />
D-67056 Ludwigshafen,<br />
Tel. 49 (0) 621 609 19 36, E-Mail: felix.lenhart@basf.com<br />
thoden und Verfahren notwendig. Insbesondere die<br />
Rollen und Verantwortlichkeiten sollten zu Beg<strong>in</strong>n geklärt<br />
werden. Basis s<strong>in</strong>d die erforderlichen Kompetenzen<br />
und Sicherstellung des 4-Augen-Pr<strong>in</strong>zips. E<strong>in</strong>e<br />
vollständige Spezifikation, <strong>in</strong> der alle verfahrenstechnischen<br />
Anforderungen rückverfolgbar und e<strong>in</strong>deutig<br />
s<strong>in</strong>d, ist unerlässlich für die Umsetzung von Schutzkonzepten.<br />
In Komb<strong>in</strong>ation mit e<strong>in</strong>er Implementierungsplattform<br />
wie SPHINX kann e<strong>in</strong>e effiziente Verifikation<br />
durchgeführt werden. Die Nutzung komplexer<br />
Schutzfunktionen <strong>in</strong> der chemischen Prozess<strong>in</strong>dustrie<br />
wird damit vere<strong>in</strong>facht.<br />
Manuskripte<strong>in</strong>gang<br />
23.03.2012<br />
Referenzen<br />
Im Peer-Review-Verfahren begutachtet<br />
[1] IEC 61511 EN: Functional safety - Safety <strong>in</strong>strumented<br />
systems for the process <strong>in</strong>dustry sector. December<br />
2003<br />
[2] IEC 61508 EN: Functional safety of electrical/<br />
electronic/programmable electronic safety related<br />
systems, April 2010<br />
[3] Haase, S.: Komplexe Schutzfunktionen mit SPHINX<br />
realisieren. <strong>atp</strong> <strong>edition</strong> – Automatisierungstechnische<br />
Praxis 54(1-2), S. 54-60, 2012<br />
[4] Chrissis, M. B., Konrad, M. und Shrum, S.: CMMI®<br />
- Guidel<strong>in</strong>es for Process Integration and Product<br />
Improvement. Pearson Education, 2003<br />
[5] El Emam, K., Melo, W., und Drou<strong>in</strong>, J.-N.: SPICE: The<br />
Theory and Practice of Software Process Improvement<br />
and Capability Determ<strong>in</strong>ation. IEEE Computer Society<br />
Press, 1997<br />
[6] TÜV Süddeutschland: E<strong>in</strong>führung zur IEC61508. TÜV<br />
Automotive GmbH, 2003<br />
[7] W<strong>in</strong>ne, O.: IEC 61508-Teil 3; Sicherheitsgerichtete Softwareentwicklung,<br />
Design&Elektronik Forum Sichere<br />
System, 2004<br />
[8] Dröschel, W. und Wiemers, M.: Das V-Modell 97 – Der<br />
Standard für die Entwicklung von IT-Systemen mit<br />
Anleitung für den Praxise<strong>in</strong>satz. Oldenbourg Verlag,<br />
2000<br />
[9] Kofman, A., Yaeli, A., Kl<strong>in</strong>ger, T. und Tarr P.: Roles,<br />
rights, and responsibilities: Better governance through<br />
decision rights automation, Proceed<strong>in</strong>gs of the 2009<br />
ICSE Workshop on Software Development Governance,<br />
S. 9-14, 2009<br />
[10] Frey, G., Drath, R. und Schlich, B.: Safety-Applikationen<br />
effizient entwickeln — E<strong>in</strong> Leitfaden zur Prozessgestaltung.<br />
<strong>atp</strong> <strong>edition</strong> – Automatisierungstechnische<br />
Praxis 53(12), S. 34-41, 2011<br />
[11] Liggesmeyer, P.: Software-Qualität. Spektrum<br />
Akademischer Verlag, 2002<br />
56<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
<strong>atp</strong> kompakt<br />
Methoden Verfahren Konzepte<br />
Sonderpreise<br />
für<br />
Abonnenten<br />
der <strong>atp</strong> <strong>edition</strong><br />
Die Automatisierungstechnik wird durch neue Forschungen und Entwicklungen bestimmt. Damit Ingenieure<br />
fit für ihren Job s<strong>in</strong>d und die entscheidenden Trends <strong>in</strong> der Automatisierungstechnik schnell zur Hand haben,<br />
legt die Fachpublikation <strong>atp</strong> <strong>edition</strong> die Buchreihe <strong>atp</strong> kompakt auf. Alle dar<strong>in</strong> enthaltenen Beiträge haben<br />
e<strong>in</strong> wissenschaftliches Gutachterverfahren durchlaufen.<br />
Herausgeber Prof. Dr.-Ing. Frank Schiller leitet am Lehrstuhl für Informationstechnik im Masch<strong>in</strong>enwesen der<br />
TU München das Fachgebiet Automatisierungstechnik.<br />
<strong>atp</strong> kompakt Band 1<br />
Erfolgreiches Eng<strong>in</strong>eer<strong>in</strong>g – Die wichtigsten Methoden<br />
Diese Ausgabe befasst sich mit den Methoden, Verfahren und Standards, die Sie <strong>in</strong> den nächsten Jahren im Eng<strong>in</strong>eer<strong>in</strong>g beschäftigen<br />
werden. Wichtige Kriterien s<strong>in</strong>d die e<strong>in</strong>fache Wiederverwendbarkeit von Komponenten, die Unterstützung durch geeignete Werkzeuge,<br />
die Erhöhung der Flexibilität von Anlagen sowie geeignete Modellierungs- und Gerätebeschreibungssprachen.<br />
1. Auflage 2010, 138 Seiten mit CD-ROM, Broschur, € 79,- • ISBN: 978-3-8356-3210-3<br />
Für Abonnenten<br />
€ 74,-<br />
<strong>atp</strong> kompakt Band 2<br />
Effiziente Kommunikation – Die bedeutendsten Verfahren<br />
Sie bekommen E<strong>in</strong>blick <strong>in</strong> die wachsende Bedeutung der <strong>in</strong>dustriellen Kommunikation und dem Wandel <strong>in</strong> der Gerätekommunikation.<br />
E<strong>in</strong>en Schwerpunkt bildet die Kommunikationstechnik <strong>in</strong> der Prozessautomatisierung mit deren besonderen Rahmenbed<strong>in</strong>gungen wie<br />
dem Explosionsschutz. Die bedeutendsten Verfahren und Methoden der modernen Kommunikation werden praxisnah veranschaulicht.<br />
1. Auflage 2010, 72 Seiten mit CD-ROM, Broschur, € 59,- • ISBN: 978-3-8356-3212-7<br />
Für Abonnenten<br />
€ 54,-<br />
<strong>atp</strong> kompakt Band 3<br />
Praktische Messtechnik – Die besten Konzepte<br />
Dieser Band vermittelt wertvolles Know-how zu allen Aspekten der praktischen Messtechnik und fokussiert besonders die Prozessmesstechnik.<br />
Lernen Sie die Fortschritte <strong>in</strong> der Sensortechnik entlang der Technologie-Roadmap kennen und profitieren Sie von erstklassigen<br />
Konzepten zu kostengünstigen und effizienten Lösungen.<br />
1. Auflage 2010, 72 Seiten mit CD-ROM, Broschur, € 59,- • ISBN: 978-3-8356-3213-4<br />
Für Abonnenten<br />
€ 54,-<br />
<strong>atp</strong> kompakt Kollektion (Bände 1-3)<br />
Erfolgreiches Eng<strong>in</strong>eer<strong>in</strong>g Effiziente Kommunikation Praktische Messtechnik<br />
Mit dieser dreibändigen Kollektion zu den Themen Eng<strong>in</strong>eer<strong>in</strong>g, Kommunikation und Messtechnik erhalten Sie e<strong>in</strong> nützliches,<br />
kompakt und praxisnah aufbereitetes Kompendium zu den Kernthemen der Automatisierungstechnik. Die wertvolle Grundlage<br />
für Ihre tägliche und zukünftige Arbeit.<br />
1. Auflage 2010, ca. 282 Seiten mit CD-ROM, Broschur • € 179,- • ISBN: 978-3-8356-3221-9<br />
Für Abonnenten<br />
€ 169,-<br />
Sofortanforderung im Onl<strong>in</strong>e-Shop www.oldenbourg-<strong>in</strong>dustrieverlag.de<br />
oder telefonisch +49 (0)201 / 82002-14<br />
Oldenbourg Industrieverlag GmbH<br />
Vulkan-Verlag GmbH<br />
www.oldenbourg-<strong>in</strong>dustrieverlag.de • www.vulkan-verlag.de
hauptbeitrag<br />
Automatische Generierung<br />
sicherer diversitärer Software<br />
Sicherer Industrie-PC durch arithmetische Codierungen<br />
Die Bedeutung der Sicherheit im S<strong>in</strong>ne von Safety nimmt <strong>in</strong> der Automation immer noch<br />
zu, auch wenn im Moment die IT-Security die Schlagzeilen beherrscht. Die normativen<br />
Sicherheitsanforderungen können zu beträchtlichem zusätzlichen Aufwand für die Hardware-<br />
und die Software-Entwicklung führen. Wenn zudem e<strong>in</strong>e Hardware-abhängige<br />
Zertifizierung vorliegt, kann von Innovationen bei den Hardware-Komponenten nicht<br />
e<strong>in</strong>fach profitiert werden, weil <strong>in</strong> der Regel e<strong>in</strong> neuer Zertifizierungsprozess durchlaufen<br />
werden muss. Im Beitrag wird e<strong>in</strong>e neue Methode vorgestellt, bei der mit diversitären<br />
arithmetischen Codes Hardware-Fehler durch Software-Maßnahmen aufgedeckt werden<br />
und dadurch die notwendige Hardware-Unabhängigkeit erreicht wird. Weiterh<strong>in</strong> ermöglicht<br />
die Methode, fehlersichere Applikationen <strong>in</strong> Hochsprachen wie C zu programmieren.<br />
SCHLAGWÖRTER Datenverarbeitung / Elektronische Steuerungen / Code-Schemata /<br />
Fehleraufdeckende Codes<br />
Automatic Generation of Safe Diverse Software –<br />
Fail-safe Industrial PC by means of Arithmetic Codes<br />
The importance of safety <strong>in</strong> the automation <strong>in</strong>dustry is cont<strong>in</strong>uously <strong>in</strong>creas<strong>in</strong>g even<br />
though security makes the headl<strong>in</strong>es at present. Normative safety requirements may result<br />
<strong>in</strong> considerably additional effort at both the hardware and software development. If the<br />
certificate depends on the hardware, <strong>in</strong>novations of hardware components cannot be<br />
utilized <strong>in</strong> general s<strong>in</strong>ce a new certification process has to be executed. The flexibility is<br />
severely limited, and software developed accord<strong>in</strong>g to the standards cannot be properly<br />
transferred to other platforms without additional expense. A new method is presented<br />
that applies software-measures based on diverse arithmetic codes for the detection of<br />
hardware errors and thus achiev<strong>in</strong>g the necessary hardware <strong>in</strong>dependence. Furthermore,<br />
the method enables the programm<strong>in</strong>g of fail-safe applications <strong>in</strong> high-level programm<strong>in</strong>g<br />
languages like C.<br />
KEYWORDS Data Process<strong>in</strong>g / Electronic Control Units (ECU) / Cod<strong>in</strong>g Schemes /<br />
Error-Detect<strong>in</strong>g Codes<br />
58<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
Mart<strong>in</strong> Früchtl, Frank Schiller, Beckhoff Automation<br />
Bei der Entwicklung e<strong>in</strong>er Komponente für sicherheitsrelevante<br />
Anwendungen streben die<br />
Hersteller gewöhnlich e<strong>in</strong>e Zertifizierung gemäß<br />
<strong>in</strong>ternationaler Sicherheitsstandards an,<br />
um e<strong>in</strong>e ausreichende Qualifikation der Komponente<br />
nachzuweisen. Anhand der <strong>in</strong> den Standards<br />
def<strong>in</strong>ierten Sicherheitskategorien kann e<strong>in</strong>e Komponente<br />
je nach Anwendungsszenario klassifiziert werden. Die<br />
Eignung für e<strong>in</strong>e bestimmte Kategorie wird durch Kennwerte<br />
wie die Probability of Dangerous Failure per Hour<br />
(PFH) oder die Probability of Failure on Demand (PFD)<br />
gemessen, die auf der Restfehlerwahrsche<strong>in</strong>lichkeit P res<br />
basieren. Die PFH wird für Szenarios mit e<strong>in</strong>er hohen<br />
Anforderungsrate der Sicherheitsfunktion, die PFD für<br />
Systeme mit e<strong>in</strong>er niedrigen Anforderungsrate der Sicherheitsfunktion<br />
verwendet. Die Restfehlerwahrsche<strong>in</strong>lichkeit<br />
P res ist die Wahrsche<strong>in</strong>lichkeit, dass e<strong>in</strong> Fehler<br />
auftritt und unentdeckt bleibt. Um e<strong>in</strong>e bestimmte P res<br />
zu erzielen, muss e<strong>in</strong>e Komponente Fehler erkennen können.<br />
Entsprechende Maßnahmen wurden bisher durch<br />
homogene und heterogene Redundanz auf Hardware-<br />
Ebene getroffen, die e<strong>in</strong>e Erkennung von Hardware-Fehlern<br />
zur Laufzeit erlaubten. Dadurch entsteht jedoch e<strong>in</strong>e<br />
Abhängigkeit des Zertifizierungsprozesses von der verwendeten<br />
Hardware. Gleichzeitig wird verh<strong>in</strong>dert, dass<br />
die kurzen Innovationszyklen, beispielsweise auf dem<br />
Gebiet <strong>in</strong>tegrierter Schaltkreise, unmittelbar auf sicherheitsrelevante<br />
Komponenten übertragen werden können.<br />
Zudem werden Benutzerapplikationen für Sicherheitsanwendungen<br />
häufig durch vorgegebene, vorzertifizierte<br />
Funktionsblöcke implementiert, die durch den Benutzer<br />
nur parametriert werden können. Durch die steigende<br />
Komplexität und Vernetzung moderner Sicherheitsanwendungen<br />
wird diese Projektierung basierend auf Funktionsbauste<strong>in</strong>en<br />
zu e<strong>in</strong>er immer größeren und zeitaufwendigeren<br />
Herausforderung. Deshalb ist e<strong>in</strong> neuer Ansatz nötig.<br />
Der Beitrag stellt e<strong>in</strong>e neue Herangehensweise vor, die<br />
die Eigenschaften arithmetischer Codes nutzt, um Hardware-Fehler<br />
auf Software-Ebene zu erkennen. Dabei müssen<br />
im Zertifizierungsprozess ke<strong>in</strong>e Eigenschaften der<br />
Hardware e<strong>in</strong>bezogen werden, wodurch sich Beschränkungen<br />
im Hardware-Design vermeiden lassen. Ferner<br />
ist die Möglichkeit gegeben, e<strong>in</strong>e Hochsprache wie C für<br />
die Implementierung von sicherheitsrelevanten Anwendungen<br />
zu verwenden.<br />
1. Problembeschreibung<br />
Der Fokus liegt auf der logischen Komponente e<strong>in</strong>er Sicherheitsfunktion,<br />
der Intelligenten Sicherheitskomponente<br />
(ISK). Deren Aufgabe ist es, Signale der E<strong>in</strong>gabe-<br />
Baugruppen zu empfangen, die Daten zu verarbeiten und<br />
entsprechende Signale an die Ausgabe-Baugruppen zu<br />
senden. Die abzuarbeitende Logik wird dabei durch den<br />
Anwender programmiert.<br />
Wie bereits erwähnt zielt der Hersteller e<strong>in</strong>er ISK üblicherweise<br />
auf e<strong>in</strong>e Zertifizierung der Komponente für<br />
e<strong>in</strong>e bestimmte Sicherheitskategorie. Diese s<strong>in</strong>d <strong>in</strong> den<br />
Sicherheitsstandards def<strong>in</strong>iert (zum Beispiel IEC 61508 [1]<br />
und ISO 13849 [2]). Die Klassifikation hängt stark von der<br />
Fähigkeit ab, Hardware-Fehler zur Laufzeit zu erkennen.<br />
1.1 Fehlerarten<br />
Zuerst ist es s<strong>in</strong>nvoll, zwei Kategorien bezüglich des Ortes<br />
der ersten Fehlererkennung zu unterscheiden. Fehler,<br />
die zu e<strong>in</strong>em kompletten Ausfall e<strong>in</strong>er ISK führen, können<br />
nicht mehr <strong>in</strong>nerhalb der ISK detektiert werden.<br />
Diese Fehler können nur <strong>in</strong> den über die sichere Kommunikation<br />
verbundenen sicheren Komponenten (beispielsweise<br />
sichere Aktoren) erkannt werden, da hier<br />
fehlerhafte beziehungsweise fehlende Telegramme zu<br />
e<strong>in</strong>er sicheren Reaktion führen.<br />
Fehler, die nicht e<strong>in</strong>en kompletten Ausfall e<strong>in</strong>er ISK<br />
bewirken, verursachen auf Logikebene e<strong>in</strong>e fehlerhafte<br />
Verarbeitung der <strong>in</strong>ternen Daten und können somit zu<br />
e<strong>in</strong>er Gefährdungssituation aufgrund fehlerhafter Ausgangsdaten<br />
führen. Diese Fehlerart wird im Rahmen<br />
dieses Beitrags betrachtet. Dazu werden die möglichen<br />
Fehler anhand der folgenden Fehlerarten klassifiziert.<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012<br />
59
Hauptbeitrag<br />
Operandenfehler: E<strong>in</strong> Operandenfehler tritt e<strong>in</strong>, wenn<br />
e<strong>in</strong>e Operation mit dem korrekten Operator korrekt ausgeführt<br />
wird, aber der Wert e<strong>in</strong>es oder mehrerer Operanden<br />
verfälscht ist. Als Beispiel soll die <strong>in</strong> Gleichung (1)<br />
gezeigte Berechnung durchgeführt werden.<br />
x + y = z (1)<br />
E<strong>in</strong> Operandenfehler kann zu e<strong>in</strong>er Verfälschung ∆ des<br />
Orig<strong>in</strong>alwerts x führen, sodass tatsächlich die <strong>in</strong> Gleichung<br />
(2) gezeigte Berechnung durchgeführt wird.<br />
˜ x + y = (x + ∆) + y<br />
= (x + y) + ∆<br />
= z + ∆<br />
= z ˜(2)<br />
Häufig verursachen Fehler bei Speicheroperationen solche<br />
Verfälschungen. Wenn e<strong>in</strong> Speicherbereich fehlerhaft<br />
ist, kann es se<strong>in</strong>, dass e<strong>in</strong> verfälschter Wert gelesen<br />
und <strong>in</strong>nerhalb e<strong>in</strong>er Operation verwendet wird.<br />
Operatorfehler: Wenn e<strong>in</strong>e Operation mit den korrekten<br />
Operanden, aber mit e<strong>in</strong>em falschen Operator korrekt<br />
ausgeführt wird, handelt es sich um e<strong>in</strong>en Operatorfehler.<br />
Ähnlich wie <strong>in</strong> Gleichung (1) verursacht e<strong>in</strong> Operatorfehler<br />
e<strong>in</strong>e Verfälschung ∆ des Ergebnisses z. Zum<br />
Beispiel kann e<strong>in</strong> Operatorfehler dazu führen, dass anstelle<br />
der beabsichtigten Addition e<strong>in</strong>e Multiplikation<br />
(vergleiche (3)) durchgeführt wird.<br />
x . ˜ y = z + ∆ = z ˜ (3)<br />
E<strong>in</strong> Operatorfehler kann von e<strong>in</strong>em Fehler <strong>in</strong> der Adressierung<br />
des Operators oder e<strong>in</strong>er fehlerhaften „Arithmetic<br />
Logic Unit“ (ALU/Hauptteil e<strong>in</strong>es Prozessors, der alle<br />
arithmetischen Operationen ausführt) verursacht werden.<br />
Operationsfehler: Neben den Operanden- und Operatorfehlern<br />
besteht die Möglichkeit e<strong>in</strong>es Operationsfehlers.<br />
E<strong>in</strong> Operationsfehler ist die fehlerhafte Ausführung<br />
e<strong>in</strong>er Operation mit den korrekten Operanden und dem<br />
korrekten Operator. Auch diese Fehler werden gewöhnlich<br />
von e<strong>in</strong>er defekten ALU verursacht und führen zu<br />
e<strong>in</strong>er unmittelbaren Verfälschung ∆ des Ergebnisses.<br />
Zusätzlich zu diesen Fehlerarten müssen auch Fehler<br />
wie Adressierungs- und Programmablauffehler sicher<br />
erkannt werden.<br />
1.2 Herausforderungen der ISK-Entwicklung<br />
In den Anfängen der Sicherheitstechnik <strong>in</strong> der Steuerungstechnik<br />
wurde die Logik der Sicherheitsfunktionen<br />
mit fest verdrahteten Komponenten realisiert (siehe zum<br />
Beispiel den geschichtlichen Überblick <strong>in</strong> Zastrow [3]),<br />
was natürlich zu e<strong>in</strong>er statischen Logik der Komponente<br />
führte. Weiterentwicklungen auf dem Gebiet der Steuerungstechnik<br />
erlauben die Nutzung programmierbarer<br />
Komponenten. Die notwendigen Maßnahmen für e<strong>in</strong>e<br />
bestimmte Sicherheitskategorie werden dabei vorwiegend<br />
auf Hardware-Ebene getroffen (siehe Abschnitt 3).<br />
Die nötigen Kennwerte werden basierend auf den Ausfallraten<br />
der Hardware-Komponenten bestimmt, sodass<br />
der Nachweis der Sicherheit <strong>in</strong> direkter Abhängigkeit zur<br />
Hardware-Architektur der ISK steht. E<strong>in</strong>e Veränderung<br />
der Hardware-Struktur erfordert e<strong>in</strong>en neuen Nachweis<br />
der Sicherheit, da die Veränderungen möglicherweise die<br />
Kennwerte der ISK derart bee<strong>in</strong>flussen, dass die Komponente<br />
nicht länger den Anforderungen der bisher gültigen<br />
Sicherheitskategorie genügt (siehe [4]). Letztendlich führen<br />
diese Umstände zu der Tatsache, dass bislang re<strong>in</strong><br />
funktionale Hardware-Komponenten nicht für sicherheitsrelevante<br />
Anwendungen verwendet werden können.<br />
Zudem fordern die Sicherheitsstandards e<strong>in</strong>en strengen<br />
Entwicklungsprozess, der für re<strong>in</strong> funktionale Komponenten<br />
nicht automatisch gegeben ist.<br />
Die Software e<strong>in</strong>er ISK kann <strong>in</strong> zwei Teile gegliedert werden,<br />
die Firmware und die Benutzerapplikation. Die Firmware<br />
wird <strong>in</strong> diesem Beitrag als Teil der Hardware betrachtet,<br />
da sie e<strong>in</strong> fester Bestandteil der Komponente ist und<br />
den gleichen Anforderungen wie die Hardware selbst genügen<br />
muss. So gibt es auch hier e<strong>in</strong>en speziellen Software-<br />
Lebenszyklus, den die Firmware als sicherheitsrelevanter<br />
Teil e<strong>in</strong>er Komponente durchlaufen muss (siehe IEC 61508<br />
[1]). Die Benutzerapplikationen gängiger ISK basieren gewöhnlich<br />
auf Funktionsblöcken (FBD laut IEC 61131-3 [5]).<br />
E<strong>in</strong> Funktionsblock ist e<strong>in</strong>e gekapselte, vorzertifizierte<br />
Funktion auf Software-Ebene mit fester Basisfunktionalität,<br />
die durch den Benutzer parametriert werden muss.<br />
Die Benutzerapplikation kann durch mehrere mite<strong>in</strong>ander<br />
verknüpfte Funktionsblöcke realisiert werden<br />
(siehe Beispiel <strong>in</strong> Bild 1). Als Funktionsblöcke stehen<br />
dabei e<strong>in</strong>fache Grundfunktionen wie Boolesches AND<br />
oder OR und auch sehr komplexe Funktionen wie Emergency<br />
Stop oder External Device Monitor zur Verfügung.<br />
Die Nutzung von bereits zertifizierten Funktionsblöcken<br />
<strong>in</strong> Sicherheitsanwendungen hat den Vorteil, dass der<br />
Benutzer ke<strong>in</strong>en zusätzlichen Aufwand zur Zertifizierung<br />
der Software hat. Da die Komplexität der Sicherheitsanwendungen<br />
stetig wächst, steigt auch die Herausforderung<br />
im Umgang mit den Funktionsblöcken, da die<br />
komplette Funktionalität auf die Granularität der Funktionsblöcke<br />
heruntergebrochen werden muss.<br />
1.3 Ziele<br />
Das Ziel des Beitrags ist es, die starke Abhängigkeit des<br />
Sicherheitsnachweises von der Hardware der ISK zu beseitigen<br />
und auf diese Weise die Nutzung von leistungsstarken<br />
Komponenten als Logikkomponente <strong>in</strong> Sicherheitsfunktionen<br />
zu erlauben. Deshalb müssen die Maßnahmen<br />
zur Erkennung von Hardware-Fehlern auf die<br />
Software-Ebene übertragen werden. Außerdem muss die<br />
Flexibilität für den Benutzer durch die Bereitstellung<br />
e<strong>in</strong>er flexiblen Hochsprache wie C gesteigert werden.<br />
2. Basisstrategien zur Fehlererkennung<br />
Um die Qualifizierung e<strong>in</strong>er ISK für e<strong>in</strong>e bestimmte Sicherheitskategorie<br />
nachzuweisen, muss diese Komponente<br />
die Fähigkeit besitzen, Fehler zu erkennen und<br />
60<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
dadurch Gefährdungen zu verh<strong>in</strong>dern. Es gibt verschiedene<br />
Strategien, dieses Ziel zu erreichen.<br />
2.1 Grundlagen<br />
Die grundlegende Idee zur Erkennung von Hardware-<br />
Fehlern <strong>in</strong> ISK ist die Verifizierung des Ergebnisses. Das<br />
geschieht häufig mithilfe redundanter Strukturen, deren<br />
e<strong>in</strong>zelne Teile als Kanäle bezeichnet werden. Die Redundanz<br />
ist <strong>in</strong> IEC 61508 s<strong>in</strong>ngemäß def<strong>in</strong>iert als das<br />
Vorhandense<strong>in</strong> mehr funktional gleicher oder vergleichbarer<br />
technischer Ressourcen als für die eigentliche<br />
Funktionalität benötigt werden.<br />
Redundanz lässt sich weiterh<strong>in</strong> <strong>in</strong> homogene und heterogene<br />
Redundanz e<strong>in</strong>teilen. In e<strong>in</strong>em homogen redundanten<br />
System bestehen die zusätzlichen (redundanten)<br />
Kanäle aus exakt den gleichen Komponenten wie der ursprüngliche<br />
Kanal. Der Nachteil homogener Redundanz<br />
ist dabei die Anfälligkeit der Kanäle gegenüber Common<br />
Cause Failures (CCF), also Fehlern mit e<strong>in</strong>er geme<strong>in</strong>samen<br />
Ursache, da die Kanäle aufgrund der identischen Spezifikation<br />
auch identische Schwachstellen aufweisen.<br />
Im Gegensatz dazu wird heterogene Redundanz (<strong>in</strong> der<br />
Regel als Diversität bezeichnet) durch Komponenten erzeugt,<br />
die durch andere Verfahren die gleiche Funktionalität<br />
erreichen wie der ursprüngliche Kanal. Deshalb ist e<strong>in</strong><br />
CCF für diversitäre Architekturen weniger problematisch.<br />
Halang und Konakovsky unterteilen <strong>in</strong> [6] die Diversität <strong>in</strong><br />
s<strong>in</strong>nvolle weitere Klassen, auf die aber hier nicht näher<br />
e<strong>in</strong>gegangen wird. Da sich die betrachteten Fehlerarten stets<br />
auf die Verarbeitung von Daten auswirken, steht im Kontext<br />
des Beitrags die Datendiversität im Vordergrund.<br />
Redundanz kann <strong>in</strong> Hardware und Software ausgeführt<br />
werden. In früheren Lösungen wurden die Sicherheitsmaßnahmen<br />
nur auf der Hardware-Ebene realisiert.<br />
Die Entwicklung von Sicherheitslösungen <strong>in</strong> der Steuerungstechnik<br />
zeigt jedoch e<strong>in</strong>e Tendenz h<strong>in</strong> zu Software-<br />
Lösungen. Wenngleich immer mehr Funktionalität der<br />
Software-Ebene zugeschlagen wird, wurde der komplette<br />
Übergang zu Hardware-unabhängigen Lösungen noch<br />
nicht vollzogen. E<strong>in</strong>e Möglichkeit, Diversität auf Software-Ebene<br />
zu erzeugen, ist die Verwendung mathematischer<br />
Codierungen, die im folgenden Abschnitt genauer<br />
beschrieben wird.<br />
2.2 Arithmetische Codes zur<br />
Realisierung von Datendiversität<br />
Codierungen s<strong>in</strong>d e<strong>in</strong>e weit verbreitete Methode, um diversitäre<br />
Redundanz auf der Datenebene zu erreichen.<br />
Die Grundidee ist dabei die Transformation der <strong>in</strong>nerhalb<br />
der Logik verarbeiteten Daten <strong>in</strong> e<strong>in</strong>e diversitäre<br />
Darstellung. Diese Daten können zur Verifizierung der<br />
Ergebnisse des ursprünglichen Kanals und somit zur<br />
Erkennung von Fehlern <strong>in</strong> der Hardware verwendet werden.<br />
Zur Veranschaulichung des Grundgedankens bei<br />
der Nutzung mathematischer Codierungen für Sicherheitsanwendungen<br />
wird im Folgenden das durch For<strong>in</strong><br />
1989 [7] e<strong>in</strong>geführte Codierungsschema verwendet.<br />
Bild 1: Beispiel für e<strong>in</strong> Netzwerk von Funktionsblöcken<br />
Bild 2: E<strong>in</strong>fluss des<br />
Codierungsschemas<br />
auf die Def<strong>in</strong>itionsund<br />
Wertebereiche<br />
Die Basis-Codierung besteht aus der Multiplikation der<br />
uncodierten Variable x f mit e<strong>in</strong>er Primzahl A, um e<strong>in</strong>en<br />
größeren Wertebereich zu erhalten und somit e<strong>in</strong>en numerischen<br />
Abstand zwischen zulässigen codierten Werten<br />
x c zu erzeugen (A > 0). Anhand der Differenz zwischen<br />
den zulässigen codierten Werten kann die Gültigkeit<br />
e<strong>in</strong>es Operationsergebnisses verifiziert werden. Dies<br />
erfolgt durch den Test, ob der Wert e<strong>in</strong> Vielfaches des<br />
Wertes A (x c<br />
mod A == 0?) ist, da die Vielfachen von A<br />
der Codierungsvorschrift entsprechen und somit gültig<br />
s<strong>in</strong>d. Basierend auf dieser Codierung kann die Verfälschung<br />
von Werten erkannt werden, wenn der Fehlerterm<br />
∆ ke<strong>in</strong> Vielfaches von A ist. Im Falle e<strong>in</strong>es solchen<br />
Fehlers ∆ tritt e<strong>in</strong> gültiges, aber fehlerhaftes Codewort<br />
auf. Aus diesem Grund führt For<strong>in</strong> [7] für jede genutzte<br />
Variable e<strong>in</strong>e statische Signatur B x e<strong>in</strong>, um jeden Wert<br />
e<strong>in</strong>deutig zu identifizieren.<br />
Um die Verwendung veralteter Werte zu erkennen,<br />
schlägt For<strong>in</strong> e<strong>in</strong>e dynamische Signatur D(t) vor. Die<br />
ge samte Codierung der Daten erfolgt demnach wie <strong>in</strong><br />
Gleichung (4) dargestellt.<br />
x c = A ∙ x f + B x + D(t) (4)<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012<br />
61
Hauptbeitrag<br />
Der E<strong>in</strong>fluss des Codierungsmechanismus auf die Def<strong>in</strong>itions-<br />
und Wertebereiche uncodierter und codierter<br />
Werte (z f und z c ) wird <strong>in</strong> Bild 2 veranschaulicht.<br />
Die Eigenschaften arithmetischer Codierungen können<br />
bei der Verwendung arithmetischer Operationen erhalten<br />
bleiben. Dies bedeutet, dass bei der Verwendung codierter<br />
Werte das korrekte Ergebnis ebenfalls Teil des<br />
Codes ist und somit die Gültigkeit des folgenden Ausdrucks<br />
geprüft werden kann:<br />
((x c - B x - D(t)) mod A == 0?)<br />
Dafür müssen spezielle codierte Operationen genutzt<br />
werden. So wurde <strong>in</strong> [7] die <strong>in</strong> Gleichung (5) dargestellte<br />
codierte Addition zweier Werte xc und yc erarbeitet.<br />
z f = x f + y f<br />
z c - B z - D(t) = x c - B x - D(t) + y c - B y - D(t)<br />
z c = x c + y c - B x - B y - D(t) + B z<br />
z c = x c + y c + (B z - B x - B y ) - D(t) (5)<br />
Durch den konstanten Summanden (B z - B x - B y ) entsteht<br />
die Möglichkeit, die Verwendung des korrekten Operators<br />
zu prüfen und somit Operatorfehler mit hoher Wahrsche<strong>in</strong>lichkeit<br />
zu erkennen. Im Wert des Summanden<br />
steckt gewissermaßen bereits vor der Ausführung die<br />
Information über die Operation und die Operanden.<br />
Mit dem Codierungsschema kann e<strong>in</strong>e Restfehlerwahrsche<strong>in</strong>lichkeit<br />
von 1/A erreicht werden (siehe [8]).<br />
Deshalb muss der Wert A so groß wie möglich gewählt<br />
werden, um e<strong>in</strong>e ausreichend kle<strong>in</strong>e P res zu erzielen. Allerd<strong>in</strong>gs<br />
handelt es sich beim Ausdruck 1/A nur um die<br />
korrekte P res , wenn e<strong>in</strong>e Gleichverteilung vorhanden ist,<br />
das heißt, im Fehlerfall ist jeder Wert gleich wahrsche<strong>in</strong>lich.<br />
Da dies gewöhnlich nicht der Fall ist, werden für<br />
die geeignete Auswahl e<strong>in</strong>es Wertes A zusätzliche determ<strong>in</strong>istische<br />
Kriterien genutzt. Die zwei wichtigsten<br />
Kennwerte s<strong>in</strong>d hier die Hamm<strong>in</strong>g-Distanz (HD) und die<br />
Arithmetische Distanz (AD). Die HD – oder die m<strong>in</strong>imale<br />
HD – zweier codierter Werte ist die kle<strong>in</strong>ste Anzahl<br />
von Bits, die verändert werden müssen, um e<strong>in</strong> Codewort<br />
auf e<strong>in</strong> anderes Codewort abzubilden. Ist die HD beipielsweise<br />
2, so können bereits zwei verfälschte Bits zu<br />
e<strong>in</strong>em anderen gültigen Codewort führen, sodass der<br />
Fehler nicht erkannt wird. Die AD zweier Werte x und y<br />
ist demgegenüber die kle<strong>in</strong>ste Anzahl an gesetzten Bits<br />
der beiden möglichen arithmetischen Differenzen<br />
(x - y und y - x) dieser Werte.<br />
Das Ziel ist es, bei der Wahl der geeigneten Parameter<br />
des Codes e<strong>in</strong>e möglichst hohe HD und e<strong>in</strong>e möglichst<br />
hohe AD zu erreichen. For<strong>in</strong> [7] empfiehlt zusätzlich, für<br />
den Parameter A e<strong>in</strong>e Primzahl zu wählen. Diese Wahl<br />
kann folgendermaßen begründet werden: Es wird e<strong>in</strong>e<br />
Reihe von n arithmetischen Additionen ausgeführt. Jede<br />
Addition fügt e<strong>in</strong>en konstanten Fehlerterm ∆ h<strong>in</strong>zu, sodass<br />
am Ende der n Operationen der gesamte Fehlerterm<br />
(n ∙ ∆) beträgt. Dieser Fehler kann nicht entdeckt werden,<br />
wenn das Ergebnis weiterh<strong>in</strong> e<strong>in</strong> Vielfaches von A ist.<br />
Handelt es sich beim Wert A um e<strong>in</strong>e Primzahl, kann<br />
dies nur dann der Fall se<strong>in</strong>, wenn entweder n oder ∆<br />
durch A teilbar s<strong>in</strong>d.<br />
Bei dem <strong>in</strong> [7] vorgestellten Ansatz handelt es sich sogar<br />
um e<strong>in</strong>e komplett 1-kanalige Lösung (1-kanalige Software<br />
auf 1-kanaliger Hardware). Sie wird <strong>in</strong> der Metro<br />
<strong>in</strong> Paris <strong>in</strong> führerlosen Zügen verwendet und stellt e<strong>in</strong>e<br />
gute Basis für e<strong>in</strong>e Lösung der Aufgabenstellung dieses<br />
Beitrags dar. Aufgrund der strikt mathematischen Basis<br />
hängt der Nachweis der Qualifikation für e<strong>in</strong>e bestimmte<br />
Sicherheitskategorie nicht länger von der verwendeten<br />
Hardware ab (Prozessor und Umgebung). Der Ansatz von<br />
For<strong>in</strong> [7] stellt aber zusätzliche Anforderungen an die<br />
Hardwarearchitektur, da spezielle Hardware zur Codierung<br />
der Daten für die Operationen benötigt wird. Außerdem<br />
muss die codierte Version der Software vom<br />
Anwender explizit implementiert werden. Um diese<br />
Codierung für die Erfüllung der Anforderungen <strong>in</strong> Abschnitt<br />
2.2 zu nutzen, wird im folgenden Kapitel e<strong>in</strong> erweitertes<br />
Codierungsschema erarbeitet.<br />
3. Herleitung des Codierungsschemas<br />
Wie <strong>in</strong> [9] beschrieben verbessert die Nutzung mehrerer<br />
Software-Kanäle die Fehlererkennung erheblich. Daher<br />
verwendet dieser Beitrag n codierte Kanäle neben dem<br />
ursprünglichen uncodierten Kanal. E<strong>in</strong> Fehler kann<br />
nur unentdeckt bleiben, wenn e<strong>in</strong>e Komb<strong>in</strong>ation aus<br />
(n + 1) Fehlern auftritt (n codierte Kanäle und der Orig<strong>in</strong>alkanal),<br />
sodass jeder Fehlerterm ∆ i (mit i als Identifikation<br />
e<strong>in</strong>es Kanals) zu e<strong>in</strong>em gültigen Codewort<br />
führt. Zudem müssen die Fehlerterme <strong>in</strong> e<strong>in</strong>er bestimmten<br />
Konstellation auftreten, sodass die Ergebnisse<br />
aller Kanäle e<strong>in</strong>e gültige Komb<strong>in</strong>ation codierter und<br />
uncodierter Werte ergeben.<br />
Der wechselseitige Test zwischen allen n Kanälen<br />
wird ausgeführt, um Fehler zu erkennen und e<strong>in</strong>e sichere<br />
Reaktion auszulösen. Um spezielle Hardware für<br />
die Codierung der E<strong>in</strong>gangs- und die Decodierung der<br />
Ausgangsdaten zu vermeiden, ist das Codierungsschema<br />
direkt mit e<strong>in</strong>em sicheren Kommunikationsprotokoll<br />
verbunden, damit die Fehlererkennung der sicheren<br />
Kommunikation für die Sicherstellung der korrekten<br />
Codierung und Decodierung der Daten genutzt<br />
werden kann. Die gesamte Architektur ist <strong>in</strong> Bild 3<br />
veranschaulicht.<br />
Neben der Architektur wurden Codierungsvorschriften<br />
für die folgenden Operationen erarbeitet:<br />
Addition,<br />
Subtraktion,<br />
Multiplikation,<br />
Division,<br />
Konjunktion,<br />
Disjunktion,<br />
Exklusive,<br />
Negation,<br />
Vergleichsoperator.<br />
Diese Operationen können genutzt werden, um e<strong>in</strong>e große<br />
Auswahl sicherheitsrelevanter Anwendungen zu realisieren.<br />
Bei der Herleitung von Operationen müssen<br />
die möglichen Fehlerarten von Abschnitt 1.1 beachtet<br />
62<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
werden, sodass die Verfälschung von Operanden, Operatoren<br />
oder die fehlerhafte Ausführung e<strong>in</strong>zelner Operationen<br />
erkannt werden kann. Die Entdeckung von<br />
Fehlern <strong>in</strong>nerhalb der Ausführung von Operationen<br />
wird durch e<strong>in</strong>en Vergleich der n codierten Kanäle vorgenommen,<br />
um zu prüfen, ob alle Kanäle konsistent zue<strong>in</strong>ander<br />
s<strong>in</strong>d. Die Konsistenz e<strong>in</strong>es e<strong>in</strong>zelnen Kanals ist<br />
gegeben, wenn jeder Wert des Kanals Teil des Codes ist.<br />
Neben der Gültigkeitsprüfung von Werten <strong>in</strong>nerhalb e<strong>in</strong>es<br />
Kanals f<strong>in</strong>det e<strong>in</strong>e gegenseitige Prüfung zwischen<br />
allen n codierten Kanälen statt.<br />
4. Automatische Generierung<br />
diversitärer Software<br />
Der Quelltext des Benutzers (der uncodierte Kanal, hier<br />
als FB f<br />
bezeichnet) wird parallel zu den codierten Repräsentationen<br />
ausgeführt. Er wird als Input für die Transformation<br />
genommen, mit der die diversitären Softwarekanäle<br />
erzeugt werden. Das Ergebnis ist die codierte<br />
Repräsentation des Quelltextes (<strong>in</strong> diesem Beispiel FB c<br />
genannt). Die codierte und die uncodierte Repräsentation<br />
werden von dem gleichen regulären Compiler (ohne<br />
spezielle Qualifikation des Compilers) <strong>in</strong> Masch<strong>in</strong>encode<br />
gewandelt, der schließlich <strong>in</strong>nerhalb der ISK-Laufzeit<br />
ausgeführt wird. Der gesamte Prozess wird <strong>in</strong> Bild 4<br />
veranschaulicht.<br />
Zur Laufzeit wird die ISK zyklisch abgearbeitet. In<br />
jedem Zyklus werden die folgenden Schritte ausgeführt<br />
(wie <strong>in</strong> Bild 3 gezeigt):<br />
E<strong>in</strong>gang<br />
Das Telegramm wird durch das sichere Kommunikationsprotokoll<br />
empfangen. Nach protokollspezifischer Verarbeitung<br />
(wie zum Beispiel Prüfung der Frame Check Sequence<br />
(FCS) des Pakets) werden die unbearbeiteten Datenwerte<br />
codiert und den n codierten Kanälen übergeben<br />
(fehlersichere Kopplung und Kanalcodierung <strong>in</strong> Bild 3).<br />
Logik<br />
In der eigentlichen Logik werden der uncodierte Kanal<br />
und die n codierten Kanäle ausgeführt und die entsprechenden<br />
Ergebnisse berechnet.<br />
Ausgang<br />
Die Ergebniswerte der Logik werden decodiert und das<br />
Ausgangstelegramm erzeugt, das heißt, sowohl die Nettodaten<br />
(Information) als auch die FCS werden berechnet<br />
und der sicheren Kommunikation übergeben (fehlersichere<br />
Kopplung und Telegrammgenerierung <strong>in</strong> Bild 3).<br />
Neben der Abarbeitung dieser Schritte muss die Safety<br />
Runtime die Ausführung aller Software-Bestandteile<br />
sicherstellen, sodass das Überspr<strong>in</strong>gen e<strong>in</strong>zelner Zeilen<br />
oder sogar ganzer Blöcke erkannt werden kann. In diesem<br />
Fall kann die Ausführung des Programms nicht zu<br />
e<strong>in</strong>em gültigen Ausgangstelegramm und somit zu e<strong>in</strong>er<br />
Gefährdungssituation als Ergebnis e<strong>in</strong>er fehlerhaften<br />
Reaktion des Systems führen.<br />
5. Implementierung<br />
Der vorgestellte Ansatz wurde <strong>in</strong> der Entwicklungsumgebung<br />
Tw<strong>in</strong>cat der Beckhoff Automation GmbH implementiert.<br />
Dadurch kann der Beckhoff Industrial PC (IPC)<br />
als logische Komponente <strong>in</strong>nerhalb e<strong>in</strong>er Sicherheitsfunktion<br />
bis zu e<strong>in</strong>em Safety Integrity Level (SIL) 3 nach<br />
IEC 61508 [1] verwendet werden. Die Beckhoff IPC-Produktfamilie<br />
verwendet gewöhnlich Microsoft W<strong>in</strong>dows<br />
Embedded als Betriebssystem.<br />
Sicherheitsanwendungen für den Safety IPC können<br />
unter anderem <strong>in</strong> e<strong>in</strong>er Hochsprache Safety C implementiert<br />
werden. Safety C stellt e<strong>in</strong> fast une<strong>in</strong>geschränktes<br />
Derivat von Standard C dar und erlaubt den<br />
Gebrauch von – aus Standard C bekannten – Kontrollstrukturen<br />
wie IF-THEN, SWITCH-CASE und Datentypen.<br />
Dies ermöglicht e<strong>in</strong>e bislang unbekannte Flexibi-<br />
Bild 4: Architektur-Transformation<br />
Compilier-Prozess<br />
Bild 3: Architektur<br />
aus mehreren<br />
diversitären<br />
Software-Kanälen<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012<br />
63
Hauptbeitrag<br />
Bild 5: Konfiguration<br />
des Zielsystems<br />
Bild 6: Editor-Ansicht<br />
lität für die Gestaltung sicherheitsrelevanter Benutzerapplikationen.<br />
Unter Berücksichtigung der Tatsache, dass die Komplexität<br />
von Sicherheitsanwendungen bezüglich der<br />
Funktionaliät und der Dimension stetig steigt, ist die<br />
E<strong>in</strong>führung des Beckhoff IPC als e<strong>in</strong>e flexible logische<br />
Komponente für Sicherheitsfunktionen e<strong>in</strong> wichtiger<br />
Schritt <strong>in</strong> Richtung zukünftiger Herausforderungen der<br />
Steuerungstechnologie. Die Zertifizierbarkeit des Ansatzes<br />
laut IEC 61508 [1] wurde bereits durch den TÜV<br />
Süd bestätigt.<br />
6. IPC-Entwicklungsumgebung<br />
Neben der sicheren Datenverarbeitung ist e<strong>in</strong>e geeignete<br />
Entwicklungsumgebung von großer Bedeutung. So bietet<br />
die Entwicklungsumgebung Tw<strong>in</strong>cat ab Version 3 e<strong>in</strong>en<br />
neuen Bereich zur Erstellung und Verwaltung sicherheitsrelevanter<br />
Anwendungen und unterstützt dabei<br />
maximale Flexibilität und Portabilität.<br />
6.1 Interaktion mit der Hardwarekonfiguration<br />
Es können sichere E<strong>in</strong>- und Ausgabe-Baugruppen und<br />
der sichere IPC projektiert werden. Dadurch kann die<br />
Applikation durch den E<strong>in</strong>satz von Alias-Geräten vollständig<br />
losgelöst von der verwendeten Hardware erstellt<br />
werden. Das Zielsystem und alle möglichen E<strong>in</strong>und<br />
Ausgabegeräte werden dem Projekt zunächst als<br />
Alias-Geräte bereitgestellt. Dadurch können alle sicherheitsrelevanten<br />
E<strong>in</strong>stellungen bereits im Voraus<br />
getätigt werden (siehe Bild 5). Vor dem Download und<br />
Start des Projekts werden die Alias-Geräte schließlich<br />
den tatsächlich verbauten physikalischen Geräten zugeordnet.<br />
6.2 Programmierung<br />
Die eigentliche Programmierung der Logik erfolgt <strong>in</strong> dem<br />
jeweiligen Editor. Im Falle des freigraphischen Editors<br />
wird die gewünschte Logik mithilfe e<strong>in</strong>er Funktionsblockdiagrammsprache<br />
<strong>in</strong> e<strong>in</strong>er freigraphischen Darstellung<br />
spezifiziert und kann dabei zur besseren Übersicht<br />
<strong>in</strong> Netzwerken organisiert werden. Die Funktionsbau-<br />
Referenzen<br />
[1] IEC 61508: Functional Safety of Electrical/Electronic/<br />
Programmable Electronic Safety-related Systems. 2002<br />
[2] ISO 13849: Safety of mach<strong>in</strong>ery - Safety-related Parts of<br />
Control Systems. 2003<br />
[3] Zastrow, D.: Automatisieren mit SPS – Theorie und Praxis.<br />
Vieweg Verlag, 2005<br />
[4] Ste<strong>in</strong>dl M.; Mottok J.; Meier H.; Schiller F. und Früchtl M.:<br />
Migration of SES to FPGA Based Architectural Concepts.<br />
Workshop Entwicklung zuverlässiger Software-Systeme. 2009<br />
[5] IEC 61131-3: Grundlagen Speicherprogrammierbarer<br />
Steuerungen – Programmier-sprachen. 2003<br />
[6] Halang, W.A. und Konakovsky, R.: Sicherheitsgerichtete<br />
Echtzeitsysteme. Oldenbourg Verlag, 1999<br />
[7] For<strong>in</strong>, P.: Vital Coded Microprocessor Pr<strong>in</strong>ciples and<br />
Application for Various Transit Systems. IFAC/IFIP/IFORS<br />
Symposium 1989, S. 79-84, 1989<br />
[8] Ozello, P.: The Coded Microprocessor Certification. Int.<br />
Conference on Computer Safety, Reliability and Security,<br />
S. 185-190, 1992.<br />
[9] Rao, T.R.N.: Error Cod<strong>in</strong>g for Arithmetic Processors.<br />
Academic Press, 1974<br />
64<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
ste<strong>in</strong>e können beliebig platziert und verknüpft werden.<br />
Durch den nahezu unbegrenzten Zoom-Bereich ist es<br />
möglich, sehr große Projekte noch angenehm zu verwalten.<br />
Für die schnelle Navigation <strong>in</strong>nerhalb des Projekts<br />
steht zusätzlich e<strong>in</strong>e verkle<strong>in</strong>erte Übersicht des gesamten<br />
Projekts zur Verfügung, anhand derer schnell zwischen<br />
den Bereichen der Applikation gewechselt werden<br />
kann (siehe Bild 6).<br />
Neben den bereits bekannten Funktionsbauste<strong>in</strong>en für<br />
die E<strong>in</strong>- und Ausgabe-Baugruppen werden für die Tw<strong>in</strong>cat<br />
Safety PLC zusätzliche vorzertifizierte Bibliotheken<br />
bereitgestellt. Weiterh<strong>in</strong> hat der Benutzer die Möglichkeit,<br />
eigene Funktionsbauste<strong>in</strong>e zu spezifizieren. Diese<br />
können entweder aus bereits vorhandenen Funktionsbauste<strong>in</strong>en<br />
gebildet oder im Experten-Modus direkt <strong>in</strong><br />
Safety C programmiert werden. Die benutzerdef<strong>in</strong>ierten<br />
Funktionsbauste<strong>in</strong>e werden <strong>in</strong> e<strong>in</strong>er Bibliothek abgelegt<br />
und stehen für zukünftige Projekte zur Verfügung.<br />
Zusätzlich zur besseren Programmierung werden auch<br />
die Debug- und die Testphase unterstützt. Programme<br />
können, wie <strong>in</strong> Visual Studio gewohnt, untersucht werden.<br />
Onl<strong>in</strong>e-Variablenwerte und Zustände der Funktionsblöcke<br />
werden direkt <strong>in</strong> der grafischen Umgebung<br />
angezeigt und ermöglichen so e<strong>in</strong> schnelles und e<strong>in</strong>faches<br />
Debuggen der Applikation. Zusätzlich kann das<br />
Projekt offl<strong>in</strong>e simuliert werden. Die Logik lässt sich<br />
dadurch unabhängig von der später e<strong>in</strong>gesetzten Hardware<br />
bereits vor dem Download testen. Auf diesem Wege<br />
wird die Inbetriebnahme direkt vor Ort vere<strong>in</strong>facht.<br />
Der Editor ist entsprechend der Sicherheitsrichtl<strong>in</strong>ien<br />
entwickelt und verfügt über e<strong>in</strong>en automatischen Verifikationsmechanismus.<br />
Durch e<strong>in</strong>e geeignete Codierung der<br />
Daten wird auch hier die Integrität sichergestellt. Bisher<br />
war es notwendig, das auf die Logikkomponente geladene<br />
Projekt wieder auszulesen, manuell zu überprüfen und die<br />
Korrektheit zu bestätigen. Der automatische Verifikationsmechanismus<br />
überprüft selbstständig, ob das gespeicherte<br />
Projekt mit dem erstellten Projekt im Editor übere<strong>in</strong>stimmt,<br />
und erspart dem Anwender so die manuelle Verifikation.<br />
Fazit<br />
Der Beitrag zeigt e<strong>in</strong>en neuen Ansatz für die Nutzung<br />
arithmetischer Codes für Intelligente Sicherheitskomponenten.<br />
Die e<strong>in</strong>geführte Methodik ermöglicht es, bislang<br />
re<strong>in</strong> funktionalen Hardware-Komponenten als logische<br />
E<strong>in</strong>heit <strong>in</strong> Safety-Szenarios zu dienen. Aufgrund der mathematischen<br />
Basis hängt der Zertifizierungsprozess<br />
nicht mehr von der Hardware ab. Der Ansatz ist auf jegliche<br />
Hardware-Architektur übertragbar. Aus diesem<br />
Grund kann e<strong>in</strong>e moderne funktionale Komponente wie<br />
der IPC als Safety-Controller verwendet werden. Die<br />
praktische Anwendbarkeit dieser Arbeit wurde durch die<br />
Umsetzung für den Beckhoff IPC gezeigt. Der erhöhte<br />
Berechnungsaufwand durch die zusätzlichen Operationen<br />
wirkt sich aufgrund der Leistungsfähigkeit e<strong>in</strong>es IPC<br />
nur ger<strong>in</strong>gfügig auf die Zykluszeit aus. Diese Technologie<br />
wird kont<strong>in</strong>uierlich weiterentwickelt, um die mögliche<br />
Flexibilität und Funktionalität stetig zu erweitern.<br />
Manuskripte<strong>in</strong>gang<br />
12.03.2012<br />
Im Peer-Review-Verfahren begutachtet<br />
Autoren<br />
Dipl.-Inf. Mart<strong>in</strong><br />
Früchtl (geb. 1981) ist<br />
Mitarbeiter der Entwicklung<br />
im Bereich Safety<br />
der Beckhoff Automation<br />
GmbH. Er studierte<br />
Informatik an der Universität<br />
Passau und<br />
promoviert seit 2008 auf<br />
dem Gebiet der Sicherheitstechnik. Nach der<br />
Beschäftigung als wissenschaftlicher<br />
Mitarbeiter an der TU München arbeitet er<br />
seit 2011 bei der Beckhoff Automation GmbH.<br />
Beckhoff Automation GmbH,<br />
Eiserstr. 5, D-33415 Verl,<br />
Tel. +49 (0) 5246 963 52 10,<br />
E-Mail: M.Fruechtl@beckhoff.com<br />
Prof. Dr.-Ing. Frank Schiller (geb. 1966)<br />
ist wissenschaftlicher Leiter für Safety &<br />
Security der Beckhoff Automation GmbH.<br />
Er studierte Elektrotechnik an der TU<br />
Dresden und promovierte 1997 an der TU<br />
Hamburg-Harburg. Nach verschiedenen<br />
Stationen bei Siemens war er von 2004 bis<br />
2011 als Professor für Automatisierungstechnik<br />
an der TU München tätig. Se<strong>in</strong>e<br />
Tätigkeitsfelder umfassen die sicherheitsgerichtete Kommunikation,<br />
Software-basierte Sicherheitssteuerungen, Security-<br />
Kommunikation und die effiziente Komb<strong>in</strong>ation von Safetyund<br />
Security-Algorithmen für die Automatisierung. Er lehrt als<br />
Gastprofessor an der<br />
(Huádo ˉ ng Lı ˇgo ˉ ng Dàxué, East<br />
Ch<strong>in</strong>a University of Science and Technology), Shanghai, Ch<strong>in</strong>a.<br />
Beckhoff Automation GmbH,<br />
Ostendstr. 196, D-90482 Nürnberg,<br />
Tel. +49 (0) 911 54 05 62 44,<br />
E-Mail: F.Schiller@beckhoff.com<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012<br />
65
impressum / <strong>Vorschau</strong><br />
Impressum<br />
<strong>Vorschau</strong><br />
Verlag:<br />
Oldenbourg Industrieverlag GmbH<br />
Rosenheimer Straße 145<br />
D-81671 München<br />
Telefon + 49 (0) 89 4 50 51-0<br />
Telefax + 49 (0) 89 4 50 51-3 23<br />
www.oldenbourg-<strong>in</strong>dustrieverlag.de<br />
Geschäftsführer:<br />
Carsten Augsburger, Jürgen Franke<br />
Spartenleiter:<br />
Jürgen Franke<br />
Herausgeber:<br />
Dr. T. Albers<br />
Dr. G. Kegel<br />
Dipl.-Ing. G. Kumpfmüller<br />
Dr. N. Kuschnerus<br />
Beirat:<br />
Dr.-Ing. K. D. Bettenhausen<br />
Prof. Dr.-Ing. Ch. Diedrich<br />
Prof. Dr.-Ing. U. Epple<br />
Prof. Dr.-Ing. A. Fay<br />
Prof. Dr.-Ing. M. Felleisen<br />
Prof. Dr.-Ing. G. Frey<br />
Prof. Dr.-Ing. P. Göhner<br />
Dipl.-Ing. Th. Gre<strong>in</strong><br />
Prof. Dr.-Ing. H. Haehnel<br />
Dr.-Ing. J. Kiesbauer<br />
Dipl.-Ing. R. Marten<br />
Dipl.-Ing. G. Mayr<br />
Dr. J. Nothdurft<br />
Dr.-Ing. J. Papenfort<br />
Dr. A. Wernsdörfer<br />
Dipl.-Ing. D. Westerkamp<br />
Dr. Ch. Zeidler<br />
Organschaft:<br />
Organ der GMA<br />
(VDI/VDE-Gesell schaft Messund<br />
Automatisierungs technik)<br />
und der NAMUR<br />
(Interessen geme<strong>in</strong>schaft<br />
Automatisierungs technik der<br />
Prozess<strong>in</strong>dustrie).<br />
Redaktion:<br />
Anne Hütter (verantwortlich)<br />
Telefon + 49 (0) 89 4 50 51-4 18<br />
Telefax + 49 (0) 89 4 50 51-2 07<br />
E-Mail: huetter@oiv.de<br />
Gerd Scholz<br />
E<strong>in</strong>reichung von Hauptbeiträgen:<br />
Prof. Dr.-Ing. Leon Urbas<br />
(Chefredakteur, verantwortlich<br />
für die Hauptbeiträge)<br />
Technische Universität Dresden<br />
Fakultät Elektrotechnik<br />
und Informationstechnik<br />
Professur für Prozessleittechnik<br />
D-01062 Dresden<br />
Telefon +49 (0) 351 46 33 96 14<br />
E-Mail: urbas@oiv.de<br />
Fachredaktion:<br />
Dr.-Ing. M. Blum<br />
Prof. Dr.-Ing. J. Jasperneite<br />
Dr.-Ing. B. Kausler<br />
Dr.-Ing. N. Kiupel<br />
Dr. rer. nat. W. Morr<br />
Dr.-Ing. J. Neidig<br />
Dipl.-Ing. I. Rolle<br />
Dr.-Ing. S. Runde<br />
Prof. Dr.-Ing. F. Schiller<br />
Bezugsbed<strong>in</strong>gungen:<br />
„<strong>atp</strong> <strong>edition</strong> – Automatisierungstechnische<br />
Praxis“ ersche<strong>in</strong>t<br />
monatlich mit Doppelausgaben im<br />
Januar/Februar und Juli/August.<br />
Bezugspreise:<br />
Abonnement jährlich: € 468,– + € 30,–/<br />
€ 35,- Versand (Deutschland/Ausland);<br />
Heft-Abbonnement + Onl<strong>in</strong>e-Archiv:<br />
€ 638,40; ePaper (PDF): € 468,–;<br />
ePaper + Onl<strong>in</strong>e-Archiv: € 608,40;<br />
E<strong>in</strong>zelheft: € 55,– + Versand;<br />
Die Preise enthalten bei Lieferung<br />
<strong>in</strong> EU-Staaten die Mehrwertsteuer,<br />
für alle übrigen Länder s<strong>in</strong>d es<br />
Nettopreise. Mitglieder der GMA: 30%<br />
Ermäßigung auf den Heftbezugspreis.<br />
Bestellungen s<strong>in</strong>d jederzeit über den<br />
Leserservice oder jede Buchhandlung<br />
möglich.<br />
Die Kündigungsfrist für Abonnementaufträge<br />
beträgt 8 Wochen zum Bezugsjahresende.<br />
Abonnement-/<br />
E<strong>in</strong>zelheftbestellung:<br />
Leserservice <strong>atp</strong><br />
Postfach 91 61, D-97091 Würzburg<br />
Telefon + 49 (0) 931 4170-1615<br />
Telefax + 49 (0) 931 4170-492<br />
E-Mail: leserservice@oiv.de<br />
Verantwortlich für<br />
den Anzeigenteil:<br />
Annemarie Scharl-Send<br />
Mediaberatung<br />
sales & communications Medienagentur<br />
Kirchfeldstraße 9, D-82284 Grafrath<br />
Tel. +49 (0) 8144 9 96 95 12<br />
Fax +49 (0) 8144 9 96 95 14<br />
E-Mail: ass@salescomm.de<br />
Es gelten die Preise der Mediadaten 2012<br />
Anzeigenverwaltung:<br />
Brigitte Krawczyk<br />
Telefon + 49 (0) 89 4 50 51-2 26<br />
Telefax + 49 (0) 89 4 50 51-3 00<br />
E-Mail: krawczyk@oiv.de<br />
Art Director / Grafik:<br />
Deivis Aronaitis | dad |<br />
Druck:<br />
Druckerei Chmielorz GmbH<br />
Ostr<strong>in</strong>g 13,<br />
D-65205 Wiesbaden-Nordenstadt<br />
Gedruckt auf chlor- und<br />
säurefreiem Papier.<br />
Die <strong>atp</strong> wurde 1959 als „Regelungstechnische<br />
Praxis – rtp“ gegründet.<br />
© 2012 Oldenbourg Industrieverlag<br />
GmbH München<br />
Die Zeitschrift und alle <strong>in</strong> ihr enthaltenen<br />
Beiträge und Abbildungen s<strong>in</strong>d urheberrechtlich<br />
geschützt. Mit Ausnahme der<br />
gesetzlich zugelassenen Fälle ist e<strong>in</strong>e<br />
Verwertung ohne E<strong>in</strong> willigung des Verlages<br />
strafbar.<br />
Gemäß unserer Verpflichtung nach § 8<br />
Abs. 3 PresseG i. V. m. Art. 2 Abs. 1c DVO<br />
zum BayPresseG geben wir die Inhaber<br />
und Beteiligungsverhältnisse am Verlag<br />
wie folgt an:<br />
Oldenbourg Industrieverlag GmbH,<br />
Rosenheimer Straße 145, 81671 München.<br />
Alle<strong>in</strong>iger Gesellschafter des Verlages<br />
ist die ACM-Unternehmensgruppe,<br />
Ostr<strong>in</strong>g 13,<br />
65205 Wiesbaden-Nordenstadt.<br />
ISSN 2190-4111<br />
Die Ausgabe 7-8 / 2012 der<br />
ersche<strong>in</strong>t am 30.07.2012<br />
Mit folgenden Beiträgen:<br />
Operational Access to<br />
SIS Components<br />
Kernmodelle – e<strong>in</strong> Konzept<br />
zur Vere<strong>in</strong>fachung von<br />
Systembeschreibungen<br />
Prozessdatenspeicherung<br />
und Datenkommunikation<br />
Die Mensch-Masch<strong>in</strong>e-<br />
Schnittstelle im<br />
demographischen Wandel<br />
...und vielen weiteren Themen.<br />
Aus aktuellem Anlass können sich die Themen<br />
kurzfristig verändern.<br />
LeserService<br />
e-Mail:<br />
leserservice@oiv.de<br />
Telefon:<br />
+ 49 (0) 931 4170-1615<br />
66<br />
<strong>atp</strong> <strong>edition</strong><br />
6 / 2012
Erreichen Sie die Top-Entscheider<br />
der Automatisierungstechnik.<br />
Sprechen Sie uns an wegen Anzeigenbuchungen<br />
und Fragen zu Ihrer Planung.<br />
Annemarie Scharl-Send: Tel. +49 (0) 8144 9 96 95 12<br />
E-Mail: ass@salescomm.de
Druckmesstechnik<br />
Produkte <strong>in</strong> Titan für aggressive Medien:<br />
‣ Mediz<strong>in</strong>altechnik<br />
Implantierbare, vollisolierte Drucktransmitter mit Ø 9 mm.<br />
Titan „Atlas“ /<br />
Träger des Himmelgewölbes<br />
‣ Chemische Industrie<br />
Diverse frontbündige Versionen erhältlich.<br />
‣ Hydrostatische Pegelmessung<br />
Für aggressivste Medien wie Brackwasser, Eisenchlorid, …<br />
KELLER<br />
www.keller-druck.com