2 Functional Safety mit SICAM RTUs

Transcrição

Vorwort, Inhaltsverzeichnis
Grundlagen zu Functional Safety
SICAM RTUs
SAFETY
Functional Safety mit SICAM RTUs
Safety Systembeschreibung
Sicherheitshandbuch
Safety-Systemkonfigurationen
Funktionale Sicherheit nach:
−
−
−
−
−
−
−
−
IEC 61508
IEC 61511 (ed.1)
IEC 62061
EN ISO 13849
EN 50126 [2]
EN 50128 [4]
EN 50129 [3]
EN 50159-1 [5]
Arbeiten mit SICAM RTUs mit der Funktion
SICAM Safety
Betriebszustände
Fehlererkennung und -behandlung
Systemreaktionszeit
Safety-Parameter
Technische Daten
Richtlinien für die Erstellung eines
Funktionsplans
Checklisten
Einbauerklärung
TÜV Zertifikat
Literatur, Glossar
DC0-116-2.04
1
2
3
4
5
6
7
8
9
10
11
A
B
C
Hinweis
Bitte beachten Sie die Hinweise und Warnungen zu Ihrer Sicherheit im Vorwort.
Dieses Dokument ist das Originaldokument
Haftungsausschluss
Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der
beschriebenen Hard- und Software geprüft. Dennoch können
Abweichungen nicht ausgeschlossen werden, so dass wir für die
vollständige Übereinstimmung keine Gewähr übernehmen.
Die Angaben in diesem Handbuch werden regelmäßig überprüft,
und notwendige Korrekturen sind in den nachfolgenden Auflagen
enthalten. Für Verbesserungsvorschläge sind wir dankbar.
Copyright
Copyright © Siemens AG 2015
Weitergabe und Vervielfältigung dieser Unterlage, Verwertung und
Mitteilung ihres Inhalts ist nicht gestattet, soweit nicht ausdrücklich
zugestanden. Zuwiderhandlungen verpflichten zu Schadenersatz.
Alle Rechte vorbehalten, insbesondere für den Fall der
Patenterteilung oder GM-Eintragung.
Technische Änderungen bleiben vorbehalten.
Document Label:
SICRTUs-HBSAFETY-GER_V2.04
Ausgabedatum:
13.03.2015
Siemens AG
Energy Automation
Humboldtstraße 59
90459 Nürnberg
Deutschland
Bestellnr.: DC0-116-2.04
Vorwort
Zweck des Handbuchs
Dieses Handbuch beschreibt die sicherheitsgerichtete Verwendung von SICAM RTUs. Es
erläutert die Maßnahmen, die notwendig sind, um einen sicherheitsrelevanten Prozess zu
planen und umzusetzen.
Berücksichtigen sie diese Maßnahmen bei allen Projekten, bei denen
Sicherheitskomponenten von SICAM RTUs zum Einsatz kommen.
Gültigkeitsbereich dieses Handbuches
·
SICAM AK 3
─ CPCX26 ....................... (ab Rev. 01)
─ PCCX26 ....................... (ab Rev. 01)
─ SPLC01........................ (ab Rev. 02)
─ CP-2019 ....................... 6MF10132CA100AA0 (ab BC2-019--.03)
·
SICAM AK
─ CPCX25 ....................... (ab Rev. 02)
─ PCCX25 ....................... (ab Rev. 08)
─ SPLC01........................ (ab Rev. 02)
─ CP-2017 ....................... 6MF10130CA170AA0 (ab BC2-017--.14)
·
SICAM TM
─ CPCX65 ....................... (ab Rev. 08)
─ SPLC01........................ (ab Rev. 02)
─ CP-6014 ....................... 6MF11130GA140AA0 (ab GC6-014--.23)
─ USIO66 ........................ (ab Rev. 05)
─ DI-6170 ........................ 6MF11130GB700AA0 (ab GC6-170--.03)
─ DO-6270....................... 6MF11130GC700AA0 (ab GC6-270--.03)
─ AI-6370 ........................ 6MF11130GD700AA0 (ab GC6-370--.03)
·
SICAM TOOLBOX II .......... (ab V5.11)
─ Safety V&V ................... (ab V1.0)
─ Safety Monitor .............. (ab V1.0)
─ CAEx safety Toolchain .. (ab V1.0)
Zielgruppe
Dieses Handbuch richtet sich an Personen, welche mit der Planung, Parametrierung,
Inbetriebnahme und Instandhaltung von sicherheitsgerichteten SICAM RTUs betraut sind.
Verwendete Konventionen
·
·
·
Handbücher, auf die verwiesen wird, sind in Kursivschrift dargestellt, wie zum Beispiel
SICAM CMIC Systembeschreibung, Kapitel "Systemübersicht".
Menüpfade und Bedienhandlungen werden wie folgt dargestellt:
z.B.: Authorizations → User/Role Administration → Define User ...
Namen von Parametern werden in dieser Schrift dargestellt; sie können auch
den Pfad des Navigationsbaums enthalten, der zum Parameter führt, wie zum Beispiel
Parameter | CPC80 | Topologie.
SICAM RTUs, SAFETY
DC0-116-2.04, Ausgabedatum 03.2015
3
Einordnung in die Informationslandschaft
Für die Arbeit mit SICAM RTUs benötigen sie je nach Anwendungsfall zusätzliche,
nachfolgend aufgeführte Dokumentationen.
Dokumentname
Sachnummer
SICAM AK 3 Systembeschreibung
MC2-024-2
SICAM AK 3 Benutzerhandbuch
DC2-027-2
SICAM AK Systembeschreibung
MC2-020-2
SICAM AK Benutzerhandbuch
DC2-016-2
SICAM TM CP-6014/CPCX65 Systemelement Datenblatt
MC6-032-2
SICAM TM Bedienung und Service
DC6-016-2
SICAM TM Installation
DC6-014-2
SICAM TM I/O-Module
DC6-040-2
SICAM 1703 Gemeinsame Funktionen Peripherieelemente nach
IEC 60870-5-101/104
DC0-010-2
SICAM 1703 Gemeinsame Funktionen System und Basissystemelemente
DC0-014-2
SICAM RTUs • Ax 1703 Gemeinsame Funktionen Protokollelemente
DC0-022-2
SICAM RTUs Plattformen • Konfiguration Automatisierungseinheiten und
Automatisierungsnetze
DC0-020-2
SICAM TOOLBOX II Online-Hilfe
CAEx plus Online-Hilfe
CAEx safety Online-Hilfe
Weitere Unterstützung
Für weitere Informationen kontaktieren Sie bitte unser Customer Support Center:
Telefon: +49 (0)180 524 70 00
Fax: +49 (0)180 524 2471
(Gebühren abhängig vom Netzbetreiber)
e-mail: [email protected]
Die Siemens Power Academy bietet ein umfassendes Programm professioneller Trainings in
den Bereichen Energieerzeugung, -verteilung und –übertragung.
Hauptstandorte sind:
4
Nürnberg, Deutschland (Stammsitz)
Tel: +49 911 433 7415
Fax: +49 911 433 5482
[email protected]
Wien, Österreich
Tel: +43 51707 31143
Fax: +43 51707 55243
[email protected]
Schenectady, NY, USA
Tel: +1 518 395 5005
Fax: +1 518 346 2777
[email protected]
Hebburn, Vereinigtes Königreich
Tel: +44 1914 953449
Fax: +44 1914 953693
[email protected]
SICAM RTUs, SAFETY
Hinweise zu Ihrer Sicherheit
Dieses Handbuch stellt kein vollständiges Verzeichnis aller für einen Betrieb des
Betriebsmittels (Baugruppe, Gerät) erforderlichen Sicherheitsmaßnahmen dar, weil besondere
Betriebsbedingungen weitere Maßnahmen erforderlich machen können. Es enthält jedoch
Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von Sachschäden
beachten müssen. Die Hinweise sind durch ein Warndreieck hervorgehoben und je nach
Gefährdungsgrad wie folgt dargestellt.
Gefahr
bedeutet, dass Tod, schwere Körperverletzung oder erheblicher Sachschaden eintreten werden, wenn die
entsprechenden Vorsichtsmaßnahmen nicht getroffen werden.
Warnung
bedeutet, dass Tod, schwere Körperverletzung oder erheblicher Sachschaden eintreten können, wenn
die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden.
Vorsicht
bedeutet, dass eine leichte Körperverletzung oder ein Sachschaden eintreten können, wenn die
entsprechenden Vorsichtsmaßnahmen nicht getroffen werden.
Hinweis
ist eine wichtige Information über das Produkt, die Handhabung des Produktes oder den jeweiligen Teil
der Dokumentation, auf den besonders aufmerksam gemacht werden soll.
Qualifiziertes Personal
Qualifiziertes Personal sind Personen, die alle folgenden Merkmale erfüllen:
·
·
·
·
·
Personen, die sicherheitsbezogene E/E/PE-Systeme, Teilsysteme oder Elemente davon
planen, entwickeln, einbauen und/oder in Betrieb nehmen
Personen, die aufgrund ihrer Erfahrung und/oder Ausbildung berechtigt sind, die zuvor
genannten Tätigkeiten auszuführen und dabei mögliche Gefahren erkennen und
vermeiden können
Speziell beim Einsatz von Safety V&V dürfen die Personen keinen Defekt in der
Farbwahrnehmung haben (wie z.B. eine Rot-Grün-Sehschwäche).
Personen, die Kenntnisse über die einschlägigen Sicherheitskonzepte zur
Automatisierungstechnik besitzen
Personen, die mit den zugrunde liegenden Normen und Vorschriften vertraut sind (siehe
Literatur für die zugrunde liegenden Normen)
Personen, die mit den Anweisungen dieses Dokuments vertraut sind
Dafür sind auch ausreichende Sprachkenntnisse erforderlich, um die in diesem Dokument
gegebenen Anweisungen zu verstehen.
Warnung
Der Einsatz, die Inbetriebsetzung und der Betrieb eines in diesem Handbuch beschriebenen
Betriebsmittels (Baugruppe, Gerät, Konfigurationstool) darf nur von qualifiziertem Personal vorgenommen
werden.
Bestimmungsgemäßer Gebrauch
Das Betriebsmittel (Gerät, Baugruppe) darf nur für die im Katalog und der technischen
Beschreibung vorgesehenen Einsatzfälle und nur in Verbindung mit von Siemens
empfohlenen bzw. zugelassenen Fremdgeräten und -komponenten verwendet werden.
SICAM RTUs, SAFETY
5
Der einwandfreie und sichere Betrieb des Produktes setzt sachgemäßen Transport,
sachgemäße Lagerung, Aufstellung und Montage sowie Bedienung und Instandhaltung
voraus.
Beim Betrieb elektrischer Betriebsmittel stehen zwangsläufig bestimmte Teile dieser
Betriebsmittel unter gefährlicher Spannung. Es können deshalb schwere Körperverletzung
oder Sachschäden auftreten, wenn nicht fachgerecht gehandelt wird:
·
·
·
·
·
Vor Anschluss irgendwelcher Verbindungen ist das Betriebsmittel am
Schutzleiteranschluss zu erden.
Gefährliche Spannungen können in allen mit der Spannungsversorgung verbundenen
Schaltungsteilen anstehen.
Auch nach Abtrennen der Versorgungsspannung können gefährliche Spannungen im
Betriebsmittel vorhanden sein (Kondensatorspeicher).
Betriebsmittel mit Stromwandlerkreisen dürfen nicht offen betrieben werden.
Die im Handbuch bzw. in der Betriebsanleitung genannten Grenzwerte dürfen nicht
überschritten werden; dies ist auch bei Prüfung und Inbetriebnahme zu beachten.
Beachten Sie unbedingt die Sicherheitsregeln für die Durchführung von Arbeiten an
elektrischen Anlagen:
1. Allpolig und allseitig abschalten!
2. Gegen Wiedereinschalten sichern!
3. Auf Spannungsfreiheit prüfen!
4. Entladen, Erden, Kurzschließen!
5. Benachbarte spannungsführende Teile abdecken und Gefahrenstelle eingrenzen!
CAEx safety wird im definierten Entwicklungsprozess von qualifizierten Personen eingesetzt,
um Applikationen ausschließlich für SICAM RTUs, bis max. SIL 2, entsprechend "IEC 61508
(2010)", in Betrieb zu nehmen und zu betreiben.
Dieses Dokument ist ausschließlich für SICAM Automatisierungssysteme gültig. Dies gilt
auch, wenn der Begriff "E/E/PE-System" verwendet wird.
Anforderungen an den Applikations-Entwicklungsprozess
Ein definierter Entwicklungsprozess ist für die Entwicklung und die Inbetriebnahme einer
Applikation erforderlich.
Der Entwicklungsprozess muss die Anforderungen der entsprechenden zugrunde liegenden
Normen abdecken, im Besonderen müssen die erforderlichen Validierungs- und
Verifikationsmaßnahmen abgedeckt sein.
Die in diesem Handbuch vorgestellten Arbeitsabläufe (Arbeiten mit SICAM RTUs mit der
Funktion SICAM Safety) zeigen den Einsatz von CAEx safety. Sie ersetzen weder einen
Entwicklungsprozess noch erheben sie Anspruch auf Vollständigkeit in Hinsicht auf die
Anforderungen der zugrunde liegenden Normen.
6
SICAM RTUs, SAFETY
Inhaltsverzeichnis
1
2
Grundlagen zu Functional Safety ............................................................................... 13
1.1
Einleitung ....................................................................................................... 14
1.2
Rechtsgrundlage ............................................................................................ 15
1.3
Maschinenrichtlinie ......................................................................................... 16
1.4
Normen für Konstruktion und Risikobewertung ............................................... 17
1.5
Normen für sicherheitsbezogener Steuerungen .............................................. 18
1.6
IEC 61508 - Basisnorm................................................................................... 19
1.7
IEC 62061 ...................................................................................................... 20
1.8
EN ISO 13849 ................................................................................................ 21
1.9
EN 5012x ....................................................................................................... 22
Functional Safety mit SICAM RTUs ............................................................................ 23
2.1
Einleitung ....................................................................................................... 24
2.2
Erreichbare Sicherheitsklassen ....................................................................... 25
2.2.1
Gesamtsystem .......................................................................................... 25
2.2.2
Module ...................................................................................................... 25
2.3
2.3.1
2.3.2
3
Safety Komponenten von SICAM RTUs.......................................................... 26
Systemübersicht ........................................................................................ 26
Safety-Komponenten ................................................................................. 27
2.4
Bestimmungsgemäßer Einsatz ....................................................................... 28
2.5
Allgemeine Sicherheitsbetrachtung ................................................................. 29
2.5.1
Sicherheitsbetrachtung von SICAM RTUs.................................................. 29
2.5.2
Fehlerarten, Fehlererkennung und Fehlerreaktion bei SICAM RTUs .......... 30
2.5.3
Datensicherung und Datensicherheit bei SICAM RTUs .............................. 30
2.5.3.1
Datensicherung .................................................................................... 30
2.5.3.2
Datensicherheit .................................................................................... 31
Safety Systembeschreibung ....................................................................................... 33
3.1
Konzept .......................................................................................................... 34
3.2
Sicherheitsfunktionen ..................................................................................... 38
3.2.1
Periodische Sicherheitsfunktionen ............................................................. 38
3.2.2
Integrierte Fehlerüberwachung in der Safety-Firmware (SPLC01) .............. 38
3.2.3
Integrierte Fehlerüberwachung im Safety I/O-Modul................................... 38
3.2.4
Sichere Kommunikation zwischen SICAM Safety PLC’s............................. 38
3.3
Trennung von Sicherer und Standard-Firmware .............................................. 39
3.4
Erkennbarkeit von Safety-Produktbestandteilen .............................................. 40
3.5
Systemgrenzen .............................................................................................. 41
3.6
Safety-Firmware AP-0771/SPLC01................................................................. 42
3.7
Safety-Applikation sPLC (Anwenderprogramm) .............................................. 43
3.8
Standard-Firmware PCCX26, PCCX25 und CPCX65 ...................................... 44
SICAM RTUs, SAFETY
7
Inhaltsverzeichnis
3.9
Safety-Kommunikation zwischen BSE und Safety-I/O Modulen ....................... 45
3.10
Safety-Kommunikation zwischen zwei Safety-PLC’s ....................................... 46
3.10.1
Konfiguration des Kommunikationskanals .................................................. 48
3.10.1.1
Singulärer Kommunikationskanal .......................................................... 48
3.10.1.2
Redundanter Kommunikationskanal ..................................................... 49
3.10.2
Parametrierung im Anwenderprogramm (CAEx plus) ................................. 51
3.10.2.1
3.10.2.1.1
Zuordnung der Gegenstelle ............................................................. 51
3.10.2.1.2
Definition des zeitlichen Verhaltens.................................................. 52
3.10.2.1.3
Änderung der Parameterwerte im Betrieb ........................................ 53
3.10.2.2
Simulationsmode .................................................................................. 53
3.10.2.3
Zuordnung der Prozessdaten ............................................................... 53
3.10.2.4
Betriebszustand der Gegenstelle .......................................................... 54
3.10.2.5
Kommunikationsstatus.......................................................................... 54
3.10.3
Periodisch mit einstellbarem Raster ...................................................... 55
3.10.3.2
Spontan durch Applikation gesteuert .................................................... 55
3.10.3.3
Zeitliches Verhalten .............................................................................. 56
Sicherung der Übertragung........................................................................ 57
3.10.4.1
Sicherung durch PROFIsafe ................................................................. 57
3.10.4.2
Datenaktualität über Watchdogfunktion................................................. 57
3.10.4.3
Retrybehandlung bei Kommunikationsstörungen .................................. 57
3.10.4.4
Sicherer Zustand bei Kommunikationsausfall ........................................ 57
3.10.5
Diagnosefunktion zur Fehleraufdeckung .................................................... 58
3.10.5.1
Verhalten bei Systemfehler ................................................................... 58
3.10.5.2
Verhalten bei Kommunikationsfehler..................................................... 59
3.10.6
Anforderungen an das Anwenderprogramm ............................................... 60
3.11
Basissystemelement CP-2016 für SICAM AK 3 .............................................. 61
3.12
Basissystemelement CP-2014 für SICAM AK ................................................. 61
3.13
Basissystemelement CP-2019/PCCX26 für SICAM AK 3 ................................ 62
3.14
Basissystemelement CP-2017/PCCX25 für SICAM AK ................................... 63
3.15
Steuerkopfelement CP-6014/CPCX65 für SICAM TM ..................................... 64
3.16
PE-641x/USIO66 Peripheriekoppelmodul ....................................................... 65
3.17
Safety-I/O-Module .......................................................................................... 66
3.17.1
Einleitung .................................................................................................. 66
3.17.2
Grundkonzept ............................................................................................ 66
3.17.3
Adressierung der Safety-I/O Module .......................................................... 66
3.17.4
Überwachung der Versorgungsspannung .................................................. 67
3.17.5
DI-6170 ..................................................................................................... 67
3.17.6
DO-6270 ................................................................................................... 67
3.17.7
AI-6370 ..................................................................................................... 68
Safety-Systemkonfigurationen ................................................................................... 69
4.1
8
Übertragung der Prozessdaten .................................................................. 55
3.10.3.1
3.10.4
4
Konfigurationsparameter ...................................................................... 51
SICAM AK 3 mit elektr. und optisch gekoppelten PE's .................................... 70
SICAM RTUs, SAFETY
Inhaltsverzeichnis
5
4.2
SICAM TM mit elektr. und optisch gekoppelten PE's ....................................... 71
4.3
Safety-Kommunikation zwischen zwei SICAM AK ........................................... 72
4.4
Redundante Safety-PLC‘s mit singulärer Peripherie........................................ 73
4.5
Redundante Safety-PLC‘s mit redundanter Peripherie .................................... 74
Arbeiten mit SICAM RTUs mit der Funktion SICAM Safety ....................................... 75
5.1
Einleitung ....................................................................................................... 76
5.2
Ablauf für die Applikations-Entwicklung........................................................... 77
5.2.1
Applikation anhand von Code-Fingerprints identifizieren ............................ 77
5.3
Anlage planen ................................................................................................ 79
5.4
Hardware Installation ...................................................................................... 80
5.5
Engineering .................................................................................................... 81
5.5.1
Anlage und Automatisierungseinheit definieren .......................................... 82
5.5.2
Automatisierungseinheit bestücken ............................................................ 82
5.5.3
Parameter einstellen.................................................................................. 83
5.5.4
Anwenderprogramm erstellen und Code generieren .................................. 83
5.5.5
Offline Test des Funktionsplans ................................................................. 85
5.6
Verifikation der Applikation ............................................................................. 86
5.6.1
Definitionen für den Status der "Verifikation" .............................................. 87
5.6.2
Review der Applikation .............................................................................. 87
5.7
Download der Applikation auf die Steuerung ................................................... 89
5.8
Online-Test der Applikation............................................................................. 91
5.9
Validierung der Applikation ............................................................................. 92
5.9.1.1
5.10
Definitionen für den Status der "Validierung" ......................................... 93
Freigabe der Applikation und deren Betrieb vorbereiten .................................. 94
5.10.1
Freigabe der Applikation ............................................................................ 94
5.10.2
Betrieb der freigegebenen Applikation vorbereiten ..................................... 96
5.11
Betrieb ........................................................................................................... 98
5.11.1
Wiederanlauf der Automatisierungseinheit ................................................. 98
5.11.2
Anlage in Betriebszustand STOP setzen.................................................... 99
5.11.3
Anlage in Betriebszustand TEST setzen .................................................... 99
5.11.4
Anlage in den „sicheren Betrieb“ RUN setzen .......................................... 100
5.12
Wartung ....................................................................................................... 101
5.12.1
Basissystemelement tauschen ................................................................. 101
5.12.2
Safety I/O Module tauschen ..................................................................... 103
5.12.3
SD-Karte tauschen .................................................................................. 103
5.13
Arbeitsablauf für Applikations-Änderungen ................................................... 105
5.13.1
Arbeitsablauf mit vollständiger Verifikation/Validierung ............................. 105
5.13.2
Arbeitsablauf mit Delta-Prüfung ............................................................... 106
5.13.3
Applikationsstände anhand von Code-Fingerprints identifizieren .............. 107
5.13.3.1
Applikationsstand für "A" identifizieren ................................................ 108
5.13.3.2
Applikationsstand für "B" und "C" identifizieren ................................... 109
5.13.4
Re-Engineering im Programmiersystem ................................................... 109
5.13.5
Download der Applikation auf die Steuerung ............................................ 109
SICAM RTUs, SAFETY
9
Inhaltsverzeichnis
5.13.6
Delta-Prüfung der Applikation .................................................................. 110
5.13.7
Freigabe der Applikation und deren Betrieb vorbereiten ........................... 111
5.13.7.1
Freigabe der Applikation ..................................................................... 111
5.13.7.2
Betrieb der freigegebenen Applikation vorbereiten .............................. 111
5.14
6
7
Betriebszustände ...................................................................................................... 115
6.1
Sicherer Betrieb ........................................................................................... 116
6.2
Betriebszustände.......................................................................................... 117
6.2.1
RUN ........................................................................................................ 117
6.2.2
STOP ...................................................................................................... 118
6.2.3
TEST....................................................................................................... 118
6.2.4
KILL ........................................................................................................ 118
6.3
Hochlauf ....................................................................................................... 119
6.4
Setzen des Betriebszustandes durch die SICAM TOOLBOX II...................... 120
6.5
Anzeige des Betriebszustands ...................................................................... 121
6.5.1
SICAM AK 3 ............................................................................................ 121
6.5.2
SICAM AK ............................................................................................... 122
6.5.3
SICAM TM .............................................................................................. 123
6.6
Status der Teilsysteme je Betriebszustand.................................................... 124
6.7
Erlaubte Bedienhandlungen.......................................................................... 125
6.8
Betriebszustände der I/O-Module ................................................................. 126
Fehlererkennung und -behandlung .......................................................................... 127
7.1
Einleitung ..................................................................................................... 128
7.2
Fehlerklassen ............................................................................................... 129
7.3
Systemfehler ................................................................................................ 130
7.3.1
Systemfehler am Basissystemelement..................................................... 130
7.3.2
Systemfehler am I/O-Modul mit Eingängen .............................................. 131
7.3.3
Systemfehler am I/O-Modul mit Ausgängen ............................................. 131
7.4
Kanalfehler ................................................................................................... 132
7.4.1
Kanalfehler am Basissystemelement ....................................................... 132
7.4.2
Kanalfehler am I/O-Modul mit Eingängen ................................................. 132
7.4.3
Kanalfehler am I/O-Modul mit Ausgängen ................................................ 133
7.4.4
Verhalten bei Kanalfehlern....................................................................... 133
7.4.4.1
Anwenderprogramm ........................................................................... 134
7.4.4.2
Automatisch ohne Wiederanlaufsperre ............................................... 135
7.4.4.3
Automatisch mit Wiederanlaufsperre................................................... 136
7.5
Diagnose ...................................................................................................... 137
7.5.1
Standarddiagnose ................................................................................... 137
7.5.2
LED Anzeige ........................................................................................... 137
7.6
7.6.1
10
Inbetriebnahme Redundanter Safety PLC‘s .................................................. 112
CAEx safety Fehleraufdeckungs- und Fehlervermeidungsmaßnahmen......... 138
Maßnahmen zur Authentifizierung ........................................................... 138
SICAM RTUs, SAFETY
Inhaltsverzeichnis
8
Systemreaktionszeit.................................................................................................. 141
8.1
9
8.1.1
Ein- und Ausgabe innerhalb eines Basissystemelements ......................... 142
8.1.2
Ein- und Ausgabe über verteilte Basissystemelemente /
Automatisierungseinheiten....................................................................... 142
Safety-Parameter ....................................................................................................... 145
9.1
Konfigurierungs- und Konsistenzparameter der Safety-Applikation........... 146
9.1.2
Bestückungsparameter der Safety-Applikation ......................................... 146
9.1.3
DI-6170 ................................................................................................... 147
9.1.4
9.1.4.1
9.2
9.2.1
9.2.1.1
9.3
9.3.1
9.3.1.1
Parameter: Testtaktung_Gruppe_SAFE .............................................. 147
DO-6270 ................................................................................................. 148
Parameter: Relaistyp_SAFE ............................................................... 148
Safety PLC Parameter.................................................................................. 150
Safety-Applikation AP-0771/SPLC01 ....................................................... 150
Parameter: Sicherer Zustand bei Kanalfehler ...................................... 150
Standard SICAM RTUs Parameter ............................................................... 151
CP-2019, CP-2017 und CP-6014 ............................................................. 151
Parameter: Ausfallverhalten................................................................ 151
Technische Daten ..................................................................................................... 153
10.1
Gesamtsystem ............................................................................................. 154
10.1.1
Elektrische Umweltbedingungen .............................................................. 154
10.1.2
Klimatische Umweltbedingungen ............................................................. 154
10.1.3
Mechanische Umweltbedingungen .......................................................... 154
10.2
Safety I/O Module......................................................................................... 155
10.2.1
Mechanische Umweltbedingungen .......................................................... 155
10.2.2
Klimatische Umweltbedingungen ............................................................. 155
10.2.3
Klimatische Tests .................................................................................... 156
10.2.4
10.3
Elektrische Umweltbedingungen .............................................................. 156
Sicherheitstechnische Kennzahlen ............................................................... 157
10.3.1
MTBF ...................................................................................................... 157
10.3.2
Wiederholungsprüfungsintervall ............................................................... 157
10.4
11
Safety SICAM RTUs Parameter.................................................................... 146
9.1.1
9.1.3.1
10
Allgemein ..................................................................................................... 142
Konformitätserklärungen............................................................................... 159
Richtlinien für die Erstellung eines Funktionsplans ............................................... 161
11.1
Allgemein ..................................................................................................... 162
11.2
Projektstruktur .............................................................................................. 163
11.3
Logik ............................................................................................................ 164
11.4
POE-Schnittstelle bzw. globale Variable ....................................................... 165
11.5
Änderungen in der Safety-Applikation ........................................................... 166
11.6
Unterstützte CAEx plus-Datentypen/-Bausteine ............................................ 168
11.6.1
Elementare Datentypen ........................................................................... 168
SICAM RTUs, SAFETY
11
Inhaltsverzeichnis
11.6.2
Safety-Datentypen................................................................................... 168
11.6.3
Unterstützte IEC-Bausteine ..................................................................... 169
11.6.4
Safety-Bausteine ..................................................................................... 170
11.6.5
Safety-Konvertierungsbausteine .............................................................. 170
11.7
11.7.1
11.8
11.8.1
A
Basis für eigene Richtlinien .......................................................................... 171
Reservierte Schlüsselwörter laut IEC ....................................................... 171
Anwendungshinweise ................................................................................... 175
Verhalten der Bausteinausgänge bei Verwendung des EN Eingangs ....... 175
Checklisten................................................................................................................ 177
A.1
Planung........................................................................................................ 177
A.2
Programmierung........................................................................................... 178
A.3
Installation .................................................................................................... 179
A.4
Inbetriebnahme ............................................................................................ 179
A.5
Wartung, Änderung ...................................................................................... 181
B
Einbauerklärung ........................................................................................................ 183
C
TÜV Zertifikat............................................................................................................. 187
12
SICAM RTUs, SAFETY
1
Inhalt
1.1
Einleitung ....................................................................................................... 14
1.2
Rechtsgrundlage ............................................................................................ 15
1.3
Maschinenrichtlinie ......................................................................................... 16
1.4
Normen für Konstruktion und Risikobewertung ............................................... 17
1.5
Normen für sicherheitsbezogener Steuerungen .............................................. 18
1.6
IEC 61508 - Basisnorm................................................................................... 19
1.7
IEC 62061 ...................................................................................................... 20
1.8
EN ISO 13849 ................................................................................................ 21
1.9
EN 5012x ....................................................................................................... 22
SICAM RTUs, SAFETY
13
1.1
Einleitung
Betreiber von Maschinen sind vom Gesetzgeber dazu verpflichtet, für die Sicherheit von
Mensch und Umwelt zu sorgen. Dazu sind alle am Betriebsstandort gültigen Regeln,
Vorschriften und Verordnungen anzuwenden. Liegt ein Gefahrenpotenzial vor, muss eine
Gefahren- und Risikoanalyse durchgeführt werden. Darin werden die vorliegenden Risiken
beschrieben und bestehende sowie zusätzliche Maßnahmen zu deren Reduzierung definiert.
Das verbleibende Restrisiko muss stets unter dem tolerierbaren Maß liegen.
Als Gesamtsicherheit einer Maschine bezeichnet man jenen Zustand, der frei von
unvertretbaren Risiken für den Menschen ist oder als gefahrenfrei angesehen wird.
Die Funktionale Sicherheit bezeichnet jenen Teil der Gesamtsicherheit eines Systems, der
von der korrekten Funktion der sicherheitsbezogenen Systeme und externer Einrichtungen
zur Risikominderung abhängt. Diese Teile müssen jederzeit im Stande sein das Gesamte
System im Bedarfsfall in den sicheren Zustand zu führen.
Die Teile von Maschinensteuerungen, die Sicherheitsaufgaben übernehmen, werden in den
internationalen Normen als „sicherheitsbezogene Teile von Steuerungen“ bezeichnet. Diese
Teile können aus Hardware und/oder Software bestehen und separater oder integraler
Bestandteil der Maschinensteuerung sein.
Sicherheitsbezogene Steuerungsteile umfassen jeweils die gesamte Wirkungskette einer
Sicherheitsfunktion, bestehend aus der Inputebene (Sensor), der Logik (sichere
Signalverarbeitung) und der Outputebene (Aktor).
Allgemeine Zielsetzung ist es, diese Steuerungsteile so zu gestalten, dass die Sicherheit der
Steuerungsfunktion sowie das Verhalten der Steuerung im Fehlerfall, dem in der
Risikobeurteilung ermittelten Grad an Risikoreduzierung entspricht.
Je höher also die von dem sicherheitsbezogenen Steuerungsteil zu leistende
Risikoverringerung ist, desto höher ist die geforderte Sicherheitsklasse oder das
sicherheitstechnische Leistungsniveau des Steuerungsteils.
Hinweis
Es wird darauf hingewiesen, dass neben den in diesem Safety Sicherheitshandbuch angeführten Punkten
auch darüber hinausgehende Anforderungen zu erfüllen sind. Es sind dies legislative, nationale
Anforderungen bzw. Anforderungen aus der Maschinenrichtlinie (z.B. Anhang I).
14
SICAM RTUs, SAFETY
1.2
Rechtsgrundlage
Eine der Maßnahmen zur Verwirklichung des freien Warenverkehrs in Europa ist die
Anpassung der technischen Rechtsvorschriften an einen europaweit einheitlich erarbeiteten
Standard. Zu diesem Zweck erlässt der Rat der EU Richtlinien nach Artikel 95 des EGVertrages, die die Harmonisierung der technischen Produktanforderungen (z. B.
Maschinenrichtlinie 2006/42/EG) betreffen.
Diese Richtlinien müssen von den Mitgliedstaaten inhaltlich 1:1 in nationales Recht umgesetzt
werden. Als Zeichen der Übereinstimmung mit einer Herstellerrichtlinie bringt der Hersteller
die CE–Kennzeichnung an jedem Produkt an.
SICAM RTUs, SAFETY
15
1.3
Maschinenrichtlinie
Die Maschinenrichtlinie 2006/42/EG regelt den freien Warenverkehr für Maschinen,
Maschinenanlagen, und Maschinenteile im Europäischen Wirtschaftsraum (EWR). Sie
schreibt einheitliche Anforderungen an die Beschaffenheit und an das Verfahren zur
Bewertung der Konformität verbindlich vor.
Ziel ist der freie Warenverkehr für sichere Maschinen im europäischen Wirtschaftsraum.
Was ist eine Maschine?
·
·
·
Die Gesamtheit miteinander verbundener Teile, von denen mindestens einer beweglich ist
Sie dient einer bestimmten Anwendung
Sie hat ein Antriebssystem oder ist dafür vorgesehen
Wie kann der Einhaltung der Maschinenrichtlinie gewährleistet werden?
·
·
·
Maschinenabnahme durch eine Prüfstelle
Erfüllung der harmonisierten Normen
Alleiniger Sicherheitsnachweis mit erhöhtem Prüf- und Dokumentationsaufwand
In jedem Fall ist die CE-Kennzeichnung mit entsprechendem Sicherheitsnachweis der
sichtbare Beweis für die Erfüllung der Maschinenrichtlinie. Laut EU-Rahmenrichtlinie für
Arbeitsschutz ist sie verbindlich vorgeschrieben.
16
SICAM RTUs, SAFETY
1.4
Normen für Konstruktion und Risikobewertung
·
·
EN ISO 12100-1 Sicherheit von Maschinen (Grundbegriffe, allgemeine
Gestaltungsleitsätze)
EN ISO 14121-1 Sicherheit von Maschinen
Risikobeurteilung – Teil 1: Leitsätze
In diesen Normen wird erläutert, nach welchen Prinzipien und Methoden eine
Risikobeurteilung, Risikoanalyse und Risikominimierung erfolgen sollte. Diese Normen sind
harmonisiert und damit für den europäischen Rechtsraum besonders hilfreich.
Daraus ergeben sich funktionale und sicherheitsrelevante Anforderungen für
sicherheitsbezogene Steuerungen.
SICAM RTUs, SAFETY
17
1.5
Normen für sicherheitsbezogener Steuerungen
·
·
·
·
·
·
·
·
IEC 62061:Ausgabe 2006-08-01 Ident (IDT) mit EN 62061:2005
Sicherheit von Maschinen - Funktionale Sicherheit sicherheitsbezogener elektrischer,
elektronischer und programmierbar elektronischer Steuerungssysteme
EN ISO 13849: Ausgabe 2009-09-01, ISO 13849-1: 2006 + Cor 1: 2009
Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen
IEC 61508 Edition 2.0, Ausgabe 2010-04
Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer
elektronischer Systeme
EN 50126: Ausgabe 2000-05-01, Ident (IDT) mit EN 50126:1999
Bahnanwendungen
Spezifikation und Nachweis der Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit und
Sicherheit (RAMS)
EN 50128: Ausgabestand 2001
Bahnanwendungen
Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme
Software für Eisenbahnsteuerungs- und Überwachungssysteme
EN 50129: Ausgabestand 2003
Bahnanwendungen Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme
Sicherheitsrelevante elektronische Systeme für Signaltechnik
EN 50159-1
Bahnanwendungen Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme;
Teil 1: Sicherheitsrelevante Kommunikation in geschlossenen Übertragungssystemen –
2001
IEC 61511 (ed. 1)
Funktionale Sicherheit: Sicherheitstechnische Systeme für den Bereich der
Prozessindustrie
Diese Normen stellen Methoden und Anforderungen bereit, um den erforderlichen
Sicherheits-Integritätslevel für jede sicherheitsbezogene Steuerungsfunktion zu bestimmen.
18
SICAM RTUs, SAFETY
1.6
IEC 61508 - Basisnorm
Funktionale Sicherheit sicherheitsbezogener
elektrischer/elektronischer/programmierbarer elektronischer Systeme.
Diese Internationale Norm behandelt diejenigen Gesichtspunkte, die zu betrachten sind, wenn
elektrische/elektronische/programmierbar elektronische Systeme (E/E/PES) zur Ausführung
von Sicherheitsfunktionen eingesetzt werden.
Die Norm IEC 61508 definiert vier unterschiedliche Sicherheitsstufen. Diese beschreiben
Maßnahmen zur Risikobeherrschung bei den eingesetzten Komponenten, die durch den so
genannten Sicherheits-Integritätslevel (Safety Integrity Level) bewertet werden. Je höher
dieser ist, desto größer die Risikoreduzierung. Damit ist der SIL das Maß für die
Wahrscheinlichkeit, dass das sicherheitstechnische System die geforderten
Sicherheitsfunktionen für einen bestimmten Zeitraum korrekt erfüllen kann.
SICAM RTUs, SAFETY
19
1.7
IEC 62061
Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer,
elektronischer und programmierbarer elektronischer Steuerungssysteme
Die Norm EN 62061 definiert umfangreiche Anforderungen. Sie gibt Empfehlungen für
Entwurf, Integration und Validierung von sicherheitsbezogenen elektrischen, elektronischen
sowie programmierbaren elektronischen Steuerungssystemen (SRECS) für Maschinen.
Sie betrachtet erstmalig die gesamte Sicherheitskette vom Sensor bis zum Aktor. Um einen
Sicherheitsintegritäts-Level wie etwa SIL 3 zu erreichen, genügt es nicht mehr, dass die
Einzelkomponenten entsprechend zertifiziert sind. Vielmehr muss die gesamte
Sicherheitsfunktion den definierten Anforderungen gerecht werden.
Diese Norm klassifiziert die Systeme nach SIL (Sicherheits-Integritätslevel)
20
SicherheitsIntegritätslevel
Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde
(PFHD)
SIL 1
≥ 10 to <10
SIL 2
≥ 10 to <10
SIL 3
≥ 10 bis <10
-6
-5
-7
-6
-8
-7
SICAM RTUs, SAFETY
1.8
EN ISO 13849
Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen.
Teil 1: Allgemeine Gestaltungsleitsätze
Dieser Teil der EN ISO 13849 stellt Sicherheitsanforderungen und einen Leitfaden für die
Prinzipien der Gestaltung und Integration sicherheitsbezogener Teile von Steuerungen
(SRP/CS) bereit, einschließlich der Entwicklung von Software. Für diese Teile der SRP/CS
werden Eigenschaften, einschließlich des Performance Levels, festgelegt, die zur Ausführung
der entsprechenden Sicherheitsfunktionen erforderlich sind. Er ist anzuwenden auf SRP/CS
aller Arten von Maschinen, ungeachtet der verwendeten Technologie und Energie (elektrisch,
hydraulisch, pneumatisch, mechanisch usw.).
Diese Norm klassifiziert die Systeme nach PL (Performance Level)
·
·
·
·
·
PL a - niedrigste Sicherheitsstufe (ergibt SIL0)
PL b - (ergibt SIL1)
PL c - (ergibt SIL1)
PL d - (ergibt SIL2)
PL e - höchste Sicherheitsstufe (ergibt SIL3)
ISO 13849-2 Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen.
Teil 2: Validierung
Diese Europäische Norm legt das Validierungsverfahren, einschließlich der beiden Verfahren
Analyse und Prüfung, für die Sicherheitsfunktionen und Kategorien von sicherheitsbezogenen
Teilen von Steuerungen fest.
SICAM RTUs, SAFETY
21
1.9
EN 5012x
Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und
Datenverarbeitungssysteme.
Diese Normengruppe klassifiziert die Systeme nach Sicherheits-Integritätslevel - SIL (Safety
Integrity Level) und bezieht sich im wesentlichen auf die Norm EN 61508. Sie besteht aus 3
wesentlichen Normen:
·
·
·
·
EN 50126: Spezifikation und Nachweis der Zuverlässigkeit, Verfügbarkeit,
Instandhaltbarkeit und Sicherheit (RAMS)
EN 50128: Software für Eisenbahnsteuerungs- und Überwachungssysteme
EN 50129: Sicherheitsrelevante elektronische Systeme für Signaltechnik
EN 50159-1: Sicherheitsrelevante Kommunikation in geschlossenen
Übertragungssystemen - 2001
Hinweis
Für den Einsatz von SICAM RTUs mit der Funktion Safety muss die Einhaltung der spezifizierten
Umgebungsbedingungen, entsprechend den in den Standards EN 50121, EN 50124, EN 50125
definierten Anwendungsklassen, garantiert werden. Die wird mittels umgebenden Aufbaus (z.B.
Wandschrank, 19“ Schrank) erreicht.
Zur Überwachung der Betriebstemperatur muss beim Betrieb von SICAM RTUs mit der Funktion Safety
eine externe Temperaturüberwachung zur Anwendung kommen, z.B. mit AI-6310 Analoge Eingabe 2x2
Pt100/Ni100. Die aktuelle Betriebstemperatur ist durch das Anwenderprogramm auszuwerten. Bei
Nichteinhaltung des spezifizierten Temperaturbereiches sind vom Anwenderprogramm
sicherheitsgerichtete Maßnahmen abzuleiten.
22
SICAM RTUs, SAFETY
2
Inhalt
2.1
Einleitung ....................................................................................................... 24
2.2
Erreichbare Sicherheitsklassen ....................................................................... 25
2.3
Safety Komponenten von SICAM RTUs.......................................................... 26
2.4
Bestimmungsgemäßer Einsatz ....................................................................... 28
2.5
Allgemeine Sicherheitsbetrachtung ................................................................. 29
SICAM RTUs, SAFETY
23
2.1
Einleitung
Das SICAM RTUs Automatisierungskonzept für Safety bietet entsprechende Komponenten
an, um die in einer Risikobeurteilung ermittelten Sicherheitsklassen zu erfüllen. Dies
geschieht mit einem Konzept, bei dem die Prozessinformationen vom Sensor über die
Steuerung bis hin zu den Aktoren 2-kanalig verarbeitet werden.
·
·
·
·
·
·
·
Alle Safety-I/O-Module sind intern zweikanalig aufgebaut. Die beiden integrierten
Prozessoren arbeiten die Firmware parallel ab, überwachen sich gegenseitig, erkennen
Fehler und gehen unmittelbar bei Auftreten eines Fehlers in einen sicheren Zustand über
und verbleiben in diesem.
Es erfolgt eine Trennung zwischen Standard- und sicherheitsgerichteten
Automatisierungsaufgaben.
Die Kommunikation zwischen einer sicherheitsgerichteten Steuerung sowie zugeordneter
sicherheitsgerichteter Peripherie erfolgt über das PROFIsafe-Protokoll.
Die Kommunikation zwischen zwei sicherheitsgerichteten Steuerungen erfolgt über das
PROFIsafe-Protokoll.
Die Erstellung, Verifizierung und Validierung der Sicherheitssteuerungen erfolgt mit dem
CAEx safety-Toolset der SICAM TOOLBOX II.
Die Bearbeitung der Safety-Parameter erfolgt mit dem OPM II. Die Verifizierung und
Validierung der Safety-Parameter erfolgt mit dem CAEx safety Toolset der SICAM
TOOLBOX II.
Die Erzeugung des Anwenderprogramms erfolgt mit dem CAEx plus Toolset.
Dieses Konzept wurde in den Produkten SICAM AK und SICAM TM mit der Funktion SICAM
Safety umgesetzt.
24
SICAM RTUs, SAFETY
2.2
Erreichbare Sicherheitsklassen
Bei entsprechender Parametrierung der Safety-Steuerung sowie durch eine bestimmte
Anordnung und Verdrahtung geeigneter Geber und Aktoren können folgende
Sicherheitsklassen erzielt werden:
2.2.1
Gesamtsystem
Norm
2.2.2
Sicherheits- Integritätslevel (SIL)
Performance Level PL
IEC 61508
SIL 2
-
IEC 62061
SIL 2
-
EN ISO 13849
-
PL d; Kat. 3
EN 50126[2]
EN 50128[4]
EN 50129[3]
EN 50159-1[5]
SIL 2
Module
Module
IEC 61508
IEC 62061
EN ISO 13849
EN 5012x
CP-2019/SPLC01
SIL 2
SIL 2
PL d, Cat 3
SIL 2
CP-2017/SPLC01
SIL 2
SIL 2
PL d, Cat 3
SIL 2
CP-6014/SPLC01
SIL 2
SIL 2
PL d, Cat 3
SIL 2
DI-6170
SIL 3
SIL 3
PL d, Cat 4
SIL 3
DO-6270
SIL 3
SIL 3
PL d, Cat 4 *)
SIL 3
PL d, Cat 3 **)
AI-6370
SIL 2
SIL 2
PL c, Cat 4
SIL 2
*) bei Relais ohne Elektronik
**)bei Relais mit Elektronik
SICAM RTUs, SAFETY
25
2.3
Safety Komponenten von SICAM RTUs
2.3.1
Systemübersicht
Die folgenden Bilder zeigen Beispiele mit Komponenten die zum Aufbau und Betrieb eines
fehlersicheren SICAM RTUs Automatisierungssystems verwendet werden können.
Beispiel 1: SICAM AK 3 (AE1) mit gesicherter Kommunikation zu SICAM TM
Peripherieelementen und mit gesicherter Kommunikation zu
übergeordneter Automatisierungseinheit (AE2)
SICAM AK
mit Basissystemelement
CP-2017/PCCX25
und Safety Firmware
AP-0771/SPLC01
TOOLBOX II
Rev ision:
Li cense Pa k:
Version 5 | S ie mens AG
AE2
SICAM TOOLBOX II
mit Toolset „CAEx safety“
SICAM AK 3
mit Basissystemelement
CP-2019/PCCX26
und Safety Firmware
AP-0771/SPLC01
AE1
Safety Kommunikation
Kommunikation gesichert mit PROFIsafe Layer
über Ax 1703 Peripheriebus und TM Bus.
SICAM TM Peripherieelemente (PE-641x/USIO66)
mit Safety I/O-Modulen
bis zu 16 Peripherieelemente möglich
26
SICAM RTUs, SAFETY
Beispiel 2: SICAM TM mit gesicherter Kommunikation zu SICAM TM
Peripherieelementen
SICAM TM
with basic system element
CP-6014/CPCX25
and safety-firmware
AP-0771/SPLC01
SICAM TOOLBOX II
with toolset „CAEx safety“
TOOLBOX II
Rev ision:
Li cense Pak:
T M 1703 ACP
SICAM
CP-6014
Version 5 | Siemens AG
Secure communication with PROFIsafe layer
via Ax 1703 peripheral bus and TM bus.
SICAM TM peripheral elements (PE-641x/USIO66)
with safety I/O-modules
up to 16 peripheral elements possible
2.3.2
Safety-Komponenten
Typ
Bezeichnung
Beschreibung
Firmware
AP-0771/SPLC01
Safety-Firmware; Ladbar auf Basissystemelement:
· CP-2019/PCCX26
· CP-2017/PCCX25
· CP-6014/CPCX65
I/O Modul
DI-6170
Binäres Eingabemodul; 8 digitale Eingänge; 24 VDC Signalspannung
I/O Modul
DO-6270
Binäres Ausgabemodul; 4 digitale Ausgänge; 24 VDC Signalspannung
I/O Modul
AI-6370
Analoges Eingabemodul; 4 analoge Eingänge; 4-20 mA
Toolset
CAEx safety
Erweiterung der TOOLBOX um die Werkzeuge:
· Safety V&V
· Safety Monitor
SICAM RTUs, SAFETY
27
2.4
Bestimmungsgemäßer Einsatz
Zielsetzung der Sicherheitstechnik ist es, die Gefährdung von Menschen und Umwelt durch
technische Einrichtungen so gering wie möglich zu halten, ohne dadurch die industrielle
Produktion und den Einsatz von Maschinen mehr als unbedingt notwendig einzuschränken.
SICAM RTUs mit der Funktion Safety können überall dort eingesetzt werden, wo die
Risikobeurteilung ergeben hat, dass ein Einsatz möglich ist und der sichere Zustand durch
„spannungslos Schalten“ herbeigeführt wird.
Ein typischer Anwendungsfall ist der Einsatz in Wasserkraftwerken zum Schutz von Turbinen
und Generatoren vor unzulässiger mechanischer Beanspruchung.
Weitere Einsatzbereiche sind Automatisierungsaufgaben im Bereich Öl-, Gas- und Bahn.
NICHT geeignet sind SICAM RTUs mit der Funktion Safety für den Einsatz z.B. bei:
·
·
·
·
·
·
28
Automatisierungssystem mit erhöhten Anforderungen an die Umgebung (z. B.
explosionsgefährdete Bereiche).
Automatisierungssystem bei denen die Abschaltung einer Spannung nicht zum sicheren
Zustand führt.
Automatisierungssystem bei denen SIL 3 oder höher gefordert wird.
Automatisierungssystem bei denen ein Performance Level PL e oder höher gefordert wird.
Bahnanwendungen innerhalb des 3 m Bereichs.
Anlagen zur Personenbeförderung
SICAM RTUs, SAFETY
2.5
Allgemeine Sicherheitsbetrachtung
Vor dem Einsatz einer SICAM RTUs mit der Funktion Safety ist eine Sicherheitsbetrachtung
nach der Maschinenrichtlinie notwendig. Eine SICAM RTUs mit der Funktion Safety als
Einzelkomponente ist ein sicherheitsbezogenes System im Sinne der EN/IEC 61508. Es
garantiert funktionale Sicherheit vor Fehlern in der Hardware und Firmware. Es garantiert
jedoch nicht die Sicherheit des gesamten Prozesses sowie der Planung des Projekts.
Für die Sicherheit des Projekts ist der Anwender verantwortlich. Gehen Sie bei der
Programmierung besonders sorgfältig vor und beachten Sie die für den Einsatzort geltenden
Vorschriften und Normen.
Eine fehlerhafte Steuerung kann die Sicherheit des gesamten Prozesses zunichtemachen!
Definieren Sie für die Gesamtheit der Maschine, für alle Lebensdauerphasen und den
gesamten Sicherheitslebenszyklus die Sicherheitsanforderungen und wie sie technisch und
organisatorisch realisiert werden sollen.
Technische Maßnahmen
Zu den technischen Maßnahmen gehört z. B. der Einsatz von Safety-Komponenten und die
Planung und die Erstellung des Projekts mit dem CAEx safety Toolset der SICAM
TOOLBOX II.
Organisatorische Maßnahmen
Unter organisatorischen Maßnahmen versteht man z. B. die Festlegung des zuständigen
Personals oder die Dokumentation aller Arbeitsschritte bei der Inbetriebnahme. Dazu gehören
auch Festlegungen bezüglich Verantwortlichkeiten und Zugriffsrechten. Die
Sicherheitsanforderungen richten sich nach der Funktion der Maschine und den daraus
resultierenden Gefahren. In eine Sicherheitsbetrachtung müssen auch Fehlfunktionen und
Fehlbedienung und die möglichen Folgen einbezogen werden.
2.5.1
Sicherheitsbetrachtung von SICAM RTUs
SICAM RTUs sind sowohl für Standard- als auch Safety-Anwendungen geeignet.
Es gibt:
·
·
·
·
Standard- und Safety-Module
Standard- und Safety-Bausteine in der SICAM TOOLBOX II
Standard- und Safety-Kommunikationskanäle
Standard- und Safety-PLC
Die sicherheitsbezogenen Aufgaben dürfen nur mit Safety-Bausteinen programmiert werden.
Bei der Programmierung von Safety-Bausteinen kann der Anwender jedoch auch auf einfache
Weise auf Standard-Datentypen zugreifen. Dazu muss den Safety-Datentypen nur ein
"Konvertiermodul" vorgeschalten werden.
Hinweis
Die Standard-Datentypen und Standard-Bausteine dürfen das sichere Abschalten nicht beeinflussen.
Die folgenden Punkte liegen in der Verantwortung des Anwenders:
·
Auswahl der passenden Safety-Module
SICAM RTUs, SAFETY
29
·
·
·
·
2.5.2
korrekte I/O-Zuordnung
korrekte Verwendung von Safety-Bausteinen
korrekte Wahl der Safety-Datentypen
korrekte Verwendung des "Konvertiermoduls"
Fehlerarten, Fehlererkennung und Fehlerreaktion bei
SICAM RTUs
Grundsätzlich wird zwischen zufälligen und systematischen Fehlern unterschieden.
Zur Fehlerart der zufälligen Fehler gehört z. B. das Kippen eines Bits im Speicher oder bei der
Datenübertragung.
Zur Fehlerart der systematischen Fehler gehören Fehler in der Firmware oder Hardware. Es
handelt sich hierbei entweder um logische Fehler aufgrund fehlerhafter Informationen (z. B.
falsche Zuweisung eines Datentyps) oder auch Fehler, die sich erst aufgrund bestimmter
Randbedingungen im Programmablauf auswirken (Speicherüberläufe, nicht berücksichtigte
Randbedingungen usw.).
SICAM RTUs mit der Funktion Safety verfügen über verschiedene Funktionen zur
Fehlererkennung (Diagnosefunktionen), wobei ein erkannter Fehler immer zu einer definierten
Fehlerreaktion führt.
Hinweis
Die Fehlerreaktion des Systems kann durch Parametrierung festgelegt werden.
Der 2-kanalige Aufbau der Safety-Module und die verschiedenen anderen Maßnahmen zur
Fehlererkennung und Fehlerreaktion liefern ein hohes Maß an Sicherheit. Bei der Planung,
Konfiguration und Anwenderprogrammierung muss darauf geachtet werden, dass dieses
hohe Maß an Sicherheit nicht durch Fehler und Unachtsamkeit zunichte gemacht wird.
Hinweis
Programmierfehler im Anwenderprogramm können nicht erkannt werden.
2.5.3
Datensicherung und Datensicherheit bei SICAM RTUs
2.5.3.1
Datensicherung
Ziel der Datensicherung ist die Sicherung von Daten gegen Verlust.
Alle SICAM RTUs Parameter, Applikationen und Firmwares werden in der SICAM
TOOLBOX II zentral verwaltet und gespeichert. Das Tool "Data Distribution Center" bietet die
Möglichkeit diese Daten mittels eines Backups zu sichern.
Folgende Engineeringdaten können im Data Distribution Center exportiert bzw. importiert
werden:
·
·
30
Kunde (Anlagenmanagement, User • inkl. Voreinstellungen)
Systemtechnik (Regionen und Automatisierungseinheiten)
SICAM RTUs, SAFETY
·
·
·
·
·
2.5.3.2
Verfahrenstechnik (Bereiche, Displayübersicht der Bildparametrierung SICAM BC,
CAEx plus Projektlibrary)
Stammdaten
PSRII-Daten (Recorderaufzeichnungen, Kundenparameter und Kundenfilter, Störfalldaten,
Sendemenüs)
Logbuchdaten
Informationen zu Verifizierung und Validierung
Datensicherheit
Unter Datensicherheit versteht man die Sicherheit von Daten im Bezug auf die Verfügbarkeit,
Integrität und Vertraulichkeit.
Bei SICAM RTUs kommen verschiedene Mechanismen zur Datensicherheit zum Einsatz. Es
werden technische Maßnahmen und organisatorische Maßnahmen unterschieden.
Technische Maßnahmen
Die technischen Maßnahmen tragen zur Datensicherheit gegenüber Fehlern und Störungen
bei. Sie greifen automatisch, sobald die Daten einem entsprechenden Einfluss ausgesetzt
sind. Zu den technischen Maßnahmen zählen z. B.:
·
·
·
·
·
·
2-kanalige Erfassung und Verarbeitung von sicheren Signalen
Sicherungsverfahren beim Download eines Projekts
Sicherheit im Protokoll bei der Datenübertragung mit PROFIsafe
Störsicherheit
Erkennung von Safety-Applikationen mit unterschiedlichen Revisionen
In den Safety-Parametern wird die Soll-Revision der Safety-Applikation gespeichert. Diese
verhindert, dass nach der Sicherheitsabnahme eine andere, nicht abgenommene Revision
der Safety-Applikation, geladen wird.
Defekte oder fehlende SD-Karten werden durch eine Diagnoseinformation angezeigt. Dies
hat für den weiteren Betrieb keinen Einfluss.
Warnung
Wird eine SD-Karte getauscht, muss unbedingt eine neuerliche Inbetriebnahme
erfolgen.
·
Vergabe einer Zugriffsberechtigung für alle sicherheitsbezogenen Tätigkeiten in SICAM
TOOLBOX II.
Organisatorische Maßnahmen
Die organisatorischen Maßnahmen tragen zur Datensicherheit gegenüber versehentlicher
oder absichtlicher Manipulation von Daten bei. Für die Verwendung geeigneter
organisatorischer Maßnahmen ist hauptsächlich der Anwender verantwortlich.
·
Security
Es ist empfehlenswert eine umfassende Strategie in Bezug auf Security-Maßnahmen zu
entwickeln. Unter Security fallen alle Kriterien, die die Integrität, Verfügbarkeit,
Vertraulichkeit, Verbindlichkeit, Betriebssicherheit und Authentizität von Daten betreffen.
Zu den Security-Maßnahmen gehören z. B.:
─ die Authentifizierung, die Passwortverwaltung und die Zugriffsberechtigung auf Netze
und LAN-Segmente vor allem auch im Hinblick auf die Zugriffssicherung bei
Fernwartung in Ethernet-basierten Netzen
─ logische und funktionale Trennung von Büro- und Automatisierungsumgebung bei
Ethernet-basierten Netzen z. B. durch Firewalls
SICAM RTUs, SAFETY
31
·
32
Verifizierung, Validierung und Freigabe
Das Arbeiten mit SICAM RTUs mit der Funktion SICAM Safety erfordert das Einhalten des
V&V Modells. Dieses erfordert, dass alle sicherheitsrelevanten Parameter verifiziert,
validiert und freigegeben werden müssen. Diese Tätigkeiten müssen vom Anwender mit
dem "Safety V&V" Tool durchgeführt werden. Eine Safety-Applikation kann erst dann den
Betriebszustand RUN erreichen, wenn die Freigabe der Parameter erfolgt ist.
SICAM RTUs, SAFETY
3
Inhalt
3.1
Konzept .......................................................................................................... 34
3.2
Sicherheitsfunktionen ..................................................................................... 38
3.3
Trennung von Sicherer und Standard-Firmware .............................................. 39
3.4
Erkennbarkeit von Safety-Produktbestandteilen .............................................. 40
3.5
Systemgrenzen .............................................................................................. 41
3.6
Safety-Firmware AP-0771/SPLC01................................................................. 42
3.7
Safety-Applikation sPLC (Anwenderprogramm) .............................................. 43
3.8
Standard-Firmware PCCX25 und CPCX65 ..................................................... 44
3.9
Safety-Kommunikation zwischen BSE und Safety-I/O Modulen ....................... 45
3.10
Safety-Kommunikation zwischen zwei Safety-PLC’s ....................................... 46
3.11
Basissystemelement CP-2014 für SICAM AK ................................................. 61
3.12
Basissystemelement CP-2017/PCCX25 für SICAM AK ................................... 62
3.13
Steuerkopfelement CP-6014/CPCX65 für SICAM TM ..................................... 64
3.14
PE-641x/USIO66 Peripheriekoppelmodul ....................................................... 65
3.15
Safety-I/O-Module .......................................................................................... 66
SICAM RTUs, SAFETY
33
3.1
Konzept
Als Grundlage des Sicherheitskonzeptes wurde für alle Prozessgrößen ein sicherer Zustand
definiert, welcher im Fehlerfall eingenommen wird. Dieser "sichere Zustand" ist der strom- und
spannungslose Zustand des Gesamtsystems.
Beim sicheren Zustand werden:
·
·
alle Ausgänge der Safety-I/O Module abgesteuert
alle sicheren Eingänge (digital und analog) werden in der Safety-Application auf 0 gesetzt
Eine SICAM RTUs mit der Funktion SICAM Safety gliedert sich in die offline arbeitende
SICAM TOOLBOX II und das Online-System SICAM AK 3, SICAM AK oder SICAM TM mit
der Funktion SICAM Safety, bestehend aus Basissystemelementen und I/O-Modulen, die über
einen Bus miteinander kommunizieren.
Das Konzept SICAM RTUs mit der Funktion SICAM Safety, vom Erfassen der Sensoren über
die Verarbeitung bis zur Ausgabe am Aktuator, wird auf folgende Weise umgesetzt:
·
·
·
·
·
·
34
Periodische Erfassung der Prozessdaten an den Safety Input-Modulen
2-kanalige Erfassung und Verarbeitung der Prozessdaten auf den Safety I/O-Modulen.
Weitergabe über einen durch ein fehlersicheres Übertragungsprotokoll gesicherten
Kommunikationsweg an das Basissystemelement.
Hier erfolgt periodisch die diversitäre Verarbeitung der 2-kanalig zur Verfügung gestellten
Prozessdaten durch die sichere Steuer- und Regelfunktion (Safety-Applikation).
Die errechneten Prozessdaten werden über die gesicherte Kommunikation an die sicheren
Output-Module weitergegeben und von diesen an den Prozess ausgegeben.
Die Kommunikation zwischen zwei sicherheitsgerichteten Steuerungen
SICAM RTUs, SAFETY
Beispiel 1: SICAM AK 3 oder SICAM AK mit gesicherter Kommunikation zu SICAM TM
Peripherieelementen
weitere Automatisierungseinheit
Kommunikation
Protokollemement(e)
Verarbeitungs- und
*)
Kommunikationselement
Kommunikation
Protokollemement(e)
Safety Firmware
AP-0771/SPLC01
Knotenbus
PLC Standard Steuerund Regelfunktion
sPLC Safety Steuerund Regelfunktion
Safety Layer
Safety Layer
Steuerkopfelement
**)
Peripheriekoppelmodul
PE-641x
Safety I/O Modul
DI-6170, DO-6270, AI-6370
PBA# IOM#
TM bus
periodische Safety-Daten
Firmware
USIO66
Ax Peripheriebus
spontane Daten
Safety Layer
Peripherieankopplung
Prozess
weitere
Peripherieelemente
*)
CP-2019/PCCX26 (SICAM AK 3)
CP-2017/PCCX25 (SICAM AK)
SICAM RTUs, SAFETY
**)
CP-2016/CPCX26 (SICAM AK 3)
CP-2014/CPCX25 (SICAM AK)
35
Beispiel 2: SICAM TM mit gesicherter Kommunikation zu SICAM TM
Peripherieelementen
Steuerkopfelement
CP-6014/CPCX65
Kommunikation
Protokollemement(e)
Safety Firmware
AP-0771/SPLC01
Safety Layer
Safety Layer
PE-641x
Safety I/O Modul
DI-6170, DO-6270, AI-6370
PBA# IOM#
TM bus
Ax Peripheriebus
spontane Daten
Safety Layer
Firmware
USIO66
Prozess
weitere
Peripherieelemente
36
SICAM RTUs, SAFETY
Beispiel 3: SICAM AK 3 oder SICAM AK (AE1) mit gesicherter Kommunikation zu
SICAM TM Peripherieelementen und mit gesicherter Kommunikation zu
übergeordneter Automatisierungseinheit (AE2)
**)
Verarbeitungs- und
Knotenbus
Safety Firmware
AP-0771/SPLC01
*)
SL
AE2
Safety Layer
Kommunikation
Protokollemement
SL
SL
Kommunikation
Protokollemement(e)
Verarbeitungs- und
*)
Kommunikation
Protokollemement(e)
AE1
Safety Layer
Safety Firmware
AP-0771/SPLC01
Knotenbus
SL
Kommunikation
Protokollemement
Steuerkopfelement
Safety Layer
spontane Daten
*)
SICAM RTUs, SAFETY
PE-641x
Safety I/O Modul
DI-6170, DO-6270, AI-6370
TM bus
Safety Layer
Ax Peripheriebus
Safety Layer
**)
SICAM TM I/O Module
Steuerkopfelement
Firmware
USIO66
weitere
Peripherieelemente
**)
Prozess
37
3.2
Sicherheitsfunktionen
Sicherheitsfunktionen haben die Aufgabe das System im sicheren Zustand zu halten oder in
einen sicheren Zustand zu bringen. Diese Funktionen zur Fehlererkennung und
Fehlerreaktion sind in der Safety-Firmware und den Safety-I/O-Modulen enthalten. Sie
überwachen die periodische Verarbeitung der Prozessinformationen und die I/O-Module auf
interne Fehler oder externe Beschaltungsfehler.
Folgende Sicherheitsfunktionen werden ausgeführt:
·
·
·
·
3.2.1
Periodische Sicherheitsfunktionen
·
·
·
3.2.2
Ausfall des Basissystemelements bzw. der Safety-Firmware
Ausfall des Datenflusses
Fehlererkennung durch Selbsttests
Wiederanlaufschutz
Fehler in der Schaltung für Logik/Erfassung/Ausgabe
Sichere Kommunikation zwischen SICAM Safety PLC’s
·
·
·
38
Ausfall der Safety Steuer- und Regelfunktion (sPLC)
Zugriffsschutz auf sicherheitskritisches Anwenderprogramm und Parameter
Ausfall des Datenflusses
Fehlererkennung durch Selbsttests
Fehler/Ausfall in den I/O-Modulen durch den Safety-Layer
logische Programmlaufüberwachung
Fehler in der Kommunikation mit den I/O-Modulen durch den Safety-Layer
Integrierte Fehlerüberwachung im Safety I/O-Modul
·
·
·
·
·
3.2.4
Periodische Erfassung von Prozessinformationen an den Safety-I/O-Modulen und
Weitergabe an die Safety-Applikation
Periodische Verarbeitung der Prozessinformationen durch die Safety-Applikation mit
einstellbarer Zykluszeit
Weitergabe der durch die Safety-Applikation errechneten Prozessinformationen an die
Safety-Output-Module und Ausgabe an der Peripherie.
Integrierte Fehlerüberwachung in der Safety-Firmware (SPLC01)
·
·
·
·
·
·
·
3.2.3
Periodische Sicherheitsfunktionen
Integrierte Fehlerüberwachung in der Safety-Firmware (SPLC01)
Integrierte Fehlerüberwachung im Safety I/O-Modul
Fehlererkennung an der Peripherie (externe Beschaltung)
Sichere Punkt-zu-Punkt Verbindungen zwischen Safety PLC’s auf verschiedenen BSE’s
für die Übertragung von Meldungen und Messwerten
Sichere Übertragung des Betriebszustandes
Sichere Kommunikation für redundante Safety PLC’s
SICAM RTUs, SAFETY
3.3
Trennung von Sicherer und Standard-Firmware
Durch diese Trennung wird gewährleistet, dass Beeinflussungen der sicherheitsgerichteten
Funktionen durch Standard-Funktionen erkannt und entsprechende Fehlerreaktionen
ausgelöst werden.
Dieses Prinzip gewährleistet, dass Änderungen oder Austausch der Standard-Firmware keine
Auswirkung auf die sichere Firmware hat. Dadurch ist keine neuerliche Inbetriebnahme der
Sicherheitsfunktion erforderlich, wenn die Standard Firmware geändert wird.
SICAM RTUs, SAFETY
39
3.4
Erkennbarkeit von Safety-Produktbestandteilen
Safety-Bestandteile eine SICAM RTUs mit der Funktion SICAM Safety sind anhand folgender
Merkmale eindeutig erkennbar:
40
·
Safety-Hardware
─ gelbes Gehäuse
─ gelbe Beschriftungsschilder auf den Safety I/O-Modulen
─ gelbe Frontplatte für CPU-Baugruppe
(SICAM AK 3 Basissystemelement CP-2019/PCCX26)
─ gelber Beschriftungsstreifen auf CPU-Baugruppe
(SICAM AK Basissystemelement CP-2017/PCCX25)
─ gelber Aufkleber auf SICAM TM Steuerkopfelement (CP-6014/CPCX65)
─ TÜV-Süd-Prüfzeichen
─ Firmenanschrift am Gehäuse
·
Safety-Dokumentation
─ Eindeutige Erkennbarkeit von Safety-relevanten Bestandteilen in Grafiken durch gelbe
Darstellung.
·
Safety-Firmware
─ Safety-Module in SICAM TOOLBOX II sind gelb
─ Safety-Applikation (Systemelement AP-0771/SPLC01 bzw. Knoten "Safety
Applikationen" in Bibliotheksübersicht) in SICAM TOOLBOX II ist gelb.
─ Safety-CAEx Bausteine in SICAM TOOLBOX II sind gelb
─ Safety-Parameter werden im Tool "Safety V&V" angezeigt
·
Safety-Produktinformationen
─ Safety-relevante Produkte sind im Produktinformationssystem ISI-web am Ende der
Bezeichnung mit (S) gekennzeichnet.
SICAM RTUs, SAFETY
3.5
Systemgrenzen
Wert / Anzahl
Maximale Anzahl der Peripheriekoppelelemente im SICAM AK 3 und SICAM AK mit der
Funktion SICAM Safety
16
Maximale Anzahl der Peripheriekoppelelemente im SICAM TM mit der Funktion SICAM
Safety
16
Maximale Anzahl der Safety-I/O Module je Peripheriekoppelelement
8 *)
Maximale Anzahl der AI-6370 je Peripheriekoppelelement
4
Maximale Anzahl der DO-6270 je Peripheriekoppelelement
4
Maximale Anzahl der Safety-I/O Module
128
*) Nur bei Modulen mit einfacher Modulbreite.
Bei Verwendung von Modulen mit doppelter Modulbreite (z.B. DO-6270) verringert sich diese Anzahl.
Das Peripherieelement darf maximal 8 einfache Modulebreiten lang sein.
Mengengerüst der sPLC (Safety-Steuer- und Regelfunktion)
Maximale Größe des Anwenderprogramms (kompilierter Code)
128 kB
Maximale Größe des Anwenderprogramms (Interpretierter Code)
448 kB
Anzahl der periodischen Tasks
1
Maximale Anzahl an Typinstanzen
32
Maximale Anzahl der spontanen Eingangstelegramme
256
Maximale Anzahl der spontanen Ausgangstelegramme
256
Maximale Anzahl der sicheren Verbindungen zwischen Safety-PLC‘s
127
SICAM RTUs, SAFETY
41
3.6
Safety-Firmware AP-0771/SPLC01
Das Systemelement AP-0771/SPLC01 wird in SICAM AK 3 auf dem Systemelement
CP-2019/PCCX26, in SICAM AK auf dem Systemelement CP-2017/PCCX25 und in SICAM
TM auf dem Systemelement CP-6014/CPCX65 bestückt. Auf ihm wird die mit CAEx plus und
CAEx safety erstellte Safety-Applikation (Steuer- und Regelfunktion / Funktionsplan) abgelegt.
Diese Firmware beinhaltet Sicherheitsmechanismen wie z.B.:
·
·
·
·
·
·
·
·
·
·
·
42
Disable/Enable Schutz während des Programmlaufs
Doppelte, diversitäre Programmabarbeitung
CPU Test
FPU Test (Floating Point Unit)
RAM Test
Code Speichertest und Parameter Speichertest
Stack Test
PROFIsafe Mechanismen
Zur Sicherung der Datenübertragung zwischen der Safety-Applikation und den Safety-I/O
Modulen wird das PROFIsafe Protokoll (IEC 61784-3-3) verwendet.
Getrennte mit einer MMU geschützte Speicherbereiche
Logische Programmlaufüberwachung
Zeitliche Programmlaufüberwachung
SICAM RTUs, SAFETY
3.7
Safety-Applikation sPLC (Anwenderprogramm)
Die Safety-Steuer- und Regelfunktion (sPLC) für Automatisierungsfunktionen wird mit
CAEx plus in Funktionsplantechnik erstellt.
Die Systemreaktionszeit einer Safety-Applikation (von der Eingangssignaländerung bis zur
Ausgabe des Auslösesignals) darf 100 ms nicht überschreiten.
Die Abarbeitung des sicheren Anwenderprogramms erfolgt 2-kanalig diversitär.
Folgende Signale werden verarbeitet:
·
·
Safety periodische Informationen (2-kanalig)
Spontane Informationsobjekte
Hinweis
Standard periodische Informationen stehen auf einer sPLC nicht zu Verfügung.
Die sPLC läuft parallel zur Standard Steuer- und Regelfunktion (PLC).
SICAM RTUs, SAFETY
43
3.8
Standard-Firmware PCCX26, PCCX25 und CPCX65
Diese Firmwares beinhalten:
·
·
·
·
·
·
·
·
·
44
Kommunikationsfunktion
─ Organisation des Datenflusses zu den Kommunikationsschnittstellen
─ Datenspeicherung in zielselektiven Prozessabbildern
─ Prioritätssteuerung
─ spontane serielle Kommunikation über bis zu 4 unabhängige serielle Schnittstellen
oder spontane LAN/WAN-Kommunikation über Ethernet zu beliebigen über- bzw.
untergeordneten Automatisierungseinheiten
Knotenfunktionen (nur PCCX26, PCCX25)
─ Ankopplung an den Knotenbus
─ Organisation des Datenflusses von und zu den auf dem Basissystemelement
einsetzbaren Peripherieelementen und Kommunikationsschnittstellen
─ Verteilung der Telegramme frei parametrierbar
Betriebssystem MQX
Zusatzbaugruppenfunktionen
─ Ankopplung an den Zusatzbaugruppenbus
─ Organisation des Datenflusses von und zu den auf dem Zusatzbaugruppen
Telegramme frei parametrierbar
Ax Bus Treiber
Periodische und spontane Kommunikation mit SICAM AK 3, SICAM AK und SICAM TM –
Peripherieelementen mit IEC-Funktionalität über den seriellen Ax 1703-Peripheriebus (bis
zu 16 Peripherieelemente)
Standard Steuer- und Regelfunktion (PLC)
für Automatisierungsfunktionen in Funktionsplantechnik mit CAEx plus.
Spontane Datenweitergabe von und zu Peripherieelementen
Synchronisierfunktion für Befehlsprozedur (DI-DO-Kopplung)
(für reinrassige Peripheriebaugruppen erfolgt diese Steuerung auf dieser Firmware
automatisch)
Schnittstelle zur Safety-Firmware
SICAM RTUs, SAFETY
3.9
Safety-Kommunikation zwischen BSE und Safety-I/O
Modulen
Für die sicherheitsgerichtete Kommunikation zwischen dem Basissystemelement und den
Safety-I/O-Modulen ist ein Safety-Layer über den Standard Kommunikationskanal
implementiert. Dabei dient der Standard-Kommunikationskanal als Transportmedium für die
sicherheitsgerichteten Telegramme.
Der Safety-Layer
Die Übertragung der Prozessabbilder und spontanen Informationen zwischen dem
Basissystemelement und den I/O-Modulen erfolgt über den Ax 1703 Peripheriebus und den
TM-Bus. Der Ax 1703 Peripheriebus stellt die Kommunikation zwischen dem
Basissystemelement und dem Peripheriekoppelmodul zur Verfügung, während der TM-Bus
für die Kommunikation zwischen dem Peripheriekoppelmodul und den I/O-Modulen zuständig
ist.
Die sichere Kommunikation entspricht dem PROFIsafe – Profile for Safety-Technology IEC
61784-3-3 on PROFIBUS DP and PROFINET I/O.
SICAM RTUs, SAFETY
45
3.10
Safety-Kommunikation zwischen zwei Safety-PLC’s
Über einen sicheren Kommunikationskanal zwischen zwei Safety-PLC´s (sichere
Anwenderprogramme) werden periodisch Prozessdaten ausgetauscht. Dieser ist als Punktzu-Punkt Verbindung nach dem Master-Slave Prinzip realisiert. Die Endpunkte der Punkt-zuPunkt Verbindung bilden „Safety-Kommunikationsmodule“ im Safety-Anwenderprogramm,
welche einmal als Master und einmal als Slave konfiguriert werden. Die Safety-PLC´s können
in verschiedenen aber auch in der selben Automatisierungseinheit konfiguriert sein. Der
Übertragungsweg zwischen den beiden Endpunkten wird als schwarzer Kanal definiert.
Beispiel 1: Safety-Kommunikation zwischen zwei SICAM AK 3 oder SICAM AK (AE1 +
AE2) und gesicherte Kommunikation von AE1 zu SICAM TM
Peripherieelementen
**)
Verarbeitungs- und
*)
AP-0771/SPLC01
sKM
sPLC Safety
PLC Standard
SL
AE2
Knotenbus
Safety Layer
Protokollemement
SL
SL
Protokollemement(e)
Verarbeitungs- und
Protokollemement
*)
Protokollemement(e)
SL
Safety Layer
AE1
AP-0771/SPLC01
Steuerkopfelement
PLC Standard
Knotenbus
sPLC Safety
sKM
Safety Layer
spontane Daten
*)
46
Safety Layer
PE-641x
DI-6170, DO-6270, AI-6370
TM bus
Safety Layer
Ax Peripheriebus
**)
SICAM TM I/O Module
Steuerkopfelement
USIO66
weitere
Peripherieelemente
**)
Prozess
SICAM RTUs, SAFETY
Beispiel 2: Safety-Kommunikation zwischen SICAM TM (AE1) und SICAM AK 3 oder
SICAM AK (AE2) und gesicherte Kommunikation von AE1 zu SICAM TM
Peripherieelementen
Steuerkopfelement
**)
Verarbeitungs- und
*)
AP-0771/SPLC01
sKM
AE2
PLC Standard
Knotenbus
sPLC Safety
Safety Layer
SL
Protokollemement
Protokollemement
Safety Layer
AE1
AP-0771/SPLC01
PLC Standard
sPLC Safety
sKM
Safety Layer
spontane Daten
sKM ... safety Kommunikationsmodul
*)
Safety Layer
PE-641x
DI-6170, DO-6270, AI-6370
TM bus
Safety Layer
Ax Peripheriebus
SICAM TM I/O Module
CP-6014/CPCX65
USIO66
weitere
Peripherieelemente
**)
Prozess
Der sichere Kommunikationskanal ist durch folgende Kenngrößen definiert:
·
·
·
·
Konfiguration:
─ singulärer Kommunikationskanal
─ redundanter Kommunikationskanal
Parametrierung des Kommunikationsmoduls im Anwenderprogramm (CAEx plus):
─ Zuordnung der Gegenstelle
─ Definition des zeitlichen Verhaltens
─ Zuordnung der Prozessdaten
Übertragung der Prozessdaten:
─ periodisch mit einstellbarem Raster
─ spontan durch Applikation gesteuert
─ mehrere Kommunikationskanäle zu einer Gegenstelle
Sicherung der Übertragung:
─ Datensicherung durch PROFIsafe (SIL 3)
─ Datenaktualität durch Watchdogfunktion
─ Retrybehandlung bei Kommunikationsstörungen
SICAM RTUs, SAFETY
47
·
3.10.1
Diagnosefunktionen und Fehleraufdeckung:
─ Verhalten bei Kommunikationsfehler
─ Verhalten bei Systemfehler
Konfiguration des Kommunikationskanals
3.10.1.1 Singulärer Kommunikationskanal
Ein singulärer „Sicherer-Kommunikationskanal“ stellt eine Punkt-zu-Punkt Verbindung
zwischen 2 Safety-PLC‘s her. In diesem Fall wird 1 PROFIsafe Kanal verwendet, der die
„Standard-Kommunikationsstrecke“ sichert. Die Anzahl der Verbindungen ist mit 127 Kanälen
begrenzt, wobei maximal 126 Master Kommunikationskanäle bestückt werden können.
Fällt die Kommunikationsverbindung aus, so wird der Ausgang „State“ der singulären
Kommunikationsmodule, die den Kommunikationskanal repräsentieren, nach Ablauf eines
Timeouts (WatchdogTime) auf FALSE gesetzt.
SICAM AK 3 oder SICAM AK (AE1)
Verarbeitungs- und Kommunikationselement
*)
AP-0771/SPLC01
Anwenderprogramm
Kommunikationsmodul - Master
Sa
r
fe
ty aye
La
y
t ye
fe
r
Sa
Kommunikationsmodul - Slave
Anwenderprogramm
AP-0771/SPLC01
*)
48
*)
SICAM RTUs, SAFETY
3.10.1.2 Redundanter Kommunikationskanal
Ein redundanter „Sicherer-Kommunikationskanal“ stellt eine Punkt-zu-Punkt Verbindung
zwischen 2 redundanten Safety-PLC‘s her. In diesem Fall werden 2 PROFIsafe Kanäle
(redundantes Kommunikationsmodul) verwendet, die die „Standard-Kommunikationsstrecken“
sichern.
Die folgende Abbildung zeigt eine mögliche Konfiguration für eine redundante sichere
Kommunikation. Diese Konfiguration zeigt eine singuläre "Kopfstation" mit 2 redundanten
Unterstationen. Es kann jedoch auch die Kopfstation redundant betrieben werden.
Die redundanten Safety-PLC´s müssen gleich parametriert sein. Es wird zu beiden
Automatisierungseinheiten eine PROFIsafe Verbindung aufgebaut. Der „Voter“ des
redundanten Kommunikationsmoduls entscheidet von welchem der beiden
Kommunikationskanäle die Empfangsdaten an das Anwenderprogramm weitergegeben
werden. Dieser Voter des Kommunikationsmoduls greift nach Aufdeckung von
Kommunikationsproblemen in einem Empfangskanal auf den anderen Empfangskanal zu und
die sichere Kommunikationsverbindung läuft ohne Ausfall weiter.
*)
AP-0771/SPLC01
Kommunikationsmodul - Master
La
ye
r
Anwenderprogramm
Anwenderprogramm
AP-0771/SPLC01
AP-0771/SPLC01
*)
passiv
*)
r
La
Sa
fet
y
ty
e
Lay
ety
r
aye
Sa
fe
Saf
yL
fet
Sa
ye
r
Anwenderprogramm
aktiv
Redundanzumschaltung
*)
SICAM RTUs, SAFETY
49
Die Umschaltung (Voter) erfolgt nach folgenden Prioritäten:
·
·
Priorität 1:
Fällt eine Kommunikationsstrecke aus, so wird das Prozessabbild (PAB) der anderen
Steuerung dem Anwenderprogramm weitergegeben (höchste Priorität). Der Ausfall wird
durch den PROFIsafe Stack erkannt.
Priorität 2:
Für das Voting muss die Applikation mittels des Parameters „UserPriority“ eine Priorität
vergeben, z.B.: Ausfall eines Safety-I/O-Modules auf einer der redundanten Safety-PLC‘s:
das UserPriority-Flag muss durch das Anwenderprogramm auf FALSE gesteuert werden.
Für den Fehlerfall, dass beide redundanten Steuerungen als „AKTIV“ oder „PASSIV“
geschaltet sind, wird das Voting mittels des Parameters „UserPriority“ gesteuert. In allen
anderen Fehlerfällen wird der zuletzt gültige Voting-Zustand beibehalten.
Hinweis
Der Parameters „UserPriority“ muss von der Applikation defaultmäßig gesetzt werden,
da sonst keine Unterscheidung zwischen den redundanten AEs möglich ist.
·
·
50
Priorität 3:
Fällt die aktive Kommunikationsstrecke aus, so wird das Prozessabbild der passiven
Steuerung der Applikation weitergegeben.
Hier handelt es sich aber nur um ein Vorzugsvoting, da in beiden Kanälen immer die
aktuellen Prozessdaten übertragen werden. Die AKTIV/PASSIV Kennung der
Redundanzumschaltefunktion wird in den „Systemdaten“ der sicheren Prozessdaten
übertragen.
Priorität 4:
Sind beide Kommunikationsstrecken ungültig oder ausgefallen, so werden die
Prozesswerte und der Ausgang „State“ in den sicheren Zustand gebracht.
SICAM RTUs, SAFETY
3.10.2 Parametrierung im Anwenderprogramm (CAEx plus)
Die Parametrierung der sicheren Kommunikationsverbindung erfolgt durch die sicheren
Kommunikationsmodule im Anwenderprogramm (SICAM TOOLBOX II / CAEx plus).
Die folgende Abbildung zeigt das Layout der Safety-Kommunikationsmodule (singulär /
redundant) mit den möglichen Parametern (Ein- Ausgänge des Moduls).
SI_COM_RED_16BOOL_8REAL
Master
State
DestRegNr
SI_COM_16BOOL_8REAL
State
Master
RecOS_Stop
DestCompNr
RecOS_Test
RecOS_Run
RecOS_Test
RecOS_Run
DestZSENr
DestRedRegNr
DestRedCompNr
DestRedBSENr
DestZSENr
ID
SendSpontan
SendCycleTime
WatchdogTime
DestBSENr
ID
DestRegNr
DestBSENr
DestCompNr
RecOS_Stop
DestRedZSENr
RecSpontan
SendSpontan
SendCycleTime
WatchdogTime
RecSpontan
RecDataDis
UserPriority
RecDataDis
SendBOOL_00
SendBOOL_01
SendBOOL_02
RecBOOL_00
RecBOOL_01
SendBOOL_00
SendBOOL_01
RecBOOL_00
RecBOOL_01
RecBOOL_02
RecBOOL_03
RecBOOL_04
RecBOOL_05
RecBOOL_06
RecBOOL_07
RecBOOL_08
RecBOOL_09
SendBOOL_02
SendBOOL_03
RecBOOL_02
SendBOOL_03
SendBOOL_04
SendBOOL_05
SendBOOL_06
SendBOOL_07
SendBOOL_08
SendBOOL_09
SendBOOL_10
SendBOOL_11
SendBOOL_12
SendBOOL_13
SendBOOL_14
SendBOOL_15
RecBOOL_10
RecBOOL_11
RecBOOL_12
RecBOOL_13
RecBOOL_14
RecBOOL_15
SendBOOL_10
SendBOOL_11
SendBOOL_12
SendBOOL_13
SendBOOL_14
SendBOOL_15
SendREAL_00
SendREAL_01
SendREAL_02
RecREAL_00
RecREAL_01
RecREAL_02
SendREAL_00
SendREAL_01
SendREAL_02
RecREAL_00
RecREAL_01
RecREAL_02
SendREAL_03
SendREAL_04
SendREAL_05
SendREAL_06
SendREAL_07
RecREAL_03
RecREAL_04
RecREAL_05
RecREAL_06
RecREAL_07
SendREAL_03
SendREAL_04
SendREAL_05
SendREAL_06
SendREAL_07
RecREAL_03
RecREAL_04
RecREAL_05
RecREAL_06
RecREAL_07
SendBOOL_04
SendBOOL_05
SendBOOL_06
SendBOOL_07
SendBOOL_08
SendBOOL_09
RecBOOL_03
RecBOOL_04
RecBOOL_05
RecBOOL_06
RecBOOL_07
RecBOOL_08
RecBOOL_09
RecBOOL_10
RecBOOL_11
RecBOOL_12
RecBOOL_13
RecBOOL_14
RecBOOL_15
3.10.2.1 Konfigurationsparameter
3.10.2.1.1 Zuordnung der Gegenstelle
Master
Grundsätzlich wird ein Kommunikationskanal durch jeweils einen Master- und einen SlaveModul definiert.
Dest Adresse
Die eindeutige Zieladresse des jeweiligen Kommunikationspartners wird aus
·
·
·
·
DestRegNr
DestCompNr
DestBSENr
DestZSENr
SICAM RTUs, SAFETY
[0 .. 249]
[0 .. 254]
[1 .. 16,20]
[128 .. 131]
(Regionsnummer)
(Komponentennummer)
(BSE-Nummer)
(ZSE Nummer)
51
·
ID
[0..126]
Instance ID des Kommunikationsmoduls der
Zieladresse
gebildet.
Im Falle eines redundanten Kommunikationskanals wird eine zweite (redundante) Zieladresse
des Kommunikationspartner
·
·
·
·
DestRedRegNr
DestRedCompNr
DestRedBSENr
DestRedZSENr
[0 .. 249]
[0 .. 254]
[1 .. 16,20]
[128 .. 131]
(Regionsnummer)
(Komponentennummer)
(BSE-Nummer)
(ZSE Nummer)
parametriert. Als ID wird dieselbe verwendet.
Zusätzlich muss von der Anwendung für das Voting bei redundanter Kommunikation ein Flag
für die Gültigkeit der Prozessdaten versorgt werden:
Im Falle eines redundanten Kommunikationskanals können die Prozessdaten als höherprior
markiert werden. Diese Information ist eine Eingangsinformation für den Voter.
UserPriority[SAFEBOOL]:
TRUE = Prozessdaten sind höherprior
FALSE = Prozessdaten sind niederprior
3.10.2.1.2 Definition des zeitlichen Verhaltens
Watchdog Time
Der Parameter WatchdogTime legt die Obergrenze für die zeitliche Überwachung (Timeout)
der zyklischen Kommunikation fest.
Wertebereich:
100 ms – 655 sec (10 min 55 sec)
SendCycleTime
Der Parameter SendCycleTime legt das periodische Raster für das Senden des
Systemdatencontainers mit den Prozessdaten fest.
Wertebereich:
50 ms – 300 sec (5 min)
Diese wird nur vom Master bewertet, muss aber kleiner als die Watchdog-Zeit sein.
52
SICAM RTUs, SAFETY
3.10.2.1.3 Änderung der Parameterwerte im Betrieb
Master + Dest-Adresse + ID
Die Konfigurationsparameter „Master“ + „Destination Adresse“ + „ID“ bilden den eindeutigen
KEY des Kommunikationskanals. Wird einer dieser Konfigurationsparameter durch das
Anwenderprogramm geändert, so handelt es sich um eine neue Kommunikationskanal
Instanz die neu konfiguriert wird. Dazu muss auch eine entsprechende Gegenstelle im Netz
verfügbar sein.
Watchdog Time
Der Parameter Watchdogtime ist ein Konfigurationsparameter des PROFIsafe Kanals und
kann im Betrieb nicht übernommen werden. Wird diese trotzdem geändert, so wird ein
interner Fehler gesetzt der nur durch einen Reset wieder gelöscht wird.
SendCycleTime
Dieser Konfigurationsparameter wird im Betrieb übernommen und wird nach dem Senden des
nächsten Telegramms automatisch aktiv.
3.10.2.2 Simulationsmode
Der Parameter RecDataDis dient dazu, die Empfangsdaten für Simulationszwecke (OnlineTest) zu deaktivieren.
Dieser Eingang unterdrückt die Ausgabe der Empfangsdaten. Über ein Onlinetestfeld im
CAEx plus Onlinetest, welches an den jeweiligen Ausgang des Kommunikationsmoduls
angeschlossen ist, kann der Ausgang simuliert werden.
Achtung
Der Simulationsmode „RecDataDis“ wird nur im Betriebszustand „STOP“ und „TEST“ bewertet.
Im Zustand RUN werden die Ausgänge immer weitergegeben.
3.10.2.3 Zuordnung der Prozessdaten
Die Sendxxx und Recxx Ein- Ausgänge legen die zu übertragenden Prozessdaten fest.
Je nach Modultyp können bis zu
─ n boolsche Meldungen
─ o Real Messwerte
übertragen werden.
Varianten der Kommunikationsmodule:
Name
Anzahl
SAFEBOOL
Anzahl
SAFEREAL
SI_COM_16BOOL_16REAL
16
8
SI_COM_RED_16BOOL_16REAL
16
8
SICAM RTUs, SAFETY
53
Die zu übertragenden Prozessdaten werden über Eingänge des Kommunikationsmoduls
bereitgestellt und von den Sendefunktionen zur Gegenstelle übertragen. Die empfangen
Prozessdaten von der Gegenstelle werden über Ausgänge des Kommunikationsmoduls dem
Anwenderprogramm weitergegeben.
3.10.2.4 Betriebszustand der Gegenstelle
Zusätzlich zu den Prozessdaten wird der Betriebszustand der Gegenstelle sicher übermittelt
und über entsprechende Ausgänge
·
·
·
RecOS_Stop,
RecOS_Test,
RecOS_Run
dem Anwenderprogramm zur Verfügung gestellt.
Der Ausgangs „State“ wird bei aufrechter sicherer Kommunikation auf TRUE gesetzt.
3.10.2.5 Kommunikationsstatus
Der Ausgangs „State“ zeigt den Verbindungszustand des Kommunikationskanals an.
State = TRUE Kommunikationskanal ist aktiv, Prozessdaten werden ausgetauscht.
(bei redundanter Konfiguration zumindest ein Kommunikationskanal)
State = FALSE Kommunikationskanal ausgefallen, Prozessdaten im sicheren Zustand
(bei redundanter Konfiguration beide Kommunikationskanäle)
54
SICAM RTUs, SAFETY
3.10.3
Übertragung der Prozessdaten
3.10.3.1 Periodisch mit einstellbarem Raster
Das Kommunikationsmodul / Master sendet im Raster der „SendCycleTime“ die Prozessdaten
des Masters an das Kommunikationsmodul / Slave. Das Kommunikationsmodul / Slave
empfängt die Prozessdaten, gibt sie dem Anwenderprogramm weiter und sendet als Antwort
die eigenen Prozessdaten dem Master. Somit erfolgt ein periodischer Prozessdatenaustausch
zwischen Master und Slave.
Das Kommunikationsmodul / Slave wertet den Parameter „SendCycleTime“ nicht aus.
3.10.3.2 Spontan durch Applikation gesteuert
Eine positive Flanke des Parameters SendSpontan bewirkt, dass die Informationen spontan
vor Ablauf der Sendezykluszeit gesendet werden. Der Erhalt von spontanen Informationen
wird durch den Ausgangsparameter RecSpontan signalisiert. In diesem Fall wird keine
Antwort von der Gegenstelle gesendet.
z.B. Übertragung einer Notaus Information
SICAM RTUs, SAFETY
55
3.10.3.3 Zeitliches Verhalten
Das nachfolgende Diagramm zeigt den zeitlichen Verlauf der Kommunikationstelegramme bei
einem singulären Kommunikationskanal.
Es wird das Senden der Prozessdaten im periodischen Raster (Master / Slave
Telegrammaustausch) sowie das Senden einer spontanen Prozessdatenweitergabe (sowohl
für Master als auch Slave) dargestellt.
Weiters zeigt es das Retryverhalten bei Störung und Ausfall der Kommunikationsverbindung
und das Verhalten des Statusausgängen (Kommunikation ok/nok) des
Kommunikationsmoduls.
CycleTime
20ms
MASTER
Zyklus
Anwenderprogramm
SendCycleTime
100ms
Daten senden
(Systemtelegramm)
Daten empfangen
(Systemtelegramm)
Watchdog
retrigger
Watchdog
retrigger
Watchdog
retrigger
Watchdog
retrigger
WatchdogTime
240ms
Watchdog
retrigger
Kommunikationsmodul
Status Ausgang
STÖRUNG
Datenleitung
AUSFALL
SLAVE
Zyklus
Anwenderprogramm
Daten empfangen
(Systemtelegramm)
Daten senden
(Systemtelegramm)
Watchdog
retrigger
Watchdog
retrigger
Watchdog
retrigger
Watchdog
retrigger
Watchdog
retrigger
WatchdogTime
240ms
Kommunikationsmodul
Status Ausgang
100ms
56
200ms
300ms
400ms
500ms
600ms
700ms
800ms
900ms
SICAM RTUs, SAFETY
3.10.4
Sicherung der Übertragung
3.10.4.1 Sicherung durch PROFIsafe
Der sichere Kommunikationskanal ist über Systemdatenkontainer realisiert, welche durch den
PROFIsafe Stack gesichert sind. Durch die PROFIsafe Sicherung an Quelle und Ziel (SafetySPLC Funktion) wird die Kommunikationsverbindung als „black channel“ definiert, wodurch
die Kommunikationsstrecke nicht sicherheitsrelevant ist. Die implementierten
Sicherungsalgorithmen des PROFIsafe Stacks sind nach SIL 3 zertifiziert.
Daher können alle bestehenden Kommunikationsprotokolle (z.B. Fast Ethernet IEEE 802.3
10/100, serielle Protokolle) genutzt werden. Es ist jedoch eine Frage der Bandbreite des
Protokolls, in welchem periodischen Raster der sichere Kommunikationskanal betrieben
werden kann.
3.10.4.2 Datenaktualität über Watchdogfunktion
Die sichere Komunikationsverbindung hat eine Timeouterkennung (Watchdogfunktion)
inkludiert. Bei Empfang eines Systemdatencontainers wird der Timer für die Überwachung der
Watchdogzeit retriggert (Parameter WatchdogTime). Wird in diesem Zeitfenster kein weiterer
Systemdatenkontainer empfangen, so wird die sichere Kommunikationsverbindung beendet
(„State“ Ausgang = FALSE) und die Prozesswerte nehmen den sicheren Zustand ein. („State“
Ausgang = FALSE).
Achtung
Der Parameter WatchdogTime muss immer größer sein als die Sende Zykluszeit „SendCycleTime“,
andernfalls wird eine Diagnose abgesetzt. Es wird mindestens ein Faktor 2 zwischen WatchdogTime und
SendCycleTime empfohlen.
3.10.4.3 Retrybehandlung bei Kommunikationsstörungen
Um die Verfügbarkeit der sicheren Kommunikationsverbindung zu erhöhen werden bei
kurzeitigen Kommunikationsausfällen Retries gesendet. Die Anzahl der Retries kann über die
Parameter „SendCycleTime“ bzw. „WatchdogTime“ gesteuert werden. Ist die „WatchdogTime“
um den Faktor 3 (+ Reserve) größer als die „SendCycleTime“, so können 2
Systemdatenkontainer verloren gehen.
Achtung
Der Parameter WatchdogTime bestimmt die Systemreaktionszeit der sicheren
Kommunikationsverbindung.
3.10.4.4 Sicherer Zustand bei Kommunikationsausfall
Fällt die Verbindung aus, so werden die Ausgänge in den sicheren Zustand geschalten:
─ Ausgangs „State“ = FALSE
─ Ausgänge des Betriebszustandes
RecOS_Stop = TRUE
RecOS_Test = FALSE
RecOS_Run = FALSE
SICAM RTUs, SAFETY
57
─ Ausgang „RecSpontan“ = FALSE
─ Prozessdatenausgänge
RecBOOL_xx = FALSE
RecREAL_xx = 0
3.10.5
Diagnosefunktion zur Fehleraufdeckung
3.10.5.1 Verhalten bei Systemfehler
Tritt ein Systemfehler auf, so wird die Safety-Applikation in den Betriebszustand KILL
geschalten. In diesem Fall wird die Safety-PLC nicht mehr abgearbeitet und somit werden
auch keine periodischen Prozessdaten mehr gesendet. Dadurch erkennt die Gegenstelle
einen Kommunikationsausfall.
Fehlerart
Grund / Ursache des Fehlers
Reaktion auf den Fehler
Allgemeiner Systemfehler der
Safety-Applikation
Wird die Safety-Applikation
durch einen anderen Fehler in
den Betriebszustand KILL
geschalten, so wird auch die
Safety-Kommunikation
automatisch nicht mehr
abgearbeitet.
Systemfehler
Betriebszustand „KILL“
2 Kommunikationsmodule mit
gleicher Destination Adresse
parametriert
Der Schlüssel zur Identifizerung
der Module ist die
Destinationadresse + ID.
In jedem Zyklus wird die
Eindeutigkeit der
Destinationadresse geprüft.
Systemfehler
Betriebszustand „KILL“
Zu viele
Kommunikationsmodule
parametriert
Die Anzahl der
Kommunikationsmodule wird
bereits während der CAEx plus
Codegenerierung geprüft.
Die Codegenerierung wird mit
einer entsprechenden
Fehlermeldung abgebrochen
Weiters unterliegt die Safety-Kommunikationsfunktion den Standard
Fehlererkennungsmechanismen des PROFIsafe Stacks.
58
SICAM RTUs, SAFETY
3.10.5.2 Verhalten bei Kommunikationsfehler
Tritt ein Parameterfehler in einem Kommunikationsmodul auf, so wird dieses
Kommunikationsmodul nicht Ready geschalten und der State Ausgang auf FALSE gesetzt.
Die Ausgangsdaten des Moduls werden in den sicheren Zustand geschalten.
Fehlerart
Grund / Ursache des Fehlers
Reaktion auf den Fehler
Prüfung der Destination
Adresse auf Plausibilität.
Regionsnummer,
Komponentennummer, BSE
Nummer und ZSE Nummer
müssen im gültigen Bereich liegen.
State Ausgang = FALSE
Fehler in der
Parametrierung der
„WatchdogTime“.
Die „WatchdogTime“ muss größer
als die „SendCycleTime“
parametriert sein.
Änderung der
„WatchdogTime“ im
Betrieb.
Die Änderung kann im Betrieb
nicht übernommen werden, da es
sich um einen
Konfigurationsparameter des
PROFIsafe Slaves handelt.
Eintrag in die Diagnosebehandlung
mit Klartextdiagnose im Tool.
Kommunikationsmodule
werden von 2 Quellen
adressiert.
Die Quelladresse des
empfangenen Telegramms wird
geprüft.
Wird das Kommunikationsmodul
auch von einer falschen Quelle
adressiert, so wird dieses
Telegramm verworfen.
Kommunikationsmodul
wird von einer falschen
Quelle adressiert.
Wird das Kommunikationsmodul
auch von einer falschen Quelle
adressiert, so wird dieses
Telegramm verworfen.
Typ des
Kommunikationsmoduls
zwischen Master und
Slave inkonsistent.
Im SafetyKommunikationstelegramm ist
auch der Typ des
Kommunikationsmoduls
eingetragen.
Dieser wird beim Empfang des
Kommunikationstelegramms
überprüft.
SICAM RTUs, SAFETY
Anwender muss Reset auslösen.
59
3.10.6
Anforderungen an das Anwenderprogramm
Der sichere Kommunikationskanal überträgt Prozessdaten zwischen 2 Safety-PLC´s. Der
sichere Zustand eines Kommunikationskanals ist durch den Ausgang „State = FALSE“ und
„Prozessdaten = 0“ definiert. Ansonsten wird durch das System keine Aktion durchgeführt,
z.B: Abschalten der lokalen sicheren Ausgänge. Dies obliegt dem Anwenderprogramm.
Daher sind im Anwenderprogramm folgende Vorkehrungen zu treffen:
·
Bei Ausfall des Kommunikationskanals
Sollte der sichere Zustand der Prozessdaten nicht automatisch die Logik für den sicheren
Ausgang abschalten, dann muss der Zustand des State Ausgang in der Logik mitverknüpft
werden.
Achtung
Die Bewertung dieser Ausfälle in Verbindung mit Fehlererkennungsmaßnahmen der
Firmware definiert den sicheren Zustand des Gesamtsystems.
·
·
·
Betriebszustand „STOP“ der Gegenstelle
Sind auf der Gegenstelle die Ausgänge durch den Betriebszustand „STOP“ deaktiviert,
und hat dieser Zustand auch Auswirkungen auf die lokalen Ausgänge der Safety-PLC, so
muss der Betriebszustand STOP in der Logik mitverknüpft sein.
Wiederanlaufsperre nach gehendem Kommunikationsausfall
Die Safety-PLC stellt für den Wiederanlaufschutz eine automatische Funktion zur
Verfügung. Siehe Kapitel Automatisch mit Wiederanlaufsperre.
Dieser Parameter hat jedoch auf die Safety-Kommunikationskanäle keinen Einfluss. Die
Wiederanlaufsperre für gehende Kommunikationsausfälle muss im Anwenderprogramm
realisiert werden.
Wischermeldungen bei periodischer Übertragung
Kurze Meldungswischer (z.B. ein 20 ms High Signal) werden bei einer periodischen
Übertragung (z.B. im 100ms) Raster nicht übertragen. Sie werden nur zufällig übertragen,
wenn zum Übertragungsanreiz gerade der 20ms Wischer ansteht.
Um diese Meldungen zu übertragen, muss im Anwenderprogramm eine applikative
Wischerbehandlung implementiert werden.
Safety-Kommunikation – Anwenderprogramm Wischerbehandlung
MASTER
SLAVE
SI_COM_16BOOL_8REAL
TRUE
Master
State
60
State
DestRegNr
RecOS_Stop
DestCompNr
RecOS_Test
RecOS_Run
DestCompNr
RecOS_Test
RecOS_Run
SendSpontan
SendCycleTime
WatchdogTime
DestBSENr
DestZSENr
ID
RecSpontan
RecDataDis
S
TRUE
R
Master
RecOS_Stop
DestZSENr
ID
20 ms
pulse
FALSE
DestRegNr
DestBSENr
SIGNAL
SI_COM_16BOOL_8REAL
SendSpontan
SendCycleTime
WatchdogTime
RecSpontan
RecDataDis
SendBOOL_00
SendBOOL_01
RecBOOL_00
RecBOOL_01
SendBOOL_00
SendBOOL_01
RecBOOL_00
RecBOOL_01
SendBOOL_15
RecBOOL_15
SendBOOL_15
RecBOOL_15
SICAM RTUs, SAFETY
3.11
Basissystemelement CP-2016 für SICAM AK 3
·
·
·
·
Steuerkopfelemente von SICAM AK 3 (M-CPU)
nicht Safety-relevant
zentrale Systemfunktionen
SICAM TOOLBOX II Anschluss
Detaillierte Informationen zu diesem Systemelement finden Sie in folgenden Dokumenten:
3.12
Dokumentname
Sachnummer
MC2-024-2
DC2-027-2
Basissystemelement CP-2014 für SICAM AK
·
·
·
·
Steuerkopfelemente von SICAM AK (M-CPU)
zentrale Systemfunktionen
SICAM TOOLBOX II Anschluss
Dokumentname
Sachnummer
MC2-020-2
DC2-016-2
SICAM RTUs, SAFETY
61
3.13
Basissystemelement CP-2019/PCCX26 für SICAM AK 3
Auf dem Basissystemelement CP-2019/PCCX26 laufen die
·
·
Standard Firmware PCCX26
Diese Firmware beinhaltet die Standard Funktionen (Standard-PLC,
Kommunikationsfunktion + lokale Systemfunktionen) und ist daher nicht Safety-relevant.
Diese Firmware beinhaltet alle Safety-relevanten Funktionen (Safety-PLC +
Selbsttestfunktionen).
Beide Firmwares sind eigene Systemelemente in der SICAM TOOLBOX II und können
unabhängig voneinander in die Automatisierungseinheit geladen werden.
Die Hardware (CP-2019) ist nicht Safety-relevant.
Hinweis
Wird das Basissystemelement CP-2019/PCCX26 mit der Safety-Firmware AP-0771/SPLC01 bestückt,
muss die zugehörige Frontplatte gegen die gelbe "Safety"-Frontplatte (TC2-083) getauscht werden.
62
Dokumentname
Sachnummer
MC2-024-2
DC2-027-2
SICAM RTUs, SAFETY
3.14
Basissystemelement CP-2017/PCCX25 für SICAM AK
Auf dem Basissystemelement CP-2017/PCCX25 laufen die
·
·
Standard Firmware PCCX25
Hinweis
Wird das Basissystemelement CP-2017/PCCX25 mit der Safety-Firmware AP-0771/SPLC01 bestückt,
muss der zugehörige Bezeichnungsstreifen getauscht werden.
Dies erfolgt durch den Austausch des Standard-Bezeichnungsstreifen in der Frontplatte des Gehäuses
der Automatisierungseinheit gegen den gelben "Safety"-Bezeichnungstreifen (TC2-066).
Dokumentname
Sachnummer
MC2-020-2
DC2-016-2
SICAM RTUs, SAFETY
63
3.15
Steuerkopfelement CP-6014/CPCX65 für SICAM TM
Auf dem Steuerkopfelement CP-6014/CPCX65 laufen die
·
Standard Firmware CPCX65
·
Detaillierte Informationen zu diesem Steuerkopfelement finden Sie in folgenden Dokumenten:
Dokumentname
Sachnummer
SICAM TM Systemdatenblatt
MC6-006-2
SICAM TM CP-6014/CPCX65 Datenblatt
MC6-032-2
Hinweis
Wird das Steuerkopfelement CP-6014/CPCX65 mit der Safety-Firmware AP-0771/SPLC01 bestückt, muss
ein SICAM Safety-Aufkleber (TC6-221 / 6MF13130GC210AA0) am Gehäuse angebracht werden.
Position siehe Bild:
64
SICAM RTUs, SAFETY
3.16
PE-641x/USIO66 Peripheriekoppelmodul
·
·
·
·
·
Standard Fernwirkfunktionen
1 ms Zeitstempelung von Standard I/O-Modulen
10 ms Zeitstempelung von Safety-I/O-Modulen
Umsetzung der Safety-relevanten periodischen Informationen vom Ax-PE-Bus und TMBus
Dokumentname
Sachnummer
PE-641x/USIO66 Systemelement Datenblatt
MC6-030-2.04
SICAM RTUs, SAFETY
65
3.17
Safety-I/O-Module
3.17.1
Einleitung
Es stehen 2 Arten von Safety-I/O-Modulen zur Verfügung. Es sind dies:
·
·
Safety-Input-Module
Diese erfassen die Signalzustände von sicherheitsgerichteten Gebern und senden
entsprechende Informationen an die Safety-Applikation.
Safety-Output-Module
Diese erhalten Informationen von der Safety-Applikation und geben diese an die
Prozessperipherie weiter.
DI-6170
Binäres Eingabemodul; 8 digitale Eingänge; 24 VDC Signalspannung
DO-6270
Binäres Ausgabemodul; 4 digitale Ausgänge; 24 VDC Signalspannung
AI-6370
Analoges Eingabemodul; 4 analoge Eingänge; 4-20 mA
Detaillierte Informationen zu diesen Modulen finden Sie in folgendem Dokument:
3.17.2
Dokumentname
Sachnummer
SICAM TM I/O-Module
DC6-040-2 (ab Revision 04)
Grundkonzept
·
·
·
·
·
·
·
3.17.3
Die Safety-I/O-Module weisen eine 2-kanalige Struktur auf. Es werden zwei CPUs
eingesetzt, die über kreuzweisen Datenvergleich sich und die umgebenden
Schaltungsteile gegenseitig überwachen und mittels State-Machine einen „SuperWatchdog“ bilden.
Beide CPU’s werden durch einen eigenen HW-Watchdog überwacht. Der Ablauf eines der
beiden Watchdogs bringt sowohl die eigene als auch die andere CPU in den sicheren
Zustand.
Die Spannungsversorgung für die CPU’s bzw. deren Überwachung erfolgt ebenfalls 2kanalig, so dass eine einzelne Fehlfunktion nicht zum Fehlverhalten beider CPUs führt.
Die Einstellung der Adressierung am I/O-Modul (PBA#, IOM#) dient zur Überwachung der
richtigen Adressierung des Moduls, die durch die SICAM RTUs Systemarchitektur
gegeben ist.
Zum TM-Bus gibt es eine galvanische Trennung wodurch eine Entkopplung erreicht wird.
Alle galvanischen Verbindungen (z.B. Synchronisierung) zwischen den beiden Kanälen
werden durch Entkoppelwiderstände sicher getrennt. Diese Entkoppelwiderstände sind so
ausgelegt, dass ein Fehler in einem Kanal (Common Cause) nicht den anderen Kanal
beeinflussen kann.
LED Anzeigen: System LEDs (Ready, Safety, Error) und Prozess-LEDs
Adressierung der Safety-I/O Module
Auf den Safety-I/O Modulen befinden sich zwei Drehschalter. Mit diesen wird eingestellt, an
welcher Position des SICAM RTUs Systems der jeweilige Modul eingesetzt wird.
Der erste Drehschalter bestimmt die PBA# (=Peripheriebaugruppenadresse) und der zweite
Drehschalter bestimmt die IOM# (=Positionsnummer des Moduls auf Peripherieelement).
66
SICAM RTUs, SAFETY
Somit können die Safety-I/O Module eindeutig identifiziert werden und ein Vertauschen wird
verhindert.
Beide Nummern werden durch das Bestücken im OPM II vergeben und in die SafetyParameter eingetragen. Beim Hochlauf und im Betrieb werden die eingestellten Adressen auf
Plausibilität geprüft.
3.17.4
Überwachung der Versorgungsspannung
Die Versorgungsspannung auf den I/O-Modulen ist die Spannung, aus der die Sensoren /
Aktuatoren und die gesamte Baugruppe gespeist wird. Bei Unterschreiten oder Überschreiten
eines bestimmten Spannungsbereiches erfolgt eine Passivierung aller Kanäle. Es wird nach
Möglichkeit eine Diagnose abgesetzt und ein Power Down mit nachfolgendem Hochlauf
veranlasst.
·
·
·
·
3.17.5
Überspannung 24 VDC
Schutz gegen:
─ Zerstörung der Baugruppe
─ Undefiniertes Verhalten der Sensoren bzw. Aktuatoren
Unterspannung 24 VDC
Schutz gegen:
Überspannung 5 VDC
Schutz gegen:
─ Zerstörung der Baugruppe
Unterspannung 5 VDC
Schutz gegen:
DI-6170
Der DI-6170 stellt 8 Eingänge zur Erfassung von binären Zuständen zur Verfügung.
Die als binäre Zustände angelegten Meldungen werden über einen Spannungsteiler an die
ADC’s herangeführt und analog weiter verarbeitet. Dies gestattet einen Kreuzvergleich der
gemessenen Meldungsspannung und daher eine Überwachung in Echtzeit auf Einhaltung der
Toleranzen untereinander. Zu große Abweichungen lassen einen Schluss auf einen
Bauteilfehler zu (Kurzschluss, Wertabweichung, ADC-Fehler).
Eine parametrierbare Taktung der externen Meldespannung erlaubt die Aufdeckung diverser
(externer) Fehler.
Der sichere Zustand der Meldungseingänge ist definiert durch den Wert "0" für den
Meldungseingang und den Wert "1" für den zugehörigen Status.
3.17.6
DO-6270
Der DO-6270 stellt 4 Ausgänge zur Ansteuerung von externen Lasten zur Verfügung.
Durch die Überwachung der Geberspannung ist sichergestellt, dass die externe Last mit einer
genügend großen Spannung angesteuert wird. Durch Pulsen der Ausgangsschalter wird die
Funktion der Ausgangstreiber und der externen Verdrahtung überwacht.
SICAM RTUs, SAFETY
67
Der sichere Zustand ist durch Absteuern der Ausgänge definiert.
Es können Relais mit oder ohne Elektronik angeschlossen werden.
3.17.7
AI-6370
Der AI-6370 dient zur Messung von vier 20 mA Strömen. Die über einen Spannungsteiler an
den ADC herangeführten Messwerte werden über die ADC’s an die CPU herangeführt und
über kreuzweise Vergleiche auf Plausibilität überprüft.
Der sichere Zustand der Messwerteingänge ist definiert durch den Wert "0" für den
Messwerteingang und den Wert "1" für den zugehörigen Status.
68
SICAM RTUs, SAFETY
4
Inhalt
4.1
SICAM AK 3 mit elektr. und optisch gekoppelten PE's .................................... 70
4.2
SICAM TM mit elektr. und optisch gekoppelten PE's ....................................... 71
4.3
Safety-Kommunikation zwischen zwei SICAM AK ........................................... 72
4.4
Redundante Safety-PLC‘s mit singulärer Peripherie........................................ 73
4.5
Redundante Safety-PLC‘s mit redundanter Peripherie .................................... 74
SICAM RTUs, SAFETY
69
SICAM AK 3 mit elektr. und optisch gekoppelten PE's
Ax 1703 Peripheriebus
elektrisch, 16 MBit/s
Patch-Kabel, bis 3 m Länge
SICAM AK 3
DO -2210
AI-2300
DI-2110
AI-2301
DI-2110
AI-2301
DI-2110
CP-2019
DI-2110
DO -2210
AI-2300
SICA M AK
AI-2301
DI-2110
PS-263 x
SI CAM AK
S ICAM
DI-2110
1703
CP-2016
S ICAM
PS-263x
1703
4.1
CP-2019
CP-2016
Peripherieelement (mit Standard und Safety I/O-Modulen)
USB-Kabel
bis 3 m Länge
Peripherieelement (mit Standard I/O-Modulen)
optisch, 16 MBit/s
LWL bis 200 m Länge
Maximal 16
SICAM TM
Peripherieelemente
70
SICAM RTUs, SAFETY
SICAM TM mit elektr. und optisch gekoppelten PE's
SICAM
1703
TM 1703 ACP CP-6014
SICAM
Steuerkopfelement CP-6014
1703
SICAM TM
SICAM
4.2
USB-Kabel
bis 3 m Länge
optisch, 16 MBit/s
Maximal 16
TM 1703 ACP
Peripherieelemente
SICAM RTUs, SAFETY
71
4.3
Safety-Kommunikation zwischen zwei SICAM AK
CP-2017
CP-2014
Safety
Layer
SICAM AK
Standard
Kommunikation
17 03
SICAM
17 03
SICAM
SICAM AK
CP-2017
CP-2014
USB-Kabel
bis 3 m Länge
optisch, 16 MBit/s
Maximal 16
TM 1703 ACP
Peripherieelemente
72
SICAM RTUs, SAFETY
4.4
Redundante Safety-PLC‘s mit singulärer Peripherie
SICAM AK 3 (AE1)
PS -263x
CP- 2016
DI- 2110 DO-2 210 A I-230 0
DI-211 0
A I-2 301
DI-2110
A I-2301
DI -2110
CP -2 019 DI- 2110 DO-2210
A I-230 0
A I-2301
DI-211 0
SICAM AK
SICAM AK 3 (AE2)
PS -26 3x
PS -26 3x
SICAM AK
SICAM AK
CP-2019
CP-2016
CP- 2016
DI -2110
DO- 2210 A I-2 300
DI- 2110
AI-2 301
DI-2110
A I-230 1
DI-2110
CP-2 019
DI -2110 DO-22 10 A I-23 00
P S-2 63x
A I-230 1 DI-2 110
SICAM AK
CP-2019
CP-2016
Standard
Kommunikation
Safety
Layer
SICAM AK (AE3)
SICAM AK (AE4)
1703
CP-2017
CP-2014
SICAM
CP-2017
CP-2014
Peripherieelement
(mit Standard und Safety I/O-Modulen)
Maximal 16 SICAM TM
Peripherieelemente
Warnung
· Die Aktiv/Passiv – Umschaltung muss gewährleisten, dass nur eine Komponente aktiv ist. Die
Umsetzung dieser Funktion obliegt dem Anwender.
· Über den Safety-Monitor muss geprüft werden, ob beide Safety-PLC’s den gleichen Parameterstand
haben und sich im Zustand RUN befinden.
Siehe auch: Inbetriebnahme Redundanter Automatisierungseinheiten
SICAM RTUs, SAFETY
73
4.5
Redundante Safety-PLC‘s mit redundanter Peripherie
SICAM AK 3 (AE1)
P S-2 63x
CP -2016
DI-2110
DO-2210
AI- 2300
DI -2110
AI- 2301
DI- 2110
A I-2 301
DI-2110
CP- 2019
SICAM AK
DI-2110
DO-2 210
AI-2 300
A I-23 01
DI- 2110
SICAM AK 3 (AE2)
P S- 263x
P S- 263x
SICAM AK
SICAM AK
CP-2019
CP-2016
CP -201 6
DI-2110
DO-2210
AI -2300
DI-2110
A I-2301
DI- 2110
AI-2 301
DI-2 11 0
CP -2019
DI-2110
DO-2 210
AI- 2300
A I-2 301
DI -2110
P S -263x
SICAM AK
CP-2019
CP-2016
Standard
Kommunikation
Safety
Layer
SICAM AK (AE3)
SICAM AK (AE4)
SIC AM
1703
CP-2017
CP-2014
1703
SIC AM
CP-2017
CP-2014
Peripherieelement
Peripherieelement
Maximal 16 SICAM TM
Peripherieelemente
Warnung
· Die Aktiv/Passiv – Umschaltung muss gewährleisten, dass nur eine Komponente aktiv ist. Die
Umsetzung dieser Funktion obliegt dem Anwender.
· Über den Safety-Monitor muss geprüft werden, ob beide Safety-PLC’s den gleichen Parameterstand
haben und sich im Zustand RUN befinden.
Siehe auch: Inbetriebnahme Redundanter Automatisierungseinheiten
· Beide Komponenten müssen auf auf korrekte Verkabelung und Funktion geprüft werden
74
SICAM RTUs, SAFETY
5
Arbeiten mit SICAM RTUs mit der Funktion
SICAM Safety
Inhalt
5.1
Einleitung ....................................................................................................... 76
5.2
Ablauf für die Applikations-Entwicklung........................................................... 77
5.3
Anlage planen ................................................................................................ 79
5.4
Hardware Installation ...................................................................................... 80
5.5
Engineering .................................................................................................... 81
5.6
Verifikation der Applikation ............................................................................. 86
5.7
Download der Applikation auf die Steuerung ................................................... 89
5.8
Online-Test der Applikation............................................................................. 91
5.9
Validierung der Applikation ............................................................................. 92
5.10
Freigabe der Applikation und deren Betrieb vorbereiten .................................. 94
5.11
Betrieb ........................................................................................................... 98
5.12
Wartung ....................................................................................................... 101
5.13
Arbeitsablauf für Applikations-Änderungen ................................................... 105
5.14
Inbetriebnahme Redundanter Safety PLC‘s .................................................. 112
SICAM RTUs, SAFETY
75
Arbeiten mit SICAM RTUs mit der Funktion SICAM Safety
5.1
Einleitung
Dieses Kapitel beschreibt die prinzipielle Vorgehensweise bei der Arbeit mit SICAM RTUs mit
der Funktion SICAM Safety.
Der Workflow für das Engineering der einzelnen Systemelemente und die Inbetriebnahme
einer Anlage für den „nicht-sicheren“ Standardbetrieb wird als bekannt vorausgesetzt und ist
in den Handbüchern der SICAM RTUs Produktfamilie dokumentiert.
Im Folgenden sind die notwendigen Arbeitsschritte für die Inbetriebnahme einer SafetyAnlage skizziert. Diese reichen von der Definition der Anlagenparameter über das
Engineering bis zur Inbetriebnahme und Betrieb der Anlage.
Anlage planen
Hardware Installation
Engineering
• Automatisierungseinheit bestücken
• Parameter einstellen
• Funktionsplan erstellen und Code generieren
• Offline-Test des Funktionsplans
Verifikation der Applikation
Download der Applikation auf die Steuerung
Online-Test der Applikation
Validierung der Applikation
Freigabe der Applikation und Betrieb vorbereiten
Betrieb
• Wiederanlauf der Automatisierungseinheit
• Anlage in Betriebszustand STOP setzen
• Anlage in Betriebszustand TEST setzen
• Anlage in den „sicheren Betrieb“ (RUN) setzen
76
SICAM RTUs, SAFETY
5.2
Ablauf für die Applikations-Entwicklung
·
·
·
·
·
·
5.2.1
Vor dem Betrieb einer Applikation auf einem E/E/PE-System ist diese Applikation
entsprechend den Vorgaben der zugrunde liegenden Normen zu prüfen.
Der für die Applikation geltende Entwicklungsprozess muss definieren, in welchem
Umfang und mit welchen Maßnahmen die Verifikation und/oder die Validierung
durchgeführt werden. Die Arbeitsschritte „Verifikation“ und „Validierung“ müssen
durchgeführt werden.
Stellen Sie sicher, dass alle Maßnahmen zur Verifikation, Validierung sowie die Freigabe
für den gleichen Applikationsstand durchgeführt werden.
Mit CAEx safety müssen Sie dazu die Applikation identifizieren.
Stellen Sie sicher, dass Sie während der Verifikation, Validierung und Freigabe korrekt
authentifiziert sind und nur befugtes Personal Zugang/Zugriff zum Arbeitsplatz hat.
Berücksichtigen Sie bei der Planung der Prüfmaßnahmen, dass beim Engineering Fehler
nicht nur durch den Endbenutzer, sondern auch durch das Programmiersystem oder die
PC-Umgebung eingebracht werden können.
Beispiel: durch systematische Fehler im Programmiersystem oder Verfälschungen von
Daten im Speicher oder auf der Festplatte
Je nach Anforderungen der zugrunde liegenden Norm und dem geforderten SicherheitsIntegritätslevel kann der Aufdeckungsgrad durch den dynamischen Test alleine nicht
ausreichend sein.
Zur Erhöhung des Aufdeckungsgrads sehen Sie Reviews im Entwicklungsprozess vor und
führen Sie diese mit Safety-V&V durch.
Protokollieren Sie den Fortschritt des Arbeitsablaufs mit geeigneten Hilfsmitteln, im
Besonderen während der Verifikation, Validierung und Freigabe. Es dürfen keine
Maßnahmen während der Arbeitsschritte und/oder Arbeitsschritte selbst ausgelassen
werden.
Wurde der Arbeitsablauf bzw. ein Arbeitsschritt unterbrochen oder abgebrochen, muss
anhand dieser Aufzeichnungen der korrekte Einstieg in den Arbeitsschritt möglich sein.
Andernfalls muss der Arbeitsablauf wieder mit dem Arbeitsschritt "Engineering" gestartet
werden.
Applikation anhand von Code-Fingerprints identifizieren
Von einer Applikation können unterschiedliche Applikationsstände vorhanden sein.
Deshalb müssen Sie nach einem Download und während des aktuellen Durchlaufs der
Verifikation, Validierung und Freigabe sicherstellen, dass die korrekte Applikation auf der
Steuerung läuft und alle Maßnahmen für den gleichen Applikationsstand (Stand "A")
Mit Safety-Monitor (Online) und Safety-V&V (Offline) ist das durch die Identifikation der
Applikation anhand der folgenden Fingerprints möglich:
·
Code-Fingerprint der Programmdaten
Fingerprint, der beim Generieren (Safety-Umsetzer) des Anwenderprogramms erzeugt
wird.
Dieser Fingerprint ändert sich bei jeder relevanten Änderung des Anwenderprogramms.
·
Code-Fingerprint der Parameterdaten
Fingerprint, der beim Generieren (Safety-Umsetzer) der 1703 Safety-Parameter erzeugt
wird.
Dieser Fingerprint ändert sich bei Änderung der 1703 Parameter.
z.B. Safety-I/O-Modul Parameter und Parameter der Safety-Firmware (SPLC01).
SICAM RTUs, SAFETY
77
·
V&V-Daten
Fingerprint der V&V-Daten (Status von Validierung, Verifikation oder Freigabe)
Ändert sich einer dieser Status, ändert sich auch dieser Fingerprint.
Protokollieren Sie die angezeigten Werte der Code-Fingerprints (z.B. auf Review- oder
Testprotokollen) im entsprechenden Arbeitsschritt. Vergleichen Sie die protokollierten Werte
aus dem früheren Arbeitsschritt mit jenen, die während des aktuellen Arbeitsschritts in SafetyV&V bzw. Safety-Monitor angezeigt werden. Entnehmen Sie der Beschreibung des jeweiligen
Arbeitsschritts, anhand welcher CAEx safety-Komponente die Werte zu protokollieren oder zu
vergleichen ist.
Warnung
Überprüfen Sie bei allen Vergleichen (Verifikation, Freigabe), ob die Werte der oben genannten CodeFingerprints identisch sind. Falls die Werte unterschiedlich sind, handelt es sich nicht um die gleiche
Applikation bzw. den gleichen Applikationsstand.
Hinweis
In Safety-V&V werden zusätzliche Fingerprints für nicht-coderelevante Informationen (z.B.
Darstellungsrelevante Fingerprints) angezeigt. Diese sind für die grundsätzliche Identifikation der
Applikation nicht relevant, können aber als Basis für weitere Prüfungen herangezogen werden.
Wie startet man den Safety-Monitor?
Öffnen Sie das SICAM TOOLBOX II-Tool „PSRII Parameter-Loader“ und wählen Sie im Menü P ARAMETER
– SAFETY MONITOR.
78
SICAM RTUs, SAFETY
5.3
Anlage planen
Bei der Anlagenplanung erfolgt für jede Sicherheitsfunktion eine Risikobeurteilung. Anhand
dieser wird dann eine entsprechende Sicherheitsklasse (SIL/PL) festgelegt. Daraus leiten sich
die Anforderungen an die Komponenten zur Realisierung der Sicherheitsfunktionen (Steuerund Regelfunktion, Geber, Aktoren) ab. Diese Entscheidungen beeinflussen weitere
Tätigkeiten wie Hardware aufbauen, projektieren und programmieren.
Hinweis
Wichtig bei der Planung ist die funktionale Trennung von Standard- und Safety-Funktionen.
SICAM RTUs, SAFETY
79
5.4
Hardware Installation
Die Installation der Hardware eines sicherheitsgerichteten SICAM RTUs Systems hat
entsprechend der Richtlinien folgender Dokumente zu erfolgen. Es sind dies:
Dokumentname
Sachnummer
ab Revision
DC2-027-2
00
DC2-016-2
00
SICAM TM Installation
DC6-014-2
01
SICAM TM I/O-Module
DC6-040-2
04
Sie erhalten detaillierte Informationen zu folgenden Themen:
·
·
·
·
·
·
·
·
Einbauort und Platzbedarf
Umgang mit Baugruppen und Modulen
Einbau von Baugruppen und Modulen
Einstellen der Adressen für die Safety-I/O Module
Konfigurationshinweise
Verdrahtung der Prozessperipherie
Schirmung/Schutzerdung/Massung
Stromversorgung
Hinweis
Die Speisung der Safety-Anlage ist mit SELV-konformen
Netzgeräten/Batterien/Ladegeräten durchzuführen.
Die einzelnen Stromkreise/Speisekreise sind mit Sicherungen abzusichern. Pro
Peripherieelement wird ein Leitungsschutzschalter 2-polig 10 A (oder kleiner)
Kennlinie C vorgeschrieben.
(Standard Typ: Siemens 5SY5 210-7).
·
80
Beschriftung
SICAM RTUs, SAFETY
5.5
Engineering
Die sicherheitsrelevanten Teile einer Anlage werden ebenso wie Standard-Teile im OPM II
konfiguriert und parametriert. Alle Engineeringtätigkeiten, von der Systemdiagnose bis hin
zum Onlinetest, werden mit der SICAM TOOLBOX II durchgeführt.
Die steuerund regelungstechnischen Anwenderprogramme werden mittels CAEx plus
entsprechend dem Standard IEC 61131-3 erstellt. Dies gilt für Safety als auch für StandardFunktionspläne. Alle Daten werden in der SICAM TOOLBOX II Datenbank gespeichert.
SICAM TOOLBOX II
CAEx safety
EM II
(Engineering Manager)
OPM II
Safety Umsetzer
Safety-Parameter
(Parameter + FUP)
Standard
Parameter
CAEX plus
Safety
Parameter
Safety V&V
Safety Parameter
signiert
verifiziert & validiert
PSRII
(Projektierungs- und Service Rechner)
CAEx plus
Onlinetest
Diagnose
Datenflusstest
Telegrammsimulation
Safety Monitor
Parameter
Loader
Fingerprint auslesen
SIC AM
SICAM RTUs, SAFETY
TM 1703 AC P C P-6014
Safety Layer
81
Anlage planen
Engineering
Anlage und Automatisierungseinheit
definieren
Automatisierungseinheit
bestücken
Parameter
einstellen
Funktionsplan erstellen
und Code generieren
Offline Test des
Funktionsplans
5.5.1
Anlage und Automatisierungseinheit definieren
Für die erstmalige Erstellung einer Anlage müssen in der SICAM TOOLBOX II die
Konfigurationsdaten im OPM II eingetragen werden. Diese Aufgabe wird durch "Wizards"
unterstützt. Die parametrierten Konfigurationsdaten definieren die Anlagentopologie.
·
·
·
5.5.2
Kundendaten
Anlagedaten
System- und Verfahrenstechnische Automatisierungseinheiten
Automatisierungseinheit bestücken
Vor der Parametrierung muss eine Automatisierungseinheit mit den erforderlichen
Systemelementen bestückt werden. Die Bestückung erfolgt mit dem Werkzeug "OPM II" über
die Menüpunkte W ERKZEUGE | SYSTEMTECHNIK und W ERKZEUGE | BIBLIOTHEK-ÜBERSICHT .
·
82
Basissystemelemente
─ CP-2016/CPCX26 (SICAM AK 3)
─ CP-2019/PCCX26 (SICAM AK 3)
─ CP-2014/CPCX25 (SICAM AK)
─ CP-2017/PCCX25 (SICAM AK)
SICAM RTUs, SAFETY
·
─ CP-6014/CPCX65 (SICAM TM)
Safety-Systemelement AP-0771/SPLC01 als Protokollelement auf CP-2019/PCCX26
(SICAM AK 3), CP-2017/PCCX25 (SICAM AK) oder CP-6014/CPCX65 (SICAM TM)
bestücken
─ Sollrevision von AP-0771/SPLC01 (mandatory) definieren
─ Confirmation-ID für AP-0771/SPLC01 (optional) definieren
Hinweis
Wird eine Confirmation-ID vergeben, so hat sich der Anwender um die
Aufbewahrung dieser zu kümmern.
·
·
5.5.3
Peripherieelemente PE-641X/USIO66 auf BSE bestücken
─ Safety-I/O-Module auf dem PE-641X/USIO66 bestücken (Bestückungsknoten „SafetyI/O-Module“).
Protokollelemente
Parameter einstellen
Die systemtechnischen und die verfahrenstechnischen Parameter einer Anlage werden in der
SICAM TOOLBOX II mit dem Werkzeug "OPM II" eingestellt. Safety- und Standard-Parameter
sind gleich zu behandeln.
·
Systemtechnische Einstellungen
Die Parametrierung erfolgt über den Navigationsbaum der Automatisierungseinheit im
Fenster SYSTEMTECHNIK, unter dem ausgewählten Basissystemelement:
─ Kommunikationsprotokolle
─ Peripherie
─ Topologie
─ Zeitmanagement
─ Datenflussfilter
─ allgemeine Einstellungen
─ Kommunikation
─ Netzwerkeinstellungen
─ Dezentrale Archivierung
·
Verfahrenstechnische Einstellungen
Die verfahrenstechnischen Einstellungen der Systemelemente befinden sich im Fenster
"Abbild bearbeiten". Dieses kann außer über das Kontextmenü der Pins/Datenpunkte auch
über das Menü Werkzeuge | Abbilder geöffnet werden.
Die Parameter zur technologischen Aufbereitung von Signalen erfolgt im Menübaum unter
den Link-Abbildern
─ Adressierung
─ Signalvorverarbeitung
─ Signalnachbearbeitung
5.5.4
Anwenderprogramm erstellen und Code generieren
Das Anwenderprogramm für die Steuer- und Regelfunktionen wird in der SICAM TOOLBOX II
mit dem Werkzeug CAEx plus entsprechend IEC 61131-3 erstellt.
CAEx plus unterstützt die Programmiersprachen "FBS" (Funktionsbausteinsprache,
Funktionsplan) und "AS" (Ablaufsprache) gemäß der Norm IEC 61131-3
(Speicherprogrammierbare Steuerungen Teil 3: Programmiersprachen).
SICAM RTUs, SAFETY
83
Hinweis
Safety-Programme können nur in der Funktionsbausteinsprache (FBS) erstellt werden. Eine Verwendung
der Ablaufsprache (AS) ist nicht möglich.
Das Werkzeug CAEx plus stellt verschiedene Editoren und Standard-Bibliotheken für die
Erstellung der Steuer- und Regelfunktionen zur Verfügung.
Voraussetzungen:
·
·
Die mit dem "OPM II" erstellten Signale der verfahrenstechnischen Anlage sind umgesetzt.
Dies erfolgt mit dem Werkzeug "OPM II" durch Auswahl des Menüs ZIELSYSTEME |
CAEX PLUS | UMSETZER .
Die Unterscheidung zwischen Standard und Safety-Signalen erfolgt über den Suffix
_SAFE. Weiters sind die Safety-Signale über ein Attribut in der Signalliste gekennzeichnet.
Hinweis
Der Anwender darf den Suffix _SAFE nicht für eigene Signalnamen verwenden, da diese
leicht verwechselt werden können.
Ablauf:
·
·
·
Safety-Resource des entsprechenden Safety-Systemelements (SPLC01) auswählen
Typinstanz anlegen, Eigenschaften der Task definieren (nur Zykluszeit änderbar).
Typinstanz öffnen und Funktionsplan unter Verwendung der Safety-Library und der
Safety-Signale zeichnen. Periodische Datenpunkte können nur über Safety-Signale
eingelesen werden. Alle Standard-Signale werden spontan in die sPLC eingelesen.
Warnung
Erfüllen Sie bei der Erstellung der Applikation die Anforderungen, die anhand der
zugrunde liegenden Normen bzw. des zugrunde liegenden Entwicklungsprozess erstellt
werden und die in den entsprechenden Dokumenten beschrieben sind (z.B. in
Spezifikationen).
Halten Sie die Richtlinien ein, die für die Programmierung festlegt sind (siehe Richtlinien
für die Erstellung eines Funktionsplans) bzw. halten Sie die Einschränkungen ein, die
vom jeweiligen Zielsystem vorgegeben werden.
·
Starten Sie die Code-Generierung
Im "OPM II" durch Auswahl der Safety-Applikation in der Systemtechnik und Aufruf der
Funktion SAFETY FUNKTIONEN | CODE GENERIERUNG aus dem Popup-Menu.
oder
im CAEx plus für die Safety-Resource den Menüpunkt „Codegenerierung“.
Warnung
Prüfen Sie die Meldungen im Programmiersystem: Es müssen die logi.LINTAbschlussmeldungen "logi.LINT-Prüfungen mit 0 Meldungen (davon 0
Fehler) beendet." und (direkt danach) "Erfolgreich beendet" aufscheinen.
Gemeldete Probleme müssen Sie solange beheben und erneut Code generieren, bis
diese logi.LINT-Abschlussmeldungen erscheinen.
Resultat
84
·
Durch die Code-Generierung wird automatisch Stand "A" erzeugt.
Dieser entspricht dem aktuellen Applikationsstand und kann mit Safety-V&V einem
Review unterzogen werden.
·
Die Safety-Parameter werden durch das Tool exportiert und in der Oracle Datenbank
abgelegt. Alle Safety-Parameter werden mit einer Prüfsumme versehen.
SICAM RTUs, SAFETY
5.5.5
Offline Test des Funktionsplans
Die Verknüpfungslogik eines Funktionsplans kann in CAEx plus mit der Offline-Simulation
getestet werden.
Der Offline-Test ist für Standard- und Safety-Funktionspläne ident und wird im CAEx plus über
die Funktion "Offline-Simulation" gestartet. Folgende Möglichkeiten stehen zur Verfügung:
·
·
·
·
·
·
·
·
Anzeige der Signalzustände
Test einer kompletten Ressource
Mehrere Programme parallel testbar
Zeitverhalten nahezu Echtzeit
Skalierung der Zeit mittels frei einstellbarem Faktor (langsamer, schneller)
Singlestep und Debugging
Breakpoints
Forcen
SICAM RTUs, SAFETY
85
5.6
Engineering
Verifikation
Verifikation der
Applikation
Mittels des Werkzeugs „Safety V&V“ werden die Safety-Parameter verifiziert. Dabei wird das
Anwenderprogramm wieder in Funktionsplantechnik dargestellt und die Safety-Parameter
angezeigt.
Voraussetzungen:
·
·
·
·
·
·
·
·
Anwender hat die Berechtigung "Safety Parameter bearbeiten"
Umfang und Maßnahmen der Verifikation wurden definiert
Die Hinweise bezüglich Authentifizierung und Zugang/Zugriff zum Arbeitsplatz wurden
beachtet
Bei der Planung der Prüfmaßnahmen wurden Reviews vorgesehen um den
Aufdeckungsgrad von eingebrachten Fehler zu erhöhen
Zur Protokollierung des Fortschritts stehen geeignete Hilfsmittel bereit
Die Applikation wurde mit CAEx safety identifiziert (siehe Abschnitt Applikation anhand
von Code-Fingerprints identifizieren). Die in Safety V&V angezeigten Werte der CodeFingerprints wurden für die weitere Überprüfung (die späteren Vergleiche) protokolliert.
Vor der Verifikation stellen Sie sicher, dass die korrekte Übersetzungsdatenbank
eingesetzt wird: Überprüfen Sie die Freigabeinformation (Zeitstempel der Freigabe und
Benutzerkennung) der eingesetzten Übersetzungsdatenbank in Safety-V&V.
Reviews, als eine der möglichen Verifikationsmaßnahmen, müssen mit Hilfe von SafetyV&V durchgeführt werden (siehe Review der Applikation.).
Ablauf:
·
·
·
·
In der Systemtechnik des OPM II auf der Safety-Applikation für die Safety-Resource den
Menüpunkt "Safety-V&V" starten.
Eingabe der Confirmation-ID (optional). Das Verifizieren ist über die Confirmation-ID
geschützt.
Der Anwender muss nun das Anwenderprogramm verifizieren und bestätigen. Weiters
müssen die Safety-Parameter bestätigt werden.
Nach der abgeschlossenen Verifikation erfassen Sie den Status der Verifikation in
Safety V&V:
─ Identifizieren Sie die Applikation, für die Sie den Status erfassen wollen: Vergleichen
Sie die Werte der Code-Fingerprints, die in Safety V&V angezeigt werden, mit den
protokollierten Werten. Es müssen die gleichen Werte sein.
─ Kontrollieren Sie, welche Benutzerkennnung in der Statusleiste von Safety V&V
angezeigt wird. Es muss Ihre Kennung angezeigt werden.
─ Tragen Sie den Status der Verifikation entsprechend den Ergebnissen der Verifikation
ein und speichern Sie den Status.
86
SICAM RTUs, SAFETY
·
Nach dem Eintragen des Status Bestanden oder Nicht bestanden muss ein Prüfbericht der
Applikation erstellt werden.
Hinweis
Für die Archivierung des Prüfberichts ist der Anwender selbst verantwortlich.
5.6.1
Definitionen für den Status der "Verifikation"
Status
Ergebnis der Verifikation
Bestanden
Die Verifikation wurde erfolgreich abgeschlossen. Es wurden keine Anomalien
festgestellt, die den Betrieb der Applikation gefährden.
Nach einer ebenfalls erfolgreichen Validierung kann die Freigabe erfolgen.
5.6.2
Nicht bestanden
Die Verifikation wurde nicht erfolgreich abgeschlossen. Es wurden Anomalien
festgestellt, für die eine Behebung erforderlich ist.
Nach dem Arbeitsschritt "(Re-)Engineering" zur Fehlerbehebung sind die gemäß
dem Entwicklungsprozess definierten weiteren Schritte durchzuführen.
Unbekannt
Die Verifikation wurde noch nicht begonnen oder nicht abgeschlossen.
Die Verifikation muss dort fortgesetzt werden, wo sie unterbrochen wurde. Es
dürfen keine vorgegebenen Maßnahmen der Verifikation ausgelassen werden.
(leer)
Der leere Status wird nicht vom Endbenutzer eintragen, sondern er ist
automatisch nach dem Arbeitsschritt "Engineering" für die Applikation
eingetragen. Der Endbenutzer kann den leeren Status auf eine der drei oben
genannten Status ändern.
Review der Applikation
Reviews sind eine der möglichen Verifikationsmaßnahmen und müssen mit "Safety V&V"
·
·
·
·
Prüfen Sie vor den Reviews folgende Daten in Safety V&V:
─ Werte der Code-Fingerprints in Safety V&V (zur Identifikation der Applikation):
Vergleichen Sie die angezeigten Werte mit den protokollierten Werten. Es müssen die
gleichen Werte sein.
─ Benutzerkennung in der Statusleiste von Safety V&V
Es muss Ihre Kennung angezeigt werden.
─ Freigabeinformation (Zeitstempel der Freigabe und Benutzerkennung) der
eingesetzten Übersetzungsdatenbank.
Bei den Reviews müssen Logik und Parametrierung der Applikationsdaten auf Korrektheit,
auf Konsistenz und auf Vollständigkeit gegen die entsprechende Spezifikation geprüft
werden.
Voraussetzung für die Durchführung der Reviews mit "Safety V&V": Sie müssen mit der
Darstellungsform aller Elemente in "Safety V&V" vertraut sein, besonders mit jener der
Logikelemente.
Folgende Daten sind mit Safety V&V einem Review zu unterziehen:
─ Instanzdaten
Prüfen Sie die Ressource (= Ordnerobjekt mit dem Symbol
), die im Explorer von
Safety V&V angezeigt wird, und alle Objekte darunter.
─ benutzerdefinierte POE und Datentypen
Prüfen Sie alle Objekte unter dem Ordnerobjekt
Bibliothek mit zu prüfenden
Objekten, das im Explorer von Safety V&V angezeigt wird. Alle diese POE müssen
eine Logik anzeigen, die das Verhalten beschreibt.
SICAM RTUs, SAFETY
87
─ Parameterdaten
Prüfen Sie die Parametersets bzw. Parameterblöcke (= Ordnerobjekte mit dem Symbol
·
·
·
88
), die im Explorer von Safety V&V angezeigt werden, und alle Parametertabellen
darunter.
Stellen Sie sicher, dass beim Reviews der benutzerdefinierten POE die
Abarbeitungsreihenfolge in den POE eingeblendet ist.
Falls in der Applikation vorgeprüfte Objekte (= geprüfte Benutzerobjekte,
Systembausteine, Systemdatentypen) verwendet werden, prüfen Sie beim Review die
Konsistenz der vorgeprüften Objekte auf Basis Ihrer Spezifikation. Damit stellen Sie
sicher, dass die korrekten "vorgeprüften Objekte" in der Applikation verwendet werden.
Beachten Sie, dass nach der abgeschlossenen Verifikation der Status der Verifikation zu
erfassen ist.
SICAM RTUs, SAFETY
5.7
Parameter laden
Download der Applikation
auf die Steuerung
Alle Daten aus dem Engineering müssen nach dem Umsetzen und Verifizieren in die
Automatisierungseinheit (Flash Card im Steuerkopfelement) geladen werden. Das ist aber nur
dann möglich, wenn sich die Automatisierungseinheit im Betriebszustand STOP, TEST oder
KILL befindet.
Die Abfrage des Betriebszustands erfolgt vor dem eigentlichen Ladevorgang. Befindet sich die
Automatisierungseinheit im Betriebszustand RUN, wird der Ladevorgang nicht gestartet. Der
Anwender wird mittels Messagebox informiert, woraufhin er zuerst im OPM II in den
Betriebszustand STOP oder TEST umschalten und danach den Ladevorgang noch einmal
starten muss.
Voraussetzung
·
·
Anwender hat die Berechtigung „Safety Onlinefunktionen".
Die HW Konfiguration entspricht der Bestückung in der SICAM TOOLBOX II.
Hinweis
Die PBA und I/O-Modulnummern sind auf allen Safety I/O-Modulen über die
Drehschalter richtig einzustellen.
·
·
Die Safety-Application bzw. die Safety-Parameter sind Offline getestet und verifiziert.
Automatisierungseinheit befindet sich im Betriebszustand STOP, TEST oder KILL.
Ablauf
·
·
·
·
·
Stellen Sie sicher, dass Sie mit der korrekten Steuerung verbunden sind.
Es wird geprüft, ob die Automatisierungseinheit sich in der Betriebszustand STOP, TEST
oder KILL befindet.
Parameterloader starten, entsprechendes BSE selektieren und „Parameter initialisieren“
bzw. „Parameter laden“ starten. Es werden die Standard und die Safety-Parameter
gemeinsam geladen. Ein selektives Laden von Safety oder Standard-Parametern ist nicht
möglich um die Konsistenz der Parameter zu garantieren.
Stellen Sie anhand der ausgegebenen Meldungen sicher, dass der Download erfolgreich
beendet wurde
Stellen Sie nach dem Download sicher, dass die korrekte Applikation auf der korrekten
Steuerung läuft (siehe Applikation anhand von Code-Fingerprints identifizieren.):
Vergleichen Sie die Werte der Code-Fingerprints, die im "Safety Monitor" angezeigt
werden, mit den protokollierten Werten. Es müssen die gleichen Werte sein.
SICAM RTUs, SAFETY
89
Resultat
·
Die Safety Parameter sind nun im BSE geladen und gegen Veränderungen durch eine
Prüfsumme geschützt.
·
Die Parameter auf dem BSE entsprechen Applikationsstand "B". Dieser kann für spätere
Delta-Prüfungen verwendet werden.
·
Die Automatisierungseinheit befindet sich nach dem erstmaligen Initialisieren im
Betriebszustand STOP.
Vorsicht
Während eines Ladevorgangs ist das Ausschalten des Steuerkopfelementes unbedingt zu vermeiden, da
dadurch die Daten auf der Flash Card zerstört werden können.
90
SICAM RTUs, SAFETY
5.8
Onlinetest
Online-Test der
Safety-Applikation
Nach dem erstmaligen Parameterladen befindet sich die Automatisierungseinheit im Zustand
STOP. Im Zustand STOP befinden sich die Safety Ausgänge im sicheren Zustand (passiviert).
Im Zustand TEST können die Safety Ausgänge geschaltet werden. Um die Ausgänge testen
zu können muss in den Zustand TEST geschaltet werden.
Gefahr
In diesem Betriebszustand werden die Sicherungsmaßnahmen ausgeschalten. D.h. die Anlage befindet
sich im nicht sicheren Zustand.
Es sind Maßnahmen zu ergreifen (z.B. räumliche Absperrung des Gefahrenbereichs) um eine Gefährdung
von Personen zu verhindern.
Dieser Betriebszustand darf nur zeitlich begrenzt ausgeführt werden und muss spätestens nach der
Inbetriebnahme beendet werden.
Das geladene und verifizierte Anwenderprogramm wird über die Toolbox im Zielsystem mit
Hilfe des Onlinetests getestet.
Der Onlinetest entspricht einer grafischen Anzeige des Funktionsplanes indem die aktuellen
Zustände der Logik visualisiert werden. d.h. Der Zustand von binären Informationen wird
farblich (rot = ein und blau = aus) dargestellt und analoge Informationen können über
sogenannte Onlinetestfelder angezeigt werden.
Voraussetzung
·
Die Safety Parameter sind in der BSE geladen.
Ablauf
·
In den Betriebszustand TEST schalten. Optional muss die Confirmation-ID eingegeben
werden
·
Im CAEx plus Projektmanagement die entsprechende Safety Resource des BSE´s
selektieren und über das Kontextmenü den Onlinetest starten.
Testen der Funktion mit voller Onlinetestfunktionalität wie in der Standard PLC (Forcen
…).
Sollte während des Testvorganges schreibend auf das Anwenderprogramm zugegriffen
werden (z.B. Setzen (Forcen) von Variablen), so muss danach aus Konsistenzgründen ein
Reset durchgeführt werden.
·
·
Resultat
·
Das sichere Anwenderprogramm ist auf der Anlage unter Umgebungsbedingungen
getestet.
SICAM RTUs, SAFETY
91
5.9
Verifikation
Validierung der
Applikation
Freigabe der Applikation und Betrieb vorbereiten
Voraussetzung
·
·
·
·
·
·
·
Das sichere Anwenderprogramm ist auf der Anlage unter Umgebungsbedingungen
getestet.
Umfang und Maßnahmen der Validierung wurden definiert
beachtet
Bei der Planung der Prüfmaßnahmen wurden Reviews vorgesehen um den
Aufdeckungsgrad von eingebrachten Fehlern zu erhöhen
Stellen Sie anhand folgender Punkte sicher, ob die korrekte Hardware/Software eingesetzt
wird:
─ Parameterdaten in Safety V&V zur Identifikation der Hardware/Firmware
─ Versionsnummer der eingesetzten CAEx safety-Komponenten (basierend auf der von
Siemens vorgegebenen Systemkonfiguration)
─ Freigabeinformation (Zeitstempel der Freigabe und Benutzerkennung) der
eingesetzten Übersetzungsdatenbank in Safety Monitor
─ Werte der Code-Fingerprints in Safety V&V (zur Sicherstellung, dass die korrekte
Applikation auf der Steuerung läuft; siehe Applikation anhand von Code-Fingerprints
identifizieren): Vergleichen Sie die angezeigten Werte mit den protokollierten Werten.
Es müssen die gleichen Werte sein.
Ablauf
·
·
·
·
·
In der Systemtechnik des OPM II auf der Safety-Applikation oder im CAEx plus für die
Safety-Resource den Menüpunkt "Safety V&V" starten.
Identifizieren Sie die Applikation, für die Sie den Status erfassen wollen (siehe Applikation
anhand von Code-Fingerprints identifizieren): Vergleichen Sie die Werte der CodeFingerprints, die in Safety V&V angezeigt werden, mit den protokollierten Werten. Es
müssen die gleichen Werte sein.
Kontrollieren Sie, welche Benutzerkennung in der Statusleiste von Safety V&V angezeigt
wird. Es muss Ihre Kennung angezeigt werden.
Tragen Sie den Status der Validierung entsprechend den Ergebnissen des
Validierungsprozesses ein und speichern Sie den Status.
Nach dem Eintragen des Status Bestanden oder Nicht bestanden muss ein Prüfbericht der
Applikation erstellt werden.
Hinweis
92
SICAM RTUs, SAFETY
Resultat
·
5.9.1.1
Nun ist die Safety-Applikation validiert und kann freigegeben werden.
Definitionen für den Status der "Validierung"
Status
Ergebnis der Verifikation
Bestanden
Die Validierung wurde erfolgreich abgeschlossen. Es wurden keine Anomalien
festgestellt, die den Betrieb der Applikation gefährden.
Nach einer ebenfalls erfolgreichen Verifikation kann die Freigabe erfolgen.
Nicht bestanden
Die Validierung wurde nicht erfolgreich abgeschlossen. Es wurden Anomalien
festgestellt, für die eine Behebung erforderlich ist.
Nach dem Arbeitsschritt "(Re-)Engineering" zur Fehlerbehebung sind die gemäß
dem Entwicklungsprozess definierten weiteren Schritte durchzuführen, z.B. eine
Delta-Prüfung.
Unbekannt
Die Validierung wurde noch nicht begonnen oder nicht abgeschlossen.
Die Validierung muss dort fortgesetzt werden, wo sie unterbrochen wurde. Es
dürfen keine vorgegebenen Maßnahmen der Verifikation ausgelassen werden.
(leer)
Der leere Status wird nicht vom Endbenutzer eintragen, sondern er ist
automatisch nach dem Arbeitsschritt "Engineering" für die Applikation
eingetragen. Der Endbenutzer kann den leeren Status auf eine der drei oben
genannten Status ändern.
SICAM RTUs, SAFETY
93
5.10
Freigabe der Applikation und deren Betrieb vorbereiten
Freigabe
Freigabe der Applikation und
deren Betrieb vorbereiten
Betrieb
5.10.1
Freigabe der Applikation
Die Freigabe einer Applikation ist eine organisatorische Maßnahme, bei der die Applikation
als bereit für die Gesamtinstallation und Gesamtinbetriebnahme erklärt wird. Dabei muss der
Status der Freigabe in Safety V&V erfasst werden.
Voraussetzung
·
·
·
·
·
beachtet
Die Freigabe erfolgte durch eine entsprechend befugte Person
Anhand folgender Punkte wurde sichergestellt, dass die korrekte Hardware/Software
eingesetzt wird:
─ Parameterdaten in Safety V&V zur Identifikation der Hardware/Firmware
─ Versionsnummern der eingesetzten CAEx safety-Komponenten (basierend auf der von
─ Versionsnummern der eingesetzten Übersetzungsdatenbank in Safety Monitor
(basierend auf der von Siemens vorgegebenen Systemkonfiguration)
─ Werte der Code-Fingerprints in Safety V&V (zur Sicherstellung, dass die korrekte
Applikation auf der Steuerung läuft; siehe Applikation anhand von Code-Fingerprints
identifizieren): Vergleichen Sie die angezeigten Werte mit den protokollierten Werten.
Es müssen die gleichen Werte sein.
Ablauf
·
·
·
·
·
94
In der Systemtechnik des OPM II auf der Safety-Applikation für die Safety-Resource den
Menüpunkt "Safety V&V" starten.
Identifizieren Sie die Applikation, für die Sie den Status erfassen wollen (siehe Applikation
anhand von Code-Fingerprints identifizieren): Vergleichen Sie die Werte der CodeFingerprints, die in Safety V&V angezeigt werden, mit den protokollierten Werten. Es
müssen die gleichen Werte sein.
Kontrollieren Sie, welche Benutzerkennung in der Statusleiste von Safety V&V angezeigt
Kontrollieren Sie, welcher Status der Validierung und welcher Status der Verifikation
angezeigt werden. Für beide muss Bestanden und eine dafür befugte Person eingetragen
sein.
Tragen Sie den Status Bestanden für die Freigabe ein und speichern Sie den Status.
SICAM RTUs, SAFETY
·
Protokollieren Sie mit Hilfe des Multifunktionsleisten-Befehls P RÜFBERICHT EXPORTIEREN
den Wert des V&V-Fingerprints, der nach dem Erfassen des Freigabe-Status in Safety
V&V angezeigt wird, für die weitere Überprüfung (den späteren Vergleich).
Hinweis
Die Parameter werden für eine spätere Delta-Prüfung automatisch im Stand "C"
gespeichert.
·
Dokumentieren sie die Revisionen der eingesetzten, geprüften Hardware und Firmware
der Anlage
─ Dokumentation der eingesetzten Firmware (SPLC01)
Diese wird im Zuge des Protokolls für den V&V Fingerprint ausgegeben
─ Dokumentation der eingesetzten Hardware (CP-2019, CP-2017 oder CP-6014).
Notieren sie die Seriennummer.
SICAM RTUs, SAFETY
95
─ Dokumentation der eingesetzten Hardware (Safety I/O Module)
Safety Modul
Seriennummer
(z.B.: BF1208xxxxxx)
Resultat
·
5.10.2
Nun ist die Safety-Applikation für sicheren Betrieb freigegeben.
Betrieb der freigegebenen Applikation vorbereiten
Voraussetzung
·
Ablauf
·
·
·
·
·
·
·
·
·
96
Starten Sie den Download auf die Steuerung aus dem Programmiersystem und stellen Sie
anhand der ausgegebenen Meldungen sicher, dass der Download erfolgreich beendet
wurde.
Prüfen Sie in Safety V&V die Werte der Code-Fingerprints (zur Sicherstellung, dass die
korrekte Applikation auf der Steuerung läuft; siehe Applikation anhand von CodeFingerprints identifizieren): Vergleichen Sie die angezeigten Werte mit den protokollierten
Werten. Es müssen die gleichen Werte sein.
Vergleichen Sie den V&V-Fingerprint der nach Erfassung des Freigabe-Status in Safety
V&V protokolliert wurde. Es muss der gleiche Wert angezeigt werden.
Prüfen sie den Status der Freigabe und die dafür erfassten Details.
Es muss Bestanden und eine für die Freigabe befugte Person eingetragen sein.
Prüfen Sie die Freigabeinformation (Zeitstempel der Freigabe und Benutzerkennung) der
eingesetzten Übersetzungsdatenbank im Safety Monitor.
Aktivieren Sie den Betriebszustand "RUN“ für die Steuerung.
Kontrollieren Sie im Safety Monitor welcher Betriebszustand im Register Start angezeigt
wird. Es muss der Betriebszustand "RUN“ angezeigt werden.
Erstellen Sie den Prüfbericht in Safety V&V für die freigegebene Applikation, die im
Betrieb auf der Steuerung läuft.
Verarbeiten Sie den exportierten Prüfbericht laut den Richtlinien Ihrer Firma, z.B.
unterschreiben und legen Sie einen Ausdruck entsprechend ab.
SICAM RTUs, SAFETY
Resultat
·
Die Automatisierungseinheit befindet sich nun im sicheren Betriebszustand (RUN).
SICAM RTUs, SAFETY
97
5.11
Betrieb
Freigabe und Betrieb vorbereiten
Betrieb
Wiederanlauf der
Anlage in Betriebszustand
STOP setzen
Anlage in Betriebszustand
TEST setzen
Anlage in den „sicheren Betrieb“
RUN setzen
5.11.1
Wiederanlauf der Automatisierungseinheit
Dieser Use Case betrachtet den Hochlauf einer Automatisierungseinheit, die bereits
erfolgreich in Betrieb gesetzt wurde und die im Zustand RUN lief.
Warnung
Der Wiederanlaufschutz für den Prozess ist nicht in der Firmware der Systemkomponenten implementiert
sondern liegt im Verantwortungsbereich der Applikation. Die Applikation muss den Wiederanlauf des
Prozesses abhängig von den Prozesszuständen steuern.
Das Wiederanlaufverhalten ist durch den Parameter Sicherer Zustand bei Kanalfehler einstellbar
Voraussetzung
·
Das Anwenderprogramm muss freigegeben sein und fehlerfrei laufen.
Ablauf
Der Anwender führt einen Reset (am Basissystemelement) oder Power-Up durch. Das
System führt folgende Schritte aus:
·
·
·
98
Nach dem Netz-Ein die Selbsttests.
Das Basissystem baut über die Peripherieelemente eine Standardkommunikation zu den
I/O-Modulen auf
Der Safety-Layer wird initialisiert und das Basissystem baut eine sichere Kommunikation
zu den I/O-Modulen auf.
SICAM RTUs, SAFETY
·
·
Wenn alle Randbedingungen für einen sicheren Betrieb erfüllt sind schaltet das
Basissystem und die I/O-Module in den sicheren Betrieb (RUN). Im anderen Fall wird der
„sichere“ Zustand (STOP) eingenommen.
Das geladene Anwenderprogramm prüft die Eingangsbedingungen bezüglich des
Wiederanlaufschutzes des Prozesses.
Resultat
·
5.11.2
Anlage in Betriebszustand STOP setzen
Voraussetzung
·
·
Die Anlage befindet sich im „sicheren Betrieb“.
Ablauf
·
·
·
In der Systemtechnik des OPM II auf der Safety-Applikation den Menüpunkt
„Betriebszustand anzeigen / umschalten“ aufrufen.
Eingabe der Confirmation-ID.
Im Dialog den Betriebszustand STOP aktivieren.
Resultat
·
·
·
5.11.3
Die Automatisierungseinheit befindet sich nun im sicheren Betriebszustand (STOP).
Die Prozesswerte der sicheren Eingabe Module werden weiterhin aktualisiert.
Die Prozesswerte für die sicheren Ausgabe Module werden passiviert.
Anlage in Betriebszustand TEST setzen
Voraussetzung
·
·
Die Anlage befindet sich im „sicheren Betrieb“.
Ablauf
·
·
·
Im Dialog den Betriebszustand TEST aktivieren.
Resultat
·
·
·
Die Automatisierungseinheit befindet sich nun im nicht sicheren Betriebszustand (TEST).
Die Prozesswerte der sicheren Eingabe Module werden weiterhin aktualisiert.
Die Prozesswerte für die sicheren Ausgabe Module werden aufgeschaltet.
Gefahr
SICAM RTUs, SAFETY
99
5.11.4
Anlage in den „sicheren Betrieb“ RUN setzen
Voraussetzung
·
·
·
Die Anlage befindet sich im STOP oder TEST Betrieb.
Das Anwenderprogramm muss freigegeben sein.
Ablauf
·
·
·
Im Dialog den Betriebzustand RUN aktivieren.
Resultat
·
100
Die Anlage befindet sich im „RUN“ Betrieb.
SICAM RTUs, SAFETY
5.12
Wartung
Wartung
Basissystemelement tauschen
Safety I/O-Module tauschen
SD-Karte tauschen
Es sind keine Wartungsarbeiten erforderlich, außer wenn im Benutzerhandbuch darauf
hingewiesen wird (z.B. AI-6370 für den Zeitraum der garantierten Safety-Genauigkeit)
5.12.1
Basissystemelement tauschen
Hinweis
Beachten Sie beim Tausch von Basissystemelementen die Angaben zur Montage/Demontage im SICAM
AK Benutzerhandbuch.
Der Tausch von Basissystemelementen ist ohne Firmwareanpassung im Betrieb möglich.
Voraussetzung
·
Keine, der Tausch eines Basissystemelements ist unter Spannung möglich
Ablauf
·
·
·
·
Tausch des Basissystemelements
Vergleichen Sie den V&V-Fingerprint der nach Erfassung des Freigabe-Status in Safety
V&V protokolliert wurde. Es muss der gleiche Wert angezeigt werden.
Power-Up des Peripherieelements mit dem neuen I/O Modul und PE wird automatisch
ready.
Dokumentieren sie die Revisionen der eingesetzten, geprüften Hardware der Anlage
SICAM RTUs, SAFETY
101
─ Dokumentation der eingesetzten Hardware (CP-2019, CP-2017 oder CP-6014).
102
SICAM RTUs, SAFETY
Resultat
·
5.12.2
Safety I/O Module tauschen
Hinweis
Beachten Sie beim Tausch von I/O Modulen die Angaben zur Montage/Demontage im SICAM TM
Installationshandbuch.
Der Tausch von Safety-I/O-Modulen ist ohne Firmwareanpassung und SICAM TOOLBOX II
möglich.
Warnung
Das PE-Koppelmodul muss zuvor spannungslos geschalten werden.
Voraussetzung
·
Das Peripherieelement mit dem defekten I/O-Modul befindet sich im stromlosen Zustand.
Ablauf
·
·
Einstellen der PBA-Nummer und der Modul-Nummer auf dem "neuen" I/O-Modul.
Dokumentieren sie die Revisionen der eingesetzten, geprüften Hardware und Firmware
der Anlage
─ Dokumentation der eingesetzten Hardware (Safety I/O Module)
Safety Modul
Seriennummer
(z.B.: BF1208xxxxxx)
·
Power-Up des Peripherieelements mit dem neuen I/O Modul und PE wird automatisch
ready.
Resultat
·
5.12.3
SD-Karte tauschen
Voraussetzung
·
·
Neue SD-Karte gesteckt
SICAM RTUs, SAFETY
103
Ablauf
·
Prüfen Sie in Safety V&V die Werte der Code-Fingerprints (zur Sicherstellung, dass der
korrekte Applikationsstand in der SICAM TOOLBOX II für diese Anlage vorhanden ist;
siehe Applikation anhand von Code-Fingerprints identifizieren): Vergleichen Sie die
angezeigten Werte mit den protokollierten Werten.
Hinweis
Beachten Sie, dass nach dem Laden einer freigegebenen Applikation die Anlage sich
sofort im Betriebszustand RUN befindet.
·
·
·
Starten Sie den Download (Parameter initialisieren, Firmware laden) auf die Steuerung mit
Hilfe der SICAM TOOLBOX II und stellen Sie anhand der ausgegebenen Meldungen
sicher, dass der Download erfolgreich beendet wurde.
Prüfen Sie in Safety Monitor die Werte der Code-Fingerprints (zur Sicherstellung, dass die
korrekte Applikation auf der Steuerung läuft; siehe Applikation anhand von CodeFingerprints identifizieren): Vergleichen Sie die angezeigten Werte mit den protokollierten
Werten.
Kontrollieren Sie im Safety Monitor den Betriebszustand der Anlage und leiten Sie die
entsprechenden Maßnahmen ein.
Resultat
·
104
Die Automatisierungseinheit befindet sich nun im sicheren Betriebszustand.
SICAM RTUs, SAFETY
5.13
Arbeitsablauf für Applikations-Änderungen
Bei Änderungen einer Applikation, die bereits mit Hilfe von CAEx safety in den Betrieb
genommen wurde, ist die geänderte Applikation entsprechend den Vorgaben der zugrunde
liegenden Normen erneut zu prüfen.
Ein mit "IEC 61508-2 (2010)" vereinbarer Entwicklungsprozess muss einen
Änderungsmanagement-Prozess enthalten, bei dem eine Änderungsspezifikation und eine
Änderungsauswirkungsanalyse vor der Durchführung der Änderungen erstellt/durchgeführt
werden.
Damit ist die Verwendung von Safety V&V als Mittel zur Änderungsauswirkungsanalyse
ausgeschlossen, da die Vergleichsansicht von Safety V&V erst nach der Durchführung der
Änderungen sinnvoll verwendet werden kann.
5.13.1
Arbeitsablauf mit vollständiger Verifikation/Validierung
Eine geänderte Applikation kann, wie im Arbeitsablauf für die Software-Entwicklung
beschrieben, geprüft werden. Dabei müssen alle Arbeitsschritte in vollem Umfang
Warnung
Halten Sie alle Anleitungen und Hinweise unbedingt ein.
SICAM RTUs, SAFETY
105
5.13.2
Arbeitsablauf mit Delta-Prüfung
CAEx safety unterstützt die Möglichkeit, eine Delta-Prüfung der geänderten Applikation
durchzuführen, um den Umfang der Verifikation/Validierung einschränken zu können.
Bei der Delta-Prüfung wird einer der Stände mit einem anderen verglichen.
Code Generierung in CAEx plus
oder mit OPM Safety Funktion
Stand „A“
ta
De
lta
e
ab
eig
ng
Fr &V
ru
ie
er V
et ty
lid
m fe
Va “
ra Sa
g/ „C
Pa i n
un nd
er “ u
izi A
rif d „
Ve tan
S
TOOLBOX II
l
De
Pa
r
Sa ame
fe te
ty r l
Ve
Fi ad
rm e n
St rifiz
an ie
wa d
d ru
re er
„A ng
“ u /V
a
nd li
„B dier
“
un
g
(zuletzt in TB II
generierter oder in
Safety V&V
gespeicherter
Parameterstand)
Stand „B“
Stand „C“
(zuletzt ins Zielsystem
geladener
Parameterstand)
(zuletzt in TOOLBOX II
freigegebener
Parameterstand)
SICAM RTU
TOOLBOX II
Achtung
Stand "B" kann auch offline durch Erzeugen der Flashcard erstellt werden. In diesem Fall muss diese
Flashcard zum Zeitpunkt der Delta Verifizierung/Validierung im Zielsystem vorhanden sein. Andernfalls ist
die Delta-Verifizierung/Validierung nicht korrekt.
Voraussetzung
·
Die Voraussetzung für die Einschränkung des Umfangs der Prüfaktivitäten ist die
vollständige Identifikation der von den Änderungen direkt oder indirekt betroffenen
Funktionen.
·
Bei der Delta-Prüfung müssen Sie die geänderte Applikation nach folgenden Kriterien
prüfen:
− Entspricht das Verhalten der geänderten Funktionen den Erwartungen?
− Verhalten sich die von den Änderungen indirekt betroffenen Funktionen noch
korrekt?
Ablauf
·
106
Der für die Applikation geltende Entwicklungsprozess (siehe
Anforderungen_an_den_Entwicklungsprozess) muss definieren, in welchem Umfang und
mit welchen Maßnahmen die Verifikation und/oder die Validierung durchgeführt werden.
Sieht der Entwicklungsprozess auch die Möglichkeit der Delta-Prüfung vor, müssen
entsprechende Vorgaben auch für die Delta-Prüfung vorhanden sein.
SICAM RTUs, SAFETY
·
·
·
·
5.13.3
Stellen Sie sicher, dass alle Maßnahmen zur Delta-Prüfung sowie die Freigabe für den
gleichen Applikationsstand durchgeführt werden. Stellen Sie außerdem sicher, dass der
korrekte Applikationsstand als Vergleichsbasis verwendet wird.
Mit Safety V&V müssen Sie dazu die Applikationsstände identifizieren (siehe Abschnitt
Applikationsstände anhand von Code-Fingerprints identifizieren).
Stellen Sie sicher, dass Sie während der Delta-Prüfung und Freigabe korrekt
authentifiziert sind und nur befugtes Personal Zugang/Zugriff zum Arbeitsplatz hat (siehe
Maßnahmen zur Authentifizierung).
Berücksichtigen Sie bei der Planung der Prüfmaßnahmen, dass im Arbeitsschritt "ReEngineering" Fehler nicht nur durch den Endbenutzer, sondern auch durch das
Programmiersystem oder die PC-Umgebung eingebracht werden können. Beispiel: durch
systematische Fehler im Programmiersystem oder Verfälschungen von Daten im Speicher
oder auf der Festplatte
Je nach Anforderungen der zugrunde liegenden Norm und der geforderten SicherheitsIntegritätslevel kann der Aufdeckungsgrad durch den dynamischen Test alleine nicht
ausreichend sein.
Die Delta-Prüfung setzt Reviews mit Safety V&V voraus. Stellen Sie bei diesen Reviews
auch sicher, dass keine unerwünschten Änderungen eingebracht wurden (siehe auch die
oben angeführten Kriterien, nach denen eine geänderte Applikation zu prüfen ist).
Protokollieren Sie den Fortschritt des Arbeitsablaufs mit geeigneten Hilfsmitteln, im
Besonderen während der Delta-Prüfung und Freigabe. Es dürfen keine Maßnahmen
während der Arbeitsschritte und/oder Arbeitsschritte selbst ausgelassen werden.
Wurde der Arbeitsablauf bzw. ein Arbeitsschritt unterbrochen oder abgebrochen, muss
anhand dieser Aufzeichnungen der korrekte Einstieg in den Arbeitsschritt möglich sein.
Andernfalls muss der Arbeitsablauf wieder mit dem Arbeitsschritt "Re-Engineering"
gestartet werden.
Applikationsstände anhand von Code-Fingerprints identifizieren
Von einer Applikation können unterschiedliche Applikationsstände vorhanden sein.
Deshalb müssen Sie nach einem Download und während des aktuellen Durchlaufs der DeltaPrüfung und Freigabe sicherstellen, dass die korrekte Applikation auf der Steuerung läuft und
alle Maßnahmen für den gleichen Applikationsstand (Stand "A") durchgeführt werden.
Mit CAEx safety ist das durch die Identifikation der Applikationsstände anhand der folgenden
Fingerprints möglich:
·
Code-Fingerprint der Programmdaten
Ist der Fingerprint der beim Generieren (Safety-Umsetzer) des Anwenderprogramms
erzeugt wird.
Dieser Fingerprint ändert sich bei jeder relevanten Änderung des Anwenderprogramms.
·
Code-Fingerprint der Parameterdaten
Ist der Fingerprint der beim Generieren (Safety-Umsetzer) der 1703 Safety Parameter
erzeugt wird.
Dieser Fingerprint ändert sich bei Änderung der 1703 Parameter.
z.B. Safety I/O-Modul Parameter und Parameter der Safety Firmware (SPLC01).
·
V&V-Daten
Fingerprint der V&V-Daten (Status von Validierung, Verifikation oder Freigabe)
Ändert sich einer dieser Status, ändert sich auch dieser Fingerprint.
SICAM RTUs, SAFETY
107
Damit die Code-Fingerprints sowohl für Stand "A" als auch für Stand "B" oder Stand "C"
angezeigt werden, muss Safety V&V für
·
·
·
"A" als auch für
"A" Vergleich mit "B" oder
"A" Vergleich mit "C"
aus dem Programmiersystem gestartet worden sein.
5.13.3.1 Applikationsstand für "A" identifizieren
Mit Hilfe der Code-Fingerprints für Stand "A" stellen Sie sicher, dass die korrekte Applikation
auf der Steuerung läuft und dass es sich um den gleichen Applikationsstand handelt:
Protokollieren Sie die angezeigten Werte der Code-Fingerprints für Stand "A" (z.B. auf
Review- oder Testprotokollen) im entsprechenden Arbeitsschritt. Vergleichen Sie die
protokollierten Werte aus dem früheren Arbeitsschritt mit jenen, die während des aktuellen
Arbeitsschritts in Safety V&V bzw. Safety Monitor angezeigt werden. Entnehmen Sie der
Beschreibung des jeweiligen Arbeitsschritts, anhand welcher CAEx safety-Komponente die
Werte zu protokollieren oder zu vergleichen ist.
Warnung
Überprüfen Sie bei allen Vergleichen für Stand "A", ob die Werte der oben genannten Code-Fingerprints
identisch sind. Falls die Werte unterschiedlich sind, handelt es sich nicht um die gleiche Applikation bzw.
den gleichen Applikationsstand..
108
SICAM RTUs, SAFETY
5.13.3.2 Applikationsstand für "B" und "C" identifizieren
Mit Hilfe der Code-Fingerprints für Stand "B" und/oder Stand "C" stellen Sie sicher, dass der
korrekte und archivierte Applikationstand als Vergleichsbasis verwendet wird:
Vergleichen Sie die angezeigten Werte der Code-Fingerprints für Stand "B" und/oder Stand
"C" mit jenen, die im jeweiligen Prüfbericht des archivierten Applikationsstands protokolliert
wurden. Entnehmen Sie der Beschreibung des jeweiligen Arbeitsschritts, wann die Werte zu
vergleichen sind.
Warnung
Überprüfen Sie bei den Vergleichen für Stand "B" und/oder Stand "C", ob die Werte der oben genannten
Code-Fingerprints mit den jeweils archivierten Code-Fingerprints identisch sind. Falls die Werte
unterschiedlich sind, handelt es sich nicht um den archivierten Applikationsstand, der als Vergleichsbasis
für die Delta-Prüfung zu verwenden ist.
5.13.4
Re-Engineering im Programmiersystem
1.
Starten Sie das Programmiersystem und ändern Sie darin die Applikation.
Warnung
Erfüllen Sie bei der Änderung der Applikation die Änderungsspezifikation, die anhand
der zugrunde liegenden Normen bzw. des zugrunde liegenden Entwicklungsprozess
erstellt werden und die in den entsprechenden Dokumenten beschrieben sind (z.B. in
Änderungsaufträgen oder Review-Protokollen).
Halten Sie die Richtlinien ein, die CAEx safety für die Programmierung festlegt (siehe
Abschnitt 8.) bzw. halten Sie die Einschränkungen ein, die vom jeweiligen Zielsystem
vorgegeben werden.
2.
Starten Sie die Code-Generierung für CAEx safety aus dem Programmiersystem.
Warnung
Prüfen Sie die Meldungen im Programmiersystem: Es müssen die logi.LINTAbschlussmeldungen "logi.LINT-Prüfungen mit 0 Meldungen (davon 0
Fehler) beendet." und (direkt danach) "Erfolgreich beendet" aufscheinen.
Gemeldete Probleme müssen Sie solange beheben und erneut Code generieren, bis
diese logi.LINT-Abschlussmeldungen erscheinen.
Hinweis
Der automatisch erzeugte Stand "A", entspricht dem aktuellen Applikationsstand nach
den Änderungen.
5.13.5
·
·
·
Aktivieren Sie den Betriebszustand "TEST oder STOP" für die Steuerung.
Stellen Sie vor dem Download sicher, dass Sie mit der korrekten Steuerung verbunden
sind.
Starten Sie den Download auf die Steuerung aus dem Programmiersystem und stellen Sie
anhand der ausgegebenen Meldungen sicher, dass der Download erfolgreich beendet
wurde.
SICAM RTUs, SAFETY
109
·
5.13.6
Nach dem Download stellen Sie sicher, dass die korrekte Applikation auf der korrekten
Steuerung läuft (siehe Applikationsstände anhand von Code-Fingerprints identifizieren):
Vergleichen Sie die Werte der Code-Fingerprints, die in Safety Monitor angezeigt werden,
mit den (für Stand "A") protokollierten Werten. Es müssen die gleichen Werte sein.
Delta-Prüfung der Applikation
Beachten Sie die Hinweise unter Arbeitsablauf mit Delta-Prüfung. zu folgenden Punkten:
·
·
·
·
·
·
·
vollständige Identifikation der von den Änderungen direkt oder indirekt betroffenen
Funktionen
Kriterien für die Prüfung der Applikation bei der Delta-Prüfung
archivierte Applikation als Vergleichsbasis für Delta-Prüfung
Umfang/Maßnahmen der Delta-Prüfung
Authentifizierung und Zugang/Zugriff zum Arbeitsplatz
bei der Planung der Prüfmaßnahmen: Vorsehen von Reviews, um den Aufdeckungsgrad
von eingebrachten Fehler zu erhöhen
Protokollierung des Fortschritts mit geeigneten Hilfsmitteln
Vor der Delta-Prüfung stellen Sie anhand folgender Punkte sicher, dass die korrekte
Hardware/Software eingesetzt wird:
·
·
·
·
Parameterdaten in Safety Monitor zur Identifikation der Hardware/Firmware
Versionsnummern der eingesetzten CAEx safety-Komponenten (basierend auf der von
Freigabeinformation (Zeitstempel der Freigabe und Benutzerkennung) der eingesetzten
Übersetzungsdatenbank in Safety Monitor
Werte der Code-Fingerprints in Safety Monitor (zur Sicherstellung, dass die korrekte
Applikation auf der Steuerung läuft; siehe Applikationsstände anhand von CodeFingerprints identifizieren): Vergleichen Sie die angezeigten Werte mit den (für Stand "A")
protokollierten Werten. Es müssen die gleichen Werte sein.
Nach der abgeschlossenen Validierung erfassen Sie den Status der Validierung in Safety
V&V:
·
Identifizieren Sie den aktuellen Stand der Applikation, für die Sie den Status erfassen
wollen (siehe Applikationsstände anhand von Code-Fingerprints identifizieren):
Vergleichen Sie die Werte der Code-Fingerprints, die für Stand "A" in Safety V&V
angezeigt werden, mit den (für Stand "A") protokollierten Werten. Es müssen die gleichen
Werte sein.
· Kontrollieren Sie, welche Benutzerkennung in der Statusleiste von Safety V&V angezeigt
· Tragen Sie den Status der Validierung entsprechend den Ergebnissen der Delta-Prüfung
ein (siehe Definitionen für den Status der "Validierung") und speichern Sie den Status.
Für eine spätere Delta-Prüfung muss nach dem Eintragen des Status Bestanden oder Nicht
bestanden der Prüfberichts archiviert werden.
Hinweis
110
SICAM RTUs, SAFETY
5.13.7
Freigabe der Applikation und deren Betrieb vorbereiten
5.13.7.1 Freigabe der Applikation
Dieser Arbeitsschritt ist analog zu jenem bei der Erst-Prüfung (siehe Freigabe der
Applikation). Beachten Sie dabei:
·
·
Wenn Sie die Werte der Code-Fingerprints vergleichen müssen (vor der Freigabe), sind
die Werte, die in Safety Monitor angezeigt werden, mit den (für Stand "A") protokollierten
Werten zu vergleichen.
Wenn Sie die Code-Fingerprints vergleichen müssen (beim Erfassen des Status der
Freigabe in Safety V&V), sind die Werte, die für Stand "A" in Safety V&V angezeigt
werden, mit den (für Stand "A") protokollierten Werten zu vergleichen.
5.13.7.2 Betrieb der freigegebenen Applikation vorbereiten
Dieser Arbeitsschritt ist analog zu jenem bei der Erst-Prüfung (siehe Betrieb der
freigegebenen Applikation vorbereiten). Beachten Sie dabei:
·
Wenn Sie die Werte der Code-Fingerprints vergleichen müssen (nach dem Download),
sind die Werte, die in Safety Monitor angezeigt werden, mit den (für Stand "A")
protokollierten Werten zu vergleichen.
SICAM RTUs, SAFETY
111
5.14
Inbetriebnahme Redundanter Safety PLC‘s
Redundante Safety PLC‘s sind voneinander unabhängige PLC’s mit identen sicheren
Parametern und Anwenderprogramm. Sie können sich in zwei getrennten oder in einer
Automatisierungseinheiten befinden.
Dabei werden die sicheren Parameter und das sichere Anwenderprogramm auf der „Original“
Automatisierungseinheit erstellt und danach in die „Abbild“ Automatisierungseinheit kopiert.
Dies erfolgt unter Beibehaltung des Fingerprints. Das Kopieren erfolgt mit der Funktion
„Spiegelparameter kopieren“ im Toolset „OPMII“ der SICAM TOOLBOX II.
SICAM TOOLBOX II
TOOLBOX II
OPMII - Systemtechnik
Re vision:
L ice ns e P a k:
Ve rsion 5 | S iem e ns AG
AE1
*)
- Original
**)
BSE
AP-0771/SPLC01
Safety Parameter
Safety Anwenderprogramm
Spiegelparameter
kopieren
*)
AE2 - Abbild
BSE
**)
AP-0771/SPLC01
Safety Parameter
Safety Anwenderprogramm
*)
SICAM AK 3
SICAM AK
**)
Diese Funktion ermöglicht, dass die sicheren Parameter und das sichere Anwenderprogramm
ident geladen sind und somit keine detailierte Verifikation und Validierung der sicheren
Funktion in der redundanten Automatisierungseinheit erforderlich ist.
Die Prüfung, ob die beiden redundanten Automatisierungseinheiten richtig geladen sind,
obliegt dem Anwender und erfolgt durch Vergleich auf idente Fingerprints in den redundanten
Automatisierungseinheiten. Für diese Prüfung wird das bestehende Tool „Safety Monitor“
verwendet.
Das Laden der sicheren Parameter bleibt unverändert.
Hinweis
Das Timeout (WatchdogTime) des Kommunikationsmoduls bei redundanten Kommunikationskanälen
muss größer als die Zeit für die Redundanzumschaltung sein.
Warnung
Es handelt sich hier nur um eine Parameter-Kopierfunktion in der SICAM TOOLBOX II.
Das Anwenderprogramm des Zielsystems wird nicht synchronisiert
112
SICAM RTUs, SAFETY
Ablauf
·
Parametrierung
─ Beide BSE inklusive der ZSEs und PEs müssen einzeln bestückt werden.
─ Connections separat parametrieren.
─ Auf der BSE muss mit dem Parameter Redundanz – Red_Sync_Org_Abb
parametriert werden welche die Original und welche die Abbild BSE ist.
─ Weiters muss unter Redundanz – Adresse des redundanten BSEs die
redundante BSE parametriert werden (Region-Nr., Komponenten-Nr., BSE-Nr.).
·
Verfahrenstechnik
─ Die Parametrierung wird nur für die Original BSE durchgeführt. Das Auflegen auf die
PEs der Abbild-BSE ist durch die TBII gesperrt.
─ Der 1703-Umsetzer setzt nur die Parameter auf der Original-BSE um.
·
CAEx plus
─ Der Funktionsplan wird nur für die Original-BSE erstellt. Änderungen im Funktionsplan
der Abbild-BSE sind gesperrt.
·
Umsetzen und Safety V&V
─ Auf der Original BSE „1703 umsetzen“, falls die Abbilder geändert wurden.
─ CAEx plus umsetzen.
─ CAEx plus Safety Funktionsplan erstellen und Code generieren.
─ CAEx Safety V&V aufrufen und dort verifizieren, validieren und freigeben.
·
Laden und Verifizieren der Parameter der „Original“ BSE
─ Original Parameter laden.
─ Fingerprint mit Safety Monitor auslesen und mit Safety V&V Fingerprint vergleichen.
─ Safety PLC in den Zustand RUN schalten.
·
Kopieren der Spiegelparameter
─ Im OPMII auf die Original-BSE mit der rechten Maustaste klicken und
„Spiegelparameter kopieren“ anklicken.
─ Im OPMII auf die Abbild-BSE mit der rechten Maustaste klicken und „Spiegelparameter
einfügen“ anklicken.
─ Wenn das Kopieren erfolgreich war, können die Safety Parameter in die Abbild BSE
geladen werden.
·
Laden und Verifizieren der Parameter der „Abbild“ BSE
─ Safety Parameter in die Abbild-BSE laden und mit Safety V&V der Original-BSE
vergleichen.
─ Fingerprint mit Safety Monitor auslesen und mit Original BSE vergleichen.
─ Safety PLC in den Zustand RUN schalten.
SICAM RTUs, SAFETY
113
114
SICAM RTUs, SAFETY
6
Betriebszustände
Inhalt
6.1
Sicherer Betrieb............................................................................................ 116
6.2
Betriebszustände .......................................................................................... 117
6.3
Hochlauf ....................................................................................................... 119
6.4
Setzen des Betriebszustandes durch die SICAM TOOLBOX II ...................... 120
6.5
Anzeige des Betriebszustands ...................................................................... 121
6.6
Status der Teilsysteme je Betriebszustand .................................................... 124
6.7
Erlaubte Bedienhandlungen.......................................................................... 125
6.8
Betriebszustände der I/O-Module.................................................................. 126
SICAM RTUs, SAFETY
115
Betriebszustände
6.1
Sicherer Betrieb
Der sichere Betrieb einer SICAM RTUs mit der Funktion SICAM Safety ist jener
Betriebzustand, in dem sicherheitsgerichtete Kommunikation über Sicherheitstelegramme
möglich ist und Sicherheitsfunktionen gewährleistet sind.
In diesem Zustand sind alle Sicherheitsfunktionen zur Fehlererkennung und Fehlerreaktion in
den Safety-Modulen und der Safety-Applikation aktiviert.
Bei SICAM RTUs wird dieser Betriebszustand RUN genannt.
Prinzipiell erfolgt das Einstellen der Betriebszustände durch die SICAM TOOLBOX II (Loader,
Onlinetest, OPM II) durch explizite Bedienhandlung.
Die Anzeige der Betriebszustände erfolgt am I/O Modul, am BSE, im OPM II und im
Onlinetest.
Warnung
Nach einem ungewollten Trennen der Verbindung der SICAM TOOLBOX II bleibt die Anlage im Zustand
TEST.
116
SICAM RTUs, SAFETY
Betriebszustände
6.2
Betriebszustände
Bezüglich der Betriebszustände wird sowohl das Gesamtsystem als auch Teilsysteme
bestehend aus den Peripherieelementen und dem Safety-Systemelement betrachtet und kann
die Betriebszustände STOP, TEST, RUN und KILL annehmen.
Hochlauf
TOOLBOX II
Reset
Fehler
STOP
Parameter laden
Frimware laden
Online-Test
f
nlau meter
a
dera
Wie ety-Par eben)
f
(Sa freigeg
sind
r
ete n
m
e
a
r
b
Pa ge
ty- eige
e
f
r
Sa cht f
ni
KILL
(sicherer
Zustand)
RU
N
T
TES
(S
a
sin fety
d f -Pa
re ra
ige m
ge ete
be r
n)
STO
P
ST
OP
TEST
TEST
Parameter laden
Frimware laden
Online-Test
6.2.1
RUN (Parameter validiert
und freigegeben)
RUN
(Sicherheitsbetrieb)
RUN
RUN ist der "sichere Betrieb" des Safety-Systems. In diesem Zustand werden die
Sicherheitsfunktionen ausgeführt und das System ist gegen Veränderungen von
sicherheitsrelevanten Informationen und Parametern geschützt. Alle Ausgänge sind aktiv.
Der Betriebszustand RUN wird erreicht durch:
·
·
Eine explizite Bedienhandlung im Werkzeug OPM II.
Hochlauf (Reset, Power up) einer Anlage die bereits im Betrieb war.
Beide Fälle setzen voraus, dass die Safety-Parameter und Safety-Applikation validiert und
freigegeben sind.
Warnung
Der Betriebszustand RUN wird nach einem Hochlauf unabhängig vom vorher eingestellten
Betriebszustand eingenommen.
Der Wiederanlaufschutz des Gesamtsystems, bestehend aus SICAM RTUs und der Anlage, liegt bei
Reset oder Power up im Verantwortungsbereich der Applikation.
SICAM RTUs, SAFETY
117
Betriebszustände
6.2.2
STOP
In diesem Zustand werden die Ausgänge passiviert (=sicherer Zustand) und es können
Parameter und Firmware geladen und im Onlinetest mit allen Funktionen getestet werden.
Der Betriebszustand STOP wird erreicht durch:
·
·
6.2.3
Neustart von korrekt initialisierter AE mit geladener Safety-Applikation, welche jedoch
noch nicht freigegeben wurde.
Betriebszustandswechsel mittels SICAM TOOLBOX II aus dem Betriebszustand RUN
oder TEST.
TEST
Entspricht im wesentlichen dem Betriebszustand STOP, jedoch werden die Safety Ausgänge
aktiviert. Eine Freigabe der Applikation muss nicht stattgefunden haben.
Gefahr
Der Betriebszustand TEST wird erreicht durch:
·
6.2.4
Eine explizite Bedienhandlung im Werkzeug OPM II.
KILL
Dieser Zustand wird nach Systemfehlern eingenommen und bringt das System in den
"Sicheren Zustand", der keinen Wiederanlauf ohne expliziter Bedienhandlung (z.B. Reset,
Power up) ermöglicht.
Der Betriebszustand KILL wird erreicht durch:
·
Einen Systemfehler (siehe Kapitel: Fehlererkennung und -behandlung).
·
Neustart einer korrekt initialisierten AE ohne geladener Safety-Applikation.
Folgen des "sicheren Zustands":
·
·
·
·
118
Die Ausgänge werden stromlos/spannungslos geschalten
An den Eingängen erfolgt keine Aktualisierung der Signale
Die Safety-Applikation läuft nicht
Parameter und Firmware können neu geladen werden
SICAM RTUs, SAFETY
Betriebszustände
6.3
Hochlauf
Der "Hochlauf" ist ein temporärer Betriebszustand der entweder durch ein "Power up" oder
"Reset" erreicht wird.
Während eines Hochlaufs werden folgende Aktionen durchgeführt:
·
·
·
·
·
Selbsttests
Adressvergabe und Kommunikationsaufbau mit I/O-Modulen.
(Kommunikation mit I/O-Modulen ist nicht sicher)
Die Safety-Parameter und die Safety-Applikation werden auf Vollständigkeit, Konsistenz
und auf Plausibilität geprüft.
Die installierten Module werden gegenüber der Parametrierung (Bestückung und HW
Schalter) geprüft. Abweichende Module nehmen den Betriebszustand KILL ein.
Die Ausgänge bleiben abgesteuert
Nach erfolgreichem Hochlauf befindet sich das System im Zustand RUN, wenn SafetyApplikation und Safety-Parameter vorhanden und freigegeben sind. Ist dies nicht der Fall, wird
der Betriebszustand STOP eingenommen.
SICAM RTUs, SAFETY
119
Betriebszustände
6.4
Setzen des Betriebszustandes durch die
SICAM TOOLBOX II
Am Zielsystem hat der Anwender keine direkte Möglichkeit die Betriebszustände zu setzen.
Der Anwender kann die einzelnen Betriebszustände (mit Ausnahme von KILL) nur über die
SICAM TOOLBOX II im OPM II ändern. Weiters ist die Eingabe der Confirmation-ID
erforderlich.
Der Aufruf des Dialogs erfolgt aus dem Kontextmenü der Safety-Applikation in der
Systemtechnik.
120
SICAM RTUs, SAFETY
Betriebszustände
6.5
Anzeige des Betriebszustands
6.5.1
SICAM AK 3
Die Anzeige erfolgt mittels LED an jedem Safety I/O-Modul und am Basissystemelement.
Zusätzlich kann der Betriebszustand in der SICAM TOOLBOX II und an einem beliebigen
Leitsystem (Standard Diagnosefunktion) angezeigt werden.
CP-2019
PS-263x
CP-2016 CP-2019
DI-2110
DI-2110
DI-2110
DI-2110
DO-2210 AI-2301
AI-2300
AI-2300
CP-201 9
DI-2110
DI-2110
DI-2110
DO-2210 AI-2301
SICAM AK
PS-263 x
SICAM AK
Folgende LED Zustände werden in den einzelnen Betriebszuständen eingenommen:
Element
LED
RUN
STOP
TEST
KILL
Hochlauf
CP-2019
Ready (RY)
leuchtet
leuchtet
leuchtet
dunkel
dunkel
Error (ER)
dunkel
dunkel
dunkel
leuchtet
leuchtet
HALT (HLT)
dunkel
dunkel
dunkel
blinkt
dunkel
Safety (SF)
leuchtet
dunkel
blinkt
dunkel
dunkel
Ready (RY)
leuchtet
leuchtet
leuchtet
dunkel
dunkel
Safety (SF)
leuchtet
dunkel
blinkt
dunkel
dunkel
Error (ER)
dunkel
dunkel
dunkel
blinkt
leuchtet
I/O-Modul
*) leuchtet während der Abarbeitung der Safety-Application
SICAM RTUs, SAFETY
121
Betriebszustände
6.5.2
SICAM AK
Die Anzeige erfolgt mittels LED an jedem Safety I/O-Modul und am Basissystemelement.
Zusätzlich kann der Betriebszustand in der SICAM TOOLBOX II und an einem beliebigen
Leitsystem (Standard Diagnosefunktion) angezeigt werden.
Element
LED
RUN
STOP
TEST
KILL
Hochlauf
CP-2017
Ready (RY)
leuchtet
leuchtet
leuchtet
dunkel
dunkel
Error (ER)
dunkel
dunkel
dunkel
leuchtet
leuchtet
HALT (HLT)
dunkel
dunkel
dunkel
blinkt
dunkel
Safety (SF)
leuchtet
dunkel
blinkt
dunkel
dunkel
sPLC Run (TSK SF)
leuchtet/
dunkel *)
leuchtet
leuchtet
dunkel
dunkel
Ready (RY)
leuchtet
leuchtet
leuchtet
dunkel
dunkel
Safety (SF)
leuchtet
dunkel
blinkt
dunkel
dunkel
Error (ER)
dunkel
dunkel
dunkel
blinkt
leuchtet
I/O-Modul
*) leuchtet während der Abarbeitung der Safety-Application
122
SICAM RTUs, SAFETY
Betriebszustände
6.5.3
SICAM TM
Die Anzeige des Betriebszustands erfolgt mittels LED an jedem Safety I/O-Modul. Zusätzlich
kann der Betriebszustand in der SICAM TOOLBOX II und an einem beliebigen Leitsystem
(Standard Diagnosefunktion) angezeigt werden.
Hinweis
Bei SICAM TM gibt es keine Anzeige des Betriebszustands am Steuerkopfelement.
ER
5
RY
SI3
/LK
/PK
ER
COM
CPY
SI2
SI0
SI1
/LK
ERx RX TX
LOC
X1
X16
PU SH TO
R ELE ASE
4
6
X13
3
PWR
24-60VDC
2
X14
X15
X5
WD
X12
PUSH TO UNLOCK
X11
FB X4
X9
X10
M-PRE/3
SI3
M-PRE/2
SI2 (FB)
1
/PK
RY
RES
S I3
S I1
S I2
ER
S I0
LOC
COM
CPY
/ LK
/P K
/ LK
/P K
ERx RX TX
TM 1703 ACP CP-6014
X8
M-PRE/1
SI1 (ETO)
SIM0
X6
X7
M-PRE/0
SI0
NC
X2
PUSH TO
R ELEASE
TB
X3
SICAM
CP-6014
Element
LED
RUN
STOP
TEST
KILL
Hochlauf
CP-6014
Ready (RY)
leuchtet
leuchtet
leuchtet
dunkel
dunkel
I/O-Modul
Ready (RY)
leuchtet
leuchtet
leuchtet
dunkel
dunkel
Safety (SF)
leuchtet
dunkel
blinkt
dunkel
dunkel
Error (ER)
dunkel
dunkel
dunkel
blinkt
leuchtet
SICAM RTUs, SAFETY
123
Betriebszustände
6.6
Status der Teilsysteme je Betriebszustand
Die folgende Tabelle zeigt, welche Funktionen in welchem Betriebszustand möglich sind:
Teilsystem
RUN
STOP
TEST
KILL
Safety Eingang (Safety DI, AI)
aktiviert
aktiviert
aktiviert
passiviert
Safety Ausgang (Safety DO)
aktiviert
passiviert
aktiviert
passiviert
Safety-Applikation
aktiv
aktiv
aktiv
inaktiv
Safety-Applikation, Überwachung
aktiv
aktiv
aktiv
inaktiv
Safety Kommunikation von/zu I/O-Modul
aktiv
aktiv
aktiv
inaktiv
Legende:
aktiv .......... Die Programmabarbeitung läuft
inaktiv ....... Die Programmabarbeitung ist gestoppt
Die Prozesswerte für Ausgänge werden nicht mehr über den Safety-Layer übertragen
aktiviert ..... Eingänge geben die aktuellen Prozesswerte an die Safety-Applikation weiter
Ausgänge geben die von der Safety PLC ermittelten Prozesswerte aus
passiviert .. Prozesswerte ‚0’, Status „invalid“
Ausgänge werden abgesteuert
Gefahr
Da im Onlinetest bei schreibenden Zugriffen (z.B. Forcen) die Safety PLC Programmüberwachung
systembedingt eine Abweichung feststellen würde, wird in diesem Fall die Programmüberwachung
abgeschaltet und es können daher falsche Werte ausgegeben werden.
Hinweis
Die Betriebszustände RUN, STOP, TEST werden von allen an der Safety-Funktion beteiligten Elementen
eingenommen. Der Zustand KILL kann auch von einzelnen Elementen (z.B. I/O-Modul) eingenommen
werden.
124
SICAM RTUs, SAFETY
Betriebszustände
6.7
Erlaubte Bedienhandlungen
Die folgende Tabelle zeigt welche Bedienhandlungen in welchem Betriebszustand möglich
sind.
Bedienhandlung
STOP
TEST
RUN
KILL
Parameter laden des BSE
aktiv
aktiv
inaktiv
aktiv
Parameter laden M-CPU, andere BSE
aktiv
aktiv
aktiv
aktiv
Firmware laden des BSE und deren ZSE´s
aktiv
aktiv
inaktiv
aktiv
Firmware laden M-CPU, andere BSE
aktiv
aktiv
aktiv
aktiv
Datenflusstest Standard Firmware
aktiv
aktiv
aktiv
aktiv
Telegrammsimulation Standard Firmware
aktiv
aktiv
aktiv
aktiv
Revisionsabfrage
aktiv
aktiv
aktiv
aktiv
Diagnose
aktiv
aktiv
aktiv
aktiv
Fernwartung
aktiv
aktiv
aktiv
inaktiv
Onlinetest Standard Applikation
read / write
read / write
read / write
inaktiv
Onlinetest Safety-Applikation
read / write
read / write
read
inaktiv
Safety Monitor – Safety-Applikation
read
read
read
inaktiv
ST-Emulation
read / write
read / write
read
read / write
Hinweis
Wurden Schreibzugriffe im Onlinetest (z.B. Variablen ändern) auf der Safety-Applikation durchgeführt,
wird ein Reset ausgelöst nachdem in den Betriebszustand RUN geschalten wurde.
SICAM RTUs, SAFETY
125
Betriebszustände
6.8
Betriebszustände der I/O-Module
Die Betriebszustände auf den I/O-Modulen werden entsprechend den Betriebszuständen auf
dem BSE definiert. Als Master gibt das BSE die eigentlichen Betriebszustände vor, welche
über die sichere Kommunikation auf den I/O-Modulen synchronisiert werden. Der Zustand
„Hochlauf“ ist ein temporärer Betriebszustand, der zur Umsetzung des
Synchronisierungsvorganges mit dem BSE notwendig ist.
126
SICAM RTUs, SAFETY
7
Inhalt
7.1
Einleitung ..................................................................................................... 128
7.2
Fehlerklassen ............................................................................................... 129
7.3
Systemfehler ................................................................................................ 130
7.4
Kanalfehler ................................................................................................... 132
7.5
7.6
Diagnose ...................................................................................................... 137
CAEx safety Fehleraufdeckungs- und Fehlervermeidungsmaßnahmen ......... 138
SICAM RTUs, SAFETY
127
7.1
Einleitung
Um funktionale Sicherheit einer Maschine oder Anlage zu erreichen, ist es nicht nur
notwendig, dass die sicherheitskritischen Teile der Schutz- und Steuereinrichtungen korrekt
funktionieren, sondern sich auch im Fehlerfall so verhalten, dass die Anlage in einen sicheren
Zustand gebracht wird bzw. in einem sicheren Zustand bleibt. Zusätzlich zur entsprechenden
sicherheitsgerichteten Verhalten des System, wird eine entsprechende Diagnoseinformation
gesetzt.
Dazu prüft das System laufend die korrekte Funktion
·
·
·
·
128
der Hard- und Firmware,
der Kommunikation zwischen der Safety-Applikation und den I/O Modulen
der angeschlossenen Geber und Aktuatoren (soweit möglich),
der Safety-Applikation
SICAM RTUs, SAFETY
7.2
Fehlerklassen
In Abhängigkeit der Schwere des Fehlers und der betroffenen Systemteile wird in
Fehlerklassen unterschieden:
Fehlerklasse
Ursachen
Auswirkungen
Systemfehler
· Zugriffsverletzungen
· Baugruppenfehler
· Kommunikationsfehler (CRC,
laufende Nummer, Timing)
· Inkonsistente Parameter
·
·
·
·
Kanalfehler
· Einzelne Eingangskanalfehler wie
Kurzschluss
· Externe Geber defekt
· Verdrahtungsfehler
· Entsprechende Parameter nicht
plausibel
· Globaler Error im
Anwenderprogramm
· Sicherer Zustand des betroffenen Kanals
· Kommunikation mit I/O-Modulen besteht
weiter (sofern möglich)
· Laufende Prüfung auf Gehen des Fehlers
· Einzelne Kanäle werden „passiviert“ die
Fehlerreaktion liegt im
Verantwortungsbereich der Anwendung
· automatische Fehlerbehebung möglich
· Wiederanlauf wahlweise automatisch oder
durch Applikation möglich
Parameter
· Applikationsprogramm nicht
freigegeben
· Betriebszustand STOP
· Sicherer Zustand
SICAM RTUs, SAFETY
Betriebszustand KILL
Sicherer Zustand
Keine weitere Prüfung auf Gehen des Fehlers
Wiederanlauf nur über Bedienhandlung
129
7.3
Systemfehler
Systemfehler sind Fehler welche das Gesamtsystem oder Teile des Systems in den
Betriebszustand KILL führen. In Abhängigkeit des Auftrittsortes (Basissystemelement oder I/O
Modul) gibt es unterschiedliche Auswirkungen auf das Gesamtsystem.
Mögliche Ursachen
·
·
·
·
·
·
·
·
Defekt der eingesetzten Hardware (z.B. CPU-Fehler, Speicherfehler)
Fehlverhalten der Standard und Safety-Firmware
Fehlverhalten des Safety-Applikationsprogramms
Fehlverhalten der Standard und Safety-Firmware oder Applikationsprogramme bei
Endlosschleifen, zu langen Softwarelaufzeiten etc.
Ausfall des 10ms Betriebsystemtakts
unregelmäßige (nicht äquidistant, keine, zu oft, zu wenig) Abarbeitung
unvollständige Abarbeitung
Fehler in der Kommunikation zwischen Basissystemelementen und I/O Moduln
Auswirkungen
·
·
·
·
·
Das (die) Systemelement(e) werden in sicheren Zustand geschalten.
Entsprechend dem betroffenen Teil wird das Systemelement (Basissystemelement oder
I/O Modul) in den Betriebszustand KILL gesetzt.
Systemfehler im Basissystemelement bringen auch die zugehörigen I/O Module in den
Betriebszustand KILL.
Anzeige des Betriebzustands auf den LED´s der Systemelemente (siehe Anzeige des
Betriebszustands).
In Abhängigkeit des Fehlerorts gibt es unterschiedliche Auswirkungen auf das
Gesamtsystem
─ Systemfehler am Basissystemelement
─ Systemfehler am I/O-Modulen mit Eingängen
─ Systemfehler am I/O-Modulen mit Ausgängen
Abhilfe
·
·
·
7.3.1
Diagnose mit der SICAM TOOLBOX II
Fehler beheben
z.B. Modul Tausch
Wiederanlauf durchführen
Systemfehler am Basissystemelement
Wird am Basissystemelement ein Systemfehler erkannt, wird das Systemelement in den
Betriebszustand KILL gesetzt. In diesem Betriebszustand wird die Kommunikation zu den
I/O Modulen eingestellt. Dies führt dazu, dass alle I/O Module ebenfalls in den
Betriebszustand KILL versetzt werden. Bei Ausgabe-I/O Modulen bewirkt das ein Abschalten
der Ausgänge.
Ein Wiederanlauf erfolgt durch ein Reset oder durch Einschalten der Versorgungsspannung.
130
SICAM RTUs, SAFETY
Gefahr
Wird im Applikationsprogramm keine Wiederanlaufprozedur programmiert, erfolgt ein Wiederanlauf nach
Reset oder durch Einschalten der Versorgungsspannung ohne einer weiteren Bedienhandlung.
7.3.2
Systemfehler am I/O-Modul mit Eingängen
Wird am I/O Modul mit Eingängen ein Systemfehler erkannt, wird das Systemelement in den
Betriebszustand KILL gesetzt. In diesem Betriebszustand wird die Kommunikation zum
übergeordneten Basissystemelement eingestellt. Dies führt dazu, dass alle Datenpunkte des
betroffenen I/O Moduls in den sicheren Zustand gesetzt werden (siehe Passivierung von
Kanälen)
Gefahr
Wird im Applikationsprogramm der Zustand der betroffenen Datenpunkte nicht berücksichtigt, kann es zu
einem Fehlverhalten der Anlage führen.
Ein Wiederanlauf erfolgt durch einen Reset des übergeordneten PeripherieelementKoppelmoduls (Service Funktion Online in der TOOLBOXII) oder durch Power up.
Gefahr
Wird im Applikationsprogramm keine Wiederanlaufprozedur programmiert, erfolgt ein Wiederanlauf nach
Ziehen und Stecken oder durch Tausch des I/O Moduls ohne einer weiteren Bedienhandlung.
7.3.3
Systemfehler am I/O-Modul mit Ausgängen
Wird am I/O Modul mit Ausgängen ein Systemfehler erkannt, wird das Systemelement in den
Betriebszustand KILL gesetzt. In diesem Betriebszustand werden alle Ausgänge
abgeschalten. Vom übergeordneten Basissystemelement wird dieser Zustand dem
Applikationsprogramm zur Verfügung gestellt. Zusätzlich werden alle Datenpunkte des
betroffenen I/O Moduls in den sicheren Zustand gesetzt werden (siehe Passivierung von
Kanälen)
Gefahr
Im Applikationsprogramm ist dieser Zustand derart zu berücksichtigen, dass keine Gefahr für das
Gesamtsystem entsteht.
Ein Wiederanlauf erfolgt durch einen Reset des übergeordneten PeripherieelementKoppelmoduls (Service Funktion Online in der TOOLBOXII) oder durch Power up.
Gefahr
Wird in der Safety-Applikation keine Wiederanlaufprozedur programmiert, erfolgt ein sofortiger
Wiederanlauf wenn alle Kanalfehler behoben wurden (z.B. nach Ziehen und Stecken oder durch Tausch
des I/O Moduls) ohne einer weiteren Bedienhandlung.
SICAM RTUs, SAFETY
131
7.4
Kanalfehler
Kanalfehler sind Fehler, bei denen einzelne Datenpunkte in den sicheren Zustand
(Passivierung) gesetzt werden. In Abhängigkeit des Auftrittsortes (Basissystemelement oder
I/O Modul) gibt es unterschiedliche Auswirkungen auf das Gesamtsystem.
Mögliche Ursachen
·
·
·
·
·
Defekt der eingesetzten Hardware (z.B. ADC defekt, Kurzschluss im Eingangskreis)
Verdrahtungsfehler
Geber defekt
Unplausible Werte einzelner Datenpunkte
Berechnungsfehler im Applikationsprogramm (z.B. Wertüberlauf)
Auswirkungen
·
·
Passivierung des betroffenen Datenpunktes
In Abhängigkeit des Fehlerorts gibt es unterschiedliche Auswirkungen auf das
Gesamtsystem
─ Kanalfehler am Basissystemelement
─ Kanalfehler am I/O-Modulen mit Eingängen
─ Kanalfehler am I/O-Modulen mit Ausgängen
Abhilfe
·
·
·
7.4.1
Diagnose mit der SICAM TOOLBOX II
Fehler beheben (Depassivierung von Kanälen)
z.B. Verdrahtungsfehler beheben
Wiederanlauf durchführen.
Kanalfehler am Basissystemelement
Fehler welche bei der Abarbeitung der Safety-Applikation auftreten (globaler Error eines
Safety-Moduls), führen zu einem passivieren der sicheren Ausgänge auf den
Ausgabebaugruppen.
Unter welchen Bedingungen ein globaler Error erkannt wird, ist der Onlinehilfe für „CAEx plus
Module“ zu entnehmen.
7.4.2
Kanalfehler am I/O-Modul mit Eingängen
Wird am I/O Modul mit Eingängen ein Kanalfehler erkannt, wird der betroffene Eingang in den
sicheren Zustand gesetzt (passiviert). Der Safety-Applikation wird der Kanalfehler zur
Verfügung gestellt. Eine weitere Verarbeitung dieser Information wird entsprechend dem
Parameter Sicherer Zustand bei Kanalfehler durchgeführt (siehe Verhalten bei
Kanalfehlern)
132
SICAM RTUs, SAFETY
7.4.3
Kanalfehler am I/O-Modul mit Ausgängen
Wird am I/O Modul mit Ausgängen ein Kanalfehler erkannt, wird der betroffene Ausgang in
den sicheren Zustand gesetzt (passiviert). Der Safety-Applikation wird der Kanalfehler zur
Verfügung gestellt. Eine weitere Verarbeitung dieser Information wird entsprechend dem
Parameter Sicherer Zustand bei Kanalfehler durchgeführt (siehe Verhalten bei
Kanalfehlern)
7.4.4
Verhalten bei Kanalfehlern
Warnung
Der Wiederanlaufschutz für den Prozess ist nicht in der Firmware der Systemkomponenten implementiert
sondern liegt im Verantwortungsbereich der Applikation. Die Applikation muss den Wiederanlauf des
Prozesses abhängig von den Prozesszuständen steuern.
Das Wiederanlaufverhalten für Kanalfehler die durch das System erkannt werden ist durch den Parameter
Sicherer Zustand bei Kanalfehler einstellbar.
Je nach Anwendung, kann ein Verhalten für den sicheren Zustand der Automatisierungseinheit gewählt werden.
·
·
Anwenderprogramm
Der sichere Zustand muss durch Logikverknüpfungen in der Safety-Applikation
gewährleistet werden.
d.h. die Safety-Ausgänge müssen mit Fehlerbedingungen in der Safety-Applikation
verknüpft werden.
Wird der „Globale Error“ durch die Safety-Applikation gesetzt, werden auch in diesem Fall
die sicheren Ausgänge in den sicheren Zustand geschalten.
Automatisch ohne Wiederanlaufsperre
sobald ein Kanalfehler auftritt (z.B. Eingang des DI_00 ist gestört oder ein
Berechnungsfehler in der Safety-Applikation), werden alle Ausgänge in den sicheren
Zustand geschalten. Bei gehendem Fehler werden die Ausgänge sofort wieder
durchgeschaltet.
Hinweis
Diese Konfiguration ist für Bahnanwendungen nicht zulässig.
·
Automatisch mit Wiederanlaufsperre
sobald ein Kanalfehler auftritt (z.B. Eingang des DI_00 ist gestört oder ein
Berechnungsfehler in der Safety-Applikation wird gesetzt), werden alle sicheren Ausgänge
in den sicheren Zustand geschalten. Bei gehendem Fehler muss das Durchschalten der
Ausgänge über den Systembaustein TB_RESTART_INHIBIT quittiert werden.
SICAM RTUs, SAFETY
133
7.4.4.1
Anwenderprogramm
Wird der Parameter Sicherer Zustand bei Kanalfehler auf „Anwenderprogramm“
gestellt, werden bei einem Kanalfehler nicht alle Ausgänge der Automatisierungseinheit
automatisch in den sicheren Zustand gesetzt. Es muss durch applikative Maßnahmen
sichergestellt werden, dass die entsprechenden Ausgänge in den sicheren Zustand gebracht
werden.
Hinweis
Auswertungen der Kanalfehler müssen im Anwenderprogramm durchgeführt werden
Die applikative Maßnahme ist nur für Kanalfehler von I/O Modulen erforderlich. Kanalfehler
welche aus der Safety-Applikation entstehen („GlobaleError“) setzten alle Ausgänge
automatisch in den sicheren Zustand.
Gefahr
SI IOMx IN D00 SAFE
>=1
&
&
&
&
Binary information output
IOMx OUT D00 SAFE
IOM
2
IOMy OUT D00 SAFE
IOM
3
SI IOMx IN D00 faulty SAFE
IOM
0
SI IOMx IN D01 SAFE
ENO
Current IOMx - IN V00 SAFE
SI_ADD
SI_LT
Current IOMx - IN V00 faulty SAFE
IOM
1
Current IOMx - IN V00 OV SAFE
20000
>=1
IOM
2
BI output IOMx - OUT D00 faulty SAFE
IOM
3
BI output IOMy - OUT D00 faulty SAFE
IOM
4
Anwenderprogramm
GlobalError
Sicherer Zustand bei Kanalfehler =
„Anwenderprogramm“
SI IOMx IN D00 SAFE
Legende:
IOM 0
IOM 1
IOM 2
IOM 3
IOM 4
134
… DI-6170
… AI-6370
… DO-6270
… DO-6270
… DI-6170
Safety Firmware
SICAM RTUs, SAFETY
7.4.4.2
Automatisch ohne Wiederanlaufsperre
Wird der Parameter Sicherer Zustand bei Kanalfehler auf „Automatisch ohne
Wiederanlaufsperre“ gestellt, werden bei einem Kanalfehler alle Ausgänge der
Automatisierungseinheit automatisch in den sicheren Zustand gesetzt.
Gefahr
SI IOMx IN D00 SAFE
&
>=1
IOMx OUT D00 SAFE
IOM
2
IOMy OUT D00 SAFE
IOM
3
IOM
0
SI IOMx IN D01 SAFE
ENO
SI_ADD
SI_LT
&
IOM
1
20000
IOM
2
IOM
3
IOM
4
Anwenderprogramm
GlobalError
„automatisch ohne Wiederanlaufsperre“
SI IOMx IN D00 SAFE
Legende:
IOM 0
IOM 1
IOM 2
IOM 3
IOM 4
… DI-6170
… AI-6370
… DO-6270
… DO-6270
… DI-6170
>=1
Safety Firmware
Hinweis
Diese Konfiguration ist für Bahnanwendungen nicht zulässig.
SICAM RTUs, SAFETY
135
7.4.4.3
Automatisch mit Wiederanlaufsperre
Wird der Parameter Sicherer Zustand bei Kanalfehler auf „Automatisch mit
Wiederanlaufsperre“ gestellt, werden bei einem Kanalfehler alle Ausgänge der
Automatisierungseinheit automatisch in den sicheren Zustand gesetzt.
Wenn alle Kanalfehler behoben wurden (z.B. nach Ziehen und Stecken oder durch Tausch
des I/O Moduls) erfolgt ein Wiederanlauf erst, wenn explizite Bedienhandlung (eine positive
Flanke) am Systembaustein für den Wiederanlauf „TB_RESTART_INHIBIT“ erkannt wird.
SI IOMx IN D00 SAFE
&
>=1
IOMx OUT D00 SAFE
IOM
2
IOMy OUT D00 SAFE
IOM
3
IOM
0
SI IOMx IN D01 SAFE
ENO
SI_ADD
&
SI_LT
IOM
1
20000
TB_RESTART_INHIBIT
IOM
2
IOM
3
IOM
4
Anwenderprogramm
GlobalError
„automatisch mit Wiederanlaufsperre“
SI IOMx IN D00 SAFE
S
Legende:
IOM 0
IOM 1
IOM 2
IOM 3
IOM 4
136
… DI-6170
… AI-6370
… DO-6270
… DO-6270
… DI-6170
RS
>=1
Safety Firmware
SICAM RTUs, SAFETY
7.5
Diagnose
Für die Diagnose von System- oder Kanalfehlern sind je nach erwünschter Detaillierung
folgende Diagnosemöglichkeiten vorgesehen.
·
·
7.5.1
Standarddiagnose
LED Anzeige
Standarddiagnose
Die SICAM TOOLBOX II verfügt über Mittel zur Diagnoseauswertung und Quittierung der
Diagnosemeldungen ausgehend von den I/O-Modulen und dem Basissystemelement.
Zusätzlich können mit der Standarddiagnose die Diagnoseinformationen für die weitere
Verarbeitung (wie Prozessinformationen) verteilt werden.
Achtung
Informationen der Standarddiagnose dürfen nicht zur Beeinflussung des sicheren Zustands herangezogen
werden.
7.5.2
LED Anzeige
Grundsätzlich werden die Betriebszustände und Diagnoseinformationen über die LED’s der
Automatisierungseinheit angezeigt.
·
·
·
·
·
Diagnose LED’s am BSE:
über diese LED’s werden Fehler aller Fehlerklassen angezeigt.
Halt LED am BSE:
diese LED wird genutzt, um den Zustand KILL anzuzeigen.
Error LED auf den I/O-Modulen:
diese LED wird genutzt, um den Zustand KILL anzuzeigen.
Safety LED:
dient zur Anzeige des „sicheren“ Betriebes sowohl am BSE als auch an den I/O-Modulen.
Kanal LED:
auf den I/O-Modulen wird der aktuelle Kanalzustand entsprechend dem anliegenden bzw.
ausgegeben Signal durch die zugehörige Kanal LED angezeigt.
Im Zustand KILL oder bei kanalselektiver Passivierung wird der Letztzustand des Kanals
angezeigt.
Die Kanal LED für nicht aktivierte Kanäle bleibt dunkel, es erfolgt keinerlei Statusanzeige.
SICAM RTUs, SAFETY
137
7.6
CAEx safety Fehleraufdeckungs- und
Fehlervermeidungsmaßnahmen
·
·
·
·
·
·
·
·
·
·
7.6.1
Die Verarbeitung der Daten erfolgt durch vom Programmiersystem unabhängige CAEx
safety-Komponenten.
Prüfsummen und Fingerprints sichern die Integrität der Applikationsdaten während der
Verarbeitung mit CAEx safety bis zur Ausführung auf der Steuerung.
Falls die Daten während der Verarbeitung durch Fehler verfälscht werden, wird beim
nächsten Verarbeitungsschritt abgebrochen.
Code-Fingerprints dienen zur Identifizierung der Applikationsdaten in CAEx safety durch
den Endbenutzer.
Der Endbenutzer muss diese Code-Fingerprints nach jedem Download, bei der
Validierung, Verifikation und Freigabe prüfen, um sicherzustellen, dass die richtige
Applikation geladen ist bzw. bearbeitet wird.
Vor dem Download werden die aufbereiteten Daten durch CAEx safety nochmals
Plausibilitätsprüfungen unterzogen. (z.B. Vergleich der Binärdatei-Prüfsumme)
Das Ergebnis der Prüfmaßnahmen (Validierung, Verifikation, Freigabe), die Ihr
Entwicklungsprozess vorgeben muss, können Sie in der Komponente Safety V&V
erfassen. Das erfasste Ergebnis der Prüfmaßnahmen wird in den Applikationsdaten
abgelegt (inkl. Benutzerkennung des Erfassers, Datum/Zeit und einem dabei vergebenen
Kommentar).
Ein vom Programmiersystem unabhängiger Anzeigepfad wird für Reviews der
Applikationsdaten zur Verfügung gestellt: Mit Safety V&V werden die Applikationsdaten in
einer dem Programmiersystem vergleichbaren Form dargestellt.
Änderungen (Erweiterungen/Fehlerbehebungen) an einer Applikation, die bereits mit Hilfe
von CAEx safety in den Betrieb genommen wurde werden in Safety V&V dargestellt.
Damit ist eine Delta-Prüfung möglich.
Die Komponente Safety Monitor ermöglicht die Prüfung von Applikationsdaten auf der
Steuerung und des E/E/PE-Systems selbst:
─ Identifikation der laufenden Applikation durch Code-Fingerprints
─ Status der Validierung, Verifikation und Freigabe für die laufende Applikation
─ Betriebszustand des E/E/PE-Systems
─ weitere Parameterdaten zur Überwachung der Applikation bzw. des E/E/PE-Systems
Prüfberichte zur Applikation (im XML- und im PDF-Format) können in Safety V&V und
Safety Monitor erzeugt werden. Basis für diese Prüfberichte sind die von CAEx safety
aufbereiteten Applikationsdaten. Unbeabsichtigte Verfälschungen dieser
Applikationsdaten werden im Prüfbericht dokumentiert. Zusätzlich können unbeabsichtigte
Verfälschungen des XML-Prüfberichts erkannt werden.
Auf der Steuerung wird nochmals sichergestellt, dass die Daten in Übereinstimmung mit
den Einschränkungen der Steuerung abgearbeitet werden können.
Maßnahmen zur Authentifizierung
CAEx safety verwendet automatisch die Kennung des Benutzers, wenn das Ergebnis der
Prüfmaßnahmen (Validierung, Verifikation, Freigabe) in Safety V&V erfasst wird.
Als Benutzerkennung wird der SICAM TOOLBOX II Benutzername verwendet.
Warnung
Nur befugte Personen dürfen Zugang/Zugriff auf die Arbeitsplätze haben, die während der Verifikation,
Validierung, Freigabe aber auch zum Download eingesetzt werden.
Geeignete Maßnahmen sind für unbeaufsichtigte Arbeitsplätze (während Unterbrechungen, Pausen usw.)
zu treffen.
Stellen Sie sicher, dass die Personen auf dem Arbeitsplatz korrekt authentifiziert sind.
138
SICAM RTUs, SAFETY
Hinweis
Beispiel für eingeschränkten Zugang/Zugriff:
Die Betriebssystem-Funktionalitäten "Sperren des Arbeitsplatzes" und "Aktivierung des
Bildschirmschoners mit Kennwort" werden beim Verlassen des Arbeitsplatzes angewendet. Das benötigte
Kennwort ist nur den befugten Personen bekannt.
Safety V&V und Safety Monitor ermöglichen es, zu kontrollieren, unter welcher Benutzerkennung
Änderungen vorgenommen werden oder worden sind. In den Arbeitsabläufen wird diese Kontrolle der
Benutzerkennung angewiesen.
Beim Erfassen der Prüfmaßnahmen verwendet Safety V&V außerdem jenes Datum und jene
Zeit, wie diese vom Betriebssystem vorgegeben sind.
Hinweis
Ändern Sie die Betriebssystemeinstellungen für Datum/Zeit nur aus zwingenden Gründen (z.B.
Umstellung der Winterzeit auf die Sommerzeit). In Folge wird der geänderte Zeitstempel in Safety V&V
beim Erfassen der Prüfmaßnahmen verwendet.
SICAM RTUs, SAFETY
139
140
SICAM RTUs, SAFETY
8
Systemreaktionszeit
Inhalt
8.1
Allgemein ..................................................................................................... 142
SICAM RTUs, SAFETY
141
Systemreaktionszeit
8.1
Allgemein
Das Abschalten einer Anlage bzw. Maschine muss innerhalb einer definierten Zeit erfolgen.
Diese Zeit wird Systemreaktionszeit TSYS genannt.
Die Systemreaktionszeit ist die Zeit, die zwischen der Eingangssignaländerung (Sensor DI6170 bzw. AI-6370) und der Ausgabe des Auslösesignals (Aktuator DO-6270) gemessen wird.
Die Erkennung eines Safety-relevanten Fehlers im System muss innerhalb dieser Zeit das
System in einen sicheren Zustand führen und darin gehalten werden.
Die Systemreaktionszeit ist abhängig von der Konfiguration. Es werden folgende
Konfigurationen unterschieden:
·
·
8.1.1
Ein- und Ausgabe innerhalb eines Basissystemelements
Ein- und Ausgabe über verteilte Basissystemelemente / Automatisierungseinheiten
Ein- und Ausgabe innerhalb eines Basissystemelements
Die Systemreaktionszeit (von der Eingangssignaländerung bis zur Ausgabe des
Auslösesignals) darf 100 ms nicht überschreiten.
Die Systemreaktionszeit ist abhängig von der einstellbaren Zykluszeit der sPLC.
Folgende Zeiten müssen für die Betrachtung der Systemreaktionszeit analysiert werden:
(TERF + TBUS + TSPLC x 2 + TBUS + TDO ) < TSYS
TERF ... 10 ms; Zeit für die Erfassung auf dem DI-6170 bzw. AI-6370
TBUS ... 20 ms; Zeit für die Abwicklung der Busübertragung
TSPLC . Zeit für die Verarbeitung der Safety Steuer und Regelfunktion
TDO .... 10 ms; Zeit für die Ausgabe auf dem DO-6270
Hinweis
Die minimale Zykluszeit T SPLC für die Verarbeitung ist abhängig von der Anzahl der
Verarbeitungsbausteine.
TBUS setzt sich aus der regulären Dauer für die Abwicklung der Kommunikation und der Anzahl der
tolerierten Übertragungsfehler (Retries) zusammen.
8.1.2
Ein- und Ausgabe über verteilte Basissystemelemente /
Automatisierungseinheiten
Die erreichbare Systemreaktionszeit (von der Eingangssignaländerung bis zur Ausgabe des
Auslösesignals) ist von der Bandbreite der Kommunikation zwischen den
Automatisierungseinheiten und von den einstellbaren Zykluszeiten der beiden sPLC
abhängig.
142
SICAM RTUs, SAFETY
Technische Daten
Folgende Zeiten müssen für die Betrachtung der Systemreaktionszeit analysiert werden:
(TERF + TBUS + TSPLCM + TWD + TSPLCS + TBUS + TDO ) < TSYS
TERF ......... 10 ms; Zeit für die Erfassung auf dem DI-6170 bzw. AI-6370
TBUS ..... 20 ms; Zeit für die Abwicklung der Kommunikation
TSPLCM .. parametrierbare Zykluszeit für die Safety Steuer- und Regelfunktion im MasterBasissystemelement
TWD .......... parametrierbare Watchdogzeit für die sichere Kommunikation zwischen
Basissystemelementen / Automatisierungseinheiten
TSPLCS .. parametrierbare Zykluszeit für die Safety Steuer- und Regelfunktion im SlaveBasissystemelement
TDO ...... 10 ms; Zeit für die Ausgabe auf dem DO-6270
Die minimale Zykluszeit TSPLCM und TSPLCS für die Verarbeitung ist abhängig von der Anzahl
der Verarbeitungsbausteine.
TBUS setzt sich aus der regulären Dauer für die Abwicklung der Kommunikation und der
Anzahl der tolerierten Übertragungsfehler (Retries) zusammen.
Die parametrierbare Watchdogzeit für die sichere Kommunikation zwischen
Basissystemelementen / Automatisierungseinheiten wird berechnet aus:
TWD > TCYC * (F + 2)
TCYC ..... parametrierbare Sende Zykluszeit für die sichere Kommunikation zwischen
F.......... Faktor für die maximal erlaubte Retryanzahl des Kommunikationskanals
zwischen Basissystemelementen / Automatisierungseinheiten
0 = keine Retries
Die parametrierbare Sende Zykluszeit für die sichere Kommunikation zwischen
Basissystemelementen / Automatisierungseinheiten wird berechnet aus:
TCYC > 2 * TCOM + MAX(TSPLCM, TSPLCS)
TCOM .... Übertragungszeit des Telegramms auf der Übertragungsstrecke zwischen
MAX(TSPLCM, TSPLCS)
Die größere Zykluszeit für die Safety Steuer- und Regelfunktion von Masterbzw. Slave-Basissystemelement ist zu wählen.
TCOM ist abhängig vom Protokoll, der Verkehrsart (Punkt/Punkt, Master/Slave, etc), von der
Bandbreite und der Verfügbarkeit der Kommunikationsverbindung und setzt sich aus der
regulären Dauer für die Abwicklung der Kommunikation ohne Retries zusammen.
SICAM RTUs, SAFETY
143
Systemreaktionszeit
144
SICAM RTUs, SAFETY
9
Safety-Parameter
Inhalt
9.1
Safety SICAM RTUs Parameter.................................................................... 146
9.2
Safety PLC Parameter.................................................................................. 150
9.3
Standard SICAM RTUs Parameter ............................................................... 151
SICAM RTUs, SAFETY
145
Safety-Parameter
9.1
Safety SICAM RTUs Parameter
Hinweis
Um zu gültigen Parametern zu kommen, muss die Safety-Code Generierung und der 1703 Umsetzer
aktiviert werden.
9.1.1
Konfigurierungs- und Konsistenzparameter der SafetyApplikation
Die Konsistenzprüfung kontrolliert ob die verifizierten und gegebenenfalls auch freigegeben
Safety Parameter mit den Parametern der Standard Firmware zusammenpassen.
Geprüft werden:
·
·
·
·
·
·
·
·
·
9.1.2
der Systemelement Name
die systemtechnische Anlagen ID
die Regionsnummer
die Komponentennummer
die BSE Nummer
die ZSE Nummer
Firmware Name der Safety-Applikation
Firmware Revision der Safety-Applikation
Vorbereitet Kennung
Bestückungsparameter der Safety-Applikation
In den Safety-Parametern ist auch die Bestückung der Safety-I/O Module enthalten. Aufgrund
dieser Bestückung wird der PROFIsafe Master (Safety-Layer) konfiguriert.
Weiters wird die Bestückung der Safety-I/O Module gegen die Standard-Bestückung geprüft.
Z.B. handelt es sich um eine USIO66 auf dem das Safety-I/O Module bestückt ist.
146
SICAM RTUs, SAFETY
Safety-Parameter
9.1.3
DI-6170
9.1.3.1
Parameter: Testtaktung_Gruppe_SAFE
Die Testtaktung dient zur Überprüfung der Schaltung und der externen Beschaltung.
Hinweis
Eine Testtaktung ist nur beim Einsatz von Schaltern ohne eigener Stromversorgung und ohne eigene
Testung sinnvoll.
Parameter
Wert
Beschreibung
Testtaktung_Gruppe_SAFE
freigegeben
Testtaktung ist freigegeben
gesperrt
Testtaktung ist gesperrt
SICAM RTUs, SAFETY
147
Safety-Parameter
9.1.4
DO-6270
9.1.4.1
Parameter: Relaistyp_SAFE
Der Parameter Relaistyp_SAFE legt pro Ausgang die Verwendung (Relais mit oder ohne
Elektronik) fest.
Dieser Parameter wird im OPM II durch Auflegen eines Abbilds festgelegt. Bei
Parameteränderung ist ein Reset erforderlich.
Parameter
Wert
Beschreibung
Relaistyp_SAFE
Relais ohne Elektronik
Am Ausgang ist ein Relais ohne
elektronischer Ansteuerung
angeschlossen
Relais mit Elektronik
Am Ausgang ist ein Relais mit
eingebauter elektronischer
Ansteuerung angeschlossen
Relaistyp ohne elektronischer Ansteuerung (klassisches Relais)
Bei diesem Typ wird der Ausgang inklusive der Relaisspule durch folgdende Tests geprüft:
·
im ausgeschalteteten Zustand eines Ausgangs
─ auf Kurzschluss zum externen Minuspol (-U)
─ auf Kurzschluss zum externen Pluspol (+U)
─ auf Durchlegierung des Leistungsschalters
─ auf Ausgangskurzschluss
─ ob Relaisschutzdiode verkehrt angeschlossen ist
·
im eingeschalteten Zustand
─ ob Leistungsschalter defekt (schaltet nicht durch)
─ ob sich Leistungsschalter öffnen lässt
·
Test auf Strombegrenzung
Relais mit eingebauter elektronischer Ansteuerung
Bei diesem Typ (keine Relaisspule) wird der Ausgang durch folgdende Tests geprüft:
·
im ausgeschalteteten Zustand eines Ausgangs
─ Test auf Kurzschluss zum externen Minuspol (-U)
─ Test auf Kurzschluss zum externen Pluspol (+U)
─ Test auf Ausgangskurzschluss
·
148
Test auf Strombegrenzung
SICAM RTUs, SAFETY
Safety-Parameter
Hinweis
Beispiele für externe Beschaltungen finden sie im Handbuch SICAM TM – I/O Module .
SICAM RTUs, SAFETY
149
Safety-Parameter
9.2
Safety PLC Parameter
Die Safety PLC Parameter sind die Parameter in denen das Anwenderprogramm abgelegt ist.
Das Anwenderprogramm wird durch den Anwender im Toolset CAEx plus in
Funktionsplantechnik erstellt. Der Funktionsplan in grafischer Form ist die gemeinsame
Wurzel der diversitären 2-kanaligen Steuerungsparameter.
9.2.1
Safety-Applikation AP-0771/SPLC01
9.2.1.1
Parameter: Sicherer Zustand bei Kanalfehler
Über den Parameter Sicherer Zustand bei Kanalfehler kann das Verhalten der Safety
Steuerung bei Auftritt eines Kanalfehlers (z.B. Störung einer Eingangsinformation, Globaler
Error wird durch das Anwenderprogramm erkannt) durch den Anwender parametriert werden.
150
Parameter
Wert
Beschreibung
Sicherer Zustand
bei Kanalfehler
Anwenderprogramm
Der sichere Zustand muss durch Logikverknüpfungen
im Anwenderprogramm gewährleistet werden.
d.h. die Safety Ausgänge müssen mit
Fehlerbedingungen im Anwenderprogramm verknüpft
werden.
Wird der „Global Error“ durch das Anwenderprogramm
gesetzt, werden auch in diesem Fall die sicheren
Ausgänge in den sicheren Zustand geschalten.
Automatisch ohne
Wiederanlaufsperre
sobald ein Kanalfehler auftritt (z.B. Eingang des DI_00
ist gestört oder Globaler Error im Anwenderprogramm
wird gesetzt), werden alle sicheren Ausgänge in den
sicheren Zustand geschalten. Bei gehendem Fehler
werden die Ausgänge sofort wieder durchgeschaltet.
Automatisch mit
Wiederanlaufsperre
sobald ein Kanalfehler auftritt (z.B. Eingang des DI_00
ist gestört oder Globaler Error im Anwenderprogramm
wird gesetzt), werden alle sicheren Ausgänge in den
sicheren Zustand geschalten. Bei gehendem Fehler
muss das Durchschalten der Ausgänge über den
Systembaustein TB_RESTART_INHIBIT quittiert
werden.
SICAM RTUs, SAFETY
Safety-Parameter
9.3
Standard SICAM RTUs Parameter
9.3.1
CP-2019, CP-2017 und CP-6014
9.3.1.1
Parameter: Ausfallverhalten
Mit dem Parameter Ausfallverhalten wird am BSE eingestellt wie es sich nach fatalen
Fehlern verhält.
Es wird empfohlen diesen Parameter auf „Firmware stillsetzen“ zu stellen damit im Fehlerfall
der sichere Zustand eingenommen wird.
Parameter
Wert
Beschreibung
Ausfallverhalten
Firmware stillsetzen
Default - verhindert Reset bei
Baugruppenausfall
Firmware neu starten
SICAM RTUs, SAFETY
151
Safety-Parameter
152
SICAM RTUs, SAFETY
10
Technische Daten
Inhalt
10.1
Gesamtsystem ............................................................................................. 154
10.2
Safety I/O Module......................................................................................... 155
10.3
Sicherheitstechnische Kennzahlen ............................................................... 157
10.4
Konformitätserklärungen............................................................................... 158
SICAM RTUs, SAFETY
153
Technische Daten
10.1
Gesamtsystem
10.1.1
Elektrische Umweltbedingungen
Diese Informationen finden Sie in folgenden Dokumenten:
10.1.2
Dokumentname
Sachnummer
MC2-024-2.00
MC2-020-2.03
MC6-006-2.01
Klimatische Umweltbedingungen
10.1.3
Dokumentname
Sachnummer
MC2-024-2.00
MC2-020-2.03
MC6-006-2.01
Mechanische Umweltbedingungen
154
Dokumentname
Sachnummer
MC2-024-2.00
MC2-020-2.03
MC6-006-2.01
SICAM RTUs, SAFETY
Technische Daten
10.2
Safety I/O Module
10.2.1
Mechanische Umweltbedingungen
Parameter
Harmonic sinusoidal
Value / Range
Testing
Standard
10..60Hz
60..150Hz
±0.075mm amplitude
1.0g acceleration
10 (20) cycles
IEC60068-2-6
1..9Hz
9..200Hz
200..500Hz
3mm amplitude of the excursion
2
10m/s acceleration
2
15m/s acceleration
1 cycle
IEC60068-2-6
Class
1
Product
Standard
Class
IEC60255-21-1
1
IEC60870-2-2
Bm
IEC60255-21-2
1
IEC60255-21-2
1
IEC60870-2-2
Bm
Shock semi-sinusoidal
(function)
5g acceleration; 11ms duration
Shock semi-sinusoidal
(withstand)
100m/s acceleration; 11ms duration
2x3 shock pulses
IEC60068-2-27
Permanent shock semisinusoidal
1000 shock pulsess
IEC60068-2-27
1
IEC60255-21-2
1
Seismic harmonic sinus
1..8Hz
1..8Hz
8..35Hz
8..35Hz
IEC60068-3-3
1
IEC60255-21-3
1
10.2.2
IEC60068-2-27
2
±3.5mm amplitude (horizontal)
±1.5mm amplitude (vertical)
1g acceleration (horizontal)
0.5g acceleration (vertical)
1 cycle
1
Klimatische Umweltbedingungen
Parameter
Range
Testing Standard
-25°C
IEC 60068-2-1
Ad
Maximum air temperature
+70°C
IEC 60068-2-2
Bd
Temperature gradient
£ 30°C/h
Relative air humidity
5....95%
Absolute air humidity
£ 29g/m3
Dry heat
+70°C / 4d
IEC 60068-2-2
Damp heat
+40°C / 4d
IEC 60068-2-78
Air pressure
70..106 kPa
Storage and transport temperature
-30°...+85°C
Minimum air temperature
SICAM RTUs, SAFETY
155
Technische Daten
10.2.3
Klimatische Tests
Test
10.2.4
156
Testing Standard
Dry cold
IEC60068-2-1
Dry heat
IEC60068-2-2
Moist heat
IEC60068-2-78
Elektrische Umweltbedingungen
Parameter
Value
Immunity against discharge of static electricity
(ESD)
8kV-L, 4kV-K
IEC61000-4-2
Testing Standard
3
Immunity against electromagnetic fields
20V/m
IEC61000-4-3
3
Fast transient burst
common
2,0 - 4,0kVs
IEC61000-4-4
1.2/50µs surge
common
2,0kVs
IEC61000-4-5
1.2/50µs surge
normal
2,0kVs
IEC61000-4-5
Immunity against induced HF voltage
10V
IEC61000-4-6
3
Immunity against electromagnetic fields 50Hz
100A/m
IEC61000-4-8
4
Immunity against pulse shaped magnetic field
1000A/m
IEC61000-4-9
5
HF test
common
1,0kVs
IEC61000-4-18
HF test
normal
0,5kVs
IEC61000-4-18
Radio interference voltage - QP
79/73dBµV
EN 55011
A
Radio interference voltage - AVmean value
66/60dBµV
EN 55011
A
Radio interference field strength (10m)
40/47dBµV
EN 55011
A
SICAM RTUs, SAFETY
Technische Daten
10.3
Sicherheitstechnische Kennzahlen
Die Berechnung der sicherheitstechnischen Kennzahlen basiert auf einer Lebensdauer von
20 Jahren, wie normativ gefordert.
Module
PFH
SFF
MTTFd
DCAVG
CP-2019/SPLC01
1,86 E-8/h
99,5 %
61,36 years (high)
99 %
CP-2017/SPLC01
2,35 E-8/h
99,5 %
48,48 years (high)
99 %
CP-6014/SPLC01
3,36 E-8/h
99,5 %
33,93 years (high)
99 %
DI-6170
5,90 E-9/h
99,29 %
683,51 years (high)
98,64 %
DO-6270
1,404 E-9/h
99,52 %
383,00 years (high)
98,80 %
AI-6370
1,01 E-9/h
99,96 %
464,59 years (high)
95,57 %
Der Gertätetyp nach IEC 61508/Teil 2 (Kapitel 7.4.4.1.3) entspricht dem Typ B.
Die Berechnung der Ausfallrate erfolgte für Sicherheitsfunktionen die in der Betriebsart mit
hoher Anforderungsrate oder in der Betriebsart mit kontinuierlicher Anforderung betrieben
werden (PFH). Die Steuerung ist für diesen Einsatzzweck geeignet.
Prinzipiell ist ein Einsatz der Steuerung auch für Sicherheitsfunktionen in der Betriebsart mit
niedriger Anforderungsrate (PFD) möglich.
10.3.1
MTBF
Die Ausfallraten einer Baugruppe werden aus den Ausfallraten der Bauelemente berechnet.
Als Grundlage dafür dient das Handbuch MIL 217E. Die Daten aus MIL 217E sind
grundsätzlich Worstcase-Daten.
Nachdem für die Berechnung auch für die Funktion nicht elementar beeinflussende
Bauelemente berücksichtigt wurden, kann die in den Tabellen angegebene MTBF noch mit
dem Faktor 2 bis 10 multipliziert werden.
Details zur Berechnung siehe
10.3.2
Dokumentname
Sachnummer
SICAM RTUs MTBF Werte
ab DC0-081-2.00
Wiederholungsprüfungsintervall
Beim Design der Baugruppen wurde auf eine lange Betriebsdauer Rücksicht genommen.
Bei den Safety-I/O-Modulen kommen daher keine Bauteile mit eingeschränkter Lebensdauer
zur Anwendung. So wurde z.B. auf den Einsatz von Elektrolyt-Kondensatoren verzichtet.
Ein Proof-Test-Intervall ist nicht definiert, die Lebensdauer des Produkts beträgt 20 Jahre (für
Analogbaugruppen beschränkt auf 10 Jahre). Die Baugruppen sind danach zu ersetzen.
Falls andere Komponenten in der Sicherheitskette (z.B. Not-Aus, Relais, Schütze etc.) einen
Proof-Test erforderlich machen, ist das daraus resultierende Prooftest-Intervall einzuhalten.
SICAM RTUs, SAFETY
157
Technische Daten
Hinweis
Eine Ausnahme bildet das Modul AI-6370. Details siehe SICAM TM – I/O Module (ab DC6-040-2.05)
Hinweis
Ein Funktionstest der Applikation (z.B. Abschaltung der Ausgänge bei Aktivierung Not-Aus) gilt nicht als
Proof-Test für die Steuerung.
158
SICAM RTUs, SAFETY
Technische Daten
10.4
Konformitätserklärungen
Die Konformitätserklärungen der Safety-Module sind im Online Support Produkte abrufbar.
Sollte Ihnen dieser Zugang nicht zur Verfügung stehen, wenden Sie sich bitte an Ihren
Projektleiter bei Siemens.
Modul
Sachnummer
DI-6170
GC6-170--.XX/79
DO-6270
GC6-270--.XX/79
AI-6370
GC6-370--.XX/79
SICAM RTUs, SAFETY
159
Technische Daten
160
SICAM RTUs, SAFETY
11
Richtlinien für die Erstellung eines
Funktionsplans
Inhalt
11.1
Allgemein ..................................................................................................... 162
11.2
Projektstruktur .............................................................................................. 163
11.3
Logik ............................................................................................................ 164
11.4
POE-Schnittstelle bzw. globale Variable ....................................................... 165
11.5
Änderungen in der Safety-Applikation ........................................................... 166
11.6
Unterstützte CAEx plus-Datentypen/-Bausteine ............................................ 168
11.7
Basis für eigene Richtlinien........................................................................... 171
11.8
Anwendungshinweise ................................................................................... 175
SICAM RTUs, SAFETY
161
Richtlinien für die Erstellung eines Funktionsplans
11.1
Allgemein
CAEx safety schränkt den Umfang der Programmiermöglichkeiten laut "IEC 61131-3 (2003)"
ein, wodurch das Risiko von Programmierfehlern reduziert wird.
Warnung
Halten Sie sich an die in diesem Abschnitt angeführten Richtlinien, wenn Sie eine Applikation im
Programmiersystem erstellen, um die in diesem Dokument vorgegebenen Arbeitsabläufe problemlos
einzuhalten.
Hinweis
Lesen Sie in der "CAEx plus Online-Hilfe (2012)" nach, falls Sie mehr Informationen zu den CAEx plusRichtlinien benötigen.
Informationen über einen IEC-Baustein oder einen Safety-Baustein finden Sie in der zugehörigen HTMLDokumentation des Bausteins.
Starten Sie diese Dokumentation, indem Sie den Baustein im Programmiersystem CAEx plus V5.2 B320
selektieren und die F1-Taste drücken.
162
SICAM RTUs, SAFETY
11.2
Projektstruktur
Erstellen Sie ausschließlich die folgenden CAEX plus-Objekte in einer Ressource des CAEX
plus-Projekts:
·
·
Programm-Instanzen
Typinstanzen
Hinweis: Eine Typinstanz wird von CAEx safety als Programminstanz weiterverarbeitet. In
Folge zeigt Safety V&V die Instanz unterhalb der Ressource und den Typ unterhalb von
Bibliothek mit zu prüfenden Objekten.
·
·
1 Task
Globale-Variablen-Objekte
Für die Programmierung erstellen Sie ausschließlich die folgenden CAEx plus-Objekte im
CAEx plus-Projekt:
·
·
·
·
Programmtypen in FBS
Funktionsbausteintypen in FBS
Funktionen in FBS
Datentypen
Alle CAEX plus-Objekte im Geltungsbereich der Ressource müssen eindeutige Namen
haben. Dies gilt auch, wenn die Objekte von einem unterschiedlichen Typ sind und in anderen
Ordnern als die Ressource positioniert sind.
Beispiel:
Bei Typinstanz "GateSimulation" darf kein anderes Objekt im gleichen Geltungsbereich der
Ressource auf den Namen "GateSimulation" lauten. Dies gilt z.B. auch für verwendete
Programmtypen, Funktionsbausteine, Funktionen, Datentypen.
Beachten Sie die Abschnitte Logik und POE-Schnittstelle bzw. globale Variable, wenn Sie den
Inhalt des entsprechenden CAEx plus-Objekts erstellen.
SICAM RTUs, SAFETY
163
11.3
Logik
Wenn Sie den Inhalt der Instanzen bzw. der POE (Programm-Organisations-Einheiten =
Programmtypen, Funktionsbausteintypen und Funktionen) erstellen, gelten die folgenden
Richtlinien:
·
·
·
Alle Objekte einer Art werden in Safety V&V mit den gleichen, unveränderlichen
Objekteigenschaften angezeigt. Folgende Objekteigenschaften sind betroffen:
─ Farben für Hintergrund, Rahmen, Schriften
─ Rahmengestaltung (z.B. Breite)
─ Schriftart und Ausrichtung von Texten
─ Grafiken
─ Zuordnung eines Kommentarfelds zu einem Zeichenfeld-Objekt
·
Verwenden Sie keine dieser Gestaltungsmöglichkeiten, um für die Sicherheit relevanten
Informationen abzubilden (z.B. wichtige Kommentare in Kommentarfeldern mit roter
Hintergrundfarbe).
Verwenden Sie die folgenden Elemente für Funktionsbaustein-Instanz bzw.
Funktionsaufruf nicht, da sie in Safety V&V nicht angezeigt und somit keinem Review
unterzogen werden können:
─ Attribut INLINE
─ Attribut Gepuffert
·
164
Erstellen Sie die Instanz/POE ausschließlich in FBS (Funktionsbaustein-Sprache) und mit
Blattgröße "A4 quer".
In der Instanz/POE verwenden Sie ausschließlich Objekte der folgenden Art für eine
Programmierung, deren Datenfluss "von links nach rechts" geht:
─ Bausteine (Funktionsbaustein-Instanzen oder Funktionsaufrufe) mit Eingängen auf der
linken Kante und mit Ausgängen auf der rechten Kante
─ Die folgenden CAEX plus-Objekte im CAEX plus-Projekt sind solche Bausteine:
− benutzerdefinierte Funktionsbausteintypen/Funktionen in FBS
− unterstützte IEC-Bausteine
− Safety-Bausteine
─ Wertfelder für Variablen/Konstanten für Datenfluss "von links nach rechts"
Verwenden Sie in CAEX plus keine seitenverkehrten Wertfelder.
─ Konnektoren und Fortsetzungen für Datenfluss "von links nach rechts"
Verwenden Sie in CAEX plus keine seitenverkehrten Konnektoren/Fortsetzungen.
─ vollständig angeschlossene Segmente (Linien) mit elementarem Datentyp, mit SafetyDatentyp oder mit unterstützten benutzerdefinierten Datentypen
─ Kommentarfelder
SICAM RTUs, SAFETY
11.4
POE-Schnittstelle bzw. globale Variable
Wenn Sie die POE-Schnittstelle oder die Variablen (in Instanzen, POE und Globale-VariablenObjekten) erstellen, gelten die folgenden Richtlinien:
·
·
·
·
·
·
·
·
Deklarieren Sie keine Ein-/Ausgangsvariablen in Programmtypen bzw. Typinstanzen.
Deklarieren Sie keine globalen Variablen in Programmtypen bzw. Typinstanzen.
Deklarieren Sie Variablen in Instanzen, POE und Globalen-Variablen-Objekten
ausschließlich auf eine der folgenden Arten:
─ direkte Ableitung von elementaren Datentypen, Safety-Datentypen und
benutzerdefinierten Datentypen (siehe Einschränkung zu den benutzerdefinierten
Datentypen)
─ eindimensionale Felddeklaration von elementaren Datentypen und Safety-Datentypen
Deklarieren Sie die Variablen dabei immer ohne das BYREF-Attribut.
Wenn Sie die folgenden Daten für Variablen in Instanzen, POE und Globalen-VariablenObjekten deklarieren, werden sie in Safety V&V nicht angezeigt und können somit keinem
Review unterzogen werden:
─ Attribut CONST
─ Kommentar
─ alternative E/A-Bezeichner
─ technische Einheiten/Skalierungen
─ benutzerdefinierte Zusatzinformationen
Deklarieren Sie benutzerdefinierte Datentypen ausschließlich auf eine der folgenden
Arten:
─ eindimensionale Felddeklaration von elementaren Datentypen und Safety-Datentypen
─ direkte Ableitung von elementaren Datentypen, Safety-Datentypen
─ Strukturdeklarationen, deren Elemente aus elementaren Datentypen oder SafetyDatentypen bestehen
Erstellen Sie keine internen Wertfelder für Eingänge im Bausteinbild von
Funktionsbausteintypen/Funktionen.
Gestalten Sie das Bausteinbild von Funktionsbausteintypen/Funktionen so, dass es
möglichst identisch in Safety V&V angezeigt wird und somit den Review erleichtert:
─ Zeigen Sie die tatsächlichen Namen der Ein-/Ausgänge im Bausteinbild an (daher:
keine Anzeige der alternativen Bezeichner).
─ Geben Sie den Objektnamen als anzuzeigenden Bausteintext im Bausteinbild ein.
─ Zeigen Sie den Instanznamen für Funktionsbaustein-Instanzen an, aber zeigen Sie ihn
für Funktionsaufrufe nicht an.
─ Vermeiden Sie spezielle Layout-Attribute, wie Farben, Rahmengestaltung, Grafiken,
Schriftart und Ausrichtung von Texten.
Alle benutzerdefinierten Funktionsbausteintypen/Funktionen werden in Safety V&V mit
den gleichen, unveränderlichen Layout-Attributen angezeigt.
SICAM RTUs, SAFETY
165
11.5
Änderungen in der Safety-Applikation
Berücksichtigen Sie beim Arbeitsablauf mit der Delta-Prüfung zusätzlich die Auswirkungen auf
den Explorer in Safety V&V mit aktiviertem Vergleichsmodus, wenn Sie eine Applikation in
CAEX plus ändern und die Änderungen einem Review unterziehen:
Nr.
Bei dieser Änderung in CAEX
plus:
zeigt Safety V&V mit Vergleichsmodus:
1.
Der Name eines Objekts (z.B. einer
Programminstanz) wird im CAEX
plus-Projekt geändert
Hinweis:
Falls es sich bei dem Objekt um
einen Baustein handelt, der bereits
in der Logik einer POE bzw. einer
Instanz gesetzt ist, kann sich diese
Änderung außerdem auf das
Register Logik der POE/Instanz
auswirken (siehe Nr. 6.).
Im Explorer wird das Objekt:
Der Name einer Variable wird in
einer bestehenden POE/Instanz
geändert.
Im Register Variablen wird die Variable
2.
· im Stand "A" als "neu" angezeigt.
Auswirkung auf das entsprechende Register (z.B.
Register Logik oder Globale Variablen): Der gesamte
Inhalt des Objekts wird als "neu" angezeigt.
· im Stand "B" (bzw. Stand "C") als "gelöscht" angezeigt.
Auswirkung auf das entsprechende Register (z.B.
Register Logik oder Globale Variablen): Der gesamte
Inhalt des Objekts wird als "gelöscht" angezeigt.
Grund: Der Name der Objekte wird als Schlüssel für den
Vergleich des Projektinhalts (der Objekte) verwendet.
· im Stand "B" (bzw. Stand "C") als "gelöscht" angezeigt
Grund: Der Name von Variablen wird als Schlüssel für
den Vergleich von Variablen verwendet.
3.
4.
Der Name einer Variable wird in
einem bestehenden GlobalenVariablen-Objekt geändert.
Im Register Globale Variablen wird die globale Variable
Der Name eines Strukturelements
wird in einem bestehenden
Datentyp geändert.
Im Register Datentyp wird das Strukturelement:
· im Stand "A" als "neu" (im linken Feld) angezeigt.
· im Stand "B" (bzw. Stand "C") als "gelöscht" (im
rechten Feld) angezeigt.
· im Stand "B" (bzw. Stand "C") als "gelöscht" angezeigt
Grund: Der Name von globalen Variablen wird als
Schlüssel für den Vergleich von globalen Variablen
verwendet.
Grund: Der Name von Strukturelementen wird als
Schlüssel für den Vergleich des Datentyp-Inhalts
verwendet.
5.
Der Instanzname eines Bausteins
(einer Funktionsbaustein-Instanz
bzw. Funktionsaufruf) wird in einer
bestehenden POE/Instanz
geändert.
Der Instanzname kann in CAEX
plus automatisch und manuell
geändert werden.
Beispiel für automatische
Änderung: Sie ersetzen den
vorhandenen Baustein durch
einen anderen.
Im Register Logik wird der Baustein:
· im Stand "A" mit
Element).
hervorgehoben (als neues
· im Stand "B" (bzw. Stand "C") mit
hervorgehoben (als gelöschtes Element).
Grund: Der Instanzname wird als Schlüssel für den
Vergleich von Bausteinen in der Logik verwendet. Eine
Liste aller Logik-Elemente und deren Schlüssel für den
Vergleich finden Sie in der CAEx safety Online-Hilfe.
Beispiel für manuelle Änderung:
Sie geben einen neuen
Instanznamen für den
vorhandenen Bausteins ein.
Hinweis: Falls Sie den
Instanznamen auf einen
vorhergehenden Instanznamen
korrigieren, wird der Baustein als
coderelevante Änderung
166
SICAM RTUs, SAFETY
hervorgehoben (siehe Nr. 6.).
6.
Spezialfall "Kombination aus Nr. 1.
und Nr. 5.":
· Siehe Nr. 1.: Der Name eines
Bausteins (einer
Funktionsbaustein-Instanz bzw.
Funktionsaufruf) wird im Projekt
geändert.
· Dieser Baustein ist bereits in der
Logik einer POE bzw. einer
Instanz gesetzt. Durch die
Aktualisierung des POE-Inhalts in
CAEX plus wird automatisch ein
neuer Instanzname eingetragen
(siehe Nr. 5.).
· Siehe Nr. 5.: Sie korrigieren den
neuen Instanznamen auf den
Instanznamen, der vorher
eingetragen war.
SICAM RTUs, SAFETY
Im Register Logik der POE/Instanz, in welcher der
Baustein gesetzt ist, wird dieser Baustein mit
hervorgehoben (als code-relevante Änderung).
Grund: Der Instanzname wird als Schlüssel für den
Vergleich von Bausteinen in der Logik verwendet.
167
11.6
Unterstützte CAEx plus-Datentypen/-Bausteine
Beim Erstellen der Programmierung verwenden Sie "vorgefertigte" CAEx plus-Datentypen und
CAEx plus-Bausteine. Die Unterabschnitte informieren Sie über spezielle Richtlinien und
Einschränkungen, die für diese CAEx plus-Datentypen und CAEx plus-Bausteine gelten.
Warnung
Verwenden Sie die unterstützten CAEx plus-Bausteine ausschließlich mit dem für sie definierten
Wertebereich.
11.6.1
Elementare Datentypen
Verwenden Sie ausschließlich folgende elementaren Datentypen beim Erstellen der SafetyApplikation:
Binär/Bitfolge
Ganzzahl mit
Vorzeichen
Ganzzahl
vorzeichenlos
Gleitkomma
Zeitpunkt, Zeitdauer, Datum
und Zeichenfolge
BOOL
SINT
USINT
REAL
TIME
BYTE
INT
UINT
LREAL
DATE
WORD
DINT
UDINT
DWORD
(1)
(1)
(1)
TIME_OF_DAY
(1)
(1)
DATE_AND_TIME
STRING (mit Länge von 128
Byte inkl. Null-Terminator)
… siehe folgender Hinweis
Warnung
Für die Datentypen TIME, DATE, TIME_OF_DAY und DATE_AND_TIME dürfen Sie nur ganzzahlige
Werte (Auflösung 1 ms) verwenden, die innerhalb des folgenden Wertebereichs liegen:
Untergrenze: –7.730.063.005.354.400 ms
Obergrenze: 7.730.063.005.354.400 ms
Für alle anderen Datentypen müssen Sie die Werte verwenden, die im für CAEx plus gültigen
Wertebereich liegen.
Siehe "CAEx plus-Hilfe (2012)", Stichwort "Daten-Typ, Wertebereich von Daten-Typen"
Segmente (Linien), die mit einem dieser Datentypen typisiert sind, werden in Safety V&V mit
einer dem Datentyp entsprechenden Farbe dargestellt. Dies gilt auch für die angeschlossenen
Wertfelder, Konnektoren und Fortsetzungen.
11.6.2
Safety-Datentypen
Warnung
Die Safety-Datentypen sind Ableitungen des entsprechenden elementaren Datentyps. So ist z.B.
SAFEBOOL die Ableitung von BOOL.
Die Safety-Datentypen SAFEINT und SAFEREAL dienen ausschließlich der visuellen Hervorhebung von
sicheren Signalen und sicheren Signalflüssen. Sie realisieren keine Absicherung des Signalflusses.
Der Safety-Datentyp SAFEBOOL wird zur Absicherung des Signalflusses verwendet (siehe folgende
Hinweise zu SAFEBOOL).
Berücksichtigen Sie, dass bei einem SAFEBOOL mit ungültigem Zustand die Verarbeitung auf der
Steuerung sofort abgebrochen wird.
168
SICAM RTUs, SAFETY
Hinweis
Mit SAFEBOOL können ungültige Zustände erkannt werden.
Auf der Steuerung werden (Safe-)TRUE und (Safe-)FALSE feste Bitmuster zugewiesen. Wenn Bausteinen
mit Eingängen/Variablen vom Datentyp SAFEBOOL abgearbeitet werden und dabei Abweichungen von
den zugewiesenen Mustern auftreten, erkennt die Steuerung solche Abweichungen und bricht die
Verarbeitung ab.
Segmente (Linien), die mit einem Safety-Datentypen typisiert sind, inkl. der angeschlossenen
Wertfelder, Konnektoren/Fortsetzungen werden in Safety V&V in Gelb dargestellt.
Verwenden Sie ausschließlich folgende Safety-Datentypen beim Erstellen der SafetyApplikation:
Binär/Bitfolge
Ganzzahl mit Vorzeichen
Gleitkomma
SAFEBOOL
SAFEINT
SAFEREAL
Die Safety-Datentypen werden in der Unterbibliothek "DataType” der Safety-Bibliothek
"SafetyIEC61131-3” angeboten und können bei der Projektierung wie die elementaren
Datentypen in CAEX plus verwendet werden (z.B. geben Sie den Namen im Feld Deklaration
bei der Variablendeklaration an).
11.6.3
Unterstützte IEC-Bausteine
Die IEC-Bausteine sind Funktionen und Funktionsbausteine, die in "IEC 61131-3 (2003)"
beschrieben sind bzw. die als Erweiterung dazu angeboten werden. Sie sind in den
Unterbibliotheken der Bibliothek "SICAM1703_Safety" enthalten. Ausnahmen:
"SafetyIEC61131-3”, "SafetyIEC61131-3-Ext”, "SystemFunction”
Warnung
Stellen Sie durch geeignete konstruktive Maßnahmen sicher, dass die unterstützten IEC-Bausteine nur mit
solchen Werten beschaltet werden, die für Eingangstyp des IEC-Bausteins zulässig sind und im
Wertebereich des Ausgangstatentyps des IEC-Bausteins liegen.
Dies gilt insbesondere, wenn Sie die "Convert"-Bausteine aus den IEC-Bibliotheken verwenden. Davon
betroffen sind die Genauigkeit der Werte (Ganzzahl vs. Gleitkomma) und der zulässige Bereich (Werte
nicht außerhalb der Ober-/Untergrenze). Für den zulässigen Bereich gilt im Detail:
Hat der Eingangsdatentyp einen größeren Wertebereich als der Ausgangsdatentyp, dürfen die Eingänge
des Bausteins nur mit Werten beschaltet werden, die im kleineren Wertebereich des Ausgangsdatentyps
liegen.
Bei Unsicherheiten verwenden Sie die "Convert"-Bausteine aus den IEC-Bibliotheken nicht.
Beispiel, in dem Werte außerhalb der Ober-/Untergrenze entstehen könnten: Der "Convert"-Baustein
AtoInt ist mit Datentyp REAL beschaltet. (Somit wird ein Wert im Format REAL ins Format INT
konvertiert.)
Stellen Sie hier sicher, dass nur Werte im für INT zulässigen Bereich (Untergrenze: 32768,
Obergrenze: 32767) am Eingang angelegt werden. Dazu überprüfen Sie die zulässigen Werte bzgl.
Ober-/Untergrenze durch die Verwendung eines entsprechenden "Compare"-Bausteins (EQ, GE, GT,
LE, LT, NE) in der Logik.
SICAM RTUs, SAFETY
169
11.6.4
Safety-Bausteine
Warnung
Verwenden Sie die Safety-Bausteine beim Erstellen der Programmierung ausschließlich für das
Hervorheben von sicherheitsrelevanter Logik.
Die Safety-Bausteine enthalten keine integrierten Sicherheitsfunktionen, wie z.B. redundante
Berechnungen mit Komparatoren.
Berücksichtigen Sie, dass der ENO-Ausgang eines Safety-Bausteins auf FALSE gesetzt und ein globaler
Fehler als zentrale Fehlerinformation gesetzt wird, falls ein Problem bei der Verarbeitung dieses SafetyBausteins auftritt (z.B. Überlauf bei einem Addierer-Baustein). Die Ausgänge des fehlerhaften SafetyBausteins werden ebenfalls auf FALSE bzw. 0 gesetzt.
Verwenden Sie den Baustein SI_GetGlobalError (verfügbar in der Safety-Bibliothek "SafetyIEC611313” – Unterbibliothek "GlobalError") in der Applikation, um den Status des globalen Fehlers abzufragen: Der
Ausgang OUT1 von SI_GetGlobalError wird auf TRUE gesetzt.
Wenn Sie die Bausteine SI_ResetGlobalError bzw. SI_SetGlobalError verwenden, um den
Status des globalen Fehlers zu ändern, müssen Sie durch geeignete konstruktive Maßnahmen
sicherstellen, dass durch die Änderung die Sicherheitsfunktion des E/E/PE-Systems nicht gefährdet ist
bzw. beeinflusst wird.
Bei Unsicherheiten verwenden Sie diese Bausteine nicht.
Die Safety-Bausteine sind Varianten der jeweiligen IEC-Bausteine bzw. Erweiterungen dazu.
Sie sind in der Safety-Bibliothek "SafetyIEC61131-3" enthalten, die im Objekt
"SICAM1703_Safety" verfügbar ist.
So unterscheiden Sie die Safety-Bausteine von den IEC-Bausteinen in der Programmierung:
·
·
Die Hintergrundfarbe eines Safety-Bausteins ist gelb.
Der Objektname und Instanzname eines Safety-Bausteins beginnt mit dem Präfix "SI_".
Beachten Sie, dass die Safety-Bausteine nur mit Safety-Datentypen beschaltet werden
dürfen.
Ausnahme: Andere Datentypen sind bei den Safety-Konvertierungsbausteinen und den
Safety-Timer-Bausteinen zulässig (jeweils in Unterbibliotheken von "SafetyIEC61131-3"
enthalten).
11.6.5
Safety-Konvertierungsbausteine
Mit einem Safety-Konvertierungsbaustein konvertieren Sie den elementaren Datentyp BOOL,
INT oder REAL in den Safety-Datentyp SAFEBOOL, SAFEINT oder SAFEREAL bzw.
umgekehrt.
Die Safety-Konvertierungsbausteine sind in der Safety-Bibliothek "SICAM1703_Safety" –
"SafetyIEC61131-3” zu finden, und zwar in der Unterbibliothek "Convert".
Warnung
Falls ein nicht-sicheres Signal in ein sicheres Signal konvertiert wird (durch den SafetyKonvertierungsbaustein SI_BOOL_TO_SAFEBOOL, SI_INT_TO_SAFEINT oder
SI_REAL_TO_SAFEREAL), müssen Sie durch geeignete konstruktive Maßnahmen sicherstellen, dass
durch die Konvertierung die Sicherheitsfunktion des E/E/PE-Systems nicht gefährdet ist bzw. beeinflusst
wird.
Beispiel für eine konstruktive Maßnahme: 2-aus-3-Logik verwenden
170
SICAM RTUs, SAFETY
11.7
Basis für eigene Richtlinien
SIEMENS empfiehlt Ihnen, Richtlinien zu folgenden Punkten in Ihrem Entwicklungsprozess
aufzustellen, obwohl CAEx safety selbst dafür keine Einschränkungen vorgibt:
·
·
·
11.7.1
maximale Projektgröße
maximale Bausteingröße
Beispiel: Die Logik eine POE darf nicht mehr als 10 Blätter betragen, damit der Review
einer POE kurz gehalten wird.
Namenskonventionen, um Missverständnisse zu vermeiden
Dies gilt insbesondere für die Namen von Variablen und für die Namen von
Strukturelementen (in Datentypen).
Beispiel: keine Namen, die reservierten Schlüsselwörtern laut "IEC 61131-3 (2003)"
entsprechen
Reservierte Schlüsselwörter laut IEC
Die folgenden Tabellen geben Ihnen eine Überblick über die reservierten Schlüsselwörter laut
"IEC 61131-3 (2003)".
Beachten Sie, dass die Groß-/Kleinschreibung für Schlüsselwörter nicht signifikant ist, so sind
z. B. die Begriffe FOR und for gleichbedeutend.
Tabelle C.2 – Schlüsselwörter laut "IEC 61131-3 (2003)"
Schlüsselwort
Abschnitt laut "IEC 61131-3 (2003)"
ACTION...END_ACTION
2.6.4.1
ARRAY...OF
2.3.3.1
AT
2.4.3
CASE...OF...ELSE...END_CASE
3.3.2.3
CONFIGURATION...END_CONFIGURATION
2.7.1
CONSTANT
2.4.3
Datentyp-Namen
2.3
EN, ENO
2.5.1.2, 2.5.2.1a)
EXIT
3.3.2.4
FALSE
2.2.1
F_EDGE
2.5.2.2
FOR...TO...BY...DO...END_FOR
3.3.2.4
FUNCTION...END_FUNCTION
2.5.1.3
Funktionsnamen
2.5.1
FUNCTION_BLOCK...END_FUNCTION_BLOCK
2.5.2.2
Funktionsbaustein-Namen
2.5.2
IF...THEN...ELSIF...ELSE...END_IF
3.3.2.3
INITIAL_STEP...END_STEP
2.6.2
NOT, MOD, AND, XOR, OR
3.3.1
PROGRAM...WITH...
2.7.1
PROGRAM...END_PROGRAM
2.5.3
R_EDGE
2.5.2.2
SICAM RTUs, SAFETY
171
Tabelle C.2 – Schlüsselwörter laut "IEC 61131-3 (2003)"
Schlüsselwort
Abschnitt laut "IEC 61131-3 (2003)"
READ_ONLY, READ_WRITE
2.7.1
REPEAT...UNTIL...END_REPEAT
3.3.2.4
RESOURCE...ON...END_RESOURCE
2.7.1
RETAIN, NON_RETAIN
2.4.3
RETURN
3.3.2.2
STEP...END_STEP
2.6.2
STRUCT...END_STRUCT
2.3.3.1
TASK
2.7.2
TRANSITION...FROM...TO...END_TRANSITION
2.6.3
TRUE
2.2.1
TYPE...END_TYPE
2.3.3.1
VAR...END_VAR
2.4.3
VAR_INPUT...END_VAR
2.4.3
VAR_OUTPUT...END_VAR
2.4.3
VAR_IN_OUT...END_VAR
2.4.3
VAR_TEMP...END_VAR
2.4.3
VAR_EXTERNAL...END_VAR
2.4.3
VAR_ACCESS...END_VAR
2.7.1
VAR_CONFIG...END_VAR
2.7.1
VAR_GLOBAL...END_VAR
2.7.1
WHILE...DO...END_WHILE
3.3.2.4
WITH
2.7.1
Tabelle 8 – Literale für Datum und Tageszeit laut "IEC 61131-3 (2003)"
Beschreibung
Schlüsselwort
Literale für Datum (langes Präfix)
DATE#
Literale für Datum (kurzes Präfix)
D#
Literale für Tageszeit (langes Präfix)
TIME_OF_DAY#
Literale für Tageszeit (kurzes Präfix)
TOD#
Literale für Datum und Zeit (langes Präfix)
DATE_AND_TIME#
Literale für Datum und Zeit (kurzes Präfix)
DT#
Hinweis
Die folgende Tabelle 10 ist ein Auszug aus "IEC 61131-3 (2003)" betreffend Schlüsselwörter.
Die Tabelle 10 in "IEC 61131-3 (2003)" enthält zusätzliche Informationen zum Wertebereich und der
Genauigkeit der Darstellung pro Datentyp.
Tabelle 10 – Elementare Datentypen laut "IEC 61131-3 (2003)"
172
Schlüsselwort
Datentyp
BOOL
boolesche
SICAM RTUs, SAFETY
Tabelle 10 – Elementare Datentypen laut "IEC 61131-3 (2003)"
Schlüsselwort
Datentyp
SINT
kurze ganze Zahl (short integer)
INT
ganze Zahl (integer)
DINT
doppelte ganze Zahl (double integer)
LINT
lange ganze Zahl (long integer)
USINT
vorzeichenlose kurze ganze Zahl
(unsigned short integer)
UINT
vorzeichenlose ganze Zahl
UDINT
vorzeichenlose doppelte ganze Zahl
ULINT
vorzeichenlose lange ganze Zahl
REAL
reelle Zahl
LREAL
lange reelle Zahl
TIME
Zeitdauer
DATE
Datum (nur)
TIME_OF_DAY oder TOD
Uhrzeit (nur)
DATE_AND_TIME oder DT
Datum und Uhrzeit
STRING
variabel-lange Zeichenfolge
BYTE
Bit-Folge 8
WORD
Bit-Folge 16
DWORD
Bit-Folge 32
LWORD
Bit-Folge 64
WSTRING
Variable lange Doppel-ByteZeichenfolge
Die allgemeinen Datentypen sind ebenfalls Schlüsselwörter und werden durch die Vorsilbe
ANY identifiziert.
Tabelle 11 – Hierarchie der allgemeinen Datentypen laut "IEC 61131-3 (2003)"
ANY
ANY_DERIVED (abgeleitete Datentypen)
ANY_ELEMENTARY
ANY_MAGNITUDE
ANY_NUM
ANY_REAL
LREAL
REAL
ANY_INT
LINT, DINT, INT, ULINT, SINT
ULDINT, UDINT, UINT, USINT
TIME
ANY_BIT
LWORD, DWORD, WORD, BYTE, BOOL
ANY_STRING
STRING
WSTRING
ANY_DATE
SICAM RTUs, SAFETY
173
Tabelle 11 – Hierarchie der allgemeinen Datentypen laut "IEC 61131-3 (2003)"
DATE_AND_TIME
DATE, TIME_OF_DAY
Beispiele für Begriffe, die durch das Schlüsselwort T# oder TIME# begrenzt werden.
Tabelle 7 – Zeitdauer Literal laut "IEC 61131-3 (2003)"
Beschreibung
Beispiele
Zeitdauer ohne Unterstriche
kurzes Präfix
T#14ms
T#-14ms
T#14.7sT#14.7m
T#14.7h
t#14.7d
t#25h15m
t#5d14h12m18s3.5ms
langes Präfix
TIME#14ms
TIME#-14ms
time#14.7s
kurzes Präfix
t#25h_15m
t#5d_14h_12m_18s_3.5ms
langes Präfix
TIME#25h_15m
Zeitdauer mit Unterstrichen:
time#5d_14h_12m_18s_3.5ms
174
SICAM RTUs, SAFETY
11.8
Anwendungshinweise
11.8.1
Verhalten der Bausteinausgänge bei Verwendung des EN
Eingangs
Wird der EN-Eingang eines Bausteins verwendet, dürfen die Ausgänge dieses Bausteins nicht
direkt mit Signalen beschalten werden. In diesem Fall muss ein MOVE Modul zwischen
Modulausgang und Signal geschalten werden.
SICAM RTUs, SAFETY
175
176
SICAM RTUs, SAFETY
A
Checklisten
Inhalt
A.1
A.1
Planung ........................................................................................................ 177
A.2
Programmierung........................................................................................... 178
A.3
Installation .................................................................................................... 179
A.4
Inbetriebnahme ............................................................................................ 179
A.5
Wartung, Änderung ...................................................................................... 181
Planung
Aufgaben
Wurden relevante Punkte aus der Risikoanalyse beachtet und umgesetzt?
Sind die Prozessanforderungen festgelegt?
z. B. Reaktionszeiten, Fehlerreaktionen
Wurden gemäß der verwendeten Norm (EN ISO 13849-1 oder EN 62061):
Ja
Nein
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
− die gesamten Sicherheitsfunktionen festgelegt?
− die Umsetzung der Anforderungen beschrieben?
Wurde der sichere Anlauf für die Anlage/Maschine geplant?
z. B. automatischen Anlauf verhindern
Sind alle erforderliche Betriebszustand der Anlage bestimmt?
Sind die vorhandenen Bedienelemente der Anlage benannt?
Sind die vorhandenen Zubehöreinrichtungen der Anlage benannt?
Ist festgelegt, welche örtlich geltenden Vorschriften eingehalten werden
müssen?
Sind die Testspezifikationen für die Inbetriebnahme festgelegt?
Wurden die Sicherheitsmaßnahmen gesondert beschrieben?
Wurde eine räumliche Absperrung der Anlage oder des Gefahrenbereichs
geplant?
Wurde eine Kennwortsicherung vorgesehen?
Wurde eine Wartung und Test der Anlage, Baugruppen nach der
Inbetriebnahme geplant?
Planung der Mischung von Standard und Safety-Signalen
Wurde die bestimmungsgemäße Verwendung sicherer und nicht sicherer
Signale im Applikationsprogramm beachtet.
Z.B. nicht sichere Signale beeinflussen den sicheren Weg nicht?
Wurde die Verwendung beschrieben?
z. B. I/O-Zuordnung
Wurden gesonderte Plausibilitätstests geplant, wenn nicht sichere Signale oder
Variablen Sicherheitsfunktionen beeinflussen?
Wurden für die Inbetriebnahme besondere Testverfahren festgelegt?
SICAM RTUs, SAFETY
177
Checklisten
Verdrahtungsplan erstellen
Wurden die Module der SICAM RTUs-Systeme dokumentiert?
Kopfmodultyp, Typ der Ein-/Ausgangsmodule (z. B. Modul mit analogen
Ausgängen, Modul mit digitalen Ausgängen)
Wurde der Anschalttyp der Sensoren festlegt?
Wurde die Art der Störmeldeanzeigen der Anlage festlegt?
z. B. Leuchtmelder, Klartextanzeige, Rechnerkopplung
Wurde die Zuordnung der Testtakte und Eingänge festlegt, Einschwingzeit der
Eingänge beachtet?
Wurde geprüft, wo ein Fehlerausschluss durch geeignete Leitungsführung
möglich ist?
Erfolgte eine Prüfung der Geber mit Gebertaktung?
Wurden die EMV-Maßnahmen beachtet?
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
Planung der Funktion „Variablen forcen“ für die Inbetriebnahme
Wurde eine gesonderte Risikoanalyse durchgeführt?
Wurden die Ausführungen im Kapitel Arbeiten mit SICAM RTUs mit der
Funktion SICAM Safety beachtet?
Datum: _____________________
A.2
Unterschrift: ____________________________________
Programmierung
Aufgaben
Ja
Nein
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
Auswahl der zertifizierten Safety-Bausteine
Wurden für die Sicherheitsfunktionen ausschließlich zertifizierte SafetyBausteine verwendet?
Wurde festgelegt, welche Bedienelemente unterstützt werden müssen?
Wurden die notwendigen Plausibilitätsprüfungen für die sicherheitsrelevanten
Signale im Applikationsprogramm durchgeführt?
z.B. Antivalenztest, Auswertung der Fehlerinformationen der Ein- oder
Ausgänge
Struktur des Anwenderprogramms festlegen
Wurden die in der Planungsphase festgelegten Sicherheitsanforderungen
beachtet?
Wurden die allgemein gültigen Programmierregeln beachtet? (z. B. gemäß EN
13849-1)
Wurde die gemischte Verwendung sicherer und nicht sicherer Signale,
Variablen festlegt?
Wurde die Bedeutung sämtlicher sicherer Signale, Variablen festlegt?
Planung der Mischung von Standard und Safety-Signalen
Wurde die bestimmungsgemäße Verwendung sicherer und nicht sicherer
Signale im Applikationsprogramm beachtet.
178
SICAM RTUs, SAFETY
Checklisten
Z.B. nicht sichere Signale beeinflussen den sicheren Weg nicht?
Wurden Safety-Bausteine mit gemischter Eingangsschnittstelle ausreichend
kommentiert?
(z. B. I/O-Zuordnung)
Wurden gesonderte Plausibilitätstests geplant, wenn nicht sichere Signale oder
Variablen Sicherheitsfunktionen beeinflussen?
Wurden besondere Testverfahren für die Inbetriebnahme festlegt?
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
System-Check
Passt die Sollbestückung zur erforderlichen Funktion?
Passt die I/O-Zuordnung inklusive Hardware zur erforderlichen Funktion?
Wurden die Testtakte konfiguriert?
Wurde die vorläufige Zykluszeit für Tasks vorgegeben, Zykluszeit bei der
Inbetriebnahme optimiert?
Wurde eine Gerätenamensgebung für alle Geräte im Projekt ausgeführt?
Wurden Hinweise (Errors, Warnings) beim Umsetzen des Projekts beachtet?
Wurden Hinweise (Diagnose) beim Parameterladen beachtet?
Wurde ein Offline Test vor dem Laden des Applikationsprogramms
durchgeführt?
Datum: _____________________
A.3
Unterschrift: ____________________________________
Installation
Aufgaben
Wurden die Installationsrichtlinien beachtet?
Wurde der Verdrahtungsplan eingehalten?
Sind Eingänge, die in der I/O-Zuordnung nicht zugeordnet sind, nicht
verdrahtet?
Wurden alle für den Einsatzort geltenden Regeln und die Vorschriften der
Unfallverhütung beachtet und eingehalten?
Wurden alle für den Einsatzort geltenden Vorschriften hinsichtlich
Schutzmaßnahmen beachtet und eingehalten?
Datum: _____________________
A.4
Ja
Nein
□
□
□
□
□
□
□
□
□
□
□
□
Unterschrift: ____________________________________
Inbetriebnahme
Aufgaben
Wurde die Montageanleitung unter Berücksichtigung der Risikoanalyse erstellt?
Wurden die Sicherheitsmaßnahmen beschrieben?
SICAM RTUs, SAFETY
Ja
Nein
□
□
□
□
□
□
179
Checklisten
Wurde die Inbetriebnahme anhand der Testspezifikation vorgenommen?
z.B. Signaltests für Ein- und Ausgänge, funktionaler Test des
Anwendungsprogramms
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
Sicherheitsfunktionen und Fehlererkennungseinrichtungen
Wurden Ausführungszeiten optimiert?
Wurden alle spezifizierten Sicherheitsfunktionen und
Fehlererkennungseinrichtungen vollständig geprüft? (ein reiner Funktionstest ist
nicht ausreichend!)
Beispiele:
− 2-kanaligen Not-Halt auf Fehler in einem Kanal testen
− Querschlüsse simulieren
− Kurzschlüsse und Unterbrechungen auf Leitungen simulieren
− Messung der Nachlaufzeit/des Nachlaufwegs vornehmen
− redundante Sensoren unterschiedlich schalten
− einkanaliges Schalten verklebter Grenztaster simulieren
− Taktverdrahtung testen
− für alle Safety-Variablen prüfen, ob die zugehörigen Safety-HardwareEingänge/Safety-Hardware-Ausgänge zur Sicherheitsanforderung passen
− beweisen, dass bei einem Fehler der sichere Zustand erreicht wird
Wurden die Einhaltung der maximalen Systemreaktionszeit geprüft?
Safety-Bausteine mit gemischter Eingangsschnittstelle
Wurden Plausibilitätstests ausgeführt, die für die Safety-Bausteine mit
gemischter Eingangsschnittstelle festgelegt wurden?
Wurden Testverfahren angewandt, die für die Safety-Bausteine mit gemischter
Eingangsschnittstelle festgelegt wurden?
Wurden Tätigkeiten und Tests protokolliert?
Variablen forcen
Wurden relevante Punkte aus der gesonderten Risikoanalyse beachtet?
Wurden die Ausführungen im Kapitel Arbeiten mit SICAM RTUs mit der
Funktion SICAM Safety beachtet?
Wurden Maschine oder Gefahrenbereich räumlich abgesperrt?
Wurde auf die zeitliche Begrenzung des „Variablen forcen“ geachtet?
− Die Funktion „Variablen forcen“ muss unmittelbar nach der Inbetriebnahme
manuell gestoppt werden.
− Die Funktion „Variablen forcen“ wird spätestens nach 12 Stunden
automatisch gestoppt.
Allgemein
Wurden die Vorschriften eingehalten?
z.B. Maschinenrichtlinie
Wurde eine Sicherungskopie vom Originalprojekt erstellt und entsprechend des
Projektsicherungsplans gespeichert?
Wurde die Prüfsumme des Originalprojekts dokumentiert?
Wurde die Inbetriebnahme dokumentiert?
Wurde die Sicherheitsfunktion von einer unabhängigen Stelle oder dritter
Person abgenommen?
Wurde geprüft ob die richtige Version des Applikationsprogramms im
Zielsystem läuft?
180
SICAM RTUs, SAFETY
Checklisten
Datum: _____________________
A.5
Unterschrift: ____________________________________
Wartung, Änderung
Aufgaben
Wurden die SICAM Systeme vor dem Tausch in den STOP-Zustand
geschalten?
Wurden die Sicherheitsanforderungen für die folgenden Tätigkeiten
eingehalten?
(siehe entsprechende Checklisten):
− Planung
− Programmierung
− Installation
− Inbetriebnahme
Wurden beim Tausch der Speicherkarte (SD-Karte) auf einem SICAM System
die Angaben in der Systembeschreibung beachtet?
Wurden die Änderungen dokumentiert?
Wurde die (Wieder-) Inbetriebnahme ausgeführt und dokumentiert?
(siehe Checkliste „Inbetriebnahme“)
Wurde eine Sicherungskopie vom Originalprojekt erstellt und entsprechend des
Projektsicherungsplans gespeichert?
Wurde die Prüfsumme des neuen Originalprojekts dokumentiert?
Datum: _____________________
SICAM RTUs, SAFETY
Ja
Nein
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
□
Unterschrift: ____________________________________
181
Checklisten
182
SICAM RTUs, SAFETY
B
Einbauerklärung
SICAM RTUs, SAFETY
183
Einbauerklärung
184
SICAM RTUs, SAFETY
Einbauerklärung
SICAM RTUs, SAFETY
185
Einbauerklärung
Seite 5-8 der Einbauerklärung beinhalten die englische Version.
Seite 9-11 der Einbauerklärung sind ident mit Anhang C, TÜV Zertifikat.
186
SICAM RTUs, SAFETY
C
TÜV Zertifikat
SICAM RTUs, SAFETY
187
TÜV Zertifikat
188
SICAM RTUs, SAFETY
TÜV Zertifikat
SICAM RTUs, SAFETY
189
TÜV Zertifikat
190
SICAM RTUs, SAFETY
Literatur
Literatur
IEC 61131-3 (2003) Norm IEC 61131 Teil 3 "Speicherprogrammierbare Steuerungen –
Programmiersprachen"; Basis für eine normierte Programmierung von SPS, bei der die
modernen Konzepte der Software-Technologie berücksichtigt werden, International
Electrotechnical Commission, Ausgabe 2003
IEC 61508 (2010)
Norm "Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbar elektronischer Systeme", International Electrotechnical
Commission (IEC), Ausgabe 2010; Sicherheitsgrundnorm, die den grundsätzlichen,
kompletten Lebenszyklus von sicherheitsbezogenen Systemen beschreibt
IEC 61508-1 (2010) Norm "Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbar elektronischer Systeme", Teil 1: Allgemeine
Anforderungen, International Electrotechnical Commission (IEC), Ausgabe 2010
IEC 61508-2 (2010) Norm "Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbar elektronischer Systeme", Teil 2: Anforderungen an
sicherheitsbezogene elektrische/elektronische/programmierbare elektronische Systeme,
International Electrotechnical Commission (IEC), Ausgabe 2010
IEC 61508-4 (2010) Norm "Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbar elektronischer Systeme", Teil 4: Begriffe und
Abkürzungen, International Electrotechnical Commission (IEC), Ausgabe 2010
CAEX plus-Hilfe (2012)
Produktdokumentation "CAEX plus-Hilfe" V5.2 B320,
Ausgabe 2012 für CAEX plus V5.2 B320; Die CAEX plus-Hilfe kann aus dem Programm
CAEX plus V5.2 B320 gestartet werden und enthält Informationen, wie Sie das
Programmiersystem CAEX plus verwenden.
CAEx safety Online-Hilfe (2012)Produktdokumentation "CAEx safety Online-Hilfe" V1.0,
Ausgabe 2012 für CAEx safety Version 1.0; Die CAEx safety Online-Hilfe kann aus den
Programmen Safety V&V V1.0 und Safety Monitor V1.0 gestartet werden und enthält
Informationen, wie Sie CAEx safety-Komponente aus dem Programmiersystem starten und
mit Hilfe der grafischen Oberfläche verwenden.
SICAM RTUs, SAFETY
191
Literatur
192
SICAM RTUs, SAFETY
Glossar
A
AE
andere risikomindernde Maßnahme
Definition laut "IEC 61508-4 (2010)":
Maßnahme, um das Risiko zu reduzieren oder zu mildern, das getrennt und verschieden von sicherheitsbezogenen E/E/PE-Systemen ist und diese nicht verwendet
Anwenderprogramm
Logische Anordnung aller Programm-Sprachenelemente und -Konstrukte, die für die beabsichtigte
Signalverarbeitung zur Steuerung einer Maschine oder eines Prozesses mit einem SPS-System
erforderlich sind (nach IEC 61131-12.1).
Mit CAEx plus werden Anwenderprogramme für Steuer- und Regelfunktionen erstellt. Ein
Anwenderprogramm umfasst die Task(s) und die zugehörigen Programm-Instanzen und Typ-Instanzen.
Ein Anwenderprogramm wird von einer Ressource ( CPU) ausgeführt.
Artikel 95 EG-Vertrag
Der Artikel 95 EG-Vertrag legt sinngemäß fest, dass die Mitgliedstaaten alle sich auf diesen Artikel
berufenden europäischen Richtlinien in nationales Recht umzusetzen haben. Diese Richtlinien sind,
anders ausgedrückt, inhaltgleich in nationales Recht zu überführen und stellen
Beschaffenheitsanforderungen an Waren dar. Kein Mitgliedstaat darf durch nationale Regelungen
Bedingungen schaffen, die höhere oder niedrigere Vorgaben an Waren vorschreiben. .
Eine Automatisierungseinheit ist ein modular aufgebautes Gerät zur Erfassung, Verarbeitung und
Ausgabe von Prozessinformation. Sie kommuniziert in Automatisierungsnetzen über serielle oder
Ethernet-Protokolle mit anderen Automatisierungseinheiten oder Leitsystemen.
Eine Automatisierungseinheit besteht aus mindestens 1 Baugruppenträger oder 1 Hutschiene (je nach
System), 1 Stromversorgung und 1 Basissystemelement, sowie optionalen Peripherieelementen und
optionalen Protokollelementen.
Ermöglicht die gesicherte (Hammingdistanz 4), serielle, systeminterne Kommunikation zwischen dem
Basissystemelement und den Peripherieelementen
B
Basissystemelement
Das Basissystemelement ist ein Systemelement zur Verarbeitung von Informationen nach
unterschiedlichen Gesichtspunkten (z.B. Automatisierung, Fernwirken, etc.) und zur Verwaltung von
Systemfunktionen (z.B. Parameter, Diagnose, etc).
Baugruppennummer
Systemtechnische Identifikation eines Systemelements innerhalb einer Automatisierungseinheit, Teil der
IOA in einem Telegramm bei systemtechnischer Adressierung. Die anderen Teile der IOA sind die
Wertnummer und die Subadresse.
bestücken
Bestücken wird in mehrfacher Bedeutung verwendet:
a)
Projektieren der Konfiguration einer Automatisierungseinheit in der SICAM TOOLBOX II
b)
physisches Anordnen und Montieren der konfigurierten Hardware: Stecken am durch die
Konfiguration definierten Steckplatz (Steckplatzadressierung), oder Einstellen der durch die
Konfiguration definierten Adresse und Stecken an einem beliebigen Steckplatz (einstellbare
Adresse)
BSE
Basissystemelement
siehe: Basissystemelement
SICAM RTUs, SAFETY
193
Glossar
C
CAEx plus
Werkzeug für die Erstellung von Anwenderprogrammen (Computer Aided Engineering)
Basis ist das von der Firma logi.cals ® entwickelte Werkzeug logiCAD ®
CAEx safety
Toolset für die Safety-relevanten Werkzeuge wie "Safety V&V", "Safety Monitor" und "Safety Umsetzer"
der Fa. logi.cals.
D
Delta-Prüfung
Prüfung einer geänderten Applikation, bei welcher der Umfang der Prüfung entsprechend den
Änderungen eingeschränkt wird. Ein wesentlicher Teil der Delta-Prüfung ist die vollständige Identifikation
der von den Änderungen direkt oder indirekt betroffenen Funktionen. Daraus leitet sich der Umfang der
Delta-Prüfung ab.
Depassivierung von Kanälen
Abhängig von der Fehlerklasse können bestimmte Fehler vom Anwender auch ohne einen
Baugruppentausch wieder behoben werden (z.B. Verdrahtungsfehler, Projektierungs/Programmierungsfehler). Nach Lokalisierung des Fehlers erfolgt eine weitere zyklische Prüfung. Wenn
die laufende Prüfung der Baugruppe ergibt, dass kein Fehler mehr ansteht, werden die Prozesswerte
danach wieder aufgeschaltet („Depassivierung“) und mit Status „valid“ versehen.
Eine Depassivierung ist nur für Eingangskanäle bei Fehlern der Fehlerklasse < > Systemfehler möglich.
E
EM II
Projektierungswerkzeug der SICAM TOOLBOX II (Engineering Manager II)
E/E/PE (elektrisch/elektronisch/programmierbar elektronisch)
basierend auf elektrischer (E) und/oder elektronischer (E) und/oder programmierbarer elektronischer (PE)
Technologie
E/E/PE-System (elektrisch/elektronisch/programmierbares elektronisches System)
System zur Steuerung, zum Schutz oder zur Überwachung, basierend auf einem oder mehreren
elektrischen/elektronischen/programmierbaren elektronischen (E/E/PE) Geräten, einschließlich aller
Elemente des Systems wie z. B. Energieversorgung, Sensoren und anderer Eingabegeräte,
Datenverbindungen und anderer Kommunikationswege sowie Aktoren und anderer
Ausgabeeinrichtungen
Siehe auch "Steuerung"
Der Begriff "E/E/PE-System" in diesem Dokument steht immer für das SICAM Automatisierungssystem.
EUC (Equipment Under Control)
Einrichtung, Maschine, Apparat oder Anlage, die zur Fertigung, Stoffumformung, zum Transport, zu
medizinischen oder anderen Tätigkeiten verwendet wird
F
Firmware
durch den Anwender nicht änderbares Programm, das der Hardware eine vordefinierte und
parametrierbare Funktionalität verleiht
Freigabe
organisatorische Maßnahme (Aktivität einer dafür befugten Person), bei der die Applikation für den
Betrieb freigegeben wird. Der Freigabestatus der Applikation wird in Safety V&V durch den V&V-Status
"Freigabe" erfasst.
194
SICAM RTUs, SAFETY
Glossar
Fingerprint
Ein Fingerprint ist die Abbildung eines größeren Datenblocks in eine kurze Zeichenfolge und dient zur
Identifikation dieses Datenblocks. In CAEx safety wird der Fingerprint über den Inhalt der Daten gebildet
und ist nicht von der Darstellung abhängig. Das bedeutet, es werden die gleichen Fingerprint-Werte
berechnet, falls die Daten im XML-Format oder im Binär-Format vorliegen. Vergleiche "Prüfsumme"
Funktionale Sicherheit
Funktionale Sicherheit ist die Fähigkeit eines elektrischen, elektronischen bzw. programmierbar
elektronischen Systems bei Auftreten zufälliger und/oder systematischer Ausfälle mit gefahrbringender
Wirkung im sicheren Zustand zu bleiben bzw. einen sicheren Zustand einzunehmen.
Teil der Gesamtsicherheit, bezogen auf die Maschine und das Maschinen-Steuerungssystem, die von der
korrekten Funktion des SRECS (sicherheitsbezogenes elektrisches Steuerungssystem),
sicherheitsbezogenen Systemen anderer Technologie und externen Einrichtungen zur Risikominderung
abhängt.
Funktionsplan
Grafisches Programm für Steuer- und Regelfunktionen gem. IEC 61131-3
FUP
Funktionsplan
FW
Firmware
G
geprüfte Benutzerobjekte
POE (Programmtypen, Funktionsbausteintypen, Funktionen) oder Datentypen, die vom Lieferanten
bereits einer Verifikation/Validierung unterzogen worden sind und zum "geprüften Benutzerobjekt" erklärt
wurden. Geprüfte Benutzerobjekt sind kein fester Bestandteil der Steuerung. Vergleiche
"Systembausteine" und "Systemdatentypen".
I
IOA
Informationsobjektadresse
M
MTBF
MTBF = Mean Time Between Failure
Die Definition nach IEC 60050 (191) lautet: Der Erwartungswert der Betriebsdauer zwischen zwei
aufeinanderfolgenden Ausfällen.
MTTFd
MTTF = Mean Time To Failure
MTTF ist die Abkürzung für die mittlere Betriebsdauer bis zum Ausfall und wird auch als mittlere
Lebensdauer bezeichnet.
N
NIP
Netzwerk Schnittstellen-Prozessor (Network Interface Processor)
O
OPM II
zentrales Projektierungswerkzeug der SICAM TOOLBOX II (Objektorientierter Prozessdaten Manager II)
SICAM RTUs, SAFETY
195
Glossar
P
PAB
Prozessabbild
Passivierung
Unter „Passivierung“ eines Kanals versteht man die Aufschaltung des Prozesswertes „0“ mit Fehlerstatus
„1“ („invalid“).
Eine Passivierung der Kanäle kann sowohl vom Basissystemelement aus gesteuert werden als auch vom
I/O-Modul selbst, beispielsweise nach Erkennen von Fehlern in den Selbsttests oder nach Auftreten von
Kommunikationsfehlern.
Baugruppenweite Fehler führen zur Passivierung aller Kanäle der entsprechenden Baugruppe. Bei
Auftreten von kanalspezifischen Fehlern werden nur die betroffenen Kanaldaten passiviert.
Eine Passivierung von Kanälen kann in jedem Betriebszustand erfolgen.
PBA
Peripheriebaugruppenadresse
Die Peripheriebaugruppenadresse wird am Peripherieelement mittels eines Drehschalters eingestellt.
Maximal 16 PE's können auf einem Ax 1703 Peripheriebus bestückt werden.
PE
Peripherieelement
PE (programmierbar elektronisch)
auf Rechnertechnologie basierend, die aus Hardware, Software und aus Eingabe- und/oder
Ausgabeeinheiten bestehen kann
Anmerkung: Diese Benennung beinhaltet mikroelektronische Einrichtungen, basierend auf einer oder
mehreren Zentraleinheiten (CPUs) zusammen mit zugehörigen Speichern usw.
Beispiel: Die folgenden Geräte sind alle programmierbare elektronische Geräte:
·
·
·
·
·
·
Mikroprozessoren
Mikrokontroller
programmierbare Steuerungen
anwendungsspezifische integrierte Schaltkreise (ASICs)
speicherprogrammierbare Steuerungen (SPS)
andere rechnergestützte Einrichtungen (zum Beispiel intelligente Sensoren, Übertrager, Aktoren).
POE
Programm-Organisations-Einheit = Programmtypen, Funktionsbausteintypen und Funktionen
Prüfsumme
Daten, die aus einem Datenblock berechnet werden, um evtl. Fehler bei der Datenübertragung oder speicherung aufzudecken. Die Datenintegrität kann überprüft werden, indem die Prüfsumme
nachberechnet und mit der Original-Prüfsumme verglichen wird. Bei Übereinstimmung kann
angenommen werden, dass die Daten nicht manipuliert wurden (absichtlich oder unabsichtlich). Der
Prüfsummenwert hängt von der Darstellung der Daten ab. Das bedeutet, unterschiedliche
Prüfsummenwerte werden berechnet, falls die Daten im XML-Format oder im Binär-Format vorliegen.
CAEx safety verwendet für die Berechnung der Prüfsumme den CRC32-Algorithmus. Vergleiche
"Fingerprint"
Peripherieelement
Ein Peripherieelement ist ein Systemelement zur Erfassung von Sensoren und zur Ansteuerung von
Aktoren. Ein Peripherieelement kommuniziert über den Ax 1703 PE-Bus mit dem Basissystemelement.
Performance Level
Diskreter Level, der die Fähigkeit von sicherheitsbezogenen Teilen einer Steuerung spezifiziert, eine
Sicherheitsfunktion unter vorhersehbaren Bedingungen auszuführen: von PL „a“ (höchste
Ausfallwahrscheinlichkeit) bis PL „e“ (niedrigste Ausfallwahrscheinlichkeit).
PFHD
Probability of dangerous failure per hour
Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde.
196
SICAM RTUs, SAFETY
Glossar
PL
Performance Level
PRE
Protokollelement
PROFIsafe
Sicherheitsgerichtetes Busprofil von PROFIBUS DP/PA für die Kommunikation zwischen dem
Sicherheitsprogramm und der sicheren Peripherie.
Programmablauf Überwachung
Dient zur Kontrolle der Synchronität an definierten Stellen von zwei redundant ablaufenden Programmen.
Protokollelement
Ein Protokollelement ist ein Systemelement zur seriellen oder LAN- Kommunikation mit anderen
Automatisierungseinheiten oder Leitsystemen. Ein Protokollelementelement kommuniziert über einen
internen Bus (ZBG-Bus) mit dem Basissystemelement
R
RAMS
Reliability, Availability, Maintainability and Safety
Spezifikation und Nachweis der Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit und Sicherheit
Recommended (R)
Eine Technik oder Maßnahme ist für einen entsprechenden Safety Integrity Level empfohlen. Diese Wert
kann von einer niederen bis zu einer hohen Empfehlung gehen. [IEC 61508-3, Annex A].
Review
statische Prüfung einer Applikation, indem ein (oder mehrere) natürliche, fachkundige Personen die
Applikation begutachten (z.B. mit Safety V&V). Üblicherweise sind Reviews Teil der Verifikation. Die
Richtlinien Ihrer Firma definieren, ob Verifikation aus Review und Test (z.B. Komponententest) oder nur
aus Review besteht.
S
Safety-Applikation
Ein durch CAEx plus erzeugtes und durch CAEx safety verifiziertes, validiertes und gegen Verfälschung
gesichertes Anwenderprogramm.
Safety-Firmware
Ist eine Firmware welche nach den Anforderungen von Functional Safety entwickelt wurde und die
Safety-Applikation abarbeitet.
Safety Parameter
Safety Parameter wird in diesem Dokument als Zusammenfassung des sicheren Anwenderprogramms
und den sicheren Parametern verwendet.
Safety PLC
Safety Steuer- und Regelfunktion (Safety-Firmware); Ladbar auf CP-2017/PCCX25 und
CP-6014/CPCX65.
SD-Karte
sichere digitale Speicherkarte mit Speicherkapazität bis 2 GB (Secure Digital Memory Card)
SELV
engl.: Safety Extra Low Voltage
Die Sicherheitskleinspannung ist eine kleine elektrische Spannung, die aufgrund ihrer
geringen Höhe und der Isolierung im Vergleich zu Stromkreisen höherer Spannung
besonderen Schutz gegen einen elektrischen Schlag bietet.
SFF
Safe Failure Fraction
SICAM RTUs, SAFETY
197
Glossar
Die Safe Failure Fraction eines Systems wird durch das Verhältnis zweier Fehlerarten bestimmt: durch
sichere Fehler und als gefährlich erkannte Fehler.
Sichere Fehler haben keine Auswirkung auf sicherheitskritische Funktionen, wohingegen als gefährlich
erkannte Fehler sicherheitsrelevante Fehlfunktionen auslösen können. Beide Fehler bestimmen die
Ausfallrate des Systems.
Die SFF sagt aus, wie groß der Anteil der ungefährlichen Fehler zu den gesamt möglichen Fehlern ist.
Schwarzer Kanal
Ein, mit dem PROFIsafe Layer gesicherter Übertragungskanal auf einer beliebigen, nicht für SIL
ausreichend gesicherte Übertragungsstrecke
Ist ein unsicheres Übertragungsmedium, über den aber die Daten verfälschungssicher übertragen
werden. Ein "schwarzer Kanal" stellt nicht sicher, dass die Daten sicher übertragen werden, sondern stellt
sichern, dass eine Verfälschung der Daten, welche die Übertragungsstrecke verursacht, erkannt wird.
sicher
frei von unvertretbaren Risiken
sicherer Zustand
Grundlage des Sicherheitskonzeptes in F-Systemen ist, dass für alle Prozessgrößen ein "sicherer
Zustand" existiert. Bei digitaler I/O-Peripherie ist das z. B. der Wert ‚0’.
sicherheitsbezogenes System
System, das sowohl
·
·
die erforderlichen Sicherheitsfunktionen ausführt, die notwendig sind, um einen sicheren Zustand für
die EUC zu erreichen oder aufrechtzuerhalten, als auch
dazu vorgesehen ist, selbst oder mit anderen sicherheitsbezogenen E/E/PE-Systemen und anderen
risikomindernden Maßnahmen die notwendige Sicherheitsintegrität für die geforderten
Sicherheitsfunktionen zu erreichen
Sicherheitsfunktion
Funktion, die von einem sicherheitsbezogenen E/E/PE-System oder anderen risikomindernden
Maßnahmen ausgeführt wird, und dazu vorgesehen ist, unter Berücksichtigung eines festgelegten
gefährlichen Vorfalls einen sicheren Zustand für die EUC zu erreichen oder aufrechtzuerhalten
Sicherheitslebenszyklus
notwendige Tätigkeiten im Rahmen der Realisierung von sicherheitsbezogenen Systemen während eines
Zeitraumes, der mit der Konzeptphase eines Projektes beginnt und endet, wenn alle
sicherheitsbezogenen E/E/PE-Systeme und andere risikomindernde Maßnahmen nicht mehr für die
Verwendung verfügbar sind
Sicherer Betrieb
Betriebszustand des Systems, in der sicherheitsgerichtete Kommunikation über Sicherheitstelegramme
möglich ist und Sicherheitsfunktionen gewährleistet sind.
SICAM RTUs mit der Funktion SICAM Safety
Zur Produktfamilie SICAM RTUs mit der Funktion Safety gehören die Produkte SICAM AK und SICAM
TM.
SICAM TOOLBOX II
PC-basiertes Set von Werkzeugen zur Projektierung und Wartung von SICAM Automatisierungseinheiten.
SIL
Safety Integrity Level
Sicherheitsintegrität
Wahrscheinlichkeit, dass ein sicherheitsbezogenes E/E/PE-System die festgelegten
Sicherheitsfunktionen unter allen festgelegten Bedingungen innerhalb eines festgelegten Zeitraumes
anforderungsgemäß ausführt
Sicherheits-Integritätslevel (SIL)
198
SICAM RTUs, SAFETY
Glossar
eine von vier diskreten Stufen, die einem Wertebereich der Sicherheitsintegrität entsprechen, wobei der
Sicherheits-Integritätslevel 4 die höchste Stufe der Sicherheitsintegrität und der SicherheitsIntegritätslevel 1 die niedrigste darstellt
Je höher der Sicherheits-Integritätslevel, umso geringer ist die Wahrscheinlichkeit, dass das sicherheitsbezogene System bei Vorliegen einer Anforderung die festgelegten Sicherheitsfunktionen nicht ausführen
oder einen festgelegten Zustand nicht annehmen wird.
Softwarelebenszyklus
Tätigkeiten während eines Zeitraumes, der mit der Softwareentwicklung beginnt und endet, wenn die
Software dauerhaft außer Betrieb genommen wird
SPS
Speicherprogrammierbare Steuerung (engl.: PLC - Programmable Logic Controller)
SRCF
Safety-Related Control Function
Steuerungsfunktion
Vom SRECS ausgeführte sicherheitsbezogene Steuerungsfunktion mit einem festgelegten
Integritätslevel, die dazu vorgesehen ist, den sicheren Zustand der Maschine aufrechtzuerhalten oder
einen unmittelbaren Anstieg von Risiken zu verhindern.
SRECS
Safety-Related Electrical Control System
Sicherheitsbezogenes elektrisches Steuerungssystem einer Maschine (nach EN 62061), dessen Ausfall
zu einer unmittelbaren Erhöhung von Risiken führt.
SRP/CS
Safety-Related Parts of Control System
Sicherheitsbezogenes Teil einer Steuerung (nach EN ISO 13849-1), das auf sicherheitsbezogene
Eingangssignale reagiert und sicherheitsbezogene Ausgangssignale erzeugt.
SSM
Werkzeug zur Administration von Daten der SICAM TOOLBOX II (Siemens Stammdaten Manager);
vorbehalten für Entwickler der Siemens AG
Stand "A", Stand "B", Stand "C"
Bezeichnungen aus Safety V&V im Zusammenhang mit der Delta-Prüfung:
·
·
·
Stand "A" ist der zuletzt in der SICAM TOOLBOX II generierte Stand.
Dieser entspricht dem aktuellen Applikationsstand und kann mit Safety V&V einem Review
unterzogen werden.
Stand "B" ist der zuletzt in das Zielsystem geladene Stand.
Stand "C" ist der zuletzt in der SICAM TOOLBOX II freigegebene Stand.
Bei der Delta-Prüfung wird der Stand „A“ mit einem der beiden anderen Stände verglichen.
Standardbetrieb
Betriebszustand des Systems, in der die Sicherheitsfunktionen nicht gewährleistet sind.
Standard Applikation
Ist das Anwenderprogramm der Standard Firmware
Standard Firmware
Ist eine Firmware welche nicht nach den Anforderungen von Functional Safety belastbar ist.
Systemelement
funktionelle Einheit bestehend aus einer Baugruppe (Hardware) und Firmware
Systembausteine
POE (Funktionsbausteintypen, Funktionen), die fester Bestandteil der Steuerung sind. Vergleiche
"geprüfte Benutzerobjekte" und "Systemdatentypen"
Systemdatentypen
Datentyp, der fester Bestandteil der Steuerung ist. Siehe auch "Systembausteine". Ein Systemdatentyp
wird in Safety V&V ebenfalls in der Bibliothek "Systembaustein" angezeigt".
SICAM RTUs, SAFETY
199
Glossar
Steuerung
Die Steuerung ist ein PE-Gerät, das Teil des E/E/PE-Systems ist und zur Steuerung oder Regelung einer
Maschine oder Anlage eingesetzt und anwendungsspezifisch programmiert wird. Siehe auch "PE
(programmierbar elektronisch)"
T
Test
systematisches Überprüfen der Funktionalität einer Applikation durch eine natürliche, fachkundige
Person. Üblicherweise wird damit der dynamische Test verstanden, bei dem die Applikation ausgeführt
wird. Die Richtlinien Ihrer Firma definieren, ob Verifikation und/oder Validierung (dynamische) Tests
enthalten.
TM
Modul für Hutschienenmontage (Terminal Module)
TM-Bus
Bus zwischen Peripheriekoppelmodul (Master) und I/O-Modul (Slave)
V
Validierung, validieren
dokumentierte, objektive Beweisführung, dass eine Applikation die spezifischen Anforderungen (die
ursprünglichen Ziele des Kunden) für die beabsichtigte Verwendung korrekt erfüllt. Der Validierungsstatus
der Applikation wird in Safety V&V durch den V&V-Status "Validierung" erfasst.
Bestätigen aufgrund einer Untersuchung und durch Bereitstellung eines objektiven Nachweises, dass die
besonderen Anforderungen für eine spezielle beabsichtigte Verwendung erfüllt worden sind […] Deshalb
bedeutet zum Beispiel Validierung der Software die Bestätigung durch Untersuchung und Bereitstellung
eines Nachweises, dass die Software die Spezifikation der Anforderungen an die Sicherheit der Software
erfüllt.
·
·
Entspricht das Verhalten der Funktionen den Erwartungen?
Verhalten sich die indirekt betroffenen Funktionen korrekt?
Verifikation, verifizieren
formale, objektive Überprüfung einer Applikation, ob diese (inkl. der verwendeten Elemente) zu einer
Spezifikation konform ist und/oder die vorgegebenen Anforderungen erfüllt. Der Verifikationsstatus der
Applikation wird in Safety V&V durch den V&V-Status "Verifikation" erfasst.
Bestätigen aufgrund einer Untersuchung und durch Bereitstellung eines Nachweises, dass die
Anforderungen erfüllt worden sind; In Zusammenhang mit dieser Norm ist Verifikation die Tätigkeit, die in
jeder Phase des relevanten Sicherheitslebenszyklus (Gesamt, E/E/PE-System und Software) durch
Analyse, mathematische Schlussfolgerung und/oder Prüfung darlegt, dass für die speziellen Eingaben die
Ergebnisse in jeder Hinsicht die Ziele und Anforderungen erfüllen, die für diese Phase festgelegt wurden.
·
·
·
Sind alle gewünschten Funktionen enthalten?
Sind nur die erwünschten Funktionen enthalten?
Wurden die Funktionen korrekt umgesetzt?
VPN
Logische Verbindung zum geschützten Transport von Daten über das Internet (Virtual Private Network)
V&V-Status
Status für Verifikation, Validierung und Freigabe einer Applikation; Der aktuelle V&V-Status einer
Applikation wird in Safety V&V erfasst.
Z
Zielsystem
Synonym für "Steuerung"; Der Begriff wird verwendet, wenn sich die Beschreibung auf einen konkreten
Steuerungstyp bezieht.
ZSE
Zusatzsystemelement
Element welches auf einem Basissystemelement bestückt werden kann
---
200
END OF DOCUMENT
---
SICAM RTUs, SAFETY

2 Functional Safety mit SICAM RTUs

Transcrição

Documentos relacionados

Die güterrechtliche Teilung – praktisches Beispiel

HANDS-FREE LADDER - Sicherheitsleiter für kurzzeitiges

EC DECLARATION OF CONFORMITY The manufacturer certifies

www .ehrlich

Flugzeugteile sicher montiert

Zielgruppenflyer Naturwissenschaftler

Safety GFK Auswahl

Die transparente Energiefassade für die Architektur The - ertex

Contractor Safety Award 2016 Anmeldeformular

PDF-Datei - Ströher Druck