Zusammenstellung sicherheitstechnischer Anforde
Contents
1. IEC 60709 4 1 v 1367 Systeme die Funktionen der Kategorie B ausf hren m ssen vor physikalischen Folgewirkungen von Fehlern und blichen Handlungen gesch tzt werden die auftreten innerhalb von a redundanten Teilen jener Systeme und b Systemen einer niedrigeren Kategorie Die in Betracht gezogenen Fehler m ssen die innerhalb des leittechnischen Systems und seiner Stromversorgung auftretenden Fehler umfassen die als Ergebnis von Ereignissen au erhalb des leittechnischen Systems auftretenden Fehler d rfen unber cksichtigt bleiben Wenn Funktionen der Kategorie B als Schutz f r bestimmte St rf lle vorgesehen sind m ssen die ausf hrenden Systeme nach den Prinzipien eines Systems f r Kategorie A Funktionen ausgelegt sein IEC 60709 4 1 v v 1369 Wo physikalische Trennung verlangt wird m ssen Vorkehrungen gegen eine Ausfallfortpflanzung in Betracht gezogen werden f r Ausf lle die als Folge von anzunehmenden versagenausl senden Ereignissen AVE gleichzeitig Komponenten in Mehrfachsystemen betreffen zwischen Systemen die Funktionen der gleichen Kategorie ausf hren zwischen redundanten Sicherheitsgruppen desselben sicherheitstechnisch wichtigen Systems und von Systemen mit Funktionen niedrigerer Kategorie zu Systemen mit Funktionen h herer Kategorie und in einigen speziellen F llen von Systemen mit Funktionen h herer Kategorie zu Systemen mit Funktionen niedrigerer Kategorie2. DIN V VDE 0801 6 2 2 B 2 2 2 v v 1395 Als m gliche Ma nahmen zur Beherrschung von Fehlern auf rechnerexternen Datenwegen Informationsaustausch zwischen Rechnern werden aufgef hrt Einbit Hardware Redundanz Erweiterung des Busses um ein Bit zur Fehlererkennung Mehrbit Hardware Redundanz Erweiterung des Busses um mehrere Bits zur Fehlererkennung vollst ndige Hardware Redundanz zur Fehlererkennung ambivalente Signale Pr fung ber Testmuster Test durch bertragungsprotokolle berwachung der Einhaltung der bermittlungsvorschriften Zeitredundanz zweimalige serielle bertragung Informationsredundanz z B Pr fsummen Anwendung des Ruhestromprinzips elektrische Leitungen von Informationsleitungen trennen bei redundanten Leitungen auf r umliche Trennung achten Kabelwege d rfen nur Leitungen derselben Redundanzgruppe enthalten 25 10 2005 Anforderungen an Interfaces Kabel Kabelverlegung SEITE 5 VON 6 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung Erh hung der St rfestigkeit 25 10 2005 Anforderungen an Interfaces Kabel Kabelverlegung SEITE 6 VON 6
3. KTA 3501 4 6 1 v v 172 Zur Beherrschung versagenausl sender Ereignisse innerhalb des Reaktorschutzsystems ist ein redundanter Aufbau des Reaktorschutzsystems vorzusehen gilt auch f r Schutzbegrenzungen KTA 3501 42 1 v v 153 Es sind versagenausl sende Ereignisse innerhalb des Reaktorschutzsystems in Betracht zu ziehen wie zum Beispiel a Ausf lle durch Kurzschl sse Unterbrechungen Erdschl sse Spannungs und Frequenz nderungen mechanisches Versagen oder Br nde b mehrere gleichzeitig oder kurzzeitig aufeinander folgende Ausf lle nach a die eine gemeinsame Ursache z B Fertigungsfehler Auslegungsfehler Drift im System selbst haben nicht Kat B c Fehler bei der Bedienung und Wartung des Reaktorschutzsystems durch das Personal gilt auch f r Schutzbegrenzungen 25 10 2005 Anforderungen an Interfaces Systemarchitektur SEITE 2 VON 7 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung KTA 3501 5 3 2 2 v 231 Signale zueinander redundanter Einrichtungen d rfen nicht in einem Kabel einem rtlichen Kabelverteiler und einer Kabeldurchf hrung gef hrt werden IAEA NS G 1 1 6 12 6 14 v v 1304 Rechnersystementwurf Redundanz in dem Rechnersystem soll im Allgemeinen vorgesehen werden um die Zuverl ssigkeitsanforderungen und die Anforderungen an die Tests w hrend des Betriebs z
4. Dokumentenstelle Kat AKat B ID Anforderung Stichwort c Anforderung an die Auslegung BMVBMU SK Kriterium 6 1 v 43 Redundante Teile des RSS sollen grunds tzlich voneinander unabh ngige Einrichtungen zur Messwerterfassung und Signalverarbeitung besitzen Verkn pfungsstellen d rfen die Redundanz und die Ausl sesicherheit nicht verschlechtern RSK LL 7 3 5 1 v v 460 Die Sicherheitsleittechnik ist so aufzubauen dass die in den aktiven Sicherheitseinrichtungen vorgegebene Redundanz gewahrt bleibt RSK LL 7 2 1 3 v 593 Ein einzelnes versagenausl sendes Ereignis darf die erforderliche Funktion des Sicherheitssystems im Bedarfsfall nicht verhindern RSK LL 7 3 2 5 v 615 Bei der Auslegung der Sicherheitsleittechnik der Kategorie 1 ist Vorsorge gegen systematische Ausf lle zu treffen RSK LL 7 3 2 6 L 616 Es ist nachzuweisen dass die Sicherheitsleittechnik der Kategorie 1 ihre Aufgaben auch dann erf llt wenn zus tzlich zum St rfall ein Zufallsausfall und ein systematischer Ausfall und Folgeausf lle eintreten Ein systematischer Ausfall braucht dann nicht angenommen werden wenn ausreichende Ma nahmen zu seiner Vermeidung nachgewiesen werden W hrend eines Instandhaltungsfalls ist auch ein St rfall zu unterstellen Dabei brauchen innerhalb einer Zeitspanne von 100 h der systematische Ausfall und der Zufallsausfall nicht berlagert werd
5. nur mit einem einzigen Strang eines redundanten Systems die Verbindung wird nach Gebrauch aufgehoben und das System ist in der Lage einen durch Ausfall oder Verwendung der Verbindung eingeschleiften Fehler zu beherrschen Es muss ein Schutz gegen folgende Ausf lle und Bedingungen sichergestellt sein a Kurz und Erdschl sse b Unterbrechungen c Aufschaltung der maximalen Wechsel oder Gleichspannung die vern nftigerweise auftreten kann wobei die verf gbaren Spannungsquellen und Potentiale in den Kategorie A Systemen und sonstigen Systemen in Betracht zu ziehen sind d elektromagnetische und elektrostatische Beeinflussung Hinsichtlich der Eigenschaften einer Isolationseinrichtung sind zu ber cksichtigen Toleranz und Isolierung gegen ber elektrischen Schwingungen und Spitzen nach IEC 61000 6 5 Toleranz und Isolierung gegen ber elektromagnetischer Beeinflussung nach IEC 61000 6 5 einfache Barrieren zur elektrischen Isolierung zwischen nahen oder benachbarten Endverbindungen oder Kontaktgruppen an Relais Vorsorge gegen bertragung au erordentlich hoher oder zerst render Spannungen In diesem Zusammenhang sollte eine Untersuchung ber die maximale Spannung die unter normalen und fehlerhaften Bedingungen zu erwarten ist durchgef hrt werden und die m glichen Auswirkungen auf das sicherheitstechnisch wichtige Ger t sollten untersucht werden wenn diese Spannung auf die Endverbindungen der Isolationseinrichtung
6. 25 10 2005 Anforderungen an Interfaces Systemarchitektur SEITE 7 VON 7 Forschungsvorhaben SR 2499 Abschlussbericht November 2005 I11 4 Industrie Service Anhang III 4 Gew hrleistung der Unabh ngigkeit der kommunizierenden Teilsysteme 7 Seiten Anforderungen an Interfaces Gew hrleistung der Unabh ngigkeit der kommunizierenden Teilsysteme Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung RSK LL 7 3 5 2 v v 461 Die redundanten Str nge der Sicherheitsleittechnik m ssen voneinander unabh ngig sein so dass ein anlageninternes versagenausl sendes Ereignis nicht zum Ausfall mehrerer redundanter Str nge des Sicherheitssystems f hren kann Bei Ausfall einzelner Str nge der Sicherheitsleittechnik durch Einwirkungen von au en m ssen die brigen Str nge zur Beherrschung des jeweiligen St rfalls ausreichen RSK LL 7 2 1 12 v 602 Es ist sicherzustellen dass eine gleichzeitige Pr fung redundant vorhandener Einrichtungen des Sicherheitssystems verhindert wird Ein Ausfall darf nur die Funktion eines der zueinander redundanten Str nge des Sicherheitssystems beeintr chtigen KTA 3501 7 2 v 279 Die Zustandsbegrenzungen sind redundant aufzubauen und r ckwirkungsfrei gegeneinander und gegen die Betriebssysteme zu entkoppeln KTA 3501 4 6 3 174 An Verbin
7. Die Arten m glicher versagenausl sender Ereignisse in den folgenden Unterabschnitten m ssen in Betracht gezogen werden z B ermittelt dokumentiert und begr ndet Geeignete Vorkehrungen m ssen f r sicherheitstechnisch wichtige leittechnische Systeme getroffen werden um m gliche Auswirkungen dieser Ereignisse auf ein annehmbares Ma zu beschr nken Betrachtet werden sollten auch die Auswirkungen der Kombination von Ausfallereignissen IEC 60709 5 3 v v 1381 Wenn Signale von Ger ten eines Kategorie A SystemsN1 zu Systemen mit niedrigerer Kategorie bertragen werden muss dies ber Isolationseinrichtungen geschehen die dem Kategorie A System angeh ren Die Isolationseinrichtung muss so ausgelegt sein dass Ausf lle oder Bedingungen an ihren Ausg ngen die mit den Systemen niedrigerer Kategorie 25 10 2005 Anforderungen an Interfaces Aufrechterhaltung des Defence in Depth Konzeptes der Anlage SEITE 4 VON 6 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung verbunden sind eine Sicherheitsaktion des Kategorie A Systems oder Teilsystems mit der die Isolationseinrichtung verbunden ist nicht verhindern k nnen Die vorgesehene elektrische Isolationseinrichtung muss die Anforderungen in 5 3 2 erfiillen Fiir Wartungszwecke miissen zeitweise Verbindungen ohne Isolationseinrichtung mit Kategorie A Systemen gestattet werden vorausgesetzt die Verbindung besteht
8. Aufgrund dem der Entwicklung zugrunde liegenden Ziel der Qualifizierungsf higkeit gem IEC 61508 SIL3 ist von entsprechenden Entwicklungsvorgaben auszugehen Konstante Reaktionszeiten werden in der SIMATIC mit einem quidistanten DP Buszyklus der Synchronisation des Anwenderprogramms auf den DP Buszyklus und der taktsynchronen bertragung der E A Daten auf die Peripheriebaugruppen realisiert Die E A Daten werden in definierten und gleichbleibenden taktsynchronen Zeitabst nden ber den R ckwandbus des DP Slave auf die Peripheriebaugruppen bertragen und taktsynchron ausgegeben Die maximale Schwankung betr gt 10 us Seite 7 Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 2 15 2 16 2 17 2 18 2 19 Gab es Entwicklungsvorgaben zur Performance Zeitverhalten zu ber cksichtigende Belastungen Anlaufverhalten Genauigkeit maximale Auslastung des Prozessors zu erwartende Belastungen Aufgrund dem der Entwicklung zugrunde liegenden Ziel der Qualifizierungsf higkeit gem IEC 61508 SIL3 ist von entsprechenden Entwicklungsvorgaben auszugehen Die Reaktionszeiten der fehlersicheren Signalbaugruppen gehen in die Berechnung der Reaktionszeit des SIMATIC Safety Integrated Systems ein F r fehlersichere Digitaleing nge gibt die Reaktionszeit die Zeit zwischen einem Signalwechsel am Digitaleingang bis zum sicheren Bereitstellen des Sicherheitstelegramms am R ckwandbus an F r fehlersichere Digitalausg nge g
9. Seite 26 Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 9 Spezielle Fragen zu Interface Baugruppen 9 1 1 9 2 1 9 2 2 9 2 3 9 3 1 9 3 2 Welche Netztopologien sind m glich Die Ein Ausgabemodule F SM werden linienf rmig ber ein Buskabel miteinander verbunden Die Zentralen des Integrated Safety Systems F CPU s werden ringf rmig miteinander vernetzt Sind redundante Busstrukturen m glich Mit Siemens SIMATIC S7 F FH Systems k nnen neben der Zentrale auch die Busverbindungen und die dezentralen Ein Ausgabemodule redundant ausgelegt und damit die Verf gbarkeit des Systems verbessert werden Ist ein Mischbetrieb mit nicht sicherheitsgerichteten Nachrichten auf einer Kommunikationsverbindung m glich Wie wird die gegenseitige Beeinflussung sicherheitsrelevanter und nicht sicherheitsrelevanter Nachrichten verhindert Ein Mischbetrieb ist m glich Die Unterscheidung zwischen sicherheitsgerichteten und konventionellen Nachrichten erfolgt durch eine zus tzliche Sicherungsschicht im ISO OSI Schichtenmodell Ist eine bertragung ber Lichtwellenleiter LWL m glich Da die Kommunikation zwischen den Busteilnehmern ber den Industriestandard PROFIBUS DP l uft k nnen beliebige Medien zur bertragung eingesetzt werden K nnen konventionelle Netzwerkkomponenten f r den Aufbau der Netztopologie verwendet werden Aufgrund des Grey Channel Prinzips ist keine spezielle Hardware notwendig Stand
10. TOV N17 N18 N19 N20 N21 N22 N23 Industrie Service 93 68 EEC Low Voltage Directive Directive on the harmonisation of the laws of Member States relating to electrical equipment designed for use within certain voltage limits Stand 02 73 prEN 50159 1 Railway Applications Safety Related Communication In Closed Transmission Systems Stand 1996 VDI VDE 2180 part 3 Safeguarding of industrial processing plants by means of instrumentation and control technology Stand 1996 DIN VDE 0116 Chapter 8 7 Electrical equipment of furnaces Stand 10 89 EN 298 Chapters 9 10 Automatic gas burner control systems for gas burners and gas burning appli ances with or without fans Stand 10 93 EN 61131 2 Programmable controllers equipment requirements and tests Stand 1995 EN 60204 1 Safety of machinery Electrical equipment of machines Stand 1997 Forschungsvorhaben SR 2499 Abschlussbericht November 2005 50 Industrie Service 9 Literaturverzeichnis Zertifikate und Pr fberichte 1 TUV Product Service GmbH TUV SUD Group Report on the Certificate Z2 01 12 20411 008 Safety related Software PROFIsafe Driver M nchen Deutschland 2004 2 TUV Automotive GmbH TUV SUD Group Report on the Certificate Z2 02 03 20411 009 Safety Related Programmable Systems SIMATIC S7 Distributed Safety M nchen Deutschland 2004 3 TUV Automotive GmbH TUV SUD Group Annex 1 of
11. Uberwachungsfunktionen Wenn ja gibt es eine detaillierte Beschreibung dieser Funktionen Aufgrund des der Entwicklung zugrunde liegenden Herstellerziels der Qualifizierungsf higkeit gem IEC 61508 SIL3 ist von entsprechenden Entwicklungsvorgaben auszugehen Eine Zusammenstellung der Selbst berwachungsfunktionen befindet sich in den Tabellen 9 9 und 9 10 im Dokument Automatisierungssystem S7 300 Fehlersichere Signalbaugruppen Gab es Entwicklungsvorgaben hinsichtlich fehlerbeherrschender Strukturen und Ma nahmen z B Fail Safe Verhalten fehlertoleranter Aufbau Verhinderung unzul ssiger Operationen Aufgrund dem der Entwicklung zugrunde liegenden Ziel der Qualifizierungsf higkeit gem IEC 61508 SIL3 ist von entsprechenden Entwicklungsvorgaben auszugehen Die Peripheriebaugruppen zur Digitalein ausgabe sind intern redundant aufgebaut Das fehlersichere PROFIsafe Protokoll besitzt eine Hamming Distanz von 4 Das bedeutet dass durch Pr fsummen bis zu 3 Bitfehler korrigiert werden k nnen Ab 4 Bitfehlern kann der Fehler noch detektiert nicht aber korrigiert werden Grundlage des Sicherheitskonzeptes ist es dass bei erkannten Fehlern die die Funktion beeinflussen k nnen ein definierter Fehlerzustand der sogenannte sichere Zustand in der IEC 61508 Terminologie eingenommen wird Hinweis Der Einsatz von gem IEC 61508 zertifizierten Ger ten in der Industrie erfolgt grunds tzlich f r sicherheitsgericht
12. elektrische Isolation die durch Lichtleiter optische Isolatoren oder Kabelschirme erreicht werden kann physikalische Trennung die durch geeignete Abst nde Barrieren oder eine Kombination aus beiden erreicht werden kann und f r rechnerbasierte Systeme Unabh ngigkeit der Kommunikation die durch die Auswahl geeigneter Kommunikationsarchitekturen und Protokolle erreicht werden kann Die Systemarchitektur sollte die Wahrscheinlichkeit und die Konsequenzen der Ausbreitung und Nebenwirkungen von Ausf llen minimieren Die folgenden Techniken k nnen in Betracht gezogen werden interne Isolation wodurch Ausf lle sich aufgrund des Fehlens von Ausbreitungspfaden und von gemeinsam genutzten Mitteln nicht ausbreiten k nnen System berwachung mit internen z B Selbst berwachung oder externen Einrichtungen z B andere Systeme oder Operateure wodurch die Fr herkennung verf lschter Daten und oder schadhafter Hilfsmittel erm glicht wird defensive Schnittstellen die es dem System und seinen Teilsystemen erm glichen verf lschte Eingangswerte und oder fehlerhafte Interaktionen zu identifizieren On line Validierung redundanter Eingangssignale die als Eingangsdaten f r die nachfolgende Verarbeitung verwendet werden und genau definierte Verhaltensvorschriften f r den Fall einer Ausfallerkennung die es dem System erm glichen sein Potential gegen die Ausbreitung von Ausf llen und oder entsprechende Auswirkungen zu reduzieren
13. gen zu ber cksichtigen Insbesondere sind die Systemarchitektur und die damit in Zu sammenhang stehende Bustopologie zu bewerten da diese einen Schwerpunkt der An forderungen darstellen Die damit in Zusammenhang stehenden Aspekte sollten in einer eigenen umfassenden Betrachtung behandelt werden Ein weiterer wichtiger Aspekt f r die einsatzspezifische Auslegung und Bewertung von digitalen Interfacebaugruppen stellt das implementierte Verhalten als Reaktion auf erkannte Fehler dar Hierzu ist einsatz spezifisch zu berpr fen inwieweit aus diesem Fehlerverhalten insbesondere unter der Ber cksichtigung von Fehlerkombinationen ein Fail Safe Verhalten auf Systemebene erreicht werden kann Forschungsvorhaben SR 2499 Abschlussbericht B November 2005 44 Industrie Service 7 Abk rzungsverzeichnis ASIC Application Specific Integrated Circuit BIA Berufsgenossenschaftliches Institut f r Arbeitssicherheit CAN Controller Area Network CiA CAN in Automation CPU Central Processing Unit CRC Cyclic Redundancy Check Datensicherungsmethode CSMA Carrier Sense Multiple Access CSMA CA Collision Avoidance CSMA CD Collision Detection DIN Deutsches Institut f r Normung EMV Elektromagnetische Vertraglichkeit EPSG Ethernet Powerlink Standardization Group IEC International Electrotechnical Commission ISO International Standard Organisation KID Konfigurations Identifikations Dokument LAN Local Area Network LWL Lichtwellenleiter ODVA Open Device
14. 5 und 6 bzw Kapitel 7 Zur quantitativen Ermittlung wurde ein heuristisches Verfahren im Rahmen der FMEA zur Ermittlung des Anteils von systematischen Fehlern Beta Faktor angewandt Seite 12 Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 4 Betrieb und Wartung wiederkehrende Pr fungen 4 1 4 2 4 3 4 4 1 4 4 2 4 4 3 4 4 4 Gibt es einen Pr fmodus f r Inbetriebsetzung und wiederkehrende Pr fungen WKP Nicht relevant f r Interface Baugruppen Welche Dokumentationsunterlagen gibt es f r den Benutzer und den Service Gibt es ein Benutzerhandbuch eine Bedienungsanleitung eine Reparaturanleitung eine Konfigurationsanleitung Pr fanweisungen Folgende Dokumentationsunterlagen existieren Sicherheitstechnik in SIMATIC S7 Systembeschreibung Automatisierungssystem S7 300 Fehlersichere Signalbaugruppen Handbuch Welche Festlegungen f r den Benutzer gibt es wenn w hrend des Betriebes Abweichungen Fehlermeldungen auftreten Nicht relevant f r Interface Baugruppen Sind eine gr ere Anzahl identischer Komponenten unter vergleichbaren Einsatzbedingungen bereits ber einen l ngeren Zeitraum eingesetzt Die Siemens S7 Produktreihe ist bereits langj hrig unter vergleichbaren Bedingungen im industriellen Einsatz und ist betriebsbew hrt Wurden besondere M glichkeiten zur Gewinnung von Betriebsdaten oder Diagnosedaten vorgesehen Erkannte Fehler werden in d
15. Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 1 1 7 1 2 1 1 2 2 1 2 3 1 2 4 1 2 5 1 3 1 Unterliegen die relevanten Dokumente hinsichtlich ihrer berarbeitung Pr fung und Freigabe einem angemessenen System der Dokumentenlenkung Aus den Standardangaben auf den Dokumentenbl ttern ist eine anforderungsgerechte Dokumentenlenkung gem DIN EN ISO 9001 2000 erkennbar Gibt es eine Anforderungsspezifikation Lastenheft Wenn ja sind dort Funktionsanforderungen Sicherheitsanforderungen Normen die der Entwicklung bzw Qualifizierung zugrunde gelegt wurden enthalten Die Funktionen sind in einem Lastenheft beschrieben Alle sicherheitstechnisch relevanten Anforderungen sind dar ber hinaus in der Safety Requirement Specification gem IEC 61508 festgelegt Gibt es eine Systemspezifikation Pflichtenheft Entwurfsspezifikation f r Hardware und Software Hierzu wurden ein Systempflichtenheft und Produktpflichtenhefte erstellt Wie ist die Entwicklungsdokumentation aufgebaut Neben den Pflichtenheften wurden zur Spezifikation der Entwicklung Entwicklungsunterlagen erstellt Gibt es eine Pr fspezifikation f r die Komponente Wie ist die Pr fdokumentation aufgebaut Es bestehen produktspezifische Testkonzepte und Testberichte K nnen die kompletten Softwarequellen Sourcecode vorgelegt werden Der Source Code des PROFIsafe Treibers lag bei der Typpr fung mit dem TUV Pr fbericht Safe
16. F r eine fehlersichere Signalbaugruppe werden in folgenden F llen statt der Prozesswerte automatisch Ersatzwerte die dem sicheren Zustand entsprechen ausgegeben Passivierung der fehlersicheren Signalbaugruppe beim Anlauf des F Systems bei Fehlern in der sicherheitsgerichteten Kommunikation zwischen F CPU und F SM ber das Sicherheitsprotokoll gem PROFIsafe Kommunikationsfehler Ein Ausfall der zentralen Steuerung u ert sich als Kommunikationsfehler Auch in diesem Fall geht die fehlersichere Signalbaugruppe in den sicheren Zustand Seite 22 Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 7 6 2 Wie verh lt sich die Komponente bei St rungen in der 7 7 Stromversorgung Bei Stromausfall und damit einhergehendem Stopp der CPU werden die Ein Ausgabemodule F SM in den passiven Zustand versetzt vgl 7 6 1 Gibt es eine Protokollierung bei St rungen oder Fehlern im Ger t Wenn ja wie erfolgt diese Protokollierung Erkannte Fehler werden in den Diagnosepuffer der F SM und den Diagnosepuffer der CPU eingetragen und dem Sicherheitsprogramm in der F CPU mitgeteilt Seite 23 Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 8 Schnittstellen 8 1 8 2 8 3 8 4 1 Welche systeminternen und externen Schnittstellen hat das Gerat Das sicherheitsgerichtete Ein Ausgabemodul F SM besitzt zu Kommunikationszwecken mit der CPU eine R ckwandbusanschaltung f r die dezentrale Peripherie ET
17. die sich aus der paketorientierten Kommunikation in Bus systemen ergeben Jedes Datentelegramm besteht aus einem Telegrammkopf Header und einem Nutzdatenanteil Der Header enth lt f r den Kommunikationsablauf relevante Informationen w hrend der Nutzdatenanteil die zu bermittelnden Nutzdaten enth lt Eine Nachricht kann hierbei ber mehrere Telegramme verteilt sein Folgende Fehlertypen sind hierbei zu unterscheiden Verlust Ein Verlust durch einen Fehler im Sender Empf nger oder auf der Busverbindung bedeutet die komplette L schung des Telegramms Wiederholung Eine Wiederholung liegt vor wenn ein bereits gesendetes Telegramm zu einem sp teren Zeitpunkt f lschlich wiederholt wird Einf gung Unter Einf gung versteht man die unbeabsichtigte Erweiterung der Nutzdaten ei nes Telegramms Falscher Ablauf Dieser Fehlertyp liegt vor wenn die zeitliche Reihenfolge von Telegrammen durch einen Fehler so beeinflusst wird dass eine ltere Nachricht nach einer zeitlich ak tuelleren Nachricht beim Empf nger eintrifft Verz gerungen Durch berlastung oder Fehler in der Bus bertragung k nnen Verz gerungen bei der Telegramm bermittlung entstehen Forschungsvorhaben SR 2499 Abschlussbericht November 2005 20 Industrie Service Nachrichtenverfalschungen Nachrichtenverf lschungen k nnen z B durch die Einwirkung von elektromagne tischen St rungen EMV auf die bertragungsstrecke Bus
18. oder Pr fmodus wieder in den Betriebsmodus umgeschaltet werden oder erfolgt dies automatisch Nach dem Programmladen bzw einer Parametrierung im Offline Modus Betriebsart STOPP muss die CPU von Hand mit dem Betriebsartenschalter wieder gestartet werden Betriebsart RUN Bei Anlagen nderungen im laufenden Betrieb erfolgt die Wiederaufnahme des Standardbetriebs durch Wiederaufnahme des Sicherheitsbetriebes Dieser wird mit dem Programmierger t PG nach der Eingabe des CPU Passwortes wieder aktiviert Verf gt der eingesetzte Mikrokontroller ber eine Bootstraploader Funktionalit t Wenn ja wann und zu welchem Zweck wird er eingesetzt und in welchem Modus wird er betrieben und wo ist dies beschrieben Eine Bootstraploader Funktionalit t wird nicht bereitgestellt Wurde die Mensch Maschine Schnittstelle nach bestimmten Regeln aufgebaut Es ist keine Mensch Maschine Schnittstelle vorhanden Wurden f r die Analogeing nge der Komponente geeignete Filter in der Hard oder Software vorgesehen F r Interface Baugruppen nicht relevant Wurden Ma nahmen f r die zeitrichtige Behandlung von Bin rsignalen getroffen F r Interface Baugruppen nicht relevant Seite 25 Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 8 10 Welche Ma nahmen wurden f r die bin ren Eing nge getroffen um technologisch bedingte unerw nschte Signalwechsel wie Kontaktprellen zu behandeln F r Interface Baugruppen nicht relevant
19. 200M basierend auf dem PROFIsafe Busprotokoll Die ET 200M ist Uber PROFIBUS DP an die CPU angebunden Wie ist das implementierte Verhaltensmuster des Gerats Systems an den Datenschnittstellen Siehe Angaben in den Kapiteln 2 und 7 Was kann ber die vorhandenen Schnittstellen an den Einrichtungen ver ndert werden Parameter Firmware Die fehlersicheren Signalbaugruppen werden wie Standardbaugruppen mit STEP 7 HW Konfig ber die MPI Schnittstelle der CPU konfiguriert Die Parameter werden beim Laden vom Programmiergerat PG in die F CPU bertragen dort gespeichert und von der F CPU an die fehlersichere Signalbaugruppe Ubergeben Die fehlersichere Buskommunikation ist in einem von der CPU nicht anderbaren Systemprogramm realisiert Flash Welche Mechanismen zum Schutz des Programmcodes und der Parameterdaten gegen unbeabsichtigte oder unbefugte Anderungen im Betrieb wurden implementiert Der Zugriffsschutz auf F Systeme wird realisiert durch die Vergabe von Passw rtern f r die F CPU und f r das Sicherheitsprogramm Die Realisierung des Zugriffsschutzes ist ausf hrlich beschrieben f r S7 Distributed Safety im Handbuch S7 Distributed Safety Projektieren und Programmieren f r S7 F FH Systems im Handbuch Automatisierungssysteme S7 F FH Programm nderungen an der F CPU haben keine Auswirkungen auf die Funktionalit t der sicherheitsgerichteten Buskommunikation da diese als Systemprogramm unabh ngig von den
20. Anwendungsprogrammen realisiert ist und durch den Anwendungsprogrammierer nicht ver ndert werden kann Eine Ausnahme hierzu stellt die Watchdogzeit f r die berwachung der Kommunikation dar die als Parameter ge ndert werden kann Seite 24 Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 8 4 2 8 4 3 8 6 8 7 8 8 8 9 Welches Verhalten zeigt die Komponente w hrend der Parametrierung oder des Pr fens bzw der Online Diagnose Das Laden des gesamten F Programms ist nur in der Betriebsart STOPP m glich Diese Betriebsart muss durch einen Schalter an der Zentraleinheit des S7 F FH Systems eingestellt werden Alle Ausg nge werden passiviert und erst durch die R ckstellung des Betriebsartenschalters wird das System wieder aktiviert nderungen an der Software des F Programms k nnen sowohl in der Betriebsart STOPP also auch in RUN bzw RUN P durchgef hrt werden F r Anderungen im laufenden Betrieb Betriebsartenschalter auf RUN bzw RUN P muss der Sicherheitsbetrieb der CPU deaktiviert werden d h alle Sicherheitsmechanismen zur Fehlererkennung und Fehlerreaktion werden au er Kraft gesetzt Dies erfolgt gesichert ber ein Passwort CPU Passwort vom Programmierger t PG aus Nach dem Anderungsladen muss der Sicherheitsbetrieb wieder aktiviert werden um einen gesicherten Ablauf des F Programms zu gew hrleisten Muss die Komponente nach der Parametrierung oder Pr fung von Hand aus dem Parametrier
21. Ausbreitung des Feuers unterst tzen k nnten b Wenn zwischen redundanten Systemen oder Kabeln Barrieren angeordnet sind m ssen diese eine Feuerfestigkeit entsprechend den Brandschutzbestimmungen aufweisen IEC 60709 4 7 v v 1378 Gesichtspunkte der Trennung m ssen insbesondere in der Realisierungsstrategie zur Erneuerung der Anlage angesprochen werden Gesichtspunkte die ber cksichtigt werden m ssen umfassen Trennung in Zwischen Konfigurationen wenn neue Leittechnik im Rahmen eines Phasenprogramms installiert wird Festlegung von Teilsystemen die ohne die Notwendigkeit von Zwischen Schnittstellen separiert werden k nnen Eignung der bisherigen Trennung f r die neue Leittechnik haupts chlich Empfindlichkeit der digitalen Leittechnik f r elektromagnetische Beeinflussung besondere Temperaturanforderungen und Empfindlichkeit gegen ber radioaktiver Strahlung Einschr nkungen der Kabelf hrung und Analyse der Bed rfnisse neuer Technologien f r spezielle Kabeltrassen Glasfaserkabel Busleitungen Trennungsanforderungen IEC 60709 4 4 1 v v 1371 nderungen der Umgebungsbedingungen wie Strahlungs Temperatur Druck und Feuchtigkeitsfelder w hrend Normalbetrieb und unter St rfallbedingungen m ssen ber cksichtigt werden Auf einen Ger teraum oder eine Kabeltrasse einwirkendes Feuer oder Rauch ist eine wichtige Umgebungsbedingung Auch die ungewollte Bet tigung eines Feuerbek
22. Busklemmen Diese sind individuell konfigurierbar und k nnen sowohl Ein als auch Ausgangsbaugruppen aufnehmen Die Aufteilung der Sen soren und Aktoren auf unterschiedliche periphere Busklemmen ist aufgabenangepasst m glich Eine Strukturierung gem den Redundanzen ist f r den kerntechnischen Ein satz hierbei erforderlich Neben dieser Variante der dezentralen Peripherie als eine Art von Unterzentrale im Feld existieren bereits einige wenige Ger te mit direktem Busan Logikebene Feldbereich Redundanz 1 Zentrale E Eingabe A Ausgabe B Buskoppler Peripheriekomponenten mit Bus Schnittstelle Abbildung 2 Zuk nftige Sensor Aktor Anbindung Forschungsvorhaben SR 2499 Abschlussbericht November 2005 10 Industrie Service schluss z B Motoransteuerungen Eine weitergehende Ausf hrungsform die bereits in der Industrie eingesetzt wird ist eine Systemarchitektur die keine Zentrale mehr aufweist Die Intelligenz ist dezentral im Feld verteilt und die Sensoren und Aktoren kommunizieren direkt untereinander ber einen gemeinsamen Bus siehe Abbildung 3 Diese Technik ist besonders sinnvoll in Berei chen die geringe Logikkomplexit t aufweisen Die Reaktionszeiten k nnen durch einen dezentralen Aufbau stark reduziert werden F r den Einsatz in sicherheitskritischen Auf gaben kann ein sog Sicherheitsmonitor als zentrale berwachungsinstanz dem Netz hinzugef gt werden Sobald er einen Komponentenausfall oder ei
23. Ereignisse die ihre Ursache in besonderen Betriebsbedingungen wie Inbetriebnahme Modifizierung Wartung und Reparatur Auslegungs und administrativen Kontrollprozeduren haben m ssen in der Auslegungs und Herstellungsphase ber cksichtigt werden um sie auf ein annehmbares Ma zu reduzieren IEC 60709 5 1 v v 1379 Redundantes Ger t leittechnischer Systeme muss zuweilen im Einflussbereich von fest installierten Brandschutzsystemen angeordnet werden In diesen F llen m ssen das leittechnische System und seine Ger te sowie das Brandschutzsystem so ausgelegt sein dass der Betrieb des Brandschutzsystems die Unabh ngigkeit redundanter Sicherheitsgruppen nicht beeintr chtigt Die Leistungsf higkeit redundanter Sicherheitsgruppen darf durch Feuer und Rauch die au erhalb eines sicherheitstechnisch wichtigen leittechnischen Systems entstehen nicht negativ beeinflusst werden Dieses muss durch r umliche Trennung Barrieren oder eine Kombination von beiden sichergestellt werden wobei folgende Anforderungen einzuhalten sind a Der Raum zwischen redundanten Systemen oder Kabeln darf keine Strukturen Ger te oder Materialien enthalten die eine Ausbreitung des Feuers unterst tzen k nnten 25 10 2005 Anforderungen an Interfaces Systemarchitektur SEITE 4 VON 7 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung b Wenn zwischen redundanten Systemen oder Kabeln Barrieren
24. Kommunikationstechnologie gew hlt werden Eine angemessene Ber cksichtigung soll der Verwendung von Redundanz bei der Datenverbindung dem angemessenen Grad an Vertrauensw rdigkeit der Datenverbindung im Allgemeinen und der F higkeit der Sende und Empfangssysteme Ausf llen in allen m glichen Betriebsarten zu widerstehen gewidmet werden Die Verwendung von Datenkommunikation soll nicht die physische oder funktionale Kanalisierung der Verarbeitung oder der logischen Elemente innerhalb der Systemarchitektur vereiteln IAEA NS G 1 3 4 37 v v 686 Unabh ngigkeit soll zur Verhinderung von folgenden Ausbreitungsm glichkeiten von Ausf llen betrachtet werden zwischen oder innerhalb von Systemkomponenten als Auswirkung von PIEs zwischen oder innerhalb von Systemen der gleichen sicherheitstechnischen Bedeutung und von Systemen mit geringerer sicherheitstechnischer Bedeutung zu Systemen mit h herer sicherheitstechnischer Bedeutung IAEA NS G 1 3 4 39 v v 688 Redundante Sicherheitsgruppen innerhalb von sicherheitstechnisch wichtigen Leittechniksystemen sollen voneinander unabh ngig sein IAEA NS G 1 3 4 40 v 689 Es soll Unabh ngigkeit zwischen redundanten Teilen von sicherheitsrelevanten Systemen bestehen IAEA NS G 1 3 4 41 v v 690 25 10 2005 Anforderungen an Interfaces Gew hrleistung der Unabh ngigkeit der kommunizierenden Teilsysteme SEITE 3
25. Qualit tsmanagement f r Herstellung Entwicklung und Produktpr fung sowie die Entwicklungsunterlagen wurden im Rahmen der Typpr fung gepr ft N here Einzel heiten hierzu wurden im Rahmen eines Interviews mit Siemens A amp D dargelegt Hinsicht lich Details zur Entwicklung wurde auf die Spezifikation des PROFIsafe Treibers 7 und Forschungsvorhaben SR 2499 Abschlussbericht November 2005 35 Industrie Service die Produktbeschreibungen 8 11 21 sowie die in dem Interview mitgeteilten Infor mationen zur ckgegriffen Die Funktionen und Auslegungsvorgaben unter Sicherheitsaspekten resultieren aus der Qualifizierungsf higkeit gem IEC 61508 SIL3 Die analytischen Ma nahmen zur Feh lervermeidung bei der Entwicklung wurden im Rahmen der Zertifizierung berpr ft Ge eignete analytische Ma nahmen zur Fehlervermeidung bei der Entwicklung konnten an hand des im Interview dargelegten Pr fvorgehens nachvollzogen werden Der System aufbau sowie der Hardware und Softwareaufbau sind gem den Angaben des Herstel lers detailliert beschrieben und lassen konstruktive Ma nahmen zur Fehlervermeidung bei der Hard und Softwareentwicklung erkennen Anforderungen an konstruktive Ma nahmen zur Fehlervermeidung bei der Softwareentwicklung resultieren aus der Qualifizie rungsf higkeit gem IEC 61508 SIL3 Die Programmlaufzeiten sind deterministisch und der Programmablauf ist streng zyklisch Die Ma nahmen zur Fehlererkennung
26. der Sicherheitsfunktion fordert die IEC 61508 in Abh ngigkeit vom zu erreichen den SIL Level fehlerbeherrschende sowie fehlervermeidende Ma nahmen Zur Sicher stellung der Zuverl ssigkeit der Sicherheitsfunktion wird bei Erkennung eines Fehlers ein Fail Safe Verhalten durch den bergang in einen definierten Fehlerzustand genutzt Um die Wirksamkeit der fehlerbeherrschenden Ma nahmen zu berpr fen muss die Sicher heitsfunktion einer Wahrscheinlichkeitsbetrachtung unterzogen werden Dabei wird die sog gef hrliche Versagenswahrscheinlichkeit f r nicht entdeckte Fehler die zum Versa gen der Sicherheitsfunktion f hren ermittelt Diese muss unterhalb eines vom SIL Level festgelegten Grenzwerts bleiben Eine grunds tzliche Voraussetzung beim Einsatz dieser Systeme stellt das Vorhanden sein eines Fail Safe Zustandes dar der als Reaktion auf erkannte Fehler ohne Beein tr chtigung der Sicherheit eingenommen werden kann F r die Sicherheitsleittechnik in Kernkraftwerken muss hierzu im Einzelnen gepr ft werden ob und wie sich Komponen ten mit diesem Verhalten unter Ber cksichtigung der zu stellenden Zuverl ssigkeitsanfor derungen in das Leittechniksystem integrieren lassen Forschungsvorhaben SR 2499 Abschlussbericht November 2005 19 Industrie Service 4 1 Neue Fehlertypen im Zusammenhang mit Buskommunikation Im Vergleich zu fest verdrahteten Systemen treten bei Systemen mit Busverbindungen neuartige Fehlertypen auf 29
27. dezentrale Peripherie als auch die Busverbindung k nnen redundant aufgebaut werden Der PROFIsafe arbeitet mit einem Master Slave Verfahren nach dem Polling Prinzip Die Zentrale Master fragt die Busteilnehmer Slaves in festgelegter Reihenfolge zyklisch nacheinander ab Eine direkte Sensor Aktor Kommunikation ist aufgrund der zentralen basierten Kommunikationsstruktur nicht m glich Die Verwaltung des Bussystems obliegt der Zentrale Die Identifizierung der Busteilnehmer erfolgt anhand der konfigurierbaren Busadressen der Busteilnehmer Da der Ablauf der Busteilnehmerabfrage bekannt ist l sst sich die Reaktionszeit im fehlerfreien Fall exakt berechnen Echtzeitf higkeit F r den Fehlerfall k nnen Worst Case Abschatzungen vorgenommen werden Im Extremfall entspricht die Fehlererkennungszeit einem kompletten Abfrageumlauf da der Ausfall ei nes Busteilnehmers bei Polling Betrieb sp testens bei der n chsten Abfrage sicher er kannt wird Der Ausfall der Zentrale bedeutet jedoch den vollst ndigen Ausfall der Bus kommunikation In diesem Fall erkennen die Busteilnehmer den Ausfall des Busses und wechseln in den als solchen definierten Fail Safe Zustand Forschungsvorhaben SR 2499 Abschlussbericht November 2005 34 Industrie Service 5 2 2 Umfang und Ergebnis der Typpr fung Zertifikate und Pr fberichte nach IEC 61508 liegen einerseits f r die Software des PRO Flsafe Treibers 1 von der T V Product Service GmbH T V S d Grupp
28. diesem Zustand der Watchdog nicht mehr bedient wird werden die Ausg nge eines Aktors ber den zweiten Abschaltweg in den sicheren Zustand gesetzt Seite 6 Anhang II Vorhaben SR2499 CANopen Safety Chip 04 11 2005 2 12 2 13 2 14 2 15 2 16 Gab es Entwicklungsvorgaben dass die Komponente z B steckbare Baugruppe bei Betrieb austauschbar ist Der CANopen Safety Chip ist f r den Einbau in herstellerspezifische Applikationen vorgesehen In der Applikation muss eine entsprechende Eigenschaft realisiert werden Gab es Entwicklungsvorgaben hinsichtlich einer energetischen datentechnischen und funktionalen Entkopplung an den Schnittstellen zur Kraftwerksanlage Fehlerfortpflanzungssperren Die Anschaltung der Transmitterleitungen CAN Treiber sind bei der sp teren Ger teentwicklung ber Dioden zu entkoppeln Funktionale Entkopplung ist f r informationstechnische Baugruppen nicht relevant Die streng zyklische Bearbeitung der Datentelegramme tr gt zu der datentechnischen Entkopplung bei Gab es Entwicklungsvorgaben zur Sicherstellung von konstanten Betriebsbedingungen der Komponente wie statische Zuordnung von Systemressourcen so dass die Systemfunktionen unabh ngig vom Prozess gleichbleibend beansprucht werden zyklische Bearbeitung der Anwenderfunktionen Verzicht auf prozessabh ngige Interrupts vorbeugende Ma nahmen gegen Software Exceptions Die Entwicklungsvorgaben resultieren aus der geforderten Qual
29. ein externer Watchdog mit eigener Zeitbasis und zweitem Abschaltpfad aufgebaut werden muss um den Programmablauf des CSC01 zu berwachen Seite 28 Forschungsvorhaben SR 2499 Abschlussbericht November 2005 I11 1 Industrie Service Anhang Ill Anforderungen an Interfaces Anhang IIl 1 Aufrechterhaltung des Defence in Depth Konzeptes 6 Seiten Anforderungen an Interfaces Aufrechterhaltung des Defence in Depth Konzeptes Dokumentenstelle Kat A Kat B ID Anforderung Stichwort a Allgemeine Ubergeordnete Anforderung RSK LL 7 3 5 8 v v 467 Verbindungen der Sicherheitsleittechnik der Kategorien 1 und 2 zu anderen Datenverarbeitungs oder Daten bertragungseinrichtungen sind grunds tzlich zu vermeiden Sofern sie unvermeidbar sind sind sie so auszuf hren dass dar ber keine Einwirkungen auf die Sicherheitsleittechnik m glich sind KTA 3501 4 7 2 v v 177 Das Reaktorschutzsystem muss von den Betriebssystemen so unabh ngig sein dass beim bestimmungsgem en Betrieb und bei versagenausl senden Ereignissen in den Betriebssystemen die Funktion des Reaktorschutzsystems erhalten bleibt IAEA NS R 1 6 86 v 342 St rungen zwischen dem Schutzsystem und dem Steuer und Regelsystem m ssen durch die Vermeidung von Verbindungen oder durch geeignete funktionale Trennung verhindert werden Wenn Signale gemeinsam von beiden Schutzsystem und ein Steuerun
30. r Programmablauf Interruptbehandlung Arbeitsauslastung der Prozessoren Kommunikationsbelastung sichergestellt Aufgrund des zyklischen Austausches von Telegrammen ist der Programmablauf unabh ngig vom Prozess Erfolgt eine strikt zyklische Bearbeitung aller sicherheitskritischen Funktionen der Komponente Die feste Programmzykluszeit ist konfigurierbar in 1 ms Schritten bei einer minimal m glichen Zykluszeit von 20 ms Ist die m gliche Variationsbreite in der Programmlaufzeit gering und sind die beeinflussenden Faktoren beschrieben Die Programmlaufzeit richtet sich nach der Zykluszeit und ist immer konstant Wird ein Betriebssystem verwendet Wenn ja welches Garantiert der Hersteller ein definiertes Zeitverhalten Echtzeitbetriebssystem Verf gt das Betriebssystem ber erweiterte Sicherheitsfunktionen Gem den Unterlagen wird kein Betriebssystem eingesetzt 6 10 2 Sind im Betriebssystem oder der Anwendersoftware 6 11 berwachungsmechanismen f r den Zugriff auf Speicherbereiche implementiert Wenn ja wo sind diese beschrieben Gem den Unterlagen wird kein Betriebssystem eingesetzt Welche Festlegungen zum Interrupthandling gibt es Priorit ten etc Wo sind diese dokumentiert Die Interruptquellen werden nach Hardware und Softwareinterrupts unterteilt Die Hardwareinterrupts werden in Spezialinterrupts und periphere I O Interrupts unterteilt Der Mikrocontroller unterscheidet zwe
31. soll m glichst unabh ngig von den zu verarbeitenden oder zu bertragenden Daten sein Als fehlerhaft erkannte Signale sind zu kennzeichnen und ihre Ausbreitung ist einzugrenzen Hierbei ist das Fail Safe Verhalten zu beachten F r die bertragenen Daten m ssen Daten berlauf und oder Messbereichs berlauf von der Software beherrscht werden um eine eventuelle Unterbrechung der zyklischen Bearbeitung oder die Beeintr chtigung anderer Leittechnikfunktionen auf diesem Rechner z B durch Zugriff auf falsche Speicherbereiche zu verhindern Die Datenkommunikation muss zeitlich entkoppelt und m glichst ohne eine Synchronisation der kommunizierenden Rechner untereinander realisiert werden um bei einem Ausfall eines Kommunikationsteilnehmers den Weiterbetrieb der anderen Teilnehmer sicherzustellen IAEA NS G 1 1 5 13 v v 1283 Die Systemschnittstellen wie auch die Schnittstellen zu einem Anlagennetzwerk sollen so ausgelegt werden dass sie nicht andere Schutzaktionen die durch externe Systeme durchgef hrt werden gef hrden Fehlfunktionen und Versagen von externen Systemen oder Hilfssystemen sollen bewirken dass das System in einen sicheren Zustand gebracht wird IAEA NS G 1 3 5 58 v v 778 25 10 2005 Anforderungen an Interfaces Fehlererkennung und beherrschung SEITE 1 VON 3 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung Wenn die Zuver
32. the Report on the Certifi cate Safety Related Programmable Systems SIMATIC S7 Distributed Safety Munchen Deutschland 2004 4 TUV Automotive GmbH TUV SUD Group Report on the Certificate Z2 03 04 38282 002 Safety Related Programmable Systems SIMATIC S7 F FH Systems Munchen Deutschland 2004 5 TUV Automotive GmbH TUV SUD Group Annex 1 of the Report on the Certifi cate Safety Related Programmable Systems SIMATIC S7 F FH Systems Munchen Deutschland 2005 6 T V Industrie Service GmbH T V Rheinland Group Bericht ber die Pr fung des CANopen Safety Chip CSC01 K ln Deutschland 2004 Herstellerunterlagen 7 PROFIBUS Nutzerorganisation e V Draft Specification PROFIsafe Profile for Safety Technology on PROFIBUS DP and PROFINET IO Karlsruhe Deutsch land 2005 Forschungsvorhaben SR 2499 Abschlussbericht November 2005 51 TOV 8 9 10 11 12 13 14 15 16 17 18 Industrie Service Siemens AG Sicherheitstechnik in SIMATIC S7 Systembeschreibung Bereich Automation and Drives N rnberg Deutschland 2004 Siemens AG Automatisierungssysteme S7 F FH Handbuch Bereich Automation and Drives Nurnberg Deutschland 2004 Siemens AG Automatisierungssystem S7 300 Fehlersichere Signalbaugruppen Handbuch Bereich Automation and Drives Nurnberg Deutschland 2004 Siemens AG Dezentrales Peripheriegerat ET 200M Handbuch Bereich Auto mat
33. uft st ndig im Hintergrund kann aber nur durch Anwendung eines speziellen HW Adapters benutzt werden Seite 8 Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 2 20 Wie werden die systemimmanenten Eigenschaften der derzeit eingesetzten nicht digital ausgef hrten Komponente bei der rechnergest tzten Komponente abgebildet Derzeit werden festverdrahtete Verbindungen eingesetzt Diese zeichnen sich durch verz gerungsfreie bertragung und Parallelit t aus Bei der Verwendung eines Bussystems muss die von der Zykluszeit abh ngige Verz gerung ber cksichtigt werden Aufgrund der deterministischen Funktionsweise des zugrunde liegenden Bussystems PROFIBUS DP ist es m glich die maximale Verz gerungszeit anzugeben Diese muss bei der Systemauslegung ber cksichtigt werden Parallele Daten bertragung ist f r mehrere Signale innerhalb eines Datenpaketes grunds tzlich m glich Der Einfluss von Einzelfehlern wirkt sich bei festverdrahteten Verbindungen jeweils nur auf ein Signal aus Bei Bussystemen muss der gleichzeitige Ausfall einer Vielzahl von Signalen unterstellt werden Die Fehlerquellen Kurzschluss und Drahtbruch m ssen bei festverdrahteten Verbindungen detektiert werden Aufgrund der zyklischen Nachrichten bertragung und des zentralenbasierten Pollingverfahrens werden derartige Ausf lle des Bus Kabels erkannt Die neu hinzukommenden Fehlertypen Datenverf lschung Verlust Verz gerung falsche Reihenfolge Wiederholung
34. und Fehlerbeherrschung basieren auf der softwarebasierten Fehlererkennung der Buskom munikation gem dem Grey Channel Prinzip Die Siemens S7 Systeme stellen paramet rierbare berwachungszeiten und einen Watchdog bereit Zusammenfassend kann festgestellt werden dass der Typvertreter PROFIsafe die For derungen der IEC 61508 SIL3 f r eine sicherheitsgerichtete Kommunikation erf llt Au tomatisierungssysteme die PROFIsafe f r die Buskommunikation zu den Ein Ausgabe baugruppen einsetzen werden von der Firma Siemens AG mit den beiden Systemen SI MATIC S7 Distributed Safety und SIMATIC S7 F FH Systems angeboten die ebenfalls nach IEC 61508 SIL3 zertifiziert wurden Die anhand des Fragenkatalogs zusammenge stellten Informationen auf der Basis der verf gbaren Unterlagen und der im Interview mit geteilten Informationen haben keine grunds tzlichen Anhaltspunkte gegen den Einsatz in kerntechnischen Leittechniksystemen die Sicherheitsfunktionen der Kategorien A und B ausf hren ergeben F r den Einsatz in kerntechnischen Anlagen w ren aber noch er g nzende Unterlagen sowie Nachweise die die einzelnen Angaben belegen erforderlich Forschungsvorhaben SR 2499 Abschlussbericht November 2005 36 Industrie Service 5 3 Typvertreter Il CANopen Safety Chip Als Vertreter fur das Konzept des White Channels Ausbau bestehender Sicherungs ma nahmen wurde der CANopen Safety Chip ausgew hlt Dieser zweite Typvertreter basiert au
35. von Tests zur Ermittlung der flammhemmenden Charakteristiken der vorgeschlagenen Kabelinstallation durchgef hrt werden wobei Merkmale wie Isolier und Mantelmaterialien der Kabel F llmaterial f r Kabeltrassen Trassentypen und Anordnungen zu ber cksichtigen sind F r kleinere Abst nde in gef hrlichen Bereichen sollten das Gefahrenausma wie Gr e eines Feuers oder eines Leitungsbruchs und abschw chende Ma nahmen wie Sprinkler in Betracht gezogen werden IEC 60709 5 3 v v 1381 Wenn Signale von Ger ten eines Kategorie A SystemsN1 zu Systemen mit niedrigerer Kategorie bertragen werden muss dies ber Isolationseinrichtungen geschehen die dem Kategorie A System angeh ren Die Isolationseinrichtung muss so ausgelegt sein dass Ausf lle oder Bedingungen an ihren Ausg ngen die mit den Systemen niedrigerer Kategorie verbunden sind eine Sicherheitsaktion des Kategorie A Systems oder Teilsystems mit der die Isolationseinrichtung verbunden ist nicht verhindern k nnen Die vorgesehene elektrische Isolationseinrichtung muss die Anforderungen in 5 3 2 erf llen F r Wartungszwecke m ssen zeitweise Verbindungen ohne Isolationseinrichtung mit Kategorie A Systemen gestattet werden vorausgesetzt die Verbindung besteht zu jedem Zeitpunkt 25 10 2005 Anforderungen an Interfaces Kabel Kabelverlegung SEITE 2 VON 6 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung
36. werden jedoch nicht beschrieben Seite 9 Anhang II Vorhaben SR2499 CANopen Safety Chip 04 11 2005 3 2 4 3 2 5 3 3 1 3 3 2 3 3 3 3 3 4 3 3 5 3 3 6 Welche Hard und Software Integrationstests wurden durchgefuhrt Es wurden Hard und Software Integrationstests mit einem Evaluierungsboard durchgef hrt Die Hardware Integrationstests umfassen die Schnittstellen seriell CAN die Stromversorgung den Watchdog sowie die Not und Abschaltfunktionen Im Verlauf der Software Integrationstests werden die einzelnen Programmmodule getestet Welche Systemtests bzw Systemintegrationstests wurden durchgef hrt Wie wurden diese dokumentiert Die Tests wurden an einer Prototyp Hardware Evaluierungs Board durchgef hrt Hierbei wurden unter anderem Belastungstests Zeitmessungen und Fehlerf lle gepr ft Dokumentiert werden sie im Softwaretestbericht Softwarepr ftest und Softwarepr fergebnisse Wurden die Ablaufreihenfolge die Aufruf und Anlaufbedingungen der Tasks berpr ft Es wurde keine Aufteilung in mehrere Tasks vorgenommen Wurden spezielle Werkzeuge oder automatische Testhilfen f r die Pr fung der Software eingesetzt Wenn ja welche Die eingesetzten Werkzeuge sind CANalyser Entwicklungsumgebung Tasking Tools f r M16C v2 3 Debugger Simulator Wurden Tests der Software in einer Emulationsumgebung durchgef hrt z B Softwareemulation In Circuit Emulation ICE Wurde der Programmc
37. zu jedem Zeitpunkt nur mit einem einzigen Strang eines redundanten Systems die Verbindung wird nach Gebrauch aufgehoben und das System ist in der Lage einen durch Ausfall oder Verwendung der Verbindung eingeschleiften Fehler zu beherrschen Es muss ein Schutz gegen folgende Ausf lle und Bedingungen sichergestellt sein a Kurz und Erdschl sse b Unterbrechungen c Aufschaltung der maximalen Wechsel oder Gleichspannung die vern nftigerweise auftreten kann wobei die verf gbaren Spannungsquellen und Potentiale in den Kategorie A Systemen und sonstigen Systemen in Betracht zu ziehen sind d elektromagnetische und elektrostatische Beeinflussung Hinsichtlich der Eigenschaften einer Isolationseinrichtung sind zu ber cksichtigen Toleranz und Isolierung gegen ber elektrischen Schwingungen und Spitzen nach IEC 61000 6 5 Toleranz und Isolierung gegen ber elektromagnetischer Beeinflussung nach IEC 61000 6 5 einfache Barrieren zur elektrischen Isolierung zwischen nahen oder benachbarten Endverbindungen oder Kontaktgruppen an Relais Vorsorge gegen bertragung au erordentlich hoher oder zerst render Spannungen In diesem Zusammenhang sollte eine Untersuchung ber die maximale Spannung die unter normalen und fehlerhaften Bedingungen zu erwarten ist durchgef hrt werden und die m glichen Auswirkungen auf das sicherheitstechnisch wichtige Ger t sollten untersucht werden wenn diese Spannung auf die Endverbindungen der Isolati
38. 01 zur Verf gung gestellt Abbildung 7 zeigt den prinzipiellen Aufbau des CSC01 und dessen Forschungsvorhaben SR 2499 Abschlussbericht November 2005 37 Industrie Service Einbindung in das Kommunikationsnetzwerk Die bermittlung der CANopen Telegram me erfolgt ber zwei redundante CAN Controller Diese legen zeitversetzt und bitweise invertiert das gleiche Telegramm ber denselben CAN Treiber auf den BUS Der Emp f nger der ebenfalls ber zwei redundante CAN Controller einliest f hrt einen Kreuzver gleich der redundanten Telegramme durch Die Fehlererkennungsmechanismen Numme rierung Zeiterwartung Quittierung usw werden fest in den Mikrocontroller einprogram miert bertragungs medium Peripherie Baugruppe Abbildung 7 Prinzipschaltbild des CANopen Safety Chips Mit diesem Typvertreter steht kein komplettes Automatisierungssystem zur Verf gung wie es beim PROFIsafe mit SIMATIC S7 F FH Systems oder SIMATIC Distributed Safety der Fall ist Der betrachtete Chip umfasst ausschlieBlich das Kommunikationsinterface zwischen Bus und Applikation Der CSC01 kann als fertiger Baustein von Ger teherstel lern als Businterface eingebaut werden Forschungsvorhaben SR 2499 Abschlussbericht November 2005 38 Industrie Service Businterfaces CANopen Safety Chips gemeinsamer Bus a dezentrale Peripherie Abbildung 8 Systemaufbau CANopen Safety Bus Abbildung 8 zeigt den prinzipiellen Aufbau eine
39. 02 Zusatzheizung ca 10 000 St ck Monat seit Anfang 2001 Wurden besondere M glichkeiten zur Gewinnung von Betriebsdaten oder Diagnosedaten vorgesehen Hierzu sind in den vorliegenden Unterlagen keine Angaben enthalten Wurden die bisherigen Betriebserfahrungen mit der Komponente systematisch erfasst und nachvollziehbar und vertrauensw rdig dokumentiert Da es sich um eine Neuentwicklung handelt hier nicht relevant Seite 12 Anhang II Vorhaben SR2499 CANopen Safety Chip 04 11 2005 4 4 4 4 4 5 Sind Ausf lle der Komponente bekannt Wenn ja wurden die Ursachen f r Ausf lle der Komponente eingehend untersucht und dokumentiert Da es sich um eine Neuentwicklung handelt hier nicht relevant Werden die sicherheitstechnisch wichtigen Funktionen der Komponente regelm ig innerhalb eines kurzen Zeitintervalls angefordert Durch die Verwendung als Businterface mit zyklischer Daten bertragung ist eine st ndige Anforderung gegeben Seite 13 Anhang II Vorhaben SR2499 CANopen Safety Chip 04 11 2005 5 Konstruktive MaBnahmen zur Fehlervermeidung bei der Hardwareentwicklung 5 1 5 2 5 3 5 4 5 5 Gibt es eine detaillierte Beschreibung der Hardware mit Angaben zur Struktur Modularisierung etc die fur nicht an der Entwicklung beteiligte Personen nachvollziehbar ist Die Hardwaredokumentation des CSC01 entspricht den Anforderungen der IEC 61508 Die Struktur ist angelehnt an das Dokument der Pr fstelle
40. 1 Diagnosema nahmen zur Fehlererkennung und beherrschung im Programmablauf implementiert Die implemen tierten Ma nahmen zur Fehlererkennung und beherrschung in der Datenkommunikation basieren auf dem White Channel Prinzip Zusammenfassend kann festgestellt werden dass der Typvertreter II CANopen Safety Chip die Forderungen der IEC 61508 SIL3 f r eine sicherheitsgerichtete Kommunikation erf llt Obwohl das grundlegende Protokoll CAN einen ereignisorientierten Kommunikati onsablauf realisiert wird durch die zus tzlichen Eigenschaften der Sicherheitsvariante CANopen safety ein deterministischer Kommunikationsablauf sichergestellt Die vorlie genden Unterlagen dokumentieren die Entwicklung und Qualit tssicherung ausf hrlich Die Zertifizierung des Applikationsproduktes sowie die ordnungsgem e Integration des CSC01 z B Watchdog in ein fertiges Herstellerprodukt m ssen gesondert durchgef hrt werden Im Gegensatz zu Typvertreter ist der CSC01 ein reines Businterface das von einem Applikationshersteller in ein Endprodukt integriert werden muss Die anhand des Forschungsvorhaben SR 2499 Abschlussbericht November 2005 41 Industrie Service Fragenkatalogs zusammengestellten Informationen aus dem verf gbaren Unterlagen stand haben keine grunds tzlichen Anhaltspunkte gegen den Einsatz in kerntechnischen Leittechniksystemen die Sicherheitsfunktionen der Kategorien A und B ausf hren erge ben F r den Einsatz in kerntechnisc
41. 111 7 Industrie Service Anhang III 7 Security 1 Seite Anforderungen an Interfaces Security Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung VDI VDE 3527 5 5 1 v 1226 Die Sicherung gegen unzul ssige Eingriffe kann durch eine Kombination unterschiedlichster Ma nahmen erfolgen wie z B physischer Zugriffsschutz durch geeignete r umliche Anordnung in verschlossenen R umen bzw Schr nken Sicherung des Zugriffs von Benutzern ber hochwertige Authentisierungsverfahren Kombination von Wissen Besitz pers nlichen Merkmalen Datentechnische Sicherung der Datenverbindungen die den physischen Zugriffsschutz durchdringen z B durch Firewall Application Gateway Paketfilter etc Sicherung von Datenverbindung durch kryptografische Verfahren Verschl sselung der Daten Vorsehen von Verriegelungen f r Zugriffe ber zentrale Ger te zur Pr fung von Freigaben und zur Einschr nkung des maximalen gleichzeitigen Zugriffsbereichs Realisierung z B ber konventionelle fest verdrahtete Schaltungen mit Schl sselschaltern oder ber kryptografische Verfahren mittels Chipkarten VDI VDE 3527 3 5 v 1196 Es ist zu verhindern da ber die vorgesehene Nutzung der Datenverbindungen hinaus Manipulationen m glich sind die ein Versagen von Sicherheitsfunktionen zur Folge haben k nnen Alle f r die Security relevanten Ma nahmen
42. A CD und dem CSMA CA Verfahren unterschieden Das CSMA CD Verfahren z B Ethernet ist in der Lage aufgetretene Kollisionen auf dem Bus zu erkennen Beide Busteilnehmer brechen in diesem Fall ihre bertragung ab Nach einer zuf llig gew hlten Zeit versuchen es beide Busteilnehmer erneut Bei diesem Verfahren k nnen Busteilnehmer jederzeit hinzugef gt oder entfernt werden ohne dass der Bus neu konfiguriert werden muss Greifen allerdings zu viele Busteilnehmer auf den Bus zu sinkt die Effizienz des Buszugriffsverfahrens erheblich Da die Kollisionen nicht vorhersagbar sind und die Zeitspanne zwischen einer Telegrammkollision und der erneu ten Sendung der Telegramme zuf llig ist k nnen die maximalen Signalzeiten nur ge sch tzt werden Forschungsvorhaben SR 2499 Abschlussbericht November 2005 25 Industrie Service Im Unterschied zum CSMA CD Verfahren arbeitet das CSMA CA Verfahren z B CAN Bus auf Basis der Kollisionsvermeidung Wollen mehrere Busteilnehmer zuf llig zum gleichen Zeitpunkt senden erfolgt zu Beginn mit dem parallelen synchronen Senden der Telegrammheader ein Vergleich der Prioritaten der Telegramme Die Prioritat ist von dem absendenden Busteilnehmer abhangig und erlaubt eine eindeutige Rangfolge der Tele gramme Bei diesem als Arbitrierung bezeichneten Vorgang setzt sich letztendlich das Telegramm mit der h chsten Priorit t durch und seine bermittlung bleibt ungest rt Die unterlegenen Busteilnehmer
43. E 4 VON 4 Forschungsvorhaben SR 2499 Abschlussbericht November 2005 I11 6 Industrie Service Anhang III 6 Fehlererkennung und beherrschung 3 Seiten Anforderungen an Interfaces Fehlererkennung und beherrschung Dokumentenstelle Kat A Kat B ID Anforderung Stichwort a Allgemeine Ubergeordnete Anforderung IAEA NS R 1 5 40 v v 109 Das Prinzip der Fail Safe Auslegung muss ber cksichtigt und in die Auslegung der sicherheitstechnisch wichtigen Systeme und Komponenten wo passend integriert werden wenn ein System oder eine Komponente ausf llt m ssen die Anlagensysteme so ausgelegt werden dass sie in einen sicheren Zustand bergehen ohne dass irgendeine Aktion eingeleitet werden muss Stichwort c Anforderung an die Auslegung VDI VDE 3527 3 4 v 1195 Bei rechnerbasierten Leittechnik Systemen bestehen neben Verbindungen ber dedizierte Einzelleitungen zumeist auch datentechnische Kommunikations Verbindungen ber Netzwerke oder Punkt zu Punkt Datenverbindungen Durch die projektierte Realisierung dieser Kommunikationsabl ufe und deren Einbindung in die Bearbeitung der leittechnischen Funktionen muss die Unabh ngigkeit der Kommunikationsverbindungen von der sicherheitstechnisch wichtigen Bearbeitung der leittechnischen Funktionen weitestgehend sichergestellt werden Folgende Aspekte sind zu betrachten Die Programmbearbeitung der leittechnischen Funktionen
44. Hardware und Software und anderer Elemente die das Rechnersystem bilden soll die erforderliche Genauigkeit und Antwortzeiten erreichen um die Leistungsf higkeitsanforderungen an das Gesamtsystem zu erf llen Die Analyse der Genauigkeit und des Timings soll alle m glichen Quellen f r Verz gerung oder Signalver nderungen ber cksichtigen die durch alle Elemente in der Kette von den Sensoren f r den physikalischen Zustand der Anlage bis zum abschlie enden Ansteuerungsmechanismus verursacht werden k nnen Insbesondere soll ber cksichtigt werden dass die Verwendung einer Rechnersystemhardware oder software zur Aufbereitung der Anlagensignale sich in der Reduzierung der Antwortzeiten auswirken kann IAEA NS G 1 1 6 24 v v 1311 Rechnersystementwurf Zur Unterst tzung der Identifikation und Analyse des Systemantwortverhaltens sollen deterministische Kommunikationsprotokolle und Zuordnungstechniken f r die Rechnerressourcen verwendet werden Die Analyse soll die Worst Case Anforderungen des Systems ber cksichtigen 25 10 2005 Anforderungen an Interfaces Realisierung Performance SEITE 2 VON 4 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung IAEA NS G 1 3 5 57 v v 777 Die Kommunikationstechnologie soll so gew hlt und geeignet konfiguriert werden dass sichergestellt ist dass die Anforderungen an Antwortzeiten unter allen m glichen Bedingunge
45. Isafe f r die Buskommunikation zwischen Zentraleinheit und Ein Ausgabebaugruppen einsetzen werden von der Firma Siemens CPU414 4H Sicher heits PROFIsafe gerichtete F CPU Sicher heits gerichtete F CPU Standard DP Slave DP PA Link bzw Koppler F DP Slave SM 3xx Ts EINEN Siemens SIMATIC S7 400 FH IM 153 Siemens SIMATIC ET 200M F Abbildung 6 Systemaufbau SIMATIC S7 FH Forschungsvorhaben SR 2499 Abschlussbericht November 2005 33 Industrie Service AG die beiden Systeme SIMATIC S7 Distributed Safety und SIMATIC S7 F FH Systems angeboten Wahrend das System SIMATIC S7 Distributed Safety den Mischbetrieb be trieblicher und sicherheitsgerichteter Anwendungen auf einem gemeinsamen Bus zul sst wird SIMATIC S7 F FH Systems f r reine Sicherheitsfunktionen eingesetzt In der Aus f hrung FH wird das System zur Erh hung der Verf gbarkeit redundant aufgebaut Abbildung 6 Die Ein Ausgabebaugruppen werden ber einen R ckwandbus zur sog dezentralen Peripherie zusammengefasst ET 200M Die fehlersicheren Ein Ausgabebaugruppen sind mit zwei redundanten Mikrocontrollern ausgestattet die sich gegenseitig Uberwa chen Mit der Buskoppelbaugruppe IM 153 erfolgt die Anbindung an die Zentrale ber PROFIsafe Die Zentrale besteht aus einer sicherheitsgerichteten CPU auf der das Au tomatisierungsprogramm abl uft und einem DP Master als Buskoppler Sowohl Master
46. Kabel entstehen 4 2 Konzept und Auslegung von Sicherheitsbussen Gegen die in Kapitel 4 1 beschriebenen Fehlertypen der Datenkommunikation sind zur Erreichung des geforderten SIL Levels Ma nahmen zur Fehlerbeherrschung zu ergrei fen In Standardfeldbussen sind derartige Vorkehrungen jedoch nur teilweise implemen tiert so dass Sicherheitsbusvarianten auf der Basis von Standardfeldbussystemen entwi ckelt wurden Hierbei lassen sich zwei verschiedene Ans tze unterscheiden Das Grey Channel Prinzip und der Ausbau bestehender Sicherungsmechanismen der in Analogie zum Grey Channel nachfolgend als White Channel bezeichnet wird 30 4 2 1 Grey Channel Sicherheitsbuskomponenten nach dem Grey Channel Prinzip setzen auf einem Stan dardfeldbussystem auf wobei dessen bertragungskanal unver ndert genutzt wird Da dieser bertragungskanal als unsicher betrachtet wird dient der Nutzdatenteil des Stan dardfeldbus Telegramms lediglich als Transportmedium f r das eingebettete sicherheits gerichtete Telegramm welches zus tzliche eigenst ndige Sicherungsmechanismen auf weist Die Sicherheitstelegramme werden damit durch den unsicheren bertragungska nal getunnelt Der Empf nger berpr ft anhand der mitgelieferten Sicherungsinformatio nen ob die bertragung korrekt war und veranlasst gegebenenfalls den bergang in den Fail Safe Zustand Da die Sicherungsmechanismen im Protokoll verwirklicht und in das Telegramm eingebettet we
47. NET Vendors Association Forschungsvorhaben SR 2499 Abschlussbericht November 2005 45 Industrie Service OSI Open System Interconnection PNO PROFIBUS Nutzerorganisation SIL Safety Integrity Level SPS Speicherprogrammierbare Steuerung Forschungsvorhaben SR 2499 Abschlussbericht November 2005 46 TOV N1 N2 N3 N4 N5 N6 N7 Industrie Service Normenverzeichnis BMU BMI Sicherheitskriterien f r Kernkraftwerke Stand 09 83 RSK Leitlinien f r Druckwasserreaktoren Stand 01 97 KTA 3501 Reaktorschutzsystem und berwachungseinrichtungen des Sicherheitssystems Stand 06 85 KTA 3904 Warte Notsteuerstelle und rtliche Leitst nde in Kernkraftwerken Stand 08 88 IAEA NS R 1 Safety Requirements Safety of Nuclear Power Plants Design Stand 09 00 IAEA NS G 1 1 Safety Guide Software for Computer Based Systems Important to Safety in Nu clear Power Plants Stand 09 00 IAEA NS G 1 3 Safety Guide Instrumentation and Control Systems Important to Safety in Nu clear Power Plants Stand 03 02 Forschungsvorhaben SR 2499 Abschlussbericht November 2005 47 TOV N8 N9 N10 N11 Industrie Service IEC 60709 Nuclear Power Plants Separation of I amp C Systems Important to Security Stand 01 03 IEC 60987 Programmed Digital Computers Important to Safety for Nuclear Power Stations Stand 11 89 IEC 61226 Nuclear Power Plants Instrumentation and Con
48. Netzwerkkommunikation Sicherheit Management Ausgabe 4 05 Sei ten 96 97 GIT Verlag Darmstadt Deutschland 2005 24 Elan Schaltelemente GmbH amp Co KG ESALAN Systeme Programmierbare e lektronische System mit Sicherheitsfunktion Produkt bersicht Wettenberg 2004 25 Dr Wratil Safety related Data Transfer for EPL Innotec GmbH EPLG_S Work ing Group 2004 26 F Handermann Communication with SafeEthernet PRAXIS Profiline Industrial Ethernet Ausgabe 4 02 Seite 2 2002 27 Dr O Madelung Sicherheitsgerichtete Kommunikation AS Interface goes Safe ty iee 44 Jahrgang Ausgabe 4 Seiten 118 120 1999 Literatur 28 D Reinert F Adams Sichere Bussysteme f r die Automation Verlag H thig Heidelberg Deutschland 2001 Forschungsvorhaben SR 2499 Abschlussbericht November 2005 53 TOV 29 30 31 32 33 34 35 Industrie Service TUV Anlagentechnik GmbH TUV Rheinland Group Anwendung von Bussyste men in der Anlagensicherheit der Chemie Industrie Forschungsvorhaben 35 00 Munchen Deutschland 2000 R D Schraft G Brandenburg K Bender Tagungsband SPS IPC DRIVES 2004 Seiten 51 59 Nurnberg Deutschland 2004 TUV Industrie Service GmbH TUV SUD Group Anforderungen an rechnerge st tzte periphere Komponenten des Sicherheitssystems in Kernkraftwerken Ab schlussbericht zu dem Vorhaben SR 2422 Munchen 2003 Hauptverband der gewerblichen Berufsgenossensch
49. OFIsafe Profile 04 11 2005 6 3 1 6 3 2 6 3 3 6 3 4 6 4 6 5 6 6 Wie erfolgte die Modularisierung der Software und wie sind die systeminternen Schnittstellen definiert Welche Softwaremodule bzw Komponenten gibt es Wie ist die Softwarestruktur aufgebaut Gibt es eine detaillierte Beschreibung der Softwarestruktur Gibt es eine detaillierte Beschreibung der Module Funktionsbeschreibung Ein Ausgabewerte etc Die Modularisierung erfolgte entsprechend der Entwurfsspezifikation Sowohl die Softwarestruktur als auch die einzelnen Module sind in den Entwicklungsunterlagen detailliert beschrieben Erfolgte eine Modularisierung der Software in berschaubare Einheiten Der Hersteller best tigte dies Wurden Ma nahmen zur eindeutigen Identifikation von Softwareeinheiten getroffen Wenn ja wo sind diese dokumentiert Der T V Pr fbericht Safety related Software PROFIsafe Treiber listet die CRC Pr fsummen der zertifizierten Quellcode Dateien auf Gibt es eine eindeutige Zuordnung von Modulen zu den in der Anforderungsspezifikation definierten Funktionen Es gibt eine eindeutige Zuordnung von Modulen zu den in der Safety Requirement Specification enthaltenen Anforderungen Welche Taskstruktur und bergangsbedingungen f r die Taskwechsel gibt es Gibt es eine Taskbeschreibung Wie erfolgt die Synchronisation Zuteilung des Prozessors Wo ist dies dokumentiert Das Programm mit den Sicherheitsfunktionen
50. Requested documents for a development accompanying assessment and type approval according to IEC 61508 Das Dokument gen gt den formalen und inhaltlichen Anspr chen f r die Zertifizierung und ist nachvollziehbar Welcher Mikrokontroller bzw Mikroprozessor Hersteller Typ wurde ausgew hlt und was waren die Kriterien f r die Auswahl Der CSC01 basiert auf dem 16 Bit Mikrocontroller M306NAFGTFP Step D der Firma Renesas Der Mikrokontroller ist eine Single Chip Ausf hrung mit zwei r umlich separierten integrierten CAN Kontrollern Er wird seit dem Jahr 2000 in gro en St ckzahlen in der Serienfertigung im Automotive Bereich eingesetzt Vorliegende Zahlen Autoradios ca 35 000 St ck Monat Multifunktionslenkrad ca 20 000 St ck Monat Lenks ulenmodul ca 15 000 St ck Monat seit Anfang 2002 Zusatzheizung ca 10 000 St ck Monat seit Anfang 2001 Wie ist die Speicherorganisation der Komponente von Neumann mod Harvard Struktur und wie erfolgt die Trennung von Daten und Programmen Es werden keine Angaben zur Speicherorganisation gemacht Die Programme werden in einem Flash Speicher abgelegt Daten im RAM Es erfolgte eine Einteilung in verschiedene Speicherbereiche die verschiedenen Funktionen Daten zugeordnet sind Welche Programm und Datenspeicher Typ Gr e sind eingesetzt Wo ist dies dokumentiert Der Chip besitzt 10 kByte internes SRAM und 256 kByte Flash Memory Bereits beim Kauf enth l
51. Schnittstelle programmiert werden W hrend der Programmierung muss der Bootjumper geschlossen bleiben Der Zugriffsschutz der Anwendersoftware muss vom Applikationshersteller z B durch Einbau des Chips in ein geschlossenes Geh use bereitgestellt werden Gab es Entwicklungsvorgaben zu den Prinzipien zur Sicherstellung eines m glichst deterministischen Verhaltens z B einer streng zyklischen Abarbeitung des Hauptprogrammes Die Entwicklungsvorgaben resultieren aus der geforderten Qualifizierungsf higkeit gem IEC 61508 Vor Beginn der Entwicklung wurde das Konzept durch den TUV Rheinland berpr ft Alle Nachrichten werden streng zyklisch gesendet unabh ngig von einer Anforderung durch das Applikationsprogramm Der Abstand der Telegramme ist abh ngig von der eingestellten SCT Safeguard Cycle Time die minimal 20 ms betr gt Gab es Entwicklungsvorgaben hinsichtlich des Ausfall bzw Fehlerverhaltens der Komponente Die Entwicklungsvorgaben resultieren aus der geforderten Qualifizierungsf higkeit gem IEC 61508 Vor Beginn der Entwicklung wurde das Konzept durch den TUV Rheinland berpr ft Wird ein Diagnosefehler oder ein Fehler im CAN Treiber festgestellt so verweilt die Main Funktion in einer Endlosschleife im Betriebszustand STOPP dem sicheren Zustand gem IEC 61508 In diesem Zustand wird der Watchdog nicht mehr getriggert und die CAN Kommunikation wird abgeschaltet Alle Interrupts werden gesperrt Da in
52. Unabh ngigkeit vom verfahrenstechnischen Anlagenprozess bzw der zugeh rigen Signaltrajektorien f r Programmablauf Interruptbehandlung Arbeitsauslastung der Prozessoren Kommunikationsbelastung sichergestellt Aufgrund des zyklischen Austausches von Telegrammen ist der Programmablauf unabh ngig vom Prozess Erfolgt eine strikt zyklische Bearbeitung aller sicherheitskritischen Funktionen der Komponente Die Zykluszeit der sicherheitskritischen Funktionen richtet sich nach dem DP Buszyklus vgl 2 14 und ist somit strikt zyklisch Ist die m gliche Variationsbreite in der Programmlaufzeit gering und sind die beeinflussenden Faktoren beschrieben Die Programmlaufzeit richtet sich nach der Zykluszeit und ist immer konstant Wird ein Betriebssystem verwendet Wenn ja welches Garantiert der Hersteller ein definiertes Zeitverhalten Echtzeitbetriebssystem Verf gt das Betriebssystem ber erweiterte Sicherheitsfunktionen Es wird kein Betriebssystem verwendet Seite 19 Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 6 10 2 Sind im Betriebssystem oder der Anwendersoftware 6 11 6 12 berwachungsmechanismen f r den Zugriff auf Speicherbereiche implementiert Wenn ja wo sind diese beschrieben Nein Welche Festlegungen zum Interrupthandling gibt es Priorit ten etc Wo sind diese dokumentiert Es werden nur Timerinterrupts zum zyklischen Aufruf verwendet Wurde vorgefertigte Software einge
53. VON 7 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung Eine angemessene Unabh ngigkeit soll zwischen diversit ren Funktionen bestehen Die Angemessenheit der bestehenden Unabh ngigkeit soll gerechtfertigt werden IAEA NS G 1 3 5 54 v v 774 Sicherheitstechnisch wichtige Datenverbindungskan le sollen die Anforderungen an die Unabh ngigkeit erf llen IEC 60709 4 7 v v 1378 Gesichtspunkte der Trennung m ssen insbesondere in der Realisierungsstrategie zur Erneuerung der Anlage angesprochen werden Gesichtspunkte die ber cksichtigt werden m ssen umfassen Trennung in Zwischen Konfigurationen wenn neue Leittechnik im Rahmen eines Phasenprogramms installiert wird Festlegung von Teilsystemen die ohne die Notwendigkeit von Zwischen Schnittstellen separiert werden k nnen Eignung der bisherigen Trennung f r die neue Leittechnik haupts chlich Empfindlichkeit der digitalen Leittechnik f r elektromagnetische Beeinflussung besondere Temperaturanforderungen und Empfindlichkeit gegen ber radioaktiver Strahlung Einschr nkungen der Kabelf hrung und Analyse der Bed rfnisse neuer Technologien f r spezielle Kabeltrassen Glasfaserkabel Busleitungen Trennungsanforderungen IEC 60709 4 4 2 v v 1372 Leittechnisches Ger t schlie t von Natur aus die Erzeugung und die bertragung elektromagnetischer Signale mit ei
54. Zusammenstellung sicherheitstechnischer Anforde rungen an Interfaces der Mess und Stelltechnik in software basierten Leittechniksystemen mit sicherheitstechnischer Bedeutung in Kernkraftwerken Abschlussbericht zu dem Vorhaben SR 2499 erstellt von T V Industrie Service GmbH T V S D Gruppe Energie und Technologie Christian Michas Cornelia B hler November 2005 Erstellt im Auftrag des Bundesministeriums f r Umwelt Naturschutz und Reaktorsicherheit im Rahmen des Vorhabens SR 2499 Der Auftraggeber beh lt sich alle Rechte vor Insbesondere darf dieser Bericht nur mit seiner Zustimmung zitiert ganz oder teilweise vervielf ltigt bzw Dritten zug nglich gemacht werden Der Bericht gibt die Auffassung und Meinung des Auftragnehmers wieder und muss nicht mit der Meinung des Auftraggebers bereinstimmen Forschungsvorhaben SR 2499 Abschlussbericht November 2005 2 Industrie Service Kurzfassung Moderne Automatisierungssysteme bauen auf Bussystemen mit serieller Daten bertra gung f r den Austausch von Informationen auf In diesem Forschungsvorhaben wird der Einsatz von digitaler Signal bertragung in der Leittechnik mit sicherheitstechnischer Be deutung f r die Kategorien A und B von Kernkraftwerken untersucht Es werden zun chst der derzeitige Stand der Sicherheitsbustechnik vorgestellt und die sich damit neu ergebenden Automatisierungsstrukturen speziell f r den Sicherheitsein satz aufgezeigt Weiterhin werden w
55. a welche Mit dem Entwicklungswerkzeug Rhapsody in dem auch die Spezifikation der Software erfolgt erfolgen auch eine automatische Testgenerierung und Testdurchf hrung Wurden Tests der Software in einer Emulationsumgebung durchgef hrt z B Softwareemulation In Circuit Emulation ICE Wurde der Programmcode so instrumentiert dass w hrend der Testphasen Tracing Informationen gewonnen werden k nnen Im Rahmen des Modultests und des Integrationstests wurde ein ICE eingesetzt Eine Programminstrumentierung war damit nicht n tig Wurden Simulations Tools zur Pr fung der Software oder im Rahmen der Systemtests eingesetzt Es wurde ein von A amp D entwickelter und zertifizierter ProfiSafe Layer Tester der f r die Konformit tspr fung von Produkten eingesetzt wird verwendet Wurde eine Timing Analyse durchgef hrt Dies war ein Schwerpunkt beim Integrations und Systemtest Erfolgte eine berpr fung der Datenraten Reaktionszeiten und des Verhaltens in Grenzsituationen Performancepr fungen Diese Pr fungen erfolgten im Integrations und Systemtest Welche Validierungspr fungen wurden durchgef hrt Wurden insbesondere Ma nahmen zur Validierung von automatisch durch Werkzeuge erzeugte Software getroffen Die Validationstests wurden zum Nachweis der Anforderungen aus der Safety Requirement Specification durchgef hrt Die auf der Basis der Spezifikation in Rhapsody automatisch erzeugte Software wurde im Rahmen
56. achrichten Hauptverband der gewerblichen Berufsgenossenschaften Fachausschuss Elektrotechnik K ln Ausgabe 05 02 GS ET 26 Seite 3 Anhang II Vorhaben SR2499 CANopen Safety Chip 04 11 2005 2 Funktionen und Auslequngsvorgaben unter Sicherheitsaspekten 2 1 2 2 2 3 2 4 2 5 Gibt es eine detaillierte Beschreibung der Leittechnik berwachungs und Unterst tzungsfunktionen die f r nicht an der Entwicklung beteiligte Personen nachvollziehbar ist Ja in Form des Dokuments Sicherheitskonzept Gibt es eine detaillierte Beschreibung der Aufgaben und Funktionen die die Software zu erf llen hat die f r nicht an der Entwicklung beteiligte Personen nachvollziehbar ist Die Softwaredokumentation des CSC01 entspricht den Anforderungen der IEC 61508 Die Struktur ist angelehnt an das Dokument der Pr fstelle Requested documents for a development accompanying assessment and type approval according to IEC 61508 Das Dokument gen gt gem Typpr fbericht den formalen und inhaltlichen Anspr chen und ist nachvollziehbar Gibt es eine detaillierte Beschreibung der Konfigurations und Parametrierm glichkeiten Das Dokument Technische Dokumentation und Nutzerhandbuch in der Version 1 06 wurde vom T V Rheinland im Zusammenhang mit der Zertifizierung inspiziert Es enth lt die f r die richtige sicherheitstechnische Verwendung des CSC01 durch einen Anwender Entwickler notwendigen Informationen Gibt es mehrere Varian
57. aften HVBG Grundsatz f r die Pr fung und Zertifizierung von Bussystemen f r die bertragung sicherheits relevanter Nachrichten Fachausschuss Elektrotechnik Pr f und Zertifizie rungsstelle K ln Deutschland 2002 B Adamski Safety Bus Design Requirements for Process Industry Sector Appli cations Invensis Premier Consulting Services Irvine Kalifornien USA IEC Functional Safety and IEC61508 A basic guide Inter net http www iec ch functionalsafety 2004 SAMSON AG Kommunikationsnetze Teil 1 Grundlagen Inter net http www samson de Frankfurt 2004 Forschungsvorhaben SR 2499 Abschlussbericht November 2005 1 1 Industrie Service Anhang I Ausgef llter Fragenkatalog Typvertreter Inhalt Fragenkatalog zum Typvertreter PROFIsafe mit 28 Seiten Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 1 Projektplanung und Aufbau der Dokumentation 1 1 1 Welches Vorgehensmodell wurde der Entwicklung zugrunde gelegt z B Verfahrens Modell V Modell Das in der IEC 61508 festgelegte V Modell wurde der Entwicklung zugrunde gelegt Gibt es eine Liste s mtlicher entsprechend den Phasen des Vorgehensmodells geordneter Dokumente Die in den einzelnen Phasen zu erstellenden Unterlagen werden in einer allgemeinen Planungsunterlage von Siemens A amp D f r die Entwicklung von fehlersicheren Komponenten aufgelistet Sind die einzelnen Phasen des Lebenszyklus des Produktes und die z
58. ang III 5 Realisierung Performance 4 Seiten Anforderungen an Interfaces Realisierung Performance Dokumentenstelle Kat AKat B ID Anforderung Stichwort c Anforderung an die Auslegung RSK LL 7 3 2 13 v 623 Die Funktionsf higkeit der Sicherheitsleittechnik ist unabh ngig von Art und Umfang der zeitlichen nderung ihrer Eingangssignale zu gew hrleisten KTA 3501 5 6 v 273 Die Zusammenschaltung der Ger te des Reaktorschutzsystems ist so auszuf hren dass ein eindeutiger Funktionsablauf sichergestellt ist Bauteileigenschaften wie Eigenzeiten Toleranzen Drift und St rfallverhalten d rfen den zeitlichen Ablauf von Befehlen nicht unzul ssig beeinflussen KTA 3501 5 5 4 2 v 266 Die Befehlsdauer der Einzelantriebssteuerungen einschlie lich der zul ssigen Abweichungen ist so zu w hlen dass die Mindestbefehlsdauer der Schaltger te eingehalten wird VDI VDE 3527 5 2 3 v 1209 R ckwirkungsfreiheit zwischen der strikt zyklischen Bearbeitung der Anwendersoftware in jedem Prozessor und der davon unabh ngigen Kommunikation ber die Datenbusse Nach jedem Zyklus werden die Ergebnis Telegramme ohne Abfrage des Empf ngerstatus gesendet VDI VDE 3527 3 4 v 1195 Bei rechnerbasierten Leittechnik Systemen bestehen neben Verbindungen ber dedizierte Einzelleitungen zumeist auch datentechnische Kommunikation
59. angeordnet sind miissen diese eine Feuerfestigkeit entsprechend den Brandschutzbestimmungen aufweisen IEC 60709 5 2 v v 1380 Das Ger t leittechnischer Systeme muss so spezifiziert ausgelegt und installiert sein dass seine funktionale F higkeit w hrend und nach den zu erwartenden Umgebungsbedingungen infolge von Ereignissen nach 4 4 Versagenausl sende Ereignisse innerhalb der Anlage und 4 5 Externe versagenausl sende Ereignisse sichergestellt ist IEC 60709 6 1 L 1384 Redundante Teile von Kategorie A Systemen m ssen so ausgelegt und installiert sein dass keines der in Abschnitt 4 angegebenen Einzelereignisse zum Versagen einer Kategorie A Funktion f hren kann IEC 60709 6 1 v 1385 Redundante Teile von Kategorie B Systemen m ssen so ausgelegt und installiert sein dass keines der in 4 2 Auslegungsfehler und 4 3 versagenausl sende Ereignisse in leittechnischen Systemen angegebenen Einzelereignisse zum Versagen einer Kategorie B Funktion f hren kann Die Behandlung der in 4 4 versagenausl sende Ereignisse innerhalb der Anlage und 4 5 externe versagenausl sende Ereignisse angegebenen versagenausl senden Ereignissen in Bezug auf Kategorie B Systeme muss wie in den allgemeinen Prinzipien von Abschnitt 4 beschrieben von Fall zu Fall erfolgen IEC 61226 1 3 2 2 v 1041 Eine Funktion in dieser Kategorie muss mit redundanten und getrennten Mitteln ausgef hrt
60. ard PROFIBUS Hardware Welche Verbreitung hat die Komponente in der Industrie Eine Vielzahl von Ger ten sind auf dem Markt erh ltlich Die Systeme Siemens Distributed Safety und Siemens S7 F FH Systems sind bereits langj hrig im Einsatz Die meisten Peripheriekomponentenhersteller z B WAGO B amp R liefern Komponenten mit eingebauten PROFIsafe Interface Ist die direkte Kommunikation von peripheren Busteilnehmern ohne Sicherheitszentrale m glich Nein da ein Master Slave basiertes System vorliegt Welches Konzept liegt dem sicherheitsgerichteten Bussystem zugrunde Das Konzept des sicherheitsgerichteten Bussystems basiert auf einer zus tzlich zum Standart PROFIBUS DP Protokoll realisierten softwarebasierten Sicherungsschicht im ISO OSI Schichtenmodell Seite 27 Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 9 3 3 9 3 4 9 3 5 9 3 6 9 3 7 9 4 1 9 4 2 9 4 3 Welches Buszugriffsverfahren wird verwendet Es wird eine Master Slave Kommunikation mit Polling Verfahren verwendet die zu einer kontrollierten deterministischen Kommunikation f hrt K nnen die Nachrichten mit Priorit ten versehen werden Da die Abarbeitung der Busteilnehmer streng zyklisch ist ist zur Einhaltung der Reaktionszeiten eine Priorisierung nicht erforderlich Wie ist das Verhalten des Bussystems bez glich der Reaktionszeit Der Buszugriff erfolgt streng zyklisch Der Master fragt nacheinander die Slaves ab Die R
61. ategorien muss eine hinreichende Trennung erfolgen IEC61513 5 3 1 3 v v 1078 Die Architektur und die Technologie der Kommunikationsverbindungen m ssen sicherstellen dass die Unabh ngigkeitsanforderungen zwischen Systemen erf llt sind Zus tzlich zu physikalischer Trennung und elektrischer Isolation sollten in der Auslegung Vorkehrungen getroffen sein die sicherstellen dass Probleme der Verbindungsleitungen sich nicht auf Verarbeitungsmodule auswirken Kommunikationsverbindungen sollten so ausgelegt werden dass Datenkommunikation und Betrieb einer Funktion h herer Sicherheitskategorie nicht durch die Datenkommunikation eines niedriger klassifizierten Systems beeintr chtigt werden 25 10 2005 Anforderungen an Interfaces Aufrechterhaltung des Defence in Depth Konzeptes der Anlage SEITE 6 VON 6 Forschungsvorhaben SR 2499 Abschlussbericht November 2005 II 2 Industrie Service Anhang IIl 2 Aufrechterhaltung der verfahrenstechnischen Redundanz der Anlage 3 Seiten Anforderungen an Interfaces Aufrechterhaltung der verfahrenstechnischen Redundanz der Anlage Dokumentenstelle Kat AKat B ID Anforderung Stichwort a Allgemeine bergeordnete Anforderung KTA 3501 4 12 3 v v 205 F r voneinander getrennte verfahrenstechnische Systeme des Sicherheitssystems sollen getren
62. auf Wie sind bei mehreren Betriebsarten die bergangsbedingungen f r einen Betriebsartenwechsel definiert Wo sind diese dokumentiert F r den CSC01 existiert nur eine Betriebsart Ist eine Trennung von Betriebs und Sicherheitsfunktionen in der Software vorgesehen Wenn ja wie erfolgt diese Trennung Der CSC01 ist ausschlie lich f r Sicherheitsfunktionen vorgesehen Wie wird der Kontrollfluss gesteuert Der Kontrollfluss der CSC Main Funktion ist linear aufgebaut und wird zyklisch durchlaufen Welche zeitlichen Randbedingungen wurden festgelegt Wo sind diese beschrieben Aufgrund der Forderung dass die Restfehlerrate durch das Bussystem auf 1 f r SIL3 begrenzt sein soll k nnen maximal 44 Nachrichten pro Sekunde bertragen werden was einer Refreshzeit von 23 ms entspricht Dieses Ergebnis gilt unter der Annahme der maximalen Anzahl von Teilnehmern 64 im Netzwerk und dass alle Teilnehmer mit dieser minimalen Refreshzeit bertragen Kann nachgewiesen werden dass das resultierende Verhalten in vorhersagbarer Weise allein von den sicherheitstechnisch wichtigen Funktionen der Komponente bestimmt wird deterministisches Verhalten Es sind keine nicht sicherheitstechnisch wichtigen Funktionen vorhanden Seite 18 Anhang II Vorhaben SR2499 CANopen Safety Chip 04 11 2005 6 9 2 6 9 3 6 9 4 6 10 1 Ist die Unabh ngigkeit vom verfahrenstechnischen Anlagenprozess bzw der zugeh rigen Signaltrajektorien f
63. auf der Seite der sicherheitstechnisch weniger wichtigen Einrichtungen aufgeschaltet wird Weiter sollten Vorkehrungen getroffen werden um die M glichkeit zu minimieren dass Ausf lle in nicht sicherheitsrelevanten Systemen spontane ungewollte Aktionen von Funktionen der Kategorie A ausl sen Werden Anlagenger te die von einem Kategorie A System angesteuert werden auch von Signalen eines Systems niedrigerer Kategorie angesteuert m ssen Isolationseinrichtungen vorgesehen sein die einen Vorrang der vom Kategorie A System ausgehenden Steuersignale sicherstellen Ausf lle im oder normale Aktionen des Systems niedrigerer Kategorie d rfen die Funktionen des Kategorie A Systems unter Anlagenbedingungen die einen Erfolg dieser Funktionen erfordern nicht berlagern Die Isolationseinrichtungen zur Sicherstellung des Vorrangs m ssen als Teil des Kategorie A Systems eingeordnet sein Ausf lle und Fehlbet tigungen in Systemen die nicht entsprechend Kategorie A eingeordnet sind d rfen keinerlei R ckwirkungen auf das Ansprechverhalten die Drift Genauigkeit Rauschempfindlichkeit oder andere Eigenschaften des Kategorie A Systems haben die seine F higkeit beeintr chtigen k nnten die geforderten Sicherheitsfunktionen auszuf hren Wenn Signale von Kategorie B Systemen oder Kategorie C Systemen zur Verwendung in Systemen niedrigerer Kategorie ausgekoppelt werden m gen Isolationseinrichtungen nicht gefordert sein guter Ingenieurpraxis folgend s
64. beginnen anschlie end einen erneuten Sendeversuch Die Kommunikation l uft demnach zwar ereignisgesteuert ab aber die einzelnen Busteil nehmer k nnen mittels Priorit ten hinsichtlich ihrer Bedeutung gewichtet werden Forschungsvorhaben SR 2499 Abschlussbericht November 2005 26 Industrie Service 5 Beschreibung der Typvertreter Im Rahmen des Vorhabens SR 2422 wurden die Anforderungen die an rechnergest tzte periphere Komponenten des Sicherheitssystems in Kernkraftwerken zu stellen sind un tersucht Unter rechnergest tzten peripheren Komponenten sind Komponenten zu ver stehen die abgesetzt von den Zentraleinrichtungen eingesetzt werden und mit Mikrocon trollern Mikroprozessoren oder anderen hochintegrierten Bauteilen ausger stet sind Es wurde ein generischer Fragenkatalog aufgestellt und dieser f r mehrere Typvertreter im Bereich der Messwerterfassung der Antriebssteuerung und der elektrischen Energiever sorgung des Sicherheitssystems von Kernkraftwerken beantwortet Zur Erg nzung des Forschungsvorhabens SR 2422 wurde im vorliegenden Forschungsvorhaben SR 2499 f r zwei Typvertreter von Interfacebaugruppen ein entsprechend angepasster Fragenka talog vgl Kapitel 3 2 beantwortet 5 1 Marktrecherche und Auswahlkriterien Die Eignung der am Markt erh ltlichen Sicherheitsbussysteme soll exemplarisch anhand zweier Typvertreter untersucht werden Zur Auswahl der Typvertreter wurde eine Markt recherche der in der Indust
65. bel und Kabelverlegung F r die Realisierung von Sicherheitsbussystemen wurden die zwei unterschiedlichen Konzepte zur Beherrschung der spezifischen Fehlertypen Grey Channel und White Channel vorgestellt Die prinzipielle Funktionsweise des Buszugriffsverfahrens von Standardbussystemen wurde erl utert und eine Marktrecherche der zurzeit am Markt er h ltlichen Sicherheitsbussysteme durchgef hrt F r eine n here Betrachtung wurden zwei Typvertreter PROFIsafe und CANopen Safety Chip ausgew hlt die beide bereits nach IEC 61508 SIL3 zertifiziert wurden Die Typver treter wurden detailliert beschrieben der Fragenkatalog des Forschungsvorhabens SR 2422 beantwortet und ausgewertet Der Fragenkatalog wurde hierzu hinsichtlich der Spezifika von digitaler Signal bertragung entsprechend erweitert Forschungsvorhaben SR 2499 Abschlussbericht November 2005 43 Industrie Service Die in den Fragekatalogen zusammengetragenen Informationen haben keine grundsatz lichen Anhaltspunkte ergeben die prinzipiell gegen einen Einsatz von digitaler Signal bertragung in Leittechniksystemen in Kernkraftwerken die Sicherheitsfunktionen der Kategorien A und B ausf hren sprechen Allgemein g ltige Vor oder Nachteile der un terschiedlichen Realisierungskonzepte f r Sicherheitsbussysteme konnten anhand der betrachteten Typvertreter nicht festgestellt werden F r konkrete Einsatzf lle sind jedoch die im Anhang Ill zusammengestellten Anforderun
66. ber eine Sicherheitsschalteinrichtung abgeschaltet vgl 2 11 Hinweis Der Einsatz von gem IEC 61508 zertifizierten Ger ten in der Industrie erfolgt grunds tzlich f r sicherheitsgerichtete Funktionen die einen eindeutigen Fail Safe Zustand z B Maschinenabschaltung Stromabschaltung etc aufweisen Seite 5 Anhang II Vorhaben SR2499 CANopen Safety Chip 04 11 2005 2 8 2 9 2 10 2 11 Gab es Enwicklungsvorgaben zur Auslegung gegen besondere Umwelteinfl sse EMV induzierte Ersch tterungen aus Erdbeben KMV etc Die Auslegung gegen besondere Umwelteinfl sse liegt im Verantwortungsbereich des Ger teherstellers der den Chip in eine Komponente integriert Der Einsatztemperaturbereich des CSC01 betr gt 40 C bis 85 C Gab es Entwicklungsvorgaben hinsichtlich des Schutzes der gespeicherten Programme und Parameter gegen Ver nderung Die Software besteht aus zwei Teilen Die CANopen Safety Applikation wird von Ger tehersteller entwickelt und von ihm w hrend der Produktion in den Flash programmiert Dieser Teil der Software kann vom Ger tehersteller nicht ver ndert werden Er wird im Produktionsprozess des CANopen Safety Chips in den Flash programmiert Um den Applikationsflash des Mitsubishi M306NAFGTFP zu programmieren wird der Programmiermodus ben tigt Dieser Modus wird ber den Bootjumper und einen Reset aktiviert Nun kann mit entsprechenden Programmiertools der Microcontroller ber die serielle
67. chniken k nnen in Betracht gezogen werden interne Isolation wodurch Ausf lle sich aufgrund des Fehlens von Ausbreitungspfaden und von gemeinsam genutzten Mitteln nicht ausbreiten k nnen System berwachung mit internen z B Selbst berwachung oder externen Einrichtungen z B andere Systeme oder Operateure wodurch die Fr herkennung verf lschter Daten und oder schadhafter Hilfsmittel erm glicht wird defensive Schnittstellen die es dem System und seinen Teilsystemen erm glichen verf lschte Eingangswerte und oder fehlerhafte Interaktionen zu identifizieren On line Validierung redundanter Eingangssignale die als Eingangsdaten f r die nachfolgende Verarbeitung verwendet werden und genau definierte Verhaltensvorschriften f r den Fall einer Ausfallerkennung die es dem System erm glichen sein Potential gegen die Ausbreitung von Ausf llen und oder entsprechende Auswirkungen zu reduzieren IEC61513 6 1 1 2 1c d v 1110 Die Auslegung von Klasse 1 Systemen muss gen gend Redundanz vorsehen um das Einzelfehlerkriterium single failure criterion bei Betrieb und Wartung zu erf llen Die Auslegung von Klasse 1 Systemen muss Unabh ngigkeit zwischen den verschiedenen Redundanzen vorsehen 25 10 2005 Anforderungen an Interfaces Gew hrleistung der Unabh ngigkeit der kommunizierenden Teilsysteme SEITE 7 VON 7 Forschungsvorhaben SR 2499 Abschlussbericht November 2005 111 5 Industrie Service Anh
68. d zu betrachten Die Programmbearbeitung der leittechnischen Funktionen soll m glichst unabh ngig von den zu verarbeitenden oder zu bertragenden Daten sein Als fehlerhaft erkannte Signale sind zu kennzeichnen und ihre Ausbreitung ist einzugrenzen Hierbei ist das Fail Safe Verhalten zu beachten F r die bertragenen Daten m ssen Daten berlauf und oder Messbereichs berlauf von der Software beherrscht werden um eine eventuelle Unterbrechung der zyklischen Bearbeitung oder die Beeintr chtigung anderer Leittechnikfunktionen auf diesem Rechner z B durch Zugriff auf falsche Speicherbereiche zu verhindern Die Datenkommunikation muss zeitlich entkoppelt und m glichst ohne eine Synchronisation der kommunizierenden Rechner untereinander realisiert werden um bei einem Ausfall eines Kommunikationsteilnehmers den Weiterbetrieb der anderen Teilnehmer sicherzustellen VDI VDE 3527 3 4 v 1194 Die konsequente Realisierung des Defence in Depth Prinzips und eines hohen Redundanzgrades bei der Auslegung der Leittechnik f hrt nicht zwangsl ufig zur gew nschten Fehlertoleranz wenn nicht wirksame Ma nahmen zur Verhinderung einer Fehlerausbreitung vorgesehen werden Hierbei sind nicht nur Fehlerausbreitungsmechanismen zu betrachten durch die mehrere redundante Teilsysteme oder Systeme verschiedener leittechnischer Barrieren gleichzeitig beeinflusst werden k nnen sondern auch solche Fehlerausbreitungsmechanismen bei denen
69. der dynamischen Tests gepr ft Seite 11 Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 3 3 8 3 3 9 3 4 3 5 1 3 5 2 Wurden Pr fungen der Mikrokontroller Hardware vor der HW SW Integration durchgef hrt Nein Erfolgte eine berpr fung der Auslastung des Speichers und des Stacks Dies erfolgte im Rahmen des Integrationstests Wurde ein Verfahren festgelegt wie mit festgestellten Fehlern umgegangen wird z B Einteilung in Fehlerklassen Wenn ja wo ist dieses dokumentiert Hierzu ist ein Verfahren in einer A amp D Verfahrensanweisung festgelegt Es wird werkzeugunterst tzt durchgef hrt ClearQuest Wurden spezielle methodische Verfahren zur Analyse m glicher St rungen Fehler oder Ausf lle f r die Komponente ggf auf der Bauteil Einzelkomponentenebene durchgef hrt z B FTA FMEA Eine Fehlerbetrachtung erfolgte im Rahmen der Zertifizierung gem IEC 61508 Gab es Untersuchungen der Hard und Software hinsichtlich des CCF Common Cause Failure Potentials Spezifisch f r Interfaces sind hierbei Fehler auf dem Bus sowie die Fehlerfortpflanzung von der Sender auf die Empfangsseite zu betrachten Gem Anhang B der IEC 61508 2 werden f r zertifizierte Ger te bez glich der systematischen Ausf lle fehlervermeidende Ma nahmen und Ma nahmen zur Beherrschung von Ausf llen getroffen Dies bildet sich auch in den entsprechenden Kapiteln des vorliegenden Fragenkataloges ab Kapitel 3
70. die Entkopplung zu redundanz bergreifenden Einrichtungen wie zur Warte oder zum Prozess Informationssystem sicherzustellen F r digitale Systeme erfolgt die Entkopplung vorwiegend ber Lichtleiter 25 10 2005 Anforderungen an Interfaces Gew hrleistung der Unabh ngigkeit der kommunizierenden Teilsysteme SEITE 2 VON 7 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung IAEA NS G 1 1 6 12 6 14 v v 1304 Rechnersystementwurf Redundanz in dem Rechnersystem soll im Allgemeinen vorgesehen werden um die Zuverl ssigkeitsanforderungen und die Anforderungen an die Tests w hrend des Betriebs zu erf llen Zur Reduzierung von M glichkeiten eines vernetzten Ausfalls von redundanten Ger ten sollen die redundanten Subsysteme elektrisch und physisch getrennt werden Da das Voting eine gemeinsame Verwendung aller Subsysteme erfordert soll eine angemessene und ausreichende Zwischenspeicherung verwendet werden um sicherzustellen dass die Trennung der redundanten Subsysteme erhalten bleibt Redundante Subsysteme sollen auch asynchron laufen Die Notwendigkeit f r die berbr ckung bei der Inbetriebnahme des integrierten Rechnersystems soll ber cksichtigt werden da es Auswirkungen auf das Hardware Software Interface haben kann IAEA NS G 1 3 5 58 v v 778 Wenn die Zuverl ssigkeit der Daten und der Datenverbindung von gro er Bedeutung ist soll eine geeignete
71. dieser Verfahren herzustellen F r redundante Kabel in einem sicherheitstechnisch wichtigen leittechnischen System gilt f r jede redundante Gruppe m ssen physikalisch getrennte Kabelf hrungen K sten Kan le R hren und Durchf hrungen vorgesehen sein auf jeder gegebenen Kabeltrasse jedem Kabelkasten oder Kanal jeder horizontalen oder vertikalen Kabelr hre oder in jeder Durchf hrung d rfen nur Kabel derselben redundanten Gruppe verlegt sein bei versagenausl senden Ereignissen in leittechnischen Systemen deren Ursache im Kabelsystem liegt wie Lichtbogen oder berhitzung durch Kurzschl sse berlastung Spannungstransienten usw siehe 4 3 kann ein geringeres Ausma physikalischer Trennung ausreichend sein Ein horizontaler Abstand von mindestens 30 cm und ein vertikaler Abstand von mindestens 80 cm m ssen eingehalten werden Wo dies nicht der Fall ist m ssen die redundanten Kabel in geschlossenen Trassen die als Barrieren qualifiziert sind verlegt werden oder es muss eine Begr ndung f r die geringeren Abst nde gegeben werden f r anlageninterne und externe versagenausl sende Ereignisse wie Feuer oder schwere Bausch den siehe 4 4 und 4 5 muss eine aufwendigere physikalische Trennung einschlie lich Barrieren und oder Sicherheitseinbauten vorgesehen werden Kleinere Abst nde als in 6 2 1 angegeben d rfen nach der Analyse der vorgeschlagenen Kabelinstallation zugelassen werden Die Analyse sollte auf der Grundlage
72. dlegenden Teilen der permanenten Firmware und der anwenderspezifischen Safety Applikation Die permanente Firmware enth lt den CANopen Safety Protokoll Stack mit allen sicherheitsrelevanten Kommunikationsfunktionen sowie Diagnosefunktionen f r RAM Register Stack und Flash Sie setzt sich aus mehreren Modulen zusammen Im zweiten Flash Bereich steht die Safety Applikation die von den Anwendern noch zu programmieren ist Wurden Ma nahmen zur eindeutigen Identifikation von Softwareeinheiten getroffen Wenn ja wo sind diese dokumentiert Zur eindeutigen Identifikation der Softwareeinheiten wird WinCVS Concurrent Versions System verwendet Dieses Programm stellt eine Versionskontrolle und ein nderungsmanagement f r Programmcode zur Verf gung Die Verwendung von WinCVS stellt eine Kontrolle und Dokumentation der Konfiguration und Anderung sicher Seite 17 Anhang II Vorhaben SR2499 CANopen Safety Chip 04 11 2005 6 3 4 6 4 6 5 6 6 6 7 6 8 6 9 1 Gibt es eine eindeutige Zuordnung von Modulen zu den in der Anforderungsspezifikation definierten Funktionen Hierzu sind in den vorliegenden Unterlagen keine Angaben enthalten Welche Taskstruktur und bergangsbedingungen f r die Taskwechsel gibt es Gibt es eine Taskbeschreibung Wie erfolgt die Synchronisation Zuteilung des Prozessors Wo ist dies dokumentiert Es existiert keine Task Struktur Die CSC Mainfunktion ruft das Applikationsprogramm als Funktion
73. dulein und ausgabewerte Hierzu sind in den vorliegenden Unterlagen keine Angaben enthalten Seite 21 Anhang II Vorhaben SR2499 CANopen Safety Chip 04 11 2005 7 4 7 5 7 6 1 7 6 2 Gibt es Uberwachungsfunktionen f r komponenteninterne Busfunktionen Wenn ja wo sind diese dokumentiert Die typgepr fte Komponente die nur aus einem Mikrokontroller besteht besitzt keine Busfunktionen Erfolgt eine berwachung des Datenverkehrs ber die Datenschnittstellen Wenn ja wo ist dies dokumentiert Fehler auf dem CAN Bus bei der bertragung sicherheitsrelevanter Nachrichten werden entsprechend IEC 61508 durch folgende Ma nahmen erkannt Datenverf lschung Erkennung durch bitweise inverse redundante Telegramme Ein Telegramm wird zeitversetzt ber ein CAN Businterface im Original und ber das zweite in invertierter Logik gesendet Verlust Verz gerung Erkennung durch Zeit berwachung Falsche Reihenfolge Abfolge Wiederholung Erkennung durch Nummerierung der Telegramme Wiederholung und Einf gung Erkennung durch logische Programm berwachung und die Verwendung von zwei CAN Controllern Unterscheidung von sicherheitsrelevanten und nicht sicherheitsrelevanten Nachrichten durch einen speziellen Identifier um eine Auswertung von nicht sicherheitsrelevanten Nachrichten durch sicherheitsrelevante Teilnehmer aufgrund von Fehladressierungen zu verhindern Die Uberwachungsfunktionen sind im Pr fbericht vom T V R
74. dungsstellen zwischen mehreren Redundanzgruppen des Reaktorschutzsystems wie sie z B an Vergleichs Wertungs und Mittelwerteinheiten auftreten ist die Unabh ngigkeit von verschiedenen Redundanzgruppen durch Entkopplung sicherzustellen Die Entkopplungsglieder m ssen die Redundanzgruppen gegeneinander r ckwirkungsfrei abgrenzen gilt auch f r Schutzbegrenzungen KTA 3904 2 2 4 v v 425 Redundante Einrichtungen wie zum Beispiel Anzeigen der Sicherheitsgefahrenmeldeanlage sind so anzuordnen und aufzubauen dass trotz eines ger tetechnischen Einzelfehlers wie Bauelementausfall eine sicherheitstechnisch ausreichende Anzahl von Einrichtungen betriebsf hig bleibt VDI VDE 3527 3 4 v 1195 25 10 2005 Anforderungen an Interfaces Gew hrleistung der Unabh ngigkeit der kommunizierenden Teilsysteme SEITE 1 VON7 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung Bei rechnerbasierten Leittechnik Systemen bestehen neben Verbindungen ber dedizierte Einzelleitungen zumeist auch datentechnische Kommunikations Verbindungen ber Netzwerke oder Punkt zu Punkt Datenverbindungen Durch die projektierte Realisierung dieser Kommunikationsabl ufe und deren Einbindung in die Bearbeitung der leittechnischen Funktionen muss die Unabh ngigkeit der Kommunikationsverbindungen von der sicherheitstechnisch wichtigen Bearbeitung der leittechnischen Funktionen weitestgehend sichergestellt werden Folgende Aspekte sin
75. e A wird der Verzicht auf Verbindungen zwischen diversit ren Leittechniksystemen gefordert Weiterhin m ssen f r Kategorie A Vorrang und Einzelantriebssteuerungen f r die verfahrenstechnischen Redundanzen strangweise aufgebaut werden Leittechniksystemarchitektur Zur Erreichung der geforderten Zuverl ssigkeit der einzelnen Leittechniksysteme ist auch f r die Interfaces innerhalb eines Systems ein redundanter Aufbau vorzusehen um die zugrunde zu legenden Fehlerarten und kombinationen sowie die versagenausl senden Ereignisse zu beherrschen Ebenso darf die in der Systemarchitektur vorhandene Re dundanz der Teilsysteme aufgrund von Vermaschungen durch die Interfaces nicht beein tr chtigt werden Unabh ngigkeit von kommunizierenden Teilsystemen F r Verbindungen zwischen redundanten Teilsystemen wird die gegenseitige Unabh n gigkeit gefordert so dass versagenausl sende Ereignisse nicht den Ausfall mehrerer Redundanzen zur Folge haben So ist u a durch Barrieren zur Fehlerausbreitung sicher zustellen dass sich Ausf lle und Fehlverhalten in einer Redundanz nicht auf andere Re dundanzen auswirken Hierbei sind auch indirekte Verkn pfungen von Systemen ber Service oder Pr fger te zu ber cksichtigen Bestehen auch Verbindungen zwischen Systemen mit unterschiedlichen leittechnischen Funktionen sind die Anforderungen an die R ckwirkungsfreiheit der Schnittstellen untereinander ebenfalls gefordert Die Barrie Forsc
76. e erreicht werden kann physikalische Trennung die durch geeignete Abst nde Barrieren oder eine Kombination aus beiden erreicht werden kann und f r rechnerbasierte Systeme Unabh ngigkeit der Kommunikation die durch die Auswahl geeigneter Kommunikationsarchitekturen und Protokolle erreicht werden kann Die Systemarchitektur sollte die Wahrscheinlichkeit und die Konsequenzen der Ausbreitung und Nebenwirkungen von Ausf llen minimieren Die folgenden Techniken k nnen in Betracht gezogen werden interne Isolation wodurch Ausf lle sich aufgrund des Fehlens von Ausbreitungspfaden und von gemeinsam genutzten Mitteln nicht ausbreiten k nnen System berwachung mit internen z B Selbst berwachung oder externen Einrichtungen z B andere Systeme oder Operateure wodurch die Fr herkennung verf lschter Daten und oder schadhafter Hilfsmittel erm glicht wird defensive Schnittstellen die es dem System und seinen Teilsystemen erm glichen verf lschte Eingangswerte und oder fehlerhafte Interaktionen zu identifizieren On line Validierung redundanter Eingangssignale die als Eingangsdaten f r die nachfolgende Verarbeitung verwendet werden und genau definierte Verhaltensvorschriften f r den Fall einer Ausfallerkennung die es dem System erm glichen sein Potential gegen die Ausbreitung von Ausf llen und oder entsprechende Auswirkungen zu reduzieren DIN V VDE 0801 6 2 2 B 2 2 2 v v 1395 Als m gliche Ma na
77. e vor Anderer seits liegen Pr fberichte f r die Systeme SIMATIC S7 Distributed Safety 2 3 und SI MATIC S7 F FH Systems 4 5 von der T V Automotive GmbH T V S d Gruppe vor die die einzelnen Komponenten der Automatisierungssysteme abdecken Dazu z hlen im Fall des SIMATIC S7 FH Systems die zentrale Baugruppe F CPU und DP Master die Buskoppler IM der dezentralen Peripherie und die Ein Ausgabemodule F SM Au erdem ist der Stand typgepr fter fehlersicherer Programmbausteine f r das sicherheitsgerichtete Automatisierungsprogramm festgehalten Ergebnis der Typpr fungen des PROFIsafe Treibers und der SIMATIC S7 Systeme ist die Erf llung der Testkriterien und geforderten Qualitatsmerkmale der DIN V 19250 N16 f r Kategorie AK 6 der EN 954 1 N15 Kategorie 4 und der IEC 61508 N11 SIL3 Eben falls erf llt werden die Normen 93 68 EEC N17 DIN V VDE 0801 N14 prEN 50159 1 N18 VDI VDE 2180 N19 DIN VDE 0116 N20 EN 298 N21 EN 61131 2 N22 und EN 60204 1 N23 Die Entwicklung erfolgte unter Anwendung von Qualit tssicherungs ma nahmen nach DIN EN ISO 9001 2000 Die auslegungsspezifischen Reaktionszeiten m ssen f r spezifische Applikationen im Zusammenhang mit der gesamten Hardware ermittelt werden 5 2 3 Auswertung des Fragenkataloges Die Firma Siemens AG besitzt hinsichtlich des Qualit tsmanagements ein allgemeines Kontroll und Qualit tsmanagementsystem nach DIN EN ISO 9001 2000 Das produkt spezifische
78. eaktionszeit ist im fehlerfreien Fall und im Fehlerfall genau vorhersagbar Ist die der Baugruppe zugrunde liegende Protokollspezifikation herstellerspezifisch oder ein offengelegtes Protokoll PROFIsafe ist ein offenes System der Siemens AG bzw der PROFIBUS Nutzerorganisation PNO Es ist im industriellen Bereich weit verbreitet Wie gro ist die Hamming Distanz der Daten bertragung auf dem Bussystem Die Hamming Distanz ist 4 d h bis zu 3 Bitfehler k nnen erkannt und korrigiert werden Werden die typischen Fehler f r Buskommunikation Verlust Wiederholung Einf gung falsche Abfolge Verz gerung und Nachrichtenverf lschung beherrscht Welche Ma nahmen werden bei Fehlererkennung ergriffen Die Fehlertypen werden beherrscht durch eine fortlaufende Nummerierung der Sicherheitstelegramme eine Zeiterwartung f r den Abstand ankommender Telegramme bzw deren Quittierung eine Kennung zwischen Sender und Empf nger Losungswort eine zus tzliche Datensicherung CRC Die zus tzlichen Telegrammbestandteile werden in den Nutzdaten des Standard Telegramms durch eine Softwareschicht oberhalb der DP Layer Software integriert Wie wirkt sich der Ausfall einzelner Busteilnehmer auf das Netzwerk aus Da die Busteilnehmer zyklisch von der Zentrale abgefragt werden und diese den Ausfall eines Teilnehmers erkennt und ihn ber definierte Fehlerreaktionen kompensieren kann ergeben sich keine Auswirkungen auf das Net
79. ebliche Funktionen zu verwenden Ein Mischbetrieb fehlersicherer und betrieblicher Ein Ausgabemodule in einem SIMATIC Distributed Safety System ist m glich Ein SIMATIC F FH System l sst dies nicht zu Seite 15 Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 5 8 5 9 5 10 Gibt es sicherheitstechnisch wichtige Funktionen die in vom Mikrokontroller Mikroprozessor unabh ngiger Hardware realisiert wurden Nein Erfolgte die Auslegung der Komponente mit Uhrzeit oder Kalender Wenn ja was wurde festgelegt um Probleme wie Sommer Winterzeit Umschaltung und kritische Kalenderdaten z B Schaltjahreffekte zu l sen Wo ist dies dokumentiert Die Verwendung von Uhrzeit bzw Kalenderfunktionen ist nicht dokumentiert Wurde die Hardware hinsichtlich zu erwartender Alterungseffekte analysiert und welche Reserven wurden hierf r ber cksichtigt Die ELKOs f r die Bereitstellung der Restenergie f r notwendige Aufr umarbeiten nach einem Netzausfall wurden mit einer hohen Reserve ausgelegt damit auch nach l ngeren Betriebszeiten ausreichende Energiereserven bereitstehen Seite 16 Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 6Konstruktive Ma nahmen zur Fehlervermeidung bei der Softwareentwicklung 6 1 1 6 1 2 6 2 1 6 2 2 6 2 3 6 2 4 Wie ist die Software der Komponente aufgebaut Die Software ist modulorientiert aufgebaut Wurden spezielle Tools zur Versionsverwaltung eingesetzt Wenn
80. egt Der Schutz der Anwendersoftware muss vom Applikationshersteller vorgesehen werden z B Einbau des Chips in ein geschlossenes Geh use Die Programmierung des Flash Speicher des Mitsubishi M306NAFGTFP erfolgt im Programmiermodus Dieser Modus wird ber den Bootjumper und Reset aktiviert Erst dann kann mit entsprechenden Programmiertools der Microcontroller ber die serielle Schnittstelle programmiert werden W hrend der Programmierung muss der Bootjumper geschlossen bleiben Welches Verhalten zeigt die Komponente w hrend der Parametrierung oder des Pr fens bzw der Online Diagnose Es ist keine Parametrierung Pr fung oder Diagnose im Betrieb vorgesehen Muss die Komponente nach der Parametrierung oder Pr fung von Hand aus dem Parametrier oder Pr fmodus wieder in den Betriebsmodus umgeschaltet werden oder erfolgt dies automatisch Es ist keine Parametrierung Pr fung oder Diagnose im Betrieb vorgesehen Seite 24 Anhang II Vorhaben SR2499 CANopen Safety Chip 04 11 2005 8 6 8 7 8 8 8 9 8 10 Verf gt der eingesetzte Mikrokontroller ber eine Bootstraploader Funktionalit t Wenn ja wann und zu welchem Zweck wird er eingesetzt und in welchem Modus wird er betrieben und wo ist dies beschrieben Eine Bootstraploader Funktionalit t wird nicht bereitgestellt Wurde die Mensch Maschine Schnittstelle nach bestimmten Regeln aufgebaut Es ist keine Mensch Maschine Schnittstelle vorhanden Wurden f r d
81. eilweise aktive Netzwerkkomponenten im Kabelweg eingeschleift f r welche die Festigkeit gegen die Belastungen durch die Einsatzbedingungen ebenfalls gegeben sein muss Die Kabel m ssen f r die unterstellten Umgebungsbedingungen ausgelegt sein wobei auch even tuelle spezielle Belastungen z B durch die Ausl sung von Feuerbek mpfungssystemen ber cksichtigt werden sollen Weiterhin sind physische Schutzma nahmen f r die zu be herrschenden versagenausl senden Ereignisse zu treffen Es ist die physische Trennung zwischen redundanten Buskabeln und anderen Kabeltypen die zu Beeinflussungen f h ren k nnten z B Kabel mit h herem Energieniveau vorzusehen Zus tzlich sind ge eignete Abschirmungsma nahmen zur Sicherstellung der EMV zu treffen Die identifizierten Anforderungen im Einzelnen sind in Anhang III gegliedert in die einzel nen Themengebiete enthalten 3 2 Anpassung des Fragenkatalogs aus dem Vorhaben SR 2422 Im Rahmen des Forschungsvorhabens SR 2422 31 wurde ein generischer Fragenkata log f r rechnergest tzte periphere Komponenten erstellt mit dem berpr ft werden kann ob bei der Entwicklung einer rechnergest tzten Komponente die wesentlichen fehlerver Forschungsvorhaben SR 2499 Abschlussbericht November 2005 16 Industrie Service meidenden und fehlerbeherrschenden Ma nahmen ber cksichtigt wurden und ob f r ei ne Begutachtung ausreichende Informationen und Unterlagen zur Verf gung gestellt werde
82. eine Begr ndung gegeben werden Eine solche Begr ndung kann z B auf der F higkeit eines Systems beruhen die geforderte Zuverl ssigkeit auch ohne die genannten Mittel zu erreichen auf der Annehmbarkeit der Folgen des Funktionsausfalls oder auf der Verf gbarkeit von gen gend Zeit f r alternative Ma nahmen bei Funktionsausfall IEC 61226 7 3 2 1 v 1039 25 10 2005 Anforderungen an Interfaces Gew hrleistung der Unabh ngigkeit der kommunizierenden Teilsysteme SEITE 6 VON 7 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung Ein leittechnisches System das Funktionen der Kategorie A ausfiihrt muss redundant sein Angemessene Trennung muss vorgesehen sein um sicherzustellen dass irgendein interner St rfall redundante Str nge des Systems nicht unwirksam machen kann Ein Einzelausfall darf nicht zum Versagen der vorgesehenen Sicherheitsfunktion f hren auch nicht w hrend pr ventiver Instandhaltung oder wiederkehrender Pr fung Inspektion oder Reparatur Die Anwendung des Einzelausfallkriteriums muss in bereinstimmung mit 5 34 bis 5 39 von IAEA NS R 1 sein IEC61513 6 1 2 2 v v 1128 Die Anordnung der Teilsysteme im System muss den Auslegungs Randbedingungen nach 6 1 1 2 gen gen Die Anordnung der Teilsysteme im System muss konsistent mit den Anforderungen an die Zuverl ssigkeit der Funktionen mit sicherheitstechnischer Bedeutung sein Be
83. ektrical equipment of furnaces EN 298 1993 Chapters 9 10 Automatic gas burner control systems for gas burners and gas burning appliances with or without fans EN 954 1 1997 Safety Categories 2 4 Safety of machinery Safety related parts of control systems Part 1 General principles for design EN 61131 2 1995 Programmable controllers equipment requirements and tests EN 60204 1 1997 Safety of machinery Electrical equipment of machines Seite 3 Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 2 Funktionen und Auslequngsvorgaben unter Sicherheitsaspekten 2 1 2 2 2 3 2 4 2 5 Gibt es eine detaillierte Beschreibung der Leittechnik berwachungs und Unterst tzungsfunktionen die f r nicht an der Entwicklung beteiligte Personen nachvollziehbar ist Die Beschreibung ist in der Systembeschreibung Sicherheitstechnik in SIMATIC S7 und der Software Spezifikation PROFIsafe Profile for Safety Technology on PROFIBUS DP and PROFINET IO f r den PROFIsafe Treiber enthalten Die Beschreibung wurde im Rahmen der Typpr fung nach IEC 61508 berpr ft Gibt es eine detaillierte Beschreibung der Aufgaben und Funktionen die die Software zu erf llen hat die f r nicht an der Entwicklung beteiligte Personen nachvollziehbar ist Die Beschreibung ist in der Software Spezifikation PROFIsafe Profile for Safety Technology on PROFIBUS DP and PROFINET IO f r den PROF Isafe Treiber enthalten Die Beschreibu
84. en RSK LL 7 3 2 1 v 617 Es ist nachzuweisen dass die Sicherheitsleittechnik der Kategorie 2 ihre Aufgaben auch dann erf llt wenn zus tzlich zur St rung ein Zufallsausfall und Folgeausf lle eintreten W hrend eines Instandhaltungsfalls ist auch eine St rung zu unterstellen 25 10 2005 Anforderungen an Interfaces Systemarchitektur SEITE 1 VON7 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung KTA 3501 4 4 1 2 v v 157 Es ist nachzuweisen dass das Reaktorschutzsystem im Zusammenwirken mit aktiven und passiven Sicherheitseinrichtungen zus tzlich zum St rfall a einen Zufallsausfall b und einen systematischen Ausfall soweit er nicht durch eine Analyse ausgeschlossen werden kann f r Kat B nicht systemintern c und Folgeausf lle beherrscht gilt auch f r Schutzbegrenzungen KTA 3501 5 5 4 1 v 265 Die Einzelantriebssteuerungen f r ein verfahrenstechnisches System m ssen strangweise ohne Vermaschung aufgebaut werden KTA 3501 5 5 3 2 v 262 Die Vorrangsteuerungen m ssen strangbezogen aufgebaut werden Signalverbindungen zwischen verschiedenen Str ngen sind nach der Vorrangbildung nicht zul ssig KTA 3501 7 2 v 279 Die Zustandsbegrenzungen sind redundant aufzubauen und r ckwirkungsfrei gegeneinander und gegen die Betriebssysteme zu entkoppeln
85. en enthalten Es exisistiert die Anforderungsspezifikation Produktanforderungen Sie enth lt Funktionsanforderungen Sicherheitsanforderungen Umgebungsbedingungen zeitliche Programmlaufanforderungen sowie Anforderungen von Seiten des CANopen Protokolls Normen die der Entwicklung und Qualifizierung zugrunde lagen werden nicht aufgef hrt Normen die der Qualifizierung zugrunde lagen werden im Pr fbericht Bericht ber die Pr fung des CANopen Safety Chip CSC01 aufgef hrt Gibt es eine Systemspezifikation Pflichtenheft Entwurfsspezifikation f r Hardware und Software Als Systemspezifikation existiert das Dokument Sicherheitskonzept Wie ist die Entwicklungsdokumentation aufgebaut Teile der Entwicklungsdokumentation sind Hardwaredesign Softwaredesign bersicht Op Code und Adressierungen lag nicht vor Schaltplan lag nicht vor Gibt es eine Pr fspezifikation f r die Komponente Wie ist die Pr fdokumentation aufgebaut Es existieren folgende Pr fspezifikationen Verifikations und Validierungsplan Hardwarepr ftest und Hardwarepr fergebnisse Softwarepr ftest und Softwarepr fergebnisse Sie enthalten Angaben zu den einzelnen Pr fungen der Pr fumgebung den Pr fwerkzeugen den Pr ff llen den Pr fkriterien und der Pr fkonfiguration Es werden Softwaretests Hardwaretests sowie Hardware Softwareintegrationstests beschrieben Seite 2 Anhang II Vorhaben SR2499 CANopen Safety C
86. en Wenn ja wo sind diese dokumentiert Die sicherheitsgerichteten Ein Ausgabemodule F SM besitzen keine internen Busfunktionen Samtliche interne und externe Buskommunikation innerhalb des Integrated Safety Systems wird mit dem fehlersicheren Busprotokoll PROFIsafe abgewickelt Erfolgt eine berwachung des Datenverkehrs ber die Datenschnittstellen Wenn ja wo ist dies dokumentiert Fehler auf dem PROFIBUS DP bei der bertragung sicherheitsrelevanter Nachrichten werden entsprechend IEC 61508 durch folgende Ma nahmen erkannt Datenverf lschung durch zus tzliche Sicherheitsinformationen in einer auf den Standard PROFIBUS aufgesetzten Sicherungsschicht PROF Isafe Protokoll Verlust Verz gerung Erkennung durch Zeit berwachung Falsche Reihenfolge Abfolge Wiederholung Erkennung durch Nummerierung der Telegramme Wiederholung und Einf gung Erkennung durch logische Programm berwachung und Nummerierung der Nachrichten Unterscheidung von sicherheitsrelevanten und nicht sicherheitsrelevanten Nachrichten durch die zus tzliche Sicherungsschicht Die Uberwachungsfunktionen sind in der Beschreibung Draft des PROFIsafe Treibers PROFIsafe Profile for Safety Technology on PROFIBUS DP and PROFINET IO enthalten Welches Fehlerverhalten hat die Komponente Grundlage des Sicherheitskonzeptes ist es dass f r alle Prozessgr en ein sicherer Zustand existiert Bei digitalen Signalbaugruppen ist das z B der Wert 0
87. en Diagnosepuffer der Ein Ausgabemodule F SM und den Diagnosepuffer der CPU eingetragen und dem Sicherheitsprogramm in der F CPU mitgeteilt Wurden die bisherigen Betriebserfahrungen mit der Komponente systematisch erfasst und nachvollziehbar und vertrauensw rdig dokumentiert Es erfolgt eine Erfassung von R ckl ufern und Betriebserfahrungen in einer Datenbank Sind Ausf lle der Komponente bekannt Wenn ja wurden die Ursachen f r Ausf lle der Komponente eingehend untersucht und dokumentiert Die R ckl ufer und Erfahrungs Datenbank wird hinsichtlich Anhaltspunkten f r erforderliche Anderungen untersucht Seite 13 Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 4 4 5 Werden die sicherheitstechnisch wichtigen Funktionen der Komponente regelm ig innerhalb eines kurzen Zeitintervalls angefordert Durch die Verwendung als Businterface mit zyklischer Daten bertragung ist eine st ndige Anforderung gegeben Seite 14 Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 5 Konstruktive Ma nahmen zur Fehlervermeidung bei der Hardwareentwicklung 5 1 5 2 5 3 5 4 5 5 5 6 5 7 Gibt es eine detaillierte Beschreibung der Hardware mit Angaben zur Struktur Modularisierung etc die f r nicht an der Entwicklung beteiligte Personen nachvollziehbar ist Diese Beschreibung ist in den Pflichtenheften enthalten Welcher Mikrokontroller bzw Mikroprozessor Hersteller Typ wurde ausgew hlt und was wa
88. en f r sicherheitstechnisch wichtige leittechnische Systeme getroffen werden um m gliche Auswirkungen dieser Ereignisse auf ein annehmbares Ma zu beschr nken Betrachtet werden sollten auch die Auswirkungen der Kombination von Ausfallereignissen IEC61513 5 3 1 3 v v 1078 25 10 2005 Anforderungen an Interfaces Aufrechterhaltung der verfahrenstechnischen Redundanz der Anlage SEITE 2 VON 3 Dokumentenstelle Kat AKat B ID Anforderung Stichwort c Anforderung an die Auslegung Die Architektur und die Technologie der Kommunikationsverbindungen m ssen sicherstellen dass die Unabh ngigkeitsanforderungen zwischen Systemen erf llt sind Zus tzlich zu physikalischer Trennung und elektrischer Isolation sollten in der Auslegung Vorkehrungen getroffen sein die sicherstellen dass Probleme der Verbindungsleitungen sich nicht auf Verarbeitungsmodule auswirken Kommunikationsverbindungen sollten so ausgelegt werden dass Datenkommunikation und Betrieb einer Funktion h herer Sicherheitskategorie nicht durch die Datenkommunikation eines niedriger klassifizierten Systems beeintr chtigt werden 25 10 2005 Anforderungen an Interfaces Aufrechterhaltung der verfahrenstechnischen Redundanz der Anlage SEITE 3 VON 3 Forschungsvorhaben SR 2499 Abschlussbericht November 2005 I11 3 Industrie Service Anhang Ill 3 Systemarchitektur 7 Seiten Anforderungen an Interfaces Systemarchitektur
89. eneeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee 11 3 2 Anpassung des Fragenkatalogs aus dem Vorhaben SR 2422 005 15 4 Einf hrung in die Sicherheitsbustechnologie 4444 44444 18 4 1 Neue Fehlertypen im Zusammenhang mit Buskommunikation 19 4 2 Konzept und Auslegung von Sicherheitsbussen ss4444 440 20 4 2 1 SGhCY Ghannel static csi reset a iets ttet sist sles hats aaa 20 4 2 2 Ausbau bestehender Sicherheitsmechanismen White Channel 21 4 3 Darstellung der unterschiedlichen Buszugriffsverfahren 22 5 Beschreibung der Typvertreter 22224444400044444nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 26 5 1 Marktrecherche und Auswahlkriterien uu 224444444444Hnnnnnnnn nennen 26 5 2 Typvertreter I PROFIsafe Profil u 24444444444000Rnnnnn anne 31 521 Beschreib ng ee ee 31 5 2 2 Umfang und Ergebnis der Typpr fung uuu 4444444444400nnnnnn Hanne 34 5 2 3 Auswertung des Fragenkataloges uu44444444444nnnnnnnnnnnnnnnnnnnn 34 5 3 Typvertreter Il CANopen Safety Chip 44444444nennnn ernennen 36 5 34 Beschreibungen 36 5 3 2 Umfang und Ergebnis der Typpr fung He ee 39 5 3 3 Auswertung des Fragenkataloges uuu44444444444nnnnennnnnnnn nenne 40 6 Zusammenfassung und Ausblick 2244244444000nnnnnnnnnnnnnnnnnn
90. er sicherheitsgerichteten Kommunikation Kommunikationsfehler zwischen der F CPU und der ausgetauschten F SM gemeldet Seite 6 Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 2 13 2 14 Gab es Entwicklungsvorgaben hinsichtlich einer energetischen datentechnischen und funktionalen Entkopplung an den Schnittstellen zur Kraftwerksanlage Fehlerfortpflanzungssperren Aufgrund dem der Entwicklung zugrunde liegenden Ziel der Qualifizierungsf higkeit gem IEC 61508 SIL3 ist von entsprechenden Entwicklungsvorgaben auszugehen Es erfolgt eine Potentialtrennung auf den Ein Ausgabemodulen zwischen den Kanalgruppen der Ein Ausg nge sowie der Kan le zum R ckwandbus und zur Spannungsversorgung der Elektronik Der Produktkatalog Industrielle Kommunikation f r Automation and Drives Katalog IK PI 2005 der Siemens AG f hrt f r die Entkopplung der PROFIBUS Schnittstelle eine Isolationsspannung von 500 V auf Eine datentechnische Entkopplung erfolgt durch den festen Zyklus der Kommunikation ohne gegenseitige zeitliche Abh ngigkeit zwischen Sender und Empf nger Gab es Entwicklungsvorgaben zur Sicherstellung von konstanten Betriebsbedingungen der Komponente wie statische Zuordnung von Systemressourcen so dass die Systemfunktionen unabh ngig vom Prozess gleichbleibend beansprucht werden zyklische Bearbeitung der Anwenderfunktionen Verzicht auf prozessabh ngige Interrupts vorbeugende Ma nahmen gegen Software Exceptions
91. eren Sicherheitskategorie zu Systemen einer h heren Sicherheitskategorie sollen grunds tzlich soweit praktisch m glich vermieden werden Wenn solche Datenfl sse unentbehrlich sind sollen Ma nahmen getroffen werden die sicherstellen dass die Daten aus den Systemen der niedrigeren Kategorie sicherheitstechnisch wichtige Funktionen nicht gef hrden k nnen IAEA NS G 1 3 2 44 661 Alle Leittechniksysteme und ger te die sicherheitstechnisch wichtige Funktionen ausf hren sollen angemessen ausgelegte Schnittstellen mit Systemen oder Ger ten anderer Klassen haben um sicherzustellen dass jedes Versagen in einem System einer niedrigeren Klasse sich nicht in ein System einer h heren Klasse ausbreitet Die Einrichtungen die f r die Verhinderung der Ausbreitung eines Versagens vorgesehen werden sollen so behandelt werden wie wenn sie der h heren Klasse angeh ren IAEA NS G 1 3 4 37 v v 686 Unabh ngigkeit soll zur Verhinderung von folgenden Ausbreitungsm glichkeiten von Ausf llen betrachtet werden zwischen oder innerhalb von Systemkomponenten als Auswirkung von PIEs zwischen oder innerhalb von Systemen der gleichen sicherheitstechnischen Bedeutung und von Systemen mit geringerer sicherheitstechnischer Bedeutung zu Systemen mit h herer sicherheitstechnischer Bedeutung IAEA NS G 1 3 4 44 v v 691 Kein anzunehmendes Versagen auf der Nicht Sicherheitsseite der Trenneinrichtung soll w
92. es Telegramm erkannt wird Kann bis zum Ablauf des Watchdogtimers kein fehlerfreies Telegramm erkannt werden wird die F Peripherie passiviert Die Erzeugung der Telegramme erfolgt durch 2 redundante Mikrocontroller auf den fehlersicheren E A Baugruppen einer erzeugt den Telegrammdateninhalt der zweite erzeugt den CRC Pr fwert Werden die Speicherbereiche die den Programmcode oder unver nderliche Daten enthalten berwacht Wenn ja auf welche Weise und wo ist dies dokumentiert Es erfolgt eine gegenseitige berwachung der zwei redundanten Mikrocontroller f r den Flash Speicher und die identischen Teile des RAM Nicht vergleichbare Speicherbereiche weisen eine doppelte Speicherung der Daten auf Gibt es Speicherzugriffs berwachungen z B hinsichtlich Feldindizes Hierzu sind Assertions in das Programm integriert Erfolgt eine Pr fung der Eingangs und Ausgangsdaten auf Einhaltung des Wertebereichs Hierzu sind in den vorliegenden Unterlagen keine Angaben enthalten Erfolgt eine Pr fung der Zwischenwerte auf zul ssige Wertebereiche Hierzu sind Assertions in das Programm integriert Seite 21 Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 7 3 3 Gibt es eine berwachung hinsichtlich der Einhaltung der 7 4 7 5 7 6 1 Wertebereiche der Modulein und ausgabewerte Hierzu sind in den vorliegenden Unterlagen keine Angaben enthalten Gibt es Uberwachungsfunktionen fiir komponenteninterne Busfunktion
93. es RAM erfolgt mit einem Galpat Test der sich alle 68 min wiederholt Sicherheitsrelevante Daten werden redundant im RAM abgelegt Eine detaillierte Beschreibung der berwachungsfunktionen befindet sich in dem Dokument Softwaredesign Werden die Speicherbereiche die den Programmcode oder unver nderliche Daten enthalten berwacht Wenn ja auf welche Weise und wo ist dies dokumentiert Der fl chtige Speicher RAM wird mit einem Galpat Test alle 68 min berpr ft Der nicht fl chtige Speicher Flash des CRC01 wird zyklisch mit einer CRC Summe gepr ft Die CRC Summe muss au erhalb des Mikrocontrollers z B von einem PC berechnet werden und wird im Flash abgelegt Der Test vergleicht den intern berechneten Wert mit dem im Flash abgelegten Bei Anderungen der Software muss die abgelegte CRC Summe aktualisiert werden Dokumentiert ist die Diagnose des Speichers u a in der CANopen Safety Chip Kurzbeschreibung Gibt es Speicherzugriffs berwachungen z B hinsichtlich Feldindizes Hierzu sind in den vorliegenden Unterlagen keine Angaben enthalten Erfolgt eine Pr fung der Eingangs und Ausgangsdaten auf Einhaltung des Wertebereichs Hierzu sind in den vorliegenden Unterlagen keine Angaben enthalten Erfolgt eine Pr fung der Zwischenwerte auf zul ssige Wertebereiche Hierzu sind in den vorliegenden Unterlagen keine Angaben enthalten Gibt es eine berwachung hinsichtlich der Einhaltung der Wertebereiche der Mo
94. esentliche Aspekte f r den Einsatz sicherheitsgerich teter Bussysteme in der Sicherheitsleittechnik von Kernkraftwerken analysiert und rele vante Anforderungen zusammengestellt Zur Ber cksichtigung der speziellen Gegeben heiten und Anforderungen an Bus Interfaces wurde der im Rahmen des Forschungsvor habens SR 2422 Anforderungen an rechnergest tzte periphere Komponenten des Si cherheitssystems in Kernkraftwerken erstellte Fragenkatalog erweitert Zur n heren Betrachtung wurden zwei Typvertreter f r Bus Interface Baugruppen aus gew hlt und beschrieben F r diese Typvertreter wurde der angepasste Fragenkatalog beantwortet und ausgewertet Mit den Ergebnissen werden grundlegende Informationen zum Einsatz von Sicherheits bussen in sicherheitstechnisch relevanter Leittechnik zu Verf gung gestellt die als Basis f r die Begutachtung von Bussystemen z B im Rahmen von Modernisierungen in Kern kraftwerken dienen k nnen Forschungsvorhaben SR 2499 Abschlussbericht November 2005 3 Industrie Service Abstract Modern I amp C systems build on bus systems for data communication In this research pro ject the application of data communication in I amp C systems important for safety performing category A and B functions of nuclear power plants is examined First the status of the safety bus technology and the resulting automation structures es pecially for the safety application are presented Further substantial aspects
95. ete Funktionen die einen eindeutigen Fail Safe Zustand z B Maschinenabschaltung Stromabschaltung etc aufweisen Gab es Enwicklungsvorgaben zur Auslegung gegen besondere Umwelteinfl sse EMV induzierte Ersch tterungen aus Erdbeben KMV etc Aufgrund dem der Entwicklung zugrunde liegenden Ziel der Qualifizierungsf higkeit gem IEC 61508 SIL3 ist von entsprechenden Entwicklungsvorgaben auszugehen Es fanden Pr fungen zu EMV mechanischen und klimatischen Umgebungsbedingungen Isolationspr fungen und explosionsgef rdeten Bereichen Zone 2 statt Seite 5 Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 2 9 2 10 2 11 2 12 Gab es Entwicklungsvorgaben hinsichtlich des Schutzes der gespeicherten Programme und Parameter gegen Ver nderung Aufgrund dem der Entwicklung zugrunde liegenden Ziel der Qualifizierungsf higkeit gem IEC 61508 SIL3 ist von entsprechenden Entwicklungsvorgaben auszugehen Ein Passwort sch tzt die F Systeme vor unbefugtem Zugriff d h gegen unerw nschtes Laden von Programm nderungen in die F CPU vom Engineering System ES oder vom Programmierger t PG aus Gab es Entwicklungsvorgaben zu den Prinzipien zur Sicherstellung eines m glichst deterministischen Verhaltens z B einer streng zyklischen Abarbeitung des Hauptprogrammes Aufgrund dem der Entwicklung zugrunde liegenden Ziel der Qualifizierungsf higkeit gem IEC 61508 SIL3 ist von entsprechenden Entwicklungsv
96. ety Chip 04 11 2005 9 4 1 9 4 2 9 4 3 Werden die typischen Fehler f r Buskommunikation Verlust Wiederholung Einf gung falsche Abfolge Verz gerung und Nachrichtenverf lschung beherrscht Welche Ma nahmen werden bei Fehlererkennung ergriffen Die Fehlertypen werden beherrscht durch Zeiterwartung im sicherheitsgerichtetem Empf nger Pr fung bez glich der Reihenfolge und der Priorit t der CAN Identifier Zeitversetztes Senden der redundanten CAN Telegramme mit Kreuzvergleich beim Empf nger Wird ein Kommunikationsfehler oder ein Fehler im CAN Treiber festgestellt so verweilt die Main Funktion in einer Endlosschleife im sicheren Zustand STOPP In diesem Zustand wird der Watchdog nicht mehr getriggert und die CAN Kommunikation wird abgeschaltet Alle Interrupts werden gesperrt Da in diesem Zustand der Watchdog nicht mehr bedient wird werden die Ausg nge eines Aktors ber den zweiten Abschaltweg in den sicheren Zustand gesetzt Wie wirkt sich der Ausfall einzelner Busteilnehmer auf das Netzwerk aus Da alle Busteilnehmer gleichzeitig auf den Bus zugreifen und somit keine Abh ngigkeiten z B Weitergabe eines Tokens zwischen den Busteilnehmern bestehen hat der Ausfall einzelner Busteilnehmer keine Auswirkung auf das Netzwerk Wird ein Watchdog verwendet Der Chip CSC01 besitzt keinen eigenen Watchdog Der Typpr fbericht fordert allerdings dass wenn der CSC01 in einer Aktoranwendung eingesetzt wird
97. f dem CAN Bus der zu den stochastischen Bussystemen z hlt Das zugrunde liegende CANopen Profil ist im industriellen Bereich weit verbreitet Obwohl die Entwick lung und Zertifizierung dieser sicherheitsgerichteten CANopen Variante erst vor kurzem zum Abschluss gekommen ist besitzt sie gro es Potential sich in Zukunft am Markt zu etablieren 5 3 1 Beschreibung Die sicherheitsgerichtete Version des CAN Busses setzt auf der CANopen Safety Spezifikation auf Diese Protokoll Spezifikation wird von der Nutzerorganisation CAN in Automation CiA standardisiert und weiterentwickelt Die Spezifikation definiert ein fir men bergreifendes offenes Protokoll mit dem der Datenaustausch herstellerunabh ngig festgelegt wird Die sicherheitsgerichtete Version des CANopen Profils sieht folgende erg nzende Ma nahmen zur Beherrschung der in Kapitel 4 1 beschriebenen Fehlertypen vor zeitversetztes Senden invertierter CAN Telegramme ber redundante CAN Controller mit Kreuzvergleich beim Empf nger fortlaufende Nummerierung der Sicherheitstelegramme Zeiterwartung f r ankommende Telegramme und deren Quittierung Pr fung bez glich der Reihenfolge und der Priorit t der CAN Identifier Im Gegensatz zu dem rein softwarebasierten Ansatz des PROFIsafe wird bei der sicher heitsgerichteten Variante des CANopen Profils ein hardwarenaher Ansatz verfolgt Die zus tzlichen Sicherungsma nahmen werden mit dem CANopen Safety Chip CSC
98. for the appli cation of safety bus systems in I amp C systems important for safety of nuclear power plants are analyzed and relevant requirements are listed For the consideration of the special conditions and requirements for bus interfaces the set of questions of the research pro ject SR 2422 Requirements for computer based peripheral devices of the safety system in nuclear power plants was extended For closer view two representatives for bus interface components were selected and de scribed For these representatives the adapted set of questions was answered and evalu ated With these results basic aspects for the application of safety buses in I amp C systems impor tant for safety are provided for the evaluation of the use of buses in nuclear power plants Forschungsvorhaben SR 2499 Abschlussbericht November 2005 4 Industrie Service Inhaltsverzeichnis 1 Sl 8 610 WSERPREUIRESENESBEESENENEUENETESESESEREENESENETENESENESEDEUTNENESENETESEBEREUERENENTTESENEREEEERSERER 6 2 Auswirkungen auf die Automatisierungsstruktur ccccceeeeeeeeeeeeeteeeeeteees 8 2 1 Bisherige Sensor Aktor Anbindung 222 eceeeeeeeeeeeeeeeeeeeeenneeeeeeeeeeeeeeeeenaaees 8 2 2 Zuk nftige Sensor Aktor Anbindung 4442444444000nnnnnnnnnnnnnnnnnnnnn 9 3 Anforderungen an Interfaces uuss444444244440nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 11 3 1 Ergebnis der NormenanalySe cccccceeeeeeeeeee
99. forderungen f r SIL3 gem IEC 61508 6 und kann in Anwendungen bis Sicherheitskategorie 4 nach EN 954 1 eingesetzt wer den Als Randbedingung der Zertifizierung wurde festgelegt dass wenn der CSC01 in einem Ger t mit Aktorfunktionalit t verwendet wird ein Watchdog mit zweitem Abschalt weg vom Applikationshersteller realisiert werden muss Forschungsvorhaben SR 2499 Abschlussbericht November 2005 40 Industrie Service 5 3 3 Auswertung des Fragenkataloges Die Firma SYSTEC electronic GmbH besitzt ein allgemeines Kontroll und Qualit tsma nagementsystem nach DIN EN ISO 9001 2000 Der Entwicklung lagen interne Arbeits anweisungen zugrunde Eine ausf hrliche Entwicklungsdokumentation lag vor 13 18 Diese wurde vom T V Rheinland im Zuge der Zertifizierung nach IEC 61508 SIL3 ge pr ft Die Funktionen und Auslegungsvorgaben unter Sicherheitsaspekten resultieren aus der Qualifizierungsf higkeit gem IEC 61508 SIL3 Geeignete analytische Ma nahmen zur Fehlervermeidung bei der Entwicklung konnten anhand der vorliegenden Hard und Soft warepr fkonzepte nachvollzogen werden Sowohl der Hardwareaufbau als auch der Softwareaufbau sind in der vorliegenden Dokumentation 19 20 beschrieben und las sen konstruktive Ma nahmen zur Fehlervermeidung bei der Hard und Softwareentwick lung erkennen Die Programmlaufzeiten sind deterministisch und der Programmablauf ist streng zyklisch Weiter sind in der Systemsoftware des CSC0
100. g N8 IEC 60987 Digitalrechner f r sicherheitstechnisch wichtige Systeme in Kernkraft werken N9 IEC 61226 Kernkraftwerke Sicherheitsleittechnik Kategorisierung N10 IEC 61513 Kerntechnik Leittechnik f r Systeme mit sicherheitstechnischer Be deutung Allgemeine Systemanforderungen N12 Forschungsvorhaben SR 2499 Abschlussbericht November 2005 12 Industrie Service VDI VDE 3527 Kriterien zur Gew hrleistung der Unabh ngigkeit von Sicherheits funktionen bei der Leittechnik Auslegung N13 DIN V VDE 0801 Grunds tze f r Rechner in Systemen mit Sicherheitsaufgaben N14 Die einzelnen Anforderungen sind im Anhang III aufgelistet F r die Nachvollziehbarkeit wurden zu den Anforderungen die Angabe des zugrunde liegenden Dokuments und ein Stellenverweis angegeben Bei Dokumenten die nur in englischer Sprache verf gbar waren wurden die Anforderungen bersetzt um den Vergleich zwischen den Anforde rungen aus den verschiedenen Dokumenten zu erleichtern Zur n heren Einordnung wurden f r die Anforderungen noch Zuordnungen zu den Kategorien A und B gem IEC 61226 vorgenommen Die Analyse der identifizierten Anforderungen ergab dass folgende Themengebiete an gesprochen werden Aufrechterhaltung des Defence in Depth Konzeptes der Anlage Das Regelwerk fordert hierzu die Vermeidung von Verbindungen zwischen der Sicher heitsleittechnik unterschiedlicher Kategorien sowie zur Betriebslei
101. gerichteten Nachrichten m glich da das Busprotokoll selbst nicht ver ndert wird Im Gegensatz zum Grey Channel Ansatz k nnen jedoch keine Standardkomponenten f r die Buskommunikation verwendet werden da das bertragungsmedium nicht wie beim Grey Channel Ansatz unver ndert beibehalten wird Die spezielle Entwicklung von Hardwarekomponenten ist daher erforderlich 4 3 Darstellung der unterschiedlichen Buszugriffsverfahren Neben dem Konzept des Sicherheitsbusses beeinflusst auch das zugrunde liegende Standardfeldbussystem die Eigenschaften des Businterfaces 35 Dazu z hlen die m g lichen bertragungsraten und Leitungsl ngen sowie das Buszugriffsverfahren Im indus triellen Bereich wird eine gro e Vielfalt von Buszugriffsverfahren eingesetzt Abbildung 4 zeigt eine bersicht der wichtigsten Verfahren Grunds tzlich kann zwischen den Bus zugriffsverfahren mit kontrolliertem und stochastischem Zugriff unterschieden werden Forschungsvorhaben SR 2499 Abschlussbericht November 2005 23 Industrie Service Zugriffsverfahren kontrolliert deterministisch zufallig stochastisch zentrale dezentrale CSMA CA CSMA CD Zugriffskontrolle Zugriffskontrolle Master Slave Token Bus Summenrahmen Profibus Interbus Token Ring CAN Bus Ethernet Abbildung 4 Ubersicht der wichtigsten Buszugriffsverfahren Beim kontrollierten Zugriffssystem ist der Ablauf der Buskommunikation fest vorgegeben Ein Master hat die Ober
102. gs und Regelsystem genutzt werden muss eine geeignete Trennung wie durch eine angemessene Entkopplung sichergestellt werden und es muss nachgewiesen werden dass alle Sicherheitsanforderungen an das Schutzsystem eingehalten werden Stichwort c Anforderung an die Auslegung RSK LL 7 3 5 4 v v 463 Die Sicherheitsleittechnik muss von der Betriebsleittechnik unabh ngig sein so dass bei versagenausl senden Ereignissen in der Betriebsleittechnik die Funktion der Sicherheitsleittechnik erhalten bleibt RSK LL 7 3 5 6 v v 465 Innerhalb der Sicherheitsleittechnik m ssen die Einrichtungen der verschiedenen Kategorien unabh ngig sein so dass bei versagenausl senden Ereignissen in den Einrichtungen der sicherheitstechnisch niederwertigeren Kategorie die Funktionen der sicherheitstechnisch h herwertigeren Kategorie erhalten bleiben 25 10 2005 Anforderungen an Interfaces Aufrechterhaltung des Defence in Depth Konzeptes der Anlage SEITE 1 VON 6 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung KTA 3501 7 2 Z 279 Die Zustandsbegrenzungen sind redundant aufzubauen und r ckwirkungsfrei gegeneinander und gegen die Betriebssysteme zu entkoppeln VDI VDE 3527 5 2 3 v 1208 Im Falle der Kommunikation zwischen Leitsystemen mit unterschiedlicher Sicherheits Kategorisierung erfolgt die bertragu
103. h dem Token Prinzip z B Token Ring Die ses Vorgehen gleicht einem Staffellauf bei dem das Token von einem Busteilnehmer zum n chsten weitergereicht wird Nur der Busteilnehmer der im Besitz des Tokens ist hat das Senderecht Ein Master bringt das Token in Umlauf und berwacht den Bus z B auf ein verloren gegangenes Token F llt ein Busteilnehmer aus so schlie t der Master ihn vom Token Umlauf aus und der Bus kann weiter betrieben werden Die maximale To ken Umlaufzeit ist bekannt und damit die maximale Reaktionszeit des Feldbussystems Die einzelnen Busteilnehmer des Bussystems k nnen direkt miteinander kommunizieren sobald einer von beiden im Besitz des Tokens ist ndert sich die Teilnehmeranzahl muss der Bus jedes Mal neu konfiguriert werden Mit wachsender Teilnehmerzahl erh ht sich die maximale Token Umlaufzeit Bei stochastischen Buszugriffsverfahren sind die Busteilnehmer zu jeder Zeit gleichbe rechtigt Die Busteilnehmer legen ihre Telegramme ereignisgesteuert auf den Bus Natur gem kann es dabei zu Kollisionen mit Telegrammen anderer Busteilnehmer kommen In diesem Fall muss der Sendeversuch zumindest eines Busteilnehmers zu einem sp te ren Zeitpunkt wiederholt werden Mit einer Erh hung der Auslastung des Busses steigt die Wahrscheinlichkeit von Kollisionen Das Buszugriffsverfahren ist damit vom zugrunde liegenden Prinzip her nicht deterministisch Bei den stochastischen Buszugriffsverfahren wird zwischen dem CSM
104. hand ber die Buskommunikation Die Zuteilung des Busses er folgt in gleichen Abst nden in der vorgegebenen Reihenfolge an die Busteilnehmer d h der Buszugriff ist zyklisch und deterministisch Die Zuteilung kann hierbei zentral oder dezentral organisiert sein Bei zentral verwalteten Bussen mit Master Slave Verfahren z B PROFIsafe oder Sum menrahmen Verfahren z B Interbus gibt es einen Master der den Busteilnehmern das Senderecht explizit erteilt Dieses Verfahren erm glicht einfache Businterfaces bei den Busteilnehmern da die Intelligenz des Bussystems im Master konzentriert ist Er teilt den Busteilnehmern nacheinander den Bus f r eine definierte Zeit zu Dazu sendet er ein Telegramm an einen der Busteilnehmer und fordert eine Nachricht bzw eine Empfangs best tigung von ihm Die Busteilnehmer werden in fester Reihenfolge zyklisch nachein ander abgefragt F llt ein Busteilnehmer aus so erkennt dies der Master und berspringt ihn beim n chsten Mal und der Bus kann ohne Einschr nkung weiter betrieben werden Das Buszugriffsverfahren ist prinzipiell echtzeitf hig da jeder Busteilnehmer in festgeleg ter Weise Zugriff auf den Bus bekommt Eine direkte Kommunikation zwischen den Bus teilnehmern ist nicht m glich F llt der Master aus kommt jedoch die gesamte Buskom munikation zum Erliegen Forschungsvorhaben SR 2499 Abschlussbericht November 2005 24 Industrie Service Dezentrale Zugriffskontrollen arbeiten nac
105. heinland dokumentiert Welches Fehlerverhalten hat die Komponente Wird ein Diagnosefehler oder ein Fehler im CAN Treiber festgestellt so verweilt die Main Funktion in einer Endlosschleife im sicheren Zustand STOPP In diesem Zustand wird der Watchdog nicht mehr getriggert und die CAN Kommunikation wird abgeschaltet Alle Interrupts werden gesperrt Neben diesen Mechanismen des CSC01 obliegt es dem Applikationshersteller einen Watchdog mit externer Zeitbasis und zweitem Abschaltweg zu implementieren Werden Telegrammfehler festgestellt erfolgen innerhalb des zeitlich m glichen Rahmens Wiederholungen Wie verh lt sich die Komponente bei St rungen in der Stromversorgung Der CSC01 ben tigt eine 5V Spannungsversorgung In Abh ngigkeit der gegebenen Sicherheitsanforderungen ist eine Uberwachungsschaltung auf ber oder Unterspannung notwendig Beim Ansprechen dieser Schaltung m ssen die sicherheitsgerichteten Ausg nge des CSC01 in den sicheren Zustand vgl 2 11 gebracht werden Diese Funktion sowie eventuelle periodische Tests der Uberwachungsschaltung m ssen Bestandteil der Applikationssoftware sein Seite 22 Anhang II Vorhaben SR2499 CANopen Safety Chip 04 11 2005 7 7 Gibt es eine Protokollierung bei Storungen oder Fehlern im Gerat Wenn ja wie erfolgt diese Protokollierung Es erfolgt keine Protokollierung Bei fehlerhaftem Verhalten wird der sichere Zustand angefahren d h die Buskommunikation wird eingestellt
106. hen Anlagen w ren aber noch erg nzende Unterla gen und Nachweise f r das fertig integrierte Ger t bzw System zu pr fen Forschungsvorhaben SR 2499 Abschlussbericht November 2005 42 Industrie Service 6 Zusammenfassung und Ausblick In diesem Forschungsvorhaben wurde der Einsatz von digitaler Signal bertragung in Leittechnik mit sicherheitstechnischer Bedeutung Kategorien A und B in Kernkraftwer ken untersucht Die Ergebnisse dieser Arbeit legen wesentliche Aspekte fur den Einsatz sicherheitsgerichteter Bussysteme in der Sicherheitsleittechnik von Kernkraftwerken und die im kerntechnischen Regelwerk relevanten Anforderungen dar Einleitend wurden die durch den Einsatz rechnergest tzter Bussysteme verursachte Ver nderung der Automatisierungsstrukturen und deren Auswirkungen dargestellt Anschlie Bend wurden relevante Anforderungen f r digitale Signal bertragung aus dem kerntech nischen Regelwerk zusammengestellt Hierbei wurden auf Ebene der Gesamtanlage re levante Anforderungen hinsichtlich Aufrechterhaltung des Defence in Depth Konzeptes und der verfahrenstechnischen Redundanz und Diversit t der Anlage identifiziert Auf Leittechniksystemebene bestehen Anforderungen an die Systemarchitektur und die Un abh ngigkeit von Teilsystemen Bez glich des Busprotokolls werden Anforderungen an Realisierung Performance Fehlererkennung und beherrschung gestellt Weiterhin be stehen Anforderungen an die Security sowie an die Ka
107. hip 04 11 2005 1 2 5 K nnen die kompletten Softwarequellen Sourcecode vorgelegt 1 3 1 1 3 2 1 4 werden Die Firmware lag bei der Typpr fung mit dem T V Pr fbericht Bericht ber die Pr fung des CANopen Safety Chip CSC01 Bericht Nr 968 EL 215 01 04 vom 30 07 2004 vor Gibt es detaillierte Festlegungen zum Konfigurations und Anderungsmanagement fur die Hard und Software Wenn ja wo ist diese dokumentiert Es werden keine Angaben zu einem Konfigurations und Anderungsmanagement f r die Hard und Software gemacht au er der Verwendung des Werkzeugs WinCVS Concurrent Versions System Dieses Programm stellt eine Versionskontrolle und ein Anderungsmanagement f r die Software zur Verf gung Die Verwendung von WinCVS stellt eine Kontrolle und Dokumentation der Konfiguration und Anderungen sicher Gibt es ein KID Konfigurations Identifikations Dokument Hierzu sind in den vorliegenden Unterlagen keine Angaben enthalten Welche Normen wurden der Entwicklung zugrunde gelegt Im Rahmen der Typpr fung wurde die Einhaltung folgender Normen und Richtlinien gepr ft IEC 61508 Part 1 7 Functional safety of electrical electronic programmable electronic safety related systems DIN EN 954 1 03 97 Sicherheit von Maschinen Sicherheitsbezogene Teile von Steuerungen Teil 1 Allgemeine Gestaltungsleitsatze Grundsatz f r die Pr fung und Zertifizierung von Bussystemen f r die bertragung sicherheitsrelevanter N
108. hmen zur Beherrschung von Fehlern auf rechnerexternen Datenwegen Informationsaustausch zwischen Rechnern werden aufgef hrt 25 10 2005 Anforderungen an Interfaces Systemarchitektur SEITE 6 VON 7 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung Einbit Hardware Redundanz Erweiterung des Busses um ein Bit zur Fehlererkennung Mehrbit Hardware Redundanz Erweiterung des Busses um mehrere Bits zur Fehlererkennung vollst ndige Hardware Redundanz zur Fehlererkennung ambivalente Signale Pr fung ber Testmuster Test durch bertragungsprotokolle berwachung der Einhaltung der bermittlungsvorschriften Zeitredundanz zweimalige serielle bertragung Informationsredundanz z B Pr fsummen Anwendung des Ruhestromprinzips elektrische Leitungen von Informationsleitungen trennen bei redundanten Leitungen auf r umliche Trennung achten Kabelwege d rfen nur Leitungen derselben Redundanzgruppe enthalten Erh hung der St rfestigkeit Stichwort d Anforderung an die Qualit tssicherung IEC61513 5 3 1 5 6 v v 1089 Um das Potential des CCF komplexer Systeme zu minimieren muss bei der Auslegung der leittechnischen Architektur eine Analyse eingeschlossen werden um zu zeigen dass der Umfang von Rechneranwendungen im Vergleich zu festverdrahteten Systemen und das Mass an Eingriffen des Personals f r die Sicherheit akzeptabel sind
109. hrend oder nach einem PIE das erfordert dass die Sicherheitsfunktion ausgef hrt wird irgendeinen Teil des Sicherheitssystems an der Erf llung der minimalen Leistungsanforderungen hindern IAEA NS G 1 3 5 32 v 756 M gliche Wechselwirkungen zwischen dem Reaktorschutzsystem und dem Regelungssystem sollen untersucht werden Wenn Signale von beiden gemeinsam genutzt werden muss eine angemessene Trennung wie z B eine angemessene Entkopplung sichergestellt werden IEC 60709 4 1 v 1366 Systeme die Funktionen der Kategorie A ausf hren m ssen vor physikalischen Folgewirkungen von Fehlern und blichen Handlungen gesch tzt werden die auftreten innerhalb von 25 10 2005 Anforderungen an Interfaces Aufrechterhaltung des Defence in Depth Konzeptes der Anlage SEITE 3 VON 6 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung a redundanten Teilen jener Systeme und b Systemen einer niedrigeren Kategorie Die in Betracht gezogenen Fehler m ssen sowohl die innerhalb des leittechnischen Systems und seiner Stromversorgung als auch die als Ergebnis von Ereignissen au erhalb des leittechnischen Systems auftretenden Fehler umfassen In manchen Fallen kann es notwendig sein eine physikalische Trennung zwischen unterschiedlichen Systemen die Funktionen der Kategorie A ausfiihren vorzusehen wenn Unabh ngigkeit zwischen diesen Funktionen gefordert wird
110. hungsvorhaben SR 2499 Abschlussbericht November 2005 14 Industrie Service ren zur Fehlerausbreitung sind hierbei einerseits elektrische Trennung sowie Schir mungs und Erdungsma nahmen gegen elektromagnetische Beeinflussungen Anderer seits werden hierzu auch datentechnische Barrieren gefordert die die Auswirkungen durch das Fehlverhalten eines Teilsystems auf damit verbundene Teilsysteme verhin dern Hierzu sind geeignete Kommunikationsarchitekturen und protokolle einzusetzen Realisierung und Performance Zur Sicherstellung des vorherbestimmbaren Verhaltens der Leittechniksysteme wird ins besondere auch die Unabh ngigkeit der Funktion der Interfaces von den zu bertragen den Daten sowie eine strikt zyklische Versendung der Daten gefordert Durch die Daten verbindungen darf keine Synchronisation zwischen den unabhangigen Teilsystemen ver ursacht werden Aufgrund der zeitlich verz gernden Wirkung von Datenkommunikationen muss die Einhaltung der spezifizierten Antwort und Reaktionszeiten des Gesamtsystems unter allen zu unterstellenden Bedingungen garantiert werden k nnen Hierzu ist auch die vollst ndige Spezifikation und Dokumentation der unterschiedlichen Verhaltenswei sen der Interfaces hinsichtlich Funktionalit t und ger tetechnischer Eigenschaften gefor dert Fehlererkennung und beherrschung Es werden im Normenwerk sowohl Ma nahmen zur Fehlererkennung als auch zur Fehlerbeherrschung gefordert Fehlerhaf
111. hzeitige Ausfall einer Vielzahl von unterschiedlichen Signalen unterstellt werden Die Fehlerquellen Kurzschluss und Drahtbruch m ssen bei festverdrahteten Verbindungen detektiert werden Aufgrund der zyklischen Nachrichten bertragung und der Watchdog Uberwachung werden derartige Ausf lle des Bus Kabels erkannt Die neu hinzukommenden Fehlertypen Datenverf lschung Verlust Verz gerung falsche Reihenfolge Wiederholung werden durch die Selbst berwachungsfunktionen ebenfalls erkannt Seite 8 Anhang II Vorhaben SR2499 CANopen Safety Chip 04 11 2005 3 Analytische Ma nahmen zur Fehlervermeidung bei der Entwicklung 3 1 3 2 1 3 2 2 3 2 3 Wurde ein Pr fkonzept f r die Komponente zugrunde gelegt Wenn ja enth lt dieses Aussagen zu folgenden Fragestellungen Wann wird gepr ft z B Festlegungen zu Reviews Was f r Pr fmittel kommen zum Einsatz Wer f hrt die Pr fungen durch Trennung Entwicklung Test Wie wurden die Pr fungen dokumentiert Protokolle Mit dem Dokument Verifikations und Validierungsplan liegt ein Pr fkonzept f r Soft und Hardwaretests vor Die Dokumentation der durchgef hrten Tests erfolgt in den Dokumenten Softwarepr ftest und Softwarepr fergebnisse sowie Hardwarepr ftest und Hardwarepr fergebnisse Die Dokumentation wurde im Rahmen der Zertifizierung gepr ft Die Spezifikationen und Pr fprotokolle liegen vor Bei der Pr fung der Software kamen der Simulator der Entwicklu
112. i Interruptvektortabellen eine Feste und eine Variable Der festen Interruptvektortabelle sind die Spezialinterrupts zugeordnet Die Softwareinterrupts und die peripheren O Interrupts werden ber eine variable Interruptvektortabelle in der CSC Main Funktion verwaltet Alle Interruptquellen die nicht von der CSC Main Funktion verwendet werden kann die Safety Applikation nutzen Der Einsprung in nicht verwendete Interrupts f hrt zum sicheren Zustand Die Interruptfestlegungen werden in Kapitel 3 11 der Dokumentation Technische Dokumentation und Nutzerhandbuch Seite 62ff behandelt Ebenfalls dokumentiert sind die Priorit ten der Interrupts Seite 19 Anhang II Vorhaben SR2499 CANopen Safety Chip 04 11 2005 6 12 Wurde vorgefertigte Software eingesetzt Wenn ja wie wurde deren Zuverlassigkeit nachgewiesen Es wurde keine vorgefertigte Software eingesetzt Seite 20 Anhang II Vorhaben SR2499 CANopen Safety Chip 04 11 2005 7Ma nahmen zur Fehlererkennung und Fehlerbeherrschung 7 1 7 2 1 7 2 2 7 3 1 7 3 2 7 3 3 Welche Selbst Uberwachungsfunktionen f r die ordnungsgem e Funktion der rechnergest tzten Komponente sind implementiert Wo sind diese detailliert beschrieben Die Ma nahmen zur Fehlererkennung und beherrschung wurden im Vorfeld der Zertifizierung nach IEC 61508 in einem Design Review vom TUV Rheinland verifiziert u a CPU OP Code System Stack Register interne Peripherie Eine Diagnose d
113. i der Festlegung der Einbauorte von Teilsystemen in der Anlage und der bertragungswege zwischen den Teilsystemen sollten die folgenden Faktoren beachtet werden die Auftrennung redundanter Kan le von Ger ten zur Mehrheitsentscheidung kann notwendig sein um die Auswirkung lokaler Gef hrdungen wie z B Feuer zu reduzieren und wenn erforderlich das Einzelfehlerkriterium zu erf llen siehe 6 1 1 2 1 die Zentralisierung von Funktionen die Bedeutung f r den Zugriffsschutz haben kann erforderlich werden um die Anforderung nach Kontrolle nicht autorisierten Zugangs zu erf llen die Zentralisierung komplexer Einrichtungen und Ger te kann den Betrieb die Wiederholungspr fungen Wartung und die Kontrolle von Umgebungsbedingungen erleichtern und der Einsatz von Multiplex Datentransfer kann die Verkabelungskomplexit t vermindern Wenn Unabh ngigkeit gefordert ist sollte diese erreicht werden durch elektrische Isolation die durch Lichtleiter optische Isolatoren oder Kabelschirme erreicht werden kann physikalische Trennung die durch geeignete Abst nde Barrieren oder eine Kombination aus beiden erreicht werden kann und f r rechnerbasierte Systeme Unabh ngigkeit der Kommunikation die durch die Auswahl geeigneter Kommunikationsarchitekturen und Protokolle erreicht werden kann Die Systemarchitektur sollte die Wahrscheinlichkeit und die Konsequenzen der Ausbreitung und Nebenwirkungen von Ausf llen minimieren Die folgenden Te
114. ibt die Reaktionszeit die Zeit zwischen einem ankommenden Sicherheitstelegramm vom R ckwandbus bis zum Signalwechsel am Digitalausgang an Bei Vorhandensein eines Fehlers in den Ein Ausgabemodulen verl ngert sich die Reaktionszeit um die parametrierbare Diskrepanzzeit Aufgrund der damit bekannten Reaktionszeit der einzelnen Komponenten l sst sich das Zeitverhalten des Systems exakt angeben Wurden verschiedene Betriebsarten definiert Wenn ja wo sind diese dokumentiert In den vorliegenden Unterlagen werden keine unterschiedlichen Betriebsarten beschrieben Wurde eine Gefahrdungs Risikoanalyse f r die Komponente durchgef hrt Es wurde eine Gef hrdungs Risikoanalyse im Rahmen der IEC 61508 Zertifizierung durchgef hrt Wurden Ma nahmen getroffen um die Lieferbarkeit der verwendeten Hardwarekomponenten dauerhaft sicherzustellen Wenn ja wie sehen diese aus Zum Einsatz kommen Bauteile mit einem weit gestreuten Einsatz im Automotiv Industrie Einsatz Eine spezielle Stelle bei A amp D verwaltet die Vorzugslieferanten sowie Second Source Lieferanten und sorgt f r Einlagerung von Bauteilen bei Abk ndigungen Wurden ber die Spezifikationen hinausgehende verborgene Funktionalit ten implementiert die im Entwicklungsprozess als erforderlich angesehen wurden z B zu Entwicklungszwecken zur Wartung und Diagnose Es wurde ein Trace Tool implementiert das f r Diagnosen des Herstellers vorgesehen ist Dieses SW Tool l
115. icht in denselben Kabelk sten Umschlie ungen oder Kan len verlegt werden wie Energiekabel Abh ngig von der Technologie werden Steuerkabel f r Schaltger te mit hoher oder niedriger Spannung betrieben sie m ssen daher entsprechend der vorgenannten Anforderung behandelt werden Glasfaserkabel d rfen zusammen mit Energiekabeln verlegt werden wenn ihr mechanischer Schutz sichergestellt ist Kabel d rfen nicht in der N he von Rohren oder in K sten Umschlie ungen oder Kan len mit Rohren verlegt werden die unter Druck und oder unter h heren Temperaturen stehende 25 10 2005 Anforderungen an Interfaces Kabel Kabelverlegung SEITE 1 VON 6 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung Medien wie z B Ol Dampf Wasser fl ssige Metalle bef rdern oder andere Medien durchleiten die bei Leckagen oder Rohrbr chen die Kabel besch digen k nnen Ausgenommen davon sind Messf hler und Stellgliedkabel bei denen die N he zu den Rohrleitungen unvermeidbar ist um Messf hler oder Stellglieder in den verfahrenstechnischen Prozess einzubinden Soweit wie m glich sollten alle Kabel sicherheitstechnisch wichtiger Systeme auf ungef hrdeten Trassen in einer Art verlegt werden die ihre Integrit t sicherstellt IEC 60709 6 2 1 6 2 2 v v 1387 Trennung von Kabeln ist durch Sicherheitsstrukturen Barrieren r umliche Abst nde oder durch jede beliebige Kombination
116. ie Analogeing nge der Komponente geeignete Filter in der Hard oder Software vorgesehen F r Interface Baugruppen nicht relevant Wurden Ma nahmen f r die zeitrichtige Behandlung von Bin rsignalen getroffen F r Interface Baugruppen nicht relevant Welche Ma nahmen wurden f r die bin ren Eing nge getroffen um technologisch bedingte unerw nschte Signalwechsel wie Kontaktprellen zu behandeln F r Interface Baugruppen nicht relevant Seite 25 Anhang II Vorhaben SR2499 CANopen Safety Chip 04 11 2005 9 Spezielle Fragen zu Interface Baugruppen 9 1 1 9 2 1 9 2 2 9 2 3 9 3 1 9 3 2 Welche Netztopologien sind m glich Die Busteilnehmer werden linienf rmig an ein gemeinsames zweiadriges Buskabel angeschlossen Sind redundante Busstrukturen m glich Je nach Applikation in der das Businterface eingesetzt wird prinzipiell m glich Ist ein Mischbetrieb mit nicht sicherheitsgerichteten Nachrichten auf einer Kommunikationsverbindung m glich Wie wird die gegenseitige Beeinflussung sicherheitsrelevanter und nicht sicherheitsrelevanter Nachrichten verhindert Ein Mischbetrieb ist m glich Die Trennung der zwei Bereiche erfolgt durch unterschiedliche CAN Identifier Ist eine bertragung ber Lichtwellenleiter LWL m glich Der zertifizierte CANopen Safety Chip ist nur f r Kupfer Verbindungen ausgelegt Da die Telegramme sich an die CANopen Spezifikation halten k nnen passive Standard Kompo
117. iegenden Unterlagen keine Angaben enthalten Gibt es einen produktspezifischen Qualit tssicherungsplan oder konzept oder ein vergleichbares Dokument Die Firma SYSTEC electronic GmbH besitzt ein allgemeines Qualit tsmanagementsystem nach DIN EN ISO 9001 2000 Der Entwicklung wurden die Arbeitsanweisungen Entwicklung und Richtlinien zur Softwareimplementierung zugrunde gelegt Hinsichtlich eines produktspezifischen Qualit tssicherungsplanes werden keine Angaben gemacht Gibt es Festlegungen zu den verantwortlichen Personen Abteilungen und Organisationen f r jede Phase des Lebenszyklusses Wurden insbesondere Verifikations und Validierungsaufgaben von den Implementierungsaufgaben getrennt Hierzu sind in den vorliegenden Unterlagen keine Angaben enthalten Durch die Typpr fung des TUV Rheinlands erfolgte eine herstellerunabh ngige Pr fung Seite 1 Anhang II Vorhaben SR2499 CANopen Safety Chip 04 11 2005 1 1 7 1 2 1 1 2 2 1 2 3 1 2 4 Unterliegen die relevanten Dokumente hinsichtlich ihrer Uberarbeitung Pr fung und Freigabe einem angemessenen System der Dokumentenlenkung Aus den Standardangaben auf den Dokumentenbl ttern ist eine anforderungsgerechte Dokumentenlenkung gem DIN EN ISO 9001 2000 erkennbar Gibt es eine Anforderungsspezifikation Lastenheft Wenn ja sind dort Funktionsanforderungen Sicherheitsanforderungen Normen die der Entwicklung bzw Qualifizierung zugrunde gelegt wurd
118. ifizierung durchgef hrt Wurden Ma nahmen getroffen um die Lieferbarkeit der verwendeten Hardwarekomponenten dauerhaft sicherzustellen Wenn ja wie sehen diese aus Bei der Hardwareauswahl wurde in dem Dokument Hardwaredesign ein Nachfolgetyp des Mikrokontrollers ber cksichtigt und seine grunds tzliche Nachfolgequalifizierung gepr ft Wurden ber die Spezifikationen hinausgehende verborgene Funktionalit ten implementiert die im Entwicklungsprozess als erforderlich angesehen wurden z B zu Entwicklungszwecken zur Wartung und Diagnose Hierzu sind in den vorliegenden Unterlagen keine Angaben enthalten Wie werden die systemimmanenten Eigenschaften der derzeit eingesetzten nicht digital ausgef hrten Komponente bei der rechnergest tzten Komponente abgebildet Derzeit werden festverdrahtete Verbindungen eingesetzt Diese zeichnen sich durch verz gerungsfreie bertragung und Parallelit t aus Bei der Verwendung eines Bussystems muss die von der Zykluszeit abh ngige Verz gerung ber cksichtigt werden Aufgrund der bei CSC01 vorliegenden streng zyklischen Abarbeitung ist es m glich die maximale Verz gerungszeit anzugeben Diese muss bei der Systemauslegung ber cksichtigt werden Parallele Daten bertragung ist f r mehrere Signale innerhalb eines Datenpaketes grunds tzlich m glich Der Einfluss von Einzelfehlern wirkt sich bei festverdrahteten Verbindungen jeweils nur auf ein Signal aus Bei Bussystemen muss der gleic
119. ifizierungsf higkeit gem IEC 61508 Vor Beginn der Entwicklung wurde das Konzept durch den TUV Rheinland berpr ft Entwicklungsvorgaben gab es bez glich der zyklischen Telegrammabarbeitung und sendung Daraus folgt dass auch der sicherheitsgerichtete Programmteil des Mikrokontrollers zyklisch abgearbeitet wird Ein externer Watchdog berwacht die Einhaltung der zyklischen Abarbeitung Gab es Entwicklungsvorgaben zur Performance Zeitverhalten zu ber cksichtigende Belastungen Anlaufverhalten Genauigkeit maximale Auslastung des Prozessors zu erwartende Belastungen Die resultierenden Reaktionszeiten sind abh ngig von der eingestellten SCT Safeguard Cycle Time die minimal 20 ms betr gt Die Verz gerungszeiten durch die interne Programmlaufzeit des CSC Main Programms und des Applikationsprogramms betragen maximal 7 ms Die Reaktionszeit des CSC01 ist damit maximal gleich der SCT 7 ms Die Abarbeitung des sicherheitsgerichteten Programmteils erfolgt streng zyklisch mit der eingestellten Safeguard Cycle Time Wurden verschiedene Betriebsarten definiert Wenn ja wo sind diese dokumentiert In den vorliegenden Unterlagen werden keine unterschiedlichen Betriebsarten beschrieben Seite 7 Anhang II Vorhaben SR2499 CANopen Safety Chip 04 11 2005 2 17 2 18 2 19 2 20 Wurde eine Gefahrdungs Risikoanalyse fur die Komponente durchgefuhrt Es wurde eine Gefahrdungs Risikoanalyse im Rahmen der IEC 61508 Zert
120. ion and Drives N rnberg Deutschland 2002 CAN in Automation CANopen Framework for safety relevant communication Erlangen Deutschland 2005 SYSTEC electronic GmbH Produktanforderungen CANopen Safety Chip CSCO1 Greiz Deutschland 2003 SYSTEC electronic GmbH Sicherheitskonzept CANopen Safety Chip CSCOT Greiz Deutschland 2003 SYSTEC electronic GmbH Verifikations und Validierungsplan CANopen Safe ty Chip CSC01 Greiz Deutschland 2003 SYSTEC electronic GmbH Hardwarepr ftest und Hardwarepr fergebnisse CANopen Safety Chip CSCOT Greiz Deutschland 2003 SYSTEC electronic GmbH Softwarepr ftest und Softwarepr fergebnisse CA Nopen Safety Chip CSCO1 Greiz Deutschland 2003 SYSTEC electronic GmbH Technische Dokumentation und Nutzerhandbuch CANopen Safety Chip CSCOT Greiz Deutschland 2003 Forschungsvorhaben SR 2499 Abschlussbericht November 2005 52 Industrie Service 19 SYSTEC electronic GmbH Hardwaredesign CANopen Safety Chip CSCO1 Greiz Deutschland 2003 20 SYSTEC electronic GmbH Softwaredesign CANopen Safety Chip CSC01 Greiz Deutschland 2003 Kataloge Prospekte und Artikel 21 PROFIBUS International PROFIBUS Technologie und Anwendungen System beschreibung Support Center Karlsruhe Deutschland 2002 22 Dr H T Fritzsche Der Sicherheits Bus Anforderungen und ihre Umsetzung Elektronik Ausgabe 16 Poing Deutschland 1999 23 Sichere
121. ischen diversit ren Funktionen bestehen Die Angemessenheit der bestehenden Unabh ngigkeit soll gerechtfertigt werden IAEA NS G 1 3 4 37 v v 686 Unabh ngigkeit soll zur Verhinderung von folgenden Ausbreitungsm glichkeiten von Ausf llen betrachtet werden zwischen oder innerhalb von Systemkomponenten als Auswirkung von PIEs zwischen oder innerhalb von Systemen der gleichen sicherheitstechnischen Bedeutung und von Systemen mit geringerer sicherheitstechnischer Bedeutung zu Systemen mit h herer sicherheitstechnischer Bedeutung IEC 60709 4 1 v v 1369 Wo physikalische Trennung verlangt wird m ssen Vorkehrungen gegen eine Ausfallfortpflanzung in Betracht gezogen werden f r Ausf lle die als Folge von anzunehmenden versagenausl senden Ereignissen AVE gleichzeitig Komponenten in Mehrfachsystemen betreffen zwischen Systemen die Funktionen der gleichen Kategorie ausf hren zwischen redundanten Sicherheitsgruppen desselben sicherheitstechnisch wichtigen Systems und von Systemen mit Funktionen niedrigerer Kategorie zu Systemen mit Funktionen h herer Kategorie und in einigen speziellen F llen von Systemen mit Funktionen h herer Kategorie zu Systemen mit Funktionen niedrigerer Kategorie Die Arten m glicher versagenausl sender Ereignisse in den folgenden Unterabschnitten m ssen in Betracht gezogen werden z B ermittelt dokumentiert und begr ndet Geeignete Vorkehrungen m ss
122. ja welche Es wurde ClearCase von Rational Software eingesetzt Ist der Sourcecode gut strukturiert lesbar und dokumentiert Der Source Code lag nicht vor Wurden bei der Erstellung der Software spezielle Programmierrichtlinien ber cksichtigt Wenn ja welche Festlegungen finden sich dort und wo sind diese dokumentiert Es wurden f r die Erstellung der C und Assembler Source Coding Standards zugrunde gelegt Weiterhin wird eine statische Analyse gem MISRA durchgef hrt Wie ist der Prozess zur Erzeugung des Maschinencodes gestaltet Kamen Werkzeuge Tools f r die automatische Generierung von Sourcecode zum Einsatz Wenn ja welche und wo sind diese detailliert beschrieben Es wurde die Entwicklungsumgebung Rhapsody benutzt die die grafische Programmierung erlaubt und daraus C erzeugt Der C Code wurde anschlie end mit einem C Compiler bersetzt Welche Programmiersprachen wurden verwendet Es wurde haupts chlich in C und f r einige Ausnahmen in Assembler programmiert Ist der Compiler bersetzer durchgehend getestet und bew hrt Sind evtl Einschr nkungen bekannt Wurden Compiler Funktionen zur Optimierung des Codes benutzt Werden neben den Standard Bibliotheken noch weitere Bibliotheken benutzt Der verwendete Compiler ist bei Siemens A amp D bew hrt Es werden keine Codeoptimierung und keine Bibliotheken benutzt Ist dynamisches Binden zugelassen Nein Seite 17 Anhang Vorhaben SR2499 PR
123. kation und leitet daraus den Schaltzustand jedes einzelnen sicherheitsgerichteten Slaves ab Am Standard Kommunikationssystem werden keinerlei nderungen vorgenommen wodurch ein Mischbetrieb mit betriebsm igen Funktionen m glich ist ber die linien stern o der baumf rmige Busverkabelung werden gleichzeitig die Informationen und die Energie versorgung der Aktoren und Sensoren gef hrt Interbus Safety Die drei Unternehmen innotec Phoenix und Sick haben gemeinsam den sicherheitsge richteten Feldbus Interbus Safety entwickelt 28 Der Aufbau des Standardbussystems bleibt bei diesem Sicherheitsbussystem unver ndert F r das Erreichen der geforderten Sicherheit werden keine Protokoll nderungen vorgenommen sondern es werden eine Forschungsvorhaben SR 2499 Abschlussbericht November 2005 29 Industrie Service oder mehrere Zusatzkomponenten in den Bus integriert welche die Sicherheit des Sys tems Uberwachen und im Fehlerfall geeignet reagieren White Channel Prinzip Diese Zusatzkomponenten arbeiten eigenstandig Uberwachen sich aber auch gegenseitig Eine Zertifizierung gem EN 954 1 bis Kategorie 4 wurde von dem Berufsgenossenschaftli chen Institut f r Arbeitssicherheit BIA durchgef hrt eine Zertifizierung gem IEC 61508 existiert nicht Die Netzstruktur ist ringf rmig da das Protokoll auf Basis der Summenrahmen Technik arbeitet bei der ein Datenframe zirkul r durch alle Busteilneh mer gereicht wi
124. ktionen auszuf hren Wenn Signale von Kategorie B Systemen oder Kategorie C Systemen zur Verwendung in Systemen niedrigerer Kategorie ausgekoppelt werden m gen Isolationseinrichtungen nicht gefordert sein guter Ingenieurpraxis folgend sollte jedoch die Ausfallfortpflanzung verhindert werden In F llen in denen Kategorie B Funktionen ausf hrende Systeme infolge der ausgef hrten Funktionen Aspekte von Kategorie A Systemen zu ber cksichtigen haben muss eine Isolation vorgesehen werden Glasfaserkabel stellen ein sehr wirksames Mittel zur Erzielung elektrischer Isolation dar und sollten wenn immer m glich verwendet werden IEC 60987 5 3 v v 1396 Keinem System mit geringerer sicherheitstechnischer Bedeutung darf erlaubt werden die Leistungsf higkeit eines Systems mit h herer sicherheitstechnischer Relevanz zu beeinflussen Es muss insbesondere nachgewiesen werden dass kein Hardware und kein Softwareversagen des Systems mit geringerer sicherheitstechnischer Bedeutung z B die Daten des Systems mit h herer Bedeutung zerst ren oder seine Zykluszeit erh hen kann Die Auslegung soll mit den anderen auf der Anlage eingesetzten Systemen zusammenpassen Das System soll auch gegen Zerst rung und Fehlfunktion als Ergebnis eines Versagens oder aufgrund von Eigenschaften des Systems mit dem es eine Schnittstelle hat gesch tzt werden IEC 61226 72 1 v v 1398 Zwischen den Funktionen unterschiedlicher K
125. l ssigkeit der Daten und der Datenverbindung von gro er Bedeutung ist soll eine geeignete Kommunikationstechnologie gew hlt werden Eine angemessene Ber cksichtigung soll der Verwendung von Redundanz bei der Datenverbindung dem angemessenen Grad an Vertrauensw rdigkeit der Datenverbindung im Allgemeinen und der F higkeit der Sende und Empfangssysteme Ausf llen in allen m glichen Betriebsarten zu widerstehen gewidmet werden Die Verwendung von Datenkommunikation soll nicht die physische oder funktionale Kanalisierung der Verarbeitung oder der logischen Elemente innerhalb der Systemarchitektur vereiteln IAEA NS G 1 3 5 56 v v 776 Die gew hlte H ufigkeit der Selbst berwachung der Datenkommunikation soll der Verwendung der Daten und der Anforderungsh ufigkeit der durch das System ausgef hrten Sicherheitsfunktionen angemessen sein IAEA NS G 1 3 5 55 v v 775 Die Auslegung der Datenkommunikationssysteme soll f r die Erkennung und soweit praktisch m glich f r die Behebung von Fehlern und f r eine Zustandsanzeige der in der Information bertragenen Daten sorgen IAEA NS G 1 3 4 50 v v 694 Zu Erleichterung der Gesamtauslegung der Sicherheitssysteme sollen die Ger te so weit wie praktisch m glich ein vorhersagbares und offen gelegtes Ausfallverhalten aufweisen Die wahrscheinlichsten Ausfallarten in einem sicherheitstechnisch wichtigen System sollen soweit machbar das Sy
126. l einer eventuell vorhandenen Zentrale m glich Der Ausfall eines Busteilnehmers wird jedoch ohne zus tzliche berwachungsmechanismen von der Zentrale nicht automatisch erkannt Das CANopen Safety Protokoll ist ebenso wie das zugrunde liegende CAN Protokoll prinzipiell ereignisgesteuert und arbeitet mit Priorit ten f r die einzelnen Telegramme Im Gegensatz zum CAN Bus als stochastisches Bussystem implementiert der CANopen Sa fety Bus jedoch ein deterministisches Zugriffsverhalten da im Protokoll Techniken f r eine zyklische Daten bertragung implementiert wurden Bereits im CAN Standard sind weit reichende Ma nahmen zur Fehlererkennung und Korrektur enthalten Eingangsfilter in den Businterfaces der einzelnen Busteilnehmer erlauben die Filterung veralteter Daten Da das CANopen Safety Protokoll nicht masterbasiert ist gef hrdet der Ausfall einzelner Busteilnehmer die Funktion des Busses nicht 5 3 2 Umfang und Ergebnis der Typpr fung Gegenstand der Typpr fung war ein teilweise vorprogrammierter 16 Bit Mikrocontroller mit zwei redundanten CAN Controllern Die Software des CANopen Safety Chips besteht immer aus zwei Teilen der permanenten Firmware und einem Applikationsprogramm Die permanente Firmware enth lt die Umsetzung des CANopen Safety Protokolls und zus tzlicher Diagnosefunktionen Das Applikationsprogramm wird vom Ger tehersteller geliefert und ist nicht Teil der Typpr fung Der CANopen Safety Chip CSC01 erf llt die An
127. ldbus 4 2 2 Ausbau bestehender Sicherungsmechanismen White Channel Der Ausbau bestehender Sicherungsmechanismen in Analogie zum Grey Channel k nf tig White Channel genannt ist im Gegensatz zum Grey Channel ein hardwarenaher An satz z B CANopen Safety Chip Esalan Die Basis bildet ein Standardfeldbus der be reits mit fehlerkorrigierenden Ma nahmen ausgestattet ist z B Hamming Distanz Tele grammwiederholung Die bereits geringe Wahrscheinlichkeit unerkannter Fehler des zugrunde liegenden Standardfeldbusses wird durch weitere Ma nahmen in der Treiber Hardware wie Wiederholung der Telegramme mit invertierten Daten auf redundanten Busanschaltungen oder durch die Einf hrung zus tzlicher unabh ngiger berwa chungskomponenten weiter reduziert Die resultierende Fehlerrate gelangt so in einen Gr enbereich der f r die sicherheitsgerichtete Kommunikation gem IEC 61508 an forderungsgerecht ist Forschungsvorhaben SR 2499 Abschlussbericht November 2005 22 Industrie Service Beim Ausbau bestehender Sicherungsmechanismen m ssen keine Sicherungsinformati onen in das Telegramm eingebettet werden und der gesamte Nutzdatenanteil bleibt er halten Da die sichere Daten bertragung durch die Erweiterung bestehender Siche rungsmechanismen auf Hardwareebene erfolgt k nnen bertragungsfehler teilweise kor rigiert und die Verf gbarkeit verbessert werden Auch in diesem Fall ist ein Mischbetrieb mit nicht sicherheits
128. leisten Der Sinn von funktionalen Barrieren ist die Verhinderung von Auswirkungen des Versagens einer leittechnischen Funktion auf andere leittechnische Funktionen die aus der Sicht der Verfahrenstechnik unabh ngig von der ausgefallenen Funktion wirken sollen Bei der Auslegung ist hierbei insbesondere das Vorsehen von unabh ngigen Komponenten oder Teilsystemen und die geeignete Verteilung der leittechnischen Funktionen auf diese zu beachten IAEA NS R 1 5 3 v v 71 Geeignet ausgelegte Schnittstellen m ssen zwischen den Geb uden Systemen und Komponenten unterschiedlicher Kategorien vorgesehen werden damit ein Versagen in einem System einer niedrigeren Kategorie sich nicht in ein System einer h heren Kategorie ausbreiten kann IAEA NS G 1 1 5 13 v v 1283 Die Systemschnittstellen wie auch die Schnittstellen zu einem Anlagennetzwerk sollen so ausgelegt werden dass sie nicht andere Schutzaktionen die durch externe Systeme durchgef hrt 25 10 2005 Anforderungen an Interfaces Aufrechterhaltung des Defence in Depth Konzeptes der Anlage SEITE 2 VON 6 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung werden gef hrden Fehlfunktionen und Versagen von externen Systemen oder Hilfssystemen sollen bewirken dass das System in einen sicheren Zustand gebracht wird IAEA NS G 1 3 5 59 v v 779 Datenfl sse von Systemen einer niedrig
129. ler PROFIsafe Linienf rmig Monomaster Pollingverfahren IEC 61508 SIL 3 T V S d cu PNo zentral Ringf rmig zentral Multimaster Token DIN 19250 AK 6 2002 LWL Een EN 954 1 Kategorie 4 AS Interface Linien Stern und Baum Monomaster Pollingverfahren IEC 61508 SIL 3 TUV Rhein Safety at f rmi Sicherheitsmonitor keine land F Work Sicherheits SPS erforderlich EN 954 1 Kategorie 4 T V 2000 CU Siemens Nord Interbus Ringf rmig Monomaster Summenrah JEN 954 1 Kategorie 4 BIA Safety von au en gesehen Li men nienstruktur l berwachungseinheit Safe 1987 it SE a Control nur f r einfache E A Ger te SafetyBUS p Linienf rmig basiert auf CAN IEC 61508 SIL 3 TUV S d Stern und Baumstrukturen Master Slave Pollingverfah ju U SIL 4 A 1999 CU Pilz mit Netzstrukturelementen Iren DIN 19250 AK 6 TUV S d LWL offen Multimasterf hig EN 954 1 Kategorie 4 DeviceNET Linienf rmig Stichleitungenbasiert auf CAN CIP IEC 61508 SIL 3 TUV Rhein Safety Multimasterf hig land 2005 CU ODVA direkte Kommunikation m g offen lich ohne Master CANopen Linienf rmig CSMA CA Busarbitrierung IEC 61508 SIL 3 TUV Rhein Safety Chip White Channel Prinzip land Multimasterfahig 2004 Mn es direkte Kommunikation m g lich ohne Master Esalan Linienf rmig basiert auf CAN DIN 19250 AK 6 Multimasterf hig EN 954 1 Kategorie 4 BIA CU Elan direkte Kommunikation m g LWL propriet r Tabelle 1 Zusamme
130. llen soll durchgef hrt und dokumentiert werden die zeigt dass alle Schnittstelleneigenschaften spezifiziert sind Dies soll Punkte wie die Definition der zu bertragenden Daten Betrachtungen der Charakteristiken von synchronen und asynchronen Protokollen und die Wahl der bertragungsraten umfassen Die Sicherheitseigenschaften die nachgewiesen werden sollen sollen im Rechnersystementwurf identifiziert und als erf llt best tigt werden durch die Analyse der Schnittstelleneigenschaften IAEA NS G 1 3 7 58 v v 873 25 10 2005 Anforderungen an Interfaces Realisierung Performance SEITE 3 VON 4 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort d Anforderung an die Qualit tssicherung F r die Sicherheitssysteme sollen Informationen zu den erlaubten maximal ben tigten Zeiten und den erwarteten ben tigten Zeiten f r die Erreichung der erforderlichen Sicherheitsfunktionen vorhanden sein IAEA NS G 1 3 7 55 v v 870 Eine Beschreibung des Wertebereichs der Genauigkeit und der Antwortzeit f r das Gesamtsystem und f r jeden Kanal soll vorgesehen werden v v 858 IAEA NS G 1 3 7 43 Jede eine spezielle Bandbreite betreffende Einschr nkung wie erforderliche Abtastraten und Daten bertragungsraten die Riickwirkungen auf die Entwicklung des Systems hat soll dokumentiert werden 25 10 2005 Anforderungen an Interfaces Realisierung Performance SEIT
131. mpfungssystems muss in Betracht gezogen werden IEC61513 6 1 2 2 v v 1128 Die Anordnung der Teilsysteme im System muss den Auslegungs Randbedingungen nach 6 1 1 2 gen gen 25 10 2005 Anforderungen an Interfaces Kabel Kabelverlegung SEITE 4 VON 6 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung Die Anordnung der Teilsysteme im System muss konsistent mit den Anforderungen an die Zuverl ssigkeit der Funktionen mit sicherheitstechnischer Bedeutung sein Bei der Festlegung der Einbauorte von Teilsystemen in der Anlage und der Ubertragungswege zwischen den Teilsystemen sollten die folgenden Faktoren beachtet werden die Auftrennung redundanter Kan le von Ger ten zur Mehrheitsentscheidung kann notwendig sein um die Auswirkung lokaler Gef hrdungen wie z B Feuer zu reduzieren und wenn erforderlich das Einzelfehlerkriterium zu erf llen siehe 6 1 1 2 1 die Zentralisierung von Funktionen die Bedeutung f r den Zugriffsschutz haben kann erforderlich werden um die Anforderung nach Kontrolle nicht autorisierten Zugangs zu erf llen die Zentralisierung komplexer Einrichtungen und Ger te kann den Betrieb die Wiederholungspr fungen Wartung und die Kontrolle von Umgebungsbedingungen erleichtern und der Einsatz von Multiplex Datentransfer kann die Verkabelungskomplexit t vermindern Wenn Unabh ngigkeit gefordert ist sollte diese erreicht werden durch
132. n IEC 60709 4 1 v v 1369 Wo physikalische Trennung verlangt wird m ssen Vorkehrungen gegen eine Ausfallfortpflanzung in Betracht gezogen werden f r Ausf lle die als Folge von anzunehmenden versagenausl senden Ereignissen AVE gleichzeitig Komponenten in Mehrfachsystemen betreffen zwischen Systemen die Funktionen der gleichen Kategorie ausf hren zwischen redundanten Sicherheitsgruppen desselben sicherheitstechnisch wichtigen Systems und von Systemen mit Funktionen niedrigerer Kategorie zu Systemen mit Funktionen h herer Kategorie und in einigen speziellen F llen von Systemen mit Funktionen h herer Kategorie zu Systemen mit Funktionen niedrigerer Kategorie Die Arten m glicher versagenausl sender Ereignisse in den folgenden Unterabschnitten m ssen in Betracht gezogen werden z B ermittelt dokumentiert und begr ndet Geeignete Vorkehrungen m ssen f r sicherheitstechnisch wichtige leittechnische Systeme getroffen werden um m gliche Auswirkungen dieser Ereignisse auf ein annehmbares Ma zu beschr nken Betrachtet werden sollten auch die Auswirkungen der Kombination von Ausfallereignissen IEC 60709 4 1 v 1367 Systeme die Funktionen der Kategorie B ausf hren m ssen vor physikalischen Folgewirkungen von Fehlern und blichen Handlungen gesch tzt werden die auftreten innerhalb von a redundanten Teilen jener Systeme und b Systemen einer niedrigeren Kategorie Die in Be
133. n VDI VDE 3527 5 2 5 v 1212 Auslegung der digitalen Sicherheits Leitsysteme so dass infolge von Anforderungen keine nderungen in der Arbeitsweise der Systeme erforderlich werden strikt zyklische Bearbeitung der gesamten Anwendersoftware f r jeden Prozessor strikt zyklische Versendung aller Telegramme so dass keine Prozessabh ngigkeiten durch variable Prozessor bzw Buslast entstehen k nnen konsequente Vermeidung von prozessabh ngigen Interrupts IAEA NS G 1 1 6 12 6 14 v v 1304 Rechnersystementwurf Redundanz in dem Rechnersystem soll im Allgemeinen vorgesehen werden um die Zuverl ssigkeitsanforderungen und die Anforderungen an die Tests w hrend des Betriebs zu erf llen Zur Reduzierung von M glichkeiten eines vernetzten Ausfalls von redundanten Ger ten sollen die redundanten Subsysteme elektrisch und physisch getrennt werden Da das Voting eine gemeinsame Verwendung aller Subsysteme erfordert soll eine angemessene und ausreichende Zwischenspeicherung verwendet werden um sicherzustellen dass die Trennung der redundanten Subsysteme erhalten bleibt Redundante Subsysteme sollen auch asynchron laufen Die Notwendigkeit f r die berbr ckung bei der Inbetriebnahme des integrierten Rechnersystems soll ber cksichtigt werden da es Auswirkungen auf das Hardware Software Interface haben kann IAEA NS G 1 1 6 23 v v 1310 Rechnersystementwurf Die Kombination von
134. n Da PROFIsafe zusammen mit der Zentralentechnik SIMATIC S7 F FH der Firma Siemens AG angeboten wird die bereits als Steuerung in kerntechni schen Anlagen eingesetzt ist hat sich die Auswahl dieses Typvertreters besonders an geboten 5 2 1 Beschreibung PROFIsafe basiert auf dem Standardindustriebussystem PROFIBUS DP Grundlage f r die Entwicklung von PROFIsafe waren einschl gige Standards allen voran die IEC 61508 Die in Kapitel 4 1 aufgelisteten Fehlertypen werden durch folgende Ma nah men beherrscht fortlaufende Nummerierung der Sicherheitstelegramme Zeiterwartung f r ankommende Telegramme und deren Quittierung Kennung zwischen Sender und Empf nger Losungswort zus tzliche Datensicherung CRC Forschungsvorhaben SR 2499 Abschlussbericht November 2005 32 Industrie Service Diese MaBnahmen werden in einer Softwareschicht oberhalb der DP Layer Schicht im plementiert siehe Abbildung 5 Der Standard PROFIBUS dient als Transportmedium Tunnel f r die sicherheitsgerichteten Nachrichten Dieses Vorgehen erlaubt einen Mischbetrieb von Standard und sicherheitsgerichteten Komponenten z B Diagnose ZA Sicherheits A Sicherheits A Sicherheits fe Eingabe A Logikver i Ausgabe Standard 7 i arbeitung Standard Ein Ausgabe f A j Logik 7A Safety Layer U Safety Layer verarbeitung Abbildung 5 ISO OSI Schichtenmodell von PROFIsafe Als fertige Automatisierungssysteme die PROF
135. n Diese Signale k nnen f r versehentliche Ver nderung oder Besch digung durch externe Quellen empf nglich sein Technologische Fortschritte leittechnischer Systeme speziell die Reduzierung der Signalspannung k nnen Systeme noch empfindlicher in Hinsicht auf Fehlfunktionen und Besch digungen machen Deshalb muss elektromagnetische Beeinflussung als CCF Potential f r redundante leittechnische Str nge ber cksichtigt werden Trennung ist eine Ma nahme um die Unabh ngigkeit von leittechnischen Signalen zu bewahren und gegen den potentiellen CCF Effekt der elektromagnetischen Beeinflussung zu sch tzen Die Normen der Reihe IEC 61000 geben Anleitungen zur Auslegung und Pr fung hinsichtlich elektromagnetischer Beeinflussung IEC 60709 6 1 v 1385 Redundante Teile von Kategorie B Systemen m ssen so ausgelegt und installiert sein dass keines der in 4 2 Auslegungsfehler und 4 3 versagenausl sende Ereignisse in leittechnischen Systemen angegebenen Einzelereignisse zum Versagen einer Kategorie B Funktion f hren kann Die Behandlung der in 4 4 versagenausl sende Ereignisse innerhalb der Anlage und 4 5 externe versagenausl sende Ereignisse angegebenen versagenausl senden Ereignissen in Bezug auf Kategorie B Systeme muss wie in den allgemeinen Prinzipien von Abschnitt 4 beschrieben von Fall zu Fall erfolgen IEC 60709 4 3 v v 1370 25 10 2005 Anforderungen an Interfaces Gew hrleistung der U
136. n hinsichtlich Datenbelastung erf llt werden IEC 60709 4 4 1 v v 1371 nderungen der Umgebungsbedingungen wie Strahlungs Temperatur Druck und Feuchtigkeitsfelder w hrend Normalbetrieb und unter St rfallbedingungen m ssen ber cksichtigt werden Auf einen Ger teraum oder eine Kabeltrasse einwirkendes Feuer oder Rauch ist eine wichtige Umgebungsbedingung Auch die ungewollte Bet tigung eines Feuerbek mpfungssystems muss in Betracht gezogen werden IEC61513 6 1 1 2 2 v v 1111 Die Auslegung des rechnerbasierten Systems sollte deterministisches Verhalten sicherstellen das mit den Anforderungen an die Leistungsfahigkeit der verwirklichten Funktionen in Einklang steht a Die Kommunikationstechnik muss so gew hlt und dimensioniert werden dass die Anforderungen an die Leistungsf higkeit bei allen Datenmengen die bei den angenommenen Anlagentransienten erzeugt werden erfiillt bleiben einschlieBlich Meldeschwall infolge des Gesamtausfalls der Stromversorgung b Stichwort d Anforderung an die Qualit tssicherung IAEA NS G 1 1 5 32 v v 1295 Rechnersystemanforderungen Die funktionalen und nichtfunktionalen Spezifikationen f r die Systemschnittstellen sollen klar f r alle m glichen unterschiedlichen Verhaltensweisen des Systems ausgedr ckt werden IAEA NS G 1 1 6 33 34 v v 1317 Rechnersystementwurf Eine Analyse der internen Schnittste
137. n Daten durch White Channel Prinzip Innerhalb der linienf rmigen Netztopologie ist auch die direkte Kommunikation zwischen Busteilnehmern m glich EPLSafety und SaveEthernet Die beiden Sicherheitsfeldbussysteme EPLSafety 25 und SaveEthernet 26 basieren auf dem Kommunikationsprotokoll Ethernet EPLSafety Ethernet Powerlink Safety ist ein offenes Protokoll der EPSG Ethernet Powerlink Standardization Group SaveEther net ein propriet res Sicherheitsbussystem der Firma HIMA Beide arbeiten nach dem Forschungsvorhaben SR 2499 Abschlussbericht November 2005 31 Industrie Service Grey Channel Prinzip F r EPLSafety ist die Zertifizierung durch den T V Rheinland noch nicht abgeschlossen w hrend SaveEthernet vom T V Rheinland bereits nach IEC 61508 SIL3 zertifiziert ist Die Pr fberichte sind jedoch nicht offen gelegt F r den Netzaufbau stehen die bei Ethernet Netzwerken blichen Strukturelemente wie Hubs o der Switches zur Verf gung Mit ihrer Hilfe k nnen sternf rmige bzw baumf rmige Netze aufgebaut werden Durch die Verwendung von FastEthernet Komponenten sind die Er reichung einer hohen Performance und der Mischbetrieb mit nicht sicherheitsgerichteter Kommunikation m glich 5 2 Typvertreter I PROFIsafe Profil Der Typvertreter repr sentiert das Sicherheitskonzept Grey Channel PROFIsafe 21 geh rt zur Gruppe der kontrollierten Zugriffsverfahren mit zentraler Zugriffskontrolle Mas ter Slave Verfahre
138. n k nnen F r rechnergest tzte Interface Baugruppen wurde der Fragenkatalog um spezifische Fragen erg nzt Der neu hinzugef gte Abschnitt 9 Spezielle Fragen zu Inter face Baugruppen besch ftigt sich mit speziell auf Kommunikationsinterfaces ausgerich tete Fragestellungen die vom bisherigen Fragenkatalog aus dem Forschungsvorhaben SR 2422 nicht abgedeckt wurden Folgende Fragen wurden erg nzt Busarchitektur Welche Netztopologien sind m glich Sind redundante Busstrukturen m glich Ist ein Mischbetrieb mit nicht sicherheitsgerichteten Nachrichten auf einer Kom munikationsverbindung m glich Wie wird die gegenseitige Beeinflussung sicherheitsrelevanter und nicht sicherheitsrelevanter Nachrichten verhindert Hardware Ist eine bertragung ber Lichtwellenleiter LWL m glich K nnen konventionelle Netzwerkkomponenten f r den Aufbau der Netztopolo gie verwendet werden Welche Verbreitung hat die Komponente in der Industrie Protokoll Welches Konzept liegt dem sicherheitsgerichteten Bussystem zugrunde Welches Buszugriffsverfahren wird verwendet K nnen die Nachrichten mit Priorit ten versehen werden Ist die direkte Kommunikation von peripheren Busteilnehmern ohne Sicher heitszentrale m glich Forschungsvorhaben SR 2499 Abschlussbericht November 2005 17 TOV Industrie Service Wie ist das Verhalten des Bussystems bez glich der Reaktionszeit Ist die der Baugruppe
139. n zum wechselseitigen Aufruf notwendig Eine Sprungtabelle f r den Funktionsaufruf und ein Datenspeicher zur Parameter bergabe definieren die Schnittstelle Der Datenzugriff erfolgt auf festen und beiden Softwareteilen bekannten Adressen Wie erfolgte die Modularisierung der Software und wie sind die systeminternen Schnittstellen definiert Welche Softwaremodule bzw Komponenten gibt es Wie ist die Softwarestruktur aufgebaut Gibt es eine detaillierte Beschreibung der Softwarestruktur Gibt es eine detaillierte Beschreibung der Module Funktionsbeschreibung Ein Ausgabewerte etc Die Firmware setzt sich aus mehreren Modulen zusammen Die einzelnen Module bernehmen unterschiedliche Aufgaben innerhalb der gesamten Applikation Uber die Return Werte der Funktionen werden der CSC Main Funktion Fehlerzust nde mitgeteilt Hinsichtlich der Funktionsklassen lehnen sich die sicherheitsrelevanten Module an die Funktionsklassen des Standard CANopen Stacks an Diese Klassen sind Initialisierung Prozessverarbeitung Funktion zur Reaktion auf Ereignisse Callback Funktionen zur Konfiguration von Objekteintr gen static Funktionen Eine detaillierte Beschreibung der Softwarestruktur und der Module befindet sich in dem Dokument Softwaredesign Die Struktur der Programmmodule wird in Flussdiagrammen dargestellt Erfolgte eine Modularisierung der Software in berschaubare Einheiten Die Software des CSC01 besteht aus zwei grun
140. nabh ngigkeit der kommunizierenden Teilsysteme SEITE 4 VON 7 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung F r jedes sicherheitstechnisch wichtige System m ssen dort verursachte versagenausl sende Ereignisse in Betracht gezogen werden Diese Ereignisse sind blicherweise durch rtlich beschr nkte mechanische und elektrische Auswirkungen charakterisiert die unterschiedliche funktionale Folgen haben k nnen Einzelausf lle in zentralen leittechnischen Prozessoreinheiten und an Kommunikationsschnittstellen mit Multiplexern k nnen auch das Potenzial zur Erzeugung von Mehrfachausf llen haben Der zuf llige Ausfall einer leittechnischen Komponente muss in Betracht gezogen werden und zwar einschlie lich der Energie oder anderer Hilfsversorgung die zum Fehlverhalten der Komponente f hren kann einschlie lich Kurzschl ssen Unterbrechung der Kontinuit t der Stromkreise Erdschluss Spannungs oder Frequenz nderungen mechanischem Versagen der Komponenten oder rtlichem Feuer Die Folgen der aufgrund eines CCF in zwei oder mehreren Komponenten auftretenden Ausf lle die sich auf redundante Sicherheitsgruppen auswirken m ssen betrachtet werden Dabei kann es sich um CCF als Folge von Wartungsfehlern mechanischer Besch digung oder elektrischer Interferenz handeln Umwelteinfl sse Strahlungssch digung und andere m gliche gemeinsame physikalische Faktoren m ssen ber cksichtigt werde
141. nd Ma nahmen zur Beherrschung von Ausf llen getroffen Dies bieldet sich auch in den entsprechenden Kapiteln des vorliegenden Fragenkataloges ab Kapitel 3 5 und 6 bzw Kapitel 7 Seite 11 Anhang II Vorhaben SR2499 CANopen Safety Chip 04 11 2005 4 Betrieb und Wartung wiederkehrende Pr fungen 4 1 4 2 4 3 4 4 1 4 4 2 4 4 3 Gibt es einen Pr fmodus f r Inbetriebsetzung und wiederkehrende Pr fungen WKP Nicht relevant f r Interface Baugruppen Welche Dokumentationsunterlagen gibt es f r den Benutzer und den Service Gibt es ein Benutzerhandbuch eine Bedienungsanleitung eine Reparaturanleitung eine Konfigurationsanleitung Pr fanweisungen Folgende Dokumentationsunterlagen existieren Technische Dokumentation und Nutzerhandbuch Welche Festlegungen f r den Benutzer gibt es wenn w hrend des Betriebes Abweichungen Fehlermeldungen auftreten Nicht relevant f r Interface Baugruppen Sind eine gr ere Anzahl identischer Komponenten unter vergleichbaren Einsatzbedingungen bereits ber einen l ngeren Zeitraum eingesetzt Der CSC01 Chip ist eine Neuentwicklung Der verwendete Mikrokontroller M306NAFGTFP wird seit dem Jahr 2000 in gro en St ckzahlen in der Serienfertigung im Automotive Bereich eingesetzt Vorliegende Zahlen Autoradios ca 35 000 St ck Monat Multifunktionslenkrad ca 20 000 St ck Monat Lenks ulenmodul ca 15 000 St ck Monat seit Anfang 20
142. nd mit der Logikebene In der unteren Hierarchieebene dem Feldbereich befinden sich die an den Prozess angebundenen Sensoren und Aktoren die mit der Logikebene und teilweise auch untereinander kommunizieren 2 1 Bisherige Sensor Aktor Anbindung Traditionelle fest verdrahtete Automatisierungssysteme stellen die Kommunikation der r umlich getrennten Logikebene mit dem Feldbereich ber elektrische Einzelverbindun gen her siehe Abbildung 1 Die Automatisierungsstruktur ist gekennzeichnet durch ei Feldbereich Logikebene Feldbereich Sensor Sensor Abbildung 1 Bisherige Sensor Aktor Anbindung Forschungsvorhaben SR 2499 Abschlussbericht November 2005 9 Industrie Service nen zentralisierten Aufbau Bei der Auslegung der Kommunikationsverbindung werden Sensoren und Aktoren ber getrennte Ein bzw Ausgabemodule an die Logikebene an gekoppelt 2 2 Zuk nftige Sensor Aktor Anbindung Moderne industrielle Automatisierungsstrukturen verfolgen den Trend zur Dezentralisie rung ber Bussysteme werden die Ein Ausgabebaugruppen quasi in den Feldbereich in die sog dezentrale Peripherie verlagert siehe Abbildung 2 Bei der Modernisierung von bestehenden Leittechniksystemen ist auch ein Mischbetrieb fest verdrahteter Ein Ausgabebaugruppen in der Zentrale und einer ber Bussysteme angeschlossenen de zentralen Peripherie m glich Die Anbindung der Peripherie an die Zentrale ber Bussys teme erfolgt vornehmlich ber sog
143. nen Kommunikations fehler auf dem Bus erkennt initiiert er definierte Fehlerreaktionen ber fest verdrahtete Ausg nge Feldbereich Elektrische Sicherheitstechnik Sicherheitsmonitor gemeinsamer Bus Abbildung 3 Logikebene dezentral im Feldbereich verteilt Forschungsvorhaben SR 2499 Abschlussbericht November 2005 11 Industrie Service 3 Anforderungen an Interfaces 3 1 Ergebnis der Normenanalyse F r die Zusammenstellung der f r die Kerntechnik bestehenden Anforderungen an Inter faces wurden die normativen Dokumente des kerntechnischen Regelwerks analysiert und die relevanten Anforderungen extrahiert Hierbei wurden in folgenden normativen Doku menten relevante Anforderungen identifiziert BMU BMI Sicherheitskriterien f r Kernkraftwerke N1 RSK Leitlinien f r Druckwasserreaktoren N2 KTA 3501 Reaktorschutzsystem und berwachungseinrichtungen des Sicher heitssystems N3 KTA 3904 Warte Notsteuerstelle und rtliche Leitstande in Kernkraftwerken N4 IAEA NS R 1 Safety Requirements Safety of Nuclear Power Plants Design N5 IAEA NS G 1 1 Safety Guide Software for Computer Based Systems Important to Safety in Nuclear Power Plants N6 IAEA NS G 1 3 Safety Guide Instrumentation and Control Systems Important to Safety in Nuclear Power Plants N7 IEC 60709 Kerntechnik Leittechnik f r Systeme mit sicherheitstechnischer Be deutung R umliche und elektrische Trennun
144. nenten f r CANopen wie z B Umsetzer von kupferleitungsbasierter bertragung zu LWL prinzipiell verwendet werden K nnen konventionelle Netzwerkkomponenten f r den Aufbau der Netztopologie verwendet werden Aktive Standard Komponenten wie z B Switches mit Routing Eigenschaften d rfen f r die sicherheitsgerichtete Kommunikation nicht verwendet werden Welche Verbreitung hat die Komponente in der Industrie Fertige Komponenten mit dem CSC01 als Businterface sind noch selten da die Entwicklung und Typpr fung erst im Juli 2004 abgeschlossen wurde Ist die direkte Kommunikation von peripheren Busteilnehmern ohne Sicherheitszentrale m glich Der Buszugriff mittels Arbitrierung erlaubt direkte Adressierung und Broadcast Nachrichten und damit die direkte Kommunikation von peripheren Busteilnehmern ohne eine Sicherheitszentrale Welches Konzept liegt dem sicherheitsgerichteten Bussystem zugrunde Es erfolgte die Erg nzung von im Protokoll von CANopen bestehenden Sicherungsma nahmen durch zus tzliche Hardwarema nahmen redundante CAN Controller mit Kreuzvergleich Seite 26 Anhang II Vorhaben SR2499 CANopen Safety Chip 04 11 2005 9 3 3 9 3 4 9 3 5 9 3 6 9 3 7 Welches Buszugriffsverfahren wird verwendet Das Buszugriffsverfahren ist zuf llig stochastisch mit CSMA CA Carrier Sence Multiple Access Collision Avoidance Durch zus tzliche im CANopen Safety Protokol implementierte Ma nahmen wie
145. ng von Prozessdaten generell nur von Systemen der h heren zur niedrigeren Kategorie VDI VDE 3527 5 2 3 v 1207 Keine direkte Kommunikation zwischen Leitsystemen deren Unabh ngigkeit gew hrleistet sein soll VDI VDE 3527 3 4 v 1194 Die konsequente Realisierung des Defence in Depth Prinzips und eines hohen Redundanzgrades bei der Auslegung der Leittechnik f hrt nicht zwangsl ufig zur gew nschten Fehlertoleranz wenn nicht wirksame Ma nahmen zur Verhinderung einer Fehlerausbreitung vorgesehen werden Hierbei sind nicht nur Fehlerausbreitungsmechanismen zu betrachten durch die mehrere redundante Teilsysteme oder Systeme verschiedener leittechnischer Barrieren gleichzeitig beeinflusst werden k nnen sondern auch solche Fehlerausbreitungsmechanismen bei denen vergleichbar dem Dominoeffekt erst durch den ersten Fehler selbst die energetischen datentechnischen oder funktionalen Voraussetzungen f r Folgefehler geschaffen werden Gegen letztgenannte Fehler auszulegen bedarf bei komplexen Systemen umfangreicher Analysen zu Fehlereffekten und Fehlerauswirkungen Zur Sicherstellung der Unabh ngigkeit von leittechnischen Teilsystemen im Sinne dieser Richtlinie sind daher unterschiedliche Arten von Sperren zur Fehlerfortpflanzung zu realisieren um die verschiedenen Barrieren und Redundanten vor einem common cause bedingten Versagen zu bewahren und damit die Einhaltung der bergeordneten Schutzziele zu gew hr
146. ng wurde im Rahmen der Typpr fung nach IEC 61508 berpr ft Gibt es eine detaillierte Beschreibung der Konfigurations und Parametrierm glichkeiten Die Benutzerdokumentation Automatisierungssysteme S7 F FH und Automatisierungssystem S7 300 Fehlersichere Signalbaugruppen wurde vom TUV SUD im Zusammenhang mit der Zertifizierung inspiziert Sie enth lt die f r die sicherheitstechnische Verwendung des S7 F FH Systems durch einen Anwender Entwickler notwendigen Informationen Gibt es mehrere Varianten der Komponente z B eine Sondervariante f r den sicherheitstechnischen Einsatz Wenn ja wie unterscheiden sich diese hinsichtlich Hard und Software voneinander Die Software PROFIsafe Treiber mit der Kommunikationsfunktion wird auf allen Zentralbaugruppen und fehlersicheren Peripheriebaugruppen der Ger tefamilie integriert Die fehlersicheren Signalbaugruppen die den PROFIsafe Treiber enthalten unterscheiden sich im Wesentlichen dadurch von den Standardbaugruppen des S7 300 Baugruppenspektrums dass sie intern zweikanalig 2 Prozessoren aufgebaut sind Gab es eine Entwicklungsvorgabe dass Betriebs und sicherheitstechnisch wichtige Funktionen unabh ngig voneinander arbeiten m ssen In die fehlersicheren Peripheriekomponenten wurden keine betrieblichen Funktionen implementiert Seite 4 Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 2 6 2 7 2 8 Gab es Entwicklungsvorgaben hinsichtlich besonderer Selbst
147. ngsumgebung und ein Bus Analyser CANalyser zum Einsatz Es wurde sowohl ein Test der einzelnen Software Module als auch ein Integrationstest durchgef hrt Die Hardwarepr fung beschr nkte sich auf die sicherheitstechnischen Komponenten da die Hardware einen Prototyp darstellt Was f r Typpr fungen wurden durchgef hrt Wurden im Rahmen der Typpr fungen auch EMV Pr fungen Pr fungen der Auslegung gegen induzierte Ersch tterung Schwingen und Schocken Pr fung zur Auslegung gegen besondere Umwelteinfl sse durchgef hrt Es wurde eine Typpr fung nach IEC 61508 durchgef hrt Gegenstand dieser Pr fung waren der Mikrokontroller und die zugeh rige Software Als Pr fling diente ein Prototyp in Form eines Evaluierungs Boards Im Rahmen der sp teren applikationsspezifischen Entwicklungen m ssen weitere Hardware Belastungstests durchgef hrt werden Wurden statische und dynamische Tests der Software durchgef hrt Das dynamische Verhalten der Software wurde in Modul und Integrationstests gepr ft Statische Tests des Codes erfolgten vermutlich im Rahmen der Zertifizierung nach IEC 61508 Gibt es einen Softwaretestbericht mit Angaben zu den durchgef hrten statischen und dynamischen Tests Der Softwaretestbericht Softwarepr ftest und Softwarepr fergebnisse gibt Auskunft ber die durchgef hrten dynamischen Softwaretests Statische Softwaretests fanden vermutlich im Rahmen der Zertifizierung nach IEC 61508 statt
148. nnnnnnnnnnn 42 7 Abk rzungsverzeichnis rasen 44 Forschungsvorhaben SR 2499 Abschlussbericht November 2005 5 Industrie Service 8 Normenverzeichnis cccceeccecceeccecceceeeccecccececceccaeeceecaeeaeecueeaeeceecteeaeeceeens 46 9 LiteraturverzeichniS cccceecceccecececcecceeececcececucceccaueceecueeaeeceeeaeeceeceeeaeeeneens 50 Anhang I Ausgef llter Fragenkatalog Typvertreter Anhang Il Ausgef llter Fragenkatalog Typvertreter II Anhang Ill Anforderungen an Interfaces Ill 1 Aufrechterhaltung des Defence in Deth Konzeptes IIl 2 Aufrechterhaltung der verfahrenstechnischen Redundanz der Anlage II1 3 Systemarchitektur III 4 Gew hrleistung der Unabh ngigkeit der kommunizierenden Teilsysteme II 5 Realisierung Performance Ill 6 Fehlererkennung und beherrschung III 7 Security III 8 Kabel Kabelverlegung Forschungsvorhaben SR 2499 Abschlussbericht November 2005 6 Industrie Service 1 Einleitung Rechnerbasierte Systeme pr gen die Leittechnik im industriellen Umfeld bereits in hohem Ma e Auch im kerntechnischen Bereich gewinnen derartige Systeme immer mehr an Bedeutung Die damit in Zusammenhang stehenden verteilten und komplexeren indus triellen Steuerungen erfordern einen h heren Umfang an auszutauschenden Daten zwi schen den verschiedenen Ger ten und Systemen Die heute im kerntechnischen Bereich gr tenteils eingesetzten elektrischen Einzelsignalleitungen zwischen den Kompone
149. nstellung der wichtigsten Sicherheitsbussysteme Forschungsvorhaben SR 2499 Abschlussbericht November 2005 28 Industrie Service PROFIsafe PROFIsafe wurde von der PROFIBUS Nutzerorganisation PNO ver ffentlicht und z hlt zu den offen gelegten Protokollen unter den Sicherheitsbussen 21 Das System wurde durch den T V S D nach IEC 61508 zertifiziert Es erlaubt die r ckwirkungsfreie Koexis tenz der Sicherheitskommunikation und der Standardkommunikation auf ein und dem selben Bus Die Sicherheitskommunikation arbeitet nach dem Grey Channel Prinzip Die Bustopologie wird linienf rmig aufgebaut Die Sicherheitszentrale fragt die Busteilnehmer nacheinander mit einem Pollingverfahren ab Zwischen mehreren Sicherheitszentralen erfolgt die Vernetzung ringf rmig ber eine multimasterfahige Token Kommunikation AS Interface Safety at Work AS Interface Safety at Work 27 wurde von einem Konsortium u a Siemens Schneider Electric Festo prim r f r die Vernetzung bin rer Sensoren und Aktoren entwickelt und ist durch den T V Rheinland nach IEC 61508 SIL3 sowie durch den T V Nord bis Kate gorie 4 nach EN 954 1 N15 zertifiziert Bei AS Interface Safety at Work wird zum Errei chen der geforderten Sicherheit der sog Sicherheitsmonitor zus tzlich in den Bus einge bracht White Channel Prinzip Der Sicherheitsmonitor greift nicht in den Datenverkehr zwischen Master und Slaves ein sondern berwacht lediglich die Kommuni
150. nte Funktionsgruppensteuerungen des Reaktorschutzsystems vorgesehen werden Dies gilt zum Beispiel f r die Hochdruck und Niederdruck Notk hlsysteme gilt auch f r Schutzbegrenzungen Stichwort c Anforderung an die Auslegung KTA 3501 5 5 4 1 v 265 Die Einzelantriebssteuerungen f r ein verfahrenstechnisches System m ssen strangweise ohne Vermaschung aufgebaut werden KTA 3501 5 5 3 2 v 262 Die Vorrangsteuerungen m ssen strangbezogen aufgebaut werden Signalverbindungen zwischen verschiedenen Str ngen sind nach der Vorrangbildung nicht zul ssig KTA 3501 4 9 2 v v 189 Das Reaktorschutzsystem ist so aufzubauen dass die in den aktiven Sicherheitseinrichtungen durch Aufteilung in sicherheitstechnisch wichtige Teilsysteme vorgegebene Redundanz gewahrt bleibt gilt auch f r Schutzbegrenzungen VDI VDE 3527 5 2 3 v 1207 Keine direkte Kommunikation zwischen Leitsystemen deren Unabh ngigkeit gew hrleistet sein soll VDI VDE 3527 3 4 v 1194 Die konsequente Realisierung des Defence in Depth Prinzips und eines hohen Redundanzgrades bei der Auslegung der Leittechnik f hrt nicht zwangsl ufig zur gew nschten Fehlertoleranz wenn nicht wirksame Ma nahmen zur Verhinderung einer Fehlerausbreitung vorgesehen werden Hierbei sind nicht nur Fehlerausbreitungsmechanismen zu betrachten 25 10 2005 Anforderungen an Interfaces Aufrechterhaltung der verfahrenstechnischen Redundanz der Anlage SEITE 1 VON 3 Dokumentenstelle Ka
151. nten werden aus technischen und wirtschaftlichen Gr nden sowie aus Gr nden der Beschaf fung zunehmend durch Bussysteme abgel st werden Um den Verdrahtungsaufwand moderner Automatisierungssysteme zu reduzieren kom men im industriellen Umfeld verst rkt Interfaces auf Basis serieller Daten bertragung Bussysteme zum Einsatz F r den Austausch von Daten zwischen verschiedenen Ger ten bieten diese Datenverbindungen Vorteile gegen ber Systemen mit elektrischen Ein zelleitungen Neben dem geringeren Verdrahtungsaufwand z hlen dazu die M glichkeit f r Parametrierung und Diagnose von Sensoren und Aktoren ber das Bussystem sowie die flexiblere Gestaltung von Automatisierungsstrukturen durch unterschiedliche Netzto pologien Des Weiteren bieten diese Bussysteme einfache Erweiterungsm glichkeiten Dadurch bedingt entstehen grundlegend neue Konzepte bei der Auslegung von Automa tisierungsstrukturen Auf der anderen Seite werden durch die Verwendung von Bussys temen neuartige Fehlertypen verursacht die beherrscht werden m ssen Aufgrund des mittlerweile hohen Verbreitungsgrades von Bussystemen im industriellen Bereich und den gegebenen Vorteilen dieser Technik gegen ber konventioneller Ver drahtung stellt sich die Frage unter welchen Bedingungen derartige Systeme im kern technischen Bereich Anwendung finden k nnen Im Rahmen dieses Forschungsvorha bens werden der derzeitige Stand der Sicherheitsbustechnik vorgestellt und neue Auto ma
152. ode so instrumentiert dass w hrend der Testphasen Tracing Informationen gewonnen werden k nnen Es wurden Tests der Softwaremodule innerhalb der Entwicklungsumgebung durchgef hrt Wurden Simulations Tools zur Pr fung der Software oder im Rahmen der Systemtests eingesetzt Es kam der Simulator der Teil der Entwicklungsumgebung ist zum Einsatz Wurde eine Timing Analyse durchgef hrt Das Zeitverhalten der Nachrichten auf dem CAN Bus wurde mit dem Vector CANalyser und der dazugeh rigen CANcardX ermittelt Erfolgte eine berpr fung der Datenraten Reaktionszeiten und des Verhaltens in Grenzsituationen Performancepr fungen Im Dokument Softwarepr ftest und Softwarepr fergebnisse wird eine ausf hrliche Pr fung des Zeitverhaltens der Software durchgef hrt z B Ermittlung maximaler Durchlaufzeiten und Belastungstests Seite 10 Anhang II Vorhaben SR2499 CANopen Safety Chip 04 11 2005 3 3 7 3 3 8 3 3 9 3 4 3 5 1 3 5 2 Welche Validierungspr fungen wurden durchgef hrt Wurden insbesondere Ma nahmen zur Validierung von automatisch durch Werkzeuge erzeugte Software getroffen Es wurden Integrationstests von Software und Evaluierungsboard durchgef hrt Automatisch durch Werkzeuge erzeugte Software kommt nicht zum Einsatz Wurden Pr fungen der Mikrokontroller Hardware vor der HW SW Integration durchgef hrt Der Test der Prototyp Hardware erfolgt nach den Vorgaben im Dokument Hardwarepr f
153. ollte jedoch die Ausfallfortpflanzung verhindert werden In F llen in denen Kategorie B Funktionen ausf hrende Systeme infolge der 25 10 2005 Anforderungen an Interfaces Kabel Kabelverlegung SEITE 3 VON 6 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung ausgef hrten Funktionen Aspekte von Kategorie A Systemen zu ber cksichtigen haben muss eine Isolation vorgesehen werden Glasfaserkabel stellen ein sehr wirksames Mittel zur Erzielung elektrischer Isolation dar und sollten wenn immer m glich verwendet werden IEC 60709 5 1 v v 1379 Redundantes Ger t leittechnischer Systeme muss zuweilen im Einflussbereich von fest installierten Brandschutzsystemen angeordnet werden In diesen F llen m ssen das leittechnische System und seine Ger te sowie das Brandschutzsystem so ausgelegt sein dass der Betrieb des Brandschutzsystems die Unabh ngigkeit redundanter Sicherheitsgruppen nicht beeintr chtigt Die Leistungsf higkeit redundanter Sicherheitsgruppen darf durch Feuer und Rauch die au erhalb eines sicherheitstechnisch wichtigen leittechnischen Systems entstehen nicht negativ beeinflusst werden Dieses muss durch r umliche Trennung Barrieren oder eine Kombination von beiden sichergestellt werden wobei folgende Anforderungen einzuhalten sind a Der Raum zwischen redundanten Systemen oder Kabeln darf keine Strukturen Ger te oder Materialien enthalten die eine
154. onseinrichtung auf der Seite der sicherheitstechnisch weniger wichtigen Einrichtungen aufgeschaltet wird Weiter sollten Vorkehrungen getroffen werden um die M glichkeit zu minimieren dass Ausf lle in nicht sicherheitsrelevanten Systemen spontane ungewollte Aktionen von Funktionen der Kategorie A ausl sen Werden Anlagenger te die von einem Kategorie A System angesteuert werden auch von Signalen eines Systems niedrigerer Kategorie angesteuert m ssen Isolationseinrichtungen vorgesehen sein die einen Vorrang der vom Kategorie A System ausgehenden Steuersignale sicherstellen Ausf lle im oder normale Aktionen des Systems niedrigerer Kategorie d rfen die Funktionen des Kategorie A Systems unter Anlagenbedingungen die einen Erfolg dieser Funktionen erfordern nicht berlagern Die Isolationseinrichtungen zur Sicherstellung des Vorrangs m ssen als Teil des Kategorie A Systems eingeordnet sein Ausf lle und Fehlbet tigungen in Systemen die nicht entsprechend Kategorie A eingeordnet sind d rfen keinerlei R ckwirkungen auf das Ansprechverhalten die Drift Genauigkeit 25 10 2005 Anforderungen an Interfaces Aufrechterhaltung des Defence in Depth Konzeptes der Anlage SEITE 5 VON 6 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung Rauschempfindlichkeit oder andere Eigenschaften des Kategorie A Systems haben die seine F higkeit beeintr chtigen k nnten die geforderten Sicherheitsfun
155. orderlich gegen u ere Einwirkungen gesch tzt zu verlegen Leitungen und Kabel zur Signal bertragung und Stromversorgung von redundanten Mess und Steuereinrichtungen des Sicherheitssystems sollen ohne Einschleifen in Warten oder zentrale Rangierverteiler unmittelbar zu den signalverarbeitenden Baugruppen gef hrt werden Sie sind so zu verlegen oder abzuschirmen dass durch u ere St rquellen wie z B durch Starkstromkabel eine unzul ssige Beeinflussung der Mess und Steuersignale vermieden wird KTA 3501 5 3 2 2 v 231 Signale zueinander redundanter Einrichtungen d rfen nicht in einem Kabel einem rtlichen Kabelverteiler und einer Kabeldurchf hrung gef hrt werden KTA 3501 5 3 2 1 v 230 Kabel zueinander redundanter Einrichtungen des Reaktorschutzsystems sind nach Abschnitt 5 3 1 Gesamtsystem r umlich getrennt oder gegeneinander gesch tzt zu verlegen VDI VDE 3527 5 3 2 v 1219 Konsequente Entkopplung zwischen den Redundanten sodass ein berspannungs Eintrag aus der Schaltanlage oder der Messperipherie auf eine Redundanz begrenzt bleibt Ebenso ist die Entkopplung zu redundanz bergreifenden Einrichtungen wie zur Warte oder zum Prozess Informationssystem sicherzustellen F r digitale Systeme erfolgt die Entkopplung vorwiegend ber Lichtleiter IEC 60709 6 2 5 7 v v 1389 Analoge und andere elektrische Signale niedriger Spannung d rfen n
156. orgaben auszugehen Das zugrunde liegende PROFIBUS DP Protokoll ist ein Master Slave Polling Verfahren welches seinem Konzept nach streng zyklisch arbeitet Gab es Entwicklungsvorgaben hinsichtlich des Ausfall bzw Fehlerverhaltens der Komponente Aufgrund dem der Entwicklung zugrunde liegenden Ziel der Qualifizierungsf higkeit gem IEC 61508 SIL3 ist von entsprechenden Entwicklungsvorgaben auszugehen Grundlage des Sicherheitskonzeptes ist es dass bei allen erkannten Fehlern die die Funktion beeinflussen k nnen der sichere Zustand gem IEC 61508 eingenommen wird Bei digitaler F Peripherie ist das z B der Wert 0 Die beiden in einer fehlersicheren Signalbaugruppe integrierten Prozessoren berwachen sich gegenseitig und testen automatisch die Ein bzw Ausgabeschaltungen Die F CPU kommuniziert mit der fehlersicheren Signalbaugruppe ber das sicherheitsgerichtete Busprofil PROFIsafe Peripherie oder Kommunikationsfehler f hren zur Passivierung der betroffenen Kan le oder F Peripherie aber nicht zum STOPP der F CPU Nach der Fehlerbehebung muss eine Wiedereingliederung Depassivierung der F Peripherie erfolgen Gab es Entwicklungsvorgaben dass die Komponente z B steckbare Baugruppe bei Betrieb austauschbar ist Die fehlersicheren Signalbaugruppen F SMs k nnen wie alle Standard Signalbaugruppen in S7 300 bzw ET 200M gesteckt und gezogen werden Ein Baugruppentausch im Sicherheitsbetrieb wird als Fehler bei d
157. prachen wurden verwendet Die Programmierung des CSC01 erfolgte in C C Die vorgelegte Softwarebeschreibung l sst C als Programmiersprache erkennen Als Entwicklungsumgebung wird TASKING Tools for M16C v2 3r1 der Firma Altium eingesetzt Ist der Compiler bersetzer durchgehend getestet und bew hrt Sind evtl Einschr nkungen bekannt Wurden Compiler Funktionen zur Optimierung des Codes benutzt Werden neben den Standard Bibliotheken noch weitere Bibliotheken benutzt Als Compiler wird der Altium C C Compiler Assembler Linker und Locater eingesetzt Der verwendete Compiler ist laut Hersteller bew hrt und vielfach in der Entwicklung eingesetzt Einschr nkungen sind nicht bekannt Die Optimierung des Compilers ist auszuschalten bzw auf die kleinste Optimierungsstufe einzustellen Sollte es aus bestimmten Gr nden w hrend der Entwicklung dazu kommen dass die Optimierung ver ndert werden muss dann ist dies ausf hrlich zu begr nden und die Auswirkungen auf die Software sind detailliert zu pr fen Seite 16 Anhang II Vorhaben SR2499 CANopen Safety Chip 04 11 2005 6 2 4 6 3 1 6 3 2 6 3 3 Ist dynamisches Binden zugelassen Die Software des CANopen Safety Chip besteht aus zwei grundlegenden Teilen der permanenten Firmware und der variablen Safety Applikation Da beide Softwareteile getrennt entwickelt werden k nnen sie nicht vom Linker der Entwicklungsumgebung miteinander verbunden werden Es sind Schnittstelle
158. r Kontinuit t der Stromkreise Erdschluss Spannungs oder Frequenz nderungen mechanischem Versagen der Komponenten oder rtlichem Feuer Die Folgen der aufgrund eines CCF in zwei oder mehreren Komponenten auftretenden Ausf lle die sich auf redundante Sicherheitsgruppen auswirken m ssen betrachtet werden Dabei kann es sich um CCF als Folge von Wartungsfehlern mechanischer Besch digung oder elektrischer Interferenz handeln Umwelteinfl sse Strahlungssch digung und andere m gliche gemeinsame physikalische Faktoren m ssen ber cksichtigt werden IEC 60709 4 4 3 v v 1373 Anzunehmende versagenausl sende Ereignisse in Anlagensystemen Ger ten und Strukturen wie z B Feuer schlagende Rohrleitungen umherfliegende Teile mechanische und thermische Auswirkungen Explosionen oder Leckagen von Wasser Dampf Gas Ol fl ssigem Metall sowie andere Ereignisse die potenzielle Verursacher von Besch digungen sind m ssen in Betracht gezogen werden IEC 60709 4 5 v v 1375 Nat rliche Ereignisse wie Erdbeben berflutung St rme Blitzschlag Gezeiten oder Flutwellen m ssen entsprechend der jeweiligen Lage des Kernkraftwerks in Betracht gezogen werden Von Menschen au erhalb der Anlage verursachte Ereignisse innerhalb und au erhalb der Anlage wie z B Explosion Feuer Flugzeugabsturz Sabotage m ssen in Betracht gezogen werden IEC 60709 4 6 v v 1376 Versagenausl sende
159. r Systemzuverl ssigkeit nicht durchf hrbar ist z B wenn die Zuverl ssigkeit eines mehrfach redundanten Systems durch solche Faktoren wie Common Cause Failures oder Unsicherheiten in der Auslegung begrenzt wird Spezielle Schwierigkeiten k nnen z B bei dem Nachweis der Zuverl ssigkeit von rechnerbasierten Systemen auftreten Diversit t ist ein Weg um eine konservative Auslegung zur Kompensation von Schwierigkeiten bei dem Nachweis des notwendigen Grades von Zuverl ssigkeit umzusetzen IEC 60709 4 3 v v 1370 F r jedes sicherheitstechnisch wichtige System m ssen dort verursachte versagenausl sende Ereignisse in Betracht gezogen werden Diese Ereignisse sind blicherweise durch rtlich beschr nkte mechanische und elektrische Auswirkungen charakterisiert die unterschiedliche funktionale Folgen haben k nnen Einzelausf lle in zentralen leittechnischen Prozessoreinheiten und an Kommunikationsschnittstellen mit Multiplexern k nnen auch das Potenzial zur Erzeugung von Mehrfachausf llen haben 25 10 2005 Anforderungen an Interfaces Systemarchitektur SEITE 3 VON 7 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung Der zuf llige Ausfall einer leittechnischen Komponente muss in Betracht gezogen werden und zwar einschlie lich der Energie oder anderer Hilfsversorgung die zum Fehlverhalten der Komponente f hren kann einschlie lich Kurzschl ssen Unterbrechung de
160. rd SafetyBUS p SafetyBUS p wurde von der Firma Pilz speziell f r den sicherheitstechnischen Einsatz entwickelt 21 Die offene Sicherheitsbusl sung wird durch die Nutzerorganisation Safe tyBUS p Club International e V vertreten Das System wurde durch den T V S d nach IEC 61508 zertifiziert Die Buskommunikation basiert auf dem CAN Protokoll die Topolo gie ist linienf rmig Die Realisierung der Sicherungsmechanismen erfolgt auf Protokoll ebene Grey Channel Prinzip Ein mehrkanaliger Aufbau des Busses f r sicherheitsge richtete Aufgaben ist vorgesehen Das verwendete Master Slave Verfahren ist multimas terf hig d h mehrere Zentralen k nnen zusammen auf die Peripherie zugreifen DeviceNET Safety DeviceNET Safety ist eine offene Netzwerkprotokollspezifikation die von der ODVA Open DeviceNet Vendors Association gepflegt wird 23 Das System ist noch nicht zer tifiziert es liegt allerdings eine positive Konzeptbeurteilung durch den T V Rheinland vor Das DeviceNET Netzwerk basiert auf dem CAN Bus und arbeitet nach dem Produ cer Consumer Netzwerkmodell Im Producer Consumer Netzwerkmodell sind die Tele grammdaten f r alle Systemkomponenten gleichzeitig verf gbar Mit diesem Netzwerk modell wird die direkte Kommunikation der Systemteilnehmer erm glicht Auf Basis des Standardbussystems DeviceNet werden f r den sicherheitsgerichteten Betrieb Siche rungsinformationen in einer zus tzlichen Sicherungsebene hin
161. rden ist dies ein softwarebasierter Ansatz z B PROFIsafe DeviceNET Safety Vorteil dieses Ansatzes ist dass der in dezentralen Ein Ausgabebaugruppen verwende te R ckwandbus als Teil des unsicheren Kanals aufgefasst werden kann und in der Zerti fizierung bzw Begutachtung nicht zus tzlich betrachtet werden muss Mit diesem Ansatz Forschungsvorhaben SR 2499 Abschlussbericht November 2005 21 Industrie Service ist weiterhin ein Mischbetrieb sicherheitsgerichteter und konventioneller Telegramme m glich Die Standardbusteilnehmer ignorieren in diesem Fall die zus tzlichen Siche rungsinformationen die f r sie Nutzdaten darstellen Ebenso ist die Verwendung von Standardindustriekomponenten f r den Aufbau der Businfrastruktur m glich Da die Si cherungsmechanismen im Protokoll verwirklicht werden ist es leicht diesen softwareba sierten Ansatz auf Fremdprodukte zu portieren Beim Einsatz entsteht hinsichtlich der Busanschaltung kein zus tzlicher Hardwareaufwand im Vergleich zu Standardbusan schaltungen Die zus tzlichen Sicherungsinformationen bedingen im Gegenzug ein komplexeres Kommunikationsprotokoll und damit eine h here Komplexit t der Software Der je Tele gramm bertragbare Nutzdatenanteil sinkt im Vergleich zum Standardbussystem durch das Hinzuf gen der Sicherungsinformation Der geringere Nutzdatenanteil und der soft warebasierte Ansatz f hren weiterhin zu Geschwindigkeitseinbu en im Vergleich zum Standardfe
162. rden sowohl statische Tests Reviews Erf llung von MISRA als auch dynamische Tests der Software durchgef hrt Die dynamischen Tests gliedern sich in Modultests in einer Testumgebung Integrationstests mit minimaler HW Konfiguration und Systemtests mit maximalem HW Ausbau sowie den abschlie enden Validationstests zum Nachweis der Anforderungen der Safety Requirement Specification Gibt es einen Softwaretestbericht mit Angaben zu den durchgef hrten statischen und dynamischen Tests Die statischen Tests wurden in Reviewberichten die dynamischen Tests in Testberichten dokumentiert Welche Hard und Software Integrationstests wurden durchgef hrt Als Integrationstest wurden Funktionstests in einer Minimalkonfiguration der HW durchgef hrt Seite 10 Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 3 2 5 3 3 1 3 3 2 3 3 3 3 3 4 3 3 5 3 3 6 3 3 7 Welche Systemtests bzw Systemintegrationstests wurden durchgef hrt Wie wurden diese dokumentiert Es wurde ein Systemtest mit maximal m glichem HW Ausbau durchgef hrt und ein Validationstest zum Nachweis der Anforderungen der Safety Requirement Specification Die Tests sind im Testkonzept und in Testberichten dokumentiert Wurden die Ablaufreihenfolge die Aufruf und Anlaufbedingungen der Tasks berpr ft Diese Pr fungen erfolgten im Systemtest Wurden spezielle Werkzeuge oder automatische Testhilfen f r die Pr fung der Software eingesetzt Wenn j
163. ren die Kriterien f r die Auswahl Es wird seit einigen Jahren bei der S7 Entwicklung ein 32bit Mikrocontroller von NEC eingesetzt Auswahlkriterien waren die Verbreitung in der Elektronik Automations Welt und Performanceanforderungen Wie ist die Speicherorganisation der Komponente von Neumann mod Harvard Struktur und wie erfolgt die Trennung von Daten und Programmen Programme sind im Flash Speicher gespeichert Daten im RAM Welche Programm und Datenspeicher Typ Gr e sind eingesetzt Wo ist dies dokumentiert Der Flash Speicher f r das Programm hat 126 kB Zus tzlich ist ein RAM Speicher f r Daten vorhanden Erfolgt eine statische oder eine dynamische Speicherzuordnung f r Daten und Programme Wo ist dies dokumentiert Der Programmspeicher ist statisch zugeordnet Sind weitere intelligente Bausteine wie Buskontroller LAN Schnittstellen ASIC PLD etc eingesetzt Wenn ja gibt es eine detaillierte Beschreibung dieser Bausteine und ihrer Funktionen Es sind noch ASICs und EPLDs eingesetzt Die Funktionen sind in den Entwicklungsunterlagen beschrieben Wurde in der Hardware eine Trennung f r sicherheitstechnisch wichtige und betriebliche Funktionen vorgesehen bzw realisiert Bei Betrieb der Ein Ausgabemodule F SM als fehlersichere Komponenten bernehmen diese ausschlie lich sicherheitstechnische Aufgaben Es besteht die M glichkeit die fehlersicheren Ein Ausgabemodule F SM alternativ f r betri
164. rie verwendeten Sicherheitsbussysteme durchgef hrt Tabelle 1 zeigt eine Zusammenfassung der wichtigsten zurzeit am Markt vertretenen Sicherheits bussysteme Die farbliche Markierung kennzeichnet das zugrunde liegende Buszugriffs verfahren gelb Pollingverfahren Master Slave wei Master Slave Verfahren mit Sicherheitsmonitor rot Summenrahmen gr n CAN CSMA CA blau Ethernet CSMA CD Das Token Prinzip ist aufgrund seiner geringen Marktrelevanz nicht vertreten Forschungsvorhaben SR 2499 Abschlussbericht November 2005 27 z Industrie Service Wichtige Kriterien f r die Auswahl der Typvertreter waren deren abgeschlossene Zertifi zierung sowie die Verf gbarkeit des zugeh rigen Pr fberichts nach IEC 61508 und even tuell erg nzender Entwicklungsdokumentation bzw Produktbeschreibungen Neben die sen grunds tzlichen Forderungen sollen die Typvertreter das in Tabelle 1 aufgef hrte Spektrum industrieller Sicherheitsbussysteme m glichst breit abdecken d h die Typver treter sollten auf unterschiedlichen Standardbussystemen aufbauen und jeweils Vertreter eines der beiden Sicherheitsbuskonzepte White und Grey Channel sein Die Marktrele vanz des Systems bzw ob die Ger tetechnik bereits in der Kerntechnik eingesetzt ist wurden bei der Typvertreterauswahl ebenfalls ber cksichtigt Bus Topologie Bemerkungen Zertifizierung an Medium Herstel
165. rne Peripherie Eine Diagnose des RAM erfolgt mit einem Galpat Test der sich alle 68 min wiederholt Eine detailierte Beschreibung der Uberwachungsfunktionen befindet sich in dem Dokument Softwaredesign Gab es Entwicklungsvorgaben hinsichtlich fehlerbeherrschender Strukturen und MaBnahmen z B Fail Safe Verhalten fehlertoleranter Aufbau Verhinderung unzulassiger Operationen Die Entwicklungsvorgaben resultieren aus der geforderten Qualifizierungsf higkeit gem IEC 61508 Vor Beginn der Entwicklung wurde das Konzept durch den TUV Rheinland berpr ft Der Mikrokontroller ist mit zwei redundanten CAN Businterfaces ausgestattet Das CAN Protokoll besitzt eine Hamming Distanz von 6 Das bedeutet dass durch Pr fsummen bis zu 5 Bitfehler korrigiert werden k nnen Ab 6 Bitfehlern kann der Fehler nur noch detektiert nicht aber korrigiert werden Durch diese sehr hohe Hamming Distanz ist der CAN Bus in hohem Ma e fehlertolerant Wird der CSC01 in einer Aktoranwendung eingesetzt so muss ein externer Watchdog mit eigener Zeitbasis und zweitem Abschaltpfad aufgebaut werden Er berwacht den Programmablauf des CSC01 Die Datenkonsistenz des Speichers wird durch verschiedene Pr froutinen CRC Galpat Test sichergestellt Bei fehlerhaftem Verhalten wird ein definierter Fehlerzustand der sogenannte sichere Zustand in der IEC 61508 Terminologie angefahren d h die Buskommunikation wird eingestellt und die Ausg nge werden
166. s CAN Netzwerkes Bei Standard CAN greifen alle Busteilnehmer auf einen gemeinsamen Bus zu und k nnen zu beliebigen Zeitpunkten Telegramme absetzen Damit ist die Beherrschung von Kollisionen notwen dig Die Auswahl des Sendeberechtigten f r diese F lle erfolgt auf Protokollebene Die ser Vorgang wird Arbitrierung genannt Eine Zentrale ist bei dem Buszugriffsverfahren daher nicht zwingend notwendig und die direkte Kommunikation zwischen den Busteil nehmern ist m glich Die Telegramme enthalten keine Empfangsadresse sondern eine Absenderadresse den sog Identifier Jeder Busteilnehmer h rt auf dem Bus mit und entscheidet anhand des Identifiers ob das Telegramm f r ihn bestimmt ist Damit ist auch das Senden von Broad cast Nachrichten an mehrere Empf nger m glich Die Zuteilung des Senderechts bei Kol lisionen erfolgt ebenfalls ber den Identifier ber den gleichzeitig die Priorit t der Nach richt festgelegt ist Senden mehrere Busteilnehmer zur selben Zeit auf dem Bus so werden die Identifier verglichen Sobald ein Busteilnehmer den Sendewunsch eines Bus teilnehmers mit h herer Priorit t erkennt zieht er seinen Sendewunsch zur ck und ver sucht es sp ter erneut Die Zerst rung von Telegrammen wird somit verhindert und die bertragung von hochprioren Nachrichten bevorzugt behandelt Eine Kommunikation ist Forschungsvorhaben SR 2499 Abschlussbericht November 2005 39 Industrie Service prinzipiell auch nach Ausfal
167. s Verbindungen ber Netzwerke oder Punkt zu Punkt Datenverbindungen Durch die projektierte Realisierung dieser Kommunikationsabl ufe und deren Einbindung in die Bearbeitung der leittechnischen Funktionen muss die Unabh ngigkeit der Kommunikationsverbindungen von der sicherheitstechnisch wichtigen Bearbeitung der leittechnischen Funktionen weitestgehend sichergestellt werden Folgende Aspekte sind zu betrachten Die Programmbearbeitung der leittechnischen Funktionen soll m glichst unabh ngig von den zu verarbeitenden oder zu bertragenden Daten sein Als fehlerhaft erkannte Signale sind zu kennzeichnen und ihre Ausbreitung ist einzugrenzen Hierbei ist das Fail Safe Verhalten zu beachten F r die bertragenen Daten m ssen Daten berlauf und oder Messbereichs berlauf von der Software beherrscht werden um eine eventuelle Unterbrechung der zyklischen Bearbeitung oder die Beeintr chtigung anderer Leittechnikfunktionen auf diesem Rechner z B durch Zugriff auf falsche Speicherbereiche zu verhindern 25 10 2005 Anforderungen an Interfaces Realisierung Performance SEITE 1 VON 4 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung Die Datenkommunikation muss zeitlich entkoppelt und m glichst ohne eine Synchronisation der kommunizierenden Rechner untereinander realisiert werden um bei einem Ausfall eines Kommunikationsteilnehmers den Weiterbetrieb der anderen Teilnehmer sicherzustelle
168. setzt Wenn ja wie wurde deren Zuverl ssigkeit nachgewiesen Es wurde keine vorgefertigte Software eingesetzt Seite 20 Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 7Ma nahmen zur Fehlererkennung und Fehlerbeherrschung 7 1 7 2 1 7 2 2 7 3 1 7 3 2 Welche Selbst Uberwachungsfunktionen f r die ordnungsgem e Funktion der rechnergest tzten Komponente sind implementiert Wo sind diese detailliert beschrieben Im Sicherheitsbetrieb werden die Daten zwischen F CPU und F Peripherie in einem Sicherheitstelegramm gem PROF Isafe Protokoll bertragen Die zeitliche berwachung der Telegrammaktualisierung im PROFIsafe Protokoll erfolgt durch eine fortlaufende Sequenznummer Innerhalb einer parametrierbaren Uberwachungszeit muss ein g ltiges Sicherheitstelegramm mit einer g ltigen Sequenznummer angekommen sein Wenn innerhalb der Uberwachungszeit kein Telegramm mit g ltiger Sequenznummer erkannt wird dann wird die F Peripherie passiviert vgl 7 6 1 Die G ltigkeit der im Sicherheitstelegramm enthaltenen Prozesswerte die Korrektheit der zugeordneten Adressbeziehungen und die sicherheitsrelevanten Parameter werden ber einen im Sicherheitstelegramm enthaltenen Pr fwert CRC abgesichert Tritt ein Pr fwert Fehler bei der Kommunikation zwischen F CPU und F Peripherie auf z B durch eine elektromagnetische St rung dann werden die nachfolgenden Wiederholungstelegramme ausgewertet bis ein fehlerfrei
169. sind auf der Basis einer anlagenspezifischen und auf den speziellen Anwendungsfall zugeschnittenen Security Analyse f r die digitale Sicherheits Leittechnik zu planen IAEA NS G 1 1 3 15 v v 1245 Sicherheitsmanagement von rechnerbasierten Systemen Es soll nachgewiesen werden dass Ma nahmen unternommen wurden um das rechnerbasierte System w hrend seiner gesamten Lebensdauer gegen physische Angriffe absichtliche oder unbeabsichtigte Zugriffe Manipulation Viren und hnliches zu sch tzen Sicherheitssysteme sollen nicht an externe Netzwerke angeschlossen werden wenn nicht die Begr ndung gegeben werden kann dass dies sicher ist IAEA NS G 1 3 4 53 v v 696 F r die Zugriffskontrolle von rechnerbasierten Systemen sollen Mittel f r den beschr nkten elektronischen Zugriff auf die Software und auf Daten angewendet werden Diese Einschr nkungen sollen f r den Zugriff ber Netzwerke und ber Wartungsger te angewendet werden 25 10 2005 Anforderungen an Interfaces Security SEITE 1 VON 1 Forschungsvorhaben SR 2499 Abschlussbericht November 2005 111 8 Industrie Service Anhang III 8 Kabel Kabelverlegung 6 Seiten Anforderungen an Interfaces Kabel Kabelverlegung Dokumentenstelle Kat AKat B ID Anforderung Stichwort c Anforderung an die Auslegung RSK LL 7 2 1 10 v 600 Leitungen und Kabel sind nach Str ngen getrennt und soweit erf
170. stem in einen sicheren Zustand bringen Es sollen Betrachtungen zur Einbringung von Fail Safe Eigenschaften wie Ruhestrom und Watchdog Timer in die Auslegung durchgef hrt werden DIN V VDE 0801 6 2 2 B 2 2 2 v v 1395 Als m gliche Ma nahmen zur Beherrschung von Fehlern auf rechnerexternen Datenwegen Informationsaustausch zwischen Rechnern werden aufgef hrt Einbit Hardware Redundanz Erweiterung des Busses um ein Bit zur Fehlererkennung Mehrbit Hardware Redundanz Erweiterung des Busses um mehrere Bits zur Fehlererkennung vollst ndige Hardware Redundanz zur Fehlererkennung ambivalente Signale Pr fung ber Testmuster Test durch bertragungsprotokolle berwachung der Einhaltung der bermittlungsvorschriften Zeitredundanz zweimalige serielle bertragung Informationsredundanz z B Pr fsummen Anwendung des Ruhestromprinzips elektrische Leitungen von Informationsleitungen trennen bei redundanten Leitungen auf r umliche Trennung achten Kabelwege d rfen nur Leitungen derselben Redundanzgruppe enthalten 25 10 2005 Anforderungen an Interfaces Fehlererkennung und beherrschung SEITE 2 VON 3 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung Erh hung der St rfestigkeit 25 10 2005 Anforderungen an Interfaces Fehlererkennung und beherrschung SEITE 3 VON 3 Forschungsvorhaben SR 2499 Abschlussbericht November 2005
171. t A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung durch die mehrere redundante Teilsysteme oder Systeme verschiedener leittechnischer Barrieren gleichzeitig beeinflusst werden k nnen sondern auch solche Fehlerausbreitungsmechanismen bei denen vergleichbar dem Dominoeffekt erst durch den ersten Fehler selbst die energetischen datentechnischen oder funktionalen Voraussetzungen f r Folgefehler geschaffen werden Gegen letztgenannte Fehler auszulegen bedarf bei komplexen Systemen umfangreicher Analysen zu Fehlereffekten und Fehlerauswirkungen Zur Sicherstellung der Unabh ngigkeit von leittechnischen Teilsystemen im Sinne dieser Richtlinie sind daher unterschiedliche Arten von Sperren zur Fehlerfortpflanzung zu realisieren um die verschiedenen Barrieren und Redundanten vor einem common cause bedingten Versagen zu bewahren und damit die Einhaltung der bergeordneten Schutzziele zu gew hrleisten Der Sinn von funktionalen Barrieren ist die Verhinderung von Auswirkungen des Versagens einer leittechnischen Funktion auf andere leittechnische Funktionen die aus der Sicht der Verfahrenstechnik unabh ngig von der ausgefallenen Funktion wirken sollen Bei der Auslegung ist hierbei insbesondere das Vorsehen von unabh ngigen Komponenten oder Teilsystemen und die geeignete Verteilung der leittechnischen Funktionen auf diese zu beachten IAEA NS G 1 3 4 41 v v 690 Eine angemessene Unabh ngigkeit soll zw
172. t der Chip einen Teil der Firmware im Flash Er kann vom Anwender nicht ver ndert werden Im zweiten variablen Flash Bereich steht die Safety Applikation die der Anwender programmiert Erfolgt eine statische oder eine dynamische Speicherzuordnung f r Daten und Programme Wo ist dies dokumentiert Der Programmspeicher ist statisch zugeordnet Seite 14 Anhang II Vorhaben SR2499 CANopen Safety Chip 04 11 2005 5 6 5 7 5 8 5 9 5 10 Sind weitere intelligente Bausteine wie Buskontroller LAN Schnittstellen ASIC PLD etc eingesetzt Wenn ja gibt es eine detaillierte Beschreibung dieser Bausteine und ihrer Funktionen Nicht relevant da nur das Bus Interface bestehend aus einem Mikrokontroller betrachtet wird Der CSC01 muss applikationsspezifisch in eine Baugruppe integriert werden Wurde in der Hardware eine Trennung f r sicherheitstechnisch wichtige und betriebliche Funktionen vorgesehen bzw realisiert Nein Gibt es sicherheitstechnisch wichtige Funktionen die in vom Mikrokontroller Mikroprozessor unabh ngiger Hardware realisiert wurden Nein Erfolgte die Auslegung der Komponente mit Uhrzeit oder Kalender Wenn ja was wurde festgelegt um Probleme wie Sommer Winterzeit Umschaltung und kritische Kalenderdaten z B Schaltjahreffekte zu l sen Wo ist dies dokumentiert Die Verwendung von Uhrzeit bzw Kalenderfunktionen ist nicht dokumentiert Wurde die Hardware hinsichtlich zu erwartender Alter
173. te Signale sind zu erkennen und in ihrer Ausbrei tung einzugrenzen Es ist eine regelm ige Selbst berwachung der Verbindungen vor zusehen Das Ausfallverhalten muss vollst ndig offen gelegt sein und in den jeweiligen Anwendungen eine definierte Vorzugsrichtung im Fehlerfall einnehmen Security In den meisten F llen erh ht der Einsatz von datentechnischen Verbindungen das Po tenzial f r unbefugte Manipulationen da die datentechnischen Verbindungen zumeist den Fernzugriff auf die Systemkomponenten erm glichen und auf der anderen Seite auf Forschungsvorhaben SR 2499 Abschlussbericht November 2005 15 Industrie Service grund ihrer starken Verteilung in der Anlage nur schwer vollstandig durch physische Ma nahmen gesch tzt werden k nnen Es wird daher die Analyse der Bedrohungen die sich durch die Interfaces ergeben sowie die Festlegung entsprechender wirksamer in formationstechnischer Schutzma nahmen gefordert Ziel ist es hierbei den Zugriff auf die Software und die Daten der Leittechniksysteme zu beschr nken und unbefugte nderun gen zu verhindern Kabel und Kabelverlegung Die Anforderungen an die Kabel und die Kabelverlegung die auch fur elektrische Einzel signalleitungen gelten gewinnt bei der Verwendung von Interfaces eine h here Bedeu tung da aufgrund der Konzentration vieler Signale in einem Signalkabel ein Ausfall eine weit h here Fehlerauswirkung aufweist Weiterhin werden bei Busverbindungen t
174. ten der Komponente z B eine Sondervariante f r den sicherheitstechnischen Einsatz Wenn ja wie unterscheiden sich diese hinsichtlich Hard und Software voneinander Es existiert nur eine Variante des CSC01 Nicht sicherheitsgerichtete CAN Interfaces basieren ebenfalls auf dem M306NAFGTFP der Firma Renesas Gab es eine Entwicklungsvorgabe dass Betriebs und sicherheitstechnisch wichtige Funktionen unabh ngig voneinander arbeiten m ssen Ja Sicherheitstechnische Funktionen sind in der fest eingebetteten Firmware enthalten Nicht sicherheitstechnische Funktionen k nnen in der Applikationssoftware hinzugef gt werden Die berwachung dieser Funktionen liegt in der Verantwortung des Anwendungsherstellers Die beiden Programmbereiche sind voneinander getrennt und tauschen Daten ber Shared Memory bzw Puffer Speicher aus Seite 4 Anhang II Vorhaben SR2499 CANopen Safety Chip 04 11 2005 2 6 2 7 Gab es Entwicklungsvorgaben hinsichtlich besonderer Selbst Uberwachungsfunktionen Wenn ja gibt es eine detaillierte Beschreibung dieser Funktionen Die Entwicklungsvorgaben resultieren aus der geforderten Qualifizierungsfahigkeit gemaB IEC 61508 Vor Beginn der Entwicklung wurde das Konzept durch den TUV Rheinland berpr ft Die MaBnahmen zur Fehlererkennung und beherrschung wurden im Vorfeld der Zertifizierung nach IEC 61508 in einem Design Review vom TUV Rheinland verifiziert u a CPU OP Code System Stack Register Inte
175. terion bei Betrieb und Wartung zu erf llen Die Auslegung von Klasse 1 Systemen muss Unabh ngigkeit zwischen den verschiedenen Redundanzen vorsehen IEC61513 6 1 2 2 v v 1128 Die Anordnung der Teilsysteme im System muss den Auslegungs Randbedingungen nach 6 1 1 2 gen gen Die Anordnung der Teilsysteme im System muss konsistent mit den Anforderungen an die Zuverl ssigkeit der Funktionen mit sicherheitstechnischer Bedeutung sein Bei der Festlegung der Einbauorte von Teilsystemen in der Anlage und der bertragungswege zwischen den Teilsystemen sollten die folgenden Faktoren beachtet werden die Auftrennung redundanter Kan le von Ger ten zur Mehrheitsentscheidung kann notwendig sein um die Auswirkung lokaler Gef hrdungen wie z B Feuer zu reduzieren und wenn erforderlich das Einzelfehlerkriterium zu erf llen siehe 6 1 1 2 1 die Zentralisierung von Funktionen die Bedeutung f r den Zugriffsschutz haben kann erforderlich werden um die Anforderung nach Kontrolle nicht autorisierten Zugangs zu erf llen die Zentralisierung komplexer Einrichtungen und Ger te kann den Betrieb die Wiederholungspr fungen Wartung und die Kontrolle von Umgebungsbedingungen erleichtern und der Einsatz von Multiplex Datentransfer kann die Verkabelungskomplexit t vermindern Wenn Unabh ngigkeit gefordert ist sollte diese erreicht werden durch elektrische Isolation die durch Lichtleiter optische Isolatoren oder Kabelschirm
176. test und Ergebnisse Da es sich bei der Hardware um einen Prototypen bzw eine Entwicklungsplattform handelt die nicht in Endger ten eingesetzt wird wurde der Aufwand f r die Pr fung und die Verifikation auf die sicherheitsrelevanten Komponenten beschr nkt Erfolgte eine berpr fung der Auslastung des Speichers und des Stacks Hierzu sind in den vorliegenden Unterlagen keine Angaben enthalten Wurde ein Verfahren festgelegt wie mit festgestellten Fehlern umgegangen wird z B Einteilung in Fehlerklassen Wenn ja wo ist dieses dokumentiert Zu den Verfahren sind in den vorliegenden Unterlagen keine Angaben enthalten Die im Rahmen der Tests erkannten Fehler sind in der Pr fdokumentation beschrieben Wurden spezielle methodische Verfahren zur Analyse m glicher St rungen Fehler oder Ausf lle f r die Komponente ggf auf der Bauteil Einzelkomponentenebene durchgef hrt z B FTA FMEA Eine Fehlerbetrachtung erfolgte im Rahmen der Zertifizierung gem IEC 61508 Gab es Untersuchungen der Hard und Software hinsichtlich des CCF Common Cause Failure Potentials Hierzu werden in den vorliegenden Unterlagen keine expliziten Angaben gemacht Spezifisch f r Interfaces sind hierbei Fehler auf dem Bus sowie die Fehlerfortpflanzung von der Sender auf die Empfangsseite zu betrachten Gem Anhang B der IEC 61508 2 werden f r zertifizierte Ger te bez glich der systematischen Ausf lle fehlervermeidende Ma nahmen u
177. tisierungsstrukturen speziell f r den Sicherheitseinsatz gezeigt sowie die relevanten Anforderungen aus dem kerntechnischen Regelwerk zusammengestellt Hierbei wird ins Forschungsvorhaben SR 2499 Abschlussbericht November 2005 Industrie Service besondere der Einsatz in sicherheitstechnischer Leittechnik der Kategorien A und B ge m IEC 61226 N10 betrachtet Zur n heren Betrachtung werden zwei Typvertreter ausgew hlt und detaillierter betrachtet F r diese Typvertreter wird weiterhin der generi sche Fragenkatalog des Forschungsvorhabens SR 2422 der bez glich der Thematik In terfaces erweitert wurde beantwortet Forschungsvorhaben SR 2499 Abschlussbericht November 2005 8 Industrie Service 2 Auswirkungen auf die Automatisierungsstruktur Mit dem Einzug der digitalen Leittechnik in die Automatisierungstechnik im industriellen Bereich werden verst rkt Bussysteme f r den Informationsaustausch zwischen den ein zelnen Teilsystemen eingesetzt Ein rechnerbasiertes Automatisierungssystem ist hierbei blicherweise in drei Hierarchieebenen unterteilt In der mittleren Hierarchieebene der sog Logikebene sind die speicherprogrammierbaren Steuerungen SPS angeordnet die die zentrale Bearbeitung der leittechnischen Funktionen bernehmen In der oberen Hierarchieebene der sog Leitebene kommunizieren Bedien und Beobachtungsstatio nen Engineering Stationen und weitere Mensch Maschine Schnittstellen miteinander u
178. tracht gezogenen Fehler m ssen die innerhalb des leittechnischen Systems und seiner Stromversorgung auftretenden Fehler umfassen die als Ergebnis von Ereignissen au erhalb des leittechnischen Systems auftretenden Fehler d rfen unber cksichtigt bleiben Wenn Funktionen der Kategorie B als Schutz f r bestimmte St rf lle vorgesehen sind m ssen die ausf hrenden Systeme nach den Prinzipien eines Systems f r Kategorie A Funktionen ausgelegt sein 25 10 2005 Anforderungen an Interfaces Gew hrleistung der Unabh ngigkeit der kommunizierenden Teilsysteme SEITE 5 VON 7 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung IEC 60709 4 1 v 1366 Systeme die Funktionen der Kategorie A ausf hren m ssen vor physikalischen Folgewirkungen von Fehlern und blichen Handlungen gesch tzt werden die auftreten innerhalb von a redundanten Teilen jener Systeme und b Systemen einer niedrigeren Kategorie Die in Betracht gezogenen Fehler m ssen sowohl die innerhalb des leittechnischen Systems und seiner Stromversorgung als auch die als Ergebnis von Ereignissen au erhalb des leittechnischen Systems auftretenden Fehler umfassen In manchen F llen kann es notwendig sein eine physikalische Trennung zwischen unterschiedlichen Systemen die Funktionen der Kategorie A ausf hren vorzusehen wenn Unabh ngigkeit zwischen diesen Funktionen gefordert wird IEC 60709 5 1
179. trol Systems Important for Safety Classification Stand 02 05 IEC 61508 Functional safety of electrical electronic programmable electronic safety related systems Part 1 General requirements Stand 12 98 Part 2 Requirements for electrical electronic programmable electronic safety related systems Stand 05 00 Part 3 Software requirements Stand 12 98 Part 4 Definitions and abbreviations Stand 11 98 Forschungsvorhaben SR 2499 Abschlussbericht November 2005 48 TOV N12 N13 N14 N15 N16 Industrie Service Part 5 Examples of methods for the determination of safety integrity levels Stand 11 98 Part 6 Guidelines on the application of IEC 61508 2 and IEC 61508 3 Stand 04 00 Part 7 Overview of measures and techniques Stand 03 00 IEC 61513 Nuclear Power Plants Instrumentation and Control Systems Important for Safety General Requirements for Systems Stand 03 01 VDI VDE 3527 Kriterien zur Gew hrleistung der Unabh ngigkeit von Sicherheitsfunktionen bei der Leittechnik Auslegung Stand 07 02 DIN V VDE 0801 Grunds tze f r Rechner in Systemen mit Sicherheitsfragen Stand 01 90 EN 954 1 Sicherheit von Maschinen Sicherheitsbezogene Teile von Steuerungen Teil 1 Allgemeine Gestaltungsleits tze Stand 1997 DIN V 19250 Fundamental aspects to be considered for measurement and control equipment Stand 05 94 Forschungsvorhaben SR 2499 Abschlussbericht November 2005 49
180. ttechnik F r notwendi ge Verbindungen ist die Ruckwirkungsfreiheit in Richtung des Systems der h herwertigen Kategorie sicherzustellen Hierbei sind neben dem bestimmungsgem en Betrieb auch versagenausl sende Ereignisse zu ber cksichtigen Eine geforderte Ma nahme zur Um setzung dieser Anforderung ist hierbei dass der Datenfluss von den Systemen der h he ren zu der niedrigeren Kategorie verlaufen soll Weiterhin werden Vorkehrungen gegen Ausfallfortpflanzung ber die Verbindungen wie z B durch elektrische Trennung Iso lierung gefordert Die Arbeits bersetzung der englischen Normentexte dient nur einer einfacheren bersicht und erhebt nicht den Anspruch einer wortgetreuen bersetzung Bei Fragen der Interpretation von Aussagen wird empfohlen auf den Originaltext zur ckzugreifen Forschungsvorhaben SR 2499 Abschlussbericht November 2005 13 Industrie Service Aufrechterhaltung der verfahrenstechnischen Redundanz und Diversit t der Anlage Auch f r Leittechniksysteme die die gleiche sicherheitstechnische Bedeutung aufweisen sind Anforderungen an die Unabh ngigkeit vorgeschrieben um die durch die Anlage zur Verf gung gestellte verfahrenstechnische Redundanz und Diversit t im Fehlerfall nicht zu schw chen Verbindungen von Systemen gleicher Kategorien m ssen sicherstellen dass die Unabh ngigkeit untereinander aufrechterhalten bleibt indem die Ausbreitung von Ausf llen verhindert wird F r Kategori
181. ty related Software PROFIsafe Driver Bericht Nr 70013527 vom 09 07 2004 vor Gibt es detaillierte Festlegungen zum Konfigurations und Anderungsmanagement f r die Hard und Software Wenn ja wo ist diese dokumentiert Hierzu besteht eine A amp D eigene Anweisung Seite 2 Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 1 3 2 Gibt es ein KID Konfigurations Identifikations Dokument 1 4 Mit dem Annex 1 zum Pr fbericht SIMATIC S7 F FH Systems liegt ein Dokument vor das die Softwarest nde und die Hardwarest nde der typgepr ften Versionen festh lt Welche Normen wurden der Entwicklung zugrunde gelegt Im Rahmen der Typpr fung wurde die Einhaltung folgender Normen und Richtlinien gepr ft 93 68 EEC Low Voltage Directive Directive on the harmonisation of the laws of Member States relating to electrical equipment designed for use within certain voltage limits IEC 61508 1999 parts 1 to 7 SIL 1 3 Functional Safety Safety related systems DIN V 19250 1994 Fundamental aspects to be considered for measurement and control equipment DIN V VDE 0801 1990 with Amendment A1 1994 AK 1 6 Principals for computers in safety related systems prEN 50159 1 1996 Railway Applications Safety Related Communication In Closed Transmission Systems VDI VDE 2180 1996 part 3 Safeguarding of industrial processing plants by means of instrumentation and control technology DIN VDE 0116 1989 Chapter 8 7 El
182. u erf llen Zur Reduzierung von M glichkeiten eines vernetzten Ausfalls von redundanten Ger ten sollen die redundanten Subsysteme elektrisch und physisch getrennt werden Da das Voting eine gemeinsame Verwendung aller Subsysteme erfordert soll eine angemessene und ausreichende Zwischenspeicherung verwendet werden um sicherzustellen dass die Trennung der redundanten Subsysteme erhalten bleibt Redundante Subsysteme sollen auch asynchron laufen Die Notwendigkeit f r die berbr ckung bei der Inbetriebnahme des integrierten Rechnersystems soll ber cksichtigt werden da es Auswirkungen auf das Hardware Software Interface haben kann IAEA NS G 1 3 5 58 v v 778 Wenn die Zuverl ssigkeit der Daten und der Datenverbindung von gro er Bedeutung ist soll eine geeignete Kommunikationstechnologie gew hlt werden Eine angemessene Ber cksichtigung soll der Verwendung von Redundanz bei der Datenverbindung dem angemessenen Grad an Vertrauensw rdigkeit der Datenverbindung im Allgemeinen und der F higkeit der Sende und Empfangssysteme Ausf llen in allen m glichen Betriebsarten zu widerstehen gewidmet werden Die Verwendung von Datenkommunikation soll nicht die physische oder funktionale Kanalisierung der Verarbeitung oder der logischen Elemente innerhalb der Systemarchitektur vereiteln IAEA NS G 1 3 4 24 v v 676 Es soll eine zus tzliche konservative Auslegung vorgesehen werden wenn der notwendige Nachweis de
183. ugeh rigen Aktivit ten detailliert festgelegt Die Phasen und Aktivit ten sind in der allgemeinen Planungsunterlage von Siemens A amp D f r die Entwicklung von fehlersicheren Komponenten festgelegt Gibt es einen produktspezifischen Projektplan Wenn ja was wurde dort festgelegt Auf der Basis der allgemeinen Planungsunterlage von Siemens A amp D f r die Entwicklung von fehlersicheren Komponenten wurde auch f r die Interface Komponenten eine produktspezifische Planungsunterlage erstellt in der die spezifischen Festlegungen zum Qualitatsmanagement festgelegt wurden Gibt es einen produktspezifischen Qualit tssicherungsplan oder konzept oder ein vergleichbares Dokument Die produktspezifische Planungsunterlage umfasst auch einen produktspezifischen Qualit tssicherungsplan Gibt es Festlegungen zu den verantwortlichen Personen Abteilungen und Organisationen f r jede Phase des Lebenszyklusses Wurden insbesondere Verifikations und Validierungsaufgaben von den Implementierungsaufgaben getrennt In der Planungsunterlage erfolgt die Festlegung der verantwortlichen Personen f r die einzelnen Aktivit ten der Entwicklungsphasen Der Modultest wird hierbei immer von Personen die nicht an der Entwicklung des jeweiligen Testobjekts beteiligt waren durchgef hrt F r den Systemtest besteht eine von der Entwicklung getrennte Abteilung Durch die Typpr fung des TUV SUD erfolgte eine herstellerunabh ngige Pr fung Seite 1
184. und die Ausg nge werden ber eine Sicherheitsschalteinrichtung abgeschaltet vgl 2 11 Seite 23 Anhang II Vorhaben SR2499 CANopen Safety Chip 04 11 2005 8 Schnittstellen 8 1 8 2 8 3 8 4 1 8 4 2 8 4 3 Welche systeminternen und externen Schnittstellen hat das Gerat Die Komponente besitzt zwei interne CAN Controller die redundant genutzt werden Die Anschaltung an die Bus Leitungen erfolgt Uber einen CAN Transceiver und eine entsprechende EMV Beschaltung Die Schnittstelle zur Applikation erfolgt Uber Funktionsaufrufe der Applikationssoftware im CSC Main Programm und Datenaustausch zwischen diesen beiden Programmteilen Wie ist das implementierte Verhaltensmuster des Ger ts Systems an den Datenschnittstellen Nicht relevant da nur das Bus Interface bestehend aus einem Mikrokontroller betrachtet wird Der CSC01 muss applikationsspezifisch in eine Baugruppe integriert werden Was kann ber die vorhandenen Schnittstellen an den Einrichtungen ver ndert werden Parameter Firmware ber die Bedienerschnittstelle kann das kompilierte Applikationsprogramm in den Flash Bereich des CSC01 geladen werden Die Safety Applikationen sind permanent als Firmware gespeichert und k nnen nicht ver ndert werden Welche Mechanismen zum Schutz des Programmcodes und der Parameterdaten gegen unbeabsichtigte oder unbefugte Anderungen im Betrieb wurden implementiert Die Firmware ist nicht l6schbar im ROM Speicher abgel
185. ungseffekte analysiert und welche Reserven wurden hierf r ber cksichtigt Hierzu sind in den vorliegenden Unterlagen keine Angaben enthalten Seite 15 Anhang II Vorhaben SR2499 CANopen Safety Chip 04 11 2005 6Konstruktive Ma nahmen zur Fehlervermeidung bei der Softwareentwicklung 6 1 1 6 1 2 6 2 1 6 2 2 6 2 3 Wie ist die Software der Komponente aufgebaut Die Software ist modulorientiert aufgebaut Wurden spezielle Tools zur Versionsverwaltung eingesetzt Wenn ja welche Die Verwaltung und Kontrolle w hrend des Software Sicherheitszyklusses erfolgt mit einem Softwareverwaltungsprogramm Es wird WinCVS eingesetzt das es erm glicht Anderungen an der Software zu verwalten Ist der Sourcecode gut strukturiert lesbar und dokumentiert Der Source Code lag nicht vor Wurden bei der Erstellung der Software spezielle Programmierrichtlinien ber cksichtigt Wenn ja welche Festlegungen finden sich dort und wo sind diese dokumentiert Hierzu sind in den vorliegenden Unterlagen keine Angaben enthalten Wie ist der Prozess zur Erzeugung des Maschinencodes gestaltet Kamen Werkzeuge Tools f r die automatische Generierung von Sourcecode zum Einsatz Wenn ja welche und wo sind diese detailliert beschrieben Die Maschinencodeerzeugung erfolgte nach traditionellem Vorgehen mit Compiler Assembler Linker und Locator Zum Einsatz kommt die Entwicklungsumgebung TASKING Tools for M16C v2 3r1 Welche Programmiers
186. v v 1379 Redundantes Ger t leittechnischer Systeme muss zuweilen im Einflussbereich von fest installierten Brandschutzsystemen angeordnet werden In diesen F llen m ssen das leittechnische System und seine Ger te sowie das Brandschutzsystem so ausgelegt sein dass der Betrieb des Brandschutzsystems die Unabh ngigkeit redundanter Sicherheitsgruppen nicht beeintr chtigt Die Leistungsf higkeit redundanter Sicherheitsgruppen darf durch Feuer und Rauch die au erhalb eines sicherheitstechnisch wichtigen leittechnischen Systems entstehen nicht negativ beeinflusst werden Dieses muss durch r umliche Trennung Barrieren oder eine Kombination von beiden sichergestellt werden wobei folgende Anforderungen einzuhalten sind a Der Raum zwischen redundanten Systemen oder Kabeln darf keine Strukturen Ger te oder Materialien enthalten die eine Ausbreitung des Feuers unterst tzen k nnten b Wenn zwischen redundanten Systemen oder Kabeln Barrieren angeordnet sind m ssen diese eine Feuerfestigkeit entsprechend den Brandschutzbestimmungen aufweisen IEC 60709 6 1 v 1384 Redundante Teile von Kategorie A Systemen m ssen so ausgelegt und installiert sein dass keines der in Abschnitt 4 angegebenen Einzelereignisse zum Versagen einer Kategorie A Funktion f hren kann IEC 61226 7 3 2 2 v 1041 Eine Funktion in dieser Kategorie muss mit redundanten und getrennten Mitteln ausgef hrt werden anderenfalls muss
187. vergleichbar dem Dominoeffekt erst durch den ersten Fehler selbst die energetischen datentechnischen oder funktionalen Voraussetzungen f r Folgefehler geschaffen werden Gegen letztgenannte Fehler auszulegen bedarf bei komplexen Systemen umfangreicher Analysen zu Fehlereffekten und Fehlerauswirkungen Zur Sicherstellung der Unabh ngigkeit von leittechnischen Teilsystemen im Sinne dieser Richtlinie sind daher unterschiedliche Arten von Sperren zur Fehlerfortpflanzung zu realisieren um die verschiedenen Barrieren und Redundanten vor einem common cause bedingten Versagen zu bewahren und damit die Einhaltung der bergeordneten Schutzziele zu gew hrleisten Der Sinn von funktionalen Barrieren ist die Verhinderung von Auswirkungen des Versagens einer leittechnischen Funktion auf andere leittechnische Funktionen die aus der Sicht der Verfahrenstechnik unabh ngig von der ausgefallenen Funktion wirken sollen Bei der Auslegung ist hierbei insbesondere das Vorsehen von unabh ngigen Komponenten oder Teilsystemen und die geeignete Verteilung der leittechnischen Funktionen auf diese zu beachten VDI VDE 3527 5 2 3 v 1207 Keine direkte Kommunikation zwischen Leitsystemen deren Unabh ngigkeit gew hrleistet sein soll VDI VDE 3527 5 3 2 v 1219 Konsequente Entkopplung zwischen den Redundanten sodass ein berspannungs Eintrag aus der Schaltanlage oder der Messperipherie auf eine Redundanz begrenzt bleibt Ebenso ist
188. werden anderenfalls muss eine Begr ndung gegeben werden Eine solche Begr ndung kann z B auf der F higkeit eines Systems beruhen die geforderte Zuverl ssigkeit auch ohne die genannten Mittel zu erreichen auf der Annehmbarkeit der Folgen des Funktionsausfalls oder auf der Verf gbarkeit von gen gend Zeit f r alternative Ma nahmen bei Funktionsausfall IEC 61226 7 3 2 1 v 1039 Ein leittechnisches System das Funktionen der Kategorie A ausf hrt muss redundant sein Angemessene Trennung muss vorgesehen sein um sicherzustellen dass irgendein interner St rfall redundante Str nge des Systems nicht unwirksam machen kann Ein Einzelausfall darf nicht zum Versagen der vorgesehenen Sicherheitsfunktion f hren auch nicht w hrend pr ventiver Instandhaltung oder wiederkehrender Pr fung Inspektion oder Reparatur Die Anwendung des Einzelausfallkriteriums muss in bereinstimmung mit 5 34 bis 5 39 von IAEA NS R 1 sein TEC61513 5 3 1 3 v v 1077 25 10 2005 Anforderungen an Interfaces Systemarchitektur SEITE 5 VON 7 Dokumentenstelle Kat A Kat B ID Anforderung Stichwort c Anforderung an die Auslegung Zur Vermeidung von Ausf llen sollte eine angemessene Redundanz der Kommunikationsverbindungen vorgesehen werden IEC61513 6 1 1 2 1c d v 1110 Die Auslegung von Klasse 1 Systemen muss gen gend Redundanz vorsehen um das Einzelfehlerkriterium single failure cri
189. werden durch die Selbst berwachungsfunktionen ebenfalls erkannt Seite 9 Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 3 Analytische Ma nahmen zur Fehlervermeidung bei der Entwicklung 3 1 3 2 1 3 2 2 3 2 3 3 2 4 Wurde ein Pr fkonzept f r die Komponente zugrunde gelegt Wenn ja enth lt dieses Aussagen zu folgenden Fragestellungen Wann wird gepr ft z B Festlegungen zu Reviews Was f r Pr fmittel kommen zum Einsatz Wer f hrt die Pr fungen durch Trennung Entwicklung Test Wie wurden die Pr fungen dokumentiert Protokolle Angaben hierzu bestehen in der allgemeinen und der produktspezifischen Planungsunterlage sowie in dem produktspezifischen Testkonzept Die Dokumentation von durchgef hrten Pr fungen erfolgt in Testberichten Was f r Typpr fungen wurden durchgef hrt Wurden im Rahmen der Typpr fungen auch EMV Pr fungen Pr fungen der Auslegung gegen induzierte Ersch tterung Schwingen und Schocken Pr fung zur Auslegung gegen besondere Umwelteinfl sse durchgef hrt Es wurde eine Typpr fung f r das System Siemens Integrated Safety und den Software Treiber PROFIsafe nach IEC 61508 durchgef hrt Au erdem wurden klimatische und mechanische Typpr fungen sowie Pr fungen zur elektromagnetischen Vertr glichkeit durchgef hrt siehe Verzeichnis der gepr ften Normen in 1 4 Wurden statische und dynamische Tests der Software durchgef hrt Gem dem Hersteller wu
190. wird zeitgesteuert ber Interrupt zyklisch aufgerufen Wie sind bei mehreren Betriebsarten die bergangsbedingungen f r einen Betriebsartenwechsel definiert Wo sind diese dokumentiert F r die fehlersicheren Ein Ausgabemodule F SM existiert nur eine Betriebsart Ist eine Trennung von Betriebs und Sicherheitsfunktionen in der Software vorgesehen Wenn ja wie erfolgt diese Trennung Die fehlersicheren Ein Ausgabemodule F SM k nnen nur entweder ausschlie lich f r sicherheitsgerichtete oder f r betriebliche Aufgaben eingesetzt werden Eine Trennung von Funktionen ist daher nicht erforderlich Seite 18 Anhang Vorhaben SR2499 PROFIsafe Profile 04 11 2005 6 7 6 8 6 9 1 6 9 2 6 9 3 6 9 4 6 10 1 Wie wird der Kontrollfluss gesteuert Der Kontrollfluss ist ber Zustandsmaschinen gesteuert Sie sind als Zustandsdiagramme mit Beschreibung der Ubergangsbedingungen spezifiziert Welche zeitlichen Randbedingungen wurden festgelegt Wo sind diese beschrieben Die Reaktionszeit einer Sicherheitsfunktion kann in Abh ngigkeit des Hard und Softwareausbaus des Systems berechnet werden Kann nachgewiesen werden dass das resultierende Verhalten in vorhersagbarer Weise allein von den sicherheitstechnisch wichtigen Funktionen der Komponente bestimmt wird deterministisches Verhalten Es sind keine betrieblichen Funktionen innerhalb eines sicherheitsgerichteten Ein Ausgabemoduls F SM implementiert Ist die
191. z B zyklische Daten bertragung und Timer berwachung werden die Nachteile eines stochastischen Buszugriffsverfahrens z B keine Deterministik oder Verz gerungen bei der bertragung von Telegrammen kompensiert K nnen die Nachrichten mit Priorit ten versehen werden Nachrichten k nnen ber ihren CAN Identifier mit Priorit ten versehen werden Nachrichten mit h herpriorer ID werden beim Arbitrierungsprozess bevorteilt Wie ist das Verhalten des Bussystems bez glich der Reaktionszeit Ein gleichzeitiger Zugriff von Teilnehmern auf den Bus wird systembedingt nicht verhindert Die Auswahl der sendeberechtigten Nachricht erfolgt durch Arbitrierung Diese Technik erm glicht kurze Reaktionszeiten Probleme hinsichtlich der Deterministik oder Verz gerungen bei der bertragung von Telegrammen werden durch zus tzliche im CANopen Safety Protokol implementierte Ma nahmen kompensiert Ist die der Baugruppe zugrunde liegende Protokollspezifikation herstellerspezifisch oder ein offengelegtes Protokoll CANopen ist als offenes System im Auftrag der Nutzerorganisation CAN in Automation entwickelt worden In der Automobilindustrie ist es weit verbreitet und wird zunehmend auch in anderen Industriebereichen eingesetzt Wie gro ist die Hamming Distanz der Daten bertragung auf dem Bussystem Die Hamming Distanz ist 6 d h bis zu 5 Bitfehler k nnen erkannt und korrigiert werden Seite 27 Anhang II Vorhaben SR2499 CANopen Saf
192. zugef gt Grey Channel Forschungsvorhaben SR 2499 Abschlussbericht November 2005 30 Industrie Service Prinzip Die Netztopologie ist linienf rmig mit Stichleitungen zu den einzelnen Busteil nehmern CANopen Safety Protokoll Das offen gelegte CANopen Safety Protokoll wird von der Nutzerorganisation CAN in Automation CiA vertreten 12 Es setzt zum Erreichen des geforderten Sicherheitsle vels auf eine Hardwareredundanz mit Kreuzvergleich White Channel Prinzip Der CANopen Safety Chip integriert diese Funktionalit t in einem Chip und ist vom TUV Rheinland gem IEC 61508 zertifiziert Das im CAN Controllerchip implementierte Pro tokoll enth lt ein CRC Verfahren zur Fehlererkennung Zus tzliche Sicherheit ergibt sich durch die redundante Telegramm bermittlung mit Kreuzvergleich Die Netztopologie ist linienf rmig Esalan Esalan Elan Safety Local Area Network ist eine propriet re firmenspezifische L sung der Firma Elan 24 Eine Zertifizierung gem EN 954 1 N15 Kategorie 4 erfolgt durch das BIA Auch dieses Sicherheitsbussystem basiert auf dem CAN Protokoll Obwohl aus gew hlte Standard CAN Komponenten zum Einsatz kommen liegt das Ziel der propriet ren L sung in der hohen Echtzeitf higkeit mit einer maximalen Reaktionszeit von 15 ms auch im Fehlerfall Die Busteilnehmer sind inklusive Mikrocontroller und CAN Interface redundant aufgebaut und f hren einen Kreuzvergleich der bertragene
193. zugrunde liegende Protokollspezifikation herstellerspezi fisch oder ein offen gelegtes Protokoll Wie gro ist die Hamming Distanz bei der Daten bertragung auf dem Bussys tem Fehlerverhalten Werden die typischen Fehler f r Buskommunikation Verlust Wiederholung Einf gung falsche Abfolge Verz gerung und Nachrichtenverf lschung be herrscht Welche Ma nahmen werden bei Fehlererkennung ergriffen Wie wirkt sich der Ausfall einzelner Busteilnehmer auf das Netzwerk aus Wird ein Watchdog verwendet Forschungsvorhaben SR 2499 Abschlussbericht November 2005 18 Industrie Service 4 Einf hrung in die Sicherheitsbustechnologie In den letzten Jahren haben sich verst rkt sicherheitsgerichtete Varianten zu den am Markt etablierten Standardfeldbussen entwickelt Sie zeichnen sich dadurch aus dass sie auftretende Kommunikationsfehler sicher erkennen und eine entsprechende Fehlerkor rektur vornehmen oder entsprechende Fehlerreaktionen veranlassen k nnen Die Kon zepte auf welchem Weg diese Sicherheit erreicht wird sind bei den Bussystemen jedoch unterschiedlich Die Entwicklung der Sicherheitsbussysteme orientiert sich meist an der Norm IEC 61508 N11 f r allgemeine industrielle Sicherheitsanwendungen siehe auch 34 und 29 In ihr werden Sicherheitsfunktionen entsprechend ihrer sicherheitstechnischen Bedeutung in Kategorien sog SIL Level Stufen 1 bis 4 eingeteilt Zur Sicherstellung der Zuverl s sigkeit
194. zwerk Wird ein Watchdog verwendet Eine berwachung der Telegrammabst nde durch einen Watchdog findet statt Seite 28 Forschungsvorhaben SR 2499 Abschlussbericht November 2005 11 1 Industrie Service Anhang Il Ausgef llter Fragenkatalog Typvertreter Il Inhalt Fragenkatalog zum Typvertreter II CANopen Safety Chip mit 28 Seiten Anhang II Vorhaben SR2499 CANopen Safety Chip 04 11 2005 1 Projektplanung und Aufbau der Dokumentation 1 1 1 Welches Vorgehensmodell wurde der Entwicklung zugrunde gelegt z B Verfahrens Modell V Modell Aus den angegebenen Entwicklungsdokumenten kann ein phasenorientiertes Vorgehensmodell abgeleitet werden Gibt es eine Liste s mtlicher entsprechend den Phasen des Vorgehensmodells geordneter Dokumente Folgende Entwicklungsdokumentation wurde erstellt Masterdokument Produktanforderungen Sicherheitskonzept Hardwaredesign Softwaredesign Technische Dokumentation und Nutzerhandbuch Verifikations und Validationsplan Hardwarepr ftest und Hardwarepr fergebnisse Softwarepr ftest und Softwarepr fergebnisse bersicht Op Code und Adressierungen Schaltplan Sind die einzelnen Phasen des Lebenszyklus des Produktes und die zugeh rigen Aktivit ten detailliert festgelegt Hierzu sind in den vorliegenden Unterlagen keine Angaben enthalten Gibt es einen produktspezifischen Projektplan Wenn ja was wurde dort festgelegt Hierzu sind in den vorl
Download Pdf Manuals
Related Search