GA DUPLEX-S Sicherheitshandbuch
Contents
1. 39 12 2 20 44 40 42 GA DUPLEX S Sicherheitshandbuch 00 00 280607 4 42 7 GEBHARDT Automation GmbH Abbildungsverzeichnis Abbildung 1 9 Abbildung 2 Sicherheitslebenszyklus 4 10 Abbildung 3 1 11 Abbildung 4 5 1 11 Abbildung 5 Beispiele f r Systeme und 2 12 Abbildung 6 Funktionsweise des DUPLEX S 5 2 13 Abbildung 7 Frontblende und Elemente der MCxxx S 16 Abbildung 8 Frontblende und Elemente der ICU 17 Abbildung 9 Frontblende und Elemente der FPR 18 Abbildung 10 Frontblende und Elemente der DSPVCU 18 Abbildung 11 Frontblende und Elemente des 19 Abbildung 12 DFAB 1002D Feldanschlussmodul 19 Abbildung 13 Benutzeranmeldung 34 Abbildung 14 Schl sselschalter2. 9 2 SICHERHEITS LEBENSZYKLUS 2 0s00 00s0s00s0ss0c0000000000s00000008800000008000048080000820000008 0000005 10 3 PRODUKTBESCHREIBUNG ecsssesacsessesusssoscesesscensuesescusssnnensessucnsssnsssneusnsnesennenenunesenuusnnsenensncnusssesnee 12 3 1 GESA MISYSTEM 12 3 2 PRINZIPIELLE 8 2 0 2 2 1 1241 13 3 3 HARDWARE KOMPONENTEN E 14 3 4 14 3 5 FEHLERRB RTION 15 FUNKTION UND BEDEUTUNG VON BEDIEN UND 16 3 5 1 Elemente der MCxxx 5 16 3 5 2 Elemente der ICU Karten ee Bekannte RE 17 3 5 3 nen 17 3 5 4 Elemente der DSPVCU 18 2 99 Elemente des L fters n nn eek EE E ENNE TER EEREN 19 3
3. 34 Abbildung 15 Zuverl ssigkeits Blockdiagramm f r 1 8 20 40 Tabellenverzeichnis Tabelle 1 Checkliste Hardware Engineering 23 Tabelle 2 Checkliste Software Engineering Systemintegration 4 2211 25 Tabelle 3 Checkliste Software Engineering Programmierung 25 Tabelle 4 Checkliste Software Engineering Validierung 25 Tabelle 5 Checkliste Montage und 27 Tabelle 6 Checkliste Forcen von 1 1 28 Tabelle 7 Checkliste Inbetriebnahme nenne 31 Tabelle 8 Checkliste Inbetriebnahme 31 Tabelle 9 Checkliste Wartung Kartenaustausch 0 33 Tabelle 10 15 PES Ausfallwahrscheinlichkeiten und SIL Einstufung 41 Tabelle 11 Sicherheitsintegrit t der Hardware Typ B Teilsysteme sn 41 GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 5 von 42 7 GEBHARDT Automation GmbH 1 Allgemeine Angaben 1 1 Kontaktinformationen MN 7 GEBHARDT Automation GmbH Oelkinghauser Str 12 a D 58256 Ennepetal Deutschland Tel 49 0 2333 7908 0 Anrufe werden an Wochentagen Fr zwischen 8 und 17 Mitteleurop ischer Zeit MEZ GMT 1 beantwortet FAX 49 0 2333 7908 24 Web www gebhardt automati
4. 2224 0 ES ENTENTO 29 7 1 PERSONELLE QUALIFIKA TIONEN 29 7 2 VORGEHENSWEISE 5 29 7 3 SOFTWARE PROGRAMM NDERUNGEN 0 30 73 1 und 30 732 30 73 3 30 GA DUPLEX S Sicherheitshandbuch 00 00 280607 Seite 3 von 42 N 7 GEBHARDT Automation GmbH 7 4 INBETRIEBNAHME 31 8 WARTUNG EE O E 32 8 1 PERSONELLE QUALIFIKATIONEN 32 82 VORGEHENSWEISE a lehnen nee E 32 8 3
5. 23 42 22 Software Entwurf und 222 2022 20 00000000000000000000 23 4 2 3 SIL3 gepr fte Funktionsbl ck nee unseren neben Fade 24 4 2 4 Integration der PES Hardware und Software 24 425 Validierung der SoftWare 24 42 6 Software Engineering 25 5 MONTAGE UND 26 5 1 PERSONELLE QUALIFIKATIONEN EEEE EE 26 5 2 SICHERHEITSTECHNISCHE RANDBEDINGUNGEN EINSCHR NKUNGEN 26 5 3 BEFESTIGUNGSHINWEISE UND ANSCHLUSSBELEGUNG 20202 02 00 01001000000 000000000000 26 5 4 MONTAGE UND INSTALLATION CHECKLISTE 27 6 FORCEN VON BH A gt SIGNALEN csssssesesessseisssnssesensutsnnsaneenssnnnsenennneneennsenesensees nenne OSONU CSNKO EVNI 28 6 1 VORGEHENSWEISE ns aan area UAE EOE RERA hen EA 28 6 2 FORCEN VON E A SIGNALEN 8 2 22 0000000010010000000000000000000000 28 7
6. 42 42
7. GEBHARDT Automation GmbH GA DUPLEX 7 S GA DUPLEX SMART S Sicherheitssysteme Sicherheitshandbuch N 7 GEBHARDT Automation GmbH Titel GA DUPLEX S Sicherheitshandbuch Datei GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Dokumenten nummer G0 HA 0003 028 00 088 00 00 1 D E Historieverzeichnis Ersteller Revisionsindex Beschreibung Reviewpartner Datum Freigebender Dokument erstellt Geltungsbereich Info auf Seite 7 28 06 2007 fehlt noch deshalb Doku Art Intern Entwurf Beteiligte von GEBHARDT Automation GmbH Ulrich Gebhardt UG Wolfgang Paulicks WP Markus K nig Stephan Schild SS Dr Peter Dellwig PD GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 2 von 42 7 GEBHARDT Automation GmbH Inhalt 1 ALLGEMEINE ANGABEN sicissioncesesscessnsnsscsuninsenennenssnsnnsnseusnnensensessnsunsnnssnuninesensnseesshnreee seen een 6 1 1 KONTAKTINFORMATIONEN urusessssssnsnsnsnnnennnennnennnnnnnnnnnennnennnennnnnnnennnnnnnennnennnsnnnsnnnsnnnnnsnsnnnsnnnsnnnsnnnsnnnnn 6 12 __ GELTUNGSBEREICH UND STANDARDS nunnnenneseenneunnennnennnnnnnennnnnnnennnnnnnnnnnnnnnnnnnennnennennennnnn 7 1 3 25 8 1 4 00
8. Online Debug auf PES Hardware mit geforcten E A Signalen ohne Feldsignale Online Debug auf PES Hardware mit Feldsignalen von Testhardware Schalt schrankbau Im Rahmen der Inbetriebnahme erfolgt der Softwaretest anschlie end mit echten Feldsignalen im Maschinenstillstand dann an der laufenden Maschine GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 24 von 42 N 7 GEBHARDT Automation GmbH 4 2 6 Software Engineering Checklisten Nr Beschreibung Check 1 Hardware und Software Konfiguration stimmen berein 2 Netzwerkkonfiguration in Hardware und Software korrekt 3 Systemreaktionszeit jeder MCDOT S Ausgangskarte passend zu den Si cherheitszeiten der entsprechenden Sicherheitsanforderungen Reserve f r Erweiterungen w hrend der Inbetriebnahme ist ausreichend 4 Speicherplatz der MCDOT S Karten ausreichend auch f r Softwareer weiterungen w hrend der Inbetriebnahme 5 Signalfehlererkennung Kabelbruch Kurzschluss f r benutzte Signale akti viert f r Reservesignale deaktiviert 6 Zugriff auf alle erforderlichen Diagnoseinformationen zum Visualisie rungssystem DCS spezifiziert programmiert 7 Systemkonfiguration projektabh ngig entsprechend der Vorgaben Timeouts Zeiten Kommunikationspfade Tabelle 2 Checkliste Software Engineering Systemintegration Nr Beschreibung Check 1 Signalzustand und W
9. GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 33 von 42 7 GEBHARDT Automation GmbH 9 Zugangsberechtigung 9 1 Benutzeranmeldung xl stephan E Password Abbildung 13 Benutzeranmeldung Bevor man mit GA safeEdit arbeiten und so auf die GA DUPLEX S Sicherheitssysteme zugreifen kann muss man sich als berechtigter Benutzer anmelden Dazu w hlt man im An melde Dialogfenster einen Benutzernamen aus der Liste und gibt das dazugeh rige Passwort ein In der Liste gibt es immer den Namen Admin sowie je nach Konfiguration einen oder meh rere Benutzer Ein angemeldeter Benutzer kann je nach seinen Berechtigungen mit dem System arbeiten nderungen an der Benutzerliste kann nur Admin vornehmen F r Benutzer mit der h chsten Priorit t sind Diagnosen Konfigurations und Programm nderungen der ICU Kommunikati onsprozessoren und der E A Karten erlaubt Alle Eingriffe in die PES Systeme erfordern zus tzlich den Maintenance Modus mit dem Hardware Schl sselschalter Im Running Modus ist nur Systemdiagnose m glich Benutzerkonfiguration und Berechtigungen sind im GA safeEdit Benutzerhandbuch beschrie ben 9 2 Schl sselschalter 52 gt 1 Running Abbildung 14 Schl sselschalter Running Maintenance dem Schl sselschalter kann das PES System zwischen den beiden Betriebsarten Run ning und Maintenance
10. Regul re Aufgaben sind im Sicherheitskonzept konkret ber cksichtigt und werden in den spezifizierten Wartungsintervallen anhand der Vorgaben durchgef hrt Dazu geh ren z B Proof Test Intervalle Kontrolle oder Wechsel der Luftfilter e Kontrolle auf Verschmutzung Kontrolle von Systemdiagnoseanzeigen wie Diagnose Visualisierung im DCS larmierungen LED Anzeigen der Hardwarekomponenten erweiterte Diagnosen im Engineering System mit GA safeEdit Au erplanm ige Aufgaben werden erforderlich wenn die regul ren Kontrollen eine System st rung anzeigen Sie sind im Sicherheitskonzept allgemein ber cksichtigt Es handelt sich z B um folgende Aufgaben E A Signalfehler identifizieren und beheben Systemkomponenten Fehler identifizieren Komponenten E A Karten L fter Netzteile ersetzen Netzwerkkommunikation kontrollieren und Fehler beheben Bei au erplanm igen Wartungsaufgaben ist die folgende Vorgehensweise einzuhalten e Eindeutige Identifizierung von Fehlermeldungen und Fehlerursachen z B kann ei ne zu hohe Systemtemperatur verschiedene Ursachen haben Luftfilter verschmutzt System L fter defekt Schaltschrank Klimager t defekt e Kontrolle des erkannten oder gemeldeten Fehlers mit den zur Verf gung stehenden Mitteln Visualisierung im DCS Kontrolle der Hardware optisch LEDs Kon trolle mit dem Engineering System f r erweiterte Diagnosezugriffe Analyse der Fehlerauswirkung auf Sicherh
11. also dem sichern Normalbetrieb und dem Wartungsbetrieb umge schaltet werden Im Wartungsbetrieb sind sicherheitsrelevante Eingriffe in das System vom Engineering System aus m glich Dazu geh rt das Forcen von E A Signalen das Programmieren der MCxxx S Controller Karten und das Konfigurieren des Systems Der Maintenance Modus GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 34 von 42 N 7 GEBHARDT Automation GmbH kann unter entsprechenden Sicherheitsvorkehrungen bei laufender Maschine verwendet wer den der Normalbetrieb der Maschine oder Anlage ist damit jedoch nicht zul ssig Die Running Betriebsart ist der sichere Normalbetrieb der Maschine Nach erfolgreicher Inbetriebnahme oder Wartung werden alle Force Befehle f r E A Signale aufgehoben dann wird der Schl sselschalter auf die Running Position gesetzt und der Schl ssel abgezogen In dieser Position sind keine externen Eingriffe vom Engineering System in das PES System mehr m glich Diagnoseinformationen und Kommunikation ste hen nat rlich weiterhin zur Verf gung und k nnen im Engineering oder Visualisierungssys tem entsprechend den jeweiligen M glichkeiten angezeigt werden Im Maintenance Modus geforcte E A Signale werden durch Running Umschaltung nicht automatisch zur ckgesetzt Es erscheint allerdings eine entsprechende Warnung GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 35 von 42 7 GEBHARDT Automation
12. der Inbetriebnahme ebenfalls getestet und bei Bedarf angepasst werden muss W hrend der Inbetriebnahme des PES Systems wird haupts chlich die Maintenance Betriebsart benutzt Der Inbetriebnehmer ben tigt den oder die Schl sselschalter sowie die erforderlichen Passw rter f r die Freigabe des Maintenance Modus W hrend Inbetriebnahmeunterbrechungen ist sicherzustellen dass das System gegen uner laubte Zugriffe gesch tzt ist T tigkeiten w hrend der Inbetriebnahme und dabei zu beachtende Punkte sind e W hrend der Inbetriebnahme werden die Sicherheitsfunktionen des PES Systems noch nicht erf llt Daher sind entsprechende Sicherungs und Notfallma nahmen vorzubereiten und zu treffen e Erstes Einschalten der PES Hardware Kontrolle auf ordnungsgem en elektrischen Anschluss aller Komponenten e Kontrolle der Systemkonfiguration sind die Systeme entsprechend der Dokumenta tion konfiguriert e Kommunikationstest im Netzwerk sind alle Systeme einwandfrei konfiguriert und angeschlossen Loop Check Kontrolle aller E A Signale im Diagnosemodus von GA safeEdit und in der Visualisierung Alle Signale m ssen von Kabelbruch ber Minimum analoge Erfassung der Digitalsignale bis Maximum und Kurzschluss getestet werden Die GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 29 von 42 N 7 GEBHARDT Automation GmbH Diagnose muss Fehlerzust nde im Engineering und Visualisierungssystem korrekt anzeigen Funkt
13. lich durch qualifiziertes Personal erfolgen Dieses Personal muss mit den Warnungen und Hinweisen der technischen Handb cher ver traut sein Qualifiziertes Personal im Sinne der technischen Hardwarebeschreibungen sind Personen die mit Aufstellung Montage Inbetriebnahme und Betrieb dieser Hardware vertraut sind und ber die ihren T tigkeiten entsprechenden Qualifikationen verf gen wie z B e Ausbildung und Unterweisung bzw Berechtigung Stromkreise und Baugruppen bzw Systeme gem den aktuellen Standards der Sicherheitstechnik ein und aus zuschalten zu erden und zu kennzeichnen e Ausbildung und Unterweisung in der Verwendung der Software GA safeEdit f r die Inbetriebnahme von SIL3 Sicherheitssystemen Einweisung in das projektspezifische Sicherheitskonzept Einweisung in die projektspezifische Applikationsprogrammierung Detaillierte Kenntnisse der Installation der Sicherheitssysteme im Schaltschrank Einweisung in die zu steuernden Maschinen Anlagen und den Prozess Ausbildung und Unterweisung gem den aktuellen Standards der Sicherheitstech nik in Pflege und Gebrauch angemessener Sicherheitsausr stungen e Schulung in Erster Hilfe 7 2 Vorgehensweise Die Inbetriebnahme ist nur mit dem Programmiersystem GA safeEdit m glich Es ist als En gineering System zum Programmieren Konfigurieren und f r viele Diagnosefunktionen er forderlich Parallel dazu ist eine Visualisierung am Leitsystem DCS m glich die w hrend
14. 5 6 Elemente des 10020 19 3 6 SICHERHEITSRELEVANTE 20 3 0 1 S stemredkionszeil E E E nebenan ee 20 3 6 2 Di gn se Testintervall u n enn eneee see ee 20 3 6 3 Prozess Sicherheulszeik u ne 21 3 0 4 Wiederholungspr f nig ee ie e beine 21 4 ENGINEERING DES PES SYSTEMS 22 0 s 2000sse2000000n2n000000000r00000000nannnneonnnnssnnnnnnesssnnsnnsnsnsssssnnnneensnee 22 4 1 HARDWARE ENGINBERING 22 4 1 1 Spezifikation der 22 4 1 2 Hardware Entwurf und 22 44 3 22 4 1 4 23 4 2 2 52 22 4 2 1 Spezifikation der
15. Die Vorgehensweise zum Erreichen des gew nschten Zustands muss eindeutig ver standen sein Welche Signale m ssen in welcher Reihenfolge geforct werden Die Redundanz im DUPLEX S System ist zu ber cksichtigen Die Vorgehensweise zum Aufheben des Forcens muss eindeutig verstanden sein Wenn durch das Forcen Schutzmassnahmen beeintr chtigt werden sind evtl Siche rungsma nahmen Gefahrenzonen absperren usw erforderlich Da normale Sicherheitsanforderungen eingeschr nkt oder nicht mehr erf llt werden m ssen entsprechende Notfallma nahmen vorbereitet sein 6 2 Forcen von E A Signalen Checkliste Nr Beschreibung Check 1 Wurden die Auswirkungen auf das System und den Prozess analysiert und vollst ndig gekl rt 2 Sind die System und Prozessvoraussetzungen f r das Forcen gegeben 3 Ist die Vorgehensweise zum Forcen des ben tigten Zustands eindeutig gekl rt 4 Ist die Vorgehensweise zum Aufheben des Forcens und zur R ckkehr in den Normalbetrieb eindeutig gekl rt Wie wird kontrolliert 5 Wurden evtl notwendige Sicherungsma nahmen au erhalb des Systems durchgef hrt 6 Sind ausreichende Notfallma nahmen au erhalb des Systems vorbereitet Tabelle 6 Checkliste Forcen von Signalen DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 28 von 42 7 GEBHARDT Automation GmbH 7 Inbetriebnahme 7 1 Personelle Qualifikationen Inbetriebnahme der Hardware muss ausschlie
16. Digitaleing nge 25 redundante 9 Analogeing nge D ten Status 47 Verarbeitung Status N Sensoren 8 MCU B MCU B Diagnoseausg nge Digitaleing nge 598 redundante Analogeing nge Daten Status 47 Verarbeitung Status Abbildung 6 Funktionsweise des GA DUPLEX S Systems Die Abbildung zeigt die prinzipielle Arbeitsweise eines GA DUPLEX S Systems Eingangs karten Typ MCDIN S f r Digitaleing nge MCAD S f r Analogeing nge lesen Feldsignale ein Auf den Karten befinden sich jeweils zwei redundant arbeitende MCU Prozessoren Auf beiden Prozessoren MCU A und MCU B sind alle Eingangssignale bekannt ber den inter nen Datenbus ICU Kommunikationskarten und FPR Speicherkarten werden die Daten an die Ausgangskarten weitergeleitet Typ MCDOT S f r Digitalausg nge Typ MCDA S zuk nftig f r Analogausg nge Auf diesen Karten werden Sicherheitsanwendungen z B Emergency Shutdown Logik programmiert Der gr te Teil der Sicherheitsanwendungen wird in der Regel verteilt auf den jeweiligen intelligenten Ausgangskarten ausgef hrt Zur Signal Vorverarbeitung k nnen auch Daten zwischen den jeweils zwei parallel arbeitenden Ein gangskarten ausgetauscht werden Z B kann eine Auswahl zwischen den Signalen der zwei Einheiten erfolgen Min Max oder Average Voting von Eingangsdaten Zur Erh hung der Verf gbarkeit und f r den Online Austausch von Eingangsmodulen wird empfohlen das 1002D Voting f r Eingangsdaten in de
17. PES Systeme und MCDOT S Aus gangskarten muss dokumentiert werden und geht in Validierungsplanung und Soft ware Engineering ein 4 1 3 Systemintegration Die Systemintegration plant die Integration der PES Systeme in das gesamte Sicherheitskon zept Zu ber cksichtigen sind die folgenden Punkte Integration der Systeme im Schaltschrank mit externer Hardware GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 22 von 42 N 7 GEBHARDT Automation GmbH Integration zwischen mehreren PES Systemen mit besonderer Ber cksichtigung von festverdrahteter Kommunikation zwischen den Systemen Integration der PES Systeme in das Gesamtkonzept bestehend aus Engineering System und Visualisierungssystem DCS Netzwerkaufbau bez glich Redundanz und Adresskonfiguration 4 1 4 Hardware Engineering Checkliste Nr Beschreibung Check 1 Anzahl E A Karten entsprechend Sicherheitsanforderungen einschlie lich Reservesignalen 2 Position der E A Karten im System entsprechend Vorgaben 3 Analoge Frequenzeing nge mit passender Grenzfrequenz und Festlegung des Sondentyps 4 Sicherheitsfunktionen bez glich der Ausgangssignale sinnvoll kartenwei se geplant 5 Festverdrahtete Kommunikation zwischen PES Systemen Systemreakti onszeiten ber cksichtigen 6 Anschlusskabel mit passenden Kabeltypen und L ngen 7 Netzwerkaufbau Entfernungen Kabell ngen und verlegung Kabeltype
18. Schwingen oder Wackeln 3 Verkabelung Stecker richtig aufgesteckt evtl verschraubt Erdungsan schl sse korrekt ausgef hrt Trennung von Signal und Anschlussleitun gen 4 Elektrische Einschaltpr fung alle LEDs zeigen Normalzustand Tabelle 5 Checkliste Montage und Installation GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 27 von 42 N 7 GEBHARDT Automation GmbH 6 Forcen von E A Signalen 6 1 Vorgehensweise Mittels Forcen k nnen alle Eingangs und Ausgangssignale des PES Systems in den ge w nschten Zustand gebracht werden Da in diesem Fall die normalen Sicherheitsfunktionen nicht mehr ausgef hrt werden k nnen darf das Forcen nur unter genau gekl rten Bedingun gen zur Inbetriebnahme und zu Wartungszwecken eingesetzt werden Die Vorgehensweise zum Forcen ist im GA safeEdit Benutzerhandbuch beschrieben Beim Forcen sind die folgenden Punkte zu beachten Einflussanalyse Vor dem Forcen muss genau gekl rt und verstanden sein welche Auswirkungen auf das PES System und auf den Prozess m glich sind Dabei sind auch eventuelle Vorraussetzungen im PES System Maschinen oder Prozess seitig klar zu definieren Das Forcen darf nur durch qualifiziertes Personal im Rahmen von Inbetriebnahme oder Wartungsarbeiten durchgef hrt werden Im Normalbetrieb sind geforcte Signale nicht zul ssig da die betroffenen Sicher heitsanforderungen eingeschr nkt oder nicht mehr erf llt sind
19. System von keinem anderen System PES Engineering oder DCS beeinflusst werden Nur im Wartungsmodus der ber den Hardware Schl sselschalter verriegelt ist kann durch autorisierte Benutzer vom Engineering System eine Einflussnahme auf das Sys tem erfolgen Sicherheitsgerichtete Kommunikation zwischen mehreren PES Systemen ist z Zt nur ber fest verdrahtete E A Signale m glich Das Engineering System ist ein PC mit dem Betriebssystem Windows 2000 oder XP und dem Programmierwerkzeug GA safeEdit Dieses System kann nach Aktivierung des War tungsmodus f r Inbetriebnahme und Wartungsaufgaben am Sicherheitssystem benutzt wer den Im Normalbetrieb wird das Engineering System nicht ben tigt es kann aber jederzeit f r erweiterte Systemdiagnosen verwendet werden Optional kann f r Engineeringaufgaben derselbe PC verwendet werden wie f r die Visuali sierung Beides kann auf einem PC parallel betrieben werden Das Visualisierungssystem erh lt ber offene Kommunikationsschnittstellen Lesezugriff auf Daten und Informationen des PES Systems Es hat keinerlei Eingriffsm glichkeit in die Steuerung Neben der normalen Steuerungs Visualisierung werden auch Diagnoseinformati onen zur PES Hardware angezeigt Abbildung 5 zeigt als Beispiel zwei Varianten f r ein Gesamtsystem bestehend aus Enginee ring System Leitsystem DCS Visualisierung und zwei PES Systemen Die linke Seite zeigt redundante Netzwerke Dabei wird die Kommunikation f r E
20. in der Frontblende Die Ab bildung zeigt am Beispiel der MCDIN S Karte die LEDs f r Diagnoseanzeigen sowie den Auswurfhebel gt amp MCDIN S 2251 Ss 10203 0000 MCU B Abbildung 7 Frontblende und Elemente der MCxxx S Karten Es werden spezielle F hrungsschienen im Baugruppentr ger verwendet Ein in den Schienen integrierter Klipp der mit dem Geh use verbunden ist schafft zusammen mit einem F h rungsstift am Hebel Bild mitte rechts vor dem Einstecken der Karte eine galvanische Ver bindung der Karten Frontblende zum Baugruppentr ger Geh use Dadurch k nnen u A stati sche Aufladungen vor dem Stecken der Karte abgebaut werden Mit Hilfe eines Kipphebels mit integriertem Mikroschalter kann das Ziehen der Karten nach dem L sen der Halsschrauben einfach durch Aushebeln nach unten erfolgen Eine zum He belgriff passende Modulschiene Bild unten rechts erm glicht eine entsprechende Hebel funktion Vor dem Ziehen muss jedoch der integrierte Mikroschalter gedr ckt werden roter Knopf Dadurch wird die Karte ausgeschaltet ansonsten ist ein Ziehen der Karte durch eine mechanische Verriegelung nicht m glich Damit wird ein unbeabsichtigtes Ziehen der Karte bevor sie abgeschaltet ist verhindert Durch die mechanische Kopplung von schwarzem Kipphebel und Mikroschalter wird kurz bevor die DSP Bus Steckverbindung unterbrochen wird die Karte ausgeschaltet Die Beein flussung der Signale auf dem Bus w hrend des Zie
21. 5 103 1 2 3 4 gt 1 5 10 bis lt 1 5 10 gt 1 5 10 bis lt 1 5 10 Tabelle 10 15 PES Ausfallwahrscheinlichkeiten und SIL Einstufung Enstprechend der IEC 61508 Tabelle zur Sicherheitsintegrit t der Hardware Typ B Teilsys teme ergibt sich f r das GA DUPLEX S System Fehlertoleranz der Hardware HFT 0 1 2 nicht erlaubt SIL 1 SIL 2 SIL 3 lt 60 60 bis lt 90 90 90 bis lt 99 gt 99 Tabelle 11 Sicherheitsintegrit t der Hardware B Teilsysteme Die f r die Einstufung in SIL 3 nach IEC 61508 erforderlichen Grenzwerte werden unter Be r cksichtigung der 15 Aufteilung f r das PES in diesem Anwendungsbeispiel also sehr gut eingehalten bzw deutlich bertroffen GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 41 von 42 13 Index Berechnungen 39 Ausfallwahrscheinlichkeit 40 40 2 41 0 41 222 40 39 41 39 41 SPE nenne 40 41 Wiederholungspr fung 21 39 14 12 13 23 25 29 32 36 Diagnose Testintervall 20 Engineering ee 22 Hardware 22 Software 23 12 29 32 33 34 35 3
22. 6 22 37 2 2 2 14 20 GA DUPLEX S 9 12 13 19 20 34 safeEditl2 23 24 26 29 30 32 33 34 36 37 61508 7 10 41 Karten 18 7 GEBHARDT Automation GmbH 17 13 17 33 34 36 37 5 2 200 41 13 38 MEDINS 13 16 38 MCDOT S 20 22 23 24 25 38 16 17 33 34 Kommunikation 12 17 30 35 36 Lebenszykl s anu 10 25 29 33 34 35 PES System12 20 21 22 23 24 25 28 33 36 37 ee 30 33 34 35 Schl sselschalter 12 29 31 34 22 14 20 36 Sicherheitslebenszyklus 10 Sicherheitszeit 20 21 23 24 25 SIL3 gepr fte Funktionen 24 25 31 Systemreaktionszeit20 21 22 23 24 25 30 31 8 36 Visualisierungssysteml2 23 24 30 35 36 Wiederholungspr fung 21 Zeitsynchronisierung ursu en 36 ee 7 GA DUPLEX S Sicherheitshandbuch 00 00 280607
23. D ist gr n T R2 LED gelb zeigt Aktivit t an seriellen Schnittstellen COMI bzw an Transmit Receive 1 und 2 COM ist eine reine Programmierschnittstelle die LED im Betrieb immer aus COM2 kann f r serielle Modbus RTU Kommunikation benutzt sein LED aus oder blinkend ARC LED gelb zeigt Aktivit t der Arcnet Netzwerkverbindung an F r DUPLEX S Systeme wird Arcnet nicht verwendet Normalzustand ist LED aus MA LED gr n zeigt richtige Funktion der ICU Karte an Im normalen Betriebszu stand ist die Karte als Master aktiv LED gr n R U im DUPLEX S System keine Bedeutung Zustand ist egal WDG LED rot zeigt Watchdogfehler der ICU Karte an Im Normalbetrieb muss die LED aus sein 3 5 3 Elemente der FPR Karte Die mechanische Verbindung der FPR Karten im Baugruppentr ger ist identisch mit den MCxxx S Karten siehe Abbildung und Beschreibung von F hrungsschiene und Auswurfhe bel GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 17 von 42 7 GEBHARDT Automation GmbH 6 FPR oo Abbildung 9 Frontblende und Elemente der FPR Karte Von den vier auf der FPR Karte Four Ported RAM zur Verf gung stehenden Speicherbe reichen wird von den zwei Einheiten A und B im DUPLEX S System nur jeweils ein Be reich genutzt Die Bereiche C und D werden nicht verwendet Die gr nen LEDs zeigen Schreibzugriffe WR write an wenn eine Einhe
24. GmbH 10 Diagnose und Fehlerbehebung 10 1 Verf gbarkeit von Diagnosedaten Selbstteststatistik Ein autorisierter Anwender kann die Informationen der Selbstteststatistik einer jeden Karte auslesen Diese Informationen werden in den karteninternen Flashspeichern w hrend des Betriebs hinterlegt Der Zugriff erfolgt ber GA safeEdit siehe Benutzerhandbuch Logbuch von Meldungen Auf der Engineering Station werden alle Systemmeldungen Warnings Messages wie in einem Logbuch hinterlegt Die aktuellen Meldungen werden in einem Meldefenster angezeigt und die Historie wird in einer Log Datei gespeichert Zus tzlich werden alle Meldungen einer Einheit A B oder C in der jeweiligen ICU im Flashspeicher hinterlegt und k nnen jederzeit von der Engineering Station gelesen werden Zum Aufbau der Fehlernachrichten siehe Kapi tel Fehlernachrichten und deren Auswertung auf Seite 37 Visualisierungssystem ber Kommunikation stehen dem Visualisierungssystem DCS automatisch umfangreiche Diagnoseinformationen zu allen E A Signalen zur Verf gung Kabelbruch Kurzschluss Sig nal geforct bei Digitaldaten auch geforcter Zustand Zu allen E A Karten kann eine Lebensbit berwachung programmiert werden Zus tzlich stehen automatisch Systemtemperaturen und Systemspannungen der ICU Kom munikationskarten zur Verf gung Die Aufzeichnung dieser Daten erfolgt entsprechend den M glichkeiten des Visualisierungs systems 10 2Verf gbarkeit von Proz
25. H folgenderma en 201 8 4 8 1 8 Mpp urr PFH 2 1 8 4 1 8 1 2 App tor T App Asp MTTR t T Asp App Asp MTTR t F App Asp A 2 DC Der Anteil ungef hrlicher Ausf lle SFF Safe Failure Fraction berechnet sich als SFF Der Diagnosedeckungsgrad DC Diagnostic Coverage berechnet sich als DC is _ gt gt Apu den Formeln verwendete Faktoren Abk rzung Beschreibung Anteil unerkannter Ausf lle infolge gemeinsamer Ursache Anteil der Ausf lle infolge gemeinsamer Ursache die durch Diagnosetest kannt werden Ausfallrate eines Kanals in einem Teilsystem je Stunde Rate gefahrbringender Ausf lle je Stunde eines Kanals eines Teilsystems D dangerous Rate erkannter gefahrbringender Ausf lle je Stunde eines Kanals eines Teil systems DD dangerous detected Rate unerkannter gefahrbringender Ausf lle je Stunde eines Kanals eines Teilsystems DU dangerous undetected As Rate sicherer nicht gefahrbringender Ausf lle je Stunde eines Kanals eines Teilsystems S safe Intervall der Wiederholungspr fung Stunden GA DUPLEX S Sicherhe
26. UPLEX S System ist die Wahrscheinlichkeit eines gef hrlichen Hardwareausfalls Ausfall einer Sicherheitsfunktion ohne Wechsel in den sicheren Zustand aufgrund der Re dundanz und des sicherheitsgerichteten Funktionskonzepts extrem gering so dass obige For GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 20 von 42 N 7 GEBHARDT Automation GmbH derung erf llt ist Das Diagnose Testintervall ist parametrierbar Nur ein autorisierter Mitar beiter der GEBHARDT Automation GmbH darf die Einstellung des Testintervalls ndern Eine Anpassung durch den Anwender ist nicht m glich 3 6 3 Prozess Sicherheitszeit Die Prozess Sicherheitszeit ist die Zeit vom Auftreten einer Prozessst rung bis zum Eintreten eines gef hrlichen Zustands Das Sicherheitssystem muss innerhalb dieser Zeit den Prozess in den sicheren Zustand gebracht haben Dabei muss der gesamte Sicherheitskreis aus Sensor PES System und Aktor ber cksichtigt werden F r das PES System kann die Systemreaktionszeit als Berechnungsgrundlage zur Einhaltung der Prozess Sicherheitszeit angenommen werden Das Diagnose Testintervall geht normalerweise nicht direkt in die Berechnung ein 3 6 4 Wiederholungspr fung Ziel der Wiederholungspr fung Proof Test ist es das PES System nach einer bestimmten Einsatzzeit m glichst vollst ndig zu pr fen und damit wieder in den Neu Zustand zu brin gen Dabei sollen besonders die mit den normalen Diagnosen nicht aufdeckba
27. ansehe 33 8 4 WARTUNG CHECKLISTE 33 9 7 0 34 9 1 00 444 34 9 2 758 8 2 4 en en nenne nennen 34 10 DIAGNOSE UND FEHLERBEHEBUNG eseseesseoescsesssoceesseceessecsssceesseceessecsesoecsscsecssoeesseceesoecssssessseceesse 36 10 1 VERF GBARKEIT VON DIAGNOSEDATEN 00 36 10 2 VERF GBARKEIT VON 55 2 44 36 10 3 FEHLERNACHRICHTEN UND DEREN 37 11 ALLGEMEINE TECHNISCHE 38 12 SICHERHEITSTECHNISCHE ANGABEN erers0s0sssseroononnnnnsnenonnonsnnnnsnenennensnnnnnssnensonnnnnnsnensensnnnnnnee 39 12 1
28. arebeschreibungen sind Personen die mit Aufstellung Montage Inbetriebnahme und Betrieb dieser Hardware vertraut sind und ber die ihren T tigkeiten entsprechenden Qualifikationen verf gen wie z B e Ausbildung und Unterweisung bzw Berechtigung Stromkreise und Baugruppen bzw Systeme gem den aktuellen Standards der Sicherheitstechnik ein und aus zuschalten zu erden und zu kennzeichnen Einweisung in das projektspezifische Sicherheitskonzept e Erfahrung mit der Installation von GA DUPLEX S Komponenten e Schulung in der E A Signaldiagnose mit dem Programm GA safeEdit kann erfor derlich sein Ausbildung und Unterweisung gem den aktuellen Standards der Sicherheitstech nik in Pflege und Gebrauch angemessener Sicherheitsausr stungen e Schulung in Erster Hilfe 5 2 Sicherheitstechnische Randbedingungen Einschr nkungen Die Systeme d rfen nur in normaler Umgebung eingesetzt werden S urehaltige Umgebungs luft muss vermieden werden insbesondere d rfen keine 25 Anteile enthalten sein 5 3 Befestigungshinweise und Anschlussbelegung Befestigung und elektrisches Anschlie en ist entsprechend der technischen Beschreibung der jeweiligen Komponenten und des nstallationshandbuches auszuf hren Allgemein gelten die folgenden Punkte e Grunds tzlich ist auf mechanisch stabile Befestigung zu achten Komponenten m ssen spielfrei eingebaut sein und d rfen nicht wackeln oder vibrie ren Alle Schrauben m ssen ric
29. ation 14 Gesamtbetrieb wartung und reparatur 15 Gesamtmodifikation und Nachr stung 16 Ausserbetriebnahme oder Entsorgung Abbildung 2 Sicherheitslebenszyklus Dieses Dokument bezieht sich haupts chlich auf Phase 9 des gesamten Sicherheitslebenszyk lus das PES System Zu dessen Realisierung gibt der entsprechende Teil Lebenszyklus f r PES Hardware und Software jeweils weitere Details an Die Phasen 10 andere Technologien z B mechanische Not Aus Vorrichtungen und 11 ex terne Einrichtungen z B Fluchtwege Schutzw lle sind im Umfang dieses Dokuments nicht relevant GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 10 von 42 7 GEBHARDT Automation GmbH 9 1 Spezifikation der Sicherheitsanforderungen 9 1 1 Spezifikation der 912 Spezifikation der Anforderungen an die Zu Anforderungen zur Sicherheitsfunktionen Sicherheitsintegrit t Planung der Validierung der E E PES bez glich 9 3 amp der Sicherheit 9 2 95 E E PES Betriebs 8 Instandhaltungs verfahren 9 4 E E PES Integration Validierung der E E PES bez glich der Sicherheit Zu Kasten 12 im Sicherheitslebenszyklus Zu Kasten 14 im Sicherheitslebenszyklus Abbildung 3 Hardware Sicherheitslebenszyklus Die Phasen des Hardwarelebenszyklus sind bei der Planung und Auslegung des PES Systems zu ber cksichtigen Im Dokument werden zu jeder Phase T tigkeiten und Ma nah
30. de und Elemente des L fters Die LEDs an der Frontblende des L fters zeigen dessen Betriebszustand an Im Normalbe trieb muss die gr ne LED leuchten die rote alarm LED darf nicht leuchten Eine St rung des L fters z B durch mechanische Blockierung setzt die rote alarm LED auf an Nach Behebung der St rung muss durch Dr cken des reset Knopfes der Alarm quit tiert werden bevor die rote LED ausgeht Nach L sen der links nicht gezeigt und rechts im Bild sichtbar befindlichen Halteschrau ben kann der L fter im laufenden Betrieb nach vorne aus dem System herausgezogen und gewechselt werden Eine St rung des L fters hat keine direkte Auswirkung auf den Zustand des Systems Sie kann allerdings zu einer berhitzung des Gesamtsystems oder von Einzelkomponenten f h ren 3 5 6 Elemente des DFAB 1002D 0 1 channel 2 3 4 channel 5 channel 6 7 work worker worker worker worke worke worke worke s gt e v e z fa 8 2 10620 10020 19920 20 2 4 channel 0 channel 1 channel 2 channel 3 channel 4 channel 5 channel 6 channel 7 A B A B A B A B A B A B A A B diagnostic giagnosbc diagnostic NOS diagnostic 02 92706 1 Y Abbi
31. eit und Verf gbarkeit des Gesamtsys tems e Planung der auszuf hrenden Wartungsaufgaben e Planung der erforderlichen Sicherheits und Notfallma nahmen GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 32 von 42 7 GEBHARDT Automation GmbH 8 3 Komponenten Austausch Der Austausch von Systemkomponenten ist im laufenden Betrieb m glich siehe GA DUPLEX S Racks technische Beschreibung Der Austausch der programmierbaren Systemkomponenten MCxxx S Karten und ICU Karten ist im laufenden Betrieb m glich und erfolgt nach folgender Vorgehensweise Der Austausch erfordert den Einsatz des Engineering Systems mit safeEdit Das PES System wird in den Maintenance Modus geschaltet Passwortgesch tzte Verriegelungen werden mit dem entsprechenden Passwort auf gehoben Der aufgetretene Fehler wird genau analysiert und dokumentiert Die fehlerhafte Karte wird aus dem System entnommen Hardware Einstellm glichkeiten Jumper Schalter der Reservekarte werden mit der fehlerhaften Karte verglichen und in bereinstimmung gebracht Die Reservekarte wird in das System gesteckt e Die Konfiguration der Reservekarte wird kontrolliert und bei Bedarf angepasst Die korrekte Erkennung und Konfiguration der Karte wird in GA safeEdit angezeigt Bei o Die Programmierung der Karte wird kontrolliert Normalerweise muss das ak tuelle Programm auf die Karte heruntergeladen werden o Die Steckve
32. eitshandbuch wird bei Bedarf auf die entspre chenden Dokumente verwiesen Die informativen Dokumente geben nur eine Kurz bersicht ber das jeweilige Thema und sind nicht sicherheitsrelevant Auf sie wird im Sicherheitshandbuch kein Bezug genommen GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 9 von 42 MN 7 GEBHARDT Automation GmbH 2 Sicherheits Lebenszyklus Zur systematischen Herangehensweise an Planung Auslegung und Analyse der Sicherheit betrachtet die IEC 61508 den gesamten Lebenszyklus des Systems angefangen von der Pla nung ber den Vertrieb ber Wartung und Reparatur bis hin zur Ausserbetriebnahme Der Lebenszyklus ist in 16 Phasen unterteilt und definiert f r jede Phase notwendige T tigkeiten und Ma nahmen zur Erreichung der geforderten Sicherheitsintegrit t 2 Definition des gesamten Anwendungsbereichs Gefahren und 3 Risikoanalyse 4 Gesamtheit der Sicher heitsanforderungen 5 Zuordnung der Sicher heitsanforderungen Sicherheitsbezo Externe Einrichtun gene Systeme gen zur Risiko andere Technologie reduzierung Realisierung Realisierung Sicherheitsbezo E E PES 6 Planung von 7 Planung der 8 Planung der mE Gesamtbetrieb Gesamtsicher Gesamtinstal Realisierung und Gesamt heitsvalidation lation und Ge siehe E E PES wartung samtinbetrieb 1 12 Gesamtinstallation und Gesamtinbetriebnahme 13 Sicherheits Gesamtvalid
33. elevante Funktionen ver wendet werden 4 2 4 Integration der PES Hardware und Software Im Rahmen der Hardware und Softwareintegration werden PES Hardware und Software aufeinander abgestimmt Zus tzlich wird die Integration ins Gesamtsystem insbesondere bez glich der Systemdiagnose im Visualisierungssystem ber cksichtigt Bei der Integration sind die folgenden Ma nahmen zu ber cksichtigen Hardware und Softwarekonfiguration aufeinander abstimmen Slotkonfiguration Netzwerk Zugriffe auf Eingangskarten Signaldiagnosen Kabelbruch Kurzschluss f r verwendete Signale aktivieren f r Reservesignale deaktivieren Systemreaktionszeit der einzelnen Ausgangskarten MCDOT S mit kompletter Software bestimmen und mit spezifizierten Sicherheitszeiten vergleichen Reserve f r IBN Erweiterungen einplanen Speicherplatzauslastung der einzelnen Ausgangskarten MCDOT S mit Kompletter Software bestimmen Reserve f r IBN Erweiterungen einplanen Relevante Diagnoseinformationen des PES Systems sollten im Visualisierungssys tem angezeigt werden um auf Systemdegradation oder kritische Zust nde hinzu weisen und ein rechtzeitiges Eingreifen zu erm glichen 4 2 5 Validierung der Software Die Validierung der Software erfolgt mit dem Programmiersystem safeEdit und verwen det die folgenden Verfahren e Pr fung auf Syntax und Parametrierung im Programmiersystem e Simulation offline auf PC ohne spezifische PES Hardware
34. eren und in Validierungsplan auf nehmen Betriebsartenumschaltungen in Sicherheitskreisen genau analysieren Validie rungsplan aller Modi unter besonderer Ber cksichtigung des Umschaltzeitpunkts vorbereiten GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 23 von 42 7 GEBHARDT Automation GmbH Wechselwirkungen zwischen Sicherheitskreisen ein Hardware Eingang in mehre ren Kreisen verwendet Zwischenzust nde an anderer Stelle verwendet genau do kumentieren in Validierungsplan aufnehmen Intern zu berechnende Grenzwerte f r Analogsignale festlegen physikalisch und in tern normiert mit Hysterese Dokumentieren und in Validierungsplan aufnehmen Einschaltverhalten der Sicherheitskreise planen mit Validierungsplan e Signalnachf hrung f r Hardwareersatz Spare Karte im DUPLEX S System f r Funktionsbausteine mit Speicherfunktion RS Flipflop planen mit Validie rungsplan 4 2 3 SIL3 gepr fte Funktionsbl cke Die meisten von safeEdit zur Verf gung gestellten Funktionsbl cke sind f r die Ver wendung in SIL3 Sicherheitsfunktionen gepr ft Sie d rfen ohne Einschr nkungen f r die Applikationsprogrammierung verwendet werden Das GA safeEdit Benutzerhandbuch enth lt die aktuelle Liste der SIL3 gepr ften Funktionsbl cke Die nicht in der Liste aufgef hrten Funktionsbl cke sind f r den Gebrauch in Sicherheits funktionen nicht zugelassen Sie d rfen nur f r nicht sicherheitsr
35. ertebereich f r jedes Signal entsprechend Vorgaben 2 Signalfehler Verhalten 1002 f r jedes Eingangssignal in jeder Sicher heitsfunktion entsprechend Vorgabe parametriert 3 Analoge Grenzwerte entsprechend Vorgaben Normierung und Hysterese 4 Wechselwirkungen zwischen Sicherheitsfunktionen entsprechend den Vorgaben 5 Einschaltverhalten der Sicherheitsfunktionen nach Vorgabe 6 Signalnachf hrung Tracking f r Funktionsbausteine mit Speicherfunkti on implementiert 7 Nur SIL3 gepr fte Funktionsbl cke f r die Programmierung von Sicher heitsfunktionen verwendet Tabelle 3 Checkliste Software Engineering Programmierung Nr Beschreibung Check 1 Syntax und Parameterpr fung keine Fehler oder Warnungen 2 Simulation offline auf PC Verhalten nach Vorgaben 3 Online Debug auf PES System ohne Feldsignale mit Forcen im Mainte nance Modus 4 Online Debug auf PES System mit Feldsignalen und Testhardware im Running Modus Tabelle 4 Checkliste Software Engineering Validierung GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 25 von 42 7 GEBHARDT Automation GmbH 5 Montage und Installation 5 1 Personelle Qualifikationen Montage und Installation der Hardware m ssen ausschlie lich durch qualifiziertes Personal erfolgen Dieses Personal muss mit den Warnungen und Hinweisen der technischen Handb cher vertraut sein Qualifiziertes Personal im Sinne der technischen Hardw
36. essdaten Alle Prozessdaten stehen ber eine Kommunikationsschnittstelle der Visualisierungseinheit DCS HMI Workstation online zur Verf gung Die Datenaufzeichnung kann entspre chend den M glichkeiten dieses Systems erfolgen Auf dem Engineering System k nnen mit der integrierten Trend Analyse beliebige Prozess daten online als Zeitdiagramm angezeigt und analysiert werden Echtzeit Datalogging aller E A Signale auf dem intelligenten Buscontroller ICU und Zeit synchronisierung ist als Standard im Grundsystem m glich GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 36 von 42 N 7 GEBHARDT Automation GmbH 10 3Fehlernachrichten und deren Auswertung Im Engineering System GA safeEdit stehen detaillierte Diagnoseinformationen zur Verf gung Sobald ein nicht normales Systemverhalten auftritt werden entsprechende Fehlernach richten angezeigt und im Logbuch aufgezeichnet Der Aufbau einer Fehlernachricht l sst sich anhand eines typischen Beispiels verdeutlichen Fr 16 Sep 2005 15 57 52 MCU S 192 168 100 183 1 1 13 0 Card Timeout 116 unit O0 slot 6 timestamp 0xe377 time 0xe44Af Zuerst werden Datum und Uhrzeit angegeben wann die Fehlermeldung aufgetreten ist In diesem Fall trat der Fehler am Freitag den 16 Sep 2005 um 15 57 auf Danach werden der Typ der versendenden CPU die IP Adresse der ICU die die Fehlermel dung der MCU S weitergeleitet hat und die Netzwerknummer angeze
37. hens wird auf einen unkritischen Wert minimiert Mit Hilfe des Kipphebels kann die Karte auch wieder eingehebelt werden Beim Einstecken wird die Karte erst wieder eingeschaltet nachdem die Bus Steckverbinder eine saube Verbindung zum DSP Bus aufweisen Undefinierte Zust nde beim Einstecken und damit verbundene Signalverf lschungen werden dadurch vermieden bzw minimiert Je vier frontseitige gelbe LEDs f r MCU A und MCU B geben Auskunft ber den aktuellen Betriebszustand der beiden redundanten Microcontroller GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 16 von 42 7 GEBHARDT Automation GmbH F r weitere Informationen siehe technische Beschreibungen der entsprechenden Karte oder der DUPLEX S Racks 3 5 2 Elemente der ICU Karte Die mechanische Verbindung der ICU Karten im Baugruppentr ger ist identisch mit den MCxxx S Karten siehe Abbildung und Beschreibung von F hrungsschiene und Auswurfhe bel Link Act Ethernet COMI Abbildung 8 Frontblende und Elemente der ICU Karte Im unteren Bereich der Frontblende befinden sich LEDs zur Zustands und Funktionsanzeige der ICU Karte Ethernet Link Act LED gelb zeigt physikalische Verbindung und Aktivit t der E thernet Netzwerkschnittstelle an Normaler Zustand der LED ist gelb blinkend Ethernet 100 LED gr n zeigt schnelle Ethernet Verbindung mit 100 MBit an LED aus zeigt langsame 10 MBit Verbindung Normaler Zustand der LE
38. htig festgezogen sein Um eine ausreichende K hlung zu gew hrleisten m ssen die Komponenten in der richtigen Einbaulage mit gen gend Abstand zu anderen Ger ten oder Abdeckungen platziert werden Signalleitungen m ssen getrennt von elektrischen Anschlussleitungen verlegt sein Allgemein ist auf eine ordentliche Verlegung und Beschriftung von Kabeln zu ach ten Signalleitungen m ssen bei Bedarf gegen berspannungen oder berstr me ge sch tzt werden Die Versorgungsspannungen m ssen im erlaubten Bereich liegen e Die Komponenten m ssen EMV gerecht eingebaut werden Dazu ist bei Baugrup pentr gern auf richtige Erdung im Schaltschrank zu achten Fast jede Baugruppe enth lt elektrostatisch gef hrdete Bauteile Elektrostatische Entladungen durch den menschlichen K rper o a m ssen daher unbedingt vermie den werden z B durch vorheriges Ber hren von geerdeten Metallteilen metallisier GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 26 von 42 7 GEBHARDT Automation GmbH te und geerdete Geh use Wasserleitung Einbaurahmen etc Das gilt insbesondere vor dem Wechsel einer Baugruppe 5 4 Montage und Installation Checkliste Nr Beschreibung Check 1 Optische Pr fung keine Besch digungen Ger te sauber eingebaut Kabel ordentlich verlegt Beschriftungen von Komponenten vorhanden und rich tig 2 Mechanische Pr fung Schrauben angezogen Ger te fest montiert kein
39. igt MCU S bedeutet dass die Nachricht von einer Sicherheitskarte verschickt worden ist In diesem Fall erfolgte die Fehlermeldung ber die ICU mit der IP Adresse 192 168 100 183 Im Beispiel kommt die Meldung ber das Netzwerk 1 In DUPLEX S Systemen k nnen die einzelnen Units in un terschiedlichen Netzwerken liegen Danach folgt die Position der MCU S im System Die Position wird in der Reihenfolge Unit 0 Unit A 1 Unit B 2 Unit C nur in GA TMR S Slot 1 16 und MCU 0 MCU A 1 MCU B angezeigt F r das Beispiel gilt 1 13 0 bedeutet entsprechend der Beschreibung Unit B Slot 13 MCU A Abschlie end folgt ein erl uternder Text zur Fehlermeldung in diesem Fall Card Timeout 10 116 Im Text ist die Fehlernummer 116 angegeben Anhand der Fehlernummer und der Fehlermeldung kann man in der technischen Beschreibung der Sicherheitskarte eine n here Beschreibung der Fehlerursache sehen und erfahren wie man den Fehler beheben kann Die Fehlernummer 116 f hrt in dem Fall zu den Erl uterungen zum Card Timeout Als zus tzliche Hilfe zur Fehleranalyse wird in der Fehlermeldung der Zeitpunkt an dem das letzte Prozessdatenpaket der vom Card Timeout betroffenen Karte eingetroffen ist und der aktuelle Zeitstempel angegeben GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 37 von 42 7 GEBHARDT Automation GmbH 11 Allgemeine Technische Daten Elektrische Parameter Einspeisung nominale Be
40. ionskontrolle aller Sicherheitsfunktionen im Stillstand der Maschine Anlage Funktionskontrolle aller Sicherheitsfunktionen bei laufender Maschine Anlage Datensicherung und Dokumentation aller durchgef hrten nderungen Am Ende der Inbetriebnahme ist der sichere Normalbetrieb der Anlage herzustellen und zu berpr fen Betriebsart Running eingestellt keine Signale geforct alle Zugriffe ber Passw rter eingeschr nkt 7 3 Software Programm nderungen 7 3 1 Programm nderungen und Erweiterungen Vor nderungen am Programm muss eine Einflussanalyse erfolgen Alte Version ausdrucken evtl Datensicherung durchf hren Programm nderungen planen neue Version erstellen mit GA safeEdit Neue Version sichern und ausdrucken Querverbindungen der ge nderten Funktionsbausteine kontrollieren im Grafikedi tor Betroffene Sicherheitsfunktionen einschlie lich Querverbindungen analysieren hat die neue Version nur die gew nschte Auswirkung und auch bei den Querver bindungen keine Nebenwirkungen Bei Verbindung zu Betriebsartenumschaltungen den Umschaltzeitpunkt genau kon trollieren Neue Version testen mit Simulation und auf Zielhardware im Maschinenstillstand Systemreaktionszeit mit neuer Version kontrollieren Nach Abschluss der nderungen die neue Version dokumentieren und Datensiche rung anlegen 7 3 2 Parametrierung ndern Vor nderungen an Programmparametern muss eine Einflussanalyse erfolgen Datensicherung d
41. ist Ein erkannter Fehler auf den Ausgangskarten f hrt ausgangsseitig unverz glich zum Ab schalten de energize to trip der jeweiligen Einheit oder des jeweiligen Kanals Es erfolgt somit eine Degradierung 1002D auf 1001 Der 1002D Voter erlaubt es dass mit den Ausg ngen der zweiten noch intakten Einheit bis zur Reparatur des defekten Moduls weiter gearbeitet werden kann Die Reparatur kann in der Regel w hrend des Betriebs unter Span nung durch erfahrenes Personal innerhalb kurzer Zeit erfolgen siehe auch MTTR Seite 39 Sollte vor Ablauf einer eingestellten Zeit siehe technische Beschreibung MCDOT S das defekte Modul nicht getauscht worden sein erfolgt auch eine Abschaltung der noch intakten loolD Einheit und somit wird der Feldkontakt ge ffnet Die tolerierbare maximale L nge der einstellbaren Ablaufzeit richtet sich nach den Anforderungen der realisierten Schutzfunk tionen und insbesondere nach der geforderten SIL Stufe des gesamten Systems Werden unterschiedliche Ergebnisse je Einheit berechnet ohne dass eine Einheit einen Fehler erkannt hat werden alle Ausg nge der beteiligten MCDOT S Karten deaktiviert und die rele vanten Feldkontakte ge ffnet GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 15 von 42 N 7 GEBHARDT Automation GmbH Funktion und Bedeutung von Bedien und Anzeigeelementen 3 5 1 Elemente der MCxxx S Karten Alle haben identische Bedien und Anzeigeelemente
42. it Daten in ihren FPR Bereich schreibt Jede Einheit kann nur auf ihren eigenen Bereich A oder B schreiben Normaler Zustand ist ein schnelles Flackern der gr nen LEDs Die gelben LEDs zeigen Lesezugriffe auf den jeweiligen Speicherbereich an Jede Einheit kann Daten aus allen Bereichen lesen Normaler Zustand ist ein schnelles Flackern der gelben LEDs 3 5 4 Elemente der DSPVCU Karte ve Abbildung 10 Frontblende und Elemente der DSPVCU Karte Die zwei DSPVCU Spannungs berwachungskarten kontrollieren die Sekund rspannungen jeweils eines der beiden redundanten Netzteile Sie erzeugen bei Uber oder Unterspannung GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 18 von 42 N 7 GEBHARDT Automation GmbH ein externes Fehlersignal Die Karte hat einen einfachen Auswurfhebel ohne mechanische Verriegelung Potentialausgleich und elektrische Abschaltung Die Karte ist nicht mit dem Datenbus des Systems verbunden Die frontseitigen roten LEDs zeigen Fehler in der Spannungs berwachung der einzelnen Be triebsspannungen des DUPLEX S Systems an Lower Limit f r Unterschreitung Up per Limit f r berschreitung der Spannung Im Normalbetrieb m ssen alle roten LEDs aus sein Die gr ne LED Power Good ist die Sammelmeldung wenn alle Spannungen korrekt sind Im Normalbetrieb muss diese LED gr n leuchten 3 5 5 Elemente des L fters reset amp alarm Abbildung 11 Frontblen
43. itshandbuch 00 00 280607 doc Seite 39 von 42 Mn 7 GEBHARDT Automation GmbH MTTR Mittlere Zeit zur Wiederherstellung Mean Time To Repair in Stunden DC Diagnosedeckungsgrad SFF Anteil ungef hrlicher Ausf lle Safe Failure Fration Mittlere Wahrscheinlichkeit eines Ausfalls bei Anforderung einer Gruppe von Kan len mit Ausgangsvergleicher oder Mehrheitsentscheider PFD Probabili ty of Failure on Demand Ausfallwahrscheinlichkeit je Stunde f r eine Gruppe von Kan len mit Aus gangsvergleicher oder Mehrheitsentscheider PFH Probability of Failure per Hour mittlere quivalenzunklarzeit in Stunden gemeinsame Unklarzeit f r alle Komponenten in einem Kanal des Teilsystems mittlere quivalenzunklarzeit in Stunden f r eine Gruppe mit Ausgangs vergleicher oder Mehrheitsentscheider gemeinsame Unklarzeit f r alle Kan le in einer Gruppe mit Ausgangsvergleicher oder Mehrheitsentscheider 12 2Beispielrechnung Als konkretes Berechnungsbeispiel wird ein redundantes System mit analoger Eingangskarte MCAD S digitaler Eingangskarte MCDIN S digitaler Ausgangskarte MCDOT S und einem Ausgangs Voter DFAB 1002D angenommen MCDOT S Ag p App Apu Ausfall mit gemeinsamer Diagnosen Diagnosen Ursache MCDOT S Bo App Abbildung 15 Zuverl ssigkeits Blockdiagramm f r 1 aus 2D Bei dieser Konfiguration hat man ein l ou
44. kritischer Zustand im Feld schnell erkannt wird Testintervalle f r feldseitige Selbsttests Die Durchf hrung und Testintervalle von feldseitigen Selbsttests auf den Ein und Aus gangskarten sind nach der Projektierung des Systems nur durch den Hersteller GEBHARDT Automation GmbH konfigurierbar Diese Einstellungen sind passwortgesch tzt siehe techni sche Beschreibung der Sicherheitskarten Ohne ausdr cklichen Kundenwunsch werden die Standardwerte eingestellt GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 14 von 42 N 7 GEBHARDT Automation GmbH Diagnose der MCAD S Die Schwellwerte f r Fehlerzust nde der analogen Strom und Frequenzeing nge sind konfi gurierbar Bei jeder Prozesswertmessung wird die ber bzw Unterschreitung von sicher heitsrelevanten Schwellen gepr ft siehe GA technische Beschreibung MCAD S 3 5 Fehlerreaktion W hrend des Betriebs auftretende und erkannte Fehler werden frontseitig ber 2x 4 LEDs signalisiert In den entsprechenden technischen Beschreibungen zu den Karten wird die Be deutung der Signalisierungs LEDs erl utert Ein erkannter Fehler auf den Eingangskarten f hrt dazu dass der Status der relevanten Daten auf fault gesetzt wird Erst nach erfolgter Reparatur und Quittierung wird der Status wieder auf okay gesetzt Das optional einstellbare Software Voting der betroffenen Eingangsdaten degradiert 1002 1001 solange bis der Fehler behoben
45. ldung 12 DFAB 1002D Feldanschlussmodul GA DUPLEX S Sicherheitshandbuch Rev00 00 280607 doc Seite 19 von 42 7 GEBHARDT Automation GmbH Das Feldanschlussmodul DFAB 1002D benutzt keine direkten Anzeigeelemente Im Bereich links oben sieht man zwei Sicherungsautomaten Die Bet tigungsstifte dieser Automaten m ssen im eingedr ckten Zustand sein An den Relais kann man den An Aus Zustand der einzelnen Digitalausg nge der redundanten Einheiten A und erkennen Es wird unterschieden zwischen Arbeits Relais worker und Diagnose Relais Die Diagnose Relais folgen im Normalfall ihren gegen ber liegenden Arbeits Relais Sie dienen im Fehlerfall dazu die betroffene Einheit zu entkoppeln Im Normalfall haben die zusammengeh rigen Relais beider Einheiten jeweils die identische Position W hrend des Selbsttests des DFAB Moduls Walking Change wird kurzfristig im mer die testende Einheit entkoppelt w hrend ein Relais auf die entgegengesetzte Position gesetzt wird Auf diesem externen DFAB ist mit Hilfe von zwangsgef hrten Sicherheitsrelais die nach dem Ruhestromprinzip arbeiten eine l aus 2D Mehrheitsauswahl mit Diagnose realisiert Weitere Details siehe GA DFAB 1002D technische Beschreibung 3 6 Sicherheitsrelevante Zeiten 3 6 1 Systemreaktionszeit Die Systemreaktionszeit ist die Zeit zwischen Auftreten einer externen Anforderung und der Antwort des PES Systems Sie enth lt die Zeiten zwischen A
46. men defi niert 9 1 Spezifikation der Software Sicherheitsanforderungen 9 1 1 Spezifikation der 9 1 2 Spezifikation der Anforderungen an die Anforderungen zur Sicherheitsfunktionen Sicherheitsintegrit t Planung der Validierung der Software bez glich 9 3 Somar ung der Sicherheit 94 PE Integration Hardware Software 912 Validierung der Software bez glich der Sicherheit Zu Kasten 12 im Sicherheitslebenszyklus Abbildung 4 Software Sicherheitslebenszyklus 9 2 95 Software Betriebs amp Modifikationsverfahren Zu Kasten 14 im Sicherheitslebenszyklus Die Phasen des Softwarelebenszyklus sind bei der Planung und Auslegung der Software f r das PES Systems zu ber cksichtigen Im Dokument werden zu jeder Phase T tigkeiten und Ma nahmen definiert GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 11 von 42 7 GEBHARDT Automation GmbH 3 Produktbeschreibung 3 1 Gesamtsystem Dcs Enginsenng Dcs Netzwerk 1 Netzwerk 1 Netzwerk 2 GA PES GA PES GA PES GA PES fest fest yo verdrahtet verdrahtet Abbildung 5 Beispiele f r Systeme und Vernetzung Ein GA DUPLEX S System besteht im Regelfall aus mindestens einem PES System einem Engineering System und einem Visualisierungssystem Leitsystem DCS Dabei bernimmt das PES System v llig selbstst ndig die eigentliche Sicherheitsfunktion Im Normalbetrieb kann das PES
47. mponenten F r die Verwendung in den GA DUPLEX S Systemen sind nur die in der Versionsliste der gepr ften und zugelassen Komponenten aufgef hrten Hardwarekomponenten zugelassen Siehe Revision Release List 3 4 Fehleraufdeckung Zur Erreichung eines m glichst hohen Fehleraufdeckungsgrades sind zahlreiche Selbsttests so genannte BITs build in tests auf den Sicherheitskarten implementiert Dazu geh ren die einmalig nach dem Einschalten der Karten durchlaufenden Power On Tests sowie zahlreiche zyklisch aufgerufenen BITs und die dynamischen BITs Die zyklischen BITs werden in fes ten Zeitabst nden wiederholend durchgef hrt und die dynamischen sind abh ngig von z B dem Empfangen von Datenpaketen anderer Teilnehmer im System Die BITs testen den Mic rocontroller die Erfassung von Feldsignalen die internen und externen Speicher die Sicher heitsanwendung und die Kommunikation zwischen den Modulen siehe GA safeEdit Benut zerhandbuch GA technische Beschreibung 5 Sicherheitsrelevante Einstellungsm glichkeiten zur Fehleraufdeckung Aktivierung Deaktivierung von Eing ngen F r ungenutzte Eing nge kann die Diagnose deaktiviert bzw unterdr ckt werden Deaktivier te Eing nge werden in den FailSafe Zustand low f r digitale Eing nge 0 0 mA f r analo ge Eing nge versetzt siehe GA technische Beschreibung 5 Die Messergebnisse der aktiven Eing nge werden auf Fehlerzust nde hin gepr ft so dass ein
48. n Kupfer Glasfaser Switches Router Redundanz Adressierung Tabelle 1 Checkliste Hardware Engineering 4 2 Software Engineering 4 2 1 Spezifikation der Sicherheitsanforderungen Die Liste der Sicherheitsanforderungen nach Kapitel Spezifikation der Sicherheitsanforde rungen auf Seite 22 wird erweitert um Informationen zu den E A Signalen Zu jedem Digital signal wird der ffner Schlie er NO NC Zustand definiert zu Analogsignalen der physika lische Wertebereich F r jede Sicherheitsfunktion wird die erforderliche Sicherheitszeit spezifiziert F r jede Sicherheitsfunktion wird die konkrete Funktionsweise spezifiziert 4 2 2 Software Entwurf und Validierungsplanung Die im Hardware Entwurf geplante Aufteilung der Sicherheitsfunktionen auf die PES Hardware wird entsprechend der Software Spezifikation in Sicherheitsapplikationen umge setzt F r jede Sicherheitsfunktion wird dabei der interne Sicherheitskreis von Eingangssignal ber Applikation bis zum Ausgangssignal betrachtet Als Programmiersystem wird GA safeEdit verwendet Informationen zur Handhabung gibt das Dokument GA safeEdit Benutzerhandbuch Bei der Umsetzung sind die folgenden Ma nahmen zu ber cksichtigen e Programmierung der einzelnen Sicherheitskreise auf den in der Hardwareauslegung geplanten MCDOT S Ausgangskarten Fehlerverhalten bei Signalfehler f r jedes Eingangssignal in jedem Sicherheitskreis definieren 1002 Available Error Dokumenti
49. nd Test der neuen Softwareversion Systemreaktionszeiten kontrollieren Dokumentation der erfolgreichen nderungen INIAM A Datensicherung Tabelle 8 Checkliste Inbetriebnahme Programm nderung GA DUPLEX S Sicherheitshandbuch Rev00 00 280607 doc Seite 31 von 42 7 GEBHARDT Automation GmbH 8 Wartung 8 1 Personelle Qualifikationen Wartungsarbeiten m ssen ausschlie lich durch qualifiziertes Personal erfolgen Dieses Per sonal muss mit den Warnungen und Hinweisen der technischen Handb cher vertraut sein Qualifiziertes Personal im Sinne der technischen Hardwarebeschreibungen sind Personen die mit Aufstellung Montage Inbetriebnahme und Betrieb dieser Hardware vertraut sind und ber die ihren T tigkeiten entsprechenden Qualifikationen verf gen wie z B Ausbildung und Unterweisung bzw Berechtigung Stromkreise und Baugruppen bzw Systeme gem den aktuellen Standards der Sicherheitstechnik ein und aus zuschalten zu erden und zu kennzeichnen e Ausbildung und Unterweisung in der Verwendung der Software safeEdit zur Diagnose und Wartung Einweisung in das projektspezifische Sicherheitskonzept e Ausbildung und Unterweisung gem den aktuellen Standards der Sicherheitstech nik in Pflege und Gebrauch angemessener Sicherheitsausr stungen e Schulung in Erster Hilfe 8 2 Vorgehensweise Die Wartungsaufgaben teilen sich auf in regul re Aufgaben und au erplanm ige Aufgaben
50. nde kontrolliert werden Eventuell ist ein Abgleich der Zust nde durch Forcen von Signalen erforderlich W hrend des gesamten Zeitraums sind angemessene externe Sicherungsma nahmen zu ber cksichtigen siehe auch Kapitel Forcen von E A Signalen auf Seite 28 Da Sicherheitsfunktionen w hrend des Zeitraums betroffen sind m ssen entspre chende Notfallma nahmen vorbereitet werden Inbetriebnahme Checklisten Z Beschreibung Check Projektabh ngiges Sicherheitskonzept eindeutig verstanden erforderliche Schl sselschalter vorhanden Passw rter bekannt System Hardwarekonfiguration korrekt Kommunikationstest mit allen Systemen erfolgreich Loop check f r E A Signale Wertebereiche und Signal Diagnosen Sicherungs und Notfallma nahmen entsprechend vornehmen Sicherheitsfunktionen testen im Stillstand dann bei laufender Maschine Bei Bedarf nderungen vornehmen siehe Checkliste Programm nderung Systemreaktionszeiten kontrollieren SI 9015 Sicheren Betriebszustand herstellen Datensicherung Tabelle 7 Checkliste Inbetriebnahme Nr Beschreibung Check Datensicherung Programm nderung im Stillstand oder Online nderungsplanung mit Einflussanalyse entsprechend vornehmen dabei die Liste der SIL3 gepr ften Funktionsbl cke ber cksichtigen Sicherungs und Notfallma nahmen entsprechend vornehmen Implementierung u
51. ngineering und Visualisierung zu jeder der redundant arbeitenden DUPLEX Einzelkomponenten unab h ngig durchgef hrt So ist selbst im Fall einer Netzwerkst rung immer noch die volle Kommunikation zu den nicht gest rten Komponenten vorhanden Engineering und DCS System m ssen dazu redundante Netzwerkkarten verwenden GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 12 von 42 7 GEBHARDT Automation GmbH Die rechte Seite zeigt ein einfaches nicht redundantes Netzwerk Die redundanten PES Komponenten verwenden zur Kommunikation alle dasselbe Netzwerk Bei einer Netzwerk st rung ist die gesamte Kommunikation betroffen Die Netzwerkkommunikation l uft r ckwirkungsfrei zu den eigentlichen Sicherheitsfunktio nen des Systems Das Netzwerk nach Abbildung 5 kann um weitere Systeme aller Typen PES DCS Enginee ring erweitert werden Im selben Netzwerk k nnen auch normale nicht sicherheitsgerichtete Steuerungssysteme verwendet werden 3 2 Prinzipielle Arbeitsweise Eingangskarten Ausgangskarten MCAD S oder MCDIN S MCDOT S Einheit A MCU A Daten Status MCU A Arbeitsausg nge Digitaleing nge 2 9 redundante Analogeing nge 3 Verarbeitung Status N Sensoren 8 MCU B Daten Status MCU B Diagnoseausg nge Digitaleing nge redundante 97 Verarbeitun Status 2 geingang 25 2 10020 10020 5 Einheit ES MCU A 5 MCU A Arbeitsausg nge 00
52. on de Support support gebhardt automation de Informationen info gebhardt automation de GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 6 von 42 7 GEBHARDT Automation GmbH Dieses Dokument beschreibt die folgenden Systeme GA DUPLEX 7 S e GA DUPLEX SMART S jeweils ab Hardware Revision 00 Datum 0 Die sicherheitsgerichteten Regelungs und Schutzsysteme der GEBHARDT Automation GmbH sind vom T V entsprechend IEC 61508 f r SIL 3 zertifiziert sowie konform zur T V Rheinland Group TUV Industrie Service GmbH Automation Software und Informationstechnologie Am Grauen Stein D 51105 K ln Functional Safety T V Rheinland Group Type Approved Zertifikat und Pr fbericht Nr Programmierbare elektronische Sicherheitssysteme GA DUPLEX 7 S und GA DUPLEX SMART S GEBHARDT Automation GmbH ist berechtigt das oben gezeigte Pr fzeichen f r die Funk tionale Sicherheit im Zusammenhang mit den SIL3 zertifizierten Systemen zu verwenden Die Systeme sind entsprechend der folgenden Standards und Normen entwickelt und wurden bez glich der wesentlichen relevanten Sicherheitsanforderungen gepr ft 61508 Part 1 7 1998 1999 Functional safety of programmable electronic systems DINEN 954 1 03 97 Sicherheit von Maschinen Sicherheitsbezogene Teile von Steuerungen Teil 1 Allgemeine Gestaltungsleits tze e EN ISO 13849 1 2006 Sicherheit von Maschinen Sicherheitsbezogene Teile von S
53. r Sicherheitsanwendung stets zu akti vieren Wird ein Fehler des Eingangssignals oder Eingangskanals erkannt so wird auf ein 1001 Voting degradiert GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 13 von 42 7 GEBHARDT Automation GmbH Mittels Voting k nnen auch Abweichungen der redundanten Feldsignale untereinander ana lysiert werden Die zul ssige Abweichung ist dabei in der Sicherheitsanwendung paramet rierbar Ist sie zu hoch wird der Status des betroffenen Kanals auf fault gesetzt siehe GA safeEdit Benutzerhandbuch AIN Block Voting von digitalen Ausgangsdaten Die Ergebnisse der redundanten Verarbeitung von MCU A und MCU B auf den Ausgangs karten werden kartenintern per Software als l aus 2 Auswahl verkn pft Diese Ergebnisse werden anschlie end zwischen den Einheiten A und B ausgetauscht Systemintern wird ber diese ausgetauschten Signale ein l aus 2D Voting in Software durchgef hrt bevor die Be rechnungsergebnisse auf den DFAB 1002D Ausgangsvoter gelangen siehe Kapitel 3 5 6 Am Ausgang des Voters steht das eigentliche Feldsignal zur Verf gung Die Zust nde der Signalausg nge und der Relais des DFAB 1002D Ausgangsvoters werden als Statusinformationen analog zur ckgelesen und erlauben die Fehlerdiagnose Zum siche ren Abschalten kann die MCDOT S Ausgangskarte zus tzlich im Fehlerfall ber einen zwei ten getrennten Abschaltweg immer den sicheren Zustand herstellen 3 3 Hardware Ko
54. rbinder mit Feldsignalen werden aufgesteckt und verschraubt o Der ordnungsgem e Stand der Ein Ausg nge und interner Speicherzust nde wird mit den redundanten Karten der anderen DUPLEX Einheiten kontrolliert Das System wird mit der neuen Karte getestet e Das System wird in den Running Modus zur ckgesetzt Weitere Details zum Austausch von Karten k nnen der entsprechenden technischen Be schreibung der Karten entnommen werden Weitere Hinweise zu Konfiguration und Pro grammierung stehen im GA safeEdit Benutzerhandbuch 8 4 Wartung Checkliste Die Kontrolle der regul ren Wartung einschlie lich Wiederholungspr fung Proof Test erfolgt anhand der projektspezifischen Wartungsvorgaben Nr Beschreibung Check 1 Eindeutige Fehleridentifizierung Stimmen Diagnosemeldungen aus Visu alisierung Engineering System und LED Zust nden der Karte miteinan der berein Ist die Vorgehensweise zum Kartenaustausch eindeutig verstanden Sind die notwendigen Sicherheits und Notfallma nahmen vorbereitet Ist die neue Karte im System richtig Konfiguriert und erkannt Ist die neue Karte richtig programmiert Stimmen interne und externe Signale den Karten der redundanten Sys teme berein SI Funktionieren die E A Signale richtig 8 Ist das System nach Beendigung der Wartungsarbeiten wieder im sicheren Zustand Tabelle 9 Checkliste Wartung Kartenaustausch
55. rden unter Beachtung der einschl gigen Sicherheitsnormen entwickelt gefertigt und gepr ft Sie d rfen nur f r die in den Beschreibungen vorgesehenen Einsatzf lle mit den spezifizierten Umgebungsbedingungen und nur in Verbindung mit zuge lassenen Fremdger ten verwendet werden nderungen an den Systemen sind verboten F r Reparatur und Wartung sind nur die speziell f r diese Systeme zugelassenen Ersatzteile erlaubt Die Software der GA DUPLEX S Systeme darf nicht kopiert werden au er als Sicherheits kopie Sie sind nicht berechtigt die Software zur ckzuentwickeln reverse engineering zu dekom pilieren oder zu disassemblieren Die in diesem Handbuch genannten Produkte der GEBHARDT Automation GmbH sind teil weise als Warenzeichen gesch tzt Dies gilt gegebenenfalls auch f r andere genannte Hersteller und deren Produkte Die vollst ndige oder auszugsweise Wiedergabe dieses Dokuments ist ohne schriftliche Er laubnis von GEBHARDT Automation GmbH nicht gestattet Alle Rechte und technische nderungen vorbehalten GA DUPLEX S Sicherheitshandbuch Rev00 00 280607 doc Seite 8 von 42 7 GEBHARDT Automation GmbH 1 4 Dokumenten bersicht bergeordnet Benutzer handbuch 2 Hardware Informativ Abbildung 1 Dokumenten bersicht Die Abbildung gibt einen berblick ber die relevanten Dokumente zu den GA DUPLEX S Sicherheitssystemen Im vorliegenden Sicherh
56. ren Ausf lle erkannt werden Als Minimum m ssen alle vom PES System ausgef hrten Sicherheitsfunktionen gem der Spezifikation gepr ft werden Die Wiederholungspr fung soll in Intervallen von nicht mehr als 10 Jahren ausgef hrt wer den Durch Verk rzung der Proof Test Intervalle kann die Versagenswahrscheinlichkeit des Sys tems verringert werden Standardm ig werden 10 oder 3 Jahre angenommen GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 21 von 42 7 GEBHARDT Automation GmbH 4 Engineering des PES Systems Auslegung Programmentwicklung und Realisierung des Sicherheitssystems erfolgen im Rahmen des Sicherheitslebenszyklus in Kasten 9 Sicherheitsbezogene Systeme E E PES siehe Abbildung 2 Sicherheitslebenszyklus auf Seite 10 Abbildung 3 Hardware Sicherheitslebenszyklus und Abbildung 4 Software Sicherheits lebenszyklus geben detaillierte Vorgaben zu verschiedenen Phasen des Engineerings sowie zu erforderlichen Ma nahmen und T tigkeiten 4 1 Hardware Engineering 4 1 1 Spezifikation der Sicherheitsanforderungen Projektabh ngig wird eine Liste aller Sicherheitsanforderungen erstellt Darin werden alle Anforderungen an Sicherheitsfunktionen und Sicherheitsintegrit t konkretisiert Diese Liste dient als Grundlage f r Hardware und Softwareentwurf des PES Systems 4 1 2 Hardware Entwurf und Validierungsplanung Im Hardware Entwurf wird die zur Erf llung der Sicherheitsanforderungen erforde
57. rliche PES Hardware geplant Festgelegt wird die Anzahl und Art der PES Systeme sowie die je weils verwendeten E A Karten in diesen Systemen Parallel zum Hardwareentwurf erfolgt direkt die Validierungsplanung Dazu sind die folgenden Ma nahmen erforderlich Zu jeder Sicherheitsfunktion wird der PES interne Sicherheitskreis von Eing ngen bis zu Ausg ngen festgelegt Alle Ausgangssignale eines Sicherheitskreises sollten sich auf einer MCDOT S Karte befinden nicht aufgeteilt auf mehrere Karten Alle Eingangssignale m ssen im selben DUPLEX S System erfasst werden Auf den Eingangskarten kann eine Signalvorverarbeitung stattfinden Im Einzelfall k nnen Signale festverdrahtet zwischen mehreren PES Systemen aus getauscht werden dies ist aber nach M glichkeit zu vermeiden Diese Signale m s sen in der Validierungsplanung ber cksichtigt und gezielt auf ihre Systemreaktions zeit untersucht werden Auf jeder MCDOT S Karte d rfen mehrere Sicherheitskreise geplant werden Nor malerweise ist eine etwa gleichm ige Aufteilung sinnvoll um hnliche Systemre aktionszeiten auf den einzelnen Karten zu erhalten Wechselwirkungen durch gemeinsame Eingangssignale in verschiedenen Sicher heitsfunktionen m ssen genau eingeplant und dokumentiert werden Die Verteilung der E A Signale auf PES Systeme und deren E A Karten muss do kumentiert und in die Validierungsplanung aufgenommen werden Die Verteilung der Sicherheitsfunktionen auf
58. t of 2D System mit 2x 24 digitalen und 2x 24 ana logen Eingangssignalen die f r Sicherheitsfunktionen miteinander verkn pft werden K nnen Mit den berechneten Zust nden k nnen maximal 8 digitale Ausgangssignale angesteuert werden GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 40 von 42 N 7 GEBHARDT Automation GmbH F r dieses System ergeben sich die folgenden Werte 8 7600 10 1 8 7600 10 10 MTTR 8 0 MTTR 8 0 2 0000 107 2 0000 10 Bp 1 0000 107 Bp 1 0000 107 8 9106 10 8 9106 10 1 2444 10 Ap 1 2444 10 App 1 2343 10 App 1 2343 10 1 0095 103 Apy 1 0095 10 for 8 9601 tor 1 7601 10 8 6401 tog 15 4401 107 9 8469 107 PFD 8 9436 10 PFH 1 2553 10 1 2561 10 SFF 99 9888 99 19 SFF 99 9888 DC 99 19 Bei einer erfahrungsgem realistischen Aufteilung der Ausfallwahrscheinlichkeiten von 15 f r das PES System 35 f r Sensor Transmitter und 50 f r Aktor ergibt sich enstprechend der IEC 61508 Tabelle zur Ausfallwahrscheinlichkeit die Einstufung f r das GA DUPLEX S System inklusive Sensoren und Aktoren SIL 15 PFD gt 1 5 10 bis lt 1 5 10 gt 1 5 10 bis lt 1 5 10 gt 1 5 10 bis lt 1 5 10 gt 1 5 10 bis lt 1 5 10 gt 1 5 10 bis lt 1 5 103 gt 1 5 10 bis lt 1
59. teuerungen Teil 1 Allgemeine Gestaltungsleits tze DIN EN 60204 Teil 1 11 98 Sicherheit von Maschinen Elektrische Ausr stung von Maschinen Teil 1 Allgemeine Anforderungen DIN EN 50178 1998 Ausr stung von Starkstromanlagen mit elektronischen Betriebsmitteln 61131 2 2003 Programmable controllers Part 2 Equipment requirements and tests GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 7 von 42 N 7 GEBHARDT Automation GmbH 1 3 Allgemeine Hinweise Alle technischen Angaben und Hinweise in diesem Handbuch wurden mit gr ter Sorgfalt erarbeitet und kontrolliert Trotzdem sind Fehler nicht ganz auszuschlie en GEBHARDT Automation GmbH weist darauf hin dass weder eine Garantie noch eine juristische Verant wortung oder irgend eine Haftung f r Folgen die auf fehlerhafte Angaben zur ckgehen ber nommen werden kann F r gefahrlose Installation Inbetriebnahme Betrieb und Instandhaltung der GA DUPLEX S Sicherheitssysteme ist die technisch einwandfreie Umsetzung der in diesem Handbuch ent haltenen Sicherheitshinweise durch qualifiziertes Personal Voraussetzung Nicht qualifizierte Eingriffe in die Systeme wie z B Nichtbeachten von Sicherheitshinwei sen dieses Handbuchs k nnen die Ausf hrung von Sicherheitsfunktionen beeintr chtigen und evtl zu schweren Sach Umwelt oder Personensch den f hren f r die GEBHARDT Automation GmbH keine Haftung bernehmen kann Die GA DUPLEX S Systeme we
60. triebsspannung maximale Betriebsspannung Max Power DUPLEX 7 S Max Power DUPLEX SMART S Digitale Eing nge MCDIN S Eingangsstrom High level Strom Low level Strom Analoge Eing nge MCAD S Eingangsstrombereich Frequenzeing nge Digitale Ausg nge MCDOT S DFAB Ausgangsspannung Ausgangsstrom pro Kanal max 100 240 50 60 Hz 85 264 47 63 Hz 450 W 300 W nach Namur gt 2 1 lt 1 2 mA 0 25 100Hz 15 2 24 VDC 230VAC 0 6A Umweltanforderungen aller elektrischen Komponenten Umgebungstemperatur Lagerung Umgebungstemperatur Betrieb Luftfeuchtigkeit Schutzklasse nach IEC525 Einsatzh he Verschmutzungsgrad Schutzklasse f r Netzanschluss Schutzklasse f r Feldanschl sse Mechanische Daten Baugruppentr ger DUPLEX 7 S 10HE 84 TE DUPLEX SMART S 4HE 84 TE 25 C 70 0 C 55 C 10 90 nicht kondensierend IP 20 bis 2000m 2 Schutzklasse mit Schutzleiter Schutzklasse Ill 482 6 324 x 391 BxHxT 482 6 191 391 BxHxT Weitere technische Daten und Informationen sind den jeweiligen technischen Beschreibun gen zu entnehmen GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 38 von 42 7 GEBHARDT Automation GmbH 12 Sicherheitstechnische Angaben 12 1 Berechnungsgrundlage In Systemen mit l aus 2D Auswahl berechnen sich die Versagenswahrscheinlichkeiten PFD und PF
61. uftreten und Erkennen der An forderung interner Verarbeitung mit Setzen des Hardwareausgangs und Reaktionszeit der Relais am DFAB Ausgangs Voter Die Zeit f r die interne Verarbeitung der Signale die Programmzykluszeit ist abh ngig von der Komplexit t der gesamten Steuerungsfunktionen die auf einer MCDOT S Ausgangskarte verarbeitet werden F r Details zur Programmzykluszeit siehe das GA safeEdit Benutzer handbuch Im Normalfall ist die maximale Systemreaktionszeit die zweifache Programmzykluszeit plus 15 ms als Antwortzeit der DFAB Relais Ausnahmen von normaler Systemreaktionszeit k nnen auftreten bei Verteilung einer Sicherheitsfunktion auf mehrere MCDOT S Karten e hardwired Kommunikation zwischen verschiedenen Systemen 3 6 2 Diagnose Testintervall Im PES System werden neben den eigentlichen Sicherheitsfunktionen st ndig Diagnosefunk tionen ausgef hrt um fehlerhaftes Verhalten aufzudecken Das Diagnose Testintervall ist der Zeitraum in dem diese Tests durchgef hrt und wiederholt werden Das Diagnose Testintervall der Komponenten im PES System muss so gew hlt sein dass die Wahrscheinlichkeit eines zuf lligen Hardwareausfalls kleiner oder gleich dem in der Spezifi kation der Sicherheitsanforderungen festgelegten Ausfallgrenzwert ist In einem nicht redundanten PES System m sste dazu die Summe aus Diagnose Testintervall und der im Fehlerfall folgenden Fehlerreaktion kleiner als die Prozess Sicherheitszeit sein Im GA D
62. urchf hren Parameter nderungen planen Querverbindungen der zu parametrierenden Funktionsbausteine kontrollieren im Grafikeditor Betroffene Sicherheitsfunktionen einschlie lich Querverbindungen analysieren hat die Anderung berall nur den gew nschten Effekt Bei Skalierungs nderungen von E A Signalen auch die entsprechende Anpassung im Visualisierungssystem ber cksichtigen Neue Version testen Nach Abschluss der Parametrierung die neue Version dokumentieren und Datensi cherung durchf hren 7 3 3 Online nderung Alle Programm nderungen sollen nach M glichkeit bei stehender Maschine durchgef hrt werden da w hrend der Anderungen die Sicherheitsintegrit t des Systems eingeschr nkt ist Bei fehlerhafter Durchf hrung werden die Sicherheitsanforderungen nicht mehr erf llt GA DUPLEX S Sicherheitshandbuch 00 00 280607 doc Seite 30 von 42 7 GEBHARDT Automation GmbH Grunds tzlich sind nderungen bei laufender Maschine m glich Dazu sind die folgenden Punkte zu beachten N A Einflussanalyse wie bei normaler Programm nderung Zus tzlich Einflussanalyse von Einschaltvorg ngen Ber cksichtigung von unterschiedlichen Signalzust nden in den Einheiten des 5 Systems w hrend des Umprogrammierens der einzelnen Einheiten Die Einheiten m ssen getrennt programmiert werden Nach Programmierung jeder Einheit muss hier der planungsgem e Zustand aller E A Signale und internen Zu st
Download Pdf Manuals
Related Search