Sicherheitslebenszyklus - Teil 2 - Fakultät Elektrotechnik und ...

Fakultät Elektro- & Informationstechnik, Institut für Automatisierungstechnik, Professur für Prozessleittechnik 

Vorlesung - Prozessleittechnik 2 (PLT 2) 

Sicherheit und Zuverlässigkeit von 

Prozessanlagen - Sicherheitslebenszyklus 

Teil 2: Entwurf und Planung des Safety 

Instrumented System (SIS) - Fortsetzung 

A. Krause, L. Urbas 

Dresden, 26.06.2013

Sicherheitslebenszyklus 

nach DIN EN 61511 [1] 

Teil 2: Spezifikation, 

Entwurf und 

Planung des 

Anwendungsprogramms 

(des SIS) 

26.06.2013 

Sicherheitslebenszyklus - Anwendungsprogramm Folie 2 von 64

SPEZIFIKATION 

26.06.2013 


Sicherheitsanforderungen für das 

Anwendungsprogramm [1] 

• Ableitung aus der Spezifikation der 

Sicherheitsanforderungen des SIS sowie aus der 

gewählten Architektur des SIS 

• Vorgaben für jedes programmierbare SIS-Teilsystem 

in Übereinstimmung mit der Architektur des SIS 

• Ausführlich genug damit Planung und Umsetzung die 

geforderte Sicherheitsintegrität erreichen und zur 

Beurteilung der funktionalen Sicherheit 

26.06.2013 


Spezifikation berücksichtigt folgende Punkte [1] 

• Bereitgestellte Funktionen und zugehöriges SIL 

• Verarbeitungskapazität und Antwortzeiten 

• Programmablauf und Zeitverzögerungen 

• Geräte- und Bedienerschnittstelle und deren 

Betriebseigenschaften 

• Alle für SIS relevanten Betriebsarten des Prozesses 

• Notwendige Maßnahmen bei Signalstörungen 

• Funktionsprüfungen und Diagnosetests externer Geräte 

• … 

26.06.2013 


Strukturierung und Formulierung der 

Anforderungen [1] 

• klar verständlich für alle, die das Dokument in 

irgendeiner Phase des Lebenszyklus verwenden 

• verifizierbar, testbar und änderbar 

• zurückverfolgbar bis zur Spezifikation der 

Sicherheitsanforderungen des SIS 

• 

26.06.2013 


ANFORDERUNGEN AN DIE 

ENTWICKLUNG DES 

ANWENDUNGSPROGRAMMS 

26.06.2013 


Grundsätzliche Anforderungen [1] (1/2) 

• Anwendungsprogrammersteller muss die 

Informationen der Spezifikation nachprüfen 

(eindeutig, konsistent und verständlich) 

• Verwendung von festen Programmiersprachen (FPL) 

oder Programmiersprachen mit eingeschränktem 

Sprachumfang (LVL) 

• Sicherer Zustand darf erst nach Rücksetzen 

verlassen werden (auch bei Spannungsausfall!) 

26.06.2013 


Grundsätzliche Anforderungen [1] (2/2) 

• Beim Start des SIS müssen Ausgänge im 

energielosen oder sicheren Zustand bleiben bis ein 

Rücksetzen eingeleitet wird 

• Bei jedem Programmdurchlauf müssen alle Teile 

bearbeitet werden 

• Programm und Daten dürfen nur revisionskontrolliert 

verändert werden wobei eine Vorgehensweise zur 

Wiederherstellung jeder Revision vorhanden und 

eingeführt sein muss 

26.06.2013 


Entwurf des Anwendungsprogramms [1] (1/3) 

Wie sollen die Anforderungen umgesetzt werden? 

• Entwurf der gesamten SIS-Logik einschließlich aller 

Betriebsarten 

• Vorgaben: Spezifikation des SIS, SIS-Architektur, 

Sicherheitsanforderungen, Hilfsmittel & Werkzeuge 

zur Erstellung des Entwurfs 

• Ziele des Entwurfs 

erreicht die erforderliche Sicherheitsintegrität 

erlaubt die Beurteilung der funktionalen Sicherheit 

26.06.2013 



• Funktionen um den Prozess in einen sicheren Zustand 

zu bringen oder dort zu halten 

• Spezifikation aller einzelnen Komponenten 

• genaue Beschreibung von Standard-Bibliotheksmodule 

und anwendungsspezifischen Module 

• Speicherzuordnung 

• Liste der globalen Variablen 

• Auszutauschende Daten (Bedienschnittstelle, BPCS, …) 

• Aufzeichnung externer und interner Diagnosedaten 

26.06.2013 



Was muss sicher gestellt werden? 

• Vollständigkeit in Bezug auf die Spezifikation 

• Richtigkeit in Bezug auf die Spezifikation 

• Freiheit von Mehrdeutigkeiten 

• Freiheit von Entwurfsfehlern 

Der Entwurf muss die Anforderung bezüglich der 

Validierung jeder SIF enthalten. 

26.06.2013 


Implementierung des Anwendungsprogramms [1] 

• Techniken zum Schreiben des Anwendungsprogramms für alle 

SIL gleich, aber Architektur des SIS und Gründlichkeit der 

Verifikation können abweichen 

• Entwicklungsmethode muss den Entwicklungswerkzeugen und 

Beschränkungen nach Vorgaben des Herstellers des SIS- 

Teilsystems entsprechen 

• Folgende Informationen müssen im Anwendungsprogramm 

oder der Dokumentation enthalten sein 

26.06.2013 


Implementierung – Dokumentation [1] (1/2) 

• Ersteller des Programms 

• Beschreibung des Zwecks 

• Identifikation jeder SIF und ihres SIL 

• Identifikation und Beschreibung der verwendeten 

Symbole, einschließlich Logik-Konventionen und 

Bibliotheksfunktionen 

• Identifikation der Eingangs- und Ausgangssignale 

26.06.2013 


Implementierung – Dokumentation [1] (2/2) 

• Beschreibung der Programmstruktur, einschließlich 

der Beschreibung der Reihenfolge der logischen 

Bearbeitung der Daten 

• Maßnahmen zur Sicherstellung der Korrektheit der 

Felddaten und der Daten, die über eine 

Kommunikationsschnittstelle gesendet werden 

• Maßnahmen zur Sicherstellung der Datensicherheit 

• Identifikation der Version und Änderungshistorie 

26.06.2013 


Implementierung – Wiederverwendung von 

Bausteinen [1] 

• DIN EN 61508-3 bei Verwendung von FVL 

• DIN EN 61511 hinsichtlich Betriebsbewährung 

bei Verwendung von FPL oder LVL 

• Nachweis, dass keine unbenutzten Funktionen 

das Programm negativ beeinflussen 

26.06.2013 


Implementierung des Anwendungsprogramms – 

Strukturierung [1] 

• Modularer Auflösung 

• Minimierung der Komplexität des SIF- 

Anwendungsprogramms passend zur Komplexität der 

geforderten SIF 

• Prüfbarkeit der Funktionalität (einschließlich 

Fehlertoleranz) und interner Struktur 

• Nachverfolgbarkeit zu den Anwendungsfunktionen, 

deren Erklärung und zugeordneter Einschränkungen 

26.06.2013 


Verifikation [1] 

Plan zur Überprüfung, Analyse 

und/oder zum Test der jeweiligen 

Stufe im Sicherheitslebenszyklus 

• Verifikationstätigkeiten 

• Vorgehensweisen, Maßnahmen 

und Arbeitstechniken 

• Zeitpunkt der Durchführung 

• Verantwortliche/r 

• Benötigte Unterlagen 

• Handhabung von 

Abweichungen 

26.06.2013 


Anforderungen für die Verifikation des Programms 

[1] (Review und Test) (1/2) 

• Planung der Verifikation 

• Prüfung des Anwendungsprogramms und der Dokumentation durch 

eine kompetente Person, die nicht an der Erstellung beteiligt war 

• Verifikation durch Überprüfungs-, Simulations- und Testmethoden 

mit schriftlicher Testspezifikation 

Übereinstimmung mit der Spezifikation 

Durchführung aller Teile 

Überprüfung auf Bereichsverletzungen 

Zeitsteuerung und Reihenfolge der Bearbeitung 

Kommunikationsprüfung von und zum SIS 

Integration des Anwendungsprogramms und unterlagerte Programmlogik 

26.06.2013 


Anforderungen für die Verifikation des Programms 

[1] (Review und Test) (2/2) 

• Verifikation der Eingänge mit den Ausgängen durch 

das Anwendungsprogramm 

• Änderungen müssen der Sicherheits-Einflussanalyse 

unterzogen werden 

Identifikation aller betroffenen Teile 

Erforderliche Aktivitäten zur Neuplanung und erneuten 

Verifikation 

• Dokumentation der Ergebnisse des Tests 

26.06.2013 


Dokumentation der Ergebnisse des Tests [1] 

• Getestete Version des Programms und der Dokumentation 

• Version der Hilfssoftware und Testhilfsmittel 

• Name der Personen, die die Tests durchführten 

• Beschreibung der durchgeführten Tests und Überprüfung 

• Testergebnisse 

• Erreichen von Testzielen und Testkriterien 

• Feststellung eines Ausfalls 

Dokumentation der Gründe 

Ausfallanalyse 

- Aufzeichnung der Korrektur 

- erneuter Test 

26.06.2013 


Anforderungen hinsichtlich Methodik und 

Werkzeugen [1] 

• Entwicklung des Anwendungsprogramms muss den 

Randbedingungen der Sicherheitshandbücher genügen 

• Methoden, Techniken und Werkzeuge müssen für jede 

Lebensphase ausgewählt und angewendet werden 

Minimierung des Risikos, dass Fehler ins Anwendungsprogramm 

gelangen 

Aufdeckung und Entfernung von vorhandenen Fehlern 

Sicherstellung, dass verbleibende Fehler nicht zu inakzeptablen 

Ergebnissen führen 

Sicherstellung der Instandhaltbarkeit des Anwendungsprogramms 

Nachweis der erforderlichen Qualität 

26.06.2013 


WERKSENDPRÜFUNG 

26.06.2013 


Ziel der Werkesendprüfung [1] 

(FAT – Factory Acceptance Test) 

• Gemeinsamer Test des Logiksystems, der 

zugehörigen Software und des 

Anwendungsprogramms (in einigen Fällen auch 

Sensoren oder Aktoren) 

• Sicherstellung der Anforderungen aus der 

Spezifikation 

• Vor der Montage können Fehler leicht erkannt und 

behoben werden 

26.06.2013 


Art der durchzuführenden Tests [1] 

• Black-Box-Tests 

Prüfung der funktionalen Anforderungen 

• Leistungstests 

Zeitvorgaben, Zuverlässigkeit, Verfügbarkeit 

• Umgebungstests 

EMV- und Lebensdauerprüfungen 

• Test der Schnittstellen 

• Tests unter verschlechterten und/oder Fehlerbedingungen, 

Prüfung von Ausnahmezuständen 

• Anwendung der Betriebs- und Instandhaltungsvorschriften 

26.06.2013 


Weitere Inhalte der Planung [1] 

• Testfälle, Beschreibung der Tests und Testdaten 

• Abhängigkeit von anderen Systemen oder 

Schnittstellen 

• Testumgebung und Werkzeuge 

• Konfiguration des Logiksystems 

• Testkriterien nach denen die Ergebnisse der Tests zu 

beurteilen sind 

• … 

26.06.2013 


Wichtige Angaben zu den durchgeführten Tests [1] 

• Version der verwendeten Planung 

• Getestete sicherheitstechnische Funktion und 

deren Leistungscharakteristik 

• Detaillierte Testvorschrift und Testbeschreibung 

• Chronologische Aufzeichnung der Testtätigkeit 

• Verwendete Werkzeuge, Geräte u. Schnittstellen 

26.06.2013 


Weitere Empfehlungen [1] 

• Nutzung einer definierten Version des Logiksystems 

• Durchführung in Übereinstimmung mit der Planung 

• Dokumentation der Ergebnisse 

Geprüfte Testfälle 

Testergebnisse 

Testkriterien erfüllt? 

• Sicherheitsanalyse für Modifikationen oder 

Veränderungen während des FAT (um Folgewirkungen 

und Umfang weiterer Tests zu bestimmen) 

26.06.2013 


BEISPIEL ZUR ERSTELLUNG EINER 

TYPISCHEN ARCHITEKTUR 

SICHERHEITSTECHNISCHER 

SYSTEME [1] 

26.06.2013 


Hintergrund [1] (1/2) 

• Erläuterung der Schritte zur Erstellung einer SIS- 

Architektur nach DIN EN 61511 [1] 

• SIS-Engineering läuft nach den Leitlinien 

zur Bestimmung der erforderlichen sicherheitstechnischen 

Funktion und des SIL ab 

sowie Techniken der Geräteredundanz und Entwurfsverfahren 

• Instrumentierung in Sicherheitsanwendung verwendet 

gelieferte Informationen über Diagnosen, Anteil sicherer 

Ausfälle u. aus Anwendungen gesammelte Information 

26.06.2013 


Hintergrund [1] (2/2) 

• Logiksystem 

Hardware, Systemsoftware und Dienstprogramme 

entsprechen DIN EN 61508 [2] – SIL 3 

Verwenden eine Sprache mit eingeschränktem 

Sprachumfang für das Anwendungsprogramm (LVL) 

Sicherheitshandbuch zur Systemanwendung und 

Erstellung der Anwendungssoftware 

Definierbare Standardsicherheitsfunktionen sind als 

Anwendungsprogramme verfügbar (z.B. 1oo2, 2oo3) 

26.06.2013 


Arbeitsablauf 

Schritt Titel Tätigkeit 

1 Umfang der Anwendung Festlegung der Verfahrenstechnik 

2 Funktionale Sicherheitsanforderungen der 

Verfahrenstechnik 

3 Zuordnung der Sicherheitsanforderungen 

an das System 

4 Zuordnung der Sicherheitsanforderungen 

innerhalb des SIS 

Festlegung des Gefährdungspotentials, Durchführung 

einer ersten Analyse der Schutzebenen (LOPA) 

Planung der SIS-Struktur 

Festlegung der SIS-Hardware 

5 Erstellung der Anwendungssoftware Erstellung der SIS-Software 

6 Prüfung und Validierung der 

Anwendungssoftware 

Prüfung des SIS 

7 Montage Feld-Montage 

8 Inbetriebnahme Allgemeine Abnahme 

9 Betrieb Betreiben der Anlage 

26.06.2013 


Schritt 3: Zuordnung der Sicherheitsanforderungen 

an das System [1] 

• Spezifikation der Sicherheitsanforderungen und SIL 

für die SIS-Anwendung (SIL für jede SIF) 

• Zum Erreichen des SIL angewendetes Modell einer 

sicherheitstechnischen Funktion 

Sensorkonfiguration 

Logiksystem 

und 

Ein-/Ausgabemodule 

Aktorkonfiguration 

• Bestimmung der PFD, so dass Gesamt-PFD innerhalb 

der SIL-Grenzen liegt 

26.06.2013 


Spezifikation von SIS-Komponenten [1] 

Komponenten mit nachgewiesenen Merkmalen (PFD und Fehlertoleranz) 

• Sensoren und Aktoren werden wie für verfahrenstechnische Anwendung 

geeignet ausgewählt 

• verschiedene Typenmerkmale sind durch die technische Abteilung 

entsprechend der vorliegenden Betriebserfahrung standardisiert 

• Ein-/Ausgabemodule des Logiksystems werden entsprechend der 

Anforderungen der Sensoren und Aktoren festgelegt 

• Logiksystem, Anwendungssprache, Entwicklungswerkzeuge und 

Kommunikationsschnittstelle sind Teil des zugelassenen Sicherheitssystems 

• Bedienschnittstelle kann an die Anforderungen der Anwendung angepasst 

werden 

26.06.2013 


Schritt 4: Zuordnung der Sicherheitsanforderungen 

innerhalb des SIS [1] 

• Zuordnung aller Funktionen der Spezifikation der 

Sicherheitsanforderungen zu Systemkomponenten, 

Funktionen oder Anwendungssoftware 

• Anforderungen der Sicherheitsintegrität entscheiden 

über die geeigneten SIS-Komponenten und die 

möglichen SIS-Architekturen 

26.06.2013 


Schritt 5: Erstellung der Anwendungssoftware 

[1] 

Architekturbezogene Anforderungen an die Anwendungssoftware 

• Nach Auswahl der SIS-Architektur muss unter Umständen die 

Anwendungssoftware für die Umsetzung der Redundanz (z.B. 1oo2) und/oder 

der Diagnose für Sensoren, Logiksystem und Aktoren festgelegt werden 

Erstellung der Anwendungssoftware 

• Programmiersprache ist die Funktionsbausteinsprache (eine Sprache mit 

eingeschränktem Sprachumfang) 

• Erstellung und Prüfung der Software sind ein genau bekannter Prozess 

• Zusätzlich gibt es ein paar Einschränkungen hinsichtlich der Programmierung 

von Sicherheitsfunktionen, die im Sicherheitshandbuch beschrieben sind 

26.06.2013 


Beispiel 1 – Einführung [1] 

• Beispiel ist nicht real 

• Berücksichtigt keine Ausfälle gemeinsamer Ursache 

mit anderen Schutzebenen 

Gefährdungsszenarium 

• Temperaturregelung eines dampfbeheizten Reaktors 

fällt aus und öffnet das Dampfregelventil 

26.06.2013 


Spezifikation der Sicherheitsanforderungen und SIL 

[1] 

• Anstieg des Reaktordrucks über 10bar soll den 

Dampfzufluss zum Reaktormantel innerhalb von 

20 Sekunden schließen um eine exotherme 

Reaktion zu vermeiden 

• Eingriff des Bedienpersonals ist nicht 

erforderlich 

• Gefordertes SIL: SIL 3 

26.06.2013 


Systemarchitektur/-komponenten [1] 

• Konfiguration des Drucksensors 

• Konfiguration des Logiksystems 

• Konfiguration des Aktors 

• Betriebsbewährte intelligente Sensoren werden direkt an die 

Eingänge des Logiksystems angeschlossen 

• Das Notabsperrventil verfügt über ein integriertes Magnetventil 

und ist direkt an die Ausgänge des Logiksystems 

angeschlossen 

• Alle MTTF-Daten stammen aus tatsächlicher Betriebserfahrung 

26.06.2013 


Beispiel 1 – Systemarchitektur [1] 

Verfügbare Instrumentierung 

• Drucksensors – MTTF = 10 5 h, DC = 70%, SFF = 90%, 

halbjährliche Wiederholungsprüfung, MTTR = 8 h 

• Notabsperrventil – MTTF = 2·10 5 h, DC = 0%, SFF = 60%, 


Einzelkomponenten (Anforderung für SIL 3: PFD avg < 10 -3 ) 

• Sensor: 2,2·10 -3 – nicht zulässig 

• Logiksystem (redundant): 1,3·10 -4 einschl. E-/A-Schnittstelle 

• Ventil: 4,38·10 -3 – nicht zulässig 

26.06.2013 


Ermittlung einer geeigneten Sensorarchitektur [1] 

• Auswahl einer 1oo2-Redundanz 

• Ausfälle in Folge gemeinsamer Ursache = 10%, 

DC = 90% 

• Neuer PFD für 1oo2-Sensorarchitektur: 2,3·10 -4 

• Tatsächliche Fehlertoleranz = 1 

• Prinzipiell zulässig für SIL 3 

26.06.2013 


Ermittlung einer geeigneten Aktorarchitektur [1] 

• Auswahl einer 1oo2-Redundanz 

• Ausfälle in Folge gemeinsamer Ursache = 10% 

• Neuer PFD für 1oo2-Aktorarchitektur: 4,6·10 -4 



26.06.2013 


Prüfung der PFD der sicherheitstechnischen 

Funktion [1] 

Gesamtstruktur besteht aus den Teilsystemen 

• Sensor + Logiksystem + Aktor 

• 2,3·10 -4 + 1,3·10 -4 + 4,6·10 -4 = 8,2·10 -4 

• 8,2·10 -4 < 10-3 zulässig für SIL 3 

26.06.2013 


Beispiel 1 – Anwendungssoftware [1] 

Sensorkonfiguration 

• Für die angegebene 1oo2-Auswahl des Sensorsignals wird eine 

Anwendungssoftware erstellt (vorhandener Funktionsbaustein), um 

das Dampfventil zu schließen 

Aktorkonfiguration 

Wenn einer der beiden Sensoren einen Wert oberhalb des festgelegten 

Grenzwertes feststellt 

Wenn die Diagnose einen gefahrbringenden Ausfall feststellt 

• Beide Dampfventilausgänge werden abgesteuert, wenn von der 

Anwendungssoftware eine Sicherheitsbehandlung ausgelöst wird. 

26.06.2013 


Beispiel 2 – Einführung [1] 

• Beispiel ist nicht real 

• Berücksichtigt keine Ausfälle gemeinsamer Ursache 

mit anderen Schutzebenen 

Gefährdungsszenarium 

• Temperaturregelung eines dampfbeheizten Reaktors 

fällt aus und öffnet das Dampfregelventil vollständig 

26.06.2013 


Spezifikation der Sicherheitsanforderungen und SIL 

[1] 

• Anstieg des Reaktordrucks über 10 bar soll den 

Dampfzufluss zum Reaktormantel innerhalb von 

20 Sekunden schließen um eine exotherme 

Reaktion zu vermeiden 

• Eingriff des Bedienpersonals ist nicht 

erforderlich 

• Gefordertes SIL: SIL 2 

26.06.2013 


Beispiel 2 – Systemarchitektur [1] 

Verfügbare Instrumentierung 

• Drucksensoren – MTTF = 10 5 h, DC = 70%, SFF = 90%, 


• Notabsperrventil – MTTF = 2,5·10 4 h, DC = 0%, SFF = 60%, 

wöchentliche Wiederholungsprüfung (168 h), MTTR = 8 h 

Einzelkomponenten (Anforderung für SIL 2: PFD avg < 10 -2 ) 

• Sensor: 2,2·10 -3 – zulässig 

• Logiksystem (redundant): 1,3·10 -4 einschl. E-/A-Schnittstelle 

• Ventil: siehe nächste Folie 

26.06.2013 


Beispiel 2 – PFD für einkanaligen Aktor [1] 

• PFD 1oo1 = DU · (½ T 1 + MTTR) , DU =(1-SFF)/MTTF 

• PFD 1oo1 = 1,472·10 -3 



Prüfung PFD: Sensor + Logiksystem + Aktor 

• PFD Sys = (2,2 + 0,1 + 1,5)·10 -3 = 4,0·10 -3 

• 4,0·10 -3 < 10 -2 -> zulässig für SIL 2 

26.06.2013 


Anwendungssoftware/Aktorkonfiguration [1] 

• Der Dampfventilausgang wird abgesteuert, wenn von der 

Anwendungssoftware eine Sicherheitsbehandlung ausgelöst wird. 

• Zusätzlich werden Überwachungsfunktionen in der Anwendungssoftware 

implementiert, die nachweisen, dass der sichere Zustand des Ventils jedes 

Mal erreicht wird, wenn das Ventil betätigt wird (einmal pro Charge, 

typischerweise alle 8h) 

• Wenn während der Prüfung ein Ausfall festgestellt wird oder wenn seit der 

letzten Prüfung mehr als 168h vergangen sind, verbleibt das Logiksystem im 

sicheren Zustand (Notabsperrventil geschlossen) und es erfolgt ein Alarm 

• Durch diese automatische Prüfung kann das Intervall für die 

Wiederholungsprüfung bei der PFD-Berechnung auf 168 Stunden gesetzt 

werden 

26.06.2013 


FEHLERSICHERE 

AUTOMATISIERUNG MIT S7 

26.06.2013 


Ziel fehlersicherer Automatisierungssysteme 

„Zielsetzung der Sicherheitstechnik ist es, die 

Gefährdung von Menschen und Umwelt durch 

technische Einrichtungen so gering wie 

möglich zu halten, ohne dadurch die 

industrielle Produktion und den Einsatz von 

Maschinen und chemischen Produkten mehr 

als unbedingt notwendig einzuschränken.“ [3] 

26.06.2013 


Was sind fehlersichere Automatisierungssysteme 

[3] 

• Steuerung von Prozessen mit unmittelbar durch Abschaltung 

erreichbarem sicheren Zustand (keine Gefahr für Mensch oder 

Umwelt) 

• Einsatz in Anlagen mit erhöhten Sicherheitsanforderungen 

• bessere Fehleraufdeckung bzw. Fehlerlokalisierung 

• ausführliche Diagnoseinformationen zur schnelle Fortsetzung 

der Produktion nach einer sicherheitsbedingten Unterbrechung 

• erlauben einen intelligenten Systemdurchgriff bis hin zu 

elektrischen Antrieben und Messsystemen 

26.06.2013 


Fehlersichere Systeme in SIMATIC S7 [3] 

• Realisierung von Sicherheitskonzepten im Bereich Maschinenund 

Personenschutz (z. B. für NOT-AUS-Einrichtungen beim 

Betrieb von Be-/Verarbeitungsmaschinen) und in der 

Prozessindustrie (z. B. zur Durchführung von Schutzfunktionen 

für MSR-Schutzeinrichtungen und Brenner) durch das System 

S7 Distributed Safety 

• Das fehlersichere Automatisierungssystem S7 F/FH System 

(optional hochverfügbar) eignet sich für Anlagen in der 

Prozesstechnik und der Ölindustrie 

26.06.2013 


Hochverfügbar vs. fehlersicher [4] 

26.06.2013 


Erreichbares SIL und Funktionsprinzip [3] 

• SIL 1 bis SIL 3 

• Funktionale Sicherheit – schwerpunktmäßig in der 

Software 

• Bei gefährlichem Ereignis soll die Anlage in einen 

sicheren Zustand gehen (bzw. bleiben) 

• Hauptkomponenten dafür 

Sicherheitsgerichtetes Anwendungsprogramm in der F- 

fähigen CPU (F-CPU) 

Fehlersichere Ein- und Ausgabe (F-Peripherie) 

26.06.2013 


Einsatz von S7 Distributed Safety [3] 

• Maschinen- und 

Personenschutz 

• Prozessindustrie 

• Wenn sicherer Zustand 

durch Abschalten der 

fehlersicheren 

Ausgänge erreichbar 

ist 

26.06.2013 


Einsatz des S7 F/FH Systems [3] 

• Prozess- und 

Leittechnik 

• Wenn sicherer Zustand 

durch Abschalten der 

fehlersicheren 

Ausgänge erreichbar ist 

• Realisierbar mit PCS 7 

26.06.2013 


Gegenüberstellung von S7 Distributed Safety 

und S7 F/FH System [3] 

26.06.2013 


[3] 

26.06.2013 


Programmiersprachen [3] 

26.06.2013 


Live-Demo 

26.06.2013 


NÄCHSTE VORLESUNG 

26.06.2013 


Sicherheitslebenszyklus 

Teil 1: Analyse 

Gefahren erkennen & Risiken 

bewerten 

Teil 2: Spezifikation & 

Entwurf Risiken reduzieren 

Teil 3: Inbetriebnahme 

& Betrieb 

Sicherheit aufrecht erhalten 

[1, 2] 

26.06.2013 


Quellen 

[1] DIN EN 61511: Funktionale Sicherheit - Sicherheitstechnische 

Systeme für die Prozessindustrie. 

[2] DIN EN 61508: Funktionale Sicherheit sicherheitsbezogener 

elektrischer/elektronischer /programmierbarer elektronischer 

Systeme. 

[3] Siemens: Industrie Software - Sicherheitstechnik in SIMATIC 

S7, A5E00109528-06, 12/2008. 

[4] Siemens: Hochverfügbare Systeme S7-400H, A5E00267693- 

07, 12/2010. 

26.06.2013

Sicherheitslebenszyklus - Teil 2 - Fakultät Elektrotechnik und ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?