atp edition Diagnosefähige Aktorik in sicherheitsgerichteten Kreisen (Vorschau)

6 / 2012
54. Jahrgang B3654
Oldenbourg Industrieverlag
Automatisierungstechnische Praxis
Diagnosefähige Aktorik in
sicherheitsgerichteten Kreisen | 30
PFD-Berechnung bei nicht
konstanten Ausfallraten | 40
Komplexe PLT-Schutzeinrichtungen | 48
Automatische Generierung
sicherer diversitärer Software | 58

ZUKUNFT ENTWICKELN
MIT AUTOMATISIERUNG
Sind Sie heute schon geflogen?
NEUE
Industrie
Website
www.vp-chemie-pharma.de
Halle 11.1
Stand E16
Planen Sie Ihren ACHEMA Messetag mit YOKOGAWA
Wir freuen uns auf Sie!
Yokogawa Deutschland GmbH · Broichhofstraße 7-11 · 40880 Ratingen
Telefon +49(0)2102 - 4983-0 · Telefax +49(0)2102- 4983-22 · www.vp-chemie-pharma.de · info@de.yokogawa.com

editorial
Nachweisbar sichere Komponenten
und Anlagen effizient gestalten
Sicherheitsgerichtete Automatisierungssysteme führen entscheidende Aufgaben
von Sicherheitsfunktionen aus. Daher muss ihre Eignung sowohl
qualitativ als auch quantitativ nachgewiesen werden.
Normen und Richtlinien wie die ISO 13849 und die IEC 61508 bieten leider
nur für wenige, spezielle Sicherheitsarchitekturen konkrete Anhaltspunkte.
Deswegen werden oft starke Vereinfachungen bei der Modellierung vorgenommen,
um die realen Systeme auf diese Architekturen abzubilden.
Die in der Sicherheitstechnik üblichen Abschätzungen und Vereinfachungen
zur „sicheren Seite“ führen so oftmals zu unnötig schlechten Sicherheitskennwerten
und letztendlich zu kostenintensiveren Lösungen zur Erreichung der
geforderten Kennwerte. Denn diese Vereinfachungen bedeuten immer eine
ungünstigere Bewertung der Sicherheit – und erfordern somit höhere Investitionen
in Mechanik und Elektronik in Form von Redundanzen und hochwertigeren
Bauteilen.
Der Anlagenbauer beziehungsweise Systemintegrator kann hier einige Auswege
finden: Der scheinbar einfachste Weg ist die ausschließliche Verwendung
von zertifizierten Sicherheitskomponenten. In diesem Fall kann für ihn der
Nachweis relativ einfach sein, und er wird durch Werkzeuge der Hersteller
unterstützt. Zwar wird mittlerweile die Standardisierung von Schnittstellen
und Eigenschaften von Safety-Komponenten von Verbänden gefördert, aber es
ist noch viel Engagement notwendig.
Spezialanwendungen und auch Kostengründe machen demgegenüber eigene
Lösungen erforderlich. Hier ist Sicherheitskompetenz gefragt, die über die
bisherigen Anforderungen hinausgeht. Die existierenden Werkzeuge helfen
zwar bei der Risikoanalyse und Bestimmung des erforderlichen Safety Integrity
Levels (SIL) oder Performance Levels (PL) bei vielen Anwendungen. Sie
kommen jedoch an ihre Grenzen, wenn von den Architekturvorschlägen der
Normen abgewichen werden soll.
Effiziente, generalisierbare, intelligente und flexible Lösungen für nachweisbare
Sicherheit sind daher die Hauptaufgabe der modernen Sicherheitstechnik.
Die aktuellen Herausforderungen auf dem Gebiet der Safety bestehen nicht
einfach in der Erreichung der Sicherheit, sondern in der effizienten Gestaltung
nachweisbar sicherer Komponenten und Anlagen, das heißt, auch mit geringeren
Stückkosten soll eine nachweisbare Sicherheit erreichbar sein. Dafür
können die einmaligen Kosten für Entwicklung und Nachweis durchaus höher
sein. Hier spielen Software-intensive Lösungen eine immer größere Rolle.
Schon seit einiger Zeit wird der Einsatz von COTS (commercial off the shelf)
auf der Hardware-Seite und SOUP (software of uncertain pedigree) auf der
Software-Seite in der Sicherheitstechnik diskutiert.
Obwohl die Sicherheitstechnik in unseren Branchen schon auf eine bedeutende
Geschichte zurückblicken kann, besteht noch viel Raum für innovative
Lösungen.
Prof. Dr.-Ing.
Frank Schiller,
wissenschaftlicher Leiter
für Safety & Security,
Beckhoff Automation GmbH
atp edition
6 / 2012
3

Inhalt 6 / 2012
Forschung
6 | Exo-Hand verbindet menschliche Intelligenz
mit robusten Fähigkeiten eines Roboters
Kompaktes Datenlogger-System ermittelt, wie hoch
die Leistung bei der „Ernte“ von Energie ist
Verband
8 | Stabwechsel bei der Fraunhofer-Gesellschaft:
Reimund Neugebauer löst Hans-Jörg Bullinger ab
Industrie 4.0: GMA will aktuelle IKT-Trends
gezielt für die Automation weiterentwickeln
9 | PNO: Karsten Schneider neuer Vorsitzender
Woodington-Award für Klaus-Dieter Sommer
branche
10 | Masterstudent Stefan Köhler und Bachelorstudent Stefan Luthardt
gewinnen AALE Award 2012
Studie: Informationssicherheit in europäischen
Unternehmen „furchterregend schlecht“
11 | Chinesische Produktpiraterie im Maschinenbau 2011
erstmals rückläufig
Ingenieurbranchen erwirtschafteten 2011 rund 45 Prozent
aller deutschen Exporteinnahmen
12 | Offenes Safety-Profil ermöglicht eine fabrikweite
Sicherheitsarchitektur in heterogenen Anlagen
rubriken
3 | Editorial
66 | Impressum, Vorschau
4
atp edition
6 / 2012

Schwerpunkt | achema
16 | Optimale Assistenz für den Anlagenfahrer
erlaubt maximale Kostenreduzierung
für die Produktion
20 | Kosten senken und Steuern sparen –
zertifiziertes Energiemanagement steigert
die Wirtschaftlichkeit
24 | Neue Feldbus-Infrastruktur steigert
Transparenz und Betriebssicherheit in
indischer Zuckerfabrik
26 | Zentrales Engineering Tool erleichtert As-built-
Dokumentation und asynchrone Planung
Hauptbeiträge
30 | Diagnosefähige Aktorik in
sicherheitsgerichteten Kreisen
T. Karte und B. Schäfer
40 | PFD-Berechnung bei nicht
konstanten Ausfallraten
A. Hildebrandt
48 | Komplexe PLT-Schutzeinrichtungen
S. Haase, D. Hablawetz, T. Hauff, M. Krauss und F. Lenhart
58 | Automatische Generierung
sicherer diversitärer Software
M. Früchtl und F. Schiller

forschung
Exo-Hand verbindet menschliche Intelligenz
mit robusten Fähigkeiten eines Roboters
D
em Hersteller Festo ist es gelungen, einen Roboterarm
zu entwickeln, den man sich wie einen Handschuh
anziehen kann. Mit der sogenannten Exo-Hand lassen
sich die Finger aktiv bewegen und die Fingerkraft verstärken.
Die Exoskeletthand bildet alle wichtigen physiologischen
Freiheitsgrade einer Hand ab.
Dabei verknüpft die Exo-Hand menschliche Intelligenz
mit den Fähigkeiten eines Roboters. Maschinen sind zwar
präzise, robust und leistungsstark, können jedoch nur
bedingt in komplexen Situationen reagieren. Meist bleiben
die optische und haptische Wahrnehmung sowie das
menschliche Entscheidungsvermögen unverzichtbar. Mit
der Exo-Hand ist nun, laut Hersteller, ein universelles
Assistenzsystem entstanden. Die Roboterhand kann beispielsweise
bei unterschiedlichen Montagetätigkeiten in
der Industrie eingesetzt werden. Gleichfalls ist die Fernmanipulation
einer Roboterhand durch den „Cyborg“-
Arm, etwa in gesundheitsgefährdenden Umgebungen,
denkbar. Acht pneumatische Aktoren erlauben präzise
Bewegungen und verleihen Festo zufolge der Exo-Hand
optimierte Eigenschaften hinsichtlich Nachgiebigkeit
und Sicherheit. Gleichzeitig erfassen lineare Potentiometer
die Fingerstellung und die jeweils anliegende Kraft
der Antriebe. Der entsprechende Druck in den Kammern
wird mittels Piezoproportionalventilen geregelt. Drucksensoren
auf der Ventilinsel dienen der Druckregelung
Die Exo-Hand in Kombination mit einem
Brain-Computer-Interface. Bild: Festo.
und erlauben Rückschluss auf die Kräfte, die der Zylinder
ausübt. Eine CoDeSys-konforme Steuerung erfasst und
verarbeitet die Positions- und Kraftwerte. Sie regelt die
entsprechenden Drücke in den Zylindern, um die korrekten
Fingerstellungen und Krafteinflüsse zu erhalten.
Dabei werden nichtlineare Regelalgorithmen verwendet.
Festo AG & Co. KG,
Ruiter Straße 82, D-73734 Esslingen,
Tel. +49 (0) 711 34 70,
Internet: www.festo.com/gruppe
6
Kompaktes Datenlogger-System ermittelt, wie hoch
die Leistung bei der „Ernte“ von Energie ist
Energy Harvesting wird eine Technologie genannt, bei der
aus Quellen wie Temperatur- und Druckunterschieden,
Luftströmungen, mechanischen Bewegungen oder Vibrationen
Energie gewonnen wird. Wenige Milliwatt genügen
etwa, um Sensoren, Funksender oder GPS-Module in Betrieb
zu setzen. Die Vibrationen, beispielsweise beim Transport
von Güterwagons oder Containern können eine solche Energie
quelle sein. Doch reicht diese Energie tatsächlich komplett
aus, um elektronische Mikrosysteme mit Strom zu
versorgen? Darüber Auskunft gibt ein Datenlogger, der vom
Fraunhofer-Institut für Integrierte Schaltungen IIS entwi-
Der Datenlogger misst,
ob die geerntete Energie vom
Energy Harvesting ausreicht,
um ein Mikrosystem mit Energie
zu versorgen. Er ist bereits
beispielsweise an Containern
im Einsatz. Bild: Fraunhofer IIS
atp edition
6 / 2012
ckelt wurde. Das System analysiert und charakterisiert das
nutzbare Energiepotenzial. Es misst entscheidende Parameter
der Vibrationsquelle wie beispielsweise Amplitude und
Frequenzspektrum der Beschleunigung. „Mit den gewonnenen
Daten lassen sich Vibrationswandler wie etwa piezoelektrische
Generatoren so auslegen, dass sie Sensoren,
Funksendeempfänger, Tracking-Systeme und andere Kleingeräte
mit geringem Stromverbrauch mit ausreichend Energie
versorgen“, erläutert Dr.-Ing. Peter Spies, Gruppenleiter
am IIS. Die „abgeerntete“ Energie kann für viele Anwendungen
genutzt werden, etwa um Pulsmesser, Sensoren in
Waschmaschinen und Produktionsanlagen oder Messsysteme
in Autos, die den Reifendruck prüfen, aufzuladen.
Bestandteile des Datenloggers sind ein Beschleunigungssensor,
ein GPS-Modul, ein Mikrocontroller, eine SD-Karte
sowie eine WLAN-Schnittstelle.
Der Datenlogger ist bereits in Güterwaggons, Lkws und
Maschinenanlagen im Einsatz. Derzeit entwickeln Spies
und sein Team ein komplettes Tracking-System, das neben
GSM-Modul und GPS-Empfänger einen Vibrationswandler
umfasst, der mechanische in elektrische Energie
konvertiert.
Fraunhofer-Institut
für Integrierte Schaltungen IIS,
Am Wolfsmantel 33, D-91058 Erlangen,
Tel. +49 (0) 9131 77 60, Internet: www.iis.fraunhofer.de

M
O
V
I
E
N
S
N
O
T
V
H
A
E
T
I
W
0
O
N
R
D
L
Effiziente Bedienung – optimale Produktion?
Definitiv.
Das ideale Prozessleitsystem liefert dem Anlagenfahrer alle wichtigen Informationen für
schnelle und richtige Entscheidungen. Somit behält er auch in schwierigen Situationen
den Überblick, kann effektiv eingreifen und so Anlagenausfälle vermeiden. Mit den
modernen und besonders ergonomischen Bedienoberflächen von ABB gibt es keine
Alarm- und Informationsüberflutung. Dadurch kann sich der Anlagenfahrer auf das
Wesentliche konzentrieren und die Produktivität der Anlage erhöhen. Wünschen Sie
sich auch so eine effiziente Anlagenbedienung? www.abb.de/controlsystems
ACHEMA 2012
18 - 22 June 2012
Hall 11.1, Stand A61
ABB Automation GmbH
Tel. +49 69 7930 4142
Fax. +49 69 7930 4499
E-Mail: process.automation@de.abb.com

Verband
Stabwechsel bei der Fraunhofer-Gesellschaft:
Reimund Neugebauer löst Hans-Jörg Bullinger ab
Reimund Neugebauer,
langjähriger Leiter des
Fraunhofer-Instituts für
Werkzeugmaschinen und
Umformtechnik IWU in
Chemnitz, wird im
Oktober neuer
Fraunhofer-Präsident.
Bild: Fraunhofer
Prof. Dr.-Ing. Reimund Neugebauer ist vom Senat der
Fraunhofer-Gesellschaft zum künftigen Präsidenten
gewählt worden. Er soll im Oktober Prof. Dr.-Ing. Hans-
Jörg Bullinger nachfolgen, der zehn Jahre an der Spitze
der Fraunhofer-Gesellschaft stand.
Reimund Neugebauer leitet seit etwa 20 Jahren das
Fraunhofer-Institut für Werkzeugmaschinen und
Umform technik IWU in Chemnitz. Er studierte Maschinenbau
an der TU Dresden mit dem Schwerpunkt Produktionstechnik.
Nach Diplom und Promotion folgten
eine leitende Tätigkeit in der Maschinenbauindustrie und
die Habilitation 1989.
Danach wurde er als Hochschullehrer an die TU Dresden
berufen, wo er 1990 die Geschäftsführung des Instituts
für Werkzeugmaschinen übernahm. 1992 wurde er
Leiter der neuen Fraunhofer-Einrichtung für Werkzeugmaschinen
und Umformtechnik in Chemnitz, die zwei
Jahre später zum Institut ernannt wurde. Seit 1993 ist er
Ordinarius für Werkzeugmaschinen und Umformtechnik
an der TU Chemnitz. Dort gründete er auch das Institut
für Werkzeugmaschinen und Produktionsprozesse IWP
und ist seit 2000 dessen Direktor. Von 2003 bis 2006 war
er zudem Dekan der Fakultät für Maschinenbau.
Neugebauer ist Mitglied zahlreicher nationaler und internationaler
wissenschaftlicher Gesellschaften und Verbände.
So war er 2010/2011 Präsident der Wissenschaftlichen
Gesellschaft für Produktionstechnik WGP. Er gehört
der Arbeitsgemeinschaft Umformtechnik AGU an
und ist Fellow der Internationalen Akademie für Produktionstechnik
CIRP, deren Generalversammlung er 2007
als Chairman in Dresden ausrichtete.
Außerdem ist er Mitglied der Deutschen Akademie der
Technikwissenschaften Acatech und Gründungspräsident
des Industrievereins Sachsen 1828 e.V. Neugebauer hat das
Fraunhofer-Institut für Werkzeugmaschinen und Umformtechnik
IWU in Chemnitz zu einem international führenden
Partner für die Automobil- und Maschinenbauindustrie
ausgebaut. Mit den Standorten Dresden, Augsburg und
Zittau wurden die Forschungsgebiete um Mechatronik,
Medizintechnik und Leichtbauweisen erweitert. Wichtige
Impulse für einen Paradigmenwandel zur Sicherung und
Entwicklung der Wertschöpfung am Standort Deutschland
lieferte Neugebauer mit dem aktuellen Schwerpunktthema
„Ressourceneffiziente Produktion“.
Hans-Jörg Bullinger, der zehn Jahre an der Spitze der
Fraunhofer-Gesellschaft stand, wechselt in den Senat
und bleibt der Forschungsorganisation in vielfältigen
Funktionen aktiv verbunden. Außerdem wird er sich in
Beratungsgremien und Aufsichtsräten weiterhin für den
Innovationsstandort Deutschland engagieren.
FRAUNHOFER-GESELLSCHAFT ZUR FÖRDERUNG DER
ANGEWANDTEN FORSCHUNG E.V.,
Hansastraße 27 c, D-80686 München,
Tel. +49 (0) 89 120 50, Internet: www.fraunhofer.de
8
Industrie 4.0: GMA will aktuelle IKT-Trends
gezielt für die Automation weiterentwickeln
Deutschland hat bei der derzeit proklamierten vierten
industriellen Revolution ‚Industrie 4.0‘ ausgezeichnete
Voraussetzungen, betont der VDI. „Das liegt daran, dass
wir seit Langem die Möglichkeiten der industriellen Kommunikations-
und Informationsverfahren für die Anwendung
in der Automatisierungstechnik konsequent und
systematisch entwickeln und nutzen“, so Dr.-Ing. Kurt D.
Bettenhausen, Vorsitzender der VDI/VDE-Gesellschaft
Mess- und Automatisierungstechnik (GMA). „Die gerade
stattfindende Entwicklung im Hinblick auf Vernetzung
und Allgegenwärtigkeit jeglicher Information wird uns
hier einen weiteren Schub geben und neue Möglichkeiten
eröffnen“, so Bettenhausen weiter.
Das Ziel der Automatisierung ist und bleibt der wunschgemäße,
sichere, zuverlässige und effiziente Betrieb von
Anlagen. Die Nutzung der zusätzlichen Informationen, die
zukünftig über zusätzliche Sensoren, eingebettete Systeme
und die Vernetzung zur Verfügung stehen können, wird
dieses Ziel unterstützen und neue Möglichkeiten eröffnen.
atp edition
6 / 2012
„Industrie 4.0 bedeutet konsequente
Automation“, beschreibt Bettenhausen
die Perspektiven. „Wir werden die
aktuellen Trends aus der Informations-
und Kommunikationstechnologie
(IKT) nutzen und gezielt für die
industrielle Automation weiterentwickeln.“
Darunter fallen unter anderem
der Ausbau von Sensor- und Kommunikationsnetzen,
die Vernetzung von
Anlagen, die Verfügbarkeit, Transparenz
und Sicherheit von Daten, die
übersichtliche Visualisierung von Anlagenzuständen sowie
die einfache und intuitive Bedienung von Anlagen.
VDI/VDE-Gesellschaft Mess- und
Automatisierungstechnik (GMA),
VDI-Platz 1, D-40468 Düsseldorf,
Tel. +49 (0) 211 621 40, Internet: www.vdi.de
Dr.-Ing. Kurt D.
Bettenhausen,
GMA-Vorsitzender
betont: „Industrie
4.0 bedeutet
konsequente Auto -
mation.“ Bild: GMA

PNO: Karsten Schneider
neuer Vorsitzender
Karsten
Schneider,
neuer Vorstandsvorsitzender
der
PNO und Leiter der
Strategie ‚Feldbuskommu
nikation‘ in
der Siemens AG.
Bild: PNO
Karsten Schneider (43) wurde auf
der Mitgliederversammlung der
Profibus Nutzerorganisation e. V.
(PNO) in den Vorstand der PNO und
gleichzeitig zu dessen Vorsitzenden
gewählt. Schneider ist seit April
2012 Leiter der Strategie ‚Feldbuskommunikation‘
in der Siemens AG.
Er löst Jörg Freitag ab, der sich einer
neuen beruflichen Herausforderung
im Ausland widmen wird.
Neben Schneider gehören dem
PNO-Vorstand nun Klaus-Peter Lindner
(Endress + Hauser Process Solutions)
und Prof. Dr. Frithjof Klasen
(AIT, FH Köln) an. Der Vorstand leitet
die Organisation der PNO, der Beirat
steuert die Technologieentwicklung.
Die Technischen Komitees und Arbeitskreise
erarbeiten Spezifikationen, Profile und Richtlinien.
Die operativen Aufgaben werden von der Geschäftsstelle
der PNO in Karlsruhe wahrgenommen.
| EK12-06G |
So kompakt sieht
ein vollständiger
Servoverstärker aus.
Direkter Anschluss von Servomotor
und Resolver an 12-mm-Busklemme.
PROFIBUS-NUTZERORGANISATION,
Haid-und-Neu-Straße 7, D-76131 Karlsruhe,
Tel. +49 (0) 721 965 85 90,
Internet: www.profibus.com
Woodington-Award für
Klaus-Dieter Sommer
Für hervorragende Leistungen auf dem Gebiet der
Messtheorie und Messdatenauswertung sowie der
systematischen Modellbildung von Messungen und Kalibrierungen
hat Prof. Dr. Klaus-Dieter Sommer den diesjährigen
Woodington-Award erhalten wie die VDI/VDE-
Gesellschaft Mess- und Automatisierungstechnik (GMA)
mitteilt. GMA-Beiratsmitglied Sommer ist seit über 25
Jahren der erste Nichtamerikaner, der mit diesem Preis
ausgezeichnet wurde.
Sommer habe wichtige Beiträge sowohl zum gesetzlichen
Messwesen als auch zur Lehre in der Messtechnik
sowie zur internationalen Vernetzung der Metrologie
geleistet. Sommer ist seit vielen Jahren Vizepräsident der
regionalen europäisch-asiatischen Metrologieorganisation
Coomet. Er leitet das Technische Komitee TC 20
‚Energy Measurement‘ der Imeko und hat die GMA mit
der MSC und der NCSLi in den USA vernetzt. In Deutschland
habe er sich vor allem um die Implementation des
GUM-Verfahrens zur Messunsicherheitsbewertung in
die Praxis sowie die Förderung der Messtheorie verdient
gemacht, betont die GMA.
VDI/VDE-Gesellschaft Mess- und
Automatisierungstechnik (GMA),
VDI-Platz 1, D-40468 Düsseldorf,
Tel. +49 (0) 211 621 40, Internet: www.vdi.de
IPC
I/O
Motion
Automation
www.beckhoff.de/EL7201
Die Servoklemme EL7201 für das Beckhoff-EtherCAT-Klemmensystem
integriert im Standardklemmengehäuse einen vollständigen
Servoverstärker für Motoren bis 200 W:
Direkter Anschluss von Servomotor, Resolver und Haltebremse
an 12-mm-Busklemme
Deutliche Reduzierung des Platzbedarfs sowie der Verdrahtungsund
Inbetriebnahmekosten
Die integrierte, schnelle Regelungstechnik ist für hochdynamische
Positionieraufgaben ausgelegt.
Die Servoklemme unterstützt Synchronmotoren mit einem
Nennstrom bis 4 A.
Die Kombination aus Servomotorserie AM3100 und Servoklemme
bietet eine kostengünstige Servoachse im unteren Leistungsbereich.

anche
Masterstudent Stefan Köhler und Bachelorstudent
Stefan Luthardt gewinnen AALE Award 2012
Sechs junge Fachhochschul-Studenten wurden bei der
diesjährigen Konferenz für Angewandte Automatisierungstechnik
in Lehre und Entwicklung (AALE) für ihre
Forschungsarbeiten ausgezeichnet. Die ersten beiden
AALE Student Awards gingen an Stefan Köhler und Stefan
Luthardt. Köhler erhielt die Auszeichnung für seine
Master-Arbeit zum Thema „Entwurf und Analyse eines
Datenfusionsalgorithmus zur Lagefindung eines Kleinstflugzeugs“.
Der Gewinner von der Hochschule Karlsruhe
untersuchte Verfahren, wie man einen Quadrokopter
besser stabilisieren kann. Ein Quadrokopter ist eine
Schwebeplattform, die mithilfe von vier Propellern in der
Luft gehalten wird.
Der erste Preis unter den Bachelor-Studenten ging an Stefan
Luthardt von der Hochschule für Technik, Wirtschaft
und Kultur (HTWK) Leipzig. Luthardt hatte in seiner Arbeit
Preisträger: (von li. nach re.) Stefan Luthardt (Preisträger
AALE Award Bachelorarbeit), Mirko Kegel, Philipp Scholz, Titanilla
Komenda und Stefan Köhler (Preisträger AALE Award Masterarbeit).
Bild: FH Aachen/Pia Wilbrand
die „Entwicklung eines Softwarewerkzeugs zur Identifikation
von Regelstrecken und Konfiguration von Reglern auf
Speicherprogrammierbaren Steuerungen“ vorgestellt. Stefan
Köhler erhielt für seine ausgezeichnete Master-Arbeit
ein Preisgeld von 1 000 Euro. Stefan Luthardt konnte sich
über 500 Euro für die beste Bachelor-Arbeit freuen.
Als Zweit- und Drittplatzierte unter den eingereichten
Bachelor-Arbeiten machten Kai Dziembala von der Hochschule
Bremen und Mirko Kegel von der FH Bielefeld das
Rennen. Dziembala hatte seine Bachelor-Arbeit zum Thema
„Prozesssichere und gesetzeskonforme Trügungsmessung“
vorgestellt. Kegel befasste sich in seiner Arbeit mit
„Wieganddraht-basierten Magnetfeldsensoren“.
Auch bei den übrigen nominierten Masterarbeiten
setzten sich interessante Themen durch. Titanilla Komenda
von der TU Technikum Wien stellte „An Exprimental
Approach to Evaluating Industrial Robot Energy Efficiency“
vor. Ihr Mitstreiter Philipp Scholz von der FH Westküste
hatte die „Regelung einer wiederzündbaren kryogenen
Oberstufe zur Unterdrückung des Treibstoffschwappens
wärend ausgewählter Manöver“ untersucht.
Die AALE-Fachkonferenz, die in diesem Jahr am 3. und
4. Mai in den Räumen der Fachhochschule Aachen stattfand,
konnte 170 Teilnehmer verzeichnen. In den rund 40
Vorträgen wurde die Brücke zwischen Industrie und Hochschule
geschlagen und über interessante Kooperationen
zwischen Instituten und Wirtschaft informiert. Eine Ausstellung
der Industriepartner zeigte Aachener Fachhochschülern,
wo ihr Know-how in der Praxis gefragt ist.
Die AALE-Fachkonferenz findet im kommenden Jahr
in Stralsund statt.
FH Aachen,
Fachbereich Elektrotechnik und Informationstechnik,
Eupener Straße 70,
D-52066 Aachen,
Tel. +49 (0) 241 600 95 21 61,
Internet: www.fh-aachen.de/aale2012
10
Studie: Informationssicherheit in europäischen
Unternehmen „furchterregend schlecht“
Die Unternehmensberatung Price Waterhouse Coopers
(PwC) attestiert mittelständischen Unternehmen in
Europa einen „fahrlässigen“ Umgang mit der Informationssicherheit.
Zu diesem Ergebnis kommen PwC und
der Datensicherheitsspezialist Iron Mountain in einer
gemeinsamen Studie. Die Befragung hatte in sechs europäischen
Ländern insgesamt 600 mittelständische Unternehmen
mit 250 bis 2500 Mitarbeitern unter die Lupe
genommen. Vier Kernbereiche wurden untersucht: Strategie
(etwa Informationsrisikostrategie), Mitarbeiter (Wie
gehen diese mit dem Internet und Social Media um?),
Kommunikation (Gibt es eine Leitlinie zum Umgang mit
Dateien?) und Sicherheit (Datenklassifizierung).
Die erzielten Ergebnisse waren laut William Rimington,
Studienverantwortlicher von PwC, „furchterregend
atp edition
6 / 2012
schlecht“. Nur 1 % der Unternehmen erkannte, dass Informationssicherheit
ein unternehmensweites Thema ist,
60 % sind nicht sicher, ob ihre Mitarbeiter über geeignete
Werkzeuge für die Datensicherheit verfügen. Nur 13 %
der Unternehmen meinten, dass Informationssicherheit
Angelegenheit des Vorstands sein sollte. Dagegen sieht
ungefähr ein Drittel (35 %) die Zuständigkeit für Informationssicherheit
bei der IT-Abteilung.
„Die meisten mittelständischen Unternehmen agieren,
sowohl was ihre eigenen als auch die Daten ihrer Kunden
angeht, fahrlässig", so Rimington.
Price waterhouse Coopers AG,
Friedrich-Ebert-Anlage 35-37, D-60327 Frankfurt am Main,
Tel. +49 (0) 69 958 50, Internet: www.pwc.de

Chinesische Produktpiraterie im
Maschinenbau 2011 erstmals rückläufig
Einen „Verfall der Sitten“, beklagte Hannes Hesse, Hauptgeschäftsführer
des VDMA (Verband Deutscher Maschinen
und Anlagenbau), im Umfeld der Hannover-Messe.
Laut einer vom VDMA durchgeführten Befragung sind
in 400 Unternehmen mehr als zwei Drittel der Maschinenund
Anlagenbauer von Produktpiraterie betroffen. Dies
betreffe Hersteller von Textil-, Kunststoff- und Gummima-
VDMA-Branche:
Der deutsche
Maschinenbau
rechnet mit einer
schwarzen Null beim
diesjährigen Umsatz.
Bild: VDMA/Dornbracht
schinen am stärksten. Laut der Studie erlitt die deutsche
Maschinenbauindustrie im vergangenen Jahr dadurch
einen Umsatzverlust von 7,9 Milliarden Euro, rund 24 Prozent
mehr als im Vorjahr.
Gegenmaßnahmen lassen derweil auf sich warten. Rund
44 Prozent der betroffenen Firmen gaben an, keine Maßnahmen
gegen Plagiate unternommen zu haben. Ursprungsland
der gefälschten Produkte ist in drei Vierteln
aller Fälle China. Allerdings war der Anteil der chinesischen
Plagiate 2011 erstmals rückläufig. VDMA-Hauptgeschäftsführer
Hesse gab eine Prognose zum Wachstum in
der deutschen Maschinenbauindustrie für 2012 bekannt.
„Die Auftragsentwicklung der letzten Monate bestätigt uns
in der Einschätzung, dass die Produktion nach dem ersten
Halbjahr das Vorjahresniveau erreichen kann“, so Hesse.
VDMA (Verband Deutscher Maschinenund
Anlagenbau e.V.),
Lyoner Strasse 18, D-60528 Frankfurt/Main,
Tel. +49 (0) 69 660 30, Internet: www.vdma.org
Ingenieurbranchen erwirtschafteten 2011 rund
45 Prozent aller deutschen Exporteinnahmen
Eine aktuelle Studie des Instituts der deutschen Wirtschaft
Köln (IW) in Kooperation mit dem Verein Deutscher
Ingenieure (VDI) hat ergeben, dass die Ingenieurbranchen
die Zugpferde der deutschen Wirtschaft sind. Die fünf
Branchen mit den höchsten Ingenieuranteilen (technischer
Service sowie Dienstleistungen in der Forschung und Entwicklung,
Elektroindustrie, Maschinenbau, Fahrzeugbau
und EDV/Telekommunikation) investieren gemeinsam
rund 73 Milliarden Euro, um Innovationen hervorzubrin-
gen. In 2011 erwirtschafteten diese Industrien 562 Milliarden
Euro. Das sind rund 45 Prozent aller deutschen Exporteinnahmen
aus dem Waren- und Dienstleistungshandel.
Zudem erzielten diese Branchen einen Auslandshandelsüberschuss
von 223 Milliarden Euro.
Institut der deutschen Wirtschaft Köln,
Konrad-Adenauer-Ufer 21, D-50668 Köln,
Tel. +49 (0) 221 498 11, Internet: www.iwkoeln.de
Zukünftige Architekturen von Automatisierungssystemen
In Ausgabe 12/2012 der atp edition
diskutiert das Magazin zukünftige Architekturen
von Automatisierungssystemen. Aktuelle
Entwicklungen der Informations- und
Kommunikationstechnologien wie Virtualisierung,
Grid Computing, vernetzte Systeme
und semantische Technologien treffen auf
Anforderungen an funktionale Sicherheit,
Anlagensicherheit und Informationssicherheit
und an die optimale bereichsübergreifende
Unterstützung der Bedienmannschaften.
Eine realistische Abschätzung der Engineering-Aufwände
und Lebenszykluskosten
ist dabei zwingend. Wir bitten Sie, bis
zum 1. August zu diesem Themenschwerpunkt
einen gemäß atp-Autorenrichtlinien
ausgearbeiteten Hauptbeitrag per E-Mail an
urbas@oiv.de einzureichen.
atp edition ist die hochwertige Monatspublikation
für Fach- und Führungskräfte
der Automatisierung. In den Hauptbeiträgen
werden Themen mit hohem wissenschaftlichem
und technischem Anspruch
und vergleichsweise abstrakt dargestellt.
Im Journalteil schlägt atp edition die Brücke
zur Praxis. Es werden Erfahrungen von Anwendern
mit neuen Technologien, Prozessen
oder Produkten beschrieben. Alle Beiträge
begutachtet ein Fachgremium. Sollten
Sie sich aktiv an dem Begutachtungsprozess
beteiligen wollen, bitten wir um Rückmeldung.
Für weitere Fragen stehen wir
Ihnen gerne zur Verfügung.
Redaktion atp
Leon Urbas, Anne Hütter
Call for
Aufruf zur Beitragseinreichung
Thema: Zukünftige Architekturen von
Automatisierungssystemen
Kontakt: urbas@oiv.de
Termin: 1. August 2012
atp edition
6 / 2012
11

anche
Offenes Safety-Profil ermöglicht eine fabrikweite
Sicherheitsarchitektur in heterogenen Anlagen
Datenaustausch über Gateways – standardisierte Prozessdaten vereinfachen die Konfiguration
Konventionelle Sicherheitstechnik im Vergleich zu modernen
Maschinenkonzepten mit integrierter Sicherheitsfunktion.
Ein offenes Schnittstellenprofil
ermöglicht einen standardisierten Datenaustausch
zwischen den Maschinenmodulen.
Für den sicherheitsrelevanten Datenaustausch zwischen
Anlagenteilen einer heterogenen Sicherheits-
Architektur standardisiert die EtherCAT Technology
Group (ETG) ein offenes Safety-Profil. Das Profil berücksichtigt,
dass innerhalb der Anlagenteile möglicherweise
unterschiedliche Bussysteme und damit deren native
Safety-Protokolle zum Einsatz kommen. Der sicherheitsrelevante
Datenaustausch zwischen den Anlagenteilen
erfolgt über Gateway-Funktionen, wobei die Prozessdaten
durch das Safety-Profil standardisiert sind, um die
Konfiguration zu vereinfachen.
unterschiedliche Kommunikationstechnologien
Die Konstruktion der Produktionsanlage ist abgeschlossen
und Herr Fastsicher stellt zufrieden fest: „Die funktionale
Kopplung der fünf Maschinenmodule verschiedener Hersteller
haben wir durch ein Ethernet-Netzwerk auf übergeordneter
Leitebene realisiert. Und da jedes Maschinenmodul
die spezifischen Sicherheitsfunktionen bereits integriert
hat, konnten wir auch die Anforderungen für den
sicheren Betrieb erfüllen.“ Sein Kollege Herr Ganzsicher
ist noch skeptisch und fragt: „Sind auf der Leitebene und
zwischen den Maschinenteilen auch die übergeordneten
Sicherheitsfunktionen realisiert? Wenn etwa im Modul A
ein Not-Aus-Taster aktiviert wird, muss auch das nachfolgende
Maschinenmodul B in einen sicheren Zustand gesetzt
werden.“ Herr Fastsicher überlegt: „Da die Maschinenmodule
intern unterschiedliche Kommunikationstechnologien
nutzen, ist ein Austausch von Sicherheitsfunktionen
nicht so einfach. Wie soll ich das machen?“
HETEROGENE ANLAGENSTRUKTUR
Produktionsanlagen bestehen häufig aus mehreren Prozessschritten,
die jeweils von separaten Maschinenmodulen
ausgeführt werden. Die Interaktion der Maschinenmodule
– geführt durch eine Leitsteuerung, die
beispielsweise vorgibt, was gefertigt werden soll – wird
heute über eine anlagenweite Vernetzung realisiert. Die
Maschinenmodule selber können dabei von unterschiedlichen
Anbietern bereitgestellt werden und nutzen
unter Umständen intern unterschiedliche Kommunikationssysteme.
Wir bezeichnen dies als eine heterogene
Anlagenstruktur.
Für die sicherheitsrelevante Kopplung der Geräte einer
Maschine ist ein klarer Trend zur Nutzung von Kommunikationssystemen
mit sicherheitsrelevanter Übertragung
zu erkennen. Intelligente Sicherheitssensoren wie
Laserscanner oder kamerabasierte Überwachungssysteme
sowie Antriebe mit integrierten sicheren Überwachungs-
und Abschaltfunktionen können über einen
Sicherheitsbus an eine sichere Logik angeschlossen werden.
Hierdurch ergeben sich wesentliche Vereinfachungen
in der Maschinenarchitektur und dadurch kurze
Reaktionszeiten sowie eine kanalspezifische Diagnose
auch für die Sicherheitsfunktionen.
verschiedene SICHERHEITSPROTOKOLLE
Die Kommunikation auf der Feldebene verwendet immer
häufiger Echtzeit-Kommunikationssysteme für den Austausch
von E/A-Daten der Sensoren und Aktoren. Verschiedene
Ethernet-basierte Technologien haben sich
12
atp edition
6 / 2012

TEchnoLogIE
schaFFT
ForTschrITT
DarT FELDbus
Eine Produktionsanlage
setzt sich aus mehreren
Maschinenmodulen zusammen.
hierfür im Markt etabliert: EtherCAT, Profinet, Ethernet/
IP und weitere. Auf der Ebene der Leitrechner oder der
Maschinenvernetzung werden einzelne Maschinenmodule
zu einer Produktionsanlage zusammengeführt. Die
Kopplung der Maschinenteile erfolgt in der Regel über
eine übergeordnete Master-Master-Kommunikation; die
Maschinensteuerungen arbeiten als Gateway zwischen
dem internen Kommunikationssystem und dem übergeordneten
Leitsystem.
Für die sicherheitsrelevante Kopplung der Maschinenteile
gelten ähnliche Randbedingungen: Die etablierten
Bussysteme haben aus historischen und technologischen
Gründen unterschiedliche Safety-Protokolle definiert.
Unter Berücksichtigung der Nutzung dieser nativen
Safety-Protokolle innerhalb der Maschinenmodule wird
für die anlagenweite Vernetzung der Module eine sichere
Gateway-Funktion benötigt.
SAFETY-GATEWAY ALS EFFIZIENTE LÖSUNG
In diesem Zusammenhang wird häufig auch der Ansatz
diskutiert, durch ein allgemeines busunabhängiges
Safety-Protokoll anlagenweite Sicherheitsfunktionen
schließen zu können. Die Zertifizierung eines busunabhängigen
Safety-Protokolls ist allerdings für den Gerätehersteller
technisch schwierig und bringt einige wesentliche
Einschränkungen mit sich: Ein Gerätehersteller
wird vorrangig das native Safety-Protokoll für die unterstützte
Busschnittstelle implementieren, um das Gerät
in diesem Markt erfolgreich platzieren zu können.
Ein zusätzliches generisches Protokoll würde daher den
Eigensicherheit ohne Leistungs-
grenzen: Die nächste Innovation
von Pepperl+Fuchs
n High Power Trunk + Eigensicherheit
erstmals kombiniert in einem
innovativen System für maximale
Sicherheit
n Hohe Leistung ermöglicht größere
Segmente mit langen Kabelwegen
n Hohe Betriebssicherheit und
Verfügbarkeit garantieren ein
Höchstmaß an Effizienz
Erfahren Sie mehr unter:
www.dart-feldbus.de
halle 11.1 · stand a41
Pepperl+Fuchs
Vertrieb Deutschland GmbH
Lilienthalstraße 200 · 68307 Mannheim
Tel. +49 621 776-2222 · Fax +49 621 776-272222
pa-info@de.pepperl-fuchs.com
www.pepperl-fuchs.de

anche
Aufwand und die Kosten für ein Gerät erheblich erhöhen.
Da dies nicht von allen Geräteherstellern unterstützt
wird, reduziert sich die Auswahl der Geräte für
den Anwender.
Eine Safety-Gateway-Funktion braucht aber nur einmal
in einem Maschinenmodul zur Verfügung gestellt
werden. Sie muss nicht einmal als eigenständiges Gerät
ausgeführt werden, sondern kann auch als Teilfunktion
der Sicherheitssteuerung implementiert sein. Das funktioniert
auch heute schon: Entsprechende Sicherheitssteuerungen,
die mehrere Safety-Protokolle unterstützen,
sind im Markt verfügbar.
MODULINTERNE SICHERHEITSFUNKTIONEN
Die Sicherheitsfunktionen der Maschinenmodule werden
in der Regel innerhalb des Moduls gelöst. Muss zum Beispiel
durch das Öffnen einer Schutzklappe eine Stoppfunktion
ausgelöst werden, dann werden die gefahrbringenden
Bewegungen innerhalb des Moduls sicher stillgesetzt
(etwa durch Stillsetzen des Sägeblattes). Die Sicherheitssteuerung
verarbeitet die Eingangsinformationen der
Sensoren und bestimmt die sicheren Reaktionen an den
Ausgängen beziehungsweise Aktoren.
Hierfür sind innerhalb des Maschinenmoduls detaillierte
Informationen über den Status und die Funktionsfähigkeit
der beteiligten Komponenten notwendig.
Wird ein defekter Sensor entdeckt, etwa über eine
Querschluss-Erkennung, dann wird für diesen Sensor
eine spezifische sichere Funktion aktiviert, und der
Anwender kann gezielt auf das fehlerhafte Gerät hingewiesen
werden.
Anlagenweit müssen zudem zwischen den Maschinenmodulen
Sicherheitsinformationen ausgetauscht werden,
um beispielsweise übergreifende Not-Aus-Funktionen
zu realisieren oder um Vorgänger- und Nachfolge-
Module über die Aktivierung von Stillstandfunktionen
zu informieren. In einer Gefahrensituation ist es unerheblich,
ob der Not-Aus-Taster an dem Maschinenmodul
angebracht ist, in dem die Gefahr erkannt wird, oder
nicht – wichtig ist eine schnelle Reaktion.
Für das Be- und Entladen einer Station ist es zudem
notwendig, sicherheitsrelevante Informationen zum Vorgänger-
beziehungsweise Nachfolgemodul auszutauschen.
Ein Materialaustausch darf beispielsweise nur
freigegeben werden, wenn sich kein Anwender in der
Gefahrenzone befindet.
VEREINHEITLICHUNG AUF PROFILEBENE
Auf Ebene der anlagenweiten Maschinenkommunikation
ist es daher nicht wichtig, kanalspezifische Informationen
der einzelnen Sensoren und Aktoren auszutauschen; vielmehr
sind der sicherheitsrelevante Gesamtstatus eines
Maschinenmoduls und die zentrale Aktivierung von Sicherheitsfunktionen
von Bedeutung. Die Schnittstelle zu
jedem Maschinenmodul erfolgt also in der Regel durch
vorverarbeitete, gefilterte Informationen; sie ist damit
schlank und kann über ein offenes Schnittstellenprofil
standardisiert werden.
Innerhalb der EtherCAT Technology Group (ETG) wird
für die Standardisierung der Daten zwischen den Maschinenmodulen
eine Profilspezifikation erarbeitet, die
oberhalb der Safety-Protokolle ein Applikationsprofil
definiert. Es handelt sich hierbei um die komprimierten
und vorverarbeiteten sicheren Prozessdaten, die ein Maschinenmodul
nach außen liefert, beziehungsweise von
außen bekommt.
Wenn sich zwei Maschinen miteinander unterhalten,
ist es für den Nachbarn nicht wichtig, ob sich dieser oder
jener Antrieb in einem sicheren Zustand befindet oder
ob ein Not-Aus-Schalter gedrückt wurde. Was aber tatsächlich
interessiert, ist – um es vereinfacht zu sagen –
die Information, ob die Nachbaranlage ein Sicherheitsproblem
hat, und wenn dem tatsächlich so ist, ob dann
die eigenen Anlagenteile weiter produzieren dürfen.
Inhalte des Schnittstellenprofils sind beispielsweise
der allgemeine sicherheitsrelevante Maschinenzustand
eines Moduls, die Information, ob das Modul sicher
gestoppt wurde oder auch eine übergeordnete Not-Aus-
Anforderung. Findet man diese Informationen in Form
eines Steuer- beziehungsweise Statuswortes an fester
Stelle auf der Schnittstelle wieder, dann ergeben sich
erhebliche Vorteile durch vordefinierte Funktionsbausteine
und durch wiederverwendbare Diagnosemöglichkeiten.
Deshalb wird eine Vereinheitlichung auf Profilebene
erarbeitet. Somit muss nur ein einziges Gerät in den Maschinenmodulen
die „Fremdsprache“ zu den anderen
Anlagenteilen beherrschen; bei den übrigen kann die
Zweisprachigkeit entfallen. Das spart Kosten und erhöht
die Flexibilität!
Für Herrn Fastsicher sind damit die übergeordneten
Sicherheitsfunktionen für seine Anlage genauso einfach
zu lösen, wie er es durch die modernen Sicherheitskonzepte
innerhalb seiner Maschinenteile gewohnt ist.
Autor
Dr.-Ing. Guido Beckmann
arbeitet seit über 15 Jahren
an der Entwicklung von
Lösungen für die industrielle
Automation. Sein besonderes
Interesse gilt dabei der
Kommunikationstechnik.
Zudem ist er Experte auf
dem Gebiet der funktionalen
Sicherheit. Beide Bereiche führt er in seiner
Arbeit in der EtherCAT Technology Group
zusammen.
EtherCAT Technology Group,
Ostenstrasse 196, D-90482 Nürnberg,
Tel. +49 (0) 911 54 05 60,
E-Mail: g.beckmann@ethercat.org
14
atp edition
6 / 2012

E20001-F160-M117
Gewinne optimiert man nicht über
Nacht. Aber Tag für Tag.
Realisieren auch Sie das Potenzial energieeffizienter Lösungen
Knapper werdende Ressourcen, steigende Energiekosten
sowie immer strengere Umweltauflagen verschärfen den
Druck auf die Industrie, effizienter als bisher mit Energie
umzugehen. Und das Potenzial ist riesig. Bis zu 70 % der
eingesetzten Energie in Industriebetrieben werden allein
durch elektrische Antriebe und Motoren verbraucht.
Ob moderne Energiesparmotoren oder innovative Software-Anwendungen
– wir bieten Ihnen ein umfangreiches
Portfolio an energieeffizienten Produkten und Lösungen
sowie umfassendes Energy Consulting. Damit erzielen
Sie auf Dauer Effizienzgewinne, die Sie immer wieder
machen. Tag für Tag.
siemens.de/energieeffizienz

Schwerpunkt | achema
Optimale Assistenz für den Anlagenfahrer erlaubt
maximale Kostenreduzierung für die Produktion
Energieeffizienzmanagement-Systeme müssen die wichtigsten Informationen übersichtlich anzeigen
Zeit
Anlagennahes
Energieeffizienzmanagement
Prozessoptimierung
Zustandsoptimierung
Do
Check
Geeignete
Prozessdaten
Geeignete
Prozessauslegung
Optimale
Prozessführung
Zustandserfassung
Zustandserhaltung
Infrastrukturoptimierung
Plan
Act
Energieeinsatz
optimieren
Regelung
optimieren
Energieoptimierte
Fahrweise
Energieflüsse
erfassen
Apparate
überwachen
Basisregelung
optimieren
. 4
Effizienzmanagement ist
per se ein iterativer Prozess,
entsprechend einem „plan –
do – check – act“-Zyklus.
Kontinuierliche Wiederholung
macht aus diesem Kreisprozess
eine Verbesserungsspirale.
Energierückgewinnung
Komponenten
modernisieren
Während der Betriebsphase
des Anlagen-Lebenszyklus muss
das Energieeffizienzmanagement
zahlreiche Anforderungen erfüllen.
Bedarfsgerechte
Fahrweise
Abb. 5
Leckagen/Verluste
erkennen
Brenn-/Rohstoffe
überwachen
Produktionsablauf
optimieren
Apparateeinsatz
optimieren
Energieeintrag (Elektrizität, Wasser, Dampf etc.)
Energieaustrag
durch Produkt
Vertragskonditionen, Produkt-,
Rohstoff- und Energiepreise
Produktions- und Wartungsplanung,
Lagerkapazitäten
ERP-Ebene
MES-Ebene
Energieeffizienz-
Management-
System
Energienutzung, Prozess- und
Anlagenkonfiguration
PLS- bzw.
Feld-Ebene
Prozessgrafik
Um die Bedienbarkeit zu optimieren, ist es hilfreich, dem
Anlagenfahrer eine leicht verständliche Übersicht über die
Energieströme zu geben. Dazu sind zusätzliche Indikatoren
erforderlich, ähnlich etwa den Pfeilen eines Sankey-Diagramms.
Handlungsempfehlungen zur Zielerreichung
viele Parameter eines Energieeffizienzmanagement-Systems
schwanken tagesaktuell
– etwa Energiepreise –, daher ist eine Einbindung
in die MES- und ERP-Ebene sinnvoll.
Ein Energieeffizienzmanagement-System ist kein Autopilot,
sondern ein Assistenzsystem. Damit es seine
Aufgaben erfüllen kann, bedarf es einer zuverlässigen,
aussagekräftigen Datenbasis, einer strukturierten, priorisierenden
Interpretation dieser Daten und vor allem
einer leicht zu erfassenden, übersichtlichen Visualisierung
der Ergebnisse sowie einer oder mehrerer alternativer
Handlungsempfehlungen. Sind diese Bedingungen
erfüllt, kann ein Energieeffizienzmanagement-System
bei minimaler Mehrbelastung der Anlagenfahrer zu einer
maximalen Energieeffizienzsteigerung und Energiekostenreduktion
führen.
Fahrerassistenzsysteme unterstützen bereits heute den
Autofahrer auf vielfältige Weise. Weil die Bedienung von
Fahrzeugen und das Verkehrsgeschehen immer komplexer
werden, weil immer mehr Daten erfasst, verarbeitet
und analysiert werden müssen, gewinnt dabei die übersichtliche,
leicht verständliche Visualisierung kontinuierlich
an Bedeutung. Das ist bei einem Anlagenfahrer
in einem prozesstechnischen Betrieb nicht anders und
gilt erst recht, wenn zusätzliche Aufgaben auf ihn zukommen:
Energieeffizienzmanagement (EEM) ist eine
solche Aufgabe.
KOSTEN SENKEN – KLIMASCHUTZ FÖRDERN
Energiemanagementsysteme nach DIN EN 16001 beziehungsweise
inzwischen DIN EN ISO 50001:2011 haben
bereits verbreitet Einzug in die Betriebe und Messwarten
gehalten. Dieser Trend wird sich verstärken, weil ihre
Einführung bald Voraussetzung sein wird, um staatliche
Vergünstigungen zu nutzen, die zu erheblich niedrigeren
Energiebeschaffungskosten führen werden.
16
atp edition
6 / 2012

Wir verändern.
Neben diesem regulatorischen Anreiz bietet effizientes
Energiemanagement jedoch viel mehr: Es hilft,
zum Erreichen der Klimaschutzziele beizutragen,
eine Aufgabe, die über Corporate Social Responsibility
(CSR) weit hinausgeht. Zudem bedeutet Energieersparnis
automatisch auch Kostensenkung, und
zwar umso erheblicher, je weiter die Energiepreise
steigen werden.
Effizienzmanagement in diesem Sinne ist per se ein
iterativer Prozess, entsprechend einem „plan – do – check
– act“-Zyklus. Kontinuierliche Wiederholung macht aus
diesem Kreisprozess eine Verbesserungsspirale.
KLARE HANDLUNGSEMPFEHLUNGEN
Anlagennahe Einsparpotenziale in der Prozessindustrie
zu identifizieren und zu realisieren erfordert:
eine ausreichende und qualifizierte Datenbasis,
die intelligente Analyse und Interpretation der
Daten,
übersichtliche Visualisierung der Ergebnisse,
aussagekräftige, nachvollziehbare Handlungsempfehlungen.
Diese Anforderungen gelten kontinuierlich während
der Betriebsphase des Anlagen-Lebenszyklus. Punktuell
spielen sie jedoch bereits bei Planung und Engineering
eine Rolle, denn hier werden die Weichen
gestellt für Effizienz, aber auch für Handhabbarkeit
und Akzeptanz des EEM.
Gerade die Bedeutung der beiden letzten Punkte
– Visualisierung und Interpretation – wird häufig
unterschätzt, obwohl sie entscheidend zur Motivation
des Bedienpersonals, damit zur betrieblichen
Akzeptanz und zum praktischen Nutzen eines EEM-
Systems beitragen.
In prozesstechnischen Anlagen mit durchschnittlichem
bis hohem Automatisierungsgrad stehen heute
bereits zahlreiche Messgrößen zur Verfügung, aus
denen sich die energetische Performance von Apparaten
oder Teilanlagen unmittelbar berechnen oder
– gegebenenfalls modellgestützt – ableiten lässt. Dennoch
gilt es bei der Einführung eines EEM-Systems
zu klären, ob die direkte Erfassung von Energieströmen,
etwa durch Wärmemengenzähler oder kontinuierliche
Brennwertbestimmungen von Energieträgern,
exaktere Daten und damit auch zuverlässigere Interpretationen
beziehungsweise Handlungsempfehlungen
liefern kann.
ALLE RELEVANTEN ENERGIESTRÖME ERFASSEN
Zudem muss gesichert sein, dass alle kosten- und klimarelevanten
Energieströme erfasst und bewertet werden.
So erfordert etwa die Einsatzoptimierung von
Abgas-Wärmetauschern mindestens die Kenntnis der
Volumenflüsse, deren zeitlicher Schwankungen und
der Temperaturen aller Abgasströme.
Durch Auswertung solcher Rohdaten gilt es, weitgehend
automatisiert optimale Strategien für Energieeinsatz
und -nutzung abzuleiten. Diese müssen der Betriebsmannschaft
in strukturierter Form vermittelt
werden. Dabei ist es vorteilhaft, den Anlagenfahrer auf
der ihm vertrauten Ebene der Prozessgrafik „abzuholen“
und ihm eine leicht verständliche Übersicht über
die Energieströme zu geben. Dazu sind zusätzliche
Indikatoren erforderlich, ähnlich etwa den Pfeilen ei-
Wir für Sie
18. – 22.06.2012
Frankfurt am Main
Halle 11.1 · Stand C75
SAMSON AG · MESS- UND REGELTECHNIK
Weismüllerstraße 3 · 60314 Frankfurt am Main
Telefon: 069 4009-0 · Fax: 069 4009-1507
E-Mail: samson@samson.de · www.samson.de
SAMSON GROUP · www.samsongroup.net
A01121DE

Schwerpunkt | achema
nes Sankey-Diagramms. Detailinformationen lassen sich
ergänzend über kaskadierende Menüs anbieten. Intuitiv
verständliche Farbschemata, übersichtliches Bildschirm-Layout
und einfache Symbole tragen dazu bei,
dass wichtige Ergebnisse der Analyse rasch und richtig
erfasst werden können. Gerade diesem Verständnisaspekt
trägt das neue „Plant Energy Efficiency Management
System“ (PEEMS) von Yokogawa explizit Rechnung.
INFORMATIONEN MASSGESCHNEIDERT FILTERN
Bei komplexen Anlagenstrukturen können rollenbasierte
Ansichten dazu beitragen, den Anlagenfahrer nicht
unnötig mit Informationen zu belasten. Wenn dieser
zum Beispiel ausschließlich die Dampf- oder Drucklufterzeugung
überwacht, braucht er nicht die Energiebilanzen
aller Verbraucher im Netz zu kennen, sondern
nur deren Bedarfe.
Ein EEM-System ist kein Autopilot, der einen Anlagenfahrer
ersetzt. Das gilt schon deshalb, weil auch zahlreiche
weitere Parameter, etwa Sicherheit, vorhandene
Rohstoff- und geforderte Produktqualität oder erforderliche
Produktivität beziehungsweise Produktionsleistung
die Fahrweise entscheidend mitbestimmen. Es ist
vielmehr ein Werkzeug zur Operator-Unterstützung.
Seine zentralen Funktionen bestehen darin:
aktuelle und energieoptimierte Fahrweise einander
gegenüberzustellen,
dem Anlagenfahrer zu vermitteln, wie groß der
(energetische) Nutzen ist, den eine Änderung der
Fahrweise mit sich brächte,
den Anlagenfahrer gegebenenfalls beim Wechsel
vom aktuellen in den optimierten Betriebszustand
zu unterstützen.
Um den Nutzen des EEM-Systems einzuschätzen, sind
die Antworten auf zwei Fragen entscheidend:
Erlaubt die Lösung eine zuverlässige Ermittlung und
Bewertung der Möglichkeiten zur Energiekosten- beziehungsweise
Emissionsreduktion? Und wird dem Anlagenfahrer
die daraus abgeleitete Handlungsempfehlung
so vermittelt, dass er rasch und zielführend darauf reagieren
kann?
PRIORISIERUNG IST ZWINGEND ERFORDERLICH
Wesentliche Komponente jedes erfolgreichen EEM-Systems
ist ein Priorisierungsalgorithmus, der die maßgeblichen
Werthebel identifiziert. Diese Einstufung ist
zwingend erforderlich, damit sich die Betriebsmannschaft
auf die energieoptimierte Fahrweise jener Anlagenkomponenten
konzentrieren kann, die den größten
Nutzen verspricht. Gerade in komplexen Betrieben mit
vielen Hilfsaggregaten ist nur so ein Effizienzgewinn
ohne unzumutbare Mehrbelastung des Betriebspersonals
möglich. Nur wenn es gelingt, den Blick des Anlagenfahrers
auf die entscheidenden Komponenten zu
lenken, wird ganzheitliches EEM von Verbundanlagen
oder Standorten überhaupt möglich.
Dabei kann es durchaus sinnvoll sein, dem Anlagenfahrer
mehrere, hinsichtlich der Energiebilanz ähnliche
Alternativen anzubieten. So mag zum Beispiel die Nutzung
eines bestimmten Wärmetauschers in einer speziellen
Betriebssituation energetisch geringfügig überlegen
sein. Wenn diese Betriebsänderung aber zahlreiche Bedieneingriffe
erfordert und gegebenenfalls sogar die Prozessstabilität
vermindert, etwa infolge Wartungseingriff
oder Komponententausch, dann sprechen betriebliche
Gründe gegen die Änderung, solange die Energieeinsparungen
nicht signifikant sind. Es ist also wichtig, dem
Anlagenfahrer zu verdeutlichen, wie groß das Einsparpotenzial
ist, damit er Nutzen und Risiken abwägen kann.
Ein anderer Aspekt betrifft die Entwicklung der Anlage
selbst über den Lebenszyklus hinweg. Mit zunehmender
Größe und wachsender Komplexität des Betriebs
muss auch das EEM mitwachsen können. Was im Extremfall
mit einem kleinen Recorder-basierten System
beginnt, mag sich dabei über das Stadium einer Steuerung
durch eine Einzel-SPS bis zur Einführung eines
Prozessleitsystems entwickeln. Die Struktur des EEM-
Prozesses und damit oft auch die entscheidenden Hebel
für eine energieoptimierte Fahrweise bleiben dabei erhalten,
sodass es sinnvoll ist, dieses Wissen zu bewahren
und fortzuschreiben.
EINBINDUNG IN MES- UND ERP-EBENE
Verfügbarkeit und Beschaffungskosten von Energien
wie Elektrizität, Dampf oder Druckluft unterliegen gerade
in Großanlagen ständigen Schwankungen, sind
aber zugleich entscheidende Rahmenparameter des
EEM. Produktions- und Wartungsplanung, Absatz und
Lagerkapazitäten beeinflussen die Produktivität. Dies
macht eine weitgehende vertikale Integration des EEM-
Systems bis in die MES- und ERP-Ebene hinein wünschenswert
und nützlich. So könnten sich Handlungsempfehlungen
des EEM stets an aktuellen Gegebenheiten
im Unternehmen beziehungsweise am Standort
orientieren. Verwirklicht ist eine solche Integration
bisher oft nur in Ansätzen.
Autorin
M. Eng. Cathrin Janssen
ist tätig im Industrial
Automation Business
Development bei Yokogawa.
Yokogawa Deutschland GmbH,
Broichhofstr. 7-11, D-40880 Ratingen,
Tel. + 49 (0) 2102 498 34 63,
E-Mail: cathrin.janssen@de.yokogawa.com
18
atp edition
6 / 2012

Schwerpunkt | achema
Kosten senken und Steuern sparen – zertifiziertes
Energiemanagement steigert die Wirtschaftlichkeit
ISO DIN EN 50001 bildet die Grundlage – Softwarelösungen setzen Effizienzsteigerungen um
Energiemanagement-Software in der Praxis:
Die Daten zahlreicher Messstellen werden exakt und kontinuierlich
erfasst. Auf dieser Basis lassen sich Einsparpotenziale ermitteln
und konkrete Maßnahmen planen.
Verbrauchsprofil einer Messstelle:
Die Energiemanagement-Software von
Endress+Hauser stellt eine Vielzahl an
Analysemöglichkeiten zur Verfügung.
Integration von Zählimpulsen auf
den Ethernet-Systembus: Im beispielhaft
betrachteten Elektrostahlwerk wurden
zunächst Daten von Stromzählern, Sauerstoff-,
Stickstoff- und Argonmessungen sowie
Daten aus bestehenden Systemen in die
Energiemanagement-Software integriert.
Ein systematisches Vorgehen zur Reduzierung des
Energieverbrauchs zahlt sich doppelt aus: In der
Regel lassen sich die Kosten deutlich senken, zudem
können Unternehmen ab 2013 Nachlässe bei Energieund
Stromsteuern nur dann in Anspruch nehmen,
wenn sie durch ein zertifiziertes Energiemanagement-
System gemäß ISO DIN EN 50001 Energieeinsparungen
nachweisen. Dies sieht das Energiekonzept der Bundesregierung
vor.
Die Methodik zur Energieeinsparung mithilfe einer
Energiemanagement-Software, wie sie Endress+Hauser
anbietet, lässt sich gut am Beispiel eines Elektrostahlwerks
zeigen. Dort wird Stahlschrott mithilfe eines
Lichtbogens eingeschmolzen, dessen Erzeugung enorme
Energiemengen erfordert. Mit einem Bedarf von mehr
als 1 TWh pro Jahr steht dieser Kernprozess für zirka
80 Prozent des Stromverbrauchs. Der restliche Anteil
verteilt sich unter anderem auf die Sauerstoff- und
Drucklufterzeugung sowie die Walzstraße. Von diesen
rund 200 GWh Strom pro Jahr lässt sich oft ein großer
Teil einsparen, sodass unterm Strich die Kosten sinken
und die Effizienz der Produktion gesteigert wird.
DEN ANLAGENZUSTAND ANALYSIEREN
Dafür muss zunächst Transparenz geschaffen werden. Im
ersten Schritt ist es wichtig, den aktuellen Anlagenzustand
und die Energieflüsse zu kennen. Durch eine Bestandsaufnahme
werden in den Bereichen Energieerzeugung,
-verteilung und -verbrauch die energetisch relevanten
Daten aufgenommen. Bereits laufende Energiemessun-
20
atp edition
6 / 2012

gen werden bewertet, Energieverbraucher dokumentiert
und fehlende Energiemessstellen zusätzlich erfasst.
Bei einem Druckluftsystem werden beispielsweise
Kompressortyp und Leistung sowie der Systemzustand
dokumentiert. Für noch einzurichtende Energiemessstellen
werden alle notwendigen Umgebungs- und Prozessbedingungen
wie die Nennweite der Rohrleitung
aufgenommen. Der Einbauort wird zusätzlich mit einem
Foto dokumentiert.
Frühzeitig muss untersucht werden, ob und wie sich
jede Energiemessstelle später in eine Energiemanagement-Software
integrieren lässt. Auch Struktur und Verhältnisse
der Energieflüsse werden analysiert. Eine Bestandsaufnahme
über alle relevanten Versorgungsenergiekreisläufe
ist sinnvoll, um bei der späteren Konzepterstellung
erkennen zu können, in welchen Bereichen
die größten Einsparpotenziale und die kürzesten Amortisationszeiten
zu erwarten sind.
Im beispielhaft betrachteten Elektrostahlwerk wurden
etwa im Druckluftsystem die Druckluftmengen und Drücke
im Vorfeld temporär gemessen. Auf dieser Basis zeigten
sich vor allem im Bereich Druckluft zur Kühlung
erhebliche Einsparpotenziale. Durch eine übergreifende
Betrachtung wurden auch bei der Beleuchtung große
Einsparmöglichkeiten aufgedeckt.
Einfache Berichterstellung bringt
Transparenz: Über die Energiemanagement-
Software konnten Einsparungen in der
Druckluftmenge von durchschnittlich 53 Prozent
nachgewiesen und dokumentiert werden.
Controlling der
Energiedaten
Einsparungen
bis zu 20 %
Optimieren
Prozess
Transparenz
des Verbrauchs
Analyse der
Energiedaten
Einsparungen
bis zu 8 %
Energiedaten
erlassen
Systematisches Vorgehen bei der Reduzierung
der Energieverbräuche zahlt sich aus. Einen optimalen
Leitfaden zur Einführung eines Energiemanagementsystems
stellt die ISO DIN EN 50001 dar.
ENERGIEKONZEPT UND EFFIZIENZANALYSE
Die Erkenntnisse und Informationen aus der Bestandsaufnahme
fließen in die Erstellung eines ganzheitlichen
Energiekonzeptes mit ein. Über die Bewertung von bereits
installierten Energiemessstellen können bei Bedarf
Empfehlungen für einen Austausch der Messstellen getroffen
werden. Für noch einzurichtende Energiemessstellen
werden auf Basis der Umgebungs- und Prozessbedingungen
die geeigneten Messprinzipien ausgewählt.
Bei der Konzepterstellung werden neben der Auslegung
der Messstellen auch die notwendigen Komponenten
zur Integration in eine Energiemanagement-Software
kalkuliert. So können die Kosten zur Nachrüstung und
Integration der Energiemessstellen in einer frühen Phase
ermittelt werden. Das Energiekonzept enthält zusätzlich
Angaben zur Weiterverarbeitung und Auswertung
der Energiedaten. Beispiele hierfür sind die Berechnung
des Wirkungsgrades eines Dampfkessels oder eines
Druckluftsystems. Eine Effizienzanalyse liefert Angaben
zu Einsparpotenzialen und Amortisationszeiten der Einsparmaßnahmen
sowie Handlungsempfehlungen für die
Versorgungsenergiekreisläufe.
Sämtliche Informationen gehören zu einer Zertifizierung
gemäß ISO DIN EN 50001 und werden schriftlich
dokumentiert. Im Beispielfall des Elektrostahlwerkes
wurden als erster Schritt Maßnahmen im Bereich von
Druckluftleckagen und Druckluftverbraucher zur Kühlung
von Sensoren und Kameras vorgeschlagen.
ZUVERLÄSSIGE UND EXAKTE MESSWERTE NÖTIG
Erforderlich sind zuverlässige und genaue Energiemesswerte.
Wird beispielsweise bei einer Dampfmengenmessung
auf eine Druck- und Temperaturkompensation verzichtet,
können in der Praxis leicht Messfehler in einem
Bereich von rund 20 Prozent entstehen. Abhängig von
den Energiezielen eines Unternehmens und der Priorisierung
der Maßnahmen gilt es, Lücken in der Energiemessung
durch zusätzliche Messstellen zu schließen
oder in die Jahre gekommene Messstellen, welche die
geforderte Genauigkeit nicht mehr erreichen, zu ersetzen.
Mit jeder neuen Energiemessstelle erhöht sich die
Transparenz der Energieflüsse sowie der Energieverbräuche
im Unternehmen. Im Beispiel des Elektrostahlwerks
wurden im ersten Schritt neue Messstellen zur Ermittlung
des Sauerstoff-, Stickstoff- und Argonverbrauchs
installiert und diese in die Endress+Hauser-Energiemanagement-Software
integriert.
atp edition
6 / 2012
21

Schwerpunkt | achema
TRANSPARENZ AUF EINEN BLICK
Die Energiemanagement-Software bringt Transparenz
der Energieströme auf einen Blick. Offenheit, Flexibilität
und Modularität der webbasierten Software spielen
eine wichtige Rolle. Die Software lässt sich gezielt
an konkrete Funktionalitäten, Anwender und Messstellen
anpassen. Durch die Erstellung eines Energiekonzeptes
wird auf Basis der bestehenden Anlagentopologie
und der angestrebten Energieziele frühzeitig
eine geeignete Struktur im Hinblick auf flexible Erweiterbarkeit
geplant.
Über welche Quellen und Schnittstellen können Daten
in die Energiemanagement-Software einfließen?
Energiemessstellen aus der Feldebene können über Protokollwandler,
Datenspeicher oder speicherprogrammierbare
Steuerungen integriert werden. Werden bestehende
Messstellen beispielsweise bereits über Gebäude-
beziehungsweise Produktionsleitsysteme oder
Scada-Systeme erfasst, ist eine direkte Kopplung zwischen
diesen Systemen und der Energiemanagement-
Software möglich.
Werden Zähler noch nicht automatisch erfasst, können
Zählerstände auch manuell eingegeben werden. Zur Berechnung
von Energiekennzahlen wie Energieverbrauch
pro Einheit eines produzierten Produkts können Fakturierungsdaten
in die Energiemanagement-Software übertragen
werden. Um eine hohe Datensicherheit zu erreichen,
hat sich die Integration und Kopplung über CSV-
Dateien bewährt. Diese bieten den Vorteil, dass bei eventuellen
Ausfällen von Unternehmensnetzwerken keine
Datenverluste entstehen und Datenlücken automatisch
geschlossen werden, nachdem die Netzwerke wieder zur
Verfügung stehen.
DATEN WERDEN LÜCKENLOS ARCHIVIERT
Die lückenlose Archivierung von Energiedaten bildet
wiederum die Basis für weitere Analysen und Auswertungen.
Über das Berichtswesen können Energieinformationen
passend an die Zielgruppen von der Geschäftsführung
bis hin zum Anlagenbediener verteilt werden.
So wird ein hoher Informationsinhalt erreicht. Die kontinuierliche
Messung ermöglicht eine stetige Überwachung
der Prozesse und Systeme. Dabei unterstützt die
Energiemanagement-Software durch eine automatische
Alarmierung.
Eine Energiemanagement-Software erlaubt nicht nur
die Planung einer bedarfsgerechten Wartung und Instandhaltung,
sondern sichert auch nachhaltig die Produktionseffizienz
und -qualität. Im Fall des Elektrostahlwerkes
beispielsweise werden durch die Lastkontrollanlage
bereits sehr viele Daten wie Wirkleistung,
Scheinleistung und Schaltzeiten der Elektroöfen aufgezeichnet
und archiviert. Die Auswertung erfolgte zuvor
manuell monatlich. Weitere rund 250 Zähler wurden
monatlich manuell abgelesen, erfasst und ausgewertet.
In der ersten Ausbaustufe wurden Daten von 30 Stromzählern,
die Verbrauchsdaten der neu installierten Sauerstoff-,
Stickstoff- und Argonmessungen sowie Daten
aus bestehenden Systemen wie der Lastkontrollanlage
und Chargenprotokolle der Elektroöfen in die Energiemanagement-Software
integriert. Die Auswertung erfolgt
seitdem automatisch und mit einer enormen Zeitersparnis.
DRUCKLUFTVERBRAUCH SINKT UM 53 PROZENT
Durch eine Energiemanagement-Software und die erreichte
Transparenz kann der Energieverbrauch erfahrungsgemäß
schon mit einfachen Maßnahmen um etwa
6 bis 9 Prozent gesenkt werden. Weitere Einsparmöglichkeiten
lassen sich durch gezielte Analysen bestimmen.
So wurden im Elektrostahlwerk hohe Potenziale im Bereich
von Druckluftleckagen und im Verbrauch von
Druckluft zur Kühlung von Sensoren und Kameras festgestellt.
Im ersten Schritt wurden 1 800 Druckluftleckagen
ermittelt und 1 200 davon direkt eliminiert. Diese
Maßnahmen ergaben eine Kosteneinsparung von 120 000
Euro pro Jahr. Bei der Kühlung von Sensoren und Kameras
sorgen spezielle Druckluftdüsen nun für Einsparungen
von durchschnittlich 53 Prozent der Druckluftmenge.
Insgesamt wurden 80 Anwendungen optimiert. Das
Ergebnis dieser Maßnahmen sind jährliche Einsparungen
von 6,2 Millionen Normkubikmeter, was 850 000 kWh
und einem CO 2 -Ausstoß von 528 Tonnen entspricht. Hinzu
kommen als weiterer Vorteil ab 2013 noch die Rückerstattungen
bei den Energiesteuern.
Autor
Daniel Stolz
ist Marketingmanager
Prozessautomatisierung
bei Endress+Hauser.
Endress+Hauser Messtechnik GmbH+Co. KG,
Colmarer Straße 6, D-79576 Weil am Rhein,
Tel. +49 (0) 7621 97 58 21,
E-Mail: daniel.stolz@de.endress.com
22
atp edition
6 / 2012

Automatisierung
auf den Punkt
FORSCHUNG
BEST PRACTICE
EVENTS
Nutzen Sie das neue
Medienspektrum
• Der Nachrichtendienst atp!info ist die konsequente
Ergänzung zur Fachpublikation atp edition.
Sparen Sie Zeit und nutzen Sie das umfassende
Info-Angebot von atp!info gratis.
Trends
Branchennachrichten
für Experten
• Mit atp!info bietet Ihnen die atp-Redaktion
einen schnellen, digitalen Nachrichtenservice.
• Mit atp!info erfahren Sie direkt und komprimiert,
was die Automatisierungsbranche bewegt.
atp!info ist das moderne Info-Medium, das
Ihnen Nachrichten liefert und über das Sie
Nachrichten recherchieren können.
Rund um die Uhr
erstklassig informiert
• Branchenrelevante Meldungen laufend
aktualisiert – immer und überall.
• Umfangreiche Archivfunktionen für Ihre
persönlichen Recherchen.
Technologie
Jetzt
online:
www.atpinfo.de
Innovationen
Messen
PRODUKTE
Verfahren
Hochschulen
atp!info ist ideal für unterwegs und für
den Einsatz auf mobilen Endgeräten.
Entwicklungen
KARRIERE
atp!info-Team | Oldenbourg Industrieverlag GmbH | Rosenheimer Straße 145 | 81671 München

Schwerpunkt | achema
Neue Feldbus-Infrastruktur steigert Transparenz
und Betriebssicherheit in indischer Zuckerfabrik
Mit Field Connex wurden Planung, Installation und Implementierung entscheidend beschleunigt
Die Zuckerraffinerie Shree
Renuga Sugar setzt den Fernzugriff
konsequent für alle Feldinstrumentierung
ein und erreicht damit eine bessere
Anlagenverfügbarkeit bei reduzierten
Instandhaltungskosten.
Mit Farben der NAMUR-Ampel nach
NE 107: die Oberfläche, um die Feldbusphysik
intakt und performant zu erhalten.
Vorverdrahtet und
installationsbereit:
Die Junction Box mit
Segment Protector
verbindet die Feldgeräte
mit dem Feldbustrunk.
Nach zwei Wochen erfolgloser Fehlersuche in einer
Zuckerraffinerie wurde man beim indischen Unternehmen
Shree Renuga Sugars auf das Advanced Diagnostic
Modul von Pepperl+Fuchs aufmerksam. Damit
konnte die Ursache des Problems im Handumdrehen
ermittelt werden. Grund genug für den indischen Zuckerhersteller
bei einer neuen Fabrik auf Foundation
Fieldbus H1 und vor allem Field Connex-Komponenten
von Pepperl+Fuchs zu setzen.
Shree Renuga Sugars Ltd. ist in der Zuckerverarbeitung
und der Herstellung von Bioenergie und Düngemitteln
tätig. Das 1998 in Mumbai gegründete Unternehmen gilt
als der fünftgrößte Zuckerproduzent der Welt und betreibt
neben acht Produktionsstandorten in Indien vier
Zuckerfabriken in Brasilien.
MODERNE PRODUKTIONSTECHNOLOGIE
Ein Beispiel für die moderne Produktionstechnologie von
Shree Renuga Sugar ist die Haldia-Zuckerraffinerie im
indischen Bundesstaat Westbengalen. Wie an allen anderen
Standorten beruht auch hier die Prozesssteuerung auf
einer Profibus-PA-Infrastruktur aus 15 Feldbus-Segmenten
in Verbindung mit einem Siemens-Automationssystem.
Pepperl+Fuchs war den Managern von Shree Renuga
Sugars lediglich als Lieferant von Näherungsschaltern
ein Begriff. Diese wurden vom Unternehmensbereich
Fabrikautomation geliefert und für zahlreiche Überwachungsaufgaben
innerhalb der Produktionsprozesse eingesetzt.
Doch dann sorgte ein schlichter Kabelfehler für
weitreichende neue Erkenntnisse.
Der erste Kontakt zwischen Shree Renuga Sugars mit
dem Bereich Prozessautomation von Pepperl+Fuchs war
ein Anruf von Senior Manager Instrumentation Haribabu.
Es ging um zwei Feldbus-Segmente in der Haldia-
Raffinerie, deren Instrumente einfach nicht in den Anzeigen
des Systems auftauchen wollten. Ganze zwei
Wochen hatte man nach der Ursache des Problems gesucht,
ohne des Rätsels Lösung zu finden. Doch dann
kam das Stichwort Advanced Diagnostics auf, und es fiel
der Name Pepperl+Fuchs.
SCHNELLE LÖSUNG MIT ADVANCED DIAGNOSTICS
Haribabu zögerte nicht lange und beauftragte den technischen
Service von Pepperl+Fuchs, sich des seltsamen
Problems anzunehmen. Also rückte ein Servicetechniker
der indischen Pepperl+Fuchs-Niederlassung an,
24
atp edition
6 / 2012

packte sein mobiles Advanced Diagnostic Modul (ADM)
aus und wurde schon nach kurzer Zeit fündig. Er analysierte
die Situation mithilfe des Expertensystems, tippte
auf ein bestimmtes Kabel als Problemursache und sollte
recht behalten. Das Kabel wurde ausgetauscht und sofort
erschienen alle Feldgeräte innerhalb des Segments wieder
im System. Im zweiten Feldbus-Segment wiederholte
sich der Ablauf. Auch hier lag kein Gerätefehler vor,
sondern schlicht und einfach eine fehlerhafte Kabelverbindung.
In einem Fall war es ein Massefehler, im anderen
ein extrem hoher Störpegel, der dem Nutzsignal keine
Chance ließ.
Dank Advanced Diagnostics war innerhalb weniger
Stunden ein Problem gelöst worden, das zuvor ein ganzes
Team wochenlang beschäftigt hatte. Die Ingenieure und
Techniker waren begeistert, und man entschloss sich
spontan, den Serviceauftrag auf alle übrigen Segmente
der Anlage zu erweitern. Außerdem wurde umgehend
ein mobiles ADM bestellt, um künftigen Problemen mit
der physikalischen Feldbusebene ebenso schnell auf die
Spur kommen zu können.
HÖHERE TRANSPARENZ UND BETRIEBSSICHERHEIT
Für Haribabu und sein Team musste die Situation ein
echter Augenöffner gewesen sein. Er hatte erkannt, welche
ungeahnten Möglichkeiten Advanced Diagnostics
zu bieten hat und wollte umgehend Näheres über den
aktuellen Stand der Feldbus-Technologie erfahren. Daher
besuchte er eine Schulung, wie sie Pepperl+Fuchs
allen Interessierten aus der Prozessindustrie anbietet,
um das Bewusstsein für busgestützte Systeme in der
Prozessautomation zu erweitern. Dabei wurde Haribabu
auf die Field Connex-Feldbusinfrastruktur von Pepperl+Fuchs
aufmerksam. Er erkannte, dass diese Produktreihe
konsequent darauf ausgelegt ist, Planung,
Installation und Implementierung einer Feldbus-Infrastruktur
entscheidend zu beschleunigen. Und er sah
sofort, wie diese Hardwarebasis während des gesamten
Lebenszyklus der Prozessanlage zu mehr Transparenz,
Betriebssicherheit und Verfügbarkeit beiträgt. Eigenschaften,
die jeden Prozessverantwortlichen aufhorchen
lassen.
KONSEQUENT DIGITALISIERTE PROZESSANLAGE
Die neu gewonnenen Erkenntnisse sollten sich schnell
bezahlt machen. Haribabu musste nämlich wenig später
die Feldinstrumentierung eines völlig neuen Werkes umsetzen,
das Shree Renuga Sugars im westindischen Bundesstaat
Gujarat errichtete.
Dort entstand eine konsequent digitalisierte Prozessanlage,
bei der gezielt der neueste Entwicklungsstand in
der Prozessautomation umgesetzt werden sollte. Die Prozesssteuerung
erfolgt über ein Automatisierungssystem
von Yokogawa. Die Prozessinstrumentierung wird über
Foundation Fieldbus H1 angebunden. Spezielle Feldgeräte,
wie Frequenzumrichter-Antriebe laufen über Profibus
DP, während alle Sensoren, Aktoren und die einfachen
I/Os über einen AS-I-Bus angeschlossen sind.
Nachdem ihn Advanced Diagnostics und Field Connex
überzeugt hatten, entschied sich Shree Renuga Sugars,
am Standort Gujarat zusätzlich zu den Näherungsschaltern
erstmals auch Field Connex von Pepperl+Fuchs
einzusetzen. „Installation und Inbetriebnahme verliefen
einfach reibungslos“, lautete Haribabus Kommentar, als
er diesen neuen Ansatz zur Feldbus-Kommunikation mit
dem verglich, was er bisher erlebt hatte.
Wobei in diesem Zusammenhang interessant ist, dass
Pepperl+Fuchs in einer engen strategischen Kooperation
mit Yokogawa steht. Diese Kooperation hat unter anderem
zu einer direkten Integration des Advanced-Diagnostic-
Moduls in die Yokogawa-Prozesssteuerung geführt. Und
daraus entstanden unter anderem speziell an die Yokogawa-Steuerung
angepasste Power Hubs. Sie sind mit
speziellen Steckverbindern ausgerüstet, die nicht nur den
Installationsaufwand minimieren, sondern auch deutlich
weniger Platz im Schaltschrank beanspruchen.
Die Kooperation zwischen Yokogawa und
Pepperl+Fuchs half auch beim Aufbau der Produktionsanlage
von Shree Renuga Sugars in Gujarat: Alle
Pepperl+Fuchs-Komponenten wurden über Yokogawa
geliefert und vor Ort montiert.
EINFACHE MONTAGE UND WARTUNG
Pepperl+Fuchs lieferte Power Hubs und Segment-Protektoren
aus seinem Field Connex-Portfolio sowie AS-I-Interface-Module
und Repeater. Diese Feldbusinfrastrukturkomponenten
erlauben nicht nur eine problemlose
Realisierung der erforderlichen Eigensicherheit in explosionsgefährdeten
Bereichen. Sie bieten auch praxisgerechte
und zeitsparende Montagetechniken und tragen mit
intelligenten Lösungen zu einer problemlosen Wartung
bei. So ist zum Beispiel bei einem Modulaustausch keinerlei
Konfigurationsaufwand erforderlich. Stattdessen
erkennt der Controller, dass ein baugleiches Ersatzmodul
eingesetzt wurde, und weist diesem automatisch die richtige
Adresse zu. Außerdem lässt sich die Netzwerktopologie
beliebig festlegen und jederzeit zum Beispiel durch
zusätzliche Abzweige erweitern.
Dazu kommen natürlich die weitreichenden Diagnosefähigkeiten
von Advanced Diagnostics, die die gesamte
physikalische Feldbusebene umfassen und sich selbst
auf den einfachsten Sensor erstrecken.
Mit den Field-Connex-Feldbuskomponenten wurden
also im neuen Werk Gujarat von Shree Renuka Sugars
gleich von Anfang an optimale Voraussetzungen geschaffen,
um die gesamte Infrastruktur zur Prozesssteuerung
im Auge zu behalten und eine zeitaufwendige Fehlersuche
zu vermeiden.
Autor
Andreas Hennecke
ist Produkt Marketing
Manager im Geschäftsbereich
Prozessautomation
bei Pepperl+Fuchs.
Pepperl+Fuchs GmbH,
Lilienthalstrasse 200, D-68307 Mannheim,
Tel. +49 (0) 621 776 16 01,
E-Mail: ahennecke@de.pepperl-fuchs.com
atp edition
6 / 2012
25

Schwerpunkt | achema
Zentrales Engineering Tool erleichtert
As-built-Dokumentation und asynchrone Planung
Konsistente Anlagendaten trotz Um- und Anbauten mit Engineering Base von Aucotec
Übersichtlich: Eine gemeinsame Datenbasis für verschiedene Engineering-Disziplinen
verknüpft die Prozesse konsistent und schafft Synergien.
Das Lifecycle-Management von Anlagen macht es
immer erforderlich, die aktuelle Dokumentation
einer Anlage greifbar zu haben, trotz oder gerade wegen
häufiger Umbauplanung und Wartungsarbeiten.
Diese „As-built“-Dokumentation sollte den Zustand
der Anlage so genau wie möglich zeigen. Unterschiedliche
Disziplinen, etwa Rohrleitungsplanung, Instrumentierung
und Planung der Prozessleitsysteme (PLS)
sowie Sub-Lieferanten müssen hierbei koordiniert
miteinander arbeiten und ihre Ergebnisse zusammenführen.
Dabei ist unbedingt sicherzustellen, dass auf
unterschiedlichen Dokumenten sowohl dieselben Geräte
als auch derselbe Ergebnisstand dargestellt sind.
Mit einer inhomogenen Toollandschaft ist eine zuverlässige
As-built-Dokumentation nicht effizient zu leisten.
Selbst ein enormer Aufwand gewährleistet nicht
die Konsistenz bei der Zusammenführung der Daten
aus den verschiedenen Disziplinen.
Fast jeder Lebenszyklus einer Anlage erfordert mittelbis
langfristige Planungsprojekte für Umbauten. Dies
macht das gleichzeitige Sicherstellen des aktuellen „Asbuilt“-Stands
einer Anlage sehr komplex. Häufig überlappen
sich solche Prozesse zeitlich, außerdem werden
Teilprojekte an Sub-Lieferanten ausgelagert. Aufwendige
Abstimmungsprozesse, Missverständnisse oder unterschiedliche
und falsche Daten sind vorprogrammiert.
Das führt zu Verzögerungen und verursacht zusätzliche
Kosten.
INTEGRATION ÜBER ZENTRALE DATENBANK
All diese Anforderungen können erfolgreich gelöst
werden, wenn das verwendete Tool in der Lage ist, Engineering,
Daten-Management und Dokumentation in
einem interdisziplinären, integrierten Ansatz zu kombinieren.
Ein charakteristisches Merkmal dieser Tools
ist der Besitz eines virtuellen Anlagenmodells. Jeder
echte Artikel der Anlage ist durch genau ein Objekt im
Modell repräsentiert.
Eines der wenigen Systeme, die das bisher können,
ist das Software-System Engineering Base (EB) von Aucotec.
Sein Grundkonzept basiert auf einer mehrschichtigen
Systemarchitektur mit zentraler Datenbank als
Basis aller Informationen. Mit diesem Grundprinzip
bietet die Software verschiedene Lösungen für Engineering
und Wartung sowohl in der Prozesstechnik als
auch im Maschinen- und Anlagenbau, der Energiever-
26
atp edition
6 / 2012

sorgung und der Kabelstrangentwicklung für mobile
Systeme. Basierend auf der besonderen Dreischicht-
Architektur lassen sich mit diesem System asynchrone
Planungsprozesse konsistent realisieren.
VON JEDEM OBJEKT NUR EINE DARSTELLUNG
Die erste Schicht bildet der SQL-Server von Microsoft, der
als eines der sichersten Datenbanksysteme gilt. Er enthält
sämtliche Engineering-Informationen. Dabei ist gewährleistet,
dass die unterschiedlichen Verknüpfungen der
Daten erhalten bleiben. Nichts wird separiert oder liegt
herausgelöst in schlichten Files. Das Datenmodell ist absolut
komplett. Sämtliche Geräte und Vorschriften sowie
die Daten korrespondierender Autorensysteme wie 3D-
CAD oder Steuerungssoftware-Codes sind darin abgelegt.
Jedes Objekt kommt dabei nur einmal vor, der Anwender
kann diese Objekte aber in beliebiger Darstellung aufrufen
und bearbeiten. Egal, ob in Explorer, Grafik oder Tabelle
gearbeitet wird, jede Änderung erscheint automatisch
auch in den anderen Ansichten.
Der Application Server bildet die zweite Schicht. Er
sorgt für eine große Entlastung von Netz und Traffic.
Mit dieser Systematik sparen sich die Nutzer das Laden
sämtlicher Pläne, wenn sie eigentlich nur eine Liste
aller Messstellen benötigen.
Stattdessen stellt die Client-Ebene die Anfrage an den
Application Server, der die Daten aus dem SQL-Server
zieht, die Rechenleistung übernimmt und die Informationen
an die Nutzer „weitergibt“. Sie bilden die dritte
Schicht in diesem Modell. Diese Konstellation ermöglicht
es, die Anwendung vom Einzelplatz bis zur globalen
Unternehmenslösung auszuweiten. So kann simultan
und von verschiedenen Abteilungen, auch von
weltweit verteilten Standorten aus, an dem Datenmodell
gearbeitet werden. Intelligente Updateroutinen unterstützen
zusätzlich den konstanten Überblick über alle
Änderungen und Weiterentwicklungen.
„AS-BUILT“: AKTUELL TROTZ UM- UND ANBAU
Bei Um- und Anbauprojekten größeren Umfangs lassen
sich mit dem beschriebenen Tool die Daten entsprechender
Teilprojekte zur separaten Bearbeitung auslagern,
ohne den aktuellen Stand der Anlagendokumentation zu
beeinträchtigen. Wer im ursprünglichen „As-built“-Projekt
arbeitet, wird gezielt auf Auslagerungen hingewiesen.
Dies geschieht in Grafik und Objektbaum des „As-built“-
Projektes und in den verschiedenen Assistenten, vom
Verdrahtungsmanager bis hin zur Zuordnungs-Unterstützung
für die SPS-I/Os.
In einem ersten Schritt, der Reservierung, lassen sich
aus dem „As-built“-Projekt über einen Manager die gewünschten
Daten ziehen. Alle Elemente, bei denen die
Attribute „Reserviert“ und „Export“ bestätigt sind,
zeigt der Objektbaum des Zielprojekts an. Reservierte
Objekte können sowohl Betriebsmittel, also Geräte, Kabel
und Einbauorte sein als auch Funktionen und Dokumente.
Beim Reservieren berücksichtigt das System
während der Daten-Zusammenstellung auch die logischen
Zusammenhänge. Soll beispielsweise ein ganzer
Schrank umgebaut werden, wählt Engineering Base
automatisch alle Pläne aus, die Elemente dieses Schrankes
enthalten. Wird ein Ort reserviert, werden alle Objekte
unterhalb mit einbezogen, bei Reservierung eines
Gerätes auch alle Sub-Geräte.
Im zweiten Schritt legt der Planer den Exportumfang
fest, der flexibel konfigurier- und erweiterbar ist. Hier
wird bestimmt, ob der Reservierungsumfang als Informationsbasis
ausreicht oder ob Zusatzinformationen
zum Überblick über die Rahmenbedingungen in der
Anlage notwendig sind, etwa ein R&I-Schema oder eine
Raumansicht des Schaltschrankstandortes. Eine Reihe
von Optionen unterstützt die Projekteure dabei. So lässt
sich angeben, ob die Kabelziele der Unterelemente mit
berücksichtigt werden sollen, ob ein Zielprojekt parallel
zum Quellprojekt separat angelegt oder als Transportcontainer
abgelegt werden soll.
Während im „As-built“-Projekt alle reservierten Elemente
zu erkennen sind, ist es beim zu bearbeitenden
Zielprojekt genau umgekehrt. Die ausgelagerten Elemente
sind unmarkiert, alle zusätzlich exportierten
Daten werden gekennzeichnet.
KONKURRENZLOS: Konsistente Datenintegration
Wenn nach der Umbauplanung das modifizierte Projekt
wieder importiert wird, hilft ein spezieller Synchronisations-Manager
bei der konsistenten Integration der Daten
in den neuen, aktuellen „As-built“-Stand der Anlagendokumentation.
Der Abgleich funktioniert interaktiv, das
heißt, der zuständige Projekteur behält die Kontrolle über
die Änderungen, die er annimmt. Denn auch wenn es um
Automatisierung geht: Kein Anlagenbetreiber oder Planer
sollte sich dieses „letzte Wort“ aus der Hand nehmen lassen.
Über die Diskrepanzliste führt Engineering Base den
Anwender und weist gezielt auf jede Neuerung und Unstimmigkeit
hin. Diese Vorgehensweise ist bislang einzigartig,
kein anderes System ist zu einer derart kontrollierten
Datenintegration und damit zu einer solch
konsistenten „As-built“-Dokumentation in der Betriebsphase
in der Lage. Dies ermöglichen die beschriebene
Datenbankbasierung und die frei skalierbare Dreischicht-Architektur.
EINFACH (MACHT) SCHNELL
Während die „As-built“-Dokumentation in dieser Form
eine neue Fähigkeit ist, die das Unternehmen auf der
Fachmesse Achema erstmals offiziell vorstellt, ist die
Software bereits einige Jahre im Einsatz. Gerade für die
in der Prozessindustrie übliche Massendaten-Verwaltung
kann die Technologie des Systems mehr Effizienz erreichen,
zumal hier besonders die Beliebigkeit der Bearbeitungs-Ansicht
zum Tragen kommt. Die Tausenden von
Mess- und Regelstellen lassen sich auch rein alphanumerisch
bearbeiten, eine grafische Darstellung ist dazu nicht
Voraussetzung.
Bei der Komplexität der Planungsaufgaben in prozesstechnischen
Anlagen und den unterschiedlichen Her-
atp edition
6 / 2012
27

Schwerpunkt | achema
Export-Manager: für die Auslagerung
von Teilprojekten bei Um- und Ausbauten
Markierte Auslagerungen
Dreischichtarchitektur von
Engineering Base: Zwei Server-,
eine Client-Ebene. Bilder: Aucotec
angehensweisen der beteiligten Fachleute kann das
Handling eines Tools, das dies alles abdecken muss,
sehr kompliziert sein. Ziel der EB-Entwickler war daher
eine möglichst einfache Handhabung. So integrierten
sie die weitverbreiteten Microsoft-Komponenten Visio,
SQL-Server und VBA/.NET, die für intuitives Arbeiten
nach den Gewohnheiten aus der Office-Welt sorgen.
Viele Anwender bescheinigen dem System eine bemerkenswert
kurze Einführungsphase. So auch Gunter
Hadwiger, Abteilungsleiter EMSR beim österreichischen
Anlagenbauer Kanzler VT: „Für spezifische Anforderungen,
etwa die Integration der unternehmenseigenen
Stoffbilanz, wurden von der Projektierungstruppe
eigene Objekte in kürzester Zeit und ohne Aufwand
oder Vorkenntnisse erstellt.“ Dies bestätigt auch Gunnar
Sandström, zur Einführung von EB als Senior Systems
Engineer zuständig für die Verbesserung technischer
Prozesse im Bereich Minerals/Metals and Mining bei
ABB Rolling Mills in Schweden.
„Wir wollten einen vollständigen ‚Werkzeugkasten‘,
ohne selbst Werkzeugexperten sein zu müssen oder solche
anzufordern. Mit einem Minimum an Schulung
schnell produktiv werden, das schafft Engineering
Base.“ Die schnelle Einarbeitung lag auch der Holcim
(Deutschland) AG am Herzen. „Dass wir mit Visio, VBA
und dem SQL-Server arbeiten können, hat nicht nur den
Einarbeitungsprozess stark beschleunigt. Durch die
bekannten Arbeitsweisen geht auch die Alltagsarbeit
schneller von der Hand“, sagt Martin Wieczorek, Projektleiter
CAE im Werk Lägerdorf.
Autor
martin Imbusch ist
Produktmanager bei
der Aucotec AG. Er war
maßgeblich an der
Entwicklung Engineering
Base beteiligt.
Aucotec AG,
Oldenburger Allee, D-30659 Hannover,
Tel. +49 (0) 511 610 30,
E-Mail: mim@aucotec.com
28
atp edition
6 / 2012

atp edition
als Heft
oder
als ePaper
Die Referenzklasse für die
Automatisierungstechnik
Erfahren Sie auf höchstem inhaltlichen Niveau, was die
Automatisierungsbranche bewegt. Alle Hauptbeiträge
werden in einem Peer-Review-Verfahren begutachtet,
um Ihnen maximale inhaltliche Qualität zu garantieren.
Sichern Sie sich jetzt dieses erstklassige Lektüreerlebnis.
Als exklusiv ausgestattetes Heft oder als
praktisches ePaper – ideal für unterwegs, auf mobilen
Endgeräten oder zum Archivieren.
Gratis für Sie: Das Handbuch der Prozessautomatisierung
Die 4. Aufl age dieses Handbuchs vermittelt in stringenter Struktur das essentielle Wissen zur
Planung automatisierungstechnischer Einrichtungen für verfahrenstechnische Anlagen und hat
sich in der Branche als Standardnachschlagewerk etabliert.
Für Qualität und Praxisnähe in der Darstellung steht das Autorenteam von 50 ausgewiesen und
anerkannten Experten auf Ihren Arbeitsfeldern.
atp edition erscheint in der Oldenbourg Industrieverlag GmbH, Rosenheimerstr. 145, 81671 München
Oldenbourg-Industrieverlag
www.atp-online.de
Vorteilsanforderung per Fax: +49 (0) 931 / 4170 - 492 oder im Fensterumschlag einsenden
Ja, ich möchte atp edition regelmäßig lesen. Bitte schicken Sie mir die Fachpublikation fü r
zunächst ein Jahr (12 Ausgaben)
□ als Heft fü r € 468,- zzgl. Versand (Deutschland: € 30,- / Ausland: € 35,-)
□ als e-Paper (PDF-Datei als Einzellizenz) fü r € 468,-
□ als Heft + e-Paper (PDF-Datei als Einzellizenz) fü r € 638,40 (Deutschland) / € 643,40 (Ausland)
Als Dankeschön erhalte ich das „Handbuch der Prozessautomatisierung“ gratis.
Nur wenn ich nicht bis von 8 Wochen vor Bezugsjahresende kü ndige, verlängert sich der Bezug um ein Jahr.
Die sichere, pü nktliche und bequeme Bezahlung per Bankabbuchung wird mit einer Gutschrift von € 20,-
auf die erste Jahresrechung belohnt.
Firma/Institution
Vorname/Name des Empfängers
Straße/Postfach, Nr.
Land, PLZ, Ort
Telefon
Telefax
Antwort
Leserservice atp
Postfach 91 61
97091 Würzburg
E-Mail
Branche/Wirtschaftszweig
Bevorzugte Zahlungsweise □ Bankabbuchung □ Rechnung
Bank, Ort
Bankleitzahl
✘
Kontonummer
Widerrufsrecht: Sie können Ihre Vertragserklärung innerhalb von 14 Tagen ohne Angabe von Gründen in Textform (Brief, Fax, E-Mail) oder durch
Rücksendung der Sache widerrufen. Die Frist beginnt nach Erhalt dieser Belehrung in Textform. Zur Wahrung der Widerrufsfrist genügt die rechtzeitige Datum, Unterschrift
PAATPE0112
Absendung des Widerrufs oder der Sache an den Leserservice atp, Postfach 91 61, 97091 Würzburg.
Nutzung personenbezogener Daten: Für die Auftragsabwicklung und zur Pfl ege der laufenden Kommunikation werden personenbezogene Daten erfasst, gespeichert und verarbeitet. Mit dieser Anforderung erkläre ich mich damit einverstanden, dass ich vom
Oldenbourg Industrieverlag oder vom Vulkan-Verlag □ per Post, □ per Telefon, □ per Telefax, □ per E-Mail, □ nicht über interessante Fachangebote informiert und beworben werde. Diese Erklärung kann ich mit Wirkung für die Zukunft jederzeit widerrufen.

hauptbeitrag
Diagnosefähige Aktorik in
sicherheitsgerichteten Kreisen
Ein Vergleich von Architekturkonzepten
Für Feldgeräte in sicherheitstechnischen Kreisen ist es entscheidend, zur Vermeidung
systematischer Fehler den Sicherheitslebenszyklus entsprechend DIN EN 61511 und
DIN EN 61508 zu implementieren. In diesen Normen finden sich klare Forderungen nach
definierten Prozeduren, regelmäßigen Überprüfungen sowie einer Dokumentation der
erzielten Ergebnisse bis hin zur Analyse und de daraus resultierenden Maßnahmen. Diese
organisatorischen Forderungen können durch Instrumentierung entsprechend dem
derzeitigen Stand der Technik wirkungsvoll unterstützt werden. Für den Bereich der
Stellgeräte sind Konfigurationen mit marktgängigen Komponenten möglich. Neben einem
erhöhten Automatisierungsgrad, insbesondere für die Phasen der Validierung, wiederkehrenden
Prüfung und Prüfung im laufenden Betrieb, können diese sogar die Installationen
vereinfachen. Aufbauend auf den Forderungen der Normen werden in diesem
Beitrag entsprechende Architekturen vorgestellt und ein Ausblick auf die Einbindung in
Arbeitsabläufe gegeben.
SCHLAGWÖRTER DIN EN 61511, Partial Stroke Test / Wiederkehrende Prüfung /
Sicherheitslebenszyklus / Automatisierte Prüfverfahren / Stellgeräte
Control Valves with Diagnostic Functions in Safety-instrumented Systems –
A Comparison of Architectures
Implementing the safety life cycle according to IEC 61511 and IEC 61508 is decisive in
preventing systematic failures in field units installed in safety-instrumented systems. In
these standards, clear requirements for defined procedures, regular testing, documentation
of test results, failure analysis and resulting actions are stipulated. Modern instrumentation
is an important means of implementing the safety life cycle. In the field of
control valves the required accessories are readily available on the market. In addition to
the higher degree of automation for validation, proof testing and online testing while a
process is running, these control valves may even be simpler in their hook-up.
KEYWORDS IEC 61511 / partial stroke test / proof test / safety life cycle / automated
testing / control valves
30
atp edition
6 / 2012

Thomas Karte, Samson
Bernd Schäfer, Hima
Um Stellgeräte in Anlagen der Prozessindustrie
im laufenden Betrieb zu testen, wird seit einigen
Jahren das Verfahren des Partial Stroke
Testing (PST) viel diskutiert. Dabei wird die
betreffende Armatur um eine begrenzte Strecke
bewegt; einerseits soll durch diese Bewegung die
Funktionsfähigkeit nachgewiesen werden, andererseits
wird durch eine Wegbegrenzung sichergestellt, dass der
laufende Prozess nicht beeinträchtigt wird. Schon länger
bekannt sind Vorgehensweisen, bei denen eine mechanische
Verblockung benutzt wird. Der Test wird dann
durch manuelles Abziehen des Steckers am Magnetventil
ausgelöst. Inzwischen sind jedoch Feldgeräte verfügbar,
die diesen Test automatisch durchführen. Insbesondere
Stellungsregler verschiedener Hersteller bieten eine
solche Möglichkeit. Diese Technologie gilt inzwischen
als ausgereift. Ursprüngliche Sorgen, zum Beispiel bezüglich
eines Überschwingens des Ventils und einer
damit verbundenen Störung des laufenden Betriebs der
Anlage, sind widerlegt.
Trotz dieser technischen Fortschritte und trotz des
hohen potenziellen Nutzens werden die Möglichkeiten
des Online-Testens noch wenig genutzt. Es hat sich gezeigt,
dass nicht nur die Gerätetechnik des speziellen
Feldgeräts (Stellungsregler) sondern die gesamte Einbindung
in Anlagenstruktur und Arbeitsorganisation über
die Machbarkeit und den Erfolg des Verfahrens entscheiden.
Der Beitrag erläutert den Stand der Technik bezüglich
dieser Aspekte.
1. Anwendung
Eine sehr gute Übersichtsdarstellung zu den Anforderungen
an Test- und Diagnoseverfahren in sicherheitsgerichteten
Kreisen findet sich zum Beispiel in [1]. Eine
umfassende Behandlung etwa der Auswirkungen des
Partial Stroke Testing auf die Verfügbarkeit (Probability
of Failure on Demand – PFD) ist in [2] nachzulesen. Eine
Betrachtung zur Kategorisierung der Test- und Diagnoseverfahren
wird in [3] gegeben. Insgesamt fällt auf, dass
sich die Betrachtungen durchgängig mit den Auswirkungen
der Testverfahren auf die Rate der zufälligen
Fehler befassen. Wichtig erscheint aber, das gesamte
Anforderungsprofil aus DIN EN 61511 zu verstehen und
daraus entsprechende Schlussfolgerungen für den Einsatz
von Testverfahren abzuleiten. Die Diskussionen und
Veröffentlichungen der letzten Jahre haben die Bedeutung
von systematischen Fehlern, insbesondere für Aktorik
und damit Stellgeräte, in den Mittelpunkt gestellt
[4, 9, 1]. Entsprechend der Norm werden systematische
Fehler und zufällige Fehler unterschieden (Bild 1).
Kann die Ursache eines Fehlers – und sei es nur nach
einem entsprechenden Vorfall – klar festgestellt werden
und lassen sich Maßnahmen ergreifen, die einen solchen
Fehler zuverlässig verhindern, so handelt es sich um
einen systematischen Fehler. Hierunter fällt für Stellgeräte
zum Beispiel die richtige Dimensionierung, die
Auslegung für den Einsatzfall entsprechend Medienverträglichkeit,
Druck- und Temperaturverhältnissen sowie
die Beachtung der Umgebungsbedingungen [5]. Das entscheidende
Werkzeug zur Beherrschung systematischer
Fehler ist die Einführung eines Sicherheitslebenszyklus
(Functional Safety Management System – FSM). Bild 2
verdeutlicht die Forderung nach einer geregelten Vorgehensweise,
die Schritt für Schritt eine systematische
Abarbeitung einzelner Phasen wie Sicherheitsanalyse,
Definition der Anforderungen, Definition der Auslegung,
geordnete Implementierung, Validierung bis hin
zur definierten Vorgehensweise für Betrieb und Wartung
vorsieht. Eine eingehende Erörterung dieser Aspekte
findet sich in [4]. Werden alle geforderten Schritte eingehalten,
so ist davon auszugehen, dass systematische
Fehler auf ein Minimum reduziert sind. Das verbleibende
Risiko – unerkannte systematische Fehler – wird
entsprechend Bild 1 durch drei Mechanismen eingegrenzt,
nämlich durch:
Diagnose oder Tests,
Fail-Safe-Verhalten der eingesetzten Geräte – wenn
Ausfall, dann in die sichere Richtung,
Redundanz, bevorzugt diversitäre Redundanz.
atp edition
6 / 2012
31

Hauptbeitrag
Schon diese Betrachtungsweise macht jenseits jeder Wahrscheinlichkeitsbetrachtung
die Bedeutung von Diagnose
und Tests, insbesondere im laufenden Betrieb, klar. Aufbauend
auf der Sicherheitsanalyse werden sicherheitsgerichtete
Kreise implementiert. In der überwiegenden
Mehrzahl der Fälle ist es Aufgabe der in diesen Kreisen
installierten Stellgeräte, im Falle einer Anforderung eine
Rohrleitung abzusperren oder freizugeben. Die Überprüfung
der Funktionsfähigkeit dieser Stellgeräte im laufenden
Betrieb kann zur Aufdeckung bisher nicht erkannter
systematischer Fehler führen. Das wird an einem einfachen
Beispiel verdeutlicht: Berücksichtigt die Antriebsauslegung
eines Stellgeräts nicht alle Betriebsphasen, so
mag die Validierung (also der Funktionstest der Armatur)
im Rahmen der sogenannten Wasserfahrt noch einwandfreie
Funktionalität signalisieren. Das Festsitzen der Armatur
während einer kritischen Betriebsphase, zum Beispiel
wegen kritischer Medien oder falsch eingeschätzter
Druckverhältnisse an der Armatur, lässt sich aber nur über
den Beweglichkeitstest im laufenden Betrieb erkennen.
Einige Anforderungen, die sich im Sicherheitslebenszyklus
ergeben und in den Normen explizit aufgeführt
sind, seien kurz zitiert: Durchgängig wird eine strukturierte
Vorgehensweise gefordert, das heißt, es müssen
nach DIN EN 61511 Kapitel 15 und 16, sowie VDI 2180-3
und VDI 2180-5 [6, 7, 8]:
definierte Prozeduren vorhanden sein, die reproduzierbar
durchgeführt werden können,
die Prozeduren dokumentiert werden,
das Ergebnis von Prüfungen dokumentiert werden,
sowohl im Falle eines Fehlers als auch im Fall einwandfreier
Funktion,
die Testergebnisse analysiert und Schlussfolgerungen
für mögliche Verbesserungen gezogen werden,
alle Betriebsphasen in den Tests berücksichtigt werden,
Stellgeräte unter Betriebsbedingungen geprüft werden,
insbesondere bei vollem Betriebsdruck.
Besonders die letzten beiden Forderungen sind durch
die oft geübte Praxis – Test des Sicherheitskreises durch
Funktionstest bei abgestellter Anlage – sicherlich nicht
erfüllt. Insgesamt verdeutlicht die Aufzählung, dass ein
automatisierter Testablauf dem geforderten Sicherheitslebenszyklus
weit besser entspricht als manuelle Prüfmethoden
mit Bewertung durch Beobachtung. „Einrichtungen
zur automatischen Funktionsüberwachung (zum
Beispiel Laufzeit- oder Stellungsüberwachung, Plausibilitätsprüfung,
Schritt- und Zeitüberwachung)“ werden
in VDI 2180-3, Absatz 2.2.3.2 [7] explizit verlangt. Die
Anforderungen an den Sicherheitskreis müssen definiert
werden. Aus diesen lassen sich auch die Anforderungen
für das Stellgerät ableiten. Diese sind im Wesentlichen:
Die Reaktionszeit: Innerhalb welchen Zeitraums
nach Anforderung der Sicherheitsfunktion muss
dass Stellgerät die vorgesehene Position erreichen?
Welche Dichtheit oder welcher Öffnungsquerschnitt
muss erreicht werden? Daraus lassen sich Anforderungen
an die genaue Position herleiten.
Welche Antriebskraft oder welches Drehmoment
muss aufgebracht werden? Wie groß ist die erforderliche
Reserve, mit der alle Betriebsbedingungen und
Alterungsprozesse sicher beherrscht werden können?
Je nach spezieller Anwendung können sich zusätzliche
Forderungen ergeben [5, 8]. Entsprechend den gestellten
Anforderungen sind Diagnose- und Testverfahren nach
dem Grad der Fehleraufdeckung (Diagnostic coverage,
proof test coverage) zu bewerten. Dies kann zum Beispiel
durch eine FMEDA geschehen.
Bei der Sensorik ist ein interessanter Trend zu beobachten:
In dem Bemühen um einen möglichst hohen Grad
an Fehleraufdeckung werden inzwischen binäre Überwachungen
wie Grenzwertschalter für Füllstand, Temperatur
oder Durchfluss häufig durch analoge Sensoren
ersetzt. Ein analoges Signal lässt sich eben besser auf
Plausibilität überprüfen; hier bieten sich zum Beispiel
eine Analyse des Rauschverhaltens und eine Korrelation
mit Prozesswerten anderer Messstellen an. Dem würde
auf Seiten der Aktorik der Einsatz eines analogen Stellungsmelders
mit kontinuierlicher Wegerfassung für den
gesamten Hubbereich anstelle der bisher gebräuchlichen
induktiven Endlagenschalter entsprechen. Dies ist in
der betrieblichen Praxis entsprechend dem Kenntnisstand
der Autoren nur selten implementiert.
Für folgende Phasen des Lebenszyklus bieten sich automatisierte
Testverfahren an:
Validierung bei Inbetriebnahme
Wiederkehrende Prüfung
Prüfung im laufenden Betrieb
Prüfung bei planmäßiger oder insbesondere auch
unvorhergesehener Abschaltung
Neben der Betrachtung systematischer Fehler sind auch
zufällige Fehler zu berücksichtigen. Bei mechanischen
Systemen ist die Ursache eines Versagens in der Regel
erkennbar. Dieser Ursache kann durch entsprechende
Design- oder Verfahrensänderung Rechnung getragen
werden. Daher sind für mechanische Systeme zufällige
Fehler weit weniger signifikant. Eine ausführliche Begründung
für diesen Sachverhalt findet sich zum Beispiel
in [9]. Auch im Fall zufälliger Fehler fordert die
Norm [6] die Anwendung der Werkzeuge Diagnose, Fail-
Safe-Verhalten und Redundanz. Zusätzlich wird der
rechnerische – probabilistische – Nachweis der erreichten
Zuverlässigkeit verlangt.
Zur Berechnung der Ausfallwahrscheinlichkeit wird
entsprechend [6] der einfache Zusammenhang:
Formel 1: PFD = ½ ∙ λ du ∙ T PR
angewendet.
Wird ein Testverfahren wie zum Beispiel PST mit einer
gegenüber dem Prooftestintervall häufigeren Testfrequenz
eingesetzt, ändert sich die PFD zu
Formel 2:
PFD = ½ ∙ λ du ∙ (1-DC) ∙ T PR + ½ ∙ λ du ∙ DC ∙ T PST
Diagnose und Testverfahren gehen also direkt in das Ergebnis
ein. Demzufolge kann eine verlängerte Prüfdauer
über entsprechende Diagnoseverfahren angestrebt werden.
Dies erscheint für viele Anwendungen realistisch,
muss aber im Einzelfall analysiert werden. Näherungsweise
ergibt sich, dass eine Testabdeckung von 50 % eine
Verdoppelung der Laufzeit zwischen zwei vollständigen
Prüfungen mit Anlagenstillstand ermöglicht. Weiterfüh-
32
atp edition
6 / 2012

ende Betrachtungen liefern [2, 11, 12]. Dieser rechnerisch
ermittelte Wert ist jedoch nur bei konstanter Fehlerrate
gültig. Steigt die Fehlerrate im betrachteten Zeitraum
an, zum Beispiel durch Verschleiß oder Alterung,
so ist dies der maßgebliche Mechanismus. Soll zum
Beispiel eine ununterbrochene Laufzeit von fünf Jahren
erreicht werden, so ist bei entsprechend geringer Ausfallrate
der rechnerische Nachweis zur Erreichung dieser
Laufzeit einfach möglich. Es ist zu beachten, dass die
angenommene Konstanz der Fehlerrate durch Prozesseinfluss,
Alterung, Verschleiß oder andere Mechanismen
beeinträchtigt wird.
In diesem Zusammenhang ist jedoch Vorsicht im Umgang
mit den statistischen Daten ratsam: Bei allen den
Autoren bekannten Veröffentlichungen zur rechnerischen
Betrachtung der Ausfallwahrscheinlichkeit (PFD)
wird keine Fehlerrechnung durchgeführt, die Belastbarkeit
der ermittelten Werte also nicht untersucht. Dies
kann zu nicht gerechtfertigtem Vertrauen in die rechnerischen
Werte führen. So wird beispielsweise in [10]
angeführt, dass sich verschiedene Datenbanken für elektronische
Bauteile oft in ihren Angaben um mehr als eine
Zehnerpotenz unterscheiden.
2. Anforderungen an den Workflow
Feldgeräte bieten eine Vielzahl von Diagnosemöglichkeiten.
Über den möglichen Nutzen für den Anwender entscheiden
nicht nur die Leistungsfähigkeit dieser Geräteeigenschaften
sondern insbesondere die Möglichkeit, die
Anwendung dieser Diagnose in den betrieblichen Alltag
einzubinden.
Die Möglichkeiten für Stellgeräte werden anhand des
Einsatzes von Stellungsreglern oder intelligenten Grenzsignalgebern
kurz angedeutet. Eine grafische Darstellung
eines automatisierten Vollhubtests findet sich in Bild 3,
eine parametrisierte Auswertung in Bild 4. Messungen
dieser Art können von diesen Geräten lokal durchgeführt,
aufgezeichnet und ausgewertet werden [11, 12]. Bild 5
stellt zwei Aufbauvarianten dar: links eine mit Magnetventil
und induktiven Endlagenschaltern automatisierte
Klappe, rechts einen nach Stand der Technik mit elektronischem
Grenzwertgeber ausgerüsteten Kugelhahn. Die
Parameter Totzeit, Laufzeit der Armatur bis zum Erreichen
der Endstellung, genaue Messung der erreichten
Endlage und benötigte Antriebskraft werden durch die
geräteinterne Weg- und Druckmessung erfasst. Die Resul-
BILD 1: Versagensursachen nach [4] BILD 2: Sicherheitslebenszyklus nach DIN EN 61511-1 Bild 8
Symbolverzeichnis
BPCS Basic process control system Betriebs- und Überwachungseinrichtungen als ein System (Leitsystem)
DC Diagnostic coverage Diagnose-Deckungsgrad
FMEDA Failure modes, effects and diagnostic coverage analysis Fehlermöglichkeits-, Einfluss- und Diagnoseanalyse
FSM Functional safety management system Management der funktionalen Sicherheit
HFT Hardware fault tolerance Hardware-Fehlertoleranz (Redundanzgrad)
PFD Probability of failure on demand Mittlere Wahrscheinlichkeit eines Ausfalls bei Anforderung
PST Partial stroke testing Teilhub-Testverfahren
SIS Safety instrumented system Sicherheitstechnisches System
T PR Proof test intervall Zeitdauer zwischen den wiederkehrenden Prüfungen
T PST Partial stroke test intervall Zeitdauer zwischen Partial-Stroke-Tests
λ du Failure rate dangerous undetected Rate gefährlicher, unentdeckter Fehler
atp edition
6 / 2012
33

Hauptbeitrag
tate lassen sich aus dem Weg-Zeit-Diagramm ablesen, sie
werden aber auch innerhalb des Stellungsreglers als charakteristische
Zeiten beziehungsweise Werte ermittelt.
Darüber hinaus kann noch über den Stick-Slip-Effekt auf
Reibkräfte geschlossen werden. Ein Antrieb mit hoher
Reibung würde im Weg-Zeit-Diagramm ein ruckhaftes
Verfahren zeigen.
Ein Vergleich all dieser Messwerte mit den erwähnten
aus der Norm resultierenden Anforderungen zeigt, dass
die Funktionsfähigkeit des Stellgerätes im Sicherheitskreis
umfassend beurteilt werden kann. Der genaue Grad
der Diagnose- sowie die Testabdeckung ist im Einzelnen
festzulegen, ein mögliches Vorgehen dafür ist die Gegenüberstellung
der potenziellen Fehlerquellen der Gefahrenanalyse
zu den Diagnosemöglichkeiten des eingesetzten
Feldgerätes. Die Beweglichkeit der Armatur und das
genaue Erreichen der Endlage oder Zwischenposition
kann einwandfrei beurteilt werden. Lediglich bei hohen
Anforderungen an die Dichtigkeit können eventuell zusätzliche
Messungen erforderlich werden.
Die Einbindung dieser Methodik in den Betriebsablauf
ist mit der Durchführung eines einzelnen Tests aber noch
nicht gegeben. Eine Übersicht über die Abfolge aller notwendigen
Schritte gibt Tabelle 1. Neben der automatisierten
Durchführung eines Tests ist es insbesondere von
Bedeutung, dass die Ergebnisse erfasst und abgespeichert
werden können. Es muss eine Datenbank zur Verfügung
stehen, die es gestattet, alle durchgeführten Testläufe festzuhalten.
Hierbei ist die Archivierung von Bedeutung
sowie die entsprechende Auswertung, sowohl für den
Einzeltest als auch für Trends, die sich erst in der Zusammenschau
mehrerer Tests oder gar in Korrelation mit anderen
Prozesswerten ergeben. Entsprechend trägt Tabelle
1 in senkrechter Richtung alle notwendigen Arbeitsschritte
auf, in waagrechter Richtung wird eine Aufgabenverteilung
auf die Ressourcen Stellungsregler und Asset-
Management-System vorgeschlagen. Die genaue Verteilung
der Aufgaben ist natürlich diskussionsfähig, aber es
wird doch die Notwendigkeit eines übergeordneten Systems
mit gegenüber einem Feldgerät erweiterten Ressourcen
evident.
3. Architekturen des Sicherheitskreises
Wird die Verfügbarkeit eines PST-fähigen Stellungsreglers
vorausgesetzt, so ergibt sich sofort eine Anordnung der
Feldgeräte wie in Bild 6 A dargestellt und in Tabelle 2
bewertet. Der Sicherheitskreis ist klassisch mit Magnetventil
zur Abschaltung und Endlagenschaltern zur Positionsmeldung
ausgerüstet. Ein Stellungsregler, pneumatisch
dem Magnetventil vorgeschaltet, sorgt für die gewünschte
PST-Funktionalität. Die Auslösung des Tests
erfolgt lokal am Stellungsregler, die Datenübertragung der
Messdaten und ausgewerteten Ergebnisse an das übergeordnete
Asset-Management-System über digitale Kommunikation
per HART-Protokoll. Eine Auskoppelung des
HART-Protokolls kann zum Beispiel über geeignete Trennverstärker
geschehen, wie sie am Markt verfügbar sind
(Beispiele siehe [13, 14]). Diese Konfiguration wurde und
wird in der Praxis eingesetzt, für den Test – insbesondere
durch Bedienpersonal vor Ort – ist sie auch durchaus
geeignet. Für große Anlagen mit einer Vielzahl von Armaturen
und bei reduziertem Wartungspersonal fällt aber
der erforderliche Testaufwand negativ ins Gewicht. Eine
Vielzahl weiterer Konfigurationen ist möglich, hier wird
die vorteilhafteste Lösung B beschrieben (Bild 6 B):
Unter Verzicht auf das Magnetventil wird der Stellungsregler
zur sicherheitsgerichteten Abschaltung
und zum automatisierten Test eingesetzt. Voraussetzung
dafür ist eine Eignung des Stellungsreglers
entsprechend DIN EN 61508 beziehungsweise 61511.
Entsprechende Geräte sind verfügbar. Diese Konfiguration
erspart in erheblichem Umfang Verkabelungsaufwand
und erhöht auch die Testtiefe, da nur
eine pneumatische Einheit verwendet wird und
diese auch den Testlauf durchführt.
Der Stellungsregler ist über 4–20 mA direkt an die
Sicherheits-SPS angeschlossen. Entsprechend zertifizierte
Ausgangskarten sind am Markt.
Das HART-Protokoll wird ohne zusätzliche Rangierung
auf die Ebene der Trennverstärker durch die
Sicherheits-SPS getunnelt. Zur Weiterleitung an das
Asset-Management-System wird die in der Praxis ohnehin
meist gelegte Ethernetverbindung zwischen
SPS und Leitsystem (Basic Process Control System –
BPCS) benutzt. Die Schematik der Verschaltung zeigt
Bild 7. Die Besonderheit dieser Architektur ist die
parallele, gleichzeitige Funktion der HART-Kommunikation.
Dies bedeutet gegenüber der seriellen Arbeitsweise
eines Multiplexers einen erheblichen Zeitvorteil.
Die Kommunikationsmöglichkeiten können
gezielt eingeschränkt werden. Damit ist gewährleistet,
dass die ermittelten Testdaten aus den Feldgeräten
ausgelesen werden können, ohne durch irrtümliche
Parametrierung deren Funktionalität zu verändern.
Mit der favorisierten Lösung nach Bild 6 B ist einerseits
das Auslesen von Diagnosedaten möglich, andererseits
wird eine irrtümliche Konfiguration des Feldgeräts zuverlässig
verhindert. Folgende Kriterien werden zur Beurteilung
herangezogen:
Der Stellungsregler wird durch Standardsignale angesteuert:
+20 mA signalisieren Normalbetrieb – Endlage
+12 mA signalisieren Start Testlauf
+4 mA signalisieren sicherheitsgerichtete Abschaltung
Stellungsregler mit entsprechendem Zertifikat für
zuverlässige Abschaltung bei 4 mA (anstelle von
0 mA) gibt es.
Auch während des Testlaufs ist die sicherheitsgerichtete
Abschaltung möglich, da der Stellungsregler
eine etwaige Abschaltung priorisiert behandelt.
Der Testlauf wird nach Triggerung durch ein externes
Signal lokal durch den Stellungsregler durchgeführt.
Dadurch ist eine hohe Regelgüte für den vorgegebenen
Verfahrweg möglich.
Die Daten entsprechend Bild 3 werden lokal erfasst
und abgespeichert. Diese Vorgehensweise ermöglicht
Abtastraten beispielsweise für die Position der
Armatur und den Antriebsdruck im Millisekundenbereich
mit entsprechend positiver Auswirkung auf
die Güte der Messwerte und damit eine hohe Diagnoseabdeckung.
Die Bedienschnittstelle wird über die sicherheitsgerichtete
Steuerung abgebildet. Damit ist es möglich,
34
atp edition
6 / 2012

Arbeitsschritte PST Stellungsregler Asset Management Annahme
Auslösen Manuell/Automatisch Manuell/Automatisch
Durchführen
Rampe/Sprungantwort
Erfassung Ergebnisse
in Echtzeit
Weg-Zeit-Diagramm, Kennzahlen
Ergebnisse aus Feldgerät auslesen Weg-Zeit-Diagramm, Kennzahlen Weg-Zeit-Diagramm, Kennzahlen
Ergebnisse abspeichern Weg-Zeit-Diagramm, Kennzahlen Weg-Zeit-Diagramm, Kennzahlen
Arbeitsschritte Nachbereitung
Auswertung eines Testlaufs Lokale Diagnose
Diagnose, Verbindung zu Prozessinformationen
Alarmgenerierung
Lokale Alarmgenerierung
Alarmgenerierung und Einbeziehung
Prozessinformation
Archivierung
Langzeitspeicherung in Datenbank
Vergleich einzelner Messwerte
Trend über mehrere Testläufe
über mehrere Testläufe, Diagnose,
Alarmgenerierung
Datenübertragung in
Echtzeit nicht möglich
Tabelle 1: Workflow Partial Stroke Test (PST)
Lösung A Lösung B Lösung C Lösung D
Sicherheitsgerichtete Ansteuerung Magnetventil Stellungsregler Magnetventil Magnetventil
Partial Stroke Testing (PST) Stellungsregler Stellungsregler Magnetventil Magnetventil
Wegrückmeldung
Endlagenschalter
Endlagenschalter,
alternativ Transmitter
Endlagenschalter,
alternativ Transmitter
Druckmessung Antrieb Stellungsregler Stellungsregler Optional Transmitter
Test der Pneumatik nein ja ja ja
Endschalter
Tabelle 2: Architekturvergleich der Vorschläge aus Bild 6
BILD 3: Vollhubtest
BILD 4: Protokoll Ventilbewegungen
atp edition
6 / 2012
35

Hauptbeitrag
ein entsprechendes, normkonformes Regelwerk für
eine Ent- und Verriegelung des Sicherheitskreises
mit einfachen Mitteln zu hinterlegen.
Die Wegrückmeldung erfolgt analog. Dies wiederum
führt gegenüber einer Signalisierung über zwei Endlagenschalter
zu einem geringeren Verkabelungsaufwand
und hat den Vorteil einer höheren Messgenauigkeit
beziehungsweise verbesserten Diagnosemöglichkeit.
Bei großen Armaturen mit entsprechender Anforderung
an die Luftleistung der steuernden Komponenten
kann ein analoger pneumatischer Booster in der
Verbindungsleitung zwischen Stellungsregler und
Antrieb eingesetzt werden (gestrichelte Darstellung
in Bild 6 B). Auch hier sind inzwischen zertifizierte
Geräte marktgängig.
Zu weiteren denkbaren Varianten sind einige Anmerkungen
angebracht:
Bild 6 C legt die Funktionalität des Tests ganz in die
Sicherheits-SPS: Der pneumatische Antrieb wird nun
über das Magnetventil angesteuert, der Regelkreis zur
Steuerung des Testlaufs über einen analogen Stellungstransmitter
geschlossen. Um eine im Vergleich zu Variante
B gleichwertige Diagnosetiefe zu erhalten, ist ein
Drucktransmitter zur Messung des Antriebsdrucks
vorgesehen. Diese Konfiguration hat den Vorteil, dass
das komplette Regelwerk für den Testablauf und die
Auswertung in der SPS hinterlegt werden kann und
damit zertifizierungsfähig ist. Nachteilig ist demgegenüber
eine verringerte Abtastrate, die aber beim Einsatz
moderner Systeme je nach Ausführung auch unter
100 Millisekunden liegen kann. Die Abtastrate ist für
die erzielbare Regelgüte des Testlaufs (Überschwingen)
und für die Güte der Diagnose von Bedeutung. Entsprechend
kommt Konfiguration C bevorzugt für große Armaturen
mit Laufzeiten größer 5 Sekunden in Betracht.
Bild 6 B ist auch für den Sonderfall der Mitnutzung
einer Regelarmatur für die sicherheitsgerichtete Abschaltung
einsetzbar. Diese Mitnutzung findet sich
häufig in Anlagen im deutschen und europäischen
Raum. Eine entsprechende Analyse der sicherheitstechnischen
Aspekte findet sich in [15]. Klassisch wird
in diesem Fall ein Stellungsregler – angesteuert durch
das BPCS – und ein Magnetventil – angesteuert durch
die SPS – instrumentiert. Es sind zwei Leitungen ins
Feld notwendig. Entsprechend der Abbildung wäre
aber auch eine sehr elegante und einfache Lösung
denkbar. Ein Stellungsregler wird zur Regelung, Abschaltung
und für den Test eingesetzt. Die Ansteuerung
erfolgt nur über die SPS. Der notwendige Regelalgorithmus
müsste dann in der SIS hinterlegt werden. Beispiele
für solche Anwendungen finden sich im Bereich
Turbo Machinery Control bei Überströmventilen oder
im Bereich Burner Management bei Brennstoffregelungen.
Über Ethernet ist die SPS an das BPCS angebunden
und erhält von dort Vorgaben (beispielsweise eine Lastanforderung)
während des Normalbetriebs. Entsprechende
Applikationen sind aufgrund der heute verfügbaren
Systemtechnik ebenfalls marktgängig (zum Beispiel
Himax-System mit Flexsilon-Bibliotheken).
Bild 6 D zeigt eine Variante, die sich ganz an den klassischen
Signalen (Namursignal für Endlagenschalter
entsprechend IEC 60947-5-6, 24 Volt zur Ansteuerung
des Magnetventils) orientiert. Hier wird ein Gerät eingesetzt,
dass die Funktionalität von Endlagenschalter
und Magnetventil kombiniert, durch den Einsatz von
analoger Wegmessung und Mikrorechner aber diagnosefähig
ist. Der Vorteil der Benutzung vorhandener
Verkabelung wird allerdings mit dem Verzicht auf
Kommunikation erkauft; hierfür existiert bei dieser Art
von Signalübermittelung kein standardisiertes Protokoll.
Allerdings kann das Ergebnis der internen Diagnose
wie zum Beispiel ein nicht erfolgreicher PST über
einen Statuskontakt (Namursignal) an die übergeordnete
Steuerung gemeldet werden (siehe auch [16]).
Zusammenfassend findet sich eine knappe Gegenüberstellung
der verschiedenen Architekturen in Tabelle 2. Allen
Lösungen ist gemeinsam, dass sie marktgängige Komponenten
verwenden, die auch außerhalb des Sicherheitskreises
eingesetzt werden. Damit ist der Einsatz betriebsbewährter
Komponenten möglich, wie von Anwendern
nachdrücklich gefordert [17]. In diesem Artikel nicht
behandelt sind spezielle, herstellerspezifische Instrumentierungen
mit proprietärer Architektur und Verdrahtung.
Anstelle des Hart-Protokolls kann auch ein Feldbus-
Protokoll wie Profibus oder Fieldbus Foundation eingesetzt
werden. Nach heutigem Stand der Technik müssen
die sicherheitsgerichteten Signale aber noch durch diskrete
Verkabelung übertragen werden.
4. Einbindung in betriebliche Arbeitsabläufe
Tabelle 1 listet die zu leistenden Arbeitsschritte auf. Erfahrungen
mit ersten Installationen zeigen, dass Einzeltests
auf Ebene der Feldgeräte unproblematisch durchzuführen
sind und aussagekräftige Ergebnisse bringen.
Soll jedoch eine Vielzahl von Geräten in einer großen
Anlage regelmäßig getestet werden, so treten im Wesentlichen
folgende Schwierigkeiten auf:
Die mögliche Datenrate für die Übertragung der lokal
in den Feldgeräten abgespeicherten Testergebnisse entspricht
nicht den Anforderungen. Es scheint nach heutigem
Stand der Technik nicht möglich, aus einer großen
Menge von Feldgeräten täglich oder auch nur wöchentlich
einen vollständigen Datensatz auszulesen.
Die Begrenzung liegt weniger im Übertragungsprotokoll
(HART-Protokoll) als vielmehr in der gesamten
Architektur des Leitsystems. Hier müssen die für den
Prozessbetrieb notwendigen Datentransfers gegenüber
Diagnosedaten natürlich priorisiert behandelt werden.
Auswertemöglichkeiten: Mehrere Hersteller bieten
Asset-Management-Systeme an. Hier können Datensätze
eines Feldgeräts mit Diagnoseinformationen
ausgelesen und abgespeichert werden. Die Fähigkeit,
aus einem Datensatz einzelne Messwerte isoliert zu
betrachten und mit anderen Messwerten nach einem
freien Algorithmus zu verknüpfen, ist jedoch noch
nicht in wünschenswerter Weise implementiert. Notwendig
kann es beispielsweise sein, die Historie eines
Messwertes, zum Beispiel der Nullpunktlage eines
Ventils, über mehrere Testläufe hinweg wiederzugeben
(Bild 8). Auch die Verknüpfung eines Wertes mit
aus anderen Feldgeräten gewonnenen Prozesswerten,
zum Beispiel die Plausibilitätsprüfung von Ventilstellung
gegen Durchfluss, erscheint in der Praxis noch
nicht möglich. Insgesamt gibt Tabelle 1 einen Hinweis
36
atp edition
6 / 2012

BILD 5: Aufbauvarianten (links: separate Montage
Magnetventil und Grenzsignalgeber; rechts: Stand der
Technik, Grenzsignalgeber mit integriertem Magnetventil)
Lösung A
Lösung b
BILD 7: Tunnelung von HART-Signalen
Lösung c
Lösung D
BILD 6: Mögliche Architekturen des Sicherheitskreises–
Lösung A (oben links), Lösung B (oben rechts), Lösung C
(unten links) und Lösung D (unten rechts)
BILD 8: Nullpunkttrend
atp edition
6 / 2012
37

Hauptbeitrag
Autoren
Dr. rer. nat. Thomas Karte (geb. 1955)
beschäftigt sich bei der Samson AG in
Frankfurt/Main mit der Anwendungstechnik
elektropneumatischer Geräte.
Er ist Mitglied im FA 6.13 „Engineering
von sicherheitsgerichteten Systemen“ des
VDI/VDE-GMA und im DKE GK 914
„Funktionale Sicherheit“.
Samson AG,
Mess- und Regeltechnik,
Weismüllerstr. 3, D-60314 Frankfurt am Main,
Tel. +49 (0) 69 40 09 20 86,
E-Mail: tkarte@samson.de
Dipl.-Ing. (FH) Bernd Schäfer (geb. 1967)
arbeitet seit 1996 bei Hima, anfangs im
Projekt-Management. Seit 2004 betreut er als
Produktmanager den Bereich der OPC- und
SCADA-Produkte. Darüber hinaus fallen in
sein Aufgabengebiet spezielle Applikationen
wie zum Beispiel Asset-Management-Lösungen
und OTS (Operator Training Simulator)-
Lösungen. Er ist Mitglied in der PLCOpen-
Arbeitsgruppe zum Thema „OPC UA Informationsmodell“.
Hima Paul Hildebrandt GbmH & Co KG,
Albert-Bassermann-Str. 28, D-68782 Brühl bei Mannheim,
Tel. +49 (0) 6202 70 94 53,
E-Mail: b.schaefer@hima.com
auf die Arbeitsschritte und die mögliche Aufteilung
auf das Feldgerät und das übergeordnete Asset-Management-System.
Die Domäne des Feldgerätes ist die
schnelle Datenerfassung und lokale Regelung. Wegen
der durch den Energieverbrauch limitierten Verarbeitungsgeschwindigkeit
und des dadurch auch begrenzten
Speichers ist es sinnvoll, die langfristige Archivierung,
Auswertung nach Trends und komplexe
Alarmbildung im übergeordneten System zu leisten.
Hier können auch die Informationen aus verschiedenen
Feldgeräten sinnvoll zusammenfließen und nach
übergeordneten Kriterien ausgewertet werden.
Zusammenfassung
Für Feldgeräte in sicherheitsgerichteten Kreisen, insbesondere
solche mit direktem Kontakt zum Prozessmedium, ist
die Behandlung der systematischen Fehler ausschlaggebend
für die sicherheitstechnische Verfügbarkeit. Die notwendige
Implementierung des Sicherheitslebenszyklus kann
durch eine moderne Instrumentierung unterstützt werden.
Der Stand der Technik bei Feldgeräten und sicherheitsgerichteten
Steuerungen ermöglicht inzwischen die Implementierung
wirkungsvoller und zugleich einfacher Architekturen
mit marktgängigen Komponenten. Weitere Entwicklungen
bezüglich Datenübertragungsrate und Funktionalität
im Bereich des Asset Managements sind notwendig,
damit die in den Feldgeräten verfügbaren Diagnosetools
ihre volle Funktionsfähigkeit entfalten. Hierzu erscheint
eine enge Zusammenarbeit zwischen Herstellern und Anwendern
bei ausgewählten Pilotprojekten notwendig.
Manuskripteingang
14.03.2012
Im Peer-Review-Verfahren begutachtet
Referenzen
[1] Rogiers, I.: Using a „Smart“ Partial Stroke
Test Device on SIS Loop On/Off Valves:
Adding Value or Adding Cost?. P4039, Valve
World 2004. KCI Publishing BV
[2] Börcsök, J., Schrörs, B. und Holub, P.:
Reduzierung der Ausfallwahrscheinlichkeit
und Verlängerung des Proof-Test-Intervalls
durch Einsatz von Partial-Stroke-Tests
am Beispiel von Stellgeräten. atp edition –
Automatisierungstechnische Praxis 50(11),
2008
[3] McCrea-Steele, R.: Partial Stroke Testing The
Good, the Bad and the Ugly. TUEV 7th
International Symposium on Safety, 2006 .
[4] Götz, A., Hildebrandt, A., Karte, T., Schäfer, B
und Ströbl, J.: Realisierung von Schutzeinrichtungen
in der Prozessindustrie – SIL in
der Praxis“. atp edition – Automatisierungstechnische
Praxis 50(8), 2008
[5] Samson AG: Handbuch „Funktionale
Sicherheit für Stellventile, Drehkegelventile,
Kugelhähne und Stellklappen. WA 236
[6] DIN EN 61511-1 und DIN EN 61511-2: Funktionale
Sicherheit – Sicherheitstechnische Systeme
für die Prozessindustrie – Teil 1 und 2. Mai 2005
[7] VDI 2180-3: Sicherung von Anlagen der
Verfahrenstechnik mit Mitteln der Prozessleittechnik
(PLT) – Anlagenplanung,
-errichtung und –betrieb. April 2007
[8] VDI 2180-5: Sicherung von Anlagen der
Verfahrenstechnik mit Mitteln der Prozessleittechnik
(PLT) – Empfehlungen zur
Umsetzung in die Praxis. Mai 2010
[9] Hildebrandt, A.: SIL-Bewertung von Mechanik
– Versagenswahrscheinlichkeit mechanischer
Komponenten. atp edition– Automatisierungstechnische
Praxis 53(1-2), 2011
[10] Smith, D.: Reliability, Maintainability and Risk.
Elsevier Butterworth-Heinemann, Burlington,
MA 01803, Sixth edition 2001
[11] Karte, T. und Kiesbauer, J.: Diagnosefähige
Ventilstellungsregler und ihre Anwendung in
sicherheitsgerichteten Kreisen. Industriearmaturen,
Heft 3, 2008 (September)
[12] Samson AG: Handbuch Applikationshinweise
für sicherheitsgerichtet Kreise. WA 239
[13] P+F Datenblatt: Ventilsteuerbaustein
KFD2-RI-Ex1. Ausgabedatum 2010-04-13.
Druckschrift 216568_GER.xml
[14] P+F Datenblatt: HART Loop Converter
KFD2-HLC-Ex1.D. Ausgabedatum 2011-01-
26. Druckschrift 198804_GER.xml
[15] Gabriel, T., Litz, L. und Schrörs, B.: Nutzung
von SIS-Armaturen für Leitsystemfunktionen
– Rahmenbedingungen für die Ausführung
von BPCS-Funktionen. atp edition – Automatisierungstechnische
Praxis 52(3), 2010.
[16] Karte, T. und Kiesbauer, J.: Intelligenter
Grenzsignalgeber für Auf/Zu-Armaturen in
der Prozesstechnik. atp edition – Automatisierungstechnische
Praxis 51(5), 2009.
[17] Hablawetz, D., Matalla, N. und Adam, G.: IEC
61511 in der Praxis – Erfahrungen eines
Anlagenbetreibers. atp edition – Automatisierungstechnische
Praxis 49(10), 2007
38
atp edition
6 / 2012

Jetzt
doppelt sparen:
Edition
15% Rabatt
gwf Praxiswissen
im Fortsetzungsbezug
20% Rabatt
für gwf-Abonnenten
Diese Buchreihe präsentiert kompakt aufbereitete Fokusthemen aus der Wasserbranche und Fachberichte
von anerkannten Experten zum aktuellen Stand der Technik. Zahlreiche Praxisbeispiele zeigen individuelle
Lösungen und vermitteln praktisches Know-how für ökologisch und wirtschaftlich sinnvolle Konzepte.
Band I – Regenwasserbewirtschaftung
Ausführliche Informationen für die Planung und Ausführung von Anlagen zur Regenwasserbwirtschaftung
mit gesetzlichen Rahmenbedingungen sowie Anwendungsbeispielen aus der Praxis.
Hrsg. C. Ziegler, 1. Auflage 2011, 184 Seiten, Broschur
Buch + Bonusmaterial für € 54,90 € 46,70
Buch + Bonusmaterial + eBook auf DVD für € 69,90 € 59,40
Band II – Messen • Steuern • Regeln
Grundlageninformationen über Automatisierungstechnologien, die dabei helfen, Wasser effizienter
zu nutzen, Abwasser nachhaltiger zu behandeln und Sicherheitsrisiken besser zu kontrollieren.
Hrsg. C. Ziegler, 1. Auflage 2011, ca. 150 Seiten, Broschur
Buch + Bonusmaterial für € 54,90 € 46,70
Buch + Bonusmaterial + eBook auf DVD für € 69,90 € 59,40
Band III – Energie aus Abwasser
Abwärme aus dem Kanal und Strom aus der Kläranlage: Wie aus großen Energieverbrauchern
Energieerzeuger werden. Methoden und Technologien zur nachhaltigen Abwasserbehandlung.
Hrsg. C. Ziegler, 1. Auflage 2011, ca. 150 Seiten, Broschur
Buch + Bonusmaterial für € 54,90 € 46,70
Buch + Bonusmaterial + eBook auf DVD für € 69,90 € 59,40
Band IV – Trinkwasserbehälter
Grundlagen zu Planung, Bauausführung, Instandhaltung und Reinigung sowie Sanierung von
Trinkwasserbehältern. Materialien, Beschichtungssysteme und technische Ausrüstung.
Hrsg. C. Ziegler, 1. Auflage 2011, ca. 150 Seiten, Broschur
Buch + Bonusmaterial für € 54,90 € 46,70
Buch + Bonusmaterial + eBook auf DVD für € 69,90 € 59,40
Oldenbourg Industrieverlag München
www.gwf-wasser-abwasser.de
VORTEILSANFORDERUNG PER FAX: +49 (0)201 / 82002-34 oder per Brief einsenden
Ja, ich bestelle die Fachbuchreihe gwf Praxiswissen im günstigen Fortsetzungsbezug,
verpasse keinen Band und spare 15%. Ich wünsche die
Lieferung beginnend ab Band
als Buch + Bonusmaterial für € 46,70 (gwf-Abonnenten: € 37,30)
als Buch + Bonusmaterial + eBook auf DVD für € 59,40
(gwf-Abonnenten: € 47,50)
Wir beziehen gwf im Abonnement nicht im Abonnement
Jeder aktuelle Band wird zum Erscheinungstermin ausgeliefert und
separat berechnet. Die Anforderung gilt bis zum schriftlichen Widerruf.
Die pünktliche, bequeme und sichere Bezahlung per Bankabbuchung
wird mit einer Gutschrift von € 3,- auf die erste Rechnung belohnt.
Firma/Institution
Vorname, Name des Empfängers
Straße/Postfach, Nr.
PLZ, Ort
Telefon
E-Mail
Telefax
Antwort
Vulkan Verlag GmbH
Versandbuchhandlung
Postfach 10 39 62
45039 Essen
Branche/Wirtschaftszweig
Bevorzugte Zahlungsweise Bankabbuchung Rechnung
Bank, Ort
Bankleitzahl
✘
Datum, Unterschrift
Kontonummer
PAGWFP2011
Widerrufsrecht: Sie können Ihre Vertragserklärung innerhalb von zwei Wochen ohne Angabe von Gründen in Textform (z.B. Brief, Fax, E-Mail) oder durch Rücksendung der Sache widerrufen. Die Frist beginnt nach Erhalt dieser Belehrung in Textform. Zur Wahrung der Widerrufsfrist genügt
die rechtzeitige Absendung des Widerrufs oder der Sache an die Vulkan-Verlag GmbH, Versandbuchhandlung, Huyssenallee 52-56, 45128 Essen.
Nutzung personenbezogener Daten: Für die Auftragsabwicklung und zur Pflege der laufenden Kommunikation werden personenbezogene Daten erfasst und gespeichert. Mit dieser Anforderung erkläre ich mich damit einverstanden, dass ich vom Oldenbourg Industrieverlag oder vom
Vulkan-Verlag per Post, per Telefon, per Telefax, per E-Mail, nicht über interessante, fachspezifische Medienund Informationsangebote informiert und beworben werde. Diese Erklärung kann ich mit Wirkung für die Zukunft jederzeit widerrufen.

hauptbeitrag
PFD-Berechnung bei nicht
konstanten Ausfallraten
Mehrphasen-Markov-Modelle mit Mathcad berechnen
Die Versagenswahrscheinlichkeit (PFD) realer Schutzeinrichtungen lässt sich nur unter
bestimmten Voraussetzungen mit den Formeln aus der VDI/VDE 2180 beziehungsweise
EN 61508 berechnen. Sind diese Bedingungen nicht erfüllt (zum Beispiel bei unvollständiger
Wiederholungsprüfung oder nicht konstanter Ausfallrate), können die Formeln nicht
ohne Weiteres angewendet werden. In solchen Fällen kann die PFD-Berechnung mit zeitveränderlichen
Markov-Modellen auf relativ einfache Weise bewerkstelligt werden. In der
EN 61508 Teil 6 Edition 2 ist die Methode der Mehrphasen-Markov-Modelle dargestellt.
Wenn auch verschleißbehaftete Komponenten bei der PFD-Berechnung zu berücksichtigen
sind, müssen die Übergangswahrscheinlichkeiten des betreffenden Markov-Modells als
zeitabhängige Funktion abgebildet werden. Im Beitrag wird dies anhand eines fiktiven
Beispiels beschrieben. Dabei wird die zeitabhängige PFD(t) für die gesamte Anlagenlaufzeit
berechnet und daraus die mittlere Versagenswahrscheinlichkeit PFD avg ermittelt.
SCHLAGWÖRTER Mehrphasen-Markov-Modell / Weibull-Verteilung / PFD-Berechnung /
EN 61508 / Schutzeinrichtung / Verschleiß / Chapman-Kolmogorov-
Gleichung
PFD calculation in case of non-constant failure rates –
Solving Multiphase Markov Model with Matchcad
The probability of failure on demand (PFD) of real safety equipment can be calculated
with the help of the formulas given in VDI/VDE 2180 or EN 61508 only under certain
conditions. If these conditions are not fulfilled (e.g. in case of an incomplete proof test or
a non-constant failure rate), the formulas cannot be applied right away. In such cases, the
PFD calculation can be carried out relatively easily using time-varying Markov models.
EN 61508 Part 6 Edition 2 presents the method of multiphase Markov models. If components
subject to wear shall be observed in the PFD calculation, this method has to be
further generalized; in this generalization, the transition probabilities of the corresponding
Markov model are presented as a time-varying function. This is described in detail in the
present contribution, based on a fictitious example. The time-dependent PFD(t) is calculated
for the total plant lifetime which is then used to determine the average probability
of failure on demand PFD avg . All calculations are carried out with Mathcad as this tool
offers the necessary flexibility and is easy to handle compared to others.
KEYWORDS Multiphase Markov Model / Weibull Distribution / PFD Calculation / EN 61508 /
Safety Instrumented Function / Wear Out / Chapman-Kolmogorov-Equation
40
atp edition
6 / 2012

Andreas Hildebrandt, Pepperl+Fuchs
Die Normen zur funktionalen Sicherheit fordern,
dass für sicherheitstechnische Funktionen die
Versagenswahrscheinlichkeit aufgrund zufälliger
Fehler berechnet wird [4, 5, 6]. Dies kann
in vielen Fällen mit vergleichsweise einfachen
Formeln geschehen (siehe VDI/VDE 2180, Blatt 4 [6]).
Sind Struktur, Betriebsweise oder Randbedingungen
komplexer als es diese Formeln unterstellen, werden andere
Verfahren zur Berechnung der Ausfallwahrscheinlichkeit
benötigt. Bewährt haben sich hier Markov-Modelle
[2], wobei die klassischen Markov-Modelle ebenfalls
oft an ihre Grenzen stoßen, da von bestimmten
Annahmen ausgegangen wird (zum Beispiel von konstanten
Übergangswahrscheinlichkeiten zwischen den
Zuständen), die in der Praxis nicht immer gegeben sind.
Eine Erweiterung beziehungsweise Verallgemeinerung
der Markov-Modellierung ermöglicht es jedoch, auch in
solchen Fällen mit überschaubarem Aufwand die Versagenswahrscheinlichkeit
von Sicherheitsfunktionen zu
bestimmen. Ziel des Beitrags ist es, eine Methode zur
PFD-Berechnung vorzustellen und zu erläutern. Die Zahlenwerte
des Beispiels sind willkürlich gewählt. Bei realen
Schutzeinrichtungen ist es in der Regel nicht möglich,
das Ausfallverhalten mechanischer Komponenten
mithilfe einer Weibull-Verteilung zu beschreiben. Werden
diese mit niedrigen Anforderungsraten betrieben,
ist es nahezu unmöglich, die Weibull-Parameter zu bestimmen
[1].
1. Beispiel einer Sicherheitsfunktion
Gegeben ist eine einkanalige Schutzeinrichtung bestehend
aus Sensor, Signalverarbeitung und Aktor, wobei
folgende Randbedingungen bei der PFD-Berechnung
berücksichtigt werden sollen:
1 | Der Sensor, die Signalverarbeitung und Teile des
Aktors sind elektronische Geräte, ein Teil des Aktors
(Ventil) ist Mechanik.
2 | Die elektronischen Komponenten haben eine Diagnose
mit vernachlässigbar kleiner Diagnosezeit.
Werden Fehler von der Diagnose aufgedeckt, so
werden diese innerhalb von 8 Stunden repariert
(MTTR el = 8 h). Die Reparaturdauer MTTR el beinhaltet
die Diagnosezeit.
3 | Die Ausfallraten der elektronischen Komponenten
(λ DU und λ DD ) sind konstant, die der mechanischen
Komponenten nicht (siehe Punkt 5 und
Bild 1).
4 | Beim Aktor (Ventil) werden mithilfe eines Teilhubtests
(Partial Stroke Test) Fehler teilweise aufgedeckt.
Dieser wird wöchentlich ausgeführt (Diagnosezeit
der Mechanik DZ mech = 168 h). Im Falle eines
erkannten Fehlers wird eine Reparatur durchgeführt,
die durchschnittlich 4 Tage in Anspruch
nimmt (MTTR mech = 96 h).
5 | Die Ausfallrate des mechanischen Ventils ist nicht
konstant (Verschleiß) und muss mithilfe der Weibull-Verteilung
beschrieben werden (Verschleiß
findet unter anderem auch aufgrund des Teilhubtests
statt). Da nicht alle Fehler mithilfe des Teilhubtests
aufgedeckt werden und verschiedene
Teile des Aktors unterschiedlich verschleißen
(manche Teile beziehungsweise Bereiche werden
durch den Teilhubtest regelmäßig bewegt, für andere
gilt „wer rastet, der rostet“), wird die Versagenswahrscheinlichkeit
des Ventils durch zwei
verschiedene Weibull-Verteilungen beschrieben.
Eine erste Verteilung mit den Parametern T dd und
b dd benennt die Versagenswahrscheinlichkeit derjenigen
Teile, die durch den Teilhubtest regelmäßig
bewegt werden. Eine zweite Verteilung mit den
Parametern T du und b du definiert die Wahrscheinlichkeit
von Ausfällen, die nicht durch den Teilhubtest
aufgedeckt oder beeinflusst werden (zum
Beispiel Anhaftungen an Stellen, die beim Teilhubtest
nicht durchfahren werden oder eine Korrosion
beziehungsweise Abrasion der dichtenden
Elemente).
6 | Jedes Jahr wird eine regelmäßige Wiederholungsprüfung
durchgeführt (T 1 = 8760 h). Im Rahmen
atp edition
6 / 2012
41

Hauptbeitrag
dieser Wiederholungsprüfung werden alle Fehler
des Ventils aufgedeckt, auch diejenigen, die vom
Teilhubtest nicht erkannt wurden. Von den elektronischen
Komponenten werden jedoch nicht
alle Fehler aufgedeckt, da der Sensor weder bis
zur Triggerschwelle angefahren werden kann,
noch zum Prüfen ausgebaut werden soll. Bestimmte
Fehler des Sensors werden daher im
Rahmen der Wiederholungsprüfung nicht aufgedeckt.
Der Anteil der aufgedeckten Elektronikfehler
wird mithilfe des Faktors PTC el (PTC =
Proof Test Coverage) quantifiziert. Es wird angenommen,
dass 10 % der Elektronik-Fehler bei der
Wiederholungsprüfung nicht erkannt werden
(PTC el = 0,90).
8 | Alle 5 Jahre findet eine Revision statt (T Rev = 5 х 8760
h), bei der alle Fehler aufgedeckt (sowohl bei Elektronik
wie auch bei der Mechanik) und mechanische
Verschleißteile erneuert werden. Elektronische
Komponenten werden ausgetauscht, wenn das
Ende der Gebrauchsdauer erreicht ist. Das sicherheitstechnische
System ist danach wieder in einem
Wie-Neu-Zustand (siehe Punkt 8).
9 | Das System soll 30 Jahre lang betrieben werden (MT
= 30 х 8760 h). Bei den elektronischen Komponenten
wird die vom Lieferanten genannte Gebrauchsdauer
beachtet, das heißt, sie werden rechtzeitig im
Rahmen einer Revision ersetzt, sodass die gesamte
Anlagenlaufzeit mit den unter Punkt 3 genannten
konstanten Ausfallraten (λ DU und λ DD ) gerechnet
werden darf. Da das Ventil (wie unter Punkt 7 beschrieben)
alle 5 Jahre überholt wird, kann es über
die gesamte Anlagenlaufzeit verwendet werden.
2. Lösungsansatz
Soll von der beschriebenen Schutzeinrichtung unter
Beachtung aller Randbedingungen die Versagenswahrscheinlichkeit
bei Anforderung (PFD) berechnet werden,
lassen sich die aus der VDI/VDE 2180 und
EN 61508 bekannten Formeln nicht ohne Weiteres anwenden.
Ein pragmatischer Lösungsansatz besteht darin,
mithilfe von Worst-Case-Annahmen die Berechnung
so weit zu vereinfachen, dass die Formeln aus
den genannten Normen angewendet werden können.
Scheitert die Erreichung des geforderten Safety Integrity
Level (SIL) dann an einem zu schlechten PFD-Wert,
besteht sicher der Wunsch, eine genauere Berechnung
durchzuführen. Im Folgenden wird daher ein Lösungsansatz
auf Basis eines Markov-Modells vorgestellt, der
mit kommerziell verfügbaren Standardprogrammen
realisiert werden kann. Ausgangspunkt bildet ein
Mehrphasen-Markov-Modell, wie es zum Beispiel in
der EN 61508 Teil 6, Edition 2 [4], beschrieben wird.
Indem die Übergangswahrscheinlichkeiten als zeitabhängige
Funktionen dargestellt werden (zum Beispiel
Weibull-Verteilung), wird das Verschleißverhalten von
Komponenten berücksichtigt. Die Berechnung des zeitlichen
Verlaufs der momentanen Unverfügbarkeit der
Sicherheitsfunktion PFD(t) erfolgt mithilfe der Chapman-Kolmogorov-Gleichung.
In einem abschließenden
Schritt muss noch der zeitliche Mittelwert (und damit
die PFD avg ) berechnet werden. Die gesamte Rechnung
kann mit einem Mathematik-Programm wie Mathcad
erfolgen. Die PFD-Berechnung für die beschriebene
Schutzfunktion kann auf wenigen DIN-A4-Seiten übersichtlich
dargestellt werden.
2.1 Zeitvariantes Markov-Modell
Die Zustände des im Bild 2 gezeigten Markov-Modells
bedeuten:
Zustand 0:
Zustand 1:
Zustand 2:
Zustand 3:
Zustand 4:
Zustand 5:
Zustand 6:
Das System ist vollständig in Ordnung
(Wie-Neu-Zustand).
Die Elektronik ist unerkannt ausgefallen.
Der Fehler wird erst bei der Wiederholungsprüfung
(gepunkteter Übergang „bei
Prooftest“) erkannt und repariert (Reparaturdauer
MTTR el = 8 h).
Die Elektronik ist erkannt ausgefallen. Die
Reparatur erfolgt umgehend und dauert
MTTR el = 8 h.
Die Mechanik ist ausgefallen, der Fehler
wird jedoch vom wöchentlichen Teilhubtest
aufgedeckt. Es dauert im Mittel eine
halbe Woche, bis der Fehler offenbar wird
und die Reparatur beginnen kann (das
heißt, bis das System in den Zustand 5
übergeht). Nachdem der Fehler aufgedeckt
ist, dauert die Reparatur weitere 4 Tage
(MTTR mech = 96 h).
Die Mechanik ist unerkannt ausgefallen.
Der Fehler wird erst bei der Wiederholungsprüfung
(gepunkteter Übergang „bei
Prooftest“) erkannt und repariert (Reparaturdauer
MTTR mech = 96 h).
Ein mechanischer Defekt wurde aufgedeckt
(entweder durch den Teilhubtest
oder im Rahmen der jährlichen Wiederholungsprüfung)
und wird repariert. Die
Reparaturdauer für die Mechanik beträgt
4 Tage (MTTR mech = 96 h).
Die Elektronik ist unerkannt ausgefallen.
Der Fehler wird bei der Wiederholungsprüfung
jedoch nicht erkannt, sondern
erst im Rahmen der Revision aufgedeckt
und repariert (gestrichelter Übergang
„bei Revision“). Eine Revision findet bei
jeder fünften Wiederholungsprüfung
statt (T Rev = 5 х T 1 ).
Die Übergangswahrscheinlichkeiten vom Zustand 0 in
den Zustand 3 beziehungsweise 4 sind zeitabhängig und
werden aus der der Weibull-Verteilung anhand der beiden
Parameter „charakteristische Lebensdauer“ (T dd beziehungsweise
T du ) und „Formfaktor“ (b dd beziehungsweise
b du ) berechnet.
42
atp edition
6 / 2012

Herausforderung
Automatisierungstechnik
2.2 Berechnung der
Zuverlässigkeitsgrößen
Die zeitabhängigen Zustandswahrscheinlichkeiten
des Markov-Modells lassen sich leicht mithilfe der
Chapman-Kolmogorov-Gleichung berechnen. Ausgehend
vom Zeitpunkt t = 0 wird die transponierte Matrix
der Übergangswahrscheinlichkeiten mit dem
Vektor der aktuellen Zustandswahrscheinlichkeiten
multipliziert. Die Elemente des daraus resultierenden
Ergebnisvektors stellen dann die Zustandswahrscheinlichkeiten
des folgenden Zeitschritts dar. Dieses
Ergebnis wird dann erneut mit der transponierten
Wahrscheinlichkeitsmatrix multipliziert, um die
Zustandswahrscheinlichkeiten des nächsten Zeitschritts
zu erhalten (… und so weiter, bis das Ende
der Systemlaufzeit MT = 30 Jahre erreicht ist). Bei der
Matrix der Übergangswahrscheinlichkeiten muss die
Zeilensumme jeweils eins ergeben (sogenannte stochastische
Matrix). Daher können zum Beispiel die
Diagonalelemente (das heißt, die Wahrscheinlichkeit,
dass das System in dem jeweiligen Zustand bleibt)
aus den bereits ermittelten Werten gesondert berechnet
und in die Matrix eingefügt werden.
Da die Schutzeinrichtung zum Zeitpunkt t = 0 neu
ist, ist die Wahrscheinlichkeit, dass sich das System
im Zustand null befindet, gleich eins. Für alle anderen
Zustände ergibt sich damit eine Wahrscheinlichkeit
von null. Das heißt, beim Startvektor ist das erste
Element eins, alle anderen Elemente sind null.
Die momentane Unverfügbarkeit ergibt sich, wenn
für jeden Zeitschritt die Wahrscheinlichkeiten aller
gefahrbringenden Zustände addiert werden. Da im
Beispiel das System nur im Zustand null funktionsfähig
ist, sind alle anderen Zustände (Zustand 1 bis
Zustand 6) gefahrbringend.
Das Ergebnis ist somit der zeitliche Verlauf der Unverfügbarkeit
der Sicherheitsfunktion (also die zeitabhängige
PFD (t) , siehe Bild 3). Da für die SIL-Bewertung
die mittlere Unverfügbarkeit PFD avg benötigt
wird, muss von diesem Verlauf noch der zeitliche
Mittelwert berechnet werden. Dieser Mittelwert stellt
dann das gesuchte Ergebnis dar.
2.3 Realisierung mit Mathcad
Der oben beschriebene Lösungsweg zur PFD-Berechnung
eines Systems mit verschleißbehafteten Komponenten
kann effizient mithilfe von Mathcad [3]
implementiert werden. Ein kommentierter und mit
erklärenden Diagrammen versehener Lösungsvorschlag
ist im Bild dargestellt. Im Vergleich zu proprietären
Lösungen bieten universell einsetzbare Standardprogramme
eine größere Flexibilität und eine
vollständige Kontrolle über die Berechnungsschritte.
Individuelle Lösungen, wie im Beitrag dargestellt,
werden dadurch erst möglich. Ändern sich Randbedingungen
oder die Struktur der Schutzeinrichtung,
so kann mit wenig Aufwand das vorhandene Modell
Mit dem atp-award werden zwei Autoren der atp edition für
hervorragende Beiträge ausgezeichnet. Ziel dieser Initiative
ist es, Wissenschaftler und Praktiker der Automatisierungstechnik
anzuregen, ihre Ergebnisse und Erfahrungen in Veröffentlichungen
zu fassen und die Wissenstransparenz in der
Automatisierungstechnik zu fördern. Teilnehmen kann jeder
Autor der zum Zeitpunkt der Veröffentlichung nicht älter als
35 Jahre ist. Nach Veröffentlichung eines Beitrags ist der Autor,
wenn er die Bedingung erfüllt, automatisch im Pool. Die
Auswahl des Gewinners übernimmt die atp-Fachredaktion.
Derjenige Autor, der im Autorenteam der jüngste ist, erhält
stellvertretend für alle Autoren die Auszeichnung. Der Preis
wird in zwei Kategorien ausgelobt: Industrie und Hochschule.
Die Kategorien ermittlung ergibt sich aus der in dem Beitrag
angegebenen Adresse des jüngsten Autors.
Veröffentlichungen – Beitrag zum Wissenspool im
Fachgebiet Automatisierungstechnik
Die Entwicklung eines Wissensgebietes erfolgt durch einen
kooperativen Prozess zwischen wissenschaftlicher Grundlagenforschung,
Konzept- und Lösungsentwicklung und Anwendung
in der Praxis. Ein solcher Prozess bedarf einer gemeinsamen
Informationsplattform. Veröffentlichungen
sind die essentielle Basis eines solchen Informationspools.
Der atp-award fördert den wissenschaftlichen Austausch
im dynamischen Feld der Automationstechnik. Nachwuchsinge
nieure sollen gezielt ihre Forschungen präsentieren
können und so leichter den Zugang zur Community erhalten.
Der Preis ist mit einer Prämie von jeweils 2000€ dotiert.
Die Auswahl erfolgt in zwei Stufen:
Voraussetzung für die Teilnahme ist die Veröffentlichung
des Beitrags in der atp edition. Jeder Aufsatz, der als Hauptbeitrag
für die atp edition eingereicht wird, durchläuft das
Peer-Review-Verfahren. Die letzte Entscheidung zur Veröffentlichung
liegt beim Chefredakteur. Wird ein Beitrag veröffentlicht,
kommt er automatisch in den Pool der atp-award-
Bewerber, vorausgesetzt einer der Autoren ist zum Zeitpunkt
der Veröffentlichung nicht älter als 35 Jahre. Ausgezeichnet
wird der jüngste Autor stellvertretend für alle Autoren der
Gruppe. Eine Jury aus Vertretern der atp-Fachredaktion
und des -Beirats ermittelt schließlich den Gewinner in den
jeweiligen Kategorien Hochschule und Industrie.
Der Rechtsweg ist ausgeschlossen.
Beiträge richten Sie bitte an:
Oldenbourg Industrieverlag GmbH
Herrn Prof. Leon Urbas
Chefredakteur atp edition / automatisieren! by atp
Rosenheimer Straße 145 • 81761 München
Tel. +49 (0) 89 45051 418 • E-Mail: urbas@oiv.de
Beachten Sie die Autorenhinweise der atp edition
für Hauptbeiträge unter folgendem Link:
http://www.atp-online.de
Bitte senden Sie Ihre Beiträge an: urbas@oiv.de

Hauptbeitrag
DAS MATHCAD-Modell
Berechnung eines verschleiSSbehafteten Systems mithilfe
eines zeitvarianten Markov-Modells und der Weibull-verteilung
Gesamtzahl der Zustände (Anz) und Anzahl der gefährlichen Zustände (Danger) eingeben. Bei der Erstellung des Markov-
Diagramms ist folgendes zu beachten: Zustand 0 ist der Zustand, in dem das System fehlerfrei arbeitet. Die Nummerierung
der Zustände ist so vorzunehmen, dass die gefährlichen Zustände diejenigen mit den höchsten Nummern sind.
Anz := 7 Danger := 6
Parameter definieren (Zeit in Stunden, das heißt Ausfallraten in 1/h bzw. 1 Jahr = 8760 h):
MT := 30 x 8760
T 1 := 1 x 8760
T Rev := 5 x T 1
PTC el := 0.90
MTTR el := 8
MTTR mech := 96
DZ mech := 168
λ du_el :=3 x 10 −7
λ dd_el :=9 x 10 −7
T du := 10 x 8760
b du := 7
T dd := 28 x 8760
b dd := 2.5
Missionszeit (Mission Time), das heißt Anlagenlaufzeit
Zeitintervall der regelmäßigen Wiederholungsprüfung
Revision (Wartung), bei der mechanische Verschleißteile ersetzt werden
Proof Test Coverage der elektronischen Komponenten
Mittlere Reparaturzeit der elektrischen Komponenten (inkl. Diagnosezeit)
Mittlere Reparaturzeit der mechanischen Komponenten
Diagnosezeit der Mechanik (wöchentlicher Teilhubtest eines Ventils)
Ausfallrate der unerkannten Fehler bei den elektrischen Komponenten
Ausfallrate der erkannten Fehler bei den elektrischen Komponenten
Charakteristische Lebensdauer für unerkannte Mechanikausfälle
Formfaktor der Weibull-Verteilung für unerkannte Mechanikausfälle
Charakteristische Lebensdauer für erkannte Mechanikausfälle
Formfaktor der Weibull-Verteilung für erkannte Mechanikausfälle
λ du_mech (t):=
λ dd_mech (t):=
(
)
)
b
b
du –1
du
х mod ( t, T Rev
T du T du
Weibull-Verteilung der unerkannten Ausfälle
(nach der Revision ist die Komponente wie neu)
(
)
)
b
b
dd –1
dd mod ( t, T
х
Rev
T dd T dd
Weibull-Verteilung der erkannten Ausfälle
(nach der Revision ist die Komponente wie neu)
Um Division durch 0 zu vermeiden bei Vernachlässigung der Reparatur- bzw. Diagnosezeit:
MTTR el := wenn (MTTR el = 0, 1, MTTR el )
MTTR mech := wenn (MTTR mech = 0, 1, MTTR mech )
DZ mech := wenn (DZ mech = 0, 1, DZ mech )
BILD 1 Darstellung der Ausfallraten über der Zeit (alle 5
Jahre werden Verschleißteile ersetzt)
BILD 2 Mehrphasen-Markov-Modell:
Bei der Wiederholungsprüfung
finden einmalig nur die gepunkteten
Übergänge „bei Prooftest“ statt.
Sofern im Rahmen der Wiederholungsprüfung
auch eine Revision
durchgeführt wird, findet zusätzlich
noch der gestrichelte Übergang
„bei Revision“ statt. Bei allen
anderen Zeitschritten gelten die
durchgezogenen Übergänge.
Die Matrix P(t) beschreibt die zeitabhängigen Übergangswahrscheinlichkeiten
0 PTC el х λ du_el λ dd_el λ dd_mech (t) λ du_mech (t) 0 (1 – PTC el ) х λ du_el
0 0 0 0 0 0 0
1
0 0 0 0 0 0
MTTR el
2
P(t):= 0 0 0 0 0 0
DZ mech
1
0 0 0 0 0
MTTR mech
0
0 0 0 0 0 0 0
0 0 0 0 0 0 0
44
atp edition
6 / 2012

P(t):=
P f P(t)
for k ∈ 0.. Anz – 1
Anz – 1
P k,k f 1 – ∑ P k,r
r = 0
Diagonalelemente berechnen und in die Matrix einfügen.
Die Matrix Proof beschreibt die Übergänge bei der normalen Wiederholungsprüfung
0 0 0 0 0 0 0
0 0 1 0 0 0 0
Proof :=
0 0 0 0 0 0 0
Übergangsmatrix für den
0 0 0 0 0 0 0
Proof Test definieren.
Proof := P f P(t)
0 0 0 0 0 1 0
for k ∈ 0.. Anz – 1
Diagonalelemente berechnen
und in die Matrix einfügen.
Anz – 1
Alle gefährlichen Zustände zur Zeit t aufsummieren
PFD t f ∑ S n
und im Ergebnis- Vektor PFD speichern
0 0 0 0 0 0 0
Anz – 1
0 0 0 0 0 0 0
P k,k f 1 – ∑ P k,r
r = 0
Die Matrix Rev beschreibt die Übergänge bei der Revision
Rev :=
0 0 0 0 0 0 0
Übergangsmatrix für die
0 0 1 0 0 0 0
Revision definieren.
0 0 0 0 0 0 0
(Zusätzlich zum normalen
0 0 0 0 0 0 0
Rev := P f Rev
Prooftest findet noch
0 0 0 0 0 1 0
for k ∈ 0.. Anz – 1
der Übergang von Zustand
0 0 0 0 0 0 0
Anz – 1 Diagonalelemente berechnen
6 in den Zustand 2 statt)
0 0 1 0 0 0 0
P und in die Matrix einfügen.
k,k f 1 – ∑ P k,r
r = 0
Markov-Kette mithilfe der Chapman-Kolmogorov-Gleichung berechnen
Startvektor definieren (Erstes Element ist 1, alle anderen Elemente sind 0)
s := 0.. Anz − 1
Ergebnisvektor definieren, indem das letzte Element
S s := 0
Null gesetzt wird.
S 0 := 1
(Alle anderen Elemente werden dann ebenfalls Null)
PFD MT := 0
PFD := for t ∈ 1.. MT
S f P(t) T х S if mod(t, T 1 ) ≠ 0
Normalen Zeitschritt berechnen
S f Proof T х S if mod(t, T 1 ) = 0 mod(t, T Rev ) ≠ 0
Prooftest (ohne Revision)
S f Rev T х S if mod(t, T Rev ) = 0
Revision
n = Anz–Danger
Darstellung der zeitabhängigen PFD(t)
PFD avg := Mittelwert (PFD)
PFD avg := 2.52 х 10 −3
BILD 3
atp edition
6 / 2012
45

Hauptbeitrag
an die neue Situation angepasst und die Rechnung „auf
Knopfdruck“ erneut durchgeführt werden.
Das Beispiel wurde mit Mathcad 14 erstellt. Auf einem
Laptop mit Intel T7300 Prozessor (2 GHz) beträgt
die Rechenzeit mit den angegebenen Parametern zirka
40 Sekunden.
Fazit
Die Berechnung der PFD mithilfe eines Markov-Modells
stößt immer dann an Grenzen, wenn die Übergangswahrscheinlichkeiten
zeitveränderlich sind. Dies
ist beispielsweise dann der Fall, wenn zu bestimmten
Zeitpunkten Prüf- beziehungsweise Wartungsarbeiten
durchgeführt werden oder die Ausfallraten über der
Zeit nicht konstant sind. Für den erstgenannten Fall
wird in der neuen Ausgabe der EN 61508, Teil 6 ein
Lösungsvorschlag in Form eines Mehrphasen-Markov-
Modells vorgestellt. Hierbei wird zu den besagten Zeitpunkten
auf eine andere Wahrscheinlichkeitsmatrix
„umgeschaltet“, um zum Beispiel den Effekt der regelmäßigen
Wiederholungsprüfung bei der PFD-Berechnung
korrekt zu berücksichtigen. Ändern sich die Ausfallraten
kontinuierlich (wie zum Beispiel bei verschleißbehafteten
Elementen), kann dies nicht durch
Mehrphasen-Markov-Modelle modelliert werden. Vielmehr
erfordert dies eine Erweiterung der Methode,
sodass die einzelnen Elemente der Wahrscheinlichkeitsmatrix
selbst zeitabhängige Funktionen darstellen.
In beiden Fällen (Mehrphasen-Markov-Modelle
und zeitabhängige Übergangswahrscheinlichkeiten)
stoßen proprietäre Programme zur Markov-Modellierung
an ihre Grenzen.
Universelle Mathematik-Programme wie Mathcad bieten
die Funktionalität und Flexibilität, um Mehrphasen-
Markov-Modelle mit zeitabhängigen Übergangswahrscheinlichkeiten
zu beschreiben und zu berechnen. Der
Bedienungskomfort und die Funktionalität heutiger
Mathematik-Programme sind so weit fortgeschritten,
dass die Implementierung eines Modells sowie des dazugehörigen
Lösungsalgorithmus ohne nennenswerte
Einarbeitung möglich ist.
Manuskripteingang
13.03.2012
Im Peer-Review-Verfahren begutachtet
Autor
Dr.-Ing. Andreas
Hildebrandt (geb. 1959)
machte eine Ausbildung
zum Informationselektroniker
bei der BASF AG,
Ludwigshafen. Studium
der Elektrotechnik mit
anschließender Promotion
am Lehrstuhl für Mikroelektronik
an der TU Kaiserslautern.
Seit 1996 Mitarbeiter bei der Pepperl+Fuchs
GmbH, Mannheim, als Entwicklungsingenieur,
später als Leiter des Prüflabors.
Seit 2006 leitet er die Gruppe „Schulung
und Gremienarbeit“. Vorsitzender der ZVEI-
Arbeitsgruppe „EMV“, Mitarbeit bei DKE
K 767.0.4, DKE GK 914, sowie dem FA 6.13
der Gesellschaft Mess- und Automatisierungstechnik
(GMA) des VDI/VDE. Hauptarbeitsgebiete:
Explosionsschutz, funktionale
Sicherheit, EMV und Feldbus-Systeme.
Pepperl+Fuchs GmbH,
Lilienthalstr. 200,
D-68307 Mannheim,
Tel. +49 (0) 621 776 14 54,
E-Mail: ahildebrandt@de.pepperl-fuchs.com
Referenzen
[1] Hildebrandt, A.: SIL-Bewertung von Mechanik,
atp edition – Automatisierungstechnische Praxis
53(1-2), 2011
[2] Pukite, J. und Pukite, P.: Modeling für Reliability
Analysis, IEEE Press
[3] Trölß, J.: Angewandte Mathematik mit Mathcad,
Band 1 – 4, Springer Verlag
[4] EN 61508 Teil 6: Edition 2: Funktionale Sicherheit
sicherheitsbezogener elektrischer/elektronischer/
programmierbarer elektronischer Systeme,
Teil 6: Anwendungsrichtlinie für IEC 61508-2 und
IEC 61508-3, Februar 2011
[5] EN 61511, Teil 1 - 3: Funktionale Sicherheit – Sicherheitstechnische
Systeme für die Prozessindustrie,
Mai 2005
[6] VDI/VDE 2180, Blatt 1 - 5: Sicherung von Anlagen der
Verfahrenstechnik mit Mitteln der Prozessleittechnik
(PLT), 2009
46
atp edition
6 / 2012

Herausforderung
Automatisierungstechnik
Mit dem atp-award werden zwei Autoren der atp edition
für hervorragende Beiträge ausgezeichnet. Ziel dieser
Initiative ist es, Wissenschaftler und Praktiker der
Automatisierungstechnik anzuregen, ihre Ergebnisse
und Erfahrungen in Veröffentlichungen zu fassen und
die Wissenstransparenz in der Automatisierungstechnik
zu fördern.
Teilnehmen kann jeder Autor der zum Zeitpunkt
der Veröffentlichung nicht älter als 35 Jahre ist. Nach
Veröffentlichung eines Beitrags ist der Autor, wenn er
die Bedingung erfüllt, automatisch im Pool. Die Auswahl
des Gewinners übernimmt die atp-Fachredaktion.
Derjenige Autor, der im Autorenteam der jüngste ist,
erhält stellvertretend für alle Autoren die Auszeichnung.
Der Preis wird in zwei Kategorien ausgelobt:
Industrie und Hochschule. Die Kategorien ermittlung
ergibt sich aus der in dem Beitrag angegebenen Adresse
des jüngsten Autors.
Veröffentlichungen – Beitrag zum Wissenspool
im Fachgebiet Automatisierungstechnik
Die Entwicklung eines Wissensgebietes erfolgt durch
einen kooperativen Prozess zwischen wissenschaftlicher
Grundlagenforschung, Konzept- und Lösungsentwicklung
und Anwendung in der Praxis. Ein solcher
Prozess bedarf einer gemeinsamen Informationsplattform.
Veröffentlichungen sind die essentielle Basis
eines solchen Informationspools.
Der atp-award fördert den wissenschaftlichen Austausch
im dynamischen Feld der Automationstechnik.
Nachwuchsingenieure sollen gezielt ihre Forschungen
präsentieren können und so leichter den Zugang zur
Community erhalten. Der Preis ist mit einer Prämie
von jeweils 2000€ dotiert.
Die Auswahl erfolgt in zwei Stufen:
Voraussetzung für die Teilnahme ist die Veröffentlichung
des Beitrags in der atp edition. Jeder Aufsatz,
der als Hauptbeitrag für die atp edition eingereicht
wird, durchläuft das Peer-Review-Verfahren. Die
letzte Entscheidung zur Veröffentlichung liegt beim
Chefredakteur. Wird ein Beitrag veröffentlicht, kommt
er automatisch in den Pool der atp-award-Bewerber,
vorausgesetzt einer der Autoren ist zum Zeitpunkt
der Veröffentlichung nicht älter als 35 Jahre. Ausgezeichnet
wird der jüngste Autor stellvertretend für alle
Autoren der Gruppe. Eine Jury aus Vertretern der atp-
Fachredaktion und des -Beirats ermittelt schließlich
den Gewinner in den jeweiligen Kategorien Hochschule
und Industrie. Der Rechtsweg ist ausgeschlossen.
Beiträge richten Sie bitte an:
Oldenbourg Industrieverlag GmbH
Herrn Prof. Leon Urbas
Chefredakteur atp edition / automatisieren! by atp
Rosenheimer Straße 145
81761 München
Tel. +49 (0) 89 45051 418
E-Mail: urbas@oiv.de
Beachten Sie die Autorenhinweise der atp edition für
Hauptbeiträge unter folgendem Link:
http://www.atp-online.de
Bitte senden Sie Ihre Beiträge an:
urbas@oiv.de
Vom Wettbewerb ausgeschlossen sind Mitarbeiter des Oldenbourg Industrieverlags. Wird ein Beitrag von mehreren Autoren eingereicht, gelten die Bedingungen für den Erstautor. Der Preis
als ideeller Wert geht in diesem Fall an die gesamte Autorengruppe, die Dotierung geht jedoch exklusiv an den jüngsten Autor. Grundlage der Teilnahme am Wettbewerb ist die Einsendung
eines Hauptaufsatz-Manuskriptes an die atp-Chefredaktion.
www.atp-online.de

hauptbeitrag
Komplexe
PLT-Schutzeinrichtungen
Entwicklung, Umsetzung und Instandhaltung
Die Anwendung komplexer Schutzfunktionen wird durch Standards wie IEC 61511 abgedeckt.
Wesentliche Voraussetzungen sind eine vollständige Spezifikation und klar
definierte Entwicklungs- und Prüfprozesse. Jedoch sind die in IEC 61511 genannten Anforderungen
in einigen Teilbereichen nicht ausreichend, und das Einbeziehen von zusätzlichen
Standards, zum Beispiel IEC 61508, ist notwendig. Der Beitrag beschreibt ein Vorgehen,
das den Besonderheiten von komplexen Schutzeinrichtungen in der Prozessindustrie
Rechnung trägt.
SCHLAGWÖRTER Komplexe Schutzfunktionen / V-Modell / IEC 61511 / IEC 61508
Complex E&I-Safety Functions –
Development, Implementation and Maintenance
The application of complex safety functions is covered by established standards like
IEC 61511. Significant requirements include a comprehensive specification and a defined
development and verification process. However, in some parts the requirements of
IEC 61511 are not sufficient and the integration of additional standards, for example
IEC 61508, is necessary. This article describes a procedure which takes the characteristics
of complex safety functions into account.
KEYWORDS Complex based safety functions / V-Model / IEC 61511 / IEC 61508
48
atp edition
6 / 2012

Susann Haase, Dirk Hablawetz, Thomas Hauff, Michael Krauß, Felix Lenhart, BASF
Verfahrenstechnische Prozesse werden kontinuierlich
weiterentwickelt und führen zu einer
besseren Produktqualität und höheren Anlagenausbeute.
In den vergangenen Jahren wurden
leistungsfähige sicherheitsgerichtete speicherprogrammierbare
Steuerungen (SSPS) entwickelt,
mit denen auch komplexe Schutzfunktionen als Online-
Realisierung eingesetzt werden können. Die technischen
Weiterentwicklungen der Hard- und Software ermöglichen
dabei neue Lösungen, vergleichbar mit früher nicht
realisierbaren elektronischen Stabilitätsprogrammen in
Kraftfahrzeugen.
Komplexe Schutzsysteme sind gekennzeichnet durch
einen hohen Anteil an verfahrenstechnischen Aspekten
in der Spezifikation. Oft ist es nicht möglich, die einzelnen
sicherheitstechnischen Funktionen direkt auf der
prozessleittechnischen Ebene zu definieren, wie das bei
einfachen Schutzfunktionen, zum Beispiel Temperatur-
Maximum-Abschaltungen, möglich ist. Komplexität
kann dabei durch komplexe Produktionsabläufe oder
aufwendige mathematische Modelle zur Berechnung von
sicherheitsrelevanten Größen beziehungsweise deren
Wechselwirkung gegeben sein. Die Ermittlung nicht direkt
messbarer Größen kann ein numerisches Lösungsverfahren
benötigen, das nur in einer höheren Programmiersprache
realisiert werden kann. Unabhängig von der
Art des Lösungsverfahrens oder dessen Umsetzung werden
für komplexe PLT-Schutzeinrichtungen eine den
gesamten Sicherheitslebenszyklus umfassende Methodik
und insbesondere klare organisatorische Prozesse, Rollen
und Verantwortlichkeiten benötigt.
Überall dort, wo es nicht mehr möglich ist, die Komplexität
der Applikation mit den Mitteln der IEC 61511 [1]
abzudecken, ist es möglich, methodische Anleihen von
anderen sektorspezifischen Sicherheitsstandards zu nutzen,
wie zum Beispiel die ISO 26262 für die Automobiltechnik.
Der oft bessere Weg ist der Rückgriff auf den
sicherheitstechnischen Basisstandard IEC 61508 [2], was
jedoch mit überproportionalem Aufwand auf die spezifische
Entwicklung von Speziallösungen assoziiert wird.
Allerdings zeigt ein genauerer Blick auf den Anhang G
der IEC 61508 Teil 3, welcher Komplexitätsgrad für die
erforderliche Sicherheitsintegrität definiert werden
muss, (Bild 1) und daraus abgeleitet, welche notwendigen
Maßnahmen beachtet werden müssen. Die Komplexitätskategorie
G4 ist in vielen Fällen für komplexe Schutzfunktionen
ausreichend und damit aufwandsreduziert
gegenüber G7.
Basierend auf der IEC 61508-3 wird in diesem Beitrag
ein Rahmen für den Entwicklungs- und Umsetzungsprozess
von funktional und steuerungstechnisch komplexen
Schutzeinrichtungen im verfahrenstechnischen Umfeld
beschrieben. Der Schwerpunkt liegt dabei auf der Entwicklung
und Verifikation der Applikationssoftware im
Kontext eines geeigneten Gesamtkonzepts.
Im Rahmen der in den zitierten Normen genannten
Anforderungen an Methodik, Prozesse und Verantwortlichkeiten
sind insbesondere folgende Aspekte in einem
Gesamtkonzept zu beachten:
Spezifikation der Anforderungen an die sicherheitstechnische
Anwendung,
Berücksichtigung von speziellen und spezifischen
Betriebsarten,
erlaubte Sprachenteilmengen für die Realisierung
dieser Anwendung (Spracheinschränkungen),
Entwurfsmethoden zur Kombination der
Sprachen teilmengen (Codierrichtlinien),
Spezifikation der Eingabeparameter für die
Anwendung,
Rahmenkriterien für die Verifikation, die unter
anderem die Kombinationen möglicher Systemzustände
abdecken,
Validierung aller Kombinationen der Eingabeparameter,
notwendige Dokumentation mit möglichst allgemein
verständlicher Darstellung.
Diese Vorgehensweise für die Implementierung von
Schutzfunktionen wird auf komplexe Schutzfunktionen
mit einem unterlagerten chemisch-physikalischen Modell
angewendet. Die Bereiche Spezifikation, Dokumentations-
atp edition
6 / 2012
49

Hauptbeitrag
und Validierungskonzept sowie Softwareverifizierung
werden hierbei besonders betont. Projektspezifisch kann
die Gewichtung der dargestellten Aspekte variieren. Insbesondere
werden auch die Vorteile der Kombination der
Sicherheitssteuerungen Himax mit der Realisierungsplattform
SPHINX [3] zur Nutzung der Programmiersprache C
diskutiert, durch welche die Erfüllung von Anforderungen
der IEC 61508-3 erheblich erleichtert wird.
Ziel des Artikels ist die Darstellung eines möglichen
Vorgehensmodells aus der Praxis zur Realisierung komplexer
Schutzeinrichtungen in der Prozessindustrie für
alle im Sicherheitslebenszyklus beteiligten Personen und
Organisationen. Lösungen in der Prozessindustrie sind
überwiegend Unikate beziehungsweise haben maximal
Kleinseriencharakter. Es besteht daher ein Bedarf an
Vorgehensweisen und Realisierungsplattformen, die geringen
Anwendungszahlen gerecht werden, aber dennoch
auf effiziente und effektive Weise den gesamten
Sicherheitslebenszyklus abdecken. Ein solcher Ansatz
wird hier dargestellt.
1. Implementierung komplexer Schutzfunktionen
Sicherheit ist das Resultat angemessener Qualitätsprozesse,
die mit einer Spezifikation beginnen. Aus dieser
Sicht sind die IEC 61511 und die IEC 61508 inhaltlich
ähnlich zu Normen für Qualitätssicherung und Anwendungen
im validierungspflichtigen Umfeld, zum Beispiel
GMP (Good Manufacturing Practice)-Richtlinien der
Pharmaproduktion [4-7]. Gemeinsame Elemente dieser
Standards und Methoden sind:
Es müssen klare Prozesse für Spezifikation, Entwicklung,
Implementierung, Verifizierung, Validierung,
Dokumentation und Betrieb existieren.
Kompetenzen und Verantwortlichkeiten müssen
eindeutig definiert sein.
Es müssen verbindliche Schnittstellen für die Kooperation
zwischen verschiedenen beteiligten Einheiten
existieren.
Die Dokumentation muss problemspezifisch zugeschnitten
und zielgruppenorientiert hierarchisch
organisiert sein (V-Modell [8]) und muss nachvollziehbare
Aussagen über Annahmen, Rechtfertigungen
und Einschränkungen machen.
Die Rückverfolgbarkeit der Anforderungen, Implementierungs-
und Validierungsdetails muss gegeben
sein.
Bei der technischen Realisierung von komplexen
Schutzsystemen sind meist zahlreiche fachlich spezialisierte
Einheiten beteiligt, sodass die Organisation
äußerst anspruchsvoll ist. Das betrifft beispielsweise
die Erarbeitung der chemisch-physikalischen Zusammenhänge
und die Entwicklung eines zugehörigen,
onlinefähigen (das heißt, in der SSPS realisierbaren)
Algorithmus. Auch die Ausarbeitung von Verifikations-
und Validierungsmaßnahmen sowie die Erstellung
von Betriebsanweisungen werden typischerweise
von Personen aus verschiedenen Organisationen übernommen.
Die Wechselwirkungen zwischen diesen
Schritten sind zu beachten und erfordern eine intensive
Kooperation und Vernetzung der beteiligten Facheinheiten
unter einem Koordinator, welcher das komplette
Sicherheitskonzept detailliert kennt, zum Beispiel
dem Verfahrensgeber. Dabei muss insbesondere
die Spezifikation des Schutzsystems als integraler Teil
des Produktionsverfahrens begriffen werden. Bei der
Organisation ist zu beachten, dass im sicherheitstechnischen
Umfeld all diese Schritte im 4-Augen-Prinzip
verifiziert werden sollten. Zur Definition und gegenseitigen
Abgrenzung von Entwicklungsschritten und
Verantwortlichkeiten kann zweckmäßigerweise eine
RACI-Matrix verwendet [9] werden. In dieser wird der
gesamte Lebenszyklus beachtet (inklusive Management
of Change, bei komplexen Systemen insbesondere das
Know-how-Management).
In der Programmierung muss die höhere Komplexität,
welche durch numerische Lösungsverfahren hervorgerufen
wird, berücksichtigt werden. Die IEC 61511 konzentriert
sich bei der Umsetzung von Sicherheitsfunktionen
maximal auf Programmiersprachen mit eingeschränktem
Sprachumfang. Komplexe Sicherheitsfunktionen
benötigen oft eine Programmiersprache mit einem
höheren Funktionsumfang als zum Beispiel Structured
Text (ST). Diese stehen jedoch außerhalb des Fokus der
IEC 61511. Die IEC 61511 bezieht sich spezifisch auf den
Sektor der Prozessindustrie, unterstützt den Anwender
jedoch wenig bei der Wahl geeigneter Verfahren für Umsetzung
und Verifikation komplexer Funktionen. Die
IEC 61508 hingegen hat einen eher generischen Ansatz
und bietet eine Auswahl an Methoden und Verfahren,
aus denen der Anwender die für seine Applikation passenden
heraussuchen kann.
1.1 Dokumentation im Entwicklungsprozess
Die Dokumentation über das V-Modell sollte, wie bereits
erwähnt, vollständig und rückverfolgbar sein. Hier sind
drei wesentliche Aspekte zu beachten:
Physikalisch-chemische Modellgleichungen bilden
die Realität nur unvollkommen ab. Die Annahmen
und Voraussetzungen für die Gültigkeit und Anwendbarkeit
dieser Gleichungen müssen dokumentiert
und begründet werden.
Jede im V-Modell tiefer liegende Anforderung an die
Implementierung und jeder Aspekt der Realisierung
muss auf Anforderungen der Spezifikation zurückgeführt
werden können.
Übergeordnete Dokumente müssen für jede Produktionsanlage
bezüglich des mathematischen und ablauforientierten
Teils in den projektspezifischen
Dokumenten konkretisiert werden.
Eine geeignete Dokumentenstruktur soll insbesondere
definierte Schnittstellen zwischen den beteiligten Einheiten
sicherstellen. Die Dokumentationsstruktur muss
zu den Rollen und Verantwortungen (RACI-Matrix [9])
passen.
50
atp edition
6 / 2012

BILD 1: Freiheitsgrad
gegen Komplexität
bei datengesteuerten
Systemen
SIS Realisierungsphase SIS Analysephase Sicherheitskonzept
Review
Spezifikation des
Sicherheitskonzeptes
Review
Modellentwicklung
Entwurfsprüfung
Generisch
Gefährdungs- und
Riskoanalyse
Projektspezifisch (SSPS)
Prüfungen
Zuordnung der
Schutzmaßnahmen
Spezifikation der PLT -
Schutzeinrichtungen
Verfahrenstechnisch e
Validierung
Planung, Projektierung,
Validierungsplanung
S IS Betriebsphase
Funktionale
Validierung
Implementierung und
Inbetriebnahme
Inbetriebnahmeprüfung
Werksabnahme,
Softwareprüfung
Modifikation
Betrieb und Wartung
Wiederholungsprüfung
BILD 2: Vereinfachte
Darstellung des V-Modells
für eine komplexe
Schutzeinrichtung
1.2 Prozesse im V-Modell
Im V-Modell (Bild 2) ist ein Realisierungsprozess für
ein Schutzsystem skizziert. Komplexe Schutzsysteme
sind als Verfahrensbestandteil zu betrachten. Solche
Verfahren werden in der Regel in mehreren Produktionsanlagen
genutzt, sodass es sinnvoll ist, zwischen
einer generischen, das heißt projektübergreifenden allgemeinen
Beschreibung, und einer projektspezifischen
Individualisierung zu unterscheiden. Bild 2 zeigt, welche
Abschnitte des V-Modells generisch oder projektspezifisch
sind, oder jeweils sowohl generisch als
auch projektspezifisch durchgeführt werden sollten.
Die generische Implementierung dient als Referenzmodell
für die methodisch und algorithmisch identische,
projektspezifische Implementierung. Im generischen
Teil des V-Modells werden die konkreten Methoden
und Standards festgelegt, zum Beispiel die Aufteilung
der Programm-Funktionen in einzelne Module. Diese
werden im projektspezifischen Teil verwendet. Mit
diesem Ansatz lassen sich viele Forderungen der
IEC 61508 bereits in der Entwicklungsphase der Online-Implementierung
erfüllen. In der Projektphase
muss nur noch auf projektspezifische Aspekte wie die
atp edition
6 / 2012
51

Hauptbeitrag
Anpassung der generischen Prozessabläufe an die jeweilige
Anlage geachtet werden. Das Referenzmodell
wird zur Prüfung der projektspezifischen Realisierung
verwendet.
Typischerweise wird eine komplexe Funktion vor
der Implementierung auf der SSPS auf einem Entwicklungs-PC
getestet. Wenn auf SSPS und Entwicklungs-
PC dieselbe Programmiersprache verwendet werden
kann, entstehen hierdurch mehrere Synergien. Implementierung
und Verifikation vereinfachen sich besonders,
wenn ausgehend von einem Programm mithilfe
zweier Compiler sowohl Code für den PC als auch für
die SSPS erzeugt werden kann. Oft kann dann zusätzlicher
Entwicklungsaufwand vermieden werden, um
Algorithmen an Limitierungen, wie Speicher oder Rechenzeit,
der Realisierungsplattform anzupassen.
Im Zusammenhang mit komplexen Schutzfunktionen
sind einige Teilprozesse dieses V-Modells besonders
relevant. So muss die Spezifikation vollständig
sein und alle funktionalen Festlegungen abdecken.
Auch die Schritte, Zustände und erlaubten Transitionen
des Produktionsverfahrens müssen beschrieben
sein. Die Dokumentation muss methodisch aufgebaut
und leicht verständlich sein. Details der Implementierung
müssen bis zur Spezifikation der verfahrenstechnischen
Anforderungen rückverfolgbar sein. Das Validierungskonzept
muss spezifisch an Fragestellung und
Plattform adaptiert sein.
2. Spezifikation der Sicherheitsfunktionen
Die Spezifikation komplexer Schutzsysteme muss sich
am Begriff der funktionalen Sicherheit (IEC 61511) orientieren.
Funktionale Sicherheit umfasst den Teil der
gesamten Betriebssicherheit, die von der korrekten Funktion
eines Systems abhängt.
Aus der generischen Beschreibung muss erkennbar
sein, wie eine projektspezifische Umsetzung erfolgen
soll. Fahrweisen, Betriebszustände, Reaktionsfortschritte
und Rezeptphasen müssen daher Teil der Spezifikation
sein. Die Spezifikation ist damit untrennbarer
Bestandteil des Produktionsverfahrens. Das System
muss geeignet sein, unabhängig von Anlagenzuständen,
Nutzereingaben, induzierten oder intrinsischen Fehlern
selbstständig mit der erforderlichen Zuverlässigkeit
einen sicheren Zustand aufrechtzuerhalten. Das
Ziel der funktionalen Sicherheit ist, mittels geeigneter
technischer Einrichtungen die vom System ausgehenden
Gefahren und Risiken auf das erforderliche Niveau
zu reduzieren.
2.1 Vollständigkeit der Spezifikation
Bei einer Spezifikation kommt es auf Vollständigkeit
an (Bild 3). Das bedeutet, dass alle Aussagen begründet
und die verfahrenstechnischen Aspekte der
Schutzfunktionen restlos geklärt sein sollen. Besonderer
Wert soll in der Spezifikation daher auf das Zustandsdiagramm
der Prozesszustände, auf die mathematischen
Berechnungen und die Architektur des
Systems gelegt werden. Die Interaktionen zwischen
dem Bedienpersonal (zum Beispiel wechselnde Rezepte,
die händische Eingaben in die Sicherheitssteuerung
bedingen) und funktionaler Sicherheit sind zu
beachten. Die Beschreibung des Eingangs- und Ausgangsverhaltens
soll vollständig sein. Schutzsysteme
sind nicht nur durch die Reaktion auf vorhersehbare,
sondern auch auf alle möglichen Eingangssignale gekennzeichnet.
Daher ist festzulegen, welche Fehlersituationen
auf welche Weise zu erkennen und wie sie
abzufangen sind.
Die Spezifikation muss folgende verfahrenstechnische
Punkte umfassen:
Beschreibung der chemisch-physikalischen Gleichungen
Beschreibung der sicherheitsrelevanten Funktionen
Beschreibung der einzuhaltenden Randbedingungen
Trennung zwischen sicherheitsrelevanten und nichtsicheren
Funktionen und Einrichtungen
Abgrenzung der Sicherheitsfunktionen zu gegebenenfalls
möglichen sicherheitsrelevanten organisatorischen
Regelungen, zum Beispiel Anfahrüberbrückungen
Verhalten in Sondersituationen (Fehlerbehebung,
An- und Abfahren, Forcen, Hardware-Panel mit
Schlüsselschaltern zur Anfahrüberbrückung)
Kopplung zum PLS und Betriebsdateninformationssystem
Bild 3: Eine gute Spezifikation setzt sich aus
methodischen und inhaltlichen Aspekten zusammen.
52
atp edition
6 / 2012

2.2 Definition eines Zustandsgraphen
Häufig läuft die Fahr- oder Betriebsweise eines Prozesses
diskontinuierlich ab. Um ungewollte Zustände und
Zustandsübergänge zu vermeiden, müssen zunächst
alle Zustände und gewollten Zustandsübergänge (Transitionen)
definiert sein. Dazu empfiehlt sich eine Struktur
nach Bild 4. Zustandsübergänge, die nicht explizit
definiert und damit erlaubt sind, sind verboten. Die
Logiken zur Weiterverarbeitung der Zustände sind zustandsfrei
und enthalten den jeweils aktiven Zustand
als Eingangsvariable. Es ist sinnvoll, je programmtechnischem
Durchlauf der Steuerung maximal einen einzigen
Zustandsübergang zu erlauben. Eine Realisierung
der Struktur nach Bild 4 erleichtert dann die Verifikation,
denn alle steuerungstechnisch möglichen Zustände
und Transitionen sind unmittelbar erkennbar.
Es kann erforderlich sein, diese Vorgehensweise zu kaskadieren,
zum Beispiel können Logiken in Erweiterung zu
diesen Ausführungen selbst wieder Zustandsgraphen enthalten.
Solange sichergestellt wird, dass Zustandsgraphen
nur auf unterlagerte Logiken wirken, ergibt sich damit eine
übersichtliche und leicht prüfbare Struktur [10].
2.3 Numerisches Lösungsverfahren
Die mathematischen Berechnungen in einer Schutzfunktion
sind sehr anwendungsspezifisch und werden daher
hier nicht thematisiert. Die Spezifikation soll jedoch
zumindest die geforderte Genauigkeit und Qualitätskriterien
(zum Beispiel Konvergenz, Stabilität) des Lösungsverfahrens
angeben. Außerdem dürfen die Eingangswerte
nicht die (zu spezifizierenden) Voraussetzungen des
Algorithmus verletzen. Die Konzeption der Lösungsverfahren
erfolgt problemspezifisch.
2.4 Architektur des Schutzsystems
Die Anforderungen an die Architektur des Schutzsystems
sollten in der generischen Spezifikation beschrieben
werden. Ebenso sollte beschrieben werden, wie diese
Spezifikation in eine projektspezifische Spezifikation
überführt werden soll. Der Übergang von Anforderungen
zur Lösungsdokumentation ist zu gestalten. Der Abschnitt
über die Architektur des Systems definiert insbesondere
folgende Systemteile:
Art der Datengewinnung (Sensorgruppen mit
N-out-of-M-Schaltungen) mit Diagnose und
Meldungskonzept
Integration grundlegender Schutzfunktionen (zum
Beispiel Rückstromverhinderung)
Realisierung der Zustandsübergänge
Durchführung der mathematischen Berechnungen
Art der Systemreaktionen (Aktorgruppen mit
N-out-of-M-Schaltungen)
2.5 Sensitivitätsanalyse
Bereits in der Spezifikationsphase sollte eine Sensitivitätsanalyse
durchgeführt werden, um sicherzustellen,
Bild 4:
Separierung von
Zustandsbehandlung
und Logik
atp edition
6 / 2012
53

Hauptbeitrag
Bild 5: Prüfkonzept für
komplexe modellbasierte
Schutzfunktionen
Sichere
Schutzfunktionen
Start
Prozesssimulation
Step = 0
Z1
Step< 10
Mehrfachverwendung
des
C odes
1. Prüfung des Codes
auf dem PC
2. Wiederholungsprüfung
auf der Steuerung
3. Bewährtheit durch
Verwendung als
Planungstool
P rozes s abläufe
1. Einfacher
Zustandsautomat
2. Verbot von nicht
sinnvollen Transitionen
S oftwarevalidierung
1. Erfüllung der IEC 61508 -3
2. Hilfe durch
Implementierungsplattform
SPHINX
nein
ja
Temperaturberechnung
(monoton steigend)
Volls tändige S pezifikation
Z2
nein
Temperaturschwellwert
überschritten?
ja
Z3
Berechnungsvariante
1
Berechnungsvariante
2
Step = Step + 1
Ende
Z4
Bild 7: Programmablaufplan
Bild 6: Die wichtigsten Maßnahmen
in der Programmvalidierung
dass mit der geplanten Methode die geforderte Genauigkeit
eingehalten werden kann. Die Sensitivitätsanalyse
ermittelt auf Basis von Daten über Messfehler oder Ungenauigkeiten
von Materialparametern Aussagen über zu
erwartende Fehlerbereiche. Liegen nur geringe Fehler vor,
die zum Beispiel während des Betriebs kurzzeitig in den
erlaubten Fehlerbereich führen, ist der Fehler anders zu
bewerten als eine Überschreitung des tatsächlichen Berstdrucks
eines Behälters. Die konkrete Umsetzung wird in
der projektspezifischen Spezifikation beschrieben.
3. Prüfkonzept des Sicherheitssystems
Die Verifizierung des Systems baut im Wesentlichen auf
dem 4-Augen-Prinzip auf. Verifizierung ist damit ein
kontinuierlicher Prozess, der parallel zum Entwicklungsprozess
läuft, und keine punktuelle Bewertung. Das
erfordert eine nachvollziehbare Dokumentation und eine
leicht verständliche Implementierung, sodass die Prüfung
so weit wie möglich unabhängig von den Entwicklern
oder Spezialisten durchgeführt werden kann.
Eine Säule im vorgestellten Konzept ist die Verwendung
der Implementierungsplattform SPHINX [3] (Bild
5). Diese Plattform unterstützt den Anwender bei der
Erfüllung der IEC 61508, da aus einer neutralen Beschreibung
ein C-Programm mit eingeschränktem Sprachumfang
und erfüllten Programmierrichtlinien erzeugt wird.
Dieses C-Programm kann sowohl auf C-fähigen SSPS als
auch auf dem Entwicklungs-PC ausgeführt und getestet
werden. Auch statische und dynamische Tests werden
durchgeführt.
54
atp edition
6 / 2012

Neben dieser Mehrfachverwendung des Codes sind
einfache Prozessabläufe eine wichtige Säule in der Erstellung
sicherer Schutzfunktionen. Diese Prozessabläufe
werden durch einen Zustandsautomaten beschrieben,
der möglichst wenig Zustände und Transitionen hat.
Diese Prozesszustände sollten mit einem Standardtool
realisiert werden, das die Validierung vereinfacht [10].
Historische Anlagedaten, wenn sie aus dem Betrieb
vergleichbarer Anlagen mit anderen Schutzkonzepten
vorhanden sind, bilden eine gute Basis für den Test der
Implementierung und Referenzimplementierung (Bild 2).
Nach Startup eines komplexen Schutzsystems können
solche Daten auch zur Weiterentwicklung und Pflege der
Schutzfunktion verwendet werden. Dabei ist es möglich,
diese historischen Produktionsdaten künstlich so zu verändern,
dass Reaktionen des Schutzsystems provoziert
werden. Zusätzlich kann die Referenzimplementierung
zu Planungs- und Analysezwecken verwendet werden,
was die Bewährtheit und damit die Fehlerarmut fördert.
Die Nutzung von C-Modulen in der SSPS unterstützt die
Prüfung mit Referenzdaten, denn diese Module können
unverändert auch auf dem PC ausgeführt werden.
3.1 Programmiersprache und -richtlinie
Eine wesentliche Anforderung der IEC 61508 Teil 3 ist die
Wahl einer geeigneten Programmiersprache. IEC 61508
Teil 3 unterscheidet zwischen Limited Variability Languages
(LVL) und Full Variability Languages (FVL). Der Verifikationssaufwand
für Programme mit einer LVL ist
wegen des geringeren Fehlerpotenzials deutlich niedriger
als für FVL. C als Sprache ist dafür eine gute Wahl, wenn
der Sprachumfang auf eine LVL eingeschränkt wird. Eine
drastische Einschränkung ist möglich und erlaubt die
Realisierung einer Plattform SPHINX [3]. Zusätzliche Anforderungen
der IEC 61508 Teil 3, die von C nicht inhärent
erfüllt werden, werden durch SPHINX abgedeckt. Diese
Plattform schränkt den Sprachumfang von C erheblich
ein, der erzeugte Code erfüllt automatisiert geforderte Programmierrichtlinien
und unterstützt bei der Verifikation.
Durch den hohen Verbreitungsgrad von C sind unterschiedliche
Compiler erhältlich, deren Ergebnisse gegeneinander
abgeglichen werden können.
3.2 Softwareverifikation
Die Softwareverifikation (Bild 6) anhand der IEC 61508
Teil 3 [2] hat hohe Anforderungen. Durch eine LVL werden
unüberschaubare Programmabläufe durch Sprünge
und die Verwendung von Pointern ausgeschlossen.
Auch bei umfangreichen Programmen mit Schleifen
und vielen Verschachtelungen von Abfragen müssen
die korrekte Funktionalität und ein fehlerfreier Programmablauf
sichergestellt werden können. Hierbei
unterstützt SPHINX umfangreich, indem das Tool drei
Versionen C-Code erstellen kann:
Online-Version inklusive Tests zur Laufzeit
(auf der SSPS)
Offline-Version identisch zur Online-Version
(auf PC)
Version für dynamische Tests (auf PC)
Bei der Erstellung aller Codevarianten kommen statische
Testverfahren zum Einsatz, wie der Test auf Wohlgeformtheit
und die Datenflussanomalieanalyse [11]. Das
Programm kann an Betriebsdateninformationssysteme
(BDIS) angebunden werden und ermöglicht so Tests mit
einer Vielzahl an Prozessdaten. Die Online- und Offline-
Versionen enthalten Tests zur Laufzeit [3] und unterscheiden
sich lediglich in der Fehlerausgabe, die entweder
an die SSPS oder den PC angepasst ist.
In der Version für dynamische Tests können zwei Arten
von Testverfahren integriert werden:
kontrollflussorientierte Tests; speziell der Zweigüberdeckungstest
und Bedingungsüberdeckungstest
funktionsorientierte Tests; speziell der zustandsbasierte
Test und die funktionale Äquivalenzklassenbildung
Auf die Äquivalenzklassenbildung wird im Folgenden
näher eingegangen. Äquivalenzklassen können anhand
von Zustandsabfolgen bestimmt werden. Diese Methodik
wird von SPHINX unterstützt. In einem Äquivalenzklassentest
wird überprüft, ob für jede Äquivalenzklasse
ein Testfall existiert und ob das Programm für
die Testfälle die erwarteten Ergebnisse berechnet. Um
Äquivalenzklassen anhand von Zustandsgraphen zu
definieren, wird zunächst auf Grundlage des Programmablaufplans
das Zustandsdiagramm erstellt. In diesem
werden die wesentlichen Zustände des Programms berücksichtigt.
Eine Äquivalenzklasse entspricht einer
möglichen Abfolge von Zuständen. Diese Methodik
führt zu einer überschaubaren Anzahl an Äquivalenzklassen.
Im Beispiel (Bild 7) ergeben sich aus den vier
gewählten Zuständen (Z1-Z4) elf verschiedene Zustandsabfolgen.
Nach der Definition der Äquivalenzklassen ordnet
Sphinx historische Daten vergleichbarer Anlagen oder
durch Parametervariation erzeugte Daten automatisch
der jeweiligen Klasse zu. Anschließend erfolgt eine Gesamtauswertung,
die anzeigt, welche Klassen überdeckt
wurden. Sind nicht alle Klassen überdeckt, so werden
die Eingangsdaten händisch geeignet überarbeitet oder
die Relevanz der nicht überdeckten Klassen wird hinterfragt.
Sind alle Klassen überdeckt, können aus den
zugehörigen Daten repräsentative Testfälle ausgewählt
werden. Sofern der Test auf dem PC erfolgt, werden von
SPHINX die Testfälle und -ergebnisse zur Auswertung
gespeichert. Die Resultate der SSPS können mit diesen
Ergebnissen verglichen werden. Damit ist eine effiziente
Verifikation des SSPS-Programms möglich.
Fazit und Ausblick
Um komplexe Schutzkonzepte sicher und normgerecht
umzusetzen, ist ein Gesamtkonzept mit geeigneten Me-
atp edition
6 / 2012
55

Hauptbeitrag
Autoren
Dipl.-Math. Susann Haase (geb. 1987) ist seit 2011 bei der
BASF SE im Fachzentrum Automatisierungstechnik auf dem
Arbeitsgebiet der funktionalen Sicherheit tätig. Themenschwerpunkt
ist die Entwicklung und Anwendung eines Implementierungs-
und Prüfkonzepts für modellbasierte Schutzsysteme.
BASF SE,
D-67056 Ludwigshafen,
Tel. 49 (0) 621 607 41 76, E-Mail: susann.haase@basf.com
Dipl.-Ing. Dirk Hablawetz (geb. 1964) leitet in der BASF SE
das Qualitätsmanagement der Anlagentechnik und leitet das
europäische Center of Expertise PLT-Anlagensicherung und
das globale Kompetenzteam der BASF-Gruppe für PLT-Sicherheitskonzepte.
Er vertritt die BASF in nationalen und internationalen
Arbeitskreisen auf dem Gebiet der funktionalen
Sicherheit.
BASF SE,
D-67056 Ludwigshafen,
Tel. 49 (0) 621 604 71 32, E-Mail:dirk.hablawetz@basf.com
Dr.-Ing. Thomas Hauff (geb. 1960) ist im Fachzentrum
Automatisierungstechnik der BASF SE auf dem Arbeitsgebiet
der Prozessleittechnik tätig. Themengebiete sind unter anderem
Qualitätssicherung, technische Evaluierung und Consulting
für Automatisierungslösungen. Er ist Obmann des Namur
AK 2.11.
BASF SE,
D-67056 Ludwigshafen,
Tel. 49 (0) 621 602 03 26, E-Mail: thomas.hauff@basf.com
Dr. rer. nat. Michael Krauß (geb. 1984) ist seit 2010 bei der
BASF SE im Fachzentrum Automatisierungstechnik auf dem
Gebiet der Prozessleittechnik tätig. Schwerpunkte sind Projekte
auf dem Gebiet der Leitsystemmigrationen, der Höherautomatisierung
und modellbasierter Anwendungen.
BASF SE,
D-67056 Ludwigshafen,
Tel. +49 (0) 621 604 66 94, E-Mail: michael.krauss@basf.com
Felix Lenhart (geb. 1987) studiert Elektrotechnik (Dipl.)
Automatisierungstechnik an der TU Kaiserslautern und ist
aktuell bei BASF SE als Diplomand tätig. Im Fachzentrum
Automatisierungstechnik bearbeitet er das Thema „Toolbasierte
Verifikation von Applikationssoftware für Sicherheitssysteme“.
BASF SE,
D-67056 Ludwigshafen,
Tel. 49 (0) 621 609 19 36, E-Mail: felix.lenhart@basf.com
thoden und Verfahren notwendig. Insbesondere die
Rollen und Verantwortlichkeiten sollten zu Beginn geklärt
werden. Basis sind die erforderlichen Kompetenzen
und Sicherstellung des 4-Augen-Prinzips. Eine
vollständige Spezifikation, in der alle verfahrenstechnischen
Anforderungen rückverfolgbar und eindeutig
sind, ist unerlässlich für die Umsetzung von Schutzkonzepten.
In Kombination mit einer Implementierungsplattform
wie SPHINX kann eine effiziente Verifikation
durchgeführt werden. Die Nutzung komplexer
Schutzfunktionen in der chemischen Prozessindustrie
wird damit vereinfacht.
Manuskripteingang
23.03.2012
Referenzen
Im Peer-Review-Verfahren begutachtet
[1] IEC 61511 EN: Functional safety - Safety instrumented
systems for the process industry sector. December
2003
[2] IEC 61508 EN: Functional safety of electrical/
electronic/programmable electronic safety related
systems, April 2010
[3] Haase, S.: Komplexe Schutzfunktionen mit SPHINX
realisieren. atp edition – Automatisierungstechnische
Praxis 54(1-2), S. 54-60, 2012
[4] Chrissis, M. B., Konrad, M. und Shrum, S.: CMMI®
- Guidelines for Process Integration and Product
Improvement. Pearson Education, 2003
[5] El Emam, K., Melo, W., und Drouin, J.-N.: SPICE: The
Theory and Practice of Software Process Improvement
and Capability Determination. IEEE Computer Society
Press, 1997
[6] TÜV Süddeutschland: Einführung zur IEC61508. TÜV
Automotive GmbH, 2003
[7] Winne, O.: IEC 61508-Teil 3; Sicherheitsgerichtete Softwareentwicklung,
Design&Elektronik Forum Sichere
System, 2004
[8] Dröschel, W. und Wiemers, M.: Das V-Modell 97 – Der
Standard für die Entwicklung von IT-Systemen mit
Anleitung für den Praxiseinsatz. Oldenbourg Verlag,
2000
[9] Kofman, A., Yaeli, A., Klinger, T. und Tarr P.: Roles,
rights, and responsibilities: Better governance through
decision rights automation, Proceedings of the 2009
ICSE Workshop on Software Development Governance,
S. 9-14, 2009
[10] Frey, G., Drath, R. und Schlich, B.: Safety-Applikationen
effizient entwickeln — Ein Leitfaden zur Prozessgestaltung.
atp edition – Automatisierungstechnische
Praxis 53(12), S. 34-41, 2011
[11] Liggesmeyer, P.: Software-Qualität. Spektrum
Akademischer Verlag, 2002
56
atp edition
6 / 2012

atp kompakt
Methoden Verfahren Konzepte
Sonderpreise
für
Abonnenten
der atp edition
Die Automatisierungstechnik wird durch neue Forschungen und Entwicklungen bestimmt. Damit Ingenieure
fit für ihren Job sind und die entscheidenden Trends in der Automatisierungstechnik schnell zur Hand haben,
legt die Fachpublikation atp edition die Buchreihe atp kompakt auf. Alle darin enthaltenen Beiträge haben
ein wissenschaftliches Gutachterverfahren durchlaufen.
Herausgeber Prof. Dr.-Ing. Frank Schiller leitet am Lehrstuhl für Informationstechnik im Maschinenwesen der
TU München das Fachgebiet Automatisierungstechnik.
atp kompakt Band 1
Erfolgreiches Engineering – Die wichtigsten Methoden
Diese Ausgabe befasst sich mit den Methoden, Verfahren und Standards, die Sie in den nächsten Jahren im Engineering beschäftigen
werden. Wichtige Kriterien sind die einfache Wiederverwendbarkeit von Komponenten, die Unterstützung durch geeignete Werkzeuge,
die Erhöhung der Flexibilität von Anlagen sowie geeignete Modellierungs- und Gerätebeschreibungssprachen.
1. Auflage 2010, 138 Seiten mit CD-ROM, Broschur, € 79,- • ISBN: 978-3-8356-3210-3
Für Abonnenten
€ 74,-
atp kompakt Band 2
Effiziente Kommunikation – Die bedeutendsten Verfahren
Sie bekommen Einblick in die wachsende Bedeutung der industriellen Kommunikation und dem Wandel in der Gerätekommunikation.
Einen Schwerpunkt bildet die Kommunikationstechnik in der Prozessautomatisierung mit deren besonderen Rahmenbedingungen wie
dem Explosionsschutz. Die bedeutendsten Verfahren und Methoden der modernen Kommunikation werden praxisnah veranschaulicht.
1. Auflage 2010, 72 Seiten mit CD-ROM, Broschur, € 59,- • ISBN: 978-3-8356-3212-7
Für Abonnenten
€ 54,-
atp kompakt Band 3
Praktische Messtechnik – Die besten Konzepte
Dieser Band vermittelt wertvolles Know-how zu allen Aspekten der praktischen Messtechnik und fokussiert besonders die Prozessmesstechnik.
Lernen Sie die Fortschritte in der Sensortechnik entlang der Technologie-Roadmap kennen und profitieren Sie von erstklassigen
Konzepten zu kostengünstigen und effizienten Lösungen.
1. Auflage 2010, 72 Seiten mit CD-ROM, Broschur, € 59,- • ISBN: 978-3-8356-3213-4
Für Abonnenten
€ 54,-
atp kompakt Kollektion (Bände 1-3)
Erfolgreiches Engineering Effiziente Kommunikation Praktische Messtechnik
Mit dieser dreibändigen Kollektion zu den Themen Engineering, Kommunikation und Messtechnik erhalten Sie ein nützliches,
kompakt und praxisnah aufbereitetes Kompendium zu den Kernthemen der Automatisierungstechnik. Die wertvolle Grundlage
für Ihre tägliche und zukünftige Arbeit.
1. Auflage 2010, ca. 282 Seiten mit CD-ROM, Broschur • € 179,- • ISBN: 978-3-8356-3221-9
Für Abonnenten
€ 169,-
Sofortanforderung im Online-Shop www.oldenbourg-industrieverlag.de
oder telefonisch +49 (0)201 / 82002-14
Oldenbourg Industrieverlag GmbH
Vulkan-Verlag GmbH
www.oldenbourg-industrieverlag.de • www.vulkan-verlag.de

hauptbeitrag
Automatische Generierung
sicherer diversitärer Software
Sicherer Industrie-PC durch arithmetische Codierungen
Die Bedeutung der Sicherheit im Sinne von Safety nimmt in der Automation immer noch
zu, auch wenn im Moment die IT-Security die Schlagzeilen beherrscht. Die normativen
Sicherheitsanforderungen können zu beträchtlichem zusätzlichen Aufwand für die Hardware-
und die Software-Entwicklung führen. Wenn zudem eine Hardware-abhängige
Zertifizierung vorliegt, kann von Innovationen bei den Hardware-Komponenten nicht
einfach profitiert werden, weil in der Regel ein neuer Zertifizierungsprozess durchlaufen
werden muss. Im Beitrag wird eine neue Methode vorgestellt, bei der mit diversitären
arithmetischen Codes Hardware-Fehler durch Software-Maßnahmen aufgedeckt werden
und dadurch die notwendige Hardware-Unabhängigkeit erreicht wird. Weiterhin ermöglicht
die Methode, fehlersichere Applikationen in Hochsprachen wie C zu programmieren.
SCHLAGWÖRTER Datenverarbeitung / Elektronische Steuerungen / Code-Schemata /
Fehleraufdeckende Codes
Automatic Generation of Safe Diverse Software –
Fail-safe Industrial PC by means of Arithmetic Codes
The importance of safety in the automation industry is continuously increasing even
though security makes the headlines at present. Normative safety requirements may result
in considerably additional effort at both the hardware and software development. If the
certificate depends on the hardware, innovations of hardware components cannot be
utilized in general since a new certification process has to be executed. The flexibility is
severely limited, and software developed according to the standards cannot be properly
transferred to other platforms without additional expense. A new method is presented
that applies software-measures based on diverse arithmetic codes for the detection of
hardware errors and thus achieving the necessary hardware independence. Furthermore,
the method enables the programming of fail-safe applications in high-level programming
languages like C.
KEYWORDS Data Processing / Electronic Control Units (ECU) / Coding Schemes /
Error-Detecting Codes
58
atp edition
6 / 2012

Martin Früchtl, Frank Schiller, Beckhoff Automation
Bei der Entwicklung einer Komponente für sicherheitsrelevante
Anwendungen streben die
Hersteller gewöhnlich eine Zertifizierung gemäß
internationaler Sicherheitsstandards an,
um eine ausreichende Qualifikation der Komponente
nachzuweisen. Anhand der in den Standards
definierten Sicherheitskategorien kann eine Komponente
je nach Anwendungsszenario klassifiziert werden. Die
Eignung für eine bestimmte Kategorie wird durch Kennwerte
wie die Probability of Dangerous Failure per Hour
(PFH) oder die Probability of Failure on Demand (PFD)
gemessen, die auf der Restfehlerwahrscheinlichkeit P res
basieren. Die PFH wird für Szenarios mit einer hohen
Anforderungsrate der Sicherheitsfunktion, die PFD für
Systeme mit einer niedrigen Anforderungsrate der Sicherheitsfunktion
verwendet. Die Restfehlerwahrscheinlichkeit
P res ist die Wahrscheinlichkeit, dass ein Fehler
auftritt und unentdeckt bleibt. Um eine bestimmte P res
zu erzielen, muss eine Komponente Fehler erkennen können.
Entsprechende Maßnahmen wurden bisher durch
homogene und heterogene Redundanz auf Hardware-
Ebene getroffen, die eine Erkennung von Hardware-Fehlern
zur Laufzeit erlaubten. Dadurch entsteht jedoch eine
Abhängigkeit des Zertifizierungsprozesses von der verwendeten
Hardware. Gleichzeitig wird verhindert, dass
die kurzen Innovationszyklen, beispielsweise auf dem
Gebiet integrierter Schaltkreise, unmittelbar auf sicherheitsrelevante
Komponenten übertragen werden können.
Zudem werden Benutzerapplikationen für Sicherheitsanwendungen
häufig durch vorgegebene, vorzertifizierte
Funktionsblöcke implementiert, die durch den Benutzer
nur parametriert werden können. Durch die steigende
Komplexität und Vernetzung moderner Sicherheitsanwendungen
wird diese Projektierung basierend auf Funktionsbausteinen
zu einer immer größeren und zeitaufwendigeren
Herausforderung. Deshalb ist ein neuer Ansatz nötig.
Der Beitrag stellt eine neue Herangehensweise vor, die
die Eigenschaften arithmetischer Codes nutzt, um Hardware-Fehler
auf Software-Ebene zu erkennen. Dabei müssen
im Zertifizierungsprozess keine Eigenschaften der
Hardware einbezogen werden, wodurch sich Beschränkungen
im Hardware-Design vermeiden lassen. Ferner
ist die Möglichkeit gegeben, eine Hochsprache wie C für
die Implementierung von sicherheitsrelevanten Anwendungen
zu verwenden.
1. Problembeschreibung
Der Fokus liegt auf der logischen Komponente einer Sicherheitsfunktion,
der Intelligenten Sicherheitskomponente
(ISK). Deren Aufgabe ist es, Signale der Eingabe-
Baugruppen zu empfangen, die Daten zu verarbeiten und
entsprechende Signale an die Ausgabe-Baugruppen zu
senden. Die abzuarbeitende Logik wird dabei durch den
Anwender programmiert.
Wie bereits erwähnt zielt der Hersteller einer ISK üblicherweise
auf eine Zertifizierung der Komponente für
eine bestimmte Sicherheitskategorie. Diese sind in den
Sicherheitsstandards definiert (zum Beispiel IEC 61508 [1]
und ISO 13849 [2]). Die Klassifikation hängt stark von der
Fähigkeit ab, Hardware-Fehler zur Laufzeit zu erkennen.
1.1 Fehlerarten
Zuerst ist es sinnvoll, zwei Kategorien bezüglich des Ortes
der ersten Fehlererkennung zu unterscheiden. Fehler,
die zu einem kompletten Ausfall einer ISK führen, können
nicht mehr innerhalb der ISK detektiert werden.
Diese Fehler können nur in den über die sichere Kommunikation
verbundenen sicheren Komponenten (beispielsweise
sichere Aktoren) erkannt werden, da hier
fehlerhafte beziehungsweise fehlende Telegramme zu
einer sicheren Reaktion führen.
Fehler, die nicht einen kompletten Ausfall einer ISK
bewirken, verursachen auf Logikebene eine fehlerhafte
Verarbeitung der internen Daten und können somit zu
einer Gefährdungssituation aufgrund fehlerhafter Ausgangsdaten
führen. Diese Fehlerart wird im Rahmen
dieses Beitrags betrachtet. Dazu werden die möglichen
Fehler anhand der folgenden Fehlerarten klassifiziert.
atp edition
6 / 2012
59

Hauptbeitrag
Operandenfehler: Ein Operandenfehler tritt ein, wenn
eine Operation mit dem korrekten Operator korrekt ausgeführt
wird, aber der Wert eines oder mehrerer Operanden
verfälscht ist. Als Beispiel soll die in Gleichung (1)
gezeigte Berechnung durchgeführt werden.
x + y = z (1)
Ein Operandenfehler kann zu einer Verfälschung ∆ des
Originalwerts x führen, sodass tatsächlich die in Gleichung
(2) gezeigte Berechnung durchgeführt wird.
˜ x + y = (x + ∆) + y
= (x + y) + ∆
= z + ∆
= z ˜(2)
Häufig verursachen Fehler bei Speicheroperationen solche
Verfälschungen. Wenn ein Speicherbereich fehlerhaft
ist, kann es sein, dass ein verfälschter Wert gelesen
und innerhalb einer Operation verwendet wird.
Operatorfehler: Wenn eine Operation mit den korrekten
Operanden, aber mit einem falschen Operator korrekt
ausgeführt wird, handelt es sich um einen Operatorfehler.
Ähnlich wie in Gleichung (1) verursacht ein Operatorfehler
eine Verfälschung ∆ des Ergebnisses z. Zum
Beispiel kann ein Operatorfehler dazu führen, dass anstelle
der beabsichtigten Addition eine Multiplikation
(vergleiche (3)) durchgeführt wird.
x . ˜ y = z + ∆ = z ˜ (3)
Ein Operatorfehler kann von einem Fehler in der Adressierung
des Operators oder einer fehlerhaften „Arithmetic
Logic Unit“ (ALU/Hauptteil eines Prozessors, der alle
arithmetischen Operationen ausführt) verursacht werden.
Operationsfehler: Neben den Operanden- und Operatorfehlern
besteht die Möglichkeit eines Operationsfehlers.
Ein Operationsfehler ist die fehlerhafte Ausführung
einer Operation mit den korrekten Operanden und dem
korrekten Operator. Auch diese Fehler werden gewöhnlich
von einer defekten ALU verursacht und führen zu
einer unmittelbaren Verfälschung ∆ des Ergebnisses.
Zusätzlich zu diesen Fehlerarten müssen auch Fehler
wie Adressierungs- und Programmablauffehler sicher
erkannt werden.
1.2 Herausforderungen der ISK-Entwicklung
In den Anfängen der Sicherheitstechnik in der Steuerungstechnik
wurde die Logik der Sicherheitsfunktionen
mit fest verdrahteten Komponenten realisiert (siehe zum
Beispiel den geschichtlichen Überblick in Zastrow [3]),
was natürlich zu einer statischen Logik der Komponente
führte. Weiterentwicklungen auf dem Gebiet der Steuerungstechnik
erlauben die Nutzung programmierbarer
Komponenten. Die notwendigen Maßnahmen für eine
bestimmte Sicherheitskategorie werden dabei vorwiegend
auf Hardware-Ebene getroffen (siehe Abschnitt 3).
Die nötigen Kennwerte werden basierend auf den Ausfallraten
der Hardware-Komponenten bestimmt, sodass
der Nachweis der Sicherheit in direkter Abhängigkeit zur
Hardware-Architektur der ISK steht. Eine Veränderung
der Hardware-Struktur erfordert einen neuen Nachweis
der Sicherheit, da die Veränderungen möglicherweise die
Kennwerte der ISK derart beeinflussen, dass die Komponente
nicht länger den Anforderungen der bisher gültigen
Sicherheitskategorie genügt (siehe [4]). Letztendlich führen
diese Umstände zu der Tatsache, dass bislang rein
funktionale Hardware-Komponenten nicht für sicherheitsrelevante
Anwendungen verwendet werden können.
Zudem fordern die Sicherheitsstandards einen strengen
Entwicklungsprozess, der für rein funktionale Komponenten
nicht automatisch gegeben ist.
Die Software einer ISK kann in zwei Teile gegliedert werden,
die Firmware und die Benutzerapplikation. Die Firmware
wird in diesem Beitrag als Teil der Hardware betrachtet,
da sie ein fester Bestandteil der Komponente ist und
den gleichen Anforderungen wie die Hardware selbst genügen
muss. So gibt es auch hier einen speziellen Software-
Lebenszyklus, den die Firmware als sicherheitsrelevanter
Teil einer Komponente durchlaufen muss (siehe IEC 61508
[1]). Die Benutzerapplikationen gängiger ISK basieren gewöhnlich
auf Funktionsblöcken (FBD laut IEC 61131-3 [5]).
Ein Funktionsblock ist eine gekapselte, vorzertifizierte
Funktion auf Software-Ebene mit fester Basisfunktionalität,
die durch den Benutzer parametriert werden muss.
Die Benutzerapplikation kann durch mehrere miteinander
verknüpfte Funktionsblöcke realisiert werden
(siehe Beispiel in Bild 1). Als Funktionsblöcke stehen
dabei einfache Grundfunktionen wie Boolesches AND
oder OR und auch sehr komplexe Funktionen wie Emergency
Stop oder External Device Monitor zur Verfügung.
Die Nutzung von bereits zertifizierten Funktionsblöcken
in Sicherheitsanwendungen hat den Vorteil, dass der
Benutzer keinen zusätzlichen Aufwand zur Zertifizierung
der Software hat. Da die Komplexität der Sicherheitsanwendungen
stetig wächst, steigt auch die Herausforderung
im Umgang mit den Funktionsblöcken, da die
komplette Funktionalität auf die Granularität der Funktionsblöcke
heruntergebrochen werden muss.
1.3 Ziele
Das Ziel des Beitrags ist es, die starke Abhängigkeit des
Sicherheitsnachweises von der Hardware der ISK zu beseitigen
und auf diese Weise die Nutzung von leistungsstarken
Komponenten als Logikkomponente in Sicherheitsfunktionen
zu erlauben. Deshalb müssen die Maßnahmen
zur Erkennung von Hardware-Fehlern auf die
Software-Ebene übertragen werden. Außerdem muss die
Flexibilität für den Benutzer durch die Bereitstellung
einer flexiblen Hochsprache wie C gesteigert werden.
2. Basisstrategien zur Fehlererkennung
Um die Qualifizierung einer ISK für eine bestimmte Sicherheitskategorie
nachzuweisen, muss diese Komponente
die Fähigkeit besitzen, Fehler zu erkennen und
60
atp edition
6 / 2012

dadurch Gefährdungen zu verhindern. Es gibt verschiedene
Strategien, dieses Ziel zu erreichen.
2.1 Grundlagen
Die grundlegende Idee zur Erkennung von Hardware-
Fehlern in ISK ist die Verifizierung des Ergebnisses. Das
geschieht häufig mithilfe redundanter Strukturen, deren
einzelne Teile als Kanäle bezeichnet werden. Die Redundanz
ist in IEC 61508 sinngemäß definiert als das
Vorhandensein mehr funktional gleicher oder vergleichbarer
technischer Ressourcen als für die eigentliche
Funktionalität benötigt werden.
Redundanz lässt sich weiterhin in homogene und heterogene
Redundanz einteilen. In einem homogen redundanten
System bestehen die zusätzlichen (redundanten)
Kanäle aus exakt den gleichen Komponenten wie der ursprüngliche
Kanal. Der Nachteil homogener Redundanz
ist dabei die Anfälligkeit der Kanäle gegenüber Common
Cause Failures (CCF), also Fehlern mit einer gemeinsamen
Ursache, da die Kanäle aufgrund der identischen Spezifikation
auch identische Schwachstellen aufweisen.
Im Gegensatz dazu wird heterogene Redundanz (in der
Regel als Diversität bezeichnet) durch Komponenten erzeugt,
die durch andere Verfahren die gleiche Funktionalität
erreichen wie der ursprüngliche Kanal. Deshalb ist ein
CCF für diversitäre Architekturen weniger problematisch.
Halang und Konakovsky unterteilen in [6] die Diversität in
sinnvolle weitere Klassen, auf die aber hier nicht näher
eingegangen wird. Da sich die betrachteten Fehlerarten stets
auf die Verarbeitung von Daten auswirken, steht im Kontext
des Beitrags die Datendiversität im Vordergrund.
Redundanz kann in Hardware und Software ausgeführt
werden. In früheren Lösungen wurden die Sicherheitsmaßnahmen
nur auf der Hardware-Ebene realisiert.
Die Entwicklung von Sicherheitslösungen in der Steuerungstechnik
zeigt jedoch eine Tendenz hin zu Software-
Lösungen. Wenngleich immer mehr Funktionalität der
Software-Ebene zugeschlagen wird, wurde der komplette
Übergang zu Hardware-unabhängigen Lösungen noch
nicht vollzogen. Eine Möglichkeit, Diversität auf Software-Ebene
zu erzeugen, ist die Verwendung mathematischer
Codierungen, die im folgenden Abschnitt genauer
beschrieben wird.
2.2 Arithmetische Codes zur
Realisierung von Datendiversität
Codierungen sind eine weit verbreitete Methode, um diversitäre
Redundanz auf der Datenebene zu erreichen.
Die Grundidee ist dabei die Transformation der innerhalb
der Logik verarbeiteten Daten in eine diversitäre
Darstellung. Diese Daten können zur Verifizierung der
Ergebnisse des ursprünglichen Kanals und somit zur
Erkennung von Fehlern in der Hardware verwendet werden.
Zur Veranschaulichung des Grundgedankens bei
der Nutzung mathematischer Codierungen für Sicherheitsanwendungen
wird im Folgenden das durch Forin
1989 [7] eingeführte Codierungsschema verwendet.
Bild 1: Beispiel für ein Netzwerk von Funktionsblöcken
Bild 2: Einfluss des
Codierungsschemas
auf die Definitionsund
Wertebereiche
Die Basis-Codierung besteht aus der Multiplikation der
uncodierten Variable x f mit einer Primzahl A, um einen
größeren Wertebereich zu erhalten und somit einen numerischen
Abstand zwischen zulässigen codierten Werten
x c zu erzeugen (A > 0). Anhand der Differenz zwischen
den zulässigen codierten Werten kann die Gültigkeit
eines Operationsergebnisses verifiziert werden. Dies
erfolgt durch den Test, ob der Wert ein Vielfaches des
Wertes A (x c
mod A == 0?) ist, da die Vielfachen von A
der Codierungsvorschrift entsprechen und somit gültig
sind. Basierend auf dieser Codierung kann die Verfälschung
von Werten erkannt werden, wenn der Fehlerterm
∆ kein Vielfaches von A ist. Im Falle eines solchen
Fehlers ∆ tritt ein gültiges, aber fehlerhaftes Codewort
auf. Aus diesem Grund führt Forin [7] für jede genutzte
Variable eine statische Signatur B x ein, um jeden Wert
eindeutig zu identifizieren.
Um die Verwendung veralteter Werte zu erkennen,
schlägt Forin eine dynamische Signatur D(t) vor. Die
ge samte Codierung der Daten erfolgt demnach wie in
Gleichung (4) dargestellt.
x c = A ∙ x f + B x + D(t) (4)
atp edition
6 / 2012
61

Hauptbeitrag
Der Einfluss des Codierungsmechanismus auf die Definitions-
und Wertebereiche uncodierter und codierter
Werte (z f und z c ) wird in Bild 2 veranschaulicht.
Die Eigenschaften arithmetischer Codierungen können
bei der Verwendung arithmetischer Operationen erhalten
bleiben. Dies bedeutet, dass bei der Verwendung codierter
Werte das korrekte Ergebnis ebenfalls Teil des
Codes ist und somit die Gültigkeit des folgenden Ausdrucks
geprüft werden kann:
((x c - B x - D(t)) mod A == 0?)
Dafür müssen spezielle codierte Operationen genutzt
werden. So wurde in [7] die in Gleichung (5) dargestellte
codierte Addition zweier Werte xc und yc erarbeitet.
z f = x f + y f
z c - B z - D(t) = x c - B x - D(t) + y c - B y - D(t)
z c = x c + y c - B x - B y - D(t) + B z
z c = x c + y c + (B z - B x - B y ) - D(t) (5)
Durch den konstanten Summanden (B z - B x - B y ) entsteht
die Möglichkeit, die Verwendung des korrekten Operators
zu prüfen und somit Operatorfehler mit hoher Wahrscheinlichkeit
zu erkennen. Im Wert des Summanden
steckt gewissermaßen bereits vor der Ausführung die
Information über die Operation und die Operanden.
Mit dem Codierungsschema kann eine Restfehlerwahrscheinlichkeit
von 1/A erreicht werden (siehe [8]).
Deshalb muss der Wert A so groß wie möglich gewählt
werden, um eine ausreichend kleine P res zu erzielen. Allerdings
handelt es sich beim Ausdruck 1/A nur um die
korrekte P res , wenn eine Gleichverteilung vorhanden ist,
das heißt, im Fehlerfall ist jeder Wert gleich wahrscheinlich.
Da dies gewöhnlich nicht der Fall ist, werden für
die geeignete Auswahl eines Wertes A zusätzliche deterministische
Kriterien genutzt. Die zwei wichtigsten
Kennwerte sind hier die Hamming-Distanz (HD) und die
Arithmetische Distanz (AD). Die HD – oder die minimale
HD – zweier codierter Werte ist die kleinste Anzahl
von Bits, die verändert werden müssen, um ein Codewort
auf ein anderes Codewort abzubilden. Ist die HD beipielsweise
2, so können bereits zwei verfälschte Bits zu
einem anderen gültigen Codewort führen, sodass der
Fehler nicht erkannt wird. Die AD zweier Werte x und y
ist demgegenüber die kleinste Anzahl an gesetzten Bits
der beiden möglichen arithmetischen Differenzen
(x - y und y - x) dieser Werte.
Das Ziel ist es, bei der Wahl der geeigneten Parameter
des Codes eine möglichst hohe HD und eine möglichst
hohe AD zu erreichen. Forin [7] empfiehlt zusätzlich, für
den Parameter A eine Primzahl zu wählen. Diese Wahl
kann folgendermaßen begründet werden: Es wird eine
Reihe von n arithmetischen Additionen ausgeführt. Jede
Addition fügt einen konstanten Fehlerterm ∆ hinzu, sodass
am Ende der n Operationen der gesamte Fehlerterm
(n ∙ ∆) beträgt. Dieser Fehler kann nicht entdeckt werden,
wenn das Ergebnis weiterhin ein Vielfaches von A ist.
Handelt es sich beim Wert A um eine Primzahl, kann
dies nur dann der Fall sein, wenn entweder n oder ∆
durch A teilbar sind.
Bei dem in [7] vorgestellten Ansatz handelt es sich sogar
um eine komplett 1-kanalige Lösung (1-kanalige Software
auf 1-kanaliger Hardware). Sie wird in der Metro
in Paris in führerlosen Zügen verwendet und stellt eine
gute Basis für eine Lösung der Aufgabenstellung dieses
Beitrags dar. Aufgrund der strikt mathematischen Basis
hängt der Nachweis der Qualifikation für eine bestimmte
Sicherheitskategorie nicht länger von der verwendeten
Hardware ab (Prozessor und Umgebung). Der Ansatz von
Forin [7] stellt aber zusätzliche Anforderungen an die
Hardwarearchitektur, da spezielle Hardware zur Codierung
der Daten für die Operationen benötigt wird. Außerdem
muss die codierte Version der Software vom
Anwender explizit implementiert werden. Um diese
Codierung für die Erfüllung der Anforderungen in Abschnitt
2.2 zu nutzen, wird im folgenden Kapitel ein erweitertes
Codierungsschema erarbeitet.
3. Herleitung des Codierungsschemas
Wie in [9] beschrieben verbessert die Nutzung mehrerer
Software-Kanäle die Fehlererkennung erheblich. Daher
verwendet dieser Beitrag n codierte Kanäle neben dem
ursprünglichen uncodierten Kanal. Ein Fehler kann
nur unentdeckt bleiben, wenn eine Kombination aus
(n + 1) Fehlern auftritt (n codierte Kanäle und der Originalkanal),
sodass jeder Fehlerterm ∆ i (mit i als Identifikation
eines Kanals) zu einem gültigen Codewort
führt. Zudem müssen die Fehlerterme in einer bestimmten
Konstellation auftreten, sodass die Ergebnisse
aller Kanäle eine gültige Kombination codierter und
uncodierter Werte ergeben.
Der wechselseitige Test zwischen allen n Kanälen
wird ausgeführt, um Fehler zu erkennen und eine sichere
Reaktion auszulösen. Um spezielle Hardware für
die Codierung der Eingangs- und die Decodierung der
Ausgangsdaten zu vermeiden, ist das Codierungsschema
direkt mit einem sicheren Kommunikationsprotokoll
verbunden, damit die Fehlererkennung der sicheren
Kommunikation für die Sicherstellung der korrekten
Codierung und Decodierung der Daten genutzt
werden kann. Die gesamte Architektur ist in Bild 3
veranschaulicht.
Neben der Architektur wurden Codierungsvorschriften
für die folgenden Operationen erarbeitet:
Addition,
Subtraktion,
Multiplikation,
Division,
Konjunktion,
Disjunktion,
Exklusive,
Negation,
Vergleichsoperator.
Diese Operationen können genutzt werden, um eine große
Auswahl sicherheitsrelevanter Anwendungen zu realisieren.
Bei der Herleitung von Operationen müssen
die möglichen Fehlerarten von Abschnitt 1.1 beachtet
62
atp edition
6 / 2012

werden, sodass die Verfälschung von Operanden, Operatoren
oder die fehlerhafte Ausführung einzelner Operationen
erkannt werden kann. Die Entdeckung von
Fehlern innerhalb der Ausführung von Operationen
wird durch einen Vergleich der n codierten Kanäle vorgenommen,
um zu prüfen, ob alle Kanäle konsistent zueinander
sind. Die Konsistenz eines einzelnen Kanals ist
gegeben, wenn jeder Wert des Kanals Teil des Codes ist.
Neben der Gültigkeitsprüfung von Werten innerhalb eines
Kanals findet eine gegenseitige Prüfung zwischen
allen n codierten Kanälen statt.
4. Automatische Generierung
diversitärer Software
Der Quelltext des Benutzers (der uncodierte Kanal, hier
als FB f
bezeichnet) wird parallel zu den codierten Repräsentationen
ausgeführt. Er wird als Input für die Transformation
genommen, mit der die diversitären Softwarekanäle
erzeugt werden. Das Ergebnis ist die codierte
Repräsentation des Quelltextes (in diesem Beispiel FB c
genannt). Die codierte und die uncodierte Repräsentation
werden von dem gleichen regulären Compiler (ohne
spezielle Qualifikation des Compilers) in Maschinencode
gewandelt, der schließlich innerhalb der ISK-Laufzeit
ausgeführt wird. Der gesamte Prozess wird in Bild 4
veranschaulicht.
Zur Laufzeit wird die ISK zyklisch abgearbeitet. In
jedem Zyklus werden die folgenden Schritte ausgeführt
(wie in Bild 3 gezeigt):
Eingang
Das Telegramm wird durch das sichere Kommunikationsprotokoll
empfangen. Nach protokollspezifischer Verarbeitung
(wie zum Beispiel Prüfung der Frame Check Sequence
(FCS) des Pakets) werden die unbearbeiteten Datenwerte
codiert und den n codierten Kanälen übergeben
(fehlersichere Kopplung und Kanalcodierung in Bild 3).
Logik
In der eigentlichen Logik werden der uncodierte Kanal
und die n codierten Kanäle ausgeführt und die entsprechenden
Ergebnisse berechnet.
Ausgang
Die Ergebniswerte der Logik werden decodiert und das
Ausgangstelegramm erzeugt, das heißt, sowohl die Nettodaten
(Information) als auch die FCS werden berechnet
und der sicheren Kommunikation übergeben (fehlersichere
Kopplung und Telegrammgenerierung in Bild 3).
Neben der Abarbeitung dieser Schritte muss die Safety
Runtime die Ausführung aller Software-Bestandteile
sicherstellen, sodass das Überspringen einzelner Zeilen
oder sogar ganzer Blöcke erkannt werden kann. In diesem
Fall kann die Ausführung des Programms nicht zu
einem gültigen Ausgangstelegramm und somit zu einer
Gefährdungssituation als Ergebnis einer fehlerhaften
Reaktion des Systems führen.
5. Implementierung
Der vorgestellte Ansatz wurde in der Entwicklungsumgebung
Twincat der Beckhoff Automation GmbH implementiert.
Dadurch kann der Beckhoff Industrial PC (IPC)
als logische Komponente innerhalb einer Sicherheitsfunktion
bis zu einem Safety Integrity Level (SIL) 3 nach
IEC 61508 [1] verwendet werden. Die Beckhoff IPC-Produktfamilie
verwendet gewöhnlich Microsoft Windows
Embedded als Betriebssystem.
Sicherheitsanwendungen für den Safety IPC können
unter anderem in einer Hochsprache Safety C implementiert
werden. Safety C stellt ein fast uneingeschränktes
Derivat von Standard C dar und erlaubt den
Gebrauch von – aus Standard C bekannten – Kontrollstrukturen
wie IF-THEN, SWITCH-CASE und Datentypen.
Dies ermöglicht eine bislang unbekannte Flexibi-
Bild 4: Architektur-Transformation
Compilier-Prozess
Bild 3: Architektur
aus mehreren
diversitären
Software-Kanälen
atp edition
6 / 2012
63

Hauptbeitrag
Bild 5: Konfiguration
des Zielsystems
Bild 6: Editor-Ansicht
lität für die Gestaltung sicherheitsrelevanter Benutzerapplikationen.
Unter Berücksichtigung der Tatsache, dass die Komplexität
von Sicherheitsanwendungen bezüglich der
Funktionaliät und der Dimension stetig steigt, ist die
Einführung des Beckhoff IPC als eine flexible logische
Komponente für Sicherheitsfunktionen ein wichtiger
Schritt in Richtung zukünftiger Herausforderungen der
Steuerungstechnologie. Die Zertifizierbarkeit des Ansatzes
laut IEC 61508 [1] wurde bereits durch den TÜV
Süd bestätigt.
6. IPC-Entwicklungsumgebung
Neben der sicheren Datenverarbeitung ist eine geeignete
Entwicklungsumgebung von großer Bedeutung. So bietet
die Entwicklungsumgebung Twincat ab Version 3 einen
neuen Bereich zur Erstellung und Verwaltung sicherheitsrelevanter
Anwendungen und unterstützt dabei
maximale Flexibilität und Portabilität.
6.1 Interaktion mit der Hardwarekonfiguration
Es können sichere Ein- und Ausgabe-Baugruppen und
der sichere IPC projektiert werden. Dadurch kann die
Applikation durch den Einsatz von Alias-Geräten vollständig
losgelöst von der verwendeten Hardware erstellt
werden. Das Zielsystem und alle möglichen Einund
Ausgabegeräte werden dem Projekt zunächst als
Alias-Geräte bereitgestellt. Dadurch können alle sicherheitsrelevanten
Einstellungen bereits im Voraus
getätigt werden (siehe Bild 5). Vor dem Download und
Start des Projekts werden die Alias-Geräte schließlich
den tatsächlich verbauten physikalischen Geräten zugeordnet.
6.2 Programmierung
Die eigentliche Programmierung der Logik erfolgt in dem
jeweiligen Editor. Im Falle des freigraphischen Editors
wird die gewünschte Logik mithilfe einer Funktionsblockdiagrammsprache
in einer freigraphischen Darstellung
spezifiziert und kann dabei zur besseren Übersicht
in Netzwerken organisiert werden. Die Funktionsbau-
Referenzen
[1] IEC 61508: Functional Safety of Electrical/Electronic/
Programmable Electronic Safety-related Systems. 2002
[2] ISO 13849: Safety of machinery - Safety-related Parts of
Control Systems. 2003
[3] Zastrow, D.: Automatisieren mit SPS – Theorie und Praxis.
Vieweg Verlag, 2005
[4] Steindl M.; Mottok J.; Meier H.; Schiller F. und Früchtl M.:
Migration of SES to FPGA Based Architectural Concepts.
Workshop Entwicklung zuverlässiger Software-Systeme. 2009
[5] IEC 61131-3: Grundlagen Speicherprogrammierbarer
Steuerungen – Programmier-sprachen. 2003
[6] Halang, W.A. und Konakovsky, R.: Sicherheitsgerichtete
Echtzeitsysteme. Oldenbourg Verlag, 1999
[7] Forin, P.: Vital Coded Microprocessor Principles and
Application for Various Transit Systems. IFAC/IFIP/IFORS
Symposium 1989, S. 79-84, 1989
[8] Ozello, P.: The Coded Microprocessor Certification. Int.
Conference on Computer Safety, Reliability and Security,
S. 185-190, 1992.
[9] Rao, T.R.N.: Error Coding for Arithmetic Processors.
Academic Press, 1974
64
atp edition
6 / 2012

steine können beliebig platziert und verknüpft werden.
Durch den nahezu unbegrenzten Zoom-Bereich ist es
möglich, sehr große Projekte noch angenehm zu verwalten.
Für die schnelle Navigation innerhalb des Projekts
steht zusätzlich eine verkleinerte Übersicht des gesamten
Projekts zur Verfügung, anhand derer schnell zwischen
den Bereichen der Applikation gewechselt werden
kann (siehe Bild 6).
Neben den bereits bekannten Funktionsbausteinen für
die Ein- und Ausgabe-Baugruppen werden für die Twincat
Safety PLC zusätzliche vorzertifizierte Bibliotheken
bereitgestellt. Weiterhin hat der Benutzer die Möglichkeit,
eigene Funktionsbausteine zu spezifizieren. Diese
können entweder aus bereits vorhandenen Funktionsbausteinen
gebildet oder im Experten-Modus direkt in
Safety C programmiert werden. Die benutzerdefinierten
Funktionsbausteine werden in einer Bibliothek abgelegt
und stehen für zukünftige Projekte zur Verfügung.
Zusätzlich zur besseren Programmierung werden auch
die Debug- und die Testphase unterstützt. Programme
können, wie in Visual Studio gewohnt, untersucht werden.
Online-Variablenwerte und Zustände der Funktionsblöcke
werden direkt in der grafischen Umgebung
angezeigt und ermöglichen so ein schnelles und einfaches
Debuggen der Applikation. Zusätzlich kann das
Projekt offline simuliert werden. Die Logik lässt sich
dadurch unabhängig von der später eingesetzten Hardware
bereits vor dem Download testen. Auf diesem Wege
wird die Inbetriebnahme direkt vor Ort vereinfacht.
Der Editor ist entsprechend der Sicherheitsrichtlinien
entwickelt und verfügt über einen automatischen Verifikationsmechanismus.
Durch eine geeignete Codierung der
Daten wird auch hier die Integrität sichergestellt. Bisher
war es notwendig, das auf die Logikkomponente geladene
Projekt wieder auszulesen, manuell zu überprüfen und die
Korrektheit zu bestätigen. Der automatische Verifikationsmechanismus
überprüft selbstständig, ob das gespeicherte
Projekt mit dem erstellten Projekt im Editor übereinstimmt,
und erspart dem Anwender so die manuelle Verifikation.
Fazit
Der Beitrag zeigt einen neuen Ansatz für die Nutzung
arithmetischer Codes für Intelligente Sicherheitskomponenten.
Die eingeführte Methodik ermöglicht es, bislang
rein funktionalen Hardware-Komponenten als logische
Einheit in Safety-Szenarios zu dienen. Aufgrund der mathematischen
Basis hängt der Zertifizierungsprozess
nicht mehr von der Hardware ab. Der Ansatz ist auf jegliche
Hardware-Architektur übertragbar. Aus diesem
Grund kann eine moderne funktionale Komponente wie
der IPC als Safety-Controller verwendet werden. Die
praktische Anwendbarkeit dieser Arbeit wurde durch die
Umsetzung für den Beckhoff IPC gezeigt. Der erhöhte
Berechnungsaufwand durch die zusätzlichen Operationen
wirkt sich aufgrund der Leistungsfähigkeit eines IPC
nur geringfügig auf die Zykluszeit aus. Diese Technologie
wird kontinuierlich weiterentwickelt, um die mögliche
Flexibilität und Funktionalität stetig zu erweitern.
Manuskripteingang
12.03.2012
Im Peer-Review-Verfahren begutachtet
Autoren
Dipl.-Inf. Martin
Früchtl (geb. 1981) ist
Mitarbeiter der Entwicklung
im Bereich Safety
der Beckhoff Automation
GmbH. Er studierte
Informatik an der Universität
Passau und
promoviert seit 2008 auf
dem Gebiet der Sicherheitstechnik. Nach der
Beschäftigung als wissenschaftlicher
Mitarbeiter an der TU München arbeitet er
seit 2011 bei der Beckhoff Automation GmbH.
Beckhoff Automation GmbH,
Eiserstr. 5, D-33415 Verl,
Tel. +49 (0) 5246 963 52 10,
E-Mail: M.Fruechtl@beckhoff.com
Prof. Dr.-Ing. Frank Schiller (geb. 1966)
ist wissenschaftlicher Leiter für Safety &
Security der Beckhoff Automation GmbH.
Er studierte Elektrotechnik an der TU
Dresden und promovierte 1997 an der TU
Hamburg-Harburg. Nach verschiedenen
Stationen bei Siemens war er von 2004 bis
2011 als Professor für Automatisierungstechnik
an der TU München tätig. Seine
Tätigkeitsfelder umfassen die sicherheitsgerichtete Kommunikation,
Software-basierte Sicherheitssteuerungen, Security-
Kommunikation und die effiziente Kombination von Safetyund
Security-Algorithmen für die Automatisierung. Er lehrt als
Gastprofessor an der
(Huádo ˉ ng Lı ˇgo ˉ ng Dàxué, East
China University of Science and Technology), Shanghai, China.
Beckhoff Automation GmbH,
Ostendstr. 196, D-90482 Nürnberg,
Tel. +49 (0) 911 54 05 62 44,
E-Mail: F.Schiller@beckhoff.com
atp edition
6 / 2012
65

impressum / Vorschau
Impressum
Vorschau
Verlag:
Oldenbourg Industrieverlag GmbH
Rosenheimer Straße 145
D-81671 München
Telefon + 49 (0) 89 4 50 51-0
Telefax + 49 (0) 89 4 50 51-3 23
www.oldenbourg-industrieverlag.de
Geschäftsführer:
Carsten Augsburger, Jürgen Franke
Spartenleiter:
Jürgen Franke
Herausgeber:
Dr. T. Albers
Dr. G. Kegel
Dipl.-Ing. G. Kumpfmüller
Dr. N. Kuschnerus
Beirat:
Dr.-Ing. K. D. Bettenhausen
Prof. Dr.-Ing. Ch. Diedrich
Prof. Dr.-Ing. U. Epple
Prof. Dr.-Ing. A. Fay
Prof. Dr.-Ing. M. Felleisen
Prof. Dr.-Ing. G. Frey
Prof. Dr.-Ing. P. Göhner
Dipl.-Ing. Th. Grein
Prof. Dr.-Ing. H. Haehnel
Dr.-Ing. J. Kiesbauer
Dipl.-Ing. R. Marten
Dipl.-Ing. G. Mayr
Dr. J. Nothdurft
Dr.-Ing. J. Papenfort
Dr. A. Wernsdörfer
Dipl.-Ing. D. Westerkamp
Dr. Ch. Zeidler
Organschaft:
Organ der GMA
(VDI/VDE-Gesell schaft Messund
Automatisierungs technik)
und der NAMUR
(Interessen gemeinschaft
Automatisierungs technik der
Prozessindustrie).
Redaktion:
Anne Hütter (verantwortlich)
Telefon + 49 (0) 89 4 50 51-4 18
Telefax + 49 (0) 89 4 50 51-2 07
E-Mail: huetter@oiv.de
Gerd Scholz
Einreichung von Hauptbeiträgen:
Prof. Dr.-Ing. Leon Urbas
(Chefredakteur, verantwortlich
für die Hauptbeiträge)
Technische Universität Dresden
Fakultät Elektrotechnik
und Informationstechnik
Professur für Prozessleittechnik
D-01062 Dresden
Telefon +49 (0) 351 46 33 96 14
E-Mail: urbas@oiv.de
Fachredaktion:
Dr.-Ing. M. Blum
Prof. Dr.-Ing. J. Jasperneite
Dr.-Ing. B. Kausler
Dr.-Ing. N. Kiupel
Dr. rer. nat. W. Morr
Dr.-Ing. J. Neidig
Dipl.-Ing. I. Rolle
Dr.-Ing. S. Runde
Prof. Dr.-Ing. F. Schiller
Bezugsbedingungen:
„atp edition – Automatisierungstechnische
Praxis“ erscheint
monatlich mit Doppelausgaben im
Januar/Februar und Juli/August.
Bezugspreise:
Abonnement jährlich: € 468,– + € 30,–/
€ 35,- Versand (Deutschland/Ausland);
Heft-Abbonnement + Online-Archiv:
€ 638,40; ePaper (PDF): € 468,–;
ePaper + Online-Archiv: € 608,40;
Einzelheft: € 55,– + Versand;
Die Preise enthalten bei Lieferung
in EU-Staaten die Mehrwertsteuer,
für alle übrigen Länder sind es
Nettopreise. Mitglieder der GMA: 30%
Ermäßigung auf den Heftbezugspreis.
Bestellungen sind jederzeit über den
Leserservice oder jede Buchhandlung
möglich.
Die Kündigungsfrist für Abonnementaufträge
beträgt 8 Wochen zum Bezugsjahresende.
Abonnement-/
Einzelheftbestellung:
Leserservice atp
Postfach 91 61, D-97091 Würzburg
Telefon + 49 (0) 931 4170-1615
Telefax + 49 (0) 931 4170-492
E-Mail: leserservice@oiv.de
Verantwortlich für
den Anzeigenteil:
Annemarie Scharl-Send
Mediaberatung
sales & communications Medienagentur
Kirchfeldstraße 9, D-82284 Grafrath
Tel. +49 (0) 8144 9 96 95 12
Fax +49 (0) 8144 9 96 95 14
E-Mail: ass@salescomm.de
Es gelten die Preise der Mediadaten 2012
Anzeigenverwaltung:
Brigitte Krawczyk
Telefon + 49 (0) 89 4 50 51-2 26
Telefax + 49 (0) 89 4 50 51-3 00
E-Mail: krawczyk@oiv.de
Art Director / Grafik:
Deivis Aronaitis | dad |
Druck:
Druckerei Chmielorz GmbH
Ostring 13,
D-65205 Wiesbaden-Nordenstadt
Gedruckt auf chlor- und
säurefreiem Papier.
Die atp wurde 1959 als „Regelungstechnische
Praxis – rtp“ gegründet.
© 2012 Oldenbourg Industrieverlag
GmbH München
Die Zeitschrift und alle in ihr enthaltenen
Beiträge und Abbildungen sind urheberrechtlich
geschützt. Mit Ausnahme der
gesetzlich zugelassenen Fälle ist eine
Verwertung ohne Ein willigung des Verlages
strafbar.
Gemäß unserer Verpflichtung nach § 8
Abs. 3 PresseG i. V. m. Art. 2 Abs. 1c DVO
zum BayPresseG geben wir die Inhaber
und Beteiligungsverhältnisse am Verlag
wie folgt an:
Oldenbourg Industrieverlag GmbH,
Rosenheimer Straße 145, 81671 München.
Alleiniger Gesellschafter des Verlages
ist die ACM-Unternehmensgruppe,
Ostring 13,
65205 Wiesbaden-Nordenstadt.
ISSN 2190-4111
Die Ausgabe 7-8 / 2012 der
erscheint am 30.07.2012
Mit folgenden Beiträgen:
Operational Access to
SIS Components
Kernmodelle – ein Konzept
zur Vereinfachung von
Systembeschreibungen
Prozessdatenspeicherung
und Datenkommunikation
Die Mensch-Maschine-
Schnittstelle im
demographischen Wandel
...und vielen weiteren Themen.
Aus aktuellem Anlass können sich die Themen
kurzfristig verändern.
LeserService
e-Mail:
leserservice@oiv.de
Telefon:
+ 49 (0) 931 4170-1615
66
atp edition
6 / 2012

Erreichen Sie die Top-Entscheider
der Automatisierungstechnik.
Sprechen Sie uns an wegen Anzeigenbuchungen
und Fragen zu Ihrer Planung.
Annemarie Scharl-Send: Tel. +49 (0) 8144 9 96 95 12
E-Mail: ass@salescomm.de

Druckmesstechnik
Produkte in Titan für aggressive Medien:
‣ Medizinaltechnik
Implantierbare, vollisolierte Drucktransmitter mit Ø 9 mm.
Titan „Atlas“ /
Träger des Himmelgewölbes
‣ Chemische Industrie
Diverse frontbündige Versionen erhältlich.
‣ Hydrostatische Pegelmessung
Für aggressivste Medien wie Brackwasser, Eisenchlorid, …
KELLER
www.keller-druck.com