atp edition Diagnosefähige Aktorik in sicherheitsgerichteten Kreisen (Vorschau)

6 / 2012

54. Jahrgang B3654

Oldenbourg Industrieverlag

Automatisierungstechnische Praxis

Diagnosefähige Aktorik in

sicherheitsgerichteten Kreisen | 30

PFD-Berechnung bei nicht

konstanten Ausfallraten | 40

Komplexe PLT-Schutzeinrichtungen | 48

Automatische Generierung

sicherer diversitärer Software | 58

ZUKUNFT ENTWICKELN

MIT AUTOMATISIERUNG

Sind Sie heute schon geflogen?

NEUE

Industrie

Website

www.vp-chemie-pharma.de

Halle 11.1

Stand E16

Planen Sie Ihren ACHEMA Messetag mit YOKOGAWA

Wir freuen uns auf Sie!

Yokogawa Deutschland GmbH · Broichhofstraße 7-11 · 40880 Ratingen

Telefon +49(0)2102 - 4983-0 · Telefax +49(0)2102- 4983-22 · www.vp-chemie-pharma.de · info@de.yokogawa.com

editorial

Nachweisbar sichere Komponenten

und Anlagen effizient gestalten

Sicherheitsgerichtete Automatisierungssysteme führen entscheidende Aufgaben

von Sicherheitsfunktionen aus. Daher muss ihre Eignung sowohl

qualitativ als auch quantitativ nachgewiesen werden.

Normen und Richtlinien wie die ISO 13849 und die IEC 61508 bieten leider

nur für wenige, spezielle Sicherheitsarchitekturen konkrete Anhaltspunkte.

Deswegen werden oft starke Vereinfachungen bei der Modellierung vorgenommen,

um die realen Systeme auf diese Architekturen abzubilden.

Die in der Sicherheitstechnik üblichen Abschätzungen und Vereinfachungen

zur „sicheren Seite“ führen so oftmals zu unnötig schlechten Sicherheitskennwerten

und letztendlich zu kostenintensiveren Lösungen zur Erreichung der

geforderten Kennwerte. Denn diese Vereinfachungen bedeuten immer eine

ungünstigere Bewertung der Sicherheit – und erfordern somit höhere Investitionen

in Mechanik und Elektronik in Form von Redundanzen und hochwertigeren

Bauteilen.

Der Anlagenbauer beziehungsweise Systemintegrator kann hier einige Auswege

finden: Der scheinbar einfachste Weg ist die ausschließliche Verwendung

von zertifizierten Sicherheitskomponenten. In diesem Fall kann für ihn der

Nachweis relativ einfach sein, und er wird durch Werkzeuge der Hersteller

unterstützt. Zwar wird mittlerweile die Standardisierung von Schnittstellen

und Eigenschaften von Safety-Komponenten von Verbänden gefördert, aber es

ist noch viel Engagement notwendig.

Spezialanwendungen und auch Kostengründe machen demgegenüber eigene

Lösungen erforderlich. Hier ist Sicherheitskompetenz gefragt, die über die

bisherigen Anforderungen hinausgeht. Die existierenden Werkzeuge helfen

zwar bei der Risikoanalyse und Bestimmung des erforderlichen Safety Integrity

Levels (SIL) oder Performance Levels (PL) bei vielen Anwendungen. Sie

kommen jedoch an ihre Grenzen, wenn von den Architekturvorschlägen der

Normen abgewichen werden soll.

Effiziente, generalisierbare, intelligente und flexible Lösungen für nachweisbare

Sicherheit sind daher die Hauptaufgabe der modernen Sicherheitstechnik.

Die aktuellen Herausforderungen auf dem Gebiet der Safety bestehen nicht

einfach in der Erreichung der Sicherheit, sondern in der effizienten Gestaltung

nachweisbar sicherer Komponenten und Anlagen, das heißt, auch mit geringeren

Stückkosten soll eine nachweisbare Sicherheit erreichbar sein. Dafür

können die einmaligen Kosten für Entwicklung und Nachweis durchaus höher

sein. Hier spielen Software-intensive Lösungen eine immer größere Rolle.

Schon seit einiger Zeit wird der Einsatz von COTS (commercial off the shelf)

auf der Hardware-Seite und SOUP (software of uncertain pedigree) auf der

Software-Seite in der Sicherheitstechnik diskutiert.

Obwohl die Sicherheitstechnik in unseren Branchen schon auf eine bedeutende

Geschichte zurückblicken kann, besteht noch viel Raum für innovative

Lösungen.

Prof. Dr.-Ing.

Frank Schiller,

wissenschaftlicher Leiter

für Safety & Security,

Beckhoff Automation GmbH

atp edition

6 / 2012

3

Inhalt 6 / 2012

Forschung

6 | Exo-Hand verbindet menschliche Intelligenz

mit robusten Fähigkeiten eines Roboters

Kompaktes Datenlogger-System ermittelt, wie hoch

die Leistung bei der „Ernte“ von Energie ist

Verband

8 | Stabwechsel bei der Fraunhofer-Gesellschaft:

Reimund Neugebauer löst Hans-Jörg Bullinger ab

Industrie 4.0: GMA will aktuelle IKT-Trends

gezielt für die Automation weiterentwickeln

9 | PNO: Karsten Schneider neuer Vorsitzender

Woodington-Award für Klaus-Dieter Sommer

branche

10 | Masterstudent Stefan Köhler und Bachelorstudent Stefan Luthardt

gewinnen AALE Award 2012

Studie: Informationssicherheit in europäischen

Unternehmen „furchterregend schlecht“

11 | Chinesische Produktpiraterie im Maschinenbau 2011

erstmals rückläufig

Ingenieurbranchen erwirtschafteten 2011 rund 45 Prozent

aller deutschen Exporteinnahmen

12 | Offenes Safety-Profil ermöglicht eine fabrikweite

Sicherheitsarchitektur in heterogenen Anlagen

rubriken

3 | Editorial

66 | Impressum, Vorschau

4

atp edition

6 / 2012

Schwerpunkt | achema

16 | Optimale Assistenz für den Anlagenfahrer

erlaubt maximale Kostenreduzierung

für die Produktion

20 | Kosten senken und Steuern sparen –

zertifiziertes Energiemanagement steigert

die Wirtschaftlichkeit

24 | Neue Feldbus-Infrastruktur steigert

Transparenz und Betriebssicherheit in

indischer Zuckerfabrik

26 | Zentrales Engineering Tool erleichtert As-built-

Dokumentation und asynchrone Planung

Hauptbeiträge

30 | Diagnosefähige Aktorik in

sicherheitsgerichteten Kreisen

T. Karte und B. Schäfer

40 | PFD-Berechnung bei nicht

konstanten Ausfallraten

A. Hildebrandt

48 | Komplexe PLT-Schutzeinrichtungen

S. Haase, D. Hablawetz, T. Hauff, M. Krauss und F. Lenhart

58 | Automatische Generierung

sicherer diversitärer Software

M. Früchtl und F. Schiller

forschung

Exo-Hand verbindet menschliche Intelligenz

mit robusten Fähigkeiten eines Roboters

D

em Hersteller Festo ist es gelungen, einen Roboterarm

zu entwickeln, den man sich wie einen Handschuh

anziehen kann. Mit der sogenannten Exo-Hand lassen

sich die Finger aktiv bewegen und die Fingerkraft verstärken.

Die Exoskeletthand bildet alle wichtigen physiologischen

Freiheitsgrade einer Hand ab.

Dabei verknüpft die Exo-Hand menschliche Intelligenz

mit den Fähigkeiten eines Roboters. Maschinen sind zwar

präzise, robust und leistungsstark, können jedoch nur

bedingt in komplexen Situationen reagieren. Meist bleiben

die optische und haptische Wahrnehmung sowie das

menschliche Entscheidungsvermögen unverzichtbar. Mit

der Exo-Hand ist nun, laut Hersteller, ein universelles

Assistenzsystem entstanden. Die Roboterhand kann beispielsweise

bei unterschiedlichen Montagetätigkeiten in

der Industrie eingesetzt werden. Gleichfalls ist die Fernmanipulation

einer Roboterhand durch den „Cyborg“-

Arm, etwa in gesundheitsgefährdenden Umgebungen,

denkbar. Acht pneumatische Aktoren erlauben präzise

Bewegungen und verleihen Festo zufolge der Exo-Hand

optimierte Eigenschaften hinsichtlich Nachgiebigkeit

und Sicherheit. Gleichzeitig erfassen lineare Potentiometer

die Fingerstellung und die jeweils anliegende Kraft

der Antriebe. Der entsprechende Druck in den Kammern

wird mittels Piezoproportionalventilen geregelt. Drucksensoren

auf der Ventilinsel dienen der Druckregelung

Die Exo-Hand in Kombination mit einem

Brain-Computer-Interface. Bild: Festo.

und erlauben Rückschluss auf die Kräfte, die der Zylinder

ausübt. Eine CoDeSys-konforme Steuerung erfasst und

verarbeitet die Positions- und Kraftwerte. Sie regelt die

entsprechenden Drücke in den Zylindern, um die korrekten

Fingerstellungen und Krafteinflüsse zu erhalten.

Dabei werden nichtlineare Regelalgorithmen verwendet.

Festo AG & Co. KG,

Ruiter Straße 82, D-73734 Esslingen,

Tel. +49 (0) 711 34 70,

Internet: www.festo.com/gruppe

6

Kompaktes Datenlogger-System ermittelt, wie hoch

die Leistung bei der „Ernte“ von Energie ist

Energy Harvesting wird eine Technologie genannt, bei der

aus Quellen wie Temperatur- und Druckunterschieden,

Luftströmungen, mechanischen Bewegungen oder Vibrationen

Energie gewonnen wird. Wenige Milliwatt genügen

etwa, um Sensoren, Funksender oder GPS-Module in Betrieb

zu setzen. Die Vibrationen, beispielsweise beim Transport

von Güterwagons oder Containern können eine solche Energie

quelle sein. Doch reicht diese Energie tatsächlich komplett

aus, um elektronische Mikrosysteme mit Strom zu

versorgen? Darüber Auskunft gibt ein Datenlogger, der vom

Fraunhofer-Institut für Integrierte Schaltungen IIS entwi-

Der Datenlogger misst,

ob die geerntete Energie vom

Energy Harvesting ausreicht,

um ein Mikrosystem mit Energie

zu versorgen. Er ist bereits

beispielsweise an Containern

im Einsatz. Bild: Fraunhofer IIS

atp edition

6 / 2012

ckelt wurde. Das System analysiert und charakterisiert das

nutzbare Energiepotenzial. Es misst entscheidende Parameter

der Vibrationsquelle wie beispielsweise Amplitude und

Frequenzspektrum der Beschleunigung. „Mit den gewonnenen

Daten lassen sich Vibrationswandler wie etwa piezoelektrische

Generatoren so auslegen, dass sie Sensoren,

Funksendeempfänger, Tracking-Systeme und andere Kleingeräte

mit geringem Stromverbrauch mit ausreichend Energie

versorgen“, erläutert Dr.-Ing. Peter Spies, Gruppenleiter

am IIS. Die „abgeerntete“ Energie kann für viele Anwendungen

genutzt werden, etwa um Pulsmesser, Sensoren in

Waschmaschinen und Produktionsanlagen oder Messsysteme

in Autos, die den Reifendruck prüfen, aufzuladen.

Bestandteile des Datenloggers sind ein Beschleunigungssensor,

ein GPS-Modul, ein Mikrocontroller, eine SD-Karte

sowie eine WLAN-Schnittstelle.

Der Datenlogger ist bereits in Güterwaggons, Lkws und

Maschinenanlagen im Einsatz. Derzeit entwickeln Spies

und sein Team ein komplettes Tracking-System, das neben

GSM-Modul und GPS-Empfänger einen Vibrationswandler

umfasst, der mechanische in elektrische Energie

konvertiert.

Fraunhofer-Institut

für Integrierte Schaltungen IIS,

Am Wolfsmantel 33, D-91058 Erlangen,

Tel. +49 (0) 9131 77 60, Internet: www.iis.fraunhofer.de

M

O

V

I

E

N

S

N

O

T

V

H

A

E

T

I

W

0

O

N

R

D

L

Effiziente Bedienung – optimale Produktion?

Definitiv.

Das ideale Prozessleitsystem liefert dem Anlagenfahrer alle wichtigen Informationen für

schnelle und richtige Entscheidungen. Somit behält er auch in schwierigen Situationen

den Überblick, kann effektiv eingreifen und so Anlagenausfälle vermeiden. Mit den

modernen und besonders ergonomischen Bedienoberflächen von ABB gibt es keine

Alarm- und Informationsüberflutung. Dadurch kann sich der Anlagenfahrer auf das

Wesentliche konzentrieren und die Produktivität der Anlage erhöhen. Wünschen Sie

sich auch so eine effiziente Anlagenbedienung? www.abb.de/controlsystems

ACHEMA 2012

18 - 22 June 2012

Hall 11.1, Stand A61

ABB Automation GmbH

Tel. +49 69 7930 4142

Fax. +49 69 7930 4499

E-Mail: process.automation@de.abb.com

Verband

Stabwechsel bei der Fraunhofer-Gesellschaft:

Reimund Neugebauer löst Hans-Jörg Bullinger ab

Reimund Neugebauer,

langjähriger Leiter des

Fraunhofer-Instituts für

Werkzeugmaschinen und

Umformtechnik IWU in

Chemnitz, wird im

Oktober neuer

Fraunhofer-Präsident.

Bild: Fraunhofer

Prof. Dr.-Ing. Reimund Neugebauer ist vom Senat der

Fraunhofer-Gesellschaft zum künftigen Präsidenten

gewählt worden. Er soll im Oktober Prof. Dr.-Ing. Hans-

Jörg Bullinger nachfolgen, der zehn Jahre an der Spitze

der Fraunhofer-Gesellschaft stand.

Reimund Neugebauer leitet seit etwa 20 Jahren das

Fraunhofer-Institut für Werkzeugmaschinen und

Umform technik IWU in Chemnitz. Er studierte Maschinenbau

an der TU Dresden mit dem Schwerpunkt Produktionstechnik.

Nach Diplom und Promotion folgten

eine leitende Tätigkeit in der Maschinenbauindustrie und

die Habilitation 1989.

Danach wurde er als Hochschullehrer an die TU Dresden

berufen, wo er 1990 die Geschäftsführung des Instituts

für Werkzeugmaschinen übernahm. 1992 wurde er

Leiter der neuen Fraunhofer-Einrichtung für Werkzeugmaschinen

und Umformtechnik in Chemnitz, die zwei

Jahre später zum Institut ernannt wurde. Seit 1993 ist er

Ordinarius für Werkzeugmaschinen und Umformtechnik

an der TU Chemnitz. Dort gründete er auch das Institut

für Werkzeugmaschinen und Produktionsprozesse IWP

und ist seit 2000 dessen Direktor. Von 2003 bis 2006 war

er zudem Dekan der Fakultät für Maschinenbau.

Neugebauer ist Mitglied zahlreicher nationaler und internationaler

wissenschaftlicher Gesellschaften und Verbände.

So war er 2010/2011 Präsident der Wissenschaftlichen

Gesellschaft für Produktionstechnik WGP. Er gehört

der Arbeitsgemeinschaft Umformtechnik AGU an

und ist Fellow der Internationalen Akademie für Produktionstechnik

CIRP, deren Generalversammlung er 2007

als Chairman in Dresden ausrichtete.

Außerdem ist er Mitglied der Deutschen Akademie der

Technikwissenschaften Acatech und Gründungspräsident

des Industrievereins Sachsen 1828 e.V. Neugebauer hat das

Fraunhofer-Institut für Werkzeugmaschinen und Umformtechnik

IWU in Chemnitz zu einem international führenden

Partner für die Automobil- und Maschinenbauindustrie

ausgebaut. Mit den Standorten Dresden, Augsburg und

Zittau wurden die Forschungsgebiete um Mechatronik,

Medizintechnik und Leichtbauweisen erweitert. Wichtige

Impulse für einen Paradigmenwandel zur Sicherung und

Entwicklung der Wertschöpfung am Standort Deutschland

lieferte Neugebauer mit dem aktuellen Schwerpunktthema

„Ressourceneffiziente Produktion“.

Hans-Jörg Bullinger, der zehn Jahre an der Spitze der

Fraunhofer-Gesellschaft stand, wechselt in den Senat

und bleibt der Forschungsorganisation in vielfältigen

Funktionen aktiv verbunden. Außerdem wird er sich in

Beratungsgremien und Aufsichtsräten weiterhin für den

Innovationsstandort Deutschland engagieren.

FRAUNHOFER-GESELLSCHAFT ZUR FÖRDERUNG DER

ANGEWANDTEN FORSCHUNG E.V.,

Hansastraße 27 c, D-80686 München,

Tel. +49 (0) 89 120 50, Internet: www.fraunhofer.de

8

Industrie 4.0: GMA will aktuelle IKT-Trends

gezielt für die Automation weiterentwickeln

Deutschland hat bei der derzeit proklamierten vierten

industriellen Revolution ‚Industrie 4.0‘ ausgezeichnete

Voraussetzungen, betont der VDI. „Das liegt daran, dass

wir seit Langem die Möglichkeiten der industriellen Kommunikations-

und Informationsverfahren für die Anwendung

in der Automatisierungstechnik konsequent und

systematisch entwickeln und nutzen“, so Dr.-Ing. Kurt D.

Bettenhausen, Vorsitzender der VDI/VDE-Gesellschaft

Mess- und Automatisierungstechnik (GMA). „Die gerade

stattfindende Entwicklung im Hinblick auf Vernetzung

und Allgegenwärtigkeit jeglicher Information wird uns

hier einen weiteren Schub geben und neue Möglichkeiten

eröffnen“, so Bettenhausen weiter.

Das Ziel der Automatisierung ist und bleibt der wunschgemäße,

sichere, zuverlässige und effiziente Betrieb von

Anlagen. Die Nutzung der zusätzlichen Informationen, die

zukünftig über zusätzliche Sensoren, eingebettete Systeme

und die Vernetzung zur Verfügung stehen können, wird

dieses Ziel unterstützen und neue Möglichkeiten eröffnen.

atp edition

6 / 2012

„Industrie 4.0 bedeutet konsequente

Automation“, beschreibt Bettenhausen

die Perspektiven. „Wir werden die

aktuellen Trends aus der Informations-

und Kommunikationstechnologie

(IKT) nutzen und gezielt für die

industrielle Automation weiterentwickeln.“

Darunter fallen unter anderem

der Ausbau von Sensor- und Kommunikationsnetzen,

die Vernetzung von

Anlagen, die Verfügbarkeit, Transparenz

und Sicherheit von Daten, die

übersichtliche Visualisierung von Anlagenzuständen sowie

die einfache und intuitive Bedienung von Anlagen.

VDI/VDE-Gesellschaft Mess- und

Automatisierungstechnik (GMA),

VDI-Platz 1, D-40468 Düsseldorf,

Tel. +49 (0) 211 621 40, Internet: www.vdi.de

Dr.-Ing. Kurt D.

Bettenhausen,

GMA-Vorsitzender

betont: „Industrie

4.0 bedeutet

konsequente Auto -

mation.“ Bild: GMA

PNO: Karsten Schneider

neuer Vorsitzender

Karsten

Schneider,

neuer Vorstandsvorsitzender

der

PNO und Leiter der

Strategie ‚Feldbuskommu

nikation‘ in

der Siemens AG.

Bild: PNO

Karsten Schneider (43) wurde auf

der Mitgliederversammlung der

Profibus Nutzerorganisation e. V.

(PNO) in den Vorstand der PNO und

gleichzeitig zu dessen Vorsitzenden

gewählt. Schneider ist seit April

2012 Leiter der Strategie ‚Feldbuskommunikation‘

in der Siemens AG.

Er löst Jörg Freitag ab, der sich einer

neuen beruflichen Herausforderung

im Ausland widmen wird.

Neben Schneider gehören dem

PNO-Vorstand nun Klaus-Peter Lindner

(Endress + Hauser Process Solutions)

und Prof. Dr. Frithjof Klasen

(AIT, FH Köln) an. Der Vorstand leitet

die Organisation der PNO, der Beirat

steuert die Technologieentwicklung.

Die Technischen Komitees und Arbeitskreise

erarbeiten Spezifikationen, Profile und Richtlinien.

Die operativen Aufgaben werden von der Geschäftsstelle

der PNO in Karlsruhe wahrgenommen.

| EK12-06G |

So kompakt sieht

ein vollständiger

Servoverstärker aus.

Direkter Anschluss von Servomotor

und Resolver an 12-mm-Busklemme.

PROFIBUS-NUTZERORGANISATION,

Haid-und-Neu-Straße 7, D-76131 Karlsruhe,

Tel. +49 (0) 721 965 85 90,

Internet: www.profibus.com

Woodington-Award für

Klaus-Dieter Sommer

Für hervorragende Leistungen auf dem Gebiet der

Messtheorie und Messdatenauswertung sowie der

systematischen Modellbildung von Messungen und Kalibrierungen

hat Prof. Dr. Klaus-Dieter Sommer den diesjährigen

Woodington-Award erhalten wie die VDI/VDE-

Gesellschaft Mess- und Automatisierungstechnik (GMA)

mitteilt. GMA-Beiratsmitglied Sommer ist seit über 25

Jahren der erste Nichtamerikaner, der mit diesem Preis

ausgezeichnet wurde.

Sommer habe wichtige Beiträge sowohl zum gesetzlichen

Messwesen als auch zur Lehre in der Messtechnik

sowie zur internationalen Vernetzung der Metrologie

geleistet. Sommer ist seit vielen Jahren Vizepräsident der

regionalen europäisch-asiatischen Metrologieorganisation

Coomet. Er leitet das Technische Komitee TC 20

‚Energy Measurement‘ der Imeko und hat die GMA mit

der MSC und der NCSLi in den USA vernetzt. In Deutschland

habe er sich vor allem um die Implementation des

GUM-Verfahrens zur Messunsicherheitsbewertung in

die Praxis sowie die Förderung der Messtheorie verdient

gemacht, betont die GMA.

VDI/VDE-Gesellschaft Mess- und

Automatisierungstechnik (GMA),

VDI-Platz 1, D-40468 Düsseldorf,

Tel. +49 (0) 211 621 40, Internet: www.vdi.de

IPC

I/O

Motion

Automation

www.beckhoff.de/EL7201

Die Servoklemme EL7201 für das Beckhoff-EtherCAT-Klemmensystem

integriert im Standardklemmengehäuse einen vollständigen

Servoverstärker für Motoren bis 200 W:

Direkter Anschluss von Servomotor, Resolver und Haltebremse

an 12-mm-Busklemme

Deutliche Reduzierung des Platzbedarfs sowie der Verdrahtungsund

Inbetriebnahmekosten

Die integrierte, schnelle Regelungstechnik ist für hochdynamische

Positionieraufgaben ausgelegt.

Die Servoklemme unterstützt Synchronmotoren mit einem

Nennstrom bis 4 A.

Die Kombination aus Servomotorserie AM3100 und Servoklemme

bietet eine kostengünstige Servoachse im unteren Leistungsbereich.

anche

Masterstudent Stefan Köhler und Bachelorstudent

Stefan Luthardt gewinnen AALE Award 2012

Sechs junge Fachhochschul-Studenten wurden bei der

diesjährigen Konferenz für Angewandte Automatisierungstechnik

in Lehre und Entwicklung (AALE) für ihre

Forschungsarbeiten ausgezeichnet. Die ersten beiden

AALE Student Awards gingen an Stefan Köhler und Stefan

Luthardt. Köhler erhielt die Auszeichnung für seine

Master-Arbeit zum Thema „Entwurf und Analyse eines

Datenfusionsalgorithmus zur Lagefindung eines Kleinstflugzeugs“.

Der Gewinner von der Hochschule Karlsruhe

untersuchte Verfahren, wie man einen Quadrokopter

besser stabilisieren kann. Ein Quadrokopter ist eine

Schwebeplattform, die mithilfe von vier Propellern in der

Luft gehalten wird.

Der erste Preis unter den Bachelor-Studenten ging an Stefan

Luthardt von der Hochschule für Technik, Wirtschaft

und Kultur (HTWK) Leipzig. Luthardt hatte in seiner Arbeit

Preisträger: (von li. nach re.) Stefan Luthardt (Preisträger

AALE Award Bachelorarbeit), Mirko Kegel, Philipp Scholz, Titanilla

Komenda und Stefan Köhler (Preisträger AALE Award Masterarbeit).

Bild: FH Aachen/Pia Wilbrand

die „Entwicklung eines Softwarewerkzeugs zur Identifikation

von Regelstrecken und Konfiguration von Reglern auf

Speicherprogrammierbaren Steuerungen“ vorgestellt. Stefan

Köhler erhielt für seine ausgezeichnete Master-Arbeit

ein Preisgeld von 1 000 Euro. Stefan Luthardt konnte sich

über 500 Euro für die beste Bachelor-Arbeit freuen.

Als Zweit- und Drittplatzierte unter den eingereichten

Bachelor-Arbeiten machten Kai Dziembala von der Hochschule

Bremen und Mirko Kegel von der FH Bielefeld das

Rennen. Dziembala hatte seine Bachelor-Arbeit zum Thema

„Prozesssichere und gesetzeskonforme Trügungsmessung“

vorgestellt. Kegel befasste sich in seiner Arbeit mit

„Wieganddraht-basierten Magnetfeldsensoren“.

Auch bei den übrigen nominierten Masterarbeiten

setzten sich interessante Themen durch. Titanilla Komenda

von der TU Technikum Wien stellte „An Exprimental

Approach to Evaluating Industrial Robot Energy Efficiency“

vor. Ihr Mitstreiter Philipp Scholz von der FH Westküste

hatte die „Regelung einer wiederzündbaren kryogenen

Oberstufe zur Unterdrückung des Treibstoffschwappens

wärend ausgewählter Manöver“ untersucht.

Die AALE-Fachkonferenz, die in diesem Jahr am 3. und

4. Mai in den Räumen der Fachhochschule Aachen stattfand,

konnte 170 Teilnehmer verzeichnen. In den rund 40

Vorträgen wurde die Brücke zwischen Industrie und Hochschule

geschlagen und über interessante Kooperationen

zwischen Instituten und Wirtschaft informiert. Eine Ausstellung

der Industriepartner zeigte Aachener Fachhochschülern,

wo ihr Know-how in der Praxis gefragt ist.

Die AALE-Fachkonferenz findet im kommenden Jahr

in Stralsund statt.

FH Aachen,

Fachbereich Elektrotechnik und Informationstechnik,

Eupener Straße 70,

D-52066 Aachen,

Tel. +49 (0) 241 600 95 21 61,

Internet: www.fh-aachen.de/aale2012

10

Studie: Informationssicherheit in europäischen

Unternehmen „furchterregend schlecht“

Die Unternehmensberatung Price Waterhouse Coopers

(PwC) attestiert mittelständischen Unternehmen in

Europa einen „fahrlässigen“ Umgang mit der Informationssicherheit.

Zu diesem Ergebnis kommen PwC und

der Datensicherheitsspezialist Iron Mountain in einer

gemeinsamen Studie. Die Befragung hatte in sechs europäischen

Ländern insgesamt 600 mittelständische Unternehmen

mit 250 bis 2500 Mitarbeitern unter die Lupe

genommen. Vier Kernbereiche wurden untersucht: Strategie

(etwa Informationsrisikostrategie), Mitarbeiter (Wie

gehen diese mit dem Internet und Social Media um?),

Kommunikation (Gibt es eine Leitlinie zum Umgang mit

Dateien?) und Sicherheit (Datenklassifizierung).

Die erzielten Ergebnisse waren laut William Rimington,

Studienverantwortlicher von PwC, „furchterregend

atp edition

6 / 2012

schlecht“. Nur 1 % der Unternehmen erkannte, dass Informationssicherheit

ein unternehmensweites Thema ist,

60 % sind nicht sicher, ob ihre Mitarbeiter über geeignete

Werkzeuge für die Datensicherheit verfügen. Nur 13 %

der Unternehmen meinten, dass Informationssicherheit

Angelegenheit des Vorstands sein sollte. Dagegen sieht

ungefähr ein Drittel (35 %) die Zuständigkeit für Informationssicherheit

bei der IT-Abteilung.

„Die meisten mittelständischen Unternehmen agieren,

sowohl was ihre eigenen als auch die Daten ihrer Kunden

angeht, fahrlässig", so Rimington.

Price waterhouse Coopers AG,

Friedrich-Ebert-Anlage 35-37, D-60327 Frankfurt am Main,

Tel. +49 (0) 69 958 50, Internet: www.pwc.de

Chinesische Produktpiraterie im

Maschinenbau 2011 erstmals rückläufig

Einen „Verfall der Sitten“, beklagte Hannes Hesse, Hauptgeschäftsführer

des VDMA (Verband Deutscher Maschinen

und Anlagenbau), im Umfeld der Hannover-Messe.

Laut einer vom VDMA durchgeführten Befragung sind

in 400 Unternehmen mehr als zwei Drittel der Maschinenund

Anlagenbauer von Produktpiraterie betroffen. Dies

betreffe Hersteller von Textil-, Kunststoff- und Gummima-

VDMA-Branche:

Der deutsche

Maschinenbau

rechnet mit einer

schwarzen Null beim

diesjährigen Umsatz.

Bild: VDMA/Dornbracht

schinen am stärksten. Laut der Studie erlitt die deutsche

Maschinenbauindustrie im vergangenen Jahr dadurch

einen Umsatzverlust von 7,9 Milliarden Euro, rund 24 Prozent

mehr als im Vorjahr.

Gegenmaßnahmen lassen derweil auf sich warten. Rund

44 Prozent der betroffenen Firmen gaben an, keine Maßnahmen

gegen Plagiate unternommen zu haben. Ursprungsland

der gefälschten Produkte ist in drei Vierteln

aller Fälle China. Allerdings war der Anteil der chinesischen

Plagiate 2011 erstmals rückläufig. VDMA-Hauptgeschäftsführer

Hesse gab eine Prognose zum Wachstum in

der deutschen Maschinenbauindustrie für 2012 bekannt.

„Die Auftragsentwicklung der letzten Monate bestätigt uns

in der Einschätzung, dass die Produktion nach dem ersten

Halbjahr das Vorjahresniveau erreichen kann“, so Hesse.

VDMA (Verband Deutscher Maschinenund

Anlagenbau e.V.),

Lyoner Strasse 18, D-60528 Frankfurt/Main,

Tel. +49 (0) 69 660 30, Internet: www.vdma.org

Ingenieurbranchen erwirtschafteten 2011 rund

45 Prozent aller deutschen Exporteinnahmen

Eine aktuelle Studie des Instituts der deutschen Wirtschaft

Köln (IW) in Kooperation mit dem Verein Deutscher

Ingenieure (VDI) hat ergeben, dass die Ingenieurbranchen

die Zugpferde der deutschen Wirtschaft sind. Die fünf

Branchen mit den höchsten Ingenieuranteilen (technischer

Service sowie Dienstleistungen in der Forschung und Entwicklung,

Elektroindustrie, Maschinenbau, Fahrzeugbau

und EDV/Telekommunikation) investieren gemeinsam

rund 73 Milliarden Euro, um Innovationen hervorzubrin-

gen. In 2011 erwirtschafteten diese Industrien 562 Milliarden

Euro. Das sind rund 45 Prozent aller deutschen Exporteinnahmen

aus dem Waren- und Dienstleistungshandel.

Zudem erzielten diese Branchen einen Auslandshandelsüberschuss

von 223 Milliarden Euro.

Institut der deutschen Wirtschaft Köln,

Konrad-Adenauer-Ufer 21, D-50668 Köln,

Tel. +49 (0) 221 498 11, Internet: www.iwkoeln.de

Zukünftige Architekturen von Automatisierungssystemen

In Ausgabe 12/2012 der atp edition

diskutiert das Magazin zukünftige Architekturen

von Automatisierungssystemen. Aktuelle

Entwicklungen der Informations- und

Kommunikationstechnologien wie Virtualisierung,

Grid Computing, vernetzte Systeme

und semantische Technologien treffen auf

Anforderungen an funktionale Sicherheit,

Anlagensicherheit und Informationssicherheit

und an die optimale bereichsübergreifende

Unterstützung der Bedienmannschaften.

Eine realistische Abschätzung der Engineering-Aufwände

und Lebenszykluskosten

ist dabei zwingend. Wir bitten Sie, bis

zum 1. August zu diesem Themenschwerpunkt

einen gemäß atp-Autorenrichtlinien

ausgearbeiteten Hauptbeitrag per E-Mail an

urbas@oiv.de einzureichen.

atp edition ist die hochwertige Monatspublikation

für Fach- und Führungskräfte

der Automatisierung. In den Hauptbeiträgen

werden Themen mit hohem wissenschaftlichem

und technischem Anspruch

und vergleichsweise abstrakt dargestellt.

Im Journalteil schlägt atp edition die Brücke

zur Praxis. Es werden Erfahrungen von Anwendern

mit neuen Technologien, Prozessen

oder Produkten beschrieben. Alle Beiträge

begutachtet ein Fachgremium. Sollten

Sie sich aktiv an dem Begutachtungsprozess

beteiligen wollen, bitten wir um Rückmeldung.

Für weitere Fragen stehen wir

Ihnen gerne zur Verfügung.

Redaktion atp

Leon Urbas, Anne Hütter

Call for

Aufruf zur Beitragseinreichung

Thema: Zukünftige Architekturen von

Automatisierungssystemen

Kontakt: urbas@oiv.de

Termin: 1. August 2012

atp edition

6 / 2012

11

anche

Offenes Safety-Profil ermöglicht eine fabrikweite

Sicherheitsarchitektur in heterogenen Anlagen

Datenaustausch über Gateways – standardisierte Prozessdaten vereinfachen die Konfiguration

Konventionelle Sicherheitstechnik im Vergleich zu modernen

Maschinenkonzepten mit integrierter Sicherheitsfunktion.

Ein offenes Schnittstellenprofil

ermöglicht einen standardisierten Datenaustausch

zwischen den Maschinenmodulen.

Für den sicherheitsrelevanten Datenaustausch zwischen

Anlagenteilen einer heterogenen Sicherheits-

Architektur standardisiert die EtherCAT Technology

Group (ETG) ein offenes Safety-Profil. Das Profil berücksichtigt,

dass innerhalb der Anlagenteile möglicherweise

unterschiedliche Bussysteme und damit deren native

Safety-Protokolle zum Einsatz kommen. Der sicherheitsrelevante

Datenaustausch zwischen den Anlagenteilen

erfolgt über Gateway-Funktionen, wobei die Prozessdaten

durch das Safety-Profil standardisiert sind, um die

Konfiguration zu vereinfachen.

unterschiedliche Kommunikationstechnologien

Die Konstruktion der Produktionsanlage ist abgeschlossen

und Herr Fastsicher stellt zufrieden fest: „Die funktionale

Kopplung der fünf Maschinenmodule verschiedener Hersteller

haben wir durch ein Ethernet-Netzwerk auf übergeordneter

Leitebene realisiert. Und da jedes Maschinenmodul

die spezifischen Sicherheitsfunktionen bereits integriert

hat, konnten wir auch die Anforderungen für den

sicheren Betrieb erfüllen.“ Sein Kollege Herr Ganzsicher

ist noch skeptisch und fragt: „Sind auf der Leitebene und

zwischen den Maschinenteilen auch die übergeordneten

Sicherheitsfunktionen realisiert? Wenn etwa im Modul A

ein Not-Aus-Taster aktiviert wird, muss auch das nachfolgende

Maschinenmodul B in einen sicheren Zustand gesetzt

werden.“ Herr Fastsicher überlegt: „Da die Maschinenmodule

intern unterschiedliche Kommunikationstechnologien

nutzen, ist ein Austausch von Sicherheitsfunktionen

nicht so einfach. Wie soll ich das machen?“

HETEROGENE ANLAGENSTRUKTUR

Produktionsanlagen bestehen häufig aus mehreren Prozessschritten,

die jeweils von separaten Maschinenmodulen

ausgeführt werden. Die Interaktion der Maschinenmodule

– geführt durch eine Leitsteuerung, die

beispielsweise vorgibt, was gefertigt werden soll – wird

heute über eine anlagenweite Vernetzung realisiert. Die

Maschinenmodule selber können dabei von unterschiedlichen

Anbietern bereitgestellt werden und nutzen

unter Umständen intern unterschiedliche Kommunikationssysteme.

Wir bezeichnen dies als eine heterogene

Anlagenstruktur.

Für die sicherheitsrelevante Kopplung der Geräte einer

Maschine ist ein klarer Trend zur Nutzung von Kommunikationssystemen

mit sicherheitsrelevanter Übertragung

zu erkennen. Intelligente Sicherheitssensoren wie

Laserscanner oder kamerabasierte Überwachungssysteme

sowie Antriebe mit integrierten sicheren Überwachungs-

und Abschaltfunktionen können über einen

Sicherheitsbus an eine sichere Logik angeschlossen werden.

Hierdurch ergeben sich wesentliche Vereinfachungen

in der Maschinenarchitektur und dadurch kurze

Reaktionszeiten sowie eine kanalspezifische Diagnose

auch für die Sicherheitsfunktionen.

verschiedene SICHERHEITSPROTOKOLLE

Die Kommunikation auf der Feldebene verwendet immer

häufiger Echtzeit-Kommunikationssysteme für den Austausch

von E/A-Daten der Sensoren und Aktoren. Verschiedene

Ethernet-basierte Technologien haben sich

12

atp edition

6 / 2012

TEchnoLogIE

schaFFT

ForTschrITT

DarT FELDbus

Eine Produktionsanlage

setzt sich aus mehreren

Maschinenmodulen zusammen.

hierfür im Markt etabliert: EtherCAT, Profinet, Ethernet/

IP und weitere. Auf der Ebene der Leitrechner oder der

Maschinenvernetzung werden einzelne Maschinenmodule

zu einer Produktionsanlage zusammengeführt. Die

Kopplung der Maschinenteile erfolgt in der Regel über

eine übergeordnete Master-Master-Kommunikation; die

Maschinensteuerungen arbeiten als Gateway zwischen

dem internen Kommunikationssystem und dem übergeordneten

Leitsystem.

Für die sicherheitsrelevante Kopplung der Maschinenteile

gelten ähnliche Randbedingungen: Die etablierten

Bussysteme haben aus historischen und technologischen

Gründen unterschiedliche Safety-Protokolle definiert.

Unter Berücksichtigung der Nutzung dieser nativen

Safety-Protokolle innerhalb der Maschinenmodule wird

für die anlagenweite Vernetzung der Module eine sichere

Gateway-Funktion benötigt.

SAFETY-GATEWAY ALS EFFIZIENTE LÖSUNG

In diesem Zusammenhang wird häufig auch der Ansatz

diskutiert, durch ein allgemeines busunabhängiges

Safety-Protokoll anlagenweite Sicherheitsfunktionen

schließen zu können. Die Zertifizierung eines busunabhängigen

Safety-Protokolls ist allerdings für den Gerätehersteller

technisch schwierig und bringt einige wesentliche

Einschränkungen mit sich: Ein Gerätehersteller

wird vorrangig das native Safety-Protokoll für die unterstützte

Busschnittstelle implementieren, um das Gerät

in diesem Markt erfolgreich platzieren zu können.

Ein zusätzliches generisches Protokoll würde daher den

Eigensicherheit ohne Leistungs-

grenzen: Die nächste Innovation

von Pepperl+Fuchs

n High Power Trunk + Eigensicherheit

erstmals kombiniert in einem

innovativen System für maximale

Sicherheit

n Hohe Leistung ermöglicht größere

Segmente mit langen Kabelwegen

n Hohe Betriebssicherheit und

Verfügbarkeit garantieren ein

Höchstmaß an Effizienz

Erfahren Sie mehr unter:

www.dart-feldbus.de

halle 11.1 · stand a41

Pepperl+Fuchs

Vertrieb Deutschland GmbH

Lilienthalstraße 200 · 68307 Mannheim

Tel. +49 621 776-2222 · Fax +49 621 776-272222

pa-info@de.pepperl-fuchs.com

www.pepperl-fuchs.de

anche

Aufwand und die Kosten für ein Gerät erheblich erhöhen.

Da dies nicht von allen Geräteherstellern unterstützt

wird, reduziert sich die Auswahl der Geräte für

den Anwender.

Eine Safety-Gateway-Funktion braucht aber nur einmal

in einem Maschinenmodul zur Verfügung gestellt

werden. Sie muss nicht einmal als eigenständiges Gerät

ausgeführt werden, sondern kann auch als Teilfunktion

der Sicherheitssteuerung implementiert sein. Das funktioniert

auch heute schon: Entsprechende Sicherheitssteuerungen,

die mehrere Safety-Protokolle unterstützen,

sind im Markt verfügbar.

MODULINTERNE SICHERHEITSFUNKTIONEN

Die Sicherheitsfunktionen der Maschinenmodule werden

in der Regel innerhalb des Moduls gelöst. Muss zum Beispiel

durch das Öffnen einer Schutzklappe eine Stoppfunktion

ausgelöst werden, dann werden die gefahrbringenden

Bewegungen innerhalb des Moduls sicher stillgesetzt

(etwa durch Stillsetzen des Sägeblattes). Die Sicherheitssteuerung

verarbeitet die Eingangsinformationen der

Sensoren und bestimmt die sicheren Reaktionen an den

Ausgängen beziehungsweise Aktoren.

Hierfür sind innerhalb des Maschinenmoduls detaillierte

Informationen über den Status und die Funktionsfähigkeit

der beteiligten Komponenten notwendig.

Wird ein defekter Sensor entdeckt, etwa über eine

Querschluss-Erkennung, dann wird für diesen Sensor

eine spezifische sichere Funktion aktiviert, und der

Anwender kann gezielt auf das fehlerhafte Gerät hingewiesen

werden.

Anlagenweit müssen zudem zwischen den Maschinenmodulen

Sicherheitsinformationen ausgetauscht werden,

um beispielsweise übergreifende Not-Aus-Funktionen

zu realisieren oder um Vorgänger- und Nachfolge-

Module über die Aktivierung von Stillstandfunktionen

zu informieren. In einer Gefahrensituation ist es unerheblich,

ob der Not-Aus-Taster an dem Maschinenmodul

angebracht ist, in dem die Gefahr erkannt wird, oder

nicht – wichtig ist eine schnelle Reaktion.

Für das Be- und Entladen einer Station ist es zudem

notwendig, sicherheitsrelevante Informationen zum Vorgänger-

beziehungsweise Nachfolgemodul auszutauschen.

Ein Materialaustausch darf beispielsweise nur

freigegeben werden, wenn sich kein Anwender in der

Gefahrenzone befindet.

VEREINHEITLICHUNG AUF PROFILEBENE

Auf Ebene der anlagenweiten Maschinenkommunikation

ist es daher nicht wichtig, kanalspezifische Informationen

der einzelnen Sensoren und Aktoren auszutauschen; vielmehr

sind der sicherheitsrelevante Gesamtstatus eines

Maschinenmoduls und die zentrale Aktivierung von Sicherheitsfunktionen

von Bedeutung. Die Schnittstelle zu

jedem Maschinenmodul erfolgt also in der Regel durch

vorverarbeitete, gefilterte Informationen; sie ist damit

schlank und kann über ein offenes Schnittstellenprofil

standardisiert werden.

Innerhalb der EtherCAT Technology Group (ETG) wird

für die Standardisierung der Daten zwischen den Maschinenmodulen

eine Profilspezifikation erarbeitet, die

oberhalb der Safety-Protokolle ein Applikationsprofil

definiert. Es handelt sich hierbei um die komprimierten

und vorverarbeiteten sicheren Prozessdaten, die ein Maschinenmodul

nach außen liefert, beziehungsweise von

außen bekommt.

Wenn sich zwei Maschinen miteinander unterhalten,

ist es für den Nachbarn nicht wichtig, ob sich dieser oder

jener Antrieb in einem sicheren Zustand befindet oder

ob ein Not-Aus-Schalter gedrückt wurde. Was aber tatsächlich

interessiert, ist – um es vereinfacht zu sagen –

die Information, ob die Nachbaranlage ein Sicherheitsproblem

hat, und wenn dem tatsächlich so ist, ob dann

die eigenen Anlagenteile weiter produzieren dürfen.

Inhalte des Schnittstellenprofils sind beispielsweise

der allgemeine sicherheitsrelevante Maschinenzustand

eines Moduls, die Information, ob das Modul sicher

gestoppt wurde oder auch eine übergeordnete Not-Aus-

Anforderung. Findet man diese Informationen in Form

eines Steuer- beziehungsweise Statuswortes an fester

Stelle auf der Schnittstelle wieder, dann ergeben sich

erhebliche Vorteile durch vordefinierte Funktionsbausteine

und durch wiederverwendbare Diagnosemöglichkeiten.

Deshalb wird eine Vereinheitlichung auf Profilebene

erarbeitet. Somit muss nur ein einziges Gerät in den Maschinenmodulen

die „Fremdsprache“ zu den anderen

Anlagenteilen beherrschen; bei den übrigen kann die

Zweisprachigkeit entfallen. Das spart Kosten und erhöht

die Flexibilität!

Für Herrn Fastsicher sind damit die übergeordneten

Sicherheitsfunktionen für seine Anlage genauso einfach

zu lösen, wie er es durch die modernen Sicherheitskonzepte

innerhalb seiner Maschinenteile gewohnt ist.

Autor

Dr.-Ing. Guido Beckmann

arbeitet seit über 15 Jahren

an der Entwicklung von

Lösungen für die industrielle

Automation. Sein besonderes

Interesse gilt dabei der

Kommunikationstechnik.

Zudem ist er Experte auf

dem Gebiet der funktionalen

Sicherheit. Beide Bereiche führt er in seiner

Arbeit in der EtherCAT Technology Group

zusammen.

EtherCAT Technology Group,

Ostenstrasse 196, D-90482 Nürnberg,

Tel. +49 (0) 911 54 05 60,

E-Mail: g.beckmann@ethercat.org

14

atp edition

6 / 2012

E20001-F160-M117

Gewinne optimiert man nicht über

Nacht. Aber Tag für Tag.

Realisieren auch Sie das Potenzial energieeffizienter Lösungen

Knapper werdende Ressourcen, steigende Energiekosten

sowie immer strengere Umweltauflagen verschärfen den

Druck auf die Industrie, effizienter als bisher mit Energie

umzugehen. Und das Potenzial ist riesig. Bis zu 70 % der

eingesetzten Energie in Industriebetrieben werden allein

durch elektrische Antriebe und Motoren verbraucht.

Ob moderne Energiesparmotoren oder innovative Software-Anwendungen

– wir bieten Ihnen ein umfangreiches

Portfolio an energieeffizienten Produkten und Lösungen

sowie umfassendes Energy Consulting. Damit erzielen

Sie auf Dauer Effizienzgewinne, die Sie immer wieder

machen. Tag für Tag.

siemens.de/energieeffizienz


Optimale Assistenz für den Anlagenfahrer erlaubt

maximale Kostenreduzierung für die Produktion

Energieeffizienzmanagement-Systeme müssen die wichtigsten Informationen übersichtlich anzeigen

Zeit

Anlagennahes

Energieeffizienzmanagement

Prozessoptimierung

Zustandsoptimierung

Do

Check

Geeignete

Prozessdaten

Geeignete

Prozessauslegung

Optimale

Prozessführung

Zustandserfassung

Zustandserhaltung

Infrastrukturoptimierung

Plan

Act

Energieeinsatz

optimieren

Regelung

optimieren

Energieoptimierte

Fahrweise

Energieflüsse

erfassen

Apparate

überwachen

Basisregelung

optimieren

. 4

Effizienzmanagement ist

per se ein iterativer Prozess,

entsprechend einem „plan –

do – check – act“-Zyklus.

Kontinuierliche Wiederholung

macht aus diesem Kreisprozess

eine Verbesserungsspirale.

Energierückgewinnung

Komponenten

modernisieren

Während der Betriebsphase

des Anlagen-Lebenszyklus muss

das Energieeffizienzmanagement

zahlreiche Anforderungen erfüllen.

Bedarfsgerechte

Fahrweise

Abb. 5

Leckagen/Verluste

erkennen

Brenn-/Rohstoffe

überwachen

Produktionsablauf

optimieren

Apparateeinsatz

optimieren

Energieeintrag (Elektrizität, Wasser, Dampf etc.)

Energieaustrag

durch Produkt

Vertragskonditionen, Produkt-,

Rohstoff- und Energiepreise

Produktions- und Wartungsplanung,

Lagerkapazitäten

ERP-Ebene

MES-Ebene

Energieeffizienz-

Management-

System

Energienutzung, Prozess- und

Anlagenkonfiguration

PLS- bzw.

Feld-Ebene

Prozessgrafik

Um die Bedienbarkeit zu optimieren, ist es hilfreich, dem

Anlagenfahrer eine leicht verständliche Übersicht über die

Energieströme zu geben. Dazu sind zusätzliche Indikatoren

erforderlich, ähnlich etwa den Pfeilen eines Sankey-Diagramms.

Handlungsempfehlungen zur Zielerreichung

viele Parameter eines Energieeffizienzmanagement-Systems

schwanken tagesaktuell

– etwa Energiepreise –, daher ist eine Einbindung

in die MES- und ERP-Ebene sinnvoll.

Ein Energieeffizienzmanagement-System ist kein Autopilot,

sondern ein Assistenzsystem. Damit es seine

Aufgaben erfüllen kann, bedarf es einer zuverlässigen,

aussagekräftigen Datenbasis, einer strukturierten, priorisierenden

Interpretation dieser Daten und vor allem

einer leicht zu erfassenden, übersichtlichen Visualisierung

der Ergebnisse sowie einer oder mehrerer alternativer

Handlungsempfehlungen. Sind diese Bedingungen

erfüllt, kann ein Energieeffizienzmanagement-System

bei minimaler Mehrbelastung der Anlagenfahrer zu einer

maximalen Energieeffizienzsteigerung und Energiekostenreduktion

führen.

Fahrerassistenzsysteme unterstützen bereits heute den

Autofahrer auf vielfältige Weise. Weil die Bedienung von

Fahrzeugen und das Verkehrsgeschehen immer komplexer

werden, weil immer mehr Daten erfasst, verarbeitet

und analysiert werden müssen, gewinnt dabei die übersichtliche,

leicht verständliche Visualisierung kontinuierlich

an Bedeutung. Das ist bei einem Anlagenfahrer

in einem prozesstechnischen Betrieb nicht anders und

gilt erst recht, wenn zusätzliche Aufgaben auf ihn zukommen:

Energieeffizienzmanagement (EEM) ist eine

solche Aufgabe.

KOSTEN SENKEN – KLIMASCHUTZ FÖRDERN

Energiemanagementsysteme nach DIN EN 16001 beziehungsweise

inzwischen DIN EN ISO 50001:2011 haben

bereits verbreitet Einzug in die Betriebe und Messwarten

gehalten. Dieser Trend wird sich verstärken, weil ihre

Einführung bald Voraussetzung sein wird, um staatliche

Vergünstigungen zu nutzen, die zu erheblich niedrigeren

Energiebeschaffungskosten führen werden.

16

atp edition

6 / 2012

Wir verändern.

Neben diesem regulatorischen Anreiz bietet effizientes

Energiemanagement jedoch viel mehr: Es hilft,

zum Erreichen der Klimaschutzziele beizutragen,

eine Aufgabe, die über Corporate Social Responsibility

(CSR) weit hinausgeht. Zudem bedeutet Energieersparnis

automatisch auch Kostensenkung, und

zwar umso erheblicher, je weiter die Energiepreise

steigen werden.

Effizienzmanagement in diesem Sinne ist per se ein

iterativer Prozess, entsprechend einem „plan – do – check

– act“-Zyklus. Kontinuierliche Wiederholung macht aus

diesem Kreisprozess eine Verbesserungsspirale.

KLARE HANDLUNGSEMPFEHLUNGEN

Anlagennahe Einsparpotenziale in der Prozessindustrie

zu identifizieren und zu realisieren erfordert:

eine ausreichende und qualifizierte Datenbasis,

die intelligente Analyse und Interpretation der

Daten,

übersichtliche Visualisierung der Ergebnisse,

aussagekräftige, nachvollziehbare Handlungsempfehlungen.

Diese Anforderungen gelten kontinuierlich während

der Betriebsphase des Anlagen-Lebenszyklus. Punktuell

spielen sie jedoch bereits bei Planung und Engineering

eine Rolle, denn hier werden die Weichen

gestellt für Effizienz, aber auch für Handhabbarkeit

und Akzeptanz des EEM.

Gerade die Bedeutung der beiden letzten Punkte

– Visualisierung und Interpretation – wird häufig

unterschätzt, obwohl sie entscheidend zur Motivation

des Bedienpersonals, damit zur betrieblichen

Akzeptanz und zum praktischen Nutzen eines EEM-

Systems beitragen.

In prozesstechnischen Anlagen mit durchschnittlichem

bis hohem Automatisierungsgrad stehen heute

bereits zahlreiche Messgrößen zur Verfügung, aus

denen sich die energetische Performance von Apparaten

oder Teilanlagen unmittelbar berechnen oder

– gegebenenfalls modellgestützt – ableiten lässt. Dennoch

gilt es bei der Einführung eines EEM-Systems

zu klären, ob die direkte Erfassung von Energieströmen,

etwa durch Wärmemengenzähler oder kontinuierliche

Brennwertbestimmungen von Energieträgern,

exaktere Daten und damit auch zuverlässigere Interpretationen

beziehungsweise Handlungsempfehlungen

liefern kann.

ALLE RELEVANTEN ENERGIESTRÖME ERFASSEN

Zudem muss gesichert sein, dass alle kosten- und klimarelevanten

Energieströme erfasst und bewertet werden.

So erfordert etwa die Einsatzoptimierung von

Abgas-Wärmetauschern mindestens die Kenntnis der

Volumenflüsse, deren zeitlicher Schwankungen und

der Temperaturen aller Abgasströme.

Durch Auswertung solcher Rohdaten gilt es, weitgehend

automatisiert optimale Strategien für Energieeinsatz

und -nutzung abzuleiten. Diese müssen der Betriebsmannschaft

in strukturierter Form vermittelt

werden. Dabei ist es vorteilhaft, den Anlagenfahrer auf

der ihm vertrauten Ebene der Prozessgrafik „abzuholen“

und ihm eine leicht verständliche Übersicht über

die Energieströme zu geben. Dazu sind zusätzliche

Indikatoren erforderlich, ähnlich etwa den Pfeilen ei-

Wir für Sie

18. – 22.06.2012

Frankfurt am Main

Halle 11.1 · Stand C75

SAMSON AG · MESS- UND REGELTECHNIK

Weismüllerstraße 3 · 60314 Frankfurt am Main

Telefon: 069 4009-0 · Fax: 069 4009-1507

E-Mail: samson@samson.de · www.samson.de

SAMSON GROUP · www.samsongroup.net

A01121DE


nes Sankey-Diagramms. Detailinformationen lassen sich

ergänzend über kaskadierende Menüs anbieten. Intuitiv

verständliche Farbschemata, übersichtliches Bildschirm-Layout

und einfache Symbole tragen dazu bei,

dass wichtige Ergebnisse der Analyse rasch und richtig

erfasst werden können. Gerade diesem Verständnisaspekt

trägt das neue „Plant Energy Efficiency Management

System“ (PEEMS) von Yokogawa explizit Rechnung.

INFORMATIONEN MASSGESCHNEIDERT FILTERN

Bei komplexen Anlagenstrukturen können rollenbasierte

Ansichten dazu beitragen, den Anlagenfahrer nicht

unnötig mit Informationen zu belasten. Wenn dieser

zum Beispiel ausschließlich die Dampf- oder Drucklufterzeugung

überwacht, braucht er nicht die Energiebilanzen

aller Verbraucher im Netz zu kennen, sondern

nur deren Bedarfe.

Ein EEM-System ist kein Autopilot, der einen Anlagenfahrer

ersetzt. Das gilt schon deshalb, weil auch zahlreiche

weitere Parameter, etwa Sicherheit, vorhandene

Rohstoff- und geforderte Produktqualität oder erforderliche

Produktivität beziehungsweise Produktionsleistung

die Fahrweise entscheidend mitbestimmen. Es ist

vielmehr ein Werkzeug zur Operator-Unterstützung.

Seine zentralen Funktionen bestehen darin:

aktuelle und energieoptimierte Fahrweise einander

gegenüberzustellen,

dem Anlagenfahrer zu vermitteln, wie groß der

(energetische) Nutzen ist, den eine Änderung der

Fahrweise mit sich brächte,

den Anlagenfahrer gegebenenfalls beim Wechsel

vom aktuellen in den optimierten Betriebszustand

zu unterstützen.

Um den Nutzen des EEM-Systems einzuschätzen, sind

die Antworten auf zwei Fragen entscheidend:

Erlaubt die Lösung eine zuverlässige Ermittlung und

Bewertung der Möglichkeiten zur Energiekosten- beziehungsweise

Emissionsreduktion? Und wird dem Anlagenfahrer

die daraus abgeleitete Handlungsempfehlung

so vermittelt, dass er rasch und zielführend darauf reagieren

kann?

PRIORISIERUNG IST ZWINGEND ERFORDERLICH

Wesentliche Komponente jedes erfolgreichen EEM-Systems

ist ein Priorisierungsalgorithmus, der die maßgeblichen

Werthebel identifiziert. Diese Einstufung ist

zwingend erforderlich, damit sich die Betriebsmannschaft

auf die energieoptimierte Fahrweise jener Anlagenkomponenten

konzentrieren kann, die den größten

Nutzen verspricht. Gerade in komplexen Betrieben mit

vielen Hilfsaggregaten ist nur so ein Effizienzgewinn

ohne unzumutbare Mehrbelastung des Betriebspersonals

möglich. Nur wenn es gelingt, den Blick des Anlagenfahrers

auf die entscheidenden Komponenten zu

lenken, wird ganzheitliches EEM von Verbundanlagen

oder Standorten überhaupt möglich.

Dabei kann es durchaus sinnvoll sein, dem Anlagenfahrer

mehrere, hinsichtlich der Energiebilanz ähnliche

Alternativen anzubieten. So mag zum Beispiel die Nutzung

eines bestimmten Wärmetauschers in einer speziellen

Betriebssituation energetisch geringfügig überlegen

sein. Wenn diese Betriebsänderung aber zahlreiche Bedieneingriffe

erfordert und gegebenenfalls sogar die Prozessstabilität

vermindert, etwa infolge Wartungseingriff

oder Komponententausch, dann sprechen betriebliche

Gründe gegen die Änderung, solange die Energieeinsparungen

nicht signifikant sind. Es ist also wichtig, dem

Anlagenfahrer zu verdeutlichen, wie groß das Einsparpotenzial

ist, damit er Nutzen und Risiken abwägen kann.

Ein anderer Aspekt betrifft die Entwicklung der Anlage

selbst über den Lebenszyklus hinweg. Mit zunehmender

Größe und wachsender Komplexität des Betriebs

muss auch das EEM mitwachsen können. Was im Extremfall

mit einem kleinen Recorder-basierten System

beginnt, mag sich dabei über das Stadium einer Steuerung

durch eine Einzel-SPS bis zur Einführung eines

Prozessleitsystems entwickeln. Die Struktur des EEM-

Prozesses und damit oft auch die entscheidenden Hebel

für eine energieoptimierte Fahrweise bleiben dabei erhalten,

sodass es sinnvoll ist, dieses Wissen zu bewahren

und fortzuschreiben.

EINBINDUNG IN MES- UND ERP-EBENE

Verfügbarkeit und Beschaffungskosten von Energien

wie Elektrizität, Dampf oder Druckluft unterliegen gerade

in Großanlagen ständigen Schwankungen, sind

aber zugleich entscheidende Rahmenparameter des

EEM. Produktions- und Wartungsplanung, Absatz und

Lagerkapazitäten beeinflussen die Produktivität. Dies

macht eine weitgehende vertikale Integration des EEM-

Systems bis in die MES- und ERP-Ebene hinein wünschenswert

und nützlich. So könnten sich Handlungsempfehlungen

des EEM stets an aktuellen Gegebenheiten

im Unternehmen beziehungsweise am Standort

orientieren. Verwirklicht ist eine solche Integration

bisher oft nur in Ansätzen.

Autorin

M. Eng. Cathrin Janssen

ist tätig im Industrial

Automation Business

Development bei Yokogawa.

Yokogawa Deutschland GmbH,

Broichhofstr. 7-11, D-40880 Ratingen,

Tel. + 49 (0) 2102 498 34 63,

E-Mail: cathrin.janssen@de.yokogawa.com

18

atp edition

6 / 2012


Kosten senken und Steuern sparen – zertifiziertes

Energiemanagement steigert die Wirtschaftlichkeit

ISO DIN EN 50001 bildet die Grundlage – Softwarelösungen setzen Effizienzsteigerungen um

Energiemanagement-Software in der Praxis:

Die Daten zahlreicher Messstellen werden exakt und kontinuierlich

erfasst. Auf dieser Basis lassen sich Einsparpotenziale ermitteln

und konkrete Maßnahmen planen.

Verbrauchsprofil einer Messstelle:

Die Energiemanagement-Software von

Endress+Hauser stellt eine Vielzahl an

Analysemöglichkeiten zur Verfügung.

Integration von Zählimpulsen auf

den Ethernet-Systembus: Im beispielhaft

betrachteten Elektrostahlwerk wurden

zunächst Daten von Stromzählern, Sauerstoff-,

Stickstoff- und Argonmessungen sowie

Daten aus bestehenden Systemen in die

Energiemanagement-Software integriert.

Ein systematisches Vorgehen zur Reduzierung des

Energieverbrauchs zahlt sich doppelt aus: In der

Regel lassen sich die Kosten deutlich senken, zudem

können Unternehmen ab 2013 Nachlässe bei Energieund

Stromsteuern nur dann in Anspruch nehmen,

wenn sie durch ein zertifiziertes Energiemanagement-

System gemäß ISO DIN EN 50001 Energieeinsparungen

nachweisen. Dies sieht das Energiekonzept der Bundesregierung

vor.

Die Methodik zur Energieeinsparung mithilfe einer

Energiemanagement-Software, wie sie Endress+Hauser

anbietet, lässt sich gut am Beispiel eines Elektrostahlwerks

zeigen. Dort wird Stahlschrott mithilfe eines

Lichtbogens eingeschmolzen, dessen Erzeugung enorme

Energiemengen erfordert. Mit einem Bedarf von mehr

als 1 TWh pro Jahr steht dieser Kernprozess für zirka

80 Prozent des Stromverbrauchs. Der restliche Anteil

verteilt sich unter anderem auf die Sauerstoff- und

Drucklufterzeugung sowie die Walzstraße. Von diesen

rund 200 GWh Strom pro Jahr lässt sich oft ein großer

Teil einsparen, sodass unterm Strich die Kosten sinken

und die Effizienz der Produktion gesteigert wird.

DEN ANLAGENZUSTAND ANALYSIEREN

Dafür muss zunächst Transparenz geschaffen werden. Im

ersten Schritt ist es wichtig, den aktuellen Anlagenzustand

und die Energieflüsse zu kennen. Durch eine Bestandsaufnahme

werden in den Bereichen Energieerzeugung,

-verteilung und -verbrauch die energetisch relevanten

Daten aufgenommen. Bereits laufende Energiemessun-

20

atp edition

6 / 2012

gen werden bewertet, Energieverbraucher dokumentiert

und fehlende Energiemessstellen zusätzlich erfasst.

Bei einem Druckluftsystem werden beispielsweise

Kompressortyp und Leistung sowie der Systemzustand

dokumentiert. Für noch einzurichtende Energiemessstellen

werden alle notwendigen Umgebungs- und Prozessbedingungen

wie die Nennweite der Rohrleitung

aufgenommen. Der Einbauort wird zusätzlich mit einem

Foto dokumentiert.

Frühzeitig muss untersucht werden, ob und wie sich

jede Energiemessstelle später in eine Energiemanagement-Software

integrieren lässt. Auch Struktur und Verhältnisse

der Energieflüsse werden analysiert. Eine Bestandsaufnahme

über alle relevanten Versorgungsenergiekreisläufe

ist sinnvoll, um bei der späteren Konzepterstellung

erkennen zu können, in welchen Bereichen

die größten Einsparpotenziale und die kürzesten Amortisationszeiten

zu erwarten sind.

Im beispielhaft betrachteten Elektrostahlwerk wurden

etwa im Druckluftsystem die Druckluftmengen und Drücke

im Vorfeld temporär gemessen. Auf dieser Basis zeigten

sich vor allem im Bereich Druckluft zur Kühlung

erhebliche Einsparpotenziale. Durch eine übergreifende

Betrachtung wurden auch bei der Beleuchtung große

Einsparmöglichkeiten aufgedeckt.

Einfache Berichterstellung bringt

Transparenz: Über die Energiemanagement-

Software konnten Einsparungen in der

Druckluftmenge von durchschnittlich 53 Prozent

nachgewiesen und dokumentiert werden.

Controlling der

Energiedaten

Einsparungen

bis zu 20 %

Optimieren

Prozess

Transparenz

des Verbrauchs

Analyse der

Energiedaten

Einsparungen

bis zu 8 %

Energiedaten

erlassen

Systematisches Vorgehen bei der Reduzierung

der Energieverbräuche zahlt sich aus. Einen optimalen

Leitfaden zur Einführung eines Energiemanagementsystems

stellt die ISO DIN EN 50001 dar.

ENERGIEKONZEPT UND EFFIZIENZANALYSE

Die Erkenntnisse und Informationen aus der Bestandsaufnahme

fließen in die Erstellung eines ganzheitlichen

Energiekonzeptes mit ein. Über die Bewertung von bereits

installierten Energiemessstellen können bei Bedarf

Empfehlungen für einen Austausch der Messstellen getroffen

werden. Für noch einzurichtende Energiemessstellen

werden auf Basis der Umgebungs- und Prozessbedingungen

die geeigneten Messprinzipien ausgewählt.

Bei der Konzepterstellung werden neben der Auslegung

der Messstellen auch die notwendigen Komponenten

zur Integration in eine Energiemanagement-Software

kalkuliert. So können die Kosten zur Nachrüstung und

Integration der Energiemessstellen in einer frühen Phase

ermittelt werden. Das Energiekonzept enthält zusätzlich

Angaben zur Weiterverarbeitung und Auswertung

der Energiedaten. Beispiele hierfür sind die Berechnung

des Wirkungsgrades eines Dampfkessels oder eines

Druckluftsystems. Eine Effizienzanalyse liefert Angaben

zu Einsparpotenzialen und Amortisationszeiten der Einsparmaßnahmen

sowie Handlungsempfehlungen für die

Versorgungsenergiekreisläufe.

Sämtliche Informationen gehören zu einer Zertifizierung

gemäß ISO DIN EN 50001 und werden schriftlich

dokumentiert. Im Beispielfall des Elektrostahlwerkes

wurden als erster Schritt Maßnahmen im Bereich von

Druckluftleckagen und Druckluftverbraucher zur Kühlung

von Sensoren und Kameras vorgeschlagen.

ZUVERLÄSSIGE UND EXAKTE MESSWERTE NÖTIG

Erforderlich sind zuverlässige und genaue Energiemesswerte.

Wird beispielsweise bei einer Dampfmengenmessung

auf eine Druck- und Temperaturkompensation verzichtet,

können in der Praxis leicht Messfehler in einem

Bereich von rund 20 Prozent entstehen. Abhängig von

den Energiezielen eines Unternehmens und der Priorisierung

der Maßnahmen gilt es, Lücken in der Energiemessung

durch zusätzliche Messstellen zu schließen

oder in die Jahre gekommene Messstellen, welche die

geforderte Genauigkeit nicht mehr erreichen, zu ersetzen.

Mit jeder neuen Energiemessstelle erhöht sich die

Transparenz der Energieflüsse sowie der Energieverbräuche

im Unternehmen. Im Beispiel des Elektrostahlwerks

wurden im ersten Schritt neue Messstellen zur Ermittlung

des Sauerstoff-, Stickstoff- und Argonverbrauchs

installiert und diese in die Endress+Hauser-Energiemanagement-Software

integriert.

atp edition

6 / 2012

21


TRANSPARENZ AUF EINEN BLICK

Die Energiemanagement-Software bringt Transparenz

der Energieströme auf einen Blick. Offenheit, Flexibilität

und Modularität der webbasierten Software spielen

eine wichtige Rolle. Die Software lässt sich gezielt

an konkrete Funktionalitäten, Anwender und Messstellen

anpassen. Durch die Erstellung eines Energiekonzeptes

wird auf Basis der bestehenden Anlagentopologie

und der angestrebten Energieziele frühzeitig

eine geeignete Struktur im Hinblick auf flexible Erweiterbarkeit

geplant.

Über welche Quellen und Schnittstellen können Daten

in die Energiemanagement-Software einfließen?

Energiemessstellen aus der Feldebene können über Protokollwandler,

Datenspeicher oder speicherprogrammierbare

Steuerungen integriert werden. Werden bestehende

Messstellen beispielsweise bereits über Gebäude-

beziehungsweise Produktionsleitsysteme oder

Scada-Systeme erfasst, ist eine direkte Kopplung zwischen

diesen Systemen und der Energiemanagement-

Software möglich.

Werden Zähler noch nicht automatisch erfasst, können

Zählerstände auch manuell eingegeben werden. Zur Berechnung

von Energiekennzahlen wie Energieverbrauch

pro Einheit eines produzierten Produkts können Fakturierungsdaten

in die Energiemanagement-Software übertragen

werden. Um eine hohe Datensicherheit zu erreichen,

hat sich die Integration und Kopplung über CSV-

Dateien bewährt. Diese bieten den Vorteil, dass bei eventuellen

Ausfällen von Unternehmensnetzwerken keine

Datenverluste entstehen und Datenlücken automatisch

geschlossen werden, nachdem die Netzwerke wieder zur

Verfügung stehen.

DATEN WERDEN LÜCKENLOS ARCHIVIERT

Die lückenlose Archivierung von Energiedaten bildet

wiederum die Basis für weitere Analysen und Auswertungen.

Über das Berichtswesen können Energieinformationen

passend an die Zielgruppen von der Geschäftsführung

bis hin zum Anlagenbediener verteilt werden.

So wird ein hoher Informationsinhalt erreicht. Die kontinuierliche

Messung ermöglicht eine stetige Überwachung

der Prozesse und Systeme. Dabei unterstützt die

Energiemanagement-Software durch eine automatische

Alarmierung.

Eine Energiemanagement-Software erlaubt nicht nur

die Planung einer bedarfsgerechten Wartung und Instandhaltung,

sondern sichert auch nachhaltig die Produktionseffizienz

und -qualität. Im Fall des Elektrostahlwerkes

beispielsweise werden durch die Lastkontrollanlage

bereits sehr viele Daten wie Wirkleistung,

Scheinleistung und Schaltzeiten der Elektroöfen aufgezeichnet

und archiviert. Die Auswertung erfolgte zuvor

manuell monatlich. Weitere rund 250 Zähler wurden

monatlich manuell abgelesen, erfasst und ausgewertet.

In der ersten Ausbaustufe wurden Daten von 30 Stromzählern,

die Verbrauchsdaten der neu installierten Sauerstoff-,

Stickstoff- und Argonmessungen sowie Daten

aus bestehenden Systemen wie der Lastkontrollanlage

und Chargenprotokolle der Elektroöfen in die Energiemanagement-Software

integriert. Die Auswertung erfolgt

seitdem automatisch und mit einer enormen Zeitersparnis.

DRUCKLUFTVERBRAUCH SINKT UM 53 PROZENT

Durch eine Energiemanagement-Software und die erreichte

Transparenz kann der Energieverbrauch erfahrungsgemäß

schon mit einfachen Maßnahmen um etwa

6 bis 9 Prozent gesenkt werden. Weitere Einsparmöglichkeiten

lassen sich durch gezielte Analysen bestimmen.

So wurden im Elektrostahlwerk hohe Potenziale im Bereich

von Druckluftleckagen und im Verbrauch von

Druckluft zur Kühlung von Sensoren und Kameras festgestellt.

Im ersten Schritt wurden 1 800 Druckluftleckagen

ermittelt und 1 200 davon direkt eliminiert. Diese

Maßnahmen ergaben eine Kosteneinsparung von 120 000

Euro pro Jahr. Bei der Kühlung von Sensoren und Kameras

sorgen spezielle Druckluftdüsen nun für Einsparungen

von durchschnittlich 53 Prozent der Druckluftmenge.

Insgesamt wurden 80 Anwendungen optimiert. Das

Ergebnis dieser Maßnahmen sind jährliche Einsparungen

von 6,2 Millionen Normkubikmeter, was 850 000 kWh

und einem CO 2 -Ausstoß von 528 Tonnen entspricht. Hinzu

kommen als weiterer Vorteil ab 2013 noch die Rückerstattungen

bei den Energiesteuern.

Autor

Daniel Stolz

ist Marketingmanager

Prozessautomatisierung

bei Endress+Hauser.

Endress+Hauser Messtechnik GmbH+Co. KG,

Colmarer Straße 6, D-79576 Weil am Rhein,

Tel. +49 (0) 7621 97 58 21,

E-Mail: daniel.stolz@de.endress.com

22

atp edition

6 / 2012

Automatisierung

auf den Punkt

FORSCHUNG

BEST PRACTICE

EVENTS

Nutzen Sie das neue

Medienspektrum

• Der Nachrichtendienst atp!info ist die konsequente

Ergänzung zur Fachpublikation atp edition.

Sparen Sie Zeit und nutzen Sie das umfassende

Info-Angebot von atp!info gratis.

Trends

Branchennachrichten

für Experten

• Mit atp!info bietet Ihnen die atp-Redaktion

einen schnellen, digitalen Nachrichtenservice.

• Mit atp!info erfahren Sie direkt und komprimiert,

was die Automatisierungsbranche bewegt.

atp!info ist das moderne Info-Medium, das

Ihnen Nachrichten liefert und über das Sie

Nachrichten recherchieren können.

Rund um die Uhr

erstklassig informiert

• Branchenrelevante Meldungen laufend

aktualisiert – immer und überall.

• Umfangreiche Archivfunktionen für Ihre

persönlichen Recherchen.

Technologie

Jetzt

online:

www.atpinfo.de

Innovationen

Messen

PRODUKTE

Verfahren

Hochschulen

atp!info ist ideal für unterwegs und für

den Einsatz auf mobilen Endgeräten.

Entwicklungen

KARRIERE

atp!info-Team | Oldenbourg Industrieverlag GmbH | Rosenheimer Straße 145 | 81671 München


Neue Feldbus-Infrastruktur steigert Transparenz

und Betriebssicherheit in indischer Zuckerfabrik

Mit Field Connex wurden Planung, Installation und Implementierung entscheidend beschleunigt

Die Zuckerraffinerie Shree

Renuga Sugar setzt den Fernzugriff

konsequent für alle Feldinstrumentierung

ein und erreicht damit eine bessere

Anlagenverfügbarkeit bei reduzierten

Instandhaltungskosten.

Mit Farben der NAMUR-Ampel nach

NE 107: die Oberfläche, um die Feldbusphysik

intakt und performant zu erhalten.

Vorverdrahtet und

installationsbereit:

Die Junction Box mit

Segment Protector

verbindet die Feldgeräte

mit dem Feldbustrunk.

Nach zwei Wochen erfolgloser Fehlersuche in einer

Zuckerraffinerie wurde man beim indischen Unternehmen

Shree Renuga Sugars auf das Advanced Diagnostic

Modul von Pepperl+Fuchs aufmerksam. Damit

konnte die Ursache des Problems im Handumdrehen

ermittelt werden. Grund genug für den indischen Zuckerhersteller

bei einer neuen Fabrik auf Foundation

Fieldbus H1 und vor allem Field Connex-Komponenten

von Pepperl+Fuchs zu setzen.

Shree Renuga Sugars Ltd. ist in der Zuckerverarbeitung

und der Herstellung von Bioenergie und Düngemitteln

tätig. Das 1998 in Mumbai gegründete Unternehmen gilt

als der fünftgrößte Zuckerproduzent der Welt und betreibt

neben acht Produktionsstandorten in Indien vier

Zuckerfabriken in Brasilien.

MODERNE PRODUKTIONSTECHNOLOGIE

Ein Beispiel für die moderne Produktionstechnologie von

Shree Renuga Sugar ist die Haldia-Zuckerraffinerie im

indischen Bundesstaat Westbengalen. Wie an allen anderen

Standorten beruht auch hier die Prozesssteuerung auf

einer Profibus-PA-Infrastruktur aus 15 Feldbus-Segmenten

in Verbindung mit einem Siemens-Automationssystem.

Pepperl+Fuchs war den Managern von Shree Renuga

Sugars lediglich als Lieferant von Näherungsschaltern

ein Begriff. Diese wurden vom Unternehmensbereich

Fabrikautomation geliefert und für zahlreiche Überwachungsaufgaben

innerhalb der Produktionsprozesse eingesetzt.

Doch dann sorgte ein schlichter Kabelfehler für

weitreichende neue Erkenntnisse.

Der erste Kontakt zwischen Shree Renuga Sugars mit

dem Bereich Prozessautomation von Pepperl+Fuchs war

ein Anruf von Senior Manager Instrumentation Haribabu.

Es ging um zwei Feldbus-Segmente in der Haldia-

Raffinerie, deren Instrumente einfach nicht in den Anzeigen

des Systems auftauchen wollten. Ganze zwei

Wochen hatte man nach der Ursache des Problems gesucht,

ohne des Rätsels Lösung zu finden. Doch dann

kam das Stichwort Advanced Diagnostics auf, und es fiel

der Name Pepperl+Fuchs.

SCHNELLE LÖSUNG MIT ADVANCED DIAGNOSTICS

Haribabu zögerte nicht lange und beauftragte den technischen

Service von Pepperl+Fuchs, sich des seltsamen

Problems anzunehmen. Also rückte ein Servicetechniker

der indischen Pepperl+Fuchs-Niederlassung an,

24

atp edition

6 / 2012

packte sein mobiles Advanced Diagnostic Modul (ADM)

aus und wurde schon nach kurzer Zeit fündig. Er analysierte

die Situation mithilfe des Expertensystems, tippte

auf ein bestimmtes Kabel als Problemursache und sollte

recht behalten. Das Kabel wurde ausgetauscht und sofort

erschienen alle Feldgeräte innerhalb des Segments wieder

im System. Im zweiten Feldbus-Segment wiederholte

sich der Ablauf. Auch hier lag kein Gerätefehler vor,

sondern schlicht und einfach eine fehlerhafte Kabelverbindung.

In einem Fall war es ein Massefehler, im anderen

ein extrem hoher Störpegel, der dem Nutzsignal keine

Chance ließ.

Dank Advanced Diagnostics war innerhalb weniger

Stunden ein Problem gelöst worden, das zuvor ein ganzes

Team wochenlang beschäftigt hatte. Die Ingenieure und

Techniker waren begeistert, und man entschloss sich

spontan, den Serviceauftrag auf alle übrigen Segmente

der Anlage zu erweitern. Außerdem wurde umgehend

ein mobiles ADM bestellt, um künftigen Problemen mit

der physikalischen Feldbusebene ebenso schnell auf die

Spur kommen zu können.

HÖHERE TRANSPARENZ UND BETRIEBSSICHERHEIT

Für Haribabu und sein Team musste die Situation ein

echter Augenöffner gewesen sein. Er hatte erkannt, welche

ungeahnten Möglichkeiten Advanced Diagnostics

zu bieten hat und wollte umgehend Näheres über den

aktuellen Stand der Feldbus-Technologie erfahren. Daher

besuchte er eine Schulung, wie sie Pepperl+Fuchs

allen Interessierten aus der Prozessindustrie anbietet,

um das Bewusstsein für busgestützte Systeme in der

Prozessautomation zu erweitern. Dabei wurde Haribabu

auf die Field Connex-Feldbusinfrastruktur von Pepperl+Fuchs

aufmerksam. Er erkannte, dass diese Produktreihe

konsequent darauf ausgelegt ist, Planung,

Installation und Implementierung einer Feldbus-Infrastruktur

entscheidend zu beschleunigen. Und er sah

sofort, wie diese Hardwarebasis während des gesamten

Lebenszyklus der Prozessanlage zu mehr Transparenz,

Betriebssicherheit und Verfügbarkeit beiträgt. Eigenschaften,

die jeden Prozessverantwortlichen aufhorchen

lassen.

KONSEQUENT DIGITALISIERTE PROZESSANLAGE

Die neu gewonnenen Erkenntnisse sollten sich schnell

bezahlt machen. Haribabu musste nämlich wenig später

die Feldinstrumentierung eines völlig neuen Werkes umsetzen,

das Shree Renuga Sugars im westindischen Bundesstaat

Gujarat errichtete.

Dort entstand eine konsequent digitalisierte Prozessanlage,

bei der gezielt der neueste Entwicklungsstand in

der Prozessautomation umgesetzt werden sollte. Die Prozesssteuerung

erfolgt über ein Automatisierungssystem

von Yokogawa. Die Prozessinstrumentierung wird über

Foundation Fieldbus H1 angebunden. Spezielle Feldgeräte,

wie Frequenzumrichter-Antriebe laufen über Profibus

DP, während alle Sensoren, Aktoren und die einfachen

I/Os über einen AS-I-Bus angeschlossen sind.

Nachdem ihn Advanced Diagnostics und Field Connex

überzeugt hatten, entschied sich Shree Renuga Sugars,

am Standort Gujarat zusätzlich zu den Näherungsschaltern

erstmals auch Field Connex von Pepperl+Fuchs

einzusetzen. „Installation und Inbetriebnahme verliefen

einfach reibungslos“, lautete Haribabus Kommentar, als

er diesen neuen Ansatz zur Feldbus-Kommunikation mit

dem verglich, was er bisher erlebt hatte.

Wobei in diesem Zusammenhang interessant ist, dass

Pepperl+Fuchs in einer engen strategischen Kooperation

mit Yokogawa steht. Diese Kooperation hat unter anderem

zu einer direkten Integration des Advanced-Diagnostic-

Moduls in die Yokogawa-Prozesssteuerung geführt. Und

daraus entstanden unter anderem speziell an die Yokogawa-Steuerung

angepasste Power Hubs. Sie sind mit

speziellen Steckverbindern ausgerüstet, die nicht nur den

Installationsaufwand minimieren, sondern auch deutlich

weniger Platz im Schaltschrank beanspruchen.

Die Kooperation zwischen Yokogawa und

Pepperl+Fuchs half auch beim Aufbau der Produktionsanlage

von Shree Renuga Sugars in Gujarat: Alle

Pepperl+Fuchs-Komponenten wurden über Yokogawa

geliefert und vor Ort montiert.

EINFACHE MONTAGE UND WARTUNG

Pepperl+Fuchs lieferte Power Hubs und Segment-Protektoren

aus seinem Field Connex-Portfolio sowie AS-I-Interface-Module

und Repeater. Diese Feldbusinfrastrukturkomponenten

erlauben nicht nur eine problemlose

Realisierung der erforderlichen Eigensicherheit in explosionsgefährdeten

Bereichen. Sie bieten auch praxisgerechte

und zeitsparende Montagetechniken und tragen mit

intelligenten Lösungen zu einer problemlosen Wartung

bei. So ist zum Beispiel bei einem Modulaustausch keinerlei

Konfigurationsaufwand erforderlich. Stattdessen

erkennt der Controller, dass ein baugleiches Ersatzmodul

eingesetzt wurde, und weist diesem automatisch die richtige

Adresse zu. Außerdem lässt sich die Netzwerktopologie

beliebig festlegen und jederzeit zum Beispiel durch

zusätzliche Abzweige erweitern.

Dazu kommen natürlich die weitreichenden Diagnosefähigkeiten

von Advanced Diagnostics, die die gesamte

physikalische Feldbusebene umfassen und sich selbst

auf den einfachsten Sensor erstrecken.

Mit den Field-Connex-Feldbuskomponenten wurden

also im neuen Werk Gujarat von Shree Renuka Sugars

gleich von Anfang an optimale Voraussetzungen geschaffen,

um die gesamte Infrastruktur zur Prozesssteuerung

im Auge zu behalten und eine zeitaufwendige Fehlersuche

zu vermeiden.

Autor

Andreas Hennecke

ist Produkt Marketing

Manager im Geschäftsbereich

Prozessautomation

bei Pepperl+Fuchs.

Pepperl+Fuchs GmbH,

Lilienthalstrasse 200, D-68307 Mannheim,

Tel. +49 (0) 621 776 16 01,

E-Mail: ahennecke@de.pepperl-fuchs.com

atp edition

6 / 2012

25


Zentrales Engineering Tool erleichtert

As-built-Dokumentation und asynchrone Planung

Konsistente Anlagendaten trotz Um- und Anbauten mit Engineering Base von Aucotec

Übersichtlich: Eine gemeinsame Datenbasis für verschiedene Engineering-Disziplinen

verknüpft die Prozesse konsistent und schafft Synergien.

Das Lifecycle-Management von Anlagen macht es

immer erforderlich, die aktuelle Dokumentation

einer Anlage greifbar zu haben, trotz oder gerade wegen

häufiger Umbauplanung und Wartungsarbeiten.

Diese „As-built“-Dokumentation sollte den Zustand

der Anlage so genau wie möglich zeigen. Unterschiedliche

Disziplinen, etwa Rohrleitungsplanung, Instrumentierung

und Planung der Prozessleitsysteme (PLS)

sowie Sub-Lieferanten müssen hierbei koordiniert

miteinander arbeiten und ihre Ergebnisse zusammenführen.

Dabei ist unbedingt sicherzustellen, dass auf

unterschiedlichen Dokumenten sowohl dieselben Geräte

als auch derselbe Ergebnisstand dargestellt sind.

Mit einer inhomogenen Toollandschaft ist eine zuverlässige

As-built-Dokumentation nicht effizient zu leisten.

Selbst ein enormer Aufwand gewährleistet nicht

die Konsistenz bei der Zusammenführung der Daten

aus den verschiedenen Disziplinen.

Fast jeder Lebenszyklus einer Anlage erfordert mittelbis

langfristige Planungsprojekte für Umbauten. Dies

macht das gleichzeitige Sicherstellen des aktuellen „Asbuilt“-Stands

einer Anlage sehr komplex. Häufig überlappen

sich solche Prozesse zeitlich, außerdem werden

Teilprojekte an Sub-Lieferanten ausgelagert. Aufwendige

Abstimmungsprozesse, Missverständnisse oder unterschiedliche

und falsche Daten sind vorprogrammiert.

Das führt zu Verzögerungen und verursacht zusätzliche

Kosten.

INTEGRATION ÜBER ZENTRALE DATENBANK

All diese Anforderungen können erfolgreich gelöst

werden, wenn das verwendete Tool in der Lage ist, Engineering,

Daten-Management und Dokumentation in

einem interdisziplinären, integrierten Ansatz zu kombinieren.

Ein charakteristisches Merkmal dieser Tools

ist der Besitz eines virtuellen Anlagenmodells. Jeder

echte Artikel der Anlage ist durch genau ein Objekt im

Modell repräsentiert.

Eines der wenigen Systeme, die das bisher können,

ist das Software-System Engineering Base (EB) von Aucotec.

Sein Grundkonzept basiert auf einer mehrschichtigen

Systemarchitektur mit zentraler Datenbank als

Basis aller Informationen. Mit diesem Grundprinzip

bietet die Software verschiedene Lösungen für Engineering

und Wartung sowohl in der Prozesstechnik als

auch im Maschinen- und Anlagenbau, der Energiever-

26

atp edition

6 / 2012

sorgung und der Kabelstrangentwicklung für mobile

Systeme. Basierend auf der besonderen Dreischicht-

Architektur lassen sich mit diesem System asynchrone

Planungsprozesse konsistent realisieren.

VON JEDEM OBJEKT NUR EINE DARSTELLUNG

Die erste Schicht bildet der SQL-Server von Microsoft, der

als eines der sichersten Datenbanksysteme gilt. Er enthält

sämtliche Engineering-Informationen. Dabei ist gewährleistet,

dass die unterschiedlichen Verknüpfungen der

Daten erhalten bleiben. Nichts wird separiert oder liegt

herausgelöst in schlichten Files. Das Datenmodell ist absolut

komplett. Sämtliche Geräte und Vorschriften sowie

die Daten korrespondierender Autorensysteme wie 3D-

CAD oder Steuerungssoftware-Codes sind darin abgelegt.

Jedes Objekt kommt dabei nur einmal vor, der Anwender

kann diese Objekte aber in beliebiger Darstellung aufrufen

und bearbeiten. Egal, ob in Explorer, Grafik oder Tabelle

gearbeitet wird, jede Änderung erscheint automatisch

auch in den anderen Ansichten.

Der Application Server bildet die zweite Schicht. Er

sorgt für eine große Entlastung von Netz und Traffic.

Mit dieser Systematik sparen sich die Nutzer das Laden

sämtlicher Pläne, wenn sie eigentlich nur eine Liste

aller Messstellen benötigen.

Stattdessen stellt die Client-Ebene die Anfrage an den

Application Server, der die Daten aus dem SQL-Server

zieht, die Rechenleistung übernimmt und die Informationen

an die Nutzer „weitergibt“. Sie bilden die dritte

Schicht in diesem Modell. Diese Konstellation ermöglicht

es, die Anwendung vom Einzelplatz bis zur globalen

Unternehmenslösung auszuweiten. So kann simultan

und von verschiedenen Abteilungen, auch von

weltweit verteilten Standorten aus, an dem Datenmodell

gearbeitet werden. Intelligente Updateroutinen unterstützen

zusätzlich den konstanten Überblick über alle

Änderungen und Weiterentwicklungen.

„AS-BUILT“: AKTUELL TROTZ UM- UND ANBAU

Bei Um- und Anbauprojekten größeren Umfangs lassen

sich mit dem beschriebenen Tool die Daten entsprechender

Teilprojekte zur separaten Bearbeitung auslagern,

ohne den aktuellen Stand der Anlagendokumentation zu

beeinträchtigen. Wer im ursprünglichen „As-built“-Projekt

arbeitet, wird gezielt auf Auslagerungen hingewiesen.

Dies geschieht in Grafik und Objektbaum des „As-built“-

Projektes und in den verschiedenen Assistenten, vom

Verdrahtungsmanager bis hin zur Zuordnungs-Unterstützung

für die SPS-I/Os.

In einem ersten Schritt, der Reservierung, lassen sich

aus dem „As-built“-Projekt über einen Manager die gewünschten

Daten ziehen. Alle Elemente, bei denen die

Attribute „Reserviert“ und „Export“ bestätigt sind,

zeigt der Objektbaum des Zielprojekts an. Reservierte

Objekte können sowohl Betriebsmittel, also Geräte, Kabel

und Einbauorte sein als auch Funktionen und Dokumente.

Beim Reservieren berücksichtigt das System

während der Daten-Zusammenstellung auch die logischen

Zusammenhänge. Soll beispielsweise ein ganzer

Schrank umgebaut werden, wählt Engineering Base

automatisch alle Pläne aus, die Elemente dieses Schrankes

enthalten. Wird ein Ort reserviert, werden alle Objekte

unterhalb mit einbezogen, bei Reservierung eines

Gerätes auch alle Sub-Geräte.

Im zweiten Schritt legt der Planer den Exportumfang

fest, der flexibel konfigurier- und erweiterbar ist. Hier

wird bestimmt, ob der Reservierungsumfang als Informationsbasis

ausreicht oder ob Zusatzinformationen

zum Überblick über die Rahmenbedingungen in der

Anlage notwendig sind, etwa ein R&I-Schema oder eine

Raumansicht des Schaltschrankstandortes. Eine Reihe

von Optionen unterstützt die Projekteure dabei. So lässt

sich angeben, ob die Kabelziele der Unterelemente mit

berücksichtigt werden sollen, ob ein Zielprojekt parallel

zum Quellprojekt separat angelegt oder als Transportcontainer

abgelegt werden soll.

Während im „As-built“-Projekt alle reservierten Elemente

zu erkennen sind, ist es beim zu bearbeitenden

Zielprojekt genau umgekehrt. Die ausgelagerten Elemente

sind unmarkiert, alle zusätzlich exportierten

Daten werden gekennzeichnet.

KONKURRENZLOS: Konsistente Datenintegration

Wenn nach der Umbauplanung das modifizierte Projekt

wieder importiert wird, hilft ein spezieller Synchronisations-Manager

bei der konsistenten Integration der Daten

in den neuen, aktuellen „As-built“-Stand der Anlagendokumentation.

Der Abgleich funktioniert interaktiv, das

heißt, der zuständige Projekteur behält die Kontrolle über

die Änderungen, die er annimmt. Denn auch wenn es um

Automatisierung geht: Kein Anlagenbetreiber oder Planer

sollte sich dieses „letzte Wort“ aus der Hand nehmen lassen.

Über die Diskrepanzliste führt Engineering Base den

Anwender und weist gezielt auf jede Neuerung und Unstimmigkeit

hin. Diese Vorgehensweise ist bislang einzigartig,

kein anderes System ist zu einer derart kontrollierten

Datenintegration und damit zu einer solch

konsistenten „As-built“-Dokumentation in der Betriebsphase

in der Lage. Dies ermöglichen die beschriebene

Datenbankbasierung und die frei skalierbare Dreischicht-Architektur.

EINFACH (MACHT) SCHNELL

Während die „As-built“-Dokumentation in dieser Form

eine neue Fähigkeit ist, die das Unternehmen auf der

Fachmesse Achema erstmals offiziell vorstellt, ist die

Software bereits einige Jahre im Einsatz. Gerade für die

in der Prozessindustrie übliche Massendaten-Verwaltung

kann die Technologie des Systems mehr Effizienz erreichen,

zumal hier besonders die Beliebigkeit der Bearbeitungs-Ansicht

zum Tragen kommt. Die Tausenden von

Mess- und Regelstellen lassen sich auch rein alphanumerisch

bearbeiten, eine grafische Darstellung ist dazu nicht

Voraussetzung.

Bei der Komplexität der Planungsaufgaben in prozesstechnischen

Anlagen und den unterschiedlichen Her-

atp edition

6 / 2012

27


Export-Manager: für die Auslagerung

von Teilprojekten bei Um- und Ausbauten

Markierte Auslagerungen

Dreischichtarchitektur von

Engineering Base: Zwei Server-,

eine Client-Ebene. Bilder: Aucotec

angehensweisen der beteiligten Fachleute kann das

Handling eines Tools, das dies alles abdecken muss,

sehr kompliziert sein. Ziel der EB-Entwickler war daher

eine möglichst einfache Handhabung. So integrierten

sie die weitverbreiteten Microsoft-Komponenten Visio,

SQL-Server und VBA/.NET, die für intuitives Arbeiten

nach den Gewohnheiten aus der Office-Welt sorgen.

Viele Anwender bescheinigen dem System eine bemerkenswert

kurze Einführungsphase. So auch Gunter

Hadwiger, Abteilungsleiter EMSR beim österreichischen

Anlagenbauer Kanzler VT: „Für spezifische Anforderungen,

etwa die Integration der unternehmenseigenen

Stoffbilanz, wurden von der Projektierungstruppe

eigene Objekte in kürzester Zeit und ohne Aufwand

oder Vorkenntnisse erstellt.“ Dies bestätigt auch Gunnar

Sandström, zur Einführung von EB als Senior Systems

Engineer zuständig für die Verbesserung technischer

Prozesse im Bereich Minerals/Metals and Mining bei

ABB Rolling Mills in Schweden.

„Wir wollten einen vollständigen ‚Werkzeugkasten‘,

ohne selbst Werkzeugexperten sein zu müssen oder solche

anzufordern. Mit einem Minimum an Schulung

schnell produktiv werden, das schafft Engineering

Base.“ Die schnelle Einarbeitung lag auch der Holcim

(Deutschland) AG am Herzen. „Dass wir mit Visio, VBA

und dem SQL-Server arbeiten können, hat nicht nur den

Einarbeitungsprozess stark beschleunigt. Durch die

bekannten Arbeitsweisen geht auch die Alltagsarbeit

schneller von der Hand“, sagt Martin Wieczorek, Projektleiter

CAE im Werk Lägerdorf.

Autor

martin Imbusch ist

Produktmanager bei

der Aucotec AG. Er war

maßgeblich an der

Entwicklung Engineering

Base beteiligt.

Aucotec AG,

Oldenburger Allee, D-30659 Hannover,

Tel. +49 (0) 511 610 30,

E-Mail: mim@aucotec.com

28

atp edition

6 / 2012

atp edition

als Heft

oder

als ePaper

Die Referenzklasse für die

Automatisierungstechnik

Erfahren Sie auf höchstem inhaltlichen Niveau, was die

Automatisierungsbranche bewegt. Alle Hauptbeiträge

werden in einem Peer-Review-Verfahren begutachtet,

um Ihnen maximale inhaltliche Qualität zu garantieren.

Sichern Sie sich jetzt dieses erstklassige Lektüreerlebnis.

Als exklusiv ausgestattetes Heft oder als

praktisches ePaper – ideal für unterwegs, auf mobilen

Endgeräten oder zum Archivieren.

Gratis für Sie: Das Handbuch der Prozessautomatisierung

Die 4. Aufl age dieses Handbuchs vermittelt in stringenter Struktur das essentielle Wissen zur

Planung automatisierungstechnischer Einrichtungen für verfahrenstechnische Anlagen und hat

sich in der Branche als Standardnachschlagewerk etabliert.

Für Qualität und Praxisnähe in der Darstellung steht das Autorenteam von 50 ausgewiesen und

anerkannten Experten auf Ihren Arbeitsfeldern.

atp edition erscheint in der Oldenbourg Industrieverlag GmbH, Rosenheimerstr. 145, 81671 München

Oldenbourg-Industrieverlag

www.atp-online.de

Vorteilsanforderung per Fax: +49 (0) 931 / 4170 - 492 oder im Fensterumschlag einsenden

Ja, ich möchte atp edition regelmäßig lesen. Bitte schicken Sie mir die Fachpublikation fü r

zunächst ein Jahr (12 Ausgaben)

□ als Heft fü r € 468,- zzgl. Versand (Deutschland: € 30,- / Ausland: € 35,-)

□ als e-Paper (PDF-Datei als Einzellizenz) fü r € 468,-

□ als Heft + e-Paper (PDF-Datei als Einzellizenz) fü r € 638,40 (Deutschland) / € 643,40 (Ausland)

Als Dankeschön erhalte ich das „Handbuch der Prozessautomatisierung“ gratis.

Nur wenn ich nicht bis von 8 Wochen vor Bezugsjahresende kü ndige, verlängert sich der Bezug um ein Jahr.

Die sichere, pü nktliche und bequeme Bezahlung per Bankabbuchung wird mit einer Gutschrift von € 20,-

auf die erste Jahresrechung belohnt.

Firma/Institution

Vorname/Name des Empfängers

Straße/Postfach, Nr.

Land, PLZ, Ort

Telefon

Telefax

Antwort

Leserservice atp

Postfach 91 61

97091 Würzburg

E-Mail

Branche/Wirtschaftszweig

Bevorzugte Zahlungsweise □ Bankabbuchung □ Rechnung

Bank, Ort

Bankleitzahl

✘

Kontonummer

Widerrufsrecht: Sie können Ihre Vertragserklärung innerhalb von 14 Tagen ohne Angabe von Gründen in Textform (Brief, Fax, E-Mail) oder durch

Rücksendung der Sache widerrufen. Die Frist beginnt nach Erhalt dieser Belehrung in Textform. Zur Wahrung der Widerrufsfrist genügt die rechtzeitige Datum, Unterschrift

PAATPE0112

Absendung des Widerrufs oder der Sache an den Leserservice atp, Postfach 91 61, 97091 Würzburg.

Nutzung personenbezogener Daten: Für die Auftragsabwicklung und zur Pfl ege der laufenden Kommunikation werden personenbezogene Daten erfasst, gespeichert und verarbeitet. Mit dieser Anforderung erkläre ich mich damit einverstanden, dass ich vom

Oldenbourg Industrieverlag oder vom Vulkan-Verlag □ per Post, □ per Telefon, □ per Telefax, □ per E-Mail, □ nicht über interessante Fachangebote informiert und beworben werde. Diese Erklärung kann ich mit Wirkung für die Zukunft jederzeit widerrufen.

hauptbeitrag

Diagnosefähige Aktorik in

sicherheitsgerichteten Kreisen

Ein Vergleich von Architekturkonzepten

Für Feldgeräte in sicherheitstechnischen Kreisen ist es entscheidend, zur Vermeidung

systematischer Fehler den Sicherheitslebenszyklus entsprechend DIN EN 61511 und

DIN EN 61508 zu implementieren. In diesen Normen finden sich klare Forderungen nach

definierten Prozeduren, regelmäßigen Überprüfungen sowie einer Dokumentation der

erzielten Ergebnisse bis hin zur Analyse und de daraus resultierenden Maßnahmen. Diese

organisatorischen Forderungen können durch Instrumentierung entsprechend dem

derzeitigen Stand der Technik wirkungsvoll unterstützt werden. Für den Bereich der

Stellgeräte sind Konfigurationen mit marktgängigen Komponenten möglich. Neben einem

erhöhten Automatisierungsgrad, insbesondere für die Phasen der Validierung, wiederkehrenden

Prüfung und Prüfung im laufenden Betrieb, können diese sogar die Installationen

vereinfachen. Aufbauend auf den Forderungen der Normen werden in diesem

Beitrag entsprechende Architekturen vorgestellt und ein Ausblick auf die Einbindung in

Arbeitsabläufe gegeben.

SCHLAGWÖRTER DIN EN 61511, Partial Stroke Test / Wiederkehrende Prüfung /

Sicherheitslebenszyklus / Automatisierte Prüfverfahren / Stellgeräte

Control Valves with Diagnostic Functions in Safety-instrumented Systems –

A Comparison of Architectures

Implementing the safety life cycle according to IEC 61511 and IEC 61508 is decisive in

preventing systematic failures in field units installed in safety-instrumented systems. In

these standards, clear requirements for defined procedures, regular testing, documentation

of test results, failure analysis and resulting actions are stipulated. Modern instrumentation

is an important means of implementing the safety life cycle. In the field of

control valves the required accessories are readily available on the market. In addition to

the higher degree of automation for validation, proof testing and online testing while a

process is running, these control valves may even be simpler in their hook-up.

KEYWORDS IEC 61511 / partial stroke test / proof test / safety life cycle / automated

testing / control valves

30

atp edition

6 / 2012

Thomas Karte, Samson

Bernd Schäfer, Hima

Um Stellgeräte in Anlagen der Prozessindustrie

im laufenden Betrieb zu testen, wird seit einigen

Jahren das Verfahren des Partial Stroke

Testing (PST) viel diskutiert. Dabei wird die

betreffende Armatur um eine begrenzte Strecke

bewegt; einerseits soll durch diese Bewegung die

Funktionsfähigkeit nachgewiesen werden, andererseits

wird durch eine Wegbegrenzung sichergestellt, dass der

laufende Prozess nicht beeinträchtigt wird. Schon länger

bekannt sind Vorgehensweisen, bei denen eine mechanische

Verblockung benutzt wird. Der Test wird dann

durch manuelles Abziehen des Steckers am Magnetventil

ausgelöst. Inzwischen sind jedoch Feldgeräte verfügbar,

die diesen Test automatisch durchführen. Insbesondere

Stellungsregler verschiedener Hersteller bieten eine

solche Möglichkeit. Diese Technologie gilt inzwischen

als ausgereift. Ursprüngliche Sorgen, zum Beispiel bezüglich

eines Überschwingens des Ventils und einer

damit verbundenen Störung des laufenden Betriebs der

Anlage, sind widerlegt.

Trotz dieser technischen Fortschritte und trotz des

hohen potenziellen Nutzens werden die Möglichkeiten

des Online-Testens noch wenig genutzt. Es hat sich gezeigt,

dass nicht nur die Gerätetechnik des speziellen

Feldgeräts (Stellungsregler) sondern die gesamte Einbindung

in Anlagenstruktur und Arbeitsorganisation über

die Machbarkeit und den Erfolg des Verfahrens entscheiden.

Der Beitrag erläutert den Stand der Technik bezüglich

dieser Aspekte.

1. Anwendung

Eine sehr gute Übersichtsdarstellung zu den Anforderungen

an Test- und Diagnoseverfahren in sicherheitsgerichteten

Kreisen findet sich zum Beispiel in [1]. Eine

umfassende Behandlung etwa der Auswirkungen des

Partial Stroke Testing auf die Verfügbarkeit (Probability

of Failure on Demand – PFD) ist in [2] nachzulesen. Eine

Betrachtung zur Kategorisierung der Test- und Diagnoseverfahren

wird in [3] gegeben. Insgesamt fällt auf, dass

sich die Betrachtungen durchgängig mit den Auswirkungen

der Testverfahren auf die Rate der zufälligen

Fehler befassen. Wichtig erscheint aber, das gesamte

Anforderungsprofil aus DIN EN 61511 zu verstehen und

daraus entsprechende Schlussfolgerungen für den Einsatz

von Testverfahren abzuleiten. Die Diskussionen und

Veröffentlichungen der letzten Jahre haben die Bedeutung

von systematischen Fehlern, insbesondere für Aktorik

und damit Stellgeräte, in den Mittelpunkt gestellt

[4, 9, 1]. Entsprechend der Norm werden systematische

Fehler und zufällige Fehler unterschieden (Bild 1).

Kann die Ursache eines Fehlers – und sei es nur nach

einem entsprechenden Vorfall – klar festgestellt werden

und lassen sich Maßnahmen ergreifen, die einen solchen

Fehler zuverlässig verhindern, so handelt es sich um

einen systematischen Fehler. Hierunter fällt für Stellgeräte

zum Beispiel die richtige Dimensionierung, die

Auslegung für den Einsatzfall entsprechend Medienverträglichkeit,

Druck- und Temperaturverhältnissen sowie

die Beachtung der Umgebungsbedingungen [5]. Das entscheidende

Werkzeug zur Beherrschung systematischer

Fehler ist die Einführung eines Sicherheitslebenszyklus

(Functional Safety Management System – FSM). Bild 2

verdeutlicht die Forderung nach einer geregelten Vorgehensweise,

die Schritt für Schritt eine systematische

Abarbeitung einzelner Phasen wie Sicherheitsanalyse,

Definition der Anforderungen, Definition der Auslegung,

geordnete Implementierung, Validierung bis hin

zur definierten Vorgehensweise für Betrieb und Wartung

vorsieht. Eine eingehende Erörterung dieser Aspekte

findet sich in [4]. Werden alle geforderten Schritte eingehalten,

so ist davon auszugehen, dass systematische

Fehler auf ein Minimum reduziert sind. Das verbleibende

Risiko – unerkannte systematische Fehler – wird

entsprechend Bild 1 durch drei Mechanismen eingegrenzt,

nämlich durch:

Diagnose oder Tests,

Fail-Safe-Verhalten der eingesetzten Geräte – wenn

Ausfall, dann in die sichere Richtung,

Redundanz, bevorzugt diversitäre Redundanz.

atp edition

6 / 2012

31

Hauptbeitrag

Schon diese Betrachtungsweise macht jenseits jeder Wahrscheinlichkeitsbetrachtung

die Bedeutung von Diagnose

und Tests, insbesondere im laufenden Betrieb, klar. Aufbauend

auf der Sicherheitsanalyse werden sicherheitsgerichtete

Kreise implementiert. In der überwiegenden

Mehrzahl der Fälle ist es Aufgabe der in diesen Kreisen

installierten Stellgeräte, im Falle einer Anforderung eine

Rohrleitung abzusperren oder freizugeben. Die Überprüfung

der Funktionsfähigkeit dieser Stellgeräte im laufenden

Betrieb kann zur Aufdeckung bisher nicht erkannter

systematischer Fehler führen. Das wird an einem einfachen

Beispiel verdeutlicht: Berücksichtigt die Antriebsauslegung

eines Stellgeräts nicht alle Betriebsphasen, so

mag die Validierung (also der Funktionstest der Armatur)

im Rahmen der sogenannten Wasserfahrt noch einwandfreie

Funktionalität signalisieren. Das Festsitzen der Armatur

während einer kritischen Betriebsphase, zum Beispiel

wegen kritischer Medien oder falsch eingeschätzter

Druckverhältnisse an der Armatur, lässt sich aber nur über

den Beweglichkeitstest im laufenden Betrieb erkennen.

Einige Anforderungen, die sich im Sicherheitslebenszyklus

ergeben und in den Normen explizit aufgeführt

sind, seien kurz zitiert: Durchgängig wird eine strukturierte

Vorgehensweise gefordert, das heißt, es müssen

nach DIN EN 61511 Kapitel 15 und 16, sowie VDI 2180-3

und VDI 2180-5 [6, 7, 8]:

definierte Prozeduren vorhanden sein, die reproduzierbar

durchgeführt werden können,

die Prozeduren dokumentiert werden,

das Ergebnis von Prüfungen dokumentiert werden,

sowohl im Falle eines Fehlers als auch im Fall einwandfreier

Funktion,

die Testergebnisse analysiert und Schlussfolgerungen

für mögliche Verbesserungen gezogen werden,

alle Betriebsphasen in den Tests berücksichtigt werden,

Stellgeräte unter Betriebsbedingungen geprüft werden,

insbesondere bei vollem Betriebsdruck.

Besonders die letzten beiden Forderungen sind durch

die oft geübte Praxis – Test des Sicherheitskreises durch

Funktionstest bei abgestellter Anlage – sicherlich nicht

erfüllt. Insgesamt verdeutlicht die Aufzählung, dass ein

automatisierter Testablauf dem geforderten Sicherheitslebenszyklus

weit besser entspricht als manuelle Prüfmethoden

mit Bewertung durch Beobachtung. „Einrichtungen

zur automatischen Funktionsüberwachung (zum

Beispiel Laufzeit- oder Stellungsüberwachung, Plausibilitätsprüfung,

Schritt- und Zeitüberwachung)“ werden

in VDI 2180-3, Absatz 2.2.3.2 [7] explizit verlangt. Die

Anforderungen an den Sicherheitskreis müssen definiert

werden. Aus diesen lassen sich auch die Anforderungen

für das Stellgerät ableiten. Diese sind im Wesentlichen:

Die Reaktionszeit: Innerhalb welchen Zeitraums

nach Anforderung der Sicherheitsfunktion muss

dass Stellgerät die vorgesehene Position erreichen?

Welche Dichtheit oder welcher Öffnungsquerschnitt

muss erreicht werden? Daraus lassen sich Anforderungen

an die genaue Position herleiten.

Welche Antriebskraft oder welches Drehmoment

muss aufgebracht werden? Wie groß ist die erforderliche

Reserve, mit der alle Betriebsbedingungen und

Alterungsprozesse sicher beherrscht werden können?

Je nach spezieller Anwendung können sich zusätzliche

Forderungen ergeben [5, 8]. Entsprechend den gestellten

Anforderungen sind Diagnose- und Testverfahren nach

dem Grad der Fehleraufdeckung (Diagnostic coverage,

proof test coverage) zu bewerten. Dies kann zum Beispiel

durch eine FMEDA geschehen.

Bei der Sensorik ist ein interessanter Trend zu beobachten:

In dem Bemühen um einen möglichst hohen Grad

an Fehleraufdeckung werden inzwischen binäre Überwachungen

wie Grenzwertschalter für Füllstand, Temperatur

oder Durchfluss häufig durch analoge Sensoren

ersetzt. Ein analoges Signal lässt sich eben besser auf

Plausibilität überprüfen; hier bieten sich zum Beispiel

eine Analyse des Rauschverhaltens und eine Korrelation

mit Prozesswerten anderer Messstellen an. Dem würde

auf Seiten der Aktorik der Einsatz eines analogen Stellungsmelders

mit kontinuierlicher Wegerfassung für den

gesamten Hubbereich anstelle der bisher gebräuchlichen

induktiven Endlagenschalter entsprechen. Dies ist in

der betrieblichen Praxis entsprechend dem Kenntnisstand

der Autoren nur selten implementiert.

Für folgende Phasen des Lebenszyklus bieten sich automatisierte

Testverfahren an:

Validierung bei Inbetriebnahme

Wiederkehrende Prüfung

Prüfung im laufenden Betrieb

Prüfung bei planmäßiger oder insbesondere auch

unvorhergesehener Abschaltung

Neben der Betrachtung systematischer Fehler sind auch

zufällige Fehler zu berücksichtigen. Bei mechanischen

Systemen ist die Ursache eines Versagens in der Regel

erkennbar. Dieser Ursache kann durch entsprechende

Design- oder Verfahrensänderung Rechnung getragen

werden. Daher sind für mechanische Systeme zufällige

Fehler weit weniger signifikant. Eine ausführliche Begründung

für diesen Sachverhalt findet sich zum Beispiel

in [9]. Auch im Fall zufälliger Fehler fordert die

Norm [6] die Anwendung der Werkzeuge Diagnose, Fail-

Safe-Verhalten und Redundanz. Zusätzlich wird der

rechnerische – probabilistische – Nachweis der erreichten

Zuverlässigkeit verlangt.

Zur Berechnung der Ausfallwahrscheinlichkeit wird

entsprechend [6] der einfache Zusammenhang:

Formel 1: PFD = ½ ∙ λ du ∙ T PR

angewendet.

Wird ein Testverfahren wie zum Beispiel PST mit einer

gegenüber dem Prooftestintervall häufigeren Testfrequenz

eingesetzt, ändert sich die PFD zu

Formel 2:

PFD = ½ ∙ λ du ∙ (1-DC) ∙ T PR + ½ ∙ λ du ∙ DC ∙ T PST

Diagnose und Testverfahren gehen also direkt in das Ergebnis

ein. Demzufolge kann eine verlängerte Prüfdauer

über entsprechende Diagnoseverfahren angestrebt werden.

Dies erscheint für viele Anwendungen realistisch,

muss aber im Einzelfall analysiert werden. Näherungsweise

ergibt sich, dass eine Testabdeckung von 50 % eine

Verdoppelung der Laufzeit zwischen zwei vollständigen

Prüfungen mit Anlagenstillstand ermöglicht. Weiterfüh-

32

atp edition

6 / 2012

ende Betrachtungen liefern [2, 11, 12]. Dieser rechnerisch

ermittelte Wert ist jedoch nur bei konstanter Fehlerrate

gültig. Steigt die Fehlerrate im betrachteten Zeitraum

an, zum Beispiel durch Verschleiß oder Alterung,

so ist dies der maßgebliche Mechanismus. Soll zum

Beispiel eine ununterbrochene Laufzeit von fünf Jahren

erreicht werden, so ist bei entsprechend geringer Ausfallrate

der rechnerische Nachweis zur Erreichung dieser

Laufzeit einfach möglich. Es ist zu beachten, dass die

angenommene Konstanz der Fehlerrate durch Prozesseinfluss,

Alterung, Verschleiß oder andere Mechanismen

beeinträchtigt wird.

In diesem Zusammenhang ist jedoch Vorsicht im Umgang

mit den statistischen Daten ratsam: Bei allen den

Autoren bekannten Veröffentlichungen zur rechnerischen

Betrachtung der Ausfallwahrscheinlichkeit (PFD)

wird keine Fehlerrechnung durchgeführt, die Belastbarkeit

der ermittelten Werte also nicht untersucht. Dies

kann zu nicht gerechtfertigtem Vertrauen in die rechnerischen

Werte führen. So wird beispielsweise in [10]

angeführt, dass sich verschiedene Datenbanken für elektronische

Bauteile oft in ihren Angaben um mehr als eine

Zehnerpotenz unterscheiden.

2. Anforderungen an den Workflow

Feldgeräte bieten eine Vielzahl von Diagnosemöglichkeiten.

Über den möglichen Nutzen für den Anwender entscheiden

nicht nur die Leistungsfähigkeit dieser Geräteeigenschaften

sondern insbesondere die Möglichkeit, die

Anwendung dieser Diagnose in den betrieblichen Alltag

einzubinden.

Die Möglichkeiten für Stellgeräte werden anhand des

Einsatzes von Stellungsreglern oder intelligenten Grenzsignalgebern

kurz angedeutet. Eine grafische Darstellung

eines automatisierten Vollhubtests findet sich in Bild 3,

eine parametrisierte Auswertung in Bild 4. Messungen

dieser Art können von diesen Geräten lokal durchgeführt,

aufgezeichnet und ausgewertet werden [11, 12]. Bild 5

stellt zwei Aufbauvarianten dar: links eine mit Magnetventil

und induktiven Endlagenschaltern automatisierte

Klappe, rechts einen nach Stand der Technik mit elektronischem

Grenzwertgeber ausgerüsteten Kugelhahn. Die

Parameter Totzeit, Laufzeit der Armatur bis zum Erreichen

der Endstellung, genaue Messung der erreichten

Endlage und benötigte Antriebskraft werden durch die

geräteinterne Weg- und Druckmessung erfasst. Die Resul-

BILD 1: Versagensursachen nach [4] BILD 2: Sicherheitslebenszyklus nach DIN EN 61511-1 Bild 8

Symbolverzeichnis

BPCS Basic process control system Betriebs- und Überwachungseinrichtungen als ein System (Leitsystem)

DC Diagnostic coverage Diagnose-Deckungsgrad

FMEDA Failure modes, effects and diagnostic coverage analysis Fehlermöglichkeits-, Einfluss- und Diagnoseanalyse

FSM Functional safety management system Management der funktionalen Sicherheit

HFT Hardware fault tolerance Hardware-Fehlertoleranz (Redundanzgrad)

PFD Probability of failure on demand Mittlere Wahrscheinlichkeit eines Ausfalls bei Anforderung

PST Partial stroke testing Teilhub-Testverfahren

SIS Safety instrumented system Sicherheitstechnisches System

T PR Proof test intervall Zeitdauer zwischen den wiederkehrenden Prüfungen

T PST Partial stroke test intervall Zeitdauer zwischen Partial-Stroke-Tests

λ du Failure rate dangerous undetected Rate gefährlicher, unentdeckter Fehler

atp edition

6 / 2012

33

Hauptbeitrag

tate lassen sich aus dem Weg-Zeit-Diagramm ablesen, sie

werden aber auch innerhalb des Stellungsreglers als charakteristische

Zeiten beziehungsweise Werte ermittelt.

Darüber hinaus kann noch über den Stick-Slip-Effekt auf

Reibkräfte geschlossen werden. Ein Antrieb mit hoher

Reibung würde im Weg-Zeit-Diagramm ein ruckhaftes

Verfahren zeigen.

Ein Vergleich all dieser Messwerte mit den erwähnten

aus der Norm resultierenden Anforderungen zeigt, dass

die Funktionsfähigkeit des Stellgerätes im Sicherheitskreis

umfassend beurteilt werden kann. Der genaue Grad

der Diagnose- sowie die Testabdeckung ist im Einzelnen

festzulegen, ein mögliches Vorgehen dafür ist die Gegenüberstellung

der potenziellen Fehlerquellen der Gefahrenanalyse

zu den Diagnosemöglichkeiten des eingesetzten

Feldgerätes. Die Beweglichkeit der Armatur und das

genaue Erreichen der Endlage oder Zwischenposition

kann einwandfrei beurteilt werden. Lediglich bei hohen

Anforderungen an die Dichtigkeit können eventuell zusätzliche

Messungen erforderlich werden.

Die Einbindung dieser Methodik in den Betriebsablauf

ist mit der Durchführung eines einzelnen Tests aber noch

nicht gegeben. Eine Übersicht über die Abfolge aller notwendigen

Schritte gibt Tabelle 1. Neben der automatisierten

Durchführung eines Tests ist es insbesondere von

Bedeutung, dass die Ergebnisse erfasst und abgespeichert

werden können. Es muss eine Datenbank zur Verfügung

stehen, die es gestattet, alle durchgeführten Testläufe festzuhalten.

Hierbei ist die Archivierung von Bedeutung

sowie die entsprechende Auswertung, sowohl für den

Einzeltest als auch für Trends, die sich erst in der Zusammenschau

mehrerer Tests oder gar in Korrelation mit anderen

Prozesswerten ergeben. Entsprechend trägt Tabelle

1 in senkrechter Richtung alle notwendigen Arbeitsschritte

auf, in waagrechter Richtung wird eine Aufgabenverteilung

auf die Ressourcen Stellungsregler und Asset-

Management-System vorgeschlagen. Die genaue Verteilung

der Aufgaben ist natürlich diskussionsfähig, aber es

wird doch die Notwendigkeit eines übergeordneten Systems

mit gegenüber einem Feldgerät erweiterten Ressourcen

evident.

3. Architekturen des Sicherheitskreises

Wird die Verfügbarkeit eines PST-fähigen Stellungsreglers

vorausgesetzt, so ergibt sich sofort eine Anordnung der

Feldgeräte wie in Bild 6 A dargestellt und in Tabelle 2

bewertet. Der Sicherheitskreis ist klassisch mit Magnetventil

zur Abschaltung und Endlagenschaltern zur Positionsmeldung

ausgerüstet. Ein Stellungsregler, pneumatisch

dem Magnetventil vorgeschaltet, sorgt für die gewünschte

PST-Funktionalität. Die Auslösung des Tests

erfolgt lokal am Stellungsregler, die Datenübertragung der

Messdaten und ausgewerteten Ergebnisse an das übergeordnete

Asset-Management-System über digitale Kommunikation

per HART-Protokoll. Eine Auskoppelung des

HART-Protokolls kann zum Beispiel über geeignete Trennverstärker

geschehen, wie sie am Markt verfügbar sind

(Beispiele siehe [13, 14]). Diese Konfiguration wurde und

wird in der Praxis eingesetzt, für den Test – insbesondere

durch Bedienpersonal vor Ort – ist sie auch durchaus

geeignet. Für große Anlagen mit einer Vielzahl von Armaturen

und bei reduziertem Wartungspersonal fällt aber

der erforderliche Testaufwand negativ ins Gewicht. Eine

Vielzahl weiterer Konfigurationen ist möglich, hier wird

die vorteilhafteste Lösung B beschrieben (Bild 6 B):

Unter Verzicht auf das Magnetventil wird der Stellungsregler

zur sicherheitsgerichteten Abschaltung

und zum automatisierten Test eingesetzt. Voraussetzung

dafür ist eine Eignung des Stellungsreglers

entsprechend DIN EN 61508 beziehungsweise 61511.

Entsprechende Geräte sind verfügbar. Diese Konfiguration

erspart in erheblichem Umfang Verkabelungsaufwand

und erhöht auch die Testtiefe, da nur

eine pneumatische Einheit verwendet wird und

diese auch den Testlauf durchführt.

Der Stellungsregler ist über 4–20 mA direkt an die

Sicherheits-SPS angeschlossen. Entsprechend zertifizierte

Ausgangskarten sind am Markt.

Das HART-Protokoll wird ohne zusätzliche Rangierung

auf die Ebene der Trennverstärker durch die

Sicherheits-SPS getunnelt. Zur Weiterleitung an das

Asset-Management-System wird die in der Praxis ohnehin

meist gelegte Ethernetverbindung zwischen

SPS und Leitsystem (Basic Process Control System –

BPCS) benutzt. Die Schematik der Verschaltung zeigt

Bild 7. Die Besonderheit dieser Architektur ist die

parallele, gleichzeitige Funktion der HART-Kommunikation.

Dies bedeutet gegenüber der seriellen Arbeitsweise

eines Multiplexers einen erheblichen Zeitvorteil.

Die Kommunikationsmöglichkeiten können

gezielt eingeschränkt werden. Damit ist gewährleistet,

dass die ermittelten Testdaten aus den Feldgeräten

ausgelesen werden können, ohne durch irrtümliche

Parametrierung deren Funktionalität zu verändern.

Mit der favorisierten Lösung nach Bild 6 B ist einerseits

das Auslesen von Diagnosedaten möglich, andererseits

wird eine irrtümliche Konfiguration des Feldgeräts zuverlässig

verhindert. Folgende Kriterien werden zur Beurteilung

herangezogen:

Der Stellungsregler wird durch Standardsignale angesteuert:

+20 mA signalisieren Normalbetrieb – Endlage

+12 mA signalisieren Start Testlauf

+4 mA signalisieren sicherheitsgerichtete Abschaltung

Stellungsregler mit entsprechendem Zertifikat für

zuverlässige Abschaltung bei 4 mA (anstelle von

0 mA) gibt es.

Auch während des Testlaufs ist die sicherheitsgerichtete

Abschaltung möglich, da der Stellungsregler

eine etwaige Abschaltung priorisiert behandelt.

Der Testlauf wird nach Triggerung durch ein externes

Signal lokal durch den Stellungsregler durchgeführt.

Dadurch ist eine hohe Regelgüte für den vorgegebenen

Verfahrweg möglich.

Die Daten entsprechend Bild 3 werden lokal erfasst

und abgespeichert. Diese Vorgehensweise ermöglicht

Abtastraten beispielsweise für die Position der

Armatur und den Antriebsdruck im Millisekundenbereich

mit entsprechend positiver Auswirkung auf

die Güte der Messwerte und damit eine hohe Diagnoseabdeckung.

Die Bedienschnittstelle wird über die sicherheitsgerichtete

Steuerung abgebildet. Damit ist es möglich,

34

atp edition

6 / 2012

Arbeitsschritte PST Stellungsregler Asset Management Annahme

Auslösen Manuell/Automatisch Manuell/Automatisch

Durchführen

Rampe/Sprungantwort

Erfassung Ergebnisse

in Echtzeit

Weg-Zeit-Diagramm, Kennzahlen

Ergebnisse aus Feldgerät auslesen Weg-Zeit-Diagramm, Kennzahlen Weg-Zeit-Diagramm, Kennzahlen

Ergebnisse abspeichern Weg-Zeit-Diagramm, Kennzahlen Weg-Zeit-Diagramm, Kennzahlen

Arbeitsschritte Nachbereitung

Auswertung eines Testlaufs Lokale Diagnose

Diagnose, Verbindung zu Prozessinformationen

Alarmgenerierung

Lokale Alarmgenerierung

Alarmgenerierung und Einbeziehung

Prozessinformation

Archivierung

Langzeitspeicherung in Datenbank

Vergleich einzelner Messwerte

Trend über mehrere Testläufe

über mehrere Testläufe, Diagnose,

Alarmgenerierung

Datenübertragung in

Echtzeit nicht möglich

Tabelle 1: Workflow Partial Stroke Test (PST)

Lösung A Lösung B Lösung C Lösung D

Sicherheitsgerichtete Ansteuerung Magnetventil Stellungsregler Magnetventil Magnetventil

Partial Stroke Testing (PST) Stellungsregler Stellungsregler Magnetventil Magnetventil

Wegrückmeldung

Endlagenschalter

Endlagenschalter,

alternativ Transmitter

Endlagenschalter,

alternativ Transmitter

Druckmessung Antrieb Stellungsregler Stellungsregler Optional Transmitter

Test der Pneumatik nein ja ja ja

Endschalter

Tabelle 2: Architekturvergleich der Vorschläge aus Bild 6

BILD 3: Vollhubtest

BILD 4: Protokoll Ventilbewegungen

atp edition

6 / 2012

35

Hauptbeitrag

ein entsprechendes, normkonformes Regelwerk für

eine Ent- und Verriegelung des Sicherheitskreises

mit einfachen Mitteln zu hinterlegen.

Die Wegrückmeldung erfolgt analog. Dies wiederum

führt gegenüber einer Signalisierung über zwei Endlagenschalter

zu einem geringeren Verkabelungsaufwand

und hat den Vorteil einer höheren Messgenauigkeit

beziehungsweise verbesserten Diagnosemöglichkeit.

Bei großen Armaturen mit entsprechender Anforderung

an die Luftleistung der steuernden Komponenten

kann ein analoger pneumatischer Booster in der

Verbindungsleitung zwischen Stellungsregler und

Antrieb eingesetzt werden (gestrichelte Darstellung

in Bild 6 B). Auch hier sind inzwischen zertifizierte

Geräte marktgängig.

Zu weiteren denkbaren Varianten sind einige Anmerkungen

angebracht:

Bild 6 C legt die Funktionalität des Tests ganz in die

Sicherheits-SPS: Der pneumatische Antrieb wird nun

über das Magnetventil angesteuert, der Regelkreis zur

Steuerung des Testlaufs über einen analogen Stellungstransmitter

geschlossen. Um eine im Vergleich zu Variante

B gleichwertige Diagnosetiefe zu erhalten, ist ein

Drucktransmitter zur Messung des Antriebsdrucks

vorgesehen. Diese Konfiguration hat den Vorteil, dass

das komplette Regelwerk für den Testablauf und die

Auswertung in der SPS hinterlegt werden kann und

damit zertifizierungsfähig ist. Nachteilig ist demgegenüber

eine verringerte Abtastrate, die aber beim Einsatz

moderner Systeme je nach Ausführung auch unter

100 Millisekunden liegen kann. Die Abtastrate ist für

die erzielbare Regelgüte des Testlaufs (Überschwingen)

und für die Güte der Diagnose von Bedeutung. Entsprechend

kommt Konfiguration C bevorzugt für große Armaturen

mit Laufzeiten größer 5 Sekunden in Betracht.

Bild 6 B ist auch für den Sonderfall der Mitnutzung

einer Regelarmatur für die sicherheitsgerichtete Abschaltung

einsetzbar. Diese Mitnutzung findet sich

häufig in Anlagen im deutschen und europäischen

Raum. Eine entsprechende Analyse der sicherheitstechnischen

Aspekte findet sich in [15]. Klassisch wird

in diesem Fall ein Stellungsregler – angesteuert durch

das BPCS – und ein Magnetventil – angesteuert durch

die SPS – instrumentiert. Es sind zwei Leitungen ins

Feld notwendig. Entsprechend der Abbildung wäre

aber auch eine sehr elegante und einfache Lösung

denkbar. Ein Stellungsregler wird zur Regelung, Abschaltung

und für den Test eingesetzt. Die Ansteuerung

erfolgt nur über die SPS. Der notwendige Regelalgorithmus

müsste dann in der SIS hinterlegt werden. Beispiele

für solche Anwendungen finden sich im Bereich

Turbo Machinery Control bei Überströmventilen oder

im Bereich Burner Management bei Brennstoffregelungen.

Über Ethernet ist die SPS an das BPCS angebunden

und erhält von dort Vorgaben (beispielsweise eine Lastanforderung)

während des Normalbetriebs. Entsprechende

Applikationen sind aufgrund der heute verfügbaren

Systemtechnik ebenfalls marktgängig (zum Beispiel

Himax-System mit Flexsilon-Bibliotheken).

Bild 6 D zeigt eine Variante, die sich ganz an den klassischen

Signalen (Namursignal für Endlagenschalter

entsprechend IEC 60947-5-6, 24 Volt zur Ansteuerung

des Magnetventils) orientiert. Hier wird ein Gerät eingesetzt,

dass die Funktionalität von Endlagenschalter

und Magnetventil kombiniert, durch den Einsatz von

analoger Wegmessung und Mikrorechner aber diagnosefähig

ist. Der Vorteil der Benutzung vorhandener

Verkabelung wird allerdings mit dem Verzicht auf

Kommunikation erkauft; hierfür existiert bei dieser Art

von Signalübermittelung kein standardisiertes Protokoll.

Allerdings kann das Ergebnis der internen Diagnose

wie zum Beispiel ein nicht erfolgreicher PST über

einen Statuskontakt (Namursignal) an die übergeordnete

Steuerung gemeldet werden (siehe auch [16]).

Zusammenfassend findet sich eine knappe Gegenüberstellung

der verschiedenen Architekturen in Tabelle 2. Allen

Lösungen ist gemeinsam, dass sie marktgängige Komponenten

verwenden, die auch außerhalb des Sicherheitskreises

eingesetzt werden. Damit ist der Einsatz betriebsbewährter

Komponenten möglich, wie von Anwendern

nachdrücklich gefordert [17]. In diesem Artikel nicht

behandelt sind spezielle, herstellerspezifische Instrumentierungen

mit proprietärer Architektur und Verdrahtung.

Anstelle des Hart-Protokolls kann auch ein Feldbus-

Protokoll wie Profibus oder Fieldbus Foundation eingesetzt

werden. Nach heutigem Stand der Technik müssen

die sicherheitsgerichteten Signale aber noch durch diskrete

Verkabelung übertragen werden.

4. Einbindung in betriebliche Arbeitsabläufe

Tabelle 1 listet die zu leistenden Arbeitsschritte auf. Erfahrungen

mit ersten Installationen zeigen, dass Einzeltests

auf Ebene der Feldgeräte unproblematisch durchzuführen

sind und aussagekräftige Ergebnisse bringen.

Soll jedoch eine Vielzahl von Geräten in einer großen

Anlage regelmäßig getestet werden, so treten im Wesentlichen

folgende Schwierigkeiten auf:

Die mögliche Datenrate für die Übertragung der lokal

in den Feldgeräten abgespeicherten Testergebnisse entspricht

nicht den Anforderungen. Es scheint nach heutigem

Stand der Technik nicht möglich, aus einer großen

Menge von Feldgeräten täglich oder auch nur wöchentlich

einen vollständigen Datensatz auszulesen.

Die Begrenzung liegt weniger im Übertragungsprotokoll

(HART-Protokoll) als vielmehr in der gesamten

Architektur des Leitsystems. Hier müssen die für den

Prozessbetrieb notwendigen Datentransfers gegenüber

Diagnosedaten natürlich priorisiert behandelt werden.

Auswertemöglichkeiten: Mehrere Hersteller bieten

Asset-Management-Systeme an. Hier können Datensätze

eines Feldgeräts mit Diagnoseinformationen

ausgelesen und abgespeichert werden. Die Fähigkeit,

aus einem Datensatz einzelne Messwerte isoliert zu

betrachten und mit anderen Messwerten nach einem

freien Algorithmus zu verknüpfen, ist jedoch noch

nicht in wünschenswerter Weise implementiert. Notwendig

kann es beispielsweise sein, die Historie eines

Messwertes, zum Beispiel der Nullpunktlage eines

Ventils, über mehrere Testläufe hinweg wiederzugeben

(Bild 8). Auch die Verknüpfung eines Wertes mit

aus anderen Feldgeräten gewonnenen Prozesswerten,

zum Beispiel die Plausibilitätsprüfung von Ventilstellung

gegen Durchfluss, erscheint in der Praxis noch

nicht möglich. Insgesamt gibt Tabelle 1 einen Hinweis

36

atp edition

6 / 2012

BILD 5: Aufbauvarianten (links: separate Montage

Magnetventil und Grenzsignalgeber; rechts: Stand der

Technik, Grenzsignalgeber mit integriertem Magnetventil)

Lösung A

Lösung b

BILD 7: Tunnelung von HART-Signalen

Lösung c

Lösung D

BILD 6: Mögliche Architekturen des Sicherheitskreises–

Lösung A (oben links), Lösung B (oben rechts), Lösung C

(unten links) und Lösung D (unten rechts)

BILD 8: Nullpunkttrend

atp edition

6 / 2012

37

Hauptbeitrag

Autoren

Dr. rer. nat. Thomas Karte (geb. 1955)

beschäftigt sich bei der Samson AG in

Frankfurt/Main mit der Anwendungstechnik

elektropneumatischer Geräte.

Er ist Mitglied im FA 6.13 „Engineering

von sicherheitsgerichteten Systemen“ des

VDI/VDE-GMA und im DKE GK 914

„Funktionale Sicherheit“.

Samson AG,

Mess- und Regeltechnik,

Weismüllerstr. 3, D-60314 Frankfurt am Main,

Tel. +49 (0) 69 40 09 20 86,

E-Mail: tkarte@samson.de

Dipl.-Ing. (FH) Bernd Schäfer (geb. 1967)

arbeitet seit 1996 bei Hima, anfangs im

Projekt-Management. Seit 2004 betreut er als

Produktmanager den Bereich der OPC- und

SCADA-Produkte. Darüber hinaus fallen in

sein Aufgabengebiet spezielle Applikationen

wie zum Beispiel Asset-Management-Lösungen

und OTS (Operator Training Simulator)-

Lösungen. Er ist Mitglied in der PLCOpen-

Arbeitsgruppe zum Thema „OPC UA Informationsmodell“.

Hima Paul Hildebrandt GbmH & Co KG,

Albert-Bassermann-Str. 28, D-68782 Brühl bei Mannheim,

Tel. +49 (0) 6202 70 94 53,

E-Mail: b.schaefer@hima.com

auf die Arbeitsschritte und die mögliche Aufteilung

auf das Feldgerät und das übergeordnete Asset-Management-System.

Die Domäne des Feldgerätes ist die

schnelle Datenerfassung und lokale Regelung. Wegen

der durch den Energieverbrauch limitierten Verarbeitungsgeschwindigkeit

und des dadurch auch begrenzten

Speichers ist es sinnvoll, die langfristige Archivierung,

Auswertung nach Trends und komplexe

Alarmbildung im übergeordneten System zu leisten.

Hier können auch die Informationen aus verschiedenen

Feldgeräten sinnvoll zusammenfließen und nach

übergeordneten Kriterien ausgewertet werden.

Zusammenfassung

Für Feldgeräte in sicherheitsgerichteten Kreisen, insbesondere

solche mit direktem Kontakt zum Prozessmedium, ist

die Behandlung der systematischen Fehler ausschlaggebend

für die sicherheitstechnische Verfügbarkeit. Die notwendige

Implementierung des Sicherheitslebenszyklus kann

durch eine moderne Instrumentierung unterstützt werden.

Der Stand der Technik bei Feldgeräten und sicherheitsgerichteten

Steuerungen ermöglicht inzwischen die Implementierung

wirkungsvoller und zugleich einfacher Architekturen

mit marktgängigen Komponenten. Weitere Entwicklungen

bezüglich Datenübertragungsrate und Funktionalität

im Bereich des Asset Managements sind notwendig,

damit die in den Feldgeräten verfügbaren Diagnosetools

ihre volle Funktionsfähigkeit entfalten. Hierzu erscheint

eine enge Zusammenarbeit zwischen Herstellern und Anwendern

bei ausgewählten Pilotprojekten notwendig.

Manuskripteingang

14.03.2012

Im Peer-Review-Verfahren begutachtet

Referenzen

[1] Rogiers, I.: Using a „Smart“ Partial Stroke

Test Device on SIS Loop On/Off Valves:

Adding Value or Adding Cost?. P4039, Valve

World 2004. KCI Publishing BV

[2] Börcsök, J., Schrörs, B. und Holub, P.:

Reduzierung der Ausfallwahrscheinlichkeit

und Verlängerung des Proof-Test-Intervalls

durch Einsatz von Partial-Stroke-Tests

am Beispiel von Stellgeräten. atp edition –

Automatisierungstechnische Praxis 50(11),

2008

[3] McCrea-Steele, R.: Partial Stroke Testing The

Good, the Bad and the Ugly. TUEV 7th

International Symposium on Safety, 2006 .

[4] Götz, A., Hildebrandt, A., Karte, T., Schäfer, B

und Ströbl, J.: Realisierung von Schutzeinrichtungen

in der Prozessindustrie – SIL in

der Praxis“. atp edition – Automatisierungstechnische

Praxis 50(8), 2008

[5] Samson AG: Handbuch „Funktionale

Sicherheit für Stellventile, Drehkegelventile,

Kugelhähne und Stellklappen. WA 236

[6] DIN EN 61511-1 und DIN EN 61511-2: Funktionale

Sicherheit – Sicherheitstechnische Systeme

für die Prozessindustrie – Teil 1 und 2. Mai 2005

[7] VDI 2180-3: Sicherung von Anlagen der

Verfahrenstechnik mit Mitteln der Prozessleittechnik

(PLT) – Anlagenplanung,

-errichtung und –betrieb. April 2007

[8] VDI 2180-5: Sicherung von Anlagen der


(PLT) – Empfehlungen zur

Umsetzung in die Praxis. Mai 2010

[9] Hildebrandt, A.: SIL-Bewertung von Mechanik

– Versagenswahrscheinlichkeit mechanischer

Komponenten. atp edition– Automatisierungstechnische

Praxis 53(1-2), 2011

[10] Smith, D.: Reliability, Maintainability and Risk.

Elsevier Butterworth-Heinemann, Burlington,

MA 01803, Sixth edition 2001

[11] Karte, T. und Kiesbauer, J.: Diagnosefähige

Ventilstellungsregler und ihre Anwendung in

sicherheitsgerichteten Kreisen. Industriearmaturen,

Heft 3, 2008 (September)

[12] Samson AG: Handbuch Applikationshinweise

für sicherheitsgerichtet Kreise. WA 239

[13] P+F Datenblatt: Ventilsteuerbaustein

KFD2-RI-Ex1. Ausgabedatum 2010-04-13.

Druckschrift 216568_GER.xml

[14] P+F Datenblatt: HART Loop Converter

KFD2-HLC-Ex1.D. Ausgabedatum 2011-01-

26. Druckschrift 198804_GER.xml

[15] Gabriel, T., Litz, L. und Schrörs, B.: Nutzung

von SIS-Armaturen für Leitsystemfunktionen

– Rahmenbedingungen für die Ausführung

von BPCS-Funktionen. atp edition – Automatisierungstechnische

Praxis 52(3), 2010.

[16] Karte, T. und Kiesbauer, J.: Intelligenter

Grenzsignalgeber für Auf/Zu-Armaturen in

der Prozesstechnik. atp edition – Automatisierungstechnische

Praxis 51(5), 2009.

[17] Hablawetz, D., Matalla, N. und Adam, G.: IEC

61511 in der Praxis – Erfahrungen eines

Anlagenbetreibers. atp edition – Automatisierungstechnische

Praxis 49(10), 2007

38

atp edition

6 / 2012

Jetzt

doppelt sparen:

Edition

15% Rabatt

gwf Praxiswissen

im Fortsetzungsbezug

20% Rabatt

für gwf-Abonnenten

Diese Buchreihe präsentiert kompakt aufbereitete Fokusthemen aus der Wasserbranche und Fachberichte

von anerkannten Experten zum aktuellen Stand der Technik. Zahlreiche Praxisbeispiele zeigen individuelle

Lösungen und vermitteln praktisches Know-how für ökologisch und wirtschaftlich sinnvolle Konzepte.

Band I – Regenwasserbewirtschaftung

Ausführliche Informationen für die Planung und Ausführung von Anlagen zur Regenwasserbwirtschaftung

mit gesetzlichen Rahmenbedingungen sowie Anwendungsbeispielen aus der Praxis.

Hrsg. C. Ziegler, 1. Auflage 2011, 184 Seiten, Broschur

Buch + Bonusmaterial für € 54,90 € 46,70

Buch + Bonusmaterial + eBook auf DVD für € 69,90 € 59,40

Band II – Messen • Steuern • Regeln

Grundlageninformationen über Automatisierungstechnologien, die dabei helfen, Wasser effizienter

zu nutzen, Abwasser nachhaltiger zu behandeln und Sicherheitsrisiken besser zu kontrollieren.

Hrsg. C. Ziegler, 1. Auflage 2011, ca. 150 Seiten, Broschur



Band III – Energie aus Abwasser

Abwärme aus dem Kanal und Strom aus der Kläranlage: Wie aus großen Energieverbrauchern

Energieerzeuger werden. Methoden und Technologien zur nachhaltigen Abwasserbehandlung.




Band IV – Trinkwasserbehälter

Grundlagen zu Planung, Bauausführung, Instandhaltung und Reinigung sowie Sanierung von

Trinkwasserbehältern. Materialien, Beschichtungssysteme und technische Ausrüstung.




Oldenbourg Industrieverlag München

www.gwf-wasser-abwasser.de

VORTEILSANFORDERUNG PER FAX: +49 (0)201 / 82002-34 oder per Brief einsenden

Ja, ich bestelle die Fachbuchreihe gwf Praxiswissen im günstigen Fortsetzungsbezug,

verpasse keinen Band und spare 15%. Ich wünsche die

Lieferung beginnend ab Band

als Buch + Bonusmaterial für € 46,70 (gwf-Abonnenten: € 37,30)

als Buch + Bonusmaterial + eBook auf DVD für € 59,40

(gwf-Abonnenten: € 47,50)

Wir beziehen gwf im Abonnement nicht im Abonnement

Jeder aktuelle Band wird zum Erscheinungstermin ausgeliefert und

separat berechnet. Die Anforderung gilt bis zum schriftlichen Widerruf.

Die pünktliche, bequeme und sichere Bezahlung per Bankabbuchung

wird mit einer Gutschrift von € 3,- auf die erste Rechnung belohnt.

Firma/Institution

Vorname, Name des Empfängers

Straße/Postfach, Nr.

PLZ, Ort

Telefon

E-Mail

Telefax

Antwort

Vulkan Verlag GmbH

Versandbuchhandlung

Postfach 10 39 62

45039 Essen

Branche/Wirtschaftszweig

Bevorzugte Zahlungsweise Bankabbuchung Rechnung

Bank, Ort

Bankleitzahl

✘

Datum, Unterschrift

Kontonummer

PAGWFP2011

Widerrufsrecht: Sie können Ihre Vertragserklärung innerhalb von zwei Wochen ohne Angabe von Gründen in Textform (z.B. Brief, Fax, E-Mail) oder durch Rücksendung der Sache widerrufen. Die Frist beginnt nach Erhalt dieser Belehrung in Textform. Zur Wahrung der Widerrufsfrist genügt

die rechtzeitige Absendung des Widerrufs oder der Sache an die Vulkan-Verlag GmbH, Versandbuchhandlung, Huyssenallee 52-56, 45128 Essen.

Nutzung personenbezogener Daten: Für die Auftragsabwicklung und zur Pflege der laufenden Kommunikation werden personenbezogene Daten erfasst und gespeichert. Mit dieser Anforderung erkläre ich mich damit einverstanden, dass ich vom Oldenbourg Industrieverlag oder vom

Vulkan-Verlag per Post, per Telefon, per Telefax, per E-Mail, nicht über interessante, fachspezifische Medienund Informationsangebote informiert und beworben werde. Diese Erklärung kann ich mit Wirkung für die Zukunft jederzeit widerrufen.

hauptbeitrag

PFD-Berechnung bei nicht

konstanten Ausfallraten

Mehrphasen-Markov-Modelle mit Mathcad berechnen

Die Versagenswahrscheinlichkeit (PFD) realer Schutzeinrichtungen lässt sich nur unter

bestimmten Voraussetzungen mit den Formeln aus der VDI/VDE 2180 beziehungsweise

EN 61508 berechnen. Sind diese Bedingungen nicht erfüllt (zum Beispiel bei unvollständiger

Wiederholungsprüfung oder nicht konstanter Ausfallrate), können die Formeln nicht

ohne Weiteres angewendet werden. In solchen Fällen kann die PFD-Berechnung mit zeitveränderlichen

Markov-Modellen auf relativ einfache Weise bewerkstelligt werden. In der

EN 61508 Teil 6 Edition 2 ist die Methode der Mehrphasen-Markov-Modelle dargestellt.

Wenn auch verschleißbehaftete Komponenten bei der PFD-Berechnung zu berücksichtigen

sind, müssen die Übergangswahrscheinlichkeiten des betreffenden Markov-Modells als

zeitabhängige Funktion abgebildet werden. Im Beitrag wird dies anhand eines fiktiven

Beispiels beschrieben. Dabei wird die zeitabhängige PFD(t) für die gesamte Anlagenlaufzeit

berechnet und daraus die mittlere Versagenswahrscheinlichkeit PFD avg ermittelt.

SCHLAGWÖRTER Mehrphasen-Markov-Modell / Weibull-Verteilung / PFD-Berechnung /

EN 61508 / Schutzeinrichtung / Verschleiß / Chapman-Kolmogorov-

Gleichung

PFD calculation in case of non-constant failure rates –

Solving Multiphase Markov Model with Matchcad

The probability of failure on demand (PFD) of real safety equipment can be calculated

with the help of the formulas given in VDI/VDE 2180 or EN 61508 only under certain

conditions. If these conditions are not fulfilled (e.g. in case of an incomplete proof test or

a non-constant failure rate), the formulas cannot be applied right away. In such cases, the

PFD calculation can be carried out relatively easily using time-varying Markov models.

EN 61508 Part 6 Edition 2 presents the method of multiphase Markov models. If components

subject to wear shall be observed in the PFD calculation, this method has to be

further generalized; in this generalization, the transition probabilities of the corresponding

Markov model are presented as a time-varying function. This is described in detail in the

present contribution, based on a fictitious example. The time-dependent PFD(t) is calculated

for the total plant lifetime which is then used to determine the average probability

of failure on demand PFD avg . All calculations are carried out with Mathcad as this tool

offers the necessary flexibility and is easy to handle compared to others.

KEYWORDS Multiphase Markov Model / Weibull Distribution / PFD Calculation / EN 61508 /

Safety Instrumented Function / Wear Out / Chapman-Kolmogorov-Equation

40

atp edition

6 / 2012

Andreas Hildebrandt, Pepperl+Fuchs

Die Normen zur funktionalen Sicherheit fordern,

dass für sicherheitstechnische Funktionen die

Versagenswahrscheinlichkeit aufgrund zufälliger

Fehler berechnet wird [4, 5, 6]. Dies kann

in vielen Fällen mit vergleichsweise einfachen

Formeln geschehen (siehe VDI/VDE 2180, Blatt 4 [6]).

Sind Struktur, Betriebsweise oder Randbedingungen

komplexer als es diese Formeln unterstellen, werden andere

Verfahren zur Berechnung der Ausfallwahrscheinlichkeit

benötigt. Bewährt haben sich hier Markov-Modelle

[2], wobei die klassischen Markov-Modelle ebenfalls

oft an ihre Grenzen stoßen, da von bestimmten

Annahmen ausgegangen wird (zum Beispiel von konstanten

Übergangswahrscheinlichkeiten zwischen den

Zuständen), die in der Praxis nicht immer gegeben sind.

Eine Erweiterung beziehungsweise Verallgemeinerung

der Markov-Modellierung ermöglicht es jedoch, auch in

solchen Fällen mit überschaubarem Aufwand die Versagenswahrscheinlichkeit

von Sicherheitsfunktionen zu

bestimmen. Ziel des Beitrags ist es, eine Methode zur

PFD-Berechnung vorzustellen und zu erläutern. Die Zahlenwerte

des Beispiels sind willkürlich gewählt. Bei realen

Schutzeinrichtungen ist es in der Regel nicht möglich,

das Ausfallverhalten mechanischer Komponenten

mithilfe einer Weibull-Verteilung zu beschreiben. Werden

diese mit niedrigen Anforderungsraten betrieben,

ist es nahezu unmöglich, die Weibull-Parameter zu bestimmen

[1].

1. Beispiel einer Sicherheitsfunktion

Gegeben ist eine einkanalige Schutzeinrichtung bestehend

aus Sensor, Signalverarbeitung und Aktor, wobei

folgende Randbedingungen bei der PFD-Berechnung

berücksichtigt werden sollen:

1 | Der Sensor, die Signalverarbeitung und Teile des

Aktors sind elektronische Geräte, ein Teil des Aktors

(Ventil) ist Mechanik.

2 | Die elektronischen Komponenten haben eine Diagnose

mit vernachlässigbar kleiner Diagnosezeit.

Werden Fehler von der Diagnose aufgedeckt, so

werden diese innerhalb von 8 Stunden repariert

(MTTR el = 8 h). Die Reparaturdauer MTTR el beinhaltet

die Diagnosezeit.

3 | Die Ausfallraten der elektronischen Komponenten

(λ DU und λ DD ) sind konstant, die der mechanischen

Komponenten nicht (siehe Punkt 5 und

Bild 1).

4 | Beim Aktor (Ventil) werden mithilfe eines Teilhubtests

(Partial Stroke Test) Fehler teilweise aufgedeckt.

Dieser wird wöchentlich ausgeführt (Diagnosezeit

der Mechanik DZ mech = 168 h). Im Falle eines

erkannten Fehlers wird eine Reparatur durchgeführt,

die durchschnittlich 4 Tage in Anspruch

nimmt (MTTR mech = 96 h).

5 | Die Ausfallrate des mechanischen Ventils ist nicht

konstant (Verschleiß) und muss mithilfe der Weibull-Verteilung

beschrieben werden (Verschleiß

findet unter anderem auch aufgrund des Teilhubtests

statt). Da nicht alle Fehler mithilfe des Teilhubtests

aufgedeckt werden und verschiedene

Teile des Aktors unterschiedlich verschleißen

(manche Teile beziehungsweise Bereiche werden

durch den Teilhubtest regelmäßig bewegt, für andere

gilt „wer rastet, der rostet“), wird die Versagenswahrscheinlichkeit

des Ventils durch zwei

verschiedene Weibull-Verteilungen beschrieben.

Eine erste Verteilung mit den Parametern T dd und

b dd benennt die Versagenswahrscheinlichkeit derjenigen

Teile, die durch den Teilhubtest regelmäßig

bewegt werden. Eine zweite Verteilung mit den

Parametern T du und b du definiert die Wahrscheinlichkeit

von Ausfällen, die nicht durch den Teilhubtest

aufgedeckt oder beeinflusst werden (zum

Beispiel Anhaftungen an Stellen, die beim Teilhubtest

nicht durchfahren werden oder eine Korrosion

beziehungsweise Abrasion der dichtenden

Elemente).

6 | Jedes Jahr wird eine regelmäßige Wiederholungsprüfung

durchgeführt (T 1 = 8760 h). Im Rahmen

atp edition

6 / 2012

41

Hauptbeitrag

dieser Wiederholungsprüfung werden alle Fehler

des Ventils aufgedeckt, auch diejenigen, die vom

Teilhubtest nicht erkannt wurden. Von den elektronischen

Komponenten werden jedoch nicht

alle Fehler aufgedeckt, da der Sensor weder bis

zur Triggerschwelle angefahren werden kann,

noch zum Prüfen ausgebaut werden soll. Bestimmte

Fehler des Sensors werden daher im

Rahmen der Wiederholungsprüfung nicht aufgedeckt.

Der Anteil der aufgedeckten Elektronikfehler

wird mithilfe des Faktors PTC el (PTC =

Proof Test Coverage) quantifiziert. Es wird angenommen,

dass 10 % der Elektronik-Fehler bei der

Wiederholungsprüfung nicht erkannt werden

(PTC el = 0,90).

8 | Alle 5 Jahre findet eine Revision statt (T Rev = 5 х 8760

h), bei der alle Fehler aufgedeckt (sowohl bei Elektronik

wie auch bei der Mechanik) und mechanische

Verschleißteile erneuert werden. Elektronische

Komponenten werden ausgetauscht, wenn das

Ende der Gebrauchsdauer erreicht ist. Das sicherheitstechnische

System ist danach wieder in einem

Wie-Neu-Zustand (siehe Punkt 8).

9 | Das System soll 30 Jahre lang betrieben werden (MT

= 30 х 8760 h). Bei den elektronischen Komponenten

wird die vom Lieferanten genannte Gebrauchsdauer

beachtet, das heißt, sie werden rechtzeitig im

Rahmen einer Revision ersetzt, sodass die gesamte

Anlagenlaufzeit mit den unter Punkt 3 genannten

konstanten Ausfallraten (λ DU und λ DD ) gerechnet

werden darf. Da das Ventil (wie unter Punkt 7 beschrieben)

alle 5 Jahre überholt wird, kann es über

die gesamte Anlagenlaufzeit verwendet werden.

2. Lösungsansatz

Soll von der beschriebenen Schutzeinrichtung unter

Beachtung aller Randbedingungen die Versagenswahrscheinlichkeit

bei Anforderung (PFD) berechnet werden,

lassen sich die aus der VDI/VDE 2180 und

EN 61508 bekannten Formeln nicht ohne Weiteres anwenden.

Ein pragmatischer Lösungsansatz besteht darin,

mithilfe von Worst-Case-Annahmen die Berechnung

so weit zu vereinfachen, dass die Formeln aus

den genannten Normen angewendet werden können.

Scheitert die Erreichung des geforderten Safety Integrity

Level (SIL) dann an einem zu schlechten PFD-Wert,

besteht sicher der Wunsch, eine genauere Berechnung

durchzuführen. Im Folgenden wird daher ein Lösungsansatz

auf Basis eines Markov-Modells vorgestellt, der

mit kommerziell verfügbaren Standardprogrammen

realisiert werden kann. Ausgangspunkt bildet ein

Mehrphasen-Markov-Modell, wie es zum Beispiel in

der EN 61508 Teil 6, Edition 2 [4], beschrieben wird.

Indem die Übergangswahrscheinlichkeiten als zeitabhängige

Funktionen dargestellt werden (zum Beispiel

Weibull-Verteilung), wird das Verschleißverhalten von

Komponenten berücksichtigt. Die Berechnung des zeitlichen

Verlaufs der momentanen Unverfügbarkeit der

Sicherheitsfunktion PFD(t) erfolgt mithilfe der Chapman-Kolmogorov-Gleichung.

In einem abschließenden

Schritt muss noch der zeitliche Mittelwert (und damit

die PFD avg ) berechnet werden. Die gesamte Rechnung

kann mit einem Mathematik-Programm wie Mathcad

erfolgen. Die PFD-Berechnung für die beschriebene

Schutzfunktion kann auf wenigen DIN-A4-Seiten übersichtlich

dargestellt werden.

2.1 Zeitvariantes Markov-Modell

Die Zustände des im Bild 2 gezeigten Markov-Modells

bedeuten:

Zustand 0:

Zustand 1:

Zustand 2:

Zustand 3:

Zustand 4:

Zustand 5:

Zustand 6:

Das System ist vollständig in Ordnung

(Wie-Neu-Zustand).

Die Elektronik ist unerkannt ausgefallen.

Der Fehler wird erst bei der Wiederholungsprüfung

(gepunkteter Übergang „bei

Prooftest“) erkannt und repariert (Reparaturdauer

MTTR el = 8 h).

Die Elektronik ist erkannt ausgefallen. Die

Reparatur erfolgt umgehend und dauert

MTTR el = 8 h.

Die Mechanik ist ausgefallen, der Fehler

wird jedoch vom wöchentlichen Teilhubtest

aufgedeckt. Es dauert im Mittel eine

halbe Woche, bis der Fehler offenbar wird

und die Reparatur beginnen kann (das

heißt, bis das System in den Zustand 5

übergeht). Nachdem der Fehler aufgedeckt

ist, dauert die Reparatur weitere 4 Tage

(MTTR mech = 96 h).

Die Mechanik ist unerkannt ausgefallen.

Der Fehler wird erst bei der Wiederholungsprüfung

(gepunkteter Übergang „bei

Prooftest“) erkannt und repariert (Reparaturdauer

MTTR mech = 96 h).

Ein mechanischer Defekt wurde aufgedeckt

(entweder durch den Teilhubtest

oder im Rahmen der jährlichen Wiederholungsprüfung)

und wird repariert. Die

Reparaturdauer für die Mechanik beträgt

4 Tage (MTTR mech = 96 h).

Die Elektronik ist unerkannt ausgefallen.

Der Fehler wird bei der Wiederholungsprüfung

jedoch nicht erkannt, sondern

erst im Rahmen der Revision aufgedeckt

und repariert (gestrichelter Übergang

„bei Revision“). Eine Revision findet bei

jeder fünften Wiederholungsprüfung

statt (T Rev = 5 х T 1 ).

Die Übergangswahrscheinlichkeiten vom Zustand 0 in

den Zustand 3 beziehungsweise 4 sind zeitabhängig und

werden aus der der Weibull-Verteilung anhand der beiden

Parameter „charakteristische Lebensdauer“ (T dd beziehungsweise

T du ) und „Formfaktor“ (b dd beziehungsweise

b du ) berechnet.

42

atp edition

6 / 2012

Herausforderung


2.2 Berechnung der

Zuverlässigkeitsgrößen

Die zeitabhängigen Zustandswahrscheinlichkeiten

des Markov-Modells lassen sich leicht mithilfe der

Chapman-Kolmogorov-Gleichung berechnen. Ausgehend

vom Zeitpunkt t = 0 wird die transponierte Matrix

der Übergangswahrscheinlichkeiten mit dem

Vektor der aktuellen Zustandswahrscheinlichkeiten

multipliziert. Die Elemente des daraus resultierenden

Ergebnisvektors stellen dann die Zustandswahrscheinlichkeiten

des folgenden Zeitschritts dar. Dieses

Ergebnis wird dann erneut mit der transponierten

Wahrscheinlichkeitsmatrix multipliziert, um die

Zustandswahrscheinlichkeiten des nächsten Zeitschritts

zu erhalten (… und so weiter, bis das Ende

der Systemlaufzeit MT = 30 Jahre erreicht ist). Bei der

Matrix der Übergangswahrscheinlichkeiten muss die

Zeilensumme jeweils eins ergeben (sogenannte stochastische

Matrix). Daher können zum Beispiel die

Diagonalelemente (das heißt, die Wahrscheinlichkeit,

dass das System in dem jeweiligen Zustand bleibt)

aus den bereits ermittelten Werten gesondert berechnet

und in die Matrix eingefügt werden.

Da die Schutzeinrichtung zum Zeitpunkt t = 0 neu

ist, ist die Wahrscheinlichkeit, dass sich das System

im Zustand null befindet, gleich eins. Für alle anderen

Zustände ergibt sich damit eine Wahrscheinlichkeit

von null. Das heißt, beim Startvektor ist das erste

Element eins, alle anderen Elemente sind null.

Die momentane Unverfügbarkeit ergibt sich, wenn

für jeden Zeitschritt die Wahrscheinlichkeiten aller

gefahrbringenden Zustände addiert werden. Da im

Beispiel das System nur im Zustand null funktionsfähig

ist, sind alle anderen Zustände (Zustand 1 bis

Zustand 6) gefahrbringend.

Das Ergebnis ist somit der zeitliche Verlauf der Unverfügbarkeit

der Sicherheitsfunktion (also die zeitabhängige

PFD (t) , siehe Bild 3). Da für die SIL-Bewertung

die mittlere Unverfügbarkeit PFD avg benötigt

wird, muss von diesem Verlauf noch der zeitliche

Mittelwert berechnet werden. Dieser Mittelwert stellt

dann das gesuchte Ergebnis dar.

2.3 Realisierung mit Mathcad

Der oben beschriebene Lösungsweg zur PFD-Berechnung

eines Systems mit verschleißbehafteten Komponenten

kann effizient mithilfe von Mathcad [3]

implementiert werden. Ein kommentierter und mit

erklärenden Diagrammen versehener Lösungsvorschlag

ist im Bild dargestellt. Im Vergleich zu proprietären

Lösungen bieten universell einsetzbare Standardprogramme

eine größere Flexibilität und eine

vollständige Kontrolle über die Berechnungsschritte.

Individuelle Lösungen, wie im Beitrag dargestellt,

werden dadurch erst möglich. Ändern sich Randbedingungen

oder die Struktur der Schutzeinrichtung,

so kann mit wenig Aufwand das vorhandene Modell

Mit dem atp-award werden zwei Autoren der atp edition für

hervorragende Beiträge ausgezeichnet. Ziel dieser Initiative

ist es, Wissenschaftler und Praktiker der Automatisierungstechnik

anzuregen, ihre Ergebnisse und Erfahrungen in Veröffentlichungen

zu fassen und die Wissenstransparenz in der

Automatisierungstechnik zu fördern. Teilnehmen kann jeder

Autor der zum Zeitpunkt der Veröffentlichung nicht älter als

35 Jahre ist. Nach Veröffentlichung eines Beitrags ist der Autor,

wenn er die Bedingung erfüllt, automatisch im Pool. Die

Auswahl des Gewinners übernimmt die atp-Fachredaktion.

Derjenige Autor, der im Autorenteam der jüngste ist, erhält

stellvertretend für alle Autoren die Auszeichnung. Der Preis

wird in zwei Kategorien ausgelobt: Industrie und Hochschule.

Die Kategorien ermittlung ergibt sich aus der in dem Beitrag

angegebenen Adresse des jüngsten Autors.

Veröffentlichungen – Beitrag zum Wissenspool im

Fachgebiet Automatisierungstechnik

Die Entwicklung eines Wissensgebietes erfolgt durch einen

kooperativen Prozess zwischen wissenschaftlicher Grundlagenforschung,

Konzept- und Lösungsentwicklung und Anwendung

in der Praxis. Ein solcher Prozess bedarf einer gemeinsamen

Informationsplattform. Veröffentlichungen

sind die essentielle Basis eines solchen Informationspools.

Der atp-award fördert den wissenschaftlichen Austausch

im dynamischen Feld der Automationstechnik. Nachwuchsinge

nieure sollen gezielt ihre Forschungen präsentieren

können und so leichter den Zugang zur Community erhalten.

Der Preis ist mit einer Prämie von jeweils 2000€ dotiert.

Die Auswahl erfolgt in zwei Stufen:

Voraussetzung für die Teilnahme ist die Veröffentlichung

des Beitrags in der atp edition. Jeder Aufsatz, der als Hauptbeitrag

für die atp edition eingereicht wird, durchläuft das

Peer-Review-Verfahren. Die letzte Entscheidung zur Veröffentlichung

liegt beim Chefredakteur. Wird ein Beitrag veröffentlicht,

kommt er automatisch in den Pool der atp-award-

Bewerber, vorausgesetzt einer der Autoren ist zum Zeitpunkt

der Veröffentlichung nicht älter als 35 Jahre. Ausgezeichnet

wird der jüngste Autor stellvertretend für alle Autoren der

Gruppe. Eine Jury aus Vertretern der atp-Fachredaktion

und des -Beirats ermittelt schließlich den Gewinner in den

jeweiligen Kategorien Hochschule und Industrie.

Der Rechtsweg ist ausgeschlossen.

Beiträge richten Sie bitte an:

Oldenbourg Industrieverlag GmbH

Herrn Prof. Leon Urbas

Chefredakteur atp edition / automatisieren! by atp

Rosenheimer Straße 145 • 81761 München

Tel. +49 (0) 89 45051 418 • E-Mail: urbas@oiv.de

Beachten Sie die Autorenhinweise der atp edition

für Hauptbeiträge unter folgendem Link:

http://www.atp-online.de

Bitte senden Sie Ihre Beiträge an: urbas@oiv.de

Hauptbeitrag

DAS MATHCAD-Modell

Berechnung eines verschleiSSbehafteten Systems mithilfe

eines zeitvarianten Markov-Modells und der Weibull-verteilung

Gesamtzahl der Zustände (Anz) und Anzahl der gefährlichen Zustände (Danger) eingeben. Bei der Erstellung des Markov-

Diagramms ist folgendes zu beachten: Zustand 0 ist der Zustand, in dem das System fehlerfrei arbeitet. Die Nummerierung

der Zustände ist so vorzunehmen, dass die gefährlichen Zustände diejenigen mit den höchsten Nummern sind.

Anz := 7 Danger := 6

Parameter definieren (Zeit in Stunden, das heißt Ausfallraten in 1/h bzw. 1 Jahr = 8760 h):

MT := 30 x 8760

T 1 := 1 x 8760

T Rev := 5 x T 1

PTC el := 0.90

MTTR el := 8

MTTR mech := 96

DZ mech := 168

λ du_el :=3 x 10 −7

λ dd_el :=9 x 10 −7

T du := 10 x 8760

b du := 7

T dd := 28 x 8760

b dd := 2.5

Missionszeit (Mission Time), das heißt Anlagenlaufzeit

Zeitintervall der regelmäßigen Wiederholungsprüfung

Revision (Wartung), bei der mechanische Verschleißteile ersetzt werden

Proof Test Coverage der elektronischen Komponenten

Mittlere Reparaturzeit der elektrischen Komponenten (inkl. Diagnosezeit)

Mittlere Reparaturzeit der mechanischen Komponenten

Diagnosezeit der Mechanik (wöchentlicher Teilhubtest eines Ventils)

Ausfallrate der unerkannten Fehler bei den elektrischen Komponenten

Ausfallrate der erkannten Fehler bei den elektrischen Komponenten

Charakteristische Lebensdauer für unerkannte Mechanikausfälle

Formfaktor der Weibull-Verteilung für unerkannte Mechanikausfälle

Charakteristische Lebensdauer für erkannte Mechanikausfälle

Formfaktor der Weibull-Verteilung für erkannte Mechanikausfälle

λ du_mech (t):=

λ dd_mech (t):=

(

)

)

b

b

du –1

du

х mod ( t, T Rev

T du T du

Weibull-Verteilung der unerkannten Ausfälle

(nach der Revision ist die Komponente wie neu)

(

)

)

b

b

dd –1

dd mod ( t, T

х

Rev

T dd T dd

Weibull-Verteilung der erkannten Ausfälle

(nach der Revision ist die Komponente wie neu)

Um Division durch 0 zu vermeiden bei Vernachlässigung der Reparatur- bzw. Diagnosezeit:

MTTR el := wenn (MTTR el = 0, 1, MTTR el )

MTTR mech := wenn (MTTR mech = 0, 1, MTTR mech )

DZ mech := wenn (DZ mech = 0, 1, DZ mech )

BILD 1 Darstellung der Ausfallraten über der Zeit (alle 5

Jahre werden Verschleißteile ersetzt)

BILD 2 Mehrphasen-Markov-Modell:

Bei der Wiederholungsprüfung

finden einmalig nur die gepunkteten

Übergänge „bei Prooftest“ statt.

Sofern im Rahmen der Wiederholungsprüfung

auch eine Revision

durchgeführt wird, findet zusätzlich

noch der gestrichelte Übergang

„bei Revision“ statt. Bei allen

anderen Zeitschritten gelten die

durchgezogenen Übergänge.

Die Matrix P(t) beschreibt die zeitabhängigen Übergangswahrscheinlichkeiten

0 PTC el х λ du_el λ dd_el λ dd_mech (t) λ du_mech (t) 0 (1 – PTC el ) х λ du_el

0 0 0 0 0 0 0

1

0 0 0 0 0 0

MTTR el

2

P(t):= 0 0 0 0 0 0

DZ mech

1

0 0 0 0 0

MTTR mech

0

0 0 0 0 0 0 0

0 0 0 0 0 0 0

44

atp edition

6 / 2012

P(t):=

P f P(t)

for k ∈ 0.. Anz – 1

Anz – 1

P k,k f 1 – ∑ P k,r

r = 0

Diagonalelemente berechnen und in die Matrix einfügen.

Die Matrix Proof beschreibt die Übergänge bei der normalen Wiederholungsprüfung

0 0 0 0 0 0 0

0 0 1 0 0 0 0

Proof :=

0 0 0 0 0 0 0

Übergangsmatrix für den

0 0 0 0 0 0 0

Proof Test definieren.

Proof := P f P(t)

0 0 0 0 0 1 0

for k ∈ 0.. Anz – 1

Diagonalelemente berechnen

und in die Matrix einfügen.

Anz – 1

Alle gefährlichen Zustände zur Zeit t aufsummieren

PFD t f ∑ S n

und im Ergebnis- Vektor PFD speichern

0 0 0 0 0 0 0

Anz – 1

0 0 0 0 0 0 0

P k,k f 1 – ∑ P k,r

r = 0

Die Matrix Rev beschreibt die Übergänge bei der Revision

Rev :=

0 0 0 0 0 0 0

Übergangsmatrix für die

0 0 1 0 0 0 0

Revision definieren.

0 0 0 0 0 0 0

(Zusätzlich zum normalen

0 0 0 0 0 0 0

Rev := P f Rev

Prooftest findet noch

0 0 0 0 0 1 0

for k ∈ 0.. Anz – 1

der Übergang von Zustand

0 0 0 0 0 0 0

Anz – 1 Diagonalelemente berechnen

6 in den Zustand 2 statt)

0 0 1 0 0 0 0

P und in die Matrix einfügen.

k,k f 1 – ∑ P k,r

r = 0

Markov-Kette mithilfe der Chapman-Kolmogorov-Gleichung berechnen

Startvektor definieren (Erstes Element ist 1, alle anderen Elemente sind 0)

s := 0.. Anz − 1

Ergebnisvektor definieren, indem das letzte Element

S s := 0

Null gesetzt wird.

S 0 := 1

(Alle anderen Elemente werden dann ebenfalls Null)

PFD MT := 0

PFD := for t ∈ 1.. MT

S f P(t) T х S if mod(t, T 1 ) ≠ 0

Normalen Zeitschritt berechnen

S f Proof T х S if mod(t, T 1 ) = 0 mod(t, T Rev ) ≠ 0

Prooftest (ohne Revision)

S f Rev T х S if mod(t, T Rev ) = 0

Revision

n = Anz–Danger

Darstellung der zeitabhängigen PFD(t)

PFD avg := Mittelwert (PFD)

PFD avg := 2.52 х 10 −3

BILD 3

atp edition

6 / 2012

45

Hauptbeitrag

an die neue Situation angepasst und die Rechnung „auf

Knopfdruck“ erneut durchgeführt werden.

Das Beispiel wurde mit Mathcad 14 erstellt. Auf einem

Laptop mit Intel T7300 Prozessor (2 GHz) beträgt

die Rechenzeit mit den angegebenen Parametern zirka

40 Sekunden.

Fazit

Die Berechnung der PFD mithilfe eines Markov-Modells

stößt immer dann an Grenzen, wenn die Übergangswahrscheinlichkeiten

zeitveränderlich sind. Dies

ist beispielsweise dann der Fall, wenn zu bestimmten

Zeitpunkten Prüf- beziehungsweise Wartungsarbeiten

durchgeführt werden oder die Ausfallraten über der

Zeit nicht konstant sind. Für den erstgenannten Fall

wird in der neuen Ausgabe der EN 61508, Teil 6 ein

Lösungsvorschlag in Form eines Mehrphasen-Markov-

Modells vorgestellt. Hierbei wird zu den besagten Zeitpunkten

auf eine andere Wahrscheinlichkeitsmatrix

„umgeschaltet“, um zum Beispiel den Effekt der regelmäßigen

Wiederholungsprüfung bei der PFD-Berechnung

korrekt zu berücksichtigen. Ändern sich die Ausfallraten

kontinuierlich (wie zum Beispiel bei verschleißbehafteten

Elementen), kann dies nicht durch

Mehrphasen-Markov-Modelle modelliert werden. Vielmehr

erfordert dies eine Erweiterung der Methode,

sodass die einzelnen Elemente der Wahrscheinlichkeitsmatrix

selbst zeitabhängige Funktionen darstellen.

In beiden Fällen (Mehrphasen-Markov-Modelle

und zeitabhängige Übergangswahrscheinlichkeiten)

stoßen proprietäre Programme zur Markov-Modellierung

an ihre Grenzen.

Universelle Mathematik-Programme wie Mathcad bieten

die Funktionalität und Flexibilität, um Mehrphasen-

Markov-Modelle mit zeitabhängigen Übergangswahrscheinlichkeiten

zu beschreiben und zu berechnen. Der

Bedienungskomfort und die Funktionalität heutiger

Mathematik-Programme sind so weit fortgeschritten,

dass die Implementierung eines Modells sowie des dazugehörigen

Lösungsalgorithmus ohne nennenswerte

Einarbeitung möglich ist.

Manuskripteingang

13.03.2012


Autor

Dr.-Ing. Andreas

Hildebrandt (geb. 1959)

machte eine Ausbildung

zum Informationselektroniker

bei der BASF AG,

Ludwigshafen. Studium

der Elektrotechnik mit

anschließender Promotion

am Lehrstuhl für Mikroelektronik

an der TU Kaiserslautern.

Seit 1996 Mitarbeiter bei der Pepperl+Fuchs

GmbH, Mannheim, als Entwicklungsingenieur,

später als Leiter des Prüflabors.

Seit 2006 leitet er die Gruppe „Schulung

und Gremienarbeit“. Vorsitzender der ZVEI-

Arbeitsgruppe „EMV“, Mitarbeit bei DKE

K 767.0.4, DKE GK 914, sowie dem FA 6.13

der Gesellschaft Mess- und Automatisierungstechnik

(GMA) des VDI/VDE. Hauptarbeitsgebiete:

Explosionsschutz, funktionale

Sicherheit, EMV und Feldbus-Systeme.

Pepperl+Fuchs GmbH,

Lilienthalstr. 200,

D-68307 Mannheim,

Tel. +49 (0) 621 776 14 54,

E-Mail: ahildebrandt@de.pepperl-fuchs.com

Referenzen

[1] Hildebrandt, A.: SIL-Bewertung von Mechanik,

atp edition – Automatisierungstechnische Praxis

53(1-2), 2011

[2] Pukite, J. und Pukite, P.: Modeling für Reliability

Analysis, IEEE Press

[3] Trölß, J.: Angewandte Mathematik mit Mathcad,

Band 1 – 4, Springer Verlag

[4] EN 61508 Teil 6: Edition 2: Funktionale Sicherheit

sicherheitsbezogener elektrischer/elektronischer/

programmierbarer elektronischer Systeme,

Teil 6: Anwendungsrichtlinie für IEC 61508-2 und

IEC 61508-3, Februar 2011

[5] EN 61511, Teil 1 - 3: Funktionale Sicherheit – Sicherheitstechnische

Systeme für die Prozessindustrie,

Mai 2005

[6] VDI/VDE 2180, Blatt 1 - 5: Sicherung von Anlagen der


(PLT), 2009

46

atp edition

6 / 2012

Herausforderung


Mit dem atp-award werden zwei Autoren der atp edition

für hervorragende Beiträge ausgezeichnet. Ziel dieser

Initiative ist es, Wissenschaftler und Praktiker der

Automatisierungstechnik anzuregen, ihre Ergebnisse

und Erfahrungen in Veröffentlichungen zu fassen und

die Wissenstransparenz in der Automatisierungstechnik

zu fördern.

Teilnehmen kann jeder Autor der zum Zeitpunkt

der Veröffentlichung nicht älter als 35 Jahre ist. Nach

Veröffentlichung eines Beitrags ist der Autor, wenn er

die Bedingung erfüllt, automatisch im Pool. Die Auswahl

des Gewinners übernimmt die atp-Fachredaktion.

Derjenige Autor, der im Autorenteam der jüngste ist,

erhält stellvertretend für alle Autoren die Auszeichnung.

Der Preis wird in zwei Kategorien ausgelobt:

Industrie und Hochschule. Die Kategorien ermittlung

ergibt sich aus der in dem Beitrag angegebenen Adresse

des jüngsten Autors.

Veröffentlichungen – Beitrag zum Wissenspool

im Fachgebiet Automatisierungstechnik

Die Entwicklung eines Wissensgebietes erfolgt durch

einen kooperativen Prozess zwischen wissenschaftlicher

Grundlagenforschung, Konzept- und Lösungsentwicklung

und Anwendung in der Praxis. Ein solcher

Prozess bedarf einer gemeinsamen Informationsplattform.

Veröffentlichungen sind die essentielle Basis

eines solchen Informationspools.

Der atp-award fördert den wissenschaftlichen Austausch

im dynamischen Feld der Automationstechnik.

Nachwuchsingenieure sollen gezielt ihre Forschungen

präsentieren können und so leichter den Zugang zur

Community erhalten. Der Preis ist mit einer Prämie

von jeweils 2000€ dotiert.

Die Auswahl erfolgt in zwei Stufen:

Voraussetzung für die Teilnahme ist die Veröffentlichung

des Beitrags in der atp edition. Jeder Aufsatz,

der als Hauptbeitrag für die atp edition eingereicht

wird, durchläuft das Peer-Review-Verfahren. Die

letzte Entscheidung zur Veröffentlichung liegt beim

Chefredakteur. Wird ein Beitrag veröffentlicht, kommt

er automatisch in den Pool der atp-award-Bewerber,

vorausgesetzt einer der Autoren ist zum Zeitpunkt

der Veröffentlichung nicht älter als 35 Jahre. Ausgezeichnet

wird der jüngste Autor stellvertretend für alle

Autoren der Gruppe. Eine Jury aus Vertretern der atp-

Fachredaktion und des -Beirats ermittelt schließlich

den Gewinner in den jeweiligen Kategorien Hochschule

und Industrie. Der Rechtsweg ist ausgeschlossen.

Beiträge richten Sie bitte an:


Herrn Prof. Leon Urbas

Chefredakteur atp edition / automatisieren! by atp

Rosenheimer Straße 145

81761 München

Tel. +49 (0) 89 45051 418

E-Mail: urbas@oiv.de

Beachten Sie die Autorenhinweise der atp edition für

Hauptbeiträge unter folgendem Link:

http://www.atp-online.de

Bitte senden Sie Ihre Beiträge an:

urbas@oiv.de

Vom Wettbewerb ausgeschlossen sind Mitarbeiter des Oldenbourg Industrieverlags. Wird ein Beitrag von mehreren Autoren eingereicht, gelten die Bedingungen für den Erstautor. Der Preis

als ideeller Wert geht in diesem Fall an die gesamte Autorengruppe, die Dotierung geht jedoch exklusiv an den jüngsten Autor. Grundlage der Teilnahme am Wettbewerb ist die Einsendung

eines Hauptaufsatz-Manuskriptes an die atp-Chefredaktion.

www.atp-online.de

hauptbeitrag

Komplexe

PLT-Schutzeinrichtungen

Entwicklung, Umsetzung und Instandhaltung

Die Anwendung komplexer Schutzfunktionen wird durch Standards wie IEC 61511 abgedeckt.

Wesentliche Voraussetzungen sind eine vollständige Spezifikation und klar

definierte Entwicklungs- und Prüfprozesse. Jedoch sind die in IEC 61511 genannten Anforderungen

in einigen Teilbereichen nicht ausreichend, und das Einbeziehen von zusätzlichen

Standards, zum Beispiel IEC 61508, ist notwendig. Der Beitrag beschreibt ein Vorgehen,

das den Besonderheiten von komplexen Schutzeinrichtungen in der Prozessindustrie

Rechnung trägt.

SCHLAGWÖRTER Komplexe Schutzfunktionen / V-Modell / IEC 61511 / IEC 61508

Complex E&I-Safety Functions –

Development, Implementation and Maintenance

The application of complex safety functions is covered by established standards like

IEC 61511. Significant requirements include a comprehensive specification and a defined

development and verification process. However, in some parts the requirements of

IEC 61511 are not sufficient and the integration of additional standards, for example

IEC 61508, is necessary. This article describes a procedure which takes the characteristics

of complex safety functions into account.

KEYWORDS Complex based safety functions / V-Model / IEC 61511 / IEC 61508

48

atp edition

6 / 2012

Susann Haase, Dirk Hablawetz, Thomas Hauff, Michael Krauß, Felix Lenhart, BASF

Verfahrenstechnische Prozesse werden kontinuierlich

weiterentwickelt und führen zu einer

besseren Produktqualität und höheren Anlagenausbeute.

In den vergangenen Jahren wurden

leistungsfähige sicherheitsgerichtete speicherprogrammierbare

Steuerungen (SSPS) entwickelt,

mit denen auch komplexe Schutzfunktionen als Online-

Realisierung eingesetzt werden können. Die technischen

Weiterentwicklungen der Hard- und Software ermöglichen

dabei neue Lösungen, vergleichbar mit früher nicht

realisierbaren elektronischen Stabilitätsprogrammen in

Kraftfahrzeugen.

Komplexe Schutzsysteme sind gekennzeichnet durch

einen hohen Anteil an verfahrenstechnischen Aspekten

in der Spezifikation. Oft ist es nicht möglich, die einzelnen

sicherheitstechnischen Funktionen direkt auf der

prozessleittechnischen Ebene zu definieren, wie das bei

einfachen Schutzfunktionen, zum Beispiel Temperatur-

Maximum-Abschaltungen, möglich ist. Komplexität

kann dabei durch komplexe Produktionsabläufe oder

aufwendige mathematische Modelle zur Berechnung von

sicherheitsrelevanten Größen beziehungsweise deren

Wechselwirkung gegeben sein. Die Ermittlung nicht direkt

messbarer Größen kann ein numerisches Lösungsverfahren

benötigen, das nur in einer höheren Programmiersprache

realisiert werden kann. Unabhängig von der

Art des Lösungsverfahrens oder dessen Umsetzung werden

für komplexe PLT-Schutzeinrichtungen eine den

gesamten Sicherheitslebenszyklus umfassende Methodik

und insbesondere klare organisatorische Prozesse, Rollen

und Verantwortlichkeiten benötigt.

Überall dort, wo es nicht mehr möglich ist, die Komplexität

der Applikation mit den Mitteln der IEC 61511 [1]

abzudecken, ist es möglich, methodische Anleihen von

anderen sektorspezifischen Sicherheitsstandards zu nutzen,

wie zum Beispiel die ISO 26262 für die Automobiltechnik.

Der oft bessere Weg ist der Rückgriff auf den

sicherheitstechnischen Basisstandard IEC 61508 [2], was

jedoch mit überproportionalem Aufwand auf die spezifische

Entwicklung von Speziallösungen assoziiert wird.

Allerdings zeigt ein genauerer Blick auf den Anhang G

der IEC 61508 Teil 3, welcher Komplexitätsgrad für die

erforderliche Sicherheitsintegrität definiert werden

muss, (Bild 1) und daraus abgeleitet, welche notwendigen

Maßnahmen beachtet werden müssen. Die Komplexitätskategorie

G4 ist in vielen Fällen für komplexe Schutzfunktionen

ausreichend und damit aufwandsreduziert

gegenüber G7.

Basierend auf der IEC 61508-3 wird in diesem Beitrag

ein Rahmen für den Entwicklungs- und Umsetzungsprozess

von funktional und steuerungstechnisch komplexen

Schutzeinrichtungen im verfahrenstechnischen Umfeld

beschrieben. Der Schwerpunkt liegt dabei auf der Entwicklung

und Verifikation der Applikationssoftware im

Kontext eines geeigneten Gesamtkonzepts.

Im Rahmen der in den zitierten Normen genannten

Anforderungen an Methodik, Prozesse und Verantwortlichkeiten

sind insbesondere folgende Aspekte in einem

Gesamtkonzept zu beachten:

Spezifikation der Anforderungen an die sicherheitstechnische

Anwendung,

Berücksichtigung von speziellen und spezifischen

Betriebsarten,

erlaubte Sprachenteilmengen für die Realisierung

dieser Anwendung (Spracheinschränkungen),

Entwurfsmethoden zur Kombination der

Sprachen teilmengen (Codierrichtlinien),

Spezifikation der Eingabeparameter für die

Anwendung,

Rahmenkriterien für die Verifikation, die unter

anderem die Kombinationen möglicher Systemzustände

abdecken,

Validierung aller Kombinationen der Eingabeparameter,

notwendige Dokumentation mit möglichst allgemein

verständlicher Darstellung.

Diese Vorgehensweise für die Implementierung von

Schutzfunktionen wird auf komplexe Schutzfunktionen

mit einem unterlagerten chemisch-physikalischen Modell

angewendet. Die Bereiche Spezifikation, Dokumentations-

atp edition

6 / 2012

49

Hauptbeitrag

und Validierungskonzept sowie Softwareverifizierung

werden hierbei besonders betont. Projektspezifisch kann

die Gewichtung der dargestellten Aspekte variieren. Insbesondere

werden auch die Vorteile der Kombination der

Sicherheitssteuerungen Himax mit der Realisierungsplattform

SPHINX [3] zur Nutzung der Programmiersprache C

diskutiert, durch welche die Erfüllung von Anforderungen

der IEC 61508-3 erheblich erleichtert wird.

Ziel des Artikels ist die Darstellung eines möglichen

Vorgehensmodells aus der Praxis zur Realisierung komplexer

Schutzeinrichtungen in der Prozessindustrie für

alle im Sicherheitslebenszyklus beteiligten Personen und

Organisationen. Lösungen in der Prozessindustrie sind

überwiegend Unikate beziehungsweise haben maximal

Kleinseriencharakter. Es besteht daher ein Bedarf an

Vorgehensweisen und Realisierungsplattformen, die geringen

Anwendungszahlen gerecht werden, aber dennoch

auf effiziente und effektive Weise den gesamten

Sicherheitslebenszyklus abdecken. Ein solcher Ansatz

wird hier dargestellt.

1. Implementierung komplexer Schutzfunktionen

Sicherheit ist das Resultat angemessener Qualitätsprozesse,

die mit einer Spezifikation beginnen. Aus dieser

Sicht sind die IEC 61511 und die IEC 61508 inhaltlich

ähnlich zu Normen für Qualitätssicherung und Anwendungen

im validierungspflichtigen Umfeld, zum Beispiel

GMP (Good Manufacturing Practice)-Richtlinien der

Pharmaproduktion [4-7]. Gemeinsame Elemente dieser

Standards und Methoden sind:

Es müssen klare Prozesse für Spezifikation, Entwicklung,

Implementierung, Verifizierung, Validierung,

Dokumentation und Betrieb existieren.

Kompetenzen und Verantwortlichkeiten müssen

eindeutig definiert sein.

Es müssen verbindliche Schnittstellen für die Kooperation

zwischen verschiedenen beteiligten Einheiten

existieren.

Die Dokumentation muss problemspezifisch zugeschnitten

und zielgruppenorientiert hierarchisch

organisiert sein (V-Modell [8]) und muss nachvollziehbare

Aussagen über Annahmen, Rechtfertigungen

und Einschränkungen machen.

Die Rückverfolgbarkeit der Anforderungen, Implementierungs-

und Validierungsdetails muss gegeben

sein.

Bei der technischen Realisierung von komplexen

Schutzsystemen sind meist zahlreiche fachlich spezialisierte

Einheiten beteiligt, sodass die Organisation

äußerst anspruchsvoll ist. Das betrifft beispielsweise

die Erarbeitung der chemisch-physikalischen Zusammenhänge

und die Entwicklung eines zugehörigen,

onlinefähigen (das heißt, in der SSPS realisierbaren)

Algorithmus. Auch die Ausarbeitung von Verifikations-

und Validierungsmaßnahmen sowie die Erstellung

von Betriebsanweisungen werden typischerweise

von Personen aus verschiedenen Organisationen übernommen.

Die Wechselwirkungen zwischen diesen

Schritten sind zu beachten und erfordern eine intensive

Kooperation und Vernetzung der beteiligten Facheinheiten

unter einem Koordinator, welcher das komplette

Sicherheitskonzept detailliert kennt, zum Beispiel

dem Verfahrensgeber. Dabei muss insbesondere

die Spezifikation des Schutzsystems als integraler Teil

des Produktionsverfahrens begriffen werden. Bei der

Organisation ist zu beachten, dass im sicherheitstechnischen

Umfeld all diese Schritte im 4-Augen-Prinzip

verifiziert werden sollten. Zur Definition und gegenseitigen

Abgrenzung von Entwicklungsschritten und

Verantwortlichkeiten kann zweckmäßigerweise eine

RACI-Matrix verwendet [9] werden. In dieser wird der

gesamte Lebenszyklus beachtet (inklusive Management

of Change, bei komplexen Systemen insbesondere das

Know-how-Management).

In der Programmierung muss die höhere Komplexität,

welche durch numerische Lösungsverfahren hervorgerufen

wird, berücksichtigt werden. Die IEC 61511 konzentriert

sich bei der Umsetzung von Sicherheitsfunktionen

maximal auf Programmiersprachen mit eingeschränktem

Sprachumfang. Komplexe Sicherheitsfunktionen

benötigen oft eine Programmiersprache mit einem

höheren Funktionsumfang als zum Beispiel Structured

Text (ST). Diese stehen jedoch außerhalb des Fokus der

IEC 61511. Die IEC 61511 bezieht sich spezifisch auf den

Sektor der Prozessindustrie, unterstützt den Anwender

jedoch wenig bei der Wahl geeigneter Verfahren für Umsetzung

und Verifikation komplexer Funktionen. Die

IEC 61508 hingegen hat einen eher generischen Ansatz

und bietet eine Auswahl an Methoden und Verfahren,

aus denen der Anwender die für seine Applikation passenden

heraussuchen kann.

1.1 Dokumentation im Entwicklungsprozess

Die Dokumentation über das V-Modell sollte, wie bereits

erwähnt, vollständig und rückverfolgbar sein. Hier sind

drei wesentliche Aspekte zu beachten:

Physikalisch-chemische Modellgleichungen bilden

die Realität nur unvollkommen ab. Die Annahmen

und Voraussetzungen für die Gültigkeit und Anwendbarkeit

dieser Gleichungen müssen dokumentiert

und begründet werden.

Jede im V-Modell tiefer liegende Anforderung an die

Implementierung und jeder Aspekt der Realisierung

muss auf Anforderungen der Spezifikation zurückgeführt

werden können.

Übergeordnete Dokumente müssen für jede Produktionsanlage

bezüglich des mathematischen und ablauforientierten

Teils in den projektspezifischen

Dokumenten konkretisiert werden.

Eine geeignete Dokumentenstruktur soll insbesondere

definierte Schnittstellen zwischen den beteiligten Einheiten

sicherstellen. Die Dokumentationsstruktur muss

zu den Rollen und Verantwortungen (RACI-Matrix [9])

passen.

50

atp edition

6 / 2012

BILD 1: Freiheitsgrad

gegen Komplexität

bei datengesteuerten

Systemen

SIS Realisierungsphase SIS Analysephase Sicherheitskonzept

Review

Spezifikation des

Sicherheitskonzeptes

Review

Modellentwicklung

Entwurfsprüfung

Generisch

Gefährdungs- und

Riskoanalyse

Projektspezifisch (SSPS)

Prüfungen

Zuordnung der

Schutzmaßnahmen

Spezifikation der PLT -

Schutzeinrichtungen

Verfahrenstechnisch e

Validierung

Planung, Projektierung,

Validierungsplanung

S IS Betriebsphase

Funktionale

Validierung

Implementierung und

Inbetriebnahme

Inbetriebnahmeprüfung

Werksabnahme,

Softwareprüfung

Modifikation

Betrieb und Wartung

Wiederholungsprüfung

BILD 2: Vereinfachte

Darstellung des V-Modells

für eine komplexe

Schutzeinrichtung

1.2 Prozesse im V-Modell

Im V-Modell (Bild 2) ist ein Realisierungsprozess für

ein Schutzsystem skizziert. Komplexe Schutzsysteme

sind als Verfahrensbestandteil zu betrachten. Solche

Verfahren werden in der Regel in mehreren Produktionsanlagen

genutzt, sodass es sinnvoll ist, zwischen

einer generischen, das heißt projektübergreifenden allgemeinen

Beschreibung, und einer projektspezifischen

Individualisierung zu unterscheiden. Bild 2 zeigt, welche

Abschnitte des V-Modells generisch oder projektspezifisch

sind, oder jeweils sowohl generisch als

auch projektspezifisch durchgeführt werden sollten.

Die generische Implementierung dient als Referenzmodell

für die methodisch und algorithmisch identische,

projektspezifische Implementierung. Im generischen

Teil des V-Modells werden die konkreten Methoden

und Standards festgelegt, zum Beispiel die Aufteilung

der Programm-Funktionen in einzelne Module. Diese

werden im projektspezifischen Teil verwendet. Mit

diesem Ansatz lassen sich viele Forderungen der

IEC 61508 bereits in der Entwicklungsphase der Online-Implementierung

erfüllen. In der Projektphase

muss nur noch auf projektspezifische Aspekte wie die

atp edition

6 / 2012

51

Hauptbeitrag

Anpassung der generischen Prozessabläufe an die jeweilige

Anlage geachtet werden. Das Referenzmodell

wird zur Prüfung der projektspezifischen Realisierung

verwendet.

Typischerweise wird eine komplexe Funktion vor

der Implementierung auf der SSPS auf einem Entwicklungs-PC

getestet. Wenn auf SSPS und Entwicklungs-

PC dieselbe Programmiersprache verwendet werden

kann, entstehen hierdurch mehrere Synergien. Implementierung

und Verifikation vereinfachen sich besonders,

wenn ausgehend von einem Programm mithilfe

zweier Compiler sowohl Code für den PC als auch für

die SSPS erzeugt werden kann. Oft kann dann zusätzlicher

Entwicklungsaufwand vermieden werden, um

Algorithmen an Limitierungen, wie Speicher oder Rechenzeit,

der Realisierungsplattform anzupassen.

Im Zusammenhang mit komplexen Schutzfunktionen

sind einige Teilprozesse dieses V-Modells besonders

relevant. So muss die Spezifikation vollständig

sein und alle funktionalen Festlegungen abdecken.

Auch die Schritte, Zustände und erlaubten Transitionen

des Produktionsverfahrens müssen beschrieben

sein. Die Dokumentation muss methodisch aufgebaut

und leicht verständlich sein. Details der Implementierung

müssen bis zur Spezifikation der verfahrenstechnischen

Anforderungen rückverfolgbar sein. Das Validierungskonzept

muss spezifisch an Fragestellung und

Plattform adaptiert sein.

2. Spezifikation der Sicherheitsfunktionen

Die Spezifikation komplexer Schutzsysteme muss sich

am Begriff der funktionalen Sicherheit (IEC 61511) orientieren.

Funktionale Sicherheit umfasst den Teil der

gesamten Betriebssicherheit, die von der korrekten Funktion

eines Systems abhängt.

Aus der generischen Beschreibung muss erkennbar

sein, wie eine projektspezifische Umsetzung erfolgen

soll. Fahrweisen, Betriebszustände, Reaktionsfortschritte

und Rezeptphasen müssen daher Teil der Spezifikation

sein. Die Spezifikation ist damit untrennbarer

Bestandteil des Produktionsverfahrens. Das System

muss geeignet sein, unabhängig von Anlagenzuständen,

Nutzereingaben, induzierten oder intrinsischen Fehlern

selbstständig mit der erforderlichen Zuverlässigkeit

einen sicheren Zustand aufrechtzuerhalten. Das

Ziel der funktionalen Sicherheit ist, mittels geeigneter

technischer Einrichtungen die vom System ausgehenden

Gefahren und Risiken auf das erforderliche Niveau

zu reduzieren.

2.1 Vollständigkeit der Spezifikation

Bei einer Spezifikation kommt es auf Vollständigkeit

an (Bild 3). Das bedeutet, dass alle Aussagen begründet

und die verfahrenstechnischen Aspekte der

Schutzfunktionen restlos geklärt sein sollen. Besonderer

Wert soll in der Spezifikation daher auf das Zustandsdiagramm

der Prozesszustände, auf die mathematischen

Berechnungen und die Architektur des

Systems gelegt werden. Die Interaktionen zwischen

dem Bedienpersonal (zum Beispiel wechselnde Rezepte,

die händische Eingaben in die Sicherheitssteuerung

bedingen) und funktionaler Sicherheit sind zu

beachten. Die Beschreibung des Eingangs- und Ausgangsverhaltens

soll vollständig sein. Schutzsysteme

sind nicht nur durch die Reaktion auf vorhersehbare,

sondern auch auf alle möglichen Eingangssignale gekennzeichnet.

Daher ist festzulegen, welche Fehlersituationen

auf welche Weise zu erkennen und wie sie

abzufangen sind.

Die Spezifikation muss folgende verfahrenstechnische

Punkte umfassen:

Beschreibung der chemisch-physikalischen Gleichungen

Beschreibung der sicherheitsrelevanten Funktionen

Beschreibung der einzuhaltenden Randbedingungen

Trennung zwischen sicherheitsrelevanten und nichtsicheren

Funktionen und Einrichtungen

Abgrenzung der Sicherheitsfunktionen zu gegebenenfalls

möglichen sicherheitsrelevanten organisatorischen

Regelungen, zum Beispiel Anfahrüberbrückungen

Verhalten in Sondersituationen (Fehlerbehebung,

An- und Abfahren, Forcen, Hardware-Panel mit

Schlüsselschaltern zur Anfahrüberbrückung)

Kopplung zum PLS und Betriebsdateninformationssystem

Bild 3: Eine gute Spezifikation setzt sich aus

methodischen und inhaltlichen Aspekten zusammen.

52

atp edition

6 / 2012

2.2 Definition eines Zustandsgraphen

Häufig läuft die Fahr- oder Betriebsweise eines Prozesses

diskontinuierlich ab. Um ungewollte Zustände und

Zustandsübergänge zu vermeiden, müssen zunächst

alle Zustände und gewollten Zustandsübergänge (Transitionen)

definiert sein. Dazu empfiehlt sich eine Struktur

nach Bild 4. Zustandsübergänge, die nicht explizit

definiert und damit erlaubt sind, sind verboten. Die

Logiken zur Weiterverarbeitung der Zustände sind zustandsfrei

und enthalten den jeweils aktiven Zustand

als Eingangsvariable. Es ist sinnvoll, je programmtechnischem

Durchlauf der Steuerung maximal einen einzigen

Zustandsübergang zu erlauben. Eine Realisierung

der Struktur nach Bild 4 erleichtert dann die Verifikation,

denn alle steuerungstechnisch möglichen Zustände

und Transitionen sind unmittelbar erkennbar.

Es kann erforderlich sein, diese Vorgehensweise zu kaskadieren,

zum Beispiel können Logiken in Erweiterung zu

diesen Ausführungen selbst wieder Zustandsgraphen enthalten.

Solange sichergestellt wird, dass Zustandsgraphen

nur auf unterlagerte Logiken wirken, ergibt sich damit eine

übersichtliche und leicht prüfbare Struktur [10].

2.3 Numerisches Lösungsverfahren

Die mathematischen Berechnungen in einer Schutzfunktion

sind sehr anwendungsspezifisch und werden daher

hier nicht thematisiert. Die Spezifikation soll jedoch

zumindest die geforderte Genauigkeit und Qualitätskriterien

(zum Beispiel Konvergenz, Stabilität) des Lösungsverfahrens

angeben. Außerdem dürfen die Eingangswerte

nicht die (zu spezifizierenden) Voraussetzungen des

Algorithmus verletzen. Die Konzeption der Lösungsverfahren

erfolgt problemspezifisch.

2.4 Architektur des Schutzsystems

Die Anforderungen an die Architektur des Schutzsystems

sollten in der generischen Spezifikation beschrieben

werden. Ebenso sollte beschrieben werden, wie diese

Spezifikation in eine projektspezifische Spezifikation

überführt werden soll. Der Übergang von Anforderungen

zur Lösungsdokumentation ist zu gestalten. Der Abschnitt

über die Architektur des Systems definiert insbesondere

folgende Systemteile:

Art der Datengewinnung (Sensorgruppen mit

N-out-of-M-Schaltungen) mit Diagnose und

Meldungskonzept

Integration grundlegender Schutzfunktionen (zum

Beispiel Rückstromverhinderung)

Realisierung der Zustandsübergänge

Durchführung der mathematischen Berechnungen

Art der Systemreaktionen (Aktorgruppen mit

N-out-of-M-Schaltungen)

2.5 Sensitivitätsanalyse

Bereits in der Spezifikationsphase sollte eine Sensitivitätsanalyse

durchgeführt werden, um sicherzustellen,

Bild 4:

Separierung von

Zustandsbehandlung

und Logik

atp edition

6 / 2012

53

Hauptbeitrag

Bild 5: Prüfkonzept für

komplexe modellbasierte

Schutzfunktionen

Sichere

Schutzfunktionen

Start

Prozesssimulation

Step = 0

Z1

Step< 10

Mehrfachverwendung

des

C odes

1. Prüfung des Codes

auf dem PC

2. Wiederholungsprüfung

auf der Steuerung

3. Bewährtheit durch

Verwendung als

Planungstool

P rozes s abläufe

1. Einfacher

Zustandsautomat

2. Verbot von nicht

sinnvollen Transitionen

S oftwarevalidierung

1. Erfüllung der IEC 61508 -3

2. Hilfe durch

Implementierungsplattform

SPHINX

nein

ja

Temperaturberechnung

(monoton steigend)

Volls tändige S pezifikation

Z2

nein

Temperaturschwellwert

überschritten?

ja

Z3

Berechnungsvariante

1

Berechnungsvariante

2

Step = Step + 1

Ende

Z4

Bild 7: Programmablaufplan

Bild 6: Die wichtigsten Maßnahmen

in der Programmvalidierung

dass mit der geplanten Methode die geforderte Genauigkeit

eingehalten werden kann. Die Sensitivitätsanalyse

ermittelt auf Basis von Daten über Messfehler oder Ungenauigkeiten

von Materialparametern Aussagen über zu

erwartende Fehlerbereiche. Liegen nur geringe Fehler vor,

die zum Beispiel während des Betriebs kurzzeitig in den

erlaubten Fehlerbereich führen, ist der Fehler anders zu

bewerten als eine Überschreitung des tatsächlichen Berstdrucks

eines Behälters. Die konkrete Umsetzung wird in

der projektspezifischen Spezifikation beschrieben.

3. Prüfkonzept des Sicherheitssystems

Die Verifizierung des Systems baut im Wesentlichen auf

dem 4-Augen-Prinzip auf. Verifizierung ist damit ein

kontinuierlicher Prozess, der parallel zum Entwicklungsprozess

läuft, und keine punktuelle Bewertung. Das

erfordert eine nachvollziehbare Dokumentation und eine

leicht verständliche Implementierung, sodass die Prüfung

so weit wie möglich unabhängig von den Entwicklern

oder Spezialisten durchgeführt werden kann.

Eine Säule im vorgestellten Konzept ist die Verwendung

der Implementierungsplattform SPHINX [3] (Bild

5). Diese Plattform unterstützt den Anwender bei der

Erfüllung der IEC 61508, da aus einer neutralen Beschreibung

ein C-Programm mit eingeschränktem Sprachumfang

und erfüllten Programmierrichtlinien erzeugt wird.

Dieses C-Programm kann sowohl auf C-fähigen SSPS als

auch auf dem Entwicklungs-PC ausgeführt und getestet

werden. Auch statische und dynamische Tests werden

durchgeführt.

54

atp edition

6 / 2012

Neben dieser Mehrfachverwendung des Codes sind

einfache Prozessabläufe eine wichtige Säule in der Erstellung

sicherer Schutzfunktionen. Diese Prozessabläufe

werden durch einen Zustandsautomaten beschrieben,

der möglichst wenig Zustände und Transitionen hat.

Diese Prozesszustände sollten mit einem Standardtool

realisiert werden, das die Validierung vereinfacht [10].

Historische Anlagedaten, wenn sie aus dem Betrieb

vergleichbarer Anlagen mit anderen Schutzkonzepten

vorhanden sind, bilden eine gute Basis für den Test der

Implementierung und Referenzimplementierung (Bild 2).

Nach Startup eines komplexen Schutzsystems können

solche Daten auch zur Weiterentwicklung und Pflege der

Schutzfunktion verwendet werden. Dabei ist es möglich,

diese historischen Produktionsdaten künstlich so zu verändern,

dass Reaktionen des Schutzsystems provoziert

werden. Zusätzlich kann die Referenzimplementierung

zu Planungs- und Analysezwecken verwendet werden,

was die Bewährtheit und damit die Fehlerarmut fördert.

Die Nutzung von C-Modulen in der SSPS unterstützt die

Prüfung mit Referenzdaten, denn diese Module können

unverändert auch auf dem PC ausgeführt werden.

3.1 Programmiersprache und -richtlinie

Eine wesentliche Anforderung der IEC 61508 Teil 3 ist die

Wahl einer geeigneten Programmiersprache. IEC 61508

Teil 3 unterscheidet zwischen Limited Variability Languages

(LVL) und Full Variability Languages (FVL). Der Verifikationssaufwand

für Programme mit einer LVL ist

wegen des geringeren Fehlerpotenzials deutlich niedriger

als für FVL. C als Sprache ist dafür eine gute Wahl, wenn

der Sprachumfang auf eine LVL eingeschränkt wird. Eine

drastische Einschränkung ist möglich und erlaubt die

Realisierung einer Plattform SPHINX [3]. Zusätzliche Anforderungen

der IEC 61508 Teil 3, die von C nicht inhärent

erfüllt werden, werden durch SPHINX abgedeckt. Diese

Plattform schränkt den Sprachumfang von C erheblich

ein, der erzeugte Code erfüllt automatisiert geforderte Programmierrichtlinien

und unterstützt bei der Verifikation.

Durch den hohen Verbreitungsgrad von C sind unterschiedliche

Compiler erhältlich, deren Ergebnisse gegeneinander

abgeglichen werden können.

3.2 Softwareverifikation

Die Softwareverifikation (Bild 6) anhand der IEC 61508

Teil 3 [2] hat hohe Anforderungen. Durch eine LVL werden

unüberschaubare Programmabläufe durch Sprünge

und die Verwendung von Pointern ausgeschlossen.

Auch bei umfangreichen Programmen mit Schleifen

und vielen Verschachtelungen von Abfragen müssen

die korrekte Funktionalität und ein fehlerfreier Programmablauf

sichergestellt werden können. Hierbei

unterstützt SPHINX umfangreich, indem das Tool drei

Versionen C-Code erstellen kann:

Online-Version inklusive Tests zur Laufzeit

(auf der SSPS)

Offline-Version identisch zur Online-Version

(auf PC)

Version für dynamische Tests (auf PC)

Bei der Erstellung aller Codevarianten kommen statische

Testverfahren zum Einsatz, wie der Test auf Wohlgeformtheit

und die Datenflussanomalieanalyse [11]. Das

Programm kann an Betriebsdateninformationssysteme

(BDIS) angebunden werden und ermöglicht so Tests mit

einer Vielzahl an Prozessdaten. Die Online- und Offline-

Versionen enthalten Tests zur Laufzeit [3] und unterscheiden

sich lediglich in der Fehlerausgabe, die entweder

an die SSPS oder den PC angepasst ist.

In der Version für dynamische Tests können zwei Arten

von Testverfahren integriert werden:

kontrollflussorientierte Tests; speziell der Zweigüberdeckungstest

und Bedingungsüberdeckungstest

funktionsorientierte Tests; speziell der zustandsbasierte

Test und die funktionale Äquivalenzklassenbildung

Auf die Äquivalenzklassenbildung wird im Folgenden

näher eingegangen. Äquivalenzklassen können anhand

von Zustandsabfolgen bestimmt werden. Diese Methodik

wird von SPHINX unterstützt. In einem Äquivalenzklassentest

wird überprüft, ob für jede Äquivalenzklasse

ein Testfall existiert und ob das Programm für

die Testfälle die erwarteten Ergebnisse berechnet. Um

Äquivalenzklassen anhand von Zustandsgraphen zu

definieren, wird zunächst auf Grundlage des Programmablaufplans

das Zustandsdiagramm erstellt. In diesem

werden die wesentlichen Zustände des Programms berücksichtigt.

Eine Äquivalenzklasse entspricht einer

möglichen Abfolge von Zuständen. Diese Methodik

führt zu einer überschaubaren Anzahl an Äquivalenzklassen.

Im Beispiel (Bild 7) ergeben sich aus den vier

gewählten Zuständen (Z1-Z4) elf verschiedene Zustandsabfolgen.

Nach der Definition der Äquivalenzklassen ordnet

Sphinx historische Daten vergleichbarer Anlagen oder

durch Parametervariation erzeugte Daten automatisch

der jeweiligen Klasse zu. Anschließend erfolgt eine Gesamtauswertung,

die anzeigt, welche Klassen überdeckt

wurden. Sind nicht alle Klassen überdeckt, so werden

die Eingangsdaten händisch geeignet überarbeitet oder

die Relevanz der nicht überdeckten Klassen wird hinterfragt.

Sind alle Klassen überdeckt, können aus den

zugehörigen Daten repräsentative Testfälle ausgewählt

werden. Sofern der Test auf dem PC erfolgt, werden von

SPHINX die Testfälle und -ergebnisse zur Auswertung

gespeichert. Die Resultate der SSPS können mit diesen

Ergebnissen verglichen werden. Damit ist eine effiziente

Verifikation des SSPS-Programms möglich.

Fazit und Ausblick

Um komplexe Schutzkonzepte sicher und normgerecht

umzusetzen, ist ein Gesamtkonzept mit geeigneten Me-

atp edition

6 / 2012

55

Hauptbeitrag

Autoren

Dipl.-Math. Susann Haase (geb. 1987) ist seit 2011 bei der

BASF SE im Fachzentrum Automatisierungstechnik auf dem

Arbeitsgebiet der funktionalen Sicherheit tätig. Themenschwerpunkt

ist die Entwicklung und Anwendung eines Implementierungs-

und Prüfkonzepts für modellbasierte Schutzsysteme.

BASF SE,

D-67056 Ludwigshafen,

Tel. 49 (0) 621 607 41 76, E-Mail: susann.haase@basf.com

Dipl.-Ing. Dirk Hablawetz (geb. 1964) leitet in der BASF SE

das Qualitätsmanagement der Anlagentechnik und leitet das

europäische Center of Expertise PLT-Anlagensicherung und

das globale Kompetenzteam der BASF-Gruppe für PLT-Sicherheitskonzepte.

Er vertritt die BASF in nationalen und internationalen

Arbeitskreisen auf dem Gebiet der funktionalen

Sicherheit.

BASF SE,


Tel. 49 (0) 621 604 71 32, E-Mail:dirk.hablawetz@basf.com

Dr.-Ing. Thomas Hauff (geb. 1960) ist im Fachzentrum

Automatisierungstechnik der BASF SE auf dem Arbeitsgebiet

der Prozessleittechnik tätig. Themengebiete sind unter anderem

Qualitätssicherung, technische Evaluierung und Consulting

für Automatisierungslösungen. Er ist Obmann des Namur

AK 2.11.

BASF SE,


Tel. 49 (0) 621 602 03 26, E-Mail: thomas.hauff@basf.com

Dr. rer. nat. Michael Krauß (geb. 1984) ist seit 2010 bei der

BASF SE im Fachzentrum Automatisierungstechnik auf dem

Gebiet der Prozessleittechnik tätig. Schwerpunkte sind Projekte

auf dem Gebiet der Leitsystemmigrationen, der Höherautomatisierung

und modellbasierter Anwendungen.

BASF SE,


Tel. +49 (0) 621 604 66 94, E-Mail: michael.krauss@basf.com

Felix Lenhart (geb. 1987) studiert Elektrotechnik (Dipl.)

Automatisierungstechnik an der TU Kaiserslautern und ist

aktuell bei BASF SE als Diplomand tätig. Im Fachzentrum

Automatisierungstechnik bearbeitet er das Thema „Toolbasierte

Verifikation von Applikationssoftware für Sicherheitssysteme“.

BASF SE,


Tel. 49 (0) 621 609 19 36, E-Mail: felix.lenhart@basf.com

thoden und Verfahren notwendig. Insbesondere die

Rollen und Verantwortlichkeiten sollten zu Beginn geklärt

werden. Basis sind die erforderlichen Kompetenzen

und Sicherstellung des 4-Augen-Prinzips. Eine

vollständige Spezifikation, in der alle verfahrenstechnischen

Anforderungen rückverfolgbar und eindeutig

sind, ist unerlässlich für die Umsetzung von Schutzkonzepten.

In Kombination mit einer Implementierungsplattform

wie SPHINX kann eine effiziente Verifikation

durchgeführt werden. Die Nutzung komplexer

Schutzfunktionen in der chemischen Prozessindustrie

wird damit vereinfacht.

Manuskripteingang

23.03.2012

Referenzen


[1] IEC 61511 EN: Functional safety - Safety instrumented

systems for the process industry sector. December

2003

[2] IEC 61508 EN: Functional safety of electrical/

electronic/programmable electronic safety related

systems, April 2010

[3] Haase, S.: Komplexe Schutzfunktionen mit SPHINX

realisieren. atp edition – Automatisierungstechnische

Praxis 54(1-2), S. 54-60, 2012

[4] Chrissis, M. B., Konrad, M. und Shrum, S.: CMMI®

- Guidelines for Process Integration and Product

Improvement. Pearson Education, 2003

[5] El Emam, K., Melo, W., und Drouin, J.-N.: SPICE: The

Theory and Practice of Software Process Improvement

and Capability Determination. IEEE Computer Society

Press, 1997

[6] TÜV Süddeutschland: Einführung zur IEC61508. TÜV

Automotive GmbH, 2003

[7] Winne, O.: IEC 61508-Teil 3; Sicherheitsgerichtete Softwareentwicklung,

Design&Elektronik Forum Sichere

System, 2004

[8] Dröschel, W. und Wiemers, M.: Das V-Modell 97 – Der

Standard für die Entwicklung von IT-Systemen mit

Anleitung für den Praxiseinsatz. Oldenbourg Verlag,

2000

[9] Kofman, A., Yaeli, A., Klinger, T. und Tarr P.: Roles,

rights, and responsibilities: Better governance through

decision rights automation, Proceedings of the 2009

ICSE Workshop on Software Development Governance,

S. 9-14, 2009

[10] Frey, G., Drath, R. und Schlich, B.: Safety-Applikationen

effizient entwickeln — Ein Leitfaden zur Prozessgestaltung.

atp edition – Automatisierungstechnische

Praxis 53(12), S. 34-41, 2011

[11] Liggesmeyer, P.: Software-Qualität. Spektrum

Akademischer Verlag, 2002

56

atp edition

6 / 2012

atp kompakt

Methoden Verfahren Konzepte

Sonderpreise

für

Abonnenten

der atp edition

Die Automatisierungstechnik wird durch neue Forschungen und Entwicklungen bestimmt. Damit Ingenieure

fit für ihren Job sind und die entscheidenden Trends in der Automatisierungstechnik schnell zur Hand haben,

legt die Fachpublikation atp edition die Buchreihe atp kompakt auf. Alle darin enthaltenen Beiträge haben

ein wissenschaftliches Gutachterverfahren durchlaufen.

Herausgeber Prof. Dr.-Ing. Frank Schiller leitet am Lehrstuhl für Informationstechnik im Maschinenwesen der

TU München das Fachgebiet Automatisierungstechnik.

atp kompakt Band 1

Erfolgreiches Engineering – Die wichtigsten Methoden

Diese Ausgabe befasst sich mit den Methoden, Verfahren und Standards, die Sie in den nächsten Jahren im Engineering beschäftigen

werden. Wichtige Kriterien sind die einfache Wiederverwendbarkeit von Komponenten, die Unterstützung durch geeignete Werkzeuge,

die Erhöhung der Flexibilität von Anlagen sowie geeignete Modellierungs- und Gerätebeschreibungssprachen.

1. Auflage 2010, 138 Seiten mit CD-ROM, Broschur, € 79,- • ISBN: 978-3-8356-3210-3

Für Abonnenten

€ 74,-


Effiziente Kommunikation – Die bedeutendsten Verfahren

Sie bekommen Einblick in die wachsende Bedeutung der industriellen Kommunikation und dem Wandel in der Gerätekommunikation.

Einen Schwerpunkt bildet die Kommunikationstechnik in der Prozessautomatisierung mit deren besonderen Rahmenbedingungen wie

dem Explosionsschutz. Die bedeutendsten Verfahren und Methoden der modernen Kommunikation werden praxisnah veranschaulicht.


Für Abonnenten

€ 54,-


Praktische Messtechnik – Die besten Konzepte

Dieser Band vermittelt wertvolles Know-how zu allen Aspekten der praktischen Messtechnik und fokussiert besonders die Prozessmesstechnik.

Lernen Sie die Fortschritte in der Sensortechnik entlang der Technologie-Roadmap kennen und profitieren Sie von erstklassigen

Konzepten zu kostengünstigen und effizienten Lösungen.


Für Abonnenten

€ 54,-

atp kompakt Kollektion (Bände 1-3)

Erfolgreiches Engineering Effiziente Kommunikation Praktische Messtechnik

Mit dieser dreibändigen Kollektion zu den Themen Engineering, Kommunikation und Messtechnik erhalten Sie ein nützliches,

kompakt und praxisnah aufbereitetes Kompendium zu den Kernthemen der Automatisierungstechnik. Die wertvolle Grundlage

für Ihre tägliche und zukünftige Arbeit.

1. Auflage 2010, ca. 282 Seiten mit CD-ROM, Broschur • € 179,- • ISBN: 978-3-8356-3221-9

Für Abonnenten

€ 169,-

Sofortanforderung im Online-Shop www.oldenbourg-industrieverlag.de

oder telefonisch +49 (0)201 / 82002-14


Vulkan-Verlag GmbH

www.oldenbourg-industrieverlag.de • www.vulkan-verlag.de

hauptbeitrag

Automatische Generierung

sicherer diversitärer Software

Sicherer Industrie-PC durch arithmetische Codierungen

Die Bedeutung der Sicherheit im Sinne von Safety nimmt in der Automation immer noch

zu, auch wenn im Moment die IT-Security die Schlagzeilen beherrscht. Die normativen

Sicherheitsanforderungen können zu beträchtlichem zusätzlichen Aufwand für die Hardware-

und die Software-Entwicklung führen. Wenn zudem eine Hardware-abhängige

Zertifizierung vorliegt, kann von Innovationen bei den Hardware-Komponenten nicht

einfach profitiert werden, weil in der Regel ein neuer Zertifizierungsprozess durchlaufen

werden muss. Im Beitrag wird eine neue Methode vorgestellt, bei der mit diversitären

arithmetischen Codes Hardware-Fehler durch Software-Maßnahmen aufgedeckt werden

und dadurch die notwendige Hardware-Unabhängigkeit erreicht wird. Weiterhin ermöglicht

die Methode, fehlersichere Applikationen in Hochsprachen wie C zu programmieren.

SCHLAGWÖRTER Datenverarbeitung / Elektronische Steuerungen / Code-Schemata /

Fehleraufdeckende Codes

Automatic Generation of Safe Diverse Software –

Fail-safe Industrial PC by means of Arithmetic Codes

The importance of safety in the automation industry is continuously increasing even

though security makes the headlines at present. Normative safety requirements may result

in considerably additional effort at both the hardware and software development. If the

certificate depends on the hardware, innovations of hardware components cannot be

utilized in general since a new certification process has to be executed. The flexibility is

severely limited, and software developed according to the standards cannot be properly

transferred to other platforms without additional expense. A new method is presented

that applies software-measures based on diverse arithmetic codes for the detection of

hardware errors and thus achieving the necessary hardware independence. Furthermore,

the method enables the programming of fail-safe applications in high-level programming

languages like C.

KEYWORDS Data Processing / Electronic Control Units (ECU) / Coding Schemes /

Error-Detecting Codes

58

atp edition

6 / 2012

Martin Früchtl, Frank Schiller, Beckhoff Automation

Bei der Entwicklung einer Komponente für sicherheitsrelevante

Anwendungen streben die

Hersteller gewöhnlich eine Zertifizierung gemäß

internationaler Sicherheitsstandards an,

um eine ausreichende Qualifikation der Komponente

nachzuweisen. Anhand der in den Standards

definierten Sicherheitskategorien kann eine Komponente

je nach Anwendungsszenario klassifiziert werden. Die

Eignung für eine bestimmte Kategorie wird durch Kennwerte

wie die Probability of Dangerous Failure per Hour

(PFH) oder die Probability of Failure on Demand (PFD)

gemessen, die auf der Restfehlerwahrscheinlichkeit P res

basieren. Die PFH wird für Szenarios mit einer hohen

Anforderungsrate der Sicherheitsfunktion, die PFD für

Systeme mit einer niedrigen Anforderungsrate der Sicherheitsfunktion

verwendet. Die Restfehlerwahrscheinlichkeit

P res ist die Wahrscheinlichkeit, dass ein Fehler

auftritt und unentdeckt bleibt. Um eine bestimmte P res

zu erzielen, muss eine Komponente Fehler erkennen können.

Entsprechende Maßnahmen wurden bisher durch

homogene und heterogene Redundanz auf Hardware-

Ebene getroffen, die eine Erkennung von Hardware-Fehlern

zur Laufzeit erlaubten. Dadurch entsteht jedoch eine

Abhängigkeit des Zertifizierungsprozesses von der verwendeten

Hardware. Gleichzeitig wird verhindert, dass

die kurzen Innovationszyklen, beispielsweise auf dem

Gebiet integrierter Schaltkreise, unmittelbar auf sicherheitsrelevante

Komponenten übertragen werden können.

Zudem werden Benutzerapplikationen für Sicherheitsanwendungen

häufig durch vorgegebene, vorzertifizierte

Funktionsblöcke implementiert, die durch den Benutzer

nur parametriert werden können. Durch die steigende

Komplexität und Vernetzung moderner Sicherheitsanwendungen

wird diese Projektierung basierend auf Funktionsbausteinen

zu einer immer größeren und zeitaufwendigeren

Herausforderung. Deshalb ist ein neuer Ansatz nötig.

Der Beitrag stellt eine neue Herangehensweise vor, die

die Eigenschaften arithmetischer Codes nutzt, um Hardware-Fehler

auf Software-Ebene zu erkennen. Dabei müssen

im Zertifizierungsprozess keine Eigenschaften der

Hardware einbezogen werden, wodurch sich Beschränkungen

im Hardware-Design vermeiden lassen. Ferner

ist die Möglichkeit gegeben, eine Hochsprache wie C für

die Implementierung von sicherheitsrelevanten Anwendungen

zu verwenden.

1. Problembeschreibung

Der Fokus liegt auf der logischen Komponente einer Sicherheitsfunktion,

der Intelligenten Sicherheitskomponente

(ISK). Deren Aufgabe ist es, Signale der Eingabe-

Baugruppen zu empfangen, die Daten zu verarbeiten und

entsprechende Signale an die Ausgabe-Baugruppen zu

senden. Die abzuarbeitende Logik wird dabei durch den

Anwender programmiert.

Wie bereits erwähnt zielt der Hersteller einer ISK üblicherweise

auf eine Zertifizierung der Komponente für

eine bestimmte Sicherheitskategorie. Diese sind in den

Sicherheitsstandards definiert (zum Beispiel IEC 61508 [1]

und ISO 13849 [2]). Die Klassifikation hängt stark von der

Fähigkeit ab, Hardware-Fehler zur Laufzeit zu erkennen.

1.1 Fehlerarten

Zuerst ist es sinnvoll, zwei Kategorien bezüglich des Ortes

der ersten Fehlererkennung zu unterscheiden. Fehler,

die zu einem kompletten Ausfall einer ISK führen, können

nicht mehr innerhalb der ISK detektiert werden.

Diese Fehler können nur in den über die sichere Kommunikation

verbundenen sicheren Komponenten (beispielsweise

sichere Aktoren) erkannt werden, da hier

fehlerhafte beziehungsweise fehlende Telegramme zu

einer sicheren Reaktion führen.

Fehler, die nicht einen kompletten Ausfall einer ISK

bewirken, verursachen auf Logikebene eine fehlerhafte

Verarbeitung der internen Daten und können somit zu

einer Gefährdungssituation aufgrund fehlerhafter Ausgangsdaten

führen. Diese Fehlerart wird im Rahmen

dieses Beitrags betrachtet. Dazu werden die möglichen

Fehler anhand der folgenden Fehlerarten klassifiziert.

atp edition

6 / 2012

59

Hauptbeitrag

Operandenfehler: Ein Operandenfehler tritt ein, wenn

eine Operation mit dem korrekten Operator korrekt ausgeführt

wird, aber der Wert eines oder mehrerer Operanden

verfälscht ist. Als Beispiel soll die in Gleichung (1)

gezeigte Berechnung durchgeführt werden.

x + y = z (1)

Ein Operandenfehler kann zu einer Verfälschung ∆ des

Originalwerts x führen, sodass tatsächlich die in Gleichung

(2) gezeigte Berechnung durchgeführt wird.

˜ x + y = (x + ∆) + y

= (x + y) + ∆

= z + ∆

= z ˜(2)

Häufig verursachen Fehler bei Speicheroperationen solche

Verfälschungen. Wenn ein Speicherbereich fehlerhaft

ist, kann es sein, dass ein verfälschter Wert gelesen

und innerhalb einer Operation verwendet wird.

Operatorfehler: Wenn eine Operation mit den korrekten

Operanden, aber mit einem falschen Operator korrekt

ausgeführt wird, handelt es sich um einen Operatorfehler.

Ähnlich wie in Gleichung (1) verursacht ein Operatorfehler

eine Verfälschung ∆ des Ergebnisses z. Zum

Beispiel kann ein Operatorfehler dazu führen, dass anstelle

der beabsichtigten Addition eine Multiplikation

(vergleiche (3)) durchgeführt wird.

x . ˜ y = z + ∆ = z ˜ (3)

Ein Operatorfehler kann von einem Fehler in der Adressierung

des Operators oder einer fehlerhaften „Arithmetic

Logic Unit“ (ALU/Hauptteil eines Prozessors, der alle

arithmetischen Operationen ausführt) verursacht werden.

Operationsfehler: Neben den Operanden- und Operatorfehlern

besteht die Möglichkeit eines Operationsfehlers.

Ein Operationsfehler ist die fehlerhafte Ausführung

einer Operation mit den korrekten Operanden und dem

korrekten Operator. Auch diese Fehler werden gewöhnlich

von einer defekten ALU verursacht und führen zu

einer unmittelbaren Verfälschung ∆ des Ergebnisses.

Zusätzlich zu diesen Fehlerarten müssen auch Fehler

wie Adressierungs- und Programmablauffehler sicher

erkannt werden.

1.2 Herausforderungen der ISK-Entwicklung

In den Anfängen der Sicherheitstechnik in der Steuerungstechnik

wurde die Logik der Sicherheitsfunktionen

mit fest verdrahteten Komponenten realisiert (siehe zum

Beispiel den geschichtlichen Überblick in Zastrow [3]),

was natürlich zu einer statischen Logik der Komponente

führte. Weiterentwicklungen auf dem Gebiet der Steuerungstechnik

erlauben die Nutzung programmierbarer

Komponenten. Die notwendigen Maßnahmen für eine

bestimmte Sicherheitskategorie werden dabei vorwiegend

auf Hardware-Ebene getroffen (siehe Abschnitt 3).

Die nötigen Kennwerte werden basierend auf den Ausfallraten

der Hardware-Komponenten bestimmt, sodass

der Nachweis der Sicherheit in direkter Abhängigkeit zur

Hardware-Architektur der ISK steht. Eine Veränderung

der Hardware-Struktur erfordert einen neuen Nachweis

der Sicherheit, da die Veränderungen möglicherweise die

Kennwerte der ISK derart beeinflussen, dass die Komponente

nicht länger den Anforderungen der bisher gültigen

Sicherheitskategorie genügt (siehe [4]). Letztendlich führen

diese Umstände zu der Tatsache, dass bislang rein

funktionale Hardware-Komponenten nicht für sicherheitsrelevante

Anwendungen verwendet werden können.

Zudem fordern die Sicherheitsstandards einen strengen

Entwicklungsprozess, der für rein funktionale Komponenten

nicht automatisch gegeben ist.

Die Software einer ISK kann in zwei Teile gegliedert werden,

die Firmware und die Benutzerapplikation. Die Firmware

wird in diesem Beitrag als Teil der Hardware betrachtet,

da sie ein fester Bestandteil der Komponente ist und

den gleichen Anforderungen wie die Hardware selbst genügen

muss. So gibt es auch hier einen speziellen Software-

Lebenszyklus, den die Firmware als sicherheitsrelevanter

Teil einer Komponente durchlaufen muss (siehe IEC 61508

[1]). Die Benutzerapplikationen gängiger ISK basieren gewöhnlich

auf Funktionsblöcken (FBD laut IEC 61131-3 [5]).

Ein Funktionsblock ist eine gekapselte, vorzertifizierte

Funktion auf Software-Ebene mit fester Basisfunktionalität,

die durch den Benutzer parametriert werden muss.

Die Benutzerapplikation kann durch mehrere miteinander

verknüpfte Funktionsblöcke realisiert werden

(siehe Beispiel in Bild 1). Als Funktionsblöcke stehen

dabei einfache Grundfunktionen wie Boolesches AND

oder OR und auch sehr komplexe Funktionen wie Emergency

Stop oder External Device Monitor zur Verfügung.

Die Nutzung von bereits zertifizierten Funktionsblöcken

in Sicherheitsanwendungen hat den Vorteil, dass der

Benutzer keinen zusätzlichen Aufwand zur Zertifizierung

der Software hat. Da die Komplexität der Sicherheitsanwendungen

stetig wächst, steigt auch die Herausforderung

im Umgang mit den Funktionsblöcken, da die

komplette Funktionalität auf die Granularität der Funktionsblöcke

heruntergebrochen werden muss.

1.3 Ziele

Das Ziel des Beitrags ist es, die starke Abhängigkeit des

Sicherheitsnachweises von der Hardware der ISK zu beseitigen

und auf diese Weise die Nutzung von leistungsstarken

Komponenten als Logikkomponente in Sicherheitsfunktionen

zu erlauben. Deshalb müssen die Maßnahmen

zur Erkennung von Hardware-Fehlern auf die

Software-Ebene übertragen werden. Außerdem muss die

Flexibilität für den Benutzer durch die Bereitstellung

einer flexiblen Hochsprache wie C gesteigert werden.

2. Basisstrategien zur Fehlererkennung

Um die Qualifizierung einer ISK für eine bestimmte Sicherheitskategorie

nachzuweisen, muss diese Komponente

die Fähigkeit besitzen, Fehler zu erkennen und

60

atp edition

6 / 2012

dadurch Gefährdungen zu verhindern. Es gibt verschiedene

Strategien, dieses Ziel zu erreichen.

2.1 Grundlagen

Die grundlegende Idee zur Erkennung von Hardware-

Fehlern in ISK ist die Verifizierung des Ergebnisses. Das

geschieht häufig mithilfe redundanter Strukturen, deren

einzelne Teile als Kanäle bezeichnet werden. Die Redundanz

ist in IEC 61508 sinngemäß definiert als das

Vorhandensein mehr funktional gleicher oder vergleichbarer

technischer Ressourcen als für die eigentliche

Funktionalität benötigt werden.

Redundanz lässt sich weiterhin in homogene und heterogene

Redundanz einteilen. In einem homogen redundanten

System bestehen die zusätzlichen (redundanten)

Kanäle aus exakt den gleichen Komponenten wie der ursprüngliche

Kanal. Der Nachteil homogener Redundanz

ist dabei die Anfälligkeit der Kanäle gegenüber Common

Cause Failures (CCF), also Fehlern mit einer gemeinsamen

Ursache, da die Kanäle aufgrund der identischen Spezifikation

auch identische Schwachstellen aufweisen.

Im Gegensatz dazu wird heterogene Redundanz (in der

Regel als Diversität bezeichnet) durch Komponenten erzeugt,

die durch andere Verfahren die gleiche Funktionalität

erreichen wie der ursprüngliche Kanal. Deshalb ist ein

CCF für diversitäre Architekturen weniger problematisch.

Halang und Konakovsky unterteilen in [6] die Diversität in

sinnvolle weitere Klassen, auf die aber hier nicht näher

eingegangen wird. Da sich die betrachteten Fehlerarten stets

auf die Verarbeitung von Daten auswirken, steht im Kontext

des Beitrags die Datendiversität im Vordergrund.

Redundanz kann in Hardware und Software ausgeführt

werden. In früheren Lösungen wurden die Sicherheitsmaßnahmen

nur auf der Hardware-Ebene realisiert.

Die Entwicklung von Sicherheitslösungen in der Steuerungstechnik

zeigt jedoch eine Tendenz hin zu Software-

Lösungen. Wenngleich immer mehr Funktionalität der

Software-Ebene zugeschlagen wird, wurde der komplette

Übergang zu Hardware-unabhängigen Lösungen noch

nicht vollzogen. Eine Möglichkeit, Diversität auf Software-Ebene

zu erzeugen, ist die Verwendung mathematischer

Codierungen, die im folgenden Abschnitt genauer

beschrieben wird.

2.2 Arithmetische Codes zur

Realisierung von Datendiversität

Codierungen sind eine weit verbreitete Methode, um diversitäre

Redundanz auf der Datenebene zu erreichen.

Die Grundidee ist dabei die Transformation der innerhalb

der Logik verarbeiteten Daten in eine diversitäre

Darstellung. Diese Daten können zur Verifizierung der

Ergebnisse des ursprünglichen Kanals und somit zur

Erkennung von Fehlern in der Hardware verwendet werden.

Zur Veranschaulichung des Grundgedankens bei

der Nutzung mathematischer Codierungen für Sicherheitsanwendungen

wird im Folgenden das durch Forin

1989 [7] eingeführte Codierungsschema verwendet.

Bild 1: Beispiel für ein Netzwerk von Funktionsblöcken

Bild 2: Einfluss des

Codierungsschemas

auf die Definitionsund

Wertebereiche

Die Basis-Codierung besteht aus der Multiplikation der

uncodierten Variable x f mit einer Primzahl A, um einen

größeren Wertebereich zu erhalten und somit einen numerischen

Abstand zwischen zulässigen codierten Werten

x c zu erzeugen (A > 0). Anhand der Differenz zwischen

den zulässigen codierten Werten kann die Gültigkeit

eines Operationsergebnisses verifiziert werden. Dies

erfolgt durch den Test, ob der Wert ein Vielfaches des

Wertes A (x c

mod A == 0?) ist, da die Vielfachen von A

der Codierungsvorschrift entsprechen und somit gültig

sind. Basierend auf dieser Codierung kann die Verfälschung

von Werten erkannt werden, wenn der Fehlerterm

∆ kein Vielfaches von A ist. Im Falle eines solchen

Fehlers ∆ tritt ein gültiges, aber fehlerhaftes Codewort

auf. Aus diesem Grund führt Forin [7] für jede genutzte

Variable eine statische Signatur B x ein, um jeden Wert

eindeutig zu identifizieren.

Um die Verwendung veralteter Werte zu erkennen,

schlägt Forin eine dynamische Signatur D(t) vor. Die

ge samte Codierung der Daten erfolgt demnach wie in

Gleichung (4) dargestellt.

x c = A ∙ x f + B x + D(t) (4)

atp edition

6 / 2012

61

Hauptbeitrag

Der Einfluss des Codierungsmechanismus auf die Definitions-

und Wertebereiche uncodierter und codierter

Werte (z f und z c ) wird in Bild 2 veranschaulicht.

Die Eigenschaften arithmetischer Codierungen können

bei der Verwendung arithmetischer Operationen erhalten

bleiben. Dies bedeutet, dass bei der Verwendung codierter

Werte das korrekte Ergebnis ebenfalls Teil des

Codes ist und somit die Gültigkeit des folgenden Ausdrucks

geprüft werden kann:

((x c - B x - D(t)) mod A == 0?)

Dafür müssen spezielle codierte Operationen genutzt

werden. So wurde in [7] die in Gleichung (5) dargestellte

codierte Addition zweier Werte xc und yc erarbeitet.

z f = x f + y f

z c - B z - D(t) = x c - B x - D(t) + y c - B y - D(t)

z c = x c + y c - B x - B y - D(t) + B z

z c = x c + y c + (B z - B x - B y ) - D(t) (5)

Durch den konstanten Summanden (B z - B x - B y ) entsteht

die Möglichkeit, die Verwendung des korrekten Operators

zu prüfen und somit Operatorfehler mit hoher Wahrscheinlichkeit

zu erkennen. Im Wert des Summanden

steckt gewissermaßen bereits vor der Ausführung die

Information über die Operation und die Operanden.

Mit dem Codierungsschema kann eine Restfehlerwahrscheinlichkeit

von 1/A erreicht werden (siehe [8]).

Deshalb muss der Wert A so groß wie möglich gewählt

werden, um eine ausreichend kleine P res zu erzielen. Allerdings

handelt es sich beim Ausdruck 1/A nur um die

korrekte P res , wenn eine Gleichverteilung vorhanden ist,

das heißt, im Fehlerfall ist jeder Wert gleich wahrscheinlich.

Da dies gewöhnlich nicht der Fall ist, werden für

die geeignete Auswahl eines Wertes A zusätzliche deterministische

Kriterien genutzt. Die zwei wichtigsten

Kennwerte sind hier die Hamming-Distanz (HD) und die

Arithmetische Distanz (AD). Die HD – oder die minimale

HD – zweier codierter Werte ist die kleinste Anzahl

von Bits, die verändert werden müssen, um ein Codewort

auf ein anderes Codewort abzubilden. Ist die HD beipielsweise

2, so können bereits zwei verfälschte Bits zu

einem anderen gültigen Codewort führen, sodass der

Fehler nicht erkannt wird. Die AD zweier Werte x und y

ist demgegenüber die kleinste Anzahl an gesetzten Bits

der beiden möglichen arithmetischen Differenzen

(x - y und y - x) dieser Werte.

Das Ziel ist es, bei der Wahl der geeigneten Parameter

des Codes eine möglichst hohe HD und eine möglichst

hohe AD zu erreichen. Forin [7] empfiehlt zusätzlich, für

den Parameter A eine Primzahl zu wählen. Diese Wahl

kann folgendermaßen begründet werden: Es wird eine

Reihe von n arithmetischen Additionen ausgeführt. Jede

Addition fügt einen konstanten Fehlerterm ∆ hinzu, sodass

am Ende der n Operationen der gesamte Fehlerterm

(n ∙ ∆) beträgt. Dieser Fehler kann nicht entdeckt werden,

wenn das Ergebnis weiterhin ein Vielfaches von A ist.

Handelt es sich beim Wert A um eine Primzahl, kann

dies nur dann der Fall sein, wenn entweder n oder ∆

durch A teilbar sind.

Bei dem in [7] vorgestellten Ansatz handelt es sich sogar

um eine komplett 1-kanalige Lösung (1-kanalige Software

auf 1-kanaliger Hardware). Sie wird in der Metro

in Paris in führerlosen Zügen verwendet und stellt eine

gute Basis für eine Lösung der Aufgabenstellung dieses

Beitrags dar. Aufgrund der strikt mathematischen Basis

hängt der Nachweis der Qualifikation für eine bestimmte

Sicherheitskategorie nicht länger von der verwendeten

Hardware ab (Prozessor und Umgebung). Der Ansatz von

Forin [7] stellt aber zusätzliche Anforderungen an die

Hardwarearchitektur, da spezielle Hardware zur Codierung

der Daten für die Operationen benötigt wird. Außerdem

muss die codierte Version der Software vom

Anwender explizit implementiert werden. Um diese

Codierung für die Erfüllung der Anforderungen in Abschnitt

2.2 zu nutzen, wird im folgenden Kapitel ein erweitertes

Codierungsschema erarbeitet.

3. Herleitung des Codierungsschemas

Wie in [9] beschrieben verbessert die Nutzung mehrerer

Software-Kanäle die Fehlererkennung erheblich. Daher

verwendet dieser Beitrag n codierte Kanäle neben dem

ursprünglichen uncodierten Kanal. Ein Fehler kann

nur unentdeckt bleiben, wenn eine Kombination aus

(n + 1) Fehlern auftritt (n codierte Kanäle und der Originalkanal),

sodass jeder Fehlerterm ∆ i (mit i als Identifikation

eines Kanals) zu einem gültigen Codewort

führt. Zudem müssen die Fehlerterme in einer bestimmten

Konstellation auftreten, sodass die Ergebnisse

aller Kanäle eine gültige Kombination codierter und

uncodierter Werte ergeben.

Der wechselseitige Test zwischen allen n Kanälen

wird ausgeführt, um Fehler zu erkennen und eine sichere

Reaktion auszulösen. Um spezielle Hardware für

die Codierung der Eingangs- und die Decodierung der

Ausgangsdaten zu vermeiden, ist das Codierungsschema

direkt mit einem sicheren Kommunikationsprotokoll

verbunden, damit die Fehlererkennung der sicheren

Kommunikation für die Sicherstellung der korrekten

Codierung und Decodierung der Daten genutzt

werden kann. Die gesamte Architektur ist in Bild 3

veranschaulicht.

Neben der Architektur wurden Codierungsvorschriften

für die folgenden Operationen erarbeitet:

Addition,

Subtraktion,

Multiplikation,

Division,

Konjunktion,

Disjunktion,

Exklusive,

Negation,

Vergleichsoperator.

Diese Operationen können genutzt werden, um eine große

Auswahl sicherheitsrelevanter Anwendungen zu realisieren.

Bei der Herleitung von Operationen müssen

die möglichen Fehlerarten von Abschnitt 1.1 beachtet

62

atp edition

6 / 2012

werden, sodass die Verfälschung von Operanden, Operatoren

oder die fehlerhafte Ausführung einzelner Operationen

erkannt werden kann. Die Entdeckung von

Fehlern innerhalb der Ausführung von Operationen

wird durch einen Vergleich der n codierten Kanäle vorgenommen,

um zu prüfen, ob alle Kanäle konsistent zueinander

sind. Die Konsistenz eines einzelnen Kanals ist

gegeben, wenn jeder Wert des Kanals Teil des Codes ist.

Neben der Gültigkeitsprüfung von Werten innerhalb eines

Kanals findet eine gegenseitige Prüfung zwischen

allen n codierten Kanälen statt.

4. Automatische Generierung

diversitärer Software

Der Quelltext des Benutzers (der uncodierte Kanal, hier

als FB f

bezeichnet) wird parallel zu den codierten Repräsentationen

ausgeführt. Er wird als Input für die Transformation

genommen, mit der die diversitären Softwarekanäle

erzeugt werden. Das Ergebnis ist die codierte

Repräsentation des Quelltextes (in diesem Beispiel FB c

genannt). Die codierte und die uncodierte Repräsentation

werden von dem gleichen regulären Compiler (ohne

spezielle Qualifikation des Compilers) in Maschinencode

gewandelt, der schließlich innerhalb der ISK-Laufzeit

ausgeführt wird. Der gesamte Prozess wird in Bild 4

veranschaulicht.

Zur Laufzeit wird die ISK zyklisch abgearbeitet. In

jedem Zyklus werden die folgenden Schritte ausgeführt

(wie in Bild 3 gezeigt):

Eingang

Das Telegramm wird durch das sichere Kommunikationsprotokoll

empfangen. Nach protokollspezifischer Verarbeitung

(wie zum Beispiel Prüfung der Frame Check Sequence

(FCS) des Pakets) werden die unbearbeiteten Datenwerte

codiert und den n codierten Kanälen übergeben

(fehlersichere Kopplung und Kanalcodierung in Bild 3).

Logik

In der eigentlichen Logik werden der uncodierte Kanal

und die n codierten Kanäle ausgeführt und die entsprechenden

Ergebnisse berechnet.

Ausgang

Die Ergebniswerte der Logik werden decodiert und das

Ausgangstelegramm erzeugt, das heißt, sowohl die Nettodaten

(Information) als auch die FCS werden berechnet

und der sicheren Kommunikation übergeben (fehlersichere

Kopplung und Telegrammgenerierung in Bild 3).

Neben der Abarbeitung dieser Schritte muss die Safety

Runtime die Ausführung aller Software-Bestandteile

sicherstellen, sodass das Überspringen einzelner Zeilen

oder sogar ganzer Blöcke erkannt werden kann. In diesem

Fall kann die Ausführung des Programms nicht zu

einem gültigen Ausgangstelegramm und somit zu einer

Gefährdungssituation als Ergebnis einer fehlerhaften

Reaktion des Systems führen.

5. Implementierung

Der vorgestellte Ansatz wurde in der Entwicklungsumgebung

Twincat der Beckhoff Automation GmbH implementiert.

Dadurch kann der Beckhoff Industrial PC (IPC)

als logische Komponente innerhalb einer Sicherheitsfunktion

bis zu einem Safety Integrity Level (SIL) 3 nach

IEC 61508 [1] verwendet werden. Die Beckhoff IPC-Produktfamilie

verwendet gewöhnlich Microsoft Windows

Embedded als Betriebssystem.

Sicherheitsanwendungen für den Safety IPC können

unter anderem in einer Hochsprache Safety C implementiert

werden. Safety C stellt ein fast uneingeschränktes

Derivat von Standard C dar und erlaubt den

Gebrauch von – aus Standard C bekannten – Kontrollstrukturen

wie IF-THEN, SWITCH-CASE und Datentypen.

Dies ermöglicht eine bislang unbekannte Flexibi-

Bild 4: Architektur-Transformation

Compilier-Prozess

Bild 3: Architektur

aus mehreren

diversitären

Software-Kanälen

atp edition

6 / 2012

63

Hauptbeitrag

Bild 5: Konfiguration

des Zielsystems

Bild 6: Editor-Ansicht

lität für die Gestaltung sicherheitsrelevanter Benutzerapplikationen.

Unter Berücksichtigung der Tatsache, dass die Komplexität

von Sicherheitsanwendungen bezüglich der

Funktionaliät und der Dimension stetig steigt, ist die

Einführung des Beckhoff IPC als eine flexible logische

Komponente für Sicherheitsfunktionen ein wichtiger

Schritt in Richtung zukünftiger Herausforderungen der

Steuerungstechnologie. Die Zertifizierbarkeit des Ansatzes

laut IEC 61508 [1] wurde bereits durch den TÜV

Süd bestätigt.

6. IPC-Entwicklungsumgebung

Neben der sicheren Datenverarbeitung ist eine geeignete

Entwicklungsumgebung von großer Bedeutung. So bietet

die Entwicklungsumgebung Twincat ab Version 3 einen

neuen Bereich zur Erstellung und Verwaltung sicherheitsrelevanter

Anwendungen und unterstützt dabei

maximale Flexibilität und Portabilität.

6.1 Interaktion mit der Hardwarekonfiguration

Es können sichere Ein- und Ausgabe-Baugruppen und

der sichere IPC projektiert werden. Dadurch kann die

Applikation durch den Einsatz von Alias-Geräten vollständig

losgelöst von der verwendeten Hardware erstellt

werden. Das Zielsystem und alle möglichen Einund

Ausgabegeräte werden dem Projekt zunächst als

Alias-Geräte bereitgestellt. Dadurch können alle sicherheitsrelevanten

Einstellungen bereits im Voraus

getätigt werden (siehe Bild 5). Vor dem Download und

Start des Projekts werden die Alias-Geräte schließlich

den tatsächlich verbauten physikalischen Geräten zugeordnet.

6.2 Programmierung

Die eigentliche Programmierung der Logik erfolgt in dem

jeweiligen Editor. Im Falle des freigraphischen Editors

wird die gewünschte Logik mithilfe einer Funktionsblockdiagrammsprache

in einer freigraphischen Darstellung

spezifiziert und kann dabei zur besseren Übersicht

in Netzwerken organisiert werden. Die Funktionsbau-

Referenzen

[1] IEC 61508: Functional Safety of Electrical/Electronic/

Programmable Electronic Safety-related Systems. 2002

[2] ISO 13849: Safety of machinery - Safety-related Parts of

Control Systems. 2003

[3] Zastrow, D.: Automatisieren mit SPS – Theorie und Praxis.

Vieweg Verlag, 2005

[4] Steindl M.; Mottok J.; Meier H.; Schiller F. und Früchtl M.:

Migration of SES to FPGA Based Architectural Concepts.

Workshop Entwicklung zuverlässiger Software-Systeme. 2009

[5] IEC 61131-3: Grundlagen Speicherprogrammierbarer

Steuerungen – Programmier-sprachen. 2003

[6] Halang, W.A. und Konakovsky, R.: Sicherheitsgerichtete

Echtzeitsysteme. Oldenbourg Verlag, 1999

[7] Forin, P.: Vital Coded Microprocessor Principles and

Application for Various Transit Systems. IFAC/IFIP/IFORS

Symposium 1989, S. 79-84, 1989

[8] Ozello, P.: The Coded Microprocessor Certification. Int.

Conference on Computer Safety, Reliability and Security,

S. 185-190, 1992.

[9] Rao, T.R.N.: Error Coding for Arithmetic Processors.

Academic Press, 1974

64

atp edition

6 / 2012

steine können beliebig platziert und verknüpft werden.

Durch den nahezu unbegrenzten Zoom-Bereich ist es

möglich, sehr große Projekte noch angenehm zu verwalten.

Für die schnelle Navigation innerhalb des Projekts

steht zusätzlich eine verkleinerte Übersicht des gesamten

Projekts zur Verfügung, anhand derer schnell zwischen

den Bereichen der Applikation gewechselt werden

kann (siehe Bild 6).

Neben den bereits bekannten Funktionsbausteinen für

die Ein- und Ausgabe-Baugruppen werden für die Twincat

Safety PLC zusätzliche vorzertifizierte Bibliotheken

bereitgestellt. Weiterhin hat der Benutzer die Möglichkeit,

eigene Funktionsbausteine zu spezifizieren. Diese

können entweder aus bereits vorhandenen Funktionsbausteinen

gebildet oder im Experten-Modus direkt in

Safety C programmiert werden. Die benutzerdefinierten

Funktionsbausteine werden in einer Bibliothek abgelegt

und stehen für zukünftige Projekte zur Verfügung.

Zusätzlich zur besseren Programmierung werden auch

die Debug- und die Testphase unterstützt. Programme

können, wie in Visual Studio gewohnt, untersucht werden.

Online-Variablenwerte und Zustände der Funktionsblöcke

werden direkt in der grafischen Umgebung

angezeigt und ermöglichen so ein schnelles und einfaches

Debuggen der Applikation. Zusätzlich kann das

Projekt offline simuliert werden. Die Logik lässt sich

dadurch unabhängig von der später eingesetzten Hardware

bereits vor dem Download testen. Auf diesem Wege

wird die Inbetriebnahme direkt vor Ort vereinfacht.

Der Editor ist entsprechend der Sicherheitsrichtlinien

entwickelt und verfügt über einen automatischen Verifikationsmechanismus.

Durch eine geeignete Codierung der

Daten wird auch hier die Integrität sichergestellt. Bisher

war es notwendig, das auf die Logikkomponente geladene

Projekt wieder auszulesen, manuell zu überprüfen und die

Korrektheit zu bestätigen. Der automatische Verifikationsmechanismus

überprüft selbstständig, ob das gespeicherte

Projekt mit dem erstellten Projekt im Editor übereinstimmt,

und erspart dem Anwender so die manuelle Verifikation.

Fazit

Der Beitrag zeigt einen neuen Ansatz für die Nutzung

arithmetischer Codes für Intelligente Sicherheitskomponenten.

Die eingeführte Methodik ermöglicht es, bislang

rein funktionalen Hardware-Komponenten als logische

Einheit in Safety-Szenarios zu dienen. Aufgrund der mathematischen

Basis hängt der Zertifizierungsprozess

nicht mehr von der Hardware ab. Der Ansatz ist auf jegliche

Hardware-Architektur übertragbar. Aus diesem

Grund kann eine moderne funktionale Komponente wie

der IPC als Safety-Controller verwendet werden. Die

praktische Anwendbarkeit dieser Arbeit wurde durch die

Umsetzung für den Beckhoff IPC gezeigt. Der erhöhte

Berechnungsaufwand durch die zusätzlichen Operationen

wirkt sich aufgrund der Leistungsfähigkeit eines IPC

nur geringfügig auf die Zykluszeit aus. Diese Technologie

wird kontinuierlich weiterentwickelt, um die mögliche

Flexibilität und Funktionalität stetig zu erweitern.

Manuskripteingang

12.03.2012


Autoren

Dipl.-Inf. Martin

Früchtl (geb. 1981) ist

Mitarbeiter der Entwicklung

im Bereich Safety

der Beckhoff Automation

GmbH. Er studierte

Informatik an der Universität

Passau und

promoviert seit 2008 auf

dem Gebiet der Sicherheitstechnik. Nach der

Beschäftigung als wissenschaftlicher

Mitarbeiter an der TU München arbeitet er

seit 2011 bei der Beckhoff Automation GmbH.

Beckhoff Automation GmbH,

Eiserstr. 5, D-33415 Verl,

Tel. +49 (0) 5246 963 52 10,

E-Mail: M.Fruechtl@beckhoff.com

Prof. Dr.-Ing. Frank Schiller (geb. 1966)

ist wissenschaftlicher Leiter für Safety &

Security der Beckhoff Automation GmbH.

Er studierte Elektrotechnik an der TU

Dresden und promovierte 1997 an der TU

Hamburg-Harburg. Nach verschiedenen

Stationen bei Siemens war er von 2004 bis

2011 als Professor für Automatisierungstechnik

an der TU München tätig. Seine

Tätigkeitsfelder umfassen die sicherheitsgerichtete Kommunikation,

Software-basierte Sicherheitssteuerungen, Security-

Kommunikation und die effiziente Kombination von Safetyund

Security-Algorithmen für die Automatisierung. Er lehrt als

Gastprofessor an der

(Huádo ˉ ng Lı ˇgo ˉ ng Dàxué, East

China University of Science and Technology), Shanghai, China.

Beckhoff Automation GmbH,

Ostendstr. 196, D-90482 Nürnberg,

Tel. +49 (0) 911 54 05 62 44,

E-Mail: F.Schiller@beckhoff.com

atp edition

6 / 2012

65

impressum / Vorschau

Impressum

Vorschau

Verlag:


Rosenheimer Straße 145

D-81671 München

Telefon + 49 (0) 89 4 50 51-0

Telefax + 49 (0) 89 4 50 51-3 23

www.oldenbourg-industrieverlag.de

Geschäftsführer:

Carsten Augsburger, Jürgen Franke

Spartenleiter:

Jürgen Franke

Herausgeber:

Dr. T. Albers

Dr. G. Kegel

Dipl.-Ing. G. Kumpfmüller

Dr. N. Kuschnerus

Beirat:

Dr.-Ing. K. D. Bettenhausen

Prof. Dr.-Ing. Ch. Diedrich

Prof. Dr.-Ing. U. Epple

Prof. Dr.-Ing. A. Fay

Prof. Dr.-Ing. M. Felleisen

Prof. Dr.-Ing. G. Frey

Prof. Dr.-Ing. P. Göhner

Dipl.-Ing. Th. Grein

Prof. Dr.-Ing. H. Haehnel

Dr.-Ing. J. Kiesbauer

Dipl.-Ing. R. Marten

Dipl.-Ing. G. Mayr

Dr. J. Nothdurft

Dr.-Ing. J. Papenfort

Dr. A. Wernsdörfer

Dipl.-Ing. D. Westerkamp

Dr. Ch. Zeidler

Organschaft:

Organ der GMA

(VDI/VDE-Gesell schaft Messund

Automatisierungs technik)

und der NAMUR

(Interessen gemeinschaft

Automatisierungs technik der

Prozessindustrie).

Redaktion:

Anne Hütter (verantwortlich)

Telefon + 49 (0) 89 4 50 51-4 18

Telefax + 49 (0) 89 4 50 51-2 07

E-Mail: huetter@oiv.de

Gerd Scholz

Einreichung von Hauptbeiträgen:

Prof. Dr.-Ing. Leon Urbas

(Chefredakteur, verantwortlich

für die Hauptbeiträge)

Technische Universität Dresden

Fakultät Elektrotechnik

und Informationstechnik

Professur für Prozessleittechnik

D-01062 Dresden

Telefon +49 (0) 351 46 33 96 14

E-Mail: urbas@oiv.de

Fachredaktion:

Dr.-Ing. M. Blum

Prof. Dr.-Ing. J. Jasperneite

Dr.-Ing. B. Kausler

Dr.-Ing. N. Kiupel

Dr. rer. nat. W. Morr

Dr.-Ing. J. Neidig

Dipl.-Ing. I. Rolle

Dr.-Ing. S. Runde

Prof. Dr.-Ing. F. Schiller

Bezugsbedingungen:

„atp edition – Automatisierungstechnische

Praxis“ erscheint

monatlich mit Doppelausgaben im

Januar/Februar und Juli/August.

Bezugspreise:

Abonnement jährlich: € 468,– + € 30,–/

€ 35,- Versand (Deutschland/Ausland);

Heft-Abbonnement + Online-Archiv:

€ 638,40; ePaper (PDF): € 468,–;

ePaper + Online-Archiv: € 608,40;

Einzelheft: € 55,– + Versand;

Die Preise enthalten bei Lieferung

in EU-Staaten die Mehrwertsteuer,

für alle übrigen Länder sind es

Nettopreise. Mitglieder der GMA: 30%

Ermäßigung auf den Heftbezugspreis.

Bestellungen sind jederzeit über den

Leserservice oder jede Buchhandlung

möglich.

Die Kündigungsfrist für Abonnementaufträge

beträgt 8 Wochen zum Bezugsjahresende.

Abonnement-/

Einzelheftbestellung:

Leserservice atp

Postfach 91 61, D-97091 Würzburg

Telefon + 49 (0) 931 4170-1615

Telefax + 49 (0) 931 4170-492

E-Mail: leserservice@oiv.de

Verantwortlich für

den Anzeigenteil:

Annemarie Scharl-Send

Mediaberatung

sales & communications Medienagentur

Kirchfeldstraße 9, D-82284 Grafrath

Tel. +49 (0) 8144 9 96 95 12

Fax +49 (0) 8144 9 96 95 14

E-Mail: ass@salescomm.de

Es gelten die Preise der Mediadaten 2012

Anzeigenverwaltung:

Brigitte Krawczyk

Telefon + 49 (0) 89 4 50 51-2 26

Telefax + 49 (0) 89 4 50 51-3 00

E-Mail: krawczyk@oiv.de

Art Director / Grafik:

Deivis Aronaitis | dad |

Druck:

Druckerei Chmielorz GmbH

Ostring 13,

D-65205 Wiesbaden-Nordenstadt

Gedruckt auf chlor- und

säurefreiem Papier.

Die atp wurde 1959 als „Regelungstechnische

Praxis – rtp“ gegründet.

© 2012 Oldenbourg Industrieverlag

GmbH München

Die Zeitschrift und alle in ihr enthaltenen

Beiträge und Abbildungen sind urheberrechtlich

geschützt. Mit Ausnahme der

gesetzlich zugelassenen Fälle ist eine

Verwertung ohne Ein willigung des Verlages

strafbar.

Gemäß unserer Verpflichtung nach § 8

Abs. 3 PresseG i. V. m. Art. 2 Abs. 1c DVO

zum BayPresseG geben wir die Inhaber

und Beteiligungsverhältnisse am Verlag

wie folgt an:

Oldenbourg Industrieverlag GmbH,

Rosenheimer Straße 145, 81671 München.

Alleiniger Gesellschafter des Verlages

ist die ACM-Unternehmensgruppe,

Ostring 13,

65205 Wiesbaden-Nordenstadt.

ISSN 2190-4111

Die Ausgabe 7-8 / 2012 der

erscheint am 30.07.2012

Mit folgenden Beiträgen:

Operational Access to

SIS Components

Kernmodelle – ein Konzept

zur Vereinfachung von

Systembeschreibungen

Prozessdatenspeicherung

und Datenkommunikation

Die Mensch-Maschine-

Schnittstelle im

demographischen Wandel

...und vielen weiteren Themen.

Aus aktuellem Anlass können sich die Themen

kurzfristig verändern.

LeserService

e-Mail:

leserservice@oiv.de

Telefon:

+ 49 (0) 931 4170-1615

66

atp edition

6 / 2012

Erreichen Sie die Top-Entscheider

der Automatisierungstechnik.

Sprechen Sie uns an wegen Anzeigenbuchungen

und Fragen zu Ihrer Planung.

Annemarie Scharl-Send: Tel. +49 (0) 8144 9 96 95 12

E-Mail: ass@salescomm.de

Druckmesstechnik

Produkte in Titan für aggressive Medien:

‣ Medizinaltechnik

Implantierbare, vollisolierte Drucktransmitter mit Ø 9 mm.

Titan „Atlas“ /

Träger des Himmelgewölbes

‣ Chemische Industrie

Diverse frontbündige Versionen erhältlich.

‣ Hydrostatische Pegelmessung

Für aggressivste Medien wie Brackwasser, Eisenchlorid, …

KELLER

www.keller-druck.com

atp edition Diagnosefähige Aktorik in sicherheitsgerichteten Kreisen (Vorschau)

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?