26.02.2014 Aufrufe

atp edition Diagnosefähige Aktorik in sicherheitsgerichteten Kreisen (Vorschau)

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.

6 / 2012<br />

54. Jahrgang B3654<br />

Oldenbourg Industrieverlag<br />

Automatisierungstechnische Praxis<br />

<strong>Diagnosefähige</strong> <strong>Aktorik</strong> <strong>in</strong><br />

<strong>sicherheitsgerichteten</strong> <strong>Kreisen</strong> | 30<br />

PFD-Berechnung bei nicht<br />

konstanten Ausfallraten | 40<br />

Komplexe PLT-Schutze<strong>in</strong>richtungen | 48<br />

Automatische Generierung<br />

sicherer diversitärer Software | 58


ZUKUNFT ENTWICKELN<br />

MIT AUTOMATISIERUNG<br />

S<strong>in</strong>d Sie heute schon geflogen?<br />

NEUE<br />

Industrie<br />

Website<br />

www.vp-chemie-pharma.de<br />

Halle 11.1<br />

Stand E16<br />

Planen Sie Ihren ACHEMA Messetag mit YOKOGAWA<br />

Wir freuen uns auf Sie!<br />

Yokogawa Deutschland GmbH · Broichhofstraße 7-11 · 40880 Rat<strong>in</strong>gen<br />

Telefon +49(0)2102 - 4983-0 · Telefax +49(0)2102- 4983-22 · www.vp-chemie-pharma.de · <strong>in</strong>fo@de.yokogawa.com


editorial<br />

Nachweisbar sichere Komponenten<br />

und Anlagen effizient gestalten<br />

Sicherheitsgerichtete Automatisierungssysteme führen entscheidende Aufgaben<br />

von Sicherheitsfunktionen aus. Daher muss ihre Eignung sowohl<br />

qualitativ als auch quantitativ nachgewiesen werden.<br />

Normen und Richtl<strong>in</strong>ien wie die ISO 13849 und die IEC 61508 bieten leider<br />

nur für wenige, spezielle Sicherheitsarchitekturen konkrete Anhaltspunkte.<br />

Deswegen werden oft starke Vere<strong>in</strong>fachungen bei der Modellierung vorgenommen,<br />

um die realen Systeme auf diese Architekturen abzubilden.<br />

Die <strong>in</strong> der Sicherheitstechnik üblichen Abschätzungen und Vere<strong>in</strong>fachungen<br />

zur „sicheren Seite“ führen so oftmals zu unnötig schlechten Sicherheitskennwerten<br />

und letztendlich zu kosten<strong>in</strong>tensiveren Lösungen zur Erreichung der<br />

geforderten Kennwerte. Denn diese Vere<strong>in</strong>fachungen bedeuten immer e<strong>in</strong>e<br />

ungünstigere Bewertung der Sicherheit – und erfordern somit höhere Investitionen<br />

<strong>in</strong> Mechanik und Elektronik <strong>in</strong> Form von Redundanzen und hochwertigeren<br />

Bauteilen.<br />

Der Anlagenbauer beziehungsweise System<strong>in</strong>tegrator kann hier e<strong>in</strong>ige Auswege<br />

f<strong>in</strong>den: Der sche<strong>in</strong>bar e<strong>in</strong>fachste Weg ist die ausschließliche Verwendung<br />

von zertifizierten Sicherheitskomponenten. In diesem Fall kann für ihn der<br />

Nachweis relativ e<strong>in</strong>fach se<strong>in</strong>, und er wird durch Werkzeuge der Hersteller<br />

unterstützt. Zwar wird mittlerweile die Standardisierung von Schnittstellen<br />

und Eigenschaften von Safety-Komponenten von Verbänden gefördert, aber es<br />

ist noch viel Engagement notwendig.<br />

Spezialanwendungen und auch Kostengründe machen demgegenüber eigene<br />

Lösungen erforderlich. Hier ist Sicherheitskompetenz gefragt, die über die<br />

bisherigen Anforderungen h<strong>in</strong>ausgeht. Die existierenden Werkzeuge helfen<br />

zwar bei der Risikoanalyse und Bestimmung des erforderlichen Safety Integrity<br />

Levels (SIL) oder Performance Levels (PL) bei vielen Anwendungen. Sie<br />

kommen jedoch an ihre Grenzen, wenn von den Architekturvorschlägen der<br />

Normen abgewichen werden soll.<br />

Effiziente, generalisierbare, <strong>in</strong>telligente und flexible Lösungen für nachweisbare<br />

Sicherheit s<strong>in</strong>d daher die Hauptaufgabe der modernen Sicherheitstechnik.<br />

Die aktuellen Herausforderungen auf dem Gebiet der Safety bestehen nicht<br />

e<strong>in</strong>fach <strong>in</strong> der Erreichung der Sicherheit, sondern <strong>in</strong> der effizienten Gestaltung<br />

nachweisbar sicherer Komponenten und Anlagen, das heißt, auch mit ger<strong>in</strong>geren<br />

Stückkosten soll e<strong>in</strong>e nachweisbare Sicherheit erreichbar se<strong>in</strong>. Dafür<br />

können die e<strong>in</strong>maligen Kosten für Entwicklung und Nachweis durchaus höher<br />

se<strong>in</strong>. Hier spielen Software-<strong>in</strong>tensive Lösungen e<strong>in</strong>e immer größere Rolle.<br />

Schon seit e<strong>in</strong>iger Zeit wird der E<strong>in</strong>satz von COTS (commercial off the shelf)<br />

auf der Hardware-Seite und SOUP (software of uncerta<strong>in</strong> pedigree) auf der<br />

Software-Seite <strong>in</strong> der Sicherheitstechnik diskutiert.<br />

Obwohl die Sicherheitstechnik <strong>in</strong> unseren Branchen schon auf e<strong>in</strong>e bedeutende<br />

Geschichte zurückblicken kann, besteht noch viel Raum für <strong>in</strong>novative<br />

Lösungen.<br />

Prof. Dr.-Ing.<br />

Frank Schiller,<br />

wissenschaftlicher Leiter<br />

für Safety & Security,<br />

Beckhoff Automation GmbH<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012<br />

3


Inhalt 6 / 2012<br />

Forschung<br />

6 | Exo-Hand verb<strong>in</strong>det menschliche Intelligenz<br />

mit robusten Fähigkeiten e<strong>in</strong>es Roboters<br />

Kompaktes Datenlogger-System ermittelt, wie hoch<br />

die Leistung bei der „Ernte“ von Energie ist<br />

Verband<br />

8 | Stabwechsel bei der Fraunhofer-Gesellschaft:<br />

Reimund Neugebauer löst Hans-Jörg Bull<strong>in</strong>ger ab<br />

Industrie 4.0: GMA will aktuelle IKT-Trends<br />

gezielt für die Automation weiterentwickeln<br />

9 | PNO: Karsten Schneider neuer Vorsitzender<br />

Wood<strong>in</strong>gton-Award für Klaus-Dieter Sommer<br />

branche<br />

10 | Masterstudent Stefan Köhler und Bachelorstudent Stefan Luthardt<br />

gew<strong>in</strong>nen AALE Award 2012<br />

Studie: Informationssicherheit <strong>in</strong> europäischen<br />

Unternehmen „furchterregend schlecht“<br />

11 | Ch<strong>in</strong>esische Produktpiraterie im Masch<strong>in</strong>enbau 2011<br />

erstmals rückläufig<br />

Ingenieurbranchen erwirtschafteten 2011 rund 45 Prozent<br />

aller deutschen Exporte<strong>in</strong>nahmen<br />

12 | Offenes Safety-Profil ermöglicht e<strong>in</strong>e fabrikweite<br />

Sicherheitsarchitektur <strong>in</strong> heterogenen Anlagen<br />

rubriken<br />

3 | Editorial<br />

66 | Impressum, <strong>Vorschau</strong><br />

4<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


Schwerpunkt | achema<br />

16 | Optimale Assistenz für den Anlagenfahrer<br />

erlaubt maximale Kostenreduzierung<br />

für die Produktion<br />

20 | Kosten senken und Steuern sparen –<br />

zertifiziertes Energiemanagement steigert<br />

die Wirtschaftlichkeit<br />

24 | Neue Feldbus-Infrastruktur steigert<br />

Transparenz und Betriebssicherheit <strong>in</strong><br />

<strong>in</strong>discher Zuckerfabrik<br />

26 | Zentrales Eng<strong>in</strong>eer<strong>in</strong>g Tool erleichtert As-built-<br />

Dokumentation und asynchrone Planung<br />

Hauptbeiträge<br />

30 | <strong>Diagnosefähige</strong> <strong>Aktorik</strong> <strong>in</strong><br />

<strong>sicherheitsgerichteten</strong> <strong>Kreisen</strong><br />

T. Karte und B. Schäfer<br />

40 | PFD-Berechnung bei nicht<br />

konstanten Ausfallraten<br />

A. Hildebrandt<br />

48 | Komplexe PLT-Schutze<strong>in</strong>richtungen<br />

S. Haase, D. Hablawetz, T. Hauff, M. Krauss und F. Lenhart<br />

58 | Automatische Generierung<br />

sicherer diversitärer Software<br />

M. Früchtl und F. Schiller


forschung<br />

Exo-Hand verb<strong>in</strong>det menschliche Intelligenz<br />

mit robusten Fähigkeiten e<strong>in</strong>es Roboters<br />

D<br />

em Hersteller Festo ist es gelungen, e<strong>in</strong>en Roboterarm<br />

zu entwickeln, den man sich wie e<strong>in</strong>en Handschuh<br />

anziehen kann. Mit der sogenannten Exo-Hand lassen<br />

sich die F<strong>in</strong>ger aktiv bewegen und die F<strong>in</strong>gerkraft verstärken.<br />

Die Exoskeletthand bildet alle wichtigen physiologischen<br />

Freiheitsgrade e<strong>in</strong>er Hand ab.<br />

Dabei verknüpft die Exo-Hand menschliche Intelligenz<br />

mit den Fähigkeiten e<strong>in</strong>es Roboters. Masch<strong>in</strong>en s<strong>in</strong>d zwar<br />

präzise, robust und leistungsstark, können jedoch nur<br />

bed<strong>in</strong>gt <strong>in</strong> komplexen Situationen reagieren. Meist bleiben<br />

die optische und haptische Wahrnehmung sowie das<br />

menschliche Entscheidungsvermögen unverzichtbar. Mit<br />

der Exo-Hand ist nun, laut Hersteller, e<strong>in</strong> universelles<br />

Assistenzsystem entstanden. Die Roboterhand kann beispielsweise<br />

bei unterschiedlichen Montagetätigkeiten <strong>in</strong><br />

der Industrie e<strong>in</strong>gesetzt werden. Gleichfalls ist die Fernmanipulation<br />

e<strong>in</strong>er Roboterhand durch den „Cyborg“-<br />

Arm, etwa <strong>in</strong> gesundheitsgefährdenden Umgebungen,<br />

denkbar. Acht pneumatische Aktoren erlauben präzise<br />

Bewegungen und verleihen Festo zufolge der Exo-Hand<br />

optimierte Eigenschaften h<strong>in</strong>sichtlich Nachgiebigkeit<br />

und Sicherheit. Gleichzeitig erfassen l<strong>in</strong>eare Potentiometer<br />

die F<strong>in</strong>gerstellung und die jeweils anliegende Kraft<br />

der Antriebe. Der entsprechende Druck <strong>in</strong> den Kammern<br />

wird mittels Piezoproportionalventilen geregelt. Drucksensoren<br />

auf der Ventil<strong>in</strong>sel dienen der Druckregelung<br />

Die Exo-Hand <strong>in</strong> Komb<strong>in</strong>ation mit e<strong>in</strong>em<br />

Bra<strong>in</strong>-Computer-Interface. Bild: Festo.<br />

und erlauben Rückschluss auf die Kräfte, die der Zyl<strong>in</strong>der<br />

ausübt. E<strong>in</strong>e CoDeSys-konforme Steuerung erfasst und<br />

verarbeitet die Positions- und Kraftwerte. Sie regelt die<br />

entsprechenden Drücke <strong>in</strong> den Zyl<strong>in</strong>dern, um die korrekten<br />

F<strong>in</strong>gerstellungen und Krafte<strong>in</strong>flüsse zu erhalten.<br />

Dabei werden nichtl<strong>in</strong>eare Regelalgorithmen verwendet.<br />

Festo AG & Co. KG,<br />

Ruiter Straße 82, D-73734 Essl<strong>in</strong>gen,<br />

Tel. +49 (0) 711 34 70,<br />

Internet: www.festo.com/gruppe<br />

6<br />

Kompaktes Datenlogger-System ermittelt, wie hoch<br />

die Leistung bei der „Ernte“ von Energie ist<br />

Energy Harvest<strong>in</strong>g wird e<strong>in</strong>e Technologie genannt, bei der<br />

aus Quellen wie Temperatur- und Druckunterschieden,<br />

Luftströmungen, mechanischen Bewegungen oder Vibrationen<br />

Energie gewonnen wird. Wenige Milliwatt genügen<br />

etwa, um Sensoren, Funksender oder GPS-Module <strong>in</strong> Betrieb<br />

zu setzen. Die Vibrationen, beispielsweise beim Transport<br />

von Güterwagons oder Conta<strong>in</strong>ern können e<strong>in</strong>e solche Energie<br />

quelle se<strong>in</strong>. Doch reicht diese Energie tatsächlich komplett<br />

aus, um elektronische Mikrosysteme mit Strom zu<br />

versorgen? Darüber Auskunft gibt e<strong>in</strong> Datenlogger, der vom<br />

Fraunhofer-Institut für Integrierte Schaltungen IIS entwi-<br />

Der Datenlogger misst,<br />

ob die geerntete Energie vom<br />

Energy Harvest<strong>in</strong>g ausreicht,<br />

um e<strong>in</strong> Mikrosystem mit Energie<br />

zu versorgen. Er ist bereits<br />

beispielsweise an Conta<strong>in</strong>ern<br />

im E<strong>in</strong>satz. Bild: Fraunhofer IIS<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012<br />

ckelt wurde. Das System analysiert und charakterisiert das<br />

nutzbare Energiepotenzial. Es misst entscheidende Parameter<br />

der Vibrationsquelle wie beispielsweise Amplitude und<br />

Frequenzspektrum der Beschleunigung. „Mit den gewonnenen<br />

Daten lassen sich Vibrationswandler wie etwa piezoelektrische<br />

Generatoren so auslegen, dass sie Sensoren,<br />

Funksendeempfänger, Track<strong>in</strong>g-Systeme und andere Kle<strong>in</strong>geräte<br />

mit ger<strong>in</strong>gem Stromverbrauch mit ausreichend Energie<br />

versorgen“, erläutert Dr.-Ing. Peter Spies, Gruppenleiter<br />

am IIS. Die „abgeerntete“ Energie kann für viele Anwendungen<br />

genutzt werden, etwa um Pulsmesser, Sensoren <strong>in</strong><br />

Waschmasch<strong>in</strong>en und Produktionsanlagen oder Messsysteme<br />

<strong>in</strong> Autos, die den Reifendruck prüfen, aufzuladen.<br />

Bestandteile des Datenloggers s<strong>in</strong>d e<strong>in</strong> Beschleunigungssensor,<br />

e<strong>in</strong> GPS-Modul, e<strong>in</strong> Mikrocontroller, e<strong>in</strong>e SD-Karte<br />

sowie e<strong>in</strong>e WLAN-Schnittstelle.<br />

Der Datenlogger ist bereits <strong>in</strong> Güterwaggons, Lkws und<br />

Masch<strong>in</strong>enanlagen im E<strong>in</strong>satz. Derzeit entwickeln Spies<br />

und se<strong>in</strong> Team e<strong>in</strong> komplettes Track<strong>in</strong>g-System, das neben<br />

GSM-Modul und GPS-Empfänger e<strong>in</strong>en Vibrationswandler<br />

umfasst, der mechanische <strong>in</strong> elektrische Energie<br />

konvertiert.<br />

Fraunhofer-Institut<br />

für Integrierte Schaltungen IIS,<br />

Am Wolfsmantel 33, D-91058 Erlangen,<br />

Tel. +49 (0) 9131 77 60, Internet: www.iis.fraunhofer.de


M<br />

O<br />

V<br />

I<br />

E<br />

N<br />

S<br />

N<br />

O<br />

T<br />

V<br />

H<br />

A<br />

E<br />

T<br />

I<br />

W<br />

0<br />

O<br />

N<br />

R<br />

D<br />

L<br />

Effiziente Bedienung – optimale Produktion?<br />

Def<strong>in</strong>itiv.<br />

Das ideale Prozessleitsystem liefert dem Anlagenfahrer alle wichtigen Informationen für<br />

schnelle und richtige Entscheidungen. Somit behält er auch <strong>in</strong> schwierigen Situationen<br />

den Überblick, kann effektiv e<strong>in</strong>greifen und so Anlagenausfälle vermeiden. Mit den<br />

modernen und besonders ergonomischen Bedienoberflächen von ABB gibt es ke<strong>in</strong>e<br />

Alarm- und Informationsüberflutung. Dadurch kann sich der Anlagenfahrer auf das<br />

Wesentliche konzentrieren und die Produktivität der Anlage erhöhen. Wünschen Sie<br />

sich auch so e<strong>in</strong>e effiziente Anlagenbedienung? www.abb.de/controlsystems<br />

ACHEMA 2012<br />

18 - 22 June 2012<br />

Hall 11.1, Stand A61<br />

ABB Automation GmbH<br />

Tel. +49 69 7930 4142<br />

Fax. +49 69 7930 4499<br />

E-Mail: process.automation@de.abb.com


Verband<br />

Stabwechsel bei der Fraunhofer-Gesellschaft:<br />

Reimund Neugebauer löst Hans-Jörg Bull<strong>in</strong>ger ab<br />

Reimund Neugebauer,<br />

langjähriger Leiter des<br />

Fraunhofer-Instituts für<br />

Werkzeugmasch<strong>in</strong>en und<br />

Umformtechnik IWU <strong>in</strong><br />

Chemnitz, wird im<br />

Oktober neuer<br />

Fraunhofer-Präsident.<br />

Bild: Fraunhofer<br />

Prof. Dr.-Ing. Reimund Neugebauer ist vom Senat der<br />

Fraunhofer-Gesellschaft zum künftigen Präsidenten<br />

gewählt worden. Er soll im Oktober Prof. Dr.-Ing. Hans-<br />

Jörg Bull<strong>in</strong>ger nachfolgen, der zehn Jahre an der Spitze<br />

der Fraunhofer-Gesellschaft stand.<br />

Reimund Neugebauer leitet seit etwa 20 Jahren das<br />

Fraunhofer-Institut für Werkzeugmasch<strong>in</strong>en und<br />

Umform technik IWU <strong>in</strong> Chemnitz. Er studierte Masch<strong>in</strong>enbau<br />

an der TU Dresden mit dem Schwerpunkt Produktionstechnik.<br />

Nach Diplom und Promotion folgten<br />

e<strong>in</strong>e leitende Tätigkeit <strong>in</strong> der Masch<strong>in</strong>enbau<strong>in</strong>dustrie und<br />

die Habilitation 1989.<br />

Danach wurde er als Hochschullehrer an die TU Dresden<br />

berufen, wo er 1990 die Geschäftsführung des Instituts<br />

für Werkzeugmasch<strong>in</strong>en übernahm. 1992 wurde er<br />

Leiter der neuen Fraunhofer-E<strong>in</strong>richtung für Werkzeugmasch<strong>in</strong>en<br />

und Umformtechnik <strong>in</strong> Chemnitz, die zwei<br />

Jahre später zum Institut ernannt wurde. Seit 1993 ist er<br />

Ord<strong>in</strong>arius für Werkzeugmasch<strong>in</strong>en und Umformtechnik<br />

an der TU Chemnitz. Dort gründete er auch das Institut<br />

für Werkzeugmasch<strong>in</strong>en und Produktionsprozesse IWP<br />

und ist seit 2000 dessen Direktor. Von 2003 bis 2006 war<br />

er zudem Dekan der Fakultät für Masch<strong>in</strong>enbau.<br />

Neugebauer ist Mitglied zahlreicher nationaler und <strong>in</strong>ternationaler<br />

wissenschaftlicher Gesellschaften und Verbände.<br />

So war er 2010/2011 Präsident der Wissenschaftlichen<br />

Gesellschaft für Produktionstechnik WGP. Er gehört<br />

der Arbeitsgeme<strong>in</strong>schaft Umformtechnik AGU an<br />

und ist Fellow der Internationalen Akademie für Produktionstechnik<br />

CIRP, deren Generalversammlung er 2007<br />

als Chairman <strong>in</strong> Dresden ausrichtete.<br />

Außerdem ist er Mitglied der Deutschen Akademie der<br />

Technikwissenschaften Acatech und Gründungspräsident<br />

des Industrievere<strong>in</strong>s Sachsen 1828 e.V. Neugebauer hat das<br />

Fraunhofer-Institut für Werkzeugmasch<strong>in</strong>en und Umformtechnik<br />

IWU <strong>in</strong> Chemnitz zu e<strong>in</strong>em <strong>in</strong>ternational führenden<br />

Partner für die Automobil- und Masch<strong>in</strong>enbau<strong>in</strong>dustrie<br />

ausgebaut. Mit den Standorten Dresden, Augsburg und<br />

Zittau wurden die Forschungsgebiete um Mechatronik,<br />

Mediz<strong>in</strong>technik und Leichtbauweisen erweitert. Wichtige<br />

Impulse für e<strong>in</strong>en Paradigmenwandel zur Sicherung und<br />

Entwicklung der Wertschöpfung am Standort Deutschland<br />

lieferte Neugebauer mit dem aktuellen Schwerpunktthema<br />

„Ressourceneffiziente Produktion“.<br />

Hans-Jörg Bull<strong>in</strong>ger, der zehn Jahre an der Spitze der<br />

Fraunhofer-Gesellschaft stand, wechselt <strong>in</strong> den Senat<br />

und bleibt der Forschungsorganisation <strong>in</strong> vielfältigen<br />

Funktionen aktiv verbunden. Außerdem wird er sich <strong>in</strong><br />

Beratungsgremien und Aufsichtsräten weiterh<strong>in</strong> für den<br />

Innovationsstandort Deutschland engagieren.<br />

FRAUNHOFER-GESELLSCHAFT ZUR FÖRDERUNG DER<br />

ANGEWANDTEN FORSCHUNG E.V.,<br />

Hansastraße 27 c, D-80686 München,<br />

Tel. +49 (0) 89 120 50, Internet: www.fraunhofer.de<br />

8<br />

Industrie 4.0: GMA will aktuelle IKT-Trends<br />

gezielt für die Automation weiterentwickeln<br />

Deutschland hat bei der derzeit proklamierten vierten<br />

<strong>in</strong>dustriellen Revolution ‚Industrie 4.0‘ ausgezeichnete<br />

Voraussetzungen, betont der VDI. „Das liegt daran, dass<br />

wir seit Langem die Möglichkeiten der <strong>in</strong>dustriellen Kommunikations-<br />

und Informationsverfahren für die Anwendung<br />

<strong>in</strong> der Automatisierungstechnik konsequent und<br />

systematisch entwickeln und nutzen“, so Dr.-Ing. Kurt D.<br />

Bettenhausen, Vorsitzender der VDI/VDE-Gesellschaft<br />

Mess- und Automatisierungstechnik (GMA). „Die gerade<br />

stattf<strong>in</strong>dende Entwicklung im H<strong>in</strong>blick auf Vernetzung<br />

und Allgegenwärtigkeit jeglicher Information wird uns<br />

hier e<strong>in</strong>en weiteren Schub geben und neue Möglichkeiten<br />

eröffnen“, so Bettenhausen weiter.<br />

Das Ziel der Automatisierung ist und bleibt der wunschgemäße,<br />

sichere, zuverlässige und effiziente Betrieb von<br />

Anlagen. Die Nutzung der zusätzlichen Informationen, die<br />

zukünftig über zusätzliche Sensoren, e<strong>in</strong>gebettete Systeme<br />

und die Vernetzung zur Verfügung stehen können, wird<br />

dieses Ziel unterstützen und neue Möglichkeiten eröffnen.<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012<br />

„Industrie 4.0 bedeutet konsequente<br />

Automation“, beschreibt Bettenhausen<br />

die Perspektiven. „Wir werden die<br />

aktuellen Trends aus der Informations-<br />

und Kommunikationstechnologie<br />

(IKT) nutzen und gezielt für die<br />

<strong>in</strong>dustrielle Automation weiterentwickeln.“<br />

Darunter fallen unter anderem<br />

der Ausbau von Sensor- und Kommunikationsnetzen,<br />

die Vernetzung von<br />

Anlagen, die Verfügbarkeit, Transparenz<br />

und Sicherheit von Daten, die<br />

übersichtliche Visualisierung von Anlagenzuständen sowie<br />

die e<strong>in</strong>fache und <strong>in</strong>tuitive Bedienung von Anlagen.<br />

VDI/VDE-Gesellschaft Mess- und<br />

Automatisierungstechnik (GMA),<br />

VDI-Platz 1, D-40468 Düsseldorf,<br />

Tel. +49 (0) 211 621 40, Internet: www.vdi.de<br />

Dr.-Ing. Kurt D.<br />

Bettenhausen,<br />

GMA-Vorsitzender<br />

betont: „Industrie<br />

4.0 bedeutet<br />

konsequente Auto -<br />

mation.“ Bild: GMA


PNO: Karsten Schneider<br />

neuer Vorsitzender<br />

Karsten<br />

Schneider,<br />

neuer Vorstandsvorsitzender<br />

der<br />

PNO und Leiter der<br />

Strategie ‚Feldbuskommu<br />

nikation‘ <strong>in</strong><br />

der Siemens AG.<br />

Bild: PNO<br />

Karsten Schneider (43) wurde auf<br />

der Mitgliederversammlung der<br />

Profibus Nutzerorganisation e. V.<br />

(PNO) <strong>in</strong> den Vorstand der PNO und<br />

gleichzeitig zu dessen Vorsitzenden<br />

gewählt. Schneider ist seit April<br />

2012 Leiter der Strategie ‚Feldbuskommunikation‘<br />

<strong>in</strong> der Siemens AG.<br />

Er löst Jörg Freitag ab, der sich e<strong>in</strong>er<br />

neuen beruflichen Herausforderung<br />

im Ausland widmen wird.<br />

Neben Schneider gehören dem<br />

PNO-Vorstand nun Klaus-Peter L<strong>in</strong>dner<br />

(Endress + Hauser Process Solutions)<br />

und Prof. Dr. Frithjof Klasen<br />

(AIT, FH Köln) an. Der Vorstand leitet<br />

die Organisation der PNO, der Beirat<br />

steuert die Technologieentwicklung.<br />

Die Technischen Komitees und Arbeitskreise<br />

erarbeiten Spezifikationen, Profile und Richtl<strong>in</strong>ien.<br />

Die operativen Aufgaben werden von der Geschäftsstelle<br />

der PNO <strong>in</strong> Karlsruhe wahrgenommen.<br />

| EK12-06G |<br />

So kompakt sieht<br />

e<strong>in</strong> vollständiger<br />

Servoverstärker aus.<br />

Direkter Anschluss von Servomotor<br />

und Resolver an 12-mm-Busklemme.<br />

PROFIBUS-NUTZERORGANISATION,<br />

Haid-und-Neu-Straße 7, D-76131 Karlsruhe,<br />

Tel. +49 (0) 721 965 85 90,<br />

Internet: www.profibus.com<br />

Wood<strong>in</strong>gton-Award für<br />

Klaus-Dieter Sommer<br />

Für hervorragende Leistungen auf dem Gebiet der<br />

Messtheorie und Messdatenauswertung sowie der<br />

systematischen Modellbildung von Messungen und Kalibrierungen<br />

hat Prof. Dr. Klaus-Dieter Sommer den diesjährigen<br />

Wood<strong>in</strong>gton-Award erhalten wie die VDI/VDE-<br />

Gesellschaft Mess- und Automatisierungstechnik (GMA)<br />

mitteilt. GMA-Beiratsmitglied Sommer ist seit über 25<br />

Jahren der erste Nichtamerikaner, der mit diesem Preis<br />

ausgezeichnet wurde.<br />

Sommer habe wichtige Beiträge sowohl zum gesetzlichen<br />

Messwesen als auch zur Lehre <strong>in</strong> der Messtechnik<br />

sowie zur <strong>in</strong>ternationalen Vernetzung der Metrologie<br />

geleistet. Sommer ist seit vielen Jahren Vizepräsident der<br />

regionalen europäisch-asiatischen Metrologieorganisation<br />

Coomet. Er leitet das Technische Komitee TC 20<br />

‚Energy Measurement‘ der Imeko und hat die GMA mit<br />

der MSC und der NCSLi <strong>in</strong> den USA vernetzt. In Deutschland<br />

habe er sich vor allem um die Implementation des<br />

GUM-Verfahrens zur Messunsicherheitsbewertung <strong>in</strong><br />

die Praxis sowie die Förderung der Messtheorie verdient<br />

gemacht, betont die GMA.<br />

VDI/VDE-Gesellschaft Mess- und<br />

Automatisierungstechnik (GMA),<br />

VDI-Platz 1, D-40468 Düsseldorf,<br />

Tel. +49 (0) 211 621 40, Internet: www.vdi.de<br />

IPC<br />

I/O<br />

Motion<br />

Automation<br />

www.beckhoff.de/EL7201<br />

Die Servoklemme EL7201 für das Beckhoff-EtherCAT-Klemmensystem<br />

<strong>in</strong>tegriert im Standardklemmengehäuse e<strong>in</strong>en vollständigen<br />

Servoverstärker für Motoren bis 200 W:<br />

Direkter Anschluss von Servomotor, Resolver und Haltebremse<br />

an 12-mm-Busklemme<br />

Deutliche Reduzierung des Platzbedarfs sowie der Verdrahtungsund<br />

Inbetriebnahmekosten<br />

Die <strong>in</strong>tegrierte, schnelle Regelungstechnik ist für hochdynamische<br />

Positionieraufgaben ausgelegt.<br />

Die Servoklemme unterstützt Synchronmotoren mit e<strong>in</strong>em<br />

Nennstrom bis 4 A.<br />

Die Komb<strong>in</strong>ation aus Servomotorserie AM3100 und Servoklemme<br />

bietet e<strong>in</strong>e kostengünstige Servoachse im unteren Leistungsbereich.


anche<br />

Masterstudent Stefan Köhler und Bachelorstudent<br />

Stefan Luthardt gew<strong>in</strong>nen AALE Award 2012<br />

Sechs junge Fachhochschul-Studenten wurden bei der<br />

diesjährigen Konferenz für Angewandte Automatisierungstechnik<br />

<strong>in</strong> Lehre und Entwicklung (AALE) für ihre<br />

Forschungsarbeiten ausgezeichnet. Die ersten beiden<br />

AALE Student Awards g<strong>in</strong>gen an Stefan Köhler und Stefan<br />

Luthardt. Köhler erhielt die Auszeichnung für se<strong>in</strong>e<br />

Master-Arbeit zum Thema „Entwurf und Analyse e<strong>in</strong>es<br />

Datenfusionsalgorithmus zur Lagef<strong>in</strong>dung e<strong>in</strong>es Kle<strong>in</strong>stflugzeugs“.<br />

Der Gew<strong>in</strong>ner von der Hochschule Karlsruhe<br />

untersuchte Verfahren, wie man e<strong>in</strong>en Quadrokopter<br />

besser stabilisieren kann. E<strong>in</strong> Quadrokopter ist e<strong>in</strong>e<br />

Schwebeplattform, die mithilfe von vier Propellern <strong>in</strong> der<br />

Luft gehalten wird.<br />

Der erste Preis unter den Bachelor-Studenten g<strong>in</strong>g an Stefan<br />

Luthardt von der Hochschule für Technik, Wirtschaft<br />

und Kultur (HTWK) Leipzig. Luthardt hatte <strong>in</strong> se<strong>in</strong>er Arbeit<br />

Preisträger: (von li. nach re.) Stefan Luthardt (Preisträger<br />

AALE Award Bachelorarbeit), Mirko Kegel, Philipp Scholz, Titanilla<br />

Komenda und Stefan Köhler (Preisträger AALE Award Masterarbeit).<br />

<br />

Bild: FH Aachen/Pia Wilbrand<br />

die „Entwicklung e<strong>in</strong>es Softwarewerkzeugs zur Identifikation<br />

von Regelstrecken und Konfiguration von Reglern auf<br />

Speicherprogrammierbaren Steuerungen“ vorgestellt. Stefan<br />

Köhler erhielt für se<strong>in</strong>e ausgezeichnete Master-Arbeit<br />

e<strong>in</strong> Preisgeld von 1 000 Euro. Stefan Luthardt konnte sich<br />

über 500 Euro für die beste Bachelor-Arbeit freuen.<br />

Als Zweit- und Drittplatzierte unter den e<strong>in</strong>gereichten<br />

Bachelor-Arbeiten machten Kai Dziembala von der Hochschule<br />

Bremen und Mirko Kegel von der FH Bielefeld das<br />

Rennen. Dziembala hatte se<strong>in</strong>e Bachelor-Arbeit zum Thema<br />

„Prozesssichere und gesetzeskonforme Trügungsmessung“<br />

vorgestellt. Kegel befasste sich <strong>in</strong> se<strong>in</strong>er Arbeit mit<br />

„Wieganddraht-basierten Magnetfeldsensoren“.<br />

Auch bei den übrigen nom<strong>in</strong>ierten Masterarbeiten<br />

setzten sich <strong>in</strong>teressante Themen durch. Titanilla Komenda<br />

von der TU Technikum Wien stellte „An Exprimental<br />

Approach to Evaluat<strong>in</strong>g Industrial Robot Energy Efficiency“<br />

vor. Ihr Mitstreiter Philipp Scholz von der FH Westküste<br />

hatte die „Regelung e<strong>in</strong>er wiederzündbaren kryogenen<br />

Oberstufe zur Unterdrückung des Treibstoffschwappens<br />

wärend ausgewählter Manöver“ untersucht.<br />

Die AALE-Fachkonferenz, die <strong>in</strong> diesem Jahr am 3. und<br />

4. Mai <strong>in</strong> den Räumen der Fachhochschule Aachen stattfand,<br />

konnte 170 Teilnehmer verzeichnen. In den rund 40<br />

Vorträgen wurde die Brücke zwischen Industrie und Hochschule<br />

geschlagen und über <strong>in</strong>teressante Kooperationen<br />

zwischen Instituten und Wirtschaft <strong>in</strong>formiert. E<strong>in</strong>e Ausstellung<br />

der Industriepartner zeigte Aachener Fachhochschülern,<br />

wo ihr Know-how <strong>in</strong> der Praxis gefragt ist.<br />

Die AALE-Fachkonferenz f<strong>in</strong>det im kommenden Jahr<br />

<strong>in</strong> Stralsund statt.<br />

FH Aachen,<br />

Fachbereich Elektrotechnik und Informationstechnik,<br />

Eupener Straße 70,<br />

D-52066 Aachen,<br />

Tel. +49 (0) 241 600 95 21 61,<br />

Internet: www.fh-aachen.de/aale2012<br />

10<br />

Studie: Informationssicherheit <strong>in</strong> europäischen<br />

Unternehmen „furchterregend schlecht“<br />

Die Unternehmensberatung Price Waterhouse Coopers<br />

(PwC) attestiert mittelständischen Unternehmen <strong>in</strong><br />

Europa e<strong>in</strong>en „fahrlässigen“ Umgang mit der Informationssicherheit.<br />

Zu diesem Ergebnis kommen PwC und<br />

der Datensicherheitsspezialist Iron Mounta<strong>in</strong> <strong>in</strong> e<strong>in</strong>er<br />

geme<strong>in</strong>samen Studie. Die Befragung hatte <strong>in</strong> sechs europäischen<br />

Ländern <strong>in</strong>sgesamt 600 mittelständische Unternehmen<br />

mit 250 bis 2500 Mitarbeitern unter die Lupe<br />

genommen. Vier Kernbereiche wurden untersucht: Strategie<br />

(etwa Informationsrisikostrategie), Mitarbeiter (Wie<br />

gehen diese mit dem Internet und Social Media um?),<br />

Kommunikation (Gibt es e<strong>in</strong>e Leitl<strong>in</strong>ie zum Umgang mit<br />

Dateien?) und Sicherheit (Datenklassifizierung).<br />

Die erzielten Ergebnisse waren laut William Rim<strong>in</strong>gton,<br />

Studienverantwortlicher von PwC, „furchterregend<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012<br />

schlecht“. Nur 1 % der Unternehmen erkannte, dass Informationssicherheit<br />

e<strong>in</strong> unternehmensweites Thema ist,<br />

60 % s<strong>in</strong>d nicht sicher, ob ihre Mitarbeiter über geeignete<br />

Werkzeuge für die Datensicherheit verfügen. Nur 13 %<br />

der Unternehmen me<strong>in</strong>ten, dass Informationssicherheit<br />

Angelegenheit des Vorstands se<strong>in</strong> sollte. Dagegen sieht<br />

ungefähr e<strong>in</strong> Drittel (35 %) die Zuständigkeit für Informationssicherheit<br />

bei der IT-Abteilung.<br />

„Die meisten mittelständischen Unternehmen agieren,<br />

sowohl was ihre eigenen als auch die Daten ihrer Kunden<br />

angeht, fahrlässig", so Rim<strong>in</strong>gton.<br />

Price waterhouse Coopers AG,<br />

Friedrich-Ebert-Anlage 35-37, D-60327 Frankfurt am Ma<strong>in</strong>,<br />

Tel. +49 (0) 69 958 50, Internet: www.pwc.de


Ch<strong>in</strong>esische Produktpiraterie im<br />

Masch<strong>in</strong>enbau 2011 erstmals rückläufig<br />

E<strong>in</strong>en „Verfall der Sitten“, beklagte Hannes Hesse, Hauptgeschäftsführer<br />

des VDMA (Verband Deutscher Masch<strong>in</strong>en<br />

und Anlagenbau), im Umfeld der Hannover-Messe.<br />

Laut e<strong>in</strong>er vom VDMA durchgeführten Befragung s<strong>in</strong>d<br />

<strong>in</strong> 400 Unternehmen mehr als zwei Drittel der Masch<strong>in</strong>enund<br />

Anlagenbauer von Produktpiraterie betroffen. Dies<br />

betreffe Hersteller von Textil-, Kunststoff- und Gummima-<br />

VDMA-Branche:<br />

Der deutsche<br />

Masch<strong>in</strong>enbau<br />

rechnet mit e<strong>in</strong>er<br />

schwarzen Null beim<br />

diesjährigen Umsatz.<br />

Bild: VDMA/Dornbracht<br />

sch<strong>in</strong>en am stärksten. Laut der Studie erlitt die deutsche<br />

Masch<strong>in</strong>enbau<strong>in</strong>dustrie im vergangenen Jahr dadurch<br />

e<strong>in</strong>en Umsatzverlust von 7,9 Milliarden Euro, rund 24 Prozent<br />

mehr als im Vorjahr.<br />

Gegenmaßnahmen lassen derweil auf sich warten. Rund<br />

44 Prozent der betroffenen Firmen gaben an, ke<strong>in</strong>e Maßnahmen<br />

gegen Plagiate unternommen zu haben. Ursprungsland<br />

der gefälschten Produkte ist <strong>in</strong> drei Vierteln<br />

aller Fälle Ch<strong>in</strong>a. Allerd<strong>in</strong>gs war der Anteil der ch<strong>in</strong>esischen<br />

Plagiate 2011 erstmals rückläufig. VDMA-Hauptgeschäftsführer<br />

Hesse gab e<strong>in</strong>e Prognose zum Wachstum <strong>in</strong><br />

der deutschen Masch<strong>in</strong>enbau<strong>in</strong>dustrie für 2012 bekannt.<br />

„Die Auftragsentwicklung der letzten Monate bestätigt uns<br />

<strong>in</strong> der E<strong>in</strong>schätzung, dass die Produktion nach dem ersten<br />

Halbjahr das Vorjahresniveau erreichen kann“, so Hesse.<br />

VDMA (Verband Deutscher Masch<strong>in</strong>enund<br />

Anlagenbau e.V.),<br />

Lyoner Strasse 18, D-60528 Frankfurt/Ma<strong>in</strong>,<br />

Tel. +49 (0) 69 660 30, Internet: www.vdma.org<br />

Ingenieurbranchen erwirtschafteten 2011 rund<br />

45 Prozent aller deutschen Exporte<strong>in</strong>nahmen<br />

E<strong>in</strong>e aktuelle Studie des Instituts der deutschen Wirtschaft<br />

Köln (IW) <strong>in</strong> Kooperation mit dem Vere<strong>in</strong> Deutscher<br />

Ingenieure (VDI) hat ergeben, dass die Ingenieurbranchen<br />

die Zugpferde der deutschen Wirtschaft s<strong>in</strong>d. Die fünf<br />

Branchen mit den höchsten Ingenieuranteilen (technischer<br />

Service sowie Dienstleistungen <strong>in</strong> der Forschung und Entwicklung,<br />

Elektro<strong>in</strong>dustrie, Masch<strong>in</strong>enbau, Fahrzeugbau<br />

und EDV/Telekommunikation) <strong>in</strong>vestieren geme<strong>in</strong>sam<br />

rund 73 Milliarden Euro, um Innovationen hervorzubr<strong>in</strong>-<br />

gen. In 2011 erwirtschafteten diese Industrien 562 Milliarden<br />

Euro. Das s<strong>in</strong>d rund 45 Prozent aller deutschen Exporte<strong>in</strong>nahmen<br />

aus dem Waren- und Dienstleistungshandel.<br />

Zudem erzielten diese Branchen e<strong>in</strong>en Auslandshandelsüberschuss<br />

von 223 Milliarden Euro.<br />

Institut der deutschen Wirtschaft Köln,<br />

Konrad-Adenauer-Ufer 21, D-50668 Köln,<br />

Tel. +49 (0) 221 498 11, Internet: www.iwkoeln.de<br />

Zukünftige Architekturen von Automatisierungssystemen<br />

In Ausgabe 12/2012 der <strong>atp</strong> <strong>edition</strong><br />

diskutiert das Magaz<strong>in</strong> zukünftige Architekturen<br />

von Automatisierungssystemen. Aktuelle<br />

Entwicklungen der Informations- und<br />

Kommunikationstechnologien wie Virtualisierung,<br />

Grid Comput<strong>in</strong>g, vernetzte Systeme<br />

und semantische Technologien treffen auf<br />

Anforderungen an funktionale Sicherheit,<br />

Anlagensicherheit und Informationssicherheit<br />

und an die optimale bereichsübergreifende<br />

Unterstützung der Bedienmannschaften.<br />

E<strong>in</strong>e realistische Abschätzung der Eng<strong>in</strong>eer<strong>in</strong>g-Aufwände<br />

und Lebenszykluskosten<br />

ist dabei zw<strong>in</strong>gend. Wir bitten Sie, bis<br />

zum 1. August zu diesem Themenschwerpunkt<br />

e<strong>in</strong>en gemäß <strong>atp</strong>-Autorenrichtl<strong>in</strong>ien<br />

ausgearbeiteten Hauptbeitrag per E-Mail an<br />

urbas@oiv.de e<strong>in</strong>zureichen.<br />

<strong>atp</strong> <strong>edition</strong> ist die hochwertige Monatspublikation<br />

für Fach- und Führungskräfte<br />

der Automatisierung. In den Hauptbeiträgen<br />

werden Themen mit hohem wissenschaftlichem<br />

und technischem Anspruch<br />

und vergleichsweise abstrakt dargestellt.<br />

Im Journalteil schlägt <strong>atp</strong> <strong>edition</strong> die Brücke<br />

zur Praxis. Es werden Erfahrungen von Anwendern<br />

mit neuen Technologien, Prozessen<br />

oder Produkten beschrieben. Alle Beiträge<br />

begutachtet e<strong>in</strong> Fachgremium. Sollten<br />

Sie sich aktiv an dem Begutachtungsprozess<br />

beteiligen wollen, bitten wir um Rückmeldung.<br />

Für weitere Fragen stehen wir<br />

Ihnen gerne zur Verfügung.<br />

Redaktion <strong>atp</strong><br />

Leon Urbas, Anne Hütter<br />

Call for<br />

Aufruf zur Beitragse<strong>in</strong>reichung<br />

Thema: Zukünftige Architekturen von<br />

Automatisierungssystemen<br />

Kontakt: urbas@oiv.de<br />

Term<strong>in</strong>: 1. August 2012<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012<br />

11


anche<br />

Offenes Safety-Profil ermöglicht e<strong>in</strong>e fabrikweite<br />

Sicherheitsarchitektur <strong>in</strong> heterogenen Anlagen<br />

Datenaustausch über Gateways – standardisierte Prozessdaten vere<strong>in</strong>fachen die Konfiguration<br />

Konventionelle Sicherheitstechnik im Vergleich zu modernen<br />

Masch<strong>in</strong>enkonzepten mit <strong>in</strong>tegrierter Sicherheitsfunktion.<br />

E<strong>in</strong> offenes Schnittstellenprofil<br />

ermöglicht e<strong>in</strong>en standardisierten Datenaustausch<br />

zwischen den Masch<strong>in</strong>enmodulen.<br />

Für den sicherheitsrelevanten Datenaustausch zwischen<br />

Anlagenteilen e<strong>in</strong>er heterogenen Sicherheits-<br />

Architektur standardisiert die EtherCAT Technology<br />

Group (ETG) e<strong>in</strong> offenes Safety-Profil. Das Profil berücksichtigt,<br />

dass <strong>in</strong>nerhalb der Anlagenteile möglicherweise<br />

unterschiedliche Bussysteme und damit deren native<br />

Safety-Protokolle zum E<strong>in</strong>satz kommen. Der sicherheitsrelevante<br />

Datenaustausch zwischen den Anlagenteilen<br />

erfolgt über Gateway-Funktionen, wobei die Prozessdaten<br />

durch das Safety-Profil standardisiert s<strong>in</strong>d, um die<br />

Konfiguration zu vere<strong>in</strong>fachen.<br />

unterschiedliche Kommunikationstechnologien<br />

Die Konstruktion der Produktionsanlage ist abgeschlossen<br />

und Herr Fastsicher stellt zufrieden fest: „Die funktionale<br />

Kopplung der fünf Masch<strong>in</strong>enmodule verschiedener Hersteller<br />

haben wir durch e<strong>in</strong> Ethernet-Netzwerk auf übergeordneter<br />

Leitebene realisiert. Und da jedes Masch<strong>in</strong>enmodul<br />

die spezifischen Sicherheitsfunktionen bereits <strong>in</strong>tegriert<br />

hat, konnten wir auch die Anforderungen für den<br />

sicheren Betrieb erfüllen.“ Se<strong>in</strong> Kollege Herr Ganzsicher<br />

ist noch skeptisch und fragt: „S<strong>in</strong>d auf der Leitebene und<br />

zwischen den Masch<strong>in</strong>enteilen auch die übergeordneten<br />

Sicherheitsfunktionen realisiert? Wenn etwa im Modul A<br />

e<strong>in</strong> Not-Aus-Taster aktiviert wird, muss auch das nachfolgende<br />

Masch<strong>in</strong>enmodul B <strong>in</strong> e<strong>in</strong>en sicheren Zustand gesetzt<br />

werden.“ Herr Fastsicher überlegt: „Da die Masch<strong>in</strong>enmodule<br />

<strong>in</strong>tern unterschiedliche Kommunikationstechnologien<br />

nutzen, ist e<strong>in</strong> Austausch von Sicherheitsfunktionen<br />

nicht so e<strong>in</strong>fach. Wie soll ich das machen?“<br />

HETEROGENE ANLAGENSTRUKTUR<br />

Produktionsanlagen bestehen häufig aus mehreren Prozessschritten,<br />

die jeweils von separaten Masch<strong>in</strong>enmodulen<br />

ausgeführt werden. Die Interaktion der Masch<strong>in</strong>enmodule<br />

– geführt durch e<strong>in</strong>e Leitsteuerung, die<br />

beispielsweise vorgibt, was gefertigt werden soll – wird<br />

heute über e<strong>in</strong>e anlagenweite Vernetzung realisiert. Die<br />

Masch<strong>in</strong>enmodule selber können dabei von unterschiedlichen<br />

Anbietern bereitgestellt werden und nutzen<br />

unter Umständen <strong>in</strong>tern unterschiedliche Kommunikationssysteme.<br />

Wir bezeichnen dies als e<strong>in</strong>e heterogene<br />

Anlagenstruktur.<br />

Für die sicherheitsrelevante Kopplung der Geräte e<strong>in</strong>er<br />

Masch<strong>in</strong>e ist e<strong>in</strong> klarer Trend zur Nutzung von Kommunikationssystemen<br />

mit sicherheitsrelevanter Übertragung<br />

zu erkennen. Intelligente Sicherheitssensoren wie<br />

Laserscanner oder kamerabasierte Überwachungssysteme<br />

sowie Antriebe mit <strong>in</strong>tegrierten sicheren Überwachungs-<br />

und Abschaltfunktionen können über e<strong>in</strong>en<br />

Sicherheitsbus an e<strong>in</strong>e sichere Logik angeschlossen werden.<br />

Hierdurch ergeben sich wesentliche Vere<strong>in</strong>fachungen<br />

<strong>in</strong> der Masch<strong>in</strong>enarchitektur und dadurch kurze<br />

Reaktionszeiten sowie e<strong>in</strong>e kanalspezifische Diagnose<br />

auch für die Sicherheitsfunktionen.<br />

verschiedene SICHERHEITSPROTOKOLLE<br />

Die Kommunikation auf der Feldebene verwendet immer<br />

häufiger Echtzeit-Kommunikationssysteme für den Austausch<br />

von E/A-Daten der Sensoren und Aktoren. Verschiedene<br />

Ethernet-basierte Technologien haben sich<br />

12<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


TEchnoLogIE<br />

schaFFT<br />

ForTschrITT<br />

DarT FELDbus<br />

E<strong>in</strong>e Produktionsanlage<br />

setzt sich aus mehreren<br />

Masch<strong>in</strong>enmodulen zusammen.<br />

hierfür im Markt etabliert: EtherCAT, Prof<strong>in</strong>et, Ethernet/<br />

IP und weitere. Auf der Ebene der Leitrechner oder der<br />

Masch<strong>in</strong>envernetzung werden e<strong>in</strong>zelne Masch<strong>in</strong>enmodule<br />

zu e<strong>in</strong>er Produktionsanlage zusammengeführt. Die<br />

Kopplung der Masch<strong>in</strong>enteile erfolgt <strong>in</strong> der Regel über<br />

e<strong>in</strong>e übergeordnete Master-Master-Kommunikation; die<br />

Masch<strong>in</strong>ensteuerungen arbeiten als Gateway zwischen<br />

dem <strong>in</strong>ternen Kommunikationssystem und dem übergeordneten<br />

Leitsystem.<br />

Für die sicherheitsrelevante Kopplung der Masch<strong>in</strong>enteile<br />

gelten ähnliche Randbed<strong>in</strong>gungen: Die etablierten<br />

Bussysteme haben aus historischen und technologischen<br />

Gründen unterschiedliche Safety-Protokolle def<strong>in</strong>iert.<br />

Unter Berücksichtigung der Nutzung dieser nativen<br />

Safety-Protokolle <strong>in</strong>nerhalb der Masch<strong>in</strong>enmodule wird<br />

für die anlagenweite Vernetzung der Module e<strong>in</strong>e sichere<br />

Gateway-Funktion benötigt.<br />

SAFETY-GATEWAY ALS EFFIZIENTE LÖSUNG<br />

In diesem Zusammenhang wird häufig auch der Ansatz<br />

diskutiert, durch e<strong>in</strong> allgeme<strong>in</strong>es busunabhängiges<br />

Safety-Protokoll anlagenweite Sicherheitsfunktionen<br />

schließen zu können. Die Zertifizierung e<strong>in</strong>es busunabhängigen<br />

Safety-Protokolls ist allerd<strong>in</strong>gs für den Gerätehersteller<br />

technisch schwierig und br<strong>in</strong>gt e<strong>in</strong>ige wesentliche<br />

E<strong>in</strong>schränkungen mit sich: E<strong>in</strong> Gerätehersteller<br />

wird vorrangig das native Safety-Protokoll für die unterstützte<br />

Busschnittstelle implementieren, um das Gerät<br />

<strong>in</strong> diesem Markt erfolgreich platzieren zu können.<br />

E<strong>in</strong> zusätzliches generisches Protokoll würde daher den<br />

Eigensicherheit ohne Leistungs-<br />

grenzen: Die nächste Innovation<br />

von Pepperl+Fuchs<br />

n High Power Trunk + Eigensicherheit<br />

erstmals komb<strong>in</strong>iert <strong>in</strong> e<strong>in</strong>em<br />

<strong>in</strong>novativen System für maximale<br />

Sicherheit<br />

n Hohe Leistung ermöglicht größere<br />

Segmente mit langen Kabelwegen<br />

n Hohe Betriebssicherheit und<br />

Verfügbarkeit garantieren e<strong>in</strong><br />

Höchstmaß an Effizienz<br />

Erfahren Sie mehr unter:<br />

www.dart-feldbus.de<br />

halle 11.1 · stand a41<br />

Pepperl+Fuchs<br />

Vertrieb Deutschland GmbH<br />

Lilienthalstraße 200 · 68307 Mannheim<br />

Tel. +49 621 776-2222 · Fax +49 621 776-272222<br />

pa-<strong>in</strong>fo@de.pepperl-fuchs.com<br />

www.pepperl-fuchs.de


anche<br />

Aufwand und die Kosten für e<strong>in</strong> Gerät erheblich erhöhen.<br />

Da dies nicht von allen Geräteherstellern unterstützt<br />

wird, reduziert sich die Auswahl der Geräte für<br />

den Anwender.<br />

E<strong>in</strong>e Safety-Gateway-Funktion braucht aber nur e<strong>in</strong>mal<br />

<strong>in</strong> e<strong>in</strong>em Masch<strong>in</strong>enmodul zur Verfügung gestellt<br />

werden. Sie muss nicht e<strong>in</strong>mal als eigenständiges Gerät<br />

ausgeführt werden, sondern kann auch als Teilfunktion<br />

der Sicherheitssteuerung implementiert se<strong>in</strong>. Das funktioniert<br />

auch heute schon: Entsprechende Sicherheitssteuerungen,<br />

die mehrere Safety-Protokolle unterstützen,<br />

s<strong>in</strong>d im Markt verfügbar.<br />

MODULINTERNE SICHERHEITSFUNKTIONEN<br />

Die Sicherheitsfunktionen der Masch<strong>in</strong>enmodule werden<br />

<strong>in</strong> der Regel <strong>in</strong>nerhalb des Moduls gelöst. Muss zum Beispiel<br />

durch das Öffnen e<strong>in</strong>er Schutzklappe e<strong>in</strong>e Stoppfunktion<br />

ausgelöst werden, dann werden die gefahrbr<strong>in</strong>genden<br />

Bewegungen <strong>in</strong>nerhalb des Moduls sicher stillgesetzt<br />

(etwa durch Stillsetzen des Sägeblattes). Die Sicherheitssteuerung<br />

verarbeitet die E<strong>in</strong>gangs<strong>in</strong>formationen der<br />

Sensoren und bestimmt die sicheren Reaktionen an den<br />

Ausgängen beziehungsweise Aktoren.<br />

Hierfür s<strong>in</strong>d <strong>in</strong>nerhalb des Masch<strong>in</strong>enmoduls detaillierte<br />

Informationen über den Status und die Funktionsfähigkeit<br />

der beteiligten Komponenten notwendig.<br />

Wird e<strong>in</strong> defekter Sensor entdeckt, etwa über e<strong>in</strong>e<br />

Querschluss-Erkennung, dann wird für diesen Sensor<br />

e<strong>in</strong>e spezifische sichere Funktion aktiviert, und der<br />

Anwender kann gezielt auf das fehlerhafte Gerät h<strong>in</strong>gewiesen<br />

werden.<br />

Anlagenweit müssen zudem zwischen den Masch<strong>in</strong>enmodulen<br />

Sicherheits<strong>in</strong>formationen ausgetauscht werden,<br />

um beispielsweise übergreifende Not-Aus-Funktionen<br />

zu realisieren oder um Vorgänger- und Nachfolge-<br />

Module über die Aktivierung von Stillstandfunktionen<br />

zu <strong>in</strong>formieren. In e<strong>in</strong>er Gefahrensituation ist es unerheblich,<br />

ob der Not-Aus-Taster an dem Masch<strong>in</strong>enmodul<br />

angebracht ist, <strong>in</strong> dem die Gefahr erkannt wird, oder<br />

nicht – wichtig ist e<strong>in</strong>e schnelle Reaktion.<br />

Für das Be- und Entladen e<strong>in</strong>er Station ist es zudem<br />

notwendig, sicherheitsrelevante Informationen zum Vorgänger-<br />

beziehungsweise Nachfolgemodul auszutauschen.<br />

E<strong>in</strong> Materialaustausch darf beispielsweise nur<br />

freigegeben werden, wenn sich ke<strong>in</strong> Anwender <strong>in</strong> der<br />

Gefahrenzone bef<strong>in</strong>det.<br />

VEREINHEITLICHUNG AUF PROFILEBENE<br />

Auf Ebene der anlagenweiten Masch<strong>in</strong>enkommunikation<br />

ist es daher nicht wichtig, kanalspezifische Informationen<br />

der e<strong>in</strong>zelnen Sensoren und Aktoren auszutauschen; vielmehr<br />

s<strong>in</strong>d der sicherheitsrelevante Gesamtstatus e<strong>in</strong>es<br />

Masch<strong>in</strong>enmoduls und die zentrale Aktivierung von Sicherheitsfunktionen<br />

von Bedeutung. Die Schnittstelle zu<br />

jedem Masch<strong>in</strong>enmodul erfolgt also <strong>in</strong> der Regel durch<br />

vorverarbeitete, gefilterte Informationen; sie ist damit<br />

schlank und kann über e<strong>in</strong> offenes Schnittstellenprofil<br />

standardisiert werden.<br />

Innerhalb der EtherCAT Technology Group (ETG) wird<br />

für die Standardisierung der Daten zwischen den Masch<strong>in</strong>enmodulen<br />

e<strong>in</strong>e Profilspezifikation erarbeitet, die<br />

oberhalb der Safety-Protokolle e<strong>in</strong> Applikationsprofil<br />

def<strong>in</strong>iert. Es handelt sich hierbei um die komprimierten<br />

und vorverarbeiteten sicheren Prozessdaten, die e<strong>in</strong> Masch<strong>in</strong>enmodul<br />

nach außen liefert, beziehungsweise von<br />

außen bekommt.<br />

Wenn sich zwei Masch<strong>in</strong>en mite<strong>in</strong>ander unterhalten,<br />

ist es für den Nachbarn nicht wichtig, ob sich dieser oder<br />

jener Antrieb <strong>in</strong> e<strong>in</strong>em sicheren Zustand bef<strong>in</strong>det oder<br />

ob e<strong>in</strong> Not-Aus-Schalter gedrückt wurde. Was aber tatsächlich<br />

<strong>in</strong>teressiert, ist – um es vere<strong>in</strong>facht zu sagen –<br />

die Information, ob die Nachbaranlage e<strong>in</strong> Sicherheitsproblem<br />

hat, und wenn dem tatsächlich so ist, ob dann<br />

die eigenen Anlagenteile weiter produzieren dürfen.<br />

Inhalte des Schnittstellenprofils s<strong>in</strong>d beispielsweise<br />

der allgeme<strong>in</strong>e sicherheitsrelevante Masch<strong>in</strong>enzustand<br />

e<strong>in</strong>es Moduls, die Information, ob das Modul sicher<br />

gestoppt wurde oder auch e<strong>in</strong>e übergeordnete Not-Aus-<br />

Anforderung. F<strong>in</strong>det man diese Informationen <strong>in</strong> Form<br />

e<strong>in</strong>es Steuer- beziehungsweise Statuswortes an fester<br />

Stelle auf der Schnittstelle wieder, dann ergeben sich<br />

erhebliche Vorteile durch vordef<strong>in</strong>ierte Funktionsbauste<strong>in</strong>e<br />

und durch wiederverwendbare Diagnosemöglichkeiten.<br />

Deshalb wird e<strong>in</strong>e Vere<strong>in</strong>heitlichung auf Profilebene<br />

erarbeitet. Somit muss nur e<strong>in</strong> e<strong>in</strong>ziges Gerät <strong>in</strong> den Masch<strong>in</strong>enmodulen<br />

die „Fremdsprache“ zu den anderen<br />

Anlagenteilen beherrschen; bei den übrigen kann die<br />

Zweisprachigkeit entfallen. Das spart Kosten und erhöht<br />

die Flexibilität!<br />

Für Herrn Fastsicher s<strong>in</strong>d damit die übergeordneten<br />

Sicherheitsfunktionen für se<strong>in</strong>e Anlage genauso e<strong>in</strong>fach<br />

zu lösen, wie er es durch die modernen Sicherheitskonzepte<br />

<strong>in</strong>nerhalb se<strong>in</strong>er Masch<strong>in</strong>enteile gewohnt ist.<br />

Autor<br />

Dr.-Ing. Guido Beckmann<br />

arbeitet seit über 15 Jahren<br />

an der Entwicklung von<br />

Lösungen für die <strong>in</strong>dustrielle<br />

Automation. Se<strong>in</strong> besonderes<br />

Interesse gilt dabei der<br />

Kommunikationstechnik.<br />

Zudem ist er Experte auf<br />

dem Gebiet der funktionalen<br />

Sicherheit. Beide Bereiche führt er <strong>in</strong> se<strong>in</strong>er<br />

Arbeit <strong>in</strong> der EtherCAT Technology Group<br />

zusammen.<br />

EtherCAT Technology Group,<br />

Ostenstrasse 196, D-90482 Nürnberg,<br />

Tel. +49 (0) 911 54 05 60,<br />

E-Mail: g.beckmann@ethercat.org<br />

14<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


E20001-F160-M117<br />

Gew<strong>in</strong>ne optimiert man nicht über<br />

Nacht. Aber Tag für Tag.<br />

Realisieren auch Sie das Potenzial energieeffizienter Lösungen<br />

Knapper werdende Ressourcen, steigende Energiekosten<br />

sowie immer strengere Umweltauflagen verschärfen den<br />

Druck auf die Industrie, effizienter als bisher mit Energie<br />

umzugehen. Und das Potenzial ist riesig. Bis zu 70 % der<br />

e<strong>in</strong>gesetzten Energie <strong>in</strong> Industriebetrieben werden alle<strong>in</strong><br />

durch elektrische Antriebe und Motoren verbraucht.<br />

Ob moderne Energiesparmotoren oder <strong>in</strong>novative Software-Anwendungen<br />

– wir bieten Ihnen e<strong>in</strong> umfangreiches<br />

Portfolio an energieeffizienten Produkten und Lösungen<br />

sowie umfassendes Energy Consult<strong>in</strong>g. Damit erzielen<br />

Sie auf Dauer Effizienzgew<strong>in</strong>ne, die Sie immer wieder<br />

machen. Tag für Tag.<br />

siemens.de/energieeffizienz


Schwerpunkt | achema<br />

Optimale Assistenz für den Anlagenfahrer erlaubt<br />

maximale Kostenreduzierung für die Produktion<br />

Energieeffizienzmanagement-Systeme müssen die wichtigsten Informationen übersichtlich anzeigen<br />

Zeit<br />

Anlagennahes<br />

Energieeffizienzmanagement<br />

Prozessoptimierung<br />

Zustandsoptimierung<br />

Do<br />

Check<br />

Geeignete<br />

Prozessdaten<br />

Geeignete<br />

Prozessauslegung<br />

Optimale<br />

Prozessführung<br />

Zustandserfassung<br />

Zustandserhaltung<br />

Infrastrukturoptimierung<br />

Plan<br />

Act<br />

Energiee<strong>in</strong>satz<br />

optimieren<br />

Regelung<br />

optimieren<br />

Energieoptimierte<br />

Fahrweise<br />

Energieflüsse<br />

erfassen<br />

Apparate<br />

überwachen<br />

Basisregelung<br />

optimieren<br />

. 4<br />

Effizienzmanagement ist<br />

per se e<strong>in</strong> iterativer Prozess,<br />

entsprechend e<strong>in</strong>em „plan –<br />

do – check – act“-Zyklus.<br />

Kont<strong>in</strong>uierliche Wiederholung<br />

macht aus diesem Kreisprozess<br />

e<strong>in</strong>e Verbesserungsspirale.<br />

Energierückgew<strong>in</strong>nung<br />

Komponenten<br />

modernisieren<br />

Während der Betriebsphase<br />

des Anlagen-Lebenszyklus muss<br />

das Energieeffizienzmanagement<br />

zahlreiche Anforderungen erfüllen.<br />

Bedarfsgerechte<br />

Fahrweise<br />

Abb. 5<br />

Leckagen/Verluste<br />

erkennen<br />

Brenn-/Rohstoffe<br />

überwachen<br />

Produktionsablauf<br />

optimieren<br />

Apparatee<strong>in</strong>satz<br />

optimieren<br />

Energiee<strong>in</strong>trag (Elektrizität, Wasser, Dampf etc.)<br />

Energieaustrag<br />

durch Produkt<br />

Vertragskonditionen, Produkt-,<br />

Rohstoff- und Energiepreise<br />

Produktions- und Wartungsplanung,<br />

Lagerkapazitäten<br />

ERP-Ebene<br />

MES-Ebene<br />

Energieeffizienz-<br />

Management-<br />

System<br />

Energienutzung, Prozess- und<br />

Anlagenkonfiguration<br />

PLS- bzw.<br />

Feld-Ebene<br />

Prozessgrafik<br />

Um die Bedienbarkeit zu optimieren, ist es hilfreich, dem<br />

Anlagenfahrer e<strong>in</strong>e leicht verständliche Übersicht über die<br />

Energieströme zu geben. Dazu s<strong>in</strong>d zusätzliche Indikatoren<br />

erforderlich, ähnlich etwa den Pfeilen e<strong>in</strong>es Sankey-Diagramms.<br />

Handlungsempfehlungen zur Zielerreichung<br />

viele Parameter e<strong>in</strong>es Energieeffizienzmanagement-Systems<br />

schwanken tagesaktuell<br />

– etwa Energiepreise –, daher ist e<strong>in</strong>e E<strong>in</strong>b<strong>in</strong>dung<br />

<strong>in</strong> die MES- und ERP-Ebene s<strong>in</strong>nvoll.<br />

E<strong>in</strong> Energieeffizienzmanagement-System ist ke<strong>in</strong> Autopilot,<br />

sondern e<strong>in</strong> Assistenzsystem. Damit es se<strong>in</strong>e<br />

Aufgaben erfüllen kann, bedarf es e<strong>in</strong>er zuverlässigen,<br />

aussagekräftigen Datenbasis, e<strong>in</strong>er strukturierten, priorisierenden<br />

Interpretation dieser Daten und vor allem<br />

e<strong>in</strong>er leicht zu erfassenden, übersichtlichen Visualisierung<br />

der Ergebnisse sowie e<strong>in</strong>er oder mehrerer alternativer<br />

Handlungsempfehlungen. S<strong>in</strong>d diese Bed<strong>in</strong>gungen<br />

erfüllt, kann e<strong>in</strong> Energieeffizienzmanagement-System<br />

bei m<strong>in</strong>imaler Mehrbelastung der Anlagenfahrer zu e<strong>in</strong>er<br />

maximalen Energieeffizienzsteigerung und Energiekostenreduktion<br />

führen.<br />

Fahrerassistenzsysteme unterstützen bereits heute den<br />

Autofahrer auf vielfältige Weise. Weil die Bedienung von<br />

Fahrzeugen und das Verkehrsgeschehen immer komplexer<br />

werden, weil immer mehr Daten erfasst, verarbeitet<br />

und analysiert werden müssen, gew<strong>in</strong>nt dabei die übersichtliche,<br />

leicht verständliche Visualisierung kont<strong>in</strong>uierlich<br />

an Bedeutung. Das ist bei e<strong>in</strong>em Anlagenfahrer<br />

<strong>in</strong> e<strong>in</strong>em prozesstechnischen Betrieb nicht anders und<br />

gilt erst recht, wenn zusätzliche Aufgaben auf ihn zukommen:<br />

Energieeffizienzmanagement (EEM) ist e<strong>in</strong>e<br />

solche Aufgabe.<br />

KOSTEN SENKEN – KLIMASCHUTZ FÖRDERN<br />

Energiemanagementsysteme nach DIN EN 16001 beziehungsweise<br />

<strong>in</strong>zwischen DIN EN ISO 50001:2011 haben<br />

bereits verbreitet E<strong>in</strong>zug <strong>in</strong> die Betriebe und Messwarten<br />

gehalten. Dieser Trend wird sich verstärken, weil ihre<br />

E<strong>in</strong>führung bald Voraussetzung se<strong>in</strong> wird, um staatliche<br />

Vergünstigungen zu nutzen, die zu erheblich niedrigeren<br />

Energiebeschaffungskosten führen werden.<br />

16<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


Wir verändern.<br />

Neben diesem regulatorischen Anreiz bietet effizientes<br />

Energiemanagement jedoch viel mehr: Es hilft,<br />

zum Erreichen der Klimaschutzziele beizutragen,<br />

e<strong>in</strong>e Aufgabe, die über Corporate Social Responsibility<br />

(CSR) weit h<strong>in</strong>ausgeht. Zudem bedeutet Energieersparnis<br />

automatisch auch Kostensenkung, und<br />

zwar umso erheblicher, je weiter die Energiepreise<br />

steigen werden.<br />

Effizienzmanagement <strong>in</strong> diesem S<strong>in</strong>ne ist per se e<strong>in</strong><br />

iterativer Prozess, entsprechend e<strong>in</strong>em „plan – do – check<br />

– act“-Zyklus. Kont<strong>in</strong>uierliche Wiederholung macht aus<br />

diesem Kreisprozess e<strong>in</strong>e Verbesserungsspirale.<br />

KLARE HANDLUNGSEMPFEHLUNGEN<br />

Anlagennahe E<strong>in</strong>sparpotenziale <strong>in</strong> der Prozess<strong>in</strong>dustrie<br />

zu identifizieren und zu realisieren erfordert:<br />

e<strong>in</strong>e ausreichende und qualifizierte Datenbasis,<br />

die <strong>in</strong>telligente Analyse und Interpretation der<br />

Daten,<br />

übersichtliche Visualisierung der Ergebnisse,<br />

aussagekräftige, nachvollziehbare Handlungsempfehlungen.<br />

Diese Anforderungen gelten kont<strong>in</strong>uierlich während<br />

der Betriebsphase des Anlagen-Lebenszyklus. Punktuell<br />

spielen sie jedoch bereits bei Planung und Eng<strong>in</strong>eer<strong>in</strong>g<br />

e<strong>in</strong>e Rolle, denn hier werden die Weichen<br />

gestellt für Effizienz, aber auch für Handhabbarkeit<br />

und Akzeptanz des EEM.<br />

Gerade die Bedeutung der beiden letzten Punkte<br />

– Visualisierung und Interpretation – wird häufig<br />

unterschätzt, obwohl sie entscheidend zur Motivation<br />

des Bedienpersonals, damit zur betrieblichen<br />

Akzeptanz und zum praktischen Nutzen e<strong>in</strong>es EEM-<br />

Systems beitragen.<br />

In prozesstechnischen Anlagen mit durchschnittlichem<br />

bis hohem Automatisierungsgrad stehen heute<br />

bereits zahlreiche Messgrößen zur Verfügung, aus<br />

denen sich die energetische Performance von Apparaten<br />

oder Teilanlagen unmittelbar berechnen oder<br />

– gegebenenfalls modellgestützt – ableiten lässt. Dennoch<br />

gilt es bei der E<strong>in</strong>führung e<strong>in</strong>es EEM-Systems<br />

zu klären, ob die direkte Erfassung von Energieströmen,<br />

etwa durch Wärmemengenzähler oder kont<strong>in</strong>uierliche<br />

Brennwertbestimmungen von Energieträgern,<br />

exaktere Daten und damit auch zuverlässigere Interpretationen<br />

beziehungsweise Handlungsempfehlungen<br />

liefern kann.<br />

ALLE RELEVANTEN ENERGIESTRÖME ERFASSEN<br />

Zudem muss gesichert se<strong>in</strong>, dass alle kosten- und klimarelevanten<br />

Energieströme erfasst und bewertet werden.<br />

So erfordert etwa die E<strong>in</strong>satzoptimierung von<br />

Abgas-Wärmetauschern m<strong>in</strong>destens die Kenntnis der<br />

Volumenflüsse, deren zeitlicher Schwankungen und<br />

der Temperaturen aller Abgasströme.<br />

Durch Auswertung solcher Rohdaten gilt es, weitgehend<br />

automatisiert optimale Strategien für Energiee<strong>in</strong>satz<br />

und -nutzung abzuleiten. Diese müssen der Betriebsmannschaft<br />

<strong>in</strong> strukturierter Form vermittelt<br />

werden. Dabei ist es vorteilhaft, den Anlagenfahrer auf<br />

der ihm vertrauten Ebene der Prozessgrafik „abzuholen“<br />

und ihm e<strong>in</strong>e leicht verständliche Übersicht über<br />

die Energieströme zu geben. Dazu s<strong>in</strong>d zusätzliche<br />

Indikatoren erforderlich, ähnlich etwa den Pfeilen ei-<br />

Wir für Sie<br />

18. – 22.06.2012<br />

Frankfurt am Ma<strong>in</strong><br />

Halle 11.1 · Stand C75<br />

SAMSON AG · MESS- UND REGELTECHNIK<br />

Weismüllerstraße 3 · 60314 Frankfurt am Ma<strong>in</strong><br />

Telefon: 069 4009-0 · Fax: 069 4009-1507<br />

E-Mail: samson@samson.de · www.samson.de<br />

SAMSON GROUP · www.samsongroup.net<br />

A01121DE


Schwerpunkt | achema<br />

nes Sankey-Diagramms. Detail<strong>in</strong>formationen lassen sich<br />

ergänzend über kaskadierende Menüs anbieten. Intuitiv<br />

verständliche Farbschemata, übersichtliches Bildschirm-Layout<br />

und e<strong>in</strong>fache Symbole tragen dazu bei,<br />

dass wichtige Ergebnisse der Analyse rasch und richtig<br />

erfasst werden können. Gerade diesem Verständnisaspekt<br />

trägt das neue „Plant Energy Efficiency Management<br />

System“ (PEEMS) von Yokogawa explizit Rechnung.<br />

INFORMATIONEN MASSGESCHNEIDERT FILTERN<br />

Bei komplexen Anlagenstrukturen können rollenbasierte<br />

Ansichten dazu beitragen, den Anlagenfahrer nicht<br />

unnötig mit Informationen zu belasten. Wenn dieser<br />

zum Beispiel ausschließlich die Dampf- oder Drucklufterzeugung<br />

überwacht, braucht er nicht die Energiebilanzen<br />

aller Verbraucher im Netz zu kennen, sondern<br />

nur deren Bedarfe.<br />

E<strong>in</strong> EEM-System ist ke<strong>in</strong> Autopilot, der e<strong>in</strong>en Anlagenfahrer<br />

ersetzt. Das gilt schon deshalb, weil auch zahlreiche<br />

weitere Parameter, etwa Sicherheit, vorhandene<br />

Rohstoff- und geforderte Produktqualität oder erforderliche<br />

Produktivität beziehungsweise Produktionsleistung<br />

die Fahrweise entscheidend mitbestimmen. Es ist<br />

vielmehr e<strong>in</strong> Werkzeug zur Operator-Unterstützung.<br />

Se<strong>in</strong>e zentralen Funktionen bestehen dar<strong>in</strong>:<br />

aktuelle und energieoptimierte Fahrweise e<strong>in</strong>ander<br />

gegenüberzustellen,<br />

dem Anlagenfahrer zu vermitteln, wie groß der<br />

(energetische) Nutzen ist, den e<strong>in</strong>e Änderung der<br />

Fahrweise mit sich brächte,<br />

den Anlagenfahrer gegebenenfalls beim Wechsel<br />

vom aktuellen <strong>in</strong> den optimierten Betriebszustand<br />

zu unterstützen.<br />

Um den Nutzen des EEM-Systems e<strong>in</strong>zuschätzen, s<strong>in</strong>d<br />

die Antworten auf zwei Fragen entscheidend:<br />

Erlaubt die Lösung e<strong>in</strong>e zuverlässige Ermittlung und<br />

Bewertung der Möglichkeiten zur Energiekosten- beziehungsweise<br />

Emissionsreduktion? Und wird dem Anlagenfahrer<br />

die daraus abgeleitete Handlungsempfehlung<br />

so vermittelt, dass er rasch und zielführend darauf reagieren<br />

kann?<br />

PRIORISIERUNG IST ZWINGEND ERFORDERLICH<br />

Wesentliche Komponente jedes erfolgreichen EEM-Systems<br />

ist e<strong>in</strong> Priorisierungsalgorithmus, der die maßgeblichen<br />

Werthebel identifiziert. Diese E<strong>in</strong>stufung ist<br />

zw<strong>in</strong>gend erforderlich, damit sich die Betriebsmannschaft<br />

auf die energieoptimierte Fahrweise jener Anlagenkomponenten<br />

konzentrieren kann, die den größten<br />

Nutzen verspricht. Gerade <strong>in</strong> komplexen Betrieben mit<br />

vielen Hilfsaggregaten ist nur so e<strong>in</strong> Effizienzgew<strong>in</strong>n<br />

ohne unzumutbare Mehrbelastung des Betriebspersonals<br />

möglich. Nur wenn es gel<strong>in</strong>gt, den Blick des Anlagenfahrers<br />

auf die entscheidenden Komponenten zu<br />

lenken, wird ganzheitliches EEM von Verbundanlagen<br />

oder Standorten überhaupt möglich.<br />

Dabei kann es durchaus s<strong>in</strong>nvoll se<strong>in</strong>, dem Anlagenfahrer<br />

mehrere, h<strong>in</strong>sichtlich der Energiebilanz ähnliche<br />

Alternativen anzubieten. So mag zum Beispiel die Nutzung<br />

e<strong>in</strong>es bestimmten Wärmetauschers <strong>in</strong> e<strong>in</strong>er speziellen<br />

Betriebssituation energetisch ger<strong>in</strong>gfügig überlegen<br />

se<strong>in</strong>. Wenn diese Betriebsänderung aber zahlreiche Bediene<strong>in</strong>griffe<br />

erfordert und gegebenenfalls sogar die Prozessstabilität<br />

verm<strong>in</strong>dert, etwa <strong>in</strong>folge Wartungse<strong>in</strong>griff<br />

oder Komponententausch, dann sprechen betriebliche<br />

Gründe gegen die Änderung, solange die Energiee<strong>in</strong>sparungen<br />

nicht signifikant s<strong>in</strong>d. Es ist also wichtig, dem<br />

Anlagenfahrer zu verdeutlichen, wie groß das E<strong>in</strong>sparpotenzial<br />

ist, damit er Nutzen und Risiken abwägen kann.<br />

E<strong>in</strong> anderer Aspekt betrifft die Entwicklung der Anlage<br />

selbst über den Lebenszyklus h<strong>in</strong>weg. Mit zunehmender<br />

Größe und wachsender Komplexität des Betriebs<br />

muss auch das EEM mitwachsen können. Was im Extremfall<br />

mit e<strong>in</strong>em kle<strong>in</strong>en Recorder-basierten System<br />

beg<strong>in</strong>nt, mag sich dabei über das Stadium e<strong>in</strong>er Steuerung<br />

durch e<strong>in</strong>e E<strong>in</strong>zel-SPS bis zur E<strong>in</strong>führung e<strong>in</strong>es<br />

Prozessleitsystems entwickeln. Die Struktur des EEM-<br />

Prozesses und damit oft auch die entscheidenden Hebel<br />

für e<strong>in</strong>e energieoptimierte Fahrweise bleiben dabei erhalten,<br />

sodass es s<strong>in</strong>nvoll ist, dieses Wissen zu bewahren<br />

und fortzuschreiben.<br />

EINBINDUNG IN MES- UND ERP-EBENE<br />

Verfügbarkeit und Beschaffungskosten von Energien<br />

wie Elektrizität, Dampf oder Druckluft unterliegen gerade<br />

<strong>in</strong> Großanlagen ständigen Schwankungen, s<strong>in</strong>d<br />

aber zugleich entscheidende Rahmenparameter des<br />

EEM. Produktions- und Wartungsplanung, Absatz und<br />

Lagerkapazitäten bee<strong>in</strong>flussen die Produktivität. Dies<br />

macht e<strong>in</strong>e weitgehende vertikale Integration des EEM-<br />

Systems bis <strong>in</strong> die MES- und ERP-Ebene h<strong>in</strong>e<strong>in</strong> wünschenswert<br />

und nützlich. So könnten sich Handlungsempfehlungen<br />

des EEM stets an aktuellen Gegebenheiten<br />

im Unternehmen beziehungsweise am Standort<br />

orientieren. Verwirklicht ist e<strong>in</strong>e solche Integration<br />

bisher oft nur <strong>in</strong> Ansätzen.<br />

Autor<strong>in</strong><br />

M. Eng. Cathr<strong>in</strong> Janssen<br />

ist tätig im Industrial<br />

Automation Bus<strong>in</strong>ess<br />

Development bei Yokogawa.<br />

Yokogawa Deutschland GmbH,<br />

Broichhofstr. 7-11, D-40880 Rat<strong>in</strong>gen,<br />

Tel. + 49 (0) 2102 498 34 63,<br />

E-Mail: cathr<strong>in</strong>.janssen@de.yokogawa.com<br />

18<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


Schwerpunkt | achema<br />

Kosten senken und Steuern sparen – zertifiziertes<br />

Energiemanagement steigert die Wirtschaftlichkeit<br />

ISO DIN EN 50001 bildet die Grundlage – Softwarelösungen setzen Effizienzsteigerungen um<br />

Energiemanagement-Software <strong>in</strong> der Praxis:<br />

Die Daten zahlreicher Messstellen werden exakt und kont<strong>in</strong>uierlich<br />

erfasst. Auf dieser Basis lassen sich E<strong>in</strong>sparpotenziale ermitteln<br />

und konkrete Maßnahmen planen.<br />

Verbrauchsprofil e<strong>in</strong>er Messstelle:<br />

Die Energiemanagement-Software von<br />

Endress+Hauser stellt e<strong>in</strong>e Vielzahl an<br />

Analysemöglichkeiten zur Verfügung.<br />

Integration von Zählimpulsen auf<br />

den Ethernet-Systembus: Im beispielhaft<br />

betrachteten Elektrostahlwerk wurden<br />

zunächst Daten von Stromzählern, Sauerstoff-,<br />

Stickstoff- und Argonmessungen sowie<br />

Daten aus bestehenden Systemen <strong>in</strong> die<br />

Energiemanagement-Software <strong>in</strong>tegriert.<br />

E<strong>in</strong> systematisches Vorgehen zur Reduzierung des<br />

Energieverbrauchs zahlt sich doppelt aus: In der<br />

Regel lassen sich die Kosten deutlich senken, zudem<br />

können Unternehmen ab 2013 Nachlässe bei Energieund<br />

Stromsteuern nur dann <strong>in</strong> Anspruch nehmen,<br />

wenn sie durch e<strong>in</strong> zertifiziertes Energiemanagement-<br />

System gemäß ISO DIN EN 50001 Energiee<strong>in</strong>sparungen<br />

nachweisen. Dies sieht das Energiekonzept der Bundesregierung<br />

vor.<br />

Die Methodik zur Energiee<strong>in</strong>sparung mithilfe e<strong>in</strong>er<br />

Energiemanagement-Software, wie sie Endress+Hauser<br />

anbietet, lässt sich gut am Beispiel e<strong>in</strong>es Elektrostahlwerks<br />

zeigen. Dort wird Stahlschrott mithilfe e<strong>in</strong>es<br />

Lichtbogens e<strong>in</strong>geschmolzen, dessen Erzeugung enorme<br />

Energiemengen erfordert. Mit e<strong>in</strong>em Bedarf von mehr<br />

als 1 TWh pro Jahr steht dieser Kernprozess für zirka<br />

80 Prozent des Stromverbrauchs. Der restliche Anteil<br />

verteilt sich unter anderem auf die Sauerstoff- und<br />

Drucklufterzeugung sowie die Walzstraße. Von diesen<br />

rund 200 GWh Strom pro Jahr lässt sich oft e<strong>in</strong> großer<br />

Teil e<strong>in</strong>sparen, sodass unterm Strich die Kosten s<strong>in</strong>ken<br />

und die Effizienz der Produktion gesteigert wird.<br />

DEN ANLAGENZUSTAND ANALYSIEREN<br />

Dafür muss zunächst Transparenz geschaffen werden. Im<br />

ersten Schritt ist es wichtig, den aktuellen Anlagenzustand<br />

und die Energieflüsse zu kennen. Durch e<strong>in</strong>e Bestandsaufnahme<br />

werden <strong>in</strong> den Bereichen Energieerzeugung,<br />

-verteilung und -verbrauch die energetisch relevanten<br />

Daten aufgenommen. Bereits laufende Energiemessun-<br />

20<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


gen werden bewertet, Energieverbraucher dokumentiert<br />

und fehlende Energiemessstellen zusätzlich erfasst.<br />

Bei e<strong>in</strong>em Druckluftsystem werden beispielsweise<br />

Kompressortyp und Leistung sowie der Systemzustand<br />

dokumentiert. Für noch e<strong>in</strong>zurichtende Energiemessstellen<br />

werden alle notwendigen Umgebungs- und Prozessbed<strong>in</strong>gungen<br />

wie die Nennweite der Rohrleitung<br />

aufgenommen. Der E<strong>in</strong>bauort wird zusätzlich mit e<strong>in</strong>em<br />

Foto dokumentiert.<br />

Frühzeitig muss untersucht werden, ob und wie sich<br />

jede Energiemessstelle später <strong>in</strong> e<strong>in</strong>e Energiemanagement-Software<br />

<strong>in</strong>tegrieren lässt. Auch Struktur und Verhältnisse<br />

der Energieflüsse werden analysiert. E<strong>in</strong>e Bestandsaufnahme<br />

über alle relevanten Versorgungsenergiekreisläufe<br />

ist s<strong>in</strong>nvoll, um bei der späteren Konzepterstellung<br />

erkennen zu können, <strong>in</strong> welchen Bereichen<br />

die größten E<strong>in</strong>sparpotenziale und die kürzesten Amortisationszeiten<br />

zu erwarten s<strong>in</strong>d.<br />

Im beispielhaft betrachteten Elektrostahlwerk wurden<br />

etwa im Druckluftsystem die Druckluftmengen und Drücke<br />

im Vorfeld temporär gemessen. Auf dieser Basis zeigten<br />

sich vor allem im Bereich Druckluft zur Kühlung<br />

erhebliche E<strong>in</strong>sparpotenziale. Durch e<strong>in</strong>e übergreifende<br />

Betrachtung wurden auch bei der Beleuchtung große<br />

E<strong>in</strong>sparmöglichkeiten aufgedeckt.<br />

E<strong>in</strong>fache Berichterstellung br<strong>in</strong>gt<br />

Transparenz: Über die Energiemanagement-<br />

Software konnten E<strong>in</strong>sparungen <strong>in</strong> der<br />

Druckluftmenge von durchschnittlich 53 Prozent<br />

nachgewiesen und dokumentiert werden.<br />

Controll<strong>in</strong>g der<br />

Energiedaten<br />

E<strong>in</strong>sparungen<br />

bis zu 20 %<br />

Optimieren<br />

Prozess<br />

Transparenz<br />

des Verbrauchs<br />

Analyse der<br />

Energiedaten<br />

E<strong>in</strong>sparungen<br />

bis zu 8 %<br />

Energiedaten<br />

erlassen<br />

Systematisches Vorgehen bei der Reduzierung<br />

der Energieverbräuche zahlt sich aus. E<strong>in</strong>en optimalen<br />

Leitfaden zur E<strong>in</strong>führung e<strong>in</strong>es Energiemanagementsystems<br />

stellt die ISO DIN EN 50001 dar.<br />

ENERGIEKONZEPT UND EFFIZIENZANALYSE<br />

Die Erkenntnisse und Informationen aus der Bestandsaufnahme<br />

fließen <strong>in</strong> die Erstellung e<strong>in</strong>es ganzheitlichen<br />

Energiekonzeptes mit e<strong>in</strong>. Über die Bewertung von bereits<br />

<strong>in</strong>stallierten Energiemessstellen können bei Bedarf<br />

Empfehlungen für e<strong>in</strong>en Austausch der Messstellen getroffen<br />

werden. Für noch e<strong>in</strong>zurichtende Energiemessstellen<br />

werden auf Basis der Umgebungs- und Prozessbed<strong>in</strong>gungen<br />

die geeigneten Messpr<strong>in</strong>zipien ausgewählt.<br />

Bei der Konzepterstellung werden neben der Auslegung<br />

der Messstellen auch die notwendigen Komponenten<br />

zur Integration <strong>in</strong> e<strong>in</strong>e Energiemanagement-Software<br />

kalkuliert. So können die Kosten zur Nachrüstung und<br />

Integration der Energiemessstellen <strong>in</strong> e<strong>in</strong>er frühen Phase<br />

ermittelt werden. Das Energiekonzept enthält zusätzlich<br />

Angaben zur Weiterverarbeitung und Auswertung<br />

der Energiedaten. Beispiele hierfür s<strong>in</strong>d die Berechnung<br />

des Wirkungsgrades e<strong>in</strong>es Dampfkessels oder e<strong>in</strong>es<br />

Druckluftsystems. E<strong>in</strong>e Effizienzanalyse liefert Angaben<br />

zu E<strong>in</strong>sparpotenzialen und Amortisationszeiten der E<strong>in</strong>sparmaßnahmen<br />

sowie Handlungsempfehlungen für die<br />

Versorgungsenergiekreisläufe.<br />

Sämtliche Informationen gehören zu e<strong>in</strong>er Zertifizierung<br />

gemäß ISO DIN EN 50001 und werden schriftlich<br />

dokumentiert. Im Beispielfall des Elektrostahlwerkes<br />

wurden als erster Schritt Maßnahmen im Bereich von<br />

Druckluftleckagen und Druckluftverbraucher zur Kühlung<br />

von Sensoren und Kameras vorgeschlagen.<br />

ZUVERLÄSSIGE UND EXAKTE MESSWERTE NÖTIG<br />

Erforderlich s<strong>in</strong>d zuverlässige und genaue Energiemesswerte.<br />

Wird beispielsweise bei e<strong>in</strong>er Dampfmengenmessung<br />

auf e<strong>in</strong>e Druck- und Temperaturkompensation verzichtet,<br />

können <strong>in</strong> der Praxis leicht Messfehler <strong>in</strong> e<strong>in</strong>em<br />

Bereich von rund 20 Prozent entstehen. Abhängig von<br />

den Energiezielen e<strong>in</strong>es Unternehmens und der Priorisierung<br />

der Maßnahmen gilt es, Lücken <strong>in</strong> der Energiemessung<br />

durch zusätzliche Messstellen zu schließen<br />

oder <strong>in</strong> die Jahre gekommene Messstellen, welche die<br />

geforderte Genauigkeit nicht mehr erreichen, zu ersetzen.<br />

Mit jeder neuen Energiemessstelle erhöht sich die<br />

Transparenz der Energieflüsse sowie der Energieverbräuche<br />

im Unternehmen. Im Beispiel des Elektrostahlwerks<br />

wurden im ersten Schritt neue Messstellen zur Ermittlung<br />

des Sauerstoff-, Stickstoff- und Argonverbrauchs<br />

<strong>in</strong>stalliert und diese <strong>in</strong> die Endress+Hauser-Energiemanagement-Software<br />

<strong>in</strong>tegriert.<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012<br />

21


Schwerpunkt | achema<br />

TRANSPARENZ AUF EINEN BLICK<br />

Die Energiemanagement-Software br<strong>in</strong>gt Transparenz<br />

der Energieströme auf e<strong>in</strong>en Blick. Offenheit, Flexibilität<br />

und Modularität der webbasierten Software spielen<br />

e<strong>in</strong>e wichtige Rolle. Die Software lässt sich gezielt<br />

an konkrete Funktionalitäten, Anwender und Messstellen<br />

anpassen. Durch die Erstellung e<strong>in</strong>es Energiekonzeptes<br />

wird auf Basis der bestehenden Anlagentopologie<br />

und der angestrebten Energieziele frühzeitig<br />

e<strong>in</strong>e geeignete Struktur im H<strong>in</strong>blick auf flexible Erweiterbarkeit<br />

geplant.<br />

Über welche Quellen und Schnittstellen können Daten<br />

<strong>in</strong> die Energiemanagement-Software e<strong>in</strong>fließen?<br />

Energiemessstellen aus der Feldebene können über Protokollwandler,<br />

Datenspeicher oder speicherprogrammierbare<br />

Steuerungen <strong>in</strong>tegriert werden. Werden bestehende<br />

Messstellen beispielsweise bereits über Gebäude-<br />

beziehungsweise Produktionsleitsysteme oder<br />

Scada-Systeme erfasst, ist e<strong>in</strong>e direkte Kopplung zwischen<br />

diesen Systemen und der Energiemanagement-<br />

Software möglich.<br />

Werden Zähler noch nicht automatisch erfasst, können<br />

Zählerstände auch manuell e<strong>in</strong>gegeben werden. Zur Berechnung<br />

von Energiekennzahlen wie Energieverbrauch<br />

pro E<strong>in</strong>heit e<strong>in</strong>es produzierten Produkts können Fakturierungsdaten<br />

<strong>in</strong> die Energiemanagement-Software übertragen<br />

werden. Um e<strong>in</strong>e hohe Datensicherheit zu erreichen,<br />

hat sich die Integration und Kopplung über CSV-<br />

Dateien bewährt. Diese bieten den Vorteil, dass bei eventuellen<br />

Ausfällen von Unternehmensnetzwerken ke<strong>in</strong>e<br />

Datenverluste entstehen und Datenlücken automatisch<br />

geschlossen werden, nachdem die Netzwerke wieder zur<br />

Verfügung stehen.<br />

DATEN WERDEN LÜCKENLOS ARCHIVIERT<br />

Die lückenlose Archivierung von Energiedaten bildet<br />

wiederum die Basis für weitere Analysen und Auswertungen.<br />

Über das Berichtswesen können Energie<strong>in</strong>formationen<br />

passend an die Zielgruppen von der Geschäftsführung<br />

bis h<strong>in</strong> zum Anlagenbediener verteilt werden.<br />

So wird e<strong>in</strong> hoher Informations<strong>in</strong>halt erreicht. Die kont<strong>in</strong>uierliche<br />

Messung ermöglicht e<strong>in</strong>e stetige Überwachung<br />

der Prozesse und Systeme. Dabei unterstützt die<br />

Energiemanagement-Software durch e<strong>in</strong>e automatische<br />

Alarmierung.<br />

E<strong>in</strong>e Energiemanagement-Software erlaubt nicht nur<br />

die Planung e<strong>in</strong>er bedarfsgerechten Wartung und Instandhaltung,<br />

sondern sichert auch nachhaltig die Produktionseffizienz<br />

und -qualität. Im Fall des Elektrostahlwerkes<br />

beispielsweise werden durch die Lastkontrollanlage<br />

bereits sehr viele Daten wie Wirkleistung,<br />

Sche<strong>in</strong>leistung und Schaltzeiten der Elektroöfen aufgezeichnet<br />

und archiviert. Die Auswertung erfolgte zuvor<br />

manuell monatlich. Weitere rund 250 Zähler wurden<br />

monatlich manuell abgelesen, erfasst und ausgewertet.<br />

In der ersten Ausbaustufe wurden Daten von 30 Stromzählern,<br />

die Verbrauchsdaten der neu <strong>in</strong>stallierten Sauerstoff-,<br />

Stickstoff- und Argonmessungen sowie Daten<br />

aus bestehenden Systemen wie der Lastkontrollanlage<br />

und Chargenprotokolle der Elektroöfen <strong>in</strong> die Energiemanagement-Software<br />

<strong>in</strong>tegriert. Die Auswertung erfolgt<br />

seitdem automatisch und mit e<strong>in</strong>er enormen Zeitersparnis.<br />

DRUCKLUFTVERBRAUCH SINKT UM 53 PROZENT<br />

Durch e<strong>in</strong>e Energiemanagement-Software und die erreichte<br />

Transparenz kann der Energieverbrauch erfahrungsgemäß<br />

schon mit e<strong>in</strong>fachen Maßnahmen um etwa<br />

6 bis 9 Prozent gesenkt werden. Weitere E<strong>in</strong>sparmöglichkeiten<br />

lassen sich durch gezielte Analysen bestimmen.<br />

So wurden im Elektrostahlwerk hohe Potenziale im Bereich<br />

von Druckluftleckagen und im Verbrauch von<br />

Druckluft zur Kühlung von Sensoren und Kameras festgestellt.<br />

Im ersten Schritt wurden 1 800 Druckluftleckagen<br />

ermittelt und 1 200 davon direkt elim<strong>in</strong>iert. Diese<br />

Maßnahmen ergaben e<strong>in</strong>e Kostene<strong>in</strong>sparung von 120 000<br />

Euro pro Jahr. Bei der Kühlung von Sensoren und Kameras<br />

sorgen spezielle Druckluftdüsen nun für E<strong>in</strong>sparungen<br />

von durchschnittlich 53 Prozent der Druckluftmenge.<br />

Insgesamt wurden 80 Anwendungen optimiert. Das<br />

Ergebnis dieser Maßnahmen s<strong>in</strong>d jährliche E<strong>in</strong>sparungen<br />

von 6,2 Millionen Normkubikmeter, was 850 000 kWh<br />

und e<strong>in</strong>em CO 2 -Ausstoß von 528 Tonnen entspricht. H<strong>in</strong>zu<br />

kommen als weiterer Vorteil ab 2013 noch die Rückerstattungen<br />

bei den Energiesteuern.<br />

Autor<br />

Daniel Stolz<br />

ist Market<strong>in</strong>gmanager<br />

Prozessautomatisierung<br />

bei Endress+Hauser.<br />

Endress+Hauser Messtechnik GmbH+Co. KG,<br />

Colmarer Straße 6, D-79576 Weil am Rhe<strong>in</strong>,<br />

Tel. +49 (0) 7621 97 58 21,<br />

E-Mail: daniel.stolz@de.endress.com<br />

22<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


Automatisierung<br />

auf den Punkt<br />

FORSCHUNG<br />

BEST PRACTICE<br />

EVENTS<br />

Nutzen Sie das neue<br />

Medienspektrum<br />

• Der Nachrichtendienst <strong>atp</strong>!<strong>in</strong>fo ist die konsequente<br />

Ergänzung zur Fachpublikation <strong>atp</strong> <strong>edition</strong>.<br />

Sparen Sie Zeit und nutzen Sie das umfassende<br />

Info-Angebot von <strong>atp</strong>!<strong>in</strong>fo gratis.<br />

Trends<br />

Branchennachrichten<br />

für Experten<br />

• Mit <strong>atp</strong>!<strong>in</strong>fo bietet Ihnen die <strong>atp</strong>-Redaktion<br />

e<strong>in</strong>en schnellen, digitalen Nachrichtenservice.<br />

• Mit <strong>atp</strong>!<strong>in</strong>fo erfahren Sie direkt und komprimiert,<br />

was die Automatisierungsbranche bewegt.<br />

<strong>atp</strong>!<strong>in</strong>fo ist das moderne Info-Medium, das<br />

Ihnen Nachrichten liefert und über das Sie<br />

Nachrichten recherchieren können.<br />

Rund um die Uhr<br />

erstklassig <strong>in</strong>formiert<br />

• Branchenrelevante Meldungen laufend<br />

aktualisiert – immer und überall.<br />

• Umfangreiche Archivfunktionen für Ihre<br />

persönlichen Recherchen.<br />

Technologie<br />

Jetzt<br />

onl<strong>in</strong>e:<br />

www.<strong>atp</strong><strong>in</strong>fo.de<br />

Innovationen<br />

Messen<br />

PRODUKTE<br />

Verfahren<br />

Hochschulen<br />

<strong>atp</strong>!<strong>in</strong>fo ist ideal für unterwegs und für<br />

den E<strong>in</strong>satz auf mobilen Endgeräten.<br />

Entwicklungen<br />

KARRIERE<br />

<strong>atp</strong>!<strong>in</strong>fo-Team | Oldenbourg Industrieverlag GmbH | Rosenheimer Straße 145 | 81671 München


Schwerpunkt | achema<br />

Neue Feldbus-Infrastruktur steigert Transparenz<br />

und Betriebssicherheit <strong>in</strong> <strong>in</strong>discher Zuckerfabrik<br />

Mit Field Connex wurden Planung, Installation und Implementierung entscheidend beschleunigt<br />

Die Zuckerraff<strong>in</strong>erie Shree<br />

Renuga Sugar setzt den Fernzugriff<br />

konsequent für alle Feld<strong>in</strong>strumentierung<br />

e<strong>in</strong> und erreicht damit e<strong>in</strong>e bessere<br />

Anlagenverfügbarkeit bei reduzierten<br />

Instandhaltungskosten.<br />

Mit Farben der NAMUR-Ampel nach<br />

NE 107: die Oberfläche, um die Feldbusphysik<br />

<strong>in</strong>takt und performant zu erhalten.<br />

Vorverdrahtet und<br />

<strong>in</strong>stallationsbereit:<br />

Die Junction Box mit<br />

Segment Protector<br />

verb<strong>in</strong>det die Feldgeräte<br />

mit dem Feldbustrunk.<br />

Nach zwei Wochen erfolgloser Fehlersuche <strong>in</strong> e<strong>in</strong>er<br />

Zuckerraff<strong>in</strong>erie wurde man beim <strong>in</strong>dischen Unternehmen<br />

Shree Renuga Sugars auf das Advanced Diagnostic<br />

Modul von Pepperl+Fuchs aufmerksam. Damit<br />

konnte die Ursache des Problems im Handumdrehen<br />

ermittelt werden. Grund genug für den <strong>in</strong>dischen Zuckerhersteller<br />

bei e<strong>in</strong>er neuen Fabrik auf Foundation<br />

Fieldbus H1 und vor allem Field Connex-Komponenten<br />

von Pepperl+Fuchs zu setzen.<br />

Shree Renuga Sugars Ltd. ist <strong>in</strong> der Zuckerverarbeitung<br />

und der Herstellung von Bioenergie und Düngemitteln<br />

tätig. Das 1998 <strong>in</strong> Mumbai gegründete Unternehmen gilt<br />

als der fünftgrößte Zuckerproduzent der Welt und betreibt<br />

neben acht Produktionsstandorten <strong>in</strong> Indien vier<br />

Zuckerfabriken <strong>in</strong> Brasilien.<br />

MODERNE PRODUKTIONSTECHNOLOGIE<br />

E<strong>in</strong> Beispiel für die moderne Produktionstechnologie von<br />

Shree Renuga Sugar ist die Haldia-Zuckerraff<strong>in</strong>erie im<br />

<strong>in</strong>dischen Bundesstaat Westbengalen. Wie an allen anderen<br />

Standorten beruht auch hier die Prozesssteuerung auf<br />

e<strong>in</strong>er Profibus-PA-Infrastruktur aus 15 Feldbus-Segmenten<br />

<strong>in</strong> Verb<strong>in</strong>dung mit e<strong>in</strong>em Siemens-Automationssystem.<br />

Pepperl+Fuchs war den Managern von Shree Renuga<br />

Sugars lediglich als Lieferant von Näherungsschaltern<br />

e<strong>in</strong> Begriff. Diese wurden vom Unternehmensbereich<br />

Fabrikautomation geliefert und für zahlreiche Überwachungsaufgaben<br />

<strong>in</strong>nerhalb der Produktionsprozesse e<strong>in</strong>gesetzt.<br />

Doch dann sorgte e<strong>in</strong> schlichter Kabelfehler für<br />

weitreichende neue Erkenntnisse.<br />

Der erste Kontakt zwischen Shree Renuga Sugars mit<br />

dem Bereich Prozessautomation von Pepperl+Fuchs war<br />

e<strong>in</strong> Anruf von Senior Manager Instrumentation Haribabu.<br />

Es g<strong>in</strong>g um zwei Feldbus-Segmente <strong>in</strong> der Haldia-<br />

Raff<strong>in</strong>erie, deren Instrumente e<strong>in</strong>fach nicht <strong>in</strong> den Anzeigen<br />

des Systems auftauchen wollten. Ganze zwei<br />

Wochen hatte man nach der Ursache des Problems gesucht,<br />

ohne des Rätsels Lösung zu f<strong>in</strong>den. Doch dann<br />

kam das Stichwort Advanced Diagnostics auf, und es fiel<br />

der Name Pepperl+Fuchs.<br />

SCHNELLE LÖSUNG MIT ADVANCED DIAGNOSTICS<br />

Haribabu zögerte nicht lange und beauftragte den technischen<br />

Service von Pepperl+Fuchs, sich des seltsamen<br />

Problems anzunehmen. Also rückte e<strong>in</strong> Servicetechniker<br />

der <strong>in</strong>dischen Pepperl+Fuchs-Niederlassung an,<br />

24<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


packte se<strong>in</strong> mobiles Advanced Diagnostic Modul (ADM)<br />

aus und wurde schon nach kurzer Zeit fündig. Er analysierte<br />

die Situation mithilfe des Expertensystems, tippte<br />

auf e<strong>in</strong> bestimmtes Kabel als Problemursache und sollte<br />

recht behalten. Das Kabel wurde ausgetauscht und sofort<br />

erschienen alle Feldgeräte <strong>in</strong>nerhalb des Segments wieder<br />

im System. Im zweiten Feldbus-Segment wiederholte<br />

sich der Ablauf. Auch hier lag ke<strong>in</strong> Gerätefehler vor,<br />

sondern schlicht und e<strong>in</strong>fach e<strong>in</strong>e fehlerhafte Kabelverb<strong>in</strong>dung.<br />

In e<strong>in</strong>em Fall war es e<strong>in</strong> Massefehler, im anderen<br />

e<strong>in</strong> extrem hoher Störpegel, der dem Nutzsignal ke<strong>in</strong>e<br />

Chance ließ.<br />

Dank Advanced Diagnostics war <strong>in</strong>nerhalb weniger<br />

Stunden e<strong>in</strong> Problem gelöst worden, das zuvor e<strong>in</strong> ganzes<br />

Team wochenlang beschäftigt hatte. Die Ingenieure und<br />

Techniker waren begeistert, und man entschloss sich<br />

spontan, den Serviceauftrag auf alle übrigen Segmente<br />

der Anlage zu erweitern. Außerdem wurde umgehend<br />

e<strong>in</strong> mobiles ADM bestellt, um künftigen Problemen mit<br />

der physikalischen Feldbusebene ebenso schnell auf die<br />

Spur kommen zu können.<br />

HÖHERE TRANSPARENZ UND BETRIEBSSICHERHEIT<br />

Für Haribabu und se<strong>in</strong> Team musste die Situation e<strong>in</strong><br />

echter Augenöffner gewesen se<strong>in</strong>. Er hatte erkannt, welche<br />

ungeahnten Möglichkeiten Advanced Diagnostics<br />

zu bieten hat und wollte umgehend Näheres über den<br />

aktuellen Stand der Feldbus-Technologie erfahren. Daher<br />

besuchte er e<strong>in</strong>e Schulung, wie sie Pepperl+Fuchs<br />

allen Interessierten aus der Prozess<strong>in</strong>dustrie anbietet,<br />

um das Bewusstse<strong>in</strong> für busgestützte Systeme <strong>in</strong> der<br />

Prozessautomation zu erweitern. Dabei wurde Haribabu<br />

auf die Field Connex-Feldbus<strong>in</strong>frastruktur von Pepperl+Fuchs<br />

aufmerksam. Er erkannte, dass diese Produktreihe<br />

konsequent darauf ausgelegt ist, Planung,<br />

Installation und Implementierung e<strong>in</strong>er Feldbus-Infrastruktur<br />

entscheidend zu beschleunigen. Und er sah<br />

sofort, wie diese Hardwarebasis während des gesamten<br />

Lebenszyklus der Prozessanlage zu mehr Transparenz,<br />

Betriebssicherheit und Verfügbarkeit beiträgt. Eigenschaften,<br />

die jeden Prozessverantwortlichen aufhorchen<br />

lassen.<br />

KONSEQUENT DIGITALISIERTE PROZESSANLAGE<br />

Die neu gewonnenen Erkenntnisse sollten sich schnell<br />

bezahlt machen. Haribabu musste nämlich wenig später<br />

die Feld<strong>in</strong>strumentierung e<strong>in</strong>es völlig neuen Werkes umsetzen,<br />

das Shree Renuga Sugars im west<strong>in</strong>dischen Bundesstaat<br />

Gujarat errichtete.<br />

Dort entstand e<strong>in</strong>e konsequent digitalisierte Prozessanlage,<br />

bei der gezielt der neueste Entwicklungsstand <strong>in</strong><br />

der Prozessautomation umgesetzt werden sollte. Die Prozesssteuerung<br />

erfolgt über e<strong>in</strong> Automatisierungssystem<br />

von Yokogawa. Die Prozess<strong>in</strong>strumentierung wird über<br />

Foundation Fieldbus H1 angebunden. Spezielle Feldgeräte,<br />

wie Frequenzumrichter-Antriebe laufen über Profibus<br />

DP, während alle Sensoren, Aktoren und die e<strong>in</strong>fachen<br />

I/Os über e<strong>in</strong>en AS-I-Bus angeschlossen s<strong>in</strong>d.<br />

Nachdem ihn Advanced Diagnostics und Field Connex<br />

überzeugt hatten, entschied sich Shree Renuga Sugars,<br />

am Standort Gujarat zusätzlich zu den Näherungsschaltern<br />

erstmals auch Field Connex von Pepperl+Fuchs<br />

e<strong>in</strong>zusetzen. „Installation und Inbetriebnahme verliefen<br />

e<strong>in</strong>fach reibungslos“, lautete Haribabus Kommentar, als<br />

er diesen neuen Ansatz zur Feldbus-Kommunikation mit<br />

dem verglich, was er bisher erlebt hatte.<br />

Wobei <strong>in</strong> diesem Zusammenhang <strong>in</strong>teressant ist, dass<br />

Pepperl+Fuchs <strong>in</strong> e<strong>in</strong>er engen strategischen Kooperation<br />

mit Yokogawa steht. Diese Kooperation hat unter anderem<br />

zu e<strong>in</strong>er direkten Integration des Advanced-Diagnostic-<br />

Moduls <strong>in</strong> die Yokogawa-Prozesssteuerung geführt. Und<br />

daraus entstanden unter anderem speziell an die Yokogawa-Steuerung<br />

angepasste Power Hubs. Sie s<strong>in</strong>d mit<br />

speziellen Steckverb<strong>in</strong>dern ausgerüstet, die nicht nur den<br />

Installationsaufwand m<strong>in</strong>imieren, sondern auch deutlich<br />

weniger Platz im Schaltschrank beanspruchen.<br />

Die Kooperation zwischen Yokogawa und<br />

Pepperl+Fuchs half auch beim Aufbau der Produktionsanlage<br />

von Shree Renuga Sugars <strong>in</strong> Gujarat: Alle<br />

Pepperl+Fuchs-Komponenten wurden über Yokogawa<br />

geliefert und vor Ort montiert.<br />

EINFACHE MONTAGE UND WARTUNG<br />

Pepperl+Fuchs lieferte Power Hubs und Segment-Protektoren<br />

aus se<strong>in</strong>em Field Connex-Portfolio sowie AS-I-Interface-Module<br />

und Repeater. Diese Feldbus<strong>in</strong>frastrukturkomponenten<br />

erlauben nicht nur e<strong>in</strong>e problemlose<br />

Realisierung der erforderlichen Eigensicherheit <strong>in</strong> explosionsgefährdeten<br />

Bereichen. Sie bieten auch praxisgerechte<br />

und zeitsparende Montagetechniken und tragen mit<br />

<strong>in</strong>telligenten Lösungen zu e<strong>in</strong>er problemlosen Wartung<br />

bei. So ist zum Beispiel bei e<strong>in</strong>em Modulaustausch ke<strong>in</strong>erlei<br />

Konfigurationsaufwand erforderlich. Stattdessen<br />

erkennt der Controller, dass e<strong>in</strong> baugleiches Ersatzmodul<br />

e<strong>in</strong>gesetzt wurde, und weist diesem automatisch die richtige<br />

Adresse zu. Außerdem lässt sich die Netzwerktopologie<br />

beliebig festlegen und jederzeit zum Beispiel durch<br />

zusätzliche Abzweige erweitern.<br />

Dazu kommen natürlich die weitreichenden Diagnosefähigkeiten<br />

von Advanced Diagnostics, die die gesamte<br />

physikalische Feldbusebene umfassen und sich selbst<br />

auf den e<strong>in</strong>fachsten Sensor erstrecken.<br />

Mit den Field-Connex-Feldbuskomponenten wurden<br />

also im neuen Werk Gujarat von Shree Renuka Sugars<br />

gleich von Anfang an optimale Voraussetzungen geschaffen,<br />

um die gesamte Infrastruktur zur Prozesssteuerung<br />

im Auge zu behalten und e<strong>in</strong>e zeitaufwendige Fehlersuche<br />

zu vermeiden.<br />

Autor<br />

Andreas Hennecke<br />

ist Produkt Market<strong>in</strong>g<br />

Manager im Geschäftsbereich<br />

Prozessautomation<br />

bei Pepperl+Fuchs.<br />

Pepperl+Fuchs GmbH,<br />

Lilienthalstrasse 200, D-68307 Mannheim,<br />

Tel. +49 (0) 621 776 16 01,<br />

E-Mail: ahennecke@de.pepperl-fuchs.com<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012<br />

25


Schwerpunkt | achema<br />

Zentrales Eng<strong>in</strong>eer<strong>in</strong>g Tool erleichtert<br />

As-built-Dokumentation und asynchrone Planung<br />

Konsistente Anlagendaten trotz Um- und Anbauten mit Eng<strong>in</strong>eer<strong>in</strong>g Base von Aucotec<br />

Übersichtlich: E<strong>in</strong>e geme<strong>in</strong>same Datenbasis für verschiedene Eng<strong>in</strong>eer<strong>in</strong>g-Diszipl<strong>in</strong>en<br />

verknüpft die Prozesse konsistent und schafft Synergien.<br />

Das Lifecycle-Management von Anlagen macht es<br />

immer erforderlich, die aktuelle Dokumentation<br />

e<strong>in</strong>er Anlage greifbar zu haben, trotz oder gerade wegen<br />

häufiger Umbauplanung und Wartungsarbeiten.<br />

Diese „As-built“-Dokumentation sollte den Zustand<br />

der Anlage so genau wie möglich zeigen. Unterschiedliche<br />

Diszipl<strong>in</strong>en, etwa Rohrleitungsplanung, Instrumentierung<br />

und Planung der Prozessleitsysteme (PLS)<br />

sowie Sub-Lieferanten müssen hierbei koord<strong>in</strong>iert<br />

mite<strong>in</strong>ander arbeiten und ihre Ergebnisse zusammenführen.<br />

Dabei ist unbed<strong>in</strong>gt sicherzustellen, dass auf<br />

unterschiedlichen Dokumenten sowohl dieselben Geräte<br />

als auch derselbe Ergebnisstand dargestellt s<strong>in</strong>d.<br />

Mit e<strong>in</strong>er <strong>in</strong>homogenen Toollandschaft ist e<strong>in</strong>e zuverlässige<br />

As-built-Dokumentation nicht effizient zu leisten.<br />

Selbst e<strong>in</strong> enormer Aufwand gewährleistet nicht<br />

die Konsistenz bei der Zusammenführung der Daten<br />

aus den verschiedenen Diszipl<strong>in</strong>en.<br />

Fast jeder Lebenszyklus e<strong>in</strong>er Anlage erfordert mittelbis<br />

langfristige Planungsprojekte für Umbauten. Dies<br />

macht das gleichzeitige Sicherstellen des aktuellen „Asbuilt“-Stands<br />

e<strong>in</strong>er Anlage sehr komplex. Häufig überlappen<br />

sich solche Prozesse zeitlich, außerdem werden<br />

Teilprojekte an Sub-Lieferanten ausgelagert. Aufwendige<br />

Abstimmungsprozesse, Missverständnisse oder unterschiedliche<br />

und falsche Daten s<strong>in</strong>d vorprogrammiert.<br />

Das führt zu Verzögerungen und verursacht zusätzliche<br />

Kosten.<br />

INTEGRATION ÜBER ZENTRALE DATENBANK<br />

All diese Anforderungen können erfolgreich gelöst<br />

werden, wenn das verwendete Tool <strong>in</strong> der Lage ist, Eng<strong>in</strong>eer<strong>in</strong>g,<br />

Daten-Management und Dokumentation <strong>in</strong><br />

e<strong>in</strong>em <strong>in</strong>terdiszipl<strong>in</strong>ären, <strong>in</strong>tegrierten Ansatz zu komb<strong>in</strong>ieren.<br />

E<strong>in</strong> charakteristisches Merkmal dieser Tools<br />

ist der Besitz e<strong>in</strong>es virtuellen Anlagenmodells. Jeder<br />

echte Artikel der Anlage ist durch genau e<strong>in</strong> Objekt im<br />

Modell repräsentiert.<br />

E<strong>in</strong>es der wenigen Systeme, die das bisher können,<br />

ist das Software-System Eng<strong>in</strong>eer<strong>in</strong>g Base (EB) von Aucotec.<br />

Se<strong>in</strong> Grundkonzept basiert auf e<strong>in</strong>er mehrschichtigen<br />

Systemarchitektur mit zentraler Datenbank als<br />

Basis aller Informationen. Mit diesem Grundpr<strong>in</strong>zip<br />

bietet die Software verschiedene Lösungen für Eng<strong>in</strong>eer<strong>in</strong>g<br />

und Wartung sowohl <strong>in</strong> der Prozesstechnik als<br />

auch im Masch<strong>in</strong>en- und Anlagenbau, der Energiever-<br />

26<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


sorgung und der Kabelstrangentwicklung für mobile<br />

Systeme. Basierend auf der besonderen Dreischicht-<br />

Architektur lassen sich mit diesem System asynchrone<br />

Planungsprozesse konsistent realisieren.<br />

VON JEDEM OBJEKT NUR EINE DARSTELLUNG<br />

Die erste Schicht bildet der SQL-Server von Microsoft, der<br />

als e<strong>in</strong>es der sichersten Datenbanksysteme gilt. Er enthält<br />

sämtliche Eng<strong>in</strong>eer<strong>in</strong>g-Informationen. Dabei ist gewährleistet,<br />

dass die unterschiedlichen Verknüpfungen der<br />

Daten erhalten bleiben. Nichts wird separiert oder liegt<br />

herausgelöst <strong>in</strong> schlichten Files. Das Datenmodell ist absolut<br />

komplett. Sämtliche Geräte und Vorschriften sowie<br />

die Daten korrespondierender Autorensysteme wie 3D-<br />

CAD oder Steuerungssoftware-Codes s<strong>in</strong>d dar<strong>in</strong> abgelegt.<br />

Jedes Objekt kommt dabei nur e<strong>in</strong>mal vor, der Anwender<br />

kann diese Objekte aber <strong>in</strong> beliebiger Darstellung aufrufen<br />

und bearbeiten. Egal, ob <strong>in</strong> Explorer, Grafik oder Tabelle<br />

gearbeitet wird, jede Änderung ersche<strong>in</strong>t automatisch<br />

auch <strong>in</strong> den anderen Ansichten.<br />

Der Application Server bildet die zweite Schicht. Er<br />

sorgt für e<strong>in</strong>e große Entlastung von Netz und Traffic.<br />

Mit dieser Systematik sparen sich die Nutzer das Laden<br />

sämtlicher Pläne, wenn sie eigentlich nur e<strong>in</strong>e Liste<br />

aller Messstellen benötigen.<br />

Stattdessen stellt die Client-Ebene die Anfrage an den<br />

Application Server, der die Daten aus dem SQL-Server<br />

zieht, die Rechenleistung übernimmt und die Informationen<br />

an die Nutzer „weitergibt“. Sie bilden die dritte<br />

Schicht <strong>in</strong> diesem Modell. Diese Konstellation ermöglicht<br />

es, die Anwendung vom E<strong>in</strong>zelplatz bis zur globalen<br />

Unternehmenslösung auszuweiten. So kann simultan<br />

und von verschiedenen Abteilungen, auch von<br />

weltweit verteilten Standorten aus, an dem Datenmodell<br />

gearbeitet werden. Intelligente Updaterout<strong>in</strong>en unterstützen<br />

zusätzlich den konstanten Überblick über alle<br />

Änderungen und Weiterentwicklungen.<br />

„AS-BUILT“: AKTUELL TROTZ UM- UND ANBAU<br />

Bei Um- und Anbauprojekten größeren Umfangs lassen<br />

sich mit dem beschriebenen Tool die Daten entsprechender<br />

Teilprojekte zur separaten Bearbeitung auslagern,<br />

ohne den aktuellen Stand der Anlagendokumentation zu<br />

bee<strong>in</strong>trächtigen. Wer im ursprünglichen „As-built“-Projekt<br />

arbeitet, wird gezielt auf Auslagerungen h<strong>in</strong>gewiesen.<br />

Dies geschieht <strong>in</strong> Grafik und Objektbaum des „As-built“-<br />

Projektes und <strong>in</strong> den verschiedenen Assistenten, vom<br />

Verdrahtungsmanager bis h<strong>in</strong> zur Zuordnungs-Unterstützung<br />

für die SPS-I/Os.<br />

In e<strong>in</strong>em ersten Schritt, der Reservierung, lassen sich<br />

aus dem „As-built“-Projekt über e<strong>in</strong>en Manager die gewünschten<br />

Daten ziehen. Alle Elemente, bei denen die<br />

Attribute „Reserviert“ und „Export“ bestätigt s<strong>in</strong>d,<br />

zeigt der Objektbaum des Zielprojekts an. Reservierte<br />

Objekte können sowohl Betriebsmittel, also Geräte, Kabel<br />

und E<strong>in</strong>bauorte se<strong>in</strong> als auch Funktionen und Dokumente.<br />

Beim Reservieren berücksichtigt das System<br />

während der Daten-Zusammenstellung auch die logischen<br />

Zusammenhänge. Soll beispielsweise e<strong>in</strong> ganzer<br />

Schrank umgebaut werden, wählt Eng<strong>in</strong>eer<strong>in</strong>g Base<br />

automatisch alle Pläne aus, die Elemente dieses Schrankes<br />

enthalten. Wird e<strong>in</strong> Ort reserviert, werden alle Objekte<br />

unterhalb mit e<strong>in</strong>bezogen, bei Reservierung e<strong>in</strong>es<br />

Gerätes auch alle Sub-Geräte.<br />

Im zweiten Schritt legt der Planer den Exportumfang<br />

fest, der flexibel konfigurier- und erweiterbar ist. Hier<br />

wird bestimmt, ob der Reservierungsumfang als Informationsbasis<br />

ausreicht oder ob Zusatz<strong>in</strong>formationen<br />

zum Überblick über die Rahmenbed<strong>in</strong>gungen <strong>in</strong> der<br />

Anlage notwendig s<strong>in</strong>d, etwa e<strong>in</strong> R&I-Schema oder e<strong>in</strong>e<br />

Raumansicht des Schaltschrankstandortes. E<strong>in</strong>e Reihe<br />

von Optionen unterstützt die Projekteure dabei. So lässt<br />

sich angeben, ob die Kabelziele der Unterelemente mit<br />

berücksichtigt werden sollen, ob e<strong>in</strong> Zielprojekt parallel<br />

zum Quellprojekt separat angelegt oder als Transportconta<strong>in</strong>er<br />

abgelegt werden soll.<br />

Während im „As-built“-Projekt alle reservierten Elemente<br />

zu erkennen s<strong>in</strong>d, ist es beim zu bearbeitenden<br />

Zielprojekt genau umgekehrt. Die ausgelagerten Elemente<br />

s<strong>in</strong>d unmarkiert, alle zusätzlich exportierten<br />

Daten werden gekennzeichnet.<br />

KONKURRENZLOS: Konsistente Daten<strong>in</strong>tegration<br />

Wenn nach der Umbauplanung das modifizierte Projekt<br />

wieder importiert wird, hilft e<strong>in</strong> spezieller Synchronisations-Manager<br />

bei der konsistenten Integration der Daten<br />

<strong>in</strong> den neuen, aktuellen „As-built“-Stand der Anlagendokumentation.<br />

Der Abgleich funktioniert <strong>in</strong>teraktiv, das<br />

heißt, der zuständige Projekteur behält die Kontrolle über<br />

die Änderungen, die er annimmt. Denn auch wenn es um<br />

Automatisierung geht: Ke<strong>in</strong> Anlagenbetreiber oder Planer<br />

sollte sich dieses „letzte Wort“ aus der Hand nehmen lassen.<br />

Über die Diskrepanzliste führt Eng<strong>in</strong>eer<strong>in</strong>g Base den<br />

Anwender und weist gezielt auf jede Neuerung und Unstimmigkeit<br />

h<strong>in</strong>. Diese Vorgehensweise ist bislang e<strong>in</strong>zigartig,<br />

ke<strong>in</strong> anderes System ist zu e<strong>in</strong>er derart kontrollierten<br />

Daten<strong>in</strong>tegration und damit zu e<strong>in</strong>er solch<br />

konsistenten „As-built“-Dokumentation <strong>in</strong> der Betriebsphase<br />

<strong>in</strong> der Lage. Dies ermöglichen die beschriebene<br />

Datenbankbasierung und die frei skalierbare Dreischicht-Architektur.<br />

EINFACH (MACHT) SCHNELL<br />

Während die „As-built“-Dokumentation <strong>in</strong> dieser Form<br />

e<strong>in</strong>e neue Fähigkeit ist, die das Unternehmen auf der<br />

Fachmesse Achema erstmals offiziell vorstellt, ist die<br />

Software bereits e<strong>in</strong>ige Jahre im E<strong>in</strong>satz. Gerade für die<br />

<strong>in</strong> der Prozess<strong>in</strong>dustrie übliche Massendaten-Verwaltung<br />

kann die Technologie des Systems mehr Effizienz erreichen,<br />

zumal hier besonders die Beliebigkeit der Bearbeitungs-Ansicht<br />

zum Tragen kommt. Die Tausenden von<br />

Mess- und Regelstellen lassen sich auch re<strong>in</strong> alphanumerisch<br />

bearbeiten, e<strong>in</strong>e grafische Darstellung ist dazu nicht<br />

Voraussetzung.<br />

Bei der Komplexität der Planungsaufgaben <strong>in</strong> prozesstechnischen<br />

Anlagen und den unterschiedlichen Her-<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012<br />

27


Schwerpunkt | achema<br />

Export-Manager: für die Auslagerung<br />

von Teilprojekten bei Um- und Ausbauten<br />

Markierte Auslagerungen<br />

Dreischichtarchitektur von<br />

Eng<strong>in</strong>eer<strong>in</strong>g Base: Zwei Server-,<br />

e<strong>in</strong>e Client-Ebene. Bilder: Aucotec<br />

angehensweisen der beteiligten Fachleute kann das<br />

Handl<strong>in</strong>g e<strong>in</strong>es Tools, das dies alles abdecken muss,<br />

sehr kompliziert se<strong>in</strong>. Ziel der EB-Entwickler war daher<br />

e<strong>in</strong>e möglichst e<strong>in</strong>fache Handhabung. So <strong>in</strong>tegrierten<br />

sie die weitverbreiteten Microsoft-Komponenten Visio,<br />

SQL-Server und VBA/.NET, die für <strong>in</strong>tuitives Arbeiten<br />

nach den Gewohnheiten aus der Office-Welt sorgen.<br />

Viele Anwender besche<strong>in</strong>igen dem System e<strong>in</strong>e bemerkenswert<br />

kurze E<strong>in</strong>führungsphase. So auch Gunter<br />

Hadwiger, Abteilungsleiter EMSR beim österreichischen<br />

Anlagenbauer Kanzler VT: „Für spezifische Anforderungen,<br />

etwa die Integration der unternehmenseigenen<br />

Stoffbilanz, wurden von der Projektierungstruppe<br />

eigene Objekte <strong>in</strong> kürzester Zeit und ohne Aufwand<br />

oder Vorkenntnisse erstellt.“ Dies bestätigt auch Gunnar<br />

Sandström, zur E<strong>in</strong>führung von EB als Senior Systems<br />

Eng<strong>in</strong>eer zuständig für die Verbesserung technischer<br />

Prozesse im Bereich M<strong>in</strong>erals/Metals and M<strong>in</strong><strong>in</strong>g bei<br />

ABB Roll<strong>in</strong>g Mills <strong>in</strong> Schweden.<br />

„Wir wollten e<strong>in</strong>en vollständigen ‚Werkzeugkasten‘,<br />

ohne selbst Werkzeugexperten se<strong>in</strong> zu müssen oder solche<br />

anzufordern. Mit e<strong>in</strong>em M<strong>in</strong>imum an Schulung<br />

schnell produktiv werden, das schafft Eng<strong>in</strong>eer<strong>in</strong>g<br />

Base.“ Die schnelle E<strong>in</strong>arbeitung lag auch der Holcim<br />

(Deutschland) AG am Herzen. „Dass wir mit Visio, VBA<br />

und dem SQL-Server arbeiten können, hat nicht nur den<br />

E<strong>in</strong>arbeitungsprozess stark beschleunigt. Durch die<br />

bekannten Arbeitsweisen geht auch die Alltagsarbeit<br />

schneller von der Hand“, sagt Mart<strong>in</strong> Wieczorek, Projektleiter<br />

CAE im Werk Lägerdorf.<br />

Autor<br />

mart<strong>in</strong> Imbusch ist<br />

Produktmanager bei<br />

der Aucotec AG. Er war<br />

maßgeblich an der<br />

Entwicklung Eng<strong>in</strong>eer<strong>in</strong>g<br />

Base beteiligt.<br />

Aucotec AG,<br />

Oldenburger Allee, D-30659 Hannover,<br />

Tel. +49 (0) 511 610 30,<br />

E-Mail: mim@aucotec.com<br />

28<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


<strong>atp</strong> <strong>edition</strong><br />

als Heft<br />

oder<br />

als ePaper<br />

Die Referenzklasse für die<br />

Automatisierungstechnik<br />

Erfahren Sie auf höchstem <strong>in</strong>haltlichen Niveau, was die<br />

Automatisierungsbranche bewegt. Alle Hauptbeiträge<br />

werden <strong>in</strong> e<strong>in</strong>em Peer-Review-Verfahren begutachtet,<br />

um Ihnen maximale <strong>in</strong>haltliche Qualität zu garantieren.<br />

Sichern Sie sich jetzt dieses erstklassige Lektüreerlebnis.<br />

Als exklusiv ausgestattetes Heft oder als<br />

praktisches ePaper – ideal für unterwegs, auf mobilen<br />

Endgeräten oder zum Archivieren.<br />

Gratis für Sie: Das Handbuch der Prozessautomatisierung<br />

Die 4. Aufl age dieses Handbuchs vermittelt <strong>in</strong> str<strong>in</strong>genter Struktur das essentielle Wissen zur<br />

Planung automatisierungstechnischer E<strong>in</strong>richtungen für verfahrenstechnische Anlagen und hat<br />

sich <strong>in</strong> der Branche als Standardnachschlagewerk etabliert.<br />

Für Qualität und Praxisnähe <strong>in</strong> der Darstellung steht das Autorenteam von 50 ausgewiesen und<br />

anerkannten Experten auf Ihren Arbeitsfeldern.<br />

<strong>atp</strong> <strong>edition</strong> ersche<strong>in</strong>t <strong>in</strong> der Oldenbourg Industrieverlag GmbH, Rosenheimerstr. 145, 81671 München<br />

Oldenbourg-Industrieverlag<br />

www.<strong>atp</strong>-onl<strong>in</strong>e.de<br />

Vorteilsanforderung per Fax: +49 (0) 931 / 4170 - 492 oder im Fensterumschlag e<strong>in</strong>senden<br />

Ja, ich möchte <strong>atp</strong> <strong>edition</strong> regelmäßig lesen. Bitte schicken Sie mir die Fachpublikation fü r<br />

zunächst e<strong>in</strong> Jahr (12 Ausgaben)<br />

□ als Heft fü r € 468,- zzgl. Versand (Deutschland: € 30,- / Ausland: € 35,-)<br />

□ als e-Paper (PDF-Datei als E<strong>in</strong>zellizenz) fü r € 468,-<br />

□ als Heft + e-Paper (PDF-Datei als E<strong>in</strong>zellizenz) fü r € 638,40 (Deutschland) / € 643,40 (Ausland)<br />

Als Dankeschön erhalte ich das „Handbuch der Prozessautomatisierung“ gratis.<br />

Nur wenn ich nicht bis von 8 Wochen vor Bezugsjahresende kü ndige, verlängert sich der Bezug um e<strong>in</strong> Jahr.<br />

Die sichere, pü nktliche und bequeme Bezahlung per Bankabbuchung wird mit e<strong>in</strong>er Gutschrift von € 20,-<br />

auf die erste Jahresrechung belohnt.<br />

Firma/Institution<br />

Vorname/Name des Empfängers<br />

Straße/Postfach, Nr.<br />

Land, PLZ, Ort<br />

Telefon<br />

Telefax<br />

Antwort<br />

Leserservice <strong>atp</strong><br />

Postfach 91 61<br />

97091 Würzburg<br />

E-Mail<br />

Branche/Wirtschaftszweig<br />

Bevorzugte Zahlungsweise □ Bankabbuchung □ Rechnung<br />

Bank, Ort<br />

Bankleitzahl<br />

✘<br />

Kontonummer<br />

Widerrufsrecht: Sie können Ihre Vertragserklärung <strong>in</strong>nerhalb von 14 Tagen ohne Angabe von Gründen <strong>in</strong> Textform (Brief, Fax, E-Mail) oder durch<br />

Rücksendung der Sache widerrufen. Die Frist beg<strong>in</strong>nt nach Erhalt dieser Belehrung <strong>in</strong> Textform. Zur Wahrung der Widerrufsfrist genügt die rechtzeitige Datum, Unterschrift<br />

PAATPE0112<br />

Absendung des Widerrufs oder der Sache an den Leserservice <strong>atp</strong>, Postfach 91 61, 97091 Würzburg.<br />

Nutzung personenbezogener Daten: Für die Auftragsabwicklung und zur Pfl ege der laufenden Kommunikation werden personenbezogene Daten erfasst, gespeichert und verarbeitet. Mit dieser Anforderung erkläre ich mich damit e<strong>in</strong>verstanden, dass ich vom<br />

Oldenbourg Industrieverlag oder vom Vulkan-Verlag □ per Post, □ per Telefon, □ per Telefax, □ per E-Mail, □ nicht über <strong>in</strong>teressante Fachangebote <strong>in</strong>formiert und beworben werde. Diese Erklärung kann ich mit Wirkung für die Zukunft jederzeit widerrufen.


hauptbeitrag<br />

<strong>Diagnosefähige</strong> <strong>Aktorik</strong> <strong>in</strong><br />

<strong>sicherheitsgerichteten</strong> <strong>Kreisen</strong><br />

E<strong>in</strong> Vergleich von Architekturkonzepten<br />

Für Feldgeräte <strong>in</strong> sicherheitstechnischen <strong>Kreisen</strong> ist es entscheidend, zur Vermeidung<br />

systematischer Fehler den Sicherheitslebenszyklus entsprechend DIN EN 61511 und<br />

DIN EN 61508 zu implementieren. In diesen Normen f<strong>in</strong>den sich klare Forderungen nach<br />

def<strong>in</strong>ierten Prozeduren, regelmäßigen Überprüfungen sowie e<strong>in</strong>er Dokumentation der<br />

erzielten Ergebnisse bis h<strong>in</strong> zur Analyse und de daraus resultierenden Maßnahmen. Diese<br />

organisatorischen Forderungen können durch Instrumentierung entsprechend dem<br />

derzeitigen Stand der Technik wirkungsvoll unterstützt werden. Für den Bereich der<br />

Stellgeräte s<strong>in</strong>d Konfigurationen mit marktgängigen Komponenten möglich. Neben e<strong>in</strong>em<br />

erhöhten Automatisierungsgrad, <strong>in</strong>sbesondere für die Phasen der Validierung, wiederkehrenden<br />

Prüfung und Prüfung im laufenden Betrieb, können diese sogar die Installationen<br />

vere<strong>in</strong>fachen. Aufbauend auf den Forderungen der Normen werden <strong>in</strong> diesem<br />

Beitrag entsprechende Architekturen vorgestellt und e<strong>in</strong> Ausblick auf die E<strong>in</strong>b<strong>in</strong>dung <strong>in</strong><br />

Arbeitsabläufe gegeben.<br />

SCHLAGWÖRTER DIN EN 61511, Partial Stroke Test / Wiederkehrende Prüfung /<br />

Sicherheitslebenszyklus / Automatisierte Prüfverfahren / Stellgeräte<br />

Control Valves with Diagnostic Functions <strong>in</strong> Safety-<strong>in</strong>strumented Systems –<br />

A Comparison of Architectures<br />

Implement<strong>in</strong>g the safety life cycle accord<strong>in</strong>g to IEC 61511 and IEC 61508 is decisive <strong>in</strong><br />

prevent<strong>in</strong>g systematic failures <strong>in</strong> field units <strong>in</strong>stalled <strong>in</strong> safety-<strong>in</strong>strumented systems. In<br />

these standards, clear requirements for def<strong>in</strong>ed procedures, regular test<strong>in</strong>g, documentation<br />

of test results, failure analysis and result<strong>in</strong>g actions are stipulated. Modern <strong>in</strong>strumentation<br />

is an important means of implement<strong>in</strong>g the safety life cycle. In the field of<br />

control valves the required accessories are readily available on the market. In addition to<br />

the higher degree of automation for validation, proof test<strong>in</strong>g and onl<strong>in</strong>e test<strong>in</strong>g while a<br />

process is runn<strong>in</strong>g, these control valves may even be simpler <strong>in</strong> their hook-up.<br />

KEYWORDS IEC 61511 / partial stroke test / proof test / safety life cycle / automated<br />

test<strong>in</strong>g / control valves<br />

30<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


Thomas Karte, Samson<br />

Bernd Schäfer, Hima<br />

Um Stellgeräte <strong>in</strong> Anlagen der Prozess<strong>in</strong>dustrie<br />

im laufenden Betrieb zu testen, wird seit e<strong>in</strong>igen<br />

Jahren das Verfahren des Partial Stroke<br />

Test<strong>in</strong>g (PST) viel diskutiert. Dabei wird die<br />

betreffende Armatur um e<strong>in</strong>e begrenzte Strecke<br />

bewegt; e<strong>in</strong>erseits soll durch diese Bewegung die<br />

Funktionsfähigkeit nachgewiesen werden, andererseits<br />

wird durch e<strong>in</strong>e Wegbegrenzung sichergestellt, dass der<br />

laufende Prozess nicht bee<strong>in</strong>trächtigt wird. Schon länger<br />

bekannt s<strong>in</strong>d Vorgehensweisen, bei denen e<strong>in</strong>e mechanische<br />

Verblockung benutzt wird. Der Test wird dann<br />

durch manuelles Abziehen des Steckers am Magnetventil<br />

ausgelöst. Inzwischen s<strong>in</strong>d jedoch Feldgeräte verfügbar,<br />

die diesen Test automatisch durchführen. Insbesondere<br />

Stellungsregler verschiedener Hersteller bieten e<strong>in</strong>e<br />

solche Möglichkeit. Diese Technologie gilt <strong>in</strong>zwischen<br />

als ausgereift. Ursprüngliche Sorgen, zum Beispiel bezüglich<br />

e<strong>in</strong>es Überschw<strong>in</strong>gens des Ventils und e<strong>in</strong>er<br />

damit verbundenen Störung des laufenden Betriebs der<br />

Anlage, s<strong>in</strong>d widerlegt.<br />

Trotz dieser technischen Fortschritte und trotz des<br />

hohen potenziellen Nutzens werden die Möglichkeiten<br />

des Onl<strong>in</strong>e-Testens noch wenig genutzt. Es hat sich gezeigt,<br />

dass nicht nur die Gerätetechnik des speziellen<br />

Feldgeräts (Stellungsregler) sondern die gesamte E<strong>in</strong>b<strong>in</strong>dung<br />

<strong>in</strong> Anlagenstruktur und Arbeitsorganisation über<br />

die Machbarkeit und den Erfolg des Verfahrens entscheiden.<br />

Der Beitrag erläutert den Stand der Technik bezüglich<br />

dieser Aspekte.<br />

1. Anwendung<br />

E<strong>in</strong>e sehr gute Übersichtsdarstellung zu den Anforderungen<br />

an Test- und Diagnoseverfahren <strong>in</strong> <strong>sicherheitsgerichteten</strong><br />

<strong>Kreisen</strong> f<strong>in</strong>det sich zum Beispiel <strong>in</strong> [1]. E<strong>in</strong>e<br />

umfassende Behandlung etwa der Auswirkungen des<br />

Partial Stroke Test<strong>in</strong>g auf die Verfügbarkeit (Probability<br />

of Failure on Demand – PFD) ist <strong>in</strong> [2] nachzulesen. E<strong>in</strong>e<br />

Betrachtung zur Kategorisierung der Test- und Diagnoseverfahren<br />

wird <strong>in</strong> [3] gegeben. Insgesamt fällt auf, dass<br />

sich die Betrachtungen durchgängig mit den Auswirkungen<br />

der Testverfahren auf die Rate der zufälligen<br />

Fehler befassen. Wichtig ersche<strong>in</strong>t aber, das gesamte<br />

Anforderungsprofil aus DIN EN 61511 zu verstehen und<br />

daraus entsprechende Schlussfolgerungen für den E<strong>in</strong>satz<br />

von Testverfahren abzuleiten. Die Diskussionen und<br />

Veröffentlichungen der letzten Jahre haben die Bedeutung<br />

von systematischen Fehlern, <strong>in</strong>sbesondere für <strong>Aktorik</strong><br />

und damit Stellgeräte, <strong>in</strong> den Mittelpunkt gestellt<br />

[4, 9, 1]. Entsprechend der Norm werden systematische<br />

Fehler und zufällige Fehler unterschieden (Bild 1).<br />

Kann die Ursache e<strong>in</strong>es Fehlers – und sei es nur nach<br />

e<strong>in</strong>em entsprechenden Vorfall – klar festgestellt werden<br />

und lassen sich Maßnahmen ergreifen, die e<strong>in</strong>en solchen<br />

Fehler zuverlässig verh<strong>in</strong>dern, so handelt es sich um<br />

e<strong>in</strong>en systematischen Fehler. Hierunter fällt für Stellgeräte<br />

zum Beispiel die richtige Dimensionierung, die<br />

Auslegung für den E<strong>in</strong>satzfall entsprechend Medienverträglichkeit,<br />

Druck- und Temperaturverhältnissen sowie<br />

die Beachtung der Umgebungsbed<strong>in</strong>gungen [5]. Das entscheidende<br />

Werkzeug zur Beherrschung systematischer<br />

Fehler ist die E<strong>in</strong>führung e<strong>in</strong>es Sicherheitslebenszyklus<br />

(Functional Safety Management System – FSM). Bild 2<br />

verdeutlicht die Forderung nach e<strong>in</strong>er geregelten Vorgehensweise,<br />

die Schritt für Schritt e<strong>in</strong>e systematische<br />

Abarbeitung e<strong>in</strong>zelner Phasen wie Sicherheitsanalyse,<br />

Def<strong>in</strong>ition der Anforderungen, Def<strong>in</strong>ition der Auslegung,<br />

geordnete Implementierung, Validierung bis h<strong>in</strong><br />

zur def<strong>in</strong>ierten Vorgehensweise für Betrieb und Wartung<br />

vorsieht. E<strong>in</strong>e e<strong>in</strong>gehende Erörterung dieser Aspekte<br />

f<strong>in</strong>det sich <strong>in</strong> [4]. Werden alle geforderten Schritte e<strong>in</strong>gehalten,<br />

so ist davon auszugehen, dass systematische<br />

Fehler auf e<strong>in</strong> M<strong>in</strong>imum reduziert s<strong>in</strong>d. Das verbleibende<br />

Risiko – unerkannte systematische Fehler – wird<br />

entsprechend Bild 1 durch drei Mechanismen e<strong>in</strong>gegrenzt,<br />

nämlich durch:<br />

Diagnose oder Tests,<br />

Fail-Safe-Verhalten der e<strong>in</strong>gesetzten Geräte – wenn<br />

Ausfall, dann <strong>in</strong> die sichere Richtung,<br />

Redundanz, bevorzugt diversitäre Redundanz.<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012<br />

31


Hauptbeitrag<br />

Schon diese Betrachtungsweise macht jenseits jeder Wahrsche<strong>in</strong>lichkeitsbetrachtung<br />

die Bedeutung von Diagnose<br />

und Tests, <strong>in</strong>sbesondere im laufenden Betrieb, klar. Aufbauend<br />

auf der Sicherheitsanalyse werden sicherheitsgerichtete<br />

Kreise implementiert. In der überwiegenden<br />

Mehrzahl der Fälle ist es Aufgabe der <strong>in</strong> diesen <strong>Kreisen</strong><br />

<strong>in</strong>stallierten Stellgeräte, im Falle e<strong>in</strong>er Anforderung e<strong>in</strong>e<br />

Rohrleitung abzusperren oder freizugeben. Die Überprüfung<br />

der Funktionsfähigkeit dieser Stellgeräte im laufenden<br />

Betrieb kann zur Aufdeckung bisher nicht erkannter<br />

systematischer Fehler führen. Das wird an e<strong>in</strong>em e<strong>in</strong>fachen<br />

Beispiel verdeutlicht: Berücksichtigt die Antriebsauslegung<br />

e<strong>in</strong>es Stellgeräts nicht alle Betriebsphasen, so<br />

mag die Validierung (also der Funktionstest der Armatur)<br />

im Rahmen der sogenannten Wasserfahrt noch e<strong>in</strong>wandfreie<br />

Funktionalität signalisieren. Das Festsitzen der Armatur<br />

während e<strong>in</strong>er kritischen Betriebsphase, zum Beispiel<br />

wegen kritischer Medien oder falsch e<strong>in</strong>geschätzter<br />

Druckverhältnisse an der Armatur, lässt sich aber nur über<br />

den Beweglichkeitstest im laufenden Betrieb erkennen.<br />

E<strong>in</strong>ige Anforderungen, die sich im Sicherheitslebenszyklus<br />

ergeben und <strong>in</strong> den Normen explizit aufgeführt<br />

s<strong>in</strong>d, seien kurz zitiert: Durchgängig wird e<strong>in</strong>e strukturierte<br />

Vorgehensweise gefordert, das heißt, es müssen<br />

nach DIN EN 61511 Kapitel 15 und 16, sowie VDI 2180-3<br />

und VDI 2180-5 [6, 7, 8]:<br />

def<strong>in</strong>ierte Prozeduren vorhanden se<strong>in</strong>, die reproduzierbar<br />

durchgeführt werden können,<br />

die Prozeduren dokumentiert werden,<br />

das Ergebnis von Prüfungen dokumentiert werden,<br />

sowohl im Falle e<strong>in</strong>es Fehlers als auch im Fall e<strong>in</strong>wandfreier<br />

Funktion,<br />

die Testergebnisse analysiert und Schlussfolgerungen<br />

für mögliche Verbesserungen gezogen werden,<br />

alle Betriebsphasen <strong>in</strong> den Tests berücksichtigt werden,<br />

Stellgeräte unter Betriebsbed<strong>in</strong>gungen geprüft werden,<br />

<strong>in</strong>sbesondere bei vollem Betriebsdruck.<br />

Besonders die letzten beiden Forderungen s<strong>in</strong>d durch<br />

die oft geübte Praxis – Test des Sicherheitskreises durch<br />

Funktionstest bei abgestellter Anlage – sicherlich nicht<br />

erfüllt. Insgesamt verdeutlicht die Aufzählung, dass e<strong>in</strong><br />

automatisierter Testablauf dem geforderten Sicherheitslebenszyklus<br />

weit besser entspricht als manuelle Prüfmethoden<br />

mit Bewertung durch Beobachtung. „E<strong>in</strong>richtungen<br />

zur automatischen Funktionsüberwachung (zum<br />

Beispiel Laufzeit- oder Stellungsüberwachung, Plausibilitätsprüfung,<br />

Schritt- und Zeitüberwachung)“ werden<br />

<strong>in</strong> VDI 2180-3, Absatz 2.2.3.2 [7] explizit verlangt. Die<br />

Anforderungen an den Sicherheitskreis müssen def<strong>in</strong>iert<br />

werden. Aus diesen lassen sich auch die Anforderungen<br />

für das Stellgerät ableiten. Diese s<strong>in</strong>d im Wesentlichen:<br />

Die Reaktionszeit: Innerhalb welchen Zeitraums<br />

nach Anforderung der Sicherheitsfunktion muss<br />

dass Stellgerät die vorgesehene Position erreichen?<br />

Welche Dichtheit oder welcher Öffnungsquerschnitt<br />

muss erreicht werden? Daraus lassen sich Anforderungen<br />

an die genaue Position herleiten.<br />

Welche Antriebskraft oder welches Drehmoment<br />

muss aufgebracht werden? Wie groß ist die erforderliche<br />

Reserve, mit der alle Betriebsbed<strong>in</strong>gungen und<br />

Alterungsprozesse sicher beherrscht werden können?<br />

Je nach spezieller Anwendung können sich zusätzliche<br />

Forderungen ergeben [5, 8]. Entsprechend den gestellten<br />

Anforderungen s<strong>in</strong>d Diagnose- und Testverfahren nach<br />

dem Grad der Fehleraufdeckung (Diagnostic coverage,<br />

proof test coverage) zu bewerten. Dies kann zum Beispiel<br />

durch e<strong>in</strong>e FMEDA geschehen.<br />

Bei der Sensorik ist e<strong>in</strong> <strong>in</strong>teressanter Trend zu beobachten:<br />

In dem Bemühen um e<strong>in</strong>en möglichst hohen Grad<br />

an Fehleraufdeckung werden <strong>in</strong>zwischen b<strong>in</strong>äre Überwachungen<br />

wie Grenzwertschalter für Füllstand, Temperatur<br />

oder Durchfluss häufig durch analoge Sensoren<br />

ersetzt. E<strong>in</strong> analoges Signal lässt sich eben besser auf<br />

Plausibilität überprüfen; hier bieten sich zum Beispiel<br />

e<strong>in</strong>e Analyse des Rauschverhaltens und e<strong>in</strong>e Korrelation<br />

mit Prozesswerten anderer Messstellen an. Dem würde<br />

auf Seiten der <strong>Aktorik</strong> der E<strong>in</strong>satz e<strong>in</strong>es analogen Stellungsmelders<br />

mit kont<strong>in</strong>uierlicher Wegerfassung für den<br />

gesamten Hubbereich anstelle der bisher gebräuchlichen<br />

<strong>in</strong>duktiven Endlagenschalter entsprechen. Dies ist <strong>in</strong><br />

der betrieblichen Praxis entsprechend dem Kenntnisstand<br />

der Autoren nur selten implementiert.<br />

Für folgende Phasen des Lebenszyklus bieten sich automatisierte<br />

Testverfahren an:<br />

Validierung bei Inbetriebnahme<br />

Wiederkehrende Prüfung<br />

Prüfung im laufenden Betrieb<br />

Prüfung bei planmäßiger oder <strong>in</strong>sbesondere auch<br />

unvorhergesehener Abschaltung<br />

Neben der Betrachtung systematischer Fehler s<strong>in</strong>d auch<br />

zufällige Fehler zu berücksichtigen. Bei mechanischen<br />

Systemen ist die Ursache e<strong>in</strong>es Versagens <strong>in</strong> der Regel<br />

erkennbar. Dieser Ursache kann durch entsprechende<br />

Design- oder Verfahrensänderung Rechnung getragen<br />

werden. Daher s<strong>in</strong>d für mechanische Systeme zufällige<br />

Fehler weit weniger signifikant. E<strong>in</strong>e ausführliche Begründung<br />

für diesen Sachverhalt f<strong>in</strong>det sich zum Beispiel<br />

<strong>in</strong> [9]. Auch im Fall zufälliger Fehler fordert die<br />

Norm [6] die Anwendung der Werkzeuge Diagnose, Fail-<br />

Safe-Verhalten und Redundanz. Zusätzlich wird der<br />

rechnerische – probabilistische – Nachweis der erreichten<br />

Zuverlässigkeit verlangt.<br />

Zur Berechnung der Ausfallwahrsche<strong>in</strong>lichkeit wird<br />

entsprechend [6] der e<strong>in</strong>fache Zusammenhang:<br />

Formel 1: PFD = ½ ∙ λ du ∙ T PR<br />

angewendet.<br />

Wird e<strong>in</strong> Testverfahren wie zum Beispiel PST mit e<strong>in</strong>er<br />

gegenüber dem Prooftest<strong>in</strong>tervall häufigeren Testfrequenz<br />

e<strong>in</strong>gesetzt, ändert sich die PFD zu<br />

Formel 2:<br />

PFD = ½ ∙ λ du ∙ (1-DC) ∙ T PR + ½ ∙ λ du ∙ DC ∙ T PST<br />

Diagnose und Testverfahren gehen also direkt <strong>in</strong> das Ergebnis<br />

e<strong>in</strong>. Demzufolge kann e<strong>in</strong>e verlängerte Prüfdauer<br />

über entsprechende Diagnoseverfahren angestrebt werden.<br />

Dies ersche<strong>in</strong>t für viele Anwendungen realistisch,<br />

muss aber im E<strong>in</strong>zelfall analysiert werden. Näherungsweise<br />

ergibt sich, dass e<strong>in</strong>e Testabdeckung von 50 % e<strong>in</strong>e<br />

Verdoppelung der Laufzeit zwischen zwei vollständigen<br />

Prüfungen mit Anlagenstillstand ermöglicht. Weiterfüh-<br />

32<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


ende Betrachtungen liefern [2, 11, 12]. Dieser rechnerisch<br />

ermittelte Wert ist jedoch nur bei konstanter Fehlerrate<br />

gültig. Steigt die Fehlerrate im betrachteten Zeitraum<br />

an, zum Beispiel durch Verschleiß oder Alterung,<br />

so ist dies der maßgebliche Mechanismus. Soll zum<br />

Beispiel e<strong>in</strong>e ununterbrochene Laufzeit von fünf Jahren<br />

erreicht werden, so ist bei entsprechend ger<strong>in</strong>ger Ausfallrate<br />

der rechnerische Nachweis zur Erreichung dieser<br />

Laufzeit e<strong>in</strong>fach möglich. Es ist zu beachten, dass die<br />

angenommene Konstanz der Fehlerrate durch Prozesse<strong>in</strong>fluss,<br />

Alterung, Verschleiß oder andere Mechanismen<br />

bee<strong>in</strong>trächtigt wird.<br />

In diesem Zusammenhang ist jedoch Vorsicht im Umgang<br />

mit den statistischen Daten ratsam: Bei allen den<br />

Autoren bekannten Veröffentlichungen zur rechnerischen<br />

Betrachtung der Ausfallwahrsche<strong>in</strong>lichkeit (PFD)<br />

wird ke<strong>in</strong>e Fehlerrechnung durchgeführt, die Belastbarkeit<br />

der ermittelten Werte also nicht untersucht. Dies<br />

kann zu nicht gerechtfertigtem Vertrauen <strong>in</strong> die rechnerischen<br />

Werte führen. So wird beispielsweise <strong>in</strong> [10]<br />

angeführt, dass sich verschiedene Datenbanken für elektronische<br />

Bauteile oft <strong>in</strong> ihren Angaben um mehr als e<strong>in</strong>e<br />

Zehnerpotenz unterscheiden.<br />

2. Anforderungen an den Workflow<br />

Feldgeräte bieten e<strong>in</strong>e Vielzahl von Diagnosemöglichkeiten.<br />

Über den möglichen Nutzen für den Anwender entscheiden<br />

nicht nur die Leistungsfähigkeit dieser Geräteeigenschaften<br />

sondern <strong>in</strong>sbesondere die Möglichkeit, die<br />

Anwendung dieser Diagnose <strong>in</strong> den betrieblichen Alltag<br />

e<strong>in</strong>zub<strong>in</strong>den.<br />

Die Möglichkeiten für Stellgeräte werden anhand des<br />

E<strong>in</strong>satzes von Stellungsreglern oder <strong>in</strong>telligenten Grenzsignalgebern<br />

kurz angedeutet. E<strong>in</strong>e grafische Darstellung<br />

e<strong>in</strong>es automatisierten Vollhubtests f<strong>in</strong>det sich <strong>in</strong> Bild 3,<br />

e<strong>in</strong>e parametrisierte Auswertung <strong>in</strong> Bild 4. Messungen<br />

dieser Art können von diesen Geräten lokal durchgeführt,<br />

aufgezeichnet und ausgewertet werden [11, 12]. Bild 5<br />

stellt zwei Aufbauvarianten dar: l<strong>in</strong>ks e<strong>in</strong>e mit Magnetventil<br />

und <strong>in</strong>duktiven Endlagenschaltern automatisierte<br />

Klappe, rechts e<strong>in</strong>en nach Stand der Technik mit elektronischem<br />

Grenzwertgeber ausgerüsteten Kugelhahn. Die<br />

Parameter Totzeit, Laufzeit der Armatur bis zum Erreichen<br />

der Endstellung, genaue Messung der erreichten<br />

Endlage und benötigte Antriebskraft werden durch die<br />

geräte<strong>in</strong>terne Weg- und Druckmessung erfasst. Die Resul-<br />

BILD 1: Versagensursachen nach [4] BILD 2: Sicherheitslebenszyklus nach DIN EN 61511-1 Bild 8<br />

Symbolverzeichnis<br />

BPCS Basic process control system Betriebs- und Überwachungse<strong>in</strong>richtungen als e<strong>in</strong> System (Leitsystem)<br />

DC Diagnostic coverage Diagnose-Deckungsgrad<br />

FMEDA Failure modes, effects and diagnostic coverage analysis Fehlermöglichkeits-, E<strong>in</strong>fluss- und Diagnoseanalyse<br />

FSM Functional safety management system Management der funktionalen Sicherheit<br />

HFT Hardware fault tolerance Hardware-Fehlertoleranz (Redundanzgrad)<br />

PFD Probability of failure on demand Mittlere Wahrsche<strong>in</strong>lichkeit e<strong>in</strong>es Ausfalls bei Anforderung<br />

PST Partial stroke test<strong>in</strong>g Teilhub-Testverfahren<br />

SIS Safety <strong>in</strong>strumented system Sicherheitstechnisches System<br />

T PR Proof test <strong>in</strong>tervall Zeitdauer zwischen den wiederkehrenden Prüfungen<br />

T PST Partial stroke test <strong>in</strong>tervall Zeitdauer zwischen Partial-Stroke-Tests<br />

λ du Failure rate dangerous undetected Rate gefährlicher, unentdeckter Fehler<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012<br />

33


Hauptbeitrag<br />

tate lassen sich aus dem Weg-Zeit-Diagramm ablesen, sie<br />

werden aber auch <strong>in</strong>nerhalb des Stellungsreglers als charakteristische<br />

Zeiten beziehungsweise Werte ermittelt.<br />

Darüber h<strong>in</strong>aus kann noch über den Stick-Slip-Effekt auf<br />

Reibkräfte geschlossen werden. E<strong>in</strong> Antrieb mit hoher<br />

Reibung würde im Weg-Zeit-Diagramm e<strong>in</strong> ruckhaftes<br />

Verfahren zeigen.<br />

E<strong>in</strong> Vergleich all dieser Messwerte mit den erwähnten<br />

aus der Norm resultierenden Anforderungen zeigt, dass<br />

die Funktionsfähigkeit des Stellgerätes im Sicherheitskreis<br />

umfassend beurteilt werden kann. Der genaue Grad<br />

der Diagnose- sowie die Testabdeckung ist im E<strong>in</strong>zelnen<br />

festzulegen, e<strong>in</strong> mögliches Vorgehen dafür ist die Gegenüberstellung<br />

der potenziellen Fehlerquellen der Gefahrenanalyse<br />

zu den Diagnosemöglichkeiten des e<strong>in</strong>gesetzten<br />

Feldgerätes. Die Beweglichkeit der Armatur und das<br />

genaue Erreichen der Endlage oder Zwischenposition<br />

kann e<strong>in</strong>wandfrei beurteilt werden. Lediglich bei hohen<br />

Anforderungen an die Dichtigkeit können eventuell zusätzliche<br />

Messungen erforderlich werden.<br />

Die E<strong>in</strong>b<strong>in</strong>dung dieser Methodik <strong>in</strong> den Betriebsablauf<br />

ist mit der Durchführung e<strong>in</strong>es e<strong>in</strong>zelnen Tests aber noch<br />

nicht gegeben. E<strong>in</strong>e Übersicht über die Abfolge aller notwendigen<br />

Schritte gibt Tabelle 1. Neben der automatisierten<br />

Durchführung e<strong>in</strong>es Tests ist es <strong>in</strong>sbesondere von<br />

Bedeutung, dass die Ergebnisse erfasst und abgespeichert<br />

werden können. Es muss e<strong>in</strong>e Datenbank zur Verfügung<br />

stehen, die es gestattet, alle durchgeführten Testläufe festzuhalten.<br />

Hierbei ist die Archivierung von Bedeutung<br />

sowie die entsprechende Auswertung, sowohl für den<br />

E<strong>in</strong>zeltest als auch für Trends, die sich erst <strong>in</strong> der Zusammenschau<br />

mehrerer Tests oder gar <strong>in</strong> Korrelation mit anderen<br />

Prozesswerten ergeben. Entsprechend trägt Tabelle<br />

1 <strong>in</strong> senkrechter Richtung alle notwendigen Arbeitsschritte<br />

auf, <strong>in</strong> waagrechter Richtung wird e<strong>in</strong>e Aufgabenverteilung<br />

auf die Ressourcen Stellungsregler und Asset-<br />

Management-System vorgeschlagen. Die genaue Verteilung<br />

der Aufgaben ist natürlich diskussionsfähig, aber es<br />

wird doch die Notwendigkeit e<strong>in</strong>es übergeordneten Systems<br />

mit gegenüber e<strong>in</strong>em Feldgerät erweiterten Ressourcen<br />

evident.<br />

3. Architekturen des Sicherheitskreises<br />

Wird die Verfügbarkeit e<strong>in</strong>es PST-fähigen Stellungsreglers<br />

vorausgesetzt, so ergibt sich sofort e<strong>in</strong>e Anordnung der<br />

Feldgeräte wie <strong>in</strong> Bild 6 A dargestellt und <strong>in</strong> Tabelle 2<br />

bewertet. Der Sicherheitskreis ist klassisch mit Magnetventil<br />

zur Abschaltung und Endlagenschaltern zur Positionsmeldung<br />

ausgerüstet. E<strong>in</strong> Stellungsregler, pneumatisch<br />

dem Magnetventil vorgeschaltet, sorgt für die gewünschte<br />

PST-Funktionalität. Die Auslösung des Tests<br />

erfolgt lokal am Stellungsregler, die Datenübertragung der<br />

Messdaten und ausgewerteten Ergebnisse an das übergeordnete<br />

Asset-Management-System über digitale Kommunikation<br />

per HART-Protokoll. E<strong>in</strong>e Auskoppelung des<br />

HART-Protokolls kann zum Beispiel über geeignete Trennverstärker<br />

geschehen, wie sie am Markt verfügbar s<strong>in</strong>d<br />

(Beispiele siehe [13, 14]). Diese Konfiguration wurde und<br />

wird <strong>in</strong> der Praxis e<strong>in</strong>gesetzt, für den Test – <strong>in</strong>sbesondere<br />

durch Bedienpersonal vor Ort – ist sie auch durchaus<br />

geeignet. Für große Anlagen mit e<strong>in</strong>er Vielzahl von Armaturen<br />

und bei reduziertem Wartungspersonal fällt aber<br />

der erforderliche Testaufwand negativ <strong>in</strong>s Gewicht. E<strong>in</strong>e<br />

Vielzahl weiterer Konfigurationen ist möglich, hier wird<br />

die vorteilhafteste Lösung B beschrieben (Bild 6 B):<br />

Unter Verzicht auf das Magnetventil wird der Stellungsregler<br />

zur <strong>sicherheitsgerichteten</strong> Abschaltung<br />

und zum automatisierten Test e<strong>in</strong>gesetzt. Voraussetzung<br />

dafür ist e<strong>in</strong>e Eignung des Stellungsreglers<br />

entsprechend DIN EN 61508 beziehungsweise 61511.<br />

Entsprechende Geräte s<strong>in</strong>d verfügbar. Diese Konfiguration<br />

erspart <strong>in</strong> erheblichem Umfang Verkabelungsaufwand<br />

und erhöht auch die Testtiefe, da nur<br />

e<strong>in</strong>e pneumatische E<strong>in</strong>heit verwendet wird und<br />

diese auch den Testlauf durchführt.<br />

Der Stellungsregler ist über 4–20 mA direkt an die<br />

Sicherheits-SPS angeschlossen. Entsprechend zertifizierte<br />

Ausgangskarten s<strong>in</strong>d am Markt.<br />

Das HART-Protokoll wird ohne zusätzliche Rangierung<br />

auf die Ebene der Trennverstärker durch die<br />

Sicherheits-SPS getunnelt. Zur Weiterleitung an das<br />

Asset-Management-System wird die <strong>in</strong> der Praxis ohneh<strong>in</strong><br />

meist gelegte Ethernetverb<strong>in</strong>dung zwischen<br />

SPS und Leitsystem (Basic Process Control System –<br />

BPCS) benutzt. Die Schematik der Verschaltung zeigt<br />

Bild 7. Die Besonderheit dieser Architektur ist die<br />

parallele, gleichzeitige Funktion der HART-Kommunikation.<br />

Dies bedeutet gegenüber der seriellen Arbeitsweise<br />

e<strong>in</strong>es Multiplexers e<strong>in</strong>en erheblichen Zeitvorteil.<br />

Die Kommunikationsmöglichkeiten können<br />

gezielt e<strong>in</strong>geschränkt werden. Damit ist gewährleistet,<br />

dass die ermittelten Testdaten aus den Feldgeräten<br />

ausgelesen werden können, ohne durch irrtümliche<br />

Parametrierung deren Funktionalität zu verändern.<br />

Mit der favorisierten Lösung nach Bild 6 B ist e<strong>in</strong>erseits<br />

das Auslesen von Diagnosedaten möglich, andererseits<br />

wird e<strong>in</strong>e irrtümliche Konfiguration des Feldgeräts zuverlässig<br />

verh<strong>in</strong>dert. Folgende Kriterien werden zur Beurteilung<br />

herangezogen:<br />

Der Stellungsregler wird durch Standardsignale angesteuert:<br />

+20 mA signalisieren Normalbetrieb – Endlage<br />

+12 mA signalisieren Start Testlauf<br />

+4 mA signalisieren sicherheitsgerichtete Abschaltung<br />

Stellungsregler mit entsprechendem Zertifikat für<br />

zuverlässige Abschaltung bei 4 mA (anstelle von<br />

0 mA) gibt es.<br />

Auch während des Testlaufs ist die sicherheitsgerichtete<br />

Abschaltung möglich, da der Stellungsregler<br />

e<strong>in</strong>e etwaige Abschaltung priorisiert behandelt.<br />

Der Testlauf wird nach Triggerung durch e<strong>in</strong> externes<br />

Signal lokal durch den Stellungsregler durchgeführt.<br />

Dadurch ist e<strong>in</strong>e hohe Regelgüte für den vorgegebenen<br />

Verfahrweg möglich.<br />

Die Daten entsprechend Bild 3 werden lokal erfasst<br />

und abgespeichert. Diese Vorgehensweise ermöglicht<br />

Abtastraten beispielsweise für die Position der<br />

Armatur und den Antriebsdruck im Millisekundenbereich<br />

mit entsprechend positiver Auswirkung auf<br />

die Güte der Messwerte und damit e<strong>in</strong>e hohe Diagnoseabdeckung.<br />

Die Bedienschnittstelle wird über die sicherheitsgerichtete<br />

Steuerung abgebildet. Damit ist es möglich,<br />

34<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


Arbeitsschritte PST Stellungsregler Asset Management Annahme<br />

Auslösen Manuell/Automatisch Manuell/Automatisch<br />

Durchführen<br />

Rampe/Sprungantwort<br />

Erfassung Ergebnisse<br />

<strong>in</strong> Echtzeit<br />

Weg-Zeit-Diagramm, Kennzahlen<br />

Ergebnisse aus Feldgerät auslesen Weg-Zeit-Diagramm, Kennzahlen Weg-Zeit-Diagramm, Kennzahlen<br />

Ergebnisse abspeichern Weg-Zeit-Diagramm, Kennzahlen Weg-Zeit-Diagramm, Kennzahlen<br />

Arbeitsschritte Nachbereitung<br />

Auswertung e<strong>in</strong>es Testlaufs Lokale Diagnose<br />

Diagnose, Verb<strong>in</strong>dung zu Prozess<strong>in</strong>formationen<br />

Alarmgenerierung<br />

Lokale Alarmgenerierung<br />

Alarmgenerierung und E<strong>in</strong>beziehung<br />

Prozess<strong>in</strong>formation<br />

Archivierung<br />

Langzeitspeicherung <strong>in</strong> Datenbank<br />

Vergleich e<strong>in</strong>zelner Messwerte<br />

Trend über mehrere Testläufe<br />

über mehrere Testläufe, Diagnose,<br />

Alarmgenerierung<br />

Datenübertragung <strong>in</strong><br />

Echtzeit nicht möglich<br />

Tabelle 1: Workflow Partial Stroke Test (PST)<br />

Lösung A Lösung B Lösung C Lösung D<br />

Sicherheitsgerichtete Ansteuerung Magnetventil Stellungsregler Magnetventil Magnetventil<br />

Partial Stroke Test<strong>in</strong>g (PST) Stellungsregler Stellungsregler Magnetventil Magnetventil<br />

Wegrückmeldung<br />

Endlagenschalter<br />

Endlagenschalter,<br />

alternativ Transmitter<br />

Endlagenschalter,<br />

alternativ Transmitter<br />

Druckmessung Antrieb Stellungsregler Stellungsregler Optional Transmitter<br />

Test der Pneumatik ne<strong>in</strong> ja ja ja<br />

Endschalter<br />

Tabelle 2: Architekturvergleich der Vorschläge aus Bild 6<br />

BILD 3: Vollhubtest<br />

BILD 4: Protokoll Ventilbewegungen<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012<br />

35


Hauptbeitrag<br />

e<strong>in</strong> entsprechendes, normkonformes Regelwerk für<br />

e<strong>in</strong>e Ent- und Verriegelung des Sicherheitskreises<br />

mit e<strong>in</strong>fachen Mitteln zu h<strong>in</strong>terlegen.<br />

Die Wegrückmeldung erfolgt analog. Dies wiederum<br />

führt gegenüber e<strong>in</strong>er Signalisierung über zwei Endlagenschalter<br />

zu e<strong>in</strong>em ger<strong>in</strong>geren Verkabelungsaufwand<br />

und hat den Vorteil e<strong>in</strong>er höheren Messgenauigkeit<br />

beziehungsweise verbesserten Diagnosemöglichkeit.<br />

Bei großen Armaturen mit entsprechender Anforderung<br />

an die Luftleistung der steuernden Komponenten<br />

kann e<strong>in</strong> analoger pneumatischer Booster <strong>in</strong> der<br />

Verb<strong>in</strong>dungsleitung zwischen Stellungsregler und<br />

Antrieb e<strong>in</strong>gesetzt werden (gestrichelte Darstellung<br />

<strong>in</strong> Bild 6 B). Auch hier s<strong>in</strong>d <strong>in</strong>zwischen zertifizierte<br />

Geräte marktgängig.<br />

Zu weiteren denkbaren Varianten s<strong>in</strong>d e<strong>in</strong>ige Anmerkungen<br />

angebracht:<br />

Bild 6 C legt die Funktionalität des Tests ganz <strong>in</strong> die<br />

Sicherheits-SPS: Der pneumatische Antrieb wird nun<br />

über das Magnetventil angesteuert, der Regelkreis zur<br />

Steuerung des Testlaufs über e<strong>in</strong>en analogen Stellungstransmitter<br />

geschlossen. Um e<strong>in</strong>e im Vergleich zu Variante<br />

B gleichwertige Diagnosetiefe zu erhalten, ist e<strong>in</strong><br />

Drucktransmitter zur Messung des Antriebsdrucks<br />

vorgesehen. Diese Konfiguration hat den Vorteil, dass<br />

das komplette Regelwerk für den Testablauf und die<br />

Auswertung <strong>in</strong> der SPS h<strong>in</strong>terlegt werden kann und<br />

damit zertifizierungsfähig ist. Nachteilig ist demgegenüber<br />

e<strong>in</strong>e verr<strong>in</strong>gerte Abtastrate, die aber beim E<strong>in</strong>satz<br />

moderner Systeme je nach Ausführung auch unter<br />

100 Millisekunden liegen kann. Die Abtastrate ist für<br />

die erzielbare Regelgüte des Testlaufs (Überschw<strong>in</strong>gen)<br />

und für die Güte der Diagnose von Bedeutung. Entsprechend<br />

kommt Konfiguration C bevorzugt für große Armaturen<br />

mit Laufzeiten größer 5 Sekunden <strong>in</strong> Betracht.<br />

Bild 6 B ist auch für den Sonderfall der Mitnutzung<br />

e<strong>in</strong>er Regelarmatur für die sicherheitsgerichtete Abschaltung<br />

e<strong>in</strong>setzbar. Diese Mitnutzung f<strong>in</strong>det sich<br />

häufig <strong>in</strong> Anlagen im deutschen und europäischen<br />

Raum. E<strong>in</strong>e entsprechende Analyse der sicherheitstechnischen<br />

Aspekte f<strong>in</strong>det sich <strong>in</strong> [15]. Klassisch wird<br />

<strong>in</strong> diesem Fall e<strong>in</strong> Stellungsregler – angesteuert durch<br />

das BPCS – und e<strong>in</strong> Magnetventil – angesteuert durch<br />

die SPS – <strong>in</strong>strumentiert. Es s<strong>in</strong>d zwei Leitungen <strong>in</strong>s<br />

Feld notwendig. Entsprechend der Abbildung wäre<br />

aber auch e<strong>in</strong>e sehr elegante und e<strong>in</strong>fache Lösung<br />

denkbar. E<strong>in</strong> Stellungsregler wird zur Regelung, Abschaltung<br />

und für den Test e<strong>in</strong>gesetzt. Die Ansteuerung<br />

erfolgt nur über die SPS. Der notwendige Regelalgorithmus<br />

müsste dann <strong>in</strong> der SIS h<strong>in</strong>terlegt werden. Beispiele<br />

für solche Anwendungen f<strong>in</strong>den sich im Bereich<br />

Turbo Mach<strong>in</strong>ery Control bei Überströmventilen oder<br />

im Bereich Burner Management bei Brennstoffregelungen.<br />

Über Ethernet ist die SPS an das BPCS angebunden<br />

und erhält von dort Vorgaben (beispielsweise e<strong>in</strong>e Lastanforderung)<br />

während des Normalbetriebs. Entsprechende<br />

Applikationen s<strong>in</strong>d aufgrund der heute verfügbaren<br />

Systemtechnik ebenfalls marktgängig (zum Beispiel<br />

Himax-System mit Flexsilon-Bibliotheken).<br />

Bild 6 D zeigt e<strong>in</strong>e Variante, die sich ganz an den klassischen<br />

Signalen (Namursignal für Endlagenschalter<br />

entsprechend IEC 60947-5-6, 24 Volt zur Ansteuerung<br />

des Magnetventils) orientiert. Hier wird e<strong>in</strong> Gerät e<strong>in</strong>gesetzt,<br />

dass die Funktionalität von Endlagenschalter<br />

und Magnetventil komb<strong>in</strong>iert, durch den E<strong>in</strong>satz von<br />

analoger Wegmessung und Mikrorechner aber diagnosefähig<br />

ist. Der Vorteil der Benutzung vorhandener<br />

Verkabelung wird allerd<strong>in</strong>gs mit dem Verzicht auf<br />

Kommunikation erkauft; hierfür existiert bei dieser Art<br />

von Signalübermittelung ke<strong>in</strong> standardisiertes Protokoll.<br />

Allerd<strong>in</strong>gs kann das Ergebnis der <strong>in</strong>ternen Diagnose<br />

wie zum Beispiel e<strong>in</strong> nicht erfolgreicher PST über<br />

e<strong>in</strong>en Statuskontakt (Namursignal) an die übergeordnete<br />

Steuerung gemeldet werden (siehe auch [16]).<br />

Zusammenfassend f<strong>in</strong>det sich e<strong>in</strong>e knappe Gegenüberstellung<br />

der verschiedenen Architekturen <strong>in</strong> Tabelle 2. Allen<br />

Lösungen ist geme<strong>in</strong>sam, dass sie marktgängige Komponenten<br />

verwenden, die auch außerhalb des Sicherheitskreises<br />

e<strong>in</strong>gesetzt werden. Damit ist der E<strong>in</strong>satz betriebsbewährter<br />

Komponenten möglich, wie von Anwendern<br />

nachdrücklich gefordert [17]. In diesem Artikel nicht<br />

behandelt s<strong>in</strong>d spezielle, herstellerspezifische Instrumentierungen<br />

mit proprietärer Architektur und Verdrahtung.<br />

Anstelle des Hart-Protokolls kann auch e<strong>in</strong> Feldbus-<br />

Protokoll wie Profibus oder Fieldbus Foundation e<strong>in</strong>gesetzt<br />

werden. Nach heutigem Stand der Technik müssen<br />

die <strong>sicherheitsgerichteten</strong> Signale aber noch durch diskrete<br />

Verkabelung übertragen werden.<br />

4. E<strong>in</strong>b<strong>in</strong>dung <strong>in</strong> betriebliche Arbeitsabläufe<br />

Tabelle 1 listet die zu leistenden Arbeitsschritte auf. Erfahrungen<br />

mit ersten Installationen zeigen, dass E<strong>in</strong>zeltests<br />

auf Ebene der Feldgeräte unproblematisch durchzuführen<br />

s<strong>in</strong>d und aussagekräftige Ergebnisse br<strong>in</strong>gen.<br />

Soll jedoch e<strong>in</strong>e Vielzahl von Geräten <strong>in</strong> e<strong>in</strong>er großen<br />

Anlage regelmäßig getestet werden, so treten im Wesentlichen<br />

folgende Schwierigkeiten auf:<br />

Die mögliche Datenrate für die Übertragung der lokal<br />

<strong>in</strong> den Feldgeräten abgespeicherten Testergebnisse entspricht<br />

nicht den Anforderungen. Es sche<strong>in</strong>t nach heutigem<br />

Stand der Technik nicht möglich, aus e<strong>in</strong>er großen<br />

Menge von Feldgeräten täglich oder auch nur wöchentlich<br />

e<strong>in</strong>en vollständigen Datensatz auszulesen.<br />

Die Begrenzung liegt weniger im Übertragungsprotokoll<br />

(HART-Protokoll) als vielmehr <strong>in</strong> der gesamten<br />

Architektur des Leitsystems. Hier müssen die für den<br />

Prozessbetrieb notwendigen Datentransfers gegenüber<br />

Diagnosedaten natürlich priorisiert behandelt werden.<br />

Auswertemöglichkeiten: Mehrere Hersteller bieten<br />

Asset-Management-Systeme an. Hier können Datensätze<br />

e<strong>in</strong>es Feldgeräts mit Diagnose<strong>in</strong>formationen<br />

ausgelesen und abgespeichert werden. Die Fähigkeit,<br />

aus e<strong>in</strong>em Datensatz e<strong>in</strong>zelne Messwerte isoliert zu<br />

betrachten und mit anderen Messwerten nach e<strong>in</strong>em<br />

freien Algorithmus zu verknüpfen, ist jedoch noch<br />

nicht <strong>in</strong> wünschenswerter Weise implementiert. Notwendig<br />

kann es beispielsweise se<strong>in</strong>, die Historie e<strong>in</strong>es<br />

Messwertes, zum Beispiel der Nullpunktlage e<strong>in</strong>es<br />

Ventils, über mehrere Testläufe h<strong>in</strong>weg wiederzugeben<br />

(Bild 8). Auch die Verknüpfung e<strong>in</strong>es Wertes mit<br />

aus anderen Feldgeräten gewonnenen Prozesswerten,<br />

zum Beispiel die Plausibilitätsprüfung von Ventilstellung<br />

gegen Durchfluss, ersche<strong>in</strong>t <strong>in</strong> der Praxis noch<br />

nicht möglich. Insgesamt gibt Tabelle 1 e<strong>in</strong>en H<strong>in</strong>weis<br />

36<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


BILD 5: Aufbauvarianten (l<strong>in</strong>ks: separate Montage<br />

Magnetventil und Grenzsignalgeber; rechts: Stand der<br />

Technik, Grenzsignalgeber mit <strong>in</strong>tegriertem Magnetventil)<br />

Lösung A<br />

Lösung b<br />

BILD 7: Tunnelung von HART-Signalen<br />

Lösung c<br />

Lösung D<br />

BILD 6: Mögliche Architekturen des Sicherheitskreises–<br />

Lösung A (oben l<strong>in</strong>ks), Lösung B (oben rechts), Lösung C<br />

(unten l<strong>in</strong>ks) und Lösung D (unten rechts)<br />

BILD 8: Nullpunkttrend<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012<br />

37


Hauptbeitrag<br />

Autoren<br />

Dr. rer. nat. Thomas Karte (geb. 1955)<br />

beschäftigt sich bei der Samson AG <strong>in</strong><br />

Frankfurt/Ma<strong>in</strong> mit der Anwendungstechnik<br />

elektropneumatischer Geräte.<br />

Er ist Mitglied im FA 6.13 „Eng<strong>in</strong>eer<strong>in</strong>g<br />

von <strong>sicherheitsgerichteten</strong> Systemen“ des<br />

VDI/VDE-GMA und im DKE GK 914<br />

„Funktionale Sicherheit“.<br />

Samson AG,<br />

Mess- und Regeltechnik,<br />

Weismüllerstr. 3, D-60314 Frankfurt am Ma<strong>in</strong>,<br />

Tel. +49 (0) 69 40 09 20 86,<br />

E-Mail: tkarte@samson.de<br />

Dipl.-Ing. (FH) Bernd Schäfer (geb. 1967)<br />

arbeitet seit 1996 bei Hima, anfangs im<br />

Projekt-Management. Seit 2004 betreut er als<br />

Produktmanager den Bereich der OPC- und<br />

SCADA-Produkte. Darüber h<strong>in</strong>aus fallen <strong>in</strong><br />

se<strong>in</strong> Aufgabengebiet spezielle Applikationen<br />

wie zum Beispiel Asset-Management-Lösungen<br />

und OTS (Operator Tra<strong>in</strong><strong>in</strong>g Simulator)-<br />

Lösungen. Er ist Mitglied <strong>in</strong> der PLCOpen-<br />

Arbeitsgruppe zum Thema „OPC UA Informationsmodell“.<br />

Hima Paul Hildebrandt GbmH & Co KG,<br />

Albert-Bassermann-Str. 28, D-68782 Brühl bei Mannheim,<br />

Tel. +49 (0) 6202 70 94 53,<br />

E-Mail: b.schaefer@hima.com<br />

auf die Arbeitsschritte und die mögliche Aufteilung<br />

auf das Feldgerät und das übergeordnete Asset-Management-System.<br />

Die Domäne des Feldgerätes ist die<br />

schnelle Datenerfassung und lokale Regelung. Wegen<br />

der durch den Energieverbrauch limitierten Verarbeitungsgeschw<strong>in</strong>digkeit<br />

und des dadurch auch begrenzten<br />

Speichers ist es s<strong>in</strong>nvoll, die langfristige Archivierung,<br />

Auswertung nach Trends und komplexe<br />

Alarmbildung im übergeordneten System zu leisten.<br />

Hier können auch die Informationen aus verschiedenen<br />

Feldgeräten s<strong>in</strong>nvoll zusammenfließen und nach<br />

übergeordneten Kriterien ausgewertet werden.<br />

Zusammenfassung<br />

Für Feldgeräte <strong>in</strong> <strong>sicherheitsgerichteten</strong> <strong>Kreisen</strong>, <strong>in</strong>sbesondere<br />

solche mit direktem Kontakt zum Prozessmedium, ist<br />

die Behandlung der systematischen Fehler ausschlaggebend<br />

für die sicherheitstechnische Verfügbarkeit. Die notwendige<br />

Implementierung des Sicherheitslebenszyklus kann<br />

durch e<strong>in</strong>e moderne Instrumentierung unterstützt werden.<br />

Der Stand der Technik bei Feldgeräten und <strong>sicherheitsgerichteten</strong><br />

Steuerungen ermöglicht <strong>in</strong>zwischen die Implementierung<br />

wirkungsvoller und zugleich e<strong>in</strong>facher Architekturen<br />

mit marktgängigen Komponenten. Weitere Entwicklungen<br />

bezüglich Datenübertragungsrate und Funktionalität<br />

im Bereich des Asset Managements s<strong>in</strong>d notwendig,<br />

damit die <strong>in</strong> den Feldgeräten verfügbaren Diagnosetools<br />

ihre volle Funktionsfähigkeit entfalten. Hierzu ersche<strong>in</strong>t<br />

e<strong>in</strong>e enge Zusammenarbeit zwischen Herstellern und Anwendern<br />

bei ausgewählten Pilotprojekten notwendig.<br />

Manuskripte<strong>in</strong>gang<br />

14.03.2012<br />

Im Peer-Review-Verfahren begutachtet<br />

Referenzen<br />

[1] Rogiers, I.: Us<strong>in</strong>g a „Smart“ Partial Stroke<br />

Test Device on SIS Loop On/Off Valves:<br />

Add<strong>in</strong>g Value or Add<strong>in</strong>g Cost?. P4039, Valve<br />

World 2004. KCI Publish<strong>in</strong>g BV<br />

[2] Börcsök, J., Schrörs, B. und Holub, P.:<br />

Reduzierung der Ausfallwahrsche<strong>in</strong>lichkeit<br />

und Verlängerung des Proof-Test-Intervalls<br />

durch E<strong>in</strong>satz von Partial-Stroke-Tests<br />

am Beispiel von Stellgeräten. <strong>atp</strong> <strong>edition</strong> –<br />

Automatisierungstechnische Praxis 50(11),<br />

2008<br />

[3] McCrea-Steele, R.: Partial Stroke Test<strong>in</strong>g The<br />

Good, the Bad and the Ugly. TUEV 7th<br />

International Symposium on Safety, 2006 .<br />

[4] Götz, A., Hildebrandt, A., Karte, T., Schäfer, B<br />

und Ströbl, J.: Realisierung von Schutze<strong>in</strong>richtungen<br />

<strong>in</strong> der Prozess<strong>in</strong>dustrie – SIL <strong>in</strong><br />

der Praxis“. <strong>atp</strong> <strong>edition</strong> – Automatisierungstechnische<br />

Praxis 50(8), 2008<br />

[5] Samson AG: Handbuch „Funktionale<br />

Sicherheit für Stellventile, Drehkegelventile,<br />

Kugelhähne und Stellklappen. WA 236<br />

[6] DIN EN 61511-1 und DIN EN 61511-2: Funktionale<br />

Sicherheit – Sicherheitstechnische Systeme<br />

für die Prozess<strong>in</strong>dustrie – Teil 1 und 2. Mai 2005<br />

[7] VDI 2180-3: Sicherung von Anlagen der<br />

Verfahrenstechnik mit Mitteln der Prozessleittechnik<br />

(PLT) – Anlagenplanung,<br />

-errichtung und –betrieb. April 2007<br />

[8] VDI 2180-5: Sicherung von Anlagen der<br />

Verfahrenstechnik mit Mitteln der Prozessleittechnik<br />

(PLT) – Empfehlungen zur<br />

Umsetzung <strong>in</strong> die Praxis. Mai 2010<br />

[9] Hildebrandt, A.: SIL-Bewertung von Mechanik<br />

– Versagenswahrsche<strong>in</strong>lichkeit mechanischer<br />

Komponenten. <strong>atp</strong> <strong>edition</strong>– Automatisierungstechnische<br />

Praxis 53(1-2), 2011<br />

[10] Smith, D.: Reliability, Ma<strong>in</strong>ta<strong>in</strong>ability and Risk.<br />

Elsevier Butterworth-He<strong>in</strong>emann, Burl<strong>in</strong>gton,<br />

MA 01803, Sixth <strong>edition</strong> 2001<br />

[11] Karte, T. und Kiesbauer, J.: <strong>Diagnosefähige</strong><br />

Ventilstellungsregler und ihre Anwendung <strong>in</strong><br />

<strong>sicherheitsgerichteten</strong> <strong>Kreisen</strong>. Industriearmaturen,<br />

Heft 3, 2008 (September)<br />

[12] Samson AG: Handbuch Applikationsh<strong>in</strong>weise<br />

für sicherheitsgerichtet Kreise. WA 239<br />

[13] P+F Datenblatt: Ventilsteuerbauste<strong>in</strong><br />

KFD2-RI-Ex1. Ausgabedatum 2010-04-13.<br />

Druckschrift 216568_GER.xml<br />

[14] P+F Datenblatt: HART Loop Converter<br />

KFD2-HLC-Ex1.D. Ausgabedatum 2011-01-<br />

26. Druckschrift 198804_GER.xml<br />

[15] Gabriel, T., Litz, L. und Schrörs, B.: Nutzung<br />

von SIS-Armaturen für Leitsystemfunktionen<br />

– Rahmenbed<strong>in</strong>gungen für die Ausführung<br />

von BPCS-Funktionen. <strong>atp</strong> <strong>edition</strong> – Automatisierungstechnische<br />

Praxis 52(3), 2010.<br />

[16] Karte, T. und Kiesbauer, J.: Intelligenter<br />

Grenzsignalgeber für Auf/Zu-Armaturen <strong>in</strong><br />

der Prozesstechnik. <strong>atp</strong> <strong>edition</strong> – Automatisierungstechnische<br />

Praxis 51(5), 2009.<br />

[17] Hablawetz, D., Matalla, N. und Adam, G.: IEC<br />

61511 <strong>in</strong> der Praxis – Erfahrungen e<strong>in</strong>es<br />

Anlagenbetreibers. <strong>atp</strong> <strong>edition</strong> – Automatisierungstechnische<br />

Praxis 49(10), 2007<br />

38<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


Jetzt<br />

doppelt sparen:<br />

Edition<br />

15% Rabatt<br />

gwf Praxiswissen<br />

im Fortsetzungsbezug<br />

20% Rabatt<br />

für gwf-Abonnenten<br />

Diese Buchreihe präsentiert kompakt aufbereitete Fokusthemen aus der Wasserbranche und Fachberichte<br />

von anerkannten Experten zum aktuellen Stand der Technik. Zahlreiche Praxisbeispiele zeigen <strong>in</strong>dividuelle<br />

Lösungen und vermitteln praktisches Know-how für ökologisch und wirtschaftlich s<strong>in</strong>nvolle Konzepte.<br />

Band I – Regenwasserbewirtschaftung<br />

Ausführliche Informationen für die Planung und Ausführung von Anlagen zur Regenwasserbwirtschaftung<br />

mit gesetzlichen Rahmenbed<strong>in</strong>gungen sowie Anwendungsbeispielen aus der Praxis.<br />

Hrsg. C. Ziegler, 1. Auflage 2011, 184 Seiten, Broschur<br />

Buch + Bonusmaterial für € 54,90 € 46,70<br />

Buch + Bonusmaterial + eBook auf DVD für € 69,90 € 59,40<br />

Band II – Messen • Steuern • Regeln<br />

Grundlagen<strong>in</strong>formationen über Automatisierungstechnologien, die dabei helfen, Wasser effizienter<br />

zu nutzen, Abwasser nachhaltiger zu behandeln und Sicherheitsrisiken besser zu kontrollieren.<br />

Hrsg. C. Ziegler, 1. Auflage 2011, ca. 150 Seiten, Broschur<br />

Buch + Bonusmaterial für € 54,90 € 46,70<br />

Buch + Bonusmaterial + eBook auf DVD für € 69,90 € 59,40<br />

Band III – Energie aus Abwasser<br />

Abwärme aus dem Kanal und Strom aus der Kläranlage: Wie aus großen Energieverbrauchern<br />

Energieerzeuger werden. Methoden und Technologien zur nachhaltigen Abwasserbehandlung.<br />

Hrsg. C. Ziegler, 1. Auflage 2011, ca. 150 Seiten, Broschur<br />

Buch + Bonusmaterial für € 54,90 € 46,70<br />

Buch + Bonusmaterial + eBook auf DVD für € 69,90 € 59,40<br />

Band IV – Tr<strong>in</strong>kwasserbehälter<br />

Grundlagen zu Planung, Bauausführung, Instandhaltung und Re<strong>in</strong>igung sowie Sanierung von<br />

Tr<strong>in</strong>kwasserbehältern. Materialien, Beschichtungssysteme und technische Ausrüstung.<br />

Hrsg. C. Ziegler, 1. Auflage 2011, ca. 150 Seiten, Broschur<br />

Buch + Bonusmaterial für € 54,90 € 46,70<br />

Buch + Bonusmaterial + eBook auf DVD für € 69,90 € 59,40<br />

Oldenbourg Industrieverlag München<br />

www.gwf-wasser-abwasser.de<br />

VORTEILSANFORDERUNG PER FAX: +49 (0)201 / 82002-34 oder per Brief e<strong>in</strong>senden<br />

Ja, ich bestelle die Fachbuchreihe gwf Praxiswissen im günstigen Fortsetzungsbezug,<br />

verpasse ke<strong>in</strong>en Band und spare 15%. Ich wünsche die<br />

Lieferung beg<strong>in</strong>nend ab Band<br />

als Buch + Bonusmaterial für € 46,70 (gwf-Abonnenten: € 37,30)<br />

als Buch + Bonusmaterial + eBook auf DVD für € 59,40<br />

(gwf-Abonnenten: € 47,50)<br />

Wir beziehen gwf im Abonnement nicht im Abonnement<br />

Jeder aktuelle Band wird zum Ersche<strong>in</strong>ungsterm<strong>in</strong> ausgeliefert und<br />

separat berechnet. Die Anforderung gilt bis zum schriftlichen Widerruf.<br />

Die pünktliche, bequeme und sichere Bezahlung per Bankabbuchung<br />

wird mit e<strong>in</strong>er Gutschrift von € 3,- auf die erste Rechnung belohnt.<br />

Firma/Institution<br />

Vorname, Name des Empfängers<br />

Straße/Postfach, Nr.<br />

PLZ, Ort<br />

Telefon<br />

E-Mail<br />

Telefax<br />

Antwort<br />

Vulkan Verlag GmbH<br />

Versandbuchhandlung<br />

Postfach 10 39 62<br />

45039 Essen<br />

Branche/Wirtschaftszweig<br />

Bevorzugte Zahlungsweise Bankabbuchung Rechnung<br />

Bank, Ort<br />

Bankleitzahl<br />

✘<br />

Datum, Unterschrift<br />

Kontonummer<br />

PAGWFP2011<br />

Widerrufsrecht: Sie können Ihre Vertragserklärung <strong>in</strong>nerhalb von zwei Wochen ohne Angabe von Gründen <strong>in</strong> Textform (z.B. Brief, Fax, E-Mail) oder durch Rücksendung der Sache widerrufen. Die Frist beg<strong>in</strong>nt nach Erhalt dieser Belehrung <strong>in</strong> Textform. Zur Wahrung der Widerrufsfrist genügt<br />

die rechtzeitige Absendung des Widerrufs oder der Sache an die Vulkan-Verlag GmbH, Versandbuchhandlung, Huyssenallee 52-56, 45128 Essen.<br />

Nutzung personenbezogener Daten: Für die Auftragsabwicklung und zur Pflege der laufenden Kommunikation werden personenbezogene Daten erfasst und gespeichert. Mit dieser Anforderung erkläre ich mich damit e<strong>in</strong>verstanden, dass ich vom Oldenbourg Industrieverlag oder vom<br />

Vulkan-Verlag per Post, per Telefon, per Telefax, per E-Mail, nicht über <strong>in</strong>teressante, fachspezifische Medienund Informationsangebote <strong>in</strong>formiert und beworben werde. Diese Erklärung kann ich mit Wirkung für die Zukunft jederzeit widerrufen.


hauptbeitrag<br />

PFD-Berechnung bei nicht<br />

konstanten Ausfallraten<br />

Mehrphasen-Markov-Modelle mit Mathcad berechnen<br />

Die Versagenswahrsche<strong>in</strong>lichkeit (PFD) realer Schutze<strong>in</strong>richtungen lässt sich nur unter<br />

bestimmten Voraussetzungen mit den Formeln aus der VDI/VDE 2180 beziehungsweise<br />

EN 61508 berechnen. S<strong>in</strong>d diese Bed<strong>in</strong>gungen nicht erfüllt (zum Beispiel bei unvollständiger<br />

Wiederholungsprüfung oder nicht konstanter Ausfallrate), können die Formeln nicht<br />

ohne Weiteres angewendet werden. In solchen Fällen kann die PFD-Berechnung mit zeitveränderlichen<br />

Markov-Modellen auf relativ e<strong>in</strong>fache Weise bewerkstelligt werden. In der<br />

EN 61508 Teil 6 Edition 2 ist die Methode der Mehrphasen-Markov-Modelle dargestellt.<br />

Wenn auch verschleißbehaftete Komponenten bei der PFD-Berechnung zu berücksichtigen<br />

s<strong>in</strong>d, müssen die Übergangswahrsche<strong>in</strong>lichkeiten des betreffenden Markov-Modells als<br />

zeitabhängige Funktion abgebildet werden. Im Beitrag wird dies anhand e<strong>in</strong>es fiktiven<br />

Beispiels beschrieben. Dabei wird die zeitabhängige PFD(t) für die gesamte Anlagenlaufzeit<br />

berechnet und daraus die mittlere Versagenswahrsche<strong>in</strong>lichkeit PFD avg ermittelt.<br />

SCHLAGWÖRTER Mehrphasen-Markov-Modell / Weibull-Verteilung / PFD-Berechnung /<br />

EN 61508 / Schutze<strong>in</strong>richtung / Verschleiß / Chapman-Kolmogorov-<br />

Gleichung<br />

PFD calculation <strong>in</strong> case of non-constant failure rates –<br />

Solv<strong>in</strong>g Multiphase Markov Model with Matchcad<br />

The probability of failure on demand (PFD) of real safety equipment can be calculated<br />

with the help of the formulas given <strong>in</strong> VDI/VDE 2180 or EN 61508 only under certa<strong>in</strong><br />

conditions. If these conditions are not fulfilled (e.g. <strong>in</strong> case of an <strong>in</strong>complete proof test or<br />

a non-constant failure rate), the formulas cannot be applied right away. In such cases, the<br />

PFD calculation can be carried out relatively easily us<strong>in</strong>g time-vary<strong>in</strong>g Markov models.<br />

EN 61508 Part 6 Edition 2 presents the method of multiphase Markov models. If components<br />

subject to wear shall be observed <strong>in</strong> the PFD calculation, this method has to be<br />

further generalized; <strong>in</strong> this generalization, the transition probabilities of the correspond<strong>in</strong>g<br />

Markov model are presented as a time-vary<strong>in</strong>g function. This is described <strong>in</strong> detail <strong>in</strong> the<br />

present contribution, based on a fictitious example. The time-dependent PFD(t) is calculated<br />

for the total plant lifetime which is then used to determ<strong>in</strong>e the average probability<br />

of failure on demand PFD avg . All calculations are carried out with Mathcad as this tool<br />

offers the necessary flexibility and is easy to handle compared to others.<br />

KEYWORDS Multiphase Markov Model / Weibull Distribution / PFD Calculation / EN 61508 /<br />

Safety Instrumented Function / Wear Out / Chapman-Kolmogorov-Equation<br />

40<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


Andreas Hildebrandt, Pepperl+Fuchs<br />

Die Normen zur funktionalen Sicherheit fordern,<br />

dass für sicherheitstechnische Funktionen die<br />

Versagenswahrsche<strong>in</strong>lichkeit aufgrund zufälliger<br />

Fehler berechnet wird [4, 5, 6]. Dies kann<br />

<strong>in</strong> vielen Fällen mit vergleichsweise e<strong>in</strong>fachen<br />

Formeln geschehen (siehe VDI/VDE 2180, Blatt 4 [6]).<br />

S<strong>in</strong>d Struktur, Betriebsweise oder Randbed<strong>in</strong>gungen<br />

komplexer als es diese Formeln unterstellen, werden andere<br />

Verfahren zur Berechnung der Ausfallwahrsche<strong>in</strong>lichkeit<br />

benötigt. Bewährt haben sich hier Markov-Modelle<br />

[2], wobei die klassischen Markov-Modelle ebenfalls<br />

oft an ihre Grenzen stoßen, da von bestimmten<br />

Annahmen ausgegangen wird (zum Beispiel von konstanten<br />

Übergangswahrsche<strong>in</strong>lichkeiten zwischen den<br />

Zuständen), die <strong>in</strong> der Praxis nicht immer gegeben s<strong>in</strong>d.<br />

E<strong>in</strong>e Erweiterung beziehungsweise Verallgeme<strong>in</strong>erung<br />

der Markov-Modellierung ermöglicht es jedoch, auch <strong>in</strong><br />

solchen Fällen mit überschaubarem Aufwand die Versagenswahrsche<strong>in</strong>lichkeit<br />

von Sicherheitsfunktionen zu<br />

bestimmen. Ziel des Beitrags ist es, e<strong>in</strong>e Methode zur<br />

PFD-Berechnung vorzustellen und zu erläutern. Die Zahlenwerte<br />

des Beispiels s<strong>in</strong>d willkürlich gewählt. Bei realen<br />

Schutze<strong>in</strong>richtungen ist es <strong>in</strong> der Regel nicht möglich,<br />

das Ausfallverhalten mechanischer Komponenten<br />

mithilfe e<strong>in</strong>er Weibull-Verteilung zu beschreiben. Werden<br />

diese mit niedrigen Anforderungsraten betrieben,<br />

ist es nahezu unmöglich, die Weibull-Parameter zu bestimmen<br />

[1].<br />

1. Beispiel e<strong>in</strong>er Sicherheitsfunktion<br />

Gegeben ist e<strong>in</strong>e e<strong>in</strong>kanalige Schutze<strong>in</strong>richtung bestehend<br />

aus Sensor, Signalverarbeitung und Aktor, wobei<br />

folgende Randbed<strong>in</strong>gungen bei der PFD-Berechnung<br />

berücksichtigt werden sollen:<br />

1 | Der Sensor, die Signalverarbeitung und Teile des<br />

Aktors s<strong>in</strong>d elektronische Geräte, e<strong>in</strong> Teil des Aktors<br />

(Ventil) ist Mechanik.<br />

2 | Die elektronischen Komponenten haben e<strong>in</strong>e Diagnose<br />

mit vernachlässigbar kle<strong>in</strong>er Diagnosezeit.<br />

Werden Fehler von der Diagnose aufgedeckt, so<br />

werden diese <strong>in</strong>nerhalb von 8 Stunden repariert<br />

(MTTR el = 8 h). Die Reparaturdauer MTTR el be<strong>in</strong>haltet<br />

die Diagnosezeit.<br />

3 | Die Ausfallraten der elektronischen Komponenten<br />

(λ DU und λ DD ) s<strong>in</strong>d konstant, die der mechanischen<br />

Komponenten nicht (siehe Punkt 5 und<br />

Bild 1).<br />

4 | Beim Aktor (Ventil) werden mithilfe e<strong>in</strong>es Teilhubtests<br />

(Partial Stroke Test) Fehler teilweise aufgedeckt.<br />

Dieser wird wöchentlich ausgeführt (Diagnosezeit<br />

der Mechanik DZ mech = 168 h). Im Falle e<strong>in</strong>es<br />

erkannten Fehlers wird e<strong>in</strong>e Reparatur durchgeführt,<br />

die durchschnittlich 4 Tage <strong>in</strong> Anspruch<br />

nimmt (MTTR mech = 96 h).<br />

5 | Die Ausfallrate des mechanischen Ventils ist nicht<br />

konstant (Verschleiß) und muss mithilfe der Weibull-Verteilung<br />

beschrieben werden (Verschleiß<br />

f<strong>in</strong>det unter anderem auch aufgrund des Teilhubtests<br />

statt). Da nicht alle Fehler mithilfe des Teilhubtests<br />

aufgedeckt werden und verschiedene<br />

Teile des Aktors unterschiedlich verschleißen<br />

(manche Teile beziehungsweise Bereiche werden<br />

durch den Teilhubtest regelmäßig bewegt, für andere<br />

gilt „wer rastet, der rostet“), wird die Versagenswahrsche<strong>in</strong>lichkeit<br />

des Ventils durch zwei<br />

verschiedene Weibull-Verteilungen beschrieben.<br />

E<strong>in</strong>e erste Verteilung mit den Parametern T dd und<br />

b dd benennt die Versagenswahrsche<strong>in</strong>lichkeit derjenigen<br />

Teile, die durch den Teilhubtest regelmäßig<br />

bewegt werden. E<strong>in</strong>e zweite Verteilung mit den<br />

Parametern T du und b du def<strong>in</strong>iert die Wahrsche<strong>in</strong>lichkeit<br />

von Ausfällen, die nicht durch den Teilhubtest<br />

aufgedeckt oder bee<strong>in</strong>flusst werden (zum<br />

Beispiel Anhaftungen an Stellen, die beim Teilhubtest<br />

nicht durchfahren werden oder e<strong>in</strong>e Korrosion<br />

beziehungsweise Abrasion der dichtenden<br />

Elemente).<br />

6 | Jedes Jahr wird e<strong>in</strong>e regelmäßige Wiederholungsprüfung<br />

durchgeführt (T 1 = 8760 h). Im Rahmen<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012<br />

41


Hauptbeitrag<br />

dieser Wiederholungsprüfung werden alle Fehler<br />

des Ventils aufgedeckt, auch diejenigen, die vom<br />

Teilhubtest nicht erkannt wurden. Von den elektronischen<br />

Komponenten werden jedoch nicht<br />

alle Fehler aufgedeckt, da der Sensor weder bis<br />

zur Triggerschwelle angefahren werden kann,<br />

noch zum Prüfen ausgebaut werden soll. Bestimmte<br />

Fehler des Sensors werden daher im<br />

Rahmen der Wiederholungsprüfung nicht aufgedeckt.<br />

Der Anteil der aufgedeckten Elektronikfehler<br />

wird mithilfe des Faktors PTC el (PTC =<br />

Proof Test Coverage) quantifiziert. Es wird angenommen,<br />

dass 10 % der Elektronik-Fehler bei der<br />

Wiederholungsprüfung nicht erkannt werden<br />

(PTC el = 0,90).<br />

8 | Alle 5 Jahre f<strong>in</strong>det e<strong>in</strong>e Revision statt (T Rev = 5 х 8760<br />

h), bei der alle Fehler aufgedeckt (sowohl bei Elektronik<br />

wie auch bei der Mechanik) und mechanische<br />

Verschleißteile erneuert werden. Elektronische<br />

Komponenten werden ausgetauscht, wenn das<br />

Ende der Gebrauchsdauer erreicht ist. Das sicherheitstechnische<br />

System ist danach wieder <strong>in</strong> e<strong>in</strong>em<br />

Wie-Neu-Zustand (siehe Punkt 8).<br />

9 | Das System soll 30 Jahre lang betrieben werden (MT<br />

= 30 х 8760 h). Bei den elektronischen Komponenten<br />

wird die vom Lieferanten genannte Gebrauchsdauer<br />

beachtet, das heißt, sie werden rechtzeitig im<br />

Rahmen e<strong>in</strong>er Revision ersetzt, sodass die gesamte<br />

Anlagenlaufzeit mit den unter Punkt 3 genannten<br />

konstanten Ausfallraten (λ DU und λ DD ) gerechnet<br />

werden darf. Da das Ventil (wie unter Punkt 7 beschrieben)<br />

alle 5 Jahre überholt wird, kann es über<br />

die gesamte Anlagenlaufzeit verwendet werden.<br />

2. Lösungsansatz<br />

Soll von der beschriebenen Schutze<strong>in</strong>richtung unter<br />

Beachtung aller Randbed<strong>in</strong>gungen die Versagenswahrsche<strong>in</strong>lichkeit<br />

bei Anforderung (PFD) berechnet werden,<br />

lassen sich die aus der VDI/VDE 2180 und<br />

EN 61508 bekannten Formeln nicht ohne Weiteres anwenden.<br />

E<strong>in</strong> pragmatischer Lösungsansatz besteht dar<strong>in</strong>,<br />

mithilfe von Worst-Case-Annahmen die Berechnung<br />

so weit zu vere<strong>in</strong>fachen, dass die Formeln aus<br />

den genannten Normen angewendet werden können.<br />

Scheitert die Erreichung des geforderten Safety Integrity<br />

Level (SIL) dann an e<strong>in</strong>em zu schlechten PFD-Wert,<br />

besteht sicher der Wunsch, e<strong>in</strong>e genauere Berechnung<br />

durchzuführen. Im Folgenden wird daher e<strong>in</strong> Lösungsansatz<br />

auf Basis e<strong>in</strong>es Markov-Modells vorgestellt, der<br />

mit kommerziell verfügbaren Standardprogrammen<br />

realisiert werden kann. Ausgangspunkt bildet e<strong>in</strong><br />

Mehrphasen-Markov-Modell, wie es zum Beispiel <strong>in</strong><br />

der EN 61508 Teil 6, Edition 2 [4], beschrieben wird.<br />

Indem die Übergangswahrsche<strong>in</strong>lichkeiten als zeitabhängige<br />

Funktionen dargestellt werden (zum Beispiel<br />

Weibull-Verteilung), wird das Verschleißverhalten von<br />

Komponenten berücksichtigt. Die Berechnung des zeitlichen<br />

Verlaufs der momentanen Unverfügbarkeit der<br />

Sicherheitsfunktion PFD(t) erfolgt mithilfe der Chapman-Kolmogorov-Gleichung.<br />

In e<strong>in</strong>em abschließenden<br />

Schritt muss noch der zeitliche Mittelwert (und damit<br />

die PFD avg ) berechnet werden. Die gesamte Rechnung<br />

kann mit e<strong>in</strong>em Mathematik-Programm wie Mathcad<br />

erfolgen. Die PFD-Berechnung für die beschriebene<br />

Schutzfunktion kann auf wenigen DIN-A4-Seiten übersichtlich<br />

dargestellt werden.<br />

2.1 Zeitvariantes Markov-Modell<br />

Die Zustände des im Bild 2 gezeigten Markov-Modells<br />

bedeuten:<br />

Zustand 0:<br />

Zustand 1:<br />

Zustand 2:<br />

Zustand 3:<br />

Zustand 4:<br />

Zustand 5:<br />

Zustand 6:<br />

Das System ist vollständig <strong>in</strong> Ordnung<br />

(Wie-Neu-Zustand).<br />

Die Elektronik ist unerkannt ausgefallen.<br />

Der Fehler wird erst bei der Wiederholungsprüfung<br />

(gepunkteter Übergang „bei<br />

Prooftest“) erkannt und repariert (Reparaturdauer<br />

MTTR el = 8 h).<br />

Die Elektronik ist erkannt ausgefallen. Die<br />

Reparatur erfolgt umgehend und dauert<br />

MTTR el = 8 h.<br />

Die Mechanik ist ausgefallen, der Fehler<br />

wird jedoch vom wöchentlichen Teilhubtest<br />

aufgedeckt. Es dauert im Mittel e<strong>in</strong>e<br />

halbe Woche, bis der Fehler offenbar wird<br />

und die Reparatur beg<strong>in</strong>nen kann (das<br />

heißt, bis das System <strong>in</strong> den Zustand 5<br />

übergeht). Nachdem der Fehler aufgedeckt<br />

ist, dauert die Reparatur weitere 4 Tage<br />

(MTTR mech = 96 h).<br />

Die Mechanik ist unerkannt ausgefallen.<br />

Der Fehler wird erst bei der Wiederholungsprüfung<br />

(gepunkteter Übergang „bei<br />

Prooftest“) erkannt und repariert (Reparaturdauer<br />

MTTR mech = 96 h).<br />

E<strong>in</strong> mechanischer Defekt wurde aufgedeckt<br />

(entweder durch den Teilhubtest<br />

oder im Rahmen der jährlichen Wiederholungsprüfung)<br />

und wird repariert. Die<br />

Reparaturdauer für die Mechanik beträgt<br />

4 Tage (MTTR mech = 96 h).<br />

Die Elektronik ist unerkannt ausgefallen.<br />

Der Fehler wird bei der Wiederholungsprüfung<br />

jedoch nicht erkannt, sondern<br />

erst im Rahmen der Revision aufgedeckt<br />

und repariert (gestrichelter Übergang<br />

„bei Revision“). E<strong>in</strong>e Revision f<strong>in</strong>det bei<br />

jeder fünften Wiederholungsprüfung<br />

statt (T Rev = 5 х T 1 ).<br />

Die Übergangswahrsche<strong>in</strong>lichkeiten vom Zustand 0 <strong>in</strong><br />

den Zustand 3 beziehungsweise 4 s<strong>in</strong>d zeitabhängig und<br />

werden aus der der Weibull-Verteilung anhand der beiden<br />

Parameter „charakteristische Lebensdauer“ (T dd beziehungsweise<br />

T du ) und „Formfaktor“ (b dd beziehungsweise<br />

b du ) berechnet.<br />

42<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


Herausforderung<br />

Automatisierungstechnik<br />

2.2 Berechnung der<br />

Zuverlässigkeitsgrößen<br />

Die zeitabhängigen Zustandswahrsche<strong>in</strong>lichkeiten<br />

des Markov-Modells lassen sich leicht mithilfe der<br />

Chapman-Kolmogorov-Gleichung berechnen. Ausgehend<br />

vom Zeitpunkt t = 0 wird die transponierte Matrix<br />

der Übergangswahrsche<strong>in</strong>lichkeiten mit dem<br />

Vektor der aktuellen Zustandswahrsche<strong>in</strong>lichkeiten<br />

multipliziert. Die Elemente des daraus resultierenden<br />

Ergebnisvektors stellen dann die Zustandswahrsche<strong>in</strong>lichkeiten<br />

des folgenden Zeitschritts dar. Dieses<br />

Ergebnis wird dann erneut mit der transponierten<br />

Wahrsche<strong>in</strong>lichkeitsmatrix multipliziert, um die<br />

Zustandswahrsche<strong>in</strong>lichkeiten des nächsten Zeitschritts<br />

zu erhalten (… und so weiter, bis das Ende<br />

der Systemlaufzeit MT = 30 Jahre erreicht ist). Bei der<br />

Matrix der Übergangswahrsche<strong>in</strong>lichkeiten muss die<br />

Zeilensumme jeweils e<strong>in</strong>s ergeben (sogenannte stochastische<br />

Matrix). Daher können zum Beispiel die<br />

Diagonalelemente (das heißt, die Wahrsche<strong>in</strong>lichkeit,<br />

dass das System <strong>in</strong> dem jeweiligen Zustand bleibt)<br />

aus den bereits ermittelten Werten gesondert berechnet<br />

und <strong>in</strong> die Matrix e<strong>in</strong>gefügt werden.<br />

Da die Schutze<strong>in</strong>richtung zum Zeitpunkt t = 0 neu<br />

ist, ist die Wahrsche<strong>in</strong>lichkeit, dass sich das System<br />

im Zustand null bef<strong>in</strong>det, gleich e<strong>in</strong>s. Für alle anderen<br />

Zustände ergibt sich damit e<strong>in</strong>e Wahrsche<strong>in</strong>lichkeit<br />

von null. Das heißt, beim Startvektor ist das erste<br />

Element e<strong>in</strong>s, alle anderen Elemente s<strong>in</strong>d null.<br />

Die momentane Unverfügbarkeit ergibt sich, wenn<br />

für jeden Zeitschritt die Wahrsche<strong>in</strong>lichkeiten aller<br />

gefahrbr<strong>in</strong>genden Zustände addiert werden. Da im<br />

Beispiel das System nur im Zustand null funktionsfähig<br />

ist, s<strong>in</strong>d alle anderen Zustände (Zustand 1 bis<br />

Zustand 6) gefahrbr<strong>in</strong>gend.<br />

Das Ergebnis ist somit der zeitliche Verlauf der Unverfügbarkeit<br />

der Sicherheitsfunktion (also die zeitabhängige<br />

PFD (t) , siehe Bild 3). Da für die SIL-Bewertung<br />

die mittlere Unverfügbarkeit PFD avg benötigt<br />

wird, muss von diesem Verlauf noch der zeitliche<br />

Mittelwert berechnet werden. Dieser Mittelwert stellt<br />

dann das gesuchte Ergebnis dar.<br />

2.3 Realisierung mit Mathcad<br />

Der oben beschriebene Lösungsweg zur PFD-Berechnung<br />

e<strong>in</strong>es Systems mit verschleißbehafteten Komponenten<br />

kann effizient mithilfe von Mathcad [3]<br />

implementiert werden. E<strong>in</strong> kommentierter und mit<br />

erklärenden Diagrammen versehener Lösungsvorschlag<br />

ist im Bild dargestellt. Im Vergleich zu proprietären<br />

Lösungen bieten universell e<strong>in</strong>setzbare Standardprogramme<br />

e<strong>in</strong>e größere Flexibilität und e<strong>in</strong>e<br />

vollständige Kontrolle über die Berechnungsschritte.<br />

Individuelle Lösungen, wie im Beitrag dargestellt,<br />

werden dadurch erst möglich. Ändern sich Randbed<strong>in</strong>gungen<br />

oder die Struktur der Schutze<strong>in</strong>richtung,<br />

so kann mit wenig Aufwand das vorhandene Modell<br />

Mit dem <strong>atp</strong>-award werden zwei Autoren der <strong>atp</strong> <strong>edition</strong> für<br />

hervorragende Beiträge ausgezeichnet. Ziel dieser Initiative<br />

ist es, Wissenschaftler und Praktiker der Automatisierungstechnik<br />

anzuregen, ihre Ergebnisse und Erfahrungen <strong>in</strong> Veröffentlichungen<br />

zu fassen und die Wissenstransparenz <strong>in</strong> der<br />

Automatisierungstechnik zu fördern. Teilnehmen kann jeder<br />

Autor der zum Zeitpunkt der Veröffentlichung nicht älter als<br />

35 Jahre ist. Nach Veröffentlichung e<strong>in</strong>es Beitrags ist der Autor,<br />

wenn er die Bed<strong>in</strong>gung erfüllt, automatisch im Pool. Die<br />

Auswahl des Gew<strong>in</strong>ners übernimmt die <strong>atp</strong>-Fachredaktion.<br />

Derjenige Autor, der im Autorenteam der jüngste ist, erhält<br />

stellvertretend für alle Autoren die Auszeichnung. Der Preis<br />

wird <strong>in</strong> zwei Kategorien ausgelobt: Industrie und Hochschule.<br />

Die Kategorien ermittlung ergibt sich aus der <strong>in</strong> dem Beitrag<br />

angegebenen Adresse des jüngsten Autors.<br />

Veröffentlichungen – Beitrag zum Wissenspool im<br />

Fachgebiet Automatisierungstechnik<br />

Die Entwicklung e<strong>in</strong>es Wissensgebietes erfolgt durch e<strong>in</strong>en<br />

kooperativen Prozess zwischen wissenschaftlicher Grundlagenforschung,<br />

Konzept- und Lösungsentwicklung und Anwendung<br />

<strong>in</strong> der Praxis. E<strong>in</strong> solcher Prozess bedarf e<strong>in</strong>er geme<strong>in</strong>samen<br />

Informationsplattform. Veröffentlichungen<br />

s<strong>in</strong>d die essentielle Basis e<strong>in</strong>es solchen Informationspools.<br />

Der <strong>atp</strong>-award fördert den wissenschaftlichen Austausch<br />

im dynamischen Feld der Automationstechnik. Nachwuchs<strong>in</strong>ge<br />

nieure sollen gezielt ihre Forschungen präsentieren<br />

können und so leichter den Zugang zur Community erhalten.<br />

Der Preis ist mit e<strong>in</strong>er Prämie von jeweils 2000€ dotiert.<br />

Die Auswahl erfolgt <strong>in</strong> zwei Stufen:<br />

Voraussetzung für die Teilnahme ist die Veröffentlichung<br />

des Beitrags <strong>in</strong> der <strong>atp</strong> <strong>edition</strong>. Jeder Aufsatz, der als Hauptbeitrag<br />

für die <strong>atp</strong> <strong>edition</strong> e<strong>in</strong>gereicht wird, durchläuft das<br />

Peer-Review-Verfahren. Die letzte Entscheidung zur Veröffentlichung<br />

liegt beim Chefredakteur. Wird e<strong>in</strong> Beitrag veröffentlicht,<br />

kommt er automatisch <strong>in</strong> den Pool der <strong>atp</strong>-award-<br />

Bewerber, vorausgesetzt e<strong>in</strong>er der Autoren ist zum Zeitpunkt<br />

der Veröffentlichung nicht älter als 35 Jahre. Ausgezeichnet<br />

wird der jüngste Autor stellvertretend für alle Autoren der<br />

Gruppe. E<strong>in</strong>e Jury aus Vertretern der <strong>atp</strong>-Fachredaktion<br />

und des -Beirats ermittelt schließlich den Gew<strong>in</strong>ner <strong>in</strong> den<br />

jeweiligen Kategorien Hochschule und Industrie.<br />

Der Rechtsweg ist ausgeschlossen.<br />

Beiträge richten Sie bitte an:<br />

Oldenbourg Industrieverlag GmbH<br />

Herrn Prof. Leon Urbas<br />

Chefredakteur <strong>atp</strong> <strong>edition</strong> / automatisieren! by <strong>atp</strong><br />

Rosenheimer Straße 145 • 81761 München<br />

Tel. +49 (0) 89 45051 418 • E-Mail: urbas@oiv.de<br />

Beachten Sie die Autorenh<strong>in</strong>weise der <strong>atp</strong> <strong>edition</strong><br />

für Hauptbeiträge unter folgendem L<strong>in</strong>k:<br />

http://www.<strong>atp</strong>-onl<strong>in</strong>e.de<br />

Bitte senden Sie Ihre Beiträge an: urbas@oiv.de


Hauptbeitrag<br />

DAS MATHCAD-Modell<br />

Berechnung e<strong>in</strong>es verschleiSSbehafteten Systems mithilfe<br />

e<strong>in</strong>es zeitvarianten Markov-Modells und der Weibull-verteilung<br />

Gesamtzahl der Zustände (Anz) und Anzahl der gefährlichen Zustände (Danger) e<strong>in</strong>geben. Bei der Erstellung des Markov-<br />

Diagramms ist folgendes zu beachten: Zustand 0 ist der Zustand, <strong>in</strong> dem das System fehlerfrei arbeitet. Die Nummerierung<br />

der Zustände ist so vorzunehmen, dass die gefährlichen Zustände diejenigen mit den höchsten Nummern s<strong>in</strong>d.<br />

Anz := 7 Danger := 6<br />

Parameter def<strong>in</strong>ieren (Zeit <strong>in</strong> Stunden, das heißt Ausfallraten <strong>in</strong> 1/h bzw. 1 Jahr = 8760 h):<br />

MT := 30 x 8760<br />

T 1 := 1 x 8760<br />

T Rev := 5 x T 1<br />

PTC el := 0.90<br />

MTTR el := 8<br />

MTTR mech := 96<br />

DZ mech := 168<br />

λ du_el :=3 x 10 −7<br />

λ dd_el :=9 x 10 −7<br />

T du := 10 x 8760<br />

b du := 7<br />

T dd := 28 x 8760<br />

b dd := 2.5<br />

Missionszeit (Mission Time), das heißt Anlagenlaufzeit<br />

Zeit<strong>in</strong>tervall der regelmäßigen Wiederholungsprüfung<br />

Revision (Wartung), bei der mechanische Verschleißteile ersetzt werden<br />

Proof Test Coverage der elektronischen Komponenten<br />

Mittlere Reparaturzeit der elektrischen Komponenten (<strong>in</strong>kl. Diagnosezeit)<br />

Mittlere Reparaturzeit der mechanischen Komponenten<br />

Diagnosezeit der Mechanik (wöchentlicher Teilhubtest e<strong>in</strong>es Ventils)<br />

Ausfallrate der unerkannten Fehler bei den elektrischen Komponenten<br />

Ausfallrate der erkannten Fehler bei den elektrischen Komponenten<br />

Charakteristische Lebensdauer für unerkannte Mechanikausfälle<br />

Formfaktor der Weibull-Verteilung für unerkannte Mechanikausfälle<br />

Charakteristische Lebensdauer für erkannte Mechanikausfälle<br />

Formfaktor der Weibull-Verteilung für erkannte Mechanikausfälle<br />

λ du_mech (t):=<br />

λ dd_mech (t):=<br />

(<br />

)<br />

)<br />

b<br />

b<br />

du –1<br />

du<br />

х mod ( t, T Rev<br />

T du T du<br />

Weibull-Verteilung der unerkannten Ausfälle<br />

(nach der Revision ist die Komponente wie neu)<br />

(<br />

)<br />

)<br />

b<br />

b<br />

dd –1<br />

dd mod ( t, T<br />

х<br />

Rev<br />

T dd T dd<br />

Weibull-Verteilung der erkannten Ausfälle<br />

(nach der Revision ist die Komponente wie neu)<br />

Um Division durch 0 zu vermeiden bei Vernachlässigung der Reparatur- bzw. Diagnosezeit:<br />

MTTR el := wenn (MTTR el = 0, 1, MTTR el )<br />

MTTR mech := wenn (MTTR mech = 0, 1, MTTR mech )<br />

DZ mech := wenn (DZ mech = 0, 1, DZ mech )<br />

BILD 1 Darstellung der Ausfallraten über der Zeit (alle 5<br />

Jahre werden Verschleißteile ersetzt)<br />

BILD 2 Mehrphasen-Markov-Modell:<br />

Bei der Wiederholungsprüfung<br />

f<strong>in</strong>den e<strong>in</strong>malig nur die gepunkteten<br />

Übergänge „bei Prooftest“ statt.<br />

Sofern im Rahmen der Wiederholungsprüfung<br />

auch e<strong>in</strong>e Revision<br />

durchgeführt wird, f<strong>in</strong>det zusätzlich<br />

noch der gestrichelte Übergang<br />

„bei Revision“ statt. Bei allen<br />

anderen Zeitschritten gelten die<br />

durchgezogenen Übergänge.<br />

Die Matrix P(t) beschreibt die zeitabhängigen Übergangswahrsche<strong>in</strong>lichkeiten<br />

0 PTC el х λ du_el λ dd_el λ dd_mech (t) λ du_mech (t) 0 (1 – PTC el ) х λ du_el<br />

0 0 0 0 0 0 0<br />

1<br />

0 0 0 0 0 0<br />

MTTR el<br />

2<br />

P(t):= 0 0 0 0 0 0<br />

DZ mech<br />

1<br />

0 0 0 0 0<br />

MTTR mech<br />

0<br />

0 0 0 0 0 0 0<br />

0 0 0 0 0 0 0<br />

44<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


P(t):=<br />

P f P(t)<br />

for k ∈ 0.. Anz – 1<br />

Anz – 1<br />

P k,k f 1 – ∑ P k,r<br />

r = 0<br />

Diagonalelemente berechnen und <strong>in</strong> die Matrix e<strong>in</strong>fügen.<br />

Die Matrix Proof beschreibt die Übergänge bei der normalen Wiederholungsprüfung<br />

0 0 0 0 0 0 0<br />

0 0 1 0 0 0 0<br />

Proof :=<br />

0 0 0 0 0 0 0<br />

Übergangsmatrix für den<br />

0 0 0 0 0 0 0<br />

Proof Test def<strong>in</strong>ieren.<br />

Proof := P f P(t)<br />

0 0 0 0 0 1 0<br />

for k ∈ 0.. Anz – 1<br />

Diagonalelemente berechnen<br />

und <strong>in</strong> die Matrix e<strong>in</strong>fügen.<br />

Anz – 1<br />

Alle gefährlichen Zustände zur Zeit t aufsummieren<br />

PFD t f ∑ S n<br />

und im Ergebnis- Vektor PFD speichern<br />

0 0 0 0 0 0 0<br />

Anz – 1<br />

0 0 0 0 0 0 0<br />

P k,k f 1 – ∑ P k,r<br />

r = 0<br />

Die Matrix Rev beschreibt die Übergänge bei der Revision<br />

Rev :=<br />

0 0 0 0 0 0 0<br />

Übergangsmatrix für die<br />

0 0 1 0 0 0 0<br />

Revision def<strong>in</strong>ieren.<br />

0 0 0 0 0 0 0<br />

(Zusätzlich zum normalen<br />

0 0 0 0 0 0 0<br />

Rev := P f Rev<br />

Prooftest f<strong>in</strong>det noch<br />

0 0 0 0 0 1 0<br />

for k ∈ 0.. Anz – 1<br />

der Übergang von Zustand<br />

0 0 0 0 0 0 0<br />

Anz – 1 Diagonalelemente berechnen<br />

6 <strong>in</strong> den Zustand 2 statt)<br />

0 0 1 0 0 0 0<br />

P und <strong>in</strong> die Matrix e<strong>in</strong>fügen.<br />

k,k f 1 – ∑ P k,r<br />

r = 0<br />

Markov-Kette mithilfe der Chapman-Kolmogorov-Gleichung berechnen<br />

Startvektor def<strong>in</strong>ieren (Erstes Element ist 1, alle anderen Elemente s<strong>in</strong>d 0)<br />

s := 0.. Anz − 1<br />

Ergebnisvektor def<strong>in</strong>ieren, <strong>in</strong>dem das letzte Element<br />

S s := 0<br />

Null gesetzt wird.<br />

S 0 := 1<br />

(Alle anderen Elemente werden dann ebenfalls Null)<br />

PFD MT := 0<br />

PFD := for t ∈ 1.. MT<br />

S f P(t) T х S if mod(t, T 1 ) ≠ 0<br />

Normalen Zeitschritt berechnen<br />

S f Proof T х S if mod(t, T 1 ) = 0 mod(t, T Rev ) ≠ 0<br />

Prooftest (ohne Revision)<br />

S f Rev T х S if mod(t, T Rev ) = 0<br />

Revision<br />

n = Anz–Danger<br />

Darstellung der zeitabhängigen PFD(t)<br />

PFD avg := Mittelwert (PFD)<br />

PFD avg := 2.52 х 10 −3<br />

BILD 3<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012<br />

45


Hauptbeitrag<br />

an die neue Situation angepasst und die Rechnung „auf<br />

Knopfdruck“ erneut durchgeführt werden.<br />

Das Beispiel wurde mit Mathcad 14 erstellt. Auf e<strong>in</strong>em<br />

Laptop mit Intel T7300 Prozessor (2 GHz) beträgt<br />

die Rechenzeit mit den angegebenen Parametern zirka<br />

40 Sekunden.<br />

Fazit<br />

Die Berechnung der PFD mithilfe e<strong>in</strong>es Markov-Modells<br />

stößt immer dann an Grenzen, wenn die Übergangswahrsche<strong>in</strong>lichkeiten<br />

zeitveränderlich s<strong>in</strong>d. Dies<br />

ist beispielsweise dann der Fall, wenn zu bestimmten<br />

Zeitpunkten Prüf- beziehungsweise Wartungsarbeiten<br />

durchgeführt werden oder die Ausfallraten über der<br />

Zeit nicht konstant s<strong>in</strong>d. Für den erstgenannten Fall<br />

wird <strong>in</strong> der neuen Ausgabe der EN 61508, Teil 6 e<strong>in</strong><br />

Lösungsvorschlag <strong>in</strong> Form e<strong>in</strong>es Mehrphasen-Markov-<br />

Modells vorgestellt. Hierbei wird zu den besagten Zeitpunkten<br />

auf e<strong>in</strong>e andere Wahrsche<strong>in</strong>lichkeitsmatrix<br />

„umgeschaltet“, um zum Beispiel den Effekt der regelmäßigen<br />

Wiederholungsprüfung bei der PFD-Berechnung<br />

korrekt zu berücksichtigen. Ändern sich die Ausfallraten<br />

kont<strong>in</strong>uierlich (wie zum Beispiel bei verschleißbehafteten<br />

Elementen), kann dies nicht durch<br />

Mehrphasen-Markov-Modelle modelliert werden. Vielmehr<br />

erfordert dies e<strong>in</strong>e Erweiterung der Methode,<br />

sodass die e<strong>in</strong>zelnen Elemente der Wahrsche<strong>in</strong>lichkeitsmatrix<br />

selbst zeitabhängige Funktionen darstellen.<br />

In beiden Fällen (Mehrphasen-Markov-Modelle<br />

und zeitabhängige Übergangswahrsche<strong>in</strong>lichkeiten)<br />

stoßen proprietäre Programme zur Markov-Modellierung<br />

an ihre Grenzen.<br />

Universelle Mathematik-Programme wie Mathcad bieten<br />

die Funktionalität und Flexibilität, um Mehrphasen-<br />

Markov-Modelle mit zeitabhängigen Übergangswahrsche<strong>in</strong>lichkeiten<br />

zu beschreiben und zu berechnen. Der<br />

Bedienungskomfort und die Funktionalität heutiger<br />

Mathematik-Programme s<strong>in</strong>d so weit fortgeschritten,<br />

dass die Implementierung e<strong>in</strong>es Modells sowie des dazugehörigen<br />

Lösungsalgorithmus ohne nennenswerte<br />

E<strong>in</strong>arbeitung möglich ist.<br />

Manuskripte<strong>in</strong>gang<br />

13.03.2012<br />

Im Peer-Review-Verfahren begutachtet<br />

Autor<br />

Dr.-Ing. Andreas<br />

Hildebrandt (geb. 1959)<br />

machte e<strong>in</strong>e Ausbildung<br />

zum Informationselektroniker<br />

bei der BASF AG,<br />

Ludwigshafen. Studium<br />

der Elektrotechnik mit<br />

anschließender Promotion<br />

am Lehrstuhl für Mikroelektronik<br />

an der TU Kaiserslautern.<br />

Seit 1996 Mitarbeiter bei der Pepperl+Fuchs<br />

GmbH, Mannheim, als Entwicklungs<strong>in</strong>genieur,<br />

später als Leiter des Prüflabors.<br />

Seit 2006 leitet er die Gruppe „Schulung<br />

und Gremienarbeit“. Vorsitzender der ZVEI-<br />

Arbeitsgruppe „EMV“, Mitarbeit bei DKE<br />

K 767.0.4, DKE GK 914, sowie dem FA 6.13<br />

der Gesellschaft Mess- und Automatisierungstechnik<br />

(GMA) des VDI/VDE. Hauptarbeitsgebiete:<br />

Explosionsschutz, funktionale<br />

Sicherheit, EMV und Feldbus-Systeme.<br />

Pepperl+Fuchs GmbH,<br />

Lilienthalstr. 200,<br />

D-68307 Mannheim,<br />

Tel. +49 (0) 621 776 14 54,<br />

E-Mail: ahildebrandt@de.pepperl-fuchs.com<br />

Referenzen<br />

[1] Hildebrandt, A.: SIL-Bewertung von Mechanik,<br />

<strong>atp</strong> <strong>edition</strong> – Automatisierungstechnische Praxis<br />

53(1-2), 2011<br />

[2] Pukite, J. und Pukite, P.: Model<strong>in</strong>g für Reliability<br />

Analysis, IEEE Press<br />

[3] Trölß, J.: Angewandte Mathematik mit Mathcad,<br />

Band 1 – 4, Spr<strong>in</strong>ger Verlag<br />

[4] EN 61508 Teil 6: Edition 2: Funktionale Sicherheit<br />

sicherheitsbezogener elektrischer/elektronischer/<br />

programmierbarer elektronischer Systeme,<br />

Teil 6: Anwendungsrichtl<strong>in</strong>ie für IEC 61508-2 und<br />

IEC 61508-3, Februar 2011<br />

[5] EN 61511, Teil 1 - 3: Funktionale Sicherheit – Sicherheitstechnische<br />

Systeme für die Prozess<strong>in</strong>dustrie,<br />

Mai 2005<br />

[6] VDI/VDE 2180, Blatt 1 - 5: Sicherung von Anlagen der<br />

Verfahrenstechnik mit Mitteln der Prozessleittechnik<br />

(PLT), 2009<br />

46<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


Herausforderung<br />

Automatisierungstechnik<br />

Mit dem <strong>atp</strong>-award werden zwei Autoren der <strong>atp</strong> <strong>edition</strong><br />

für hervorragende Beiträge ausgezeichnet. Ziel dieser<br />

Initiative ist es, Wissenschaftler und Praktiker der<br />

Automatisierungstechnik anzuregen, ihre Ergebnisse<br />

und Erfahrungen <strong>in</strong> Veröffentlichungen zu fassen und<br />

die Wissenstransparenz <strong>in</strong> der Automatisierungstechnik<br />

zu fördern.<br />

Teilnehmen kann jeder Autor der zum Zeitpunkt<br />

der Veröffentlichung nicht älter als 35 Jahre ist. Nach<br />

Veröffentlichung e<strong>in</strong>es Beitrags ist der Autor, wenn er<br />

die Bed<strong>in</strong>gung erfüllt, automatisch im Pool. Die Auswahl<br />

des Gew<strong>in</strong>ners übernimmt die <strong>atp</strong>-Fachredaktion.<br />

Derjenige Autor, der im Autorenteam der jüngste ist,<br />

erhält stellvertretend für alle Autoren die Auszeichnung.<br />

Der Preis wird <strong>in</strong> zwei Kategorien ausgelobt:<br />

Industrie und Hochschule. Die Kategorien ermittlung<br />

ergibt sich aus der <strong>in</strong> dem Beitrag angegebenen Adresse<br />

des jüngsten Autors.<br />

Veröffentlichungen – Beitrag zum Wissenspool<br />

im Fachgebiet Automatisierungstechnik<br />

Die Entwicklung e<strong>in</strong>es Wissensgebietes erfolgt durch<br />

e<strong>in</strong>en kooperativen Prozess zwischen wissenschaftlicher<br />

Grundlagenforschung, Konzept- und Lösungsentwicklung<br />

und Anwendung <strong>in</strong> der Praxis. E<strong>in</strong> solcher<br />

Prozess bedarf e<strong>in</strong>er geme<strong>in</strong>samen Informationsplattform.<br />

Veröffentlichungen s<strong>in</strong>d die essentielle Basis<br />

e<strong>in</strong>es solchen Informationspools.<br />

Der <strong>atp</strong>-award fördert den wissenschaftlichen Austausch<br />

im dynamischen Feld der Automationstechnik.<br />

Nachwuchs<strong>in</strong>genieure sollen gezielt ihre Forschungen<br />

präsentieren können und so leichter den Zugang zur<br />

Community erhalten. Der Preis ist mit e<strong>in</strong>er Prämie<br />

von jeweils 2000€ dotiert.<br />

Die Auswahl erfolgt <strong>in</strong> zwei Stufen:<br />

Voraussetzung für die Teilnahme ist die Veröffentlichung<br />

des Beitrags <strong>in</strong> der <strong>atp</strong> <strong>edition</strong>. Jeder Aufsatz,<br />

der als Hauptbeitrag für die <strong>atp</strong> <strong>edition</strong> e<strong>in</strong>gereicht<br />

wird, durchläuft das Peer-Review-Verfahren. Die<br />

letzte Entscheidung zur Veröffentlichung liegt beim<br />

Chefredakteur. Wird e<strong>in</strong> Beitrag veröffentlicht, kommt<br />

er automatisch <strong>in</strong> den Pool der <strong>atp</strong>-award-Bewerber,<br />

vorausgesetzt e<strong>in</strong>er der Autoren ist zum Zeitpunkt<br />

der Veröffentlichung nicht älter als 35 Jahre. Ausgezeichnet<br />

wird der jüngste Autor stellvertretend für alle<br />

Autoren der Gruppe. E<strong>in</strong>e Jury aus Vertretern der <strong>atp</strong>-<br />

Fachredaktion und des -Beirats ermittelt schließlich<br />

den Gew<strong>in</strong>ner <strong>in</strong> den jeweiligen Kategorien Hochschule<br />

und Industrie. Der Rechtsweg ist ausgeschlossen.<br />

Beiträge richten Sie bitte an:<br />

Oldenbourg Industrieverlag GmbH<br />

Herrn Prof. Leon Urbas<br />

Chefredakteur <strong>atp</strong> <strong>edition</strong> / automatisieren! by <strong>atp</strong><br />

Rosenheimer Straße 145<br />

81761 München<br />

Tel. +49 (0) 89 45051 418<br />

E-Mail: urbas@oiv.de<br />

Beachten Sie die Autorenh<strong>in</strong>weise der <strong>atp</strong> <strong>edition</strong> für<br />

Hauptbeiträge unter folgendem L<strong>in</strong>k:<br />

http://www.<strong>atp</strong>-onl<strong>in</strong>e.de<br />

Bitte senden Sie Ihre Beiträge an:<br />

urbas@oiv.de<br />

Vom Wettbewerb ausgeschlossen s<strong>in</strong>d Mitarbeiter des Oldenbourg Industrieverlags. Wird e<strong>in</strong> Beitrag von mehreren Autoren e<strong>in</strong>gereicht, gelten die Bed<strong>in</strong>gungen für den Erstautor. Der Preis<br />

als ideeller Wert geht <strong>in</strong> diesem Fall an die gesamte Autorengruppe, die Dotierung geht jedoch exklusiv an den jüngsten Autor. Grundlage der Teilnahme am Wettbewerb ist die E<strong>in</strong>sendung<br />

e<strong>in</strong>es Hauptaufsatz-Manuskriptes an die <strong>atp</strong>-Chefredaktion.<br />

www.<strong>atp</strong>-onl<strong>in</strong>e.de


hauptbeitrag<br />

Komplexe<br />

PLT-Schutze<strong>in</strong>richtungen<br />

Entwicklung, Umsetzung und Instandhaltung<br />

Die Anwendung komplexer Schutzfunktionen wird durch Standards wie IEC 61511 abgedeckt.<br />

Wesentliche Voraussetzungen s<strong>in</strong>d e<strong>in</strong>e vollständige Spezifikation und klar<br />

def<strong>in</strong>ierte Entwicklungs- und Prüfprozesse. Jedoch s<strong>in</strong>d die <strong>in</strong> IEC 61511 genannten Anforderungen<br />

<strong>in</strong> e<strong>in</strong>igen Teilbereichen nicht ausreichend, und das E<strong>in</strong>beziehen von zusätzlichen<br />

Standards, zum Beispiel IEC 61508, ist notwendig. Der Beitrag beschreibt e<strong>in</strong> Vorgehen,<br />

das den Besonderheiten von komplexen Schutze<strong>in</strong>richtungen <strong>in</strong> der Prozess<strong>in</strong>dustrie<br />

Rechnung trägt.<br />

SCHLAGWÖRTER Komplexe Schutzfunktionen / V-Modell / IEC 61511 / IEC 61508<br />

Complex E&I-Safety Functions –<br />

Development, Implementation and Ma<strong>in</strong>tenance<br />

The application of complex safety functions is covered by established standards like<br />

IEC 61511. Significant requirements <strong>in</strong>clude a comprehensive specification and a def<strong>in</strong>ed<br />

development and verification process. However, <strong>in</strong> some parts the requirements of<br />

IEC 61511 are not sufficient and the <strong>in</strong>tegration of additional standards, for example<br />

IEC 61508, is necessary. This article describes a procedure which takes the characteristics<br />

of complex safety functions <strong>in</strong>to account.<br />

KEYWORDS Complex based safety functions / V-Model / IEC 61511 / IEC 61508<br />

48<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


Susann Haase, Dirk Hablawetz, Thomas Hauff, Michael Krauß, Felix Lenhart, BASF<br />

Verfahrenstechnische Prozesse werden kont<strong>in</strong>uierlich<br />

weiterentwickelt und führen zu e<strong>in</strong>er<br />

besseren Produktqualität und höheren Anlagenausbeute.<br />

In den vergangenen Jahren wurden<br />

leistungsfähige sicherheitsgerichtete speicherprogrammierbare<br />

Steuerungen (SSPS) entwickelt,<br />

mit denen auch komplexe Schutzfunktionen als Onl<strong>in</strong>e-<br />

Realisierung e<strong>in</strong>gesetzt werden können. Die technischen<br />

Weiterentwicklungen der Hard- und Software ermöglichen<br />

dabei neue Lösungen, vergleichbar mit früher nicht<br />

realisierbaren elektronischen Stabilitätsprogrammen <strong>in</strong><br />

Kraftfahrzeugen.<br />

Komplexe Schutzsysteme s<strong>in</strong>d gekennzeichnet durch<br />

e<strong>in</strong>en hohen Anteil an verfahrenstechnischen Aspekten<br />

<strong>in</strong> der Spezifikation. Oft ist es nicht möglich, die e<strong>in</strong>zelnen<br />

sicherheitstechnischen Funktionen direkt auf der<br />

prozessleittechnischen Ebene zu def<strong>in</strong>ieren, wie das bei<br />

e<strong>in</strong>fachen Schutzfunktionen, zum Beispiel Temperatur-<br />

Maximum-Abschaltungen, möglich ist. Komplexität<br />

kann dabei durch komplexe Produktionsabläufe oder<br />

aufwendige mathematische Modelle zur Berechnung von<br />

sicherheitsrelevanten Größen beziehungsweise deren<br />

Wechselwirkung gegeben se<strong>in</strong>. Die Ermittlung nicht direkt<br />

messbarer Größen kann e<strong>in</strong> numerisches Lösungsverfahren<br />

benötigen, das nur <strong>in</strong> e<strong>in</strong>er höheren Programmiersprache<br />

realisiert werden kann. Unabhängig von der<br />

Art des Lösungsverfahrens oder dessen Umsetzung werden<br />

für komplexe PLT-Schutze<strong>in</strong>richtungen e<strong>in</strong>e den<br />

gesamten Sicherheitslebenszyklus umfassende Methodik<br />

und <strong>in</strong>sbesondere klare organisatorische Prozesse, Rollen<br />

und Verantwortlichkeiten benötigt.<br />

Überall dort, wo es nicht mehr möglich ist, die Komplexität<br />

der Applikation mit den Mitteln der IEC 61511 [1]<br />

abzudecken, ist es möglich, methodische Anleihen von<br />

anderen sektorspezifischen Sicherheitsstandards zu nutzen,<br />

wie zum Beispiel die ISO 26262 für die Automobiltechnik.<br />

Der oft bessere Weg ist der Rückgriff auf den<br />

sicherheitstechnischen Basisstandard IEC 61508 [2], was<br />

jedoch mit überproportionalem Aufwand auf die spezifische<br />

Entwicklung von Speziallösungen assoziiert wird.<br />

Allerd<strong>in</strong>gs zeigt e<strong>in</strong> genauerer Blick auf den Anhang G<br />

der IEC 61508 Teil 3, welcher Komplexitätsgrad für die<br />

erforderliche Sicherheits<strong>in</strong>tegrität def<strong>in</strong>iert werden<br />

muss, (Bild 1) und daraus abgeleitet, welche notwendigen<br />

Maßnahmen beachtet werden müssen. Die Komplexitätskategorie<br />

G4 ist <strong>in</strong> vielen Fällen für komplexe Schutzfunktionen<br />

ausreichend und damit aufwandsreduziert<br />

gegenüber G7.<br />

Basierend auf der IEC 61508-3 wird <strong>in</strong> diesem Beitrag<br />

e<strong>in</strong> Rahmen für den Entwicklungs- und Umsetzungsprozess<br />

von funktional und steuerungstechnisch komplexen<br />

Schutze<strong>in</strong>richtungen im verfahrenstechnischen Umfeld<br />

beschrieben. Der Schwerpunkt liegt dabei auf der Entwicklung<br />

und Verifikation der Applikationssoftware im<br />

Kontext e<strong>in</strong>es geeigneten Gesamtkonzepts.<br />

Im Rahmen der <strong>in</strong> den zitierten Normen genannten<br />

Anforderungen an Methodik, Prozesse und Verantwortlichkeiten<br />

s<strong>in</strong>d <strong>in</strong>sbesondere folgende Aspekte <strong>in</strong> e<strong>in</strong>em<br />

Gesamtkonzept zu beachten:<br />

Spezifikation der Anforderungen an die sicherheitstechnische<br />

Anwendung,<br />

Berücksichtigung von speziellen und spezifischen<br />

Betriebsarten,<br />

erlaubte Sprachenteilmengen für die Realisierung<br />

dieser Anwendung (Sprache<strong>in</strong>schränkungen),<br />

Entwurfsmethoden zur Komb<strong>in</strong>ation der<br />

Sprachen teilmengen (Codierrichtl<strong>in</strong>ien),<br />

Spezifikation der E<strong>in</strong>gabeparameter für die<br />

Anwendung,<br />

Rahmenkriterien für die Verifikation, die unter<br />

anderem die Komb<strong>in</strong>ationen möglicher Systemzustände<br />

abdecken,<br />

Validierung aller Komb<strong>in</strong>ationen der E<strong>in</strong>gabeparameter,<br />

notwendige Dokumentation mit möglichst allgeme<strong>in</strong><br />

verständlicher Darstellung.<br />

Diese Vorgehensweise für die Implementierung von<br />

Schutzfunktionen wird auf komplexe Schutzfunktionen<br />

mit e<strong>in</strong>em unterlagerten chemisch-physikalischen Modell<br />

angewendet. Die Bereiche Spezifikation, Dokumentations-<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012<br />

49


Hauptbeitrag<br />

und Validierungskonzept sowie Softwareverifizierung<br />

werden hierbei besonders betont. Projektspezifisch kann<br />

die Gewichtung der dargestellten Aspekte variieren. Insbesondere<br />

werden auch die Vorteile der Komb<strong>in</strong>ation der<br />

Sicherheitssteuerungen Himax mit der Realisierungsplattform<br />

SPHINX [3] zur Nutzung der Programmiersprache C<br />

diskutiert, durch welche die Erfüllung von Anforderungen<br />

der IEC 61508-3 erheblich erleichtert wird.<br />

Ziel des Artikels ist die Darstellung e<strong>in</strong>es möglichen<br />

Vorgehensmodells aus der Praxis zur Realisierung komplexer<br />

Schutze<strong>in</strong>richtungen <strong>in</strong> der Prozess<strong>in</strong>dustrie für<br />

alle im Sicherheitslebenszyklus beteiligten Personen und<br />

Organisationen. Lösungen <strong>in</strong> der Prozess<strong>in</strong>dustrie s<strong>in</strong>d<br />

überwiegend Unikate beziehungsweise haben maximal<br />

Kle<strong>in</strong>seriencharakter. Es besteht daher e<strong>in</strong> Bedarf an<br />

Vorgehensweisen und Realisierungsplattformen, die ger<strong>in</strong>gen<br />

Anwendungszahlen gerecht werden, aber dennoch<br />

auf effiziente und effektive Weise den gesamten<br />

Sicherheitslebenszyklus abdecken. E<strong>in</strong> solcher Ansatz<br />

wird hier dargestellt.<br />

1. Implementierung komplexer Schutzfunktionen<br />

Sicherheit ist das Resultat angemessener Qualitätsprozesse,<br />

die mit e<strong>in</strong>er Spezifikation beg<strong>in</strong>nen. Aus dieser<br />

Sicht s<strong>in</strong>d die IEC 61511 und die IEC 61508 <strong>in</strong>haltlich<br />

ähnlich zu Normen für Qualitätssicherung und Anwendungen<br />

im validierungspflichtigen Umfeld, zum Beispiel<br />

GMP (Good Manufactur<strong>in</strong>g Practice)-Richtl<strong>in</strong>ien der<br />

Pharmaproduktion [4-7]. Geme<strong>in</strong>same Elemente dieser<br />

Standards und Methoden s<strong>in</strong>d:<br />

Es müssen klare Prozesse für Spezifikation, Entwicklung,<br />

Implementierung, Verifizierung, Validierung,<br />

Dokumentation und Betrieb existieren.<br />

Kompetenzen und Verantwortlichkeiten müssen<br />

e<strong>in</strong>deutig def<strong>in</strong>iert se<strong>in</strong>.<br />

Es müssen verb<strong>in</strong>dliche Schnittstellen für die Kooperation<br />

zwischen verschiedenen beteiligten E<strong>in</strong>heiten<br />

existieren.<br />

Die Dokumentation muss problemspezifisch zugeschnitten<br />

und zielgruppenorientiert hierarchisch<br />

organisiert se<strong>in</strong> (V-Modell [8]) und muss nachvollziehbare<br />

Aussagen über Annahmen, Rechtfertigungen<br />

und E<strong>in</strong>schränkungen machen.<br />

Die Rückverfolgbarkeit der Anforderungen, Implementierungs-<br />

und Validierungsdetails muss gegeben<br />

se<strong>in</strong>.<br />

Bei der technischen Realisierung von komplexen<br />

Schutzsystemen s<strong>in</strong>d meist zahlreiche fachlich spezialisierte<br />

E<strong>in</strong>heiten beteiligt, sodass die Organisation<br />

äußerst anspruchsvoll ist. Das betrifft beispielsweise<br />

die Erarbeitung der chemisch-physikalischen Zusammenhänge<br />

und die Entwicklung e<strong>in</strong>es zugehörigen,<br />

onl<strong>in</strong>efähigen (das heißt, <strong>in</strong> der SSPS realisierbaren)<br />

Algorithmus. Auch die Ausarbeitung von Verifikations-<br />

und Validierungsmaßnahmen sowie die Erstellung<br />

von Betriebsanweisungen werden typischerweise<br />

von Personen aus verschiedenen Organisationen übernommen.<br />

Die Wechselwirkungen zwischen diesen<br />

Schritten s<strong>in</strong>d zu beachten und erfordern e<strong>in</strong>e <strong>in</strong>tensive<br />

Kooperation und Vernetzung der beteiligten Fache<strong>in</strong>heiten<br />

unter e<strong>in</strong>em Koord<strong>in</strong>ator, welcher das komplette<br />

Sicherheitskonzept detailliert kennt, zum Beispiel<br />

dem Verfahrensgeber. Dabei muss <strong>in</strong>sbesondere<br />

die Spezifikation des Schutzsystems als <strong>in</strong>tegraler Teil<br />

des Produktionsverfahrens begriffen werden. Bei der<br />

Organisation ist zu beachten, dass im sicherheitstechnischen<br />

Umfeld all diese Schritte im 4-Augen-Pr<strong>in</strong>zip<br />

verifiziert werden sollten. Zur Def<strong>in</strong>ition und gegenseitigen<br />

Abgrenzung von Entwicklungsschritten und<br />

Verantwortlichkeiten kann zweckmäßigerweise e<strong>in</strong>e<br />

RACI-Matrix verwendet [9] werden. In dieser wird der<br />

gesamte Lebenszyklus beachtet (<strong>in</strong>klusive Management<br />

of Change, bei komplexen Systemen <strong>in</strong>sbesondere das<br />

Know-how-Management).<br />

In der Programmierung muss die höhere Komplexität,<br />

welche durch numerische Lösungsverfahren hervorgerufen<br />

wird, berücksichtigt werden. Die IEC 61511 konzentriert<br />

sich bei der Umsetzung von Sicherheitsfunktionen<br />

maximal auf Programmiersprachen mit e<strong>in</strong>geschränktem<br />

Sprachumfang. Komplexe Sicherheitsfunktionen<br />

benötigen oft e<strong>in</strong>e Programmiersprache mit e<strong>in</strong>em<br />

höheren Funktionsumfang als zum Beispiel Structured<br />

Text (ST). Diese stehen jedoch außerhalb des Fokus der<br />

IEC 61511. Die IEC 61511 bezieht sich spezifisch auf den<br />

Sektor der Prozess<strong>in</strong>dustrie, unterstützt den Anwender<br />

jedoch wenig bei der Wahl geeigneter Verfahren für Umsetzung<br />

und Verifikation komplexer Funktionen. Die<br />

IEC 61508 h<strong>in</strong>gegen hat e<strong>in</strong>en eher generischen Ansatz<br />

und bietet e<strong>in</strong>e Auswahl an Methoden und Verfahren,<br />

aus denen der Anwender die für se<strong>in</strong>e Applikation passenden<br />

heraussuchen kann.<br />

1.1 Dokumentation im Entwicklungsprozess<br />

Die Dokumentation über das V-Modell sollte, wie bereits<br />

erwähnt, vollständig und rückverfolgbar se<strong>in</strong>. Hier s<strong>in</strong>d<br />

drei wesentliche Aspekte zu beachten:<br />

Physikalisch-chemische Modellgleichungen bilden<br />

die Realität nur unvollkommen ab. Die Annahmen<br />

und Voraussetzungen für die Gültigkeit und Anwendbarkeit<br />

dieser Gleichungen müssen dokumentiert<br />

und begründet werden.<br />

Jede im V-Modell tiefer liegende Anforderung an die<br />

Implementierung und jeder Aspekt der Realisierung<br />

muss auf Anforderungen der Spezifikation zurückgeführt<br />

werden können.<br />

Übergeordnete Dokumente müssen für jede Produktionsanlage<br />

bezüglich des mathematischen und ablauforientierten<br />

Teils <strong>in</strong> den projektspezifischen<br />

Dokumenten konkretisiert werden.<br />

E<strong>in</strong>e geeignete Dokumentenstruktur soll <strong>in</strong>sbesondere<br />

def<strong>in</strong>ierte Schnittstellen zwischen den beteiligten E<strong>in</strong>heiten<br />

sicherstellen. Die Dokumentationsstruktur muss<br />

zu den Rollen und Verantwortungen (RACI-Matrix [9])<br />

passen.<br />

50<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


BILD 1: Freiheitsgrad<br />

gegen Komplexität<br />

bei datengesteuerten<br />

Systemen<br />

SIS Realisierungsphase SIS Analysephase Sicherheitskonzept<br />

Review<br />

Spezifikation des<br />

Sicherheitskonzeptes<br />

Review<br />

Modellentwicklung<br />

Entwurfsprüfung<br />

Generisch<br />

Gefährdungs- und<br />

Riskoanalyse<br />

Projektspezifisch (SSPS)<br />

Prüfungen<br />

Zuordnung der<br />

Schutzmaßnahmen<br />

Spezifikation der PLT -<br />

Schutze<strong>in</strong>richtungen<br />

Verfahrenstechnisch e<br />

Validierung<br />

Planung, Projektierung,<br />

Validierungsplanung<br />

S IS Betriebsphase<br />

Funktionale<br />

Validierung<br />

Implementierung und<br />

Inbetriebnahme<br />

Inbetriebnahmeprüfung<br />

Werksabnahme,<br />

Softwareprüfung<br />

Modifikation<br />

Betrieb und Wartung<br />

Wiederholungsprüfung<br />

BILD 2: Vere<strong>in</strong>fachte<br />

Darstellung des V-Modells<br />

für e<strong>in</strong>e komplexe<br />

Schutze<strong>in</strong>richtung<br />

1.2 Prozesse im V-Modell<br />

Im V-Modell (Bild 2) ist e<strong>in</strong> Realisierungsprozess für<br />

e<strong>in</strong> Schutzsystem skizziert. Komplexe Schutzsysteme<br />

s<strong>in</strong>d als Verfahrensbestandteil zu betrachten. Solche<br />

Verfahren werden <strong>in</strong> der Regel <strong>in</strong> mehreren Produktionsanlagen<br />

genutzt, sodass es s<strong>in</strong>nvoll ist, zwischen<br />

e<strong>in</strong>er generischen, das heißt projektübergreifenden allgeme<strong>in</strong>en<br />

Beschreibung, und e<strong>in</strong>er projektspezifischen<br />

Individualisierung zu unterscheiden. Bild 2 zeigt, welche<br />

Abschnitte des V-Modells generisch oder projektspezifisch<br />

s<strong>in</strong>d, oder jeweils sowohl generisch als<br />

auch projektspezifisch durchgeführt werden sollten.<br />

Die generische Implementierung dient als Referenzmodell<br />

für die methodisch und algorithmisch identische,<br />

projektspezifische Implementierung. Im generischen<br />

Teil des V-Modells werden die konkreten Methoden<br />

und Standards festgelegt, zum Beispiel die Aufteilung<br />

der Programm-Funktionen <strong>in</strong> e<strong>in</strong>zelne Module. Diese<br />

werden im projektspezifischen Teil verwendet. Mit<br />

diesem Ansatz lassen sich viele Forderungen der<br />

IEC 61508 bereits <strong>in</strong> der Entwicklungsphase der Onl<strong>in</strong>e-Implementierung<br />

erfüllen. In der Projektphase<br />

muss nur noch auf projektspezifische Aspekte wie die<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012<br />

51


Hauptbeitrag<br />

Anpassung der generischen Prozessabläufe an die jeweilige<br />

Anlage geachtet werden. Das Referenzmodell<br />

wird zur Prüfung der projektspezifischen Realisierung<br />

verwendet.<br />

Typischerweise wird e<strong>in</strong>e komplexe Funktion vor<br />

der Implementierung auf der SSPS auf e<strong>in</strong>em Entwicklungs-PC<br />

getestet. Wenn auf SSPS und Entwicklungs-<br />

PC dieselbe Programmiersprache verwendet werden<br />

kann, entstehen hierdurch mehrere Synergien. Implementierung<br />

und Verifikation vere<strong>in</strong>fachen sich besonders,<br />

wenn ausgehend von e<strong>in</strong>em Programm mithilfe<br />

zweier Compiler sowohl Code für den PC als auch für<br />

die SSPS erzeugt werden kann. Oft kann dann zusätzlicher<br />

Entwicklungsaufwand vermieden werden, um<br />

Algorithmen an Limitierungen, wie Speicher oder Rechenzeit,<br />

der Realisierungsplattform anzupassen.<br />

Im Zusammenhang mit komplexen Schutzfunktionen<br />

s<strong>in</strong>d e<strong>in</strong>ige Teilprozesse dieses V-Modells besonders<br />

relevant. So muss die Spezifikation vollständig<br />

se<strong>in</strong> und alle funktionalen Festlegungen abdecken.<br />

Auch die Schritte, Zustände und erlaubten Transitionen<br />

des Produktionsverfahrens müssen beschrieben<br />

se<strong>in</strong>. Die Dokumentation muss methodisch aufgebaut<br />

und leicht verständlich se<strong>in</strong>. Details der Implementierung<br />

müssen bis zur Spezifikation der verfahrenstechnischen<br />

Anforderungen rückverfolgbar se<strong>in</strong>. Das Validierungskonzept<br />

muss spezifisch an Fragestellung und<br />

Plattform adaptiert se<strong>in</strong>.<br />

2. Spezifikation der Sicherheitsfunktionen<br />

Die Spezifikation komplexer Schutzsysteme muss sich<br />

am Begriff der funktionalen Sicherheit (IEC 61511) orientieren.<br />

Funktionale Sicherheit umfasst den Teil der<br />

gesamten Betriebssicherheit, die von der korrekten Funktion<br />

e<strong>in</strong>es Systems abhängt.<br />

Aus der generischen Beschreibung muss erkennbar<br />

se<strong>in</strong>, wie e<strong>in</strong>e projektspezifische Umsetzung erfolgen<br />

soll. Fahrweisen, Betriebszustände, Reaktionsfortschritte<br />

und Rezeptphasen müssen daher Teil der Spezifikation<br />

se<strong>in</strong>. Die Spezifikation ist damit untrennbarer<br />

Bestandteil des Produktionsverfahrens. Das System<br />

muss geeignet se<strong>in</strong>, unabhängig von Anlagenzuständen,<br />

Nutzere<strong>in</strong>gaben, <strong>in</strong>duzierten oder <strong>in</strong>tr<strong>in</strong>sischen Fehlern<br />

selbstständig mit der erforderlichen Zuverlässigkeit<br />

e<strong>in</strong>en sicheren Zustand aufrechtzuerhalten. Das<br />

Ziel der funktionalen Sicherheit ist, mittels geeigneter<br />

technischer E<strong>in</strong>richtungen die vom System ausgehenden<br />

Gefahren und Risiken auf das erforderliche Niveau<br />

zu reduzieren.<br />

2.1 Vollständigkeit der Spezifikation<br />

Bei e<strong>in</strong>er Spezifikation kommt es auf Vollständigkeit<br />

an (Bild 3). Das bedeutet, dass alle Aussagen begründet<br />

und die verfahrenstechnischen Aspekte der<br />

Schutzfunktionen restlos geklärt se<strong>in</strong> sollen. Besonderer<br />

Wert soll <strong>in</strong> der Spezifikation daher auf das Zustandsdiagramm<br />

der Prozesszustände, auf die mathematischen<br />

Berechnungen und die Architektur des<br />

Systems gelegt werden. Die Interaktionen zwischen<br />

dem Bedienpersonal (zum Beispiel wechselnde Rezepte,<br />

die händische E<strong>in</strong>gaben <strong>in</strong> die Sicherheitssteuerung<br />

bed<strong>in</strong>gen) und funktionaler Sicherheit s<strong>in</strong>d zu<br />

beachten. Die Beschreibung des E<strong>in</strong>gangs- und Ausgangsverhaltens<br />

soll vollständig se<strong>in</strong>. Schutzsysteme<br />

s<strong>in</strong>d nicht nur durch die Reaktion auf vorhersehbare,<br />

sondern auch auf alle möglichen E<strong>in</strong>gangssignale gekennzeichnet.<br />

Daher ist festzulegen, welche Fehlersituationen<br />

auf welche Weise zu erkennen und wie sie<br />

abzufangen s<strong>in</strong>d.<br />

Die Spezifikation muss folgende verfahrenstechnische<br />

Punkte umfassen:<br />

Beschreibung der chemisch-physikalischen Gleichungen<br />

Beschreibung der sicherheitsrelevanten Funktionen<br />

Beschreibung der e<strong>in</strong>zuhaltenden Randbed<strong>in</strong>gungen<br />

Trennung zwischen sicherheitsrelevanten und nichtsicheren<br />

Funktionen und E<strong>in</strong>richtungen<br />

Abgrenzung der Sicherheitsfunktionen zu gegebenenfalls<br />

möglichen sicherheitsrelevanten organisatorischen<br />

Regelungen, zum Beispiel Anfahrüberbrückungen<br />

Verhalten <strong>in</strong> Sondersituationen (Fehlerbehebung,<br />

An- und Abfahren, Forcen, Hardware-Panel mit<br />

Schlüsselschaltern zur Anfahrüberbrückung)<br />

Kopplung zum PLS und Betriebsdaten<strong>in</strong>formationssystem<br />

Bild 3: E<strong>in</strong>e gute Spezifikation setzt sich aus<br />

methodischen und <strong>in</strong>haltlichen Aspekten zusammen.<br />

52<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


2.2 Def<strong>in</strong>ition e<strong>in</strong>es Zustandsgraphen<br />

Häufig läuft die Fahr- oder Betriebsweise e<strong>in</strong>es Prozesses<br />

diskont<strong>in</strong>uierlich ab. Um ungewollte Zustände und<br />

Zustandsübergänge zu vermeiden, müssen zunächst<br />

alle Zustände und gewollten Zustandsübergänge (Transitionen)<br />

def<strong>in</strong>iert se<strong>in</strong>. Dazu empfiehlt sich e<strong>in</strong>e Struktur<br />

nach Bild 4. Zustandsübergänge, die nicht explizit<br />

def<strong>in</strong>iert und damit erlaubt s<strong>in</strong>d, s<strong>in</strong>d verboten. Die<br />

Logiken zur Weiterverarbeitung der Zustände s<strong>in</strong>d zustandsfrei<br />

und enthalten den jeweils aktiven Zustand<br />

als E<strong>in</strong>gangsvariable. Es ist s<strong>in</strong>nvoll, je programmtechnischem<br />

Durchlauf der Steuerung maximal e<strong>in</strong>en e<strong>in</strong>zigen<br />

Zustandsübergang zu erlauben. E<strong>in</strong>e Realisierung<br />

der Struktur nach Bild 4 erleichtert dann die Verifikation,<br />

denn alle steuerungstechnisch möglichen Zustände<br />

und Transitionen s<strong>in</strong>d unmittelbar erkennbar.<br />

Es kann erforderlich se<strong>in</strong>, diese Vorgehensweise zu kaskadieren,<br />

zum Beispiel können Logiken <strong>in</strong> Erweiterung zu<br />

diesen Ausführungen selbst wieder Zustandsgraphen enthalten.<br />

Solange sichergestellt wird, dass Zustandsgraphen<br />

nur auf unterlagerte Logiken wirken, ergibt sich damit e<strong>in</strong>e<br />

übersichtliche und leicht prüfbare Struktur [10].<br />

2.3 Numerisches Lösungsverfahren<br />

Die mathematischen Berechnungen <strong>in</strong> e<strong>in</strong>er Schutzfunktion<br />

s<strong>in</strong>d sehr anwendungsspezifisch und werden daher<br />

hier nicht thematisiert. Die Spezifikation soll jedoch<br />

zum<strong>in</strong>dest die geforderte Genauigkeit und Qualitätskriterien<br />

(zum Beispiel Konvergenz, Stabilität) des Lösungsverfahrens<br />

angeben. Außerdem dürfen die E<strong>in</strong>gangswerte<br />

nicht die (zu spezifizierenden) Voraussetzungen des<br />

Algorithmus verletzen. Die Konzeption der Lösungsverfahren<br />

erfolgt problemspezifisch.<br />

2.4 Architektur des Schutzsystems<br />

Die Anforderungen an die Architektur des Schutzsystems<br />

sollten <strong>in</strong> der generischen Spezifikation beschrieben<br />

werden. Ebenso sollte beschrieben werden, wie diese<br />

Spezifikation <strong>in</strong> e<strong>in</strong>e projektspezifische Spezifikation<br />

überführt werden soll. Der Übergang von Anforderungen<br />

zur Lösungsdokumentation ist zu gestalten. Der Abschnitt<br />

über die Architektur des Systems def<strong>in</strong>iert <strong>in</strong>sbesondere<br />

folgende Systemteile:<br />

Art der Datengew<strong>in</strong>nung (Sensorgruppen mit<br />

N-out-of-M-Schaltungen) mit Diagnose und<br />

Meldungskonzept<br />

Integration grundlegender Schutzfunktionen (zum<br />

Beispiel Rückstromverh<strong>in</strong>derung)<br />

Realisierung der Zustandsübergänge<br />

Durchführung der mathematischen Berechnungen<br />

Art der Systemreaktionen (Aktorgruppen mit<br />

N-out-of-M-Schaltungen)<br />

2.5 Sensitivitätsanalyse<br />

Bereits <strong>in</strong> der Spezifikationsphase sollte e<strong>in</strong>e Sensitivitätsanalyse<br />

durchgeführt werden, um sicherzustellen,<br />

Bild 4:<br />

Separierung von<br />

Zustandsbehandlung<br />

und Logik<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012<br />

53


Hauptbeitrag<br />

Bild 5: Prüfkonzept für<br />

komplexe modellbasierte<br />

Schutzfunktionen<br />

Sichere<br />

Schutzfunktionen<br />

Start<br />

Prozesssimulation<br />

Step = 0<br />

Z1<br />

Step< 10<br />

Mehrfachverwendung<br />

des<br />

C odes<br />

1. Prüfung des Codes<br />

auf dem PC<br />

2. Wiederholungsprüfung<br />

auf der Steuerung<br />

3. Bewährtheit durch<br />

Verwendung als<br />

Planungstool<br />

P rozes s abläufe<br />

1. E<strong>in</strong>facher<br />

Zustandsautomat<br />

2. Verbot von nicht<br />

s<strong>in</strong>nvollen Transitionen<br />

S oftwarevalidierung<br />

1. Erfüllung der IEC 61508 -3<br />

2. Hilfe durch<br />

Implementierungsplattform<br />

SPHINX<br />

ne<strong>in</strong><br />

ja<br />

Temperaturberechnung<br />

(monoton steigend)<br />

Volls tändige S pezifikation<br />

Z2<br />

ne<strong>in</strong><br />

Temperaturschwellwert<br />

überschritten?<br />

ja<br />

Z3<br />

Berechnungsvariante<br />

1<br />

Berechnungsvariante<br />

2<br />

Step = Step + 1<br />

Ende<br />

Z4<br />

Bild 7: Programmablaufplan<br />

Bild 6: Die wichtigsten Maßnahmen<br />

<strong>in</strong> der Programmvalidierung<br />

dass mit der geplanten Methode die geforderte Genauigkeit<br />

e<strong>in</strong>gehalten werden kann. Die Sensitivitätsanalyse<br />

ermittelt auf Basis von Daten über Messfehler oder Ungenauigkeiten<br />

von Materialparametern Aussagen über zu<br />

erwartende Fehlerbereiche. Liegen nur ger<strong>in</strong>ge Fehler vor,<br />

die zum Beispiel während des Betriebs kurzzeitig <strong>in</strong> den<br />

erlaubten Fehlerbereich führen, ist der Fehler anders zu<br />

bewerten als e<strong>in</strong>e Überschreitung des tatsächlichen Berstdrucks<br />

e<strong>in</strong>es Behälters. Die konkrete Umsetzung wird <strong>in</strong><br />

der projektspezifischen Spezifikation beschrieben.<br />

3. Prüfkonzept des Sicherheitssystems<br />

Die Verifizierung des Systems baut im Wesentlichen auf<br />

dem 4-Augen-Pr<strong>in</strong>zip auf. Verifizierung ist damit e<strong>in</strong><br />

kont<strong>in</strong>uierlicher Prozess, der parallel zum Entwicklungsprozess<br />

läuft, und ke<strong>in</strong>e punktuelle Bewertung. Das<br />

erfordert e<strong>in</strong>e nachvollziehbare Dokumentation und e<strong>in</strong>e<br />

leicht verständliche Implementierung, sodass die Prüfung<br />

so weit wie möglich unabhängig von den Entwicklern<br />

oder Spezialisten durchgeführt werden kann.<br />

E<strong>in</strong>e Säule im vorgestellten Konzept ist die Verwendung<br />

der Implementierungsplattform SPHINX [3] (Bild<br />

5). Diese Plattform unterstützt den Anwender bei der<br />

Erfüllung der IEC 61508, da aus e<strong>in</strong>er neutralen Beschreibung<br />

e<strong>in</strong> C-Programm mit e<strong>in</strong>geschränktem Sprachumfang<br />

und erfüllten Programmierrichtl<strong>in</strong>ien erzeugt wird.<br />

Dieses C-Programm kann sowohl auf C-fähigen SSPS als<br />

auch auf dem Entwicklungs-PC ausgeführt und getestet<br />

werden. Auch statische und dynamische Tests werden<br />

durchgeführt.<br />

54<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


Neben dieser Mehrfachverwendung des Codes s<strong>in</strong>d<br />

e<strong>in</strong>fache Prozessabläufe e<strong>in</strong>e wichtige Säule <strong>in</strong> der Erstellung<br />

sicherer Schutzfunktionen. Diese Prozessabläufe<br />

werden durch e<strong>in</strong>en Zustandsautomaten beschrieben,<br />

der möglichst wenig Zustände und Transitionen hat.<br />

Diese Prozesszustände sollten mit e<strong>in</strong>em Standardtool<br />

realisiert werden, das die Validierung vere<strong>in</strong>facht [10].<br />

Historische Anlagedaten, wenn sie aus dem Betrieb<br />

vergleichbarer Anlagen mit anderen Schutzkonzepten<br />

vorhanden s<strong>in</strong>d, bilden e<strong>in</strong>e gute Basis für den Test der<br />

Implementierung und Referenzimplementierung (Bild 2).<br />

Nach Startup e<strong>in</strong>es komplexen Schutzsystems können<br />

solche Daten auch zur Weiterentwicklung und Pflege der<br />

Schutzfunktion verwendet werden. Dabei ist es möglich,<br />

diese historischen Produktionsdaten künstlich so zu verändern,<br />

dass Reaktionen des Schutzsystems provoziert<br />

werden. Zusätzlich kann die Referenzimplementierung<br />

zu Planungs- und Analysezwecken verwendet werden,<br />

was die Bewährtheit und damit die Fehlerarmut fördert.<br />

Die Nutzung von C-Modulen <strong>in</strong> der SSPS unterstützt die<br />

Prüfung mit Referenzdaten, denn diese Module können<br />

unverändert auch auf dem PC ausgeführt werden.<br />

3.1 Programmiersprache und -richtl<strong>in</strong>ie<br />

E<strong>in</strong>e wesentliche Anforderung der IEC 61508 Teil 3 ist die<br />

Wahl e<strong>in</strong>er geeigneten Programmiersprache. IEC 61508<br />

Teil 3 unterscheidet zwischen Limited Variability Languages<br />

(LVL) und Full Variability Languages (FVL). Der Verifikationssaufwand<br />

für Programme mit e<strong>in</strong>er LVL ist<br />

wegen des ger<strong>in</strong>geren Fehlerpotenzials deutlich niedriger<br />

als für FVL. C als Sprache ist dafür e<strong>in</strong>e gute Wahl, wenn<br />

der Sprachumfang auf e<strong>in</strong>e LVL e<strong>in</strong>geschränkt wird. E<strong>in</strong>e<br />

drastische E<strong>in</strong>schränkung ist möglich und erlaubt die<br />

Realisierung e<strong>in</strong>er Plattform SPHINX [3]. Zusätzliche Anforderungen<br />

der IEC 61508 Teil 3, die von C nicht <strong>in</strong>härent<br />

erfüllt werden, werden durch SPHINX abgedeckt. Diese<br />

Plattform schränkt den Sprachumfang von C erheblich<br />

e<strong>in</strong>, der erzeugte Code erfüllt automatisiert geforderte Programmierrichtl<strong>in</strong>ien<br />

und unterstützt bei der Verifikation.<br />

Durch den hohen Verbreitungsgrad von C s<strong>in</strong>d unterschiedliche<br />

Compiler erhältlich, deren Ergebnisse gegene<strong>in</strong>ander<br />

abgeglichen werden können.<br />

3.2 Softwareverifikation<br />

Die Softwareverifikation (Bild 6) anhand der IEC 61508<br />

Teil 3 [2] hat hohe Anforderungen. Durch e<strong>in</strong>e LVL werden<br />

unüberschaubare Programmabläufe durch Sprünge<br />

und die Verwendung von Po<strong>in</strong>tern ausgeschlossen.<br />

Auch bei umfangreichen Programmen mit Schleifen<br />

und vielen Verschachtelungen von Abfragen müssen<br />

die korrekte Funktionalität und e<strong>in</strong> fehlerfreier Programmablauf<br />

sichergestellt werden können. Hierbei<br />

unterstützt SPHINX umfangreich, <strong>in</strong>dem das Tool drei<br />

Versionen C-Code erstellen kann:<br />

Onl<strong>in</strong>e-Version <strong>in</strong>klusive Tests zur Laufzeit<br />

(auf der SSPS)<br />

Offl<strong>in</strong>e-Version identisch zur Onl<strong>in</strong>e-Version<br />

(auf PC)<br />

Version für dynamische Tests (auf PC)<br />

Bei der Erstellung aller Codevarianten kommen statische<br />

Testverfahren zum E<strong>in</strong>satz, wie der Test auf Wohlgeformtheit<br />

und die Datenflussanomalieanalyse [11]. Das<br />

Programm kann an Betriebsdaten<strong>in</strong>formationssysteme<br />

(BDIS) angebunden werden und ermöglicht so Tests mit<br />

e<strong>in</strong>er Vielzahl an Prozessdaten. Die Onl<strong>in</strong>e- und Offl<strong>in</strong>e-<br />

Versionen enthalten Tests zur Laufzeit [3] und unterscheiden<br />

sich lediglich <strong>in</strong> der Fehlerausgabe, die entweder<br />

an die SSPS oder den PC angepasst ist.<br />

In der Version für dynamische Tests können zwei Arten<br />

von Testverfahren <strong>in</strong>tegriert werden:<br />

kontrollflussorientierte Tests; speziell der Zweigüberdeckungstest<br />

und Bed<strong>in</strong>gungsüberdeckungstest<br />

funktionsorientierte Tests; speziell der zustandsbasierte<br />

Test und die funktionale Äquivalenzklassenbildung<br />

Auf die Äquivalenzklassenbildung wird im Folgenden<br />

näher e<strong>in</strong>gegangen. Äquivalenzklassen können anhand<br />

von Zustandsabfolgen bestimmt werden. Diese Methodik<br />

wird von SPHINX unterstützt. In e<strong>in</strong>em Äquivalenzklassentest<br />

wird überprüft, ob für jede Äquivalenzklasse<br />

e<strong>in</strong> Testfall existiert und ob das Programm für<br />

die Testfälle die erwarteten Ergebnisse berechnet. Um<br />

Äquivalenzklassen anhand von Zustandsgraphen zu<br />

def<strong>in</strong>ieren, wird zunächst auf Grundlage des Programmablaufplans<br />

das Zustandsdiagramm erstellt. In diesem<br />

werden die wesentlichen Zustände des Programms berücksichtigt.<br />

E<strong>in</strong>e Äquivalenzklasse entspricht e<strong>in</strong>er<br />

möglichen Abfolge von Zuständen. Diese Methodik<br />

führt zu e<strong>in</strong>er überschaubaren Anzahl an Äquivalenzklassen.<br />

Im Beispiel (Bild 7) ergeben sich aus den vier<br />

gewählten Zuständen (Z1-Z4) elf verschiedene Zustandsabfolgen.<br />

Nach der Def<strong>in</strong>ition der Äquivalenzklassen ordnet<br />

Sph<strong>in</strong>x historische Daten vergleichbarer Anlagen oder<br />

durch Parametervariation erzeugte Daten automatisch<br />

der jeweiligen Klasse zu. Anschließend erfolgt e<strong>in</strong>e Gesamtauswertung,<br />

die anzeigt, welche Klassen überdeckt<br />

wurden. S<strong>in</strong>d nicht alle Klassen überdeckt, so werden<br />

die E<strong>in</strong>gangsdaten händisch geeignet überarbeitet oder<br />

die Relevanz der nicht überdeckten Klassen wird h<strong>in</strong>terfragt.<br />

S<strong>in</strong>d alle Klassen überdeckt, können aus den<br />

zugehörigen Daten repräsentative Testfälle ausgewählt<br />

werden. Sofern der Test auf dem PC erfolgt, werden von<br />

SPHINX die Testfälle und -ergebnisse zur Auswertung<br />

gespeichert. Die Resultate der SSPS können mit diesen<br />

Ergebnissen verglichen werden. Damit ist e<strong>in</strong>e effiziente<br />

Verifikation des SSPS-Programms möglich.<br />

Fazit und Ausblick<br />

Um komplexe Schutzkonzepte sicher und normgerecht<br />

umzusetzen, ist e<strong>in</strong> Gesamtkonzept mit geeigneten Me-<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012<br />

55


Hauptbeitrag<br />

Autoren<br />

Dipl.-Math. Susann Haase (geb. 1987) ist seit 2011 bei der<br />

BASF SE im Fachzentrum Automatisierungstechnik auf dem<br />

Arbeitsgebiet der funktionalen Sicherheit tätig. Themenschwerpunkt<br />

ist die Entwicklung und Anwendung e<strong>in</strong>es Implementierungs-<br />

und Prüfkonzepts für modellbasierte Schutzsysteme.<br />

BASF SE,<br />

D-67056 Ludwigshafen,<br />

Tel. 49 (0) 621 607 41 76, E-Mail: susann.haase@basf.com<br />

Dipl.-Ing. Dirk Hablawetz (geb. 1964) leitet <strong>in</strong> der BASF SE<br />

das Qualitätsmanagement der Anlagentechnik und leitet das<br />

europäische Center of Expertise PLT-Anlagensicherung und<br />

das globale Kompetenzteam der BASF-Gruppe für PLT-Sicherheitskonzepte.<br />

Er vertritt die BASF <strong>in</strong> nationalen und <strong>in</strong>ternationalen<br />

Arbeitskreisen auf dem Gebiet der funktionalen<br />

Sicherheit.<br />

BASF SE,<br />

D-67056 Ludwigshafen,<br />

Tel. 49 (0) 621 604 71 32, E-Mail:dirk.hablawetz@basf.com<br />

Dr.-Ing. Thomas Hauff (geb. 1960) ist im Fachzentrum<br />

Automatisierungstechnik der BASF SE auf dem Arbeitsgebiet<br />

der Prozessleittechnik tätig. Themengebiete s<strong>in</strong>d unter anderem<br />

Qualitätssicherung, technische Evaluierung und Consult<strong>in</strong>g<br />

für Automatisierungslösungen. Er ist Obmann des Namur<br />

AK 2.11.<br />

BASF SE,<br />

D-67056 Ludwigshafen,<br />

Tel. 49 (0) 621 602 03 26, E-Mail: thomas.hauff@basf.com<br />

Dr. rer. nat. Michael Krauß (geb. 1984) ist seit 2010 bei der<br />

BASF SE im Fachzentrum Automatisierungstechnik auf dem<br />

Gebiet der Prozessleittechnik tätig. Schwerpunkte s<strong>in</strong>d Projekte<br />

auf dem Gebiet der Leitsystemmigrationen, der Höherautomatisierung<br />

und modellbasierter Anwendungen.<br />

BASF SE,<br />

D-67056 Ludwigshafen,<br />

Tel. +49 (0) 621 604 66 94, E-Mail: michael.krauss@basf.com<br />

Felix Lenhart (geb. 1987) studiert Elektrotechnik (Dipl.)<br />

Automatisierungstechnik an der TU Kaiserslautern und ist<br />

aktuell bei BASF SE als Diplomand tätig. Im Fachzentrum<br />

Automatisierungstechnik bearbeitet er das Thema „Toolbasierte<br />

Verifikation von Applikationssoftware für Sicherheitssysteme“.<br />

BASF SE,<br />

D-67056 Ludwigshafen,<br />

Tel. 49 (0) 621 609 19 36, E-Mail: felix.lenhart@basf.com<br />

thoden und Verfahren notwendig. Insbesondere die<br />

Rollen und Verantwortlichkeiten sollten zu Beg<strong>in</strong>n geklärt<br />

werden. Basis s<strong>in</strong>d die erforderlichen Kompetenzen<br />

und Sicherstellung des 4-Augen-Pr<strong>in</strong>zips. E<strong>in</strong>e<br />

vollständige Spezifikation, <strong>in</strong> der alle verfahrenstechnischen<br />

Anforderungen rückverfolgbar und e<strong>in</strong>deutig<br />

s<strong>in</strong>d, ist unerlässlich für die Umsetzung von Schutzkonzepten.<br />

In Komb<strong>in</strong>ation mit e<strong>in</strong>er Implementierungsplattform<br />

wie SPHINX kann e<strong>in</strong>e effiziente Verifikation<br />

durchgeführt werden. Die Nutzung komplexer<br />

Schutzfunktionen <strong>in</strong> der chemischen Prozess<strong>in</strong>dustrie<br />

wird damit vere<strong>in</strong>facht.<br />

Manuskripte<strong>in</strong>gang<br />

23.03.2012<br />

Referenzen<br />

Im Peer-Review-Verfahren begutachtet<br />

[1] IEC 61511 EN: Functional safety - Safety <strong>in</strong>strumented<br />

systems for the process <strong>in</strong>dustry sector. December<br />

2003<br />

[2] IEC 61508 EN: Functional safety of electrical/<br />

electronic/programmable electronic safety related<br />

systems, April 2010<br />

[3] Haase, S.: Komplexe Schutzfunktionen mit SPHINX<br />

realisieren. <strong>atp</strong> <strong>edition</strong> – Automatisierungstechnische<br />

Praxis 54(1-2), S. 54-60, 2012<br />

[4] Chrissis, M. B., Konrad, M. und Shrum, S.: CMMI®<br />

- Guidel<strong>in</strong>es for Process Integration and Product<br />

Improvement. Pearson Education, 2003<br />

[5] El Emam, K., Melo, W., und Drou<strong>in</strong>, J.-N.: SPICE: The<br />

Theory and Practice of Software Process Improvement<br />

and Capability Determ<strong>in</strong>ation. IEEE Computer Society<br />

Press, 1997<br />

[6] TÜV Süddeutschland: E<strong>in</strong>führung zur IEC61508. TÜV<br />

Automotive GmbH, 2003<br />

[7] W<strong>in</strong>ne, O.: IEC 61508-Teil 3; Sicherheitsgerichtete Softwareentwicklung,<br />

Design&Elektronik Forum Sichere<br />

System, 2004<br />

[8] Dröschel, W. und Wiemers, M.: Das V-Modell 97 – Der<br />

Standard für die Entwicklung von IT-Systemen mit<br />

Anleitung für den Praxise<strong>in</strong>satz. Oldenbourg Verlag,<br />

2000<br />

[9] Kofman, A., Yaeli, A., Kl<strong>in</strong>ger, T. und Tarr P.: Roles,<br />

rights, and responsibilities: Better governance through<br />

decision rights automation, Proceed<strong>in</strong>gs of the 2009<br />

ICSE Workshop on Software Development Governance,<br />

S. 9-14, 2009<br />

[10] Frey, G., Drath, R. und Schlich, B.: Safety-Applikationen<br />

effizient entwickeln — E<strong>in</strong> Leitfaden zur Prozessgestaltung.<br />

<strong>atp</strong> <strong>edition</strong> – Automatisierungstechnische<br />

Praxis 53(12), S. 34-41, 2011<br />

[11] Liggesmeyer, P.: Software-Qualität. Spektrum<br />

Akademischer Verlag, 2002<br />

56<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


<strong>atp</strong> kompakt<br />

Methoden Verfahren Konzepte<br />

Sonderpreise<br />

für<br />

Abonnenten<br />

der <strong>atp</strong> <strong>edition</strong><br />

Die Automatisierungstechnik wird durch neue Forschungen und Entwicklungen bestimmt. Damit Ingenieure<br />

fit für ihren Job s<strong>in</strong>d und die entscheidenden Trends <strong>in</strong> der Automatisierungstechnik schnell zur Hand haben,<br />

legt die Fachpublikation <strong>atp</strong> <strong>edition</strong> die Buchreihe <strong>atp</strong> kompakt auf. Alle dar<strong>in</strong> enthaltenen Beiträge haben<br />

e<strong>in</strong> wissenschaftliches Gutachterverfahren durchlaufen.<br />

Herausgeber Prof. Dr.-Ing. Frank Schiller leitet am Lehrstuhl für Informationstechnik im Masch<strong>in</strong>enwesen der<br />

TU München das Fachgebiet Automatisierungstechnik.<br />

<strong>atp</strong> kompakt Band 1<br />

Erfolgreiches Eng<strong>in</strong>eer<strong>in</strong>g – Die wichtigsten Methoden<br />

Diese Ausgabe befasst sich mit den Methoden, Verfahren und Standards, die Sie <strong>in</strong> den nächsten Jahren im Eng<strong>in</strong>eer<strong>in</strong>g beschäftigen<br />

werden. Wichtige Kriterien s<strong>in</strong>d die e<strong>in</strong>fache Wiederverwendbarkeit von Komponenten, die Unterstützung durch geeignete Werkzeuge,<br />

die Erhöhung der Flexibilität von Anlagen sowie geeignete Modellierungs- und Gerätebeschreibungssprachen.<br />

1. Auflage 2010, 138 Seiten mit CD-ROM, Broschur, € 79,- • ISBN: 978-3-8356-3210-3<br />

Für Abonnenten<br />

€ 74,-<br />

<strong>atp</strong> kompakt Band 2<br />

Effiziente Kommunikation – Die bedeutendsten Verfahren<br />

Sie bekommen E<strong>in</strong>blick <strong>in</strong> die wachsende Bedeutung der <strong>in</strong>dustriellen Kommunikation und dem Wandel <strong>in</strong> der Gerätekommunikation.<br />

E<strong>in</strong>en Schwerpunkt bildet die Kommunikationstechnik <strong>in</strong> der Prozessautomatisierung mit deren besonderen Rahmenbed<strong>in</strong>gungen wie<br />

dem Explosionsschutz. Die bedeutendsten Verfahren und Methoden der modernen Kommunikation werden praxisnah veranschaulicht.<br />

1. Auflage 2010, 72 Seiten mit CD-ROM, Broschur, € 59,- • ISBN: 978-3-8356-3212-7<br />

Für Abonnenten<br />

€ 54,-<br />

<strong>atp</strong> kompakt Band 3<br />

Praktische Messtechnik – Die besten Konzepte<br />

Dieser Band vermittelt wertvolles Know-how zu allen Aspekten der praktischen Messtechnik und fokussiert besonders die Prozessmesstechnik.<br />

Lernen Sie die Fortschritte <strong>in</strong> der Sensortechnik entlang der Technologie-Roadmap kennen und profitieren Sie von erstklassigen<br />

Konzepten zu kostengünstigen und effizienten Lösungen.<br />

1. Auflage 2010, 72 Seiten mit CD-ROM, Broschur, € 59,- • ISBN: 978-3-8356-3213-4<br />

Für Abonnenten<br />

€ 54,-<br />

<strong>atp</strong> kompakt Kollektion (Bände 1-3)<br />

Erfolgreiches Eng<strong>in</strong>eer<strong>in</strong>g Effiziente Kommunikation Praktische Messtechnik<br />

Mit dieser dreibändigen Kollektion zu den Themen Eng<strong>in</strong>eer<strong>in</strong>g, Kommunikation und Messtechnik erhalten Sie e<strong>in</strong> nützliches,<br />

kompakt und praxisnah aufbereitetes Kompendium zu den Kernthemen der Automatisierungstechnik. Die wertvolle Grundlage<br />

für Ihre tägliche und zukünftige Arbeit.<br />

1. Auflage 2010, ca. 282 Seiten mit CD-ROM, Broschur • € 179,- • ISBN: 978-3-8356-3221-9<br />

Für Abonnenten<br />

€ 169,-<br />

Sofortanforderung im Onl<strong>in</strong>e-Shop www.oldenbourg-<strong>in</strong>dustrieverlag.de<br />

oder telefonisch +49 (0)201 / 82002-14<br />

Oldenbourg Industrieverlag GmbH<br />

Vulkan-Verlag GmbH<br />

www.oldenbourg-<strong>in</strong>dustrieverlag.de • www.vulkan-verlag.de


hauptbeitrag<br />

Automatische Generierung<br />

sicherer diversitärer Software<br />

Sicherer Industrie-PC durch arithmetische Codierungen<br />

Die Bedeutung der Sicherheit im S<strong>in</strong>ne von Safety nimmt <strong>in</strong> der Automation immer noch<br />

zu, auch wenn im Moment die IT-Security die Schlagzeilen beherrscht. Die normativen<br />

Sicherheitsanforderungen können zu beträchtlichem zusätzlichen Aufwand für die Hardware-<br />

und die Software-Entwicklung führen. Wenn zudem e<strong>in</strong>e Hardware-abhängige<br />

Zertifizierung vorliegt, kann von Innovationen bei den Hardware-Komponenten nicht<br />

e<strong>in</strong>fach profitiert werden, weil <strong>in</strong> der Regel e<strong>in</strong> neuer Zertifizierungsprozess durchlaufen<br />

werden muss. Im Beitrag wird e<strong>in</strong>e neue Methode vorgestellt, bei der mit diversitären<br />

arithmetischen Codes Hardware-Fehler durch Software-Maßnahmen aufgedeckt werden<br />

und dadurch die notwendige Hardware-Unabhängigkeit erreicht wird. Weiterh<strong>in</strong> ermöglicht<br />

die Methode, fehlersichere Applikationen <strong>in</strong> Hochsprachen wie C zu programmieren.<br />

SCHLAGWÖRTER Datenverarbeitung / Elektronische Steuerungen / Code-Schemata /<br />

Fehleraufdeckende Codes<br />

Automatic Generation of Safe Diverse Software –<br />

Fail-safe Industrial PC by means of Arithmetic Codes<br />

The importance of safety <strong>in</strong> the automation <strong>in</strong>dustry is cont<strong>in</strong>uously <strong>in</strong>creas<strong>in</strong>g even<br />

though security makes the headl<strong>in</strong>es at present. Normative safety requirements may result<br />

<strong>in</strong> considerably additional effort at both the hardware and software development. If the<br />

certificate depends on the hardware, <strong>in</strong>novations of hardware components cannot be<br />

utilized <strong>in</strong> general s<strong>in</strong>ce a new certification process has to be executed. The flexibility is<br />

severely limited, and software developed accord<strong>in</strong>g to the standards cannot be properly<br />

transferred to other platforms without additional expense. A new method is presented<br />

that applies software-measures based on diverse arithmetic codes for the detection of<br />

hardware errors and thus achiev<strong>in</strong>g the necessary hardware <strong>in</strong>dependence. Furthermore,<br />

the method enables the programm<strong>in</strong>g of fail-safe applications <strong>in</strong> high-level programm<strong>in</strong>g<br />

languages like C.<br />

KEYWORDS Data Process<strong>in</strong>g / Electronic Control Units (ECU) / Cod<strong>in</strong>g Schemes /<br />

Error-Detect<strong>in</strong>g Codes<br />

58<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


Mart<strong>in</strong> Früchtl, Frank Schiller, Beckhoff Automation<br />

Bei der Entwicklung e<strong>in</strong>er Komponente für sicherheitsrelevante<br />

Anwendungen streben die<br />

Hersteller gewöhnlich e<strong>in</strong>e Zertifizierung gemäß<br />

<strong>in</strong>ternationaler Sicherheitsstandards an,<br />

um e<strong>in</strong>e ausreichende Qualifikation der Komponente<br />

nachzuweisen. Anhand der <strong>in</strong> den Standards<br />

def<strong>in</strong>ierten Sicherheitskategorien kann e<strong>in</strong>e Komponente<br />

je nach Anwendungsszenario klassifiziert werden. Die<br />

Eignung für e<strong>in</strong>e bestimmte Kategorie wird durch Kennwerte<br />

wie die Probability of Dangerous Failure per Hour<br />

(PFH) oder die Probability of Failure on Demand (PFD)<br />

gemessen, die auf der Restfehlerwahrsche<strong>in</strong>lichkeit P res<br />

basieren. Die PFH wird für Szenarios mit e<strong>in</strong>er hohen<br />

Anforderungsrate der Sicherheitsfunktion, die PFD für<br />

Systeme mit e<strong>in</strong>er niedrigen Anforderungsrate der Sicherheitsfunktion<br />

verwendet. Die Restfehlerwahrsche<strong>in</strong>lichkeit<br />

P res ist die Wahrsche<strong>in</strong>lichkeit, dass e<strong>in</strong> Fehler<br />

auftritt und unentdeckt bleibt. Um e<strong>in</strong>e bestimmte P res<br />

zu erzielen, muss e<strong>in</strong>e Komponente Fehler erkennen können.<br />

Entsprechende Maßnahmen wurden bisher durch<br />

homogene und heterogene Redundanz auf Hardware-<br />

Ebene getroffen, die e<strong>in</strong>e Erkennung von Hardware-Fehlern<br />

zur Laufzeit erlaubten. Dadurch entsteht jedoch e<strong>in</strong>e<br />

Abhängigkeit des Zertifizierungsprozesses von der verwendeten<br />

Hardware. Gleichzeitig wird verh<strong>in</strong>dert, dass<br />

die kurzen Innovationszyklen, beispielsweise auf dem<br />

Gebiet <strong>in</strong>tegrierter Schaltkreise, unmittelbar auf sicherheitsrelevante<br />

Komponenten übertragen werden können.<br />

Zudem werden Benutzerapplikationen für Sicherheitsanwendungen<br />

häufig durch vorgegebene, vorzertifizierte<br />

Funktionsblöcke implementiert, die durch den Benutzer<br />

nur parametriert werden können. Durch die steigende<br />

Komplexität und Vernetzung moderner Sicherheitsanwendungen<br />

wird diese Projektierung basierend auf Funktionsbauste<strong>in</strong>en<br />

zu e<strong>in</strong>er immer größeren und zeitaufwendigeren<br />

Herausforderung. Deshalb ist e<strong>in</strong> neuer Ansatz nötig.<br />

Der Beitrag stellt e<strong>in</strong>e neue Herangehensweise vor, die<br />

die Eigenschaften arithmetischer Codes nutzt, um Hardware-Fehler<br />

auf Software-Ebene zu erkennen. Dabei müssen<br />

im Zertifizierungsprozess ke<strong>in</strong>e Eigenschaften der<br />

Hardware e<strong>in</strong>bezogen werden, wodurch sich Beschränkungen<br />

im Hardware-Design vermeiden lassen. Ferner<br />

ist die Möglichkeit gegeben, e<strong>in</strong>e Hochsprache wie C für<br />

die Implementierung von sicherheitsrelevanten Anwendungen<br />

zu verwenden.<br />

1. Problembeschreibung<br />

Der Fokus liegt auf der logischen Komponente e<strong>in</strong>er Sicherheitsfunktion,<br />

der Intelligenten Sicherheitskomponente<br />

(ISK). Deren Aufgabe ist es, Signale der E<strong>in</strong>gabe-<br />

Baugruppen zu empfangen, die Daten zu verarbeiten und<br />

entsprechende Signale an die Ausgabe-Baugruppen zu<br />

senden. Die abzuarbeitende Logik wird dabei durch den<br />

Anwender programmiert.<br />

Wie bereits erwähnt zielt der Hersteller e<strong>in</strong>er ISK üblicherweise<br />

auf e<strong>in</strong>e Zertifizierung der Komponente für<br />

e<strong>in</strong>e bestimmte Sicherheitskategorie. Diese s<strong>in</strong>d <strong>in</strong> den<br />

Sicherheitsstandards def<strong>in</strong>iert (zum Beispiel IEC 61508 [1]<br />

und ISO 13849 [2]). Die Klassifikation hängt stark von der<br />

Fähigkeit ab, Hardware-Fehler zur Laufzeit zu erkennen.<br />

1.1 Fehlerarten<br />

Zuerst ist es s<strong>in</strong>nvoll, zwei Kategorien bezüglich des Ortes<br />

der ersten Fehlererkennung zu unterscheiden. Fehler,<br />

die zu e<strong>in</strong>em kompletten Ausfall e<strong>in</strong>er ISK führen, können<br />

nicht mehr <strong>in</strong>nerhalb der ISK detektiert werden.<br />

Diese Fehler können nur <strong>in</strong> den über die sichere Kommunikation<br />

verbundenen sicheren Komponenten (beispielsweise<br />

sichere Aktoren) erkannt werden, da hier<br />

fehlerhafte beziehungsweise fehlende Telegramme zu<br />

e<strong>in</strong>er sicheren Reaktion führen.<br />

Fehler, die nicht e<strong>in</strong>en kompletten Ausfall e<strong>in</strong>er ISK<br />

bewirken, verursachen auf Logikebene e<strong>in</strong>e fehlerhafte<br />

Verarbeitung der <strong>in</strong>ternen Daten und können somit zu<br />

e<strong>in</strong>er Gefährdungssituation aufgrund fehlerhafter Ausgangsdaten<br />

führen. Diese Fehlerart wird im Rahmen<br />

dieses Beitrags betrachtet. Dazu werden die möglichen<br />

Fehler anhand der folgenden Fehlerarten klassifiziert.<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012<br />

59


Hauptbeitrag<br />

Operandenfehler: E<strong>in</strong> Operandenfehler tritt e<strong>in</strong>, wenn<br />

e<strong>in</strong>e Operation mit dem korrekten Operator korrekt ausgeführt<br />

wird, aber der Wert e<strong>in</strong>es oder mehrerer Operanden<br />

verfälscht ist. Als Beispiel soll die <strong>in</strong> Gleichung (1)<br />

gezeigte Berechnung durchgeführt werden.<br />

x + y = z (1)<br />

E<strong>in</strong> Operandenfehler kann zu e<strong>in</strong>er Verfälschung ∆ des<br />

Orig<strong>in</strong>alwerts x führen, sodass tatsächlich die <strong>in</strong> Gleichung<br />

(2) gezeigte Berechnung durchgeführt wird.<br />

˜ x + y = (x + ∆) + y<br />

= (x + y) + ∆<br />

= z + ∆<br />

= z ˜(2)<br />

Häufig verursachen Fehler bei Speicheroperationen solche<br />

Verfälschungen. Wenn e<strong>in</strong> Speicherbereich fehlerhaft<br />

ist, kann es se<strong>in</strong>, dass e<strong>in</strong> verfälschter Wert gelesen<br />

und <strong>in</strong>nerhalb e<strong>in</strong>er Operation verwendet wird.<br />

Operatorfehler: Wenn e<strong>in</strong>e Operation mit den korrekten<br />

Operanden, aber mit e<strong>in</strong>em falschen Operator korrekt<br />

ausgeführt wird, handelt es sich um e<strong>in</strong>en Operatorfehler.<br />

Ähnlich wie <strong>in</strong> Gleichung (1) verursacht e<strong>in</strong> Operatorfehler<br />

e<strong>in</strong>e Verfälschung ∆ des Ergebnisses z. Zum<br />

Beispiel kann e<strong>in</strong> Operatorfehler dazu führen, dass anstelle<br />

der beabsichtigten Addition e<strong>in</strong>e Multiplikation<br />

(vergleiche (3)) durchgeführt wird.<br />

x . ˜ y = z + ∆ = z ˜ (3)<br />

E<strong>in</strong> Operatorfehler kann von e<strong>in</strong>em Fehler <strong>in</strong> der Adressierung<br />

des Operators oder e<strong>in</strong>er fehlerhaften „Arithmetic<br />

Logic Unit“ (ALU/Hauptteil e<strong>in</strong>es Prozessors, der alle<br />

arithmetischen Operationen ausführt) verursacht werden.<br />

Operationsfehler: Neben den Operanden- und Operatorfehlern<br />

besteht die Möglichkeit e<strong>in</strong>es Operationsfehlers.<br />

E<strong>in</strong> Operationsfehler ist die fehlerhafte Ausführung<br />

e<strong>in</strong>er Operation mit den korrekten Operanden und dem<br />

korrekten Operator. Auch diese Fehler werden gewöhnlich<br />

von e<strong>in</strong>er defekten ALU verursacht und führen zu<br />

e<strong>in</strong>er unmittelbaren Verfälschung ∆ des Ergebnisses.<br />

Zusätzlich zu diesen Fehlerarten müssen auch Fehler<br />

wie Adressierungs- und Programmablauffehler sicher<br />

erkannt werden.<br />

1.2 Herausforderungen der ISK-Entwicklung<br />

In den Anfängen der Sicherheitstechnik <strong>in</strong> der Steuerungstechnik<br />

wurde die Logik der Sicherheitsfunktionen<br />

mit fest verdrahteten Komponenten realisiert (siehe zum<br />

Beispiel den geschichtlichen Überblick <strong>in</strong> Zastrow [3]),<br />

was natürlich zu e<strong>in</strong>er statischen Logik der Komponente<br />

führte. Weiterentwicklungen auf dem Gebiet der Steuerungstechnik<br />

erlauben die Nutzung programmierbarer<br />

Komponenten. Die notwendigen Maßnahmen für e<strong>in</strong>e<br />

bestimmte Sicherheitskategorie werden dabei vorwiegend<br />

auf Hardware-Ebene getroffen (siehe Abschnitt 3).<br />

Die nötigen Kennwerte werden basierend auf den Ausfallraten<br />

der Hardware-Komponenten bestimmt, sodass<br />

der Nachweis der Sicherheit <strong>in</strong> direkter Abhängigkeit zur<br />

Hardware-Architektur der ISK steht. E<strong>in</strong>e Veränderung<br />

der Hardware-Struktur erfordert e<strong>in</strong>en neuen Nachweis<br />

der Sicherheit, da die Veränderungen möglicherweise die<br />

Kennwerte der ISK derart bee<strong>in</strong>flussen, dass die Komponente<br />

nicht länger den Anforderungen der bisher gültigen<br />

Sicherheitskategorie genügt (siehe [4]). Letztendlich führen<br />

diese Umstände zu der Tatsache, dass bislang re<strong>in</strong><br />

funktionale Hardware-Komponenten nicht für sicherheitsrelevante<br />

Anwendungen verwendet werden können.<br />

Zudem fordern die Sicherheitsstandards e<strong>in</strong>en strengen<br />

Entwicklungsprozess, der für re<strong>in</strong> funktionale Komponenten<br />

nicht automatisch gegeben ist.<br />

Die Software e<strong>in</strong>er ISK kann <strong>in</strong> zwei Teile gegliedert werden,<br />

die Firmware und die Benutzerapplikation. Die Firmware<br />

wird <strong>in</strong> diesem Beitrag als Teil der Hardware betrachtet,<br />

da sie e<strong>in</strong> fester Bestandteil der Komponente ist und<br />

den gleichen Anforderungen wie die Hardware selbst genügen<br />

muss. So gibt es auch hier e<strong>in</strong>en speziellen Software-<br />

Lebenszyklus, den die Firmware als sicherheitsrelevanter<br />

Teil e<strong>in</strong>er Komponente durchlaufen muss (siehe IEC 61508<br />

[1]). Die Benutzerapplikationen gängiger ISK basieren gewöhnlich<br />

auf Funktionsblöcken (FBD laut IEC 61131-3 [5]).<br />

E<strong>in</strong> Funktionsblock ist e<strong>in</strong>e gekapselte, vorzertifizierte<br />

Funktion auf Software-Ebene mit fester Basisfunktionalität,<br />

die durch den Benutzer parametriert werden muss.<br />

Die Benutzerapplikation kann durch mehrere mite<strong>in</strong>ander<br />

verknüpfte Funktionsblöcke realisiert werden<br />

(siehe Beispiel <strong>in</strong> Bild 1). Als Funktionsblöcke stehen<br />

dabei e<strong>in</strong>fache Grundfunktionen wie Boolesches AND<br />

oder OR und auch sehr komplexe Funktionen wie Emergency<br />

Stop oder External Device Monitor zur Verfügung.<br />

Die Nutzung von bereits zertifizierten Funktionsblöcken<br />

<strong>in</strong> Sicherheitsanwendungen hat den Vorteil, dass der<br />

Benutzer ke<strong>in</strong>en zusätzlichen Aufwand zur Zertifizierung<br />

der Software hat. Da die Komplexität der Sicherheitsanwendungen<br />

stetig wächst, steigt auch die Herausforderung<br />

im Umgang mit den Funktionsblöcken, da die<br />

komplette Funktionalität auf die Granularität der Funktionsblöcke<br />

heruntergebrochen werden muss.<br />

1.3 Ziele<br />

Das Ziel des Beitrags ist es, die starke Abhängigkeit des<br />

Sicherheitsnachweises von der Hardware der ISK zu beseitigen<br />

und auf diese Weise die Nutzung von leistungsstarken<br />

Komponenten als Logikkomponente <strong>in</strong> Sicherheitsfunktionen<br />

zu erlauben. Deshalb müssen die Maßnahmen<br />

zur Erkennung von Hardware-Fehlern auf die<br />

Software-Ebene übertragen werden. Außerdem muss die<br />

Flexibilität für den Benutzer durch die Bereitstellung<br />

e<strong>in</strong>er flexiblen Hochsprache wie C gesteigert werden.<br />

2. Basisstrategien zur Fehlererkennung<br />

Um die Qualifizierung e<strong>in</strong>er ISK für e<strong>in</strong>e bestimmte Sicherheitskategorie<br />

nachzuweisen, muss diese Komponente<br />

die Fähigkeit besitzen, Fehler zu erkennen und<br />

60<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


dadurch Gefährdungen zu verh<strong>in</strong>dern. Es gibt verschiedene<br />

Strategien, dieses Ziel zu erreichen.<br />

2.1 Grundlagen<br />

Die grundlegende Idee zur Erkennung von Hardware-<br />

Fehlern <strong>in</strong> ISK ist die Verifizierung des Ergebnisses. Das<br />

geschieht häufig mithilfe redundanter Strukturen, deren<br />

e<strong>in</strong>zelne Teile als Kanäle bezeichnet werden. Die Redundanz<br />

ist <strong>in</strong> IEC 61508 s<strong>in</strong>ngemäß def<strong>in</strong>iert als das<br />

Vorhandense<strong>in</strong> mehr funktional gleicher oder vergleichbarer<br />

technischer Ressourcen als für die eigentliche<br />

Funktionalität benötigt werden.<br />

Redundanz lässt sich weiterh<strong>in</strong> <strong>in</strong> homogene und heterogene<br />

Redundanz e<strong>in</strong>teilen. In e<strong>in</strong>em homogen redundanten<br />

System bestehen die zusätzlichen (redundanten)<br />

Kanäle aus exakt den gleichen Komponenten wie der ursprüngliche<br />

Kanal. Der Nachteil homogener Redundanz<br />

ist dabei die Anfälligkeit der Kanäle gegenüber Common<br />

Cause Failures (CCF), also Fehlern mit e<strong>in</strong>er geme<strong>in</strong>samen<br />

Ursache, da die Kanäle aufgrund der identischen Spezifikation<br />

auch identische Schwachstellen aufweisen.<br />

Im Gegensatz dazu wird heterogene Redundanz (<strong>in</strong> der<br />

Regel als Diversität bezeichnet) durch Komponenten erzeugt,<br />

die durch andere Verfahren die gleiche Funktionalität<br />

erreichen wie der ursprüngliche Kanal. Deshalb ist e<strong>in</strong><br />

CCF für diversitäre Architekturen weniger problematisch.<br />

Halang und Konakovsky unterteilen <strong>in</strong> [6] die Diversität <strong>in</strong><br />

s<strong>in</strong>nvolle weitere Klassen, auf die aber hier nicht näher<br />

e<strong>in</strong>gegangen wird. Da sich die betrachteten Fehlerarten stets<br />

auf die Verarbeitung von Daten auswirken, steht im Kontext<br />

des Beitrags die Datendiversität im Vordergrund.<br />

Redundanz kann <strong>in</strong> Hardware und Software ausgeführt<br />

werden. In früheren Lösungen wurden die Sicherheitsmaßnahmen<br />

nur auf der Hardware-Ebene realisiert.<br />

Die Entwicklung von Sicherheitslösungen <strong>in</strong> der Steuerungstechnik<br />

zeigt jedoch e<strong>in</strong>e Tendenz h<strong>in</strong> zu Software-<br />

Lösungen. Wenngleich immer mehr Funktionalität der<br />

Software-Ebene zugeschlagen wird, wurde der komplette<br />

Übergang zu Hardware-unabhängigen Lösungen noch<br />

nicht vollzogen. E<strong>in</strong>e Möglichkeit, Diversität auf Software-Ebene<br />

zu erzeugen, ist die Verwendung mathematischer<br />

Codierungen, die im folgenden Abschnitt genauer<br />

beschrieben wird.<br />

2.2 Arithmetische Codes zur<br />

Realisierung von Datendiversität<br />

Codierungen s<strong>in</strong>d e<strong>in</strong>e weit verbreitete Methode, um diversitäre<br />

Redundanz auf der Datenebene zu erreichen.<br />

Die Grundidee ist dabei die Transformation der <strong>in</strong>nerhalb<br />

der Logik verarbeiteten Daten <strong>in</strong> e<strong>in</strong>e diversitäre<br />

Darstellung. Diese Daten können zur Verifizierung der<br />

Ergebnisse des ursprünglichen Kanals und somit zur<br />

Erkennung von Fehlern <strong>in</strong> der Hardware verwendet werden.<br />

Zur Veranschaulichung des Grundgedankens bei<br />

der Nutzung mathematischer Codierungen für Sicherheitsanwendungen<br />

wird im Folgenden das durch For<strong>in</strong><br />

1989 [7] e<strong>in</strong>geführte Codierungsschema verwendet.<br />

Bild 1: Beispiel für e<strong>in</strong> Netzwerk von Funktionsblöcken<br />

Bild 2: E<strong>in</strong>fluss des<br />

Codierungsschemas<br />

auf die Def<strong>in</strong>itionsund<br />

Wertebereiche<br />

Die Basis-Codierung besteht aus der Multiplikation der<br />

uncodierten Variable x f mit e<strong>in</strong>er Primzahl A, um e<strong>in</strong>en<br />

größeren Wertebereich zu erhalten und somit e<strong>in</strong>en numerischen<br />

Abstand zwischen zulässigen codierten Werten<br />

x c zu erzeugen (A > 0). Anhand der Differenz zwischen<br />

den zulässigen codierten Werten kann die Gültigkeit<br />

e<strong>in</strong>es Operationsergebnisses verifiziert werden. Dies<br />

erfolgt durch den Test, ob der Wert e<strong>in</strong> Vielfaches des<br />

Wertes A (x c<br />

mod A == 0?) ist, da die Vielfachen von A<br />

der Codierungsvorschrift entsprechen und somit gültig<br />

s<strong>in</strong>d. Basierend auf dieser Codierung kann die Verfälschung<br />

von Werten erkannt werden, wenn der Fehlerterm<br />

∆ ke<strong>in</strong> Vielfaches von A ist. Im Falle e<strong>in</strong>es solchen<br />

Fehlers ∆ tritt e<strong>in</strong> gültiges, aber fehlerhaftes Codewort<br />

auf. Aus diesem Grund führt For<strong>in</strong> [7] für jede genutzte<br />

Variable e<strong>in</strong>e statische Signatur B x e<strong>in</strong>, um jeden Wert<br />

e<strong>in</strong>deutig zu identifizieren.<br />

Um die Verwendung veralteter Werte zu erkennen,<br />

schlägt For<strong>in</strong> e<strong>in</strong>e dynamische Signatur D(t) vor. Die<br />

ge samte Codierung der Daten erfolgt demnach wie <strong>in</strong><br />

Gleichung (4) dargestellt.<br />

x c = A ∙ x f + B x + D(t) (4)<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012<br />

61


Hauptbeitrag<br />

Der E<strong>in</strong>fluss des Codierungsmechanismus auf die Def<strong>in</strong>itions-<br />

und Wertebereiche uncodierter und codierter<br />

Werte (z f und z c ) wird <strong>in</strong> Bild 2 veranschaulicht.<br />

Die Eigenschaften arithmetischer Codierungen können<br />

bei der Verwendung arithmetischer Operationen erhalten<br />

bleiben. Dies bedeutet, dass bei der Verwendung codierter<br />

Werte das korrekte Ergebnis ebenfalls Teil des<br />

Codes ist und somit die Gültigkeit des folgenden Ausdrucks<br />

geprüft werden kann:<br />

((x c - B x - D(t)) mod A == 0?)<br />

Dafür müssen spezielle codierte Operationen genutzt<br />

werden. So wurde <strong>in</strong> [7] die <strong>in</strong> Gleichung (5) dargestellte<br />

codierte Addition zweier Werte xc und yc erarbeitet.<br />

z f = x f + y f<br />

z c - B z - D(t) = x c - B x - D(t) + y c - B y - D(t)<br />

z c = x c + y c - B x - B y - D(t) + B z<br />

z c = x c + y c + (B z - B x - B y ) - D(t) (5)<br />

Durch den konstanten Summanden (B z - B x - B y ) entsteht<br />

die Möglichkeit, die Verwendung des korrekten Operators<br />

zu prüfen und somit Operatorfehler mit hoher Wahrsche<strong>in</strong>lichkeit<br />

zu erkennen. Im Wert des Summanden<br />

steckt gewissermaßen bereits vor der Ausführung die<br />

Information über die Operation und die Operanden.<br />

Mit dem Codierungsschema kann e<strong>in</strong>e Restfehlerwahrsche<strong>in</strong>lichkeit<br />

von 1/A erreicht werden (siehe [8]).<br />

Deshalb muss der Wert A so groß wie möglich gewählt<br />

werden, um e<strong>in</strong>e ausreichend kle<strong>in</strong>e P res zu erzielen. Allerd<strong>in</strong>gs<br />

handelt es sich beim Ausdruck 1/A nur um die<br />

korrekte P res , wenn e<strong>in</strong>e Gleichverteilung vorhanden ist,<br />

das heißt, im Fehlerfall ist jeder Wert gleich wahrsche<strong>in</strong>lich.<br />

Da dies gewöhnlich nicht der Fall ist, werden für<br />

die geeignete Auswahl e<strong>in</strong>es Wertes A zusätzliche determ<strong>in</strong>istische<br />

Kriterien genutzt. Die zwei wichtigsten<br />

Kennwerte s<strong>in</strong>d hier die Hamm<strong>in</strong>g-Distanz (HD) und die<br />

Arithmetische Distanz (AD). Die HD – oder die m<strong>in</strong>imale<br />

HD – zweier codierter Werte ist die kle<strong>in</strong>ste Anzahl<br />

von Bits, die verändert werden müssen, um e<strong>in</strong> Codewort<br />

auf e<strong>in</strong> anderes Codewort abzubilden. Ist die HD beipielsweise<br />

2, so können bereits zwei verfälschte Bits zu<br />

e<strong>in</strong>em anderen gültigen Codewort führen, sodass der<br />

Fehler nicht erkannt wird. Die AD zweier Werte x und y<br />

ist demgegenüber die kle<strong>in</strong>ste Anzahl an gesetzten Bits<br />

der beiden möglichen arithmetischen Differenzen<br />

(x - y und y - x) dieser Werte.<br />

Das Ziel ist es, bei der Wahl der geeigneten Parameter<br />

des Codes e<strong>in</strong>e möglichst hohe HD und e<strong>in</strong>e möglichst<br />

hohe AD zu erreichen. For<strong>in</strong> [7] empfiehlt zusätzlich, für<br />

den Parameter A e<strong>in</strong>e Primzahl zu wählen. Diese Wahl<br />

kann folgendermaßen begründet werden: Es wird e<strong>in</strong>e<br />

Reihe von n arithmetischen Additionen ausgeführt. Jede<br />

Addition fügt e<strong>in</strong>en konstanten Fehlerterm ∆ h<strong>in</strong>zu, sodass<br />

am Ende der n Operationen der gesamte Fehlerterm<br />

(n ∙ ∆) beträgt. Dieser Fehler kann nicht entdeckt werden,<br />

wenn das Ergebnis weiterh<strong>in</strong> e<strong>in</strong> Vielfaches von A ist.<br />

Handelt es sich beim Wert A um e<strong>in</strong>e Primzahl, kann<br />

dies nur dann der Fall se<strong>in</strong>, wenn entweder n oder ∆<br />

durch A teilbar s<strong>in</strong>d.<br />

Bei dem <strong>in</strong> [7] vorgestellten Ansatz handelt es sich sogar<br />

um e<strong>in</strong>e komplett 1-kanalige Lösung (1-kanalige Software<br />

auf 1-kanaliger Hardware). Sie wird <strong>in</strong> der Metro<br />

<strong>in</strong> Paris <strong>in</strong> führerlosen Zügen verwendet und stellt e<strong>in</strong>e<br />

gute Basis für e<strong>in</strong>e Lösung der Aufgabenstellung dieses<br />

Beitrags dar. Aufgrund der strikt mathematischen Basis<br />

hängt der Nachweis der Qualifikation für e<strong>in</strong>e bestimmte<br />

Sicherheitskategorie nicht länger von der verwendeten<br />

Hardware ab (Prozessor und Umgebung). Der Ansatz von<br />

For<strong>in</strong> [7] stellt aber zusätzliche Anforderungen an die<br />

Hardwarearchitektur, da spezielle Hardware zur Codierung<br />

der Daten für die Operationen benötigt wird. Außerdem<br />

muss die codierte Version der Software vom<br />

Anwender explizit implementiert werden. Um diese<br />

Codierung für die Erfüllung der Anforderungen <strong>in</strong> Abschnitt<br />

2.2 zu nutzen, wird im folgenden Kapitel e<strong>in</strong> erweitertes<br />

Codierungsschema erarbeitet.<br />

3. Herleitung des Codierungsschemas<br />

Wie <strong>in</strong> [9] beschrieben verbessert die Nutzung mehrerer<br />

Software-Kanäle die Fehlererkennung erheblich. Daher<br />

verwendet dieser Beitrag n codierte Kanäle neben dem<br />

ursprünglichen uncodierten Kanal. E<strong>in</strong> Fehler kann<br />

nur unentdeckt bleiben, wenn e<strong>in</strong>e Komb<strong>in</strong>ation aus<br />

(n + 1) Fehlern auftritt (n codierte Kanäle und der Orig<strong>in</strong>alkanal),<br />

sodass jeder Fehlerterm ∆ i (mit i als Identifikation<br />

e<strong>in</strong>es Kanals) zu e<strong>in</strong>em gültigen Codewort<br />

führt. Zudem müssen die Fehlerterme <strong>in</strong> e<strong>in</strong>er bestimmten<br />

Konstellation auftreten, sodass die Ergebnisse<br />

aller Kanäle e<strong>in</strong>e gültige Komb<strong>in</strong>ation codierter und<br />

uncodierter Werte ergeben.<br />

Der wechselseitige Test zwischen allen n Kanälen<br />

wird ausgeführt, um Fehler zu erkennen und e<strong>in</strong>e sichere<br />

Reaktion auszulösen. Um spezielle Hardware für<br />

die Codierung der E<strong>in</strong>gangs- und die Decodierung der<br />

Ausgangsdaten zu vermeiden, ist das Codierungsschema<br />

direkt mit e<strong>in</strong>em sicheren Kommunikationsprotokoll<br />

verbunden, damit die Fehlererkennung der sicheren<br />

Kommunikation für die Sicherstellung der korrekten<br />

Codierung und Decodierung der Daten genutzt<br />

werden kann. Die gesamte Architektur ist <strong>in</strong> Bild 3<br />

veranschaulicht.<br />

Neben der Architektur wurden Codierungsvorschriften<br />

für die folgenden Operationen erarbeitet:<br />

Addition,<br />

Subtraktion,<br />

Multiplikation,<br />

Division,<br />

Konjunktion,<br />

Disjunktion,<br />

Exklusive,<br />

Negation,<br />

Vergleichsoperator.<br />

Diese Operationen können genutzt werden, um e<strong>in</strong>e große<br />

Auswahl sicherheitsrelevanter Anwendungen zu realisieren.<br />

Bei der Herleitung von Operationen müssen<br />

die möglichen Fehlerarten von Abschnitt 1.1 beachtet<br />

62<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


werden, sodass die Verfälschung von Operanden, Operatoren<br />

oder die fehlerhafte Ausführung e<strong>in</strong>zelner Operationen<br />

erkannt werden kann. Die Entdeckung von<br />

Fehlern <strong>in</strong>nerhalb der Ausführung von Operationen<br />

wird durch e<strong>in</strong>en Vergleich der n codierten Kanäle vorgenommen,<br />

um zu prüfen, ob alle Kanäle konsistent zue<strong>in</strong>ander<br />

s<strong>in</strong>d. Die Konsistenz e<strong>in</strong>es e<strong>in</strong>zelnen Kanals ist<br />

gegeben, wenn jeder Wert des Kanals Teil des Codes ist.<br />

Neben der Gültigkeitsprüfung von Werten <strong>in</strong>nerhalb e<strong>in</strong>es<br />

Kanals f<strong>in</strong>det e<strong>in</strong>e gegenseitige Prüfung zwischen<br />

allen n codierten Kanälen statt.<br />

4. Automatische Generierung<br />

diversitärer Software<br />

Der Quelltext des Benutzers (der uncodierte Kanal, hier<br />

als FB f<br />

bezeichnet) wird parallel zu den codierten Repräsentationen<br />

ausgeführt. Er wird als Input für die Transformation<br />

genommen, mit der die diversitären Softwarekanäle<br />

erzeugt werden. Das Ergebnis ist die codierte<br />

Repräsentation des Quelltextes (<strong>in</strong> diesem Beispiel FB c<br />

genannt). Die codierte und die uncodierte Repräsentation<br />

werden von dem gleichen regulären Compiler (ohne<br />

spezielle Qualifikation des Compilers) <strong>in</strong> Masch<strong>in</strong>encode<br />

gewandelt, der schließlich <strong>in</strong>nerhalb der ISK-Laufzeit<br />

ausgeführt wird. Der gesamte Prozess wird <strong>in</strong> Bild 4<br />

veranschaulicht.<br />

Zur Laufzeit wird die ISK zyklisch abgearbeitet. In<br />

jedem Zyklus werden die folgenden Schritte ausgeführt<br />

(wie <strong>in</strong> Bild 3 gezeigt):<br />

E<strong>in</strong>gang<br />

Das Telegramm wird durch das sichere Kommunikationsprotokoll<br />

empfangen. Nach protokollspezifischer Verarbeitung<br />

(wie zum Beispiel Prüfung der Frame Check Sequence<br />

(FCS) des Pakets) werden die unbearbeiteten Datenwerte<br />

codiert und den n codierten Kanälen übergeben<br />

(fehlersichere Kopplung und Kanalcodierung <strong>in</strong> Bild 3).<br />

Logik<br />

In der eigentlichen Logik werden der uncodierte Kanal<br />

und die n codierten Kanäle ausgeführt und die entsprechenden<br />

Ergebnisse berechnet.<br />

Ausgang<br />

Die Ergebniswerte der Logik werden decodiert und das<br />

Ausgangstelegramm erzeugt, das heißt, sowohl die Nettodaten<br />

(Information) als auch die FCS werden berechnet<br />

und der sicheren Kommunikation übergeben (fehlersichere<br />

Kopplung und Telegrammgenerierung <strong>in</strong> Bild 3).<br />

Neben der Abarbeitung dieser Schritte muss die Safety<br />

Runtime die Ausführung aller Software-Bestandteile<br />

sicherstellen, sodass das Überspr<strong>in</strong>gen e<strong>in</strong>zelner Zeilen<br />

oder sogar ganzer Blöcke erkannt werden kann. In diesem<br />

Fall kann die Ausführung des Programms nicht zu<br />

e<strong>in</strong>em gültigen Ausgangstelegramm und somit zu e<strong>in</strong>er<br />

Gefährdungssituation als Ergebnis e<strong>in</strong>er fehlerhaften<br />

Reaktion des Systems führen.<br />

5. Implementierung<br />

Der vorgestellte Ansatz wurde <strong>in</strong> der Entwicklungsumgebung<br />

Tw<strong>in</strong>cat der Beckhoff Automation GmbH implementiert.<br />

Dadurch kann der Beckhoff Industrial PC (IPC)<br />

als logische Komponente <strong>in</strong>nerhalb e<strong>in</strong>er Sicherheitsfunktion<br />

bis zu e<strong>in</strong>em Safety Integrity Level (SIL) 3 nach<br />

IEC 61508 [1] verwendet werden. Die Beckhoff IPC-Produktfamilie<br />

verwendet gewöhnlich Microsoft W<strong>in</strong>dows<br />

Embedded als Betriebssystem.<br />

Sicherheitsanwendungen für den Safety IPC können<br />

unter anderem <strong>in</strong> e<strong>in</strong>er Hochsprache Safety C implementiert<br />

werden. Safety C stellt e<strong>in</strong> fast une<strong>in</strong>geschränktes<br />

Derivat von Standard C dar und erlaubt den<br />

Gebrauch von – aus Standard C bekannten – Kontrollstrukturen<br />

wie IF-THEN, SWITCH-CASE und Datentypen.<br />

Dies ermöglicht e<strong>in</strong>e bislang unbekannte Flexibi-<br />

Bild 4: Architektur-Transformation<br />

Compilier-Prozess<br />

Bild 3: Architektur<br />

aus mehreren<br />

diversitären<br />

Software-Kanälen<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012<br />

63


Hauptbeitrag<br />

Bild 5: Konfiguration<br />

des Zielsystems<br />

Bild 6: Editor-Ansicht<br />

lität für die Gestaltung sicherheitsrelevanter Benutzerapplikationen.<br />

Unter Berücksichtigung der Tatsache, dass die Komplexität<br />

von Sicherheitsanwendungen bezüglich der<br />

Funktionaliät und der Dimension stetig steigt, ist die<br />

E<strong>in</strong>führung des Beckhoff IPC als e<strong>in</strong>e flexible logische<br />

Komponente für Sicherheitsfunktionen e<strong>in</strong> wichtiger<br />

Schritt <strong>in</strong> Richtung zukünftiger Herausforderungen der<br />

Steuerungstechnologie. Die Zertifizierbarkeit des Ansatzes<br />

laut IEC 61508 [1] wurde bereits durch den TÜV<br />

Süd bestätigt.<br />

6. IPC-Entwicklungsumgebung<br />

Neben der sicheren Datenverarbeitung ist e<strong>in</strong>e geeignete<br />

Entwicklungsumgebung von großer Bedeutung. So bietet<br />

die Entwicklungsumgebung Tw<strong>in</strong>cat ab Version 3 e<strong>in</strong>en<br />

neuen Bereich zur Erstellung und Verwaltung sicherheitsrelevanter<br />

Anwendungen und unterstützt dabei<br />

maximale Flexibilität und Portabilität.<br />

6.1 Interaktion mit der Hardwarekonfiguration<br />

Es können sichere E<strong>in</strong>- und Ausgabe-Baugruppen und<br />

der sichere IPC projektiert werden. Dadurch kann die<br />

Applikation durch den E<strong>in</strong>satz von Alias-Geräten vollständig<br />

losgelöst von der verwendeten Hardware erstellt<br />

werden. Das Zielsystem und alle möglichen E<strong>in</strong>und<br />

Ausgabegeräte werden dem Projekt zunächst als<br />

Alias-Geräte bereitgestellt. Dadurch können alle sicherheitsrelevanten<br />

E<strong>in</strong>stellungen bereits im Voraus<br />

getätigt werden (siehe Bild 5). Vor dem Download und<br />

Start des Projekts werden die Alias-Geräte schließlich<br />

den tatsächlich verbauten physikalischen Geräten zugeordnet.<br />

6.2 Programmierung<br />

Die eigentliche Programmierung der Logik erfolgt <strong>in</strong> dem<br />

jeweiligen Editor. Im Falle des freigraphischen Editors<br />

wird die gewünschte Logik mithilfe e<strong>in</strong>er Funktionsblockdiagrammsprache<br />

<strong>in</strong> e<strong>in</strong>er freigraphischen Darstellung<br />

spezifiziert und kann dabei zur besseren Übersicht<br />

<strong>in</strong> Netzwerken organisiert werden. Die Funktionsbau-<br />

Referenzen<br />

[1] IEC 61508: Functional Safety of Electrical/Electronic/<br />

Programmable Electronic Safety-related Systems. 2002<br />

[2] ISO 13849: Safety of mach<strong>in</strong>ery - Safety-related Parts of<br />

Control Systems. 2003<br />

[3] Zastrow, D.: Automatisieren mit SPS – Theorie und Praxis.<br />

Vieweg Verlag, 2005<br />

[4] Ste<strong>in</strong>dl M.; Mottok J.; Meier H.; Schiller F. und Früchtl M.:<br />

Migration of SES to FPGA Based Architectural Concepts.<br />

Workshop Entwicklung zuverlässiger Software-Systeme. 2009<br />

[5] IEC 61131-3: Grundlagen Speicherprogrammierbarer<br />

Steuerungen – Programmier-sprachen. 2003<br />

[6] Halang, W.A. und Konakovsky, R.: Sicherheitsgerichtete<br />

Echtzeitsysteme. Oldenbourg Verlag, 1999<br />

[7] For<strong>in</strong>, P.: Vital Coded Microprocessor Pr<strong>in</strong>ciples and<br />

Application for Various Transit Systems. IFAC/IFIP/IFORS<br />

Symposium 1989, S. 79-84, 1989<br />

[8] Ozello, P.: The Coded Microprocessor Certification. Int.<br />

Conference on Computer Safety, Reliability and Security,<br />

S. 185-190, 1992.<br />

[9] Rao, T.R.N.: Error Cod<strong>in</strong>g for Arithmetic Processors.<br />

Academic Press, 1974<br />

64<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


ste<strong>in</strong>e können beliebig platziert und verknüpft werden.<br />

Durch den nahezu unbegrenzten Zoom-Bereich ist es<br />

möglich, sehr große Projekte noch angenehm zu verwalten.<br />

Für die schnelle Navigation <strong>in</strong>nerhalb des Projekts<br />

steht zusätzlich e<strong>in</strong>e verkle<strong>in</strong>erte Übersicht des gesamten<br />

Projekts zur Verfügung, anhand derer schnell zwischen<br />

den Bereichen der Applikation gewechselt werden<br />

kann (siehe Bild 6).<br />

Neben den bereits bekannten Funktionsbauste<strong>in</strong>en für<br />

die E<strong>in</strong>- und Ausgabe-Baugruppen werden für die Tw<strong>in</strong>cat<br />

Safety PLC zusätzliche vorzertifizierte Bibliotheken<br />

bereitgestellt. Weiterh<strong>in</strong> hat der Benutzer die Möglichkeit,<br />

eigene Funktionsbauste<strong>in</strong>e zu spezifizieren. Diese<br />

können entweder aus bereits vorhandenen Funktionsbauste<strong>in</strong>en<br />

gebildet oder im Experten-Modus direkt <strong>in</strong><br />

Safety C programmiert werden. Die benutzerdef<strong>in</strong>ierten<br />

Funktionsbauste<strong>in</strong>e werden <strong>in</strong> e<strong>in</strong>er Bibliothek abgelegt<br />

und stehen für zukünftige Projekte zur Verfügung.<br />

Zusätzlich zur besseren Programmierung werden auch<br />

die Debug- und die Testphase unterstützt. Programme<br />

können, wie <strong>in</strong> Visual Studio gewohnt, untersucht werden.<br />

Onl<strong>in</strong>e-Variablenwerte und Zustände der Funktionsblöcke<br />

werden direkt <strong>in</strong> der grafischen Umgebung<br />

angezeigt und ermöglichen so e<strong>in</strong> schnelles und e<strong>in</strong>faches<br />

Debuggen der Applikation. Zusätzlich kann das<br />

Projekt offl<strong>in</strong>e simuliert werden. Die Logik lässt sich<br />

dadurch unabhängig von der später e<strong>in</strong>gesetzten Hardware<br />

bereits vor dem Download testen. Auf diesem Wege<br />

wird die Inbetriebnahme direkt vor Ort vere<strong>in</strong>facht.<br />

Der Editor ist entsprechend der Sicherheitsrichtl<strong>in</strong>ien<br />

entwickelt und verfügt über e<strong>in</strong>en automatischen Verifikationsmechanismus.<br />

Durch e<strong>in</strong>e geeignete Codierung der<br />

Daten wird auch hier die Integrität sichergestellt. Bisher<br />

war es notwendig, das auf die Logikkomponente geladene<br />

Projekt wieder auszulesen, manuell zu überprüfen und die<br />

Korrektheit zu bestätigen. Der automatische Verifikationsmechanismus<br />

überprüft selbstständig, ob das gespeicherte<br />

Projekt mit dem erstellten Projekt im Editor übere<strong>in</strong>stimmt,<br />

und erspart dem Anwender so die manuelle Verifikation.<br />

Fazit<br />

Der Beitrag zeigt e<strong>in</strong>en neuen Ansatz für die Nutzung<br />

arithmetischer Codes für Intelligente Sicherheitskomponenten.<br />

Die e<strong>in</strong>geführte Methodik ermöglicht es, bislang<br />

re<strong>in</strong> funktionalen Hardware-Komponenten als logische<br />

E<strong>in</strong>heit <strong>in</strong> Safety-Szenarios zu dienen. Aufgrund der mathematischen<br />

Basis hängt der Zertifizierungsprozess<br />

nicht mehr von der Hardware ab. Der Ansatz ist auf jegliche<br />

Hardware-Architektur übertragbar. Aus diesem<br />

Grund kann e<strong>in</strong>e moderne funktionale Komponente wie<br />

der IPC als Safety-Controller verwendet werden. Die<br />

praktische Anwendbarkeit dieser Arbeit wurde durch die<br />

Umsetzung für den Beckhoff IPC gezeigt. Der erhöhte<br />

Berechnungsaufwand durch die zusätzlichen Operationen<br />

wirkt sich aufgrund der Leistungsfähigkeit e<strong>in</strong>es IPC<br />

nur ger<strong>in</strong>gfügig auf die Zykluszeit aus. Diese Technologie<br />

wird kont<strong>in</strong>uierlich weiterentwickelt, um die mögliche<br />

Flexibilität und Funktionalität stetig zu erweitern.<br />

Manuskripte<strong>in</strong>gang<br />

12.03.2012<br />

Im Peer-Review-Verfahren begutachtet<br />

Autoren<br />

Dipl.-Inf. Mart<strong>in</strong><br />

Früchtl (geb. 1981) ist<br />

Mitarbeiter der Entwicklung<br />

im Bereich Safety<br />

der Beckhoff Automation<br />

GmbH. Er studierte<br />

Informatik an der Universität<br />

Passau und<br />

promoviert seit 2008 auf<br />

dem Gebiet der Sicherheitstechnik. Nach der<br />

Beschäftigung als wissenschaftlicher<br />

Mitarbeiter an der TU München arbeitet er<br />

seit 2011 bei der Beckhoff Automation GmbH.<br />

Beckhoff Automation GmbH,<br />

Eiserstr. 5, D-33415 Verl,<br />

Tel. +49 (0) 5246 963 52 10,<br />

E-Mail: M.Fruechtl@beckhoff.com<br />

Prof. Dr.-Ing. Frank Schiller (geb. 1966)<br />

ist wissenschaftlicher Leiter für Safety &<br />

Security der Beckhoff Automation GmbH.<br />

Er studierte Elektrotechnik an der TU<br />

Dresden und promovierte 1997 an der TU<br />

Hamburg-Harburg. Nach verschiedenen<br />

Stationen bei Siemens war er von 2004 bis<br />

2011 als Professor für Automatisierungstechnik<br />

an der TU München tätig. Se<strong>in</strong>e<br />

Tätigkeitsfelder umfassen die sicherheitsgerichtete Kommunikation,<br />

Software-basierte Sicherheitssteuerungen, Security-<br />

Kommunikation und die effiziente Komb<strong>in</strong>ation von Safetyund<br />

Security-Algorithmen für die Automatisierung. Er lehrt als<br />

Gastprofessor an der<br />

(Huádo ˉ ng Lı ˇgo ˉ ng Dàxué, East<br />

Ch<strong>in</strong>a University of Science and Technology), Shanghai, Ch<strong>in</strong>a.<br />

Beckhoff Automation GmbH,<br />

Ostendstr. 196, D-90482 Nürnberg,<br />

Tel. +49 (0) 911 54 05 62 44,<br />

E-Mail: F.Schiller@beckhoff.com<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012<br />

65


impressum / <strong>Vorschau</strong><br />

Impressum<br />

<strong>Vorschau</strong><br />

Verlag:<br />

Oldenbourg Industrieverlag GmbH<br />

Rosenheimer Straße 145<br />

D-81671 München<br />

Telefon + 49 (0) 89 4 50 51-0<br />

Telefax + 49 (0) 89 4 50 51-3 23<br />

www.oldenbourg-<strong>in</strong>dustrieverlag.de<br />

Geschäftsführer:<br />

Carsten Augsburger, Jürgen Franke<br />

Spartenleiter:<br />

Jürgen Franke<br />

Herausgeber:<br />

Dr. T. Albers<br />

Dr. G. Kegel<br />

Dipl.-Ing. G. Kumpfmüller<br />

Dr. N. Kuschnerus<br />

Beirat:<br />

Dr.-Ing. K. D. Bettenhausen<br />

Prof. Dr.-Ing. Ch. Diedrich<br />

Prof. Dr.-Ing. U. Epple<br />

Prof. Dr.-Ing. A. Fay<br />

Prof. Dr.-Ing. M. Felleisen<br />

Prof. Dr.-Ing. G. Frey<br />

Prof. Dr.-Ing. P. Göhner<br />

Dipl.-Ing. Th. Gre<strong>in</strong><br />

Prof. Dr.-Ing. H. Haehnel<br />

Dr.-Ing. J. Kiesbauer<br />

Dipl.-Ing. R. Marten<br />

Dipl.-Ing. G. Mayr<br />

Dr. J. Nothdurft<br />

Dr.-Ing. J. Papenfort<br />

Dr. A. Wernsdörfer<br />

Dipl.-Ing. D. Westerkamp<br />

Dr. Ch. Zeidler<br />

Organschaft:<br />

Organ der GMA<br />

(VDI/VDE-Gesell schaft Messund<br />

Automatisierungs technik)<br />

und der NAMUR<br />

(Interessen geme<strong>in</strong>schaft<br />

Automatisierungs technik der<br />

Prozess<strong>in</strong>dustrie).<br />

Redaktion:<br />

Anne Hütter (verantwortlich)<br />

Telefon + 49 (0) 89 4 50 51-4 18<br />

Telefax + 49 (0) 89 4 50 51-2 07<br />

E-Mail: huetter@oiv.de<br />

Gerd Scholz<br />

E<strong>in</strong>reichung von Hauptbeiträgen:<br />

Prof. Dr.-Ing. Leon Urbas<br />

(Chefredakteur, verantwortlich<br />

für die Hauptbeiträge)<br />

Technische Universität Dresden<br />

Fakultät Elektrotechnik<br />

und Informationstechnik<br />

Professur für Prozessleittechnik<br />

D-01062 Dresden<br />

Telefon +49 (0) 351 46 33 96 14<br />

E-Mail: urbas@oiv.de<br />

Fachredaktion:<br />

Dr.-Ing. M. Blum<br />

Prof. Dr.-Ing. J. Jasperneite<br />

Dr.-Ing. B. Kausler<br />

Dr.-Ing. N. Kiupel<br />

Dr. rer. nat. W. Morr<br />

Dr.-Ing. J. Neidig<br />

Dipl.-Ing. I. Rolle<br />

Dr.-Ing. S. Runde<br />

Prof. Dr.-Ing. F. Schiller<br />

Bezugsbed<strong>in</strong>gungen:<br />

„<strong>atp</strong> <strong>edition</strong> – Automatisierungstechnische<br />

Praxis“ ersche<strong>in</strong>t<br />

monatlich mit Doppelausgaben im<br />

Januar/Februar und Juli/August.<br />

Bezugspreise:<br />

Abonnement jährlich: € 468,– + € 30,–/<br />

€ 35,- Versand (Deutschland/Ausland);<br />

Heft-Abbonnement + Onl<strong>in</strong>e-Archiv:<br />

€ 638,40; ePaper (PDF): € 468,–;<br />

ePaper + Onl<strong>in</strong>e-Archiv: € 608,40;<br />

E<strong>in</strong>zelheft: € 55,– + Versand;<br />

Die Preise enthalten bei Lieferung<br />

<strong>in</strong> EU-Staaten die Mehrwertsteuer,<br />

für alle übrigen Länder s<strong>in</strong>d es<br />

Nettopreise. Mitglieder der GMA: 30%<br />

Ermäßigung auf den Heftbezugspreis.<br />

Bestellungen s<strong>in</strong>d jederzeit über den<br />

Leserservice oder jede Buchhandlung<br />

möglich.<br />

Die Kündigungsfrist für Abonnementaufträge<br />

beträgt 8 Wochen zum Bezugsjahresende.<br />

Abonnement-/<br />

E<strong>in</strong>zelheftbestellung:<br />

Leserservice <strong>atp</strong><br />

Postfach 91 61, D-97091 Würzburg<br />

Telefon + 49 (0) 931 4170-1615<br />

Telefax + 49 (0) 931 4170-492<br />

E-Mail: leserservice@oiv.de<br />

Verantwortlich für<br />

den Anzeigenteil:<br />

Annemarie Scharl-Send<br />

Mediaberatung<br />

sales & communications Medienagentur<br />

Kirchfeldstraße 9, D-82284 Grafrath<br />

Tel. +49 (0) 8144 9 96 95 12<br />

Fax +49 (0) 8144 9 96 95 14<br />

E-Mail: ass@salescomm.de<br />

Es gelten die Preise der Mediadaten 2012<br />

Anzeigenverwaltung:<br />

Brigitte Krawczyk<br />

Telefon + 49 (0) 89 4 50 51-2 26<br />

Telefax + 49 (0) 89 4 50 51-3 00<br />

E-Mail: krawczyk@oiv.de<br />

Art Director / Grafik:<br />

Deivis Aronaitis | dad |<br />

Druck:<br />

Druckerei Chmielorz GmbH<br />

Ostr<strong>in</strong>g 13,<br />

D-65205 Wiesbaden-Nordenstadt<br />

Gedruckt auf chlor- und<br />

säurefreiem Papier.<br />

Die <strong>atp</strong> wurde 1959 als „Regelungstechnische<br />

Praxis – rtp“ gegründet.<br />

© 2012 Oldenbourg Industrieverlag<br />

GmbH München<br />

Die Zeitschrift und alle <strong>in</strong> ihr enthaltenen<br />

Beiträge und Abbildungen s<strong>in</strong>d urheberrechtlich<br />

geschützt. Mit Ausnahme der<br />

gesetzlich zugelassenen Fälle ist e<strong>in</strong>e<br />

Verwertung ohne E<strong>in</strong> willigung des Verlages<br />

strafbar.<br />

Gemäß unserer Verpflichtung nach § 8<br />

Abs. 3 PresseG i. V. m. Art. 2 Abs. 1c DVO<br />

zum BayPresseG geben wir die Inhaber<br />

und Beteiligungsverhältnisse am Verlag<br />

wie folgt an:<br />

Oldenbourg Industrieverlag GmbH,<br />

Rosenheimer Straße 145, 81671 München.<br />

Alle<strong>in</strong>iger Gesellschafter des Verlages<br />

ist die ACM-Unternehmensgruppe,<br />

Ostr<strong>in</strong>g 13,<br />

65205 Wiesbaden-Nordenstadt.<br />

ISSN 2190-4111<br />

Die Ausgabe 7-8 / 2012 der<br />

ersche<strong>in</strong>t am 30.07.2012<br />

Mit folgenden Beiträgen:<br />

Operational Access to<br />

SIS Components<br />

Kernmodelle – e<strong>in</strong> Konzept<br />

zur Vere<strong>in</strong>fachung von<br />

Systembeschreibungen<br />

Prozessdatenspeicherung<br />

und Datenkommunikation<br />

Die Mensch-Masch<strong>in</strong>e-<br />

Schnittstelle im<br />

demographischen Wandel<br />

...und vielen weiteren Themen.<br />

Aus aktuellem Anlass können sich die Themen<br />

kurzfristig verändern.<br />

LeserService<br />

e-Mail:<br />

leserservice@oiv.de<br />

Telefon:<br />

+ 49 (0) 931 4170-1615<br />

66<br />

<strong>atp</strong> <strong>edition</strong><br />

6 / 2012


Erreichen Sie die Top-Entscheider<br />

der Automatisierungstechnik.<br />

Sprechen Sie uns an wegen Anzeigenbuchungen<br />

und Fragen zu Ihrer Planung.<br />

Annemarie Scharl-Send: Tel. +49 (0) 8144 9 96 95 12<br />

E-Mail: ass@salescomm.de


Druckmesstechnik<br />

Produkte <strong>in</strong> Titan für aggressive Medien:<br />

‣ Mediz<strong>in</strong>altechnik<br />

Implantierbare, vollisolierte Drucktransmitter mit Ø 9 mm.<br />

Titan „Atlas“ /<br />

Träger des Himmelgewölbes<br />

‣ Chemische Industrie<br />

Diverse frontbündige Versionen erhältlich.<br />

‣ Hydrostatische Pegelmessung<br />

Für aggressivste Medien wie Brackwasser, Eisenchlorid, …<br />

KELLER<br />

www.keller-druck.com

Hurra! Ihre Datei wurde hochgeladen und ist bereit für die Veröffentlichung.

Erfolgreich gespeichert!

Leider ist etwas schief gelaufen!