Kapitel 9: Fragen und Antworten
Sicherheitsgerichtete speicherprogrammierbare Steuerungen (SSPSen) arbeiten nach dem Fail-Safe-Prinzip. Demnach muss die SSPS garantieren, dass bei einem Ausfall einer ihrer Komponenten kein unzulässiger, gefährlicher Zustand in der Anlage entstehen kann. Sobald die SSPS also den Ausfall einer ihrer Komponenten bemerkt, fährt sie die Anlage in einen sicheren Zustand, um zu verhindern, dass ein Gefahrenzustand in der Anlage entsteht, während sie nicht voll betriebsbereit ist.
Zweikanalige SSPSen besitzen unten dargestellt zwei redundante CPUs ebenso wie jeweils zwei redundante E/A-Baugruppen. Dadurch können Messsignale verglichen und Stellsignale zurückgelesen und überprüft werden.
Um Sicherheit und Verfügbarkeit zu gewährleisten, gibt es 2oo3-Systeme und 2oo4-Systeme. Bei einem 2oo3-System darf ein Teilsystem einen Fehler haben und ausfallen. Die beiden Teilsysteme, die zu gleichem Ergebnis kommen, laufen weiter und erhalten die aktive Redundanz aufrecht. Es müssen also 2 von 3 Teilsystemen ausfallen, um die Sicherheitsfunktion auszulösen.
Höchste Verfügbarkeit bei gleichzeitiger Sicherheit erreicht man durch Einsatz von 2oo4-Systemen wie unten dargestellt. Diese bestehen aus zwei 1oo2-Systemen, die über einen gemeinsamen Dual-Port-RAM miteinander Werte austauschen können. Wenn bei einem der 1oo2-Systeme eine Diskrepanz festgestellt wird, wird die fehlerhafte Einheit abgeschaltet. Übrig bleibt das funktionierende 1oo2-System mit voller Verfügbarkeit
und allen Sicherheitsfunktionen.
Die Sicherheitsfunktion wird bei aktiver Redundanz parallel von beiden Systemen ausgeführt. Nur wenn sich die Ergebnisse nicht unterscheiden, wird der Aktor angesteuert. Bei unterschiedlichem Ergebnis liegt offensichtlich in einer der beiden CPUs ein Fehler vor, und es wird ein 0-Signal ausgegeben, wodurch der Aktor in den sicheren energielosen Zustand überführt wird.
Im Unterschied dazu werden die steuerungstechnischen Funktionen bei passiver Redundanz nur von einer, nämlich der sog. Master-CPU, abgearbeitet. Wenn diese ausfällt, übernimmt die zweite sog. Slave-CPU und sorgt dafür, dass die Steuerung nicht abgeschaltet werden muss, sondern weiter verfügbar bleibt.
Aktive Redundanz sorgt also für eine erhöhte Sicherheit, während passive Redundanz eine erhöhte Verfügbarkeit der Steuerung ermöglicht.
Sicherheit basiert auf dem Prinzip der Diversität, denn die Sicherheitsfunktionen werden auf zwei verschiedenen CPUs abgearbeitet. Diese sog. physikalische Diversität ermöglicht die Erkennung zufälliger Fehler in der Hardware. Darüber hinaus lassen sich durch eine sog. Implementierungsdiversität auch Fehler in der Software während des Programmablaufs erkennen. Dabei wird die Software auf zwei verschiedenen Wegen programmiert.
Nachfolgend skizziert ist der Aufbau einer einkanaligen SSPS skizziert. Diese besitzt einen Mikroprozessor (µP), mehrere redundant ausgelegte Speichereinheiten (RAM, EEPROM), einen Speicherkomparator, eine Watchdogschaltung und die von einer Standard-SPS bekannten Komponenten.
- In RAM und EEPROM werden die Daten normal und zusätzlich invers abgespeichert. Ein Speicherkomparator überwacht, dass zwei korrespondierende Speicherzellen zusammengenommen immer den Wert 1 haben.
- Die Komponenten müssen innerhalb einer vorgegebenen Zeitspanne einer Watchdogschaltung mitteilen, dass sie noch ordnungsgemäß arbeiten. Hierfür setzen sie Zähler in der Watchdogschaltung auf einen angeforderten Wert. Die Watchdogschaltung dekrementiert den Zähler, so dass eine neue Mitteilung eintreffen muss, bevor der Zählwert Null erreicht ist.
- Die Programme werden (zeit)redundant und diversitär verarbeitet und die Resultate zur Aufdeckung zufälliger Fehler verglichen.
- Die Eingangssignale werden redundant eingelesen und verglichen.
- Nachdem die Eingangssignale im RAM abgespeichert wurden, werden die Eingangskanäle kurzzeitig mit Testsignalen beaufschlagt, um ihre Beschreibbarkeit zu testen.
- Zwei Abschaltwege durch redundante Ausgänge oder durch ein zusätzliches Sicherheitsrelais im Ruhestromprinzip, das bei einer Störung die gesamte Ausgangsbaugruppe ausschaltet.
- Zurückführen des Ausgangssignals auf einen Eingangskanal und Vergleich mit dem Ausgangssignal.
- Verschiedene Testsignale an die Ausgangskanäle senden und zurücklesen, um ihre Beschreibbarkeit zu testen. Die Testsignale wirken nur so kurzzeitig, dass ein Aktor nicht darauf reagiert.
Wenn bei diesen Überwachungen Fehler entdeckt werden, wird die Steuerung abgeschaltet und die Anlage in einen sicheren Zustand gefahren.
Die Feldbusteilnehmer überwachen sich gegenseitig. Innerhalb einer vorgegebenen Überwachungszeit muss jeder Teilnehmer von seinem Kommunikationspartner eine gültige Sequenznummer zurückgemeldet bekommen. Damit wird überwacht, ob der Sender, also z. B. das E/A-Gerät, noch „lebendig“ ist.
Die Gültigkeit der eingelesenen und im Telegramm vorhandenen Prozesswerte wird mittels eines Cyclic Redundancy Checks (CRC) überprüft. Dabei wird ein CRC-Wert vor dem Senden und nach dem Empfangen berechnet und verglichen.
Wenn hierbei Fehler auftreten, schicken die E/A-Geräte kein Acknowledge, wodurch die auf dieses Signal wartende CPU bei Timeout die Anlage abschaltet.
- HAZOP (Hazards and Operability): Zur Identifikation potentieller Gefahrenquellen analysiert ein Expertengremium, das aus erfahrenen Anlagenplanern und Betreibern zusammengesetzt ist, jedes einzelne Aggregat in der Anlage, das auf den Prozess wirkt. Im Rahmen eines Sicherheitsgesprächs wird zunächst das gewünschte Sollverhalten des jeweiligen Aggregats beschrieben. Danach werden alle möglichen Abweichungen davon betrachtet, die daraus resultierenden Konsequenzen diskutiert und so Ursachen für Ablaufstörungen bis hin zu Störfällen erkannt.
- Die HAZOP-Systematik sollte zur Absicherung durch zusätzliche Verfahren zur Gefahrenidentifikation ergänzt werden. Hierfür können
- die Fehlerbaumanalyse und
- die Ereignisbaumanalyse
Risikograf: Für jeden möglichen Fehler werden die Risikoparameter: Schadensausmaß S, Eintrittswahrscheinlichkeit W eines Fehlers, Möglichkeiten der Gefahrenabwendung G und Aufenthaltsdauer A von Personen im Gefahrenbereich klassifiziert. Anhand der ermittelten Risikoparameter ergibt sich mit dem Risikograf nach IEC 61508 ein Safety Integrity Level (SIL), der Anforderungen an die Ausfallwahrscheinlichkeit der Systeme vorgibt, die die Sicherheitsfunktion ausführen müssen.
genutzt werden.
Je nach Größe dieser Parameter ordnet der Risikograf dem Gefahrenpotential eine von vier Sicherheitsstufen (Safety Integrity Levels, SIL) zu. Für ferngesteuerte Krane ergibt sich z.B. die Sicherheitsstufe SIL 1, für Pressen mit Einlegearbeiten die Stufe SIL 3 und für Reaktorschutzsysteme die Stufe SIL 4.
Um sicherzustellen, dass die festgelegten Sicherheitsfunktionen von der Steuerung in jedem Fall ausgeführt werden, muss die Steuerung die an sie gerichteten Sicherheitsanforderungen, die sich aus der Risikoanalyse ergeben, erfüllen. Dabei ist zum einen die Ausfallrate der Steuerung, die sog. Probability of Failure per Hour (PFH), relevant und zum andern die Wahrscheinlichkeit eines Ausfalls gerade in dem Moment, wenn eine Sicherheitsfunktion ausgeführt werden soll (Probability of Failure on Demand, PFD).
Ventile werden bevorzugt pneumatisch angesteuert, weil dabei keine Explosionsgefahr besteht.
Schalter, Sensoren, Relais und Regler werden von der SPS durch elektrische Stromkreise angesteuert, die eigensicher ausgelegt werden müssen, d. h. sie müssen verhindern, dass es durch einen Funken oder eine heiße Oberfläche zu einer Explosion kommt.
Geräte, die mit hoher Leistung betrieben werden müssen, wie z.B. Antriebsmotoren für Pumpen, Zentrifugen o.ä. müssen in ein druckfest gekapseltes Gehäuse eingebaut werden, damit Funken und eine mögliche Explosion nicht nach außen gelangt.
Eigensichere Stromkreise müssen verhindern, dass es durch einen Funken oder eine heiße Oberfläche zu einer Explosion kommt. Wie unten gezeigt, beinhalten solche eigensicheren Stromkreise eine Barriere, die Strom und Spannung im Ex-Bereich begrenzen. Der in den Ex-Bereich übertragene Strom Is wird durch den Shunt R, die Spannung durch eine Zenerdiode begrenzt.
Übersteigt die Spannung an der Zenerdiode einen maximal zulässigen Wert, bricht die Zenerdiode durch. Der dadurch fließende Strom IZ ist so groß, dass die Sicherung F ausgelöst und der Stromkreis unterbrochen wird. Solche Zenerbarrieren sind in Trennverstärkern, eigensicheren E/A-Baugruppen und Feldbusbarrieren enthalten. Sie sorgen für eine eigensichere Ansteuerung der Feldgeräte.
Der Profibus PA (Process Automation) überträgt die Daten getaktet mit einer Manchestercodierung (Manchester Coded, Bus Powered, Instrinsically Safe, MBP-IS). Diese Übertragung ist sehr störungsarm und kommt mit kleinen Strom- und Spannungspegeln von 380mA bzw. 17, 5V aus. Datenübertragung und Energieversorgung erfolgen über ein- und dasselbe Kabel, das durch den Buskoppler vom nicht-eigensicheren Bereich galavanisch getrennt wird. Auch die Energieversorgung übernimmt der Buskoppler, der die einzige Stromquelle im PA-Busnetzwerk ist. Alle Verbraucher sind Stromsenken und speisen beim Senden keine Leistung in das Netzwerk ein. Somit muss lediglich gewährleistet werden, dass die Summe der benötigten Verbraucherströme den Versorgungsstrom der Quelle nicht übersteigt.
Folgende Systeme bieten potentielle Einfalltore für Viren, Würmer und Trojaner:
1. PCs als Programmiergeräte (PG),
2. Anzeige- und Bedienstationen (HMIs),
3. PC-basierte SPSen (Soft-SPSen) mit Fernwartungszugang,
4. Speichergeräte, die über USB oder andere Schnittstellen mit der SPS verbunden werden,
5. webfähige Maschinen und Feldgeräte, z. B. Smart Sensors.
Von der IEC 62433 wird die Verteidigungsstrategie Defense-in-Depth vorgeschlagen, die um den zu schützenden Kern wie unten dargestellt mehrere Sicherheitszonen einrichtet. Im Wesentlichen werden dabei folgende Maßnahmen einegsetzt:
- Demilitarisierte Zone (DMZ)
- Firewall
- Security Gateway
- Authentifizierung
- Verschlüsselung
- Patchmanagement
- Physikalische und organisatorische Maßnahmen
Speicherprogrammierbare Steuerungen in der Industrie 4.0
5. Auflage erschienen im Hanser Verlag 2021