Kapitel 8: Fragen und Antworten

  • HAZOP (Hazards and Operability): Zur Identifikation potentieller Gefahrenquellen analysiert ein Expertengremium, das aus erfahrenen Anlagenplanern und Betreibern zusammengesetzt ist, jedes einzelne Aggregat in der Anlage, das auf den Prozess wirkt. Im Rahmen eines Sicherheitsgesprächs wird zunächst das gewünschte Sollverhalten des jeweiligen Aggregats beschrieben. Danach werden alle möglichen Abweichungen davon betrachtet, die daraus resultierenden Konsequenzen diskutiert und so Ursachen für Ablaufstörungen bis hin zu Störfällen erkannt.
  • Die HAZOP-Systematik sollte zur Absicherung durch zusätzliche Verfahren zur Gefahrenidentifikation ergänzt werden. Hierfür können

    • die Fehlerbaumanalyse und
    • die Ereignisbaumanalyse

    genutzt werden.

Da die exakte Ermittlung anhand einer Formel schwierig ist, nutzt man für jeden möglichen Fehler einen sog. Risikograf nach IEC 61508. Dieser bezieht sich auf Risikoparameter, wie das Schadensausmaß S, die Eintrittswahrscheinlichkeit W eines Fehlers und die Möglichkeit der Gefahrenabwendung G.

Je nach Größe dieser Parameter ordnet der Risikograf dem Gefahrenpotential eine von vier Sicherheitsstufen (Safety Integrity Levels, SIL) zu. Für ferngesteuerte Krane ergibt sich z.B. die Sicherheitsstufe SIL 1, für Pressen mit Einlegearbeiten die Stufe SIL 3 und für Reaktorschutzsysteme die Stufe SIL 4.

  • Maßnahmen zur Fehlervermeidung greifen für Fehler, die bis zur Inbetriebnahme z.B. bei der Spezifikation, Programmierung oder Fertigung entstanden sind. Diese Fehler können durch eine umfangreiche Prüfung der Hard- und Software im Rahmen der Qualifizierung von Steuerungen erkannt und behoben werden.
  • Fehlern, die während des Betriebs auftreten, muss durch Maßnahmen zur Fehlerbeherrschung begegnet werden. Zur Fehlerbeherrschung sind zunächst Sicherheitsfunktionen für die Prozessfehler festzulegen. Für den Entwurf werden häufig Ursache-Wirkungsdiagramme (Cause-Effect-Matrices) eingesetzt. Ein klassisches Beispiel hierfür ist die Verriegelungsmatrix. In den Zeilen sind die Prozesssignale eingetragen, die die Ursachen für die Sicherheitsfunktionen darstellen. In den Spalten wird die gewünschte Wirkung der Prozesssignale angegeben, nämlich in diesem Fall die Verriegelung der entsprechenden Aktoren. Die Sicherheitsfunktionen müssen natürlich durch hochzuverlässige Steuerungen ausgeführt werden. Wenn nun eine Komponente dieser Steuerungen ausfällt, darf kein gefährlicher Zustand in der Anlage entstehen. Um solche Fehler zu erkennen und die Anlage trotzdem in den sicheren Zustand zu überführen, ist der Einsatz sicherheitsgerichteter Steuerungen erforderlich.

Die Sicherheitsfunktion wird bei aktiver Redundanz parallel von beiden Systemen ausgeführt. Nur wenn sich die Ergebnisse nicht unterscheiden, wird der Aktor angesteuert. Bei unterschiedlichem Ergebnis liegt offensichtlich in einer der beiden CPUs ein Fehler vor, und es wird ein 0-Signal ausgegeben, wodurch der Aktor in den sicheren energielosen Zustand überführt wird.

Im Unterschied dazu werden die steuerungstechnischen Funktionen bei passiver Redundanz nur von einer, nämlich der sog. Master-CPU, abgearbeitet. Wenn diese ausfällt, übernimmt die zweite sog. Slave-CPU und sorgt dafür, dass die Steuerung nicht abgeschaltet werden muss, sondern weiter verfügbar bleibt.

Aktive Redundanz sorgt also für eine erhöhte Sicherheit, während passive Redundanz eine erhöhte Verfügbarkeit der Steuerung ermöglicht.

Sicherheit basiert auf dem Prinzip der Diversität, denn die Sicherheitsfunktionen werden auf zwei verschiedenen CPUs abgearbeitet. Diese sog. physikalische Diversität ermöglicht die Erkennung zufälliger Fehler in der Hardware. Darüber hinaus lassen sich durch eine sog. Implementierungsdiversität auch Fehler in der Software während des Programmablaufs erkennen. Dabei wird die Software auf zwei verschiedenen Wegen programmiert.

Ein aktiv redundantes System ist zwar sicher, weil es im Notfall die Anlage abschaltet. Die Anlage ist dadurch aber nicht mehr verfügbar. Ein passiv redundates System dagegen schaltet die Anlage bei Ausfall einer CPU nicht ab.

Sie bietet somit keine Sicherheit, sondern gewährleistet durch das Umschalten auf die Slave-CPU trotz Ausfall einer CPU die weitere Verfügbarkeit der Anlage.

Sicherheitsgerichtete Speicherprogrammierbare Steuerungen (SSPSen) erfüllen im Allgemeinen die Anforderungen bis zur Sicherheitsstufe SIL 3. Sie arbeiten nach dem Fail-Safe-Prinzip. Demnach muss eine SSPS garantieren, dass bei einem Ausfall von Komponenten kein unzulässiger, gefährlicher Zustand entstehen kann.

Selbsttests der CPU

  • In RAM und EEPROM werden die Daten normal und zusätzlich invers abgespeichert. Ein Speicherkomparator überwacht, dass zwei korrespondierende Speicherzellen zusammengenommen immer den Wert 1 haben.
  • Die Komponenten müssen innerhalb einer vorgegebenen Zeitspanne einer Watchdogschaltung mitteilen, dass sie noch ordnungsgemäß arbeiten. Hierfür setzen sie Zähler in der Watchdogschaltung auf einen angeforderten Wert. Die Watchdogschaltung dekrementiert den Zähler, so dass eine neue Mitteilung eintreffen muss, bevor der Zählwert Null erreicht ist.  
  • Die Programme werden zeitredundant und diversitär verarbeitet und die Resultate zur Aufdeckung zufälliger Fehler verglichen.

Test der E/A-Kanäle

  • Die Eingangssignale werden redundant eingelesen und verglichen.
  • Nachdem die Eingangssignale im RAM abgespeichert wurden, werden die Eingangskanäle kurzzeitig mit Testsignalen beaufschlagt, um ihre Beschreibbarkeit sicherzustellen.
  • Zwei Abschaltwege durch redundante Ausgänge,
  • Zurückführen des Ausgangssignals auf einen Eingangskanal und Vergleich mit dem Ausgangssignal.
  • Um ihre Beschreibbarkeit sicherzustellen, werden die Ausgangskanäle nur so kurz mit Testsignalen beaufschlagt, dass der träge Aktor nicht darauf reagiert

Durch das sicherheitsgerichtete Busprotokoll, z.B. ProfiSafe, kann die Kommunikation zwischen CPU und Peripherie überwacht werden:

  • Hierbei muss innerhalb einer vorgegebenen Überwachungszeit eine gültige Sequenznummer zurückgemeldet werden. Damit wird überwacht, ob der Sender, also z.B. das E/A-Gerät, noch ?lebendig? ist.
  • Die Gültigkeit der eingelesenen und im Telegramm vorhandenen Prozesswerte wird mittels eines Cyclic Redundancy Checks (CRC) überprüft. Dabei wird ein CRC-Wert vor dem Senden und nach dem Empfangen berechnet und verglichen.

Wenn hierbei Fehler auftreten, schicken die E/A-Geräte kein Acknowledge, wodurch die auf dieses Signal wartende CPU bei Timeout die Anlage abschaltet.

Das V-Modell teilt den Herstellungsprozess einer Anlagenautomatisierung in die Design-, Installations-, Funktions- und Produktionsphase ein.

In der Designphase werden die Dokumente erzeugt, die die Steuerung und die zu automatisierenden Prozesse spezifizieren. Ausgehend von der betrieblichen Verfahrensbeschreibung wird gemäß der gesetzlichen, technischen und betrieblichen Richtlinien im Lastenheft festgelegt, wie die Steuerung grundsätzlich im Zusammenspiel mit der Anlage zu funktionieren hat. Durch ein Pflichtenheft wird das systemneutrale Automatisierungskonzept des Lastenhefts auf das konkret ausgewählte Steuerungssystem übertragen und dessen Funktionalität detailliert geplant.

Die Realisierung der Hard- und Software erfolgt anhand der Pflichtenheftvorgaben. Bei ihrer Installation ist zu prüfen, ob die einzelnen Hard- und Softwaremodule spezifikationsgemäß installiert wurden (Installationsprüfung). Diese Prüfungen umfassen vor allem Modultests, d.h. die Prüfung der einzelnen Steuerungsfunktionen in Simulation, aber auch die Prüfung der angesteuerten Geräte über ein Visualisierungssystem durch die sogenannten Loop-Checks.

Im Rahmen der Funktionsprüfung werden die Steuerungsfunktionen im Zusammenspiel mit der Anlage überprüft. Schließlich gewährleistet eine erfolgreiche Produktionsprüfung das gewünschte Zusammenspiel zwischen Steuerung, Anlage und Produkt. Durch Funktions- und Produktionsprüfung erfolgen also die Integrationstests der bereits geprüften Module im Zusammenspiel mit Anlage und Produkt.

Unter dem Begriff Verifizierung versteht man die Sicherstellung, dass die Steuerung spezifikationsgemäß und nach festgelegten Qualitätsanforderungen arbeitet.

  • Modultests durch Sichtkontrolle der Programmlistings gegen die entsprechenden Funktionsvorgaben. Dabei wird die innere Struktur der Steueralgorithmen geprüft, was auch als White-Box-Test bezeichnet wird.
  • Nachdem die Softwaremodule programmiert bzw. konfiguriert wurden, ist per Review der Programmlistings sicherzustellen, dass die Spezifikationsunterlagen des Pflichtenhefts eingehalten worden sind.

In der ersten Phase, der sog. Installationsprüfung, wird geprüft, ob die einzelnen Hard- und Softwaremodule spezifikationsgemäß installiert wurden. So ist beispielsweise der Hardwareaufbau des installierten Steuerungssystems gegen den Hardwarestrukturplan, d.h. die Aufstellungspläne, Kabellisten, etc., zu testen.

Die weiteren Prüfungen umfassen vor allem folgende Modultests:

  • Test der Funktionsfähigkeit der Hardwarekomponenten, wie z.B. der E/A-Karten, der CPU's, des PG's und der einzelnen ABK's,
  • Test der Funktionsfähigkeit der Typicals in der SPS,
  • Review der vollständigen Installation der Ansteuerprogramme (CFC's) und der Signale.

Im Rahmen der Funktionsprüfung werden die Steuerungsfunktionen im Zusammenspiel mit der Anlage überprüft. Dabei werden folgende Prüfungen ausgeführt:

  • Loop-Check: Test der Feldgeräte durch Ansteuerung und Beobachtung über die Anzeige- und Bedienkomponente (ABK). Somit wird nicht nur die Funktionsfähigkeit des Ansteuerbausteins, sondern auch die korrekte E/A-Belegung sowie die Verdrahtung der Feldgeräte mit der SPS überprüft.
  • Test der Zusatzlogik der Programme (CFC's), wie z.B. Verriegelungen, Alarmierungen, kontinuierliche Schaltungen.
  • Wasserfahrt: Test der Ablaufketten (SFC's) hinsichtlich des spezifizierten Prozessablaufs. Dabei wird die Anlage anstatt mit dem vorgesehenen Produkt mit Wasser durchlaufen, um Auswirkungen von Anlagenfehlern auf die z.T. wertvollen und/oder gefährlichen Produktionseinsatzstoffe zu vermeiden.

Schließlich gewährleistet eine erfolgreiche Produktionsprüfung das gewünschte Zusammenspiel zwischen Steuerung, Anlage und Produkt. Bei der PQ bleiben noch folgende mit dem Automatisierungssystem auszuführende Tests:

  • Einstellung bzw. Parametrierung materialabhängiger Sensoren und Regler,
  • Optimierung der Abläufe hinsichtlich Parametrierung, Protokollierung (Aufzeichnung von Messkurven qualitätsrelevanter Sensoren) und
  • organisatorische Maßnahmen zur Behebung von Störfällen (Desaster Recovery).

Beim Modultest wird häufig also die innere Struktur der Steuerungsalgorithmen geprüft, was auch als White-Box-Test bezeichnet wird. Im Gegensatz dazu wird bei einem Black-Box-Test nur das zu beobachtende Verhalten des Gesamtsystems geprüft.

Im Rahmen der Funktionsqualifizierung wird die Steuerung im Zusammenspiel mit der Anlage überprüft. Sie werden als Integrationstests ausgeführt, d.h. die automatisierten Funktionen werden als Black-Box getestet.

Speicherprogrammierbare Steuerungen für die Fabrik- und Prozessautomation

4. Auflage erschienen im Hanser Verlag, 2015