Stellantrieb mit sicheren Funktionen nach IEC EN 61508

Transkript

1 Stellantrieb mit sicheren Funktionen nach IEC EN Entwicklung und Umsetzung von Architekturmerkmalen Die IEC EN beschreibt die Bereiche zur Beherrschung systematischer und zufälliger Fehler an sicherheitsrelevanten technischen Systemen. Sie führt die Rahmenbedingungen auf, die für Entwurf, Realisierung und Betrieb sicherheitsbezogener Systeme erforderlich sind. Obwohl in den Anhängen der Norm auf technische und praktische Aspekte eingegangen wird, stellt sie keine Standardbauanleitung für sicherheitsrelevante Systeme dar. Dies gibt den Entwicklern Freiräume, um innovative und wettbewerbsfähige Produkte zu konzipieren. In diesem Beitrag wird die Entwicklung und Implementierung sicherer Funktionen für einen Stellantrieb beschrieben. Dabei werden die möglichen Architekturmerkmale behandelt und diskutiert. SCHLAGWÖRTER IEC EN / SIL / Stellantrieb / Common Cause Failure Actuator with Safety Functions in Accordance with IEC EN Development and Implementation of Architectural Features IEC EN describes the control of systematic and unexpected hazardous events with safety-relevant technological systems. It establishes necessary conditions for the design, development, and operation of safety-related systems. Although the standard includes annexes which address technical and practical aspects, it does not constitute a set of instructions for the development of safety-relevant systems. Developers therefore have scope to design innovative and competitive products. Here the development and implementation of safe functions are described for an actuator. Possible architectural characteristics are considered. KEYWORDS IEC EN / safety integrity level / SIL / actuator / common cause failure 48

2 PETER MALUS, WERNER THOMANN, Auma KARL-HEINZ KAYSER, Hochschule Esslingen Stellantriebe für Armaturen und Maschinenantriebe kommen in vielfältigen Anwendungen im Stahlwasserbau, bei Wasserverund -entsorgungsanlagen, Kraftwerks- und Chemieanlagen, bei Öl- und Gasförderung, Öl-, Gastransport (Pipelines) und Verarbeitung, sowie im maritimen Bereich zum Einsatz. Kennzeichnend für die Produkte sind deren extreme Einsatzbedingungen, siehe Bild 1, bei gleichzeitig geforderter langjähriger, hoher Verfügbarkeit. Die Entwicklung von Stellantrieben und deren Steuerungen ist geprägt durch eine zunehmende Komplexität. Ausgehend von einfachen Logiksteuerungen haben sich die Geräte zu intelligenten Steuerungen mit vielen Kommunikationsschnittstellen (Feldbus, Bluetooth), komfortabler Programmierung und Bedienung, integrierten Regelalgorithmen mit umfangreicher intelligenter Sensorik entwickelt. Elektrische Stellantriebe sind seit mehr als 50 Jahren im industriellen Einsatz, auch in sicherheitsrelevanten Bereichen. Viele etablierte, aber nicht harmonisierte Sicherheitsstandards, prägen das heutige Bild. Sicherheitsstandards, Sicherheitsregeln und Verordnungen sind regional unterschiedlich vorgegeben, unter anderem durch Anlagenbetreiber, Anlagenversicherer sowie nationale Regelwerke und Vorschriften. Die etablierten Sicherheitsregeln werden trotz der Verabschiedung der internationalen Norm zur funktionalen Sicherheit (IEC EN 61508) vor zwölf Jahren kurz- und mittelfristig noch Bestand haben. Die Norm IEC EN beschreibt Verfahren und Methoden wie sich systematische und zufällige Fehler beherrschen lassen; kennzeichnend sind formale Vorgehensmodelle (zum Beispiel bei Entwurf, Konstruktion, Inbetriebnahme und Betrieb sicherheitsrelevanter Geräte) sowie entsprechende probabilistische Nachweisverfahren. Damit ist die Norm IEC EN als Grundlage für die Entwicklung sicherheitsrelevanter, komplexer Systeme geeignet. Entwicklungsziel von Auma war es, bestehend auf der aktuellen Stellantriebsgeneration, eine Ausführung zu entwickeln, die alle Anforderungen der Norm IEC EN erfüllt. 1. AUSGANGSSITUATION Stellantriebe sind stets in Verbindung mit anderen Komponenten in ein Gesamtsystem integriert. Beispiel Schiffsschleuse: Schleusentor mechanischer Gewindetrieb Stellantrieb Signal-/Datenleitung Leitsteuerung Energieversorgung. Beispiel Gasversorgung: Gasleitung Drucksensor Armatur Stellantrieb Signal-/Datenleitung Leitsteuerung Energieversorgung. Stellantriebe bestehen aus den Komponenten: Stellantriebsmechanik (Getriebe), Motor (geschaltet oder drehzahlveränderlich), Sensorik (beispielsweise Stellwegerfassung, Endlagen- und Drehmomenterfassung), Stellantriebssteuerung (inklusive Ortssteuerstelle, elektrische Anschlüsse für Ansteuerung und Energie) und Signal- sowie Datenleitungen von und zur übergeordneten Leitsteuerung. Stellantriebe öffnen, schließen, positionieren oder regeln eine Armaturenstellung. Hierzu werden unter anderem die Stellwegs- oder Endlagensignale verarbeitet. Die Lastmomentinformation wird zur Drehmomentüberwachung und zur Abschaltung bei drehmomentabhängigen Armaturen verwendet. 2. ANFORDERUNGEN AN SICHERHEITSFUNKTIONEN Grundsätzlich ist der gesamte Lebenszyklus eines Produktes von der Spezifikation, Entwicklung, Produktion, Inbetriebnahme, Betrieb, Wartung bis zur Außerbetriebssetzung zu betrachten. In diesem Beitrag wird ausschließlich der Betrieb eines Stellantriebs betrachtet. Die wesentlichen sicherheitsrelevanten Stellantriebsfunktionen sind Emergency Shut Down (ESD) und der sichere Stopp, wobei ESD zu unterteilen ist in sicheres Öffnen und sicheres Schließen, zum Beispiel einer Armatur. Die Bilder 2 und 3 zeigen zwei Anwendungsbeispiele für ESD. Während für den sicheren Stopp lediglich der Stellantrieb sicher abzuschalten und ein Haltemoment aufrecht zu erhalten ist (zum Beispiel durch Selbsthemmung des Getriebes), erfordern die ESD-Funktionen 49

3 sicheres Öffnen und sicheres Schließen, eine hohe Verfügbarkeit wesentlicher Komponenten im Antriebsstrang und der Sensorik des Stellantriebs zumindest solange, bis der Stellantrieb die Offen- beziehungsweise Geschlossen-Stellung erreicht hat. Die Realisierung der ESD-Funktion stellt demnach die höheren technischen Anforderungen. 2.1 Sicherheitsintegritäts-Level (SIL) Der erforderliche Sicherheitsintegritäts-Level (SIL) wird durch eine Gefährdungsanalyse an einer Applikation beziehungsweise Anlage ermittelt. Als Komponentenlieferant erhält Auma die Anforderungen an den SIL durch den Planer oder Endkunden, da nur dieser in der Lage ist, eine entsprechende Risikoanalyse einer Anlage durchzuführen. Häufig werden für einzelne Stellantriebe SIL-2-Fähigkeiten, gelegentlich auch SIL- 3-Fähigkeiten gefordert, siehe Norm [1]. SIL-3-Anforderungen lassen sich durch redundante, 2-kanalige Aufbauten, wie beispielhaft in Bild 2 und 3 dargestellt, realisieren. Die Autoren weisen darauf hin, dass bei gleichartigem Aufbau beider Kanäle (homogene Redundanz), Fehler gemeinsamer Ursachen (common cause failure, CCF), problematisch und daher zu vermeiden sind. Insbesondere systematische Fehler stellen Fehler gemeinsamer Ursachen dar und führen dazu, dass das Verhalten, beziehungsweise die Verfügbarkeit eines 2-kanaligen Systems auf das eines 1-kanaligen zurückfällt. Sichere Stellantriebsfunktionalität bedeutet für den gesamten Produktlebenszyklus des Stellantriebs: Vermeidung und Beherrschung systematischer Fehler Einhaltung statistischer Grenzwerte bezüglich zufälliger Fehler Systematische Fehler betreffen vor allem den Entwicklungs- und Produktionsprozess und zu einem gewissen Teil die Inbetriebnahme und Wartungstätigkeiten. Zufällige Fehler, zum Beispiel durch Bauteileausfall, sind vornehmlich während der Betriebsphase des Stellantriebs zu berücksichtigen. Dabei sind Grenzwerte für die zwei probabilistischen Kenngrößen Safe Failure Fraction (SFF) und die mittlere Probability of (dangerous) Failure PF D (im Beitrag auch als Fehlerwahrscheinlichkeit bezeichnet) einzuhalten. PFD wird weiter differenziert, ob eine sichere Funktion permanent (high demand) PFH D an einer Anlage benutzt wird, oder nur bei Bedarf (on demand) PFD D. (Die Definitionen der Begrifflichkeiten finden sich in der Norm [1] oder im Kasten Erläuterungen Begriffsdefinitionen im Beitrag). Während die für SIL 2 erforderlichen SFF-Grenzwerte (Grenzwerte sind abhängig von der Hardwarefehlertoleranz HFT) von allen sicherheitsrelevanten Komponenten einer Anlage zu erfüllen sind, ist der Grenzwert für die mittlere Fehlerwahrscheinlichkeit PFH D beziehungsweise PFD D durch die Summe der mittleren Fehlerwahrscheinlichkeiten aller an einer Anlage für die Erfüllung einer sicheren Funktion erforderlichen Einzelkomponenten gegeben. Für den Komponentenhersteller bedeutet dies, dass er für sein Produkt nur einen gewissen Prozentsatz des Grenzwertes für die mittlere Fehlerwahrscheinlichkeit in Anspruch nehmen darf, damit der Kunde in die Lage versetzt wird, mit technisch vertretbarem Aufwand den geforderten SIL der Gesamtanlage zu erzielen, siehe Bild 4. Die erzielbaren PFH D - beziehungsweise PFD D -Werte eines Produkts werden wesentlich von den durch den technischen Entwurf festgelegten Produktmerkmalen bestimmt. Diese sind: gerätetechnischer Aufbau (Konstruktion, Schaltung), Bauteile- und Komponentenauswahl, Architekturmerkmale, zum Beispiel ein- oder mehrkanalige Struktur automatisierte Überwachungs- und Diagnosefunktionen Weitere Einflussfaktoren ergeben sich durch die während der Produktbetriebsphase gegebenenfalls festzulegenden Wartungsintervalle. Eine Erhöhung der Wartungsintensität und der Wartungshäufigkeit verringert die mittlere Eintrittswahrscheinlichkeit eines gefährlichen Zustandes beziehungsweise verbessert den Wert PFH D oder PFD D. Technischer Entwurf und Wartungsintervalle bestimmen und beeinflussen die Anschaffungs- und Betriebskosten. Letztere sind ein entscheidendes Kriterium für die Produktakzeptanz durch den Kunden. Ziel der ingenieursmäßigen Konstruktion ist es, die geforderte Sicherheitsfunktionalität zu erfüllen und dabei die Interessen von Kunde und Anlagenbetreiber zu wahren. 3. TECHNISCHE KONZEPTION DER SICHERHEITSFUNKTIONEN Das Blockschaltbild in Bild 5 zeigt die wesentlichen Komponenten des zu betrachtenden Stellantriebs. Dieser bildet im Beitrag den Ausgangspunkt für die technische Integration der sicheren Funktionen ESD und Stopp. Dabei sind folgende Komponenten an der Erfüllung der sicheren Funktionen beteiligt: Ansteuer- und Statussignale (dient als Schnittstelle zur übergeordneten Steuerung und Leittechnik) Steuerung Sensorik Spannungsversorgung Ansteuerung Motor Getriebe 50

4 BILD 2: Applikation: sicheres Schließen von Öl-/ Gaszuführung 2-kanalige Anlagenarchitektur BILD 1: Stellantrieb im Test unter simulierten Einsatzbedingungen BILD 4: Prozentuale Aufteilung der Fehlerwahrscheinlichkeit im Sicherheitssystem BILD 3: Applikation: sicheres Öffnen im Kühlkreislauf 2-kanalige Anlagenarchitektur BILD 5: Aufbau des bestehenden Stellantriebs 51

5 Für den technischen Entwurf der sicherheitsrelevanten Funktionen und die Einhaltung der entsprechenden Grenzwerte für SFF und PF D sind bestimmte Prinzipien zu berücksichtigen und in Betrachtung zu ziehen: ein- oder mehrkanalige Struktur (hardware fault tolerance, HFT) für das Gesamtsystem oder Teile davon Realisierung mit einfachen Bauteilen (Typ A gemäß IEC EN 61508) oder mit komplexen Bauteilen (Typ B entsprechend IEC EN 61508, zum Beispiel Mikroprozessor und Software) Diagnoseabdeckung (diagnostic coverage, DC), um sicherheitsrelevante Fehler rechtzeitig zu entdecken und Schäden abzuwenden Trennung beziehungsweise Kapselung von normaler Funktion und sicherer Funktion Ziel ist es, die sicheren Funktionen auf Basis der aktuellen Stellantriebsgeneration zu integrieren, ohne dabei systemrelevante Änderungen (zum Beispiel Gehäuse, Außenabmessungen) am bestehenden Stellantrieb durchzuführen. Eine redundante oder mehrkanalige Ausführung der Teilkomponenten Getriebe, Motor, Motoransteuerung (Schütze, Thyristor) scheidet aus technischen sowie den vorab genannten Gründen aus. Erste Analysen und Berechnungen zu SFF und PFD ergaben, dass mit den oben genannten und bereits vorhandenen Teilkomponenten die erforderlichen Grenzwerte erreicht werden. Somit ist eine grundsätzliche Umsetzbarkeit, das heißt Integration der sicheren Funktionen in den bestehenden Antrieb, machbar. Die existierende Steuerung (Logik) des Stellantriebs basiert auf einem Mehrprozessorsystem samt Software und beinhaltet im Standard bereits Funktionen wie Stopp beziehungsweise ESD. Diese erfüllen aber nicht die Anforderungen an SIL 2. Eine softwarebasierte Integration der sicheren Funktionen auf das vorhandene Mikroprozessorsystem ist theoretisch möglich, eine Trennung der sicheren Funktionen von den Standardfunktionen wäre aber mit erheblichem technischen Aufwand verbunden. Die Schnittstellen zur Kommunikation mit übergeordneter Leittechnik (Feldbus oder binäre E/A) erfüllen ebenfalls nicht die Anforderungen an SIL 2 und sind deshalb anzupassen. 3.1 Umsetzung der sicheren Funktionen BILD 6: Steuerungskonzeptionen für die Umsetzung sicherer Stellantriebsfunktionen Wie zuvor beschrieben, sind die Steuerung (Logik) und die Schnittstellen die wesentlichen Handlungsfelder für die Integration der sicheren Funktionen ESD und Stopp in den Stellantrieb. 52

6 BILD 7: Aufbau Gesamtsystem eines sicheren Stellantriebs Steuerungskonzeptionen Zur Integration der sicheren Funktionen in die Stellantriebssteuerung sind diese Lösungswege zielführend, siehe Bild 6. 1 Direkte Integration in die bereits im Standard vorhandene, auf einem Mehrprozessorsystem basierende Steuerung (Software in sicherer Hardwareumgebung Typ B) 2 Integration auf einer zusätzlichen, mikroprozessorbasierten sicheren Steuerung (1-kanalig) (Software auf zusätzlicher sicherer Hardware Typ B) 3 Integration auf einer zusätzlichen, mikroprozessorbasierten sicheren Steuerung (1-kanalig), ferner Überwachung (Diagnose) durch die vorhandene Steuerung, was der Integration von sicheren Diagnosealgorithmen auf der vorhandenen Steuerung entspricht (Diagnosesoftware in sicherer Hardwareumgebung Typ B und Funktionssoftware auf zusätzlicher sicherer Hardware Typ B) 4 Integration auf einer zusätzlichen, mikroprozessorbasierten sicheren Steuerung und auf der vorhandenen Steuerung. Dadurch ergibt sich eine 2-kanalige Gesamtimplementierung mit der Möglichkeit zur gegenseitigen Überwachung (Diagnose) (Software in sicherer Hardwareumgebung Typ B und Software auf zusätzlicher sicherer Hardware Typ B) 5 Integration auf einer zusätzlichen, sicheren und festverdrahteten Steuerlogik, was eine hardwarebasierte Lösung darstellt (zusätzliche sichere Logikhardware Typ A) Bewertung der Steuerungskonzeptionen Die Lösungsansätze 1 bis 4 verwenden Mikroprozessoren und erfordern die Entwicklung sicherheitsrelevanter Software. Mikroprozessoren stellen im Sinne der IEC EN komplexe Bauteile dar (Typ B), bei deren Verwendung weitaus strengere Grenzwerte für SFF gelten, und damit mehr Diagnoseaufwand als beim Einsatz einfacher Bauteile (Typ A) notwendig wird. Die komplexe Schaltungstechnik bei Typ B sowie die zu erstellende sichere Software bergen ein erhöhtes Potenzial an systematischen Fehlern (Software) sowie zufälligen Fehlern (Komplexität der Hardware). Dagegen beinhaltet der Lösungsansatz 5 ein geringes Potenzial an systematischen Fehlern (keine Software, einfache Schaltlogik). Durch die Verwendung von Bauteilen geringer Komplexität (zum Beispiel Logikbausteine, Typ A) sind geringere Anforderungen an den SFF zu erfüllen, und damit unter Umständen geringere Anforderungen an die Diagnose erforderlich. Dies bedeutet nicht, dass auf umfangreiche Diagnosefunktionalität in der Standardsteuerung verzichtet wird, sondern, dass bestehende Diagnosealgorithmen nicht in die formalen Sicherheitsbetrachtungen einbezogen werden. Bei Lösungsansatz 5 sind vordergründig zufällige Fehler zu beherrschen, was auf Grund der vorhandenen und anerkannten Datenbasis hinsichtlich Bauteileausfallwahrscheinlichkeiten [2], unproblematisch ist. Wie zuvor erwähnt, sind bei 2- oder mehrkanaligen Anlagenarchitekturen zur Erreichung eines SIL 3, siehe Bild 2 und 3, Fehler gemeinsamer Ursachen (CCF) zu vermeiden. Bezüglich des CCF sind die Lösungsansätze 1 bis 4 wegen systematischer Fehler kritisch zu bewerten; dagegen eignet sich Lösungsansatz 5 am besten für mehrkanalige Anlagenarchitekturen. Lösungsansatz 1 bietet zunächst Vorteile, da für die Implementierung der sicheren Funktionen die vorhandene Steuerungshardware mit geringen Hardware- Anpassungen genutzt werden kann. Aber wie bereits 53

7 ERLÄUTERUNGEN BEGRIFFSDEFINITIONEN Fehlerrate λ und Fehlerwahrscheinlichkeit PF(t) Fehlerrate λ hat die Einheit [1/h] beziehungsweise [FIT=10 9 1/h]. Für λ = const. (gilt für die Betriebsphase der Weibullverteilung), gilt der Zusammenhang zwischen der Fehlerwahrscheinlichkeit PF [%] (Probability of Failure) und der Fehlerrate λ: PF(t) = 1 e λt oder der vereinfachte und linearisierte Ansatz: PF(t) = λ t (für Betriebszeit << 1/ λ) Fehlerrate und Fehlerwahrscheinlichkeit für sicherheitsrelevante Anwendungen Für sicherheitsrelevante Anwendungen sind Ausfälle, zum Beispiel an einem Bauteil, dahingehend zu beurteilen, ob sie gefährliche oder nicht gefährliche Auswirkungen auf die Sicherheitsfunktion haben. Entsprechend wird die Fehlerrate λ aufgeteilt in solche, die auf die sichere Seite fallen λ S (safe) und solche, die auf die unsichere Seite fallen λ D (dangerous). Mittels Diagnose und Überwachung kann unter Umständen ein gefährlicher Ausfall rechtzeitig entdeckt werden, sodass eine Anlage noch in einen sicheren Zustand überführt werden kann. Gefährliche Ausfälle λ D können demnach weiter aufgeteilt werden, in gefährliche entdeckte Ausfälle λ DD (detected) und gefährliche unentdeckte Ausfälle λ DU (undetected). λ = λ S + λ D = λ S + λ DD + λ DU Ausschlaggebend für die Beurteilung eines sicherheitsrelevanten Systems ist demnach die Fehlerwahrscheinlichkeit gefährlicher Fehler PF D. PF D (t) = 1 e λ DUt bei λ DD 0 bzw. PF D (t) = 1 e λ Dt bei λ DD = 0 Anmerkung: Obige Gleichung zeigt den Zusammenhang zwischen λ DU /λ D und PF D. Die Berechnung der mittleren Fehlerwahrscheinlichkeit realer Systeme stellt sich unter Umständen komplexer dar. Insbesondere, wenn komplexe, mehrkanalige Systeme vorliegen und/oder zyklische Prüfintervalle oder die Nutzungsintervalle sicherer Funktionen zu berücksichtigen sind. Fehlerbaumanalysen und zustandsorientierte Wahrscheinlichkeitsmodelle nach Markov eignen sich dazu, die mittlere Fehlerwahrscheinlichkeit zu bestimmen. Safe Failure Fraction SFF und Diagnostic Coverage DC Eine geringe Fehlerwahrscheinlichkeit eines Systems ist grundsätzlich ohne den Einsatz von Diagnosetechniken erzielbar. Beim Vorliegen eines gefährlichen Fehlers fällt das System aus. Deshalb sind in der Norm weitere Kenngrößen festgelegt. Die Diagnostic Coverage (DC) beschreibt den Grad entdeckbarer gefährlicher Ausfälle, während die Kenngröße Safe Failure Fraction (SFF) das Verhältnis der unproblematischen Fehler zu allen Fehlern beschreibt. SFF = λ S + λ DD λ S + λ DD + λ DU DC = λ DD = λ DD + λ DU λ DD λ D Referenzarchitektur Die Norm IEC geht von einer Referenzarchitektur sicherheitsbezogener Systeme bestehend aus 3 Teilsystemen (TS1... TS3) gemäß nachfolgender Abbildung aus. Bei der Betrachtung konkreter Systeme sind diese auf die Referenzarchitektur abzubilden. REFERENZARCHITEKTUR sicherheitsbezogener Systeme [1] Nutzung (Betriebsweisen) sicherheitsbezogener Systeme Folgende Betriebsweisen werden unterschieden: Betriebsart mit niedriger Anforderungsrate (low demand beziehungsweise on demand, zum Beispiel Airbag im Auto), das heißt Anforderung der sicherheitsbezogenen Funktion des Systems nicht mehr als einmal pro Jahr und nicht größer als die doppelte Frequenz der Wiederholungsprüfung. Kenngröße: PFD D = mittlere Fehlerwahrscheinlichkeit der sicherheitsbezogenen Funktion bei Anforderung - Probability of failure on demand. Betriebsart mit hoher oder kontinuierlicher Anforderung (high demand, zum Beispiel Lichtvorhang an manuell beschickter Stanzmaschine), das bedeutet Anforderung der sicherheitsbezogenen Funktion des Systems mehr als einmal pro Jahr oder größer als die doppelte Frequenz der Wiederholungsprüfungen. Kenngröße: PFH D = mittlere Wahrscheinlichkeit eines gefahrbringenden Ausfalles pro Stunde - Probability of failure on high demand. Gerätetechnische Umsetzung sicherheitsrelevanter Systeme Sicherheitsbezogene Systeme oder Teilsysteme werden hinsichtlich ihrer gerätetechnischen Umsetzung unterschieden in: Systeme, Teilsysteme: Typ A, Einfache Systeme, deren mögliche Fehler beziehungsweise Fehlermodelle zu 100% bekannt sind. Beispiele: einfacher Druckschalter, Relais, Transistor, einfache Logikschaltung. Systeme, Teilsysteme: Typ B. Komplexere Systeme, deren mögliche Fehler, Fehlermodelle nicht zu 100% bekannt sind. Meistens beinhalten diese Systeme Mikroprozessoreinheiten (und Software) und oder programmierbare komplexe Logikbausteine. Beispiele: Steuergerät, intelligenter Sensor. Architektureigenschaften sicherheitsrelevanter Systeme Systemarchitekturen werden unterschieden in nichtredundante Systeme (Hardwarefehlertoleranz HFT=0) und 54

8 redundante, 2-kanalige (HFT=1) und 3-kanalige (HFT=2). HFT=N bedeutet, N+1 Fehler können den Verlust der entsprechenden Sicherheitsfunktion bewirken. Grenzwerte der Kenngröße SFF Je nach erforderlichem Sicherheitsintegritätsgrad (SIL) sind für die sicherheitsbezogenen Systeme und Teilsysteme und für die Kenngröße SFF (Anteil sicherer Ausfälle) Grenzwerte gemäß nachfolgender Tabelle einzuhalten. Anteil Geräte Typ A Geräte Typ B sicherer Ausfälle Hardware Fehlertoleranz HFT Hardware Fehlertoleranz HFT SFF N=0 N=1 N=2 N=0 N=1 N=2 < 60% SIL 1 SIL 2 SIL 3 nicht erlaubt SIL 1 SIL 2 60 % < 90 % SIL 2 SIL 3 SIL 4 SIL 1 SIL 2 SIL 3 90 % < 99 % SIL 3 SIL 4 SIL 4 SIL 2 SIL 3 SIL 4 99 % SIL 3 SIL 4 SIL 4 SIL 3 SIL 4 SIL 4 GRENZWERTE SFF [1] Sind für die Teilsysteme TS1 bis TS3 (siehe Referenzarchitektur) bezüglich SFF die jeweiligen erreichbaren SIL-Werte ermittelt, dann bestimmt das Teilsystem mit dem niedrigsten SIL, den SIL des Gesamtsystems. SIL Gesamtsystem = kleinster SIL-Wert von TS1 bis TS3 Grenzwerte der Kenngrößen PFD D / PFH D Für die Kenngrößen PFD D und PFH D gelten die Grenzwerte gemäß folgender Tabelle. Safety Integrity Level SIL Betrieb im niederen Anforderungsmodus Wahrscheinlichkeit eines Ausfalls einer vorgesehenen Funktion bei Anforderung Betrieb im ununterbrochenen / hohen Anforderungsmodus Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde bis < bis < bis < bis < bis < bis < bis < bis <10-5 GRENZWERTE PFD D und PFH D [1] Zur Ermittlung des erreichbaren SIL des Gesamtsystems werden die mittleren Fehlerwahrscheinlichkeiten der drei Teilsysteme TS1 bis TS3 addiert und der SIL gemäß obiger Tabelle ermittelt. PFD D Gesamtsystem = TS3 i = TS1 PFD D i bzw. PFH D Gesamtsystem = TS3 i = TS1 PFH D i ausgeführt, stellt die Trennung der sicheren Funktionen (Software) von der umfangreichen Standardfunktionalität (Software) einen erheblichen Entwicklungsaufwand dar. Die Autoren weisen auf Untersuchungen und Betrachtungen [3,4] hinsichtlich der praktischen Umsetzung der IEC EN hin. Demnach besteht die Gefahr, dass unter alleiniger Betrachtung der durch die Norm zu erfüllenden Kenn- und Grenzwerte (SFF und PFD beziehungsweise PFH) der Einfluss von Architekturmerkmalen eines Systems in den Hintergrund gerät. Zu Letzterem zählt die strikte, gerätetechnische Trennung von Standardfunktionalität und sicheren Funktionen sowie die Rückbesinnung auf einfache und einfach beherrschbare Realisierungstechniken (Problematik CCF!). Die Lösungsansätze 2 und 3 erfüllen zwar die grundsätzliche Anforderung hinsichtlich der Trennung von Standard- und sicherer Funktion. Die Entwicklung sicherheitsrelevanter Software und die damit verbundene Beherrschung systematischer Fehler sowie der hohe Aufwand zur Erreichung der erforderlichen hohen Diagnoseabdeckung (unter anderem bedingt durch die umfangreiche Diagnose der Prozessorhardware) erfordern einen hohen technischen und organisatorischen Entwicklungsaufwand. Der Lösungsansatz 4 entfällt aus Kostengründen und wegen der bereits genannten Problematik hinsichtlich Trennung von sicherer und Standardfunktion und Fehlern gemeinsamer Ursachen. Somit stellt der Lösungsansatz 5 unter den genannten Rahmenbedingungen das Optimum dar. 4. UMSETZUNG, IMPLEMENTIERUNG UND ERFAHRUNGEN Bild 7 zeigt die Gesamtstruktur des realisierten, sicheren Stellantriebs. Nach zwei Jahren Planungs- und Umsetzungszeit konnte die Entwicklung des sicheren Stellantriebs entsprechend des Lösungsansatzes 5 abgeschlossen und das entsprechende Functional Safety Management (FSM) integriert werden. Der Stellantrieb mit integrierter sicherer Steuerung eignet sich für den Einsatz in SIL 2 und kann in redundanter Ausführung auch für SIL-3-Anwendungen eingesetzt werden. Dies wurde vom TÜV Nord geprüft und durch ein entsprechendes SIL-Zertifikat bestätigt. Während der Projektdauer wurde das Design mehrfach verifiziert und mit Kundenanforderungen abgeglichen. Auffallend war, dass sich das Kundeninteresse nicht auf die Erfüllung der durch die Norm geforderten Kennwerte und das Erreichen des geforderten SIL-Wertes beschränkte. Es bestand starkes Interesse an den Architekturmerkmalen der technischen Umsetzung der sicheren Funktionen im Stellantrieb. Dabei wurde die Entscheidung für den gewählten Lösungsansatz positiv bestätigt. 55

9 Aus den Rückmeldungen des Kunden ließen sich zwei Anwendungsvorteile erkennen: Der Einsatz einer separaten sicheren, hardwarebasierten Steuerungshardware nach Typ A erweist sich bei der Umsetzung redundanter Gesamtstrukturen wegen der erwähnten CCF-Problematik als vorteilhaft. Das spezielle Design, bei dem durch die Verwendung einer zusätzlichen sicheren Logikhardware (SIL-Modul) höchste Anforderungen an die Zuverlässigkeit der Sicherheitsfunktionen erfüllt werden, fand besonderen Anklang. Durch den Einsatz des zusätzlichen SIL-Moduls war es möglich, elektromechanische Wegendschalter und die Drehmomentüberwachung mit in die Sicherheitsfunktion zu integrieren. Bei vergleichbaren Systemen werden diese Signale üblicherweise ausgeblendet, der Antrieb fährt im Anforderungsfall mit höchstem Drehmoment in die Armaturenendlage, während in der aktuellen Lösung die gewohnten Funktionen zum Schutz der Armatur zum Einsatz kommen. MANUSKRIPTEINGANG Im Peer-Review-Verfahren begutachtet AUTOREN Dipl. Ing. (FH) PETER MALUS ist bei Auma als Produktmanager für den Bereich Drehantriebe und Explosionsschutz tätig. Im Rahmen eines Entwicklungsprojektes war er im Projektteam für die Definition der grundlegenden Anforderungen des Sicheren Stellantriebs zuständig. AUMA Riester GmbH & Co. KG, Aumastraße 1, D Müllheim, Tel (0) , Peter.Malus@auma.com Dipl. Ing. WERNER THOMANN arbeitet bei Auma als Entwicklungsingenieur in der Elektronikabteilung und war für die Entwicklung der zusätzlichen Logikhardware (SIL-Modul) für den sicheren Stellantrieb zuständig. Zudem war er maßgeblich an der Erstellung der Dokumentation entsprechend dem FSM Plan beteiligt. AUMA Riester GmbH & Co. KG, Aumastraße 1, D Müllheim, Tel. +49 (0) , Werner.Thomann@auma.com REFERENZEN [1] DIN EN 61508: Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme, Teile 1 bis 7. VDE, Beuth [2] SN 29500: Ausfallraten Bauelemente Erwartungswerte, Teile 1 bis 15. Siemens AG [3] Arndt, V., Kuschnerus, N., Morr, W., Netter, P., Schroers, B.: Funktionale Sicherheit ein wichtiges Thema in der NAMUR. Tagungsband 8. AALE Fachkonferenz 2011, S Oldenbourg Industrieverlag, 2011 [4] Netter, P.: Wie die Sicherheit laufen lernte. Ent wicklung der funktionalen Sicherheit in Deutschland. Automatisierungstechnische Praxis 52(1-2), S , 2011 Prof. Dr.-Ing. KARL-HEINZ KAYSER (geb. 1955) lehrt an der Hochschule Esslingen in der Fakultät Mechatronik und Elektrotechnik im Studiengang Automatisierungstechnik. Er leitet das Labor Automatisierungstechnik am Standort in Göppingen. Im Rahmen eines Forschungssemesters beteiligte er sich an der Entwicklung des sicheren Stellantriebs. Hochschule Esslingen University of Applied Sciences, Robert-Bosch Str. 1, D Göppingen, Tel. +49 (0) , karl-heinz.kayser@hs-esslingen.de 56