Überwachung des Rückführkreises im Sicherheitsprogramm. Safety Integrated. Siemens Industry Online Support

Ähnliche Dokumente
Functional Example CD-FE-I-051-V10-DE

Functional Example CD-FE-I-018-V20-DE

Functional Example CD-FE-I-004-V30-DE

Astro for Simatic der innovative Software Dämmerungsschalter auf Basis einer Simatic S7 SPS. Applikation zur Steuerung einer Beleuchtungsanlage

Applikation zur Antriebstechnik

Fehlersichere Antriebe

Applikation zur Antriebstechnik

Manuelle Rückstellung

Safety Integrated. Einführung und Begriffe zur funktionalen Sicherheit von Maschinen und Anlagen. Nachschlagewerk Januar Answers for industry.

Functional Example CD-FE-I-025-V20-DE

400VAC. Not-Aus/ Emergency switching off

Applikation Simotion SimoPress

Was heißt eigentlich Einfehlersicherheit? Was verlangt EN zu sicherheitsbezogenen Teilen an Steuerungen und wie erfolgt die Umsetzung?

O N L I N E H I L F E. Speed Monitor MOC3SA. Motion Control

Anschluss CET4-AR an Sicherheits-Schaltgerät PNOZ X3.10P

Wie kommt man ohne Umwege zur sicheren Maschine?

Siemens TIA Portal mit CPX I-Port Master für IO Link Devices

Programm erstellen. TIA Portal. SIMATIC Programm erstellen. Bausteinbibliothek laden 1. Programmbaustein Main [OB1] löschen

Anleitung Heimpraktikum Mechatronic Safety

Anschluss CES-AR an Sicherheits-Schaltgerät PNOZ s5

Applikationen & Tools. Berechnungsbeispiele für Sicherheitsfunktionen nach EN ISO SINUMERIK 840D sl

Automatisierungsaufgabe SIMATIC. Automatisierungsaufgabe. Einleitung 1. Applikation. Hardwarekonfiguration 3. Beispielprojekt 4.

Automatisierungstechnik Die neue Simatic S7 Welt

Applikation APP5027 PA-CONTROL Lade Motor-Variante

Anschluss CES-AP an Pilz PDP67

Industrielle Schalttechnik SIRIUS Schalttechnik

Anschluss CET4-AP an Siemens ET 200pro

Applikationen & Tools. Informationen mit QR-Codes vom Comfort Panel auf Smartphones oder Tablets übertragen. SIMATIC Comfort Panels

Tool zur Steuerung & Regelung

Richtlinien (Gesetze) mit CE Kennzeichnung (Auszug)

Funktionale Sicherheit IEC SIL 2

MGB Quick Referenz - Stand 04/2010 2

Fehlerdiagnose / Fehlerbehandlung

Deckblatt. WinAC Shutdown. Anwenderdokumentation. V1.7 Mai Applikationen & Tools. Answers for industry.

Standstill Monitor MOC3ZA

ProSafe-RS sicherheitsgerichtete Technik

Tool PRONETA Migration Protool_Winccflexible-TIA V12

SIMATIC. Prozessleitsystem PCS 7 SIMATIC Management Console - Software-Aktualisierung. Software-Aktualisierung 1. Installationshandbuch

MVK METALL SAFETY. Aktive Sicherheitstechnik. Höchste Sicherheit. Robust. Dicht

Applikationen & Tools. Technologie-CPU 317TF-2 DP: Beispiel zur Bestimmung des Safety Integrity Level (SIL) nach IEC

Life Cycle elektrischer Komponenten

Was ist neu in SIMATIC imap V2.0 SP1?

Industrie-Automatisierung System HIMatrix. Datenblatt Z 7303 Z 7307

Ausbildungsunterlage für die durchgängige Automatisierungslösung Totally Integrated Automation (T I A) MODUL A7 Test- und Online- Funktionen

Externe Speicher- und Erweiterungskarten Benutzerhandbuch

Nutzung des Funktionsbausteins FB125 zur Auswertung der Profibus DP/V1 Normdiagnose in Simatic Step 7 Anwendungshinweis

TIA Portal Aktionspakete und Starter Kits zu Spezialpreisen

Anwendungsbeispiel und Kurzanleitung 04/2015. LOGO! App V3.0. LOGO! 8 und LOGO! 7

GRUNDOPERATIONEN, STEP 7, STÖRUNGSSUCHE, BEDIENGERÄTE, PROFIBUS DP. ZIELGRUPPE Mitarbeiter aus allen Bereichen, die mit SIMATIC S7 arbeiten möchten

Safety Applikationen im TIA Portal einfach gelöst

Applikationen & Tools. Erstellen der Verbindungsdaten für die offene TCP/IP Kommunikation mit dem Open Communication Wizard. Open Communication Wizard

Die sichere Fabrik mit Safety Integrated

HP Roar Plus Lautsprecher. Weitere Funktionen

Applikationen & Tools. Systemarchitekturen mit SIMATIC PCS 7/OPEN OS SIMATIC PCS 7. Applikationsbeschreibung November Answers for industry.

Applikationen & Tools. Gemeinsames Projektieren mit WinCC (TIA Portal) und STEP 7 V5.x. WinCC Basic, Comfort, Advanced und STEP 7 V5.

Sprout Companion. Benutzerhandbuch

Schnittstellen zur Eingangserweiterung

SINAMICS S120. Nachweis des Performance Levels e gemäß EN ISO

Service & Support. Wie kann mit WinCC flexible eine Wochenzeitschaltuhr erstellt werden? WinCC flexible 2008 SP2. FAQ Oktober 2011

Online-Datenblatt UE43-3MF2A2 UE43-3MF SICHERHEITS-RELAIS

Fern-Konfigurations-Software DMS NetConfig 2

Schnellinbetriebnahme MPA-S mit Profibus an Siemens S7

TÜV AUSTRIA SERVICES GMBH

HINWEIS ZUR PRODUKTSICHERHEIT Gefahr eines möglichen unsicheren Zustandes

AS-i Safety Analogeingangsmodule, IP20

Gefahrenanalyse und Risikobeurteilung. Mögliche Rechtsfolgen eines Unfalls. Haftung vermeiden = Fehler vermeiden

Projekt erstellen und Hardware anlegen. TIA Portal. SIMATIC Projekt erstellen und Hardware anlegen. Einführung ins TIA-Portal 1.

Anschluss CES-AR an Pilz PDP67

Deckblatt. Fragen und Antworten zum Proof-Test-Intervall. Proof-Test nach IEC FAQ Juli Service & Support. Answers for industry.

Praxisgerechte Validierung von Sicherheitsapplikationen

Ein Beispiel für die Anwendung des Risikographen

Sicherheit von Maschinen

Technical Note Nr

Bedienungsanleitung. Verteiler 4x14 INHALT:

Sicherheit von Maschinen

lldeckblatt Einsatzszenarien von SIMATIC Security-Produkten im PCS 7-Umfeld SIMATIC PCS 7 FAQ Mai 2013 Service & Support Answers for industry.

DMX Relais /Analog Interface. Bedienungsanleitung

SIMATIC Safety V13 - Getting Started SIMATIC. Industrie Software SIMATIC Safety V13 - Getting Started. Vorwort. Einführung in das Beispiel

Einfacher Einstieg mit dem SIMATIC S Starter Kit. Schnelle Steuerung schneller Start. siemens.de/s starter-kits

WHITEPAPER ÄNDERUNGEN DER IEC , BZW. EN UND DEREN AUSWIRKUNGEN AUF DEN EINSATZ BERÜHRUNGSLOS WIRKENDER SCHUTZEINRICHTUNGEN

Simatic. Liesmich Runtime Advanced. Allgemeine Hinweise 1. Verbesserungen in Update 5 2. Verbesserungen in Update 4 3. Verbesserungen in Update 3 4

Modul SPS-Programmierung

Realisierung von UMCM über den IBH Link UA mit Simatic S5 und S7 Steuerungen

Technical Note 0410 ewon

FAQ. Diagnose und Betriebssystem-Firmwareupdate bei S7-300 CPUs FAQ

Deckblatt. Steuern eines ALMs mit der SIMATIC S7 CPU SIMATIC / SINAMICS. FAQ August Service & Support. Answers for industry.

Sicherheits- Auswertegeräte

Service & Support. Anleitung zur Projektierung einer UDP-Verbindung. S7-300 / S7-400 Industrial Ethernet CPs. FAQ Januar Answers for industry.

IL ETH BK DI8 DO4 2TX-PAC: IP ASSIGNMENT & WATCHDOG

Bedienungsanleitung 03/2015. Kompatibilitäts-Tool

Ausbildungsunterlage für die durchgängige Automatisierungslösung Totally Integrated Automation (T I A)

Import SIMATIC-Variablen

Sicherheits-Module. 8/4 Eingänge PROFIsafe S20-PSDI8/4

Sicherheitstechnik. von Bihl+Wiedemann

zu konzipieren und umzusetzen. Gerne unterstützen wir Sie auch persönlich sprechen Sie uns an.

Anschluss MGB-L2B-PN an Siemens S7 315F

4 Not-Halt. Mehr Informationen zum Titel. 4.1 Grundsätzliches: Das Not-Halt-Befehlsgerät der rote Knopf ist überall

für POSIDRIVE FDS 4000

Sicherheitsfunktionen nach DIN EN ISO bei überlagerten Gefährdungen

Transkript:

Überwachung des Rückführkreises im Sicherheitsprogramm Safety Integrated https://support.industry.siemens.com/cs/ww/de/view/21331098 Siemens Industry Online Support

Gewährleistung und Haftung Gewährleistung und Haftung Hinweis Die Anwendungsbeispiele sind unverbindlich und erheben keinen Anspruch auf Vollständigkeit hinsichtlich Konfiguration und Ausstattung sowie jeglicher Eventualitäten. Die Anwendungsbeispiele stellen keine kundenspezifischen Lösungen dar, sondern sollen lediglich Hilfestellung bieten bei typischen Aufgabenstellungen. Sie sind für den sachgemäßen Betrieb der beschriebenen Produkte selbst verantwortlich. Diese Anwendungsbeispiele entheben Sie nicht der Verpflichtung zu sicherem Umgang bei Anwendung, Installation, Betrieb und Wartung. Durch Nutzung dieser Anwendungsbeispiele erkennen Sie an, dass wir über die beschriebene Haftungsregelung hinaus nicht für etwaige Schäden haftbar gemacht werden können. Wir behalten uns das Recht vor, Änderungen an diesen Anwendungsbeispiele jederzeit ohne Ankündigung durchzuführen. Bei Abweichungen zwischen den Vorschlägen in diesem Anwendungsbeispiel und anderen Siemens Publikationen, wie z. B. Katalogen, hat der Inhalt der anderen Dokumentation Vorrang. Für die in diesem Dokument enthaltenen Informationen übernehmen wir keine Gewähr. Unsere Haftung, gleich aus welchem Rechtsgrund, für durch die Verwendung der in diesem Applikationsbeispiel beschriebenen Beispiele, Hinweise, Programme, Projektierungs- und Leistungsdaten usw. verursachte Schäden ist ausgeschlossen, soweit nicht z. B. nach dem Produkthaftungsgesetz in Fällen des Vorsatzes, der groben Fahrlässigkeit, wegen der Verletzung des Lebens, des Körpers oder der Gesundheit, wegen einer Übernahme der Garantie für die Beschaffenheit einer Sache, wegen des arglistigen Verschweigens eines Mangels oder wegen Verletzung wesentlicher Vertragspflichten zwingend gehaftet wird. Der Schadensersatz wegen Verletzung wesentlicher Vertragspflichten ist jedoch auf den vertragstypischen, vorhersehbaren Schaden begrenzt, soweit nicht Vorsatz oder grobe Fahrlässigkeit vorliegt oder wegen der Verletzung des Lebens, des Körpers oder der Gesundheit zwingend gehaftet wird. Eine Änderung der Beweislast zu Ihrem Nachteil ist hiermit nicht verbunden. Weitergabe oder Vervielfältigung dieser Anwendungsbeispiele oder Auszüge daraus sind nicht gestattet, soweit nicht ausdrücklich von der Siemens AG zugestanden. Securityhinweise Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Systemen, Maschinen und Netzwerken unterstützen. Um Anlagen, Systeme, Maschinen und Netzwerke gegen Cyber-Bedrohungen zu sichern, ist es erforderlich, ein ganzheitliches Industrial Security-Konzept zu implementieren (und kontinuierlich aufrechtzuerhalten), das dem aktuellen Stand der Technik entspricht. Die Produkte und Lösungen von Siemens formen nur einen Bestandteil eines solchen Konzepts. Der Kunde ist dafür verantwortlich, unbefugten Zugriff auf seine Anlagen, Systeme, Maschinen und Netzwerke zu verhindern. Systeme, Maschinen und Komponenten sollten nur mit dem Unternehmensnetzwerk oder dem Internet verbunden werden, wenn und soweit dies notwendig ist und entsprechende Schutzmaßnahmen (z.b. Nutzung von Firewalls und Netzwerksegmentierung) ergriffen wurden. Zusätzlich sollten die Empfehlungen von Siemens zu entsprechenden Schutzmaßnahmen beachtet werden. Weiterführende Informationen über Industrial Security finden Sie unter http://www.siemens.com/industrialsecurity. Die Produkte und Lösungen von Siemens werden ständig weiterentwickelt, um sie noch sicherer zu machen. Siemens empfiehlt ausdrücklich, Aktualisierungen durchzuführen, sobald die entsprechenden Updates zur Verfügung stehen und immer nur die aktuellen Produktversionen zu verwenden. Die Verwendung veralteter oder nicht mehr unterstützter Versionen kann das Risiko von Cyber-Bedrohungen erhöhen. Um stets über Produkt-Updates informiert zu sein, abonnieren Sie den Siemens Industrial Security RSS Feed unter http://www.siemens.com/industrialsecurity. Beitrags-ID: 21331098, V3.1, 01/2017 2

Inhaltsverzeichnis Inhaltsverzeichnis Gewährleistung und Haftung... 2 1 Aufgabe... 4 2 Lösung... 4 2.1 Übersicht... 4 2.2 Hard- und Software-Komponenten... 6 2.2.1 Gültigkeit... 6 2.2.2 Verwendete Komponenten... 6 3 Grundlagen... 8 3.1 Grundbegriffe... 8 3.2 Funktionale Sicherheit... 9 3.3 Rückführkreis... 10 4 Funktionsweise... 11 4.1 Gesamtübersicht... 11 4.2 Überwachung der Not-Halt-Befehlsgeräte... 13 4.3 Überwachung des Rückführkreises... 14 4.4 Datenaustausch zwischen Standard-Anwenderprogramm und Sicherheitsprogramm... 16 5 Konfiguration und Projektierung... 17 5.1 Einstellungen der DI... 17 5.2 Einstellungen der F-DI... 18 5.3 Einstellungen der F-DQ... 20 6 Installation und Inbetriebnahme... 21 7 Bedienung der Applikation... 24 8 Bewertung der Sicherheitsfunktion... 26 8.1 Normen... 26 8.2 Sicherheitsfunktionen... 26 8.3 Bewertung nach IEC 62061... 27 8.4 Bewertung nach ISO 13849-1... 29 9 Literaturhinweise... 31 10 Historie... 31 Beitrags-ID: 21331098, V3.1, 01/2017 3

1 Aufgabe 1 Aufgabe Eine Maschine, die gefahrbringende Bewegungen ausführt, wird durch eine fehlersichere Steuerung gesteuert und mit Schützen geschaltet. Zum Schutz des Bedienpersonals werden technische Sicherheitsfunktionen (z. B. ein Not-Halt- Befehlsgerät und eine Schutztür) an der Maschine implementiert. Um einen hohen Diagnosedeckungsgrad und damit einen hohen SIL (Sicherheits-Integritätslevel nach IEC 62061) bzw. PL (Performance Level nach ISO 13849-1) zu erreichen, soll die Funktion der Schütze überwacht werden. 2 Lösung 2.1 Übersicht Schema Die Überwachung der Aktorik ist eine Diagnosefunktion und trägt damit erheblich zum SILCL (SIL Claim Limit, SIL-Anspruchsgrenze) bzw. PL des jeweiligen Teilsystems bei. Bei elektro-mechanischen Komponenten (z. B. Relais oder Schütze) wird häufig ein zwangsgeführter Hilfskontakt der Komponente auf die Steuerung rückgeführt und dort ausgewertet. Hierbei spricht man von der Überwachung des Rückführkreises bzw. dem Rücklesen der Schütze. Abbildung 2-1 Typische Verschaltung eines Aktors und dessen Rückführkreises DI F-DQ Q1 Dies ist besonders in einem redundanten Aufbau erforderlich. Verschweißt eines der beiden Schütze unerkannt, würde das zweikanalige System zu einem einkanaligen System werden. Stattdessen wird das Verschweißen erkannt und ein erneutes Einschalten bis zur Behebung des Fehlers verhindert. Beitrags-ID: 21331098, V3.1, 01/2017 4

2 Lösung Aufbau Um die Überwachung des Rückführkreises zu veranschaulichen, werden in diesem Anwendungsbeispiel zwei Maschinenteile getrennt voneinander geschaltet. Über die lokalen Not-Halt-Befehlsgeräte soll nur der betroffene Maschinenteil abgeschaltet werden. Über das globale Not-Halt-Befehlsgerät werden beide Maschinenteile sicher abgeschaltet. Abbildung 2-2 Übersicht der wichtigsten Komponenten CPU 1516F ET 200SP Lokaler Not-Halt A Lokaler Not-Halt B Globaler Not-Halt Schütze Schütze Maschinenteil A Maschinenteil B Die beiden Schütze eines Maschinenteils werden parallel über einen sichereren Ausgang der ET 200SP angesteuert. Die Hilfskontakte der beiden Schütze eines Maschinenteils sind in Reihe geschaltet und auf eine DI der ET 200SP rückgeführt. Im Sicherheitsprogramm wird das Signal des Rückführkreises mit dem Steuersignal der Schütze verglichen. Abgrenzung Diese Applikation enthält keine Beschreibung von: Auswertung der Sensorik Überwachung von elektronischen Komponenten wie Umrichtern Beitrags-ID: 21331098, V3.1, 01/2017 5

2 Lösung Vorausgesetzte Kenntnisse Folgende Kenntnisse werden vorausgesetzt: Grundlagen in Funktionaler Sicherheit Grundlagen in STEP 7-Programmierung 2.2 Hard- und Software-Komponenten 2.2.1 Gültigkeit Diese Applikation ist gültig für Alle fehlersicheren SIMATIC-Steuerungen STEP 7 Professional ab V13 SP1 mit STEP 7 Safety Advanced Hinweis Bei der Verwendung einer SIMATIC S7-1200 mit zentralem Aufbau ist STEP 7 Basic ab V13 SP1 mit STEP 7 Safety Basic ausreichend. 2.2.2 Verwendete Komponenten Die Applikation wurde mit den nachfolgenden Komponenten erstellt: Hardware-Komponenten Tabelle 2-1 Hardware-Komponenten Komponente Anz. Artikelnummer Hinweis Stromversorgung 1 6EP1332-4BA00 PM 190 W Fehlersichere S7-CPU 1 6ES7516-3FN01-0AB0 CPU 1516F-3 PN/DP SIMATIC Memory Card 1 6ES7954-8LF02-0AA0 SMC 24MB Interface Modul für ET 200SP 1 6ES7155-6AU00-0BN0 IM155-6PN ST Digitales Eingabemodul 1 6ES7131-6BF00-0BA0 8 DI ST, DC 24V Fehlersicheres digitales Eingabemodul Fehlersicheres digitales Ausgabemodul 1 6ES7136-6BA00-0CA0 8 F-DI, DC 24V 1 6ES7136-6DB00-0CA0 4 F-DQ, DC 24V/2A Base Unit 1 6ES7193-6BP00-0DA0 Einspeiseklemme getrennt Base Unit 2 6ES7193-6BP00-0BA0 Einspeiseklemme gebrückt Busadapter 1 6ES7193-6AR00-0AA0 BA 2xRJ45 Profilschiene S7-1500 1 6ES7590-1AE80-0AA0 Länge: 482 mm Profilschiene 35 mm 1 6ES5710-8MA11 Länge: 483 mm Not-Halt-Befehlsgerät 3 3SU1801-0NA00-2AA2 Pilzdrucktaster mit Gehäuse Kontaktmodul 1 Öffner 3 3SU1400-2AA10-1CA0 Zus. Kontakt für Not-Halt Schütz 4 3RT2015-1BB42 S00, DC24V, 1Ö Beitrags-ID: 21331098, V3.1, 01/2017 6

2 Lösung Software-Komponenten Tabelle 2-2 Software-Komponenten Komponente Anz. Artikelnummer Hinweis STEP 7 Professional 1 6ES7822-1AA03-0YA5 V13 SP1 STEP 7 Safety Advanced 1 6ES7833-1FA13-0YA5 V13 SP1 Beispieldateien und Projekte Die folgende Liste enthält alle Dateien und Projekte, die in diesem Beispiel verwendet werden. Tabelle 2-3 Beispieldateien Komponente 21331098_Feedback_DOC_V31_de.pdf 21331098_Feedback_PROJ_V30.zip 21331098_Feedback_SET_V20.zip Hinweis Dieses Dokument TIA Portal-Projekt Bewertung der Sicherheitsfunktion als SET-Projekt Beitrags-ID: 21331098, V3.1, 01/2017 7

3 Grundlagen 3 Grundlagen 3.1 Grundbegriffe Diagnosedeckungsgrad Der Diagnosedeckungsgrad (DC) beschreibt die Wirksamkeit der Diagnosefunktion(en) einer Sicherheitsfunktion, indem die Rate der erkannten, gefahrbringenden Ausfälle (λ DD ) ins Verhältnis zur Rate aller gefahrbringenden Ausfälle (λ Dtotal ) gestellt wird. DC = λ DD λ Dtotal Der Diagnosedeckungsgrad wird zur Berechnung des PFH D einer Sicherheitsfunktion und daher zur Ermittlung des erreichten SIL nach IEC 62061 bzw. PL nach ISO 13849-1 einer Sicherheitsfunktion benötigt. Anhang E der ISO 13849-1 beschreibt Beispiele zur Abschätzung des DC. Rückführkreis Ein Rückführkreis dient der Überwachung angesteuerter Aktoren (z. B. Relais oder Lastschütze) mit zwangsgeführten Kontakten bzw. Spiegelkontakten. Die Ausgänge können nur bei geschlossenem Rückführkreis aktiviert werden. Bei Verwendung eines redundanten Abschaltpfades muss der Rückführkreis beider Aktoren ausgewertet werden. Diese dürfen dafür auch in Reihe geschaltet werden. PFH D Der PFH D (en: Probability of dangerous Failure per Hour) beschreibt die mittlere Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde eines sicherheitsbezogenen Systems, eine bestimmte Sicherheitsfunktion auszuführen. Dieser Wert wird zur Ermittlung des erreichten SIL nach IEC 62061 bzw. PL nach ISO 13849-1 einer Sicherheitsfunktion benötigt. Die Berechnung des PFH D ist abhängig von der Architektur/Struktur des betrachteten Systems. Hinweis PFHD sollte nicht mit der Wahrscheinlichkeit eines gefahrbringenden Ausfalls bei Anforderung (PFD) verwechselt werden. Zwangsgeführte Kontakte Bei einer Komponente mit zwangsgeführten Kontakten (Spiegelkontakte) ist garantiert, dass die Öffner- und Schließerkontakte niemals gleichzeitig geschlossen sind (EN 60947-5-1). Beitrags-ID: 21331098, V3.1, 01/2017 8

3 Grundlagen 3.2 Funktionale Sicherheit Die Sicherheit ist aus Sicht des zu schützenden Gutes unteilbar. Da die Ursachen von Gefährdungen und damit auch die technischen Maßnahmen zu ihrer Vermeidung aber sehr unterschiedlich sein können, unterscheidet man verschiedene Arten der Sicherheit, z. B. durch Angabe der jeweiligen Ursache möglicher Gefährdungen. So spricht man von "elektrischer Sicherheit", wenn der Schutz vor den Gefährdungen durch die Elektrizität zum Ausdruck gebracht werden soll, oder von "funktionaler Sicherheit", wenn die Sicherheit von der korrekten Funktion abhängt. Um funktionale Sicherheit einer Maschine oder Anlage zu erreichen, ist es notwendig, dass die sicherheitsrelevanten Teile der Schutzeinrichtungen und Steuereinrichtungen korrekt funktionieren und sich im Fehlerfall so verhalten, dass die Anlage in einem sicheren Zustand bleibt oder in einen sicheren Zustand gebracht wird. Dazu ist die Verwendung besonders qualifizierter Technik notwendig, die den in den betreffenden Normen beschriebenen Anforderungen genügt. Die Anforderungen zur Erzielung funktionaler Sicherheit basieren auf den folgenden grundlegenden Zielen: Vermeidung systematischer Fehler Beherrschung systematischer Fehler Beherrschung zufälliger Fehler oder Ausfälle Das Maß für die erreichte funktionale Sicherheit ist die Wahrscheinlichkeit gefährlicher Ausfälle, die Fehlertoleranz und die Qualität, durch die die Freiheit von systematischen Fehlern gewährleistet werden soll. Es wird in den Normen durch unterschiedliche Begriffe ausgedrückt: In IEC 62061: "Safety Integrity Level" (SIL) In ISO 13849-1: "Performance Level" (PL) Mehr Informationen zu Funktionaler Sicherheit finden Sie unter \5\. Beitrags-ID: 21331098, V3.1, 01/2017 9

3 Grundlagen 3.3 Rückführkreis Der Rückführkreis dient zur Überwachung elektro-mechanischer Komponenten und stellt eine Diagnosefunktion eines sicherheitsrelevanten Systems dar. Empfehlungen Die Auslegung des Rückführkreises ist auf Basis der Risikobewertung und den allgemeinen Anforderungen an die Diagnosefunktion eines sicherheitsrelevanten Systems gemäß Kapitel 6.8 der IEC 62061 durchzuführen. Zusätzlich kann Anhang E der ISO 13849-1 bei der Auswahl einer geeigneten Diagnosefunktion herangezogen werden. Grundsätzlich sollten in der Umsetzung folgende Punkte beachtet werden: Der Hilfskontakt ist zwangsgeführt. Der Hilfskontakt ist ein Öffner-Kontakt. Bei Verwendung eines redundanten Abschaltpfades müssen beide Aktoren ausgewertet werden. Die Hilfskontakte der Aktoren dürfen dafür auch in Reihe geschaltet werden. Überwachen und steuern der Aktorik geschieht z. B. mit dem STEP 7-Baustein FDBACK. Anschluss des Rückführkreises Unter Beachtung der oben genannten Punkte ist in vielen Anwendungsfällen der Anschluss an eine DI ausreichend. Dieser Anwendungsfall wird im nachfolgenden Anwendungsbeispiel als Lösungsvariante weiter behandelt. In folgenden Fällen kann ein Anschluss des Rückführkreises an eine F-DI sinnvoll bzw. geboten sein: Einkanaliger Aufbau der Aktorik aber dennoch Forderung eines hohen Diagnosedeckungsgrads. Bestimmte Diagnosefunktionen (z. B. STEP 7-Baustein "FDBACK") sind nicht möglich. Einsatz eines fehlersicheren Moduls in der dezentralen Peripherie, um die Sicherheitsmechanismen von PROFIsafe zu nutzen. Beitrags-ID: 21331098, V3.1, 01/2017 10

4 Funktionsweise 4 Funktionsweise 4.1 Gesamtübersicht Programmübersicht Die folgende Grafik zeigt das Standard-Anwenderprogramm und das Sicherheitsprogramm und den Datenaustausch zwischen den beiden über globale Datenbausteine. Abbildung 4-1 Datenaustausch zwischen Standard-Anwenderprogramm und Sicherheitsprogramm Main Start StopA DataTo Safety Start StopB DataFrom Safety FOB1 Main Safety Tabelle 4-1 Programmbausteine Baustein StartStopA StartStopB MainSafety DataToSafety DataFromSafety Funktion Dieser Baustein stellt das Standard-Anwenderprogramm für den Maschinenteil A dar. Dieser Baustein stellt das Standard-Anwenderprogramm für den Maschinenteil B dar. Dieser Baustein enthält das Sicherheitsprogramm und ruft alle weiteren sicherheitsrelevanten Anweisungen auf. Die Bausteine "StartStopA" und "StartStopB" stellen in diesem globalen Datenbaustein ihre Steuersignale dem Sicherheitsprogramm zur Verfügung. Das Sicherheitsprogramm stellt in diesem globalen Datenbaustein dem Standard-Anwenderprogramm Diagnoseinformationen zur Verfügung. Beitrags-ID: 21331098, V3.1, 01/2017 11

4 Funktionsweise Abbildung 4-2 Aufbau Sicherheitsprogramm Main Safety Global Estop Local EstopA Local EstopB FdbackA FdbackB ACK_GL Tabelle 4-2 Erläuterung der Bausteine des Sicherheitsprogramms Baustein GlobalEstop LocalEstopA LocalEstopB FdbackA FdbackB ACK_GL Funktion Dieser Baustein überwacht das globale Not-Halt-Befehlsgerät, das beide Maschinenteile abschaltet und ist eine Instanz der STEP 7-Anweisung ESTOP1. Dieser Baustein überwacht das lokale Not-Halt-Befehlsgerät, das Maschinenteil A abschaltet und ist eine Instanz der STEP 7- Anweisung ESTOP1. Dieser Baustein überwacht das lokale Not-Halt-Befehlsgerät, das Maschinenteil A abschaltet und ist eine Instanz der STEP 7- Anweisung ESTOP1. Dieser Baustein überwacht den Rückführkreis der Aktorik von Maschinenteil A und ist eine Instanz der STEP 7-Anweisung FDBACK. Dieser Baustein überwacht den Rückführkreis der Aktorik von Maschinenteil B und ist eine Instanz der STEP 7-Anweisung FDBACK. Diese Anweisung dient zur Wiedereingliederung passivierter Kanäle. Beitrags-ID: 21331098, V3.1, 01/2017 12

4 Funktionsweise 4.2 Überwachung der Not-Halt-Befehlsgeräte Einleitung In dem Anwendungsbeispiel werden drei Not-Halt-Befehlsgeräte überwacht: Globaler Not-Halt, der beide Maschinenteile abschaltet Lokaler Not-Halt, der nur Maschinenteil A abschaltet Lokaler Not-Halt, der nur Maschinenteil B abschaltet Jedes der drei Not-Halt-Befehlsgeräte wird mit der Anweisung ESTOP1 überwacht. Die nachfolgende Beschreibung gilt für alle drei Not-Halt-Befehlsgeräte. Beschreibung des Programms Die Anweisung ESTOP1 ist in STEP 7 Safety Advanced enthalten. Ist der Not-Halt nicht betätigt, gibt die Anweisung TRUE auf dem Ausgang Q aus. Nach Betätigung des Not-Halts muss dieser entriegelt werden und über den Eingang ACK quittiert werden. Dass eine Quittierung erforderlich ist, wird über den Ausgang ACK_REQ ausgegeben. Der Ausgang Q wird in eine temporäre Variable zwischengespeichert, um einen Zugriff darauf in den nächsten Netzwerken zu vereinfachen. Abbildung 4-3 Überwachung des globalen Not-Halt-Befehlsgerätes im Sicherheitsprogramm Hinweis Die beiden Kanäle eines Not-Halt-Befehlsgerätes werden durch das F-DI-Modul auf Diskrepanz und Querschluss überwacht. Im Anwenderprogramm steht dann ein verarbeitetes Signal für beide Kanäle zur Verfügung. Auf die einzelnen Kanäle kann nicht zugegriffen werden. Ein Anwendungsbeispiel, das näher auf die Überwachung eines Not-Halts- Befehlsgerätes eingeht, finden Sie unter \4\. Beitrags-ID: 21331098, V3.1, 01/2017 13

4 Funktionsweise 4.3 Überwachung des Rückführkreises Einleitung Für das Schalten und Überwachen der Aktorik (in diesem Beispiel jeweils die beiden Schütze der beiden Maschinenteile) wird die in STEP 7 enthaltene Anweisung FDBACK genutzt. Die Anweisung vergleicht kontinuierlich das Signal des Rückführkreises mit dem Steuersignal der Aktorik. Dadurch können folgende Fehler erkannt werden: Tabelle 4-3 Fehlererkennung FDBACK Fehler Kabelbruch der Steuerleitung Verschweißen eines Kontakts Zeitpunkt Im ausgeschalteten Zustand beim Einschalten der Aktorik Im eingeschalteten Zustand unmittelbar Beim Ausschalten der Aktorik Da die beiden Maschinenteile getrennt voneinander gesteuert und überwacht werden, wird für jeden Maschinenteil eine eigene Instanz von FDBACK verwendet. Die nachfolgende Beschreibung gilt für beide Maschinenteile. Beschreibung des Programms Die Schütze werden über den Ausgang Q der Anweisung unter folgenden Bedingungen geschaltet: Freigabesignal vom globalen Not-Halt liegt an Freigabesignal vom lokalen Not-Halt liegt an Startsignal vom Standard-Anwenderprogramm liegt an Innerhalb der parametrierten Zeit FDB_TIME muss das Signal am Eingang FEEDBACK invers zum Ausgangssignal Q schalten. Ist dies nicht der Fall, liegt ein Fehler im Rückführkreis vor und die Schütze werden abgeschaltet. Danach muss über den Eingang ACK quittiert werden. Dass eine Quittierung erforderlich ist, wird über den Ausgang ACK_REQ ausgegeben. Bei jedem Programmzyklus wird geprüft, ob das Signal des Rückführkreises invers zum Ausgangssignal Q ist. Ein Fehler in der Steuerleitung, den Schützen oder dem Rückführkreis wird dadurch unmittelbar erkannt. Beitrags-ID: 21331098, V3.1, 01/2017 14

4 Funktionsweise Abbildung 4-4 Überwachung des Rückführkreises von Maschinenteil A im Sicherheitsprogramm Am Eingang QBAD_FIO wird der Wertstatus des Kanals überwacht, an dem die Schütze angeschlossen sind. Hinweis Bei neuen Steuerungen S7-1200 und S7-1500 wird das kanalgranulare QBAD-Bit durch den Wertstatus ersetzt. Für den Wertstatus (engl. "Value status") gilt folgende Konvention: FALSE: Es werden Ersatzwerte ausgegeben. TRUE: Es werden Prozesswerte ausgegeben. Der Wertstatus verhält sich invers zum QBAD-Bit und wird in das Prozessabbild der Eingänge (PAE) eingetragen. Mehr Informationen zum Wertstatus finden Sie unter \3\. Beitrags-ID: 21331098, V3.1, 01/2017 15

4 Funktionsweise 4.4 Datenaustausch zwischen Standard- Anwenderprogramm und Sicherheitsprogramm Um Daten zwischen dem Standard-Anwenderprogramm und dem Sicherheitsprogramm auszutauschen, werden zwei globale Datenbausteine verwendet: DataToSafety DataFromSafety Der Datenbaustein DataToSafety wird vom Standard-Anwenderprogramm geschrieben und vom Sicherheitsprogramm gelesen. Der Datenbaustein DataFromSafety wird vom Sicherheitsprogramm geschrieben und vom Standard- Anwenderprogramm gelesen. Vom Standard-Anwenderprogramm werden die verarbeiteten Startsignale "starta" und "startb" für die beiden Maschinenteile an das Sicherheitsprogramm übertragen. Das Sicherheitsprogramm meldet die Freigabe der Sicherheitsfunktionen über die Variable "release" an das Standard- Anwenderprogramm, sodass dieses aus Prozessgründen im Notfall gestoppt wird. Hinweis Mehr Informationen zu dem Austausch von Daten zwischen dem Standard- Anwenderprogramm und dem Sicherheitsprogramm finden Sie unter \3\. Beitrags-ID: 21331098, V3.1, 01/2017 16

5 Konfiguration und Projektierung 5 Konfiguration und Projektierung Das mitgelieferte Projekt bedarf keiner weiteren Konfiguration. Sollten Sie das Anwendungsbeispiel mit anderen Komponenten nachbauen, werden in diesem Kapitel die wichtigsten Einstellungen gezeigt. ACHTUNG Die nachfolgend gezeigten Einstellungen tragen mit dazu bei, PL e / SIL 3 zu erfüllen. Änderungen an den Einstellungen können zu einem Verlust der Sicherheitsfunktion führen. ACHTUNG Die in den Beispielprojekten verwendeten Default-Werte können gegebenenfalls von Ihren individuellen Anforderungen abweichen. 5.1 Einstellungen der DI Diagnose Die SIMATIC Eingabemodule der ET 200SP bieten die Möglichkeit, Diagnosefunktionen zu aktivieren. In diesem Anwendungsbeispiel sind sie demonstrativ deaktiviert, da sie nicht zur Sicherheitsfunktion beitragen. Mögliche Fehler im Rückführkreis werden durch das Sicherheitsprogramm und die Anweisung FDBACK aufgedeckt. Abbildung 5-1 Diagnoseeinstellungen der DI Beitrags-ID: 21331098, V3.1, 01/2017 17

5 Konfiguration und Projektierung 5.2 Einstellungen der F-DI Kurzschlusstest Der Kurzschlusstest für die verwendeten Kanäle 0, 1, 2, 4, 5 und 6 ist aktiviert. Abbildung 5-2 Aktivierung des Kurzschlusstests Beitrags-ID: 21331098, V3.1, 01/2017 18

5 Konfiguration und Projektierung Kanalparameter Die Überwachung des globalen Not-Halt-Befehlsgerätes erfolgt über das Kanalpaar 0, 4. Die Auswertung der Geber muss auf "1oo2 (2v2)-Auswertung, äquivalent" ("1oo2 evaluation, equivalent") gestellt werden, um Diskrepanzen zwischen den beiden Kanälen erkennen und somit den geforderten Sicherheitslevel zu erreichen. Abbildung 5-3 Einstellung 1oo2 (2v2)-Auswertung, äquivalent Für die beiden lokalen Not-Halt-Befehlsgeräte (Kanalpaare 1, 5 und 2, 6) werden dieselben Einstellungen gesetzt. Hinweis Nicht verwendete Kanäle müssen Sie deaktivieren. Beitrags-ID: 21331098, V3.1, 01/2017 19

5 Konfiguration und Projektierung 5.3 Einstellungen der F-DQ Kanaleinstellungen Für die beiden Kanäle 0 und 1, die die Schütze ansteuern, wurden max. Rücklesezeiten von 1 ms für den Dunkeltest und 2 ms für den Einschalttest gewählt. Abhängig von der verwendeten Aktorik müssen Sie diese Zeiten gegebenenfalls anpassen. Weitere Informationen dazu finden Sie im Gerätehandbuch des Moduls unter \6\. Abbildung 5-4 Kanaleinstellungen F-DQ ACHTUNG Da sich die Fehlerreaktionszeit um die Rücklesezeit Dunkeltest verlängert, empfehlen wir Ihnen, die Rücklesezeit Dunkeltest durch Herantasten so klein wie möglich einzustellen, jedoch so groß, dass der Ausgangskanal nicht passiviert wird. Hinweis Nicht verwendete Kanäle müssen Sie deaktivieren. Beitrags-ID: 21331098, V3.1, 01/2017 20

6 Installation und Inbetriebnahme 6 Installation und Inbetriebnahme Zum Nachstellen dieses Anwendungsbeispiels verdrahten Sie die Hardware- Komponenten wie nachfolgend gezeigt. Verdrahtung DI In dem mitgelieferten Projekt werden die Start-, Stopp- und Quittiertaster über eine Beobachtungstabelle simuliert. Abbildung 6-1 Verdrahtungsplan DI L+ M L+ M L+ M L+ M SIMATIC CPU 1516F SIMATIC ET 200SP DI 8x24VDC PN PN 1 2 10 9 Q1.1 Q2.1 Q1.2 Q2.2 Tabelle 6-1 Anweisungen Anschluss DI Nr. Aktion 1. Schließen Sie die Steuerung an die Spannungsversorgung an. 2. Schließen Sie das Interface-Modul der ET 200SP an die Spannungsversorgung an. 3. Schließen Sie die Baseunit der DI an die Spannungsversorgung an. 4. Schließen Sie "21 NC" von Q1.1 an Klemme 1 der Baseunit der DI an. 5. Schließen Sie "22 NC" von Q1.1 an "21 NC" von Q1.2 an. 6. Schließen Sie "22 NC" von Q1.2 an Klemme 9 der Baseunit der DI an. 7. Schließen Sie "21 NC" von Q2.1 an Klemme 2 der Baseunit der DI an. 8. Schließen Sie "22 NC" von Q2.1 an "21 NC" von Q2.2 an. 9. Schließen Sie "22 NC" von Q2.2 an Klemme 10 der Baseunit der DI an. 10. Verbinden Sie die Steuerung mit dem Interface-Modul der ET 200SP mit einem Ethernet-Kabel. Beitrags-ID: 21331098, V3.1, 01/2017 21

6 Installation und Inbetriebnahme Verdrahtung F-DI Abbildung 6-2 Verdrahtungsplan F-DI L+ M F-DI 1 5 13 9 2 6 14 10 3 7 15 11 Global E-Stop Local E-Stop A Local E-Stop B Beitrags-ID: 21331098, V3.1, 01/2017 22

6 Installation und Inbetriebnahme Verdrahtung F-DQ Abbildung 6-3 Verdrahtungsplan F-DQ L+ M F-DQ 4x24VDC/2A 1 9 2 10 Q1.1 Q2.1 Q1.2 Q2.2 Inbetriebnahme Eine ausführliche Anleitung zum Laden und Inbetriebnehmen eines TIA Portal- Projekts mit Sicherheitsprogramm finden Sie unter \4\. Beitrags-ID: 21331098, V3.1, 01/2017 23

7 Bedienung der Applikation 7 Bedienung der Applikation In dem mitgelieferten Projekt werden die Start-, Stopp- und Quittiertaster über eine Beobachtungstabelle simuliert. Öffnen Sie das Projekt und die Beobachtungstabelle und verbinden Sie sich mit der Steuerung, um die Applikation zu bedienen. Testen der Not-Halt-Befehlsgeräte Nachfolgende Tabelle demonstriert die Funktionsweise: Tabelle 7-1 Testen der Not-Halt-Befehlsgeräte Nr. Aktion Ergebnis / Hinweis 1. Steuern Sie die Variable "Test.ack" auf TRUE und anschließend wieder auf FALSE. 2. Steuern Sie die Variable "Test.startA" auf TRUE und anschließend wieder auf FALSE. 3. Steuern Sie die Variable "Test.startB" auf TRUE und anschließend wieder auf FALSE. 4. Betätigen Sie das lokale Not-Halt-Befehlsgerät für Maschinenteil A. 5. Entriegeln Sie das lokale Not-Halt-Befehlsgerät. 6. Steuern Sie die Variable "Test.ack" auf TRUE und anschließend wieder auf FALSE. 7. Steuern Sie die Variable "Test.startA" auf TRUE und anschließend wieder auf FALSE. Quittierung nach Neustart. Schütze Maschinenteil A schalten ein. Schütze Maschinenteil B schalten ein. Schütze Maschinenteil A schalten ab. Quittierung nach Auslösen der Sicherheitsfunktion. Schütze Maschinenteil A schalten ein. 8. Betätigen Sie das globale Not-Halt-Befehlsgerät. Schütze beider Maschinenteile schalten ab. 9. Entriegeln Sie das globale Not-Halt-Befehlsgerät. 10. Steuern Sie die Variable "Test.ack" auf TRUE und anschließend wieder auf FALSE. Quittierung nach Auslösen der Sicherheitsfunktion. Beitrags-ID: 21331098, V3.1, 01/2017 24

7 Bedienung der Applikation Simulation eines verschweißten Kontakts Nachfolgende Tabelle demonstriert wie Sie die Diagnosefunktion des Rückführkreises testen können: Tabelle 7-2 Simulation eines verschweißten Kontakts Nr. Aktion Ergebnis / Hinweis 1. Steuern Sie die Variable "Test.ack" auf TRUE und anschließend wieder auf FALSE. 2. Steuern Sie die Variable "Test.startA" auf TRUE und anschließend wieder auf FALSE. 3. Halten Sie mit einem Schraubendreher den Bolzen eines Schützes in der eingefahrenen Position. 4. Steuern Sie die Variable "Test.stopA" auf FALSE und anschließend wieder auf TRUE. 5. Lassen Sie den Bolzen des Schützes los. 6. Steuern Sie die Variable "Test.ack" auf TRUE und anschließend wieder auf FALSE. 7. Steuern Sie die Variable "Test.startA" auf TRUE und anschließend wieder auf FALSE. Quittierung nach Neustart. Schütze Maschinenteil A schalten ein. Das intakte Schütz schaltet ab. Die Variable "InstMainSafety.instFdbackA.ERROR" zeigt den erkannten Fehler an. Ein Wiedereinschalten wird verhindert. Quittierung des Fehlers im Rückführkreis. Schütze Maschinenteil A schalten ein. Simulation eines Drahtbruchs Nachfolgende Tabelle demonstriert wie Sie die Diagnosefunktion des Rückführkreises testen können: Tabelle 7-3 Simulation eines Drahtbruchs Nr. Aktion Ergebnis / Hinweis 1. Steuern Sie die Variable "Test.ack" auf TRUE und anschließend wieder auf FALSE. 2. Steuern Sie die Variable "Test.startA" auf TRUE und anschließend wieder auf FALSE. 3. Unterbrechen Sie die Spannungsversorgung eines der beiden Schütze. 4. Stellen Sie die Spannungsversorgung des Schützes wieder her. 5. Steuern Sie die Variable "Test.ack" auf TRUE und anschließend wieder auf FALSE. 6. Steuern Sie die Variable "Test.startA" auf TRUE und anschließend wieder auf FALSE. Quittierung nach Neustart. Schütze Maschinenteil A schalten ein. Schütze Maschinenteil A schalten ab. "InstMainSafety.instFdbackA.ERROR" zeigt den erkannten Fehler an. Ein Wiedereinschalten wird verhindert. Quittierung des Fehlers im Rückführkreis. Schütze Maschinenteil A schalten ein. Beitrags-ID: 21331098, V3.1, 01/2017 25

8 Bewertung der Sicherheitsfunktion 8 Bewertung der Sicherheitsfunktion 8.1 Normen Zur Bewertung der Sicherheitsfunktion wurden folgende Fassungen der Normen herangezogen: Tabelle 8-1 Fassungen der Normen Fassung In diesem Dokument abgekürzt EN ISO 13849-1:2015 ISO 13849-1 EN ISO 13849-2:2012 ISO 13849-2 EN 62061:2005/A2:2015 IEC 62061 8.2 Sicherheitsfunktionen Vorbemerkung Not-Halt ist kein Mittel zur Risikominderung. Not-Halt ist eine "ergänzende Sicherheitsfunktion". Sicherheitsfunktionen Folgende ergänzende Sicherheitsfunktionen sind in dem Anwendungsbeispiel realisiert: Tabelle 8-2 Sicherheitsfunktion SF1 SF2 SF2 Beschreibung Wenn der globale Not-Halt betätigt wird, müssen die Schütze von Maschinenteil A und B sicher abschalten. Wenn der lokale Not-Halt in Maschinenteil A betätigt wird, müssen die Schütze von Maschinenteil A sicher abschalten. Wenn der lokale Not-Halt in Maschinenteil B betätigt wird, müssen die Schütze von Maschinenteil B sicher abschalten. Im Folgenden wird das Teilsystem "Reagieren" der Sicherheitsfunktion SF2 nach den Normen IEC 62061 und ISO 13849-1, ISO 13849-2 bewertet. Eine ausführliche Bewertung der gesamten Sicherheitsfunktion finden Sie in dem mitgelieferten SET-Projekt oder unter \4\. Beitrags-ID: 21331098, V3.1, 01/2017 26

8 Bewertung der Sicherheitsfunktion 8.3 Bewertung nach IEC 62061 Nachfolgend wird eine Bewertung nach IEC 62061 mit dem Safety Evaluation Tool (SET) durchgeführt. Den Link zum SET finden Sie im Internet unter \7\. Bewertung "Reagieren" Die zur Bewertung relevanten Parameter der Schütze werden vom Hersteller geliefert und vom Anwender festgelegt. Tabelle 8-3 Parameter Wert Begründung Festlegung B10 B10-Wert Schütz Anteil gefahrbringender Ausfälle Schütz T1 Gebrauchsdauer 1.000.000 Herstellerangabe SIEMENS AG 0,73 (73%) Herstellerangabe 175.000 h (20 Jahre) Herstellerangabe Teilsystemarchitektur D 2 Kanäle, 2 Komponenten: Einfehlertolanz mit Diagnosefunktion Betätigungen/ Testintervall (CCF-Faktor) Anfälligkeit gegenüber Ausfällen in Folge gemeinsamer Ursache DC Diagnosedeckungsgrad 1/h Annahme 0,1 (10%) Bei Installation nach IEC 62061 wird ein CCF- Faktor von 0,1 (10%) erreicht 0,99 (99%) Redundanter Abschaltpfad und dynamische Überwachung der Schütze Anwender Ergebnis "Reagieren" Tabelle 8-4 PFH D Erreichter SILCL 7,30 10-9 SILCL 3 Beitrags-ID: 21331098, V3.1, 01/2017 27

8 Bewertung der Sicherheitsfunktion Ergebnis der Bewertung nach IEC 62061 Tabelle 8-5 Teilsystem PFH D Erreichter SIL Erfassen 1,19 10-10 SILCL 3 Auswerten 4,00 10-9 SILCL 3 Reagieren 7,30 10-9 SILCL 3 Gesamt 1,14 10-8 SILCL 3 SIL 3 Die Werte für die Teilsysteme "Erfassen" und "Auswerten" finden Sie in dem mitgelieferten SET-Projekt oder unter \4\. Beitrags-ID: 21331098, V3.1, 01/2017 28

8 Bewertung der Sicherheitsfunktion 8.4 Bewertung nach ISO 13849-1 Nachfolgend wird eine Bewertung nach ISO 13849-1 mit dem Safety Evaluation Tool (SET) durchgeführt. Den Link zum SET finden Sie im Internet unter \7\. Um eine bessere Vergleichbarkeit zu gewährleisten, werden die Ergebnisse der Teilberechnungen nach ISO 13849-1 als PFH D -Wert angegeben (Umrechnung über Anhang K, Tabelle K.1). Bewertung "Reagieren" Die zur Bewertung relevanten Parameter der Schütze werden vom Hersteller geliefert und vom Anwender festgelegt. Tabelle 8-6 Parameter Wert Begründung Festlegung B10 B10-Wert Schütz Anteil gefahrbringender Ausfälle Schütz T1 Gebrauchsdauer 1.000.000 Herstellerangabe SIEMENS AG 0,73 (73%) Herstellerangabe 175.000 h (20 Jahre) Herstellerangabe Architektur Kategorie 4 2 Kanäle, 2 Komponenten Anwender Betätigungen/ Testintervall CCF-Maßnahmen (Punkte) Anfälligkeit gegenüber Ausfällen in Folge gemeinsamer Ursache DC Diagnosedeckungsgrad 1/h Annahme 65 0,99 (99%) Ausreichende Maßnahmen gegen CCF nach ISO 13849-1 Tabelle F.1 müssen getroffen werden Redundanter Abschaltpfad und dynamische Überwachung der Schütze Ergebnis "Reagieren" Tabelle 8-7 PFH D Erreichter PL 1,45 10-9 PL e Beitrags-ID: 21331098, V3.1, 01/2017 29

8 Bewertung der Sicherheitsfunktion Ergebnis der Bewertung nach ISO 13849-1, ISO 13849-2 Tabelle 8-8 Teilsystem PFH D Erreichter PL Erfassen 9,06 10-10 PL e Auswerten 4,00 10-9 PL e Reagieren 1,45 10-9 PL e Gesamt 6,36 10-9 PL e PL e Die Werte für die Teilsysteme "Erfassen" und "Auswerten" finden Sie in dem mitgelieferten SET-Projekt oder unter \4\. Beitrags-ID: 21331098, V3.1, 01/2017 30

9 Literaturhinweise 9 Literaturhinweise Tabelle 9-1 Thema \1\ Siemens Industry Online Support https://support.industry.siemens.com \2\ Downloadseite des Beitrages https://support.industry.siemens.com/cs/ww/de/view/21331098 \3\ SIMATIC Safety - Projektieren und Programmieren https://support.industry.siemens.com/cs/ww/de/view/54110126 \4\ Anwendungsbeispiel "Not-Halt bis SIL 3 / PL e an einer fehlersicheren Steuerung S7-1500" https://support.industry.siemens.com/cs/ww/de/view/21064024 \5\ Funktionale Sicherheit bei Siemens www.siemens.de/safety-integrated \6\ SIMATIC ET 200SP Digitalausgabemodul F-DQ 4x24VDC/2A PM HF Gerätehandbuch Rücklesezeit Dunkeltest https://support.industry.siemens.com/cs/ww/de/view/78645789/55822410379 \7\ Safety Evaluation Tool www.siemens.com/safety-evaluation-tool 10 Historie Tabelle 10-1 Version Datum Änderung V1.0 02/2005 Erste Ausgabe V2.0 09/2007 Aktualisierung der Inhalte bezüglich: Hardware und Software Leistungsdaten Screenshots Kapitel "Bewertung des Safety Funktionsbeispiels nach den neuen Normen EN 62061 und EN ISO 13849-1:2006" hinzugefügt V3.0 06/2016 Neuerstellung des Anwendungsbeispiels für TIA Portal V13 SP1 V3.1 01/2017 Aktualisierung der Ergebnisse in Tabelle 8-7 und Tabelle 8-8 nach ISO 13849-1:2015 Beitrags-ID: 21331098, V3.1, 01/2017 31

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback