1        Einführung

In der vorliegenden Spezifikation ist der Aufbau von programmierbaren elektronischen Systemen (PES) für sicherheitstechnische Systeme (SIS, Safety Instrumented Systems) beschrieben. Das System muss in der Lage sein notwendige Schritte einzuleiten, um das EUC (Equipment under Control) in den sicheren Zustand zu versetzen bzw. einen entsprechenden Zustand aufrecht zu erhalten.

2        Richtlinien und Normen

Das sicherheitstechnische System sollte gemäß den nachfolgend aufgeführten Normen ausgelegt sein. Entsprechende Zertifikate, ausgestellt durch unabhängige Stellen wie beispielsweise TÜV, müssen vorliegen.

2.1 Funktionale Sicherheit

DIN IEC 61511 VDE 0810: 2004 SIL 1-3 Teil 1 bis 3        Funktionale Sicherheit – Sicherheitstechnische Systeme für die Prozessindustrie

IEC 61508: 1999 SIL 1-3, Teil 1 bis 7 (sofern auf PES anwendbar)         Funktionale Sicherheit sicherheitsbezogener Systeme

prEN 50159-1:1996 (sofern auf PES anwendbar)     Bahnanwendungen – Sicherheitsrelevante Kommunikation in geschlossenen Übertragungssystemen (sofern anwendbar)

prEN 50159-2:1996 Klasse 1 bis 5 (sofern anwendbar)      Bahnanwendungen – Sicherheitsrelevante Kommunikation in offenen Übertragungssystemen (sofern anwendbar)

2.1 Grundlegende Sicherheit

EN 61131-2: 1995         Speicherprogrammierbare Steuerungen – Betriebsmittelanforderungen und Prüfungen

EN 50178: 1997   Ausrüstung von Starkstromanlagen mit elektronischen Betriebsmitteln

DIN VDE 0110: 1989       Isolationskoordination für elektrische Betriebsmittel in Niederspannungsanlagen

EN  60068        Umweltprüfungen

QSH IQSE Version 1.4     Qualitätshandbuch des TÜV Produktservice IQSE

2.3 Elektromagnetische Verträglichkeit

EN 61131-2: 1995         Speicherprogrammierbare Steuerungen – Betriebsmittelanforderungen und Prüfungen

EN 55011: 1997   Industrielle, wissenschaftliche und medizinische Hochfrequenzgeräte (ISM-Geräte) – Funkstörungen – Grenzwerte und Messverfahren

EN 50081-2: 1993         Elektromagnetische Verträglichkeit (EMV); Fachgrundnorm Störaussendung, Teil 2: Industriebereich

EN 50082-2; 1995         Elektromagnetische Verträglichkeit (EMV); Fachgrundnorm Störfestigkeit, Teil 2: Industriebereich

2.4 Anwendungsnormen

2.4.1 Maschinenanwendungen

EN 60204-1: 1997 (sofern anwendbar) prEN 60204-1/prA1: 1998      Sicherheit von Maschinen – Elektrische Ausrüstung von Maschinen

EN 954-1: 1997 Kategorien 2 bis 4        Sicherheit von Maschinen: Sicherheitsbezogene Teile von Steuerungen, Teil 1: „Allgemeine Gestaltungsleitsätze“

2.4.2 Prozessindustrie

DIN IEC 61511 VDE 0810: 2004 SIL 1-3, Teil 1 bis 3       Funktionale Sicherheit – Sicherheitstechnische Systeme für die Prozessindustrie

VDI / VDE 2180: 1996 Teil 1, 2 und 5     Sicherung von Anlagen der Verfahrenstechnik mit Mitteln der Prozessleittechnik (PLT)

NE 31: 1993      NAMUR-Empfehlung

ASNI/ISA – 84.00.01 Teil 1-3 – 2004 (IEC 61511-1 Mod)    Funktionale Sicherheit – Sicherheitstechnische Systeme für die Prozessindustrie

2.4.3 Brennersysteme

EN 230: 1991 Absatz 7.3  Ölzerstäubungsbrenner in Monoblockausführung

EN 298: 2003 (Absatz 7.3, 8, 9 und 10)   Feuerungsautomaten für Gasbrenner und Gasgeräte mit oder ohne Gebläse

DIN V ENV 1954: 1996 (sofern anwendbar)  Fehlerverhalten von elektronischen Bauteilen mit sicherheitstechnischen Anforderungen in Gasgeräten bei inneren und/oder äußeren Störungen

DIN VDE 0116: 1989 Absatz 8.7    Elektrische Ausrüstung von Feuerungsanlagen

DIN EN 50156-1: 2005-03  Elektrische Ausrüstung von Feuerungsanlagen

NFPA 85:2004     Boiler and Combustion Systems Hazards Code

2.4.4 Brandmeldeanlagen

EN 54-2: 1997    Brandmeldeanlagen – Teil 2: Brandmelderzentralen

EN 54-2: 1997    Brandmeldeanlagen – Teil 4: Energieversorgungseinrichtungen

NFPA 72:2002     National Fire Alarm Code

3  Sicherheitsanforderungen

Sicherheitstechnische Systeme sollten die folgenden Sicherheitsanforderungen erfüllen:

•        SIL1 bis SIL3 (Sicherheitsintegritätslevel) gemäß IEC 61508

•        SIL1 bis SIL3 (Sicherheitsintegritätslevel) gemäß DIN IEC 61511 VDE 0810

Das System muss gleichzeitig mehrere Fehler tolerieren können, ohne den Sicherheitsintegritätslevel herabzusetzen.

4  Grundlegender Aufbau

Das sicherheitstechnische System (Sicherheits-PES) muss flexibel, modular und redundant aufgebaut sein (FMR, Flexible Modular Redundancy). Die Architekturen müssen flexibel sein, um unterschiedliche Anforderungen an Sicherheit und Verfügbarkeit erfüllen zu können. Das System muss skalierbar hinsichtlich Kapazität, Sicherheit und Verfügbarkeit sein.

Alle redundanten Ressourcen müssen physikalisch getrennt werden können. Die Zentralbaugruppe (CPU), die Kommunikationsmodule, die E/A-Module und sonstige optionale Module müssen an unterschiedlichen Stellen installiert werden können. Bei Verwendung eines redundanten Systems muss die Möglichkeit bestehen, die einzelnen CPUs an unterschiedlichen Stellen zu installieren. Für jede CPU muss eine optionale redundante Stromversorgung verfügbar sein. Die E/A-Redundanz muss unabhängig von der CPU-Redundanz sein.

Das Design des E/A-Systems darf keinen Einschränkungen unterliegen. Es darf lediglich durch die Anforderungen an die Sicherheit und Verfügbarkeit bestimmt sein. Beim Aufbau der Systemarchitektur muss der Sicherheitsintegritätslevel SIL3 für alle funktionalen Architekturen aufrechterhalten werden, wie beispielsweise:

•        Simplex (1oo1)

•        Dual (1oo2 oder 2oo2)

•        Triplex (1oo3 oder 3oo3)

Die E/A-Module müssen eine verteilte Architektur ermöglichen. Das Design entsprechender Funktionen mit Remote-I/O Modulen, führt bei entsprechender Nähe zu den Feldgeräten, zu einer erheblichen Reduzierung der Verkabelungskosten.

Der oben beschriebene Aufbau zeigt die Flexibilität des Systems und gewährleistet darüber hinaus eine über 99prozentige Diagnoseabdeckung bei gleichzeitiger höchstmöglicher Verfügbarkeit (> 99,999 %).

5 Integration in BPCS

Der Integrationslevel für das Basisprozessleitsystem (BPCS, Basic Process Control System) und das sicherheitstechnische System muss flexibel und konfigurierbar sein. Folgende Optionen stehen zur Auswahl:

•        Schnittstellenlösung

         o        Getrennte, über einen Gateway verbundene Systeme

         o        Unabhängige Engineering- und Bedienwerkzeuge

         o        Sicherheitstechnische Systeme müssen die Verbindung zum BPCS über sämtliche

                  Standardschnittstellen unterstützen (Modbus, OPC, Ethernet, Profibus etc.)

•        Integrierte Lösung

         o        Getrennte Systeme mit einem gemeinsamen Kommunikationsbus

         o        Ein Engineering- und Bedienwerkzeug

•        Gemeinsame Lösung

         o        Ein System zur Prozesssteuerung und Sicherheitssteuerung

         o        Ein Engineering- und Bedienungswerkzeug

6   Funktionalität und Sicherheitsanforderungen

Die Systeme müssen mit redundanten bzw. nicht redundanten sicherheitszertifizierten CPUs (oder Sicherheits-CPUs) ausgestattet sein, die für sicherheitsrelevante Anwendungen und sicherheitszertifizierte E/A-Module (oder E/A-Sicherheitsmodule) geeignet sind. Fehlererkennung sollte durch Vergleich der verschiedenen Diagnosen in der Sicherheits-CPU mit den unabhängigen E/A-Sicherheitsmodulen, durch interne Selbsttests, Programm- und Datenflussüberwachung in der Sicherheits-CPU sowie Fehlerüberwachung durch die E/A-Sicherheitsmodule erfolgen.

Jegliche sicherheitsrelevante Kommunikation mit anderen sicherheitstechnischen Systemen muss über eine fehlersichere Buskommunikation erfolgen.

Das System muss sicherheitsrelevante Programme und Standardprogramme gleichzeitig über eine Steuerung als zwei voneinander unabhängige Aufgaben ausführen können. Die beiden voneinander unabhängigen Aufgaben (fehlersicheres Programm und Standardprogramm) dürfen keinen Einfluß aufeinander haben (rückwirkungsfrei). Die Zykluszeit muss für beide Programme unabhängig voneinander skalierbar sein. Das System muss genau zwischen Sicherheitssoftware und Standardsoftware unterscheiden können. Ein Fehler in der sicheren Anwendung darf sich nicht auf die Standardanwendung auswirken und umgekehrt. Dadurch ist es möglich, die Standardanwendung (das Standardprogramm) zu modifizieren, ohne die fehlersichere Anwendung erneut zu prüfen.

6.1   Sicherheitszertifizierte CPU

Eine einzige CPU sollte ausreichen, um die erforderliche zertifizierte funktionale Sicherheit zu gewährleisten (bis SIL3, gemäß IEC 61508, DIN IEC 61511 VDE 0810).

Folgende Fehlerkontrollmaßnahmen sollten in der Sicherheits-CPU implementiert sein:

•        Speicherdiagnose zur Überprüfung von fehlerhaften Daten oder fehlerhaftem Code

•        Alle Diagnosefunktionen sollten integriert sein und nicht die Entwicklung einer zusätzlichen Anwendung durch den Benutzer erfordern

•        Integration einer Zeitdiagnosefunktion ohne externe Zeitüberwachung

•        Selbsttest von sicherheitsrelevanten Abläufen in jedem Zyklus

•        Logische Programmausführung und Datenflussüberwachung

Darüber hinaus sollten im Hintergrund Selbsttests durch die Sicherheits-CPU zur Ermittlung latenter Fehler durchgeführt werden.

6.2   Sicherheitszertifizierte E/A-Module

Das E/A-Sicherheitsmodul muss über Selbstdiagnosefunktionen verfügen, die jegliche potenziell gefährliche Komponentenfehler erkennen. Die Diagnosefähigkeiten werden durch erweiterte Diagnosefunktionen sowie Fehlerinjektionstests verifiziert. Ein E/A-Sicherheitsmodul sollte zur Gewährleistung der zertifizierten funktionalen Sicherheit ausreichen (SIL2 oder SIL3).

Alle E/A-Sicherheitsmodule melden mindestens folgende Diagnoseinformationen an das Steuerungsmodul:

•        Interne Hardwarefehler

•        Stromausfall

•        Feldverdrahtungsdiagnose (z. B. Leitungsbruch oder Kurzschluss)

•        Kommunikationsfehler

•        Diskrepanzfehler (1oo2D-Auswertung)

•        RAM-, EPROM-Fehler

•        Mikroprozessorfehler

Im Falle eines Kommunikationsausfalls zur Sicherheits-CPU werden die E/A-Sicherheitsmodule (Ausgänge) automatisch in den sicheren Modus zurückversetzt.

6.3   Sicherheitshandbuch

Der Lieferant stellt ein Sicherheitshandbuch für das sicherheitstechnische System (Sicherheits-PES) zur Verfügung, in dem die sichere Anwendung des Systems beschrieben ist (siehe auch IEC 61511-1, Teil 12). Dieses Handbuch wird von externen Stellen geprüft und verifiziert (durch TÜV-Genehmigung für SIL3 wird diese Anforderung erfüllt).

7   Hardwareanforderungen

7.1   Sicherheitszertifizierte E/A-Module

Sämtliche Prozess-E/As müssen von der Kommunikationsplatine galvanisch getrennt sein. Die Module sollten während des Betriebs ausgetauscht werden können. Alle Module sollten mithilfe eines grafischen Engineering-Tools konfigurierbar sein. Mehrere Sicherheitsintegritätslevels in einem System sollten je nach Anwendung kombiniert werden können. Das System sollte durch zusätzliche Hardware erweiterbar sein, ohne dass es heruntergefahren werden muss (Online-Modifikation). Als Mindestanforderung sollten analoge Eingabemodule sowie digitale Ein- und Ausgabemodule bis SIL3 verfügbar sein (gemäß IEC 61508).

7.2   Sicherheitszertifizierte CPU

Die Sicherheits-CPU sollte eine strenge zyklische Programmausführung unterstützen. Die Ausführungszeit sollte konfigurierbar sein und je nach Anwendung ausgewählt werden. Das System sollte in der Lage sein, Teile der Benutzeranwendung zu unterschiedlichen Zykluszeiten (mehrere Abtastraten) auszuführen. Um eine hohe Verfügbarkeit zu gewährleisten, sollten redundante Sicherheits-CPUs über Glasfaserkabel miteinander verbunden sein. Die beiden CPUs müssen physikalisch getrennt werden können (bis zu 10 km), um Fehler gemeinsamer Ursache zu vermeiden. Zur Gewährung eines kontinuierlichen Betriebs, muss eine unterbrechungsfreie Umschaltung garantiert sein.  

8   Kommunikation

Zwischen Sicherheits-CPUs, E/A-Sicherheitsmodulen und sicherheitsrelevanten Feldgeräten muss sicherheitsrelevante Kommunikation bis SIL3 möglich sein. Redundante, sicherheitsrelevante Kommunikation muss auf allen Ebenen (bis auf die Feldebene) verfügbar sein, um eine hohe Verfügbarkeit zu gewährleisten.

8.1   Kommunikation zwischen Systemen

In einem offenen Kommunikationsnetz wie beispielsweise dem Ethernet sollte sicherheitsrelevante Kommunikation zwischen unabhängigen Sicherheitssystemen vorhanden sein. Hierbei muss ein IEC-61508 konformes Sicherheitsprotokoll implementiert werden, um den erforderlichen Sicherheitsintegritätslevel zu gewährleisten.

8.2   Kommunikation mit Feldgeräten

Feldbuskommunikation (z. B. Profibus) muss für Feldgeräte, einschließlich Ein-/Ausgabegeräte, Sensoren und Endgeräte zur Verfügung stehen. Zur Sicherstellung einer hohen Verfügbarkeit sollte die Feldbuskommunikation redundant ausgelegt sein. Hierbei muss ein IEC 61508-konformes Sicherheitsprotokoll implementiert werden, um den erforderlichen Sicherheitsintegritätslevel zu gewährleisten.

8.3   Gemeinsamer Feldbus

Der Feldbus muss die gemeinsame Nutzung sicherheitsrelevanter und nicht sicherheitsrelevanter Geräte und Daten ermöglichen. Die Sicherheitsfunktionen des SIF dürfen durch die nicht sicherheitsrelevanten Geräte oder Daten nicht beeinträchtigt werden. Sie müssen Rückwirkungsfrei sein. Bei einer Erweiterung des Feldbusses sollte keine erneute Prüfung erforderlich sein. Die Erweiterung muss online durchführbar sein, ohne das System herunterzufahren.

9   Anforderungen an die Anwendungssoftware

9.1   Design-Tool

Zur Hardwarekonfiguration und Benutzeranwendungsprogrammierung sollte ein grafisches Tool verwendet werden, das die Anforderungen der Norm IEC 61131-3 erfüllt. Das Tool muss objektorientiertes Design unterstützen, um die Modellierung und die Wiederverwendung entwickelter Funktionen zu erleichtern.

Außerdem muss ein Tool zur Ursache-Wirkungsprogrammierung verfügbar sein. Es muss mindestens mit den folgenden Funktionen ausgestattet sein:

•        Automatische Bildung zertifizierter Logik

•        Automatische Visualisierung für HMI

•        Erste Fehlererkennung

•        Mehrheitsbewertung

•        Alarm- und Abschalt-Sollwerte

•        Ablaufprotokoll

•        Bedienprotokoll

•        Wartungsschalter (MOS, Maintenance Override Switch)

•        Prozessabhängige Bypässe (POS, Process Override Switch)

•        Online-Daten- und Statusanzeige

•        Online-Grenzwertänderungen (mit Sicherheitsfunktion)

•        Integriertes Änderungsmanagement (Lebenszyklus-Dokumentation)

•        Gesamtübersicht über Design, Dokumentation, Tests und Überwachung

•        Funktion für den Import aus externen Sicherheitslebenszyklus-Tools zur automatischen Erstellung der C&E-Matrix bei gleichzeitiger Sicherstellung der Datenkonsistenz.

Die Konfigurations- und Programmierungstools sollten auf Standard-PCs unter Windows ausgeführt werden können.

9.2   Programmsicherheit

Der Zugriff auf die Steuerungsdatenbank (das Programm) muss überwacht sein, um Änderungen am Programm durch die Benutzer einzuschränken. Es sind folgende Maßnahmen zur Gewährleistung der Sicherheit der Konfiguration zu ergreifen:

•        Passwortschutz des Anwendungsprogramms – Bevor der Benutzer Änderungen am Anwendungsprogramm vornehmen kann, sollte er zur Eingabe eines während der Konfiguration erstellten Passworts aufgefordert werden.

•        Schutz des Anwendungsprogramms durch Autorisierungsschlüssel – Änderungen am Anwendungsprogramm sollten nur dann vorgenommen werden können, wenn der Autorisierungsschlüssel der Software auf der Engineering-Station installiert wurde. Der Schlüssel sollte von einem externen Datenträger hoch- bzw. heruntergeladen werden können.

•        Passwortschutz der Hardwarekonfiguration – Der Benutzer sollte zum Ändern der F-CPU-Parameter zur Eingabe eines Passworts aufgefordert werden, das während der Konfiguration erstellt wurde.

•        Für das gesamte Sicherheitsanwenderprogramm sollte es eine eindeutige Prüfsumme (Signatur) zur Dokumentation und Zertifizierung eines Anwenderprogramms geben. Zur nahtlosen Integration in die Lebenszyklus-Dokumentation muss das Engineering-Tool über eine Vergleichsfunktion für das Sicherheitsprogramm verfügen. Als Mindestanforderung müssen folgende Vergleichsfunktionen enthalten sein:

•        Signatur für das Gesamtsystem

•        Individuelle Signaturen für einzelne Funktionsblöcke/-gruppen

•        Parameterwerte

•        Modifizierte oder gelöschte Blöcke und Verschaltungen usw.

10 Umweltspezifikationen

10.1 Umgebungstemperatur

Das System muss für folgende Umgebungstemperaturen ausgelegt sein:

•        Betrieb: Zwischen 0 und +60 °C

•        Lagerung: Zwischen -40 und +70 °C

10.2 Relative Luftfeuchtigkeit

Das System muss die Anforderungen der Norm IEC 1131-2, Stufe RH-2, erfüllen.

•        Betrieb: 5 – 95 % relative Luftfeuchtigkeit, ohne Betauung

•        Lagerung: 5 – 95 % relative Luftfeuchtigkeit, ohne Betauung

10.3 Stoßfestigkeit und Vibrationsfestigkeit

Die Module müssen gemäß den folgenden Normen über Stoßfestigkeit und Vibrationsfestigkeit getestet werden und diese erfüllen:

Vibrationsfestigkeit:    IEC 68-2-6, konstante Beschleunigung: 58 – 500 Hz, 1 g, 10 mal für jede von

                           3 Achsen

Stoßfestigkeit:           IEC 68-2-29: 10 g, 6 ms, 100-mal für jede von 3 Achsen

10.4 Elektromagnetische Störfestigkeit

10.4.1 Elektrostatische Entladung

Alle Module müssen gemäß den Anforderungen der Norm IEC 1000-4-2, Schärfegrad 3, zum Schutz vor elektrostatischer Entladung, getestet werden und diese Norm erfüllen oder übertreffen.

10.4.2. Hochfrequenzstörung

Alle Module müssen gemäß den Anforderungen der Norm IEC 1000-4-3, Schärfegrad 3, getestet werden und diese erfüllen oder übertreffen.

10.4.3 Impulspakete

Sämtliche Module müssen gemäß den Anforderungen der Norm IEC 1000-4-4, Schärfegrad 3, zum Schutz vor Kontaktprellen, wodurch schnelle elektrische Impulse von mindestens 2 kV erzeugt werden, getestet werden und diese Norm erfüllen oder übertreffen.

10.4.4 Spannungsstöße

Alle Module müssen gemäß den Anforderungen der Norm IEC 1000-4-5, Schärfegrad 2, zum Schutz vor Spannungsstößen bei durch Schalten unter Last und Blitz entstandenen Leitungsstörungen getestet werden und diese Norm erfüllen oder übertreffen. Bezüglich Schärfegrad 3 ist ein externer Schutz ausreichend.