SIGNAL + DRAHT (104) 10/2012 SPS n 7 tragen werden und bietet so einen hohen Freiheitsgrad in Ausdehnung und Topologie. Für Erstellung, Konfiguration und Parametrierung einer sicherheitsrelevanten Anwendung sowie deren Übertragung an die Steuerung steht die Software-Plattform PAS 4000 bereit. Sie übernimmt die sicherheitsrelevante Erstellung und Bearbeitung eines Applikationsprogramms. Dazu gehört das Einlesen digitaler und analoger Prozesssignale, die logische und zeitliche Verarbeitung dieser Signale in der Logikeinheit, die Ausgabe digitaler und analoger Prozesssignale zur Steuerung des Prozesses und die Übertragung sicherheitsrelevanter Daten über SafetyNET p. Softwarekomponenten sind die Editoren nach IEC 61131-3 und ein spezieller Bausteineditor PASmulti. 4 SPS-Architekturen für die Bahntechnik Die generische Beschreibung der PSS 4000- R basiert auf so genannten Architekturmodellen, die unter Beachtung der sicherheitsrelevanten Anwendungsbedingungen (SACs) auf einfache Weise die Erfüllung der qualitativen Anforderungen an die Sicherheitsintegrität beurteilen lassen. Eine Analyse bahntechnischer Applikationen hat gezeigt, dass ein Großteil über die Sicherheitsintegritätsstufen SIL 2, SIL 3 und SIL 4 abgebildet wird. Hieraus sind spezielle Architekturen entstanden, die sich mit dem Automatisierungssystem erstellen lassen. Im Nachfolgenden werden die drei Architekturmodelle mit ihren wesentlichen Eigenschaften beschrieben. Eine zentrale Forderung an die Entwicklung der SPS-Plattform für den Bahnbereich ist es, ein einfach anzuwendendes Baukastensystem für die Realisierung von sicheren Steuerungsaufgaben zur Verfügung zu stellen. Dem Bahnkunden sollte es im Rahmen der Zulassung seiner generischen oder spezifischen Applikation leicht möglich sein, die PSS 4000-R als zugelassene Komponente in seinen Sicherheitsnachweis zu integrieren und damit den Aufwand in der Nachweisführung in Richtung Gutachter und Zulassungsbehörde signifikant zu reduzieren. Dieser wesentlichen Anforderung hat Pilz im Automatisierungssystem PSS 4000 Rechnung getragen mit der Entwicklung von so genannten Architekturmodellen, die als gekapselte Einheiten eine generische Zulassung besitzen. Für den Einsatz in der Bahntechnik bedeutet das einen großen Vorteil beim Engineering. Der Anwender muss das von ihm ausgewählte Architekturmodell auf der Eingangsseite um die spezifische Sensorik, wie beispielsweise Achszähler, und auf der Ausgangsseite um die Aktorik, beispielsweise eine Signalanlage, ergänzen. Mit den Architekturmodellen werden sicherheitsrelevante Anwendungsbedingungen (Safety-related Application Conditions, SAC) zur Verfügung gestellt. Diese geben Implementierungsvorgaben an die Applikation und gewährleisten, dass das Gesamtsystem die qualitativen Anforderungen der Sicherheitsintegrität erfüllt. Um auch eine quantitative Beurteilung der aus der Risikoanalyse der Applikation hervorgegangenen tolerierbaren Gefährdungsrate THR zu ermöglichen, wird für jede der Architekturen die entsprechende Gefährdungsrate (Hazard Rate, HR) zur Verfügung gestellt. Eine Analyse bahntechnischer Applikationen hat gezeigt, dass ein Großteil über die Sicherheitsintegritätsstufen SIL 2, SIL 3 und SIL 4 abgebildet werden kann. Hieraus sind spezielle Architekturen entstanden, die sich mit dem Automatisierungssystem erstellen lassen. Im Nachfolgenden werden diese drei zugelassenen Architekturmodelle mit ihren wesentlichen Merkmalen beschrieben. Sie stellen jeweils einen dezentralen Systemverbund dar. 5 Generische SIL-2-Architektur Die SIL-2-Architektur bietet für Applikationen, die lediglich ein geringes Risiko sowie potenzielles Schadensausmaß haben, eine einfache Möglichkeit, die notwendige Sicherheit zu implementieren. Dies ist zulässig, da die EN 50129 für die Sicherheitsintegritätsstufe SIL 2 keine Einfehlersicherheit fordert. Die Einfehlersicherheit besagt, dass nach dem Auftreten eines Fehlers in einer Steuerung die vereinbarte Sicherheitsfunktion gewährleistet ist. Damit reicht für die SIL 2-Architektur eine einzelne Betrachtungseinheit und eine SPS-Steuerung zur Implementierung der Sicherheit aus. Eine doppelte Beschaltung im Bereich der E/A-Ebene ist für die hier gezeichneten digitalen Eingänge und digitalen Ausgänge (Bild 1) in aller Regel nicht notwendig. Zu den Grundelementen dieser Architektur zählen einfache Eingangsmodule, eine einfache Einspeisung bei der NetzVersorgung sowie einfache Ausgangsmodule. Dabei sind hier die Failsafe-Module intern immer redundant aufgebaut und erfüllen daher alle Sicherheitsanforderungen für die sichere interne Weiterverarbeitung der Signale. Im Bild 2 ist Bild 1: Generische SIL-2-Architektur
RkJQdWJsaXNoZXIy MjY3NTk=