2015

De realisatie van een veiligheidsbesturingssysteem voor de bruginstallaties van één van de grootste hefbruggen van Europa Marc Schröder 10/19/2015

De realisatie van een veiligheidsbesturingssysteem voor de bruginstallaties van één van de grootste hefbruggen van Europa Marc Schröder 10/19/2015 2

Introductie • Marc Schröder • Consultant bij ICT Automatisering sinds 2008 • Business unit Industrial Automation • Consultancy binnen de Industriële Automatisering • Systeemontwerp en softwareontwikkeling voor PLC/ SCADA of DCS systemen van Siemens ( Step 7/ WinCC/ PCS7) • Migratietrajecten van Siemens S5/ Coros/ Teleperm naar Siemens S7/ WinCC/ PCS7 • Ontwerp en programmering van veiligheidssystemen in de industrie en Infra gebaseerd op Siemens Distributed Safety of Siemens F-systems ( o.a. bij Sappi Maastricht/ Lanaken, Sekisui Resins, Sekisui Alveo, CSA-15) 3

10/19/2015

Veiligheidsbesturing nieuwe Botlekbrug

Business Unit Industrial Automation • (Proces)automatiseringsprojecten PLC/ SCADA/ DCS, Siemens, ABB, Wonderware, etc. vanaf klantvraag t/m inbedrijfname • Consultancy • Projecten fixed price of op detacheringsbasis • Migratietrajecten, controller/HMI upgrade • Service 24/7

4

10/19/2015


Project A-15 A-Lanes A15 − een samenwerking tussen Ballast Nedam, John Laing, Strabag en Strukton − voert namens Rijkswaterstaat de werkzaamheden uit voor de verbreding van de A15 tussen de Maasvlakte en het Vaanplein. Bovendien gaat A-Lanes A15 dit deel van de rijksweg voor 25 jaar onderhouden. Doel: minder files en een betere doorstroming op dit stuk van het wegennet

5

10/19/2015


Gegevens huidige Botlekbrug vs. nieuwe Botlekbrug • • • • •

6

10/19/2015


Lengte: 1200 m Gewicht 1 brugdeel: 5000 ton Afmetingen brugdeel:92 x 50 m Hoogte open: 46 m Brugbeweging: 90 s

Voordelen nieuwe Botlekbrug • Alle binnen- en recreatievaart kan er onderdoor als de brug gesloten is • Het aantal brugopeningen per dag sterk wordt teruggebracht naar 1 per uur i.p.v. 6 a 7 per uur • Scheepvaartverkeer kan van beide kanten tegelijk onder de brug door • Doordat er 2 rijstroken per rijbaan zijn is er een betere verkeersdoorstroming ( 100 km/h)

7

10/19/2015


Projectomschrijving Deze brug moet bestuurd worden en aan ICT was gevraagd om de software ( safe en non-safe) te ontwikkelen voor het BTI deel, de brugtechnische installatie, van het brugproces.

8

10/19/2015


Veiligheidsbesturing BTI

Taken veiligheidsbesturing BTI deel

9

10/19/2015


Fysiek procesoverzicht BTI deel

Visualisatie op HMI volgens RWS standaard 10

10/19/2015


Eisenpakket • Hoge beschikbaarheid: Uitval van een component mag geen uitval van het hele systeem, in dit geval de botlekbrug, veroorzaken. Dit heeft zowel betrekking op het controller deel als de bediening. • Bedienconcept: Bedienconcept dat is ontwikkeld volgens de standaard die bij de klant ( RWS) vereist is. • Hoge betrouwbaarheid: Systeemkeuze met een hoge betrouwbaarheid. • Onderhoudbaarheid: Transparant systeem, soft- en hardware, waardoor de kennisdrempel voor onderhoud laag is, nu en in de toekomst. • Lifecycle: Componentkeuze die een voldoende lange gebruikerstermijn waarborgt • Changemanagement: wijzigingen ( zowel hardware als software) kunnen “on the fly” worden doorgevoerd zodat er geen stilstand van het systeem noodzakelijk is. • Foutdetectie en reactie: Een fout op een externe component wordt gesignaleerd via de hardware waarna via de applicatiesoftware een gedefinieerde foutreactie plaatsvindt en er geen gevaar voor mens en omgeving ontstaat. Tijdens het ontwerpproces zijn deze functionele eisen geformuleerd in zgn. SDS-en. SDS is een afkorting voor Safety Design Specification. Een eis m.b.t. functionaliteit die door een veiligheidsketen moet worden uitgevoerd. 11

10/19/2015


Voorbeeld veiligheidseis, SDS Safety Design Specification req SDS-011 SDS-011-001

SDS-011-005

SDS-011-002

SDS-011-006 SDS-011*

SDS-011-003

SDS-011-007

SDS-011-004

SDS-011-008

ID [SDS-011]

12

10/19/2015

Omschrijving ALS van een vaarrichting één doorvaartsein gefaald heeft DAN: wordt de voeding van het gefaalde doorvaartsein uitgeschakeld (Dit geldt voor alle vier de vaarrichtingen (opvaart doorvaart Oost, afvaart doorvaart Oost en opvaart doorvaart West, afvaart doorvaart West) Een doorvaartsein faalt als SDS-031 van een lamp optreedt of SDS-032 of SDS-033.


Basis opbouw veiligheidssysteem Hardware en software Als je aan de gestelde eisen wilt voldoen volstaat het niet alleen om de juiste hardware componenten in te zetten. Zowel hardwarekeuze als veiligheidssoftware bepalen het functioneren van een veiligheidssysteem Hardware: – Systeemopbouw, fysieke netwerkinfrastructuur zowel op het niveau van bedieningen en visualisatie als op het niveau van sensor actuator ( het aansturen van een afsluitboom en het inlezen van de stand van de afsluitboom) – Hardwarecomponenten bestaande uit controllers, IO componenten ( safe en non-safe) Software: – Ontwikkelpakket inc. bibliotheek met gecertificeerde software veiligheidscomponenten ( Tüv gecertificeerd) – Applicatiesoftware ( De functionele software gemaakt vanuit SDS-en)

13

10/19/2015


Safety lifecycle installatie Engineeringsfase

1 2 3 4 5

14

10/19/2015

In bedrijf

Proces ontwerp Gevaar identificatie HAZOP/ RI&E Risicobepaling SIL classificatie Ontwerp veiligheidsketens SIL verificatie


6

Realisatie

7

Test

8

Validatie

9

Ingebruikname

10

Onderhoud

1 Procesontwerp

15

10/19/2015


2. Gevaar identificatie en HAZOP ( RI&E) Mogelijke fout

Oorzaak

Gevolg

Maatregel

DVS rode lamp functioneert niet

Defecte stroombewaking

Foutief seinbeeld = gevaar

Doorvaartseinen Geheel Uitschakelen ( SDS-011)

Wat kan er allemaal mis gaan ???

16

10/19/2015


3 Risicobepaling en SIL classificatie Kwantificeren van gevaren en risico’s uit HAZOP of RI&E • SIL = een maat voor de hoogte van het risico voor veiligheid , milieu en eventueel financieel risico Risico = Kans dat het gevaar optreedt X Gevolgen van het optreden van het gevaar

17

10/19/2015


3 Risicobepaling en SIL classificatie •

IEC61508/61511 methodieken om risico’s te bepalen en om te zetten in SIL niveau

Veiligheids pyramide

18

10/19/2015


Risicograaf

4 Ontwerp veiligheidsketens die voldoen aan het SIL niveau Hardwareschakeling

• SIL classificering = Safety Integrated Level geeft het betrouwbaarheidsniveau aan van de beveiliging ( tijdens risicobepaling was SIL gelijk aan hoogte risico) 19

10/19/2015


5 SIL verificatie

20

•

Identificatie van de beveiliging: uit welke elementen is de beveiliging opgebouwd ??

•

Voldoet de gebruikte component aan het bepaalde SIL scenario: meestal vastgelegd in de component specificaties ( reactiesnelheden, betrouwbaarheid, failsafe opgezet..)

•

Beveiligingen dienen een onafhankelijke layer of protection te zijn: functie is niet afhankelijk van een andere functionele veiligheid

•

De architectuur dient correct te zijn: Bij hogere SIL niveau’s dient er redundantie te zijn van componenten, SIL 2 vergt al 2 transmitters

•

De faalkans, PFD, dient aan het gewenste SIL niveau te voldoen: De faalkans van een component wordt uitgedrukt door het PFD getal ( Probability of Failure on Demand)

10/19/2015


5 SIL verificatie, PFD getal

21

10/19/2015


6 Realisatie nieuwe Botlekbrug vereenvoudigd schema Visualisatie ( WinCC OA redundant)

Netwerk

Controllerlaag ( Siemens S7-400 FH)

Veldbus ( Profibus/Profisafe)

IO modules 22

10/19/2015


6 Realisatie applicatiesoftware

23

•

Safety software Siemens F-systems ( Distributed safety)

•

Bibliotheek met Tüv gevalideerde softwarecomponenten ( F-Systems library V1.3)

•

Ontwerpproces: Functioneel ontwerp -> Softwareontwikkeling -> I-FAT -> FAT -> FIT -> SAT -> SIT

•

Opbouw applicatiesoftware

10/19/2015


7,8 Test en validatie

24

•

Testplan ( grotendeels identiek aan testplan FAT situatie)

•

Testscripts voor iedere individuele component ( grotendeels identiek aan testscripts FAT situatie)

•

Rapportage van testbevindingen

•

Eventuele hertest van geconstateerde afwijkingen

10/19/2015


9 Ingebruikname Opening 1 rijbaan, West naar Oost juli 2015

25

10/19/2015


10 Onderhoud Doel: Zeker stellen dat de ontworpen functional safety nog in tact is

26

•

Opstellen onderhoudsplannen specifiek voor SIL beveiligingen ( SIL beheerssysteem)

•

Uitvoeren van periodieke SIL specifieke inspecties en tests volgens vastgelegde testprocedures

•

Zorgdragen voor voldoende kennisniveau van onderhoudspersoneel

10/19/2015


Voorbeeld 1: Doorvaartseinen Hardware

Software ID [SDS-011]

Omschrijving ALS van een vaarrichting één doorvaartsein gefaald heeft DAN: wordt de voeding van het gefaalde doorvaartsein uitgeschakeld, uitgang logisch “1” (Dit geldt voor alle vier de vaarrichtingen (opvaart doorvaart Oost, afvaart doorvaart Oost en opvaart doorvaart West, afvaart doorvaart West) Dat betekent dus dat alle doorvaartseinen geen seinbeeld meer hebben

Intrinsiek en functioneel “0” = voeding aan

27

10/19/2015


Voorbeeld 2: Afsluitbomen in combinatie met LVS

“0” = voeding aan

Intrinsiek en functioneel 28

10/19/2015


Conclusies Hoge beschikbaarheid: Door het doorvoeren van redundantie op diverse niveaus is het correct functioneren van het systeem gewaarborgd bij het falen van een enkele component. In de bediening zijn er drie mogelijkheden om de installatie te bedienen: vanuit VMC in Rhoon, lokaal via MMI in het brugwachtershuis of via een noodbedienpaneel. Welke bediening plaatsvindt wordt door de brugwachter beslist afhankelijk van de situatie.

Hoge betrouwbaarheid: Keuze voor een redundant systeem heeft ook bijgedragen aan de betrouwbaarheid van het systeem.

29

10/19/2015


Conclusies Onderhoudbaarheid: Door het inzetten van standaard componenten waarvan de kennisdrempel relatief laag is, is er een goede onderhoudbaarheid gewaarborgd. Ook nalevering van componenten ( voor zover geen spareparts) is binnen een kort tijdsbestek mogelijk doordat het standaard componenten betreft die wereldwijd verkrijgbaar zijn. Bedienbaarheid: Daarnaast is door het invoeren van een bediening via drie mogelijkheden, bedienbaarheid onder alle omstandigheden gewaarborgd. ( schematische weergave bedienconcept)

Lokale bediening brugwachter

30

10/19/2015


VMC Rhoon

Conclusies Lifecycle: Componentkeuze die een voldoende lange gebruikerstermijn waarborgt Changemanagement: Door de keuze voor een redundant systeem zijn wijzigingen “on the fly” door te voeren doordat het systeemdeel dat gewijzigd wordt functioneel kan worden overgenomen door zijn redundante partner. Nadat de wijziging heeft plaatsgevonden kan dan weer teruggeschakeld worden naar de het gewijzigde deel waarna de wijziging in de redundante partner kan plaatsvinden. Foutdetectie en reactie: Een fout op een externe component wordt gesignaleerd via de hardware die daarvoor geschikt is, waarna via de applicatiesoftware een gedefinieerde foutreactie plaatsvindt en er geen gevaar voor mens en omgeving ontstaat.

31

10/19/2015


Vragen ?

32

10/19/2015


2015

Recommend Documents