Miskolci Egyetem Gépészmérnöki és Informatikai Kar
AUTOMATIZÁLÁSI ÉS INFOKOMMUNIKÁCIÓS INTÉZETI TANSZÉK 3515 Miskolc - Egyetemváros
SZAKDOLGOZAT
Siemens S7-300 F PLC-k folyamatipari biztonsági alkalmazása KÉSZÍTETTE: Csanak Sándor Villamosmérnök BSc szakos hallgató
TERVEZÉSVEZETŐ ÉS KONZULENS: Dr. Trohák Atilla
Miskolc, 2016.
1. Tartalomjegyzék 1.
Tartalomjegyzék..............................................................................................................1
2.
Bevezetés ..........................................................................................................................4
3.
Folyamatipari biztonság rövidítései és értelmezésük .....................................................6
4.
Lépések a biztonság növelésének érdekében ..................................................................9
5.
6.
7.
4.1
Szabványok ............................................................................................................ 10
4.2
Irányelvek .............................................................................................................. 11
4.3
Megfelelősség ......................................................................................................... 14
Szabványok a folyamatipari és gépipari biztonság területén ....................................... 17 5.1
Az „ernyőszabvány” .............................................................................................. 17
5.2.
Gépipari szabványok ............................................................................................. 19
5.3
IEC 61508 szabvány részletes bemutatása és elemzése ......................................... 21
5.3.1.
Funkcionális biztonság ................................................................................... 21
5.3.2
A szabvány felépítése ..................................................................................... 22
5.3.3.
A szabvány alkalmazása .................................................................................. 24
5.3.4.
ALARP alapelv .............................................................................................. 25
5.3.5.
Rizikó mátrix.................................................................................................. 26
5.3.6.
Safety Integrity Level ..................................................................................... 27
Működésbéli biztonság: IEC 61511 .............................................................................. 32 6.1.
A szabvány felépítése ............................................................................................. 32
6.2.
Életciklus modell .................................................................................................... 33
6.2.1.
Elemzési fázis ................................................................................................. 33
6.2.2.
Megvalósítási fázis: ........................................................................................ 34
6.2.3.
Működtetési fázis: .......................................................................................... 35
Siemens S7 failsafe PLC-k és szoftverek bemutatása ................................................... 36 7.1.
Felépítés ................................................................................................................. 37
7.2.
Redundancia megjelenése a PLC-knél .................................................................. 39
7.3.
Példarendszer bemutatása ..................................................................................... 41
7.4.
Distributed Safety .................................................................................................. 44
7.4.1.
Konfigurálás ................................................................................................... 44
7.4.2.
Programozás .................................................................................................. 45
7.5.
Safety Matrix ......................................................................................................... 53
2
8.
Összegzés ....................................................................................................................... 57
9.
Summary ....................................................................................................................... 58
10. Függelék......................................................................................................................... 59 11. Felhasznált források ...................................................................................................... 60 12. Ábrajegyzék................................................................................................................... 61
3
2. Bevezetés Nyári szakmai gyakorlatom során a BrosodChem Zrt.-nél nem csak magával a céggel, annak szemléletével és kultúrájával ismerkedtem meg, hanem a gyakorlatban alkalmazott technológiai és folyamatirányítási elemekkel, nem mindennapi technológiai megoldásokkal, pár vegyi folyamat elképesztő összetettségével és néhány olyan kihívással, amikkel a későbbiekben én is találkozhatok a munkám során. Az előállított vegyi anyagok sokfélék, melyekhez sokrétű folyamatirányítási elemek tartoznak,
DCS
és PLC
folyamatirányító
berendezések egyaránt
megtalálhatók. Mivel tehát vegyigyárról, azaz veszélyes technológiákról és vegyszerekről van szó, kiemelt szempont a biztonság és a megbízhatóság. Korunk egyik legdinamikusabban fejlődő ipara a vegyipar, egyre nagyobb mennyiségben használnak veszélyes vegyi anyagokat. Előállításuk egyre komplexebb a vezérléseket, egyre precízebb irányítást igényelnek, egy-egy részegység hibája pedig fokozott kockázatot jelent. A vállalatoknak a versenyképesség megtartása érdekében haladni kell a technológia fejlődésével, folyamatosan fejleszteni, újítani, bővíteni kell az iparban, függetlenül az előállított termék jellegétől. Azonban a történelem nem egyszer bebizonyította, hogy nem körültekintő tervezés, az emberi felelőtlenség és a biztonság kérdésének elhanyagolása nemcsak anyagi kárt, hanem természeti katasztrófákat és halált okoztak. Ha egy folyamat, üzemrész jellegéből adódóan megköveteli a magasabb fokú biztonságot, akkor abba ugyanúgy invesztálni kell mind anyagi, mind szellemi erőforrásokat. A nemzetközi irányelvek és ipari szabványok figyelembevételével, helyes műszaki intézkedések figyelembevételével, vagyis a funkcionális biztonság betartásával a végzetes hibák száma jelentősen csökkenthető, vagy kiküszöbölhető. Az Irányítástechnikai Mérnöki Irodában láthattam, hogy egy üzem bővítési és korszerűsítési projektje során milyen komoly szakmai és biztonságtechnikai követelményeknek megfelelően kell megtervezni egy ipari konstrukciót, kiválasztani a mindenkori alkalmazásnak és szabványoknak megfelelő irányítástechnikai berendezéseket, megírni hozzá a vezérlőprogramot és biztonságosan üzemeltetni azt. Egy ilyen projekt megvalósításához sokrétű szakmai ismeret, hosszú kutatómunka és körültekintő eljárás szükséges mindenki részéről. Olyan konstrukció kialakítására törekedtek, amely vállalható mind biztonsági, mind anyagi szempontból.
4
Ezért választottam szagdolgozatom témájául a funkcionális biztonság és a Siemens
S7-es
Fail-safe
PLC-k
folyamatipari biztonsági alkalmazásainak
bemutatását. Szakdolgozatomban kitérek a folyamatipari biztonság területén alkalmazandó, illetve kötelezően alkalmazott standardokra, részletezem az IEC 61508 és az IEC 61511-es szabványokat és alkalmazásukat, valamint bemutatom az iparban is igen népszerű Siemens S7 Fail-Safe rendszereit és az egyetemi eszközparkban is megtalálható S7-300-as biztonsági programozható logikai vezérlőket és kiegészítőiket. Tisztázom a folyamatipari biztonsággal kapcsolatos szakkifejezéseket, illetve egyszerűbb példafeladatokkal bemutatom az S7-300 F biztonsági PLC alkalmazását és alkalmazhatóságát két fejlesztőkörnyezetet használva.
5
3. Folyamatipari biztonság rövidítései és értelmezésük Szakdolgozatomban sok, a folyamatipari biztonság területén rendszeresen használt rövidítést fogok felhasználni. Ahhoz, hogy szakdolgozatom érthető legyen mindvégig, szeretném az írásom elején felsorolni ezeket a szakkifejezéseket és jelentésüket.
SIL
(Safety Integrity Level) Integrált biztonság szintje, amely
1-től 4-ig definiált az IEC 61611 és IEC 61608 szabványban egyaránt, az IEC 62061 irányelvben (ami az IEC 61508 gépipari biztonságra átültetett változata) a maximális érték nem 4, hanem 3. Az E/E/PE biztonsági funkcióinak megbízhatóságával szemben támasztott követelmények megítéléséhez használják, a SIL a rizikó csökkentés mértéke. A SIL érték a teljes biztonsági funkcióra/berendezésre értendő.
SIL CL
(SIL Claim Limit) SIL igény határ, az IEC 62061
szabványban a megbízhatósággal szemben támasztott követelményeknél használatos. Az eszközöket a SIL CL segítségével jelölik, hogy maximálisan milyen SIL szintet érhetünk el az eszköz használatával.
CAT
(Category) Biztonsági kategória rövidítése. EN 854-1
esetén használatos, értéke 1-től 4-ig terjedhet.
PL
(Perfomance Level) Az EN ISO 13849-1 szabványhoz, a
vezérlők biztonsági részeinek kialakításához szükséges „mérőszám”. Értéke „a”-tól „e”-ig terjedhet, ahol előbbi érték a legmagasabb teljesítményszintet, utóbbi a legalacsonyabbat jelöli.
CCF
(Common Cause Failure) Közös okok következtében
bekövetkező hiba.
MTBF
(Mean Time Between Failure) Meghibásodások között
várható átlagosan eltelt idő szakszerű használatot, rendszeres karbantartást feltételezve. Statisztikai érték.
MTTF
(Mean Time To Failure) Azt MTBF egy változata,
jelentése: meghibásodásig átlagosan eltelt idő. Szintén statisztikai érték.
MTTFd
(Mean Time To Failure - dangerous) Jelentése: veszélyes
meghibásodásig átlagosan eltelt idő Az MTTF egy olyan kiterjesztése, amely egy veszélyes meghibásodásig eltelt időt veszi figyelembe.
6
PFD
(Probability of Failure on Demand) Hiba valószínűsége
terhelés alatt. Annak a valószínűségét adja meg egy évre kivetítve, hogy a biztonsági rendszer pont akkor nem működik, amikor kellene, igény esetén pont nem látja el a funkcióját.
PFH
(Probability of Failure on Hour) Annak a valószínűsége
órára vetítve, hogy a biztonsági rendszer pont akkor nem működik, amikor kellene.
RRF
(Risk Reduction Factor) Kockázatcsökkentési tényező. A
technológiai kockázat és a törvényileg, illetve társadalmilag elfogadott kockázat számszerűsített értékek, így a kettejük „közötti” érték is számszerűsíthető (lásd: x. ábra)
SPLC
(Safety
PLC)
Veszélyes
technológiákhoz
használt
programozható logikai vezérlők („biztonsági” PLC).
SIS
(Safety Instrumented System) Biztonságosan műszerezett
rendszer. Az ilyen rendszerek egy vagy több biztonsági elemet, biztonságtechnikai funkciókat tartalmaznak és minden ilyenre érvényes egy SIL követelmény.
EUC
(Equipment Under Control) Irányított berendezés
E/E/PE
(Electrical/Electronic/Programmable Electronic Safety-
related Systems) - Elektromos/elektronikus/programozható elektronikus rendszerek. Beletartozik minden olyan eszköz és rendszer, amellyel biztonságtechnikai funkciót lehet végezni, egyszerű elektromos eszköztől a programozható logikai vezérlőkig.
HIPPS
(High-integrity
Pressure
Protection
System)
Magas
integritású túlnyomás védelmi rendszer, biztonságosan műszerezett rendszerek egy változata vegyi gyárakban és olajfinomítókban alkalmazott.
FMEA
(Failure Mode and Effects Analysis) Hibamód- és
hatáselemzés. Nem csak minőségmenedzsment, hanem a folyamatiparban egy biztonsági rendszer kockázatelemzéséhez is használják. Hibák hatásának jelentőségét lehet meghatározni, mely egy biztonsági rendszer telepítéséhez elengedhetetlen.
7
HAZOP
(Hazard and Operability Study) A veszélyek azonosítására
és becslésére szolgáló, egyszerű módszer. Alapelve az, hogy a normál és szabványos munkakörülmények biztonságosak és csak akkor keletkeznek veszélyek, ha ezektől eltérnek.
LOPA
(Layers
of
Protection
Analysis)
Védelmi
szintek
ellenőrzéséhez használt analízis, módszer, elsősorban folyamatos technológiában használt. A módszer részletes terveket, leírásokat igényel a technológiáról és a gépekről.
8
4. Lépések a biztonság növelésének érdekében „Ami elromolhat, el is romlik…” Edward A. Murphy légközlekedési mérnök örökérvényű mondása ugyanúgy igaz a folyamatiparra is, mint az élet bármely más területére. Az egyre összetettebb rendszerek, bonyolultabb elektronikai és vezérlő berendezések, illetve a komplex programok növelik a hibalehetőségek számát. Ezért van szükség a folyamatiparan is egységesen értelmezhető szabványokra, melyek nemcsak útmutatókat és jellemzőket tartalmaznak, hanem szabályoznak, egységesítenek, valamint a tevékenység, szolgáltatás és felhasználó érdekeit szolgáltatja. Következetes megoldási módjainak köszönhetően pozitív gazdasági, hatékonysági és biztonsági hatásuk van a szabványok alkalmazásának. A szabványok általában önként alkalmazhatók, de bizonyos szabványok alkalmazása törvényleg kötelező. Alapesetben a nemzetközi szabványügyi szervezetek által létrehozott irányelvek felhasználása nem kötelező, de amennyiben a Magyar Szabványügyi Testület honosít egy szabványt, az alkalmazás már kötelezővé tehető.
1. ábra: Nemzetközi szervezetek és a szabványjelek kapcsolódása
9
4.1 Szabványok Amennyiben egy szabvány elfogadásra kerül az Európai Unióban vagy honosításra kerül a Magyar Szabványügyi Testület által, akkor annak a szabványosítási szervezetnek a betűjele is szerepel a szabványban (pl. EN ISO, MSZ EN). [1] A teljesség igénye nélkül, a leggyakoribb szabványbetűjelek jelentése, melyek kapcsolódnak az iparhoz:
MSZ
Magyar Szabvány
EN
(European
Norm/Harmonized
European
Standards)
Európai szabvány
ISO
(International
Organization
for
Standardization)
Nemzetközi Szabványügyi Szervezet
IEC
(International Electrotechnical Comission) Nemzetközi
Elektrotechnikai Bizottság. Az IEC csatlakozott az ISO-hoz, de elektronika/elektrotechnika területeken megtartotta az önállóságát.
IEEE
(Institute
of Electrical
and
Electronics
Engineers)
Elektrotechnikai és Elektronikai Mérnökök Intézete
Szabványok alatt általában olyan megállapodást értünk, melynek keretében egy termék előállítása vagy egy szolgáltatás üzemeltetése előre meghatározott (szabványos) módon történik. A szabványoknak négy típusát különböztetjük meg:
hivatalos, ún. „de-jure” szabványok, melyek nemzetközi együttműködés keretében létrejött szervezetek bocsájtják ki vagy olyan szabványok, melyeket törvényileg elismertek.
ipari („de-facto”) szabványok olyan szabványok, melyeket egy ipari konzorciumba tömörült szervezetek kezelnek, illetve bocsájtanak ki.
„ad-hoc” jellegű „szabványok+, melyeket sem törvényileg, szabványügyi szervezetek nem hagytak jóvá, de használatuk mindennapos.
céges tulajdonú szabványok, melyeket egy cég saját maga készített el, saját maga kezeli és saját tulajdona, de más cég is felhasználhatja licenszdíjért cserébe.
10
4.2 Irányelvek
SÚLYOS IPARI BALESETEK KIALAKULÁSÁNAK OKAI Emberi mulasztás
Műszaki hiba
Kontrollálhatatlan vegyi reakció
Külső tényezők
16%
10% 50%; 50%
24%
1. diagram: Ipari balesetek okainak százalékos eloszlása (2)
Tisztázzuk, mit nevezünk balesetnek: A baleset egy olyan nem kívánt, váratlan negatív esemény, kár, amelynek bekövetkezése megelőzhető lett volna. A rendkívüli esemény egy ipari üzemben olyan ipari esemény, mely azonnali beavatkozást igényel és magában hordozza egy vegyi anyagokkal kapcsolatos súlyos baleset lehetőségét. Az Európai Unió által kidolgozott és elfogadott Seveso-irányelv azért jött létre, hogy a súlyos ipari (vegyipari) baleseteket megelőzzék, a következményeket csökkentsék. A szabályzás Magyarországon 2002 óta van érvényben, azóta létrejött a Seveso II. és Seveso III. irányelv, melyek további szigorításokat tartalmaztak. A veszélyes anyagokkal kapcsolatos tevékenységeket, cégeket egy állami hatóság felügyeli. A veszély megítélésé a veszélyes anyagok mennyiségén alapszik. Az eljárás alapja a biztonsági jelentés és elemzés, amelynek rendeltetése az, hogy az előírt tartalmi és formai követelmények alapján az üzemeltető bizonyíthassa, az általa folytatott veszélyes tevékenység nem jár a meghatározottnál nagyobb kockázattal, és minden elvárhatót megtett az esetleges súlyos baleset megelőzése, és a következmények elhárítása érdekében. Két ipari üzem veszélyességi státuszt különböztetünk meg:
11
Alsó küszöbértékű veszélyes ipari üzem
Felső küszöbértékű veszélyes ipari üzem
Az üzemeltető az alábbi táblázatban foglalt kötelezettségeknek kell eleget tenni a hatóság felé: Veszélyességi státusz
Kötelezettségek a hatóság felé
Alsó
- bejelentkezési kötelezettség - biztonsági elemzés készítése - balesetmegelőzési célkitűzések készítése - adatszolgáltatás településrendezési tervhez - belső védelmi tervezés - baleseti jelentési és vizsgálati kötelezettség
Felső
A fenti kötelezettségeken túl: -
biztonsági jelentés készítése
adatszolgáltatás a külső védelmi terv elkészítéséhez -
biztonsági irányítási rendszer működtetése
1. táblázat: Kötelezettségek a hatóság felé, veszélyességi státusz alapján Az irányelv neve egy olaszországi kisváros nevéből ered, amelyet a legjobban érintett az 1976. július 10.-én a kisváros melletti vegyigyárkatasztrófa. Az emberi mulasztás miatt levegőbe került jelentős mennyiségű dioxin következtében több mint 37 ezer embert érintett, 11 ezret kellett evakuálni, több tízezer házi- és haszonállat hullott el és az egészségügyi következmények több ezer embert érintettek. A cég a hatóságokat a katasztrófa után 6 nappal értesítette csak. Minden nagyobb gép, berendezés potenciális veszélyt jelent a használói számára, gondoljunk csak a hidraulikus munkahengerek vagy a robotkarok mozgására. Fontos különbséget tenni a veszély (hazard) és a kockázat (risk) között. Kockázat mindig van, teljesen biztonságos rendszer nincs, de a kockázat csökkenthető. (Biztonság = Mentesség a nem elfogadható kockázatoktól.) A balesetveszélyes berendezés vezérlőelemeinek is különleges tulajdonságokkal kell rendelkeznie. Egyszerűbb esetben (pl. présgép) e vezérlés egy relés áramkörre korlátozódik. Bonyolultabb esetben, pl. egy robotizált gyártósorra a biztonsági funkciókat egy biztonsági PLC vezéreli, mely a terepi érzékelőkhez és beavatkozókhoz leválasztó reléken keresztül
12
csatlakozik. Mindkét esetben a relék megbízhatóságán és üzembiztonságán múlhat a berendezés helyes működése és a kezelőszemélyzet biztonsága! A biztonsági jelző-, reteszelő- és vészleállító rendszerek jellemzője, hogy a technológiai folyamatirányításban nem vesznek részt. Azokat csak felügyelik, és amennyiben valamilyen oknál fogva a beállított kritikus szélsőértéket ér el az adott folyamat, a vezérlés megelőző beavatkozást végez, mely lehet pl. leürítés, elárasztás, vagy teljes leállítás, stb. A vezérlés irányított módon fejti ki a megelőző beavatkozást. Mivel a biztonsági rendszereken múlhat egy baleset, vagy katasztrófa megelőzése, megbízhatóságuk egyre fontosabb. A megbízhatóság (műszaki értelemben véve) egy részegységnek, vagy magának a rendszernek azon tulajdonsága, hogy rendeltetésszerű működtetés esetén milyen mértékben várható el a hibátlan működés. Matematikai szempontból a megbízhatóság egy statisztikai adat. A gyakorlat, illetve a szabvány szerint a biztonsági/védelmi rendszerek feladata a kockázatcsökkentés. Műszaki kockázatok menedzsmentjének elsődleges célja tehát a biztonságkritikus rendszer fejlesztése, azaz olyan biztonsági rendszer készítése, mellyel a kockázat társadalmilag és hatóságilag elvárt szint alá csökkenthető. [2] Az ipari automatizálásban a két legfontosabb szabvány az IEC 61508 és az IEC 61511 szabványok. A Seveso III. direktíva a fenti két szabványra nem hivatkozik, de alkalmazásuk több országban (pl. Anglia, Norvégia) törvényileg kötelező. Különböző hibafajtákat különböztethetünk meg:
Rendszerhibák (emberi hiba pl. tervezés során)
Véletlenszerű hibák, hardverhibák (pl. kitikkadtt elektrolitkapacitások miatt)
Közös okú hibák: CCF (pl. túlfeszültség tönkretesz több elemet is a rendszeren)
13
4.3 Megfelelősség
2. ábra: Kockázat mértékét befolyásoló tényezők Az ideálisan megtervezett hibatűrő rendszerekben nincs egyetlen olyan pont sem, amelynek meghibásodása meghiúsíthatja a rendszer működését, azaz a legfontosabb előírt feladatait bármikor ne tudná végrehajtani. Azaz egy hiba vagy rendellenesség esetén a veszélybiztos irányítórendszer a folyamat stabilizálásával vagy leállításával képes minden esetben a veszélyhelyzetek megelőzésére. A szabványok által leírt, a rendszerek funkcionális biztonságát érintő összes követelményt figyelembe kell venni,
ennek
ellenére
100%-os
funkcionális
biztonság
nem
létezik,
a
kockázatcsökkentési akció után is kell számolni maradandó kockázattal. A nem várt, negatív
jellegű
incidensek
(balesetek)
bekövetkezésének
várható,
illetve
megengedhető gyakoriságát az úgynevezett SIL értékekkel jellemezhetjük. Erre részletesen kitérek az IEC 61508 szabvány tisztázásánál. A gépipari biztonság szempontjából fontos a CE jelölés is. Az EU-n belüli kereskedelmi korlátozások megszűnése után (áruk szabad mozgása) és az EU tagállamok közötti együttműködésnek köszönhetően szükség volt egy egységes termékbiztonsággal kapcsolatos minőség jelzésre, melynek célja, hogy az Európai piacon csak biztonságos termékek legyenek forgalomba. Ennek a célnak a biztosításaként számos rendelet, irányelv került bevezetésre, melyek betartatása elsősorban a tagállami hatóságok feladatát képezi. Igy alakult meg a CE (Conformité Européenne) jelölés, mely az unión belül forgalmazott összes terméken fel kell tüntetni. Persze csak úgy, ha az adott termék megfelel a mindenkori direktíváknak és rendeleteknek. A CE jelölés nem a fogyasztók tájékoztatását, de az érdekeit szolgálja,
14
- ennek ellenére nem biztosít semmilyen minőségi tulajdonságot -, hanem a hatósági ellenőrzés egyszerűbb lehetőségét biztosítja. A CE jelölésnek tehát nem csak az Európában forgalmazott hétköznapi termékekre kell felkerülnie, hanem minden ipari gépre, berendezésre ugyanúgy vonatkoznak az irányelvek. Ha egy berendezésre, gépre léteznek a harmonizált szabványok, a terméket előállító cégnek az alábbi lehetőségei vannak:
A berendezés vagy gép műszaki dokumentációját elküldi egy független, hivatalosan elismert hatóságnak (pl. TÜV, SGS…) megőrzésre
Meghatalmaz egy független hatóságot, hogy megfelelősség szempontjából ellenőrizze a dokumentációt és tanúsítsa azt
Vannak azonban esetek, amikor a harmonizált szabványok az adott termékre nem alkalmazhatók. Ebben az eseten a gyártónak használati útmutatót, biztonsági ellenőrzéssel kapcsolatos méréseiről dokumentációt és kockázatbecslést kell végeznie. Csak ezután tüntetheti fel a terméken a CE jelölést, a saját felelősségére. [3]
Az, hogy egy szabvány általános, az azt jelenti, hogy alkalmazható minden ipari ágazatban. Azonban egy adott ágazatra vonatkozó megegyezés (mint pl. az IEC 61513-as
alapvetés,
műszerezésével,
amely
atomerőművek
vezérlésével
rendszerkövetelményeivel
foglalkozik)
és az
biztonsági általános
„ernyőszabványt”
felülírhatja, de minden más esetben az a mérvadó. Az IEC 61508 tehát azokat a követelményeket írja le, amelyeket a gyártóknak kötelező betartani az eszközeik, ill. rendszereik vonatkozásában. A gyártónak mindig bizonyítania kell, hogy terméke kielégíti a termékre vonatkozó irányelvekben lévő "lényeges követelményeket". Az eszközöket a gyártó cégek a már említett, professzionális független harmadik féllel, minősítő szervezetekkel minősíthetik. A minősítő igazolással a gyártó cég jogosult lesz feltüntetni a termékén a minősítés emblémáját.
15
3. ábra: Egy TÜV-SÜD által kibocsájtott minősítő igazolás egy SIL 3 követelményeknek eleget tett berendezésről
TÜV (Technische Überwachung Verein) Rheinland a világ egyik vezető műszaki szolgáltató konszernje, amely 1872-ben történt alapítása óta regionális vizsgáló szervezetből nemzetközi szintű vizsgálati szolgáltatóvá fejlődött. A vállalat ma a világ 69 országában működtet saját szervezetet. A TÜV semleges, független félként termékeket, berendezéseket, folyamatokat és irányítási rendszereket, valamint szolgáltatásokat vizsgál, nyomon követ, fejleszt, támogat és tanúsít a törvényi előírások, valamint további vonatkozó irányelvek és szabványok alapján. Továbbá saját maga is ad ki ajánlásokat a biztonság növelésére.
16
5. Szabványok a folyamatipari és gépipari biztonság területén Az ipari biztonságot tárgyaló szabványok meglehetősen komplex felépítésűek, de egybefüggő rendszert alkotnak. Ez a szabvány tartalmazza a követelményeket és rendelkezéseket, amelyek alkalmazhatók a bonyolult elektronikus és programozható rendszerek, illetve alrendszerek tervezéséhez.
5.1 Az „ernyőszabvány”
4. ábra: IEC 61508 „ernyőszabvány” és a hozzá kapcsoló további szabványok A szabvány megnevezése: „Funkcionális biztonság az elektromos, elektronikus vagy programozható elektronikus biztonsági rendszerekhez”. Az EN IEC 61508 jelölésű szabvány (olykor hívják „ernyőszabványnak” is) egy általános szabvány, mely a funkcionális biztonság kérdéseit tárgyalja. A szabványt az Nemzetközi Elektrotechnikai Bizottság (International Electrotechnical Commission) publikálta és kezeli
Functional Safety of Electrical/Electronic/Programmable Electronic
Safety-related Systems (E/E/PE, vagy E/E/PES) néven. Ez a szabvány foglalja egységbe fenti képen látható további szabványokat, melyek folyamatiparhoz,
17
gépiparhoz és egyéb ághoz kapcsolódnak. Alkalmazásával gépi, és emberi hibákból adódó baleseteket, illetve veszélyhelyzeteket lehet csökkenteni, illetve elkerülni. A funkcionális biztonság mellett robbanásveszélyeztetett területeken használt berendezéseknél további szabványokat is szükséges alkalmazni. A képen látható szabványok az alábbiakkal foglalkoznak:
IEC 61511: ("Functional safety — Safety instrumented systems for the process industry sector") Működési biztonság: Ez az irányelv az IEC 61508 szabvány egy folyamatipart célzó speciális, alkalmazásspecifikus implementációja. A szabványt a későbbiekben részletezem.
IEC 62061: Gépek biztonsága („Safety of machinery — Functional safety of safety-related electrical, electronic and programmable electronic control systems")
ISO 13849-1: Gépek biztonsága („Safety of machinery — Safety-related parts of control systems") This standard is intended to provide a direct transition path from the categories of the previous EN 954-1. Az EN ISO 13849-1 a vezérlők biztonsági részeinek kialakítását írja le. A biztonsági funkciók megbízhatóságának fontos mérőszáma a teljesítményszint (PL). A korábban EN 954-1 szabványban érvényes Safety Categories-ból és a Perfomance Level-be között az átjárhatóság lehetséges.
IEC 60601: Orvosi elektromos eszközökhöz, berendezésekhez készült biztonsági irányelv („Medical electrical equipment”)
IEC 50156: Kemencék elektronikus berendezéseihez iránymutatás a tervezéshez és a telepítéshez. („Electrical equipment for furnaces and ancillary equipment.”)
IEC 61513: Alkalmazásspecifikus szabvány, a nukleáris erőművek biztonságos műszerezéséhez és vezérléséhez készült általános rendszerkövetelményeket megfogalmazó irányelv. („Nuclear power plants. Instrumentation and control important to safety.”)
IEC 61800-5-2: Elektronikus hajtások biztonsági követelményeit tartalmazó szabvány. („Adjustable speed electrical power drive systems. Part 5-2: Safety requirements.”)
18
EN 50128: A szabvány vasúti alkalmazásokhoz készült. („Railway applications.”)
EN 954-1: Gépekre vonatkozó Safety Categories 2009. november 31-ig volt érvényben, helyét az ISO 13849 vette át.
5.2. Gépipari szabványok Az EN 954-1 - ellentétben az IEC 60508-al - a gépipari direktívák alatt harmonizált. Míg előbbi kimondottan a gépipari biztonságra funkcionál, utóbbi általános, alkalmazásfüggetlen. Az EN 954-1 elektromechanikus és hidraulikus rendszerekhez volt alkalmazható, összetett elektronikákhoz és programozható elektronikus rendszerekhez nem alkalmazható, a hibamodellek alkalmatlanok mikrokontrollerekhez (μC) és alkalmazásspecifikus áramkörökhöz (ASIC). Továbbá nem foglalkozik a biztonsági funkciók összetettségével és a meghibásodások valószínűségével sem. Az utódszabvány, azaz az EN ISO 13849-1 szabványban a programozható elektronikus rendszerek használatát is
figyelembe veszi egy
vezérlési láncon belül, a szabvánnyal a biztonsági funkciók kvantitatív vizsgálatára elvégezhető. Az EN IEC 62061 és az EN ISO 13849-1 irányelvek egyaránt kiterjednek a biztonsággal kapcsolatos elektromos rendszerekre, egymás alternatívái. Mindkét szabvány eredménye ugyanaz, de különböző módszereket alkalmaznak, különböző esetekhez alkalmazzák őket. Lehetőség van a tervezés során a helyzethez leginkább alkalmas szabvány kiválasztására. Az EN ISO 13849-1 nemcsak a vezérlők biztonsági részeinek hardverfelépítését írja le, hanem részletezi a szoftver kialakítását is. Az IEC 62061 szabvány a kockázatcsökkentést szintén SIL, azaz biztonságintegritási szintértékkel fejezi ki. Tartalmazza az IEC 61508 összes, a gépekre és rendszerekre vonatkozó fontos követelményeit, valamint ugyancsak életciklus modellt alkalmaz, de 16 fázis helyett csak 6 (egyszerűsített életciklus modell). Az értéke IEC 61611 és IEC 61608 szabványhoz képest három SIL szint van, ahol az 1 a legalacsonyabb, 3 a legmagasabb. Az alrendszer, amely végrehajtja a biztonsági funkciót, rendelkezik egy megfélő SIL képességgel. Ez a SIL CL, mellyel az adott eszközt jellemzik. Például a SIL CL 2 jelentése tehát az, hogy az ilyen eszköz csak SIL 2 szintű biztonsági funkciókhoz alkalmazható. Az EN ISO
19
13849-1 azonban nem SIL szinteken, hanem öt PL, azaz öt teljesítményszintet definiál, amely az óránkénti veszélyes kiesések átlagos valószínűségi értékét adja meg. A Perfomance Level egy valószínűségi becslést határoz meg. SIL és PL között lehetséges az átjárhatóság (CSAK mindkét szabványt részletesen figyelembe véve!), mely az alábbi ábrán látható: [5]
5. ábra: SIL és PL közötti átjárhatóság PFHdangerous érték alapján A kép tehát csakis úgy használható fel konverziós célra, ha a szabványok teljes követelményeit figyelembe vesszük még a tervezés során. Az alkalmazhatóságot az alábbi táblázat foglalja össze: EN ISO 13849-1
EN IEC 62061
Hidraulikus, pneumatikus és elektromechanikus rendszerekhez PLe szintig is alkalmazható.
Hidraulikus és kevert rendszereknél nem alkalmazható.
Összetett, PE rendszerekhez csak korlátozottan alkalmazható
E/E/PE rendszerekhez.
(PLd).
A berendezés biztonsági szintjét
A teljes rendszer biztonsági
táblázat alapján lehet meghatározni.
szintje a szabvány által biztosított képletekkel számítható.
20
5.3 IEC 61508 szabvány részletes bemutatása és elemzése
6. ábra: Szabványok felhasználása. Amikkel részletesebben foglalkozok, az az IEC 61508 és IEC 61511 szabványok [4]
5.3.1. Funkcionális biztonság Funkcionális biztonságnak nevezzük az olyan biztonsági, műszaki védelmi intézkedéseket, amelyekkel a gépek hibáikból adódó kockázatot, vagyis a balesetek valószínűségét csökkentjük. Ahogy az IEC 61508 is kimondja, 0% kockázat, azaz 100%-os biztonság nem létezik, de a megfogalmazott módszerek alkalmazásával a rizikó tovább és tovább csökkenthető. Vagyis a funkcionális biztonsággal ha nem is megakadályozzuk, de jelentős mértékben csökkentjük azokat a gépi hibákat, amelyek az emberi test vagy a környezet épségét veszélyeztetik. A funkcionális biztonság, mint kifejezés 1998-ban lett bevezetve az IEC 61508 alkalmazásfüggetlen szabvánnyal. Helytelenül, de gyakran csak a programozható biztonsági rendszerekkel (PES) hozzák összefüggésbe, annak ellenére, hogy a kifejezés széles körét öleli fel azoknak az eszközöknek, amelyek biztonsági
21
rendszerek létrehozására alkalmasak. Ilyen eszközök a biztonsági relék, zárak, fényfüggönyök, kapcsolók, illetve minden olyan elem, amely valamilyen biztonsági funkciót hajt végre. [] Az IEC TR 61508-0 a következő példával tisztázza a funkcionális biztonság jelentését: “For example, an over-temperature protection device, using a thermal sensor in the windings of an electric motor to de-energize the motor before they can overheat, is an instance of functional safety. But providing specialized insulation to withstand high temperatures is not an instance of functional safety (although it is still an instance of safety and could protect against exactly the same hazard).” A funkcionális biztonság eléréséhez kétféle típusú követelmény szükséges:
Biztonsági funkció
Biztonsági integritás
5.3.2 A szabvány felépítése A szabvány 7 részből áll, melyből az első három (Part 1-3) a követelményeket tartalmazza (normatív), az utolsó négy (Part 4-7) pedig információkat, valamint útmutatókat és példákat a tervezéshez. A bevezető („0. rész”) egy általános leírást ad a szabványról. Annak ellenére, hogy nagy terjedelmű a szabvány, logikusan és átgondoltan felépített. Az IEC 61508 és IEC 61511 szabványok használata több országban nem kötelező, de két fél (cégek) között létrejöhet olyan szerződés, ahol a használatát kötelezővé teszik. Használatuk lehet, hogy nem kötelező, de alkalmazásuk jó mérnöki gyakorlatnak számít ("Good engineering practice") és a bíróságon perdöntő lehet.
22
Leírás
Part
Általános követelmények
IEC 61508-1
(General requirements) Hardveres követelmények
IEC 61508-2
(Hardware requirements for E/E/PES) Szoftverekkel szemben támasztott követelmények
IEC 61508-3
(Software requirements for E/E/PES) Definíciók és rövidítések
IEC 61508-4
(Definitions and abbreviations) Módszertani példák SIL meghatározására
IEC 61508-5
(Examples of methods for SIL) Irányelvek Part 2 és 3 alkalmazásához
IEC 61508-6
(Guidelines on the application of Part 2 and 3) Technikák és mérések áttekintése
IEC 61508-7
(Overview of techniques and measures) 2. táblázat: IEC 61508:2010 frissített szabvány tartalma
A
szabvány
tipikus
alkalmazási
területei
programozható
elektronikus
rendszereken kívül: Vészleállító rendszerek (ESD), tűz és gáz rendszerek (F&G), égő vezérlők (BMG), nagy integritású túlnyomásvédett rendszerek (HIPPS), stb. A szabvány bevezeti az életciklus modellt (lásd: 7. ábra), amely szerintem nem csak nagyban megkönnyíti az egész folyamat véghezvitelét. Figyelembe veszi a külső biztonsági technológiákat, de az emberi tényezőkkel nem foglalkozik. Specifikálja az összes olyan információt, amely az E/E/PES kivitelezéséhez, verifikálásához és funkcionális biztonságának értékeléséhez szükséges.
23
7. ábra: Biztonsági életciklus összhangban az IEC 61508 szabvánnyal
5.3.3. A szabvány alkalmazása A szabvány kiemeli, és nagy hangsúlyt fektet a dokumentálásra, annak frissességére, részletességére és strukturáltságára. Szerintem épp ez a legfontosabb erősség. A cél ezzel az, hogy minden egyes életciklusról (vagy lépésről) elegendő és pontos információ álljon rendelkezésre mindenki számára, akik kapcsolatba kerülnek az adott berendezéssel vagy rendszerrel. Továbbá meghatározza, hogy az egyes lépéseknél milyen kiindulási adatokra van szükség és mi lesz a végeredmény. Ha megvan a terv és ismert a hatókör, akkor megkezdhető a veszélyhelyzetek feltárása, az
előzetes
veszély
és
kockázat
elemzés.
A
következő
lépésben
a
veszélyhelyzetekhez kapcsolódó általános biztonsági követelményeket határozzák meg, majd hozzárendelik a biztonsági követelményeket az adott műszaki részrendszerhez vagy folyamathoz. Az analízis fázisban LOPA (Layer of Protection Analysis) használatával a túlméretezése és az alul méretezése a biztonsági funkcióknak egyaránt elkerülhető. HAZOP (Hazard and Operability Study)
24
szisztematikus és általános, szinte minden esetben alkalmazható. Ellentétben a FMEA-val (Failure Mode and Effect Analysis) nem a komponenseket vizsgálja, hanem a céltól való lehetséges eltéréseket és ezeknek a nem kívánt eltéréseknek a következményeit. Az elemzés a teljes projektet, illetve a termék teljes életciklusát kell, hogy érintse. A veszélyforrások és a várható súlyosságuk felméréséhez ismerni kellhet az ágazati szabványokat és a már esetlegesen felszerelt biztonsági berendezéseket. Ezután jön az átfogó tervezési tevékenység. Ezek a tevékenységek az olyan tennivalókkal kapcsolatos elvárások megfelelését biztosító tevékenységeket takarnak, mint a rendszerátadás, üzembe helyezés, karbantartás, validálás, stb. és egyaránt tartalmazza a biztonságkritikus rendszer tervezésével kapcsolatos feladatokat. A szabvány a külső kockázatcsökkentő biztonsági eszközöket is kezeli. Elvárt, hogy a résztvevők rendelkezzenek megfelelő mérnöki és technikai tudással, gyakorlattal és minősítéssel a SIS minden életciklusában. A következő lépések a rendszer építését követő, azaz a rendszer telepítéséhez, üzembe helyezéséhez, validálásához, karbantartásához kötődő előírásokat rögzítik. Az összes hibamódot tesztelni és minden hibát detektálni egy kész rendszert érintő validálás során nem lehetséges.
5.3.4. ALARP alapelv Már a tervezés legelején figyelembe kell venni a biztonságot. Minden egyes feltárt veszélyhelyzetre meg kell adni milyen kockázatcsökkentést várunk el. A nem tolerálható kockázatot mindenképp csökkenteni kell. Itt jön képbe az elfogadható kockázat koncepciója: A műszaki rendszer elkészítésénél a tervező és kivitelező köteles a kockázatot a lehető legkisebb ésszerűen megvalósítható (As Low As Reasonable Possible - ALARP) szintre csökkenteni. Az IEC 61508 előírja a kockázatcsökkentés módszertanát. A szükséges kockázatcsökkentést mennyiségi, illetve minőségi módszerekkel kell meghatározni.
25
8. ábra: Technológiai kockázat és kockázatcsökkentés (-> ALARP)
5.3.5. Rizikó mátrix Ahogy már említettem, az IEC 61508 és az IEC 61511 szabványok is 4 különböző biztonsági integritási szintet definiálnak. Ez a mértéke annak a valószínűségnek, hogy a SIF (Safety Instrumented Function) működik sikeresen, amikor szükség van rá. A szükséges SIL meghatározásához ismerni kell a kockázatokat (-> kockázatelemzés). A kockázati mátrix egy kvantitatív kockázatértékelési eszköz. Súlyosság IEC 61508
Elhanyagolható
Közepes
Kritikus
Végzetes
Kisebb sérülések
Nem életveszélyes sérülések
Sok sérült, egy ember halála
Több ember halála
Frekvencia
Rizikó mátrix Gyakori
>10-3
II
I
I
I
Valószínű
10-3-10-4
III
II
I
I
Alkalmi
10-4-10-5
III
III
II
I
Kicsi
10-5-10-6
IV
III
III
II
Valószínűtlen
10-6-10-7
IV
IV
III
III
Lehetetlen
<10-7
IV
IV
IV
IV
3. táblázat: Kockázati mátrix az IEC 61508 szabványt felhasználva. A kockázati mátrix értelmezése, a rizikó osztályok:
26
Class I: Elfogadhatatlan – Bármilyen körülmény között szükség van kockázatcsökkentésre.
Class II: Nem kívánatos – Csak olyan, extrém esetekben megengedhető, ha a kockázatcsökkentés kivitelezhetetlen, vagy a kockázatcsökkentésre
fordítandó
költségek
nagymértékben
aránytalanok az elérhető eredményhez képest.
Class III: Tolerálható – Elfogadható, ha a kockázatcsökkentésre fordítandó költségek és az elérhető eredmény nem állnak arányban
Class IV: Elfogadható – Társadalmilag elfogadott kockázati szint, de folyamatos ellenőrzés szükséges ebben az esetben is.
Megjegyzés: Az IEC 61511 szabványban a rizikómátrix hasonlóan néz ki, a rizikó osztályok száma viszont három, mert a Class II és Class III osztályokat összevonja.
5.3.6. Safety Integrity Level Az IEC 61508 szabvány megkülönböztet alacsony működtetés igényű és magas működtetés igényű üzemmódokat:
Alacsony működtetési igényű mód (Low demand mode): Akkor beszélünk alacsony működtetési igényről, amikor az adott biztonsági funkció működtetésének gyakorisága nem nagyobb 1 alkalom/évnél, vagy a prooftesztek kétszeresénél.
Magas működtetési igényű mód (High demand or continous mode): Folytonos igényről akkor beszélünk, amikor az adott funkció működtetése gyakoribb 1 alkalom/évnél vagy a proof-tesztek kétszeresénél.
Safety Integrity Level
Safety Ability [%]
PFDavg
RRF
SIL 4
>99.99%
<0.0001
>10,000
SIL 3
99.9%-99.99%
0.001-0.0001
1,000-10,000
SIL 2
99.0%-99.9%
0.01-0.001
100-1,000
SIL 1
90.0%-99.0%
0.1-0.01
10-100
4. táblázat: PFD és RRF értékek különböző SIL-re az IEC EN 61508 szabvány szerint meghatározva (Low demand mode SIL) 𝑅𝑅𝐹 =
1 𝑃𝐹𝐷
27
Safety Integrity Level
PFH
RRF
SIL 4
<10-8
>100,000,000
SIL 3
10-7-10-8
100,000,000-10,000,000
SIL 2
10-6-10-7
10,000,000-1,000,000
SIL 1
10-5-10-6
1,000,000-100,000
5. táblázat: PFH és RRF értékek folyamatos működésre (High demand mode or Continous mode SIL) Magasabb SIL érték komolyabb biztonsági követelményeket jelent és az értéke a teljes biztonsági körre érvényes. A SIL 1 jelenti a legalacsonyabb követelményt, a SIL 4 a legmagasabbat. A SIL értékekhez tartoznak technikai jellegű és nem technikai követelmények és már a termék vagy az adott folyamat tervezési fázisában rögzíteni kell a rendszeres hibák előfordulási gyakoriságának megengedhető értéke alapján. A táblázatban előírt értékek célértékek. SIL 4 csak speciális, komoly feltételekkel teljesíthető: A biztonsági integritás meghibásodási arányát megfelelő analitikai módszerekkel bizonyítani kell, valamint a felhasznált komponensekre kiterjedt működési tapasztalattal és ismert hardveres meghibásodási aránnyal kell rendelkezni hasonló alkalmazásban és környezetben.
28
9. ábra: Megelőzési és kárcsökkentési rétegek kapcsolódása egymáshoz [4] Biztonsági műszeres rendszerek (SIS) által nyújtott biztonsági funkciók teljesítményét SIL-el mérjük tehát. Folyamatos üzem sokkal nagyobb üzemi megbízhatóságot követel meg a felhasznált komponenseknél. A x. táblázatból látható, hogy egy SIL 4 biztonságintegritási szintet teljesítő rendszer ~11 ezer évi hibamentes működést feltételez, DE másként kell értelmezni a táblázatban feltüntetett értékeket: Feltételezzünk egy folyamatbiztonsági elemet, melynek tervezett élettartama 15 év. Ez idő alatt tehát 1-nek lehet hibája 750 darabonkánt. A vegyi gyárakban, olaj- és energiaiparokban a nem kívánt esemény következménye súlyosságának függvényében a kritikus rendszerekkel szemben általában SIL 3 vagy SIL 4 követelményeket támasztanak. A SIL érték növelése a biztonsági
rendszer
célirányos
(át)tervezésével,
a
kritikus
komponensek
megbízhatóságának növelésével, illetve redundáns érzékelő, szabályozó és beavatkozó elemek alkalmazásával érhető el.
29
10. ábra: A hiba valószínűségének (PFD) meghatározása egy rendszerre. [4] Σ𝑃𝐹𝐷 = 𝑃𝐹𝐷𝑆𝑒𝑛𝑠𝑜𝑟 + 𝑃𝐹𝐷𝐿𝑜𝑔𝑖𝑐 + 𝑃𝐹𝐷𝐴𝑐𝑡𝑢𝑎𝑡𝑜𝑟 Az IEC 61508 szabvány kimondja, hogy az irányított berendezés (EUC) irányító rendszerének és a védelmi rendszernek fizikailag is függetlennek kell lennie egymástól. Míg az előbbi rendszer aktív, addig a védelmi rendszer passzív rendszer. Ezt azért fontos kiemelni, mert az alapfolyamat irányításában egy hibajelenség rendszerint azonnal észrevehető a személyzet által, addig a biztonsági rendszer jobb esetben évekig nem avatkozik be a folyamatba (ezért passzív). Ezért nem elegendő a precíz tervezés, a megfelelő védelmi rendszer kiválasztása, hanem szükség van ún. „proof”, azaz intenzív tesztre az éles beüzemelés előtt, és rendszeres karbantartásra. A proof-teszt olyan periodikusan végrehajtott „stressz-teszt” a biztonságosra műszerezett rendszerben, amely során nemcsak a megbízhatóságról lehet megbizonyosodni, hanem akár új, eddig még fel nem fedezett hibák detektálására is lehetőség van.
30
11. ábra: A PFD-értékek megoszlása egy biztonsági szabályozási körben (forrás: phoenixcontact.com)
31
6. Működésbéli biztonság: IEC 61511 Az IEC61511-es szabvány a folytonos technológiákra lett kidolgozva és a funkcionális biztonságú berendezések létesítésére és működtetésére vonatkozó követelményeket tartalmazza. A szabvány megköveteli, hogy a kivitelező kövesse végig az ipari biztonsági rendszerek életciklusát (12. ábra). Minden fázisban szükséges a verifikáció. Nem tévesztendő össze a validációval, amelyre a rendszer telepítése után van szükség, a biztonsági követelmények kielégítettségének meghatározásához.
6.1. A szabvány felépítése Az IEC 61511 irányelv 3 szakaszra osztja a biztonsági életciklust:
Elemzési fázis
Megvalósítási fázis
Üzemeltetési fázis
Minden fázist, minden lépést részletesen dokumentálni kell.
Part
Leírás Felépítés, definíciók, rendszerek, hardveres és szoftveres
IEC 61511-1
követelmények (Frameworks, definitions, systems, hardware and software requiements)
IEC 61511-2
Útmutató az első rész alkalmazásához (Guidelines in the application of Part 1) Útmutató veszély és rizikó analízishez/szükséges SIL szint
IEC 61511-3
meghatározásához (Guidelines in the application of hazard and risk analysis) 6. táblázat: IEC 61511 logikai felépítése
32
6.2. Életciklus modell
12. ábra: IEC 61511 biztonsági életciklus egyszerűsített nézete (simplified view of the Safety Lifecycle)
6.2.1. Elemzési fázis Kulcskérdés: Mekkora biztonságra van szükségem? (How much safety do I need?) Az elemzési fázisban három nagyon fontos lépés van a tervezés megkezdése előtt.
13. ábra: A három legfontosabb tervezés előtti lépés kapcsolata
33
Az 13. ábrán látható 3 interakció az életciklusban az elemzési szakasz. Ezalapján készül el biztonsági követelmények meghatározása (SRS = Safety Requirements Specification). A lehetséges veszélyek megismeréséhez és a rizikó megítéléséhez egy, a leggyakrabban alkalmazott analízis metódus a HAZOP. Az analízis eredménye szempontjából lényeges elem a biztonsági követelmények meghatározása (SRS) a biztonságtechnikai rendszer számára. Az SRS leír minden biztonsági funkciót (SIF), különösen a felállított követelmények tekintetében és megadja a szükséges SIL értéket.
14. ábra: Biztonsági igények meghatározása és a hozzá szükséges bemeneti adatok
6.2.2. Megvalósítási fázis: Kulcskérdés: Mennyire terveztem biztonságosnak a rendszert? (How much safety in my design?) Az SRS az alapja a további tervezésnek. A biztonsági életciklus megvalósítási fázisa magában foglalja a SIS, illetve más védelmi réteg megtervezését, szerelést, telepítését, üzembehelyezését és validálását. A rendszer megbízhatóságának számszerűsítését különböző valószínűségszámításon alapuló modell segítségével végezhető el. Ilyen a Markov modell, a hibafa analízis (FTA) vagy a megbízhatóság háló. Ez a mérvadó az SIS megválasztásának, úgy, mint a hardveres és szoftveres
34
megvalósítása a biztonsági funkcióknak. A következő tevékenységek végrehajtása tipikusan az SRS során dokumentált információk alapján történik: 6.
Technológia és architektúra kiválasztása
7.
Tesztelési filozófia meghatározása
8.
Megbízhatósági/Biztonsági értékelés
9.
Részletes tervezés
10. Telepítés és üzembe helyezés megtervezése 11. Telepítés és üzembe helyezés, indulás előtti vizsgálatok, tesztek 12. Validálási előkészületek 13. Maga a validálás Az SRS tesztelése során szerzett eredmények szolgálják az adatokat a dokumentáláshoz, amelyekre a rendszer átvételekor lesz szükség.
6.2.3. Működtetési fázis: Kulcskérdés: Hogyan tarthatom biztonságosan? (How will I keep it safe?) A működtetési fázis magában foglalja a SIS optimális üzemeltetését, karbantartását,
hibaelhárítását,
módosítását
és
leszerelését.
Az
időszakos
funkcionális tesztek ugyanúgy a működtetés része. [6]
35
7. Siemens S7 failsafe PLC-k és szoftverek bemutatása A több mint 150 éves Siemens az ipari automatizálás egyik legmeghatározóbb szereplője, csakugyan a folyamatipari biztonságban is jelentős piaci részesedéssel rendelkezik. A Simatic S7 PLC családban több, a standard vezérlőkön felül az ipar igényeinek megfelelő termékcsaládok is megtalálhatók. Ezek az alábbiak:
„F”-es
(Failsafe)
CPU-k
és
bővítőmodulok:
Emelt
biztonsági
követelményű környezetben használatos, hibatűrő rendszerek; az írásom tárgya, így erre nemsokára részletesen kitérek. Elérhető az S7-300, S7400 és S7-1500 családban.
„H”-s (Highly available) rendszerek: Az ilyen rendszerek célja a magasabb rendelkezésre állás, a termelékenység növelése (redundáns rendszerek létrehozása), olyan esetben, amikor egy rendszerleállás/állás nem lehetséges (pl. túl költséges lenne). Elérhető S7-400 családban.
„T”-s (Technology) kontrollerek: A normál CPU-k kibővített verziói célorientált alkalmazásokhoz. Elérhető az S7-300 és S7-1500 családban.
„C” (Compact) egységek: Kompaktabb, jellemzően célgépek irányítására használatos PLC-k, tartalmaznak integrált számláló és jelfogó funkciókat is, de bővíthetőségük meglehetősen korlátozott. Elérhető az S7-300 és S71500 családban.
Az "F"-es és „FH”-s rendszereket figyelemfelkeltő, sárga színnel különböztetik meg a
„hagyományos” elemektől.
Ezek
speciális,
az emelt
biztonsági
követelményeknek megfelelő programnyelvekkel használhatók, de jellemzően normál programok futtatására is alkalmasak. Az iparban továbbra is igen kedveltek a Siemens S7-400FH és S7-300F sorozatú vezérlők. A Simatic PLC-k önmagukban SIL 3 képesek, SIL 4 előírásrendszere nem teljesíthető, csak többszörös redundáns rendszerekkel és speciálisan elkészített programmal. Ilyen esetben külső független szakértőt kell bevonni. Fontos tényező, hogy az „F”-es PLC-k rövidebb ciklusidővel (process time) és/vagy megnövelt memóriával rendelkeznek normál társaikhoz képest, de jelentősen drágábbak is.
36
7.1. Felépítés Az S7-300F moduláris vezérlők robosztus és kompakt kialakításúak, általában kisebb vagy közepes folyamatipari biztonsági feladatokra alkalmazzák (pl.: burner control). Elsődleges felhasználása azonban az ipari automatizálásban van (safetyrelated controls in the factory automation). Csak egycsatornás és egy CPU-s változatban szállítja a Siemens, redundáns CPU-s változat ebben a termékcsaládban nincs. A 300-as szériában 3 darab, csak Profibus DP-s (DO) vagy Profibus DP + Profinet-es (DP/PN) kivitelek egyaránt rendelkezésre állnak. A felhasználhatóságot szerintem nem is a számítási kapacitás, sokkal inkább a belső memória mérete korlátozza. Az S7-315F CPU rendelkezik a legkisebb memóriával, ami csak kisebb folyamatipari feladatok megvalósítására alkalmas. Az S7-317F már több memóriával rendelkezik, míg a legnagyobb számítási teljesítménnyel és memóriával rendelkező változat, az S7-319F már komoly feladatokra is alkalmas. Teljesítmény
CPU 315F
317F
319F
414F-3
416F-2
416F-3
384 / 512
1 / 1,5
KB
MB
2,5 MB
4 MB
5,6 MB
16 MB
Utasítás memória
-
-
-
680 KB
920 KB
2680 KB
Program memória
-
-
-
2 MB
2,8 MB
8 MB
Adat memória Bit memória I/O címzés hossz
-
-
-
2 MB
2,8 MB
8 MB
2 KB
4 KB
8 KB
8 KB
16 KB
16 KB
n/a
n/a
n/a
8 KB
16 KB
16 KB
Bit/szó feldolgozási idő
50 ns
25 ns
4 ns
0.03 µs
0.03 µs
Lebegőpontos művelet feldolgozási idő
150 ns
75 ns
12 ns
0.09 µs
0.09 µs
Integrált memória
0.045 µs 0.135 µs
EN 954-1 up to Cat. 4, IEC 62061 up to SIL 3, and Standards:
EN ISO 13849 up to PL e
7. táblázat: Siemens failsafe CPU-k teljesítményösszehasonlítása Az S7-400-as CPU-k már magasabb teljesítménykategóriába tartoznak. Egycsatornás (egy CPU) és hibatűrő multiprocesszoros megoldás egyaránt elérhető
37
ebben a családban. Jelentősen nagyobb memóriamennyiséggel (RAM) rendelkeznek (lásd: 7. táblázat). Mindegyik széria rendelkezik memóriakártya foglalattal (MMC slot). Az „F”-es PLC-ken normál program is futtatható, sőt, folyamat BPCS és biztonsági funkciókat egyaránt képes ellátni párhuzamosan 1 CPU-n, szigorú feltételekkel. Elosztott I/O konfiguráció is lehetséges „normál” és biztonsági I/O modulokkal. Az ilyen fizikai megvalósításoknál a normál és az „F”-es, fokozott követelményeknek megfelelő I/O kártyákat egy leválasztó kártyával el kell szeparálni (lásd: x. ábra). Ez azt a célt szolgálja, hogy egy hiba esetén az F-es modulok védve legyenek, egy közös okú hiba ne okozzon gondot (CCF) pl. egy túlfeszültség. SIL 2 lehetséges leválasztó modul nélkül is, de bizonyos feladatoknál és SIL 3-hoz mindenképp kötelező alkalmazni. Ugyanígy: A BPCS programokat és a biztonsággal-kapcsolatos programokat SZIGORÚAN el kell különíteni, a kettejük közötti adatcserét speciális konverziós funkció blokkok alkalmazásával lehetséges megoldani (F-Call eljárással). A biztonsági funkciókat a CPU kétszer hajtja végre. A potenciális hibákat a rendszer az eredmények állandó összevetésével detektálja (kétcsatornás redundáns struktúra). Mindezt úgy, hogy a működés közel valós idejű. []
15. ábra: Példa egy ET 200 konfigurációra izolációs modullal Az ET 200M/SM 300 moduláris I/O állomás hagyományos és hibatűrő alkalmazásokhoz egyaránt felhasználható, fokozott követelményeknek megfelel. Az
38
Interace modullal Profibus és Profinet, opcionálisan száloptikás Profibus és HART is elérhető. Ehhez vagy az S7-300-as PLC-hez 12 modul csatlakoztatható (64 DI vagy DO), de alkalmazható robbanásveszélyes (ATEX – Ex-zone 2 tanúsítvány) környezetben is és a modulok működés közben is cserélhetők (hot-swappable). Az ET 200pro moduláris és többfunkciós I/O modul nagy teljesítménnyel és immár IP65/67-es védettséggel és ugyancsak Profibus/Profinet csatlakozással rendelkezik. A hibamentes működéshez szükséges funkciók a modulban integrálva vannak. Mindkét I/O SIL 3 szintig hitelesítettek. A bemeneteknél program futása alatt meg kell győződni arról, hogy a "0" logikai szintre a bemenetek működőképesek-e, azaz a szakadásra végre tudja-e hajtani a lekapcsolást; valamint a kimeneteknél a biztonsági program futása meg kell vizsgálni például visszacsatolással, hogy a "0" logikai átmenetre a végrehajtó elemek működőképesek-e.
7.2. Redundancia megjelenése a PLC-knél A biztonsági PLC-k két csoportra bonthatók, aszerint, hogy egy hiba felismerésekor miként viselkednek: Hibatűrő vagy gyakran működésbiztos (Fault-tolerant) PLC-k Hibabiztos (Fail-safe) PLC-k Hibatűrés további növelése tehát betervezett redundanciával, azaz tartalékolással is lehetséges. Egyaránt létezik szoftveres és hardveres redundancia. Előbbi kevésbé elterjedt, mert jelentős pluszmunkával jár, hiszen a specifikáció azonos, de az algoritmusok, adatstruktúrák eltérőek, a programok más nyelveken, más fejlesztő környezetekben kerülnek megírásra. Kettőféle redundanciát lehet meghatározni, mindegyik más-más előnnyel és hátránnyal rendelkezik.
Hideg vagy passzív redundancia
Meleg, vagy aktív redundancia
A hideg redundancia csak hiba bekövetkezésénél kerül aktiválásra. Előnye, hogy terheletlen a redundáns elem, így meghibásodásának valószínűsége alacsonyabb a terheltnél. Hátránya, hogy időbe telik, míg átveszi az elsődleges elem helyét (pl. a vezérlést). A meleg redundancia ugyanúgy működik, mint az elsődleges elem
39
(„árnyék”), ezért nagyon gyorsan átveheti az elsődleges helyét. Azonban a meghibásodási tényező ekkor azonos lesz. Hardveres redundancia alkalmazása sokszor a gyakorlatban korlátozásokba ütközik (méret, ár, stb.), ennek ellenére a SIL mérőszám növelése a redundáns mérő, szabályozó és beavatkozó elemek alkalmazásával is elérhető. Ezért használnak sokszor SIL 1 vagy SIL 2 igény esetén „normál” (nem „F-es”) PLC-ket, mert a teljes rendszer tartalmazhat olyan redundáns elemeket, amelyek a PLC-re eső "elvárást" csökkentik. Ez azért lehetséges, mert a SIL előírás mindig az egész rendszerre vonatkozik, azt a teljes rendszernek kell teljesítenie. Természetesen a programozást kötött szabályok alapján kell végezni (pl. SCL előnyben részesítése).
16. ábra: Redundancia megvalósítása Siemens „FH” PLC-kkel [11] Redundancia minden olyan esetben alkalmazott, amikor egy leállás egyáltalán nem engedhető meg, és vannak típusok, amelyek kimondottan ilyen céllal fejlesztettek (lásd: „H”-s PLC-k a Siemenstől). A PLC belső redundanciája ugyancsak a biztonságot növeli. Egy biztonsági PLC szignifikánsan több időt tölt belső diagnosztikával egy normál PLC-hez képest. Egy
40
belső kiegészítő redundancia és a diagnosztika (x. ábra) gondoskodik arról, hogy a PLC elérje a kívánt biztonsági tanúsítványt.
17. ábra: Egy példa biztonsági PLC blokkdiagrammja A fenti képen látható 1oo2 architektúrájú építkezés igen elterjedt. Ez a kétcsatornád redundáns struktúra. Bár a felépítés eltérhet kis mértékben, a biztonsági tanúsítvány megszerzését hasonló elvek alkalmazásával érik el a gyártók. A Watchdog áramkör hajtja végre a belső diagnosztikát. A két mikroprocesszor szinkronban működik, de a biztonsági funkciót vagy az egyik, vagy a másik végzi el, a kibővített diagnosztika gondoskodik erről. Nem engedhető meg nem a teljes programlefutás és az ilyen PLC-knél követelmény a két, egymástól független időalap (melynek kiesése katasztrofális lehet), a feszültségfelügyelet és a kiegészítő zavarvédettség.
7.3. Példarendszer bemutatása Az egyetemen található biztonsági elemekből az alábbi felépítést állítottam össze, ezen fogom a példákat bemutatni:
Táp: PS307 24V/5A
41
CPU: 315F-2 PN/DP
Digital Output: SM 326F DO8x
Digital Input: SM 326F DI24x
18. ábra: Összeállított, konfiguráltalan PLC rendszer A CPU fejegységen látható állapotjelző LED-ek jelentése: SF: (System Fault) Hardver, szoftver vagy konfigurációs hiba DC5V: 5V tápfeszültség OK FRCE: (Force) Kikényszerített állapot aktív RUN: „Run” üzemmód STOP: „Stop” üzemmód Az
üzemmód
választó
kapcsoló
állásai:
STOP állás: Ez az középső, alapállás. Ebben az esetben a PLC program nem fut. Lefelé a MRES állás van, amely bistabil, felengedés után egy rugó visszahúzza a STOP állásba. MRES a memória törlésére alkalmas. Például egy behelyezett MMC memóriakártya tartalmának törlése a következőképpen történik: Húzzuk le az üzemmód választó kapcsolót „MRES” állásba kb. 9 másodpercig, míg a STOP LED folyamatosan nem világít. Ekkor engedjük fel, majd húzzuk ismét a MRES állásba. A STOP LED a törlési folyamat alatt gyorsan villog. Jelszóval védett program esetén a művelet nem hajtható végre. A RUN állásban futtatható a program. A PLC programozása RUN és STOP állásban egyaránt lehetséges.
42
Az MMC memóriakártyával a memória max. 8MiB méretig bővíthető, erre történhet az adatlogolás is. Fontos, hogy egy „F”-esített memóriakártya csak F-es PLC-kben lesz használható és jelszóval védett. Az általam használt jelszó: simatic. Ez a jelszó szükséges a program módosításához is.
19. ábra: Jelszó beállítás A PLC-k a huzalozott logikához képest egy új hibaforrással rendelkezik: ez a szoftverhiba. Szoftver hiba is többféle lehet, több okból adódhat: Például lehet hibás a megírt PLC program, ez a leggyakoribb, de lehet a fejlesztőkörnyezet fordítója (azaz a compiler) vagy a PLC operációs rendszere hibás („bugos”), azonban az utóbbi rendkívül ritka, mert mindkettőnek alapos teszteken kell átmennie. A megírt PLC programnak is „minőségileg nagy értékűnek” kell lennie, ami azt jelenti, hogy az előírt kritériumoknak megfelelően kell megírni, a korrektsége könnyen vizsgálható, tesztelhetősége és karbantartása egyszerű, a program logikus és jól áttekinthető legyen. A részletes dokumentálás itt is prioritást élvez. Ugyancsak a nagyobb megbízhatóság miatt az utasításkészlet le van csökkentve, ezért a programozás munkatöbblettel és nagyobb körültekintéssel jár. A Siemens biztonsági rendszereit egy Step7-hez külön megvásárolható /kiegészítő/ fejlesztőkörnyezettel lehet programozni. Ez a Distributed Safety, az FSystems,
illetve
a
Simatic
Safety
Matrix.
Mind
biztonság-orientált
fejlesztőkörnyezet, „F”-es PLC-k programozásához használható, de előbbi a „normál” Step7-et a TÜV által ellenőrzött és jóváhagyott „F”-es funkció blokkokkal bővíti ki, a programozási „nyelv” pedig F-LAD és F-FBD. A Safety Matrix-nál okokozat metódus alapján történik a programozás. Mindegyik fejlesztőkörnyezet SIL 3-ig hitelesített és megfelelnek az IEC 61511 biztonsági életciklus összes
43
követelményeinek, a tervezéstől kezdődően a programozáson át a karbantartásokig. A Safety Matrix összetettebb folyamatipari projekteknél szívesebben alkalmazott szoftver és kevésbé memóriaigényes.
7.4. Distributed Safety A Distributed Safety programcsomag tehát egy biztonság-orientált kiegészítő szoftver, amelyet a Step7 alapból nem tartalmaz, hanem külön megvásárlandó. A szoftver telepítésével kapunk lehetőséget „F”-es PLC-k programozására. A biztonsági program meghívása a normál felhasználói programból az F-Call eljárással lehetséges.
7.4.1. Konfigurálás A kezdeti lépések ugyan azok, mint már megszoktuk a Step7-ben: Először egy új projektet hozunk létre, majd a Hardware Config-ban felkonfiguráljuk a PLC rendszert:
20. ábra: Az előző fejezetben bemutatott PLC rendszer a HW Config-ban A megfelelő hardverelemek kiválasztása után az I/O modulokat, a kommunikációt és a CPU-t egyaránt konfigurálni kell. Ez az adott elem nevére duplán kattintva lehetséges. Először az MPI vagy Ethernet interfészt kell beállítani, hogy a
44
kommunikálni lehessen a számítógép és a PLC között. A DI/DO modulokra kattintva lehet a működési módot („Normal mode” vagy „Safety mode”), illetve az F és a modulparamétereket beállítani. Alapbeállításként a normál működési mód aktív, ezt át kell állítani.
21. ábra: DI modul beállítása biztonsági alkalmazásokhoz Az F-CPU beállításainál a legfontosabb a védelem beállítása: A Distributed Safety könyvtár csak akkor lesz látható, hogyha a HW Config-on belül a CPU tulajdonságainál a „CPU contains safety program” mező ki van pipálva (elérése: Dupla kattintás a CPU-ra a HW Config-on belül, Protection fül, lásd: x. ábra). Ugyancsak itt, az Interrputs fülön állítható be az OB35 (ami egy időzítő OB fix prioritással, ami beállítható időközönként kerül meghívásra és az alacsonyabb prioritású OB-ket megszakítja) időzítése, az F paraméterek, jelszavak, stb. Fontos, hogy az F-monitoring időnek nagyobbnak kell lennie, mint az OB35 hívás idejenek. Az elkészült HW Config elmenthető és letölthető ( beállítások helyesek, a Simatic Manager-en belül, a
gombbal) a PLC-re. Ha a mappán belül
megjelennek sárga háttérrel a biztonsági rendszerblokkok (mint az FB1638, FB1639, stb.)
7.4.2. Programozás A programozás megkönnyítése érdekében, a Distributed Safety könyvtár TÜV által jóváhagyott alkalmazásspecifikus blokkokat (például vész-ki, kétkezes alkalmazások, némítás, kapu monitoring) is tartalmaz az F-rendszerblokkokon felül. A felhasználó is létrehozhat saját blokkokat és a készítés során a fejlesztőkörnyezet automatikusan ellenőrzi azokat biztonsági szempontból, segíti a hibafelismerést és kezelést. Emellett természetesen lehet használni más, „normál” funkcióblokkokat is. A vezérlő blokkok biztosítják a hardver és a szoftver hibájának detektálását és a
45
rendszer biztonságos állapotban tartását. A felhasználó a fail-safe FB-ken vagy FCken belül a biztonsági programot F-LAD vagy F-FBD nyelveken írhatja meg. A baloldalon lévő lenyitható menüben (x. ábra) Distributed Safety könyvtár tartalmazza az F-alkalmazás blokkokat, amelyeket be lehet építeni a programba.
22. ábra: Distributed Safety blokk könyvtárak Véleményem szerint a könyvtár, illetve az elérhető funkciók kimondottan a gépipari felhasználást célozza. A rendelkezésre álló funkció blokkok közül a leggyakoribbakat mutatom be következő lépésnek. Ezek a folyamatipar és a gépipar területén egyaránt nélkülözhetetlenek. Először egy új FB-t kell beszúrni a Blocks ( ) mappába (jobb kattintás a mappára, Insert -> S7 Block -> Function Block). Egy „Properties – Function Block” ablaknak kell felugrani, amiben az F-FB nevét (például FB1), szimbolikus nevét és a programozási nyelet kell megadni. Jelen esetben F-FBD nyelvet kell használni. Más beállításra nem lesz szükség. Az „OK” gombra kattintva lehet az FB-t létrehozni. Ezután duplán rákattintva szerkeszthető a program és a Distributed Safety könyvtárból lehet behúzni az F-blokkokat.
FB215: E-STOP_cat.1 (vészstop):
23. ábra: E_STOP funkcióblokk Ez az alkalmazásblokk egyike a legalapvetőbbeknek, ez implementálja a vészstop funkciót nyugtázással. Kiegészítő intézkedés az emberek és az üzem védelmére.
46
Ebben a példában a működtetett vészleállító gomb hatására a DO egy kimenetét letiltja (a többi marad ugyanabban az állapotban), így leállítva a veszélyes rész, gépegység vagy gép működését. A gép ismételt működtetéséhez a vészstop gombot manuálisan vissza kell állítani az alapállapotába és nyugtázójel szükséges. A blokk önmagában is alkalmazható, ha a hívás (F-Call), illetve az időzítések megfelelőek. Ezt a későbbiekben, egy teljes példaprogramnál fogom részletezni. 1. E_STOP az Emergency STOP bemenet, használata kötelező. Ha nincs késleltetés beállítva, a beérkező felfutó élre a Q kimenet azonnal logikai 1 értéket vesz fel. 2. Az ACK_NEC (Acknowledgment necessary = nyugtázás szükséges) alapértelmezett értéke 1, nem kötelező felhasználni és ebben az esetben az ACK bemenetet szükséges használni, felfutó élre történik meg a nyugtázás. ACK_NEC=0 estén a működés automatikus. 3. Az ACK (Acknowledgment = nyugtázás) bemenet alapértelmezetten 0 értékű. 4. TIME_DEL (Time delay = késleltetés) egy TIME típusú változó, alapértelmezetten T#0ms, vagyis nincs késleltetés. 5. Q az E_Stop kimenet, alapértelmezett értéke 0. Az E_STOP bemenetre érkező felfutó él hatására azonnal logikai 1-re vált. 6. Q_DELAY alapértelmezett értéke szintén 0. TIME_DEL input felhasználása esetén a beállított idő leteltével logikai 1-ről 0-ra vált. 7. ACK_REQ értéke logikai 1-et vesz fel az E_STOP bemenetre érkező felfutó élre és visszaáll logikai 0-ra a nyugtázás beékezése után. 8. DIAG egy BYTE típusú diagnosztikai kimenet. Az EN/ENO bemenet és kimenet nem használható. Amennyiben az egyik változó háttere piros színnel jelenik meg, mint itt:
, az azt jelenti, hogy az adott jel/bemenet normál és nem
biztonsági. Ha jó biztonsági inputot adtunk meg és mégis piros a háttér, a HW Config-on belül felül kell vizsgálni a DI kártya konfigurációját.
47
Biztonsági kapu megfigyelés vészleállítással
Ez a példaprogram kapumegfigyelésre alkalmas. Amennyiben a biztonsági kaput kinyitják, az a folyamat megállítását fogja eredményezni, hasonlóan egy vészstop funkcióhoz. Létre kell hozni egy új funkcióblokkot (jobb kattintás a Blocks mappára, Insert -> S7 Block -> Function Block). Egy „Properties – Function Block” ablaknak kell felugrani, amiben az F-FB nevét (például FB10) és a programozási nyelvet (jelen esetben is F-FBD). Ezután beszúrható az első blokk:
24. ábra: F-SFDOOR funkcióblokk Ez a blokk hajtja végre magát a biztonsági kapu ellenőrzését a két (IN1 és IN2) inputjel alapján. Az EN/ENO kapcsok itt sem használatosak.
A Q kimeneti jel logikai 0 értéket vesz fel, amennyiben valamely input jel (IN1 vagy IN2) logikai 0-ra áll. Ezekre a bemenetekre kell kötni a pozícióérzékelőt.
Ha IN1 és IN2 egyaránt logikai 1, vagyis zárt a kapu, vagy logikai 0, azaz teljesen nyitott, akkor a Q kimenet értéke 1 lesz.
48
Ha az ACK bemenetre felfutó él érkezik, akkor Q szintén 1 lesz.
QBAD_IN1 és QBAD_IN2 bemeneteknek azonosaknak kell lenniük. Egy QBAD_I_xx változó egy csatornához vagy egy F-IO-hoz tartozik. A QBAD szignál az F-I/O DB-jéből származik (DB819.DBX2.1).
Az OPEN_NEC (Opening neccessary at startup) és az ACK_NEC (Acknowledgment neccessary) szintén egy adatblokkból szedi az értékbitet (DB818. DBX36.4)
Következő lépésnek a leállítást kell megvalósítani. Ehhez előbb egy új Network beszúrása szükséges. Itt bit logika használatára van szükség, nem az F blokkokra. b1 és b2 a kiegészítő memória bitek.
25. ábra: Vészleállítási funkció megvalósítása Itt I6.0 a nyugtázás, I6.1 pedig a leállítás. I5.0 a vészstop bemenet. Az #Eng_kapu a F-SFDOOR kimeneti jele.
26. ábra: Visszacsatolás megfigyelés
49
Az F-FDBACK blokk Q kimenete logikai 1 éretéket vesz fel, ha az ON emenetre is logikai 1 érték érkezik és nincs Feedback error. A QBAD bemeneti jele a DB820 adatblokk DBX2.1 bitjének értéke (F-I/O). A teljes program a függelékben található meg. Az F_CALL egy futásidejű csoport (Runtime group for failsafe software). F_CALL eljárás használata szükséges, nélküle nem lehet használni a biztonsági szoftvert. A compiler (fordító) külön fordítja le a biztonsági programrészeket a nem biztonságitól, a funkció hívás pedig az F_CALL eljárással történik ciklikusan, jelen esetben az OB35-ös blokkal (31. ábra). Új F-CALL funkció a Blocks mappára jobb egérgomra kattintva, Insert -> S7 Block -> Function Block lehetséges. Meg kell adni az FC nevét, és programozási nyelvnek nem F-LAD vagy F-FBD-t kell megadni, hanem a legördülő menüből az F-CALL-t kell kiválasztani. Ezután felugrik a 27. ábrán látható ablak. Itt a F-program blokkot kell betallózni, illetve opcionálisan a fő F programblokk DJ-t kell megadni. Az F-runtime idejének nagyobbnak kell lennie, mint az OB35 ciklusidejének (jelen esetben 100 ms választottam, ez a 30-as ábrán lesz látható).
27. ábra: F-CALL blokk készítése Mentés után még meg kell adni az F-runtime csoportot. Ehhez az Options menüpontban az „Edit safety program” gombra kell kattintani és a 29. ábrán látható ablak fog felugrani.
50
28. ábra: Biztonsági program módosítása
29. ábra: A biztonsági program blokkjai A biztonsági programnak a fenti képhez hasonlóan tartalmaznia kell az összes Fblokkot és az F-CALL funkciót. Az 1-essel jelölt gombbal lehet az elkészült programot lefordítani. Ekkor a felugró alakban végig lehet követni a hiba ellenőrzési fordítási folyamatot. Ha minden jó, akkor hiba nélkül lefordul a program. a 2-essel jelölt „Download” gombra kattintva lehet a lefordított programot a PLC-re tölteni. A programot lehet PLCSIM-re tölteni, kipróbálása a valós hardveren lehetséges.
51
30. ábra: F-runtime group beállítás
52
7.5. Safety Matrix A Safety Matrix-szal a Siemens egy ugyancsak TÜV által jóváhagyott biztonsági életciklusmenedzsment eszközt kínál maximum SIL 3 biztonsági alkalmazási szintig. Eszköz és módszertan egyaránt, mert nemcsak a PLC program elkészítéséhez, hanem már a tervezési fázisban is alkalmazható. Az ok-okozati (cause and effect) mátrix módszertan segítségével definiálható, hogy hogyan és milyen akciók legyenek végrehajtva a biztonsági rendszerben. A módszer magában foglalja az folyamatipari események kategorizálását valamint az okok és hatások összekötését. Ezeket a kapcsolatokat nevezzük csomópontoknak (intersection), amelyek jelzik az adott esemény okozta hatás(oka)t.
31. ábra: Safety Matrix logikai felépítése
Az okok sorokban találhatók, a képen látható módon. Ezek tükrözik az eltéréseket, és ha a felhasználó által definiált feltételek teljesülnek, az adott ok aktívvá válik. Egy mátrixban 128 ok adható meg, és minden okhoz maximum 3 bemenet tartozhat. A hatások az oszlopokban foglalnak helyet, ezek tükrözik a műveleteket. Egy mátrixban ugyancsak 128 ok adható meg, a kimenetek száma maximum 4 lehet
53
oszloponként. Ha az effekt aktív, akkor a hozzá rendelt tagok biztonságos értékre lesznek állítva (amit szintén a felhasználó határoz meg). Az okok és okozatok szerkesztése a cellába kattintva történhet. A felugró konfigurációs ablakban az alábbiak állíthatók be (referencia: x. ábra): 1. Desc (description): Az ok vagy okozat leírása (tartály nyomás például) 2. Tag(ek): Az – okoknál bemenetek, okozatoknál kimenetek szimbolikus nevei, ami a Simatic projectben állítható be. Lehet I/O vagy belső változó. Maximum 3 bemeneti tag lehet okoknál és 4 kimeneti okozatoknál. 3. Action: Okozatoknál az adott tag-hez rendelt akció írható le (pl. nyitás, zárás, stb.) Csak dokumentáláshoz szükséges. 4. SIL: Ebben a mezőben dokumentálható az adott ok/okozat kívánt SIL szintje. 5. Cause number: Az ok sorszáma. 6. Input type: Bemenet típusa, analóg vagy diszkrét jel. 7. Number of inputs: Bemeneti tag-ek száma az adott okhoz. 8. Function type: Itt választható ki az a feltétel, amelyre az ok aktívvá válik. 9. Limit value és Limit type: Analóg értékeknél a felső vagy az alsó küszöbérték állítható be. (lásd: x. ábra) 10. Hysteresis: Reakciókésedelem. 11. Eng unit: Mértékegység.
32. ábra: Tag-ek konfigurálása
54
Az „Options” fülön további, részletes beállítások végezhetők el, például jelkésleltetés.
33. ábra: Analóg paraméterek beállítása: limit érték, limittípus, hiszterézis, mértékegység A csomópontok azok a cellák, ahol az okok és a hatások találkoznak, és ez a cella adja meg, miként reagáljon a hatás az okra. Ez négyféle lehet: 1. N (not stored) 2. S (set stored) 3. V (override) 4. R (resetable override) Egy aktív ok aktiválja a kapcsolódó hatást is és Monitoring üzemmódban az adott sor/oszlop pirossá válik. Az ok-okozati logika elkészültével a mátrix áttranszferálható egy SIMATIC projektté. A mátrix egy CFC-vé (Conitnuous Function Chart) lesz alakítva a Step7en belül, így a lefordíthatóvá és letölthetővé válik a PLC-re vagy a szimulációs programba. Előtte természetesen ugyanúgy el kell készíteni a HW Config-ot és a kezdeti lépéseket. Sőt, Step7-en belül, amennyiben egy új projekt során elkészítettük a HWConfig-ot, az S7 Programs mappában egy új mátrix is beszúrható közvetlenül (Jobb kattintás az S7 Programs mappára, Insert New Object, Matrix Folder, azon belülre pedig beszúrható egy mátrix szintén jobb kattintással, Insert New Object, Matrix) vagy külön betallózható az elkészült mátrix *.cem kiterjesztésű fájlja. [*] Fontos: a logika validálása nem történhet PLCSim használatával. A PLCSim ellenőrzéshez és hibakereséshez használható, a Safety Matrix validálása és verifikálása pedig csak az aktuális rendszeren történhet. A Safety Matrix két
55
különböző módban használható: Offline módban kerül elkészítésre az ok-hatás mátrix, és ebben a módban lehet a logikát lefordítani és a PLC-re tölteni. Monitor módban lehet nyomon követni a valós idejű adatokat és a mátrix állapotát.
[*] A mátrix CFC-vé alakításához a Step7-en (5.5-ös verzió) felül szüksége van a Simatic CFC 7.0-ás és az F-Systems 6.0-ás verziójára. Más verziók esetén nem kompatibilisek egymással a szoftverek. Emiatt nem tudtam a példaprogramot importálni, lefordítattni és tesztelni, sem PLC-n sem PLCSIM-en. Továbbá hogy Windows 7 operációs rendszer alatt használható legyen, szükség van egy segédfájlra, amelyet mellékeltem a CD-n (tabctlx32.obc fájl) a hozzá készített útmutatással (readme.txt) együtt. Ezért inkább a program működésére és használatának bemutatására koncentráltam ebben a fejezetben.
56
8. Összegzés A folyamatipari biztonságra egyre nagyobb hangsúlyt kell fektetni napjainkban. Nemcsak azért, mert egyre komplexebbé válnak a folyamatok, egyre nő a precizitásra való igény, - így egyre nagyobb a hibalehetőség is; hanem azért is, mert társadalmilag és gazdaságilag is elvárt a természeti katasztrófák és az emberi sérülések, illetve halál valószínűségének lehető legoptimálisabb szintre csökkentése. Ehhez szabályozásra és
nemzetközileg
is
elfogadott
szabványok
alkalmazására
van szükség.
Szakdolgozatomat két fő részre lehet osztani: Az első nagy csoportban a folyamatipari szabványokkal, illetve alkalmazásukkal foglalkoztam. Itt saját készítésű, magyarra fordított képekkel színesítettem a szakdolgozatomat, melyeket a Siemens Safety Integrated könyv alapján készítettem. A második részben - az inkább gépiparban
alkalmazott
Siemens
S7-300-as
biztonsági
PLC-vel,
annak
építőelemeivel, programozásával és fejlesztőkörnyezetével foglalkoztam. Szakdolgozatom készítése során részletesebben megismerkedtem a folyamatipari biztonság területén alkalmazott szabványokkal, kiemelten az IEC 61508 általános, funkcionális biztonsággal kapcsolatos és az IEC 61511 folyamatos technológiához kidolgozott szabványokkal. Kitértem az gépiparba alkalmazott szabványokra, felépítésükre, azok alkalmazására és az az Uniós, illetve állami irányelvekre. Továbbá részletesen elemeztem a biztonsági PLC-ket (kiemelten az egyetemen is megtalálható S7-315F típusú PLC-vel és hardverelemeivel),
valamint
a
fejlesztőkörnyezetüket. Példaprogramokkal (amelyek megtalálhatók a mellékelt CDn) bemutattam a fent említett Siemens biztonsági PLC konfigurálását, beállításait és felprogramozását. Kiemeltem a specifikus beállításokat, melyek az Failsafe PLCkhez és I/O modulokhoz kellenek. Sajnos az elérhető fejlesztőkörnyezet és PLC csak korlátozottan alkalmas folyamatipari biztonsági alkalmazásra. A Step7 + Distributed Safety programcsomag nem tartalmaz folyamatiparban gyakran alkalmazott funkciókat, azok külön vásárolhatók meg: Az F-Systems és CFC páros, illetve a Safety Mátrix alkalmazása a folyamatiparban sokkal inkább célszerű. Azonban előbbi program egyetemen elérhető verziója inkompatibilis a Step7 5.5-ös változatával és Windows 7 operációs rendszerrel, továbbá bizonyos funkciók alkalmazásához S7-400F/FH rendszerek szükségesek.
57
9. Summary The industrial safety system is becoming more important in these days. Not only they have become increasingly complex processes, increasing the demand for precision – witch means, the potetnial faults increasing too; but also socially and economically it expects disasters and human injury or death to reduce the likelihood of the highest possible level. For this reason, regulations and internationally accepted standard is to be used. My thesis divided into two main parts: In the first part, I dealt with the process industries standards and their adaptation. In the second part, dealt with the Siemens S7-300 F failsafe PLC’s (– which is rather preferred in the factory automation), its building blocks/accesories, programming, and development environment. In preparation my thesis, I got acquainted with more detailed standards in the field of industrial process safety, especially with the general IEC 61508 and IEC 61511 standards. I touched the standards which applied in the Factory Autamation, their composition, their application and I also mentioned the European Union and the state guidelines. Furthermore, I analyzed the Siemens S7-315F safety PLC, including the development environment (Distributed Safety, Safety Matrix, Step7 software package) and the expansion elements. With the example programs I presented the above-mentioned Siemens failsafe PLC configuration and programming. Unfortunately, the development environment (IDE) and the PLC have limited suitability for process industrie. Moreover Step7 and Distributed Safety packages does not contain any frequently used process industry functions, they can be purchased separately: The F-Systems, CFC and Safety Matrix even more preferred. however, these old version programs are incompatible with Step7 version 5.5 and Windows 7 operating systems.
58
10. Függelék A programozási folyamat során készített képeket a mennyisége miatt nem szúrom be. Az összes képernyőkép a többi példaprogram mellett a mellékelt CD lemezen a a „képek” mappában találhatók meg.
59
11. Felhasznált források 1) A szabványok (ellenőrizve: 2016. október 20.) http://mmfk.nyf.hu/min/alap/15.htm 2) Iparbiztonság a katasztrófavédelem új szakterülete (ellenőrizve: 2016. október 28) http://munkavedelem.unideb.hu/TM_tovabbkepzes/2012/Iparbiztonsag.pdf 3) Allen Bradley – Standards (ellenőrizve: 2016. október 23.) http://www.ab.com/en/epub/catalogs/3377539/5866177/3378076/7131355/Introduction .html
4) Safety Lifecycle Management - Emerson Exchange 2010 - Meet the Experts (ellenőrizve: 2016. október 30.) http://www.slideshare.net/MikeBoudreaux01/safety-lifecycle-management-emersonexchange-2010-meet-the-experts
5) Rockwell Automation - IEC EN 62061 and EN ISO 13849-1:2008 http://www.ab.com/en/epub/catalogs/3377539/5866177/3378076/7555769/IEC-EN62061-and-EN-ISO-13849-1-2008.html 6) Allan Bradley – Biztonsági intézkedések és védelmi rendszerek – logikai eszközök (91. ábra) (ellenőrizve: 2016. november 11.) http://www.ab.com/en/epub/catalogs/3377539/5866177/3378076/7131359/LogicDevices.html 7) Siemens – Process Safety – Safety Life Cycle (ellenőrizve: 2016. október 23.) http://www.industry.siemens.com/topics/global/en/safety-integrated/processsafety/standards/safety-lifecycle/Pages/default.aspx?tabcardname=realization%20phase 8) Siemens Safety Integrated – Functional Examples 2007 (könyv) 9) Simatic Distributed Safety Getting Started (10/2004 - könyv) 10) Siemens - Options for programming and design (ellenőrizve: 2016. november 18.) http://w3.siemens.com/mcms/simatic-controller-software/en/programmingoptions/Pages/Default.aspx 11) Siemens Safety Integrated for Process Automation (2010 April - brossúra)
60
12. Ábrajegyzék 1. ábra: Nemzetközi szervezetek és a szabványjelek kapcsolódása ................... 8. 2. ábra: Kockázat mértékét befolyásoló tényezők ........................................... 12. 3. ábra: TÜV-SÜD által kibocsájtott minősítő igazolás ................................. 15. 4. ábra: IEC 61508 illetve a hozzá kapcsoló további szabványok .................. 16. 5. ábra: SIL és PL közötti átjárhatóság PFHdangerous érték alapján ................. 19. 6. ábra: Szabványok felhasználása. ................................................................ 20. 7. ábra: Biztonsági életciklus összhangban az IEC 61508 szabvánnyal ......... 23. 8. ábra: Technológiai kockázat és kockázatcsökkentés .................................. 25. 9. ábra: Megelőzési és kárcsökkentési rétegek kapcsolódása egymáshoz [4] .. 28. 10. ábra: A hiba valószínűségének (PFD) meghatározása egy rendszerre. [4] . 29. 11. ábra: A PFD-értékek megoszlása egy biztonsági szabályozási körben ........ 30. 12. ábra: IEC 61511 biztonsági életciklus egyszerűsített nézete ...................... 32. 13. ábra: A három legfontosabb tervezés előtti lépés kapcsolata ...................... 32. 14. ábra: Biztonsági igények meghatározása ................................................... 33. 15. ábra: Példa egy ET 200 konfigurációra izolációs modullal ....................... 37. 16. ábra: Redundancia megvalósítása Siemens „FH” PLC-kkel [11]............... 39. 17. ábra: Egy példa biztonsági PLC blokkdiagrammja .................................... 40. 18. ábra: Összeállított, konfiguráltalan PLC rendszer ..................................... 41. 19. ábra: Jelszó beállítás ................................................................................ 42. 20. ábra: HW Config ....................................................................................... 43. 21. ábra: DI modul beállítása ......................................................................... 44. 22. ábra: Distributed Safety könyvtár............................................................... 45. 23. ábra: E_STOP funkcióblokk ....................................................................... 45. 24. ábra: F-SFDOOR funkcióblokk ................................................................. 47. 25. ábra: Vészleállítási funkció ........................................................................ 48. 26. ábra: Visszacsatolás megfigyelés ............................................................... 48. 27. ábra: F-CALL blokk készítése ................................................................... 49. 28. ábra: A biztonsági program módosítása ..................................................... 50. 29. ábra: A biztonsági program blokkjai .......................................................... 50. 30. ábra: F-Runtime group beállítás ................................................................ 51. 31. ábra: Safety Matrix logikai felépítése ......................................................... 52. 32. ábra: Tag-ek konfigurálása ........................................................................ 53.
61
33. Analóg paraméterek beállítása .................................................................. 54.
62