Wenn eine Anlage oder Maschine nicht eigensicher gebaut werden kann und mechanische Einrichtungen allein keine ausreichende Sicherheit versprechen oder zu umständlich zu implementieren wären (z.B. weil in einer vorhandenen Anlage, die aufgerüstet werden soll schlicht kein Platz dafür ist), greift man auf die Methoden der Funktionalen Sicherheit zurück. Funktional bedeutet in diesem Sinne, dass das Schutzsystem auf elektronischen Komponenten und einer verbindungs- oder speicherprogrammierten Logik beruht und die Risikoreduktion durch Programmfunktionen erreicht wird.

Ein Beispiel für verbindungsprgrammierte – man nennt sie auch hartverdrahtete – Steuerungen findet man in fast jedem Haus: Die Lichtschalter. Diese sind mit einer Zuleitung von der Sicherung verbunden und leiten den elektrischen Strom direkt zur Leuchte weiter. Die Programmlogik ist auf Öffnen und Schließen dieses speziellen Stromkreises beschränkt und kann nur durch Änderung in der Verdrahtung geändert werden. In der Industrie gibt es natürlich auch Lichtstromkreise, aber auch viele Motoren und andere Maschinen werden rein Verbindungsprogrammiert angesteuert.

In großen Büro- und zunehmend auch Einfamilienhäusern werden aber fast keine klassischen Elektroinstallationen mehr ausgeführt, sondern das Gebäude mit einem Installationsbussystem ausgerüstet: Die einzelnen Schalter werden drahtgebunden oder auch drahtlos an eine elektronische Steuerung gebunden in der ein Programm hinterlegt ist, durch das bestimmte Leuchten mit bestimmten Schaltern verbunden werden. Das Programm ist mit kleinem Aufwand an die aktuellen Bedürfnisse anzupassen, z.B. kann man ganz einfach einen Hauptschalter für alle Leuchten oder verschiedene Schalter für bestimmte Leuchtengruppen einbinden. Außerdem kann die Steuerung noch verschiedene weitere Aufgaben von der Regulation des Gebäudeklimas bis zur Zugangskontrolle übernehmen. In der Industrie hat die Speicherprogrammierbare Steuerung(SPS) die Verbindungsprogrammierte für die Kontroll- und Betriebsfunktionen praktisch völlig verdrängt und auch in der Sicherheitstechnik ist sie mittlerweile dominant.

Zwischen Verbindungs- und Speicherprogrammiert bestehen große Unterschiede: Verbindungsprogrammierte Steuerungen sind die Gute, Alte Art, eine Anlage abzusichern: Die Steuerung wird mit einer einfachen, hartverdrahteten Logik und einzelnen Bauteilen aufgebaut. Um bei dem Beispiel aus Teil 6 mit dem abzusichernden Füllstand zu bleiben, könnte man folgende Schaltung realisieren: zwei Messgeräte werden auf gleicher Höhe im R1000 eingebaut und detektieren, wenn sie nicht mehr von Flüssigkeit bedeckt sind. Jedes Messgerät steuert ein Relais an, das abfällt, sobald das Messgerät keine Flüssigkeit mehr sieht. Durch das Abfallen des Relais werden die Aktoren abgesteuert, wie im Beispiel beschrieben. Man beachte, dass im Gut-Zustand wenn alles in Ordnung ist, alle Relais eingeschaltet sind – das führt dazu, dass bei einem Fehler oder Auslösen der Schaltung die Anlage in jedem Fall in den sicheren Zustand gebracht wird. Dieses Prinzip nennt man Ausfallsicherheit und es ist für die Sicherheitstechnik von fundamentaler Bedeutung.

Verbindungsprogrammierte Steuerung sind sehr einfach zu testen und absolut sicher gegenüber Cyberangriffen. Nachteilig sind der hohe Preis, ihre kleine Flexibilität, der große Verdrahtungsaufwand und der Platzbedarf, sowie die in der Praxis insgesamt meist höhere Ausfallrate (Die höhere Zuverlässigkeit der einzelnen Komponenten wird meist durch ihre große Zahl wieder wettgemacht). Außerdem sind sie etwas anfälliger gegen systematische, das heißt in diesem Fall Planungsfehler, insbesondere was die Kommunikation mit Drittsystemen betrifft. Und nicht zuletzt ist sind sowohl Zugriffsbeschränkungen als auch ein wirkungsvolles Änderungsmanagement, durch das alle Änderungen autorisiert und dokumntiert werden, deutlich schwieriger umzusetzen. Deswegen sind sie in der chemischen Industrie und überall, wo der Platzverbrauch eine Rolle spielt, im Grunde seit langem aus der Mode. Das heißt nicht, dass sie nicht ihre wohlverdienten Nischen hätten – nur, dass das Gros der Sicherheitstechnik heute anders funktioniert.

Speicherprogrammierbare Steuerungen bestehen aus einem Logiksystem, auf dem ein Softwareprogramm läuft, durch das die Schutzfunktion realisiert wird. Dazu gehört die sogenannte E/A-Ebene, an die die Sensoren und Aktoren elektrisch angeschlossen werden und eine Zentralbaugruppe – im Prinzip ein kleiner Computer – auf der das Anwenderprogramm läuft. Sicherheitsgerichtete Speicherprogrammierbare Steuerungen sind mehrfach redundant ausgeführt und überprüfen sich mit ausgeklügelten Verfahren ständig selbst; z.B. bilden sie ständig auf verschiedenen Wegen in verschiedenen Teilen der Hardware Prüfsummen anhand der Programmparameter und vergleichen diese untereinander. Sie sind äußerst zuverlässig und sehr robust (mir ist kein Fall bekannt, in dem ein System tatsächlich völlig versagt hätte). Da sie programmierbar sind, können sie viel flexibler und schneller auf- und umgebaut werden. Zum Beispiel kommt es immer wieder vor, dass eine bestimmte Schaltung bei einer Anlagenänderung auf zusätzliche Aktoren wirkt, etwa unsere Schon bekannte Füllstandsmessung am R1000 nach einem Umbau noch andere Ventile irgendwo in der Anlage schalten müsste. In Verbindungsprogrammierter Steuerung müsste eine recht umständliche und vor allem Platz fressende Schaltung aufgebaut und die gesamte Änderungshistorie in einem separaten System – und sei es Papier – dokumentiert werden – in der SPS reicht eine kleine Programmänderung und der Anschluss der neuen Ventile an die E/A-Ebene. Das Änderungsmanagement machen moderne Steuerung selbst. Somit kann man vom Moment der Inbetriebnahme lückenlos alles Dokumentieren, was irgendwer, irgendwann aus irgendwelchen Gründen am System gearbeitet hat.

Mit einer SPS lassen sich auch viel differenziertere Schutzeinrichtungen realisieren: In der chemischen Industrie gibt es viele Anlagen, die Chargenprozesse nach bestimmten Rezepten fahren. Stellen wir uns vor, eine Anlage produziert im Monat 30 verschiedene Produkte – jeden Tag ein anderes – nach 30 verschiedenen Rezepten. Zu jedem Rezept gehören andere Einsatzstoffe, in anderen Mengen, mit ganz eigenen Risiken und entsprechend müssen bei Rezept 1 ganz andere Schutzeinrichtungen aktiv sein als bei Rezept 23. Vielleicht geht es sogar so weit, dass bei einem Rezept bestimmte Schutzeinrichtungen gar nicht aktiv sein dürfen, weil sie in diesem besonderen Fall das Risiko nicht reduzieren, sondern sogar erhöhen würden: Die Höchsttemperatur des einen Prozesses kann die Mindesttemperatur des anderen sein, die Mindestmenge des einen die Maximalmenge des anderen und so weiter. Alle Schutzeinrichtungen müssen also in Abhängigkeit des Rezeptes aktiviert oder deaktiviert werden und das ist nicht nur konzeptionell äußerst kompliziert, sondern in verbindungsprogrammierter Technik auch äußerst umständlich und nur ganz schlecht zu visualisieren. Mit einem SPS-Programm geht das viel einfacher und so hat der Siegeszug der SPS in der Sicherheitstechnik auch dazu geführt, dass heute Produzenten viel schneller auf Kundenwünsche reagieren können. Dafür müssen elektronische Steuerungen natürlich in sich zuverlässig sein und zusätzlich Schutz gegen Cyberattacken bieten, was in der Jetztzeit kein einfaches Problem ist. Vor einigen Jahren bedurfte es enormen Aufwands, eine Schadsoftware zu entwickeln, die auf ganz bestimmte Weise ganz bestimmte Steuerungen von ganz bestimmten Anlagen sabotierte: Stuxnet. Aber das muss angesichts der immer noch rasanten Entwicklung der Rechenleistung moderner Computer und der immensen Fortschritte selbstlernender Programme kein Grund zur Beruhigung sein. Cybersicherheit ist nicht mein Fachgebiet und soll hier auch nicht das große Thema sein, aber unerwähnt lassen will ich sie auch nicht. Die Hersteller sind sich des Problems natürlich auch bewusst. Von mindestens einem weiss ich, dass regelmäßig der Chaos Computer Club im Haus ist, um zu versuchen, in die Steuerungen einzubrechen.

Strukrurell entspricht ein modernes Schutzsystem mit speicherprogrammierbarer Logik weitgehend dem normalen Leitsystem, von dem die Anlage kontrolliert wird: Sensoren messen wichtige Betriebsparameter, ein Logiksystem verarbeitet diese Informationen und schaltet abhängig davon Aktoren, z.B. Ventile und Motoren. Im Vergleich zu einem Leitsystem, das an sich schon rigerosen Anforderungen hinsichtlich Zuverlässigkeit und Ausfallsicherheit unterworfen wird, müssen sicherheitsgerichtete Steuerungen, noch strengere Tests bestehen, noch mehr Auflagen und weitere Normen erfüllen. Das gilt natürlich für jede neue Technik. Und erfahrungsgemäß dauert es dann noch einige Jahre, bis die Traditionalisten überzeugt sind (In diesem Zusammenhang mein Gruß an die nächste Generation junger Ingenieure: Habt Mut, die Alten herauszufordern!).

Weltweit gibt es vergleichsweise wenige Hersteller, die oft nur Nischenprodukte verkaufen – Sicherheitsgerichtete Technik kann nicht jeder. In Deutschland gibt es diverse Fachgremien mit Vertretern der Hersteller, der Anwender, von Behörden und öffentlichen benannten Stellen wie TÜV und Dekra, die sich regelmäßig über Erfahrung und Neuerungen austauschen. Auf diversen Messen stellen dann alle ihre Arbeit dem interessierten Fachpublikum, zu dem ich mich auch zählen darf, vor. Ende 2018 wird z.B. in Ludwigshafen wieder eine stattfinden, die ich auf jeden Fall besuchen will und vielleicht schaffe ich es ja auch noch zur Achema.

 

Beispiel: Füllstandsmessung am R1000

Um den Umgang mit Funktionaler Sicherheit ein bisschen greifbarer zu machen, setzen wir jetzt unsere aus Teil 5 bekannte Füllstandsmessung am R1000 mit einer Speicherprogrammierbaren Steuerung um. Zur Erinnerung noch mal das Übersichtsbild der Anlage:

Abb. 1: Eine ganz einfache Anlage

Abb. 1: Eine ganz einfache Anlage

Was brauchen wir dazu

  1. Eine Sicherheitsgerichtete Architektur der Schutzfunktion
  2. Eine Sicherheitsgerichtete Speicherpogrammierbare Steuerung (SPS)
  3. Sensoren, die mit der SPS kommunizieren können
  4. Aktoren, die von der SPS angesteuert werden
  5. Ein Programm, das die Schutzfunktion realisiert

Bevor man überhaupt daran geht, die Lösung umzusetzen muss man sich zunächst überlegen, welche Anforderungen sie grundsätzlich erfüllen soll. Das ist wieder das allseits gern unter den Teppich gekehrte und viel zu oft sträflich vernachlässigte Problem der Trennung des Was? vom Wie?.

Erinnern wir uns an die Anforderungen aus dem Risikoszenario und der Auslegung des Schutzsystems: Im R1000 dürfen höchsten 50 l Einsatzstoff-1 vorgelegt werden, der Füllstand darf in diesem Stadium also 50 l bzw. 17 % nicht überschreiten. Wegen der zufälligen Fehler des Messystems liegt der Abschaltgrenzwert bei 15 %. Bei 10 % wird Alarm ausgelöst und der normale Betriebsfüllstand in dieser Phase liegt bei 5 %. Das große Risiko schreibt mindestens zwei Sensoren und zwei Aktoren vor. Der Füllstand soll kontinuierlich gemessen und die Schaltung beim jeweils ungünstigeren Wert ausgelöst werden.

Abb. 2 zeigt ein Blockschaltbild eines Schutzsystems, das diese Anforderungen erfüllt. Grün gezeichnet ist die SPS, bestehend aus einer Eingangsbaugruppe mit zwei Modulen für analoge Eingangssignale AI 1 und AI 2, der Zentralbaugruppe CPU auf der das schwarz gezeichnete Programm läuft und einer Ausgangsbaugruppe mit zwei Modulen für Digitale Ausgangssignale DO 1 und DO 2. An jedes Analogeingangsmodul ist ein Standmessgerät angeschlossen. Das ist wichtig, denn so sieht die praktische Umsetzung von Redundanz aus, indem für jede Messung L1A bzw. L1B – wir sagen, für jeden Sensorkanal der Schutzeinrichtung – separate Bauteile verwendet werden. Wenn ein Bauteil eines Kanals ausfällt, kann der andere immer noch die Sicherheit gewährleisten. Auch die CPU ist redundant aufgebaut, aber das in der Zeichnung darzustellen würde eher Verwirrung stiften. An die Digitalausgänge ist mit gleicher Begründung jeweils ein blau gezeichnetes Ventil V1A bzw. V1B angeschlossen. Insgesamt kann man von diesem System sagen, dass jederzeit irgendwo ein Bauteil ausfallen kann und die Sicherheitsfunktion immer noch funktioniert. Nicht dargestellt sind die internen Schutz- und Kontrollmechanismen der Messgeräte und der SSPS, die jeden Fehler sofort melden bzw. vielleicht sogar direkt die Schutzeinrichtung auslösen.

Das Programm beginnt mit einer Messwert-Auswahl: Da es sich um einen abzusichernden Maximalwert handelt, wird durch den MAX-Baustein aus beiden Messwerten der höhere ausgewählt und weiterverarbeitet. Das Signal wird an zwei COMP-Bausteine übergeben, die als Vergleicher wirken und ihren Ausgang Q in Abhängigkeit des Vergleichs der Eingänge A und B schalten. Physikalisch überträgt das Messgerät den Messwert durch einen eingeprägten Strom, dessen höhe dem aktuellen Wert des Füllstands entspricht. Üblicherweise werden Füllstände von 0 % bis 100 % angegeben und der physikalische Stromwert vom Messgerät ist dann 4 mA bei 0% und 20 mA bei 100 %. In der Analogeingangs-Baugruppe sitzt ein A/D-Wandler, der diesen Strom in einen Digitalwert mit üblicherweise 12 bit Breite umsetzt. Das macht aber die SPS im Hintergrund – der Bediener kann mit intuitiv erfassbaren Größen arbeiten. Der Wertebereich des Messignals liegt zwischen 0 % und 100 %, also sind die Vergleichswerte der Komperatoren auch in % angegeben. Überschreitet der Messwert 10 % wird zunächst Alarm ausgelöst. Überschreitet er 15 %, wird das Signal an die Ausgangsbaugruppe weitergeleitet und führt dazu, dass die Ausgänge abgeschaltet werden. Infolgedessen schließen die Ventile.

Die Sensoren müssen ständig aktiv einen Wert an die SPS übergeben und die Aktoren werden von der SPS ständig aktiv offen gehalten. Das ist ein weiterer wichtiger Sicherheitsaspekt und nennt sich Drahtbruchsicherheit: Jede Unterbrechung der elektrischen Verbindung zu den Sensoren sorgt dafür, dass dieser Kanal automatisch als Fehlerhaft detektiert wird. Das erreicht man, indem das physikalische Messignal von den Sensoren einen lebenden Nullpunkt hat, das also ein Füllstand von 0 % nicht einem Strom von 0 mA entspricht, sondern 4 mA. Unterschreitet der Strom diesen Wert dramatisch, wird die SPS das als Drahtbruch und somit Fehler erkennen. Genauso wird ein zu großer Strom als Kurzschluss und somit Fehler erkennt. Die Grenzen sind nach unten 10 % und nach oben 5 % vom Messbereichsendwert. – das Signal muss sich also die ganze Zeit im Bereich 3,6 mA bis 21 mA bewegen. Das ist das sogenannte NE43-Signal, das in der Prozessindustrie die größte Verbreitung hat.

In gleicher Weise müssen die Aktoren immer mit der Digitalausgangs-Baugruppe verbunden sein. Sie werden nämlich aktiv offen gehalten, solange alles im GUT-Bereich ist und durch Federkraft geschlossen, sobald die Schaltung auslöst oder ein Fehler aufgetreten ist. Auch der Totalausfall der Steuerung und der kompletten Energieversorgung wird dadurch abgefangen.

Das ist natürlich nur ein sehr stark vereinfachtes Schema und selbst das ist schon ziemlich komplex. Nicht nur die Technik an sich, sondern auch die dahinter stehenden Konzepte. In der Wirklichkeit kann man noch viel mehr mit den Messwerten machen, hat bessere Diagnosemöglichkeiten, gestaltet die Alarmierung geschickter und so weiter. In der Praxis muss man hin und wieder auch über exotische Messverfahren wie Radiometrie nachdenken oder diverse Drittsysteme, beispielsweise Turbomaschinen mit ihren eigenen Steuerungen implementieren. Das sind dann die Momente, wenn mir mein Beruf besonders viel Spaß macht, denn dann kommt man oft mit Augenmaß und Handgewicht nicht mehr weiter, sondern muss alles sehr sorgfältig auslegen.

Mit der technischen Seite des Risikomanagements sind wir an dieser Stelle (vorerst) fertig. In den folgenden Beiträgen möchte ich noch ein paar eher allgemeine Gedanken entwickeln.

Kommentare (1)

  1. #1 rolak
    18. Juli 2018

    hartverdrahtet

    Ach wie praktisch, hatte ich gestern irgendwo unterwegs gelesen und später verschusselt nachzuschauen. Also tatsächlich identisch zu dem mir bisher ausschließlich bekannten ‘festverdrahtet’; lag ja sehr nahe wg des englischen ‘hard wired’…