773 28 Sicherheitstechnologien Grundsätzlich ist ein Maschinenhersteller verpflichtet sich mit der Maschinenrichtlinie und den einschlägigen Normen gründlich zu beschäftigen, um die funktionale Sicherheit seiner Ma- schine auf Grund der verpflichtend vorgeschriebenen Gefahrenanalyse (siehe Kapitel 26.2) planen zu können. Die Kenntnis der Normen und Vorschriften ist dabei die eine Sache, die gerätetechnische Umsetzung eine andere. Schwerpunktmäßig lässt sich das Angebot an sicherheitsgerichteten Geräten für den Personen- und Maschinenschutz für die Steuerungstechnik (ohne Antriebssysteme und CNC-Steuerun- gen) in fünf Bereiche gliedern: klassische Relais- und Schütz-Sicherheitstechnik, Sicherheitsschaltgeräte zur Überwachung von Schutztüren und Pressen, Auswertegeräte für berührungslose wirkende Schutzeinrichtungen, z. B. Lichtvorhänge, programmierbare Sicherheitssteuerungen, sichere Bussysteme. Bei Einsatz solcher baumustergeprüften Geräte geht zumindest ein Teil der Verantwortung auf den Ausrüster über, was ein nicht zu unterschätzender rechtlicher Aspekt ist. Denn die Ver- antwortung für die sicherheitstechnischen Anforderungen liegt auf Grund des Geräte- und Pro- duktsicherheitsgesetzes (GPSG) beim Maschinenhersteller: Ein Produkt, das einer Rechtsverordnung (z. B. zur Umsetzung von EU-Richtlinien) unterliegt, darf nur in den Verkehr gebracht werden, wenn es u. a. den dort vorgesehenen Anforderungen an Sicherheit und Gesundheit entspricht und Sicherheit und Gesundheit der Verwender oder Dritter (oder sonstige Rechtsgüter) bei bestimmungsgemäßer Verwendung oder vorhersehbarer Fehlanwendung nicht gefährdet werden (§ 4 Abs. 1 GPSG). 28.1 Bewährte Prinzipien elektromechanischer Sicherheitstechnik 28.1.1 Zwangsöffnende Schaltkontakte Zwangsöffnung ist eine Öffnungsbewegung, die sicherstellt, dass die Hauptkontakte eines Schaltgerätes die Offenstellung auch erreicht haben, wenn das Bedienteil in AUS-Stellung steht, ohne dass die Kontakttrennung z. B. von Federbewegungen abhängt. Zwangsöffnung von Schaltgliedern wird von DIN EN 1088 in allen Sicherheitskreisen gefordert. Die Notwen- digkeit der Zwangsöffnung der Öffner-Schaltkontakte in Notfall-Situationen ist bei Not-Halt- Befehlsgeräten zwingend vorgeschrieben. Voraussetzung ist, dass der Abschaltbefehl stets den Sicherheitskreis durch Entregung unterbrechen muss (siehe auch Ruhestromprinzip). 28.1.2 Zwangsgeführte Kontakte Eine Zwangsführung von Kontakten ist dann gegeben, wenn alle Kontakte eines Schaltgerätes mechanisch so miteinander verbunden sind, dass stets Öffner und Schließer nicht gleichzeitig geschlossen sein können. (Zwangsführung nicht verwechseln mit Zwangsöffnung.)
Transcript
773
28 Sicherheitstechnologien
Grundsätzlich ist ein Maschinenhersteller verpflichtet sich mit der Maschinenrichtlinie und den einschlägigen Normen gründlich zu beschäftigen, um die funktionale Sicherheit seiner Ma-schine auf Grund der verpflichtend vorgeschriebenen Gefahrenanalyse (siehe Kapitel 26.2) planen zu können. Die Kenntnis der Normen und Vorschriften ist dabei die eine Sache, die gerätetechnische Umsetzung eine andere. Schwerpunktmäßig lässt sich das Angebot an sicherheitsgerichteten Geräten für den Personen- und Maschinenschutz für die Steuerungstechnik (ohne Antriebssysteme und CNC-Steuerun-gen) in fünf Bereiche gliedern: klassische Relais- und Schütz-Sicherheitstechnik, Sicherheitsschaltgeräte zur Überwachung von Schutztüren und Pressen, Auswertegeräte für berührungslose wirkende Schutzeinrichtungen, z. B. Lichtvorhänge, programmierbare Sicherheitssteuerungen, sichere Bussysteme.
Bei Einsatz solcher baumustergeprüften Geräte geht zumindest ein Teil der Verantwortung auf den Ausrüster über, was ein nicht zu unterschätzender rechtlicher Aspekt ist. Denn die Ver-antwortung für die sicherheitstechnischen Anforderungen liegt auf Grund des Geräte- und Pro-duktsicherheitsgesetzes (GPSG) beim Maschinenhersteller: Ein Produkt, das einer Rechtsverordnung (z. B. zur Umsetzung von EU-Richtlinien) unterliegt, darf nur in den Verkehr gebracht werden, wenn es u. a. den dort vorgesehenen Anforderungen an Sicherheit und Gesundheit entspricht und Sicherheit und Gesundheit der Verwender oder Dritter (oder sonstige Rechtsgüter) bei bestimmungsgemäßer Verwendung oder vorhersehbarer Fehlanwendung nicht gefährdet werden (§ 4 Abs. 1 GPSG).
28.1.1 Zwangsöffnende Schaltkontakte Zwangsöffnung ist eine Öffnungsbewegung, die sicherstellt, dass die Hauptkontakte eines Schaltgerätes die Offenstellung auch erreicht haben, wenn das Bedienteil in AUS-Stellung steht, ohne dass die Kontakttrennung z. B. von Federbewegungen abhängt. Zwangsöffnung von Schaltgliedern wird von DIN EN 1088 in allen Sicherheitskreisen gefordert. Die Notwen-digkeit der Zwangsöffnung der Öffner-Schaltkontakte in Notfall-Situationen ist bei Not-Halt-Befehlsgeräten zwingend vorgeschrieben. Voraussetzung ist, dass der Abschaltbefehl stets den Sicherheitskreis durch Entregung unterbrechen muss (siehe auch Ruhestromprinzip).
28.1.2 Zwangsgeführte Kontakte Eine Zwangsführung von Kontakten ist dann gegeben, wenn alle Kontakte eines Schaltgerätes mechanisch so miteinander verbunden sind, dass stets Öffner und Schließer nicht gleichzeitig geschlossen sein können. (Zwangsführung nicht verwechseln mit Zwangsöffnung.)
774 28 Sicherheitstechnologien
28.1.3 Freigabekontakte Freigabekontakte sind Sicherheitskontakte einer Sicherheitsschaltung, die immer als zwangs-geführte Schließer ausgeführt sind. Die Freigabekontakte liegen direkt im Hauptstromkreis von Maschinen oder schalten in Sonderfälle redundante Schütze. Falls eine Sicherheitsschaltung aktiviert (freigeschaltet) ist, müssen die Freigabekontakte geschlossen sein.
28.1.4 Rückführkreis Ein Rückführkreis dient der Überwachung nachgeschalteter Hauptschütze mit zwangsgeführ-ten Kontakten. Diese Schütze sollen Verbraucher schalten. Als Rückführkreis bezeichnet man eine Reihenschaltung von Öffnerkontakten der zu überwachenden Schütze mit dem Bereit-schafts-EIN-Taster der Steuerung. Verschweißt z. B. ein Schließer-Hauptkontakt, so kann, wegen der Konstruktion der zwangsgeführten Kontakte, der im Überwachungskreis liegende Öffnerkontakt des Schützes nicht geschlossen sein. Damit ist sichergestellt, dass ein erneutes Aktivieren der Sicherheitsschaltung nicht mehr möglich ist, da dies nur bei geschlossenem Rückführkreis geht.
28.1.5 Ruhestromprinzip, Drahtbrucherkennung Überwachungsprinzip in einem Sicherheitskreis. Solange der Ruhestrom fließen kann, ist kein gefährdender Eingriff erfolgt (z. B. Schutztür ist geschlossen). Die Unterbrechung des Ruhe-stromes signalisiert eine Betätigung eines Schaltkontaktes, z. B. eines Endschalters oder einen Drahtbruch (Drahtbrucherkennung!).
28.1.6 Verriegelung gegensinnig wirkender Signale Gegensinnig wirkende Eingangsbefehle werden über den Öffner des Gegenschaltgerätes ver-riegelt. Dabei hat jeder Taster einen Öffner- und einen Schließerkontakt. Bei Betätigung öffnet zuerst der Öffner bevor der Schließerkontakt schließt. Gegensinnig wirkende Ausgangsbefehle werden über den Öffner des Gegenschützes verrie-gelt. Damit wird verhindert, dass z. B. bei einer Wendesteuerung gleichzeitig das Rechtslauf- und Linkslaufschütz angezogen sein können. Diese Art der Verriegelung ist in der SPS-Technik zwingend vorgeschrieben, da das „Klebenbleiben“ von Schützen und Programmier-fehler nicht ausgeschlossen werden können.
28.1.7 Zweikanaligkeit Das Prinzip besagt, dass noch ein weiterer Sicherheitskreis vorhanden ist. Ein zweikanaliger Not-Aus-Taster versagt nicht, wenn ein Kanal durch einen äußeren Einfluss ausfällt. Zweika-naligkeit für Not-Halt-Schaltungen ist bei Pressen der Metallbearbeitung vorgeschrieben.
28.1.8 Redundanz und Diversität Redundanz ist vorhanden, wenn mehr Steuer- oder Antriebsstränge vorhanden sind als zur Erfüllung einer Funktion benötigt wird. Durch Redundanz ist es möglich, die Wahrscheinlich-keit zu verringern, dass ein einziger Fehler zum Verlust der funktionalen Sicherheit führt. Diversität bedeutet die Verwendung verschiedener Funktionsprinzipien, um die Wahrschein-lichkeit von Fehlern zu verringern, z. B. Verwenden von Kombinationen aus Öffner- und Schließerkontakten.
28.2 Relais- und Schütz-Sicherheitstechnik 775
28.2 Relais- und Schütz-Sicherheitstechnik Beispiel: Stellungsüberwachung einer Schutztür (DIN EN 954-1-Kategorie 1)
Beispiel: Stellungsüberwachung einer Schutztür (EN 954-1-Kategorie 3)
776 28 Sicherheitstechnologien
28.3 Sicherheitsschaltgeräte für Not-Halt-Überwachung Unter dem Begriff Sicherheitsschaltgeräte oder Sicherheitskombinationen versteht man ein-satzfertige steuerungstechnische Komponenten, die nicht der betriebsmäßigen Steuerung einer Maschine, sondern vorwiegend der Realisierung der durch eine Risikoanalyse ermittelten Si-cherheitsfunktionen dienen. Dazu gehört die Überwachung von Befehlsgeräten des Sicher-heitskreises und das zur Verfügung stellen von potenzialfreien Freigabekontakten, die als feh-lersichere Ausgänge in den Hauptstromkreis eingeschleift werden, um dort so zu wirken, dass die gefährliche Maschine in einen sicheren Zustand gebracht wird. Der Einsatz solcher Sicher-heitsschaltgeräte legt eine entsprechende Strukturierung der Steuerungsaufgabe nahe. So kön-nen z. B. die nicht sicherheitsgerichteten Betriebsabläufe durch eine einkanalig arbeitende Standard-SPS ausgeführt und die kritischen Sicherheitsfunktionen einem geeigneten Sicher-heitsschaltgerät übertragen werden. Sicherheitskreise sind solche Stromkreise, in denen hauptsächlich Befehlsgeräte wie Not-Halt-Schalter und Positionsschalter von Schutztüren betrieben werden. Das Ziel ist die sichere Aus-führung der geplanten Schutzmaßnahme. Sicherheitsschaltgeräte ersetzen heute weitgehend den diskreten Aufbau bekannter Schütz-Sicherheitsschaltungen, die man auch als Sicherheitsketten bezeichnet hat. Die prinzipielle Wirkungsweise solcher Sicherheitsschaltgeräte wird im nachfolgenden Bild gezeigt.
Bild 28.1: Wirkungsprinzip eines Sicherheitsschaltgerätes
Die Sicherheitsschaltgeräte weisen eine Fülle von Beschaltungsmöglichkeiten auf, die jedoch nicht alle bei jedem Gerät vorhanden sein müssen. 1-und 2-kanalige Eingangsbedingungen:
Die 1-kanalige Beschaltung mit nur einem Überwachungs-Öffnerkontakt für den Not-Halt oder die Schutztüre erfüllt die Forderung der DIN EN 60204-1 (VDE 0113). Die 2-kana-lige Ansteuerung mit zwei getrennten Öffnerkontakten kann so ausführt werden, dass es bei Ausfall eines Kontaktes zu keinem Verlust der Sicherheitsfunktion führt. Die einkana-lige Beschaltung führt nur zu den Sicherheits-Kategorien 1 bis 2, die zweikanalige Variante ist Voraussetzung für die Kategorien 3 bis 4 nach DIN EN 954-1.
28.3 Sicherheitsschaltgeräte für Not-Halt-Überwachung 777
Freigabevarianten: Es handelt sich hier um das Signal „Bereit-Ein“, das dem eigentlichen „Start“ der Maschine bzw. Anlage vorausgehen muss/kann. Freigegeben werden die Freigabekontakte, die in den Hauptstromkreis der Maschine eingeschleift werden oder die auf ein der Schaltverstärkung dienendes externes Schütz führen, dessen zwangsgeführte Kontakte im Hauptstromkreis der Maschine liegen, um diese im Notfall stillsetzen zu können. Man unterscheidet: 1. Manuelle Bereitschaft Die Freigabe der Sicherheitskombination wird erst nach Erfüllung der Eingangsbedingun-gen für 1- oder 2-kanaligen Betrieb und zusätzlicher Betätigung eines Bereit-Ein-Tasters aktiviert. Diese Beschaltung wird normalerweise bei Not-Halt-Funktionen oder Schutztür-Überwachungen als zusätzliche Handlung vor dem „Start“ angewendet. 2. Überwachte Freigabe Der Ausgang wird erst nach Erfüllung der Eingangsbedingungen und nach Schließen sowie anschließendem Öffnen des Bereit-Ein-Tasters aktiviert. Durch diese Beschaltungsweise wird im Zusammenhang mit der Innenschaltung des Sicherheitsschaltgerätes eine Überbrü-ckungsmanipulation am Bereit-Ein-Taster verhindert (Überlistungssicherheit). Bei vorhan-denem Bereitschaftstaster entspricht diese Beschaltung in der Wirkung der manuellen Frei-gabe.
Anlauftestung Werden Sicherheitsschaltgeräte mit Anlauftest-Funktion bei geschlossener Schutztür an die Betriebsspannung gelegt, z. B. durch den Hauptschalter, so wird die Freigabe auch nach Be-tätigung des Bereit-Ein-Tasters nicht erteilt. Erst muss die geschlossene Schutztür geöffnet und dann wieder geschlossen werden, bevor die Freigabekontakte durchgeschaltet werden.
Kontaktvervielfachung Die Freigabekontakte können als potenzialfreie Ausgangskontakte zum direkten Schalten von sicherheitsüberwachten Lasten im Hauptstromkreis benutzt werde, soweit deren Schaltvermögen dies erlaubt. Bei Bedarf können in diese Freigabekreise auch externe Schütze geschaltet werden, die dann jedoch mit zwangsgeführten Kontakten ausgestattet sein müssen. Man benutzt diese Möglichkeit zur Kontaktvervielfachung oder zur Schalt-leistungsverstärkung (Schalten größerer Lasten). Zur Funktionsüberwachung dieser exter-nen Schütze werden Öffnerkontakte der Schütze in den Rückführkreis der Sicherheits-schaltgeräte eingebunden. Durch die überwachende Funktion des Rückführkreises bleibt die Sicherheitsstufe erhalten, denn ein Versagen des externen Schützes wird erkannt.
Querschluss-Erkennung Ein Querschluss hebt die Wirksamkeit eines 2-kanaligen Sensoranschlusses auf und kann nicht erkannt werden, wenn die beiden Schadensstellen auf gleichem elektrischen Potenzial liegen, da zwischen Punkten gleichen Potenzials kein Strom fließt. Erlaubt die Beschaltung des Sicherheitsschaltgerätes eine Reihenfolgenvertauschung von Öffnerkontakt und Schütz, so ergibt sich im Querschlussfall ein auswertbarer Kurzschluss.
778 28 Sicherheitstechnologien
Beispiel: 1-kanalige Not-Halt-Schaltung mit Sicherheitsschaltgerät, EN 954-1, KAT 2
Das Beispiel zeigt den Einsatz eines Sicherheits-Schaltgerätes mit Rückführkreis zur Überwa-chung der externen Schütze und einer überwachten Freigabe mit einem Bereit-Ein-Taster.
Zur Beachtung: Das Beispiel dient nur der Veranschaulichung einiger Grundsätze der DIN EN 60204-1 (VDE 0113 Teil 1) sowie der Einsatzmöglichkeit von Sicherheitsschaltgeräten und erhebt nicht den Anspruch einer vollständigen und geprüften Lösung!
28.4 Auswertegeräte für Lichtvorhänge 779
28.4 Auswertegeräte für Lichtvorhänge Als Beispiel für berührungslos wirkende Schutzeinrichtungen seien so genannte Lichtvorhänge genannt. Lichtvorhänge sind berührungslos wirkende fotoelektronische Schutzeinrichtungen und als Alternative zu trennenden Schutzeinrichtungen (Gitter mit Schutztür) einsetzbar. Bei korrekter Montage entsprechend den gültigen Vorschriften (EN 61496-1,-2) nimmt das Licht-system, das aus dem Lichtvorhang und dem Auswertegerät besteht, eine Person (Finger, Hand, Körperteil) bei Eintritt in die Gefahrenzone einer Maschinen wahr und gibt den Stopp-Befehl für den gefährlichen Bewegungsablauf der Maschine. Typische Einsatzgebiete für Lichtvor-hänge sind (Abkant-)Pressen, Stanzen, Schweiß- und Montagelinien (Roboter), Bestückungs-automaten und Verpackungsmaschinen. Störende Einflüsse anderer Lichtquellen, auch in Form von Funken, beeinträchtigen den fehlersicheren Betrieb nicht.
Bild 28.3: Lichtvorhang
Eine Betriebsart, die Mutingbetrieb genannt wird, gestattet das Hineinbringen von Gütern oder Gegenständen des Produktionsablaufs in den Gefahrenbereich, ohne dass die Maschine an-gehalten wird. Voraussetzung ist, dass durch zusätzliche Anbringung von im Allgemeinen vier Mutingsensoren das unzulässige Eintreten einer Person erkannt wird und zur Abschaltung der Maschine führt, während der Lichtvorhang im Zeitraum einer Materialeinbringung überbrückt ist. Das Prinzip dabei ist die gleichzeitige Erkennung „langer Teile“ in der Lichtschranke und damit die Unterscheidungsfähigkeit gegenüber einer Person. Der unterste (erste) Lichtstrahl eines Lichtvorhangs dient zur Synchronisation zwischen Sen-der und Empfänger und versieht beim erstmaligen Einschalten den Empfänger mit einem Zu-fallscode, der während des gesamten Betriebes überwacht wird. Zwischen Sender und Emp-fänger wird ein zweidimensionales Schutzfeld aus Infrarotlichtstrahlen erzeugt. Bei Eindringen in dieses Schutzfeld wird die Abschaltung der Maschine veranlasst. Die Verzögerungszeit, die zwischen dem Abschaltbefehl und dem Stillsetzen der Maschine einzukalkulieren ist, muss mit einem geeignet gewählten Sicherheitsabstand vereinbar sein. Es gibt auch eine Blanking-Funktion, d. h. das Ausblenden von Lichtstrahlen. Im Blanking-Betrieb sind feste Bereiche des Schutzfeldes unterbrochen, ohne dass der Lichtvorhang ab-schaltet (z. B. Förderbänder zur Zuführung von Materialien). Ausgenommen von der Blan-king-Funktion ist der unterste (erste) Lichtstrahl.
780 28 Sicherheitstechnologien
Zur sicheren Weiterverarbeitung der Ausgangssignale von Lichtvorhängen ist ein Auswerte-gerät erforderlich. Dieses realisiert die Funktionen wie Wiederanlaufsperre und Schützkontrol-le, automatische Testung der Lichtvorhänge und Muting. Eine integrierte Diagnose-Schnitt-stelle (RS232) erlaubt zusammen mit Diagnose-Software die Visualisierung und das Aufzeich-nen der Ein- und Ausgangssignale der Auswertegeräte. Zur Einrichtung der Blanking-Funktion werden ein Programmiergerät und Software sowie weiteres Zubehör benötigt.
Beispiel: Anschluss eines Lichtvorhangs an ein Auswertegerät, EN 954-1-Kategorie 4
Das Beispiel zeigt den 2-kanaligen Anschluss eines Lichtvorhangs an ein Auswertegerät mit überwachter Freigabe des Bereit-Ein-Tasters und einer Schützkontrolle durch den Rückführ-kreis. Man erkennt die Ähnlichkeit mit dem bereits beschriebenen Verfahren der Sicherheits-schaltgeräte für Not-Halt und Schutztüren.
Zur Beachtung: Das Beispiel dient nur der Veranschaulichung einiger Grundsätze der DIN EN 60204-1 (VDE 0113 Teil 1) sowie der Einsatzmöglichkeit von Sicherheitsschaltgeräten und erhebt nicht den Anspruch einer vollständigen und geprüften Lösung!
Bild 28.4: Zweikanaliger Anschluss eines Lichtvorhangs oder -gitters an ein Auswertegerät (Siemens)
28.5 Fehlersichere Kommunikation über Standard-Bussysteme 781
28.5 Fehlersichere Kommunikation über Standard-Bussysteme
28.5.1 Überblick In sicherheitstechnischer Betrachtung ist beispielsweise ein Buskabel selbst nicht sicher und eine absolute Vermeidung von Fehlern sogar unmöglich. Es lässt sich deshalb fragen, wie mit Netzkomponenten und Geräten, die trotz hoher Qualitätsansprüche versagen können, Sicher-heit in Feldbussystemen überhaupt erzeugt werden kann. Die Antwort liegt darin, dass unter Sicherheit letzten Endes nur das Erkennen und Beherrschen von auftretenden Fehlern zu ver-stehen ist. Die klassische und von den Sicherheitsvorschriften geforderte Lösung zur Ausführung sicher-heitsgerichteter Maßnahmen wie z. B. den Not-Halt-Schaltungen beruhte anfänglich nur auf dem Einsatz von Sicherheits-Schützschaltungen, die später von anschlussfertigen Sicherheits-Schaltgeräten abgelöst wurden. Mit dem Aufkommen der dezentralen Feldbustechnik wurden auch neue Lösungen für die sicherheitsgerichteten Schaltmaßnahmen entwickelt. Seitdem gibt es in der Feldbustechnik zwei unterschiedliche Sicherheitsansätze:
Sicherheitsbus: Einsatz eines Sicherheitsbussystems nur für die sicherheitsgerichteten Funktionen als Ersatz für elektromechanische Sicherheits-Schaltgeräte. Daneben werden die eigentlichen Steuerungsfunktionen der Anlage über einen Standard-Feldbus ausgeführt. Das Sicherheits-Bussystem verwendet spezielle Sicherheitssteuerungen (Sicherheits-SPS) mit einer mehrkanalige Signalverarbeitung, z. B. durch drei unterschiedliche Prozessor-systeme verschiedener Hersteller, die parallel arbeitend zum gleichen Ergebnis kommen müssen. Erst dann wird das Ausgabesignal an die Feldgeräte weitergeleitet, anderenfalls wird der Anlagenteil in einen sicheren Zustand gesteuert. Für das Sicherheits-Steuerungs-programm sind nur geprüfte Funktionsbausteine zugelassen, um Programmierfehler aus-zuschließen. Als Beispiel für einen echten Sicherheitsbus, der hier nicht näher behandelt werden soll, sei auf den SafetyBUS p der Firma PILZ verwiesen
Fehlersichere Kommunikation über Standardbus: Einsatz eines Standardbussystems mit zusätzlicher Sicherheitsfunktionalität sowohl für die Standard-Kommunikation als auch für die Sicherheits-Kommunikation. Lange Zeit musste die dezentrale Feldbustechnik mit der Einschränkung auskommen, dass alle sicherheitsrelevanten Funktionen nur mit elektromechanischen Betriebsmitteln wie den Sicherheits-Schaltgeräten oder mit echten Sicherheits-Bussystemen vorschriftsmäßig zu realisieren waren. Aus Sicht der Feldbusse war das ein Nachteil, weil eine Zusatz-kosten verursachende Parallel-Installation erforderlich war. Unter dem Einfluss neuerer Sicherheitsnormen wie der DIN EN 62061 und IEC 61508 eröffneten sich die Möglich-keiten, den „Systembruch“ in der Feldbustechnik zu überwinden und dabei die Sicher-heits-Kommunikation und die Standard-Kommunikation über eine Busleitung laufen zu lassen.
In den beiden nachfolgenden Kapiteln werden Beispiele für Standardfeldbussysteme mit zu-sätzlicher Sicherheit dargestellt. Beim AS-Interface Saftey at Work wird die Sicherheit durch zusätzliche Sicherheitskomponenten erzeugt, während bei PROFIBUS und PROFInet das zusätzliche Anwendungsprofil PROFISafe zu einer integrierten Sicherheitslösung führt.
782 28 Sicherheitstechnologien
28.5.2 AS-Interface Safety at Work Zu den bekannten AS-i-Bus-Komponenten wie Master, Slaves, Netzteil und Repeater kommen nun noch zwei Sicherheits-Komponenten hinzu, die Sicherheitsmonitor und Sicherheits-Slaves genannt werden und die an demselben AS-i-Netzwerk betrieben werden können. Damit bleibt der AS-i-Bus als Standardbus unverändert, er kann jedoch bei Bedarf sicherheitsgerichtet auf-gerüstet werden.
Bild 28.5: Der Sicherheitsmonitor und sichere Slaves machen das AS-Interface „sicher“.
Der AS-i-Master betrachtet die neuen Sicherheits-Slaves wie alle übrigen Slaves und bindet sie wie die konventionellen Slaves in das Netzwerk ein. Die notwendige Sicherheit wird durch eine zusätzliche Signalübertragung zwischen dem Sicherheitsmonitor und den Sicherheits-Slaves erreicht. Der Sicherheitsmonitor überwacht nicht nur die Schaltsignale der Sicherheits-sensoren, sondern prüft auch ständig die korrekte Funktion der Datenübertragung. Dazu erwar-tet er von jedem Sicherheits-Slave pro Zyklus ein spezifisches Telegramm, das sich nach ei-nem definierten Algorithmus kontinuierlich ändert. Trifft durch eine Störung oder durch einen Alarmfall das erwartete Telegramm nicht ein, so schaltet der Sicherheitsmonitor nach spätes-tens 35 ms über seinen 2-kanalig ausgeführten Freischaltkreis die sicherheitsgerichteten Aus-gänge ab. Die Anlage wird sicher stillgesetzt und eine Alarmmeldung an den Master ausgege-ben, die jedoch lediglich der Information dient. Damit wird deutlich, dass der Sicherheitsmoni-tor im Prinzip ein busfähig gemachtes Sicherheitsschaltgerät ist, wie es im Kapitel 28.3 darge-stellt wurde. Die Sicherheits-Slaves sind mit zwei „sicheren“ Eingängen ausgestattet. Im Betrieb bis Schutzkategorie 2 können beide Eingänge separat belegt werden. Ist Sicherheitskategorie 4 erforderlich, kann nur ein 2-kanaliger Sensor angeschlossen werden. Sicherheits-Slaves für den Direktanschluss an den AS-i-Bus stehen ebenfalls zur Verfügung in Form von Not-Halt-Taster, Positionsschalter für Schutztür-Überwachung und Lichtvorhänge. Der Sicherheitsmonitor ist das entscheidende Gerät von Safety at Work (Bezeichnung für den Sicherheitszusatz des AS-i-Systems). Die Konfiguration des Sicherheitsmonitors erfolgt mit einem PC und einer speziellen Software. Dabei muss angegeben werden, welche Slaves „si-chere Slaves“ sind und welche Codetabelle sie enthalten. Die Codetabellen wurden vom BIA (Berufsgenossenschaftliches Institut für Arbeitssicherheit) festgelegt. Eine Codetabelle besteht aus einer Folge von 4 Bit-Zeichen und wird bei der Herstellung der sicheren Slaves nach ei-nem Zufallsverfahren fest eingegeben. Weitere Konfigurationsschritte können die Not-Halt-
28.5 Fehlersichere Kommunikation über Standard-Bussysteme 783
Funktion oder die Zweihandbedienung sowie die Auswahl von Stopp-Kategorie 0 oder 1 betreffen. Dem Sicherheitsmonitor kann wahlweise eine AS-i-Adresse (1-31) zugeordnet wer-den oder nicht. Die Adressenvergabe ist erforderlich, wenn die Diagnosemöglichkeiten für den Sicherheitsmonitor beansprucht werden sollen. Der AS-i-Bus ist also kein echter Sicherheitsbus, sondern ein um Sicherheitsfunktionen erwei-terter Standardbus, der jedoch die Sicherheitskategorie 4 gemäß DIN EN 954-1 erfüllt und von TÜV und BIA zertifiziert ist. Bestehende AS-i-Bussysteme können sicherheitstechnisch hoch-gerüstet werden.
28.5.3 PROFISafe auf PROFIBUS DP-Protokoll Für die sicherheitsgerichtete Kommunikation über PROFIBUS wird das so genannte Proto-kollprofil PROFISafe der Profibus Nutzerorganisation verwendet. Die PROFISafe-Protokoll-schicht setzt auf der PROFIBUS DP-Schicht auf. Zur Realisierung von PROFISafe sind die Sicherheitsmaßnahmen in den fehlersicheren Endgeräten zu kapseln.
Bild 28.6: Die PROFISafe-Funktionalität ist in den Endmodulen gekapselt. Das PROFIsafe-Konzept ist Busmedium-unabhängig und soll auch bei PROFINET auf Industrial Ethernet angewendet werden.
Das wichtigste Ziel bei der Definition des PROFISafe-Profils war die Koexistenz der neu zu-schaffenden sicherheitsgerichteten Kommunikation mit der bewährten Standardkommunika-tion auf ein und demselben Buskabel. Diese Forderung bedeutet, dass fehlersichere Busteil-nehmer wie Steuerungen mit eine F-CPU und Feldgeräte wie Laserscanner, Lichtgitter, Motor-starter und I/O-Geräte mit F-Peripherie in Koexistenz mit der PROFIBUS-Standardtechnik betrieben werden können, also unter Verwendung der PROFIBUS-Übertragungstechnik RS 485/LWL bei PROFIBUS DP und MBP für PROFIBUS PA einschließlich der Kabel und Stecker. Da auch PROFISafe nicht verhindern kann, dass die Kommunikation über den Bus versagt, so muss zumindest der Ausfall oder die Störung der Nachrichtenübermittlung sofort erkannt werden.
784 28 Sicherheitstechnologien
Zu den Sicherheitsmaßnahmen von PROFISafe zählen: die fortlaufende Durchnummerierung der Sicherheitstelegramme (Lebenszeichen), eine Zeitüberwachung für Quittierungssignale (Time-out), eine Kennung zwischen Sender und Empfänger (Losungswort) und eine zusätzliche Datensicherung (CRC) über die F-Nutzdaten und F-Parameter.
Alle genannten Sicherheitsmaßnahmen müssen in den fehlersicheren Busteilnehmern realisiert werden. PROFISafe sorgt nur dafür, dass sich der zusätzliche Telegrammverkehr der fehler-sicheren Busteilnehmer untereinander nicht störend auf den Standard-Telegrammverkehr aus-wirkt bzw. nicht zu Verwechselungen führen kann. Dies wird dadurch erreicht, dass die PROFISafe-Telegramme in der „Data-unit“ der Standardtelegramme verpackt werden. Ein Standard-Telegramm enthält in der „Data-unit“ nur Standard-Nutzdaten (vgl. Kapitel 17.1.7). Ein Sicherheits-Telegramm enthält in der „Data-unit“ die fehlersicher zu übertragenden Nutz-daten (F-Nutzdaten) und zusätzliche Sicherheitsheitsinformationen sowie auch nichtsicher-heitsrelevante Standard-Nutzdaten, z. B. für Diagnose.
Bild 28.7: PROFISafe-Telegramme sind in Standard-Telegrammen verpackt
Die bei PROFIBUS DP angewendete Master-Slave-Kommunikation findet auch zwischen dem F-Master und seinen F-Slaves mit zyklischen Polling statt. Dies wird als zusätzlicher Sicher-heitsfaktor gewertet, da ein ausgefallener Teilnehmer sofort erkannt wird (vergleichbar dem „Ruhestromprinzip“ der Sicherheitstechnik). Eine sicherheitstechnische Nachrüstung einer bestehenden PROFIBUS-Anlage erfordert den gezielten Austausch von aktiven Komponenten. Im SIMATIC-S7 System sind Komponenten für Sicherheitsanwendungen mit dem Kennbuchstaben F (F = Fehlersicher) versehen: CPU 315-2DP > CPU 315F-2DP IM151-7 CPU > IM151-F CPU (Anschaltbaugruppen für DP-Slave ET 200S) Aus der Sicht des ISO/OSI-Kommunikationsmodells (siehe Kapitel 22.4) befinden sich die Sicherheitsmaßnahmen oberhalb der Schicht 7 im PROFISafe-Layer. Das PROFISafe-Konzept wurde nach der neuen Richtlinie IEC 61508 entworfen und muss die erreichte Sicherheitsstufe durch Ausfall-Wahrscheinlichkeiten nachweisen. Um dies nicht für jede Netzkonfiguration einzeln tun zu müssen, wurde ein so genannter SIL-Monitor softwaremäßig realisiert. Er be-rücksichtigt alle vorstellbaren Fehlereinflüsse und löst eine Reaktion aus, wenn die Anzahl der Störungen oder Fehler ein bestimmtes Maß pro Zeiteinheit übersteigt. Die Zahl der zulässigen Fehler pro Zeiteinheit ist abhängig von der SIL-Sicherheitsstufe. Mit PROFISafe wird eine Kommunikationssicherheit bis SIL 3 nach IEC 61508 oder KAT 4 nach DIN EN 954-1 erreicht. SIL 3 ist die höchste Sicherheitsstufe, die für die Prozess- und Fertigungstechnik als erforderlich angesehen wird (SIL 4 für Atomkraftwerkstechnik).
