Safety Intergrated for Process · PDF fileSafety Integrated Safety Integrated for Process...

Safety Integrated

Safety Integrated for Process Automation

Answers for industry.

BroschüreAugust2014

Umschlag_Br_Safety_2014.indd 3Umschlag_Br_Safety_2014.indd 3 15.08.2014 09:53:1415.08.2014 09:53:14

© Siemens AG 2014

Totally Integrated Automation2

Totally Integrated Automation

Totally Integrated Automation:Effizient starten. Produktivität steigern.

Effizientes Engineering ist angesichts immer komplexerer Maschinen und Anlagen sowie steigender Engineering-Kosten ein Schlüsselfaktor für den Erfolg der produzierenden Industrie.

Totally Integrated Automation, die industrielle Automatisie-rung von Siemens, macht Engineering effizient. Die offene Systemarchitektur deckt den gesamten Produktionsprozess ab und steht für das effiziente Zusammenwirken aller Auto-matisierungskomponenten. Dafür sorgen konsistente Daten-haltung, weltweite Standards und einheitliche Schnittstellen bei Hardware und Software. Diese gemeinsamen Eigenschaf-ten minimieren den Engineering-Aufwand. Das spart Kosten, verkürzt die Time-to-Market und erhöht die Flexibilität.

Der ganzheitliche Ansatz von Totally Integrated Automation ebnet den Weg zu einer besseren Produktion: schneller, flexibler und intelligenter. Das wiederum schafft die Voraus-setzungen für echten Mehrwert in allen Automatisierungs-aufgaben – allen voran:

• Integrated Engineering• Industrial Data Management• Industrial Communication• Industrial Security• Safety Integrated

Totally Integrated Automation schafft die idealen Rahmen-bedingungen dafür, Optimierungspotenziale konsequent aus-zuschöpfen – entlang des gesamten Produktionsprozesses:

• Zeit- und Kosteneinsparungen durch effizientes Engineering

• Minimierte Stillstandzeiten durch integrierte Diagnosefunktionen

• Höhere Flexibilität in der Produktion durch durchgängige Kommunikation

• Anlagen- und Netzwerksicherheit durch integrierte Security-Funktionen

• Schutz von Mensch, Maschine und Umwelt durch nahtlos integrierte Safety-Technologie

• Verbesserte Qualität durch Datenkonsistenz • Vereinfachte Realisierung von Automatisierungslösungen

durch globale Standards • Gesteigerte Performance durch das Zusammenwirken

systemgetesteter Komponenten

© Siemens AG 2014

Inhalt 3

Mit Safety Integrated lässt sich im Rahmen von Totally Integrated Automation der zuverlässige Schutz von Mensch, Maschine und Umwelt sicherstellen – bei maxi-maler Wirtschaftlichkeit und Flexibilität. Das umfassende Sicherheitsportfolio aus Steuerungs-, Antriebs und Schalt-technik erfüllt alle Anforderungen an die funktionale Sicherheit von Maschinen und Anlagen – und wird abgerundet durch kompetenten Support und fundiertes Know-how in allen Sicherheitsbelangen.

Safety Integrated steht für die nahtlose Integration von Sicherheitstechnik in die Standardautomatisierung. Das bringt entscheidende Vorteile, für Maschinenbauer ebenso wie für Anlagenbetreiber: deutlich weniger Engineering-Aufwand, höhere Verfügbarkeit und System-durchgängigkeit. Unterm Strich bedeutet das: Mit Safety Integrated können sichere und produktive Maschinen und Anlagen deutlich einfacher und schneller realisiert werden.

Durch die Integration der sicherheitstechnischen Funk-tionen in TIA verschmelzen Standardautomatisierung (Basic Process Control System) und sicherheitsgerichtete Automatisierung zu einem durchgängigen Gesamt-system. Für die Automatisierung kontinuierlicher und diskontinuierlicher Prozesse, schneller und präziser Steuerungsabläufe sowie integrierter Sicherheits-funktionen können gemeinsame Hardware-, Engineering- und Managementkomponenten genutzt werden.

Inhalt

text

Sicherheitstechnik von Siemens

Prozessautomatisierung mit integrierter Sicherheit . . . 4

Normgerechte, flexible Sicherheitsprodukte . . . . . . . . . 6

Mehr Effizienz durch Integration . . . . . . . . . . . . . . . . . . 7

Safety Integrated for Process Automation – das umfassende Produkt- und Serviceangebot . . . . . . . 8

Integrated Control & Safety

SIMATIC PCS 7 – Komplette Integration des sicherheitstechnischen Systems. . . . . . . . . . . . . . . . . . 10

Flexible Modular Redundancy

Kostenoptimierte Sicherheit durch flexibel skalierbare Fehlertoleranz . . . . . . . . . . . 12

Safety Integrated-Feldbustechnologie

PROFIsafe – Sichere Kommunikation via PROFIBUS oder PROFINET . . . . . . . . . . . . . . . . . . . . 13

Sicherheitsgerichtete Kommunikation via PROFIBUS . 14

Sicherheitsgerichtete Kommunikation via PROFINET . 16

Sicherheitsgerichtete SIMATIC Controller. . . . . . . . . . . 17

Controller-Baureihe SIMATIC S7-400 . . . . . . . . . . . . . . 18

Controller-Baureihe SIMATIC S7-300 . . . . . . . . . . . . . . 20

Vielseitige dezentrale I/O-Peripheriesysteme. . . . . . . . 21

SIMATIC ET 200M . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

SIMATIC ET 200iSP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Sichere Prozessinstrumente und Prozessgeräte zum Anschluss an Remote I/Os ET 200M . . . . . . . . . . . . . . . 27

Direkte Geräteanbindung via Feldbus mit hoher Sicherheit und Verfügbarkeit . . . . . . . . . . . . . . . 28

Sichere Feldinstrumentierung am PROFIBUS PA . . . . . 29

Safety Lifecycle Management

Analyse, Realisierung, Betrieb und Wartung . . . . . . . . 30

Safety Lifecycle Services . . . . . . . . . . . . . . . . . . . . . . . . 31

Sicherheitsfachleute mit zertifizierter Qualifizierung . 32

SIMATIC Safety Matrix

Das Safety Lifecycle Management Tool . . . . . . . . . . . . 33

SIMATIC Safety Matrix in der Analysephase . . . . . . . . . 34

SIMATIC Safety Matrix in der Realisierungsphase . . . . 36

SIMATIC Safety Matrix in der Betriebsphase. . . . . . . . . 38

© Siemens AG 2014

Sicherheitstechnik von Siemens4

Sicherheitstechnik von SiemensProzessautomatisierung mit integrierter Sicherheit

Security Services

Dauerhafter Schutz von Personen, Umwelt und Anlagen ist die Voraussetzung für nachhaltigen Erfolg. Aus diesem Grund arbeiten Mitarbeiter von Siemens ständig an Produkten und Dienstleistungen für die Prozess- und Anlagensicherheit. Sie kennen sowohl gesetzliche Regelungen als auch sicherheits-technische Normen und widmen sich aktiv den aktuellen Standards. Diese zu erfüllen, erfordert durchdachte Sicher-heits-, Verfügbarkeits- und Instandhaltungskonzepte.

Sichere Produktion ohne Schwachstellen

In der Prozessindustrie mit ihren oft äußerst komplexen Abläufen darf sich die Automatisierung keine Schwachstellen leisten. Jede Störung oder Fehlfunktion kann fatale Folgen haben. Ihr oberstes Ziel muss es daher sein, Gefahren-potenziale für Mensch, Anlage und Umwelt mit technischen Mitteln zu minimieren, ohne den industriellen Produktions-prozess zu beeinträchtigen.

Um Gefahrenquellen zuverlässig auszuschalten und Risiken zu minimieren, bedarf es eines effizienten Sicherheitskonzepts, das den hohen Anforderungen der sogenannten funktionalen Sicherheit gerecht wird.

Ein wesentlicher Teil jedes modernen Sicherheitskonzepts einer Anlage ist das Safety Instrumented System (SIS). Es basiert auf Standardkomponenten der Automatisierungs- und Antriebstechnik, die miteinander verknüpft und durch Sicherheitsfunktionen erweitert werden. Das Ergebnis ist Safety Integrated – ein umfassendes Angebot für die einfache Realisierung, Bedienung und Wartung sicherer Applikationen.

Komplett integriert in die Standardautomatisierung

Die F/FH-Controller der Baureihe SIMATIC S7-400 bieten mit der passenden I/O-Peripherie ein Höchstmaß an Sicherheit, Fehlertoleranz und Verfügbarkeit für Ihre Applikationen. Zur effizienten Kommunikation zwischen Controller und dezentraler I/O-Peripherie steht mit PROFIBUS oder PROFINET modernste Feldbus-Technologie zur Verfügung – auch bis zum einzelnen Feldgerät und für explosionsgefährdete Bereiche der Zonen 1 und 2.

Mit dem Safety Lifecycle Management Tool SIMATIC Safety Matrix ist der Aufwand für Engineering, Inbetriebnahme und Wartung erheblich reduzierbar. Durch Verknüpfung von Ursache und Wirkung können Sicherheitsapplikationen kom-fortabel projektiert werden.

Mit Funktionen für den Partial Stroke Test lässt sich im laufen-den Betrieb die einwandfreie Funktion der Notabschaltventile prüfen und so die Anlagensicherheit erhöhen. Wartungsinter-valle können bei gleichem Risiko sogar verlängert werden.

Die nahtlose Integration all dieser Produkte in das Prozess-leitsystem SIMATIC PCS 7 ermöglicht sehr effiziente und flexible Automatisierungs- und Sicherheitsapplikationen. SIMATIC PCS 7 ergänzt die integrierte Prozesssicherheit zusätzlich mit umfassender IT-Sicherheit.

Betrieb und W

artung

Mod

ernis

ier

ung und Optimierung Planung und Konzeption

Installation und Inbetriebsetzung

Engine

erin

g un

d E

ntw

ickl

ungWerkzeuge,

Methoden, Anweisungen,

Standardlösungen, Best Practices

Workshop zur Bedarfs-ermittlung

Implementierung und

Abnahmetest

Analyse und Bewertung von

Schwach-stellen

Security Management

ohne Beein- trächtigung des

Anlagen-betriebs

Überprüfen der Effektivität

der Schutz-

maßnahmen

Entwurf und Entwicklung

der Schutz-

maßnahmen

G_P

CS

7_X

X_0

0286

© Siemens AG 2014

Sicherheitstechnik von Siemens 5

Security-Schutzmaßnahmen

Ihre Anforderung bestimmt die Lösung

Extreme Einsatzbedingungen verlangen außergewöhnliche Lösungen. Für den Einsatz im erweiterten Temperaturbereich, bei erhöhter Luftfeuchtigkeit, in aggressiver Atmosphäre oder bei starken mechanischen Belastungen sind auch gehärtete und veredelte Komponenten erhältlich.

Produkte aus dem Bereich der Antriebstechnik – ob Sicher-heitsschaltgeräte, Motormanagementsysteme (MCC), Frequenzumrichter, Motoren oder Getriebe – sind für höchste Sicherheitsstandards ausgelegt. Für explosionsgefährdete Staub- und Gasatmosphären steht ein breites Spektrum explosionsgeschützter Motoren zur Verfügung.

Auf Basis exzellenter Produkte und jahrzehntelanger Erfah-rungen sind auch erstklassige Lösungen für spezifische Aufgaben realisierbar. Diese reichen von der Anlagenüber-wachung über Brandschutz und Kommunikationstechnik bis zur Zugangskontrolle.

SIMATIC PCS 7 Safety & Security

Mit der fortschreitenden Standardisierung, Öffnung und welt-weiten Vernetzung wächst auch das Gefahrenpotenzial durch Cyberkriminalität. Die von Schadprogrammen oder unbefug-ten Personen ausgehenden Bedrohungen sind vielfältig, z. B.

• Überlastungen oder Ausfälle von Netzwerken• Ausspionieren und Stehlen von Zugangs- oder Prozess-

daten• Unerlaubte Eingriffe in die Prozessautomatisierung • Gezielte Sabotage

Zum Schutz der mit dem Prozessleitsystem SIMATIC PCS 7 realisierten Anlagen hat Siemens ein sehr effektives, ganzheitliches Sicherheitskonzept entwickelt, das eine Vielzahl von Sicherheitsmaßnahmen miteinander verknüpft und ständig weiterentwickelt wird. Dieses Defense-in-Depth-Konzept wirkt auf drei Ebenen:

• Anlagensicherheit verwehrt nicht autorisierten Personen den physischen Zugang zu kritischen Komponenten

• Netzwerksicherheit schützt die Produktion vor unberech-tigten Zugriffen aus Office-Umgebungen oder dem Internet

• System-Integrität verhindert unautorisierte Modifikationen der Prozessautomatisierung

Die auf dem Defense-in-Depth-Konzept basierenden Security-Schutzmaßnahmen für die Prozessautomatisierung mit SIMATIC PCS 7 sind im Handbuch "Sicherheitskonzept PCS 7 und WinCC-Basisdokument" ausführlich beschrieben.

Mit Industrial Security Services unterstützt Siemens zusätzlich die Erarbeitung maßgeschneiderter Sicherheitslösungen für den gesamten Lebenszyklus der Anlage. Das Angebot umfasst ein detailliertes Security-Assessment, die Auswahl und Imple-mentierung der optimalen Maßnahmen sowie die Aktualisie-rung und Risikoanpassung.

Aber auch mit allen bekannten Schutzmaßnahmen ist keine absolute Sicherheit garantierbar. Durch Kombination der SIMATIC PCS 7 IT Security mit der Sicherheitstechnik können Sie aber Auswirkungen der Cyberkriminalität neutralisieren.

Physischer Schutz

Firewalls und abgesicherte Verbindungen (VPN)

Schutz vor schädlichen Programmen (Antivirus, Intrusion Detection)

Defense in Depth

Die Verteidigung von Automatisierungssystemen ist aus hintereinander geschalteten Hürden aufgebaut, für deren Überwindung unterschiedliche Angriffsstrategien erforderlich sind. Bei diesem Konzept kommen acht wesentliche Schutzmaßnahmen zum Einsatz:

Patch-Management

Benutzer-Management

Systemhärtung

Sicherheitszellen und Perimeter-Netzwerke

Richtlinien und Anweisungen DCS

Weitere Informationen siehe im Internet unter: www.siemens.com/industrial-security

© Siemens AG 2014

http://www.siemens.com/industrial-security


Normgerechte, flexible Sicherheitsprodukte

Ein komplexes Netzwerk aus Normen und Gesetzen fordert...

Als Anlagenbetreiber sind Sie vom Gesetzgeber dazu ver-pflichtet, für die Sicherheit von Mensch und Umwelt zu sorgen. Dazu sind alle am Betriebsstandort gültigen Regeln, Vorschriften und Verordnungen anzuwenden. Liegt ein Gefahrenpotenzial vor, muss eine Gefahren- und Risiko-analyse durchgeführt werden. Darin werden die vorliegenden Risiken beschrieben und bestehende sowie zusätzliche Maß-nahmen zu deren Reduzierung definiert. Das verbleibende Restrisiko muss stets unter dem tolerierbaren Maß liegen.

Über den gesamten Lebenszyklus, d. h. von der Analyse über die Realisierung und den Betrieb bis zur Außerbetriebnahme der Anlage, ist eine lückenlose Dokumentation zu erstellen (z. B. ein Safety Plan). Diese erleichtert die Fehlerdiagnose sowie die Reproduzierbarkeit aller Prozesse und dient in einem eventuellen Schadensfall als Beweismittel.

Zudem gilt es, die geforderte Verfügbarkeit sicherzustellen. Durch Anwendung der flexiblen modularen Redundanz (FMR) des sicherheitstechnischen Systems von Siemens lassen sich flexible skalierbare Redundanzen einfach und kostengünstig realisieren.

... und ein zuverlässiger Partner unterstützt Sie dabei, alle Anforderungen zu erfüllen.

Seit mehr als 25 Jahren realisiert Siemens als zuverlässiger Partner der Industrie erstklassige Automatisierungslösungen für die Prozesssicherheit – in einer Vielzahl von Branchen. Diese Lösungen zeichnen sich durch hohe Effizienz aus und bewirken erhebliche Einsparungen. Natürlich entsprechen sie sowohl den geltenden nationalen als auch den internationa-len Standards, z. B. IEC 61508 (bis SIL 3), ANSI/ISA-84 und IEC 61511.

IEC 61508 – Basisnorm

Die IEC 61508 definiert Methoden zum Erreichen der funk-tionalen Sicherheit von Produkten. Ihre Einhaltung wird durch entsprechende Zertifikate belegt. Sie gilt weltweit und dient als Basis für Spezifikationen sowie den Entwurf und Betrieb von sicherheitstechnischen Systemen.

IEC 61511 – Anwendungsspezifische Norm für die Prozessindustrie

Die IEC 61511 setzt die IEC 61508 für die Prozessindustrie um. Im Wesentlichen dient sie als Richtlinie für das Planen, Realisieren und Betreiben von sicherheitstechnischen Syste-men in Prozessanlagen. Ein entscheidender Bestandteil: die Forderung nach einer übergeordneten Organisation aller Abläufe (Management der funktionalen Sicherheit, FSM).

Die IEC 61511 schreibt für die komplette Sicherheitskette (Loop) vom Sensor über die Controller bis zum Aktor einen Sicherheitsnachweis vor. Dabei sind nicht nur die einzelnen Hardware- und Softwareprodukte, sondern auch die über den gesamten Lebenszyklus der Anlage angewandten Planungs-, Betriebs- und Änderungsprozesse zu betrachten.

Applikationsspezifische Normen

■ Brennersysteme– EN 230: Automatische Brennersteuerungen für

Ölbrenner– EN 298: Automatische Brennersteuerungen für

Gasbrenner und Gasverbrennungseinrichtungen mit oder ohne Gebläse

– EN 50156-1: Anforderungen an Design und Instal-lation elektrischer Ausrüstungen für Öfen und Nebenaggregate

– NFPA 85: Boiler and Combustion Systems Hazards Code

■ Feuererkennungs- und Feueralarmsysteme – EN 54-2/A1: Feuererkennungs- und Feueralarm-

systeme, Ausrüstung zur Kontrolle und Anzeige – NFPA 72: National Fire Alarm Code

Safety Integrity Level (SIL)

Die Normen IEC 61508 und IEC 61511 definieren vier unter-schiedliche Sicherheitsstufen. Diese beschreiben Maßnah-men zur Risikobeherrschung bei den eingesetzten Kompo-nenten, die durch den sogenannten Safety Integrity Level bewertet werden. Je höher dieser ist, desto größer die Risikoreduzierung. Damit ist der SIL das Maß für die Wahr-scheinlichkeit, dass das sicherheitstechnische System die geforderten Sicherheitsfunktionen für einen bestimmten Zeitraum korrekt erfüllen kann.

© Siemens AG 2014


Mehr Effizienz durch Integration

Einfache Integration ins Leitsystem

Das innovative sicherheitstechnische System kann an jedes beliebige Leitsystem (DCS) angeschlossen werden. Es enthält sicherheitsgerichtete Komponenten aus folgendem Produkt-spektrum:

• Controller der Baureihe SIMATIC S7-400 (F/FH), z. B. das SIMATIC PCS 7 Automatisierungssystem AS 410

• Dezentrale Peripherie SIMATIC ET 200M, ET 200iSP, ET 200S und ET 200pro

• Prozessinstrumente/-geräte SITRANS, SIPART und SIMOCODE

Einzigartig in diesem Zusammenhang ist die Integrations-möglichkeit in das innovative Prozessleitsystem SIMATIC PCS 7. In dieser Kombination sind kürzere Engineeringzeiten, höhere Betriebsleistungen sowie Einsparungen bei der Ersatz-teilhaltung und den Gesamtwartungskosten erzielbar.

Gemeinsame Anbindung über bewährte Standards

Beim Anschluss von Standard- und sicherheitsgerichteten I/O-Baugruppen/Modulen und -Geräten werden die bewähr-ten Feldbus-Technologien PROFIBUS und PROFINET verwen-det. Sicherheitsgerichtete Kommunikation und Standard-kommunikation nutzen dabei dasselbe Busmedium. Dies gilt auch für die Anbindung sicherer Drucktransmitter, beispiels-weise des SITRANS P DS III an PROFIBUS PA mit PROFIsafe nach SIL 2.

Die Safety Integrated Feldbus-Technologie mit PROFIsafe er-laubt eine zertifizierte, sicherheitsgerichtete Kommunikation zwischen F/FH-Controllern, dezentraler Sicherheitsperipherie und sicherheitsgerichteten Prozessinstrumenten. Redundan-zen bzw. Ringstrukturen auf allen Ebenen der Feldbus-kommunikation ermöglichen höchste Verfügbarkeit.

Vorteile auf einen Blick

■ Ein Engineeringsystem für Prozessleit- und Prozess-sicherheitsanwendungen

■ Eine gemeinsame Controller-Plattform für Prozess-automatisierung und Prozesssicherheit

■ Direkte und nahtlose Kommunikation zwischen DCS und SIS

■ Automatische Integration mit Zeitstempel versehe-ner sicherheitsgerichteter Alarme und Meldungen

■ Erhebliche Kosteneinsparungen

© Siemens AG 2014


Safety Integrated for Process Automation – das umfassende Produkt- und Serviceangebot

Das sicherheitstechnische System von Siemens umfasst sichere Controller, sichere Bussysteme und I/O-Peripherie sowie die sichere Instrumentierung, beispielsweise zur Druck-messung.

Mit Safety Integrated können wir auf dieser Basis erstklassige, umfassende und durchgängige Lösungen für die Prozess- und Fertigungsindustrie anbieten und mit exzellenten Dienst-leistungen für alle Lebensphasen einer sicherheitstechni-schen Anlage kombinieren.

Bei der detaillierten Darstellung von Safety Integrated be-schränken wir uns im weiteren Verlauf ausschließlich auf die Prozessindustrie.

Auf Basis unseres kompletten Angebots und unserer jahrzehntelangen Erfahrung realisieren wir erstklassige Automatisierungslösungen für die Prozesssicherheit. Zu unserem umfassenden Angebotsspektrum gehören:

• Notfall- und Prozessabschaltsysteme (ESD/PSD) gemäß IEC 61511, S84

• Brenner-Management-Systeme (BMS) gemäß EN298, NFPA 85

• Feuer- und Gasanwendungen (F&G) gemäß EN 54, NFPA 72

Weitere Informationen zu Safety Integrated for Process Automation im Internet:www.siemens.de/simatic-pcs7/process-safety

© Siemens AG 2014

http://www.siemens.de/simatic-pcs7/process-safety


Produktspektrum für die Prozessindustrie

Engineering Projektierung der Sicherheitsfunktionen (bis SIL 3) mittels TÜV-zertifizierten Funktionsbausteinen und Continuous Function Chart (CFC) oder SIMATIC Safety Matrix (Cause&Effect-Matrix)

Automatisierungssysteme AS 410F/FH, AS 412F/FH, AS 414F/FH, AS 416F/FH, AS 417F/FHam PROFIBUS oder PROFINET

Sichere, fehlertolerante Controller im einfachen und redundanten Aufbau (SIL 3) für den unteren, mittleren und oberen Leistungs-bereich

PROFIsafe mit PROFIBUSPROFIsafe mit PROFINET

Für Standard- und sicherheitsgerichtete Kommunikation auf nur einer Busleitung, zertifiziert nach IEC 61508 (SIL 3)

SIMATIC ET 200Mam PROFIBUS oder PROFINET

Modulare Peripherie für hochkanalige Anwendungen mit sicherheitsgerichteten Signalbaugruppen (F-DI, F-DO, F-AI), SIL 2/SIL 3; Schutzart IP20

SIMATIC ET 200iSPam PROFIBUS

Modulare, eigensichere Peripherie mit sicherheitsgerichteten Elektronikmodulen (F-DI Ex, F-DO Ex, F-AI Ex), SIL 3, Schutzart IP30

SIMATIC ET 200Sam PROFIBUS

Feinmodulare Peripherie mit sicherheitsgerichteten Elektronik-modulen (F-DI, F-DO) und sicherheitsgerichteten Motorstartern, SIL 2/SIL 3; Schutzart IP20

SIMATIC ET 200proam PROFIBUS

Modulare, sehr kompakte Peripherie mit sicherheitsgerichteten Elektronikmodulen (F-DI, F-DI/F-DO), SIL 2/SIL 3; F-Switch zum Abschalten von Standardperipherie und Ansteuern von Motor-schaltern; Schutzart IP65/66/67

Prozessinstrumente/Prozessgeräteam PROFIBUS

Sichere Prozessinstrumente/-geräte am PROFIBUS:Drucktransmitter SITRANS P DS III PA (SIL 2) mit PROFIsafe, SIMOCODE pro mit DM-F local/PROFIsafe (SIL 3), SIPART PS2 PA (SIL 2)

Sichere Prozessinstrumente/-geräte zum Anschluss an Remote I/Os ET 200M: SITRANS P DS III analog/HART (SIL 2), SITRANS TW Series (SIL 1), SITRANS TH200/300 (SIL 2), SITRANS TR200/300 (SIL 2), SITRANS LVL200 (SIL 2), SITRANS LR250 HART (SIL 2), SITRANS FC430 (SIL 2), SIPART PS2 2/4-Leiter (SIL 2)

Applikationen Partial Stroke TestVorgefertigte Funktions- und Bildbausteine für den Online-Ventiltest zur vorbeugenden Ventildiagnose ohne Beeinträchtigung der Pro-duktion

S

SIS Controller

DP/PA Koppler

Pneumatisches Abschaltventil

SafetyApplikation

F-DO

SafetyInstrumentedFunction

Magnetventil

LuftzufuhrSollwertVentilstellung

RückmeldungVentilstellung

VentilstellungsreglerSIPART PS2

ET 200M

© Siemens AG 2014

Integrated Control & Safety10

Integrated Control & SafetySIMATIC PCS 7 – Komplette Integration des sicherheitstechnischen Systems

Safety Integrated for Process Automation von Siemens gestattet die bestmögliche Form der Integration des Safety Instrumented Systems in das Prozessleitsystem. Bei dieser "Common Integration" basieren Basic Process Control System (BPCS) und sicherheitstechnisches System auf einer gemein-samen Hardware.

Die daraus resultierende Reduzierung des Platzbedarfs, des Hardware- und Verdrahtungsumfangs sowie des Montage-, Installations- und Engineeringaufwandes bewirkt signifikante Kosteneinsparungen über den gesamten Lebenszyklus der Anlage.

Dank dem innovativen Konzept von Safety Integrated können aber auch alle anderen Integrationsstufen abgedeckt werden.

Prinzipiell werden die folgenden drei Integrationsstufen unterschieden:

• InterfacedDas BPCS im Prozessleitsystem und das sicherheitstechni-sche System basieren auf unterschiedlicher Hardware und sind über ein Gateway zum Datenaustausch miteinander verbunden. Das Engineering beider Systeme erfolgt über separate Engineering Tools.

• IntegratedDas BPCS im Prozessleitsystem und das sicherheitstechni-sche System basieren auf unterschiedlicher Hardware, Kommunikation und Engineering erfolgen jedoch über einheitliche Systeme.

• CommonDas BPCS und das sicherheitstechnische System sind im Prozessleitsystem vereint. Sie nutzen gemeinsame Hardware (Controller, Feldbus, I/O-Peripherie). Standard- und sicherheitsgerichtete Programme laufen parallel und unabhängig voneinander ab.

Modularität und Flexibilität von Safety Integrated gestatten eine individuelle Festlegung des Integrationsgrades. Sie haben z. B. die Möglichkeit, selbst zu entscheiden, ob Sie Basic Process Control System-Funktionen und Sicherheits-funktionen in einem Controller (Automatisierungssystem) oder in separaten Controllern ausführen.

Integrationsstufen des Safety Instrumented Systems in das Prozessleitsystem

Viele Vorteile von Safety Integrated sind bereits dadurch nutz-bar, dass dieses System über standardisierte Kommunikation via PROFIBUS/PROFINET IO und Industrial Ethernet in jedes offene Prozessleitsystem eingebunden werden kann. Dazu gehören:

• Bearbeitung von Standard- und Sicherheitsfunktionen in demselben S7-400 Controller

• Kein separater Sicherheitsbus: Standard- und sicherheits-gerichtete Kommunikation laufen über denselben Feldbus (PROFIBUS oder PROFINET, jeweils inkl. PROFIsafe)

• Gemischter Betrieb von Standard- und sicherheitsgerichte-ten I/O-Baugruppen in Remote I/O-Stationen ET 200M, ET 200iSP, ET 200S und ET 200pro

Interfaced

Integrated

Common

BPCS SIS

BPCS

BPCS

SIS

SIS

Gateway

ES ESOS

ES OS

ES OS

© Siemens AG 2014

Integrated Control & Safety 11

Beispiel für Kombination von Basic Process Control System und sicherheitstechnischem System in SIMATIC PCS 7

Das gesamte Potenzial von Safety Integrated lässt sich jedoch nur durch die einzigartige Kombination mit dem universellen Prozessleitsystem SIMATIC PCS 7 von Siemens ausschöpfen. Damit profitieren Sie von weiteren Vorteilen wie:

• Ein gemeinsames Engineering System für BPCS und SIS • Gemeinsame Controllerplattform • Durchgängige Datenhaltung: kein aufwändiges Daten-

handling zwischen BPCS und SIS • Einbindung der sicherheitsgerichteten Applikationen in die

Prozessvisualisierung auf der Operator Station• Automatische Integration der mit Zeitstempel versehenen

sicherheitsrelevanten Störungsmeldungen in die Prozess-führung

• Einbindung der sicherheitsgerichteten Hardware in das Asset Management mit der Maintenance Station für Diagnose und vorbeugende Wartung

Das Sicherheitssystem kommuniziert in der Regel über den Anlagenbus, bei Client-Server-Systemen ggf. zusätzlich über einen Terminalbus mit Systemen und Werkzeugen für Engineering, Prozess- und Betriebsführung sowie Diagnose und Wartung. Bei modernen, offenen Prozessleitsystemen sind Anlagen- und Terminalbus meist industrietaugliche Ethernet-LANs. In der Benutzeroberfläche dieser Systeme und Werkzeuge ist das Safety Integrated System durch bedienbare Bildbausteine repräsentiert.

Die Einbindung des Safety Integrated Systems in den Anlagen-bus erfolgt über robuste Ethernet-Anschaltungen in den Controllern und für das verwendete Busmedium geeignete Industrial Ethernet Switches wie SCALANCE X.

Der auf Industrial Ethernet gemäß Standard IEEE 802.3 basie-rende Anlagenbus von SIMATIC PCS 7 ist aus Gründen der Störfestigkeit und der Verfügbarkeit oft als optischer Ring ausgeführt. Bei sehr hohen Verfügbarkeitsanforderungen kann er auch als optischer Doppelring konfiguriert werden, der Doppelfehler wie den Ausfall eines Switches an Ring 1 und die gleichzeitige Auftrennung des Buskabels von Ring 2 tole-riert.

Auch der Terminalbus von SIMATIC PCS 7 lässt sich auf zwei redundante Ringe verteilen. Dabei wird jede PCS 7-Station mit einer von zwei Industrial Ethernet-Anschaltungen an jeden der beiden getrennten Ringe angeschlossen. Auf den PCS 7-Stationen organisiert die Kommunikationssoftware SIMATIC NET SOFTNET-IE RNA die Kommunikationsprozesse auf Basis des PRP-Protokolls.

Operator System

hochverfügbarsicher, fehlertolerantund hochverfügbar

Standard / sicherheits-gerichtet

Standard / sicherheits-gerichtet

Standard

Standard

EngineeringSystem

MaintenanceStation

einfach/redundant

einfach/redundant einfach/redundant

einfach/redundant

Industrial Ethernet

PROFIBUS

G_P

CS

7_X

X_0

0141

PROFIBUS

ET 200M

ET 200iSP

ET 200M

ET 200iSP

HART

HART

HART

HART

© Siemens AG 2014

Flexible Modular Redundancy12

Flexible Modular RedundancyKostenoptimierte Sicherheit durch flexibel skalierbare Fehlertoleranz

Mit Flexible Modular Redundancy (FMR) bietet Siemens ein innovatives Konzept zur Realisierung kosteneffektiver skalier-barer Sicherheitslösungen. Damit lassen sich mehrfache Fehlertoleranzebenen genau dort implementieren, wo sie für die jeweilige Anwendung erforderlich sind.

Abhängig von der Automatisierungsaufgabe und den Sicher-heitsanforderungen kann der Projekteur, den Redundanzgrad für die einzelnen Architekturebenen Controller, Feldbus und I/O-Peripherie separat definieren und mit der Feldinstrumen-tierung abstimmen. Innerhalb einer Ebene ist dabei jede Kom-ponente redundant aufbaubar, auch physikalisch getrennt. Alle Komponenten erfüllen überdies die Anforderungen der Sicherheitsstufe SIL 3.

Fehlertolerante Architekturen, die mehrere gleichzeitig auf-tretende Fehler tolerieren, lassen sich so direkt auf spezifische Aufgaben zuschneiden. Wie anhand von Beispielkonfigura-tionen mit I/O Peripherie an den Feldbussen PROFIBUS DP und PROFIBUS PA gezeigt, kann die Summe der Aufgaben einen Mix verschiedener Redundanzgrade innerhalb einer Archi-tekturebene ergeben (1oo1, 1oo2, 2oo3 bzw. 1oo2, 2oo3).

Flexible Modular Redundancy (FMR) am Beispiel einer sicherheits-gerichteten fehlertoleranten PROFIBUS DP-Konfiguration mit Remote I/Os

Die Zuverlässigkeitsmodellierung zeigt, dass FMR höhere Verfügbarkeitslevel erreicht als herkömmliche redundante Architekturen mit einheitlich doppeltem oder dreifachem Auf-bau. Da FMR die Redundanz nur dort bereitstellt, wo sie auch benötigt wird, sind mit FMR vergleichsweise attraktivere und kosteneffektivere Sicherheitsapplikationen realisierbar als mit herkömmlichen Redundanzarchitekturen.

FMR am Beispiel einer sicherheitsgerichteten fehlertoleranten Konfigu-ration mit direkter Geräteanbindung

G_P

CS

7_X

X_0

0212

Triple Simplex

1oo2 Flow

Dual

Controller S7-400FH

1oo1 LS

2oo3 PT

PROFIBUS DP

Vorteile auf einen Blick

■ Sicherheit nicht an Redundanz gebunden: Safety Integrated-Technologie bietet Sicherheit auch mit Single-Systemen

■ Redundanzen dienen der Verfügbarkeit

■ Redundanzauswahl passend zur Safety Instrumented Function (SIF)

■ Peripherie und Feldgeräteredundanz unabhängig von CPU-Redundanz

■ Kein zeitbeschränkter Sicherheitsbetrieb bei Komponentenausfall ("Degraded Mode")

G_P

CS

7_X

X_0

0367

PA Link

PA Link

PROFIBUS DP 2oo3 1oo2

© Siemens AG 2014

Safety Integrated-Feldbustechnologie 13

Safety Integrated-FeldbustechnologiePROFIsafe – Sichere Kommunikation via PROFIBUS oder PROFINET

Das PROFIsafe-Profil ermöglicht die sicherheitsgerichtete Kommunikation zwischen dem Automatisierungssystem (Controller) und der Prozessperipherie sowohl über PROFIBUS als auch über PROFINET. Die Entscheidung für die Feldkom-munikation via PROFINET IO oder PROFIBUS DP/PA hat wesent-lichen Einfluss auf die Architektur des sicherheitstechnischen Systems.

Das PROFIsafe-Profil ist als zusätzliche Softwareschicht in den Geräten/Systemen implementiert, ohne die Kommunikations-mechanismen von PROFIBUS oder PROFINET zu verändern. Die Telegramme werden mit PROFIsafe um zusätzliche Infor-mationen erweitert, anhand denen die PROFIsafe-Kommuni-kationspartner Übertragungsfehler wie Verzögerung, falsche Abfolge, Wiederholung, Verlust, Fehladressierung oder Datenverfälschung erkennen und kompensieren können. Dazu werden in jedem Kommunikationsteilnehmer die in der Tabelle dargestellten Fehlererkennungsmaßnahmen ausge-führt und kontrolliert.

Die PROFIsafe-Kommunikation entspricht Normen und Sicherheitsanforderungen bis SIL 3.

Standard- und sicherheitsgerichtete Daten werden mit PROFIsafe über dieselbe Busleitung übertragen. Eine kollisionsfreie Kommunikation ist über ein Bussystem mit medienunabhängigen Netzkomponenten möglich.

PROFIsafe-Fehlererkennungsmaßnahmen der Kommunikationsteilnehmer

Ausführliche Informationen zu PROFIBUS im Internet: www.siemens.de/profibus

Ausführliche Informationen zu PROFINET unter: www.siemens.de/profinet

Maßnahme

Fehler Laufende Nummer

Zeiterwartung mit Quittierung

Kennung für Sender und Empfänger

Datensicherung CRC

Wiederholung 4

Verlust 4 4

Einfügung 4 4 4

Falsche Abfolge 4

Datenverfälschung 4

Verzögerung 4

Kopplung von sicherheitsgerich-teten Meldungen und Standard-Meldungen (Masquerade)

4 4 4

FIFO-Fehler 4

© Siemens AG 2014

http://www.siemens.de/profibus

http://www.siemens.de/profinet

Safety Integrated-Feldbustechnologie14

Sicherheitsgerichtete Kommunikation via PROFIBUS

In der Feldebene kommunizieren dezentrale Peripheriegeräte wie Remote I/O-Stationen mit ihren I/O-Baugruppen, Trans-mitter, Antriebe, Ventile oder Bedienterminals über ein leis-tungsfähiges Echtzeit-Bussystem mit den Controllern. Diese Kommunikation ist geprägt durch

• Zyklische Übertragung von Prozessdaten sowie • Azyklische Übermittlung von Alarmen, Parametern und

Diagnosedaten.

Der PROFIBUS, der mit einem Kommunikationsprotokoll die schnelle Kommunikation mit den intelligenten dezentralen Peripheriegeräten (PROFIBUS DP) sowie Kommunikation und gleichzeitige Energieversorgung für Transmitter und Aktua-toren (PROFIBUS PA) ermöglicht, ist dafür prädestiniert. Er ist einfach, robust und zuverlässig, kann online um neue dezentrale Komponenten erweitert werden und lässt sich in Standardumgebungen ebenso einsetzen wie in explosions-gefährdeten Bereichen.

Zudem bietet er vielfältige Möglichkeiten für die Kommunika-tions- und Leitungsdiagnose sowie für die Diagnose der ange-schlossenen intelligenten Feldgeräte. Darüber hinaus ist er voll in das globale Asset Management des Prozessleitsystems SIMATIC PCS 7 eingebunden.

Durch den PROFIBUS wird die Koexistenz von Feldgeräten unterschiedlicher Hersteller an einem Strang (Interoperabili-tät) ebenso unterstützt wie der vom Hersteller unabhängige Austausch von Geräten einer Profil-Familie.

Für die Prozessautomatisierung sind neben all diesen Eigenschaften insbesondere folgende PROFIBUS-Funktionen relevant:

• Einbindung bereits installierter HART-Geräte• Redundanz• Sicherheitsgerichtete Kommunikation mit PROFIsafe bis

SIL 3 nach IEC 61508• Uhrzeitsynchronisation• Zeitstempelung

Generell wird zwischen folgenden zwei Aufbauvarianten differenziert (siehe Bild):

• Einkanaliger, nicht-redundanter Aufbau • Redundanter, hochverfügbarer und fehlertoleranter

Aufbau

Beispiele für sicherheitsgerichtete Aufbauvarianten mit PROFIBUS

F-BaugruppenF-Baugruppen

Active FieldSplitter

Active Field Distributors

F- und Standardbaugruppen


Flexible Modular Redundancyauf Baugruppen- oder Geräteebene


F- und Standard-baugruppen

F- und Standardmodule


Baugruppen- oderKanal-Redundanzüber mehrereseparate Stationen

PA Link

PA Linkmit redundantenPA Kopplern

PA Linkmit redundantenPA Kopplern

PA Link

Y-Link

Dezentrale Peripherie unddirekte Feldbus-Anbindung

Direkte Feldbus-Anbindung Dezentrale Peripherie

Redundanter, hochverfügbarer und fehlertoleranter Aufbau

Einkanaliger, nicht-redundanter Aufbau


ET 200MET 200M

ET 200MG

_PC

S7_

XX

_001

30

ET 200M

ET 200iSP

ET 200iSP

PROFIBUS PA

ET 200S

ET 200S

ET 200M

AS Single Station AS Redundancy Station AS Redundancy Station

PROFIBUS DP

PROFIBUS PA

PROFIBUS PA

ET 200pro

© Siemens AG 2014


In den einzelnen Architekturebenen (Controller, Feldbus, I/O-Peripherie) sind in Abhängigkeit von der eingesetzten I/O-Peripherie (Remote I/O-Stationen ET 200M, ET 200iSP, ET 200S, ET 200pro oder PROFIBUS PA-Geräte ab PA-Profil 3.0) die im Bild dargestellten Projektierungsalternativen ver-fügbar.

Mit Hilfe von Feldbustrennübertragern (Koppler RS 485-iS) und der elektrischen Übertragungstechnik RS 485-iS lässt sich der PROFIBUS DP auch als eigensicherer Feldbus bis in die Ex-Zone 1 oder 21 führen.

Der für die direkte Einbindung von Sensoren und Aktoren entwickelte Feldbus PROFIBUS PA wird über einen Netz-übergang in einfacher oder redundanter Ausführung in den PROFIBUS DP integriert. Mit einem einfachen Netzübergang kann ein PROFIBUS PA in Linien- oder Baumstruktur an einem einfachen oder redundanten PROFIBUS DP realisiert werden. Höhere Verfügbarkeitslevel erreicht der redundante Netz-übergang in Verbindung mit einer Linien- oder Ringstruktur. Eine Konfiguration mit redundantem Netzübergang und Ring-struktur ist in der Lage, Einzelfehler wie den Ausfall eines DP/PA-Kopplers oder die Unterbrechung der Busleitung zu tolerieren.

Aktive Feldverteiler

Bei all diesen Konfigurationen können bis zu 31 PA-Geräte über aktive Feldverteiler AFD4, AFD8 oder AFDiS in das PROFIBUS PA-Segment integriert werden. Die Anzahl der Feld-verteiler pro Segment ist limitiert auf bis zu 8 AFD4/AFD8, bis zu 5 AFDiS oder bis zu 5 AFDiS und AFD4/AFD8 im Mix. Über seine kurzschlussfesten Stichleitungsanschlüsse kann ein AFD4 bis zu 4, ein AFD8 bis zu 8 und ein AFDiS bis zu 6 Feldgeräte einbinden.

Aktive Feldverteiler AFD4/AFD8 sind in Betriebsumgebungen bis Ex-Zone 2/22 einsetzbar, aktive Feldverteiler AFDiS in Betriebsumgebungen bis Ex-Zone 1/21. Die AFDiS-Stich-leitungen können für den Anschluss entsprechend geeigneter Geräte bis in Zone 0/20 verlegt werden.

© Siemens AG 2014


Sicherheitsgerichtete Kommunikation via PROFINET

Das auf den internationalen Standards IEC 61158 und IEC 61784 basierende PROFINET vereint die Vorzüge des offe-nen Netzwerk-Standards Ethernet und des Feldbussystems PROFIBUS. PROFINET steht für höchste Transparenz, offene IT-Kommunikation, Netzwerksicherheit und Echtzeitkommu-nikation bis in die Feldebene.

Die sicherheitsgerichtete Kommunikation basiert auf dem PROFIsafe-Profil und ist primär auf die PROFINET IO-Kommuni-kation zwischen Automatisierungssystem (Controller) und Prozessperipherie fokussiert.

Sicherheitsgerichtete SIMATIC PCS 7 Automatisierungs-systeme der Baureihe S7-400 sind via PROFINET IO einfach und effektiv mit Remote I/O-Stationen ET 200M vernetzbar. Im Automatisierungssystem (Controller) steht dafür die PROFINET-Schnittstelle der CPU zur Verfügung. Die Remote I/O-Stationen ET 200M können entweder direkt über das Interfacemodul IM 153-4 PN High Feature oder über SCALANCE X-Switches in PROFINET IO eingebunden werden.

Aufbauend auf den Topologien Linie, Stern, Baum und Ring sind vielfältige Netzkonfigurationen realisierbar. Als Netz-komponenten werden Industrial Ethernet Produkte einge-setzt, z. B. SCALANCE X-Switches und Medienkonverter, FastConnect-Verbindungselemente sowie elektrische und optische Übertragungsmedien.

Unter dem Aspekt der Verfügbarkeit ist der Ring sowohl an der AS Single Station (F-System) als auch an der AS Redundancy Station (FH-System) die erste Wahl. An der AS Single Station (F-System) bewirkt die Medienredundanz des Ringes, dass eine Unterbrechung des Busses oder der Ausfall eines Teilneh-mers nicht zu einem Ausfall des gesamten Segments führt.

Sicherheitsgerichtete PROFINET IO-Kommunikation mit Medienredundanz

Mit einem PROFINET-Ring an einer AS Redundancy Station (FH-System) ist jedoch der höchste Verfügbarkeitslevel er-reichbar. Die als Systemredundanz bezeichnete Form der PROFINET IO-Kommunikation ermöglicht hier, dass die I/O-Geräte über das topologische Netz eine Kommunikations-verbindung mit jeder der beiden CPUs aufbauen. Im Gegen-satz zur einseitigen I/O-Geräte-Anbindung an nur einer CPU führt ein CPU-Ausfall dann nicht automatisch zum Ausfall der angebundenen I/O-Geräte.

Sicherheitsgerichtete PROFINET IO-Kommunikation mit Systemredundanz

SCALANCE X

G_P

CS

7_X

X_0

0325

ET 200M

ET 200MET 200M

ET 200M

AS Single Station mit PROFINET-CPU

SCALANCE XG

_PC

S7_

XX

_003

24

ET 200M

ET 200MET 200M

ET 200M

AS Redundancy Station mit PROFINET-CPU

© Siemens AG 2014


Sicherheitsgerichtete SIMATIC Controller

Für kritische Anwendungen, bei denen ein Störfall zur Gefähr-dung von Menschenleben, zu Schäden an der Anlage oder zu Umweltschäden führen kann, werden sicherheitsgerichtete SIMATIC Controller eingesetzt. Im Zusammenwirken mit den sicherheitsgerichteten F-Baugruppen der dezentralen I/O-Peripheriesysteme ET 200 oder direkt via Feldbus ange-bundenen sicheren Transmittern erkennen sie sowohl Fehler im Prozess als auch eigene, interne Fehler und überführen die Anlage im Fehlerfall automatisch in einen sicheren Zustand.

Für die Realisierung sicherheitstechnischer Applikationen in der Prozessautomatisierung sind die sicherheitsgerichteten Controller der Baureihe SIMATIC S7-400 prädestiniert. Sie sind multitasking-fähig, d. h. mehrere Programme können zeit-gleich in einer CPU ablaufen – BPCS (Standard)-Applikationen ebenso wie sicherheitsgerichtete Applikationen. Dabei sind die Programme rückwirkungsfrei, d. h. Fehler in BPCS-Applika-tionen haben keine Auswirkung auf sicherheitsgerichtete Applikationen und umgekehrt. Auch spezielle Tasks mit sehr kurzen Reaktionszeiten lassen sich realisieren.

Redundanzkonfigurationen mit zwei nach dem 1-von-2-Prin-zip arbeitenden CPUs erhöhen zudem die Verfügbarkeit. Zwei identisch aufgebaute Teilsysteme, die zur Optimierung der EMV-Eigenschaften galvanisch voneinander getrennt sind, werden via Lichtwellenleiter miteinander synchronisiert. Vom aktiven Teilsystem wird im Fehlerfall stoßfrei auf das Reserve-system umgeschaltet. Beide Teilsysteme lassen sich auf einem gemeinsamen Baugruppenträger oder räumlich bis zu 10 km voneinander getrennt montieren. Die räumliche Trennung bringt zusätzlichen Sicherheitsgewinn bei extremen äußeren Einwirkungen in der lokalen Umgebung des aktiven Teil-systems, z. B. durch Feuer.

Für kleinere prozesstechnische Sicherheitsapplikationen, z. B. Brennersteuerungen, können auch sicherheitsgerichtete Controller der Baureihe S7-300 genutzt werden. Diese Controller werden ansonsten vorwiegend in sicherheits-gerichteten Steuerungen der Fertigungsautomatisierung ver-wendet.

Alle genannten Controller sind vom TÜV zertifiziert und erfüllen Sicherheitsanforderungen bis SIL 3 gemäß IEC 61508. Sie sind in der Lage, BPCS- und Sicherheitsfunktionen parallel mit einer CPU zu bearbeiten. Eine gegenseitige Beeinflussung bei der Bearbeitung wird dadurch verhindert, dass sicherheits-gerichtete und BPCS-Programme strikt voneinander getrennt bleiben und der Datenaustausch über spezielle Konvertie-rungsbausteine erfolgt. Die Sicherheitsfunktionen werden durch redundante, diversitäre Befehlsverarbeitung zweimal in verschiedenen Prozessorteilen einer CPU abgearbeitet. Mögliche Fehler erkennt das System beim anschließenden Vergleich der Ergebnisse.

Auf verschiedenen Controllern einer Anlage ablaufende Sicherheitsprogramme können auch über den Anlagenbus Industrial Ethernet sicherheitsgerichtet miteinander kommu-nizieren. Mögliche Kommunikationspartner sind dabei die Controller der beiden Baureihen SIMATIC S7-400 und S7-300.

I/O-Anschluss via PROFIBUS DP

Die dezentrale Prozessperipherie lässt sich entweder direkt oder über einen unterlagerten Feldbus PROFIBUS PA in ein PROFIBUS DP-Segment einbinden. An einem sicherheits-gerichteten Automatisierungssystem SIMATIC S7-400 (F/FH) sind jeweils mehrere PROFIBUS DP-Segmente mit dezentraler Prozessperipherie betreibbar.

Je nach Typ sind ein oder zwei PROFIBUS DP-Schnittstellen bereits in jeder CPU des Automatisierungssystems integriert. Mit additiven PROFIBUS DP-Anschaltungen können pro CPU zusätzlich bis zu vier PROFIBUS DP-Schnittstellen projektiert werden.

I/O-Anschluss via PROFINET (PN)

Sicherheitsgerichtete Automatisierungssysteme SIMATIC S7-400 (F/FH) sind via PROFINET IO einfach und effektiv mit Remote I/O-Stationen vernetzbar, z. B. mit ET 200M. Dafür ist aufseiten des Automatisierungssystems ausschließlich die in der CPU integrierte PROFINET-Schnittstelle (2 Port-Switch) nutzbar.

Konfigurationen mit redundanten Automatisierungssyste-men und PROFINET IO-Kommunikation "Systemredundanz" erreichen die höchste Verfügbarkeit bei minimalen Fehler-reaktionszeiten. Dabei baut jedes I/O-Gerät über das topologi-sche Netz eine Kommunikationsverbindung mit jeder der beiden CPUs des redundanten Automatisierungssystems auf.

© Siemens AG 2014


Controller-Baureihe SIMATIC S7-400

Sicherheitsgerichtete Controller der Baureihe SIMATIC S7-400 sind sehr robust und zeichnen sich durch eine hohe Verarbei-tungs- und Kommunikationsleistung aus. Je nach Konfigura-tion lassen sie sich entweder mit einer CPU (einkanalig) oder mit zwei redundanten CPUs betreiben.

Im Kontext von SIMATIC PCS 7 sind sie als fertig assemblierte und getestete AS-Bundles beziehbar. Diese sind kategorisier-bar als:

• AS Single Station mit nur einer CPU (sicherheitsgerichtet):AS 410F, AS 412F, AS 414F, AS 416F und AS 417F

• AS Redundancy Station mit zwei redundanten CPUs (sicherheitsgerichtet und fehlertolerant):AS 410FH, AS 412FH, AS 414FH, AS 416FH und AS 417FH

In den sicherheitsgerichteten AS-Bundles ist die Controller-Hardware mit den Sicherheitsfunktionen von S7 F Systems kombiniert.

Durch Auswahl vorkonfigurierter Bestelleinheiten lässt sich die Ausstattung der AS-Bundles sowie deren Bestellnummer interaktiv festlegen. Ein in der Industry Mall im Internet (www.siemens.com/industrymall) angebotener Konfigurator unterstützt Sie dabei.

Redundancy Station AS 410FH

AS 410F/FH

Die ab SIMATIC PCS 7 V8.0+SP1 einsetzbaren Automatisie-rungssysteme AS 410F/FH sind exklusiv für das Prozessleit-system SIMATIC PCS 7 entwickelt. Ihr Herzstück ist die inno-vative CPU 410-5H Process Automation, deren Automatisie-rungsleistung mit Expansion Cards für 100 PO, 500 PO, 1 000 PO, 1 600 PO und 2 000 PO (PO 2k+) abgestuft werden kann.

Diese ist mit ihrer leistungsstarken Hardware und optimierter Firmware V8.0 in der Lage, das gesamte Leistungsspektrum der über den CPU-Typ skalierbaren AS 412F/FH, AS 414F/FH, AS 416F/FH und AS 417F/FH abzubilden. Sie ist mit je einer Schnittstelle für PROFINET IO (2-Port-Switch) und PROFIBUS DP ausgestattet. Jeweils 16 MByte Arbeitsspeicher für Programm und Daten sowie 48 MByte Ladespeicher sind bereits integriert. Zwei vorbereitete Steckplätze ermöglichen die Synchronisation zweier redundanter Teilsysteme über Sync-Module und Sync-Leitungen (LWL).

Weitere Merkmale• Zykluszeit bis 10 ms/9 Process Tasks • Bis zu 7 500 I/Os an DP- und PN-Schnittstelle (je 16 KByte

für Ein- und Ausgänge)• Leiterplattenschutz durch Beschichtung

(Conformal Coating)• Hochpräzise Zeitstempelung • Versenkter RESET-Taster• Voreingestellte Hardwareparameter (PCS 7 Skinning)

Die Bestelleinheiten der AS-Bundles sind auch im SIMATIC PCS 7-Katalog ST PCS 7 tabellarisch dargestellt. Einzelkomponenten können in den Katalogen ST PCS 7 und ST 70 ausgewählt werden. Beide Kataloge sind über das Internet verfügbar unter: www.siemens.de/simatic/druckschriften

© Siemens AG 2014

http://www.siemens.com/industrymall

http://www.siemens.de/simatic/druckschriften


CPU-Typ

CPU 410-5HProcess Automation

CPU 412-5HPN/DP

CPU 414-5HPN/DP

CPU 416-5HPN/DP

CPU 417-5HPN/DP

Bestandteil der AS-Bundles AS 410F (1 ×) / AS 410FH (2 ×)

AS 412F (1 ×) / AS 412FH (2 ×)

AS 414F (1 ×) / AS 414FH (2 ×)

AS 416F (1 ×) / AS 416FH (2 ×)

AS 417F (1 ×) / AS 417FH (2 ×)

Aufbautechnik S7-400 mit dezentraler I/O-Peripherie

Ladespeicher, RAM (integriert/Memory Card)

48 MByte / – 512 KByte /bis 64 MByte

512 KByte /bis 64 MByte

1 MByte /bis 64 MByte

1 MByte /bis 64 MByte

Arbeitsspeicher

■ gesamt■ für Programm■ für Daten

32 MByte16 MByte16 MByte

1 MByte512 KByte512 KByte




Bearbeitungszeit 7,5 ns 31,25 ns 18,75 ns 12,5 ns 7,5 ns

Feldbusanschluss PROFIBUS (DP), PROFINET (PN)

Integrierte Schnittstellen

■ Anzahl und Typ■ Anzahl DP-Stränge■ Anzahl DP Slaves■ Anzahl PROFINET IO-Geräte

2 (DP und PN)196 (DP)250

3 (MPI/DP, DP, PN)232 (MPI/DP); 64 (DP) 256

3 (MPI/DP, DP, PN)232 (MPI/DP); 96 (DP)256



Abmessungen (B × H × T) in mm

50 × 290 × 219

© Siemens AG 2014


Controller-Baureihe SIMATIC S7-300

Die SIMATIC Controller S7-300F sind sehr robust und kompakt aufgebaut. Sie werden nur in einer einkanaligen Aufbau-variante mit einer CPU angeboten. Hochverfügbare Controller mit redundanten CPUs stehen in dieser Baureihe nicht zur Ver-fügung.

Durch Kombination der zwei CPU-Leistungstypen S7-315F und S7-317F mit unterschiedlichen Feldbusschnittstellen (DP oder PN/DP) ergibt sich ein 4 Controller umfassendes Produktspektrum, das mit dem derzeit leistungsstärksten Controller S7-319F-3 PN/DP nach oben abgerundet wird (siehe Tabelle unten).

Controller mit CPU S7-315F-2 DP oder S7-317F-2 DP sind aus-schließlich für die Feldbus-Kommunikation via PROFIBUS DP ausgelegt.

Controller mit CPU S7-315F-2 PN/DP, S7-317F-2 PN/DP oder S7-319F-3 PN/DP unterstützen zusätzlich den in der Ferti-gungsautomatisierung bereits etablierten Standard PROFINET.

SIMATIC Controller S7-300F

Sie können die S7-300F CPUs zentral mit den sicherheits-gerichteten F-Baugruppen des I/O-Peripheriesystems ET 200M erweitern. Eine dezentrale Erweiterung ist mit Remote I/O-Stationen und sicherheitsgerichteten F-Baugruppen/-Modulen der I/O-Peripheriesysteme ET 200M, ET 200S, ET 200pro und ET 200eco möglich.

CPU-TypCPU 315F-2 DP

CPU 315F-2 PN/DP

CPU 317F-2 DP

CPU 317F-2 PN/DP

CPU 319F-3 PN/DP

Aufbautechnik S7-300 mit dezentraler I/O-Peripherie oder zentraler, sicherheitsgerichteter I/O-Peripherie

Ladespeicher (MMC), max. 8 MByte

Arbeitsspeicher 384 KByte 512 KByte 1,5 MByte 1,5 MByte 2,5 MByte

Bearbeitungszeit 0,12 μs 0,12 μs 0,04 μs 0,04 μs 0,01 μs

Feldbusanschluss PROFIBUS (DP) PROFIBUS (DP), PROFINET (PN)

PROFIBUS (DP) PROFIBUS (DP),PROFINET (PN)

PROFIBUS (DP),PROFINET (PN)

Integrierte Schnittstellen■ Anzahl und Typ■ Anzahl DP-Stränge■ Anzahl DP-Slaves

■ Anzahl PROFINET IO-Geräte

2 (MPI und DP)1124

–

2 (DP/MPI und PN)1124

128

2 (DP/MPI und DP)2124 (DP/MPI)/124 (DP)–

2 (DP/MPI und PN)1124

128

3 (DP/MPI, DP, PN)2124 (DP/MPI)/124 (DP)256

Abmessungen (B × H × T) in mm 40 × 125 × 130 40 × 125 × 130 80 × 125 × 130 40 × 125 × 130 120 × 125 × 130

© Siemens AG 2014


Vielseitige dezentrale I/O-Peripheriesysteme

Die dezentralen Peripheriesysteme des Safety Integrated Systems lassen sich wie folgt differenzieren:

• ET 200M: Modulare Peripherie für hochkanalige Anwen-dungen mit sicherheitsgerichteten Signalbaugruppen (F-DI, F-DO, F-AI), SIL 2/SIL 3; Schutzart IP20

• ET 200iSP: Modulare, eigensichere I/O-Peripherie mit sicherheitsgerichteten Elektronikmodulen (F-DI Ex, F-DO Ex, F-AI Ex), SIL 3, Schutzart IP30

• ET 200S: Feinmodulare Peripherie mit sicherheitsgerichte-ten Elektronikmodulen (F-DI, F-DO) und sicherheitsgerich-teten Motorstartern, SIL 2/SIL 3; Schutzart IP20

• ET 200pro: Modulare, sehr kompakte Peripherie mit sicher-heitsgerichteten Elektronikmodulen (F-DI, F-DI/F-DO), SIL 2/SIL 3; F-Switch zum Abschalten von Standard-peripherie und Ansteuern von Motorschaltern; Schutzart IP65/66/67

Die Sicherheitsfunktionen der SIMATIC Controller sind perfekt auf die sicherheitsgerichteten F-Baugruppen/-Module dieser Peripheriesysteme abgestimmt. Mit dem SIMATIC Selection Tool lässt sich jede ET 200-Station schnell und einfach zusam-menstellen. Es kennt die Projektierungsregeln und unterstützt per Dialog die Auswahl aller Komponenten und des dazu passenden Zubehörs.

Sicherheitsgerichtete Prozessperipherie in explosionsfähigen Gas- und Staubatmosphären

Das SIMATIC Selection Tool ist über das Internet verfügbar:www.siemens.de/tia-selection-tool

Umfassende Informationen zu allen dezentralen I/O-Peripheriesystemen ET 200 siehe unter www.siemens.com/et200

FM/UL

ATEX

ATEX

FM/UL

Zone 2 Zone 1 Zone 0

Class I Zone 2 Class I Zone 1 Class I Zone 0

Zone 22 Zone 21 Zone 20

Class II Zone 2 Class II Zone 1 Class II Zone 0Staub

Gas

Prozessleitsystem

Feldbus-Trennübertrager1)

Explosionsgefährdeter Bereich

Aktoren/Sensoren

Aktoren/Sensoren

Aktoren/Sensoren

PA Link/FF Link1)

Aktoren/Sensoren

Aktoren/Sensoren

1) Staub-Atmosphäre: Installation der Komponenten immer in einem Gehäuse in Schutzart IP6x2) Mit DC 10 A Standard Power Supply3) Erfüllt auch FM/UL nach Class I Division 2

S7-4002)

S7-4002)

ET 200S1) SIMOCODE pro1)

ET 200iSP1) 3)

Industrial Ethernet

PROFIBUS DP-iS

PROFIBUS PA/FF H1

ET 200M1)

Ex e, Ex d

Ex i, Ex e, Ex d

Ex i

AFDiS

Ex i, Ex e

PROFIBUS

PROFINET

HART

ET 200M1)

Ex i, Ex e, Ex d

HART

HART

G_P

CS

7_X

X_0

0368

© Siemens AG 2014

http://www.siemens.de/tia-selection-tool

http://www.siemens.com/et200


Die im Folgenden dargestellten I/O-Peripheriesysteme ET 200M und ET 200iSP sind besonders relevant für die Reali-sierung sicherheitstechnischer Applikationen in der Prozess-industrie.

1) als SIPLUS extreme-Komponente auch für erweiterten Temperaturbereich -40/-25°C bis +60/+70°C und aggressive Atmosphäre/Betauung

Sicherheitsgerichtete dezentrale I/O-Peripheriesysteme

ET 200M ET 200iSP

Gerätemerkmale

Schutzart IP20 IP30

Einsatz im Ex-Bereich Zone 2 und 22; angeschlossene Sensoren/Aktoren auch in Zone 1 und 21

Zone 1 und 21; angeschlossene Sensoren/Aktoren auch in Zone 0 und 20

Temperaturbereich 0 ... +60 °C1) -20 ... +70 °C

Schwingungsfestigkeit 1 g 1 g

Redundanz ■ Stromversorgung■ PROFIBUS-Interface■ Baugruppenkanal (Baugruppen in getrennten Sta-

tionen)

■ Stromversorgung■ PROFIBUS-Interface

Online-Änderungsfunktionen ■ Station hinzufügen■ I/O-Baugruppen zur Station hinzufügen■ Umparametrieren von I/O-Baugruppen■ Parametrieren angeschlossener HART-Geräte über SIMATIC PDM

Anzahl I/O-Baugruppen/-module max. 12 max. 32

Mischbarkeit Standard- und F-Baugruppen/Module

Stationsweise am PROFIBUS sowie innerhalb einer Station

Stationsweise am PROFIBUS sowie innerhalb einer Station

Zeitstempelfunktionalität ja ja

F-Baugruppen/-Module

DI 12/24 × DC 24 V, 4/8 × NAMUR [EEx ib] 4/8 × NAMUR Ex

DO 10 × DC 24 V/2 A, 8 × DC 24 V/2 A 4 × DC 17,4 V/40 mA Ex

AI 3/6 × 0 ... 20 mA oder 4 … 20 mA HART, 15 Bit + Vorzeichen

4 × 0 ... 20 mA oder 4 … 20 mA Ex HART, 15 Bit + Vorzeichen

PROFIBUS-Anschluss

Interfacemodul IM 153-2 High Feature IM 152-1

PROFINET-Anschluss

Interfacemodul IM 153-4 PN High Feature –

© Siemens AG 2014


SIMATIC ET 200M

Aufbau ET 200M mit Trennbaugruppe

Aufbau ET 200M

Eine ET 200M-Station kann bis zu 12 I/O-Baugruppen in S7-300-Aufbautechnik aufnehmen. Bei Verwendung aktiver Busmodule lassen sich Baugruppen im laufenden Betrieb tauschen und erweitern (Hot Swapping).

Die folgenden sicherheitsgerichteten F-Baugruppen sind in Anwendungen bis SIL 3 einsetzbar und dabei in einer Station ohne Trennbaugruppe uneingeschränkt mit Standardbaugruppen mischbar:

• SM 326 F-DI 24 × DC 24 V (6ES7326-1BK02-0AB0)• SM 326 F-DO 10 x DC 24 V, 2 A (6ES7326-2BF10-0AB0)• SM 326 F-DO 8 x DC 24 V, 2 A (6ES7326-2BF41-0AB0)• SM 336 F-AI HART 6 x 0/4 … 20 mA (6ES7336-4GE00-

0AB0)

Wird eine SM 326 F-DI NAMUR in SIL 3-Anwendungen einge-setzt, ist bei gemischtem Aufbau mit Standardbaugruppen immer eine Trennbaugruppe erforderlich.

Für SIL3-Anwendungen mit weiteren F-Baugruppen wird unter folgenden Bedingungen ebenfalls eine Trenn-baugruppe benötigt:

• Betrieb der F-Baugruppen als zentrale I/O-Peripherie der Controller S7-300F

• Aufbau des PROFIBUS DP mit Kupferkabel• Aufbau des PROFIBUS DP mit Lichtwellenleiter und gemein-

samer Betrieb von F- und Standardbaugruppen in einer ET 200M-Station

Analogeingabebaugruppe F-AI HART für ET 200M (6 x 0/4 ... 20 mA)

Die Trennbaugruppe schützt F-Baugruppen im Fehlerfall vor möglichen Überspannungen. Sie ist jeweils links vor den F-Baugruppen anzuordnen. Bei einem aktiven Rückwandbus, der den Baugruppentausch im Betrieb unterstützt, ist sie auf ein spezielles Trennbusmodul zu stecken.

F-Signalbaugruppen für ET 200M

Die F-Signalbaugruppen von ET 200M (DI/DO/AI) können sowohl interne als auch externe Fehler diagnostizieren. Sie führen Selbsttests durch, z. B. auf Kurzschluss oder Draht-bruch, und überwachen eigenständig die per Parametrierung vorgegebene Diskrepanzzeit.

Die Eingabebaugruppen unterstützen je nach Ausführung die 1oo1- und die 1oo2-Auswertung auf der Baugruppe. Weitere Auswertungen, z. B. die 2oo3-Auswertung bei Analogeingän-gen, nimmt die CPU vor.

Die Digitalausgabebaugruppen ermöglichen bei einem fehler-haften Ausgang das sichere Abschalten über einen zweiten Abschaltweg.

F-Baugruppen

ET 200 Racknur für SIL 3-Betrieb,SIL 2 auch ohne Trenn-baugruppe möglich

ET 200 Rack

Trennbusmodulfür aktivenRückwandbus

Trennbaugruppe zur Trennungvon Standard- und F-Baugruppen

PROFIBUSKupferkabel

PROFIBUSKupferkabeloder Lichtwellenleiter (LWL)

Trenn-baugruppe

IM 153-2

IM 153-2

G_P

CS

7_X

X_0

0128

© Siemens AG 2014


Digitaleingabe Digitalausgabe Analogeingabe

Baugruppentypen SM 326F SM 326F NAMUR [EEx ib]

SM 326F SM 336F HART

Anzahl Ein-/Ausgänge bis zu

24 (1-kanalig bei SIL 2-Sensoren)

12 (2-kanalig bei SIL 3-Sensoren)

potenzialgetrennt in 12er-Gruppen

8 (1-kanalig)

4 (2-kanalig)

kanalweise potenzialgetrennt

10, potenzialgetrennt in 5er-Gruppen

P/P-schaltend

8, potenzial-getrennt in 4er-Gruppen

P/M-schaltend

6 (1-kanalig)

3 (2-kanalig)

15 Bit + Vorzeichen

2- oder 4-Leiter-anschluss

Max. erreichbare Sicherheitsklasse nach IEC 61508/ EN 954-1

1-kanalig/1oo1: SIL 2


(SIL 3 ohne Trennbaugruppe)



SIL 3


SIL 3


SIL 3 (1-kanalig/1oo1 und 2-kanalig/1oo2)


Ein- bzw. Ausgangs-spannung

DC 24 V NAMUR DC 24 V DC 24 V –

Ein- bzw. Ausgangs-strom

– – 2 A pro Kanal bei Signal "1"

2 A pro Kanal bei Signal "1"

4 ... 20 mA oder 0 ... 20 mA

Kurzschlussfeste Geberversorgung

4 für je 6 Kanäle, potenzialgetrennt in 2er-Gruppen

8 für je 1 Kanal, untereinander potenzialgetrennt

– – 6 für je 1 Kanal

Besondere Merkmale Unterstützung der Zeitstempelung (SOE)

Erfassung von Signalen aus dem Ex-Bereich

Parameter "Letzten gültigen Wert hal-ten", kanalweise Passivierung

– HART-Kommunika-tion im Messbereich 4 ... 20 mA

Redundanzbetrieb kanalgranular kanalgranular kanalgranular – kanalgranular

Baugruppen- und Kanaldiagnose

4 4 4 4 4

PROFINET 4 – 4 4 4

Abmessungen B × H × T (in mm)

80 × 125 × 120 80 × 125 × 120 40 × 125 × 120 80 × 125 × 120 40 × 125 × 120

br_safety_2014_de.book Seite 24 Freitag, 15. August 2014 9:38 09

© Siemens AG 2014


Terminalmodule MTA

Terminalmodule MTA

Mit Terminalmodulen MTA (Marshalled Termination Assemblies) können Feldgeräte, Sensoren und Aktoren einfach, schnell und sicher an I/O-Baugruppen der Remote I/O-Stationen ET 200M angeschlossen werden. MTA-Ausführun-gen für Standard-I/O-Baugruppen sind ebenso verfügbar wie für redundante und sicherheitsgerichtete I/O-Baugruppen.

Für den Sensor/Aktor-Anschluss an F-Baugruppen der Remote I/O-Stationen ET 200M stehen die in der folgenden Tabelle aufgeführten Terminalmodule MTA zur Verfügung.

1) Dieses Terminalmodul kann keinen DC-24-V-Strom für die Speisung von 4-Leiter-Messumformern liefern. Für die redundante DC 24 V-Versorgung von 4-Leiter-Messumformern via MTA benötigen Sie ein additives Terminalmodul MTA Power Supply DC 24 V.

ET 200Mredundant

ET 200Meinfach

Vorkonfek-tioniertes Kabel mit Frontstecker

MTA

G_P

CS

7_X

X_0

0136

MTA

Artikel-Nr.

MTA-Typ Ein-/Ausgangs-bereich

I/O-Redundanz MTA ET 200M-Baugruppe

Verbindungs-kabel

6 Kanäle F AI HART (sicherheitsgerichtet)

4 ... 20 mA (mit/ohne HART-Nutzung) oder

0 ... 20 mA (ohne HART-Nutzung)

4 6ES7650-1AH62-5XX01)

6ES7336-4GE00-0AB0

6ES7922-3BD00-0AU0 (3 m) -3BJ00-0AU0 (8 m)

24 Kanäle F-DI (sicherheitsgerichtet)

DC 24 V 4 6ES7650-1AK11-7XX0

6ES7326-1BK02-0AB0

6ES7922-3BD00-0AS0 (3 m) -3BJ00-0AS0 (8 m)

10 Kanäle F DO (sicherheitsgerichtet)

DC 24 V, 2 A 4 6ES7650-1AL11-6XX0

6ES7326-2BF10-0AB0

6ES7922-3BD00-0AN0 (3 m) -3BJ00-0AN0 (8 m)

10 Kanäle F-DO Relais (sicherheitsgerichtet)

AC 120 ... 230 V, 5 A;

DC 24 V, 5 A

4 6ES7650-1AM31-6XX0

6ES7326-2BF10-0AB0

© Siemens AG 2014


SIMATIC ET 200iSP

Aufbau ET 200iSP

Die Remote I/O-Stationen ET 200iSP können gemäß ATEX-Richtlinie 94/9/EG direkt in den Ex-Zonen 1, 2, 21 oder 22 so-wie in nicht explosionsgefährdeten Bereichen installiert wer-den. Bei der Installation in den Ex-Zonen 1 oder 21 dient der Koppler RS 485-iS als Barriere. Die eigensicheren Sensoren, Aktoren und HART-Feldgeräte lassen sich bei Bedarf auch in Zone 0 oder 20 platzieren.

Dank der modularen Architektur sind ET 200iSP-Stationen flexibel konfigurier- und erweiterbar. Die Verfügbarkeit kann durch redundante Auslegung der druckgekapselten Strom-versorgung und der Interfacemodule erhöht werden.

Als Träger für die unterschiedlichen Modultypen dienen auf einer Profilschiene S7-300 montierbare Terminalmodule. Automatische Steckplatzkodierung und "stehende Verdrah-tung" ermöglichen den einfachen und sicheren Austausch einzelner Module im laufenden Betrieb ("Hot Swapping") ohne Feuerschein. Verdrahtung und Verdrahtungstest sind bereits vorab, ohne die Elektronikmodule möglich.

F-Signalbaugruppe für ET 200iSP

Das Spektrum der Elektronikmodule umfasst sowohl analoge und digitale I/O-Module für die Automatisierung der technolo-gischen Funktionen des Prozesses (Basic Process Control) als auch sicherheitsgerichtete F I/O-Module für die Realisierung von Sicherheitsapplikationen. Die verschiedenen Elektronik-modultypen können innerhalb einer Station gemischt angeord-net werden.

Zwischen Interfacemodul und Abschlussmodul lassen sich bis zu 32 Elektronikmodule stecken. Die Station hat damit eine Breite von 107 cm. Die Anzahl der in einer Station betreibbaren Elektronikmodule kann aber je nach Stromaufnahme der ein-gesetzten Module eingeschränkt sein. Bis zu 16 Elektronik-module sind jedoch ohne Einschränkung steckbar.

F-Signalbaugruppen für ET 200iSP

Die mit Sicherheitsfunktionen ausgestatteten F-I/O-Module realisieren die Sicherheitsapplikationen in Zusammenarbeit mit den sicherheitsgerichteten Controllern (Automatisie-rungssystemen). Die Eingabemodule erfassen die Prozess-signale, werten sie aus und bereiten sie für die Weiterverar-beitung durch das Automatisierungssystem auf. Die Ausgabe-module wandeln die von den Automatisierungssystemen aus-gegebenen sicherheitsgerichteten Signale so um, dass sie zur Ansteuerung der angeschlossenen Aktoren geeignet sind.

Terminalmodulefür Elektronikmodule

Elektronikmodule EEx ib

Interface-Modul

DC 24 V

PA-Erdanschluss

Terminalmodulfür Interface-Modul

Anschluss PROFIBUS DPEEx ib eigensicher

Anschluss-klemmen EEx ia/ib

Power SupplyEEx d

Terminalmodul für Power Supply

© Siemens AG 2014


Übersicht F-Signalbaugruppen für SIMATIC ET 200iSP

Sichere Prozessinstrumente und Prozessgeräte zum Anschluss an Remote I/Os ET 200M

Für den Betrieb an Remote I/Os ET 200M bietet Siemens derzeit folgende sichere Prozessinstrumente/-geräte an:

Durchflussmesssystem SITRANS FC430 compact

Digitaleingabe Digitalausgabe Analogeingabe

Baugruppentypen 8 F-DI Ex NAMUR 4 F-DO Ex DC 17,4 V/40 mA 4 F-AI Ex HART

Anzahl Ein-/Ausgänge bis zu

8 (1-kanalig)

4 (2-kanalig)

4, P/P-schaltend 4 (mit 1 Modul: 1-kanalig)4 (mit 2 Modulen: 2-kanalig)

15 Bit + Vorzeichen

2- oder 4-Leiteranschluss

Max. erreichbare Sicherheitsklasse nach IEC 61508/EN 954-1



SIL 3 SIL 3 mit■ 1 Modul: 1oo1-Auswertung■ mehreren Modulen: 1oo2- oder

2oo3-Auswertung

Ein- bzw. Ausgangsspannung NAMUR 17,4 V –

Ein- bzw. Ausgangsstrom – 40 mA pro Kanal 4 ... 20 mA oder 0 ... 20 mA

Kurzschlussfeste Geberversorgung 8 für je 1 Kanal – 4 für je 1 Kanal

Betriebsumgebung explosionsgefährdete und nicht explosionsgefährdete Bereiche

Besondere Merkmale Unterstützung der Zeit-stempelung

Verdoppelung des Ausgangs-stroms für einen Aktor durch Parallelschaltung zweier Ausgänge

HART-Kommunikation im Mess-bereich 4 ... 20 mA

Baugruppen- und Kanaldiagnose 4 4 4

Abmessungen B × H × T (in mm) 30 × 129 × 136,5 30 × 129 × 136,5 30 × 129 × 136,5

Prozessinstrument/Prozessgerät

Safety Integrity Level (SIL)

Druckmessung

SITRANS P DS III analog/HART SIL 2

Temperaturmessung

SITRANS TW Series SIL 1

SITRANS TH200/TH300 SIL 2

SITRANS TR200/TR300 SIL 2

Durchflussmessung

SITRANS FC430 compact SIL 2

Füllstandmessung

SITRANS LVL200 SIL 2

SITRANS LR250 HART SIL 2

Stellungsregelung

SIPART PS2, 2 Leiter-Ausführung SIL 2

SIPART PS2, 4 Leiter-Ausführung SIL 2

Ausführliche Informationen, Technische Daten und Bestell-daten zu diesen Geräten sind im Internet abrufbar unter: www.siemens.de/prozessinstrumentierung

© Siemens AG 2014

http://www.siemens.de/prozessinstrumentierung


Direkte Geräteanbindung via Feldbus mit hoher Sicherheit und Verfügbarkeit

Beispiel für bisher übliche sicherheitsgerichtete und fehlertolerante PROFIBUS PA-Konfigurationen

Redundante Netzübergänge ermöglichen in Kombination mit einem PROFIBUS PA in Ringstruktur kostengünstigere sicher-heitsgerichtete und fehlertolerante Applikationen als bisher übliche Architekturen (Beispiel Bild links).

Der PROFIBUS PA in Ringstruktur wird dabei über den redun-danten Netzübergang mit zwei redundanten PROFIBUS-Strängen eines S7-400FH-Controllers verbunden. Aktive Feldverteiler AFD4, AFD8 oder AFDiS können über ihre kurz-schlussfesten Stichleitungsanschlüsse bis zu 31 Feldgeräte in diesen PROFIBUS PA-Ring integrieren.

Sicherheitsgerichtete und fehlertolerante Architektur, basierend auf einer PROFIBUS PA-Ringstruktur

Wie im Bild rechts gezeigt, lassen sich sicherheitsgerichtete und fehlertolerante Applikationen so mit vergleichsweise geringem Geräte- und Kabeleinsatz realisieren. Die Konfiguration des Rings ist auch im laufenden Betrieb änderbar. Selbst das kurz-zeitige Auftrennen des Rings zur Einbindung eines weiteren AFD ist ohne Produktionsausfall möglich. Die im redundanten Netzübergang und den aktiven Feldverteilern integrierte Diag-nose erweitert die bestehenden Möglichkeiten der Kommu-nikations- und Leitungsdiagnose und erleichtert die Fehler-lokalisierung bei einem Leitungsbruch. Das Konzept der Flexible Modular Redundancy ist somit bis in die Feldebene realisiert.

Controller S7-400FH

2oo3 1oo2 1oo2

PROFIBUS

G_P

CS

7_X

X_0

0226

PA LinkPA Linkmit redundanten PA Kopplern

Controller S7-400FH

PROFIBUS DP

2oo3

1oo2

AFD AFD AFD

G_P

CS

7_X

X_0

0227

© Siemens AG 2014


Sichere Feldinstrumentierung am PROFIBUS PA

PROFIBUS PA-Geräte zur Realisierung von Sicherheits-abschaltungen

Der digitale Drucktransmitter SITRANS P DSIII ist das erste für SIL 2-Sicherheitsabschaltungen gemäß IEC 61508/ IEC 61511-1 geeignete PROFIBUS PA-Gerät am Markt. Siemens hat hierfür sein Standardmessgerät für Druck, Absolutdruck und Differenzdruck mit einem PROFIsafe-Treiber erweitert.

In einer Sicherheitsapplikation lässt sich der Drucktransmitter via PROFIBUS PA und PROFIsafe mit einem FH-Controller der Baureihe SIMATIC S7-400 verschalten. Vorteile wie direkte Kommunikationsanbindung und Speisung eigensicherer Geräte, hoher Informationsgehalt und Sicherheit der Mess-wertübertragung werden so miteinander kombiniert.

Zum sicheren Abschalten kann der Digitaleingang des elektro-pneumatischen PROFIBUS PA-Stellungsreglers SIPART PS2 PA verwendet werden. Bei redundant diversitäre Auslegung sind auch Messkreise bis Sicherheitsstufe SIL 3 realisierbar.

Mit dem Process Device Manager SIMATIC PDM nehmen Sie den Drucktransmitter SITRANS P DSIII zunächst als reguläres PROFIBUS PA-Gerät in Betrieb. Danach aktivieren Sie die PROFIsafe-Funktionen.

Drucktransmitter SITRANS P DSIII PROFIsafe

Die dazu erforderliche Gerätebeschreibung (DD), das Sicherheitshandbuch sowie weitere Informationen sind im Internet verfügbar unter: www.siemens.com/sitransp

© Siemens AG 2014

http://www.siemens.com/sitransp

Safety Lifecycle Management30

Safety Lifecycle ManagementAnalyse, Realisierung, Betrieb und Wartung

Safety Lifecycle Modell der IEC 61511

In der Prozessindustrie unterliegen Betrieb und Errichtung von Anlagen mit Gefährdungspotenzial der internationalen Norm IEC 61511 – dem Standard für die funktionale Sicherheit sicherheitstechnischer Systeme.

Die Beschreibung der Vorgehensweise zur Realisierung der funktionalen Sicherheit folgt hier dem in die Phasen Analyse, Realisierung und Betrieb gegliederten Sicherheitslebenszyklus (Safety Lifecycle) der Anlage.

In jeder Phase des Safety Lifecycle liegt die Gesamtverantwor-tung beim Ersteller der Anlage, z. B. einem Generalunterneh-mer, der im Auftrag des Endkunden handelt. Durch Vergabe von Arbeitspaketen kann die Verantwortung partiell delegiert werden. Der Lieferumfang der verschiedenen Teilpakete sowie Schnittstellen, Abhängigkeiten und Verantwortlich-keiten müssen aber klar definiert werden.

Der Functional Safety Manager initiiert und kontrolliert alle Aktivitäten des Safety Lifecycle Managements. Er berät den Projektmanager und die anderen Mitglieder des Projektteams in allen Belangen der funktionalen Sicherheit.

Analysephase

Um mögliche Gefahren zu erkennen und deren Risiko zu beur-teilen, sind Prozessanlagen mit Gefährdungspotenzial gezielt zu analysieren. Eine geeignete Methode hierfür ist z. B. die HAZOP-Analyse (Hazard Operational Analysis).

Anhand der per Analyse gewonnenen Erkenntnisse und deren Beurteilung werden die Schutzebenen festgelegt sowie die Sicherheitsaufgaben und -funktionen diesen Schutzebenen zugeordnet. Das sicherheitstechnische System (SIS, Safety Instrumented System) ist dabei eine der Schutz-ebenen.

Ein wesentliches Ergebnis der Analyse ist die Spezifikation der Sicherheitsanforderungen (SRS, Safety Requirement Specification) für das sicherheitstechnische System. Die SRS beschreibt alle Sicherheitsfunktionen (SIF, Safety Instrumented Function) inklusive der an sie gestellten Anfor-derungen und gibt den geforderten Safety Integrity Level (SIL) vor. Der SIL ist ein Maß für die Risikoreduzierung.

Analyse

Realisierung

Betrieb

Gefährdungs- und Risikobeurteilung und Festlegung der Schutzebenen

Verif

izie

rung

Auf

bau

und

Pla

nung

des

Saf

ety

Life

Cyc

le

Man

agem

ent u

nd B

ewer

tung

der

Fun

ktio

nssi

cher

heit

Montage, Inbetriebnahme und Validierung

Betrieb und Wartung

Modifikation

Außerbetriebnahme

Entwurf und Planung des sicherheitstechnischen Systems (SIS)

Spezifikation der Sicherheits-anforderungen (SRS) an das

sicherheitstechnische System (SIS)

Entwurf und Planung anderer Maßnahmen zur Risikominderung

Zuordnung der Sicherheitsaufgaben zu den Schutzebenen

G_P

CS

7_X

X_0

0223

© Siemens AG 2014

Safety Lifecycle Management 31

Dokumente für den Sicherheitsnachweis deren Positionierung im Safety Lifecycle

Realisierungsphase

Die SRS ist die Grundlage für die weitere Anlagenplanung, insbesondere für die Auslegung des sicherheitstechnischen Systems (SIS) und dessen Sicherheitsfunktionen sowie für andere Maßnahmen zur Risikominderung. Sie ist maßgeblich für die Auswahl des SIS sowie der Hard- und Software zur Realisierung der Sicherheitsfunktionen.

Auf Planung und Entwurf folgen Montage, Inbetriebnahme und Validierung der Anlage. Die SRS enthält außer den Sicher-heitsfunktionen und -anforderungen auch die zugehörigen Prüfungen und Prüfkriterien. Damit ist die SRS zugleich Vorlage für die Verifizierung und die Validierung.

Betriebs- und Wartungsphase

Diese Phase umfasst den Betrieb und die Optimierung der Anlage bis zum Zeitpunkt der Außerbetriebnahme.

Dokumentation für den Sicherheitsnachweis

Mit einer einheitlichen, standardisierten Dokumentation las-sen sich Verifikation und Validation des Projekts vereinfachen sowie Umsetzung und Inbetriebnahme beschleunigen.

Generell sind alle Phasen des Safety Lifecycle und die damit verbundenen Tätigkeiten für die funktionale Sicherheit zu dokumentieren. Diese Dokumente (siehe Bild oben) bilden die Basis für den Sicherheitsnachweis der Anlage und der einge-setzten sicherheitstechnischen Systeme. Sie werden für die Abnahme der Sicherheitsfunktionen und des Sicherheits-systems benötigt. Bei einer Modifikation sind alle Phasen des Safety Lifecycle erneut zu durchlaufen und zu dokumentieren.

Safety Lifecycle Services

Mit Safety Lifecycle Services bringt Siemens nicht nur das not-wendige Expertenwissen für den Sicherheitsnachweis ein, sondern auch fortschrittliche Arbeitsmittel und -methoden, die systematische Fehler in allen Projektphasen ausschließen.

Dies ist umso wichtiger, da Fehler in einer frühen Projektphase nachträglich oft nur aufwändig und teuer korrigiert werden können. Zudem muss der Anlagenbetreiber selbst kein Exper-tenwissen aufbauen und permanent neuesten Richtlinien und Technologien anpassen.

Folgende Servicemodule sind verfügbar:

• Management, Beurteilung der "Funktionalen Sicherheit" und Audits

• Aufbau und Planung des SLC (Safety Plan)• Gefährdungs- und Sicherheitsbeurteilung• Zuordnung der Sicherheitsfunktionen zu den Schutz-

ebenen• Spezifikation der Sicherheitsanforderungen (SRS)• Verifikation und Validation (z. B. SIL-Verifikation,

Hardware-/Software-Audit)• Modifikation• Training

65

1

2

3

4

5

6

4321

Verifikation

Risikoanalyse und Zuordnung der Sicherheits-anforderungen

Jede einzelne Phase im Sicherheitslebenszyklus muss verifiziert werden

Spezifikation der Sicherheits- anforderungen für jede SIF

Design und Designverifi-kation der SIF

Installation, Inbetriebnahme und Validierung

Änderungen und Außerinbe-triebnahme

Betrieb und Wartung (inkl. Proof Tests)

Verifikation Verifikation Verifikation

Projekt-Sicherheitsplan

Sicherheitsspezifikation

Engineering Guideline

Pflichtenheft

Testplan

Prozess-sicherheit

Prozess-sicherheit

PLT bzw. Lieferant

PLT bzw. Lieferant

Betrieb Betrieb

Verifikations- und ValidationsplanBeurteilung der funktionalen SicherheitValidation

© Siemens AG 2014

Safety Lifecycle Management32

Sicherheitsfachleute mit zertifizierter Qualifizierung

Inhalt des zertifizierten Ausbildungsprogramms zum SFSP/SFSE

Für die Safety Lifecycle Services setzt Siemens Sicherheits-fachleute mit zertifizierter Qualifizierung ein. Diese haben ein strukturiertes Ausbildungsprogramm zum Siemens Functional Safety Professional (SFSP) oder Siemens Functional Safety Expert (SFSE) absolviert, das Siemens in enger Zusammen-arbeit mit dem TÜV organisiert und durchführt.

An diesem Ausbildungsprogramm können auch Mitarbeiter des Betreibers (Endkunden) sowie Solution Partner (System-integratoren) teilnehmen.

Solution Partner

Um den wachsenden Anforderungen im Bereich der Sicher-heitstechnik gerecht zu werden, setzt Siemens Industry vermehrt auf die Unterstützung durch ausgewählte Solution Partner.

Dies sind hoch qualifizierte Partnerunternehmen, die profes-sionelle Beratung und Dienste für alle relevanten Sicher-heitsaspekte anbieten. Sie sind mit der Sicherheitstechnik in der Prozessindustrie vertraut und haben:

• Know-how über den Safety Lifecycle der IEC 61511• Kenntnisse über Safety Engineering mit S7 F Systems und

SIMATIC Safety Matrix• Umfangreiche Erfahrungen in Projekten mit Sicherheits-

applikationen in der Prozessindustrie

Siemens Beschäftigte

Workshop IEC 61511 – Praktische Anwendung

Workshop PCS 7 Process Safety (F-Technologie), mit Prüfung

Workshop TÜV Functional Safety für die Prozessindustrie, mit Prüfung/Zertifikat

Ausbildung

3 Jahre Erfahrung in Sicherheitstechnik in der Prozessindustrie, Evaluierung von 2 Projekten

SFSP Zertifikat: Siemens Functional Safety Professional (SFSP)

Projekte und Erfahrung

Technische Qualifikation

Systemintegratoren Endkunden

10 Jahre Erfahrung, Evaluierung des SFSE

SFSE Zertifikat: Siemens Functional Safety Expert (SFSE)

Mitarbeiter-wissen

Siemens Functional Safety Expert (SFSE)

Weitere Details zu den Siemens Solution Partnern finden Sie im Internet unter: www.siemens.com/automation/solutionpartner

Weitere Informationen zum Safety Lifecycle Management siehe im Internet unter:www.siemens.com/processsafety

Trainingskurse zur Sicherheitstechnik für die Prozess-automatisierung siehe im Internet unter:www.siemens.de/sitrain

Eine Liste der zertifizierten Solution Partner finden Sie im Internet unter: www.siemens.com/process-safety

© Siemens AG 2014

http://www.siemens.com/automation/solutionpartner

http://www.siemens.com/processsafety

http://www.siemens.de/sitrain

http://www.siemens.com/process-safety

SIMATIC Safety Matrix 33

SIMATIC Safety MatrixDas Safety Lifecycle Management Tool

Safety Matrix Viewer

SIMATIC Safety Matrix

Mit SIMATIC Safety Matrix bietet Siemens ein TÜV-zertifizier-tes Safety Lifecycle Management Tool für Sicherheitsapplika-tionen bis SIL 3 gemäß IEC 61508.

SIMATIC Safety Matrix kann in allen Phasen des Sicherheits-lebenszyklus eingesetzt werden. Die dadurch erzielten Ratio-nalisierungseffekte tragen wesentlich dazu bei, die Inves-titions- und Betriebskosten der Anlage zu senken.

SIMATIC Safety Matrix besteht aus folgenden Einzel-produkten, die sich bezüglich Funktionalität und Anwen-dungsbereich unterscheiden:

• Safety Matrix Editor• Safety Matrix Engineering Tool• Safety Matrix Viewer

Der konsequente Einsatz der SIMATIC Safety Matrix in allen Phasen des Sicherheitslebenszyklus reduziert Investitions- und Betriebskosten. SIMATIC Safety Matrix überzeugt in allen Phasen mit ihren Vorteilen.

Analysephase

SIMATIC Safety Matrix setzt keine Programmierkenntnisse voraus. Sie kann daher von Verfahrenstechnikern, Prüfern und Planern gleichermaßen eingesetzt werden.

Sicherheitsfunktionen werden mit der Cause&Effect-Methode definiert. Die Cause&Effect-Darstellung ist kompakt, über-sichtlich und für alle leicht verständlich.

Realisierungsphase

Die mit SIMATIC Safety Matrix definierten Sicherheitsfunk-tionen können direkt übernommen werden. Es müssen nur noch systemspezifische Einstellungen des Sicherheitssystems SIMATIC S7-400F/FH vorgenommen werden. Planer, Operator und Prüfer haben stets eine identische, allgemein verständ-liche Sicht. Die Darstellung der Sicherheitsfunktionen ist in der Konfiguration, im Betrieb und in der Dokumentation einheit-lich. Im Betrieb werden Signalzustände und Zusatzinforma-tion farblich gekennzeichnet. All dies bewirkt eine deutliche Reduzierung der Engineering-, Test- und Abnahmezeiten.

Betriebsphase

Während des Betriebes stellt die optimierte Bedienerführung der SIMATIC Safety Matrix sicher, dass der Operator schnell und gezielt auf Vorkommnisse reagieren kann. Er hat auch die Möglichkeit, Sensorik und Aktorik zu simulieren, insbesondere im Wartungsfall. Durch den Einsatz des SIMATIC Safety Matrix Viewers können die Stillstandzeiten der Anlage verringert werden.

Vorteile Safety Matrix auf einen Blick

■ Keine Programmierkenntnisse erforderlich

■ Einheitliche Sicht und Verständnis aller Beteiligter

■ Identische Anzeige der Matrix in Konfiguration, Betrieb und Dokumentation

■ Reduzierung von Planungs-, Umsetzungs- und Abnahmezeiten

■ Integrierte Funktionen für Inbetriebsetzung und Wartung

■ Optimale Bedienerführung

■ Reduzierung von Stillstandzeiten

© Siemens AG 2014

SIMATIC Safety Matrix34

SIMATIC Safety Matrix in der Analysephase

In der Analysephase gilt es, bekannte und potenzielle Sicher-heitsrisiken aufzuspüren und zu analysieren, z. B. mit der HAZOP-Methode. Dies dient dazu, nicht tolerierbare Risiken herauszufiltern, die Wahrscheinlichkeit einer Gefährdung zu bewerten und mögliche Folgen abzuschätzen.

Danach erfolgt die Erstellung des Sicherheitskonzeptes der Anlage. Dabei werden die Sicherheitsaufgaben den verschie-denen Schutzebenen der Anlage zugeordnet.

Innerhalb des Sicherheitskonzeptes spielt das Sicherheits-system (Safety Instrumented System SIS) eine wichtige Rolle. Die Definition und die Beschreibung der SIS-Anforderungen in Form einer Spezifikation bildet die Grundlage für die Planung, das Engineering und die Abnahme der Anlage. Da unter-schiedliche Personen in verschiedenen Phasen des Sicher-heitslebenszyklus ihre Arbeit an dieser Spezifikation ausrich-ten müssen, ist es wichtig, die Sicherheitsanforderungen leicht verständlich zu formulieren.

Spezifikation der Sicherheitsanforderungen (SRS)

In der SRS werden die Anforderungen an das Sicherheits-system definiert. Bestandteil der SRS ist die funktionale Beschreibung der Sicherheitsfunktionen sowie aller Rand-bedingungen, die zu ihrer Auslösung führen. Außerdem ist die Bestimmung des Safety Integrity Level (SIL) Gegenstand einer detaillierten Betrachtung jeder einzelnen Sicherheitsfunktion.

1) Demand mode of operation

Sicherheitskonzept und Ebenen einer Anlage

Gefährdungs- und Risiko-beurteilung;Festlegung der Schutzebenen

Zuordnung der Sicherheits-

aufgaben zu den Schutzebenen

Spezifikation der Sicherheits-

anforderungen (SRS) an das sicherheitstech-

nische System (SIS)

Realisierung Betrieb

Safety Integrity Level

Probability of failure on demand (PFD) per year1)

Risk Reduction Factor = 1/PFD

SIL 4 10-5 bis < 10-4 10 000 bis 100 000

SIL 3 10-4 bis < 10-3 1 000 bis 10 000

SIL 2 10-3 bis < 10-2 100 bis 1 000

SIL 1 10-2 bis < 10-1 10 bis 100

Katastrophen-schutz Katastrophenschutz

Passiver Schutz

Aktiver Schutz

Auffangbecken

Überdruckventil, Berstscheibe

Safety System (automatisch)

Safety shutdown

Prozess-wert

Prozessleitsystem

Normales Verhalten

Prozessalarm

Anlagenperso-nal greift ein

Basis-Automatisierung

Safety Instrumented System (SIS)

© Siemens AG 2014


Safety Matrix Editor

Cause&Effect-Matrix

Als eine sehr effektive Möglichkeit zur funktionalen Beschrei-bung von Sicherheitsfunktionen sowie zur Definition von Rand- und Abschaltbedingungen hat sich die Cause&Effect-Methode erwiesen. Die vom American Petroleum Institute in der Richtlinie API RP 14C spezifizierte Methode wird heute in vielen Bereichen der Prozessindustrie praktiziert.

Siemens hat die vom American Petroleum Institute definierte Cause&Effect-Methode in SIMATIC Safety Matrix umgesetzt.

Mit SIMATIC Safety Matrix lassen sich Sicherheitsfunktionen bereits in der Analysephase einheitlich erfassen, beschreiben und für alle Beteiligten verständlich formulieren. Hierfür sind keine speziellen Programmierkenntnisse erforderlich. Daher können auch Verfahrensspezialisten selbst Anforderungen mit SIMATIC Safety Matrix definieren.

Definition eines Causes (Ursache)

Definition der Cause-Verknüpfungen und Funktionen

Die Definition der Ursachen (Causes) erfolgt in den Zeilen der Matrixtabelle. Die von digitalen und analogen Signalen ableit-baren Ursachen können aus bis zu 3 Signalen resultieren. Es lassen sich auch zusätzliche Vorgaben berücksichtigen, z. B. zeitliche Verzögerungen.

Die Auswirkungen (Effects) werden in den Spalten der Matrix-tabelle definiert. Eine Ursache kann sich auf bis zu 4 verschie-dene Aktoren auswirken.

Die Verknüpfung mehrerer Ursachen und die Definition des Verhaltens zwischen den Ursachen und den Auswirkungen erfolgt an den Schnittpunkten (Intersections) der Zeilen und Spalten. Hier wird auch festgelegt, ob eine Quittierung oder ein Rücksetzen erforderlich ist.

Ursachen können außerdem in Auswahlgruppen zusammen-gefasst werden. Auf diese Weise ist beispielsweise eine 2-von-3-Auswahl realisierbar.

© Siemens AG 2014


SIMATIC Safety Matrix in der Realisierungsphase

Die Realisierungsphase startet mit dem Entwurf und der Planung des sicherheitsgerichteten Systems sowie anderer Maßnahmen zur Risikominderung. Im weiteren Verlauf folgen Montage, Inbetriebnahme und Validierung.

Während der Planung erfolgt das Umsetzen der spezifizierten Sicherheitsfunktionen. Bei Verwendung der SIMATIC Safety Matrix liegen die in der Analysephase definierten Sicherheits-funktionen in Form einer Cause&Effect-Matrix vor, die ohne Einschränkungen direkt weiter genutzt werden kann. Die bei konventioneller Vorgehensweise notwendige Konvertierung der in der SRS beschriebenen Sicherheitsfunktionen in eine systemspezifische Programmiersprache entfällt somit. Dies ermöglicht deutliche Einsparungen bei den Engineering-kosten.

Zuordnung der Ein- und Ausgangssignale

Die Verbindung mit der Anlage wird durch Zuordnung der Ursachen und Auswirkungen zu den Ein- und Ausgängen der SIMATIC S7-400F/FH hergestellt. In SIMATIC Safety Matrix kön-nen weitere Ergänzungen und Parametrierungen vorgenom-men werden. Dazu gehört die Einstellung der Grenzwerte und der Hysterese für die Analogwerte ebenso wie die Vorgabe der maximalen Diskrepanz bei Verknüpfung mehrerer analoger Messwerte.

Über Funktionsblöcke zur Signalvorverarbeitung, z. B. für die Umrechnung eines Eingangswertes, lassen sich auch komplexe Kalkulationen in SIMATIC Safety Matrix einbinden. Die entsprechenden Funktionsblöcke sind im Kanaltreiber des I/O-Signals auswählbar.

Auswahl der Funktionsblöcke für die Signalvorverarbeitung

Entwurf und Planung anderer Maßnahmenzur Risikominderung

Entwurf und Planung des sicherheitstechnischen Systems (SIS)

Montage, Inbetriebnahmeund Validierung BetriebAnalyse

© Siemens AG 2014


Festlegung des Zeitverhaltens und Maintenance-Funktionen

Überdies besteht auch die Möglichkeit, Simulationen und Bypässe mit entsprechenden Zugriffsberechtigungen für die Inbetriebnahme und den späteren Betrieb zu konfigurieren.

Ein Bypass ist z. B. direkt über SIMATIC Safety Matrix oder über ein Eingangssignal (Schlüsselschalter) steuerbar.

Die Möglichkeit der Zuordnung von Ursachen und Auswirkun-gen zu jeweils 3 Alarmprofilen verbessert die Übersicht bei der Anzeige von Alarmen und ermöglicht dem Operator oder Anlagenfahrer bestehende Probleme schneller zu erkennen sowie rasch und gezielt darauf zu reagieren. Die Reduzierung der Shutdown-Zeiten trägt wesentlich zur Erhöhung der Anlagenverfügbarkeit bei.

Die Umsetzung in eine lauffähige Programmlogik erfolgt auto-matisch. Auf Basis des CFC (Continous Function Chart) er-zeugt das SIMATIC Safety Matrix Engineering Tool mit den Funktionsbausteinen aus der F-Bibliothek in S7 F Systems für jede Matrix eine Programmlogik und generiert die Kanaltrei-ber für alle sicheren I/O-Kanäle. Anschließend kann die CFC-Programmlogik übersetzt und in den Controller geladen wer-den. Die automatische Generierung der CFC-Programmlogik ist durch den TÜV abgenommen und zertifiziert

Alarmdefinition und Zuordnung

Zu Prüf- und Testzwecken lässt sich das Safety Matrix Engineering Tool direkt in die Online-Ansicht umschalten. Alternativ ist auch der Safety Matrix Viewer auf der SIMATIC PCS 7 Operator Station verwendbar.

SIMATIC Safety Matrix verfügt über integrierte Funktionen für die Plausibilitätsprüfung, Dokumentation und Simulation sowie für den Vergleich von Dateien und Plänen. Diese Funk-tionen unterstützen Projekteure, Inbetriebsetzer und Prüfer effektiv beim Test und bei der Abnahme der Sicherheits-applikation.

Die Abnahme der Sicherheitsapplikation erfolgt typischer-weise durch autorisierte Stellen oder Behörden. Da dieser Personenkreis in der Regel nicht über spezielle Programmier-kenntnisse verfügt, profitiert er bei seiner Tätigkeit sehr stark vom Einsatz der SIMATIC Safety Matrix. Der Auditor kann die in der SRS spezifizierten Sicherheitsfunktionen im Online-Betrieb nahezu 1:1 am Bildschirm nachvollziehen. Ein Umden-ken oder Übertragen in eine spezifische Programmiersprache ist nicht erforderlich. Dadurch verkürzen sich die Abnahme-zeiten und die Anlage kann die Produktion früher aufnehmen.

© Siemens AG 2014


SIMATIC Safety Matrix in der Betriebsphase

Prozessbild einer Operator Station mit eingeblendetem Safety Matrix Viewer

Bei der Prozessführung muss der Operator relevante Abweichungen frühzeitig erkennen und schnell darauf rea-gieren können. Das setzt voraus, dass die Automatisierungs-anlage einfach und intuitiv zu bedienen ist. Dies trifft in besonderem Maße auf sicherheitskritische Prozesse zu, bei denen die Anlage abgeschaltet wird, wenn der Operator den Auslöser für einen Alarm nicht schnell genug lokalisieren und geeignete Maßnahmen einleiten kann.

SIMATIC Safety Matrix bietet die Möglichkeit, den Operator über Voralarme auf bevorstehende kritische Situationen auf-merksam zu machen und den Auslöser mit der dazugehörigen Wirkung anzuzeigen. Der Operator kann so einen abweichen-den oder fehlerhaften Sensor auf einen Blick erkennen und sofort eine Überprüfung oder andere Schritte zur Beseitigung der Störungsursache veranlassen.

Voralarm

In die SIMATIC Safety Matrix integrierte Wartungsfunktionen unterstützen die Sensorüberprüfung. Sie ermöglichen die zeitweise Überbrückung des Sensors zum Zweck des Aus-tauschs oder der externen Prüfung. Auf diese Weise sind Anla-genstillstände oder Abschaltungen vermeidbar. Auch ein an-stehender Proof-Test kann Anlass dafür sein, die Sensorik und Aktorik temporär zu überbrücken.

Wartung

Betrieb und Wartung

Außerbetrieb-nahme

ModifikationRealisierungAnalyse

© Siemens AG 2014


Durch die Einbindung der sicheren Sensorik in das Asset Management lässt sich die Wartung noch weiter optimieren.

SIMATIC Safety Matrix ist sowohl im Online-Betrieb des Safety Matrix Engineering Tools als auch per Safety Matrix Viewer auf der Operator Station des Prozessleitsystems SIMATIC PCS 7 bedien- und beobachtbar.

Die Bedieneingriffe werden dokumentiert und lassen sich für das Safety Lifecycle Management archivieren.

Dokumentation der Bedieneingriffe und Ereignisse

Im SIMATIC Safety Matrix Viewer sind die Bedienmöglichkei-ten des Operators abhängig von den im Prozessleitsystem SIMATIC PCS 7 festgelegten Bedienberechtigungen. Somit ist sichergestellt, dass nur autorisierte Personen Feldgeräte überbrücken bzw. simulieren können.

Prozessrelevante Ereignisse und Alarme werden an das Operator System des Prozessleitsystems SIMATIC PCS 7 über-tragen und in das Meldesystem eingebunden. Dies ermöglicht die gemeinsame Archivierung der Alarme und Meldungen von Basic Process Control System (BPCS) und Sicherheitssystem.

Der Aufruf der Matrizen erfolgt über Bausteinsymbole, plat-ziert auf der SIMATIC PCS 7-Bedienoberfläche. Diese können sich sowohl auf die gesamte Matrix als auch nur auf eine bestimmte Ursache oder Auswirkung beziehen. Die auf eine Ursache oder Auswirkung fokussierte Sicht lässt sich jederzeit auf die Gesamtansicht der Matrix umschalten und umgekehrt.

Über Sammelanzeigen am Bausteinsymbol für den Matrix-Aufruf erkennt der Operator bereits, ob Warnungen, Alarme oder auch Wartungsfunktionen aktiv sind. Weitere Detail-informationen hierzu erhält er nach Aufruf der zugehörigen Matrix-Sicht.

© Siemens AG 2014

Weitere Informationen

Aktuelle Informationen rund um das Prozessleitsystem SIMATIC PCS 7:www.siemens.de/simatic-pcs7

Totally Integrated Automation:www.siemens.de/tia

SIMATIC Technische Dokumentation:www.siemens.de/simatic-doku

Informationsmaterial zum Download:www.siemens.de/simatic/druckschriften

Service& Support:www.siemens.de/automation/support

SIMATIC Ansprechpartner:www.siemens.de/automation/partner

Industry Mall zum elektronischen Bestellen:www.siemens.de/industrymall

Die Informationen in dieser Broschüre ent halten Beschreib ungen bzw.

Leistungs merk male, welche im konkreten Anwendungsfall nicht

immer in der beschriebenen Form zutreffen bzw. welche sich durch

Weiterentwicklung der Produkte ändern können. Die gewünschten

Leistungs merkmale sind nur dann ver bindlich, wenn sie bei Vertrags-

schluss ausdrück lich ver einbart werden. Liefermöglichkeiten und

technische Änderungen vorbehalten.

Alle Erzeugnisbezeich nungen können Marken oder Erzeugnis namen

der Siemens AG oder anderer, zu liefern der Unternehmen sein, deren

Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber

verletzen kann.

Siemens AGIndustry SectorIndustrial Automation SystemsPostfach 48 4890026 NÜRNBERGDEUTSCHLAND

Änderungen vorbehaltenArtikel-Nr. E86060-A4678-A181-A5DR.PN.AS.14.XXBR.95.26 / Dispo 09508BR 0814 1. PES 40 DeProduced in Germany © Siemens AG 2014

www.siemens.com/automation

Security-Hinweise

Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Lösungen, Maschinen, Geräten und/oder Netzwerken unterstützen. Sie sind wichtige Komponenten in einem ganzheit-lichen Industrial Security-Konzept. Die Produkte und Lösungen von Siemens werden unter diesem Gesichtspunkt ständig weiterentwickelt. Siemens empfiehlt, sich unbedingt regelmäßig über Produkt-Updates zu informieren.

Für den sicheren Betrieb von Produkten und Lösungen von Siemens ist es erforderlich, geeignete Schutzmaßnahmen (z. B. Zellenschutz-konzept) zu ergreifen und jede Komponente in ein ganzheitliches Industrial Security-Konzept zu integrieren, das dem aktuellen Stand der Technik entspricht. Dabei sind auch eingesetzte Produkte von anderen Herstellern zu berück-sichtigen. Weitergehende Informationen über Industrial Security finden Sie unter www.siemens.com/industrialsecurity

Um stets über Produkt-Updates informiert zu sein, melden Sie sich für unseren produktspezifischen Newsletter an. Weitere Informationen hierzu finden Sie unterhttp://support.automation.siemens.com

Umschlag_Br_Safety_2014.indd 2Umschlag_Br_Safety_2014.indd 2 15.08.2014 09:53:0115.08.2014 09:53:01

© Siemens AG 2014

http://www.siemens.de/simatic-pcs7

http://www.siemens.de/totally-integrated-automation

http://www.siemens.de/simatic-doku

http://www.siemens.de/simatic/druckschriften

http://www.siemens.de/automation/support

http://www.siemens.de/automation/partner

http://www.siemens.de/industrymall

http://www.siemens.com/automation

Safety Intergrated for Process · PDF fileSafety Integrated Safety Integrated for Process...

Documents

Transcript of Safety Intergrated for Process · PDF fileSafety Integrated Safety Integrated for Process...