Die Siemens F-CPU (Fail-Safe CPU) ist ein integraler Bestandteil von sicherheitsgerichteten Automatisierungssystemen, die in kritischen Anwendungen wie der Prozessindustrie, der Fertigungstechnik und der Transportwesen eingesetzt werden. Dieses Handbuch dient als umfassender Leitfaden für die F-CPU, ihre Funktionsweise, ihre Programmierung und ihre Anwendung in sicherheitsrelevanten Systemen. Ziel ist es, Ingenieuren und Technikern das notwendige Wissen zu vermitteln, um F-CPUs effektiv zu implementieren und zu warten.
Übersichtstabelle der Siemens F-CPU
| Merkmal/Konzept | Beschreibung | Relevanz |
|---|---|---|
| Sicherheitsintegritätslevel (SIL) | Ein Maß für die Risikoreduktion, die durch eine Sicherheitsfunktion erreicht wird. | Bestimmt die Eignung der F-CPU für eine spezifische sicherheitskritische Anwendung. |
| Diagnoseabdeckung (DC) | Der Prozentsatz der gefährlichen Ausfälle, die von der Selbstdiagnose der F-CPU erkannt werden. | Hohe DC ist entscheidend für die Erfüllung der SIL-Anforderungen. |
| Fehlerausschlusskonzept (FEC) | Eine Strategie, um bestimmte Hardware- oder Softwarefehler auszuschließen, die ansonsten die SIL-Zertifizierung verhindern würden. | Ermöglicht die Verwendung von Standardkomponenten in sicherheitskritischen Systemen. |
| Redundanz | Die Verwendung mehrerer F-CPUs oder Komponenten, um die Zuverlässigkeit und Verfügbarkeit des Systems zu erhöhen. | Erhöht die Widerstandsfähigkeit gegen Ausfälle und minimiert Stillstandszeiten. |
| Programmierung mit STEP 7 Safety | Die spezielle Programmierumgebung für F-CPUs, die sicherheitsgerichtete Programmierung und Verifizierung unterstützt. | Gewährleistet die Einhaltung von Sicherheitsstandards und reduziert das Risiko von Programmierfehlern. |
| Funktionsbausteine (FBs) und Funktionsblöcke (FCs) | Vorgefertigte Softwaremodule für häufig verwendete Sicherheitsfunktionen, z.B. Not-Aus, Lichtschrankenüberwachung. | Beschleunigen die Entwicklung und reduzieren das Risiko von Fehlern. |
| Sicherheitsgerichtete Kommunikation | Die Verwendung von speziellen Kommunikationsprotokollen (z.B. PROFIsafe), um die Integrität und Authentizität von Daten in sicherheitskritischen Netzwerken zu gewährleisten. | Verhindert Manipulationen und Datenverluste, die zu gefährlichen Zuständen führen könnten. |
| Zykluszeitüberwachung | Eine Funktion, die die Ausführungszeit des Sicherheitsprogramms überwacht, um sicherzustellen, dass es innerhalb der zulässigen Grenzen bleibt. | Verhindert, dass Verzögerungen in der Ausführung zu gefährlichen Zuständen führen. |
| Sicherheitsgerichtete Ein- und Ausgänge (F-I/Os) | Spezielle Ein- und Ausgangsmodule, die für sicherheitskritische Anwendungen entwickelt wurden und über integrierte Diagnosefunktionen verfügen. | Gewährleisten die korrekte Erfassung und Ausgabe von sicherheitsrelevanten Signalen. |
| Validierung und Verifizierung | Der Prozess, der sicherstellt, dass das Sicherheitssystem die spezifizierten Anforderungen erfüllt und korrekt funktioniert. | Unverzichtbar für die Erlangung der SIL-Zertifizierung und den Nachweis der Sicherheit des Systems. |
| Black Channel Prinzip | Ein Konzept, bei dem ein Kommunikationskanal (der "Black Channel") ohne spezifische Sicherheitsmaßnahmen verwendet wird, wobei die Sicherheit durch End-to-End-Sicherheitsmechanismen gewährleistet wird. | Ermöglicht die Verwendung von Standardkommunikationsinfrastruktur in sicherheitskritischen Systemen. |
| Sicherheitsarchitektur | Das Design des gesamten Sicherheitssystems, einschließlich der F-CPU, der F-I/Os, der Kommunikationsnetze und der Software. | Beeinflusst die Zuverlässigkeit, Verfügbarkeit und Sicherheit des Gesamtsystems. |
| Parametrierung von F-Peripherie | Die korrekte Konfiguration der sicherheitsgerichteten Ein- und Ausgänge, um die gewünschte Funktionalität und Diagnoseabdeckung zu gewährleisten. | Entscheidend für die korrekte Funktion der Sicherheitsfunktionen. |
| Testmodi | Verschiedene Betriebsarten der F-CPU, die es ermöglichen, die Sicherheitsfunktionen zu testen und zu validieren, ohne den normalen Betrieb zu beeinträchtigen. | Ermöglichen eine regelmäßige Überprüfung der Sicherheitsintegrität. |
| Versionsmanagement | Die systematische Verwaltung von Software- und Hardwareversionen, um die Rückverfolgbarkeit und Konsistenz des Systems zu gewährleisten. | Ermöglicht die einfache Wiederherstellung früherer Konfigurationen und erleichtert die Fehlersuche. |
| Dokumentation | Die umfassende Dokumentation des Sicherheitssystems, einschließlich der Spezifikationen, des Designs, der Programmierung, der Validierung und der Wartung. | Unverzichtbar für die Erlangung der SIL-Zertifizierung und die langfristige Wartung des Systems. |
| Zertifizierung | Der Prozess, bei dem eine unabhängige Zertifizierungsstelle die Sicherheit des Systems bewertet und bestätigt. | Erbringt den Nachweis, dass das System die relevanten Sicherheitsstandards erfüllt. |
| SILCL (Safety Integrity Level Claim Limit) | Der höchste SIL-Level, für den eine F-CPU oder ein Baustein zertifiziert ist und beansprucht werden darf. | Begrenzt den Einsatzbereich der F-CPU in sicherheitskritischen Anwendungen. |
| PFH/PFD Wert | Probability of Failure per Hour (PFH) und Probability of Failure on Demand (PFD) sind Kennzahlen, die die Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde bzw. auf Anforderung angeben. | Wichtige Parameter für die Bewertung der Sicherheit eines Systems. |
Detaillierte Erklärungen
Sicherheitsintegritätslevel (SIL)
Der Sicherheitsintegritätslevel (SIL) ist ein relatives Maß für die Risikoreduktion, die durch eine Sicherheitsfunktion erreicht wird. Er wird in der Regel durch die Norm IEC 61508 definiert und reicht von SIL 1 (niedrigste) bis SIL 4 (höchste). Die Wahl des SIL hängt von der Schwere der möglichen Folgen eines Ausfalls ab. Eine F-CPU muss für den entsprechenden SIL zertifiziert sein, um in einer sicherheitskritischen Anwendung eingesetzt werden zu dürfen.
Diagnoseabdeckung (DC)
Die Diagnoseabdeckung (DC) gibt an, welcher Prozentsatz der gefährlichen Ausfälle von der Selbstdiagnose der F-CPU erkannt wird. Eine hohe Diagnoseabdeckung ist entscheidend, um die Anforderungen des SIL zu erfüllen. Die Selbstdiagnose umfasst Tests der CPU, des Speichers, der Ein- und Ausgänge und anderer wichtiger Komponenten.
Fehlerausschlusskonzept (FEC)
Ein Fehlerausschlusskonzept (FEC) ist eine Strategie, um bestimmte Hardware- oder Softwarefehler auszuschließen, die ansonsten die SIL-Zertifizierung verhindern würden. Dies kann durch den Einsatz von redundanten Komponenten, speziellen Designtechniken oder Software-basierten Schutzmaßnahmen erreicht werden. Ein FEC muss sorgfältig dokumentiert und validiert werden.
Redundanz
Redundanz bedeutet die Verwendung mehrerer F-CPUs oder Komponenten, um die Zuverlässigkeit und Verfügbarkeit des Systems zu erhöhen. Es gibt verschiedene Arten von Redundanz, z.B. Hot-Standby-Redundanz, bei der eine zweite F-CPU im Falle eines Ausfalls der ersten automatisch übernimmt. Redundanz kann die Widerstandsfähigkeit gegen Ausfälle erhöhen und Stillstandszeiten minimieren.
Programmierung mit STEP 7 Safety
STEP 7 Safety ist die spezielle Programmierumgebung für F-CPUs. Sie bietet Funktionen zur sicherheitsgerichteten Programmierung, Verifizierung und Validierung. Die Programmierung erfolgt in der Regel mit Funktionsbausteinen (FBs) und Funktionsblöcken (FCs), die speziell für sicherheitskritische Anwendungen entwickelt wurden.
Funktionsbausteine (FBs) und Funktionsblöcke (FCs)
Funktionsbausteine (FBs) und Funktionsblöcke (FCs) sind vorgefertigte Softwaremodule für häufig verwendete Sicherheitsfunktionen, wie z.B. Not-Aus, Lichtschrankenüberwachung oder Zweihandbedienung. Die Verwendung von FBs und FCs beschleunigt die Entwicklung und reduziert das Risiko von Fehlern, da sie bereits validiert und zertifiziert sind.
Sicherheitsgerichtete Kommunikation
Sicherheitsgerichtete Kommunikation verwendet spezielle Kommunikationsprotokolle (z.B. PROFIsafe), um die Integrität und Authentizität von Daten in sicherheitskritischen Netzwerken zu gewährleisten. Dies verhindert Manipulationen und Datenverluste, die zu gefährlichen Zuständen führen könnten. PROFIsafe beispielsweise fügt den Daten zusätzliche Prüfsummen und Sequenznummern hinzu, um Übertragungsfehler zu erkennen.
Zykluszeitüberwachung
Die Zykluszeitüberwachung ist eine Funktion, die die Ausführungszeit des Sicherheitsprogramms überwacht. Wenn die Zykluszeit die zulässigen Grenzen überschreitet, wird ein Fehler ausgelöst. Dies verhindert, dass Verzögerungen in der Ausführung zu gefährlichen Zuständen führen.
Sicherheitsgerichtete Ein- und Ausgänge (F-I/Os)
Sicherheitsgerichtete Ein- und Ausgangsmodule (F-I/Os) sind spezielle Module, die für sicherheitskritische Anwendungen entwickelt wurden. Sie verfügen über integrierte Diagnosefunktionen und sind in der Lage, Fehler zu erkennen und zu melden. F-I/Os sind essentiell, um die korrekte Erfassung und Ausgabe von sicherheitsrelevanten Signalen zu gewährleisten.
Validierung und Verifizierung
Validierung und Verifizierung sind Prozesse, die sicherstellen, dass das Sicherheitssystem die spezifizierten Anforderungen erfüllt und korrekt funktioniert. Validierung stellt sicher, dass das System das "richtige" tut (d.h., es erfüllt die Anforderungen des Kunden), während Verifizierung sicherstellt, dass das System das "richtig" tut (d.h., es funktioniert gemäß der Spezifikation). Beide Prozesse sind unverzichtbar für die Erlangung der SIL-Zertifizierung.
Black Channel Prinzip
Das Black Channel Prinzip ermöglicht die Verwendung von Standardkommunikationsinfrastruktur in sicherheitskritischen Systemen. Die Sicherheit wird hierbei nicht durch die Eigenschaften des Kommunikationskanals (dem "Black Channel"), sondern durch End-to-End-Sicherheitsmechanismen gewährleistet. Dies reduziert die Kosten und die Komplexität der Systemintegration.
Sicherheitsarchitektur
Die Sicherheitsarchitektur beschreibt das Design des gesamten Sicherheitssystems. Sie umfasst die Auswahl der Komponenten, die Anordnung der Komponenten, die Kommunikationswege und die Softwarestruktur. Eine gut durchdachte Sicherheitsarchitektur ist entscheidend für die Zuverlässigkeit, Verfügbarkeit und Sicherheit des Gesamtsystems.
Parametrierung von F-Peripherie
Die korrekte Parametrierung der F-Peripherie ist entscheidend für die korrekte Funktion der Sicherheitsfunktionen. Dies beinhaltet die Konfiguration der Eingänge (z.B. Drahtbruchüberwachung, Kurzschlusserkennung) und Ausgänge (z.B. sicheres Abschalten). Eine falsche Parametrierung kann die Diagnoseabdeckung reduzieren und die Sicherheit des Systems beeinträchtigen.
Testmodi
Die F-CPU bietet verschiedene Testmodi, die es ermöglichen, die Sicherheitsfunktionen zu testen und zu validieren, ohne den normalen Betrieb zu beeinträchtigen. Diese Modi ermöglichen es, die korrekte Funktion der Sicherheitsfunktionen regelmäßig zu überprüfen und sicherzustellen, dass die Sicherheitsintegrität erhalten bleibt.
Versionsmanagement
Das Versionsmanagement ist die systematische Verwaltung von Software- und Hardwareversionen. Es ermöglicht die einfache Wiederherstellung früherer Konfigurationen und erleichtert die Fehlersuche. Ein gutes Versionsmanagement ist essentiell für die langfristige Wartung und Instandhaltung des Systems.
Dokumentation
Die umfassende Dokumentation des Sicherheitssystems ist unverzichtbar für die Erlangung der SIL-Zertifizierung und die langfristige Wartung des Systems. Die Dokumentation sollte alle Aspekte des Systems abdecken, von den Spezifikationen über das Design bis hin zur Programmierung und Validierung.
Zertifizierung
Die Zertifizierung ist der Prozess, bei dem eine unabhängige Zertifizierungsstelle die Sicherheit des Systems bewertet und bestätigt. Die Zertifizierung erbringt den Nachweis, dass das System die relevanten Sicherheitsstandards erfüllt und für den vorgesehenen Zweck geeignet ist.
SILCL (Safety Integrity Level Claim Limit)
Der SILCL gibt an, bis zu welchem SIL-Level eine F-CPU oder ein Sicherheitsbaustein eingesetzt werden darf. Es ist wichtig, den SILCL der F-CPU und der verwendeten Sicherheitsbausteine zu beachten, um sicherzustellen, dass das Gesamtsystem die erforderliche Sicherheitsintegrität erreicht.
PFH/PFD Wert
PFH (Probability of Failure per Hour) und PFD (Probability of Failure on Demand) sind wichtige Kennzahlen zur Bewertung der Sicherheit eines Systems. Der PFH-Wert gibt die Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde an, während der PFD-Wert die Wahrscheinlichkeit eines gefährlichen Ausfalls auf Anforderung angibt. Diese Werte werden verwendet, um die Eignung des Systems für eine bestimmte sicherheitskritische Anwendung zu beurteilen.
Häufig gestellte Fragen
-
Was ist der Unterschied zwischen STEP 7 und STEP 7 Safety? STEP 7 ist die Standard-Programmierumgebung für Siemens SPS, während STEP 7 Safety eine Erweiterung ist, die speziell für die Programmierung von sicherheitsgerichteten Anwendungen entwickelt wurde. STEP 7 Safety bietet zusätzliche Funktionen zur Verifizierung und Validierung von Sicherheitsprogrammen.
-
Wie finde ich den richtigen SIL für meine Anwendung? Der SIL wird durch eine Risikobeurteilung ermittelt, die die möglichen Gefahren und ihre potenziellen Folgen berücksichtigt. Die Norm IEC 61508 bietet Anleitungen zur Durchführung einer Risikobeurteilung und zur Bestimmung des erforderlichen SIL.
-
Was ist PROFIsafe? PROFIsafe ist ein sicherheitsgerichtetes Kommunikationsprotokoll, das auf PROFIBUS und PROFINET basiert. Es ermöglicht die sichere Übertragung von Daten zwischen sicherheitsrelevanten Geräten.
-
Wie oft muss ich meine F-CPU warten? Die Wartungsintervalle hängen von der Anwendung und den Umgebungsbedingungen ab. Es ist wichtig, die Empfehlungen des Herstellers zu befolgen und regelmäßige Tests und Inspektionen durchzuführen.
-
Kann ich Standard-Ein- und Ausgänge mit einer F-CPU verwenden? Ja, aber nur für nicht-sicherheitsrelevante Funktionen. Für sicherheitsrelevante Funktionen müssen sicherheitsgerichtete Ein- und Ausgänge (F-I/Os) verwendet werden.
-
Was bedeutet "Fail-Safe"? "Fail-Safe" bedeutet, dass das System im Falle eines Fehlers in einen sicheren Zustand übergeht, um Schäden an Personen, Anlagen oder der Umwelt zu vermeiden.
Fazit
Die Siemens F-CPU ist ein leistungsstarkes Werkzeug für die Implementierung von sicherheitsgerichteten Automatisierungssystemen. Eine sorgfältige Planung, Programmierung und Validierung sind jedoch unerlässlich, um die Sicherheit und Zuverlässigkeit des Systems zu gewährleisten. Die Einhaltung der relevanten Sicherheitsstandards und die regelmäßige Wartung sind entscheidend für den langfristigen Erfolg.