Home
der Diplomarbeit zum einseitigen Ausdruck
Contents
1. enenennnsnsnnen 53 Abbildung 29 Signalweg durch eine Eingangskarte u cnneeseesssessnnesnnesnnennennnneennennneenn ons nene nennen 54 Abbildung 30 Eingang einer bin re Eingangskarte 13 2002000040snseenneenneenneennneeneenennnnnnn 55 Abbildung 31 Ausgang einer bin re Ausgangskarte mit einem Relaisausgang 13 55 Abbildung 32 Prinzip der zyklischen Verarbeitung von Eingabe Verarbeitung und Ausgabe 56 Abbildung 33 Aufteilung des Speichers aus Abbildung 28 uesssssnsensnnnennneenneenne nennen 57 Abbildung 34 prEN ISO 13849 1 Tabelle 7 Vereinfachte Bestimmung des Performance Levels 15 siehe Abbildung 21 mit eingetragener Auswahl f r Standard SPS und SICHerBeHs Sb me A ea 61 Abbildung 35 Task Steuerung Kapitel 8 1 und POEs Kapitel 8 2 cneneneneneeenneennnenn 62 Abbildung 36 Beispiel eines indirekten rekursiven Aufrufs anhand zweier Funktionsbausteine 64 Abbildung 37 Doppelbelegung des Speichers dargestellt am Zahlenstrahl 68 Verzeichnisse Abbildung 38 Abbildung 39 Abbildung 40 Abbildung 41 Abbildung 42 Abbildung 43 Abbildung 44 Abbildung 45 Abbildung 46 Abbildung 47 Abbildung 48 Abbildung 49 Abbildung 50 Abbildung 51 Abbildung 52 Abbildung 53 Abbildung 54 Abbildung 55 Abbildung 56 Abbildung 57 Abbildung 58 Abbildung 59 Abbildung
2. ns osnssesensseeeesseeeosseessesetsesetssestsstsstsstessestesesessesresseent 104 10 6 3 T7b RAM Test des Speichers mittels eines Zeigers CoDeSys spezifisch 104 10 63 11 Erl uterung 22 2 u 282 R EA ar ara he reifen 105 10 6 3 2 Algorithms rsimonas a a A TO AR re aA 106 10 6 3 3 Diagnosedeckungsgrad ns nsnseeseesseeeesseeeesseeseeseesesetssesesstssteseesssseesesessesresseent 107 10 7 Fehlererkennung durch Test der Ein und Ausgabe seeesoossooesssesssesssoossooeso 107 10 7 1 T6 EA Test des Speichers der Ein und Ausg nge 107 TOZA Erl uterung onn E R E A A ine freie 107 10 7 1 2 Diagnosedeckungsgrad 200220402seenseenseenneenneennennneennennnennnnnnenennenne nn 108 10 7 2 T8a Test der redundanten Eing nge u nn 2a ea ine 108 10 7 2 1 Erl uterung 2a hemmen T 108 10 7 2 2 Algonithmus a innaieeeiiknaukni leenenin E Ta A E a 109 10 7 2 3 Diagnosedeckungsgrad 2u020snsennsenseenneenneennenneenneennnnnnnnnnnnnennnnnn nn 109 10 7 3 T8b Test der redundanten Ausg nge ber r ckgekoppelte Eing nge 109 10 731 Erl uferung anssenekerniesensshn merken noinlinenkaine 110 10 73 22 Algorithiusau m raten nah tunen 111 10 7 3 3 Diagnosedeckungsgrad 20220nsnseenseenneenneennennnennneennnnnnennnennnnennn nn 115 10 8 Fehlererkennung durch gegenseitige berwachung mit einer zweiten SPS 116 10 8 1 Schaltungsm glichkeiten auu ursusinunueiun suis 116 10
3. der vorgenannten Norm angehoben werden 13 2 Praktischer Nutzen Der praktische Einsatz einer Standard SPS mit Diagnosefunktionen ist im Rahmen einer Maschinensteuerung haupts chlich in den drei nachfolgenden F llen m glich Einsatz der SPS im Neumaschinenbau Sicherheitstechnische Aufr stung einer vorhandenen Standard SPS einer im Einsatz befindlichen Maschine Gebrauchtmaschine auf den heutigen Stand der Sicherheitstechnik Einsatz einer Standard SPS mit Diagnosefunktion im Rahmen eines Steuerungs Umbaus bei im Einsatz befindlichen Maschinen Gebrauchtmaschinen Nach Expertensch tzung BGIA liegen zur Zeit 50 aller neuen Maschinen in dem sicherheitstechnischen Bereich der durch eine nach dieser Diplomarbeit erweiterte Standard SPS abgedeckt werden kann Diese Standard SPS kann hier eine wesentlich wirtschaftlichere L sung gegen ber dem Einsatz einer teuren und sicherheitstechnisch berqualifizierten Sicherheits SPS bieten In der Industrie wurden in der Vergangenheit zum Teil Standard SPSen ohne besondere Diagnosefunktionen in sicherheitstechnischen Steuerungen eingesetzt Zum Beispiel sind in auf dem Zusammenfassung Diplomarbeit Bj rn Ostermann 134 146 Markt SPSen bekannt die regelwidrig die Inertisierung zur Verhinderung einer explosionsgef hrdeten Atmosph re steuern Die nachtr gliche sicherheitstechnische Qualifizierung einer solchen SPS mit den in dieser Diplomarbeit beschriebenen Funktionsbauste
4. FBFB_ERROR LD0 ST Output Alle Ausg nge direkt abschalten LD TRUE ST Fehler_bemerkt Error JMP Error Abbildung 44 Quellcode des Bausteins FB_LERROR Selbsttests Diplomarbeit Bj rn Ostermann 79 146 10 3 Fehlererkennung durch Ablaufkontrolle 10 3 1 Tla Standard Watchdog Funktion 10 3 1 1 Erl uterung Die vom Hersteller eingebaute Watchdog Funktion der SPS berwacht das laufende Programm auf das berschreiten einer Zykluszeit Der Watchdog ist also nur ein r ckw rts laufender Timer der am Ende eines Zyklus geladen getriggert wird Der Watchdog schaltet die SPS ab sobald die Programmabarbeitung langsamer wird stoppt oder wenn das Programm in einer Endlosschleife gefangen ist Je nach SPS ist der Watchdog vom Hersteller gegen unbeabsichtigtes Triggern gesch tzt In dem Fall wird er nicht durch ein einzelnes Signal zur ckgesetzt sondern durch eine bestimmte Signalfolge Eine direkte M glichkeit den Watchdog zu berpr fen gibt es nicht da jedes Ausl sen der Schutzfunktion die SPS anh lt und eine berpr fung ohne den Watchdog auszul sen nicht m glich ist 10 3 1 2 Diagnosedeckungsgrad Eine Ablaufkontrolle zu der der Watchdog z hlt wird in der Literatur 4 nach f nf Punkten beurteilt Fehleraufdeckung beim Programmz hler bei Endlosschleifen bei Ver nderung der Taktfrequenz beim Ausfall der Stromversorgung beim Ausfall des Prozessors Da die meisten Watchdogs einer SPS keine ei
5. dieser Test kann keine bertragungsfehler finden Der Programmieraufwand ist durch die beschriebenen eingeschr nkten Zugriffsrechte hoch da die verschiedenen Testbausteine aus jeder einzelnen POE heraus f r die hier deklarierten Variabeln aufgerufen werden m ssen Variablen die von Funktionen benutzt werden k nnen gar nicht getestet werden da diese keine Funktionsbausteine aufrufen d rfen die f r den Test aber notwendig sind 10 6 1 2 Algorithmus Der Gesamttest besteht aus zwei Teilen Teil Eins Gesamtsteuerung des Testablaufs Initialisierungs und Reset Routine Teil Zwei die verschiedenen Variablen Tests Diese Zweiteilung ist n tig damit in einem Programmzyklus nicht immer alle Variablen getestet werden m ssen Ist das Programm nur klein bzw ist die Anzahl der benutzten Variablen gering so k nnen die eigentlichen Variablentests auch ohne vorgeschaltete Gesamtsteuerung umgesetzt werden Der erste Teil des Gesamttests die Initialisierungs und Reset Routine wird in Abbildung 51 grafisch dargestellt und im folgenden Text erl utert Selbsttests Diplomarbeit Bj rn Ostermann 94 146 gt Zweiter Erster Aufruf der Aufruf der Selbsttest einiger f benutzter Variablen Funktion Funktion Initialisieren der benutzten Variablen Selbsttest einiger benutzter Variablen Ausrechnen der Starten des Tests pro Durchlauf Gesamttests und der Z hlung aller Testaufrufe
6. 15 MTTF gesamt aus Abbildung 14 Dieser durchschnittliche DC wird wiederum in vier Klassen von keine Fehleraufdeckung bis hohe Fehleraufdeckung eingeteilt wie die Tabelle in Abbildung 20 zeigt Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 46 146 Fehleraufdeckung Wertebereich DC keine DC lt 60 niedrige 60 lt DC lt 90 mittlere 90 lt DC lt 99 hohe 99 lt DC Abbildung 20 Bestimmung des Grads der Fehleraufdeckung nach prEN ISO 13849 1 15 Das erreichte Performance Level a bis e wird aus der Tabelle in Abbildung 21 bestimmt Die Steuerungskategorie der Steuerung und der erreichte DCavg der Tests ergeben die Spalte der MTTFa der Kan le ergibt die Zeile Kategorie DC RE Eu Er u DE BEE I MTTF jedes 7 Nicht P b b Nicht Kanals abgedeckt abgedeckt niedrig MTTF jedes Nicht Nicht Kanals b abgedeckt b E j j abgedeckt mittel Nicht abgedeckt g 9 g E Abbildung 21 prEN ISO 13849 1 Tabelle 7 Vereinfachte Bestimmung des Performance Levels 15 F r konkrete Beispiele zur Anwendung der Tabelle siehe Abbildung 34 aus Kapitel 7 sowie Abbildung 75 aus Kapitel 12 2 Ab einer Kategorie 2 Steuerung sieht die prEN ISO 13849 1 zus tzlich eine Pr fung der CCF nach der Tabelle in Abbildung 22 vor Dieser Wert geht jedoch nicht in die Berechnung des PL ein Stattdessen muss die Addition von Ma nahmen bzw
7. Starten der Tests Selbsttest einiger benutzter Variablen Test der benutzten Globalen Variablen Testbereich nach Hinten verschieben Testende Testbereich an den erreicht Anfang setzen Testz hler auf Null setzen Abbildung 51 Flussdiagramm Initialisierungs und Reset Routine Teil Eins des Gesamttests beinhaltet drei verschiedene Funktionen abh ngig von der Anzahl der bisherigen Aufrufe dieses Testteils 1 2 gt 2 Deshalb wird zu Beginn des Teil Eins gepr ft zum wievielten Mal er aufgerufen wurde Bei den ersten beiden Aufrufen wird die Initialisierung des Gesamttests durchgef hrt In jedem weiteren Durchgang wird gepr ft ob ein Reset n tig ist da die Speicherpr fung einen kompletten Speicherdurchlauf beendet hat und dieser bei Bedarf durchgef hrt Selbsttests Diplomarbeit Bj rn Ostermann 95 146 Die Initialisierung im ersten Aufruf des Teil Eins f hrt zum Setzen der vom Gesamttest zur internen Kommunikation ben tigten globalen Variablen Diese globalen Variablen sind zur Steuerung der Testbausteine in Teil Zwei n tig Hier werden sie so gesetzt dass alle freien Variablen die mit Testroutinen des Teil Zwei verkn pft sind einmal berpr ft werden Im zweiten Aufruf wird aus der Anzahl der Testroutinen die im ersten Zyklus gez hlt wurden und der vom Programmierer vorgegebenen Anzahl der Zyklen die ein Gesamttest aller Variablen ben tigen darf die Anzahl der ben tigten Variablen Tests pro Zykl
8. 10 6 2 T7a RAM Test des Bereichs der globalen Variablen mittels eines Arrays Die nachfolgende Tabelle enth lt die Bezeichnungen der f r diesen Test verwendeten Funktionen und Variablen Name der Hauptfunktion VAR_TEST_GLOBAL VAR_TEST_GLOBAL_CHKSUM VAR_TEST_GLOBAL_CHKSUM_SAVEVAR VAR_TEST_GLOBAL_SNS VAR_TEST_GLOBAL_TEST Namen der Nebenfunktionen Test des Bereichs der globalen Variablen des Kurzbeschreibung k RAM Speichers Eing nge Breite des vorbelegten Bereichs der globalen Feldbreite Variablen AnzahlTestsproDurchlauf Anzahl der Variablen die pro Zyklus getestet werden Gesamtbreite der Signatur f r die Suche nach Testbreite f bertragungsfehlern Ausg nge Gibt zur ck ob ein kompletter Durchlauf finished abgeschlossen wurde Genutzte globale Variablen SaveVar Speichert den Inhalt der zu testenden Zelle SignatureVar Speichert die Signatur zum sp teren Vergleich Ein Array ber den gesamten Bereich der globalen Test Feld Variablen der es erlaubt jede Speicherstelle im Bereich der globalen Variablen anzusprechen Selbsttests Diplomarbeit Bj rn Ostermann 99 146 10 6 2 1 Erl uterung Die zweite M glichkeit des Speichertests bedient sich der in Kapitel 8 4 beschriebenen M glichkeit von Doppelbelegung im Bereich der globalen Variablen Wird dieser Test eingesetzt so m ssen alle im eigentlichen Programm genutzten sicherheitsrelevanten Variablen vom Programmierer im Bereich der glob
9. AE siehe Kapitel 8 5 abgespeichert Programme sind zwar zur Laufzeit im RAM abgelegt k nnen aber selber nicht auf den Programmspeicher schreibend zugreifen Es besteht allerdings keine physikalische Trennung wie bei der Harvard Architektur bei der Programmspeicher und Arbeitsspeicher physikalisch komplett von einander getrennt sind Technische Grundlagen Diplomarbeit Bj rn Ostermann 57 146 Befehl oder Daten Befehl oder Daten anfordern Daten senden zwischenspeichern speicher resistente Variablen Programm Globale Abbild Ein Freie speicher Variablen und Ausg nge Variablen Speicher EEPROM Abbildung 33 Aufteilung des Speichers aus Abbildung 28 6 4 Fehlererkennung in der SPS Eine SPS ist im Allgemeinen durch den Hersteller mit einem Watchdog siehe Kapitel 9 2 1 und 10 3 1 und einer CRC Pr fung des Programms siehe Kapitel 10 5 1 ausgestattet siehe hierzu auch Kapitel 5 2 4 Der Watchdog besitzt einen eigenen Takt pr ft aber nur gegen das berschreiten einer vorgegebenen Zykluszeit Bei der CRC Pr fung wird das Programm nur beim Laden in den Speicher mit einer Pr fsumme verglichen aber nicht w hrend des zyklischen Betriebs 6 5 Echtzeitf higkeit Soll eine Steuerung Sicherheitsfunktionen bernehmen ist nicht nur die Ausfallsicherheit der Steuerung zu beachten sondern auch deren Echtzeitf higkeit Echtzeitf higkeit bedeutet dass die Steuerung in einem angemessenen Zeitintervall auf Steuerungssi
10. Erreicht diese Z hlvariable nach mehreren Programmzyklen einen vorgegebenen Wert wird der Fehlerbaustein ERROR_FB siehe Kapitel 10 2 aufgerufen und damit die SPS angehalten wodurch der gesamte von der SPS gesteuerte Prozess in den sicheren Zustand geht 10 7 2 3 Diagnosedeckungsgrad Die Effizienz dieses Tests ist nur gering da Fehler die einen Eingang blockieren solange nicht entdeckt werden bis dieser Eingang angesprochen wird Der DC liegt bei ca 60 in den F llen in denen die Eing nge selten angesprochen werden und bei 90 wenn die Eing nge im Betrieb h ufig angesprochen werden siehe Tabelle A 7 der DIN EN 61508 2 17 F llt ein Eingang in der Zeit aus in der er nicht benutzt wird so kann der Ausfall des zweiten Eingangs in dieser Zeitspanne zu einem so genannten Doppelfehler f hren der durch diesen Test nicht erkannt wird Aus diesem Grund ist zu Ber cksichtigen dass die Wahrscheinlichkeit eines Doppelfehlers mit zunehmender Zeitspanne zwischen den Bet tigungen steigt Um solche Doppelfehler auszuschlie en sollte wie oben beschrieben m glichst unabh ngige Hardware an den Eing ngen verwendet werden um die Fehler durch gemeinsame Ursachen z B den Ausfall eines Optokopplerbausteines zu minimieren Dazu k nnen die Eing nge wie beschrieben auf verschiedene Eingangskarten verteilt werden 10 7 3 T8b Test der redundanten Ausg nge ber r ckgekoppelte Eing nge Die nachfolgende Tabelle enth lt die Bezeichnu
11. Selbsttests Diplomarbeit Bj rn Ostermann 120 146 Dies wird ber zwei Variablen erreicht ber die sich die SPSen ber einen Feldbus austauschen Da dieser Feldbus Fehler aufweisen kann d rfen sich die berpr ften Variablen nur in einem vorgegebenen Rahmen ndern Dieser Datenaustausch ber den Feldbus ben tigt in der Regel einige Zyklen da z B die SPS die nur zum Testen eingesetzt wird eine wesentlich k rzere Zyklusdauer besitzen kann Dies ist u a abh ngig von der Aufteilung der hierin ablaufenden Testfunktionen Aus diesem Grund muss hier eine Toleranz zugelassen werden die allerdings m glichst gering sein sollte 10 8 2 2 Algorithmus Der Test l uft auf beiden SPSen parallel ab Er besteht in beiden SPSen aus den gleichen Funktionsbausteinen Einem Funktionsbaustein zur lInitialisierung der Kommunikation ABLAUF_UEBERWACHUNG_INIT und einem zweiten Funktionsbaustein ABLAUF_UEBERWACHUNG_SEND der nach erfolgter Initialisierung die eigentliche Kommunikation durchf hrt Der Algorithmus dieser Kommunikation wird in Abbildung 68 dargestellt und im Text erl utert Selbsttests Diplomarbeit Bj rn Ostermann 121 146 Eigene gesendete Variable inkrementieren Differenz der letzten empfangenen Variablen und der aktuellen empfangenen Variablen bilden Differenz 0 Variable 7 P Equals _occured inkrementieren Differenz gr er als maximal erlaubte Differenz Equals _occured gt Equals
12. der entsprechenden Werte mindestens einen Schwellenwert von 65 Punkten erreichen Ansonsten ist diese Steuerung nicht als Kategorie 2 oder h her einzuordnen Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 47 146 Trennung der Signalpfade 15 Diversit t 20 Schutz gegen z B berspannung berdruck 15 Bew hrte Bauteile FMEA Kompetenz Training der Entwickler EMV oder Filterung des Druckmediums und Schutz gegen Verschmutzung Temperatur Feuchte Schock Vibration usw 10 Abbildung 22 Auflistung von Schutzm glichkeiten gegen CCF nach prEN ISO 13849 1 Tabelle F 1 entnommen aus 2 Abbildung 31 5 2 4 Speicherprogrammierbare Steuerungen DIN EN 61131 Die DIN EN 61131 fasst Anforderungen f r moderne SPS Systeme zusammen Das Ziel der Norm ist es diese Anforderungen f r alle auf dem Markt befindlichen SPSen zu vereinheitlichen Wie in der Einf hrung in Kapitel 5 2 beschrieben enth lt diese Norm die in dieser Diplomarbeit verwendete Programmiersprache in ihrem Teil drei und beschreibt weiterhin den generellen Aufbau von SPSen in ihrem Teil zwei In der Norm sind g ngige Konzepte lterer SPS Programmiersprachen und Erweiterungen um moderne Programmiersprachen enthalten Die einzelnen Sprachen werden in Kapitel8 dieser Diplomarbeit beschrieben Hier wird auch dargelegt warum die Sprache Anweisungsliste AWL f r die Tests dieser Diplomarbeit ausgew hlt wurde Aus dem Teil zwei
13. eeensene 20 Abbildung 3 Grunds tze des Sicherheitskonzepts Drei Stufen Methode u eeeeeeen 28 Abbildung 4 Europ ische Harmonisierte Normen cnsensseseerseessneesnnnnnnnnnnnennnnnennse esse ense ons ennn nen 30 Abbildung 5 Tabelle Europ ische Richtlinien umgesetzt in deutsches Recht e 32 Abbildung 6 St rm glichkeiten in Verbindung mit einer SPS enenennensnsnnnnnn 35 Abbildung 7 DIN EN 954 1 Tabelle 2 Kurzfassung der Anforderungen f r Kategorien 14 38 Abbildung 8 Risikograph nach DIN EN 954 1 14 20s0204020seneeneeneesnseenneenneennn ons eenen nennen 39 Abbildung 9 Risikograph nach prEN ISO 13849 1 15 nseneensennesenenneennnn 41 Abbildung 10 prEN ISO 13849 1 Tabelle 3 Performance Level 15 esne 42 Abbildung 11 Bestimmung des Performance Levels nach prEN ISO 13849 1 eenene 42 Abbildung 12 Darstellung der Bestimmung des MTTFa nach prEN ISO 13849 1 e 43 Abbildung 13 Formel zur Berechnung von MTTFa aus Bjoa aus prEN ISO 13849 1 Anhang C 4 2 15 a a EEE a TORE ET ENENSTIE BR EOETICEE EINE TON TERN ELTERN OSTERN 44 Abbildung 14 Abbildung 15 Abbildung 16 Abbildung 17 Abbildung 18 Abbildung 19 Formel zur Berechnung des gesamt MTTFd in Reihe geschalteter Bauteile aus prEN ISO 13849 1 Anhang D 1 15 Formel zur Berechnung des gesamt
14. f hrt beim Aufruf des n chsten Testbausteins zu einem Fehler Selbsttests Diplomarbeit Bj rn Ostermann 83 146 Die Bausteine sind durchnummeriert so dass die Nummern auch in verschiedenen Zweigen m glichst dicht aufeinander folgen Dies ist n tig um m glichst wenige unentdeckte Ablauffehler zuzulassen So kann nach dem Baustein mit der Programmstelle3 ein m glicher Fehlsprung in den linken Zweig zwischen Programmstelle2 und Programmstelle4 nicht entdeckt werden da er die Bedingung GeringsterVorg nger2 des Bausteins mit der Programmstelle4 erf llt Ein Quersprung aus dem linken Zweig von Programmstelle 2 aus hinter diesen Baustein hingegen wird entdeckt Die Wahrscheinlichkeit eines solchen unentdeckten Fehlsprungs ist allerdings gering da es in allen F llen in der Regel nur wenige Stellen gibt die fehlerhaft angesprungen werden k nnen ohne das der Fehlsprung entdeckt wird Die letzten Bausteine in den unterschiedlichen Zweigen sollten alle die gleiche Nummer tragen in diesem Fall die Programmstelle 9 Dadurch wird ein Sprung am Ende eines Teilzweiges in einen anderen Teilzweig aufgedeckt Neben dem Hauptbaustein ABLAUF_UEBERWACHUNG existiert der Baustein ABLAUF_UEBERWACHUNG_OHNE_ZEIT Dieser arbeitet wie in Abbildung 47 dargestellt hnlich dem Hauptbaustein mit der Ausnahme dass er keine Zeit misst Beide m ssen in einem sinnvollen Verh ltnis zueinander verwendet werden Zur Ermittlung des Verh ltnisses in dem die b
15. wie die der Logikeinheit SPS1 Zusammenfassung Diplomarbeit Bj rn Ostermann 133 146 13 Zusammenfassung Im Steuerungsbau werden regelm ig Speicherprogrammierbare Steuerungen verwendet Diese SPSen k nnen wegen ihrer niedrigen sicherheitstechnischen Einstufung nach den gesetzlichen Anforderungen an Sicherheitssteuerungen im europ ischen Binnenmarkt nur stark eingeschr nkt und dann auch nur in Verbindung mit zus tzlichen Ma nahmen verwendet werden In dieser Arbeit wird aufgezeigt wie die Steuerungskategorie einer Standard SPS nach DIN EN 954 1 bzw ihr Performance Level nach prEN ISO 13849 1 mit Hilfe von zus tzlichen Programmbausteinen erh ht werden kann so dass sie in gro en Anwendungsbereichen f r Sicherheitssteuerungen verwendet werden kann Weiterhin wird die Einordnung der Sicherheitssteuerungen in die rechtlichen Vorgaben des europ ischen Binnenmarktes und hier wegen ihrer zentralen Bedeutung insbesondere in die Vorgaben der Maschinenrichtlinie dargestellt 13 1 Ergebnis Die in Kapitel 7 1 1 aufgezeigte Kategorie B der Standard SPS nach DIN EN 954 1 kann wie in Kapitel 12 1 dargelegt mit Hilfe der in der Diplomarbeit erarbeiteten Funktionsbausteinen auf Kategorie 2 dieser Norm erh ht werden Der in Kapitel 7 1 2 aufgezeigte Performance Level a nach prEN ISO 13849 1 kann wie in Kapitel 12 2 erl utert abh ngig vom konkreten Einzelfall in den Bereich der Performance Level b bis d
16. 146 Normungsvorhaben Europ ische Kommission Auftrag nach Anh rung der Mitgliedstaaten Europ ische Normenorganisation Z B CEN Cenelec Normerstellung nach Leitlinienpapier Europ ische Norm N Nationale Normenorganisation z B Europ ische Kommission DIN DKE Umsetzung in nationale Norm Ver ffentlichung im Amtsblatt Abbildung 4 Europ ische Harmonisierte Normen Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 31 146 4 2 3 Spezialrichtlinien Nach Artikel 1 Abs 4 MRL m ssen ggf neben der Maschinenrichtlinie auch andere Richtlinie beachtet werden Werden die in dieser Richtlinie genannten Gefahren die von einer Maschine oder einem Sicherheitsbauteil ausgehen ganz oder teilweise von anderen besonderen Gemeinschaftsrichtlinien erfasst so gilt diese Richtlinie f r diese Maschine oder dieses Sicherheitsbauteil und diese Gefahren nicht bzw findet sie auf diese ab Inkrafttreten der besonderen Richtlinie keine Anwendung mehr 26 Solche Richtlinien k nnen f r Steuerungen sein Niederspannungsrichtlinie 20 f r die elektrischen Gefahren im Sinne von Anhang I Nr 1 5 1 MRL 26 Eine elektrisch angetriebene Maschine muss so konzipiert gebaut und ausger stet sein dass alle Gefahren aufgrund von Elektrizit t vermieden werden oder vermieden werden k nnen Soweit die Maschine unter die spezifischen Rechtsvorschriften betreffend elektrische Betriebsmittel zur Ver
17. 60 Abbildung 61 Abbildung 62 Abbildung 63 Abbildung 64 Abbildung 65 Abbildung 66 Abbildung 67 Abbildung 68 Abbildung 69 Abbildung 70 Abbildung 71 Abbildung 72 Abbildung 73 Abbildung 74 Abbildung 75 Diplomarbeit Bj rn Ostermann 140 146 Speicherbild mit Fehlerm glichkeiten u sssessnsenneenneeneeennnn nn 72 Entdeckte und unentdeckte zuf llige Spr nge neeessnnssennennnenneennnenn nn 73 Erkennung fehlerhafter Spr nge durch ein Zeitfenster ceeneneneene 74 Ablaufkontrolle durch kombinierte berwachung eeeeeeeneeenneee 74 Allgemein bliche Reaktion auf einen erkannten Fehler eene 78 Aufruf des Bausteins FB_ERROR in einem beliebigen Testbaustein 78 Quellcode des Bausteins FBLERROR nnnnnnneennnennnnnn 78 Ablaufkontrolle durch kombinierte berwachung siehe Seite 74 81 Beispielaufruf f r die programmierte Ablauf berwachung ee 82 Flussdiagramm Ablauf berwachung u0000snesnseensesnsennneenneenneennennennnenenanenn 84 Stuck at 0 und Stuck at 1 Fehler rot w hrend einem Bitshift von vorne nach hinten sn a a A a e a a a ns E e a a E 89 Wahrheitstabelle f r den Operator amp uessesssessssennesnsesnnennnennnennnennn ons eenennensnanenn 89 Ausschnitt aus Abbildung 33 Aufteilung des RAM Speichers
18. Einzelpr fung H umfassende Qualit tssicherung Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 23 146 Die Konformit tsbewertung ist nach DIN EN 45020 die systematische Untersuchung in wieweit ein Produkt ein Prozess oder eine Dienstleistung festgelegte Anforderungen erf llt Dies bedeutet bezogen auf die MRL dass in einem Verfahren dem Konformit tsbewertungsverfahren festgestellt wird ob ein unter die Richtlinie fallendes Produkt z B eine mit den in dieser Arbeit beschriebenen Tests erweiterte SPS die formalen wie auch die Sicherheits und Gesundheitsanforderungen der MRL erf llt Nur wenn dies gew hrleistet ist kann die Maschine oder das Sicherheitsbauteil am freien Warenverkehr im europ ischen Binnenmarkt teilnehmen Die im Rahmen der Konformit tsbewertung zu pr fenden Anforderungen der MRL k nnen in folgende Punkte aufteilt werden Sicherheit und Gesundheitsanforderungen Anhang I MRL siehe Kapitel 4 2 2 o Gefahrenanalyse o Integration der Sicherheit o Kennzeichnung o Betriebsanleitung Ggf Einschaltung einer benannten Stelle siehe Anhang I der Diplomarbeit o Erstellung der Unterlagen nach Anhang VI MRL o Baumusterpr fung Art 8 Abs 2 in Verbindung mit Anhang VI MRL o Pr fung der Unterlagen Art 8 Abs 2 in Verbindung mit Anhang VI MRL o Aufbewahrung der Unterlagen Art 8 Abs 2 in Verbindung mit Anhang VI MRL Dokumentation Anhang V MRL siehe Anhang I der Diplomarbeit Beschein
19. Fehler s o haben siehe Abbildung 38 F4 Die ALU Arithmetical Logical Unit des Prozessors kann Fehler bei der Ausf hrung von logischen oder arithmetischen Befehlen produzieren Auch kann es zur Ausf hrung falscher Befehle durch Fehler im Interpreter der ALU kommen F5 Die Kommunikation zwischen Prozessor und Speicher kann gest rt sein so dass es zum Schreiben und oder Lesen falscher Daten kommt F6 Eine Zelle im Speicher kann einen Stuck at s o Fehler haben siehe Abbildung 38 F7 Im Speicher kann ein Setzen bzw R cksetzen einer Speicherstelle durch das Setzen oder R cksetzen einer anderen in der Regel benachbarten Zelle geschehen Dies ist ein so genannter bertragungsfehler siehe Abbildung 38 F8 Bei den Ein und Ausgangskarten kann das Ausfallen ihrer Komponenten Kapitel 6 2 3 zum dauerhaften Lesen bzw Ausgeben einer Null oder Eins f hren Besonders gef hrdet ist hier das eingebaute Relais das kleben bleiben kann dauerhaft Eins durch Verschmelzen der Kontakte im Relais Selbsttests Diplomarbeit Bj rn Ostermann 72 146 Beschriebenes Byte Fehler durch bertrag Stuck at Fehler Abbildung 38 Speicherbild mit Fehlerm glichkeiten Damit kommt die Diplomarbeit hinsichtlich der notwendigen Testverfahren auf das gleiche Ergebnis f r die zu pr fenden Bauteile wie der Hersteller der in Kapitel 6 1 4 beschriebene Sicherheits SPS Die programmierten Tests aus Kapitel 1
20. Grundlagen Diplomarbeit Bj rn Ostermann 61 146 rue DE a gt IT 3 Is 3 Nicht abgedeckt A OEHR c c Nicht j abgedeckt Nicht Eu abgedeckt jedes Nicht Kanals abgedeckt mittel Nicht p e abgedeckt Standard SPS Abbildung 34 prEN ISO 13849 1 Tabelle 7 Vereinfachte Bestimmung des Performance Levels 15 siehe Abbildung 21 mit eingetragener Auswahl f r Standard SPS und Sicherheits SPS 7 2 3 Verwendungsm glichkeiten Da die Sicherheits SPS in beiden Normen den h chsten Sicherheitsstandard erf llt kann sie f r jede sicherheitstechnische Steuerungsaufgabe eingesetzt werden Der Nachteil beim Einsatz in niedrigeren Kategorien ist der relativ hohe Preis einer solchen Steuerung 7 3 Schlussfolgerung In diesem Kapitel wird anhand der aktuellen Normen belegt warum die Standard SPS wenigen bis gar keinen Sicherheitsanforderungen gen gt und warum die Sicherheits SPS die h chste Sicherheitseinstufung aufweist siehe hierzu Kapitel 1 2 Das Einsatzgebiet der Standard SPS im Bereich sicherheitstechnischer Steuerungen ist durch die Einstufung in die unterste Sicherheitsstufe Kategorie 1 Performance Level a stark eingeschr nkt und nach der heute g ltigen DIN EN 954 1 nur unter Anwendung zus tzlicher sicherheitstechnischer Ma nahmen m glich Die Sicherheits SPS kann zwar in allen Bereichen der sicherheitstechnischen Steuerungen eingesetzt werden Kategorie 4 Performance Level e ist abe
21. Kapitel 10 6 1 bei 60 10 7 2 T8a Test der redundanten Eing nge Im Folgenden wird lediglich das Konzept eines solchen Tests beschrieben Die Programmierung selbst ist nicht Teil dieser Diplomarbeit Siehe hierzu auch Ausblick in Kapitel 13 3 4 1 10 7 2 1 Erl uterung Die Eingangssignale werden in diesem Test parallel ber je zwei gleiche Eing nge eingelesen siehe Abbildung 62 Ein Funktionsbaustein berwacht die von beiden Eing ngen an den Prozessor weiterleiteten Signale und pr ft diese auf Gleichheit Zur Optimierung dieses Prozesses sollten die o a Eing nge auf verschiedenen Eingangskarten siehe Abbildung 30 liegen da parallele Eing nge einer Eingangskarte in Teilen der Signalverarbeitung dieselbe Hardware der Karte benutzen siehe Abbildung 29 Zu ber cksichtigen ist bei diesem Test dass es auf Grund der Tr gheit des Gesamtsystems Kabelwege Eingangskarten bei der Signalverarbeitung der zu vergleichenden Einzelsignale zu Verz gerungen kommen kann Aus diesem Grund wird ein Fehler nur dann angenommen wenn die Eing nge f r l ngere Zeit unterschiedliche Signale ausgeben 24 V Eingang Eingang SPS 1 Abbildung 62 Redundante Eing nge Selbsttests Diplomarbeit Bj rn Ostermann 109 146 10 7 2 2 Algorithmus Programmtechnisch kann dies gel st werden indem alle verkn pften Eing nge verglichen werden und bei Ungleichheit der Eing nge eine Z hlvariable inkrementiert wird
22. Variablen zuweist Aus allen POEs zug ngliche Variablen so genannte globale Variablen o Variablen mit einer festen physikalischen Adresse also einem genau definierten Bereich im Speicher o Variablen bei denen der Compiler zur Zeit der bersetzung des Programms festlegt welchen Speicherbereich sie zugewiesen bekommen o Variablen die im Speicher auch nach dem Abschalten der SPS erhalten bleiben so genannte Retain Variablen Der Speicherplatz einer lokalen Variablen eines Programmbausteins bleibt f r diesen Programmbaustein reserviert so dass der Programmbaustein lokale Variablen benutzen kann um sich Werte von einem Zyklus zu einem sp teren Zyklus zu merken Ein Programmbaustein kann im Programmablauf Funktionsbausteine und Funktionen aufrufen aber keine anderen Programmbausteine 8 2 2 Funktionsbaustein Funktionsbausteine sind Unterprogramme zum Programmbaustein Sie k nnen nur eigene lokale Variablen deklarieren Nutzen k nnen sie Globale Variablen Lokale selbst deklarierte Variablen Lokale Variablen aus POEs aus denen sie aufgerufen werden siehe Kapitel 8 4 Pointer Der Speicherplatz einer lokalen Variablen eines Funktionsbausteins bleibt f r diesen Funktionsbaustein reserviert so dass der Funktionsbaustein diese Variablen benutzen kann um sich Werte von einem Aufruf zum n chsten auch ber mehrere Zyklen hinaus zu merken Der Funktionsbaustein kann andere Funktionsbausteine und Funk
23. Verlag GmbH amp Co KG 13 Seitz Mathias 2003 Speicherprogrammierbare Steuerungen M nchen Fachbuchverlag Leipzig 16 2 Normen 14 DIN EN 954 1 Sicherheitsbezogene Teile von Steuerungen 1996 D 15 prEN ISO 13849 1 Safety of machinery Safety related parts of control systems Part 1 General principles for design 2005 E 16 DIN EN 61131 Teil 1 bis 7 Speicherprogrammierbare Steuerungen 2003 D 17 DIN EN 61508 Teil 1 bis 7 Funktionale Sicherheit sicherheitsbezogener elektrischer elektronischer programmierbarer elektronischer Systeme 2001 D 18 SN 29500 Teil 2 Ausfallraten Bauelemente 1999 D M nchen Siemens AG Verzeichnisse Diplomarbeit Bj rn Ostermann 146 146 16 3 Richtlinien und Gesetze 19 EWG Vertrag von 1997 in Kraft getreten 1958 ge ndert durch die Einheitliche Europ ische Akte in Kraft getreten in 1987 durch den Maastricher Vertrag ber die Europ ische Union in Kraft getreten in 1993 und durch den Amsterdamer Vertrag in Kraft getreten 1999 20 Richtlinie des Rates zur Angleichung der Rechtsvorschriften der Mitgliedsstaaten betreffend elektrische Betriebsmittel zur Verwendung innerhalb bestimmter Spannungsgrenzen 73 23 EWG Niederspannungsrichtlinie 21 Richtlinie des Rates zur Angleichung der Rechtsvorschriften der Mitgliedsstaaten f r einfache Druckbeh lter 87 404 EWG Richtlinie einfache Druckbeh lter 22 Richtlinie des Rates zur Angleichung der Rechtsvorschr
24. bedingte Spr nge durchgef hrt und deren Sprungziel gepr ft Auch hierzu finden sich Grundlagen der Umsetzung im BGIA Report 1 9 2 5 L5 Kommunikation zwischen Speicher und Prozessor Eine im BGIA Report 1 vorgestellte Methode zur Pr fung des Kommunikationswege ist das wiederholte Lesen und Speichern von unterschiedlichen Zahlen sowie die berpr fung ob die gespeicherte Zahl mit der gelesenen bereinstimmt Selbsttests Diplomarbeit Bj rn Ostermann 75 146 9 2 6 L6 7 Speicher F r den Test des Speichers gibt es zahlreiche Methoden Zwei dieser M glichkeiten werden nachfolgend dargestellt L6 Die einfachste Methode besteht darin die benutzten Speicherstellen nach einander zu beschreiben wieder auszulesen und zu pr fen ob beim Lesen der Speicherstelle der gleiche Wert gelesen wird der vorher geschrieben wurde Hierbei werden h ufig bestimmte Bit Muster eingesetzt siehe Abbildung 53 ff L7 Die rechnerisch und damit auch zeitlich aufw ndigste Methode besteht darin den ganzen Speicher bitweise zu beschreiben und nach jedem Schreibvorgang neben dem Erfolg des Schreibens jedes andere Bit im Speicher auf eine Ver nderung hin zu pr fen Diese berpr fung wird h ufig eingesetzt um defekte Speicherstellen zu finden wenn ein Fehlverhalten des Speichers vorliegt Weitere Methoden und deren Zuverl ssigkeit sind in der Norm DIN EN 61508 17 aufgezeigt 9 2 7 L8 Ein und Ausg nge Eing nge k nnen nur m
25. beide Ausg nge gleichzeitig ausgeschaltet werden da die Maschine sonst stoppen w rde Deshalb werden im laufenden Betrieb die Ausg nge nacheinander abgeschaltet und wieder eingeschaltet so dass immer nur ein Ausgang zur Zeit abgeschaltet ist Die Schaltzust nde der Ausg nge werden ber die mit ihnen verkn pften Eing nge berpr ft Steht die Maschine d h der Ausgang ist abgeschaltet wird auch dies anhand der verkn pften Eing nge kontrolliert Allerdings kann in diesem Zustand nicht getestet werden ob das Einschalten Selbsttests Diplomarbeit Bj rn Ostermann 111 146 der Ausg nge funktioniert da die Maschine dann ungewollt anlaufen w rde W rden die Ausg nge in einer UND Schaltung verkn pft so k nnte der Test der Ausg nge auf Ein und Abschalten im ausgeschalteten Zustand aber dann nicht mehr im eingeschalteten Zustand getestet werden Da der kritische Zustand normalerweise beim fehlenden Abschaltverm gen vorliegt ist es wichtiger die Abschaltfunktion zu berwachen weswegen in dieser Diplomarbeit die beschriebene Schaltungsanordnung gew hlt wurde In beiden F llen kann der Anwender angeben wie viele Zyklen zul ssig sind bis das an den Eing ngen empfangene Signal dem Signal der verkn pften Ausg nge gleichen muss Die zu testenden Ausg nge d rfen w hrend des Anwenderprogramms nicht direkt ver ndert werden da dies die Testergebnisse verf lschen w rde Deshalb muss der Programmierer die vom Anwenderprogr
26. der Programmz hler um einen definierten Wert erh ht der L nge eines Befehlssatzes sofern er nicht vom Befehl selbst z B einem Sprungbefehl ver ndert wurde Fehler im Programmz hler k nnen mittels einer Ablauf berwachung festgestellt werden Die hier aufgezeigten Ablaufkontrollen lassen sich in der Literaturquelle 4 nachlesen Eine Ablauf berwachung wie in Abbildung 39 dargestellt besteht aus einer Testroutine die w hrend des Programmablaufs regelm ig aufgerufen wird Wird die Testroutine an einer definierten Stelle durch einen Fehler bersprungen oder mehr als einmal aufgerufen so stellt die Ablauf berwachung dies fest Je enger dabei die Pr fungen aneinander liegen desto wahrscheinlicher wird die Entdeckung des Fehlers N Aufruf einer Testroutine geplanter Programmablauf N Abbildung 39 Entdeckte und unentdeckte zuf llige Spr nge an tea ey fehlerhafter Programmablauf entdeckter Sprungfehler unentdeckter Sprungfehler Ein Zweiter Ansatz Fehler im Programmz hler festzustellen ist die Zeitliche berwachung die in Abbildung 38 dargestellt ist Macht ein Programm einen unbeabsichtigten Sprung so ndert sich seine Laufzeit Dieser Sprung kann sowohl die Laufzeit verk rzen berspringen von Programmbefehlen als auch verl ngern mehrfache Ausf hrung von Programmbefehlen Schleife Die Testroutine pr ft in diesem Fall ob sie zum richtigen Zeitpunkt aufgerufen wurde Um d
27. diesem Kapitel beschrieben werden Das bedeutet dass sp tere Tests Bauteile und Funktionen der SPS benutzen die von fr heren Tests berpr ft werden Es ist z B nicht ratsam einen Speichertest durchzuf hren ohne vorher zu berpr fen ob der Vergleichsoperator der den geschriebenen mit dem gelesenen Speicherinhalt vergleicht fehlerfrei funktioniert Ein Implementieren eines Tests ohne die ihm vorzuschaltenden Tests kann dazu f hren dass ein Fehler trotz berwachung unerkannt bleibt 10 1 3 Implementieren der Tests in SPS Programme Die in dieser Diplomarbeit beschriebenen Tests sind keine Programmbausteine die einfach zu einem bestehenden Programm hinzugef gt werden k nnen Obwohl alle Tests im Hinblick auf einfache Integration gestaltet wurden muss der Programmierer der SPS sich mit den Tests auseinandersetzen um diese in sein Programm zu integrieren Die zu erledigende Aufgabe des Programmierers liegt bei einigen Tests nur in der zeitlichen Planung der Testzyklen Bei anderen Tests wie zum Beispiel der Ablaufkontrolle in Kapitel 10 3 2 muss der Programmierer diese an verschiedenen auf den konkreten Einzelfall abgestellten Stellen in sein gesamtes Programm integrieren Die Quellcodes aller Tests dieser Diplomarbeit befinden sich in Anhang II der Diplomarbeit der auf der der Diplomarbeit beigef gten CD zu finden ist Selbsttests Diplomarbeit Bj rn Ostermann 77 146 10 1 4 Verifikation und Validierung der erarbeit
28. hierzu Echtzeitf higkeit in Kapitel 6 5 13 3 7 bertragung der erarbeiteten Testverfahren in andere Programmiersprachen Die Quelltexte der erarbeiteten Testverfahren sind in der Normsprache AWL der Norm DIN EN 61131 3 16 geschrieben Nicht alle auf dem Markt erh ltlichen SPSen sind in dieser Sprache programmierbar Hier sind als Beispiel die weit verbreiteten SPSen von Siemens zu nennen Diese k nnen jedoch auch in einer AWL hnlichen Sprachen programmiert werden Es ist deshalb m glich die Testverfahren f r Siemens SPSen umzuschreiben Grunds tzlich muss darauf geachtet werden dass die in dieser Diplomarbeit erarbeiteten Testverfahren an der AWL Sprache der o a Norm optimiert wurden Einige in dieser Diplomarbeit verwendeten Programmiertaktiken z B das Verwenden des aktuellen Ergebnisses ber Sprungbefehle hinaus k nnen in anderen Sprachen nicht verwendet werden Ein bersetzen der programmierten Tests in eine Sprache die keine Sprungmarken zul sst wird sich deshalb als schwierig erweisen In solchen F llen ist es anzuraten die Tests auf Basis der beschriebenen Verfahren neu zu programmieren und nicht auf Basis deren Quelltexte umzuschreiben Verzeichnisse Diplomarbeit Bj rn Ostermann 139 146 14 Abbildungsverzeichnis Abbildung 1 Anforderungen der Maschinenrichtlinie 02040200sseensesnsennneenseenneenne essen nennen 18 Abbildung 2 Konfomit tsbewertung nach Maschinenrichtlinie f r SPS
29. in einer SPS k nnen sowohl w hrend der Programmierung als auch w hrend des Betriebs entstehen W hrend Programmierfehler durch organisatorische Ma nahmen vermieden bzw gemindert werden k nnen m ssen zur Erkennung und Beherrschung von zuf llig auftretenden Hardwarefehlern Testprogramme und Hardwareredundanzen eingesetzt werden Die m glichen Fehler F aus Kapitel 9 1 die durch Fehler in der Hardware einer SPS ausgel st werden k nnen sowie die allgemeinen L sungen L aus Kapitel 92 und die programmierten Test T in Kapitel 10 sind in diesen Kapiteln mit den Bezeichnungen Fx Lx bzw Tx x steht f r die Nummern Bezeichnungen des Fehlers versehen Dies soll die gegenseitige Zuordnung erleichtern Eine Gesamt bersicht findet sich der Tabelle in Kapitel 11 9 1 Fehler M glichkeiten durch Hardware Fehler einer SPS Grunds tzlich k nnen in jedem Teil der SPS Fehler auftreten Fl Die Takt gebende Einheit meist ein Quarz kann zu schnell sein oder zu langsam Ein Ausfallen der Einheit kann dabei als extreme Form von zu langsam angesehen werden siehe hierzu auch 4 F2 Im Prozessor kann der Programmz hler einen Stuck at Fehler haben Hierbei kann eine Zelle eines Speichers hier des Speichers des Programmz hlers nicht mehr beschrieben werden und gibt beim Lesen dauerhaft eine Null bzw eine Eins zur ck siehe Abbildung 38 F3 Im Speicher kann das AE des Prozessors einen Stuck at
30. internen Z hler zur cksetzen muss Die Nebenfunktionen bestehen aus dem Testbaustein OO_TEST_TRUE und dem Testbaustein OO_TEST_FALSE Von diesen Testbausteinen wird im Folgenden nur der Baustein OO_TEST_TRUE beschrieben dessen Flussdiagramm in Abbildung 65 dargestellt ist Der Testbaustein OO_TEST_FALSE pr ft lediglich die Gleichheit von den Ein und Ausg ngen und z hlt in Zyklen in denen diese ungleich sind eine Variable hoch Erreicht diese Variable einen vom Programmierer festgelegten Wert bevor die Gleichheit der Ein und Ausg nge festgestellt werden kann so wird der Fehlerbaustein ERROR_FB aufgerufen Selbsttests Diplomarbeit Bj rn Ostermann c Ja Fehlerzyklen auf Null setzen und Pr fung auf Eins Nein Q Nein Aus und Eingang Zwei gesetzt Setze Ausgang Eins Setze Ausgang Zwei AE Setze Pr fung auf Inkrementiere Fehlerzyklen Zwei Aufruf Fehlerbaustein Error_FB Fehlerzyklen gt erlaubte Fehlerzyklen Ja 114 146 Analog zu A Setze Variable Gepr ft auf WAHR Abbildung 65 Flussdiagramm des Testbausteins OO_TEST_TRUE Pr fe ob beide Ausg nge ausgeschaltet werden k nnen Als erstes wird in der Testroutine OO_TEST_TRUE bei ihrem Aufruf berpr ft ob die Laufvariable die die Fehlerzyklen z hlt sowie die die sich den zu pr fenden Ausgang des Paares merkt zur ckgesetzt werden soll Reset Das bedeutet in diesem Fal
31. keine Ausg nge keine Genutzte globale Variablen keine LO_ANDN_TEST LO_NOT_TEST EOR TEST LO_ORN_TEST LO_XOR_TEST LO_XORN_TEST AR_ADD_TEST AR_DIV_TEST AR_MOD_TEST AR_MUL_TEST AR_SUB_TEST COJESSTEST COCE CG IET COE T CSE CONFIIET LOAD_STORE_TEST Testbausteine f r einzelne Funktionen des Prozessors Selbsttests Diplomarbeit Bj rn Ostermann 88 146 10 4 1 Voraussetzung Die Vorraussetzung f r einen Gro teil dieser Tests ist das Funktionieren von Sprungbefehlen und dem Programmz hler Der Programmz hler wurde bereits im Kapitel 10 3 2 getestet Ein nicht funktionierender Sprungbefehl kann von einer einzelnen SPS nicht erkannt werden so dass hier vorausgesetzt werden muss dass er funktioniert Obwohl ein Fehler im Sprungbefehl im Programm gro e Auswirkungen hat kann er nur durch die in Kapitel 10 8 beschriebenen Tests mit in Verbindung mit einer zweiten SPS erkannt werden 10 4 2 Erl uterungen Der Prozessortest ist auf verschiedene Funktionsbausteine aufgeteilt die jeweils eine bestimmte Funktion des Prozessors testen Hierdurch ist es dem Programmierer m glich immer nur die Tests f r die Funktionen einzubinden die er in seinem Programm nutzt Dadurch kann die Rechnerzeit die den Testbausteinen vom Programmierer zur Verf gung gestellt wird optimaler genutzt werden 10 4 2 1 T2b Test der bedingten Spr nge Um die bedingten Spr nge zu testen die von den Werten WAHR 1 oder FALSCH 0 ausgel st
32. mit Inkrafttreten der Maschinenrichtlinie 98 37 EG MRL vorbei F r einzeln in Verkehr gebrachte Sicherheitsbauteile die ebenfalls unter den Anwendungsbereich der MRL fallen endete es allerdings erst zum 1 Januar 2005 Die MRL ist heute Garant f r einheitliche sicherheitstechnische Anforderungen an Maschinen und Sicherheitsbauteile im Binnenmarkt Konformit tsbewertungs und die Zertifizierungsverfahren wurden ebenfalls durch diese Richtlinie vereinheitlicht Die letzte bergangsfrist zur Anwendung der Richtlinie ist seit dem 1 Januar 1997 abgelaufen Die Anforderungen der MRL an das Inverkehrbringen von Maschinen Sicherheitsbauteilen und Teilmaschinen sind in der Abbildung 1 schematisch dargestellt Auf die einzelnen Schritte wird in den nachfolgenden Kapiteln n her eingegangen Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 18 146 Produkt nach MRL Maschine Sicherheitsbauteil Teilmaschine Sicherheits und Gesundheitsanforderungen erf llen Gefahrenanalyse Integration der Sicherheit Kennzeichnung Typenschild Betriebsanleitung Dokumentation erstellen und archivieren Gefahrenverh tungsma nahmen Technische Pl ne und Berichte Angewendete Normen Konformit tsbewertungsverfahren Teilmaschine durchf hren Maschine Sicherheitsbauteil EG Konformit tserkl rung erstellen Herstellererkl ru
33. und oder besseren Tests z B CoDeSys spezifischer Test aus Kapitel 10 6 3 auch ein DC von mittel erreicht werden Andererseits k nnte beim Einsatz von Bauteilen minderer Qualit t die MTTF in dem Bereich mittel liegen Somit ergibt sich wie in Abbildung 75 dargestellt f r die in diesem Kapitel behandelten SPSen mit Diagnosefunktion und zus tzlicher Testeinrichtung ein Spielraum f r das PL von b bis d Selbsttests Diplomarbeit Bj rn Ostermann 132 146 abgedeckt Nicht abgedeckt abgedeckt abgedeckt Standard SPS Abbildung 75 prEN ISO 13849 1 Tabelle 7 Vereinfachte Bestimmung des Performance Levels 15 siehe Abbildung 21 mit Eingetragener Auswahl f r Standard SPS Sicherheits SPS und Standard SPS mit Diagnosefunktion Tests nach Kapitel 10 Nach prEN ISO 13849 1 muss beim Einsatz einer Kategorie 2 Steuerung eine Beurteilung der Fehler gemeinsamer Ursachen CCF vorgenommen werden und es muss sichergestellt sein dass die Addition dieser mit Punkten bewerteten Ma nahmen 65 Punkte ergibt Siehe hierzu Kapitel 5 2 3 Abbildung 22 Diese Bewertung kann nur im konkreten Einzelfall durchgef hrt werden Weiterhin m ssen zum Erreichen der Kategorie 2 nach prEN ISO 13849 1 folgende Bedingungen erf llt sein Die Testrate muss mindestens 100 mal gr er sein als die Anforderungsrate der Sicherheitfunktion Die MTTF der Testeinrichtung hier SPS2 muss mindestens halb so lang sein
34. und oder kurze Dauer der Exposition F2 H ufig bis dauernd und oder lange Dauer der Exposition P M glichkeit zur Vermeidung der Gef hrdung M glich unter bestimmten Bedingungen Kaum m glich Abbildung 8 Risikograph nach DIN EN 954 1 14 Zur Auswahl der im konkreten Einzelfall notwendigen Steuerungskategorie der Sicherheitssteuerung wird zuerst die m gliche Schwere einer Verletzung festgestellt die durch die Maschine ohne die zu steuernde Schutzeinrichtungen entstehen kann Es wird bei m glichen Verletzungen nur zwischen leichten blicherweise reversiblen S1 und schweren blicherweise irreversiblen Verletzungen einschlie lich Tod S2 unterschieden In der zweiten Stufe wird die Dauer ber cksichtigt die der Benutzer w hrend des zu betrachtenden Arbeitsvorganges der Gefahr ausgesetzt ist Auch hier wird nur zwischen selten bis fter F1 und h ufig bis dauernd F2 unterschieden Zu beachten ist hierbei dass eine dauernde Gef hrdung w hrend eines seltenen Betriebszustands z B der Wartung trotzdem noch eine dauernde Gef hrdung im Sinne dieser Norm ist Die Norm gibt hierzu ein Beispiel an In der letzten Stufe des Risikographen wird die M glichkeit der Vermeidung der Gef hrdung ber cksichtigt Entweder ist der Benutzer oder eine dritte Person in der Lage die drohende Gefahr zu erkennen und abzuwenden bzw der Benutzer kann sich in Sicherheit bringen Pl oder die Abwendung der Gefahr ist kaum m glich P2 Di
35. wieder von Anfang an beginnt Selbsttests Diplomarbeit Bj rn Ostermann 102 146 Durchgang Erste Pr froutine Selbsttest und Speicheranfang Gew hlte Testbreite 4 Zellen nach oben und unten Pr fung bei voller Feldbreite Letzte Pr froutine Speicherende S f H i i i 1 Test ohne Sichern Test mit Sichern Speicherung der Signatur Kopie der Testvariable Abbildung 60 Grafische Darstellung des Verlaufs einer Pr fung im Bereich der globalen Variablen Im Folgenden wird eine Testroutine zum Pr fen des Inhalts einer einzelnen Speicherstelle innerhalb des Arrays beschrieben deren Flussdiagramm in Abbildung 61 dargestellt ist Selbsttests Diplomarbeit Bj rn Ostermann 103 146 Inhalt des Pr fbereichs sichern Signatur errechnen Pr fbereich mit Muster 01010101 f llen Signatur errechnen Pr fbereich mit Muster 01010101 f llen Signaturen identisch Muster in Zelle korrekt Signatur errechnen Signaturen identisch Muster in Zelle korrekt Aufruf Fehlerbaustein Inhalt des Pr fbereichs Error_FB wieder herstellen Abbildung 61 Flussdiagramm Testroutine Pr fen des Inhalts einer Speicherstelle Die Testroutine sichert als erstes den Inhalt der zu pr fenden Speicherstelle in die Speicherstelle der daf r angelegten globalen Variable SaveVar Hierbei ist es wie in Kapitel 8 4 beschrieben unerheblich welcher Datentyp eig
36. 0 sind ohne den in Kapitel 6 1 4 beschriebenen Eingriff in die Firmware erfolgt Sie beschr nken sich nach der Aufgabenstellung der Diplomarbeit auf die reine Anwender Ebene Durch die hieraus entstehenden Einschr nkungen liegt die erreichbare Sicherheitsstufe deshalb unterhalb der einer Sicherheits SPS 9 2 Strategien der Fehler Entdeckung Mittels Selbsttest ist es meist schwierig einen konkreten Fehler eines bestimmten Bauteils zu finden Es ist jedoch teilweise m glich deren Auswirkungen im System festzustellen Nachfolgend werden die in der Industrie allgemein blichen Strategien zur Feststellung von Systemfehlern durch Selbsttests erl utert Diese sind wie in Kapitel 9 beschrieben geordnet 9 2 1 Li Takt Der vorhandene Takt siehe Abbildung 28 kann mittels eines Watchdogs berpr ft werden der pr ft ob das Programm in einer bestimmten Zeit abgearbeitet wird Dies kann aber nur geschehen wenn der Watchdog eine eigene Taktquelle nutzt Ein solcher externer Watchdog kann meist nur das berschreiten einer festgelegten Zeit feststellen Bessere Ergebnisse werden erzielt wenn der Watchdog mit einem definierten Zeitfenster arbeitet da dann auch ein Uhnterschreiten der vorgegebenen Zeit festgestellt wird Selbsttests Diplomarbeit Bj rn Ostermann 73 146 9 2 2 L2 Programmz hler Ein Programmz hler ist das Register im Prozessor in dem die Adresse des aktuellen Befehls abgelegt ist Nach dem Abarbeiten eines Befehls wird
37. 0s00000s0000000000000002020002n2000202000s00000sn00000n0s0n0000 57 6 33 Echtzetfahlzkeit aan RR IRRE 57 7 Sicherheit emer SPS osisissssssrrisrssesssrsssessssessosssessssokonisosaris sossa eposa ss soies 59 TL Sta dard SPS isisesssositosscneocssnossiosssenssososes tesso ponosne conossen isses inesse renis esotas iaon 59 7 1 1 Einstufung der Standard SPS nach DIN EN 954 1 59 7 1 2 Einstufung der Standard SPS nach prEN ISO 13849 1 loeso 59 7 1 3 Verwendungsm glichkeiten der Standard SPS enneneenn 59 7 2 Sicherheits SPS ansehen nennen kenne 60 7 2 1 Einstufung der Sicherheits SPS nach DIN EN 954 1 60 12 2 Einstufung der Sicherheits SPS nach prEN ISO 13849 1 u 60 7 2 3 Vermendonssmoglichkerten ana aha 61 7 3 SchlussfolgernT s siesisersisescrrecriereriiisosstensteeessiseeestirsserenesisess reas isoon is tass h tece ee Er 61 8 Programmierung einer SPS in AWL nach DIN EN 61131 3 62 8 1 Proseramma blatf ern keaeknie 62 8 2 Programmorganisationseinheiten ssssssssssssssssssssssssssssnsnsssssnnssnssnsnssssssnnsnsssnsene 63 8 2 1 Programmbausten snenia e e a E A a 63 8 2 2 F ktonsba stein nee een 63 8 2 3 Funktions asien 64 8 2 4 Re kuisiver WEL a le een 64 8 3 _ Progsrammiersprachen ansehen 64 8 3 1 Anweisungsliste AWL Text basiert u02000020erssesnseenneensnensnnnnnnnnennnn 64 8 3 2 Strukturierter Text ST Text basiert uses 66 8 3 3 Funktion
38. 1 1 Auswahl der Programmierspraches ae ae 76 10 1 2 Verbesserte Fehlererkennung durch programmtechnische Zusatzfunktionen 76 10 1 3 Implementieren der Tests in SPS Programme enesessenenseenennn 76 10 1 4 Verifikation und Validierung der erarbeiteten Testverfahren 77 10 1 5 Bewertung der Diagnosedeckungsgrade DCs der Testverfahren 77 10 2 Reaktion auf einen erkannten Fehler soesoossessoesocssessossoossessossooesessoesoossosssessossoe 78 10 3 Fehlererkennung durch Ablaufkontrolle sooessoessscssocesocesoocesscessocesoossoosssossssse 79 10 3 1 Tla Standard Watchdog Funktion sssneeseeseeseeseessessesesssressessresseesessresseeseese 79 T03L Erl utening aen22 e kr T N a N A a 79 10 3 1 2 Diagnosedeck nesgrad lorrie e a a E E Ei 79 10 3 2 T2a Selbst programmierte Watchdog Funktion mit Ablaufkontrolle 79 1039 21 Erlauterung2 32 22 u sr NE E a a R a 80 103 22 Algorithmus este nern a E E linieee 84 10 3 2 3 Diagnosedeckungsgrad uusnsenseensenseennnennnennnennnennennenneensnnn nn enneennennn 85 10 4 Fehlererkennung durch Prozessortest ecsssssssessssssssnnnssssssnssnssnnnssnsnnnnsnsnsssssnnnunse 56 10 Voraussetzune nasser Rissen 88 10 42 Erl uterungen senken ni 88 10 4 2 1 T2b Test der bedingten Spr nge unnenessessneesnnesnnnennnnneeennennsennnn nn 88 10 4 2 2 T3 Test des Akkumulators esenseenseenseensnenne
39. 142 146 15 Abk rzungsverzeichnis 35 Firma Smart Software Solutions A Ampere AE Aktuelles Ergebnis ALU Aritmethical Logical Unit f AS EN Ablaufsprache ATEX Atmosph rischer Explosionsschutz AWL Programmiersprache Anweisungsliste Bioa Wert Schaltspieleanzahl bei der statistisch 10 der Stichproben ausfallen BGIA Berufsgenossenschaftliches Institut f r Arbeitsschutz BIA Berufsgenossenschaftliches Institut f r Arbeitssicherheit Bit Kleinste Einheit eines bin ren Speichers Kann nur Eins oder Null enthalten Byte T Speicherstelle aus Acht Bit CAA CoDeSys Automation Alliance CCF Ausfall in Folge gemeinsamer Uhrsachen Common Cause Failure CE Europ ische bereinstimmung franz Conformit Europ en CEN Europ isches Komitee f r Normung franz Comit Europ en de Normalisation CISC Complex Instruction Set Computing CRC Zyklische Redundanz Pr fung Cyclical Redundancy Check ing DC Fehleraufdeckungsrate Diagnostic Coverage DCavg Fehleraufdeckungsrate im Durchschnitt average Diagnostic Coverage DIN Deutsche Industrie Norm EEPROM Elektrisch l schbarer programmierbarer nur lesbarer Speicher Electrically erasable programmable read only memory EFTA Europ ische Freihandelszone EG Europ ische Gemeinschaft EMV Elektromagnetische Vertr glichkeit EMVG Gesetz ber die Elektromagnetische Vertr glichkeit EMV RL Richtlinie ber die Elektromagnetische Vertr glichkeit Verzeichnisse Diplomarbeit Bj rn Osterma
40. 3 4 M glichkeiten f r weitere Tests der Ein und Ausgabehardware 136 13 3 4 1 Doppelter Eingang snipee eanta p ea a AE ae A are an ENEN nennen 136 13 3 4 2 Dynamisches Signal zum Test von Ein und Ausg ngen ceneneneen 136 13 3 5 Erstellung der Testverfahren durch den Hersteller des Compilers 137 Diplomarbeit Bj rn Ostermann 9 146 13 3 6 Synchronisierung zweier SPSen zum zweikanaligen Abarbeiten von Sicherheitsprogrammen een 137 13 3 7 bertragung der erarbeiteten Testverfahren in andere Programmiersprachen EP NER NUT PF AR ENEE N ERGENESMERS EBEN ER ETHRE GERIET RUFEN ei 138 14 Abbild ngsverzeichnis n en en 139 15 Abk rzungsverzeichnis un un nennen 142 16 Literaturverzeichnis 0 2 as 145 16 1 B cher und Zeitschriften eo00e0ooeoeoeoeoeoeoeosceseseseceseoeseseseseseseoesesesessossssssssssso 145 16 2 N LM CM os seciesrscsscsesssiciosssuasteosoisssvessesocdas ieste si soodes osoite ossosa c deses voseo iesea so isos oSs 145 16 3 Richtlinien und Gesetze e eoeoeoeoeoeoeoeoeoeoeoeoeoeoeoeseseseoeseoeoeseseseseoeoessoesesesesesesesssso 146 16 4 Webseiten schusinenseinssnsinien isiissscsseessnebsenedbeasensnsehseeee 146 Einf hrung Diplomarbeit Bj rn Ostermann 10 146 1 Einleitung 1 1 Thema der Diplomarbeit Die Diplomarbeit besch ftigt sich mit speicherprogrammierbaren Steuerungen SPS Diese werden in der Industrie zum automa
41. 8 2 T2b Gegenseitige Funktionskontrolle eeenenennensnnennnen 119 10 8 2 1 Erl uterung eeeesesseeresessnnesnnesnnennnnsnnnnnnnnnnsnnnsnnnsnnnsnnnsnensnensnnnsnnnsnnennsnsnnennnnan 119 10 8 2 2 Algonithmis iea enienakknitaunenimasiinlznaenbenailk 120 10 8 2 3 Diagnosedeckungsgrad 204220402senseenneennennneenneenneenneennnnnnennnennenne nennen 122 10 8 3 T8c Test der redundanten Ausg nge ber r ckgekoppelte Eing nge f r die Zweite SEN Aut nn 123 10 8 3 1 Erl uterung eensaeaken al am Iren min Rah 123 10 8 3 2 Diagnosedeckungsgrad 2204220snseensennseenneenneennennnennennnnnnnennn nennen nn 124 11 bersicht ber m gliche Hardware Probleme und deren L sungen 125 12 Erreichte Erh hung der Sicherheit einer Standard SPS sr 00000 126 12 1 Einstufung der Standard SPS mit Diagnosefunktionen nach EN 954 1 126 12 2 Einstufung der Standard SPS mit Diagnosefunktionen nach prEN ISO 13849 1 128 13 Zusammenfassung 2 euren 133 13 1 E D EE EE RAE E EEA ESA 133 13 2 Praktischer N tz n sssini eon esssoso nisseno sineas onse oeei eeraa oS 133 13 3 AusblEck sssrds ieaie issia sses d sasos canoso aaeeeo eesse daas sio bisses ieoa ssas e he 134 13 3 1 Fehlernummern speichern a ae Ense 134 13 3 2 Erh hen der niedrigen Diagnose Deckungsgrade DCs ee 134 13 3 3 Verbesserung der Wirksamkeit der Speichertests durch Hardwareinfornationen Haase 134 13
42. Anfang und das Ende des Bereichs relativ problemlos erfasst werden k nnen Besitzt der Programmierer weitere Kenntnisse ber das Layout der einzelnen Speicherbereiche im RAM so k nnen von diesem Test auch dar ber hinausgehende Speicherbereiche insbesondere der Bereich der freien Variablen erfasst werden Die ersten sechs Stellen des Bereichs der globalen Variablen werden von diesem Test f r zwei Signaturspeicher einen Speicher zum Sichern des Inhalts der zu pr fenden Speicherstelle interne Z hlvariablen verwendet Diese Speicherstellen d rfen von diesem Test nicht ber die eigentliche Testroutine gepr ft werden sondern m ssen durch die testeigene Selbstpr fung berwacht werden Wie beim Test der globalen Variablen legt der Programmierer eine Signaturbreite fest Diese gibt an wie viele Speicherstellen vor und hinter der zu testeten Variablen der Signaturbildung dienen Zus tzlich legt der Programmierer die erste zu pr fende Speicherstelle und die L nge des hinter dieser Stelle zu berpr fenden Bereichs fest Die verschiedenen Speicherbereiche die mit diesem Test getestet werden k nnen liegen im RAM physikalisch nicht unbedingt hintereinander Sie k nnen durch Speicherbereiche die nicht getestet werden k nnen z B Programmspeicher getrennt sein Um solche nicht zusammenh ngenden Bereiche im Speicher nacheinander testen zu k nnen gibt der Test in einer daf r vorgesehenen Variablen an ob er den Gesamtte
43. Anforderungen beziehen sich auf die im Rahmen der Maschinenfunktion von der Steuerung auszuf hrenden Funktionen und haben insofern mit dem hier behandelten Thema nur indirekt zu tun 5 1 1 1 Sicherheit und Zuverl ssigkeit von Steuerungen Anhang I der MRL fordert dass Steuerungen sicher und zuverl ssig funktionieren m ssen 1 2 1 Sicherheit und Zuverl ssigkeit von Steuerungen Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 34 146 Steuerungen sind so zu konzipieren und zu bauen dass sie sicher und zuverl ssig funktionieren und somit keine gef hrlichen Situationen entstehen Insbesondere m ssen sie so konzipiert und gebaut sein dass sie den zu erwartenden Betriebsbeanspruchungen und Fremdeinfl ssen standhalten Fehler in der Logik zu keiner gef hrlichen Situation f hren 26 F r die Programmierung einer Standard SPS mit Diagnosefunktionen bedeutet dies dass Fehler im Programmablauf die zu gef hrlichen Situationen an der Maschine f hren k nnen durch das Programm rechtzeitig erkannt werden m ssen Das Programm muss dann so reagieren dass diese gef hrlichen Situationen vermieden werden 5 1 1 2 St rung des Steuerkreises Anhang I der MRL fordert in Nr 1 2 7 dass St rungen im Steuerkreis nicht zu gef hrlichen Situationen f hren Ein Defekt in der Logik des Steuerkreises eine St rung oder Besch digung des Steuerkreises darf nicht zu gef hrlichen Situationen f hren Insbesondere ist folgend
44. BGIA Fachhochschule g i Berufsgenossenschoftliches Bonn Rhein Sieg e Institut f r Arbeitsschutz Diplomarbeit Entwickeln und Bewerten Fehler erkennender Programmbausteine in speicherprogrammierbaren Steuerungen SPS zur Erh hung deren Sicherheit Fachhochschule Bonn Rhein Sieg Fachbereich EMT Studiengang Maschinenbau Mechatronik Grantham Allee 20 53757 Sankt Augustin Vorgelegt von Bj rn Ostermann Erstpr fer Prof Dr Josef Vollmer Zweitpr fer Prof Dr Wolfgang Joppich Sankt Augustin 14 Juli 2006 Diplomarbeit Bj rn Ostermann 2 146 Das Einsatzgebiet der Standard SPS im Bereich sicherheitstechnischer Steuerungen ist durch die Einstufung in die unterste Sicherheitsstufe Kategorie 1 Performance Level a stark eingeschr nkt und nach der heute g ltigen DIN EN 954 1 nur unter Anwendung zus tzlicher sicherheitstechnischer Ma nahmen m glich Die Sicherheits SPS kann zwar in allen Bereichen der sicherheitstechnischen Steuerungen eingesetzt werden Kategorie 4 Performance Level e ist aber durch ihren hohen Preis in den niedrigen Sicherheitsstufen unwirtschaftlich aus Kapitel 7 3 Diplomarbeit Bj rn Ostermann 3 146 Danksagung Zum Gelingen dieser Arbeit haben mehrere Personen beigetragen bei denen ich mich an dieser Stelle bedanken will Dies sind die Mitarbeiter des BGIA die mir durch Fachdiskussionen und Hinweisen auf Literatur oft weitergeholfen haben Insbesond
45. Bediener abzuwenden Pfad SI F1 P2 muss eine Standard SPS des PL b verwendet werden Im Gegensatz zur DIN EN 954 1 verlangt die prEN ISO 13849 1 in diesen F llen allerdings keinen Einsatz zus tzlicher Ma nahmen 7 2 Sicherheits SPS 7 2 1 Einstufung der Sicherheits SPS nach DIN EN 954 1 Die meisten Sicherheits SPSen sind in der h chsten Kategorie 4 der DIN EN 954 1 zertifiziert da sie nach ihrer Beschreibung in Kapitel 6 1 4 alle Vorraussetzungen der Tabelle 2 dieser Norm siehe Abbildung 7 erf llen Die wenigen Sicherheits SPSen die diese Kategorie nicht erf llen werden in dieser Diplomarbeit nicht weiter betrachtet 7 2 2 Einstufung der Sicherheits SPS nach prEN ISO 13849 1 Diese Sicherheits SPSen der Kategorie 4 sind auch nach der prEN ISO 13849 1 der Kategorie 4 zuzuordnen Die Bedingungen f r die Einteilung der Steuerungen in Kategorien sind wie in Kapitel 5 2 3 beschrieben f r die Kategorie 4 in der prEN ISO 13849 1 die gleichen wie f r die Kategorie 4 in der DIN EN 954 1 Neben der schon festgestellten Kategorie 4 hat eine solche Sicherheits SPS die in Kapitel 6 1 4 beschriebenen Selbsttests mit hohem Diagnosedeckungsgrad und eine hohe MTTF siehe Abbildung 17 der verwendeten Bauteile Dadurch erreichen die am Markt verf gbaren Sicherheits SPSen nach der in der nachfolgenden Abbildung 34 dargestellten Tabelle 7 aus der prEN ISO 13849 1 den h chstm glichen Performance Level e Technische
46. DC wie die restlichen Teile besitzt Aus diesem Grund kann sie f r die Berechnung des durchschnittlichen DC vernachl ssigt werden da hierbei nur ein gewichteter Mittelwert der DCs berechnet wird Der Watchdog selbst kann nicht berwacht werden Er hat daher einen DC von 0 Die Eing nge werden in diesem Beispiel durch den Test der redundanten Eing nge Kapitel 10 7 2 getestet Da sie regelm ig angesprochen werden erhalten sie danach einen DC von 90 Selbsttests Diplomarbeit Bj rn Ostermann 131 146 Die Ausg nge werden durch den Test ber r ckgekoppelte Eing nge Kapitel 10 7 3 st ndig berwacht und haben somit einen Diagnosedeckungsgrad von 99 Aus der nachfolgenden Formel Soe DC MTTF N DC ag EN N 1 F MTTF gesamt DIT A Fi i D MTTF Abbildung 74 Formel zur Berechnung des durchschnittlichen DCs nach prEN ISO 13849 1 Anhang E 2 15 MTTF gesamt aus Abbildung 14 siehe Abbildung 19 ergibt sich ein durchschnittlicher Diagnosedeckungsgrad 0 0 0 0 0 0 DC 49 Jahre RA 0 WA pa 0 22 88 1522 Jahre 228Jahre 114Jahre 2283Jahre 285Jahre 571Jahre von 88 Nach der Tabelle in Abbildung 20 liegt dieser an der oberen Grenze von niedrig Angewendet auf die Tabelle in Abbildung 75 wird mit einer Kategorie 2 Steuerung einem niedrigen DC und einer hohen MTTF ein Performance Level von c erreicht In der Praxis k nnte durch andere Bauteile mit geringeren Ausfallraten
47. ERROR_FB aufgerufen 10 7 3 3 Diagnosedeckungsgrad Die Effizienz dieses Tests liegt bei gr er gleich 99 Das Ein und Ausschaltverhalten der Ausg nge kann zwar nur im eingeschalteten Zustand gepr ft werden das Ausschalten unterliegen aber einer st ndigen berwachung Kommt es zu einem Fehler an einem der beiden Ausg nge oder nach geschalteten Relais der das Abschalten verhindert so kann es zu einem kritischen Zustand kommen Der Stromverlauf kann dann durch die SPS nicht mehr unterbrochen werden obwohl der Fehler bemerkt wird Dieses Problem wird in Kapitel 0 dieser Diplomarbeit aufgegriffen und eine L sung mittels eines redundanten Systems durch zwei SPSen vorgestellt Zus tzlich zur Fehlererkennung des mit diesem Test getesteten Ausgangs wird hierdurch auch ein Fehler im verkn pften Eingang festgestellt Die durch diesen Test getesteten Eing nge sollten gleichm ig auf alle Eingangskarten verteilt werden um somit alle Eingangskarten auf Fehler in jeweils gemeinsam genutzten Bauteilen zu testen Siehe hierzu auch Ausblick in Kapitel 13 3 4 2 Der DC des in diesem Kapitel beschriebenen Tests ist auf die Eing nge bezogen allerdings geringer als der DC des im Ausblick beschriebenen Tests da hier kein regelm iges dynamisches Signal eingesetzt wird Der konkrete DC ist von der Anzahl der gemeinsam genutzten Bauteile abh ngig und kann aus diesem Grund nicht allgemeing ltig angegeben werden Selbsttests Diplomarb
48. Endlosschleife l st nach kurzer Zeit den Watchdog der SPS aus Error JMP Error Abbildung 42 Allgemein bliche Reaktion auf einen erkannten Fehler Es besteht aber die M glichkeit dass ein schnelleres Abschalten n tig ist als es der Watchdog zul sst oder das der Watchdog selbst einen Fehler hat und es dadurch zu gar keinem Abschalten kommt Ist eine zweite SPS wie ab Kapitel 10 8 erl utert zur berwachung zugeschaltet w rde diese im Fall des Nichtabschaltens den Fehler sehen und ihrerseits allerdings erst einige Zyklen sp ter abschalten In dieser Diplomarbeit wird im Fehlerfall ein Baustein aufgerufen der vor der o a erzwungenen Schleife weitere Befehle ausf hren kann So kann z B der Speicherbereich der die Ausgangswerte der Ausg nge der SPS enth lt vor der Schleife in einen definierten Zustand im Bespiel Null versetzt werden Zus tzlich wird eine speicherresistente Variable Fehler_bemerkt gesetzt die im Fehlerfall ein erneutes Starten durch den Bediener verhindert siehe Abbildung 44 Ein m glicher Fehler beim Funktionsaufruf wurde bedacht weshalb auch im aufrufenden Funktionsbaustein eine Endlosschleife programmiert ist siehe Abbildung 43 Beliebiger Testbaustein Ta Error CAL FB_ERROR Aufruf des Fehlerbausteins Cal Error JMP Cal Error Schleife im Falle des Versagens des CAL Befehls Abbildung 43 Aufruf des Bausteins FB_ERROR in einem beliebigen Testbaustein
49. ISO 13849 1 die gleichen wie f r die Kategorie B in der DIN EN 954 1 Da die SPS lediglich Kategorie B erreicht und au er dem Watchdog und der CRC Pr fung siehe hierzu Kapitel 6 4 keine sicherheitstechnischen Testeinrichtungen und somit auch keinen Diagnosedeckungsgrad besitzt kann sie abh ngig von der MTTF der einzelnen Komponenten die Performance Level a und b erreichen siehe hierzu Tabelle 7 der prEN ISO 13849 1 in Abbildung 34 7 1 3 Verwendungsm glichkeiten der Standard SPS Nach dem Risikographen der DIN EN 954 1 in Abbildung 8 kann eine einzelne Standard SPS unter zu Hilfenahme weiterer Ma nahmen f r die sicherheitstechnische Steuerung von Maschinen eingesetzt werden die entweder leichten Verletzungen hervorrufen k nnen Pfad S1 oder f r solche die schwere Verletzungen verursachen wenn diese selten auftreten und vom Bediener verhindert werden k nnen Pfad S2 F1 P1 Technische Grundlagen Diplomarbeit Bj rn Ostermann 60 146 Dieser Anwendungsbereich wird nach prEN ISO 13849 1 siehe Abbildung 9 eingeschr nkt Hiernach kann eine Standard SPS nur noch eingesetzt werden wenn durch die Gefahrstelle an der Maschine lediglich leichte Verletzungen entstehen k nnen die selten auftreten Pfad S1 F1 Hierbei sind zwei F lle zu unterscheiden Wenn diese Verletzungen vom Bediener verhindert werden k nnen Pfad SI F1 P1 gen gt eine Standard SPS mit PL a Sind diese Verletzungen nicht vom
50. Inhalt einer ungeraden Anzahl von Speicherzellen so wird dies durch den Vergleich der Signaturen erkannt Eine nderung einer graden Anzahl von Speicherzellen bleibt unerkannt siehe Abbildung 58 Dieser Mangel ist typisch f r eine Signaturbildung mit der XOR Funktion In den beschriebenen Tests wird dies dadurch aufgefangen dass das Testmuster von Test zu Test sich um jeweils eine Speicherstelle verschiebt siehe Abbildung 60 Dadurch wird in einem der folgenden Schritte eine der defekten Speicherstellen von der Signatur nicht mehr abgedeckt und aus der dann geraden Anzahl an defekten Speicherstellen wird eine ungerade die wiederum erkannt wird 3 010 xor 10 0 Ge nderte Speicherzelle Unerkannter Doppelfehler Erkannter Einzelfehler Erkannter Dreifachfehler Abbildung 58 zweite Signaturbildung ber 3 Speicherzellen mit Fehlern vgl Abbildung 57 Selbsttests Diplomarbeit Bj rn Ostermann 101 146 10 6 2 2 Algorithmus Der Test gliedert sich in eine Hauptfunktion und vier Nebenfunktionen auf Die Hauptfunktion ist in Abbildung 59 im Flussdiagramm dargestellt Frster Aufruf der Funktion Anfangstest erledigt Testende erreicht Initialisieren der benutzten Variablen Selbsttest der benutzten Speicherbereiche Wenn Test beendet alle Variablen auf Startposition setzen Merken ob Anfangstest erledigt ist Abbildung 59 Flussdiagramm Test des Bereich
51. MTTFd paralleler Kan le aus prEN ISO 13849 1 Anh n D 2 13 222 2 020en een AE E EE AE regen 44 2 Kan le einer Kategorie 4 Schaltung ennnensnsensenensenen sen 45 prEN ISO 13849 1 Tabelle 5 Mittlere Zeit bis zum gef hrlichen Ausfall MTTF 45 Begriffserl uterung DEr 2 8 2 8 area aa in RER dann 45 Formel zur Berechnung des durchschnittlichen DCs nach prEN ISO 13849 1 Anhang E25 MTTF a pesam aus Abbildung IA 0425er 45 Abbildung 20 Bestimmung des Grads der Fehleraufdeckung nach prEN ISO 13849 1 15 46 Abbildung 21 prEN ISO 13849 1 Tabelle 7 Vereinfachte Bestimmung des Performance Levels 15 ART EEE T E T E SEELEN AE 46 Abbildung 22 Auflistung von Schutzm glichkeiten gegen CCF nach prEN ISO 13849 1 Tabelle F 1 entnommen aus 2 Abbildung 31 u0snseenseensensennneennennnnnnnnnnnnnnnnen nen 47 Abbildung 23 Schrank SPS von SIEMENS uuenseensseseessneesneesnnsnnennnnsnennnnnnennsnenneenn essen eenennnnnenn 48 Abbildung 24 Einfache Portierung eines Soft SPS Programms von Windows auf einen PocketPC 49 Abbildung 23 8lot SPSen a n a nnssneuenealinn ame nase n ah RA aA EE 50 Abbildung 26 Standard SPS S5 115U von Siemens uersserseersnessnensnnensnnnsnnnneenneennenneen nennen 51 Abbildung 27 Sicherheits SPS von PILZ eesensenssensensensnennnennnennnnnnnennnnnennsennse esse ense rianas 52 Abbildung 28 Prinzip der Eingabe Verarbeitung und Ausgabe
52. Ostermann 42 146 Performance Leva PL Durchschnittliche Wahrscheinlichkeit des Auftretens eines gef hrlichen Ausfalls 1 h gt 10 bis gt 10 gt 3 10 bis gt 10 gt 10 bis gt 3 10 gt 10 bis gt 10 gt 10 bis gt 10 olajos Abbildung 10 prEN ISO 13849 1 Tabelle 3 Performance Level 15 Die prEN ISO 13849 1 beginnt beim Bewerten einer Steuerung wie die DIN EN 954 1 mit der Einteilung der Steuerung in Kategorien Dabei beh lt sie die Einteilung der Steuerung in Steuerungskategorien aus der DIN EN 954 1 bei Lediglich die Kategorie 2 erh lt eine h here Anforderung da hier eine zus tzliche Testeinrichtung mit einem separaten Abschaltpfad gefordert ist Zus tzlich wird in der prEN ISO 13849 1 ab der Steuerungskategorie 2 eine Bewertung der Ausf lle gemeinsamer Ursachen Common Cause Failure CCF gefordert Diese Bewertung wird am Ende dieses Kapitels erl utert Auf der Basis der ermittelten Steuerungskategorie wird sp ter der Performance Level ermittelt Dazu muss auch noch die mittlere Zeit bis zu einem gef hrlichen Ausfall des Ger ts Mean Time To Failure dangerous MTTF und die Fehleraufdeckungsrate im Durchschnitt Diagnostic Coverage average DCag bestimmt werden Der Gesamtzusammenhang ist in Abbildung 11 dargestellt Bestimmung des PL prEN ISO 13849 1 DC des Bauteils bestimmen Kategorie bestimmen MTTF des Baute
53. PS mitzuteilen dass die eigene SPS noch lebt Eing nge Anzahl wie oft die gleiche Zahl von der anderen SPS Equals_till_ Error in Folge empfangen werden darf ListenStatus_last_differ Maximaler Zahlenunterschied zwischen der aktuellen enz Max empfangenen Zahl und der zuletzt gepr ften Zahl Ausg nge Anzeige ob beide SPSen bereit sind den Test zu starten Dies ist n tig damit eine SPS die zuerst andereSPSl uft 3 i N eingeschaltet wird keinen Fehler meldet weil sie nichts empf ngt Genutzte globale Variablen SendStatus Speicherstelle zum Absenden von Informationen LastSend Zuletzt gesendete Nummer ListenStatus Speicherstelle zum empfangen von Informationen ListenStatus_last Zuletzt empfangene Information 10 8 2 1 Erl uterung Bei der Verwendung einer einzelnen Standard SPS mit Diagnosefunktionen k nnen Fehler auftreten die nicht bemerkt werden bzw zwar bemerkt werden aber auf die nicht reagiert werden kann Diese Fehler k nnen dazu f hren dass die SPS nicht abschalten kann Dadurch kann ein gef hrlicher Zustand herbeigef hrt werden Die verhinderte Abschaltfunktion kann von einer zweiten SPS bernommen werden siehe Kapitel 10 8 Um sicherzustellen dass die zweite SPS nicht selbst bereits durch einen Fehler ausgefallen ist muss auch diese berwacht werden Dies kann von der ersten SPS bernommen werden In diesem Test dargestellt wie eine gegenseitige berwachung zweier SPSen realisiert werden kann
54. Programm vor der Ausf hrung komplett in den fl chtigen Speicher das RAM bertragen Die Gr e des RAM liegt blicherweise zwischen 16 KByte und 1 MByte Technische Grundlagen Diplomarbeit Bj rn Ostermann 54 146 6 2 3 Ein und Ausg nge Die Informationen aus diesem Kapitel sind dem Buch 13 entnommen Bei einer SPS verf gen die Eingangs bzw Ausgangskarten ber mehrere Ein bzw Ausg nge Die Eingangssignale verschiedener Eing nge werden dabei innerhalb der Eingangskarte zum Teil ber unterschiedliche und zum Teil ber dieselbe Hardware verarbeitet siehe Abbildung 29 Dies gilt analog auch f r die auf der Ausgangskarte enthaltenen Ausg nge Ein einzelner Eingang einer Eingangskarte besteht aus Anschlussklemmen f r das Eingangssignal einem internen Relais einem Schalter einem RC Filter einer galvanischen Trennung einem Schwellwertschalter einem Anschluss an den internen Bus der SPS Eingangskarte Einzeln Einzeln genutzte genutzte Hardware Hardware Eingangsklemme 1 un gang Prozessor Gemeinsam genutzte Hardware Zum Eingangsklemme 2 Prozessor i Zum Eingangsklemme 3 Prozessor Abbildung 29 Signalweg durch eine Eingangskarte Die Eingangskarte siehe Abbildung 30 wird in der Regel mit 24 V Gleichstrom betrieben Diese Spannung schlie t wenn sie an einem Eingang anliegt ber ein internes Relais einen Schalter Wenige SPSen lassen auch 230 V Wechselspannung am Eingan
55. S handelt es sich um einen Computer mit Ein und Ausgabeschnittstellen die f r den Anschluss von Sensoren und Aktuatoren gedacht sind Die SPS wird haupts chlich in der Automatisierungstechnik zum Steuern und Regeln von Maschinen und Anlagen eingesetzt Auf dem Markt existieren verschiedene SPS Arten die in Kapitel 6 1 beschrieben werden Im Rahmen dieser Diplomarbeit wurden die Selbsttests die in Kapitel 10 beschrieben werden auf der Soft SPS siehe Kapitel 6 1 2 von CoDeSys getestet Die Ergebnisse wurden allerdings im Hinblick auf eine Verwendung in einer Schrank SPS beurteilt weshalb sich das Kapitel 6 2 mit dem generellen Aufbau einer Schrank SPS befasst ohne konkrete Ger tedaten anzugeben 6 1 SPS Arten Zur Zeit gibt es auf dem Markt drei Arten von SPS Systemen Die Schrank SPS die Soft SPS und die Slot SPS Zus tzlich wird in Standard SPS und Sicherheits SPS SSPS unterschieden 6 1 1 Schrank SPS Die Schrank SPS ist die klassische SPS in der Automatisierungstechnik Ihr Name kommt daher dass sie wie in Abbildung 23 zu sehen im Schaltschrank einer Maschine installiert ist Die in dieser Diplomarbeit entwickelten Selbsttests sind im Hinblick auf den Hardwareaufbau einer solchen SPS programmiert Ihr Aufbau wird im Kapitel 6 2 konkret beschrieben 1m nsis a ACCADA AEM NA ANA A aa ai W Y NN TA Abbildung 23 Schrank SPS von SIEMENS Technische Grundlagen Diplomarbeit Bj rn Ostermann 49 146 6 1 2 Soft
56. SPS Eine Soft SPS ist eine SPS die auf einem PC simuliert wird Dies bietet die M glichkeit einer einfachen Visualisierung und einer schnellen nderbarkeit der Programme bzw wie in Abbildung 24 zu erkennen der einfachen Portierbarkeit auf PC hnliche Ger te Die schnelle nderbarkeit ist dadurch gegeben dass SPS und Programmierumgebung in einem Ger t vereinigt sind Die Portierbarkeit h ngt vom Verbreitungsgrad der Soft SPS Umgebung auf anderen Ger ten als dem PC bzw anderen Betriebssystemen als Windows ab Abbildung 24 Einfache Portierung eines Soft SPS Programms von Windows auf einen PocketPC Der gr te Nachteil dieser SPS Art liegt darin dass ein PC nicht Echtzeitf hig ist Das Betriebssystem und andere laufende Programme k nnen die Simulation ausbremsen oder ganz anhalten Aus diesem Grund allein ist eine sicherheitstechnische Ert chtigung einer Soft SPS nicht sinnvoll und wurde im Rahmen dieser Diplomarbeit nicht verfolgt F r weitere Angaben zur Echtzeitf higkeit siehe Kapitel 6 5 Die in dieser Diplomarbeit entwickelten Selbsttests wurden zur Simulation zwar auf einer Soft SPS getestet sind aber nicht f r den Betrieb auf einer Soft SPS geeignet Der Prozessortest ist auf den Befehlsumfang einer Schrank SPS ausgelegt der Prozessor eines Computers auf dem die Soft SPS l uft hat aber einen wesentlich gr eren Befehlsumfang der ebenfalls zu gef hrlichen Ausf llen f hren kann Auch der Speicher des Computers is
57. Steuerungen usensensensennsennseennennne nennen 33 5 1 1 2 St rung des Steuerkreises nanseesseessnessnennennnnenennnennnennnnnnneenneensenneenennnennnnnnnenn 34 5 1 2 Anhang II EMV Richt Se nee 34 5 2 Aus den Regeln der Technik eeesooesoocssocessccssocesocescosssocssocesocesoosssocessecssocesocssooseso 36 5 2 1 Einteilung von Steuerungen in Steuerungskategorien DIN EN 954 1 36 5 2 2 Bewerten der Wirksamkeit von Diagnosefunktionen DIN EN 61508 40 5 2 3 Einteilung von Steuerungen in Performance Level prEN ISO 13849 1 40 5 2 4 Speicherprogrammierbare Steuerungen DIN EN 61131 47 6 Funktionsbeschreibung einer SPS esesssocccssssoccecssoocecessooecesssoocesssscoseeeso 48 6 1 SPS Arten san nn eeheiehnaiesesneiseheuskreslichensgen 48 6 1 1 Schrank SPS ee ee Ea E a TE 48 6 1 2 Soft SPS 2 0 iaslureielieie 49 6 1 3 Slot SPS ED ea a a naer a e e ai 50 6 1 4 Sicherheils SPS SSPSE sn na u Ei 50 Diplomarbeit Bj rn Ostermann 6 146 6 2 Hardware der Schrank SPS secsoesoessesooesocssessoesosssessossosssossoosseesossooesossoessossossssee 52 6 2 1 PIOZEssor 2a Er Eee aa 53 6 2 2 Speicher inea e T E a E E RE 53 6 2 3 Ein Und AUSTanBes a ati EA O EES ARR 54 6 3 SPSSSOH Ware anne sonnas reasons anson as soio sa besean as ska esios 56 6 3 1 Zyklischer Abla finiren iranienne eich ana 56 6 3 2 Aufteilung des Speichers 2a a 56 6 4 _ Fehlererkennung in der SPS 000e000
58. _till_Error Nein Nein Variable Aufruf Equals_occured auf Fehlerbaustein 0 setzen und aktuelle gesendete Variable als letzte empfangene Variable speichern Error_FB Abbildung 68 Flussdiagramm Sende und Empfangseinheit Ablauf berwachung mit zwei SPS Der Funktionsbaustein ABLAUF_UEBERWACHUNG_ SEND inkrementiert bei seinem Aufruf als erstes die Variable LastSend und schickt diese ber den Feldbus an die jeweils andere SPS Danach wird f r die weitere Pr fung die Differenz zwischen der zuletzt und der aktuell empfangenen Variablen der jeweils anderen SPS gebildet Durch die Differenzbildung wird ein Fehler bei einem berlauf der Variablen am Ende ihres Wertigkeitsbereich 32 bit 0 4 294 967 296 verhindert Hiernach wird zwischen zwei F llen unterschieden Selbsttests Diplomarbeit Bj rn Ostermann 122 146 Fall Eins die errechnete Differenz ist Null Ist die Differenz Null also die gesendete Variable seit dem letzten Auslesen nicht ge ndert worden so wird eine Testinterne Variable Equals_occured inkrementiert um diese Zyklen zu z hlen Diese Variable wird danach berpr ft ob sie einen vorgegebenen Wert berschritten hat Dieser vorgegebene Wert ist abh ngig von dem Zeitunterschied zwischen den Zyklen der beiden SPSen und der Geschwindigkeit des Datenaustausches Im konkreten Einzelfall muss dieser Wert empirisch ermittelt werden so dass er sicher keinen Fehlalarm ausl st Es ist hierbei zu beach
59. alen Variablen angelegt werden ber den gleichen Bereich und einen dar ber hinaus gehenden Sicherheitsbereich wurde f r den in dieser Diplomarbeit programmierten Test ein Array bestehend aus Variablen der Variablenart Double Words angelegt Dieser Array kann maximal den gesamten Bereich der globalen Variablen umfassen Dies ist die gr te Variablenart 32 bit die nach DIN EN 61131 3 verwendet werden kann Hierbei wurde davon ausgegangen dass der Prozessor der SPS ein 32 bit Prozessor ist und somit solche Variablen in einem Schritt verarbeiten kann Ist dies nicht der Fall so muss auf kleinere Variablenarten 16 bit 8 bit zur ckgegriffen werden Weiterhin belegt dieser Test zwei Speicherstellen gleicher Art vor dem angelegten Array die er selbst f r das Sichern der gepr ften Speicherstelle sowie f r das Sichern der Signatur ben tigt Ein Array ist eine Menge von Variablen derselben Variablenart die in einer bestimmten Struktur angeordnet sind In der Programmierung werden in der Regel eindimensionale Variablen in Reihe angeordnet zweidimensionale Variablen im Feld angeordnet und dreidimensionale Variablen im Raum angeordnet Arrays genutzt Der Array der f r diesen Test angelegt werden soll muss eindimensional sein Durch diesen Array ist es m glich die Speicherpr fung in einer Schleife laufen zu lassen da die Nummer des Anzusprechenden Speicherbereichs als Variable an den Array bergeben werden kann und somit vo
60. ame Vorschriften beschlossen Dies wird als Harmonisierung der Rechtsvorschriften bezeichnet Im Bereich des freien Warenverkehrs sind dies in der Regel Richtlinien die dann noch in nationales Recht bernommen werden m ssen Diese Richtlinien sind heute auf Artikel 95 des EG Vertrages gest tzt und enthalten formale Anforderungen wie auch Sicherheits und Gesundheitsanforderungen Die EG besteht heute aus 25 Mitgliedstaaten Belgien D nemark Deutschland Estland Finnland Frankreich Griechenland Irland Italien Lettland Litauen Luxemburg Malta Niederlanden sterreich Polen Portugal Schweden Slowakei Slowenien Spanien Tschechien Ungarn das Vereinigte K nigreich und Zypern Zusammen mit den drei Staaten der Europ ische Freihandelszone EFTA Island Liechtenstein und Norwegen bilden die EG Staaten den europ ischen Wirtschaftsraum EWR in dem hinsichtlich des freien Wahrenverkehrs die gleichen Vorschriften gelten Die Schweiz hat politisch gesehen eine Sonderrolle kann aber faktisch im Bereich des Handels mit Maschinen und somit auch mit Maschinensteuerungen den oben genannten Staaten gleichgestellt werden Eine genaue historische Zusammenfassung der Bildung der EG sowie eine Erl uterung der Sonderrolle der Schweiz befinden sich in Anhang I dieser Diplomarbeit Zum Inhalt dieses Kapitels siehe auch Quellen 12 19 und 31 Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 17 146 4 2 Europ ische Maschine
61. amm geforderten Ausgangswerte in einer globalen Variablen zwischenspeichern die erst ber das Testprogramm auf den wirklichen Ausgangsspeicher weitergeleitet wird Aus diesem Grund ist das Testprogramm am Ende des Programmzyklus aufzurufen da es so den gew nschten Wert vor dem eigentlichen Setzen der Ausg nge schreiben kann 10 7 3 2 Algorithmus Der Gesamttest gliedert sich auf in eine Hauptfunktion die die eigentlichen Tests in den zwei Nebenfunktionen vorbereitet und aufruft zwei Nebenfunktionen Die Hauptfunktion ist in Abbildung 64 im Flussdiagramm dargestellt und im nachfolgenden Text beschrieben Selbsttests Ausgangspaar 1 Setzen der restliche Ausg nge auf gew nschtes Ergebnis Ein oder beide Ausg nge sind eingeschaltet nein Setze beide Ausg nge auf ausgeschaltet und den Reset Marker auf WAHR Diplomarbeit Bj rn Ostermann Ausgangspaares 112 146 Ausgangspaar 2 n Beide Ausg nge sind ausgeschaltet nein Setzen beide Ausg nge auf eingeschaltet und den Reset Marker auf WAHR Pr fe ob beide Ausg nge ausgeschaltet werden k nnen Pr fe ob beide Ausg nge ausgeschaltet sind Pr froutine erfolgreich beendet ja Setze Merker nein Ausgangspaar auf n chstes Ausgangspaar 4 Setze Merker Fehlerhafte Pr fungen zur ck Abbildung 64 Flussdiagramm Test der Ausg nge Nach der Auswahl des zu test
62. auf der u a CD Als Anlage liegt der Diplomarbeit eine CD mit den o a Quelltexten bei Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 16 146 4 Rechtliche Grundlagen f r die Sicherheit von Steuerungen SPSen sind Produkte des freien Warenverkehrs Sie unterliegen damit den staatlichen Vorschriften die das in Verkehr bringen solcher Produkte regeln Diese staatlichen Vorschriften fu en im Europ ischen Wirtschaftsraum EWR auf einheitlichen europ ischen Regelungen in denen Anforderungen an die Sicherheit und den Gesundheitsschutz formuliert sind Der Gesamtzusammenhang der europ ischen Regelungen und deren Auswirkung auf das in Verkehr bringen einer SPS mit Diagnosefunktionen wird in diesem Kapitel dargestellt Hierbei ist besonders die europ ische Maschinenrichtlinie 26 MRL zu beachten die in ihrem technischen Anhang konkrete Anforderungen an die sicherheitstechnische Funktion von Steuerungen und damit auch an eine SPS mit Diagnosefunktionen stellt 4 1 Europ ischer Binnenmarkt Eines der gro en Ziele der Europ ischen Gemeinschaft EG ist der freie Warenverkehr zwischen den Staaten dieser Gemeinschaft Dieses Ziel ist inzwischen weitgehend erreicht Dazu mussten insbesondere die Handelshemmnisse die sich aus den unterschiedlichen nationalen Inverkehrbringens Vorschriften f r die Produkte ergaben die am freien Warenverkehr teilnehmen sollen abgebaut werden Im Europ ischen Parlament und Rat werden deshalb gemeins
63. aus Abbildung 33 Aufteilung des RAM Speichers Der Bereich der globalen Variablen des RAMs kann vom Anwender direkt adressiert und damit komplett angesprochen und somit auch getestet werden Das gleiche gilt f r den Bereich in dem das Abbild der Ein und Ausg nge gespeichert ist Im Bereich der freien Variablen und der speicherresistenten Variablen k nnen nur die Speicherstellen angesprochen und damit getestet werden die auch einer Variablen zugeordnet sind Der dem AE zugeordnete Speicherbereich der ebenfalls im RAM untergebracht ist wird mittels des bereits im Kapitel 10 4 2 2 beschriebenen Tests des Akkumulators gepr ft 10 6 1 T6 RAM Test der benutzten Variablen Die nachfolgende Tabelle enth lt die Bezeichnungen der f r diesen Test verwendeten Funktionen und Variablen Selbsttests Diplomarbeit Bj rn Ostermann 92 146 Name der Hauptfunktion Namen der Nebenfunktionen Kurzbeschreibung Eing nge Anzahl_Durchl ufe_bis _Gesamttest Ausg nge keine Genutzte globale Variablen Aktueller_Var_Test Start_Var_Test Ende_Var_Test Begonnen_Var_Test Beendet_Var_Test VARSTESTERESET VAR_TEST_BOOL VAR_TEST_BYTE VAR_TEST_DINT VAR_TEST_DWOR D VAR_TEST_GLOBALS VAR_TEST_INT VAR_TEST RESET VAR_TEST_SINT VAR_TEST_UDINT VAR_TEST_UINT VAR_TEST_USINT VAR_TEST_WORD Test des Speicherorts von dynamisch zugewiesenen Variablen Die Anzahl der Zyklen bis alle angegebenen Variablen einmal getestet w
64. auteile aus prEN ISO 13849 1 Anhang D 1 15 Da die Norm in anderen Abschnitten davon ausgeht dass alle Zeiten bis zum gef hrlichen Ausfall gleich sind findet sich im Anhang D der prEN ISO 13849 1 eine Formel mit der ein mittlerer MTTFa f r parallele Kan le berechnet werden kann siehe Abbildung 15 C1 und C2 stehen f r Kanal 1 bzw 2 zur Mehrkanaligkeit siehe nachfolgenden Absatz 2 MTTF c MTTF c l MTTF c MTTF c MTTF d gesamt Abbildung 15 Formel zur Berechnung des gesamt MTTFd paralleler Kan le aus prEN ISO 13849 1 Anhang D 2 15 Die Abbildung 16 zeigt ein Beispiel f r den Aufbau eines mehrkanaligen Steuerungssystems In diesem Fall ist eine zweikanalige Steuerung nach Kategorie 4 dargestellt Beide Kan le arbeiten autark und sind nur zur berwachung der Funktion des jeweils anderen Kanals miteinander verbunden Durch einen solchen Aufbau ist gew hrleistet dass ein Fehler im Gesamtsystem sicher erkannt wird und keinen gef hrlichen Zustand einleiten kann Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 45 146 l Kanal 1 SINE berwachen l l P l i Eingabe 1 z B Signal Pose Signal Ausgabe L z B i Sensor Hauptsch tz l l a EEE N SS 1 ah a a a a l berwachen r De m o e o o Oo o o o o a ou a o a u a N oo oo om S I 1 Signal Signal a l Eingabe 2 z B g Lyehnket 2a SER g Ausgabe 2 Z B Sensor Haupt
65. b Test der Arithmetischen Operatoren Zum Test der arithmetischen Operatoren werden zwei konstanten Zahlen verwendet und das durch den Operator errechnete Ergebnis mit einem im Speicher hinterlegten Erwartungswert verglichen Die benutzten Zahlen sind dabei in ihrer bin ren Form m glichst abwechslungsreich Das bedeutet dass Selbsttests Diplomarbeit Bj rn Ostermann 90 146 zum Beispiel die dezimale Zahl 170 verwendet wird da ihre bin re Form 1010 1010 ist und sich damit Einsen und Nullen st ndig abwechseln 10 4 2 5 T4c Test der Komparatoren Bei den Komparatoren werden alle m glichen Zust nde jeweils einmal gepr ft Das bedeutet ein kleiner gleich wird zweimal mit unterschiedlichen Zahlen getestet die bei der korrekten Durchf hrung des Vergleichs einmal WAHR und einmal FALSCH ergeben m ssen sowie einmal mit identischen Zahlen die in diesem Fall als Ergebnis WAHR ergeben m ssen Das vom Komparator ausgegebene Ergebnis wird jeweils mit dem hierf r hinterlegten Erwartungswert verglichen 10 4 2 6 T5 Test des Ladens und Speicherns von Daten In diesem Test wird eine Konstante aus dem Programmspeicher in das AE geladen und danach als Variable abgespeichert Der gespeicherte Wert wird hiernach erneut in das AE geladen und das Ergebnis mit der urspr nglichen Konstante verglichen Dies wird je einmal f r eine 8 Bit Zahl eine 16 Bit Zahl und eine 32 Bit Zahl durchgef hrt da dies die von einer SPS verwendeten Gr en f
66. beseitigen oder minimieren sondern lediglich Schutzma nahmen darstellen Insofern sind sicherheitstechnische Ma nahmen die mit Hilfe einer SPS realisiert werden Sekund rma nahmen und deshalb der Stufe zwei zuzuordnen Die Art der Erf llung der Sicherheits und Gesundheitsanforderungen ist dem Hersteller im Rahmen des Standes der Technik freigestellt Ihm obliegt es im Streitfall mit der Beh rde die Richtlinienkonformit t seines Produktes nachzuweisen Beweislast des Herstellers Zu einer Umkehrung der Beweislast kommt es bei der Anwendung bestimmter harmonisierter Normen Siehe hierzu das Kapitel 4 2 2 2 Der AnhangI MRL ist in 6 Abschnitte unterteilt Sie enthalten grundlegende Sicherheits und Gesundheitsanforderungen an alle Maschinen bestimmte Maschinengattungen o Nahrungsmittelmaschinen o Inder Hand gehaltene bzw von Hand gef hrte Maschinen o Maschinen zur Bearbeitung von Holz und gleichartigen Werkstoffen bewegliche Maschinen Maschinen zum Heben Maschinen f r den Untertagebau Maschinen zum Heben oder Fortbewegen von Personen Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 29 146 4 2 2 2 Harmonisierte Normen Zur Zeit gibt es in den Binnenmarktrichtlinien keine Legaldefinition f r den Begriff harmonisierte Norm so dass die Aussagen im Binnenmarktleitfaden hier hilfreich sind Hierbei handelt es sich allerdings nicht um eine Rechtsvorschrift sondern um ein zwischen der europ ischen Kommis
67. ch tz i 3 3 EIER a a berwachen Lee n ardi Ausgabe der Signal Testeinrichtung z B Signal Tea zweite SPS Selbsttest zweiter Abschaltweg Abbildung 71 Kategorie 2 Schaltung umgesetzt aus Kapitel 6 2 5 der prEN ISO 13849 15 Diese Abbildung stellt auch wenn sie grafisch von der Abbildung 70 BGIA Report abweicht die gleichen Funktionsanforderungen dar Um Kategorie 2 nach prEN ISO 13849 1 zu erreichen m ssen alle Tests aus Kapitel 10 wie im vorherigen Kapitel 12 1 beschrieben umgesetzt werden Ohne die Verwendung einer Testeinrichtung wird nach prEN ISO 13849 1 nur die Kategorie B niedrigste Stufe erreicht da die Kategorie 1 den Einsatz bew hrter Bauteile verlangt zu denen die Standard SPS nicht z hlt Ein Einsatz der Standard SPS mit Diagnosefunktionen in Sicherheitssteuerungen ohne eine Testeinrichtung bringt nach dieser Norm keine Verbesserung gegen ber der normalen Standard SPS und wird aus diesem Grund hier nicht weiter betrachtet Die Einstufung der Steuerung in die Kategorien ist in der prEN ISO 13849 1 allerdings nur ein Zwischenschritt Die letztendliche sicherheitstechnische Einstufung richtet sich wie in Kapitel 5 2 1 beschrieben nach dem erreichten Performance Level Um diese Einstufung an einem konkreten Beispiel darzustellen werden in dieser Arbeit f r eine Beispiel SPS bauteiltypische Werte bez glich deren Ausfallrate angenommen Zu diesem Ansatz siehe auch die unver ffentlich
68. cksichtigung der Werte hinsichtlich der St rung die von den Ger ten ausgeht die den Normen des Artikels 7 entsprechen ohne Beeintr chtigung betrieben werden k nnen Die f r einen bestimmungsgem en Betrieb des Ger tes erforderlichen Angaben m ssen in der beigef gten Bedienungsanleitung enthalten sein 22 Nach Artikel 7 der EMV Richtlinie 22 wird bei Einhaltung harmonisierter Normen siehe Kapitel 4 2 2 2 von der bereinstimmung mit den Bestimmungen der Richtlinie ausgegangen Diese Wirkung Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 36 146 kann ggf auch durch die Anwendung bestimmter nationaler Normen erreicht werden In den anderen F llen muss im Konformit tsbewertungsverfahren eine benannte Stelle eingeschaltet werden hnlich Anhang IV Sicherheitsbauteile 5 2 Aus den Regeln der Technik Im Kapitel 4 2 2 1 wurde die Wichtigkeit der Anwendung harmonisierter Normen mit Konformit tsvermutung dargelegt F r die Betrachtung der Sicherheit einer SPS ist dies zur Zeit die DIN EN 954 1 14 die Steuerungen nach deren Architektur in Verbindung mit den angewandten Fehlererkennungsmethoden in vorgegebene Steuerungskategorien einteilt Diese wird in absehbarer Zeit durch die prEN ISO 13849 1 15 abgel st welche zus tzlich die Wirksamkeit verwendeter Tests in die Bewertung einbezieht und die Ausfallraten der einzelnen Bauteile ber cksichtigt In diesem Kapitel werden die Bewertungsverfahren dieser Normen e
69. cnneeen 91 Flussdiagramm Initialisierungs und Reset Routine enenenenenenenenne 94 Flussdiagramm Aufruf eines Variablentests ueeesesseeeneesneesnsennennennneennnnnnnnnnenn 96 Schritt 2 Die Pr fzelle wird mit Einsen gef llt 97 Schritt 3 Die Pr fzelle wird mit Nullen gef llt 97 Schritt 4 Die Pr fzelle wird abwechselnd mit Null und Eins beschrieben 97 Schritt 5 Das Muster aus Schritt 4 wird komplementiert nnenenen 97 Signaturbildung ber 3 Speicherzellen 00220400sseeenseensennsennneenneenneennennnennnnn en 100 zweite Signaturbildung ber 3 Speicherzellen mit Fehlern vgl Abbildung 57 100 Flussdiagramm Test des Bereichs der globalen Variablen u 101 Grafische Darstellung des Verlaufs einer Pr fung im Bereich der globalen Variablen INC TEENS TREND HIST EE HER ARL E E SA SEES A PERL ASTERER 102 Flussdiagramm Testroutine Pr fen des Inhalts einer Speicherstelle 103 RedundanteEing nge ssnaneeneinsdirsedeiatne en rannte 108 Oder Schaltung redundanter Ausg nge die r ckgelesen werden 110 Flussdiagramm Test der Ausg nge unnsensennseenseeneesneennnnenenennnennnenne nennen 112 Flussdiagramm des Testbausteins OO_TEST_TRUE Pr fe ob beide Ausg nge ausgeschaltet werden k nnen c unsssenennsesseesnensnsensnnnennnsnennnnennnnnnsn onen 114 Verschaltung von zwei SPS zu ei
70. da in diesem Fall der Vorg nger variieren kann In der Literaturquelle 4 wird mit verschiedenen Verfahren zum Aufsummieren und Pr fen von Signaturen gearbeitet Eine Signatur ist die mathematische Verkn pfung von Zahlen die aufgrund ihrer einzelnen Werte oder der Art der Verkn pfung ein m glichst eineindeutiges Ergebnis bilden Durch den Vergleich dieses berechneten Wertes mit einem festgelegten oder vorher berechneten Wert kann die Signatur berpr ft werden f r weitere Informationen zu Signaturen siehe Kapitel 10 6 2 1 Die Verfahren die mit Signaturpr fungen arbeiten haben alle den Nachteil dass sie entweder ungenau in der Fehlererkennung oder schwierig in der Anwendung sind Das nachfolgend beschriebene Verfahren ist dagegen relativ einfach anzuwenden und bringt trotzdem ein hohes Ma an Sicherheit Im Gegensatz zu den in der Literaturquelle 4 beschriebenen Verfahren wird kein Unterschied zwischen Signatur setzenden und Signatur pr fenden Funktionen gemacht Stattdessen wird eine globale Z hlervariable benutzt die in jedem Funktionsaufruf berpr ft und neu gesetzt wird Dadurch entfallen aufw ndige Berechnungen von Pr fsummen seitens des Programmierers Durch das dadurch st ndige Abpr fen des Programmablaufs und dem engen zeitlichen Rahmen der bei jedem Testaufruf durch den Programmierer vorgegeben werden kann ist trotzdem ein hohes Ma an Sicherheit gegeben Um auch Querspr nge zwischen parallel ablaufenden Prog
71. das hei t die Anzahl der Schaltspiele bei der 10 der Stichproben mit einem gef hrlichen Fehler ausfallen benutzt werden siehe Formel aus Abbildung 13 Ist der Biog Wert nicht bekannt kann angenommen werden das 50 aller Ausf lle gef hrlich sind und damit gilt Bjoa 2 Bio Bio ist die Anzahl der Schaltspiele bei der 10 der Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 44 146 Stichproben ausfallen Zur Bestimmung des Bi Wertes m ssen ggf entsprechende Versuche durchgef hrt werden Zur Berechnung des MTTF Wertes aus dem Biog Wert muss aus den Werten f r dop days of operation per year Anzahl an Tagen pro Jahr an denen das Ger t l uft h p hours of operation per day Stunden pro Tag an denen das Ger t l uft teyc e time between the beginning of two successive cycles Zeitdauer eines Schaltspiel Zyklus der Wert Nop numbers of operation per year Anzahl der Schaltspiel Zyklen pro Jahr errechnet werden Boa MEI op S dop hap 3 600 n i op t cycle Abbildung 13 Formel zur Berechnung von MTTF aus B104 aus prEN ISO 13849 1 Anhang C 4 2 15 Um f r Bauteile die in Reihe miteinander verschaltet sind einen gemeinsamen MTTF zu berechnen werden die Komplemente der einzelnen MTTF addiert und hieraus wiederum das Komplement gebildet siehe Formel in Abbildung 14 I gl NETTER gesam i 1 MTTF Abbildung 14 Formel zur Berechnung des gesamt MTTFd in Reihe geschalteter B
72. der Norm wurden besonders die Pflichten des Herstellers zur Umsetzung von Selbsttests in der SPS betrachtet da die Effizienz dieser Selbsttests bei der Bestimmung des Performance Levels nach prEN ISO 13849 1 ber cksichtigt werden kann Nach Kapitel 3 Elektrische Anforderungen Abschnitt 3 11 Anforderungen an Selbstpr fungen und Diagnosem glichkeiten muss der Hersteller einer SPS grunds tzlich folgende Tests implementieren eine Zeit berwachung Watchdog eine M glichkeit der Speicherpr fung Hard oder Software eine M glichkeit die bertragung der Daten zwischen Speicher Verarbeitungseinheit und den Ein Ausgabemodulen auf Richtigkeit zu berwachen eine M glichkeit der Spannungs berwachung z B eine Sicherung eine Zustands berwachung der Hauptverarbeitungseinheit Bei dem Auftauchen eines Fehlers in einem dieser Tests muss ein Alarm Ausgang gesetzt werden 16 In dieser Diplomarbeit wird der Watchdog Kapitel 10 3 1 nach Spiegelstrich eins sowie die CRC Pr fung Kapitel 10 5 1 nach Spiegelstrich zwei und drei mit in die Tests einbezogen da bei diesen ein Hersteller bergreifend einheitliches Verhalten angenommen werden kann Andere vom Hersteller implementierte Tests k nnen im konkreten Einzelfall zur weiteren Verbesserung des DC beitragen Technische Grundlagen Diplomarbeit Bj rn Ostermann 48 146 6 Funktionsbeschreibung einer SPS Bei einer Speicherprogrammierbaren Steuerung SP
73. die Bedeutung der Unterlagen befindet sich im Anhang I der Diplomarbeit Aus diesem Grund sind f r das in Verkehr bringen einer SPS drei F lle zu unterscheiden siehe hierzu auch Abbildung 2 die auch auf eine mit den in dieser Arbeit beschriebenen Tests sicherheitstechnisch erweiterte SPS anzuwenden sind F r die Standard SPS ohne Diagnosefunktion bzw eine zusammen mit einer Maschine in Verkehr gebrachte SPS mit und ohne Diagnosefunktion bedeutet dies dass die SPS Dokumentation Bestandteil der Dokumentation der gesamten Maschine ist F r die einzeln in Verkehr gebrachte SPS mit Diagnosefunktion die nicht f r Zweihandschaltungen gedacht ist ist vom Hersteller eine Dokumentation nach Anhang V MRL zu erstellen F r die einzeln in Verkehr gebrachte SPS mit Diagnosefunktion die f r Zweihandschaltungen gedacht ist ist vom Hersteller eine Dokumentation nach Anhang VI MRL zu erstellen 4 2 1 3 Konformit tsbewertung Die Konformit tsbewertungsverfahren sind in der EU standardisiert Sie sind grunds tzlich nach dem Beschluss des Rates 93 465 EWG ber die in den Binnenmarktrichtlinien zu verwendenden Konformit tsbewertungsmodule 23 geregelt Das so genannte Modulpapier kennt folgende acht Konformit tsbewertungsmodule A interne Fertigungskontrolle B EG Baumusterpr fung C Konformit t mit der Bauart D Qualit tssicherung Produktion E Qualit tssicherung Produkt F Pr fung der Produkte G
74. e die dem im Test gepr ften Ausgang zugewiesen war nach einigen Zyklen gesetzt bzw nicht gesetzt wurde Damit konnte die externe Hardwareverschaltung an der im Rahmen der Diplomarbeit verwendeten Soft SPS simuliert werden 10 1 5 Bewertung der Diagnosedeckungsgrade DCs der Testverfahren Die Bewertung von Diagnosedeckungsgraden in dieser Arbeit ist an die Bewertungen hnlicher Tests aus den Normen DIN EN 61508 und prEN ISO 13849 1 angelehnt In diesen Normen sind die Testverfahren in drei Kategorien aufgeteilt niedrig mit 60 lt 90 DC mittlere mit 90 lt 99 DC und hohe mit gt 99 DC Ein Test der 100 aller m glichen Fehler entdeckt ist laut diesen Normen nicht m glich Soweit die Testbewertungen auf der Grundlage eines Vergleich mit den Tests aus den o a Normen basieren wurden die o a Werte bernommen Abweichend davon konnten bei einigen Testverfahren Berechnungsgrundlagen gefunden werden die eine genaue Angabe des DC erlauben In einigen F llen war eine genaue Berechnung trotz Berechnungsgrundlage nicht m glich Die hier ermittelten Wertespannen wurden deshalb auf die glatten Werte 60 bzw 90 abgerundet Selbsttests Diplomarbeit Bj rn Ostermann 78 146 10 2 Reaktion auf einen erkannten Fehler Die sicherste Methode eine SPS nach einem erkannten Fehler abzuschalten ist es einen Sprungbefehl auf sich selbst zeigen zu lassen siehe Abbildung 42 Die dadurch erzeugte
75. e Level Performance Level required u POE Programmorganisationseinheit prEN Vorl ufige Version einer Europ ischen Norm pre European Norm QS Qualit tssicherung a RAM Random Access Memory RC Filter Filter bestehend aus Wiederst nden und Kondensatoren Verzeichnisse Diplomarbeit Bj rn Ostermann 144 146 RISC ET Reduced Instruction Set Computing SI Leichte blicherweise reversible Verletzung S2 Schwere blicherweise irreversible Verletzung einschlie lich Tod SIL Sicherheits Integrit tslevel Savety Integrity Level j SPS N Speicherpro grammierbare Steuerung _SRP CS u Sicherheitsbezogener Teil einer Steuerung Safety Related Parts of a Control System ST Strukturierter Text Verzeichnisse Diplomarbeit Bj rn Ostermann 145 146 16 Literaturverzeichnis 16 1 B cher und Zeitschriften 1 Berufsgenossenschaftliches Institut f r Arbeitsschutz 2006 Selbsttests f r Mikroprozessoren mit Sicherheitsaufgaben oder Quo vadis Fehler BGIA Report 2006 St Augustin noch nicht ver ffentlicht 2 B mer Dipl Ing Thomas B llesbach Dipl Ing Karl Heinz 2006 Neuer Ansatz f r die Sicherheit von Maschinen prEN ISO 13849 1 Sicherheitsbezogene Teile von Steuerungen Beilage aus MRL News 22 03 06 Wuppertal SCHMERSAL Holding GmbH amp Co KG 3 Europ ische Kommission 2000 Leitfaden f r die Umsetzung der nach dem neuen Konzept und dem Gesamtkonzept verfassten Richtlinien auch Binnenmarktlei
76. eckt werden Die Maschinenrichtlinie behandelt die Anforderungen an Steuerungen in Anhang I Nr 1 2 1 2 1 Sicherheit und Zuverl ssigkeit von Steuerungen 1 2 2 Stellteile 1 2 3 Ingangsetzen 1 2 4 Stillsetzen 1 2 5 Betriebsartenwahlschalter 1 2 6 St rung der Energieversorgung 1 2 7 St rung des Steuerkreises 1 2 8 Software Weitere Anforderungen finden sich in 1 4 2 Besondere Anforderungen an trennende Schutzeinrichtungen 1 4 3 Besondere Anforderungen an nichttrennende Schutzeinrichtungen 1 5 1 Gefahr durch elektrische Energie 3 3 3 Stillsetzen mobile Arbeitsmittel Insbesondere aus den Anforderungen nach den Nummern 1 2 1 siehe Kapitel 5 1 1 1 und 1 2 7 siehe Kapitel 5 1 1 2 ergibt sich f r den Maschinenhersteller bei der Verwendung der in dieser Arbeit behandelten Standard SPS mit Diagnosefunktionen bzw dem Sicherheitsbauteilhersteller der eine solche SPS als Sicherheitsbauteil einzeln in Verkehr bringt die zwingende Notwendigkeit die sicherheitstechnische Funktion dieser Steuerung zu gew hrleisten Ma stab hierf r ist nach den Vorbemerkungen des Anhang I MRL der Stand der Technik Die Verwendung der im Kapitel 10 beschriebenen Tests soll den Hersteller in die Lage versetzen diese rechtlichen Anforderungen ohne gro en wirtschaftlichen Aufwand mit einer Standard SPS zu erf llen und soll insofern auch den Stand der Technik an dieser Stelle verbessern Die restlichen o a steuerungsrelevanten
77. ef hrten Sicherheits und Gesundheitsanforderungen einhalten m ssen Hie finden sich auch konkrete Anforderungen an Steuerungen wie in Kapitel 5 1 1 n her erl utert wird Ziel ist nach Artikel 2 Abs 1 die Sicherheit und Gesundheit von Personen Haustieren und G tern durch Maschinen nicht zu gef hrden Nach der harmonisierten Norm DIN EN 12100 1 wird unter der Sicherheit einer Maschine verstanden 3 4 Sicherheit einer Maschine Die F higkeit einer Maschine ihre Funktion en durchzuf hren und transportiert aufgebaut eingerichtet instandgehalten abgebaut und entsorgt zu werden unter den Bedingungen der bestimmungsgem en Verwendung wie sie vom Hersteller in der Betriebsanleitung festgelegt ist und auf die in einigen F llen f r bestimmte Zeitabschnitte auch in der Betriebsanweisung hingewiesen ist ohne dass dadurch Verletzungen oder Gesundheitssch digungen verursacht werden Anhang I MRL enth lt teilweise sehr konkrete teilweise aber auch sehr abstrakte Anforderungen die allerdings immer absolut sind Nicht vergessen werden d rfen in diesem Zusammenhang die Vorbemerkungen zum Anhangl Aus den Vorbemerkungen wird klar wie die absoluten Anforderungen des Anhangs zu lesen sind Hier steht z B dass die Anforderungen nur in soweit erf llt werden m ssen wie es der Stand der Technik es erm glicht Der Stand der Technik wird in den Rechtsvorschriften nach MRL gar nicht und in der Fachliteratur unterschiedlich definiert In d
78. ehler ist in der neuen MRL beseitigt Sie fallen jetzt unter den Anwendungsbereich Nach Artikel 1 Absatz 2 a der Maschinenrichtlinie gilt als Maschine Eine Gesamtheit von miteinander verbundenen Teilen oder Vorrichtungen von denen mindestens eines beweglich ist sowie ggf von Bet tigungsger ten Steuer und Energiekreisen usw die f r eine bestimmte Anwendung wie die Verarbeitung die Behandlung die Fortbewegung und die Aufbereitung eines Werkstoffes zusammengef gt sind 26 Ein Ger t ben tigt nach der Maschinenrichtlinie also weder eine Antriebsquelle noch irgendwelche Bet tigungsger te Steuer und Energiekreise um als Maschine zu gelten und damit unter die Richtlinie zu fallen Die Richtlinie umfasst somit nicht nur funktionsf hige Maschinen sondern auch so genannte Teilmaschinen die erst noch z B mit anderen Maschinen zu einer funktionsf higen Maschine zusammengef hrt werden m ssen Nicht Bestandteil der Maschinendefinition ist die Maschinensteuerung wozu auch die SPS geh rt D h das Inverkehrbringen einer Steuerung f llt grunds tzlich f r sich allein genommen nicht unter den Anwendungsbereich der MRL Die MRL greift f r eine Steuerung erst dann wenn diese Bestandteil einer Maschine ist da sie auch an die Steuerung einer Maschine technische Anforderungen stellt Der Anwendungsbereich der MRL erstreckt sich wie bereits oben ausgef hrt nach Artikel 1 Absatz 2 allerdings auch auf einzeln inv
79. eide SPSen arbeiten dann nebeneinander autark und vergleichen st ndig an verschiedenen Stellen ihre aktuellen Daten Dabei ist das Problem des Datenaustauschs zu ber cksichtigen Dieses entsteht gr tenteils durch das EVA Prinzip der SPS wodurch ein Austausch von Daten selbst bei synchron arbeitenden SPSen zwei Zyklen dauert Das bedeutet es dauert zwei Zyklen zum Vergleich der gelesenen Eing nge und zwei Zyklen zum Vergleich der zu schreibenden Ausg nge um einen normalen Zyklus einer alleine arbeitenden SPS abzuarbeiten Bei nicht synchronisierten SPSen dauert dieser Vorgang entsprechend l nger Zum zweikanaligen Arbeiten wird aus diesem Grunde entweder ein Eingriff in die vorhandene Hardware der SPSen angewendet der eine externen Synchronisation der SPSen verbunden mit einem Zusammenfassung Diplomarbeit Bj rn Ostermann 138 146 externen Datenvergleich durchf hrt siehe hierzu Kapitel 6 1 4 oder es werden hohe Performanceverluste durch den notwendigen Datenaustausch in Kauf genommen Eine weitere M glichkeit ist das nachtr gliche Vergleichen von gesetzten Ergebnissen Die SPSen merken sich z B die letzten 20 Ausgangszust nde der letzten 20 Zyklen und f hren untereinander einen blockweisen Vergleich eines Teiles dieser Ausgangszust nde durch Hierbei muss beachtet werden dass ein gefundener Fehler bereits 20 Zyklen zur ckliegen kann und zu diesem Zeitpunkt bereits eine kritische Situation herbeigef hrt hat siehe
80. eiden Bausteine zu verwenden sind muss die Dauer des Programmzyklus betrachtet werden In der Simulationsumgebung von CoDeSys ist der Watchdog fest auf 100 Millisekunden eingestellt Dies ist hier die maximale Dauer eines Zyklus Da die interne Uhr von CoDeSys eine Aufl sung von einer Millisekunde hat bringt eine Anzahl von Testbaustein Aufrufen von gr er hundert keine Verbesserung mehr da nur hundert Zeitabschnitte zu messen sind Beim Einsatz der Testverfahren sollten in diesem Fall 10 Testverfahren mit Zeiterkennung benutzt werden und der Rest ohne Zeiterkennung Als Regel gilt Durchlaufzeit Aufl sungUhr 10 Dadurch ist die Zeit zwischen zwei Zeittests immer ca 10 mal l nger als die Aufl sung der internen AnzahlZeitTests Uhr Dies bedeutet dass der Zeittest 90 der Spr nge die einen falschen zeitlichen Ablauf hervorrufen entdeckt Eine geringere Anzahl von Zeittests f hrt zu einer h heren Aufdeckungsrate f r einzelne Fehlerhafte Spr nge Allerdings steigt gleichzeitig die Wahrscheinlichkeit dass Doppelspr nge ihre Fehlerzeit gegenseitig ausgleichen Selbsttests Diplomarbeit Bj rn Ostermann 85 146 Der Hauptbaustein der Ablauf berwachung aus Abbildung 47 pr ft zuerst die aktuelle Position Dazu vergleicht er die Nummer des zuletzt aufgerufenen Bausteins mit der Variablen GeringsterVorgaenger Hiernach vergleicht er die eigene Programmstelle mit der Programmstelle des zuletzt aufgerufenen Bausteins w
81. eidet Gleichfalls ist es notwendig einen neuen Test zur berwachung des gemeinsam von PC und Slot SPS genutzten Speicherbereichs zu entwickeln 6 1 4 Sicherheits SPS SSPS In diesem Kapitel wird der Aufbau der SSPS S5 115F von Siemens beschrieben wie er im Artikel Speicherprogrammierbare Steuerungen in der Sicherheitstechnik 7 dargestellt wurde Die Hardware der S5 115F ist aus zwei Standard SPSen S5 115U siehe Abbildung 26 im weiteren als Teilger te bezeichnet aufgebaut Technische Grundlagen Diplomarbeit Bj rn Ostermann 51 146 Abbildung 26 Standard SPS S5 115U von Siemens Beide Teilger te teilen sich zum Datenaustausch einen gemeinsamen Speicherbereich Hier ber tauschen sie Daten zum Vergleich und zur Synchronisation aus Zus tzlich laufen aus beiden Teilger ten Selbsttest die Fehler in ihrer Hardware entdecken sollen In jedem Zyklus werden zum Datenaustausch und zur Synchronisation die Eing nge gelesen das Speicherabbild der Eing nge mit dem anderen Teilger t abgeglichen o dabei beide Teilger te synchronisiert bei Gleichheit der von den Eing ngen gelieferten Daten wird das Anwenderprogramm abgearbeitet das Speicherabbild der Ausg nge abgeglichen bei Gleichheit der von den Ausg ngen gelieferten Daten werden die Ausg nge geschrieben Durch dieses Vorgehen k nnen gef hrliche Erstfehler entdeckt werden Neben einfachen Fehlern die zum Abweichen der beiden Ausgangsergebnisse
82. eit Bj rn Ostermann 116 146 10 8 Fehlererkennung durch gegenseitige berwachung mit einer zweiten SPS Alle vorgenannten Tests beziehen sich auf die sicherheitstechnische Verbesserung einer einzelnen Standard SPS Diese sicherheitstechnische Verbesserung hat durch die Einkanaligkeit des Systems jedoch Grenzen Eine weitere Verbesserung kann mit einer externen Testeinrichtung verwirklicht werden die einen separaten Abschaltpfad f r das System besitzt Das bedeutet die Testeinrichtung kann den von der SPS geschalteten Strompfad unterbrechen In dieser Diplomarbeit wurde als Testeinrichtung eine weitere SPS eingesetzt die grunds tzlich ebenfalls mit den bisher erw hnten Selbsttests ausgestattet ist Eine Abweichung hinsichtlich des Tests der Ausg nge wird in Kapitel 0 beschrieben Die M glichkeiten zur Verschaltung der beiden SPSen sind in Kapitel 10 8 1 dargestellt Die sicherheitstechnischen Verbesserungen durch den Einsatz der zweiten SPS sind wie folgt F llt eine SPS so aus dass ein Abschalten nicht mehr m glich ist Relais klebt oder Fehler im Watchdog so kann dies durch die zweite SPS durchgef hrt werden Mit Hilfe einer zweiten SPS ist es m glich bestimmte in der ersten SPS auftretende Fehler zu entdecken z B Fehler im Takt der SPS Wie in Kapitel 12 gezeigt wird ist diese zweite SPS f r das Erreichen der Kategorie 2 nach DIN EN 954 1 zwar nicht n tig wohl aber f r das Erreichen der Katego
83. ektronik Maschine v Test bergeordneter einrichtung Abschaltweg Testdurchf hrung Testanforderung Abbildung 70 Elektroniksteuerung nach EN 954 Kategorie 2 Abbildung 22 aus BGIA Report 6 Die Abbildung 70 zeigt eine Kategorie 2 Steuerung nach DIN EN 954 1 aus dem BGIA Report 6 Dies kann umgesetzt werden indem s mtliche Tests aus Kapitel 10 einschlie lich der Verwendung einer zweiten SPS implementiert werden Das bedeutet zu den o a Tests kommen noch folgende hinzu Fehlererkennung durch gegenseitige berwachung mit einer zweiten SPS o T2b Gegenseitige Funktionskontrolle o T8c Test der redundanten Ausg nge ber r ckgekoppelte Eing nge f r die zweite SPS Auch wenn der Einsatz einer zweiten SPS nicht zu einer Erh hung der Steuerungskategorie f hrt ist dies kein Grund f r den Hersteller diese sicherheitstechnische L sung im konkreten Einzelfall nicht in Betracht zu ziehen Nach der MRL ist der Hersteller gehalten eine ausreichende Sicherheit auch hinsichtlich der verwendeten Steuerung zu gew hrleisten Das bedeutet allerdings nicht dass er immer die teuerste L sung mit der ggf technisch m glichen maximalen Sicherheit einsetzen muss Der Hersteller muss im Rahmen der rechtlich geforderten Risikobeurteilung ermitteln welche Steuerung eine ausreichende Sicherheit f r seine Maschine bietet Dabei kann er sich nicht allein auf harmonisierte Normen wie z B die DIN EN 954 1 st tz
84. elche in der globalen Variablen LetzteProgrammstelle abgespeichert ist Stellt er in diesen Pr fungen einen falschen Zustand fest wird die Fehlerroutine aufgerufen In den Funktionsbausteinen die eine Zeit berwachung enthalten wird danach die Zeit gepr ft die nach dem letzten Aufruf einer Pr froutine vergangen ist Dazu berechnet der Baustein die Differenz aus der aktuellen Laufzeit der SPS und der davor gemessenen Laufzeit die in der globalen Variablen LetzterPruefzeitpunkt gespeichert ist Durch die Differenzbildung und die Verwendung einer Variablenart die nur positive Zahlen speichert Double Word gibt es keine Probleme mit Variablen berl ufen am Ende des Wertigkeitsbereichs Liegt die Zeitdifferenz im vorgegebenen Zeitfester wird die aktuelle Systemzeit in die globale Variable LetzterPruefzeitpunkt gespeichert Funktionsbausteine ohne Zeit berwachung berspringen diesen Teil der Pr fung Beide Funktionsbausteine mit und ohne Zeit berwachung speichern zum Schluss die aktuelle Programmstelle in die globale Variable LetzteProgrammstelle 10 3 2 3 Diagnosedeckungsgrad Dieser Test deckt im Gegensatz zum Watchdog nur Fehler im Programmz hler siehe Kapitel 9 2 2 auf Der Test besteht dabei aus der zeitlichen berwachung durch die interne Uhr der SPS und aus dem Abpr fen des Programmablaufs auf die korrekte Reihenfolge Zeitliche berwachung Die Zeitliche berwachung des Tests deckt zuf llig auftretende Fehler nur i
85. en 30 http www maschinenrichtlinie de herunter geladen am 1 Mai 2006 31 http www wikipedia de herunter geladen am 1 Mai 2006 32 http www speed7 com herunter geladen am 22 Juni 2006
86. en Ggf muss er den Stand der Technik ermitteln der im Einzelfall ber die Anforderungen einer harmonisierten Norm hinausgehen kann In dem Fall der sicherheitstechnischen Steuerungen kann festgestellt werden dass der Stand der Technik sich f r Kategorie 2 Steuerungen ber die Anforderungen der fast 10 Jahre alten DIN EN 954 1 hinaus entwickelt hat Siehe hierzu den BGIA Report 6 und insbesondere auch die prEN ISO 13849 1 15 die zuk nftig die DIN EN 954 1 abl sen wird Selbsttests Diplomarbeit Bj rn Ostermann 128 146 Beim Umsetzen aller vorgenannten Tests muss sichergestellt werden dass jeder Test zu Beginn komplett durchlaufen wird und jeder Test w hrend der Betriebszeit periodisch durchlaufen wird Beispiele f r die Umsetzung dieser Forderung und deren Implementierung in der Programmiersprache AWL sind im Quelltext Anhang II Teil CoDeSys zu finden Wird im Rahmen einer Kategorie 2 Steuerung keine zweite SPS verwendet ist Kapitel 6 2 3 Kategorie 2 der DIN EN 954 1 zu beachten Jede Pr fung der Sicherheitsfunktion muss einen Ausgang f r die Einleitung angemessener Steuerungsma nahmen erzeugen wenn ein Fehler erkannt wurde Wenn die Einleitung eines sicheren Zustands nicht m glich ist z B Verschwei en des Kontakts beim Endschalter muss der Ausgang eine Warnung vor der Gef hrdung vorsehen 14 Das bedeutet in diesem Fall ist ein Warnausgang vorzusehen der im Falle eines fehlerhaf
87. enden Ausgangspaares werden die Daten des Anwenderprogramms an die restlichen nicht zu testenden Ausg nge weitergeleitet Danach folgt eine Abfrage ob die Ausg nge des zu testenden Ausgangspaares ein oder ausgeschaltet sein sollen Die beiden daraus resultierenden Programmabl ufe werden nachfolgend beschrieben Erster Fall das Ausgangspaar soll ausgeschaltet sein Im Speicherbereich beider Ausg nge wird gepr ft ob die Ausg nge bereits auf den Zustand ausgeschaltet gesetzt sind Ist dies nicht der Fall bedeutet das dass der Test in diesem Zyklus Selbsttests Diplomarbeit Bj rn Ostermann 113 146 beginnt da vorher das Ausgangspaar eingeschaltet war Daher m ssen beide Ausg nge auf ausgeschaltet gesetzt werden und die Z hler im entsprechenden Testbaustein OO_TEST_FALSE s u zur ckgesetzt werden Waren beide Ausg nge bereits vorher auf ausgeschaltet gesetzt so wird dieser Punkt bergangen da die Ausg nge bereits in einem vorhergehenden Zyklus abgeschaltet wurden Nach dieser Abpr fung wird in beiden F llen ein Test aufgerufen der pr ft ob die verkn pften Eing nge best tigen dass die Ausg nge auch nach au en hin ausgeschaltet sind siehe Kapitel 9 2 7 Zweiter Fall das Ausgangspaar soll eingeschaltet sein Im Speicherbereich beider Ausg nge wird gepr ft ob die Ausg nge auf den Zustand ausgeschaltet gesetzt sind Ist dies der Fall bedeutet das dass Ausgangspaar im aktuellen Zyklus
88. ender weiterer EG Richtlinien und ihrer zum Zeitpunkt der Erkl rung geltenden Anderungen e folgende harmonisierte Normen oder Teile hieraus angewandt wurden Ausgabedatum mit angeben e folgende nationale Normen und technische Spezifikationen angewandt wurden mit Ausgabedatum angeben e folgende gemeldete Stelle eingeschaltet wurde Name und Anschrift wegen zutreffendes bitte ankreuzen O EG Baumusterpr fung Nr BR RE RE O Ubersendung der Unterlagen gem Artikel 8 2 c erster Gedankenstrich oder O Pr fung der Unterlagen gem Artikel 8 2 c zweiter Gedankenstrich OmiDAtUM E a A ee Diese Erkl rung ist in derselben Sprache wie die Originalbetriebsanleitung abzufassen siehe Anhang l Abschnitt 1 7 4 Buchstabe b und zwar mit Ausnahme der handgeschriebenen Unterschrift maschinenschriftlich oder in Druckbuchstaben Ihr mu eine bersetzung in einer der Sprachen des Verwenderlandes beigef gt sein F r diese bersetzung gelten die gleichen Bedingungen wie f r die Betriebsanleitung Nur angeben wenn zutreffend Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 27 146 4 2 2 Technische Anforderungen 4 2 2 1 Anhang I Maschinenrichtlinie Die Verpflichtung des Herstellers zur Einhaltung bestimmter Sicherheits und Gesundheitsanforderungen ergibt sich aus Artikel 3 der Maschinenrichtlinie Hier wird bestimmt dass Maschinen und Sicherheitsbauteile die in Anhang I der Maschinenrichtlinie aufg
89. ennennnnennenenneensenns nn 88 10 4 2 3 T4a Test der Logischen Operatoren ucnsenseenseensennnennennennnennnnennennne nennen 89 10 4 2 4 T4b Test der Arithmetischen Operatoren ucneeneeeesneesneesnneneennnennnn nn 89 10 4 2 5 T4c Test der Komparatoren nseessenssennseenseennennnennennnnnnnennnnennens nn 90 10 4 2 6 T5 Test des Ladens und Speicherns von Daten uncesesnsnnennenenenneenneennn en 90 10 4 3 Diasnosedsckindssrad nr Teen eliigese 90 10 5 Fehlererkennung durch Speichertest des EEPROM s00ss000ss000002000000000000000 90 103 1 T7 ROM CRC Test des EEPROM 1 222 080 90 10 511 Erl uterin g snan a a a aa a E A A a h 90 10 5 1 2 Diagnosedeckungsgrad uuunsensenseensenneenneenneennennnnennennnnnennsnnse essen ernennen 91 10 6 Fehlererkennung durch Speichertest des RAM u csssscssnseensnseensnsenssnnensssnensssnene 91 10 6 1 T6 RAM Test der benutzten Variablen uuuuuueeeeneeeeeneeeeenneenenneeneneennn 91 1066 11 Erl uterung nannten in E EREE 93 10 6 1 2 Algorithmusa masse lehnen uleh ah 93 10 6 1 3 Diagnosedeckungsgrad u20nsenseenseensennnennneennennnnnnnnennennnnnsnense essen ernennen 98 10 6 2 T7a RAM Test des Bereichs der globalen Variablen mittels eines Arrays 98 10 6 2 1 Erl uterung sea mn MEHR Nest 99 10 6 2 2 _Algor thm s 2 HE 2 RS a e A aa a EE tete 101 Diplomarbeit Bj rn Ostermann 8 146 10 6 2 3 Diagnosedeckungsgrad
90. entlich in der Zelle vorhanden ist Selbsttests Diplomarbeit Bj rn Ostermann 104 146 Hiernach wird die Signatur ber die festgelegte Anzahl an Speicherstellen bei unver ndertem Speicherinhalt der zu testenden Speicherstelle gebildet und in der globalen Variablen SignatureVar gespeichert Der Test besteht darin dass die Pr fzelle einmal mit dem Muster 0101 0101 und einmal mit dem komplement ren Muster 1010 1010 beschrieben wird Dazwischen wird jeweils der geschriebene Wert ausgelesen und mit dem Eingangsmuster auf bereinstimmung berpr ft Zus tzlich wird die Signatur der umliegenden Speicherstellen erneut gebildet und mit der urspr nglichen Signatur verglichen Dabei f hrt jede Abweichung von Signaturwerten oder geschriebenen Werten zu deren Originalwert zum Aufruf des Fehlerbausteins ERROR _FB Am Ende des Tests wird der urspr ngliche Inhalt der Zelle wiederhergestellt Zur Bildung der Signatur mittels eines Funktionsbaustein siehe die Ausf hrung in Kapitel 10 6 2 1 10 6 2 3 Diagnosedeckungsgrad Diese Art des Speichertests kommt dem in der DIN EN 61508 2 in Tabelle A 6 17 angegebenen Walk Path sehr nahe Im Gegensatz zum Walk Path verzichtet der umgesetzte Test aber auf eine Vorbelegung Speicherbereichs der zur Signaturbildung dient mit festgelegten Werten Der Walk Path ist zur Pr fung eines unbelegten Speichers konzipiert und legt deshalb die Werte in den zu pr fenden Zellen selbst an um m gl
91. er EVA S Prinzip siehe Abbildung 28 Das bedeutet es gibt eine M glichkeit Daten einzugeben daraus Ergebnisse zu berechnen zur weiteren Verarbeitung zu speichern und diese auszugeben Die Schrank SPS besteht aus Prozessor Speicher RAM und EEPROM und Ein und Ausg ngen siehe Abbildung 28 Der Prozessor ist das Verarbeitungszentrum des SPS Hier werden die Befehle und Daten aus dem Speicher mit den Daten die die Eing nge liefern verkn pft und an die Ausg nge weitergeleitet Im Prozessor sitzen unter anderem die Takt gebende Einheit meist ein Quarz und die ALU Arithmetical Logical Unit arithmetisch logische Einheit Der Akkumulator auch Akku genannt der bei einer SPS durch das Aktuelle Ergebnis AE dargestellt wird und in dem die Technische Grundlagen Diplomarbeit Bj rn Ostermann 53 146 Zwischenergebnisse gespeichert werden befindet sich bei der SPS im normalen RAM Speicher siehe zu AE Kapitel 6 3 2 und Kapitel 8 5 Eingangsdaten Ausgangsdaten anfordern Prozessor senden Takt Takt geben a gebende Takt geben _ gt ALU Eingangsdaten Einheit senden i Daten i Daten zur Ne Befehl oder Daten Befehl oder ischen Bearbeitung X Eing nge anfordern Daten senden ae zwischen Ausg nge speichern speichern v Akkumulator AE Speicher Abbildung 28 Prinzip der Eingabe Verarbeitung und Ausgabe 6 2 1 Prozes
92. er Diplomarbeit CoDeSys zu benutzen und damit gegen die Siemens Programmierumgebung war die Entscheidung die Tests in der Programmiersprache AWL siehe Kapitel 8 3 1 und damit in einer in der Norm DIN EN 61131 3 16 beschrieben Standardprogrammiersprache zu verfassen Siemens unterst tzt in seiner Umgebung diese Normsprache nicht Zus tzlich zum Befehlsumfang von AWL hat CoDeSys eigene Operatoren siehe Kapitel 8 6 2 Diese wurden nur in einem der Tests der in Kapitel 10 6 3 beschrieben wird benutzt Alle anderen Tests sind normkonform programmiert und sind damit in allen normkonformen Umgebungen einsetzbar Hinzu kommt dass CoDeSys eine gute M glichkeit bietet Programme in der Soft SPS siehe Kapitel 6 1 2 von CoDeSys ablaufen zu lassen und hier mit einem Debugger auf Fehler zu berpr fen Dies wurde genutzt um die Tests wie in Kapitel 10 1 4 beschrieben auf deren richtige Funktion hin zu berpr fen 8 6 2 Zusatzfunktionen in CoDeSys CoDeSys bietet dem Programmierer die M glichkeit neben den Funktionen der Norm Pointer einzusetzen und Speicherstellen auch in Funktionsbl cken direkt zu adressieren Zum Unterst tzen der Arbeit mit Pointern dient ein Befehl mit dem die Adresse einer Variablen festgestellt werden kann In CoDeSys ist es auch m glich Variablen in Funktionsbausteinen direkt zu adressieren siehe Kapitel 8 2 2 Selbsttests Diplomarbeit Bj rn Ostermann 71 146 9 Fehler erkennende Programme Fehler
93. er Diplomarbeit behandelten Standard SPSen mit Diagnosefunktionen sicherheitstechnisch in diesem Umfeld einordnen zu k nnen Zur Bewertung der Standard SPS mit Diagnosefunktionen siehe Kapitel 12 7 1 Standard SPS Als Standard SPS wird in dieser Diplomarbeit jede SPS siehe Kapitel 6 1 au er einer vom Hersteller ausgewiesenen Sicherheits SPS bezeichnet 7 1 1 Einstufung der Standard SPS nach DIN EN 954 1 Bereits durch das Auftreten eines einzelnen Fehlers in der Standard SPS kann die Sicherheitsfunktion verloren gehen Damit w re die Standard SPS nach der in Kapitel 5 2 1 vorgestellten DIN EN 954 1 Tabelle 2 siehe Abbildung 7 in Kategorie B bzw Kategorie 1 bew hrtes Bauteil einzuordnen Eine Standard SPS gilt nach bereinstimmender Auffassung der Fachleute aber nicht als bew hrtes Bauteil Deshalb kann die Standard SPS nach der vorgenannten Tabelle nur als Kategorie B Bauteil eingestuft werden Wie der Risikograph dieser Norm in Abbildung 8 zeigt kann die Standard SPS deshalb in einer sicherheitstechnischen Steuerung nur zusammen mit zus tzlichen sicherheitstechnischen Ma nahmen eingesetzt werden 7 1 2 Einstufung der Standard SPS nach prEN ISO 13849 1 Standard SPSen sind aus dem gleichen Grund wie im vorherigen Kapitel beschrieben in der prEN ISO 13849 1 der Kategorie B zuzuordnen Die Bedingungen f r die Einteilung der Steuerungen in Kategorien sind wie in Kapitel 5 2 3 beschrieben f r die Kategorie B in der prEN
94. er Regel wird darunter das zum Zeitpunkt des in Verkehr bringen bestm gliche angewandte und zug ngliche Verfahren verstanden welches auch wirtschaftlich durchf hrbar ist Eine passende Legaldefinition die jedoch nicht auf die wirtschaftlichen Aspekte abhebt findet sich jedoch im Paragraph 3 Absatz 10 der Gefahrstoffverordnung Der Stand der Technik ist der Entwicklungsstand fortschrittlicher Verfahren Einrichtungen oder Betriebsweisen der die praktische Eignung einer Ma nahme zum Schutz der Gesundheit und zur Sicherheit der Besch ftigten gesichert erscheinen l sst Bei der Bestimmung des Standes der Technik sind insbesondere vergleichbare Verfahren Einrichtungen oder Betriebsweisen heranzuziehen die mit Erfolg in der Praxis erprobt worden sind 29 Weitere wichtige Punkte der Vorbemerkungen sind die Verpflichtung zur Erstellung einer Gefahrenanalyse und zur Einhaltung der Grunds tze f r das Sicherheitskonzept Dies wird auch als Drei Stufen Methode bezeichnet wie in Abbildung 3 darstellt Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 28 146 Unterrichtung ber Restgefahren Hinweise Ausbildung pers nliche Schutzausr stung Schutzma nahmen gegen nicht zu beseitigende Gefahren Beseitigung Minimierung der Gefahren konstruktiv Abbildung 3 Grunds tze des Sicherheitskonzepts Drei Stufen Methode Steuerungstechnische Ma nahmen sind der Stufe zwei zuzuordnen da sie keine Gefahren
95. ere bedanke ich mich bei Dr Michael Huelke f r die ausgezeichnete und intensive Betreuung sowie bei Dr Michael Schaefer f r die M glichkeit diese Diplomarbeit beim BGIA durchf hren zu k nnen Mein Dank gilt ganz besonders auch meinen betreuenden Professoren Prof Dr Josef Vollmer und Prof Dr Wolfgang Joppich Weiterhin gilt mein Dank meinen Korrekturlesern und hier besonders meinem Vater Dipl Ing Hans J Ostermann f r die zahlreichen Literaturhinweise und Fachdiskussionen im Bereich der Maschinenrichtlinie Diplomarbeit Bj rn Ostermann 4 146 Hiermit erkl re ich dass ich die vorliegende Diplomarbeit selbstst ndig verfasst und keine anderen als die angegebenen Quellen und Hilfsmittel verwendet habe Niederkassel 10 07 2006 Diplomarbeit Bj rn Ostermann 5 146 Inhaltsverzeichnis 1 Einleitune u 10 1 1 Thema der Diplomarbeit u u uuuuu sense een 10 1 2 Motivation aan es neieebshe dpnucbneningesnanshiennegindeest 10 1 3 vEosunsswer ae eakehegstenensnhbhsspsdedeistnh nsehnne nie reed esse ehe 10 1 4 _ Fehlererkennung in anderen Bereichen scsssossssosesosssnnsssonsssnnennnssnnnsnunsnsee 11 2 Aufsabenstellune u a 12 21 Alena 12 2 2 Anforderungen an die Funktionsbausteine s esssssesssssesssssesssssenssssennsssennsssnsnnnee 12 2 3 Bewertung der erreichten Sicherheit ss0ssesssssesssseessnsenssssennssnennsssnsnssnnssnnee 13 3 Aufbau der Diplomarbeit u 14 4 Rech
96. erkehrgebrachte Sicherheitsbauteile Soweit es sich nicht um auswechselbare Ausr stungen handelt gelten im Sinne dieser Richtlinie als Sicherheitsbauteile jene Bauteile die vom Hersteller oder seinem in der Gemeinschaft niedergelassenen Bevollm chtigten mit dem Verwendungszweck der Gew hrleistung einer Sicherheitsfunktion in den Verkehr gebracht werden und deren Ausfall oder Fehlfunktion die Sicherheit oder die Gesundheit der Personen im Wirkbereich der Maschine gef hrdet 26 D h soweit die Steuerung ein Sicherheitsbauteil in diesen Sinne ist ist die MRL auch auf das Inverkehrbringen dieser Steuerung anzuwenden Insbesondere sind in diesem Zusammenhang die in Anhang IV B der MRL aufgef hrten Sicherheitsbauteile nach Nr 2 zu beachten Logikeinheiten zur Aufrechterhaltung der Sicherheitsfunktionen von Zweihandschaltungen 26 Diese Sicherheitsbauteile unterliegen nach der MRL einem besonderen Konformit tsbewertungsverfahren in dem eine benannte Stelle eingeschaltet werden muss Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 20 146 Mit der neuen Maschinenrichtlinie 2006 42 EG die am 29 Dezember 2009 in Kraft treten wird wird dieser Punkt wesentlich ausgeweitet Nach Anhang IV Nr 21 der neuen Maschinenrichtlinie werden jetzt erfasst Logikeinheiten f r Sicherheitsfunktionen 27 Damit f llt zuk nftig jede einzeln inverkehrgebrachte SPS mit Diagnosefunktionen unter das besondere Konformit t
97. ern So ist es m glich Quelltext zu sparen da z B Zwischenergebnisse nach dem Speichern nicht erneut geladen werden m ssen Operatoren der Anweisungsliste AWL nach Tabelle 52 der Norm DIN EN 61131 3 16 Modifizierer Bedeutung 1 LD N Setzt aktuelles Ergebnis dem Operanden gleich 2 ST N Speichert aktuelles Ergebnis auf die Operanden Adresse s Setzt booleschen Operator auf 1 falls das aktuelle Ergebnis boolesche 1 ist i Setzt booleschen Operator auf 0 zur ck falls das aktuelle Ergebnis 2 boolesche 1 ist 4 AND N Logisches UND 5 amp N Logisches UND 6 OR N Logisches ODER 7 XOR N Logisches Exklusiv ODER 7a NOT Logische Negation Einer Komplement 8 ADD Addition 9 SUB Subtraktion 10 MUL Multiplikation 11 DIV Division lla MOD Modulo Division 12 GT Vergleich gt 13 GE Vergleich gt Technische Grundlagen Diplomarbeit Bj rn Ostermann 66 146 Modifizierer Bedeutung 14 EQ Vergleich 15 NE Vergleich lt gt 16 LE Vergleich lt 17 LT Vergleich lt 18 JMP C N Sprung zur Marke 19 CAL C N Aufruf Funktionsbaustein siehe Tabelle 53 a RET CN R cksprung von aufgerufener Funktion Funktionsbaustein oder Programm 21 Bearbeiten zur ckgestellter Operation Modifizierer werden dem Operator angeh ngt und ver ndern modifizieren dam
98. erst eingeschaltet wird Daher m ssen auch hier die Z hler im entsprechenden Testbaustein OO_TEST_TRUE s u zur ckgesetzt werden Ist nur einer der beiden Ausg nge eingeschaltet bedeutet das dass die Pr froutine bereits im letzten Zyklus gelaufen ist In diesem Fall wird hier keine Ver nderung vorgenommen da dies die Pr froutine die immer ber mehrere Zyklen l uft st ren w rde Nach Abpr fung der aktuellen Zust nde an den Ausg ngen wird in beiden F llen der Testbaustein OO_TESI_TRUE aufgerufen der pr ft ob die verkn pften Eing nge best tigen dass die Ausg nge auch nach au en hin eingeschaltet sind und ausgeschaltet werden k nnen Welcher der beiden Testbausteine aufgerufen wurde ist im weiteren Verlauf unwichtig da nur noch gepr ft werden muss ob die aufgerufene Routine erfolgreich war Diese Pr fung ist in beiden F llen dieselbe Eine komplette Pr fung der Ausg nge ben tigt mehrere Zyklen Deshalb kann aus einer nicht erfolgreichen Pr fung innerhalb eines Zyklus noch nicht auf einen Fehler geschlossen werden Eine Reaktion auf zu h ufige Fehlpr fung geschieht in den jeweiligen Testroutinen s u weswegen das Hauptprogramm hierauf nicht reagieren muss Im Falle einer erfolgreich beendeten Pr fung wird der Z hler f r die Ausgangspaare auf das n chste Ausgangspaar gesetzt und ein Merker gesetzt der der Testroutine des n chsten Zyklus mitteilt dass Sie einen neuen Test beginnt und somit die
99. es Generatorpolynoms einem vom Hersteller festzulegenden Wert eine laufende Polynomdivision in diesem Fall quivalent zur Ausrechnung des Restes bei einer Division durchgef hrt Der Wert des Restes dieser Division wird Selbsttests Diplomarbeit Bj rn Ostermann 91 146 als Pr fsumme gespeichert Beim Zugriff auf den Speicherbereich wird dieser Rest CRC Summe erneut gebildet und mit der vorhandenen verglichen 10 5 1 2 Diagnosedeckungsgrad Die Effizienz dieses Tests wird in der DIN EN 61508 Teil 2 Tabelle A 5 17 in Abh ngigkeit von der L nge der Pr fsumme mit 60 bei 8 Bit und 90 bei 16 Bit angegeben 10 6 Fehlererkennung durch Speichertest des RAM Wie in Kapitel 10 5 schon erw hnt steht der SPS neben dem EEPROM ein RAM zur Verf gung Auf gro e Teile des RAMs kann vom Anwender direkt oder indirekt zugegriffen werden wodurch hier eigene Tests durch den Anwender implementiert werden k nnen Die Aufteilung des RAM Speichers wurde bereits in 6 3 2 beschrieben und ist an dieser Stelle in Abbildung 50 noch einmal dargestellt Aufgrund der Einschr nkung durch das Betriebssystem einer SPS kann der Anwender auf den Programmspeicher nicht zugreifen Fehler die in diesem Teil auftauchen k nnen deshalb nur indirekt mittels der Ablaufkontrolle aus Kapitel 10 3 entdeckt werden speicher resistente Variablen Programm Globale Abbild Ein Freie speicher Variablen und Ausg nge Variablen Abbildung 50 Ausschnitt
100. es auszuschlie en unbeabsichtigtes Ingangsetzen Nichtausf hrung eines bereits erteilten Befehls zum Stillsetzen Herabfallen oder Herausschleudern eines beweglichen Maschinenteils oder eines von der Maschine gehaltenen Werkst cks Verhinderung des automatischen oder manuellen Stillsetzens von beweglichen Teilen jeglicher Art Ausfall von Schutzeinrichtungen 26 Die in dieser Arbeit behandelte Standard SPS ist daf r gedacht in einen Steuerkreis einer Maschine eingebaut zu werden Defekte in der Logik dieses Steuerkreises d rfen nach den o a Anforderungen nicht zu gef hrlichen Situationen f hren Das bedeutet Alle Logik Bauteile in der Steuerung m ssen sicher funktionieren oder im Steuerkreis wird sichergestellt dass sicherheitsrelevante Fehler einzelner Bauteile erkannt und deren Auswirkung verhindert werden F r die Programmierung einer Standard SPS mit Diagnosefunktionen findet der zweite Gedankenstrich Anwendung siehe Kapitel 10 8 da eine Eigensicherheit wie im ersten Gedankenstrich gefordert bei einer Standard SPS nicht gegeben ist Eine Eigensicherheit bietet zur Zeit nur eine Sicherheits SPS 5 1 2 Anhang III EMV Richtlinie Die grundlegenden Anforderungen an SPSen sind Begrenzung der elektromagnetischen St raussendung auf ein solches Ma dass keine anderen Betriebsmittel insbesondere Funk und Telekommunikationsendger te unzul ssig beeinflusst werden Die SPS darf nicht selbst du
101. ese Absch tzungen f hren zur Auswahl der notwendigen Steuerungskategorie Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 40 146 Eine Steuerung der Kategorie B der auch nach Kapitel 7 1 1 die Standard SPS angeh rt kann auf Basis des Risikographen nur unter Zuhilfenahme zus tzlicher Ma nahmen f r Maschinen eingesetzt werden 5 2 2 Bewerten der Wirksamkeit von Diagnosefunktionen DIN EN 61508 Aus dem Vorwort der Norm Diese Internationale Norm behandelt diejenigen Gesichtspunkte die zu betrachten sind wenn elektrische elektronische programmierbar elektronische Systeme E E PES zur Ausf hrung von Sicherheitsfunktionen eingesetzt werden 17 Diese Norm die als eine der Grundlagen der in Kapitel 5 2 3 beschriebenen prEN ISO 13849 1 dient ist f r Steuerungen bzw Rechnersysteme gedacht die Sicherheitsfunktionen erf llen Sie gibt dabei u a in Tabellen Richtwerte an welche Art von Tests Diagnosefunktionen im Rechner selbst zu welcher Fehleraufdeckungsrate f hren Die Vorgehensweise der Norm zur Ermittlung der Sicherheit einer Steuerung wurde in dieser Diplomarbeit nicht verwendet Da die Norm aber eine Auflistung von Tests und deren Wirksamkeit enth lt konnte sie genutzt werden um die Wirksamkeit einiger erarbeiteter Tests festzustellen indem diese mit den in dieser Norm beschriebenen Tests verglichen wurden 5 2 3 Einteilung von Steuerungen in Performance Level prEN ISO 13849 1 Wie im Kapi
102. eten Stelle und Nummer der EG Baumusterbescheinigung gegebenenfalls Name und Anschrift der gemeldeten Stelle der die Unterlagen gem Artikel 8 Absatz 2 Buchstabe c erster Gedankenstrich bermittelt worden sind gegebenenfalls Name und Anschrift der gemeldeten Stelle die die berpr fung gem Artikel 8 Absatz 2 Buchstabe c zweiter Gedankenstrich vorgenommen hat gegebenenfalls die Fundstellen der harmonisierten Normen gegebenenfalls die Fundstellen der nationalen Normen und technischen Spezifikationen die verwendet wurden Angaben zum Unterzeichner der bevollm chtigt ist die Erkl rung f r den Hersteller oder seinen in der Gemeinschaft niedergelassenen Bevollm chtigten rechtsverbindlich zu unterzeichnen 26 dann mit dem Zusatz i V oder i A unterschreibt Nachfolgend ist ein Muster einer EG Konfirmit tserkl rung f r Sicherheitsbauteile abgedruckt Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 26 146 MUSTER EG KONFORMIT TSERKL RUNG F R EINZELN IN VERKEHR GEBRACHTE SICHERHEITSBAUTEILE EG Maschinen Richtlinie 98 37 EG Hiermit erkl rt der Name Rechtsform Anschrift da der die das eindeutige Beschreibung des Sicherheitsbauteils Fabrikat Typ Seriennummer etc e konform ist mit den einschl gigen Bestimmungen der EG Maschinen Richtlinie 98 37 EG einschlie lich ihrer zum Zeitpunkt der Erkl rung geltenden Anderungen e konform ist mit den einschl gigen Bestimmungen folg
103. eten Testverfahren Alle in diesem Kapitel vorgestellten Testverfahren wurden im Einzelschritt Modus des Debuggers von CoDeSys auf ihre Funktion berpr ft Der Einzelschritt Modus erlaubt das genaue Verfolgen des Programmablaufs In diesem Modus ist es au erdem jederzeit m glich Variablen beliebige Werte zuzuweisen wodurch bestimmte Fehlerzust nde simmuliert werden k nnen Beim Speichertest wurden in diesem Modus Fehler in den berwachten Speicherstellen simuliert indem zwischen der ersten und zweiten Signaturbildung siehe Kapitel 10 6 2 1 Werte in berwachten Speicherstellen ge ndert wurden bzw die Werte der gepr ften Speicherstelle selbst ge ndert wurden Die Reaktion auf diese Fehler wurde danach im Einzelschritt Modus berpr ft Benutzt ein Test eine Variable mehrfach wie z B der Test des Speichern und Ladens Kapitel 10 4 2 6 so wurde die Variable stets im Einzelschritt Modus zur Laufzeit modifiziert Anstatt die fehlerhaften Werte im Einzelschritt Modus zur Laufzeit zu implementieren k nnen diese auch direkt im Quellcode des Tests fehlerhaft implementiert werden wenn sie wie beim Test der bedingten Sprungbefehle Kapitel 10 4 2 1 nur einmal geladen werden In diesem Fall ist es f r die Validierung nicht relevant ob der korrekte Wert geladen und dann modifiziert oder direkt modifiziert geladen wird Die Validierung des Tests der Ein und Ausg nge Kapitel 10 7 3 wurde durchgef hrt indem die Eingangsvariabl
104. fisch Ein Wechseln der Sprachen zwischen den einzelnen POEs ist m glich so dass z B POEs die schnell und effizient sein m ssen in Anweisungsliste AWL s u geschrieben werden k nnen und nachher mit anderen POEs in Funktionsbausteinsprache FBS s u zusammengef gt werden k nnen 8 3 1 Anweisungsliste AWL Text basiert AWL ist die Assemblersprache f r die SPS AWL ist f r die in dieser Diplomarbeit geschriebenen Tests als Sprache gew hlt worden da sie eine sehr Hardwarenahe und in der Ausf hrung schnelle Sprache ist Jede Zeile enth lt einen Operator und einen Operanden Fast jede programmierte Operation wird vom Compiler eins zu eins in Maschinencode bersetzt Spr nge und Sprungmarken k nnen beliebig Technische Grundlagen Diplomarbeit Bj rn Ostermann 65 146 eingesetzt werden Dies gibt die M glichkeit Programme effizient zu programmieren d h unn tige Codezeilen zu vermeiden AWL ist damit die Programmiersprache die die schnellsten SPS Programme hervorbringt Die Syntax einer Zeile der Sprache besteht aus Sprungmarke Operator Operand Kommentar Dabei arbeitet AWL mit dem Aktuellen Ergebnis AE dem Akkumulator der SPS Das AE sitzt im RAM der SPS vergleiche Kapitel 6 2 und enth lt das Ergebnis der zuletzt ausgef hrten Operation Es Gibt Operatoren die das AE ndern wie z B das Laden oder Addieren und Operatoren die das AE unber hrt lassen wie z B das Speich
105. fkontrolle o T2a Selbst programmierte Watchdog Funktion mit Ablaufkontrolle Fehlererkennung durch Prozessortest o T2b Test der bedingten Spr nge o T3 Test des Akkumulators o T4a Test der Logischen Operatoren o T4b Test der Arithmetischen Operatoren o T4c Test der Komparatoren o T5 Test des Ladens und Speicherns von Daten Fehlererkennung durch Speichertest des RAM o T6 RAM Test der benutzten Variablen o T7a RAM Test des Bereichs der globalen Variablen mittels eines Arrays Fehlererkennung durch Test der Ein und Ausgabe o T6 EA Test des Speichers der Ein und Ausg nge o T8a Test der redundanten Eing nge o T8b Test der redundanten Ausg nge ber r ckgekoppelte Eing nge Ist die gew hlte SPS kompatibel zu CoDeSys so k nnen die Speichertests des RAM durch den Test o T7b RAM Test des Speichers mittels eines Zeigers CoDeSys spezifisch ersetzt werden was zwar zu einer effektiven Verbesserung der Sicherheit aber zu keiner anderen Kategorie f hrt Das Zuschalten der zweiten SPS als Testeinrichtung der ersten SPS ist zum Erreichen der Kategorie 2 nicht n tig Allerdings f hrt auch dies zu einer effektiven Verbesserung der Sicherheit und wird deshalb u a wie in Abbildung 70 dargestellt vom BGIA vorgeschlagen Selbsttests Diplomarbeit Bj rn Ostermann 127 146 PEL IA TE R ckf hrsignal SEESEERERIGERERE y Signal Steuerungs Steuersignal Signalgeber g el
106. g zu Intern arbeiten die Digitalen Ein und Ausgangskarten mit 24 V Technische Grundlagen Diplomarbeit Bj rn Ostermann 55 146 Der durch das Relais bet tigte Schalter schlie t den Stromkreis der Versorgungsspannung 24 V Diese 24 V flie en ber ein RC Filter und eine galvanische Trennung zu einem Schwellwertschalter Der Schwellwertschalter wandelt die Spannung in ein 0 V keine Eingangsspannung bzw 5 V Eingangsspannung vorhanden Signal um welches an den internen Bus weitergeleitet wird Die Schwelle f r den Schaltvorgang liegt im unteren Voltbereich um Spannungsschwankungen auszugleichen bin re Eingangskarte Signalweg DC 24 V AC 230 V L w DC 24 V Abbildung 30 Eingang einer bin re Eingangskarte 13 Bei der Ausgangkarte siehe Abbildung 31 verl uft der Prozess entgegengesetzt Der interne Bus gibt eine 0 V bzw 5 V Spannung aus die wiederum ber eine galvanische Trennung an eine mit 24 V arbeitende Verst rker Transistor Schaltung bergeben wird Da diese Schaltung nur Gleichstrom bis 0 5 A ausgeben kann besitzen einige Ausgangskarten Relaisausg nge die auch Str me bis 2 A schalten k nnen bin re Ausgangskarte interner Bus Signalwe Transistor galv Trennung Verst rker DC 24 V AC 230 V Abbildung 31 Ausgang einer bin re Ausgangskarte mit einem Relaisausgang 13 Technische Grundlagen Diplomarbeit Bj rn Ostermann 56 146 6 3 SPS Sof
107. gef hrt sind ist das Modul B Baumusterpr fung anzuwenden D h eine so genannte benannte Stelle muss eingeschaltet werden um ein Baumuster hinsichtlich der bereinstimmung mit der MRL zu pr fen Das ModulB ist in der MRL zum Modulpapier hin erg nzt worden so dass der Hersteller bei der Einhaltung harmonisierter Normen anstelle der Baumusterpr fung auch die benannte Stelle im Rahmen des Verfahrens Pr fung der Unterlagen oder Aufbewahrung der Unterlagen einschalten kann Aus diesem Grund sind f r das in Verkehr bringen einer SPS analog zu Kapitel 4 2 1 2 drei F lle zu unterscheiden die auch auf eine mit den in dieser Arbeit beschriebenen Tests sicherheitstechnisch erweiterte SPS anzuwenden sind F r die Standard SPS ohne Diagnosefunktion bzw eine zusammen mit einer Maschine in Verkehr gebrachte SPS mit und ohne Diagnosefunktion bedeutet dies dass die Konformit t der SPS im Rahmen der Konformit tsbewertung der gesamten Maschine gepr ft wird F r die einzeln in Verkehr gebrachte SPS mit Diagnosefunktion die nicht f r Zweihandschaltungen gedacht ist ist vom Hersteller eine gesonderte Konformit tsbewertung nach Artikel 8 Abs 2 a in Verbindung mit Artikel 8 Abs 5 MRL durchzuf hren F r die einzeln in Verkehr gebrachte SPS mit Diagnosefunktion die f r Zweihandschaltungen gedacht ist ist vom Hersteller eine Konformit tsbewertung nach Artikel 8 Abs 2 b bzw c in Verbindung mit Artikel 8 Abs 5 MRL d
108. gene Stromversorgung besitzen ist die Fehleraufdeckung bei Ausfall der Stromversorgung gleich Null Endlos Schleifen und ein Ausfall des Prozessors werden zu 100 erkannt Da der Watchdog nur eine Verl ngerung der Zykluszeit und somit eine Verlangsamung der Taktfrequenz aber kein Verk rzung der Zykluszeit erkennt liegt die Fehleraufdeckung hier bei ann hernd 50 Dieser Wert ist zus tzlich abh ngig vom Spielraum zwischen der Durchlaufzeit eines Zyklus und der Ausl sezeit des Watchdog da eine Verl ngerung der Zykluszeit um diesen Zeitraum ebenfalls nicht erkannt wird Ein Fehler im Programmz hler wird nur in den seltensten F llen erkannt Ein Wert zwischen 5 und 10 ist hier laut Literaturquelle 4 realistisch 10 3 2 T2a Selbst programmierte Watchdog Funktion mit Ablaufkontrolle Die nachfolgende Tabelle enth lt die Bezeichnungen der f r diesen Test verwendeten Funktionen und Variablen Selbsttests Diplomarbeit Bj rn Ostermann 80 146 Name der Hauptfunktion ABLAUF_UEBERWACHUNG ABLAUF_UEBERWACHUNG_OHNE ZEIT Namen der Nebenfunktionen ABLAUF_UEBERWACHUNG_ RESET ABLAUF_UEBERWACHUNG_SCHLEIFE Kontrolle des Programmablaufs auf unerwartete Kurzbeschreibung N Spr nge Eing nge Die Bausteinnummer die mindestens vor dem aktuellen GeringsterVorgaenger j Testbaustein aufgerufen werden musste Programmstelle Die Bausteinnummer des aktuellen Testbausteins Zeit die mindestens seit der letzten Zeitmessung min Ze
109. gnale reagieren kann Sie h ngt sowohl von der Reaktionszeit einer Steuerung als auch von der Geschwindigkeit des zu steuernden Prozesses ab W hrend eine Steuerung bei der Steuerung einer Heizungsanlage echtzeitf hig sein kann da nur jede Stunde ein Regelvorgang durchf hrt werden muss kann dieselbe Steuerung bei der Steuerung eines Roboters zu langsam sein da hier im Millisekundenbereich reagiert werden muss Da in dieser Diplomarbeit weder mit einer realen Schrank SPS gearbeitet wurde noch ein bestimmter Prozess betrachtet wurde kann die Echtzeitf higkeit einer SPS die mit den beschriebenen Tests Technische Grundlagen Diplomarbeit Bj rn Ostermann 58 146 erweitert wurde nicht beurteilt werden Dies muss bei der realen Umsetzung der Testprogramme im konkreten Einzelfall vom Programmierer der SPS beurteilt werden Die Reaktionsgeschwindigkeit der SPS h ngt von der Zeit ab die ein Signal ben tigt um von der Eingangskarte gelesen und von der Ausgangskarte geschrieben zu werden sowie von der Zykluszeit des Programms das auf der SPS abl uft Technische Grundlagen Diplomarbeit Bj rn Ostermann 59 146 7 Sicherheit einer SPS In diesem Kapitel wird das Sicherheitsniveau der zur Zeit auf dem Markt erh ltlichen Standard SPSen und Sicherheits SPSen bewertet und es wird aufgezeigt f r welche sicherheitstechnischen Aufgaben diese SPSen verwendet werden k nnen Diese Ermittlung des Sicherheitsniveaus dient als Basis um die in dies
110. hen sowie der Testbaustein zum Auffinden der Fehler in einer SPS in dieser Diplomarbeit entwickelt herstellerseitig implementiert und sein DC wie in prEN ISO 13849 1 definiert Kapitel Kapitel Fehler aus Kapitel 9 1 Erreichter DC Ubliche L sung L sung f r die SPS F1 Takt L1 9 2 1 Tla 10 3 1 50 T2a 10 3 2 90 99 F2 Programmz hler L2 9 2 2 T2b 10 4 2 1 60 F3 Akkumulator L3 9 2 3 T3 10 4 2 2 90 T4a 10 4 2 3 60 F4 ALU L4 9 2 4 T4b 10 4 2 4 60 T4c 10 4 2 5 60 F5 Kommunikation zwischen Prozessor L5 9 2 5 T5 10 4 2 6 60 und Speicher T6 RAM 10 6 1 60 F6 Stuck at L6 9 2 6 T6 EA 10 7 1 60 L7 ROM 10 5 1 60 90 F7 bertragsfehler L7 9 2 6 L7a RAM 10 6 2 90 L7b RAM 10 6 3 90 T8a 10 7 2 60 90 F8 Ein und Ausgabe L8 9 2 7 T8b 10 7 3 99 T8c 0 99 Selbsttests Diplomarbeit Bj rn Ostermann 126 146 12 Erreichte Erh hung der Sicherheit einer Standard SPS 12 1 Einstufung der Standard SPS mit Diagnosefunktionen nach EN 954 1 Die h chste Kategorie die eine Steuerung nach DIN EN 954 1 14 erreichen kann ohne redundant zu sein ist Kategorie 2 Dies ist aus der Tabelle in Kapitel 5 2 1 in Abbildung 7 ersichtlich Die Anforderungen aus der genannten Tabelle f r Kategorie 2 k nnen erf llt werden indem die Tests von Kapitel 10 3 bis einschlie lich Kapitel 10 7 umgesetzt werden Fehlererkennung durch Ablau
111. hier am Beispiel einer ein Byte Variablen beschrieben wird Im ersten Schritt wird der Inhalt der Zelle gesichert Dies geschieht in eine globale Speicherzelle die im ersten Teil des Tests bereits auf ihre Funktionalit t gepr ft wurde Die n chsten vier Schritte die in Abbildung 53 bis Abbildung 56 dargestellt sind beinhalten je ein Beschreiben der Pr fzelle mit einem Pr fmuster und das anschlie ende Testen ob sich das Pr fmuster aus der Zelle wieder erfolgreich auslesen l sst Abbildung 53 Schritt 2 Die Pr fzelle wird mit Einsen gef llt Abbildung 54 Schritt 3 Die Pr fzelle wird mit Nullen gef llt Abbildung 55 Schritt 4 Die Pr fzelle wird abwechselnd mit Null und Eins beschrieben Abbildung 56 Schritt 5 Das Muster aus Schritt 4 wird komplementiert Kommt es in einem dieser vier Schritte beim Testen zu einem Fehler so wird sofort der Fehlerbaustein ERROR_FB aufgerufen und die SPS damit abgeschaltet Bei erfolgreichem Test ist Schritt 6 das R ckschreiben des urspr nglichen Zelleninhalts Selbsttests Diplomarbeit Bj rn Ostermann 98 146 10 6 1 3 Diagnosedeckungsgrad Die Effizienz dieses Testverfahrens ist nur gering Fehler im Speicher die durch bertrag entstehen siehe Kapitel 9 1 k nnen mit dieser Art von Test wie im Kapitel 10 6 1 1 beschrieben nicht gefunden werden Aus diesem Grund wird dieser Art von Test von der Norm DIN EN 61508 nur ein Diagnosedeckungsgrad von 60 zugesprochen
112. iche Fehler entdecken zu k nnen Der umgesetzte Test verzichtet hierauf da der Speicher zur Testzeit genutzt wird und somit ein nat rliches Muster vorhanden ist Dies nimmt dem Test wenn berhaupt nur wenig von seiner Effektivit t Dies ist jedoch vernachl ssigbar Der Walk Path hat laut Norm eine Testgenauigkeit von 90 Der Umgesetzte Test wird auf Grund seiner hnlichkeit ebenfalls mit 90 angenommen kann allerdings nur den Bereich der globalen Variablen testen Beachtet werden sollte auch dass bertragungsfehler die durch an den Bereich der globalen Variablen angrenzende Speicherstellen entstehen nicht erkannt werden k nnen Aus diesem Grund gelten die angegebenen 90 nur f r den inneren Bereich des gepr ften Arrays Als innerer Bereich wird hier der Bereich des Speichers bezeichnet der physikalisch gesehen gen gend Abstand von anderen Speicherbereichen hat so dass bertragsfehler ausgeschlossen werden k nnen 10 6 3 T7b RAM Test des Speichers mittels eines Zeigers CoDeSys spezifisch Dieser Test verwendet Pointer sowie dem normalen Befehlsumfang nach DIN EN 61131 3 hinzugef gte Operatoren die den physikalischen Speicherort einer Variablen im RAM Speicher ausgeben Diese CoDeSys spezifisch Befehle sind auf einer gro en Gruppe von SPSen verschiedener Hersteller die in der CAA zusammengeschlossen sind siehe Kapitel 8 6 umgesetzt Weiterhin kann der Test auch auf andere SPSen bertragen werden die Funktio
113. iches Ma begrenzt wird 22 Die EMV Richtlinie 22 ist bei SPSen regelm ig neben der Maschinenrichtlinie anzuwenden Ihre grundlegenden Anforderungen werden in Kapitel 5 1 2 dargestellt Die neue EMV Richtlinie 2004 108 EG ist zur Zeit noch kein geltendes Recht Hinsichtlich der Schutzziele im Bereich der SPSen ergeben sich jedoch keine Ver nderungen Die neue EMV Richtlinie kann ab dem 20 7 2007 angewendet werden Es besteht eine zwei j hrige Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 32 146 bergangsfrist bis zum 20 7 2009 w hrend der die alte Richtlinie weiterhin angewendet werden kann 4 3 Nationales Recht als Umsetzung des EU Rechts Die europ ischen Richtlinien wenden sich an die Mitgliedsstaaten und m ssen von diesen in nationales Recht umgesetzt werden Erst das nationale Recht ist f r den Hersteller Inverkehrbringer verbindlich Im Bereich der Binnenmarktrichtlinien nach Artikel 95 EG Vertrag 19 freier Warenverkehr haben die Mitgliedstaaten allerdings keinen Spielraum bei der Umsetzung Sie m ssen diese Richtlinien inhaltlich eins zu eins in nationales Recht bernehmen In sofern muss auf die Inhalte der nationalen Rechtsvorschriften hier nicht weiter eingegangen werden Die nachfolgende Tabelle Abbildung 5 enth lt eine bersicht ber die f r Maschinen und Sicherheitsbauteile wichtigsten europ ischen Binnenmarktrichtlinien und ihre Umsetzungen in das nationale deutsche Recht EG R
114. ichtlinie Umsetzung in nationales deutsches Recht Ger te und Produktsicherheitsgesetz GPSG in 73 23 EWG Niederspannungsrichtlinie 20 Verbindung mit der 1 Verordnung zum Ger te und Produktsicherheitsgesetz 1 GPSGV Gesetz ber die elektromagnetische Vertr glichkeit 89 336 EWG EMV Richtlinie 22 EMVG Ger te und Produktsicherheitsgesetz GPSG in 94 9 EG Ex Schutz Richtlinie 24 Verbindung mit der 11 Verordnung zum Ger te und Produktsicherheitsgesetz 11 GPSGV Ger te und Produktsicherheitsgesetz GPSG in Richtlinie einfache 87 404 EWG Verbindung mit der 6 Verordnung zum Ger te Druckbeh lter 21 und Produktsicherheitsgesetz 6 GPSGV Ger te und Produktsicherheitsgesetz GPSG in 97 23 EG Druckger te Richtlinie 25 Verbindung mit der 14 Verordnung zum Ger te und Produktsicherheitsgesetz 14 GPSGV Ger te und Produktsicherheitsgesetz GPSG in 98 37 EG Maschinenrichtlinie 26 Verbindung mit der 9 Verordnung zum Ger te und Produktsicherheitsgesetz 9 GPSGV Abbildung 5 Tabelle Europ ische Richtlinien umgesetzt in deutsches Recht Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 33 146 5 Technische Anforderungen an Steuerungen 5 1 Aus Rechtsvorschriften 5 1 1 Anhang I Maschinenrichtlinie In diesem Kapitel werden nur die Anforderungen an Steuerungen behandelt die nicht von den bereits in Kapitel 4 2 3 angef hrten Spezial Richtlinien abged
115. ichtungen als auch ihre Bad nn Das Auftreten eines Fehlers bereinstimmung mit den B kann zum Verlust der zutreffenden Normen so gestaltet 3 i Sicherheitsfunktion f hren 5 5 gebaut ausgew hlt berwiegend zusammengestellt und kombiniert durch Auswahl werden dass sie den zu erwartenden von Bauteilen Einfl ssen standhalten k nnen charakterisiert Die Anforderungen von B m ssen Das Auftreten eines Fehlers erf llt sein kann zum Verlust der 1 i a i Sicherheitsfunktion f hren a E Bautei und bew rte aber die Wahrscheinlichkeit Sicher LO MUSSEN des Auftretens ist geringer angewendet werden als in Kategorie B Die Anforderungen von B und die Das Auftreten eines Verwendung bew hrter Fehlers kann zum Verlust Sicherheitsprinzipien m ssen erf llt der Sicherheitsfunktion berwiegend 2 sein zwischen den durch die Die Sicherheitsfunktion muss in Pr fabst nden f hren Struktur geeigneten Zeitabst nden durch die Der Verlust der charakterisiert Maschinensteuerung gepr ft Sicherheitsfunktion wird werden durch die Pr fung erkannt Die Anforderungen von B und die Verwendung bew hrter Wenn der einzelne Fehler Sicherheitsprinzipien m ssen erf llt auftritt bleibt die sein Sicherheitsfunktion immer f f f erhalten Sicherheitsbezogene Teile m ssen iss aberta berwiegend so gestaltet sein dass Einige aber nicht alle durch die 3 EIER ER Fehler werden erkannt ein einzelner Fehler in jedem i TA Struktur d
116. ie Ber cksichtigung der Ausfallwahrscheinlichkeiten und der Diagnosedeckungsgraden Diagnostic Coverage DC Wahrscheinlichkeit des Entdeckens eines Fehlers Aus diesem Grund wird in dieser Arbeit zu jedem Test angegeben welcher DC mit dem jeweiligen Test erreicht werden kann Zum Abschluss der Diplomarbeit wird eine Beispiel SPS mit integrierten Testverfahren anhand der o a Normen bewertet und die erreichte Verbesserung aufgezeigt 1 4 Fehlererkennung in anderen Bereichen Das Problem dass ein System welches aus elektronischen Komponenten besteht nicht auf Dauer fehlerfrei arbeiten kann ist so alt wie die Elektronik Aus diesem Grund existieren in anderen Bereichen bereits zahlreiche L sungen f r Selbsttests von Steuerungen Elektrische Schaltungen die fehlersicher sein m ssen werden z B redundant aufgebaut Bei Systemen die Prozessoren enthalten bietet sich dagegen der Selbsttest als wirtschaftliche Alternative zum redundanten Aufbau an Ein einkanaliges System mit Selbsttest kann allerdings nie die gleiche Sicherheit wie eine redundante Schaltung bieten F r diese Diplomarbeit wurden vor allem bereits umgesetzte und auf ihre Funktionalit t hin gepr fte Testverfahren f r den PC und den Mikroprozessor betrachtet um hieraus Erkenntnisse f r die in dieser Diplomarbeit entwickelten Tests zu gewinnen Beim PC wurde der Speichertest Memtest86 betrachtet beim Mikroprozessor der Inhalt des BGIA Reports 2006 1 Au erde
117. ie G te dieser Fehlererkennungsmethoden oder die Ausfallrate der verwendeten Bauteile flie t allerdings nicht in die Bewertung mit ein Diese Einteilung sicherheitsgerichteter Teile der Steuerung in einzelne Kategorien ist der Hauptteil der Norm Zus tzlich befindet sich im AnhangB Hinweise zur Auswahl von Kategorien ein Risikograph Abbildung 8 der dem Konstrukteur hilft die notwendige Steuerungskategorie f r seine Maschine auszuw hlen Abweichungen von den vorgeschlagenen Kategorien sind m glich m ssen aber begr ndet werden In der Einleitung des Anhangs B findet sich der Satz Die Hinweise die in diesem Anhang gegeben werden sollten als Teil der in EN 1050 beschriebenen Risikobeurteilung betrachtet werden und nicht als Ersatz daf r 14 Dieser Graph in Abbildung 8 ist also nur als Hilfe f r die Auswahl der richtigen Steuerungskategorie gedacht nicht als Ersatz einer kompletten Risikobeurteilung einer Maschine oder Anlage Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 39 146 Kategorie Bevorzugte Kategorien f r Bezugspunkte o M gliche Kategorien die zus tzliche Ma nahmen erfordern O Ma nahmen die in Bezug auf das zutreffende Risiko berdimensioniert sein k nnen S Schwere der Verletzung S1 Leichte blicherweise reversieble Verletzung S2 Schwere blicherweise irreversieble Verletzung einschlie lich Tot F H ufigkeit und oder Dauer der Gef hrdungsexposition F1 Selten bis fter
118. ie Toleranz beim Zeitmessen die nicht aus Fehlern resultiert zu ber cksichtigen wird ein definiertes Zeitfenster benutzt Je enger das Zeitfenster ist um so eher wird ein fehlerhafter Sprung erkannt Selbsttests Diplomarbeit Bj rn Ostermann 74 146 O Aufruf einer Testroutine Zeitfenster geplanter Programmablauf N fehlerhafter Programmablauf entdeckter Sprungfehler unentdeckter Sprungfehler Abbildung 40 Erkennung fehlerhafter Spr nge durch ein Zeitfenster Wird die Ablauf berwachung mit der zeitlichen berwachung kombiniert erh ht dies den Grad der Fehleraufdeckung Eine Darstellung dieser Kombination findet sich in Abbildung 41 AN Aufruf einer Testroutine l Zeitfenster geplanter Programmablauf IN fehlerhafter Programmablauf entdeckter Sprungfehler unentdeckter Sprungfehler Abbildung 41 Ablaufkontrolle durch kombinierte berwachung 9 2 3 L3 Akkumulator Fehler im Akkumulator siehe Abbildung 28 k nnen mittels eines einfachen walking Bit Tests erkannt werden Dabei wird eine Eins vom niederwertigsten Bit bis zum h chstwertigsten Bit geschoben und dabei berpr ft wann das Bit gesetzt wird dass einen bertrag anzeigt Eine Umsetzung dieses Tests findet sich im BGIA Report 1 9 2 4 L4 Befehlsausf hrung Zum berpr fen der Befehlsausf hrung in der ALU des Prozessors siehe Abbildung 28 werden Ergebnisse berechnet und mit erwarteten Pr fsummen verglichen bzw
119. ieser Teile nicht zum Verlust der 7 Eine Anh ufung charakterisiert Sicherheitsfunktion f hrt und wann immer in angemessener Weise durchf hrbar der einzelne Fehler erkannt wird unerkannter Fehler kann zum Verlust der Sicherheitsfunktion f hren Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 38 146 Prinzipien zum Kategorie Kurzfassung der Anforderungen Systemverhalten Erreichen der Sicherheit Die Anforderungen von B und die Verwendung bew hrter Sicherheitsprinzipien m ssen erf llt sein Sicherheitsbezogene Teile m ssen g wan Eehler AUfrEIEn so gestaltet sein dass blsibedie EN f ON Sicherheitsfunktion immer f ein einzelner Fehler in jedem erhalten berwiegend 4 dieser Teile nicht zum Verlust der Die Fehler d durch die Sicherheitsfunktion f hrt und Dan Struktur rechtzeitig erkannt um Si der einzelne Fehler bei oder vor einen Verlust der charakterisiert der n chsten Anforderung an die Sicherheitsfunktion zu Sicherheitsfunktion erkannt wird oder wenn dies nicht m glich ist darf eine Anh ufung von Fehlern dann nicht zum Verlust der Sicherheitsfunktion f hren verhindern Abbildung 7 DIN EN 954 1 Tabelle 2 Kurzfassung der Anforderungen f r Kategorien 14 Aus dieser Tabelle und der Kurzbeschreibung wird deutlich dass die Norm die Sicherheit von Steuerungen anhand der Architektur der Steuerung in Verbindung mit den angewandten Fehlererkennungsmethoden beurteilt D
120. iften der Mitgliedsstaaten ber die elektromagnetische Vertr glichkeit 89 336 EWG EMV Richtlinie 23 Beschluss 93 465 EWG ber die in den technischen Harmonisierungsrichtlinien zu verwendenden Module f r die verschiedenen Phasen der Konformit tsbewertungsverfahren und die Regeln f r die Anbringung und Verwendung der CE Konformit tskennzeichnung 24 Richtlinie 94 9 EG des Europ ischen Parlaments und des Rates zur Angleichung der Rechtsvorschriften der Mitgliedstaaten f r Ger te und Schutzsysteme zur bestimmungsgem en Verwendung in explosionsgef hrdeten Bereichen 25 Richtlinie 97 23 EG des Europ ischen Parlaments und des Rates zur Angleichung der Rechtsvorschriften der Mitgliedstaaten ber Druckger te Druckger terichtlinie 26 Richtlinie 98 37 EG des Europ ischen Parlaments und des Rates zur Angleichung der Rechts und Verwaltungsvorschriften der Mitgliedstaaten f r Maschinen Maschinenrichtlinie 27 Richtlinie 2006 42 EG des Europ ischen Parlaments und des Rates ber Maschinen und zur nderung der Richtlinie 95 16 EG Neufassung neue Maschinenrichtlinie 28 Gesetz ber technische Arbeitsmittel und Verbraucherprodukte Ger te und Produktsicherheitsgesetz GPSG BGBl I vom 9 Januar 2004 29 Verordnung zum Schutz vor Gefahrstoffen Gefahrstoffverordnung GefStoffV vom 23 Dezember 2004 BGBl I S 3758 ge ndert durch Artikel 2 der Verordnung vom 23 Dezember 2004 BGBl I S 3855 16 4 Webseit
121. igungen o EG Konformit tserkl rung Anhang II A oder C MRL siehe Kapitel 4 2 1 4 oder o Herstellererkl rung Anhang II B MRL CE Kennzeichnung Anhang III MRL siehe Kapitel 4 2 1 1 Nicht vernachl ssigt werden darf allerdings dass in der Regel neben der MRL noch andere Binnenmarktrichtlinien anzuwenden sind wie z B die Niederspannungsrichtlinie die ATEX Richtlinie 24 die EMV Richtlinie 22 und die Druckger terichtlinie 25 die eigene Konformit tsbewertungsverfahren vorschreiben und die ggf zus tzlich anzuwenden sind Auch Anforderungen des Umweltschutzes sind ggf f r Maschinen einzuhalten Nachfolgend beschr nken sich die Ausf hrungen jedoch auf die Bestimmungen der MRL und der EMV Richtlinie die bei Maschinensteuerungen wie die SPS in der Regel anzuwenden sind Die im Maschinenbau ansonsten regelm ig zum Tragen kommende Niederspannungsrichtlinie kommt auf Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 24 146 Grund ihrer Spannungsgrenzen 50 bis 1000 V Wechselstrom bzw 75 bis 1500 V Gleichstrom bei den hier behandelten SPSen eher selten zur Anwendung siehe auch Kapitel 4 2 3 Die MRL schreibt grunds tzlich das Konformit tsbewertungsverfahren nach Modul A interne Fertigungskontrolle vor d h der Maschinen bzw Sicherheitsbauteilehersteller bewertet die Konformit t allein ohne die Einschaltung Dritter F r einen kleineren Teil der Maschinen und Sicherheitsbauteile die in Anhang IV MRL auf
122. ikel 8 Absatz 1 folgendes Der Hersteller oder sein in der Gemeinschaft niedergelassener Bevollm chtigter muss um die bereinstimmung der Maschinen und Sicherheitsbauteile mit den Bestimmungen dieser Richtlinie zu bescheinigen f r jede hergestellte Maschine bzw jedes hergestellte Sicherheitsbauteil eine EG Konformit tserkl rung gem Anhang II Buchstabe A bzw Buchstabe C ausstellen Ferner muss der Hersteller oder sein in der Gemeinschaft niedergelassener Bevollm chtigter nur auf Maschinen die genannte CE Kennzeichnung anbringen 26 Die Form und Gr e der CE Kennzeichnung ergibt sich aus Anhang III der MRL CE KONFORMIT TSKENNZEICHNUNG Die CE Konformit tskennzeichnung besteht aus den Buchstaben CE mit folgendem Schriftbild 26 Zu beachten ist dass die CE Kennzeichnung keine freiwillig anzubringende Kennzeichnung ist Sie ist nach Artikel 8 Absatz 1 auf Maschinen immer anzubringen Eine falsche Kennzeichnung mit dem CE Kennzeichen ist nach 6 Absatz 1 Ger te und Produktsicherheitsgesetz GPSG verboten Es ist verboten ein Produkt in den Verkehr zu bringen wenn dieses seine Verpackung oder ihm beigef gte Unterlagen mit der CE Kennzeichung versehen sind ohne dass die Rechtsverordnungen nach 3 oder andere Rechtsvorschriften dies vorsehen und die Voraussetzungen der Abs tze 2 bis 5 eingehalten sind 28 Danach d rfen Sicherheitsbauteile aufgrund des Artikel 8 Absa
123. ils bestimmen MTTF des Kanals bestimmen Kategorie gt MTTF des DC des Gesamtsystems Gesamtsystems bestimmen bestimmen PL aus Tabelle 7 der prEN ISO 13849 1 ablesen Abbildung 11 Bestimmung des Performance Levels nach prEN ISO 13849 1 Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 43 146 F r die Bestimmung des MTTF stehen verschiedene Methoden zur Auswahl die in Abbildung 12 zusammengefasst und im folgenden Text erl utert sind Bestimmen der MTTF eines einzelnen Bauteils nach prEN ISO 13849 1 Gibt der Hersteller den MTTF Wert an MTTF Wert f r das Bauteil in einer Tabelle der Norm aufgelistet nein Ist der Bjga Wert bekannt nein MTTF Wert aus Boq Bio 2 Bio Wert errechnen Ist der B Wert bekannt B Wert ermitteln nein ENDE Abbildung 12 Darstellung der Bestimmung des MTTF nach prEN ISO 13849 1 Es ist vorgesehen dass zuk nftig die Werte der einzelnen Bauteile f r MTTF und MTTF von den Herstellern mitgeliefert werden Bis dahin f hrt die prEN ISO 13849 1 im Anhang C und D Werte in Tabellen auf die als N herungswerte f r heute benutzte Standardbauteile benutzt werden k nnen F r pneumatische sowie elektromechanische Bauteile z B in der SPS eingesetzte Relais kann als Grundlage f r die Berechnung des MTTF Werts der B oa Wert
124. ine Weiterschaltbedingung angebracht ist Ist diese erf llt springt das Programm in den n chsten Schritt Mit dieser Programmiersprache k nnen vor allem Prozessabl ufe gut programmiert werden die nach einander ablaufen 8 4 Variablendeklaration Die Art der Deklaration der Variablen ist unabh ngig von der gew hlten Programmiersprache Sie l uft in folgenden Schritten ab Startbefehl zur Deklaration VAR Auswahl der Art der Variablen lokal global retain siehe z B Kapitel 8 2 1 z B Lokal global GLOBAL retain RETAIN Auswahl eines WVariablen Namens beliebige L nge keine vom Programm belegten Bezeichnungen nur bestimmte Zeichen z B a b_c d e Technische Grundlagen Diplomarbeit Bj rn Ostermann 68 146 Festlegung der Speicherstelle fest oder programmgesteuert z B AT MX5 7 als feste Zuordnung auf das 7te Bit des Sten Bytes des Bereichs der globalen Variablen des Speichers Wird hier keine Festlegung getroffen steuert das Programm die Speicherbelegung selbst Zuordnung eines Variablen Typs Bool Byte Integer Word Doubleword z B BOOL BYTE INT WORD DWORD Abschlussbefehl zur Beendung Deklaration Immer END_VAR Ein gesamter Aufruf k nnte zum Beispiel sein VAR GLOBAL Hilfs_Variable AT MX4 4 BOOL END_VAR Damit w rde der Speichers
125. inen den o a Bereich sicherheitstechnisch optimal abdecken und dabei eine wirtschaftliche L sung bieten Diese Standard SPS in dieser Diplomarbeit als Standard SPS mit Diagnosefunktionen bezeichnet kann mit diesen Tests nicht das Sicherheitsniveau der Sicherheits SPS erreichen Dies ist aber bei den Sicherheitsanforderungen vieler Anwendungen auch nicht erforderlich 1 3 L sungsweg Im Rahmen dieser Diplomarbeit wurden Testverfahren zur Gew hrleistung der sicherheitstechnischen berwachung einer SPS erarbeitet die ein Anwender einer SPS als Funktionsbausteine in das Programm der SPS implementieren kann Soweit nutzbare Fehlererkennungsroutinen in anderen Bereichen bekannt sind wurden diese bei der L sungssuche ber cksichtigt siehe Kapitel 1 4 Die Arbeitsweise der erarbeiteten Testverfahren wird erl utert und deren Wirkungsgrad aufgezeigt Um die Sicherheit eines Steuerungsbauteils zu beurteilen wird in der Industrie grunds tzlich die nach der gesetzlich vorgegebenen europ ischen Maschinenrichtlinie 26 harmonisierte Norm DIN EN 954 1 14 herangezogen Neben der Ber cksichtigung dieser Norm geht diese Diplomarbeit Einf hrung Diplomarbeit Bj rn Ostermann 11 146 zus tzlich auf die Vor Norm prEN ISO 13849 1 15 ein die eine wesentlich feinere Einsch tzung der erreichten Sicherheit zul sst und die in naher Zukunft auch die DIN EN 954 1 abl sen wird Diese feinere Einsch tzung der erreichten Sicherheit ergibt sich durch d
126. inen kann ggf die notwendige Sicherheit herstellen In diesem Fall ist die notwendige Erweiterung der Programmierung der SPS wesentlich kosteng nstiger als der komplette Austausch der Steuerung durch eine Sicherheits SPS Dazu kommt dass der Eingriff an den beim Kunden befindlichen Maschinen und Anlagen schneller vorgenommen werden kann da lediglich die externe Verdrahtung der SPS minimal erg nzt werden muss ltere im Betrieb befindliche Maschinen verf gen h ufig noch ber fest verdrahtete Relaissteuerungen Solche Steuerungen werden zunehmend durch modernen SPSen ersetzt Auch hierbei kann der Einsatz von Standard SPSen die mit den in dieser Diplomarbeit erarbeiteten Funktionsbausteine erweitert worden sind h ufig die wirtschaftlichere L sung gegen ber dem Einsatz einer Sicherheits SPS sein 13 3 Ausblick 13 3 1 Fehlernummern speichern Eine sinnvolle Erweiterung der Testbausteine die aus Zeitgr nden wegfallen musste ist ein Speichern von Fehlernummern vor einem Abschalten Dadurch ist es dem Benutzer der SPS schnell m glich die Ursache f r den Ausfall der SPS festzustellen 13 3 2 Erh hen der niedrigen Diagnose Deckungsgrade DCs Einige der in dieser Diplomarbeit erarbeiteten Tests haben auf Grund der stark eingeschr nkten Programmier M glichkeiten durch die Vorgaben der Norm DIN EN 61131 zur SPS Programmierung 16 einen relativ niedrigen DC von 60 Das bedeutet dass 40 der Fehler bei diesen Tests unerkann
127. ionsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften f r die Dienste der Informationsgesellschaft festgelegten Verfahren angenommen wurde 27 Der Maschinen und Sicherheitsbauteilehersteller kann bei Anwendung einer solchen harmonisierten Norm allerdings nicht davon ausgehen dass er die Anforderungen der Maschinenrichtlinie erf llt Dazu muss die harmonisierte Norm erst im Amtsblatt der Europ ischen Gemeinschaften ver ffentlicht worden sein Dies f hrt zur so genannten Konformit tsvermutung Umkehr der Beweislast zu Gunsten des Herstellers nach Artikel 5 Absatz 2 MRL Entspricht eine nationale Norm in Umsetzung einer harmonisierten Norm deren Fundstelle im Amtsblatt der Europ ischen Gemeinschaften ver ffentlicht worden ist einer oder mehreren grundlegenden Sicherheitsanforderungen wird bei nach dieser Norm hergestellten Maschinen oder Sicherheitsbauteilen davon ausgegangen dass sie den betreffenden grundlegenden Anforderungen gen gen 26 Diese Festlegung wird inhaltlich von der neuen MRL 27 in Artikel 7 Absatz 2 bernommen Die Anwendung harmonisierter Normen ist nicht vorgeschrieben sie bietet allerdings durch die o a Konformit tsvermutung eine besondere Rechtssicherheit Der Gesamtzusammenhang zwischen der harmonisierten Norm und der Konformit tsvermutung ist in der folgenden Abbildung 4 dargestellt Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 30
128. it f vergangen sein muss Zeit die maximal seit der letzten Zeitmessung vergangen maxZeit sein darf Ausg nge keine Genutzte globale Variablen Speichert die letzte aufgerufene Bausteinnummer aller LetzteProgrammstelle angegebenen Testbausteine Speichert den Zeitpunkt des letzten Aufrufs von LetzterPruefzeitpunkt ABLAUF_UEBERWACHUNG oder ABLAUF_UEBERWACHUNG_RESET 10 3 2 1 Erl uterung Ein selbst programmierter Watchdog kann nie einen Fehler im eigenen Takt der SPS bemerken da er diesen selbst f r seine Funktion nutzt Darum hat der hier angegebene Watchdog nur die Aufgabe den Ablauf des Programms zu berwachen und nicht den Takt Dazu nutzt er die Kombination der in Kapitel 9 2 genannten Verfahren siehe Abbildung 45 Selbsttests Diplomarbeit Bj rn Ostermann 81 146 on an VAR Q Aufruf einer Testroutine Zeitfenster P geplanter Programmablauf N fehlerhafter Programmablauf entdeckter Sprungfehler unentdeckter Sprungfehler Abbildung 45 Ablaufkontrolle durch kombinierte berwachung siehe Seite 74 On vn zug DI Damit die einzelnen Tests funktionieren muss der Programmierer ber die Variablen minZeit und maxZeit festlegen wie viel Zeit seit dem Aufruf des letzten Tests vergangen sein sollte Zus tzlich muss ber die Variable GeringsterVorgaenger festgelegt werden welcher Test der Vorg ngertest ist Dies kann bei einer Schleife oder Programmverzweigung allerdings kompliziert sein
129. it seine Funktion Der Modifizierer N negiert die Funktion des Operators Z B l dt der Operator LDN das Komplement der angegebenen Speicherstelle in das AE Der Modifizierer C f hrt dazu dass der Operator nur dann ausgef hrt wird wenn das AE den Wert 1 hat Z B ist der Operator JMPC ein Sprung der nur dann ausgef hrt wird wenn das AE 1 ist ein so genannter bedingter Sprung Werden die Modifizierer C und N kombiniert wird der Befehl nur dann ausgef hrt wenn das AE 0 ist Die ge ffnete Klammer f hrt dazu dass erst die Befehle in den Klammeroperatoren ausgef hrt werden und danach der vorangestellte Operator Nachteile der Sprache liegen in den nicht vorhandenen Schleifen der Hochsprachen z B do while und deren Verzeigungen z B if then else Diese m ssen durch bedingte Spr nge ersetzt werden Durch viele Spr nge entsteht allerdings ein un bersichtlicher Spagetticode der schlecht zu lesen und kaum zu warten ist Programmteile in AWL sollten deshalb kurz gehalten und gut kommentiert werden 8 3 2 Strukturierter Text ST Text basiert ST ist der Hochsprache PASCAL sehr hnlich Diese Sprache wurde erst sp t in die Norm aufgenommen Seit diesem Zeitpunkt wurde sie allerdings in vielen neueren SPSen und Programmiersystemen implementiert da die Hersteller auf die Entwicklung einer eigenen Hochsprache verzichtet haben Die meisten SPS Hersteller halten i
130. ittels Redundanz also dem Einlesen eines Wertes ber zwei verschiedene Eing nge und dem Vergleich der an den Prozessor weitergeleiteten Werte getestet werden Ausg nge k nnen nur mittels R cklesen der ausgegebenen Werte durch einen Eingang getestet werden Dazu wird der Ausgang mit dem Eingang mittels externer Verschaltung verbunden Dadurch liegt vor dem Eingang das gleiche Signal wie hinter dem Ausgang an Bei fehlerfreien Ein und Ausgangskarten muss dadurch das Signal vor dem Ausgang mit dem Signal hinter dem Eingang bereinstimmen Dies wird durch den Prozessor berpr ft Die Ausf lle in einem Ausgang stellen sich meist durch das kleben bleiben auf einem Wert ein oder aus dar Diese Ausf lle w rden durch den vorgenannten Test erst in dem Moment bemerkt in dem der Ausgang geschaltet wird Da dieser Ausfall nicht erst bemerkt werden darf sobald das Bauteil benutzt wird m ssen Ausg nge in regelm igen Zeitabschnitten ein und ausgeschaltet und diese Funktion gepr ft werden Dies muss auch m glich sein wenn das laufende Programm den Ausgang anders nutzen will als die Testroutine Bei einem Mikrocontroller kann der Ausgang kurzeitig abgeschaltet und wieder einschaltet werden bevor ein nach geschaltetes Relais dies mitbekommt Ein entsprechender Test ist in dem BGIA Report 1 programmiert Im Falle der SPS ist dies wegen der eigenen Relais und des zyklischen Programmablaufs aufgrund des damit verbundenen Geschwindigkeit
131. keit der Aufdeckung von zuf llig auftretenden Fehlern durch die Ablauf berwachung ist abh ngig von dem Verh ltnis der Anzahl der eingesetzten Tests zur Gesamtl nge des Programms Wird alle hundert Befehle eine Ablaufkontrolle durchgef hrt so betr gt die Wahrscheinlichkeit f r das Finden eines zuf lligen Fehlers im f nften Bit das 16 Befehle berspringt 16 im Vierten 8 usw Dies gilt allerdings nur f r den Fall das der Zuf llige Sprung in einem Codesegment auftritt das selbst keine anderen Spr nge in Unterprogramme oder hnliches vorsieht In einem stark verzweigten Programm ist die Aufdeckungsrate entsprechend h her da hier das berspringen von Sprungbefehlen zu wesentlich gr eren Verschiebungen im Programmablauf f hrt Gesamt DC Die Gesamteffizienz des Tests kann f r dauerhafte Fehler im Programmz hler mit 99 s o und f r zuf llig auftretende Fehler mit 66 bzw 85 s o angenommen werden Ein Wert von 90 f r zuf llige Fehler kann mit viel Aufwand und durch h ufige Tests bei allerdings hohem Performanceverlust durch h ufiges Abpr fen des Programmablaufs erreicht werden 10 4 Fehlererkennung durch Prozessortest Die nachfolgende Tabelle enth lt die Bezeichnungen der f r diesen Test verwendeten Funktionen und Variablen Selbsttests Diplomarbeit Bj rn Ostermann 87 146 Name der Hauptfunktion keine JMP_TEST SEES TE gt S LO_AND_TEST Namen der Nebenfunktionen Kurzbeschreibung Eing nge
132. l wird der Z hler f r durchlaufene Pr fungen auf Null gesetzt und der Merker f r die Pr fung wird auf den ersten Ausgang des Ausgangspaares gesetzt Selbsttests Diplomarbeit Bj rn Ostermann 115 146 Nach der Auswahl des zu Pr fenden Ausgangs Eins oder Zwei laufen beide Tests die des ersten und die des zweiten Ausgangs weitestgehend analog ab In beiden F llen wird gepr ft ob der zu pr fende Ausgang gesetzt ist Sollte dies der Fall sein wird er abgeschaltet sobald sichergestellt ist dass der andere Ausgang sicher gesetzt ist Dies berpr ft einerseits das Einschaltverhalten des jeweils anderen Ausgangs andererseits wird so sichergestellt dass es durch die Pr fung zu keinem ungewollten Abschalten der durch die SPS gesteuerten Maschine kommt Ist der zu pr fende Ausgang nicht gesetzt wird berpr ft ob sein verkn pfter Eingang dies best tigt Eine erfolgreiche Pr fung des ersten Ausgangs f hrt zum Setzen des Merkers der Pr fungen auf den Zweiten Ausgang Eine erfolgreiche Pr fung des zweiten Ausgangs f hrt zum erfolgreichen Beenden des Tests und damit zum Setzen der Variablen Gepr ft auf WAHR die wiederum von der Hauptfunktion gelesen und verarbeitet wird s o Jeder Aufruf der Routine der nicht zu einem Erfolg oder Teilerfolg f hrt wird als Fehlerzyklus gez hlt berschreitet die Anzahl der Fehlerzyklen die vom Programmierer festgelegte Anzahl an erlaubten Fehlerzyklen so wird der Fehlerbaustein
133. lgorithmus verzichtet Selbsttests Diplomarbeit Bj rn Ostermann 124 146 Ausgangspaar 1 Ausgangspaar 2 n Auswahl des Ausgangspaares Setzen der restliche Ausg nge auf eingeschaltet gt sein gew nschtes Ergebnis Ausg nge sind a Ausg nge sind Setzen beide Ausg nge _ auf eingeschaltet und den ee WE UUG U ee y PR 7 Pr fe ob beide ar a ausgeschaltet ausgeschaltet sind i za werden k nnen I Pr froutine erfolgreich beendet Setze Merker Ausgangspaar auf n chstes Ausgangspaar 4 Setze Merker Fehlerhafte Pr fungen zur ck Abbildung 69 Flussdiagramm der Hauptfunktion f r das Pr fen der Ausg nge der zweiten SPS vgl Abbildung 64 f r erste SPS 10 8 3 2 Diagnosedeckungsgrad Die Effizienz steigert sich zwar durch die h ufigere berpr fung geringf gig gegen ber dem Test aus Kapitel 10 7 3 Da die urspr ngliche Testroutine bereits einen DC von 99 erreicht hat dieser Test auch einen DC von 99 Selbsttests Diplomarbeit Bj rn Ostermann 125 146 11 bersicht ber m gliche Hardware Probleme und deren L sungen Die nachfolgende Tabelle enth lt eine bersicht ber die m glichen Fehler in einer SPS Zugeordnet zu diesen Fehlern sind jeweils der in dieser Diplomarbeit betrachtete allgemeine Ansatz zum Erkennen hnlicher Probleme in anderen Bereic
134. m Programm ver nderbar ist Im Prinzip wurde dadurch ein Pointer simuliert Der Nachteil dieser Testart ist dass der Programmierer streng darauf achten muss welche globale Variable welchen Speicherplatz benutzt Die Methode der festen Zuweisung ist fehleranf llig und muss deswegen genau kontrolliert werden siehe Kapitel 8 4 und hier besonders Abbildung 37 In der Programmierumgebung CoDeSys kann der Programmierer sich Doppelbelegungen anzeigen lassen und hat damit eine gute M glichkeit das Programms auf fehlerhafte Doppelbelegungen zu berpr fen In diesem Test und im Test in Kapitel 10 6 3 werden Signaturen ber den Speicherbereich gebildet der auf bertragungsfehler siehe Abbildung 38 gepr ft wird Signaturen sind mathematische Verkn pfung von Zahlen hier dem Inhalt der berwachten Speicherzellen die durch diese Verkn pfung ein m glichst eineindeutiges Ergebnis bilden Durch den Vergleich dieses berechneten Wertes mit einem festgelegten oder vorher berechneten Wert kann die Signatur berpr ft werden Die gew hlte Methode in diesem Fall ist eine XOR Verkn pfung Das bedeutet jede Speicherzelle wird mit jeder anderen ber die exklusiv oder Funktion verkn pft und daraus die Signatur errechnet siehe Abbildung 57 Selbsttests Diplomarbeit Bj rn Ostermann 100 146 Zelle 1 Zelle 2 Zelle 3 Abbildung 57 Signaturbildung ber 3 Speicherzellen ndert sich zwischen der Bildung zweier Signaturen der
135. m Programmieren muss insbesondere darauf geachtet werden keinen Pointeraufruf zu programmieren der in einen ung ltigen Speicherbereich z B hinter die letzte Zelle des Speichers zeigt Dieser w rde zu unvorhersehbaren Reaktionen der SPS vom Laden eines zuf lligen Wertes bis zum Absturz der SPS f hren In der Soft SPS von CoDeSys 2 3 der aktuellen Version von CoDeSys und in den meisten mit CoDeSys programmierten SPSen liegt der fest vergebene Bereich der globalen Variablen vor dem frei Selbsttests Diplomarbeit Bj rn Ostermann 106 146 belegbaren Speicher Dadurch kann die erste physikalische Speicherstelle gefunden werden indem die Adresse der ersten globalen Variablen MB0 ausgelesen wird Der Quellcode hierf r lautet Lade in den Akkumulator den Wert der Speicherstelle Erstes Byte 0 LD MB0 Bereich der globalen Variablen Lade in den Akkumulator die Position der geladenen ADR Speicherstelle CoDeSys spezifischer Befehl 10 6 3 2 Algorithmus Die Testroutine dieses Tests ist im Ablauf hnlich der Testroutine des Bereichs der globalen Variablen aus Kapitel 10 6 2 Die Unterschiede der beiden Verfahren werden nachfolgend erl utert Der Test des Bereichs der globalen Variablen Kapitel 10 6 2 deckt nur diesen einen Bereich des RAM ab Der in diesem Kapitel beschriebene Test besitzt mindestens diese Speicherabdeckung da im Bereich der globalen Variablen ber die direkte Adressierung der
136. m wurden die Angaben aus dem allgemein gehaltenen Buch 4 ber Programmlauf berwachungen und der Norm DIN EN 61508 17 ber die funktionale Sicherheit elektronischer Systeme ber cksichtigt Einf hrung Diplomarbeit Bj rn Ostermann 12 146 2 Aufgabenstellung 2 1 Ziel Das Ziel der Diplomarbeit ist die Erh hung der Steuerungskategorie einer Standard SPS siehe Kapitel 6 1 nach DINEN 954 1 14 bzw die Erh hung ihres Performance Levels nach prEN ISO 13849 1 15 Zu diesem Zweck soll die Standard SPS durch Programmierung von Fehler erkennenden Funktionsbausteinen siehe Kapitel 8 2 2 und Verschaltung mit sich selbst und einer zweiten Standard SPS so erweitert werden dass zuf llige Hardwarefehler die w hrend des Betriebs auftauchen k nnen erkannt werden Zur Einordnung in die Sicherheitsstufen der oben erw hnten Normen soll der erreichte Diagnosedeckungsgrad der Funktionsbausteine bewertet werden Der Quelltext dieser Funktionsbausteine liegt dieser Diplomarbeit als Anlage Anhang II bei Im praktischen Teil dieser Diplomarbeit wurde keine reale SPS verwendet Als SPS wurde die Soft SPS siehe Kapitel 6 1 2 von CoDeSys Code Development System genutzt Die Funktionsbausteine sind im Hinblick auf eine Schrank SPS siehe Kapitel 6 1 1 entwickelt die die Sprache Anweisungsliste AWL siehe Kapitel 8 3 1 nach der Norm DIN EN 61131 3 16 unterst tzt 2 2 Anforderungen an die Funktionsbausteine Im Rahmen der Di
137. mel in Abbildung 73 ergibt sich eine gesamt MTTF f r eine solche Standard SPS von 49 Jahren was nach der prEN ISO 13849 1 siehe auch Abbildung 17 die Einstufung hoch bedeutet BEN SE MTTF gesam i 1 MTTF Abbildung 73 Formel zur Berechnung des gesamt MTTFd in Reihe geschalteter Bauteile aus prEN ISO 13849 1 Anhang D 1 15 siehe auch Abbildung 14 Um den durchschnittlichen DC zu bestimmen m ssen zun chst die DCs der einzelnen Bl cke ermittelt werden Diese ergeben sich wie folgt aus den den Bl cken zugeordneten Tests Der RAM Baustein wird in diesem Fall zur H lfte mit dem Test des Bereichs der globalen Variablen Kapitel 10 6 2 DC 90 und zur anderen H lfte mit dem Test der benutzten Variablen Kapitel 10 6 1 DC 60 getestet Daraus ergibt sich f r diesen Baustein ein durchschnittlichen DC von 75 F r den Flashspeicher wird eine CRC Pr fung Kapitel 10 5 1 mit 90 Diagnosedeckungsgrad angenommen Der Prozessor wird durch die Ablaufkontrolle Kapitel 10 3 DC90 und den Prozessorselbsttest Kapitel 10 4 DC60 berwacht Weiterhin testet auch die Funktionskontrolle durch die zweite SPS Kapitel0O DC 99 das Funktionieren des Prozessors Deshalb kann ein kombinierter DC von 90 angenommen werden Ein Ausfall der Platine w rde zu einem Ausfall eines angeschlossenen Blocks f hren Da alle angeschlossenen Bl cke berwacht werden wird angenommen dass die Platine im Schnitt den gleichen
138. n Dies kann aber eher erkannt werden Technische Grundlagen Diplomarbeit Bj rn Ostermann 69 146 Eine Adressierung von Variablen ber Zeiger Pointer ist nach Norm generell nicht vorgesehen Die Norm erm glicht jedoch einem Funktionsbaustein einen Pointer auf eine Variable zu bergeben Die Referenz dieses Pointers d h die Speicherstelle auf die der Pointer zeigt ist allerdings vom Funktionsbaustein selbst nicht ver nderbar Das hei t sie kann vom Funktionsbaustein nicht auf eine andere Speicherstelle umgelenkt werden und wird beim Programmieren wie eine normale Variable benutzt Allerdings ist es dem Funktionsbaustein dadurch m glich den Inhalt der Variablen des ihn aufrufenden POEs zu ver ndern Dar ber kann ein Funktionsbaustein auf lokale Variablen anderer POEs zugreifen 8 5 Unterschiede zu normalen Programmierumgebungen Die DINEN 61131 3 ist darauf ausgelegt das Programmieren m glichst einfach zu halten Das bedeutet es werden nur die Funktionen angeboten die zum Programmieren einer technischen Anlage oder Maschine ben tigt werden Die Einschr nkungen gegen ber normalen Programmierumgebungen sind hierbei insbesondere Es gibt keine Pointer au er den in Kapitel 8 4 beschriebenen Es gibt keine Statusbits die z B einen berlauf bei einer Rechenoperation anzeigen Im Unterschied zum normalen Prozessor hat eine SPS keinen Akkumulator einen Prozessoreigenen Speicher in dem das Ergebnis der letzte
139. n Bits h herer Wertigkeit z B 128 256 512 des Programmz hlers auf da zuf llige Fehler in Bits niederer Wertigkeit z B 1 2 4 8 die Zeit bei Spr ngen nicht stark genug beeinflussen Davon ausgehend dass ein Befehl 50us dauert und ein Sprung ab 1 5ms entdeckt wird m ssen 30 Befehle bersprungen werden um eine Zeitdifferenz von 1 5ms im Programmablauf auszul sen und diesen Fehler damit erkennbar zu machen Die unteren 5 Bit des Programmz hlers l sen deshalb aufgrund ihrer Wertigkeit 1 2 4 8 16 keinen Fehler aus da sie den Befehlsz hler beim Auftritt eines Fehlers maximal um 16 Befehle verf lschen k nnen Von einer Programmz hlerbreite von 16 Bit ausgehend bedeutet dies eine ca 66 ige 11 aus 16 Bit Aufdeckung von zuf lligen Fehlern bei 32 Bit ca 85 ige 27 aus 32 Bit Diese Art der Berechnung f r zuf llige Fehler kann in der Literaturquelle 4 nachgelesen werden Stuck at Fehler im Programmz hler verk rzen die Ablaufzeit dagegen um die H lfte Damit werden sie mit gro er Wahrscheinlichkeit 99 entdeckt falls das Programm eine gen gende Anzahl an Befehlen pro Zyklus enth lt um die Zeit berwachung sinnvoll einzusetzen Dies bedeutet dass die Selbsttests Diplomarbeit Bj rn Ostermann 86 146 Zykluszeit des Programms mindestens 10 mal l nger sein muss als die mit der konkreten SPS k rzest messbare Zeitspanne siehe Kapitel 10 3 2 1 Abpr fen des Programmablaufs Die Wahrscheinlich
140. n Operation gespeichert wird Der Prozessor der SPS speichert das aktuelle Ergebnis AE in einer freien Speicherstelle des RAMs ab siehe Abbildung 28 Rekursive Aufrufe sind wie in Kapitel 8 2 4 beschrieben unzul ssig Das Abfragen des Programmz hlers ist nicht m glich Keine der in Kapitel 8 3 beschriebenen Sprachen ist Objekt orientiert Das bedeutet es gibt keine Vererbung von Eigenschaften oder Variablen zwischen einzelnen Programmorganisationseinheiten Diese Einschr nkungen wurden gemacht um den Programmcode einfach und damit auch sicherer zu gestalten Mehr Funktionalit t birgt auch mehr M glichkeit Fehler zu machen 8 6 CoDesSys Der Name der Programmierumgebung CoDeSys leitet sich von Code Development System ab Hiermit wurden die Tests aus Kapitel 10 programmiert und getestet Der Markt f r SPSen wird von Siemens und vor allem von der Siemens SPS Simatic S7 beherrscht 3S Smart Software Solutions initiierte im Jahr 2000 die Gr ndung einer Vereinigung mehrerer SPS Hersteller Unter dem Namen CoDeSys Automation Alliance CAA haben sich bis Mai 2006 insgesamt 78 Hersteller zusammengeschlossen 57 dieser Hersteller also die berwiegende Mehrheit kommt aus Deutschland Siemens geh rt dieser Vereinigung nicht an Technische Grundlagen Diplomarbeit Bj rn Ostermann 70 146 8 6 1 Gr nde f r den Einsatz von CoDeSys in dieser Diplomarbeit Der wichtigste Grund f r die Entscheidung im Rahmen dies
141. n Testsignal von einem Ausgang zur ck zu einem Eingang der SPS geschickt und durch den Prozessor mit dem erwarteten Ergebnis verglichen Der daf r genutzte Aus bzw Eingang der SPS wird durch diesen Test belegt und kann somit keine andere Funktion wahrnehmen Wird ein fehlerhaftes Signal festgestellt wird aus Sicherheitsgr nden von einem Defekt auch an den benachbarten Ein und Ausg ngen ausgegangen Diese Methode hat den Nachteil dass sie nur sinnvoll benutzt werden kann wenn in den Ein und Ausgangskarten m glichst viele Bauteile gemeinsam genutzt werden da nur diese berwacht werden Der DC des Tests h ngt deshalb von der prozentualen Anzahl dieser Bauteile an der Anzahl der Gesamtbauteile ab da nur gemeinsam genutzte Hardware berwacht wird Fehlalarme sind ebenfalls Zusammenfassung Diplomarbeit Bj rn Ostermann 137 146 m glich wenn Hardware des Testeingangs ausf llt die von den anderen Ein und Ausg ngen nicht genutzt wird uns somit zu keinem gef hrlichen Fehler in anderen Teilen der SPS f hrt Der Vorteil hingegen liegt in dem sehr geringen Aufwand an zus tzlicher externer Beschaltung und durch das gleichzeitige berwachen aller Ein bzw Ausg nge einer Karte in einer relativ hohen Testgeschwindigkeit Beim Einsatz mehrerer Ein und Ausgangskarten an der SPS muss jede Karte einzeln gepr ft werden 13 3 5 Erstellung der Testverfahren durch den Hersteller des Compilers Die in dieser Diplomarbeit beschriebe
142. n den anderen Bereichen aber an ihren alten Sprachen fest Technische Grundlagen Diplomarbeit Bj rn Ostermann 67 146 Programmieraufgaben sind in ST kompakter darstellbar als in AWL wodurch sie besser lesbar werden Andererseits produziert ST bei der L sung gleicher Aufgaben mehr Maschinencode als AWL wodurch die ben tigte Zeit der Ausf hrung eines Programms steigt ST ist hinsichtlich der Effizienz zwischen AWL und den grafischen Programmiersprachen anzusiedeln 8 3 3 Funktionsbausteinsprache FBS grafisch Die FBS auch Funktionsplan FUP genannt ordnet Funktionen und Funktionsbausteine wie in einem Blockschaltbild oder Logikplan an Dadurch werden vor allem bin re Logikschaltungen leicht verst ndlich Damit bietet diese Sprache einen leichten Einstieg und ist deshalb f r den unge bten Anwender geeignet FBS wird nach Aussage des Herstellers von CoDeSys 3S haupts chlich in europ ischen Betrieben verwendet 8 3 4 Kontaktplan KOP grafisch Der KOP ist an die Darstellung von Schaltpl nen angelehnt Das Programmieren geschieht durch das grafische Verbinden von Objekten Diese Art der Programmierung wird nach Aussage des Herstellers von CoDeSys 3S vielfach im amerikanischen Raum eingesetzt 8 3 5 Ablaufsprache AS grafisch In AS lassen sich besonders gut sequentielle Aufgaben programmieren Die einzelnen Schritte des Programms sind als Kette aufgereiht wobei zwischen den Schritten jeweils e
143. n die Erf llung eines ben tigten Performance Level Performance Level required PL Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 41 146 S Schwere der Verletzung S1 Leichte blicherweise reversieble Verletzung S2 Schwere blicherweise irreversieble Verletzung einschlie lich Tot F H ufigkeit und oder Dauer der Gef hrdungsexposition F1 Selten bis fter und oder kurze Dauer der Exposition F2 H ufig bis dauernd und oder lange Dauer der Exposition P M glichkeit zur Vermeidung der Gef hrdung M glich unter bestimmten Bedingungen Kaum m glich Abbildung 9 Risikograph nach prEN ISO 13849 1 15 Die einzelnen Absch tzungen S F und P des von der betrachteten Gefahrstelle der Maschine ausgehenden Risikos sind identisch mit denen die bereits im Risikographen der DIN EN 954 1 in Abbildung 8 benutzt wurden Der Risikograph der prEN ISO 13849 1 Abbildung 9 unterscheidet im Vergleich mit dem Risikographen der DIN EN 954 1 Abbildung 8 st rker bei leichten Verletzungen und berl sst die Wahl des PL vorher Kategorie nicht mehr dem Hersteller Je h her der tats chlich vorhandene Performance Level PL ist desto geringer ist die durchschnittliche Wahrscheinlichkeit des Auftretens eines gef hrlichen Ausfalls siehe Abbildung 10 Ein gef hrlicher Ausfall bezeichnet einen unerkannt auftretenden Fehler der zum Versagen einer Sicherheitsfunktion f hrt Rechtliche Grundlagen Diplomarbeit Bj rn
144. nd ihr Verhalten im Fehlerfall die aufgrund der strukturellen Anordnung der Teile und oder deren Zuverl ssigkeit erreicht wird 14 Es gibt f nf Kategorien Die Norm gibt eine Kurzbeschreibung aller Kategorien in Kapitel 6 Absatz 1 6 1 Kategorie B ist die Basiskategorie Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion f hren In Kategorie I wird eine h here Widerstandsf higkeit gegen Fehler berwiegend durch Auswahl und Verwendung von Bauteilen erreicht In den Kategorien 2 3 und 4 wird eine verbesserte Leistungsf higkeit hinsichtlich einer vorgegebenen Sicherheitsfunktion berwiegend durch Strukturverbesserungen an dem sicherheitsbezogenen Teil der Steuerung erreicht Kategorie 2 sieht vor dass die Ausf hrung der Sicherheitsfunktion in regelm igen Abst nden gepr ft wird Kategorien 3 und 4 sehen zu diesem Zweck die Sicherstellung vor dass das Auftreten eines einzelnen Fehlers nicht zum Verlust der Sicherheitsfunktion f hrt 14 Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 37 146 Eine gute bersicht ber die einzelnen Abstufungen zwischen den Kategorien ist aus der Tabelle 2 der Norm Abbildung 7 ersichtlich zusammengefasst sind in der die vollst ndigen Anforderungen der Kategorien Prinzipien zum Kategorie Kurzfassung der Anforderungen Systemverhalten Erreichen der Sicherheit Die sicherheitsbezogenen Teile von Steuerungen und oder ihre Schutzeinr
145. nem redundanten Abschaltweg ee 117 Verschalten von zwei SPS zu einem Abschaltweg nesnnene 118 Flussdiagramm Sende und Empfangseinheit Ablauf berwachung mit zwei SPS 121 Flussdiagramm der Hauptfunktion f r das Pr fen der Ausg nge der zweiten SPS vgl Abbildung 64 f r erste SPS 124 Elektroniksteuerung nach EN 954 Kategorie 2 Abbildung 22 aus BGIA Report 6 PER EHRE N A E IRRE RAR ER ET E NINE TE OS AF HAUEN NER EINR ELSE 127 Kategorie 2 Schaltung umgesetzt aus Kapitel 6 2 5 der prEN ISO 13849 15 129 Umrechnung FIT in MTTFa cseseensensensesnneesnenneennnnnnnnennnene essen nn 129 Formel zur Berechnung des gesamt MTTFd in Reihe geschalteter Bauteile aus prEN ISO 13849 1 Anhang D 1 15 siehe auch Abbildung 14 130 Formel zur Berechnung des durchschnittlichen DCs nach prEN ISO 13849 1 Anhang E 2 15 MTTF gesamt aus Abbildung 14 siehe Abbildung 19 131 prEN ISO 13849 1 Tabelle 7 Vereinfachte Bestimmung des Performance Levels 15 siehe Abbildung 21 mit Eingetragener Auswahl f r Standard SPS Sicherheits SPS und Standard SPS mit Diagnosefunktion Tests nach Kapitel 10 132 Verzeichnisse Diplomarbeit Bj rn Ostermann 141 146 Abbildung 76 Speichertest mit breitem Testbereich Abbildung 77 Speichertest mit passendem Testfeld Verzeichnisse Diplomarbeit Bj rn Ostermann
146. nen Tests k nnen wesentlich an Effektivit t gewinnen wenn der vom Anwender genutzte Compiler bersetzer der Programmiersprache in den Maschinencode der SPS diese Testverfahren vorprogrammiert enth lt und sie direkt in den auszuf hrenden Code implementiert In Zusammenhang mit der Programmierung des Compilers k nnen die Testverfahren erheblich n her an der Hardware programmiert werden Dazu kommt dass der eingeschr nkte Befehlsumfang der DIN EN 61131 3 dann keine Rolle mehr spielen w rde Komplizierte Vorg nge wie das Implementieren der Ablaufkontrolle in das lauff hige Programm k nnen vom Compiler meist besser erledigt werden als vom Anwender Die Implementierung der Testroutinen in die Anwenderprogramme der SPS wird dadurch weniger Fehleranf llig da der Anwender bei der Programmierung der SPS nur noch die Parameter der Testverfahren auszuw hlen hat Allerdings ist beim Anwenden dieses Verfahrens zu beachten dass der Hersteller des Compilers die Verantwortung f r die richtige Funktion der von ihm auf den Markt gebrachten Testverfahren bernimmt 13 3 6 Synchronisierung zweier SPSen zum zweikanaligen Abarbeiten von Sicherheitsprogrammen Um die h chsten Steuerungskategorien bzw Performance Level im Steuerungsbau zu erreichen ist es notwendig die gesamte Steuerung zweikanalig aufzubauen Dies gilt auch f r eine in der Steuerung enthaltene SPS Das hei t es m ssen in diesem Fall zwei SPSen parallel geschaltet werden B
147. nen dieser Art unterst tzen Aus diesem Grund ist der Test in die Diplomarbeit mit aufgenommen worden auch wenn er nicht in jedem Einzellfall angewandt werden kann Selbsttests Diplomarbeit Bj rn Ostermann 105 146 Die nachfolgende Tabelle enth lt die Bezeichnungen der f r diesen Test verwendeten Funktionen und Variablen Name der Hauptfunktion Namen der Nebenfunktionen Kurzbeschreibung Eing nge Anfangsstelle Feldbreite AnzahlTestsproDurchlauf VAR_TEST_POINTER VAR_TEST_POINTER_ASYNCHONOUSFIELD VAR_TEST_POINTER_FIELD VAR_TEST_POINTER_LOWN Test des RAM Speichers ber Pointer Pointer auf die erste zu pr fende Stelle Breite des zu pr fenden Speichers Anzahl der Variablen die pro Zyklus getestet werden Gesamtbreite der Signatur f r die Suche nach Testbreite i bertragungsfehlern Ausg nge Gibt zur ck ob ein kompletter Durchlauf finished abgeschlossen wurde Genutzte globale Variablen SaveVar Speichert den Inhalt der zu testenden Zelle SignatureVar Speichert die Signatur zum sp teren Vergleich 10 6 3 1 Erl uterung Die Programmierumgebung CoDeSys die in Kapitel 8 6 vorgestellt wurde erlaubt wie oben erw hnt im Gegensatz zur DINEN 61131 3 den Einsatz von Pointern auf Variablen und das Laden der Adresse einer Variablen in den Akkumulator Durch diese Zusatzfunktionen ist es m glich jeden Speicherbereich im RAM mit Ausnahme des Programmspeichers direkt anzusprechen Bei
148. ng erstellen Maschine Abbildung 1 Anforderungen der Maschinenrichtlinie Eine Neufassung der MRL die Fehler und Unsicherheiten der jetzt g ltigen Richtlinie bereinigt und f r mehr Rechtssicherheit sorgen soll wurde am 25 April 2006 von den Mitgliedstaaten verabschiedet und am 17 Mai 2006 ratifiziert Diese Neue Maschinenrichtlinie tr gt die Nummer 2006 42 EG Sie bernimmt wesentliche Elemente der jetzt noch g ltigen Richtlinie so dass sich f r den normalen Maschinenhersteller wenig ndern wird Eine wesentliche nderung ergibt sich jedoch im Bereich der Sicherheitsbauteile die dem Anhang IV zugeordnet sind Dies betrifft insbesondere Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 19 146 speicherprogrammierbare Steuerungen SPS mit Diagnosefunktionen wenn sie einzeln in Verkehr gebracht werden s u Die neue Maschinenrichtlinie tritt am 29 Dezember 2009 in Kraft Die Maschinenrichtlinie hat einen sehr gro en Anwendungsbereich Ihrem Namen zufolge erstreckt sie sich in erster Linie auf Maschinen wobei Maschinenanlagen und auswechselbare Ausr stungen den Maschinen gleichgestellt sind Weiterhin erstreckt sich die Richtlinie auf Sicherheitsbauteile sowie auf Lastaufnahmeeinrichtungen Letztere haben einen besonderen Stand in der MRL da sie in der jetzt g ltigen Richtlinie zwar hinsichtlich der technischen Anforderungen geregelt werden nicht aber unter den Anwendungsbereich der MRL fallen Dieser F
149. ngen der f r diesen Test verwendeten Funktionen und Variablen Name der Hauptfunktion SO ETEST OO_TEST_FALSE Namen der Nebenfunktionen OO_TEST_TRUE Test der redundanten Ausg nge ber r ckgekoppelte Kurzbeschreibung Es ing nge Eing nge keine Ausg nge keine Genutzte globale Variablen Speicherstellen der Ein und Ausg nge Selbsttests Diplomarbeit Bj rn Ostermann 110 146 Diese Variable wird vom Programmierer anstatt der eigentlichen Ausgangsvariable angesprochen Die Output_2_3 eigentlichen Ausgangsvariablen hier 2 und 3 werden vom Programm verwaltet 10 7 3 1 Erl uterung Dieser Test setzt voraus dass die Ausg nge wie in Abbildung 63 mit Eing ngen verkn pft wurden Diese Verkn pfung erlaubt es wie in Kapitel 9 2 7 ausf hrlich beschrieben das von den Ausg ngen ausgegebene Signal ber die Eing nge zu berwachen Maschinenfunktion Eingang Eingang SPS Ausgang Ausgang 24V 24 V Abbildung 63 Oder Schaltung redundanter Ausg nge die r ckgelesen werden Das Testprogramm pr ft alle miteinander verschalteten Ausg nge in aufeinander folgenden Zyklen Der Test eines redundanten Ausgangspaares ist abh ngig davon ob der durch das Paar erzeugte Ausgang ein Maschine l uft oder ausgeschaltet Maschine steht sein soll Im laufenden Betrieb der Maschine d rfen beim Testen der Ausg nge nicht
150. nn 143 146 EN Europ ische Norm CUERUREREHTRERERRRRLELERRTRRRHETREESRRRRRRERRRRRRRRRTTHRERERRRREERRREENT 0 EU Europ ische Union EVA Eingabe Verarbeitung Ausgabe EWG Europ ische Wirtschaftsgemeinschaft EWR Europ ischer Wirtschaftsraum FI Seltene bis fter und oder kurze Dauer der Gef hrdungsexposition En F2 H ufig bis dauernd und oder lange Dauer der Gef hrdungsexposition A FBS Funktionsbausteinsprache FUB Funktionsbaustein SAPONE E GPSG Ger te und Produktssicherheitsgesetz 2 Sn A a I EEEEEEEIEEEEEEEEEEEEIIIEEEEEEENEEEN HVBG Hauptverband der gewerblichen Berufsgenossenschaften SUOUTLERELTLTEELERTERRRRRETTELELTER KOP Kontaktplan MRA s Abkommen ber die gegenseitige Anerkennung von benannten Pr fstellen Mutual Recognition Agreement MRL Maschinenrichtlinie MTBF Mittlere Ausfallzeit die im normalen Betrieb vergeht bevor ein Fehler auftritt Mean Time Between Failures MTTF Mittlere Zeit bis zum Ausfall Mean Time To Failure MTTF Mittlere Zeit bis zum gef hrlichen Ausfall Mean Time To dangerous Failure PI Vermeidung der Gef hrdung unter bestimmten Bedingungen m glich P2 Vermeidung der Gef hrdung kaum m glich u PC Privater Rechenautomat Personal Computer PFH Wahrscheinlichkeit eines Ausfalls pro Stunde Probability of Failure per Hour PFH Wahrscheinlichkeit eines gef hrlichen Ausfalls pro Stunde Probability of dangerous Failure per Hour PL Performance Level PL Ben tigter Performanc
151. nrichtlinie F r dieses Kapitel wurden u a Informationen aus den Artikeln 9 und 10 verwendet Die ersten Binnenmarktregelungen f r Maschinen enth lt die Niederspannungsrichtlinie 73 23 EWG Diese greifen aber f r Maschinen im Wesentlichen nur im Bereich der so genannten Verbraucherprodukte Deshalb hatte bis zum Inkrafttreten der Maschinenrichtlinie am 1 Januar 1993 jedes Land in Europa seine eigenen Vorschriften f r das Inverkehrbringen von Maschinen Zum Exportieren einer Maschine musste bis dahin erst einmal gepr ft werden welche technischen und formalen Anforderungen in dem entsprechenden Land galten in dem diese Maschine in den Verkehr gebracht werden sollte Dazu kamen unterschiedliche Pr fanforderungen in den verschiedenen L ndern Selbst bei gleichen Pr fanforderungen gab es teilweise Probleme mit der Anerkennung der Zertifikate ausl ndischer Zertifizierer Weiterhin waren f r einige Maschinen von Staat zu Staat unterschiedliche Genehmigungsverfahren vorgeschrieben Am Ende musste die gleiche Maschine ggf f r f nf verschiedene L nder in f nf verschiedenen Ausf hrungen gefertigt werden und dann vielleicht noch von f nf unterschiedlichen Zertifizierungsstellen begutachtet werden Die f nf m glicherweise unterschiedlichen Genehmigungsverfahren d rfen dabei nicht vergessen werden Dies alles bedeutete einen enormen Aufwand f r die Industrie Dieses Kapitel des europ ischen Warenverkehrs f r Maschinen ist insbesondere
152. o kein gleichzeitiges Abarbeiten mehrerer Tasks und somit immer nur eine Task zur Zeit abl uft Dabei gilt wie in Kapitel 6 3 1 beschrieben die zyklische Abarbeitung des EVA Prinzips D h es werden in einem Zyklus die Eing nge durch die SPS gelesen danach die entsprechende Task abgearbeitet und hiernach die Ausg nge gesetzt Eing nge Betriebssystem Ausg nge Programmbaustein Programmbaustein aufrufen 4 aufrufen Funktion Funktionsbaustein aufrufen aufrufen Funktion Funktion Funktionsbaustein T T 4 aufrufen 4 aufrufen aufrufen Abbildung 35 Task Steuerung Kapitel 8 1 und POEs Kapitel 8 2 Technische Grundlagen Diplomarbeit Bj rn Ostermann 63 146 8 2 Programmorganisationseinheiten Nach der Norm werden Programme in Programmbausteine Funktionsbausteine und Funktionen unterteilt Diese werden als Programmorganisationseinheiten POEs siehe Abbildung 35 bezeichnet Alle POEs k nnen abzuarbeitenden Quelltext enthalten Die Unterschiede in den Einzelnen POEs bestehen in ihren Rechten Variablen zu deklarieren und in ihren Rechten andere POEs aufzurufen 8 2 1 Programmbaustein Der Programmbaustein kann verschiedene Arten von Variablen deklarieren und nutzen Nur aus dem Programmbaustein heraus zug ngliche Variablen so genannte lokale Variablen des Programmbausteins bei der der Prozessor entscheidet welcher Speicherort gerade frei ist und diesen der
153. onen und Variablen Name der Hauptfunktion SEHE Namen der Nebenfunktionen Kurzbeschreibung Test des Speichers der Ein und Ausg nge Eing nge keine Ausg nge keine Genutzte globale Variablen keine 10 7 1 1 Erl uterung Dieser Test l uft wie der eigentliche Variablentest innerhalb des Tests der benutzten Variablen aus Kapitel 10 6 1 ab siehe hierzu Abbildung 53 bis Abbildung 56 Die Einfachheit des Algorithmus dieses Testverfahrens liegt dabei nicht in der Ansprechbarkeit dieses Variablenbereichs begr ndet sondern in dessen K rze Dieser Bereich ist meist nicht gr er als ein Double Word wodurch er in einem Testzyklus beschrieben werden kann Eine Pr fung auf bertragungsfehler im Rahmen dieses Tests kann nicht durchgef hrt werden Dies liegt daran dass die Lage des Speicherbereichs im Vergleich zu den anderen Bereichen von SPS zu SPS variiert Ist dessen Lage im konkreten Einzelfall bekannt kann auch dann nur eine Pr fung auf Selbsttests Diplomarbeit Bj rn Ostermann 108 146 bertragungsfehler vorgenommen werden wenn der Bereich der globalen Variablen an diesen Bereich angrenzt Wenn der Speichertest mittels Zeiger aus Kapitel 10 6 3 eingesetzt wird der bertragungsfehler im gesamten RAM entdecken kann so sollte versucht werden auch den Test dieses Kapitels durch den Speichertest mittels Zeiger abzudecken 10 7 1 2 Diagnosedeckungsgrad Die Effizienz des Testes liegt wie beim Test aus
154. p ein eigener Test programmiert Diese einzelnen Tests gleichen sich allerdings in der Funktion und werden darum nur einmal erl utert Diese Testroutinen werden wie in Kapitel 10 6 1 1 beschrieben aus den POEs heraus aufgerufen in denen die zu testende Variable deklariert wurde Diese wird dem Testbaustein per Referenz auf ihren Speicherort bergeben In der Testroutine wird vor dem eigentlichen Test erst eine berpr fung durchgef hrt ob diese Variable im aktuellen Zyklus getestet werden soll zur Verteilung der Variablentests auf verschiedene Zyklen siehe oben Als erstes wird berpr ft ob der Testlauf des aktuellen Zyklus schon beendet ist da dann keine weiteren Funktionen mehr durchgef hrt werden m ssen Dies ist eine einfache boolsche berpr fung einer globalen Variablen die wenig Zeit in Anspruch nimmt Als n chstes wird gepr ft ob der Testlauf im aktuellen Zyklus bereits begonnen hat welches ebenfalls nur die berpr fung einer boolschen Variablen bedeutet Hat der Testlauf noch nicht begonnen so Selbsttests Diplomarbeit Bj rn Ostermann 97 146 wird gepr ft ob er mit diesem Testaufruf beginnt L uft der Testablauf bereits so wird gepr ft ob dies die letzte zu berpr fende Variable des Zyklus ist Das jeweilige Ergebnis wird global gespeichert und bietet wiederum die Grundlage der boolschen berpr fungen des n chsten Testaufrufs Der n chste Teil der Routine ist der eigentliche Variablentest der
155. plomarbeit wurden folgende Anforderungen an die zu programmierenden Funktionsbausteine in Zusammenarbeit mit dem BGIA festgelegt Diese sollen in AWL nach DIN EN 61131 3 16 programmiert werden um so einerseits m glichst portabel und andererseits m glicht schnell und hardwarenah zu sein Beim Auftritt eines Fehlers sollen sie die SPS in einen sicheren Zustand versetzen Sie sollen vom Anwender m glichst einfach in das eigene Programm bertragbar sein und keine Eingriffe in die Architektur der SPS erfordern Die von ihnen durchgef hrten Tests sollen wo m glich zum Programmstart komplett und w hrend der Laufzeit zyklisch ablaufen Der Anwender soll die M glichkeit bekommen durch das bergeben von Parametern einzustellen wie viel Anteil vom Gesamttest in einem Durchlauf abgearbeitet wird Im Einzelnen sollen sie die Funktion des Prozessors des Speichers und der Ausgabe testen Zum Testen des Prozessors sollen sie die grundlegenden logischen und arithmetischen Funktionen testen sowie eine berwachung des Programmablaufs realisieren Zum Testen des Speichers sollen sie eine zyklische Pr fung durchf hren Wo dies nicht m glich ist soll der Speicher auf Lesbarkeit und Schreibbarkeit getestet werden Einf hrung Diplomarbeit Bj rn Ostermann 13 146 Der Ausgabetest soll unter Annahme einer realisierten R ckkopplung der Ausg nge in die Eing nge geschehen 2 3 Bewertung der erreichten Sicherheit Anhand
156. r wie in der Einleitung erw hnt durch ihren hohen Preis in den niedrigen Sicherheitsstufen unwirtschaftlich Technische Grundlagen Diplomarbeit Bj rn Ostermann 62 146 8 Programmierung einer SPS in AWL nach DIN EN 61131 3 Wie bereits in Kapitel 5 2 4 dargelegt enth lt die DINEN 61131 3 die allgemeinen SPS Programmiersprachen In diesem Kapitel wird die Programmierung einer SPS nach dieser Norm erl utert Besonders wird hierbei auf die Sprache AWL eingegangen die f r die in dieser Diplomarbeit entwickelten Funktionsbausteine benutzt wurde 8 1 Programmablauf Aufgabe der SPS ist die in Abbildung 35 dargestellte Verarbeiten von ankommenden Signalen in abgehende Signale Dieser Verarbeitung wird in der SPS mittels Programmbausteinen siehe Kapitel 8 2 1 vorgenommen die wiederum von so genannten Tasks kontrolliert werden Der Programmierer muss im ersten Schritt die notwendigen Tasks generieren und diesen bestimmte Bedingungen zuweisen Ereignis und Wertigkeit s u unter denen diese starten Dies kann entweder der Eintritt eines Ereignisses z B aufgrund des ffnens einer Schutzt r sein oder bei einer so genannten freilaufenden Task die freie Prozessorzeit wenn keine andere Task abl uft Zus tzlich erhalten Tasks vom Programmierer Wertigkeiten zugewiesen die beim gleichzeitigen Eintritt mehrerer Bedingungen die Reihenfolge des Task Aufrufs regeln Dies ist notwendig da SPSen kein Multitasking beherrschen als
157. r Variablen sind 10 4 3 Diagnosedeckungsgrad Ein solcher Prozessorselbsttest exklusive des AEs ist vergleichbar mit dem in Tabelle A 4 der DIN EN 61508 2 17 aufgef hrten Selbsttest per Software mit begrenzter Anzahl von Mustern Dieser hat die Einstufung niedrig f r den Diagnosedeckungsgrad und liegt damit bei 60 Zus tzlich wird das AE wie in Kapitel 10 4 2 2 beschrieben mit einem Walking Bit Test getestet der in der gleichen Tabelle einen Diagnosedeckungsgrad von 90 erh lt Dies hat jedoch keine Auswirkungen auf den DC f r den Prozessortest Der Test des AEs ist zwar eng mit der Funktionalit t des Prozessors verkn pft und aus diesem Grund an dieser Stelle aufgef hrt das AE selbst ist aber wie in Kapitel 6 2 beschrieben Teil des RAM Speichers der SPS 10 5 Fehlererkennung durch Speichertest des EEPROM Als Speicher stehen der SPS wie in Kapitel 6 2 2 beschrieben ein EEPROM und ein RAM zur Verf gung Von der Anwenderebene aus ist ein Zugriff aus dem Programm der SPS auf das EEPROM nicht m glich so dass in diesem Kapitel nur der vom Hersteller integrierte Selbsttest des EEPROM beschrieben und bewertet wird 10 5 1 T7 ROM CRC Test des EEPROM 10 5 1 1 Erl uterung Eine SPS pr ft beim berspielen des Programms bzw beim Nachladen von Programmteilen vom EEPROM in das RAM den Speicherinhalt per CRC Pr fung Dabei wird laut DIN EN 61508 17 auf den Inhalt eines Speicherblocks des EEPROMs mittels ein
158. rammzweigen festzustellen ist es ratsam in diesen Zweigen verschiedene Testnummern zu vergeben Abbildung 46 zeit einen Beispielablauf Selbsttests Diplomarbeit Bj rn Ostermann 82 146 GeringsterVorg nger 0 Programmstelle 1 minZeit t 1 ms maxZeit t 3ms GeringsterVorg nger 1 Programm stelle 2 minZeit t 1ms maxZeit t 3ms GeringsterVorg nger 1 Programmstelle 3 minZeit t 1ms maxZeit t 3ms M glicher Fehlsprung GeringsterVorg nger 2 Programmstelle 4 minZeit t 1ms maxZeit t 3ms GeringsterVorg nger 3 Programmstelle 5 minZeit t 1ms maxZeit t 3ms GeringsterVorg nger 4 Programmstelle 6 minZeit t 1ms maxZeit t 3ms GeringsterVorg nger 5 Programm stelle 7 minZeit t 1ms maxZeit t 3ms GeringsterVorg nger 5 Programm stelle 8 minZeit t 1ms maxZeit t 3ms GeringsterVorg nger 6 Programm stelle 9 minZeit t 1ms maxZeit t 3ms GeringsterVorg nger 7 Programm stelle 9 minZeit t 1ms maxZeit t 3ms GeringsterVorg nger 8 Programmstelle 9 minZeit t Ims maxZeit t 3ms GeringsterV org nger 9 Programmstelle 10 minZeit t 1ms maxZeit t 3ms Abbildung 46 Beispielaufruf f r die programmierte Ablauf berwachung Das Programm h tte in diesem Fall jeweils ein bis drei Millisekunden Zeit von einem Aufruf eines Testbausteins bis zum N chsten zu gelangen Ein Unterschreiten oder ein berschreiten der Zeit bis zum Aufruf des n chsten Testbausteins
159. rch andere Betriebsmittel in ihrer Funktion unzul ssig beeinflusst werden Mindestst rfestigkeit gegen u ere St rungen Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 35 146 Ger t st rt SPS ber Funk Ger t st rt SPS ber Stromnetz SPS st rt Ger t ber Stromnetz SPS st rt Ger t ber Funk Abbildung 6 St rm glichkeiten in Verbindung mit einer SPS Dies wird ausf hrlich in Anhang II der EMV Richtlinie 22 dargestellt Erl uterndes Verzeichnis der wesentlichen Schutzanforderungen Der H chstwert der von den Ger ten ausgehenden elektromagnetischen St rungen muss so bemessen sein dass der Betrieb insbesondere folgender Ger te nicht beeintr chtigt wird a private Ton und Fernsehrundfunkempf nger b Industrieausr stungen c mobile Funkger te d kommerzielle mobile Funk und Funktelefonger te e medizinische und wissenschaftliche Apparate und Ger te f informationstechnologische Ger te g Haushaltsger te und elektronische Haushaltsausr stungen h Funkger te f r die Luft und Seeschiffahrt i elektronische Unterrichtsger te j Telekommunikationsnetze und ger te k Sendeger te f r Ton und Fernsehrundfunk l Leuchten und Leuchtstofflampen Die insbesondere unter den Buchstaben a bis I genannten Ger te m ssen so beschaffen sein dass sie in einem normalen EMV Umfeld ein angemessenes St rfestigkeitsniveau an ihrem Einsatzort aufweisen damit sie unter Ber
160. rholt Beim Vorliegen eines unerwarteten Ergebnisses bricht der Test ab und ruft den Fehlerbaustein ERROR_FB auf Die Idee hinter diesem Test liegt darin dass ein Stuck at Fehler also eine nicht funktionierende Speicherzelle entweder die durch das shiften wandernde Eins verschluckt oder sie vervielf ltigt siehe Abbildung 48 Selbsttests Diplomarbeit Bj rn Ostermann 89 146 1 Shift nach rechts 0 2 Shift nach rechts 0 0 0 0 0 1 1 1 3 Shift nach rechts 0 0 0 0 0 1 1 1 4 Shift nach rechts 1 1 5 Shift nach rechts 1 1 6 Shift nach rechts 1 l 7 Shift nach rechts 1 1 AS Korrekt geshiftetes Bit Ne Beim Shiften ver ndertes Bit durch Stuck at Fehler Abbildung 48 Stuck at 0 und Stuck at 1 Fehler rot w hrend einem Bitshift von vorne nach hinten Nach nur einem Durchgang in eine Richtung existiert nur noch eine Fehlerm glichkeit an der letzten Stelle H ngt hier die Eins ist das Ergebnis wie erwartet Eins Aus diesem Grund wird die Pr fung jeweils einmal von beiden Seiten aus durchgef hrt 10 4 2 3 T4a Test der Logischen Operatoren Logische Operatoren werden ber ihre jeweilige Wahrheitstabelle gepr ft siehe als Beispiel Abbildung 49 Abbildung 49 Wahrheitstabelle f r den Operator amp Das hei t es wird nach der Tabelle in Abbildung 49 gepr ft ob Null amp Null Null ergibt Null amp Eins Null und Eins amp Eins Eins 10 4 2 4 T4
161. rie 2 nach prEN 13849 1 Der Einsatz einer Testeinrichtung in einer Kategorie 2 Steuerung wird schon heute vom BGIA in der Quelle 6 einem Leitfaden zur DIN EN 954 1 vorgeschlagen 10 8 1 Schaltungsm glichkeiten In Abbildung 66 wird die Verschaltung von zwei SPSen mit einem redundanten Abschaltpfad dargestellt Die Abschaltwege sind so verkn pft dass bei einem Fehler in einem Relais einer der beiden SPSen ein Abschalten der Maschinenfunktion weiterhin m glich ist Die obere SPS 1 ist mit dem Programm zur Steuerung der eigentlichen Funktion und den in der Diplomarbeit beschriebenen Selbsttests programmiert Die untere SPS 2 beinhaltet nur die in der Diplomarbeit beschriebenen Selbsttests Die untere SPS 2 kann sich dabei wesentlich intensiver selbst testen da sie keine Rechenzeit f r ein ablaufendes Programm ben tigt Die ablaufenden Selbsttests der beiden SPSen kommunizieren wie in Kapitel 0 beschrieben ber einen Feldbus miteinander um ein Ausfallen der jeweiligen anderen SPS zu bemerken Selbsttests Diplomarbeit Bj rn Ostermann 117 146 Maschinenfunktion Selbsttest 1 un Eingang u Ausgang Eingang Feldbus 24 V 24V Selbsttest 2 Eingang ep EU dp Ausgang D Eingang Ausgang ef EEE GREEN LZ 24 V 24 V gn Abbildung 66 Verschaltung von zwei SPS zu einem redundanten Abschaltweg In Abbildung 67 wird eine Varian
162. rl utert Zus tzlich wird die nicht nach MRL harmonisierte Norm DIN EN 61508 17 vorgestellt die zusammen mit der DIN EN 954 1 die Grundlage f r die prEN ISO 13849 1 darstellt Als vierte Norm wird die ebenfalls nicht nach MRL harmonisierte Norm DIN EN 61131 16 vorgestellt die unter anderem die in dieser Diplomarbeit verwendete Programmiersprache und den Aufbau von SPSen die diese Programmiersprache verwenden k nnen beschreibt Durch die Anwendung dieser Norm ist sichergestellt dass die geschriebenen Programmbausteine auf m glichst viele SPSen unterschiedlichster Hersteller portierbar sind 5 2 1 Einteilung von Steuerungen in Steuerungskategorien DIN EN 954 1 Nach Kapitel 1 Anwendungsbereich dieser Norm ist sie auf Steuerungen und somit auf SPSen anwendbar Sie die Norm gilt f r alle sicherheitsbezogenen Teile von Steuerungen unabh ngig von der verwendeten Energieart z B elektrisch hydraulisch pneumatisch mechanisch Sie die Norm gilt f r alle Maschinen im gewerblichen und nichtgewerblichen Bereich 14 Die Norm besch ftigt sich mit der Einteilung von Steuerungen in Steuerungskategorien und mit der Auswahl einer geeigneten Steuerungskategorie anhand eines Risikographens siehe Abbildung 8 Kategorien sind im Kapitel 3 Absatz 2 wie folgt definiert 3 2 Kategorie Einteilung der sicherheitsbezogenen Teile einer Steuerung in Bezug auf ihre Widerstandsf higkeit gegen Fehler u
163. s der globalen Variablen Der Test des Bereichs der globalen Variablen der in Abbildung 60 grafisch dargestellt ist l uft zyklisch ber den vom Array belegten Speicherbereich von der ersten belegten Speicherstelle bis zur letzten Dabei werden im ersten Durchgang des Test Zyklus die benutzten Speicherstellen zur Sicherung des Zelleninhalts der zur testenden Zelle und die Speicherstelle zur Speicherung der Signatur gepr ft Dies kann ohne Sicherung des Inhaltes der beiden Zellen geschehen da hier keine Werte anderer Programmteile stehen k nnen Beim berpr fen der Speicherstelle der Signatur wird die Signatur in der Speicherstelle zum Sichern des Inhalts gespeichert F r den Anfangsbereich und den Endbereich des Arrays muss jeweils berechnet werden wie viele Variablen zur Bildung der Signatur oberhalb bzw unterhalb der zu berpr fenden Speicherstelle innerhalb des Arrays liegen und somit angesprochen werden k nnen Nach dem Test im Anfangsbereichs des Arrays s u in dem wie beschrieben nicht die volle Signaturbreite im vorderen Bereich der Signatur genutzt werden kann folgt der Test des mittleren Teils des Arrays s u mit voller Signaturbreite Im Endbereich des Arrays s u wird die Signaturbreite im hinteren Teil der Signatur reduziert und der Test f r das Ende des Testbereichs aufgerufen Nach dem Abschluss des letzten Tests werden alle vom Test genutzten Variablen zur ckgesetzt so dass der Gesamttest beim n chsten Aufruf
164. sbausteinsprache FBS grafisch eeeenen 67 8 3 4 Kontaktplan KOP grafisch ses 67 8 3 5 Ablaufsprache AS grafisch seen een een 67 8 4 Variablendeklaration sessoesoossesoossocssesoossocssesoossosssessossosssessossocssessossoossessossosssesss 67 8 5 Unterschiede zu normalen Programmierumgebungen s ssscccsssocsesssoossssooese 69 eo N i DTE A E A E E E E E A EE E 69 8 6 1 Gr nde f r den Einsatz von CoDeSys in dieser Diplomarbeit 70 8 6 2 ZusatzfunktionenimCoDesys Zune 70 9 Fehler erkennende Programme ss000ssss00000000220000000002n0000 0000000000000 71 9 1 Fehler M glichkeiten durch Hardware Fehler einer SPS c scssssosesossesonssnonee 71 9 2 Strategien der Fehler Entdeckung sseesssocesocessocesoocesoessseessocesocesoosesoesssesssocesoceso 72 9 2 1 Eakin ee an E E E 72 9 2 2 E2 Pr grammzahlet oeei iale a e a a EA Ea SS 73 Diplomarbeit Bj rn Ostermann 7 146 9 2 3 LJ Akk m lator an 2a E a a ARA 74 9 2 4 L4 Befehlsausf hring sirudi ainiaan n a a ia 74 9 2 5 L5 Kommunikation zwischen Speicher und Prozessor 74 9 2 6 6 7 Speicher Aea eiert a Ea AEA E ATA O ENES EEEE NAER aS 75 9 2 7 1 8 Ein und Ausg nge een nk 75 10 Standard SPS mit Fehler erkennenden Programmbausteinen 76 10 1 Algemeines sossescsiiesostcssicsencisessriesivesosieooostneses re aoioas senita re esite o sbat Sonerii siots arnee 76 10
165. sbewertungsverfahren siehe Kapitel 4 2 13 f r Anhang IV Sicherheitsbauteile Das sind neben der in Kapitel 6 1 4 beschriebenen SSPS auch solche SPS die mit den in dieser Diplomarbeit beschriebenen Funktionsbausteinen erweitert wurden D h dieses Konformit tsbewertungsverfahren wird nicht auf SPSen mit Diagnosefunktion angewendet die zusammen mit einer Maschine in Verkehr gebracht werden siehe Abbildung 2 SPS Einzeln in Verkehr gebracht Sicherheits funktion MRL anwenden Vor 29 12 2009 in Verkehr gebracht 98 37 EG 2006 42 EG F r Zweihand schaltungen Entspricht harmonisierter Norm ja Abbildung 2 Konfomit tsbewertung nach Maschinenrichtlinie f r SPS Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 21 146 Die MRL enth lt f r das Inverkehrbringen von Maschinen und Sicherheitsbauteilen formale wie auch technische Anforderungen die nachfolgend beschrieben werden 4 2 1 Formale Anforderungen nach 98 37 EG 4 2 1 1 Kennzeichnung Die MRL enth lt insbesondere zwei Kennzeichnungsvorgaben f r Maschinen und Sicherheitsbauteile Zum einen ist es die CE Kennzeichnung die nur bei f r sich alleine funktionsf higen Maschinen und nicht bei Sicherheitsbauteilen sowie Teilmaschinen nach Artikel 4 Abs 2 MRL anzubringen ist Zum anderen sind es Vorgaben f r den Inhalt des anzubringenden Typenschildes Zur CE Kennzeichnung enth lt Art
166. sch tz s Abbildung 16 2 Kan le einer Kategorie 4 Schaltung Die erreichten MTTF werden dann wie in der Tabelle in Abbildung 17 dargestellt in eine von drei Stufen niedrig mittel hoch eingeteilt Ein Bauteil oder Kanal eines Systems mit einer MTTF von weniger als drei Jahre ist nicht zul ssig Eine MTTF von mehr als 100 Jahren ist f r ein Bauteil zul ssig wird f r einen ganzen Kanal aber als nicht praktikabel erachtet und im weiteren Verlauf auf 100 Jahre begrenzt Bedeutung des MTTF jedes Kanals Bereich des MTTF jedes Kanals Niedrig 3 Jahre lt MTTF lt 10 Jahre Mittel 10 Jahre lt MTTF lt 30 Jahre Hoch 30 Jahre lt MTTFa lt 100 Jahre Abbildung 17 prEN ISO 13849 1 Tabelle 5 Mittlere Zeit bis zum gef hrlichen Ausfall MTTF Im n chsten Schritt wird die Diagnosedeckungsgrad DC Diagnostic Coverage bestimmt Dabei handelt es sich wie in Abbildung 18 dargestellt um das Verh ltnis der erkannten gef hrlichen Fehler zu den unerkannten gef hrlichen Fehlern gef hrlich erkannt Fehler gef hrlich gesamt u Fehler Abbildung 18 Begriffserl uterung DC Aus den einzelnen DCs der getesteten Teile und deren MTTF wird ein durchschnittlicher Diagnosedeckungsgrad DCavg errechnet siehe Abbildung 19 2c lt MTTF X DC DC MTTF yi avg N 1 d gesamt 2 MTTF A MTTF Abbildung 19 Formel zur Berechnung des durchschnittlichen DCs nach prEN ISO 13849 1 Anhang E 2
167. schriebenes Byte Fehler durch bertrag Auf bertragsfehler getesteter Bereich Abbildung 76 Speichertest mit breitem Testbereich Ist jedoch das physikalische Layout des Speichers bekannt so kann der Test auf ein Minimum an Aufwand reduziert werden bzw die G te des Tests bei gleichem Aufwand erh ht werden da der getestete Bereich optimal um den beschriebenen Bereich platziert werden kann siehe Abbildung 77 Zusammenfassung Diplomarbeit Bj rn Ostermann 136 146 Beschriebenes Byte Fehler durch bertrag Auf bertragsfehler getesteter Bereich Abbildung 77 Speichertest mit passendem Testfeld 13 3 4 M glichkeiten f r weitere Tests der Ein und Ausgabehardware 13 3 4 1 Doppelter Eingang Hierbei werden zwei Eing nge durch zus tzliche Verkabelung parallel geschaltet und durch einen Funktionsbaustein auf Gleichheit der gelesenen Eingangssignale berwacht Wie dieser Test ggf durchgef hrt werden k nnte ist in Kapitel 10 7 2 beschrieben 13 3 4 2 Dynamisches Signal zum Test von Ein und Ausg ngen Teile der Hardware der Eing nge von SPSen siehe Kapitel 6 2 3 werden von allen Eing ngen einer Eingangskarte gemeinsam genutzt Ein Ausfall eines solchen mehrfach genutzten Hardwarebauteils wirkt sich daher auf mehrere Eing nge aus Ein Ausfall eines solchen Bauteils f hrt deshalb zum Ausfall der gesamten Eingangskarte Gleiches gilt auch f r solche Bauteile in der Ausgangskarte der SPS Bei diesem Test wird ei
168. sion und den Mitgliedstaaten vereinbartes Interpretationspapier Ma gebend im Einzelfall ist in erster Linie die jeweils einschl gige Rechtsvorschrift Nach dem Binnenmarktleitfaden wird unter einer harmonisierten Norm verstanden f Jeurop ische Normen die von europ ischen Normungsorganisationen aufgrund eines von der Kommission nach Anh rung der Mitgliedstaaten erteilten Auftrags gem den allgemeinen Leitlinien erarbeitet wurden die zwischen der Kommission und den europ ischen Normungsorganisationen vereinbart wurden Als harmonisierte Normen im Sinne des neuen Konzepts werden die europ ischen Normen angesehen die europ ische Normungsorganisationen der Kommission formell vorlegen und die in deren Auftrag erarbeitet oder ermittelt wurden 3 Mit der neuen Maschinenrichtlinie 2006 42 EG wird diese rechtliche L cke allerdings geschlossen Danach wird die harmonisierte Norm in Artikel 2 wie folgt definiert Ferner Bezeichnet der Ausdruck lI harmonisierte Norm eine nicht verbindliche technische Spezifikation die von einer europ ischen Normenorganisation n mlich dem Europ ischen Komitee f r Normung CEN dem Europ ischen Komitee f r Elektrotechnische Normung Cenelec oder dem Europ ischen Institut f r Telekommunikationsnormen ETSI aufgrund eines Auftrags der Kommission nach den in der Richtlinie 98 34 EG des Europ ischen Parlaments und des Rates vom 22 Juni 1998 ber ein Informat
169. sor Als Prozessoren werden berwiegend 32 bit RISC Prozessoren zum Beispiel in der EH WDI0DR von Hitachi eingesetzt RISC Reduced Instruction Set Computing bedeutet dass dem Prozessor nur eine relativ eng begrenzte Anzahl an Befehlen zur Verf gung steht Diese Befehle haben im Speicher alle die gleiche L nge Der Gegensatz zu RISC ist CISC Complex Instruction Set Computing Hier ist die Vielfalt der Befehle gr er und die L nge der Befehle im Speicher variiert Die CISC Architektur wird in heutigen PCs eingesetzt F r den begrenzten Funktionsumfang der SPS ist die RISC Architektur allerdings optimal Durch die einheitliche L nge der Befehle eines RISC Prozessors k nnen alle Befehle in einem Zyklus abgearbeitet werden was die Geschwindigkeit der Verarbeitung erh ht Dadurch kann die SPS niedrigere Taktraten fahren was zu weniger Verlustw rme f hrt So kommen zum Beispiel SPS Prozessoren der Firma SPEED7 nach Angabe des Herstellers 32 im von ihm angegebenen normaler Industrietemperaturbereich 20 C bis 60 C ganz ohne K hlung aus da ihre Betriebstemperatur nur 15 C ber der aktuellen Umgebungstemperatur liegen 6 2 2 Speicher SPSen verzichten in der Regel auf Festplatten und haben als Festspeicher statt dessen eine EEPROM Flash Karte Die Gr e der EEPROM Karten variiert zwischen 64 KByte und 4 MByte Da die Zugriffszeiten dieser Flash Karten verglichen mit anderen Speicherarten gering sind wird das aktive
170. st des ihm jeweils zugewiesenen Speichersegments im aktuellen Zyklus abgeschlossen hat Mit Hilfe dieser Information k nnen mehrere Speichersegmente so verkn pft werden dass sie aufgeteilt auf mehrere aufeinander folgende Zyklen der Reihe nach komplett getestet werden Ebenfalls kann dadurch daf r gesorgt werden dass bei jedem Einschalten der SPS ein Komplettest durchlaufen wird der den gesamten Speicher vor dessen Nutzung im Anwenderprogramm testet Selbsttests Diplomarbeit Bj rn Ostermann 107 146 10 6 3 3 Diagnosedeckungsgrad Die Testgenauigkeit dieses Tests liegt wie auch die des Tests aus Kapitel 10 6 2 bei 90 Beide Testverfahren unterscheiden sich nicht in der Art des Testalgorithmus Sie unterscheiden sich allerdings leicht in ihrer Programmierung Array Pointer und stark in der Anwendbarkeit der Testverfahren auf die verschiedenen Speicherbereiche da der CoDeSys Test im Gegensatz zum Test aus Kapitel 10 6 2 fast im gesamten RAM einsetzbar ist Im Rahmen des praktischen Vergleichs beider Tests hat sich dieser Test auf der Soft SPS von CoDeSys auch als um 10 schneller erwiesen Wegen der besseren Speicherabdeckung und der h heren Geschwindigkeit ist dieser Test dem Test aus Kapitel 10 6 2 auf jeden Fall vorzuziehen 10 7 Fehlererkennung durch Test der Ein und Ausgabe 10 7 1 T6 EA Test des Speichers der Ein und Ausg nge Die nachfolgende Tabelle enth lt die Bezeichnungen der f r diesen Test verwendeten Funkti
171. sverlustes nicht m glich Dieses Problem wurde im Rahmen der Diplomarbeit untersucht und eine L sung entwickelt siehe Kapitel 10 7 3 Selbsttests Diplomarbeit Bj rn Ostermann 76 146 10 Standard SPS mit Fehler erkennenden Programmbausteinen 10 1 Allgemeines Wie schon in den Kapiteln 2 1 6 und 8 6 erw hnt wurden alle in diesem Kapitel dargestellten Tests in der Programmierumgebung CoDeSys geschrieben und wie in Kapitel 10 1 4 dargestellt auch in dieser Umgebung auf ihre Funktion hin berpr ft Im Anschluss an die Erl uterung des jeweiligen Testalgorithmus und dessen Darstellung im Ablaufdiagramm wird der Diagnosedeckungsgrad des vorgestellten Tests nach DIN EN 13849 1 15 siehe Kapitel 5 2 3 bestimmt Die ermittelten Diagnosedeckungsgrade werden in Kapitel 12 2 zur Berechnung des Performance Levels einer Standard SPS mit Diagnosefunktion benutzt 10 1 1 Auswahl der Programmiersprache Aus den beschriebenen Programmiersprachen in Kapitel 8 3 wurde wie hier begr ndet AWL ausgew hlt da es bei den einzelnen Tests um Schnelligkeit in der Abwicklung und die Kontrolle ber den erzeugten Maschinencode geht 10 1 2 Verbesserte Fehlererkennung durch programmtechnische Zusatzfunktionen Die in diesem Kapitel aufgezeigten Testprogramme sollen die vorhandene stark eingeschr nkte Fehlererkennung siehe Kapitel 6 4 einer Standard SPS unterst tzen und erweitern Die Tests bauen in der Reihenfolge aufeinander auf wie sie in
172. t bleiben Eine Erh hung dieser niedrigen DCs w rde zu einer Verbesserung des Gesamt DC der Steuerung f hren In Kapitel 10 6 3 wird demonstriert wie z B mit einem gegen ber der o a Norm erweiterten Befehlsumfang der in der Norm vorgegebenen Programmiersprache der DC f r den Speichertest von 60 auf 90 erh ht werden kann 13 3 3 Verbesserung der Wirksamkeit der Speichertests durch Hardwareinformationen Wie in Kapitel 9 1 beschrieben kann es beim Abspeichern von Daten zu bertragungsfehlern kommen indem das Signal zus tzlich in benachbarten Speicherzellen abgespeichert wird Das Aufdecken von bertragungsfehlern wird durch die Speicher Tests in den Kapiteln 10 6 2 und 10 6 3 erreicht indem ein m glichst breiter Bereich des Speichers mittels Signatur getestet wird siehe Abbildung 76 Dabei gehen die Tests davon aus dass das physikalische Layout des Speichers nicht bekannt ist Das physikalische Layout meint dabei die Anzahl der Speicherzellen pro Reihe und die Zusammenfassung Diplomarbeit Bj rn Ostermann 135 146 Gesamtzahl der Reihen Aus diesem Grund muss eine relativ gro e Menge an Speicherpl tzen berwacht werden Hierbei erh ht sich mit zunehmender Gr e des getesteten Bereichs die Wahrscheinlichkeit dass der Bereich des Speichers in dem ein bertragungsfehler geschehen kann sich unter den berwachten Bereichen befindet D h f r eine hohe Sicherheit muss ein gro er Bereich berwacht werden Be
173. t gr er als der Teil der aus der Soft SPS heraus angesprochen werden kann Bei einer Soft SPS ist es aus diesem Grund empfehlenswert den gesamten Computer zu berwachen Dazu ist ein Testprogramm das speziell auf das Betriebssystem und die Hardware des Computers zugeschnitten ist besser geeignet als das in dieser Diplomarbeit entwickelte Technische Grundlagen Diplomarbeit Bj rn Ostermann 50 146 6 1 3 Slot SPS Die Slot SPS ist eine Kombination der beiden vorgenannten Arten Sie besteht aus der gleichen Hardware wie eine Schrank SPS ist aber nicht mit einem eigenen Geh use versehen sondern auf einer Einsteckkarte f r den PC aufgebaut Abbildung 25 Slot SPSen Auf dieser Karte befindet sich ein Speichermodul auf das sowohl SPS als auch PC zugreifen k nnen Durch diesen Speicher ist ein schneller Datenaustausch gew hrleistet wodurch diese SPS Art die Echtzeitf higkeit einer Schrank SPS mit der Visualisierbarkeit und Editierbarkeit einer Soft SPS vereint Die in dieser Diplomarbeit entwickelten Selbsttests k nnen aufgrund der Hardware hnlichkeit mit einer Schrank SPS auch auf einer Slot SPS eingesetzt werden Es ist allerdings in solch einem Fall eine teilweise Neubeurteilung der ermittelten Diagnosedeckungsgrade der einzelnen Tests notwendig Da die in Kapitel 10 beschriebenen Verfahren aufeinander aufbauen muss die Neubeurteilung mit dem ersten Test begonnen werden dessen Hardware sich von der der Schrank SPS untersch
174. te Pr sentation des BGIA 5 Die Werte der Beispiel SPS sind der Siemens Norm 29500 Teil 2 18 entnommen die sich mit der Ausfallrate von Bauelementen besch ftigt Die Ausfallraten in dieser Norm sind f r eine mittlere Umgebungstemperatur von 40 C und nach DIN EN 60721 3 definierten Umwelt Transport und Lagerbedingungen angegeben Ausfallraten in dieser Siemens Norm sind in FIT angegeben wobei ein FIT dem Ausfall eines Bauteils pro 10 Bauelementstunden entspricht Die Umrechnung in MTTF bei Dauerbelastung lautet daher 10 Stunden Stunden Tag Abbildung 72 Umrechnung FIT in MTTF MTTF FIT 365Tage 24 Die Werte in der folgenden Tabelle wurden aus der o a Siemens Norm entnommen und mit 5 multipliziert Dieser Multiplikator ergibt sich aus den Faktoren 10 f r den Worst Case und 2 f r Selbsttests Diplomarbeit Bj rn Ostermann 130 146 die Umrechnung von MTTF nach MTTF aus der prEN ISO 13849 1 siehe hierzu auch Kapitel 5 2 2 Sicherheitsrelevante Bl cke der Beispiel SPS FIT 1 pro 10 h MTTF y Ein dynamischer RAM Baustein mit 2 bis 4 Mbit 75 1522 Ein Flashspeicher mit 8 bis 16 Mbit 500 228 Eine 16 bit CPU mit 50k bis 500k Transistoren 1000 114 Platine Verbindungstechnik L tstellen 100 1142 Watchdog Unterspannungs berwachung 50 2283 Zwei Eing nge Optokoppler 400 285 Ein Ausgang Optokoppler 500 mA Treiber 200 571 Nach der For
175. te der Verschaltung von zwei SPSen mit einem redundanten Abschaltpfad dargestellt Die Verschaltung in Abbildung 67 spart dabei ein gekoppeltes Relais ein Je nach zu schaltender Stromst rke ist dies ein gro er Kostenfaktor Durch das fehlende Relais ist die SPS 1 allerdings nicht mehr in der Lage einen pr ventiven Selbsttest durchzuf hren Dies verringert die Testg te bei geringen Schaltspielen da die Wahrscheinlichkeit eines Doppelfehlers im System und der Testeinrichtung kleben bleiben jeweils eines Relais steigt auf den dann nicht mehr reagiert werden kann Der in SPS 1 eingesetzte Test vergleicht nur noch den Soll mit dem Ist Zustand Selbsttests Diplomarbeit Bj rn Ostermann 118 146 E Maschinenfunktion SR S R Selbsttest 1 amp 5 5 wu W wW W a 8 amp 2 3 gt lt lt Feldbus 24V 2 2 Selbsttest 2 5 iu id 2 2 o P 2 lt lt 24 V 24 V Abbildung 67 Verschalten von zwei SPS zu einem Abschaltweg Selbsttests Diplomarbeit Bj rn Ostermann 119 146 10 8 2 T2b Gegenseitige Funktionskontrolle Die nachfolgende Tabelle enth lt die Bezeichnungen der f r diesen Test verwendeten Funktionen und Variablen Name der Hauptfunktion ABLAUF_UEBERWACHUNG_SEND Namen der Nebenfunktionen ABLAUF_UEBERWACHUNG_INIT Konstantes Austauchen von Zahlen um der anderen Kurzbeschreibung DR S
176. tel 5 2 1 beschrieben setzt die heutige Bewertung der Sicherheit einer Steuerung allein auf der Architektur der Steuerung in Verbindung mit den angewandten Fehlererkennungsmethoden auf Um die verschiedenen Wirkungsgrade von Tests und die Ausfallsicherheit von Bauteilen mit zu ber cksichtigen wird zur Zeit auf Ebene der International Organization for Standardization ISO in Zusammenarbeit mit dem Europ ischen Komitee f r Normung Comit Europ en de Normalisation CEN an der prEN ISO 13849 1 gearbeitet Diese wird die Inhalte der DIN EN 954 1 Kapitel 5 2 1 mit dem Ansatz der Ber cksichtigung der Wirksamkeit verwendeter Tests und der Ausfallraten der einzelnen Bauteile aus der nicht harmonisierten DIN EN 61508 Kapitel 5 2 2 vereinigen Die prEN ISO 13849 1 soll in K rze die Norm DIN EN 954 1 als nach Maschinenrichtlinie harmonisierte Norm ersetzen Nach ihrer Verabschiedung wird es eine bergangsfrist von drei Jahren geben Da sie noch nicht verabschiedet wurde existiert noch keine offizielle bersetzung Um die Lesbarkeit dieser Arbeit zu erh hen wurden die offiziellen englischen Abk rzungen beibehalten deren Langtext aber ins Deutsche bersetzt Als Quelle f r diese bersetzungen wurde die Zusammenfassung des Vortrages von Herrn Dipl Ing Thomas B mer und Herrn Dipl Ing Karl Heinz B llesbach 2 verwendet Der Risikograph der Norm prEN ISO 13849 1 f hrt nicht mehr zu Vorschl gen f r Kategorien sondern verlangt nu
177. telle des 4ten Bits des 4ten Bytes eine boolsche globale Variable mit Namen Hilfs Variable zugeordnet Eine feste physikalische Adresse kann mehreren Variablen zugeordnet sein Dies macht grunds tzlich Doppelbelegungen m glich Allerdings muss beachtet werden dass ungewollte Doppelbelegungen zu Programmfehlern f hren weshalb die direkte Adressierung beim Programmieren m glichst vermieden werden sollte siehe Abbildung 37 Doubleword 0 Doubleword 1 Doppelbelegung des Speichers durch zwei Variablen unterschiedlichen Typs Abbildung 37 Doppelbelegung des Speichers dargestellt am Zahlenstrahl Doppelbelegungen passieren in der Praxis wie in Abbildung 37 gezeigt h ufig durch die Verwendung unterschiedlicher Variablentypen Dies liegt daran dass durch die unterschiedliche L nge der Variablen Typen die bersicht ber die belegten Speicherpl tze verloren geht Jeder Typ beginnt am Anfang des Speichers mit Null zu z hlen und teilt hiernach den gesamten Speicher in Schritte seiner L nge auf So ist das dritte Byte des Speichers gleichzeitig die zweite H lfte des ersten Word ein Word 2 Byte In diesem Beispiel wird eine Variable gr n angelegt die das erste Word anspricht und eine Variable blau die das dritte Byte anspricht Eine Ver nderung der Variable im ersten Word l st damit auch eine Ver nderung des Wertes der Variablen im dritten Byte aus Doppelbelegungen k nnen auch vom gleichen Datentyp sei
178. ten dass zwar der DC des Tests durch den Wert nicht beeinflusst wird die Tr gheit des Systems aber mit zunehmender Gr e dieses Wertes steigt siehe hierzu Echtzeitf higkeit in Kapitel 6 5 Wurde dieser vom Anwender festgelegte Wert berschritten so wird der Fehlerbaustein ERROR_FB aufgerufen und damit die SPS abgeschaltet Andernfalls wird der Testzyklus verlassen Fall Zwei die errechnete Differenz ist ungleich Null Ist die Differenz ungleich Null so wird berpr ft ob Sie unter einer maximal zul ssigen vom Anwender festgelegten Gr e liegt Diese Gr e stellt die Anzahl der Zyklen dar die die jeweils andere SPS durchlaufen kann bis dieser Testbaustein erneut aufgerufen wird Sie muss wie auch die Variable des ersten Falls empirisch ermittelt werden Sie beeinflusst ebenfalls nicht den DC sondern auch hier nur die Echtzeitf higkeit des Systems Wenn die Differenz ber der o a festgelegten Gr e liegt wird der Fehlerbaustein ERROR_FB aufgerufen und damit die SPS abgeschaltet Liegt sie im zul ssigen Bereich ist die Pr fung erfolgreich abgeschlossen In diesem Fall wird die Variable Equals_occured Z hler f r Null Differenzen f r Fall Eins zur ckgesetzt sowie die aktuell empfangene Variable als zuletzt empfangene Variable abgespeichert 10 8 2 3 Diagnosedeckungsgrad Die Effizienz f r die berwachung der Funktonalit t der jeweils anderen SPS liegt bei gr er gleich 99 da sich beide SPSen in jedem Z
179. ten Nicht Abschaltens durch klebende Relais aktiviert werden muss Werden wie vorgeschlagen zwei SPSen eingesetzt ist dies dank des zweiten Abschaltweges nicht n tig Im gleichen Kapitel der Norm findet sich Nach Erkennung eines Fehlers muss ein sicherer Zustand bis zur Behebung des Fehlers aufrechterhalten werden 14 Dies wird durch die in Kapitel 10 2 beschriebenen RETAIN Variable Fehler_erkannt m glich gemacht Es muss beim Nutzen der in dieser Diplomarbeit beschriebenen Tests sichergestellt werden dass diese Variable beim Start der SPS berwacht wird 12 2 Einstufung der Standard SPS mit Diagnosefunktionen nach prEN ISO 13849 1 Wie in Kapitel 5 2 3 beschrieben teilt die prEN ISO 13849 1 die Sicherheitsstufen nach Performance Level PL ein und nicht mehr nach Kategorien Sie ben tigt die Einteilung in Kategorien allerdings noch als Zwischenschritt zur Ermittlung des PL Diese Norm stellt an die Kategorie 2 h here Anforderungen als die DIN EN 954 1 Sie deckt sich in diesen Anforderungen mit dem BGIA Repott siehe Kapitel 12 1 In der prEN ISO 13849 1 wird ein konkretes Schaltungsbild f r Kategorie 2 Schaltungen gezeigt das hier bersetzt und hinsichtlich der genannten Beispiele an den konkreten Fall dieser Diplomarbeit angepasst wurde Selbsttests Diplomarbeit Bj rn Ostermann 129 146 Eingabe z B Signal Signal Ausgabe z B Logikeinheit z B SPS Sensor Haupts
180. ten Normen DIN EN 954 1 und prEN ISO 13849 1 hinsichtlich ihrer Sicherheitseinstufung bewertet um den Stand der Technik bei SPSen aufzuzeigen Sinnabschnitt 4 Der vierte Sinnabschnitt Kapitel 9 bis 12 enth lt eine Beschreibung m glicher Hardwarefehler einer SPS und die M glichkeiten ihrer Erkennung Weiterhin wird die Entwicklung von Fehlererkennungsroutinen f r eine SPS mit ihren jeweiligen Diagnosedeckungsgraden behandelt Der Sinnabschnitt schlie t mit der an den Vorgaben der Normen DIN EN 954 1 und prEN ISO 13849 1 gemessenen Verbesserung der Sicherheit einer Standard SPS mit den aufgezeigten Verfahren Sinnabschnitt 5 Im letzten Sinnabschnitt Kapitel 13 wird das Ergebnis der Diplomarbeit zusammengefasst und es werden Ausblicke auf weiterf hrende Arbeiten gegeben Verzeichnisse Die Kapitel 14 bis 16 beinhalten die Verzeichnisse der Abbildungen der Abk rzungen und der verwendeten Literaturquellen Einf hrung Diplomarbeit Bj rn Ostermann 15 146 Anh nge Anlage Der Diplomarbeit sind zwei Anh nge und eine Anlage beigef gt Anhang I enth lt weiterf hrende Informationen zum Europ ischen Binnenmarkt Anhang II enth lt den Quelltext als Klartext der im Rahmen dieser Diplomarbeit programmierten Funktionsbausteine Dieser Anhang wird aus praktischen Gr nden wegen des gro en Umfangs auf der u a CD beigef gt PDF Datei Anhang III enth lt den Quelltext als CoDeSys Quellcode Dieser befindet sich ebenfalls
181. tfaden oder Blue Guide genannt Luxemburg Amt f r amtliche Ver ffentlichungen der Europ ischen Gemeinschaften 4 Gall H Kemp K 1997 Wirksamkeit von zeitlichen und logischen Programmlauf berwachungen beim Betrieb von Rechnersystemen Dortmund Berlin Schriftenreihe der Bundesanstalt f r Arbeitsschutz und Arbeitsmedizin 5 Huelke Dr Michael 2006 Zuverl ssigkeit von Standard Steuerungen Fachgespr ch Maschinen und Ger tesicherheit am 08 09 03 2006 Pr sentation beim BGIA 6 Kleinbreuer Werner Kreutzkampf Franz Meffert Karlheinz Reinert Dietmar 1997 Kategorien f r Steuerungen BIA Report 6 97 St Augustin HVBG 7 Kr mer Manfred 1990 Speicherprogrammierbare Steuerungen in der Sicherheitstechnik Der Elektroniker 10 1990 Stuttgart 8 John K H Tiegelkamp M 1999 SPS Programmierung mit IEC 61131 3 Berlin Heidelberg Springer 9 Ostermann Dipl Ing Hans J 2002 Einf hrung in den Binnenmarkt aus Sicher ist Sicher Heft 3 2002 Berlin K L U G E Verlag 10 Ostermann Dipl Ing Hans J 1995 EG Maschinenrichtlinie Was ist zu tun aus Die BG Heft 7 1995 Berlin Erich Schmidt Verlag GmbH amp Co 11 Ostermann Dipl Ing Hans J von Locquenghien Dipl Ing Dirk 2006 Wegweiser Maschinensicherheit Stand 29 Erg nzungslieferung Februar 2006 Bundesanzeiger Verlag 12 P ppinghaus Wolfgang 1999 dtv Atlas Weltgeschichte M nchen Deutscher Taschenbuch
182. tionen aufrufen Technische Grundlagen Diplomarbeit Bj rn Ostermann 64 146 8 2 3 Funktion Funktionen sind Berechnungshilfen Sie k nnen aus allen POEs heraus aufgerufen werden Ein Funktionsbaustein kann nur eigene lokale Variablen deklarieren und nutzen die zwischen zwei Aufrufen nicht gespeichert werden Aus diesem Grund liefert eine Funktion bei jedem Aufruf mit denselben Parametern immer dieselben Werte zur ck Sie hat keinen Zugriff auf globale Variablen Funktionen k nnen nur andere Funktionen aufrufen 8 2 4 Rekursiver Aufruf Ein rekursiver Aufruf ist wenn ein Funktionsbaustein oder eine Funktion sich selbst aufruft Ist dieser Vorgang ber mehrere Bausteine verteilt wird es als indirekte Rekursion bezeichnet In Abbildung 36 ist eine indirekte Rekursion ber zwei Bausteine dargestellt die sich gegenseitig aufrufen Ein rekursiver Aufruf der POEs auch indirekt wie in Abbildung 36 am Beispiel zweier Funktionsbausteine dargestellt ist nach der DIN EN 61131 3 16 unzul ssig Das Einhalten dieser Bedingung wird vom bersetzungsprogramm des Quelltextes Compiler berwacht Funktionsbaustein A Funktionsbaustein B Abbildung 36 Beispiel eines indirekten rekursiven Aufrufs anhand zweier Funktionsbausteine 8 3 Programmiersprachen Die Norm DIN EN 61131 3 16 kennt f nf nachfolgend beschriebene Programmiersprachen in denen der Anwender seine POEs schreiben kann Davon sind zwei Text basiert und drei gra
183. tischen Steuern von Maschinen eingesetzt Durch fehlerhafte Programmierung wie auch durch Fehler in der Hardware der SPS k nnen Gefahren f r Mensch und Material entstehen Das Thema der Diplomarbeit ist die Verbesserung der Sicherheit von SPSen durch sicherheitstechnische Funktionsbausteine die den Programmen der SPSen hinzugef gt werden und die die korrekte Funktion der Hardware der SPSen berwachen In diesem Zusammenhang werden die rechtlichen Grundlagen behandelt die ein bestimmtes Ma an Sicherheit von Steuerungen fordern sowie die technischen Regeln Normen anhand derer diese Sicherheit beurteilt werden kann 1 2 Motivation Das Bed rfnis solche Funktionsbausteine in einer Standard SPS einzusetzen und damit deren Sicherheit zu erh hen entsteht aus der aktuellen Marktsituation Zur Zeit sind am Markt zum Einen Standard SPSen verf gbar Steuerungsbauteile die wenigen bis gar keinen Sicherheitsanforderungen gen gen und zum Anderen Sicherheits SPSen Diese bieten zwar maximale Sicherheit sind daf r aber verh ltnism ig teuer in der Anschaffung Dazwischen liegt ein breites Feld an unterschiedlichen Sicherheitsanforderungen an Steuerungen Dieser Bedarf kann zwar sicherheitstechnisch mit den Sicherheits SPSen abgedeckt werden dies ist aus wirtschaftlichen Gesichtspunkten aber nicht optimal Das Ziel dieser Arbeit ist es Funktionsbausteine f r eine Standard SPS zu entwickeln die mittels der darin enthaltenen Testrout
184. tliche Grundlagen f r die Sicherheit von Steuerungen 16 4 1 Europ ischer Binnenmarkt ssssssesssssssnssensnnsensnssensnnsenssnsensssnennssssnnsssssnsssessnnee 16 4 2 Europ ische Maschinenrichtlinie 00 0s00000sss00000sssuunsnsssnnnnnonssnnnssnssnnnssnsnnene 17 4 2 1 Formale Anforderungen nach 98 37 EG cenennseneseneeneesnennnnnnennnn nenne 21 4 2 1 1 Kennzeichn ng 2242 een RiRannn Runen sinne 21 4 2 1 2 Dokumentation nach MRL uuessessessensesnneenneennennnennnennennnnnnnnnnnnne nn 22 4 2 1 3 Konformit tsbewertung uusssessnsesnessnesnsennnennnennneennennnennnennnnnnnnnnnnennnnnsnnnen 22 4 2 1 4 EG Konformit tserkl rung 22042200nseenseenseenneennennennennnnnnnnnnnnnennen essen 24 42 2 Technische Anforderungen nein 27 4 2 2 1 Anhang I Maschinenrichtlinie erersessneesnesnesnesnnsnneennennnnenneenn nennen 27 4 2 2 2 Harmonisierte Normen uuesssssesssssnnesneesnsennsennnennnsennsennseenneensennnennnnnnnnnnnsannnn 29 4 2 3 DE ZIAIFIEHE imina ara 31 4 3 Nationales Recht als Umsetzung des EU Rechts s0000ss000000002000000snnu0nsnnsnne0e 32 5 Technische Anforderungen an Steuerungen c eesssssnssssssnnsnnnssnnnnsnnnnsensnnse 33 5 1 Aus Rechtsvorschriften escessessoesocssesoossocssesoossosssessossocssessossoossessossoossesssssoossesss 33 5 1 1 Anhang E Maschinenriehtlinie uc euere 33 5 1 1 1 Sicherheit und Zuverl ssigkeit von
185. tware 6 3 1 Zyklischer Ablauf Das besondere bei einer SPS ist die zyklische Arbeitsweise Wie Abbildung 32 darstellt werden Eingabe Verarbeitung und Ausgabe nach einander bearbeitet und nicht wie z B bei einem PC parallel Ver nderungen an den Eing ngen die nicht w hrend eines Lesezyklus anliegen werden nicht erfasst Wird ein Ausgang im Laufe der Verarbeitung gesetzt und wieder zur ckgesetzt so ist am physikalischen Ausgang keine nderung festzustellen Hierdurch wird die Reaktionsgeschwindigkeit der SPS beeinflusst was sich auf die in Kapitel 6 5 beschriebene Echtzeitf higkeit auswirkt Zyklus Abbildung 32 Prinzip der zyklischen Verarbeitung von Eingabe Verarbeitung und Ausgabe 6 3 2 Aufteilung des Speichers Das EEPROM beinhaltet das auszuf hrende Programm Beim Starten der SPS wird der Programmcode des Programms vom langsamen EEPROM in das schnellere RAM geladen In Programmen die mit der Programmierumgebung CoDeSys siehe Kapitel 8 6 geschrieben sind ist das RAM durch die Firmware der SPS in sechs Bereiche aufgeteilt siehe Abbildung 33 Programmspeicher Speicherbereich f r Globale Variablen Speicherbereich f r frei verwendete Variablen Speicherbereich f r Abbild der Ein und Ausg nge Speicherbereich f r speicherresistente Variablen Speicherbereich der das Aktuelle Ergebnis AE der letzten Oparation des Prozessors enth lt Zus tzlich ist im RAM auch das Aktuelle Ergebnis
186. typischer Kennwerte einer Schrank SPS soll die erreichte Verbesserung der Sicherheit im Hinblick auf die in Kapitel 2 1 erw hnten Normen aufgezeigt werden Einf hrung Diplomarbeit Bj rn Ostermann 14 146 3 Aufbau der Diplomarbeit Die Diplomarbeit ist in f nf Sinnabschnitte gegliedert Sinnabschnitt 1 Der erste Sinnabschnitt umfasst die Kapitel 1 bis 3 und beinhaltet die Einleitung die Aufgabenstellung und den Aufbau der Diplomarbeit selbst Sinnabschnitt 2 Im zweiten Sinnabschnitt Kapitel 4 und 5 werden die rechtlichen Grundlagen f r das in Verkehr bringen einer SPS mit Diagnosefunktion im europ ischen Wirtschaftsraum EWR behandelt Hieraus ergibt sich die Notwendigkeit eine solche SPS nach der Norm DIN EN 954 1 bzw prEN ISO 13849 1 zu bewerten Auch dieses Thema wird in diesem Sinnabschnitt behandelt Es wird dargelegt welche Gesetze und Verordnungen f r Steuerungen wichtig sind und welche technischen Anforderungen aus diesen und den harmonisierten Normen entstehen Es wird weiterhin dargestellt welchen Stellenwert Verordnungen Gesetze und Normen haben Sinnabschnitt 3 Der dritte Sinnabschnitt Kapitel 6 bis 8 enth lt technische Grundlagen zur SPS und deren Sicherheitseinstufung Es wird der interne Hardware Aufbau einer SPS sowie ihre generelle Arbeitsweise und ihre Programmierung nach DINEN 61131 3 beschrieben Die auf dem Markt vorhandenen SPS Alternativen Standard SPS und Sicherheits SPS werden nach den oben erw hn
187. tz 1 MRL s o grunds tzlich nicht mit dem CE Kennzeichen versehen werden Allerdings fallen diverse Sicherheitsbauteile auch unter den Anwendungsbereich anderer Richtlinien wie die Niederspannungsrichtlinie oder die Richtlinie Die formalen Anforderungen f r das in Verkehr bringen von SPSen ndern sich zum Teil mit der neuen Maschinenrichtlinie 2006 42 EG siehe Abbildung 2 Auf diese nderungen die erst zum 29 12 2009 in Kraft treten wird in dieser Arbeit wo erforderlich hingewiesen sie werden aber nicht ausf hrlich behandelt da sie noch kein geltendes Recht sind Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 22 146 ber die elektromagnetische Vertr glichkeit die die CE Kennzeichnung wiederum verlangen Viele Sicherheitsbauteile m ssen aus diesem Grund mit einer CE Kennzeichnung versehen werden Die neue MRL wird diesen verwirrenden Zustand ndern indem sie auch f r Sicherheitsbauteile eine CE Kennzeichnung vorschreibt 4 2 1 2 Dokumentation nach MRL Die vom Hersteller zu erstellenden Unterlagen Dokumentation unterscheiden sich danach ob die Maschine oder das Sicherheitsbauteil im Anhang IV MRL gelistet ist oder nicht Nach Art 8 Abs 2 a muss der Hersteller bei Maschinen und Sicherheitsbauteilen die nicht im Anhang IV gelistet sind die Unterlagen nach Anhang V Nr 3 MRL zusammenstellen Im anderen Fall sind dies nach Art 8 Abs 2 b bzw c die Unterlagen nach Anhang VI Eine bersicht ber den Umfang und
188. urchzuf hren 4 2 1 4 EG Konformit tserkl rung Als EG Konformit tserkl rung wird nach Anhang V Nr 1 das Verfahren bezeichnet bei dem der Hersteller oder ein in der Gemeinschaft niedergelassener Bevollm chtigter erkl rt dass die in den Verkehr gebrachte Maschine allen einschl gigen grundlegenden Sicherheits und Gesundheitsanforderungen entspricht Die Unterzeichnung der EG Konformit tserkl rung berechtigt erst den Hersteller das CE Kennzeichen nur bei Maschinen nicht bei Sicherheitsbauteilen siehe Kapitel 4 2 1 1 anzubringen Der Inhalt der EG Konformit tserkl rung ergibt sich aus Anhang II A MRL f r Maschinen und aus Anhang I C MRL f r Sicherheitsbauteile Eine bestimmte Form ist nicht vorgeschrieben Rechtliche Grundlagen Diplomarbeit Bj rn Ostermann 25 146 Die EG Konformit tserkl rung f r einzeln in Verkehr gebrachte Sicherheitsbauteile wie z B eine SPS mit Diagnosefunktionen muss nach Anhang II C MRL folgende Angaben enthalten Die Erkl rung ist eine Erkl rung des Herstellers D h unterzeichnet werden kann die EG Konformit tserkl rung vom Gesch ftsf hrer oder von einem dazu beauftragten Mitarbeiter der Name und Anschrift des Herstellers oder seines in der Gemeinschaft niedergelassenen Bevollm chtigten Beschreibung des Sicherheitsbauteils Sicherheitsfunktion des Sicherheitsbauteils falls diese aus der Beschreibung nicht klar ersichtlich ist gegebenenfalls Name und Anschrift der gemeld
189. urden Speichert die Nummer des Aktuellen Testbausteins Speichert die Nummer des Testbausteins ab dem der eigentliche Test beginnt Speichert die Nummer des letzten zu testenden Testbausteins Speichert ob der erste Test des Zyklus aufgerufen wurde Speichert ob der letzte Test des Zyklus aufgerufen wurde Selbsttests Diplomarbeit Bj rn Ostermann 93 146 Jeder Variablentyp der getestet wird ben tigt eine Hilfs_Variable_ Hilfsvariable zum sichern der eigenen Daten Zum Beispiel Hilfs_Variabe_DWORD 10 6 1 1 Erl uterung Dieser Test berpr ft die Speicherstellen der freien Variablen Durch die oben erw hnte Einschr nkung f r den Bereich der freien Variablen k nnen grunds tzlich nur die Speicherstellen getestet werden die mit Variablen belegt sind Zus tzlich ist zu beachten dass diese Variablen nur von dem POE siehe Kapitel 8 2 aus getestet werden k nnen in dem Sie deklariert wurden Durch die in Kapitel 8 4 beschriebene bergabe der Variablen per Referenz an aufgerufene Funktionsbausteine ist ein Test des Speicherbereichs dieser Variablen auch von diesen aus m glich Dieser Test hat mehrere Nachteile Korrelationen zwischen Speicherstellen sind nicht testbar da der Programmierer aufgrund des zuf lligen Abspeicherns dieser Daten innerhalb des Gesamtbereichs nicht wei welche Variable an welcher Stelle des Speicherbereichs der freien Variablen abgespeichert wird Das bedeutet
190. us berechnet Damit wird in jedem Zyklus nur eine Teilmenge aller zu pr fenden Variablen getestet So kann die ben tigte Testdauer auf mehrere Zyklen optimal verteilt werden Ebenfalls im zweiten Durchgang sowie auch in jedem weiteren Durchgang wird die Testroutine der von diesem Test genutzten globalen Variablen aufgerufen und der Testbereich auf die n chste Teilmenge der freien Variablen verschoben Sind alle Variablen getestet wird im n chsten Zyklus wieder mit dem ersten Teilbereich begonnen Die ebenfalls notwendige Testroutine der benutzten globalen Variablen s u wird in diesem Ablauf in den letzten Zyklus mit eingebunden Anzumerken ist dass sie in jedem Zyklus aufgerufen wird ein Aufruf einer Testroutine aber nicht unbedingt zu deren Durchf hrung f hrt s u Der Test der globalen Variablen ist hnlich dem Test jeder anderen Variablen und wird darum hier nicht dargestellt Teil Zwei des Gesamttests beinhaltet die eigentlichen Variablentests deren Ablauf in Abbildung 52 dargestellt und im nachfolgenden Text erl utert ist Selbsttests Diplomarbeit Bj rn Ostermann 96 146 Globalen Z hler erh hen Testende erreicht Test l uft bereits Letzter Test im Zyklus Merke Testende erreicht Testanfang erreicht Test der Variable Abbildung 52 Flussdiagramm Aufruf eines Variablentests Da die DINEN 61131 3 eine Strenge Trennung von Variablentypen vorschreibt wurde f r jeden Variablenty
191. von einander f hren und somit mit dem o a Verfahren erkannt werden k nnen in den SPSen Mehrfachfehler auftreten Dies bedeutet dass ein Fehler in dem einem der Ger te der sich in dem zweiten Ger t wiederholt bei beiden SPSen zum gleichen falschen Ergebnis an deren Ausg ngen f hrt Solche Mehrfachfehler werden durch den oben beschriebenen Abgleich der Daten von Ein und Ausg ngen nicht entdeckt Durch Selbsttests der Teilger te sollen Mehrfachfehlern entdeckt werden Im Selbsttest werden dazu getestet Prozessor RAM EEPROM Technische Grundlagen Diplomarbeit Bj rn Ostermann 52 146 Kopplung Programmablauf Peripheriebaugruppen Diese Tests sind in der vom Anwender nicht beeinflussbaren Firmware der Teilger te installiert und werden st ckweise in den Programmablauf der Teilger te integriert Das bedeutet dass ein Komplettest des Systems nicht in einem Zyklus sondern in mehreren aufeinander folgenden Zyklen abgeschlossen wird Abbildung 27 zeigt eine typische SSPS von PILZ u X El Abbildung 27 Sicherheits SPS von PILZ Ohne den in diesem Kapitel beschriebenen Eingriff des Herstellers in die Hardware Verbinden der Standard SPSen ber einen gemeinsamen Speicherbereich ist dieses Konzept schwer zu realisieren siehe Ausblick im Kapitel 13 3 6 6 2 Hardware der Schrank SPS Eine SPS arbeitet wie jeder Computer nach dem Prinzip der Eingabe Verarbeitung und Ausgabe mit Speich
192. wendung innerhalb bestimmter Spannungsgrenzen f llt sind diese anzuwenden 20 Wegen der Spannungsgrenzen 50 bis 1000 V Wechselstrom bzw 75 bis 1500 V Gleichstrom der Niederspannungsrichtlinie fallen die hier behandelten SPSen grunds tzlich nicht in deren Anwendungsbereich siehe auch Kapitel 4 2 1 3 Soweit die SPS elektrische Anschl sse aufweist die innerhalb der o a Spannungsgrenzen liegen regelt die Niederspannungsrichtlinie die Vermeidung der hiervon ausgehenden elektrischen Gefahren ATEX Richtlinie 24 f r die Explosionsgefahren im Sinne von Anhang I Nr 1 5 7 MRL 26 L J Die zu diesen Maschinen geh renden elektrischen Betriebsmittel m ssen hinsichtlich der Explosionsgefahr den geltenden Einzelrichtlinien entsprechen 24 Die ATEX Richtlinie kommt nur in Sonderf llen f r die SPS zur Anwendung n mlich dann wenn diese direkt in der explosionsf higen Atmosph re eingesetzt wird Ziel der ATEX Richtlinie ist es im Bereich der SPSen diese so zu bauen dass diese nicht zur Z ndquelle f r eine explosionsf hige Atmosph re werden EMV Richtlinie 22 f r die Gefahren durch Strahlung im Sinne von Anhang I Nr 1 5 10 MRL 26 Die Maschine muss so konzipiert und gebaut sein dass jegliche Emission von Strahlung durch die Maschine auf das f r ihr Funktionieren notwendige Ma beschr nkt wird und eine Einwirkung auf die gef hrdeten Personen vollst ndig unterbunden oder auf ein ungef hrl
193. werden wird zun chst die Bedingung WAHR in das AE geladen Danach wird getestet ob nur der dem Wert WAHR zugeordnete bedingte Sprungbefehl ausgel st wird und nicht der dem Wert FALSCH zugeordnete Das gleiche Verfahren wird danach mit umgekehrten Werten FALSCH und WAHR werden getauscht erneut durchgef hrt In beiden F llen wird bei falscher Ausf hrung eines bedingten Sprungs der Fehlerbaustein ERROR_FB aufgerufen 10 4 2 2 T3 Test des Akkumulators Durch das Fehlen eines Statusregisters in der SPS und hierbei insbesondere durch das Fehlen eines Bits das einen berlauf im Akkumulator w hrend der letzten Rechenoperation anzeigt kann der in Kapitel 9 2 3 beschriebene allgemeine Test f r Microprozessoren nicht bernommen werden Eine SPS verf gt wie in Kapitel 8 3 1 erw hnt ber keinen Akkumulator Statt dessen wird dieser durch das AE simuliert Es ist trotzdem wichtig die vom Prozessor als Akkumulator benutzte Speicherstelle AE wie einen solchen zu testen Ein Speichertest arbeitet nicht so gr ndlich wie ein Akkumulatortest und w rde Fehler die in diesem auftauchen nicht bemerken Der Akkumulator wird dadurch getestet dass eine Eins in das h chstwertige Bit geladen wird Danach wird diese Eins schrittweise bis in das niedrigstwertige Bit geshiftet das Ergebnis nach Durchf hrung aller shift Operationen durch den Vergleich mit dem Erwartungswert gepr ft Danach wird dieser Vorgang in entgegen gesetzter Richtung wiede
194. yklus gegenseitig berwachen Durch diesen Test werden ebenfalls Fehler im Feldbus aufgedeckt Auch hier liegt der DC bei 99 da das Fenster f r die zu empfangenden Variablen gemessen an der Gr e des m glichen Zahlenbereichs sehr gering ist Selbst bei einer vom Programmierer zugelassenen Abweichung von 30 Zyklen in Fall Zwei des vorhergehenden Kapitels stehen diese im Verh ltnis von 30 zu 4 294 967 296 m glichen Werten Selbsttests Diplomarbeit Bj rn Ostermann 123 146 10 8 3 T8c Test der redundanten Ausg nge ber r ckgekoppelte Eing nge f r die zweite SPS Die nachfolgende Tabelle enth lt die Bezeichnungen der f r diesen Test verwendeten Funktionen und Variablen Name der Hauptfunktion OO_TEST_ZWEITE_SPS Namen der Nebenfunktionen OO_TEST_TRUE ee Dauertest der redundanten Ausg nge ber r ckgekoppelte Eing nge Eing nge keine Ausg nge keine Genutzte globale Variablen keine 10 8 3 1 Erl uterung Dieser Test basiert auf dem in Kapitel 10 7 3 beschriebenen Test und wird in der zweiten SPS an dessen Stelle eingesetzt Da die zweite SPS dauerhaft eingeschaltet ist entf llt hier eine berpr fung der gew nschten Zust nde an den Ausg ngen Da der Algorithmus des Funktionsbausteins OO_TEST_TRUE bereits im zweiten Teil des Kapitels 10 7 3 2 beschrieben wurde und die Hauptfunktion desselben Kapitel nur wie in Abbildung 69 zu erkennen gek rzt wurde wird an dieser Stelle auf eine Beschreibung des A
Download Pdf Manuals
Related Search
Related Contents
Modus 2005 - Laboratoire Parole et Langage User Manual - I Bticino Axolute 2007 B())K 4t 5t9 Copyright © All rights reserved.
Failed to retrieve file