Durch die sich wandelnden Marktbedingungen in der chemischen Industrie hin zu kürzeren Produktlebenszyklen und kleiner werdenden Losgrößen gewinnt der Bedarf nach dynamischen Produktionskonzepten zunehmend an Bedeutung. Dies stellt eine Herausforderung an die einhergehende Anpassung von Prozessanlagen. Eine Modifikation einer Anlage erforderte herkömmlicherweise einen enormen Aufwand an Zeit und Ressourcen. Die Modulare Automation verfolgt den Ansatz, schnelle Anpassungen des Designs einer Prozessanlage zu ermöglichen.
Modulare Anlagen bestehen aus mehreren vorgefertigten Modulen. Jedes dieser Module führt einen verfahrenstechnischen Prozessschritt aus und wird deswegen im Englischen Process Equipment Assembly (PEA) genannt. Durch die Verschaltung mehrerer PEAs auf einer übergeordneten Prozessführungsebene, den sog. Process Orchestration Layer (POL), lassen sich die PEAs zu einer Gesamtanlage verschalten. Somit können die PEAs über ihre Grenzen hinaus zur Ausführung von komplexen verfahrenstechnischen Prozessen orchestriert werden. Anhand der standardisierten informationstechnischen Schnittstelle, dem Module Type Package (MTP), lassen sich die PEAs in den POL effizient integrieren und miteinander verschalten, wodurch die Umsetzung von Anlagenkonfigurationen vereinfacht wird.
MTP um Safety erweitert
Die gesetzlichen und gesellschaftlichen Anforderungen an die Sicherheit bleiben für modulare Anlagen unverändert. Dabei dürfen die durch die Modulare Automation gewonnenen Vorteile nicht verloren gehen, insbesondere was Flexibilität und kürzere Lebenszyklen angeht. Aufgrund des veränderten Ansatzes bei der Planung von Prozessanlagen ist eine Anpassung der Prozesse zur Implementierung der funktionalen Sicherheit in modularen Anlagen unabdingbar. Das Ziel hierbei ist stets, die PEAs im Vorfeld autark von der Anlagenumgebung sicher zu gestalten, sodass bei ihrer Verschaltung so wenig wie möglich verändert bzw. erweitert werden muss. Sicherheitssysteme müssen auf PEAs vorgeplant und bei der Zusammenschaltung auf einer sicherheitstechnischen Orchestrierungsschicht – functional Safety Orchestration Layer (fSOL) – zusammengeführt werden. Um diesen Vorgang analog zur betrieblichen Verschaltung möglichst effizient zu gestalten, ist eine Erweiterung des MTPs um sicherheitstechnische Aspekte, in einem sogenannten Safety-MTP, notwendig. Im Rahmen des Standards VDI VDE Namur 2658 setzt sich eine von Namur AK 4.5, GMA und ZVEI eingesetzte Arbeitsgruppe mit diesen Aspekten auseinander. Aus den entstehenden Ausarbeitungen durch diese Expertengruppe entsteht das Richtlinienblatt 8.
Bild 2 zeigt die Topologie einer modularen Anlage bestehend aus intramodular sicheren PEAs – mit der notwendigen Instrumentierung für die Ausführung von PLT-Sicherheitsfunktionen (SIF) – und einer fSOL für die Ausführung von intermodularen SIFs. Letztere sind notwendig, um gegen Risiken zu schützen, die sich aus der Zusammensetzung von mehreren PEAs zu einer Anlage ergeben. Die fSOL orchestriert hierzu die von den jeweiligen PEAs angebotenen Safety-Services – enthalten im Safety-MTP – zu einer oder mehreren SIFs. Safety-Services folgen einem Zustandsautomat in dem semantisch beschrieben wird, ob ein Safety-Service beispielsweise „In operation“ (die SIF ist aktiv und überwacht die Prozessparameter), „Triggered“ (die SIF wurde ausgelöst) oder „Deactivated“ (der Ausgang ist inaktiv bzw. überbrückt) ist.
Bereits innerhalb der Arbeitsgruppe diskutierte Themen wurden in einer Reihe an Veröffentlichungen im atp-Magazin beschrieben, die detaillierte Hinweise zur Implementierung der funktionalen Sicherheit in modularen Anlagen geben. Zu diesen Themen gehören u. a. der functional Safety Orchestration Layer (fSOL) oder die Sicherheitslebenszyklen, die aus den Standards zur funktionalen Sicherheit IEC 61508 und IEC 61511 abgeleitet werden können.
Praktische Umsetzung
Um die in der Arbeitsgruppe entwickelten Konzepte anhand einer technischen Implementierung zu validieren, haben beteiligte Firmen zusammen mit dem P2O-Lab der TU Dresden einen Demonstrator konzipiert und gebaut. Vor allem Fragen wie die Einsetzbarkeit der aktuell auf dem Markt verfügbaren Komponenten und Systeme sowie die Übertragung der normierten Sicherheitslebenszyklen auf modulare Anlagen werden am Demonstrator untersucht.
Der Demonstrator bildet einen Prozess bestehend aus einer Doppeldosier-PEA – sprich zwei funktionale Einheiten – und einer Reaktor-PEA mit Rührer (Bild 3). Das Verhältnis der zwei dosierten Medien wird sicherheitstechnisch anhand von Durchflussmessungen überwacht. Jeder Tank hat eine Überfüllsicherung und jede Pumpe einen Trockenlaufschutz. Die Dosier-PEAs werden zusätzlich auf Überdruck und die Reaktor-PEA auf Übertemperatur überwacht. Diese SIFs garantieren die intramodulare Sicherheit der PEAs für ihre konzipierte Funktionalität, was bei modularen Anlagen die Aufgabe von PEA-Herstellern ist.
Wenn ein Betreiber eine modulare Anlage errichtet, fällt die Analyse der durch die Zusammensetzung von PEAs entstehenden Risiken unter seine Verantwortung. Beispielsweise können Risiken aufgrund der verwendeten Prozessmedien oder der herrschenden Prozessbedingungen entstehen. Um die intermodulare Sicherheit des PEA-Verbunds zu gewährleisten, sind eventuell zusätzliche SIFs notwendig. Im gebauten Demonstrator wird für die Überfüllsicherung der Reaktor-PEA auf die vorhandene Instrumentierung der Doppeldosier-PEA zugegriffen, indem die Pumpe des jeweiligen Dosierstranges abgeschaltet wird. Hierzu wird die Orchestrierung bzw. der Austausch von Sicherheitszuständen, die in unterschiedlichen PEAs und somit in unterschiedlichen PLT-Sicherheitseinrichtungen (SIS) zur Verfügung stehen, übergeordnet auf Anlagenebene realisiert.
Zur Erfassung der sicherheitskritischen Zustände der PEAs werden Messgeräte der Firma Endress+Hauser eingesetzt. Diese sind nach IEC 61508 entwickelt und zertifiziert und ermöglichen ihren Einsatz in Sicherheitsfunktionen bis SIL 2 (einkanalig) oder SIL 3 (2 kanalig homogen redundant) zur Überwachung von Maximalgrenzwerten (z. B. Überfüllsicherung), Minimalgrenzwerten (z. B. Trockenlaufschutz) oder zur Überwachung des gesamten Messbereichs (z. B. Vergleichsmessung). Beim Einsatz in Sicherheitsfunktionen gilt generell eine Messtoleranz von ±2 %, die als Fehlerband bei der Failure Modes Effects and Diagnostic Analysis (FMEDA) zugrunde gelegt wurde. Diese Toleranz ist bei der Einstellung der sicherheitsrelevanten Schaltpunkte zu berücksichtigen. Hinsichtlich Explosionsschutz sind die verwendeten Messgeräte für Kategorie 1/2 G mit der Zündschutzart „Eigensicherheit“ zertifiziert, d. h. innerhalb des Prozesses kann Ex-Zone 0 definiert sein, außerhalb des Prozesses die Ex-Zone 1 oder 2.
Für die Sicherheitsfunktionen im Safety-MTP-Demonstrator sind folgende Messparameter relevant: Füllstand, Druck, Durchfluss und Temperatur. Die Sensoren zur Füllstand-, Druck- und Durchflussmessung verfügen über „Heart-Beat“-Technologie, die eine permanente Diagnose des Gerätes liefert und eine Funktionsprüfung des Gerätes auf Knopfdruck im laufenden Prozess ermöglicht. Anhand der bei jedem Messgerät vorhandenen Bluetooth-Schnittstelle lassen sich die Sensoren z. B. mit einem Smartphone parametrieren und warten. Diese Eigenschaften eröffnen eine Vielfalt an Möglichkeiten in Verbindung mit dem Safety-MTP hinsichtlich Funktionsprüfungen und Instandhaltung der einzelnen PEAs.
Der zur Verfügung stehende Platz zum Einbau der Instrumentierung sowie der Sicherheitssteuerung ist im gebauten Demonstrator begrenzt. Aus diesem Grund kommen zur Realisierung des SIS kompakte Sicherheitssteuerungen von Hima zum Einsatz. Diese ermöglichen die passende Dimensionierung anhand der benötigten EA-Punkte zur Ausführung der Sicherheitsfunktionen. Hierzu ist in jeder PEA eine Sicherheitssteuerung und ggf. ein erweitertes EA-Modul vorhanden. Die Orchestrierung der übergeordneten Sicherheitsfunktion auf Anlagenebene wird durch ein zusätzliches unabhängiges Anwenderprogramm übernommen. Diese übergeordnete Sicherheitssteuerung kommuniziert mit den in den PEAs vorhandene Safety-Services und sichert den gesamten Demonstrator durch die entsprechenden Abschaltungen, beispielsweise ein Not-Halt, ab.
Zur Steuerung des operativen Betriebs der SIFs kommt eine Festo-Steuerung zum Einsatz. Für die Implementierung der Abläufe wurde die Bausteinbibliothek „PA-Toolkit“ verwendet, um die MTP-Schnittstellenkonformität und deren Orchestrierung zu gewährleisten. Die Ventileinheiten, bestehend aus einem Medienventil, einem pneumatischen rotativen Antrieb und einer Sensorbox, sind ebenfalls von Festo. Deren Ansteuerung erfolgt über eine an die Steuerung angebundene Ventilinsel. Dieses pneumatische Stellsignal kann direkt am Antrieb der Ventileinheit durch ein ergänzendes Sicherheitsventil unterbrochen werden, um so die Sicherheitsposition der Ventileinheit zu garantieren. Die operative Steuerung kann also parallel zum SIS laufen, ohne mit diesem zu konkurrieren. Die Abschaltung durch das SIS hat immer Vorrang.
Vernetzung über OPC UA
Der Datenaustausch zwischen den PEAs sowie zwischen den PEAs und der Orchestrierung erfordert einen sicheren Kommunikationsstandard. Während dies in der Regel unter Sicherheitssteuerungen des selben Herstellers kein Problem darstellt, so kann dies bei der Integration von Sicherheitssteuerungen unterschiedlicher Hersteller zu Einschränkungen bei der Auswahl der PEAs führen. Aus diesem Grund wird die Vernetzung der PEAs auf dem herstellerunabhängigen Kommunikationsstandard OPC-Unified Architecture (OPC UA) aufgebaut.
OPC UA ist ein herstellerneutraler Kommunikationsstandard, der, bei Verwendung eines sicherheitsgerichteten Protokollstapels OPC UA Safety), die Verwaltung der Safety-Services der PEAs ermöglicht. Die Zustände der im Safety-MTP beschriebenen Safety-Services werden von den PEAs bereitgestellt und können von der übergeordneten Logik abgefragt und verschaltet werden. Am Beispiel des Demonstrators ist der Ablauf wie folgt: Die fSOL fragt bei der Reaktor-PEA die Information ab, ob der Safety-Service „Überfüllsicherung“ ausgelöst – „triggered“ – wurde. Bei ausgelöstem Safety-Service gibt die fSOL den Befehl zur Auslösung des Safety-Services Pumpenabschaltung an die Doppeldosier-PEA weiter.
Zum Zeitpunkt der Verfassung dieses Beitrags stand die Spezifikation der sicherheitstechnischen Variante von OPC UA, OPC UA Safety, noch nicht zur Verfügung. In einem weiteren Schritt ist es geplant, die sichere Kommunikation auf dem Demonstrator umzusetzen und zu erproben.
TU Dresden
Autoren:
Silvia Vélez León, Safety Consultant, Hima
Dr. Alexander Horch, Vice President Entwicklung & Produkt Management, Hima
Dr. Gerold Klotz-Engmann, Abteilungsleiter Technische Sicherheit, Endress+Hauser (Deutschland)
Alexander Kehl, Advanced Develop Automation Engineering, Festo
Marc André Langehegermann, Functional Safety Engineer, Evonik Operations
Bernhard Gut, ehemals Endress+Hauser
Anselm Klose, Managing Director Process-to-Order Lab, TU Dresden
Florian Pelzer, Research Associate GRK 2323,
TU Dresden
Hier finden Sie mehr über:
