Mit eingebauter Redundanz

Rein Tiezema

Programmierbare Systeme werden heute in allen Industriezweigen routinemäßig für sicherheitskritische Anwendungen spezifiziert. Wo noch vor wenigen Jahren nur festverdrahtete Anlagen als ausreichend zuverlässig für diese Aufgaben erachtet wurden, erkennen heute immer mehr Unternehmen der Prozeßindustrie die Vorteile von programmierbaren Systemen. Außerdem sind programmierbare Systeme preiswerter anzupassen, wenn sich die Anforderungen der Anlage ändern.

Mit eingebauter Redundanz, qualitativ hochwertigem Aufbau und sorgfältiger Vermeidung von Mehrfach-Primärausfällen sind moderne, spezialisierte programmierbare Systeme für viele sicherheitskritische Anwendungen geeignet. Die zusätzliche Fehlertoleranz garantiert, daß der Prozeß so lange wie möglich aktiv ist, ohne Kompromisse bei der Sicherheit zu schließen. Zusätzlich vereinfachen Diagnose- und Berichtsfunktionen die Wartung und den Datenaustausch mit anderen Anlagensystemen wie zum Beispiel Prozeßleitsystemen (PLS).

Das Zeitalter programmierbarer Sicherheitssysteme wurde von der Öl- und Gasindustrie sowie Herstellern aus der Petrochemie eingeläutet. Sie trieben auch maßgeblich die Zulassung dieser Systeme in Übereinstimmung mit nationalen und besonders mit internationalen Normen und Richtlinien voran. Der Umweltschutz ist ein weiteres Gebiet, das von hochzuverlässigen Systemen profitieren kann, da immer mehr Unternehmen die offiziellen Umwelt-Qualitätsstandards wie ISO 14000 anwenden. Obwohl dieser Markt im Moment noch klein ist, wird er im nächsten Jahrzehnt kräftig wachsen. Denn die Betreiber erkennen zunehmend die Notwendigkeit zur Validierung der kritischen Systeme, die das Austreten schädlicher Chemikalien in die Umwelt verhindern.

Es gibt bedeutende Unterschiede in der Art, wie verschiedene Industrien an das Problem der Prozeßsicherheit herangehen. In der Öl- und Gasindustrie und der Petrochemie arbeitet man hauptsächlich mit kontinuierlichen Prozessen, die verhältnismäßig geradlinig verlaufen und im Notfall über Notabschaltsysteme (ESD) heruntergefahren werden.

Daher besteht das übliche Verfahren in diesen Industriezweigen darin, Sicherheits- und Prozeßleitsystem unabhängig voneinander zu betreiben. Als Konsequenz daraus kann das Sicherheitssystem selbst auf eine höhere Sicherheitsstufe ausgelegt und zugelassen sein als das Prozeßleitsystem. Dieses Prinzip spart Kosten und vereinfacht das Zulassungsverfahren. Da es in Raffinerien und Anlagen zur Kohlenwasserstoffproduktion seit langem angewendet wird, haben diese Anwender seit vielen Jahren Erfahrungen mit unabhängigen Sicherheitssystemen gesammelt.

Die Verbindung eines unabhängigen Sicherheitssystems mit einem Prozeßleitsystem, das den täglichen Ablauf der Anlage steuert, erleichtert Bedienung und Wartung der Anlage, ohne die Sicherheit zu beeinträchtigen. Wird eine hochintegrierte speicherprogrammierbare Steuerung (SPS) in Verbindung mit einem Prozeßleitsystem verwendet, können beispielsweise bestimmte Variablen durch das Leitsystem als nicht überschreibbar festgelegt werden. So behält die SPS ihre unabhängige Funktion bei, während gleichzeitig die Vorteile einer totalen Kommunikation mit dem PLS ausgenutzt werden.

Im Gegensatz zur Kohlenwasserstoff- und petrochemischen Industrie arbeitet man in der chemischen Industrie häufig im Batch-Verfahren. Das sichere Abschalten dieser Prozesse erfordert meistens mehr Umsicht, als dies bei kontinuierlichen Systemen der Fall ist. Dazu ein Beispiel: Bei einem Reaktor im Chargenprozeß besteht die Gefahr, daß er thermisch außer Kontrolle gerät. Anstatt ihn abzuschalten, kann es erforderlich sein, ihn weiterzufahren, wenn auch mit geeigneten Maßnahmen in bezug auf Kühlung und Stoffzufuhr. Ein zusätzliches Problem ergibt sich aus der Tatsache, daß es bei diesen Unternehmen oft noch an den entsprechenden Sicherheitskonzepten mangelt. Sie sind sich oft weniger der verschiedenen internationalen Standards und Normen für sicherheitskritische Steuerungen bewußt und neigen eher dazu, ihre eigenen Erfahrungen als Basis für die Auswahl eines Sicherheitssystems zu verwenden. Ein typisches Ergebnis ist die Verwendung eines einzelnen Prozeßleitsystems für die sicherheitskritische Steuerung – eine Anwendung, für die Prozeßleitsysteme nicht entwickelt wurden.

Leider kann es sehr schwierig sein, komplexe Chargenprozesse ohne den hohen Grad an Steuerung, den ein Prozeßleitsystem liefert, sicher abzuschalten. Ist ein SPS-basiertes Abschaltsystem nicht ausreichend und stellt ein einzelnes, gewöhnliches Prozeßleitsystem keinen ausreichend hohen Sicherheitsfaktor zur Verfügung, gibt es zwei Alternativen. Die erste ist, das ganze Prozeßleitsystem nach der Norm zu validieren, die auch für das SPS-basierte Sicherheitssystem gelten würde. Das ist jedoch praktisch unmöglich. Die zweite Alternative ist die, das gesamte Prozeßleitsystem doppelt auszulegen, einschließlich Sensoren und Aktuatoren, was sehr teuer ist.

In Prozessen, in denen die Abschalt-Anforderungen nicht zu komplex sind, bieten spezielle, für sicherheitskritische Systeme entworfene SPS viele Vorteile. Werden schon im Entwicklungsstadium bestimmte Sicherheitsfunktionen berücksichtigt, kann ein hoher Grad an Sicherheit mit hoher Verfügbarkeit kombiniert werden.

Ein Beispiel dafür ist die ProSafe-SPS. Diese SPS wurde mit dualer Architektur so konstruiert, daß sie sowohl mit anderen Systemen mit dualer Architektur als auch mit Systemen mit dreifach modularer Redundanz (TMR) konkurrieren kann. Durch ihren flexiblen Aufbau kann man sie an verschiedene Sicherheits- und Verfügbarkeitsstufen anpassen.

Die offiziellen Zulassungsverfahren haben wesentlich dazu beigetragen, daß programmierbare Systeme heute in großem Umfang akzeptiert werden. Zu den Normen für Anlagensicherheit gehören die DIN V VDE 0801 für Deutschland, der Entwurf der IEC-Norm 1508 für funktionelle Sicherheit von sicherheitsgerichteten Systemen, die sich eventuell durchsetzt, und die ISA-S84 in den USA. Normen für die Sicherheit programmierbarer Systeme umfassen die vierstufige SIL und die deutsche achtstufige Klassifizierung nach DIN 19250 AK. Die SlL-Klassen werden durch Berechnung festgelegt, einschließlich der Betriebsgeräte, basierend auf IEC 1508/1511. Die Anwendungsklassen nach DIN 19250 AK beruhen auf qualitativen Beurteilungen und schließen nur das Sicherheitssystem selbst ein. Die ProSafe-SPS erfüllt SIL 1-3 und TÜV-Anforderungsklassen 1-6.

Die Grundausführung der ProSafe-SPS verfügt über zwei separate Schaltkreise für jeden Ausgang. Einer dieser Kreise beinhaltet die Standard-Steuerungslogik, die einen Halbleiterschalter zur Festlegung des Ausgangszustands steuert. In Reihe zu diesem Schalter ist ein mechanisches Relais angeordnet, das von einem zweiten Schaltkreis gesteuert wird, der seinerseits durch eingebaute Diagnosefunktionen von Logikschaltungen des ersten Kreises überwacht wird. Fällt irgendein Teil des Systems sicherheitsgefährdend aus, stellt die Diagnosefunktion die Störung fest und öffnet das Relais, womit der Reglerausgang in den energielosen Zustand geschaltet wird.

Diese 1001D-Anordnung wird in der Vollausführung der SPS ergänzt durch redundante Spannungsversorgungen und Kommunikationsschnittstellen, redundante Watchdog-Timer mit diversitärem Schaltkreisaufbau und Systemdiagnosefunktionen wie zum Beispiel CPU-Anweisungstests und erschöpfende Speichertests.

Um die entsprechende Fehlertoleranz zu realisieren, kann die 1001D-Architektur doppelt aufgebaut werden, so entsteht ein redundantes 1002D-System. Erkennt eines der Module einen kritischen Fehler, schaltet es sich ab und übergibt die Kontrolle an das andere Modul, das in der 1001D-Betriebsart weiterarbeitet, bis die ausgefallene Einheit ersetzt wird. Die beiden Sub-Systeme sind in unterschiedliche Baugruppenträger eingebaut, was die Anfälligkeit gegenüber Mehrfach-Primärausfällen deutlich verringert. Diese Anordnung ist sicherer und zuverlässiger als herkömmliche duale speicherprogrammierbare Steuerungen und TMR-Systeme. Sie ermöglicht auch den Anschluß redundanter Sensoren ohne Aufrüstung mit zusätzlicher Hardware.

Weitere Informationen cav-220