Siemens SIRIUS Applikationsanleitung Seite 153

Subsystem Architekturentwurf
Eine spezielle Subsystemarchitektur ist immer dann zu entwerfen, wenn mit den für eine
bestimmte Aufgabe (Teilfunktion, "Funktionsblock") vorgesehenen Geräten die notwendige
Safety Integrity (Safety Performance) nicht direkt erreicht wird. Im Allgemeinen können die
sicherheitstechnischen Eigenschaften
● Geringe Versagenswahrscheinlichkeit
● Fehlertoleranz, Fehlerbeherrschung
● Fehleraufdeckung
nur durch besondere Architekturmaßnahmen erreicht werden. In welchem Umfang
bestimmte Maßnahmen notwendig sind, ist abhängig von der geforderten Safety
Performance (Safety Integrity).
Dem Subsystem ist eine bestimmte (Teil-)Funktion, der Funktionsblock, zugeordnet (z. B.
Zuhalten einer Tür). Dieser Funktionsblock wird zunächst (gedanklich) in einzelne Elemente
(Funktionsblockelemente) unterteilt, die dann bestimmten Geräten, den
Subsystemelementen, zugeordnet werden können. Im Allgemeinen kann die gleiche
Funktion zwei Funktionsblockelementen zugeteilt werden (die Funktion wurde praktisch
verdoppelt). Wenn diese Funktionsblockelemente dann durch jeweils eigene Geräte
realisiert werden, hat das Subsystem eine einfache Fehlertoleranz (einfache Redundanz).
Fehleraufdeckung eines Subsystems (Diagnose)
Bei einem Subsystem ohne Fehlertoleranz führt jeder Fehler zum Verlust der Funktion. Das
Versagen der Funktion kann, abhängig von der Art des Fehlers, zu einem gefährlichen oder
sicheren Zustand der Maschine führen. Kritisch sind die Fehler, die einen gefährlichen
Zustand der Maschine zur Folge haben. Sie werden als "gefahrbringende Fehler"
bezeichnet. Um zu vermeiden, dass ein gefahrbringender Fehler tatsächlich zu einer
Gefährdung führt, kann man bestimmte Fehler durch Diagnose aufdecken und die Maschine
in einen sicheren Zustand bringen, bevor die Gefährdung entsteht. Ein durch die Diagnose
aufgedeckter gefahrbringender Fehler kann so in einen "sicheren Fehler" umgewandelt
werden.
Bei einem redundanten Subsystem führt der erste Fehler noch nicht zum Versagen seiner
Funktion. Erst ein weiterer Fehler kann den Verlust der Funktion verursachen. Um das
Versagen des Subsystems zu vermeiden, muss also der erste Fehler aufgedeckt werden
bevor ein zweiter Fehler auftritt. Die Fehleraufdeckung muss natürlich mit einer geeigneten
Systemreaktion verbunden sein. Im einfachsten Fall wird z. B. die Maschine angehalten, um
sie in einen sicheren Zustand zu bringen, der die (fehlerhafte) Sicherheitsfunktion nicht
benötigt.
Durch die Fehleraufdeckung (Diagnose) verbunden mit einer geeigneten Fehlerreaktion wird
in beiden Fällen die Wahrscheinlichkeit eines gefährlichen Versagens der betreffenden
Sicherheitsfunktion verringert. In welchem Maße die Wahrscheinlichkeit verringert wird hängt
u. a. davon ab, wie viele der möglichen gefährlichen Fehler erkannt werden. Das Maß dafür
ist der Diagnosedeckungsgrad (diagnostic coverage DC).
Die Fehleraufdeckung eines Subsystems kann im betreffenden Subsystem selber oder
durch ein anderes Gerät, z. B. die Sicherheits-SPS erfolgen.
Safety Integrated Application Manual
Applikationshandbuch, 10/2015, A5E03752040010A/RS-AC/004
Spezifikation und Design sicherheitsrelevanter Steuerungen für Maschinen
5.3 Entwurf und Realisierung der (sicherheitsrelevanten) Steuerung nach IEC 62061
153