Siemens S7-300 F PLC-k folyamatipari biztonsági alkalmazása

Átírás

1 Miskolci Egyetem Gépészmérnöki és Informatikai Kar AUTOMATIZÁLÁSI ÉS INFOKOMMUNIKÁCIÓS INTÉZETI TANSZÉK 3515 Miskolc - Egyetemváros SZAKDOLGOZAT Siemens S7-300 F PLC-k folyamatipari biztonsági alkalmazása KÉSZÍTETTE: Csanak Sándor Villamosmérnök BSc szakos hallgató TERVEZÉSVEZETŐ ÉS KONZULENS: Dr. Trohák Atilla Miskolc, 2016.

2 1. Tartalomjegyzék 1. Tartalomjegyzék Bevezetés Folyamatipari biztonság rövidítései és értelmezésük Lépések a biztonság növelésének érdekében Szabványok Irányelvek Megfelelősség Szabványok a folyamatipari és gépipari biztonság területén Az ernyőszabvány Gépipari szabványok IEC szabvány részletes bemutatása és elemzése Funkcionális biztonság A szabvány felépítése A szabvány alkalmazása ALARP alapelv Rizikó mátrix Safety Integrity Level Működésbéli biztonság: IEC A szabvány felépítése Életciklus modell Elemzési fázis Megvalósítási fázis: Működtetési fázis: Siemens S7 failsafe PLC-k és szoftverek bemutatása Felépítés Redundancia megjelenése a PLC-knél Példarendszer bemutatása Distributed Safety Konfigurálás Programozás Safety Matrix

3 8. Összegzés Summary Függelék Felhasznált források Ábrajegyzék

4 2. Bevezetés Nyári szakmai gyakorlatom során a BrosodChem Zrt.-nél nem csak magával a céggel, annak szemléletével és kultúrájával ismerkedtem meg, hanem a gyakorlatban alkalmazott technológiai és folyamatirányítási elemekkel, nem mindennapi technológiai megoldásokkal, pár vegyi folyamat elképesztő összetettségével és néhány olyan kihívással, amikkel a későbbiekben én is találkozhatok a munkám során. Az előállított vegyi anyagok sokfélék, melyekhez sokrétű folyamatirányítási elemek tartoznak, DCS és PLC folyamatirányító berendezések egyaránt megtalálhatók. Mivel tehát vegyigyárról, azaz veszélyes technológiákról és vegyszerekről van szó, kiemelt szempont a biztonság és a megbízhatóság. Korunk egyik legdinamikusabban fejlődő ipara a vegyipar, egyre nagyobb mennyiségben használnak veszélyes vegyi anyagokat. Előállításuk egyre komplexebb a vezérléseket, egyre precízebb irányítást igényelnek, egy-egy részegység hibája pedig fokozott kockázatot jelent. A vállalatoknak a versenyképesség megtartása érdekében haladni kell a technológia fejlődésével, folyamatosan fejleszteni, újítani, bővíteni kell az iparban, függetlenül az előállított termék jellegétől. Azonban a történelem nem egyszer bebizonyította, hogy nem körültekintő tervezés, az emberi felelőtlenség és a biztonság kérdésének elhanyagolása nemcsak anyagi kárt, hanem természeti katasztrófákat és halált okoztak. Ha egy folyamat, üzemrész jellegéből adódóan megköveteli a magasabb fokú biztonságot, akkor abba ugyanúgy invesztálni kell mind anyagi, mind szellemi erőforrásokat. A nemzetközi irányelvek és ipari szabványok figyelembevételével, helyes műszaki intézkedések figyelembevételével, vagyis a funkcionális biztonság betartásával a végzetes hibák száma jelentősen csökkenthető, vagy kiküszöbölhető. Az Irányítástechnikai Mérnöki Irodában láthattam, hogy egy üzem bővítési és korszerűsítési projektje során milyen komoly szakmai és biztonságtechnikai követelményeknek megfelelően kell megtervezni egy ipari konstrukciót, kiválasztani a mindenkori alkalmazásnak és szabványoknak megfelelő irányítástechnikai berendezéseket, megírni hozzá a vezérlőprogramot és biztonságosan üzemeltetni azt. Egy ilyen projekt megvalósításához sokrétű szakmai ismeret, hosszú kutatómunka és körültekintő eljárás szükséges mindenki részéről. Olyan konstrukció kialakítására törekedtek, amely vállalható mind biztonsági, mind anyagi szempontból. 4

5 Ezért választottam szagdolgozatom témájául a funkcionális biztonság és a Siemens S7-es Fail-safe PLC-k folyamatipari biztonsági alkalmazásainak bemutatását. Szakdolgozatomban kitérek a folyamatipari biztonság területén alkalmazandó, illetve kötelezően alkalmazott standardokra, részletezem az IEC és az IEC es szabványokat és alkalmazásukat, valamint bemutatom az iparban is igen népszerű Siemens S7 Fail-Safe rendszereit és az egyetemi eszközparkban is megtalálható S7-300-as biztonsági programozható logikai vezérlőket és kiegészítőiket. Tisztázom a folyamatipari biztonsággal kapcsolatos szakkifejezéseket, illetve egyszerűbb példafeladatokkal bemutatom az S7-300 F biztonsági PLC alkalmazását és alkalmazhatóságát két fejlesztőkörnyezetet használva. 5

6 3. Folyamatipari biztonság rövidítései és értelmezésük Szakdolgozatomban sok, a folyamatipari biztonság területén rendszeresen használt rövidítést fogok felhasználni. Ahhoz, hogy szakdolgozatom érthető legyen mindvégig, szeretném az írásom elején felsorolni ezeket a szakkifejezéseket és jelentésüket. SIL (Safety Integrity Level) Integrált biztonság szintje, amely 1-től 4-ig definiált az IEC és IEC szabványban egyaránt, az IEC irányelvben (ami az IEC gépipari biztonságra átültetett változata) a maximális érték nem 4, hanem 3. Az E/E/PE biztonsági funkcióinak megbízhatóságával szemben támasztott követelmények megítéléséhez használják, a SIL a rizikó csökkentés mértéke. A SIL érték a teljes biztonsági funkcióra/berendezésre értendő. SIL CL (SIL Claim Limit) SIL igény határ, az IEC szabványban a megbízhatósággal szemben támasztott követelményeknél használatos. Az eszközöket a SIL CL segítségével jelölik, hogy maximálisan milyen SIL szintet érhetünk el az eszköz használatával. CAT (Category) Biztonsági kategória rövidítése. EN esetén használatos, értéke 1-től 4-ig terjedhet. PL (Perfomance Level) Az EN ISO szabványhoz, a vezérlők biztonsági részeinek kialakításához szükséges mérőszám. Értéke a -tól e -ig terjedhet, ahol előbbi érték a legmagasabb teljesítményszintet, utóbbi a legalacsonyabbat jelöli. CCF (Common Cause Failure) Közös okok következtében bekövetkező hiba. MTBF (Mean Time Between Failure) Meghibásodások között várható átlagosan eltelt idő szakszerű használatot, rendszeres karbantartást feltételezve. Statisztikai érték. MTTF (Mean Time To Failure) Azt MTBF egy változata, jelentése: meghibásodásig átlagosan eltelt idő. Szintén statisztikai érték. MTTFd (Mean Time To Failure - dangerous) Jelentése: veszélyes meghibásodásig átlagosan eltelt idő Az MTTF egy olyan kiterjesztése, amely egy veszélyes meghibásodásig eltelt időt veszi figyelembe. 6

7 PFD (Probability of Failure on Demand) Hiba valószínűsége terhelés alatt. Annak a valószínűségét adja meg egy évre kivetítve, hogy a biztonsági rendszer pont akkor nem működik, amikor kellene, igény esetén pont nem látja el a funkcióját. PFH (Probability of Failure on Hour) Annak a valószínűsége órára vetítve, hogy a biztonsági rendszer pont akkor nem működik, amikor kellene. RRF (Risk Reduction Factor) Kockázatcsökkentési tényező. A technológiai kockázat és a törvényileg, illetve társadalmilag elfogadott kockázat számszerűsített értékek, így a kettejük közötti érték is számszerűsíthető (lásd: x. ábra) SPLC (Safety PLC) Veszélyes technológiákhoz használt programozható logikai vezérlők ( biztonsági PLC). SIS (Safety Instrumented System) Biztonságosan műszerezett rendszer. Az ilyen rendszerek egy vagy több biztonsági elemet, biztonságtechnikai funkciókat tartalmaznak és minden ilyenre érvényes egy SIL követelmény. EUC (Equipment Under Control) Irányított berendezés E/E/PE (Electrical/Electronic/Programmable Electronic Safetyrelated Systems) - Elektromos/elektronikus/programozható elektronikus rendszerek. Beletartozik minden olyan eszköz és rendszer, amellyel biztonságtechnikai funkciót lehet végezni, egyszerű elektromos eszköztől a programozható logikai vezérlőkig. HIPPS (High-integrity Pressure Protection System) Magas integritású túlnyomás védelmi rendszer, biztonságosan műszerezett rendszerek egy változata vegyi gyárakban és olajfinomítókban alkalmazott. FMEA (Failure Mode and Effects Analysis) Hibamód- és hatáselemzés. Nem csak minőségmenedzsment, hanem a folyamatiparban egy biztonsági rendszer kockázatelemzéséhez is használják. Hibák hatásának jelentőségét lehet meghatározni, mely egy biztonsági rendszer telepítéséhez elengedhetetlen. 7

8 HAZOP (Hazard and Operability Study) A veszélyek azonosítására és becslésére szolgáló, egyszerű módszer. Alapelve az, hogy a normál és szabványos munkakörülmények biztonságosak és csak akkor keletkeznek veszélyek, ha ezektől eltérnek. LOPA (Layers of Protection Analysis) Védelmi szintek ellenőrzéséhez használt analízis, módszer, elsősorban folyamatos technológiában használt. A módszer részletes terveket, leírásokat igényel a technológiáról és a gépekről. 8

9 4. Lépések a biztonság növelésének érdekében Ami elromolhat, el is romlik Edward A. Murphy légközlekedési mérnök örökérvényű mondása ugyanúgy igaz a folyamatiparra is, mint az élet bármely más területére. Az egyre összetettebb rendszerek, bonyolultabb elektronikai és vezérlő berendezések, illetve a komplex programok növelik a hibalehetőségek számát. Ezért van szükség a folyamatiparan is egységesen értelmezhető szabványokra, melyek nemcsak útmutatókat és jellemzőket tartalmaznak, hanem szabályoznak, egységesítenek, valamint a tevékenység, szolgáltatás és felhasználó érdekeit szolgáltatja. Következetes megoldási módjainak köszönhetően pozitív gazdasági, hatékonysági és biztonsági hatásuk van a szabványok alkalmazásának. A szabványok általában önként alkalmazhatók, de bizonyos szabványok alkalmazása törvényleg kötelező. Alapesetben a nemzetközi szabványügyi szervezetek által létrehozott irányelvek felhasználása nem kötelező, de amennyiben a Magyar Szabványügyi Testület honosít egy szabványt, az alkalmazás már kötelezővé tehető. 1. ábra: Nemzetközi szervezetek és a szabványjelek kapcsolódása 9

10 4.1 Szabványok Amennyiben egy szabvány elfogadásra kerül az Európai Unióban vagy honosításra kerül a Magyar Szabványügyi Testület által, akkor annak a szabványosítási szervezetnek a betűjele is szerepel a szabványban (pl. EN ISO, MSZ EN). [1] A teljesség igénye nélkül, a leggyakoribb szabványbetűjelek jelentése, melyek kapcsolódnak az iparhoz: MSZ Magyar Szabvány EN (European Norm/Harmonized European Standards) Európai szabvány ISO (International Organization for Standardization) Nemzetközi Szabványügyi Szervezet IEC (International Electrotechnical Comission) Nemzetközi Elektrotechnikai Bizottság. Az IEC csatlakozott az ISO-hoz, de elektronika/elektrotechnika területeken megtartotta az önállóságát. IEEE (Institute of Electrical and Electronics Engineers) Elektrotechnikai és Elektronikai Mérnökök Intézete Szabványok alatt általában olyan megállapodást értünk, melynek keretében egy termék előállítása vagy egy szolgáltatás üzemeltetése előre meghatározott (szabványos) módon történik. A szabványoknak négy típusát különböztetjük meg: hivatalos, ún. de-jure szabványok, melyek nemzetközi együttműködés keretében létrejött szervezetek bocsájtják ki vagy olyan szabványok, melyeket törvényileg elismertek. ipari ( de-facto ) szabványok olyan szabványok, melyeket egy ipari konzorciumba tömörült szervezetek kezelnek, illetve bocsájtanak ki. ad-hoc jellegű szabványok+, melyeket sem törvényileg, szabványügyi szervezetek nem hagytak jóvá, de használatuk mindennapos. céges tulajdonú szabványok, melyeket egy cég saját maga készített el, saját maga kezeli és saját tulajdona, de más cég is felhasználhatja licenszdíjért cserébe. 10

11 4.2 Irányelvek SÚLYOS IPARI BALESETEK KIALAKULÁSÁNAK OKAI Emberi mulasztás Műszaki hiba Kontrollálhatatlan vegyi reakció Külső tényezők 16% 10% 50%; 50% 24% 1. diagram: Ipari balesetek okainak százalékos eloszlása (2) Tisztázzuk, mit nevezünk balesetnek: A baleset egy olyan nem kívánt, váratlan negatív esemény, kár, amelynek bekövetkezése megelőzhető lett volna. A rendkívüli esemény egy ipari üzemben olyan ipari esemény, mely azonnali beavatkozást igényel és magában hordozza egy vegyi anyagokkal kapcsolatos súlyos baleset lehetőségét. Az Európai Unió által kidolgozott és elfogadott Seveso-irányelv azért jött létre, hogy a súlyos ipari (vegyipari) baleseteket megelőzzék, a következményeket csökkentsék. A szabályzás Magyarországon 2002 óta van érvényben, azóta létrejött a Seveso II. és Seveso III. irányelv, melyek további szigorításokat tartalmaztak. A veszélyes anyagokkal kapcsolatos tevékenységeket, cégeket egy állami hatóság felügyeli. A veszély megítélésé a veszélyes anyagok mennyiségén alapszik. Az eljárás alapja a biztonsági jelentés és elemzés, amelynek rendeltetése az, hogy az előírt tartalmi és formai követelmények alapján az üzemeltető bizonyíthassa, az általa folytatott veszélyes tevékenység nem jár a meghatározottnál nagyobb kockázattal, és minden elvárhatót megtett az esetleges súlyos baleset megelőzése, és a következmények elhárítása érdekében. Két ipari üzem veszélyességi státuszt különböztetünk meg: 11

12 Alsó küszöbértékű veszélyes ipari üzem Felső küszöbértékű veszélyes ipari üzem Az üzemeltető az alábbi táblázatban foglalt kötelezettségeknek kell eleget tenni a hatóság felé: Veszélyességi státusz Kötelezettségek a hatóság felé Alsó - bejelentkezési kötelezettség - biztonsági elemzés készítése - balesetmegelőzési célkitűzések készítése - adatszolgáltatás településrendezési tervhez - belső védelmi tervezés - baleseti jelentési és vizsgálati kötelezettség Felső A fenti kötelezettségeken túl: - biztonsági jelentés készítése - adatszolgáltatás a külső védelmi terv elkészítéséhez - biztonsági irányítási rendszer működtetése 1. táblázat: Kötelezettségek a hatóság felé, veszélyességi státusz alapján Az irányelv neve egy olaszországi kisváros nevéből ered, amelyet a legjobban érintett az július 10.-én a kisváros melletti vegyigyárkatasztrófa. Az emberi mulasztás miatt levegőbe került jelentős mennyiségű dioxin következtében több mint 37 ezer embert érintett, 11 ezret kellett evakuálni, több tízezer házi- és haszonállat hullott el és az egészségügyi következmények több ezer embert érintettek. A cég a hatóságokat a katasztrófa után 6 nappal értesítette csak. Minden nagyobb gép, berendezés potenciális veszélyt jelent a használói számára, gondoljunk csak a hidraulikus munkahengerek vagy a robotkarok mozgására. Fontos különbséget tenni a veszély (hazard) és a kockázat (risk) között. Kockázat mindig van, teljesen biztonságos rendszer nincs, de a kockázat csökkenthető. (Biztonság = Mentesség a nem elfogadható kockázatoktól.) A balesetveszélyes berendezés vezérlőelemeinek is különleges tulajdonságokkal kell rendelkeznie. Egyszerűbb esetben (pl. présgép) e vezérlés egy relés áramkörre korlátozódik. Bonyolultabb esetben, pl. egy robotizált gyártósorra a biztonsági funkciókat egy biztonsági PLC vezéreli, mely a terepi érzékelőkhez és beavatkozókhoz leválasztó reléken keresztül 12

13 csatlakozik. Mindkét esetben a relék megbízhatóságán és üzembiztonságán múlhat a berendezés helyes működése és a kezelőszemélyzet biztonsága! A biztonsági jelző-, reteszelő- és vészleállító rendszerek jellemzője, hogy a technológiai folyamatirányításban nem vesznek részt. Azokat csak felügyelik, és amennyiben valamilyen oknál fogva a beállított kritikus szélsőértéket ér el az adott folyamat, a vezérlés megelőző beavatkozást végez, mely lehet pl. leürítés, elárasztás, vagy teljes leállítás, stb. A vezérlés irányított módon fejti ki a megelőző beavatkozást. Mivel a biztonsági rendszereken múlhat egy baleset, vagy katasztrófa megelőzése, megbízhatóságuk egyre fontosabb. A megbízhatóság (műszaki értelemben véve) egy részegységnek, vagy magának a rendszernek azon tulajdonsága, hogy rendeltetésszerű működtetés esetén milyen mértékben várható el a hibátlan működés. Matematikai szempontból a megbízhatóság egy statisztikai adat. A gyakorlat, illetve a szabvány szerint a biztonsági/védelmi rendszerek feladata a kockázatcsökkentés. Műszaki kockázatok menedzsmentjének elsődleges célja tehát a biztonságkritikus rendszer fejlesztése, azaz olyan biztonsági rendszer készítése, mellyel a kockázat társadalmilag és hatóságilag elvárt szint alá csökkenthető. [2] Az ipari automatizálásban a két legfontosabb szabvány az IEC és az IEC szabványok. A Seveso III. direktíva a fenti két szabványra nem hivatkozik, de alkalmazásuk több országban (pl. Anglia, Norvégia) törvényileg kötelező. Különböző hibafajtákat különböztethetünk meg: Rendszerhibák (emberi hiba pl. tervezés során) Véletlenszerű hibák, hardverhibák (pl. kitikkadtt elektrolitkapacitások miatt) Közös okú hibák: CCF (pl. túlfeszültség tönkretesz több elemet is a rendszeren) 13

14 4.3 Megfelelősség 2. ábra: Kockázat mértékét befolyásoló tényezők Az ideálisan megtervezett hibatűrő rendszerekben nincs egyetlen olyan pont sem, amelynek meghibásodása meghiúsíthatja a rendszer működését, azaz a legfontosabb előírt feladatait bármikor ne tudná végrehajtani. Azaz egy hiba vagy rendellenesség esetén a veszélybiztos irányítórendszer a folyamat stabilizálásával vagy leállításával képes minden esetben a veszélyhelyzetek megelőzésére. A szabványok által leírt, a rendszerek funkcionális biztonságát érintő összes követelményt figyelembe kell venni, ennek ellenére 100%-os funkcionális biztonság nem létezik, a kockázatcsökkentési akció után is kell számolni maradandó kockázattal. A nem várt, negatív jellegű incidensek (balesetek) bekövetkezésének várható, illetve megengedhető gyakoriságát az úgynevezett SIL értékekkel jellemezhetjük. Erre részletesen kitérek az IEC szabvány tisztázásánál. A gépipari biztonság szempontjából fontos a CE jelölés is. Az EU-n belüli kereskedelmi korlátozások megszűnése után (áruk szabad mozgása) és az EU tagállamok közötti együttműködésnek köszönhetően szükség volt egy egységes termékbiztonsággal kapcsolatos minőség jelzésre, melynek célja, hogy az Európai piacon csak biztonságos termékek legyenek forgalomba. Ennek a célnak a biztosításaként számos rendelet, irányelv került bevezetésre, melyek betartatása elsősorban a tagállami hatóságok feladatát képezi. Igy alakult meg a CE (Conformité Européenne) jelölés, mely az unión belül forgalmazott összes terméken fel kell tüntetni. Persze csak úgy, ha az adott termék megfelel a mindenkori direktíváknak és rendeleteknek. A CE jelölés nem a fogyasztók tájékoztatását, de az érdekeit szolgálja, 14

15 - ennek ellenére nem biztosít semmilyen minőségi tulajdonságot -, hanem a hatósági ellenőrzés egyszerűbb lehetőségét biztosítja. A CE jelölésnek tehát nem csak az Európában forgalmazott hétköznapi termékekre kell felkerülnie, hanem minden ipari gépre, berendezésre ugyanúgy vonatkoznak az irányelvek. Ha egy berendezésre, gépre léteznek a harmonizált szabványok, a terméket előállító cégnek az alábbi lehetőségei vannak: A berendezés vagy gép műszaki dokumentációját elküldi egy független, hivatalosan elismert hatóságnak (pl. TÜV, SGS ) megőrzésre Meghatalmaz egy független hatóságot, hogy megfelelősség szempontjából ellenőrizze a dokumentációt és tanúsítsa azt Vannak azonban esetek, amikor a harmonizált szabványok az adott termékre nem alkalmazhatók. Ebben az eseten a gyártónak használati útmutatót, biztonsági ellenőrzéssel kapcsolatos méréseiről dokumentációt és kockázatbecslést kell végeznie. Csak ezután tüntetheti fel a terméken a CE jelölést, a saját felelősségére. [3] Az, hogy egy szabvány általános, az azt jelenti, hogy alkalmazható minden ipari ágazatban. Azonban egy adott ágazatra vonatkozó megegyezés (mint pl. az IEC as alapvetés, amely atomerőművek biztonsági műszerezésével, vezérlésével és általános rendszerkövetelményeivel foglalkozik) az ernyőszabványt felülírhatja, de minden más esetben az a mérvadó. Az IEC tehát azokat a követelményeket írja le, amelyeket a gyártóknak kötelező betartani az eszközeik, ill. rendszereik vonatkozásában. A gyártónak mindig bizonyítania kell, hogy terméke kielégíti a termékre vonatkozó irányelvekben lévő "lényeges követelményeket". Az eszközöket a gyártó cégek a már említett, professzionális független harmadik féllel, minősítő szervezetekkel minősíthetik. A minősítő igazolással a gyártó cég jogosult lesz feltüntetni a termékén a minősítés emblémáját. 15

16 3. ábra: Egy TÜV-SÜD által kibocsájtott minősítő igazolás egy SIL 3 követelményeknek eleget tett berendezésről TÜV (Technische Überwachung Verein) Rheinland a világ egyik vezető műszaki szolgáltató konszernje, amely 1872-ben történt alapítása óta regionális vizsgáló szervezetből nemzetközi szintű vizsgálati szolgáltatóvá fejlődött. A vállalat ma a világ 69 országában működtet saját szervezetet. A TÜV semleges, független félként termékeket, berendezéseket, folyamatokat és irányítási rendszereket, valamint szolgáltatásokat vizsgál, nyomon követ, fejleszt, támogat és tanúsít a törvényi előírások, valamint további vonatkozó irányelvek és szabványok alapján. Továbbá saját maga is ad ki ajánlásokat a biztonság növelésére. 16

17 5. Szabványok a folyamatipari és gépipari biztonság területén Az ipari biztonságot tárgyaló szabványok meglehetősen komplex felépítésűek, de egybefüggő rendszert alkotnak. Ez a szabvány tartalmazza a követelményeket és rendelkezéseket, amelyek alkalmazhatók a bonyolult elektronikus és programozható rendszerek, illetve alrendszerek tervezéséhez. 5.1 Az ernyőszabvány 4. ábra: IEC ernyőszabvány és a hozzá kapcsoló további szabványok A szabvány megnevezése: Funkcionális biztonság az elektromos, elektronikus vagy programozható elektronikus biztonsági rendszerekhez. Az EN IEC jelölésű szabvány (olykor hívják ernyőszabványnak is) egy általános szabvány, mely a funkcionális biztonság kérdéseit tárgyalja. A szabványt az Nemzetközi Elektrotechnikai Bizottság (International Electrotechnical Commission) publikálta és kezeli Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems (E/E/PE, vagy E/E/PES) néven. Ez a szabvány foglalja egységbe fenti képen látható további szabványokat, melyek folyamatiparhoz, 17

18 gépiparhoz és egyéb ághoz kapcsolódnak. Alkalmazásával gépi, és emberi hibákból adódó baleseteket, illetve veszélyhelyzeteket lehet csökkenteni, illetve elkerülni. A funkcionális biztonság mellett robbanásveszélyeztetett területeken használt berendezéseknél további szabványokat is szükséges alkalmazni. A képen látható szabványok az alábbiakkal foglalkoznak: IEC 61511: ("Functional safety Safety instrumented systems for the process industry sector") Működési biztonság: Ez az irányelv az IEC szabvány egy folyamatipart célzó speciális, alkalmazásspecifikus implementációja. A szabványt a későbbiekben részletezem. IEC 62061: Gépek biztonsága ( Safety of machinery Functional safety of safety-related electrical, electronic and programmable electronic control systems") ISO : Gépek biztonsága ( Safety of machinery Safety-related parts of control systems") This standard is intended to provide a direct transition path from the categories of the previous EN Az EN ISO a vezérlők biztonsági részeinek kialakítását írja le. A biztonsági funkciók megbízhatóságának fontos mérőszáma a teljesítményszint (PL). A korábban EN szabványban érvényes Safety Categories-ból és a Perfomance Level-be között az átjárhatóság lehetséges. IEC 60601: Orvosi elektromos eszközökhöz, berendezésekhez készült biztonsági irányelv ( Medical electrical equipment ) IEC 50156: Kemencék elektronikus berendezéseihez iránymutatás a tervezéshez és a telepítéshez. ( Electrical equipment for furnaces and ancillary equipment. ) IEC 61513: Alkalmazásspecifikus szabvány, a nukleáris erőművek biztonságos műszerezéséhez és vezérléséhez készült általános rendszerkövetelményeket megfogalmazó irányelv. ( Nuclear power plants. Instrumentation and control important to safety. ) IEC : Elektronikus hajtások biztonsági követelményeit tartalmazó szabvány. ( Adjustable speed electrical power drive systems. Part 5-2: Safety requirements. ) 18

19 EN 50128: A szabvány vasúti alkalmazásokhoz készült. ( Railway applications. ) EN 954-1: Gépekre vonatkozó Safety Categories november 31-ig volt érvényben, helyét az ISO vette át Gépipari szabványok Az EN ellentétben az IEC al - a gépipari direktívák alatt harmonizált. Míg előbbi kimondottan a gépipari biztonságra funkcionál, utóbbi általános, alkalmazásfüggetlen. Az EN elektromechanikus és hidraulikus rendszerekhez volt alkalmazható, összetett elektronikákhoz és programozható elektronikus rendszerekhez nem alkalmazható, a hibamodellek alkalmatlanok mikrokontrollerekhez (μc) és alkalmazásspecifikus áramkörökhöz (ASIC). Továbbá nem foglalkozik a biztonsági funkciók összetettségével és a meghibásodások valószínűségével sem. Az utódszabvány, azaz az EN ISO szabványban a programozható elektronikus rendszerek használatát is figyelembe veszi egy vezérlési láncon belül, a szabvánnyal a biztonsági funkciók kvantitatív vizsgálatára elvégezhető. Az EN IEC és az EN ISO irányelvek egyaránt kiterjednek a biztonsággal kapcsolatos elektromos rendszerekre, egymás alternatívái. Mindkét szabvány eredménye ugyanaz, de különböző módszereket alkalmaznak, különböző esetekhez alkalmazzák őket. Lehetőség van a tervezés során a helyzethez leginkább alkalmas szabvány kiválasztására. Az EN ISO nemcsak a vezérlők biztonsági részeinek hardverfelépítését írja le, hanem részletezi a szoftver kialakítását is. Az IEC szabvány a kockázatcsökkentést szintén SIL, azaz biztonságintegritási szintértékkel fejezi ki. Tartalmazza az IEC összes, a gépekre és rendszerekre vonatkozó fontos követelményeit, valamint ugyancsak életciklus modellt alkalmaz, de 16 fázis helyett csak 6 (egyszerűsített életciklus modell). Az értéke IEC és IEC szabványhoz képest három SIL szint van, ahol az 1 a legalacsonyabb, 3 a legmagasabb. Az alrendszer, amely végrehajtja a biztonsági funkciót, rendelkezik egy megfélő SIL képességgel. Ez a SIL CL, mellyel az adott eszközt jellemzik. Például a SIL CL 2 jelentése tehát az, hogy az ilyen eszköz csak SIL 2 szintű biztonsági funkciókhoz alkalmazható. Az EN ISO 19

20 azonban nem SIL szinteken, hanem öt PL, azaz öt teljesítményszintet definiál, amely az óránkénti veszélyes kiesések átlagos valószínűségi értékét adja meg. A Perfomance Level egy valószínűségi becslést határoz meg. SIL és PL között lehetséges az átjárhatóság (CSAK mindkét szabványt részletesen figyelembe véve!), mely az alábbi ábrán látható: [5] 5. ábra: SIL és PL közötti átjárhatóság PFHdangerous érték alapján A kép tehát csakis úgy használható fel konverziós célra, ha a szabványok teljes követelményeit figyelembe vesszük még a tervezés során. Az alkalmazhatóságot az alábbi táblázat foglalja össze: EN ISO EN IEC Hidraulikus, pneumatikus és elektromechanikus rendszerekhez PLe szintig is alkalmazható. Hidraulikus és kevert rendszereknél Összetett, PE rendszerekhez nem alkalmazható. csak korlátozottan alkalmazható E/E/PE rendszerekhez. (PLd). A berendezés biztonsági szintjét A teljes rendszer biztonsági táblázat alapján lehet meghatározni. szintje a szabvány által biztosított képletekkel számítható. 20

21 5.3 IEC szabvány részletes bemutatása és elemzése 6. ábra: Szabványok felhasználása. Amikkel részletesebben foglalkozok, az az IEC és IEC szabványok [4] Funkcionális biztonság Funkcionális biztonságnak nevezzük az olyan biztonsági, műszaki védelmi intézkedéseket, amelyekkel a gépek hibáikból adódó kockázatot, vagyis a balesetek valószínűségét csökkentjük. Ahogy az IEC is kimondja, 0% kockázat, azaz 100%-os biztonság nem létezik, de a megfogalmazott módszerek alkalmazásával a rizikó tovább és tovább csökkenthető. Vagyis a funkcionális biztonsággal ha nem is megakadályozzuk, de jelentős mértékben csökkentjük azokat a gépi hibákat, amelyek az emberi test vagy a környezet épségét veszélyeztetik. A funkcionális biztonság, mint kifejezés 1998-ban lett bevezetve az IEC alkalmazásfüggetlen szabvánnyal. Helytelenül, de gyakran csak a programozható biztonsági rendszerekkel (PES) hozzák összefüggésbe, annak ellenére, hogy a kifejezés széles körét öleli fel azoknak az eszközöknek, amelyek biztonsági 21

22 rendszerek létrehozására alkalmasak. Ilyen eszközök a biztonsági relék, zárak, fényfüggönyök, kapcsolók, illetve minden olyan elem, amely valamilyen biztonsági funkciót hajt végre. [] Az IEC TR a következő példával tisztázza a funkcionális biztonság jelentését: For example, an over-temperature protection device, using a thermal sensor in the windings of an electric motor to de-energize the motor before they can overheat, is an instance of functional safety. But providing specialized insulation to withstand high temperatures is not an instance of functional safety (although it is still an instance of safety and could protect against exactly the same hazard). A funkcionális biztonság eléréséhez kétféle típusú követelmény szükséges: Biztonsági funkció Biztonsági integritás A szabvány felépítése A szabvány 7 részből áll, melyből az első három (Part 1-3) a követelményeket tartalmazza (normatív), az utolsó négy (Part 4-7) pedig információkat, valamint útmutatókat és példákat a tervezéshez. A bevezető ( 0. rész ) egy általános leírást ad a szabványról. Annak ellenére, hogy nagy terjedelmű a szabvány, logikusan és átgondoltan felépített. Az IEC és IEC szabványok használata több országban nem kötelező, de két fél (cégek) között létrejöhet olyan szerződés, ahol a használatát kötelezővé teszik. Használatuk lehet, hogy nem kötelező, de alkalmazásuk jó mérnöki gyakorlatnak számít ("Good engineering practice") és a bíróságon perdöntő lehet. 22

23 Part Leírás IEC Általános követelmények (General requirements) IEC Hardveres követelmények (Hardware requirements for E/E/PES) IEC Szoftverekkel szemben támasztott követelmények (Software requirements for E/E/PES) IEC Definíciók és rövidítések (Definitions and abbreviations) IEC Módszertani példák SIL meghatározására (Examples of methods for SIL) IEC Irányelvek Part 2 és 3 alkalmazásához (Guidelines on the application of Part 2 and 3) IEC Technikák és mérések áttekintése (Overview of techniques and measures) 2. táblázat: IEC 61508:2010 frissített szabvány tartalma A szabvány tipikus alkalmazási területei programozható elektronikus rendszereken kívül: Vészleállító rendszerek (ESD), tűz és gáz rendszerek (F&G), égő vezérlők (BMG), nagy integritású túlnyomásvédett rendszerek (HIPPS), stb. A szabvány bevezeti az életciklus modellt (lásd: 7. ábra), amely szerintem nem csak nagyban megkönnyíti az egész folyamat véghezvitelét. Figyelembe veszi a külső biztonsági technológiákat, de az emberi tényezőkkel nem foglalkozik. Specifikálja az összes olyan információt, amely az E/E/PES kivitelezéséhez, verifikálásához és funkcionális biztonságának értékeléséhez szükséges. 23

24 7. ábra: Biztonsági életciklus összhangban az IEC szabvánnyal A szabvány alkalmazása A szabvány kiemeli, és nagy hangsúlyt fektet a dokumentálásra, annak frissességére, részletességére és strukturáltságára. Szerintem épp ez a legfontosabb erősség. A cél ezzel az, hogy minden egyes életciklusról (vagy lépésről) elegendő és pontos információ álljon rendelkezésre mindenki számára, akik kapcsolatba kerülnek az adott berendezéssel vagy rendszerrel. Továbbá meghatározza, hogy az egyes lépéseknél milyen kiindulási adatokra van szükség és mi lesz a végeredmény. Ha megvan a terv és ismert a hatókör, akkor megkezdhető a veszélyhelyzetek feltárása, az előzetes veszély és kockázat elemzés. A következő lépésben a veszélyhelyzetekhez kapcsolódó általános biztonsági követelményeket határozzák meg, majd hozzárendelik a biztonsági követelményeket az adott műszaki részrendszerhez vagy folyamathoz. Az analízis fázisban LOPA (Layer of Protection Analysis) használatával a túlméretezése és az alul méretezése a biztonsági funkcióknak egyaránt elkerülhető. HAZOP (Hazard and Operability Study) 24

25 szisztematikus és általános, szinte minden esetben alkalmazható. Ellentétben a FMEA-val (Failure Mode and Effect Analysis) nem a komponenseket vizsgálja, hanem a céltól való lehetséges eltéréseket és ezeknek a nem kívánt eltéréseknek a következményeit. Az elemzés a teljes projektet, illetve a termék teljes életciklusát kell, hogy érintse. A veszélyforrások és a várható súlyosságuk felméréséhez ismerni kellhet az ágazati szabványokat és a már esetlegesen felszerelt biztonsági berendezéseket. Ezután jön az átfogó tervezési tevékenység. Ezek a tevékenységek az olyan tennivalókkal kapcsolatos elvárások megfelelését biztosító tevékenységeket takarnak, mint a rendszerátadás, üzembe helyezés, karbantartás, validálás, stb. és egyaránt tartalmazza a biztonságkritikus rendszer tervezésével kapcsolatos feladatokat. A szabvány a külső kockázatcsökkentő biztonsági eszközöket is kezeli. Elvárt, hogy a résztvevők rendelkezzenek megfelelő mérnöki és technikai tudással, gyakorlattal és minősítéssel a SIS minden életciklusában. A következő lépések a rendszer építését követő, azaz a rendszer telepítéséhez, üzembe helyezéséhez, validálásához, karbantartásához kötődő előírásokat rögzítik. Az összes hibamódot tesztelni és minden hibát detektálni egy kész rendszert érintő validálás során nem lehetséges ALARP alapelv Már a tervezés legelején figyelembe kell venni a biztonságot. Minden egyes feltárt veszélyhelyzetre meg kell adni milyen kockázatcsökkentést várunk el. A nem tolerálható kockázatot mindenképp csökkenteni kell. Itt jön képbe az elfogadható kockázat koncepciója: A műszaki rendszer elkészítésénél a tervező és kivitelező köteles a kockázatot a lehető legkisebb ésszerűen megvalósítható (As Low As Reasonable Possible - ALARP) szintre csökkenteni. Az IEC előírja a kockázatcsökkentés módszertanát. A szükséges kockázatcsökkentést mennyiségi, illetve minőségi módszerekkel kell meghatározni. 25

26 Frekvencia 8. ábra: Technológiai kockázat és kockázatcsökkentés (-> ALARP) Rizikó mátrix Ahogy már említettem, az IEC és az IEC szabványok is 4 különböző biztonsági integritási szintet definiálnak. Ez a mértéke annak a valószínűségnek, hogy a SIF (Safety Instrumented Function) működik sikeresen, amikor szükség van rá. A szükséges SIL meghatározásához ismerni kell a kockázatokat (-> kockázatelemzés). A kockázati mátrix egy kvantitatív kockázatértékelési eszköz. IEC Rizikó mátrix Súlyosság Elhanyagolható Közepes Kritikus Végzetes Kisebb sérülések Nem életveszélyes sérülések Sok sérült, egy ember halála Több ember halála Gyakori >10-3 II I I I Valószínű III II I I Alkalmi III III II I Kicsi IV III III II Valószínűtlen IV IV III III Lehetetlen <10-7 IV IV IV IV 3. táblázat: Kockázati mátrix az IEC szabványt felhasználva. A kockázati mátrix értelmezése, a rizikó osztályok: 26

27 Class I: Elfogadhatatlan Bármilyen körülmény között szükség van kockázatcsökkentésre. Class II: Nem kívánatos Csak olyan, extrém esetekben megengedhető, ha a kockázatcsökkentés kivitelezhetetlen, vagy a kockázatcsökkentésre fordítandó költségek nagymértékben aránytalanok az elérhető eredményhez képest. Class III: Tolerálható Elfogadható, ha a kockázatcsökkentésre fordítandó költségek és az elérhető eredmény nem állnak arányban Class IV: Elfogadható Társadalmilag elfogadott kockázati szint, de folyamatos ellenőrzés szükséges ebben az esetben is. Megjegyzés: Az IEC szabványban a rizikómátrix hasonlóan néz ki, a rizikó osztályok száma viszont három, mert a Class II és Class III osztályokat összevonja Safety Integrity Level Az IEC szabvány megkülönböztet alacsony működtetés igényű és magas működtetés igényű üzemmódokat: Alacsony működtetési igényű mód (Low demand mode): Akkor beszélünk alacsony működtetési igényről, amikor az adott biztonsági funkció működtetésének gyakorisága nem nagyobb 1 alkalom/évnél, vagy a prooftesztek kétszeresénél. Magas működtetési igényű mód (High demand or continous mode): Folytonos igényről akkor beszélünk, amikor az adott funkció működtetése gyakoribb 1 alkalom/évnél vagy a proof-tesztek kétszeresénél. Safety Integrity Level Safety Ability [%] PFDavg RRF SIL 4 >99.99% < >10,000 SIL %-99.99% ,000-10,000 SIL %-99.9% ,000 SIL %-99.0% táblázat: PFD és RRF értékek különböző SIL-re az IEC EN szabvány szerint meghatározva (Low demand mode SIL) RRF = 1 PFD 27

28 Safety Integrity Level PFH RRF SIL 4 <10-8 >100,000,000 SIL ,000,000-10,000,000 SIL ,000,000-1,000,000 SIL ,000, , táblázat: PFH és RRF értékek folyamatos működésre (High demand mode or Continous mode SIL) Magasabb SIL érték komolyabb biztonsági követelményeket jelent és az értéke a teljes biztonsági körre érvényes. A SIL 1 jelenti a legalacsonyabb követelményt, a SIL 4 a legmagasabbat. A SIL értékekhez tartoznak technikai jellegű és nem technikai követelmények és már a termék vagy az adott folyamat tervezési fázisában rögzíteni kell a rendszeres hibák előfordulási gyakoriságának megengedhető értéke alapján. A táblázatban előírt értékek célértékek. SIL 4 csak speciális, komoly feltételekkel teljesíthető: A biztonsági integritás meghibásodási arányát megfelelő analitikai módszerekkel bizonyítani kell, valamint a felhasznált komponensekre kiterjedt működési tapasztalattal és ismert hardveres meghibásodási aránnyal kell rendelkezni hasonló alkalmazásban és környezetben. 28

29 9. ábra: Megelőzési és kárcsökkentési rétegek kapcsolódása egymáshoz [4] Biztonsági műszeres rendszerek (SIS) által nyújtott biztonsági funkciók teljesítményét SIL-el mérjük tehát. Folyamatos üzem sokkal nagyobb üzemi megbízhatóságot követel meg a felhasznált komponenseknél. A x. táblázatból látható, hogy egy SIL 4 biztonságintegritási szintet teljesítő rendszer ~11 ezer évi hibamentes működést feltételez, DE másként kell értelmezni a táblázatban feltüntetett értékeket: Feltételezzünk egy folyamatbiztonsági elemet, melynek tervezett élettartama 15 év. Ez idő alatt tehát 1-nek lehet hibája 750 darabonkánt. A vegyi gyárakban, olaj- és energiaiparokban a nem kívánt esemény következménye súlyosságának függvényében a kritikus rendszerekkel szemben általában SIL 3 vagy SIL 4 követelményeket támasztanak. A SIL érték növelése a biztonsági rendszer célirányos (át)tervezésével, a kritikus komponensek megbízhatóságának növelésével, illetve redundáns érzékelő, szabályozó és beavatkozó elemek alkalmazásával érhető el. 29

30 10. ábra: A hiba valószínűségének (PFD) meghatározása egy rendszerre. [4] ΣPFD = PFD Sensor + PFD Logic + PFD Actuator Az IEC szabvány kimondja, hogy az irányított berendezés (EUC) irányító rendszerének és a védelmi rendszernek fizikailag is függetlennek kell lennie egymástól. Míg az előbbi rendszer aktív, addig a védelmi rendszer passzív rendszer. Ezt azért fontos kiemelni, mert az alapfolyamat irányításában egy hibajelenség rendszerint azonnal észrevehető a személyzet által, addig a biztonsági rendszer jobb esetben évekig nem avatkozik be a folyamatba (ezért passzív). Ezért nem elegendő a precíz tervezés, a megfelelő védelmi rendszer kiválasztása, hanem szükség van ún. proof, azaz intenzív tesztre az éles beüzemelés előtt, és rendszeres karbantartásra. A proof-teszt olyan periodikusan végrehajtott stressz-teszt a biztonságosra műszerezett rendszerben, amely során nemcsak a megbízhatóságról lehet megbizonyosodni, hanem akár új, eddig még fel nem fedezett hibák detektálására is lehetőség van. 30

31 11. ábra: A PFD-értékek megoszlása egy biztonsági szabályozási körben (forrás: phoenixcontact.com) 31

32 6. Működésbéli biztonság: IEC Az IEC61511-es szabvány a folytonos technológiákra lett kidolgozva és a funkcionális biztonságú berendezések létesítésére és működtetésére vonatkozó követelményeket tartalmazza. A szabvány megköveteli, hogy a kivitelező kövesse végig az ipari biztonsági rendszerek életciklusát (12. ábra). Minden fázisban szükséges a verifikáció. Nem tévesztendő össze a validációval, amelyre a rendszer telepítése után van szükség, a biztonsági követelmények kielégítettségének meghatározásához A szabvány felépítése Az IEC irányelv 3 szakaszra osztja a biztonsági életciklust: Elemzési fázis Megvalósítási fázis Üzemeltetési fázis Minden fázist, minden lépést részletesen dokumentálni kell. Part IEC IEC IEC Leírás Felépítés, definíciók, rendszerek, hardveres és szoftveres követelmények (Frameworks, definitions, systems, hardware and software requiements) Útmutató az első rész alkalmazásához (Guidelines in the application of Part 1) Útmutató veszély és rizikó analízishez/szükséges SIL szint meghatározásához (Guidelines in the application of hazard and risk analysis) 6. táblázat: IEC logikai felépítése 32

33 6.2. Életciklus modell 12. ábra: IEC biztonsági életciklus egyszerűsített nézete (simplified view of the Safety Lifecycle) Elemzési fázis Kulcskérdés: Mekkora biztonságra van szükségem? (How much safety do I need?) Az elemzési fázisban három nagyon fontos lépés van a tervezés megkezdése előtt. 13. ábra: A három legfontosabb tervezés előtti lépés kapcsolata 33

34 Az 13. ábrán látható 3 interakció az életciklusban az elemzési szakasz. Ezalapján készül el biztonsági követelmények meghatározása (SRS = Safety Requirements Specification). A lehetséges veszélyek megismeréséhez és a rizikó megítéléséhez egy, a leggyakrabban alkalmazott analízis metódus a HAZOP. Az analízis eredménye szempontjából lényeges elem a biztonsági követelmények meghatározása (SRS) a biztonságtechnikai rendszer számára. Az SRS leír minden biztonsági funkciót (SIF), különösen a felállított követelmények tekintetében és megadja a szükséges SIL értéket. 14. ábra: Biztonsági igények meghatározása és a hozzá szükséges bemeneti adatok Megvalósítási fázis: Kulcskérdés: Mennyire terveztem biztonságosnak a rendszert? (How much safety in my design?) Az SRS az alapja a további tervezésnek. A biztonsági életciklus megvalósítási fázisa magában foglalja a SIS, illetve más védelmi réteg megtervezését, szerelést, telepítését, üzembehelyezését és validálását. A rendszer megbízhatóságának számszerűsítését különböző valószínűségszámításon alapuló modell segítségével végezhető el. Ilyen a Markov modell, a hibafa analízis (FTA) vagy a megbízhatóság háló. Ez a mérvadó az SIS megválasztásának, úgy, mint a hardveres és szoftveres 34

35 megvalósítása a biztonsági funkcióknak. A következő tevékenységek végrehajtása tipikusan az SRS során dokumentált információk alapján történik: 6. Technológia és architektúra kiválasztása 7. Tesztelési filozófia meghatározása 8. Megbízhatósági/Biztonsági értékelés 9. Részletes tervezés 10. Telepítés és üzembe helyezés megtervezése 11. Telepítés és üzembe helyezés, indulás előtti vizsgálatok, tesztek 12. Validálási előkészületek 13. Maga a validálás Az SRS tesztelése során szerzett eredmények szolgálják az adatokat a dokumentáláshoz, amelyekre a rendszer átvételekor lesz szükség Működtetési fázis: Kulcskérdés: Hogyan tarthatom biztonságosan? (How will I keep it safe?) A működtetési fázis magában foglalja a SIS optimális üzemeltetését, karbantartását, hibaelhárítását, módosítását és leszerelését. Az időszakos funkcionális tesztek ugyanúgy a működtetés része. [6] 35

36 7. Siemens S7 failsafe PLC-k és szoftverek bemutatása A több mint 150 éves Siemens az ipari automatizálás egyik legmeghatározóbb szereplője, csakugyan a folyamatipari biztonságban is jelentős piaci részesedéssel rendelkezik. A Simatic S7 PLC családban több, a standard vezérlőkön felül az ipar igényeinek megfelelő termékcsaládok is megtalálhatók. Ezek az alábbiak: F -es (Failsafe) CPU-k és bővítőmodulok: Emelt biztonsági követelményű környezetben használatos, hibatűrő rendszerek; az írásom tárgya, így erre nemsokára részletesen kitérek. Elérhető az S7-300, S7-400 és S családban. H -s (Highly available) rendszerek: Az ilyen rendszerek célja a magasabb rendelkezésre állás, a termelékenység növelése (redundáns rendszerek létrehozása), olyan esetben, amikor egy rendszerleállás/állás nem lehetséges (pl. túl költséges lenne). Elérhető S7-400 családban. T -s (Technology) kontrollerek: A normál CPU-k kibővített verziói célorientált alkalmazásokhoz. Elérhető az S7-300 és S családban. C (Compact) egységek: Kompaktabb, jellemzően célgépek irányítására használatos PLC-k, tartalmaznak integrált számláló és jelfogó funkciókat is, de bővíthetőségük meglehetősen korlátozott. Elérhető az S7-300 és S családban. Az "F"-es és FH -s rendszereket figyelemfelkeltő, sárga színnel különböztetik meg a hagyományos elemektől. Ezek speciális, az emelt biztonsági követelményeknek megfelelő programnyelvekkel használhatók, de jellemzően normál programok futtatására is alkalmasak. Az iparban továbbra is igen kedveltek a Siemens S7-400FH és S7-300F sorozatú vezérlők. A Simatic PLC-k önmagukban SIL 3 képesek, SIL 4 előírásrendszere nem teljesíthető, csak többszörös redundáns rendszerekkel és speciálisan elkészített programmal. Ilyen esetben külső független szakértőt kell bevonni. Fontos tényező, hogy az F -es PLC-k rövidebb ciklusidővel (process time) és/vagy megnövelt memóriával rendelkeznek normál társaikhoz képest, de jelentősen drágábbak is. 36

37 7.1. Felépítés Az S7-300F moduláris vezérlők robosztus és kompakt kialakításúak, általában kisebb vagy közepes folyamatipari biztonsági feladatokra alkalmazzák (pl.: burner control). Elsődleges felhasználása azonban az ipari automatizálásban van (safetyrelated controls in the factory automation). Csak egycsatornás és egy CPU-s változatban szállítja a Siemens, redundáns CPU-s változat ebben a termékcsaládban nincs. A 300-as szériában 3 darab, csak Profibus DP-s (DO) vagy Profibus DP + Profinet-es (DP/PN) kivitelek egyaránt rendelkezésre állnak. A felhasználhatóságot szerintem nem is a számítási kapacitás, sokkal inkább a belső memória mérete korlátozza. Az S7-315F CPU rendelkezik a legkisebb memóriával, ami csak kisebb folyamatipari feladatok megvalósítására alkalmas. Az S7-317F már több memóriával rendelkezik, míg a legnagyobb számítási teljesítménnyel és memóriával rendelkező változat, az S7-319F már komoly feladatokra is alkalmas. Teljesítmény Integrált memória Utasítás memória CPU 315F 317F 319F 414F-3 416F-2 416F / 512 KB 1 / 1,5 MB 2,5 MB 4 MB 5,6 MB 16 MB KB 920 KB 2680 KB Program memória MB 2,8 MB 8 MB Adat memória Bit memória I/O címzés hossz Bit/szó feldolgozási idő Lebegőpontos művelet feldolgozási idő Standards: MB 2,8 MB 8 MB 2 KB 4 KB 8 KB 8 KB 16 KB 16 KB n/a n/a n/a 8 KB 16 KB 16 KB 50 ns 25 ns 4 ns 150 ns 75 ns 12 ns µs µs 0.03 µs 0.03 µs 0.09 µs 0.09 µs EN up to Cat. 4, IEC up to SIL 3, and EN ISO up to PL e 7. táblázat: Siemens failsafe CPU-k teljesítményösszehasonlítása Az S7-400-as CPU-k már magasabb teljesítménykategóriába tartoznak. Egycsatornás (egy CPU) és hibatűrő multiprocesszoros megoldás egyaránt elérhető 37

38 ebben a családban. Jelentősen nagyobb memóriamennyiséggel (RAM) rendelkeznek (lásd: 7. táblázat). Mindegyik széria rendelkezik memóriakártya foglalattal (MMC slot). Az F -es PLC-ken normál program is futtatható, sőt, folyamat BPCS és biztonsági funkciókat egyaránt képes ellátni párhuzamosan 1 CPU-n, szigorú feltételekkel. Elosztott I/O konfiguráció is lehetséges normál és biztonsági I/O modulokkal. Az ilyen fizikai megvalósításoknál a normál és az F -es, fokozott követelményeknek megfelelő I/O kártyákat egy leválasztó kártyával el kell szeparálni (lásd: x. ábra). Ez azt a célt szolgálja, hogy egy hiba esetén az F-es modulok védve legyenek, egy közös okú hiba ne okozzon gondot (CCF) pl. egy túlfeszültség. SIL 2 lehetséges leválasztó modul nélkül is, de bizonyos feladatoknál és SIL 3-hoz mindenképp kötelező alkalmazni. Ugyanígy: A BPCS programokat és a biztonsággal-kapcsolatos programokat SZIGORÚAN el kell különíteni, a kettejük közötti adatcserét speciális konverziós funkció blokkok alkalmazásával lehetséges megoldani (F-Call eljárással). A biztonsági funkciókat a CPU kétszer hajtja végre. A potenciális hibákat a rendszer az eredmények állandó összevetésével detektálja (kétcsatornás redundáns struktúra). Mindezt úgy, hogy a működés közel valós idejű. [] 15. ábra: Példa egy ET 200 konfigurációra izolációs modullal Az ET 200M/SM 300 moduláris I/O állomás hagyományos és hibatűrő alkalmazásokhoz egyaránt felhasználható, fokozott követelményeknek megfelel. Az 38

39 Interace modullal Profibus és Profinet, opcionálisan száloptikás Profibus és HART is elérhető. Ehhez vagy az S7-300-as PLC-hez 12 modul csatlakoztatható (64 DI vagy DO), de alkalmazható robbanásveszélyes (ATEX Ex-zone 2 tanúsítvány) környezetben is és a modulok működés közben is cserélhetők (hot-swappable). Az ET 200pro moduláris és többfunkciós I/O modul nagy teljesítménnyel és immár IP65/67-es védettséggel és ugyancsak Profibus/Profinet csatlakozással rendelkezik. A hibamentes működéshez szükséges funkciók a modulban integrálva vannak. Mindkét I/O SIL 3 szintig hitelesítettek. A bemeneteknél program futása alatt meg kell győződni arról, hogy a "0" logikai szintre a bemenetek működőképesek-e, azaz a szakadásra végre tudja-e hajtani a lekapcsolást; valamint a kimeneteknél a biztonsági program futása meg kell vizsgálni például visszacsatolással, hogy a "0" logikai átmenetre a végrehajtó elemek működőképesek-e Redundancia megjelenése a PLC-knél A biztonsági PLC-k két csoportra bonthatók, aszerint, hogy egy hiba felismerésekor miként viselkednek: Hibatűrő vagy gyakran működésbiztos (Fault-tolerant) PLC-k Hibabiztos (Fail-safe) PLC-k Hibatűrés további növelése tehát betervezett redundanciával, azaz tartalékolással is lehetséges. Egyaránt létezik szoftveres és hardveres redundancia. Előbbi kevésbé elterjedt, mert jelentős pluszmunkával jár, hiszen a specifikáció azonos, de az algoritmusok, adatstruktúrák eltérőek, a programok más nyelveken, más fejlesztő környezetekben kerülnek megírásra. Kettőféle redundanciát lehet meghatározni, mindegyik más-más előnnyel és hátránnyal rendelkezik. Hideg vagy passzív redundancia Meleg, vagy aktív redundancia A hideg redundancia csak hiba bekövetkezésénél kerül aktiválásra. Előnye, hogy terheletlen a redundáns elem, így meghibásodásának valószínűsége alacsonyabb a terheltnél. Hátránya, hogy időbe telik, míg átveszi az elsődleges elem helyét (pl. a vezérlést). A meleg redundancia ugyanúgy működik, mint az elsődleges elem 39

40 ( árnyék ), ezért nagyon gyorsan átveheti az elsődleges helyét. Azonban a meghibásodási tényező ekkor azonos lesz. Hardveres redundancia alkalmazása sokszor a gyakorlatban korlátozásokba ütközik (méret, ár, stb.), ennek ellenére a SIL mérőszám növelése a redundáns mérő, szabályozó és beavatkozó elemek alkalmazásával is elérhető. Ezért használnak sokszor SIL 1 vagy SIL 2 igény esetén normál (nem F-es ) PLC-ket, mert a teljes rendszer tartalmazhat olyan redundáns elemeket, amelyek a PLC-re eső "elvárást" csökkentik. Ez azért lehetséges, mert a SIL előírás mindig az egész rendszerre vonatkozik, azt a teljes rendszernek kell teljesítenie. Természetesen a programozást kötött szabályok alapján kell végezni (pl. SCL előnyben részesítése). 16. ábra: Redundancia megvalósítása Siemens FH PLC-kkel [11] Redundancia minden olyan esetben alkalmazott, amikor egy leállás egyáltalán nem engedhető meg, és vannak típusok, amelyek kimondottan ilyen céllal fejlesztettek (lásd: H -s PLC-k a Siemenstől). A PLC belső redundanciája ugyancsak a biztonságot növeli. Egy biztonsági PLC szignifikánsan több időt tölt belső diagnosztikával egy normál PLC-hez képest. Egy 40

41 belső kiegészítő redundancia és a diagnosztika (x. ábra) gondoskodik arról, hogy a PLC elérje a kívánt biztonsági tanúsítványt. 17. ábra: Egy példa biztonsági PLC blokkdiagrammja A fenti képen látható 1oo2 architektúrájú építkezés igen elterjedt. Ez a kétcsatornád redundáns struktúra. Bár a felépítés eltérhet kis mértékben, a biztonsági tanúsítvány megszerzését hasonló elvek alkalmazásával érik el a gyártók. A Watchdog áramkör hajtja végre a belső diagnosztikát. A két mikroprocesszor szinkronban működik, de a biztonsági funkciót vagy az egyik, vagy a másik végzi el, a kibővített diagnosztika gondoskodik erről. Nem engedhető meg nem a teljes programlefutás és az ilyen PLC-knél követelmény a két, egymástól független időalap (melynek kiesése katasztrofális lehet), a feszültségfelügyelet és a kiegészítő zavarvédettség Példarendszer bemutatása Az egyetemen található biztonsági elemekből az alábbi felépítést állítottam össze, ezen fogom a példákat bemutatni: Táp: PS307 24V/5A 41

42 CPU: 315F-2 PN/DP Digital Output: SM 326F DO8x Digital Input: SM 326F DI24x 18. ábra: Összeállított, konfiguráltalan PLC rendszer A CPU fejegységen látható állapotjelző LED-ek jelentése: SF: (System Fault) Hardver, szoftver vagy konfigurációs hiba DC5V: 5V tápfeszültség OK FRCE: (Force) Kikényszerített állapot aktív RUN: Run üzemmód STOP: Stop üzemmód Az üzemmód választó kapcsoló állásai: STOP állás: Ez az középső, alapállás. Ebben az esetben a PLC program nem fut. Lefelé a MRES állás van, amely bistabil, felengedés után egy rugó visszahúzza a STOP állásba. MRES a memória törlésére alkalmas. Például egy behelyezett MMC memóriakártya tartalmának törlése a következőképpen történik: Húzzuk le az üzemmód választó kapcsolót MRES állásba kb. 9 másodpercig, míg a STOP LED folyamatosan nem világít. Ekkor engedjük fel, majd húzzuk ismét a MRES állásba. A STOP LED a törlési folyamat alatt gyorsan villog. Jelszóval védett program esetén a művelet nem hajtható végre. A RUN állásban futtatható a program. A PLC programozása RUN és STOP állásban egyaránt lehetséges. 42

43 Az MMC memóriakártyával a memória max. 8MiB méretig bővíthető, erre történhet az adatlogolás is. Fontos, hogy egy F -esített memóriakártya csak F-es PLC-kben lesz használható és jelszóval védett. Az általam használt jelszó: simatic. Ez a jelszó szükséges a program módosításához is. 19. ábra: Jelszó beállítás A PLC-k a huzalozott logikához képest egy új hibaforrással rendelkezik: ez a szoftverhiba. Szoftver hiba is többféle lehet, több okból adódhat: Például lehet hibás a megírt PLC program, ez a leggyakoribb, de lehet a fejlesztőkörnyezet fordítója (azaz a compiler) vagy a PLC operációs rendszere hibás ( bugos ), azonban az utóbbi rendkívül ritka, mert mindkettőnek alapos teszteken kell átmennie. A megírt PLC programnak is minőségileg nagy értékűnek kell lennie, ami azt jelenti, hogy az előírt kritériumoknak megfelelően kell megírni, a korrektsége könnyen vizsgálható, tesztelhetősége és karbantartása egyszerű, a program logikus és jól áttekinthető legyen. A részletes dokumentálás itt is prioritást élvez. Ugyancsak a nagyobb megbízhatóság miatt az utasításkészlet le van csökkentve, ezért a programozás munkatöbblettel és nagyobb körültekintéssel jár. A Siemens biztonsági rendszereit egy Step7-hez külön megvásárolható /kiegészítő/ fejlesztőkörnyezettel lehet programozni. Ez a Distributed Safety, az F- Systems, illetve a Simatic Safety Matrix. Mind biztonság-orientált fejlesztőkörnyezet, F -es PLC-k programozásához használható, de előbbi a normál Step7-et a TÜV által ellenőrzött és jóváhagyott F -es funkció blokkokkal bővíti ki, a programozási nyelv pedig F-LAD és F-FBD. A Safety Matrix-nál okokozat metódus alapján történik a programozás. Mindegyik fejlesztőkörnyezet SIL 3-ig hitelesített és megfelelnek az IEC biztonsági életciklus összes 43

44 követelményeinek, a tervezéstől kezdődően a programozáson át a karbantartásokig. A Safety Matrix összetettebb folyamatipari projekteknél szívesebben alkalmazott szoftver és kevésbé memóriaigényes Distributed Safety A Distributed Safety programcsomag tehát egy biztonság-orientált kiegészítő szoftver, amelyet a Step7 alapból nem tartalmaz, hanem külön megvásárlandó. A szoftver telepítésével kapunk lehetőséget F -es PLC-k programozására. A biztonsági program meghívása a normál felhasználói programból az F-Call eljárással lehetséges Konfigurálás A kezdeti lépések ugyan azok, mint már megszoktuk a Step7-ben: Először egy új projektet hozunk létre, majd a Hardware Config-ban felkonfiguráljuk a PLC rendszert: 20. ábra: Az előző fejezetben bemutatott PLC rendszer a HW Config-ban A megfelelő hardverelemek kiválasztása után az I/O modulokat, a kommunikációt és a CPU-t egyaránt konfigurálni kell. Ez az adott elem nevére duplán kattintva lehetséges. Először az MPI vagy Ethernet interfészt kell beállítani, hogy a 44

45 kommunikálni lehessen a számítógép és a PLC között. A DI/DO modulokra kattintva lehet a működési módot ( Normal mode vagy Safety mode ), illetve az F és a modulparamétereket beállítani. Alapbeállításként a normál működési mód aktív, ezt át kell állítani. 21. ábra: DI modul beállítása biztonsági alkalmazásokhoz Az F-CPU beállításainál a legfontosabb a védelem beállítása: A Distributed Safety könyvtár csak akkor lesz látható, hogyha a HW Config-on belül a CPU tulajdonságainál a CPU contains safety program mező ki van pipálva (elérése: Dupla kattintás a CPU-ra a HW Config-on belül, Protection fül, lásd: x. ábra). Ugyancsak itt, az Interrputs fülön állítható be az OB35 (ami egy időzítő OB fix prioritással, ami beállítható időközönként kerül meghívásra és az alacsonyabb prioritású OB-ket megszakítja) időzítése, az F paraméterek, jelszavak, stb. Fontos, hogy az F-monitoring időnek nagyobbnak kell lennie, mint az OB35 hívás idejenek. Az elkészült HW Config elmenthető és letölthető ( gombbal) a PLC-re. Ha a beállítások helyesek, a Simatic Manager-en belül, a mappán belül megjelennek sárga háttérrel a biztonsági rendszerblokkok (mint az FB1638, FB1639, stb.) Programozás A programozás megkönnyítése érdekében, a Distributed Safety könyvtár TÜV által jóváhagyott alkalmazásspecifikus blokkokat (például vész-ki, kétkezes alkalmazások, némítás, kapu monitoring) is tartalmaz az F-rendszerblokkokon felül. A felhasználó is létrehozhat saját blokkokat és a készítés során a fejlesztőkörnyezet automatikusan ellenőrzi azokat biztonsági szempontból, segíti a hibafelismerést és kezelést. Emellett természetesen lehet használni más, normál funkcióblokkokat is. A vezérlő blokkok biztosítják a hardver és a szoftver hibájának detektálását és a 45

46 rendszer biztonságos állapotban tartását. A felhasználó a fail-safe FB-ken vagy FCken belül a biztonsági programot F-LAD vagy F-FBD nyelveken írhatja meg. A baloldalon lévő lenyitható menüben (x. ábra) Distributed Safety könyvtár tartalmazza az F-alkalmazás blokkokat, amelyeket be lehet építeni a programba. 22. ábra: Distributed Safety blokk könyvtárak Véleményem szerint a könyvtár, illetve az elérhető funkciók kimondottan a gépipari felhasználást célozza. A rendelkezésre álló funkció blokkok közül a leggyakoribbakat mutatom be következő lépésnek. Ezek a folyamatipar és a gépipar területén egyaránt nélkülözhetetlenek. Először egy új FB-t kell beszúrni a Blocks ( ) mappába (jobb kattintás a mappára, Insert -> S7 Block -> Function Block). Egy Properties Function Block ablaknak kell felugrani, amiben az F-FB nevét (például FB1), szimbolikus nevét és a programozási nyelet kell megadni. Jelen esetben F-FBD nyelvet kell használni. Más beállításra nem lesz szükség. Az OK gombra kattintva lehet az FB-t létrehozni. Ezután duplán rákattintva szerkeszthető a program és a Distributed Safety könyvtárból lehet behúzni az F-blokkokat. FB215: E-STOP_cat.1 (vészstop): 23. ábra: E_STOP funkcióblokk Ez az alkalmazásblokk egyike a legalapvetőbbeknek, ez implementálja a vészstop funkciót nyugtázással. Kiegészítő intézkedés az emberek és az üzem védelmére. 46

47 Ebben a példában a működtetett vészleállító gomb hatására a DO egy kimenetét letiltja (a többi marad ugyanabban az állapotban), így leállítva a veszélyes rész, gépegység vagy gép működését. A gép ismételt működtetéséhez a vészstop gombot manuálisan vissza kell állítani az alapállapotába és nyugtázójel szükséges. A blokk önmagában is alkalmazható, ha a hívás (F-Call), illetve az időzítések megfelelőek. Ezt a későbbiekben, egy teljes példaprogramnál fogom részletezni. 1. E_STOP az Emergency STOP bemenet, használata kötelező. Ha nincs késleltetés beállítva, a beérkező felfutó élre a Q kimenet azonnal logikai 1 értéket vesz fel. 2. Az ACK_NEC (Acknowledgment necessary = nyugtázás szükséges) alapértelmezett értéke 1, nem kötelező felhasználni és ebben az esetben az ACK bemenetet szükséges használni, felfutó élre történik meg a nyugtázás. ACK_NEC=0 estén a működés automatikus. 3. Az ACK (Acknowledgment = nyugtázás) bemenet alapértelmezetten 0 értékű. 4. TIME_DEL (Time delay = késleltetés) egy TIME típusú változó, alapértelmezetten T#0ms, vagyis nincs késleltetés. 5. Q az E_Stop kimenet, alapértelmezett értéke 0. Az E_STOP bemenetre érkező felfutó él hatására azonnal logikai 1-re vált. 6. Q_DELAY alapértelmezett értéke szintén 0. TIME_DEL input felhasználása esetén a beállított idő leteltével logikai 1-ről 0-ra vált. 7. ACK_REQ értéke logikai 1-et vesz fel az E_STOP bemenetre érkező felfutó élre és visszaáll logikai 0-ra a nyugtázás beékezése után. 8. DIAG egy BYTE típusú diagnosztikai kimenet. Az EN/ENO bemenet és kimenet nem használható. Amennyiben az egyik változó háttere piros színnel jelenik meg, mint itt:, az azt jelenti, hogy az adott jel/bemenet normál és nem biztonsági. Ha jó biztonsági inputot adtunk meg és mégis piros a háttér, a HW Config-on belül felül kell vizsgálni a DI kártya konfigurációját. 47

48 Biztonsági kapu megfigyelés vészleállítással Ez a példaprogram kapumegfigyelésre alkalmas. Amennyiben a biztonsági kaput kinyitják, az a folyamat megállítását fogja eredményezni, hasonlóan egy vészstop funkcióhoz. Létre kell hozni egy új funkcióblokkot (jobb kattintás a Blocks mappára, Insert -> S7 Block -> Function Block). Egy Properties Function Block ablaknak kell felugrani, amiben az F-FB nevét (például FB10) és a programozási nyelvet (jelen esetben is F-FBD). Ezután beszúrható az első blokk: 24. ábra: F-SFDOOR funkcióblokk Ez a blokk hajtja végre magát a biztonsági kapu ellenőrzését a két (IN1 és IN2) inputjel alapján. Az EN/ENO kapcsok itt sem használatosak. A Q kimeneti jel logikai 0 értéket vesz fel, amennyiben valamely input jel (IN1 vagy IN2) logikai 0-ra áll. Ezekre a bemenetekre kell kötni a pozícióérzékelőt. Ha IN1 és IN2 egyaránt logikai 1, vagyis zárt a kapu, vagy logikai 0, azaz teljesen nyitott, akkor a Q kimenet értéke 1 lesz. 48

49 Ha az ACK bemenetre felfutó él érkezik, akkor Q szintén 1 lesz. QBAD_IN1 és QBAD_IN2 bemeneteknek azonosaknak kell lenniük. Egy QBAD_I_xx változó egy csatornához vagy egy F-IO-hoz tartozik. A QBAD szignál az F-I/O DB-jéből származik (DB819.DBX2.1). Az OPEN_NEC (Opening neccessary at startup) és az ACK_NEC (Acknowledgment neccessary) szintén egy adatblokkból szedi az értékbitet (DB818. DBX36.4) Következő lépésnek a leállítást kell megvalósítani. Ehhez előbb egy új Network beszúrása szükséges. Itt bit logika használatára van szükség, nem az F blokkokra. b1 és b2 a kiegészítő memória bitek. 25. ábra: Vészleállítási funkció megvalósítása Itt I6.0 a nyugtázás, I6.1 pedig a leállítás. I5.0 a vészstop bemenet. Az #Eng_kapu a F-SFDOOR kimeneti jele. 26. ábra: Visszacsatolás megfigyelés 49

50 Az F-FDBACK blokk Q kimenete logikai 1 éretéket vesz fel, ha az ON emenetre is logikai 1 érték érkezik és nincs Feedback error. A QBAD bemeneti jele a DB820 adatblokk DBX2.1 bitjének értéke (F-I/O). A teljes program a függelékben található meg. Az F_CALL egy futásidejű csoport (Runtime group for failsafe software). F_CALL eljárás használata szükséges, nélküle nem lehet használni a biztonsági szoftvert. A compiler (fordító) külön fordítja le a biztonsági programrészeket a nem biztonságitól, a funkció hívás pedig az F_CALL eljárással történik ciklikusan, jelen esetben az OB35-ös blokkal (31. ábra). Új F-CALL funkció a Blocks mappára jobb egérgomra kattintva, Insert -> S7 Block -> Function Block lehetséges. Meg kell adni az FC nevét, és programozási nyelvnek nem F-LAD vagy F-FBD-t kell megadni, hanem a legördülő menüből az F-CALL-t kell kiválasztani. Ezután felugrik a 27. ábrán látható ablak. Itt a F-program blokkot kell betallózni, illetve opcionálisan a fő F programblokk DJ-t kell megadni. Az F-runtime idejének nagyobbnak kell lennie, mint az OB35 ciklusidejének (jelen esetben 100 ms választottam, ez a 30-as ábrán lesz látható). 27. ábra: F-CALL blokk készítése Mentés után még meg kell adni az F-runtime csoportot. Ehhez az Options menüpontban az Edit safety program gombra kell kattintani és a 29. ábrán látható ablak fog felugrani. 50

51 28. ábra: Biztonsági program módosítása 29. ábra: A biztonsági program blokkjai A biztonsági programnak a fenti képhez hasonlóan tartalmaznia kell az összes F- blokkot és az F-CALL funkciót. Az 1-essel jelölt gombbal lehet az elkészült programot lefordítani. Ekkor a felugró alakban végig lehet követni a hiba ellenőrzési fordítási folyamatot. Ha minden jó, akkor hiba nélkül lefordul a program. a 2-essel jelölt Download gombra kattintva lehet a lefordított programot a PLC-re tölteni. A programot lehet PLCSIM-re tölteni, kipróbálása a valós hardveren lehetséges. 51

52 30. ábra: F-runtime group beállítás 52

53 7.5. Safety Matrix A Safety Matrix-szal a Siemens egy ugyancsak TÜV által jóváhagyott biztonsági életciklusmenedzsment eszközt kínál maximum SIL 3 biztonsági alkalmazási szintig. Eszköz és módszertan egyaránt, mert nemcsak a PLC program elkészítéséhez, hanem már a tervezési fázisban is alkalmazható. Az ok-okozati (cause and effect) mátrix módszertan segítségével definiálható, hogy hogyan és milyen akciók legyenek végrehajtva a biztonsági rendszerben. A módszer magában foglalja az folyamatipari események kategorizálását valamint az okok és hatások összekötését. Ezeket a kapcsolatokat nevezzük csomópontoknak (intersection), amelyek jelzik az adott esemény okozta hatás(oka)t. 31. ábra: Safety Matrix logikai felépítése Az okok sorokban találhatók, a képen látható módon. Ezek tükrözik az eltéréseket, és ha a felhasználó által definiált feltételek teljesülnek, az adott ok aktívvá válik. Egy mátrixban 128 ok adható meg, és minden okhoz maximum 3 bemenet tartozhat. A hatások az oszlopokban foglalnak helyet, ezek tükrözik a műveleteket. Egy mátrixban ugyancsak 128 ok adható meg, a kimenetek száma maximum 4 lehet 53

54 oszloponként. Ha az effekt aktív, akkor a hozzá rendelt tagok biztonságos értékre lesznek állítva (amit szintén a felhasználó határoz meg). Az okok és okozatok szerkesztése a cellába kattintva történhet. A felugró konfigurációs ablakban az alábbiak állíthatók be (referencia: x. ábra): 1. Desc (description): Az ok vagy okozat leírása (tartály nyomás például) 2. Tag(ek): Az okoknál bemenetek, okozatoknál kimenetek szimbolikus nevei, ami a Simatic projectben állítható be. Lehet I/O vagy belső változó. Maximum 3 bemeneti tag lehet okoknál és 4 kimeneti okozatoknál. 3. Action: Okozatoknál az adott tag-hez rendelt akció írható le (pl. nyitás, zárás, stb.) Csak dokumentáláshoz szükséges. 4. SIL: Ebben a mezőben dokumentálható az adott ok/okozat kívánt SIL szintje. 5. Cause number: Az ok sorszáma. 6. Input type: Bemenet típusa, analóg vagy diszkrét jel. 7. Number of inputs: Bemeneti tag-ek száma az adott okhoz. 8. Function type: Itt választható ki az a feltétel, amelyre az ok aktívvá válik. 9. Limit value és Limit type: Analóg értékeknél a felső vagy az alsó küszöbérték állítható be. (lásd: x. ábra) 10. Hysteresis: Reakciókésedelem. 11. Eng unit: Mértékegység. 32. ábra: Tag-ek konfigurálása 54

55 Az Options fülön további, részletes beállítások végezhetők el, például jelkésleltetés. 33. ábra: Analóg paraméterek beállítása: limit érték, limittípus, hiszterézis, mértékegység A csomópontok azok a cellák, ahol az okok és a hatások találkoznak, és ez a cella adja meg, miként reagáljon a hatás az okra. Ez négyféle lehet: 1. N (not stored) 2. S (set stored) 3. V (override) 4. R (resetable override) Egy aktív ok aktiválja a kapcsolódó hatást is és Monitoring üzemmódban az adott sor/oszlop pirossá válik. Az ok-okozati logika elkészültével a mátrix áttranszferálható egy SIMATIC projektté. A mátrix egy CFC-vé (Conitnuous Function Chart) lesz alakítva a Step7- en belül, így a lefordíthatóvá és letölthetővé válik a PLC-re vagy a szimulációs programba. Előtte természetesen ugyanúgy el kell készíteni a HW Config-ot és a kezdeti lépéseket. Sőt, Step7-en belül, amennyiben egy új projekt során elkészítettük a HWConfig-ot, az S7 Programs mappában egy új mátrix is beszúrható közvetlenül (Jobb kattintás az S7 Programs mappára, Insert New Object, Matrix Folder, azon belülre pedig beszúrható egy mátrix szintén jobb kattintással, Insert New Object, Matrix) vagy külön betallózható az elkészült mátrix *.cem kiterjesztésű fájlja. [*] Fontos: a logika validálása nem történhet PLCSim használatával. A PLCSim ellenőrzéshez és hibakereséshez használható, a Safety Matrix validálása és verifikálása pedig csak az aktuális rendszeren történhet. A Safety Matrix két 55