Miskolci Egyetem

Gépészmérnöki és Informatikai Kar

AUTOMATIZÁLÁSI ÉS
INFOKOMMUNIKÁCIÓS
INTÉZETI TANSZÉK

3515 Miskolc - Egyetemváros

SZAKDOLGOZAT

Siemens S7-300 F PLC-k folyamatipari

biztonsági alkalmazása

KÉSZÍTETTE:
Csanak Sándor
Villamosmérnök BSc szakos hallgató

TERVEZÉSVEZETŐ ÉS KONZULENS:
Dr. Trohák Atilla

Miskolc, 2016.
 1. Tartalomjegyzék

1. Tartalomjegyzék..............................................................................................................1
2. Bevezetés ..........................................................................................................................4
3. Folyamatipari biztonság rövidítései és értelmezésük .....................................................6
4. Lépések a biztonság növelésének érdekében ..................................................................9
4.1 Szabványok ............................................................................................................ 10
4.2 Irányelvek .............................................................................................................. 11
4.3 Megfelelősség ......................................................................................................... 14
5. Szabványok a folyamatipari és gépipari biztonság területén ....................................... 17
5.1 Az „ernyőszabvány” .............................................................................................. 17
5.2. Gépipari szabványok ............................................................................................. 19
5.3 IEC 61508 szabvány részletes bemutatása és elemzése ......................................... 21
5.3.1. Funkcionális biztonság ................................................................................... 21
5.3.2 A szabvány felépítése ..................................................................................... 22
5.3.3. A szabvány alkalmazása .................................................................................. 24
5.3.4. ALARP alapelv .............................................................................................. 25
5.3.5. Rizikó mátrix.................................................................................................. 26
5.3.6. Safety Integrity Level ..................................................................................... 27
6. Működésbéli biztonság: IEC 61511 .............................................................................. 32
6.1. A szabvány felépítése ............................................................................................. 32
6.2. Életciklus modell .................................................................................................... 33
6.2.1. Elemzési fázis ................................................................................................. 33
6.2.2. Megvalósítási fázis: ........................................................................................ 34
6.2.3. Működtetési fázis: .......................................................................................... 35
7. Siemens S7 failsafe PLC-k és szoftverek bemutatása ................................................... 36
7.1. Felépítés ................................................................................................................. 37
7.2. Redundancia megjelenése a PLC-knél .................................................................. 39
7.3. Példarendszer bemutatása ..................................................................................... 41
7.4. Distributed Safety .................................................................................................. 44
7.4.1. Konfigurálás ................................................................................................... 44
7.4.2. Programozás .................................................................................................. 45
7.5. Safety Matrix ......................................................................................................... 53

2
8. Összegzés ....................................................................................................................... 57
9. Summary ....................................................................................................................... 58
10. Függelék......................................................................................................................... 59
11. Felhasznált források ...................................................................................................... 60
12. Ábrajegyzék................................................................................................................... 61

3
2. Bevezetés

Nyári szakmai gyakorlatom során a BrosodChem Zrt.-nél nem csak magával a

céggel, annak szemléletével és kultúrájával ismerkedtem meg, hanem a gyakorlatban
alkalmazott technológiai és folyamatirányítási elemekkel, nem mindennapi
technológiai megoldásokkal, pár vegyi folyamat elképesztő összetettségével és
néhány olyan kihívással, amikkel a későbbiekben én is találkozhatok a munkám
során. Az előállított vegyi anyagok sokfélék, melyekhez sokrétű folyamatirányítási
elemek tartoznak, DCS és PLC folyamatirányító berendezések egyaránt
megtalálhatók. Mivel tehát vegyigyárról, azaz veszélyes technológiákról és
vegyszerekről van szó, kiemelt szempont a biztonság és a megbízhatóság.

Korunk egyik legdinamikusabban fejlődő ipara a vegyipar, egyre nagyobb

mennyiségben használnak veszélyes vegyi anyagokat. Előállításuk egyre komplexebb
a vezérléseket, egyre precízebb irányítást igényelnek, egy-egy részegység hibája
pedig fokozott kockázatot jelent. A vállalatoknak a versenyképesség megtartása
érdekében haladni kell a technológia fejlődésével, folyamatosan fejleszteni, újítani,
bővíteni kell az iparban, függetlenül az előállított termék jellegétől. Azonban a
történelem nem egyszer bebizonyította, hogy nem körültekintő tervezés, az emberi
felelőtlenség és a biztonság kérdésének elhanyagolása nemcsak anyagi kárt, hanem
természeti katasztrófákat és halált okoztak. Ha egy folyamat, üzemrész jellegéből
adódóan megköveteli a magasabb fokú biztonságot, akkor abba ugyanúgy invesztálni
kell mind anyagi, mind szellemi erőforrásokat. A nemzetközi irányelvek és ipari
szabványok figyelembevételével, helyes műszaki intézkedések figyelembevételével,
vagyis a funkcionális biztonság betartásával a végzetes hibák száma jelentősen
csökkenthető, vagy kiküszöbölhető.

Az Irányítástechnikai Mérnöki Irodában láthattam, hogy egy üzem bővítési és

korszerűsítési projektje során milyen komoly szakmai és biztonságtechnikai
követelményeknek megfelelően kell megtervezni egy ipari konstrukciót, kiválasztani
a mindenkori alkalmazásnak és szabványoknak megfelelő irányítástechnikai
berendezéseket, megírni hozzá a vezérlőprogramot és biztonságosan üzemeltetni azt.
Egy ilyen projekt megvalósításához sokrétű szakmai ismeret, hosszú kutatómunka és
körültekintő eljárás szükséges mindenki részéről. Olyan konstrukció kialakítására
törekedtek, amely vállalható mind biztonsági, mind anyagi szempontból.

4
 Ezért választottam szagdolgozatom témájául a funkcionális biztonság és a
Siemens S7-es Fail-safe PLC-k folyamatipari biztonsági alkalmazásainak
bemutatását. Szakdolgozatomban kitérek a folyamatipari biztonság területén
alkalmazandó, illetve kötelezően alkalmazott standardokra, részletezem az IEC
61508 és az IEC 61511-es szabványokat és alkalmazásukat, valamint bemutatom az
iparban is igen népszerű Siemens S7 Fail-Safe rendszereit és az egyetemi
eszközparkban is megtalálható S7-300-as biztonsági programozható logikai
vezérlőket és kiegészítőiket. Tisztázom a folyamatipari biztonsággal kapcsolatos
szakkifejezéseket, illetve egyszerűbb példafeladatokkal bemutatom az S7-300 F
biztonsági PLC alkalmazását és alkalmazhatóságát két fejlesztőkörnyezetet
használva.

5
3. Folyamatipari biztonság rövidítései és értelmezésük
Szakdolgozatomban sok, a folyamatipari biztonság területén rendszeresen
használt rövidítést fogok felhasználni. Ahhoz, hogy szakdolgozatom érthető legyen
mindvégig, szeretném az írásom elején felsorolni ezeket a szakkifejezéseket és
jelentésüket.

 SIL (Safety Integrity Level) Integrált biztonság szintje, amely

1-től 4-ig definiált az IEC 61611 és IEC 61608 szabványban egyaránt, az
IEC 62061 irányelvben (ami az IEC 61508 gépipari biztonságra átültetett
változata) a maximális érték nem 4, hanem 3. Az E/E/PE biztonsági
funkcióinak megbízhatóságával szemben támasztott követelmények
megítéléséhez használják, a SIL a rizikó csökkentés mértéke. A SIL érték
a teljes biztonsági funkcióra/berendezésre értendő.
 SIL CL (SIL Claim Limit) SIL igény határ, az IEC 62061
szabványban a megbízhatósággal szemben támasztott követelményeknél
használatos. Az eszközöket a SIL CL segítségével jelölik, hogy
maximálisan milyen SIL szintet érhetünk el az eszköz használatával.
 CAT (Category) Biztonsági kategória rövidítése. EN 854-1
esetén használatos, értéke 1-től 4-ig terjedhet.
 PL (Perfomance Level) Az EN ISO 13849-1 szabványhoz, a
vezérlők biztonsági részeinek kialakításához szükséges „mérőszám”.
Értéke „a”-tól „e”-ig terjedhet, ahol előbbi érték a legmagasabb
teljesítményszintet, utóbbi a legalacsonyabbat jelöli.
 CCF (Common Cause Failure) Közös okok következtében
bekövetkező hiba.
 MTBF (Mean Time Between Failure) Meghibásodások között
várható átlagosan eltelt idő szakszerű használatot, rendszeres karbantartást
feltételezve. Statisztikai érték.
 MTTF (Mean Time To Failure) Azt MTBF egy változata,
jelentése: meghibásodásig átlagosan eltelt idő. Szintén statisztikai érték.
 MTTFd (Mean Time To Failure - dangerous) Jelentése: veszélyes
meghibásodásig átlagosan eltelt idő Az MTTF egy olyan kiterjesztése,
amely egy veszélyes meghibásodásig eltelt időt veszi figyelembe.

6
 PFD (Probability of Failure on Demand) Hiba valószínűsége
terhelés alatt. Annak a valószínűségét adja meg egy évre kivetítve, hogy a
biztonsági rendszer pont akkor nem működik, amikor kellene, igény esetén
pont nem látja el a funkcióját.
 PFH (Probability of Failure on Hour) Annak a valószínűsége
órára vetítve, hogy a biztonsági rendszer pont akkor nem működik, amikor
kellene.
 RRF (Risk Reduction Factor) Kockázatcsökkentési tényező. A
technológiai kockázat és a törvényileg, illetve társadalmilag elfogadott
kockázat számszerűsített értékek, így a kettejük „közötti” érték is
számszerűsíthető (lásd: x. ábra)
 SPLC (Safety PLC) Veszélyes technológiákhoz használt
programozható logikai vezérlők („biztonsági” PLC).
 SIS (Safety Instrumented System) Biztonságosan műszerezett
rendszer. Az ilyen rendszerek egy vagy több biztonsági elemet,
biztonságtechnikai funkciókat tartalmaznak és minden ilyenre érvényes
egy SIL követelmény.
 EUC (Equipment Under Control) Irányított berendezés
 E/E/PE (Electrical/Electronic/Programmable Electronic Safety-
related Systems) - Elektromos/elektronikus/programozható elektronikus
rendszerek. Beletartozik minden olyan eszköz és rendszer, amellyel
biztonságtechnikai funkciót lehet végezni, egyszerű elektromos eszköztől
a programozható logikai vezérlőkig.
 HIPPS (High-integrity Pressure Protection System) Magas
integritású túlnyomás védelmi rendszer, biztonságosan műszerezett
rendszerek egy változata vegyi gyárakban és olajfinomítókban
alkalmazott.
 FMEA (Failure Mode and Effects Analysis) Hibamód- és
hatáselemzés. Nem csak minőségmenedzsment, hanem a folyamatiparban
egy biztonsági rendszer kockázatelemzéséhez is használják. Hibák
hatásának jelentőségét lehet meghatározni, mely egy biztonsági rendszer
telepítéséhez elengedhetetlen.

7
 HAZOP (Hazard and Operability Study) A veszélyek azonosítására
és becslésére szolgáló, egyszerű módszer. Alapelve az, hogy a normál és
szabványos munkakörülmények biztonságosak és csak akkor keletkeznek
veszélyek, ha ezektől eltérnek.
 LOPA (Layers of Protection Analysis) Védelmi szintek
ellenőrzéséhez használt analízis, módszer, elsősorban folyamatos
technológiában használt. A módszer részletes terveket, leírásokat igényel
a technológiáról és a gépekről.

8
4. Lépések a biztonság növelésének érdekében

„Ami elromolhat, el is romlik…”

Edward A. Murphy légközlekedési mérnök örökérvényű mondása ugyanúgy igaz

a folyamatiparra is, mint az élet bármely más területére. Az egyre összetettebb
rendszerek, bonyolultabb elektronikai és vezérlő berendezések, illetve a komplex
programok növelik a hibalehetőségek számát. Ezért van szükség a folyamatiparan is
egységesen értelmezhető szabványokra, melyek nemcsak útmutatókat és jellemzőket
tartalmaznak, hanem szabályoznak, egységesítenek, valamint a tevékenység,
szolgáltatás és felhasználó érdekeit szolgáltatja. Következetes megoldási módjainak
köszönhetően pozitív gazdasági, hatékonysági és biztonsági hatásuk van a
szabványok alkalmazásának. A szabványok általában önként alkalmazhatók, de
bizonyos szabványok alkalmazása törvényleg kötelező. Alapesetben a nemzetközi
szabványügyi szervezetek által létrehozott irányelvek felhasználása nem kötelező, de
amennyiben a Magyar Szabványügyi Testület honosít egy szabványt, az alkalmazás
már kötelezővé tehető.

1. ábra: Nemzetközi szervezetek és a szabványjelek kapcsolódása

9
 4.1 Szabványok
Amennyiben egy szabvány elfogadásra kerül az Európai Unióban vagy
honosításra kerül a Magyar Szabványügyi Testület által, akkor annak a
szabványosítási szervezetnek a betűjele is szerepel a szabványban (pl. EN ISO, MSZ
EN). [1]

A teljesség igénye nélkül, a leggyakoribb szabványbetűjelek jelentése, melyek

kapcsolódnak az iparhoz:

 MSZ Magyar Szabvány

 EN (European Norm/Harmonized European Standards)
Európai szabvány
 ISO (International Organization for Standardization)
Nemzetközi Szabványügyi Szervezet
 IEC (International Electrotechnical Comission) Nemzetközi
Elektrotechnikai Bizottság. Az IEC csatlakozott az ISO-hoz, de
elektronika/elektrotechnika területeken megtartotta az önállóságát.
 IEEE (Institute of Electrical and Electronics Engineers)
Elektrotechnikai és Elektronikai Mérnökök Intézete

Szabványok alatt általában olyan megállapodást értünk, melynek keretében egy

termék előállítása vagy egy szolgáltatás üzemeltetése előre meghatározott
(szabványos) módon történik. A szabványoknak négy típusát különböztetjük meg:

 hivatalos, ún. „de-jure” szabványok, melyek nemzetközi együttműködés

keretében létrejött szervezetek bocsájtják ki vagy olyan szabványok,
melyeket törvényileg elismertek.
 ipari („de-facto”) szabványok olyan szabványok, melyeket egy ipari
konzorciumba tömörült szervezetek kezelnek, illetve bocsájtanak ki.
 „ad-hoc” jellegű „szabványok+, melyeket sem törvényileg, szabványügyi
szervezetek nem hagytak jóvá, de használatuk mindennapos.
 céges tulajdonú szabványok, melyeket egy cég saját maga készített el, saját
maga kezeli és saját tulajdona, de más cég is felhasználhatja licenszdíjért
cserébe.

10
 4.2 Irányelvek

SÚLYOS IPARI BALESETEK

KIALAKULÁSÁNAK OKAI
Emberi mulasztás Műszaki hiba Kontrollálhatatlan vegyi reakció Külső tényezők

16%

10%
50%; 50%

24%

1. diagram: Ipari balesetek okainak százalékos eloszlása (2)

Tisztázzuk, mit nevezünk balesetnek: A baleset egy olyan nem kívánt, váratlan
negatív esemény, kár, amelynek bekövetkezése megelőzhető lett volna. A rendkívüli
esemény egy ipari üzemben olyan ipari esemény, mely azonnali beavatkozást igényel
és magában hordozza egy vegyi anyagokkal kapcsolatos súlyos baleset lehetőségét.

Az Európai Unió által kidolgozott és elfogadott Seveso-irányelv azért jött létre,

hogy a súlyos ipari (vegyipari) baleseteket megelőzzék, a következményeket
csökkentsék. A szabályzás Magyarországon 2002 óta van érvényben, azóta létrejött
a Seveso II. és Seveso III. irányelv, melyek további szigorításokat tartalmaztak. A
veszélyes anyagokkal kapcsolatos tevékenységeket, cégeket egy állami hatóság
felügyeli. A veszély megítélésé a veszélyes anyagok mennyiségén alapszik. Az
eljárás alapja a biztonsági jelentés és elemzés, amelynek rendeltetése az, hogy az
előírt tartalmi és formai követelmények alapján az üzemeltető bizonyíthassa, az általa
folytatott veszélyes tevékenység nem jár a meghatározottnál nagyobb kockázattal, és
minden elvárhatót megtett az esetleges súlyos baleset megelőzése, és a
következmények elhárítása érdekében. Két ipari üzem veszélyességi státuszt
különböztetünk meg:

11
  Alsó küszöbértékű veszélyes ipari üzem
 Felső küszöbértékű veszélyes ipari üzem

Az üzemeltető az alábbi táblázatban foglalt kötelezettségeknek kell eleget tenni a

hatóság felé:

Veszélyességi státusz Kötelezettségek a hatóság felé

Alsó - bejelentkezési kötelezettség
- biztonsági elemzés készítése
- balesetmegelőzési célkitűzések készítése
- adatszolgáltatás településrendezési tervhez
- belső védelmi tervezés
- baleseti jelentési és vizsgálati kötelezettség
Felső A fenti kötelezettségeken túl:
- biztonsági jelentés készítése
- adatszolgáltatás a külső védelmi terv elkészítéséhez
- biztonsági irányítási rendszer működtetése
1. táblázat: Kötelezettségek a hatóság felé, veszélyességi státusz alapján

Az irányelv neve egy olaszországi kisváros nevéből ered, amelyet a legjobban

érintett az 1976. július 10.-én a kisváros melletti vegyigyárkatasztrófa. Az emberi
mulasztás miatt levegőbe került jelentős mennyiségű dioxin következtében több mint
37 ezer embert érintett, 11 ezret kellett evakuálni, több tízezer házi- és haszonállat
hullott el és az egészségügyi következmények több ezer embert érintettek. A cég a
hatóságokat a katasztrófa után 6 nappal értesítette csak.

Minden nagyobb gép, berendezés potenciális veszélyt jelent a használói számára,

gondoljunk csak a hidraulikus munkahengerek vagy a robotkarok mozgására. Fontos
különbséget tenni a veszély (hazard) és a kockázat (risk) között. Kockázat mindig
van, teljesen biztonságos rendszer nincs, de a kockázat csökkenthető. (Biztonság =
Mentesség a nem elfogadható kockázatoktól.) A balesetveszélyes berendezés
vezérlőelemeinek is különleges tulajdonságokkal kell rendelkeznie. Egyszerűbb
esetben (pl. présgép) e vezérlés egy relés áramkörre korlátozódik. Bonyolultabb
esetben, pl. egy robotizált gyártósorra a biztonsági funkciókat egy biztonsági PLC
vezéreli, mely a terepi érzékelőkhez és beavatkozókhoz leválasztó reléken keresztül

12
csatlakozik. Mindkét esetben a relék megbízhatóságán és üzembiztonságán múlhat a
berendezés helyes működése és a kezelőszemélyzet biztonsága!

A biztonsági jelző-, reteszelő- és vészleállító rendszerek jellemzője, hogy a

technológiai folyamatirányításban nem vesznek részt. Azokat csak felügyelik, és
amennyiben valamilyen oknál fogva a beállított kritikus szélsőértéket ér el az adott
folyamat, a vezérlés megelőző beavatkozást végez, mely lehet pl. leürítés, elárasztás,
vagy teljes leállítás, stb. A vezérlés irányított módon fejti ki a megelőző
beavatkozást. Mivel a biztonsági rendszereken múlhat egy baleset, vagy katasztrófa
megelőzése, megbízhatóságuk egyre fontosabb. A megbízhatóság (műszaki
értelemben véve) egy részegységnek, vagy magának a rendszernek azon
tulajdonsága, hogy rendeltetésszerű működtetés esetén milyen mértékben várható el
a hibátlan működés. Matematikai szempontból a megbízhatóság egy statisztikai adat.
A gyakorlat, illetve a szabvány szerint a biztonsági/védelmi rendszerek feladata a
kockázatcsökkentés. Műszaki kockázatok menedzsmentjének elsődleges célja tehát
a biztonságkritikus rendszer fejlesztése, azaz olyan biztonsági rendszer készítése,
mellyel a kockázat társadalmilag és hatóságilag elvárt szint alá csökkenthető. [2]

Az ipari automatizálásban a két legfontosabb szabvány az IEC 61508 és az IEC

61511 szabványok. A Seveso III. direktíva a fenti két szabványra nem hivatkozik, de
alkalmazásuk több országban (pl. Anglia, Norvégia) törvényileg kötelező.

Különböző hibafajtákat különböztethetünk meg:

 Rendszerhibák (emberi hiba pl. tervezés során)

 Véletlenszerű hibák, hardverhibák (pl. kitikkadtt elektrolitkapacitások
miatt)
 Közös okú hibák: CCF (pl. túlfeszültség tönkretesz több elemet is a
rendszeren)

13
 4.3 Megfelelősség

2. ábra: Kockázat mértékét befolyásoló tényezők

Az ideálisan megtervezett hibatűrő rendszerekben nincs egyetlen olyan pont sem,

amelynek meghibásodása meghiúsíthatja a rendszer működését, azaz a legfontosabb
előírt feladatait bármikor ne tudná végrehajtani. Azaz egy hiba vagy rendellenesség
esetén a veszélybiztos irányítórendszer a folyamat stabilizálásával vagy leállításával
képes minden esetben a veszélyhelyzetek megelőzésére. A szabványok által leírt, a
rendszerek funkcionális biztonságát érintő összes követelményt figyelembe kell
venni, ennek ellenére 100%-os funkcionális biztonság nem létezik, a
kockázatcsökkentési akció után is kell számolni maradandó kockázattal. A nem várt,
negatív jellegű incidensek (balesetek) bekövetkezésének várható, illetve
megengedhető gyakoriságát az úgynevezett SIL értékekkel jellemezhetjük. Erre
részletesen kitérek az IEC 61508 szabvány tisztázásánál.

A gépipari biztonság szempontjából fontos a CE jelölés is. Az EU-n belüli

kereskedelmi korlátozások megszűnése után (áruk szabad mozgása) és az EU
tagállamok közötti együttműködésnek köszönhetően szükség volt egy egységes
termékbiztonsággal kapcsolatos minőség jelzésre, melynek célja, hogy az Európai
piacon csak biztonságos termékek legyenek forgalomba. Ennek a célnak a
biztosításaként számos rendelet, irányelv került bevezetésre, melyek betartatása
elsősorban a tagállami hatóságok feladatát képezi. Igy alakult meg a CE (Conformité
Européenne) jelölés, mely az unión belül forgalmazott összes terméken fel kell
tüntetni. Persze csak úgy, ha az adott termék megfelel a mindenkori direktíváknak és
rendeleteknek. A CE jelölés nem a fogyasztók tájékoztatását, de az érdekeit szolgálja,

14
- ennek ellenére nem biztosít semmilyen minőségi tulajdonságot -, hanem a hatósági
ellenőrzés egyszerűbb lehetőségét biztosítja. A CE jelölésnek tehát nem csak az
Európában forgalmazott hétköznapi termékekre kell felkerülnie, hanem minden ipari
gépre, berendezésre ugyanúgy vonatkoznak az irányelvek. Ha egy berendezésre,
gépre léteznek a harmonizált szabványok, a terméket előállító cégnek az alábbi
lehetőségei vannak:

 A berendezés vagy gép műszaki dokumentációját elküldi egy független,

hivatalosan elismert hatóságnak (pl. TÜV, SGS…) megőrzésre
 Meghatalmaz egy független hatóságot, hogy megfelelősség szempontjából
ellenőrizze a dokumentációt és tanúsítsa azt

Vannak azonban esetek, amikor a harmonizált szabványok az adott termékre nem

alkalmazhatók. Ebben az eseten a gyártónak használati útmutatót, biztonsági
ellenőrzéssel kapcsolatos méréseiről dokumentációt és kockázatbecslést kell
végeznie. Csak ezután tüntetheti fel a terméken a CE jelölést, a saját felelősségére.
[3]

Az, hogy egy szabvány általános, az azt jelenti, hogy alkalmazható minden ipari
ágazatban. Azonban egy adott ágazatra vonatkozó megegyezés (mint pl. az IEC
61513-as alapvetés, amely atomerőművek biztonsági
műszerezésével, vezérlésével és általános
rendszerkövetelményeivel foglalkozik) az „ernyőszabványt”
felülírhatja, de minden más esetben az a mérvadó. Az IEC 61508
tehát azokat a követelményeket írja le, amelyeket a gyártóknak
kötelező betartani az eszközeik, ill. rendszereik vonatkozásában. A gyártónak mindig
bizonyítania kell, hogy terméke kielégíti a termékre vonatkozó irányelvekben lévő
"lényeges követelményeket". Az eszközöket a gyártó cégek a már említett,
professzionális független harmadik féllel, minősítő szervezetekkel minősíthetik. A
minősítő igazolással a gyártó cég jogosult lesz feltüntetni a termékén a minősítés
emblémáját.

15
 3. ábra: Egy TÜV-SÜD által kibocsájtott minősítő igazolás egy SIL 3
követelményeknek eleget tett berendezésről

TÜV (Technische Überwachung Verein) Rheinland a világ egyik vezető műszaki

szolgáltató konszernje, amely 1872-ben történt alapítása óta regionális vizsgáló
szervezetből nemzetközi szintű vizsgálati szolgáltatóvá fejlődött. A vállalat ma a
világ 69 országában működtet saját szervezetet.

A TÜV semleges, független félként termékeket, berendezéseket, folyamatokat és

irányítási rendszereket, valamint szolgáltatásokat vizsgál, nyomon követ, fejleszt,
támogat és tanúsít a törvényi előírások, valamint további vonatkozó irányelvek és
szabványok alapján. Továbbá saját maga is ad ki ajánlásokat a biztonság növelésére.

16
5. Szabványok a folyamatipari és gépipari biztonság
területén

Az ipari biztonságot tárgyaló szabványok meglehetősen komplex felépítésűek, de

egybefüggő rendszert alkotnak.

Ez a szabvány tartalmazza a követelményeket és rendelkezéseket, amelyek

alkalmazhatók a bonyolult elektronikus és programozható rendszerek, illetve
alrendszerek tervezéséhez.

5.1 Az „ernyőszabvány”

4. ábra: IEC 61508 „ernyőszabvány” és a hozzá kapcsoló további szabványok

A szabvány megnevezése: „Funkcionális biztonság az elektromos, elektronikus

vagy programozható elektronikus biztonsági rendszerekhez”. Az EN IEC 61508
jelölésű szabvány (olykor hívják „ernyőszabványnak” is) egy általános szabvány,
mely a funkcionális biztonság kérdéseit tárgyalja. A szabványt az Nemzetközi
Elektrotechnikai Bizottság (International Electrotechnical Commission) publikálta
és kezeli Functional Safety of Electrical/Electronic/Programmable Electronic
Safety-related Systems (E/E/PE, vagy E/E/PES) néven. Ez a szabvány foglalja
egységbe fenti képen látható további szabványokat, melyek folyamatiparhoz,

17
gépiparhoz és egyéb ághoz kapcsolódnak. Alkalmazásával gépi, és emberi hibákból
adódó baleseteket, illetve veszélyhelyzeteket lehet csökkenteni, illetve elkerülni.

A funkcionális biztonság mellett robbanásveszélyeztetett területeken használt

berendezéseknél további szabványokat is szükséges alkalmazni.

A képen látható szabványok az alábbiakkal foglalkoznak:

 IEC 61511: ("Functional safety — Safety instrumented systems for the

process industry sector") Működési biztonság: Ez az irányelv az IEC
61508 szabvány egy folyamatipart célzó speciális, alkalmazásspecifikus
implementációja. A szabványt a későbbiekben részletezem.
 IEC 62061: Gépek biztonsága („Safety of machinery — Functional
safety of safety-related electrical, electronic and programmable
electronic control systems")
 ISO 13849-1: Gépek biztonsága („Safety of machinery — Safety-related
parts of control systems") This standard is intended to provide a direct
transition path from the categories of the previous EN 954-1. Az EN ISO
13849-1 a vezérlők biztonsági részeinek kialakítását írja le. A biztonsági
funkciók megbízhatóságának fontos mérőszáma a teljesítményszint (PL).
A korábban EN 954-1 szabványban érvényes Safety Categories-ból és a
Perfomance Level-be között az átjárhatóság lehetséges.
 IEC 60601: Orvosi elektromos eszközökhöz, berendezésekhez készült
biztonsági irányelv („Medical electrical equipment”)
 IEC 50156: Kemencék elektronikus berendezéseihez iránymutatás a
tervezéshez és a telepítéshez. („Electrical equipment for furnaces and
ancillary equipment.”)
 IEC 61513: Alkalmazásspecifikus szabvány, a nukleáris erőművek
biztonságos műszerezéséhez és vezérléséhez készült általános
rendszerkövetelményeket megfogalmazó irányelv. („Nuclear power
plants. Instrumentation and control important to safety.”)
 IEC 61800-5-2: Elektronikus hajtások biztonsági követelményeit
tartalmazó szabvány. („Adjustable speed electrical power drive systems.
Part 5-2: Safety requirements.”)

18
  EN 50128: A szabvány vasúti alkalmazásokhoz készült. („Railway
applications.”)
 EN 954-1: Gépekre vonatkozó Safety Categories 2009. november 31-ig
volt érvényben, helyét az ISO 13849 vette át.

5.2. Gépipari szabványok

Az EN 954-1 - ellentétben az IEC 60508-al - a gépipari direktívák alatt
harmonizált. Míg előbbi kimondottan a gépipari biztonságra funkcionál, utóbbi
általános, alkalmazásfüggetlen. Az EN 954-1 elektromechanikus és hidraulikus
rendszerekhez volt alkalmazható, összetett elektronikákhoz és programozható
elektronikus rendszerekhez nem alkalmazható, a hibamodellek alkalmatlanok
mikrokontrollerekhez (μC) és alkalmazásspecifikus áramkörökhöz (ASIC). Továbbá
nem foglalkozik a biztonsági funkciók összetettségével és a meghibásodások
valószínűségével sem. Az utódszabvány, azaz az EN ISO 13849-1 szabványban a
programozható elektronikus rendszerek használatát is figyelembe veszi egy
vezérlési láncon belül, a szabvánnyal a biztonsági funkciók kvantitatív vizsgálatára
elvégezhető.

Az EN IEC 62061 és az EN ISO 13849-1 irányelvek egyaránt kiterjednek a

biztonsággal kapcsolatos elektromos rendszerekre, egymás alternatívái. Mindkét
szabvány eredménye ugyanaz, de különböző módszereket alkalmaznak, különböző
esetekhez alkalmazzák őket. Lehetőség van a tervezés során a helyzethez leginkább
alkalmas szabvány kiválasztására. Az EN ISO 13849-1 nemcsak a vezérlők
biztonsági részeinek hardverfelépítését írja le, hanem részletezi a szoftver
kialakítását is. Az IEC 62061 szabvány a kockázatcsökkentést szintén SIL, azaz
biztonságintegritási szintértékkel fejezi ki. Tartalmazza az IEC 61508 összes, a
gépekre és rendszerekre vonatkozó fontos követelményeit, valamint ugyancsak
életciklus modellt alkalmaz, de 16 fázis helyett csak 6 (egyszerűsített életciklus
modell). Az értéke IEC 61611 és IEC 61608 szabványhoz képest három SIL szint
van, ahol az 1 a legalacsonyabb, 3 a legmagasabb. Az alrendszer, amely végrehajtja
a biztonsági funkciót, rendelkezik egy megfélő SIL képességgel. Ez a SIL CL,
mellyel az adott eszközt jellemzik. Például a SIL CL 2 jelentése tehát az, hogy az
ilyen eszköz csak SIL 2 szintű biztonsági funkciókhoz alkalmazható. Az EN ISO

19
13849-1 azonban nem SIL szinteken, hanem öt PL, azaz öt teljesítményszintet
definiál, amely az óránkénti veszélyes kiesések átlagos valószínűségi értékét adja
meg. A Perfomance Level egy valószínűségi becslést határoz meg. SIL és PL között
lehetséges az átjárhatóság (CSAK mindkét szabványt részletesen figyelembe véve!),
mely az alábbi ábrán látható: [5]

5. ábra: SIL és PL közötti átjárhatóság PFHdangerous érték alapján

A kép tehát csakis úgy használható fel konverziós célra, ha a szabványok teljes
követelményeit figyelembe vesszük még a tervezés során. Az alkalmazhatóságot az
alábbi táblázat foglalja össze:

EN ISO 13849-1 EN IEC 62061

 Hidraulikus, pneumatikus és
elektromechanikus
rendszerekhez PLe szintig is
alkalmazható.  Hidraulikus és kevert rendszereknél
 Összetett, PE rendszerekhez nem alkalmazható.
csak korlátozottan alkalmazható  E/E/PE rendszerekhez.
(PLd).  A berendezés biztonsági szintjét
 A teljes rendszer biztonsági táblázat alapján lehet meghatározni.
szintje a szabvány által
biztosított képletekkel
számítható.

20
 5.3 IEC 61508 szabvány részletes bemutatása és elemzése

6. ábra: Szabványok felhasználása. Amikkel részletesebben foglalkozok, az az IEC

61508 és IEC 61511 szabványok [4]

5.3.1. Funkcionális biztonság

Funkcionális biztonságnak nevezzük az olyan biztonsági, műszaki védelmi
intézkedéseket, amelyekkel a gépek hibáikból adódó kockázatot, vagyis a balesetek
valószínűségét csökkentjük. Ahogy az IEC 61508 is kimondja, 0% kockázat, azaz
100%-os biztonság nem létezik, de a megfogalmazott módszerek alkalmazásával a
rizikó tovább és tovább csökkenthető. Vagyis a funkcionális biztonsággal ha nem is
megakadályozzuk, de jelentős mértékben csökkentjük azokat a gépi hibákat, amelyek
az emberi test vagy a környezet épségét veszélyeztetik.

A funkcionális biztonság, mint kifejezés 1998-ban lett bevezetve az IEC 61508

alkalmazásfüggetlen szabvánnyal. Helytelenül, de gyakran csak a programozható
biztonsági rendszerekkel (PES) hozzák összefüggésbe, annak ellenére, hogy a
kifejezés széles körét öleli fel azoknak az eszközöknek, amelyek biztonsági

21
rendszerek létrehozására alkalmasak. Ilyen eszközök a biztonsági relék, zárak,
fényfüggönyök, kapcsolók, illetve minden olyan elem, amely valamilyen biztonsági
funkciót hajt végre. []

Az IEC TR 61508-0 a következő példával tisztázza a funkcionális biztonság

jelentését:

“For example, an over-temperature protection device, using a thermal sensor

in the windings of an electric motor to de-energize the motor before they can
overheat, is an instance of functional safety. But providing specialized insulation
to withstand high temperatures is not an instance of functional safety (although it
is still an instance of safety and could protect against exactly the same hazard).”

A funkcionális biztonság eléréséhez kétféle típusú követelmény szükséges:

 Biztonsági funkció
 Biztonsági integritás

5.3.2 A szabvány felépítése

A szabvány 7 részből áll, melyből az első három (Part 1-3) a követelményeket

tartalmazza (normatív), az utolsó négy (Part 4-7) pedig információkat, valamint
útmutatókat és példákat a tervezéshez. A bevezető („0. rész”) egy általános leírást
ad a szabványról. Annak ellenére, hogy nagy terjedelmű a szabvány, logikusan és
átgondoltan felépített.

Az IEC 61508 és IEC 61511 szabványok használata több országban nem kötelező,
de két fél (cégek) között létrejöhet olyan szerződés, ahol a használatát kötelezővé
teszik. Használatuk lehet, hogy nem kötelező, de alkalmazásuk jó mérnöki
gyakorlatnak számít ("Good engineering practice") és a bíróságon perdöntő lehet.

22
 Part Leírás
Általános követelmények
IEC 61508-1
(General requirements)
Hardveres követelmények
IEC 61508-2
(Hardware requirements for E/E/PES)
Szoftverekkel szemben támasztott követelmények
IEC 61508-3
(Software requirements for E/E/PES)
Definíciók és rövidítések
IEC 61508-4
(Definitions and abbreviations)
Módszertani példák SIL meghatározására
IEC 61508-5
(Examples of methods for SIL)
Irányelvek Part 2 és 3 alkalmazásához
IEC 61508-6
(Guidelines on the application of Part 2 and 3)
Technikák és mérések áttekintése
IEC 61508-7
(Overview of techniques and measures)
2. táblázat: IEC 61508:2010 frissített szabvány tartalma

A szabvány tipikus alkalmazási területei programozható elektronikus

rendszereken kívül: Vészleállító rendszerek (ESD), tűz és gáz rendszerek (F&G), égő
vezérlők (BMG), nagy integritású túlnyomásvédett rendszerek (HIPPS), stb.

A szabvány bevezeti az életciklus modellt (lásd: 7. ábra), amely szerintem nem

csak nagyban megkönnyíti az egész folyamat véghezvitelét. Figyelembe veszi a
külső biztonsági technológiákat, de az emberi tényezőkkel nem foglalkozik.
Specifikálja az összes olyan információt, amely az E/E/PES kivitelezéséhez,
verifikálásához és funkcionális biztonságának értékeléséhez szükséges.

23
 7. ábra: Biztonsági életciklus összhangban az IEC 61508 szabvánnyal

5.3.3. A szabvány alkalmazása

A szabvány kiemeli, és nagy hangsúlyt fektet a dokumentálásra, annak

frissességére, részletességére és strukturáltságára. Szerintem épp ez a legfontosabb
erősség. A cél ezzel az, hogy minden egyes életciklusról (vagy lépésről) elegendő és
pontos információ álljon rendelkezésre mindenki számára, akik kapcsolatba kerülnek
az adott berendezéssel vagy rendszerrel. Továbbá meghatározza, hogy az egyes
lépéseknél milyen kiindulási adatokra van szükség és mi lesz a végeredmény. Ha
megvan a terv és ismert a hatókör, akkor megkezdhető a veszélyhelyzetek feltárása,
az előzetes veszély és kockázat elemzés. A következő lépésben a
veszélyhelyzetekhez kapcsolódó általános biztonsági követelményeket határozzák
meg, majd hozzárendelik a biztonsági követelményeket az adott műszaki
részrendszerhez vagy folyamathoz. Az analízis fázisban LOPA (Layer of Protection
Analysis) használatával a túlméretezése és az alul méretezése a biztonsági
funkcióknak egyaránt elkerülhető. HAZOP (Hazard and Operability Study)

24
szisztematikus és általános, szinte minden esetben alkalmazható. Ellentétben a
FMEA-val (Failure Mode and Effect Analysis) nem a komponenseket vizsgálja,
hanem a céltól való lehetséges eltéréseket és ezeknek a nem kívánt eltéréseknek a
következményeit. Az elemzés a teljes projektet, illetve a termék teljes életciklusát
kell, hogy érintse. A veszélyforrások és a várható súlyosságuk felméréséhez ismerni
kellhet az ágazati szabványokat és a már esetlegesen felszerelt biztonsági
berendezéseket. Ezután jön az átfogó tervezési tevékenység. Ezek a tevékenységek
az olyan tennivalókkal kapcsolatos elvárások megfelelését biztosító tevékenységeket
takarnak, mint a rendszerátadás, üzembe helyezés, karbantartás, validálás, stb. és
egyaránt tartalmazza a biztonságkritikus rendszer tervezésével kapcsolatos
feladatokat. A szabvány a külső kockázatcsökkentő biztonsági eszközöket is kezeli.
Elvárt, hogy a résztvevők rendelkezzenek megfelelő mérnöki és technikai tudással,
gyakorlattal és minősítéssel a SIS minden életciklusában. A következő lépések a
rendszer építését követő, azaz a rendszer telepítéséhez, üzembe helyezéséhez,
validálásához, karbantartásához kötődő előírásokat rögzítik. Az összes hibamódot
tesztelni és minden hibát detektálni egy kész rendszert érintő validálás során nem
lehetséges.

5.3.4. ALARP alapelv

Már a tervezés legelején figyelembe kell venni a biztonságot. Minden egyes feltárt
veszélyhelyzetre meg kell adni milyen kockázatcsökkentést várunk el. A nem
tolerálható kockázatot mindenképp csökkenteni kell. Itt jön képbe az elfogadható
kockázat koncepciója: A műszaki rendszer elkészítésénél a tervező és kivitelező
köteles a kockázatot a lehető legkisebb ésszerűen megvalósítható (As Low As
Reasonable Possible - ALARP) szintre csökkenteni. Az IEC 61508 előírja a
kockázatcsökkentés módszertanát. A szükséges kockázatcsökkentést mennyiségi,
illetve minőségi módszerekkel kell meghatározni.

25
 8. ábra: Technológiai kockázat és kockázatcsökkentés (-> ALARP)

5.3.5. Rizikó mátrix

Ahogy már említettem, az IEC 61508 és az IEC 61511 szabványok is 4 különböző

biztonsági integritási szintet definiálnak. Ez a mértéke annak a valószínűségnek,
hogy a SIF (Safety Instrumented Function) működik sikeresen, amikor szükség van
rá. A szükséges SIL meghatározásához ismerni kell a kockázatokat (->
kockázatelemzés). A kockázati mátrix egy kvantitatív kockázatértékelési eszköz.

Súlyosság
IEC 61508 Elhanyagolható Közepes Kritikus Végzetes
Rizikó mátrix Nem Sok sérült,
Több ember
Kisebb sérülések életveszélyes egy ember
halála
sérülések halála
Gyakori >10-3 II I I I
Valószínű 10-3-10-4 III II I I
Frekvencia

Alkalmi 10-4-10-5 III III II I

Kicsi 10-5-10-6 IV III III II
Valószínűtlen 10-6-10-7 IV IV III III
Lehetetlen <10-7 IV IV IV IV

3. táblázat: Kockázati mátrix az IEC 61508 szabványt felhasználva.

A kockázati mátrix értelmezése, a rizikó osztályok:

26
  Class I: Elfogadhatatlan – Bármilyen körülmény között szükség van
kockázatcsökkentésre.
 Class II: Nem kívánatos – Csak olyan, extrém esetekben
megengedhető, ha a kockázatcsökkentés kivitelezhetetlen, vagy a
kockázatcsökkentésre fordítandó költségek nagymértékben
aránytalanok az elérhető eredményhez képest.
 Class III: Tolerálható – Elfogadható, ha a kockázatcsökkentésre
fordítandó költségek és az elérhető eredmény nem állnak arányban
 Class IV: Elfogadható – Társadalmilag elfogadott kockázati szint, de
folyamatos ellenőrzés szükséges ebben az esetben is.

Megjegyzés: Az IEC 61511 szabványban a rizikómátrix hasonlóan néz ki, a rizikó

osztályok száma viszont három, mert a Class II és Class III osztályokat összevonja.

5.3.6. Safety Integrity Level

Az IEC 61508 szabvány megkülönböztet alacsony működtetés igényű és magas

működtetés igényű üzemmódokat:

 Alacsony működtetési igényű mód (Low demand mode): Akkor beszélünk

alacsony működtetési igényről, amikor az adott biztonsági funkció
működtetésének gyakorisága nem nagyobb 1 alkalom/évnél, vagy a proof-
tesztek kétszeresénél.
 Magas működtetési igényű mód (High demand or continous mode):
Folytonos igényről akkor beszélünk, amikor az adott funkció működtetése
gyakoribb 1 alkalom/évnél vagy a proof-tesztek kétszeresénél.

Safety Integrity Level Safety Ability [%] PFDavg RRF

SIL 4 >99.99% <0.0001 >10,000
SIL 3 99.9%-99.99% 0.001-0.0001 1,000-10,000
SIL 2 99.0%-99.9% 0.01-0.001 100-1,000
SIL 1 90.0%-99.0% 0.1-0.01 10-100
4. táblázat: PFD és RRF értékek különböző SIL-re az IEC EN 61508 szabvány
szerint meghatározva (Low demand mode SIL)

1
𝑅𝑅𝐹 =
𝑃𝐹𝐷

27
 Safety Integrity Level PFH RRF
SIL 4 <10-8 >100,000,000
SIL 3 10-7-10-8 100,000,000-10,000,000
SIL 2 10-6-10-7 10,000,000-1,000,000
SIL 1 10-5-10-6 1,000,000-100,000
5. táblázat: PFH és RRF értékek folyamatos működésre
(High demand mode or Continous mode SIL)

Magasabb SIL érték komolyabb biztonsági követelményeket jelent és az értéke a

teljes biztonsági körre érvényes. A SIL 1 jelenti a legalacsonyabb követelményt, a
SIL 4 a legmagasabbat. A SIL értékekhez tartoznak technikai jellegű és nem
technikai követelmények és már a termék vagy az adott folyamat tervezési fázisában
rögzíteni kell a rendszeres hibák előfordulási gyakoriságának megengedhető értéke
alapján.

A táblázatban előírt értékek célértékek. SIL 4 csak speciális, komoly feltételekkel

teljesíthető: A biztonsági integritás meghibásodási arányát megfelelő analitikai
módszerekkel bizonyítani kell, valamint a felhasznált komponensekre kiterjedt
működési tapasztalattal és ismert hardveres meghibásodási aránnyal kell rendelkezni
hasonló alkalmazásban és környezetben.

28
 9. ábra: Megelőzési és kárcsökkentési rétegek kapcsolódása egymáshoz [4]

Biztonsági műszeres rendszerek (SIS) által nyújtott biztonsági funkciók

teljesítményét SIL-el mérjük tehát. Folyamatos üzem sokkal nagyobb üzemi
megbízhatóságot követel meg a felhasznált komponenseknél. A x. táblázatból
látható, hogy egy SIL 4 biztonságintegritási szintet teljesítő rendszer ~11 ezer évi
hibamentes működést feltételez, DE másként kell értelmezni a táblázatban
feltüntetett értékeket: Feltételezzünk egy folyamatbiztonsági elemet, melynek
tervezett élettartama 15 év. Ez idő alatt tehát 1-nek lehet hibája 750 darabonkánt.

A vegyi gyárakban, olaj- és energiaiparokban a nem kívánt esemény

következménye súlyosságának függvényében a kritikus rendszerekkel szemben
általában SIL 3 vagy SIL 4 követelményeket támasztanak. A SIL érték növelése a
biztonsági rendszer célirányos (át)tervezésével, a kritikus komponensek
megbízhatóságának növelésével, illetve redundáns érzékelő, szabályozó és
beavatkozó elemek alkalmazásával érhető el.

29
 10. ábra: A hiba valószínűségének (PFD) meghatározása egy rendszerre. [4]

Σ𝑃𝐹𝐷 = 𝑃𝐹𝐷𝑆𝑒𝑛𝑠𝑜𝑟 + 𝑃𝐹𝐷𝐿𝑜𝑔𝑖𝑐 + 𝑃𝐹𝐷𝐴𝑐𝑡𝑢𝑎𝑡𝑜𝑟

Az IEC 61508 szabvány kimondja, hogy az irányított berendezés (EUC) irányító

rendszerének és a védelmi rendszernek fizikailag is függetlennek kell lennie
egymástól. Míg az előbbi rendszer aktív, addig a védelmi rendszer passzív rendszer.
Ezt azért fontos kiemelni, mert az alapfolyamat irányításában egy hibajelenség
rendszerint azonnal észrevehető a személyzet által, addig a biztonsági rendszer jobb
esetben évekig nem avatkozik be a folyamatba (ezért passzív). Ezért nem elegendő a
precíz tervezés, a megfelelő védelmi rendszer kiválasztása, hanem szükség van ún.
„proof”, azaz intenzív tesztre az éles beüzemelés előtt, és rendszeres karbantartásra.
A proof-teszt olyan periodikusan végrehajtott „stressz-teszt” a biztonságosra
műszerezett rendszerben, amely során nemcsak a megbízhatóságról lehet
megbizonyosodni, hanem akár új, eddig még fel nem fedezett hibák detektálására is
lehetőség van.

30
11. ábra: A PFD-értékek megoszlása egy biztonsági szabályozási körben
(forrás: phoenixcontact.com)

31
6. Működésbéli biztonság: IEC 61511
Az IEC61511-es szabvány a folytonos technológiákra lett kidolgozva és a
funkcionális biztonságú berendezések létesítésére és működtetésére vonatkozó
követelményeket tartalmazza. A szabvány megköveteli, hogy a kivitelező kövesse
végig az ipari biztonsági rendszerek életciklusát (12. ábra). Minden fázisban
szükséges a verifikáció. Nem tévesztendő össze a validációval, amelyre a rendszer
telepítése után van szükség, a biztonsági követelmények kielégítettségének
meghatározásához.

6.1. A szabvány felépítése

Az IEC 61511 irányelv 3 szakaszra osztja a biztonsági életciklust:

 Elemzési fázis
 Megvalósítási fázis
 Üzemeltetési fázis

Minden fázist, minden lépést részletesen dokumentálni kell.

Part Leírás
Felépítés, definíciók, rendszerek, hardveres és szoftveres
követelmények
IEC 61511-1
(Frameworks, definitions, systems, hardware and software
requiements)
Útmutató az első rész alkalmazásához
IEC 61511-2
(Guidelines in the application of Part 1)
Útmutató veszély és rizikó analízishez/szükséges SIL szint
IEC 61511-3 meghatározásához
(Guidelines in the application of hazard and risk analysis)
6. táblázat: IEC 61511 logikai felépítése

32
6.2. Életciklus modell

12. ábra: IEC 61511 biztonsági életciklus egyszerűsített nézete

(simplified view of the Safety Lifecycle)

6.2.1. Elemzési fázis

Kulcskérdés: Mekkora biztonságra van szükségem? (How much safety do I need?)

Az elemzési fázisban három nagyon fontos lépés van a tervezés megkezdése előtt.

13. ábra: A három legfontosabb tervezés előtti lépés kapcsolata

33
 Az 13. ábrán látható 3 interakció az életciklusban az elemzési szakasz. Ezalapján
készül el biztonsági követelmények meghatározása (SRS = Safety Requirements
Specification). A lehetséges veszélyek megismeréséhez és a rizikó megítéléséhez
egy, a leggyakrabban alkalmazott analízis metódus a HAZOP. Az analízis eredménye
szempontjából lényeges elem a biztonsági követelmények meghatározása (SRS) a
biztonságtechnikai rendszer számára. Az SRS leír minden biztonsági funkciót (SIF),
különösen a felállított követelmények tekintetében és megadja a szükséges SIL
értéket.

14. ábra: Biztonsági igények meghatározása és a hozzá szükséges bemeneti adatok

6.2.2. Megvalósítási fázis:

Kulcskérdés: Mennyire terveztem biztonságosnak a rendszert? (How much safety
in my design?)

Az SRS az alapja a további tervezésnek. A biztonsági életciklus megvalósítási

fázisa magában foglalja a SIS, illetve más védelmi réteg megtervezését, szerelést,
telepítését, üzembehelyezését és validálását. A rendszer megbízhatóságának
számszerűsítését különböző valószínűségszámításon alapuló modell segítségével
végezhető el. Ilyen a Markov modell, a hibafa analízis (FTA) vagy a megbízhatóság
háló. Ez a mérvadó az SIS megválasztásának, úgy, mint a hardveres és szoftveres

34
megvalósítása a biztonsági funkcióknak. A következő tevékenységek végrehajtása
tipikusan az SRS során dokumentált információk alapján történik:

6. Technológia és architektúra kiválasztása

7. Tesztelési filozófia meghatározása
8. Megbízhatósági/Biztonsági értékelés
9. Részletes tervezés
10. Telepítés és üzembe helyezés megtervezése
11. Telepítés és üzembe helyezés, indulás előtti vizsgálatok, tesztek
12. Validálási előkészületek
13. Maga a validálás

Az SRS tesztelése során szerzett eredmények szolgálják az adatokat a

dokumentáláshoz, amelyekre a rendszer átvételekor lesz szükség.

6.2.3. Működtetési fázis:

Kulcskérdés: Hogyan tarthatom biztonságosan? (How will I keep it safe?)

A működtetési fázis magában foglalja a SIS optimális üzemeltetését,

karbantartását, hibaelhárítását, módosítását és leszerelését. Az időszakos
funkcionális tesztek ugyanúgy a működtetés része. [6]

35
 7. Siemens S7 failsafe PLC-k és szoftverek bemutatása
A több mint 150 éves Siemens az ipari automatizálás egyik legmeghatározóbb
szereplője, csakugyan a folyamatipari biztonságban is jelentős piaci részesedéssel
rendelkezik. A Simatic S7 PLC családban több, a standard vezérlőkön felül az ipar
igényeinek megfelelő termékcsaládok is megtalálhatók. Ezek az alábbiak:

 „F”-es (Failsafe) CPU-k és bővítőmodulok: Emelt biztonsági

követelményű környezetben használatos, hibatűrő rendszerek; az írásom
tárgya, így erre nemsokára részletesen kitérek. Elérhető az S7-300, S7-
400 és S7-1500 családban.
 „H”-s (Highly available) rendszerek: Az ilyen rendszerek célja a
magasabb rendelkezésre állás, a termelékenység növelése (redundáns
rendszerek létrehozása), olyan esetben, amikor egy rendszerleállás/állás
nem lehetséges (pl. túl költséges lenne). Elérhető S7-400 családban.
 „T”-s (Technology) kontrollerek: A normál CPU-k kibővített verziói
célorientált alkalmazásokhoz. Elérhető az S7-300 és S7-1500 családban.
 „C” (Compact) egységek: Kompaktabb, jellemzően célgépek irányítására
használatos PLC-k, tartalmaznak integrált számláló és jelfogó funkciókat
is, de bővíthetőségük meglehetősen korlátozott. Elérhető az S7-300 és S7-
1500 családban.

Az "F"-es és „FH”-s rendszereket figyelemfelkeltő, sárga színnel különböztetik

meg a „hagyományos” elemektől. Ezek speciális, az emelt biztonsági
követelményeknek megfelelő programnyelvekkel használhatók, de jellemzően
normál programok futtatására is alkalmasak. Az iparban továbbra is igen kedveltek
a Siemens S7-400FH és S7-300F sorozatú vezérlők. A Simatic PLC-k önmagukban
SIL 3 képesek, SIL 4 előírásrendszere nem teljesíthető, csak többszörös redundáns
rendszerekkel és speciálisan elkészített programmal. Ilyen esetben külső független
szakértőt kell bevonni. Fontos tényező, hogy az „F”-es PLC-k rövidebb ciklusidővel
(process time) és/vagy megnövelt memóriával rendelkeznek normál társaikhoz
képest, de jelentősen drágábbak is.

36
7.1. Felépítés
Az S7-300F moduláris vezérlők robosztus és kompakt kialakításúak, általában
kisebb vagy közepes folyamatipari biztonsági feladatokra alkalmazzák (pl.: burner
control). Elsődleges felhasználása azonban az ipari automatizálásban van (safety-
related controls in the factory automation). Csak egycsatornás és egy CPU-s
változatban szállítja a Siemens, redundáns CPU-s változat ebben a termékcsaládban
nincs. A 300-as szériában 3 darab, csak Profibus DP-s (DO) vagy Profibus DP +
Profinet-es (DP/PN) kivitelek egyaránt rendelkezésre állnak. A felhasználhatóságot
szerintem nem is a számítási kapacitás, sokkal inkább a belső memória mérete
korlátozza. Az S7-315F CPU rendelkezik a legkisebb memóriával, ami csak kisebb
folyamatipari feladatok megvalósítására alkalmas. Az S7-317F már több memóriával
rendelkezik, míg a legnagyobb számítási teljesítménnyel és memóriával rendelkező
változat, az S7-319F már komoly feladatokra is alkalmas.

CPU
Teljesítmény
315F 317F 319F 414F-3 416F-2 416F-3

Integrált
384 / 512 1 / 1,5
2,5 MB 4 MB 5,6 MB 16 MB
memória KB MB
Utasítás - - - 680 KB 920 KB 2680 KB
memória
Program memória - - - 2 MB 2,8 MB 8 MB
Adat - - - 2 MB 2,8 MB 8 MB
memória
Bit 2 KB 4 KB 8 KB 8 KB 16 KB 16 KB
memória
I/O címzés n/a n/a n/a 8 KB 16 KB 16 KB
hossz

Bit/szó
0.045
50 ns 25 ns 4 ns 0.03 µs 0.03 µs
feldolgozási idő µs
Lebegőpontos 0.135
művelet 150 ns 75 ns 12 ns 0.09 µs 0.09 µs
feldolgozási idő µs
EN 954-1 up to Cat. 4, IEC 62061 up to SIL 3, and
Standards:
EN ISO 13849 up to PL e
7. táblázat: Siemens failsafe CPU-k teljesítményösszehasonlítása

Az S7-400-as CPU-k már magasabb teljesítménykategóriába tartoznak.

Egycsatornás (egy CPU) és hibatűrő multiprocesszoros megoldás egyaránt elérhető

37
ebben a családban. Jelentősen nagyobb memóriamennyiséggel (RAM) rendelkeznek
(lásd: 7. táblázat). Mindegyik széria rendelkezik memóriakártya foglalattal (MMC
slot).

Az „F”-es PLC-ken normál program is futtatható, sőt, folyamat BPCS és

biztonsági funkciókat egyaránt képes ellátni párhuzamosan 1 CPU-n, szigorú
feltételekkel. Elosztott I/O konfiguráció is lehetséges „normál” és biztonsági I/O
modulokkal. Az ilyen fizikai megvalósításoknál a normál és az „F”-es, fokozott
követelményeknek megfelelő I/O kártyákat egy leválasztó kártyával el kell
szeparálni (lásd: x. ábra). Ez azt a célt szolgálja, hogy egy hiba esetén az F-es
modulok védve legyenek, egy közös okú hiba ne okozzon gondot (CCF) pl. egy
túlfeszültség. SIL 2 lehetséges leválasztó modul nélkül is, de bizonyos feladatoknál
és SIL 3-hoz mindenképp kötelező alkalmazni. Ugyanígy: A BPCS programokat és
a biztonsággal-kapcsolatos programokat SZIGORÚAN el kell különíteni, a kettejük
közötti adatcserét speciális konverziós funkció blokkok alkalmazásával lehetséges
megoldani (F-Call eljárással). A biztonsági funkciókat a CPU kétszer hajtja végre. A
potenciális hibákat a rendszer az eredmények állandó összevetésével detektálja
(kétcsatornás redundáns struktúra). Mindezt úgy, hogy a működés közel valós idejű.
[]

15. ábra: Példa egy ET 200 konfigurációra izolációs modullal

Az ET 200M/SM 300 moduláris I/O állomás hagyományos és hibatűrő

alkalmazásokhoz egyaránt felhasználható, fokozott követelményeknek megfelel. Az

38
Interace modullal Profibus és Profinet, opcionálisan száloptikás Profibus és HART
is elérhető. Ehhez vagy az S7-300-as PLC-hez 12 modul csatlakoztatható (64 DI
vagy DO), de alkalmazható robbanásveszélyes (ATEX – Ex-zone 2 tanúsítvány)
környezetben is és a modulok működés közben is cserélhetők (hot-swappable). Az
ET 200pro moduláris és többfunkciós I/O modul nagy teljesítménnyel és immár
IP65/67-es védettséggel és ugyancsak Profibus/Profinet csatlakozással rendelkezik.
A hibamentes működéshez szükséges funkciók a modulban integrálva vannak.
Mindkét I/O SIL 3 szintig hitelesítettek. A bemeneteknél program futása alatt meg
kell győződni arról, hogy a "0" logikai szintre a bemenetek működőképesek-e, azaz
a szakadásra végre tudja-e hajtani a lekapcsolást; valamint a kimeneteknél a
biztonsági program futása meg kell vizsgálni például visszacsatolással, hogy a "0"
logikai átmenetre a végrehajtó elemek működőképesek-e.

7.2. Redundancia megjelenése a PLC-knél

A biztonsági PLC-k két csoportra bonthatók, aszerint, hogy egy hiba
felismerésekor miként viselkednek:

 Hibatűrő vagy gyakran működésbiztos (Fault-tolerant) PLC-k

 Hibabiztos (Fail-safe) PLC-k

Hibatűrés további növelése tehát betervezett redundanciával, azaz tartalékolással

is lehetséges. Egyaránt létezik szoftveres és hardveres redundancia. Előbbi kevésbé
elterjedt, mert jelentős pluszmunkával jár, hiszen a specifikáció azonos, de az
algoritmusok, adatstruktúrák eltérőek, a programok más nyelveken, más fejlesztő
környezetekben kerülnek megírásra. Kettőféle redundanciát lehet meghatározni,
mindegyik más-más előnnyel és hátránnyal rendelkezik.

 Hideg vagy passzív redundancia

 Meleg, vagy aktív redundancia

A hideg redundancia csak hiba bekövetkezésénél kerül aktiválásra. Előnye, hogy

terheletlen a redundáns elem, így meghibásodásának valószínűsége alacsonyabb a
terheltnél. Hátránya, hogy időbe telik, míg átveszi az elsődleges elem helyét (pl. a
vezérlést). A meleg redundancia ugyanúgy működik, mint az elsődleges elem

39
(„árnyék”), ezért nagyon gyorsan átveheti az elsődleges helyét. Azonban a
meghibásodási tényező ekkor azonos lesz.

Hardveres redundancia alkalmazása sokszor a gyakorlatban korlátozásokba

ütközik (méret, ár, stb.), ennek ellenére a SIL mérőszám növelése a redundáns mérő,
szabályozó és beavatkozó elemek alkalmazásával is elérhető. Ezért használnak
sokszor SIL 1 vagy SIL 2 igény esetén „normál” (nem „F-es”) PLC-ket, mert a teljes
rendszer tartalmazhat olyan redundáns elemeket, amelyek a PLC-re eső "elvárást"
csökkentik. Ez azért lehetséges, mert a SIL előírás mindig az egész rendszerre
vonatkozik, azt a teljes rendszernek kell teljesítenie. Természetesen a programozást
kötött szabályok alapján kell végezni (pl. SCL előnyben részesítése).

16. ábra: Redundancia megvalósítása Siemens „FH” PLC-kkel [11]

Redundancia minden olyan esetben alkalmazott, amikor egy leállás egyáltalán

nem engedhető meg, és vannak típusok, amelyek kimondottan ilyen céllal
fejlesztettek (lásd: „H”-s PLC-k a Siemenstől).

A PLC belső redundanciája ugyancsak a biztonságot növeli. Egy biztonsági PLC

szignifikánsan több időt tölt belső diagnosztikával egy normál PLC-hez képest. Egy

40
belső kiegészítő redundancia és a diagnosztika (x. ábra) gondoskodik arról, hogy a
PLC elérje a kívánt biztonsági tanúsítványt.

17. ábra: Egy példa biztonsági PLC blokkdiagrammja

A fenti képen látható 1oo2 architektúrájú építkezés igen elterjedt. Ez a

kétcsatornád redundáns struktúra. Bár a felépítés eltérhet kis mértékben, a biztonsági
tanúsítvány megszerzését hasonló elvek alkalmazásával érik el a gyártók. A
Watchdog áramkör hajtja végre a belső diagnosztikát. A két mikroprocesszor
szinkronban működik, de a biztonsági funkciót vagy az egyik, vagy a másik végzi el,
a kibővített diagnosztika gondoskodik erről. Nem engedhető meg nem a teljes
programlefutás és az ilyen PLC-knél követelmény a két, egymástól független időalap
(melynek kiesése katasztrofális lehet), a feszültségfelügyelet és a kiegészítő
zavarvédettség.

7.3. Példarendszer bemutatása

Az egyetemen található biztonsági elemekből az alábbi felépítést állítottam össze,
ezen fogom a példákat bemutatni:

 Táp: PS307 24V/5A

41
  CPU: 315F-2 PN/DP
 Digital Output: SM 326F DO8x
 Digital Input: SM 326F DI24x

18. ábra: Összeállított, konfiguráltalan PLC rendszer

A CPU fejegységen látható állapotjelző LED-ek jelentése:

SF: (System Fault) Hardver, szoftver vagy konfigurációs hiba
DC5V: 5V tápfeszültség OK
FRCE: (Force) Kikényszerített állapot aktív
RUN: „Run” üzemmód
STOP: „Stop” üzemmód

Az üzemmód választó kapcsoló állásai:

STOP állás: Ez az középső, alapállás. Ebben az esetben a PLC program nem fut.
Lefelé a MRES állás van, amely bistabil, felengedés után egy rugó visszahúzza a
STOP állásba. MRES a memória törlésére alkalmas. Például egy behelyezett MMC
memóriakártya tartalmának törlése a következőképpen történik: Húzzuk le az
üzemmód választó kapcsolót „MRES” állásba kb. 9 másodpercig, míg a STOP LED
folyamatosan nem világít. Ekkor engedjük fel, majd húzzuk ismét a MRES állásba.
A STOP LED a törlési folyamat alatt gyorsan villog. Jelszóval védett program esetén
a művelet nem hajtható végre.

A RUN állásban futtatható a program. A PLC programozása RUN és STOP

állásban egyaránt lehetséges.

42
 Az MMC memóriakártyával a memória max. 8MiB méretig bővíthető, erre
történhet az adatlogolás is. Fontos, hogy egy „F”-esített memóriakártya csak F-es
PLC-kben lesz használható és jelszóval védett. Az általam használt jelszó: simatic.
Ez a jelszó szükséges a program módosításához is.

19. ábra: Jelszó beállítás

A PLC-k a huzalozott logikához képest egy új hibaforrással rendelkezik: ez a

szoftverhiba. Szoftver hiba is többféle lehet, több okból adódhat: Például lehet hibás
a megírt PLC program, ez a leggyakoribb, de lehet a fejlesztőkörnyezet fordítója
(azaz a compiler) vagy a PLC operációs rendszere hibás („bugos”), azonban az utóbbi
rendkívül ritka, mert mindkettőnek alapos teszteken kell átmennie. A megírt PLC
programnak is „minőségileg nagy értékűnek” kell lennie, ami azt jelenti, hogy az
előírt kritériumoknak megfelelően kell megírni, a korrektsége könnyen vizsgálható,
tesztelhetősége és karbantartása egyszerű, a program logikus és jól áttekinthető
legyen. A részletes dokumentálás itt is prioritást élvez. Ugyancsak a nagyobb
megbízhatóság miatt az utasításkészlet le van csökkentve, ezért a programozás
munkatöbblettel és nagyobb körültekintéssel jár.

A Siemens biztonsági rendszereit egy Step7-hez külön megvásárolható

/kiegészítő/ fejlesztőkörnyezettel lehet programozni. Ez a Distributed Safety, az F-
Systems, illetve a Simatic Safety Matrix. Mind biztonság-orientált
fejlesztőkörnyezet, „F”-es PLC-k programozásához használható, de előbbi a
„normál” Step7-et a TÜV által ellenőrzött és jóváhagyott „F”-es funkció blokkokkal
bővíti ki, a programozási „nyelv” pedig F-LAD és F-FBD. A Safety Matrix-nál ok-
okozat metódus alapján történik a programozás. Mindegyik fejlesztőkörnyezet SIL
3-ig hitelesített és megfelelnek az IEC 61511 biztonsági életciklus összes

43
követelményeinek, a tervezéstől kezdődően a programozáson át a karbantartásokig.
A Safety Matrix összetettebb folyamatipari projekteknél szívesebben alkalmazott
szoftver és kevésbé memóriaigényes.

7.4. Distributed Safety

A Distributed Safety programcsomag tehát egy biztonság-orientált kiegészítő
szoftver, amelyet a Step7 alapból nem tartalmaz, hanem külön megvásárlandó. A
szoftver telepítésével kapunk lehetőséget „F”-es PLC-k programozására. A
biztonsági program meghívása a normál felhasználói programból az F-Call eljárással
lehetséges.

7.4.1. Konfigurálás
A kezdeti lépések ugyan azok, mint már megszoktuk a Step7-ben: Először egy új
projektet hozunk létre, majd a Hardware Config-ban felkonfiguráljuk a PLC
rendszert:

20. ábra: Az előző fejezetben bemutatott PLC rendszer a HW Config-ban

A megfelelő hardverelemek kiválasztása után az I/O modulokat, a kommunikációt

és a CPU-t egyaránt konfigurálni kell. Ez az adott elem nevére duplán kattintva
lehetséges. Először az MPI vagy Ethernet interfészt kell beállítani, hogy a

44
kommunikálni lehessen a számítógép és a PLC között. A DI/DO modulokra kattintva
lehet a működési módot („Normal mode” vagy „Safety mode”), illetve az F és a
modulparamétereket beállítani. Alapbeállításként a normál működési mód aktív, ezt
át kell állítani.

21. ábra: DI modul beállítása biztonsági alkalmazásokhoz

Az F-CPU beállításainál a legfontosabb a védelem beállítása: A Distributed Safety

könyvtár csak akkor lesz látható, hogyha a HW Config-on belül a CPU
tulajdonságainál a „CPU contains safety program” mező ki van pipálva (elérése:
Dupla kattintás a CPU-ra a HW Config-on belül, Protection fül, lásd: x. ábra).
Ugyancsak itt, az Interrputs fülön állítható be az OB35 (ami egy időzítő OB fix
prioritással, ami beállítható időközönként kerül meghívásra és az alacsonyabb
prioritású OB-ket megszakítja) időzítése, az F paraméterek, jelszavak, stb. Fontos,
hogy az F-monitoring időnek nagyobbnak kell lennie, mint az OB35 hívás idejenek.

Az elkészült HW Config elmenthető és letölthető ( gombbal) a PLC-re. Ha a

beállítások helyesek, a Simatic Manager-en belül, a mappán belül
megjelennek sárga háttérrel a biztonsági rendszerblokkok (mint az FB1638, FB1639,
stb.)

7.4.2. Programozás
A programozás megkönnyítése érdekében, a Distributed Safety könyvtár TÜV
által jóváhagyott alkalmazásspecifikus blokkokat (például vész-ki, kétkezes
alkalmazások, némítás, kapu monitoring) is tartalmaz az F-rendszerblokkokon felül.
A felhasználó is létrehozhat saját blokkokat és a készítés során a fejlesztőkörnyezet
automatikusan ellenőrzi azokat biztonsági szempontból, segíti a hibafelismerést és
kezelést. Emellett természetesen lehet használni más, „normál” funkcióblokkokat is.
A vezérlő blokkok biztosítják a hardver és a szoftver hibájának detektálását és a

45
rendszer biztonságos állapotban tartását. A felhasználó a fail-safe FB-ken vagy FC-
ken belül a biztonsági programot F-LAD vagy F-FBD nyelveken írhatja meg. A
baloldalon lévő lenyitható menüben (x. ábra) Distributed Safety könyvtár
tartalmazza az F-alkalmazás blokkokat, amelyeket be lehet építeni a programba.

22. ábra: Distributed Safety blokk könyvtárak

Véleményem szerint a könyvtár, illetve az elérhető funkciók kimondottan a

gépipari felhasználást célozza. A rendelkezésre álló funkció blokkok közül a
leggyakoribbakat mutatom be következő lépésnek. Ezek a folyamatipar és a gépipar
területén egyaránt nélkülözhetetlenek. Először egy új FB-t kell beszúrni a Blocks (
) mappába (jobb kattintás a mappára, Insert -> S7 Block -> Function
Block). Egy „Properties – Function Block” ablaknak kell felugrani, amiben az F-FB
nevét (például FB1), szimbolikus nevét és a programozási nyelet kell megadni. Jelen
esetben F-FBD nyelvet kell használni. Más beállításra nem lesz szükség. Az „OK”
gombra kattintva lehet az FB-t létrehozni. Ezután duplán rákattintva szerkeszthető a
program és a Distributed Safety könyvtárból lehet behúzni az F-blokkokat.

 FB215: E-STOP_cat.1 (vészstop):

23. ábra: E_STOP funkcióblokk

Ez az alkalmazásblokk egyike a legalapvetőbbeknek, ez implementálja a vészstop

funkciót nyugtázással. Kiegészítő intézkedés az emberek és az üzem védelmére.

46
Ebben a példában a működtetett vészleállító gomb hatására a DO egy kimenetét
letiltja (a többi marad ugyanabban az állapotban), így leállítva a veszélyes rész,
gépegység vagy gép működését. A gép ismételt működtetéséhez a vészstop gombot
manuálisan vissza kell állítani az alapállapotába és nyugtázójel szükséges. A blokk
önmagában is alkalmazható, ha a hívás (F-Call), illetve az időzítések megfelelőek.
Ezt a későbbiekben, egy teljes példaprogramnál fogom részletezni.

1. E_STOP az Emergency STOP bemenet, használata kötelező. Ha nincs

késleltetés beállítva, a beérkező felfutó élre a Q kimenet azonnal logikai
1 értéket vesz fel.
2. Az ACK_NEC (Acknowledgment necessary = nyugtázás szükséges)
alapértelmezett értéke 1, nem kötelező felhasználni és ebben az esetben
az ACK bemenetet szükséges használni, felfutó élre történik meg a
nyugtázás. ACK_NEC=0 estén a működés automatikus.
3. Az ACK (Acknowledgment = nyugtázás) bemenet alapértelmezetten 0
értékű.
4. TIME_DEL (Time delay = késleltetés) egy TIME típusú változó,
alapértelmezetten T#0ms, vagyis nincs késleltetés.
5. Q az E_Stop kimenet, alapértelmezett értéke 0. Az E_STOP bemenetre
érkező felfutó él hatására azonnal logikai 1-re vált.
6. Q_DELAY alapértelmezett értéke szintén 0. TIME_DEL input
felhasználása esetén a beállított idő leteltével logikai 1-ről 0-ra vált.
7. ACK_REQ értéke logikai 1-et vesz fel az E_STOP bemenetre érkező
felfutó élre és visszaáll logikai 0-ra a nyugtázás beékezése után.
8. DIAG egy BYTE típusú diagnosztikai kimenet.

Az EN/ENO bemenet és kimenet nem használható.

Amennyiben az egyik változó háttere piros színnel jelenik meg,

mint itt: , az azt jelenti, hogy az adott jel/bemenet normál és nem

biztonsági. Ha jó biztonsági inputot adtunk meg és mégis piros a háttér, a HW
Config-on belül felül kell vizsgálni a DI kártya konfigurációját.

47
  Biztonsági kapu megfigyelés vészleállítással

Ez a példaprogram kapumegfigyelésre alkalmas. Amennyiben a biztonsági kaput

kinyitják, az a folyamat megállítását fogja eredményezni, hasonlóan egy vészstop
funkcióhoz. Létre kell hozni egy új funkcióblokkot (jobb kattintás a Blocks mappára,
Insert -> S7 Block -> Function Block). Egy „Properties – Function Block” ablaknak
kell felugrani, amiben az F-FB nevét (például FB10) és a programozási nyelvet (jelen
esetben is F-FBD). Ezután beszúrható az első blokk:

24. ábra: F-SFDOOR funkcióblokk

Ez a blokk hajtja végre magát a biztonsági kapu ellenőrzését a két (IN1 és IN2)
inputjel alapján. Az EN/ENO kapcsok itt sem használatosak.

 A Q kimeneti jel logikai 0 értéket vesz fel, amennyiben valamely input jel
(IN1 vagy IN2) logikai 0-ra áll. Ezekre a bemenetekre kell kötni a
pozícióérzékelőt.
 Ha IN1 és IN2 egyaránt logikai 1, vagyis zárt a kapu, vagy logikai 0, azaz
teljesen nyitott, akkor a Q kimenet értéke 1 lesz.

48
  Ha az ACK bemenetre felfutó él érkezik, akkor Q szintén 1 lesz.
 QBAD_IN1 és QBAD_IN2 bemeneteknek azonosaknak kell lenniük. Egy
QBAD_I_xx változó egy csatornához vagy egy F-IO-hoz tartozik. A
QBAD szignál az F-I/O DB-jéből származik (DB819.DBX2.1).
 Az OPEN_NEC (Opening neccessary at startup) és az ACK_NEC
(Acknowledgment neccessary) szintén egy adatblokkból szedi az
értékbitet (DB818. DBX36.4)

Következő lépésnek a leállítást kell megvalósítani. Ehhez előbb egy új Network

beszúrása szükséges. Itt bit logika használatára van szükség, nem az F blokkokra. b1
és b2 a kiegészítő memória bitek.

25. ábra: Vészleállítási funkció megvalósítása

Itt I6.0 a nyugtázás, I6.1 pedig a leállítás. I5.0 a vészstop bemenet. Az #Eng_kapu
a F-SFDOOR kimeneti jele.

26. ábra: Visszacsatolás megfigyelés

49
 Az F-FDBACK blokk Q kimenete logikai 1 éretéket vesz fel, ha az ON emenetre
is logikai 1 érték érkezik és nincs Feedback error. A QBAD bemeneti jele a DB820
adatblokk DBX2.1 bitjének értéke (F-I/O). A teljes program a függelékben található
meg.

Az F_CALL egy futásidejű csoport (Runtime group for failsafe software).

F_CALL eljárás használata szükséges, nélküle nem lehet használni a biztonsági
szoftvert. A compiler (fordító) külön fordítja le a biztonsági programrészeket a nem
biztonságitól, a funkció hívás pedig az F_CALL eljárással történik ciklikusan, jelen
esetben az OB35-ös blokkal (31. ábra). Új F-CALL funkció a Blocks mappára jobb
egérgomra kattintva, Insert -> S7 Block -> Function Block lehetséges. Meg kell adni
az FC nevét, és programozási nyelvnek nem F-LAD vagy F-FBD-t kell megadni,
hanem a legördülő menüből az F-CALL-t kell kiválasztani. Ezután felugrik a 27.
ábrán látható ablak. Itt a F-program blokkot kell betallózni, illetve opcionálisan a fő
F programblokk DJ-t kell megadni. Az F-runtime idejének nagyobbnak kell lennie,
mint az OB35 ciklusidejének (jelen esetben 100 ms választottam, ez a 30-as ábrán
lesz látható).

27. ábra: F-CALL blokk készítése

Mentés után még meg kell adni az F-runtime csoportot. Ehhez az Options
menüpontban az „Edit safety program” gombra kell kattintani és a 29. ábrán látható
ablak fog felugrani.

50
 28. ábra: Biztonsági program módosítása

29. ábra: A biztonsági program blokkjai

A biztonsági programnak a fenti képhez hasonlóan tartalmaznia kell az összes F-

blokkot és az F-CALL funkciót. Az 1-essel jelölt gombbal lehet az elkészült
programot lefordítani. Ekkor a felugró alakban végig lehet követni a hiba ellenőrzési
fordítási folyamatot. Ha minden jó, akkor hiba nélkül lefordul a program. a 2-essel
jelölt „Download” gombra kattintva lehet a lefordított programot a PLC-re tölteni.

A programot lehet PLCSIM-re tölteni, kipróbálása a valós hardveren lehetséges.

51
30. ábra: F-runtime group beállítás

52
7.5. Safety Matrix
A Safety Matrix-szal a Siemens egy ugyancsak TÜV által jóváhagyott biztonsági
életciklusmenedzsment eszközt kínál maximum SIL 3 biztonsági alkalmazási szintig.
Eszköz és módszertan egyaránt, mert nemcsak a PLC program elkészítéséhez, hanem
már a tervezési fázisban is alkalmazható. Az ok-okozati (cause and effect) mátrix
módszertan segítségével definiálható, hogy hogyan és milyen akciók legyenek
végrehajtva a biztonsági rendszerben. A módszer magában foglalja az folyamatipari
események kategorizálását valamint az okok és hatások összekötését. Ezeket a
kapcsolatokat nevezzük csomópontoknak (intersection), amelyek jelzik az adott
esemény okozta hatás(oka)t.

31. ábra: Safety Matrix logikai felépítése

Az okok sorokban találhatók, a képen látható módon. Ezek tükrözik az eltéréseket,

és ha a felhasználó által definiált feltételek teljesülnek, az adott ok aktívvá válik. Egy
mátrixban 128 ok adható meg, és minden okhoz maximum 3 bemenet tartozhat.

A hatások az oszlopokban foglalnak helyet, ezek tükrözik a műveleteket. Egy

mátrixban ugyancsak 128 ok adható meg, a kimenetek száma maximum 4 lehet

53
oszloponként. Ha az effekt aktív, akkor a hozzá rendelt tagok biztonságos értékre
lesznek állítva (amit szintén a felhasználó határoz meg).

Az okok és okozatok szerkesztése a cellába kattintva történhet. A felugró

konfigurációs ablakban az alábbiak állíthatók be (referencia: x. ábra):

1. Desc (description): Az ok vagy okozat leírása (tartály nyomás például)

2. Tag(ek): Az – okoknál bemenetek, okozatoknál kimenetek szimbolikus
nevei, ami a Simatic projectben állítható be. Lehet I/O vagy belső változó.
Maximum 3 bemeneti tag lehet okoknál és 4 kimeneti okozatoknál.
3. Action: Okozatoknál az adott tag-hez rendelt akció írható le (pl. nyitás,
zárás, stb.) Csak dokumentáláshoz szükséges.
4. SIL: Ebben a mezőben dokumentálható az adott ok/okozat kívánt SIL
szintje.
5. Cause number: Az ok sorszáma.
6. Input type: Bemenet típusa, analóg vagy diszkrét jel.
7. Number of inputs: Bemeneti tag-ek száma az adott okhoz.
8. Function type: Itt választható ki az a feltétel, amelyre az ok aktívvá válik.
9. Limit value és Limit type: Analóg értékeknél a felső vagy az alsó
küszöbérték állítható be. (lásd: x. ábra)
10. Hysteresis: Reakciókésedelem.
11. Eng unit: Mértékegység.

32. ábra: Tag-ek konfigurálása

54
 Az „Options” fülön további, részletes beállítások végezhetők el, például
jelkésleltetés.

33. ábra: Analóg paraméterek beállítása: limit érték, limittípus, hiszterézis,

mértékegység

A csomópontok azok a cellák, ahol az okok és a hatások találkoznak, és ez a cella

adja meg, miként reagáljon a hatás az okra. Ez négyféle lehet:

1. N (not stored)
2. S (set stored)
3. V (override)
4. R (resetable override)

Egy aktív ok aktiválja a kapcsolódó hatást is és Monitoring üzemmódban az adott

sor/oszlop pirossá válik.

Az ok-okozati logika elkészültével a mátrix áttranszferálható egy SIMATIC

projektté. A mátrix egy CFC-vé (Conitnuous Function Chart) lesz alakítva a Step7-
en belül, így a lefordíthatóvá és letölthetővé válik a PLC-re vagy a szimulációs
programba. Előtte természetesen ugyanúgy el kell készíteni a HW Config-ot és a
kezdeti lépéseket. Sőt, Step7-en belül, amennyiben egy új projekt során elkészítettük
a HWConfig-ot, az S7 Programs mappában egy új mátrix is beszúrható közvetlenül
(Jobb kattintás az S7 Programs mappára, Insert New Object, Matrix Folder, azon
belülre pedig beszúrható egy mátrix szintén jobb kattintással, Insert New Object,
Matrix) vagy külön betallózható az elkészült mátrix *.cem kiterjesztésű fájlja. [*]

Fontos: a logika validálása nem történhet PLCSim használatával. A PLCSim

ellenőrzéshez és hibakereséshez használható, a Safety Matrix validálása és
verifikálása pedig csak az aktuális rendszeren történhet. A Safety Matrix két

55
különböző módban használható: Offline módban kerül elkészítésre az ok-hatás
mátrix, és ebben a módban lehet a logikát lefordítani és a PLC-re tölteni. Monitor
módban lehet nyomon követni a valós idejű adatokat és a mátrix állapotát.

[*] A mátrix CFC-vé alakításához a Step7-en (5.5-ös verzió) felül szüksége van a
Simatic CFC 7.0-ás és az F-Systems 6.0-ás verziójára. Más verziók esetén nem
kompatibilisek egymással a szoftverek. Emiatt nem tudtam a példaprogramot
importálni, lefordítattni és tesztelni, sem PLC-n sem PLCSIM-en. Továbbá hogy
Windows 7 operációs rendszer alatt használható legyen, szükség van egy segédfájlra,
amelyet mellékeltem a CD-n (tabctlx32.obc fájl) a hozzá készített útmutatással
(readme.txt) együtt. Ezért inkább a program működésére és használatának
bemutatására koncentráltam ebben a fejezetben.

56
 8. Összegzés

A folyamatipari biztonságra egyre nagyobb hangsúlyt kell fektetni napjainkban.

Nemcsak azért, mert egyre komplexebbé válnak a folyamatok, egyre nő a precizitásra
való igény, - így egyre nagyobb a hibalehetőség is; hanem azért is, mert társadalmilag
és gazdaságilag is elvárt a természeti katasztrófák és az emberi sérülések, illetve halál
valószínűségének lehető legoptimálisabb szintre csökkentése. Ehhez szabályozásra
és nemzetközileg is elfogadott szabványok alkalmazására van szükség.
Szakdolgozatomat két fő részre lehet osztani: Az első nagy csoportban a
folyamatipari szabványokkal, illetve alkalmazásukkal foglalkoztam. Itt saját
készítésű, magyarra fordított képekkel színesítettem a szakdolgozatomat, melyeket a
Siemens Safety Integrated könyv alapján készítettem. A második részben - az inkább
gépiparban alkalmazott Siemens S7-300-as biztonsági PLC-vel, annak
építőelemeivel, programozásával és fejlesztőkörnyezetével foglalkoztam.

Szakdolgozatom készítése során részletesebben megismerkedtem a folyamatipari

biztonság területén alkalmazott szabványokkal, kiemelten az IEC 61508 általános,
funkcionális biztonsággal kapcsolatos és az IEC 61511 folyamatos technológiához
kidolgozott szabványokkal. Kitértem az gépiparba alkalmazott szabványokra,
felépítésükre, azok alkalmazására és az az Uniós, illetve állami irányelvekre.
Továbbá részletesen elemeztem a biztonsági PLC-ket (kiemelten az egyetemen is
megtalálható S7-315F típusú PLC-vel és hardverelemeivel), valamint a
fejlesztőkörnyezetüket. Példaprogramokkal (amelyek megtalálhatók a mellékelt CD-
n) bemutattam a fent említett Siemens biztonsági PLC konfigurálását, beállításait és
felprogramozását. Kiemeltem a specifikus beállításokat, melyek az Failsafe PLC-
khez és I/O modulokhoz kellenek.

Sajnos az elérhető fejlesztőkörnyezet és PLC csak korlátozottan alkalmas

folyamatipari biztonsági alkalmazásra. A Step7 + Distributed Safety programcsomag
nem tartalmaz folyamatiparban gyakran alkalmazott funkciókat, azok külön
vásárolhatók meg: Az F-Systems és CFC páros, illetve a Safety Mátrix alkalmazása
a folyamatiparban sokkal inkább célszerű. Azonban előbbi program egyetemen
elérhető verziója inkompatibilis a Step7 5.5-ös változatával és Windows 7 operációs
rendszerrel, továbbá bizonyos funkciók alkalmazásához S7-400F/FH rendszerek
szükségesek.

57
 9. Summary
The industrial safety system is becoming more important in these days. Not only
they have become increasingly complex processes, increasing the demand for
precision – witch means, the potetnial faults increasing too; but also socially and
economically it expects disasters and human injury or death to reduce the likelihood
of the highest possible level. For this reason, regulations and internationally accepted
standard is to be used. My thesis divided into two main parts: In the first part, I dealt
with the process industries standards and their adaptation. In the second part, dealt
with the Siemens S7-300 F failsafe PLC’s (– which is rather preferred in the factory
automation), its building blocks/accesories, programming, and development
environment.

In preparation my thesis, I got acquainted with more detailed standards in the field
of industrial process safety, especially with the general IEC 61508 and IEC 61511
standards. I touched the standards which applied in the Factory Autamation, their
composition, their application and I also mentioned the European Union and the state
guidelines. Furthermore, I analyzed the Siemens S7-315F safety PLC, including the
development environment (Distributed Safety, Safety Matrix, Step7 software
package) and the expansion elements. With the example programs I presented the
above-mentioned Siemens failsafe PLC configuration and programming.

Unfortunately, the development environment (IDE) and the PLC have limited
suitability for process industrie. Moreover Step7 and Distributed Safety packages
does not contain any frequently used process industry functions, they can be
purchased separately: The F-Systems, CFC and Safety Matrix even more preferred.
however, these old version programs are incompatible with Step7 version 5.5 and
Windows 7 operating systems.

58
 10. Függelék

A programozási folyamat során készített képeket a mennyisége miatt nem szúrom

be. Az összes képernyőkép a többi példaprogram mellett a mellékelt CD lemezen a
a „képek” mappában találhatók meg.

59
11. Felhasznált források
1) A szabványok (ellenőrizve: 2016. október 20.)
http://mmfk.nyf.hu/min/alap/15.htm

2) Iparbiztonság a katasztrófavédelem új szakterülete (ellenőrizve: 2016. október 28)

http://munkavedelem.unideb.hu/TM_tovabbkepzes/2012/Iparbiztonsag.pdf

3) Allen Bradley – Standards (ellenőrizve: 2016. október 23.)

http://www.ab.com/en/epub/catalogs/3377539/5866177/3378076/7131355/Introduction
.html

4) Safety Lifecycle Management - Emerson Exchange 2010 - Meet the Experts (ellenőrizve:
2016. október 30.)
http://www.slideshare.net/MikeBoudreaux01/safety-lifecycle-management-emerson-
exchange-2010-meet-the-experts

5) Rockwell Automation - IEC EN 62061 and EN ISO 13849-1:2008

http://www.ab.com/en/epub/catalogs/3377539/5866177/3378076/7555769/IEC-EN-
62061-and-EN-ISO-13849-1-2008.html

6) Allan Bradley – Biztonsági intézkedések és védelmi rendszerek – logikai eszközök (91. ábra)
(ellenőrizve: 2016. november 11.)
http://www.ab.com/en/epub/catalogs/3377539/5866177/3378076/7131359/Logic-
Devices.html

7) Siemens – Process Safety – Safety Life Cycle (ellenőrizve: 2016. október 23.)
http://www.industry.siemens.com/topics/global/en/safety-integrated/process-
safety/standards/safety-lifecycle/Pages/default.aspx?tabcardname=realization%20phase

8) Siemens Safety Integrated – Functional Examples 2007 (könyv)

9) Simatic Distributed Safety Getting Started (10/2004 - könyv)

10) Siemens - Options for programming and design (ellenőrizve: 2016. november 18.)
http://w3.siemens.com/mcms/simatic-controller-software/en/programming-
options/Pages/Default.aspx

11) Siemens Safety Integrated for Process Automation (2010 April - brossúra)

60
12. Ábrajegyzék
1. ábra: Nemzetközi szervezetek és a szabványjelek kapcsolódása ................... 8.
2. ábra: Kockázat mértékét befolyásoló tényezők ........................................... 12.
3. ábra: TÜV-SÜD által kibocsájtott minősítő igazolás ................................. 15.
4. ábra: IEC 61508 illetve a hozzá kapcsoló további szabványok .................. 16.
5. ábra: SIL és PL közötti átjárhatóság PFHdangerous érték alapján ................. 19.
6. ábra: Szabványok felhasználása. ................................................................ 20.
7. ábra: Biztonsági életciklus összhangban az IEC 61508 szabvánnyal ......... 23.
8. ábra: Technológiai kockázat és kockázatcsökkentés .................................. 25.
9. ábra: Megelőzési és kárcsökkentési rétegek kapcsolódása egymáshoz [4] .. 28.
10. ábra: A hiba valószínűségének (PFD) meghatározása egy rendszerre. [4] . 29.
11. ábra: A PFD-értékek megoszlása egy biztonsági szabályozási körben ........ 30.
12. ábra: IEC 61511 biztonsági életciklus egyszerűsített nézete ...................... 32.
13. ábra: A három legfontosabb tervezés előtti lépés kapcsolata ...................... 32.
14. ábra: Biztonsági igények meghatározása ................................................... 33.
15. ábra: Példa egy ET 200 konfigurációra izolációs modullal ....................... 37.
16. ábra: Redundancia megvalósítása Siemens „FH” PLC-kkel [11]............... 39.
17. ábra: Egy példa biztonsági PLC blokkdiagrammja .................................... 40.
18. ábra: Összeállított, konfiguráltalan PLC rendszer ..................................... 41.
19. ábra: Jelszó beállítás ................................................................................ 42.
20. ábra: HW Config ....................................................................................... 43.
21. ábra: DI modul beállítása ......................................................................... 44.
22. ábra: Distributed Safety könyvtár............................................................... 45.
23. ábra: E_STOP funkcióblokk ....................................................................... 45.
24. ábra: F-SFDOOR funkcióblokk ................................................................. 47.
25. ábra: Vészleállítási funkció ........................................................................ 48.
26. ábra: Visszacsatolás megfigyelés ............................................................... 48.
27. ábra: F-CALL blokk készítése ................................................................... 49.
28. ábra: A biztonsági program módosítása ..................................................... 50.
29. ábra: A biztonsági program blokkjai .......................................................... 50.
30. ábra: F-Runtime group beállítás ................................................................ 51.
31. ábra: Safety Matrix logikai felépítése ......................................................... 52.
32. ábra: Tag-ek konfigurálása ........................................................................ 53.

61
33. Analóg paraméterek beállítása .................................................................. 54.

62