Sicherheits-Feldbus nähert sich mit SIL 3

»Der Feldbus ist reif für den Praxiseinsatz« – so lautete das Fazit der Feldbus-Erfahrungsberichte, die auf der NAMUR Hauptversammlung im November 2004 präsentiert wurden. Grundlage dieser Aussage waren chemische und pharma­zeu­tische Produktionsanlagen mit durchgängig digitaler Steuerung, die seit mehr als einem Jahr erfolgreich in Betrieb waren. Diese Erfahrungen von DSM, Sanofi-Aventis, Novartis und Clariant sind im FuRIOS 2 Kompendium zusammengestellt. Allerdings gab es noch einen Wermutstropfen: für die sicherheitsgerichteten Anlagenteile musste eine konventionelle Verdrahtung parallel zum Feldbus-Netzwerk installiert werden, da der sicherheitsgerichtete Feldbus auf Basis IEC 61158-2 nicht zur Verfügung stand – noch nicht! Auf der Interkama+ im April 2006 wurden die ersten Modelle sicherheitsgerichteter Feldbusgeräte vorgestellt.

NAMUR Empfehlung NE 97

Die im März 2003 veröffentlichte NE 97 »Feldbus für Sicherheitsaufgaben« definiert die Grundlage, auf der auch sicherheitsgerichtete Signale über das Feldbus-Netzwerk übertragen werden können. Eine der Grundannahmen ist, dass diese Signale zusammen mit den standardmäßigen Signalen der Anlagensteuerung über dasselbe Kabel übertragen werden sollen, eine zusätzliche parallele Verkabelung kann somit entfallen. Allerdings: geht man von einem Netzwerk mit max. 32 Teilnehmern aus und legt eine SIL Betrachtung der gesamten Signalkette inklusive Verarbeitung und Feldgeräte zugrunde, wie bei der konventionellen Punkt-zu-Punkt Verdrahtung, so bekommt man leicht einen Eindruck von der Komplexität dieser Aufgabe. Hinzu käme noch der Aufwand für die SIL-Zertifizierung aller Komponenten, da bei der neuartigen Feldbus­technologie eine stabile Datenbasis zur Beurteilung der Betriebsbewährung noch nicht vorliegen kann. NE 97, zusammen mit modernen Software-Sicherheitsmechanismen, eröffnet den Ausweg aus dieser Zwickmühle, indem das sicherheitsgerichtete Feldgerät als eine Einheit mit drei Funktionsgruppen betrachtet wird:

• Der eigentliche Sensor oder Aktor unterscheidet sich von seinem kon­ventionellen Zwilling nur durch die Feldbusanschaltung, hier ist die Betriebsbewährung nach NE 79 ausreichend.
• In der Feldbussoftware ist ein sicherheitsgerichteter Protokollstack definiert, der gemäß IEC 61508 zertifiziert ist und im Zusammenspiel mit der Sicherheits-SPS sicherstellt, dass Datenverfälschungen oder Datenverluste sicher erkannt und korrigiert werden.
• Der Gerätehersteller muss nun nur noch das Interface zwischen dem zertifizierten Protokollstack und dem betriebsbewährten Sensor/Aktor entwickeln und entsprechend zertifizieren.

Durch diese Betrachtung kann die aufwändige Zertifizierung des kompletten Gerätes entfallen. Darüber hinaus: Da der sicherheitsgerichtete Protokollstack jeden Daten­fehler softwaremäßig abfängt ist auch eine SIL Betrachtung der passiven Kommuni­kationselemente, also der Feldbus-Installationstechnik, nicht notwendig. Dies gilt natürlich nur, solange keine Signalverarbeitung in der Kommunikationskette stattfindet.

Des Weiteren gibt NE 97 Empfehlungen zu sicheren Feldbus-Topologien (vgl. Bild »Topologie für standard- und sicherheitsgerichtete Feldbussignale«) und Maßnahmen im Betrieb der Anlage.

Stand der Feldbusorganisationen

Sowohl die Profibus Nutzerorganisation (PNO) als auch die Fieldbus Foun­dation (FF) haben diese Anregungen aufgegriffen. Letztere startete Ende 2002 ein Projekt zur Weiterentwicklung des Foundation Fieldbus H1 in Richtung SIL 2 und SIL 3. Unter dem Namen »Fieldbus for Safety Instrumented Systems (FF-SIS)« wurden sicherheitsgerichtete Software Function Blocks entwickelt, die IEC 61508 genügen und parallel zu den Standard Function Blocks gemäß IEC 61158 eingesetzt werden können. Das heißt, das bekannte H1 Protokoll hat sich nicht geändert. (Black Channel, vgl. Bild »Aufbau des FF-SIS«)

Das Konzept wurde im Februar 2004 vom deutschen TÜV akzeptiert, im April wurde Infraserv Höchst Technik (heute R&M Industrieservice) mit den Validierungs­tests beauftragt und Ende 2005 begannen die Tests mit einer ganzen Reihe namhafter Anwender und Hersteller bei Shell DSM in Antwerpen.

Seitens Profibus sind schon weit über 3.000 Anlagen mit PROFIsafe in Betrieb, für die Prozessautomatisierung wurde das PROFIsafe Profil für PA-Geräte im Dezember 2004 freigegeben. Auch dieses Profil folgt den Empfehlungen der NE 97 (vgl. Bild »PROFIsafe für PA«). Hier wurden auf der Messe Interkama 2006 in Hannover die ersten Feldgeräte und Installationskonzepte präsentiert.

Feldbus-Installationstechnik und Sicherheitsfeldbus

Obwohl die Installationstechnik, wie oben dargestellt, keiner SIL-Betrachtung unterliegt, so muss sie doch eine maximale Verfügbarkeit gewährleisten und Signalstörungen auf ein Minimum reduzieren.

Obwohl letztere aufgrund der Sicherheits­mechanismen des zertifizierten Proto­koll­stacks nicht zu gefährlichen Situationen führen, so kann doch der kontinuierliche Betrieb der Anlage beeinträchtigt werden. Die Isolations-, Redundanz- und Schutz­kon­zepte von FieldConnex® sowie die umfangreichen Diagnosemöglichkeiten erlauben den Aufbau von optimal geschütz­ten Topologien für den zu­künf­ti­gen Einsatz von sicher­heits­ge­richteten Feldbussen.

Protecting Your Process