IEC 61511 a SIMATIC Safety Matrix Nástroj pro správu životního cyklu SIS. Jan Kváč jan.kvac@siemens.com +420 2 3303 2462 +420 605 209 971

IEC 61511 a SIMATIC Safety Matrix Nástroj pro správu životního cyklu SIS Jan Kváč jan.kvac@siemens.com +420 2 3303 2462 +420 605 209 971

Motivace pro konstrukci bezpečného procesu / stroje netřeba zmiňovat: Ochrana osob, technologie, živ. prostředí Typická rizika: rotující části ostré hroty vstup do nebezpečné zóny Bezpečnostní funkce zasahuje i několikrát za den Používané normy: IEC 61 508 EN 62061, EN ISO 13849-1, EN 954 Bezpečnost strojů Typická rizika: nebezpečí výbuchu únik nebezpečné látky Bezpečnostní funkce zasahuje na pouze vyžádání, při výskytu nebezpečné poruchy, např. 1 za rok Používané normy: IEC 61 508 IEC 61 511 Bezpečnost procesů

Cílem procesní bezpečnosti je Určení rizik procesu Minimalizace rizik Riziko Rizika technického zařízení Modifikovaný návrh procesu Další opatření vedoucí k minimalizaci rizik Bezpečnostní systém Akceptovatelné riziko Nulové riziko není dosažitelné

Mezinárodní bezpečnostní normy IEC61508 IEC 61508 je považována za základní normu a základ pro bezpečnostní standardizaci. Pokrývá všechny aplikace, ve kterých jsou implementovány ochranné funkce spojené s bezpečností za pomoci elektrických, elektronických nebo programovatelných (logických) řídicích systémů. IEC61511 Na základě normy IEC 61508 je postaveny specifické normy, jako je IEC 61511 pro procesní průmysl nebo IEC 61513 pro nukleární elektrárny. Tyto oborově specifické normy jsou důležité pro projektanty a provozovatele konkrétních provozů.

Členění normy IEC 61511 IEC61511 Na základě normy IEC 61508 je postaveny specifické normy, jako je IEC 61511 pro procesní průmysl nebo IEC 61513 pro nukleární elektrárny. Tyto oborově specifické normy jsou důležité pro projektanty a provozovatele konkrétních provozů. IEC 61511-1 Rozsah, definice, systémy, požadavky na hardware a software IEC 61511-2 Aplikační příručka část 1 IEC 61511-3 Příručka pro určení a odhad požadované úrovně integrity bezpečnosti

Bezpečnostní přístrojový systém (SIS) SIS: Kombinace senzorů, logických modulů (např. řízení) a akčních členů, které detekují abnormální provozní stavy a vrací provoz AUTOMATICKY do bezpečného stavu. Bezpečnostní přístrojová systém (SIS) Základní procesní řídicí systém (BPCS) Vstupy Výstupy Vstupy Výstupy PT 1A PT 1B I / P Reaktor FT

Bezpečnostní funkce SIF dle IEC 61508 Podle IEC 61508 se musí uvažovat bezpečnostní funkce celé smyčky : Senzor Bin. I Anal. I Logic processing Bin. O Aktuátor Každá bezpečnostní funkce vždy zahrnuje celý řetězec, od detekce signálu a jeho zpracování po zamýšlenou akci. Získání bezp. informace Kombinace bezp. informace Vyvolání bezp. odezvy

IEC 61511 životní cyklus bezpečnosti SIS Zjednodušený postup Uvádění do provozu provozování potenciálně nebezpečných provozů v procesním průmyslu podléhá mezinárodní normě IEC 61511 V této normě jsou popsány postupy implementace funkční bezpečnosti v souladu s tzv. životním cyklem bezpečnosti. Ten se skládá ze tří částí Analýzy Implementace Provozu/údržby Všechny tyto fáze funkční bezpečnosti musí být dokumentovány. Tyto dokumenty jsou základem při dokazování bezpečnosti provozu a bezpečnostního přístrojového systému SIS

Životní cyklus bezpečnosti Zjednodušený postup Management funkční bezpečnosti a posouzení funkční bezpečnosti a audit Fáze životních cyklů bezpečnosti SIS a vrstvy posouzení funkční bezpečnosti Struktura životního cyklu bezpečnosti a plánování 1 2 Stanovení nebezpeční a rizika Přiřazení bezpečnostních funkcí k ochranným úrovním 3 Specifikace bezpečnostních požadavků pro bezpečnostní přístrojový systém 4 5 6 7 8 Návrh a technika bezpečnostního přístrojového systému Instalace zařízení do výroby a validace Provoz a údržba Modifikace Vyřazení z výroby Návrh a vývoj jiných prostředků redukce rizika Verifikace Analýza Implementace Provoz/údržba

Životní cyklus bezpečnosti Stanovení nebezpečí a rizika 1 Stanovení nebezpeční a rizika Cílem posouzení nebezpečí a rizik je: Určení nebezpečí a nebezpečných událostí v procesu a zařízení Určení sekvence událostí, které by mohly vést k nebezpečné události Posouzení rizik z hlediska přijatelnosti Vyjmenování všech požadavků na redukci rizika Určit potřebné bezpečnostní funkce pro dosažení potřebného snížení rizika Metody předběžné analýzy rizik PHA HAZOP, ETA, CLA, FMEA viz IEC 61511-3

Životní cyklus bezpečnosti Stanovení nebezpečí a rizika *PHA = Process Hazard Analysis

Životní cyklus bezpečnosti Posouzení nebezpečí a rizika, PHA příklad 1 Porucha (odchylka od cílového stavu) Příčina: Následek: SIS bezpečnostní přístrojový systém Ref # Doporučená akce: Nefunguje míchačka v reaktoru Porucha pohonu míchačky Nehomogenní rozložení v reaktoru má za následek nekontrolovanou reakci s možností výbuchu. Zvýšení tlaku v reaktoru Alarm vysokého tlaku v řídicím systému. Bezpečné odstavení systému. P&ID # s Instalace bezpečnostního ventilu a bezpečnostní funkce pro zajištění snížení tlaku (tlaková SIF). Provedení analýzy ochranných vrstev LOPA pro identifikaci potřebné SIL

Životní cyklus bezpečnosti Posouzení nebezpečí a rizika, PHA příklad 1 Detekce tlaku Bezpečnostní ventil

Životní cyklus bezpečnosti Přiřazení bezpečnostních funkcí k ochranným úrovním 2 Přiřazení bezpečnostních funkcí k ochranným úrovním Cílem přiřazení bezpečnostních funkcí k ochranným úrovním: určení požadovaného stupně snížení rizika určení SIL Kvantifikovaná analýza: jak moc každé opatření přispívá k celkové redukci rizik Metoda: LOPA Level Of Protection Analysis Určení úrovně integrity bezpečnosti spojené s každou bezpečnostní funkcí SIF Metoda: Graf rizik

Životní cyklus bezpečnosti Přiřazení bezpečnostních funkcí k ochranným úrovním Civil ochrana Retenční nádrž Civilní ochrana Pasivní ochrana Pojistný ventil, přetlaková ochrana Aktivní ochrana Bezpečnostní systém (automaticky) Bezpečné odstavení Safety system (SIS) Operátor zasáhne Základní automatizace Procesní data Procesní alarm Standardní chování Procesní řídicí systém Bezpečnostní vrstvy procesu

Životní cyklus bezpečnosti Přiřazení bezpečnostních funkcí k ochranným úrovním LOPA Layer Of Protection Analysis Spuštění události PL 1 PL 2 PL 3 PL 4 Následek Selhání pohonu míchačky předpoklad selhání 1 za 2 roky V reaktoru je směs nebezpečná směs je v reaktoru 50% roku Zásah operátora selhání operátora 0,1 Vysoký tlak Bezpečné odstavení Zásah přetlakového ventilu Exploze selhání SIF 0,1 selhání ventilu 0,07 1,75*10-4 0,1 Exploze 0,1 0,5 0,5 / rok Žádný následek F = 0.5 /rok * 0.5 * 0.1 * 0.1 * 0.07 = 1.75 x 10-4 /rok 1 exploze za 5 714 let!

Životní cyklus bezpečnosti Určení požadované SIL z LOPA Známe přípustné riziko zákaznicky specifické Potřebujeme znát potřebnou SIL pro SIF Spuštění události Selhání pohonu míchačky PL 1 PL 2 PL 3 PL 4 Následek V reaktoru je směs Zásah operátora Vysoký tlak Bezpečné odstavení Zásah přetlakového ventilu Přípustné riziko 1x za 10.000let 0,07 1x10-5??? Exploze 0,5 0,1 0,5 / rok Žádný následek PFD3 R / (F x PFD1 x PFD2 x PFD4) PFD3 (1x10-5 / rok) / (0.5 /rokx 0.5 x 0.1 x 0.07) PFD3 0.006 => 6 *10-3=> SIL 2

Životní cyklus bezpečnosti Tabulka hodnot PFD a PFH IEC 61 508 Safety Integrity Level Pravděpodobnost poruchy na vyžádání (PFD) za rok (s nízkým vyžádáním) Pravděpodobnost poruchy (PFH) za hodinu (Kontinuální mód provozu) SIL 4 >=10-5 až <10-4 >=10-9 až <10-8 SIL 3 >=10-4 až <10-3 >=10-8 až <10-7 SIL 2 >=10-3 až <10-2 >=10-7 až <10-6 SIL 1 >=10-2 až <10-1 >=10-6 až <10-5 SIL: Je výkonnostní kritérium SIS, které například popisuje pravděpodobnost selhání SIS v případě poruchy.

Životní cyklus bezpečnosti Přiřazení bezpečnostních funkcí k ochranným úrovním Určení potřebné SIL na základě grafu rizik

Životní cyklus bezpečnosti Specifikace bezpečnostních požadavků (SRS) na SIS 3 Specifikace bezpečnostních požadavků pro bezpečnostní přístrojový systém Funkční popis všech SIF co má daná funkce dělat Definice bezpečných procesních podmínek definice bezpečných procesních stavů, dosažitelných pomocí SIF Specifikace měřících signálů a limitů seznam instrumentace, alarmů,... Kritéria pro funkční testování SIF Provozní požadavky Rozhranní na další provozní zařízení Maximální a minimální hodnoty okolních podmínek teplota, stupeň krytí IP, zóna Ex Chování SIF v případě detekce poruchy SIL pro každou SIF Testovací intervaly T1, MTTR Výstupem je specifikace bezpečnostních požadavků (SRS) na bezpečnostní systém

Životní cyklus bezpečnosti Návrh a konstrukce bezp. přístrojového systému SIS Souhrn požadavků na SIS 4 Návrh a technika bezpečnostního přístrojového systému Výběr zařízení Identifikace parametrů architektury (HFT, SFF, proven in use) Hodnoty v souladu se SIL? Ano Určení pravděpodobností selhání (PFD, PFH) Ne Redesign Redesign HFT hardwarová tolerance k poruše SFF podíl bezpečných poruch Proven in use komponenta ověřená praxí PFD pravděpodobnost selhání na vyžádání PFH pravděpodobnost selhání za hodinu Hodnoty v souladu se SIL? Ne Ano HW návrh ověřen

Životní cyklus bezpečnosti Návrh a konstrukce bezp. přístrojového systému SIS Návrh architektury HW a SW HFT Hardware Fault Tolerance N, kolik HW chyb systém snese než přestane plnit bezpečnostní funkci N = 0 => jedna chyba vede ke ztrátě N = 1 => dvě chyby vedou ke ztrátě N = 2 => tři chyby vedou ke ztrátě bezpečnostní funkce AI AI DI DO DO AI Simplex AI DI DO DO Dual 1oo1 LS Triple AI 1oo2 ventily 2oo3 PT

Životní cyklus bezpečnosti Systémová architektura PE (PLC) a čidel dle 61511 Všechny bezpečnostní automaty SIMATIC Minimální požadavky na HFT mohou být redukovány o 1, pokud je použit přístroj osvědčený "Proven in use"

Životní cyklus bezpečnosti Příklad 1: určení systémové architektury Senzor 1oo1 CPU (dvou kanálové) Akční člen 1oo1 Určení SIL: HFT N = 0 SFF = 80% HFT N = 1 HFT N = 0 Certifikace Proven in use Senzor SIL 1 (bez redukce) PLC SIL 3 SIL 1 Akční člen SIL 2 (s redukcí, proven in use) Subsystém s nejnižší SIL určuje celkovou SIL bezpečnostní funkce!

Životní cyklus bezpečnosti Určení pravděpodobnosti selhání hardware Kromě hardwarové architektury musí být také určeny pravděpodobnosti selhání hardware u každé bezpečnostní funkce V tomto směru jsou důležité parametry: Pravděpodobnost selhání na vyžádání (používané hlavně v procesním průmyslu) Pravděpodobnost selhání za hodinu = PFD = PFH

Životní cyklus bezpečnosti Příklad 1: určení systémové architektury Senzor 1oo1 CPU (dvou kanálové) Akční člen 1oo1 PFD s =2,3*10-4 PFD l =4,8*10-6 PFD a =1,3*10-2 PFD sys = PFD s + PFD l + PFD a PFD sys = 2,3*10-4 + 4,8*10-6 +1,3*10-2 PFD sys = 1,3*10-2 => SIL 1

Životní cyklus bezpečnosti Příklad 2: určení systémové architektury HFT Analýza tlakové SIF (2 kanálový systém) Senzor MTA AI DO MTA Akční člen CPU 1oo1 Subsystém E Subsystém F Subsystém G Subsystém A Subsystém B Subsystém C Subsystém D ID Subsystém A Subsystém B Subsystém C Subsystém D Subsystém E Subsystém F Subsystém G Voting 1oo2 1oo2 1oo2 1oo1 1oo1 1oo1 1oo1 Proof test T1 1 rok 20 let 20 let 20 let 20 let 20 let 36 měsíců Popis P < 63 bar MTA F-AI F-Analog Input S7-400 F F-Digital Out MTA F-DO Gate Valve Výrobce Dummy Siemens Siemens Siemens Siemens Siemens Parker Lucifer Typ přístroje 7XYZ 1AH50-5XX0 1HE00-0AB0 417-HL04 2BF01-0AB0 1AL11-6XX0 generic Architekt. typ B B - - - - A SFF - - - - - - 61% PFDavg 5,79E-04 8,76 E-5 1.00 E-05 3.8 E-04 1.0 E-05 0 9,11E-03 SIL IEC 61511 SIL 2 IEC 61508 certificate SIL 3 IEC 61508 certificate SIL 3 IEC 61508 certificate SIL 3 IEC 61508 certificate SIL 3 IEC 61508 certificate SIL 3 IEC 61508 SFF 61 % SIL 2

Životní cyklus bezpečnosti Příklad 2: určení systémové architektury HFT Analýza tlakové SIF (2 kanálový systém) Senzor MTA AI DO MTA Akční člen CPU 1oo1 Subsystém E Subsystém F Subsystém G Subsystém A Subsystém B Subsystém C Subsystém D SIL 2 dle IEC 61511 SIL 3 dle certifikátu SIL 3 dle certifikátu SIL 3 dle certifikátu SIL 3 dle certifikátu SIL 3 dle certifikátu SIL 2 dle IEC 61511 SIL 2 SIL 3 SIL 2 Tato funkce splňuje max. SIL 2

Životní cyklus bezpečnosti Příklad 2: určení systémové architektury Senzor MTA AI DO MTA Akční člen CPU 1oo1 Subsystém E Subsystém F Subsystém G Subsystém A Subsystém B Subsystém C Subsystém D PFD s = 5,79*10-4 + 8,76*10-5 + 1*10-5 = 6,77*10-4 PFD A = 1*10-5 + 0+ 9,11*10-3 = 9,12*10-3 PFD s,1oo1 =6,77*10-4 PFD s,1oo1 =6,77*10-4 PFD L,1oo1 =3,9*10-4 PFD A,1oo1 =9,12*10-3 PFD s,1oo2 = ( 4 / 3 *PFD 1oo12 )+(0,1*PFD 1oo1 ) = 6,83*10-5 PFD sys = 6,83*10-5 + 3,9*10-4 +9,12*10-3 PFD sys = 9,58*10-3 => SIL 2 0.1 odpovídá β =10%

Použité vzorce

Bezpečnostní systémy pro procesní průmysl Hardware a programování

Bezpečnostní systémy pro procesní průmysl Programovatelné automaty a I/O Bezpečné & vys. dostupné Aplikace: procesní automatizace F Systems Automaty pro PROFIBUS CPU 412H CPU 414H CPU 417H Inženýring CFC Safety matrix Failsafe Aplikace: výrobní automatizace Distributed Safety Automaty pro PROFIBUS ET 200S F-CPU CPU 315F/317F/319F CPU 416F pro PROFINET CPU 315/317F/319F CPU 416F Inženýring FBD, LAD PROFIBUS s PROFIsafe profilem Akční členy senzory PROFINET s PROFIsafe profile * ET 200M ET 200eco ET 200S ET 200pro ET 200S ET 200pro * pro vysoce dostupné CPU je připojení periferií přes Profinet v přípravě

Procesní automatizace Redundantní bezpečnostní CPU Stejné CPU jako standardní H, bezpečnostní funkce se v nich aktivuje licencí na S7F Systems! Pro splnění požadavků SIL3 stačí pouze jedno CPU, druhé je CPU se přidává pro zvýšení dostupnosti systému! CPU 412-3H CPU 414-4H CPU 417-4H Pracovní paměť Load memory (plug-in) 768 kb 256 kb* 64 MB 2,8 MB 256 kb* 64 MB 30 MB 256 kb* 64 MB Procesní obraz PII/PIO 8 kb/8 kb 8 kb/8 kb 16 kb/16 kb FB/FC/FB 2048/2048/4095 2048/2048/4095 6144/6144/8192 Bitová paměť 64 kbytes 64 kbytes 128 kbytes * integrovaná

Bezpečné a výpadky tolerující S7 systémy... SIS a Standardní řídicí systém, oddělené řešení SIS S7-400FH Standardní ŘS S7-400FH s jedním CPU S7-400H ET 200M ET 200S PROFIBUS-DP s PROFIsafe profilem Distribuované I/O se standardními a bezpečnými I/O moduly Se standardními a bezpečnými I/O moduly (také bezpečnostní motorové startéry)

Bezpečné a výpadky tolerující S7 systémy... SIS a Standardní řídicí systém, integrované řešení S7-400FH S7-400FH s jedním CPU S7-400H ET 200M ET 200S PROFIBUS-DP s PROFIsafe profilem Distribuované I/O se standardními a bezpečnými I/O moduly Se standardními a bezpečnými I/O moduly (také bezpečnostní motorové startéry)

Flexibilní modulární redundance (FMR) AI DI DO DO Jakoukoliv komponentu můžete mít redundantní

Flexibilní modulární redundance (FMR) AI DI DO DO Jakoukoliv komponentu můžete mít redundantní Fyzicky oddělené automaty AI DI

Flexibilní modulární redundance (FMR) AI DI DO DO Jakoukoliv komponentu můžete mít redundantní Fyzicky oddělené automaty AI DI AI DO AI

Flexibilní modulární redundance (FMR) AI DI DO DO Dual Jakoukoliv komponentu můžete mít redundantní Fyzicky oddělené automaty AI DI AI DO Simplex AI Triple

Flexibilní modulární redundance (FMR) AI DI DO DO Jakoukoliv komponentu můžete mít redundantní AI AI DI AI DO Fyzicky oddělené automaty Toleruje několik poruch bez vlivu na bezpečnost

Flexibilní modulární redundance (FMR) Obrovská flexibilita při výběru úrovně redundance, tak aby vyhověla každé bezpečnostní funkci (SIF) AI AI DI DO DO AI AI AI DI DO 2oo2D (Dual 1oo1D) 1oo1D 2oo3 1oo2D 1oo3 3oo3 DO

Bezpečnostní decentrální periferie ET 200 Pro montáž do rozváděče ET 200S Universální zařízení s velkým množstvím použitelných modulů ET 200M Multi-kanálové S7-300 I/O ET 200iSP periferie do Ex ET 200 pro Malé a multifunkční ET 200eco Digitální I/O blok v IP65/67 Bez rozváděče Systematická konfigurace, velké množství funkcí Snadná instalace a kanálově specifická diagnostika SIMATIC ET 200: Vhodné I/O řešení pro každý požadavek

Bezpečnostní decentrální periferie ET 200 ET 200M F-AI a F-DO jsou široké pouze 40 mm Redukce velikosti rozvaděče Vyšší hustota kanálů F-AI HART, 6 kanálů SIL 3 0/4 20 ma, max délka kabelu 1000m podpora HART, lze deaktivovat F-DO, 10 kanálů 24VDC/2A Diagnostika Energized-to-Trip Pro aplikace ve fire and gas, EN54 nebo NFPA72 Hold last valid value jako bezpečný stav

Bezpečnostní decentrální periferie ET 200 ET 200M Použití safety protektoru Kombinace standardních a bezpečnostních karet v ET 200M 1) Zdroj 2) IM 153-2 3) standardní karty 4) Safety protector 5) bezpečnostní karty Novinka: Dosažení SIL 3 i bez oddělovacího modulu medulu mezi standardními a bezpečnostními kartami Popis karty Objednací číslo Šířka SM326, 24DI, fail-safe 6ES7326-1BK02-0AB0 80 mm SM336, 6AI, HART, fail-safe 6ES7336-4GE00-0AB0 40 mm SM326, 10DO, fail-safe 6ES7326-2BF10-0AB0 80 mm SM326, 8DO, fail-safe 6ES7326-2BF41-0AB0 40 mm Typy karet pro použití bez oddělovacího modulu

Bezpečnostní decentrální periferie ET 200 Bezpečnostní periferie do zóny 1 a 21 ET 200iSP F umožňuje (v zóně 1 a 2) Výměnu modulů (napájení, interface a IO) Připojení a odpojení sběrnice Připojení a odpojení senzorů Připojení a odpojení akčních členů Čištění modulů Update FW Konfigurace během Run Nové parametry modulům Přidání modulu

Bezpečnostní decentrální periferie ET 200 SIMATIC ET 200iSP F Digitální vstupní modul F-DI8 NAMUR 8 kanálů NAMUR (8 x 1oo1, 4 x 1oo2) Prodlužování pulzů prodloužení délky pulzu na definovaný čas Kontrola diskrepance mezi dvěma kanály Funkce časových značek update FW přes HW config Systémová diagnostika/monitorování linky Zkrat, přerušení vedení Flutter monitoring (rychlé změny z 0 na 1) Dig. výstup. modul F-DO 4, 17,4V DC 40mA Použití pro jiskrově bezpečné akční členy, solenoidnové ventily, DC relé Max. výstupní proud 80mA při paralelním zapojení aktuáoru Diagnostika přerušení vedení, zkratu a přetížení Diagnostické LED Interní diagnostický buffer Analogový vstupní modul F-AI4 HART Použitelná pro jiskrově bezpečné bezpečnostní převodníky HART funkce 4 kanály se vstupními rozsahy 0...20 ma/4...20 ma nebo 4...20mA with HART Monitorování přetečení a podtečení Diagnostika zkratu a přerušeného vedení Interní diagnostický buffer

Bezpečnostní systémy pro procesní průmysl Programování

Bezpečnostní systémy pro procesní průmysl Možnosti programování SIMATIC S7F Systems V6.1 SIMATIC Safety Matrix V6.2 Knihovna certifikovaných bezpečnostních bloků pro tvorbu bezpečnostního programu pro FH systémy. Stejné rozhranní jako u klasického CFC editoru. Nástroj pro správu životního cyklu bezpečnosti, který lze použít jak pro projektování a programování bezpečnosti, tak i během provozu a údržby.

F-programování: stejný vzhled a chování" jako u programování standardního Konfigurace bezpečnostních funkcí v S7F systems Jeden konfigurační nástroj pro realizaci standardních a bezpečnostních programů Programování pomocí CFC ve známém prostředí STEP 7 Integrovaná, certifikovaná knihovna se všemi standardními bezpečnostními funkcemi Testovací signály (např. přerušení vedení, zkrat nebo monitorování diskrepance) bez nutnosti programování Automatická kontrola programu (dělení nulou, kontrola typu proměnných, přetečení) Systematická správa dat v jednom projektu

Bezpečnostní systémy pro procesní průmysl S7F Systems

SIMATIC Safety Matrix Nástroj pro správu životního cyklu SIS

SIMATIC Safety Matrix Hlavní vlastnosti Certifikovaný nástroj pro správu životního cyklu bezpečnosti Uplatnění najde už při fázi analýzy a dále realizaci a provozu Jednoduchá konfigurace bez nutnosti programování Sledování změn a správa verzí Propojení příčin a účinků pomocí parametrů Automatické generování bezpečnostního programu, včetně bloku pro odstavení a OS bloků Integruje signalizační i dokumentační funkce Dynamické a barevně značené stavové zobrazení Online ovládání z vizualizace Safety Matrix

SIMATIC Safety Matrix Hlavní vlastnosti Podpora fáze bezpečnostního živ. cyklu Použití Provozní módy Použitý hardware Safety Matrix Editor Fáze analýzy a implementace Vytvoření, konfigurace, testování a dokumentace logiky bezpečnostní matice. Vytvoření CEM importovacího souboru Offline provoz Samostatné PC Safety Matrix inženýrské nástroje Fáze analýzy, implementace, fáze provoz a údržba Vytvoření, konfigurace, testování a dokumentace logiky bezpečnostní matice. Import/export CEM souboru. Přenos matice do projektu, kompilace, nahrání a monitorování bezpečnostního programu v CFC. Porovnání bezpečnostních matic na bázi CEM souborů a CFC. Konfigurace reportů a kontrola správnosti a validační report Online a offline provoz Samostatné PC s instalací PCS 7 Safety Matrix Viewer Provoz a údržba Ovládání a monitorování bezpečnostního programu Online provoz Operátorská stanice PCS 7

SIMATIC Safety Matrix Uživatelské rozhranní Seznam bezpečnostní funkcí SIF Účínek Následek (efekt) Příčina Průsečík

SIMATIC Safety Matrix Hlavní vlastnosti Stanovení nebezpeční a rizika Přiřazení bezpečnostních funkcí k ochranným úrovním Specifikace bezpečnostních požadavků pro SIS Implementace Provoz Funkce matice během fáze analýzy Instalace na jakékoliv PC bez inženýrských nástrojů Nejsou vyžadovány žádné programátorské znalosti, projektant může na základě identifikovaných bezpečnostních rizik k jednotlivým událostem (příčinám) přiřadit reakce bezpečnostního systému (účinky) Zadávání bezpečnostních funkcí, jejich popis Definice logiky příčin a účinků Až 3 vstupy na příčinu Až 4 výstupy na účinek (efekt) Export matice do nástrojů ES

SIMATIC Safety Matrix Hlavní vlastnosti Stanovení nebezpeční a rizika Přiřazení bezpečnostníc h funkcí k ochranným úrovním Specifikace bezpečnostních požadavků pro SIS Implementace Provoz Funkce matice během fáze implementace Vytvoření vztahu mezi příčinami jako 2oo3, AND, OR Definice hodnot odstavení při konfiguraci příčiny Posouzení časových požadavků na příčinu a účinek Posouzení chyb signálu a modulů Před zpracování hodnot (preprocessing) Účinek může řídit přímo až 4 akční členy Integrované funkce pro simulaci a bypass Integrovaná limitace simulace na 1 převodník ve voting skupině Vyvolání po aktivaci příčiny, bez blokace, s blokací a nutným resetem Vyvolání po aktivaci příčiny, možnost bypassu, výběr XooN Generování bezpečnostních skupin, alarmové skupiny, předběžné alarmy a alarmy diskrepance

SIMATIC Safety Matrix Definice příčin Ukázka Definice názvu příčiny Definice časové závislosti Možnost Definice nastavit tagu bypass interní, SW externí nebo HW pro účely údržby Možnost nastavit potlačení příčiny např. při nájezdu technologie Definice typu a počtu vstupů Definice závislosti vstupů Pokud není zaškrtnuté, musí oper. odkvitovat příčinu Indikace příčiny, která nastala jako první. Příčiny lze dělit do skupin a zobrazovat první došlou ve skupině

SIMATIC Safety Matrix Definice účinků Zpoždění efektu Ukázka Výběr až 4 tagů Bypass efektu ze SW Definice názvu efektu Popis akce Resetovací nebo deblokovací tag Čas pro deblokovacíi Možnost na výstup poslat místo efektu procesní hodnotu.

SIMATIC Safety Matrix Definice průsečíků Ukázka Definice chování Definice chování

SIMATIC Safety Matrix Hlavní vlastnosti Stanovení nebezpeční a rizika Přiřazení bezpečnostníc h funkcí k ochranným úrovním Specifikace bezpečnostních požadavků pro SIS Implementace Provoz Ukázka Funkce matice během fáze provozu Kompletní integrace do ŘS SIMATIC PCS 7 Zobrazení a uložení první došlé poruchy Integrované provozní funkce bypass, reset, override a změna parametrů Zobrazení sekvence událostí a její uložení Automatické ukládání zásahů operátora pro potřeby správy životního cyklu bezpečnosti Sledování verzí Dokumentace modifikací

SIMATIC Safety Matrix Hlavní vlastnosti Stanovení nebezpeční a rizika Přiřazení bezpečnostníc h funkcí k ochranným úrovním Implementace Specifikace bezpečnostních požadavků pro SIS i Aktivní druhé čidlo nad limitem varování příčiny, a následné vyvolání tlak nad limitem účinku Provoz Ukázka

Alarmy a konfigurace alarmů Nastavení barev Použití PCS 7 Standardů Nebo výběr uživatelských barev Uživatelsky def. PCS 7 Standard Možnost uzpůsobení barev podle potřeb a místních pozadavků

Alarmy a konfigurace alarmů Nastavení barev Předdefinované zobrazení příčin a účinků

SIMATIC Safety Matrix Ukázka CPU 414FH DO0 DO1 Přívod paliva DO4 DO5 Přívod vzduchu F-AI 2oo3 DI0 DI1 DI2 Měření tlaku 2oo3

SIMATIC Safety Matrix Přínosy použití Safety Matrix během realizace Snadné programování s využitím metody příčin a účinků, není nutná znalost programovacích technik Konfigurovatelná funkce předzpracování vstupního signálu, funkce generování výstrah a dostupnost diagnostické informace u každé jednotlivé příčiny i účinku včetně symbolického označení veličiny předběžné výstrahy u analogových signálů, Volitelné barevné schéma zobrazení zpráv a výstražných hlášení Automatické generování bezpečnostních programů ve tvaru CFC včetně ovladačů Automatické sledování verzí Vestavěné sledování změn Tisk úplné matice příčin a účinků.

SIMATIC Safety Matrix Přínosy použití Safety Matrix během provozu Integrace do řídicího systému SIMATIC PCS 7 Zobrazení konfigurace SIS i výstrah s použitím matice příčin a účinků Zobrazení symbolického označení veličiny ve výstražném hlášení Zobrazení a ukládání sekvence událostí Okamžité zobrazení a ukládání výstrah Vestavěné obslužné funkce typu přemostění, nastavení počáteční hodnoty, vložení přednostní hodnoty a změny hodnoty parametru, Automatické ukládání a dokumentování všech zásahů operátora Automatické sledování verzí, Automatické dokumentování změn.

Děkuji za pozornost Jan Kváč jan.kvac@siemens.com +420 2 3303 2462 +420 605 209 971