SIMATIC S7- 400F/FH Systèmes de sécurité Tolérance aux défauts Bernard Mysliwiec A&D AS V6 Tel.: 0911/895-4581 bernard.mysliwiec@nbgm.siemens.de

Sommaire Buts Structures Concepts Highlights Système de sécurité Système tolérant aux défaillances Concepts Programme pour la sécurité Module de périphérie de sécurité Highlights

Motivations Pourquoi utiliser un système de sécurité ou tolérant aux défaillances? Éviter les accidents et dommages en cas de défaillance TÜV Garantir la plus grande sécurité possible aux hommes, aux machines et a l‘environnement Verweis zu Folie Wichtige Normen !

Important Standards IEC 61508 Application-independent standard *) Functional safety of electrical / electronic / programmable electronic safety-related systems“ DIN V VDE 0801 Fundamentals for computers in systems with safety tasks VDI/VDE 2180 Ensuring the safety of process plants using instrumentation and control prEN50156 Standard for burner controls “Electrical equipment for burner systems…” (en) EN 298 Standard for burner controls “Automatic gas burner control systems …” EN 954 Standard for the safety of machinery “Safety related parts of control systems” *) DIN V 19250 “Fundamental safety considerations for protection facilities in measuring and control technology” Supplement to Motivation slide for the use of F systems

Safety Risk (2) Risk parameters: Severity of injury/damage Frequency and/or exposure time to hazard F1: Seldom to quite often F2: Frequent to continuous Possibility of avoiding the hazard P1: Possible under specific conditions P2: Scarcely possible Probability of occurrence of the undesired event *) )* W1: Extremely low W2: Low W3: Relatively high 1 2 (1) 3 (1) 5 (3) 7 (4) 8 (4) S1 P1 P2 F1 F2 S2 S3 S4 W3 W2 W1 DIN requirement classes (... ) IEC-SIL - 2 4 (2) 6 (3) S1: Slight personal injury; minor environmental damage S2: Serious irreversible injury to one or more persons or the death of a person; temporary serious environmental damage S3: Death of several people long-term serious environmental damage S4: Catastrophic effects, many deaths

The task for safety engineering: Safety Risk (1) The task for safety engineering: Reducing the safety risk to the limit risk by using suitable measures Limit risk (acceptable risk) Risk without protection measure Actual residual risk Risk parameters: Hazard identification and analysis Risk assessment and classification Necessary minimum reduction in risk

Risk Consideration Failsafe (F-...) Risiko der Risk of the controlled equipment Acceptable risk Rest- Residual risk Necessary risk minimization Actual risk minimization Risk minimization achieved through all safety systems and e.g. organizational measures From IEC 61508: Partial risk covered by other technologies (mechanical, optical, etc.) electronic and electrical safety systems external facilities and measures Growing risk Failsafe (F-...) Property of a system that uses suitable organizational and technical measures either to prevent hazards deterministically or to reduce them to a tolerable level.

Domaines d‘application Chimie, Pétrochimie Produits de base Environnement Production d‘énergie Système de manutention Presses Lignes de fabrication Transport de personnes et beaucoup d‘autres !

Intégration complète dans le système Safety Integrated: une gamme complète de produits pour des applications de sécurité Communication via PROFIBUS-DP (PROFISafe) Automatisation et Sécurité intégrée Totally Integrated Automation: Des solutions d ’automatisation pour l ’avenir Triple continuité (Programmation, mémorisation, communication) Réduction sensible des coûts d ’ingénierie T.I.A. Hinweise: Programmierung: Verteilung des Programms auf die beiden CPUs ist BeSy-Leistung (Alleinstellungsmerkmal) Verwendung aller S7-Programmiersprachen ohne Einschränkungen bezüglich des Befehlsvorrats Anwenderprogramme zwischen Standard-CPU und H-CPU direkt portierbar

Caractéristiques Base sur l‘automate de disponibilité S7-400H CPU 417-4H avec bibliothèque spécifique de fonctions de base de sécurité Logiciel particulier de paramétrage des fonctions de sécurité Programmation en CFC Traitement de programmes Standard et de programmes de sécurité Blocs d‘entrées/sorties de sécurité (F-SMs) Protocole spécifique pour communication de sécurité (PROFISafe) ET 200 M-F

S7-400F Système de sécurité S7-400 F Classes de sécurité: SIL 3 / AK 6 / Cat.4 Communication standard et de sécurité via standard PROFIBUS-DP Blocs d’E/S spécifiques pour les fonctions de sécurité

Architecture: Îlot de sécurité en mode mixte PC Standard-Progr. software STEP7 CFC HW-Config WinCC  Integration in PCS7/ TIA F-Programmingtool F-FB-Library F-Tool OMs for F-SMs RUN-P RUN STOP CMRES 1 Standard-CPU 417-4H F-Application programm F-FBs with time diversitary redondancy Bisher Entwicklung einer F-CPU nach der Entwicklung einer Standard-CPU kürzere Entwicklungsdauer durch Parallelentwicklung von Standard- und F-Komponenten F-Entwicklung beendet, bevor die Standard-CPU verfügbar ist Nutzung zukünftiger Innovationen der Standard-Komponenten ohne Nachzertifizierung Standard-ProfibusDP F-SMs in ET 200M PROFISafe-Safety profil

S7-400F/FH Système S7 tolérant aux défaillances Disponibilité Deux CPUs Structure de bus redondante Modules de périphérie SIL 3 (AK 6) Pas de limite de temps en marche dégradée

Architecture: mode twin et modularité RUN-P RUN STOP CMRES PC RUN-P RUN STOP CMRES red. CPU S7-400FH Programmes Standard- et de securite- dans une CPU Mischbarkeit von Standard-, H- und F-Systemen und Komponenten Skalierbarkeit hinsichtlich Fehlersicherheit und Verfügbarkeit Standard- et F-SMs un seul Profibus DP redondant F-SMs redondant Standard-SMs redondant Profibus DP Communication Standard- et PROFISafe- via Profibus DP

Systeme d‘exploitation Ilot F protégé CPU- Hardware Standard proramme application CEM, tout types de defauts CPU- Systeme d‘exploitation Eine der Schwierigkeit bei der Fehlersicheren Steuerungen ist die Abnahme. Die Größe der Betriebssysteme und deren Realisierungswege machen sie besonders unfreundlich für der Abnehmer. Dazu ist der Vielfalt der Programmiersprachen einen zusätzlichen Beitrag an der Verzögerung des Abnahmesverfahren Sicheren Anwenderprogramm auf Basis der Zeitdiversitäre Redundanz Sichere Übertragung über PROFIBUS über ProfiSafe Sichere Peripherie Baugruppe durch redundanten Aufbau und Selbstest . Programme de securite Modules de Peripherie de securite (F-SM) Telegramme securise

S7-F concept: Redondance temporelle diversitaire Traitement double par des instructions diversitaires Redondance temporelle et Diversité sans redondance structurelle Operanden Codierung Diversitäre Operation Ergebnis Diversitäres Vergleich Stop Zeit Zeitredundanz A, B /A, /B C D = /C bei D ¹ /C UND ODER Zeit diversitäre Redundanz: Zeit Redundanz weil eine bestimmte Funktion zweimal an zwei verschiedenen Zeitpunkte realisiert werden Diversitäre weil die Funktion jedesmal mit diversitäre Anweisungen der CPU Rechner geschrieben werden (positive Logik und negative Logik bei der Und Funktion: pos. Log. durch AND neg. Log. durch OR. Die Sicherheit wird durch den anschliessende Ergebnissvergleich und Signaturvergleich (jeden Datensatz verfügt um einen Signatur) Dieses Konzept wird als encoded processor Verfahren bereits in der Verkehrtechnik (Matra, U-Bahn Lyon) eingesetzt und erreicht dabei SIL4! Traitement logique du programme et contrôle de flux des données

S-7F Concept: Programmer avec des blocs CFC certifiés TÜV Verweis auf technischen Folien: Geschützte F-Inseln Zeitdiversitäre Redundanz Mehr Details

S7-400F/FH Structure du programme applicatif Programme Standard OB1 programme Failsafe (OB35) Programme Standard OB1 programme Failsafe (OB35) Programme Standard OB1

S7-F Composants logiciels F-Programmingtool 6ES7 833-1CC00-0YX0 including F-Blocks library F-Copy Licence, for one F or FH system 6ES7 833-1CC00-6YX0 including TÜV stickers CFC V5.1 6ES7 813-0CC04-0YX0 if not installed S7-SCL V5.1 6ES7 811 0CC04-0YX0 Dokumentation Systeme de securite, Ausgabe 1, 12.99, Bestell-Nr. 6ES7 988-8FA10-8AA0

Module de périphérie de sécurité (F-SMs) Architecture 1oo2 Microcontrôleur redondants Diagnostic de défauts internes et externes par exemple: Comparaison des deux microcontrôleurs Autotests des microcontrôleurs Tests des entrées et des sorties Les signaux d‘entrées sont lus par les deux microcontrôleurs et analyse de discordance des signaux d‘entrées redondés Relecture des signaux de sortie et analyse de discordance deuxième circuit de coupure pour les sorties SIL2 ou SIL3 par paramétrage l‘unité centrale dispose des informations d‘état et de défaut Communication avec la CPU via PROFISafe

S7-F - Architecture des modules E/S Interface Bus F-DA Microcontroleur Liaison sure Microcontroleur Etage de sortie Deuxieme moyen de coupure (avec relecture) Borniers Sortie Alimentation externe L+

S7-F SMs Modules d‘entrées et de sorties de sécurité SM326F, DI 24xDC24V,de sécurité, 6ES7 326-1BK00-0AB0 avec alarme de diagnostic SM326F, DI 8xNAMUR [EEx ib], de sécurité, 6ES7 326-1RF00-0AB0 avec alarme de diagnostic SM326F, DO 10xDC24V/2A, commutant a P, 6ES7 326-2BF00-0AB0 de sécurité, avec alarme de diagnostic SM336F, AI 6x14Bit, de sécurité, 6ES7 336-1HE00-0AB0

Highlights du Produit Peripherie decentralisee de securite via PROFIBUS Coexistence de fonctions de securite et fonctions standard dans une meme unite centrale dans un seul bus PROFIBUS Tolerance aux defaillances par Redondance independante des CPU, PROFIBUS et des modules de peripherie Integration dans TIA / PCS7 SIL 3 / AK 6 / Categorie 4 dans une seule CPU Ouverture par raccordement direct de tous les composants PROFISafe

S7-400F/FH Integration systeme PC PC PC PC Engineering PROFIBUS or industrial Ethernet optional redundant Standard Ethernet S7-400 S7-400H S7-400FH S7-400 ESD, Boiler- protection

SIMATIC S7 - Concept d‘installations de securite et tolerantes aux defaillances Clients Parallel-Redundanz Plant Medien- Redundanz PC-Netzwerk / Terminalbus Server Parallel-Redundanz mit Archivabgleich Proces Medien- Redundanz PROFIBUS/ Ethernet H/FH-CPUs (hot standby) Hochverfügbare Kommunikation F-CPU Red SV SW-Redundanz warm standby F F Besonderheiten: aktuell: LWL und nur F-Sms in einer Station F Red. IM 157 Profibus-DP IM 157 (DP-PA-Link) DP-PA Koppler Profibus-DP Redundanter DP-BUS Red. IM 153 Field F- Peripherie Redundanter DP-BUS F- Peripherie mögliche F- DP-Geräte Red. Peripherie Red. IM 153 Red. IM 153 F mögliche F- PA-Geräte

A&D Safety Integrated Securite garantie SIEMENS Toujours une longueur d‘avance!