LION Sicherheitskonzept
Der L-BUS² sorgt für den sicheren Transport von Prozess- und Diagnosedaten zwischen Buskoppler und allen angeschlossenen Baugruppen. Die Software der SIL0-Baugruppen wurde nach dem normierten und standardisierten Entwicklungsprozess der EN 50128 entwickelt. Die SIL0-Module kommunizieren am L-BUS² rückwirkungsfrei. Die Feldebene der Baugruppen ist galvanisch isoliert.
Sichere Eingänge
Das E/A-Modul übermittelt die Prozesseingangs- und Diagnosedaten über den Buskoppler mittels eines gesicherten Feldbus-Protokolls an Die Steuerung. Die Steuerung bewertet die Daten anhand der Diagnoseinformationen, entscheidet über deren Gültigkeit und führt im Fehlerfall eine Fehlerreaktion durch.
Durch Diagnose- und Selbsttestfunktionen innerhalb der digitalen Eingänge sowie im Buskoppler, können Fehler erkannt werden. Dies führt zur Nullsetzung der Eingangsdaten im Prozessabbild und zur Kennzeichnung fehlerhafter Werte in den Diagnosedaten. Nicht beherrschbare Fehler im E/A-Modul führen zum sicheren Zustand (Failsafe).
Sichere Ausgänge
Das E/A-Modul schaltet die Ausgänge und ermittelt die Diagnoseinformationen. Die Diagnosedaten werden vom Buskoppler über ein gesichertes Protokoll an die Steuerung übertragen. Die Steuerung führt anhand der Diagnosemeldungen die entsprechende sicherheitsgerichtete Funktion aus.
Durch Diagnose- und Selbsttestfunktionen innerhalb der digitalen Ausgänge, sowie im Buskoppler können Fehler erkannt werden. Dies führt zur Abschaltung der Ausgänge und zur Meldung der Fehler mittels Diagnosedaten. Nicht beherrschbare Fehler im E/A-Modul führen zum sicheren Zustand (Failsafe) und Abschalten der Ausgänge.
Safety-Architekturen mit LION
Bei diesem Architekturmuster kann die Sicherheitsstufe SIL2* erreicht werden. Hierbei wird das Eingangssignal redundant/antivalent eingelesen. Der Anwender muss sicherstellen, dass die Plausibilitätsüberprüfung der eingelesenen Signale in der Steuerung erfolgt. Für die Antivalenz werden zwei Eingangskanäle benötigt. Dabei stehen dem Anwender alle Möglichkeiten offen, welche Eingänge dafür verwendet werden. Es können zwei benachbarte Eingangskanäle oder z.B. zwei Eingänge aus verschiedenen Modulen oder E/A-Stationen miteinander kombiniert werden.
Für SIL1* Anwendungen kann jeder sichere Eingangskanal einzeln verwendet werden. Hierbei wird das Eingangssignal des Sensors einkanalig eingelesen. Alle Eingänge werden zur Aufdeckung des Fehlerzustands "Stuck-at-High" zyklisch mit Testpulsen überwacht. Pro sicherem E/A-Modul stehen insgesamt 16 Eingangskanäle zur Verfügung.
Um die Sicherheitsstufe SIL2* zu erreichen, kann beispielsweise ein Architekturmuster eingesetzt werden, bei dem der Aktor zweikanalig, plus- und minus-schaltend angesteuert wird. Hierbei kommen zwei Ausgangskanäle zum Einsatz. Dabei stehen dem Anwender alle Möglichkeiten offen welche Ausgänge dafür verwendet werden. Es können zwei benachbarte Ausgangskanäle oder z.B. zwei Eingänge aus verschiedenen Modulen oder E/A-Stationen miteinander kombiniert werden.
Um die Sicherheitsstufe SIL1* erreichen zu können, genügt es das Ausgangssignal einkanalig zu schalten. Dabei werden die Ausgänge kanalgranular überwacht. Der Anwender kann zusätzlich zur internen Modulüberwachung (Erkennung von Stuck-On-Fehlern) den aktuellen Schaltzustand des Transistors zurücklesen um andere Fehlerzustände wie beispielsweise Kurzschluss oder Überlastung zu diagnostizieren. Pro sicherem E/A-Modul stehen insgesamt 8 Ausgangskanäle zur Verfügung.
*Der erreichbare SIL-Level hängt von der THR (EN 50129) des Gesamtsystems ab.