|
TÜV Cooperation Functional Safety
(Home)
|
|
|
Wartungseingriffe / Maintenance Override
Draft Version 3.0
20. October 2000
Vorwort zur vorläufigen Version 3.0
Diese überarbeitete Version soll folgenden Aspekte mit berücksichtigen:
-
Wartungseingriffe mit Tools (PC/Laptop/Workstation/Prozeßleitsysteme)
-
Wartung über Verbindungen über öffentliche Netze (Internet,
Telekommunikationsnetze, Funknetze, Remote Servicing)
-
Allgmeine Anforderungen an sicherheitsgerichtete Kommunikationsprotokolle
-
Security Aspekte zusätzlich zur sicherheitsgerichteten Kommunikation
-
Verfügbarkeitsaspekte
-
Änderungen von Systemdaten (Set-Points, Schwellwerte, Rezepturen,
Parameter, etc.)
-
Austausch von Sensoren und Stellgliedern und damit verbundene Anpassungen
des Applikationsprogrammes
Es sind noch nicht alle Punkte dieser Zielvorgabe berücksichtigt.
Die Anwender sind aufgerufen, ihre Kommentare und Vorschläge zu dieser
Version abzugeben, damit diese eingearbeitet werden können.
Übersicht
In diesem Papier werden Vorgehensweisen für Wartungseingriffe
im Bereich sicherheitsrelevanter Steuerungen, Geber und Stellglieder vorgeschlagen.
Daneben werden auch Vorschläge gemacht, die Sicherheitsprobleme und
die Unannehmlichkeiten der festverdrahteten Lösungen zu bewältigen.
Wartungseingriffe
Es gibt zwei Grundmethoden zur Überprüfung der an die SPS
angeschlossenen sicherheitsrelevanten Peripherie:
-
Spezielle Schalter sind mit Eingängen der SPS verbunden. Diese Eingänge
werden genutzt um Stellglieder und Geber im Wartungsbetrieb abzuschalten.
Die Wartungsvorraussetzungen sind ein Teil des Anwenderprogramms der SPS.
-
Während des Wartungsbetriebs werden Geber und Stellglieder von der
SPS spannungsfrei getrennt und manuell mit besonderen Maßnahmen überprüft.
In einigen Fällen ist es wünschenswert (z.B. dort, wo das Platzangebot
begrenzt ist) die Wartungskonsole in die Bedienanzeige zu integrieren oder
die Wartung durch andere Strategien abzudecken, dies bedingt die 3. Alternative
für Wartungseingriffe:
-
Wartungseingriffe durch Kommunikation mit der SPS.
Die sich ergebenden Optionen und Kommunikationsmöglichkeiten müssen
Bestandteil der jeweiligen Bauartprüfung gewesen sein. Wenn die Kommunikation
über öffentliche Netze abgewickelt wird, müssen neben den
Sicherheitsaspekten Maßnahmen zur Gewährleistung der Security
getroffen sein. Die entsprechenden Hinweise im Sicherheitshandbuch sind
zu beachten.
Diese Möglichkeit ist mit Sorgfalt zu handhaben und wird im folgenden
vorgestellt.
Es sollte auf jeden Fall vermieden werden, die gleichen
Werkzeuge zu verwenden, die auch bei der Programmerstellung
verwendet werden. Programmerstellung und Inbetriebnahmewerkzeuge sollen
streng von Wartungswerkzeugen getrennt sein.
Verfahren für Wartungseingriffe
Die Verwendung nicht zugelassener Tools bedingt nach jeder Änderung
einen vollständigen Nachweis der geforderten Eigenschaften in einem
Umfang wie er auch bei der Erstabnahme zu fordern ist. Die Prüfungen
müssen sich dann auch auf nicht geänderte Programmteile erstrecken,
da nicht gewährleistet werden kann, dass diese nicht unzulässig
verändert wurden.
Aus Aufwandgründen ist der Einsatz nicht zugelassener Tools daher
oftmals nicht möglich.
Mit Hilfe von zugelassenen Tools kann eine Programmänderung unter
Einhaltung des geforderten Sicherheitsniveaus angemessen erfolgen.
Nach Programmänderungen können Verifikationen auf die geänderten
Programmteile eingeschränkt werden, dies sollte jedoch nur auf Basis
einer Analyse der erforderlichen Regressionsprüfungen erfolgen.
Die Verfahren, die bei Override oder Online-Change anzuwenden sind,
sind im jeweiligen Sicherheitshandbuch beschrieben.
Die zugelassenen Tools beinhalten in der Regel folgende Massnahmen:
-
Maßnahmen zur Beherrschung zufälliger Fehler bei der Programmerstellung
oder Änderung
-
Maßnahmen zur Beherrschung zufälliger Fehler bei der Datenübertragung
zur SPS
-
Tools zur Versionsverfolgung und Versionsfeststellung
-
Tools zur Verifikation von Änderungen
-
Tools zur Verifikation der Programme
Die Verbindung wird mit Hilfe zugelassener Protokolle ausgeführt.
Es können Protokolle mit allgemeingültiger Zulassung für
das jeweilige Sicherheitsniveau (z.B. Modbus RTU) oder proprietäre,
herstellerspezifische Protokolle, die im Rahmen der Bauartprüfung
der SPS betrachtet wurden, angewendet werden. Generell dürfen
nur Tools eingesetzt werden, die für die jeweiligen Aufgaben zugelassen
wurden.
Leitlinien für die Ausführung der Wartungseingriffe
Die Leitlinien beziehen sich im wesentlichen auf die beiden Phasen Projektierung
und Betrieb einer Anlage.
Projektierung
-
Schon während der Projektierung muß die Wartungsstrategie und
Wartungsprozedur festgelegt werden.
-
Während der Erstellung des Applikationsprogrammes für
die SPS, sollte festgelegt werden, ob ein Signal später überschrieben
werden darf.
-
Wartungseingriffe werden für die komplette SPS oder ein Teilsystem
(Prozeßteil) durch das Prozeßleitsystem (PLS) oder andere geeignete
Authorisierungsprozeduren freigegeben (Schlüsselschalter, Passwortauthorisierung).
-
Der Bediener muß die Eingriffsvorraussetzungen aus organisatorischen
Gründen bestätigen.
-
Direkte Eingriffe auf Ein- und Ausgänge (z.B. an den Klemmen) sind
nicht erlaubt. Eingriffe sind in Verbindung mit der Anwendung zu überprüfen
und durchzuführen. Mehrere Eingriffe in einer SPS sind erlaubt, solange
nur ein Eingriff in einer zusammengehörigen sicherheitsrelevanten
Gruppe ausgeführt wird.
Betrieb
-
Der Alarm soll nicht überschrieben werden. Es muss immer erkennbar
sein, dass sich Signale im Wartungszustand befinden.
-
Die SPS alarmiert den Bediener (z.B. über PLS) durch Anzeige der Eingriffe.
Der Bediener wird gewarnt bis alle Eingriffe zurückgesetzt worden
sind.
-
Während der Zeit der Eingriffe müssen angemessene organisatorische
Maßnahmen getroffen werden, um sicherzustellen, dass die Eingriffe
zurückgenommen werden.
-
Während der Zeit der Eingriffe müssen angemessene organisatorische
Maßnahmen getroffen werden, sicherzustellen, dass die Eingriffe
den Prozess nicht in unzulässige Zustände bringen.
-
Ein Programm des Prozeßleitsystems (PLS) überwacht kontinuierlich
die Übereinstimmung der Eingriffe durch das PLS mit den von der SPS
mitgeteilten Eingriffen.
-
Die Wartungseingriffe müssen dokumentiert werden. Die Dokumentation
muß beinhalten:
-
Zeitstempel über Anfang und Ende des Wartungseingriffes.
-
Identifikation der Person, die den Wartungseingriff aktiviert
-
Falls Informationen nicht ausgedruckt werden können, müssen sie
im Arbeitsauftrag enthalten sein.
-
Die Bezeichnung des beeinflußten Signale muss eindeutig dokumentiert
werden.
Diese Version 3.0 soll die Version 2.2 vom 8.9.94
ersetzen.
Zuletzt wurde diese Version editiert am 29.06.2007.