Dies ist die Web-Ausgabe der Originalfassung des ‎⮫ AC500-S Sicherheitshandbuchs, Version 1.3.2. Diese Web-Ausgabe dient lediglich zur schnellen Orientierung. Für die Einhaltung der Anforderungen in Bezug auf Anwendungen der funktionalen Sicherheit muss das Original-Sicherheitshandbuch verwendet werden.

1.

Prüfen Sie, ob für alle Sicherheitsfunktionen nur Sicherheitssignale verwendet werden.

2.

Prüfen Sie, ob sowohl das Projekt der Sicherheitsanwendung in die Sicherheits-CPU als auch das relevante Projekt der Standardanwendung in die Standard-CPU geladen ist.

Prüfen Sie, ob die Programme aus dem RAM-Speicher in den Flash-Speicher gesichert wurden, d. h. „Bootprojekt erzeugen“ wurde durchgeführt.

3.

Bis Automation Builder 2.2.x: Prüfen Sie, ob die F-Parameter für alle Sicherheits-E/As und andere F-Devices, die im F-Parameter-Editor gesetzt wurden, dieselben sind wie jene, die aufgeführt sind in AC500-S Programming Tool: „Globale Variablen  PROFIsafe“.

⮫ „Konfiguration und Programmierung“

Automation Builder 2.3.x (und höher): Prüfen Sie, ob ein gültiger SVT-Bericht für das Anwendungsprojekt vorhanden ist.

4.

Der F-Host auf der Sicherheits-CPU kann ggf. mehr als eine F_Source_Add verarbeiten, z. B. für das Koppeln von PROFIsafe Master – Master aus verschiedenen Netzwerken. Prüfen Sie, ob die Einstellungen der F_Source_Add für verschiedene F-Devices der Sicherheitsanwendung eindeutig sind.

Anmerkung:

Die Regel „F_Source_Add <> F_Dest_Add für F-Device“ wird automatisch vom Automation Builder geprüft.

5.

iParameter validieren. Dafür gibt es zwei Optionen:

A) Überprüfen Sie mithilfe von für diese Parameter geeigneten Funktionsvalidierungstests, ob alle iParameter (Eingangsverzögerung, Kanalkonfiguration usw.) für alle Sicherheits-E/As und anderen F-Devices mit einem gegebenen F_iPar_CRC-Wert korrekt sind (weitere Informationen erhalten Sie beim technischen Support von ABB).

oder

B) Verwenden Sie ein spezielles Verifizierungsverfahren (siehe⮫ „Verifizierung einer sicheren iParameter-Einstellung in den AC500-S-Sicherheits-E/As“) zur Validierung jedes iParameter. Führen Sie anschließend nur Tests zur Validierung der Funktionssicherheit Ihrer Anwendung durch (es ist nicht notwendig, jeden einzelnen iParameter-Wert zu überprüfen). Ein Bericht, in dem bestätigt wird, dass sämtliche iParameter wie in⮫ „Verifizierung einer sicheren iParameter-Einstellung in den AC500-S-Sicherheits-E/As“ beschrieben überprüft wurden, muss erstellt werden.

Stellen Sie sicher, dass alle F_iPar_CRC > 0 sind.

6.

Überprüfen Sie, ob die Sicherheitsprogrammierrichtlinien im Programm der Sicherheitsanwendung korrekt verwendet wurden.

⮫ „Sicherheitsprogrammierrichtlinien“

7.

Alle Signale vom nicht sicherheitsgerichteten Anwenderprogramm der Standard-CPU, die im Sicherheitsprogramm der Sicherheit-CPU evaluiert werden, müssen auch im Ausdruck des Sicherheitsprogramms erscheinen.

8.

Wurde das Sicherheitsprogramm von einer Person überprüft, die an der Erstellung nicht beteiligt war?

9.

Wurde das Ergebnis der Überprüfung des Sicherheitsprogramms dokumentiert und freigegeben (mit Datum und Unterschrift)?

10.

Wurde ein Backup des vollständigen Sicherheits- (siehe Hinweis unten) und Standardprojekts erstellt, bevor Programme in die Sicherheits- und die Standard-CPU geladen wurden?

11.

Prüfen Sie über den Menüpunkt „Online  Prüfe Bootprojekt der Steuerung“, ob das Offline-Sicherheitsprojekt von AC500-S Programming Tool und das Bootprojekt in der Sicherheits-CPU identisch sind (Dateiname, Änderungsdatum, Titel, Autor, Version, Beschreibung und CRC).

12.

Wenn Fließkommaoperationen verwendet werden, überprüfen Sie, ob die Regeln aus Abschnitt⮫ „Fließkommaoperationen“ berücksichtigt wurden und nicht zu unsicheren Zuständen in der Sicherheitsanwendung führen.

13.

Prüfen Sie, ob die POE SF_WDOG_TIME_SET einmal im Sicherheitsprogramm aufgerufen wird und die Watchdog-Zeit korrekt gewählt wurde.

14.

Prüfen Sie, ob ein Passwort für die Sicherheits-CPU definiert wurde, um nicht autorisierten Zugang zu den Daten zu verhindern.

15.

Prüfen Sie, ob nur autorisiertes Personal „Schreibzugang“ zu den Parametereinstellungen der Sicherheitsmodule und Programmen in Automation Builder und AC500-S Programming Tool hat.

16.

Prüfen Sie, ob der korrekte Wert zur Überwachung der Spannungsversorgung mit POE SF_MAX_POWER_DIP_SET gesetzt wurde, damit das System bei Unter- oder Überspannung richtig funktioniert.

17.

Prüfen Sie, ob die POE SF_SAFETY_MODE im Programm der Sicherheitsanwendung korrekt verwendet wird, um eine ungewollte Ausführung des Programms im DEBUG-Modus (nicht sicher) zu verhindern.

18.

Prüfen Sie, ob keine Profilversionsänderung oder die Funktionen „Gerät aktualisieren …“, Export / Import, Kopieren und Einfügen und Archivieren im Automation Builder auf die Sicherheitsmodule angewandt wurden, nachdem das Projekt validiert wurde.

Wenn die oben erwähnten Funktionen verwendet wurden und dies zu einem Sicherheits-Bootprojekt mit neuer CRC führte, muss ein kompletter Funktionstest sämtlicher Teile der Sicherheitsanwendung durchgeführt werden. Für diesen Test muss die Maschine in ihrem endgültigen Zustand sein, d. h. einschließlich der mechanischen, elektrischen und elektronischen Komponenten, Sensoren, Aktoren und der Software.

19.

Überprüfen Sie mithilfe der Bibliotheks-CRC (gezeigt in AC500-S Programming Tool), ob nur zertifizierte Sicherheitsbibliotheken mit korrekten CRCs (siehe⮫ „Übersicht“) in dem betreffenden Sicherheitsprojekt zur Ausführung der Sicherheitsfunktionen verwendet werden. Alle anderen anwenderspezifischen Bibliotheken müssen von den Endanwendern separat validiert werden, damit deren Eignung für eine bestimmte Sicherheitsanwendung bestätigt wird.

20.

Stellen Sie sicher, dass interne POEs von SafetyUtil_CoDeSys_AC500_V22.lib und interne Aktionen von SafetyBase_PROFIsafe_LV210_AC500_V22.lib (oder ältere Versionen) nicht vom Endanwenderprogramm, das vom PLC_PRG im Hauptpfad startet, aufgerufen werden.

21.

Stellen Sie sicher, dass in AC500-S Programming Tool alle drei Systemereignisse („CallbackInit“, „CallbackReadInputs“ und „CallbackWriteOutputs“) in „Ressourcen  Task-Konfiguration  System-Ereignisse“ ausgewählt sind.

22.

Wenn der Inhalt des Flash-Speichers (Funktionsbausteine SF_FLASH_READ bzw. SF_FLASH_WRITE werden in der Sicherheitsanwendung aufgerufen) für Sicherheitsfunktionen in der Sicherheitsanwendung verwendet wird, müssen entsprechende Verfahren zur Validierung des Flash-Speicher-Inhalts (z. B. geeignete Sicherheitsanwendungs-CRC über gespeicherte Sicherheitsdaten) implementiert werden, um die Datenintegrität der Sicherheitsanwendung sicherzustellen.

23.

Hinweis:

Die Bytefolge in PROFIsafe-Datentypen hängt von der verwendeten Byte-Reihenfolge (Endianwert) des PROFIsafe-Gerätes und dem ausgewählten AC500-CPU-Typ ab. (AC500 V2-Standard-CPU unterstützt Big Endian. AC500 V3-Standard-CPU unterstützt Little Endian.)

24.

Wenn Sie den zyklischen nicht sicheren Datenaustausch nutzen, stellen Sie sicher, dass beim Senden von Daten über den zyklischen nicht sicheren Datenaustausch nur die Sicherheitsfunktionen mit bis zu SIL 2 (IEC 61508 und IEC 62061) und PL d (ISO 13849-1) angestoßen werden.

Hinweis:

Wenn der zyklische nicht sichere Datenaustausch zum Senden oder Empfangen von sicherheitskritischen Daten verwendet wird, sind die sicherheitsbezogenen Anforderungen für SIL 3 (IEC 61508 und IEC 62061) und PL e (ISO 13849-1) für gesendete oder empfangene Daten nicht erfüllt (unabhängig vom verwendeten applikativen Sicherheitskommunikationsprofil), da in der Sicherheits-CPU nur ein Mikroprozessor (keine 1oo2-Sicherheitsarchitektur im Hintergrund) für die Sende- und Empfangsrichtung zuständig ist.

Wenden Sie sich an den technischen Support von ABB, um Informationen zum Erreichen von SIL 3 und PL e zu erhalten.

25.

Wenn Sie den zyklischen nicht sicheren Datenaustausch nutzen, prüfen Sie, ob beim zyklischen nicht sicheren Datenaustausch die Namen der Variablen, die für die Sicherheits-CPU angelegt werden, nicht mit „S_“, „GS_“, „IS_“ oder „OS_“ beginnen.

Prüfer:

Maschine/Applikation <ID>:

Unterschrift:

Datum: