Der IS420UCSBS1A ist ein Sicherheitscontroller der Mark VIeS-Serie, der speziell für industrielle funktionale Sicherheitskreise entwickelt wurde, die SIL 2- und SIL 3-Funktionen (Sicherheitsintegritätsstufe) erfordern. Als eigenständige, robuste Recheneinheit konzipiert, ist dieser Controller von zentraler Bedeutung für kritische Sicherheitsanwendungen in Branchen wie der Energieerzeugung, der Öl- und Gasindustrie sowie der chemischen Verarbeitung, in denen Betriebszuverlässigkeit und Risikominderung von größter Bedeutung sind.
Der gemäß der Norm IEC 61508 zertifizierte IS420UCSBS1A bietet zusammen mit seinen speziellen Sicherheits-E/A-Modulen eine zertifizierte Plattform für die Implementierung von Safety Instrumented Systems (SIS) und reduziert so das Risiko in kritischen Sicherheitsfunktionen wirksam.
2. Systemarchitektur und Hardwaredesign
2.1 Eigenständiges modulares Design
Der IS420UCSBS1A verfügt über eine eigenständige, modulare Architektur. Im Gegensatz zu herkömmlichen Controllern, bei denen E/A auf einer Rückwandplatine untergebracht sind, kommuniziert er mit verteilten E/A-Paketen ausschließlich über ein privates, spezielles Ethernet-Netzwerk namens IONet. Dieses Design eliminiert jeden Single Point of Failure für die Anwendungseingabe. Wenn ein Controller zu Wartungs- oder Reparaturzwecken ausgeschaltet wird, garantiert die Systemarchitektur, dass kein einzelner Eingang verloren geht und somit ein kontinuierlicher Betrieb des Sicherheitskreises gewährleistet ist.
2.2 Prozessor und Speicher
2.3 Lüfterloses Design und Stromversorgung
Kühlung: Das IS420UCSBS1A ist ein lüfterloses Modul, das auf passive Kühlung durch integrierte Wärmerippen setzt. Dadurch wird eine häufige Fehlerquelle beseitigt, die Zuverlässigkeit verbessert und der Wartungsaufwand reduziert.
Stromeingang: Akzeptiert einen 28-V-DC-Eingang.
Interne Stromumwandlung: Die eingehenden 28 V DC werden in eine geregelte interne 5 V DC-Versorgung umgewandelt, von der alle anderen internen Stromversorgungsebenen abgeleitet werden.
Stromverbrauch: Die Spitzenstromaufnahme beträgt 26,7 W, bei einem nominalen Betriebsverbrauch von 15,6 W.
2.4 Robustheit gegenüber Umwelteinflüssen
3. Kommunikations- und Netzwerkfähigkeiten
3.1 Das IONet-Netzwerk
Der Controller stellt über drei unabhängige IONet-Ports eine Verbindung zu E/A-Modulen her.
Netzwerktyp: Ein privates Ethernet-Netzwerk, das ausschließlich Mark*-Steuergeräten gewidmet ist.
Protokoll: Verwendet TCP/IP für eine zuverlässige Kommunikation zwischen Controllern und E/A-Modulen.
Redundanz: IONet-Redundanz ist gleichbedeutend mit Controller-Redundanz. In redundanten Systemen stellen mehrere unabhängige IONet-Pfade die Kommunikationsintegrität sicher.
3.2 Primäre und sekundäre Ethernet-Schnittstellen
ENET1 (Primär):
Typischerweise als UDH-Verbindung (Unit Data Highway) konfiguriert.
Wird für die Kommunikation mit HMIs, Historianen und anderen Steuerungen verwendet.
Unterstützt Protokolle wie EGD (Ethernet Global Data), Modbus und OPC-UA.
ENET2 (Sekundär):
3.3 Präzisionsuhrsynchronisierung
Das System verwendet das IEEE 1588 Precision Time Protocol (PTP) über die R-, S- und T-IONets, um die Uhren aller I/O-Pakete und Controller auf ±100 Mikrosekunden genau zu synchronisieren und so eine zeitkohärente Datenerfassung und Steuerungsausführung sicherzustellen.
4. Softwaresystem und Programmierung
4.1 Betriebssystem
Der IS420UCSBS1A läuft auf QNX Neutrino, einem bewährten Echtzeit-Betriebssystem (RTOS), das für schnelle, hochzuverlässige Industrieanwendungen entwickelt wurde. Sein deterministisches Verhalten ist entscheidend für die Erfüllung der Reaktionszeitanforderungen von Sicherheitsfunktionen.
4.2 Programmiersprachen
Der Controller unterstützt mehrere Programmierparadigmen, um unterschiedlichen technischen Vorlieben gerecht zu werden:
Steuerblocksprache: Für komplexe analoge und diskrete Regelkreise mithilfe von Funktionsblöcken.
Relay Ladder Diagram (RLD): Zur Implementierung boolescher Logik in einem bekannten Leiterformat.
Unterstützte Datentypen: Ein umfassender Satz, einschließlich Boolescher Zahlen, 16/32-Bit-Ganzzahlen mit/ohne Vorzeichen und 32/64-Bit-Gleitkommazahlen.
4.3 Online-Änderungen
Kleinere Änderungen an der Steuerungssoftware können online vorgenommen werden, ohne dass ein Neustart der Steuerung erforderlich ist, was die Systemverfügbarkeit erhöht und die Fehlerbehebung vereinfacht.
4.4 Sicherheitssoftware-Branding Branding
ist eine entscheidende Funktion für die funktionale Sicherheit und ein obligatorischer Prozess, der immer dann erforderlich ist, wenn der Anwendungscode in einer Mark VIeS-Sicherheitssteuerung geändert und heruntergeladen wird. Dieser Prozess „kennzeichnet“ den neuen Code kryptografisch und stellt so seine Authentizität und Integrität sicher. Jede unbefugte Änderung löst eine Markeninkongruenz aus und macht die Betreiber auf ein potenzielles Sicherheitsintegritätsproblem aufmerksam. Dies ist eine Grundvoraussetzung für die Aufrechterhaltung der SIL 2/3-Zertifizierung.
5. Sicherheitsmerkmale und Zertifizierungen
5.1 Funktionale Sicherheitsstufe
Der IS420UCSBS1A-Controller und die zugehörigen Sicherheits-E/A-Module sind speziell für den Einsatz in SIL 2- und SIL 3-Sicherheitskreisen gemäß IEC 61508 konzipiert und zertifiziert.
5.2 Hardware- und Softwarezertifizierung
Die spezifische Steuerungshardware und -software, aus der das Mark VIeS-System besteht, wurde von einem unabhängigen Gutachter nach IEC 61508 zertifiziert und bietet damit eine unabhängige Validierung ihrer Eignung für sicherheitskritische Anwendungen.
5.3 Redundanz und Fehlertoleranz
Der Controller ist für den Betrieb in Dual- oder Triple Modular Redundant (TMR)-Konfigurationen ausgelegt. In diesen Setups synchronisiert es sich mit Peer-Controllern und tauscht Folgendes aus:
Interne Zustandswerte für Abstimmung und Initialisierung.
Status- und Synchronisierungsinformationen.
Diese Architektur stellt sicher, dass ein einzelner Controller-Ausfall nicht zu einem gefährlichen Ausfall der Sicherheitsfunktion führt.
6. Installation und Wartung
6.1 Physische Installation
Der Controller ist ein einzelnes Modul, das mithilfe einer Schlüssellochmontagekonstruktion direkt am Schalttafelblech montiert wird. Es muss mit vertikalem Luftstrom durch die Kühlrippen installiert werden, um ein ordnungsgemäßes Wärmemanagement zu gewährleisten.
6.2 Statusanzeigen (LEDs)
Die Frontplatte bietet einen umfassenden Satz LEDs zur sofortigen Statusbewertung:
Verbindung: Durchgehend grün zeigt eine bestehende IONet-Ethernet-Verbindung an.
Aktion: Durchgehend oder blinkend grün zeigt IONet-Paketverkehr an.
Stromversorgung: Durchgehend grün zeigt an, dass die interne 5-V-Versorgung betriebsbereit ist.
OnLine: Durchgehend grün zeigt an, dass der Controller online ist und Anwendungscode ausführt.
DC: Durchgehend grün zeigt an, dass es sich bei diesem Controller um den designierten Controller in einem redundanten Satz handelt.
OT (Übertemperatur): Gelb zeigt einen Alarmzustand an; Rot zeigt an, dass eine Auslösung stattgefunden hat.
7. Sicherung, Wiederherstellung und Ersatz
7.1 Sicherungs- und Wiederherstellungsverfahren
Eine spezielle Drucktaste am Controller ermöglicht das Sichern und Wiederherstellen der Konfiguration und Firmware des Controllers auf einem USB-Laufwerk.
USB-Laufwerksanforderung: Muss USB 2.0-kompatibel, unverschlüsselt, mit einer Mindestkapazität von 4 GB und als FAT32 formatiert sein.
Vorgang: Der Sicherungs-/Wiederherstellungsstatus wird durch die USB-On-LED angezeigt. Ein durchgehend leuchtendes Licht während des Vorgangs zeigt Aktivität an und erlischt bei erfolgreichem Abschluss. Blinken weist auf einen Fehler hin.
7.2 Controller-Ersatz
Für den Austausch eines fehlerhaften Controllers ist ein strukturiertes Verfahren definiert, bei dem Sicherheit und Datenintegrität im Vordergrund stehen:
Backup: Wenn möglich, sichern Sie den NAND-Flash des fehlerhaften Controllers.
Ausschalten: Ziehen Sie den jeweiligen Netzstecker (JCR, JCS oder JCT) am zugehörigen JPDC ab.
Kabel trennen: Entfernen Sie IONet- und VLAN-Kabel.
Physischer Ausbau: Lösen Sie die Schrauben und entfernen Sie den Controller mithilfe der Schlüssellochbefestigung.
Installation: Gehen Sie in umgekehrter Reihenfolge vor, um den neuen Controller zu installieren.
Wiederherstellen und Konfigurieren: Stellen Sie das Backup auf dem neuen Controller wieder her oder konfigurieren Sie dessen IP-Adresse mit dem ToolboxST-Engineering-Tool über den COM1-Port.
