Sie sind hier: HomeSteuerungsebeneSafety & Security

Funktionale Sicherheit: Safety einfach integrieren

Maschinen- und Anlagenbauer gehen mehr und mehr dazu über, Sicherheits­funktionen über den Kommunikationsbus abzubilden. Wie lässt sich die Integration auf Komponentenseite mit vertretbarem Aufwand bewerkstelligen?

Safety einfach integrieren Bildquelle: © HMS

Schützende oder Fehler-erkennende Einrichtungen wie zum Beispiel der Not-Aus oder Sicherheitslichtgitter waren in der Vergangenheit in der Regel direkt mit der Maschinensteuerung verdrahtet. Heute steht immer öfter der Umstieg von der Direktverdrahtung zu ‚Safety via Bus‘ an – ein Schritt, der einerseits einen flexibleren Aufbau von sicherheitsrelevanten Applikationen verspricht, andererseits aber seitens der Software jede Menge Know-how erfordert.

Normen wie die IEC 61508 (funk­tionale Sicherheit) machen nicht nur klare Vorgaben in Bezug auf die Sicherheitsfunktionen von Komponenten, sondern unterstützen auch bei deren Realisierung. Ziel ist es, einerseits systematische Fehler durch struktu­riertes Vorgehen bei der Entwicklung von vornherein auszuschließen und andererseits, zufällige Fehler, deren Auftreten nicht vorhersehbar ist, durch entsprechende Gerätekonzepte sicher zu erkennen und zu behandeln. Obwohl die Norm zum Beispiel in Form von Checklisten viel Unterstützung bietet, sind etliche Komponentenhersteller zurückhaltend, wenn es darum geht, sichere Kommunikation selbst zu integrieren. Unter anderem deshalb, weil man stets auf dem aktuellen Stand der Technik bleiben muss bei einem Thema, das die eigene Kernkompetenz in vielen Fällen nur streift. Ergo stellt sich oftmals die Frage: Safety-Kommunikation über den Feldbus selbst realisieren oder besser eine generische Lösung zukaufen?

Generisches Safety-Modul Bildquelle: © HMS

Das generische Safety-Modul kapselt die gesamte Safety-Funktion und stellt sichere digitale E/A-Signale bereit. Die Standardkommunikation erfolgt über das Kommunikationsmodul ‚Anybus CompactCom‘.

Welche Argumente sprechen für den Einsatz einer generischen Lösung? Zunächst gestaltet sich das Ausarbeiten des ‚Functional-Safety-Management-Plans‘ einfacher. Der Komponentenhersteller muss nun nicht mehr die in­dividuelle Vorgehensweise erarbeiten, sondern kann diese basierend auf den Vorgaben der generischen Lösung umsetzen. Auch bei der sicheren Anforderungs-spezifikation des zu entwickelnden Geräts greift ihm eine generische Safety-I/O-Lösung ‚unter die Arme‘, denn die Entwicklung der Hardware samt iterativem Schaltungsentwurf und Abstimmung mit einer neutralen Prüfstelle wird komplett ausgelagert.

Der Komponentenhersteller muss lediglich die fertige Safety-Hardware nach den entsprechenden Herstellervorgaben in das eigene Produkt integrieren. Sogar die Implementierung der sicherheitsrelevanten Software übernimmt komplett der Hersteller der ­generischen Safety-Lösung. Das ist ein entscheidender Vorteil, denn Software-Entwicklung ist per se ­anfällig für systematische Fehler. Demzufolge sind hier stringente Prozesse einzuhalten – von der Planung über die Entwicklung bis hin zum Testen und Validieren. Unter anderem müssen dabei sowohl einzelne Softwaremodule als auch die gesamte Software bestimmte Testpatterns durchlaufen. Insgesamt bedeutet dies viel Aufwand und hohe Kosten – ein weiterer Grund, Safety-Lösungen nicht selbst zu entwickeln. Und während bei einer Eigenentwicklung der Safety-Lösung auch das Safety-Manual für das Automatisierungsgerät komplett selbst zu schreiben ist, lässt sich dieses bei Zukauf vereinfacht anhand der Richtlinien des Herstellers der generischen Safety-Lösung erstellen.

Modul T100 für sichere Kommunikation Bildquelle: © HMS

Mit einem Modul wie dem T100 lässt sich sichere Kommunikation via Black-­Channel-Prinzip einfach in den vorhandenen nicht sicheren Kommuni­kationsbus integrieren.

Ein Beispiel für eine solche generische Safety-Lösung, mittels derer sich die sichere Kommunikation von I/O-Signalen via Black-Channel-Prinzip einfach in den vorhandenen nicht-­sicheren Kommunikationsbus integrieren lässt, ist das ‚Ixxat Safe T100‘. Dabei handelt es sich um ein vom TÜV vorzertifiziertes Indesign-Modul mit sicheren Ein- und Ausgängen sowie ­einer auf das Hardware-Konzept ausgerichteten Software, welche die sichere Kommunikation bis SIL 3 be­ziehungsweise Performance Level e gewährleistet.

Weil das T100 bereits eine TÜV-Bauartenzulassung hat, gestaltet sich außerdem die abschließende Zertifizierung deutlich einfacher. Dies gilt gleichermaßen für die Zer­tifizierung der Feldbus- beziehungsweise Ethernet-Kommunikation. Weist der Komponentenhersteller nach, dass er bei der Implementierung gemäß den Checklisten im Sicherheitshandbuch vorgegangen ist, erleichtert dies ebenfalls die Endabnahme mit der zertifizierenden Instanz. Schließlich erhält der Anwender darüber hinaus Unterstützung beim Product Lifecycle Management und muss hier keine individuellen Prozesse definieren und implementieren.