Produkte werden immer ‚intelligenter‘ und ‚komfortabler‘ – der automatische Mähroboter anstelle des von Hand geschobenen Rasenmähers ist dafür ein Beispiel. Hersteller solcher Systeme stehen vor der vom Gesetzgeber geforderten Herausforderung, die Risiken in der Anwendung zu minimieren. Hier tritt im Allgemeinen die Maschinenrichtlinie, im Speziellen die ‚Funktionale Sicherheit‘ auf den Plan. Die EU-Maschinenrichtlinie – kurz MRL – enthält Basics zu Sicherheits- und Schutzanforderungen. Das Ziel ist klar: Die Zahl der Unfälle beim Umgang mit Geräten und Maschinen soll minimiert werden. Daher muss der Aspekt der Sicherheit schon in die Konzeption eines Systems einfließen – was den Mähroboter ebenso betrifft wie eine komplexe Produktionsanlage.

Schutz für Mensch, Maschine und Umwelt

Die Richtlinien der Funktionalen Sicherheit – kurz FuSi – zielen auf den zuverlässigen Schutz für Mensch, Umwelt und Maschine ab. Zu den gesetzlichen Regularien gehören die EN ISO 13849-1 und die EN 62061; sie regeln, welche Sicherheitsbestimmungen eine Maschine erfüllen muss. Als Größen für die Zuverlässigkeit von Sicherheitsfunktionen sind dabei der Sicherheitsintegritätslevel (SIL) und der Performance Level (PL) definiert.
FuSi bedeutet, einen zusätzlichen, zum Teil beträchtlichen Aufwand in die Entwicklung eines Produktes investieren zu müssen. Wird dieses Produkt später millionenfach verkauft oder sind die Zusatzkosten im Vergleich zum Verkaufspreis schwindend gering, ist das für die Hersteller machbar. Aber was ist mit Geräten, die unter Preisdruck verkauft werden müssen, oder bei denen es die erreichbaren Stückzahlen unmöglich machen, den Mehraufwand wirtschaftlich unterzubringen? Insbesondere kleinere Unternehmen bekommen mit dieser Marktentwicklung also ein wirtschaftliches Problem: Zum einen treiben die hohen Entwicklungskosten für FuSi den Produktpreis nach oben, zum anderen ist der Markt nicht bereit und vielfach auch nicht in der Lage, diese Preiserhöhung zu akzeptieren.

Bezahlbar zur sicheren Anwendung

An dieser Stelle setzt ISH, Schwesterunternehmen der österreichischen Firma Logi.cals, mit einem zertifizierten FuSI-Baukasten an, der die kostengünstige Realisierung von FuSi möglich macht. Die Komponenten des Baukastens lassen sich für einfache IO-Module oder Sensoren, ebenso aber auch für komplexe Steuerungslösungen verwenden. Dabei fungiert der SIC (Safety Integrated Core) als zentrale Plattform für eine 2-kanalige Hard- und Software mit allen Elementen für die Erfassung von sicheren Eingängen und das Schreiben von sicheren Ausgängen. Hier sind alle Prozeduren für das Testen, Filtern und Verknüpfen bis zum Erfassen und Testen analoger Eingänge vorhanden. Dies lässt sich erweitern durch die Kundenapplikation, die Einbindung der Test-Library für die normativen Tests des Prozessors und des Speichers, die Kopplung verschiedener Feldbusse wie zum Beispiel den FSoE-Stack von ISH bis zur sicheren SPS. »Gut 90 % aller sicheren Anwendungen in der Automatisierungs- und Prozesstechnik sollten sich damit abdecken lassen«, sagt ISH-Geschäftsführer Axel Helmerth. So muss also nur Weniges komplett neu entwickelt werden.

FuSi-Integration dauert nur knapp ein Jahr

Der ISH-Safety-Baukasten mit seinen zertifizierten Modulen.

© ISH

Die Komponenten der Plattform erfüllen alle Anforderungen an ein Compliant Item gemäß IEC 61508. Damit können Entwickler nahezu jede entsprechende sicherheitsgerichtete Hard- und Software vom einfachen Sensor/Aktor über intelligente IO-Module bis zum feldbus-basierten Steuerungssystem, bestehend aus SPS und I/O-Modulen, entwickeln. Die Plattform ist so konzipiert, dass sie skalierbar ist für wachsende Anforderungen. 
Axel Helmerth zufolge zeigen Erfahrungen aus realen Projekten, dass ein Produkt innerhalb von neun bis zwölf Monaten nach Festlegung der Spezifikation und des Functional-Safety-Managements fertig zur TÜV-Begutachtung inklusive der entsprechenden Dokumentation bereitstehen kann. Damit werde FuSi überhaupt umsetzbar, weil sich dank des Baukastens Zeit und Kosten halbieren.

Der FuSi-Baukasten im Detail

Die kompakte und effiziente Implementierung des FSoE-Master/Slave Stack V2 – entwickelt gemäß FSoE-Spezifikation ETG.5100 S (D) V1.2.0 und IEC 61784-3 – ermöglicht die Integration in sehr kleine und kostengünstige Hardware-Strukturen, zum Beispiel in Prozesssensoren, und zeichnet sich durch performantes Laufzeitverhalten aus. Die Anbindung an vorhandene Ethercat-Strukuren ist aufgrund der klaren Interface-Struktur des Stacks mit geringem Aufwand möglich. Entwickelt ist das Modul nach IEC 61508 zur Verwendung in Anwendungen bis SIL3 und vorzertifiziert als Compliant Item durch den TÜV Rheinland.
Der Stack arbeitet ohne Betriebssystem und stellt keine besonderen Anforderungen an die Entwicklungsumgebung. Mehrere I/O-Instanzen einer Zielhardware können von einem Stack verwaltet werden. Beschränkungen bei der Größe des nutzbaren Prozessabbildes gibt es nicht. Durch das mitgelieferte Integration Guide mit direkt einbindbaren Requirements vereinfacht sich die Integration. Unit-Tests sind als Option verfügbar, aber nur bei Änderungen am Code erforderlich. Für die Durchführung des FSoE-Konformitätstests sind Schnittstellen integriert.

Aus einfachen Modulen lassen sich durch Kombination komplexe Lösungen realisieren.

© ISH

Die Testlibrary ‚Cora‘ ist ein Werkzeug, mit dem sich große Teile des Hardwaretests, der nach IEC 61508 notwendig ist, realisieren lassen. Durchführbare Tests betreffen unter anderem die CPU, RAM, ROM und Block-CRC, ebenso wie Firmware- und Stack-Überwachung. Ein konfigurierbarer Testmanager ist ebenfalls integriert. Als Kernstück der Library verwaltet dieser Testmanager die konfigurierten Tests und ruft die einzelnen Test-Funktionen auf. So sind für den Speichertest verschiedene Speicherblöcke anmeldbar, die anschließend vom Testmanager abgearbeitet werden. Um auch bei Systemen mit kurzen Laufzeiten sicherzustellen, dass alle Speicherbereiche nach den Systemstarts getestet wurden, verwaltet der Testmanager auch die jeweils letzten Testsegmente. Zusätzlich existiert eine Diagnosefunktion zur Überwachung der kontinuierlichen Testabdeckung.

Die Library eignet sich für den Einsatz in Echtzeit-Umgebungen, ein Betriebssystem ist nicht nötig. Die zur Verfügung gestellten Funktionen sind durch den TÜV Rheinland vorzertifiziert und lassen sich in Sicherheitsprojekten einsetzen. Optional stehen alle Unit-Tests für eigene Erweiterungen zur Verfügung. Aktuell unterstützt das Tool Prozessortypen wie ARM7/9, Cortex M und Cortex A; eine Anpassung an andere Controllertypen ist möglich.

Universeller Hardware-Baukasten

Walter Lutz arbeitet als freier Fachjournalist bei PRservice in Haiger.

© PRservice

Um die funktionale Sicherheit in kürzester Zeit umzusetzen, wurde der Hardware-Baukasten SIC mit einer zweikanaligen Architektur entwickelt. Er besitzt eine Grundausstattung von gängigen Schnittstellen, Ein- und Ausgängen in TTL. Damit sind maximal 24 sichere I/Os realisierbar. Die A/D-Wandler sind mit Diagnose-Funktionen ausgestattet. Zur Feldbus-Anbindung gibt es die Optionen FSoE (Safety over Ethercat) und Profisafe.

Auf der Hardware läuft eine modulare Software, deren Module sich entsprechend der geforderten Komplexität kombinieren lassen. Konfiguriert wird dies über eine zentrale Look-up-Tabelle, die die logischen Objekte der Hardware zuordnet. Es gibt Schnittstellen zu benutzerdefinierter Software sowie ein Feldbus-Stack-Interface.
Damit sind sowohl einfache sichere IO-Module nahezu out of the box als auch komplexe Integrationen von SPS-Laufzeitsystemen mit sicherer Feldbus-Anschaltung möglich. Unterstützung liefern die sicheren SPS-Laufzeitsysteme sowie entsprechende Engineering-Tools von Logi.cals. Hier stehen sowohl Browser-basierte Tools als auch klassische Programmierumgebungen zur Verfügung. Darüber hinaus unterstützt ISH mit Funktionen zum Beispiel für sichere Antriebstechnik nach EN 61800-5-2 oder Gleitkomma-Überwachungsfunktionen.