SIL-fähiges Bedien-Panel

Uwe Häußer | Stefan Kuppinger,

Safety-Aspekte beim Display beachten

In der Fertigungs- und Prozessindustrie müssen Anlagenfahrer bei ihren Bedieneingriffen auf die wahrheitsgemäße Darstellung der Informationen auf den Displays vertrauen. Dabei sind Panel-PCs und HMI längst nicht unfehlbar.

© Deuta

Die meisten Sicherheitskonzepte für Leit- und Bedienstände konzen­trieren sich standardmäßig auf die Absicherung der automatisierten Steuerungen nach den SIL-Anforderungen (Safety Integrity Level). Eine Sicherheitslücke bleibt dabei häufig offen – die Anzeige der Prozesszustände. Denn auch bei weitgehend automatisierten Systemen haben Bedienhandlungen Auswirkungen auf die Sicherheit oder Gefährdung von Menschen, Material und Umwelt. Deswegen nehmen verschärfte gesetzliche Anforderungen an die Sicherheit von Maschinen und Anlagen wie das Geräte- und Produktsicherheitsgesetz (GPSG),

Maschinenverordnung (9. GPSGV) oder die Betriebssicherheitsverordnung (BetrSichV) Hersteller und Betreiber stärker in die Pflicht, für einen angemessen hohen Sicherheitsstandards zu sorgen. Beispielsweise schreiben sie vor, dass potenzielle, durch falsch angezeigte Daten verursachte Fehlbedienungen, auf die aber folgerichtig reagiert wurde, durch geeignete Gegen- beziehungsweise Absicherungsmaßnahmen ausgeschlossen oder soweit entschärft werden müssen, dass von ihnen keine Gefährdung mehr ausgeht.

Schließlich können verfälschte oder gar nicht angezeigte Prozessgrößen die Ursache für Unfälle sein. Sicherheit gibt es jedoch nur, wenn sichergestellt ist, dass die von der Steuerung und Visua­lisierung ausgegebenen Prozess­werte zuverlässig und korrekt auf den HMI-Geräten dargestellt werden. Die Herausforderung an die elektronische Sicherheitstechnik besteht nun darin, für alle relevanten Einsatzgebiete – das sind branchenübergreifend alle manuellen Bedienarbeitsplätze mit Sicherheitsrelevanz – den notwendigen Sicherheitsnachweis zu erbringen.

Anzeige

SIL-konforme PC – ein steiniger Weg

Funktionsprinzip der Anzeigenüberwachung: IconTrust nutzt das Black-Channel- Prinzip der sicherheitsgerichteten Feldbusse für die sicherheitsgerichtete Überwachung von PC-Hardware.

© Deuta

In der Theorie ist es einfach, PC-kompatible Anzeige- und Bediengeräte sicher zu machen. Praktisch sind dazu viele Maßnahmen notwendig, die strenge Qualitätsanforderungen an jede Software- und Hardware-Komponente stellen. Und nach jeder Modifikation, egal ob eine Bauteil-Abkündigung oder eine Software-Anpassung, ist der komplette Sicherheitsnachweis erneut zu belegen. Daher führt der notwendige Sicherheitsnachweis bislang meist zu proprietären und kostspieligen Speziallösungen – häufig verbunden mit dem Verlust der Vorteile einer PC-Architektur wie Flexibilität, einfache Wartbarkeit und geringe Kosten.

Im Bereich Bedienung und Beobachten kommen überwiegend TFT-Displays in Verbindung mit PC-Technologien zum Einsatz, da sie eine gute Skalierbarkeit mit minimalen Auswirkungen auf die Applikationssoftware ermöglichen. Sollen PC-Technologien auch in sicherheitsrelevanten Applikationen verwendet werden, ist eine vorherige systematische Sicherheitsanalyse der Architektur und deren Softwarekomponenten unerlässlich. Als Fehlerquellen erweisen sich:

  • CPU (Hauptprozessor)
  • Datenschnittstellen (Hardware und Software)
  • Speicher
  • Grafikcontroller
  • TFT-Signaltreiber
  • Betriebssystem
  • Software-Bibliotheken
  • Grafiktreiber und sonstige Treiberpakete
  • Fehler in der Stromversorgung
  • Fehlerhaftes TFT-Display

Eine FMEA (Failure Mode and Effects Analysis) offenbart potenziell sicherheitskritische, oft systematische Fehler. Bei einem Software-Verifika­tionstest sollte beispielsweise jede Programmzeile getestet werden. Unter anderem kann eine sicherheitsrelevante Information durch eine andere Infor­mationseinheit überdeckt werden.

Die Applikationssoftware nutzt für die Darstellung von Informationen innerhalb dafür bestimmter Bereiche auf dem Display einzelne „Software-Threats“. Sind Koordinaten dieser Bereiche fehlerhaft, kann die Überdeckung von Information an einem Softwarefehler, einem CPU-Fehler oder einem Speicherfehler liegen.

Standard-PC-Hardware: Ein Restrisiko bleibt

Grafikcontroller haben verschiedene Bildspeicher, einen Arbeitsbildspeicher, in dem im Hintergrund die Informationen für das nächste Bild aktualisiert werden, und einen Speicher für das gerade auf dem TFT-Display angezeigte Bild. Sind im Arbeitsbildspeicher die aktuellen Daten verarbeitet, schaltet der Grafikcontroller diesen Bildspeicher auf dem TFT-Display sichtbar und der andere Bildspeicher ist dann der Arbeitsbildspeicher. Eine Fehlfunktion des Grafikcontrollers kann dazu führen, dass der Wechsel zwischen den Bildspeichern fehlschlägt und somit alte – unter Umstände falsche – Informationen angezeigt werden. Wirken diese alten Daten für den Bediener schlüssig, hat er keine Möglichkeit, deren Korrektheit zu prüfen und reagiert eventuell falsch.

Ebenso können Grafikcontroller per Farbkalibrierung die Farbdarstellung der Displays anpassen. Eine Fehlfunktion der Kalibrierung könnte zum Verlust von Farbinformationen führen. Dieser Fehler kann bei Alarmen kritisch sein, lässt sich aber nicht durch die Prüfung des Bildspeichers erkennen. Zufällige Fehler, die im Betrieb aufgrund von Bauteil-Defekten auftreten können, müssen in sicherheitskritischen Anwendungen durch zyklisches Testen der Hardware erkannt werden. Aufgrund der Komplexität PC-basierter Anwendungen ist eine nachweisbare vollständige Testabdeckung allerdings kaum zu erreichen. Eine Überprüfung der Hardware-Architektur auf systematische oder zufällige potenzielle Fehler gibt noch mehr Anlass zu zweifeln, Standard-PC-Hardware könnte aufwendig, aber nicht vollständig SIL-konform geprüft und mit einem gewissen Restrisiko sicherheitsgerichtete Aufgaben übernehmen.

Dass eine PC-Hardware millionenfach verkauft wurde, heißt nicht, dass die Hardware keine systematischen Fehler hat. So genannte „Errata Sheets“ von Mikrocontrollern belegen das Gegenteil: Selbst Datenblätter einfacher Prozessoren führen dutzende Fehler auf; bei den Prozessoren der aktuellen x86-Baureihe sind rund einhundert „Bugs“ dokumentiert. Für die meisten Fehler gibt es „Workarounds“ im Bios oder sie werden von den Chipsätzen toleriert. Ein Gutachter wird sich jedoch mit den vagen Aussagen in den Datenblättern der Hardware- oder Bios-Hersteller zu möglichen Auswirkungen auf das sicherheitsrelevante System nicht zufrieden geben.

Als problematisch erweist sich daneben der „Microcode“, den Prozessorherstel­ler verwenden, unter anderem, um interne Fehler der CPUs zu beseitigen. Die Liste derartiger Unwägbarkeiten lässt sich beliebig fortsetzen. Deshalb ist es im Rahmen eines Projekts mit begrenzten Budget, Zeitplan und Personalressourcen nicht möglich, aus einem Standard-HMI mit PC-Architektur einen nachweislich sicheren Computer zu entwickeln, wie er nach SIL gefordert ist.

Black-Channel-Prinzip auf PC übertragen

Die als FPGA implementierte Schaltung des Sensormoduls generiert aus den Bildinformationen des Grafikcontrollers Safety-Codes, die ein sicherer Rechner auswertet. Beides ist auf dem Modul IconTrust plus integriert.

© Deuta

Einen anderen Ansatz verfolgt die Firma Deuta mit IconTrust. Bei diesem Konzept wird die PC-Einheit des MMI als Teil eines „Schwarzen Kanals“ eingestuft, das heißt generell als nicht sicher eingestuft und ohne jegliche Sicherheitsfunktion betrachtet. Dieses Black-Channel-Prinzip ist bei der sicherheitsgerichteten Kommunikation über Feldbusse bereits seit Jahren im Einsatz. Die Sicherheitsüberwachung des Display-PC übernimmt eine separate Überwachungseinheit, die fortlaufend die angezeigten Bildinhalte mit den aktuellen Werten der sicheren Datenquelle – bei IconTrust ist das die sichere SPS – vergleicht und im Falle einer Abweichung eine definierbare sicherheitsgerichtete Reaktion auslöst.

Die Überwachungseinheit besteht aus zwei Komponenten: einem Sensor, der die Bildinformationen interpretiert, und einem sicheren Computer für den Vergleich der Sensorwerte mit den Nominalwerten. Das Sensormodul wird zwischen dem Grafikcontroller und der TFT-Anzeige eingebunden. Grundlage für den Sensor ist ein FPGA (Field programmable Gate Array), der abhängig vom verwendeten TFT-Display LVDS-Signale (Low Voltage Differential Signaling) oder Standard-CMOS-Pegel (3,3 V) verarbeitet.

Deuta rüstet das Bedienpanel MFTS11 standardmäßig mit der Überwachungstechnik aus, die bis zu 100 Display-Bereiche per „Software-Fingerabdruck“ kontrolliert.

© Deuta

Die im FPGA implementierte Schaltung ist patentiert und generiert für die Bildinhalte eines oder mehrerer sicherheitsrelevanter Anzeigebereiche durch spezielle Safety-Codes – quasi „Fingerabdrücke“ der auf dem Display visualisierten sicherheitsgerichteten Informationen. Dies können alle Arten von zweidimensional dargestellten Informationen sein, zum Beispiel Grafiken, Symbole, Zeigerin­strumente, Texte oder eine Farbcodierung.

Der FPGA überwacht kontinuierlich jedes angezeigte Bild und erstellt bei Bedarf für mehr als 100 individuell konfigurierbare Display-Bereiche die entsprechenden Codes.Im nächsten Schritt werden die im FPGA berechneten Safety-Codes mit den Nominalwerten verglichen, die einmalig dem System eingelernt wurden müssen. Der Teach-in erfolgt mittels einer halbautomatisierten Software, die der Kunden nach einer Schulung selber bedienen kann oder als Dienstleistung von Mitarbeitern der Firma Deuta. Der Vergleich der Codes erfolgt in einem Standard-Sicherheitscomputer, der dazu alle zulässigen Codes und deren Nominalwerte kennen muss. Der sichere Computer kann Bestandteil eines im MMI integrierten Embedded-Moduls sein oder als externe Kontrolleinheit mehrere MMIs gleichzeitig überwachen. Entsprechende Hardware-Plattformen stehen in Form von kompletten HMI-Lösungen sowie als Einzelkomponenten zur Integration in kundenspezifische Systeme zur Verfügung.

Sichere Bedienung auch per Multitouch

Das Verfahren funktioniert ebenso in umgekehrter Richtung – bei Bedieneingaben über Touchdisplays. Der Bediener löst durch die Berührung eines Bedienelements auf der Anzeige einen Touchevent aus, dessen Koordinaten Treiber, Betriebssystem und Applikationssoftware durchlaufen, bevor sie als Eingabewert beim Empfänger der Information – zum Beispiel der sicheren SPS – eintreffen. Somit können genau dieselben Verfälschungen auftreten wie bei der Anzeige von Informationen.Eine Erweiterung von IconTrust kann zusätzlich und unabhängig von der Touch-Eingabe eine Sicherheitsinformation erzeugen, mit der Touch-Eingaben zu prüfen und Fehler festzustellen sind. Dazu wird das durch den Bediener ausgewählte grafische Element über einen separaten Touchcontroller oder eine zweite Touch-Einheit selektiert. Die mit dem redundanten Touchsystem erfasste Position wird jedoch nicht dem HMI-PC, sondern dem Überwachungssensor übermittelt.

Der Sensor ordnet den jeweiligen Bedienelementen jeweils rechteckige Überwachungsbereiche zu, generiert entsprechende Prüfsummen und überträgt diese über einen separaten Kanal an den sicheren Computer. Somit erhält der Empfänger der Eingabe-Information – der sichere Computer – sowohl die durch den HMI-PC ermittelten Werte als auch Prüfsummen, die er anhand von Referenztabellen den zulässigen Eingabewerten eindeutig zuordnen kann. Das Verfahren ermöglicht es, mit Standard-PC-Hardware und gängigen Betriebssystemen wie Windows oder Linux sichere TFT-basierte MMI zu entwickeln, die bis in höchste SIL-Level einsetzbar sind.

Autor: Uwe Häußer ist Business Development Manager bei der Firma Deuta-Werke in Bergisch Gladbach.

Der Trick mit dem Code

Grundlage der Überwachungstechnologie IconTrust sind ein FPGA-basierter Sensor und ein sicherer Computer. Der Sensor ermittelt aus den darzustellenden Bildinformationen
entsprechende Codes, die der zweikanalig aufgebaute Embedded-Rechner mit den zulässigen Codes vergleicht. Diese Codes sind Fingerabdrücken ähnlich und werden beim Teach-in generiert und im FPGA des Sensors abgelegt. Somit kennt das Überwachungssystem gewissermaßen
alle erlaubten Anzeigewerte. Im Betrieb übermittelt die sichere SPS dem Bedienpanel die verschiedenen Anzeigewerte.

Diese wandelt der FPGA in entsprechende Codes um. Die beiden Controller des sicheren Rechners prüfen, ob dieser anzuzeigende Nominalwert-Code überhaupt in der Initialisierungstabelle enthalten ist und somit ein erlaubter Wert ist. Falls nicht, liegt ein Fehler in der SPS vor, den die Überwachungseinheit meldet. Ist der Nominalcode zulässig, generiert das
Bedienpanel die Darstellung und IconTrust greift mit dem FPGA den Datenstrom zu den
TFT-Multiplexern ab und generiert daraus einen weiteren Code. Die Controller vergleichen,
ob dieser Code dem Nominalwert der sicheren SPS entspricht. Falls nicht, erfolgt eine sicherheitsgerichtete Reaktion, das heißt eine Alarmmeldung oder ein Abschalten der Anlage.

  • Xing Icon
  • LinkedIn Icon
Anzeige
Anzeige

Das könnte Sie auch interessieren

Anzeige

Akytec

LED-Displays zur Prozesskontrolle

Aus der Produktreihe der industriellen Displays präsentiert Akytec die ‚ITP Line‘, eine Serie von Anzeigen für alle Arten von Daten, die zur Prozessüberwachung und -steuerung dienen.

mehr...

Rafi

Leuchtdrucktaster mit 5-V-Versorgungsspannung

Die Leuchtdrucktaster der Serie ‚Lumotast 16‘ führt Rafi nun in zwölf weiteren Varianten mit nur 5 V Betriebsspannung zur LED-Ansteuerung im Programm. Damit eignen sich diese für Standard-Einbauöffnungen von 16,2 mm dimensionierten Betätiger...

mehr...
Anzeige
Anzeige

Wöhr

Zwei neue Aufbautastaturen

Die Firma Wöhr erweitert die Industrietastaturen ‚Surta‘ um Version 15 und 16. Sie wurden speziell für Umgebungen wie Medizin- und Dentalbereiche, Pharma-, Reinraum- und Nahrungsmittelindustrie sowie die allgemeine Industrie und...

mehr...
Anzeige
Anzeige
Anzeige
Anzeige
Jetzt Newsletter abonnieren