Mit Software-Controllern wie dem Simatic WinAC von Siemens sind bereits seit geraumer Zeit sowohl PCtypische Applikationen wie auch Automatisierungsaufgaben auf einer gemeinsamen Plattform umsetzbar. Gleichzeitig lassen sich auf diese Weise PC-Applikationen nahtlos in die Welt der SPS integrieren.

Diese Integration lohnt insbesondere dann, wenn applikationsspezifische Aufgaben auf dem PC „zusammenwachsen". Mit zunehmender Bedeutung der Sicherheitstechnik in modernen Maschinen- und Anlagenkonzepten liegt es nahe, künftig auch Safety-Programme gemeinsam mit PC-basierten Technologiemodulen sowie Standard-SPS-Programmen auf derselben PC-Hardware zu betreiben.

Der PC-based Controller ist auf Standard-PC-Systemen ablauffähig. Hier lassen sich beliebige PC-Applikationen, Bedien- und Beobachtungs- und Steuerungsaufgaben sowie technologische Funktionen einfach zu einer gesamten Automatisierungslösung kombinieren.

© Siemens

Entsprechend den aktuellen sicherheitsgerichteten Normen wie IEC/EN 61508 sind hierbei hohe Anforderungen bis hin zum im industriellem Umfeld höchstmöglichen Sicherheitsgrad SIL 3 (Stufe der Sicherheitsintegrität) zu erfüllen. Das heißt: Es muss für alle Sicherheitsfunktionen gewährleistet sein, dass die Software zuverlässig ausgeführt wird - ihre Abarbeitung also immer gleich beziehungsweise in der richtigen Weise erfolgt - und dass alle Teile der Software abgearbeitet werden.

Das für den fehlersicheren Simatic- Software-Controller WinAC RTX F von Siemens verwendete Verfahren richtet sich nach dem Ansatz des „Coded Processing", auf dessen Basis bereits 2002 aus der einkanaligen Simatic-S7-Steuerung eine sicherheitsgerichtete Steuerung hervorging. Bei Coded Processing handelt es sich um ein Verfahren, das es erlaubt, mit nur einem Prozessor sicherheitsgerichtete Applikationen zu verwirklichen.

Dabei werden Programmteile zunächst direkt abgearbeitet, anschließend codiert und in codierter Form nochmals abgearbeitet. Die Ergebnisse der unterschiedlichen Rechenwege werden verglichen, bei Abweichungen löst das Programm eine Abschaltung aus. Eine zusätzliche dynamische Überwachung kontrolliert die Verarbeitung und realisiert den notwendigen zweiten Abschaltweg.

Erfassen, Auswerten, Reagieren

Erfassen, Auswerten, Reagieren – die gesamte Verarbeitungskette muss für den geforderten SIL (SIL = Safety Integrity Level) geeignet sein.

© Siemens

Die sicherheitsgerichtete Funktion einer Maschine oder Anlage umfasst aber nicht nur die Steuerung, sondern immer die gesamte Kette, bestehend aus Sensoren zur Signalerfassung und einer Auswerteeinheit zur Verarbeitung der Signale und Aktoren zum Zweck der Signalausgabe. Die Auswerteeinheit - auch „Logic Solver" genannt - besteht beim Safety-Integrated-Konzept von Siemens aus den angesprochenen einkanaligen Controllern und fehlersicheren zweikanaligen Peripheriemodulen.

Diese Einheit ist folglich nur dann für eine sicherheitsgerichtete Funktion einsetzbar, wenn alle sicheren Komponenten zusammenwirken. In der Praxis bedeutet das: Auf der PC-Hardware wurde der Windows-XP- beziehungsweise XPembedded-basierte Software-Controller WinAC RTX F installiert und ein Sicherheitsprogramm erstellt und geladen. Darüber hinaus muss die zweikanalige Peripherie über das Profisafe-Profil mit dem Controller verbunden sein. Den sicherheitsgerichteten Teil des Anwenderprogramms erstellt der Anwender mit dem Step7-Optionspaket „Distributed Safety". Diese Software bietet Befehle, Operationen und Bausteine zur Realisierung sicherheitsgerichteter Programme in F-KOP (Kontaktplan) und F-FUP (Funktionsplan). Dazu steht eine Bibliothek mit vorgefertigten und vom TÜV Süd abgenommenen Bausteinen für sicherheitsgerichtete Funktionen zur Verfügung. Diese Bibliothek ist gleichermaßen für die fehlersicheren modularen Steuerungen und den fehlersicheren Software-Controller verwendbar.

Die Programmierung selbst erfolgt analog zu den Standard-Editoren von Step7 für KOP/FUP, so dass der Anwender kein zusätzliches Engineering- Know-how aufbauen muss. Fehler - zum Beispiel Programm-Ablauffehler oder „Bitkipper" - erkennt die Software und reagiert darauf entsprechend. Kommunikationsfehler werden zusätzlich in den Eingabe-/Ausgabe-Baugruppen erkannt und nach einer Wartezeit die entsprechenden Kanäle passiviert beziehungsweise abgeschaltet. Die Kombination aus den bereits nach den gültigen Sicherheitsnormen zertifizierten Komponenten ermöglicht eine vereinfachte Abnahme der Maschine beziehungsweise Anlage. So muss zum Beispiel die PC-Hardware nicht eigens abgenommen werden, da sie lediglich zur Verfügbarkeit der Anlage einen Beitrag leistet.

Die Anforderungen an die Hardware

Die fehlersichere Kommunikation kann auch wireless über Profinet zu dem Software-Controller erfolgen. Auf diese Weise lassen sich zum Beispiel Not-Halt-Taster von mobilen Panels ebenso via Profisafe sicher erfassen.

© Siemens

Was die eingesetzte Hardware betrifft, so unterstützt der sichere Software-Controller grundsätzlich alle aktuellen x86- kompatiblen PC-Systeme. Da der Software- Controller die PC-Ressourcen mit Windows teilen muss, hängt die tatsächlich erreichbare Performance beziehungsweise Zykluszeit von den Einstellungen ab, die für die Applikation erforderlich sind. Bei Prozessoren mit mehreren Prozessorkernen verbessern sich die Verhältnisse deutlich, da sich der Software- Controller einen Kern reservieren kann.

Ein weiteres Augenmerk ist auf die Robustheit der Hardware zu legen - wie etwa Stoßfestigkeit, Vermeidung beweglicher Teile (Lüfter, Festplatte) oder die Netzausfall-Überbrückung. Schließlich sollte der Anwender auf die Feldbus-Tauglichkeit des PC achten: Sind Profibus- beziehungsweise Profinet- Schnittstellen vorhanden? Wie steht es um die Diagnose der PC-Hardware? Sollte der Anwender keine eigene Hardware einsetzen, so hat er die Möglichkeit, den Software- Controller als einschaltfertiges Bundle zusammen mit einem Siemens-Industrie-PC - etwa dem IPC427 RTX F für Applikationen mit Profibus - oder einem modularen Embedded Controller - zum Beispiel dem EC31-RTX F für Applikationen mit Profinet als Feldbus - zu beziehen.

Auf dem Embedded Controller installiert, unterstützt der WinAC RTX F auch fehlersichere Baugruppen der Baureihe Simatic-S7-300, die über den Rückwandbus mit dem S7-mEC verbunden sind. Auf diese Weise lassen sich sehr kompakte und kostengünstige Lösungen realisieren, indem unter Umständen auf eine Feldbus-Installation verzichtet werden kann. Noch nicht berücksichtigt sind dabei die Einsparpotenziale durch die hohe Flexibilität einer Softwarelösung bei nachträglichen Anlagenänderungen oder Erweiterungen - ganz zu schweigen von der Standardisierbarkeit und Portierbarkeit.

Autor:
Harald Gebuhr ist Senior Produktmanager Simatic Safety in der Siemens-Division Industry Automation.

Kommunikation auf Basis von Profisafe

Die Kommunikation des fehlersicheren Software- Controllers WinAC RTX F mit der zweikanaligen Peripherie erfolgt auf Basis von Profisafe. Dabei handelt es sich um einen Kommunikationsstandard nach IEC 61508. Diese Sicherheitsnorm lässt Standard- und sicherheitsgerichtete Kommunikation auf ein und derselben Busleitung zu und wurde in der IEC 61784-3-3 als internationale Norm definiert. Das Profisafe-Profil ermöglicht die sichere Kommunikation für Profibus und Profinet auf Basis von Standard-Netzwerk-Komponenten und erreicht die Sicherheitsstufen SIL 3 (Safety Integrity Level). Kommunikationsfehler werden schnell und eindeutig durch entsprechende Maßnahmen aufgedeckt. Um Datenverlust beziehungsweise Datenverfälschungen zu erkennen, wird das Datenpaket über CRC (Cyclic-Redundancy- Check) gesichert und mit einer fortlaufenden Nummerierung versehen.Weiterhin dienen zum Beispiel die Authentizitätsüberwachung mittels eindeutiger Adresse sowie die Zeitüberwachung mittels Timeout der Prüfung auf Adressverfälschungen und Verzögerungen.

Die Kommunikation innerhalb eines Sicherheitskreises läuft wie folgt: Via Profisafe kommen sicherheitsgerichtete Gebersignale eines Busteilnehmers (Client) in die sicherheitsgerichtete Steuerung (Host). Nach Verknüpfung gelangt ein entsprechendes Ausgabesignal zu einem fehlersicheren Profisafe-Busteilnehmer (Client). Der Host und die Clients verfügen über je einen Profisafe-Treiber und führen jeweils die Prüfungen auf Gültigkeit der Kommunikation durch. Die Netzwerk-Komponenten zwischen Host und Client sind nicht sicherheitsgerichtet und werden als „schwarzer Kanal" gesehen, da sie für die Sicherheit der Abschaltung nicht relevant sind. Die Verwendung von Standardkomponenten bietet folgende Vorteile:

Standard-Aufbaurichtlinien gelten unverändert, zum Beispiel für Schirmauflegung und Blitzschutz;

• Realisierung von fehlersicheren redundanten Systemen;
• keine Auswirkung auf Anzahl der Busteilnehmer und die Kommunikationsleistung;
• doppelte Lagerhaltung von Verkabelungskomponenten entfällt.

Weiter ergibt sich ein deutliches Einsparpotenzial bei Verkabelung und Teilevielfalt, wenn für die sicherheitsgerichtete Kommunikation und die Standardkommunikation auf ein und dieselbe Busleitung gesetzt wird.

Ende 2008 lag die Anzahl der installierten Profisafe-Systeme bei 66 000 und die der Profisafe-Geräte bei 630 000. Eine kürzlich veröffentlichte ARC-Studie sieht den Gesamtmarkt an busfähigen Safety-Geräten derzeit bei 700.000.

Nachholbedarf bei neuer Safety-Norm

Welche Vorteile sehen die Anwender in der Verbindung von Standard-SPS und Sicherheitstechnik. (Mehrfachnennungen möglich)

© Siemens

Ende des Jahres wird die alte Sicherheitsnorm EN 954-1 durch die EN ISO 13849 abgelöst. Der Großteil der Maschinenbauer ist hierauf noch nicht ausreichend vorbereitet. Zu diesem Schluss kommt eine aktuelle Studie zum Thema Safety. Im Rahmen der Studie, die von Michaela Griesenbruch, wissenschaftliche Mitarbeiterin der Fachhochschule Südwestfalen, freiberuflich durchgeführt wurde, gaben im Zeitraum Januar/ Februar 2009 deutschlandweit 302 Maschinenbauer, Steuerungsbauer und Ingenieurbüros Auskunft über Anforderungen und Einsatz von Sicherheitstechnik.

Ein Thema der Befragung, das derzeit eine hohe Aktualität genießt: Die Anforderungen der neuen Maschinenrichtlinie 2006/42/EG, welche bis zum 29. Dezember 2009 umgesetzt werden müssen. Die Studie zeigt deutlich, dass es derzeit noch einen großen Nachholbedarf gibt: Nicht einmal jedes zweite Unternehmen kennt die Norm EN ISO 13849 mindestens gut, bei der neuen Norm EN 62061 sieht es noch schlechter aus. Zudem setzt nicht einmal jeder fünfte Betrieb die neuen Normen um. Viele derjenigen, die über diese Normen gut informiert sind, denken aber ganz verstärkt über den Einsatz neuer Technologien im Bereich Safety nach beziehungsweise haben entsprechende Lösungen schon realisiert.

So plant jeder zweite Maschinenbauer den Einsatz einer Standard-SPS mit integrierter Sicherheits-SPS. Sie erhoffen sich damit vor allem bessere Diagnosemöglichkeiten, einen einfacheren Datenaustausch zwischen Standard- und Sicherheits-SPS und den Betrieb von sicheren/nicht-sicheren Komponenten an einer Busleitung. Der Einsatz von im Antrieb integrierten Sicherheitsfunktionen ist noch stärker verbreitet und es werden zukünftig immer mehr unterschiedliche Funktionen integriert.