Schützende oder Fehler-erkennende Einrichtungen wie zum Beispiel der Not-Aus oder Sicherheitslichtgitter waren in der Vergangenheit in der Regel direkt mit der Maschinensteuerung verdrahtet. Heute steht immer öfter der Umstieg von der Direktverdrahtung zu ‚Safety via Bus‘ an – ein Schritt, der einerseits einen flexibleren Aufbau von sicherheitsrelevanten Applikationen verspricht, andererseits aber seitens der Software jede Menge Know-how erfordert.

Normen wie die IEC 61508 (funk­tionale Sicherheit) machen nicht nur klare Vorgaben in Bezug auf die Sicherheitsfunktionen von Komponenten, sondern unterstützen auch bei deren Realisierung. Ziel ist es, einerseits systematische Fehler durch struktu­riertes Vorgehen bei der Entwicklung von vornherein auszuschließen und andererseits, zufällige Fehler, deren Auftreten nicht vorhersehbar ist, durch entsprechende Gerätekonzepte sicher zu erkennen und zu behandeln. Obwohl die Norm zum Beispiel in Form von Checklisten viel Unterstützung bietet, sind etliche Komponentenhersteller zurückhaltend, wenn es darum geht, sichere Kommunikation selbst zu integrieren. Unter anderem deshalb, weil man stets auf dem aktuellen Stand der Technik bleiben muss bei einem Thema, das die eigene Kernkompetenz in vielen Fällen nur streift. Ergo stellt sich oftmals die Frage: Safety-Kommunikation über den Feldbus selbst realisieren oder besser eine generische Lösung zukaufen?

Welche Argumente sprechen für den Einsatz einer generischen Lösung? Zunächst gestaltet sich das Ausarbeiten des ‚Functional-Safety-Management-Plans‘ einfacher. Der Komponentenhersteller muss nun nicht mehr die in­dividuelle Vorgehensweise erarbeiten, sondern kann diese basierend auf den Vorgaben der generischen Lösung umsetzen. Auch bei der sicheren Anforderungs-spezifikation des zu entwickelnden Geräts greift ihm eine generische Safety-I/O-Lösung ‚unter die Arme‘, denn die Entwicklung der Hardware samt iterativem Schaltungsentwurf und Abstimmung mit einer neutralen Prüfstelle wird komplett ausgelagert.

Der Komponentenhersteller muss lediglich die fertige Safety-Hardware nach den entsprechenden Herstellervorgaben in das eigene Produkt integrieren. Sogar die Implementierung der sicherheitsrelevanten Software übernimmt komplett der Hersteller der ­generischen Safety-Lösung. Das ist ein entscheidender Vorteil, denn Software-Entwicklung ist per se ­anfällig für systematische Fehler. Demzufolge sind hier stringente Prozesse einzuhalten – von der Planung über die Entwicklung bis hin zum Testen und Validieren. Unter anderem müssen dabei sowohl einzelne Softwaremodule als auch die gesamte Software bestimmte Testpatterns durchlaufen. Insgesamt bedeutet dies viel Aufwand und hohe Kosten – ein weiterer Grund, Safety-Lösungen nicht selbst zu entwickeln. Und während bei einer Eigenentwicklung der Safety-Lösung auch das Safety-Manual für das Automatisierungsgerät komplett selbst zu schreiben ist, lässt sich dieses bei Zukauf vereinfacht anhand der Richtlinien des Herstellers der generischen Safety-Lösung erstellen.

Mit einem Modul wie dem T100 lässt sich sichere Kommunikation via Black-­Channel-Prinzip einfach in den vorhandenen nicht sicheren Kommuni­kationsbus integrieren.

© HMS

Ein Beispiel für eine solche generische Safety-Lösung, mittels derer sich die sichere Kommunikation von I/O-Signalen via Black-Channel-Prinzip einfach in den vorhandenen nicht-­sicheren Kommunikationsbus integrieren lässt, ist das ‚Ixxat Safe T100‘. Dabei handelt es sich um ein vom TÜV vorzertifiziertes Indesign-Modul mit sicheren Ein- und Ausgängen sowie ­einer auf das Hardware-Konzept ausgerichteten Software, welche die sichere Kommunikation bis SIL 3 be­ziehungsweise Performance Level e gewährleistet.

Weil das T100 bereits eine TÜV-Bauartenzulassung hat, gestaltet sich außerdem die abschließende Zertifizierung deutlich einfacher. Dies gilt gleichermaßen für die Zer­tifizierung der Feldbus- beziehungsweise Ethernet-Kommunikation. Weist der Komponentenhersteller nach, dass er bei der Implementierung gemäß den Checklisten im Sicherheitshandbuch vorgegangen ist, erleichtert dies ebenfalls die Endabnahme mit der zertifizierenden Instanz. Schließlich erhält der Anwender darüber hinaus Unterstützung beim Product Lifecycle Management und muss hier keine individuellen Prozesse definieren und implementieren.

Ein Modul – verschiedene Safety-Protokolle

Mittlerweile haben sich verschiedene Protokolle für die sichere Feldbus-Kommunikation am Markt etabliert. Das T100 ist so aufgebaut, dass ein und dieselbe Hardware für verschiedene Protokolle genutzt werden kann. Die Profisafe-Implementierung auf dem T100 hat sich bereits in der Praxis bewährt.  Neu ist nun auch das Protokoll CIP Safety hinzugekommen. Die Unterstützung des FSoE-Protokolls ist in Arbeit. 

Gewöhnlich bieten Module für die Safety-Kommunikation nur Ein- oder Ausgänge. Da sich zum Beispiel die sicherheitsrelevanten Aktoren mit ihren Ausgängen meist im näheren Umfeld des Bedieners befinden, reduziert sich der Geräte- und Verkabelungsaufwand, wenn an dem Aktor gleichzeitig weitere lokale Sicherheitssignale wie etwa Not-Aus-Taster aufgenommen werden können. Dies erfordert dann die Integration von sicheren Ein- und Ausgängen in einem Modul. Zudem erscheint der lokale Sicherheitsprozess hierdurch als ‚ein‘ Gerät das sowohl Eingangs- als auch Ausgangssignale mit dem übergeordneten Sicherheitssystem austauschen kann. Dem Rechnung tragend, verfügt das T100 über sechs Eingänge und zwei Ausgänge, die für den Einkanal- oder Zweikanal-Einsatz konfigurierbar sind. In manchen Anwendungen liefern Sensoren oder Aktoren bereits redundante, sichere Ausgangssignale. In diesem Fall gleicht das T100 das zweikanalige Signal an den sicheren Eingängen lediglich ab und gibt es dann einfach über das sichere Feldbus-Protokoll an die Steuerung weiter. In anderen Fällen wird lokal eine logische Auswertung sowie Fehleraufdeckung gefordert, um sicher erkennen zu können, ob das Signal gültig erzeugt und vom Sensor oder Aktor übertragen wurde. Nur so lassen sich Fehler im System aufdecken und beherrschen. Zur Aufdeckung externer Verkabelungs- beziehungsweise Sensorfehler bietet das T100 Ausgänge mit dynamischen Testsignalen an. Damit ist es möglich, beispielsweise Kurz- und Querschlüsse in der Verdrahtung direkt im Modul zu erkennen. 

Typischerweise kommt das T100 in Kombination mit dem Kommunikationsmodul Anybus CompactCom von HMS zum Einsatz, ist aber auch an andere Kommunikationsmodule anschließbar. HMS legt dazu das Protokoll offen und ermöglicht so eine anwenderspezifische Integration. Ist der Einsatz einer generischen Sicherheitslösung in einem Produkt möglich, lassen sich schnell mehr als 80 % der Entwicklungskosten gegenüber einer Eigenentwicklung der Sicherheitsfunktion einsparen. Hält man sich vor Augen, dass selbst für die Imple­mentierung einer ‚einfachen‘ Safe-I/O-Anwendung – je nach Safety-Vorerfahrung im Unternehmen – schnell ein Entwicklungsaufwand zwischen 500.000 und 2 Mio. Euro anfallen kann, wird das Einsparpotenzial umso greifbarer. Zum Vergleich: Durch den Einsatz einer ge-nerischen Lösung lassen sich die Kosten auf unter 100.000 Euro reduzieren.

­Hinzu kommt, dass sich auch die für den Aufbau und die Erhaltung des ­Safety-Know-hows notwendigen Aufwände erheblich reduzieren, da die Pflege der Sicherheitskomponente durch den Hersteller der generischen Lösung erfolgt.

Autor:
Stefan Kraus ist Product Manager Safety beim HMS Technology Center Ravensburg.