Die Realisierung von Sicherheitsfunktionen mit Software ist nichts Neues. In allen Bereichen der Industrie sind erfolgreiche Sicherheitssysteme von ausgesprochenen Safety-Spezialisten weit verbreitet. Die meisten Anwendungen wurden dabei entweder in klassischen Programmiersprachen wie zum Beispiel C oder aber mit Konfigurationstools für kompakte Sicherheitssteuerungen erstellt.

Für Anwender ist es heute vergleichsweise einfach, eine Abnahme ihrer Maschinen und Anlagen zum Beispiel nach den Verpflichtungen der Maschinenrichtlinie zu erreichen, wenn sie Steuerungssysteme einsetzen, die bereits nach den einschlägigen Sicherheitsnormen zertifiziert sind. Zwar sind die Softwaretools für kompakte Sicherheitssteuerungen recht problemlos anzuwenden; trotzdem handelt es sich dabei in der Regel um spezielle Software-Werkzeuge, die vom Anwender erlernt, installiert und gewartet werden müssen. Was liegt also näher, als den Komfort der IEC-61131-3-Oberfläche, so wie man ihn bereits im Rahmen der Projektierung von Betriebsfunktionen gewohnt ist und schätzt, auch für sicherheitsrelevante Verschaltungen zu fordern? Mit integrierten Tools, die für Safety-Anwendungen geeignet sind, gehen diverse Hersteller genau diesen Weg.

Jede Maschine oder Anlage hat einen Software-Applikationsteil für die Betriebsfunktionen. Die Risiko-Analyse dieser Maschine oder Anlage bestimmt die Notwendigkeit von Sicherheitsfunktionen und deren nötigen Safety Integ­rity Level (SIL2 oder 3 nach IEC 61508) beziehungsweise den Performance Lev­el (PL d oder PL e nach EN 13849) sowie die erforderliche Kategorie (2, 3 oder 4). Je nach Einstufung kann dabei der Integrationsgrad der Sicherheitssoftware im Automatisierungstool unterschiedliche Dimensionen annehmen.

Die Applikationsentwicklung von SIL2-Sicherheitsfunktionen, kann mit denselben Editoren erfolgen, wie sie auch für die Betriebsfunktionen zum Einsatz kommen. So kann der An­wender beispielsweise mit dem Codesys-Devel­opment-System nach IEC 61131-3 beides innerhalb einer Gesamt-Applikation programmieren. Dazu stehen ihm die Standard-Editoren FUP, KOP und ST zur Verfügung, deren Eignung für Safety-Zwecke vom TÜV zertifiziert wurde. Darüber hinaus kann der Maschinen- oder Anlagenbauer auf ebenfalls zertifizierte Funktionsbibliotheken zugreifen. Erweitert wird das Tool lediglich um eine zusätzliche Plug-in-Komponente, die sich nahtlos in das bestehende Setup installieren lässt. Entsprechend muss auch die Steuerung selbst für SIL2 be­ziehungsweise PL d zertifiziert und mit dem geeigneten Laufzeitsystem ausgestattet sein.

Nach SIL3 zertifizierter FUP-Editor voll­ständig integriert im Codesys-Development-System – sicherheitsrelevante Daten sind entsprechend gekennzeichnet.

© 3S Smart Software Solutions

Erfordert die Risiko-Analyse die Abdeckung von Sicherheitsfunktionen nach SIL3, so sind geeignete Safety-Editoren erforderlich – etwa als Funk­tionsblock-Diagramm –, die sich wie die gewohnten Standard-Editoren verwenden lassen. Zur erleichterten Zer­tifizierung des SIL3-Programms ist der Funktionsumfang dieses Editors reduziert. Standardisierte Funktionsbausteine nach PLCopen für typische Sicherheitseinrichtungen wie Not-Aus-Taster, Zweihandbedienung oder Schutztür erlauben hierbei eine einfache Einar­beitung und Umsetzung der Anwendung. Das Einfrieren von Applikationen (Pinning) garantiert schließlich die Weiterverwendung der zertifizierten Safety-Applikation bei Änderungen der Konfiguration oder des Standard-Projekts ohne neuer­liche Abnahme.

Neben diesen Sicherheitsfunktionen werden die Betriebsfunktionen im Beispiel von Codesys innerhalb desselben Projekts erstellt und für den gegenseitigen Datenaustausch konfiguriert. Auch wenn dabei zwei physikalische Steuerungen zu programmieren sind, so reduziert sich der gesamte Projektierungsaufwand aufgrund der Integration beider Aufgaben innerhalb eines Projekts. Die Safety-Applikation abstrahiert dabei den Gerätebaum der E/A-Konfiguration der Standardsteuerung und betrachtet ihn somit erst einmal nur logisch. Dadurch ist eine zertifizierte Safety-Applikation ohne Änderung, ohne Download und damit ohne neuerliche Abnahme für unterschiedliche Betriebsfunktionen und E/A-Konfigurationen verwendbar: Egal ob der Anwender beispielsweise physikalische Ein- oder Ausgänge durch solche eines anderen Typs oder Herstellers ersetzt oder die Standard-Applikation ändert – die Safety-Applikation bleibt davon vollkommen unberührt! Dies reduziert deutlich den Gesamtaufwand für Abnahme und Inbetriebnahme.

Mehr Platz im Schaltschrank

Wenn Sicherheitsfunktionen innerhalb einer Maschine oder Anlage in Software realisiert werden, so kommt üblicherweise eine zusätzliche Sicherheitssteuerung zum Einsatz. Das bedeutet, dass für Sicherheits- und Betriebsfunktionen letztlich mindestens zwei Steuerungen im Schaltschrank zu platzieren sind. Mit einer getrennten Safety-Steuerung geht auch sofort die Notwendigkeit eines getrennten Safety-Feldbus-Systems und der dazugehörigen Verdrahtung einher.

Beispiel einer einfachen Projekt­konfiguration: Die E/A-Konfiguration wird in der Standard-SPS konfiguriert und von der Sicherheitssteuerung abstrahiert verwendet.

© 3S Smart Software Solutions

Sofern die Hauptsteuerung nach SIL2 zertifiziert ist, können für SIL2-Anwendungen beide Funktionen in diesem Gerät umgesetzt werden – ohne zusätzliche Steuerung beziehungsweise Feldbus. Somit wird auch kein zusätzlicher Platz im Schaltschrank verbraucht. Betriebs- und Sicherheitsfunktionen greifen auf die identische Datenbasis zu und können so Daten ganz einfach austauschen.

Doch auch für SIL3-Anwendungen ist es möglich, den Platzverbrauch im Schaltschrank zu reduzieren. Und zwar dadurch, dass die Sicherheitssteuerung als so genanntes „Kindmodul“ einer bestehenden Standard-Steuerung realisiert wird. Das bedeutet: Die Safety-Steuerung wird beispielsweise an den Erweiterungs- beziehungsweise Feldbus-Bus der Hauptsteuerung gesteckt. Der Anwendervorteil besteht darin, dass eine Verdrahtung der Sicherheitssteuerung zur Stromversorgung und zum Datenaustausch entfällt. Mit anderen Worten: Es ist keine zusätzliche Hardware in Form von E/A-Kanälen und deren Verdrahtung erforderlich!

Die sicheren Feldbus-Klemmen werden in diesem Fall von der Standard-Steuerung verwaltet und der Austausch ihrer Daten mit der Safety-Steuerung erfolgt über eine sichere Protokollschicht. Kurzum: Es gibt nur einen Feldbus für beide Funktionen! Durch die Integration der Betriebs- und Sicherheitsfunktionen in einem Projekt reduziert sich somit der Gesamtaufwand ganz erheblich.

Die bewährten Feldbus-Technologien nutzen

Durch die Integration in Standard-Steuerungen sind Feldbus-Technologien bereits vorhanden, die für Sicherheitssysteme weiter nutzbar sind: Profibus/Profinet oder Ethercat etwa werden durch eine zusätzliche zertifizierte Feldbus-Schicht zu Profisafe und Ethercat FSoE (Fail-Safe-over-Ethercat) er­weitert.

Gegenüberstellung der Architektur eines Steuerungssystems, das nachträglich um Sicherheitsfunktionen erweitert wurde (links), versus die Architektur mit Integrated Safety.

© 3S Smart Software Solutions

Für den Hersteller von integrierten Sicherheitssteuerungen bedeutet das zunächst einmal einen reduzierten Aufwand bei der Implementierung: Für Profibus/Profinet genügt zum Beispiel ein Chip wie der netX von Hilscher mit integriertem Protokollstack, für Ethercat ein handelsüblicher Ethernet-Chip wie der Pro1000/Gigabit von Intel oder der Realtek 8169. Für Codesys wiede­rum ist ein Master-Protokollstack in Form einer portierbaren Bibliothek verfügbar. Mit den integrierten Konfiguratoren ist dort schon alles vorhanden, um die Standard-Feldbus-Anbindung zu realisieren. Erweitert der Geräte-Hersteller diese Implementierung um die SIL3-zertifizierte Profisafe-Master-Schicht oder die FSoE-Master-Schicht auf seiner Sicherheitssteuerung, so ist der Feldbus-Aspekt für eine spätere Zertifizierung des Geräts vollständig abgedeckt.

Für SIL2-Systeme ist die Vorgehensweise vergleichbar: Hier bietet sich aufgrund der Verbreitung im Markt für typische SIL2-Applikationen jedoch die Verwendung von CANopen beziehungsweise CANopen-Safety an, die in Codesys ebenfalls mit eigenem Protokollstack und Konfigurator unterstützt werden. Anwender profitieren ihrerseits wiederum von der einheit­lichen Projektierung der Feldbus-Anbindung sowie den eingebundenen E/A-Informationen auf Basis von Standard-Konfigurationsdateien in den Formaten GSD/GSDML, Ethercat-XML oder EDS.

Safety Integrated in der Klemme

Mit dem beschriebenen System lässt sich eine SIL3-Anwendung nicht zuletzt auch mit einer dezentralen Safety-Klemme projektieren, etwa am Ethercat-Feldbus mittels der Klemme EL6900 von Beckhoff. Der Anwendungsfall einer solchen Lösung könnte wie folgt aussehen:

Eine mit Codesys programmierbare Standard-SPS mit implementierter Ethercat-Master-Unterstützung steuert eine Maschine. Aufgrund der Risikoanalyse sind Maßnahmen zu treffen, um diese Maschine gemäß IEC 61508 nach SIL3 abnehmen zu können.

Dezentrale Safety-Steuerung im Ethercat-Netzwerk mit FSoE beziehungsweise SIL3-Erweiterung mit integrierter Projektierung im Standard-Program­miertool.

© 3S Smart Software Solutions

Dazu soll eine kompakte Safety-Steuerung zum Einsatz kommen. Statt dieses Gerät nun mit proprietärer Software zu projektieren, setzt der Anwender auf die integrierte Lösung. Das heißt, er parametriert das Ethercat-Netzwerk mit dem im Programmiersystem integrierten Kon­figurator und fügt dazu die genannte Safety-Klemme als Kindmodul der Hauptsteuerung sowie Safety-E/A-Module ein. Mit dem zertifizierten FUP-Editor erstellt er die Safety-Applikation und lädt diese über die FSoE-Schicht auf die EL6900. Diese arbeitet die Safety-Applikation ab. An welcher Stelle die Klemme beziehungsweise die Safety-E/A-Module im Netzwerk untergebracht werden, spielt dabei keine Rolle. Somit hat der Anwender eine kostengünstige Möglichkeit, um Sicherheits- und Betriebsfunktionen gemeinsam in einer Oberfläche zu projektieren und auch deren Daten in der Hauptsteuerung auszuwerten.

Auch wenn diese Lösung zunächst nur für die beschriebene Ethercat-Klemme verfügbar ist, so ist der Ansatz auch auf vergleichbare FSoE- oder Profisafe-Systeme übertragbar.

Autor: Roland Wagner leitet das Produkt­marketing bei 3S-Smart Software Solutions.