Werden bei der Risikobetrachtung industrieller Maschinen oder Anlagen funktionsbedingte Gefahren erkannt, so sind diese durch geeignete Sicherheitskomponenten auszuschließen. Insbesondere bei Applikationen mit größeren Stückzahlen wird die Sicherheitsapplikation vielfach unveränderbar erstellt und abgenommen. Trotz vorzertifizierter Software-Komponenten, wie etwa Safety-Betriebssystemen, erfordert jede nachträg­liche Änderung der Sicherheitsfunktion einen vollständigen Abnahmeprozess. Für Sondermaschinen oder individuell realisierte Industrie-Anlagen sprengt dieser Aufwand nicht selten die Grenzen. Frei programmierbare Safety-SPSen mit zertifizierter Eignung für SIL3-Anwendungen erleichtern dem Anwender in diesen Fällen die Projektierung und Abnahme der Applikation erheblich.

Beispiel für eine abgesetzte Safety-Steuerung im Netzwerk des Feldbussystems mit FSoE-Master als Ethercat-Modul. Optional: sichere Querkommunikation zu anderen Sicherheitssteuerungen (SafetyNetVars).

© 3S-Smart Software Solutions

Mit dieser Architektur kann der Hersteller eine kompakte Lösung für Betriebs- und Sicherheitsfunktion zur Verfügung stellen. Auch ist der Datenaustausch zwischen Sicherheits- und Betriebsfunktion über konfigurierbare globale Variablen in beide Richtungen möglich. Ein weiterer Vorteil für den Anwender: Durch die getrennte Programmierung von Sicherheits- und Betriebsfunktion innerhalb einer Ober­fläche führen Änderungen in der Betriebsfunktion oder Feldbuskonfiguration nicht zur neuerlichen Abnahme der Sicherheitsfunktion – Datenaustausch und Applikation der Sicherheitssteuerung können unverändert bleiben.

Eine weitere Alternative ist die zweikanalige Realisierung der Sicherheitssteuerung als ansteckbares Erweiterungsmodul einer Standard-Steuerung. Zusätzlich zu den Vorteilen des integrierten Geräts ergibt sich hier die Möglichkeit für den Anwender, die Safety-SPS nur im Bedarfsfall nachzurüsten. Das bedeutet: Der Anwender kann situativ entscheiden, ob eine Safety-SPS erforderlich ist und somit gegebenenfalls Hardware-Kosten einsparen.

Eine zusätzliche Variante der vorgenannten Architektur ergibt sich, wenn die Safety-SPS nicht direkt, sondern per Feldbus an die Standard-Steuerung angeschlossen werden kann. Damit übernimmt die Standard-SPS wiederum alle Aufgaben, die für die Projektierung von Betriebs- und Sicherheitsfunktion erforderlich sind, wie etwa die Konfiguration des Feldbussystems oder den Download der Applikation. Der Vorteil ist, dass die Standard-SPS um Sicherheitsfunktionen erweiterbar ist, ohne dass sie über spezielle Safety-Erweiterungsmöglichkeiten verfügt. Die Projektierung erfolgt dennoch innerhalb des SPS-Programmiersystems in einer einzigen Oberfläche.

Durch den dezentralen Aufbau lässt sich die Safety-SPS zusammen mit den sicheren oder Standard-E/As verdrahten.

Die Implementierung der Safety-Software

Hat sich der Geräte-Hersteller für eine Architektur entschieden, ist natürlich die Entwicklung einer geeigneten Safety-Hardware erforderlich. Für die Implementierung der Sicherheits-Software auf diesem Gerät ist eine Reihe mehr  oder weniger zeitaufwendiger Aufgabenpakete abzuarbeiten:

Vor Beginn der Software-Implementierung sollte ein Safety-Konzept gemäß IEC 61508 für die Steuerung beim Zertifizierungsinstitut eingereicht werden. Setzt der Geräte-Hersteller dabei auf eine verfügbare Software-Lösung mit vorabgenommenem Software-Konzept, so ist der Software-Anteil des Safety-Gesamtkonzepts für die neue Sicherheitssteuerung schneller erledigt.

Projektstruktur einer Sicherheitsfunktion als „Kindknoten“ einer Betriebsfunktion in Codesys: Aufgrund der integrierten Projektierung ist ein einfacher Datenaustausch möglich.

© 3S-Smart Software Solutions

Ist die Konzeptabnahme erteilt, so muss der Geräte-Hersteller die Geräte-Software nur noch auf sein Gerät anpassen. Das bedeutet: Der wesentliche Teil der Software wird unverändert in das Gerät übernommen, Anpassungen an das Gerät erfolgen über eine vordefinierte Schnittstelle. Das vorzertifizierte Laufzeitsystem mit abgenommenem Integrationshandbuch beschleunigt die Implementierung und reduziert gleichzeitig das spätere Risiko von Iterationsschleifen für die Abnahme aufgrund neuerlicher Forderungen von Seiten des Zertifizierungsinstituts.

Nach Abschluss der Implementierung muss der Hersteller durch Modul- und Integrationstests die funktionale Sicherheit der implementierten Einzelkomponenten nachweisen. Mit einer  vorbereiteten Test-Suite, wie sie beispielsweise bei Codesys Safety zur Verfügung steht und dort aus einem integrierten Testwerkzeug (Test Manager) sowie einem vordefinierten Test-Set mit zahlreichen vorbereiteten Testskripten besteht, spart sich der Geräte-Hersteller dabei viel Arbeit.

Um Projektierung und Abnahme der Sicherheitsfunktion für den Anwender zu erleichtern, kann der Geräte-Hersteller vordefinierte Anwendungsfunktionen bereitstellen. Verschaltet der Anwender später ausschließlich solche Funktionen, so kann die Abnahme solcher „Limited Variability“-Applikations-Software nach entsprechenden Bereichsnormen mit reduziertem Aufwand erfolgen.

Wurden alle Schritte in Absprache mit dem Zertifizierungsinstitut erfüllt, so wird nach Abschluss der Modul- und Integrationstests das fertig entwickelte Gerät einem ausführlichen Systemtest unterzogen. Auch für diese Tests ist der Einsatz des integrierten Testwerkzeuges hilfreich. Für die Hauptprüfung des Geräts ist dem Zertifizierungsinstitut nach Abschluss der  Entwicklung eine ausführliche Dokumentation bereitzustellen. Sie muss alle Entwicklungsschritte abdecken sowie ein Anwenderhandbuch für die Projektierung der Sicherheitsfunktion beinhalten. Im Anschluss an die erfolgreiche Hauptprüfung stellt das Zertifizierungsinstitut das Zertifikat für die Sicherheitssteuerung aus. Mit diesem Gerät erhalten Maschinen- oder Anlagenbauer schlussendlich ihrerseits eine vereinfachte Abnahme ihres Gesamtsystems nach den entsprechenden Bereichsnormen, wie etwa  ISO 13849 oder IEC 62061.

Autor: Roland Wagner ist Leiter Produkt-Marketing bei 3S-Smart Software Solutions, Kempten.