Search Icon
ComputerAutomation Logo
Search Icon

Safety-Programmierung

Der Weg zur sicheren Software

17. Juli 2014, 15:36 Uhr | Christoph Berger, Carina Schlicker und Wolfgang Zeller
© Hochschule Augsburg

Durch die stetige Weiterentwicklung zertifizierter Safety-Funktionen – zum Beispiel durch die PLCopen – ergeben sich neue und flexible Möglichkeiten bei der Entwicklung sicherer Produk­tionsmaschinen. Jedoch stehen nicht für alle erforderlichen Anwendungsfälle standardisierte Lösungen in Form von Bibliotheken bereit.

Moderne Produktionsabläufe sind heute gekennzeichnet durch einen zunehmenden Automatisierungsgrad bei einer gleichzeitig stärkeren Integration des Bedieners in den Prozess. Diese Schritte münden in neue Betriebsarten, in denen eine schnellere Störungsbehebung möglich ist und eine Prozessbeobachtung ohne trennende Schutzeinrichtung zu niedrigeren Ausschussraten führt.

Einen europaweiten Rahmen zur Realisierung sicherheitstechnischer Maßnahmen an Maschinen und Anlagen bilden die Maschinenrichtlinie und harmonisierte Normen. Für die Bestimmung der technischen Schutzmaßnahmen geben die Normen EN ISO 13849-1 mit dem erforderlichen Performance Level (PLr) von a bis e und EN 62061 mittels der Safety Integrity Levels (SIL) 1–3 Methoden zur Klassifizierung einer Gefahrensituation vor. Neu ist, dass auch die Ausfallwahrscheinlichkeit und die Fehlerdiagnose der Komponenten quantitativ betrachtet werden. Bei der Wahl ist allerdings zu berücksichtigen, dass die Norm EN ISO 13849-1 auf  elektrische, elektronische und programmierbar elektronische (E/E/PE), mechanische, pneumatische sowie hydraulische Systeme angewendet werden kann, wogegen sich die EN 62061 auf E/E/PE-Systeme beschränkt.

Anbieter zum Thema

Beckhoff Automation GmbH & Co. KG
Würth Elektronik eiSos GmbH & Co. KG
Matchmaker+
zu Matchmaker+
Drei Stufen Methode Risikominderung
Bild 1. Bevor mit der Umsetzung eines Safety-Konzeptes begonnen werden kann, gilt es eine Risikobeurteilung nach EN ISO 12100 vorzunehmen. Die Abbildung zeigt die Drei-Stufen-Methode zur Risikominderung.
© Hochschule Augsburg

Der erforderliche SIL oder PLr kann als Sollwert für die Umsetzung jeder Sicherheitsfunktion angesehen werden. Mit dem steigenden Gefahrenpotenzial durch die hohe Bewegungsdynamik an modernen Maschinen und der engen Mensch-Maschinen-Interaktion – zum Beispiel beim Rüsten und Einrichten – geht häufig ein PLr von „c“ oder höher einher. Auf diesen Sollwert wird mit unterschiedlichen Kategorien in Form von ein- oder zweikanaligen Strukturen (Kat.) und mit Maßnahmen gegen Fehler gemeinsamer Ursache (CCF) reagiert.

Die normativen Anforderungen bei einem PLr ≥ „c“ hinsichtlich der Zuverlässigkeit (MTTF) und des Diagnosedeckungsgrades (DC) sind mit elektromechanischen Betriebsmitteln aus wirtschaftlichen oder technischen Gründen oftmals nicht zu realisieren. Weitaus größere Möglichkeiten bei der Gestaltung von sicherheitsrelevanten Systemen eröffnen sich mit Sicherheitsbauteilen, Sicherheitssteuerungen und antriebsintegrierten Sicherheitsfunktionen.

Für die Verarbeitung sicherheitsrelevanter Informationen ergeben sich drei alternative Realisierungsmöglichkeiten von Sicherheitssystemen, die sich in Flexibilität und Leistungsfähigkeit unterscheiden.

Kompakte Sicherheitsrelais bieten eine vergleichbar geringe Flexibilität. Je nach Sicherheitsapplikation, wie etwa Not-Halt, Zweihandtaster oder Zeitüberwachung, muss ein separates Modul verwendet werden. Der Vorteil liegt in der robusten und einfachen Integration ohne Programmieraufwand. Eine höhere Flexibilität besitzen sichere konfigurierbare Steuerungssysteme, die sich zur Realisierung mehrerer Sicherheitsfunktionen an einer Maschine oder Anlage eignen. Mit einem zumeist modularen Aufbau lassen sich diese an die Maschinen- und Anlagengröße anpassen. In der Entwicklungsumgebung können sichere Software-Funktionen, wie Drehzahl- oder Stillstandwächter, sichere Analogeingangsmodule oder o.g. Funktionen, konfiguriert werden. Der größte Freiheitsgrad ergibt sich mit einer Sicherheitssteuerung (SI-SPS). Dabei ist es auch möglich, betriebs- und sicherheitstechnische Applikationen in einem Steuerungssystem abzubilden. Die Umsetzung sicherheitsrelevanter Programme erfolgt meistens mit zertifizierten Bibliotheken.

Antriebsorientierte Sicherheitsfunktionen
Bild 2. Antriebsintegrierte Sicherheitsfunktionen ST0 (a), SS1 (b) und SLS (c). Im rot markierten Bereich wird dem Motor keine Energie zugeführt. Bei einer Überschreitung der Geschwindigkeit (v) erfolgt eine sofortige Stillsetzung.
© Hochschule Augsburg

Das generelle Merkmal aller drei Varianten ist die hohe Widerstandsfähigkeit gegen Fehler. Die Verarbeitung des sicherheitsrelevanten Programms erfolgt in einem Sicherheitssystem mit den zusätzlichen Maßnahmen zweikanaliger Hardware-Aufbau von zum Beispiel CPU, Arbeitsspeicher und Spannungsversorgung, zeitliche und logische Überwachung von Programmabläufen, Kreuzvergleich von Eingangssignalen, Zwischenergebnissen und Ausgangswerten, Eigentests der CPUs, Festwert- und Arbeitsspeicher, Erkennung von statischen Ausfällen und Kurzschlüssen.

Nach der Erfassung und Verarbeitung folgt die sicherheitstechnische Überwachung und Freigabe der Erzeugung von Bewegung, beispielsweise mittels elektrischer Antriebstechnik. Mit den antriebsintegrierten Sicherheitsfunktionen, wie etwa sicher abgeschaltetes Moment (STO), sicherer Betriebshalt (SS1) oder sicher begrenzte Geschwindigkeit (SLS), ergeben sich zuverlässige Möglichkeiten für die Überwachung und Reaktion im Fehlerfall.
In Bild 2 ist das zeitliche Verhalten des Eingangssignales zur Aktivierung (Zeitpunkt t1) der genannten Funktionen und der Geschwindigkeit der bewegten Maschinenkomponente grafisch dargestellt.

  1. Der Weg zur sicheren Software
  2. Der Weg zur sicheren Software
  3. Mit Coding Conventions zu mehr Freiheit

Verwandte Artikel

Hochschule für angewandte Wissenschaften FH Augsburg

Andreas Seiler, Hochschule Augsburg

Nachgehakt bei Andreas Seiler

Den Security-Risiken auf der Spur