Suchen

Sichere Signale via Feldbus: Modul-Lösung für Functional Safety

| Autor / Redakteur: Stefan Kraus * / Gerd Kucera

Mit dem zertifizierten generischen Safety-I/O-Modul Ixxat Safe T100 lässt sich die funktionale Sicherheit über den vorhandenen nicht-sicheren Kommunikationsbus realisieren. Es unterstützt neben CIP Safety auch PROFIsafe bis SIL 3 und Performance Level e.

Firmen zum Thema

Das Indesign-Modul hat sichere Ein- und Ausgänge und einer auf das Hardware-Konzept ausgerichteten Software, die die sichere Kommunikation bis SIL 3 bzw. Performance Level e gewährleistet.
Das Indesign-Modul hat sichere Ein- und Ausgänge und einer auf das Hardware-Konzept ausgerichteten Software, die die sichere Kommunikation bis SIL 3 bzw. Performance Level e gewährleistet.
(Bild: HMS)

Von automatisierten Anlagen darf keine Gefahr für Mensch, Maschinen oder die Umwelt ausgehen. Kommt es dennoch zu einer gefährlichen Situation, dann müssen Maschinen einen definiert sicheren Zustand einnehmen. Um diesen zu erreichen, wurden in Vergangenheit schützende oder fehlererkennende Einrichtungen wie Notaus oder Sicherheitslichtgitter mit der Maschinensteuerung direkt verdrahtet. Zunehmend erkennen Anwender die Vorteile, Sicherheitsfunktionen über den Kommunikationsbus abzubilden, da sie damit im Aufbau und Nutzen flexibler werden. Dazu wurde das Safety-I/O-Modul T100 entwickelt, das den hohen Arbeits- und Kostenaufwand der Direktverdrahtung vermeiden soll.

Normen wie die IEC61508 zur funktionalen Sicherheit machen nicht nur klare Vorgaben in Bezug auf die Sicherheitsfunktionen von Komponenten, sondern unterstützen auch bei deren Realisierung. Ziel ist es, einerseits systematische Fehler durch strukturiertes Vorgehen in der Entwicklung von vornherein auszuschließen und andererseits zufällige Fehler, deren Auftreten nicht vorhersehbar sind, durch entsprechende Gerätekonzepte sicher zu erkennen und zu behandeln.

Obwohl die Norm z.B. in Form von Checklisten viel Unterstützung bietet, ist das Umsetzungsfeld weit und viele Komponentenhersteller schrecken davor zurück, sichere Kommunikation selbst zu integrieren. Unter anderem auch, weil man stets auf dem aktuellen Stand der Technik bleiben muss bei einem Thema, das die eigene Kernkompetenz in vielen Fällen oft nur streift. Es stellt sich daher die Frage, ob man die sichere Kommunikation über den Feldbus selbst realisiert oder besser eine generische Lösung zukauft.

Sichere Kommunikation bis SIL 3 bzw. Performance Level e

Die Kommunikationsexperten von HMS Industrial Networks (HMS) bieten mit dem Ixxat Safe T100 ein vom TÜV vorzertifiziertes generisches Safety-I/O-Modul, mit dem sich die sichere Kommunikation von I/O-Signalen via Black-Channel-Prinzip einfach in den vorhandenen nicht-sicheren Kommunikationsbus integrieren lässt. Es besteht aus Hardware, also einem Indesign-Modul mit sicheren Ein- und Ausgängen, und einer auf das Hardware-Konzept ausgerichteten Software, die die sichere Kommunikation bis SIL 3 bzw. Performance Level e gewährleistet.

Welche Argumente sprechen beim Komponentenhersteller für den Einsatz einer generischen Lösung? Einerseits wird für ihn das Ausarbeiten des „Functional Safety Management Plans“ leichter. Er muss nun nicht mehr die individuelle Vorgehensweise erarbeiten, sondern kann diese basierend auf den Vorgaben der generischen Lösung umsetzen. Auch bei der sicheren Anforderungsspezifikation des zu entwickelnden Geräts greift ihm das generische Safety-I/O-Modul unter die Arme, denn die Entwicklung der Hardware samt iterativem Schaltungsentwurf und Abstimmung mit einer neutralen Prüfstelle wird komplett ausgelagert. Der Komponentenhersteller muss lediglich die fertige Sicherheits-Hardware nach den entsprechenden Herstellervorgaben ins eigene Produkt integrieren.

Auch die Implementierung der sicherheitsrelevanten Software übernimmt komplett der Hersteller der generischen Sicherheitslösung. Das ist ein entscheidender Vorteil, denn Softwareentwicklung ist per se anfällig für systematische Fehler. Hier setzen die HMS-Kommunikationsexperten auf stringente Prozesse, die durch die gesamte Entwicklung führen, von der Planung über die Entwicklung bis hin zum Testen und Validieren. Einzelne Softwaremodule und die gesamte Software müssen bestimmte Testpatterns durchlaufen. Auch spielt ein Mehraugenprinzip eine wichtige Rolle bei der Entwicklung sicherer Software. Insgesamt ist das natürlich mit sehr viel Aufwand und hohen Kosten verbunden. Ein weiterer Grund, Sicherheitslösungen nicht selbst zu entwickeln, sondern möglichst auf generische Lösungen zurückzugreifen.

Während Komponentenhersteller bei Eigenentwicklung der Sicherheitslösung auch das Sicherheitshandbuch für das Automatisierungsgerät komplett selber erstellen müssen, lässt sich dieses bei Zukauf vereinfacht anhand der Richtlinien des Herstellers der generischen Sicherheitslösung erstellen. Weil das T100 bereits eine TÜV-Bauartenzulassung hat, wird auch die abschließende Zertifizierung deutlich erleichtert. Das gilt auch für die Zertifizierung der Feldbus- bzw. Ethernet-Kommunikation. Bei der Integration unterstützen verschiedene Checklisten und ein Sicherheitshandbuch. Weist der Komponentenhersteller bei der Endabnahme mit der zertifizierenden Instanz nach, dass er bei der Implementierung gemäß Checklisten im Sicherheitshandbuch vorgegangen ist, wird dieser Schritt ebenfalls deutlich erleichtert.

Bild 1: Das Ixxat Safe T100 unterstützt neben CIP Safety auch PROFIsafe.
Bild 1: Das Ixxat Safe T100 unterstützt neben CIP Safety auch PROFIsafe.
(Bild: HMS)

Ein Sicherheitsmodul für CIP Safety und PROFIsafe

Das Ixxat Safe T100 selbst punktet durch hohe Flexibilität. Mittlerweile wurden diverse Protokolle für die sichere Feldbuskommunikation auf dem Markt etabliert. Das T100 ist so aufgebaut, dass sich ein und dieselbe Hardware für verschiedene Protokolle nutzen lässt. Dazu ist nur die jeweilige Software aufzuspielen. Das Safety-Modul gibt es für CIP Safety und für PROFIsafe. Weitere Protokolle sind in Arbeit. Exemplarisch wird nachfolgend das Safety-Modul mit CIP Safety-Implementierung vorgestellt.

Mit dem generischen Safety-I/O-Modul T100 lassen sich Sicherheitsfunktionen parametrieren. Generell hat das Modul sechs Eingänge und zwei Ausgänge, die für den Ein- oder Zweikanaleinsatz konfigurierbar sind. In manchen Anwendungen liefern Sensoren oder Aktoren bereits redundante, sichere Ausgangssignale. In diesem Fall gleicht das T100 das zweikanalige Signal lediglich ab und gibt es dann einfach über das sichere Feldbusprotokoll an die Steuerung weiter.

Bild 2: Mit den Ixxat Safe T100-Modulen lässt sich sichere Kommunikation via Black-Channel-Prinzip einfach in den vorhandenen nicht-sicheren Kommunikationsbus integrieren.
Bild 2: Mit den Ixxat Safe T100-Modulen lässt sich sichere Kommunikation via Black-Channel-Prinzip einfach in den vorhandenen nicht-sicheren Kommunikationsbus integrieren.
(Bild: HMS)

In anderen Fällen wird lokal eine logische Auswertung sowie Fehleraufdeckung gefordert, um sicher erkennen zu können, ob das Signal gültig erzeugt und vom Sensor oder Aktor übertragen wurde. Nur so lassen sich Fehler im System aufdecken und beherrschen. Diese Funktion übernimmt das T100 und nutzt dazu verschiedenen Erkennungs- und Testverfahren.

Gewöhnlich bieten Module für die sichere Kommunikation nur Ein- oder nur Ausgänge. Für manche Einsatzfälle ist es aber sinnvoll, wenn beides in einem Modul verfügbar ist. Der lokale Sicherheitsprozess erscheint hierdurch als ein Gerät das sowohl Eingangs- als auch Ausgangssignale mit dem übergeordneten Sicherheitssystem austauschen kann. Typischerweise wird das T100 in Kombination mit dem Kommunikationsmodul Anybus CompactCom von HMS eingesetzt, kann aber auch an andere Kommunikationsmodule angeschlossen werden. HMS legt dazu das Protokoll offen und ermöglicht so eine kundenspezifische Integration.

Wer die Sicherheitsfunktion für seine Komponente zukauft, will sicher sein, dass alles auch zuverlässig funktioniert. HMS übernimmt daher konkret die Verantwortung für die Sicherheitsfunktionen. Grundlage dazu ist die über zehn Jahre gesammelte Erfahrung aus der Integration von Lösungen für die sichere Kommunikation und die regelmäßige Zertifizierung der Produkte durch den TÜV.

Für das breite Feld typischer Sicherheitsfunktionen, etwa die Realisierung eines Notausschalters, das Anbinden von Sicherheitslichtgittern bzw. -Lichtschranken oder der Notstopp eines Antriebs, können generische Lösungen die gesamte Produktentwicklung deutlich erleichtern. Mit Sicherheitsmodulen wie dem T100 müssen Komponentenhersteller lediglich die verlangte Sicherheitsfunktion definieren und diese mit Hilfe des Moduls implementieren. Hier unterstützen die Kommunikationsexperten von HMS mit der entsprechenden Beratung.

* Stefan Kraus ist Product Manager Line Director Safety im HMS Technology Center, Ravensburg.

Artikelfiles und Artikellinks

(ID:45897943)