Sicher über den Feldbus

Titel

Kommunikationstechnik – Mit den Feldbuskomponenten von HMS Industrial Networks kann die notwendige sichere Kommunikation in modernen Maschinen und Anlagen auf einfache Weise umgesetzt werden.

02. Februar 2018

Von automatisierten Anlagen sollte niemals Gefahr für Mensch, Maschinen oder die Umwelt ausgehen. Kommt es dennoch zu einer gefährlichen Situation, ist es daher wichtig, Maschinen definiert in einen sicheren Zustand zu überführen. Schützende oder Fehler erkennende Einrichtungen wie beispielsweise Not-Aus oder Sicherheitslichtgitter waren hierzu in der Vergangenheit direkt mit der Maschinensteuerung verdrahtet.

Zunehmend sehen Anwender aber Vorteile darin, Safety-Funktionen über den Feldbus abzubilden, da sie damit im Aufbau und Nutzen flexibler werden. Der Schritt von der Direktverdrahtung zur Sicherheitsfunktion über den Feldbus ist aber beachtlich, da vor allem auf Softwareseite jede Menge Know-how gefragt ist. Werden Komponentenhersteller von ihren Anwendern aufgefordert, Sicherheitsfunktionen über den Feldbus zu integrieren, sorgt das schnell für Kopfzerbrechen hinsichtlich der konkreten Umsetzung.

Zunächst geben Normen wie die IEC61508 für funktionale Sicherheit nicht nur klare Vorgaben in Bezug auf die Sicherheitsfunktionen von Komponenten, und deren systematische Realisierung. Das Ziel der sicheren Entwicklung muss einerseits sein, systematische Fehler durch strukturiertes Vorgehen in der Entwicklung von vornherein auszuschließen, andererseits müssen zufällige Fehler, deren Auftreten nicht vorhersehbar ist, durch entsprechende Gerätekonzepte sicher erkannt und behandelt werden.

Obwohl die Norm etwa in Form von Checklisten viel Unterstützung bietet, ist das Umsetzungsfeld weit, und viele Komponentenhersteller schrecken davor zurück, sichere Kommunikation selbst zu integrieren. Unter anderem auch, weil man stets auf dem aktuellen Stand der Technik bleiben muss bei einem Thema, das die eigene Kernkompetenz in vielen Fällen oft nur streift. Es stellt sich daher die Frage, ob man die sichere Kommunikation über den Feldbus selbst realisiert oder besser eine generische Lösung zukauft.

Eine Lösung gibt die Antwort

Die Kommunikationsexperten von HMS bieten mit dem Ixxat Safe T100 ein vom TÜV vorzertifiziertes generisches Safety-I/O-Gerät, mit dem sich die sichere Kommunikation von I/O-Signalen via Black-Channel-Prinzip einfach in den vorhandenen nicht-sicheren Feldbus integrieren lässt. Die Indesign-Hardware mit sicheren Ein- und Ausgängen umfasst gleichzeitig eine auf das Hardware-Konzept ausgerichtete Software, die die sichere Kommunikation bis SIL3 beziehungsweise Performance Level PLe gewährleistet.

Welche Argumente sprechen beim Komponentenhersteller für den Einsatz einer generischen Lösung? Einerseits wird für ihn das Ausarbeiten des »Functional Safety Management Plans« leichter. Er muss nicht mehr die individuelle Vorgehensweise erarbeiten, sondern kann diese basierend auf den Vorgaben der generischen Lösung umsetzen. Auch bei der sicheren Anforderungsspezifikation des zu entwickelnden Geräts greift ihm das generische Safety-I/O-Gerät »unter die Arme«, denn die Entwicklung der Hardware samt iterativem Schaltungsentwurf und Abstimmung mit einer neutralen Prüfstelle wird komplett ausgelagert. Der Komponentenhersteller muss nur die fertige Safety-Hardware nach den entsprechenden Herstellervorgaben ins eigene Produkt integrieren.

Auch die Implementierung der sicherheitsrelevanten Software übernimmt komplett der Hersteller der generischen Safety-Lösung. Das ist von Vorteil, denn Softwareentwicklung ist per se anfällig für systematische Fehler. In diesem Fall setzen die Kommunikationsexperten von HMS Industrial Networks auf stringente Prozesse, die durch die gesamte Entwicklung führen: von der Planung über die Entwicklung bis hin zum Testen und Validieren. Einzelne Softwaremodule sowie die Software als Ganzes müssen dabei bestimmte Testpatterns durchlaufen.

Stefan Kraus, Product Manager Safety beim HMS Technology Center Ravensburg, ergänzt: »Auch ein Mehraugenprinzip spielt eine wichtige Rolle bei der Entwicklung sicherer Software. Insgesamt ist das natürlich mit sehr viel Aufwand und hohen Kosten verbunden. Dies ist ein weiterer Grund für den Maschinen- und Anlagenbau, Safety-Lösungen nicht selbst zu entwickeln, sondern wenn möglich auf generische Lösungen zurückzugreifen.«

Zertifizerung erleichtern

Während Komponentenhersteller bei der Eigenentwicklung einer Safety-Lösung auch das Safety-Manual für das Automatisierungsgerät in der Regel komplett selbst erstellen müssen, lässt sich dieses bei Zukauf vereinfacht anhand der Richtlinien des Herstellers der generischen Safety-Lösung erstellen. Weil das T100 bereits eine TÜV-Bauartenzulassung hat, wird auch die abschließende Zertifizierung deutlich erleichtert.

Das gilt auch für die Zertifizierung der Feldbus- beziehungsweise Ethernet-Kommunikation. Bei der Integration des Kommunikationsgerätes unterstützen den Anwender verschiedene Checklisten und ein Sicherheitshandbuch. Weist der Komponentenhersteller bei der Endabnahme mit der zertifizierenden Instanz nach, dass er bei der Implementierung gemäß der Checklisten im Sicherheitshandbuch vorgegangen ist, wird dieser Schritt ebenfalls deutlich erleichtert.

Ein wichtiges Merkmal des Ixxat Safe T100 ist laut HMS die hohe Flexibilität. Denn mittlerweile haben sich verschiedene Protokolle für die sichere Feldbuskommunikation am Markt etabliert, und das T100 ist so aufgebaut, dass ein und dieselbe Hardware für verschiedene Protokolle genutzt werden kann. Dazu muss nur die jeweilige Software aufgespielt werden. Die Profisafe-Implementierung auf dem T100 hat sich bereits in der Praxis bewährt, und jetzt ist das Protokoll CIP Safety als nächstes Mitglied in der Produktfamilie hinzugekommen. Weitere Protokolle sind in Arbeit.

Sichere Signale weiterleiten

Mit dem generischen Safety-I/O-Gerät T100 lassen sich Sicherheitsfunktionen auf einfache Weise parametrieren. Generell hat das Modul sechs Eingänge und zwei Ausgänge, die für den Ein- oder Zweikanaleinsatz konfigurierbar sind. In manchen Anwendungen liefern Sensoren oder Aktoren bereits redundante, sichere Ausgangssignale. In diesem Fall gleicht das T100 das zweikanalige Signal lediglich ab und gibt es dann einfach über das sichere Feldbusprotokoll an die Steuerung weiter.

In anderen Fällen wird lokal eine logische Auswertung sowie Fehleraufdeckung gefordert, um sicher erkennen zu können, ob das Signal gültig erzeugt und vom Sensor oder Aktor an den T100-Eingang übertragen wurde. Nur so lassen sich lokale Fehler im System mit minimaler Verzögerung aufdecken und beherrschen. Diese Funktion übernimmt das T100 und nutzt dazu verschiedenen Erkennungs- und Testverfahren.

Gewöhnlich bieten Module für die sichere Kommunikation nur Ein- oder nur Ausgänge. Für manche Einsatzfälle ist es für den Anwender aber sinnvoll, wenn beides in einem Modul verfügbar ist. Der lokale Sicherheitsprozess erscheint in diesem Fall in der Sicherheitssteuerung als ein Gerät, das sowohl Eingangs- als auch Ausgangssignale mit dem übergeordneten Sicherheitssystem austauschen kann. Typischerweise wird das T100 in Kombination mit dem Kommunikationsmodul Anybus CompactCom von HMS eingesetzt, kann aber auch an andere Kommunikationsmodule angeschlossen werden. HMS legt dazu das Protokoll offen und ermöglicht so eine kundenspezifische Integration.

Hohe Kenntnis vom Markt

Wer die Safety-Funktion für seine Komponente zukauft, will sicher sein, dass alles auch zuverlässig funktioniert. Dazu erklärt Stefan Kraus: »Wir übernehmen konkret die Verantwortung für die Sicherheitsfunktionen des T100. Das entlastet unsere Kunden natürlich deutlich. Außerdem realisieren wir seit über zehn Jahren Lösungen für die sichere Kommunikation. Von diesem langjährig angesammelten Know-how profitieren unsere Kunden. Zudem bestätigt der TÜV regelmäßig die Qualität unserer Produkte.« Gleichzeitig beobachten die Kommunikationsexperten den Markt und kennen stets den aktuellen Stand der Technik.

Für das breite Feld typischer Sicherheitsfunktionen, wie zum Beispiel die Realisierung eines Notausschalters, das Anbinden von Sicherheitslichtgittern oder -Lichtschranken oder der Notstopp eines Antriebs, können generische Lösungen die gesamte Produktentwicklung deutlich erleichtern. Darüber hinaus helfen sie letztendlich Kosten und wertvolle Entwicklungszeit einzusparen. Die Kommunikationsexperten von HMS unterstützen hier auch mit der entsprechenden Beratung. mk

Auf einen Blick

Ixxat Safe T100

• Mit dem Ixxat Safe T100 lassen sich sichere E/A-Signale einfach in Geräte implementieren. Das Modul erfüllt hierbei die Sicherheitsanforderungsstufe SIL3 gemäß IEC 61508 und den Performance Level PLe / Kategorie 4 nach IEC 13849-1.

• Es wurde für den Einsatz mit dem Anybus-CompactCom-Modul entwickelt, das die nicht-sichere Kommunikationsschicht bereitstellt.

Erschienen in Ausgabe: 01/2018