Verdrahten oder programmieren?

Elektrische und elektronische Sicherheitsprodukte sind die wesentlichen Komponenten in der ­Sicherheitskette einer Maschine. Mit steigender Komplexität der Maschinenautomatisierung und den erhöhten Anforderungen an die Sicherheitstechnik in Bezug auf Manipulationssicherheit, Prozessbeobachtung und Konfigurationssicherheit finden zunehmend programmierbare und konfigurierbare elektronische Systeme ihren Einsatz. Ihre Vorteile in der Flexibilität ihrer Reak­tionen auf unterschiedliche Anforderungen und die einfache Anwendung überzeugen die Entscheidungsträger in den Entwicklungs- und Konstruktionsabteilungen. So wundert es nicht, dass schon heute eine Vielzahl solcher Systeme am Markt angeboten werden und beinahe monatlich neue Produkte für diesen Anwendungsbereich hinzukommen. Wodurch unterscheiden sich diese Produkte? Worin sind die essenziellen Vor- bzw. Nachteile begründet? Im Sinne einer besseren Lesbarkeit beschränkt sich dieser Artikel auf die ISO 13849-1, da zu den hier gemachten Aussagen die Anforderungen der IEC 62061 meist identisch oder zumindest vergleichbar sind.

Wartung versus Sicherheit

Die ISO 13849-1 fordert bei der Identifikation und Spezifikation der Sicherheitsfunktionen unter anderem die Berücksichtigung der Wechselwirkung verschiedener Arbeitsprozesse und ­manueller Aktionen wie Reparatur, Einrichten, Reinigung, Fehlersuche usw. auf die Sicherheit. Das heißt, vorhersehbare Fehlanwendungen bei der Reparatur und Wartung der Maschinen müssen im Sicherheitskonzept berücksichtigt und entsprechende Gegenmaßnahmen festgelegt werden. Besonders Störfälle und die daraus resultierenden Wartungseinsätze zu jeder Tages- und Nachtzeit bergen eine Vielzahl von Gefahren, die in der Folge die Sicherheit der Maschine negativ beeinflussen können.

Der Wartungstechniker muss Teile austauschen. Er allein trägt damit die Verantwortung, dass das Ersatzteil wieder korrekt im Sinne der Sicherheitsfunktion verschaltet wird. Vertauschungen in der Verdrahtung werden in der Regel erkannt, aber kann man sich wirklich in jeder Situation darauf verlassen? Angenommen die Signale zweier ähnlich agierender Lichtgitter werden vertauscht? Wird der vorgeschriebene Verdrahtungstest wirklich mit der notwendigen Sorgfalt ausgeführt, um diesen Fehler aufzudecken? Oder welche Konsequenzen hat es, wenn am Mäuseklavier des sicheren Drehzahlwächters ein einzelner DIP-Schalter die falsche Stellung aufweist. Als Folge wirkt womöglich ein anderer Grenzwert für die sicherere niedere Geschwindigkeit, dessen Wert um ein Vielfaches den korrekten Wert übersteigt. Eventuell hat sich dieser Fehler schon beim letzten Tausch eingeschlichen, und der Wartungstechniker macht wirklich die gleichen Einstellungen wie am getauschten Modul, nur eben die falschen. Und was kann passieren, wenn ein Sicherheitsschaltgerät für 6 A durch ein 4-A-Gerät getauscht wird, weil im Lager aktuell kein 6-A-Gerät vorhanden ist. Auch dieser Fehler bleibt sicher unerkannt, aber die sicherheitstechnische Funktion im Sinne eines Performance Levels und der damit verbundenen sehr geringen Wahrscheinlichkeit eines Gefahr bringenden Ausfalls ist aber gewiss nicht mehr gegeben.

Kurzum, die gängige Praxis, aufgrund des Produktionsdrucks mit Wartungsszenarien in dieser Form umzugehen, führt dazu, dass der Wartungstechniker zum Ausführenden für das Kon­figurieren der Sicherheitsapplikation wird und er somit die volle Verantwortung für die ordnungsgemäße Funktion der Sicherheitstechnik trägt. Und das bei jedem Wartungsfall unabhängig von der Tageszeit. Bei sehr einfachen Sicherheits­anwendungen lassen sich diese Fehlerszenarien unter Umständen noch bewältigen, in anderen Situationen jedoch ist der Einsatz von Systemen mit integriertem Konfigurationsmanagement das Gebot der Stunde. Dabei überwacht ein zentrales Sicherheitsgerät in der Regel eine Sicherheitssteuerung mit austauschbarem Konfigurationsspeicher die gesamte sicherheitstechnische Konfiguration. Inkompatible Gerätetypen oder falsche Einstellungen werden damit vom System aufgedeckt und der Wiederanlauf sicherheitstechnisch verriegelt. Weiters bieten manche Systeme abnehmbare Klemmen, wodurch der Gerätetausch ohne Öffnen der Verkabelung ermöglicht wird. Erst mit diesen Technologien wird der Wartungstechniker in seiner Verantwortung wirklich spürbar entlastet.

Die Wahl der richtigen Programmiersprache
Ein weiterer Aspekt ergibt sich im Aufbau und Sprachumfang der zu einem Sicherheitssystem notwendigen Konfigurationssoftware. Die ISO 13849-1 unterschiedet zwischen Programmiersprachen mit eingeschränktem Sprachumfang (LVL „Limited Variability Language“ genannt) und solchen mit uneingeschränktem Sprachumfang (im Folgenden FVL „Full Variability Lan­guage“ genannt).
Programmiersprachen mit eingeschränktem Sprachumfang (LVL) stellen die Möglichkeit zur Verfügung, vordefinierte Bibliotheksfunktionen zu kombinieren, um die Sicherheitsanforderungen im Programm umzusetzen. Weiters wird der Anwender vor den sonst in der Programmierung üblichen Fehlerquellen geschützt. So ist bspw. das Bilden von Schleifen, die Verwendung von Zeigern (Pointer) und globalen Variablen verboten. Als LVL gelten die IEC 61131-3 Programmiersprachen FUP (Funktionsblockdiagramm, Funktionsablaufplan) und KOP (Kontaktplan). Manche Hersteller bieten hier auch proprietäre Lösungen an, wodurch aber das Applikationsprogramm bei einem Systemwechsel auf ein neues System nicht übernommen werden kann.
Programmiersprachen mit uneingeschränktem Sprachumfang (FVL) bieten alle Möglichkeiten der Programmierung. Hierzu zählen neben den in der IEC 61131-3 genormten Sprachen AWL (Anweisungslisten) und ST (strukturierter Text) auch die Hochsprachen C, C++ und andere. Eine Programmierung in FVL kennt keine Einschränkung und beinhaltet somit auch alle Fehlermöglichkeiten, die in der Programmierung denkbar sind. Hierzu zählen bspw. das Bilden von Endlosschleifen, Speicherverletzung durch verfälschte Zeiger oder fehlerhafter Zugriff auf globale Variablen.
LVL „Limited Variability Language“ oder FVL „Full Variability Language“, das Programmiersystem und damit die verfügbaren Programmiersprachen entscheiden massiv über Kosten.
Diese vielen Fehlermöglichkeiten haben zur Folge, dass für die Implementierung der Anwendungssoftware in FVL ein wesentlich aufwendigerer Entwicklungsprozess vorgeschrieben ist als für eine Implementierung in LVL. So fordert die ISO 13849-1 demnach für Implementierungen in LVL einen sehr vereinfachten Software- Entwicklungsprozess. Für die Implementierung einer Anwendungssoftware in FVL hingegen wird auf die Normenreihe IEC 61508 verwiesen. Diese Normenreihe besteht insgesamt aus sieben Teilen mit zusammen ca. 430 Seiten. Allein die Installation eines normkonformen Entwicklungsprozesses gemäß IEC 61508 stellt eine enorme Investition dar. Eine Software-Implementierung mit FVL ist somit mit einem ungleich ­höheren Aufwand verbunden als bei einer Implementierung mit LVL. Bei der Wahl der Programmiersprache ist man aus diesen Gründen gut beraten, sich auf LVL festzulegen. Bei der Systemauswahl sind daher die Konfigurationssoftware und deren Klassifizierung gemäß diesen Kriterien zu berücksichtigen.

Integrated Safety Technology
B & R hat hier mit seinen Produkten der Integrat­ed Safety Technology neue Maßstäbe in Bezug auf einfache Anwendungen, abgesicherte Wartungsszenarien und durchgängige Skalierbarkeit gesetzt. Die Programmierung der Sicherheitsfunktionen erfolgt im SafeDesigner des Automation Studio. Dem Anwender stehen dazu neben den IEC 61131-3 konformen FUB- und KOP-Sprachelementen auch eine vom TÜV zertifizierte Bibliothek mit 20 Bausteinen für die Maschinenautomatisierung zur Verfügung. Diese Bausteine entsprechen vollständig dem Standard der PLCopen. Das Programmieren der Sicherheitsapplikation reduziert sich damit auf das virtuelle Verdrahten der logischen Bausteine. Diese sehr einfache und intuitive Arbeitsweise hat zur Folge, dass auch die entstehenden Anwendungen sehr klar strukturiert und übersichtlich sind. So werden Fehler schon sehr früh in allen Entwicklungsphasen vermieden. Der SafeDesigner trifft somit genau die Erwartungen eines LVL-Programmiersystems. Dennoch ermöglicht das Toolkit die Erstellung umfangreicher, komplexer Applikationen, da es im Umfang nicht auf die Konfiguration einzelner Bausteine eingeschränkt ist, sondern eine freie Programmierung im Rahmen der für LVL erlaubten Möglichkeiten verfügbar ist. Der Programmeditor im Safe­Designer ist damit derzeit das einzige, zertifizierte System am Markt, dass diesen Zielkonflikt zwischen freier Programmierung und Einschränkung auf LVL meistert.

Durchgängig skalierbar
Die im SafeDesigner projektierte Sicherheitsapplikation wird in der Sicherheits-CPU, der SafeLogic, abgearbeitet. Sie unterstützt dabei Zy­kluszeiten ab 1 ms sowie die Anbindung von bis zu 100 sicherheitstechnischen Peripheriegeräten wie IO-Modulen, Servoverstärkern mit integrierten Sicherheitsfunktionen oder Lichtgitter und vieles mehr. Durch das sehr modulare Konzept sind technisch kompatible und wirtschaftlich konkurrenzfähige Applikationen in einem extrem breiten Anwendungsbereich möglich. Das beginnt bei einfachsten Anwendungen mit weniger als 10 sicherheitstechnischen IO-Kanälen und erstreckt sich hin bis zu komplexen Anlagen von vielen Hunderten sicheren IO’s. Unterschiedliche sicherheitstechnische Funktionen im Antrieb sowie im Lichtgitter sind dabei in allen diesen Anwendung auf der Basis der gleichen Plattform und des gleichen Programmiersystems verfügbar. Ausgefeilte Algorithmen und Funktionen zur automatischen Handhabung unterschiedlicher Optionen im Serienmaschinenbau auf der Basis der gleichen Sicherheitsapplikation runden hier das Funktionsportfolio ab.
Integrated Safety Technology von B & R entlastet entscheidend den Wartungstechniker in seiner Verantwortung für die Sicherheit der Maschine. Das in der SafeLogic integrierte Konfigurationsmanagement sorgt für konsistente Konfigurationen und dokumentiert alle Eingriffe in den sicherheitsrelevanten Komponenten. Die integrierte Diagnose, welche selbstverständlich auch als Ferndiagnose genutzt werden kann, trägt nicht unwesentlich dazu bei, im Servicefall die richtigen Maßnahmen zu setzen. Die Modularität des X20-Systems mit der abnehmbaren Klemme befreit den Wartungstechniker im Service Fall vor der brisanten Aufgabe, zum Tauschen einer Komponente die sicherheitstechnisch kritische Verdrahtung zu lösen.
Abgerundet wird das Safety Produktportfolio bei B & R mit den Komponenten der sicheren Antriebstechnik. Mit dem modularen Antriebssystem ACOPOSmulti von B & R stehen alle wichtigen Sicherheitsfunktionen für die Domestizierung der Antriebe im Maschinenbau zur Verfügung. Um den Anwender hier vor Fehlanwendung und sicherheitstechnischen Fallstricken zu schützen, übernimmt die SafeLogic auch hier das Konfigurations- und Parametermanagement. Damit ist auch hier der Wartungstechniker im Servicefall mit keiner unverhältnismäßigen, sicherheitstechnischen Verantwortung belastet.