Safety Industrie In weniger Schritten zur Zertifizierung

Die Realisierung intelligenter Systemsteuerungsfunktionen, die über elementare Sicherheitsfunktionen hinausgehen, verlangt nach der Implementierung aufwendigerer Steuerungsalgorithmen. Durch vorzertifizierte Komponenten für FPGA-basierte Systeme kann die Projektdauer signifikant verkürzt werden.

Beispiele für intelligente Aktionen beim Eintreten eines Sicherheitsvorfalls sind das Herabsetzen der Drehzahl einer Maschine oder das Begrenzen des Aktionsradius eines Roboters auf einen bestimmen Bereich, um etwaige Gefahren für Menschen abzuwenden. Das Abschalten des gesamten Systems ist nicht immer notwendig und in vielen Fällen auch nicht möglich. Auch die Notabschaltung einer kompletten Fertigungslinie mitsamt den damit zusammenhängenden Systemen kommt nicht in Betracht. Daher muss die gesamte Maschine bzw. Fertigungslinie gestoppt oder in einen sicheren Betriebszustand versetzt werden.

Die Mehrzahl der Sicherheitsimplementierungen bedient sich derzeit noch teurer Erweiterungskarten oder -module, mit denen ein SIL-0-Produkt ergänzt werden kann. Infolge der steigenden Nachfrage wird der Einsatz von Sicherheitsfunktionen allerdings stark zunehmen. Deshalb wird deren Inte-gration mit geringstmöglichem Platzbedarf und zu minimalen Kosten gewünscht, so dass Erweiterungskarten den Erwartungen nicht mehr gerecht werden können. Stattdessen muss die Sicherheit von Grund auf in die Fertigungslinie integriert werden.

Wenn dezentrale Sensoren oder andere Einheiten per Netzwerk an die Zentraleinheit angeschlossen werden sollen, muss auch das Kommunikationsmedium durch die Verwendung von Sicherheits-Stacks in das Sicherheitskonzept eingebunden werden. Da Geräte mit Sicherheitszertifizierung einen längeren, komplexeren Entwicklungszyklus erfordern, nimmt auch das Obsoleszenzrisiko zu. Die Sicherheitsanforderungen sind zu spezifizieren, und es ist zusätzliche Zeit für die Entwicklung, Implementierung, Validierung und Prüfung dieser Sicherheitsfunktionen einzukalkulieren. Zeit kostet auch die Zertifizierung durch die verschiedenen zuständigen Instanzen. Die Unternehmen wollen schließlich sichergehen, dass sie alle diese Zyklen nicht erneut durchlaufen müssen, wenn von ihren Zulieferern eine Änderungsmitteilung oder Abkündigung zu einem Produkt kommt.
Als zwingend vorgeschriebene Eigenschaft wird die Funktionssicherheit künftig nicht nur ein wichtiges Alleinstellungsmerkmal, sondern eine unverzichtbare Voraussetzung sein, welche die Unternehmen für ihre Produkte zwingend anbieten müssen.

Was spricht für den Einsatz von Funktionssicherheit in Sicherheits-Applikationen?

Version 2 der internationalen Norm IEC 61508 behandelt neben weiteren neuen Themen auch FPGA-, ASIC- und CPLD-Technologien. In der heutigen Entwicklung funktionssicherer Produkte spielen diese Bauelemente eine entscheidende Rolle. Da FPGAs in zunehmendem Maß als Ersatz für andere elektronische Bauelemente in industriellen Anwendungen eingesetzt werden, müssen Normen wie die IEC 61508 diese technologischen Trends aufgreifen, um ihre Bedeutung zu behalten. Die Aufnahme von Richtlinien in die IEC 61508 bot den FPGA-Anbietern Leitlinien bezüglich der Anforderungen, während Gutachtern eine Orientierungshilfe für die Zertifizierung FPGA-basierter Produkte geboten wurde und die Kunden hinsichtlich des Einsatzes von FPGAs in ihren Sicherheits-Anwendungen beraten wurden.

Mehrere Gründe sprechen für die Verwendung von FPGAs in Sicherheitsanwendungen. Die üblichen Vorzüge, die FPGAs verglichen mit Mikrocontrollern, applikationsspezifischen integrierten Schaltungen und digitalen Signalprozessoren in Sachen Leistungsfähigkeit, Flexibilität, Skalierbarkeit und Integrationsgrad generell bieten, gelten natürlich auch hinsichtlich der Funktionssicherheit. Der Integrationsgrad als ein wichtiger Pluspunkt der FPGAs erlaubt z.B. die Integration vieler Systemfunktionen in einem einzigen FPGA, so dass das Design unter Umständen mit weniger Bauelementen implementiert werden kann. Dies wiederum senkt das Obsoleszenzrisiko und kann dank der reduzierten Systemkomplexität auch zu einem kostengünstigeren Design führen. Sicherheitsfunktionen wie etwa ein zusätzlicher redundanter Kanal oder Diagnosefunktionen sind einfach integrierbar. Ebenso ist es möglich, fertig entwickelte IPs wie etwa Industrial-Ethernet-Blöcke einzubinden, und dank der Programmierbarkeit der FPGAs besteht zusätzlich die Möglichkeit, das Design an geänderte Indus-triestandards anzupassen.

Auch die Skalierbarkeit ist entscheidend, ermöglicht sie den Kunden doch die Entwicklung einer standardisierten, FPGA-basierten Hardware-Plattform, die sich durch Ändern des FPGA-Designs skalieren und für mehrere Produkte nutzen lässt. Das Design einer eigenen Hardware-Plattform für jedes Produkt wird damit überflüssig. Der geringe Zeitaufwand für das FPGA-Redesign gestattet eine zügige Entwicklung neuer Produkte, so dass der Kunde seinen Mitbewerbern hinsichtlich des Innovationszyklus voraus sein kann.

Das oberste Ziel

Mit der Funktionssicherheit wird in erster Linie das Ziel verfolgt, Gefahren für Leib und Leben, die durch zufällige oder systematische Ausfälle bzw. Ausfälle aufgrund gemeinsamer Ursache (Common Cause Failures) in sicherheitsrelevanten Systemen entstehen können, abzuwenden. Zufällige Ausfälle werden durch Fehlfunktionen in Teilen oder Komponenten eines Systems verursacht. Im Gegensatz dazu sind systematische Ausfälle das Ergebnis einer fehlerhaften oder unzureichenden Spezifikation einer Sicherheitsfunktion. Als Common Cause Failure (CCF) bezeichnet man die gleichzeitige, auf eine einzige Ursache zurückzuführende Fehlfunktion mehrerer Teile eines Geräts (z.B. Ausfall einer Versorgungsspannung, die mehrere Komponenten auf einer Leiterplatte speist). Ziel der Produktentwicklung ist es in der Regel, für eine geringe Ausfallwahrscheinlichkeit während des Betriebs zu sorgen bzw. ein hohes Qualitäts- und Zuverlässigkeitsniveau zu erreichen. Die Funktionssicherheit definiert qualitative Kennzahlen für diese Qualität und Zuverlässigkeit und macht es für die Produktdefinition und -entwicklung noch schwieriger, diese zu erreichen.

Qualitätsmanagement-System

Viele Applikationsentwickler hegen Bedenken hinsichtlich der Einbindung der Funktionssicherheit. Projektmanager und die Mitglieder des Validierungs-Teams sehen sich mit einem neuen, unbekannten Bereich der Sicherheitszertifizierung konfrontiert. Ausgelöst werden die Bedenken meist durch die Tatsache, dass eine Zertifizierungs-instanz und ein externer Prüfer in das Projektteam eingegliedert werden. Die Prozess- und Qualitätshoheit liegt damit nicht mehr allein bei dem betreffenden Unternehmen, sondern wird extern überwacht. Sicherheitsprojekte verursachen nicht zuletzt einen höheren Prozess- und Dokumentationsaufwand. Glücklicherweise ist es aber nicht notwendig, alle Prozessschritte erneut zu erfinden oder erst zu erschaffen. Die Verwendung vorqualifizierter Tools oder fertig definierter Techniken und Kennzahlen macht das Erlangen der Sicherheitszertifizierung erheblich einfacher, wobei die Dokumentation eine wichtige Rolle spielt. Internationale Normen verlangen darüber hinaus nach der strikteren Einhaltung vorgegebener Regeln im Verlauf eines Projekts.

So geht‘s los

Zu Beginn eines Sicherheitsprojekts ist zunächst festzustellen, welche Prozeduren bereits existieren und als Grundlage für ein Funktionssicherheits-Projekt genutzt werden können. Viele Unternehmen nutzen Management-Tools, um einen hohen Grad an Prozessqualität zu erreichen und dem Produkt damit auch ein hohes Maß an Qualität und Zuverlässigkeit zu verleihen. Die internationalen Normen der ISO-9000-Familie (ISO 9000ff.) definieren beispielsweise Maßnahmen und Kennzahlen für Qualitätsmanagement-Systeme (QM), die in der Regel in einem QM-Handbuch zusammengefasst sind. Eine der acht Säulen der Normenfamilie ISO 9000 ist die Beschreibung unternehmensspezifischer Prozeduren sowie deren Umsetzung und Einhaltung (Bild 1).