Steuerungs- und „Safety“-Funktionen werden gekoppelt Trends in der Maschinensicherheit

Wegen des erheblichen Zusatzaufwandes der Zertifizierung ist der Markt für Sicherheitstechnik („Safety“) heute von Herstellersystemen geprägt; von einem Aufbau eines sicherheitsgerichteten Systems mit verschiedenen Komponenten für Steuerungstechnik, Feldbus, Sensoren, Aktoren und Software – nach dem Grundsatz „best of breed“ – ist der Markt weit entfernt.

Wegen des erheblichen Zusatzaufwandes der Zertifizierung ist der Markt für Sicherheitstechnik („Safety“) heute von Herstellersystemen geprägt; von einem Aufbau eines sicherheitsgerichteten Systems mit verschiedenen Komponenten für Steuerungstechnik, Feldbus, Sensoren, Aktoren und Software – nach dem Grundsatz „best of breed“ – ist der Markt weit entfernt.

In den Anfängen der Automatisierung war die Zweihand-Sicherheitseinrichtung das „Non Plus Ultra“ der Sicherheitstechnik. Heute lässt sich für komplexe, heterogene Systeme eine „intelligente“ sicherheitsgerichtete Schicht realisieren, die „Safety“ gewährleistet. Aber die „durchgängigen“ Systeme stehen in Konkurrenz zu einfachen Lösungen, die schnell montiert und konfiguriert sind. Reale Anlagen zeichnen sich dadurch aus, dass in den verschiedenen Fertigungszellen unterschiedliche Feldbusse und Steuerungssysteme eingesetzt werden. Zwar bietet die Hierarchisierung des Automatisierungssystems die Möglichkeit zur Strukturierung – z.B. Ethernet für die übergeordnete Kommunikation, Feldbusse für die Kopplung der SPSn an den Prozess sowie spezielle Kommunikations-Verfahren, etwa Ethernet Powerlink oder SERCOS III, für sehr schnelle Steuerungsaufgaben. Hierüber legt sich in der Regel ein eigenständiges „Security“-Netzwerk, z.B. mit ausfallsicheren Steuerungen und sicheren Kommunikationswegen.

Informationstechnik ist die Basis

Mit einer leistungsfähigen Informationstechnik besteht für die Hersteller die Chance, die „Safety“-Einrichtungen in Systeme, Feldbusse und Netzwerke zu integrieren und sich so auch Alleinstellungsmerkmale zu schaffen und ggf. auch die eigene Steuerungstechnik gegen konkurrierende Systeme zu sichern. Die Entwicklung findet dabei in zwei Arbeitsfeldern statt:

  • Übertragung der sicherheitsrelevanten Informationen über die „normale“ Kommunikationsinfrastruktur der Maschinen- bzw. Anlagensteuerung und damit der Wegfall einer eigenständigen Sicherheitsinfrastruktur.
  • Integration neuartiger Sensoren in die Sicherheitstechnik, die, zusammen mit den hohen verfügbaren Rechenleistungen, eine Aufweichung des „Alles oder Nichts“-Konzeptes in der Sicherheitstechnik möglich machen.

Die Trennung von Steuerungs- und „Safety“-Einrichtungen hat den entscheidenden Nachteil, dass komplexe Zustände bei den Anlagen nicht beherrscht werden; dazu müssten beide Systeme aufeinander abgestimmt werden. Zu diesen Zuständen gehören neben der Installation und dem Einrichtungsbetrieb auch die Unterstützung des Service bei Fehlfunktionen, die im Zusammenspiel der einzelnen Komponenten auftreten. Hier muss das „Safety“-System einen Betrieb außerhalb eines wohldefinierten Anlagenzustandes zulassen, gleichzeitig aber die Basis-Notfunktionen ermöglichen. Ein ähnliches Systemverhalten wird auch beim kooperativen Arbeiten von Mensch und Roboter in einer Fertigungszelle gefordert. Realisieren lassen sich solche Systeme leichter, wenn für die Steuerungstechnik und die „Safety“-Funktionen nur ein System eingesetzt wird. Es ist dann nur konsequent, wenn für die Kommunikation zwischen Steuerungen, Sensoren und Aktoren nur ein Verfahren verwendet wird. Das aber bedeutet, dass das Übertragungsverfahren mindestens einen sicheren Kanal für die Kommunikation der „Safety“-Einrichtungen bietet.

Integrierte „Safety“ über den CAN-Bus

Die Pilz GmbH [1] setzt mit ihrem modular aufgebauten E/A- und Steuerungssystem „PPSuniversal“ (Bild 1) bei diesen Überlegungen an: Das Konzept besteht darin, Steuerungs- und „Safety“-Funktionen rückwirkungsfrei in einem System zu kombinieren. Dies geschieht im Wesentlichen durch eine „Verzahnung“ der Steuerung mit den Sicherheitsfunktionen „Zustimmprinzip“ und „Blockabschaltung“. Das System ist modular aufgebaut, mit der feinen „Granularität“ – so nennt der Hersteller die Abstufungsmög-lichkeiten – kann die Systemleistung an die Automatisierungsaufgabe angepasst werden: Es werden unterschiedliche, so genannte Kopf-Module kombiniert mit einfach aneinander zu reihenden Elektronik-Modulen. Das gesamte System ist ausgelegt auf die Erfüllung der Anforderungen von SIL 3 nach DIN EN 61508 bzw. Kat. 4 nach DIN EN 954-1. Die Kopf-Module kommunizieren mit dem Pilz-Sicherheitsbus „SafetyBUS p“ über alle gängigen Feldbus-se. Der „SafetyBUS p“ verwendet die ISO/OSI-Modell-Schichten 1 und 2 des CAN-Busses und definiert auf der Anwendungsschicht (Schicht 7) die Protokolle für „Safety“ und Netzwerk-Management. Bei der Produkteinführung stehen Kopf-Module für die Anbindung der verschiedenen Feldbusse zur Verfügung. In einem nächsten Schritt sollen Kopf-Module für die Kommunikation über Ethernet angeboten werden.