Safety-Add-on verwandelt nicht-sichere SPS-Programmiersysteme in sichere
Mit wenig Aufwand zur Safety
Bei sicherheitsgerichteten SPS-Programmier- und -Laufzeitsystemen gemäß der Norm IEC 61131-3 handelt es sich meist um Komplettsysteme. Die Firma logi.cals kirchner SOFT ist mit ihrem Produkt »logi.SIL« einen anderen Weg gegangen: Bei »logi.SIL« handelt es sich um ein Safety-Add-on für das nicht-sichere SPS-Programmiersystem »logi.CAD« des Unternehmens und andere nicht-sichere Programmiersysteme.
Gemäß der EU-Maschinenrichtlinie 2006/42/EG verliert die alte europäische Safety-Norm EN 954- 1 am 31. Dezember 2011 ihre Bindungswirkung und wird von den Normen EN ISO 13849-1 und EN/IEC 62061 abgelöst. Maschinenbauer und Automatisierer müssen ihre sicherheitsgerichteten Produkte bis zu diesem Zeitpunkt auf die neuen Normen umgestellt haben. Anbieter sicherer Automatisierungsgeräte und -systeme sind also dazu gezwungen, sich eingehend mit dem Thema zu beschäftigen, wobei auch das SPS-Programmier- und -Laufzeitsystem nicht unbeachtet bleiben darf.
Herstellerunabhängige sicherheitsgerichtete SPS-Programmier- und -Laufzeitsysteme sind bisher am Markt relativ rar. Bei ihnen handelt es sich meist um komplette, insgesamt sichere Systeme quasi »aus einem Guss«. »Gegenüber ihren nicht-sicheren Pendants haben sie allerdings durchwegs den Nachteil, einen geringeren Bedienkomfort und Funktionsumfang zu bieten«, erläutert Thomas Baier, bei logi.cals kirchner SOFT für strategisches Produkt-Management und Software-Architektur verantwortlich. »Außerdem verläuft ihre Weiterentwicklung langsamer und weniger stetig, weil jeder Entwicklungsschritt neu zertifiziert werden muss. Hinzu kommt, dass sicherheitsgerichtete Systeme weniger verbreitet sind, so dass weniger Erfahrungen vorliegen und ihre Anwendung oft den Aufbau neuen Knowhows erfordert.«
logi.cals kirchner SOFT verfolgt mit seinem Produkt »logi.SIL« einen anderen Ansatz: »logi.SIL« ist ein Safety-Add-on, das aus nicht-sicheren SPS-Programmiersystemen wie dem firmeneigenen ’logi.CAD’ sichere macht. Als Safety-Add-on ist »logi.SIL« zwischengeschaltet zwischen der Standard-Programmieroberfläche und der sicherheitsgerichteten Steuerung. »Das Ziel ist es also nicht, ein bestehendes SPS-Programmiersystem durch ein neues zu ersetzen, sondern nur, das existierende System durch eine Sicherheitskomponente zu ergänzen«, verdeutlicht Baier. »Dank offener Datenformate wird das bestehende nicht-sicherheitsgerichtete SPS-Programmiersystem zu einem sicherheitsgerichteten. Der Anwender kann also aus nicht-sicherer – weil mit einem konventionellen SPS-Programmiersystem erstellter – Applikations-Software sichere erzeugen.«
Zunächst generiert der Entwickler seine Steuerungs-Anwendung mit einem nicht-sicherheitsgerichteten SPS-Programmiersystem. »Damit aber aus der nicht-sicheren Software sichere werden kann, muss das Programmiersystem die Chance eröffnen, die Daten in das Safety-Add-on zu übertragen «, führt Baier aus. »Als Grundlage dafür dient das offene Datenformat PLCopen XML.«
Die Anwendung wird also mit einem nicht-sicherheitsgerichteten Programmiersystem erstellt und anschließend ins PLCopen-XML-Format exportiert. Die nicht-sicherheitsgerichteten Daten werden dann in »logi.SIL« geladen und dort weiterverarbeitet. Zunächst werden die Daten mit geeigneten Mitteln verfälschungssicher abgelegt. Anschließend führt der Programmbestandteil »logi. SIL V&V Offline« (Verification & Validation) eine automatische Verifikation der verfälschungssicheren Daten durch. »Hierbei prüft er, ob die Anwendungs-Software den Anforderungen der sicheren Steuerung entspricht, also beispielsweise, ob von der Steuerung unterstützte Bausteine und Datentypen verwendet werden und ob alle verwendeten Konstrukte innerhalb des darstellbaren Bereichs liegen«, erklärt Baier. »Zudem untersucht er, ob benutzerdefinierte oder unternehmensspezifische Regeln eingehalten werden.« Darüber hinaus analysiert er den Code und den voraussichtlichen Speicherbedarf – er kann also einerseits verhindern, dass ein zu umfangreiches Programm geladen wird, und andererseits Laufzeitfehler wie etwa einen Stack-Überlauf von vornherein ausschließen.
In einem weiteren Schritt kann der Anwender die einzelnen Programme in der grafischen Ansicht, also in FBS (Funktionsbausteinsprache) und KOP (Kontaktplan), prüfen. »Auch in Textform vorliegende Daten wie Variablenlisten oder Parametrierdaten werden angezeigt, so dass der Anwender sie ebenfalls zu verifizieren vermag«, legt Baier dar. »Anschließend wird die vollständige Validierung der Software in der sicheren Steuerung protokolliert, woraufhin die Freigabe für den Code erteilt werden kann.«
Das sichere Laufzeitsystem in der Steuerung (bzw. die zugehörige Hilfsfunktion für sicherheitsgerichtete Parametrierung) kontrolliert noch die Unversehrtheit der Daten und den Prüfzustand, bevor es den Code im sicheren Modus verarbeiten kann. Als sicheres SPS-Laufzeitsystem bietet sich die »logi.SIL PLC Runtime« von logi.cals kirchner SOFT an. Sie ist in C realisiert und lässt sich leicht in beliebige Systeme portieren. »Prinzipiell ist aber auch eine andere sichere Laufzeitumgebung verwendbar«, merkt Baier an. Generell eignet sich »logi.SIL« als Add-on nicht nur für »logi.CAD«, sondern auch für andere SPS-Programmiersysteme, sofern auf die Daten in geeigneter Weise zugegriffen werden kann. »Weil ’logi.SIL’ das offene Datenformat PLCopen XML nutzt, lässt sich das Safety-Add-on auch für alle Programmiersysteme verwenden, für die ein solcher Export nach PLCopen XML zur Verfügung steht«, zeigt Baier auf. »Andernfalls ist die Exportfunktion meist leicht realisierbar, wobei zu bedenken ist, dass es sich dabei um eine nicht-sicherheitsgerichtete Funktion handelt, die folglich auch nicht konform zu den Normen EN ISO 13849-1 und EN/IEC 62061 entwickelt werden muss.«
Zwar bringt der mit »logi.SIL« verfolgte Ansatz gegenüber den von vornherein sicheren SPS-Programmiersystemen einen zusätzlichen Arbeitsschritt mit sich. »Der dafür nötige Aufwand ist aber relativ gering«, stellt Baier klar. »Andererseits genießt der Anwender ja den großen Vorteil, seine gewohnte Programmierumgebung weiter verwenden zu können.« Seine Stärken spielt der neue Ansatz auch bei der Änderung sicherheitsgerichteter Applikationen aus. »Die Änderung erfolgt wiederum mit dem nicht-sicheren SPS-Programmiersystem, aber ’logi.SIL’ kann den zuletzt geprüften Software-Stand selbsttätig mit dem aktuellen vergleichen«, erläutert Baier. »In der grafischen Darstellung werden dann die Änderungen hervorgehoben, so dass sie für die anschließende Verifikation klar ersichtlich sind – und nur sie müssen verifiziert werden. Auch die Validierung, also der Test der sicherheitsgerichteten Applikation in der Sicherheits-Steuerung, lässt sich auf die Änderungen oder die davon betroffenen Funktionen beschränken.«
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Multicore-Prozessoren »safe« zu machen, ist nach…
Safety und Multicore – ein schwieriges Verhältnis
Redundanz in sicheren Automatisierungssystemen
Safety mit zwei Kernen
Vom 23. bis zum 25. November in Nürnberg: Die SPS/…
SPS/IPC/Drives 2010: Die Krise ist Vergangenheit
