Safety durch 2 getrennte Softwarekanäle
Auch Safety-SPSen werden virtuell
Safety-SPSen lassen sich jetzt nicht mehr nur in Hardware erstellen, sondern auch in Software als virtuelle Safety-SPSen. Der Clou dabei ist die Ausführung sicherer Software in zwei getrennten logischen Kanälen und die Kapselung der Software in einem Container.
Andreas Kehrer, Product Manager für die virtuelle Safety-Steuerung in der Codesys Group, erläutert die Hintergründe.
Markt&Technik: Worin unterscheiden sich eine physische und eine virtuelle Sicherheitssteuerung?
Andreas Kehrer: Der Unterschied lässt sich auf einen Punkt bringen: Die eine ist ein Stück Hardware, die andere ein Stück Software. Doch die Auswirkungen sind enorm und eröffnen völlig neue Möglichkeiten, die mit traditionellen Sicherheitssteuerungen bisher nicht denkbar waren.
Die Rechenleistung physischer Sicherheitssteuerungen muss immer überdimensioniert werden, um zukünftige potenzielle Anforderungen abdecken zu können. Bei der virtuellen Sicherheitssteuerung wird die Leistung hingegen durch Hinzufügen oder Neuzuweisen virtueller Ressourcen skaliert. Das ist erheblich effizienter und kostensparender. Virtuelle Sicherheitssteuerungen können dabei wie Standard-Workloads auf Linux-Plattformen betrachtet und orchestriert werden. Mit Tools wie Docker, Podman oder Kubernetes lassen sie sich nahtlos in bestehende IT-Workflows integrieren sowie skalieren und überwachen. Dies ermöglicht eine standardisierte und vereinfachte Verwaltung, selbst in komplexen IT- und OT-Infrastrukturen. Außerdem ermöglichen virtuelle Steuerungen die parallele Ausführung von sicherheitskritischem und nicht-sicherheitskritischem Code in einer einzigen Umgebung. Dank der engen IT/OT-Integration sind Diagnose, Wartung sowie Datenaustausch und -auswertung besonders in Industrie-4.0-Umgebungen deutlich einfacher.
Somit ist der Wechsel von physikalischen zu virtuellen Sicherheitssteuerungen nicht nur ein technologischer Schritt, sondern ein Paradigmenwechsel. Er schafft neue Möglichkeiten für Effizienz, Flexibilität sowie Integration und hat handfeste praktische Vorteile beim täglichen Einsatz in Automatisierungssystemen.
»Codesys Virtual Safe Control SL« ist unabhängig von einer bestimmten Hardware. Welche technischen Grundvoraussetzungen muss Hardware erfüllen, damit die virtuelle Sicherheitssteuerung auf ihr lauffähig ist?
Wir wollten von vornherein maximale Flexibilität und breite Einsetzbarkeit sicherstellen. Daher war die Vorgabe an unser Entwicklungsteam, dass die sichere Steuerung normkonform auf einem handelsüblichen »Discounter«-PC ausführbar sein muss. Aktuell lässt sich jede Linux-Hardware mit x86-CPU einsetzen. Die einzige sicherheitstechnisch relevante Einschränkung: Pro CPU-Kern darf die Frequenz 15 GHz nicht überschreiten. Dies wird in der Praxis aber keine Rolle spielen.
Für reale Anlagen empfiehlt sich die Verwendung industrietauglicher Hardware, die für die jeweilige Umgebung geeignet ist. Alternativ lassen sich IT-Server-basierte Systeme mit hoher Zuverlässigkeit und Performance im Serverraum einsetzen - wie in unserem Projekt mit der Audi AG.
Noch in diesem Jahr ist die Erweiterung der »Codesys Virtual Safe Control SL« auf ARM64-basierte Systeme geplant, einschließlich der Unterstützung des sicheren EtherCAT-Protokolls FSoE. Diese Erweiterung eröffnet weitere Einsatzmöglichkeiten und unterstreicht die Zukunftsorientierung des Produkts.
Welche Rolle spielt die Container-Technologie für die virtuelle Sicherheitssteuerung?
Container spielen eine zentrale Rolle und ergänzen die grundlegende Architektur. Die große Innovation der virtuellen Sicherheitssteuerung besteht aus zwei voneinander unabhängigen Konzepten: Zum einen haben wir die Ausführung systematisch sicherer Software in zwei getrennten logischen Kanälen, zum anderen die Kapselung der Software in einem Container.
Die Ausführung in zwei getrennten logischen Kanälen ist entscheidend für die Erfüllung der Anforderungen an die funktionale Sicherheit. Sie ermöglicht das Erreichen des Safety Integrity Levels 3 (SIL3) mit einer Hardwarefehlertoleranz (HFT) von 1 und einer Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde (PFH) von 1*10⁻¹⁰/h. Die systematisch sichere Software ist im Fall der »Codesys Virtual Safe Control SL« unser eigenes vorzertifiziertes SIL3-Runtime-System, das schon seit Jahren als eigenständiges Produkt verfügbar ist.
Die Kapselung der Software in einem Container bildet hingegen die technologische Basis für die Skalierbarkeit, Effizienz und Flexibilität der Lösung. Durch die Entkopplung der Software von der zugrunde liegenden Hard- und Firmware ermöglichen wir eine plattformunabhängige Ausführung, erleichtern die IT/OT-Integration und stellen eine einfache Anpassung an unterschiedliche Ressourcenanforderungen sicher.
Diese beiden Konzepte ergänzen sich.
Was ist mit den »zwei logischen Kanälen« gemeint, in die die Abarbeitung der Applikations-Software aufgeteilt wird?
Physische Sicherheitssteuerungen führen die systematisch sichere Software üblicherweise auf zwei unabhängigen CPUs aus, um neben systematischen Fehlern der Hard- und Software auch zufällige Fehler der Hardware zu erkennen und zu beherrschen. Das ist für die Erreichung des SIL3 unabdingbar. Die zwei Kanäle sind also in Hardware realisiert, was bisher State-of-the-Art war.
Bei der virtuellen Sicherheitssteuerung wird die systematisch sichere Software nicht auf zwei physisch vorhandenen CPUs, also Hardwarekanälen, sondern in zwei getrennten Softwarekanälen ausgeführt. Die logische Trennung besteht hier aus einer diversitären Ausführung derselben Software. Konkret wird die Software eines Kanals per Coded Processing so transformiert, dass zufällige Fehler sicher erkannt werden. Wir setzen hier auf den qualifizierten Safety-Transformer des Unternehmens SIListra Systems auf, mit dem wir eng zusammenarbeiten.
Lassen sich mittels der virtuellen Safety-SPS auch Safety-Steuerungen auf Basis von Maker-Boards wie Raspberry Pi oder Arduino erstellen? Inwieweit sind diese dann produktionstauglich?
Grundsätzlich spricht nichts dagegen, virtuelle Sicherheitssteuerungen auch auf einem Raspberry Pi oder Arduino einzusetzen. Die entscheidende Voraussetzung ist, dass die Leistungsfähigkeit des Boards auf die Anforderungen der sicheren Applikation abgestimmt wird. Tests zeigen, dass die Ausführung sicherer Applikationen auf virtuellen Steuerungen oftmals wesentlich performanter ist als auf physischen Steuerungen. Dies liegt vor allem an der Verwendung moderner CPUs und am Wegfall bestimmter Prüfmechanismen wie etwa CPU- und Speichertests, die bei physikalischen Sicherheitssteuerungen meist erforderlich sind.
In internen Tests konnten wir beispielsweise auf einem handelsüblichen IPC bis zu 192 Profisafe-Verbindungen in weniger als 8 Millisekunden verarbeiten. Bei Szenarien mit bis zu 16 Profisafe-Verbindungen lag die Bearbeitungszeit der Applikation sogar unter 2 Millisekunden. Diese Ergebnisse unterstreichen die hohe Effizienz dieser Lösung und eröffnen interessante Perspektiven für den Einsatz auch auf kostengünstigen Hardwareplattformen.
Welche Voraussetzungen müssen Anwendungen auf Basis der virtuellen Safety-SPS erfüllen, um eine SIL3-Zertifizierung zu bekommen?
Für Anwenderinnen und Anwender bleibt die Virtualisierung und die Ausführung in zwei logischen Kanälen vollständig transparent. In der Entwicklungsumgebung von Codesys wird die virtuelle Sicherheitssteuerung genauso projektiert wie herkömmliche, physische Sicherheitssteuerungen, die auf Codesys beruhen. Sogar bestehende Sicherheitsapplikationen lassen sich mit geringem Aufwand portieren.
Ein zentraler Bestandteil des Abnahmeprozesses ist die Einhaltung der in zertifizierten Handbüchern definierten Vorgaben. Diese Handbücher beschreiben detailliert sämtliche Anforderungen, die für den sicheren Betrieb der virtuellen Sicherheitssteuerung erforderlich sind, und bieten Anwendern eine klare Anleitung.
Ein zusätzlicher Pluspunkt ist die Kombination aus sicherer Applikation und nicht-sicheren Diagnose- und Wartungsfunktionen. Diese Integration ermöglicht nicht nur die Erfüllung der Sicherheitsstandards, sondern bietet auch eine hohe Usability der Produkte.
Welche Arten von Echtzeit-Softwareprodukten sollen aus der Zusammenarbeit von Acontis und Codesys entstehen?
Die Zusammenarbeit zwischen Acontis und Codesys zielt darauf ab, innovative Echtzeit-Softwareprodukte zu entwickeln, die nahtlos miteinander harmonieren. Der Echtzeit-Hypervisor RTOSVisor von Acontis und die Codesys Virtual Control SL sowie die Codesys Virtual Safe Control SL ergänzen sich bestens und bieten eine umfassende Automatisierungslösung aus einer Hand.
Acontis bringt dabei sein Expertenwissen im Bereich Echtzeitbetriebssysteme ein, während die Codesys-Produkte die nötige Automatisierungssoftware bereitstellen. Das Ergebnis ist eine vollständige Echtzeit-Softwarelösung, die auf generischen IPCs eingesetzt werden kann. Anwender haben so nicht nur hohe Flexibilität und Zukunftssicherheit, sondern können sich auch optimal auf Lieferengpässe vorbereiten – derzeit ein handfester Vorteil.
Wie sieht diesbezüglich die Roadmap aus? Wann sollen erste Produkte auf den Markt gelangen?
Erste Prototypen sind vielversprechend und zeigen, wie viel Potenzial in der Zusammenarbeit zwischen Acontis und Codesys steckt. Auf Basis dieser Ergebnisse bin ich zuversichtlich, dass unsere Echtzeit-Produkte rechtzeitig zur Messe SPS 2025 in Nürnberg im Codesys Store verfügbar sein werden.
Die Fragen stellte Andreas Knoll.
Codesys Group auf der Messe embedded world 2025: Halle 4, Stand 307
Lesen Sie mehr zum Thema
