Startseite > Halbleiter > Funktionale Sicherheit von Maschinensteuerungen

Safety Industrie

Funktionale Sicherheit von Maschinensteuerungen

3. Juli 2013, 17:02 Uhr | Dr. Björn Sander

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 1

Eine hohe Diagnoseabdeckung

Der Inhalt der PRO-SIL-Bibliotheken wurde nicht zufällig gewählt, sondern steht in engem Zusammenhang mit der IEC 61508. Um dies zu verdeutlichen, wurde die Beziehung zwischen den Diagnosetechniken und -maßnahmen für eine Überwachung des Programmablaufs und die maximal erreichbare Diagnosedeckung nach IEC 61508 in Tabelle 2 zusammengestellt [5].

Jobangebote+ passend zum Thema

Auszubildende zum Kaufmann für Groß- und Außenhandelsmanagement (m/w/d) FR Großhandel mit dem Schwerpunkt Vertrieb

GLYN GmbH & Co. KG, Idstein

Trainee Vertrieb und Produktmanagement (m/w/d) für Berufs- und Quereinsteiger

GLYN GmbH & Co. KG, Idstein

Quereinsteiger im Vertriebsinnendienst (m/w/d) für das Vertriebsbüro bei Wien

GLYN GmbH & Co. KG, Brunn am Gebirge

Alle Jobangebote im Elektroniknet Karrierebereich anzeigen

Diagnose Technik/Maßnahme	Maximale Abdeckung
Watchdog mit separater Zeitbasis ohne Zeitfenster	Niedrig
Watchdog mit separater Zeitbasis und Zeitfenster	Mittel
Logische Überwachung des Programmablaufes	Mittel
Kombination aus zeitlicher und logischer Überwachung des Programmablaufes	Hoch

Tabelle 2. Maßnahmen und Diagnoseabdeckungen für die Überwachung des Programmablaufs (nach IEC 61508, Auszug).

Wie man erkennt, führt die Kombination aus zeitlicher und logischer Überwachung zu einer hohen Diagnosedeckung – im Gegensatz zu den anderen angegebenen Maßnahmen. Das wiederum bedeutet, dass die Kombination aus zeitlicher und logischer Programmüberwachung für eine Erhöhung der SFF besonders geeignet ist und deshalb auch innerhalb des PRO-SIL-Ansatzes implementiert wurde.

Die TriCore-Mikrocontroller-Familie eignet sich ideal für die Realisierung von hochzuverlässigen Systemen. Wie in Bild 2 dargestellt ist, beinhaltet ein TriCore-Mikrocontroller eine 32-bit-High-Performance-CPU sowie einen sogenannten Peripheral Controller Processor (PCP), eine kleine, separate 32-bit-CPU. Die CPUs besitzen unterschiedliche Befehlssätze. Dieser Sachverhalt unterstützt die Reduzierung von gemeinsamen Fehlermodi zwischen den Prozessoren. Die Kommunikation zwischen der Haupt-CPU und dem PCP erfolgt über einen gemeinsamen Bereich im RAM und Ereignisse auf beiden Prozessoren können durch Interrupts mitgeteilt werden.

Die TriCore-Architektur stellt zusammen mit der SafeTcore-Bibliothek eine zuverlässige, sich selbst testende Plattform für sicherheitskritische Applikationen zur Verfügung. Dabei werden drei Überwachungsprogramme, sog. Monitore, auf dem Peripheral Control Processor ausgeführt, um die Nutzerapplikation auf der TriCore-Haupt-CPU zu überwachen. Die Nutzerapplikation kommuniziert mit der SafeTcore-Bibliothek durch eine entsprechende API, deren Implementierung auch die komplette Kommunikation mit den Monitorprogrammen übernimmt.

Während des korrekten Betriebs von TriCore-Mikrocontroller und Nutzerapplikation ist der Safety Path aktiviert. Wenn ein kritischer Fehler innerhalb des Mikrocontrollers oder in der Nutzerapplikation erkannt wird, wird der Safety Path hingegen deaktiviert – die Signale des Safety Path ändern ihren Zustand so, dass das Equipment Under Control (EUC) in einen sicheren Zustand überführt werden kann.

Das PRO-SIL-Konzept wird bereits vielfach erfolgreich eingesetzt. Ein Beispiel ist die Entwicklung des Hydraulik-Controllers IQAN-MC3 von Parker Hannifin nach IEC 61508, SIL 2 [6]. Durch den IQAN-MC3 erhalten Hersteller von mobilen Anwendungen und Off-Highway Equipment die Möglichkeit, ihre eigenen Systeme nach ISO 13849 oder IEC 61508 zertifizieren zu lassen.

Dr. Björn Sander

studierte Informatik an der Universität Karlsruhe. Er begann seine Karriere als wissenschaftlicher Mitarbeiter am FZI Forschungszentrum Informatik und ist heute als Technical Sales Engineer bei Hitex tätig.

Bjoern.Sander@hitex.de

Literatur:

[1] ISO 13849-1: Safety of machinery – Safety-related parts of control systems – Part 1: General principles for design. 2006.

[2] Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung: Funktionale Sicherheit von Maschinensteuerungen: http://www.dguv.de/ifa/de/pub/rep/pdf/rep07/biar0208/2_2008.pdf, 2008.

[3] BS EN 61508-1: Functional safety of electrical/electronic/programmable electronic safety-related systems, General requirements. British Standards Institution, 2010.

[4] Löw, P.; Papst, R.; Petry, E.: Funktionale Sicherheit in der Praxis: Anwendung von DIN EN 61508 und ISO/DIS 26262 bei der Entwicklung von Serienprodukten. Dpunkt.Verlag GmbH, 2010.

[5] BS EN 61508-2: Functional safety of electrical/electronic/programmable electronic safety-related systems, Requirements for electrical/electronic/programmable electronic safety-related systems. British Standards Institution, 2010.