Die Frage nach der Anwendung der Norm DIN EN61508 für den Maschinenbau wird in der Fachpresse mit den Worten bedacht: \“Diese Frage beantwortet sich von selbst, wenn man einen Blick in das rund 350 Seiten starke Normenwerk tut…\“.
Der Risikograph
Der Risikograph findet sich in allen Normen wieder. Er gibt Auskunft, bei welchen Gefährdungen und bei welchem Sicherheitsbedürfnis welche Anforderungen an den Gesamtprozess, also Betrieb der Anlage, Betreiber und Anlage selbst, zu stellen sind. Im Allgemeinen werden diese Anforderungen ohne Risikoreduzierung auf die Automatisierungskomponenten (im Folgenden Sicherheitssteuerung genannt) übertragen. Eine quantitative Reduzierung durch Betrieb und Betreiber der Anlage wäre unpraktikabel. Will man nun den allgemein üblichen Anforderungen bei Personenschutz für Maschinen und Anlagen entsprechen und betrachtet man in der DINEN61508 vorrangig die Sicherheitsanforderungen an das E/E/PE-System, dann hat der Entwickler der Sicherheitssteuerung die Aufgabe, nach DIN EN 61508 den Level SIL3 oder nach EN ISO13849 den Performance Level (PL) f bzw. die Kategorie 4 zu realisieren. Pragmatisch lassen sich dazu folgende Zielstellungen formulieren: – Die Sicherheitssteuerung wird zweikanalig ausgeführt. Informationen und Aktivitäten der Kanäle werden kreuzweise gegenseitig verglichen. – Die Prozessperipherie, also die Ein- und Ausgänge der Sicherheitssteuerung und die angeschlossenen Sensoren und Aktoren werden zweikanalig galvanisch getrennt ausgeführt. Ausgänge werden über Diagnosekanäle rückgelesen. – Der Informationsaustausch wird prinzipiell im Sinne eines \’black channels\‘ mit Prüfsummen gesichert, im Allgemeinen 16- und 32-Bit-CRC. Informationsaustausch betrifft Datentransport über Bussysteme, Dual-Ported-RAMs, Speichermedien usw. – Alle aktiven Komponenten werden in ihrer Aktivität durch Lebenszeichen, Watchdogs und Programmlaufzähler überwacht. – Mit den genannten Maßnahmen erreicht man einen hohen Diagnose-Deckungsgrad (diagnostic coverage, DC). – Um Fehler gemeinsamer Ursache zu minimieren (common cause failure, CCF), werden diversitäre Komponenten, Werkzeuge und Bearbeiter eingesetzt. – Besonderes Augenmerk wird auf die Bauelemente-Auswahl gelegt. Damit wird die mittlere Zeit bis zu gefahrbringendem Ausfall (mean time to failure, MTTF) bestimmt. Für die genaue Betrachtung und Berechnung der einzelnen Komponenten liefert die EN ISO13849 ein recht gutes \’Kochbuch\‘.
Kundenspezifische Applikationen in der Anwendung
Seit 15 Jahren ist die dresden elektronik ingenieurtechnik GmbH auf dem Gebiet der Sicherheitssteuerungen aktiv. Reichhaltige Erfahrungen liegen mit der Entwicklung von Lichtsignalanlagen und vor allem von Antriebssteuerungen in Theater- und Bühnenanwendungen vor. Die Konstruktions- und Entwicklungsprinzipien haben sich dabei von der Umsetzung der DIN V 19250, AK4 und DIN V VDE 0801 bis hin zur Zertifizierung nach DIN EN61508, SIL3 kontinuierlich entwickelt. Prüfung und Zertifizierung erfolgen bei verschiedenen TÜV-Instituten. Als Instrument in der entwicklungsbegleitenden Prüfung hat sich das V&V-Modell (Validierung & Verifizierung) nach DIN EN61508-3 bewährt. Dabei wurden dessen Prinzipien erfolgreich auf die Hardware-Entwicklung übertragen. Jüngstes Produkt ist der universelle Antriebscontroller deSDAC 3000. Er wurde speziell für die Theater- und Bühnentechnik entwickelt. Wie bei vielen anderen Prozessen in Industrie, Logistik und Fördertechnik besteht hier das Bedürfnis, einerseits hochgenaue und dynamische Positionierantriebe anzuwenden, andererseits diesen Positioniervorgang mit der erforderlichen Sicherheit nach den entsprechenden Risikoanalysen, z.B. für Personentransport, auszustatten. Für die Entwicklung von sicherheitsgerichteten Antriebssteuerungen gibt es im Wesentlichen drei Ansätze. Traditionell: – Realisierung der Sicherheitsfunktionen mit konventioneller Technik, z.B. Schützkombinationen, Sicherheitsbremsen, Geschwindigkeitsbegrenzer, Fangeinrichtungen usw. – Einsatz von Sicherheitssteuerungen parallel wirkend zu den Antriebssteuerungen. Diese Sicherheits-Steuerungen haben dann reine Überwachungsfunktionen und greifen im Fehlerfall im Sinne eines sicheren Halts in den Antriebsprozess ein. Progressiv: – Anwendung komplexer Steuerungen, die einerseits in der Lage sind, exakt und dynamisch Positionierantriebe zu bedienen, die andererseits auch die geforderte Sicherheitsintegrität liefern. Der Antriebscontroller deSDAC 3000 ist der dritten Gruppe zuzuordnen. Er realisiert sicherheitsgerichtet den eigentlichen Positioniervorgang und die Steuerung der umfangreichen Leistungselektronik. Damit werden komplexe Sicherheitsfunktionen realisierbar. Dazu gehören z.B. die Überwachung der Regelabweichung, der Positioniergenauigkeit und der Geschwindigkeit. Mit entsprechender Prozessperipherie wird der Antrieb sicher bedient, also sicher die Lage geregelt oder der Antrieb sicher stillgesetzt. Durch die in den Antriebscontroller integrierte Sicherheitsfunktion kann auf in traditionellen Anwendungen erforderliche zusätzliche Hardware verzichtet werden. Damit sinkt der Kostenaufwand erheblich. Der Antriebscontroller deSDAC 3000 beinhaltet ein zweikanaliges Controllersystem auf Basis des ARM7TDMI-Controllers, welches für zwei Antriebe alle in Echtzeit abzuarbeitenden Mess-, Regel- und Steuer-Vorgänge bewältigt. Dazu gehören insbesondere die zweikanalige Positionsbestimmung und die Sollwert-Generierung. Bussysteme, die den speziellen sicherheitsgerichteten Antriebsfunktionen entsprechen, übernehmen die Kommunikation zur Leitebene und zur Maschinenperipherie. So wird für die Positions- und Geschwindigkeitsregelung das Sercos-Interface verwendet. Die relativ zeitunkritische Maschinenperipherie, wie digitale und analoge Ein- und Ausgaben und zu Kontrollzwecken herangezogene zusätzliche Positionsmesssysteme, sind über modulare Profisafe-Slaves angeschlossen. Das System ist als embedded System mit C/C++ programmierbar. Eine statisch linkbare Bibliothek erlaubt dem Anwender den Zugriff auf alle benötigten Systemressourcen. Insgesamt steht eine kompakte, preisgünstige und funktional flexible Lösung zur Verfügung. Sie wird den Anforderungen verschiedener Lageregelprozesse gerecht und erreicht den Performance Level (PL) f bzw. die Kategorie 4 nach EN ISO13849 und das Sicherheitsniveau SIL3 nach DIN EN61508.
IEC 61131-3 programmierbare Sicherheits-SPS
Als Variante des Antriebscontrollers wurde der deSDAC 3000PLC entwickelt. Dieser beinhaltet eine Implementierung des sicheren Laufzeitsystems SafeOS der Firma KW-Software GmbH. Zusammen mit den Komponenten Safeprog, Safegrid und einem kundenspezifischen Buskonfigurator ist ein vollständiges SPS-Sicherheitssystem mit dem Sprachumfang nach IEC 61131-3 verfügbar. Ergänzt wird dieses System durch eine Bausteinbibliothek nach dem PLCopen Safety-Standard.