Beim Bau von Maschinen oder Anlagen müssen umfangreiche Sicherheitsvorkehrungen zum Schutz der Bediener und anderer Personen im Maschinenumfeld berücksichtigt werden. Diese sind in der Maschinenrichtlinie genau definiert. Im Idealfall werden bereits während des Konstruktionsprozesses der Maschine Gefährdungen erhoben, bewertet und Maßnahmen zur Risikominderung definiert. Elektrotechnisch relevante Komponenten werden dann ins Schaltschema übernommen, die logischen Verknüpfungen der Komponenten beschrieben und die Sicherheits-SPS codiert – all das möglichst transparent und nachvollziehbar. Doch die Realität sieht meist anders aus: Sicherheitsfunktionen werden erst sehr spät auf der Maschine implementiert und der damit einhergehende Zeitdruck, eine meist nur rudimentäre, textuelle Beschreibung, sowie eine Hands-on-Implementierung sorgen dafür, dass die Sicherheits-SPS zur Black Box wird. Auch der notwendige Austausch zwischen Konstrukteur und Safety-Programmierer für eine passende Sicherheitsfunktionalität ist durch dieses Vorgehen stark erschwert.
UML in neuer Anwendung
Zielführend schon während des Konstruktionsvorgangs, aber auch im Nachhinein, wäre ein strukturiertes Vorgehen, kombiniert mit einer einfach verständlichen Darstellung der Sicherheitsfunktionen. Pantec Automation hat sich daher entschlossen, aufgrund der Erfahrungen aus der Konzeption von Software für Sicherheits-SPSen einen standardisierten Prozess abzuleiten. Mit UML (Unified Modeling Language) wird ein in der Software-Entwicklung bewährtes Modellierungskonzept eingesetzt, das die Darstellung für alle Beteiligten vereinfacht und die Funktionalität transparent darstellt. Durch den strukturierten Prozess wird es auch möglich, wirkungsvolle Testfälle abzuleiten, mit denen die codierte Logik der Sicherheits-SPS zielgerichtet geprüft und abgenommen werden kann.
Praxisnah und effizient
Entwickelt wurde dieses Vorgehen im Rahmen des Entwurfs der Sicherheitslogik für Wickelanlagen grosser Elektromotoren. Bei der Inbetriebnahme des Prototyps stellte sich heraus, dass die bis dahin vorgesehenen Sicherheitsmaßnahmen den Betrieb der Anlage massiv einschränkten. So musste z.B. zum Nachfüllen von Verbrauchsmaterial die gesamte Anlage abgestellt werden. Ergänzend kam hinzu, dass sich bei diesem Anlagentyp die Sicherheitszonen je nach Position des Transportkrans dynamisch veränderten und in der jeweiligen Situation eigentlich nur bestimmte Maschinensektoren sicherheitstechnisch kritisch waren. Das war im ursprünglichen Sicherheitskonzept nicht berücksichtigt und behinderte den Anlagenbetrieb: \“Die Beschreibung dieser dynamischen Zustände in der klassischen textuellen Art war praktisch unmöglich\“, sagt René Sonnweber, Softwareingenieur bei Pantec Automation. \“Mit unserem UML-Know-how war es naheliegend, diese Modellierungstechnik zur Visualisierung der Sicherheitszustände zu verwenden.\“ Begleitend dazu entwickelte Pantec einen methodischen Prozess, der vom freigegebenen Sicherheitskonzept bis zur Abnahme der Sicherheits-SPS alle relevanten Schritte abdeckt.
Dreistufiger Prozess
Der Prozess setzt nach der vom Maschinenkonstrukteur durchgeführten Risikoanalyse an. Grundlage sind die aus der Risikominderung geforderten Sensoren und Aktoren wie Sicherheitsschalter oder sichere Antriebe, welche im Elektroschema abgebildet sind. Mit dieser Information erstellt der Software-Ingenieur in einer ersten Übersicht eine Darstellung aller Safety-Elemente. Danach werden in Zusammenarbeit mit dem Konstrukteur alle möglichen Anwendungsfälle ermittelt und die jeweils sicheren Zustände abgebildet. Steht das Grundkonzept, wird gemeinsam mit dem Kunden in einer virtuellen Simulation die Logik auf ihre Vollständigkeit hin überprüft und gegebenenfalls angepasst. Dabei geht der Konstrukteur die sicherheitsrelevanten Anwendungsfälle durch und kann beurteilen, inwieweit die Sicherheitsvorkehrungen ausreichend sind oder den Betrieb der Anlage einschränken. Im oben beschriebenen Fall des Maschinenstillstands beim Wechsel des Verbrauchsmaterials entschied man sich für den Einbau eines Zweihandschalters, um die Maschine während des Wechsels weiterlaufen lassen zu können. Diese neue Funktion wurde dann wieder in die Gefahrenanalyse eingespeist, bewertet und ins Sicherheitskonzept übernommen. \“Am Ende des Simulationsprozesses hatten wir ein auf die Anlage abgestimmtes Sicherheitskonzept, das bei Einhaltung der Maschinenrichtlinie höchstmögliche Produktivität ermöglicht\“, so Sonnweber.
Codierung, Testvorbereitung und Abnahme
Mit der Freigabe des UML-visualisierten Sicherheitskonzepts erfolgt die Umsetzung, aufgeteilt in Codierung und Testvorbereitung. Für die finale Abnahme werden bereits parallel zur Codierung Testprotokolle für das Abnahmeprocedere erstellt. Dieses startet beim Test der Safety-Hardware und geht bis hin zur Prüfung der Sicherheitslogik. \“Wichtig ist hierbei, nicht nur den Software-Algorithmus zu testen, sondern vielmehr das gesamte I/O-Verhalten zu überprüfen\“, erklärt Sonnweber. Im letzten Schritt erfolgt der Systemtest. Dabei werden anhand des ausgearbeiteten Testprotokolls zuerst Ein- und Ausgänge hardwaremäßig auf ihre Funktion hin kontrolliert um sicherzustellen, dass z.B. Unterbrüche in den Leitungen zwischen Sicherheitselementen und der SPS erkannt werden. Abschließend findet entsprechend der entwickelten Testprotokolle der Funktionstest statt, der das richtige Verhalten der Sicherheitslogik überprüft.
Reduzierter Aufwand, mehr Sicherheit
Das Vorgehen hat sich bereits mehrfach bewährt: Die Kommunikation zwischen Software Engineering und Maschinenbau wird vereinfacht, der Aufwand reduziert und zusätzlich werden wirkungsvolle Testfälle des gesamten Sicherheitskonzepts abgeleitet. Dadurch lässt sich auch die Zeit für die Schlussüberprüfung deutlich verkürzen. Zu guter Letzt bietet das strukturierte Vorgehen auch eine gewisse Rechtssicherheit, denn nun ist es möglich, die funktionale Black-Box der Sicherheits-SPS transparent darzustellen und in einer nachvollziehbaren, umfassenden Art abzunehmen.
