Elektronische Anzeige- und Bediensysteme Einfach – Vertrauenswürdige HMI Systeme

Das Gesicht moderner Bedienanlagen im Maschinen- und Anlagenbau wandelt sich. Benutzerfreundliche elektronische Anzeige- und Steuerelemente lösen mechanische Geräte, Multifunktionssysteme Einzelkomponenten ab, damit kann der Personalaufwand sinken, die Ergonomie-Ansprüche aber steigen. Auf wenigeren, zentralen Steuerständen müssen mehr Operationen durchgeführt werden. Somit wächst die Verantwortung des Bedieners für immer höhere Sachwerte wie auch die Sicherheit für Mensch und Umwelt. Auf Grund der Anlagengröße verlagert sich der Standpunkt des Bedienpersonals vom direkten Ort des Geschehens zurück in einen rückwärtigen Prozessüberwachungs- und -steuerungsraum. Anstatt auf den eigenen Sinnen müssen Entscheidungen nun auf angezeigten Daten eines HMI Systems beruhen, da im Echtzeitbetrieb kaum Verifizierungsmöglichkeiten vorhanden sind. \’Bedienerfehler\‘ können schwerwiegende Schäden an Anlagen wie auch an Umwelt und Personen verursachen. Von Sabotage mal abgesehen, sollten Bedienerfehler aber nie ursächlich für Schadensfälle sein. Für die Entwicklung eines sicherheitsrelevanten HMI-Systems bedeutet dies, dass zu jeder Zeit egal in welcher Betriebssituation sichergestellt sein muss, dass dem Bediener korrekte Daten angezeigt werden, auf Basis derer er seine Bedienentscheidungen trifft. Verschärfend wirkt, dass trotz gestiegener Integrationsanforderungen die Komplexität der Bediensysteme minmiert werden muss, um dem zunehmenden Kostendruck auf den Entwicklungs-, Qualifizierungs-, Fertigungs- und Wartungsaufwand sowie den Produktpreis entgegenzukommen. Eingesetzte Sicherungssysteme müssen die zunehmende Komplexität des Gesamtsystems so gering wie möglichst halten, aber allen steigenden Anforderungen gerecht werden. HMI-Systeme basieren aus Kostengründen meist auf marktgängiger PC Technik, die aber z.B. eine fehlerhafte technische Datenübertragung zum Monitor, einen Fehler in der grafischen Steuerung des Displays, in der Visualisierungssoftware, im Betriebssystem, dem Treiber des TFT Signals oder dem Mikroprozessor selber nicht aufzeigen könnte. Es könnte auch eine Datenkorruption im Grafikspeicher des Bildschirms oder eine Verfälschung durch den Grafikprozessor bzw. dessen Software vorliegen, ohne dass dies dem Bediener eindeutig bewusst wird, da er \’eine\‘ Anzeige sieht, der er folgen muss. Die meisten Systemkonzepte für Leit- und Bedienstände konzentrieren sich standardmäßig auf die Absicherung des elektronischen Prozesssteuerungsrechners, die Sicherheitslücke bei den verwendeten digitalen Anzeigen bleibt oftmals offen. Maßnahmen zur Displayfehlererkennung und -vermeidung Um den immer häufiger geforderten Sicherheitsnachweis nach SIL (Safety Integrity Level) zu erreichen, muss die HMI-Elektronik sicherstellen, dass die unbemerkte Anzeige nicht korrekter Daten ausgeschlossen ist. Die Absicherung eines Anzeigesystems kann vielseitig erfolgen, beginnend von einer kostenintensiven mehrkanaligen Auslegung wie in der Luftfahrt bis zu einer kostengünstigen einkanaligen Variante mit integrierter elektronischer Sicherungsbeschaltung. Nach diesem Grundprinzip ist IconTrust entstanden. Mit der seit Januar 2010 gültigen neue Maschinenrichtlinie RL 2006/42/EG steigt die Bedeutung und Beachtung von HMI-Anwendungen, somit werden Produzenten bzw. Anbieter stärker in die Verantwortung für die Funktions- und Bedienersicherheit genommen. Displayüberwachung mit Alarmfunktion Die einfache & kompakte Displaysicherungsschaltung IconTrust ist kleiner als die Hälfte einer EC-Karte, sie kann aber mehr als 100, auch überlappende, anwendungsspezifisch konfigurierte Bereiche gleichzeitig und unabhängig kontrollieren und bei Abweichung eine entsprechende kundenspezifisch vordefinierte sicherheitsgerichtete Reaktion auslösen. Das zum Patent angemeldete Verfahren stellt dabei mittels eines \’Fingerabdruck\‘-Vergleichs zwischen den von der sicheren CPU (Central Processing Unit = Hauptprozessor) übermittelten und den vom Monitor angezeigten Werten die Aktualität und Korrektheit nachweislich sicher, ohne dass die eigentliche Applikation zur Darstellung der Informationen einem entsprechenden SIL Nachweisverfahren unterworfen werden muss. Aufgrund dieser Unabhängigkeit ist die Schaltung branchenunabhängig einsetzbar. Sie überwacht dauerhaft dedizierte Bereiche auf dem Bildschirm und unterscheidet dabei zwischen sicherheitsrelevanten und nichtsicherheitsrelevanten Informationen. Für jeden einzelnen Bereich wird in jedem Bildwiederholzyklus das angezeigte Bild analysiert und mit dem Wert der jeweiligen Eingangsgröße verglichen, die der Schaltung über eine Initialisierung (Teach-In) einmalig bekannt gemacht wurde. Damit können prinzipiell alle Arten von separat dargestellten Informationen als Grafik, Symbol, Zeigerinstrument, Text oder Farbcodierung unabhängig und exklusiv überwacht werden. Wenn gefordert, können verschiedene Bildschirmdarstellungen für ein und denselben Wert der Eingangsgröße zugelassen werden (äquivalente Daten). Daneben ist die Konfiguration eines Fehlerzählers für die verzögerte Auslösung der sicherheitsgerichteten Reaktion bei zulässigen Anzeigetoleranzen wählbar. Die Technik ist z.B. als Panel PC, TFT Monitor bzw. Projektor verfügbar. Kooperationspartnern steht sie als Add-On bzw. Design-In offen. Eine Nachrüstung vorhandener Geräte ist in der Regel leicht möglich, so dass die funktionalen Anforderungen an die Sicherheit bis auf SIL4-Ebene umsetz- und nachweisbar sind. Durch den autarken Aufbau sind die üblichen Nachqualifizierungen bei Produkt- oder Prozessmodifikationen, z.B. auf Grund begrenzter Bauteilverfügbarkeit der Hardware oder einer Anpassungen der Software, nicht notwendig. Die verwendeten Bauteile sind im Hause Deuta-Werke GmbH vertraglich gesichert langzeitverfügbar und die eingesetzte Schaltungslogik ist ohne Softwareänderung kunden- und anforderungsspezifisch adaptierbar. Der Entwicklungsphilosophie entsprechend zeichnet sie sich u.a. durch eine geringe Beanspruchung von Bauraum, einer thermischen Neutralität sowie einer hohen elektromagnetischen Verträglichkeit (EMV) aus. Im Zuge einer angestrebten Zusammenarbeit mit erfahrenen HMI-Experten wird die Weiterentwicklung und -verbreitung vorangetrieben. Anzeigensicherheit Die simple Integration der sicheren elektronischen Schaltung IconTrust ins HMI erlaubt eine Sicherheitsnachweis­führung SIL2 bis 4 in Verbindung mit einer abgesicherten CPU bei Verwendung kostengünstiger PC-Komponenten vom Massenmarkt. Sie eignet sich universell für alle Anwendungen bei Bedienplätzen mit sicherheitsrelevanter Informationsdarstellung, bei denen jederzeit in jedem Anlagen­zu­stand sichergestellt sein muss, dass nur absolut korrekte Daten angezeigt werden.