Dabei stellt sich zunächst die Frage nach dem Unterschied zwischen einer Sicherheitssteuerung für mobile Anwendungen und einer Sicherheitssteuerung für den stationären Maschinenbau. Offensichtlich ist, dass die deutlich raueren Umgebungsbedingungen auch eine bessere Schutzart – typischerweise IP67 oder höher – bedingen, um ein Eindringen von Wasser und Staub in die Steuerung sicher auszuschließen. Der erweiterte Umgebungstemperaturbereich von -40 bis +80°C sowie die erhöhte Beständigkeit gegen Schock und Vibrationen sind weitere Unterscheidungsmerkmale. Schließlich fordert die Versorgung aus der Fahrzeugbatterie einen zuverlässigen Betrieb der Steuerung in einem deutlich erweiterten Spannungsbereich von 8 bis 32V.
Sichere Programmierung mit Structured Text
Vergleicht man nun die Anforderungen der funktionalen Sicherheit, so ergibt sich eine weitere Differenzierung. Während stationäre Maschinen typischerweise mit Steuerungen gemäß SIL3 ausgerüstet werden, kommen im mobilen Bereich Sicherheitssteuerungen mit SIL2 gem. IEC61062, beziehungsweise PLd gem. EN ISO13849 zum Einsatz. Damit ergibt sich für den Anwendungsprogrammierer ein entscheidender Vorteil. Neben der Programmierung über FUP können bei SIL2 Steuerungen sichere Funktionen auch mit Structured Text und KOP programmiert werden.
Kategorie 2 oder Kategorie 3 in der Steuerung
Um den PLd zu erreichen, kann die Architektur von Mobilsteuerungen grundsätzlich sowohl der Kategorie 2 als auch der Kategorie 3 gem. der EN ISO13849 entsprechen. In Systemen nach Kategorie 2 kommt neben dem Hauptprozessor ein Überwachungsprozessor als kostengünstige Testeinheit zum Einsatz. Die in der Kategorie 2 notwendigen Selbstdiagnosefunktionen beanspruchen allerdings erhebliche Rechenleistung des Hauptprozessors, die somit nicht mehr der Applikation zur Verfügung steht. Mobilsteuerungen der ersten Generation werden daher auch als Kategorie 3 System mit zwei redundanten Prozessoren ausgeführt, wodurch sich die Belastung durch interne Tests verringert. Neben den höheren Kosten ist dabei aber zu berücksichtigen, dass hierfür auch zwei Applikationsprogramme erstellt werden müssen. Mit der Digsyfusion S steht nun erstmals eine mobiltaugliche Sicherheitssteuerung zur Verfügung, bei der die Vorteile beider Lösungsansätze vereint werden. Durch den Einsatz eines Dual-Core Sicherheitsprozessors wird eine Kategorie 3 Architektur wirtschaftlich realisierbar. Die Notwendigkeit zur Selbstdiagnose reduziert sich deutlich, die Rechenleistung des mit 200MHz getakteten 32-Bit-Prozessors steht somit weitgehend der Applikation zur Verfügung. Wie bei Systemen gemäß Kategorie 2 ist lediglich ein Applikationsprogramm zu erstellen, da die Aufteilung des Applikationsprogrammes auf die beiden Prozessorkerne sowie die Überwachung automatisch erfolgt. Um die notwendige Sicherheit zu erreichen, wird das Applikationsprogramm parallel auf beiden Prozessorkernen im Lock-Step-Mode ausgeführt. Dabei erfolgt die Abarbeitung auf beiden Kernen Schritt für Schritt, wobei unter einem Schritt hier die kleinstmögliche Prozessoroperation verstanden wird. Nach Durchführung eines Schritts erfolgt der Vergleich der Ergebnisse beider Kerne. Bei unterschiedlichen Ergebnissen nimmt das System den sicheren Zustand ein. Für die Verarbeitung von komplexen Berechnungen wie z.B. trigonometrische Funktionen, kommt die integrierte, ebenfalls redundante Floating Point Unit (FPU), zum Einsatz.
Kategorie 2 oder Kategorie 3 im System
Die Ausführung der Steuerung gibt aber nicht zwangsläufig die Architektur des Gesamtsystems vor. Ein wesentliches Element bei der Konzeption der Systemarchitektur ist die Anbindung der Sensorik. Die Auswahl der Sensoren soll sich in erster Linie nach deren Eignung und den Sicherheitsanforderungen richten und nicht nach der Frage, wie diese mit der Steuerung zu verbinden sind. Bei der digsy fusion S stehen für die Anbindung funktional sicherer Sensoren daher grundsätzlich drei Arten zur Verfügung:
