Mobile Sicherheitssteuerung der 2. Generation

Skalierbare und sichere Steuerung für die mobile Automation
Später als im stationären Maschinenbau, aber mit vergleichbaren Auswirkungen, treffen die Sicherheitsanforderungen der EN ISO13849 die mobilen Maschinen und finden sukzessive ihren Eingang in die relevanten C-Normen. Aufgrund des langen Lebenszyklus einer Maschinenserie gilt es rechtzeitig die richtigen Weichen zu stellen, um eine heute entwickelte Maschine auch über einen langen Zeitraum in Verkehr bringen zu können. Die Auswahl einer geeigneten Sicherheitssteuerung kann hierzu einen wesentlichen Beitrag leisten.

Dabei stellt sich zunächst die Frage nach dem Unterschied zwischen einer Sicherheitssteuerung für mobile Anwendungen und einer Sicherheitssteuerung für den stationären Maschinenbau. Offensichtlich ist, dass die deutlich raueren Umgebungsbedingungen auch eine bessere Schutzart – typischerweise IP67 oder höher – bedingen, um ein Eindringen von Wasser und Staub in die Steuerung sicher auszuschließen. Der erweiterte Umgebungstemperaturbereich von -40 bis +80°C sowie die erhöhte Beständigkeit gegen Schock und Vibrationen sind weitere Unterscheidungsmerkmale. Schließlich fordert die Versorgung aus der Fahrzeugbatterie einen zuverlässigen Betrieb der Steuerung in einem deutlich erweiterten Spannungsbereich von 8 bis 32V.

Sichere Programmierung mit Structured Text

Vergleicht man nun die Anforderungen der funktionalen Sicherheit, so ergibt sich eine weitere Differenzierung. Während stationäre Maschinen typischerweise mit Steuerungen gemäß SIL3 ausgerüstet werden, kommen im mobilen Bereich Sicherheitssteuerungen mit SIL2 gem. IEC61062, beziehungsweise PLd gem. EN ISO13849 zum Einsatz. Damit ergibt sich für den Anwendungsprogrammierer ein entscheidender Vorteil. Neben der Programmierung über FUP können bei SIL2 Steuerungen sichere Funktionen auch mit Structured Text und KOP programmiert werden.

Kategorie 2 oder Kategorie 3 in der Steuerung

Um den PLd zu erreichen, kann die Architektur von Mobilsteuerungen grundsätzlich sowohl der Kategorie 2 als auch der Kategorie 3 gem. der EN ISO13849 entsprechen. In Systemen nach Kategorie 2 kommt neben dem Hauptprozessor ein Überwachungsprozessor als kostengünstige Testeinheit zum Einsatz. Die in der Kategorie 2 notwendigen Selbstdiagnosefunktionen beanspruchen allerdings erhebliche Rechenleistung des Hauptprozessors, die somit nicht mehr der Applikation zur Verfügung steht. Mobilsteuerungen der ersten Generation werden daher auch als Kategorie 3 System mit zwei redundanten Prozessoren ausgeführt, wodurch sich die Belastung durch interne Tests verringert. Neben den höheren Kosten ist dabei aber zu berücksichtigen, dass hierfür auch zwei Applikationsprogramme erstellt werden müssen. Mit der Digsyfusion S steht nun erstmals eine mobiltaugliche Sicherheitssteuerung zur Verfügung, bei der die Vorteile beider Lösungsansätze vereint werden. Durch den Einsatz eines Dual-Core Sicherheitsprozessors wird eine Kategorie 3 Architektur wirtschaftlich realisierbar. Die Notwendigkeit zur Selbstdiagnose reduziert sich deutlich, die Rechenleistung des mit 200MHz getakteten 32-Bit-Prozessors steht somit weitgehend der Applikation zur Verfügung. Wie bei Systemen gemäß Kategorie 2 ist lediglich ein Applikationsprogramm zu erstellen, da die Aufteilung des Applikationsprogrammes auf die beiden Prozessorkerne sowie die Überwachung automatisch erfolgt. Um die notwendige Sicherheit zu erreichen, wird das Applikationsprogramm parallel auf beiden Prozessorkernen im Lock-Step-Mode ausgeführt. Dabei erfolgt die Abarbeitung auf beiden Kernen Schritt für Schritt, wobei unter einem Schritt hier die kleinstmögliche Prozessoroperation verstanden wird. Nach Durchführung eines Schritts erfolgt der Vergleich der Ergebnisse beider Kerne. Bei unterschiedlichen Ergebnissen nimmt das System den sicheren Zustand ein. Für die Verarbeitung von komplexen Berechnungen wie z.B. trigonometrische Funktionen, kommt die integrierte, ebenfalls redundante Floating Point Unit (FPU), zum Einsatz.

Kategorie 2 oder Kategorie 3 im System

Die Ausführung der Steuerung gibt aber nicht zwangsläufig die Architektur des Gesamtsystems vor. Ein wesentliches Element bei der Konzeption der Systemarchitektur ist die Anbindung der Sensorik. Die Auswahl der Sensoren soll sich in erster Linie nach deren Eignung und den Sicherheitsanforderungen richten und nicht nach der Frage, wie diese mit der Steuerung zu verbinden sind. Bei der digsy fusion S stehen für die Anbindung funktional sicherer Sensoren daher grundsätzlich drei Arten zur Verfügung:

  • Anbindung über CANopen Safety als sicheren Feldbus
  • Zweikanalige Anbindung über digitale oder analoge Eingänge
  • Einkanalige Anbindung über digitale oder analoge Eingänge mit interner Diagnose

Die Mobilsteuerung ist somit sowohl in Kategorie 3, Kategorie 2 und, wenn gefordert, auch in gemischten Architekturen einsetzbar.

Erweiterbarkeit

Während skalierbare Steuerungen im stationären Bereich üblich sind, erfordert die Skalierbarkeit bei Mobilsteuerungen besondere Maßnahmen, um z.B. die Dichtigkeit gegen Wasser und Staub zu gewährleisten. Die Skalierbarkeit ist aber auch hier notwendig, da nur so ein breites Spektrum von Maschinentypen und -Serien mit einem einzigen Steuerungssystem wirtschaftlich abgedeckt werden kann. Eines der wesentlichen Unterscheidungsmerkmale verschiedener Maschinentypen ist die Anzahl und Qualität der eingesetzten Sensoren und Hydraulikzylinder. Dies schlägt sich in der Anzahl der geforderten Ein- und Ausgänge nieder. Eine modulare Sicherheitssteuerung – wie die digsy fusion S – erlaubt dabei eine Skalierung der Ein- und Ausgänge von 48 auf bis zu 240 I/Os, abgestimmt auf den jeweiligen Maschinentyp. Wesentlich ist dabei, dass die Erweiterbarkeit auch sichere Ein- und Ausgänge umfasst. Mit einer hohen Anzahl von sicheren Eingängen wird dabei insbesondere den Anforderungen von redundant realisierten Sensoren Rechnung getragen.

Flexibilität bei Programmänderungen

Der lange Lebenszyklus mobiler Maschinen bedingt oftmals die Notwendigkeit, einmal entwickelte Maschinen an sich ändernde Markterfordernisse anzupassen. Die digsy fusion S unterstützt dies, durch die Möglichkeit zwei Programme in einer Steuerung parallel zu verarbeiten. Dabei ist das erste Programm (sicheres Programm) für die sicheren Funktionen verantwortlich, während das zweite Programm (Standardprogramm) beispielsweise Komfortfunktionen abarbeitet. Es ist sichergestellt, dass das Standardprogramm rückwirkungsfrei arbeitet und somit das sichere Programm nicht beeinflusst. Änderungen und Anpassungen an Komfortfunktionen oder Funktionen, die nicht Sicherheitsanforderungen unterliegen können somit schnell und ohne umfassende Sicherheitsanalyse durchgeführt werden. Mit der neuen Codesys Version 3.5 SIL2 steht dem Programmierer eine leistungsfähige Programmierumgebung zur Verfügung. Sowohl das sichere Programm als auch das Standardprogramm werden dabei durchgängig mit der gleichen Programmierumgebung erstellt.

Erhöhte Verfügbarkeit

Die Überwachung der Funktionen einer mobilen Maschine auf gefährliche Zustände ist eine der Kernaufgaben von Sicherheitssteuerungen. Wird ein gefährlicher Zustand erkannt, bringt die Steuerung die Maschine in einen sicheren Zustand. Dies geschieht über das Aktivieren eines zweiten Abschaltpfades, der in Reihe zu den Ausgängen geschaltet ist und deren Spannungsversorgung unterbricht. Abhängig davon, bei welcher Komponente ein gefährlicher Fehler auftritt und mit welcher Funktion diese in Verbindung steht, kann es notwendig werden, das gesamte System in den sicheren Zustand zu versetzen. Aber nicht alle Fehler müssen zu einem vollständigen Abschalten führen. Die Sicherheitsanalyse kann ergeben, dass ein Fehler in einer Funktionsgruppe nicht automatisch zum Abschalten anderer Funktionen führen muss. In diesem Fall kann es hilfreich sein, die anderen Funktionen weiter zu nutzen, z.B. um einen Auftrag abzuschließen oder eine Maschine zu bergen. Aus diesem Grund ist bei der digsy fusion S die Abschaltung in mehrere Gruppen aufgeteilt. So wird es dem Anwender ermöglicht, nur die Gruppe von Ausgängen abzuschalten, die mit dem gefährlichen Zustand in Verbindung steht. Andere Funktionen können so auch im sicheren Zustand aufrechterhalten werden.

Zeitgemäße Kommunikation

Zeitgemäße Servicekonzepte für mobile Maschinen helfen, zeitintensive und damit teure Serviceeinsätze zu reduzieren und deren Effizienz zu steigern. Abhängig von der Fehlerursache kann die genaue Kenntnis über den Zustand der Maschine beim Kunden eine telefonische Fehlerbehebung ermöglichen. Ist ein Serviceeinsatz nötig, kann dieser genau geplant werden. Das richtige Ersatzteil wird bereits beim ersten Einsatz mitgenommen, der richtige Spezialist fährt zur Maschine oder unterstützt mithilfe der online zur Verfügung gestellten Maschinendaten den lokalen Servicetechniker. Voraussetzung hierfür ist, dass die Steuerung umfassende Zustandsdaten über leistungsfähige Schnittstellen wie USB und Ethernet bereitstellt. Ist eine Änderung von Parametern oder ein Softwareupdate nötig, kann dies über ein an die Ethernet-Schnittstelle einfach anzubindendes Modem aus dem Stammhaus heraus erfolgen. Über USB-Stick ist alternativ das automatisierte und fehlerfreie Updaten von Software oder Parametern auch durch Nicht-Fachleute möglich. Aber nicht nur gestiegene Service-Anforderungen erhöhen die Menge der zu übertragenden Daten. Insbesondere bei Maschinen, die an Verleih- und Leasingunternehmen verkauft werden, besteht der Bedarf, neben dem technischen Zustand der Maschine auch Standort und Leistungsdaten zur Abrechnung zu übermitteln. Schnittstellen, die aus der Bürowelt bekannt sind und die entsprechende Bandbreite zur Verfügung stellen, sind dafür unverzichtbar. Mit Ethernet und USB verfügt die digsy fusion S über leistungsfähige Schnittstellen, die auch große Datenvolumina in kurzer Zeit übertragen. Dabei ist eine komfortable Anbindung von Laptop, Modem oder Router für den Up-, bzw. Download von Anwendungsdaten, von Programmen oder zur Auswertung von Logging-Daten gewährleistet. Über die USB-Schnittstelle können darüber hinaus externe Massenspeicher angebunden werden. Die Möglichkeit das Laden von Programmen im Servicefall über USB-Sticks zu realisieren rundet den Funktionsumfang der Schnittstellen ab.

Resümee

Hohe Funktionalität und Konformität mit den einschlägigen Sicherheitsnormen schließen sich nicht aus. Als Sicherheitssteuerung der 2. Generation stellt die digsy fusion S mit dem PLd gemäß EN ISO13849 die hierfür notwendigen Eigenschaften zur Verfügung.

INTER CONTROL Hermann Köhler

Das könnte Sie auch Interessieren

Weitere Beiträge

M12 in Edelstahlausführung

Sowohl die Prozesstechnik als auch die Lebensmittelindustrie und der einschlägige Maschinenbau fordern eine hohe Widerstandsfähigkeit der eingesetzten Komponenten und ihrer Materialien.

mehr lesen