In der Automatisierungstechnik ist über alle Bereiche hinweg ein stetiger Anstieg der Anforderungen an Systeme bezüglich Modularisierung, Skalierbarkeit, Offenheit und Adaptierbarkeit zu verzeichnen. Dies gilt entsprechend auch für den Bereich der Sicherheitstechnik, sodass auch hier Lösungen von einer kleinen Sondermaschine bis hin zur komplexen Großserienmaschine gefordert werden. Der Schritt zur nächsten sicherheitsgerichteten Steuerungsgeneration bei Beckhoff mit der Einführung der EL6910 und deren Ableitungen adressiert genau diese Aspekte.
Mit den neuen Sicherheitssteuerungen lässt sich das TwinSAFE-System noch spezifischer an die individuellen Anforderungen eines Maschinenkonzepts anpassen: von der kostengünstigen Stand-alone-Lösung mit lokalen Ein- und Ausgängen über eine zentrale Sicherheitssteuerung mit verteilten I/O-Modulen bis hin zu einem hoch komplexen Netzwerkverbund mit verteilter Sicherheitsapplikation. Das heterogene Komponentenspektrum deckt dabei verschiedenste Formfaktoren, Schutzklassen und Anschlusstechniken ab, sodass auch hier eine spezifische Anpassung möglich ist.
Neben der weiter gesteigerten Performanz der Sicherheitssteuerung wurde die Menge der verarbeitbaren Datentypen um Analogwerte erweitert. Damit stehen neben den bereits bekannten vorzertifizierten Funktionsblöcken zur Verarbeitung Boolescher Signale nun auch Funktionsblöcke für die Analogwertverarbeitung zur Verfügung. Das Spektrum reicht hierbei von grundlegenden arithmetischen Operationen (Addition, Multiplikation usw.) bis hin zu komplexen Funktionsbausteinen zur sicheren Überwachung von Pressen. Hinsichtlich der Entwicklungsumgebung besteht ebenfalls Wahlfreiheit: Die Implementierung der Sicherheitsapplikation kann sowohl innerhalb der Entwicklungsumgebung TwinCAT 3 per Drag&Drop im freigrafischen Editor oder mit dem Safety-Editor von Codesys erfolgen.
Partieller Download
Eine der wichtigsten Neuerungen bezogen auf das gesamte Sicherheitsprojekt ist die Einführung eines partiellen Downloads. Das Sicherheitsprojekt besteht nunmehr aus vier Bestandteilen:
- Logik
- Parameter
- Mapping
- Info Data
Diese Teile können separat auf die Sicherheitssteuerung geladen werden. Abgesehen von der bekannten Prüfsumme über das gesamte Sicherheitsprojekt verfügt auch jeder dieser einzelnen Bestandteile über eine eigene Prüfsumme, die wiederum Teil der Release-Dokumentation eines Sicherheitsprojekts ist. Diese Tatsache hat enorme Auswirkungen auf den Validierungs- und Verifikationsprozess bei Änderungen an einem Sicherheitsprojekt. Denn anhand der einzelnen Prüfsummen kann direkt nachgewiesen werden, welche Teile eines Sicherheitsprojekts sich geändert haben und für welche nicht geänderten Bestandteile dementsprechend nur ein eingeschränkter Validierungs- und Verifikationsprozess durchlaufen werden muss.
Des Weiteren wurde die Benutzerrechteverwaltung an die beschriebene Granularität des Sicherheitsprojekts angepasst, sodass sich z.B. spezifisch für einen Benutzer der Zugriff ausschließlich auf die Konfiguration der Info Data gestatten lässt. Eine Änderung an den weiteren Bestandteilen des Sicherheitsprojekts kann durch diesen Benutzer nicht durchgeführt werden. Somit ist das Sicherheitsprojekt möglichst flexibel nutzbar, aber gleichzeitig vor ungewollten und unautorisierten Projektänderungen geschützt.
Customizing für Modularität und Skalierbarkeit auf lokaler Softwareebene
Eine der größten Innovationen der neuen Generation von Sicherheitssteuerungen stellt die Customizing-Funktionalität dar. Das Sicherheitsprojekt kann weiterhin wie gewohnt modular gestaltet werden. Im Zuge des Customizing lassen sich jedoch für jedes dieser Module nun die folgenden Betriebsmodi konfigurieren:
- temporär deaktivierbar
- permanent deaktivierbar
- passivierbar
Mithilfe dieser Einstellungen und entsprechender Konfiguration von Ersatzwerten für die Schnittstellen zwischen den verschiedenen Modulen können hoch komplexe modulare und skalierbare Architekturen umgesetzt werden. Ein einziges Sicherheitsprojekt lässt sich dadurch z.B. für eine ganze Serie von Maschinen nutzen. Für kleinere Ausprägungen einer Maschine können die jeweils nicht benötigten Module einfach deaktiviert werden. Dies führt zu erheblich reduzierten Entwicklungskosten, da nur ein Sicherheitsprojekt entsprechend der normativen Anforderungen entwickelt, validiert und verifiziert werden muss.
Das Umschalten zwischen den verschiedenen Betriebsmodi kann zur Laufzeit erfolgen. Hier stehen im Beckhoff-System zwei verschiedene Möglichkeiten zur Verfügung. Die Adaptierung der Module an die aktuellen Maschinenanforderungen kann entweder über die Entwicklungsumgebung TwinCAT 3 erfolgen oder es wird das Tool TwinSAFE Loader genutzt. Beim TwinSAFE Loader handelt es sich um ein Kommandozeilentool, welches das Customizing des Sicherheitsprojekts unabhängig von TwinCAT 3 ermöglicht. Die Deaktivierung und Aktivierung von Modulen kann z.B. direkt aus der kundenspezifischen HMI angestoßen werden. Somit ist das TwinSAFE-System zum einen optimal an kundenspezifische Prozesse anpassbar. Zum anderen werden übliche Anwendungsfälle wie z.B. die Inbetriebnahme deutlich vereinfacht. Einzelne Module der Sicherheitsapplikation und damit einzelne Sicherheitsfunktionen können dank des Customizing für eine Inbetriebnahme von Maschinenteilen temporär deaktiviert und später reaktiviert werden, ohne dass eine erneute Validierung und Verifikation der gesamten Sicherheitsapplikation erfolgen muss.
Modularität und Skalierbarkeit durch individuell verteilte Sicherheitsapplikation
Bezüglich der Modularisierungsfunktionalität geht Beckhoff neben dem Customizing noch einen Schritt weiter: Alle neuen sicherheitsgerichteten I/O-Komponenten können zusätzlich als Sicherheitssteuerung genutzt werden. Eine Besonderheit stellt hier die Kommunikationsfähigkeit der Komponenten dar. Das auf der I/O-Komponente auszuführende kundenspezifische Safety-Projekt kann analog zur dedizierten Steuerung direkte Kommunikationsbeziehungen mit anderen sicherheitsrelevanten Teilnehmern aufbauen und diese Daten intern vorverarbeiten. Dies erlaubt eine feingranulare Modularisierung der Maschine. Die zentrale Sicherheitssteuerung – falls vorhanden – muss dementsprechend nur noch die akkumulierten Daten verarbeiten. Der klassische Ansatz einer zentralen Sicherheitssteuerung mit Kommunikationsverbindungen zu allen relevanten Komponenten ist natürlich weiterhin realisierbar.
