Das Fließbandkonzept erlaubt es uns, von der Geschwindigkeit und Leistungsfähigkeit von Maschinen zu profitieren. Gleichzeitig schränkt es aber auch ein, wie Produkte hergestellt werden können. Solange die hergestellten Produkte alle gleich sind – kein Problem. Aber die Kunden von heute erwarten Auswahlmöglichkeiten, individuelle Anpassung und Einzigartigkeit. Das passt nicht zu einem linearen Fertigungsablauf. Statt sich auf diesen linearen, Schritt für Schritt ausgeführten Prozess zu beschränken, gibt es inzwischen andere Möglichkeiten. Innovationen, die das Konzept Industrie 4.0 bietet, erlauben andere Wege zur Verwirklichung von Fertigungsprozessen. Eine Methode ist dabei der Übergang zu einer Reihe von Fertigungsinseln, wobei jede Insel ein Element des Fertigungsprozesses ausführt. Das herzustellende Produkt wird dann von einer Station zur anderen befördert, wobei jede Station die zugewiesene Aufgabe erledigt. Das bietet auch die Möglichkeit, das gleiche Produkt in verschiedenen Variationen zu liefern. Das Basismodell eines Produkts muss nur die wichtigsten Fertigungsstationen absolvieren, während ein höherwertiges Modell weitere Stationen durchläuft, wo zusätzliche Fertigungsschritte erfolgen.
Sicherheitskonzept für Mensch/Maschine-Interaktion
Diese Fertigungsschritte können in einigen Fällen menschliches Eingreifen erfordern. Um die Interaktion zwischen Mensch und Maschine zu ermöglichen, ist allerdings ein Sicherheitskonzept erforderlich. Dieses muss bereits zu Beginn der Entwicklung des Produktionssystems festgelegt werden. Das ist auch bei der Entwicklung von Systemen in vielen Branchen üblich, beispielsweise im Automobilbau. In der Automobilbranche sind die Insassen auf Elektronik angewiesen, die viele wichtige Systeme steuert. Fehlfunktionen oder Komplettausfälle können sich sowohl auf Passanten als auch auf Fahrzeuginsassen auswirken. Das gilt beispielsweise für ABS-Bremsanlagen, elektronische Feststellbremsen und Servolenkungen. Wenn solche Produkte definiert und die zugehörigen Steuersysteme ausgewählt werden, muss die Implementierung der funktionalen Sicherheit in jeder Phase berücksichtigt werden. Die Architektur von Bauelementen wie den 32Bit-Mikrocontrollern der Aurix-Familie ist speziell auf Anwendungsfälle ausgelegt, die hohe Anforderungen an die Sicherheitsintegrität stellen. Sie erfüllen die strengsten ISO26262-Anforderungen der Automobilbranche und können daher zusammen mit Safety Manuals und dedizierten Sicherheits-Softwareroutinen in Systemen verwendet werden, um die Vorgaben der IEC61508 zu erfüllen. IEC61513 ist eine Adaptierung von IEC61508 für Maschinen, während sich IEC61511 an die Prozessindustrie richtet. Um sicherzustellen, dass ein Ausfall des Verarbeitungselements innerhalb eines Systems erkannt werden kann, verwenden viele funktionssichere Systeme zwei verschiedene Mikrocontroller. Einer dieser Mikrocontroller führt das Anwendungsprogramm aus, während der zweite den ersten überwacht. Dieses Konzept gewährleistet die Diversität innerhalb des Steuersystems, da ein Softwarefehler oder Ausfall des einen Bauelements in dem anderen Bauelement nicht ebenfalls auftreten wird. Die Aurix-Architektur erreicht die entsprechende Sicherheitsfunktionalität innerhalb des Bauelements durch ihre diversitäre Lockstep-CPU. Die Lockstep-CPU arbeitet mit derselben 32Bit-TriCore-Architektur wie die Haupt-CPU. Ansonsten haben sie aber nichts gemeinsam. Die Lockstep-CPU ist physikalisch von ihrem Pendant getrennt, und ihre Schaltung ist völlig anders aufgebaut. Außerdem werden die Befehle im Lockstep-Kern um zwei Takte verzögert ausgeführt. Das bietet Schutz, da Ereignisse, die die Befehlsausführung im Hauptkern stören könnten, im Lockstep-Kern nicht ebenfalls auftreten können. Am Ende der Verzögerung werden die Ergebnisse der Befehlsausführung aus dem Haupt- und dem Lockstep-Kern miteinander verglichen. Falls sie nicht übereinstimmen, kann der Prozessor den Fehler behandeln.
Integrierter Selbsttest
Ein integrierter Selbsttest (BIST) für die interne Bauelemente-Logik, der beim Einschalten durchgeführt wird, stellt sicher, dass der Aurix-Baustein einwandfrei funktioniert bevor Applikations-Code ausgeführt wird. Weitere Tests, wie etwa einen Speicher-BIST, können zur Anwendungssoftware hinzugefügt werden. Infineon bietet auch Software-Bibliotheken wie Pro-SIL SafeTlib und SBST an, um Entwickler eingebetteter Systeme bei ihren Designs zu unterstützen. Um sicherzustellen, dass die verschiedenen Prozessorkerne nicht die Kontrolle über die Peripherie des jeweils anderen übernehmen oder Speicher überschreiben, der anderen Kernen zugewiesen ist, ist ein Speicherschutzsystem vorhanden. Darüber hinaus verfügt jede Peripherie und gemeinsam genutzter SRAM über einen eigenen lokalen Zugriffsschutzmechanismus. In Verbindung mit einem Hypervisor ist es außerdem möglich, Software die mehr oder weniger kritisch ist, auszuführen, ohne die Echtzeit-Leistungsfähigkeit zu beeinträchtigen. Mit Kommunikations-Schnittstellen für GBit-Ethernet, Ethercat oder CAN ist die Aurix-Familie der zweiten Generation eine geeignete Plattform für Industrieroboteranwendungen, unter anderem für fahrerlose Transportfahrzeuge (AGVs).
Sicherheit heute und in der Zukunft
Bisher sind Industrieroboterarme unabhängig von den Werkzeugen entwickelt worden, mit denen sie bestückt werden. Üblicherweise wird das Stromversorgungs- und Steuersystem eines Schweißwerkzeugs über ein schweres Kabelbündel an der Seite des Roboterarms befestigt. Zum Teil erfolgt diese Trennung aus Sicherheitsgründen, da sie dem Anbieter des Roboterarms ermöglicht, die vollständige Kontrolle über sein sicherheitszertifiziertes Gerät zu behalten. Und zwar unabhängig davon, von welchem Hersteller die verwendeten Werkzeuge stammen. Wenn er seine Kommunikationsbusse und Stromversorgungssysteme mit Werkzeugen von Fremdanbietern teilen würde, wäre es schwierig, die Sicherheit des Systems zu ermöglichen. Mit Industrie 4.0 entsteht jedoch die Notwendigkeit, alle Systeme und Sensoren miteinander zu vernetzen, damit die Maschinen in der Lage sind, miteinander und mit ihren menschlichen Bedienern zu kommunizieren und zusammenzuarbeiten. Das kann zu einem möglichen Sicherheitsrisiko führen: eine Schwachstelle, die als Angriffspunkt missbraucht werden könnte. Noch kritischer ist, dass zukünftig Erweiterungen und Werkzeuge hinzugefügt werden könnten, deren Sicherheitsimplementierung nicht angemessen geprüft worden ist. Solche Elemente könnten zu einer Hintertür für Netzangriffe werden, oder sie könnten sogar missbraucht werden, um Industrieanlagen und die Roboter selbst zu rekonfigurieren. Angesichts der Tatsache, dass Mensch und Maschine einander so nahe sind, besteht eine erhebliche Gefahr für Leib und Leben, wenn Roboter umprogrammiert werden oder sich auf manipulierte Sensordaten verlassen. Zuverlässige Werkzeuge und Sensoren sowie Zubehör- und Ersatzteile werden unverzichtbar sein, damit in der Fabrik der Zukunft nicht nur die funktionale Sicherheit, sondern auch die Netzsicherheit (Security) erhalten bleiben. Allerdings ist es in der schnelllebigen Fertigungswelt ebenso wichtig, dass die Implementierung zuverlässiger Systeme die Instandhaltung oder den Ersatzteilaustausch nicht behindert. Denn das würde unweigerlich zu längeren Stillstandzeiten führen.
