Programmierung sicherheitsgerichteter Applikationen

Bei der Realisierung der funktionalen Sicherheit an Maschinen sind die Anforderungen aus den harmonisierten Normen EN62061 oder EN ISO13849 umzusetzen. Die EN ISO13849 ist die Neuauflage der EN954, die den Bereich der programmierbaren Sicherheit nicht abdecken kann und im November 2009 außer Kraft tritt. Diese Normen behandeln aber nicht nur Anforderungen an die Programmierung sicherheitsgerichteter Software, sondern auch an elektronische und elektromechanische Sicherheitsfunktionen (DIN EN62061 ohne Bewertung von Pneumatik und Hydraulik) der Maschine oder Applikation. Die Anforderungen gelten daher genauso für den Hardware-Konstrukteur wie auch für den Programmierer. Speziell im Bereich der sicheren Programmierung gibt es die Anforderung nach vereinfachter Programmierung getreu dem Motto \’Keep it simple\‘. So werden gemäß EN ISO13849 und auch der PLC-open-Spezifikation aus den fünf Programmiersprachen der IEC61131 die zwei grafischen Programmiersprachen Kontaktplan (KOP) und Funktionsbaustein-Sprache (FBS) als besonders geeignet angesehen. Zur weiteren Vereinfachung der Programmstruktur wird auch die Anzahl der Datentypen, Funktionen und Funktionsbausteine deutlich eingeschränkt. Die EN ISO13849 fordert, wann immer möglich, die Verwendung validierter Funktionsblock-Bibliotheken (FB). KW-Software stellt seinen Kunden hierzu sämtliche derzeit von der PLCopen definierte Funktionsbausteine als zertifizierte Bibliothek zur Verfügung. Sollte ein Kunde spezielle Funktionsbausteine benötigen, so kann er diese auch selbst mithilfe des von KW-Software entwickelten Technologie-Pakets SafeFBTest auf einfache Weise realisieren und durch ein unabhängiges Prüfinstitut zertifizieren lassen. Wann lohnt sich programmierbare Sicherheit? Eine allgemein gültige Formel dafür gibt es nicht. Vielfach wird aber fälschlicherweise das Argument angebracht, dass die programmierbare Sicherheit strengere oder mehr Anforderungen aus der Normenwelt erfüllen muss. Das ist so nicht richtig. Auch in der konventionellen Sicherheitstechnik sind Anforderungen wie Risikoanalyse, Bestimmung des Performance Level (PL) usw. umzusetzen. Vielmehr ermöglicht die programmierbare Sicherheit durch den WhiteBox-Test (Überprüfung des Quellcodes) eine Art der Verdrahtungskontrolle, wie sie in der klassischen Verdrahtung nur mit großem Aufwand durchzuführen ist. So werden bei der klassischen Verdrahtungskontrolle oft nicht alle Kurz- und Querschlüsse erkannt. Neben dem Vorteil der Reduktion in der Verdrahtung bietet die programmierbare Sicherheit auch eine hohe Flexibilität und Diagnosefähigkeit. Gerade die Diagnosefähigkeit ist ein großer Pluspunkt, weil diese letztlich auch Einfluss auf die Stillstandszeiten der Maschinen hat. Nur mit einer gezielten Diagnoseinformation kann im Störungsfall eine schnelle Fehlerbeseitigung realisiert werden. Die sichere Programmierumgebung von KW-Software unterstützt den Anwender mit einer Vielzahl von Funktions- und Diagnosemöglichkeiten. Schon während der Entwurfsphase kann der Anwender mit der integrierten Simulation das Programm ohne angeschlossene Hardware überprüfen. Sicher in Betrieb nehmen Bei der späteren Inbetriebnahme hilft die Statusdarstellung in der Programmieroberfläche. Hier werden dem Anwender die aktuellen Werte der angeschlossen Aktoren und Sensoren angezeigt. Mit den weiteren Debug- und Inbetriebnahme-Funktionen wie Überschreiben, Forcen und Einzelzyklus hat der Anwender bei der Inbetriebnahme weitere Möglichkeiten, die Maschine auf Herz und Nieren zu prüfen. Besonders während der Inbetriebnahme sind immer wieder Arbeitsunfälle zu beobachten. Das bedeutet, dass die Debug- und Inbetriebnahme-Funktionen in einem Programmiersystem besonders sensibel sind. Aus diesem Grund werden z.B. bei KW-Software sämtliche Debug-Funktionalitäten der Sicherheitssteuerung zweikanalig diversitär ausgeführt, um auch in dieser Phase die hohe Qualität der Sicherheitsfunktionen aufrechtzuerhalten. Weitere Maßnahmen sind das Steuerungspasswort und die Benutzerverwaltung. Mit ihnen wird verhindert, dass ungeschulte Anwender Zugang zu den sensiblen Funktionalitäten bekommen. Um Fehler schon vor der Inbetriebnahme zu vermeiden und zu erkennen, sind geeignete Maßnahmen auszuwählen, wie sie auch die Norm fordert. Zu den Basismaßnahmen über den Lebenszyklus der Applikationssoftware zählen die Dokumentation, eine modulare und strukturierte Programmierung, funktionale Tests und eine geeignete Änderungsverfolgung. Die EN ISO13849 beschreibt den Softwarelebenszyklus für Applikationssoftware im vereinfachten V-Model. Bei der Programmerstellung gilt das Motto \’Keep it simple\‘, denn je einfacher und übersichtlicher das Programm ist, desto geringer ist die Wahrscheinlichkeit, dass sich Fehler einschleichen. Auch die Überprüfung des Programms (WhiteBox-Test) wird auf diese Weise nicht zu einer Herausforderung, sondern zu einer wichtigen und durchführbaren Aufgabe. Aufgedeckte Fehler in dieser Phase reduzieren den Aufwand bei der Inbetriebnahme erheblich. Validation bringt Sicherheit Verifizierte und abschließend validierte Programme oder Funktionsbausteine lassen sich mit einer Prüfsumme (CRC) gegen ungewollte Veränderungen absichern. So gesicherte Programme oder Funktionsbausteine sind beliebig oft wiederverwendbar. Bei der Wiederverwendung dieser validierten und abgesicherten Programme oder Funktionsbausteine reduziert sich der Prüfaufwand enorm. Die Wiederverwendbarkeit ganzer Programme bietet gerade im Bereich der Serienmaschinen ein großes Einsparpotential. Auch im Sondermaschinenbau lässt sich mit dem Einsatz bereits validierter und abgesicherter Funktionsbausteine ein reduzierter Prüfaufwand erzielen. In der klassischen Verdrahtung gibt es diese Art Wiederverwendbarkeit nicht. Fazit Der Einsatz sicherer Programmiersysteme ist in den letzten Jahren stetig gewachsen. Die Akzeptanz auch in Hinblick auf den anstehenden Normenwechsel ist spürbar. Programmierbare Sicherheit bietet viele Vorteile wie z.B. optimale Integration der Sicherheitsfunktion, Wiederverwendbarkeit, Flexibilität und Diagnosemöglichkeiten. Diesen Trend gilt es fortzusetzen. HMI-Stand: Halle 9 Stand F58