AUTOMATISIERUNG » Steuerungstechnik Die für die Maschinensicherheit geforderte Zweikanaligkeit kann bei virtuellen Steuerungen per Software erreicht werden. Damit lassen sich auch bei Safety-Applikationen erhebliche Einsparungen erzielen – von der Anschaffung über Inbetriebnahme, Erweiterung, Wartung bis hin zur Außerbetriebnahme. CODESYS Virtual CODESYS Control Virtual CODESYS Control Virtual CODESYS SafeControl Virtual Control Bild: Codesys Sicherheitssteuerungen ohne zweikanaligen Hardware-Aufbau realisieren Sind virtuelle Steuerungen sicher? Virtuelle Steuerungen, deren Entwicklung (Teil 1) und Anwendung (Teil 2) bereits beschrieben wurden, entkoppeln Hard- und Software und bringen Maschinen- und Anlagenbauer sowie Betreibern eine Reihe von Vorteilen. Lieferengpässe bei der Hardware verlieren damit ihren Schrecken. Teil 3 geht nun einen Schritt weiter und beschreibt, warum virtuelle SPSen auch für die Steuerung potenziell gefährlicher Maschinen und Anlagen eingesetzt werden können. Die dafür geforderte Zweikanaligkeit kann auch bei abstrahierten Steuerungen per Software erreicht werden, mit dem sogenannten „Diversified Encoding“ basierend auf „Coded Processing“. Dipl.-Ing. (FH) Roland Wagner, Head of Product Marketing, Codesys GmbH, Kempten 24 KEMKonstruktion|Automation » 11 | 2023
Bei virtuellen Steuerungen auf Basis von Container- oder Hypervisor-Technologien bestimmt ausschließlich die Software die Funktion – die Hardware liefert den abstrahierten Unterbau dafür. So lassen sich moderne Steuerungsarchitekturen mit Security-by-Design und dynamischen Microservices einfach realisieren, weil die Abhängigkeit von bestimmten Geräten aufgebrochen ist. Aber wie sieht es mit funktional sicheren Anwendungen aus? Zum Schutz des Menschen schreiben EU-Verordnungen und nationale Gesetze vor, dass Maschinen mit Gefährdungspotenzial aller Art für den gesamten Lebenszyklus abgesichert sein müssen: durch konstruktive Maßnahmen oder sichere Steuerungstechnik. Letzteres gemäß dem Stand der Technik, wie er unter anderem in der IEC 61508 definiert ist – entsprechend der Sicherheitsanforderungsstufen SIL 1 bis 4 (Safety Integrity Level), gemäß der Gefährdungslage etwa durch Schwere und Expositionshäufigkeit. Hersteller von Maschinen oder Anlagen mit Gefährdungspotenzial benötigen in jedem Fall eine Freigabe durch ein akkreditiertes Institut. In der Industrie wird SIL3 in vielen Applikationen gefordert. Zumindest eine Instanz muss dabei die korrekte Abarbeitung der Sicherheitsfunktion überwachen, in der Regel eine Hardware. Für diesen Anwendungsfall gibt es spezielle Prozessoren mit unterschiedlichen Architekturen, die die Zweikanaligkeit direkt im Silizium realisieren (etwa Lock-Step-CPU oder „Safety-Island“). Allerdings erhöht das massiv die Abhängigkeit von bestimmten, vorzertifizierten Bauelementen. Gerade vor dem Hintergrund gestörter Lieferketten und Bauteilemangel kann das sehr problematisch sein. Zweikanaligkeit per Software: Diversified Encoding Bei virtuellen und damit abstrahierten Steuerungen wird die Zweikanaligkeit nicht mit weiterer Hardware erreicht, sondern mit dem sogenannten „Diversified Encoding“, basierend auf „Coded Processing“. Die redundante Betrachtung der Steuerungsinformationen in diesem Verfahren ermöglicht die Erkennung von Fehlern im Daten- und Kontrollfluss von Programmen. Dazu wird die Abarbeitung der Applika - tionssoftware in zwei logische Softwarekanäle aufgeteilt. Der Vorteil dabei: An die darunterliegende Hardware werden keine besonderen Anforderungen gestellt. Der erste Kanal führt die realisierte Sicherheitsapplikation im Original aus. Der zweite Kanal nutzt dieselbe Applikation, führt sie aber mit den Algorithmen des Coded Processing aus und kann so für sich bereits Fehler erkennen. IM FOKUS Beide Kanäle laufen in einem Prozess sequenziell hintereinander auf einem CPU- Safety-Steuerungen lassen Kern. Sie werden permanent verglichen, sich auch ohne zweikanaligen wie das auch bei den Hardwarelösungen Hardware-Aufbau realisieren zur funktionalen Sicherheit gemacht wird. und damit virtuelle Dadurch werden auftretende Fehler deutlich häufiger erkannt. applikationen nutzen. Steuerungen in Sicherheits- Durch Diversified Encoding werden auf dieselbe Weise die sicheren Eingaben an beide Kanäle verteilt und umgekehrt die Ausgaben beider Kanäle zu sicheren Ausgaben zusammengeführt. Eingeschlossen sind Datenströme, die durch sichere Netzwerkbeziehungsweise Feldbusprotokolle erzeugt wurden. Eine zur Laufzeit der Sicherheitsapplikation durchgeführte zusätzliche feingranulare Überwachung des Kontrollflusses im kodierten Kanal bringt ein weiteres Sicherheitskriterium. Dieses Konzept der Firma SIListra Systems GmbH wurde vom TÜV SÜD abgenommen, erste Produktzertifizierungen bis hin zu SIL3 sind erfolgt. Konsequenzen der Zweikanaligkeit per Software Erste Produkte mit Coded Processing wurden zwar bereits Anfang der 2000er Jahre freigegeben, waren damals jedoch schlicht unbrauchbar: Sie führten auf den damals aktuellen CPUs zu einer Laufzeitverlängerung bis Faktor 1000! Die heute erheblich optimierten Software-Algorithmen zusammen mit den erforderlichen Diagnosefunktionen machen die Abarbeitung der kodierten Applikation zwar immer noch um den Faktor 5 bis 15 langsamer als die rein funktionale. Zusätzlich entfallen aber Synchronisa - tionspunkte sowie CPU- und Speichertests, die bei diskreten Sicherheitssteuerungen erforderlich sind. In Kombination mit erheblich leistungsfähigeren CPUs ist deshalb die Nutzung von Soft-Safety-Lösungen in Industrieapplikationen jetzt möglich. Abarbeitung der Sicherheitsapplikation in zwei getrennten Softwarekanälen mit Coded Processing. Bild: SIListra Systems KEMKonstruktion|Automation » 11 | 2023 25
