Steuerung mit dem Automatisierungssystem PSS

»de«: Sichere Steuerungen bieten ja eine »Zugangskontrolle«, also unterschiedliche Passwort-Level, Zugangslogging usw. Wie ist das bei Ihrem System gelöst?

D. Futterer: Im Automatisierungssystem PSS 4000 wird das Rechtemanagement über verschiedene Ebenen gesteuert. Ebene 1 ­bedeutet Vollzugriff lesend und schreibend, Ebene 2 bedeutet Teilzugriff nur lesend. ­Default ist kein Passwort konfiguriert, das kann aber vom Anwender natürlich geändert werden.

»de«: Gibt es eine detaillierte Beschreibung, welche Statements (While, For, …) in der eingeschränkten Sprache nicht zugelassen sind, und gelten diese Einschränkungen auch für ST-Bausteine? Wie funktioniert die Beschränkung auf LVL, sind ­Array-Zugriffe zulässig und gelten Einschränkungen?

D. Futterer: Die Verschmelzung von Automatisierung und Sicherheit steht im Mittelpunkt des Automatisierungssystems PSS 4000. Damit lassen sich komplette Automatisierungslösungen umsetzen, die für den Anwender einfach zu handhaben sind. Eine wichtige Rolle spielt dabei die Software-Plattform PAS4000. Dort stehen verschiedene Editoren und Bausteine bereit, die sowohl für automatisierungs- also auch sicherheitstechnische Aufgabenstellungen verwendbar sind. In PAS4000 sind die Werkzeuge für Projektierung, Programmierung, Inbetriebnahme und Betrieb eng aufeinander abgestimmt.

Der Programmierer bzw. Anwender erhält die Freiheit, zwischen der Konfiguration mit Funktionsbausteinen oder Programmierung mit Quellcode in EN/IEC 61131-3 konformen Editoren zu kombinieren. Dem Anwender steht in PAS4000 zum einen der einfache, baustein­orientierte Programm-Editor »PASmulti« zur Verfügung. Dafür muss keine eigene Programmiersprache beherrscht werden – ­alleine schon die Anordnung und logische Verschaltung der Bausteine lässt sehr leicht eine Übersicht über die funktionalen Zusammenhänge gewinnen. Zum anderen stellt PAS4000 auch bereits etablierte Editoren für die Programmierung bereit. Dazu zählt ­neben den Editoren der SPS-Programmierung (nach EN/IEC 61131-3) für Anweisungsliste (PAS IL) und Strukturierter Text (PAS STL) auch der Editor für Ladder Diagram (Kontaktplan, PAS LD).

Die Einstufung als LVL-Sprache für alle PAS-Editoren bzw. Programmiersprachen durch den TÜV Süd ermöglicht es Anwendern, nicht nur automatisierungs-, sondern auch sicherheitstechnische Aufgabenstellungen ohne Funktionseinschränkungen zu lösen. Die Bestätigung als LVL geht allerdings nicht ohne Einschränkungen: Durch systembedingte Abwandlungen und Einschränkungen beim Sprachumfang sind bereits die »gefährlichsten« Sprachkonstrukte des vollständigen EN/IEC-61131-3-Befehlssatzes ausgeschlossen. Das System bietet zudem in der Tool-Unterstützung schon bei der Eingabe eine Führung des Programmierers beispielsweise zur strikten typisierten Verwendung von Konstanten oder ähnlichem.

Maschinenbauer können also erstmals mit ihrem gewohnten Entwicklungsprozess auch sicherheitsgerichtete Applikationsprogramme erstellen. So lassen sich sicherheitsgerichtete Programme, Programme für Automatisierungsaufgaben oder auch eine Kombination aus beidem erstellen. In PAS4000 steht für die einzelnen Editoren eine umfangreiche ­Bibliothek an bereits zertifizierten Softwarebausteinen zur Verfügung, beispielsweise zur Positionserfassung oder für allgemeine Funktionen wie Not-Halt, die der Anwender um selbst erstellte Softwarebausteine ergänzen kann.

»de«: Welche Software empfehlen Sie zur Berechnung und Verifizierung von Sicherheitsgrößen?

D. Futterer: EN ISO 13849-1 bzw. EN/IEC 62061 schreiben die Bewertung und Berechnung von Sicherheitsfunktionen vor. Ergebnis dieser »Rechenübung« sind der Performance Level (PL) bzw. der Safety Integrity Level (SIL), welche die Ausfallwahrscheinlichkeit einer Steuerung ausdrücken.

Mit dem Safety Calculator PAScal unterstützt Pilz bei der im Rahmen der Risikobeurteilung vorgeschriebenen Bewertung und Berechnung von Sicherheitsfunktionen. Die Software kann mittels eines grafischen Editors diese Sicherheitsfunktionen bzw. die eingesetzten Komponenten modellieren und deren Struktur sowie das Nutzungsverhalten der einzelnen Komponenten komfortabel bewerten. Durch umfangreiche Bibliotheksfunktionen ist es möglich, Gerätekenndaten in den gängigen Bibliotheksformaten zu importieren oder eigene Bibliotheken zu erstellen und zu verwalten. Das Ergebnis wird mit den erforderlichen Sicherheitskenngrößen der Sicherheitsfunktionen verglichen und grafisch dargestellt. Pilz gibt Konstrukteuren damit ein Werkzeug an die Hand, das die systematische Vorgehensweise unter Einhaltung der Normen erheblich erleichtert, ohne dass Sie die den Normen zugrunde liegende Mathematik studieren müssen.

Das Tool nutzen die Sicherheitsexperten von Pilz bei der Verifizierung von Kunden­projekten. Daneben bietet Pilz auch eine Schulung »PL- und SIL-Berechnung mithilfe von PAScal« durch erfahrene Experten der Pilz Academy.

»de«: Wie ist die Ausbildung verzahnt, also der Weg von der Abschätzung zum zertifizierten Programm?

D. Futterer: Konstrukteure von Maschinen sind verpflichtet, Steuerungssysteme so zu konstruieren, dass Fehler in Hard- und Software der Systeme nicht zu einer gefährlichen Situation führen. Ein Validierungsverfahren muss den Nachweis führen, dass die Maschine oder Anlage baulich den Anforderungen an ihre bestimmungsgemäße Verwendung entspricht. Die Praxis zeigt, dass diese Vorgaben unterschiedlich umgesetzt werden. Während für die Hardware einer Maschine eine Validierung in der Regel durchgeführt wird, werden bei der Validierung der sicherheitsbezogenen Anwendersoftware häufig die normativen Vorgaben nicht voll umgesetzt. Software wird in vielen Fällen erst im Zuge der Inbetriebnahme erstellt, vom Programmierer selbst getestet und kaum dokumentiert. Im Falle eines Ausfalls oder Unfalls, der durch einen Fehler in der Software verursacht wird, geht die Schuldfrage dann eindeutig zu Lasten des Programmierers.

Die Bestimmungen für die Entwicklung ­sicherheitsbezogener Software im Maschinensektor regeln die Normen EN 62061 und EN ISO 13849-1/-2. Software übernimmt damit eine hohe Verantwortung und bestimmt zu ­einem wesentlichen Teil die Qualität der zu realisierenden Sicherheitsfunktion. Es ist ­daher überaus wichtig, lesbare, verständliche, test- und wartbare Software zu erstellen. Um die Qualität der Software sicherzustellen, ­unterliegt auch diese einem Validierungsprozess, der die Entwicklung begleitet. Grund­lagen hierfür sind:

• Arbeiten nach dem V-Modell (Entwicklungslebenszyklus inkl. Verifikation und Validierung)
• Dokumentation von Spezifikation und Entwurf
• Modulare und strukturierte Programmierung
• Durchführung funktionaler Tests
• Geeignete Entwicklungsaktivitäten nach Änderungen oder Anpassungen

Um zu bestätigen, dass die Software der Spezifikation der Sicherheitsanforderungen entspricht, wird auch in diesem Fall ein entsprechender Bericht verfasst, der Bestandteil des Validierungsberichts der Maschine oder Anlage wird.

Um den Weg zur sicheren Applikationssoftware abzukürzen, stehen bereits zertifizierte Software-Tools zum Entwickeln und Programmieren sicherheitsgerichteter Software zur Verfügung. Die Verwendung der Software-Tools vereinfacht zudem den gesamten Validierungsprozess, da die in der Software enthaltenen Bausteine grundsätzlich bereits ­zertifiziert und gleichzeitig validiert sind. Je mehr dieser Software-Bausteine in einer ­Applikation Verwendung finden, desto geringer ist der zu leistende Validierungsaufwand. Ebenso verhält es sich bei der Verwendung parametrierbarer Anwender-Software, auch hier sind die enthaltenen Bausteine bereits validiert. Ob die Sicherheitsfunktionen dann auch gemäß ihrer Spezifikation funktionieren, müssen die anschließenden funktionalen Testreihen nachweisen. Diese beinhalten auch die Simulation anzunehmender Fehler.

Anhand des Seminars »Sichere Programmierung gemäß EN ISO 13849« erlernen ­Anwender, wie Coding Rules umgesetzt, defensives Programmieren (strukturierter Text) und das Dokumentationsmanagemen / Änderungsmanagement erfolgen muss.

»de«: Wie unterstützen Sie Ihre Kunden im konkreten Projekt durch Ausbildung?

D. Futterer: Der Bereich Schulungen ist neben Beratung und Engineering dritte Säule des Dienstleistungsangebots von Pilz. Nur qualifizierte und kontinuierlich weitergebildete Mitarbeiter sind in der Lage, Maschinensicherheit im Betrieb zu gewährleisten und voranzutreiben. Eigens hierfür unterstützt Pilz mit produktneutralen Seminaren zum Thema Maschinensicherheit sowie produktspezifischen Schulungen beispielsweise beim Engineering von Anlagen.

»de«: Gibt es spezielle Ausbildungspakete für Ausbildungsbetriebe, Schulen usw.?

D. Futterer: Wir bieten in unseren Schulungszentren oder beim Kunden spezielle Ausbildungspakete für die unterschiedlichen Zielgruppen, zu den Themen Mechatronik, Elektrotechnik für Automatisierungstechnik und Informationstechnik, an – von Auszubildenden über angehende Techniker bis hin zu Studenten. Dazu zählen beispielsweise Workshops zur Maschinensicherheit mithilfe von Pilz Education Systems, einem modularen Schulungssystem mit modernen und industriell eingesetzten Bauteilen für den praktischen Unterricht oder auch Web Based Trainings zum Thema Sicherheitstechnik zum Selbst­studium oder zur Unterrichtsunterstützung.