Coded Processing in virtuellen Steuerungen

Abarbeitung der Sicherheitsapplikation in zwei getrennten Softwarekanälen mit Coded Processing

Bild 02: Abarbeitung der Sicherheitsapplikation in zwei getrennten Softwarekanälen mit Coded Processing (Quelle: Silistra Systems)

Deployment-Tools zum Aufsetzen von virtuellen funktionalen und sicheren Steuerungen im Codesys-Development-System

Bild 03: Deployment-Tools zum Aufsetzen von virtuellen funktionalen und sicheren Steuerungen im Codesys-Development-System (Quelle: Codesys)

Codesys Development System mit SIL3-Applikation (rechts) auf einer virtuellen Sicherheitssteuerung (links).

Bild 04: Codesys Development System mit SIL3-Applikation (rechts) auf einer virtuellen Sicherheitssteuerung (links). (Quelle: Codesys)

Bestätigung der herstellerunabhängigen Eignung für Anwendungen nach IEC 61508 SIL3 von Codesys Safe Control Core, der Basis- Software für Codesys Virtual Safe Control SL

Bild 05: Bestätigung der herstellerunabhängigen Eignung für Anwendungen nach IEC 61508 SIL3 von Codesys Safe Control Core, der Basis-Software für Codesys Virtual Safe Control SL (Quelle: Codesys)

Wer nun funktionale und sichere Steuerungen virtualisiert im Container betreibt, nutzt die neuen Möglichkeiten gleich doppelt aus. Die virtuelle Steuerung Virtual Control SL von Codesys [2] erlaubt eine neue Flexibilität, weil sie bei ausreichender Leistungsfähigkeit der darunter liegenden Hardware nahezu beliebig oft instanziiert und parallel betrieben werden kann. Außerdem liefert sie zusätzlich Safety-Funktionalität: Sie implementiert Coded Processing von Silistra Systems und ist somit eine reine Software-Lösung. Die virtuelle Sicherheitssteuerung läuft ebenfalls im Software-Container und ist genauso hardwareunabhängig und flexibel wie die funktionale Steuerung. Außerdem können sichere  Steuerungen beliebig oft und beliebig feingranular aufgesetzt werden, um auf den verfügbaren Plattformen abgearbeitet zu werden – sei es Industriehardware im Schaltschrank oder IT-Hardware irgendwo im Serverraum. Der E/A-Zugriff erfolgt über physikalische oder per vLAN virtualisierte Ethernet-Ports in Echtzeit. Das gilt in gleicher Weise für Industrial-Ethernet-Protokolle mit Zulassung für sicherheitskritische Anwendungen, wie z. B. Profisafe (F-Host/ F-Client) oder zukünftig FSoE (Fail Safe over Ethercat). 

Die Anwender deployen beziehungsweise orchestrieren ihre Steuerung auf der verfügbaren Hardware und entscheiden dabei, ob sichere Applikationen ablaufen sollen. Ist dies der Fall, so wird beim Deployment der virtuellen Steuerung ein zusätzlicher Container angelegt und so konfiguriert, dass er abhängig von einer funktionalen Steuerung ist (Bild 3). Wie erläutert, wird die Applikation im Safety-Container dabei zusätzlich per Coded Processing abgearbeitet – das geschieht automatisch im Hintergrund. Die codierte und die originale Applikation überwachen sich im Betrieb gegenseitig und nehmen bei erkannten Fehlern sofort den sicheren Zustand ein. Zur Programmierung von funktionaler und sicherer Applikation dient das Codesys Development System (Bild 4). Die sichere Applikation wird im zertifizierten Add-on-Modul projektiert, das den rein funktionalen Teil erweitert. Dafür steht ein sicherer Editor gemäß IEC 61131-3 [3] zur Verfügung. Mit einem vom TÜV Süd abgenommenen Verfahren wird der erzeugte Code auf die virtuelle Sicherheitssteuerung heruntergeladen. Prinzipbedingt ist die Projektierung einer Safety-Applikation aufwendiger als der rein funktionale Teil – diesbezüglich unterscheiden sich physikalische und virtuelle Safety-Steuerungen nicht. Bei Installation, Wartung und Updates gibt es jedoch beträchtliche Unterschiede.

Zertifizierte Software

Ob virtuelle Steuerung für funktionale oder für Sicherheitsapplikationen– die Orchestrierung ist für beide Varianten identisch. Unterschiede gibt es lediglich bei den Lizenzkosten. Für die Sicherheitsabnahme bereitet sich der Hersteller einer Maschine oder Anlage mit virtualisierter Safety-SPS genauso vor, wie er das mit dedizierten Geräten gemacht hätte. Die Abnahme des Gesamtsystems nach der Maschinenrichtlinie erfolgt wie bisher, nur jetzt ohne zertifizierte Safety-Hardware.

Der TÜV Süd hat im Januar 2025 die Zertifizierung für die Basissoftware von Codesys Virtual Safe Control SL gemäß IEC 61508 (SIL3) erteilt (Bild 5). Praktisch bedeutet das: Die Sicherheitsabnahme für Maschinen und Anlagen kann jetzt geräteunabhängig erfolgen. In der ersten Version ist dies für Hardware-Plattformen auf Basis von x86C-PU mit Profinet/Profisafe als Feldbus möglich. Eine Erweiterung auf ARM-basierte Rechnerarchitekturen sowie FSoE (Ethercat Safety) erfolgt in den nächsten Monaten. Somit bietet Codesys Virtual Safe Control SL Maschinen- und Anlagenbauern und vor allem den Betreibern solcher Systeme zusätzliche Freiheit – jetzt sogar für sicherheitskritische Anwendungen. Der erste Einsatz der Software ist in Kfz-Produktionslinien der Audi AG vorgesehen.

Literatur

  1. IEC 61508 (DIN EN 61508, VDE 0803): Functional safety of electrical/electronic/programmable electronic safety-related systems (Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme)
  2. Codesys GmbH, Kempten: www.codesys.com
  3. IEC 61131-3:2013 Programmable controllers – Part 3: Programming languages
Roland Wagner ist Head of Product Marketing bei der Codesys GmbH in Kempten.
2 / 2

Ähnliche Beiträge