Titelthema „Sicher und problemlos skalierbar“

„Der Anwender kann sich eine Bibliothek mit eigenen, bereits validierten Funktionsbausteinen aufbauen.“ Markus Kempf, Produktmanager Simatic Safety Integrated. Siemens

Bild: A&D
27.05.2015

Die Sicherheit einer Anlage ist auch davon abhängig, dass die Steuerung Fehler im System erkennen kann. Zudem sollte die Lösung mit den Anforderungen mitwachsen können, betonen Stefan Sattler und Markus Kempf. Im Gespräch mit A&D erläutern sie, was das in der Praxis bedeutet.

A&D:

Wie ist der Controller S7-1200 mit Safety Integrated positioniert?

Sattler:

Diese Steuerung dient der diskreten und Stand-Alone-Automatisierung von einfachen Anlagen und Maschinen mit sicherheitstechnischen Anforderungen wie Not-Halt oder Schutztür-Überwachung. Ab zwei bis drei Sicherheitsfunktionen macht es Sinn, einen Controller zu verwenden, der diese integriert.

Wie unterscheiden sich die Failsafe-Varianten von den normalen Steuerungen?

Kempf:

Der grundsätzliche Aufbau ist vom I/O-Gefüge her der gleiche. Der Speicher fällt bei den F-Varianten jedoch etwas größer aus, damit neben der normalen Anwendung Platz ist für die zusätzlichen Safety-Funktionen. Die Fehlersicherheit wird über Software-Mechanismen in der Firmware abgebildet. Sie beruht hauptsächlich darauf, dass die Steuerung sich selbst darauf kontrolliert, ob alle Berechnungen richtig ausgeführt werden oder vielleicht ein Fehler im System erkannt wurde. Im Zweifelsfall schaltet die Steuerung die Maschine oder Anlage ab und bringt sie in einen sicheren Zustand.

Gibt es zwischen den Controller-Familien Unterschiede bei der Failsafe-Funktionalität?

Kempf:

Nein, wir haben uns für eine Architektur entschieden, und diese wird in der 1200er-Reihe genauso umgesetzt wie bei der S7-1500 und der ET 200SP. Das gilt allerdings nicht nur für die Failsafe-Funktionen, sondern auch für alle Steuerungsfunktionen. Daher können Sie Anwendungen und Programmteile, die auf der einen Steuerung laufen, immer auch auf andere Controller übertragen. Somit stellen wir sicher, dass die Projekte problemlos skalierbar sind. Wenn eine Anlage wächst, oder zusätzliche Funk­tionen gebraucht werden und die bislang verwendete Steuerung dafür nicht mehr ausreicht, können Sie auf ein leistungsfähigeres Modell wechseln, ohne irgendetwas an der Programmierung verändern zu müssen.

Werden alle Standardvarianten nun auch in F-Versionen angeboten?

Kempf:

Im Prinzip ja, aber nur da, wo es Sinn macht. Bei der Simatic S7-1200 gibt es die Leistungsgrößen 1211, 1212, 1214, 1215 und 1217. Eine S7-1210 ist nicht erweiterbar mit zusätzlichen Modulen, eine 1212 mit zwei Signal Modulen. Aus diesem Grund macht es auch keinen Sinn, in diesem Bereich eine F-Variante anzubieten. Denn dafür braucht man je ein Modul mit fehlersicheren Eingängen und mit fehlersicheren Ausgängen, für die Standard-I/O ist dann kein Anschluss mehr frei. Wir entwickeln derzeit aber ein Modul, in dem fehlersichere Ein- und Ausgänge kombiniert sind. Damit wäre dann auch eine S7-1212F sinnvoll einsetzbar – die wird dann auch kommen.

Sattler:

Eine zweite Einschränkung betrifft die Spannungsversorgung. Im Standard gibt es eine AC-Variante, die direkt mit 230 VAC verdrahtet werden kann. Da die Fehleraufdeckungsmechanismen damit nicht funktionieren, bieten wir die F-Modelle nur in der Variante für 24VDC-Schaltschrankspannung an.

Mit welchen Tools werden die Kunden während der Programmierung der Controller bei der Nutzung der Safety-Funk­tionen unterstützt?

Kempf:

Die fehlersicheren Steuerungen und I/O-Baugruppen können Sie wie die Standardvarianten exklusiv mit dem TIA-Portal bearbeiten. Dazu ist der Einsatz eines Optionspakets notwendig. Step 7 Safety Basic ist ausschließlich für die fehlersicheren S7-1200-Produkte geeignet und daher preislich attraktiver. Sie können aber auch Step 7 Safety Advanced wählen, das für alle Simatic-Produkte mit Safety Integrated geeignet ist. Beide Optionspakete erlauben die Projektierung der jeweiligen Hardware und stellen eine Bibliothek mit vorzertifizierten Anweisungen und Sicherheitsfunktionsbausteinen zur Verfügung, beispielsweise den E-Stop.

Welche Unterstützung erhält der Maschinen-/Anlagenbauer bei der Sicherheitszertifizierung?

Kempf:

Einerseits hilft hier der Einsatz der gerade genannten vorzertifizierten Funktionsbausteine. Zum anderen kann der Anwender selbst auch eigene, bereits validierte, Funktionsbausteine in seiner Bibliothek ablegen. Diese sind mit einem CRC-Prüfwert (Cyclic Redundancy Check) abgesichert. Der Anwender muss beim erneuten Einsatz des Bausteins dessen Inhalt nicht nochmals validieren, sondern nur die CRC überprüfen und den korrekten Einsatz sicherstellen. Das spart Zeit und minimiert ­Fehlerquellen. Darüber hinaus wird der Anwender durch eine normkonforme Projektdoku­mentation in Form eines Ausdrucks unterstützt. Diese ist unter anderem für die Validierung der Anwendung ­erforderlich.

Sind die Sicherheitsfunktionen gegen ­Manipulationen geschützt?

Kempf:

Ja, dafür gibt es ein eigenes Zugangs- und Passwort-Konzept, das unabhängig ist vom Zugang zu der normalen Anwendung. Das gilt sowohl für den direkten Zugang als auch für Online-­Zugriffe. Das Programm selbst ist gegen Manipulationen ebenfalls durch eine CRC geschützt, die ausgelesen oder angezeigt werden kann und so eine leichte Überprüfung ermöglicht. Änderungen werden zudem unter Angabe der Userkennung in einem Projekt-Logbuch protokolliert und lassen sich daher später nachvollziehen. Safety und Security gehören für uns an dieser Stelle zusammen.

Wenn ich an den Online-Zugang denke: Muss die Kommunikationsinfrastruktur von und zur Steuerung speziell gesichert werden?

Sattler:

Man kann nicht sagen, dass es aus sicherheitstechnischer Sicht für die Failsafe-Controller besondere Anforderungen gäbe. Aber es gelten natürlich hier ebenso die allgemeinen Empfehlungen, die für jedes industrielle Netzwerk gelten. Dazu zählt unter anderem die Segmentierung des Produktionsnetzes in mehrere gesicherte Automatisierungszellen. Dies schützt die Komponenten vor unberechtigten Zugriffen ebenso wie vor einer Überlastung des Netzwerkes. Genauso empfehlen wir die Schaffung von Segmenten innerhalb des Anlagennetzwerks, also von Secure ­Automation-Islands, mit begrenzter und gesicherter Kommunikation der ­Teilnetzwerke.

Bildergalerie

  • „Für die Vernetzung von Failsafe-Controllern gelten die gleichen Empfehlungen wie für alle industriellen Netzwerke." Stefan Sattler, Marketing Manager Simatic Safety Integrated, Siemens

    „Für die Vernetzung von Failsafe-Controllern gelten die gleichen Empfehlungen wie für alle industriellen Netzwerke." Stefan Sattler, Marketing Manager Simatic Safety Integrated, Siemens

    Bild: A&D

Firmen zu diesem Artikel
Verwandte Artikel