Dreistufiger Prozess
Der Prozess setzt nach der vom Maschinenkonstrukteur durchgeführten Risikoanalyse an. Grundlage sind die aus der Risikominderung geforderten Sensoren und Aktoren wie Sicherheitsschalter oder sichere Antriebe, welche im Elektroschema abgebildet sind. Mit dieser Information erstellt der Software-Ingenieur in einer ersten Übersicht eine Darstellung aller Safety-Elemente. Danach werden in Zusammenarbeit mit dem Konstrukteur alle möglichen Anwendungsfälle ermittelt und die jeweils sicheren Zustände abgebildet. Steht das Grundkonzept, wird gemeinsam mit dem Kunden in einer virtuellen Simulation die Logik auf ihre Vollständigkeit hin überprüft und gegebenenfalls angepasst. Dabei geht der Konstrukteur die sicherheitsrelevanten Anwendungsfälle durch und kann beurteilen, inwieweit die Sicherheitsvorkehrungen ausreichend sind oder den Betrieb der Anlage einschränken. Im oben beschriebenen Fall des Maschinenstillstands beim Wechsel des Verbrauchsmaterials entschied man sich für den Einbau eines Zweihandschalters, um die Maschine während des Wechsels weiterlaufen lassen zu können. Diese neue Funktion wurde dann wieder in die Gefahrenanalyse eingespeist, bewertet und ins Sicherheitskonzept übernommen. „Am Ende des Simulationsprozesses hatten wir ein auf die Anlage abgestimmtes Sicherheitskonzept, das bei Einhaltung der Maschinenrichtlinie höchstmögliche Produktivität ermöglicht“, so Sonnweber.
Codierung, Testvorbereitung und Abnahme
Mit der Freigabe des UML-visualisierten Sicherheitskonzepts erfolgt die Umsetzung, aufgeteilt in Codierung und Testvorbereitung. Für die finale Abnahme werden bereits parallel zur Codierung Testprotokolle für das Abnahmeprocedere erstellt. Dieses startet beim Test der Safety-Hardware und geht bis hin zur Prüfung der Sicherheitslogik. „Wichtig ist hierbei, nicht nur den Software-Algorithmus zu testen, sondern vielmehr das gesamte I/O-Verhalten zu überprüfen“, erklärt Sonnweber. Im letzten Schritt erfolgt der Systemtest. Dabei werden anhand des ausgearbeiteten Testprotokolls zuerst Ein- und Ausgänge hardwaremäßig auf ihre Funktion hin kontrolliert um sicherzustellen, dass z.B. Unterbrüche in den Leitungen zwischen Sicherheitselementen und der SPS erkannt werden. Abschließend findet entsprechend der entwickelten Testprotokolle der Funktionstest statt, der das richtige Verhalten der Sicherheitslogik überprüft.
Reduzierter Aufwand, mehr Sicherheit
Das Vorgehen hat sich bereits mehrfach bewährt: Die Kommunikation zwischen Software Engineering und Maschinenbau wird vereinfacht, der Aufwand reduziert und zusätzlich werden wirkungsvolle Testfälle des gesamten Sicherheitskonzepts abgeleitet. Dadurch lässt sich auch die Zeit für die Schlussüberprüfung deutlich verkürzen. Zu guter Letzt bietet das strukturierte Vorgehen auch eine gewisse Rechtssicherheit, denn nun ist es möglich, die funktionale Black-Box der Sicherheits-SPS transparent darzustellen und in einer nachvollziehbaren, umfassenden Art abzunehmen.
