Applikationsbeispiele: Spezifikation und Validierung von sicherheitsgerichteter Anwender-Software Harald Schmidt, SICK AG, Waldkirch Bei der Definition, Gestaltung sowie Verifizierung von Sicherheitsfunktionen wird häufig strukturiert und im Einklang mit den harmonisierten Normen (z.b. der EN ISO 13849-1) vorgegangen. Dies beschränkt sich aber oft lediglich auf die Gestaltung der Hardware sowie die Auswahl der Komponenten im jeweiligen Sicherheitskreis. Diejenigen Anteile der Sicherheitsfunktion, welche im Anwenderprogramm z.b. einer Sicherheitssteuerung ablaufen, erfahren häufig weit weniger strukturierte Betrachtung. Diese Anteile bestimmen aber die entscheidende Güte der Sicherheitsfunktion. Selbst die besten Sicherheitskomponenten korrekt angewendet und verschaltet garantieren noch lange nicht den effektiven Schutz des Werkers an der Maschine. Anhand eines konkreten Beispiels wird aufgezeigt, wie eine - korrekte Definition, - strukturierte Umsetzung und anschliessende - umfassende Validierung der Funktionen (Testplan) erreicht werden kann. Harald Schmidt ist seit 12 Jahren bei der SICK AG in Waldkirch tätig, langjährig im Produktmanagement verantwortlich für den Bereich Industrielle Sicherheitstechnik dezentrale Sicherheitssteuerungen. Seit 2008 ist Harald Schmidt im Bereich Safety Solution Development für die Ausprägung und Weiterentwicklung von ganzheitlichen Sicherheitslösungen für die Fabrikautomation verantwortlich. Vornehmlich für die Entwicklung von Absicherungskonzepten für den Maschinenbau sowie die Erarbeitung von neuen Lösungskonzepten für den Personenschutz. harald.schmidt@sick.de INFOTAG SICHERHEITSSTEUERUNGEN IM FOKUS DER NEUEN MRL, 10.11.2009
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 1 : Sicherheitsgerichtete Anwendersoftware Harald Schmidt SICK AG November 2009
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 2 SW - Design : Sicherheitskonzept : Softwarequalität : SW Spezifikation VDMA 09/09 2
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 3 6 Schritte zur sicheren Maschine Gesetze, Richtlinien, Normen 1 Risikobeurteilung Risikominderung Die 3 Stufenmethode 2 Sicheres Gestalten 3 Technische Schutzmaßnahmen 4 Benutzerinformation über Restrisiken Umsetzen der Sicherheitsfunktionen 5 Gesamtvalidierung 6 Inverkehrbringen R Verantwortung des Betreibers VDMA 09/09 3 Die Anforderungen an die Absicherung von Maschinen haben sich mit fortschreitender Automatisierungstechnik mehr und mehr verändert. Früher wirkten Absicherungen im Arbeitsprozess eher störend, daher wurde oft ganz auf sie verzichtet. Durch innovative Techniken ließen sich Schutzeinrichtungen in den Arbeitsprozess integrieren. Dadurch sind sie für den Bediener nicht mehr hinderlich, oft unterstützen sie sogar die Produktivität. Aus diesem Grund sind zuverlässige und in den Arbeitsprozess integrierte Schutzeinrichtungen heute unverzichtbar. Sichere Maschinen schaffen Rechtssicherheit für den Hersteller und Betreiber. Die Sicherheit von Maschinen hängt in großem Umfang von der korrekten Anwendung von Richtlinien und Normen ab. All diese Anforderungen praxisgerecht auszulegen, erfordert ein umfangreiches Expertenwissen, Applikationswissen und eine langjährige Erfahrung. Von größter Wichtigkeit ist es, die Bedürfnisse von Bedien- und Wartungspersonal mit in die konzeptionelle Planung einzubinden. Nur ein intelligentes, auf den Arbeitsprozess und das Personal abgestimmtes Sicherheitskonzept führt zur notwendigen Akzeptanz. Zur Verbesserung der Nachhaltigkeit fordern Experten den Ausbau einer weit gefassten Sicherheitskultur in den Unternehmen. Nicht ohne Grund, schließ-lich resultieren neun von zehn Unfällen aus menschlichem Fehlverhalten.
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 4 Risikominderung : A Festlegen der Sicherheitsfunktion : B Bestimmen des Sicherheitsniveaus : C Gestalten nach Sicherheitskriterien : D Verifizieren und Validieren für die gesamte Lebensdauer und in allen Betriebsarten analysieren validieren 3 Technische Schutzmaßnahmen Funktionales Sicherheitsmanagement festlegen gestalten VDMA 09/09 4 Strukturierte Vorgehensweise bei der Risikominderung durch technische Schutzmassnahmen
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 5 Sicherheitsfunktion - Beispiel Stopp auslösen : Unterbrechen der Lichtstrahlen der zugangsabsichernden Sicherheits-Lichtschranke : Erforderliches Sicherheitsniveau PLr d VDMA 09/09 5 Ein Beispiel für eine Sicherheitsfunktion Unterbrechen der Lichtstrahlen des Lichtgitters führt zum Stop der Maschine Erforderliches Sicherheitsniveau aus der Risikobeurteilung: PLr d Da der die Lichtschranke in dem Beispiel hintertretbar ist, benötigt die Sicherheitsfunktion ein manuelles Rücksetzen und darauf folgend einen separaten Maschinenstart (siehe Bildausschnitt).
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 6 Sicherheitskriterien beim Design EN ISO 13849-1 EN 62061 Sensor Logik Aktor Sensor Logik Aktor PL PL? PFH D PFH D SILCL SILCL?? Sicherheitslevel Sicherheitsprinzipien VDMA 09/09 6 Grundsätzlich ist es ratsam, Sicherheitsfunktionen mit zertifizierten Sicherheits-Komponenten zu realisieren. Hierdurch werden der Designprozess und die nachfolgende Verifizierung vereinfacht. Eine Sicherheitsfunktion wird durch mehrere Teilsysteme ausgeführt. Häufig ist es aber nicht möglich, ein Teilsystem ausschliesslich mit zertifizierten Sicherheits-Komponenten zu realisieren, welche das Sicherheitsniveau (PL/SIL) bereits angeben. Vielmehr muss es dann aus mehreren diskreten Elementen zusammengesetzt werden. In diesem Fall ist das Sicherheitsniveau abhängig von verschiedenen Kenngrößen.
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 7 Verifizieren der Sicherheitsfunktion - PL = PLr? SRP/CS BWS Schalter Logik Schütz Roboter VDMA 09/09 7 Zur Verifizierung der Sicherheitsfunktion - - z.b. bei Anwendung der EN ISO 13849-1 - d.h.: Stimmt das erforderliche Performance Level der Sicherheitsfunktion PLr mit dem erreichten Performance Level PL überein? - ist es dienlich, sich gut gemachter Hilfsmittel, wie etwa dem Sistema Tool der BGIA zu bedienen. Hierbei wird allerdings noch nicht die Verifizierung der korrekten Funktionalität der Anwender Software berücksichtigt.
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 8 Logikeinheiten SRASW SRESW VDMA 09/09 8 Softwarebestandteile in Logikeinheiten sind generell eingeteilt in : SRAW : Sicherheitsrelevante Anwendersoftware (Anwenderprogramm), und SREW : Sicherheitsrelevante Embedded Software (Firmware)
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 9 Software Anforderungen W W VDMA 09/09 9 Unterteilung von Anwendersoftware in LVL und FVL. Daraus folgend, abgeleitet die Anwendung der entsprechenden Normen, bzw. der entsprechenden Anforderungen an die Software
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 10 SRASW in LVL (EN ISO 13849-1) Basismaßnahmen: PL a, b + Zusätzliche Maßnahmen: PL c mit niedriger Wirksamkeit PL d mit mittlerer Wirksamkeit PL e mit hoher Wirksamkeit : Anwendung V-Modell : Strukturierte Programmierung : Funktionsprüfungen : Dokumentation : Testaktivitäten nach Änderungen : SRASW Spezifikation : Defensive Programmierung : Verifikationsaktivitäten : Konfigurationsmanagement : Einflussanalyse nach Änderungen VDMA 09/09 10
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 11 Generelle Programmierregeln - Gute Praxis : Lesbaren und verständlichen Code schreiben, : jeden Ausgang nur von einer einzigen Stelle aus ansteuern, : SRASW von nicht sicherheitsrelevanter SW trennen, : Funktionen vorsehen, die HW-Fehler aufdecken und beherrschen : Schreibtischtest durch Simulation der Funktion VDMA 09/09 11 Näheres siehe auch in: BGIA Report 2/2008: Funktionale Sicherheit von Maschinensteuerungen. 6.3: Entwicklung sicherheitsbezogener Software Z.B. Defensives Programmieren : Defensiv programmieren, das heißt, immer mit internen oder externen Fehlern rechnen und diese aufdecken. Kennt man z.b. das zeitliche Verhalten von Eingangssignalen, so kann man mit dieser Erwartungshaltung Fehler der peripheren Beschaltung aufdecken. Wird eine Zustandsmaschine programmiert, dann wird die Zustandsvariable auf gültigen Wertebereich überwacht usw.
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 12 Vereinfachtes V-Modell EN ISO 13849-1 Validierung Inbetriebnahme Tool I / O VDMA 09/09 12 Veranschaulichung - wo wird was spezifiziert und verifiziert, bzw. validiert
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 13 Was wird hier eigentlich spezifiziert?? VDMA 09/09 13 So wird es schwierig
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 14 Ursache und Wirkung - Matrix-Darstellung (z.b. MS Excel) VDMA 09/09 14 Besseres Beispiel: Die Implementierung sicherheitsrelevanter Anwendungen mit Hilfe der Safety Matrix schließt die Lücke zwischen der Risikoanalyse, der Implementierung und der Dokumentation im Entwicklungsprozess einer sicherheitsrelevanten Software. Diese Matrix beinhaltet alle Causes (Ursachen), Effects (Wirkungen) und deren Intersections (Schnittpunkte) einer sicherheitsgerichteten Anwendung, die im Zusammenspiel die Logik einer sicherheits-relevanten Anwendung realisieren. Die Safety Matrix umfasst alle Ursachen, Wirkungen und deren Verschaltungen innerhalb einer sicherheitsrelevanten Anwendung. Sie beinhaltet Zeilen für die Causes und Spalten für die Effects und wird in vier Bereiche eingeteilt. Der Verbindungsbereich bildet den Kern der Cause and Effect -Anwendung, da hier die verschiedenen Causes logisch mit den Effects verbunden werden. Die Verschaltungen zwischen den Causes und den Effects können einen der drei folgenden Werte annehmen: Assignment (Zuweisung, X ), Set (Festsetzen, S ) und Reset (Rücksetzen, R ).
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 15 Modulentwurf VDMA 09/09 15 Für den Modulentwurf ist u.a. auch das Mittel der Flussdiagramm-Darstellung hilfreich, da sie eindeutige Abhängigkeiten und Pfade aufweisen kann.
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 16 SRASW Spezifikation - Teilbereiche der Spezifikation VDMA 09/09 16 Dies könnte (sollte) alles Bestandteil der Spezifikation der sicherheitsrelevanten Anwendersoftware sein.
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 17 Applikationsbeispiel VDMA 09/09 17 Der Roboter arbeitet in zwei benachbarten Zellen. Die Zellen sollen begehbar sein, wenn sich der Roboter in der jeweils anderen Zelle befindet. Zusätzlich dürfen sich die Arbeitstische nicht senken, wenn jemand in die Zelle eintritt (Quetschgefahr)
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 18 Sicherheitsfunktionen (1) Die Roboterbewegung wird bei Zutritt zum aktiven Arbeitsbereich gestoppt. (2) Die Roboterbewegung wird bei Zutritt aus der gegenüberliegenden Zelle gestoppt. (3) Die Abwärtsbewegung eines Tischs wird bei Zutritt gestoppt. VDMA 09/09 18 Die zugehörigen Haupt Sicherheitsfunktionen
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 19 Layout S R S R M4li C4li C4re M4re IN4li Pos.Li Pos.Re IN4re VDMA 09/09 19
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 20 Systementwurf VDMA 09/09 20
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 21 Design Matrix X : Keine Auswirkung R : Reset notwendig I : Signal 1 -oder Grün 0 : Signal 0 -oder Rot S : Start möglich (manueller Taster) VDMA 09/09 21
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 22 Modulentwurf WHILE: Power On Position Zelle links Zelle rechts Freigabe Roboter Freigabe Tisch links Freigabe Tisch rechts Roboterzelle SRASW VDMA 09/09 22 Strukturentwurf nach Nassi-Schneiderman
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 23 Modul Position Pos.Li Pos.Re Pos_ok VDMA 09/09 23
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 24 Module Zelle Pos.Li Links_ok Pos.Re Rechts_ok M4_li M4_re C4re C4li VDMA 09/09 24
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 25 Modul Freigabe Roboter Not-Halt Pos_ok Schütz Links_ok Rechts_ok VDMA 09/09 25
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 26 Module Freigabe Tisch Not-Halt Ventil_li_ab Not-Halt Ventil_re_ab M4li M4re IN4li IN4re VDMA 09/09 26
VDMA-INFOTAG SICHERHEITSSTEUERUNGEN - SPEZIFIKATION UND VALIDIERUNG 27 : Vielen Dank für Ihre Aufmerksamkeit
SICK - auf einen Blick : Gegründet 1946 - über 60 Jahre Sensorerfahrung : Mehr als 5.000 Mitarbeiter weltweit : Fast 50 Tochtergesellschaften und Beteiligungen in 30 Ländern + viele spezialisierte Fachvertretungen : Rund 737 Millionen Konzernumsatz im Geschäftsjahr 2008 : Breitestes Produkt- und Technologie-Portfolio der Branche : Führend in der Innovation von Sensorlösungen : Firmenprofil : SICK AG Harald Schmidt (November 2009) 1 Ihr Referent Harald Schmidt : Produktmanagement F-SPS : Safety Solution Development : SICK Mitarbeiter seit 1997 : Firmenprofil : SICK AG Harald Schmidt (November 2009) 2