Sich selbst organisierende Sicherheitsnetzwerke
Safe Line Automation von B&R Herr Kaufleitner. Was steckt hinter der Entwicklung von Safe Line Automation?
Franz Kaufleitner, Produktmanager Integrated Safety bei B&R: Maschinen unterschiedlicher Hersteller zu einem Sicherheitsnetzwerk zusammenzuschließen ist prinzipiell möglich, erfordert aber derzeit viel Programmieraufwand direkt in der Maschinenhalle. Wenn während des Betriebes an den Maschinen etwas verändert wird, Maschinen entfernt werden oder neue hinzukommen, müsste jedes Mal die Sicherheitstechnik neu programmiert und überprüft werden. Das ist in der Realität nicht umsetzbar.
Mit der Kombination von OPC UA und openSAFETY ergeben sich nun neue Möglichkeiten: Es wird nun möglich sein, Maschinenteile oder ganze Maschinen aus dem Maschinennetzwerk zu entfernen oder zu ergänzen, ohne dass die Sicherheitstechnik neu programmiert werden muss. Sogar sich selbst validierende Maschinenlinien sind denkbar.
Damit das Sicherheitsnetzwerk sich selbst organisieren kann und gleichzeitig alle Anforderungen an Security und Safety erfüllt werden, ist eine Reihe von Vorkehrungen notwendig. Dabei nutzen wir die jeweiligen Vorteile von OPC UA und openSAFETY optimal aus.
Wie kann man sich das konkret vorstellen?
Kaufleitner: Wird ein neues Gerät – also eine Maschine, ein Maschinenteil oder auch ein Roboter – an ein Maschinennetzwerk angeschlossen, kommt zuerst OPC UA ins Spiel. Mithilfe der OPC-UA-Security-Mechanismen wird eine sichere Verbindung hergestellt. Das neue Gerät sucht nach weiteren Servern, die Safety-Funktionen anbieten. Zum Einsatz kommen dabei die OPC-UA-Mechanismen Discovery und Server Capability. Anschließend wird mit den OPC-UA-Browsing-Services festgestellt, welche Funktionen mit welchen Attributen diese Server anbieten. Auf diese Weise erlangt jeder OPC-UA-Server ein vollständiges Bild des Netzwerkes, ohne dass eine einzige Zeile Code programmiert werden muss. Dieses Vorgehen lässt sich bereits jetzt mit OPC UA umsetzen.
Anschließend prüft die Sicherheitsapplikation, ob die neue Komponente bereits bekannt ist oder ob alle Eigenschaften aus sicherheitstechnischer Sicht gleichwertig zu einer zuvor validierten Konfiguration sind. Ist dies der Fall, sind keine weiteren Aktionen durch den Maschinenbediener notwendig.
Falls relevante Unterschiede erkannt werden, wird der Anwender mithilfe einer standardisierten Abfrage über die Visualisierung aufgefordert, die Richtigkeit der Konfiguration zu bestätigen. Die Eingaben werden dauerhaft gespeichert, sodass die neue Linienkonfiguration in Zukunft automatisch erkannt wird.
An dieser Stelle ist es besonders wichtig zu betonen, dass es sich dabei nicht um Programmiertätigkeiten oder ein Engineeringtool handelt – es müssen lediglich Bestätigungssequenzen abgearbeitet werden – das System stellt dem Anwender dar, was es vorgefunden hat, wie die Systemkonfiguration aktuell aussieht und der Anwender muss bestätigen, dass das in seinem Sinne richtig ist.
Welche Voraussetzungen müssen Geräte mitbringen, um für Safe Line Automation eingesetzt werden zu können?
Kaufleitner: Als Mindestanforderung für die sichere Linienautomatisierung muss jedes Gerät das Not-Aus-Profil von openSAFETY unterstützen. Wird ein Not-Aus-Schalter betätigt, werden automatisch alle Geräte im openSAFETY-Netzwerk informiert. Jedes Gerät entscheidet selbständig, ob es auch in den Not-Aus-Zustand geht oder weiterlaufen kann. Das ist zum Beispiel der Fall, wenn eine andere Not-Aus-Zone betroffen ist.
Kurz gesagt: Die Geräte müssen einen OPC UA Server bereitstellen und es müssen entsprechende Sicherheitssteuerungen involviert sein.
Wie sieht das dann in der Praxis aus?
Kaufleitner: Jeder Maschinenbauer weiß, wie er seine Maschinen sicher macht. Wenn man nun Maschinenteile beim Endkunden zusammenfügt und zum Beispiel ein zusätzlicher Not-Aus-Schalter benötigt wird, dann sieht der Lösungsansatz mit Safe Line Automation folgendermaßen aus:
Man braucht einen Not-Aus-Schalter der auf einem Sicherheitsmodul verdrahtet ist das OPC-UA-fähig ist. Damit hat man ein für sich autonomes Safe-Line-Automation-Gerät das am Not-Aus-Profil teilnehmen kann.
Dadurch kann man den Not-Aus-Schalter einfach anstecken und er funktioniert. Die Basiskosten gegenüber einem normalen Not-Aus-Schalter sind sicher höher, aber man muss keinen Schaltschrank öffnen, keiner der involvierten Maschinenbauer muss das Not-Aus-Gerät implementieren, sondern der Endanwender steckt den Not-Aus-Schalter als eigenständiges Gerät einfach dazu. Und das verstehen wir unter selbstorganisiernde Sicherheitsnetzwerke.
All das funktioniert nur deshalb, weil wir die Sicherheitsfunktionen bereits im Vorfeld klar überlegt und spezifiziert haben. Die Sicherheitsfunktionen kann man sich wie Zwiebelschalen vorstellen. Der Not-Aus-Schalter ist sozusagen der kleinste gemeinsame Nenner und dann kann man die Profile darüberlegen und durch die Kombination können durchaus komplexe Funktionen im Maschinenverbund entstehen.
Gibt es eine Teilnehmerbegrenzung?
Kaufleitner: Das ist einzig eine Frage der Leistungsfähigkeit der Sicherheitssteuerung. Eine grundsätzliche Begrenzung oder Beschränkungen hinsichtlich Topologie oder ähnlichem gibt es nicht.
Abschließende Frage: Wie sieht die timeline in der Entwicklung von Safe Line Automation aus?
Kaufleitner: Die Entwicklung für Safe Line Automation wurde Anfang des Jahres 2016 gestartet. Derzeit befinden wir uns in der ersten Abklärungsphase mit dem TÜV und geplant ist, dass wir mit Q1 2017 die Spezifikation abschließen können. Die ersten Showcases werden wir dann zur SPS IPC Drives 2017 vorstellen. www.br-automation.com