� AUTOR

Durchgängiges Sicherheitssystem

Raus aus dem üblichen Schema

tegriert, mit der Sicherheitsfunktionali-täten komfortabel konfiguriert werden. Mit dem TwinSafe-Protokoll sind ganz-heitliche und sehr flexible Gesamtlösun-gen gemäß SIL3 möglich

Feldbusunabhängige Kommunikation Beckhoff ist auch bei der Safety-Integra-tion seiner Philosophie der offenen Steuerungstechnik treu geblieben: Mit dem Sicherheitsprotokoll lassen sich si-cherheitsrelevante Daten über beliebige Medien übertragen, weil das verwendete

Bussystem keinen Beitrag zur Sicherheit leistet. Daher sind alle üblichen Feldbus-systeme einsetzbar, zum Beispiel Profi -bus, CAN open, Lightbus, Ethernet TCP/IP oder EtherCat. Das TwinSafe-Konzept fügt sich nahtlos in das Busklemmensys-tem ein. Die Safety-Busklemmen erweitern das I/O- System einfach um die Sicherheits-

Während Safety-Lösungen bisher den Aufbau paralleler Welten er-forderten, integriert Beckhoff mit TwinSafe sichere Funktionalitäten in die vorhandene Steuerungs-architektur. Der ganzheitliche Systemansatz setzt weitgehend auf Standard-Komponenten und Standard-Feldbussen auf, was zu deutlich mehr Flexibilität sowie zu weniger Aufwand an Material, Engineering und Diagnose führt.

� Bislang wurden die Bereiche Auto-matisierungs- und Sicherheitstechnik oft noch getrennt realisiert. Um die Daten-kommunikation zu vereinheitlichen und das Handling zu vereinfachen, hat Beck-hoff mit TwinSafe eine durchgängige Si-cherheitstechnologie in Hard- und Soft-ware entwickelt. Angefangen bei den si-cheren Ein- und Ausgangsklemmen über eine sichere Kleinsteuerung für das Bus-klemmensystem bis hin zu den Servover-stärkern AX5000. Softwareseitig ist die TwinSafe-Technologie vollständig in die Automatisierungssoftware TwinCat in -

Jens Sachs ist Produktmanager für Safety bei der Beckhoff Automation GmbH in Verl.

92 IEE 51. Jahrgang 04-2006

TRENDS & TECHNOLOGIE � STEUERUNGSTECHNIK

Sicherheits-Busklemmen erlauben den An-schluss aller gängigen Sicherheitssensoren und -aktoren, die Logic-Busklemmen stel-len die Verknüpfungen her.

Halle 9, Stand F06/F13

IEE 51. Jahrgang 04-2006 93

STEUERUNGSTECHNIK

funktionen. Das heißt, dass die gesamte Verkabelung für den Sicherheitskreis in das sowieso vorhandene Feldbusnetz-werk überführt wird. Die sicheren Signale lassen sich mit den Standardsignalen be-liebig mischen. Das erleichtert die Projek-tierung und senkt den Aufwand für Mon-tage und Material. Auch die Wartung ge-winnt dabei durch schnellere Diagnose und den Austausch von nur wenigen Komponenten. Das Konzept umfasst lediglich drei Bus-klemmen-Typen, die alle notwendigen Grundfunktionalitäten abdecken: Digi-tal-Eingang (KL1904), Digital-Ausgang (KL2904) und Logic-Klemme (KL6904). Bei einer Vielzahl von Anwendungen kann die gesamte sicherheitsrelevante Sensorik und Aktorik auf diesen Busklem-men verdrahtet werden. Die notwendige logische Verknüpfung der Eingänge mit den Ausgängen findet über die Logic-Klemmen statt. Die Aufgaben einer Fail-Safe-SPS sind damit bei kleinen Aufbau-ten innerhalb des Busklemmensystems durchführbar.

Die Verknüpfung der sicheren Ein- und Ausgangsklemmen über die Logic-Klem-me ermöglicht den Aufbau einer ein-fachen, flexiblen und kostengünstigen dezentralen Sicherheitssteuerung. Daher entstehen keine Sicherheitsanforderun-gen an die übergeordnete Steuerung. Die für Maschinen notwendigen Sicherheits-funktionen wie Not-Aus, Schutztür oder Zweihand sind in der Logic-Klemme be-reits enthalten. Letztere wird einfach ent-sprechend den Sicherheitsanforderun-gen der Applikation konfiguriert.

Gemischte oder separate Strukturen Das TwinSafe-Konzept ermöglicht die Realisierung unterschiedlicher Sicher-heitsaufgaben. Strukturen, bei denen Standard- und sicherheitsrelevante Sig-nale gemischt werden, sind ebenso mög-lich wie separate Netzwerke. Aber auch ein Betrieb als Stand-alone-Lösung oder als dezentrale Vorverarbeitung mit siche-rer Kommunikation zu einer übergeord-neten Sicherheitssteuerung ist realisier-bar. Bei einem gemischten System nutzen in der Anlage verteilte Standard- und Safety-Klemmen einen gemeinsamen Standard-Feldbus. Als Alternative bietet sich die Integration aller sicherheitsrele-vanten Signale in eine Station an, die den Charakter einer dezentralen Sicherheits-insel hat. Eine weitere Möglichkeit ist ein reines Sicherheitsnetzwerk, bei dem zwar Standard-Buskoppler verwendet werden, die gesamte Buskommunikation aber nur aus sicherheitsrelevanten Sig-nalen besteht – in Analogie zu einem spe-ziellen Sicherheitsbus. Bei den beiden letzten Varianten lassen sich bei Bedarf Anlagenteile separieren, wobei für den Austausch von Statusinfor-mationen wieder ein Standard-Feldbus ausreicht. Da für Standardautomatisie-rungs- und Sicherheitswelt die gleichen Bus koppler zum Einsatz kommen, steht der Wechsel in die gemischte Steue-rungswelt jederzeit offen. Bei der Anlagenvernetzung entfaltet das Safety-Konzept einen weiteren Vorteil:

� KOMPAKT

Das TwinSafe-System integriert siche-re Funktionalitäten in die vorhandene Steuerungsarchitektur und ermög-licht Gesamtlösungen gemäß SIL3. Die sicherheitsgerichtete Kommunikati-on, von der I/O-Ebene bis in die An-triebswelt, ist über vorhandene Stan-dardbusse realisierbar. Hardware-sei-tig decken drei Busklemmen-Typen die notwendigen Grundfunktionalitä-ten ab. Die notwendige, logische Ver-knüpfung der I/Os führt die TwinSafe-Logic-Klemme (in Analogie zu einer Fail-Safe-SPS) durch. In einem größe-ren Anlagenverbund können Logic-Klemmen untereinander sicherheits-relevante Daten austauchen. Die Automatisierungs-Software TwinCat übernimmt dabei als zentrale Einheit das Routen der Daten. Auch für die Konfiguration sowie für Diagnose- und Debug-Funktionen dient die Au-tomatisierungs-Software mit ihren entsprechenden Tools.

liche Abfrage bzw. Überwachung vor Ort realisiert. Bei der Anlagenvernetzung übernimmt die Automatisierungs-Soft-ware TwinCat als zentrale Einheit das Routen der Daten. Sie stellt quasi die Hül-le für die Kommunikationsverbindung zwischen zwei Maschinen oder zwei Steuerungen zur Verfügung. Darin einge-lagert überträgt das System die sicher-heitsrelevanten Daten.

Konfigurieren statt Programmieren Der Schwerpunkt bei der TwinSafe-Kon-zeptentwicklung lag darauf, über die rei-ne Konfiguration der Logic-Klemme, aus dem Standardsystem heraus, die sicher-heitsgerichtete Applikation mit einzel-nen, wenigen Bausteinen realisieren zu können. Solch eine einfache und sichere Handhabung ist in der Praxis wichtiger als die freie Programmierbarkeit. Der Kernansatz ist, dass derjenige, der ges-tern noch die Not-Aus-Relais verdrahtet hat, heute die gleiche Applikation in Soft-ware konfigurieren kann. Aus diesem Grund wirken die Sicherheitsbausteine nach außen hin recht trivial. Hinter deren selbsterklärenden Funktionalitä-

94 IEE 51. Jahrgang 04-2006

Das Transferieren von sicherheitsrelevan-ten Signalen aus mehreren Einzelmaschi-nen ist in aller Regel ein Problem, das die anlagenübergreifende Kommunikation nachhaltig erschwert. Nicht jedoch bei TwinSafe.

Anlagenvernetzung ohne Hürden Das System nutzt einfach die fast immer vorhandene Anlagenkommunikation für Standardsignale. Diesen Weg eröffnet die Logic-Klemme KL6904, die nicht nur mit sicheren E/As, sondern auch mit an-deren Safety- und Logikeinheiten kom-munizieren kann. Logic-Klemmen lassen sich daher für sicherheitsrelevante Ver-netzungen maschinenübergreifend über Standard-Bussysteme koppeln. Damit er-leichtert das TwinSafe-System die Kapse-lung und Entkopplung einzelner Produk-tions- oder Fertigungszellen beträchtlich. Erweiterungen oder Umstellungen der Anlage sind ohne erneuten Verdrah-tungsaufwand umsetzbar. Geeignet sind für diese Machine-to-Machine-Kommu -nikation alle Feldbussysteme, inklusive Real-Time-Ethernet oder EtherCat. Jede Logik- oder I/O-Klemme verfügt über einen Watchdog-Timer, der die zeit-

STEUERUNGSTECHNIK

Im TwinCat-System Manager ist das gesamte Sicherheitssystem konfigurierbar, hier las-sen sich alle Busparameter anzeigen und editieren – soweit das System dies nicht schon automatisch erledigt hat.

� infoDIRECT 767iee0406

www.all-electronics.de � Link zur Firma � Systembeschreibung

ten steckt natürlich tief reichendes Safety-Know-how. Trotz der klaren Trennung von Sicher-heits- und Standardautomatisierungsteil stehen im Beckhoff-System alle sicher-heitsrelevanten Signale – einschließlich der Diagnosedaten – automatisch und permanent in der Standardsteuerung für eine Auswertung zur Verfügung. Die Diagnose- und Debug-Funktionen des TwinCat-Automatisierungssystems sind daher für den Sicherheitsteil genauso nutzbar wie für den Standardteil. Wären beide Welten getrennt, müssten bei-spielsweise Daten in der Sicherheits-steuerung erzeugt und über einen Stan-dardkanal in die Standardsteuerung übertragen werden. Das entfällt bei TwinSafe komplett. Zu realisieren sind daher nur die reinen Sicherheitssteue-rungen; für alles Übrige ist die Standard-steuerung zuständig. Deshalb reicht für die Logic-Klemme auch eine relativ gerin-ge Performance aus. Das schlägt sich in einer kleineren Bauform und auch in deutlich niedrigeren Kanalpreisen nieder.

Konfiguration ins Standard-Tool integriert Der TwinCat-System Manager dient zum Konfigurieren der gesamten I/O-Ebene, inklusive der Achsen. Hier werden neben den Standard-I/Os auch die entsprechen-den Logik-Einheiten bzw. Safety-Ein- und

-Ausgangsklemmen. Sie sind in der ‘nor-malen’ Baumstruktur unter dem entspre-chenden Buskoppler bzw. einer Busklem-me angeordnet und dort zu Gruppen – so genannten ‘Twin Safe-Groups’ – zusam-mengefasst. Das vereinfacht anwender-seitig die Diagnose, weil innerhalb einer solchen Gruppe die Sicherheitsfunktio-nen und -kanäle – die ’TwinSafe-Connec -tions‘ – gebündelt sind und die Diagnose bzw. Fehlerreaktion automatisch abläuft. Fällt ein Kommunikationskanal aus, rea-giert die gesamte Gruppe. Es entsteht daher kein Konfigurationsbedarf. Dabei helfen auch die Beckhoff-Sicherheitsbau-steine wie Emergency-Stop und Maschi-nen-Monitor, die sich über die Function-Block-Liste auswählen lassen. Im Kon-text-Menü ist dann per Mausklick die ge-wünschte Zuordnung aktivierbar. Nach der Projektkonfiguration wird über den TwinSafe-Verifier der sicherheitsrelevan-te Teil realisiert. Bei diesem sicherheits-relevanten Verifier handelt es sich um eine gekapselte, dem System Manager zugefügte Softwarekomponente. Er übernimmt die Kommunikation beim Projektplan, den Zugriff auf die Klemme sowie das Verifizieren des Projekts selbst.

STEUERUNGSTECHNIK

IEE 51. Jahrgang 04-2006 95

TwinSafe ermöglicht die Realisierung verschiedenster Strukturen, z. B. gemischtes Safety- und Standardnetzwerk, Stand-alone-Safety-PLC oder separates Safety-Netzwerk (von links nach rechts).