Eine leistungsfähige Safety-Steuerungsplattform muss nicht nur variierende Hardware-Anforderungen für die unterschiedlichen Maschinenvarianten einer mobilen Arbeitsmaschine erfüllen. Zusätzlich soll sie auch eine flexible Entwicklungstoolchain zur Verfügung stellen, die auf die individuellen Bedürfnisse der Applikationsentwicklung eingehen kann. Nun liefert Sensor-Technik Wiedemann eine Lösung, um sichere (gelbe) und nicht sichere (graue) Software-Komponenten gemeinsam auf einem Steuergerät ausführen zu können.
Die IEC 61508-3 fordert den Nachweis einer adäquaten Unabhängigkeit, die dann vorliegt, wenn eine räumliche und zeitliche Unabhängigkeit zwischen gelben und grauen Funktionen gegeben ist. Die skalierbare Steuerungsplattform ESX-3XL Safety hält sich daran. Obwohl auf dem Steuergerät gelbe und graue Applikationsfunktionen gemeinsam ausgeführt werden, muss lediglich die gelbe Software-Applikation anhand der sicherheitsgerichteten Anforderungen entwickelt werden. Weiterhin kann die Applikation wahlweise in C oder nach IEC 61131-3 erstellt werden.
Speicherschutzmechanismus
Die ESX-3XL Safety basiert auf dem TriCore Controller. Beide Software-Komponenten greifen auf die TriCore internen CPU-Ressourcen zu und müssen entsprechend separiert werden. Die geforderte zeitliche Autonomie ist durch einen Watchdog Controller sowie durch ein Task System erreicht, das die Priorisierung der zur Verfügung stehenden Tasks erlaubt. Die räumliche Unabhängigkeit wird durch einen von STW entworfenen und implementierten Speicherschutzmechanismus im Software-Basissystem sichergestellt. Der kontrollierte Datenfluss zwischen den Funktionen kommt durch die, speziell in der Speicherschutzschicht SL-API, zugewiesene Berechtigungsstufe (Level) zustande und durch deren spezifische Zugriffsrechte. In der Speicherschutzschicht werden nach der korrekten Abarbeitung die erforderlichen HAL-Funktionen aufgerufen. Das STW-Tasksystem wird für die Ausführung der jeweiligen SW-Komponenten verwendet.
Durch die MPU des TriCore können Daten in die drei unabhängigen Speicherbereiche System, Safety und Standard abgelegt werden. Die Lese- und Schreibfunktionen zu den unterschiedlichen Speicherbereichen haben die Berechtigungsstufen System, Safety und Standard Level. Jedes Level kann lesend auf sämtliche Datenbereiche zugreifen. Die im System- und Safety-Level ausgeführten gelben Software-Komponenten müssen vor dem schreibenden Zugriff von Standardfunktionen geschützt werden. Graue Funktionen werden im Standard Level ausgeführt. Sie besitzen lediglich Schreibrechte auf Standard Datenbereiche und beeinflussen nicht die funktionale Sicherheit.
Codesys (V3) Safety SIL2 wurde wie eine C-Applikation auf das SW-Basissystem aufgesetzt. Zwischen der IEC-Applikation und dem SW-Basissystem, liegt die STW-Shell, in die der Codesys Safety SIL2 Core eingebettet wurde. Sicherheitsgerichtete und funktionale Anforderungen des Basissystems und der IEC-Applikation müssen von der STW-Shell erfüllt werden. Der Applikationsentwickler kann mit der ESX-3XL Codesys Safety eine vereinfachte Zertifizierung nach PLCopen anwenden. Dadurch wird der Aufwand der sicherheitsgerichteten IEC-Entwicklung erheblich reduziert.
Durch die Unabhängigkeit im Software-Basissystem können beide, gelbe und graue Software-Funktionen, gemeinsam auf der ESX-3XL Safety ausgeführt werden, was den Entwicklungs- und Wartungsaufwand reduziert. Die Safety-Steuerung kann ebenfalls nach IEC 61131-3 programmiert werden.
