Sichere virtuelle Steuerung ohne Hardwarebindung

Virtuelle Sicherheitssteuerung

TÜV-zertifiziert: Sichere CODESYS vSPS ohne spezielle Hardware

Montag, 07. April 2025

| Redaktion

Teilen auf:

Die virtuelle Steuerung CODESYS Virtual Control SL erlaubt eine neue Flexibilität, Bilder: CODESYS

Virtualisierung von Steuerungstechnik bedeutet: Die Software realisiert die Steuerungsaufgaben - nahezu beliebige Hardware liefert den Unterbau dafür. Die Abstraktion der SPS ermöglicht erhebliche Einsparungen für Hersteller sowie Betreiber von Maschinen und Anlagen bei Anschaffung, Inbetriebnahme, Erweiterung, Wartung bis hin zur Außerbetriebnahme. Durch Segmentierung und dynamische Microservices werden in der IT wichtige Systemeigenschaften wie Security-by-Design realisiert. Aber wie sieht es mit funktional sicheren Anwendungen aus?

Verordnungen und Gesetze sollen Menschen vor Maschinen mit Gefährdungspotenzial aller Art für den gesamten Lebenszyklus schützen. Dazu müssen konstruktive Maßnahmen, zertifizierte Komponenten oder spezielle Sicherheitssteuerungen in solchen Maschinen verbaut werden, die Gefährdungen ausschließen. Der gültige Stand der Technik wird dafür u. a. in der IEC 61508 definiert. Für Produktionslinien wird in einer Risikoanalyse meist der Safety Integrity Level 3 (SIL3) zu Grunde gelegt. Darin werden zwingend zwei unabhängige Abarbeitungskanäle vorgeschrieben, um systematische Fehler zu vermeiden. Aufgrund der Gesetzeslage sind alle Hersteller von Maschinen oder Anlagen mit Gefährdungspotenzial verpflichtet, ihre Systeme von akkreditierten Instituten freigeben zu lassen - inklusive eingesetzter Komponenten sowie der implementierten Steuerungsapplikation. Bislang waren immer zwei unabhängige Abarbeitungskanäle in Hardware ausgeführt. Und nur spezielle zweikanalige Hardwaresysteme konnten als zertifizierte Komponenten eingesetzt werden. Was aber, wenn man die Hardware virtualisiert? Für viele war es bislang undenkbar, reine Softwaresysteme hardwareunabhängig zu zertifizieren. Gibt es dennoch einen Weg dahin?

Zweikanaligkeit per Software: Diversified Encoding

Abstrahiert man die Hardware, so muss man die Zweikanaligkeit per Software erreichen. Entsprechende Verfahren gibt es bereits seit mehr als 30 Jahren, bekannt als „Coded Processing“. Die Idee ist, die sichere SPS-Applikation über eine spezielle Datentransformation mit dem sogenannten „Diversified Encoding“ in zwei Kanäle aufzuteilen und unabhängig voneinander abzuarbeiten. Durch eine redundante Betrachtung der Steuerungsinformationen lassen sich Fehler im Daten- und Kontrollfluss von Programmen erkennen. Dabei führt der erste Kanal die realisierte Sicherheitsapplikation im Original aus, während der zweite Kanal dieselbe Applikation mit den Algorithmen des Coded Processing ausführt. Damit lassen sich bereits potenzielle Fehler erkennen. Beide Kanäle laufen sequenziell in einem Prozess auf einem CPU-Kern. Sie werden permanent verglichen, wie das auch bei Hardwarelösungen zur funktionalen Sicherheit erfolgt. Durch Diversified Encoding werden die sicheren Eingaben auf dieselbe Weise an beide Kanäle verteilt. Die Ausgaben beider Kanäle werden wiederum zu sicheren Ausgaben zusammengeführt. Eingeschlossen sind Datenströme, die durch sichere Netzwerk- bzw. Feldbusprotokolle erzeugt wurden. Ein weiteres Sicherheitskriterium ist die zur Laufzeit der Sicherheitsapplikation durchgeführte feingranulare Überwachung des Kontrollflusses im kodierten Kanal. Mit einem derart gestalteten Konzept lässt sich das gleiche Sicherheitsniveau erreichen wie durch zweikanalige Hardware.

Abarbeitung der Sicherheitsapplikation in zwei getrennten Softwarekanälen mit Coded Processing

Obwohl die ersten Produkte mit Coded Processing bereits Anfang der 2000er Jahre erschienen sind, haben sie sich nicht auf breiter Front durchgesetzt. Aufgrund der rechenintensiven Algorithmen war die Laufzeit der Abarbeitung damals bis zu 1000-mal langsamer. In Kombination mit den zu dieser Zeit aktuellen CPUs waren solche Systeme für reale Anwendungen schlicht unbrauchbar. Mittlerweile sind nicht nur die Prozessoren um ein Vielfaches leistungsfähiger, auch die Software-Algorithmen hinter dem Coded Processing wurden grundlegend optimiert. So ist transformierter Applikationscode zusammen mit den erforderlichen Diagnosefunktionen mittlerweile nur noch um den Faktor 5 bis 15 langsamer als nicht transformierter Code. Gleichzeitig entfallen die bei diskreten Sicherheitssteuerungen erforderlichen Synchronisationspunkte sowie CPU- und Speichertests, was für eine erhebliche Entlastung des Prozessors sorgt. Angesichts der Performance moderner Prozessoren steht der Nutzung von softwarebasierten Safety-Lösungen in Industrieapplikationen nun nichts mehr im Weg.

Virtuelle Sicherheitssteuerung: Coded Processing in virtuellen Steuerungen

Mit Software-Containern als Schlüsseltechnologie lässt sich die unterliegende Hardware abstrahieren. Und das gilt jetzt für funktionale und sichere Steuerungen gleichermaßen. Virtualisiert man diese Steuerungen im Container, nutzt man die neuen Möglichkeiten gleich doppelt aus. Genau das macht CODESYS: Die virtuelle Steuerung CODESYS Virtual Control SL erlaubt bereits eine neue Flexibilität, weil sie bei ausreichender Leistungsfähigkeit der darunter liegenden Hardware nahezu beliebig oft instanziiert und parallel betrieben werden kann. CODESYS Virtual Safe Control SL liefert zusätzlich Safety-Funktionalität: Sie implementiert Coded Processing von SIListra Systems und ist somit eine reine Software-Lösung. Die virtuelle Sicherheitssteuerung läuft ebenfalls im Software-Container und ist genauso hardwareunabhängig und flexibel wie die funktionale Steuerung. Übrigens können sichere Steuerungen sogar beliebig oft und beliebig feingranular aufgesetzt werden, um auf den verfügbaren Plattformen abgearbeitet zu werden - sei es Industriehardware im Schaltschrank oder IT-Hardware irgendwo im Serverraum. Der E/A-Zugriff erfolgt über physikalische oder per vLAN virtualisierte Ethernet-Ports in Echtzeit. Das gilt in gleicher Weise für Industrial-Ethernet-Protokolle mit Zulassung für sicherheitskritische Anwendungen, wie z. B. PROFIsafe (F-Host / F-Client) oder zukünftig FSoE (Fail Safe over EtherCAT).

Screenshot CODESYS Development System mit SIL3-Applikation (rechts) auf einer virtuellen Sicherheitssteuerung (links im Baum).

CODESYS-User deployen bzw. orchestrieren ihre Steuerung auf der verfügbaren Hardware und entscheiden dabei, ob sichere Applikationen ablaufen sollen. Ist dies der Fall, so wird beim Deployment der virtuellen Steuerung ein zusätzlicher Container angelegt und so konfiguriert, dass er abhängig von einer funktionalen Steuerung ist. Wie beschrieben, wird die Applikation im Safety-Container dabei zusätzlich per Coded Processing abgearbeitet - das geschieht automatisch im Hintergrund. Die codierte und die originale Applikation überwachen sich im Betrieb gegenseitig und nehmen bei erkannten Fehlern sofort den sicheren Zustand ein. Zur Programmierung von funktionaler und sicherer Applikation dient das CODESYS Development System. Die sichere Applikation wird im zertifizierten Add-on-Modul projektiert, das den rein funktionalen Teil erweitert. Dafür steht ein sicherer IEC-61131-3-Editor zur Verfügung. Mit einem vom TÜV Süd abgenommenen Verfahren wird der erzeugte Code auf die virtuelle Sicherheitssteuerung heruntergeladen. Prinzipbedingt ist die Projektierung einer Safety-Applikation aufwendiger als der rein funktionale Teil - diesbezüglich unterscheiden sich physikalische und virtuelle Safety-Steuerungen nicht. Bei Installation, Wartung und Updates gibt es jedoch beträchtliche Unterschiede.

Screenshot des Deployment-Tools zum Aufsetzen von virtuellen funktionalen und sicheren Steuerungen im CODESYS Development System.

Die Entwicklung der virtuellen Safetysteuerung wurde im Rahmen eines öffentlichen Forschungsprojekts gefördert.

Ob virtuelle Steuerung für funktionale oder für Sicherheitsapplikationen - die Orchestrierung ist für beide Varianten identisch. Unterschiede gibt es lediglich bei den Lizenzkosten. Für die Sicherheitsabnahme bereitet sich der Hersteller einer Maschine oder Anlage mit virtualisierter Safety-SPS genauso vor, wie er das mit dedizierten Geräten gemacht hätte. Die Abnahme des Gesamtsystems nach der Maschinenrichtlinie erfolgt wie bisher, nur jetzt ohne zertifizierte Safety-Hardware. Die spannende Frage von Skeptikern: Ist die Abnahme nach IEC 61508 SIL3 überhaupt möglich? Ja, der TÜV Süd hat im Januar 2025 die Zertifizierung für die Basissoftware von CODESYS Virtual Safe Control SL erteilt. Praktisch bedeutet das: Die Sicherheitsabnahme für Maschinen und Anlagen kann jetzt geräteunabhängig erfolgen. In der ersten Version ist dies für Hardware-Plattformen auf Basis von x86-CPUs mit PROFINET/PROFISafe als Feldbus möglich. Eine Erweiterung auf ARM-basierte Rechnerarchitekturen sowie FSoE („EtherCAT Safety) erfolgt in den nächsten Monaten. Somit bietet CODESYS Virtual Safe Control SL Herstellern und vor allem Betreibern von Maschinen und Anlagen zusätzliche Freiheit - jetzt sogar für sicherheitskritische Anwendungen. Der erste Einsatz der Softwarelösung, die übrigens im Rahmen des Forschungsprojekt SDM4FZ vom Bundesministerium für Wirtschaft und Klimaschutz gefördert wurde, ist in Kfz-Produktionslinien der Audi AG vorgesehen.

Hier erfahren Sie mehr über die Vorteile von CODESYS Virtual Safe Control SL.