OT meets IT
Virtualisierte Steuerungstechnik in der Praxis
Die Software bestimmt die Funktion – in TVs, Autos, Smartphones ebenso wie in der Industrie und dort eingesetzten Industriesteuerungen. Das führt zur virtuellen SPS. Wie sehen solche Steuerungen in der Praxis aus und wie lassen sie sich einsetzen?
Per Software im Rechenzentrum erzeugte virtuelle Rechner und Laufwerke nutzt heute jeder. Virtualisierungen ermöglichen voneinander unabhängige Konfigurationen für unterschiedliche Anwendungen und erhöhen die Datensicherheit von Systemen durch sinnvolle Grenzen des Zugriffs. Auch in gängigen Industriesteuerungen bestimmt die Software den Funktionsumfang – eine Virtualisierung drängt sich auch hier regelrecht auf.
Zur Ausführung virtueller Steuerungen (vPLCs) benötigt man zwar auch physische Geräte, doch deren Hardware-Unterbau ist abstrahiert. Die Abarbeitung des Steuerungsprojekts erfolgt über eine Laufzeitumgebung, sprich eine Software, der aber die konkrete Hardware gleichgültig ist. Das können dedizierte Industriegeräte sein wie Industrie-PCs und Edge-Computing-Plattformen oder sogar Serversysteme (HCI). Software-Container nutzen die abstrahierte Hardware. Legt man einen Container über ein vorbereitetes Image mit integrierter vPLC an, ist die virtuelle Steuerung sofort on board. Im Wesentlichen müssen nur noch Parameter wie Ethernet-Ports für den Feldbus konfiguriert werden. Dieses Deployment erfolgt über unterschiedliche Wege: IT-Administratoren nutzen Linux-Kommandos, Skripte oder Tools wie Kubernetes, Automatisierer SPS-Tools wie das Codesys Development System. Bei Bedarf und ausreichender Leistungsfähigkeit des Unterbaus lassen sich mehrere Instanzen parallel für unterschiedliche Steuerungsaufgaben anlegen, ähnlich wie Microservices in der IT. Physikalische Ein- und Ausgänge betreibt man über vorkonfigurierte Ethernet-Ports mit Feldbusprotokollen wie EtherCAT oder Profinet. Physikalische Ports lassen sich in geeigneten Switches sogar per vLAN virtualisieren. Das Echtzeitverhalten erben die Steuerungen vom Linux-Betriebssystem samt RT-Preempt-Echtzeit-Kernel.
Mehrere unabhängige SPS auf ein und derselben Hardware reduzieren Kosten für Beschaffung, Verdrahtung und Instandhaltung der physikalischen Geräte. Weniger SPS und Netzteile im Schaltschrank bedeuten mehr Platz bei reduziertem Verdrahtungsaufwand. vPLCs lassen sich viel einfacher administrieren und mit neuen Applikationen updaten. Ein wichtiger Aspekt in Zeiten des Cyber Resilience Acts: Durch die Aufteilung der SPS-Applikation auf vPLCs – wie in Microservices – wird die IT-Security gehärtet. So kann das Gesamtsystem weiterlaufen, auch wenn eine vPLC kompromittiert wurde. Ohne Hardwareaufwand lässt sie sich durch eine neue vPLC ersetzen. Und natürlich lassen sich auf zentral verwaltete vPLCs erheblich leichter Updates aufspielen als auf ihre physikalischen Pendants irgendwo im Schaltschrank. So werden Anlagen resilienter gegen Cyberangriffe.
Virtualisierung von Safety-SPS
EU-Verordnungen und nationale Gesetze fordern eine Absicherung potenziell gefährlicher Maschinen und Anlagen zum Schutz des Menschen für den gesamten Lebenszyklus durch konstruktive Maßnahmen sowie sichere Steuerungstechnik. Die IEC 61508 als Basisnorm definiert dazu unter anderem Grundbegriffe und allgemeine Aspekte für den Einsatz elektronischer Steuerungen in Maschinen und Anlagen. Abhängig von der Gefährdungslage müssen Hersteller von Systemen mit Gefährdungspotenzial ihre Produkte anhand von Sicherheitsanforderungsstufen ("Safety Integrity Level" von SIL1 bis SIL4) freigeben lassen – inklusive aller eingesetzten Komponenten sowie sicherer Steuerungsapplikationen. Stationäre Maschinen mit SIL3 benötigen zwei unabhängige Abarbeitungskanäle für die Steuerungsapplikation. Bislang mussten dafür zertifizierte, zweikanalige Hardwaresysteme eingesetzt werden. Mittlerweile geht das auch per Software. In dem seit mehr als 30 Jahren bekannten Verfahren Coded Processing wird die sichere SPS-Applikation über eine spezielle Datentransformation mit dem sogenannten Diversified Encoding in zwei unabhängige Kanäle aufgeteilt. Vergleiche und Überprüfungen von Daten- und Kontrollfluss, sicheren Eingaben sowie Datenströmen von Netzwerk- und Feldbusprotokollen erlauben eine sichere Erkennung potenzieller Fehler. Dieses Konzept erreicht das gleiche Sicherheitsniveau wie zweikanalige Hardware. Somit sind auch sichere virtuelle Steuerungen (vSafePLCs) einsetzbar.
Waren die ersten Produkte mit Coded Processing Anfang der 2000er Jahre noch zu langsam für industrielle Anwendungen, eignen sie sich heute mit wesentlich leistungsfähigeren Prozessoren und optimierten Software-Algorithmen hervorragend dafür. Ein solches System ist zwar langsamer als ohne Transformation, aber nur um den Faktor 5 bis 15. Gleichzeitig sorgt der Wegfall von Synchronisationspunkten sowie CPU- und Speichertests für eine erhebliche Entlastung des Prozessors im Gegensatz zu diskreten Sicherheitssteuerungen. Und weil das Verfahren hardwareunabhängig ist, kann man bei Bedarf jederzeit auf eine leistungsstärkere Rechnerarchitektur ausweichen, was bei physikalischen Sicherheitssteuerungen ausgeschlossen ist.
Nutzung von vPLCs und vSafePLC
Nutzt man beides, funktionale und sichere Steuerungen virtualisiert im Container, so hat man den doppelten Effekt. Eine vPLC wie Codesys Virtual Control SL bringt bereits eine neue Flexibilität – allein schon durch die Freiheiten bei der darunter liegenden Hardware und der unabhängigen Instanziierung darauf. Codesys Virtual Safe Control SL deckt zusätzlich die Safety-Funktion ab. Für das Coded Processing wurde der patentierte SIListra Safety Transformer integriert. vSafePLCs lassen sich ebenfalls beliebig oft und feingranular aufsetzen – auf den gleichen Plattformen wie die vPLCs. Auch hier erfolgt der E/A-Zugriff über Ethernet-Protokolle in Echtzeit. Für sicherheitskritische Anwendungen stehen mit Profisafe (F-Host / F-Client) und FSoE (Fail Safe over EtherCAT) abgesicherte Protokolle zur Verfügung, die direkt im Codesys Development System projektiert werden.
Auf dem Zielsystem aufsetzen und verwalten ("orchestrieren") lassen sich virtuelle Steuerungen mit IT-Tools oder einfach mit dem im Codesys Development System enthaltenen Add-on Deploy Control SL. Die virtuellen Steuerungen sind im vorbereiteten Image enthalten. Für sichere Applikationen steht ein zusätzliches Image mit integrierter vSafePLC bereit. Um die Aufteilung in die beiden unabhängigen Kanäle sowie die Abarbeitung und Überwachung der Sicherheitsapplikation kümmert sich das System automatisch im Hintergrund. Die Programmierung der funktionalen und sicheren Applikationen erfolgt direkt im Codesys Development System, typischerweise in einem einzigen Projekt. So lassen sich Daten zwischen beiden PLCs einfach austauschen. Den rein funktionalen Teil erweitert ein zusätzliches, zertifiziertes Add-on mit sicherem IEC-61131-3-Editor für die Safety-Applikation. Ein vom TÜV Süd abgenommenes Verfahren überwacht den Download des erzeugten Codes auf die virtuelle Sicherheitssteuerung. Die Administration von virtuellen funktionalen und sicheren Steuerungen ist somit weitgehend einheitlich.
Hinsichtlich der Sicherheitsabnahme nach der Maschinenrichtlinie ist das Vorgehen mit vSafePLCs identisch mit physikalischen Safety-SPS. Mit dem Unterschied, dass jetzt keine zertifizierte Safety-Hardware mehr erforderlich ist. Der TÜV Süd hat bereits im Januar 2025 die Basissoftware von Codesys Virtual Safe Control SL für Anwendungen nach SIL3 für x86-basierte Architekturen zertifiziert – explizit unabhängig von der ausführenden Hardware. Für Mitte dieses Jahres ist sogar eine Erweiterung auf ARM-basierte Systeme vorgesehen. Somit bietet Codesys Virtual Safe Control SL Herstellern und vor allem Betreibern von Maschinen und Anlagen zusätzliche Freiheit – jetzt sogar für sicherheitskritische Anwendungen. In Kfz-Produktionslinien werden die virtuelle Steuerungen Codesys Virtual Control und Codesys Virtual Safe Control bereits erfolgreich eingesetzt.
vPLCs im Bereich Motion CNC Robotik
Selbst zeitkritische Applikationen mit koordinierten Verfahrbewegungen lassen sich mit virtuellen Steuerungen realisieren. In Tools wie Codesys projektierte Motion-Anwendungen werden mit Hilfe von Servo-Antrieben abgearbeitet, die per Feldbus angesprochen werden, typischerweise EtherCAT. Nutzt man vPLCs als SPS, lassen sich damit auch Motion-Controller virtualisieren und innerhalb einer Software abarbeiten. Selbst längere Distanzen zwischen der Zielhardware und den Antrieben beispielsweise in Robotern oder Portalsystemen lassen sich per Ethernet überbrücken. vPLCs auf sehr weit entfernten Servern lassen sich per Lichtwellenleichter (LWL) und entsprechende Umsetzer anbinden. Kurz vor der Serienreife steht ein integrierter Schaltkreis (ASIC) der Firma Missing Link Electronics, der mehrere Protokolle bündelt und verlustfrei überträgt. Ein patentiertes Verfahren tunnelt die Daten derart, dass alle Eigenschaften und Informationen des ursprünglichen Systems erhalten bleiben. Das bedeutet, dass damit auch funktional sichere Protokolle wie FSoE oder Profisafe genutzt werden können. Wichtig für User von Motion- und SPS-Systemen wie Codesys ist, dass sich im Gegensatz zu anderen LWL-Systemen die Bedienung und Konfiguration durch diese Art des Datentunnelns nicht ändern. Der Schaltkreis verhält sich wie eine normale Ethernetkarte im System.
Virtuelle Steuerungen bringen zahlreiche Vorteile und lassen sich für die unterschiedlichsten Anwendungsbereiche nutzen, auch in Safety-Projekten und komplexen Motion-Applikationen. Sämtliche Anforderungen werden hardwareunabhängig in Software gelöst. Dabei ändert sich die Nutzung im Vergleich zu physikalischen Steuerungen nicht, weil mit Tools wie Codesys eine übergreifende Projektierungsplattform zur Verfügung steht. Letztlich liegt es an Unternehmen, diese neuen Möglichkeiten selbst zu testen und deren Potenzial auszuschöpfen.












