Mit der Entwicklung eines TFT-basierten SIL3 HMIs löst das IconTrust®-Konzept von Deuta den seit Langem bestehenden Konflikt zwischen starren, hardwarebasierten, sicherheitsrelevanten Benutzeroberflächen und modernen, ergonomischen Anforderungen. Denn menschliches Versagen in der Prozessindustrie ist selten zufällig, sondern resultiert aus dem Zusammenspiel komplexer Systeme, unklarer Informationen und unzureichender Benutzerführung. Typische Fehler reichen von einfachen Fehlbedienungen bis hin zu falschen Entscheidungen unter Stress.
Ein entscheidender Einflussfaktor ist die Qualität der Bedienterminals: Unstrukturierte Anzeigen erhöhen die kognitive Last, fehlende Systemkenntnisse erschweren die Bewertung von Alarmen und statische Bedienelemente verhindern eine kontextbezogene und sprachangepasste Unterstützung. In sicherheitskritischen Situationen kann dies dazu führen, dass selbst gut ausgelegte Bediensysteme unwirksam werden. Moderne Human-Factors-Ansätze fordern daher Bedienterminals, die aktiv zur Fehlervermeidung beitragen, statt lediglich Informationen darzustellen.
Grenzen klassischer hartverdrahteter Sicherheits-HMIs
Konventionelle Sicherheits-HMIs basieren auf fest verdrahteten Komponenten, beispielsweise Leuchten, Tastern und Wahlschaltern. Diese Architektur bietet zwar deterministisches Verhalten und eine hohe Diagnoseabdeckung, hat jedoch auch erhebliche Nachteile:
- Fehlende Kontextsensitivität: Alle Bedienelemente sind dauerhaft sichtbar – unabhängig vom aktuellen Anlagenzustand. Bediener müssen selbst entscheiden, welche Elemente relevant sind.
- Hohe kognitive Belastung: Komplexe Zustände werden oft durch einfache Signale (z. B. eine einzelne Lampe) repräsentiert, was Interpretationsspielräume eröffnet.
- Eingeschränkte Ergonomie: Dynamische Visualisierung, Benutzerführung oder geführte Abläufe sind nicht realisierbar.
- Hoher Engineering- und Wartungsaufwand: Verdrahtung, Tests und Änderungen sind komplex, fehleranfällig und kostenintensiv.
Vor diesem Hintergrund gewinnen ergonomisch gestaltete, kontextbezogene, TFT-basierte Human-Machine-Interfaces (HMIs) zunehmend an Bedeutung. Sie bieten effektive Möglichkeiten, vorhandene Komplexität zu strukturieren, indem sie relevante Informationen selektiv darstellen, Benutzer intuitiv über grafische Elemente durch Interaktionen führen und sich dynamisch an den aktuellen Anlagenzustand sowie die jeweilige Benutzerrolle anpassen.
Trotz dieser Vorteile war der Einsatz solcher Systeme in sicherheitskritischen Anwendungen bislang eingeschränkt. Insbesondere die Realisierung von Funktionen mit einer Sicherheits-Integritätsstufe von SIL3 stellte eine erhebliche Herausforderung dar. Dies gilt insbesondere für Anwendungen, die eine hohe Diagnoseabdeckung sowie eine ausgeprägte Robustheit gegenüber Ausfällen durch gemeinsame Ursachen erfordern – Anforderungen, die mit klassischen TFT-basierten HMI-Konzepten lange Zeit nicht zuverlässig erfüllt werden konnten.
Denn speziell in sicherheitskritischen Anwendungsszenarien ist es erforderlich, potenziell gefährliche Aktionen systemseitig einzuschränken, zwingende Bestätigungsschritte vorzusehen und den Bediener bei der Rückführung aus abnormalen Betriebszuständen gezielt zu unterstützen. Konventionelle, hardwarebasierte Sicherheits-HMIs stoßen hierbei jedoch an ihre funktionalen Grenzen, da sie die Implementierung eines derart differenzierten und kontextsensitiven Verhaltens nur eingeschränkt ermöglichen.
Voraussetzungen der Hardwarearchitektur
Hardwareseitig ist die konsequente architektonische Trennung zwischen einem sicherheitszertifizierten Kern und einem nicht sicherheitsrelevanten Frontend, die gemeinsam in einem integrierten HMI integriert sind, die Voraussetzungen für digitale funktionale Sicherheit. Sämtliche sicherheitsgerichteten Funktionen – darunter die Verifikation angezeigter sicherheitskritischer Informationen sowie die Validierung von Benutzereingaben für sicherheitsrelevante Aktionen – sind in einem dedizierten Sicherheitsbereich gekapselt. Dieser Bereich ist gemäß IEC 61508 bis zur Sicherheits-Integritätsstufe SIL3 bewertet und zertifiziert. Der nicht sicherheitsrelevante Teil übernimmt hingegen die Bereitstellung der grafischen TFT-basierten Benutzeroberfläche, die Kommunikation mit übergeordneten Systemen sowie die für moderne, ergonomische HMI-Konzepte erforderliche funktionale Flexibilität.
Diese klare funktionale Entkopplung verfolgt zwei zentrale Zielsetzungen. Zum einen wird die Sicherheitsintegrität des Gesamtsystems wirksam von Änderungen im nichtsicherheitskritischen Bereich isoliert. Nach erfolgter Bewertung und Validierung bleibt der Sicherheitskern in seiner Auslegung und seinem Verhalten unverändert, sodass Anpassungen an Visualisierung, Kommunikationsschnittstellen oder Cybersecurity-Mechanismen keinen Einfluss auf die sicherheitsgerichteten Funktionen haben. Zum anderen eröffnet die Trennung die Möglichkeit, im nicht sicherheitsrelevanten Bereich etablierte industrielle IT- und HMI-Technologien einzusetzen. Dadurch können Benutzerfreundlichkeit, Systemleistung und Schutzmechanismen gegen Cyberbedrohungen kontinuierlich weiterentwickelt werden, ohne die Zertifizierungsbasis des sicherheitskritischen Systemteils zu gefährden.
Funktionsweise IconTrust® HMI
Die sichere IconTrust®-Technologie überwacht definierte Bereiche des TFT-Displays und unterscheidet zwischen gültigen und ungültigen Informationen. Auf dem IconTrust® HMI können sicherheitsrelevante Anzeige- und Bedienelemente wie Leuchtmelder, Taster oder Texte in kürzester Zeit auf Ihrer Bedienoberfläche angelegt werden. Als Web-Editor kann ein Standard-Browser wie beispielsweise Chromium, Edge oder Firefox genutzt werden. Es ist keine weitere Konfigurationsdatei erforderlich. Die auf dem IconTrust® HMI dargestellten Felder lassen sich über eine Weboberfläche leicht und flexibel editieren. Diese zeigt zentral eine Live-Vorschau der HMI-Konfiguration. Eine Vorschau direkt auf dem IconTrust® HMI ist ebenfalls jederzeit möglich.
IconTrust® überwacht die Anzeige- und Eingabebereiche unabhängig voneinander. Bei Abweichungen löst IconTrust® eine sicherheitsgerichtete Reaktion aus. In jedem Bildwiederholzyklus wird für jeden einzelnen Bereich das angezeigte Bild analysiert und mit dem Wert der jeweiligen Eingangsgröße verglichen.
Ein zentraler Vorteil des TFT-basierten IconTrust® HMIs liegt in seiner Fähigkeit, Informationen kontextabhängig und mehrstufig darzustellen – abgestimmt auf den aktuellen Betriebsmodus, den jeweiligen Anlagenbereich und die Benutzerrolle. Im Gegensatz zu klassischen Bedienfeldern mit festen Leuchten und Schaltern zeigt das IconTrust® HMI nur die für die jeweilige Aufgabe relevanten Elemente an, während nicht zutreffende oder potenziell riskante Optionen ausgeblendet oder deaktiviert werden können. Dadurch werden visuelle Überlastung und kognitive Belastung reduziert und die Bediener können sich auf die wirklich wichtigen Informationen und Handlungen konzentrieren. Im Normalbetrieb kann die HMI beispielsweise Prozessübersichten und Leistungskennzahlen in den Vordergrund stellen, während sicherheitskritische Steuerelemente zwar zugänglich bleiben, jedoch unauffällig im Hintergrund angeordnet sind. In Ausnahmesituationen, wie bei einem hochpriorisierten Alarm, könnte die Benutzeroberfläche die Darstellung reorganisieren, sodass der betreffende Alarm, die relevanten Prozesswerte und empfohlene Handlungsoptionen unmittelbar sichtbar werden. Diese dynamische Anpassung optimiert sowohl die Organisation der Benutzeroberfläche als auch den Detaillierungsgrad der Informationen in Abhängigkeit von der Aufgabenanforderung und unterstützt so ein verbessertes Situationsbewusstsein.
IconTrust® HMI kann strukturierte Arbeitsabläufe für sicherheitsrelevante Vorgänge implementieren, bei denen Benutzer definierte Schritte befolgen, Voraussetzungen bestätigen und relevante Informationen überprüfen müssen, bevor sie kritische Befehle ausführen. Der Sicherheitsbereich kann diese Abläufe durchsetzen, indem er Eingabemuster validiert und versuchte Abkürzungen ablehnt, die erforderliche Prüfungen umgehen würden.
Auf dem IconTrust® HMI lassen sich safety-relevante Alarme in Farbcodierung, Symbolik und Positionierung einfach konfigurieren. Die Priorität kann nicht nur durch die Farbe, sondern auch durch Sortierung, Gruppierung und die den verschiedenen Alarmen zugewiesene Bildschirmfläche dargestellt werden. Zusätzliche Informationen wie detaillierte Fehlerbeschreibungen, Handlungsanweisungen, First-Out-Anzeigen und zugehörige Prozesstrends können dargestellt werden, ohne dass separate Systeme erforderlich sind. Dadurch ist der Bediener in der Lage, kausale Zusammenhänge zu verstehen und die richtige erste Maßnahme schneller zu ermitteln. Da der Sicherheitsbereich sowohl die Alarminformationen als auch die Reaktionen des Benutzers validiert, kann das System sicherstellen, dass Quittierungen und Rücksetzungen sicherheitsrelevanter Alarme auf kontrollierte Weise ausgeführt werden. So kann die HMI beispielsweise verlangen, dass der Bediener einen bestimmten Alarmdetailbildschirm aufruft, wichtige Prozessvariablen überprüft und bestätigt, dass die Bedingungen wieder innerhalb der Grenzwerte liegen, bevor ein Sicherheits-Reset akzeptiert wird. Dieses Design geht weit über das hinaus, was mit einfachen Quittierungstasten möglich ist, und verbessert somit sowohl die Sicherheit als auch die Zuverlässigkeit des Bedieners.
Industrielle Kommunikation und Integration
Das IconTrust® HMI nutzt bewährte industrielle Standardkommunikationsprotokolle – insbesondere PROFINET und PROFIsafe –, um eine nahtlose Integration in bestehende Automatisierungsarchitekturen zu ermöglichen. Dadurch ist die Kompatibilität mit den gängigen SPS-Plattformen und Sicherheitssteuerungen, wie sie in der Prozessindustrie weit verbreitet sind, gewährleistet. Sicherheitskritische Signale werden über PROFIsafe innerhalb des PROFINET-Netzwerks übertragen. Dadurch wird eine durchgängige und zuverlässige Sicherheitskommunikation zwischen der Sicherheits-SPS und der HMI-Sicherheitsdomäne gewährleistet.
Aus anlagentechnischer Sicht reduziert die Nutzung eines einzigen Ethernet-Kabels für die Geräteanbindung den Verkabelungsaufwand deutlich und vereinfacht die Installation im Vergleich zu herkömmlichen Panel-Lösungen. Über diese physikalische Schnittstelle lassen sich sowohl sicherheitskritische als auch nicht sicherheitsrelevante Informationen übertragen. Logische Trennungen und Sicherheitsmechanismen auf Protokoll- und Geräteebene sorgen dabei für die notwendige Integrität. Das Konzept unterstützt modulare Anlagenarchitekturen und erleichtert spätere Erweiterungen oder Anpassungen der HMI-Funktionalität, ohne die bestehende Sicherheitsinfrastruktur zu beeinträchtigen.
Lebenszyklusmanagement und Cybersicherheit
Die Trennung in Sicherheits- und Nicht-Sicherheitsdomänen bietet wesentliche Vorteile für das Lebenszyklusmanagement im Kontext der Cybersicherheit. Da industrielle Steuerungssysteme zunehmend mit Netzwerken und externen Diensten verbunden sind, erfordern sie regelmäßige Updates, Patching und moderne Mechanismen zur Angriffserkennung.
Der Übergang von hardwarezentrierten, statischen Bedienkonzepten zu konfigurierbaren, softwarebasierten und sicherheitszertifizierten TFT-HMIs eröffnet zusätzliche Potenziale hinsichtlich Fehlerminimierung, Wartbarkeit und Cybersicherheitsresilienz. Gleichzeitig folgt diese Entwicklung dem allgemeinen Trend in sicherheitskritischen Systemen, bei dem Human Factors Engineering zunehmend integraler Bestandteil der Systemauslegung ist. Insgesamt leisten sicherheitszertifizierte TFT-HMIs einen wesentlichen Beitrag zur Reduzierung von Risiken durch menschliche Faktoren und zur Verbesserung der Bedienqualität. Sie sind somit ein wichtiger Baustein für einen sicheren und zugleich effizienten Anlagenbetrieb.
