Von Rolf Hafner

Originäre Aufgabe einer jeden Safety-Lösung ist es, den Prozess zum Schutz von Mensch, Maschine und Umwelt automatisch in den sicheren Zustand zu führen. Damit ist es heute allerdings nicht mehr getan: Damit das Sicherheitssystem seinen Beitrag zur Verbesserung der Profitabilität einer Prozessanlage beitragen kann, ist die Optimierung der Verfügbarkeit des Sicherheitssystems an sich eine wesentliche Voraussetzung. So gilt es, Störungen durch Bedienungsfehler zu reduzieren beziehungsweise ganz zu vermeiden, Einschränkungen bei Änderungen oder Erweiterungen der Anlage zu eliminieren und nicht zuletzt die für notwendige Wartungsarbeiten am System anfallenden Zeiten zu minimieren. Rein rechnerisch hängt die Verfügbarkeit des Sicherheitssystems im Wesentlichen von zwei Größen ab: zum einen von der MTTF (mean time to failure) und somit von der Fehlerrate; zum anderen von der MTTR (mean time to repair), also der Reparaturzeit im Fehlerfall. Der Wert der Fehlerrate eines Systems oder einer elektronischen Baugruppe ist letztlich auf die einzelnen Fehlerraten der elektronischen Bauteile zurückzuführen, welche mit der Erhöhung der Umgebungstemperatur drastisch steigen (10 °C Temperaturerhöhung halbiert die Lebensdauer). Der Anwender kann hier nur bedingt Einfluss nehmen, indem er beispielsweise für „vernünftige“ maximale Umgebungsbedingungen sorgt, die meist zwischen 50 und 60 °C definiert sind. Für höhere Umgebungsbedingungen sind bei den elektronischen Schaltungen spezielle Bauelemente bereits im Design vorzusehen. Damit ist die Funktion bei höheren Temperaturen zwar gewährleistet; jedoch bleibt – und dies ist den Anwendern oft nicht bewusst – die Abhängigkeit der Lebensdauer der Bauelemente von der Temperatur mit gleicher Gesetzmäßigkeit weiterhin bestehen.

neue Safety-Plattform Himax unterstützt bis zu 6400 E/A-Punkte pro System.

Aber selbst wenn alles richtig spezifiziert, dimensioniert und ausgeführt wurde, haben die Baugruppen eines Sicherheitssystems eine begrenzte Lebensdauer und werden irgendwann ausfallen.

Tritt der Reparaturfall ein – aus welchen Gründen auch immer –, ist die hierfür benötigte Zeit ein bestimmender Faktor in punkto Profitabilität der Anlage. Zwar werden Störungsbeseitigungen in den Sicherheitssteuerungen in der Regel von speziell dafür ausgebildetem Wartungspersonal durchgeführt; dennoch kann auch ein noch so erfahrener Wartungsspezialist im Stressfall eigene Fehler nicht ganz vermeiden. Insbesondere dann, wenn das Sicherheitssystem nur äußerst selten bedient und gewartet wird oder nur selten Störungen zu beseitigen sind. Ergo muss es die Aufgabe eines bedienfreundlichen Sicherheitssystems sein, den Wartungsspezialisten durch hinreichende Diagnose-Anzeigen zu informieren, ihn durch intuitive Bedienungsphilosophien zu führen und gegebenenfalls Aktionen zu verhindern oder zu tolerieren, die zu einer Störung des Sicherheitssystems führen können.

Im Himax-System sind diesbezüglich entsprechende Funktionen vorgesehen wie

• störungsfreier Austausch aller Module im laufenden Anlagenbetrieb,
•   automatische Fehlererkennung und Anzeige auf jedem Modul,
• getrennte Feldanschluss- und Modulebene zur Vermeidung von Fehlern beim Austausch defekter Module,
• mechanischer Schutz gegen Stecken falscher Module,
• „Self-Education“-Funktion der Prozessormodule (ein defektes Prozessormodul wird einfach ausgetauscht; kein Nachladen des Anwenderprogramms erforderlich), sein neues Konfigurationstool, genannt „SILworX“, welches über eine vollintegrierte Konfigurations-, Programmier- und Diagnose-Umgebung verfügt, die Fehler frühzeitig erkennt oder erst gar nicht entstehen lässt.

Die XMR-Architektur ermöglicht Lösungen mit frei konfigurierbarer und modularer Mehrfach-Redundanz.

Profitabilität heißt aber nicht nur, dass sich das System schnell und einfach reparieren lassen muss. Mindestens ebenso wichtig ist, dass die Architektur der Safety-Lösung ein flexibles Redundanzkonzept unterstützt. Die Firma Hima beispielsweise hat diesbezüglich bei ihrem aktuellen Himax-System die neuartige XMR-Architektur implementiert. XMR steht für „x-fach modulare Redundanz“ wobei „x“ jeden Wert zwischen 1 und 4 annehmen kann. Das Besondere dabei: Die Architektur ist nicht – wie heute vielfach noch üblich – starr vorgegeben, sondern frei konfigurierbar. Das heißt: Der Anwender kann zum Beispiel nur eine Eingangskarte, eine Ausgangskarte und eine CPU nutzen – natürlich in SIL 3. Wenn mehr Verfügbarkeit vonnöten ist, steckt er je nach Anforderung entweder eine weitere CPU oder auch eine weitere Eingangskarte sowie eine weitere Ausgangskarte hinzu. Dies ermöglicht es dem Anwender, die Redundanz einzelner Module frei auf die Anforderung seiner Prozesse abzustimmen: Redundanzen werden nur dort und in dem Maße eingesetzt, wie sie wirklich erforderlich sind. Das spart Investitionskosten und ermöglicht gleichzeitig eine Verfügbarkeit von mehr als 99,9999 %.

Neuartige Lösungen

Ein solches Konzept der modularen Redundanz schafft auch die Voraussetzungen für neuartige Lösungen zum Schutz vor umgebungsbedingten „Common-Cause“-Fehlern. Bei einem solchen „systematischen Mehrfachausfall“ werden – bedingt durch den konstruktiven Aufbau des Systems – durch einen einzigen Fehler beide Kanäle eines redundanten Systems abgeschaltet. Ein Beispiel: Zwei Netzteile versorgen ein System und die Netzteile sind nicht hinreichend rückwirkungsfrei, so dass ein Kurzschluss des einen Netzteils auch das zweite Netzteil abschaltet. Um insbesondere solche Common-Cause-Fehler, die durch das System nicht beeinflussbar sind, zu verhindern, ist letztlich ein vollständig redundantes System in einem anderen Raum erforderlich. Führt also etwa ein Brand oder Wasserschaden in einem Kontrollraum zum Ausfall kritischer Komponenten des Sicherheitssystems, so setzt ein zweites, vollständig redundantes Sicherheitssystem physisch getrennt in einem anderen Kontrollraum den sicheren Betrieb fort und hält den Prozess ungestört voll funktionsfähig.

Diagnose-Anzeigen auf jedem Modul erleichtern die rasche Fehlerbehebung

Das Problem bei zwei parallel verschalteten Sicherheitssystemen ist der Synchronisations-Aspekt. Das heißt: Es ist sicherzustellen, dass sich beispielsweise das „System 1“ nicht im „Schritt 5 – Brenner im Betrieb“ befindet, während das „System 2“ aus diversen Gründen noch im „Schritt 2 – Vorbelüftung des Brennraums“ verweilt. Negativer Effekt wäre, dass beide Systeme unterschiedliche Ventile auffahren würden! Oder es tritt der Fall ein, dass ein System wegen einer Hardware-Störung ausfällt. Auch hier stellt sich die Frage: Wie bekomme ich das eine System wieder in den gleichen Schritt wie das andere? Diese Problematik besteht übrigens unabhängig davon, ob zwei einkanalige oder zwei redundante Systeme parallel laufen. Himax löst das Synchronisationsproblem durch das Betriebssystem und unterstützt diesbezüglich bis zu vier CPUs, die sich untereinander synchronisieren.

Das System wurde bereits vom Ansatz her so konzipiert, dass keine designbedingten Common-Cause-Fehler entstehen können. Unter anderem sorgt eine rückwirkungsfreie, redundante 24-V-Spannungsversorgung auf jedem Modul dafür, dass eine mögliche Störung im Spannungsversorgungsbereich eines Moduls keinen Einfluss auf die Funktion anderer Module hat. Ähnlich der rückwirkungsfreien Spannungsversorgung, ist auch im Hinblick auf das interne Ethernet-Netzwerk eine Rückwirkungsfreiheit gewährleistet. Das heißt: Durch zwei getrennte Systembusmodule werden redundante, völlig unabhängige, sternförmige Netzwerke zu den einzelnen Systembaugruppen realisiert. Eine Beeinflussung einer dieser Modul-Verbindungen durch eine andere ist somit ausgeschlossen.

Ändern und Testen ohne abzuschalten

Ist eine verfahrenstechnische Anlage erst einmal hinsichtlich der Produktion optimiert, hängt die Wirtschaftlichkeit und die Profitabilität wesentlich auch von den Wartungs- und Änderungsarbeiten zur weiteren Optimierung des Prozesses ab. In der Praxis kommt es immer wieder vor, dass Anlagen heruntergefahren werden müssen, weil dringende Änderungen am Sicherheitssystem auf der Hardware- wie auf der Software-Seite durchzuführen sind und das Sicherheitssystem dies nicht ausreichend online unterstützt. Meist müssen diese Änderungen dann in die Abschaltphasen der Prozessanlage während des regelmäßigen Wartungszyklusses verschoben werden.

Moderne Safety-Plattformen gehen auch in diesem Punkt neue Wege: Ziel muss es sein, sicherheitsrelevante Korrekturen im Sicherheitssystem möglichst umgehend durchführen zu können. Die hierzu erforderliche Funktionalität ist bereits zu Beginn der Entwicklung im Design der Sicherheitssteuerung vorzusehen, damit ein System entsteht, das keine Einschränkungen hinsichtlich der Änderbarkeit im laufenden Betrieb kennt – angefangen bei einfachen bis komplexen Programmänderungen über das Hinzufügen oder Löschen von Hardware-Modulen jeglicher Art bis hin zum Hinzufügen oder Entfernen vollständig neuer System-Racks.

Hardware-Module im laufenden Betrieb zu stecken oder zu ziehen, ist natürlich schon lange kein Problem mehr. Zur Reparatur eines Moduls ist dieses – sofern ein redundantes Modul im System vorhanden ist – jederzeit austauschbar, ohne den Betrieb zu stören. Die Schwierigkeit besteht vielmehr darin, neue Module, die im Zuge einer Anlagenänderung oder -erweiterung hinzukommen, in der Software zu integrieren und das neue Programm so in die Sicherheitssteuerung zu laden, dass eine „stoßfreie“ Übernahme der neuen Konfiguration gewährleistet ist. Das ist nur möglich, wenn das Betriebssystem und an manchen Stellen auch die Hardware dies zulassen. Nicht zuletzt müssen sich alle Betriebssysteme online updaten oder upgraden lassen.

Obschon gute Sicherheitssysteme einen Diagnosedeckungsgrad von 99,99 % erreichen, kann auch das beste Safety-System keine absolute Sicherheit gewähren beziehungsweise nicht alle Fehler aufdecken. Die Norm schreibt deshalb vor, dass innerhalb eines bestimmten Zeitintervalls ein regelmäßiger 100-%-Test, die so genannte Wiederholungsprüfung, durchzuführen ist. Typisch für Sicherheitssysteme ist hierbei ein Zeitintervall von zehn Jahren. Im Rahmen der Wiederholungsprüfung werden alle Fehler, die aufgetreten sind und nicht durch die Diagnose aufgedeckt wurden, entdeckt und können beseitigt werden.

In punkto Bedienbarkeit wartet das neue Safety-Konzept mit einer IEC-61131-3-konformen, intuitiven Bedienoberfläche mit vollgrafischer Drag-&-Drop-Programmierung und Offline-Simulation auf.

In der Regel findet diese Prüfung im Rahmen eines ausführlichen Tests in der Produktion des Systemherstellers statt. Abhängig vom Diagnosedeckungsgrad ist es alternativ möglich, die Prüfung durch intensive Testroutinen beim Einschalten des Sicherheitssystems durchzuführen. In beiden Fällen kann dies aber das Abschalten des Sicherheitssystems bedeuten.

Neue Sicherheitssysteme mit sehr hohem Diagnose-Anteil können hierauf verzichten. Sicherheitstechnisch vom TÜV bescheinigt, sind die Anforderungen einer Wiederholungsprüfung dann erfüllt, wenn – wie bei dem neuen Sicherheits-Konzept von Hima der Fall – die verschiedenen „Safety Instrumented Functions“ (SIF) zusammen mit dem Sicherheitssystem geprüft wurden.

Sind redundante Sensoren und Aktoren angeschlossen, ist auch diese Prüfung ohne Abschaltung des Prozesses durchführbar – ganz im Sinne eines möglichst langen unterbrechungsfreien Betriebes.

Der Performance-Aspekt

Während der Verfügbarkeits-Aspekt von Sicherheitslösungen zunehmend in den Fokus der Anwender rückt, schenken diese – speziell wenn es um zeitlich unkritische Prozesse geht – dem Thema „Performance“ vergleichsweise wenig Gehör. Dabei ist die Performance eines Safety-Systems nicht nur dazu nötig, den Prozess möglichst schnell in den gefahrlosen Zustand zu überführen. Sie lässt sich vielmehr auch dahingehend nutzen, die Effizienz der Prozessanlage zu steigern beziehungsweise kritische Prozesse mit sich permanent verändernden Prozessvariablen näher an den Grenzbereich zu fahren. Basis für eine derartige dynamische Prozesssteuerung durch das Sicherheitssystem ist die Integration von mathematischen Modellen; und dies erfordert eben höchste Performance hinsichtlich der Bearbeitungsgeschwindigkeit. In Zahlen und anhand der neuen Hima-Lösung ausgedrückt heißt das beispielsweise: 50 ms Zykluszeit bei 1000 EA-Punkten, Berechnung von 1000 PID-Regler in weniger als 5 ms und die Zeitstempel-Erfassung in 1 ms. Zum Vergleich: Typische Zykluszeiten derzeitiger Systeme liegen bei 150 bis 250 ms.

Autor

Rolf Hafner ist Leiter Produktmanagement bei Hima, Brühl.