Redundante Steuerungskonzepte
Doppelt genäht hält besser
Bei einer Jeans sorgen doppelte Nähte für 'bessere Verfügbarkeit': Wenn die erste Naht reißt, sorgt die zweite Naht dafür, dass die Hose hält und es nicht zu ungewünschten Ausfallerscheinungen kommt. Das gleiche Prinzip - redundantes, also doppeltes Auslegen der notwendigen Elemente - wird auch zur Erhöhung der Verfügbarkeit von Automatisierungsanlagen eingesetzt.
Man stelle sich eine Anwendung in einem Arbeitsumfeld vor, in welchem Hochverfügbarkeit und Ausfallsicherheit der Teilnehmer und Kommunikation unter den Teilnehmern oberstes Gebot ist. Das Ziel kann dabei sein, das Anlagenpersonal und auch die Anlage selbst vor Schaden zu schützen, oder dafür zu sorgen, dass die Versorgung des Endabnehmers zum Beispiel mit Strom unterbrechungsfrei gewährleistet werden kann - oder ein Produktionsprozess, der einfach nicht unterbrochen werden darf, da sonst das Endprodukt Schaden nimmt, zum Beispiel bei der Nahrungsmittel- oder Medikamentenherstellung. Die Hauptforderung lautet also, die Anlage hochverfügbar auszulegen. Das bedeutet, dass der Betrieb mit einer Wahrscheinlichkeit von mehr als 99 Prozent gewährleistet wird - die Anlage muss also weiterlaufen, auch wenn ein Bagger ein Kabel durchgetrennt hat, ein unachtsamer Mitarbeiter eine Verbindung löst oder ein Netzteilnehmer wegen Überlastung plötzlich ausfällt. Die Anlage muss aber auch weiterlaufen, wenn ein PC in der Warte, eine Baugruppe in der Steuerung, oder gar eine Station ausfällt. Hier greifen Redundanzmechanismen, etwa in Form funktionsgleicher Ressourcen, die für den durchgehenden Betrieb auch im Falle einer Störung vorgehalten werden.
Die Steuerung als zentraler Hochverfügbarkeitsbaustein
Herzstück der Anlage ist die Steuerung, die über ein Netzwerk mit weiteren Teilnehmern, wie zum Beispiel anderen Steuerungen oder Leitwartenrechnern kommuniziert. Um Personal, Anlage und Materialen zu schützen, darf die Steuerung nicht ausfallen. Auch aus wirtschaftlichen Gründen müssen Stillstandzeiten beziehungsweise Wiederanlaufkosten vermieden werden. Eine Möglichkeit, die Anlage im Fehlerfall am Laufen zu halten, sind auch hier Redundanzmechanismen - also das doppelte Auslegen der Steuerung. Man spricht hier von einem hochverfügbaren System: Um die Ausfallwahrscheinlichkeit im Fehlerfall zu minimieren, muss das System eine stoßfreie Umschaltung und integrierte Fehlererkennung bieten, bevor der Fehler sich auf den Prozess auswirken kann. Es muss möglich sein, während des Betriebs defekte Komponenten auszutauschen oder Konfigurationsänderungen vorzunehmen. Bei Wiederkehr des regulären Betriebszustandes sollte es zudem einen automatischen Ereignisabgleich geben. Nicht zuletzt muss auch die Kommunikation redundant ausgelegt sein, etwa durch Unterstützung von parallelen Netzwerken. Beide Stationen eines hochverfügbaren Systems laufen parallel neben einander her. Dabei übernimmt eine Station die Aufgabe eines 'Masters' und kommuniziert mit den entsprechenden Teilnehmern, zum Beispiel einem anderen Hochverfügbarkeitssystem (H-System) oder einem PC im Netzwerk über ein eigenes, meist herstellerspezifisches Protokoll. Die beiden Stationen im H-System überwachen sich gegenseitig. Fällt die Master-Seite aus, übernimmt automatisch die zweite Seite deren Aufgabe und die Kommunikation. Für diesen Aufgabenbereich bietet Siemens mit der Steuerung Simatic S7-400H einen hochverfügbaren Controller an, um die Wahrscheinlichkeit eines Produktionsausfalls zu minimieren. Die Steuerung besteht aus zwei identisch aufgebauten Stationen, von denen eine die Masterfunktion übernimmt. Über ein Synchronisationskabel werden ständig die Daten zwischen beiden Stationen abgeglichen, so dass beide Stationen die gleichen Daten halten. Im Fehlerfall, wenn der Master ausfällt, werden die Aufgaben zur Prozesssteuerung automatisch von der Partnerstation übernommen.
Höhere Sicherheit durch parallele Netzwerkauslegung
Aber auch das Netzwerk zwischen den Teilnehmern darf nicht ausfallen. Wie erwähnt besteht in vielen Anlagen die Forderung, dass auch im Fehlerfall keine Unterbrechung der Kommunikationswege auftreten darf. Die Kommunikation muss also 'stoßfrei' weiter funktionieren. Analog zur Jeansnaht der werden dazu die Kommunikationswege doppelt ausgelegt. Das bedeutet, es werden zwei physikalisch getrennte Netze - LAN 'A' und LAN 'B' - zwischen den Geräten aufgebaut. Der Sender überträgt das Telegramm über zwei unabhängige Schnittstellen gleichzeitig auf beide Netze. Das Redundanzprotokoll des Empfängers sorgt dann dafür, dass nur eines der beiden Telegramme durchgeleitet wird. Wenn nur ein Telegramm ankommt, 'weiß' der Empfänger, dass es auf der anderen Datenleitung zu einem Ausfall kam und kann dieses entsprechend weitermelden. Die Endgeräte in einem Netzwerk müssen dazu allerdings das Parallel Redundancy Protocol (PRP) unterstützen. PRP ist als allgemein gültiger Standard in der IEC 62439-3 und seit dem Jahr 2012 in der beschriebenen Funktion verfügbar: PRP verwendet zwei unabhängige Netzwerke mit beliebiger Topologie und unterschiedlichen Strukturen. Die Geräte im Netzwerk können das PRP-Protokoll nicht auswerten, nur Sender und Empfänger können die entsprechenden Informationen verarbeiten. Durch die Dopplung der Telegramme im Netz liegt der große Vorteil von PRP in der Nutzung von parallelen Übertragungswegen, um Umschaltzeit im Fehlerfall zu vermeiden. PRP bietet somit die höchstmögliche Verfügbarkeit - solange nicht beide Netzwerke gleichzeitig Ausfälle zeigen. Zur Erfüllung dieser Anforderung nach paralleler Datenübertragung bietet der Münchner Technologiekonzern unter dem Begriff 'Redundant Network Access' (RNA) mehrere Produkte an, die unter anderem auch das PRP-Protokoll unterstützen:
- • Scalance X204 RNA: Ein managed Switch zum Anschluss von bis zu zwei nicht PRP-fähigen Endgeräten oder Netzsegmenten an zwei parallele Netze
- • Scalance X204 RNA EEC mit der gleichen Funktionalität wie Scalance X204 RNA, jedoch zusätzlich der Möglichkeit eines optischen Anschlusses
- • Ruggedcom RS950: Ein robuster Switch zum Anschluss von nicht PRP-fähigen Endgeräten oder Netzsegmenten an zwei parallelen Netzen
- • Simatic Net Softnet-IE RNA: Software zum Anschluss eines PC an zwei parallele Netzwerke mittels PRP-Protokoll
- • Simatic Net CP 443-1 RNA: Ein aktueller Kommunikationsprozessor zur Anbindung einer Simatic-Station S7-400 oder S7-400H an zwei parallele Netzwerke mittels PRP-Protokoll
- • Siprotec-Multifunktionsgeräte konzipiert für den Schutz, die Automatisierung, Messung und Überwachung von Hoch- und Mittelspannungsnetzen. Sie ermöglichen unter anderem eine redundante Datenübertragung im Netzwerk mittels PRP-Protokoll
Anbindung der Steuerung an ein PRP-fähiges Netzwerk
Zusammen mit dem Kommunikationsprozessor können die Steuerungen damit auch direkt an ein paralleles Netzwerk mit Unterstützung des PRP-Protokolls angebunden werden. Die bisherige Lösung des Technologieanbieters sah vor, dass der Steuerung eine sogenannte Redbox - zum Beispiel ein industrietauglicher managed Switch - vorgeschaltet war. Steuerung und Redbox wurden dann mit einer Stichleitung verbunden. Diese Stichleitung konnte nicht redundant ausgelegt werden. Beim Ausfall der Stichleitung wäre damit die Station nicht mehr erreichbar. Mit Einsatz des aktuellen Kommunikationsprozessors CP 443-1 RNA in der Steuerung konnte diese Lücke geschlossen werden: Die Lösung ermöglicht Netzredundanz ohne Rekonfigurationszeit sowie Stationsredundanz mit den standardmäßigen Rekonfigurationszeiten eines H-Systems, die unter 100 Millisekunden liegen.
Redundanz auf kritische Komponenten beschränken
Bei kritischen oder zeitkritischen Prozessen können Anlagenstillstände oder Produktionsausfälle von nur wenigen Stunden bereits hohe Kosten verursachen. Wegen der höheren Investitionskosten bei PRP sollte nur der Teil des Netzwerks redundant ausgelegt werden, der für die Kommunikation bei kritischen Prozessen genutzt wird, also für Anlagenteile, in denen
- • ein Produktionsausfall von wenigen Stunden hohe wirtschaftliche Schäden nach sich ziehen könnte.
- • kritische, zeitaufwendige Prozesse gefahren werden, die nicht unterbrochen werden dürfen
- • das Personal Schaden nehmen könnte, wenn die Automatisierung ausfällt
Auf diese Weise kann der gezielte Einsatz von redundante PRP-System eine wirtschaftliche Lösung für Anlagen darstellen, bei denen Hochverfügbarkeit oder Ausfallsicherheit unabdingbar sind.
Bei einer Jeans sorgen doppelte Nähte für 'bessere Verfügbarkeit': Wenn die erste Naht reißt, sorgt die zweite Naht dafür, dass die Hose hält und es nicht zu ungewünschten Ausfallerscheinungen kommt. Das gleiche Prinzip - redundantes, also doppeltes Auslegen der notwendigen Elemente - wird auch zur Erhöhung der Verfügbarkeit von Automatisierungsanlagen eingesetzt.
Man stelle sich eine Anwendung in einem Arbeitsumfeld vor, in welchem Hochverfügbarkeit und Ausfallsicherheit der Teilnehmer und Kommunikation unter den Teilnehmern oberstes Gebot ist. Das Ziel kann dabei sein, das Anlagenpersonal und auch die Anlage selbst vor Schaden zu schützen, oder dafür zu sorgen, dass die Versorgung des Endabnehmers zum Beispiel mit Strom unterbrechungsfrei gewährleistet werden kann - oder ein Produktionsprozess, der einfach nicht unterbrochen werden darf, da sonst das Endprodukt Schaden nimmt, zum Beispiel bei der Nahrungsmittel- oder Medikamentenherstellung. Die Hauptforderung lautet also, die Anlage hochverfügbar auszulegen. Das bedeutet, dass der Betrieb mit einer Wahrscheinlichkeit von mehr als 99 Prozent gewährleistet wird - die Anlage muss also weiterlaufen, auch wenn ein Bagger ein Kabel durchgetrennt hat, ein unachtsamer Mitarbeiter eine Verbindung löst oder ein Netzteilnehmer wegen Überlastung plötzlich ausfällt. Die Anlage muss aber auch weiterlaufen, wenn ein PC in der Warte, eine Baugruppe in der Steuerung, oder gar eine Station ausfällt. Hier greifen Redundanzmechanismen, etwa in Form funktionsgleicher Ressourcen, die für den durchgehenden Betrieb auch im Falle einer Störung vorgehalten werden.
Siemens AG
Dieser Artikel erschien in IT&PRODUCTION Juni 2014 - 11.06.14.Für weitere Artikel besuchen Sie www.it-production.com