- IT&Production - https://www.it-production.com -

Doppelt genäht hält besser

Redundante Steuerungskonzepte

Doppelt genäht hält besser

Bei einer Jeans sorgen doppelte Nähte für 'bessere Verfügbarkeit': Wenn die erste Naht reißt, sorgt die zweite Naht dafür, dass die Hose hält und es nicht zu ungewünschten Ausfallerscheinungen kommt. Das gleiche Prinzip – redundantes, also doppeltes Auslegen der notwendigen Elemente – wird auch zur Erhöhung der Verfügbarkeit von Automatisierungsanlagen eingesetzt.

Anbindung hochverfügbarer Steuerungen an ein PRP-Netzwerk. Bild: Siemens

Man stelle sich eine Anwendung in einem Arbeitsumfeld vor, in welchem Hochverfügbarkeit und Ausfallsicherheit der Teilnehmer und Kommunikation unter den Teilnehmern oberstes Gebot ist. Das Ziel kann dabei sein, das Anlagenpersonal und auch die Anlage selbst vor Schaden zu schützen, oder dafür zu sorgen, dass die Versorgung des Endabnehmers zum Beispiel mit Strom unterbrechungsfrei gewährleistet werden kann – oder ein Produktionsprozess, der einfach nicht unterbrochen werden darf, da sonst das Endprodukt Schaden nimmt, zum Beispiel bei der Nahrungsmittel- oder Medikamentenherstellung. Die Hauptforderung lautet also, die Anlage hochverfügbar auszulegen. Das bedeutet, dass der Betrieb mit einer Wahrscheinlichkeit von mehr als 99 Prozent gewährleistet wird – die Anlage muss also weiterlaufen, auch wenn ein Bagger ein Kabel durchgetrennt hat, ein unachtsamer Mitarbeiter eine Verbindung löst oder ein Netzteilnehmer wegen Überlastung plötzlich ausfällt. Die Anlage muss aber auch weiterlaufen, wenn ein PC in der Warte, eine Baugruppe in der Steuerung, oder gar eine Station ausfällt. Hier greifen Redundanzmechanismen, etwa in Form funktionsgleicher Ressourcen, die für den durchgehenden Betrieb auch im Falle einer Störung vorgehalten werden.

Die Steuerung als zentraler Hochverfügbarkeitsbaustein

Herzstück der Anlage ist die Steuerung, die über ein Netzwerk mit weiteren Teilnehmern, wie zum Beispiel anderen Steuerungen oder Leitwartenrechnern kommuniziert. Um Personal, Anlage und Materialen zu schützen, darf die Steuerung nicht ausfallen. Auch aus wirtschaftlichen Gründen müssen Stillstandzeiten beziehungsweise Wiederanlaufkosten vermieden werden. Eine Möglichkeit, die Anlage im Fehlerfall am Laufen zu halten, sind auch hier Redundanzmechanismen – also das doppelte Auslegen der Steuerung. Man spricht hier von einem hochverfügbaren System: Um die Ausfallwahrscheinlichkeit im Fehlerfall zu minimieren, muss das System eine stoßfreie Umschaltung und integrierte Fehlererkennung bieten, bevor der Fehler sich auf den Prozess auswirken kann. Es muss möglich sein, während des Betriebs defekte Komponenten auszutauschen oder Konfigurationsänderungen vorzunehmen. Bei Wiederkehr des regulären Betriebszustandes sollte es zudem einen automatischen Ereignisabgleich geben. Nicht zuletzt muss auch die Kommunikation redundant ausgelegt sein, etwa durch Unterstützung von parallelen Netzwerken.

Beide Stationen eines hochverfügbaren Systems laufen parallel neben einander her. Dabei übernimmt eine Station die Aufgabe eines ‚Masters‘ und kommuniziert mit den entsprechenden Teilnehmern, zum Beispiel einem anderen Hochverfügbarkeitssystem (H-System) oder einem PC im Netzwerk über ein eigenes, meist herstellerspezifisches Protokoll. Die beiden Stationen im H-System überwachen sich gegenseitig. Fällt die Master-Seite aus, übernimmt automatisch die zweite Seite deren Aufgabe und die Kommunikation. Für diesen Aufgabenbereich bietet Siemens mit der Steuerung Simatic S7-400H einen hochverfügbaren Controller an, um die Wahrscheinlichkeit eines Produktionsausfalls zu minimieren. Die Steuerung besteht aus zwei identisch aufgebauten Stationen, von denen eine die Masterfunktion übernimmt. Über ein Synchronisationskabel werden ständig die Daten zwischen beiden Stationen abgeglichen, so dass beide Stationen die gleichen Daten halten. Im Fehlerfall, wenn der Master ausfällt, werden die Aufgaben zur Prozesssteuerung automatisch von der Partnerstation übernommen.



Mit der Integration der Kommunikationsprozessoren der Scalance RNA-Reihe führt Siemens erstmals eine Lösung im Portfolio, um PRP-Funktionalität in die Steuerung zu integrieren. Der Einsatz externer Switches wird somit überflüssig. Bild: Siemens

Höhere Sicherheit durch parallele Netzwerkauslegung

Aber auch das Netzwerk zwischen den Teilnehmern darf nicht ausfallen. Wie erwähnt besteht in vielen Anlagen die Forderung, dass auch im Fehlerfall keine Unterbrechung der Kommunikationswege auftreten darf. Die Kommunikation muss also ’stoßfrei‘ weiter funktionieren. Analog zur Jeansnaht der werden dazu die Kommunikationswege doppelt ausgelegt. Das bedeutet, es werden zwei physikalisch getrennte Netze – LAN ‚A‘ und LAN ‚B‘ – zwischen den Geräten aufgebaut. Der Sender überträgt das Telegramm über zwei unabhängige Schnittstellen gleichzeitig auf beide Netze. Das Redundanzprotokoll des Empfängers sorgt dann dafür, dass nur eines der beiden Telegramme durchgeleitet wird. Wenn nur ein Telegramm ankommt, ‚weiß‘ der Empfänger, dass es auf der anderen Datenleitung zu einem Ausfall kam und kann dieses entsprechend weitermelden. Die Endgeräte in einem Netzwerk müssen dazu allerdings das Parallel Redundancy Protocol (PRP) unterstützen.

PRP ist als allgemein gültiger Standard in der IEC 62439-3 und seit dem Jahr 2012 in der beschriebenen Funktion verfügbar: PRP verwendet zwei unabhängige Netzwerke mit beliebiger Topologie und unterschiedlichen Strukturen. Die Geräte im Netzwerk können das PRP-Protokoll nicht auswerten, nur Sender und Empfänger können die entsprechenden Informationen verarbeiten. Durch die Dopplung der Telegramme im Netz liegt der große Vorteil von PRP in der Nutzung von parallelen Übertragungswegen, um Umschaltzeit im Fehlerfall zu vermeiden. PRP bietet somit die höchstmögliche Verfügbarkeit – solange nicht beide Netzwerke gleichzeitig Ausfälle zeigen. Zur Erfüllung dieser Anforderung nach paralleler Datenübertragung bietet der Münchner Technologiekonzern unter dem Begriff ‚Redundant Network Access‘ (RNA) mehrere Produkte an, die unter anderem auch das PRP-Protokoll unterstützen:

Anbindung der Steuerung an ein PRP-fähiges Netzwerk

Zusammen mit dem Kommunikationsprozessor können die Steuerungen damit auch direkt an ein paralleles Netzwerk mit Unterstützung des PRP-Protokolls angebunden werden. Die bisherige Lösung des Technologieanbieters sah vor, dass der Steuerung eine sogenannte Redbox – zum Beispiel ein industrietauglicher managed Switch – vorgeschaltet war. Steuerung und Redbox wurden dann mit einer Stichleitung verbunden. Diese Stichleitung konnte nicht redundant ausgelegt werden. Beim Ausfall der Stichleitung wäre damit die Station nicht mehr erreichbar. Mit Einsatz des aktuellen Kommunikationsprozessors CP 443-1 RNA in der Steuerung konnte diese Lücke geschlossen werden: Die Lösung ermöglicht Netzredundanz ohne Rekonfigurationszeit sowie Stationsredundanz mit den standardmäßigen Rekonfigurationszeiten eines H-Systems, die unter 100 Millisekunden liegen.

Redundanz auf kritische Komponenten beschränken

Bei kritischen oder zeitkritischen Prozessen können Anlagenstillstände oder Produktionsausfälle von nur wenigen Stunden bereits hohe Kosten verursachen. Wegen der höheren Investitionskosten bei PRP sollte nur der Teil des Netzwerks redundant ausgelegt werden, der für die Kommunikation bei kritischen Prozessen genutzt wird, also für Anlagenteile, in denen

Auf diese Weise kann der gezielte Einsatz von redundante PRP-System eine wirtschaftliche Lösung für Anlagen darstellen, bei denen Hochverfügbarkeit oder Ausfallsicherheit unabdingbar sind.