Auch der klassische Maschinenbau verlangt zunehmend nach Hochverfügbarkeit durch ausfallsichere, redundant aufgebaute Komponenten. Denn in Zeiten immer knapperer Kalkulationen schlägt sich ein Produktionsstillstand schnell im Gewinn nieder.
Daher lohnt es sich oft, Sensoren, Aktoren und I/O-Module sowie Feldbus- oder Netzwerkleitungen redundant auszulegen. Dabei sind die Kosten der Redundanz der Wahrscheinlichkeit und den Folgekosten eines Komponentenausfalls gegenüberzustellen. Das Herz einer redundanten Automatisierung ist die Steuerung, deren Ausfall die folgenschwersten Auswirkungen verursacht.
B&R setzt auf Standardsteuerungen
Die Basis für die Redundanzlösung von B&R bilden die Standardsteuerungen der X20-Baureihe, die eine nachträgliche Konfiguration der Ausfallssicherheit in der Software-Umgebung Automation Studio ermöglichen. Eine Steuerung dient als prozessführende aktive CPU, die andere läuft nicht-prozessführend im inaktiven Modus. Eine kontinuierliche Überwachung aller Netzwerkfunktionen sorgt dafür, dass die zweite Steuerung die Funktion der aktiven CPU im Ernstfall ohne erneutes Booten übernehmen kann.
Während der inaktiven Phase ist die nicht-prozessführende CPU jedoch keineswegs untätig:
- Zum einen ist sie durch die Querverkehrsfähigkeit des Feldbusses Powerlink in der Lage, den gesamten Datenverkehr mitzuhören und damit auch das Synchronisierungssignal der prozessführenden CPU zu überwachen, um ohne Verzögerung auf deren Ausfall zu reagieren.
- Zum anderen tauscht sie mit dieser über einen Redundanz-Link per Lichtwellenleiter (LWL) ständig Daten aus, um taktaktuell auf dem neuesten Stand zu sein. Wenn im Fehlerfall eine Steuerung ausgetauscht werden muss, wird diese anschließend automatisch synchronisiert.
Einfach zwischen redundant und nicht-redundant wechseln
Die LWL-Schnittstelle (Lichtwellenleiter) stellt Redundanz-Interfacemodule her. Durch diese funktioniert die Redundanzlösung mit Standardsteuerungen. Dies gibt dem Anwender außerdem die Möglichkeit, ein System mit geringen Änderungen wahlweise mit oder ohne CPU-Redundanz auszuführen.
Die I/O-Module werden über die Feldbusse Powerlink oder Profibus betrieben. Die Projektierung erfolgt ohne zusätzliches Werkzeug in der Software. Wie bisher projektieren Anwender nur eine Hardware. Projekte mit CPU-Redundanz unterscheiden sich lediglich durch die Deklaration der CPU als redundante Einheit, die auch nachträglich vorgenommen werden kann, sowie durch zusätzliche Eingaben zur Konfiguration von Kommunikationsparametern oder Ausfallkriterien.
Alle weiteren Einstellungen werden durch Aufruf der entsprechenden Funktionen von der Engineering-Software selbständig ergänzt. Abweichend vom Systemvorschlag lassen sich Prozessvariablen und Bibliotheken auch einzeln als redundant oder nicht-redundant definieren.
Phoenix Contact mit 80 km Reichweite und OPC-Server-Aktualisierung
Auch die Steuerung RFC 460R PN 3TX von Phoenix Contact bietet die Möglichkeit, Anwendungen von der Leitebene bis zu den I/O-Baugruppen durchgängig hochverfügbar auszulegen. Dazu werden zwei Remote Field Controller über ein LWL-Kabel miteinander verbunden. Um die optischen Verbindungen an die Steuerungen anzukoppeln, stehen drei verschiedene SFP-Module (Small Form-Factor Pluggable) zur Verfügung, die eine Übertragungsreichweite bis 80 km ermöglichen.
Die in die Geräte integrierte sogenannte Autosync Technology baut automatisch eine Verbindung zwischen den Steuerungen auf, über die alle Konfigurationsdaten sowie die Projektinformationen ausgetauscht werden. Darüber hinaus werden vor jedem SPS-Zyklus sämtliche zu synchronisierenden Variablen von der prozessführenden Steuerung auf den im Standby befindlichen Controller übertragen.
Sollte durch den Ausfall einer SPS ein Umschalten auf das zweite Gerät erforderlich sein, übernimmt die Backup-Steuerung sofort die Prozessführung. Wenn der defekte Controller ausgewechselt wird, sorgt die Autosync-Technologie dafür, dass die neue SPS die notwendigen Konfigurationsdaten und das Applikationsprogramm erhält, ohne dass der Installateur dies am Gerät einstellen muss. So ist der Standby-Zustand schnell erreicht und die Verfügbarkeit der Anwendung wieder gegeben. Die Steuerung verfügt über zwei voneinander getrennte Netzwerk-Interfaces mit insgesamt drei RJ45-Ports. Auf diese Weise lassen sich Leit- und Feldebene voneinander trennen.
Anwender kann mehrere Redundanz-Mechanismen nutzen
Die I/O-Ebene wird über Profinet angebunden. Der Anwender kann so auf unterschiedliche Netzwerkredundanz-Mechanismen zurückgreifen. Die meisten Lösungen setzen eine Ringstruktur voraus, damit die restlichen Geräte bei Ausfall einer Komponente weiterhin miteinander kommunizieren können. Die Feldgeräte müssen in der Lage sein, zwei AR (Application Relation) zum redundanten Steuerungspaar zu etablieren. Die primäre AR wird zur prozessführenden SPS gehalten und die Backup-AR zum Controller, der sich im Standby-Modus befindet. Die Profinet-Spezifikation V2.3 beschreibt genau diese Funktionalität und sorgt dafür, dass I/O-Stationen verschiedener Hersteller unterhalb eines Steuerungssystems verwendet werden können, das sich aus einem redundanten Steuerungs-Paar zusammensetzt.
Die Steuerung lässt sich, wie alle Steuerungen von Phoenix Contact, mit dem Engineering-Tool PC Worx parametrieren und programmieren. Der Anwender sieht jedoch nur eine Steuerung in seiner Busstruktur. Soll ein Projekt auf die SPSen heruntergeladen werden, überprüft PC Worx zuvor, welcher der beiden Controller prozessführend ist und speichert das Projekt auf diesem Gerät. Der Backup-Steuerung werden die Daten sofort von der prozessführenden SPS über die Synchronisations-Schnittstelle weitergeleitet, ohne dass der Projekteur dies aktivieren muss. So ist sichergestellt, dass auf beiden Steuerungen stets das gleiche Projekt läuft.
Einfache Diagnose ins Scada-System integrieren
Mit dem in PC Worx integrierten Diagnoseprogramm Diag+ lässt sich das redundante System nach einem Fehler diagnostizieren. Dazu wird die Seite ‚Redundanz-Information‘ geöffnet und automatisch eine Verbindung sowohl zur prozessführenden als auch zur Backup-Steuerung aufgebaut, deren Zustände ausgelesen werden. Darüber hinaus kann der Anwender über Schaltflächen Einfluss auf das System nehmen und Fehler quittieren.
Die Diagnose-Software lässt sich auch als Active-X-Komponente in andere Programme einfügen, zum Beispiel in ein überlagertes Scada-System. Dies hat den Vorteil, dass der Anwender das redundante Steuerungssystem ohne Einsatz eines zusätzlichen Programms auch aus der Leitwarte diagnostizieren kann. Die gleichen Diagnose-Funktionen sind auf dem Diagnose-Display der Steuerungen verfügbar. Dies ermöglicht eine komplette Vor-Ort-Diagnose. Denn sämtliche Meldungen werden im Klartext angezeigt und lassen sich hier bei Bedarf auch quittieren.
Nach dem Ausfall einer Steuerung muss die Maschine oder Anlage jederzeit manuell via Leitsystem beeinflussbar sein, um in kritischen Situationen eingreifen zu können. Leitsysteme lassen sich über herstellerspezifische OPC-Server, die eine standardisierte Schnittstelle bieten, an die Steuerungen ankoppeln. Zu diesem Zweck hat Phoenix Contact seinen OPC-Server um die entsprechende Funktion erweitert. Sollte es zu einer Umschaltung zwischen den Steuerungen kommen, erkennt der OPC-Server dies innerhalb weniger Millisekunden und nutzt nur noch die Daten der neuen prozessführenden SPS.
Variable Anschlussmöglichkeiten bei Siemens
Das redundante Steuerungssystem S7-400H von Siemens besteht aus zwei Zentralbaugruppen. Im redundanten Betrieb sind die Anwenderprogramme in beiden CPUs identisch hinterlegt und werden Ereignis-synchron bearbeitet. Mit dem Baugruppenträger UR2-H ist der Aufbau von zwei getrennten Teilsystemen mit je neun Steckplätzen möglich. Er eignet sich für die Montage in 19″-Schränken.
Alternativ kann der Anwender das Steuerungssystem auch auf zwei separaten Baugruppenträgern aufbauen. Hierzu stehen die Baugruppenträger UR1 oder UR2 zur Verfügung. Zur Kopplung der beiden Zentralbaugruppen dienen auch bei Siemens Synchronisationsmodule. Sie werden in die Zentralbaugruppen eingebaut und über Lichtwellenleiter miteinander verbunden. Es gibt zwei Typen von Synchronisationsmodulen. Der eine Typ eignet sich für Abstände bis zu 10 m zwischen den beiden CPUs, der andere für Systemkonfigurationen mit bis zu 10 km Abstand. In einem System müssen vier Synchronisationsmodule vom jeweils gleichen Typ zum Einsatz kommen.
Alle CPUs verfügen über fünf Schnittstellen: eine Profibus-DP-Schnittstelle, eine MPI-/Profibus-DP-Schnittstelle, zwei Schnittstellen zum Aufnehmen der Synchronisationsmodule und eine Profinet-Schnittstelle mit Zwei-Port-Switch. Via Profibus sind der einseitige Anschluss (normal verfügbar) oder der geschaltete Anschluss (erhöht verfügbar) möglich. Mit Profinet steht der einseitige Anschluss (normal verfügbar) oder der systemredundante Anschluss mit offenem Ring zur Verfügung. Profibus- und Profinet-Konfigurationen lassen sich miteinander kombinieren. In einem offenen Ring erhöht sich außerdem die Verfügbarkeit, wenn Geräte angeschlossen werden, die Profinet-I/O-System-Redundanz unterstützen.
Gewohnte Projektierung
Die Projektierung und Programmierung in Step7 unterscheidet sich gegenüber den Standardsystemen nicht. Hochverfügbare Verbindungen müssen nur projektiert werden, eine spezifische Programmierung ist nicht notwendig. Sämtliche Kommunikationsfunktionen, die für den Betrieb der hochverfügbaren Kommunikation erforderlich sind, enthält das Betriebssystem der Steuerung und laufen automatisch und verdeckt ab, zum Beispiel das Überwachen der Kommunikationsverbindung oder das automatische Umschalten auf eine redundante Verbindung bei einer Störung.
Mit den integrierten Selbstdiagnosefunktionen erkennt und meldet das System Fehler, bevor sie sich auf den Prozess auswirken. Das ermöglicht einen gezielten Austausch fehlerhafter Komponenten und verkürzt so Reparaturzeiten. Alle Komponenten lassen sich im laufenden Betrieb austauschen. Beim Tausch einer CPU wird die neue automatisch mit allen aktuellen Programmen und Daten nachgeladen. Auch Programmänderungen (zum Beispiel das Ändern und Nachladen von Bausteinen), Konfigurationsänderungen (zum Beispiel das Hinzufügen oder Entfernen von DP-Slaves oder Baugruppen) und Änderung der Speicherbestückung der CPU sind im laufenden Betrieb möglich.
Die Sache mit der Umschaltzeit
Auf die Anwendung kommt es an
Ein heikles Thema bei redundanten Systemen allgemein und somit auch bei redundanten Steuerungen ist die Umschaltzeit: Ihre Dauer entscheidet darüber, wie lange eine Anlage quasi im Blindflug läuft. Das Problem dabei ist, dass die Zeiten je nach Anwendung variieren können. B&R legt sich trotzdem folgendermaßen fest: „Die Umschaltzeit der CPU-Redundanz mit B&R-Systemen liegt im Bereich von ein bis zwei Task-Klassen am I/O-Bus – also nur wenige Millisekunden.“ Phoenix Contact spricht von weniger als 50 ms. Siemens gibt auf Nachfrage „einige Millisekunden (maximal 30 ms)“ an. Diese Werte beziehen sich laut Redaktionsinformationen aber auf Best-Case-Szenarien.
Sie möchten gerne weiterlesen?
Unternehmen
Bernecker + Rainer Industrie-Elektronik Ges.m.b.H
B&R Strasse 1
5142 Eggelsberg
Austria