Not-Aus mit Feldbussen?

PROZESSSTEUERUNGEN - Bis vor etwas mehr als zwei Jahren erlaubte die Europäische Norm EN60204 für die Übermittlung sicherheitsgerichteter Signale nur kontaktbehaftete Technik - das Not-Aus über ein Bussystem galt als Illusion und war verboten. Nach der Überarbeitung der Norm dürfen die sicherheitsgerichteten Signale heute jedoch in Logik verarbeitet und mit Datenverarbeitungstechnik übertragen werden. Für den Praktiker bleiben dennoch viele Fragen offen.

17. Juli 2002

Ideal wäre es, wenn Maschinen und Anlagen so sicher wären, daß eine Not-Aus-Funktion gar nicht gebraucht würde. Mit diesen Worten eröffnete Prof. Heinz Domeisen die Tagung „Not-Aus mit Feldbussen?“, die im Herbst 2001 an der Hochschule für Technik im schweizerischen Rapperswil stattfand. Veranstaltet wurde der Kongreß von der Informationstechnischen Gesellschaft (ITG) des Schweizerischen Elektrotechnischen Vereins (SEV). Im Grunde gehöre das Not-Aus nicht einmal zu den Sicherheitsfunktionen, weil es meist zu spät betätigt wird, gab Domeisen zu Bedenken.

Geregelt ist die Not-Aus-Funktion in der Europäischen Norm EN 418: Die Betätigung des Not-Aus muß immer verfügbar sein und Vorrang haben vor allen anderen Befehlen. Sie muß die Gefahr möglichst abwenden. Zudem darf die Funktion die Wirksamkeit anderer Sicherheitseinrichtungen nicht beeinträchtigen und keine zusätzliche Gefährdung hervorrufen. Betroffene Personen müssen immer befreit werden können. Nach der Rücknahme des Befehls darf kein Wiederanlauf ausgelöst werden.

Die juristischen Grundlagen von Sicherheitsnormen erklärte Dr. Peter Kocher, Sicherheitsingenieur bei der Schweizerischen Unfallversicherungsanstalt (SUVA): In den Industrieländern werde allgemein angestrebt, in den gesetzlichen Vorschriften international harmonisierte Normen anzuwenden, trug er vor. In Bereichen, wo solche nicht existieren, seien die anerkannten Regeln der Technik anzuwenden. Bei der Risikoanalyse für eine Maschine oder Anlage muß auch deren Steuerung berücksichtigt werden, insbesondere die sicherheitsrelevanten Bereiche. Der Gesetzgeber davon aus, daß die grundlegenden Sicherheitsanforderungen erfüllt sind, wenn beim Bau einer Maschine oder Anlage harmonisierte Normen beachtet werden. Wenn es dabei nicht möglich ist, harmonisierte Normen anzuwenden, muß der Hersteller selbst nachweisen, daß die Sicherheitsanforderungen erfüllt sind.

Für sicherheitsrelevante Steuerungskreise sieht die Normung derzeit immer noch Hardwarelösungen vor. Bei klassischen Sicherheitskomponenten muß jeder sicherheitsrelevante Kontakt über zum Teil längere Strecken mit dem Not-Aus-Gerät verbunden werden. Bei höheren Sicherheitskategorien verdoppelt sich der Aufwand für die Verkabelung noch einmal, weil hier bei einem Fehler die Sicherheitsfunktion nicht verloren gehen darf.

Seit etwa zweieinhalb Jahren verlangt die Neufassung der Europäischen Norm EN60204 nicht mehr, sicherheitsgerichtete Signale über kontaktbehaftete Technik zu verarbeiten. Statt dessen ist jetzt erlaubt, diese auch in Logik zu verarbeiten und über Datenverarbeitungssysteme zu übertragen.

Sicherheitslösungen auf Feldbus-Basis bieten eine Reihe von Vorteilen. Am auffälligsten sind der erheblich geringere Verkabelungsaufwand und die kleineren Schaltschränke: Die Systeme benötigen keine Kabelbäume, Stopfbuchsen und Rangierklemmen sowie keine abgesetzten Klemmenkästen. Dazu kommt jedoch die Möglichkeit, bei Maschinenvarianten oder nachträglichen Modifikationen nur die Software zu ändern und diese von einer autorisierten Prüfinstitution vorschriftsmäßig abnehmen zu lassen.

Bei etlichen Herstellern hat die Entwicklung von sicherheitsgerichteten Bussystemen bereits konkrete Formen angenommen. Dabei kristallisieren sich vor allem zwei Entwicklungsrichtungen heraus: einerseits eigenständige (proprietäre) Systeme sowie andererseits sicherheitsgerichtete Erweiterungen handelsüblicher Feldbusse. Zu den proprietären Bussysteme zählen beispielsweise SafetyBUS p oder Esalan; Beispiele für Standard-Bussystemen sind etwa Profibus DP (Profisafe), Interbus Safety, Advant Fieldbus oder AS-i Safety at Work.

Flexibel mit proprietären Systemen

Für Siegfried Wolf, Produktmanager bei der Elan Schaltelemente GmbH in Wettenberg, bieten vor allem proprietäre Sicherheits-Bussysteme eine Reihe von Vorteilen: So erreichen sie aufgrund des Multi-Master-Prinzips kurze Reaktionszeiten und erlauben es, sowohl zentrale als auch dezentrale Steuerungskonzepte zu realisieren. Zudem lassen sich die Sicherheitsschaltkreise oft schon konzipieren, bevor das Fabrikat der Maschinensteue-rung bekannt ist. Durch diese unabhängige Inbetriebnahmephase gewinnt der Anlagenbauer sehr viel Flexibilität. Der Einsatz einer proprietären Sicherheitslösung verkürzt zudem die gesamte Engineeringzeit für eine Anlage: Die klare Trennung des Steuerungskonzepts von der übrigen Anlage lassen ermöglicht die parallelen und damit gleichzeitige Planung. Weitere Vorteile einer proprietären Lösung sind:

- Die Softwarestruktur ist einfach und klar zuzuordnen.

- Schutz- und Systemfunktionen sind autonom und lassen sich ebenso autonom in Betrieb nehmen und testen.

- Verantwortlichkeiten sind klar definiert und Störungen lassen sich schnell lokalisieren. Dies erleichtert Systemanpassungen wesentlich, da sie ohne Beeinflussung der Sicherheitsfunktionen vorgenommen werden können.

Die Sicherheits-Feldbussteuerung „Esalan“ von Elan ist für Kategorie 4 gemäß EN 954-1 zertifiziert und arbeitet mit serieller Signalübertragung. Dabei kann das System auf 400 Meter Leitungslänge bis zu 64 Busteilnehmer bedienen. Die Leitungslänge läßt sich bis auf 2000 Meter erweitern, zur Verfügung stehen 512 sichere Ein- und Ausgänge, an denen handelsübliche Sensoren und Aktoren angeschlossen werden können. Die Hardware besteht aus einer einkanaligen Busleitung, die mit Statusmeldungen im Zehn-Millisekunden-Takt hochdynamisch überwacht ist. Für die CAN-spezifische Erkennung von Übertragungsfehlern dient unter anderem der CRC-Check. Außerhalb der Busleitung arbeitet das System mit zweikanaligen Strukturen, welche die Hardwareredundanz sicherstellen: Eingänge und Ausgänge sind intern zweikanalig aufgebaut, bei Differenzen in der Übertragung erfolgt die Abschaltung. Die Sensoren werden jeweils über zwei Klemmen angeschlossen. Auch die Software ist redundant ausgelegt und zudem diversitär: Die beiden redundanten Softwaresysteme wurden also von verschiedenen Personen programmiert, um eventuelle Programmierfehler zu verhindern. Systeminformationen tauschen die Prozessoren über einen internen Link aus, sicherheitsrelevante Funktionen sind in einem permanenten Speicher (Eprom) abgelegt. Die für dieses System spezifische Abschalttabelle stellt eine maximale Systemreaktionszeit von 15 Millisekunden sicher.

Verteilte Sicherheitstechnik

Die Anforderungen an eine dezentrale Automatisierung der Sicherheitsfunktionen erläuterte Dr. Wolfgang Stripf, Systemtechniker und Chairman Profibus bei der Siemens AG in Karlsruhe: Das System muß flexibel genug sein, um Produktvarianten und Produktionsfehler unterscheiden zu können. Dazu kommen hohe Verfügbarkeit der Systeme und Feldgeräte, sichere Kommunikation, „intelligente Failsafe-Feldgeräte, Failsafe-Systemsupport, ein durchgängiges Engineering und die gleichartige Bedienbarkeit. Das Komponentenmodell Profisafe strebt eine möglichst große Unabhängigkeit von System- und Komponentenherstellern an, es ist kein ASIC, sondern Software. Um möglichst viele Anwendungsfelder zu erschließen, haben sich Partnerschaften gebildet, die detailliert in den Bereichen Antriebe, Mensch-Maschine-Schnittstelle, Robotik oder Sensorik entwickeln.

Beim SafetyBUS p arbeitet die Sicherheitssteuerung getrennt von der Anlagensteuerung, erläutert Dr. Hans-Thomas Fritzsche, Vorstand des Safety-BUS p Club International e. V. in Ostfildern. Dieser Bus überträgt sicherheitsgerichtete Daten seriell und ist bis Kategorie 4 nach EN 954-1 einsetzbar. Komplexe, „intelligente“ Feldgeräte lassen sich direkt integrieren. Das Multi-Master-System ist mit linearer Bustopologie auf der Basis von CAN aufgebaut. Es arbeitet ereignisorientiert, das heißt, Nachrichten werden nur dann gesendet, wenn sich der Zustand an den zentralen oder dezentralen I/Os oder an den Busteilnehmern geändert hat. Damit eignet sich das System besonders gut zur Vernetzung von Anlagen mit unterschiedlicher Meldehäufigkeit. Mit der hohen Übertragungsrate von bis zu 500 kBit/s bewältigt es auch zeitkritische Anwendungen wie etwa Lichtgitterfunktionen. Der gegenüber der Hardwarevernetzung deutlich reduzierte Verkabelungsaufwand geht noch weiter zurück, wenn in einer größeren Anlage mehrere Sicherheitssteuerungen miteinander vernetzt werden müssen.

Im Unterschied zu einer normalen Steuerung arbeiten in dieser Sicherheitssteuerung drei Kanäle parallel, die immer dasselbe Ergebnis liefern müssen, sonst erfolgt die Abschaltung. In umfangreichen Anlagen wie zum Beispiel in der Automobilindustrie lassen sich bis zu 32 Gruppen aus nicht notwendigerweise zusammenwirkenden Schutzbereichen vernetzen. Dabei ist es durchaus möglich, daß im konkreten Fall nur diejenigen Schutzbereiche abgeschaltet werden, bei denen ein Fehler aufgetreten ist, die übrigen Bereiche der Anlage sind weiterhin verfügbar.

„Risiko ist Eintrittshäufigkeit mal Schadensumfang“ - diese einfache Formel stellt Martin Knuchel, Leiter der Elektroentwicklung bei der Güdel AG in Langenthal, dem Sicherheitsbedürfnis gegenüber. Die Automatisierung einer Kurbelwellenproduktion beispielsweise betrifft 32 Maschinensicherheits-Schnittstellen, 40 Ein- und Austrittsöffnungen zu den Produktionsplätzen, acht mögliche, vorwählbare Betriebsarten, zwölf NIO-Schubladen und Werkstückauflagekontrollen, zwölf Anforderungsschalter zum Öffnen der NIO-Schubladen, acht Zustimmtasten von Handbediengeräten sowie zwölf Not-Aus-Taster. Der Anlagenplaner ist mit einer ganzen Reihe von Vorschriften konfrontiert. So müssen die Not-Aus-Kreise und die Schutztüren-Kreise zum Beispiel auch bei abgeschalteter Energieversorgung des Beladesystems mit elektrischer Energie versorgt werden, die Ent- und Verriegelung der manuellen Beladetür muß funktionieren und das Softwaresignal „Lader außer Störbereich“ muß aktiv sein. Bei Ausfall einer einzelnen Maschine ist somit der Betrieb der Gesamtanlage trotzdem möglich, weil sämtliche Sicherheitsfunktionen wie Not-Aus und Schutztüren vom Beladesystem her elektrisch versorgt werden. Die Anlagensicherheit wird mit einem SafetyBUS p und einer Sicherheitssteuerung von Pilz erreicht. Die Sicherheitssteuerung ist zwischen der Ethernet TCP/IP Vernetzung und dem Profibus DP plaziert und erfüllt die sicherheitsgerichtete übergeordnete Informations- und Kommunikationsfunktion. Die einzelnen Zellen sind ihrerseits mit dem SafetyBUS p vernetzt. Router entkoppeln die einzelnen Zellen.

Bus-Integration für Sicherheit

Mit steigendem Automatisierungsgrad werden auch die Sicherheitseinrichtungen immer komplexer. Dem gegenüber steht der Kostendruck, der die Anlagenhersteller zu immer mehr Flexibilität zwingt. Einen Weg, Rationalisierungspotentiale in der Sicherheitstechnik von Maschinen und Anlagen auch nachträglich auszuschöpfen sieht Urs Thönen, Systemingenieur für industrielle Automation bei der Phoenix Contact AG, in der Integration der sicherheitsgerichteten Feldbuskommunikation in den Steuerungsbus.

Beim Safety-Konzept von Phoenix Contact nimmt die Prozeßsteuerung dabei weiterhin ihre Standardaufgaben wahr. Grundlage des Systems ist der Interbus. Dieser besitzt jedoch die Eigenschaft, daß alle E/A-Signale direkt nach der Prozeßsteuerung mitgehört werden können. Das Safety-Konzept integriert an dieser Position eine Überwachungseinheit, die ohne Beteiligung der Steuerung ihr eigenes Prozeßabbild erzeugt und zusätzliche Sicherheitsinformationen (Redundanzen) in den Bitstrom einfügen kann. Aus-gewertet werden die Sicherheitsdaten nur zwischen der zentralen Überwachungseinheit und den sicherheitsgerichteten Slave-Komponenten. Zusätzlich ergänzt die Überwachungseinheit die blockweise übertragenen Parameter mit einer CRC 32-Signatur (CRC = Cyclic Redundancy Check), welche nur vom dezentralen, sicheren PCP-Teilnehmer ausgewertet wird (PCP = Peripheral Communication Protocol).

Erschienen in Ausgabe: 02/2002