Zwei sichere Konzepte

Mit dem Bussystem SafetyBUS p können sicherheitsgerichtete Vernetzungen realisiert werden. Für zentrale Steuerungskonzepte gibt es mit den Kompaktsteuerungen PSS 3032 und PSS 3056 zwei strukturelle Möglichkeiten. Diese Sicherheitssteuerungen sind für den Einsatz in kleineren bis mittleren Anwendungen vorgesehen. Mit den modularen Systemen PSS 3000 und PSS 3100 können komplexe Anwendungen realisiert werden. Die PSS übernehmen neben den sicherheitsgerichteten Funktionen bis zur Anforderungsklasse 6 nach DIN V 19250 auch Standardfunktionen (Abb. 1).

Für die modularen PSS-Steuerungen stehen eine Reihe von Eingangs- und Ausgangssteckkarten zur Verfügung. Aufbau und Funktionsweise sind dabei voll kompatibel. Höchste Sicherheit gewährleistet der dreikanalige, diversitäre Aufbau. Dies bedeutet, daß die Informationen eines Eingangs über drei Kanäle an die CPU gelangen. Dort werden sie von drei unterschiedlichen Prozessoren verarbeitet und wiederum über drei Kanäle an den Ausgang gesendet. Kommen alle Prozessoren zum gleichen Ergebnis, so wird der Ausgang geschaltet.

Sicherheitsgerichtete Baugruppen (Fail-Safe = FS) werden über den dreikanaligen Bus, Standard-Baugruppen (ST) über den einkanaligen Bus angesteuert. Die Anwenderprogramme für Fail-Safe- und Standard-Teil werden separat ausgeführt. Sie kommunizieren rückwirkungsfrei, d. h. ein Fehler im ST-Teil hat keine Auswirkungen auf den FS-Teil.

Tritt ein Fehler in der Anlage auf, so geht die Steuerung sofort in den sicheren Zustand, d. h. alle Ausgänge werden abgeschaltet. Daß dies nicht für alle Anwendungsbereiche, vor allem in der Prozeßautomation, von Vorteil ist, liegt auf der Hand. Deshalb gibt es für solche Anwendungen die Funktion Gruppenabschaltung. Mit dieser Funktion ist es möglich, gezielt auf ein Ereignis im Feld zu reagieren und den Prozeß sicher zu beherrschen und somit die Verfügbarkeit der Anlage wesentlich zu erhöhen. Der Anwender hat die Möglichkeit, Ein- und Ausgänge in Signalgruppen zusammenzufassen und somit die Anlage in Funktionseinheiten zu zerlegen. (Abb. 2). Insgesamt stehen bis zu 32 Signalgruppen zur Verfügung. Wie nun auf ein Ereignis in einer Signalgruppe reagiert werden soll, kann der Anwender über 13 sogenannte Toleranztypen bestimmen. Er hat somit die Möglichkeit, das Anlagenverhalten extrem fein einzustellen. Um aber nicht auf „ewig“ mit einem Anlagenfehler zu arbeiten, überwacht sich die programmierbare Sicherheitssteuerung selbst und schaltet nach 100 Stunden die Anlage ab. D. h. der Anwender kann in dieser Zeit angemessen auf den Fehler reagieren, seinen Prozeß definiert beenden und den Fehler anschließend beseitigen. Mit der Gruppenabschaltung erhält der Anwender eine Add-on-Funktion, die durch einen CPU-Tausch einfach nachrüstbar ist. Das vorhandene Programm kann danach sofort wieder gestartet werden.

Auch bei Einsatz der Funktion Gruppenabschaltung werden die Standardfunktionsbausteine weiter verwendet. Sie bieten die erforderliche Flexibilität und Unterstützung bei der Programmierung von Applikationen. Funktionen wie Prozeßvisualisierung sind dabei im Standardteil und Realisierung verschiedener Schutzeinrichtungen (z. B. Not-Aus, Schutztür, Totmanschalter) im Fail-Safe-Teil zu finden. Für die meisten Standardsicherheitsfunktionen sind entsprehende Software-Bausteine vorhanden.

Zur Zeit gibt es acht Bausteinpakete. Diese ermöglichen die modulare Gestaltung des Anwenderprogramms, so daß nur noch projektspezifische Funktionen eingebunden werden müssen. Des weiteren ist eine schnelle und genaue Fehlerdiagnose möglich. So können beispielsweise Fehler bei mehreren Ventilen in einer Anlage exakt festgestellt und eindeutig dem entsprechenden Ventil zugeordnet werden. Dies erspart dem Betreiber der Anlage lange Stillstandszeiten durch Fehlersuche und -behebung. Da alle Fail-safe-Bausteinpakete von der BG und/oder vom TÜV abgenommen sind, spart der Anwender bei der Abnahme seiner Anlage Zeit und Geld. In der Praxis werden immer mehr Anlagen mit einem dezentralen Konzept für die Erledigung von Standardaufgaben eingesetzt. Die Kommunikation zwischen den einzelnen Komponenten wird mit einem der gängigen Bussysteme realisiert.

Um auch diesem Aspekt Rechnung zu tragen, wurden für die Systemfamilie PSS Standardkommunikationsbaugruppen für die gängigsten Bussysteme entwickelt. Diese sind im Moment Interbus, Profibus DP, Modbus RTU sowie DeviceNet. Auch hier sind Standardfunktionsbausteine verfügbar, damit dem Anwender ein einfacher Kommunikationsaufbau mit dem jeweiligen Bussystem gelingt.

Im Prinzip sind Bussysteme in analoger Art und Weise auch in der Sicherheitstechnik von Interesse, gilt es auch hier Geber, wie Not-Aus oder Schutztürschalter und Aktoren wie Schütze oder Ventile, in ähnlich komplexer Art und Weise zu verknüpfen (Abb. 3). Dabei bietet die sicherheitsgerichtete Vernetzung dem Anwender die gleichen Vorteile, beispielsweise weniger Verdrahtungsaufwand, durchgängige Diagnose und mehr Flexibilität und Offenheit, wie er es von den betriebsmäßigen und wohl etablierten Feldbussystemen gewohnt ist. Das offene Protokoll des sicheren Bussystems ermöglicht die Anbindung unterschiedlicher Feldmodule anderer Hersteller. Darüber hinaus lassen sich mit Hilfe eines sicheren Bussystems sicherheitsgerichtetete Steuerungen, wie die der Systemfamilie PSS, vernetzen. Für den Anwender von programmierbaren Sicherheitssteuerungen ändert sich jedoch im wesentlichen nichts: er programmiert mit der ihm bekannten Software, nutzt vorhandene Software-Bausteine und spricht analog der PSS die dezentralen I/O über deren Adresse an.

Sichere Bussysteme sind in ihrer Struktur wie betriebsmäßige Feldbusse aufgebaut, d. h. sie beinhalten typischerweise eine Zentrale, mehrere dezentrale I/O-Module mit digitalen oder analogen Ein- und Ausgängen und direkt angeschlossene Feldmodule, wie z. B. Lichtgitter. Die Zentrale wird in der Regel nur über einige wenige I/O verfügen, um den lokalen Bedarf im Schaltschrank abzudecken. Als weitere Aufgaben übernimmt sie die Netzwerkkonfiguration, in der beispielsweise die Anzahl der Teilnehmer, die Datenübertragungsrate, oder auch die Adressen der Teilnehmer hinterlegt sind. Die Programmierung des eigentlichen Sicherheitsprogramms bleibt unverändert und auch die Kopplung zum betriebsmäßigen Feldbus erfolgt in bekannter Weise entweder über geeignete Schnittstellenkarten oder über bereits in der Steuerung integrierte Anschaltungen.

Die dezentralen I/O-Module besitzen im Vergleich zur konventionellen Steuerung wenige I/O, um eine feine, lokale Untergliederung des Netzwerks zu ermöglichen. Über die dezentralen I/O-Module werden vorzugsweise Sicherheitseinrichtungen wie Not-Aus-Schalter oder Schutztüren angebunden.

Weiter ist eine Anbindung komplexer Feldmodule über die dezentralen Ein- und Ausgänge an den Sicherheitsbus möglich. Im Fall des offen gelegten Busprotokolls (z. B. SafetyBUS p) können Feldmodule anderer Hersteller direkt über verfügbare Schnittstellenelektronik in den Sicherheitsbus komfortabel integriert werden.

Ein mögliches Anlagenlayout kann aus sicherheitstechnischer Sicht eine Untergliederung in Teilbereiche sinnvoll machen. Dem trägt die Möglichkeit zur Gruppenbildung innerhalb des sicheren Bussystems Rechnung (Abb. 4).

So können z. B. sämtliche sicherheitsgerichtete Daten einer kompletten Anlage über nur einen Sicherheitsbus gesteuert werden. Teilbereiche können jedoch unterschiedlichen Gruppen zugeordnet werden. Im Fehlerfall (oder „Sicherheitsfall“) geht dann nur die jeweilige Gruppe in den sicheren Zustand. Darüber hinaus besteht die Möglichkeit übergeordnete Gruppen zu bilden. Ein typisches Beispiel hierfür sind Not-Aus-Applikationen, für die die Funktion „Not-Aus“ unabhängig vom Ort des jeweiligen Not-Aus-Tasters auf die gesamte Anlage wirkt. In diesem Fall einer Gruppenbildung muß die Funktion „Not-Aus“ für die gesamte Anlage funktionsfähig sein, auch wenn sich ein Anlagenteil (Gruppe) im Gruppenstopp, z. B. für Wartungsarbeiten, befindet.

Der SafetyBUS p basiert auf einem ereignisorientierten Busverfahren, d. h. Daten werden nur dann gesendet, wenn sich der Zustand an den I/O oder am Feldmodul geändert hat. SafetyBUS p eignet sich daher besonders gut zur Vernetzung von Anlagen mit unterschiedlich ausgeprägter Meldehäufigkeit und hohen Anforderungen an die Reaktionszeit. Dabei handelt es sich um ein Multi-Master-System auf Basis des etablierten Bussystems CAN. 64 Teilnehmer können mittels sicherheitsgerichteter Steuerungen der Systemfamilie PSS über SafetyBus p verbunden werden.

Teilnehmer sind dabei sowohl die sicherheitsgerichteten Steuerungen PSS als auch die dezentralen Ein-/Ausgabemodule oder direkt an SafetyBUS p angebundene Feldmodule wie beispielsweise Lichtschranken. Im ersten Schritt läßt sich eine Leitungslänge bis zu 1000 m installieren. Mit den dezentralen I/O-Modulen (8 Eingänge/8 Ausgänge) können Geber (Not-Aus, Schutztür oder Zweihand) abgefragt oder auch Aktoren (z. B. Schütze) gesteuert werden. Die Entwicklung ist ausgelegt für Kategorie 4 nach EN 954-1, bzw. AK6 nach DIN 19250 und gewährleistet damit den Einsatz in Sicherheitsapplikationen ohne Einschränkungen. Für den Anwender sieht die Anlagenkonfiguration, unabhängig von zentraler oder dezentraler Anbindung, aus wie ein Prozeßabbild von Ein- und Ausgängen. Damit können alle für die sicherheitsgerichteten Steuerungen verfügbaren und durch BG und/oder TÜV geprüften Software-Bausteine (Not-Aus, Zweihand,…) eingesetzt werden. Die Integration von optoelektronischen Schutzeinrichtungen in den SafetyBUS p bietet dem Anwender zusätzlichen Nutzen. So werden, neben der klassischen Aussage über den Zustand des Schutzfeldes, zusätzliche Diagnoseinformationen über eine mögliche Reduktion der empfangenen Lichtmenge übertragen, um Verschmutzung oder Dejustage schon im Vorfeld zu erkennen.

Weitere Informationen cav-221