Steuerungs- und „Safety“-Funktionen werden gekoppelt Trends in der Maschinensicherheit

Spezielle SPS für „Safety“

Die amerikanische ARC Advisory Services [8] schätzt den Markt für so genannte „Safety PLCs“ für dieses Jahr noch auf kaum nennenswerte 25 Mio. Dollar; das jährliche Marktvolumen für Standard-PLCs erreicht immerhin 450 Mio. Dollar. Es wird jedoch erwartet, dass sich der „Safety PLC“-Markt rasch entwickelt. Der Grund: Der Sicherheitsstandard IEC 61508, mit dem die funktionale Sicherheit in elektronischen Geräten geregelt wird. Mit ihm wird es möglich, kostengünstige PLCs auch bei höheren Sicherheits-anforderungen einzusetzen. Ein typisches Produkt ist die Baureihe „Guard Safety PLC“ von Allen Bradley [9], in der zwei identische Prozessoren ihren Dienst verrichten und mit denen eine ganze Reihe von Selbstüberwachungsfunktionen realisiert werden konnte. Eine Sicherheits-SPS unter dem Namen „Pluto“ für die Hutschienenmontage bietet das schwedische Unternehmen Jokab Safety [10]. Über einen gesonderten Sicherheitsbus, den „Safebus“ können hier bis zu 32 einzelne Master-Geräte miteinander verkoppelt werden. Dabei lassen sich an jede Steuerung 20 E/As anschließen. Das Besondere ist nun, dass jede Steuerung die Eingänge der anderen Master benutzen kann und ihre eigenen Ausgänge über ein eigenes, internes Programm steuert.

Ganz gegen der Trend, die Sicherheitseinrichtungen im Rahmen der „nor-malen“ Steuerungstechnik zu realisieren und mindestens die Netzwerke und Feldbusse für die sicherheitsgerichtete Kommunikation zu nutzen, stellen mehrere Hersteller einfache Systeme vor, die sich u.a. durch einfachste Installation vor Ort auszeichnen. Mit kleinen „Safety“-Steuerungen können dabei in Fertigungszellen Aufgaben übernommen werden, die über die bloße Notabschaltung hinausgehen.

Die modulare „Safety“-Steuerung von Zander [11] bedient genau diesen Anwendungsfall. Das System „Talos“ dient der Überwachung von Not-Aus-Tastern, Schutztüren und Lichtgittern. Es besteht aus Modulen, die über eine Busverbindung in der 35-mm-Schiene miteinander kommunizieren (Bild 3). Das System konfiguriert sich nach dem Zusammenstecken selbst, dabei bleibt die Zulassung nach der Sicherheitskategorie SIL 3 stets erhalten. Als Ausgänge stehen unverzögerte und verzögerte Sicherheitskontakte zur Verfügung. Die verschiedenen Funktionen und Verknüpfungen werden durch die Anordnung der Module realisiert, ohne explizite Programmierung. Dabei lassen sich die Ein- und Ausgangsmodule Gruppen und Zonen zuordnen und entsprechend verzögert oder unverzögert abschalten. Über eine serielle Schnittstelle können die internen Daten des Modulsystems zu Diagnosezwecken ausgelesen werden.

Schnelle Montage vor Ort
Die holländische Fortress Interlocks [12] bietet unter dem Namen „eGuard“ ein System zum Schutz von Maschinen, das Zugangs- und Steuerungstechnik in einem System vereint. Der wichtigste Punkt: Das Netzwerk konfiguriert sich selbst. Das Einsatzfeld sind Torschalter, mit denen der Zugang zu den Maschinen gesichert wird. Bei „eGuard“ wird kein separater Torschalter und auch kein Steuergerät benötigt, das System wird einfach zusammengesteckt (Bild 4). Das System kann direkt auf herkömmliche Aluminiumstranggussprofile aufgeschraubt werden, zum Anschließen der Elektrik muss lediglich das Schnellentkupplungskabel angeschlossen werden. Die Betätiger lassen sich ebenfalls problemlos an jeder Schiebe- oder Scharniertür anbringen; bei Änderungen können die Module einfach hinzugefügt oder entfernt werden. Das System realisiert zunächst einen Torschalter, bietet aber auch weitere elektrische Module wie Start/Stopp-Schalter an. Das interne Netzwerk für die Kommunikation der Elemente untereinander wird bei einer Neuinstallation automatisch konfiguriert. Das „eGuard“-System lässt sich an programmierbare Ablaufsteuerungen (PLC – Programmable Logic Controller) anschließen oder in einem AS-Interface-Netzwerk verwenden.

Siemens Automation & Drives bringt in diesem Segment die „Safety Box 45“ auf den Markt, mit der ein Anwender ohne große Vorkenntnisse die folgenden drei Aufgaben lösen kann: Not-Halt mit überwachtem Start, Schütz-Überwachung mit automatischem Start sowie Servicebetrieb. Die Box besteht aus einem Sicherheitsschaltgerät, zwei Schützen und einem Not-Halt-Befehlsgerät, einem Schlüsselschalter mit Taster im Gehäuse sowie einem Endschalter (Bild 5). Der Aufbau eines Sicherheitskreises nach SIL 3 ist damit möglich, in Beispielen, die dem Montage-Set beigefügt sind, wird dies eingehend erläutert.

Sicherheit durch Dreifach-Redundanz

Welcher Aufwand getrieben werden kann, um Steuerungstechnik sicher auszulegen, demonstriert die „Safety“-SPS „Tricon“ der Firma Triconex [13]. Der „Rolls Royce“ unter den sicherheitsgerichteten Steuerungen ist als dreifach redundantes System aufgebaut; drei voneinander isolierte, parallel arbeitende Rechner steuern das System. Bei Abweichungen der Systeme voneinander wird so verfahren, wie es die Mehrheit der Systeme für richtig hält, zwei Rechner „überstimmen“ also das dritte, eventuell fehlerhaft arbeitende System. Zu dem dreifachen Aufbau kommen weitere Schaltkreise für eine erweiterte Diagnose, die für den Programmierer transparent sind. Die gesamten Diagnose-Informationen werden zudem in Systemvariablen gespeichert. Die Signale der Feld-Sensoren werden auf drei isolierten Signalpfaden an die Eingangsmodule weitergeleitet, von dort gelangen die Daten über getrennte Kommunikationswege zu den drei Hauptprozessoren.

Durch die „dreifache Redundanz“ kann das Versagen einer Komponente die Funktion des Systems nicht beeinträchtigen: Es gibt keinen „single point of failure“. Das System kann mit einem, zwei oder drei Hauptprozessoren arbeiten; als fehlerhaft erkannte Module lassen sich im Betrieb austauschen (hot swap). Ein System hat nach der Definition der IEC 61508 eine typische MTTF (mean time to failure) von 200 Jahren.

Ebenfalls mit dreifacher Redundanz arbeitet das Sicherheits-Steue-rungssystem „RTP2300T“ der RTP Corporation [14], das speziell für die Steuerung von Prozessen entwickelt wurde. Das als TMR (Triple Modular Redundancy) bezeichnete System wurde speziell für die Prozess-Steuerung entwickelt: die drei Prozessoren des Systems lassen sich separat installieren, die E/A-Baugruppen können zudem weit entfernt von den Prozessoren installiert werden. Als Kommunikationsmedium wird ein Bus auf der Basis des Ethernet eingesetzt, die Verbindung wird dabei mit integrierten Check-Routinen gesichert. Alle drei Prozessoren senden die Ergebnisse ihrer Berechnungen an die jeweiligen E/A-Baugruppen, dort findet dann die „2 aus 3“-Auswahl möglichst nahe am Prozess statt.