01.12.2022 – Kategorie: Maschinenbau

Redundanzsystem für Schiffe: Mehr Flexibilität, höhere Sicherheit

RedundanzsystemQuelle: [email protected]

Bei der Entwicklung eines Redundanzsystems auf Basis der PLCnext Technology stand bei Phoenix Contact neben der Offenheit die Flexibilität an erster Stelle. Denn die maritime Automation gestaltet sich durchaus unterschiedlich. So müssen bei der Steuerung der auf dem Schiff installierten Systeme oft andere Anforderungen umgesetzt werden, die sich auch auf die Bedürfnisse hinsichtlich einer Ausfallsicherheit auswirken.

Redundanzsystem auf hoher See: In den einschlägigen Vorschriften der Schiffsklassifizierungsbehörden werden die zum Betrieb eines Schiffs notwendigen Systeme anhand ihrer Funktion und Wichtigkeit in die Kategorien Essential, Important, Emergency und Non-Important unterteilt.

Sicherheit aller Systeme an erster Stelle

Bereits an der Namensgebung lässt sich unschwer erkennen, dass die in den ersten drei Kategorien aufgelisteten Systeme zur Aufrechterhaltung des Schiffsbetriebs sowie für die Sicherheit an Bord unerlässlich sind. Unter Essential Services fallen sämtliche Systeme, welche die Manövrierbarkeit des Schiffs sicherstellen. Die Kategorie Important umfasst Systeme, die zwar nicht im direkten Zusammenhang mit der Manövrierbarkeit des Schiffs stehen, aber trotzdem für eine wichtige Funktion auf dem Schiff zuständig sind. Dabei kann es sich zum Beispiel um Feuerlöschsysteme handeln.

In puncto technische Verfügbarkeit dieser Systeme gilt generell folgende Regel: Der Ausfall einer einzelnen Komponente darf nicht zum Ausfall einer wesentlichen Funktion auf dem Schiff führen. Für die Automatisierungstechnik, die für die Steuerung und Überwachung dieser Systeme verantwortlich ist, resultiert daraus der Einsatz redundanter Steuerungs- und Netzwerktopologien. In diesem Zusammenhang wird von hochverfügbaren Systemen gesprochen, deren spezieller Aufbau dafür Sorge trägt, dass das System beispielsweise beim Ausfall der Steuerung oder einer Netzwerkleitung auf die intakte, redundant ausgeführte Komponente umschaltet, um so den Ausfall des Systems zu verhindern.

Verwendung offener Industriestandards beim Redundanzsystem

In der maritimen Automatisierungswelt erweist sich diese Anforderung nicht als neu. Es gibt eine Reihe von Systemanbietern, die solche fehlertoleranten Systeme zur Verfügung stellen. Meist basieren die zum Aufbau einer Redundanz erforderlichen Erweiterungen der Kommunikationsprotokolle auf teils proprietären Mechanismen. Phoenix Contact bietet seit rund 15 Jahren ebenfalls ein Redundanzsystem auf der Grundlage des klassischen Steuerungsportfolios an. In dieser Lösung wird im Kommunikations-Stack der Feldgeräte eine proprietäre Erweiterung vorgenommen, damit die Daten parallel zwischen den I/O-Stationen und den redundant ausgelegten Steuerungen übertragen werden können. In der Praxis verrichtet eine Vielzahl dieser Systeme ihren Dienst ordnungsgemäß und hat sich bewährt. Möchte ein Systemintegrator jedoch ein Feldgerät eines anderen Herstellers – etwa eine I/O-Station oder einen Frequenzumrichter – in das Netzwerk integrieren, ist dies lediglich bedingt oder überhaupt nicht möglich.

Bei der Implementierung der Redundanzfunktion in die neueste Steuerungsgeneration auf Basis der PLCnext Technology hat Phoenix Contact daher die oberste Priorität auf die Verwendung offener und für jeden Gerätehersteller zugänglicher Industriestandards gelegt. Als Ergebnis beruht die sogenannte applikative Systemredundanz (ASR) auf mehreren generischen Kernelementen, welche die Redundanzfunktion in den verschiedenen Kommunikationsebenen einer Automatisierungslösung abbilden.

Profinet-Mechanismen SRL und MRP

Das erste Kernelement, bei welchem der Redundanzmechanismus der Profinet-S2-Systemredundanz Anwendung findet, ist für den Datenaustausch zwischen I/O-Stationen und den redundant ausgeführten Steuerungen zuständig. Bei der Profinet-S2-Systemredundanz (SRL) bauen beiden SPS eine logische Kommunikationsbeziehung (AR) zur I/O-Station (Device) auf. Die I/O-Station versendet die Eingangsdaten parallel an beide Steuerungen und stellt somit für die SPS das identische Prozessdatenabbild bereit. Im Gegenzug übermitteln beide Steuerungen ihre Ausgangsdaten, versehen mit der momentanen Redundanzrolle – Primary oder Backup –, an die I/O-Station, wobei diese nur die Primary-Daten an die Ausgangsmodule weiterleitet. Tritt in der aktuellen Primary-SPS ein Problem auf, werden die Redundanzrollen getauscht und die I/O-Station übernimmt jetzt die Ausgangsdaten der Backup-Steuerung. Die Überwachung der beiden SPS untereinander sowie das Aushandeln der Redundanzrolle verantwortet ein Funktionsbaustein im Applikationsprogramm. Über weitere Funktionsbausteine lassen sich auch Werte von programminternen Variablen synchronisieren (Bild 1).

Redundanzsystem
Bild 1: Prinzip der Profinet-S2-Systemredundanz. Bild: Phoenix Contact

Um sicherzustellen, dass alle genutzten Feldgeräte die Profinet-S2-Systemredundanz in geeigneter Form unterstützen, überprüft die Programmiersoftware PLCnext Engineer die notwendigen Attribute in der Gerätebeschreibungsdatei schon in der Projektierungsphase. Neben dieser logischen Kommunikationsbeziehung SRL sorgt das zweite Kernelement, das Medienredundanz-Protokoll (MRP), für die Redundanz auf der physikalischen Netzwerkebene. Bei MRP wird das Netzwerk als einfache Ringstruktur ausgeprägt. Sind sämtliche Netzwerkverbindungen intakt, ist einer der beiden Ethernet-Ports am MRP-Manager geblockt und die betroffene Netzwerkverbindung folglich nicht aktiv. Der MRP-Manager erkennt den Ausfall einer beliebigen Netzwerkleitung innerhalb der Ringstruktur. In diesem Fall gibt er den blockierten Port frei und stellt damit sicher, dass alle Netzwerkteilnehmer weiterhin die an sie gerichteten Datentelegramme erhalten. Beide Profinet-Redundanzmechanismen – SRL und MRP – sind Teil der Profinet-Spezifikation und werden bei der Gerätezertifizierung getestet (Bild 2).

Bild 2: Topologie der applikativen Systemredundanz (ASR) auf Basis der PLCnext- Steuerung AXC F 2152 mit den Profinet-Redundanzmechanismen MRP und SRL. Bild: Phoenix Contact

Redundanzsystem: OPC UA für vertikale Datenübertragung

Das dritte Kernelement der ASR bezieht sich auf den Datenaustausch zwischen den redundanten Steuerungen und Visualisierungsgeräten. Als Übertragungsprotokoll wird OPC UA verwendet, das sich zur vertikalen Kommunikation zwischen Steuerung und Visualisierung etabliert hat. OPC UA ist unabhängig von Betriebssystemen und lässt sich auf unterschiedliche Geräte adaptieren. Die Visualisierungsgeräte werden über einen Softwareschalter im OPC UA-Client der Visualisierungssoftware an die beiden redundanten Steuerungen angekoppelt (Bild 3).

Redundanzsystem
Bild 3: Redundanzsystem im Einsatz: Anbindung eines HMIs an redundante Steuerungen. Bild: Phoenix Contact

Der OPC UA-Server ist direkt in das Betriebssystem der PLCnext-Steuerungen eingebettet. Beim OPC UA-Client handelt es sich hingegen um einen Bestandteil der Visualisierungssoftware. Zur Projektierung einer Verbindung zwischen Client und Server wird auf dem Client ein entsprechender Endpoint definiert. Abgesehen von den Sicherheitseinstellungen legt der Anwender dabei im Wesentlichen die IP-Adresse des Servers fest. Bei der Anbindung an redundante Steuerungen lässt sich dann zusätzlich die IP-Adresse eines Backup-Endpoints vergeben. Zur Laufzeit des Systems sorgt eine Logik in der Visualisierung dafür, dass der OPC UA-Client automatisch mit der SPS verbunden ist, welche die Primary-Rolle innehat. Da OPC UA und Profinet Standard-Ethernet-Mechanismen nutzen, lassen sie sich in einem Netzwerk kombinieren. Abhängig von Anlagengröße und Zweck der Netzwerksegmentierung lassen sich beide Standards ebenso in getrennten Netzwerken betreiben (Bild 4).

Bild 4: Topologie der applikativen Systemredundanz (ASR) auf Basis der PLCnext-Steuerung AXC F 3152 mit Separierung des I/O- und SCADA-Netzwerkes. Bild: Phoenix Contact

Die PLCnext-Steuerung AXC F 3152 verfügt über drei voneinander unabhängige Netzwerkschnittstellen. Somit ist eine der Schnittstellen für das I/O-Netzwerk (Profinet) und die andere für das SCADA-Netzwerk (OPC UA) einsetzbar. So sind für diese beiden Kommunikationsbereiche verschiedene Netzwerktopologien verwendbar. Während das I/O-Netzwerk mit Media Redundancy Protocol (MRP) als einfache Ringstruktur ausgeführt wird, kann sich für das SCADA-Netzwerk eine auf dem Rapid Spanning Tree Protocol (RSTP) basierende vermaschte Netzwerkstruktur empfehlen.

Kommunikationsmodule für maritime Protokolle

Die applikative Systemredundanz bietet viele Möglichkeiten, die Redundanzfunktion an die Bedürfnisse des jeweiligen Anlagentyps anzupassen. In der maritimen Automatisierungswelt gibt es zudem spezielle Protokolle. Dazu gehören NMEA0183 für Navigationssensoren oder J1939, ein Übertragungsprotokoll auf der Basis von CAN, das bei maritimen Verbrennungsmotoren angewandt wird. Um Daten aus diesen Subnetzwerken in das redundante Automatisierungssystem zu integrieren, sind besondere Kommunikationsmodule erhältlich, die an eine I/O-Station angereiht werden können. Ist etwa ein solcher Verbrennungsmotor mit einem dualen CAN-Netzwerk ausgestattet, lassen sich zwei Kommunikationsmodule nutzen, die sich vorzugsweise in unterschiedlichen I/O-Stationen befinden. Neben dem Redundanzsystem in der Steuerungs- und Netzwerkebene wäre auf diese Weise eine höhere Verfügbarkeit gegeben (Bild 5).

Redundanzsystem
Bild 5: Applikationsbeispiel zur Erfassung der Daten eines Verbrennungsmotors mit einem dualen CAN-Netzwerk. Bild: Phoenix Contact

Von Friedrich Hackl.

Lesen Sie auch: Distanzkupplung: Auch bei großen Wellenabständen ohne zusätzliche Zwischenlagerung

Teilen Sie die Meldung „Redundanzsystem für Schiffe: Mehr Flexibilität, höhere Sicherheit“ mit Ihren Kontakten:

Zugehörige Themen:

Komponenten, Maschinenbau, Netzwerke, Produktion & Prozesse

Ähnliche Artikel

Scroll to Top