Bihl+Wiedemann GmbH: Artikel - Natürlich Safety at Work

10/04/02 - Artikel: Natürlich Safety at Work – aber mit Komfort!

Natürlich Safety at Work – aber mit Komfort!

Grundsätzlich kann für "Safety at Work", die sicherheitstechnische Version von AS-Interface, jeder Master verwendet werden. Das funktioniert, aber diesmal steckt nicht der Teufel, sondern der Gewinn im Detail: Am Beispiel eines erweiterten Masterkonzeptes wird gezeigt, wie Planung, Inbetriebnahme, laufender Betrieb und Wartung eines Safety at Work - Netzes durch neue Applikationsfunktionen und komfortable Datenhaltung auf der Masterebene noch erleichtert werden können.

"Safety at Work” heißt der Einsatz von AS-Interface in sicherheitsgerichteten Applikationen bis zur Kategorie 4, der höchsten Stufe der einschlägigen Norm EN 954-1. Das zentrale Element, der Sicherheitsmonitor, ist jetzt durch den TÜV Nord zertifiziert. Damit steht "Safety at Work” uneingeschränkt zur Verfügung und wird von mehreren Herstellern angeboten.

Für den Anwender geht es jetzt nicht mehr darum, ob er Safety at Work einsetzen kann, sondern es geht um das „Wie“. Er will Safety at Work möglichst komfortabel in AS-Interface - Netze einbinden. Basis dafür ist die Interoperabilität aller Komponenten – eines der Highlights von AS-Interface -, die auch bei Safety at Work erhalten bleibt, trotz der erhöhten Anforderungen. Master (Gateways), sichere Slaves und Standard-Slaves unterschiedlicher Hersteller können innerhalb jedes Netzes mit dem neuen Sicherheitsmonitor beliebig kombiniert werden. Das eröffnet dem Anwender die Chance, Produkte aus einem großen Angebot auszuwählen, die sich in Funktionalität, Bedienungskomfort und anderen Punkten unterscheiden.

Bild 1: Das Prinzip von Safety at Work

Das Konzept von Safety at Work ⁽¹⁾:

AS-Interface hat schon in seiner Standardversion eine hochgesicherte Datenübertragung, die für Sicherheitsapplikationen nicht mehr nachgebessert werden musste. Das hat zwei Besonderheiten für Safety at Work zur Folge:

Solange nur sichere Eingangssignale benötigt werden (z. B. Not-Aus-Taster, Kontrolle von Türverriegelungen, Lichtvorhänge etc.) muss das AS-Interface-Standardnetz lediglich durch einen Sicherheitsmonitor ergänzt werden. Alle übrigen Komponenten (Standardslaves, Netzgerät, Master und Host) und die Telegrammstruktur entsprechen AS-Interface in seiner Standardversion. Die erhöhte Sicherheit wird dadurch erreicht, dass die Kommunikation zwischen den sicheren Slaves und dem Monitor durch eine Dynamisierung ihrer Telegramme besonders abgesichert wird. Der Monitor übernimmt im Ernstfall (d.h. beim Ansprechen eines sicheren Slaves oder im Fehlerfall) das Kommando über die Anlage und bringt sie über ein oder zwei sichere Ausgänge dadurch in einen definierten, sicheren Zustand, dass die Hilfsenergie kritischer Aktuatoren über seine Ausgänge sicher abgeschaltet wird (Bild 1).
Sicherheits-Komponenten und Standardkomponenten können innerhalb eines Netzes kombiniert werden. Nur für die (wenigen) kritischen Signale werden spezielle Slaves nach EN 954-1 benötigt. Der Rest bleibt Standard. Sogar bereits existierende Standardnetze sind mit Sicherheitskomponenten nachrüstbar.

Das Konzept und der universelle Monitor wurden von den offiziellen Stellen (TÜV oder BIA) zertifiziert. Einzelheiten siehe (1).

AS-Interface Master mit Applikationsfunktionen

In diesem Aufsatz wird am Beispiel einer Masterfamilie gezeigt, wie der Anwender diese Interoperabilität nutzen und durch geschickte Datenhaltung und -auswertung auf der Masterebene unterstützt werden kann. Die Stichworte sind Applikationsfunktionen und Mensch-Maschine-Schnittstelle.

Das Prinzip von Safety at Work ist inzwischen bekannt (Bild 1 und Kasten) und braucht nicht mehr ausführlich begründet zu werden. Durch die erhöhten Anforderungen der Sicherheitstechnik entstehen aber in einem Safety at Work - Netz zusätzliche Daten, neue Situationen müssen berücksichtigt, unterschiedlichste Stoppsituationen analysiert werden.

Die sicherheitsspezifischen Daten des Netzes werden vom Monitor erfasst (bzw. erzeugt) und zur Auswertung bereitgestellt. Dabei ist im Konzept vorgesehen, dass sie von der übergeordneten Steuerung, dem "Host", mit Hilfe eines Funktionsbausteins durch den Master hindurch eingelesen und dann im Host ausgewertet werden. Raffinierter ist es jedoch, zusätzliche Funktionalitäten dem Master selbst als sogenannte "Applikationsfunktionen" zuzuweisen. Dem Ansatz liegen folgende Ideen zu Grunde:

Über die Standarddaten von AS-Interface hinaus werden alle Daten, die von einer Firmware im Master erfasst und aufbereitet werden können, so bereitgestellt, dass sie der Programmierer einer individuellen Anwendung direkt nutzen kann. Im Anwendungsprogramm kann dadurch ohne großen Aufwand auf unterschiedliche Situationen reagiert werden.
Wenn alle Gateways und Master einer Familie identisch aufgebaut sind, wird das Modul "AS-Interface - Netz" gänzlich unabhängig von dem überlagerten System. Da die Daten dem Nutzer unabhängig vom verwendeten Hostsystem zur Verfügung stehen, werden hostabhängige Funktionsbausteine sind unnötig; der Wechsel des Hostsystems wird erleichtert.
Stehen diese Daten auch über ein Display im Master zur Verfügung, das als "Human-Machine-Interface" funktioniert, so ist dort eine komplette Vor-Ort-Diagnose des Netzes möglich, unabhängig vom Aufstellungsort, vom Typ, vom Ausbau des Hosts und von seinem momentanen Betriebszustand.

Bild 2: Der neue Master mit graphischem Display, hier als Gateway zu Profibus (Werkbild: Bihl + Wiedemann)

Die Geräte der neuen Mastergeneration ⁽²⁾ der Firma Bihl + Wiedemann (Bild 2) bieten solche Unterstützung des Anwenders. Sie enthalten alle Standardfunktionen von AS-Interface, eine Reihe von Applikationsfunktionen, sowie ein einfaches oder ein graphisches Display. Ihr Nutzen tritt bei Safety at Work – Netzen besonders zu Tage, wird jedoch auch schon für klassische AS-Interface Netze deutlich.

Alle Funktionen der erweiterten AS-Interface Spezifikation (Version 2.1), die praktisch gleichzeitig mit Safety at Work eingeführt wurde, sind vollständig implementiert. Sie bieten: die die Slaves charakterisierenden Daten (I/O, ID, ID1 und ID2), Eingangs- und Ausgangsdatenabbilder, Slave-Parameter, den erweiterten Adressbereich bis 62 Slaves, die integrierte Ein- und Ausgabe analoger Daten nach Profil S-7.3, Ein- und Ausgabe langer Nachrichten nach S-7.4, die Peripheriefehlerverarbeitung etc. (Bild 3). Einzelheiten zu diesen Funktionen sind schon beschrieben worden ⁽¹⁾.

Bild 3: Aufbau der neuen Masterfamilie von Bihl + Wiedemann im Blockschaltbild: Die Masterebene - als Firmware Bestandteil aller Master - bietet neben den Standardfunktionen zusätzliche Applikationsfunktionen für das komfortable Handling aller Sicherheitsdaten. Das "Hostinterface", das die Verbindung zum übergeordneten Rechner herstellt, ist produktspezifisch, also unterschiedlich je nachdem, ob es sich um einen Master für einen PC oder eine bestimmte SPS oder ein Gateway zu einem der bekannten Feldbusse (2) handelt. Das grafische Display hat Zugriff auf alle Funktionen und wird zum "HMI". Beim Doppelmaster sind die Blöcke "Businterface" und Masterebene zweifach angelegt.

Darüber hinaus sind bei Bihl+Wiedemann zusätzliche Applikationsfunktionen realisiert, die über die Standardfunktionen der allgemeinen AS-Interface - Spezifikation hinausgehen:

Eine Funktion zum Einlesen der kompletten Diagnosewerte des "Safety at Work"-Monitors in den Master, sofern dem Monitor eine eigene Slaveadresse zugeordnet ist.
Eine Liste aller sicheren Slaves, die deren Zustand mit "betätigt" oder "nicht betätigt" beschreibt. Diese Liste wird nach einem Aufruf durch den Host erzeugt und stehen auch dann zur Verfügung, wenn dem Monitor keine eigene Adresse zugeordnet wurde.
Eine Liste aller Slaves, die die Zahl der korrigierten, kurzzeitigen Kommunikationsstörungen seit dem Einschalten des Masters oder seit dem letzten Auslesen dieser Liste enthält.
Eine Liste aller Slaves mit den Profilen S-1.1 und S-3.A.1, die entweder eine Vorausfallwarnung abgesetzt haben oder die als "nicht verfügbar" gekennzeichnet sind (Datenbits D1 oder D2).

Human Machine Interface im Master

Setup
AS-Interface Circuit
AS-Interface Slave Addr.
Force Offline
Operation Mode
Store Act. Cfg.
Permanent Param.
Permanent Cfg.
Addr. Assistant
LOS

IO + Param. Test
Binary Inputs
Binary Outputs
Analog Inputs
Analog Outputs
Parameters

Diagnosis
ec-Flags
actual config.
LPF
AS-Interface Master

adv.Diagnosis
Error Counters
LCS

AS-Interface Safety
Safety Slaves
Safety Monitor

PROFIBUS
PROFIBUS Address
PROFIBUS Status

Bild 4: Im Menü des graphischen Displays können alle Master-funktionen dargestellt werden. Gezeigt sind die beiden ersten Menüebenen. Die Bilder 5, 6 und 8 zeigen weitere Ebenen.

Ebenfalls außerhalb der allgemeinen AS-Interface Spezifikation steht dem Nutzer ein Display zur Verfügung (Bild 2), über das die Kommunikation mit dem Bediener erfolgen kann (Ausnahme: PC-Karten, hier steht der PC-Bildschirm zur Verfügung). In der einfachen, klassischen Version können hier die Adressen aller angeschlossenen Slaves angezeigt, Konfigurationsfehler gemeldet und Adressen geändert werden.

Die Version mit graphischem Display geht weit darüber hinaus:

Alle Funktionen der Masterebene (Standard- und Applikationsfunktionen) sind jetzt über das graphische Display ohne zusätzliche Hilfsmittel zugänglich. Die verschiedenen Listen können eingesehen werden. Die Bedienung erfolgt durch Blättern in einem Menü, das sich dem Nutzer schnell erschließt (Bild 4).
Die Slaves können einzeln vom Master aus adressiert, überprüft und parametriert werden. Eingänge können dargestellt, Ausgänge gesetzt werden. Da alle Funktionen der erweiterten Spezifikation 2.1 im Master integriert sind, gilt dies sowohl für Binär- als auch für Analogwerte (Bild 5).
Bei Gateways können Adresse und Parameter für das höhere System konfiguriert werden.

Alle Funktionen und Listen der Masterebene stehen damit nicht nur dem höheren System über dessen elektrische Schnittstelle zur Verfügung, sondern können auch in der Vor-Ort-Diagnose dargestellt werden. Funktionen, die der Anwendungsprogrammierer im übergeordneten System nicht nutzen will, stehen bei Bedarf trotzdem visuell am Master zur Verfügung. Die Versorgung des Masters aus dem AS-Interface Netz erlaubt diese Nutzung sogar dann, wenn das übergeordnete Netz noch gar nicht exi-stiert (bei der Inbetriebnahme) oder zeitweise abgetrennt ist (z.B. bei Wartungsarbeiten). Bei ausgedehnten Anlagen kommt schließlich als weiterer Aspekt hinzu, dass alle Funktionen am Master selbst abgerufen werden können - ohne lange Wege zur Steuerungszentrale.

Das graphische Display ermöglicht somit eine komplette, komfortable Vor-Ort-Diagnose. Es wird zur Mensch-Maschine-Schnittstelle, zum Human Machine Interface HMI, das unabhängig von jeder Steuerung oder jedem Feldbus ist. Es ist neben den Applikationsfunktionen das zweite Charakteristikum der neuen Masterfamilie.

Intelligente Lösungen durch Applikationsfunktionen

AS-Interface wird heute in erster Linie zur Kosteneinsparung eingesetzt. Das erklärt die starke Verwendung von Modulen, an die konventionelle Sensorik und Aktuatorik angeschlossen wird. Integrierte Slaves werden seltener genutzt, obwohl sie durch zusätzliche Daten erlauben, neue und intelligente Automatisierungslösungen mit hohem Anwendernutzen zu erarbeiten. Einige Vorteile der Bustechnik - mehr Information aus dem Prozess - werden so weitgehend vernachlässigt. Ein Grund hierfür dürfte darin zu suchen sein, dass die entsprechenden Informationen bisher bitweise in das Anwenderprogramm eingebunden werden müssen.

Bild 5: Anzeigenbeispiel des Displays: Schreiben digital und analog

Beim Einsatz von "Safety at Work" wird sich das ändern. Der Endnutzer wird vermehrt individuell auf bestimmte Situationen reagieren wollen, um dadurch die Verfügbarkeit einer Anlage ohne Abstriche an der Sicherheit steigern zu können. Dass dies einfacher als bisher möglich wird, genau das leisten die Applikationsfunktionen der neuen Masterfamilie:

Die Statusliste der sicheren Slaves enthält eine "1" für jeden sicheren Slave, der angesprochen hat, beispielsweise durch Drücken eines Not-Aus-Tasters. Die Adresse des betreffenden Slaves wird nicht nur sofort im Display des Masters angezeigt, sondern steht in diesen Listen zur Weiterverarbeitung zur Verfügung, falls das An-sprechen wirklich durch eine Betätigung des sicheren Slaves, nicht durch einen Fehler zustande kommt. Damit kann der Anwendungsprogrammierer sehr einfach abfragen, ob einer der sicheren Slaves aktiviert wurde, und kann diese Information genau so auszuwerten, wie dies dem Slave in der Applikation entspricht. Dem Endnutzer kann z. B. durch eine externe Displayanzeige "Band 1 durch Not-Aus gestoppt" oder "Schutzbereich unterbrochen" signalisiert werden, warum die Anlage steht.

Gestoppt wird in diesem Fall die Anlage oder ein relevanter Abschnitt durch den Sicherheitsmonitor. Der Grund des Stopps - das "normale" Ansprechen eines bestimmten Slaves - wird der Bedienungsmannschaft über die Liste des Master eindeutig angezeigt. Sie braucht sich damit nicht auf eine unter Umständen aufwendige Fehlersuche zu begeben.
Ähnliches gilt für die Listen, in denen die Warnmeldungen und die Bereitschaftsanzeigen von integrierten, intelligenten Slaves mit den Profilen S-1.1 und S-3.A.1 erfasst werden. Auch diese Daten brauchen vom Anwender nicht mehr einzeln in das Programm eingearbeitet zu werden, sondern können – wie die Peripheriefehlermeldung – als Sammelmeldung im Master abgefragt und einfach zur Optimierung der Anlagenverfügbarkeit verwendet werden.
Zusätzlich hat der Master einen direkten Zugang zu den kompletten Diagnosedaten des Sicherheitsmonitors, wenn dieser eine eigene AS-Interface Adresse hat. Der Sicherheitsmonitor erzeugt nämlich im Normalbetrieb oder im Falle seines Ansprechens einen Datensatz, aus dem alle Details über den Zustand der Anlage hervorgehen. Bild 6 zeigt ein Beispiel. Mit diesen Informationen können auch weitere Gründe für einen Stopp - ein Fehler in einem sicheren Slave, ein Konfigurationsfehler im Netz oder ein Kommunikationsfehler - eindeutig getrennt werden. Das Anwenderprogramm kann dadurch wieder so ausgelegt werden, dass die Anlage je nach Fehlertyp unterschiedlich reagiert und dies dem Nutzer mitteilt.

Während diese Diagnosewerte gewöhnlich von der übergeordneten Steuerung mit Hilfe eines Funktionsbausteines ausgelesen werden, übernimmt dies bei B+W eine Applikationsfunktion des Master. Damit stehen die Diagnosewerte steuerungsunabhängig im Master zur Verfügung und sind auch auf dem graphischen Display darstellbar. Der Anwendungsprogrammierer benötigt weder einen Funktionsbaustein, noch muss er – falls für die verwendete Steuerung kein Funktionsbaustein existiert - das Auslesen der Daten aus dem Monitor selbst programmieren.

Bild 6: Status des sicheren Slaves mit Adresse 27 laut Diagnosestring (Weitere Daten durch Blättern)

Für alle diese Listen gilt also: Die Applikationsfunktionen des Masters unterstützen den Anwendungsprogrammierer so, dass intelligente Lösungen nicht mehr am Programmieraufwand scheitern müssen. Für Safety at Work - Netze wird z.B. die klare Trennung der Ursachen für einen Stopp erheblich einfacher. Unterschiedliche Stoppsituationen, wie in Bild 7 dargestellt, lassen sich auch einfach für den Wiederanlauf nutzen. Die immanenten Vorteile der Bustechnik, ihr mehr an Information wird nutzbar, um hohe Anlagenverfügbarkeit und einfache Bedienung zu erreichen.

Erhöhung der Netzstabilität durch Diagnosestring und Protokollanalyse

Das klassische AS-Interface Netz verhält sich im allgemeinen ausgesprochen gutmütig. Selbst wenn in einem Netz gelegentliche Störungen auftreten (damit muss jedes Bussystem rechnen), arbeitet es zuverlässig und meist ohne dass der Anwender von solchen Störungen Notiz nimmt. Typische Fälle sind z. B. EMV-Störungen eines Slaves oder eines Netzbereiches, ein "simpler" Wackelkontakt, ein Überschreiten der zulässigen Netzlänge oder ungenügende Eigenschaften etwa eines nicht-zertifizierten Slaves. Dadurch bedingte, fehlerhafte Telegramme werden automatisch erkannt, wiederholt und von außen meist gar nicht mehr wahrgenommen. Bei Standard-Slaves kann die Korrektur in drei aufeinanderfolgenden Zyklen geschehen. Erst, wenn ein Fehler auch im dritten Zyklus nicht beseitigt ist, gibt der Master eine Meldung an das Anwenderprogramm ("Configuration Error"). Sporadische Störungen werden daher problemlos geschluckt, ernsthafte sicher erkannt und gemeldet.

(1) Planmäßiger Programmstopp
(2) Stopp nach Notausbetätigung
(3) Stopp nach Sicherheitsauslösung (z. B. Lichtvorhang unterbrochen)
(4) Stopp nach Fehler in der Kommunikation eines sicheren Slaves
(5) Stopp nach Ausfall eines sicheren Slaves
(6) Stopp durch Peripheriefehler
(7) Stopp durch Konfigurationsfehler
(8) Stopp durch Spannungsausfall im Netz
(9) Stopp nach Warnmeldung

Bild 7: Mögliche Stoppsituationen eines Safety at Work - Netzes. Nutzt das Anwenderprogramm die detaillierte Information, so kann es gezielt reagieren.

Bei Safety at Work - Netzen sollte der Anwender dagegen etwas sorgsamer sein: Da hier im "echten" Fehlerfall eine Maschine schnell angehalten werden muss, wartet der Sicherheitsmonitor nicht drei, sondern nur zwei Zyklen ab, bevor er eine Anlage wegen Kommunikationsstörung mit einem sicheren Slave abschaltet. Nur so kann eine Latenzzeit von 40 Millisekunden zwischen Störung und Abschalten garantiert werden. Nachteil dieser Maßnahme können "versehentliche" Stopps durch momentane Instabilitäten des Systems sein. Sie sind zwar technisch harmlos, denn sie beeinträchtigen die Sicherheit des Systems selbstverständlich nicht, sind aber in der Praxis ein Ärgernis, wenn sie die Verfügbarkeit der Anlage herabsetzen. Man wird daher immer versuchen, solche Instabilitäten zu erkennen und die Anlage korrekter aufzubauen.

Bild 7: Mögliche Stoppsituationen eines Safety at Work - Netzes. Nutzt das Anwenderprogramm die detaillierte Information, so kann es gezielt reagieren.

In dieser Situation wird der Anwender durch die Applikationsfunktionen "Diagnosestring" und "Protokollanalyse" unterstützt. Mit letzterer wird die Zahl der von der Spezifikation tolerierten Telegrammwiederholungen für jeden Slave festgehalten. Der Nutzer kann daraus erkennen, welche Slaves zwar noch spezifikationsgerecht arbeiten, aber doch Kommunikationsstörungen erleiden. Er findet so eventuelle Instabilitäten des Netzes und kann sie kontrolliert beseitigen. Achtet man bei der Inbetriebnahme oder bei Wartungsmaßnahmen besonders auf Telegrammwiederholungen der sicheren Slaves, so lässt sich die Verfügbarkeit einer "Safety at Work" - Anlage deutlich erhöhen. Das oben dargestellte Problem wird so elegant gelöst. Das Auslesen der Zähler erfolgt wieder über das graphische Display, also sehr einfach und unabhängig von jedem Anwenderprogramm (Bild 8).

Dieser Prozess wird zusätzlich durch die Diagnosewerte des Sicherheitsmonitors von "Safety at Work" unterstützt. Sie beschreiben den Grund eines Stopps eindeutiger als andere Masterdaten. Der Monitor hat nämlich eine Latenzzeit von bis zu 40 ms für das Trennen seiner Ausgänge. In dieser Zeit dürfen die Applikation und das AS-Interface-Netz noch weiterlaufen. Das Netz selbst wird in vielen Fällen erst noch später angehalten. Dann wird aber eine Analyse der Situation aus den Standarddaten des Masters schwieriger, da der Master über mehrere Zyklen neue Daten aufgenommen hat. Der Monitor hält dagegen die aktuelle Situation für einen Stopp fest. Die Verfügbarkeit dieser Daten im Master unterstützt also eine Analyse vor allem in jenen Fällen, in denen ein unbeabsichtigter Stopp durch den Sicherheitsmonitor auftritt, also z. B. kein Not-Aus betätigt wurde. Der direkte Zugang über das HMI-Display erspart dabei das Anschließen einer separaten Ausgabeeinheit oder die Ausgabe über das höhere System.

Resümee:

Mit Recht wird AS-Interface als die einfachste Vernetzungslösung in der Automatisierung betrachtet. Das gilt auch für die Variante "Safety at Work". Ebenso bleibt richtig, dass jeder Master - auch jeder Master der älteren Generation - für Sicherheitsapplikationen grundsätzlich verwendbar ist. Das ist Kern des Konzeptes zur Einführung eines allgemein nutzbaren, von allen Anbietern verwendeten Sicherheitsmonitors mit den erforderlichen offiziellen Zulassungen. Die hier vorgestellte Masterfamilie berücksichtigt aber mit ihren Applikationsfunktionen und einem voll ausgebauten HMI erstmals auch das Konzept "Safety at Work" explizit und bietet dadurch eine intensive Unterstützung des Nutzers in den verschiedenen Phasen des Lebenszyklus einer Automatisierungsanlage: Bei der Planung (Unterstützung intelligenter Anwenderprogramme), bei der Inbetriebnahme (Netzunabhängigkeit; Verbesserung der Netzqualität), beim Betrieb (hohe Anlagen-Verfügbarkeit) und bei der Wartung (Vor-Ort-Diagnose, Netzanalyse). Anwender aus der Automatisierungsbranche werden schnell diesen hohen Komfort schätzen lernen.

Literatur
(1) Madelung, O.W.: Nachtrag zum AS-Interface Handbuch (2. Auflage), deutsch und englisch; Download-Datei unter www.madelung-online.de, 2001
(2) Bihl + Wiedemann: Übersicht über die Gateways, siehe www.bihl-wiedemann.de

Autor
Dr. Otto W. Madelung, Technische Unternehmensberatung Dr. Madelung,
www.madelung-online.de

Dieser Artikel ist in folgender Zeitschrift erschienen: SPS-Magazin 4+5/2002

[zurück]