Wo in der Prozessautomation Installationstechnik im Einsatz ist, kann es zu Fehlern und Ausfällen kommen. Das betrifft auch die zuverlässige und robuste Kommunikation über Feldbus. In mehrjährige Studien hat Pepperl+Fuchs untersucht, wie die typischen Fehlerszenarien aussehen und welche konkreten Maßnahmen vor diesen Versagensursachen schützen. Um den Ursachen zielsicher die wirksamen Schutzmöglichkeiten zuzuordnen oder bereits vorhandenen Schutz objektiv zu bewerten, empfiehlt das Unternehmen eine einfache heuristische Bewertungsmethode.
Im ersten Teil dieses Beitrages, erschienen in der letzten P&A-Ausgabe, wurde eingehend erläutert, wie die Verfügbarkeit einer Prozessanlage korrekt berechnet wird und welche Fehler es dabei zu vermeiden gilt. Die tatsächliche Verfügbarkeit exakt zu kennen ist eine wichtige Voraussetzung, wenn man Maßnahmen ergreifen möchte, um diese zu erhöhen. Ebenso entscheidend ist es, die typischen Ursachen für Störungen zu identifizieren. Nur wer diese Fehlerszenarien genau kennt, weiß wie man sie beherrschen kann. Die vollständigen Erkenntnisse der Studie stellt das Unternehmen in einem White Paper zur Verfügung. Hier sollen explizit einige wichtige Fehlerszenarien sowie die entsprechenden Schutzmethoden das Verfahren beispielhaft veranschaulichen.
Typischer Fehler: Kontaktprellen
Ein typischer Fehler ist zum Beispiel das Kontaktprellen, wie es durch das Anschließen und Lösen von Verbindungen bei Wartungsarbeiten hervorgerufen wird. Hier kann prinzipiell zwischen zwei verschiedenen Methoden des Schutzes gewählt werden. Vorbeugende Maßnahmen und Verfahrensanweisungen sind eine davon. Dabei wird vorgeschrieben, wie Störungen durch den korrekten und schonenden Umgang mit der Technik zu verhindern sind. In diesem speziellen Fall ist auf ein schnelles Ziehen des Steckers am Verteiler und anschließendes Wegbiegen zu achten. Allerdings stößt diese Methode an ihre Grenzen, wenn Gewohnheit oder Unachtsamkeit zur Abweichung vom idealen Vorgehen führt. Auch Störungen, die beispielsweise entstehen, weil eine unstabile Verbindung im laufenden Betrieb zum Prellen angeregt wird, sind so nicht zu verhindern.
Weit sicherer ist dieses Szenario zu beherrschen, wenn man auf die vorausschauende, automatisierte Handhabung von Fehlern setzt. Bei dieser Methode kommen Techniken wie die diagnosefähigen FieldConnex-Gerätekoppler zum Einsatz. Die neueste Generation wurde eigens dafür entwickelt, typische Störungen proaktiv zu erkennen und zu isolieren, bevor sie zu einem Ausfall des Automationssystems führen können. So sind FieldConnex-Segment-Protektoren in der Lage, die besondere Dynamik dieser Fehler von regulären Feldbussignalen zu unterscheiden. Störungen werden so schnell und zuverlässig identifiziert. Die Fehlerquelle wird ausgeschaltet, bevor sich die Störung auf das Feldbussegment ausweitet und weitere Feldgeräte stillgelegt werden oder die Anlage in den sicheren Zustand fährt.
Redundanz hilft nicht immer
Häufig gefordert, allerdings kostenintensiv und nicht immer sinnvoll, ist hingegen die Methode der Redundanz. Beispielsweise erfordert eine Redundanz der Hauptleitung (Trunk) einen hohen Installations- sowie Kostenaufwand. Der dabei notwendige Aufwand an zusätzlicher Elektronik kann hinsichtlich der Verfügbarkeit sogar kontraproduktiv sein.
Mit dieser Maßnahme wird lediglich seltenen und unwahrscheinlichen Fehlern vorgebeugt wie einer ungewollten Stromkreisunterbrechung oder auch Störungen durch manuelle Eingriffe, obwohl man auf den einmal verlegten Trunk allenfalls bei einer Segmenterweiterung wieder zugreifen muss. Redundanz ist hier somit keine optimale Schutzmöglichkeit, denn der Trunk ist schon durch das Einhalten der Verlegungsvorschriften gut geschützt. Diese erfordern:
eigene Kabeltrassen für Kommunikationskabel getrennt von Energiekabeln oder
eine getrennte Verlegung mit Mindestabständen in einer Trasse.
Die geschützte Verlegung des Trunks ist aus Gründen des Explosionsschutzes erforderlich. Das Einhalten der Norm dient dabei zur Vorbeugung gegen ungewollte Stromkreisöffnung, die durch folgende Ursachen hervorgerufen wird:
mechanische Beschädigung
Einwirkung von Chemikalien
Korrosion und Wasser
ungewollten Eingriff des Menschen
Temperatureffekte.
Als deutlich sinnvollere Schutzmöglichkeit erweist sich in diesem Fall die Methode, Störungen frühzeitig durch Diagnose zu erkennen. Dabei werden mittels Diagnosemodul oder diagnosefähiger Komponenten wie dem FieldConnex-Segment-Protektor und der Feldbarriere Abweichungen des aktuellen vom optimalen Zustand erkannt und an die Leitwarte gemeldet. Dank dieser Methode kann proaktiv eingegriffen werden, bevor sich eine Störung negativ auf die Gesamtfunktion auswirkt.
Anders stellt sich die Situation dar, wenn die Gründe für einen Anlagenstillstand in einzelnen Geräten selbst zu suchen sind. Dazu zählen Stromversorgungen, Leittechnikkarten oder systemkritische Feldgeräte, deren Versagen bei sehr hoher geforderter Anlagenverfügbarkeit und Sicherheit zu verhindern ist. Hier muss tatsächlich die Redundanz als einzig wirksame Schutzmethode angesehen werden.
Risikokennzahl für Versagensursache
Um jeder Versagensursache zielsicher die wirksamen Schutzmöglichkeiten zuzuordnen oder bereits vorhandenen Schutz objektiv zu bewerten, empfiehlt Pepperl+Fuchs eine einfache heuristische Bewertungsmethode. Dafür werden alle erdenklichen Störungsursachen, die jeweilige Eintrittswahrscheinlichkeit und die Auswirkung in einer Tabelle wie bei einer FMEA Analyse (Failure Mode and Effects Analysis) erfasst. Jeder Ursache wird eine Risikokennzahl zugeordnet, die sich aus dem Produkt von Eintrittswahrscheinlichkeit und Auswirkung berechnet.
Mit dieser Methode können alle denkbaren Versagensursachen und mögliche Schutzmethoden miteinander in Beziehung gesetzt werden: Die Bewertung jeder Lösung – egal ob Komponente, redundante Auslegung oder Prozedur zur Vermeidung von Fehlern – erfolgt durch Summierung der Risikokennzahlen aller durch die Lösung verhinderten Versagensursachen. Eine hohe Kennzahl bedeutet, dass die Maßnahme mehrere und/oder sehr kritische Fehler verhindert. So wird sichtbar, welches Vorgehen vor welchen Versagensursachen schützt. Die Höhe des Ausfallrisikos wird dabei gezielt den Kosten und dem Aufwand der Lösung gegenübergestellt. So sind Effektivität und Effizienz der Schutzmaßnahmen gleichermaßen sichergestellt.