Aus Sicht der funktionalen Sicherheit führt eine solche Vorgehensweise zu der Herausforderung, dass sich ein zusätzliches Not-Halt-Befehlsgerät, das am Arbeitsplatz des Fernbedieners installiert ist, dynamisch in die Not-Halt-Kreise aller fernbedienbaren Objekte ein- und ausklinken lassen muss. Das Not-Halt-Befehlsgerät verbindet sich also jeweils mit dem Objekt, welches gerade von der Leitzentrale zur Fernbedienung übernommen wird. Nachdem der Vorgang abgeschlossen ist, wird die Verbindung zwischen Objekt und Zentrale beendet. Der Zustand des in der Leitzentrale montierten Not-Halt-Befehlsgeräts muss nun so lange vom Objekt ignoriert werden, bis erneut eine Verbindung zur Leitzentrale aufgebaut wird. Die SafetyBridge Technology von Phoenix Contact ermöglicht die Umsetzung eines solchen Szenarios – und das sowohl für neue als auch existierende Systeme.
Bei Brücken und Schleusen handelt es sich ebenfalls um Maschinen. Aus diesem Grund müssen sie seit 1995 bei einem Neubau oder einer wesentlichen Änderung den Anforderungen entsprechen, welche die Europäische Maschinenrichtlinie 2006/42/EG an die Maschinensicherheit stellt. Die Maschinenrichtlinie (MRL) fordert bei jeder Maschine ein oder mehrere Not-Halt-Befehlsgeräte. Eine logische Stelle, an der ein Not-Halt-Befehlsgerät nicht fehlen darf, befindet sich am Arbeitsplatz des (Fern-)Bedieners. Damit es nicht zu Unklarheiten oder Unfällen kommt, darf es an dieser Stelle nur ein einziges Not-Halt-Befehlsgerät geben. Einem Objekt, das lokal bereits über ein eigenes Not-Halt-Befehlsgerät verfügt, wird somit während der Fernbedienung temporär ein ergänzendes Not-Halt-Befehlsgerät zugeschaltet, das in der Leitzentrale installiert ist.
Not-Halt einfach nachrüstbar
Viele ältere Brücken und Schleusen weisen zwar Sicherheitsfunktionen auf, die allerdings meist nicht mit funktional sicherer Hardware realisiert worden sind. Diese Situation verursacht, dass die notwendige Sicherheitsintegrität – also die Zuverlässigkeit der Sicherheitsfunktion – gemäß DIN EN ISO 13849 oder DIN EN 62061 nicht nachgewiesen werden kann. In der Folge darf keine EG-Konformitätserklärung erlassen und folglich kein CE-Zeichen angebracht werden. Der Betrieb von neuen oder wesentlich veränderten Maschinen ohne gültiges CE-Zeichen und zugehörige Konformitätserklärung ist jedoch rechtswidrig.
Die SafetyBridge Technology (SBT) von Phoenix Contact bietet hier eine einfache Möglichkeit, um beispielsweise in einem vorhandenen Automatisierungsnetzwerk eine Not-Halt-Funktion nachzurüsten. Zu diesem Zweck stellt SBT genau an der Stelle im Netzwerk funktional sichere Ein- und Ausgangsbaugruppen zur Verfügung, wo sie benötigt werden. So kann der Anwender selbst nachträglich noch Sicherheitsfunktionen bis SIL 3 oder PL e in seiner Applikation umsetzen. Dazu verwendet er eine Standardsteuerung eines beliebigen Herstellers; eine funktional sichere oder F-SPS ist nicht erforderlich. Darüber hinaus erweist es sich als unerheblich, über welches Protokoll die Steuerung Daten überträgt. Denn im Produkt-Portfolio von Phoenix Contact sind Buskoppler für alle gängigen Netzwerkprotokolle erhältlich, um die sicheren I/O-Module der SafetyBridge Technology in das Netzwerk einzubinden. Die Verarbeitung der sicherheitsgerichteten Eingangssignale, die beispielsweise das Not-Halt-Befehlsgerät liefert, wird nicht von der SPS, sondern von einer SBT-Logikeinheit übernommen. Sie ist in ein spezielles SBT-Ausgangsmodul (LPSDO) integriert und lässt sich unabhängig von der Steuerung in der lizenzfreien Software Safeconf über vorgefertigte Software-Bausteine programmieren.
Netzwerkunabhängige Übertragung
Die sicheren I/O-Module der SafetyBridge Technology bauen untereinander eine sichere Kommunikation auf. Dafür nutzen sie ein eigenes Sicherheitsprotokoll und betten ihre Datentelegramme in die Standard-Netzwerktelegramme ein. Die sicheren Daten der SBT-Module fahren sozusagen Trittbrett im Netzwerk. Die Standardsteuerung fungiert lediglich als Bote, der die Datenpakete zwischen der SBT-Logikeinheit und den SBT-I/O-Modulen transportiert. Die Überwachung und Prüfung des Datenaustauschs führen die SafetyBridge-Module aus. Diese Art der sicheren Übertragung wird auch als Black-Channel-Kommunikation bezeichnet. Das Medium, über das die SPS die Daten weiterleitet, ist dabei unerheblich. Möglich wäre sogar ein Datenaustausch über das Internet oder den Mobilfunk. Allerdings führt ein langsamerer Übertragungsweg dazu, dass die Reaktionsgeschwindigkeit der Sicherheitsfunktion entsprechend sinkt. In Industriebereichen mit relativ langsamen Maschinen, die nicht so schnell reagieren müssen, stellt diese Tatsache jedoch kein Problem dar.
Die Besonderheit einer Fernbedienungs-Applikation besteht darin, dass sich die zentrale Not-Halt-Funktion über zwei getrennte Netzwerke erstreckt. Während sich das zentrale Not-Halt-Befehlsgerät als Sensorik in der Leitzentrale befindet, ist die Aktorik, die im Notfall sicherheitsgerichtet abgeschaltet werden muss, Bestandteil des Objekts. Beide Netzwerke sind geografisch getrennt und verfügen jeweils über eine eigene SPS mit eigenen I/O-Modulen.
Flexibles Ein- und Ausklinken
Das Netzwerk des nautischen Objekts umfasst ein eigenes SafetyBridge-System, eine sogenannte SBT-Insel, über die Sicherheitsfunktionen für den lokalen Betrieb realisiert werden. Dazu gehört ebenfalls die Funktion des lokalen Not-Halt-Befehlsgeräts. Zu diesem Zweck sind die notwendigen SBT-I/O-Module einschließlich der programmierbaren sicheren Logik im lokalen Netzwerk installiert. Auf der anderen Seite wird in der Leitzentrale nur ein einziges SBT-Eingangsmodul zur Überwachung des zentralen Not-Halt-Befehlsgeräts benötigt. Dieser Aufbau weist aber einen Nachteil auf: Das SBT-Eingangsmodul ist im falschen Netzwerk verbaut und daher für das im Netzwerk des Objekts montierte SBT-Logikmodul zunächst unsichtbar. Weil der Anwender die Prozessdaten, die zwischen dem SBT-Eingangsmodul und dem SBT-Logikmodul ausgetauscht werden müssen, über jede verfügbare Datenverbindung in ein anderes Netzwerk übermitteln kann, stellt dies keine Hürde dar. Das entfernte SBT-Eingangsmodul lässt sich über ein frei gestaltbares Handshake-Verfahren im laufenden Betrieb in die SBT-Insel auf dem Objekt ein- und später wieder ausklinken.
Sollte die Verbindung ungeplant unterbrochen werden, löst die zentrale Not-Halt-Funktion auf dem Objekt aus. Tritt während der Übertragung eine Korrumpierung der sicheren Datenpakete auf, stellen die SBT-Module dies sofort fest. Sie schalten dann unverzüglich in den sicheren Zustand und den Antrieb somit ab. Natürlich ist in diesem Fall applikativ sicherzustellen, dass das zentrale Not-Halt-Befehlsgerät immer mit dem Objekt verbunden ist, welches der Fernbediener gerade über die Videoverbindung beobachtet.
Vielfältige Einsatzmöglichkeiten
Das beschriebene Verfahren und die Varianten, wie SBT-I/O-Module über eine beliebige temporäre Netzwerkverbindung in eine im Betrieb befindliche SBT-Insel ein- und wieder ausgeklinkt werden, lässt sich unabhängig von der Applikation in zahlreichen industriellen Bereichen umsetzen. Als Beispiel sei eine Warehousing-Anwendung genannt, wo autarke Regalbediengeräte selbständig an verschiedene Positionen im Hochregallager andocken und sich in die lokale Sicherheitslogik einbinden müssen. Da der Systemintegrator die Prozessdaten der SBT-Module selbst in entfernten Netzwerken zur Verfügung stellen kann, eröffnet sich ein breites Spektrum an Einsatzmöglichkeiten. Denn Sicherheitsfunktionen lassen sich nun netzwerkübergreifend realisieren. Die Mitarbeiter des Competence Center Safety von Phoenix Contact bieten in diesem Kontext beratende und unterstützende Dienstleistungen sowohl für Hersteller als auch für Integratoren und Betreiber von Maschinen an.