Um die Zuverlässigkeit von Sicherheitsrelais selbst und bei ihrem Einsatz weiter zu erhöhen, ist eine Reihe von konstruktiven Maßnahmen denkbar, die an verschiedenen Stellen der Funktionskette ansetzen. Dazu gehören vor allem eine Fehlerüberwachung der Schaltelemente, Selbstdiagnose sowie eine Leitungsfehlerüberwachung des gesamten Signalkreises.
Sicherheitsgerichtete Anwendungen unterliegen aus guten Gründen hohen Anforderungen: Ein sicheres Ausschalten beispielsweise von Motoransteuerungen oder Notabschaltventilen ist ebenso unabdingbar für die Sicherheit von Personal, Anlage und Umwelt wie ein sicheres Einschalten von Signalhörnern, Warnleuchten oder aktiven Kühlungen im Notfall.
Neben den Sicherheitssteuerungen spielen die Sicherheitsrelais als Bindeglied zwischen der Steuerung und dem Lastkreis eine zentrale Rolle. Dies gilt insbesondere, wenn hohe Ströme oder Spannungen geschaltet werden müssen.
Um ihre Verfügbarkeit zu gewährleisten, müssen Komponenten von Sicherheitssystemen im Rahmen sogenannter Proof-Tests regelmäßig geprüft werden. Sie sind ein wichtiger Teil des Sicherheitslebenszyklus und entscheidend dafür, dass ein System sein gefordertes Sicherheitsintegritätsniveau während des gesamten Sicherheitslebenszyklus erreicht.
Zwangsgeführte Kontakte mit Nachteilen in der Prozessautomation
Viele marktübliche Sicherheitsrelais basieren auf dem Prinzip zwangsgeführter Kontakte. Diese Relais verfügen über einen Hilfskontakt, der sich immer in derselben Position wie der Schaltkontakt befindet und daher - entsprechend verdrahtet - eine Rückmeldung zum Status des Schaltkontaktes geben kann.
Dieser Gerätetyp hat allerdings wesentliche Nachteile: Fällt ein einzelner Kontakt eines zwangsgeführten Relais aus, kann dies nur erkannt werden, der Aktor lässt sich aber nicht aus- oder anschalten. Auswertekanäle in der Steuerung, die die Lage des Schaltkontaktes weitergeben, müssen gesondert verdrahtet werden. Problematisch sind zwangsgeführte Kontakte, in der Prozessindustrie vor allem bei ETS-Anwendungen: Die Schalthandlung des Hilfskontaktes bedeutet nicht unbedingt, dass auch ein Strom im Lastkreis fließt.
Während im Maschinenbau häufige Schaltvorgänge für die nötige Kontakthygiene sorgen, kann die Sicherheitsschaltung in der Verfahrenstechnik oft über Jahre ungenutzt bleiben und sich dabei unmerklich verändern. Verschmutzte oder korrodierte Kontakte können im Extremfall einen so hohen Widerstand erzeugen, dass die Sicherheitsfunktion nicht mehr gewährleistet ist. In diesem Fall entsteht zudem die gefährliche Fehlinformation, dass eine leitende Verbindung
Diagnose durch zeitversetztes Schalten
Ein anderer Ansatz als zwangsgeführte Kontakte sind MooN-Architekturen. Hier sind Elemente redundant angeordnet, von N vorhandenen Elementen müssen dann M funktionieren. Bezogen auf ein Sicherheitsrelais bedeutet dies: Beispielsweise sind in einer 1oo3-Architektur drei Elementarrelais vorhanden, von denen nur eines für den Schaltvorgang benötigt wird.
Für DTS-Anwendungen (De-energized-to-safe, sicheres Abschalten) sind drei Kontakte in Serie, für ETS-Signalkreise (Energized-to-safe, sichere Anschalten) zwei Gruppen von je drei parallelen Kontakten (um allpolig trennen zu können) angeordnet. Selbst wenn zwei Kontakte einer Gruppe ausfallen, ist die Sicherheitsfunktion weiter gewährleistet. Diese Architektur ermöglicht eine Diagnosefunktion, die durch zeitversetztes Schalten der Elementarrelais fehlerhafte Relais erkennt.
Bei ETS-Anwendungen werden bei drei aufeinanderfolgenden Schaltvorgängen zyklisch jeweils alle drei Relais der beiden Kontaktgruppen einmal zuerst geschlossen. Während der Verzögerungszeit prüft das Gerät, ob dieser Kontakt den Stromkreis schließt. Fehlerhafte Kontakte werden dabei erkannt.
Die Diagnose beim DTS-Gerät erfolgt nicht beim Abschalten, sondern beim Wiedereinschaltvorgang: Zunächst werden zwei Relaiskontakte gleichzeitig, zeitverzögert dann auch der dritte Kontakt geschlossen. Bevor der dritte Kontakt schließt, darf kein Strom fließen, anderenfalls ist dieses Relais defekt, da es den Stromkreis nicht mehr trennt. Bei jedem Schaltzyklus wird ein anderes Relais geprüft.
Testzyklen in prozesstechnischen Anlagen werden durch Vorschriften vorgegeben oder richten sich nach den Ausfallraten der mechanischen Komponenten. Typischerweise wird einmal im Jahr geprüft, wobei das Sicherheitsrelais die beschriebene Routine ausführt. Nach drei Jahren ist der Relaisbaustein ohne zusätzlichen Aufwand einmal vollständig getestet. Er kann aber auch in einem Durchgang dreimal geschaltet werden, um sofort einen kompletten Proof-Test des Relaismoduls durchzuführen. Werden durch die vorgegebenen Testzyklen alle Elementarrelais geprüft, bevor das Ende des Proof-Test-Intervalls erreicht ist, entsteht kein zusätzlicher Aufwand für Proof-Tests.
Kontrolle feldseitiger Leitungen
Selbst wenn das Sicherheitsrelais einwandfrei funktioniert, kann ein Zugriff auf die Sicherheitsfunktion scheitern, zum Beispiel bei unerkannten Leitungsfehlern. Bei herkömmlichen Lösungen ist eine steuerungsseitige Leitungsfehlererkennung bis zum Feldgerät über die galvanische Trennung des Moduls hinweg nicht ohne Weiteres möglich. Der spezifische Leitungsfehler lässt sich nur mit zusätzlicher Verdrahtung eines Fehlermeldeausgangs am Modul an die Steuerung melden.
Allerdings ist gerade bei ETS-Anwendungen die Kontrolle des Signalkreises auf Leitungsfehler unabdingbar, sonst bleiben feldseitige und für ETS-Anwendungen gefährliche Fehler unentdeckt. In solch einem Fall kann beispielsweise Löschmittel nicht mehr zugeführt werden. Mit einer Leitungsfehlertransparenz (LFT) werden Kurzschlüsse und Leitungsbrüche auch feldseitig erkannt und einem spezifischen Signalkreis zugeordnet. Dafür ist keine zusätzliche Verdrahtung nötig.
Der Relaisbaustein überwacht dabei die angeschlossene Last im Feld. Liegt ein Fehler in der Feldverdrahtung (Kurzschluss, Leitungsbruch) vor, wird der Eingang des Relaismoduls in einer Art verstimmt, dass die diagnosefähige DO-Karte (Digital Output) des Leitsystems daraus den Fehler auf der Feldseite erkennen kann.
Fazit
Konstruktive Maßnahmen bei Sicherheitsrelais können dazu beitragen, die Zuverlässigkeit zu erhöhen und den Aufwand für Proof-Tests zu senken. Bei einer 1oo3-Architektur ist die Sicherheitsfunktion selbst beim Ausfall von zwei Elementarrelais noch gewährleistet. Dieses Konstruktionsprinzip ermöglicht darüber hinaus eine Diagnose durch zeitversetztes Schalten der einzelnen Relais.
Sicherheitsrelais können darüber hinaus eine Überwachung des gesamten Signalkreises gewährleisten und so beispielsweise auch vor einer sicherheitsgerichteten Schalthandlung gefährliche Fehler aufdecken.