In den einschlägigen Vorschriften der Schiffsklassifizierungsbehörden werden die zum Betrieb eines Schiffs notwendigen Systeme anhand ihrer Funktion und Wichtigkeit in die Kategorien Essential, Important, Emergency und Non-Important unterteilt. Bereits an der Namensgebung lässt sich unschwer erkennen, dass die in den ersten drei Kategorien aufgelisteten Systeme zur Aufrechterhaltung des Schiffsbetriebs sowie für die Sicherheit an Bord unerlässlich sind. Unter Essential Services fallen sämtliche Systeme, welche die Manövrierbarkeit des Schiffs sicherstellen. Die Kategorie Important umfasst Systeme, die zwar nicht im direkten Zusammenhang mit der Manövrierbarkeit des Schiffs stehen, aber trotzdem für eine wichtige Funktion auf dem Schiff zuständig sind. Dabei kann es sich z.B. um Feuerlöschsysteme handeln.
In puncto technische Verfügbarkeit dieser Systeme gilt generell folgende Regel: Der Ausfall einer einzelnen Komponente darf nicht zum Ausfall einer wesentlichen Funktion auf dem Schiff führen. Für die Automatisierungstechnik, die zur Steuerung und Überwachung dieser Systeme verantwortlich ist, resultiert daraus der Einsatz redundanter Steuerungs- und Netzwerktopologien. In diesem Zusammenhang wird von hochverfügbaren Systemen gesprochen, deren spezieller Aufbau dafür Sorge trägt, dass das System beispielsweise beim Ausfall der Steuerung oder einer Netzwerkleitung auf die intakte, redundant ausgeführte Komponente umschaltet, um so den Ausfall des Systems zu verhindern.
Bislang meist proprietäre Konzepte
In der maritimen Automatisierungswelt erweist sich diese Anforderung nicht als neu. Es gibt eine Reihe von Systemanbietern, die solche fehlertoleranten Systeme zur Verfügung stellen. Meist basieren die zum Aufbau einer Redundanz erforderlichen Erweiterungen der Kommunikationsprotokolle auf teils proprietären Mechanismen. Phoenix Contact bietet seit rund 15 Jahren ebenfalls ein Redundanzkonzept auf der Grundlage des klassischen Steuerungsportfolios an. In dieser Lösung wird im Kommunikations-Stack der Feldgeräte eine proprietäre Erweiterung vorgenommen, damit die Daten parallel zwischen den I/O-Stationen und den redundant ausgelegten Steuerungen übertragen werden können. In der Praxis verrichtet eine Vielzahl dieser Systeme ihren Dienst ordnungsgemäß und hat sich bewährt. Möchte ein Systemintegrator jedoch ein Feldgerät eines anderen Herstellers – etwa eine I/O-Station oder einen Frequenzumrichter – in das Netzwerk integrieren, ist dies lediglich bedingt oder überhaupt nicht möglich.
Bei der Implementierung der Redundanzfunktion in die neueste Steuerungsgeneration auf Basis der PLCnext-Technology hat der Hersteller daher die oberste Priorität auf die Verwendung offener und für jeden Gerätehersteller zugänglicher Industriestandards gelegt. Als Ergebnis beruht die sogenannte applikative Systemredundanz (ASR) auf mehreren generischen Kernelementen, welche die Redundanzfunktion in den verschiedenen Kommunikationsebenen einer Automatisierungslösung abbilden.
Nutzung der Profinet-Redundanzmechanismen SRL und MRP
Das erste Kernelement, bei welchem der Redundanzmechanismus der Profinet-S2-Systemredundanz Anwendung findet, ist für den Datenaustausch zwischen I/O-Stationen und den redundant ausgeführten Steuerungen zuständig. Bei der Profinet-S2-Systemredundanz (SRL) bauen beiden SPS eine logische Kommunikationsbeziehung (AR) zur I/O-Station (Device) auf. Die I/O-Station versendet die Eingangsdaten parallel an beide Steuerungen und stellt somit für die SPS das identische Prozessdatenabbild bereit. Im Gegenzug übermitteln beide Steuerungen ihre Ausgangsdaten, versehen mit der momentanen Redundanzrolle – Primary oder Backup -, an die I/O-Station, wobei diese nur die Primary-Daten an die Ausgangsmodule weiterleitet. Tritt in der aktuellen Primary-SPS ein Problem auf, werden die Redundanzrollen getauscht und die I/O-Station übernimmt jetzt die Ausgangsdaten der Backup-Steuerung. Die Überwachung der beiden SPS untereinander sowie das Aushandeln der Redundanzrolle verantwortet ein Funktionsbaustein im Applikationsprogramm. Über weitere Funktionsbausteine lassen sich auch Werte von programminternen Variablen synchronisieren.
Um sicherzustellen, dass alle genutzten Feldgeräte die Profinet-S2-Systemredundanz in geeigneter Form unterstützen, überprüft die Programmiersoftware PLCnext Engineer die notwendigen Attribute in der Gerätebeschreibungsdatei schon in der Projektierungsphase. Neben dieser logischen Kommunikationsbeziehung SRL sorgt das zweite Kernelement, das Medienredundanz-Protokoll (MRP), für die Redundanz auf der physikalischen Netzwerkebene. Bei MRP wird das Netzwerk als einfache Ringstruktur ausgeprägt. Sind sämtliche Netzwerkverbindungen intakt, ist einer der beiden Ethernet-Ports am MRP-Manager geblockt und die betroffene Netzwerkverbindung folglich nicht aktiv. Der MRP-Manager erkennt den Ausfall einer beliebigen Netzwerkleitung innerhalb der Ringstruktur. In diesem Fall gibt er den blockierten Port frei und stellt damit sicher, dass alle Netzwerkteilnehmer weiterhin die an sie gerichteten Datentelegramme erhalten. Beide Profinet-Redundanzmechanismen – SRL und MRP – sind Teil der Profinet-Spezifikation und werden bei der Gerätezertifizierung getestet.
Betrieb in getrennten Profinet- und OPC-UA-Netzwerken
Das dritte Kernelement der ASR bezieht sich auf den Datenaustausch zwischen den redundanten Steuerungen und Visualisierungsgeräten. Als Übertragungsprotokoll wird OPC UA verwendet, das sich im industriellen Umfeld zur vertikalen Kommunikation zwischen Steuerung und Visualisierung etabliert hat. OPC UA ist unabhängig von Betriebssystemen und lässt sich auf unterschiedlich performante Geräte adaptieren – von kompakten Touch Panels bis zu großen Scada-Netzwerken. Die Visualisierungsgeräte werden über einen Softwareschalter im OPC UA Client der Visualisierungssoftware an die beiden redundanten Steuerungen angekoppelt.
Der OPC-UA-Server ist direkt in das Betriebssystem der PLCnext-Steuerungen eingebettet. Beim OPC-UA-Client handelt es sich hingegen um einen Bestandteil der Visualisierungssoftware. Zur Projektierung einer Verbindung zwischen Client und Server wird auf dem Client ein entsprechender Endpoint definiert. Abgesehen von den Sicherheitseinstellungen legt der Anwender dabei im Wesentlichen die IP-Adresse des Servers fest. Im Fall der Anbindung an redundante Steuerungen lässt sich dann zusätzlich die IP-Adresse eines Backup-Endpoints vergeben. Zur Laufzeit des Systems sorgt eine Logik in der Visualisierung dafür, dass der OPC-UA-Client stets automatisch mit der SPS verbunden ist, welche die Primary-Rolle innehat. Da beide Protokolle – OPC UA und Profinet – Standard-Ethernet-Mechanismen nutzen, können die Protokolle problemlos in einem Netzwerk kombiniert werden. In Abhängigkeit von der Anlagengröße und vom Zweck der Netzwerksegmentierung lassen sich die beiden Kommunikationsstandards ebenso in getrennten Netzwerken betreiben.
Die PLCnext-Steuerung AXC F 3152 verfügt über drei voneinander unabhängige Netzwerkschnittstellen. Somit ist eine der Schnittstellen für das I/O-Netzwerk (Profinet) und die andere für das Scada-Netzwerk (OPC UA) einsetzbar. Infolgedessen können für diese beiden Kommunikationsbereiche verschiedene Netzwerktopologien verwendet werden. Während das I/O-Netzwerk mittels Media Redundancy Protocol (MRP) als einfache Ringstruktur ausgeführt wird, kann sich für das Scada-Netzwerk eine auf dem Rapid Spanning Tree Protocol (RSTP) basierende vermaschte Netzwerkstruktur als zweckmäßig erweisen.
Kommunikationsmodule für maritime Protokolle
Letztlich bietet die applikative Systemredundanz viele Möglichkeiten, die Redundanzfunktion an die Bedürfnisse des jeweiligen Anlagentyps anzupassen. In der maritimen Automatisierungswelt gibt es ebenfalls spezielle Protokolle. Dazu gehören NMEA0183 für Navigationssensoren oder J1939, ein Übertragungsprotokoll auf der Grundlage von CAN, das bei maritimen Verbrennungsmotoren Anwendung findet. Um Daten aus diesen Subnetzwerken in das redundante Automatisierungssystem zu integrieren, sind besondere Kommunikationsmodule erhältlich, die direkt an eine I/O-Station angereiht werden können. Ist z.B. ein solcher Verbrennungsmotor mit einem dualen CAN-Netzwerk ausgestattet, lassen sich zwei Kommunikationsmodule nutzen, die sich vorzugsweise in unterschiedlichen I/O-Stationen befinden. Neben der Redundanz in der Steuerungs- und Netzwerkebene wäre auf diese Weise eine höhere Verfügbarkeit hinsichtlich dieser Kommunikationsschnittstelle gegeben.
