Dreifach sichert besser

Sicherheitsrelais auf 1oo3-Architektur

Anlagenbau
Chemie
Pharma
Ausrüster
Planer
Betreiber
Einkäufer
Manager

05.07.2018 Für die Zuverlässigkeit von sicherheitsgerichteten Anwendungen in prozesstechnischen Anlagen spielt die Signalübertragung eine entscheidende Rolle. Neue auf einer 1oo3-Architektur („one-out-of-three“) basierende Sicherheitsrelais bieten eine einfache Diagnose, sind leitungsfehlertransparent (LFT) und immun gegen Testpulse.

Anzeige

Entscheider-Facts für Betreiber

  • Sicherheitsrelais mit zwangsgeführten Kontakten bieten zwar den Vorteil, sofort über eine Fehlfunktion nach der Schaltanforderung informieren zu können. Fällt ein einzelner Kontakt aus, kann dies zwar erkannt, der Aktor aber nicht aus- oder angeschaltet werden.
  • Neue Sicherheitsrelais, die auf einer 1oo3-Architektur („one-out-of-three“) basieren, stellen eine Alternative dar.
  • Sie bieten eine einfache Diagnose, sind leitungsfehlertransparent (LFT) und immun gegen Testpulse.

eingehängte Karabinerhaken

Auch wenn zwei Stricke reißen – bei der 1oo3-­Architektur sind die Schaltkontakte dreifach redundant ausgeführt. Bild: rupbilder – AdobeStock

Untersuchungen zufolge sind rund 90 % der Sicherheitsanwendungen nach dem DTS-Prinzip (Deenergized-to-safe) ausgeführt. Bei ETS-Sicherheitsanwendungen (Energized-to-safe) sind alle Fehler, die dazu führen, dass der Aktor nicht mehr eingeschaltet werden kann, gefährliche Fehler. Da diese – verglichen mit DTS-Anwendungen – insgesamt häufiger auftreten können, sind die Proof-Test-Intervalle für derartige Loops in der Regel kürzer als bei DTS-Anwendungen.

Dreifach redundant ausgeführt

Die neuen Sicherheitsrelais von Pepperl+Fuchs basieren auf einer 1oo3-Architektur, das heißt, Schaltkontakte sind dreifach redundant ausgeführt. Für DTS-Anwendungen bedeutet dies drei Kontakte in Serie und für ETS-Signalkreise drei, die parallel angeordnet sind. In beiden Fällen bleibt die Sicherheitsfunktion bei Ausfall von bis zu zwei Kontakten aufrechterhalten. Die Diagnosefunktion schaltet die drei Kontakte der 1oo3-Architektur bei einem Schaltvorgang zeitverzögert nacheinander. Bei ETS-Anwendungen werden bei drei aufeinander folgenden Schaltvorgängen zyklisch jeweils alle drei Relais der beiden Kontaktgruppen jeweils einmal zuerst geschlossen. Während der Verzögerungszeit prüft das Gerät, ob der erste Kontakt richtig schaltet und erkennt fehlerhafte Kontakte.

presse_high_RGB_300dpi

Die Sicherheitsrelais bieten eine einfache Diagnose, sind leitungsfehlertransparent und immun gegen Testpulse. Bild: Pepperl+Fuchs

Im DTS-Gerät öffnen sich dagegen zunächst zwei Kontakte. Überprüft wird dann der dritte Kontakt, der sich wiederum zeitverzögert öffnet. In den meisten Fällen geben Vorschriften oder Ausfallraten mechanischer Komponenten – beispielsweise von Aktoren – den Testzyklus des Sicherheitskreises vor. Typisch ist ein jährlicher Turnus. Beim Test der Aktoren wird immer gleichzeitig auch einer der drei Kontakte des Sicherheitsrelais geprüft. Das heißt, dass nach drei Jahren der Relaisbaustein einmal vollständig getestet ist. Die Zeit von maximal drei Jahren liegt deutlich unter den Proof-Zeiten der Geräte, es entsteht daher für den Proof-Test kein zusätzlicher Aufwand. Alternativ sind für einen kompletten Proof-Test des Relaismoduls einfach sukzessive drei Schaltvorgänge möglich.

Unabhängig von der Diagnose ist die 1oo3-Architektur für Anwendungen in der Prozessautomation zwangsgeführten Kontakten vorzuziehen. Diese bieten zwar den Vorteil, den Zustand des Schaltkontaktes permanent und automatisch zu überwachen und so sofort nach der Schaltanforderung über eine Fehlfunktion informieren zu können. Allerdings bieten sie eine geringere Verfügbarkeit als Geräte mit 1oo3-Architektur: Fällt ein einzelner Kontakt eines zwangsgeführten Relais aus, kann dies zwar erkannt, der Aktor aber nicht aus- oder angeschaltet werden. Außerdem ist die Verdrahtung aufwendig und es entstehen Kosten für Auswertekanäle in der Steuerung, die notwendig sind, um die Information über die Lage des Schaltkontaktes rückzuführen.

Ein weiterer Nachteil zwangsgeführter Kontakte bei ETS-Anwendungen: Wenn sich ein zwangsgeführter Kontakt bewegt, bedeutet dies nicht automatisch, dass auch ein Strom fließt. Verschmutzte oder korrodierte Kontakte können im Extremfall zu so hohen Kontaktwiderständen führen, dass die Sicherheitsfunktion nicht mehr verfügbar ist. Zudem kommt es dann beim Rückmelden über den Status des Schalters zu der gefährlichen Fehlinformation, dass über den Schaltkontakt eine leitende Verbindung hergestellt sei.

Fehler erkennen ohne zusätzliche Verdrahtung

Bei vielen existierenden Lösungen erfolgt die Meldung von Leitungsfehlern in der Regel über LED am Modul selbst sowie optional als Sammelfehlermeldung an der Fehlermeldeeinheit. Eine feldseitige Leitungsfehlererkennung über die galvanische Trennung des Moduls hinweg bis zum Feldgerät ist so nicht möglich. Mit LFT ist es nun möglich, Leitungsbrüche oder Kurzschlüsse ohne zusätzliche Verdrahtung auch feldseitig zu erkennen. Ein LFT-fähiger Relaisbaustein überwacht die angeschlossene Last im Feld. Liegt ein Fehler in der Feldverdrahtung vor, wird der Testpulsfilter auf der Eingangsseite verstimmt. Die DO-Karte des Leitsystems kann so über dort integrierte Diagnosemaßnahmen den Fehler auf der Feldseite erkennen. Alternativ stellen die Relaisbausteine noch einen Hilfskontakt zur Verfügung, womit der Anwender eine Rückmeldung der Leitungsfehlerinformation frei wählen kann.

DO-Karten von Steuerungssystemen verfügen heute meistens über integrierte Diagnosefunktionen. Dazu gehört, dass sie sogenannte Testpulse aussenden sowie den Feldkreis überprüfen. Dafür werden die Schleifenströme im ein- und ausgeschalteten Zustand durch die DO-Karte gemessen und ausgewertet. Die Module ermöglichen die Kompatibilität zwischen Feldgerät und Steuerung durch drei Maßnahmen: Die Testpulse, die von der DO-Karte kommen, werden am Eingang der Sicherheitsrelais gefiltert. Dies verhindert ein unbeabsichtigtes Schalten des Feldgeräts durch eine Diagnosemaßnahme oder die unbeabsichtigte Anzeige eines Leitungsfehlers in der Steuerung.

Das Sicherheitsrelais ermöglicht weiterhin, dass von der DO-Karte kommende Ströme fließen können, indem sie eine Minimallast im Ein-Zustand und einen Prüfstrom im Aus-Zustand bereitstellen. Auch dies beeinträchtigt die Schaltfunktion nicht. Die Relais verhindern darüber hinaus eine übermäßige Belastung der DO-Karte durch Stromspitzen, indem sie die zum Schalten notwendigen Eingangsströme minimieren.

Heftausgabe: Juli/2018

Über den Autor

Andreas Grimsehl ist Product Marketing Manager Interface Technology bei Pepperl+Fuchs
Loader-Icon