In prozesstechnischen Anlagen werden oft Güter erzeugt, die auch in kleinen Mengen einen beträchtlichen Wert darstellen. Weiterhin gibt es chemische Prozesse, deren Führungsgrößen wie Temperatur oder Druck ständig exakt überwacht werden müssen: Geraten die Führungsgrößen auf Grund fehlender Kommunikation außerhalb vorgegebener Grenzen, könnten Prozesse in einen technisch nicht mehr kontrollierbaren Bereich gelangen. Um dies zu verhindern, müssen die Anlagen wieder in einen sicheren Zustand gefahren oder angehalten werden. Das Fertigungsprodukt kann sonst meist nur noch entsorgt werden und für den Anwender entstünde ein großer wirtschaftlicher Schaden. Für solche hochwertigen Applikationen werden Netzwerkkonzepte benötigt, die eine hohe Anlagenverfügbarkeit sicherstellen und Kommunikationsprobleme im Netzwerk verhindern. Redundanzmanagerfunktion in Ethernet-Ringstrukturen Um die Verfügbarkeit eines als Linienstruktur definierten Ethernet-Netzwerks zu erhöhen, wurde vor einigen Jahren die Möglichkeit geschaffen, die \’Linienenden\‘ mithilfe eines als Redundanzmanager (RM) konfigurierten Ethernet-Switches zum Ring schließen zu können. Mithilfe konfigurierter Ringports übernimmt der Redundanzmanager die Kontrolle über die \’Linienenden\‘ und überwacht mittels Senden von Testtelegrammen (von Ringport zu Ringport) die ständige Verfügbarkeit der Linie. Kommen im fehlerfreien Betrieb seine Testtelegramme an seinen, intern nicht verbundenen Ringports (die Linienenden sind getrennt) wieder an, so ist die Linie intakt und die Kommunikation nicht gestört. Wenn es nun an irgendeiner Stelle im Ring zu einem Geräteausfall eines Ringteilnehmers oder zu einer Verbindungsunterbrechung kommt, ist die durchgehende Kommunikation gestört. Das kann durch einen ausgefallenen Ringteilnehmer oder durch eine Leitungsunterbrechung erfolgen. Ist dies der Fall, so empfangen die Ringports keine Testtelegramme des Redundanzmanagers mehr. Die interne Verbindung der beiden Ringports des Redundanzmanagers wird hergestellt (die Linienenden werden verbunden) und die Ethernet-Linie ist wieder durchgängig kommunikationsfähig. Dieser veränderte Zustand des Netzwerkes wird vom Redundanzmanager entsprechend über SNMP oder andere Meldewege an die Prozessleitstelle gemeldet. Das Rekonfigurieren der Ringstruktur erfolgt innerhalb von 300msec. Durch diese kurze Rekonfigurationszeit bleibt die Netzwerkstörung von der prozessführenden speicherprogrammierbaren Steuerung unbemerkt, der Prozess läuft ohne Störung weiter. Mithilfe der Redundanzmanagerfunktion lässt sich ein Kommunikationsfehler, also ein Ausfall eines Teilnehmers oder eine Leitungsunterbrechung, erkennen und entsprechend überbrücken. Durch das Durchschalten des Redundanzmanagers kann die unterbrochene Linie (sprich: die Linienteile) wieder zusammengeführt werden und die Kommunikation kann ungehindert weiterlaufen. Erhöhte Anlagenverfügbarkeit durch Observer-Funktionalität Die Funktion des Redundanzmanagers wird nicht durch eine spezielle Hardware realisiert, sondern kann durch Konfiguration einer Netzwerkkomponente aktiviert werden. Diese Netzwerkkomponente überwacht somit alle Netzwerkteilnehmer und Verbindungen im Ring. Eine Fehlfunktion der Hardware oder Software des Redundanzmanagers sowie eine Fehlkonfiguration durch den Anwender können jedoch zum fehlerhaften Verbinden der Linienenden führen. Im schlimmsten Fall kann es dadurch zur Netzwerkschleife und damit zum Totalausfall der Kommunikation sämtlicher angeschlossener Netzteilnehmer kommen: für Anlagen, die auf eine hohe Anlagenverfügbarkeit angewiesen sind, ein untragbarer Zustand. Um dieser Problematik zu begegnen, wurde beispielsweise von der Siemens AG die sogenannte Redundanzmanager-Observer-Funktion bei den Simatic-Net-Netzwerkkomponenten der Produktlinien Scalance X-300 und X-400 eingeführt. Diese Funktion bietet zusätzliche Möglichkeiten der Fehlerdiagnose und des Fehlerschutzes für eine sog. \’High Speed Redundancy (HSR)\‘-Ringtopologie. Hiermit können Fehlfunktionen des Redundanzmanagers oder Fehlkonfigurationen durch den Anwender in einem HSR-Ring überwacht werden. Generell sollte in einem Netzwerk eine zweite unabhängige Instanz in Form eines separaten Ringteilnehmers den Redundanzmanager überwachen und somit die Verfügbarkeit des Netzwerks erhöhen. Observer überwachte den Redunanzmanager Um die Observer-Funktion zu aktivieren, muss einer der beiden direkt benachbarten Ringteilnehmer neben dem Redundanzmanager entsprechend konfiguriert werden. Der als Observer konfigurierte Switch wertet die Testtelegramme des Redundanzmanagers aus, prüft, ob der Zustand des RM mit dem der Ringtopologie übereinstimmt und überwacht im fehlerfreien Betrieb des Ringes die Undurchlässigkeit des geblockten Ports des RM (die Trennung der Linienenden). Stellt der Observer nun anhand der Anzahl und der integrierten Diagnoseinformationen ein Fehlverhalten des Redundanzmanagers fest, so schaltet er seinerseits den Port in \’blocking\‘, der direkt mit dem Redundanzmanager verbunden ist. Dieser Zustand (Observer, active) wird über eine rote Fehler-LED und einen entsprechenden Meldetext am Scalance-Gerät signalisiert. Zusätzliche Meldewege sind E-Mail, SNMP-Trap und Event-Log-Table-Einträge. Nach einer festgelegten Wartezeit wird der Zustand des Redundanzmanagers erneut untersucht, ob der geblockte Port des Observers wieder freigegeben werden kann. Sollten innerhalb einer bestimmten Zeit zu viele Kommunikationsfehler zu schnell hintereinander auftreten, weil es zum Schwingen von Fehlerzuständen im Ring kommt, so schaltet der Observer seinen Port nicht mehr selbstständig frei und bleibt dauerhaft im Zustand \’active\‘. Der Anwender muss eingreifen, die Fehlerursache beseitigen und die Observerfunktion neu starten. Getrennte Softwaremodule erhöhen die Zuverlässigkeit Bei der Umsetzung der Observer-Funktion wurde von der Siemens AG Wert darauf gelegt, dass die Redundanzmanagerfunktion und die Observer-Funktion in getrennten Softwaremodulen ablaufen. So soll verhindert werden, dass sich Fehlfunktionen innerhalb der Redundanzfunktion in die Redundanzmanager-Observer-Funktion vererben. Redundanzmanager- und -Observer-Funktion stellen somit eine Kombination für Ethernet-Netzwerke dar, bei der die Verfügbarkeit, das Erkennen, Diagnostizieren und Überbrücken von Fehlern Priorität hat. Durch die Funktionen der Switche X-300 und X-400 aus der Scalance-X-Produktfamilie von Simatic Net werden diese Anforderungen bestmöglich erfüllt und helfen so, unnötige Produktionskosten durch Fertigungsunterbrechungen zu vermeiden.
Thematik: Allgemein
Siemens AG
