LösenAnheftenSchließen

19.08.2022

„Wir machen Redundanz einfach nutzbar“

Interview über TwinCAT Controller Redundancy

Veröffentlichung aus P&A International 2022, Juli, www.industr.com, publish-industry Verlag

Das Interview führten: Christian Vilsbeck und Jessica Bischoff, beide P&A

Fällt eine Steuerung aus, kann das gerade in der Prozessindustrie fatale Folgen haben. Redundant ausgelegte Systeme sollten deshalb in kritischen Prozessen Pflicht sein – allerdings ist die Realisierung oft komplex und teuer. Wie sich jetzt mit redundanter Steuerungstechnik die Ausfallsicherheit sehr einfach maximieren lässt, erläutert Dr. Henning Mersch, Produktmanager TwinCAT bei Beckhoff im Gespräch mit P&A.

Gibt es Redundanzlösungen von Beckhoff nicht schon seit vielen Jahren?

Ja, das ist richtig, bisher konzentrierten wir uns aber auf die Feldbus-Ebene. Wenn – vereinfacht ausgedrückt – ein Kabel zwischen dem Controller und den eigentlichen Feldbus-Elementen durch Bruch, mechanische Beschädigung oder Kontaktschwäche Daten nicht mehr richtig überträgt, dann ermöglichen wir über ein zweites Kabel die redundante Kommunikation über EtherCAT. Jetzt gehen wir die Ebene höher und legen unsere TwinCAT-Steuerung selbst redundant aus. Sollte diese aufgrund von zu harschen Umgebungseinflüssen, unbeabsichtigter mechanischer Belastung oder auch einem technischen Defekt ausfallen, übernimmt nahtlos die zweite Steuerung.

Dr. Henning Mersch, Produktmanager TwinCAT bei Beckhoff
Dr. Henning Mersch, Produktmanager TwinCAT bei Beckhoff

Skizzieren Sie doch bitte die Funktionsweise der neuen Lösung TwinCAT Controller Redundancy...

Unsere Controller-Redundanz basiert darauf, dass wir zwei Steuerungen nehmen, die natürlich das gleiche Programm ausführen. Es sind also symmetrische Abbilder auf beiden Seiten vorhanden, die absolut synchron ausgeführt werden müssen. Weil es meist unvorhersehbar ist, wann und ob eine Steuerung ausfällt, muss die zweite Steuerung immer die Prozesskontrolle mit allen wichtigen aktuellen Prozesswerten übernehmen können. Dafür gibt es zwischen den beiden Controllern eine Datenverbindung; das ist marktüblich und haben Marktbegleiter genauso. Allerdings nutzen wir hierfür als Besonderheit normales Ethernet. Wir benötigen im Vergleich zu Mitbewerbern also keine dedizierten Hardware-Komponenten für die Synchronisation zwischen den Controllern. Durch den technischen Fortschritt unserer TwinCAT-Steuerungen haben wir bereits serienmäßig Netzwerkverbindungen im Gigabit-Bereich an Bord für die Echtzeitsynchronisation. Und dann gibt es noch die Kommunikation der Steuerung zur Feldbus-Ebene. Hierfür erhält jede Steuerung unseren Echtzeit-Ethernet-Port-Multiplier CU2508. Und auch zwischen diesen beiden Multipliern stecken wir ein Verbindungskabel. Wenn die Datenverbindung zwischen den beiden Steuerungen ausfällt, müssen wir sicherstellen, dass jede Seite entscheiden kann, ob die andere Steuerung oder nur die Datenverbindung ausgefallen ist. Und das machen wir unten über diesen zweiten Kommunikationsweg der beiden CU2508. Somit bieten wir zusätzliche Ausfallsicherheit. Von den Port-Multipliern geht es nach unten ganz normal über EtherCAT weiter, wo wir ebenfalls Redundanz anbieten können.

Für die Synchronisation der beiden Steuerungen über Ethernet gibt es doch bestimmt spezielle Anforderungen? Haben Sie hier ein eigenes Synchronisationsprotokoll entwickelt, um Ihre Ansprüche zu erfüllen?

Absolut, das ist ein eigenes Protokoll. Das hat auch mit EtherCAT nicht viel gemeinsam, weil wir dort ganz andere Daten übertragen müssen. Bei dieser horizontalen Kommunikation zwischen den beiden Steuerungen müssen die Prozessabbilder nicht nur möglichst schnell übertragen, sondern auch in hochoptimierten Paketen bereitgestellt werden. Nur so kann die andere Seite die Daten auch wieder schnell in Echtzeit verarbeiten. Um diese Anforderung über Ethernet zu erfüllen, mussten wir ein neues Synchronisationsprotokoll entwickeln.

Gibt es bei der TwinCAT Controller Redundancy eigentlich ein Primär- und Sekundärsystem, oder regelt das die Lösung automatisch?

Kundenfeedback und eigene Erfahrungen zeigen, dass die Festlegung durch den Anwender am sinnvollsten ist. Das fängt bei ganz trivialen Dingen wie der Inbetriebnahme der Systeme an, wo es sonst in der Praxis immer wieder zu unterschiedlichen Situationen kommen kann. Eine Steuerung wird also als das primäre und somit im Regelbetrieb aktive System festgelegt, das sekundäre agiert im Hintergrund passiv mit. In der Prozesstechnik ist auch üblich, beispielsweise bei redundant ausgelegten Pumpen routinemäßige Umschaltungen zur Kontrolle zu machen. Und genau das ermöglichen wir auch mit unserer Controller-Redundanz. Der Anwender kann also den Ernstfall jederzeit gefahrlos prüfen, ohne einen mutwilligen Ausfall zu provozieren.

Ist Ihre TwinCAT Controller Redundancy eigentlich komplett Software-basierend, oder mussten Sie die Hardware der Steuerungen anpassen?

Ja, die Lösung ist ein reines Softwareprodukt – das macht TwinCAT Controller Redundancy auch preislich äußerst attraktiv. Wie erwähnt, nutzen wir als zusätzliche Hardware aber die Echtzeit-Ethernet-Port-Multiplier CU2508, die wir schon lange im Programm haben und nicht extra entwickelt wurden.

Jetzt ist die Redundanz zwischen den Steuerungen und auch nach unten in die Feldebene sichergestellt. Doch wie kommunizieren die Steuerungen im Ernstfall eines Defekts mit den übergelagerten Systemen?

Unsere Kommunikationsschnittstelle nach oben stellt bei TwinCAT Controller Redundancy eine virtuelle Redundanzadresse zur Verfügung. Übergelagerte Systeme kommunizieren darüber automatisch immer mit dem aktiven System und sehen überhaupt nicht, ob es die Primär- oder Sekundärsteuerung ist. Zusätzlich bieten wir die Möglichkeit, beide Steuerungen auch über deren reale Adresse anzusprechen. Das ist beispielsweise für Diagnoseprogramme notwendig, die den Status der Redundanzlösung überprüfen wollen. Eine weitere neue Funktion ist, dass unsere TwinCAT-Steuerung über das Parallel Redundancy Protocol (PRP) nach oben auch über zwei redundant ausgelegte Ethernet-Netzwerke kommunizieren kann. Hierfür werden zwei getrennte Netzwerk-Schnittstellen pro Industrie-PC genutzt. Anwender können also auch oberhalb der Steuerungsebene Redundanz realisieren, die von unseren Steuerungen dann automatisch unterstützt wird.

Was antworten Sie abschließend auf die Frage, warum Kunden bei redundanten Lösungen auf Beckhoff setzen sollten?

Weil wir bei Beckhoff mit unserer PC-basierten Steuerung und der Absicherung zwischen diesen beiden Controllern immer noch eine sehr offene Schnittstelle anbieten. Wir haben also kein komplett geschlossenes Redundanzsystem, sondern können auf den Steuerungen wie von Beckhoff gewohnt zusätzlich ganz normal Kundenprogramme ausführen. Hier bieten wir eine absolute Besonderheit an, die redundante Steuerungslösungen viel „alltagstauglicher“ machen und die Usability deutlich erhöht. Gleichzeitig weisen unsere Controller durch die hochmodernen Prozessoren eine Rechenleistung auf, die andere Mitbewerber für redundante Steuerung kaum erreichen.

Weitere Informationen