Die Kommunikation über Feldbus wird in der Prozessautomation wegen ihrer hohen Zuverlässigkeit geschätzt. Aber auch sie ist – wie jede Installationstechnik – von Fehlern und Ausfällen nicht ausgenommen. Doch wie hoch ist das Ausfallrisiko wirklich? Berechnungen bilden die reale Situation nur unzureichend ab. Das führt nicht nur zu verfälschten Grundannahmen, sondern häufig auch zu teuren und kaum wirksamen Schutzmaßnahmen.
Ein Verständnis von relevanten Ursachen und wirksamen Schutz sind Voraussetzung, um die Feldbusverfügbarkeit nachhaltig zu erhöhen. Berechnungen zur Verfügbarkeit basieren auf Angaben, Annahmen und Betrachtungen aus der Wahrscheinlichkeitsrechnung. Im langjährigen Austausch mit Anwendern haben Mitarbeiter von Pepperl+Fuchs jedoch immer wieder die Erfahrung machen müssen, dass diese Annahmen häufig realitätsfern oder sogar schlichtweg falsch sind. Die Ergebnisse solcher Berechnungen können folglich die Wirklichkeit nur unzureichend abbilden.
Das International Electrical Vocabulary (IEV) kennt 47 Definitionen des Begriffs Verfügbarkeit und entsprechend unterschiedliche Möglichkeiten der Berechnung. Dabei wird die stationäre Verfügbarkeit zumeist kurz als Verfügbarkeit (A) bezeichnet. Sie ist definiert als der Mittelwert der momentanen Verfügbarkeit in einem Zeitintervall. Die mittlere Dauer bis zum Ausfall, genannt MTTF (Mean Time To Failure), und die mittlere Störungsdauer, genannt MDT (Mean Down Time), dürfen für eine vereinfachte Berechnung der stationären Verfügbarkeit verwendet werden, sofern diese Werte konstant sind. Dann erfolgt die Berechnung anhand der Formel:
Fälschlicherweise wird für die MTTF häufig der Kehrwert der Ausfallrate Lambda eines Produkts oder von hintereinander geschalteten Produkten herangezogen – wie etwa bei einem Feldbussegment. Diese Vorgehensweise bildet jedoch nur den zufälligen Ausfall der Komponente(n) ab. Kriterien, die in der Praxis eine entscheidende Rolle für die Verfügbarkeit spielen, bleiben dabei unberücksichtigt. So ergibt sich eine deutliche Diskrepanz zwischen Theorie und Praxis, wenn die Einflüsse der Umgebung sowie die Betriebsweise und deren Auswirkungen für die Berechnung nicht mit einbezogen werden. Ein Blick in die Alarm- und Ausfallstatistik zeigt, dass diese häufiger als zufällige Fehler zu einem Geräteausfall führen.
MTTF des Menschen: 1401 Jahre
Wie sehr diese Sicht bei der Berechnung der Verfügbarkeit die Realität verzerren kann, zeigt eine einfaches Beispiel: Wird an die Stelle von Prozessanlagen der Mensch in seiner Funktion als Arbeitnehmer gesetzt, ermittelt man nach der obengenannten Vorgehensweise eine MTTF von 1401 Jahren oder 72.800 Wochen. Dieser Wert berücksichtigt jedoch nur den „Totalausfall" – also den möglichen Tod eines Arbeitnehmers, was die tatsächliche Verfügbarkeit im Berufsleben nicht realistisch abbildet. Mit Blick auf die Badewannenkurve des Menschen am Beispiel der Bundesrepublik Deutschland ergibt sich diese hohe MTTF aus dem reziproken Wert der „Ausfallrate" für Männer 0,71375 Promille. Das ist der Wert am „Boden" der Badewannenkurve. Wird weiter angenommen, dass für einen ausgefallenen Mitarbeiter nach sechs Wochen Ersatz gefunden würde (=MDT), ergäbe sich die folgende Berechnung der Verfügbarkeit:
Wichtige Aspekte des Berufsalltags bleiben hier natürlich unberücksichtigt. Häufigere Ursachen für eine Abwesenheit vom Arbeitsplatz sind Urlaub, Krankheit, Arztbesuche oder Dienstreisen, die mehrmals im Jahr vorkommen können. Davon ausgehend, dass es aus diesen Gründen zwei Mal im Jahr zu einem Ausfall von durchschnittlich zwei Wochen kommt, ergibt sich für die Verfügbarkeit folgende Rechnung:
Ein Wert, der den tatsächlichen Beobachtungen in der Praxis eher entspricht, weil er die Arbeits- und Umgebungsbedingungen vollständig abbildet – ganz anders als die Berechnung mit dem Kehrwert von Lambda.
Die richtige Methode, die Feldbusverfügbarkeit zu berechnen, ist nur der erste Schritt. Basierend auf verlässlichen Zahlen zur tatsächlichen Verfügbarkeit gilt es nun, Maßnahmen zu ergreifen, mit denen die Ausfallrisiken reduziert und folglich die Verfügbarkeit erhöht werden kann. Es bieten sich vier Methoden an, um sich gegen den Ausfall einer Komponente oder eines Anlagenteils zu schützen und damit die MTTF positiv zu beeinflussen.
Ausfallrisiken wirkungsvoll reduzieren
Als Erstes sind vorbeugende Maßnahmen und Verfahrensanweisungen zu nennen. Schon der korrekte und schonende Umgang mit Technik hilft häufig, Ausfälle deutlich zu reduzieren. Zweitens: die vorausschauende, automatisierte Handhabung von Fehlern. Bei dieser Methode kommen Techniken und Komponenten zum Einsatz, die eigens dafür entwickelt wurden, typische Fehler gezielt und proaktiv zu erkennen und zu isolieren – bevor sie sich ausweiten können. Die Folgen eines Fehlers bleiben so auf ein stillgelegtes Gerät begrenzt, während die Anlage selbst in Betrieb bleibt. Wenn im Falle eines Kurzschlusses beispielsweise ein Messgeräteanschluss abgeschaltet wird, würde das Feldbussegment nicht beeinträchtigt, da der Ausfall einer einzelnen Messstelle tolerierbar ist.
Drittens: Das Erkennen von Störungen durch Diagnose. Hier werden mit Hilfe von Überwachung die Abweichungen des aktuellen Zustands vom bestmöglichen Zustand erkannt und an die Leitwarte gemeldet. Bevor sich diese Tatsache negativ auf die Gesamtfunktion auswirken kann, wird proaktiv eingegriffen. Wird beispielsweise bei Füllstandsensoren mit einer Schwinggabel eine Änderung der Frequenz gemessen, deutet dies auf ein Verkleben eines Sensors hin. Als vierte Methode ist die Redundanz zu nennen. Sie schützt vor Ausfällen, deren Ursachen beim Gerät selbst zu suchen sind. Die Redundanz ist unverzichtbar, wenn solche Fehler nicht anders zu vermeiden sind, aber im Sinne der Sicherheit oder Anlagenverfügbarkeit zwingend beherrscht werden müssen. Das ist zum Beispiel bei der Stromversorgung und den Leittechnikkarten der Fall – oder auch bei Feldgeräten, wenn eine sehr hohe Verfügbarkeit des Messkreises erforderlich ist.
Was sind die typischen Fehlerszenarien bei Feldbusinstallationen und welche konkreten Maßnahmen schützen vor diesen Versagensursachen? Die Antwort auf diese Frage ist die Grundlage für eine richtige Auswahl von Komponenten, Methoden und Prozeduren. Der zweite Teil dieses Artikels wird daher nicht nur die Ergebnisse mehrjähriger Untersuchungen von Pepperl+Fuchs zu den typischen Fehlerszenarien erläutern. Vorgestellt wird auch eine Methode, die das Unternehmen zur Versachlichung der Diskussion empfiehlt, um jeder Ursache eine wirksame Schutzmaßnahme zuzuordnen oder den vorhandenen Schutz objektiv zu bewerten.
