Hochverfügbar durch Redundanz

Redundant ist etwas dann, wenn es mehrfach in gleicher oder sehr ähnlicher Ausführung vorhanden ist. Hochverfügbarkeit wird üblicherweise sichergestellt, indem bei Ausfall einer Systemkomponente eine für diesen Fall bereitgehaltene gleichwertige Komponente die Aufgaben der ausgefallenen übernimmt. Weil die Wahrscheinlichkeit gering ist, dass zwei gleichartige Komponenten gleichzeitig ausfallen, werden hohe Verfügbarkeitswerte erreicht.
Für ein hochverfügbares Gesamtsystem müsste jede einzelne Komponente doppelt ausgeführt und mit einem Umschaltmechanismus für den Versagensfall versehen sein. Allerdings sind dabei die Kosten der Redundanz der Wahrscheinlichkeit und den Folgekosten eines Komponentenausfalls gegenüberzustellen. Daher ist es meist nicht sinnvoll etwa Motoren doppelt auszuführen. Bei Sensoren, Aktoren und I/O-Modulen sowie Feldbus- oder Netzwerkleitungen hingegen sieht das anders aus. Das Herz einer redundanten Automatisierung ist die CPU als ihr komplexester Bestandteil, deren Ausfall die folgenschwersten Auswirkungen verursacht.


Redundanzkosten senken

Bisher war der Aufbau ausfalltoleranter Systeme mit redundanten Rechnern oft mit sehr hohen Kosten verbunden und blieb daher auf spezielle Anwendungen – etwa in der Prozessindustrie, in der Energieerzeugung oder in Verkehrssystemen – beschränkt. Der Grund: Dort ist mit sehr hohen Folgekosten oder -schäden zu rechnen.
Mit der CPU-Redundanz für das B&R-X20-System als Teil der Softwareumgebung Automation Studio 4 sinkt diese Schwelle auf einen Wert, der die Hochverfügbarkeit auch für kleine Anwendungen in der klassischen Maschinenautomatisierung attraktiv und wirtschaftlich macht. Zudem ist es den B&R-Entwicklern gelungen, die Funktion so zu gestalten, dass mit Automation Studio 4 erstellte Automatisierungslösungen mit identischen Hardware-Produkten wahlweise mit und ohne CPU-Redundanz ausgeführt werden können. Das eröffnet Maschinenbauern die Möglichkeit, die Ausfallssicherheit sehr günstig als Option und sogar auch zur späteren Nachrüstung anzubieten.


Ohne Verzögerung reagieren

In der von B&R gewählten Lösung dient eine Zentraleinheit als prozessführende aktive CPU, die andere läuft nicht-prozessführend im inaktiven Modus. Eine kontinuierliche Überwachung aller Netzwerkfunktionen stellt sicher, dass sie im Ernstfall ohne erneutes Booten die Funktion der aktiven CPU übernehmen kann. Während der inaktiven Phase ist die nicht-prozessführende CPU jedoch keineswegs untätig. Zum einen ist sie durch die Querverkehrsfähigkeit des Feldbusses POWERLINK in der Lage, den gesamten Datenverkehr mitzuhören und damit auch das Synchronisierungssignal der prozessführenden CPU zu überwachen, um ohne Verzögerung innerhalb eines Netzwerkzyklus auf deren Ausfall zu reagieren.
Zum anderen tauscht sie mit dieser über einen Redundanz-Link ständig Daten aus, um taktaktuell auf dem identischen Stand zu sein. Diese vom Feldbus unabhängige, schnelle LWL-Schnittstelle wird durch Redundanz-Interfacemodule hergestellt. Das ermöglicht die Verwendung unveränderter CPUs aus dem X20-Produktportfolio zum Aufbau hochverfügbarer Systeme. Eigene, wegen der geringeren Stückzahl meist teurere Redundanz-Zentraleinheiten sind somit nicht nötig. Das hält die Initialkosten zusätzlich gering und reduziert auch den logistischen Aufwand. Darüber hinaus wird es auf einfache Weise möglich, ein System mit geringen Änderungen wahlweise mit oder ohne CPU-Redundanz auszuführen. „Auch aus Sicht eines eventuell übergeordneten Leitsystems ist irrelevant, welche physikalische CPU zur jeweiligen Zeit aktiv ist“, bestätigt Manfred Mitterbuchner, als Technical Manager Automation Software bei B&R verantwortlich für die CPU-Redundanz. „Da die jeweils aktive CPU immer dieselbe IP-Adresse trägt, ist auch an dieser Stelle keine Anpassung erforderlich.“


Umschaltung in wenigen Millisekunden

Eines der heiklen Themen innerhalb der Redundanz ist die Umschaltzeit: Ihre Dauer entscheidet darüber, wie lange eine Anlage quasi im Blindflug läuft oder ob diese Zeitdauer aufgrund der dahinterliegenden Anlagentechnik überhaupt akzeptabel ist. Dieses Thema verliert in der Lösung von B&R weitgehend ihre Brisanz. Der Grund: Die Umschaltzeit der CPU-Redundanz mit B&R-X20-Systemen liegt im Bereich von 1 bis 2 Task-Klassen am I/O-Bus – beträgt also nur wenige Millisekunden.
Gegenüber häufig angetroffenen Werten im Bereich von einigen hundert Millisekunden ist das eine maßgebende Größenordnung. Sie ermöglicht eine sehr schnelle und stoßarme Übernahme der Prozessführung im Fehlerfall ohne teure Stillstandzeiten.
Die schnelle Umschaltung zwischen aktiver und inaktiver CPU hat zudem den angenehmen Nebeneffekt, dass die schadhafte Einheit ohne Stillsetzen der Anlage getauscht werden kann, also volle Hot-Plug-Fähigkeit aufweist. Da neu eingesetzte Stationen im Betrieb automatisch synchronisiert werden, kann die Fehlerbehebung von Personal ohne vertiefte Technikkenntnisse mit sehr geringem Aufwand, vor allem aber auch ohne Beeinträchtigung der Produktivität erfolgen.

Bild2_Umschaltung.jpg