Not (-Aus) macht erfinderisch
Wenn der Notfall eintritt, muss nicht gleich alles aus sein
Einfach werksübergreifend anhalten statt gleich ausschalten, die Produktion schneller wieder hochfahren können und dabei alle Sicherheitsvorkehrungen durchführen – mit einem Netzwerk aus Lichtwellenleitern und einer fehlersicheren Steuerung ist das möglich.
In der pharmazeutischen und chemischen Produktion, aber auch in der Getränke-, Agrar- und Kosmetik-Industrie ist das Problem bekannt und gefürchtet. Wenn z.B. Lösemittel austreten und Brandgefahr besteht, wird der Not-Aus-Schalter gedrückt. Der gesamte Produktionsprozess steht still und Programme und Rezepturen werden abgebrochen. Auch die Bereiche, die überhaupt nicht von der Gefahr betroffen sind, arbeiten nicht mehr. Hier eine sichere Lösung zu finden, die nur den gefährdeten Bereich und die direkt davon betroffenen Produktionsanlagen stoppt, wäre eine große Erleichterung. Bedeutete das doch, dass die Produktion nach Gefahrenbeseitigung schneller wieder in Gang käme. Weniger Verlust von angearbeiteten Rezepten, weniger Produktionsausfall beim Wiederanlauf und mehr Wirtschaftlichkeit bei voller Sicherheit. Warum sollte das nicht funktionieren? Not (-Aus) macht schließlich erfinderisch!
Ein Trio für werksweite Sicherheit
Not-Halt statt Not-Aus wurde durch die Verbindung mehrerer Ideen erst möglich. Da ist als erstes das Netzwerk aus Glasfaser statt Kupfer zu nennen. Glasfaser ist störungsfreier und kann über größere Distanzen ohne Qualitäts- und Geschwindigkeitsverlust Daten transportieren. Der zweite Faktor ist eine fehlersichere Steuerung, zum Beispiel die S7-416F von Siemens, die – und das ist neu – mit jedem Übertragungsmedium, ob Kupfer oder Glasfaser, fehlersicher arbeiten darf. Und drittens natürlich der Automatisierungs-Fachmann, der mit einer Risikobetrachtung alles zu einem werksweiten Sicherheitssystem zusammenführt. Ein Sicherheitssystem, das gleichzeitig Teilanlagen sicherheitsgerichtet anhalten kann, ohne sie komplett auszuschalten. Das darüber hinaus Produktionsbereiche, die nicht betroffen sind, weiterlaufen lassen kann. Mit dem Effekt, dass die Produktionsunterbrechung so gering wie nötig ist und die Produktion so schnell wie möglich wieder aufgenommen werden kann.
Mehr Sicherheit mit Lichtgeschwindigkeit
Bei der Vernetzung großer Produktionsanlagen kommt man um ein Netzwerk aus Glasfaser nicht mehr herum. Die Lichtwellenleiter übertragen die Daten über große Distanzen störungsfrei und schnell mit z.B. 1 GBit/s. Selbst bei einem Netzwerk von 1200 m Länge tritt ein Not-Halt sofort in Kraft. Darüber hinaus stellt eine Verlegung im Außenbereich kein Problem mehr dar, denn Glasfaser ist resistent gegen elektromagnetische Störungen, die z.B. bei Gewittern auftreten.
Passend zu den fehlersicheren Steuerungen der Serien S7-300F oder S7-400F und der dezentralen Peripherie mit Remote-IO-Systemen wird Profinet als Kommunikationsnetzwerk genutzt. Die sicherheitsrelevanten Daten werden mit dem Profisafe-Profil als Black Channel über Profinet übertragen. Die Projektierung erfolgt mit der Software Step7-Safety.
Das Glasfaser-Netzwerk ist in Kombination mit der fehlersicheren Steuerung Siemens S7-416F im Falle eines Not-Halts unschlagbar schnell und zuverlässig. Vor allem die unterschiedlichen Befehle, die bei einem Not-Halt ausgeführt werden müssen, werden schnell und korrekt software-gesteuert an die entsprechenden Aktoren und Produktionsteilanlagen geschickt: Halt für die vom Störfall betroffenen Teilanlagen, und damit Pumpen anhalten und Ventile schließen. Gleichzeitig können die nicht betroffenen Teilanlagen weiter laufen. Ein so angehaltenes Produktionssystem lässt sich wesentlich schneller und leichter wieder anfahren, da keine Programme und Rezepturen abgebrochen wurden.
Not-Aus oder Not-Halt – das ist hier nicht die Frage
Nehmen wir ein Beispiel aus der Praxis: Ein Hersteller pharmazeutisch-optischer Geräte hat seine gesamte Produktion vom Tanklager über mehrere Produktionsanlagen bis zur Abfallentsorgung mit einem Lichtwellenleiterring aus Glas vernetzt. Sämtliche Produktionsteilbereiche können von mehreren Bedienstationen aus beobachtet und gesteuert werden. Etliche Siemens-Switche und ein Redundanzmanager sorgen dafür, dass die Daten im Ring immer im Fluss bleiben, egal in welche Richtung. Dank fehlersicherer Steuerung Siemens S7-416F werden die Signalpakete zu den Remote-IO (RIO)-Stationen und Steuerungen der Package-Units in den Teil- und Produktionsanlagen übertragen. So ist die fehlerfreie und zuverlässige Übertragung aller sicherheitsrelevanten Daten gewährleistet. Kommt es in einem Bereich dieses Produktionskreislaufs zu einer Störung, so wird dies sofort an alle sieben Bedienstationen gemeldet. Per Not-Halt-Taster wird das gesamte Not-Halt-System in Gang gesetzt: der gefährdete Bereich wird in einen sicheren Halt-Zustand gebracht. Die übrigen Bereiche können zum Teil weiterarbeiten.
Wenn Lösemittel im Produktionsprozess verwendet werden, sind besondere Anforderungen im Arbeits- und Gefährdungsschutz zu berücksichtigen. Das Not-Halt-System wird dem in vollem Umfang gerecht. Mit SIL1 und SIL2 sind im Lichtwellen-Netzwerk Signale für Not-Halt, Gaswarnung und Brandschutz integrierbar.
Problemfall Lösemittelaustritt
Das Werk hat mehrere getrennte Produktionsbereiche. Treten in einem Lösemittel aus, so besteht akute Brandgefahr. Statt eines Not-Aus mit hardwaregestützter Abschaltung (PL) der gesamten Produktion wird ein Not-Halt mit softwareunterstütztem Anhalten (SIL) des betroffenen Produktionsbereiches ausgelöst. Gleichzeitig werden die Lösemittelpumpen bereits im Tagestanklager angehalten und die Ventile geschlossen. Der Tagestankbehälter ist von diesem Störfall nicht betroffen. Das Rührwerk kann weiterlaufen und die Lösung homogen halten. Lediglich der Lösemittelaustrag ist im Not-Halt, um den gestörten Produktionsbereich nicht weiter zu versorgen. Ist der Schaden behoben, kann die Produktion schnell wieder fortgesetzt werden.
Problemfall volle Abfalltanks
Die Abfallflüssigkeit kann nicht rechtzeitig abgeholt werden. Die Folge: die Abfalltanks sind voll. Ein Sensor im vorgeschalteten Puffertanklager stellt fest, dass die Abfallflüssigkeit nicht weitergeleitet werden kann. Der Sensor bringt das sicherheitsgerichtete Not-Halt-System in Gang und setzt den Tagestankbehälter in Not-Halt. Die Produktion wird ebenfalls angehalten – nicht ausgeschaltet, wobei das Rührwerk im Tagestankbehälter weiterlaufen kann. Sobald das Abfalltanklager geleert ist, kann der Not-Halt durch den Bediener quittiert werden und die gesamte Produktion wieder fortgesetzt werden. Im GMP-Umfeld wird diese Situation im Chargenprotokoll dokumentiert.
Wettbewerbsvorteil durch Not-Halt
Jeder Produktionsausfall kostet Geld. Deshalb kann es nur im Interesse eines jeden Unternehmens liegen, die Produktion so selten wie nötig und so kurz wie möglich anzuhalten. Im Gefahrenfall hatte man bis jetzt keine Wahl. Mit Not-Aus wird der gesamte Produktionsprozess ausgeschaltet, nichts läuft mehr. Alle Programme und Rezepte sind abgebrochen. Das Hochfahren der Produktion ist immer mit einem großen Aufwand verbunden und kostet Zeit und Arbeit sowie verlorene Rohstoffe. Not-Halt schaltet nicht einfach aus sondern hält intelligent an. Und zwar nur das, was wirklich aus Sicherheitsgründen angehalten werden muss. Alles andere kann weiter laufen. Mit dem Resultat, dass die Anlage schneller wieder produzieren kann, weil nur Teile wieder hochgefahren werden müssen. Not-Halt sorgt nicht nur für die Sicherheit im Produktionsprozess, es verschafft dem Unternehmen auch einen relevanten Wettbewerbsvorteil.