Anlagenbau & Prozesstechnik

Sicherheit hoch 3

Sicherheitsrelais mit Diagnose und Leitungsfehlertransparenz

05.09.2017 -

Die neuen Sicherheitsrelais von Pepperl+Fuchs vereinigen Diagnosefunktion, Leitungsfehlertransparenz und eine 1oo3-Architektur (one-out-of-three).

Sicherheitsgerichtete Anwendungen unterliegen aus guten Gründen hohen Anforderungen: Ein sicheres Ausschalten bspw. von Motoransteuerungen oder Notabschaltventilen ist ebenso unabdingbar für die Sicherheit von Personal, Anlage und Umwelt wie ein sicheres Einschalten von Signalhörnern, Warnleuchten oder aktiven Kühlungen im Notfall. Neben den Sicherheitssteuerungen spielen die Sicherheitsrelais eine zentrale Rolle. Um ihre Verfügbarkeit zu gewährleisten muss ihre Funktion durch einen Proof-Test in regelmäßigen Abständen überprüft werden. Bei den Sicherheitsrelais der KFD2-RSH-Serie reduziert sich der Aufwand für solche Proof-Tests durch ihre Diagnosefunktion, die auf Basis einer 1oo3-Architektur die Relaiskontakte der Module automatisch überprüft.

1oo3-Architektur + Diagnose = null Aufwand für Proof-Tests
Eine 1oo3-Architektur bedeutet eine dreifach redundante Ausführung der Schaltkontakte – für DTS-Anwendungen (De-energized-to-safe) drei Kontakte in Serie und für ETS-Signalkreisen (Energized-to-safe) entsprechend parallel angeordnet. Diese Architektur bietet den Vorteil, dass bei Ausfall von bis zu zwei Kontakten die Sicherheitsfunktion weiter aufrechterhalten wird.
Die Vorteile dieses Ansatzes für die Prozess­automation werden besonders beim Vergleich mit Relaisbausteinen deutlich, die Relais mit zwangsgeführten Kontakte verwenden. Diese Art von Geräten ist ursprünglich für Schaltaufgaben in der Maschinenautomatisierung entwickelt worden.
Module mit zwangsgeführten Kontakten bieten zwar den Vorteil, den Zustand des Schaltkontaktes permanent und automatisch überwachen zu können und so die Information über eine Fehlfunktion nach der Schaltanforderung sofort zur Verfügung zu stellen. Aller­dings bieten Sie eine geringere Verfügbarkeit als Geräte mit 1oo3 Architektur: Fällt ein einzelner Kontakt eines zwangsgeführten Relais aus, kann dies nur erkannt, der Aktor dennoch nicht aus- oder angeschaltet werden.
Zusätzlich entsteht Verdrahtungsaufwand und Kosten für Auswertekanäle in der Steuerung, die zur Rückführung der Information über die Lage des Schaltkontaktes notwendig sind.
Ein weiterer Nachteil zwangsgeführter Kontakte bei ETS-Anwendungen: Die Bewegung eines zwangsgeführten Kontaktes bedeutet nicht automatisch, dass auch ein Strom fließt. Verschmutzte oder korrodierte Kontakte können im Extremfall zu so hohen Kontaktwiderständen führen, dass die Sicherheitsfunktion nicht mehr verfügbar ist. Zudem kommt es dann bei der Rückmeldung über den Status des Schalters zu der gefährlichen Fehlinformation, dass über den Schaltkontakt eine leitende Verbindung hergestellt sei.
Die Diagnosefunktion schaltet die drei Kontakte der 1oo3-Architektur bei einem Schaltvorgang zeitverzögert nacheinander. Bei ETS-Anwendungen werden drei aufeinander folgenden Schaltvorgängen zyklisch alle drei Relais der beiden Kontaktgruppen jeweils einmal zuerst geschlossen. Während der Verzögerungszeit prüft das Gerät, ob der erste Kontakt richtig schaltet, fehlerhafte Kontakte werden dabei erkannt. Im DTS-Gerät öffnen sich dagegen zunächst zwei Kontakte, überprüft wird dann der dritte Kontakt der sich wiederum zeitverzögert öffnet.
Der Testzyklus des Sicherheitskreises wird in den meisten Fällen durch Vorschriften oder Ausfallraten mechanischer Komponenten, bspw. Aktoren, vorgegeben. Typischerweise wird jährlich geprüft.
Beim jährlichen Test der Aktoren wird immer gleichzeitig auch einer der drei Kontakte des Sicherheitsrelais geprüft, nach drei Jahren ist der Relaisbaustein einmal vollständig getestet. Die Zeit von maximal drei Jahren liegt deutlich unter den Proof-Zeiten der Geräte, es entsteht daher für den Proof-Test kein zusätzlicher Aufwand.
Alternativ können einfach sukzessive drei Schaltvorgänge durchgeführt werden, womit sofort ein kompletter Proof-Test des Relaismoduls durchgeführt ist.

Volle Kontrolle auch steuerungsseitiger Leitungen
Die neuen Sicherheitsrelais sind zudem leitungsfehlertransparent (LFT) und ermöglichen so eine signalkreisspezifische Erkennung von Leitungsbrüchen oder Kurzschlüssen ohne zusätzliche Verdrahtung.
Bei vielen existierenden Lösungen erfolgt die Meldung von Leitungsfehlern in der Regel über LEDs am Modul selbst sowie optional als Sammelfehlermeldung an der Fehlermeldeeinheit. Eine steuerungsseitige Leitungsfehlererkennung über die galvanische Trennung des Moduls hinweg bis zum Feldgerät ist so nicht möglich. Eine individuelle Leitungsfehlererkennung ist nur mit zusätzlicher Verdrahtung eines Fehlermeldeausgangs des Moduls möglich.
Mit der Leitungsfehlertransparenz ist eine individuelle Fehlererkennung ohne zusätzliche Verdrahtung auch steuerungsseitig möglich. Ein LFT-fähiger Relaisbaustein überwacht die angeschlossene Last im Feld. Liegt ein Fehler in der Feldverdrahtung (Kurzschluss, Leitungsbruch) vor, wird der Testpulsfilter auf der Eingangsseite verstimmt. Die DO Karte des Leitsystems kann so über dort integrierte Diagnosemaßnahmen den Fehler auf der Feldseite erkennen.
Alternativ stellen die Relaisbausteine noch einen Hilfskontakt zur Verfügung, womit eine vom Kunden frei wählbare Rückmeldung der Leitungsfehlerinformation möglich ist.

Teamwork zwischen Steuerung, Sicherheitsrelais und Feldgerät
Unabdingbar für eine einwandfreie Funktion des Signalkreises ist die Kompatibilität zwischen Sicherheitsrelais und Steuerung. Diagnosefunktionen von Sicherheitssteuerungen dürfen keineswegs zu Fehlfunktionen der Geräte führen.
Weiterhin helfen Sicherheitsrelais die Kompatibilität zwischen Feldgerät und Steuerung sicherzustellen.
DO (Digital Output)-Karten von Steuerungen stellen üblicherweise integrierte Diagnosefunktionen zur Verfügung. Neben einer dynamischen Diagnosefunktion, den sogenannten „Testpulsen“, wird oftmals auch statisch der Feldkreis überprüft. Dazu werden die eingeprägte Prüfströme im ein- und ausgeschalteten Zustand durch die DO-Karte gemessen und ausgewertet.
Der Eingang der Sicherheitsrelais filtert die von der DO-Karte kommenden Testpulse, wodurch ein unbeabsichtigtes Schalten des Feldgerätes durch eine Diagnosemaßnahme oder die unbeabsichtigte Anzeige eines Leitungsfehlers in der Steuerung verhindert wird.
Zusätzlich ermöglicht dieser Eingang, dass von der DO-Karte kommende Prüfströme fließen können – es wird eine Minimallast im Ein-Zustand bereitgestellt und ein Prüfstrom im Aus-Zustand ermöglicht. Dabei wird die Schaltfunktion nicht beeinträchtigt.
Eine weitere Funktion des Eingangs ist eine Eingangsstrombegrenzung, die eine übermäßige Belastung der DO-Karte durch Stromspitzen verhindert, indem die zum Schalten notwendigen Eingangsströme minimiert werden.

Portfolio
Die einkanaligen Geräte sind sowohl für DTS- als auch für ETS-Anwendungen verfügbar und entsprechend Atex / IECEx Zone 2 sowie UL zugelassen. Alle Geräte sind für sicherheitsgerichtetes Ab- / Anschalten bei Anwendungen bis IEC61508 SIL3 geeignet. Die Eingangskreise sind für alle Geräte des gesamten Portfolios identisch. Ist ein Relaisbaustein an einer DO-Karte erfolgreich getestet, sind auch alle anderen Varianten des Sicherheitsrelais kompatibel.
Die Sicherheitsrelais gehören zum K-System, das seit mehr als 25 Jahren erfolgreich in der Prozessindustrie eingesetzt wird. Es bietet mit 200 Trennbarrieren (Ex-Bereich) und 150 Signaltrennern (Nicht-Ex-Bereich) das größte Produktportfolio seiner Art für unterschiedliche Signalformen und Anwendungen der Prozess­industrie. Es zeichnet sich durch eine kosten­effiziente Montage auf das Power Rail, hohe Verfügbarkeit und einfache Wartung aus. Abziehbare Klemmen ermöglichen einen schnellen Austausch der Sicherheitsrelais im Fehlerfall, ohne die Verdrahtung lösen zu müssen.