Einführung: Warum SPS-Redundanz wichtig ist

In der modernen industriellen Automatisierung ist ein unterbrechungsfreier Betrieb für Sicherheit, Produktivität und Anlagenschutz unerlässlich. Speicherprogrammierbare Steuerungen (SPS) spielen eine zentrale Rolle bei der Steuerung und Überwachung industrieller Prozesse, können aber wie alle elektronischen Systeme ausfallen.
Um Ausfallzeiten zu minimieren und die Steuerungsintegrität zu erhalten, implementieren Ingenieure SPS-Redundanzsysteme – Konfigurationen, die es Backup-Prozessoren oder -Komponenten ermöglichen, bei einem Fehler sofort oder innerhalb von Millisekunden zu übernehmen.

Was ist SPS-Redundanz?

SPS-Redundanz bezieht sich auf die Verwendung doppelter Hardware und Kommunikationswege innerhalb eines Steuerungssystems , um bei einem Komponentenfehler einen kontinuierlichen Betrieb sicherzustellen.
Diese Redundanz kann auf mehreren Ebenen angewendet werden – CPU, Stromversorgung, E/A-Module und Netzwerkkommunikation – je nach Kritikalität des Systems.
Durch nahtlose Prozesssteuerung bei Hardware- oder Softwarefehlern erhöht Redundanz sowohl die Betriebssicherheit als auch die Systemzuverlässigkeit.

Redundanzarchitekturen: Cold, Warm und Hot Standby

Ingenieure wählen die Redundanzarten basierend auf der Kritikalität des Prozesses, akzeptablen Ausfallzeiten und Kostenüberlegungen aus.

Cold-Redundanz

Cold-Redundanz eignet sich für nicht-kritische Anwendungen, bei denen Ausfallzeiten akzeptabel sind.
Wenn eine Haupt-SPS ausfällt, schalten Bediener manuell auf einen Standby-Controller um. Zum Beispiel in einem Verpackungs- oder Hilfsanlagen-System beeinträchtigt eine kurze Unterbrechung nicht die Produktintegrität.
Obwohl kostengünstig, setzt Cold-Redundanz auf menschliches Eingreifen und bietet nur begrenzte Fehlertoleranz.

Warm-Redundanz

Warm-Redundanz bietet eine schnellere Wiederherstellung, indem ein synchronisierter Standby-Prozessor bereitgehalten wird. Die Sicherungseinheit überwacht den Status des Hauptcontrollers über Heartbeat-Signale und ist bereit, innerhalb von Sekunden die Kontrolle zu übernehmen, falls ein Fehler auftritt.
Dieser Ansatz eignet sich für Systeme, bei denen kleinere Unterbrechungen tolerierbar sind, wie bei Flüssigkeitstransport oder Materialhandling Operationen. Dennoch können während des Umschaltens kurze Steuerungsstörungen – oft als „Prozessstöße“ bezeichnet – auftreten.

Hot-Redundanz

In Hot-Standby-Konfigurationen arbeiten beide Prozessoren gleichzeitig mit synchronisierten Programmdurchläufen.
Wenn der Hauptprozessor ausfällt, übernimmt die Sicherung sofort die Kontrolle, ohne die Prozessausgänge zu verändern – dies wird als „unterbrechungsfreier Übergang“ bezeichnet.
Diese Methode wird bevorzugt für hochverfügbare Anwendungen wie Stromerzeugung, Öl und Gas oder kontinuierliche Fertigung, bei denen schon Millisekunden Unterbrechung zu Geräteschäden oder Sicherheitsvorfällen führen können.
Hot-Redundanz erfordert eine robuste Synchronisation über Glasfaserverbindungen oder Hochgeschwindigkeits-Ethernet sowie sorgfältige Programmierung, um die Echtzeit-Datenkonsistenz zu gewährleisten.

Dreifach-redundante Systeme für kritische Anwendungen

Für besonders kritische Anwendungen wie Luft- und Raumfahrt, Kernenergie oder Sicherheitsanlagen in Raffinerien verwenden Ingenieure möglicherweise dreifache modulare Redundanz (TMR).
In dieser Konfiguration laufen drei SPS-Prozessoren gleichzeitig identische Programme. Ihre Ausgänge werden durch eine Zwei-von-Drei (2oo3) Mehrheitslogik geleitet, die die Mehrheitsentscheidung für die finale Betätigung auswählt.
Dieses Design eliminiert Single-Point-of-Failures und wird häufig in sicherheitsgerichteten Systemen (SIS) eingesetzt, die eine SIL3 oder SIL4 Zertifizierung nach IEC 61508 erfordern.

Redundanz über SPS-Komponenten hinweg

Effektive SPS-Redundanz geht über doppelte CPUs hinaus. Ingenieure implementieren oft zusätzliche Ebenen:

• CPU-Redundanz: Gewährleistet die Steuerungskontinuität bei Ausfall des Hauptprozessors.

• Stromversorgungsredundanz: Bietet eine Notstromversorgung für unterbrechungsfreien Betrieb.

• Kommunikationsredundanz: Erhält die Netzwerkanbindung über mehrere Kommunikationswege.

• I/O-Redundanz: Verwendet doppelte Ein-/Ausgabekanäle, um Datenverlust oder Ausgangsfehler zu vermeiden.

Jede Redundanzebene erhöht die Ausfallsicherheit und verlängert die mittlere Zeit zwischen Ausfällen (MTBF) des Steuerungssystems.

Datensynchronisation und Scan-Timing

In Hot-Standby-Systemen ist die Synchronisation zwischen den Steuerungen entscheidend. Die meisten Konstruktionen übertragen aktualisierte Daten am Ende jedes Scanzyklus, um sicherzustellen, dass beide CPUs synchron bleiben.
Ingenieure müssen jedoch die Programmdurchlaufzeiten optimieren, um zu vermeiden, dass die anwendungsspezifischen Zeitvorgaben überschritten werden.
Einige fortschrittliche SPS, wie die von Rockwell Automation, Siemens und Schneider Electric, integrieren zwei Prozessoren im selben Gehäuse – einer ist der Logikausführung gewidmet, der andere der Datensynchronisation – was die Redundanzprogrammierung vereinfacht.

Ingenieurtechnische Überlegungen und Designbalance

Die Auslegung redundanter PLC-Systeme erfordert eine Balance zwischen Kosten, Komplexität und Prozessrisiko.
Während Hot-Redundanz die höchste Zuverlässigkeit bietet, erhöht sie auch den Hardwareaufwand und die Wartungsanforderungen. Im Gegensatz dazu minimiert Cold-Redundanz die Kosten, eignet sich jedoch möglicherweise nicht für sicherheitskritische Anwendungen.
Die Wahl der richtigen Redundanzstrategie hängt daher vom Gefahrenpotenzial des Prozesses, der gewünschten Verfügbarkeit (z. B. 99,9 % oder 99,999 %) und den Sicherheitsnormen ab.

Perspektive des Autors: Zuverlässigkeit als ingenieurtechnische Denkweise

Aus der Praxiserfahrung heraus ist Redundanz nicht nur eine Designentscheidung – sie ist eine ingenieurtechnische Philosophie.
Industrielle Steuerungssysteme sind unvermeidlich Hardwareverschleiß, Kommunikationsstörungen und Umwelteinflüssen ausgesetzt. Die Implementierung mehrschichtiger Redundanz sichert Geschäftskontinuität, schützt Personal und stärkt das öffentliche Vertrauen in Branchen, in denen Sicherheit und Verfügbarkeit unverzichtbar sind.
Mit dem Fortschritt der Automatisierung hin zu Industrie 4.0 und Edge Computing werden zukünftige PLCs prädiktive Diagnosen und KI-basierte Fehlerprognosen integrieren, was ein noch intelligenteres Redundanzmanagement ermöglicht.

Anwendungsszenarien und Praxisbeispiele

• Öl- & Gaspipelines: Doppelt redundante PLCs verhindern Abschaltungen bei Steuerungsausfall.

• Kraftwerke: Hot-Standby-Systeme garantieren durchgehende Turbinen- und Generatorsteuerung.

• Wasseraufbereitungsanlagen: Redundante Kommunikation und I/O gewährleisten sichere Abläufe während Wartungsarbeiten.

• Pharmazeutische Produktion: Dreifach redundante Steuerung sichert Produktqualität und Einhaltung gesetzlicher Vorschriften.

Jedes Beispiel zeigt, wie Redundanz direkt zur Betriebssicherheit und Produktionsstabilität beiträgt.

Fazit: Aufbau robuster industrieller Steuerungssysteme

PLC-Redundanz bleibt ein Grundpfeiler der zuverlässigen Fabrikautomation und Prozesssteuerung.
Durch das Verständnis von warmen, heißen und dreifach redundanten Konfigurationen können Ingenieure Systeme entwerfen, die Kosten und Zuverlässigkeit ausbalancieren und gleichzeitig ungeplante Ausfallzeiten minimieren.
In der Industrie ist ein Ausfall von Anlagen unvermeidlich – ein Systemausfall jedoch nicht, sofern Redundanz von Grund auf geplant wird.