atp edition Industrie 4.0 ohne modellbasierte Softwareentwicklung (Vorschau)

5 / 2014
56. Jahrgang B3654
DIV Deutscher Industrieverlag GmbH
Automatisierungstechnische Praxis
Industrie 4.0 ohne modellbasierte
Softwareentwicklung | 22
Engineering-Effizienz
automatisch messen | 32
Redundanz für verfügbare
Systeme | 42
Schutzzielorientiertes Design
der Sicherheitsleittechnik | 54

Rund um die Uhr
erstklassig informiert
• das innovative Online-Medium
• Nachrichten gezielt recherchieren
• die ideale Ergänzung zu atp edition
www.atpinfo.de
Automatisierung
auf den Punkt
Noch schneller informiert mit dem Newsletter atp!update
Jetzt für den Newsletter anmelden:
www.atpinfo.de/newsletter
• atp edition
• Branche
• Veranstaltungen
• Forschung
• Produkte
update

EDITORIAL
Wir sind auf gutem Weg
Ist unsere Automatisierungstechnik reif für „Industrie 4.0“, die intelligente
und damit effizientere Fabrik der Zukunft? Diese Frage war Gegenstand
einer Podiumsdiskussion im Forum Industrial IT auf der diesjährigen Hannover
Messe. Mein Eindruck: Technologisch durchaus, konzeptionell noch
nicht ganz. Meine Überzeugung: Der Weg dorthin führt nur über die modulare
Automatisierung.
Da sind die Bemühungen des ISA-106 Technical Reports hilfreich, Strukturen
vorzuschlagen und Definitionsbarrieren zu überwinden. Da helfen die
Anforderungen der Namur-Empfehlung 148 Nutzern und Anbietern von
Automatisierungstechnik, ein gemeinsames Verständnis zu entwickeln und
die Brücke vom Abstrakten zum Konkreten zu schlagen. Da helfen auch die
Diskussionen, die aktuell zwischen den Fachverbänden geführt werden.
Noch sind nicht alle Aufgaben gelöst: ein ganzheitlicher Ansatz ist notwendig,
ja „alternativlos“. Herstellerneutralität, etwa in Form übergreifender
Zustandsmodelle, muss gewährleistet sein. Dabei darf Automatisierung die
Realisierung von „Industrie 4.0“ nicht ausbremsen, darüber herrscht Einigkeit.
Erreichen können wir dies nur gemeinsam. Bevor Geräte kommunizieren,
müssen zunächst Menschen miteinander reden: Automatisierer, Anlagenbauer,
Verfahrenstechniker, Betreiber.
Ganzheitlich vorzugehen und dabei der eigenen Kernkompetenz treu zu
bleiben bedeutet also, rasch weitere Akteure rund um den Prozess einzubeziehen.
Das betrifft zunächst vorrangig den Anlagenbau, um zügig den Schritt
in die Produktionsrealität zu machen, um Konzepte und Modelle praktisch
zu erproben. Gemeinsam mit der Verfahrenstechnik muss es gelingen, einen
kontinuierlichen Entwicklungsprozess anzustoßen, in dem sich konzeptionelle
und technologische Aspekte gegenseitig befruchten. Kundenindividuelle
Massenproduktion und Plattformstrategien wie in der Fertigungsindustrie
könnten ein gangbarer Weg sein, um in einer modularen Zukunft individuelle
Anlagen rasch, systematisch und damit kosteneffizient zu automatisieren.
Zunächst sollten Fallbeispiele gewählt werden, bei denen eine Modularisierung
besonders aussichtsreich, das heißt sowohl wirtschaftlich lohnend als auch
technologisch zeitnah umsetzbar erscheint. Relativ frei – aus modularen (!)
Untereinheiten – konfigurierbare Mehrzweckanlagen der Spezial- beziehungsweise
Feinchemie sind in dieser Hinsicht besonders attraktiv. Wann es schließlich
gelingt, auch komplexe verfahrenstechnische Einheiten modular zu betrachten
und zu automatisieren, wird die Zukunft zeigen. Können Sie sich zum
Beispiel jetzt bereits einen Cracker modularisiert vorstellen?
TIM-PETER
HENRICHS,
Head of Industrial Automation
Business Development,
Yokogawa Deutschland GmbH
atp edition
5 / 2014
3

INHALT 5 / 2014
VERBAND
6 | Verband der Chemischen Industrie begrüßt
Kompromiss der EU bei der EEG-Umlage
Erneuerbare-Energien-Gesetz (EEG):
VDI sieht Belastung von Eigenstromerzeugern kritisch
Seminar: Industrielle Bildverarbeitung
im Umfeld moderner Anforderungen
7 | Konferenz „Industrial IT Security 2014“
FORSCHUNG
8 | Startschuss für „Ruhr Master School of
Applied Engineering“ gefallen
Achema-Kongress: Beiträge gesucht
Call for Experts: Automation der Automation
9 | Alexander Verl verantwortet seit Anfang April
Technologie-Marketing bei Fraunhofer
BRANCHE
10 | BASF hört auf die guten Ideen von Mitarbeitern
und spart 50 Millionen Euro ein
VDE-Trendreport: Deutschland bleibt Innovationstreiber, aber…
11 | Hannover Messe: SAG GmbH und Keba AG
sichern sich Industriepreise
RUBRIKEN
3 | Editorial
62 | Impressum, Vorschau
4
atp edition
5 / 2014

PRAXIS
12 | Aus der Ferne warten:
Stillstandzeiten verhindern und teure
Vor-Ort-Einsätze vermeiden
14 | Vöslauer Mineralwasser modernisiert
die 40-Bar-Drucklufterzeugung
16 | In der Sortier- und Verteiltechnik setzen
Anwender auf individuelle Systemlösungen
18 | Optimierter Brandschutz durch moderne
Klappen mit angepasstem Stellantrieb
20 | Dank Abwärmenutzung bei Gussteil-
Herstellung vermindert Automobilzuliefer
CO2-Emmissionen
Produkte,
Systeme
und Service
für die
Prozessindustrie?
Natürlich.
HAUPTBEITRÄGE
22 | Industrie 4.0 ohne modellbasierte
Softwareentwicklung
O. NIGGEMANN
32 | Engineering-Effizienz
automatisch messen
R. DRATH, C. MESSINGER, B. SCHRÖTER, N. LI, G. GUTERMUTH
42 | Redundanz für verfügbare Systeme
T. GAMER, S. STATTELMANN
54 | Schutzzielorientiertes Design
der Sicherheitsleittechnik
Y. DING
Zum Beispiel der magnetischinduktive
Durchflussmesser
ProcessMaster. Er setzt neue
Maßstäbe mit umfangreichen
Diagnosemöglichkeiten, einer
Messabweichung von 0,2 %,
Explosionsschutz sowie der
ScanMaster-Software. Erfahren
Sie mehr über die erste Wahl in
der Durchflussmessung für die
Prozessindustrie:
www.abb.de/durchfluss
Wussten Sie, dass Ihnen ABB
neben dem umfassenden Portfolio
für die Instrumentierung ebenso
herausragende Produkte und
Lösungen für die Analysentechnik,
maßgeschneiderte Leitsysteme
sowie erstklassigen Service bietet?
Lesen Sie mehr unter:
www.abb.de/
prozessautomatisierung
ABB Automation Products GmbH
Tel.: 0800 111 44 11
Fax: 0800 111 44 22
vertrieb.messtechnik-produkte@de.abb.com

VERBAND
UTZ TILLMANN,
Hauptgeschäftsführer
des Verbandes
der Chemischen
Industrie begrüßt
die Entlastung
energie intensiver
Branchen im EU-
Kompromiss. Bild: VCI
Verband der Chemischen Industrie begrüßt
Kompromiss der EU bei der EEG-Umlage
Ohne den jetzigen Kompromiss
hätten unsere Unternehmen
eine bis zu 25-fache Mehrbelastung
im Vergleich zu heute schultern
müssen. Dies hätte ihrer Wettbewerbsfähigkeit
massiv geschadet“,
sagt Utz Tillmann, Hauptgeschäftsführer
des Verband der Chemischen
Industrie e.V (VCI). In einer
Erklärung des Verbandes vom
8. April 2014.
Umso erfreulicher ist für ihn die
Entscheidung der EU zur Entlastung
energieintensiver Branchen.
Der Verband der Chemischen Industrie sieht im von
Bundeswirtschaftsminister Gabriel verkündeten Kompromiss
mit der EU zu den Beihilfeleitlinien einen
großen Schritt zum Erhalt der Wettbewerbsfähigkeit
der Branche. „Das Ergebnis ist ein wichtiger politischer
Erfolg für den Chemiestandort Deutschland.
Viele Arbeitsplätze in der drittgrößten Industriebranche
wurden gesichert, indem die extrem hohen Zusatzbelastungen
abgewendet sind, wie die EU sie geplant
hatte“, so Tillmann weiter. Tillmann äußerte sich
auch positiv zu den Vorgaben im Kabinettsentwurf,
nach denen für die industrielle Eigenstromerzeugung
weiter der volle Bestandsschutz gilt. Für die Chemie
verbleiben unter anderem beim Thema Neuanlagen
noch Unsicherheiten, die im parlamentarischen Verfahren
gelöst werden sollten.
(ahü)
VERBAND DER CHEMISCHEN INDUSTRIE E.V. (VCI),
Mainzer Landstraße 55,
D-60329 Frankfurt am Main,
Tel. +49 (0) 69 255 60, Internet: www.vci.de
Erneuerbare-Energien-Gesetz (EEG): VDI sieht
Belastung von Eigenstromerzeugern kritisch
Kritisch hingegen sieht der VDI (Verband Deutscher
Ingenieure) die Pläne der Bundesregierung, Eigenstromerzeuger
künftig an der EEG-Umlage zu beteiligen.
„Die Belastungen gefährden die Wirtschaftlichkeit
neuer Anlagen. Sie stellen damit das Erreichen
der Ausbauziele für die erneuerbaren Energien in
Frage, ohne dass durch die Beteiligung die Stromkosten
für Endverbraucher sinken würden“, sagt Ralph
Appel, Direktor des VDI.
Zudem trage der Gesetzentwurf dem Systemgedanken
ungenügend Rechnung. „Das EEG ist bislang darauf
ausgerichtet, durch Anreize die Technologieentwicklung
zu unterstützen“, so Appel. Um die Effizienz des
Energiesystems zu erhöhen, müssen systemische Zusammenhänge
stärker berücksichtigt und die einzelnen
Energiemärkte und -technologien besser miteinander
vernetzt werden. Vor allem die Entwicklung und der
Ausbau der Netze sowie der Speicher, die zentrale und
dezentrale Energieerzeugung, das Lastmanagement sowie
die Kopplung des Strom- mit anderen Energiesystemen,
wie Gas- und Wärmenetze, sollen besser aufeinander
abgestimmt werden.
(ahü)
VDI VEREIN DEUTSCHER INGENIEURE E.V. (VDI),
VDI-Platz 1, D-40468 Düsseldorf,
Tel. +49 (0) 211 621 40,
Internet: www.vdi.de
6
Seminar: Industrielle Bildverarbeitung
im Umfeld moderner Anforderungen
Einsatz- und Anwendungsmöglichkeiten, Anforderungen,
Grundlagen und Entwicklungen der industriellen
Bildverarbeitung stehen im Mittelpunkt des
Seminars zur industriellen Bildverarbeitung am
8. und 9. Mai 2014 in Frankfurt am Main. Wie sie
Rationalisierungsdruck, 100-Prozent-Kontrolle und
Rückverfolgbarkeit für Ihre Produkte gewährleisten
können, vermittelt das Seminar. Danach wissen sie
mit welchen etablierten Methoden der Bildverarbeitung
Sie Prüfaufgraben lösen können und welchen
Einfluss das Zusammenspiel der einzelnen System-
atp edition
5 / 2014
komponenten und die Datenübertragung auf die Güte
der Bildverarbeitungslösung haben. Die Leitung der
Tagung übernehmen Prof. Dr. Christoph Heckenkamp
und Prof. Dr. Thomas Netzsch.
(ahü)
VDI WISSENSFORUM GMBH,
Kundenzentrum, Postfach 10 11 39,
D-40002 Düsseldorf, Tel. +49 (0) 211 621 42 01,
E-Mail: wissensforum@vdi.de,
Internet: www.vdi-wissensforum.de

Konferenz „Industrial
IT Security 2014“
EINE
AUSSTELLUNG
begleitet die
Fachkonferenz
am 7. und 8.
Mai 2014.
Bild: VDI
Wie können Sie verhindern, dass Malware oder
Cyberangriffe Ihre Produktion lahmlegen?
Dazu will die 2. VDI-Fachkonferenz „Industrial IT
Security 2014“ am 7. und 8. Mai 2014 in Frankfurt
am Main Antworten liefern. Fachexperten von Industrie,
Verband und Politik referieren aus ihrer
Alltagspraxis. Holger Junker vom Bundesamt für
Sicherheit in der Informationstechnik (BSI) informiert
zur Eröffnung über den korrekten Schutz der
Anlage. Unter der Leitung von Prof. Dr. Michael
Waidner vom Fraunhofer-Institut für Sichere Informationstechnologie
SIT werden danach Fragen
beantwortet, wie etwa:
Wie erkennen Sie die Bedrohungen und
Schwachstellen Ihres Produktionsnetzwerkes?
Was für Chancen und Risiken bietet Industrie
4.0 für Ihre Produktion?
Was können Normen zur Sicherheit Ihrer
Produktions- und Automatisierungssysteme
beitragen?
Welche wirkungsvollen Schutzmaßnahmen
und Lösungsansätze gibt es?
Am Vortag der Konferenz finden der Spezialtag
„Rechtsfragen der IT-Sicherheit in Produktionsumgebungen“
sowie der Spezialtag „IT-Sicherheit in
der Industrie – Erste-Hilfe-Kurs gegen Cyberbedrohungen“
statt. Am nachfolgenden Tag „Industrielle
IT-Sicherheit – Gefahren und Schutzmöglichkeiten“
bietet sich ebenfalls die Möglichkeit zur
Weiterbildung.
(ahü)
VDI WISSENSFORUM GMBH,
Kundenzentrum, Postfach 10 11 39,
D-40002 Düsseldorf, Tel. +49 (0) 211 621 42 01,
E-Mail: wissensforum@vdi.de,
Internet: www.vdi.de/IT-Security

FORSCHUNG
Startschuss für „Ruhr Master School of
Applied Engineering“ gefallen
Der Startschuss für den Aufbau einer gemeinsamen
Masterausbildung im Ingenieurbereich der Fachhochschule
Dortmund, der Hochschule Bochum und
der Westfälischen Hochschule in Gelsenkirchen ist
gefallen. Ziel der künftigen „Ruhr Master School of
Applied Engineering“ der drei Hochschulen ist es, ein
abgestimmtes regionales Portfolio von 10 bis 15 technisch
orientierten Masterstudiengängen aufzulegen.
Prof. Dr. Carsten Wolff, Prorektor für Studium, Lehre
und Internationales der Fachhochschule Dortmund,
entwickelte das Konzept mit und sieht die Partner damit
auf einem zukunftsorientierten Weg: „Die drei
Ruhr-Fachhochschulen wollen sich in der Masterausbildung
durch ein enges Andocken an den Wissenschaftsbereich
neu positionieren. Unser Ziel ist der
Transfer von neuesten wissenschaftlichen Erkenntnissen
in die Anwendung.“ Am Ende der gemeinsamen
Ausbildung stehen Ingenieure mit hoher Anwendungskompetenz.
Zum Angebot können auch englischsprachige
und berufsbegleitende Formate gehören. Typische
Achema-Kongress: Beiträge gesucht
Themen für künftige Studienangebote ergeben sich aus
den Profilen der Hochschulen: Nachhaltige Energieversorgung,
Sicherheit in der Kommunikation und medizintechnische
Anwendungen sind Beispiele für spezialisierte
Master-Angebote.
Ein Rahmenprogramm mit Schlüsselkompetenzen,
Internationalität, Projekten und Summer Schools soll das
Portfolio ergänzen und abrunden. Leisten soll die Kooperation
vor allem den vereinfachten Übergang aus den
Bachelorstudiengängen der beteiligten Hochschulen in
Masterstudiengänge der „Ruhr Master School“. Gemeinsam
können die Hochschulen außerdem die Vielfalt der
Masterstudiengänge steigern, da sich dann auch für eher
spezialisierte Masterstudiengänge genügend Interessenten
finden. Die Stiftung Mercator unterstützt das Projekt
mit einer Fördersumme von 750 000 Euro. (ahü)
FACHHOCHSCHULE DORTMUND,
Sonnenstraße 96, D-44139 Dortmund,
Tel. +49 (0) 231 911 20, Internet: www.fh-dortmund.de
Beiträge zu den Themen Energiewende, Globalisierung,
Öko- und Prozesseffizienz oder Bioökonomie
mit Praxisbezug zur Industrie sucht der Achema-Kongress
für 2015. Die Themengebiete Innovative Prozessanalytik,
Industrielles Wassermanagement und Biobased
World stehen dabei besonders im Mittelpunkt.
Mit etwa 800 Vorträgen bietet der Achema-Kongress
den Überblick über die Bandbreite der Prozesstechnik
ab. Mit rund 3800 Aussteller aus über 50 Ländern und
etwa 170 000 Besucher ist nach Angaben des Veranstalters
Dechema zu rechnen. Die Achema findet vom 15.
bis 19. Juni 2015 in Frankfurt am Main statt. (ahü)
DECHEMA AUSSTELLUNGS-GMBH,
Theodor-Heuss-Allee 25, D-60486 Frankfurt am Main,
Tel. +49 (0) 69 756 41 00, Internet: www.achema.de/congress
Call for atp experts: Automation der Automation
DIE AUSGABE 56(11) DER ATP EDITION
widmet sich dem Thema Automation
der Automation. Größere Anlagen, höhere
Auflagen, mehr Iterationen, weniger
Personal und weniger Zeit sind aktuelle
Herausforderungen für die Automation.
In bestimmten Branchen und Projekten
kann dieser Teufelskreis durch Automation
der Automation durchbrochen werden.
Erste erfolgreiche Ansätze sind in
Gebäude-, Fertigungs- und Prozessautomation
zu beobachten. In Ausgabe
56(11) diskutieren wir Lösungs-ansätze,
praktische Erfahrungen, Widerstände
und Projekterfolge in Theorie und Praxis.
Wir bitten Sie bis zum 5. Juli 2014 zu diesem
Themenschwerpunkt einen gemäß
der Autorenrichtlinien der atp edition
ausgearbeiteten Hauptbeitrag per E-Mail
an urbas@di-verlag.de einzureichen.
Die atp edition ist die hochwertige Monatspublikation
für Fach- und Führungskräfte
der Automatisierungsbranche. In
den Hauptbeiträgen werden die Themen
mit hohem wissenschaftlichem und technischem
Anspruch und vergleichsweise
abstrakt dargestellt. Im Journalteil werden
praxisnahe Erfahrungen von Anwendern
mit neuen Technologien, Prozessen
oder Produkten beschrieben.
Alle Beiträge werden von einem Fachgremium
begutachtet. Sollten Sie sich selbst
aktiv an dem Begutachtungsprozess beteiligen
wollen, bitten wir um kurze
Rückmeldung. Für weitere Rückfragen
stehen wir Ihnen selbstverständlich gerne
zur Verfügung.
Redaktion atp edition
Leon Urbas, Aljona Hartstock
CALL FOR
Aufruf zur Beitragseinreichung
Thema: Automation der Automation
Kontakt: urbas@di-verlag.de
Termin: 05. Juli 2014
8
atp edition
5 / 2014

Alexander Verl verantwortet seit Anfang April
Technologie-Marketing bei Fraunhofer
Prof. Alexander Verl, Institutsleiter des Fraunhofer
Instituts für Produktionstechnik und Automatisierung
IPA, tritt am 1. April 2014 sein Amt als Vorstand
Technologiemarketing und Geschäftsmodelle bei der
Fraunhofer-Gesellschaft an. Ziel des neu geschaffenen
Postens soll es sein, die Interessen von bestimmten
Branchen zu bündeln und diese mit dem Leistungsportfolio
von Fraunhofer abzugleichen, um konkrete
Angebote zu entwickeln.
Prof. Dr.-Ing. Alexander Verl (1966) startete nach seinem
Studium der Elektrotechnik als Entwicklungsingenieur
bei Siemens ins Berufsleben. Seine Dissertation
zur nichtlinearen Gelenkregelung eines Leichtbauroboters
schrieb er am DLR-Institut für Robotik und
Systemdynamik. Er gründete 1997 die Amatec Robotics,
die er acht Jahre als Geschäftsführer und Gesellschafter
leitete. 2005 wurde seine Firma als Tochterunternehmen
von der Kuka Roboter GmbH übernommen.
Die von ihm maßgeblich entwickelte Inline-Messtechnik
für den Karosseriebau ist heute weltweit bei
vielen Autobauern im Einsatz.
Nach der Selbstständigkeit wurde Alexander Verl
2005 Direktor am Institut für Steuerungstechnik der
Werkzeugmaschinen und Fertigungseinrichtungen
ISW der Universität
Stuttgart. 2006 trat er am
Fraunhofer IPA die Nachfolge von
Prof. Dr.-Ing. Rolf-Dieter Schraft
an und leitete das Institut bis zu
seinem Wechsel in den Fraunhofer-
Vorstand seit 2011 gemeinsam mit
Prof. Dr.-Ing. Thomas Bauernhansl.
An der Universität Stuttgart
hatte Verl auch den Vorstandsvorsitz
der Graduiertenschule für Advanced
Manufacturing Engineering
in Stuttgart inne, einem Promotionsprogramm
innerhalb der
Exzellenzinitiative des Bundes
und der Länder.
(ahü)
ALEXANDER VERL
ist seit dem 1. April
2014 im Vorstand der
Fraunhofer-Abteilung
Technologiemarketing
und Geschäftsmodelle.
Bild: Fraunhofer-Gesellschaft
ZENTRALE DER FRAUNHOFER-GESELLSCHAFT,
Hansastraße 27c, D-80686 München,
Tel. +49 (0) 89 12 05 40 00,
Internet: www.fraunhofer.de
E I N L A D U N G
Messtechnik Regeltechnik Steuerungstechnik Prozessleitsysteme
Mittwoch, 4. Juni 2014
8:00 bis 16:00 Uhr
Smidt-Arena
Bismarckstraße 125
51373 Leverkusen
Führende Fachfirmen der Branche präsentieren ihre Geräte und Systeme und
zeigen neue Trends in der Automatisierung auf. Die Messe wendet sich an
alle Interessierten, die auf dem Gebiet der Mess-, Steuer- und Regeltechnik
sowie der Prozessautomation tätig sind.
Der Eintritt zur Messe, die Teilnahme an den Workshops und der Imbiss
sind für die Besucher kostenlos.
Weitere Informationen finden Interessierte auf unserer Internetseite.
www.meorga.de
info@meorga.de
MEORGA GmbH
Sportplatzstraße 27
66809 Nalbach
Tel. 06838 / 8960035
Fax 06838 / 983292
atp edition
5 / 2014
9

BRANCHE
BASF hört auf die guten Ideen von Mitarbeitern
und spart 50 Millionen Euro ein
DAS TEAM in einem BASF-Betrieb zur Pflanzenschutzmittelherstellung
optimierte den Produktionsprozess, sodass rund
1,5 Millionen Euro gespart werden konnten. Bild: BASF
Knapp 50 Millionen Euro gespart hat die BASF, weil
sie Ideen ihrer Mitarbeiter umgesetzt hat. Im vergangenen
Jahr sind nach Angaben des Konzerns weltweit
23 000 Verbesserungsvorschläge umgesetzt worden. Insgesamt
hatten die Mitarbeiter 42 000 Ideen eingereicht.
In Ludwigshafen seien insgesamt 31 Millionen Euro
durch gute Ideen eingespart worden.
Das Team eines Betriebs, der Wirkstoffe für Pflanzenschutzmittel
herstellt, hat beispielsweise mit drei aufeinander
folgenden Ideen insgesamt 1,5 Millionen Euro
gespart. In der Anlage werden zwei Produkte hergestellt,
eins im Winter und ein anderes im Sommer. Bei
jeder Produktionsumstellung muss die Anlage aus Qualitätsgründen
gereinigt werden. Bisher dauerte die Umstellung
etwa sechs Wochen. Vor zwei Jahren nahmen
die Mitarbeiter schichtübergreifend alle Prozesse unter
die Lupe: Abwasseraufbereitung, Aufwärm- und Abkühlprozesse,
Stoffkreisläufe sowie Fahrweisen. Ihre
Verbesserungsideen setzten sie nach und nach um. Jetzt
dauert die Umstellung nur noch zwei statt sechs Wochen
und es werden größere Mengen der beiden Produkte
hergestellt. Viel Zeit wurde zum Beispiel beim
Überprüfen der gesäuberten Behälter auf Rückstände
gespart. Dank eines eigenen Geräts werden die Proben
jetzt direkt im Betrieb analysiert und das Warten auf
die Ergebnisse aus dem Zentrallabor fällt weg. Außerdem
sorgt ein Umstellungskoordinator für einen reibungslosen
Ablauf des Gesamtprozesses. „Er arbeitet
schichtübergreifend und ist Ansprechpartner für alle
beteiligten Mitarbeiter und Gewerke. Dadurch werden
die vielen verschiedenen Aktivitäten besser koordiniert
und effizient umgesetzt“, sagt Dr. Harald Bernard, Leiter
des Betriebes. Für die Gesamtleistung bekam das
Team 130 000 Euro Prämie.
(ahü)
BASF SE,
Carl-Bosch-Str. 38, D-67056 Ludwigshafen,
Tel. +49 (0) 621 600, Internet: www.basf.com
VDE-Trendreport: Deutschland
bleibt Innovationstreiber, aber…
ENERGIEEFFIZIENZ
ist eines der Trendthemen,
die Deutschland
zum weltweiten
Innovationstreiber
macht.
Bild: Rainer Sturm/pixelio.de
Die diesjährigen Ergebnisse des Trendreports vom
Verband der Elektrotechnik Elektronik Informationstechnik
e.V. (VDE) sind da. Die Befragung unter
1300 VDE-Mitgliedsunternehmen und Hochschulen
ergab, dass Deutschland Innovationsführer im Bereich
der Elektrotechnik bleibt. Treiber in der Entwicklung
seien, nach Angaben des Verbandes Anfang
April, Energieeffizienz und intelligente Stromnetze,
Elektromobilität, Medizintechnik sowie Industrie 4.0.
Weiterhin wurde festgestellt, dass Unternehmen der
Elektro- und IT-Branche 2014 ihre Investitionen in
Forschung und Entwicklung auf hohem Niveau halten
oder sogar erhöhen. Berufsperspektiven für Elektroingenieure
bleiben weiterhin gut.
Allerdings nehme der Wettbewerb um die besten
Köpfe zu. Unternehmen und Hochschulen bemängeln
personelle Engpässe. Sechs von zehn Befragten kritisieren
die Ausstattung von Forschung und Lehre und
befürworten Bürokratieabbau.
(ahü)
VDE-VERBANDSGESCHÄFTSSTELLE,
Stresemannallee 15, D-60596 Frankfurt am Main,
Tel. +49 (0) 69 630 80,
Internet: www.vde.de
10
atp edition
5 / 2014

Hannover Messe: SAG GmbH und Keba AG
sichern sich Industriepreise
Kanzlerin Angela Merkel warnte zur Eröffnung der
diesjährigen Hannover Messe am 6. April 2014 davor,
dass Deutschland im internationalen Wettbewerb
der Industrie abgehängt werden könnte. Gegen diesen
vermeintlichen Trend steuern die Veranstalter der internationalen
Industriemesse mit der Verleihung des
Hermes Awards. Außerdem wurde auf der Hannover
Messe der Robotics Award vergeben. Die Keba AG sicherte
sich mit einem neuartigen Roboterbediengerät
den ersten Platz im Wettbewerb für angewandte Roboterlösungen
vor der Fanuc Deutschland GmbH. In
diesem Jahr wurde der Technologiepreis Hermes
Award an die SAG GmbH übergeben.
Die SAG GmbH erhält die Auszeichnung für ihr intelligentes
Verteilnetzmanagement, mit dem ein konventionelles
Niederspannungsnetz schrittweise zu
einem Smart Grid umgerüstet werden kann. Die modulare,
dezentrale und autarke Mess- und Regelsystemplattform
besteht aus einer dezentralen Netzzustandserfassung
unter Einbeziehung dezentraler intelligenter
Software-Agenten. Die Einspeise- und Lastflusssituationen
werden in Echtzeit kontrolliert. Bei Bedarf werden
kritische Abweichungen durch Regelung der im
Netz vorhandenen Betriebsmittel sowie der eingebundenen
Erzeuger und Verbraucher ausgeglichen. So können
in drei Ausbauschritten vom Stationsmonitoring
über das Netzmonitoring bis hin zur Netzautomatisierung
mit Ines vorhandene Netzkapazitäten optimal
genutzt werden.
Prof. Johanna Wanka, Bundesministerin für Bildung
und Forschung, überreichte den Hermes Award am
Sonntag vor der Messe-Eröffnung. „Die Energiewende
ist ein gesamtgesellschaftliches Großprojekt. Für die
erfolgreiche Umsetzung sind wegweisende Innovationen
für einen intelligenten Netzumbau von großer
Bedeutung, da sie Umwelt und Ressourcen schonen“,
so die Ministerin in ihrer Laudatio anlässlich der Preisverleihung.
„Das Votum der Jury war einstimmig. Dabei hat uns
neben der technologischen Lösung auch der wirtschaftliche
Aspekt überzeugt, da aufgrund der verbesserten
Auslastung der bestehenden Netze auf einen Teil des
kostenintensiven Netzausbaus verzichtet werden kann,
ohne die Netzstabilität zu gefährden“, ergänzte Prof.
Wolfgang Wahlster, Vorsitzender der Jury und Vorsitzender
der Geschäftsführung des Deutschen Forschungszentrums
für Künstliche Intelligenz (DFKI).
Neben dem Gewinner SAG GmbH (Langen) waren
auch die Bürkert Werke GmbH & Co. KG (Ingelfingen),
KHS GmbH (Dortmund), Phoenix Contact GmbH & Co.
KG (Blomberg), und Sensitec GmbH (Lahnau) nominiert.
Der Gewinner des Robotics Award 2014 ist die Keba AG.
Sie sicherte sich mit einem Roboterbediengerät den ersten
Platz im Wettbewerb für angewandte Roboterlösungen vor
der Fanuc Deutschland GmbH. Nachdem in diesem Jahr
vier statt der üblichen drei Nominierten in das Rennen
um den Award gingen, wurde erstmals der dritte Platz
doppelt vergeben: Platz drei teilen sich die Robert Bosch
GmbH sowie die Continental Reifen Deutschland GmbH
gemeinsam mit Preccon Robotics GmbH. Niedersachsens
Wirtschaftsminister Olaf Lies überreichte die Preise am
Dienstag während der Hannover Messe. (ahü)
DEUTSCHE MESSE AG,
Messegelände, D-30521 Hannover,
Tel. +49 (0) 511 890,
Internet: www.hannovermesse.de
DIE SAG GMBH
gewann den Hermes
Award auf der
Hannover Messe
2014. Er wurde
überreicht von
Johanna Wanka
(rechts).
Bild: Deutsche Messe
atp edition
5 / 2014
11

PRAXIS
Aus der Ferne warten: Stillstandzeiten verhindern
und teure Vor-Ort-Einsätze vermeiden
Internetbasierte Fernwartung bei weltweit 100 Rundtakt-Maschinen erfolgreich etabliert
TOBIAS HALBRITTER aus dem
Bereich Maschinen-IT und Software-
Entwicklung ist für das Teleservice-
System verantwortlich.
DER IM SCHALTSCHRANK installierte
Security-Router FL MGuard RS4000
TX/TX VPN sorgt für sichere
VPN-Verbindungen.
DIE K.R. PFIFFNER GMBH stellt
Rundtaktmaschinen zur Massenfertigung
von Präzisionsteilen her.
DIE PORTAL-STRUKTUR
des Fernwartungssystems
ermöglicht die einfache
Anbindung von
Zulieferunternehmen.
DIE TELE-
SERVICE-BOX
dient zur
temporären
VPN-Anbindung
von Kundenanlagen.
Bilder: Phoenix
Contact
Alle 3 bis 60 Sekunden, je nach Komplexität, verlässt
ein Werkstück die Rundtaktmaschine der K.R. Pfiffner
GmbH. Um den reibungslosen Produktionsprozess
mit hoher Verfügbarkeit sicherzustellen, ist ein 24-Stunden-Service
des Maschinenbauers nötig. Nur so können
im Fehlerfall schnell entsprechende Maßnahmen ergriffen
werden, damit die Bearbeitungszentren nur für
kurze Zeit außer Betrieb sind. Den sicheren Fernzugriff
ermöglicht nun ein Security Router der Phoenix Contact
Electronics GmbH.
GUTE ERFAHRUNGEN MIT DER
MGUARD-TECHNOLOGIE
Die Rundtaktmaschinen produzieren jeweils mehr als
300 000 Werkstücke pro Jahr. Die Stücke können faustgroß
werden. 450 weltweit tätige Mitarbeiter des zur
Pfiffner-Gruppe mit Sitz im schweizerischen Thalwil
gehörenden Unternehmens stellen die Bearbeitungszentren
her. Diese werden beispielsweise zur Massenfertigung
von Präzisionsteilen für die Automobil-Industrie
verwendet. Beispiele bilden Einspritzsysteme
oder Turbolader.
„Ursprünglich wurde die Fernwartung durch analoge
Modem-Verbindungen realisiert. Allerdings hat die
Performance nicht mehr unseren Anforderungen genügt.
Außerdem traten oft Verbindungsprobleme auf“,
sagt Tobias Halbritter, der das Fernwartungssystem bei
Pfiffner betreut und maßgeblich für die umgesetzte
Struktur auf Basis sicherer VPN-Verbindungen (Vir tual
Private Network) verantwortlich ist. Das Kernelement
des neuen Fernwartungskonzepts ist der Security-Router
FL MGuard RS4000 TX/TX VPN von Phoenix
Contact, der in den Bearbeitungszentren verbaut ist.
„Da wir die MGuard-Technologie mit integrierter Firewall-Funktionalität
bereits zur Ankopplung unserer
Anlagen an das Kundennetz nutzen, war es nur folgerichtig,
dass wir das Gerät auch für den sicheren Fernzugriff
einsetzen“, erklärt Halbritter.
12
atp edition
5 / 2014

REDUZIERUNG DER WARTUNGSKOSTEN
Die Vorteile des Internet-basierten Fernzugriffs: Für
den Service-Techniker verhält sich die VPN-Verbindung
so, als ob er direkt vor der Anlage sitzen würde.
Das verkürzt die Reaktionszeiten im Wartungsfall
deutlich. Darüber hinaus ist ein Vor-Ort-Einsatz
meist nicht mehr notwendig, sodass erhebliche Wartungskosten
eingespart werden. Auf diese Weise
rechnen sich die Investitionen in die Teleservice-
Lösung schnell.
Falls der Service-Techniker doch einmal zum Kunden
reisen muss, kann er seine Arbeit deutlich besser
vorbereiten. „Ein häufig bei uns auftretendes Problem
sind die Sprachbarrieren zwischen unseren Mitarbeitern
und dem Personal des zum Teil auch im Ausland
ansässigen Anwenders, weshalb Fehlermeldungen des
Steuerungssystems oftmals falsch oder unvollständig
kommuniziert werden. Durch den Direktzugriff auf die
Meldungslisten entfallen diese Probleme“, erläutert
Roland Schneider, Leiter der Elektrokonstruktion.
KONTROLLE ÜBER DEN NETZWERKZUGANG
Aktuell sind 100 Maschinen sowie mehr als 25 Service-
Techniker in das System eingebunden. Durch das Betätigen
eines Schlüsselschalters initiiert der Anwender
im Wartungsfall den Aufbau des IPsec-Tunnels zum
Pfiffner Remote Services Center. Anschließend hat der
Wartungstechniker Zugriff auf die Anlage. Der Betreiber
behält die Kontrolle über den Zugang zur Anwendung,
was die Akzeptanz der Technologie steigerte.
Der optionale externe Konfigurationsspeicher des
FL MGuard erweist sich ebenfalls als hilfreich. Da die
Pfiffner-Mitarbeiter die IP-Parameter des Kundennetzes
im Vorfeld der Maschinenauslieferung noch nicht kennen,
lässt sich die Konfiguration nachträglich per SD-
Karte übertragen, ohne dass das Personal des Anwenders
über spezielle Kenntnisse verfügen muss. Das gilt
auch für den einfachen Gerätetausch im Fehlerfall.
mit hier kein Adresskonflikt entsteht, wenn mehrere
Rundtaktmaschinen gleichzeitig gewartet werden sollen,
müssen die Adressen virtualisiert respektive in
eigenständigen Adressbereichen abgebildet werden.
So ist wieder für eine Eindeutigkeit gesorgt. Diese Anforderung
wird in den MGuard-Routern durch 1:1-
NAT (Network Address Translation) im VPN-Tunnel
umgesetzt.
TELESERVICE-BOX FÜR TEMPORÄRE ZUGRIFFE
Weltweit sind rund 2 500 Pfiffner-Rundtaktmaschinen
in Betrieb, wobei die meisten Anlagen netzwerktechnisch
noch nicht erreichbar sind. Um im Service-
Fall oder bei Umrüstarbeiten auch hier einen Fernzugriff
zwecks Unterstützung des Technikers vor Ort zu
ermöglichen, hat der Maschinenbauer eine Teleservice-Box
entwickelt. Die Box umfasst zusätzlich zum
Security-Router FL MGuard einen WLAN-Router FL
WLAN 5100 von Phoenix Contact. Somit kann die
temporäre Internet-Anbindung der Maschine entweder
über Ethernet-Patchkabel oder durch Ankopplung
an ein kundenseitiges WLAN-Netzwerk realisiert
werden. Nach der Beendigung des Service-Einsatzes
wird die Box einfach an den nächsten Wartungsort
mitgenommen.
FAZIT
Die Verwendung einer Internet-basierten Fernwartung
mit sicheren VPN-Verbindungen bringt sowohl dem
Hersteller als auch dem Betreiber der Pfiffner-Bearbeitungszentren
Vorteile. Dazu zählt neben der schnelleren
Reaktion im Fehlerfall durch den direkten Zugriff
auf die Anlage und damit der Minimierung von Stillstandzeiten
ebenfalls die Reduzierung der Service-
Kosten, weil kostspielige Einsätze vor Ort entfallen.
Dies sind Kriterien, die insbesondere bei der Massenteil-Fertigung
durch die Rundtaktmaschinen eine entscheidende
Rolle spielen.
ZUGRIFF BESCHRÄNKT AUF BESTIMMTE
ANLAGENTEILE
Die VPN-Zentrale ist bewusst nicht in das Pfiffner-
Unternehmensnetzwerk integriert, sondern wird als
Portal-System mit eigenem Internet-Zugang betrieben.
So kann Pfiffner externen Zulieferern den sicheren Zugriff
auf Teile der entsprechenden Kundenanlage einräumen,
ohne diesen durch das eigene Kommunikationsnetz
zu tunneln. Die Security-Funktion des
MGuard-Routers – insbesondere die frei konfigurierbare
Firewall innerhalb des VPN-Tunnels – erlaubt selektive
Zugriffsbeschränkungen auf bestimmte Teile
der Bearbeitungszentren.
Aus netzwerktechnischer Sicht sind die Kundenanlagen
mit identischen Adressbereichen konfiguriert.
Das hat den Vorteil, dass sich einzelne Anlagenteile
stets mit der gleichen IP-Adresse erreichen lassen. Da-
AUTOR
Dipl.-Ing. (FH) MICHAEL VETTER ist
Technical Sales Network & Security bei
Phoenix Contact in Blomberg.
Phoenix Contact Deutschland GmbH,
Flachsmarktstraße 8, D-32825 Blomberg,
Tel. +49 (0) 5235 31 20 00,
E-Mail: info@phoenixcontact.de
atp edition
5 / 2014
13

PRAXIS
Vöslauer Mineralwasser modernisiert
die 40-Bar-Drucklufterzeugung
Steuerung wählt die günstigste Kompressorkombination
DIE GETRÄNKE-
INDUSTRIE
erwartet 2014 ein
starkes Wachstum im
Volumen.
Bild: Comp Air
NACH UNTER-
SUCHUNGEN
VON COMPAIR
verbrauchen diese
PET-Kompressoren
mindestens 5 %
weniger Energie als
vergleichbare
Verdichter.
Bild: Comp Air
DIPL.-ING. HERBERT SCHLOSSNIKL,
Vostand Produktion, Technik bei der Vöslauer
Mineralwasser: „Bis 2018 haben wir hier
keinen Modernisierungsbedarf, und wenn
der Bedarf überproportional wachsen sollte,
können wir einfach den Redundanzkompressor
zuschalten.“ Bild: Vöslauer
Für die Getränkeindustrie war der Sommer 2013
erfolgreich. Speziell die Mineralbrunnenunternehmen
hatten allen Grund zur Freude bei einem Plus von
30 % bereits im Juli 2013. Auch 2012 haben die Deutschen
trotz des eher kühlen Sommers 1,7 % mehr Mineral-
und Heilwasser getrunken als im Jahr zuvor. Der
Pro-Kopf-Verbrauch von Mineral- und Heilwasser lag
bei 137 Litern wie der Verband Deutscher Mineralbrunnen
(VDM) mitteilte.
ZWEI MILLIONEN PET-FLASCHEN PRO TAG
Da heißt es technisch Aufrüsten – auch bei unseren
Nachbarn in Österreich. In der PET-Technologie ist Bewegung:
Vöslauer Mineralwasser, Marktführer für Mineralwasser
in Österreich, hat die Drucklufterzeugung
für die PET-Flaschen-Produktion modernisiert und den
Systemanbieter Comp Air damit beauftragt, zwei
40-Bar-Kompressoren durch eine energieeffiziente, ölfrei
verdichtende Maschine der Marke Belliss & Morcom
zu ersetzen. Ebenso wie Comp Air gehört B&M zur
Gardner Denver-Gruppe.
Das Unternehmen ist mit einem Marktanteil von über
41 % Österreichs größter Mineralwasserhersteller und
gehört zu Ottakringer Getränke. Es beschäftigt rund
180 Mitarbeiter und füllt pro Tag bis zu zwei Millionen
PET-Flaschen ab, die Jahresproduktion beträgt über
3 Millionen Hektoliter. Basis aller Erzeugnisse ist Mineralwasser
aus einer artesischen Quelle, das in zirka
660 Metern Tiefe lagert und einen sehr ausgewogenen
Mineralgehalt aufweist.
NIEDRIGE DREHZAHL FÜR RUHIGEN LAUF
Einer der Gründe für die Erneuerung der Drucklufterzeugung
war, die Energieeffizienz zu verbessern. In der
PET-Flaschenproduktion werden die angelieferten
daumengroßen Preforms mit einem Druckstoß von
40 Bar auf die gewünschte Größe aufgeblasen. Vöslauer
hat für diese Aufgabe mehrere Hochgeschwindigkeits-Streckblasmaschinen
im Einsatz, die große Mengen
Druckluft benötigen – wobei es in den letzten Jahren
durch die Anschaffung neuer Maschinen schon gelang,
den Druckluftbedarf um rund 25 % auf 5 000 m 3 /h zu
reduzieren.
Für die benötigte Druckluftmenge empfahlen die
Comp-Air-Ingenieure den Einsatz eines dreistufigen
ölfrei arbeitenden WH 29 H3N von Belliss & Morcom,
14
atp edition
5 / 2014

Herausforderung
Automatisierungstechnik
dessen drei doppeltwirkende Zylinder in W-Form angeordnet
sind. Dieses Design, das speziell für die PET-
Produktion entwickelt wurde, schafft durch die niedrige
Drehzahl eine wichtige Voraussetzung für den
ruhigen, schwingungsarmen Lauf. Deshalb benötigen
die Verdichter kein spezielles Fundament.
ÜBERGEORDNETE STEUERUNG
Die in Bad Vöslau installierte Maschine liefert maximal
1950 m3/h Druckluft in das 40-Bar-Netz – und das mit
hoher Wirtschaftlichkeit. Nach Untersuchungen von
Comp Air verbrauchen diese PET-Kompressoren mindestens
5 % weniger Energie als vergleichbare Verdichter.
Dazu trägt das doppelwirkende Verdichtungsprinzip
ebenso bei wie die Zweistufenregelung mit Vollund
Halblast sowie der direkt angeflanschte 385 kW-
Elektromotor.
Da alle Kompressoren in ein gemeinsames Netz speisen,
bot es sich an, mit der Modernisierung der Station
eine übergeordnete Steuerung zu installieren, die die
einzelnen Verdichter bedarfsgerecht zu- und abschaltet.
Deshalb gehörte zum Lieferumfang eine Gesamtsteuerung,
die in vielen Werksluftnetzen im Einsatz ist
und vor allem bei höheren Druckbereichen die Energieeffizienz
der Station verbessert. „Wir setzen prinzipiell
drei Kompressoren ein, der vierte bleibt nur als
Redundanzmaschine für Wartungsarbeiten am Netz.
Die Steuerung sorgt dafür, dass immer die wirtschaftlichste
Kompressorkombination die benötigte Druckluft
liefert“, sagt Walter Goisser, Technischer Leiter bei
Vöslauer Mineralwasser.
Der Mineralwasserhersteller ist mit der modernisierten
40-Bar-Station gut vorbereitet auf das geplante
Wachstum. „Bis 2018 haben wir hier keinen Modernisierungsbedarf,
und wenn der Bedarf überproportional
wachsen sollte, können wir einfach den Redundanzkompressor
zuschalten“, sagt Giosser.
AUTOR
JOSEF HUBER
ist Niederlassungsleiter
und Mitglied der
Geschäftsführung bei
der Comp Air in Linz.
Comp Air GmbH,
Im Südpark 207, A-4030 Linz,
Tel. +43 732 320 88 00,
Internet: www.compair.de
Mit dem atp-award werden zwei Autoren der atp edition für
hervorragende Beiträge ausgezeichnet. Ziel dieser Initiative
ist es, Wissenschaftler und Praktiker der Automatisierungstechnik
anzuregen, ihre Ergebnisse und Erfahrungen in Veröffentlichungen
zu fassen und die Wissenstransparenz in der
Automatisierungstechnik zu fördern. Teilnehmen kann jeder
Autor der zum Zeitpunkt der Veröffentlichung nicht älter als
35 Jahre ist. Nach Veröffentlichung eines Beitrags ist der Autor,
wenn er die Bedingung erfüllt, automatisch im Pool. Die
Auswahl des Gewinners übernimmt die atp-Fachredaktion.
Derjenige Autor, der im Autorenteam der jüngste ist, erhält
stellvertretend für alle Autoren die Auszeichnung. Der Preis
wird in zwei Kategorien ausgelobt: Industrie und Hochschule.
Die Kategorien ermittlung ergibt sich aus der in dem Beitrag
angegebenen Adresse des jüngsten Autors.
Veröffentlichungen – Beitrag zum Wissenspool im
Fachgebiet Automatisierungstechnik
Die Entwicklung eines Wissensgebietes erfolgt durch einen
kooperativen Prozess zwischen wissenschaftlicher Grundlagenforschung,
Konzept- und Lösungsentwicklung und Anwendung
in der Praxis. Ein solcher Prozess bedarf einer gemeinsamen
Informationsplattform. Veröffentlichungen
sind die essentielle Basis eines solchen Informationspools.
Der atp-award fördert den wissenschaftlichen Austausch
im dynamischen Feld der Automationstechnik. Nachwuchsinge
nieure sollen gezielt ihre Forschungen präsentieren
können und so leichter den Zugang zur Community erhalten.
Der Preis ist mit einer Prämie von jeweils 2000€ dotiert.
Die Auswahl erfolgt in zwei Stufen:
Voraussetzung für die Teilnahme ist die Veröffentlichung
des Beitrags in der atp edition. Jeder Aufsatz, der als Hauptbeitrag
für die atp edition eingereicht wird, durchläuft das
Peer-Review-Verfahren. Die letzte Entscheidung zur Veröffentlichung
liegt beim Chefredakteur. Wird ein Beitrag veröffentlicht,
kommt er automatisch in den Pool der atp-award-
Bewerber, vorausgesetzt einer der Autoren ist zum Zeitpunkt
der Veröffentlichung nicht älter als 35 Jahre. Ausgezeichnet
wird der jüngste Autor stellvertretend für alle Autoren der
Gruppe. Eine Jury aus Vertretern der atp-Fachredaktion
und des -Beirats ermittelt schließlich den Gewinner in den
jeweiligen Kategorien Hochschule und Industrie.
Der Rechtsweg ist ausgeschlossen.
Beiträge richten Sie bitte an:
DIV Deutscher Industrieverlag GmbH
Herrn Prof. Leon Urbas
Chefredakteur atp edition
Arnulfstraße 124 • 80636 München
Tel. +49 (0) 89 203 53 66-58 • E-Mail: urbas@di-verlag.de
Beachten Sie die Autorenhinweise der atp edition für
Hauptbeiträge unter folgendem Link:
http://www.atp-online.de
Bitte senden Sie Ihre Beiträge an: urbas@di-verlag.de

PRAXIS
In der Sortier- und Verteiltechnik setzen
Anwender auf individuelle Systemlösungen
Maßgeschneiderte automatisierte Lösungen: Einheitliche Standards verkürzen die Projektlaufzeiten
Der Trend zur Automatisierung setzt sich in der
Intralogistik weiter fort. Denn Anwender wollen
mit ihren Anlagen und Systemen rationeller und sicherer
arbeiten. Gleichzeitig sollen Mitarbeiter von
monotonen und körperlich schweren Arbeiten entlastet
werden. Die Beumer Group entwickelt Systemlösungen
in den Bereichen Förder- und Verladetechnik,
Palettier- und Verpackungstechnik sowie Sortier- und
Verteilanlagen. Diese stattet das Unternehmen je nach
Kundenanforderung mit effizienten Automatisierungslösungen
aus.
AUFEINANDER ABGESTIMMTE SYSTEME
Unternehmen aus unterschiedlichen Branchen setzen
dabei immer häufiger auf Systemlösungen, die speziell
auf ihre individuellen Bedürfnisse zugeschnitten sind.
„Die Anwender wollen nicht mehr nur eine Anlage haben,
sie wollen eine Kombination mehrerer Anlagen,
die optimal aufeinander abgestimmt sind“, sagt Franz-
Josef Kleigrewe, Automatisierungsleiter bei der Beumer
Group. Dazu gehören Sortier- und Verteilanlagen, die
beispielsweise in Distributionszentren eingesetzt werden.
Um schnelle Auslieferungen an die Kunden gewährleisten
zu können, sind effiziente Prozesse erforderlich.
Kommen die Produkte am Wareneingang an,
werden sie abgeladen und auf Paletten gestapelt. Mitarbeiter
legen die Waren auf Flachgurtförderer, die sie
einem Liniensorter zuführen. Dieser kann sie direkt
zum Versand-Sorter leiten, zur Einschleuseinheit des
Vorsortierers oder direkt ins Lager – wie im Nike China
Logistics Center (CLC) in Taicang.
BEI NIKE IN CHINA
In Jiangsu befindet sich das größte Distributionszentrum
des Sportartikelherstellers in Asien. Alle Lieferungen
von Kleidung und Schuhen für das chinesische
Festland werden über Anlagen des Intralogistik-Herstellers
abgewickelt. Bei Bedarf nehmen Mitarbeiter
die Produkte aus dem Lager und legen sie in die Kunststoffschalen
einer Förderanlage. Diese transportiert die
Schalen zu einem weiteren Förderer. Die Schalen sowie
die Kartons mit den Chargen aus dem Vorsortierer
werden zusammengeführt und geleert. Die Mitarbeiter
legen die Artikel anschließend auf einen Quergurtsorter.
Dieser sortiert die Waren in den Kunststoffschalen
automatisch in festgelegte Behälter, die im Kippbereich
ausgeschüttet werden. Von dort aus werden die Artikel
über ein System von Flachgurtförderern zu den Mitarbeitern
transportiert, die diese manuell auf den Endsortierer
legen. Kommissioniert wird mit Pick-by-
Voice. Als Systemintegrator steht Beumer seinen Kunden
von der Planung bis zur Inbetriebnahme zur Seite.
Ein Ansatz ist eine modulare Anlagenkonzeption mit
hochautomatisierter Sortiertechnik. Die Systemlösungen
kombiniert das Unternehmen dabei aus verschiedenen
Bausteinen. „Systeme und Anlagen, die
DIE MITARBEITER des Beumer Customer
Supports übernehmen vor Ort die Installation
sowie die Inbetriebnahme.
wir nicht im Programm haben, wie zum Beispiel Scanner,
kaufen wir von ausgewählten Zulieferern und integrieren
sie in unsere Lösungen“, sagt Kleigrewe.
ERFAHRUNGSWERTE ZÄHLEN
Damit Beumer die Anwender angemessen betreuen
kann, hat die Firma in den einzelnen Gruppengesellschaften
sowie am Standort Beckum Teams gebildet,
die sich speziell um Automatisierungslösungen kümmern.
Mittlerweile sind mehr als 200 Mitarbeiter für
diesen Bereich beschäftigt. Die Mitarbeiter begleiten
die Projekte von der Anfrage bis zur Übergabe an den
Kunden. Zuerst erstellen die Spezialisten einen Systementwurf.
Passt dieser, geht es an die Umsetzung.
Die Mitarbeiter übernehmen die Elektroinstallationen
und integrieren die Maschinen- und Anlagensteuerungen.
Teil des Systems ist zudem eine graphische
Darstellung der Prozesse auf einer Benutzeroberfläche.
Zwischen den verschiedenen Betriebsebenen
werden Informationen zum Beispiel
über ERP- und MES-Systeme übertragen.
Im Beumer-eigenen Technikum in Beckum sind verschiedene
Sortier- und Verteilanlagen aufgebaut. Die
Mitarbeiter können hier mehrere Tests durchführen,
um die Anlage auf besondere Anforderungen der Anwender
anzupassen. „Dabei helfen uns wertvolle Erfahrungen,
die wir in zahlreichen Projekten weltweit
16
atp edition
5 / 2014

ZU IHREN
AUFGABEN
gehören
außerdem die
Elektroinstallationen
sowie die
Integration der
Maschinenund
Anlagensteuerungen.
DIE HOCH-
LEISTUNGS-
SORTIER-
ANLAGE
LS-4000
DIE STEUERUNG
der einzelnen
Maschinen
ist mit einer
systemweiten
Transparenz des
W o r k fl o w s
verbunden.
DER E-TRAY
SORTER kommt
weltweit in
Post- und
Verteilzentren
zum Einsatz.
Bilder: Beumer Group
sammeln konnten“, sagt Kleigrewe. Die Feinarbeit übernehmen
anschließend die Mitarbeiter vor Ort bei der
Installation und Inbetriebnahme.
EINHEITLICHE STANDARDS
„Die Ausgangssituation sieht häufig so aus: Je größer
eine Anlage ist und je mehr Systeme integriert sind,
desto mehr Steuerungssysteme sind auch im Einsatz,
die aufeinander abgestimmt werden müssen“, erläutert
der Automatisierungsleiter. Bei Beumer wurden
im Lauf der Jahre zum Beispiel vier Steuerungssysteme
entwickelt. „Um bei der Entwicklung flexibler
zu sein und auch eine schnellere Inbetriebnahme zu
ermöglichen, ist es unser Ziel, bei allen Entwicklungen
auf ein einheitliches Antriebskonzept sowie
einheitliche Maschinen- und Anlagensteuerungen
zu setzen“, sagt Kleigrewe. „Förderelemente oder
Schnittstellendefinitionen für die horizontale und
vertikale Kommunikation bieten wir schon aus dem
Baukasten an.
Sind die Anlagen in Betrieb genommen, schulen Mitarbeiter
im Kundenservice die Maschinenbediener
und das Wartungspersonal. Denn nur so können die
Anlagen mit einer maximalen Betriebszeit laufen. Dabei
werden die Maschinenbediener auf den neuesten
Stand gebracht und neue Mitarbeiter an die Systeme
herangeführt. „Automatisierte Lösungen eignen sich
besonders bei kontinuierlichen Prozessen, wenn beispielsweise
Anlagen rund um die Uhr sieben Tage die
Woche laufen“, empfiehlt Kleigrewe. „Unternehmen
sparen somit Mitarbeiter ein, die sie an anderen Stellen
einsetzen können. Damit haben sich automatisierte
Lösungen in kurzer Zeit amortisiert.“
AUTORIN
Beumer Group GmbH & Co. KG,
Oelder Str. 40, D-59269 Beckum,
Tel. +49 (0) 252 12 40,
E-Mail: beumer@beumergroup.com
REGINA SCHNATHMANN
ist Director Communications
and Public Relations
bei der Beumer Group.
atp edition
5 / 2014
17

PRAXIS
Optimierter Brandschutz durch moderne
Klappen mit angepasstem Stellantrieb
Klappen-Modelle mit freiem Querschnitt: Energieeffizienz und bessere Zustandsüberwachung
Damit sich in brennenden Gebäuden giftige Gasen,
Rauch und Flammen nicht über die Lüftungskanäle
ausbreiten, müssen die in der Lüftungsanlage verbauten
Brandschutzklappen einwandfrei funktionieren.
Bei der Geba Bartholomäus GmbH sorgen angepasste
Stellantriebe in den Brandschutzklappen des
Typs GBK-K 90 EU für zuverlässiges Funktionieren. Die
dazugehörige Schalt- und Bewegungstechnologie der
Gruner AG ermöglicht das motorisierte Öffnen und
Schließen der Klappen sowie die Ansteuerung über die
Gebäudeleittechnik. Die LEDs und Thermofühler sowie
die kompakte Konstruktionsweise der stabilen Antriebe
und der freie Querschnitt der Klappen vereinfachen
die regelmäßige Wartung und reduzieren die Kosten
von Installation und Revision.
Durch die Sonderform ohne mittige Klappe ermöglichen
die Geba-Modelle den leisen Betrieb sowie die
Reduktion des Druckverlustes, wodurch Energie gespart
und kleinere Rohrdurchmesser verwendet werden
können. Seit 2013 ist das neue System nun europaweit
zertifiziert.
BRANDSCHUTZKLAPPEN LÖSEN
THERMOELEKTRISCH AUS
In der Regel sperren Brandschutzklappen mit einem
Schmelzlot die Lüftungsrohre ab: „Steigt die Temperatur
im Inneren der Brandschutzklappe durch heiße
Brandgase über eine Temperatur von 72 ˚C, löst bei diesen
Modellen das Schmelzlot unmittelbar aus und
schließt die Klappe“, erklärt Gert Bartholomäus, Geschäftsführer
der Geba Bartholomäus.
Bei der GBK-K 90 EU mit Federrücklaufantrieb von
Gruner hingegen erfolgt das Schließen der Klappe
durch die thermoelektrische Auslöseeinrichtung: „Erreicht
die Temperatur in der Luftleitung oder am Antrieb
der Klappe den Wert von 72 ˚C oder fällt die Versorgungsspannung
aus, wird die antriebsinterne Feder
freigegeben, die dann die Tür im Lüftungskanal zudrückt“,
so Bartholomäus. Der BLDC-Motor fungiert in
dieser Situation als Bremse, um die Klappe und den
Stellantrieb vor einem abrupten Zufallen zu schützen.
GLEICHBLEIBENDE FUNKTIONALITÄT AUCH BEI 90 ˚C
Die Klappen, die im Ernstfall die Lüftungskanäle verschließen,
um Flammen und belastete Luft zurückzuhalten,
müssen ihre Aufgabe unter extremen Belastungen
verlässlich erfüllen. Dieser Einsatz stellt hohe Ansprüche
an die Widerstandsfähigkeit und Leistung der elektrischen
Stellantriebe. Sie müssen beispielsweise eine manuelle
Schaltung ermöglichen, um die Lüftung präventiv
zu blockieren, bevor das Feuer sie erreicht.
„Wir fertigen alle wichtigen Bauteile aus Stahl, damit
trotz Hitzeeinwirkung das Drehmoment des Motors erhalten
bleibt“, erklärt Robert Frank, Key Account Manager
bei der Gruner. „Temperaturen von bis zu 90 ˚C sind
so über längere Zeit kein Problem.“ Die Feder ist ebenfalls
hitzebeständig und übersteht mehr als 60 000 Revisionszyklen
ohne Spannungsnachlass. „Im Rahmen
der Brandprüfungen wurde die Klappe über den Gruner-Stellmotor
10 000-mal geöffnet und geschlossen,
ohne dass es zu einer Beeinträchtigung der Motorleistung
kam“, bestätigt Bartholomäus.
Gleichzeitig achteten die Entwickler der jüngsten
Stellantrieb-Generation auf eine kompakte Bauweise.
Indem weniger mechanische und elektromechanische
Komponenten verbaut wurden, ließ sich der Verschleiß
verringern und Standzeit sowie Zuverlässigkeit des Geräts
erhöhen. Unter anderem sparte die Bremswirkung
des Motors die mechanische Bremse. Die Gruner-Stellantriebe
besitzen außerdem eine hohe Drehmomentdichte.
Je nach Klappengröße reichen die verfügbaren
Motordrehmomente von 3 bis 20 Nm bei einem Drehwinkel
von 95 ˚.
Zudem wurde der Abstand der Klappenachse zur
Brandwand verkleinert. „Dadurch wird das gesamte System
kompakter“, so Frank. Der Stellantrieb sitzt direkt
auf dem Verschlusssystem ohne teure und fehleranfällige
Übertragungsmechaniken. „Bei der Entscheidung
für Gruner war für uns sehr wichtig, dass der Motor
flexibel so angepasst werden konnte, wie er für unsere
Brandschutzklappe ideal war“, erklärt Bartholomäus.
Dabei wurde auf kleine Details Wert gelegt: Die Wellenadaption
beispielsweise wurde so abgewandelt, dass
der Antrieb spielfrei angebracht werden konnte.
ZUSTÄNDE ODER DEFEKTE LEICHT
VON AUSSEN SICHTBAR
Gegenüber den einfachen Systemen mit Schmelzlot bildet
vor allem die Funktionsanzeige der Gruner-Antriebe
einen deutlichen Vorteil. Der Thermoschalter zeigt mit
seinen LEDs den Zustand der Klappe an, was die Sicherheit
und Fehlerdiagnose erheblich erleichtert. Ist der
Antrieb bereit und die Brandschutzklappe geöffnet,
leuchtet eine grüne Diode. Rotes Licht weist darauf hin,
dass der Verschluss-Taster gedrückt wurde und die
Klappe geschlossen ist. Sind beide LEDs dunkel, ist das
Schmelzlot geschmolzen oder es liegt aufgrund eines
Defekts keine Betriebsspannung an. Durch diese sichtbare
Unterscheidung lassen sich Störungen schnell und
direkt am Antrieb aufdecken. Auch die Inbetriebnahme
wird dank der klaren Funktionssignale vereinfacht.
„Besonders interessant war für uns die Prüfplakette
auf der thermischen Auslösung, die sich verfärbt, sobald
ein Defekt vorliegt“, so Bartholomäus. „Der Temperaturmesspunkt
wechselt die Farbe, sobald er auf über 72 ˚C
erhitzt wird. Ohne eine derartige Anzeige ist von außen
nicht ersichtlich, ob die Temperatursicherung möglicherweise
defekt ist“, erläutert Frank. „Der Messpunkt
dagegen verhindert, dass die Sicherung unbemerkt
durchschmelzen kann.“ Zudem lässt sich der Temperaturfühler
anschließend separat austauschen. Dadurch
muss nicht der ganze Antrieb ausgewechselt werden.
18
atp edition
5 / 2014

DIE STELLANTRIEBE ermöglichen das motorisierte
Öffnen und Schließen der Klappen sowie
die Ansteuerung über die Gebäudeleittechnik.
Bild: Geba Bartholomäus
ZWEI LEDS in Rot und Grün zeigen
den Zustand von Antrieb und Klappe
an. Grün heißt „geöffnet und betriebsbereit“,
Rot bedeutet „per Knopfdruck
geschlossen“. Leuchtet keine Diode,
fehlt die Betriebsspannung, etwa weil
das Schmelzlot durch gebrannt ist.
Bild: Gruner
DAMIT IN BRENNENDEN GEBÄUDEN
die Verbreitung von giftigen Gasen, Rauch
und Flammen über die Lüftungskanäle
verhindert wird, müssen die
Brandschutzklappen funktionieren.
Bild: Paul-Georg Meister/pixelio.de
SIND DIE KLAPPEN mit Stellantrieben
versehen, lässt sich die
Revision per Knopfdruck erledigen,
was Zeit spart und die bislang
benötigten Revisionsöffnungen
überflüssig macht. Bild: Gruner
REVISION WENIGER ZEIT- UND ARBEITSINTENSIV
Auch bei der regelmäßigen Wartung und Prüfung der Anlagen
hat der Stellantrieb klare Vorteile gegenüber einem
einfachen System mit Schmelzlot. Bei herkömmlichen Modellen
wird die Klappe zu diesem Zweck zwar per Knopfdruck
geschlossen, kann aber nur von Hand wieder geöffnet
werden. Eine zeit- und kostenintensive Arbeit, die an jedem
einzelnen Brandschutzabschnitt durchgeführt werden
muss. „Sind die Klappen mit Stellantrieben versehen,
lässt sich auch die Revision per Knopfdruck erledigen,
was Zeit spart und die bislang benötigten Revisionsöffnungen
überflüssig macht“, erklärt Frank.
Zukünftig kann das ganze System außerdem über ein
intelligentes Bus-System (Modbus) gekoppelt werden.
„Bisher wurde über die Steuerung nur die Stromversorgung
der Klappe beziehungsweise des Stellmotors sichergestellt
und einmal im Monat eine Revision durchgeführt.
Über Modbus kann jetzt eine Kommunikation
zur Klappe hergestellt werden, und zwar zentral vom
Steuerpult oder Schaltschrank aus“, erläutert Frank.
So wird beispielsweise die Winkelstellung der Klappe
im System angezeigt und der Bediener erhält eine
Rückmeldung über Öffnungs- und Schließvorgänge des
Klappenblattes. „Damit können dann auch Testsequenzen
für den Motor erstellt werden, die anschließend
eigenständig ablaufen. Eine Revision vor Ort ist
nicht mehr notwendig.“
FAZIT
Nicht nur der Antrieb, sondern auch die Sonderform
der Klappe trägt dazu bei, Wartungsaufwand und Kosten
zu minimieren. „Brandschutzklappen verfügen in
der Regel über eine Schmetterlingsklappe, die sich mitten
im Luftstrom befindet und damit Widerstände und
Geräusche aufbaut“, erklärt Bartholomäus. „GBK-K 90
wurde jedoch so konstruiert, dass sie ohne diese
Klappe auskommt.“
Der freie Querschnitt sorgt für eine turbulenzarme
Luftströmung und damit für ein ruhigeres Wohnklima.
Auch die Druckverluste fallen geringer aus, wodurch
Energie eingespart und kleinere Rohrdimensionen verwendet
werden können. „Darüber hinaus gibt es kaum
Staubanhaftungen, was eine hohe Sicherheit und lange
Reinigungsintervalle garantiert. Auch der Revisionsaufwand
wird vereinfacht“, so Bartholomäus weiter.
Das Schutzsystem aus Klappe und Antrieb wurde
2010 entwickelt und erhielt 2013 nach abgeschlossener
Brandprüfung die europäische Zulassung.
AUTORIN
IRIS GEHARD ist Fachjournalistin in
München mit Spezialisierung im Bereich
Gebäudetechnik.
Gruner AG,
Buerglestr. 15-17, D-78564 Wehingen,
Tel. +49 (0) 7426 94 80, E-Mail: info@gruner.de,
Internet: www.gruner.de
atp edition
5 / 2014
19

PRAXIS
Dank Abwärmenutzung bei Gussteil-Herstellung
vermindert Automobilzuliefer CO 2 -Emmissionen
Lösungspaket von Endress+Hauser hilft dabei, Vorgaben der Monitoring-Verordnung einzuhalten
EIN TECHNIKER kalibriert die Messstellenkomponenten
des Thermoölkreislaufes.
Danach führt er eine Gesamt-
Messunsicherheitsberechnung durch.
Bild: Endress+Hauser
IN SCHMELZÖFEN entstehen extreme Temperaturen.
Die Abwärmenutzung bei der GF Automotive reduziert
die CO 2-Emission enorm. Bild: Georg Fischer
Kohlendioxid (CO 2 ) verstärkt den Treibhauseffekt
und trägt zur globalen Erderwärmung bei. Es gilt,
Emissionen zu vermindern. Mit Unterzeichnung des
Kyoto-Protokolls hat sich die EU verpflichtet, aktiv
dazu beizutragen – angestrebt ist eine Reduktion um
20 Prozent bis 2020, verglichen mit 1990. Der Emissionshandel
fordert von den Unternehmen die kontinuierliche
Überwachung und Ermittlung des CO 2
-
Ausstoßes. Ein weiterer Baustein ist die jährliche
Emissionsberichterstattung: Betreiber emissionshandelspflichtiger
Anlagen müssen ihren Ausstoß seit
Januar 2013 entsprechend der Monitoring-Verordnung
(MVO) der EU-Kommission und Anhang 2 des
Treibhausgas-Emissionshandelsgesetzes (TEHG) ermitteln
und im anlagenspezifischen Überwachungsplan
beschreiben.
VERSCHÄRFTE ANFORDERUNGEN
Mit Inkrafttreten der MVO haben sich die Anforderungen
an die Messgenauigkeit verschärft. Durch regelmäßige
Überprüfungen müssen Anlagenbetreiber
nachweisen, dass die Gesamtunsicherheiten die
Grenzwerte der geforderten Ebene einhalten. In der
Praxis hat das unmittelbare Auswirkungen auf die
Qualität der Messungen und deren bestimmungsgemäßen
Einsatz, die kontinuierliche Überprüfung der
eingesetzten Überwachungsmethoden, einhergehend
mit der Qualitätssicherung für die verwendeten Messgeräte
(Kalibrierung, Justierung, Prüfung). Ein Leitfaden
der Deutschen Emissionshandelsstelle (DEHSt)
unterstützt bei der Erstellung der Überwachungspläne.
Ein Augenmerk richtet sich auf die Auswahl geeigneter
Messinstrumente für die emissionsrelevanten
Stoffmengen die Unsicherheitsbewertung von
kalibrierten Messgeräten sowie zu treffende Maßnahmen
bei Abweichungen von den MVO-Vorgaben.
DAS LÖSUNGSPAKET
Bei der Erfüllung der Vorgaben unterstützt das MVO-
Lösungspaket von Endress+Hauser. Das Paket besteht
20
atp edition
5 / 2014

aus der Kombination praxisbewährter Messtechnik,
akkreditierter Kalibrierdienstleistungen sowie Leistungen
für eine Messunsicherheitsbetrachtung.
Für die Volumenstrommessung flüssiger oder gasförmiger
Brennstoffe, die direkte Messung von Abgasströmen
sowie die Bestimmung von Durchflussmengen
in Energiekreisläufen, steht eine Vielzahl praxisbewährter
Messverfahren zur Verfügung. So ist die
Vortexmessung nach dem Wirbelablöseprinzip als
äußerst robustes und bewährtes System mit hoher
Langzeitstabilität prädestiniert für die zuverlässige
Messung in Dampfanwendungen. Für sehr große
Nennweiten sind Blenden und Staudrucksonden mit
Differenzdruckmessungen gängig. Kommt es auf
höchste Genauigkeiten, direkte Massemessung und
Eichfähigkeit an, bieten Coriolis-Durchflussmessungen
die ideale Lösung.
Muss der Nachweis der Messunsicherheit durch regelmäßige
Kalibrierung erbracht werden, kann
Endress+Hauser alle Prozessmessgrößen sowohl vor
Ort als auch im Werk gemäß ISO/IEC 17025 kalibrieren
und per Zertifikat dokumentieren – unabhängig vom
Hersteller für sämtliche Gerätetypen und Fabrikate,
rückführbar und zertifiziert. Die Leistungen erstrecken
sich von der Kalibrierung einzelner Messstellen
bis zur Implementierung einer kompletten Kalibrier-
Managementlösung.
Bei zusammengesetzten Messstellen, etwa einer
Staudrucksonde mit Differenzdruckmessung und Temperaturkompensation
sowie nachgeschaltetem Energierechner,
stellt sich die Frage nach der Gesamtunsicherheit
der Messung unter Prozessbedingungen. Eine
Gesamtgenauigkeitsberechnung, vereinfacht oder individuell,
berücksichtigt alle prozessrelevanten Einflussfaktoren.
Der Betreiber erhält ein Berechnungszertifikat
und kann so die Qualität seiner Messstellen
lückenlos, nach gängigen Standards dokumentieren
und nachweisen.
BEI GF AUTOMOTIVE
Die Division GF Automotive, die Gussteile für die Automobilindustrie
entwickelt und produziert, hat in ihrem
Nachhaltigkeitsbericht 2011 ein Ziel veröffentlicht:
Die CO 2 -Emissionen aus der Produktion sollen um mindestens
20 Prozent reduziert werden. 11 000 Tonnen
CO 2 können durch Abwärmenutzung aus Schmelzöfen
pro Jahr vermieden werden. Die Abwärme wird mittels
Thermoölkreislauf durch ein angrenzendes Lebensmittelwerk
genutzt, rund zwei Drittel des kompletten Energiebedarfs
werden so abgedeckt. Da der Standort
Singen erstmalig am Emissionshandel teilnimmt, müssen
Abwärmemengen dokumentiert werden. Der Kalibrierservice
von Endress+Hauser führte bei den betroffenen
Messstellen eine Bewertung hinsichtlich geeigneter
Kalibrierverfahren durch. Nach Abstimmung mit
GF Automotive erfolgte die Kalibrierung der Kompo-
nenten sowie eine Vergleichsmessung mittels Ultraschall-Messverfahren.
Zusätzlich zu den Kalibrierzertifikaten
erhielt Georg Fischer eine Gesamtgenauigkeitsberechnung.
Die Kalibrierungen und Berechnungen
sollen nun in regelmäßigen Abständen erfolgen.
So ist GF Automotive gerüstet, um alle Tätigkeitsdaten
rückführbar dokumentieren zu können.
AUTOR
THOMAS KAUFMANN ist
Marketingmanager
Life Cycle Management
bei Endress+Hauser
in Weil am Rhein.
Endress+Hauser Messtechnik GmbH + Co. KG,
Colmarer Straße 6, D-79576 Weil am Rhein,
Tel. +49 (0) 7621 97 59 07,
E-Mail: thomas.kaufmann@de.endress.com
An der Hochschule Merseburg ist im Fachbereich Informatik und Kommunikationssysteme
ab dem 01. April 2015 folgende Stelle zu besetzen:
Professur (W2)
Prozessautomation/Gebäudeautomation
Der/Die zukünftige Stelleninhaber/-in soll die Themengebiete Prozessautomation, Prozessleittechnik/Geräte
und Anlagen sowie Gebäudeautomation in Lehre und Forschung
des Fachbereiches vertreten. Wünschenswert wäre die Wahrnehmung der Lehrgebiete
Regelungstechnik sowie Modellbildung/Simulation.
Der/Die zukünftige Stelleninhaber/-in muss die Einstellungsvoraussetzungen gemäß § 35
HSG LSA erfüllen. Gesucht wird eine Persönlichkeit mit entsprechender Qualifikation und
einschlägiger Berufspraxis im Bereich der Prozessautomation und/oder der Gebäudeautomation.
Die Bereitschaft zum Einsatz in der Forschung, im berufsbegleitenden Studium,
in der Weiterbildung und für Bedarfe der anderen Fachbereiche ist notwendig. Wegen der
voranschreitenden Internationalisierung der Lehre sollten die Lehrveranstaltungen auch in
englischer Sprache durchgeführt werden können.
Die aktive Mitarbeit in den Gremien der Hochschulselbstverwaltung wird erwartet.
Die Höhe der Besoldung richtet sich nach den für Beamte und Beamtinnen des Landes
Sachsen-Anhalt geltenden Bestimmungen. Zusätzlich zur Grundbesoldung können bei
überdurchschnittlichen Leistungen Leistungsbezüge erlangt werden.
Die Hochschule Merseburg strebt eine Erhöhung des Anteils von Frauen im Wissenschaftsbereich
an und fordert Frauen nachdrücklich auf, sich zu bewerben. Bewerbungen
von Wissenschaftlerinnen und Wissenschaftlern aus dem Ausland sind willkommen.
Bewerbungen Schwerbehinderter werden bei gleicher Eignung und Befähigung bevorzugt
berücksichtigt.
Bewerbungen mit Lebenslauf, Darstellung des beruflichen und wissenschaftlichen
Werdegangs, Schriftenverzeichnis und Verzeichnis der
bisherigen Lehrtätigkeiten werden bis zum 05. Juni 2014 erbeten
an: Hochschule Merseburg, Dekanin des Fachbereiches
Informatik und Kommunikationssysteme Frau Prof. Dr.
Monika Trundt, Geusaer Straße, 06217 Merseburg
atp edition
5 / 2014
21

HAUPTBEITRAG
Industrie 4.0 ohne modellbasierte
Softwareentwicklung
Und warum es ohne Modelle nicht gehen wird...
Industrie 4.0 versucht die Handhabung von komplexen Produktionsanlagen zu verbessern
und eine flexible und adaptive Produktion umzusetzen. Aktuell liegt die
Hauptschwierigkeit dieser Szenarien bei der Automationssoftware, deren Erstellung
zeitaufwändig und fehleranfällig ist. Zur Lösung dieses Problems werden dabei zwei
Hauptansätze verfolgt: die modellbasierte Softwareentwicklung und die intelligente
Automation, das heißt die Verwendung wissensbasierter Lösungsansätze. Der
Beitrag vergleicht beide Ansätze anhand dreier Phasen: der Planungsphase, der
Betriebsphase und der Anlagenumbauphase.
SCHLAGWÖRTER Intelligente technische Systeme / Industrie 4.0 / Modellbasierte
Softwareentwicklung für die Automation
Industrie 4.0 without Model-Based Software Development –
And why Models will be Decisive
The efficient handling of complex production systems and the implementation of a
more flexible and adaptable production lies at the heart of Industry 4.0. Currently,
smart manufacturing scenarios face one main bottleneck – the creation and configuration
of the automation software is time-consuming and error-prone.
There are two main solutions for this problem: (i) model-based software development
and (ii) intelligent automation, i.e. the use of new knowledge-based solution
approaches. This article compares these solutions by applying them to three phases
of the life-cycle, the planning phase, the operation phase and the plant reconfiguration
phase.
KEYWORDS intelligent technical systems / cyber-physical systems /
model based software development for automation
22
atp edition
5 / 2014

OLIVER NIGGEMANN, Fraunhofer IOSB-INA
Auf den ersten Blick gibt es wenig Einigkeit
über den Inhalt von Industrie 4.0 und cyber-physischen
Systemen: Je nach persönlicher
Vergangenheit der Experten stehen
mal die Information im Mittelpunkt (Internet
der Dinge), mal die Methoden (wie Selbstdiagnose,
Selbstkonfiguration) oder die Systemfähigkeiten
(intelligente technische Systeme). Bewegen
wir uns weg von der technischen Ebene hin zu den
ursprünglichen Fragestellungen, so wird das Bild
homogener: Der zentrale Begriff ist die Komplexitätsreduktion
[3]. Offensichtlich nehmen immer mehr
Menschen den Umgang mit der heutigen Produktions-
und Automatisierungstechnik als zu komplex,
zu fehleranfällig und zu unflexibel war. Beispiele
sind der Automatisierer, der Anforderungen bezüglich
Inbetriebnahmezeiten, Energieeinsparungen
und Zuverlässigkeit nicht in angemessener Zeit vereinbaren
kann, der Werksleiter, der die Anforderungen
betreffend hoher Variabilität bei kleinen Stückzahlen
(Stichwort: Losgröße 1) nicht mehr erfüllt,
oder der Wartungsingenieur, der komplexe Fehler auf
Systemebene nicht mehr in angemessener Zeit repariert.
In jedem Fall besteht das Ziel in der Reduktion
der vom Menschen wahrgenommen Komplexität bei
Beibehaltung der Komplexität der Produktions- und
Automatisierungstechnik. Insofern steht, und dies
ist ein weiteres Merkmal von Industrie 4.0, immer der
Mensch im Mittelpunkt dieser Arbeiten.
Die klassische Antwort der Informatik, auch für die
Automation, auf diese Fragen besteht im Frontloading
und speziell in der modellbasierten Softwareentwicklung
[10,12-16]. Bei diesen Ansätzen erlauben Modellierungswerkzeuge
dem Experten, sein Wissen bezüglich
der zu entwickelnden Software auf einem für ihn
angenehmen Niveau zu formalisieren, das heißt zu
modellieren. Angenehm ist ein Niveau, wenn Modellierungsniveau
und das Niveau des mentalen Modells
des Menschen, also sein inneres Bild der Software,
nahe beieinander liegen. Der Begriff Frontloading beschreibt
dabei das dadurch erhoffte Tauschgeschäft:
So verlangt die Modellbildung initial mehr Zeit und
Aufwand, allerdings verringern sich später im Prozess
Aufwände und Probleme, vor allem durch die bessere
Spezifikation, durch die Möglichkeit der frühen virtuellen
Systemüberprüfung, zum Beispiel mittels Simulation
und durch die Möglichkeit der Codegenerierung
Aufwände und Probleme. In der Summe ergibt
sich für viele Anwendungsszenarien eine signifikante
Verbesserung des Entwicklungsprozesses [12-16].
Bild 1 zeigt einen typischen Ablauf der modellbasierten
Softwareentwicklung: Der Experte spezifiziert
auf möglichst abstrakte, für ihn angenehme Weise, die
Software. Auf Basis dieser Modelle werden die Automatisierungssoftware
und die entsprechende Konfiguration
der Automation generiert. Die modellbasierte
Softwareentwicklung zielt aber, im Gegensatz zur Modellentwicklung
im Allgemeinen, immer auf eine Beschreibung
der Software ab. Dies gilt auch, falls die
Softwaremodelle durch Ergänzung von Prozessteilen,
von Hardwaretopologie und von Basissoftware zu
Systemmodellen [33, 34] erweitert werden, im Allgemeinen
wird auch bei diesen Ansätzen die Software
manuell modelliert.
Je häufiger Anlagen und damit die Automation geändert
werden, desto häufiger muss dieser Engineering-Zyklus
durchlaufen werden. Des Weiteren verbleibt
alles Wissen bezüglich der korrekten Automation,
wie Systemwissen und Steuerungswissen, beim
Experten. Das heißt, eine Zunahme der Systemkomplexität
muss sich in einer Zunahme der Modellierungskomplexität
niederschlagen. Neue modellbasierte
Ansätze können diese Zunahme abschwächen aber
nicht grundsätzlich verhindern.
Eine Alternative zur modellbasierten Softwareentwicklung
ist die intelligente Automation: Hier beschreibt
der Experte nicht mehr den Ablauf der Automation,
sondern nur noch das Automationsziel. Das
Ziel des Engineerings ist nicht mehr die Definition des
Wie, sondern des Was. Klassische Produktionsziele sind
Produktmerkmale, Durchsatz oder der maximale Energieverbrauch.
Dieses Vorgehen entspricht dem Übergang
von der klassischen, prozeduralen Automation
hin zu einer zukünftigen deskriptiven Automation.
atp edition
5 / 2014
23

HAUPTBEITRAG
Da sich das Automationsziel, anders als der Automationsablauf,
auch bei Anlagenumbauten wie zum Beispiel
dem Austausch eines Anlagenmoduls, zumeist
nicht ändert, ist der Experte bei diesem Ansatz nicht
mehr ständig beteiligt. Darüber hinaus ist es einfacher,
das Automationsziel, zum Beispiel in Form einer Beschreibung
des finalen Produktes, festzulegen, als den
kompletten Automationsablauf zu beschreiben. Hierdurch
erfolgt eine Reduktion der vom Experten wahrgenommenen
Komplexität.
Bild 2 zeigt den Unterschied zwischen diesen beiden
Ansätzen im Fall eines Anlagenumbaus, also bezüglich
Anforderungen wie Adaptivität und Flexibilität. Während
im Fall der modellbasierten Softwareentwicklung
der Mensch bei jeder Änderung involviert ist, reagiert
die deskriptive Automation zumeist automatisch ohne
Mitwirkung des Experten auf Änderungen.
In den letzten Jahren sind immer mehr Entwicklungsprozesse
in den Vordergrund der Forschung gerückt,
die Prozess- und Produktmodelle in den Vordergrund
stellen, die folglich deskriptiv arbeiten. Hierzu
haben die Bemühungen zur Standardisierung solcher
Modelle beigetragen [26, 27]. In verschiedenen Arbeiten
wurden solche Modelle im Kontext von Industrie 4.0
zur Erhöhung der Adaptivität der Automation eingesetzt
[8, 28-30]. Ein verwandter Ansatz sind Agentensysteme
[23-25], bei denen allerdings nicht nur die
Beschreibung des Produktionszieles, sondern auch
algorithmische Aspekte der Selbstorganisation betrachtet
werden.
1. VERGLEICH PLANUNGS- UND INBETRIEB-
NAHMEPHASE
Im Folgenden werden die zuvor beschriebenen gegensätzlichen
Ansätze anhand mehrerer Forschungsprojekte
verglichen, und zwar für den Anwendungsfall der
Planungs- und Inbetriebnahme. Das vom Europäischen
Fonds für regionale Entwicklung (EFRE) geförderte
Projekt Initial [19] versucht mittels modellbasierter
Softwareentwicklungsmethoden und Simulation die
Inbetriebnahme zu verkürzen. Das vom Bundesministerium
für Forschung und Bildung (BMBF) unterstützte
Projekt Efa [20] geht anders vor: In diesem Ansatz
modelliert der Benutzer nur die Anforderungen an
die Automatisierungslösung, die Lösung selbst wird
automatisch generiert.
Das Initial-Projekt entwickelt einen modellbasierten
Ansatz zur Planung von Automatisierungssystemen.
BILD 2: Vergleich der
modell basierten Softwareentwicklung
und der
deskriptiven Automation
Frontloading und modellbasierte Softwareentwicklung
Engineeringtool
Deskriptive Automation
Engineeringtool
Zyklus des
Anlagenumbaus
Modellierung
durch
die Experten
Experten
modellieren
Engineeringtool
erstellt
Modell
...
vol = get_sensor(
press = get_sensor(
if (vol > 10.4 && press
warning(“Pressure
...
Code
Automatismus
durch die intelligente
Automation
Beschreibung
der Produktionsziele
Zyklus
des Anlagenumbaus
PLC
Plattform
PLC PLC
wird ausgeführt
...
vol = get_sensor(
press = get_sensor(
if (vol > 10.4 && press
warning(“Pressure
...
Code
generiert
Code generator
Produktionsanlage
Produktionsanlage
BILD 1: Ein typischer Ablauf der modellbasierten
Softwareentwicklung
24
atp edition
5 / 2014

Dieser beinhaltet ein Strukturmodell, das heißt ein Modell
der Struktur der Produktionsanlage (zum Beispiel
Module und deren Verschaltung) und der Automatisierungstechnik
(beispielsweise Steuerungen einschließlich
Software, Sensoren, Aktoren, Netzwerke). Bild 3
zeigt ein solches Initial-Strukturmodell. Dieses Strukturmodell
lässt sich als AutomationML-Datei [17] importieren
und abspeichern. Zusätzlich werden für Teile
des Strukturmodells Verhaltensmodelle hinterlegt. Für
die Anlagenmodule geschieht dies in der Modellierungssprache
Modelica, für die Steuerungsanteile wird
realer IEC 61131-Code benutzt.
Im Initial-Projekt werden diese Modelle für verschiedene
Aufgaben verwendet: Zum einen dienen die Modelle
als Methode der Absprache und der Kommunikation
zwischen den beteiligten Parteien. Zum anderen
können die Modelle auf einem PC simuliert und so
frühzeitig Automatisierungsfehler entdeckt werden. Es
ist auch möglich, in einer Hardware-in-the-Loop-Simulation
eine reale Steuerung an eine simulierte Anlage
anzuschließen und so die reale Steuerung vor Inbetriebnahme
zu überprüfen. Weitere Details zum Initial-
Projekt finden sich in [1, 2].
Einen völlig anderen Ansatz verfolgt das Efa-Projekt:
In diesem Fall spezifiziert der Experte nur die Anforderungen
an das zu entwerfende Automatisierungssystem,
wie in Bild 4 zu sehen. Auf der linken Seite
definiert der Experte die Anforderungen an den zu
automatisierenden Prozess, hier eine fliegende Säge.
Das System generiert daraus automatisch die Automationslösung
inklusive Hardwaretopologie und Softwareblöcken.
In Bild 5 werden die beiden Ansätze verglichen: Für
den Automatisierer, den Systemintegrator oder beim
Betreiber ist der Aufwand für den deskriptiven Ansatz
erheblich geringer, da nicht mehr die Lösung sondern
nur noch das Ziel beschrieben werden muss. Hieraus
folgt, dass der Automatisierer sich beim deskriptiven
Ansatz auf Prozesswissen fokussieren kann, während
er beim modellbasierten Ansatz erhebliches Wissen
über die IT, die Software und die Automatisierungstechnik
besitzen muss.
Auf der anderen Seite muss zuvor ein Werkzeugentwickler
das nötige Wissen über den Entwurfsprozess
formalisieren und in Form eines Werkzeugs dem Automatisierer
zur Verfügung stellen. Darüber hinaus ist
Wissen über Produktionsmodule und Automatisierungsgeräte
notwendig. Dieses Wissen muss vom Anlagen-
oder Gerätehersteller beziehungsweise vom
Werkzeughersteller modelliert werden. Der Aufwand
BILD 3: Der modell basierte Engineering-
Ansatz im Initial-Projekt
generieren
Prozessbeschreibung, hier fliegende Säge
Automationslösung für fliegende Säge
Plattform und
Inbetriebnahme
Aufwand
Modellbasierte
Software-Entwicklung
Automatisierer: hoch
Werkzeughersteller: wie bislang
Wissen über Prozess, Automation
Software und IT notwendig
Kommunikation über Lösungswege
Deskriptives
Vorgehen
Automatisierer: niedrig
Werkzeughersteller: hoch
Prozess- und Produktwissen im Fokus
BILD 4: Der
Konfigurationsansatz
im
Efa-Projekt
Ansprüche
an Auto matisierer
Kommunikation
und Absprachen
Simulation
und Test
Test der Steuerung als SIL und HIL
möglich
hohe Ansprüche an Anlagenmodell
Kommunikation über Ziele und Produkte
Test der Steuerung nicht möglich
Test sollte aufgrund der
SW-Synthese unnötig sein
BILD 5: Vergleich der
beiden Ansätze für
die Planung und die
Inbetriebnahme
atp edition
5 / 2014
25

HAUPTBEITRAG
für die deskriptive Automation fällt aber nur einmal an
und nicht bei jedem Anlagenentwurf und bei jeder Inbetriebnahme.
Ein erheblicher Unterschied ergibt sich für die Absicherung
der Programmierung: Beim modellbasierten
Ansatz läuft alles auf eine virtuelle Inbetriebnahme
hinaus; die Steuerung wird, real oder als Code, gegen
eine Simulation der Anlage getestet. Dies funktioniert
nur unter der Annahme, dass ein gutes, mit der Realität
abgeglichenes Anlagenmodell existiert. Genau an diesem
Punkt liegt aber das Problem: Im Allgemeinen haben
weder Systemintegrator noch Betreiber die Zeit und
die Ressourcen, um solche Modelle zu entwickeln. Eine
Alternative ist es, dass Maschinen- und Anlagenbauer
Modelle ihrer Anlagen mitliefern und diese später über
Austauschformate wie AutomationML zu einem Gesamtmodell
integrieren. Allerdings ergeben sich hierbei
diverse Probleme:
1 | Für verschiedene Zwecke wie SPS-Programmierung
oder Erstellung der Leitsysteme sind unterschiedliche
Modelle notwendig, das heißt, es
werden nicht nur ein Modell sondern diverse Modelle
benötigt.
2 | Eine Modellparametrisierung ist nur mit Wissen
über das Gesamtsystem möglich. Dies setzt aber
voraus, dass der Systemintegrator oder der Betreiber
über das notwendige Wissen verfügt und,
zwecks Abgleich zwischen Modell und Realität,
auch das Systemverhalten vermessen kann.
3 | Aktuell ist der Business Case für die Maschinenund
Anlagenbauer unklar.
Frontloading und modellbasierte
Softwareentwicklung
Engineeringtool
Deskriptive Automation
BILD 6: Vergleich der
beiden Ansätze für die
Anomalieerkennung und
Diagnose
Modellierung
durch
die Experten
Diagnoseregeln
Beschreibung
der
Diagnoseziele
Ausgabe der
Analyseergebnisse
0[51;0] 6[1;0]
Silo 1 (Min) an
(2767...2767)
Förderband aus
(237...237)
Automatismus
durch die intelligente
Automation
Vergleich
Silo 1 (Min) aus
3[42;0]
Förderband an
(1663...4401)
Förderband aus
(1344...3352)
4[42;0]
Sauger aus
(1530...4306)
Vorhersage
Messung
1[48;0,1] 2[42;0] 5[43;41]
Sauger an
Sauger an
(3393...17676)
(85979...85979)
Produktionsanlage
Modell
des Normalverhaltens
Lernen
Produktionsanlage
BILD 7: Ein gelernter Automat mit einem unerwarteten
Ereignis, zum Beispiel verursacht durch einen SW-Fehler
Betrieb
(Anomalieerkennung)
Modellbasierte Software-Entwicklung
Deskriptives Vorgehen
BILD 8:
Vergleich
für den
Betriebsfall
Aufwand
Ansprüche an
Automatisierer
Vollständigkeit
Automatisierer: hoch
Werkzeughersteller: wie bislang
Automatisierer braucht ein vollständiges
Verständnis aller Abhängigkeiten im System
Experte muss alle Anomalie
vorausdenken
nur solche Situationen werden erkannt, an
die der Benutzer gedacht hat
Automatisierer: niedrig,
Analyseziele müssen formalisiert werden
Werkzeughersteller: hoch
Qualitäts- und Analyseziele müssen bekannt
und formalisiert sein
vollständig, wenn Beobachtungen
vollständig
26
atp edition
5 / 2014

Im Fall der deskriptiven Automation existieren keine
simulationsfähigen Anlagenmodelle, das heißt, ein Modellerstellungs-
und Parametrisierungsproblem gibt es
in der Form nicht. Stattdessen muss einmalig das Wissen
über die automatische Erzeugung der Steuerungssoftware
aus der Beschreibung des Automationszieles
modelliert werden. Diese Synthese-Frage ist bislang
nicht vollständig erforscht und stellt die größte Herausforderung
bei der Umsetzung des deskriptiven Ansatzes
dar. Das Efa-Projekt setzt hierzu zum Beispiel
die Steuerungssoftware kompositionell aus fertigen
Bausteinen, also Software-Komponenten in Form von
IEC 61131-Funktionsblöcken, zusammen. Hierzu werden
Methoden des Constraint Solving zur Konsistenzsicherung
der Anforderungen und zur Berechnung von
unbekannten Systemgrößen verwendet. Regelsysteme
wählen dann die passende Automationstopologie aus
und bilden die Software auf der Hardware ab. Das Ergebnis
bilden mehrere Lösungsvarianten, welche nach
Zielkriterien wie Preis bewertet werden.
Sollte diese Software-Synthese gelöst werden, entfällt
der Bedarf an Tests durch eine Simulation, da nun
statt der Software die Software-Generierung abgesichert
werden kann. Dies ist analog zum Compilerbau,
bei welchem nicht das Kompilat, sondern der Compiler
getestet wird.
2. VERGLEICH FÜR DIE BETRIEBSPHASE
In der Betriebsphase stellen sich Fragen zur Erkennung
von Anomalien, von suboptimalen Energieverbräuchen
oder von Verschleiß [4-7]. Aktuell löst der Experte
diese Fragen zumeist durch das manuelle Kodieren
von festen Regeln im Automationscode, siehe linke
Seite von Bild 6. Diese Regeln schließen von Symptomen
auf Anomalien oder Optimierungsbedarf [9].
Hierzu müssen alle Anomalien vorausgedacht werden.
Im Kontext von Industrie 4.0 mit dem Anspruch auf
Unterstützung für häufige Anlagenumbauten bedeutet
dies, dass diese Regeln häufig manuell bearbeitet werden
müssen.
Ein anderer Nachteil von manuellen Diagnoseregeln
ergibt sich aus der Komplexität auf Systemebene: Während
es für einzelne Aggregate noch möglich ist die
Symptom Anomalie Regeln manuell aufzustellen, ist
dies aufgrund der Kombinatorik für Systeme mit vielen
Abhängigkeiten nicht mehr möglich. Im schlimmsten
Fall muss die Software zwischen allen Kombinationen
von Symptomen differenzieren.
Modellbasierte Ansätze, siehe rechte Seite von Bild
6, gehen daher anders vor [4-6]: Sie vergleichen die Vorhersagen
eines Verhaltensmodells mit den Beobachtungen
des Systems. Ergeben sich Diskrepanzen wie
ein schlechter Energieverbrauch, so wird der Benutzer
darüber informiert.
Allerdings stellt sich die Frage, woher das Verhaltensmodell
kommt. Eine manuelle Modellierung führt
zu allen im Abschnitt 1 behandelten Nachteilen. Aus
diesem Grund geht das BMBF-Projekt Ava [21] anders
vor: Die Modelle werden in Form von zeitbehafteten
hybriden Automaten automatisch anhand von Systembeobachtungen
gelernt. Bild 7 zeigt ein Beispiel: Ein
Verhaltensmodell für ein Modul der Lemgoer Modellfabrik,
siehe Foto in Bild 7, wurde automatisch anhand
von Systembeobachtungen erlernt. Solche Lernverfahren
für Automaten sind ein aktuelles Forschungsgebiet.
Interessant sind für die Automation dabei Verfahren,
die nur Positivbeispiele verwenden. Für große Systeme
existieren Verfahren, die die Anzahl der Zustände minimieren,
zum Beispiel ein Verfahren zum Lernen von
zeitbehafteten Automaten [32] und aus dem Ava-Projekt
ein Verfahren für hybride Automaten [8]. Andere Verfahren
arbeiten mit dem gegebenen Zustandsraum der
IO-Signale [31].
Das Anomalieerkennungssystem vergleicht nun gelerntes
Modell und Systemverhalten: Während der
Zustände 0 bis 4 in Bild 7 verhalten sich Modell und
System identisch, im Zustand 4 tritt aber ein unbekanntes
Signal auf. Dieses wird als Anomalie dem
Benutzer mitgeteilt. In diesem Beispiel liegt ein Programmierfehler
vor. Der Benutzer gibt also nur noch
deskriptiv vor, welche Art von Anomalie (beispielsweise
Zeit-, Energie- oder Sensoranomalie) ihn interessiert
und mit welcher Empfindlichkeit das System
reagieren soll.
Bild 8 zeigt den Vergleich: Da im Fall der deskriptiven
Automation der Automatisierer nur noch die Analyseziele
formuliert, schneidet die deskriptive Automation
klar besser ab. Ein Wermutstropfen bleibt aber: Das
Vorgehen fällt und steigt mit der Möglichkeit, Verhaltensmodelle
automatisch zu erlernen. Erste Ergebnisse
zeigen, dass dies für reale Anlagen möglich ist [8, 18,
31]. Das Thema bleibt aber ein Forschungsgegenstand,
und es ist noch ein weiter Weg hin zu einer kommerziellen
Umsetzung in Werkzeugen.
3. VERGLEICH FÜR DIE UMBAUPHASE
Die Umbauphase wurde eingangs schon kurz erwähnt.
In der modellbasierten Softwareentwicklung, siehe
linke Seite von Bild 2, läuft ein Anlagenumbau bislang
zumeist wie folgt ab: Nachdem der mechanische Anlagenumbau
abgeschlossen ist, werden neue Geräte
wie Sensoren, Aktoren und Steuerungen im Netzwerk
angeschlossen. Dies beinhaltet zumeist eine Umkonfiguration
des Netzwerkes. Nun müssen alle angeschlossenen
Steuerungen ebenfalls geändert werden,
um die neue Netzwerkkonfiguration zu berücksichtigen
und um neue Kommunikationsbeziehungen, zum
Beispiel zu neuen Anlagenmodulen, aufzubauen. Oft
werden Steuerungsalgorithmen angepasst und Parameter
geändert, wie Zykluszeiten in den Steuerungen.
Des Weiteren erfolgt eine Anpassung in höheren
Schichten, wie OPC-Servern, Leittechnik und MES-
atp edition
5 / 2014
27

HAUPTBEITRAG
Systemen. All diese Schritte sind mit einem hohen
Entwicklungs- und Testaufwand verbunden. Selbst
bei Verwendung höherwertiger Modelle [14, 16], aus
denen sich viele dieser Einstellungen generieren lassen,
verbleibt ein manueller Engineering-Aufwand in
jedem Umbauzyklus.
Die deskriptive Automation, rechte Seite Bild 2, geht
anders vor. Sie beschreibt nur das gewünschte Endprodukt.
Bei vielen Anlagenumbauten, wie dem Austausch
eines Produktionsmoduls, bleibt dieses Ziel konstant,
das heißt, eine manuelle Änderung der Automation ist
nicht notwendig. In anderen Fällen, wie der Variation
des Produkts muss nur die Produktbeschreibung angepasst
werden. In jedem Fall verringert sich der Aufwand
erheblich.
Solche Ansätze erforscht aktuell das vom BMBF geförderte
Spitzenclusterprojekt itsowl-IV [22]. Bild 9
zeigt das Vorgehen bei diesem Projekt: Der Experte modelliert
nicht mehr die Automationssoftware. Stattdessen
modelliert er das Endprodukt und den Prozess. Der
Prozess besteht dabei aus typisierten Prozessschritten,
wobei jeder Prozessschritt als Ein- und Ausgaben Zwischenprodukte
und Ressourcen aufweist. Aus dieser
Beschreibung wird die Automationssoftware automatisch
generiert, zum Beispiel in Form einer Verschaltung
und Parametrisierung von vorgegebenen Softwarekomponenten.
Bild 10 zeigt die beiden Ansätze für diesen Fall: Anstatt
die Softwareänderungen in allen Modellen, wie
zum Beispiel nach IEC 61131, einzupflegen, formalisiert
der Experte beim deskriptiven Ansatz nur das
Produkt und, wie im Fall des Projektes itsowl-IV, auch
den Prozess. Hierdurch entfällt der Testaufwand. Die
Vorteile des deskriptiven Ansatzes basieren auf der
abgesicherten und getesteten Generierung der Software
auf Basis der Produkt- und Prozessmodelle. Hierzu
müssen entsprechende Modelle entweder von den
Maschinen- und Anlagenbauern oder von den Werkzeugherstellern
kommen. Des Weiteren müssen die
Werkzeug- und Gerätehersteller die neuen Verfahren
umsetzen. Genau hier liegen die aktuellen Fragestellungen
der Forschung. Im Projekt itsowl-IV werden
BILD 9: Generierung von
Automatisierungssoftware
anhand einer Produkt- und
Prozessbeschreibung
BILD 10: Vergleich der
beiden Ansätze für den Fall
des Anlagenumbaus
Anlagenumbau Modellbasierte Software-Entwicklung Deskriptives Vorgehen
Aufwand
Ansprüche an
Automatisierer
Testaufwand
Automatisierer: hoch, da viele manuelle Aktionen in
den Engineeringwerkzeugen notwendig sind
Werkzeughersteller/Anlagenbauer/
Gerätehersteller: wie bislang
Experte muss über IT-, Netzwerk-, Software-,
Automations- und Prozesswissen verfügen
Automatisierer: alle betroffenen
Steuerungen müssen i. A. neu getestet werden
Werkzeughersteller: wie bislang
Automatisierer: niedrig
Werkzeughersteller/Anlagenbauer/
Gerätehersteller: hoch, da (i) Methoden aufwendig
und (ii) Prozess- und Produktmodelle nötig sind
Experte muss Produkt und
zum Teil den Prozess kennen
Automatisierer: gering, wenn Software-
Generierung abgesichert ist
Werkzeughersteller: hoch
28
atp edition
5 / 2014

derzeit als Lösung Planungsalgorithmen und fallbasierte
Ansätze untersucht.
FAZIT
Die modellbasierte Softwareentwicklung und die deskriptive
Automation sind zwei grundverschiedene
Ansätze zur Umsetzung von Industrie 4.0. Während der
erste Ansatz Methoden entwickelt, damit ein Experte
die Software möglichst bequem und sicher modellieren
kann, setzt der deskriptive Ansatz auf eine Beschreibung
des Produktziels. Die Software wird dabei aber
nicht modelliert sondern generiert.
Beim deskriptiven Ansatz spielen ebenfalls Modelle
eine zentrale Rolle. Sie beschreiben nun aber das
Produkt, zum Teil den Prozess, und sie spezifizieren
Optimierungsziele, wie Durchsatz und Energieverbrauch.
Da sie aber die Software nicht statisch modellieren,
kann der dadurch gewonnene Freiraum zur
Umsetzung von Adaptivität (Abschnitt 1 und 2), von
Qualitätsverbesserung (Abschnitt 2) und von Aufwandsoptimierung
beim Engineering (Abschnitt 1
und 3) genutzt werden. Denn genau in diesem Freiraum
zwischen deskriptiv beschriebenem Produktionsziel
Was und fixer Ablaufsteuerung in der Automation
Wie arbeiten wissensbasierte Methoden, wie
Selbstkonfiguration, Selbstdiagnose und Selbstoptimierung.
Die behandelten Beispiele verdeutlichen, dass die
modellbasierte Softwareentwicklung reifer und weiter
entwickelt ist. Zur Umsetzung der deskriptiven
Automation muss die Forschung noch diverse offene
Forschungsfragen lösen: 1. Die Formalismen für Produkte,
Prozesse und Optimierungsziele sind noch
Forschungsgegenstand und noch nicht standardisiert.
2. Es fehlen Methoden zum automatischen Modelllernen.
3. Auf Basis der deskriptiven Beschreibung muss
die Automationssoftware automatisch generiert werden.
Hier fehlen abgesicherte Methoden der Softwa-
REFERENZEN
[1] Faltinski, S., Niggemann, O., Moriz, N., Mankowski, A.:
AutomationML: From Data Exchange to System Planning and
Simulation. In: Tagungsband IEEE International Conference
on Industrial Technology (ICIT), S. 378-383. IEEE 2012
[2] Graeser, O., Kumar, B., Moriz, N., Maier, A., Niggemann, O.:
AutomationML as a Basis for Offline- and Realtime-Simulation.
In: Tagungsband 8th International Conference on
Informatics in Control, Automation and Robotics (ICINCO),
S. 359-368. IEEE 2011
[3] VDMA: Management summary 2012 - importance of information
and automation technology in the products of manufacturing
systems, engineering and plant engineering. VDMA 2012
[4] Isermann, R.: Model-based fault detection and diagnosis
- status and applications. In: Tagungsband 16th IFAC
Symposium on Automatic Control in Aerospace, S. 71-85.
IFAC 2004
[5] Struss, P., Ertl, B.: Diagnosis of bottling plants - first success
and challenges. In: Tagungsband The 20th International
Workshop on Principles of Diagnosis (DX). 2006
[6] Christiansen, L., Fay, A., Opgenoorth, B., Neidig, J.: Improved
Diagnosis by Combining Structural and Process Knowledge.
In: Tagungsband IEEE Conference on Emerging Technologies
& Factory Automation ETFA, S. 1-8. IEEE 2011
[7] Windmann, S., Jiao, S., Niggemann, O., Borcherding, H., A:
Stochastic Method for the Detection of Anomalous Energy
Consumption in Hybrid Industrial Systems. In Tagungsband
IEEE 11th International Conference on Industrial Informatics
- INDIN. IEEE 2013
[8] Niggemann, O., Stein, B., Vodencarevic, A., Maier, A.:
Learning behavior models for hybrid timed systems.
In: Tagungsband Twenty-Sixth Conference on Artificial Intelligence
(AAAI-12), S. 1083-1090. AAAI 2012
[8] Li, H., Yin, B., Li, N., Guo, J.: Research of fault diagnosis method of analog
circuit based on improved support vector machines. In: Tagungsband 12nd
International Conference on Industrial Mechatronics and Automation
(ICIMA), S. 494 –497. IEEE 2010
[10] Stahl, T., Völter, M., Efftinge, S.: Modellgetriebene Softwareentwicklung.
Techniken, Engineering, Management. DPunkt-Verlag 2007
[11] Cannata, A., Karnouskos, S., Taisch, M.: Energy efficiency driven process
analysis and optimization in discrete manufacturing. In: Tagungsband
35th Annual Conference of IEEE Industrial Electronics IECON ‚09,
S. 4449-4454. IEEE 2009
[12] Maurmaier, M.: Leveraging model-driven development for automation
systems development, Emerging Technologies and Factory Automation.
In: Tagungsband IEEE International Conference on Emerging Technologies
and Factory Automation (ETFA), S. 733-737. IEEE 2008
[13] Streitferdt, D., Wendt, G., Nenninger, P., Nyssen, A., Lichter, H.: Model
Driven Development Challenges in the Automation Domain, Computer
Software and Applications. In: Tagungsband 32nd Annual IEEE International
Computer Software and Applications Conference COMPSAC ‚08,
S. 1372-1375. IEEE 2008
[14] Papakonstantinou, N., Sierla, S., Koskinen, K.: Object oriented extensions
of IEC 61131–3 as an enabling technology of software product lines. In:
Tagungsband IEEE 16th Conference on Emerging Technologies & Factory
Automation (ETFA), S.1-8. IEEE 2011
[15] Thramboulidis, K., Frey, G.: An MDD process for IEC 61131-based
industrial automation systems. In: Tagungsband IEEE 16th Conference on
Emerging Technologies & Factory Automation (ETFA), S. 1-8. IEEE 2011
[16] Witsch, D., Vogel-Heuser, B.: Close integration between UML and IEC
61131-3: New possibilities through object-oriented extensions.
atp edition
5 / 2014
29

HAUPTBEITRAG
AUTOR
Prof. Dr. OLIVER NIGGEMANN (geb. 1971)
ist seit 2008 Professor der Informatik am
Institut Industrial IT (inIT) der Hochschule
OWL. Er studierte Informatik in
Paderborn, wo er 2001 auch promovierte.
Er ist auch stellvertretender Leiter des
Fraunhofer-Anwendungszentrums
Industrial Automation (IOSB-INA) in
Lemgo. Seine aktuellen Forschungsschwerpunkte
liegen im Einsatz von Methoden der künstlichen
Intelligenz und des maschinellen Lernens im Gebiet
der industriellen Automation.
regenerierung. Es ist unklar, wie eine Migration von
der klassischen Engineering-Kette hin zu einer Werkzeugkette
der deskriptiven Automation gelingen kann.
Dies liegt unter anderem daran, dass eine Verlagerung
von Aufwand weg vom Automatisierer und hin zu den
Maschinen- und Anlagenbauern, den Geräte- und den
Werkzeugherstellern geschehen muss. Diese Bestrebung
lohnt, da dadurch der Aufwand nur noch einmalig
an zentralen Stellen entsteht und nicht mehr
neu bei jedem Betreiber.
MANUSKRIPTEINGANG
05.12.2013
Im Peer-Review-Verfahren begutachtet
Fraunhofer-Anwendungszentrum Industrial Automation (IOSB-INA),
Langenbruch 6, D-32657 Lemgo,
Tel. +49 (0) 5261 702 59 90,
E-Mail: oliver.niggemann@iosb-ina.fraunhofer.de
REFERENZEN
In: Tagungsband IEEE Conference on Emerging Technologies & Factory
Automation ETFA, S. 1-6. IEEE 2009
[17] Drath, R., Weidemann, D., Lips, S., Hundt, L., Lüder, A., Schleipen, M.:
Datenaustausch in der Anlagenplanung mit AutomationML. Springer 2010
[18] Niggemann, O., VodenÐareviÐ, A., Maier, A., Windmann, S., Kleine Büning,
H.: A Learning Anomaly Detection Algorithm for Hybrid Manufacturing
Systems. In: Tagungsband The 24th International Workshop on Principles
of Diagnosis (DX). 2013
[19] Initialprojekt NRW Innovationszentrum Industrial IT − Höhere Produktivität
durch den modellbasierten Entwurf und Betrieb von komplexen
Automatisierungssystemen: http://www.hs-owl.de/init/research/
projects/b/filteroff/139/single.html
[20] EfA: Entwurfsmethoden für Automatisierungssysteme mit Modellintegration
und automatischer Variantenbewertung: http://www.hs-owl.de/init/
research/projects/b/filteroff/209/single.html
[21] AVA: Abstraktion von Verhaltensmodellen für Anlagen des Maschinenbaus
aus Messungen in verteilten Automatisierungssystemen:
http://www.hs-owl.de/init/research/projects/b/filteroff/231/single.html
[22] Spitzencluster it’s OWL Projekt itsowl-IV: Clusterquerschnittsprojekt
Intelligente Vernetzung: http://www.hs-owl.de/init/research/projects/b/
filteroff/213/single.html
[23] Pech, Stephan: Software Agents in Industrial Automation Systems.
IEEE Software vol. 30, S. 20-24. IEEE 2013
[24] Mubarak, H., Göhner, P.: Einsatz von Agenten für das Selbstmanagement von
Automatisierungssystemen. In: Tagungsband Multikonferenz Wirtschaftsinformatik
MKWI 2010, S. 167-168. Universitätsverlag Göttingen 2010
[25] Schraufstetter, M., Vogel-Heuser, B.: Konzept zur Erhöhung der Flexibilität von
Produktionsanlagen durch den Einsatz rekonfigurierbarer Anlagenkomponenten
und echtzeitfähiger Softwareagenten. In: Informatik aktuell: Echtzeit 2011
- Herausforderungen durch Echtzeitbetrieb, S. 121-130. Springer 2011
[26] Felleisen, M., Ulrich, A., Fay, A., Enste, U., Polke, B.: Formalisierte
Prozessbeschreibung in der praktischen Anwendung. 1. Teil:
Erstellen einer Prozessbeschreibung nach VDI/VDE-Richtlinie 3682.
Automatisierungstechnische Praxis Heft 9/2009, S. 46-51, 2009
[27] Döbrich, U., Heidel, R.: Modell zur Beschreibung cyber-physischer
Systeme - Modellierung mit Merkmalen unterstützt
Industrie 4.0. atp edition 12/2013, S. 38-45, 2013
[28] Pfrommer, J., Schleipen, M., Beyerer, J.: Fähigkeiten adaptiver
Produktionsanlagen. atp edition 11/2013, S. 42-49, 2013
[29] Angelsmark, O., Malec, J., Nilsson, K., Nowaczyk, S., Prosperi,
L.: Knowledge Representation for Reconfigurable Automation
Systems. In: Tagungsband International Conference on Robotics
and Automation (ICRA-07) Workshop on Semantic Information
in Robotics, S. 1-9. IEEE 2007
[30] Kainz, G., Keddis, N., Pensky, D., Buckl, C., Zoitl, A., Pittschellis,
R., Kärcher, B.: AutoPnP – Plug-and-produce in der Auto mation:
Wandelbare Fabrik als cyberphysisches System. atp edition
04/2013, S.42-49, 2013
[31] Schneider, S., Litz, L.: Automatische Fehlerdiagnose SPSgesteuerter
Anlagen - Von der Beobachtung zu den Fehlerkandidaten.
atp edition 07-08/2013, S.54-61, 2013
[32] Verwer, S.: Efficient Identification of Timed Automata: Theory
and Practice. Dissertation, Delft University of Technology 2010
[33] Kleiner, S., Kramer, C.: Model based Design with System
Engineering Based on RFLP V6. Smart Product Engineering,
S. 93-102. Springer Verlag 2013
[34] Niggemann, O., Stroop, J.: Models for Model‘s Sake. In:
Tagungsband 30th International Conference on Software
Engineering (ICSE) - Experience Track on Automotive Systems,
S. 561-570. IEEE 2008
30
atp edition
5 / 2014

Die Referenzklasse für die
Automatisierungstechnik
www.atp-edition.de
atp edition ist das Fachmagazin für die Automatisierungstechnik.
Die Qualität der wissenschaftlichen Hauptbeiträge
sichert ein strenges Peer-Review-Verfahren. Bezug
zur automatisierungstechnischen Praxis nehmen außerdem
die kurzen Journalbeiträge aus der Fertigungs- und
Prozessautomatisierung.
Sichern Sie sich jetzt diese erstklassige Lektüre! Als exklusiv
ausgestattetes Heft oder als praktisches ePaper – ideal für
unterwegs, auf mobilen Endgeräten oder zum Archivieren.
Wählen Sie einfach das Bezugsangebot, das Ihnen zusagt:
• Heft
• ePaper
• Heft + ePaper
25% ersten Bezugsjahr
Rabatt im
atp edition erscheint in der DIV Deutscher Industrieverlag GmbH, Arnulfstr. 124, 80636 München
WISSEN FÜR DIE
ZUKUNFT
Vorteilsanforderung per Fax: +49 Deutscher 931 Industrieverlag / 4170-494 GmbH | Arnulfstr. oder 124 abtrennen | 80636 München und im Fensterumschlag einsenden
Ja, ich möchte atp edition regelmäßig lesen und im ersten Bezugsjahr 25 % sparen.
Bitte schicken Sie mir die Fachpublikation für zunächst ein Jahr (10 Ausgaben)
als Heft für € 389,25 zzgl. Versand
(Deutschland: € 30,- / Ausland: € 35,-).
als ePaper (Einzellizenz) für € 389,25
als Heft + ePaper für € 536,03
inkl. Versand (Deutschland) / € 541,03 (Ausland).
Alle Preise sind Jahrespreise und verstehen sich inklusive Mehrwertsteuer. Nur wenn ich nicht bis 8 Wochen
vor Bezugsjahresende kündige, verlängert sich der Bezug zu regulären Konditionen um ein Jahr.
Firma/Institution
Vorname, Name des Empfängers
Straße / Postfach, Nr.
Land, PLZ, Ort
Antwort
Leserservice atp
Postfach 91 61
97091 Würzburg
Telefon
E-Mail
Branche / Wirtschaftszweig
Telefax
Widerrufsrecht: Sie können Ihre Vertragserklärung innerhalb von zwei Wochen ohne Angabe von Gründen in Textform (z.B.
Brief, Fax, E-Mail) oder durch Rücksendung der Sache widerrufen. Die Frist beginnt nach Erhalt dieser Belehrung in Textform. Zur
Wahrung der Widerrufsfrist genügt die rechtzeitige Absendung des Widerrufs oder der Sache an den Leserservice atp, Postfach
9161, 97091 Würzburg.
✘
Ort, Datum, Unterschrift
PAATPE2014
Nutzung personenbezogener Daten: Für die Auftragsabwicklung und zur Pflege der laufenden Kommunikation werden personenbezogene Daten erfasst und gespeichert. Mit dieser Anforderung erkläre ich mich damit einverstanden,
dass ich vom DIV Deutscher Industrieverlag oder vom Vulkan-Verlag per Post, per Telefon, per Telefax, per E-Mail, nicht über interessante, fachspezifische Medien und Informationsangebote informiert und beworben werde.
Diese Erklärung kann ich mit Wirkung für die Zukunft jederzeit widerrufen.

HAUPTBEITRAG
Engineering-Effizienz
automatisch messen
Definition, Erfassung und Visualisierung
Engineering ist ein wesentlicher Kostenfaktor in der Automatisierung. Daher suchen
Industrie und Akademia gemeinsam nach Methoden, um die Engineering-Effizienz
zu erhöhen. Leider ist es nicht möglich, solche Methoden objektiv, systematisch,
reproduzierbar und vergleichbar zu bewerten, weil sich Engineering-Effizienz bisher
einer systematischen Messung entzieht. Dieser Beitrag schlägt erstmals einen Ansatz
zur automatischen Messung und Visualisierung der Effizienz von Engineering-Methoden
vor, der in Engineering-Werkzeuge eingebettet werden kann. Im Fokus steht
dabei die Bewertung der Engineering-Methode, nicht des Menschen. Das Konzept
ist auf beliebige Engineering-Werkzeuge übertragbar.
SCHLAGWÖRTER Engineering / Effizienz / Methoden / Konzepte / Effizienzmessung
Automatically Measuring Engineering Efficiency –
Definition, Registration and Visualisation
Engineering is a key cost driver in automation. Therefore, both manufacturers and
researchers are looking for ways to improve engineering efficiency. Unfortunately,
it is not possible to examine new methods in an objective, systematic, reproducible
or comparable way without being able to measure engineering efficiency. This contribution
describes a novel approach for the automatic measurement and visualization
of engineering efficiency which can be directly embedded in engineering tools.
The present concept focuses on the engineering method rather than the efficiency
of an individual engineer. It is applicable for any engineering tools.
KEYWORDS Engineering / efficiency / measurement
32
atp edition
5 / 2014

RAINER DRATH, CHRISTIAN MESSINGER, BEN SCHRÖTER, NUO LI,
GEORG GUTERMUTH, ABB-Forschungszentrum Ladenburg
Effizienz ist in vielen Bereichen des täglichen
Lebens als Indikator für Fortschritt nicht mehr
wegzudenken. Seien es der Wirkungsgrad von
Solarzellen, die Akkulaufzeit von Handys, die
Reichweite von Elektroautos, die Lichtausbeute
von LED, der Kraftstoffverbrauch von Motoren, die
Qualität von Meetings – selbst die Qualität des Schlafes
oder von Erziehungsmethoden für Kinder sind Ziel von
Effizienzverbesserungen. Das gilt ebenso für die Automatisierung.
Die Anlagenplanung und ihre Durchführung ist aufwendig
und mit über 50 Prozent der Kosten von Automatisierungsprojekten
sehr kostenintensiv [1]. In jeder
Planungsphase sind Ingenieure mit ihren jeweiligen
Software-Werkzeugen beteiligt und arbeiten verzahnt
mit Kollegen, Kunden, Subunternehmen und Lieferanten.
Der Prozess erfordert eine umfangreiche Orchestrierung
von Arbeitsabläufen, Mitarbeitern und Software-Werkzeugen.
Das Erreichen hoher Qualität unter
knappen zeitlichen und finanziellen Bedingungen birgt
immer das Risiko verspäteter Inbetriebnahmen und
geringer Margen. Allein um diesen Prozess zu beherrschen,
definieren viele Systemintegratoren standardisierte
Methoden, Werkzeuge und Workflows.
Im Mittelpunkt stehen daher Bemühungen, die Kosten
zu senken und die Wettbewerbsfähigkeit zu erhöhen.
Neue Konzepte oder Normen zur Verbesserung der Engineering-Effizienz
wie modellbasierte Ansätze [2,3], wissensbasierte
Unterstützung [3-5], Automatisierung von
Planungsaufgaben [6,7] oder zur Verbesserung der Interoperabilität
[8-12] könnten sich jedoch deutlich leichter
etablieren, wenn ihre Effizienzgewinne objektiv nachweisbar
wären. Wie soll aber der Vorteil von Engineering-
Methoden objektiv und systematisch mit existierenden
Werkzeugen und Workflows bewertet werden, wenn sich
die Effizienz einer systematischen Messung entzieht?
1. DIE SCHWIERIGKEIT EINER OBJEKTIVEN MESSUNG
Auf den ersten Blick ist Engineering-Effizienz leicht
verständlich: Höhere Effizienz bedeutet dieselbe Engineeringaufgabe
bei gleichem Ergebnis schneller und/
oder kostengünstiger als vorher zu bewerkstelligen.
Dies klingt überzeugend, ist aber bei näherer Betrachtung
keineswegs einfach. Weil Engineering eine Wertschöpfungskette
verwobener Aktivitäten darstellt, die
eine Vielzahl technischer Disziplinen und Werkzeuge
in Interaktion mit Personen unterschiedlicher Ausbildung
und Denkschulen einschließt, hat Engineering-
Effizienz viele Facetten und Hebel. Eine neue Methode
kann beim Engineering scheinbar Zeit einsparen, erhöht
jedoch unbemerkt den Zeitverbrauch oder das
Risiko einer anderen Aktivität. Wird höhere Effizienz
beim Programmieren, zum Beispiel durch sorgfältigere
Dokumentation oder gründlicheres Testen reinvestiert,
bleibt die höhere Effizienz verborgen.
Das Optimum der Engineering-Effizienz bildet das
gelegentlich geforderte Zero-Engineering. Die bestmögliche
Umsetzung wäre eine Anlage von der Stange. Aber
in der Realität sind Anlagen häufig Unikate und das
zugehörige Engineering erfordert kreatives Austüfteln
von Speziallösungen und Kompromissen statt Lösungen
von der Stange. Individuell durchdachtes Engineering
lohnt sich, denn jahrzehntelange Funktion und Profitabilität
einer Anlage gelingen nur mit gutem Engineering.
Insbesondere der Faktor Mensch, wie zum Beispiel das
Verhalten des Kunden, die Qualifikation der Ingenieure,
ihre Kommunikationskultur und individuelle Arbeitsweisen
und Lernkurven, beeinflussen erheblich die
Engineering-Effizienz. Viele dieser weichen Faktoren
sind nicht messbar. Aus diesen Gründen ist die Messung
der Engineering-Effizienz bis heute ungelöst und die
Wirksamkeit neuer Methoden ist schwer zu beziffern.
Dieser Beitrag schlägt einen Ansatz zur Messung vor.
2. ASPEKTE DES ENGINEERING
Aufgrund der Vielzahl von Arbeiten zur Verbesserung
der Engineering-Effizienz sind typische Einflussfaktoren
bereits bekannt. Der GMA FA 6.12 diskutiert im
Rahmen des VDI/VDE 3695 [13] wesentliche Hebel und
Aspekte mit hohem Einfluss auf Engineering-Effizienz.
atp edition
5 / 2014
33

HAUPTBEITRAG
Den dort vorgeschlagenen Kategorien folgend, werden
von den Autoren fünf Faktoren behandelt, die die Effizienz
beeinflussen.
2.1 Hebel der Engineering-Effizienz
a) Hebel Workflow
Der Engineering-Workflow beschreibt den Rahmen zur
Abwicklung des Engineering. Deren Effizienz wird beeinflusst
von den verwendeten Prozessmodellen, der
Komplexität des Workflows, der Anpassbarkeit an interne
Geschäftsprozesse, die Zahl der Workflow-Schritte, beteiligte
Personen und Werkzeuge sowie ihre Schnittstellen,
die Zahl der vorgesehenen Schleifen, die Nutzerführung
und das Wissen über die Abhängigkeiten zwischen
den Aktivitäten. Ein wichtiger Teilaspekt ist das Änderungsmanagement.
Viele Kunden ändern oder entwickeln
ihre Spezifikationen während des Projektes. Änderungen
in einer späten Phase können aufwändige Schleifen erzwingen,
gefolgt von einer Welle an Iterationen in der
gesamten Wertschöpfungskette. Der Hebel Workflow ist
daher oft verborgen, aber von besonderer Bedeutung.
b) Hebel Methoden
Der methodische Werkzeugkasten des Ingenieurs zielt
auf das wie des Engineering: Er umfasst zum Beispiel
Beschreibungssprachen oder Wiederverwendungskonzepte.
Quellen für Wiederverwendung können vergangene
Projekte, das Kopieren/Einfügen innerhalb
eines Projektes, Bibliotheken, wiederverwendbares
Fachwissen oder Erfahrungen sein. Effiziente Wiederverwendung
beinhaltet etliche Fragestellungen: Sind
kundenspezifische Bibliotheken verfügbar? Welche
Qualität haben die Artefakte? Welche Standards werden
eingesetzt? Wie oft werden Vorlagen verwendet und
in welchem Verhältnis steht deren Nutzung zur Entwicklung
und Wartung der Vorlagen?
c) Hebel Werkzeuge
Die Nutzung von Software-Werkzeugen im Engineering
ist Standard. Werkzeughersteller differenzieren ihre
Werkzeuge durch Funktionalität und adressieren hierbei
ganz wesentlich die Effizienz. Hierbei gibt es eine Vielfalt
von Aspekten: Zeit zum Lernen des Tools, Zeit zum
Erstellen und Suchen von Lösungen, Zeit zur Navigation,
Zeit zum Datenaustausch, Werkzeugperformance, Projektstrukturierung
bei zeitgleicher Bearbeitung durch
mehrere Bediener, Usability, den Grad der Selbsterklärung,
oder spezielle Effizienzfunktionen für Experten
wie Plausibilitätsprüfungen, Undo, Hilfesysteme, Änderungsmanagement,
Wizards und viele mehr.
d) Hebel Organisation und Mensch
Die Art, wie ein Projektteam strukturiert, räumlich
verteilt und mit Mitarbeitern versehen ist, beeinflusst
die Effizienz ebenfalls stark. Ein eingespieltes Team
kann ein Projekt viel routinierter abwickeln als ein
neues Team unerfahrener Kollegen. In der Praxis haben
viele Teams einen Lead-Ingenieur und ein heterogenes
Team unterschiedlicher Qualifikationsniveaus mit diffusen
Auswirkungen auf die Effizienz. Weitere Aspekte
der Erfahrung sind eine gute Balance von Wissen über
alle Engineeringphasen hinweg, die Arbeitsauslastung,
der Motivationsgrad oder die Kommunikationsfähigkeit.
Auf höherer Ebene gilt für organisatorische, räumliche
oder sprachliche Grenzen ähnliches.
e) Hebel Kunde und Vertrag
Die Profitabilität eines Projektes kann von diesem Aspekt
mehr abhängen als von jedem anderen Aspekt. In
der Praxis wird ein typischer Engineeringvertrag auf
Basis des Preises unterschiedlicher Anbieter geschlossen.
Aber viele Kunden ändern oder detaillieren ihre
Spezifikationen während des Projektverlaufes – mit den
oben beschriebenen Effekten. Die Engineering-Wertschöpfungskette
reagiert sehr empfindlich auf Änderungen
von Kundenanforderungen. Sinnvolle, vertragliche
Vereinbarungen zum Change- oder Claimmanagement
sind daher entscheidend.
Die Vielzahl der Hebel und Unteraspekte verdeutlicht,
dass Engineering-Effizienz von technischen und
ebenso von organisatorischen, rechtlichen, kulturellen,
wissensbedingten und kundenspezifischen Aspekten
abhängt. Hinweise zur Ermittlung der Effizienz einer
Organisation werden in [13] nur qualitativ anhand von
Merkmalen gegeben, eine automatisch ausführbare
Messmethode wird nicht verfolgt.
2.2. Industrielle Ansätze
In der Praxis wird die Engineering-Effizienz zunächst
über die gesamten Personalkosten eines Projektes ermittelt
[14]. Dieser Ansatz funktioniert bei ähnlichen Projekten,
bietet jedoch keine Vergleichbarkeit, weil er stark von der
Projektgröße abhängt. Zudem sind keine Aussagen über
die Effizienz einer bestimmten Methode ableitbar.
Damit Effizienz vergleichbar wird, muss sie auf einen
Bezugspunkt normalisiert werden. Ein in der Prozessautomatisierung
verbreiteter Ansatz ist Effizienz = Anzahl
der Signale (I/Os) pro Zeit, häufiger noch der Kehrwert:
Zeit pro I/O [14]. Dieser Ansatz ist unabhängig von
der Größe (gemessen in I/O) eines Projektes und umfasst
sämtliche harten und weichen Faktoren eines Projektes
im Methodenraum der Projektabwicklung. Methodisch
ließe sich dieses Konzept für jede andere Form von typischen
Engineering-Artefakten anwenden, beispielsweise
Loops pro Zeit oder Zeit pro Loop. Der Nachteil
ist dennoch fundamental: Die Komplexität eines I/O
oder Loops fällt unterschiedlich aus und ist nicht immer
vergleichbar. Beispielsweise benötigt ein Safety-Signal
deutlich mehr Engineering als ein normales binäres
Signal. Weiterhin ist entscheidend, ob die Liefergrenze
nur das Programmieren der Funktionslogik oder das
Gesamtsystem von Bedienoberfläche bis zur Installation
der Geräte umfasst. Auch eine FDA-gerechte Dokumentation
beeinflusst das Ergebnis erheblich.
34
atp edition
5 / 2014

Effizienz ist folglich nicht nur durch Engineering-
Methoden beeinflusst, die wir messen und verbessern
möchten, sondern durch eine Vielzahl von Einflüssen
im Umfeld eines von Menschen durchgeführten Prozesses.
Mit den genannten Ansätzen greift die Effizienzmessung
zu kurz. Sie sind gebunden an den Typ und die
Größe der Projekte und erfordern detaillierte Hintergrundinformation
zu ihrer Interpretation. Eine objektive
und automatische Messung sowie ein belastbarer
Vergleich unterschiedlicher Engineering-Methoden
sind damit nicht möglich.
2.3 Zielstellung der Arbeit
Der im Beitrag vorgestellte Ansatz versteht sich als Mittel
zur Bewertung und Förderung neuer Engineering-
Methoden. Ziel dieser Arbeit ist die Entwicklung eines
verallgemeinerbaren und automatisierbaren Ansatzes
zur Messung von Engineering-Effizienz innerhalb von
Software-Werkzeugen, mit dem sich die Vorteile unterschiedlicher
Engineering-Methoden, Workflows oder
anderer Hebel vergleichen lassen. Der Schwerpunkt
dieser Arbeit liegt deshalb in der Bewertung der Engineering-Methode,
nichtmessbare Einflüsse sollen bestmöglich
neutralisiert werden. Es geht nicht darum,
Engineering-Teams zu bewerten, sondern um eine Entscheidungshilfe
bei der Einführung neuer Methoden.
Die Beschränkung auf Software ist notwendig, denn
automatisches Messen erfordert computerauswertbaren
Zugriff auf Information, die es ermöglicht, den Engineeringfortschritt
über die Zeit zu verfolgen. Die Messung
soll reproduzierbare Ergebnisse liefern, auf andere
Werkzeuge übertragbar sein und die Bewertung einzelner
Aspekte erlauben. Die Anwendbarkeit der Methode
soll sich universell auf alle werkzeugunterstützten Phasen
des Engineering anwenden lassen, siehe Bild 1.
3.1 Laborbedingungen
Um die Abhängigkeit von der Projektgröße und der Art
von Engineering-Artefakten zu eliminieren, schlagen die
Autoren die Messung eines repräsentativen Benchmark-
Projektes unter Laborbedingungen vor, siehe auch [14],
das den kompletten Umfang einer Methode umfasst und
alle typischen Engineering-Aktivitäten enthält. Eine
wichtige These des Ansatzes besteht darin, unerwünschte
Einflüsse wie Erfahrung, Lernkurven, Unsicherheiten
im Umgang mit dem Werkzeug, Suchen oder Fehlermachen
zu eliminieren und die Messung auf das Messobjekt
zu fokussieren, indem die Durchführung des Benchmark-Projektes
von einer ausreichenden Zahl von Ingenieuren
solange wiederholt wird, bis ein hoher Routinegrad
erreicht ist – erst dann beginnt die Messung. (Durch
Erfassung der Projektwiederholungen lassen sich sogar
Aussagen über die Lernkurve machen, denn manche
Methoden sind besser lernbar als andere. Dieser Aspekt
wird in Teil 2 des Beitrags noch ausführlicher behandelt.)
Die Ergebnisse der so erfolgten Messung werden
durch den Rahmen des Benchmark-Projektes objektiv
und vergleichbar. In der Praxis lassen sich die Ergebnisse
nur auf Projekte ähnlichen Typs übertragen.
3.2 Messaufbau
Die Messung erfordert ein Engineering-Werkzeug (oder
mehrere), das im Rahmen des Benchmark-Projektes
benötigt wird, eine Auswertesoftware, die während
der Abarbeitung des Benchmarkprojektes Zugriff auf
3. MESSUNG DER ENGINEERING-EFFIZIENZ
Eine sinnvolle Messung von Effizienz erfordert das Fokussieren
auf ein Messobjekt und zugleich das Eliminieren
unerwünschter Einflüsse. Als Messobjekt wird
ein Ansatz zur Verbesserung der Engineering-Effizienz
verstanden, zum Beispiel eine neue Engineering-Methode,
ein neuer Workflow, verbesserte Usability, ein
neues Werkzeug oder eine neue Technologie. Anschließend
sind alle unerwünschten Freiheitsgrade zu beschränken
beziehungsweise zu normieren: die Projektgröße,
die Art der Engineering-Artefakte, die Fertigkeit
und Lernkurve des planenden Ingenieurs und der Einfluss
von Fremdaktivitäten außerhalb des Messobjektes.
Im Ergebnis wird reproduzierbar die bestmögliche
Engineering-Effizienz, also der Grenzwert der Verbesserungspotenziale
einer Methode ermittelt. Diese Messwerte
sind in der Praxis nur im Bestfall erreichbar,
erlauben aber einen zuverlässigen Vergleich.
BILD 1: Phasen des Engineering nach [1]
atp edition
5 / 2014
35

HAUPTBEITRAG
die Engineering-Daten besitzt, eine Gruppe von Ingenieuren,
die die Bearbeitung des Projektes durchführen
sowie das Messobjekt (zum Beispiel eine Engineering-Methode),
dessen Effizienz gemessen werden soll.
Durch mehrfaches Üben des Benchmark-Projektes
muss vor der Messung ein höchstmöglicher Routinegrad
bezüglich des Werkzeuges, des Benchmark-Projektes
und des Messobjekts sichergestellt werden.
3.3 Erfassung der Projektkomplexität
In einem Engineering-Werkzeug werden manuell oder automatisch
Engineering-Artefakte erzeugt, beispielsweise
Funktionsbausteine, grafische Elemente, Schrittketten,
Hardwaremodule, globale Signalvariablen. Die Art der Artefakte
hängt vom Werkzeug und vom Projekt ab. Da die
Artefakte untereinander Abhängigkeiten besitzen, bedeuten
mehr Artefakte in Näherung mehr Komplexität. Die Komplexität
eines Projektes kann durch Zählen dieser Artefakte
abgeschätzt werden und gilt für den Zeitpunkt der Messung.
Diese Zahlen lassen sich als Vektor darstellen und
vergleichen. Dieses Maß ist universell, weil es die werkzeugspezifische
Vielfalt von Artefakten abbildet. Mehrere
Messungen erfassen den Projektfortschritt über die Zeit.
3.4 Absolute und relative Effizienz
Betrachten wir einen Experten, der ein Funktionsblockdiagramm
mit 20 Blöcken routiniert aber händisch innerhalb
von fünf Minuten erzeugt und konfiguriert. Sein
Kollege nutzt eine andere Methode: Er instanziiert binnen
einer Minute eine Vorlage mit 25 Funktionsblöcken
und löscht händisch fünf davon. Im Ergebnis kommen
beide Experten zum selben Ergebnis, aber der zweite
Kollege hat 5x weniger Zeit benötigt. Wer ist effizienter?
Absolut betrachtet, ist der zweite Experte 5x effizienter.
Relativ hingegen, innerhalb seiner Methode, hat der erste
Experte geradlinig ohne jede Änderung gearbeitet, hocheffizient,
ohne Verbesserungspotenziale. Der zweite Experte
hingegen musste die Vorlage modifizieren, um sein
Ziel zu erreichen. Innerhalb seines Methodenraumes
war der erste Experte optimal effizient, wohingegen der
zweite noch Verbesserungspotenziale besitzt.
Die Autoren unterscheiden deshalb zwei grundsätzliche
Arten der Effizienz: (a) die absolute Effizienz über
unterschiedliche Methoden hinweg und (b) die relative
Effizienz innerhalb eines Methodenraumes, die ein
Maß für Verbesserungspotenziale darstellt.
Auf den ersten Blick scheint die absolute Effizienz
wichtiger, weil ihre Ergebnisaussagen global gültig
sind. So haben manche Engineering-Methoden die Effizienz
so verbessert, dass die Optimierung der alten
Methode müßig wäre. Beispielsweise ist die massenhafte
Generierung von Steuerungslogik mit Hilfe von
Vorlagen bekanntermaßen viel effizienter als das händische
Programmieren von Grund auf. Bei näherer Betrachtung
ist jedoch die relative Effizienz von erhellender
Bedeutung: Die Zahl bahnbrechender neuer
Engineering-Methoden ist begrenzt und viele bedeutsame
Methoden sind längst in Engineeringwerkzeugen
verfügbar. Die Differenzierung erfordert die effiziente
Ausführung der Engineering-Methoden, denn sie lassen
sich effizient oder ineffizient umsetzen. Hier kommt
die Methodenqualität und die Usability der beteiligten
Werkzeuge zum Tragen. Der im Beitrag vorgeschlagene
Ansatz verfolgt daher ausdrücklich beide Ansätze.
3.5 Messung der absoluten Effizienz
Absolute Effizienz wird gemessen, indem die Anzahl
aller wesentlichen Engineeringartefakte (nicht nur I/O
oder Loop, sondern auch Geräte, Funktionsbausteine,
Diagramme) und die zugehörige Engineering-Zeit ermittelt
werden. Da das Engineering von Artefakten in
vielfältiger Hinsicht Zeit verbraucht, ist sicherzustellen,
nur diejenige Zeit zu betrachten, die tatsächlich
für die Erzeugung der zu messenden Engineering-Ergebnisse
benötigt wird. Die Messung darf nur über die
relevante Zeit pro Artefakt oder Aktivität erfolgen. Alle
übrige Zeit ist zu detektieren und vorerst außer Acht zu
lassen. Daraus lässt sich für jedes Artefakt die absolute
Größe Zeit-pro-Artefakt ermitteln. Der vorgestellte Ansatz
definiert die absolute Effizienz als Vektor all dieser
Größen. Dieser lässt sich zeilenweise zwischen Engineering-Methoden
vergleichen. Die absolute Effizienz
ist somit methodenunabhängig. Alle hierfür benötigte
Information ist automatisch im Werkzeug messbar.
3.6 Messung der relativen Effizienz
Relative Effizienz ist innerhalb eines Methodenraumes
interessant. Sie gibt Auskunft darüber, wie effizient eine
Methode bei routinemäßiger Ausführung ist. Methodenbedingte
Ungeradlinigkeiten werden dadurch aufgedeckt.
Ein geradliniges Vorwärtsengineering und Voranschreiten
beim Erzeugen neuer Daten ist ein Indikator für eine
effiziente Ausführung einer Engineeringmethodik, wohingegen
das Ändern bereits zuvor geplanter Daten Ineffizienz
bedeutet. Engineeringschleifen führen beispielsweise
konzeptionell zu Zeitverlust. Das lässt sich messen.
Die Obergrenze der relativen Effizienz wird in dem
vorgestellten Ansatz dann erreicht, wenn eine Engineering-Aufgabe
nach einer initialen Konfiguration ohne
jede nachträgliche Modifikation gelöst wird. Die bestmögliche
relative Effizienz ist folglich ein Geradeaus-
Engineering ohne Zweitmodifikationen.
Die Autoren schlagen vor, relative Effizienz zu messen,
indem die Anzahl von Nachfolge-Modifikationen in Engineering-Artefakten
ermittelt wird, die zuvor bereits geplant
wurden. Sie ist nur vergleichbar innerhalb desselben
Methodenraumes, kann aber beispielsweise für unterschiedliche
Werkzeuge untersucht werden. Für den Vergleich
von Messungen ist zu beachten, dass bei unterschiedlichen
Methoden nur die absolute Effizienz ver-
36
atp edition
5 / 2014

gleichbar ist. Bei gleicher Methodik ist zusätzlich die relative
Effizienz vergleichbar, gerade über Werkzeuge
hinweg. So lässt sich die Auswirkung von Usability verschiedener
Softwarewerkzeuge endlich objektiv bewerten.
4. VORSCHLAG ZUR VISUALISIERUNG
Eine Schlüsselfrage lautet: Wie lässt sich Effizienz grafisch
abbilden und wie könnte ein Effizienzcockpit
aussehen? Hierfür ist den Autoren aus der Literatur und
Praxis keine Darstellung bekannt. Im Folgenden schlagen
wir eine Reihe von Diagrammen vor, die Effizienz
visuell greifbar darstellen und insbesondere Verbesserungen
verständlich herausheben können.
4.1 Darstellung der Projektkomplexität
Projektkomplexität ist ein Vektor, der zeilenweise die
absolute Anzahl der erzeugten Engineering-Artefakte
zu einem Zeitpunkt enthält. Die Projektkomplexität ist
selbst noch kein Maß für die Effizienz, aber sie ist die
Basis für weitere Betrachtungen. Da im Projektverlauf
neue Artefakte hinzukommen, ändert sich die Projektkomplexität
mit der Zeit.
Als geeignete grafische Darstellung wird ein Spinnendiagramm
gemäß Bild 2 (Chart I) vorgeschlagen. Dieses Beispiel
zeigt alle Artefakte: Steuerungen, Aktoren, Sensoren,
grafische Elemente, Signale, Funktionsblöcke, Funktionsblockdiagramme
und Schrittketten. Chart II zeigt die Komplexität
desselben Projektes zu einem späteren Zeitpunkt.
Zur Veranschaulichung von Veränderungen schlagen die
Autoren eine Quotientenbildung aus Chart I und Chart II
vor: Chart III demonstriert das Hervorspringen der Unterschiede.
Diese Form der grafischen Darstellung ist universell
und für jedes Werkzeug anwendbar: Die Auswahl der
Artefakte ist jedoch anwendungsspezifisch und erfolgt mit
der Entwicklung des Benchmark-Projektes.
BILD 2: Visualisierung von Projektkomplexität
4.2 Projektfortschritt über die Zeit
Projektfortschritt ist die Änderung der Projektkomplexität
über die Zeit, verursacht durch Hinzufügen oder
Löschen von Artefakten. Zur Messung wird dazu in regelmäßigen
Abständen der Vektor der aktuellen Projektkomplexität
ermittelt. Bild 3 zeigt den Projektfortschritt
in einem Diagramm: Jedem Artefakt sowie der Summe
aller Artefakte ist jeweils eine Kurve zugeordnet. Phasen
hoher Effizienz führen zu starkem Wachstum der Kurven,
während geringe Effizienzphasen durch ein Innehalten
oder gar Rückgang der Kurven erkennbar sind.
Eine Interpretation dieser Kurven muss sorgfältig erfolgen.
Fortschritt und Stillstand können zusammengehören,
wenn beispielsweise ein Bulk-Import erfolgte und
die erzeugten Artefakte noch verschaltet werden müssen.
Eine Plateauphase oder ein moderater Rückschritt
sind dann keine unproduktiven Zeiten, sondern gehören
BILD 3: Fortschrittsdiagramm (absolute Zahlen)
atp edition
5 / 2014
37

HAUPTBEITRAG
BILD 4: Visualisierung
der absoluten Effizienz
BILD 5: Modifikationsdiagramm
BILD 6: Aktivitäten-Diagramm
zwingend zur Engineering-Methode. Dennoch gilt:
Rückschritte weisen auf Verbesserungspotenziale hin.
4.3 Absolute Effizienz
Die absolute Effizienz basiert auf der Projektkomplexität,
betrachtet jedoch nicht die Anzahl, sondern den durchschnittlichen
Zeitverbrauch pro Artefakt. Dieser Vektor
lässt sich ebenso in einem Spinnendiagramm visualisieren.
Dieses Diagramm ist für die Ermittlung individueller
Lernkurven anwendbar, aber nur für ein Benchmark-Projekt
unter routinierten Messbedingungen reproduzierbar.
Bild 4 zeigt dies für ein Benchmark-Projekt unter Verwendung
verschiedener Methoden in zwei Spinnendiagrammen
Chart I und Chart II. Die ermittelte Zeit ist die indi-
viduell zu den Artefakten zugeordnete Zeit. Das dritte
Spinnendiagramm beinhaltet wiederum den Quotienten
beider Diagramme und visualisiert die Effizienzverbesserungen
durch die neue Methode. Das Ergebnis ist überraschend:
Das Diagramm kann den Einfluss der neuen Methode
auf das gesamte Projekt abbilden. Für einige Artefakte
sind Verbesserungen sichtbar, während sich für
andereArtefakttypen Verschlechterungen ergeben.
4.4 Relative Effizienz
Modifikationen von bereits geplanten Artefakten werden
als grundsätzlich destruktiv angenommen, beispielsweise
das Löschen eines Funktionsblocks oder
eines Sensors oder die Neujustierung von Parametern.
38
atp edition
5 / 2014

Konfiguration (HMI), I/O Kommunikationskonfiguration
(FDI), Systemadministration (Setup), Idle, None,
External, Navigation zwischen Tools oder Ansichten,
Check-Out (Testing) und Debugging. Das Diagramm ist
eine wertvolle Quelle zur Evaluierung von Effizienz.
Es zeigt Potenziale in der Erfahrung des Ingenieurs, mit
der Usability, mit der Werkzeugperformance oder mit
der Fragmentierung der Aktivitäten auf. In realen Projekten
ist die Interpretation von Pausezeiten schwierig
– es ist nicht entscheidbar, ob es unproduktive Zeiten
sind, ob derzeit am Whiteboard gearbeitet wurde oder
ob eine Unterbrechung durch einen Kollegen stattfand.
In einem Benchmarkprojekt sind unter Laborbedingungen
Pausezeiten als Produktivzeiten anzusehen.
4.6 Wiederverwendung
BILD 7: Wiederverwendungsdiagramm
Dieser Indikator zeigt die Anzahl von Wiederverwendungen
über die Zeit (Bild 7). Er erhöht sich, sobald ein
Bibliothekselement instanziiert oder über Copy-and-paste
innerhalb eines oder zwischen zwei Projekten, dupliziert
wird. Dieser Indikator hilft, die Wiederverwendungsrate
von Artefakten oder Bibliothekselementen zu analysieren.
Dies erleichtert beispielsweise die Verwendungsraten einzelner
Artefakte einzustufen oder geeignete Kandidaten
für Bibliothekselemente zu identifizieren.
4.7 Häufigkeit von Kommandoaufrufen
BILD 8: Kommandodiagramm
Während der Benutzung eines Engineering-Werkzeuges
wählt der Bediener Menüeinträge (Kommandos) aus,
um verschiedene Aktivitäten zu starten. Dieser Indikator
(Bild 8) stellt die Benutzungsanzahl solcher Kommandos
grafisch dar. So lassen sich wichtige Funktionen
identifizieren und das hilft, den Zugriff und die
Usability populärer Funktionen zu verbessern.
ZUSAMMENFASSUNG
Wird die Modifikationsrate über die Zeit abgetragen,
entsteht ein Diagramm nach Bild 5, das die Anzahl
modifizierter oder gelöschter Artefakte im Vergleich
zum letzten Messpunkt zeigt. Dies ist ein Maß für die
relative Effizienz. Gut sichtbar sind Perioden hoher Änderungsaktivitäten
– ein Indikator für Verbesserungspotenziale.
Die ideale Modifikationskurve liegt konstant
bei Null, sie zeigt maximale relative Effizienz.
4.5 Zeitlicher Verlauf von Aktivitäten
Der Zeitverbrauch lässt sich darüber hinaus pro Aktivität
ermitteln und gemäß Bild 6 darstellen. Im abgebildeten
Beispiel werden folgende Aktivitäten unterschieden:
Steuerungslogikengineering (Logic), HMI-
Dieser Beitrag versteht sich als Konzept zur Bewertung
und Förderung neuer Engineering-Methoden und stellt
einen systematischen Ansatz vor, deren Effizienz und
Kundennutzen innerhalb eines Werkzeuges oder einer
Werkzeugkette objektiv und vergleichbar messen und
visualisieren zu können. Dies soll den Transfer von
Ideen aus der Wissenschaft in die Praxis unterstützen.
Die Messung erfolgt unter Laborbedingungen und
nicht im laufenden Projekt – dadurch werden unerwünschte
Fremdeinflüsse auf die Effizienz sowie Überwachungsbedenken
eliminiert. Die Einführung eines
Benchmark-Projektes und das routinierte Ausführen des
Engineering reduzieren den Einfluss des Menschen und
führen zu tatsächlich vergleichbaren Ergebnissen. Die
ermittelten Effizienzaussagen sind unter diesen Randbedingungen
reproduzierbar, vergleichbar und entsprechen
einem Engineering unter Optimalbedingungen.
atp edition
5 / 2014
39

HAUPTBEITRAG
AUTOREN
Dr.-Ing. RAINER DRATH (geb. 1970) ist Program Manager
im ABB Forschungszentrum Deutschland in Ladenburg.
Er beschäftigt sich mit der Entwicklung neuer Konzepte
und Methoden zur Verbesserung des Engineering von
Automatisierungssystemen.
ABB Forschungszentrum Ladenburg,
Wallstadter Str. 59, D-68526 Ladenburg,
E-Mail: rainer.drath@de.abb.com
Dipl. Phys. GEORG GUTERMUTH (geb. 1969) ist Gruppenleiter
im ABB Forschungszentrum Deutschland in Ladenburg.
Er beschäftigt sich mit der Verbesserung von
Workflows, Werkzeugen und Methoden des Engineering
von Automatisierungs- sowie elektrischen Systemen.
ABB Forschungszentrum Ladenburg,
Wallstadter Str. 59, D-68526 Ladenburg,
E-Mail: georg.gutermuth@de.abb.com
Dipl. Inf. CHRISTIAN MESSINGER (geb. 1983) ist Scientist
im ABB Forschungszentrum Deutschland in der Abteilung
„Industrial Software and Applications“ und beschäftigt
sich vor allem mit der Entwicklung und Verbesserung von
Automation-Engineering Software.
ABB Forschungszentrum Ladenburg,
Wallstadter. Str. 59, D-68526 Ladenburg,
E-Mail: christian.messinger@de.abb.com
Dr. NUO LI (geb. 1981) ist wissenschaftliche Mitarbeiterin
im ABB Forschungszentrum Deutschland in Ladenburg.
Ihre Themenschwerpunkte liegen in der Anwendung von
Software Engineering Technologien zur Verbesserung des
Engineering Prozesses.
ABB Forschungszentrum Ladenburg,
Wallstadter Str. 59, D-68526 Ladenburg,
E-Mail: nuo.li@de.abb.com
Dr.-Ing. BEN SCHRÖTER (geb. 1977) ist Mitarbeiter der
Entwicklung von speicherprogrammierbaren Steuerungen
innerhalb der ABB Automation Products GmbH. Sein
Arbeits schwerpunkt ist die Weiterentwicklung von
PC-basierten Engineering-Werkzeugen im Umfeld der
Fabrikautomatisierung.
ABB Automation Products GmbH,
Eppelheimer Straße 82, D-69123 Heidelberg,
E-Mail: ben.schroeter@de.abb.com
Doch ein Einsatz unter realen Bedingungen ist ebenso
sinnvoll. Werden die dort ermittelten Messergebnisse
mit Messungen aus dem Labor verglichen, ist die Differenz
ein Wegweiser für Verbesserungspotenziale.
Die kontinuierliche statistische Projektauswertung
unter optimalen Laborbedingungen und die automatische
Erzeugung der vorgeschlagenen Diagramme verspricht
einen erhellenden, detaillierten und konkreten
Einblick in den Engineering-Prozess.
Bezüglich des Hebels Workflow aus Abschnitt 2.1 a
hilft dieser Ansatz bei der Identifizierung von Modifikationszeiten
nach einer Änderungsanforderung. Basierend
auf den gemessenen Zeiten lassen sich beispielsweise
Aussagen über die finanziellen und zeitlichen
Auswirkungen von Änderungswünschen des
Kunden treffen.
Auch den Hebel Methoden aus Abschnitt 2.1 b deckt
dieser Ansatz ab. Die Qualität und Kompatibilität von
Artefakten wird im Modifikationsdiagramm gut sichtbar,
die Anzahl der Wiederverwendungen wird direkt
gemessen, das Verhältnis zwischen Wartung und Wiederverwendung
von Artefakten ist ableitbar.
Den Hebel Werkzeuge aus Abschnitt 2.1 c deckt dieser
Ansatz ebenfalls gut ab. Alle Effizienzfunktionen eines
Werkzeuges werden im Rahmen des Benchmarkprojektes
erfasst, die Anwendung derselben Engineering-
REFERENZEN
[1] G. Gutermuth: Engineering, In Hollender, M. (Hrsg): Colla -
borative Process Automation Systems, S. 156-182. ISA 2010
[2] E. Estévez, M. Marcos: Automatic Model-driven approach
for designing industrial control systems. Lecture Notes in
Computer Science. 0302-9743 (Print) 1611-3349 (Online).
Vol. 4758/2007, 2007, pp: 284-287. Springer
[3] Li, F.; Gilz, T.; Steinhauer, M.; Vogel-Heuser, B.; Eigner, M.;
Shea, K.: Supporting the multi-domain plant engineering
process using engineering knowledge from formalized
model-based libraries. In: International Conference on
Production Research (ICPR), Stuttgart, 2011
[4] S. Runde, A. Fay: Software Support for Building Automation
Requirements Engineering - An Application of Semantic
Web Technologies in Automation. IEEE Transactions on
Industrial Informatics, 2011. DOI: 10.1109/TII.2011.2166784
[5] Wiesner A et.al.: Wissensbasierte Integration und
Konsolidierung von heterogenen Anlagenplanungsdaten.
atp edition, 2010, 52(4), 48-58
[6] M. Mertens and U. Epple. Plant Asset Management Functions
driven by Property Models. IEEE Int. Conf. on Emerging
Technologies and Factory Automation (ETFA), 2009
[7] W. Schäfer, H. Wehrheim: The Challenges of Building
Advanced Mechatronic Systems, In: Proc. “2007 Future of
Software Engineering – Int. Conf. on Software Engineering”,
Washington, DC, 2007, pp. 72-84
40
atp edition
5 / 2014

www.atp-edition.de
Jetzt bestellen!
Methode in einem anderen Werkzeug würde die
toolabhängigen Effizienzunterschiede aufdecken.
Bezüglich des Hebels Organisation und Mensch
aus Abschnitt 2.1 d definiert diese Metrik Regeln,
wie die Lernkurve aus der Messung eliminiert wird,
oder wie die Lernkurve experimentell explizit erfasst
werden kann.
Der Hebel Kunde und Vertrag aus Abschnitt 2.1 e
hingegen wird kaum berücksichtigt, weil die Messung
nur die Effizienz im Rahmen eines Werkzeuges
oder einer Werkzeugkette messen kann. Da ein signifikanter
Anteil der gesamten Automatisierungsplanung
von der Angebotsphase bis zur Inbetriebnahme
keinen Werkzeugbezug hat, kann er nicht in
die Messung eingeschlossen werden. Probleme in
diesem Bereich werden aber mit Sicherheit zu einer
hohen Modifikationsrate führen.
Der Ansatz deckt eine Vielzahl von werkzeugbezogenen
Effizienzaspekten ab und stellt sie in Diagrammen
vorteilhaft dar. Der Ansatz ist leicht auf
andere Engineering-Werkzeuge portierbar und gibt
eine solide Grundlage für die Definition und Berechnung
spezifischer Engineering-Effizienz-KPI.
Die Referenzklasse für die
Automatisierungstechnik
atp edition ist das Fachmagazin für die Automatisierungstechnik.
Die Qualität der wissenschaftlichen Hauptbeiträge
sichert ein strenges Peer-Review-Verfahren. Bezug zur
automatisierungstechnischen Praxis nehmen außerdem
die kurzen Journalbeiträge aus der Fertigungs- und Prozessautomatisierung.
Sichern Sie sich jetzt diese erstklassige Lektüre! Als
exklusiv ausgestattetes Heft oder als praktisches ePaper
– ideal für unterwegs, auf mobilen Endgeräten oder zum
Archivieren.
Wählen Sie einfach das Bezugsangebot, das Ihnen zusagt:
als Heft, ePaper oder Heft + ePaper!
MANUSKRIPTEINGANG
14.01.2014
Im Peer-Review-Verfahren begutachtet
[8] Drath R., Fay A., Barth M.: Interoperabilität von
Engineering-Werkzeugen. In: at - Automatisierungstechnik
9/2011, S. 598–607, Oldenbourg-Verlag, 2011
[9] Drath R., Schröter B., Hoernicke M.: Datenkonsistenz im
Umfeld heterogener Engineering-Werkzeuge. In:
Automation 2011, VDI-Berichte 2143, S. S. 29–32,
Langfassung auf Tagungs-CD (13 Seiten), VDI-Verlag, 2011
[10] IEC 62714-1 CD norm draft AutomationML Architecture,
www.iec.ch, 2011
[11] T. Moser, S. Biffl: Semantic Tool Interoperability for
Engineering Manufacturing Systems, In: Proceedings of
the “IEEE Conference on Emerging Technologies and
Factory Automation (ETFA)”, 2010, pp. 1-8
[12] ISO 15926. Industrial automation systems and integration
- Integration of life-cycle data for process plants
including oil and gas production facilities
[13] VDI-GMA 6.12: Engineering of industrial plants – Evaluation
and optimization. VDI/VDE Richtlinie 3695, Parts 1-5,
Berlin, Germany, 2010-2013
[14] Gutermuth G.: Engineering Effizienz – eine wissenschaftliche
Betrachtung. Präsentation im GMA-Arbeitskreis
“durchgängiges Engineering”, VDI-Bezirksverein Bayern
Nordost e.V., Germany, https://www.researchgate.net/
publication/260417184_Engineering_bei_ ABB_eine_
wissenschaftliche_Betrachtung, 11.7.2012
atp edition erscheint in der DIV Deutscher Industrieverlag GmbH, Arnulfstr. 124, 80636 München

HAUPTBEITRAG
Redundanz für
verfügbare Systeme
Design und Analyse
Verfügbarkeit ist in der Automation ein nicht zu vernachlässigender Aspekt bei Design
und Betrieb von Systemen. Ausfälle können zu unvorhergesehenen Problemen führen
und verursachen meist hohe Kosten. Daher werden Redundanzkonzepte häufig in
industriellen Applikationen und Systemen angewandt. Um derartige Konzepte entwerfen
sowie effizient und effektiv umsetzen zu können, geben die Autoren im Beitrag
auf Basis hierarchisch strukturierter Designelemente Leitlinien zur Definition von
Anforderungen sowie zu Auswahl und Design eines passenden Redundanzmusters.
Am Beispiel von Software-basierter Standby-Redundanz werden außerdem existierende
Implementierungsalternativen aufgezeigt und analytisch ausgewertet. Auch
hierbei ergeben sich Leitlinien zur Auswahl einer geeigneten Alternative.
SCHLAGWÖRTER Redundanz / Verfügbarkeit / Modellierung / Designleitlinien
Redundancy for Highly Available Systems –
Design and Analysis
Availability is a key aspect during the design and operation of industrial automation
systems. Failures not only result in unanticipated problems but also often cause
high costs. Therefore redundancy is often applied in industrial applications and
systems. Drawing on hierarchically structured design elements, this article provides
guidelines for requirement elicitation as well as for decision support and design of
a suitable redundancy pattern. This allows for a well-directed and informed redundancy
design as well as efficient and effective redundancy implementation according
to system specific requirements. Furthermore, an overview is presented of implementation
alternatives for software-based standby redundancy, with an analytical
evaluation and comparison of these techniques. Guidelines are derived for selecting
an appropriate alternative.
KEYWORDS redundancy / availability / modeling / design guidelines
42
atp edition
5 / 2014

THOMAS GAMER, STEFAN STATTELMANN, ABB Corporate Research, Research Area Software
Ausfallzeiten in industriellen Produktionsanlagen
verursachen meist sehr hohe Kosten.
Vision Solutions [1] unterscheidet dabei zwischen
geplanten und ungeplanten Ausfallszeiten
mit Kosten von 1,6 Millionen Dollar pro
Stunde im Bereich Produktion und bis zu 2,8 Millionen
Dollar pro Stunde in der Energiebranche. Hierbei wurden
direkte und indirekte Kosten sowie geplante und
ungeplante Ausfallszeiten erfasst. Derartig hohe Kosten
für Ausfälle – unabhängig davon, ob diese geplant oder
nicht geplant sind – sowie sinkende Kosten für moderne
Hardware, zum Beispiel eingebettete Systeme oder Multicore-Prozessoren,
führen dazu, dass eine erhöhte Verfügbarkeit
immer häufiger als gegeben vorausgesetzt
wird. Verfügbarkeit beschreibt dabei die Fähigkeit eines
Systems, den Betrieb auch bei Auftreten von Ausfällen
einzelner Systembestandteile fortzusetzen. Gemessen
wird die Verfügbarkeit als Prozentwert der Zeit, die ein
System betriebsbereit ist und seine Funktion ausführt.
Maschinensicherheit (Safety) gemäß IEC 61508 [2] wird
in diesem Beitrag nicht betrachtet. Verfügbarkeit wird
während des Betriebs meist durch das Vorhandensein
von Redundanz und Fehlertoleranz erreicht. Alternativ
kann Fehlerursachenvermeidung zur Design-Zeit eines
Systems die Verfügbarkeit ebenfalls erhöhen. Im Beitrag
liegt der Fokus auf Verfügbarkeit im Fehlerfall während
des Betriebs, das heißt auf Fehlertoleranz, da sich Ausfälle
nie gänzlich ausschließen lassen.
In der Literatur und in der praktischen Anwendung
existiert eine Vielzahl von Redundanzmustern, um die
Verfügbarkeit von Systemen zu erhöhen. Diese Redundanzmuster
unterscheiden sich in ihren Eigenschaften
und sind daher in unterschiedlichen Situationen und
Gegebenheiten jeweils passend oder unpassend. Bei der
Auswahl des anzuwendenden Redundanzmusters
muss daher eine Wahl auf Basis der Anforderungen und
Randbedingungen getroffen werden. Um dies optimal
zu unterstützen, beschreiben wir Designelemente Software-basierter
Redundanz. Diese sollen den Entscheidern
als Leitlinien dienen und dabei helfen, eine klare
Vorstellung zu bekommen, welche Anforderungen sie
tatsächlich an eine Verfügbarkeitslösung haben, beziehungsweise
über welche Schlüsselanforderungen sie
sich Gedanken machen müssen. Anhand dieser Leitlinien
kann schließlich ein für die jeweiligen Schutzziele
– im Sinne der benötigten Verfügbarkeit – geeignetes
Redundanzmuster gewählt werden.
Im zweiten Teil des Artikels wird aufgezeigt wie, aufbauend
auf der Entscheidung für ein bestimmtes Redundanzmuster,
eine geeignete Implementierungsalternative
(Optimierung) gewählt werden kann. Hierzu
werden die Optimierungen anhand verschiedener Kriterien
ausgewertet, zum Beispiel Last oder Vorhersagbarkeit.
Daraus ergeben sich wiederum Leitlinien zur
Auswahl eines zu den Schutzzielen, Anforderungen
und Systemgegebenheiten passenden Verfahrens. Als
Beispiel wird die Analyse für Optimierungen der Zustandssynchronisierung
auf Basis des Redundanzmusters
Warm Standby durchgeführt.
1. LEITLINIEN AUF BASIS VON DESIGNELEMENTEN
Im Beitrag werden vorrangig Software-basierte Redundanzmuster
betrachtet, da diese gängige Anforderungen
erfüllen, zum Beispiel eine günstige Verfügbarkeitslösung
ohne spezielle Hardwarebausteine, hohe
Flexibilität, gute Erweiterbarkeit und Verwendung in
dynamischen sowie verteilten Umgebungen – erfüllen.
Zudem konzentrieren sich die Ausführungen auf die
Verfügbarkeit von Controllern in der Automatisierung,
da hier die bekannten Redundanzmuster Anwendung
finden. Dennoch sollten für ein hoch verfügbares System
sämtliche Systembestandteile und die Gesamtsicht
zusätzlich analysiert werden. Viele der präsentierten
Leitlinien sind dabei auch auf Systemebene anwendbar.
Außerdem sind die Designelemente durch ihre hierarchische
Struktur einfach auf weitere Systembestandteile,
zum Beispiel die Kommunikationspfade zwischen
Feldgeräten und Controllern, erweiterbar.
Software-basierte Redundanz ist dadurch definiert, dass
das gesamte Redundanzmanagement, beispielsweise die
Synchronisierung des internen Zustands oder das Umschalten
im Fehlerfall, in Software auf der Anwendungs-
atp edition
5 / 2014
43

HAUPTBEITRAG
ebene implementiert ist und auf Standard-Hardware (commercial
off-the-shelf, COTS) aufsetzt. Spezielle Hardware-
Komponenten, beispielsweise Memory Snooping oder
Watchdogs, werden nicht vorausgesetzt. Software-basierte
Redundanz kann folglich dennoch auf redundante Hardware,
das heißt auf redundanten Controllern, aufbauen.
Basierend auf empirischen Beobachtungen in der Automatisierungsbranche
wird im Folgenden als Fehlermodell
angenommen, dass Ausfälle primär auf das
Versagen der Stromversorgung und der Netzwerkkommunikation
zurückzuführen sind. Zudem können,
wenn auch deutlich seltener, Hardwarefehler von Controllern
zu Ausfällen führen. Letzteres muss vor allem
bedacht werden, wenn zukünftig verstärkt Standard-
Hardwarekomponenten genutzt werden sollen, da diese
die Fehlerwahrscheinlichkeit erhöhen [3]. Hierbei
wird immer angenommen, dass ein Controller im Gesamten
ausfällt; teilweise Hardwarefehler sind kein
gängiges Szenario, da deren Auswirkungen auf die restliche
Hardware und die Ausführung der Kontrollapplikationen
nur sehr schwer vorhersagbar sind. Zudem
werden Fehler als permanent angenommen. Insgesamt
stellt die Fokussierung auf Controller-Redundanz im
Kontext des vorgestellten Fehlermodells keine Einschränkung
dar, da sämtliche Ausfälle dazu führen,
dass ein redundanter Controller benötigt wird.
1.1 Redundanzmuster und ihre Eigenschaften
In der Literatur sowie in industriellen Lösungen sind
zahlreiche Redundanzmuster zu finden, die eingesetzt
werden, um die Verfügbarkeit eines Systems mittels Fehlertoleranz
zu erreichen. Beispiele sind Triple-Triple-
Redundanz in einer Boing 777 [4], Triple Modular Redundancy
(TMR) mit Voting [5], eine Kombination aus verteiltem
Voting und Designdiversität [6] oder Standby-
Redundanz basierend auf einem Master/Slave-Ansatz [7].
Die am meisten verbreiteten Redundanzmuster sind dabei
N-Modular-Redundanz, zu deren Familie die bereits
genannte Ausprägung TMR gehört, sowie Standby-Redundanz
in den Ausprägungen Cold, Warm und Hot
Standby. Letztere Varianten beziehen sich auf die Ausführung
des Standby-Controllers, welcher erst im Fehlerfall
gestartet wird (Cold), gestartet ist und synchronisiert
wird ohne die eigentliche Applikation auszuführen
(Warm) beziehungsweise die Applikation parallel zur
aktiven Instanz auf Basis derselben Inputs ausführt (Hot).
In BILD 1 werden beispielhaft die Redundanzmuster
Standby-Redundanz, heterogene Standby-Redundanz
sowie N-Modular-Redundanz gegenübergestellt. Bei
Standby-Redundanz führen beide Controller dieselbe
Applikation mittels identischer Implementierungen aus.
Controller 1 übernimmt dabei die Rolle des aktiven Controllers,
der andere die des Standby-Controllers. Zudem
erfolgt eine periodische Synchronisierung der beiden
Applikationen, ausgehend vom aktiven Controller. Die
Synchronisierung bezieht sich, je nach Variante des
Redundanzmusters, auf den Zustand einer Applikation
(Warm Standby) oder die Ausführung der Applikation
(Hot Standby). Die heterogene Standby-Redundanz
führt, im Gegensatz zur Standby-Redundanz, dieselbe
Applikation mittels unterschiedlicher Implementierungen
aus. Die Implementierungen werden dabei meist
durch verschiedene Entwicklerteams auf Basis derselben
Spezifikation erstellt. Aufgrund der unterschied-
BILD 1: Gegenüberstellung beispielhafter Redundanzmuster
44
atp edition
5 / 2014

lichen Versionen können mit diesem Redundanzmuster
auch Softwarefehler toleriert werden. Dabei hängt der
Grad der Toleranz von Softwarefehlern vom Grad der
Heterogenität der Softwareversionen sowie der Implementierung
der Fehlererkennung ab. Abschließend ist
in Bild 1 noch die N Modular-Redundanz dargestellt,
welche auf mehreren Controllern dieselbe Applikation
mittels identischer Implementierung ausführt. Alle Applikationsinstanzen
kommunizieren ihre Outputs dann
an eine zusätzliche Voting-Komponente, welche durch
einen Vergleich der Ergebnisse ein korrektes Ergebnis
definiert und dieses ausgibt. Die Fehlererkennung und
-toleranz ist hierbei, im Gegensatz zu den bisherigen
Mustern, implizit durch den Voter gewährleistet.
Wie bereits erwähnt, lassen sich die unterschiedlichen
Redundanzmuster über ihre Eigenschaften beschreiben.
Beispielhaft wurde dies für die genannten Muster in
BILD 1 durchgeführt. Standby-Redundanz zeichnet sich
durch geringe Hardwarekosten und die Synchronisierung
von Zustand zwischen aktiver und passiver Instanz
aus. Hierbei können bei Software-basierter Redundanz
akzeptable Umschaltzeiten im Bereich weniger Millisekunden
erreicht werden; allerdings wird eine zusätzliche
Fehlererkennung benötigt, um ein Umschalten
auszulösen. Die heterogene Standby-Redundanz bietet
zusätzliche Verfügbarkeit im Falle von Softwarefehlern,
verursacht allerdings hohe Entwicklungskosten und
eine höhere Komplexität, zum Beispiel bei der Zustandssynchronisierung.
Im Gegensatz zu diesen beiden Verfahren
existiert bei der N-Modular-Redundanz kein
explizites Umschalten; ein Fehler wird also derart maskiert,
dass der Prozess keine Auswirkungen bemerkt.
Dies wird durch die zusätzliche Voter-Komponente erreicht.
Bei diesem Verfahren werden jedoch mehr Hardwareinstanzen
benötigt, um Fehler eindeutig zu erkennen
und zu maskieren. Eine solche Beschreibung existierender
Redundanzmuster, beispielsweise basierend
auf [8], ermöglicht eine informierte Auswahl des passenden
Musters bei gegebenen Anforderungen.
1.2 Beschreibung des Lösungsraums durch
Designelemente
Die im Folgenden beschriebenen Designelemente dienen
dazu, den Lösungsraum für ein verfügbares beziehungsweise
fehlertolerantes System mit redundanten Controllern
darzustellen. Die Designelemente umfassen dabei
funktionale (zum Beispiel Zykluszeit) und nicht-funktionale
Anforderungen (wie Transparenz) sowie das
zugrunde liegende Fehlermodell, Eigenschaften der
Infrastruktur und Redundanz-bezogene Eigenschaften.
Dabei dienen die hierarchisch strukturierten Designelemente
als Basis für Leitlinien für das detaillierte Design
der eigenen Redundanzlösung sowie für die strukturierte
Ableitung von Anforderungen. Wird beispielsweise
als Resultat der Anwendung unserer Designelemente
und Leitlinien festgestellt, dass eine verfügbare
Applikation (1) eine hohe Anzahl Zustandsvariablen
und I/O-Kanäle (> 200 k) besitzt, die jeweils komplett zu
synchronisieren sind, (2) die Kommunikationsverbindung
nicht zur ausschließlichen Nutzung für die Synchronisierung
zur Verfügung steht, aber (3) sehr schnelle
Umschaltzeiten (< 10 ms) benötigt werden, ist die
Wahl des Redundanzmusters Warm Standby keine geeignete
Entscheidung (stark vereinfachtes Beispiel unter
BILD 2: Oberste
Ebene der Designelemente
für ein
Software-basiertes
Redundanzmuster
atp edition
5 / 2014
45

HAUPTBEITRAG
Anwendung weniger abgeleiteter Anforderungen.). In
diesem Fall passen die in Abschnitt 1.1 beschriebenen
Eigenschaften, siehe Bild 1, beispielsweise die benötigte
Zustandssynchronisierung, nicht zu mittels Designelementen
abgeleiteten Anforderungen und Schutzzielen.
Die oberste Hierarchieebene der Designelemente einer
Software-basierten Redundanzlösung für ein verfügbares
System, siehe Bild 2, enthält die Eigenschaften
Fehlermodell, Eigenschaften der Kontrollapplikation,
Synchronisierung des Zustands einer Applikation, Umschaltung
im Fehlerfall, Setup, Infrastruktur, Überwachung
und Performanzmetriken. Diese Hauptelemente
werden im Folgenden auf weiteren Hierarchieebenen
verfeinert. Die Existenz einer weiteren Hierarchieebene
wird dabei durch das Symbol ∞ dargestellt.
Insgesamt gilt zu beachten, dass die in diesem Artikel
dargestellten Designelemente nicht den Anspruch auf
Vollständigkeit erheben, durch die Entstehung aus vielen
fachlichen Diskussionen sowie der Anwendung in
einem realen Projekt aber sicherlich einen sehr hohen
Deckungsgrad aufweisen.
Eine wichtige, zu definierende Eigenschaft beim Design
einer Redundanzlösung ist das zugrunde liegende
Fehlermodell. Dieses dient bei der Umsetzung der Verfügbarkeit
als Grundannahme für die zu tolerierenden
Fehler. Ein Beispiel für die Definition eines Fehlermodells
wurde bereits zu Beginn von Abschnitt 1 gegeben. Ein
Fehlermodell umfasst dabei im Allgemeinen Eigenschaften
wie mögliche fehlerhafte Entitäten, Fehlerverhalten
der Entitäten (zum Beispiel fail-stop oder fail-silent) oder
die Anzahl zu tolerierender Fehler. Sollen beispielsweise
permanente und zeitweilige Fehler toleriert werden, würde
das Standby-Redundanzmuster im Extremfall zu ständigem
Umschalten führen. N-Modular-Redundanz hingegen
würde derartige Fehler transparent maskieren. Die
Applikationseigenschaften beinhalten beispielsweise die
Anzahl der internen Variablen und I/O-Kanäle, die Zykluszeit
und Echtzeiteigenschaften.
In BILD 3 wird die erste Verfeinerungsebene des Designelements
Zustandssynchronisierung dargestellt.
Zustandssynchronisierung ist eine redundanzbezogene
Eigenschaft und vor allem für das Redundanzmuster
Standby-Redundanz relevant. Unabhängig vom konkreten
Redundanzmuster ist es jedoch in jedem Fall
sinnvoll, sich über die hier genannten Eigenschaften
der Zustandssynchronisierung Gedanken zu machen,
um eine gezielte Entscheidung für ein bestimmtes Redundanzmuster
treffen zu können. Außerdem lassen
sich so die für die Verfügbarkeit relevanten Anforderungen
der Applikation identifizieren, beispielsweise
welche Zustandsvariablen oder I/O-Kanäle zwingend
verfügbar sein müssen, oder in welchem zeitlichen Abstand
die Verfügbarkeit sichergestellt werden muss.
Dieses Designelement ist folglich sehr eng mit dem Element
Eigenschaften der Applikation verknüpft.
Eigenschaften auf dieser Hierarchieebene, welche
noch weiter verfeinert werden, sind die Definition des
Zustands der Applikation, Auslöser für eine Synchronisierung,
die Häufigkeit der Synchronisierung sowie deren
Ausführungsmodus. Weitere Eigenschaften sind die
Vergabe einer Priorität für den Synchronisierungsprozess
im Vergleich zu anderen laufenden Prozessen, wie
zum Beispiel die Ausführung der Applikation, Kommunikationstreiber,
Scheduling oder Überwachung. Zudem
sollte die Ausführungsreihenfolge der Synchronisierung
skizziert werden – beispielsweise wann ein Synchronisationspunkt
spätestens angelegt werden oder wann
dessen Verarbeitung und Senden erfolgen muss. Schließlich
sollte eine Lastvorhersage vorgesehen sein, welche
in Abhängigkeit von anderen Designelementen der Zustandssynchronisierung
als Eingabe für die entsprechende
Performanzmetrik verwendet wird.
BILD 4 zeigt die unterste Hierarchieebene der Zustandssynchronisierung,
welche die Eigenschaft Zustand
weiter verfeinert, das heißt, hier sind die zu definierenden
Eigenschaften für die Zustandssynchronisierung
zu finden. Der relevante Zustand definiert sich über
die Abdeckung, das heißt, welche Teile der Applikation
für die Redundanz relevant sind. Dies können beispielsweise
lediglich die Input-Kanäle der Applikation, die
internen Variablen der Applikation selbst oder der gesamte,
genutzte Speicherbereich sein. Der Zustand der
Applikation lässt sich dabei weiter unterteilen in sämtliche
Zustandsvariablen der Applikation, die Variablen
eines bestimmten Teils der Applikation (Task) oder ausgewählte,
wichtige Variablen. Hierbei muss entschieden
werden, wie der zu synchronisierende Zustand bestimmt
wird, das heißt, kann dieser automatisiert ausgewählt
werden – zum Beispiel alle Zustandsvariablen oder gesamter
Speicherbereich – oder muss die Definition manuell
beziehungsweise auf Basis von Heuristiken erfolgen,
zum Beispiel wenn nur wichtige Variablen synchronisiert
werden sollen. Weitere Eigenschaften dieser Hierarchieebene
der Designelemente sind die Größe des zu
synchronisierenden Zustands, die auch von der Entscheidung
abhängt, ob in jedem Durchlauf der gesamte
Zustand oder nur die Veränderungen (differential state
sync) synchronisiert werden. Zudem ist eine zu definierende
Eigenschaft, ob spezielle Speicherbereiche, beispielsweise
zur Vorverarbeitung eines Synchronisationspunktes,
verwendet werden sollen.
Abhängig von der gewählten Abdeckung und der Definition
der Performanzmetriken müssen Design und
Implementierung entsprechend gewählt werden. Leitlinien
für eine solche Auswahl werden in Abschnitt 2
am Beispiel von Warm Standby-Redundanz und existierenden
Implementierungsalternativen aufgezeigt.
Die Verfeinerung der weiteren in BILD 3 dargestellten
Designelemente Auslöser, Häufigkeit und Modus ist
in BILD 5 zusammengefasst. Auslöser für die Synchronisierung
können weiter in intern und extern unterschieden
werden, ebenso wird die Häufigkeit in synchron
und asynchron unterschieden. Externe Events
können beispielsweise eine asynchrone Synchronisierung
auslösen; häufiger kann jedoch ein interner, synchroner
und periodischer Auslöser erwartet werden.
Der Ausführungsmodus der Synchronisierung kann
blockierend, nicht blockierend, oder in einem hybriden
Modus erfolgen. Beim blockierenden Modus können
beispielsweise Bestätigungsnachrichten verwendet
werden, um die Ausführung der Applikation auf dem
aktiven Controller so lange zu verzögern bis sicherge-
46
atp edition
5 / 2014

BILD 3:
Haupteigenschaften
der Zustandssynchronisierung
in der ersten
Hierarchieebene
BILD 4:
Zweite Hierarchieebene
der Zustandssynchronisierung
mit
beschreibenden Eigenschaften
für Zustand
stellt ist, dass der Zustand auf dem redundanten Controller
empfangen und korrekt verarbeitet wurde. Ein
solcher Modus lässt sich beispielsweise verwenden,
wenn sichergestellt werden soll, dass im Fehlerfall mit
Sicherheit der letzte, konsistente Zustand auf dem
Standby-Controller verfügbar ist.
Aufgrund der besonderen Bedeutung als Leitlinien
zur Ableitung von Anforderungen wird hier noch auf
die Performanzmetriken eingegangen:
Last: Die durch die Redundanzlösung verursachte,
zusätzliche Prozessorlast ist eine der wichtigsten
Metriken, da diese den Einfluss auf die eigentliche
Ausführung der Applikation beinhaltet. Last und
zusätzlicher Ressourcenbedarf wird bei der Betrachtung
von Optimierungen in Abschnitt 2 ausführlicher
behandelt.
Vorhersagbarkeit / Beherrschbarkeit: Diese Metrik
ist besonders wichtig bei der Beurteilung der Erfolgswahrscheinlichkeit
der Umsetzung und
wird stark durch die Komplexität einer Lösung
b e e i n fl u s s t .
Stoßfreiheit: Diese Metrik kann direkt auf die Anforderung
abgebildet werden, ob eine Applikation
eine ungewollte Veränderung der Outputs während
des Umschaltens tolerieren kann oder nicht. Dementsprechend
muss ein geeignetes Redundanzmuster
ohne Umschaltzeit gewählt oder besonderes
Augenmerk auf Design und Implementierung des
Umschaltvorgangs gelegt werden.
atp edition
5 / 2014
47

HAUPTBEITRAG
Transparenz: Diese Metrik bezieht sich darauf, ob
der Application Engineer beziehungsweise Operator
Redundanz explizit konfigurieren muss oder ob
die Verfügbarkeit ohne dessen Zutun erreicht werden
kann. Eine vollständig transparente Lösung
muss beispielsweise in der Lage sein, den Zustand
autonom zu erkennen, zu verarbeiten und zu synchronisieren.
Typischerweise existiert ein direkter
Zusammenhang zwischen hoher Transparenz und
reduzierter Beherrschbarkeit der Lösung.
Umschaltzeit: Diese Metrik gibt an, wie lange das
Umschalten im Fehlerfall maximal dauern darf,
das heißt nach welcher Zeitdauer der redundante
Controller den Prozess übernommen haben muss.
Bei sehr geringen Umschaltzeiten sind meist Redundanzmuster
mit Voting zu empfehlen, da einer
Software-basierten Synchronisierung bestimmte
Grenzen gesetzt sind.
Bandbreite, Durchsatz und Latenz: Diese sind relevante
Performanzmetriken im Zusammenhang
mit Kommunikation. Sie stehen in enger Beziehung
zur Synchronisierung von Zustand und sind daher
sehr hilfreich bei der Entscheidung für ein konkretes
Redundanzmuster.
Skalierbarkeit: hier im Sinne von Anwendbarkeit
einer Redundanzlösung auf unterschiedlichen
Hardwareplattformen und -geräten mit den jeweiligen
Randbedingungen, zum Beispiel Speicheroder
CPU-Kapazität.
In einer beispielhaften Anwendung der vorgestellten
Leitlinien in einem realen Projekt wurden anhand der
Designelemente die Eigenschaften und Anforderungen
der Kontrollapplikation diskutiert, wobei die Designelemente
eine klare Struktur für die Diskussion und
Spezifikation der einzelnen Elemente vorgaben. Basierend
auf der daraus resultierenden Spezifikation der
Designelemente sowie der Performanzmetriken wurden
konkrete Anforderungen abgeleitet. Dies ermöglichte
die Auswahl eines geeigneten Redundanzmusters
durch Abgleich der Spezifikation und Anforderungen
mit den Eigenschaften existierender Redundanzmuster
siehe Bild 1. Zudem liefert die Spezifikation der Designelemente
bereits ein erstes Design der Redundanzlösung.
Im Projekt wurde die Entscheidung für das Redundanzmuster
Warm Standby getroffen.
2. ANALYSE VON IMPLEMENTIERUNGSALTERNATIVEN
Das Redundanzmuster Warm Standby zeichnet sich dadurch
aus, dass zum Erreichen der Fehlertoleranz zwar
zwei Controller verwendet werden, jedoch nur einer der
Controller, der Primär-Controller, die Applikation aktiv
ausführt. Der redundante Standby-Controller synchronisiert
den Zustand des Primär-Controllers mit einer
gewissen Verzögerung. Hierzu muss der Primär-Controller
in regelmäßigen Abständen den Standby-Controller
mittels Synchronisationspunkten über Änderungen sei-
BILD 5: Zweite Hierarchieebene
der Zustandssynchronisierung
mit
beschreibenden Eigenschaften
für Auslöser,
Häufigkeit und Modus
BILD 6: Optimierung der
Synchronisierung
mittels Speicherkopie
48
atp edition
5 / 2014

ner internen Daten informieren. Wird zum Beispiel anhand
eines ausbleibenden Heartbeat-Signals erkannt,
dass der Primär-Controller ausgefallen ist, kann der
Standby-Controller anhand des synchronisierten Zustands
der Applikation dessen Rolle übernehmen. Mögliche
Implementierungsalternativen werden im Folgenden
vorgestellt und mit Hilfe der Performanzmetriken
aus dem vorherigen Abschnitt bewertet.
2.1 Optimierungen für Warm Standby
Für die häufig eingesetzte Standby-Redundanz, vor allem
in der Ausprägung Warm Standby, hat die periodische
Zustandssynchronisierung des internen Zustands den
größten Einfluss auf die Performanzmetriken. Da dieser
Beitrag vorrangig Software-basierte Redundanz betrachtet,
steht die Nutzung von spezieller Hardwareunterstützung
wie Memory Snooping oder der virtuellen Speicherverwaltung
der CPU (MMU) nicht im Vordergrund. Jeweils
verfügbare Hardwareeigenschaften lassen sich aber
im Nachgang für eine optimierte Implementierung der
Zustandssynchronisierung verwenden.
Die nicht-optimierte Implementierung der Zustandssynchronisierung
ist die vollständige Synchronisierung
in jedem Kontrollzyklus. Dabei würde in jedem Zyklus
der vollständige Speicher des Controllers beziehungsweise
der synchronisierten Applikation an den Standby-Controller
übertragen. Für komplexe Applikationen
mit niedrigen Zykluszeiten und räumlich entfernt installierte
Controller wird hierbei jedoch schnell die
Grenze der Übertragungskapazität typischer Feldbusse
erreicht. Selbst aktuelle Mehrkernprozessoren stoßen
für Synchronisationsdaten von einigen Megabyte und
Zykluszeiten im Bereich von Millisekunden schnell an
die Grenzen dessen, was physikalisch an Daten übertragen
werden kann. Da der für die Synchronisierung
verwendete Kommunikationskanal auf Standard-Hardwarekomponenten
(COTS) basieren soll und eventuell
kein dezidierter Kommunikationskanal verwendet
wird, ist die Optimierung der Synchronisierung ein
wichtiges Designziel. Um dies zu erreichen, finden sich
in der Literatur verschiedene Lösungsmöglichkeiten.
Ein Verfahren erkennt mittels einer Speicherkopie und
eines Bitvektors Zustandsänderungen. Dabei wird eine
Kopie des erfolgreich synchronisierten Zustands neben
dem eigentlichen Zustand vorgehalten. So können Änderungen
durch einfachen Vergleich der Speicherzellen
erkannt werden, wie in BILD 6 dargestellt. Die Position
der geänderten Speicherzellen lässt sich in einem Bitvektor
kompakt widergeben. Zur Synchronisierung des
geänderten Zustands müssen lediglich der Bitvektor und
die durch den Vergleich erkannten geänderten Speicherzellen
übertragen werden [9]. Sofern für jedes Speicherwort
ein eigenes Bit verwendet wird, ist hierdurch eine
feingranulare Erkennung von Änderungen möglich.
Um den zum Vorhalten der Zustandskopie nötigen Speicherverbrauch
zu reduzieren, können statt einer vollständigen
Speicherkopie auch Hash-Werte verwendet
werden. Hierzu wird der Speicher in einzelne Bereiche
unterteilt, für die jeweils ein Hash-Wert gespeichert wird
[10]. Die sich daraus ergebende Verringerung des benötigten
Speichers wird jedoch dadurch erkauft, dass anstelle
eines einfachen Vergleichs komplexe Hash-Funktionen
über den jeweiligen Speicherbereich berechnet
werden müssen. Da die Hash-Werte sinnvollerweise für
eine längere Folge zusammenhängender Speicherzellen
berechnet werden, reduziert sich außerdem die Granularität,
in der Änderungen erkannt werden können. Daraus
wiederum ergibt sich eine Erhöhung der Datenmenge,
die zur Synchronisierung übertragen werden muss.
Techniken der statischen Codeanalyse bieten eine weitere
Möglichkeit, Änderungen des Zustands einer Applikation
automatisch zu erkennen [11]. Hierzu sind jedoch signifikante
Änderungen an den Entwicklungswerkzeugen erforderlich.
Als Alternative zur statischen Codeanalyse lassen
sich Änderungen im Programmspeicher auch durch Techniken
erkennen, die weniger tiefgreifende Anpassungen
innerhalb der Entwicklungswerkzeuge erfordern. Wenn es
zum Beispiel möglich ist, die durch einen Funktionsblock
potenziell modifizierten Speicherzellen bei deren Aufruf zu
identifizieren, so kann die Laufzeitumgebung, siehe Bild 7,
diese, für die Applikation und den Applikationsentwickler
transparent, als modifiziert markieren. Dies kann ebenfalls
durch einen Bitvektor erfolgen, der aber automatisch aktuell
gehalten wird und nicht mittels einer Speicherkopie
berechnet werden muss. Für Applikationen, deren Code
nicht in Binärform, sondern interpretiert auf dem Controller
ausgeführt wird, ist die Umsetzung dieses Ansatzes
besonders einfach. Um die Synchronisierung durchzuführen,
müssen lediglich der Bitvektor und die geänderten
Speicherzellen übertragen werden.
Für nativ ausgeführte Applikationen gestaltet sich die
Erkennung von Änderungen in der Praxis schwieriger,
da im kompilierten Maschinencode an beliebigen Stellen
auf den Speicher zugegriffen werden kann. Eine Möglichkeit,
um dennoch jede Maschinenoperation, die auf
den Speicher zugreift, beobachten zu können ist es, die
Techniken der Codeinstrumentierung zu nutzen. Hierbei
wird, entweder als Teil der Kompilierung oder als zusätzlicher
Schritt nach der Generierung des Maschinencodes,
für jeden Speicherzugriff zusätzlicher Code eingefügt.
Dadurch kann für jeden Schreibzugriff auf den
Speicher garantiert werden, dass dieser als geändert
erkannt wird. Dies ermöglicht es, die Synchronisierung
durch die automatische Pufferung aller Schreibzugriffe
weiter zu optimieren. Anstatt eine Speicherzelle nur als
modifiziert zu markieren, kann der Zugriff in einem speziellen
Speicherbereich vollständig dupliziert und gepuffert
werden. Wie in BILD 8 dargestellt, kann die Synchronisierung
des Zustands dann durch Übertragung
dieses Puffers erfolgen, was den nötigen Aufwand zur
Synchronisierung potenziell weiter reduziert.
2.2 Gegenüberstellung der Optimierungen
Die beschriebenen Alternativen zur Implementierung
der Zustandssynchronisierung wurden auf Basis der in
Abschnitt 1.2 behandelten Performanzmetriken relativ
zueinander bewertet. Das Ergebnis dieser Bewertung
ist in TABELLE 1 dargestellt. Die durch das jeweilige
atp edition
5 / 2014
49

HAUPTBEITRAG
Verfahren erzeugte Last wird anhand des zur Synchronisierung
nötigen Speicherverbrauchs und des Rechenaufwands
charakterisiert. Die kommunikationsbezogenen
Eigenschaften werden mit Hilfe der für die Synchronisationspunkte
erforderlichen Datenmengen
verglichen. Für alle Betrachtungen wird der Mehraufwand
anhand einer abstrakten Kostenfunktion analysiert,
die die Größe des zu synchronisierenden Zustands
n, den tatsächlich geänderten Teil des Speichers
c und teilweise verfahrensspezifische Parameter enthält.
Die Betrachtung hinsichtlich Transparenz und
Vorhersagbarkeit wurde zusammengefasst und erfolgt
lediglich mittels der Attribute positiv, negativ und neutral.
Die Skalierbarkeit der Verfahren wurde in gleicher
Weise bewertet. Auf die Bewertung der Attribute Stoßfreiheit
und Umschaltzeit wurde verzichtet, da diese
nicht in direktem Zusammenhang mit der Optimierung
der Synchronisierung stehen.
Die zugrundeliegende Charakterisierung nimmt beispielsweise
für das Verfahren zur Synchronisierung
mittels Speicherkopie & Bitvektor an, dass einerseits
eine Speicherkopie der Größe des Applikationszustands
n und andererseits der Bitvektor gespeichert
werden muss. Die Größe des Bitvektors hängt von n
und der Größe eines Speicherbereichs b ab, dessen
Änderung mit einem Bit kodiert wird. Unter der Annahme,
dass n und b in Bytes (1 Byte = 8 Bit) angegeben
sind, ergibt sich für die Größe des Bitvektors die
Formel
s = (1)
In Summe folgert daraus für den zusätzlichen Speicherverbrauch
also die Gesamtformel
m = (2)
BILD 7: Optimierung der Synchronisierung
durch automatisch erzeugten Bitvektor
BILD 8: Synchronisierung mittels Pufferung
von Schreibzugriffen
Verfahren
Vollständige
Synchronisierung
Speicherkopie
& Bitvektor
Skalierbarkeit
Speicherverbrauch
Datenmenge
(schlechtester
Fall)
Last Bandbreite, Durchsatz, Latenz Transparenz
Rechenaufwand
(Bestfall)
Datenmenge
Vorhersagbarkeit
0 n n n + –
2 * n c n + –
Hashwerte n * f c c * b – 0
Statische
Codeanalyse
Automatisch erzeugter
Bitvektor
Pufferung von
Schreibzugriffen
c n – +
c + n c n 0 +
c 2 * c c c 0 +
TABELLE 1: Vergleich der
Implementierungsalternativen
Symbol
n
c
b
f
Bedeutung
Größe des Applikationszustandes (Bytes)
Größe des pro Ausführungszyklus geänderten Speichers (Bytes)
Granularität in der Änderungen verfolgt werden (Bytes)
Berechnungsaufwand der verwendeten Hashfunktion
50
atp edition
5 / 2014

Der zusätzliche Rechenaufwand entsteht dadurch,
dass der komplette Zustand traversiert und auf Änderungen
getestet werden und die Speicherkopie nach
erfolgreicher Synchronisierung aktualisiert werden
muss. Im Bestfall erkennt das Verfahren exakt den geänderten
Speicherbereich. Da der konkrete Wert – und
insbesondere die Relation zum Applikationszustand
– applikationsspezifisch ist, wird die Größe des geänderten
Speicherbereichs mit der Variable c (als Prozentsatz
von n) dargestellt. Im schlechtesten Fall ist die
Granularität, in der Änderungen erkannt werden, so
ungenau, dass der vollständige Zustand übertragen
werden muss. Die Formeln der anderen Verfahren lassen
sich analog herleiten.
Die Bewertung der Transparenz und Vorhersagbarkeit
der Verfahren erfolgte anhand der algorithmischen
Komplexität, insbesondere hinsichtlich der
zur Implementierung notwendigen Datenstrukturen.
Das Verfahren auf Basis von Hash-Werten erfordert
beispielsweise dynamische Datenstrukturen, um Änderungen
im Speicher zu verfolgen. Dies verursacht,
dass der Algorithmus zur Erkennung von Zustandsänderungen
einen internen Zustand besitzt, der insbesondere
die zu übertragende Datenmenge beeinflusst.
Dadurch hängt der tatsächliche Aufwand der
Synchronisierung von den vorherigen Ausführungszyklen
ab, was die Vorhersagbarkeit negativ beeinflusst.
Zur Bewertung der Skalierbarkeit wurde betrachtet,
ob sich die Verfahren gleichermaßen für
Applikationen unterschiedlicher Komplexität sowie
für Controller mit unterschiedlicher Rechenleistung
eignen. Positiv hervorzuheben sind hier die Verfahren
automatisch erzeugter Bitvektor und Pufferung von
Schreibzugriffen. Beide Verfahren eignen sich für Controller
mit geringerer Rechenleistung, da der durch
die Verfahren erzeugte Rechenaufwand über den kompletten
Ausführungszyklus verteilt wird. Da die Verfahren
nur die tatsächlichen Änderungen übertragen,
sind sie sehr gut verwendbar für Applikationen mit
einer hohen Anzahl interner Variablen.
Um die theoretischen Betrachtungen zu validieren,
wurden die Optimierungen vollständige Synchronisierung,
Speicherkopie & Bitvektor, automatisch erzeugter
Bitvektor sowie Pufferung von Schreibzugriffen prototypisch
implementiert und mit synthetischen Daten
getestet. Diese mit einem Desktop-PC gemachten Experimente
bestätigten die zuvor durchgeführte Bewertung
dieser Verfahren.
Um nun für einen konkreten Controller ein geeignetes
Verfahren auszuwählen, müssen die Designelemente
mit den Anforderungen in Einklang gebracht
werden. Sofern die Anwendbarkeit der Verfahren im
Rahmen der Anforderungen möglich ist, wird die Verfügbarkeit
durch alle Verfahren gleichermaßen gewährleistet.
Eine relative Bewertung der einzelnen
Verfahren mit Hinblick auf die Erfüllung der Verfügbarkeitsanforderungen
ist nur mit zusätzlicher Information
über die Randbedingungen des Systems möglich.
Hierunter fallen beispielsweise der Ausführungszyklus
der Anwendung, die im Zyklus für Redundanz
verfügbare Rechenzeit oder die in diesem Zeitfenster
zwischen den redundanten Controllern übertragbare
Datenmenge. Auf eine solche, relative Bewertung wurde
verzichtet, da das Ziel der dargestellten Analyse die
Maximierung der Verfügbarkeit unter den gegebenen
Anforderungen war. Die unvollständige Erfüllbarkeit
der Voraussetzungen für ein Verfahren dient deshalb
als Ausschlusskriterium.
Für ein konkretes System, in dem sowohl die zwischen
den Controllern übertragbare Datenmenge als
auch die auf dem Primär-Controller verfügbare Rechenleistung
die Übertragung des von der Applikation
verwendeten Speichers in jedem Fall ermöglichen,
andererseits sehr hohe Anforderungen an Transparenz
und Vorhersagbarkeit der Synchronisierung gestellt
werden, sind vollständige Synchronisierung oder Speicherkopie
& Bitvektor geeignete Verfahren. Anhand
TABELLE 1 lässt sich eine solche Bewertung sehr einfach
durchführen, indem die Verfahren mit Hilfe der
wichtigsten Anforderung(en) sortiert werden, zum
Beispiel Transparenz und Vorhersagbarkeit. Für die
besten Verfahren kann anschließend bewertet werden,
inwiefern die weiteren Eigenschaften zu den konkreten
Anforderungen und Rahmenbedingungen passen.
Für das Beispiel bedeutet dies, dass die Verfahren
mit der höchsten Transparenz und Vorhersagbarkeit
priorisiert werden und anschließend ein Verfahren
gewhält wird, welches mit der in einem Ausführungszyklus
konkret verfügbaren Rechenleistung und Kommunikationskapazität
bestmöglich übereinstimmt. Die
Tabelle dient folglich auch dazu, zwischen Verfahren
abzuwägen, die anhand ihrer Anforderungen anwendbar
wären. Ein mögliches Kriterium für die Entscheidung
zwischen vollständiger Synchronisierung und
dem Vorhalten einer Speicherkopie und eines Bitvektors
wäre, ob die durch letzteres Verfahren ermöglichte
Reduzierung der übertragenen Datenmenge im konkreten
System einen messbaren Vorteil bringt. Für
Applikationen mit nur wenigen internen Variablen ist
dies beispielsweise nicht der Fall.
Die in der Tabelle nicht dargestellten Voraussetzungen
zur Anwendung der Verfahren, wie die Nachverfolgbarkeit
aller schreibenden Speicherzugriffe innerhalb einer
Applikation, können ebenfalls dazu dienen, gewisse
Verfahren auszuschließen. Wie im Fall des Verfahrens
mittels statischer Codeanalyse kann es auch vorkommen,
dass eine vollständige Bewertung der Eigenschaften
eines Verfahrens nicht möglich ist. Trotzdem kann
die vorgestellte systematische Betrachtung dazu dienen,
gewisse Designalternativen direkt auszuschließen.
Insgesamt ist zu sehen, dass die Bewertung und Gegenüberstellung
der Optimierungen in Verbindung mit
den im vorigen Abschnitt abgeleiteten Anforderungen
und Performanzmetriken eine sehr gute Grundlage für
die Auswahl eines geeigneten Verfahrens bildet.
FAZIT
Im Beitrag wurden Leitlinien für den Entwurf eines
verfügbaren Systems aufgezeigt. Die hierarchisch
strukturierten Designelemente geben Hilfestellung bei
atp edition
5 / 2014
51

HAUPTBEITRAG
der Erstellung von Anforderungen sowie bei Entwurf
und Implementierung einer Software-basierten Redundanzlösung.
Die Gegenüberstellung von Optimierungen
am Beispiel von Warm Standby-Redundanz zeigt, wie
sich mit Hilfe der Anforderungen ein gewähltes Redundanzmuster
gezielt optimieren lässt. Insgesamt wird
dadurch ein durchgängiger Prozess zur Unterstützung
bei Design und Implementierung eines Redundanzmusters
zum Erreichen des Schutzziels Verfügbarkeit aufgezeigt,
der eine strukturierte Vorgehensweise sowie
eine informierte Entscheidung ermöglicht. Die Anwendbarkeit
und die Vorteile wurden im Rahmen eines
realen Designprojektes validiert.
In künftigen Arbeiten könnten beispielsweise die
Designelemente um Eigenschaften und Ebenen erweitert
werden, welche für andere Systembestandteile
beziehungsweise das Gesamtsystem zusätzlich relevant
sind. Zudem ließe sich untersuchen, inwieweit
der aufgezeigte strukturierte Designansatz auch im
Kontext der Maschinensicherheit (Safety) hilfreich ist.
DANKSAGUNG
MANUSKRIPTEINGANG
06.02.2014
Im Peer-Review-Verfahren begutachtet
Die Autoren danken Dr. Carlos Bilich und Dr. Stephan
Sehestedt sehr herzlich für ihre Mitarbeit und wertvollen
Beiträge zu unseren Arbeiten. Ein Dank geht
außerdem an all unsere Kollegen, die diese Arbeit mit
Rat und Tat hervorragend unterstützt haben.
REFERENZEN
AUTOREN
[1] Vision Solutions, “Assessing the Financial Impact of
Downtime.” Aug-2010
[2] International Electrotechnical Commission (IEC),
“IEC/EN 61508: Funktionale Sicherheit sicherheitsbezogener
elektrischer/elektronischer/programmierbar
elektronischer Systeme, Edition 2.0.”
Apr-2010
[3] C. R. K. Iyer, A. Avizienis, P. A. Avizienis, D. Barron,
D. Powell, H. Levendel, and J. Samson, “COTS
Hardware and Software in High-Availability
Systems,” p. 120, Jun. 1999
[4] Y. C. Yeh, “Triple-triple redundant 777 primary flight
computer,” in IEEE, 1996, vol. 1, pp. 293–307
[5] I. Thomm, M. Stilkerich, R. Kapitza, W. Schröder-
Preikschat, and D. Lohmann, “Automated application
of fault tolerance mechanisms in a component-based
system,” Proc. 9th Int. Work. Java Technol.
Real-Time Embed. Syst., pp. 87 – 95, Sep. 2011
[6] J. H. Lala and L. S. Alger, “Hardware and software
fault tolerance: a unified architectural approach,”
in Fault-Tolerant Computing, 1988, pp. 240 – 245
[7] R. Guerraoui and A. Schiper, “Software-based
replication for fault tolerance,” Computer (Long.
Beach. Calif)., vol. 30, no. 4, pp. 68–74, Apr. 1997
[8] A. Armoush, “Design Patterns for Safety-Critical
Embedded Systems,” RWTH Aachen University, 2010
[9] M. Steiger, “Fault-Tolerant Turbine Controller,”
ETH Zurich, 2008
[10] S. Agarwal, R. Garg, M. Gupta, and J. Moreira,
“Adaptive incremental checkpointing for massively
parallel systems,” Proc. 18th Annu. Int. Conf.
Supercomput., pp. 277–286, 2004
[11] G. Bronevetsky and D. Marques, “Compilerenhanced
incremental checkpointing,” in Languages
and Compilers for Parallel Computing, Springer,
2008, pp. 1–15
Dr. THOMAS GAMER
(geb. 1979) ist Senior
Scientist am ABB Forschungszentrum
in
Ladenburg. Der Schwerpunkt
seiner Arbeit liegt
auf Softwarearchitekturen
und Softwareengineering
für zukünftige Automatisierungssysteme.
Themenschwerpunkte liegen
dabei auf fehlertoleranten Systemen, Gebäudeautomation
und Remote Service-Lösungen.
ABB AG Corporate Research Center Germany,
Research Area Software,
Wallstadter Str. 59, D-68526 Ladenburg,
Tel. +49 (0) 6203 71 60 24,
E-Mail: thomas.gamer@de.abb.com
Dr. STEFAN STATTELMANN
(geb. 1984) ist Scientist am
ABB Forschungszentrum in
Ladenburg. Der Schwerpunkt
seiner Arbeit liegt auf
Softwarearchitekturen und
Softwareengineering für
zukünftige Automatisierungssysteme,
Fehlertoleranz,
Echtzeitsystemen und formalen Methoden.
ABB AG Corporate Research Center Germany,
Research Area Software,
Wallstadter Str. 59, D-68526 Ladenburg,
Tel. +49 (0) 6203 71 62 83,
E-Mail: stefan.stattelmann@de.abb.com
52
atp edition
5 / 2014

atp Kompaktwissen
Band 1 –
Erfolgreiches Engineering
Hrsg. F. Schiller, 1. Auflage 2010, 138 Seiten, Broschur
Buch + CD-ROM für € 79,–
ISBN 978-3-8356-3210-3
Band 3 –
Praktische Messtechnik
Hrsg. F. Schiller, 1. Auflage 2010, 70 Seiten, Broschur
Buch + CD-ROM für € 59,–
ISBN 978-3-8356-3213-4
Band 5 –
Industrielle Informationssicherheit
Hrsg. L. Urbas, 1. Auflage 2014, 88 Seiten, Broschur
Buch für € 59,–
ISBN 978-3-8356-7113-3
atp kompakt Kollektion (Bände 1-6)
€ 299,80
ISBN 978-3-8356-7146-1
Band 2 –
Effiziente Kommunikation
Hrsg. F. Schiller, 1. Auflage 2010, 70 Seiten, Broschur
Buch + CD-ROM für € 59,–
ISBN 978-3-8356-3212-7
Band 4 –
Automation in der Wasserbranche
Hrsg. F. Schiller, 1. Auflage 2010, 146 Seiten, Broschur
Buch + CD-ROM für € 59,–
ISBN 978-3-8356-3226-4
Band 6 –
Safety in der Praxis
Hrsg. L. Urbas, 1. Auflage 2014, 112 Seiten, Broschur
Buch für € 59,–
ISBN 978-3-8356-7115-7
DIV Deutscher Industrieverlag GmbH, Arnulfstr. 124, 80636 München
www.di-verlag.de
Jetzt bestellen!
Bestellung per Fax: +49 (0) 201 Deutscher / 82002-34 Industrieverlag GmbH oder | Arnulfstr. abtrennen 124 und | 80636 im München Fensterumschlag einsenden
Ja, ich bestelle gegen Rechnung 3 Wochen zur Ansicht
___ Ex. atp kompakt Kollektion (Bände 1-6)
ISBN: 978-3-8356-7146-1 für € 299,80 (zzgl. Versand)
Firma/Institution
___ Ex.
___ Ex.
___ Ex.
___ Ex.
___ Ex.
___ Ex.
atp kompakt
Band 1 – ISBN: 978-3-8356-3210-3 für € 79,– (zzgl. Versand)
Band 2 – ISBN: 978-3-8356-3212-7 für € 59,– (zzgl. Versand)
Band 3 – ISBN: 978-3-8356-3213-4 für € 59,– (zzgl. Versand)
Band 4 – ISBN: 978-3-8356-3226-4 für € 59,– (zzgl. Versand)
Band 5 – ISBN: 978-3-8356-7113-3 für € 59,– (zzgl. Versand)
Band 6 – ISBN: 978-3-8356-7115-7 für € 59,– (zzgl. Versand)
Vorname, Name des Empfängers
Straße / Postfach, Nr.
Land, PLZ, Ort
Antwort
Vulkan-Verlag GmbH
Versandbuchhandlung
Postfach 10 39 62
45039 Essen
Telefon
E-Mail
Telefax
Branche / Wirtschaftszweig
Widerrufsrecht: Sie können Ihre Vertragserklärung innerhalb von zwei Wochen ohne Angabe von Gründen in Textform (z.B.
Brief, Fax, E-Mail) oder durch Rücksendung der Sache widerrufen. Die Frist beginnt nach Erhalt dieser Belehrung in Textform.
Zur Wahrung der Widerrufsfrist genügt die rechtzeitige Absendung des Widerrufs oder der Sache an die Vulkan-Verlag GmbH,
Versandbuchhandlung, Huyssenallee 52-56, 45128 Essen.
Ort, Datum, Unterschrift
Nutzung personenbezogener Daten: Für die Auftragsabwicklung und zur Pflege der laufenden Kommunikation werden personenbezogene Daten erfasst und gespeichert. Mit dieser Anforderung erkläre ich mich damit einverstanden,
dass ich vom DIV Deutscher Industrieverlag oder vom Vulkan-Verlag per Post, per Telefon, per Telefax, per E-Mail, nicht über interessante, fachspezifische Medien und Informationsangebote informiert und beworben werde.
Diese Erklärung kann ich mit Wirkung für die Zukunft jederzeit widerrufen.
PAATPK2014

HAUPTBEITRAG
Schutzzielorientiertes Design
der Sicherheitsleittechnik
Top-down-Entwurf: Defence-in-Depth-Prinzip in KKW
Um die höchsten Anforderungen an die Sicherheitsleittechnik in Kernkraftwerken
(KKW) zu erfüllen, muss diese systematisch konzipiert und überprüfbar projektiert
werden. Der Beitrag stellt einen schutzzielorientierten Designprozess vor, wobei
gleichzeitig die Philosopie der gestaffelten Verteidigung (defence in depth) angewendet
wird. Der Ansatz eignet sich für Neubauten wie den Europäischen Druckwasserreaktor
(EPR) und für umfassende Nachrüstungen in Altanlagen. Dieser Designprozess
wurde in nationalen wie internationalen leittechnischen Projekten erfolgreich
eingesetzt.
SCHLAGWÖRTER Schutzziele / Sicherheitsleittechnik / Gestaffelte Verteidigung /
Kernkraftwerk / EPR
Safety Objective Oriented Design of Digital Safety I&C –
Defence in Depth in Nuclear Power Plants
Safety instrumentation and control in nuclear power plants has to be systematically
designed and revisable in order to meet the highest safety requirements. A safety
objective oriented design process is presented in combination with the defence in
depth philosophy. The approach is applicable for the construction of new plants like
the European Pressurized Reactor (EPR) and for the comprehensive refurbishment
of existing plants. Its success has been demonstrated in several domestic and international
I&C projects.
KEYWORDS safety objective / safety I&C / defence in depth / nuclear power plant / EPR
54
atp edition
5 / 2014

YONGJIAN DING, Hochschule Magdeburg-Stendal
Zum sicheren Betrieb einer kerntechnischen
Anlage sind umfangreiche Schutz- und Sicherheitsmaßnahmen
nötig. Diese lassen sich nach
Art und Weise der Wirkung in passive und aktive
Maßnahmen einteilen. Passive Maßnahmen
sind mechanische und bautechnische Einrichtungen,
die ihre Schutzfunktionen ohne Stelleinrichtungen
erfüllen. Die aktiven Sicherheitsmaßnahmen
ergänzen die passiven, indem wichtige Prozessgrößen
durch die Leittechnik überwacht und gegebenenfalls
automatisch beeinflusst werden. Die Maßnahmen arbeiten
im Normalbetrieb, im Fall von Betriebsstörungen
und beim Auftreten von Störfällen.
In einem Kernkraftwerk der Leistungsklasse größer
als 1000 MWe werden von der Leittechnik mehr als
10 000 binäre und analoge Prozessvariablen verarbeitet,
mehrere tausend Antriebe gesteuert. Der Designprozess
zur Spezifikation der zugehörigen leittechnischen
Funktionen und insbesondere der sicherheitstechnisch
wichtigen Funktionen muss daher klar strukturiert und
überprüfbar gestaltet werden. Zusätzlich muss Vorsorge
getroffen werden, dass beim postulierten Versagen
einzelner Sicherheitsfunktionen die Schutzziele der
Anlage gewahr bleiben.
1. LEITTECHNISCHE GESAMTSTRUKTUR
IM KERNKRAFTWERK
Um die gesamte leittechnische Funktionalität in
einem Kernkraftwerk zu realisieren und einerseits die
extrem hohe Zuverlässigkeit der Sicherheitsfunktionen,
andererseits die möglichst hohe Verfügbarkeit
der Anlagen für die Stromproduktion zu gewährleisten,
sind für die Realisierung der Gesamtleittechnik
mindestens zwei unterschiedliche Geräteplattformen
erforderlich. Bild 1 zeigt eine leittechnische Struktur
eines Kernkraftwerks basierend auf der Teleperm XS
Plattform (TXS, Areva Deutschland) für die Sicherheitsleitechnik
(links im Bild) sowie der SPPA T2000
Plattform (SPPA T2000, Siemens) für die betriebliche
Leittechnik (rechts im Bild).
Die betriebliche Leittechnik (Operational I&C) dient
der Führung der Prozessvariablen im Normalbetrieb.
Sie umfasst im Wesentlichen Automatisierungsgeräte
(AS) zur Erfassung der Prozessvariablen, zur Berechnung
der Stellanforderungen sowie zur Steuerung der
Antriebe; ferner einen Anlagenbus zum Austausch von
Information zwischen den einzelnen Automatisierungsgeräten
sowie zwischen Automatisierungsgeräten
und den Bedien- und Beobachtungseinrichtungen
(OM + Backup Panel) in der Hauptwarte eines Kernkraftwerkes.
Die Sicherheitsleittechnik (Safety I&C) ist von der
betrieblichen Leittechnik unabhängig und überwacht
die wesentlichen Sicherheitsvariablen. Im Falle unzulässiger
Abweichungen schaltet sie das KKW ab und
hält es in einem sicheren Zustand. Die Sicherheitsleittechnik
umfasst auch unabhängige Bedien- und Beobachtungseinrichtungen
(Safety Control Panel) in der
Hauptwarte, mit denen das Kernkraftwerk bei Versagen
der betrieblichen Leittechnik in einen sicheren Zustand
überführt und dort gehalten werden kann.
Da eine Vielzahl von Antrieben über die betriebliche
Leittechnik und über die Sicherheitsleittechnik angesteuert
werden muss, bedarf es einer speziellen Logik,
welche sicherstellt, dass Befehle der Sicherheitsleittechnik
stets Vorrang vor den Befehlen der betrieblichen
Leittechnik haben. Diese Logik wird durch eine
eigene Gerätetechnik realisiert, welche in Bild 1 mit
Priority Logic (Vorrangsteuerung) bezeichnet ist.
Die Geräteplattform zur Realisierung der Sicherheitsleittechnik
zeichnet sich durch die strenge anlagenunabhängige
Typprüfung der Hardware- und Softwarekomponenten
und wichtige built-in Sicherheitseigenschaften
aus [2, 3]. Dadurch wird das anlagenspezifische
Genehmigungsrisiko, aber ebenso der
Genehmigungsaufwand deutlich verringert. Letzterer
kann sich auf die Überprüfung der leittechnischen
Funktionen und deren korrekte Implementierung (Redundanz-
und Diversitätsgrad der Teilsysteme zur Sicherstellung
der Fehlererkennung und Fehlertoleranz)
einschließlich der zugehörigen Maßnahmen der Qualitätssicherung
und Nachweisführung beschränken.
atp edition
5 / 2014
55

HAUPTBEITRAG
Da der Beitrag die Sicherheitsfunktionen im Fokus hat,
behandeln die weiteren Betrachtungen den Designprozess
zur Realisierung der Sicherheitsleittechnik.
2. DER TOP-DOWN-DESIGNPROZESS
Für einen Designprozess, bei dem die Spezifikation der
leittechnischen Funktionen und deren Implementierung
in einem Top-down Prozess aus den Schutzzielen
eines KKW abgeleitet wird, ist es sinnvoll, in folgenden
Schritten vorzugehen:
1 | Festlegung der Schutzziele,
2 | Identifizierung der zu beherrschenden Ereignisse,
3 | Spezifizierung der erforderlichen verfahrenstechnischen
und leittechnischen Funktionen,
4 | Festlegung des Barrierenkonzeptes,
5 | Festlegung der leittechnischen Architektur,
6 | Validierung der Auslegung.
Dieser systematische Designansatz wurde in großem
Umfang erstmals beim Neubau eines KKW in Ostchina
praktiziert [4, 5] und im Laufe der Zeit in zahlreichen
Projekten von Areva kontinuierlich weiter entwickelt.
Im Folgenden werden die Teilschritte beschrieben und
anhand einer beispielhaften Neubauanlage vom Typ Europäischer
Druckwasserreaktor (EPR) veranschaulicht.
2.1 Festlegung der Schutzziele
Die Schutzziele eines KKW leiten sich unmittelbar aus
den Vorgaben der einschlägigen nationalen oder intenationalen
Gesetzgebung (zum Beispiel des Atomgesetzes
in Deutschland) ab, wonach Leben, Gesundheit
und Umwelt/Sachgüter vor den Gefahren der Kernenergie
und der schädlichen Wirkung ionisierender Strahlen
zuverlässig zu schützen sind. Draus resultieren
diese Schutzziele:
a | Reaktivitätskontrolle: Unabhängig vom Betriebszustand
eines KKW (Leistungsbetrieb oder
Revisionsbetrieb; Normalbetrieb oder unter Störfallbedingungen)
muss immer gewährleistet sein,
dass die Kettenreaktion im Kern des Reaktors
jederzeit unterbrochen und der Reaktor sicher abgeschaltet
und im sicheren Zustand gehalten werden
kann.
b | Brennelementekühlung und Wärmeabfuhr: Sowohl
im Leistungsbetrieb als auch im abgeschalteten
Betrieb muss die Wärme aus dem Reaktorkern
und aus dem Brennelementekühlbecken sicher
und dauerhaft abgeführt werden.
c | Sicherer Einschluß der Radioaktivität: Zur Sicherstellung,
dass weder das Betriebspersonal noch
die Kraftwerksumgebung der schädlichen Wirkung
ionisierender Strahlen ausgesetzt werden,
muss eine unerlaubte Freisetzung von Radioaktivität
sicher verhindert werden. Dies gilt sowohl
für den Normalbetrieb als auch im Falle des Auftretens
der Auslegungsstörfälle.
2.2 Identifizierung der zu beherrschenden Ereignisse
Eine der wesentlichen Auslegungsgrundlagen von
Kernkraftwerken sind postulierte Ereignisse und Bedingungen,
für welche die Wirksamkeit der Schutzmaßnahmen
nachgewiesen werden muss. Dies betrifft
Ereignisse, die ihre Ursache innerhalb der Anlage haben
(zum Beispiel das Versagen mechanischer Systeme,
Feuer oder Kurzschlüsse) in gleichem Maße wie Ereignisse,
die ihre Ursache außerhalb der Anlage haben
(wie Naturkatastrophen, Absturz eines Flugzeuges). Da
diese Ereignisse grundsätzlich das Potenzial haben, die
oben genannten Schutzziele zu gefährden, bilden sie
die Grundlage zur Auslegung der Sicherheitssysteme.
Es ist Praxis, diese Ereignisse entsprechend der erwarteten
Häufigkeit des Auftretens in Gruppen zusammenzufassen.
In der EPR-Entwicklung werden
diese Gruppen als Design Basis Conditions (DBC) bezeichnet
wobei die Auslegung vier Gruppen unterscheidet:
DBC 1: Normalbetrieb;
DBC 2: Betriebliche Transienten/Störungen
(Häufigkeit > 10 -2 /Reaktorjahr);
DBC 3: Störfälle der Kategorie 1 (10 -3 / Reaktorjahr
< Häufigkeit < 10 -2 /Reaktorjahr) und
DBC 4: Seltene Störfälle der Kategorie 2 (Häufigkeit
< 10 -3 /Reaktorjahr)
Da mit der Eintrittshäufigkeit eines Ereignisses – bei
gleichbleibendem Schadensausmaß beziehungsweise
der Sicherheitsbedeutung des Ereignisses – auch dessen
Risikobeitrag proportional ansteigt, fassen die so gebildeten
Gruppen in erster Näherung Ereignisse mit vergleichbarem
Risikobeitrag zusammen. Da in einer ausgewogenen
Auslegung alle relevanten Ereignisse einen
ähnlichen Beitrag zum Risiko liefern sollten, sind diese
Gruppen der Ausgangspunkt für das Konzept der
gestaffelten Verteidigung, Defence-in-Depth-Konzept.
Neben diesen einzelnen Ereignissen werden bei
Neubauprojekten von Reaktoren der Generation III
beziehungsweise III+, wozu der EPR gehört, extrem
seltene Kombinationen von Ereignissen in der Auslegung
berücksichtigt. In der EPR-Entwicklung werden
solche Ereigniskombinationen als Design Extension
Conditions (DEC) bezeichnet, wobei folgende Gruppen
unterschieden werden:
DEC A und DEC B: Mehrfache Fehler beziehungsweise
Szenarien mit extrem niedrigen Wahrscheinlichkeiten
(Häufigkeit < 10 -4 / Reaktorjahr); die
Unterscheidung des Typs A vom Typ B besteht darin,
dass bei Ereignissen vom Typ DEC A noch zusätzlich
ein Einzelfehler im betroffenen Sicherheitssystem
unterstellt wird, beim Typ DEC B dagegen
nicht;
56
atp edition
5 / 2014

Schwere Störfälle: mit nennenswerten Kernschäden
(Häufigkeit < 10 -6 /Reaktorjahr).
Bei schweren Störfallen kommt es vor allem auf die
Begrenzung des Schadensausmaßes an, indem die
Freisetzung großer Mengen an Radioaktivität verhindert
wird.
Die DBC bilden in der EPR-Auslegung die Grundlagen
für die deterministischen Akzeptanzkriterien und für
die probabilistischen Nachweisziele bezüglich der
Kernschmelzhäufigkeit beziehungsweise der Wahrscheinlichkeit,
dass große Mengen an Radioaktivität
freigesetzt werden.
2.3 Spezifizierung der erforderlichen verfahrenstechnischen
und leittechnischen Funktionen
Die Einhaltung der unter 2.1 genannten Schutzziele
erfordert für einen spezifischen Typ von Kernkraftwerken
mehrere globale Sicherheitsfunktionen. So umfasst
die Einhaltung des Schutzzieles Brennelementkühlung
für einen Druckwasserreaktor unter anderem,
dass der Reaktorkern stets mit Kühlmittel
bedeckt ist,
dass die an das Kühlmittel abgegebene Wärme
zur Sekundärseite übertragen wird und
dass die an die Sekundärseite abgegebene
Energie an die finale Wärmesenke (zum Beispiel
Turbine) übertragen wird.
Die Einhaltung dieser globalen Sicherheitsfunktionen
setzt voraus, dass die Integrität des Primärkreises und
des Sekundärkreises gewährleistet ist. Das heißt, das
Schutzziel Brennelementkühlung erfordert im Betrieb
eines Druckwasserreaktors unter anderem die Einhaltung
der globalen Sicherheitsfunktionen
Kernbedeckung,
Primärseitige Wärmeabfuhr,
Sekundärdseitige Wärmeabfuhr,
Überdruckabsicherung Primärseite,
Überdruckabsicherung Sekundärseite.
Die Einhaltung dieser globalen Sicherheitsfunktionen
verlangt unterschiedliche verfahrenstechnische Systeme,
die in den Betriebszuständen des Kernkraftwerks
wirksam werden. So schließt beispielsweise die sekundärseitige
Wärmeabfuhr die Bespeisung des Dampferzeugers
ein, was je nach Betriebszustand des KKW durch
die Hauptspeisepumpen,
die Notspeisepumpen oder
die An- und Abfahrpumpen
erfolgen kann. Die Beiträge dieser verfahrenstechnischen
Systeme zur Einhaltung globaler Sicherheitsfunktionen,
wie etwa die Bespeisung der Dampferzeuger
über die Hauptspeisepumpen um die sekundärseitige
Wärmeabfuhr zu gewährleisten, werden im
Folgenden als verfahrenstechnische Funktionen bezeichnet.
Leittechnische Funktionen leisten einen Beitrag,
um die verfahrenstechnischen Funktionen zu erfüllen,
indem sie beispielsweise Antriebe so steuern,
dass die wesentlichen Prozessvariablen in erlaubten
Bereichen geführt werden. So erfordert die verfahrenstechnische
Funktion Bespeisung des Dampferzeugers
über die Hauptspeisepumpen unter anderem
leittechnische Funktionen zur Regelung des Füllstands
im Dampferzeuger, da die verfahrenstechnische
Funktion nur dann sichergestellt wird, wenn
sich der Füllstand im Dampferzeuger in einem spezifizierten
Bereich befindet.
Entsprechend dieser Systematik lässt sich die Spezifikation
leittechnischer Funktionen in einem Prozess
Safety I&C
Operational I&C
Safety
Control
Panel
Engineering
System
SPACE
Engineering
System
ES 680
Process Control
and Information
System
OM 690
Backup
Panel
Reactor
Protection
System
~
Gateway
Priority
Logic
~
Plant bus
Automation
System
AS 620
~
BILD 1:
Leittechnische
Struktur eines
Kernkraftwerks [1]
M
Field
M
M
atp edition
5 / 2014
57

HAUPTBEITRAG
der sukzessiven Verfeinerung aus den globalen Schutzzielen
eines Kernkraftwerkes ableiten, Bild 2. Dazu
werden zunächst alle globalen Sicherheitsfunktionen
(safety functions) für den betroffenen Kraftwerkstyp
identifiziert, die für die Erfüllung der Schutzziele erforderlich
sind. Das ist die erste Stufe der Verfeinerung
(Level 1), die von den Experten für die Anlagensicherheit
durchgeführt wird.
In der zweiten Stufe der Verfeinerung (Level 2) werden
alle verfahrenstechnischen Funktionen (process
functions) identifiziert, die in den unterschiedlichen
Betriebszuständen der Anlage nötig sind, um die globalen
Sicherheitsfunktionen zu gewährleisten. Diese
zweite Stufe der Verfeinerung erfordert dabei bereits,
die unter Punkt 2.2 identifizierten zu beherrschenden
Ereignisse zu berücksichtigen, da abhängig vom jeweiligen
Ereignisablauf zur Gewährleistung einer globalen
Sicherheitsfunktion unterschiedliche verfahrestechnische
Funktionen benötigt werden. Diese zweite Stufe
der Verfeinerung wird von Experten der Verfahrenstechnik
durchgeführt. Sie erlaubt bereits eine vorläufige
Einstufung der sicherheitstechnischen Bedeutung der
verfahrenstechnischen Funktion.
In einer dritten Stufe der Verfeinerung (Level 3)
werden alle leittechnischen Funktionen (I&C functions)
identifiziert und spezifiziert, die zur Sicherstellung
der verfahrenstechnischen Funktionen verlangt
werden. Das Ergebnis dieses Verfeinerungsschrittes
ist eine konkrete verfahrenstechnische Aufgabenstellung
an die Leittechnik, die vereinfachend als leittechnische
Funktion bezeichnet wird, siehe Bild 3.
Sie spezifiziert unter anderem, welche Prozessvariablen
in welcher Qualität zu erfassen und durch welche
Algorithmen daraus Stellbefehle zu erzeugen
sind, unter welchen Bedingungen die Funktion erbracht
werden muss (zum Beispiel nach Erdbeben
oder Feuer) sowie die Anforderungen an das Zeitverhalten,
an das Fehlerverhalten oder an die Unabhängigkeit
von anderen Funktionen. Auch diese dritte
Stufe der Verfeinerung wird von den Experten der
Verfahrenstechnik durchgeführt, wobei in der Regel
Leittechniker daran beteiligt sind.
Im letzten Schritt der Verfeinerung (Level 4) wird die
leittechnische Funktion um die implementierungsrelevanten
Details ergänzt. Hierbei wird beispielsweise
spezifiziert, wie sich die geforderte Funktionalität auf
die Hardware verteilt. In diesem Schritt wird ebenso
Funktionalität ergänzt, die ausschließlich für leittechnische
Zwecke benötigt wird. Das ist beispielsweise
zusätzliche Funktionalität, um Ausfälle in der Leittechnik
zu erkennen und zu melden, um Reparaturund
Wartungsmaßnahmen zu vereinfachen oder um
wiederkehrende Prüfungen zu automatisieren.
Dieser letzte Schritt wird von Experten der Leittechnik
durchgeführt. Er ist aber erst dann möglich, wenn
die Rolle der leittechnischen Funktionen im Konzept
der gestaffelten Verteidigung bekannt und damit die
leittechnische Architektur festlegt ist. Er ist somit ein
wesentlicher Bestandteil der leittechnischen Systemauslegung.
Vollständigkeitshalber werden noch Aspekte erwähnt,
die beim leittechnischen Design berücksichtigt
und dokumentiert werden müssen, ohne einzeln darauf
einzugehen:
Interfacedesign einschließlich der Mensch-Maschinen-Schnittstellen
(HMI),
das Konzept für Signalerfassung und Verteilung,
das Alarmkonzept,
das Vorrangkonzept (Sicherstellung, dass Befehle
aus der Sicherheitsleittechnik stets Vorrang haben
gegenüber denen aus der betrieblichen Leittechnik),
das Stromversorgungskonzept,
das EMV- und Erdungskonzept,
das Konzept zur räumlichen und elektrischen Entkopplung
der Redundanzen sowie Überspannungsschutz,
das IT-Security-Konzept,
das Service- und Wartungskonzept inklusive des
Konfigurations- und Versionsmanagements,
das Konzept zur wiederkehrenden Prüfung.
2.4 Festlegung des Barrierenkonzeptes
Die Grobstruktur des Barrierenkonzeptes wird durch
das kerntechnische Regelwerk vorgegeben, indem unabhängige
Funktionen für den Normalbetrieb, für die
Störfallbeherrschung und für die Minimierung des
Restrisikos gefordert werden. Aus der Rolle der verfahrenstechnischen
Funktionen in den entsprechenden
Zuständen der Anlage ergibt sich eine erste Zuordnung
der leittechnischen Funktionen zu diesen Barrieren.
Diese erste Zuordnung wird dann im Rahmen der Störfallanalysen
verifiziert und gegebenenfalls modifiziert,
indem Funktionen in eine andere Barriere verschoben
oder mehrfach implementiert werden. Im Rahmen der
Störfallanalyse wird für alle postulierten Ereignisse
ermittelt, welche Funktionen zum Einhalten der globalen
Sicherheitsfunktionen beitragen und in welchem
Umfang dies geschieht.
Ein Ergebnis dieser Analyse ist das Back-up-Konzept,
bei dem für alle Ereignisabläufe ermittelt wird, welche
Back-up-Funktionen kreditiert werden können, wenn
primäre verfahrenstechnische oder leittechnische
Funktionen versagen sollten, und in welcher Folge dies
möglich ist.
Damit alle postulierten Ereignisse einen vergleichbar
geringen Beitrag zum Restrisiko beitragen, erfordern
Ereignisse mit einer höheren Eintrittshäufigkeit gegebenenfalls
auch mehrere Back-up-Funktionen.
Bild 4 veranschaulicht ein derartiges Konzept der gestaffelten
Verteidigung bestehend aus vier Barrieren in
Anlehung an die Auslegung des EPR. Das Konzept ist
in Form eines Diagrammes veranschaulicht, bei denen
die Abszisse die Betriebszustände und die auslegungsrelevanten
Ereignisse der Anlage – gruppiert nach deren
Eintrittshäufigkeit – repräsentiert, während die Ordinate
deren mögliche Auswirkungen auf die Anlage gestaffelt
nach der Schwere aufzeigt. Die waagerechten
58
atp edition
5 / 2014

Objectives
Reactivity
Cooling
Release
Safety
Level 1
Safety objectives
Safety functions
Process
Level 2
Related process functions
Level 3
Specification of I&C functions
I&C
Level 4
Implementation of I&C functions
BILD 2: Detaillierungsebenen der Funktionsspezifikation
BILD 3:
Beispielhafte Darstellung
einer leittechnischen
Funktion auf Ebene 3
Balken in diesem Diagram stellen die unterschiedlichen
Barrieren in Form einer Gruppe verfahrenstechnischer
und leittechnischer Funktionen dar, durch die unzulässige
Auswirkungen dieser Betriebszustände und Ereignisse
auf die Anlage verhindert werden sollen. Die
Länge der Balken repräsentiert dabei die Zuverlässigkeit
der entsprechenden Funktionen.
Barriere Normalbetrieb und vorbeugende Verteidigung
(preventive line): Die Barriere Normalbetrieb
und vorbeugende Verteidigung umfasst alle verfahrenstechnischen
und leittechnischen Funktionen,
die im Normalbetrieb (DBC 1 Ereignisse) und beim
Auftreten von Betriebstransienten (DBC 2 Ereignissen)
den störungsfreien Betrieb der Anlage und die
Einhaltung der globalen Sicherheitsfunktionen
gewährleisten.
Hauptbarriere (main line): Die Hauptbarriere umfasst
zum einen alle verfahrenstechnischen und
leittechnischen Funktionen zur Einhaltung der
globalen Sicherheitsfunktionen beim Auftreten
von Störfällen (DBC 3/4 Ereignisse). Zum anderen
bezieht sie alle verfahrenstechnischen und
leittechnischen Funktionen zur Einhaltung der
globalen Sicherheitsfunktionen mit ein, bei
einem unterstellten Versagen der vorgelagerten
Barriere in Überlagerung mit einem entsprechenden
Ereignis. Das heißt, die Hauptbarriere
beinhaltet Back-up-Funktionen, mit denen sich
alle Ereignisse der vorgelagerten Barriere beherrschen
lassen.
Barriere Risikominimierung (risk reduction line):
Die Barriere Risikominimierung umfasst verfahrenstechnische
und leittechnische Funktionen zur
Vermeidung schwerer Störfälle bei sehr seltenen
Einwirkungen von außen und bei Auslegungsstörfällen
in Überlagerung mit dem postulierten Versagen
der Funktionen der Hauptbarriere, wobei
allerdings ein höheres Schadenspotenzial toleriert
wird. Dies wird im Diagram in Bild 4 dadurch ersichtlich,
dass der entsprechende Balken auf der
Ordinate höher angeordnet ist als der Balken der
Hauptbarriere. Das besagt, die Barriere Risikominimierung
beinhaltet alle für die Vermeidung
schwerer Störfälle erforderlichen Back-up-Funktionen
zur Hauptbarriere.
Barriere Schwere Störfälle (severe accidents): Die
Barriere Schwere Störfälle umfasst nur sehr wenige
leittechnische Funktionen, im Wesentlichen zur
Überwachung der Bedingungen im Containment.
atp edition
5 / 2014
59

HAUPTBEITRAG
2.5 Festlegung der leittechnischen Architektur
Da Barrieren auch leittechnische Backup-Funktionen
zu den Funktionen der unterlagerten Barriere enthalten,
ist die Wirksamkeit des Konzeptes in Bezug auf das
Versagen der Leittechnik nur dann sichergestellt, wenn
jede Barriere in einem unabhängigen leittechnischen
System implementiert wird. In diesem Sinne legt das
Barrierekonzept die minimale Anzahl unabhängiger
Systeme in der leittechnischen Architektur fest. Bild 5
zeigt, wie sich das erläuterte Barrierenkonzept in der
leittechnischen Architektur des EPR abbildet. Die Zuordnung
der Teilsysteme der Leittechnik zu den Verteidigungslinien
sieht so aus:
Die Barriere Normalbetrieb und vorbeugende Verteidigung
wird durch das Prozessautomatisierungssystem
(PAS) sowie das Reaktorleistungsregel-
und Begrenzungssystem (RCSL) realisiert,
die Hauptbarriere wird durch das Reaktorschutzsystem
(PS) sowie die Sicherheitsautomation (SAS)
verwirklicht,
die Barriere Risikominimierung wird durch die
diversitäre Sicherheitsautomation (DAS) umgesetzt,
und
die Barriere Schwere Störfälle wird durch das
Überwachungssytem (SA-I&C) erreicht.
Dabei ist zu beachten, dass leittechnische Funktionen
verschiedener Barrieren unabhängig voneinander arbeiten
müssen und zur Beherrschung des Versagens
wegen Fehler gemeinsamer Ursache (Common Cause
Failure, CCF) die Leittechnik der Risikoreduktionslinie
diversitär zur Technik in der Hauptverteidigungslinie
ausgeführt wird.
2.6 Designvalidierung
Die fertig projektierten leittechnischen Funktionen
müsssen überprüft werden, ob sie im Fall der zu beherschenden
Ereignisse wirken. Grundlagen dafür sind
Ergebnisse der Transientenanalyse unter Berücksichtigung
der hydraulischen beziehungsweise mecha-
Overall safety target
Acceptance criteria
Severe accidents
Risk reduction line
Preventive line
Design basis categories
Main line
Reliability claim
DBC 1/2 DBC 3/4 DEC A/B Severe
accidents
BILD 4:
Konzept der
gestaffelten
Verteidigung mit
vier Barrieren
Design basis events
Simplified I&C A
BILD 5:
Verteidigungslinien
aus leittechnischer
Sicht
Level 0 Level 1 Level 2
GW
Process information and
control system (PICS)
GW
PAS
RCSL SAS PS DAS SA-I&C
Digital
PAC
Digital
Digital
Digital
GW
PAC
Hardwired
PAC
GW
Digital
Integrated
primary HMI
Dedicated
secondary HMI
PA
C = Priority actuator control
GW = Gateway
Hardwired interface
Network interface
Preventive line
Main line
Risk
reduction
line
Severe
accidents
60
atp edition
5 / 2014

nischen Einflüsse. Die deterministische CCF-Analyse
soll die Robustheit der Leittechnik gegen potentenzielles
systematisches Versagen aufzeigen. Eine Analyse
des Diversitätsgrades, in [6] Dissimilaritätsgrade
genannt, bestimmter leittechnischer Einrichtungen,
insbesondere zwischen der Hauptverteidigungslinie
und der Risikoreduktionslinie, ist zu empfehlen. Weiterhin
muss die probabilistische Analyse die Ausgeglichenheit
des leittechnischen Designs in Übereinstimmung
mit den verfahrenstechnischen Zielwertevorgaben
belegen [7].
ZUSAMMENFASSUNG
Das schutzzielorientierte Design der digitalen Sicherheitsleittechnik
in modernen Kernkraftwerken wurde
vorgestellt. Anhand des Beispiels eines EPR-Neubauprojekts
wird der Top-down-Entwurfsprozess mit den
Verfeinerungsschritten detailliert beschrieben. Die risikobasierte
Ereignisgruppierung führt zu einer leittechnischen
Struktur mit unabhängigen, gestaffelten
Verteidigungslinien/Barrieren und sichert die Sicherheitsvorsorge
auf dem Stand der Wissenschaft und
Technik, um solche kerntechnischen Anlagen verantwortungsvoll
bauen und betreiben zu können. Darüber
hinaus könnte der systematische Ansatz auch auf andere
Industrieanwendungen mit Sicherheitsrelevanz
adaptiert werden.
DANKSAGUNG
Der Autor möchte sich ganz herzlich bei Herrn
Dr. Arnold Graf von Areva Deutschland für seine
wertvollen Verbesserungsvorschläge zum
Beitragstext sowie die Überlassung einiger
Werksbilder bedanken.
MANUSKRIPTEINGANG
10.01.2014
Im Peer-Review-Verfahren begutachtet
REFERENZEN
AUTOR
[1] Areva NP GmbH: TELEPERM XS - The Digital I&C
System for Functions Important to Safety in Nuclear
Power Plants. Areva, 2009
[2] Bastl, W., Bock, H.-W.: German qualification and
assessment of digital I&C systems important to
safety. Reliability Engineering & System Safety 59(2),
S. 163-170, 1998
[3] Bock, H.-W., Graf, A.: Type-testing – The German
approach to qualifying safety critical software.
Nuclear Engineering International 1996
[4] Ding, Y.: Automation of an entire nuclear power plant,
taking Tianwan, China, as an Example. In: Tagungsband
WANO-Workshop Computer based I&Csystems:
necessity for continuous improvement,
S. 48-60.WANO, 2001.
[5] Xu, X., Li, Y., Ding, Y.: Design Optimization and
Operational Experiences of Digital Safety I&C In
Tianwan NPP / China. In: Tagungs-CD 2. Symposium
Digital Safety I&C, S. 14-18. TÜV Nord Akademie,
2010
[6] Bühler, C.: Sicherheitsanalytik für den Einsatz neuer
digitaler Sicherheitsleittechnik-systeme.
atw – Internationale Zeitschrift für Kernenergie
57 (5), S. 331-336, 2012
[7] Ding, Y., Gu, C., Hauptmanns, U.: Zuverlässigkeitsuntersuchung
und -berechnung rechnerbasierter
Sicherheitsleittechnik in Kernkraftwerken, In:
Tagungsband Entwurf komplexer Automatisierungssysteme
2012, S. 217-226, ifak 2012
Prof. Dr.-Ing. YONGJIAN
DING (geb. 1959) ist
Professor für Steuerungstechnik
und Automatisierungssysteme
und Direktor
des Instituts für Elektrotechnik
der Hochschule
Magdeburg-Stendal. Er
studierte Elektrotechnik an
der Technischen Universität München und
promovierte an der Fakultät für Elektrotechnik
und Informationstechnik. Er war 17 Jahre in
der Industrie tätig, unter anderem bei der
Gesellschaft für Anlagen- und Reaktorsicherheit
(GRS) mbH und deren Tochtergesellschaft
Institut für Sicherheitstechnologie (ISTec)
GmbH in Garching, bei Siemens KWU-N in
Erlangen (heute Areva) und bei der E.On
Kernkraft GmbH in Hannover. Er ist seit 2011
Mitglied des Ausschusses für elektrische
Einrichtungen der Reaktorsicherheitskommission
der Bundesregierung (RSK-EE). Hauptarbeitsgebiete:
Sicherheitsautomation und
Zuverlässigkeitsanalyse.
Hochschule Magdeburg-Stendal,
Breitscheidstr. 2, D-39114 Magdeburg,
Tel. +49 (0) 391 886 48 06,
E-Mail: yongjian.ding@hs-magdeburg.de
atp edition
5 / 2014
61

IMPRESSUM / VORSCHAU
IMPRESSUM
VORSCHAU
Verlag:
DIV Deutscher Industrieverlag GmbH
Arnulfstraße 124, D-80636 München
Telefon + 49 (0) 89 203 53 66 0
Telefax + 49 (0) 89 203 53 66 99
www.di-verlag.de
Geschäftsführer:
Carsten Augsburger, Jürgen Franke
Verlagsleiterin:
Kirstin Sommer
Spartenleiterin:
Anne Purschwitz geb. Hütter
Herausgeber:
Dr.rer.nat. Thomas Albers
Dr. Gunther Kegel
Dipl.-Ing. Hans-Georg Kumpfmüller
Dr.-Ing. Wilhelm Otten
Beirat:
Dr.-Ing. Kurt Dirk Bettenhausen
Prof. Dr.-Ing. Christian Diedrich
Prof. Dr.-Ing. Ulrich Epple
Prof. Dr.-Ing. Alexander Fay
Prof. Dr.-Ing. Michael Felleisen
Prof. Dr.-Ing. Georg Frey
Dipl.-Ing. Thomas Grein
Prof. Dr.-Ing. Hartmut Haehnel
Dipl.-Ing. Tim-Peter Henrichs
Dr.-Ing. Jörg Kiesbauer
Dipl.-Ing. Gerald Mayr
Dr.-Ing. Josef Papenfort
Igor Stolz
Dr. Andreas Wernsdörfer
Dipl.-Ing. Dieter Westerkamp
Prof. Dr.-Ing. Michael Weyrich
Dr.rer.nat. Christian Zeidler
Organschaft:
Organ der GMA
(VDI/VDE-Gesell schaft Messund
Automatisierungs technik)
und der NAMUR (Interessengemeinschaft
Automatisierungstechnik
der Prozessindustrie).
Redaktion:
Anne Purschwitz geb. Hütter (ahü)
(verantwortlich)
Telefon + 49 (0) 89 203 53 66 58
E-Mail: purschwitz@di-verlag.de
Aljona Hartstock (aha)
Telefon + 49 (0) 89 203 53 66 78
E-Mail: hartstock@di-verlag.de
Einreichung von Hauptbeiträgen:
Prof. Dr.-Ing. Leon Urbas
(Chefredakteur, verantwortlich
für die Hauptbeiträge)
Technische Universität Dresden
Fakultät Elektrotechnik
und Informationstechnik
Professur für Prozessleittechnik
D-01062 Dresden
Telefon +49 (0) 351 46 33 96 14
E-Mail: urbas@di-verlag.de
Fachredaktion:
Dr.-Ing. Michael Blum
Dipl.-Ing. Heinrich Engelhard
Prof. Dr.-Ing. Jürgen Jasperneite
Dr.-Ing. Bernhard Kausler
Dr.-Ing. Niels Kiupel
Prof. Dr.-Ing. Gerrit Meixner
Dr.-Ing. Jörg Neidig
Dipl.-Ing. Ingo Rolle
Dr.-Ing. Stefan Runde
Prof. Dr.-Ing. Frank Schiller
Bezugsbedingungen:
„atp edition – Automatisierungs technische
Praxis“ erscheint monatlich mit Doppelausgaben
im Januar/Februar und Juli/August.
Bezugspreise:
Abonnement jährlich: € 519,– + € 30,–/ € 35,–
Versand (Deutschland/Ausland);
Heft-Abonnement + Online-Archiv: € 704,70;
ePaper (PDF): € 519,–; ePaper + Online-Archiv:
€ 674,70; Einzelheft: € 59,– + Versand;
Die Preise enthalten bei Lieferung in EU-
Staaten die Mehrwertsteuer, für alle übrigen
Länder sind es Nettopreise. Mitglieder der
GMA: 30% Ermäßigung auf den Heftbezugspreis.
Bestellungen sind jederzeit über den Leserservice
oder jede Buchhandlung möglich.
Die Kündigungsfrist für Abonnement aufträge
beträgt 8 Wochen zum Bezugsjahresende.
Abonnement-/Einzelheftbestellung:
DataM-Services GmbH, Leserservice atp
Herr Marcus Zepmeisel
Franz-Horn-Str. 2, 97082 Würzburg
Telefon + 49 (0) 931 417 04 59
Telefax + 49 (0) 931 417 04 94
leserservice@di-verlag.de
Verantwortlich für den Anzeigenteil:
Inge Spoerel
Telefon + 49 (0) 89 203 53 66 22
E-Mail: spoerel@di-verlag.de
Kirstin Sommer (Key Account)
Telefon + 49 (0) 89 203 53 66 36
E-Mail: sommer@di-verlag.de
Angelika Weingarten (Key Account)
Telefon + 49 (0) 89 203 53 13
E-Mail: weingarten@di-verlag.de
Es gelten die Preise der Mediadaten 2014
Anzeigenverwaltung:
Brigitte Krawczyk
Telefon + 49 (0) 89 203 53 66 12
E-Mail: krawczyk@di-verlag.de
Art Direction / Layout:
deivis aronaitis design | dad |
Druck:
Druckerei Chmielorz GmbH,
Ostring 13,
D-65205 Wiesbaden-Nordenstadt
Gedruckt auf chlor- und
säurefreiem Papier.
Die atp wurde 1959 als „Regelungstechnische
Praxis – rtp“ gegründet.
DIV Deutscher Industrieverlag
GmbH München
Die Zeitschrift und alle in ihr enthaltenen
Beiträge und Abbildungen sind urheberrechtlich
geschützt. Mit Ausnahme der gesetzlich
zugelassenen Fälle ist eine Verwertung ohne
Ein willigung des Verlages strafbar.
Gemäß unserer Verpflichtung nach § 8
Abs. 3 PresseG i. V. m. Art. 2 Abs. 1c DVO
zum BayPresseG geben wir die Inhaber
und Beteiligungsverhältnisse am Verlag
wie folgt an:
DIV Deutscher Industrieverlag GmbH,
Arnulfstraße 124, D-80636 München.
Alleiniger Gesellschafter des Verlages
ist die ACM-Unternehmensgruppe,
Ostring 13,
D-65205 Wiesbaden-Nordenstadt.
ISSN 2190-4111
DIE AUSGABE 6 / 2014 DER
ERSCHEINT AM 28.05.2014
MIT DEM SCHWERPUNKT
„LEBENSZYKLUSKOSTEN UND SERVICES
IN DER AUTOMATION“
Virtuelle Inbetriebnahme
in der Prozessindustrie
OPC UA für
Industrie 4.0
Ein Ansatz zur
Messung von
Engineering-Effizienz
– Teil 2
Aus aktuellem Anlass können sich die Themen
kurzfristig verändern.
LESERSERVICE
E-MAIL:
leserservice@di-verlag.de
TELEFON:
+ 49 (0) 931 417 04 59
62
atp edition
5 / 2014

Erreichen Sie die Top-Entscheider
der Automatisierungstechnik.
Sprechen Sie uns an wegen Anzeigenbuchungen
und Fragen zu Ihrer Planung.
Inge Spoerel: Telefon +49 (0) 89 203 53 66-22
E-Mail: spoerel@di-verlag.de

Der Klassiker für die
Prozessautomation geht
ins 21. Jahrhundert
Das Handbuch der Prozessautomation ist ein Standardwerk für die Planung
verfahrenstechnischer Anlagen. In der 5., überarbeiteten Version geht es auf
die Herausforderung bei der Digitalisierung der Anlage ein. Das Handbuch
wurde von fast 50 Experten mit umfassenden Praxiskenntnissen gestaltet
und deckt das gesamte Feld der Prozessautomatisierung ab.
Hrsg.: K. F. Früh, U. Maier, D. Schaudel
5. Auflage 2014
740 Seiten, 170 x 240mm, Hardcover
Erhältlich in 2 Varianten
www.di-verlag.de
DIV Deutscher Industrieverlag GmbH, Arnulfstr. 124, 80636 München
Jetzt vorbestellen!
Bestellung per Fax: +49 (0) 201 Deutscher / 82002-34 Industrieverlag GmbH oder | Arnulfstr. abtrennen 124 und | 80636 im München Fensterumschlag einsenden
Ja, ich bestelle gegen Rechnung 3 Wochen zur Ansicht
___ Ex.
Handbuch der Prozessautomatisierung
5. Auflage – ISBN: 978-3-8356-3372-8
für € 199,90 (zzgl. Versand)
Firma/Institution
Vorname, Name des Empfängers
___ Ex.
Handbuch der Prozessautomatisierung
mit interaktivem eBook (Online-Lesezugriff im MediaCenter)
5. Auflage – ISBN: 978-3-8356-7119-5
für € 259,90 (zzgl. Versand)
Straße / Postfach, Nr.
Land, PLZ, Ort
Antwort
Vulkan-Verlag GmbH
Versandbuchhandlung
Postfach 10 39 62
45039 Essen
Telefon
E-Mail
Telefax
Branche / Wirtschaftszweig
Widerrufsrecht: Sie können Ihre Vertragserklärung innerhalb von zwei Wochen ohne Angabe von Gründen in Textform (z.B.
Brief, Fax, E-Mail) oder durch Rücksendung der Sache widerrufen. Die Frist beginnt nach Erhalt dieser Belehrung in Textform.
Zur Wahrung der Widerrufsfrist genügt die rechtzeitige Absendung des Widerrufs oder der Sache an die Vulkan-Verlag GmbH,
Versandbuchhandlung, Huyssenallee 52-56, 45128 Essen.
Ort, Datum, Unterschrift
PAHBPA2014
Nutzung personenbezogener Daten: Für die Auftragsabwicklung und zur Pflege der laufenden Kommunikation werden personenbezogene Daten erfasst und gespeichert. Mit dieser Anforderung erkläre ich mich damit einverstanden,
dass ich vom DIV Deutscher Industrieverlag oder vom Vulkan-Verlag per Post, per Telefon, per Telefax, per E-Mail, nicht über interessante, fachspezifische Medien und Informationsangebote informiert und beworben werde.
Diese Erklärung kann ich mit Wirkung für die Zukunft jederzeit widerrufen.