Redundanz klingt beeindruckend. Wir doppeln Steuerungen, Netzwerke und Server. All das, damit der Ausfall eines einzelnen Elements die Produktion nicht zum Erliegen bringt. Das klingt nach einem perfekten Plan. Fabrikbesitzer lieben das. Die Verkäufer der Ausrüstung mögen es sogar noch mehr.
Aber kommen wir mal auf den Boden der Tatsachen zurück. In der Praxis ist es einfach absurd, alles wahllos zu duplizieren. Übermäßige Architektur rettet nicht immer die Situation. Oft treibt sie nur die Kosten in die Höhe, verkompliziert den Code und schafft völlig neue Fehlerquellen. Die entscheidende Frage lautet also gar nicht „Soll man Redundanz einbauen?“. Die Frage lautet vielmehr: „Wo hört man auf?“
Wo eine doppelte Absicherung sinnvoll ist, oder: eine nüchterne Risikobewertung
Die Sache ist im Grunde genommen ganz einfach. Redundanz ist dort sinnvoll, wo ein Ausfall die größten Folgen hat. Wir sprechen hier von kontinuierlichen Prozessen. Von der Großchemie, der Energiewirtschaft oder von Hochöfen. Dort droht bei einem plötzlichen Stillstand der Anlage eine Explosion, ein Brand oder ein Millionenverlust durch beschädigtes Material.
An solchen Orten ist eine Primary-Standby-Konfiguration absolut unerlässlich. Ausfall der Haupt-SPS? Die Reserve-SPS übernimmt die Steuerung im Bruchteil einer Sekunde. Der Prozess läuft weiter. Der Bediener bemerkt oft nicht einmal eine Schwankung in den Diagrammen. Aber vergessen wir nicht: Es handelt sich hier um wirklich kritische Situationen.
An einer gewöhnlichen Abfüll- oder Montagelinie sieht die Sache ganz anders aus. Fällt eine Steuerung aus? Die Linie steht still. Der Wartungsdienst tauscht das Gerät innerhalb von ein oder zwei Stunden aus. Die Produktion läuft wieder an. Natürlich entstehen Verluste, aber diese sind akzeptabel. Eine Verpackung in einem solchen System mit vollständiger Redundanz verfehlt den geschäftlichen Zweck.
Sicherheitsillusion. Vorsicht vor der gemeinsamen Schwachstelle
Hier lauert die größte Falle bei der Planung: ein trügerisches Gefühl der Sicherheit. Du hast zwei leistungsstarke Steuerungen? Großartig. Zwei unabhängige Netzwerkkarten? Super. Aber was nützt das, wenn du beide Systeme aus demselben Schaltschrank mit Strom versorgst? Oder wenn du die Kommunikationskabel in derselben Kabelrinne verlegst?
Dieses Phänomen wird als Single Point of Failure (SPOF) bezeichnet. Ein gemeinsamer Ausfallpunkt. Ein Wasserrohr bricht und überschwemmt beide Schränke gleichzeitig. Der Gabelstaplerfahrer durchtrennt das Hauptstromkabel der Halle. Dann bricht die gesamte Anlage, diese doppelt ausgelegte Investition, wie ein Kartenhaus zusammen.
Bei der Planung redundanter Systeme muss unbedingt auf die physische Trennung der Geräte geachtet werden. Ohne getrennte Kabelwege, unabhängige Stromversorgungen und einen angemessenen Brandschutz ist die Redundanz der Elektronik nur eine kostspielige Illusion von Sicherheit.
Was genau duplizieren wir? Von der Stromversorgung bis hin zu den Treibern
In der Automatisierungstechnik lässt sich fast alles doppelt auslegen. Beginnen wir mit den Grundlagen, also der Stromversorgung. Zwei unabhängige Spannungsversorgungswege und eine zuverlässige USV sind heute Standard. Aber dies in kleine Anlagen ohne Bedeutung zu packen, ist übertrieben. Ähnlich verhält es sich mit Kommunikationsnetzen. Zwei Übertragungswege stabilisieren den Betrieb großer Systeme hervorragend. In kleinen Maschinen jedoch, in denen es keine kritische Synchronisation der Antriebe gibt, ist dies reine Übertreibung.
Gehen wir einen Schritt weiter in der Struktur. Der Parallelbetrieb von SPS-Steuerungen gewährleistet die Kontinuität im Falle eines Hardwareausfalls. Das ist eine tolle Sache. Aber das Schreiben von kompliziertem Synchronisationscode für eine einfache Verpackungsmaschine ist ein Fehler in der Technik. Und die SCADA-Server? Hier lohnt es sich, eine Ersatzmaschine zu haben. Andererseits müssen wir bedenken, dass ein vorübergehender Ausfall der Anzeige den Produktionsprozess selbst nur sehr selten zum Stillstand bringt.
Ähnlich verhält es sich mit Messgeräten. Doppelte Sensoren gewährleisten die Zuverlässigkeit der Messwerte. Wenn eine bestimmte Messung den Ingenieuren jedoch nur zu statistischen Zwecken oder zur allgemeinen Überwachung dient, ist eine doppelte Messung reine Geldverschwendung. Ein einziger, aber zuverlässiger Messwandler reicht aus.
Versteckte Unterhaltskosten. Eine Komplexität, die sich erst Jahre später rächt
Allzu oft vergessen wir einen entscheidenden Aspekt. Redundanz bedeutet nicht nur den einmaligen Kauf eines zweiten Controllers. Sie führt zu einer erheblichen und dauerhaften Erhöhung der Komplexität des gesamten Systems. Jemand muss eine komplexe Umschaltlogik programmieren. Jemand muss diese gründlich testen. Und dann muss jemand das System über Jahre hinweg vor Ort warten.
Ein komplexes System ist in einer Stresssituation schwerer zu verstehen. Die Wartungsdienste haben dann große Schwierigkeiten, schnell eine Fehlerdiagnose zu erstellen. Der Austausch eines defekten Bauteils in einem redundanten System erfordert oft spezielle, starre Verfahren. Ein einziger kleiner Fehler des Technikers kann die gesamte Anlage lahmlegen.
Manchmal lässt sich ein einfaches, einzelnes System mit dem Laptop auf dem Schoß in einer Viertelstunde reparieren. Die Wiederherstellung der Stabilität in einem schlecht konzipierten, redundanten Moloch kann Ingenieure sogar zwei Arbeitstage kosten.
Die Grenzen der Rentabilität. Wann man „Stopp“ sagen sollte
Jedes Projekt in der Industrie hat seine logischen Grenzen. Die Rentabilitätsgrenze liegt genau dort, wo die Kosten und die zunehmende Komplexität das tatsächliche Ausfallrisiko übersteigen. Die Verdopplung eines Steuerungssystems kostet oft doppelt so viel wie die Grundausstattung selbst. Es müssen zusätzliche Lizenzen, Hunderte von Ingenieursstunden und aufwendige Abnahmetests bezahlt werden.
Ein guter Automatisierungstechniker weiß, wann er nachsichtig sein muss. Anstatt die gesamte Anlage doppelt auszuführen, sichert er lediglich einen einzigen kritischen Engpass ab. Er sorgt für ein gutes und aktuelles Backup des Programms. Er hält wichtige Ersatzteile auf Lager.
In sehr vielen Fällen reicht das völlig aus, um für Sicherheit zu sorgen. Die Kunst besteht nämlich nicht darin, eine Million Zloty für Ersatzausrüstung auszugeben. Die wahre Kunst besteht darin, dies mit Bedacht und aus geschäftlichen Gründen zu tun.
Zusammenfassung
Redundanz in der industriellen Automatisierung ist ein mächtiges Werkzeug, aber nur dann, wenn sie auf einer fundierten Risikobewertung beruht und nicht auf dem Ego der Ingenieure. Es geht dabei nicht darum, jeden Sensor, jedes Kabel und jede Steuerung in der Produktionshalle gedankenlos zu duplizieren. Es geht um eine gezielte, präzise Absicherung jener Stellen, deren Ausfall das Unternehmen am meisten kostet. Eine gut durchdachte Redundanz bewahrt den Betrieb vor einer Katastrophe, während eine übertriebene und schlecht konzipierte Redundanz lediglich die Budgets belastet und dem Instandhaltungsdienst permanente Kopfschmerzen bereitet.
