Wird ein Flughafen ausgebaut, betrifft dies auch die Betankungsanlage der Jets. Diese muss nicht nur hoch verfügbar, sondern zudem besonders sicher ausgelegt werden. Phoenix Contact hat gemeinsam mit dem vom Betreiber beauftragten Systemintegrator ein entsprechendes Automatisierungskonzept erarbeitet.
Hendrik Borgmann und Michiel Hussaarts, Competence Center Safety, Phoenix Contact Electronics GmbH, Bad Pyrmont
Der auf der Arabischen Halbinsel befindliche internationale Flughafen bildet ein wichtiges Drehkreuz für die Region. Nahe einer Millionenstadt gelegen verfügt er über drei Start- und Landebahnen. Im Jahr 2012 wurden bei rund 250 000 Flugbewegungen mehr als 25 Millionen Passagiere abgefertigt. Da das Fluggastaufkommen stark ansteigt, sind bis 2035 drei große Entwicklungsschritte geplant. Anschließend soll der Flughafen bis zu 80 Millionen Passagiere pro Jahr befördern und selbst Großflugzeuge wie den Airbus A380 aufnehmen können. Um den neuen Dimensionen gerecht zu werden, sind umfangreiche Ausbaumaßnahmen erforderlich. Unter anderem wird derzeit ein neues Tanklager (Fuel Farm) mit einer Kapazität von 80 000 m³ Flugbenzin sowie ein zugehöriges Kraftstoffverteilungs- und -betankungssystem (Fuel Hydrant System) errichtet. Ein französischer Systemlieferant zeichnet für das Steuerungssystem zum Betreiben und sicherheitsgerichteten Abschalten der motorbetriebenen Kraftstoffventile und der Kraftstoffpumpen des Fuel Hydrant Systems verantwortlich.
Die Nutzung der dafür notwendigen Komponenten und Systeme im Wüstenklima bei 32 % Luftfeuchtigkeit und bis 50 °C Umgebungstemperatur bedingt den Einsatz klimatisierter Schaltschränke.
Redundante Auslegung von Prozesssteuerung und Sicherheitssystem
Als kritisch erweist sich auch das so genannte Vorfeld des Flughafens (Apron), wo die Jets betankt werden. Dort befinden sich die Kraftstoff-Anschlussstutzen (Fuel Hydrant), die in zahlreichen Schächten (Pits) verbaut sind, welche in das Vorfeld eingelassen wurden. Die Fuel Hydrants dienen als Schnittstelle, an die die Betankungsfahrzeuge ihre Kraftstoffleitung ankoppeln, um die Jets mit dem Kraftstoff zu versorgen. Tritt während des Betankungsvorgangs eine Leckage, ein Brand oder ein anderer Notfall auf, muss eine unabhängige Safety-SPS sofort die sicherheitsgerichtete Sperrung der beteiligten Kraftstoffventile und das Abschalten der Kraftstoffpumpen vornehmen. Zu diesem Zweck sind unter anderem alle Fuel Hydrants mit einem Emergency Stop Device (ESD) in Form eines Pilzdrucktasters ausgerüstet.
Auf jedem Flughafen hat die Verfügbarkeit des Betankungssystems höchste Priorität. Denn gemäß dem Motto „No fuel, no flight“ kann ansonsten kein Jet abheben. Daher werden von der Automatisierungslösung eine redundante Prozesssteuerung und Energieversorgung sowie eine Netzwerkstruktur mit einer mindestens 99,9-%igen Verfügbarkeit verlangt. Das Sicherheitssystem ist ebenfalls redundant auszulegen. Damit ist jedoch nicht die interne Redundanz der Safety-Hardware gemeint, die bereits SIL 3 gemäß der internationalen Norm DIN EN 61511 entspricht. Die Redundanz in der Safety-Topologie muss vielmehr dafür sorgen, dass die sicherheitsgerichtete Abschaltung aufgrund eines Fehlers in einem Safety-Modul nicht zum unnötigen Stillsetzen des Fuel Hydrant Systems führt.
Unterbrechungsfreie Umschaltung auf die zweite Steuerung
Zur Unterstützung des französischen Systemlieferanten hat Phoenix Contact ein Automatisierungskonzept für die Schächte der Fuel Hydrants erarbeitet. Dieses wurde gebilligt und mit der Hardware des Blomberger Automatisierungsspezialisten umgesetzt. Ein redundantes und somit hochverfügbares Steuerungspaar der Hochleistungs-SPS RFC 460R PN 3TX übernimmt dabei die Prozesssteuerung auf Basis von Profinet. Während die eine SPS aktiv ist, verbleibt die zweite Steuerung im Hot-Standby-Modus. Sollte es bei der aktiven SPS zu einer Fehlfunktion oder einem Kommunikationsabbruch kommen, gehen ihre Aufgaben unterbrechungsfrei auf die zweite Steuerung über. Smart Managed Compact Switches der Produktfamilie FL Switch SMCS bauen einen LWL-Netzwerkring mit Umschaltzeiten von maximal 500 ms bei Verwendung von RSTP (Rapid Spanning Tree Protocol) auf. Über diesen Ring können nur die redundanten RFC 460R PN 3TX Daten mit den unterlagerten Feldgeräten austauschen, die auf dem Vorfeld installiert sind. Jeder Fuel Hydrant Pit verfügt über jeweils zwei unabhängige Inline Controller ILC 171 ETH 2TX als lokale Steuerung, die über eigene Switches an das Netzwerk angebunden werden. Die beiden ILC 171 steuern dasselbe Kraftstoffventil, in das eine redundante Profibus-Schnittstelle integriert ist; parallel und unabhängig voneinander.
Gleichzeitiges Abschalten des Freigabeeingangs am Kraftstoffventil
Zwei Sicherheitssteuerungen RFC 470S PN 3TX, die das Profisafe-Protokoll unterstützen, sperren unabhängig voneinander im Notfall – beispielsweise bei einer Anforderung per ESD-Taster – die betroffenen Kraftstoffventile. Außerdem halten sie gleichzeitig die Kraftstoffpumpen an. Die beiden RFC 470S PN 3TX arbeiten lediglich identische Safety-Aufgaben ab. Sie sind keiner anderen Steuerung unterlagert und verfügen über ein eigenes redundantes Netzwerk auf Basis von MRP (Media Redundancy Protocol), wobei das Protokoll im Fall eines Netzwerkfehlers innerhalb von 200 ms die Richtung des Datenverkehrs umschaltet. Die Safety-SPS agieren physikalisch getrennt und folglich vollkommen autark von der redundanten Prozesssteuerung RFC 460R PN 3TX.
Zum sicherheitsgerichteten Abschalten der Kraftstoffventile sind in jedem Fuel Hydrant Pit je zwei unabhängige sichere Ausgangsmodule IB IL 24 PSDO verbaut. Jedes dieser Safety-Module ist dabei einem anderen sicheren RFC 470S PN 3TX unterlagert. Beide IB IL 24 PSDO schalten mit je einem sicheren Ausgangskontakt parallel denselben sicherheitsgerichteten ESD-Freigabeeingang am Profibus-Kraftstoffventil. Liegt an diesem Eingang keine Spannung mehr an, wechselt das stellwerkbetriebene Ventil mit integrierter Sicherheitsfunktion unverzüglich in seinen parametrierten sicheren Zustand – in diesem Fall geschlossen. Das bedeutet einerseits, dass zwei sichere Steuerungen das Signal am ESD-Freigabeeingang gleichzeitig abschalten müssen, um das Kraftstoffventil tatsächlich sicherheitsgerichtet zu schließen. Sollte jedoch eines der beiden Sicherheitssysteme aufgrund einer Störung in der Hardware schon vorher sicherheitsgerichtet abschalten, kann das Kraftstoffventil andererseits so lange weiter betrieben werden, bis das zweite Sicherheitssystem – dieses Mal auf die Anforderung per ESD-Taster – ebenfalls sicherheitsgerichtet abschaltet. Ein Fehler in einem der beiden Sicherheitssysteme gefährdet die hohe Verfügbarkeit des Betankungssystems also nicht. Es arbeitet im so genannten Degraded Mode weiter, sodass das Wartungspersonal die fehlerhafte Komponente ohne Hektik austauschen und die Betankung immer noch bei Bedarf und zu jeder Zeit sicherheitsgerichtet abschalten kann.
Passgenaue Lösung aus einer Hand
Die kompakten Hochleistungs-Steuerungen der Produktfamilie Remote Field Controller (RFC) bieten eine minimale Profinet-Zykluszeit von 1 ms und beinhalten einen Parametrierungsspeicher in Form einer Compact-Flash-Speicherkarte. Darüber hinaus sind sie jeweils mit einem LC-Display und Bedientasten ausgestattet. Auf diese Weise kann das Service-Personal selbst im Schaltschrank eine schnelle Diagnose des Systemstatus vornehmen sowie einfache Parametrierungen – wie das Ändern von IP-Adressen – durchführen, ohne die dafür vorgesehene Software oder einen Netzwerkzugang verwenden zu müssen. Die Profisafe-Sicherheitssteuerung übernimmt Sicherheitsfunktionen bis SIL 3 gemäß IEC 61508 und IEC 61511 respektive bis PL e gemäß EN ISO 13849. Sie kann auch nicht-zeitkritische Aufgaben ausführen. Der RFC 470S PN 3TX umfasst neben der Sicherheitssteuerung auch eine Standardsteuerung. ge
INFO & KONTAKT
Phoenix Contact Deutschland GmbH
Blomberg
Tel. +49 5235/3-1 20 00
Weitere Informationen über die Steuerung:
http://t1p.de/jcz1
Teilen:
