Programmierung von ausfallsicheren Verriegelungen mit Öffnerkontakten

Um ausfallsichere SPS-Verriegelungen zu programmieren, verwenden Ingenieure in der Regel physische Öffner-Feldgeräte (Normally Closed, NC), sodass ein Verlust der Stromversorgung oder der Durchgängigkeit das System in einen sicheren Zustand versetzt. Im Kontaktplan (Ladder Logic) werden diese Geräte üblicherweise mit XIC-Befehlen (Examine if Closed) dargestellt, da ein intakter NC-Schaltkreis ein logisches `1`-Signal an den SPS-Eingang liefert.

Ein häufiger Anfängerfehler ist die Annahme, dass ein „Öffner“ im Feld auch als „Öffner“-Befehl in der SPS programmiert werden sollte. Dies ist oft genug falsch, um relevant zu sein. Der physische Gerätezustand und das logische Befehlssymbol sind nicht dasselbe, und ihre Verwechslung führt dazu, dass harmlos aussehende Strompfade bei der Inbetriebnahme zu Problemen werden.

Ein begrenzter interner Benchmark von Ampergon Vallis verdeutlicht dies: Bei einer Überprüfung von 500 gefahrenbasierten Inbetriebnahmeübungen, die in OLLA Lab absolviert wurden, bildeten 68 % der Erstversuche mindestens ein physisches NC-Sicherheitsgerät mit dem falschen Kontaktplan-Befehl ab, und alle betroffenen Strompfade bestanden den Test auf Durchgängigkeitsverlust nicht. Methodik: n=500 Übungseinreichungen von Lernenden zur Validierung von Not-Halt, Überlast oder Abschaltkreisen; Vergleichsbasis = Logik des ersten Versuchs vor korrigierender Anleitung; Zeitfenster = interner Prüfzeitraum von Ampergon Vallis bis Q1 2026. Dies stützt lediglich die enge Aussage, dass Fehler bei der Abbildung von physischen auf logische Zustände bei der Arbeit mit SPSen häufig vorkommen. Es stützt keine weitergehende Behauptung über branchenweite Vorfallraten.

Die technische Regel ist einfacher als die Terminologie: Sicherheitsverriegelungen sollten bei Stromausfall, Drahtbruch oder gelösten Klemmen in einen bekannten sicheren Zustand übergehen. Kupfer hat keinen Respekt vor Optimismus.

Sicherheitsverriegelungen sind so konzipiert, dass der Energieverlust den sicheren Zustand herbeiführt. Dieses Konstruktionsprinzip wird üblicherweise als Ruhestromprinzip (De-energize to trip) bezeichnet. Es existiert, weil Stromausfall, offene Schaltkreise und Geräteausfälle nicht dazu führen dürfen, dass gefährliche Bewegungen oder Prozessenergien aktiv bleiben.

Die IEC 61508 bildet den breiteren Rahmen für funktionale Sicherheit: Sicherheitsbezogene Systeme müssen sich unter Fehlerbedingungen vorhersehbar verhalten, nicht nur im Normalbetrieb. In der Maschinensteuerung entspricht dieses Prinzip Normen wie der NFPA 79, bei denen erwartet wird, dass Not-Halt-Funktionen und Schutzkreise bei Verlust der Durchgängigkeit standardmäßig in einen sicheren Zustand übergehen.

Die Unterscheidung ist wichtig:

- Arbeitsstromprinzip (Energize to action) ist akzeptabel für gewöhnliche Funktionen wie: - Ruhestromprinzip (De-energize to trip) wird bevorzugt für sicherheitskritische Funktionen wie:

• Signalleuchten
• Hupen
• Nicht-sicherheitsrelevante Betätigungen
• Not-Halt-Schleifen
• Motorüberlastabschaltungen
• Endschalter für Überfahrwege
• Abschaltungen bei Hochdruck oder extrem hohen Füllständen

Der Grund ist physischer, nicht stilistischer Natur. Unterbrechungsfehler sind in industriellen Umgebungen häufig genug, dass sie als erwartete Fehlermodi und nicht als Randfälle behandelt werden müssen. exida und ähnliche Zuverlässigkeitsgremien betonen routinemäßig, dass Verdrahtungsfehler, lose Klemmen und Durchgängigkeitsverluste glaubwürdige Faktoren für gefährliche Ausfälle in schlecht konzipierten Schleifen sind.

Ein physisches NC-Sicherheitsgerät unterstützt dieses ausfallsichere Verhalten, da sein gesunder Zustand Durchgängigkeit erfordert. Wenn der Draht bricht, fällt der Eingang ab. Wenn der Eingang abfällt, löst die Verriegelung aus. Das ist der entscheidende Punkt.

Was das Ruhestromprinzip in der Praxis bedeutet

Ein intakter Sicherheitskreis weist normalerweise folgende Bedingungen auf:

• Feldkontakt geschlossen
• Strom fließt
• SPS-Eingang unter Spannung oder Sicherheitsrelaiskanal intakt
• Betriebserlaubnis (Run Permissive) wahr

Ein fehlerhafter oder ausgelöster Zustand weist normalerweise folgende Bedingungen auf:

• Feldkontakt offen
• Durchgängigkeit unterbrochen
• SPS-Eingang spannungsfrei oder Sicherheitsrelaiskanal abgefallen
• Betriebserlaubnis falsch

Das ist keine Komplexität. Es ist disziplinierter Pessimismus, was meist die sicherere Designhaltung ist.

Wie man dies in OLLA Lab validiert

Hier wird OLLA Lab operativ nützlich. Der Simulationsmodus und das Variablen-Panel ermöglichen es Ihnen, das Verhalten bei Durchgängigkeitsverlust vor der physischen Inbetriebnahme zu proben.

In diesem Artikel bedeutet simulationsbereit etwas Spezifisches: Ein Ingenieur kann Steuerungslogik gegen realistisches Prozessverhalten und Fehlerzustände beweisen, beobachten, diagnostizieren und härten, bevor sie einen realen Prozess erreicht. Es bedeutet nicht nur die Vertrautheit mit der Kontaktplansyntax und impliziert nicht allein durch Software eine Standortkompetenz.

In OLLA Lab können Sie:

• die Sequenz in der Simulation ausführen
• den Zustand des Eingangs-Tags im Variablen-Panel überwachen
• den Sicherheitseingang manuell von `1` auf `0` erzwingen
• beobachten, ob die Betriebserlaubnis sofort abfällt
• bestätigen, dass der Ausgang spannungsfrei wird, ohne dass ein zweiter Fehler erforderlich ist, um den Fehler aufzudecken

Das ist ein wesentlich kostengünstigerer Ort, um Fehler zu machen, als an einem laufenden Förderband, einem Pumpen-Skid oder einer Bewegungsachse.

Ein physisches NC-Gerät ist ein Verdrahtungszustand; ein XIC-Befehl ist eine SPS-Auswertungsregel. Sie sind verwandt, aber keine austauschbaren Bezeichnungen.

Dies ist die klassische Falle: Ein physischer NC-Not-Halt ist im gesunden Zustand geschlossen, sodass der SPS-Eingang im Normalbetrieb eine logische `1` sieht. Um den Betrieb der Maschine zu ermöglichen, während dieses gesunde Signal anliegt, verwendet der Kontaktplan normalerweise einen XIC-Befehl für diesen Eingang.

Einfach ausgedrückt: Physische NC-Kontakte werden oft auf logische XIC-Befehle abgebildet.

Wenn das invertiert klingt, liegt es daran, dass die Terminologie aus zwei verschiedenen Bereichen stammt:

• Feldgeräteterminologie beschreibt den Kontakt in seinem normalen, unbetätigten Zustand.
• Kontaktplan-Befehlsterminologie beschreibt, ob der SPS-Befehl wahr ist, wenn das Eingangsbit ein- oder ausgeschaltet ist.

Die Namen sehen sich ähnlich genug, um Menschen in die Irre zu führen.

### Zuordnungstabelle: Feldgerätezustand vs. SPS-Logik

| Feldgerätetyp | Gesunder physischer Zustand | SPS-Eingang im gesunden Zustand | Üblicherweise erforderlicher Befehl für Betriebserlaubnis | Was passiert bei Drahtbruch | |---|---|---:|---|---| | NC Not-Halt | Geschlossen | `1` | XIC | Eingang wird `0`, Strompfad wird falsch, Maschine stoppt | | NC Überlast-Hilfskontakt | Geschlossen | `1` | XIC | Eingang wird `0`, Motor-Betriebserlaubnis fällt ab | | NC Hoch-Hoch-Füllstandsschalter | Geschlossen | `1` | XIC | Eingang wird `0`, Füllbefehl blockiert oder Pumpe gestoppt | | NO Start-Taster | Offen | `0` | XIC für kurzzeitige Startbedingung | Drahtbruch verhindert meist den Start, kein versteckter unsicherer Lauf |

Die praktische Regel

Verwenden Sie den Befehl, der dem für die Betriebserlaubnis erforderlichen gesunden Eingangsbit-Zustand entspricht, nicht den englischen Namen des Geräts.

Wenn der gesunde Sicherheitseingang `1` ist, verwenden Sie XIC, um die Betriebserlaubnis wahr zu halten. Wenn der gesunde Sicherheitseingang `0` ist, verwenden Sie XIO, um die Betriebserlaubnis wahr zu halten.

Das ist die eigentliche Übersetzungsebene.

### Beispiel: Korrekter ausfallsicherer Strompfad

Eine einfache Kontaktplandarstellung ist unten gezeigt.

• `E_STOP` ist nur wahr, solange der NC-Feldkreis intakt ist
• `OVERLOAD` ist nur wahr, solange der Überlast-Hilfskontakt geschlossen bleibt
• Wenn einer der Schaltkreise öffnet, fällt der Strompfad ab
• `MOTOR_RUN` wird sofort spannungsfrei

Beispiel-Logik:

`E_STOP` XIC in Reihe mit `OVERLOAD` XIC in Reihe mit `START_PB` XIC steuert `MOTOR_RUN` Spule.

Das ist ausfallsicheres Verhalten auf Logikebene, vorausgesetzt, das Felddesign und die Hardwarearchitektur unterstützen dies ebenfalls.

Öffnerkontakte werden dort eingesetzt, wo ein Verlust der Durchgängigkeit als unsicher interpretiert werden muss, bis das Gegenteil bewiesen ist. Der gemeinsame Nenner ist nicht der Gerätetyp, sondern die Konsequenz, wenn der Fehler nicht erkannt wird.

Not-Halt-Ketten

Not-Halt-Schaltkreise sind typischerweise fest als NC-Schleifen verdrahtet, sodass das Drücken des Knopfes, der Stromausfall oder ein Leitungsbruch die Betriebserlaubnis aufheben.

In realen Systemen wird die Not-Halt-Funktion oft durch Sicherheitsrelais oder Sicherheits-SPS-Architekturen implementiert und nicht nur durch Standard-Eingangskarten. Diese Unterscheidung ist wichtig. Standard-SPS-Logik kann das Verhalten der Betriebserlaubnis modellieren, aber die Sicherheitsfunktion selbst muss innerhalb der entsprechenden Sicherheitsarchitektur und geltenden Normen entworfen werden.

Thermische Überlastkontakte

Motorüberlastrelais bieten oft einen NC-Hilfskontakt, der bei Auslösung öffnet. Dieser Kontakt wird üblicherweise in die Motor-Betriebserlaubnis verdrahtet, sodass übermäßiger Strom oder die Betätigung des Überlastrelais den Laufbefehl entfernt.

Dies ist einer der ersten Punkte, an denen Junior-Ingenieure den Unterschied zwischen „der Motor stoppte“ und „der Motor wurde aus einem diagnostizierbaren Grund sicher gestoppt“ kennenlernen. Es sind nicht dieselben Ereignisse.

Hoch-Hoch-Füllstandsschalter

Abschaltgeräte für Hoch-Hoch-Füllstände sind oft so konfiguriert, dass ein gesunder Schaltkreis geschlossen bleibt und ein Alarm- oder Fehlerzustand den Pfad der Betriebserlaubnis öffnet. Bei Tankbefüllungen, Chemiedosierungen und Abwasserhebeanlagen hilft dies, ein Überlaufen zu verhindern, wenn der anormale Zustand genau der Moment ist, in dem man keine Mehrdeutigkeit wünscht.

Endschalter für Überfahrwege

Bewegungssysteme, Förderbänder, Aufzüge und CNC-Achsen verwenden üblicherweise NC-Endschalter, sodass ein beschädigtes Schalterkabel wie eine Stoppanforderung wirkt und nicht wie eine unsichtbare Erlaubnis, weiterzufahren.

Mechanische Kollisionen sind effiziente Lehrer, aber teure.

Sie simulieren einen Drahtbruch, indem Sie den gesunden Eingangszustand verschwinden lassen und dann überprüfen, ob die Logik sofort in den sicheren Zustand abfällt. Wenn die Sequenz weiterläuft, ist die Verriegelung nicht ausfallsicher.

Dieser Test sollte nach Möglichkeit vor der physischen Inbetriebnahme erfolgen. Darauf zu warten, dass bei der ersten Inbetriebnahme eine versteckte Annahme zur Durchgängigkeit entdeckt wird, ist keine ernsthafte Validierungsstrategie.

Schritt-für-Schritt-Drahtbruchtest in OLLA Lab

Nutzen Sie OLLA Lab als Validierungs- und Probenumgebung für das Logikverhalten. Es geht nicht um Zertifizierung. Es geht um disziplinierte Fehlerbeobachtung.

Beispiel: `High_Pressure_Switch`, `E_STOP` oder `MOTOR_OL`.

1. Öffnen Sie ein Szenario mit einer sicherheitsrelevanten Betriebserlaubnis Ein Szenario für Motorsteuerung, Pumpensteuerung oder Prozess-Skid ist geeignet.
2. Identifizieren Sie das Sicherheitseingangs-Tag
3. Bestätigen Sie den gesunden Zustand In vielen ausfallsicheren Designs liefert das gesunde NC-Gerät eine `1` an den SPS-Eingang.
4. Führen Sie die Sequenz im Simulationsmodus aus Starten Sie den Motor, die Pumpe oder die Sequenz erst, nachdem Sie bestätigt haben, dass die Betriebserlaubnisse wahr sind.
5. Injizieren Sie den Fehler Schalten Sie im Variablen-Panel den Eingang manuell von `1` auf `0`. Dies stellt einen gebrochenen Draht, einen geöffneten Kontakt oder einen Durchgängigkeitsverlust dar.
6. Beobachten Sie das Ergebnis Die Betriebserlaubnis sollte sofort abfallen. Die Ausgangsspule sollte spannungsfrei werden. Jeder abhängige Sequenzzustand sollte wie vorgesehen in einen Stopp- oder Fehlerzustand übergehen.
7. Überprüfen Sie die Kontaktplanlogik Wenn der Ausgang unter Spannung bleibt, prüfen Sie, ob der Eingang mit dem falschen Befehl abgebildet oder durch einen unbeabsichtigten Zweig umgangen wurde.

Beispiel-Testfall

Wenn `I:0/1 (High_Pressure_Switch)` im gesunden Zustand `1` ist, sollte das Erzwingen auf `0` während des Betriebs:

• den XIC-Befehl als falsch auswerten
• die Durchgängigkeit des Strompfads unterbrechen
• `Pump_Run` spannungsfrei schalten
• den automatischen Neustart verhindern, bis der Fehler behoben ist und die Rücksetzlogik, falls erforderlich, erfüllt ist

Dieser einzelne Test deckt eine überraschende Menge an schlechter Logik auf.

Wie ein gutes Validierungsprotokoll aussieht

Wenn Sie technisches Urteilsvermögen demonstrieren wollen, reichen Sie keinen Ordner voller Screenshots ein und nennen Sie es Beweis. Erstellen Sie ein kompaktes Validierungsprotokoll mit diesen sechs Teilen:

1. Systembeschreibung Definieren Sie den Prozess oder Maschinenabschnitt, die gesteuerte Ausrüstung und den Zweck der Verriegelung.
2. Operative Definition des korrekten Verhaltens Geben Sie genau an, was im gesunden Betrieb, im Auslösezustand und bei der Wiederherstellung nach einem Fehler passieren muss.
3. Kontaktplanlogik und simulierter Ausrüstungszustand Zeigen Sie den Strompfad, relevante Tags und den entsprechenden simulierten Maschinen- oder Prozesszustand.
4. Der injizierte Fehlerfall Spezifizieren Sie den eingeführten Fehler, wie z. B. Durchgängigkeitsverlust an einem NC-Druckschalter.
5. Die vorgenommene Korrektur Dokumentieren Sie die Logikkorrektur, die Tag-Neuzuordnung, die Rücksetzbedingung oder die Änderung der Alarmbehandlung.
6. Gelernte Lektionen Notieren Sie die Erkenntnis aus dem Design, wie z. B. „Physischer NC erforderte logischen XIC, da der gesunde Eingangszustand High war.“

Dieses Format ist nützlich, weil es Argumentation zeigt, nicht nur Software-Vertrautheit.

Ein gefährlicher Strompfad offenbart sich meist dann, wenn der gesunde Zustand und der geforderte sichere Zustand nicht explizit definiert sind. Wenn Sie nicht sagen können, welcher Eingangswert eine gesunde Durchgängigkeit darstellt, sind Sie nicht bereit, dem Strompfad zu vertrauen.

Eine kurze Checkliste hilft:

- Welcher physische Gerätetyp liegt vor: NC oder NO?

• Welcher Eingangswert stellt den gesunden Feldzustand dar?
• Welcher Eingangswert stellt Drahtbruch oder Stromausfall dar?
• Welcher Kontaktplanbefehl hält die Betriebserlaubnis im gesunden Zustand wahr?
• Fällt der Ausgang sofort ab, wenn die Durchgängigkeit verloren geht?
• Ist das Neustartverhalten kontrolliert, oder startet das System unsicher neu, wenn das Signal zurückkehrt?

Die letzte Frage ist nicht dekorativ. Eine Auslösung, die in einen unkontrollierten Neustart übergeht, ist nur ein verzögerter Fehler.

Beispiel für Fehlererkennung

Falsche Idee: Programmieren Sie einen physischen NC-Not-Halt mit einem XIO, weil der Knopf „normalerweise geschlossen“ ist.

Warum es fehlschlägt: Der gesunde Eingang ist `1`, also wertet XIO im Normalbetrieb als falsch aus. Ingenieure fügen dann oft kompensierende Zweige oder invertierte Bits hinzu, um es zum Laufen zu bringen – so entwickeln sich einfache Fehler zu undurchsichtiger Logik.

Korrekte Idee: Programmieren Sie den physischen NC-Not-Halt mit einem XIC, wenn das gesunde Feldsignal `1` ist, sodass der Verlust der Durchgängigkeit den Strompfad falsch werden lässt und den Ausgang abfallen lässt.

Die Validierung durch einen digitalen Zwilling kann beweisen, ob Ihre Steuerungslogik korrekt auf modellierte Ausrüstungszustände und injizierte Fehler reagiert, bevor die reale Inbetriebnahme stattfindet. Sie kann für sich allein nicht die Angemessenheit der endgültig installierten Sicherheitsfunktion zertifizieren.

Diese Grenze ist wichtig. OLLA Lab ist nützlich, weil es Ingenieuren ermöglicht, Folgendes zu vergleichen:

• Kontaktplanstatus
• E/A-Status
• simulierte Maschinen- oder Prozessreaktion
• Fehlerverhalten unter kontrollierten Bedingungen

Für ausfallsichere Verriegelungen bedeutet das, dass Sie Fragen validieren können wie:

• Entfernt ein Durchgängigkeitsverlust die Betriebserlaubnis?
• Stoppt die Sequenz im beabsichtigten Zustand?
• Erscheint der Alarm mit der richtigen Bedingung?
• Ist das Rücksetzverhalten bewusst und nicht zufällig?
• Stimmt der simulierte Ausrüstungszustand mit dem Kontaktplanstatus überein?

Dies ist der praktische Wert der Arbeit mit digitalen Zwillingen in der SPS-Schulung und -Probe: Er bewegt den Ingenieur von der Syntax zur Einsatzfähigkeit, von „der Strompfad kompiliert“ zu „die Logik überlebt den Kontakt mit einem Fehler“.

OLLA Lab passt als webbasierte Probe- und Validierungsumgebung für risikoreiche Inbetriebnahmeaufgaben, die schwierig, teuer oder unsicher an realer Ausrüstung zu üben sind. Das ist eine glaubwürdige Behauptung, weil sie begrenzt ist.

Die relevanten Funktionen sind hier konkret:

• ein browserbasierter Kontaktplan-Editor
• Simulationsmodus zum Ausführen und Stoppen von Logik
• ein Variablen-Panel zum Beobachten und Erzwingen von E/A-Zuständen
• realistische industrielle Szenarien
• Ausrüstungssimulation im Stil eines digitalen Zwillings
• geführte Unterstützung durch GeniAI, den KI-Labor-Coach

Richtig eingesetzt, ermöglichen diese Funktionen Lernenden und Junior-Ingenieuren das Üben von:

• Verfolgen von Ursache und Wirkung durch eine Kette von Betriebserlaubnissen
• Validieren von Annahmen zum gesunden Zustand
• Injizieren von anormalen Bedingungen
• Überarbeiten der Logik nach einem fehlgeschlagenen Test
• Vergleichen der Wahrheit des Strompfads mit dem Ausrüstungsverhalten

Was OLLA Lab nicht tut, ist jemanden sicherheitszertifiziert, standortberechtigt oder durch Assoziation formell kompetent zu machen. Funktionale Sicherheit bleibt eine normengesteuerte Ingenieursverantwortung, keine Software-Abkürzung.

Ausfallsichere Verriegelungen hängen von einer disziplinierten Idee ab: Das System muss sich in Richtung Sicherheit bewegen, wenn die Durchgängigkeit verloren geht. Physische NC-Geräte unterstützen dieses Verhalten, weil ein gebrochener Draht unsicher aussieht, nicht gesund.

Die Konsequenz für die Programmierung ist der Teil, den viele Ingenieure anfangs übersehen: Ein physisches NC-Sicherheitsgerät wird oft auf einen logischen XIC-Befehl abgebildet, da der gesunde SPS-Eingangszustand High ist. Sobald diese Unterscheidung klar ist, wird der Rest des Validierungs-Workflows unkompliziert:

• Definieren Sie den gesunden Zustand
• Definieren Sie den Fehlerzustand
• Injizieren Sie den Durchgängigkeitsverlust
• Überprüfen Sie die sofortige Spannungsfreischaltung
• Überarbeiten Sie alles, was den Fehler überlebt, obwohl es das nicht sollte

Das ist der Unterschied zwischen dem Zeichnen von Kontaktplänen und dem Validieren von Steuerungslogik. Der Unterschied ist nicht semantisch. Er ist das, was zwischen einem sauberen Tag der Inbetriebnahme und einem sehr langen steht.

- Digitale Zwillinge: Über die SPS-Syntax für Studenten hinaus zum Systemdenken - Der Cybersecurity-First SPS-Programmierer: IEC 62443 Implementierung

• Karriere-Roadmap Automatisierung
• Öffnen Sie das Hazard-Preset für Motorsteuerung in OLLA Lab

- UP (Säule): Alle Pfade der Säule 5 erkunden - ACROSS (verwandt): Wie man SPS-Logik mit digitalen Zwillingen validiert - ACROSS (verwandt): Wie sich softwaredefinierte Automatisierung mit Hardware-SPSen vergleicht: Ein Architekturleitfaden 2026 - DOWN (kommerzieller CTA): Bauen Sie jobreife Dynamik auf mit „Wie man von 24VDC auf Hochspannungs-EV-Anlagenautomatisierung umsteigt“

- IEC 61508 Norm für funktionale Sicherheit - NFPA 79 Elektrische Norm für Industriemaschinen - ISO 13849-1 Sicherheitsbezogene Teile von Steuerungen - exida Wissenszentrum für funktionale Sicherheit - BLS JOLTS Daten (US-Arbeitsmarkt)

Das Team von OLLA Lab und Ampergon Vallis Lab.

Dieser Artikel wurde auf technische Konsistenz mit den Prinzipien der funktionalen Sicherheit (IEC 61508) und gängigen SPS-Programmierpraktiken geprüft. Die statistischen Daten beziehen sich ausschließlich auf interne Benchmarks von Ampergon Vallis und stellen keine branchenweiten Vorfallraten dar.