Fehlersuche bei einem remanenten SPS-Sicherheits-Latch: Fehler finden Nr. 2

Ein SPS-Sicherheits-Latch, das nach einem Neustart (Power Cycle) auf „TRUE“ bleibt, ist in der Regel ein Designfehler durch remanente Speicherbelegung. Wenn Set/Latch-Logik dort verwendet wird, wo eine nicht-remanente Freigabe erforderlich ist, kann die Maschine in den RUN-Modus zurückkehren, während die Bewegung noch autorisiert ist – was im Widerspruch zur Anlaufabsicht gemäß NFPA 79 und IEC 60204-1 stehen kann.

Ein weit verbreiteter Irrtum ist, dass jeder Netzwerk-Zweig, der „vor dem Stromausfall funktionierte“, gute Steuerungslogik darstellt. Das ist nicht der Fall. Bei sicherheitsrelevanten Freigabelogiken kann das Überdauern eines Neustarts der eigentliche Defekt sein.

Betrachten Sie das Fehlerszenario: Der Strom fällt aus, die CPU startet neu und ein Motor oder eine Sequenz läuft ohne erneute Bedienereingabe wieder an. Das ist eine Anlaufgefahr.

Ampergon Vallis Metrik: Während eines simulierten 50-Zyklen-Stromausfalltests im Motorsteuerungsszenario von OLLA Lab blieben remanente Latch-Bits in allen 50 Versuchen über den CPU-Neustartzustand hinweg auf TRUE, während äquivalente nicht-remanente Selbsthalteausgänge beim Neustart in unter 12 ms auf FALSE abfielen. Methodik: n=50 kontrollierte RUN→PROG→RUN-Übergangstests an einer internen Motorsteuerungsaufgabe; Referenzvergleich = nicht-remanenter OTE-Selbsthaltezweig; Zeitfenster = eine QA-Sitzung am 24.03.2026. Dies stützt die begrenzte Aussage, dass der Simulator den verhaltensmäßigen Unterschied zwischen remanenter und nicht-remanenter Logik während Neustarttests reproduzieren kann. Es stützt keine weitergehende Aussage über Feldausfallraten.

In diesem Artikel geht es um die Forensik: Identifizieren Sie, warum das Bit überdauert, warum dies unter den Sicherheitserwartungen für Maschinen wichtig ist und wie Sie das Muster durch ein nicht-remanentes Design ersetzen, das Sie bei der Inbetriebnahme vertreten können.

Das Latch-Verhalten überdauert einen Neustart, da remanente Anweisungen und nicht-remanente Ausgangsanweisungen während der CPU-Initialisierung unterschiedlich behandelt werden.

In der praktischen SPS-Ausführung ist der Unterschied einfach: OTE schreibt den Zustand für den aktuellen Zyklus; OTL speichert den Zustand, bis er explizit gelöscht wird. Die Syntax auf dem Bildschirm mag ähnlich aussehen. Das Neustartverhalten ist der Punkt, an dem die Diskussion endet.

Die Pre-Scan-Löschroutine

Wenn eine SPS vom PROGRAM- in den RUN-Modus wechselt oder nach einem Stromausfall wieder anläuft, führt die CPU normalerweise eine Initialisierungs- oder Pre-Scan-Routine durch. Die genaue Implementierung variiert je nach Plattform, aber der technische Unterschied ist konsistent:

1. Die CPU bewertet die Startbedingungen, bevor die normale zyklische Ausführung wieder aufgenommen wird.
2. Standardmäßige nicht-remanente Ausgangsanweisungen wie OTE werden während des Pre-Scans auf FALSE zurückgesetzt.
3. Remanente Anweisungen wie OTL werden nicht allein deshalb gelöscht, weil die Steuerung neu gestartet wurde.
4. Ihr zugehöriger Speicher verbleibt im zuletzt gespeicherten Zustand, bis eine explizite OTU-Anweisung oder eine äquivalente Rücksetzbedingung ausgeführt wird.

Deshalb kann eine remanente Freigabe nach einem Neustart aktiv bleiben, selbst wenn kein Bediener einen neuen Startbefehl gegeben hat.

Was das in Ladder-Begriffen bedeutet

Ein remanentes Latch beantwortet eine andere Frage als eine Selbsthalteschaltung.

- Selbsthaltelogik: „Soll dieser Ausgang auf TRUE bleiben, solange der aktuelle Freigabepfad gültig ist?“ - Remanente Latch-Logik: „Soll dieses Bit über einen Zyklusverlust, Moduswechsel oder Stromunterbrechung hinweg auf TRUE bleiben, bis eine andere Anweisung es löscht?“

Dies sind keine austauschbaren Designentscheidungen. Das eine ist Zustandskontinuität. Das andere ist die Kontinuität einer aktiven Freigabe. Diese zu verwechseln ist der Grund, warum Anlaufgefahren Netzwerk für Netzwerk in den Code geschrieben werden.

Ein Latch speichert den Zustand über eine Unterbrechung hinweg. Eine Selbsthalteschaltung stellt den Zustand nur dann wieder her, wenn die Bedingungen des Netzwerk-Zweigs weiterhin gültig sind.

Dies ist der entscheidende diagnostische Unterschied.

| Design-Muster | Speicherverhalten | Neustartverhalten | Typische Verwendung | Eignung für Sicherheitsfreigaben | |---|---|---|---|---| | OTL/OTU Set-Reset | Remanent | Zustand kann Neustart überdauern, bis er explizit zurückgesetzt wird | Alarm-Erstwert, Schrittketten-Speicher, Wartungszähler | Schlechte Wahl für Bewegungsfreigaben oder neustartsensible Freigaben | | OTE Selbsthaltung | Nicht-remanent | Ausgang fällt bei Neustart ab und muss durch gültige Bedingungen neu gesetzt werden | Motor-Start/Stopp-Haltung, bedienergeführte Freigaben | Bevorzugt, wenn Neustart eine bewusste Re-Initialisierung erfordert |

Eine nützliche Faustregel lautet: Latch ist Speicher; Selbsthaltung ist Kontinuität. Die Anlage interessiert sich meist dafür, was Sie beabsichtigt haben.

NFPA 79 und IEC 60204-1 fordern, dass die Wiederherstellung der Stromversorgung Maschinen nicht automatisch neu starten darf, wenn dieser Neustart eine Gefahr darstellt.

Dies ist das Normenproblem hinter dem Programmierproblem. Der Ladder-Defekt ist wichtig, weil das Anlaufverhalten der Maschine wichtig ist.

Das Normenprinzip

Die relevante Anforderung, ausgedrückt in praktischen Ingenieurbegriffen, lautet:

• Der Verlust und die Wiederherstellung der Stromversorgung dürfen nicht von sich aus dazu führen, dass gefährliche Bewegungen wieder aufgenommen werden.
• Ein Neustart muss eine bewusste Handlung erfordern, wenn eine automatische Wiederaufnahme Personal gefährden würde.
• Not-Halt, Schutztürunterbrechungen oder die Wiederherstellung der Stromversorgung dürfen nicht durch veraltete, remanente Zustände umgangen werden.

NFPA 79 und IEC 60204-1 sind sich in diesem Punkt einig. Der Wortlaut unterscheidet sich je nach Ausgabe und Anwendungskontext, aber die Designabsicht ist stabil: kein gefährlicher, unerwarteter Neustart.

Warum ein remanentes „Ready“-Bit zum Normenproblem wird

Ein remanentes `System_Ready`-, `Run_Enable`- oder Schutztür-Freigabesignal kann den erwarteten manuellen Rücksetzpfad nach einem Neustart umgehen.

Das bedeutet, dass die Logik zwar die interne Syntax erfüllen kann, aber die Anlaufphilosophie der Maschine verletzt. Normen interessiert es nicht, ob der Netzwerk-Zweig elegant war. Sie interessieren sich dafür, ob sich die Maschine bewegt hat, obwohl sie hätte warten sollen.

Dieser Artikel ist keine formale Konformitätsbewertung; die Konformität hängt immer von der vollständigen Risikobeurteilung der Maschine, der Sicherheitsarchitektur und der geltenden Rechtsprechung ab. Aber als Designregel für Steuerungen ist die Verwendung von remanentem Speicher für Bewegungsfreigaben schwer zu rechtfertigen.

Sie erkennen diesen Fehler, indem Sie einen Zustandsübergang beobachten, nicht indem Sie den Netzwerk-Zweig isoliert betrachten.

Statische Code-Reviews helfen, aber Neustart-Defekte verstecken sich oft im Offensichtlichen. Ein Netzwerk-Zweig kann ordentlich aussehen und sich dennoch schlecht verhalten, sobald die CPU kurz aussetzt.

Operative Definition von „simulationsbereit“: Ein Ingenieur ist simulationsbereit, wenn er Steuerungslogik vor Erreichen eines realen Prozesses auf realistisches Prozessverhalten hin beweisen, beobachten, diagnostizieren und absichern kann. In diesem Fall bedeutet das: Reproduktion der Neustartbedingung, Überwachung der Bit-Persistenz und Verifizierung, dass die überarbeitete Logik bei einem CPU-Zustandswechsel sicher ausfällt (Fail-Safe).

Schritt-für-Schritt Fehlerreproduktion

Nutzen Sie OLLA Lab als abgegrenzte Validierungsumgebung für einen risikoreichen Inbetriebnahmetest, der an realen Anlagen unsicher oder betrieblich störend wäre.

1. Öffnen Sie das Motorsteuerungsszenario in OLLA Lab.
2. Überwachen Sie im Variablen-Panel das Tag `System_Ready` und alle zugehörigen Ausgangs- oder Freigabe-Tags.
3. Lösen Sie im Ladder Logic Editor die Startbedingung aus, sodass das remanente Latch aktiviert wird.
4. Bestätigen Sie, dass `System_Ready = TRUE` ist.
5. Verwenden Sie den Simulationsmodus, um die virtuelle CPU von RUN auf PROG zu schalten, was einen Stromausfall oder einen Übergang des Steuerungsmodus darstellt.
6. Schalten Sie die CPU von PROG zurück auf RUN.
7. Beobachten Sie, ob `System_Ready` auf TRUE bleibt, bevor eine neue Bedienereingabe erfolgt.

Wenn das Bit nach dem Neustart gesetzt bleibt, haben Sie das Fehlermuster reproduziert.

Warum dieser Test zuerst in die Simulation gehört

Hier wird OLLA Lab operativ nützlich.

Der Wert der Plattform liegt hier nicht darin, dass sie „SPS im Abstrakten lehrt“. Sie bietet einen Ort, um einen Neustart-Zustandstest zu proben, der an in Betrieb befindlichen Maschinen oft teuer, umständlich oder gefährlich ist. Sie können den Ladder-Zustand, den I/O-Zustand und das simulierte Anlagenverhalten gemeinsam überwachen – genau das, was Neustart-Diagnosen erfordern.

Das ist der Unterschied zwischen Syntax-Übung und Validierungs-Übung. Die Unterscheidung ist nicht kosmetisch.

Der korrekte Ersatz für eine neustartsensible Freigabe ist in der Regel eine nicht-remanente Selbsthalteschaltung, die um ein OTE herum aufgebaut ist.

Das klassische Drei-Draht-Steuerungsmuster überlebt, weil es ein reales Problem sauber löst. Alte Muster bleiben bestehen, wenn die Physik weiterhin für sie spricht.

Falsches vs. korrektes Ladder-Muster

FALSCH: Remanentes Latch (Überdauert Stromausfall)

|---[ Start_PB ]-------------------------------------( L )---| System_Ready

KORREKT: Nicht-remanente Selbsthaltung (Fällt bei Stromausfall ab)

|---[ Start_PB ]-------[/ Stop_PB ]------------------( )---| | System_Ready |---[ System_Ready ]---------------------------------|

Warum der Selbsthaltezweig für diesen Anwendungsfall sicherer ist

Das nicht-remanente Selbsthaltedesign funktioniert, weil:

• der Ausgang nur gehalten wird, solange die Logik des Zweigs gültig bleibt,
• das OTE beim Neustart gelöscht wird,
• der Bediener nach der Wiederherstellung der Stromversorgung einen neuen Startbefehl geben muss,
• der Steuerpfad die aktuellen Maschinenbedingungen widerspiegelt und nicht historische Speicherwerte.

Dies entspricht der erwarteten Neustartphilosophie für viele Maschinen-Startbefehle und Bewegungsfreigaben.

Was nach der Überarbeitung zu verifizieren ist

Nachdem Sie das Latch durch einen Selbsthaltezweig ersetzt haben, wiederholen Sie den Neustarttest und verifizieren Sie:

• `System_Ready` fällt während des Neustartübergangs auf FALSE,
• kein Ausgang nimmt die Bewegung ohne neuen Befehl wieder auf,
• Stopp- und Verriegelungsbedingungen unterbrechen den Haltepfad weiterhin korrekt,
• anormale Bedingungen erzeugen die Freigabe nicht unerwartet neu.

Eine Korrektur ist nicht abgeschlossen, nur weil der Netzwerk-Zweig respektabler aussieht. Sie ist abgeschlossen, wenn das Neustartverhalten korrekt ist.

Sie sollten einen kompakten Satz technischer Nachweise dokumentieren, keine Screenshot-Galerie.

Ein glaubwürdiges Protokoll der Fehlersuche zeigt die Argumentation, die Testmethode, die Fehlerreproduktion und das Ergebnis der Überarbeitung. Das ist es, was Prüfer, Ausbilder und Arbeitgeber tatsächlich begutachten können.

Verwenden Sie diese Struktur:

Geben Sie das erwartete Neustartverhalten in beobachtbaren Begriffen an. Beispiel: „Nach Wiederherstellung der Stromversorgung muss der Motorausgang deaktiviert bleiben, bis der Bediener Start drückt.“

Beschreiben Sie den exakten Test: RUN→PROG→RUN-Übergang, beobachtetes remanentes Bit, Konsequenz für den Ausgang.

Halten Sie das Designprinzip fest: Remanenter Speicher ist für gespeicherte Zustände gültig, nicht für neustartsensible Bewegungsautorisierungen.

1. Systembeschreibung Definieren Sie die Maschinenzelle, das Steuerungsziel und die betroffene Freigabe oder den Ausgang.
2. Operative Definition von „korrekt“
3. Ladder-Logik und simulierter Anlagenzustand Erfassen Sie den ursprünglichen Netzwerk-Zweig, die relevanten Tags und den simulierten Maschinenzustand vor und nach dem Neustart.
4. Der injizierte Fehlerfall
5. Die durchgeführte Überarbeitung Zeigen Sie die Ersatzlogik und erklären Sie, warum sie das Neustartverhalten ändert.
6. Gelernte Lektionen

Diese Struktur ist in der Ausbildung nützlich, da sie die tatsächliche Überprüfung der Inbetriebnahmelogik widerspiegelt. Sie ist auch im Feld nützlich, da das Gedächtnis unter Zeitdruck unzuverlässig ist, während schriftliche Nachweise lediglich aus der Mode gekommen sind.

OTL und OTU sind gültig, wenn der Prozess tatsächlich einen gespeicherten Zustand über eine Unterbrechung hinweg erfordert.

Das Problem ist nicht die Anweisung. Das Problem ist die Annahme, dass jeder Zustand einen Neustart überdauern sollte.

Geeignete Anwendungen für remanenten Speicher

| Anwendung | Warum remanentes Verhalten angemessen ist | |---|---| | Alarm-Erstwerterfassung | Die ursprüngliche Fehlerquelle sollte aufgezeichnet bleiben, auch wenn der Strom vor der Überprüfung unterbrochen wird. | | Rezeptur- oder Chargenschrittverfolgung | Der Prozess muss möglicherweise mit dem Wissen über den letzten bestätigten Schritt fortgesetzt werden. | | Wartungszähler | Zykluszähler und Verschleißindikatoren sollten für die Wartungsintegrität einen Neustart überdauern. | | Bedienerquittierungen mit kontrollierter Rücksetzlogik | Bestimmte Quittierungen müssen möglicherweise bestehen bleiben, bis ein formaler Rücksetzpfad ausgeführt wird. | | Nicht-sicherheitsrelevante Produktionszustandsmarker | Einige Sequenzzustände werden absichtlich beibehalten, um die Prozesskontinuität nach einer kontrollierten Wiederherstellung zu wahren. |

Wann remanenter Speicher zusätzliche Prüfung erfordern sollte

Wenden Sie eine zusätzliche Prüfung an, wenn das remanente Bit verknüpft ist mit:

• Bewegungsfreigabe,
• Schutztürfreigabe,
• Neustartautorisierung,
• Not-Halt-Rücksetzpfad,
• sicherheitsnahen Verriegelungen,
• jedem Ausgang, dessen unerwartete Wiederherstellung ein Personalrisiko darstellen könnte.

Das macht das Design nicht automatisch nicht konform, aber es bedeutet, dass die Begründungspflicht nun real ist.

Die Validierung mit digitalen Zwillingen hilft, indem sie das Neustartverhalten gleichzeitig auf der Logikebene und der Anlagenverhaltensebene beobachtbar macht.

Das ist der operative Wert. Sie fragen nicht nur, ob ein Bit auf „High“ geblieben ist. Sie fragen, was die Maschine tun würde, weil das Bit auf „High“ geblieben ist.

In OLLA Lab können der Ladder-Editor, die Variablensichtbarkeit und der simulierte Anlagenzustand zusammen verwendet werden, um zu testen:

• ob das remanente Bit bestehen bleibt,
• ob der Ausgangspfad wieder anzieht,
• ob das Anlagenmodell einen unbefohlenen Startzustand widerspiegelt,
• ob die überarbeitete Logik dieses Verhalten entfernt.

Deshalb ist Simulation für die Inbetriebnahme-Praxis wichtig. Viele gefährliche Fehler sind Übergangsfehler: Anlauf, Wiederherstellung, Moduswechsel, Freigabeverlust, Sensordiskrepanz, verzögertes Feedback. Sie sind im stationären Betrieb nicht immer offensichtlich. Reale Anlagen sind aus guten Gründen keine Debugging-Sandkästen.

Aktuelle Literatur zu digitalen Zwillingen, virtueller Inbetriebnahme und simulationsbasierter industrieller Ausbildung unterstützt im Allgemeinen den Einsatz von hochpräzisen simulierten Umgebungen für eine frühere Fehlererkennung, Bedienervorbereitung und Validierung von Steuerungssystemen, stellt aber auch klar, dass Simulation keine formale Sicherheitsvalidierung oder Abnahmeprüfung (Site Acceptance Testing) ersetzt. Diese Grenze ist wichtig.

Ein remanentes SPS-Sicherheits-Latch ist meist ein Designfehler, wenn es zulässt, dass eine Maschinenfreigabe die Wiederherstellung der Stromversorgung überdauert.

Das Korrekturprinzip ist einfach:

• Verwenden Sie remanenten Speicher für Zustände, die eine Unterbrechung überdauern müssen,
• verwenden Sie nicht-remanente Selbsthaltelogik für neustartsensible Anlaufautorisierungen,
• testen Sie das Verhalten durch CPU-Zustandsübergänge, anstatt anzunehmen, dass die Absicht des Netzwerk-Zweigs offensichtlich ist,
• dokumentieren Sie den Fehler, die Überarbeitung und das beobachtete Neustartergebnis.

So sieht simulationsbereite Arbeit in der Praxis aus: nicht nur Ladder-Logik schreiben, sondern beweisen, wie sie sich verhält, wenn der Prozess etwas Unbequemes tut. Was in der Industrie an den meisten Tagen der Fall ist.

- IEC 60204-1 Elektrische Ausrüstung von Maschinen - IEC 61508 Übersicht zur funktionalen Sicherheit - ISO 13849-1 Sicherheitsbezogene Teile von Steuerungen - Studio 5000 Logix Designer Dokumentation - Virtual commissioning and digital twin review (Journal of Manufacturing Systems)