CANopen Winkel- und Neigungssensoren als »CANopen Safety«-Teilnehmer

Bild 5. Winkelcodierer in »CANopen Safety«-Version mit spielausgleichendem Zahnrad für Drehkranzgeber
Bild 5. Winkelcodierer in »CANopen Safety«-Version mit spielausgleichendem Zahnrad für Drehkranzgeber

Winkelcodierer und Neigungssensoren sind in CANopen-Bussystemen durch ihre Profile im Application-Layer-Bereich definiert. Die Erweiterungen bezüglich »CANopen Safety« erfolgen über das »CANopen Safety«-Protokoll »CiA 304«, auch bekannt als Europäischer Standard EN 50325-5. Neben den Protokollerweiterungen sind jedoch umfangreiche Maßnahmen im internen Hardware- bzw. Softwarebereich erforderlich. Eine Option ist die Ausführung eines redundanten Systems, welches für diesen Artikel als Basis genommen wurde.

Winkelcodierer und Neigungssensoren sind in CANopen-Bussystemen durch ihre Profile »CiA DS 406 Device Profile for Encoders« [1] und »DS 410 Device Profile for Inclinometer« [2] im Application-Layer-Bereich definiert. Die Erweiterungen bezüglich »CANopen Safety« erfolgen über das »CANopen Safety«-Protokoll »CiA 304«, auch bekannt als Europäischer Standard »EN 50325-5. Industrielles Kommunikationssubsystem basierend auf ISO 11898 (CAN) – Teil 5: Funktional sichere Kommunikation basierend auf EN 50325-4« [3]. Neben den Protokollerweiterungen sind umfangreiche Maßnahmen im internen Hardware- bzw. Softwarebereich erforderlich. Eine Option ist die Ausführung eines redundanten Systems, welches für diesen Artikel als Basis genommen wurde.

Die Umsetzung der sicherheitsgerichteten Anforderungen nach IEC 61508 oder DIN ISO 13849 erfordern im Bereich der Sensortechnik als wichtige Komponenten für Maschinen und Anlagen ein komplexes Know-how der Umsetzung. Die Einstufung in einen SIL–Level z.B. nach IEC 61508 erfordert Maßnahmen, die nachfolgende Zielfunktionen bei Winkelcodierern oder Neigungssensoren mit »CANopen Safety« gewährleisten:

  • Der sichere Zustand muss auf Reaktion auf eine Emergency-Nachricht eingenommen werden. Im Fehlerfall wird eine Emergency Nachricht vom Sensor generiert. Ursache hierfür können Busfehler bzw. Sensorfehler sein. Sensorfehler werden in jedem Falle als sicherheitskritisch eingestuft.
  • Der Safe-Status muss permanent überwacht werden und die Reaktion innerhalb einer bestimmten Zeit erfolgen. Im Objekt 1301/1302 – SRDO Communication Parameter sind hierfür die Parameter Refresh Time und Validation Time vorgesehen (SRDO – Safety Relevant Data Objects).
  • Die Zielfunktion ist, alle Fehler einschließlich der sicherheitsrelevanten Fehler zu erfassen und über geeignete Maßnahmen in einen fehlersicheren Zustand zu gelangen.

Die Einstufung in einen SIL-Level wird über den PFH-Wert (Probability of dangerous Failure per Hour), also die Wahrscheinlichkeit eines gefahrenbringenden Ausfalls pro Stunde, definiert (Tabelle 1). Ausgangspunkt der Betrachtungen sind die Anforderungen an den Sensor, d.h. ob er permanent im Betrieb ist. Neben dem PFH-Wert wird der SFF-Wert (Safe Failure Fraction) angegeben. Dieser Wert beschreibt den Anteil sicherer Fehler. Der HFT-Wert (Hardware-Fehler-Toleranz) ist mit 0 angegeben, d.h. 1 Fehler in der Hardware führt zum sicherheitskritischen Ausfall.

Sicherheits-Integritäts-level SIL

Betriebsart mit hoher Anforderungsrate oder kontinuierlicher Anforderungen (PFH)

Betriebsart mit niedriger Anforderungsrate (Mittlere Ausfallwahrscheinlichkeit bei Anforderung; PFD)

4 ≥ 10-9 … < 10-8 ≥ 10-5 … < 10-4
3≥ 10-8 … < 10-7 ≥ 10-4 … < 10-3
2≥ 10-7 … < 10-6
≥ 10-3 … < 10-2
1≥ 10-6 … < 10-5
≥ 10-2 … < 10-1
Tabelle 1. Start-Prozedur für »CANopen Safety«-Teilnehmer