Search Icon
Elektroniknet Logo
Search Icon
Startseite > Automation > Safety – die Umsetzung im Antrieb

Safety – die Umsetzung im Antrieb

14. April 2008, 14:45 Uhr | Martin Grosser
Diesen Artikel anhören
Fortsetzung des Artikels von Teil 1

Safety – die Umsetzung im Antrieb

Sicher per virtuellem Drehgeber

Vielfach kommen Antriebe auch vollkommen ohne einen Drehgeber oder Encoder aus. Dies funktioniert deshalb, weil sowohl Asynchron- als auch Synchronmotoren aufgrund der Impulsmuster-Erzeugung nur genau definierte Bewegungen ausführen. Die notwendigen Ist-Daten der Welle werden in diesem Fall durch die Nachbildung der Rotation aus den vorhandenen Größen der Antriebssteuerung, wie zum Beispiel Strom, Spannung, Impulsmuster oder Phasenwinkel, entnommen.

Der funktionale Controller erzeugt schließlich die Impulsmuster zur Kommutierung. Kurzum: Über die Messung der Kenngrößen wird auf die Bewegung geschlossen und damit die „virtuelle“ Achse als Regeleingang verwendet.

Diese Methode stößt innerhalb der Sicherheitstechnik allerdings recht rasch an ihre Grenzen, wenn es darum geht, den sicheren Betriebshalt zu garantieren. Hierbei steht der Antrieb in Ruhelage und wird vom System festgehalten. Ohne einen externen Einfluss mag diese Funktion auch sicherheitstechnisch realisierbar sein. Wenn sich jedoch von außen rasch verändernde Kräfte einstellen, so muss das Antriebssystem die Lasten vollständig ausregeln. Kleine Abweichungen der Ruhelage sind nun durchaus möglich. Diese können aber zu unerlaubten Bewegungen beitragen und erfüllen – je nach Anwendung – nicht mehr die geforderte Sicherheit. gh

CA804-02-grosser_af_03.jpg
Martin Grosserist Produkt-manager Sicher-heitstechnik bei Lenze, Hameln.

Die normativen Kriterien

Die Sicherheitsnorm IEC 61508, die auch in allen wesentlichen Teilen in der IEC 61800 übernommen wurde, gibt insgesamt vier Kenngrößen an, die für die Einordnung in eine geforderte Sicherheitsklasse relevant sind. Dies sind:

  • Struktur des Systems,
  • Ausfallrate der verwendeten Bauteile,
  • Diagnosedeckungsgrad,
  • Fehler gemeinsamer Ursache.

Tabelle 1 stellt den Zusammenhang zwischen der Hardware-Architektur und der Aufdeckung von Fehlern durch Tests dar: Die Hardware-Fehler-Toleranz (HFT) gibt im Prinzip die Architektur des Antriebssystems wider.

Bei einer Hardware-Fehler-Toleranz von 1 darf ein Fehler niemals zum Sicherheitsrisiko führen. In der Regel sind hier nur zweikanalige Strukturen zweckmäßig. Die Safe Failure Fraction (SFF) ist eine prozentuale Angabe aller Fehler, die einerseits in den sicheren Zustand führen oder durch interne Tests aufgedeckt werden, bevor sie sich gefahrvoll auswirken. Beispielsweise ist bei einem Wert von 80% für SFF mit einer zweikanaligen Struktur (HFT = 1) SIL 2 erreichbar.

Für die Ausfallraten und die Versagenswahrscheinlichkeiten gibt die Norm IEC 61508 ebenfalls konkrete Werte an. Wie aus Tabelle 2 zu entnehmen ist, ergibt sich für SIL 2 ein Wert kleiner als 10–6 für die Ausfallrate pro Stunde (Probability Failure per Hour – PFH).

Ein Wert von 10–6/h garantiert, dass höchstens alle 100 Jahre ein gefahrvoller Ausfall eintreten kann. Der PFD-Wert (Probability Failure per Demand) gibt an, bei welcher Anzahl an Sicherheitsanforderungen höchstens mit einem Versagen zu rechnen ist.

CA804-02-Kasten-Tabelle1_af_02.jpg
Tabelle 1. Zusammenhang zwischen der Hardware-Architektur und der Aufdeckung von Fehlern durch Tests Tabelle 2. Tolerierbare gefährliche Ausfallraten in Abhängigkeit der Sicherheitseinstufung
CA804-02-Kasten-Tabelle2_af_02.jpg
Tabelle 1. Zusammenhang zwischen der Hardware-Architektur und der Aufdeckung von Fehlern durch Tests Tabelle 2. Tolerierbare gefährliche Ausfallraten in Abhängigkeit der Sicherheitseinstufung

Die 2-Prozessor-Lösung

Etwas kostengünstiger ist eine 2-Prozessor-Lösung, bei der ein einziger Mikrocontroller den Antriebsregler überwacht. Diese von der Hardware her abgespeckte Lösung funktioniert genauso wie die 3-Prozessor-Variante. Auch hier überwacht der Sicherheitskern den Antriebsteil und führt im Fehlerfall eine Abschaltung durch. Allerdings muss der Antriebscontroller jetzt in die Sicherheitsfunktion mit einbezogen werden, da er den verbleiben den zweiten Kanal darstellt. Die beiden Controller sind nun auch über eine direkte Schnittstelle miteinander verbunden, damit alle internen Fehler durch gegenseitige Tests aufgedeckt werden. Gemäß Tabelle 1 (rechts) muss auch der Antriebscontroller nun einen SFF-Wert von kleiner 90 % mitbringen, wenn eine Sicherheitsanforderung nach SIL 3 realisiert werden soll. Während seiner Antriebsverarbeitung muss er beispielsweise folgende Einheiten testen:

  • sich selbst (CPU-Test),
  • die Speichermedien,
  • Ein- und Ausgabe,
  • Netzwerke (falls vorhanden),
  • Zeiterwartung zum anderen Controller.

CA804-02-Tabelle1_af_04.jpg
  1. Safety – die Umsetzung im Antrieb
  2. Safety – die Umsetzung im Antrieb
  3. Safety – die Umsetzung im Antrieb
  4. Safety – die Umsetzung im Antrieb
Jetzt kostenfreie Newsletter bestellen!