Safety – die Umsetzung im Antrieb

Safety – die Umsetzung im Antrieb

Ergo erfordern die Anwendungen unterschiedliche Abschalt-Strategien, die aus der Sicherheitsbetrachtung resultieren. Gemäß der Norm IEC 61800 Teil 5.2 lassen sich drei unterschiedliche Funktionen unterscheiden, die im Endeffekt zum Stopp des Antriebs führen:

• Die Funktion „Safe Torque Off“ (STO) – zu deutsch „Sicherer Halt“ – unterbindet nach Anforderung die Zuführung eines Moments zum Antrieb. Das kann entweder durch die Unterbrechung der Energie oder per Abschaltung der zur Kommutierung notwendigen Impulsmuster geschehen. Diese Funktion fordert keine Unterbrechung der Versorgung.
• Die Funktion „Safe Stop 1“ (SS1, Stopp-Kategorie 1 nach EN 60204) bremst den Antrieb mit der Antriebsenergie ab und unterbricht dann die Zuführung des Moments, sofern die Ruhelage erreicht ist. Falls keinerlei externe Kräfte wirken, ist der Stillstand erheblich schneller erreichbar als bei der Funktion STO.
• Die Funktion „Safe Stopp 2“ (SS2, Stopp-Kategorie 2 nach EN 60204) – auch als „Sicherer Betriebshalt“ bekannt – beginnt wie die Funktion SS1. Allerdings verweilt der Antrieb nach Erreichen der Ruhelage in Regelung. Der Stillstand wird somit stabilisiert.

Die Abschaltung eines Antriebs durch Unterbrechung der Versorgung ist nicht mehr aktueller Stand der Technik. Die hierfür nötigen Unterbrecher (Schütze) verhalten sich in der Regel sehr träge und brauchen nicht selten 50 ms, bis sie den Stromfluss sicher beenden. In diesem Zeitraum kann ein hochdynamischer Antrieb bereits eine gefährliche Drehzahl erreicht haben. Besser ist es, die Impulsmuster über Optokoppler abzuschalten. Die entsprechende Schaltung besteht aus einem primärseitigen Oszillator, der einen Transformator versorgt. Der Transformator erzeugt sekundärseitig eine Wechselspannung, die nach einer Gleichrichtung und Siebung zur Versorgung der Optokoppler dient. Die Optokoppler übertragen die notwendigen Signale zur Ansteuerung der IGBT. Bleibt die Spannung am Eingang aus, so erhält der galvanisch isolierte Kreis mit den Optokopplern keine Versorgung und das Impulsmuster zur Ansteuerung der IGBT erlischt.

Mehrkanaligkeit – ab SIL 3 ein Muss

Bei höheren Sicherheitsanforderungen ab SIL 3 ist stets eine mehrkanalige Struktur erforderlich. Eine einkanalige Lösung würde einen SFF-Wert (siehe Kasten „Die normativen Kriterien“, Seite 133) kleiner 99% fordern. Dies ist technisch kaum realisierbar. Daher haben sich bei allen Antrieben Sicherheitsstrukturen etabliert, die zwei oder drei Prozessoren benötigen.

Die 3-Prozessor-Lösung

Die im Bild 3 (S.132) dargestellte Architektur verfügt insgesamt über drei Prozessoren. Der untere μC stellt den funktionalen Teil der Antriebsregung dar, der oftmals durch einen DSP (Digital Signal Processor) repräsentiert wird. Das technische Verfahren basiert auf der vollständigen Trennung zwischen der funktionalen Antriebsfunktion und dem Sicherheitsteil. Da der im unteren Teil von Bild 4 (S. 132) gezeichnete Regler nicht zum Sicherheitsteil zählt, werden ihm alle möglichen Fehler unterstellt. Die Gewährleistung der geforderten Sicherheit erfolgt ausschließlich über den Sicherheitskern (im Bild 4 oben), der – entsprechend der Norm – zweikanalig ausgeführt ist. Die Erfüllung der Sicherheitsfunktion erfolgt über das Zustimmprinzip, bei dem die beiden sicherheitsgerichteten Mikrocontroller lediglich die Funktion des Antriebsprozessors überwachen. Sie greifen so lange nicht ein, bis sie eine Fehlfunktion des Antriebsprozessors aufdecken. Die notwendige Abschaltung im Fehlerfall geschieht dann über die sichere Optokoppler-Sperre.

1. Safety – die Umsetzung im Antrieb
2. Safety – die Umsetzung im Antrieb
3. Safety – die Umsetzung im Antrieb
4. Safety – die Umsetzung im Antrieb