Sichere Motion-Control-Anwendungen Mit zwei SoC-Bausteinen mehr Safety erreichen

Karim Jamal, Texas Instruments: »Die Implementierung von Sicherheit auf Systemebene erfordert je nach Architektur eine spezifische Aufteilung von Subsystemen, um den angestrebten Safety Integrity Level (SIL) zu erreichen.«

Das Design funktional sicherer Antriebe mit Safety-Funktionen nach IEC 61800-5-2 ist nicht trivial. Der IC-Hersteller Texas Instruments bietet dafür eine Lösung aus zwei Bausteinen an: einem Non-ARM-32-bit-Mikrocontroller des Typs C2000 und einem Multicore-SoC der Serie Sitara auf ARM-Basis.

In vielen Bereichen der Industrieautomatisierung, etwa Verpackung, Material-Handling sowie Lebensmittel- und Getränkeherstellung, tun elektrische Antriebe ihren Dienst. Heutige Designs funktionssicherer Antriebe enthalten immer komplexere Hardware wie Mikrocontroller, Mikroprozessoren, FPGAs und ASICs. Die Software umfasst mittlerweile hochentwickelte Steuerungs-Algorithmen, State-Machines und GUI-Funktionen. Die Beurteilung und Umsetzung der Komplexität der Hard- und Software-Integration ist daher eine Herausforderung für Designer. Darüber hinaus erfordert die Implementierung von Sicherheit auf Systemebene je nach Architektur eine spezifische Aufteilung von Subsystemen mit speziellen Hard- und Software-On-Chip-Diagnosefunktionen, um den angestrebten Safety-Integrity-Level (SIL) zu erreichen. Dies erfordert umfangreiche Entwicklungsressourcen.

Für einen hohen SIL mit Hardware-Fehlertoleranz (HFT) = 1 empfiehlt Texas Instruments (TI) eine vielseitige Zwei-Chip-Lösung auf Basis erstens des Non-ARM-32-bit-Mikrocontrollers C2000 als Safety-Element außerhalb des Kontextes für geschlossene Regelkreise mit geringer Latenz und zweitens eines Multicore-SoC der Serie Sitara auf ARM-Basis mit einem Subsystem für die sichere Kommunikation. Safety wird durch die Einhaltung eines TÜV-zertifizierten, TI-internen Entwicklungsprozesses erreicht, der dabei hilft, die Wahrscheinlichkeit systematischer Fehler, die zu Ausfällen führen könnten, zu steuern und zu minimieren. Beide Bausteine verfügen über integrierte Hard- und Software-Diagnosefunktionen für hohe SILs.

Drehzahlvariable elektrische Antriebssysteme können sich direkt auf die Maschinen- und Personensicherheit in intelligenten Fabriken auswirken, in denen Industrieroboter/Cobots und fahrerlose Transportfahrzeuge in einem gemeinsamen Arbeitsbereich mit Menschen interagieren. Solche Umgebungen sind oft bedienerfeindlich und erfordern Sicherheit und Schutz, damit Maschinen, Material und Bediener bei einem elektrischen, elektronischen oder mechanischen Ausfall sicher sind.

Für den sicheren Betrieb von Hochspannungsmotoren und Motion-Control sowohl im Einschalt- als auch im Dauerbetrieb müssen Systemarchitekten und Sicherheits-Manager bei ihren neuen Produktdesigns die Sicherheitsanforderungen nach folgenden internationalen Normen berücksichtigen:

  • International Electrotechnical Commission (IEC) 61800-5-2: Sicherheitsanforderungen für drehzahlgeregelte elektrische Antriebssysteme,
  • Safety-Integrity-Levels (SIL) wie in IEC 61508 definiert,
  • Performance-Levels (PL) im Sinne der Maschinensicherheitsnorm ISO 13849 der Internationalen Organisation für Normung,
  • ISO/Technische Spezifikation 15066 als Standard für Cobots und
  • American National Standards Institute/Industrial Truck and Standards Foundation B56.5-2012, Sicherheitsstandard für automatisch geführte fahrerlose Transportfahrzeuge.