Ziel der Sicherheitstechnik ist es, Gefahr bringende Bewegungen zu verhindern. Nichts liegt daher näher, als die Sicherheitstechnik mit der Bewegungserzeugung eng zu verbinden. Aus technischen wie wirtschaftlichen Gründen ist die Antriebselektronik – sprich Servoverstärker und Frequenzumrichter – in sehr vielen Applikationen eine nicht sichere Komponente geblieben. Die notwendige Sicherheit wird in solchen Applikationen durch zusätzliche sichere Komponenten gewährleistet, die den Antrieb im Fehlerfall in den energielosen sicheren Zustand überführen beziehungsweise die Bewegung des ­angeschlossenen Motors sicher über­wachen.

Motion Monitoring hat grundsätzlich zwei Hauptaufgaben: Zum einen muss sie eine Verletzung von Grenzwerten erkennen und daraufhin eine geeignete sichere Reaktion auslösen. Zum anderen muss sie mögliche Fehler des Gebersystems detektieren, um dann ebenfalls eine geeignete Reaktion zu veranlassen. Viele der in der EN 61800-5-2 (Elektrische Leistungsantriebssysteme mit einstellbarer Drehzahl Teil 5-2: Anforderungen an die Sicherheit – Funktionale Sicherheit) definierten Sicherheitsfunktionen lassen sich mit dem externen Ansatz auf einfache Weise umsetzen. Und selbst bei älteren Antriebssystemen sind damit unter Weiterverwendung der bestehenden Aktorik und Sensorik die geforderten Sicherheitslevel erreichbar. Dies ist vor allem bei einem Retrofit von Bedeutung, da hier die Kosten für den Austausch von ­Antrieb, Motor und Sensorik eingespart werden können.

Zusätzlich lassen sich  vorhandene Antriebsfunktionen ohne Einschränkungen weiter ver­wenden. Last but not least entfallen die teilweise komplexen Umsetzungen des bestehenden Antriebsprogramms auf ein neues System beziehungsweise die ­zusätzliche Einarbeitung in die Programmierung von dessen ­ Sicherheitsteil.

Ein weiterer Vorteil von externen Bewegungsüberwachungs-Modulen ist die Unabhängigkeit des Sicherheitssystems vom verwendeten Antriebssystem. Sämtliche Safety-Funktionen und die besonderen Funktionen der Bewegungserzeugung und -regelung sind dann im gewohnten System realisierbar. Der Anschluss der externen Überwachungsgeräte erfolgt üblicherweise mittels vorkonfektionierter Adapterleitungen. Diese werden zwischen Antrieb und Feedback-Geber gesteckt und nehmen die Signale für die Bewegungsüberwachung ab.

Offen gegenüber Drehgebern

Aufgabe der externen Geräte ist die Erfassung der Bewegung. Die Sicherheitskennwerte der Sensoren – zum Beispiel Drehgeber oder Initiatoren – bestimmen den erreichbaren Sicherheitslevel maßgeblich. Auf oberster Ebene der möglichen Lösungsansätze ist die Differenzierung in so genannte Standardgeber und ‚sichere‘ Geber von Bedeutung. Eine wichtige Anforderung für Lösungen mit extern realisierter Sicherheit ist in diesem Zusammenhang die Fähigkeit, alle marktgängigen Sensorsysteme (Drehgeber in verschiedenen Ausführungen, Inkrementalgeber – TTL, HTL –, Sin/Cos-Geber) bis zum Performance Level (PL) d nach EN ISO 13849-1d sowie zwei Initiatoren bis PL e auszuwerten. Möglich wird dies durch eine Vielzahl von Plausibilisierungen innerhalb der externen Sicherheitskomponente, die die Sensor-Signale überwacht. Damit ist eine Diagnosedeckung des Geber-Systems bis zu 90 % möglich. Durch entsprechende Warnmeldungen ist ein potenzieller  Geber-Ausfall bereits frühzeitig erkennbar. Zudem gibt es Lösungen am Markt, die eine Geberinterne Diagnose nutzen und auf ein eventuell vorhandenes Fault-Signal des Dreh­gebers mit einer Schutzverletzung  reagieren.

Drehzahlwächter wie der Pnoz s30 sorgen für die sichere Überwachung von Stillstand, Drehzahl, Position, Wellenbruch, Drehzahlbereich und Drehrichtung nach EN ISO 13849-1 bis PL e.

© Pilz

Wenn ein höherer PL gefordert ist, kann dies durch einen entsprechend ­zertifizierten sicheren Drehgeber erreicht werden. Wichtig ist dabei das korrekte Zusammenspiel zwischen Geber und Sicherheitsgerät. In der zum jeweiligen Geber gehörenden Dokumentation sind die Anforderungen an das Überwachungsgerät beschrieben, die für die Nutzung und die Inanspruchnahme der zertifizierten Sicherheitskennzahlen notwendig sind.

Auch wenn kein zertifizierter sicherer Sensor einsetzbar ist, lässt sich dennoch ein höherer PL mit wenig Aufwand ­realisieren: Ein zusätzlicher Initiator wird in diesem Fall so angebracht, dass er die gefahrbringende Bewegung zum Beispiel an einem Zahnrad oder einer Wellenkupplung abtastet. Das Über­wachungsgerät kann nun die ermittelten Geschwindigkeitswerte aus beiden Geber-Systemen (Standard-Drehgeber und Initiator) kontinuierlich miteinander vergleichen. Wenn die Werte nicht mehr plausibel sind, wird ein Stopp der überwachten Achse veranlasst. Damit ist eine Bewegungsüberwachung bis zu PL e mit zwei Standard-Komponenten möglich. In gleicher Weise lässt sich darüber hinaus eine Wellenbruch- oder eine Getriebe-Überwachung realisieren.

Stand-alone oder verkettet?

Sollen nur wenige Sicherheitsfunktionen mit einer Bewegungsüberwachung verknüpft werden, so bieten sich ­einzelne Schaltgeräte an wie zum ­Beispiel der Stand-alone-Drehzahlwächter Pnoz s30 von Pilz. Er bietet eine sichere Überwachung von Stillstand, Drehzahl, Position, Wellenbruch, Drehzahlbereich und Drehrichtung bis PL e/SIL CL 3. Für umfangreichere Sicherheitsaufgaben eignen  sich konfigurierbare Steuerungssysteme mit speziellen Motion-Monitoring-Modulen. Im Fall des Pnozmulti von Pilz können dabei je Modul bis zu zwei Achsen über Inkrementalgeber und/oder Initiatoren mit bis zu 16 frei einstellbaren Sollwerten pro Achse unabhängig voneinander überwacht werden. Insgesamt sind an ein Basisgerät sechs dieser Module anschließbar. Die Einstellung der Soll­werte erfolgt über ein grafisches ­Kon­figurationstool.

Für erweiterte Motion-Monitoring-Funktionen steht im PSSuniversal-System ein neues E/A-Modul mit lokaler Schnellabschaltung von Antrieben unabhängig von der PLC-Zykluszeit zur Verfügung.

© Pilz

Die dritte Variante ist die Verwendung einer voll programmierbaren Komplettlösung für Maschinen und verkettete Anlagen wie etwa dem Automatisierungssystem PSS 4000, welches Sicherheit und Standard-Automation in einem System vereint. Die sichere Überwachungsfunktion ist hier komplett in die Anwender-Software integriert. Für die sichere Bewegungsüberwachung sind zwei verschiedene Messprinzipien und somit unterschiedliche Funktionen verfügbar. Eine sichere Bewegungsüberwachung mit einem neuen Gebermodul, das den Anschluss an eine Vielzahl unterschiedlicher vorhandener Drehgeber erlaubt, ermöglicht die Realisierung der Sicherheitsfunktionen nach EN 61800-5-2 mit nur einem Drehgeber. Mit einem anderen Modul besteht zudem die Möglichkeit, eine sichere Positionsüberwachung (sichere Geschwindigkeit und sichere Position) mit Zählermodulen der Standard-Steuerung zu realisieren.

Je komplexer die Aufgabe, umso eher sind vorhandene Zusatzfunktionen der externen Überwachungsgeräte von Vorteil. Im Fehlerfall, zum Beispiel beim Ansprechen einer Geschwindigkeits-Überwachung, soll ein Antrieb immer möglichst schnell abgeschaltet werden. Lange Übertragungszeiten zu zentralen Sicherheitssystemen und deren Programmzykluszeiten können oftmals ein Problem darstellen. Mit lokalen Stopp-Ausgängen, die direkt die Sicherheitsfunktionen SS1 (Safe Stop 1) und STO (Sicher abgeschaltetes Moment) ansteuern können, kann beispielsweise mit den Motion-Monitoring-Modulen von Pilz innerhalb von einigen Millisekunden nach dem Ansprechen der Überwachungsfunktion der Stopp der entsprechenden Achse ausgelöst werden. Durch integrierte Verzögerungsstufen ist sogar die Funktion SS1 realisierbar, nachdem zuerst ein Not-Stopp-Signal an den Antrieb übermittelt wird und erst nach Ablauf der parametrierten Verzögerungszeit die Aktivierung der Funktion STO des Antriebs erfolgt. So kann eine Achse im Fehlerfall noch gesteuert in den Stillstand gebracht werden, bevor die Reglersperre ein Abbremsen unmöglich macht.

Reaktion im Millisekunden­bereich

Sollen nicht nur ein, sondern mehrere Antriebe gleichzeitig abgeschaltet werden, so ist dies über eine Kaskadierfunktion innerhalb einiger Millisekunden und ebenfalls unabhängig von Feldbuszeiten oder Taskzyklen auf der Steuerung ­möglich. Dazu werden die Überwachungsgeräte, die einen Abschaltver-bund darstellen sollen, über eine weitere Leitung miteinander verbunden. Sollte eine der Überwachungseinrichtungen eine Abschaltung an ihrem Antrieb einleiten, wird dies über diese Leitung den anderen Überwachungsgeräten signalisiert, woraufhin diese ebenfalls das ­Abschalten der damit überwachten Antriebe veranlassen.

Autoren: Jörg Forcht ist Mitarbeiter im Bereich Produktentwicklung bei Pilz und Marcel Wöhner ist Mitarbeiter im Bereich Produktmanagement bei Pilz.