Weltweit müssen Werkzeugmaschinen und Anlagen heute immer strengeren Anforderungen an den Arbeitsschutz Rechnung tragen. Wichtige Märkte – allen voran China – haben bereits Sicherheitsstandards nach europäischem Vorbild übernommen. Wenn Safety bereits im Antrieb integriert ist, können entsprechende Maschinen deutlich kostengünstiger produziert werden. Elektronisch realisierte Sicherheitsfunktionen bieten kürzere Reaktionszeiten, der Wegfall mechanischer Komponenten sorgt für geringeren Verschleiß und weniger Wartungsbedarf; daneben reduzieren sich der Platzbedarf sowie der Verdrahtungsaufwand.

Während die Sicherheitsfunktion ‚Safe Torque Off‘ – kurz STO – bei Servoantrieben mittlerweile schon fast zum Standard gehört, sind andere oft benötigte Funktionen, zum Beispiel ‚Safe Operation Stop‘ (SOS) oder ‚Safe Stop 1‘ beziehungsweise ‚Safe Stop 2‘ seltener zu finden. Der Grund: Um Sicherheitsfunktionen zu integrieren, müssen Hersteller die hohen Anforderungen der internationalen Norm EN/IEC 61800-5-2 erfüllen. Bei modernen Werkzeugmaschinen mit Servoantrieb, insbesondere bei Industrierobotern, die mit ihren zahlreichen miteinander verschraubten Achsen ein hohes Maß an Komplexität aufweisen, sind die Fehlerüberwachung und die sichere Umsetzung von Notstopp-Funktionen sehr aufwendig. Gerade kleinere Hersteller haben meist nicht die Kapazitäten für sichere Entwicklungen – deshalb delegieren auch Antriebe mit eingebauter STO-Funktion Fehlererkennung und Diagnosetests in der Regel an externe Geräte (Sicherheitssteuerung, Safety-SPS). Es geht allerdings auch einfacher – und zwar mithilfe einer generischen Plattform-Lösung wie ‚NTSafeDrive‘ von Newtec. Antriebe mit integrierter STO-Funktion lassen sich damit ohne großen Entwicklungsaufwand um zusätzliche Sicherheitsfunktionen erweitern – einschließlich redundant implementierter Überwachungslogik, Fehlererkennung und Diagnosemaßnahmen. Unterstützt werden dabei alle gängigen, in IEC 61800-5-2 beschriebenen Sicherheitsfunktionen (siehe Kasten, S. 86): Safe Torque Off (STO), Safe Stop 1 und 2 (SS1/SS2), Safe Operating Stop (SOS), Safely Limited Position (SLP), Safely Limited Speed (SLS), Safe Speed Monitor (SSM), Safe Direction (SDI), Safely Limited Increment (SLI) sowie Safe Brake Control (SBC).

Die Herausforderungen bei der Integration

Grundsätzlich wird eine Sicherheitsfunktion ausgelöst, wenn es zu einer Überschreitung definierter Grenzwerte kommt. Dafür werden mit Sensoren bestimmte physikalische Größen (Betriebsdaten) überwacht, die unmittelbar von der gewünschten Sicherheitsfunktion abhängen. NTSafeDrive errechnet aus den übermittelten physikalischen Betriebsdaten applikationsabhängige Ziel größen – wie Geschwindigkeit, Position oder Drehwinkel –, vergleicht die berechneten Werte mit den vorgegebenen Grenzwerten der aktiven Sicherheits­funktion(en) und löst im Falle einer Überschreitung die Safe-Torque-Off-Funktion des Servoantriebes aus.

NTSafeDrive wird über ein Black-Channel-Protokoll an die Antriebsteuerung angebunden, welches unter anderem SPI (Serial Peripheral Interface) oder EMIF (External Memory Interface) als Kommunikationsschnittstelle nutzen kann.

© Newtec

Um eine maximal mögliche Sicherheitsintegrität (Wirksamkeit der integrierten Sicherheitsfunktionen) zu gewährleisten – bei Servoantrieben ist das der Safety Integrity Level (SIL) 3 nach IEC 61508/EN 62061 beziehungsweise Performance Level PL e nach EN ISO 13849 –, sind unterschiedliche Aspekte zu berücksichtigen: die sichere Erfassung der benötigten Betriebsdaten, eine sichere Grenzwertvorgabe für die Sicherheitsfunktionen (Parametrisierung) sowie eine sichere Überwachungslogik und Auslösung. Zudem sind Fehler bei der sicherheitsgerichteten Entwicklung selbst auszuschließen. Die geeignete Vorgehensweise wird in der Norm IEC 61508 dargestellt. 

Die IEC 61508 unterscheidet bei möglichen Ausfällen zwischen sicheren beziehungsweise ungefährlichen (safe) und gefährlichen (dangerous) Fehlern. Das erreichbare Sicherheitsintegritätslevel einer Sicherheitsfunktion ergibt sich unter anderem aus der Wahrscheinlichkeit eines gefährlichen Ausfalls sowie dem Anteil ungefährlicher Ausfälle an der Gesamtzahl möglicher Fehler (Safe Failure Fraction, SFF). Die für eine bestimmte SIL geforderte SFF hängt von Art und Architektur des Systems ab. So können redundante (mehrkanalige) Systeme, bei denen jeder Kanal selbst die Sicherheitsfunktion auslösen kann, mit weniger Aufwand eine höhere Sicherheitsintegrität erreichen als einkanalige Systeme. Auch Fehlerdiagnose-Maßnahmen helfen, die Wahrscheinlichkeit des Auf tretens eines gefährlichen Ausfalles weiter zu reduzieren, da ein erkannter gefährlicher Ausfall, der zur Auslösung der Sicherheitsfunktion führt, in den Pool der ungefährlichen Ausfälle übernommen werden kann.

Zu beachten ist jedoch, dass bei der Sicherheitsperformance stets die gesamte Sicherheitskette – hier die Kombination von NTSafeDrive und Servoantrieb – zu betrachten ist. Deshalb sind auch die Sicherheitskenngrößen der im Antrieb integrierten STO-Funktion für die maximal erreichbare Sicherheitsstufe des gesamten Systems relevant.
 

Sichere Datenerfassung

Die Dual-Chip-Architektur von NTSafeDrive, realisiert mit zwei FPGAs oder Prozessoren und bis zu sechs sicheren Ein- und Ausgängen mit Sensoranbindung über Sin/Cos, TTL (RS422), HTL (Push-Pull), SSI, BISS, EnDat 2.2, Hiperface DSL, A-Safety-Format.

© Newtec

Erste Voraussetzung für echte Sicherheit ist eine korrekte Datenerfassung. Auftretende Fehler – etwa durch einen defekten Sensor – sollen korrekt erkannt und das System in einen sicheren Zustand überführt werden. Grundsätzlich sollte daher das sensorische Erfassen sicherheitsrelevanter Daten – zum Beispiel der Position bewegter Achsen – redundant erfolgen, denn die für einkanalige Sensorsysteme geforderte Fehlertoleranz von Null ist nur schwer realisierbar. Für höhere Sicherheitsintegrität (SIL 3) ist zudem unter Umständen Diversität erforderlich, also die parallele Nutzung verschiedener Sensortechnologien – zum Beispiel optische und magnetische Abtastung. Da je nach Anforderungen und Rahmenbedingungen unterschiedliche Sensorkonzepte möglich sind, wurde NTSafeDrive schnittstellenunabhängig konzipiert, damit die Sensorik optimal auf die jeweilige Anwendung zugeschnitten werden kann.

Häufig ist der Einsatz von bereits sicherheitszertifizierten Sicherheitssensoren (mit eingebauter Redundanz) der schnellste Weg zum Erfolg. Aber auch eine zweikanalige Struktur mit zwei nichtsicheren Sensoren kann eine sichere Messung und Übermittlung der benötigten Kenngrößen gewährleisten. In diesem Fall sind allerdings zusätzliche Diagnosemaßnahmen notwendig, um die Sensordaten zu validieren. Daher wurden in NTSafeDrive einige der nach IEC 61508-2 geforderten Diagnosefunktionen bereits implementiert: Alle sicherheitsrelevanten Ein- und Ausgänge verfügen über einen zusätzlich Test-/Feedback-Pfad, um die korrekte Funktion der Schnittstellen zu gewährleisten. Zudem prüft die Lösung die Werte von Geschwindigkeits- oder Positionssensoren auf Plausibilität, und zwar durch den Abgleich der Werte von beiden Kanäle. Bei zu großen Abweichungen ist eine inkorrekte Signalübertragung anzunehmen und die Stoppfunktion wird ausgelöst.

Das eigentliche Kernstück von NTSafe-Drive bildet aber der in zwei FPGAs implementierte universelle Safety-IP-Core. Dabei handelt es sich um einen vorqualifizierten Design-Funktionsblock für die sichere Antriebsüberwachung – sprich für die Berechnung der Kennwerte aus den Sensordaten, ihren Abgleich gegen die spezifizierten Grenzwerte, das Auslösen der Stoppfunktion sowie die Parametrisierung der Sicherheitsfunktionen. Hersteller können den IP-Core einfach an ihre individuellen Applikationen anpassen und so für ihre Antriebe mit wenig Aufwand eine sichere Antriebsüberwachung bis SIL 3 entwickeln und zertifizieren.

Redundanz per 2-kanaliger Architektur

Die Überwachung erfolgt ebenso vollkommen redundant. Das gewährleistet die 2-kanalige Architektur basierend auf zwei FPGA-Schaltkreisen. Alle sicherheitsrelevanten Berechnungen werden parallel auf beiden Kanälen ausgeführt und mittels Diagnosemaßnahmen auf korrekte Funktion überwacht; bei erkannten Fehlern auf einem der beiden Kanäle schaltet das Gesamtsystem ab (1oo2). Das minimiert die Wahrscheinlichkeit eines kompletten Ausfalles der Sicherheitsfunktion(en), da angenommen werden kann, dass mindestens ein Abschaltpfad des NTSafeDrive weiterhin funktionstüchtig ist – ausgenommen bei Fehlern mit gemeinsamer Ursache. Aus diesem Grund fordert auch die IEC 61508 für 2-kanalige Sicherheitsfunktionen ‚nur‘ eine SFF von 90 % gegenüber 99 % für eine einkanalige Lösung.

Aufgrund seines schnittstellenunabhängigen Designs unterstützt NTSafeDrive eine Vielzahl gesicherter Kommunikationsprotokolle. Werden die Sicherheitsfunktionen etwa über Fail-Safe-over-Ethercat (FSoE) aktiviert und parametrisiert, können per Ende-zu-Ende-Verschlüsslung auch die vorhandenen Schnittstellen des Servoantriebes mit genutzt werden. So können Hersteller die generische Plattform einsetzen, ohne ihre Servoantriebe aufwendig anpassen zu müssen: In den meisten Fällen genügt die Erweiterung der Hardware um die benötigten Schnittstellen sowie die Implementierung einer Software im Prozessor des Servoantriebs, die eine unverfälschte Weiterleitung der Prozessdaten sicherstellt. Da diese Software die Daten lediglich transparent an NTSafe-Drive weiterleitet, kann hier auf eine Software-Entwicklung nach IEC 61508-3 verzichtet werden – das spart Zeit und Entwicklungskosten. 

Das vorgestellte Konzept erlaubt aber auch einen Betrieb ohne sicheres Kommunikationsprotokoll. Als besonders kostengünstige Alternative ist beispielsweise ebenso eine Parametrisierung der Sicherheitsfunktionen mittels Keypad und 7-Segment-Anzeige denkbar.

Autoren: 
Jasper Leinberger ist bei Newtec für kunden­spezifische Anpassungen verantwortlich;
Gerhard Weiß leitet bei Newtec die Plattformentwicklung von NTSafeDrive.

Sicherheitsfunktionen nach IEC 61800-5-2

Die Sektornorm IEC 61800-5-2 (in Deutschland DIN EN 61800-5-2) regelt die Anforderungen an die funktionale Sicherheit von „elektrischen Leistungsantriebssystemen mit einstellbarer Drehzahl“. Durch die Umsetzung der normativen Festlegungen ermöglichen Hersteller den Einbau ihrer sicheren Antriebe in Maschinen und Anlagen gemäß der Vorgaben der übergeordneten Normen IEC 61508 (Basisnorm für funktionale Sicherheit elektrischer und elektronischer Systeme), DIN EN 62061 (funktionale Sicherheit von Maschinensteuerungen) und DIN EN ISO 13849 (Maschinensicherheit).

Die wichtigste Klasse von Sicherheitsfunktionen sind Notstopps. Die IEC 61800-5-2 definiert drei Stoppfunktionen, die den drei Stopp-Kategorien 0, 1 und 2 aus DIN EN 60204-1 entsprechen:

• Safe Torque Off (STO): Sicher abgeschaltetes Moment (die Energieversorgung wird sofort unterbrochen und der Antrieb ungesteuert stillgesetzt).
• Sicherer Stopp 1 (SS1): Der Antrieb wird geregelt zum Stillstand gebracht und anschließend die Energieversorgung unterbrochen, also STO aktiviert.
• Sicherer Stopp 2 (SS2): Der Antrieb wird geregelt zum Stillstand gebracht und der Stillstand überwacht (die Energiezufuhr bleibt also erhalten).

Neben diesen Notstoppfunktionen beschreibt die IEC 61800-5-2 auch sogenannte „sichere Bewegungsfunktionen“, die Risiken im laufenden Betrieb reduzieren sollen. Dazu zählt zum Beispiel der sichere Betriebshalt (Safe Operation Stop, SOS), bei dem der Antrieb weiter geregelt, das heißt, die Sicherheitssteuerung weiter mit Positionswerten versorgt wird. Die Funktion ist  nötig, wenn häufig manuell in den Prozess einzugreifen ist – etwa im Einrichtbetrieb. 

Eine weitere Funktion ist die sicher überwachte Geschwindigkeit (Safely Limited Speed, SLS). Hier werden Elemente wie Achsen oder Spindeln auf eine vorgegebene Geschwindigkeit beziehungsweise Drehzahl überwacht. Notwendig ist dies etwa beim Einrichten oder der automatischen Bearbeitung. Neben der Geschwindigkeit lassen sich Positionen oder die Bewegungsrichtung überwachen oder Bremsen ansteuern.