Von Martin Grosser

Sichere Abschaltung durch Optokoppler-Sperre: Die dargestellte Schaltung stellt die Grundfunktion für alle weiteren Sicherheitsschaltungen dar. Eine Sicherheitslogik kann den funktionalen Teil des Antriebs vollkommen unabhängig in kurzer Zeit unterbrechen und so eine sicheren Zustand herbeiführen.

Die Abschaltung eines Antriebs durch Unterbrechung der Versorgung ist nicht mehr aktueller Stand der Technik. Die hierfür nötigen Unterbrecher (Schütze) verhalten sich in der Regel sehr träge und brauchen nicht selten 50 ms, bis sie den Stromfluss sicher beenden. In diesem Zeitraum kann ein hochdynamischer Antrieb bereits eine gefährliche Drehzahl erreicht haben. Besser ist es, die Impulsmuster über Optokoppler abzuschalten. Die entsprechende Schaltung besteht aus einem primärseitigen Oszillator, der einen Transformator versorgt. Der Transformator erzeugt sekundärseitig eine Wechselspannung, die nach einer Gleichrichtung und Siebung zur Versorgung der Optokoppler dient. Die Optokoppler übertragen die notwendigen Signale zur Ansteuerung der IGBT. Bleibt die Spannung am Eingang aus, so erhält der galvanisch isolierte Kreis mit den Optokopplern keine Versorgung und das Impulsmuster zur Ansteuerung der IGBT erlischt.

Mehrkanaligkeit – ab SIL 3 ein Muss

Bei höheren Sicherheitsanforderungen ab SIL 3 ist stets eine mehrkanalige Struktur erforderlich. Eine einkanalige Lösung würde einen SFF-Wert (siehe Kasten „Die normativen Kriterien“, Seite 133) kleiner 99% fordern. Dies ist technisch kaum realisierbar. Daher haben sich bei allen Antrieben Sicherheitsstrukturen etabliert, die zwei oder drei Prozessoren benötigen.

Die 3-Prozessor-Lösung

Interner Aufbau eines sicheren Antriebssystems

Die im Bild 3 (S.132) dargestellte Architektur verfügt insgesamt über drei Prozessoren. Der untere μC stellt den funktionalen Teil der Antriebsregung dar, der oftmals durch einen DSP (Digital Signal Processor) repräsentiert wird. Das technische Verfahren basiert auf der vollständigen Trennung zwischen der funktionalen Antriebsfunktion und dem Sicherheitsteil. Da der im unteren Teil von Bild 4 (S. 132) gezeichnete Regler nicht zum Sicherheitsteil zählt, werden ihm alle möglichen Fehler unterstellt. Die Gewährleistung der geforderten Sicherheit erfolgt ausschließlich über den Sicherheitskern (im Bild 4 oben), der – entsprechend der Norm – zweikanalig ausgeführt ist. Die Erfüllung der Sicherheitsfunktion erfolgt über das Zustimmprinzip, bei dem die beiden sicherheitsgerichteten Mikrocontroller lediglich die Funktion des Antriebsprozessors überwachen. Sie greifen so lange nicht ein, bis sie eine Fehlfunktion des Antriebsprozessors aufdecken. Die notwendige Abschaltung im Fehlerfall geschieht dann über die sichere Optokoppler-Sperre.

Die 2-Prozessor-Lösung

Die Architekturen im Vergleich

Etwas kostengünstiger ist eine 2-Prozessor-Lösung, bei der ein einziger Mikrocontroller den Antriebsregler überwacht. Diese von der Hardware her abgespeckte Lösung funktioniert genauso wie die 3-Prozessor-Variante. Auch hier überwacht der Sicherheitskern den Antriebsteil und führt im Fehlerfall eine Abschaltung durch. Allerdings muss der Antriebscontroller jetzt in die Sicherheitsfunktion mit einbezogen werden, da er den verbleiben den zweiten Kanal darstellt. Die beiden Controller sind nun auch über eine direkte Schnittstelle miteinander verbunden, damit alle internen Fehler durch gegenseitige Tests aufgedeckt werden. Gemäß Tabelle 1 (rechts) muss auch der Antriebscontroller nun einen SFF-Wert von kleiner 90 % mitbringen, wenn eine Sicherheitsanforderung nach SIL 3 realisiert werden soll. Während seiner Antriebsverarbeitung muss er beispielsweise folgende Einheiten testen:

• sich selbst (CPU-Test),
• die Speichermedien,
• Ein- und Ausgabe,
• Netzwerke (falls vorhanden),
• Zeiterwartung zum anderen Controller.

Diese Sicherheitsfunktionen lassen sich relativ leicht als Zusatzfunktionen integrieren. Allerdings kosten sie Verarbeitungszeit, die der Antriebsfunktion nicht mehr zur Verfügung steht. Etwas schwerwiegender ist allerdings der Umstand, dass bei diesem Ansatz neben dem Sicherheitscontroller der Antriebscontroller nach den Sicherheitskriterien der Norm zu programmieren ist. Das bedeutet stets, dass jedes Programm, jede Routine beziehungsweise jede Funktion den strukturierten Vorgaben zu entsprechen hat. Die Verwendung eines hinzugekauften Stacks für eine Netzwerkfunktion ist damit in der Regel nicht möglich. Jede Änderung muss sicherheitsrelevant durchgeführt und vollständig getestet werden. Kurzum: Eine 2-Controller-Lösung mag bei der reinen Betrachtung der Hardwarekosten etwas günstiger sein, die Flexibilität hingegen ist eher eingeschränkt.

Ein oder zwei Drehgeber?

Zweikanalige Sicherheitslösung ohne Einbezug des Antriebssystems

Die in der Norm angegebenen Werte für die Hardware-Fehlertoleranz beziehen sich prinzipiell auf den gesamten Kanal. Da Fehler nicht nur in den Controllern, sondern auch bei der Messwert-Erfassung auftreten, liegt der Schluss nahe, dass für Sicherheitssysteme ein zweiter Encoder erforderlich ist, der zusammen mit dem bereits vorhandenen den zweiten sicheren Kanal vervollständigt. Diese Aufgabe kann jedoch ein einziger Drehgeber übernehmen, sofern dieser eine getrennte Sinus- und Cosinus-Spur zur Verfügung stellt und die nachgeschaltete Logik die Daten fehlerfrei verarbeiten kann. Dies deshalb, weil Sinus/Cosinus-Encoder selbst eigensicher sind, indem sich aufgrund der Funktion sin²+cos² = r² jederzeit die richtige und unabhängige Winkelerfassung nachweisen lässt.

Regelung per Softwaremodell

Die Zweikanaligkeit muss nicht unbedingt aus zwei Hardware-Funktionen bestehen. So sind auch Lösungen verfügbar, die nur einen Prozessor enthalten, welcher ein Regelungsprogramm „zweifach“ in diversitärer Form durchläuft. Hierbei wird die funktionale Regelung mit einem Simulationsprogramm verglichen. Sofern die hardware-basierte Verarbeitung zu identischen Größen wie die software-basierte Simulation führt, ist davon auszugehen, dass der Antrieb die gewünschte Funktion ausführt. Grundsätzlich ist eine derartige Lösung als sicherer einzustufen als eine einkanalige Variante. Dennoch erfüllt sie nicht die Anforderungen nach einem HFT-Wert von 2. Um hier eine hinreichende Sicherheit zu gewährleisten, sind noch zahlreiche Zusatzelemente notwendig, die eine Unabhängigkeit der Hardware- und Software-Verarbeitung garantieren: So muss zu jeder Zeit sichergestellt sein, dass die Hardware alleine keine Blockade der Sicherheitsfunktion auslösen kann. Ferner gilt es, alle „Fehler gemeinsamer Ursache“, die aus der einkanaligen Hardware erwachsen, auszuschalten.

Sicher per virtuellem Drehgeber

Vielfach kommen Antriebe auch vollkommen ohne einen Drehgeber oder Encoder aus. Dies funktioniert deshalb, weil sowohl Asynchron- als auch Synchronmotoren aufgrund der Impulsmuster-Erzeugung nur genau definierte Bewegungen ausführen. Die notwendigen Ist-Daten der Welle werden in diesem Fall durch die Nachbildung der Rotation aus den vorhandenen Größen der Antriebssteuerung, wie zum Beispiel Strom, Spannung, Impulsmuster oder Phasenwinkel, entnommen.

Der funktionale Controller erzeugt schließlich die Impulsmuster zur Kommutierung. Kurzum: Über die Messung der Kenngrößen wird auf die Bewegung geschlossen und damit die „virtuelle“ Achse als Regeleingang verwendet.

Diese Methode stößt innerhalb der Sicherheitstechnik allerdings recht rasch an ihre Grenzen, wenn es darum geht, den sicheren Betriebshalt zu garantieren. Hierbei steht der Antrieb in Ruhelage und wird vom System festgehalten. Ohne einen externen Einfluss mag diese Funktion auch sicherheitstechnisch realisierbar sein. Wenn sich jedoch von außen rasch verändernde Kräfte einstellen, so muss das Antriebssystem die Lasten vollständig ausregeln. Kleine Abweichungen der Ruhelage sind nun durchaus möglich. Diese können aber zu unerlaubten Bewegungen beitragen und erfüllen – je nach Anwendung – nicht mehr die geforderte Sicherheit.

Autor

Martin Grosser ist Produktmanager Sicherheitstechnik bei Lenze, Hameln.