Sie sind hier: HomeFeldebeneAntriebe

Funktionale Sicherheit: Per generischem Ansatz zur sicheren Servolösung

Fortsetzung des Artikels von Teil 1.

Die Herausforderungen bei der Integration

Grundsätzlich wird eine Sicherheitsfunktion ausgelöst, wenn es zu einer Überschreitung definierter Grenzwerte kommt. Dafür werden mit Sensoren bestimmte physikalische Größen (Betriebsdaten) überwacht, die unmittelbar von der gewünschten Sicherheitsfunktion abhängen. NTSafeDrive errechnet aus den übermittelten physikalischen Betriebsdaten applikationsabhängige Ziel größen – wie Geschwindigkeit, Position oder Drehwinkel –, vergleicht die berechneten Werte mit den vorgegebenen Grenzwerten der aktiven Sicherheits­funktion(en) und löst im Falle einer Überschreitung die Safe-Torque-Off-Funktion des Servoantriebes aus.

1_Grafik zu NTSafeDrive un Servo Drive Bildquelle: © Newtec

NTSafeDrive wird über ein Black-Channel-Protokoll an die Antriebsteuerung angebunden, welches unter anderem SPI (Serial Peripheral Interface) oder EMIF (External Memory Interface) als Kommunikationsschnittstelle nutzen kann.

Um eine maximal mögliche Sicherheitsintegrität (Wirksamkeit der integrierten Sicherheitsfunktionen) zu gewährleisten – bei Servoantrieben ist das der Safety Integrity Level (SIL) 3 nach IEC 61508/EN 62061 beziehungsweise Performance Level PL e nach EN ISO 13849 –, sind unterschiedliche Aspekte zu berücksichtigen: die sichere Erfassung der benötigten Betriebsdaten, eine sichere Grenzwertvorgabe für die Sicherheitsfunktionen (Parametrisierung) sowie eine sichere Überwachungslogik und Auslösung. Zudem sind Fehler bei der sicherheitsgerichteten Entwicklung selbst auszuschließen. Die geeignete Vorgehensweise wird in der Norm IEC 61508 dargestellt. 

Die IEC 61508 unterscheidet bei möglichen Ausfällen zwischen sicheren beziehungsweise ungefährlichen (safe) und gefährlichen (dangerous) Fehlern. Das erreichbare Sicherheitsintegritätslevel einer Sicherheitsfunktion ergibt sich unter anderem aus der Wahrscheinlichkeit eines gefährlichen Ausfalls sowie dem Anteil ungefährlicher Ausfälle an der Gesamtzahl möglicher Fehler (Safe Failure Fraction, SFF). Die für eine bestimmte SIL geforderte SFF hängt von Art und Architektur des Systems ab. So können redundante (mehrkanalige) Systeme, bei denen jeder Kanal selbst die Sicherheitsfunktion auslösen kann, mit weniger Aufwand eine höhere Sicherheitsintegrität erreichen als einkanalige Systeme. Auch Fehlerdiagnose-Maßnahmen helfen, die Wahrscheinlichkeit des Auf tretens eines gefährlichen Ausfalles weiter zu reduzieren, da ein erkannter gefährlicher Ausfall, der zur Auslösung der Sicherheitsfunktion führt, in den Pool der ungefährlichen Ausfälle übernommen werden kann.

Zu beachten ist jedoch, dass bei der Sicherheitsperformance stets die gesamte Sicherheitskette – hier die Kombination von NTSafeDrive und Servoantrieb – zu betrachten ist. Deshalb sind auch die Sicherheitskenngrößen der im Antrieb integrierten STO-Funktion für die maximal erreichbare Sicherheitsstufe des gesamten Systems relevant.