Sie sind hier: HomeFeldebeneAntriebe

Funktionale Sicherheit: Per generischem Ansatz zur sicheren Servolösung

Fortsetzung des Artikels von Teil 2.

Sichere Datenerfassung

2_Dual-Chip-Architektur von NTSafeDrive Bildquelle: © Newtec

Die Dual-Chip-Architektur von NTSafeDrive, realisiert mit zwei FPGAs oder Prozessoren und bis zu sechs sicheren Ein- und Ausgängen mit Sensoranbindung über Sin/Cos, TTL (RS422), HTL (Push-Pull), SSI, BISS, EnDat 2.2, Hiperface DSL, A-Safety-Format.

Erste Voraussetzung für echte Sicherheit ist eine korrekte Datenerfassung. Auftretende Fehler – etwa durch einen defekten Sensor – sollen korrekt erkannt und das System in einen sicheren Zustand überführt werden. Grundsätzlich sollte daher das sensorische Erfassen sicherheitsrelevanter Daten – zum Beispiel der Position bewegter Achsen – redundant erfolgen, denn die für einkanalige Sensorsysteme geforderte Fehlertoleranz von Null ist nur schwer realisierbar. Für höhere Sicherheitsintegrität (SIL 3) ist zudem unter Umständen Diversität erforderlich, also die parallele Nutzung verschiedener Sensortechnologien – zum Beispiel optische und magnetische Abtastung. Da je nach Anforderungen und Rahmenbedingungen unterschiedliche Sensorkonzepte möglich sind, wurde NTSafeDrive schnittstellenunabhängig konzipiert, damit die Sensorik optimal auf die jeweilige Anwendung zugeschnitten werden kann.

Häufig ist der Einsatz von bereits sicherheitszertifizierten Sicherheitssensoren (mit eingebauter Redundanz) der schnellste Weg zum Erfolg. Aber auch eine zweikanalige Struktur mit zwei nichtsicheren Sensoren kann eine sichere Messung und Übermittlung der benötigten Kenngrößen gewährleisten. In diesem Fall sind allerdings zusätzliche Diagnosemaßnahmen notwendig, um die Sensordaten zu validieren. Daher wurden in NTSafeDrive einige der nach IEC 61508-2 geforderten Diagnosefunktionen bereits implementiert: Alle sicherheitsrelevanten Ein- und Ausgänge verfügen über einen zusätzlich Test-/Feedback-Pfad, um die korrekte Funktion der Schnittstellen zu gewährleisten. Zudem prüft die Lösung die Werte von Geschwindigkeits- oder Positionssensoren auf Plausibilität, und zwar durch den Abgleich der Werte von beiden Kanäle. Bei zu großen Abweichungen ist eine inkorrekte Signalübertragung anzunehmen und die Stoppfunktion wird ausgelöst.

Das eigentliche Kernstück von NTSafe-Drive bildet aber der in zwei FPGAs implementierte universelle Safety-IP-Core. Dabei handelt es sich um einen vorqualifizierten Design-Funktionsblock für die sichere Antriebsüberwachung – sprich für die Berechnung der Kennwerte aus den Sensordaten, ihren Abgleich gegen die spezifizierten Grenzwerte, das Auslösen der Stoppfunktion sowie die Parametrisierung der Sicherheitsfunktionen. Hersteller können den IP-Core einfach an ihre individuellen Applikationen anpassen und so für ihre Antriebe mit wenig Aufwand eine sichere Antriebsüberwachung bis SIL 3 entwickeln und zertifizieren.