Die Realisierung sicherer Antriebssteuerungen kann auf unter­schiedliche Art erfolgen: etwa über Frequenzumrichter mit integrierten Sicherheitsfunktionen oder auch über andere Überwachungskomponenten, wie Sicherheits-SPSen und Drehzahlwächter. Für die zugehörige Sensorik zur Erfassung von Achspositionen oder Drehwinkeln an Spindeln werden größtenteils Positionsgeber mit Sin/Cos-Schnittstelle verwendet. Auch bei diesen Produkten gibt es zunehmend „sichere“ Ausführungen. Doch welche Vorteile bietet der Einsatz von sicheren Sin/Cos-Positionsgebern gegenüber herkömmlichen Produkten? Was ist zu berücksichtigen, wenn „unsichere“ Geber eingesetzt werden sollen? Diesen Fragen wird im Folgenden am Beispiel einer Sicherheitsfunktion SF1 „Begrenzung Spindeldrehzahl im Einrichtbetrieb“ nachgegangen, die gemäß DIN EN ISO 13849-1 im Performance Level PL d zu realisieren ist.

Bild 1: Sicherheitsbezogenes Blockdiagramm der SF1 – die Betriebsartenwahl ist eine eigene Sicherheitsfunktion und daher hier nicht enthalten. © IFA

Die Sicherheitsfunktion SF1 soll durch den Einsatz von einem oder zwei Drehgebern und einem Frequenzumrichter mit der integrierten Sicherheitsfunktion SLS (Safely Limited Speed, sicher begrenzte Drehzahl) erfolgen. Bild 1 zeigt das zugehörige sicherheitsbezogene Blockdiagramm. Es besteht aus einem Subsystem G (Drehgeber) und einem gekapselten Subsystem T1 (Frequenz­umrichter). Als gekapselte Subsysteme werden Bauteile bezeichnet, für die der Hersteller PL/SIL und PFH (durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalles je Stunde) angibt, gegebenenfalls verbunden mit Anforderungen zur Anwendung des Produkts. Der Frequenzumrichter T1 verfügt über Schnittstellen für zwei Sin/Cos-Geber und ist in der Lage, fehlererkennende Maßnahmen durchzuführen. Die Gestaltung des Subsystems G ist nicht eindeutig, da sich hierfür verschiedene Architekturen anbieten.

Bevor diese Architekturen betrachtet werden, sind jedoch die Fehlermöglichkeiten von Drehgebern zu ermitteln. Letztlich sind Bauteilfehler und deren Auswirkungen auf die Sicherheitsfunktion die Basis für die Entscheidung, ob ein einziger konventioneller Drehgeber ausreichend ist, um den PL d zu erreichen, ob eventuell zwei konventionelle Drehgeber erforderlich sind oder ob sichere Drehgeber einzusetzen sind.

Fehlermöglichkeiten bei Drehgebern

Bild 2: Strukturaufbau und Schnitt eines typischen Sin/Cos-Drehgebers. In letzterem sind die Bestandteile Geberwelle, Lagerung, Code-Scheibe, Elektronik, Gehäuse und Stecker zu erkennen. © Kübler

Bild 2 zeigt einen typischen aufgeschnittenen Drehgeber beziehungsweise die funktionale Struktur des Gebers. In dieser Darstellung wird deutlich, dass die Funktionselemente des Drehgebers teilweise einkanalig sind, während andere Teile zweikanalig ausgeführt werden – vorausgesetzt, man betrachtet Sin und Cos als zwei separate Kanäle. Zwar werden Sin und Cos im selben optoelektronischen Asic erzeugt, aufgrund von Signalform und Phasenverschiebung lassen sie sich dennoch als separate Kanäle betrachten und alle gefährlichen Bauteilfehler werden durch die Überprüfung auf sin²(φ) + cos²(φ) = 1 erkannt. In der Abbildung ist direkt erkennbar, dass mechanische Fehler an Welle, Lagerung und Code-Scheibe gleichzeitig Auswirkungen auf den Sin- und den Cos-Kanal haben können. Löst sich zum Beispiel die Geberwelle von der Motorwelle, so führen Positionsänderungen am Motor nicht zu einer korrekten Änderung der Sin/Cos-Signale.

Die Erkennung dieses Fehlers im angeschlossenen Frequenzumrichter ist ohne zusätzliche Maßnahmen  nicht möglich, da die Ausgangssignale des Gebers weiterhin im zulässigen Bereich liegen. Als zusätzliche Maßnahme wäre zum Beispiel ein Plausibilitäts-Check im Frequenzumrichter möglich – falls keine externen Kräfte wirken wie bei Vertikal-Achsen. Wenn die Ansteuerung des Motors bekannt ist und eine entsprechende Motorbewegung erwartet wird, kann ein Vergleich mit der vom Positionsgeber gemeldeten Motorlage eine Abweichung und damit einen Fehler feststellen. Dieses Verfahren ist jedoch vom Anwender schwer anwendbar und wird an dieser Stelle nicht weiter betrachtet, da detaillierte Kenntnisse etwa über den Frequenzumrichter, den Regelkreis oder auch das Motorverhalten erforderlich sind.

SF1 mittels konventioneller Drehgeber

Wie bereits erwähnt, ist der für die gewünschte Sicherheitsfunktion SF1 „Drehzahlbegrenzung Spindel“ erforderliche Performance Level PL d, das Subsystem Geber muss daher ebenfalls mindestens PL d erfüllen.  PL d ist möglich in den vorgesehenen Architekturen Kategorie 2 und Kategorie 3 nach DIN EN ISO 13849-1 (Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen).

Tabelle: Anforderungen an Subsysteme © Computer&AUTOMATION

Wie bereits erwähnt, ist der für die gewünschte Sicherheitsfunktion SF1 „Drehzahlbegrenzung Spindel“ erforderliche Performance Level PL d, das Subsystem Geber muss daher ebenfalls mindestens PL d erfüllen.  PL d ist möglich in den vorgesehenen Architekturen Kategorie 2 und Kategorie 3 nach DIN EN ISO 13849-1 (Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen).

Da beim Einsatz von konventionellen Gebern in der Regel keine sicherheitsrelevanten Produktdaten vom Hersteller verfügbar sind, liegt es in der Verantwortung des Anwenders, die in der Tabelle für das beschriebene Beispiel zusammengefassten Anforderungen an das Subsystem Geber nachzuweisen. Hier werden die ersten Schwierigkeiten deutlich, denn die zur Beurteilung erforderlichen Unterlagen, wie Stückliste, Ausfalldaten der verwendeten Bauteile oder FMEA-Tabellen, liegen dem Anwender vermutlich nicht vollständig vor. Es ist daher üblicherweise eine Unterstützung durch den Geberhersteller notwendig.

Ein wesentlicher Aspekt ist das Verhalten des Subsystems Geber beim Auftreten von Bauteilfehlern sowie deren Erkennung. Dies wird im Folgenden näher untersucht.

Kategorie 3: zwei konventionelle Geber

Bild 3: Zwei konventionelle Drehgeber und Signalverarbeitung im sicheren Frequenzumrichter T1. © IFA

Eine Möglichkeit zur Realisierung der SF1 ist die Verwendung zweier konventioneller Geber, die zusammen das Subsystem Geber bilden. In Bild 3 sind das Prinzipschaltbild und das sicherheitsbezogene Blockdiagramm abgebildet. Die Sin/Cos-Ausgangssignale von Geber 1 werden in Kanal 1 des Frequenzumrichters verarbeitet, Kanal 2 bearbeitet entsprechend die Signale von Geber 2. Zur Erkennung von Geberfehlern erfolgt jeweils eine Überwachung auf sin²(φ) + cos²(φ) = 1, bei Ungleichheit wird eine Fehlerreaktion eingeleitet. Die Ermittlung der Drehzahl aus den Gebersignalen erfolgt zweikanalig in Kanal 1 und Kanal 2. Durch den kreuzweisen Datenvergleich (KDV) werden Fehler im Frequenzumrichter, teilweise auch Fehler im Geber aufgedeckt.

Kategorie 3 fordert die Einfehlersicherheit („Ein einzelner Fehler führt nicht zum Verlust der Sicherheitsfunktion“). Die hier betrachtete Architektur ist durchgehend zweikanalig aufgebaut, so dass die Erfüllung der Einfehlersicherheit kein Problem sein sollte. Es ist jedoch Augenmerk auf die mechanische Kopplung der Geber an die zu überwachende Bewegung in der Maschine zu richten. Ein einzelner Fehler darf nicht gleichzeitig gefährliche Auswirkungen auf Geber 1 und Geber 2 haben. Alternativ kann eine gemeinsame Montage erfolgen, wenn für mindestens einen der beiden Geber ein Fehlerausschluss für die Kopplung Bewegung/Geber angenommen werden kann.

Kategorie 3: ein einzelner konventioneller Geber

Bild 4: Subsystem G1 in Kategorie 3 mit einem einzelnen konventionellen Drehgeber und Signalverarbeitung im sicheren Frequenzumrichter T1. © IFA

Bei einer Kategorie-3-Architektur mit einem einzelnen konventionellen Geber gemäß Bild 4 ist leicht erkennbar, dass ein Bruch der Verbindung zwischen Geberwelle und Antriebswelle sofort zu einem unerkannten gefährlichen Ausfall der Sicherheitsfunktion führt, sofern im Frequenzumrichter keine zusätzlichen Maßnahmen (zum Beispiel Vergleich mit Erwartungshaltung) greifen. Ein Fehlerausschluss für die mechanische Verbindung Bewegung/Geber ist daher unabdingbar. Hierzu ist seitens des Geberherstellers ein Nachweis der hinreichenden Festigkeit zu führen. Das Mitdrehen des Gebergehäuses bei Versagen der Befestigung kann ebenfalls Auswirkungen auf die Sicherheitsfunktion haben und muss berücksichtigt werden.

Zu beachten ist in diesem Zusammenhang: In der Vergangenheit konnte man davon ausgehen, dass bei Geberfehlern wegen fehlerhafter Kommutierung des Motors auch eine „Fehlererkennung über den Prozess“ erfolgt, sofern der Geber im Regelkreis des Motors eingebunden ist. Moderne Regelalgorithmen können jedoch auch bei angeschlossenem Geber zeitweise im geberlosen Betrieb arbeiten, so dass eine schnelle Fehlererkennung durch Betriebsstörungen an der Maschine nicht sichergestellt ist.

Die Aufdeckung von Fehlern des Drehgebers und Leitungsfehlern erfolgt wiederum durch die Überprüfung auf sin²(φ) + cos²(φ) = 1. Es können Bauteilfehler auftreten, bei denen sowohl Sin als auch Cos gefährlich ausfallen (zum Beispiel Unterbrechung der Spannungsversorgung, Leitungsfehler). Trotzdem kann diese Archi­tektur die in Kategorie 3 geforderte „Einfehlersicherheit“ erfüllen, da die Fehlererkennung im Frequenzumrichter mittels sin²(φ) + cos²(φ) = 1 hochwertig ist (DC ≥ 99 %) und so schnell erfolgt (in Prozesssicherheitszeit), dass ein gefährlicher Zustand vermieden wird. Diese Struktur entspricht allerdings nicht den vorgesehenen Architekturen der ISO 13849-1, so dass die vereinfachte Methode der PFH-Berechnung aus der Norm und damit die Software „Sistema“ nicht ohne weiteres einsetzbar ist.

Kategorie 2: ein konventioneller Geber

Bild 5: Subsystem G1 in Kategorie 2 mit einem einzelnen konventionellen Drehgeber und Signalverarbeitung im sicheren Frequenzumrichter T1. © IFA

Wenn das Subsystem Geber nur mit einem einzigen Geber realisiert wird und die Fehlererkennung nicht in Prozess-sicherheitszeit erfolgen kann, ist gegebenenfalls eine Kategorie-2-Lösung möglich. Bild 5 zeigt das entsprechende Prinzipschaltbild sowie das sicherheitsbezogene Blockdiagramm.

Die Einfehlersicherheit ist keine Forderung der Kategorie 2, so dass auch der Ausschluss der mechanischen Fehler nicht zwingend erforderlich ist. Allerdings werden für den PL d hohe Anforderungen an die MTTFd und den DCavg gestellt. Im vorherigen Beispiel zur Kategorie 3 mit einem einzelnen Geber wurde für den Bruch der Kopplung Bewegung/Geber ein Fehlerausschluss angenommen. Nur dadurch ließ sich die Einfehlersicherheit erreichen, da keinerlei Maßnahmen zur Fehlererkennung verfügbar sind. Auch in der Kategorie 2 ist dieser mechanische Fehler nicht zu erkennen. Es ist jedoch das Prinzip der Kategorie 2, eine Testung der Sicherheitsfunktion in „angemessenen Zeitabständen“ durchzuführen. Diese Bedingung lässt sich mangels Testmöglichkeit nicht erfüllen. Das Subsystem „Einzelner Geber“ lässt sich demnach ohne den Fehlerausschluss für die Kopplung Bewegung/Geber auch in Kategorie 2 nicht realisieren.

SF1 per sicherem Drehgeber

Für sichere Geber geben die Hersteller alle notwendigen sicherheitsrelevanten Daten an, sie stellen also ein gekapseltes Subsystem dar. Für die Sicherheitsfunktion SF1 ist in diesem Fall folglich nur noch folgendes zu tun:

• Geber auswählen, der mindestens für den Einsatz in PL d geeignet ist.
• PFHSF1 ausrechnen: PFHSF1 = PFHGeber + PFHT1.
• Überprüfen, ob die im Datenblatt vorgeschriebene Fehlererkennung für den Geber vom Frequenzumrichter T1 durchgeführt wird.

Soll die im Beispiel angenommene Sicherheitsfunktion SF1 den Performance Level e erfüllen, so ändern sich für das Subsystem Geber gegenüber PL d die folgenden Anforderungen:

• MTTF_d: mittel/hoch → hoch
• DC_avg : niedrig/mittel → hoch
• Bei Realisierung in Kategorie 4 ist die mögliche Anhäufung von unentdeckten Fehlern zu berücksichtigen.
• Es sind die Hinweise zur Anwendung von Fehlerausschlüssen in ISO/TR 23849 (Leitfaden zur Anwendung von ISO 13849-1 und IEC 62061 bei der Gestaltung von sicherheitsbezogenen Steuerungen für Maschinen) zu beachten.

Flussdiagramm als Entscheidungshilfe über den Einsatz von sicheren oder konventionellen Gebern

© IFA

Eine ausreichend hohe MTTFd lässt sich – wie immer – nur durch den Einsatz eines geeigneten Gebers erfüllen. Bei unbemerktem Ausfall der Überprüfung auf sin²(φ) + cos²(φ) = 1 kann der nächste Fehler zu einem gefährlichen Ausfall der Sicherheitsfunktion führen. Dies ist in der Kategorie 4 nicht zulässig, daher sind hier weitere Maßnahmen erforderlich, wie etwa redundante Ausführung der Überprüfung, Wirksamkeitstest der Überprüfung, Verwendung von zwei Gebern oder ähnliches.

Wie im Zusammenhang mit der Verwendung von konventionellen Gebern bereits beschrieben, ist für Eingebersysteme ein Fehlerausschluss für die Kopplung Bewegung/Geber erforderlich. In ISO/TR 23849 wird die Anwendung von Fehlerausschlüssen in PL e und SIL 3 eingeschränkt („... im Allgemeinen nicht die Regel …“). Bei geeigneter Überdimensionierung der mechanischen Konstruktion ist dies jedoch auch in PL e/SIL 3 zulässig (siehe Tabelle D.16 der DIN EN IEC 61800-5-2).

Zusammenfassend lässt sich festhalten: Der Einsatz von konventionellen Gebern in Sicherheitsfunktionen ist prinzipiell möglich, es ist jedoch jeweils der Nachweis zu führen, dass der erforderliche Performance Level erfüllt wird. Dazu sind Detailkenntnisse des Produktes erforderlich, die in der Regel eine Unterstützung durch den Geberhersteller erfordern. Kritisch ist insbesondere der für Eingebersysteme erforderliche Fehlerausschluss für die Kopplung Bewegung/Geber. Der Einsatz von sicheren Gebern gestaltet sich demgegenüber erheblich einfacher, da alle notwendigen sicherheitsrelevanten Informationen vorliegen.

Autor: Ralf Apfeld leitet am Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung das Referat Maschinen und Anlagen.