Schmersal
Sicherheit für den Einrichtbetrieb
Für den Einrichtbetrieb oder die Störungsbeseitigung an Maschinen ist die Sicherheitsfunktion ‚Sicher begrenzte Geschwindigkeit bei geöffneter Schutztür‘ relevant. Nachfolgend eine exemplarische Sicherheitslösung mit redundantem Drehgeber und Sicherheitssteuerung.
Bei größeren Maschinen oder Anlagen – zum Beispiel in der Verpackungsindustrie – ist der Bediener in der Regel durch einen Schutzzaun oder eine Umhausung vor gefährlichen Bewegungen geschützt. Ein Zugang zum Gefahrenbereich ist über eine Tür möglich. Unter dem Gesichtspunkt der Maschinensicherheit muss dabei neben den Sicherheitsfunktionen ‚Schutz vor unerwartetem Anlauf‘ und ‚Stillsetzen über Not-Halt-Einrichtung‘ oft eine weitere Sicherheitsfunktion gewährleistet sein: die ‚sicher begrenzte Geschwindigkeit (SLS) bei geöffneter Schutztür‘. Die SLS-Funktion vereinfacht es für den Bediener, eine Fertigungsanlage einzurichten oder eine Störungsbeseitigung durchzuführen.
Eine exemplarische Struktur der Sicherheitsfunktion: Neben dem Drehgeber zur Erfassung der Geschwindigkeit, der Auswertelogik, wie zum Beispiel der Sicherheitssteuerung ‚PSC1‘ von Schmersal, und dem Antrieb selbst muss zumeist auch die Überwachung der Schutztür mit in die Betrachtung einfließen, da die SLS-Funktion im Allgemeinen mit dieser aktiviert wird.
© SchmersalEin aktuelles Whitepaper von Schmersal und Wachendorff stellt eine exemplarische Sicherheitslösung für eine solche Anlage vor, zu der unter anderem ein redundanter Drehgeber sowie eine Sicherheitskleinsteuerung gehören, und gibt eine Hilfestellung für die Bewertung der sicherheitstechnischen Tauglichkeit dieser Lösung. Um das geforderte Sicherheitsniveau zu bestimmen und zu belegen, wird bei diesem Beispiel die Normenreihe EN ISO 13849 angewendet. Für die betrachtete Maschine hat die Risikobewertung einen Performance Level (PLr) von d ergeben. Dieser lässt sich auf verschiedene Arten umsetzen. Für die technische Realisierung bietet sich zumeist die Kategorie 3 an. Sie fordert eine Einfehlersicherheit, die typischerweise durch eine konsequent zweikanalige Auslegung erreicht wird.
Zur Messung der Geschwindigkeit bietet sich die Verwendung eines Drehgebers an. Neben dem Drehgeber, der Auswertelogik – etwa der Sicherheitssteuerung ‚PSC1‘ von Schmersal – und dem Antrieb selbst muss meistens die Überwachung der Schutztür in die Betrachtung einfließen, da die SLS-Funktion im Allgemeinen mit dieser Schutztür aktiviert wird.
In dieser Struktur ist insbesondere die Betrachtung des Drehgebers zur Geschwindigkeitserfassung relevant.
Am einfachsten ließe sich die geforderte Zweikanaligkeit durch zwei separate Geber realisieren, die an verschiedenen Stellen montiert sein müssten, um auch mechanisch zweikanalig zu sein. ,Allerdings gestaltet sich dies in der Praxis oft aufwendig und schwierig. Praktikabler ist es, nur eine Montageposition verwenden zu müssen. Der Drehgeber der Firma Wachendorff vereint diese beiden Eigenschaften: Er besteht aus zwei voneinander vollständig unabhängigen Gebern unterschiedlicher Technologien in einem Gehäuse. Neben der dadurch vereinfachten Montage erlaubt es die interne Redundanz zudem, die Anforderungen der Kategorie 3 zu erfüllen.
Der redundante Drehgeber
Ein redundanter Drehgeber besteht im Grundsatz aus zwei komplett autarken Standard-Drehgebern, wodurch der gesamte elektronische Teil des Drehgebers als zweikanaliges System zu betrachten ist. Einzig der mechanische Aufbau, bestehend aus Welle und Lagerpaket, ist einkanalig ausgeführt. Die Norm für elektrische Antriebe EN 61800-5-2 sieht die Betrachtung des Fehlerfalls durch das Lösen der mechanischen Verbindung zwischen Drehgeber und Antrieb vor. In vielen Fällen wird ein Fehlerausschluss benötigt, da die Steuerung einen derartigen Fehler nicht zwingend aufdecken kann. Dieser Fehlerausschluss lässt sich erreichen, indem die Anbauelemente entsprechend stark dimensioniert ausgelegt werden und eine 100 % zuverlässige mechanische Verbindung genutzt wird.
Die Drehgeber von Wachendorff setzen auf das Prinzip der Diversität. Dies bedeutet, dass gezielt die Ausfallsicherheit erhöht wird, indem verschiedene Messprinzipien eingesetzt und dadurch so wenig baugleiche Komponenten verwendet werden wie möglich. Grundgedanke dabei ist, dass die unterschiedlichen Sensorik-Plattformen auch verschieden empfindlich beziehungsweise unempfindlich auf Störungen jeglicher Art reagieren und dadurch nicht zeitgleich ausfallen, sodass die nachgeschaltete Elektronik diesen möglichen Ausfall sicher erkennen kann.
Der redundante Standarddrehgeber stellt diversitäre (magnetisch und optisch) Signale zur Verfügung, die vollständig unabhängig voneinander erzeugt werden, aber dennoch in Korrelation zueinander gebracht werden können. Selbst die Versorgungsspannung ist für jede Sensoreinheit separat vorhanden.
Subsystem ‚Geschwindigkeitserfassung‘
Die Sicherheitsteuerung PSC1 und die Programmierung der Anwendung in SafePLC2. Die Kategorie 3 fordert unter anderem Fehleraufdeckung (DC). Diese erfolgt in dem beschriebenen Beispiel über die Sicherheitsteuerung ‚PSC1‘. Im Programmiertool ‚SafePLC2‘ der ‚PSC1‘ sind bereits Funktionsblöcke für die wichtigsten Überwachungsfunktionen integriert und aufgrund der einfachen Programmierung wird die Wahrscheinlichkeit von Fehlern minimiert.
© SchmersalDie von Kategorie 3 geforderte Einfehlersicherheit ist durch die durchgängige Zweikanaligkeit der Geschwindigkeits-/Richtungserfassung im Drehgeber gegeben. Die ebenso geforderte Fehleraufdeckung (DC) ist nicht in den Geber integriert, muss also in der Auswertelogik erfolgen.
Exemplarisch steht hier die Sicherheitssteuerungs-Reihe ‚PSC1‘ von Schmersal. Mit ihr können – wenn es die Applikation erfordert – bis zu zwölf Achsen sicher überwacht werden. Hierbei lassen sich die Drehgeber einfach über D-Sub-Schnittstellen anschließen. Durch Kreuzvergleich der beiden Gebersignale oder im Fall von sin-cos-Gebern durch Auswertung der Relation sin²+cos²=1 werden auftretende Fehler erkannt und eine Fehlerreaktion eingeleitet. Zudem sind im Programmiertool ‚SafePLC2‘ der ‚PSC1‘ bereits Funktionsblöcke für die wichtigsten Überwachungsfunktionen entsprechend der DIN EN 61800-5-2 vorhanden, beispielsweise SLS, SOS (Safe Operating Stop) oder SCA (Safe Cam, sichere Positionsüberwachung). Diese lassen sich einfach in das Programm der Sicherheitslogik integrieren.
Fehlerausschluss
Besondere Aufmerksamkeit gilt der mechanischen Kopplung zwischen Geber und Antrieb, die prinzipbedingt nur einkanalig ausgeführt ist. Dies macht einen Fehlerausschluss auf Versagen dieser Verbindung notwendig, da hier bereits der einzelne Fehler eine gefährliche Situation herbeiführen würde.
Neben einem Nachweis der maximalen Belastbarkeit der Verbindung fordert die Norm EN ISO 13849, dass für diesen Fehlerausschluss eine FMEA (Fehlermöglichkeits- und -Einflussanalyse) durchgeführt wird.
Zu den weiteren Aspekten, die gemäß EN ISO 13849 zur Erfüllung der Kategorie 3 notwendig sind, zählen Maßnahmen zur Vermeidung von Ausfällen gemeinsamer Ursache (CCF Common Cause Failure), die Vermeidung systematischer Ausfälle in der Software der Sicherheitskleinsteuerung, die Berechnung einer Ausfallwahrscheinlichkeit der Steuerungslösung auf Basis von MTTFD-Werten (Mean time to failure dangerous) und/oder eine höherwertige Diagnose (DC – Diagnostic Coverage). Unter Einbeziehung dieser Aspekte wird im Whitepaper schließlich der Performance Level für
diese exemplarische Sicherheitslösung berechnet. Siehe dazu auch: https://bit.ly/2R7hqiN.
Steffen Negeli ist Produktmanager und Mitarbeiter im technischen Vertrieb bei Wachendorff Automation in Geisenheim.
© SchmersalMit der beschriebenen Struktur lässt sich ein Performance Level von d erreichen. Begrenzt wird der mögliche PL in der Beispielrechnung im Wesentlichen durch den PL des Frequenzumrichters. Trotz des teilweisen Einsatzes von Standardkomponenten ist es also möglich, ein hohes Sicherheitsniveau zu erzielen. Die Verwendung des redundanten Gebers erleichtert die Montage. Und in Verbindung mit der Sicherheitskleinsteuerung ‚PSC1‘ ist auch die Realisierung weiterer Sicherheitsfunktionen wie Not-Halt oder die Überwachung weiterer Sicherheitskreise mit nur einem Gerät möglich.

















