Der Trend, Safety in die Standard-Automatisierung und in die Antriebe zu integrieren, schreitet unaufhaltsam voran. So verfügen beispielsweise moderne, elektrische Antriebssysteme heute über eine Vielzahl integrierter Sicherheitsfunktionen, die über sichere Eingangsklemmen oder sichere Kommunikationsprotokolle wie etwa Profisafe angebunden werden können. Diese lassen sich grob in die Kategorien SafeStopping und Safe- Motion einteilen. Die Funktionen, wie sie in der IEC 61800-5-2 definiert sind, reichen vom Verhindern des ungewollten Anlaufes bis hin zum sicheren Bewegen bei gleichzeitiger Überwachung der sicheren Drehrichtung.

Für die Verbindung von Safety und performanter Bewegungssteuerung waren bis dato immer zwei Controller erforderlich. Die Synchronisierung zwischen Safety- und Bewegungssteuerung ist dabei im Applikationsprogramm zu programmieren und über ein zusätzliches physikalisches Netzwerk zu führen. Oft begrenzt zudem die digitale 24- V-Schnittstelle am Antrieb die Anzahl der nutzbaren Sicherheitsfunktionen oder erlaubt keine Übertragung der sicheren Positionswerte.

Wenn eine Überwachung verletzt oder ein Not-Halt-Taster betätigt wird, ist aus jedem beliebigen Zustand die Anlage in den Zustand der Sicherheitsreaktion zu überführen. Auch hier gilt es, die Sicherheitsfunktion mit dem Motion-Controller zu synchronisieren. Die Überwachung ist im Antrieb zu aktivieren und gleichzeitig die Anlage durch die Funktionssteuerung anzuhalten.

Moderne, so genannte Technologie- Controller wie etwa die neue Simatic-S7- 300-CPU vom Typ 317TF-2DP heben diese Einschränkungen auf, indem sie Motion-Control-, Sicherheits- und Standardaufgaben in nur einem Gerät lösen. Der angesprochene Controller nutzt PLCopen-konforme Motion-Control-Bausteine und zielt insbesondere auf die Steuerung verkoppelter Bewegungsabläufe mehrerer Achsen - von der lagegeregelten Einzelachspositionierung bis hin zu komplexen, synchronisierten Bewegungsabläufen, zum Beispiel bei Getriebe- und Kurvengleichlauf oder Druckmarkenkorrektur.

Optionspaket S7 Distributed Safety

Wie werden nun die Logik, die Motion-Control-Funktionen und die sicherheitsgerichteten Antriebsfunktionen in die Maschinensteuerung eingebunden? Die genannte „sichere Steuerung" übernimmt bei der Einbindung der sicherheitsgerichteten Antriebsfunktionen eine zusätzliche zentrale Aufgabe, indem der Anwender über Funktionsbausteine die jeweils gewünschte Sicherheitsfunktionalität aktiviert und eine Rückmeldung erhält, wenn der entsprechende Zustand erreicht ist.

Den sicherheitsgerichteten Teil seines Programms erstellt der Anwender mit dem Optionspaket S7 Distributed Safety, das parallel zu Standard-Step7-Programmen auf die Steuerung geladen werden kann. Das Paket bietet Befehle, Operationen und Bausteine zur Realisierung sicherheitsgerichteter Programme in F-KOP (Kontaktplan) und F-FUP (Funktionsplan); F steht hierbei für „fehlersicher". Dazu steht eine Bibliothek mit vorgefertigten Bausteinen für sicherheitsgerichtete Funktionen in Form von TÜV-zertifizierten Bibliotheksbausteinen zur Verfügung.

Diese beinhalten alle wichtigen Funktionen wie Not-Halt, Zweihand-Steuerung oder Muting. Am Beispiel eines Palettiersystems werden im Folgenden die benötigten Schritte bei Verwendung der integrierten Sicherheitstechnik erläutert:

Die notwendigen Schritte

Für die Funktionalität des Palettiersystems verwendet der Anwender vorgefertigte Bausteine aus der S7-Technology-Bibliothek, wie zum Beispiel MC_MovePath, MC_GroupInterrupt oder MC_GroupContinue, sowie Bausteine der Distributed-Safety-Bibliothek (zum Beispiel Not-Halt). Über die logische Verknüpfung der vorgefertigten Funktionsbausteine wie Not-Halt und MC_Group- Interrupt lassen sich die Achsen entsprechend synchronisiert an einer festgelegten Bahn stillsetzen, respektive mit dem Funktionsbaustein MC_GroupContinue wieder bewegen, ohne die Bahn zu verlassen.

Die sichere Steuerung muss entsprechend dem Eingangsabbild der Peripherie einen bestimmten Prozesszustand herstellen, sprich die antriebsintegrierten Sicherheitsüberwachungsfunktionen aktivieren und die Aktoren in den entsprechenden Prozesszustand überführen.

Neben den sicherheitsgerichteten Steuer- und Statussignalen des Safetyprogramms werden vom Motionprogramm passende Führungsgrößen vorgegeben, die vom Sicherheitsprogramm gegebenenfalls zu überwachen sind.

Die fehlersichere Kommunikation zwischen Steuerung und den Antrieben erfolgt über Profibus unter Nutzung des sicherheitsgerichteten Profisafe-Profils. An der genannten Simatic-CPU lassen sich zentrale und dezentrale F-Peripherie und fehlersichere Antriebe nach Profisafe anschließen.

Sicherheitsgerichtete und Standard- Daten werden mit Profisafe über dieselbe Busleitung übertragen. Schwarzer Kanal bedeutet, dass die sicherheitsgerichtete Kommunikation unabhängig vom Bussystem und den unterlagerten Netzwerk-Komponenten ist.

© Siemens

Neben den Safety-Funktionen für sichere Ein-/Ausgaben (IOs) sind die Antriebsicherheitsfunktionen Safe Brake Control (SBC), Safety-Limited Speed (SLS), Safe Speed Monitor (SSM), Safe Operational Stop (SOS), Safe Stop 1 (SS1), Safe Stop 2 (SS2) und Safe Torque Off (STO) über Profisafe nutzbar.

Dabei erfüllt die CPU die für sicherheitsgerichtete Anwendungen geltenden Sicherheitsanforderungen nach den relevanten Normen EN 954-1 bis Kat. 4, IEC 62061 bis SIL 3 sowie EN ISO 13849-1 bis PL e. Der Einsatz von getrennten Steuerungen für die Motion- und die Sicherheitsfunktionen kann aus Gründen der funktionalen Verteilung innerhalb einer Maschine auch weiterhin sinnvoll sein, ist jedoch unter dem Gesichtspunkt der Sicherheit nicht notwendig.

Der Diagnose-Aspekt

Integrierte Lösungen für Standard-, Motion- Control- und Sicherheitsanwendungen haben nicht nur bei Projektierung und Inbetriebsetzung erhebliche Vorteile, sondern auch im Betrieb. So ist die Sicherheitssteuerung über Diagnosemechanismen in der Lage, mitzuteilen, ob alles korrekt funktioniert beziehungsweise an welcher Stelle Handlungsbedarf besteht. Entsprechende Diagnose-Informationen lassen sich beispielsweise in Maschinen und Anlagen, die mit Siemens-Technik automatisiert wurden, über die Engineering- Software Step7 auslesen.

Autor: Atilla Vatansever ist Produktmanager für Motion Control bei Siemens.

Safety sorgt für Effizienz

Neue Safety-Konzepte tragen nicht nur zur Sicherheit von Mensch und Maschine bei, sondern sind zudem Voraussetzung für eine Steigerung der Anlageneffizienz. So zieht beispielsweise das bislang übliche Trennen der Energieversorgung von der Maschine im Fehlerfall eine Vielzahl technischer und wirtschaftlicher Nachteile nach sich. Der „klassische" Schutz wird in der Regel per Abschaltung der gesamten Maschine über Motorschütze erreicht. Nachteil dieser Lösung ist allerdings, dass es nur einen sicheren Zustand der Maschine gibt: die komplette Abschaltung.

Diese Lösung ist zwar sicher, kostet aber den Anlagenbetreiber Verfügbarkeit und damit Zeit und Geld. Beim Einschalten der Maschine benötigen die Umrichter Zeit für den Hochlauf (Zwischenkreise müssen geladen werden). Bei komplexeren Prozessabläufen sind eventuell mehrere Antriebe zu synchronisieren. Die Folge sind längere Stillstandzeiten.

Neue Technologien verdrängen diese traditionellen Sicherheitslösungen, da sie analog zur allgemeinen Automatisierung das gewünschte Mehr an Produktivität, Verfügbarkeit und Flexibilität bieten. Beispiele hierfür sind die sichere reduzierte Geschwindigkeit oder die sichere Positionsüberwachung. Diese erlauben eine Fortführung der Arbeit in bestimmten Grenzen (zum Beispiel Einrichtbetrieb) auch bei angeforderter Sicherheitsfunktion.

Beispiel Palettiersystem

Anhand eines Palettiersystems lässt sich dieser Sachverhalt anschaulich erläutern: Der Bediener arbeitet aus Sicherheitsgründen getrennt vom Gefahrenbereich des eigentlichen Palettierers. Berührungslos wirkende Schutzeinrichtungen wie ein Sicherheitslichtgitter sorgen dafür, dass der Arbeitsraum der Maschinen nicht versehentlich betreten wird. Während des Einrichtens des Palettierers kann es jedoch nötig sein, den Be- und Entladevorgang aus unmittelbarer Nähe zu beobachten. Gleiches gilt für Vorgänge wie Störungsbehebung und Produktionskontrolle.

Muss ein Bediener beispielsweise in den Bereich eintreten, den Maschinenteile bei Drehung um die vertikale Achse des Palettierers erreichen, wählt er zunächst die Sicherheitsfunktion „Sicherer Betriebshalt" für die z-Achse an. Steht der Bremsenstatus auf „Okay" und wurde ein sicherer Stillstand erkannt, gibt der Antrieb Rückmeldung, dass sich der Maschinenbediener jetzt im Drehbereich um die z-Achse aufhalten darf.

Der Stillstand wird dabei zweikanalig diversitär überwacht. Mit Betätigung eines Zustimmtasters lässt sich die Vertikalachse nun mit sicher reduzierter Geschwindigkeit bewegen. Auch hier wird die Einhaltung der parametrierten Grenzwerte sicher überwacht.

Die Technik hinter der sicheren Steuerung

Das Funktionsprinzip der sicheren Simatic- Steuerungen: Zeitredundanz und Diversität statt struktureller Redundanz.

© Siemens

Die CPU 317TF-2DP beinhaltet neben den Motion- und Standardfunktionen auch Erweiterungen zur Abarbeitung von Sicherheitsfunktionen. Möglich wurde das durch die Erweiterung des Betriebssystems der CPU um verschiedene Schutzmechanismen. Bei der Generierung des Sicherheitsprogramms eingebundene Kontrollbausteine stellen sicher, dass Software- und Hardwarefehler in der CPU erkannt und entsprechende Reaktionen ausgelöst werden, die das F-System in einen sicheren Zustand überführen und im sicheren Zustand halten.

Bezüglich der Einsatzbereiche bildet der Level SIL 3 die erreichbare Grenze, was aber auch die in der Fertigungsautomatisierung bekannte Grenze darstellt. Die Grafik zeigt das Funktionsprinzip, nach dem die sicherheitsgerichteten Eingangssignale verarbeitet werden. Das Motto hierbei: Zeitredundanz und Diversität statt struktureller Redundanz. Hierzu werden die Signale A, B parallel mit einer UND-Verküpfung beziehungsweise negiert mit einer ODER-Verknüpfung verarbeitet.

Die Ausgangssignale C und D werden danach miteinander verglichen.Wenn D ungleich dem Komplement von C ist, geht die CPU in Stopp. Ist der Vergleich erfolgreich, wird der Ausgang gesetzt. Die CPU überprüft den ordnungsgemäßen Betrieb der Steuerung durch regelmäßige Selbsttests, Befehlstests sowie eine Programmablaufkontrolle.