01.10.2019

Funktionale Sicherheit für Antriebsanwendungen

Sicher in drei Schritten

Mit den neuen Motion Controllern aus der Generation V 3.0 will sich Faulhaber den antriebstechnischen Herausforderungen der Zukunft stellen. Weil in dieser Hinsicht ein hoher Augenmerk auf der Safety liegt, holte sich das Unternehmen einen Partner an Bord. So kam das Produkt innerhalb von nur zwei Jahren zur Serienreife.


XXX
Bild: Dr. Fritz Faulhaber GmbH & Co. KG

Die Ansätze von Industrie 4.0 und die damit verbundene direkte Vernetzung von Menschen, Maschinen und Produkten hat für die Antriebssteuerung weitreichende Konsequenzen. Auch in puncto Sicherheit. Die Crux: eine normgerechte und manipulationsresistente Sicherheit darf nicht im Widerspruch zur Verfügbarkeit der Maschine selbst stehen - denn kurze Stillstandzeiten sind auch in Zukunft ein wichtiger Erfolgsfaktor in der Produktion. Der neue Motion Controller von Faulhaber sollte daher zwei Herausforderungen auf einen Nenner bringen: die Beibehaltung hoher Verfügbarkeit sowie möglichst hohe Sicherheit für die Menschen, die die Maschinen bedienen.

Wo STO die beste Wahl ist

Eine integrierte, redundante Sicherheitsabschaltung nach dem STO-Prinzip sollte das gewährleisten. Dabei wird die Ansteuerung zum Motor sofort unterbrochen, wenn z.B. vom Bediener durch ein Lichtgitter gegriffen wird. Auf diese Weise kann der Motor keine Drehmoment bildende Energie mehr liefern. Wichtig ist das etwa in sicherheitsrelevanten Anwendungen an Bestückautomaten, wo Bediener häufig in die Maschine eingreifen müssen. Solche Gefährdungspotenziale gilt es von vornherein zu identifizieren und zuverlässig sowie sicherheitsgerichtet zu beherrschen. STO kann also überall dort eingesetzt werden, wo der Antrieb durch das Lastmoment oder durch Reibung innerhalb einer ausreichenden Zeitspanne selbst zum Stillstand kommt, oder wenn das Austrudeln des Antriebs keine sicherheitstechnische Relevanz hat. In Kombination mit einer sicheren Bremse (SBC) wäre auch eine Anwendung in Vertikalachsen möglich. STO ist folglich gegenüber herkömmlicher Sicherheitstechnik auf Basis von elektromechanischen Schaltgeräten immer dann die beste Wahl, wenn beim Anlagenbau der Platz für separate Komponenten knapp ist, und der Aufwand für deren Verdrahtung und Wartung zu groß. Ein weiterer Vorteil: Wegen der schnellen elektronischen Schaltzeiten hat die Funktion eine kürzere Reaktionszeit als die elektromechanischen Komponenten einer herkömmlichen Lösung. Gerade bei hochintegrierten Systemen kann das ein unschlagbarer Vorteil sein. Und aufgrund der - ebenfalls im STO-Prinzip vorgesehenen - Wiederanlaufsperre, wird unter anderem auch ein ungefährdetes Arbeiten bei offener Schutztür oder an Maschinen und Anlagen mit bewegten Achsen möglich. Passende Eigenschaften für die neu entwickelten Motion Controller, da diese vor allem im Bereich Robotik, Pick&Place, industriellem Geräte- und Sondermaschinenbau sowie in der Automatisierungstechnik Einsatz finden.

Experten-Eskorte im Projekt

Um die STO-Funktion in die neuen Antriebscontroller integrieren zu können, holte sich der Antriebshersteller mit der Firma Systemtechnik Leber einen Experten für Systems Engineering und Sicherheit an Bord - denn das Projekt war für das Faulhaber das erste im Bereich der funktionalen Sicherheit. Systemtechnik Leber ist spezialisiert auf Elektronikentwicklungen und zählt bereits seit 2013 TÜV-zertifizierte Functional Safety Engineers zum Mitarbeiterstamm. "Es war uns wichtig, das Projekt von jemandem begleiten zu lassen, der bereits Erfahrung damit hat - gerade im regulatorischen Umfeld", so Volker Hausladen, Produktmanager Antriebssysteme bei Faulhaber. Dass Leber zudem nicht nur beratend tätig war, sondern auch die technische Umsetzung - und damit die Produktentwicklung selbst - begleiten konnte, war schließlich ausschlaggebend für die Zusammenarbeit.

Maßgeschneiderte Sicherheitsfunktion

Nach Vorgaben der Entwicklungsabteilung wurde auf Basis der bestehenden Ansteuerelektronik eine Funktion nach dem STO-Prinzip entwickelt - maßgeschneidert und an die Baugröße des bestehenden Elektronikbauteils angepasst. Im nächsten Schritt wurde dann die Neuentwicklung nach Vorgaben der Norm EN615008:2010 dokumentiert und schließlich auch zertifiziert. Systemtechnik Leber begleitete den Produktentwicklungsprozess bis hin zur Serienreife, darunter auch die Serienvorbereitung inklusive sämtlicher Abnahmetests in der Produktion. Das gesamte Entwicklungsprojekt lässt sich in drei Abschnitte gliedern:

  • • Projektphase 1: Erstellung Sicherheitskonzept, Klärung normativer Anforderungen, Risikoanalyse
  • • Projektphase 2: Erster Designzyklus bzw. Prototypen-Entwicklung
  • • Projektphase 3: Entwicklung Qualifizierungs- bzw. Zulassungsmuster

Schon früh im Projektverlauf stellte sich die elektromagnetische Verträglichkeit im Bereich der Störaussendung bei dem kompakten Controller als besondere Herausforderung heraus.

Empfehlungen der Redaktion

Herausforderung EMV

Im konkreten Fall hatten bereits erste entwicklungsbegleitende Messungen ergeben, dass die elektromagnetische Verträglichkeit der für die STO-Erweiterung vorgesehenen Antriebscontroller durch die vorgesehene technische Änderung einer späteren zertifizierten EMV-Prüfung nicht standhalten würde. Infolgedessen lag einer der Schwerpunkte der ersten Phase der Produktentwicklung auf der Analyse der elektromagnetischen Verträglichkeit des Ausgangsprodukts, sowie dem Eruieren und Umsetzen notwendiger baulicher Veränderungen bzw. technischer Maßnahmen, wie dem Hinzufügen von Drosseln und Filtern im Leistungsteil. Zusätzlich musste auch das Zusammenspiel von Träger-Board und Controller mehrfach getestet werden, da es für deren Verknüpfung mehrere Möglichkeiten gab:

  • • Standalone
  • • CAN-Anbindung
  • • Ethercat-Anbindung

Parallel dazu startete die eigentliche Produkterweiterung um die STO-Funktion. Dazu wurde der Safety-Plan aufgestellt und ein Sicherheitskonzept erarbeitet. Neben den Anforderungen der EN61508 und der EN61800-5-2 wurde auch die Risikoanalyse zum Produkt erstellt und Maßnahmen daraus abgeleitet.

Safety-Experten sind rar

Nach Abschluss der Entwicklungsarbeiten am Prototypen startete Projektphase zwei mit der Entwicklung der entsprechenden Qualifizierungs- und Zulassungsmuster. Erneut wurden entwicklungsbegleitende Messungen zur Validierung der umgesetzten Maßnahmen genutzt und anhand der FMEA die Nachweisführung zur Verifikation aufgesetzt. Zusätzlich galt es, die gesamte Dokumentation sowie ergänzende Hinweise im Handbuch zum neuen Motion Controller zu erstellen. Um bei der Dokumentation - und damit auch der späteren TÜV-Zulassung - auf der sicheren Seite zu sein, holte Leber für das Review der Dokumentation zusätzlich einen ausgewiesenen Experten für funktionale Sicherheit an Bord, begleitete die Produktzulassung und übernahm die Kommunikation für die Zulassung zum TÜV Nord. Entsprechend gestaltete sich die Projektphase 2 wie folgt:

  • • Entwicklung Qualifizierungs- und Zulassungsmuster
  • • Dokumentation
  • • TÜV-Zulassung
  • • Serienvorbereitung und Testing

Kurz vor der Zielgeraden geriet der Projekt-Fortschritt noch einmal kurz ins Stocken. Denn nach Ausarbeitung der Failure Mode Effects and Diagnostic Analysis (FMEDA), einer der zentralen Methoden zur Verifikation der Sicherheitsfunktion, wurde der erforderliche Diagnosedeckungsgrad für den Sicherheitsintegritätslevel SIL3 und den Performancelevel PLe zunächst verfehlt. Dieser wird je nach SIL und Architektur vorgegeben und stellt das Verhältnis erkannter gefährlicher Fehler zur Gesamtzahl gefährlicher Fehler dar. Beim Erarbeiten der FMEDA wurde anfangs nicht korrekt zwischen der Sicherheitsfunktion und den Nicht-Sicherheitsfunktionen getrennt. Dazu André Treinzen, Entwicklungsingenieur bei Faulhaber und technischer Leiter des Projekts: "Es war eigentlich eine kleine Ursache, aber eben mit großer Wirkung: Wir hatten in der Konzeptionsphase das Fehlerbild nicht ausreichend detailliert beschrieben. Daher war unklar, ob der komplette Antriebs-Controller auf den Fehlerfall hin zu prüfen ist, oder aber nur die neu integrierte STO-Sicherheitsfunktion. Nachdem das geklärt war, konnte die FMEDA korrigiert werden, und der geforderte Diagnosedeckungsgrad wurde erreicht. Die neuen Controller konnten in Serie gehen".

Das Endprodukt

Zwei Jahre hat Faulhaber in die Erweiterung ihrer neuen Motion Controller um die redundante Sicherheitsabschaltung nach dem STO-Prinzip investiert. Das Ergebnis ist die Erweiterung des Portfolios MC V3.0 um eine weitere Baureihe, die in zwei unterschiedlichen Varianten erhältlich ist: Der MC 5004 P STO RS/CO für CANopen-Anwendungen und der MC 5004 P STO ET für Ethercat. Bei beiden wird nun im Bedarfsfall die Ansteuerung zum Motor sofort unterbrochen, sodass er kein Drehmoment mehr erzeugen kann. Auf das Signal einer Sicherheitseinrichtung - z.B. einer Lichtschranke - wird die angetriebene Einheit normkonform abgeschaltet und das Ereignis lokal und übergeordnet signalisiert bzw. visualisiert. Damit kann die neue Baureihe in allen sicherheitsrelevanten Anwendungen in Maschinen und Robotern in Kombination mit den Motoren des Herstellers eingesetzt werden. Folgende Erkenntnisse sind laut Faulhaber besonders wichtig für die Umsetzung des Projekts gewesen:

  • • EMV von Komponenten vor Projektstart prüfen und Messkriterien festlegen
  • • FMEDA in einer möglichst frühen Projektphase durchführen
  • • Sind mehrere Parteien am Projekt beteiligt, Testaufbauten klar definieren
  • • Für begleitende und akkreditierte EMV-Messungen frühzeitig Messkriterien festlegen
  • • FMEDA in einer frühen Projektphase durchführen
  • • Testaufbauten klar definileren - für maximale Vergleichbarkeit von Ergebnissen
Anzeige