Sichere Bewegungssteuerung/ Safe Motion

Sichere Bewegungssteuerung/ Safe Motion
7
Sichere
Bewegungssteuerung/
Safe Motion
Kapitel 7
Inhalt
7 Sichere Bewegungssteuerung/
Safe Motion
Kapitel
Inhalt
Seite
7
7.1
7.2
7.2.1
7.2.2
7.2.3
7.3
7.4
7.4.1
7.4.2
7.5
7.5.1
7.5.2
7.5.3
7.5.4
7.5.5
7.5.6
7.5.7
7.6
7.6.1
7.6.2
Sichere Bewegungssteuerung/Safe Motion
Definition von Safe Motion
Grundprinzip
Sichere Trennung des Motors von der Energiezufuhr
Sichere Überwachung der Bewegung
Sichere Grenzwertvorgabe
Norm EN 61800-5-2
Sicherheitsfunktionen
Stopp-Funktionen und deren Normenbezug
Sicherheitsfunktionen nach EN 61800-5-2
Systembetrachtung
Antriebselektronik
Motor
Sichere Logik
Sichere Bremse
Bewegungsüberwachung
Bewegungssteuerung
Realisierungsbeispiele
Beispiele für Safe Motion
Performance Level von Sicherheitsfunktionen
Reaktionszeiten von Sicherheitsfunktionen
7-3
7-3
7-4
7-4
7-6
7-9
7-10
7-12
7-12
7-12
7-22
7-23
7-24
7-24
7-25
7-25
7-26
7-26
7-28
7-28
7-37
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
7-1
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.1 Definition von Safe Motion
Sichere Antriebsfunktionen haben mittlerweile
in Normen, Produkten und Applikationen Einzug
gehalten und können heute als Stand der Technik
bezeichnet werden. Sie sind Teil der funktionalen
Sicherheit von Maschinen und Anlagen und finden
als produktivitätssteigernde Maßnahmen zunehmend Verbreitung am Markt. Neben dem Personenschutz erhält auch der Schutz von Maschinen und
Einrichtungen immer größere Bedeutung.
Bedeutungen. In der Sicherheitstechnik versteht man
unter Dynamik die Anpassung der Sicherheitsfunktionen an sich verändernde Schutzräume. Die in der
Norm EN/IEC 61800-5-2 spezifizierten Anforderungen
an die funktionale Sicherheit drehzahlvariabler
Antriebe eröffnen hierzu neue Perspektiven.
Betrachtet man die Anwendung des Fail-safePrinzips innerhalb der klassischen Sicherheitsfunktionen, so führt das Auslösen der Sicherheitsfunktion zu einem Abschalten der Ausgänge, was
als „sicherer Zustand“ bezeichnet wird. Wendet man
sichere Antriebsfunktionen an, könnte eine Applikation folgendermaßen aussehen: Beim Öffnen einer
Schutztür wird der Motor sicher über eine definierte
Rampe gebremst und verharrt anschließend im Stillstand bei aktiver Regelung. Anschließend bewegt
sich der Motor im Tippbetrieb mit sicher reduzierter
Geschwindigkeit. Mit anderen Worten: Auf die Verletzung einer statischen Schutzraumüberwachung
folgt die Fortführung der Produktion mit reduzierter
Taktzahl und sicher überwachten Bewegungen.
• sichere Überwachung von kinematischen Größen
wie z. B. Beschleunigung, Geschwindigkeit, Weg
• kurze Reaktionszeiten zur Reduzierung
der Nachlaufwege
• variable Grenzwerte, welche zur Laufzeit
angepasst werden können
Was hier an einem einfachen Beispiel dargestellt
ist, entspricht dem Übergang von der statischen
zur dynamischen Sicherheit. Dynamik hat in
den verschiedenen Disziplinen unterschiedliche
Die Hauptanforderungen an sichere Antriebssysteme bezüglich einer dynamischen Sicherheit sind:
Mit der antriebsintegrierten Sicherheitstechnik,
schnellen sicheren Antriebsbussen, performanten
Sicherheitssteuerungen und sicheren Kamerasystemen stehen Produkte für High-End-Sicherheitslösungen zur Verfügung. Der Begriff Safe Motion
wird, je nach Sichtweise, unterschiedlich ausgelegt.
Antriebshersteller verstehen in der Regel antriebsintegrierte Sicherheit als Safe Motion, während
Steuerungshersteller damit externe Lösungen
in Verbindung bringen. Bei einer unabhängigen
Betrachtung des Themas ist festzustellen, dass der
Begriff Safe Motion zunächst nur aussagt, dass es
um die Realisierung einer sicheren Bewegung geht.
Vergleich von statischer und dynamischer Sicherheit.
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
7-3
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.2 Grundprinzip
Ziel der Sicherheitstechnik war stets, Gefahr
bringende Bewegungen zu verhindern. Nichts
liegt daher näher, als die Sicherheitstechnik mit
der Bewegungserzeugung eng zu verzahnen.
Aus technischen wie wirtschaftlichen Gründen
ist die Antriebselektronik – Servoverstärker und
Frequenzumrichter – eine nicht sichere Komponente
innerhalb der Automatisierung geblieben. Die
Sicherheit wird daher durch zusätzliche sichere
Komponenten gewährleistet, die den Antrieb im
Fehlerfall in den energielosen sicheren Zustand überführen bzw. die Bewegung des angeschlossenen
Motors sicher überwachen. Am Markt etabliert
sich aktuell der Trend, diese zusätzlichen sicheren
Komponenten in den Antrieb zu integrieren.
Nach dem heutigen Stand der Technik ergibt
sich eine sichere Bewegungssteuerung aus der
Kombination einer sicheren Bewegungsüberwachung, einer sicheren Trennung des Motors
von der Energiezufuhr und einer nicht sicheren
Bewegungserzeugung.
Nicht sichere
Bewegungserzeugung
Sichere
Trennung
Sichere
Überwachung
Sichere
Bewegungssteuerung
Motor
Komponenten einer sicheren Bewegungssteuerung.
Die folgenden Ausführungen beziehen sich
auf dreiphasige Antriebssysteme, wie sie heute
im industriellen Umfeld eingesetzt werden.
Eine Übertragung auf andere Aktorsysteme
(wie z. B. DC-Antriebe, Servoventile, …) sind nur
bedingt möglich und bedürfen einer gesonderten
Betrachtung.
7.2.1 Sichere Trennung des
Motors von der Energiezufuhr
Bevor die unterschiedlichen Abschaltpfade eines
Umrichters erläutert werden, ist ein Verständnis für
die grundlegende Funktionsweise notwendig.
Umrichter
Netz
Gleichrichter
Zwischenkreis
Wechselrichter
Motor
Leistungsteil
Steuerteil
Steuerung
Führungsgrößen
Regelkreise
Pulsmuster
Optokoppler
Grundlegende Funktionsweise eines Umrichters.
7-4
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.2 Grundprinzip
Der interne Aufbau eines Umrichters gliedert sich
in einen Steuer- und einen Leistungsteil. Mittels
Optokoppler werden beide Teile galvanisch voneinander getrennt. Im Leistungsteil findet die Aufbereitung der vom Netz eingespeisten Leistung statt.
Aus der Netzspannung mit konstanter Amplitude
und Frequenz wird eine in Amplitude und Frequenz
variable Klemmenspannung erzeugt. Dabei wird
zunächst die sinusförmige Netzspannung im Gleichrichter zu einer pulsierenden Gleichspannung umgeformt. Diese wird durch einen nachgeschalteten
Abschaltpfad
Kondensator – auch Zwischenkreis genannt –
geglättet. Der Zwischenkreis dient außerdem zur
Aufnahme von Bremsenergie. Anschließend erzeugt
der Wechselrichter durch zyklisches Schalten von
positiven und negativen Zwischenkreisspannungen
eine Ausgangsspannung mit sinusförmiger Grundwelle. Der Steuerteil des Umrichters generiert aus
Führungsgrößen Pulsmuster, die zur Ansteuerung
der Leistungshalbleiter des Wechselrichtermoduls
dienen. Um den Motor von der Energieversorgung
zu trennen, gibt es mehrere Abschaltpfade:
Einrichtung
Technik
1 Netzseitige Trennung
Netzschütz
Trennung der Versorgungsspannung des Umrichters
2 Motorseitige Trennung
Motorschütz
Trennung der Klemmenspannung des Motors
3 Antriebsintegrierte Trennung
sichere Pulssperre
Trennung der Ansteuersignale der Leistungshalbleiter
4 Trennung der Führungsgröße
Sollwertvorgabe
zu Null setzen
Regler bzw. Steuerung erzeugen keine Stellgrößen
(prozessorbasiert)
Reglerfreigabe
Es werden keine Ansteuersignale für die
Leistungshalbleiter erzeugt.
5 Trennung der Stellgröße
Netz
1
4
5
2
Motor
Sollwertvorgabe
Regelkreise
Endstufenfreigabe
Endstufe
3
Abschaltpfade eines Umrichters.
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
7-5
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.2 Grundprinzip
Bei der netz- und motorseitigen Trennung der Energieversorgung muss das Netz- oder Motorschütz
über zwangsgeführte Kontakte verfügen. Wird der
Öffnerkontakt mit dem Startsignal des Umrichters
verknüpft, kann ein Fehler des Schützkontaktes
erkannt werden. Werden zwei Schütze in Reihe
geschaltet und jeweils die Öffnerkontakte rückgeführt, kann die höchste Sicherheitskategorie erreicht
werden. Die netzseitige Trennung hat den Nachteil,
dass der Zwischenkreiskondensator des Leistungsteils bei jeder Trennung entladen wird und bei einem
Wiederanlauf erst wieder neu aufgeladen werden
muss. Dies wirkt sich negativ auf die Wiederanlaufzeit und Maschinenverfügbarkeit aus und hat
eine geringere Lebensdauer der Zwischenkreiskondensatoren zur Folge, da durch die Auf- und
Entladevorgänge die Alterung der Kondensatoren
rasch voranschreitet.
Bei der motorseitigen Trennung würde zwar
der Zwischenkreis geladen bleiben, da aber das
Auftrennen der Motorleitung zur Verdrahtung des
Schützes sehr aufwendig ist, wird dies nur selten
praktiziert. Außerdem ist die Verwendung von Motorschützen nicht bei allen Umrichtern zugelassen.
Eventuelle Überspannungen beim Trennen der
Kontakte können den Wechselrichter schädigen.
Wird die Trennung der Energieversorgung als Sicherheitsfunktion häufig angefordert, führt dies auch
zu einem starken Verschleiß der zwangsgeführten
Kontakte von Netz- bzw. Motorschütz. Die Trennung
der Führungsgröße (Sollwert-Vorgabe) bzw. der
Stellgröße (Endstufen-Freigabe) kann mit den oben
genannten Abschaltpfaden kombiniert werden. Da
die Sollwert-Vorgabe und die Endstufen-Freigabe
häufig prozessorbasierte Funktionen sind, dürfen
sie nicht kombiniert benutzt werden, um Fehler
gemeinsamer Ursache (common cause-Fehler)
auszuschließen.
7-6
Die antriebsintegrierte Lösung basiert auf dem
Prinzip, dass die vom Prozessor erzeugten Pulsmuster sicher von den Leistungshalbleitern getrennt
werden. Bei den hier betrachteten Antriebssystemen
entsteht eine Bewegung des Motors auf Grund einer
phasenrichtigen Bestromung der Wicklungsstränge.
Diese muss so erfolgen, dass die Überlagerung der
drei entstehenden Magnetfelder ein so genanntes
Drehfeld ergibt. Durch Wechselwirkung mit der
beweglichen Komponente des Motors entsteht
eine Kraftwirkung, die den Motor antreibt. Ohne
Pulsmuster kann also kein Drehfeld entstehen und
damit auch keine Bewegung des Motors stattfinden.
Die Optokoppler, die für die galvanische Trennung
zwischen Steuer- und Leistungsteil innerhalb eines
Umrichters eingesetzt werden, sind als Abschaltpfad hervorragend geeignet. Wird z. B. die Anodenspannung des Optokopplers unterbrochen und
mit der zuvor erwähnten Trennung der Stellgröße
(Reglerfreigabe) kombiniert, wird eine Bewegung
des Motors zweikanalig verhindert.
7.2.2 Sichere Überwachung der Bewegung
Eine Bewegung ist durch die kinematischen Größen
Beschleunigung, Geschwindigkeit und Weg beschrieben. Aus der Sicht potenzieller Gefährdungen
spielen auch Momente bzw. Kräfte eine wichtige
Rolle. Durch die in der Norm EN/IEC 61800-5-2
aufgelisteten Sicherheitsfunktionen werden die
oben genannten Größen abgedeckt. Die Umsetzung
einer sicherheitsgerichteten Überwachung hängt
sehr stark von der im System verwendeten Sensorik
ab. Die in der Antriebstechnik verwendete Sensorik
ist in der Regel nicht sicher und muss somit auf
Fehler überwacht werden. Ein kritischer Zustand
läge z. B. dann vor, wenn der Drehgeber aufgrund
eines Defektes kein Signal liefern könnte, während
der Motor bestromt wird und beschleunigt.
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.2 Grundprinzip
Bewegte Achsen in sicherheitsgerichteten
Anwendungen benötigen redundante Positionsinformationen, um entsprechende Sicherheitsfunktionen erfüllen zu können. Unabhängige Positionswerte gewinnt man über unterschiedliche Wege:
Eine Möglichkeit ist, durch einen zweiten Geber
den Defekt zu erkennen. Eine sichere Komponente
muss nun beide Geber überwachen und bei einem
aufgetretenen Fehler gewährleisten, dass die Anlage
in den sicheren Zustand überführt wird. Der Vorteil
dieser Lösung liegt mitunter darin, dass die zwei
Gebersysteme an verschiedenen Stellen der Maschine
die Bewegung erfassen und somit defekte mechanische Übertragungselemente erkennen können.
In der Regel besitzen Drehgeber mehrere Signalspuren, um z. B. die Drehrichtung oder definierte
Positionen innerhalb einer Umdrehung erkennen
zu können. Diese Signale lassen sich ebenfalls
für Plausibilitätstests heranziehen, ohne dass ein
zweites Gebersystem benötigt wird. Allerdings
ist hier keine durchgängige zweikanalige Struktur
gegeben, da die Bewegung von einer Welle bzw.
Gebersignal
von einer Optik abgegriffen wird. Doppelt aufgebaute Gebersystem sind heute am Markt ebenfalls
verfügbar. Solche Systeme bieten sich für Funktionen wie z. B. sichere Absolutlage an. Durch einen
konsequent diversitären zweikanaligen Aufbau wird
sogar SIL 3 nach EN/IEC 61508 erreicht. Hierbei
kommt beispielsweise neben einem optischen
auch ein magnetisches Abtastsystem zum Einsatz.
Allerdings ist, im Vergleich zu einem nichtsicheren
Gebersystem, bei den Kosten ebenfalls mit dem
Faktor zwei bis drei zu rechnen.
Eine kostengünstigere Möglichkeit bieten MultiturnGeber, die ihre getrennten Multiturn- und SingleturnSpuren ins Verhältnis setzen und somit Fehler aufdecken können. Hier findet eine sicherheitsbezogene Vorverarbeitung im Gebersystem selbst statt.
Eine weitere Möglichkeit stellt die Verwendung von
Motorsignalen dar: Durch die Erfassung von Spannungen und/oder Strömen kann mithilfe von Berechnungen auf die mechanische Bewegung des
Motors geschlossen werden. Ein Vergleich mit den
Gebersignalen deckt gefährliche Fehler auf.
Beschreibung
Initiatorsignal: entsteht durch Abtastung eines Nockens oder eines Zahnrads,
Analogsignal mit TTL, 24 V Pegel.
Zwei um 90 ° phasenverschobene Analogsignale,
entweder rechteck- oder sinusförmig (Pegel: TTL, 24 V, 1 Vss).
Digitale Schnittstelle, welche Positionsinformationen kodiert überträgt (SSI, Feldbus).
Digitale Motorfeedback-Schnittstelle mit zusätzlichen analogen Signalen
(EnDat, Hiperface, BiSS).
Sichere digitale Schnittstelle, welche Positionsinformationen kodiert überträgt
(SafetyNET p, CANopen Safe, PROFIBUS und PROFINET mit PROFIsafe, ...).
Marktübliche Geberschnittstellen
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
7-7
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.2 Grundprinzip
Gebersystem
Beschreibung
Sicherheitsintegrität
Standardgeber
Auswertung von zwei Signalspuren
einer gemeinsamen Optik.
gering
zwei Geber
Zwei vollständig getrennte Kanäle, teuer.
sehr hoch
ein Geber und Initiator
Zwei vollständig getrennte Kanäle, teuer, ungenau.
mittel
sicherer Geber
Zwei unabhängige Gebersysteme in einem
Gehäuse ohne sichere Vorverarbeitung.
hoch
sicherer Geber
Zwei unabhängige Gebersysteme in einem
Gehäuse mit sicherer Vorverarbeitung.
hoch
sicherer Geber
Zweikanalig diversitäre Struktur in einem
Gebergehäuse mit sicherer Vorverarbeitung.
hoch
Standardgeber
und Motorsignale
Zwei vollständig getrennte und diversitäre Kanäle.
sehr hoch
Gebersysteme für sicherheitsbezogene Anwendungen.
7-8
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.2 Grundprinzip
7.2.3 Sichere Grenzwertvorgabe
Eine sichere Bewegungsüberwachung benötigt
neben der sicheren Erfassung der Bewegung auch
eine Möglichkeit, Grenzwerte sicher vorzugeben.
Die Art und Weise hängt vom Maß der Dynamik und
von der Flexibilität innerhalb der Maschine ab.
Grenzwerte
Beschreibung
konstant
Werden zur Inbetriebnahme
fest eingestellt und können
während des Betriebs
nicht geändert werden.
-
Aus einem fest vorgegebenen Satz von Grenzwerten kann während des
Betriebs der passende ausgewählt bzw. gewechselt
werden.
o
Grenzwerte werden
während des Betriebs
berechnet und angepasst.
+
auswählbar
dynamisch
Dynamik
Dynamische und statische Grenzwerte.
Schaltgeräteähnliche Systeme verwenden häufig
konstante Grenzwerte. Dort kann beispielsweise
durch Setzen von Drahtbrücken oder über Einstellmöglichkeiten am Gerät ein fester Grenzwert
definiert werden. In sicheren Steuerungen können
über Bedienoberflächen zur Konfiguration oder Programmierung mehrere Grenzwerte definiert werden.
Die Auswahl während des Betriebs kann beispielsweise durch eine sichere E/A-Kopplung, durch
eine Auswertung von Sensorsignalen oder durch
Vorgabe über einen sicheren Feldbus erfolgen.
Die Verwendung von dynamischen Grenzwerten
setzt eine leistungsfähige sichere Steuerung bzw.
ein sicheres, echtzeitfähiges Bussystem voraus.
In Kombination mit einer optischen Schutzfeldüberwachung kann z. B. in Robotikanwendungen die
sichere Geschwindigkeit in Abhängigkeit des Abstandes der Person zur Gefahrenstelle reduziert
werden: Je näher man der Gefahrenstelle kommt,
desto langsamer bewegen sich die Motoren.
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
7-9
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.3 Norm EN 61800-5-2
Elektrische Leistungsantriebssysteme mit einstellbarer Drehzahl – Teil 5-2: Anforderungen an die
Sicherheit – Funktionale Sicherheit: Der Teil 5-2
der Normenreihe EN 61800 ist eine Produktnorm
für elektrische Antriebssysteme mit integrierten
Sicherheitsfunktionen. Er legt Anforderungen für die
Entwicklung sicherer Antriebe hinsichtlich ihrer funktionalen Sicherheit gemäß der Norm EN/IEC 61508
fest. Er gilt für elektrische Leistungsantriebssysteme
mit einstellbarer Drehzahl; im Allgemeinen Servound Frequenzumrichter, die in den anderen Teilen
der Normenreihe EN 61800 behandelt werden.
Der Teil EN 61800-2 Teil 2: Allgemeine Anforderungen, Festlegungen für die Bemessung von
Niederspannungs-Wechselstrom-Antriebssystemen
mit einstellbarer Frequenz, führt eine Reihe neuer
Begriffe ein, die im Folgenden näher erklärt werden:
PDS
CDM
BDM
Netz
Netzfilter
Trafo
Wechselrichter
Motor
Geber
Regelkreise
Definition Leistungsantriebssystem (PDS)
Leistungsantriebssystem/
Power Drive System (PDS)
System, das aus der Starkstrom-Ausrüstung
(Stromrichterbaugruppe, Wechselstrommotor,
Speisebaugruppe, ...) und der Steuer- und Regeleinrichtung besteht. Die Hardware-Konfiguration setzt
sich aus einem vollständigen Antriebsmodul (CDM)
und einem Motor oder Motoren mit Messfühlern
zusammen, die mit der Motorwelle mechanisch
gekoppelt sind (die angetriebene Ausrüstung ist
nicht eingeschlossen).
PDS/Safety-Related (SR)
Wechselstrom-Leistungsantriebssystem
für sicherheitsbezogene Anwendungen.
7-10
Vollständiges Antriebsmodul/
Complete Drive Module (CDM)
Antriebssystem ohne Motor und die mechanisch
mit der Motorwelle verbundenen Messfühler, das
aus dem BDM und aus Erweiterungen wie z. B. der
Speisebaugruppe und Hilfsausrüstungen besteht,
aber nicht darauf beschränkt ist.
Antriebsgrundmodul/Basic Drive Module (BDM)
Antriebsmodul, das aus einer Stromrichterbaugruppe, einer Steuer- und Regeleinrichtung für
Drehzahl, Drehmoment, Strom, Frequenz oder
Spannung und einem Steuersystem für die
Leistungshalbleiterbauelemente usw. besteht.
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.3 Norm EN 61800-5-2
Hersteller und Lieferanten von sicheren Antrieben
können durch die Umsetzung der normativen
Festlegungen dieses Teils von EN 61800 die
Sicherheitsintegrität ihrer Produkte nachweisen.
Dies ermöglicht den Einbau eines sicheren Antriebs
in ein sicherheitsbezogenes Steuerungssystem unter
Anwendung der Grundsätze von EN/IEC 61508 bzw.
ihrer Sektornormen (z. B. IEC 61511, IEC 61513,
IEC 62061) oder von EN ISO 13849.
Dieser Teil von EN 61800 legt
KEINE Anforderungen fest für:
• die Gefahren- und Risikoanalyse
für eine bestimmte Anwendung
• die Angabe von Sicherheitsfunktionen
für diese Anwendung
• die Zuordnung von SILs zu diesen
Sicherheitsfunktionen
• das Antriebssystem mit Ausnahme
der Schnittstellen
• Sekundärgefahren (z. B. durch Ausfälle
in einem Produktionsprozess)
• elektrische, thermische und energetische
Sicherheitsbetrachtungen, die in der
EN 61800-5-1 behandelt werden
• das Herstellungsverfahren des PDS(SR)
• die Gültigkeit von Signalen und Befehlen
für das PDS(SR)
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
7-11
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.4 Sicherheitsfunktionen
7.4.1 Stopp-Funktionen und deren Normenbezug
7.4.2 Sicherheitsfunktionen nach EN 61800-5-2
Stopp-Funktionen sind nahezu an allen Maschinen
anzutreffen. Für die verschiedenen funktionalen
Anforderungen wurden 3 Kategorien von StoppFunktionen in der EN 60204-1 definiert:
Der Stand der Technik ermöglicht heute eine
antriebsintegrierte Lösung der Stopp-Funktionen.
Bei dieser Lösung reduziert sich der Platzbedarf im
Schaltschrank und auch der Verdrahtungsaufwand,
da bisher notwendige externe Zusatzkomponenten
wie z. B. Schütze jetzt entfallen können. Auch
zusätzliche Komponenten zur Überwachung von
Stillstand oder Drehzahl werden nun nicht mehr
benötigt. Servoverstärker mit integrierten Sicherheitsfunktionen nach EN 61800-5-2 sind heute
verfügbar und führen zu wesentlich einfacheren
Lösungen selbst bei komplexen Sicherheitsanforderungen. Die Norm EN 61800-5-2 teilt die
Sicherheitsfunktionen nach Stoppfunktionen und
sonstige Sicherheitsfunktionen ein. Die Beschreibung ist nur rudimentär und lässt sehr viel Freiheit
bei der Umsetzung und Interpretation. Dies wird vor
allem bei den Stoppfunktionen deutlich, die zu den
komplexesten Sicherheitsfunktionen gehören. Nicht
nur die Art und Weise der Umsetzung, sondern auch
das Verhalten der Sicherheitsfunktionen nach außen
kann dabei sehr unterschiedlich sein.
• Stopp-Kategorie 0
• Stopp-Kategorie 1
• Stopp-Kategorie 2
Die Stopp-Kategorie 0 führt zu einer sofortigen
Unterbrechung der Energiezufuhr zu den Antriebselementen. Eine Aktivierung der Netz-Trenneinrichtung löst automatisch einen Stopp der Kategorie 0
aus, da keine Energie mehr für die Bewegungserzeugung zur Verfügung steht. Bei der StoppKategorie 1 bleibt die Energiezufuhr zu den Antriebselementen erhalten, um ein gesteuertes Stillsetzen
zu ermöglichen. Wird auch noch im Stoppzustand
Energie benötigt, kommt die Stopp-Kategorie 2 zum
Einsatz, bei der nach dem gesteuerten Stillsetzen
die Energiezufuhr erhalten bleibt. Die StoppKategorien dürfen nicht mit Kategorien nach
EN ISO 13849-1 oder EN 954-1 verwechselt werden,
die dort eine Kategorisierung von Strukturen mit
einem spezifizierten Verhalten im Fehlerfall darstellen. Für den Bereich der drehzahlgeregelten
Antriebssysteme wurden in der EN 61800-5-2
den Stopp-Kategorien nach EN 60204-1 Stoppfunktionen zugeordnet.
7-12
EN 60204-1
EN 61800-5-2
Stopp-Kategorie 0
Sicher abgeschaltetes
Moment (STO)
Stopp-Kategorie 1
Sicherer Stopp 1 (SS1)
Stopp-Kategorie 2
Sicherer Stopp 2 (SS2)
Im praktischen Betrieb der Sicherheitsfunktionen
treten häufig Effekte auf, die auf eine schlechte
Qualität der Sensorsignale oder allgemein auf das
reale Verhalten eines elektrischen Antriebs zurückzuführen sind. Schlecht eingestellte Regelkreise
und EMV sind häufige Ursachen für eine eingeschränkte Verfügbarkeit von sicheren Antriebsachsen. Ein Beispiel dafür ist die Definition des
Stillstands: In einem geregelten System ist die
Geschwindigkeit null mehr ein theoretischer Wert.
Je nach Qualität der Regelkreise ist ein Zittern des
Motors um die Null-Lage zu beobachten, was bei
einem eingestellten Grenzwert von null sofort zu
einer Reaktion auf Grund einer Grenzwertverletzung
führen würde. Die Sicherheitsfunktion würde den
Antrieb sicher abschalten – zu Lasten der Verfügbarkeit des Systems. In diesem Fall hilft die
Definition einer Stillstandsschwelle > 0, deren
zulässige Geschwindigkeit noch ungefährlich ist.
Eine Alternative ist die Definition eines Positionsfensters, welches der Motor nicht verlassen darf.
Hiermit würden auch kleinste Bewegungen nicht
zu einer Grenzwertverletzung führen.
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.4 Sicherheitsfunktionen
geforderten Sicherheitsintegrität die
gesamte Sicherheitskette betrachtet werden.
Um neben der Sicherheit von Personen auch
die Sicherheit des Fertigungs- bzw. Produktionsprozesses zu gewährleisten, können die Sicherheitsfunktionen auch permanent aktiv sein,
ohne dass sich die Anlage in einer Sonderbetriebsart befindet. Zur Umsetzung der Sicherheitsfunktionen müssen mehrere Komponenten
und deren Schnittstellen, für die Berechnung der
Die in der EN 61800-5-2 aufgeführten Sicherheitsfunktionen müssen nicht zwingend mittels
antriebsintegrierter Sicherheit umgesetzt werden.
Eine externe Lösung ist hier ebenfalls möglich.
Sichere
Sensorik
Antriebssteuerung
Sichere
Überwachung
Schutztür
Antriebssteuerung
Sichere
Logik
Sichere
Trennung
der Energie
Sichere
Überwachung
Leistungsteil
Motor
Geber
0
1
2
Bremse
Leistungsteil
NOT-AUS
Betriebsartenwahlschalter
Motor
Geber
Bewegung
Sicherheitskette
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
7-13
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.4 Sicherheitsfunktionen
7.4.2.1 Sichere Stoppfunktionen
Sicher abgeschaltetes Moment (STO)
Wenn die Sicherheit an Achsen betrachtet wird,
geht es einerseits darum, einen unerwarteten Anlauf
von Achsen zu verhindern und andererseits in Bewegung befindliche Achsen im Gefahrenfall sicher
abzuschalten. Die zugehörigen Funktionen sind hier
unter der Überschrift „Sichere Stoppfunktionen“
zusammengefasst.
Die Energiezufuhr zum Motor wird sicher unterbrochen, so dass keine Bewegung mehr entstehen
kann. Eine Überwachung des Stillstands muss nicht
erfolgen. Ist mit einer Krafteinwirkung von außen zu
rechnen, sind zusätzliche Maßnahmen vorzusehen,
die eine mögliche Bewegung sicher verhindern
(z. B. mechanische Bremsen). Klassische Beispiele
sind hierfür Vertikalachsen oder Anwendungen mit
großen Massenträgheiten. Diese Sicherheitsfunktion
entspricht einem Stopp der Kategorie 0 (ungesteuertes Stillsetzen) nach IEC 60204-1. Wird die
Funktion im laufenden Betrieb ausgelöst, „trudelt“
der Motor unkontrolliert aus, was in der Praxis nicht
gewünscht ist. Deshalb wird diese Funktion in der
Regel als sichere Wiederanlaufsperre oder in Verbindung mit der Sicherheitsfunktion SS1 verwendet.
Sichere Stoppfunktionen
Mit modernen Servoverstärkern einschließlich
integriertem sicheren Abschaltpfad stehen heute
sichere Geräte zur Verfügung, die einen unerwarteten Anlauf verhindern und im Gefahrenfall
sicher abschalten.
Sicher abgeschaltetes Moment
7-14
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.4 Sicherheitsfunktionen
Sicherer Stopp 1 (SS1)
Beim Sicheren Stopp 1 (SS1) ist das definierte
Abbremsen des Motors Teil der Sicherheitsfunktion.
Befindet sich der Motor im Stillstand, so wird
die STO-Funktion ausgelöst. Bei der Umsetzung
dieser Anforderungen gibt es nun mehrere
Möglichkeiten, entscheidend ist hierbei die
Verzahnung zwischen Sicherheits- und Antriebstechnik. Diese Sicherheitsfunktion entspricht einem
Stopp der Kategorie 1 (gesteuertes Stillsetzen)
nach IEC 60204-1.
Umsetzung
Beschreibung
überwachte Zeitverzögerung
Das Auslösen der Sicherheitsfunktion startet eine anwendungsspezifische
sichere Zeitverzögerung, nach der der Motor sicher von der Energie
getrennt wird. Das Abbremsen des Motors ist eine Funktion der nicht
sicheren Antriebstechnik. Beschleunigt der Motor während dieser Zeitverzögerung, wird dies nicht erkannt.
automatische Stillstandserkennung
mit überwachter Zeitverzögerung
Die überwachte Zeitverzögerung wird mit einer Stillstandserkennung
kombiniert. Ist der Motor vor Ablauf der Zeitverzögerung im Stillstand, so
wird dadurch die STO-Funktion ausgelöst. Auch hier wird ein Beschleunigen
des Motors während der Zeitverzögerung nicht erkannt.
Überwachung der Bremsrampe
Eine überwachte Bremsrampe hat die höchste Qualität bezüglich der funktionalen Sicherheit. Während des Bremsvorgangs findet ein kontinuierlicher
Vergleich mit einem Grenzwert oder einem zulässigen Schleppfehler statt.
Wird der Grenzwert verletzt, wird die STO-Funktion ausgelöst.
In vielen Applikationen können Antriebe nicht
einfach abgeschaltet werden, da diese dann austrudeln würden, was zu Gefährdungen führen kann.
Oft dauert ein derartiger ungesteuerter Auslauf auch
wesentlich länger, als das geregelte Abbremsen
einer Achse. Die Funktion Sicherer Stopp 1 (SS1)
überwacht direkt im Servoverstärker das geregelte
Abbremsen der Achse. Nach Ablauf der parametrierten Abbremsrampe wird der Antrieb sicher
abgeschaltet. Im Vergleich zu externen Überwachungslösungen reduzieren sich die Reaktionszeiten, wodurch in vielen Fällen die Sicherheitsabstände zu den Gefahrenstellen reduziert werden
können. Daraus ergeben sich Vorteile wie z. B.
verbesserte Ergonomie für die Anlagenbediener,
Platzersparnis durch geringere Abstände von
Schutzgittern zu den Gefahrstellen und nicht
zuletzt Kosteneinsparungen.
Sicherer Stopp 1
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
7-15
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.4 Sicherheitsfunktionen
Sicherer Stopp 2 (SS2)
Beim Sicheren Stopp 2 (SS2) ist das definierte
Abbremsen des Motors ebenfalls Teil der Sicherheitsfunktion. Befindet sich der Motor im Stillstand,
so wird der Sichere Betriebshalt (SOS) ausgelöst.
Anders als beim Sicheren Stopp 1 (SS1) befindet
sich der Motor im Stillstand im geregelten Betrieb.
Umsetzung
Beschreibung
überwachte Zeitverzögerung
Das Auslösen der Sicherheitsfunktion startet eine anwendungsspezifische
sichere Zeitverzögerung, nach der der sichere Betriebshalt ausgelöst wird.
Das Abbremsen des Motors ist eine Funktion der nicht sicheren Antriebstechnik. Beschleunigt der Motor während dieser Zeitverzögerung, wird
dies nicht erkannt.
automatische Stillstandserkennung
mit überwachter Zeitverzögerung
Die überwachte Zeitverzögerung wird mit einer Stillstandserkennung
kombiniert. Ist der Motor vor Ablauf der Zeitverzögerung im Stillstand,
so wird dadurch der sichere Betriebshalt ausgelöst. Auch hier wird ein
Beschleunigen des Motors während der Zeitverzögerung nicht erkannt.
Überwachung der Bremsrampe
Eine überwachte Bremsrampe hat die höchste Qualität bezüglich der funktionalen Sicherheit. Während des Bremsvorgangs findet ein kontinuierlicher
Vergleich mit einem Grenzwert oder einem zulässigen Schleppfehler statt.
Wird der Grenzwert verletzt, wird die STO-Funktion ausgelöst, andernfalls
folgt der sichere Betriebshalt.
Welcher Nutzen ergibt sich nun aus der Funktion
Sicherer Stopp 2 (SS2)? Wenn die Achsen im Stillstand nicht mehr abgeschaltet werden müssen,
halten diese aktiv ihre aktuelle Position, wodurch
die Synchronisation zwischen Achsen und Prozess
nicht mehr verloren geht. Damit ist ein sofortiger
Neustart der Achsen jederzeit möglich, wodurch
die Anlagenverfügbarkeit spürbar steigt. Auch hier
führt die antriebsintegrierte Funktion zu reduzierten
Reaktionszeiten und damit zu einer Minimierung von
Risiken. Die Ansprechzeiten von Überwachungsfunktionen gehen direkt in die im Fehlerfall möglichen Wege ein, bis eine Sicherheitsabschaltung
erfolgt. Da die Reaktionszeiten in die Berechnung
von Sicherheitsabständen Eingang finden, gelten
auch hier die schon bei der Funktion Sicherer
Stopp 1 genannten Vorteile.
7-16
Das bedeutet, dass die Stillstandsposition durch
den aktiven Regelkreis exakt gehalten wird. In der
Umsetzung dieser Anforderungen gibt es wiederum
mehrere Möglichkeiten. Diese Sicherheitsfunktion
entspricht einem Stopp der Kategorie 2 (gesteuertes
Stillsetzen) nach IEC 60204-1.
Sicherer Stopp 2
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.4 Sicherheitsfunktionen
7.4.2.2 Sichere Bewegungsfunktionen
Moderne Antriebslösungen betrachten nicht nur das
Ein- und Abschalten von Achsen, sondern auch die
potenziellen Risiken, die beim Betrieb der Achsen
auftreten können. Die Funktionen zur Vermeidung
bzw. Reduzierung dieser Risiken werden hier unter
der Überschrift „Sichere Bewegungsfunktionen“
zusammengefasst.
Die Anwendung der Funktion Sicherer Betriebshalt
(SOS) ist in der Regel für die Stillstandsphasen eines
Prozesses vorgesehen. Eine typische Situation ist
der Zugang zu einer Gefahrstelle bei einem Prozesseingriff. Ein Bediener stoppt die Produktion z. B.
durch ein Kommando „Halt bei Takt Ende“. Wenn
die Anlage steht, wird zuerst die Funktion Sicherer
Betriebshalt (SOS) aktiviert und danach die Zuhalteeinrichtung an der Zugangstür entriegelt. Jetzt ist
ein gefahrloser Zugang zur Anlage möglich.
Sichere Bewegungsfunktionen
Sicherer Betriebshalt
Sicherer Betriebshalt (SOS)
Der Sichere Betriebshalt (SOS) wurde schon mit
der Sicherheitsfunktion Sicherer Stopp 2 (SS2)
vorgestellt. Er überwacht die Stillstandsposition,
während sich der Motor im geregelten Zustand befindet. Nach dem Aufheben der Sicherheitsfunktion
kann der Fertigungs- oder Bearbeitungsprozess
ohne Genauigkeitsverlust fortgesetzt werden. In aller
Regel wird die Funktion in Kombination mit einem
Stopp als Sicherer Stopp 2 (SS2) angewendet,
da eine Stillstandsüberwachung meist mit einem
Bremsvorgang einher geht. Wie oben beschrieben,
kann der Grenzwert sowohl als Geschwindigkeitsschwelle als auch als Positionsfenster
vorgegeben werden.
Sicher begrenzte Beschleunigung (SLA)
und Sicherer Beschleunigungsbereich (SAR)
Sicherheitsfunktionen bezüglich der Überwachung
von Beschleunigungen haben nach dem aktuellen
Stand der Dinge keine Verbreitung. Die Erfassung
von Beschleunigungen erfolgt in der Servoantriebstechnik mit Ferraris-Sensoren ausschließlich in
speziellen Applikationen von Werkzeug- oder
Druckmaschinen. Standardantriebe können diese
Signale in ihren Regelkreisen nicht verarbeiten, eine
Überwachung dieser Beschleunigungssignale ist
in der Praxis sehr aufwendig.
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
7-17
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.4 Sicherheitsfunktionen
Sicher begrenzte Geschwindigkeit (SLS)
Sicherer Geschwindigkeitsbereich (SSR)
Die Sicher begrenzte Geschwindigkeit (SLS) ist wohl
die bekannteste Sicherheitsfunktion. In der Praxis
wird diese Sicherheitsfunktion häufig als sicher
reduzierte Geschwindigkeit angewendet. Daher
muss ein definierter Übergang von der Betriebsgeschwindigkeit im Automatikbetrieb auf die reduzierte
Geschwindigkeit im Einrichtbetrieb gewährleistet
sein. Erkennt die Überwachungsfunktion eine Verletzung des Grenzwertes, muss der Antrieb sicher
abgeschaltet werden. Die Art und Weise des Abschaltens hängt von der Anwendung ab, es ist ein
definiertes Abbremsen mittels der SS1-Funktion mit
anschließender Trennung der Energie anzustreben.
Der Sichere Geschwindigkeitsbereich (SSR) kann
beispielsweise dafür genutzt werden, eine sichere
Minimalgeschwindigkeit zu überwachen. Die Reaktion
bezüglich einer Unterschreitung des Grenzwertes
hängt wiederum stark von der Applikation ab.
Ein Abschalten des Antriebs muss bei eventuell
gekoppelten Antriebsachsen zu geeigneten Reaktionen führen (z. B. Gruppenabschaltung).
Ohne antriebsintegrierte Sicherheitsfunktionen war
die Realisierung dieser Funktion mit einem großen
Materialaufwand bzw. Funktionseinschränkungen
verbunden. Werden Achsen beim Einrichten im
Tippbetrieb verfahren, ist die mögliche Geschwindigkeit der Achse im Fehlerfalle ein wesentlicher
Aspekt jeder Risikoanalyse. Die Bediener müssen
vor der Gefahr geschützt werden, die im Fehlerfall
zu einem unkontrollierten Anlaufen einer Achse
führt. Wenn die Funktion Sicher begrenzte
Geschwindigkeit (SLS) für diese Tippfunktionen
verwendet wird, kommt eine Lösung zum Einsatz,
die im Fehlerfall die kürzestmögliche Reaktionszeit
ergibt. Dies reduziert die Risiken für einen Bediener
signifikant, da bereits im Ansatz ein unkontrolliertes
Anlaufen einer Achse erkannt würde und ein
sicheres Abschalten zur Folge hätte.
Generell kann der Sichere Geschwindigkeitsbereich
(SSR) zur permanenten Prozessüberwachung genutzt werden. Nicht in allen Fällen sind die Risiken
allein durch eine Begrenzung von aprupt zunehmenden Geschwindigkeiten beseitigt. Auch aufgrund eines Fehlers sich plötzlich reduzierende
Geschwindigkeiten können eine Gefahr bedeuten.
Arbeiten Achsen in einem definierten Abstand
zueinander, kann eine aprupt fallende Geschwindigkeit an lediglich einer der beiden Achsen zu einer
Quetschgefahr führen. Für diese Fälle wurde die
Funktion Sicherer Geschwindigkeitsbereich (SSR)
definiert und entwickelt. Mittels dieser Funktion
würden die beteiligten Achsen abgeschaltet,
eine Gefährdung des Maschinenbedieners
damit ausgeschlossen.
Sicherer Geschwindigkeitsbereich
Sicher begrenzte Geschwindigkeit
7-18
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.4 Sicherheitsfunktionen
Sicher begrenztes Moment (SLT)
und Sicherer Momentenbereich (STR)
Eine Momenten- oder Kraftüberwachung hat, ähnlich wie bei der Überwachung der Beschleunigung,
das Problem einer geeigneten bzw. etablierten
Sensorik. Drehmoment-Messsysteme sind bei Standardantrieben nicht verbreitet, allerdings bietet die
Servoantriebstechnik die Möglichkeit der indirekten
Messung über den Motorstrom. Der Motorstrom
ist proportional zur Kraft oder zum Drehmoment
des Motors, die Gefährdung durch eine Gefahr
bringende Bewegung wird damit begrenzt.
Ungefährliche Werte hinsichtlich der Einwirkung
von Kräften sind in der Grenzwertliste 2003 im
BIA-Report enthalten. Ein solches Verfahren
kann nur über eine antriebsintegrierte Sicherheitstechnik erfolgen.
Sichere Bewegungsrichtung (SDI)
Es wird verhindert, dass sich der Motor in die unzulässige Richtung bewegt. Diese Sicherheitsfunktion
tritt häufig in Kombination mit der Sicher begrenzten
Geschwindigkeit (SLS) im Einrichtbetrieb auf. Durch
die antriebsintegrierte Lösung wird auch hier die
schnellstmögliche Abschaltung erreicht.
Sicher begrenzte Position (SLP)
Sichere Bewegungsrichtung
Durch eine sichere Positionsüberwachung wird
erreicht, dass der Motor einen vorgegebenen
Positionsgrenzwert nicht überschreitet. Bei einer
Grenzwertverletzung wird der Motor mit einem
sicheren Stopp heruntergebremst. Dabei muss der
technisch mögliche Nachlaufweg berücksichtigt
werden. Unterhalb des Grenzwertes gibt es keine
Einschränkungen bezüglich der Beschleunigung
oder Geschwindigkeit des Motors. Für diese Sicherheitsfunktion wird eine absolute Positionserfassung
benötigt. Entweder kommen Absolutwertgeber
zum Einsatz oder relative Messsysteme werden
mit einer sicheren Referenzfahrt kombiniert.
Sicherer Nocken (SCA)
Sicher begrenztes Schrittmaß (SLI)
Nach einem Startbefehl darf der Motor eine zulässige Weglänge abfahren. Nach Erreichen des Grenzwertes muss eine sichere Stoppfunktion ausgelöst
werden. Ein Überschreiten der zulässigen Weglänge
muss erkannt und der Antrieb sicher stillgesetzt
werden. Für diese Sicherheitsfunktion sind relativ
messende Gebersysteme ausreichend.
Ein sicheres Ausgangssignal zeigt an, ob sich die
Position des Motors innerhalb eines festgelegten
Bereichs befindet. Diese Bereiche sind absolute
Positionsfenster innerhalb einer Motorumdrehung.
Basisfunktion hierfür ist also eine sichere Überwachung von Absolutpositionen, weshalb passende
Sensorsysteme eingesetzt werden müssen.
Sichere Geschwindigkeitsüberwachung (SSM)
Die Sicherheitsfunktion Sichere Geschwindigkeitsüberwachung (SSM) ist sehr eng mit der Sicher
begrenzten Geschwindigkeit (SLS) verwand.
Allerdings erfolgt bei einer Grenzwertverletzung
keine Reaktionsfunktion der überwachenden Komponente, sondern lediglich eine sichere Meldung,
welche von einer übergeordneten sicheren Steuerung ausgewertet und weiterverarbeitet werden
kann. Zum einen kann die Steuerung komplexere
Reaktionsfunktionen ausführen, zum anderen
kann diese Sicherheitsfunktion zur Prozessüberwachung eingesetzt werden.
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
7-19
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.4 Sicherheitsfunktionen
7.4.2.3 Sichere Bremsfunktionen
Funktionen im Zusammenhang mit Halteund Betriebsbremsen wurden unter dem Begriff
sichere Bremsfunktionen zusammengefasst.
wird in der Regel zur Ansteuerung der Haltebremse
verwendet, welche wiederum nach Stillstand einer
Achse aktiviert wird.
Sichere Bremsenansteuerung
Sichere Bremsfunktionen
Sicherer Bremsentest (SBT)
Sichere Bremsenansteuerung (SBC)
Ein wesentlicher Zuwachs an Sicherheit entsteht bei
Nutzung der Funktion Sicherer Bremsentest (SBT).
Allein eine sichere Ansteuerung einer Haltebremse
reicht oft nicht aus, um eine Vertikalachse sicher zu
machen. Wird der verschleißbehaftete mechanische
Anteil der Bremse nicht regelmäßig gewartet, kann
im Gefahrenfall nicht garantiert werden, dass die
Haltebremse die vorgesehene Bremswirkung entfaltet. Die Funktion Sicherer Bremsentest (SBT)
ersetzt bisher allein durch organisatorische und
manuelle Arbeiten durchzuführende Maßnahmen
durch einen automatischen Test, der bei negativem
Ergebnis ein Stillsetzen der Anlage und Signalisierung des Fehlers ermöglicht. Dies führt zu
einer wesentlichen Reduzierung des Instandhaltungsaufwandes.
Die Sichere Bremsenansteuerung (SBC) liefert
ein sicheres Ausgangssignal zur Ansteuerung einer
externen mechanischen Bremse. Bei den verwendeten Bremsen muss es sich um so genannte Sicherheitsbremsen handeln, bei welchen ein Ruhestrom
gegen eine Federkraft arbeitet. Wird der Stromfluss
unterbrochen, fällt die Bremse ein. Ansteuermodule
enthalten häufig eine Leistungsabsenkung bei
gelüfteter Bremse, um den Energieverbrauch bzw.
die Erwärmung der Bremse zu reduzieren. Je nach
Risikoanalyse wird ein sicherer Bremsentest benötigt, der Fehler während des Betriebs aufdeckt.
An Achsen mit hängenden Lasten kommen oft
Halte- oder Betriebsbremsen zum Einsatz. Neben
der Bremse ist auch die Ansteuerung der Bremse
ein wichtiger Bestandteil der Sicherheitsfunktion.
Die Funktion Sichere Bremsenansteuerung (SBC)
Sicherer Bremsentest
7-20
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.4 Sicherheitsfunktionen
Wartung
Sicherer Bremsentest
(SBT)
Muting
Sichere Drehrichtung
(SDI)
Einrichten
Sicher begrenzte
Geschwindigkeit
(SLS)
Bediener Prozesseingriff
Sicherer Stopp 2
(SS2)
Sicherheitsfunktionen am Beispiel einer Verpackungsmaschine.
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
7-21
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.5 Systembetrachtung
Bei der sicheren Antriebstechnik verschmelzen zwei
Themengebiete miteinander, die einzeln betrachtet
schon einen hohen Komplexitätsgrad aufweisen.
Die Herausforderung besteht darin, eine für den
Anwender transparente und nachvollziehbare
Logik im Lebenszyklus einer Safe Motion-Anwendung bereitzustellen. Die Schwierigkeit bei der
Projektierung bzw. Auswahl von sicheren Antriebskomponenten ist, die unterschiedlichen Einflussfaktoren auf Anforderungen an die Produkte zu
übertragen. Oder anders formuliert: Aus welchen
Vorgaben lassen sich welche Parameter ableiten,
um Produkte für eine optimale sichere Antriebslösung auszuwählen?
Vorgehensweise für die Auslegung und Auswahl einer sicheren Antriebslösung.
7-22
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.5 Systembetrachtung
Das Maschinendesign bzw. die vom Endkunden
geforderte Funktionalität bestimmt im Wesentlichen
die verwendete Antriebstechnik sowie die Art und
Weise, wie die Maschine steuerungstechnisch betrieben wird. Daraus abgeleitete Parameter sind:
• wieviele Antriebsachsen?
• werden Servoverstärker oder
Frequenzumrichter eingesetzt?
• sind die Antriebe dezentral – also außerhalb
des Schaltschrankes – platziert?
• welche sicheren Antriebsfunktionen werden
benötigt, wie sollen diese parametriert werden?
• handelt es sich bei der zu überwachenden
Bewegung um eine Bahnkurve, synchrone
Antriebsachsen oder im einfachsten Fall um
eine Einzelbewegung?
Die normativen Vorgaben aus B- und C-Normen
bzw. die Risikoanalysen ergeben die Anforderung
bezüglich der Sicherheitsintegrität (SIL und PL).
Diese haben natürlich auch Einfluss auf die benötigten Sicherheitsfunktionen. Die Reaktionszeiten
der sicheren Antriebskomponenten sind Teil der
Gesamtauslegung der Maschine und müssen in
einem iterativen Prozess abgestimmt werden. Hier
spielen z. B. Nachlaufwege, Sicherheitsabstände,
Trägheiten der bewegten Massen oder das
Reaktionsvermögen der Maschinensteuerung
eine entscheidende Rolle.
Allgemeine Anforderungen können z. B. sein, ob die
Maschine mit sicheren Antriebsfunktionen nachgerüstet werden soll. Dann müssen unter Umständen
bestehende Komponenten weiterhin Verwendung
finden, was häufig für eine externe Sicherheitslösung
spricht. Diese Kriterien und Parameter müssen zu
einem Konzept verarbeitet werden. Das Ergebnis
ist eine sichere Antriebslösung, welche aus marktüblichen Komponenten besteht.
7.5.1 Antriebselektronik
Moderne Frequenzumrichter oder Servoverstärker
verfügen heute über einen integrierten sicheren
Abschaltpfad, über den die Sicherheitsfunktion
STO ausgeführt werden kann. Dieser Abschaltpfad
ist in der Regel über ein Klemmenpaar von außen
zugänglich und muss an 24 V DC angeschlossen
sein. Wird die Sicherheitsfunktion nicht verwendet,
liegen an den Klemmen dauerhaft 24 V DC an.
Wird der Abschaltpfad als STO oder als sichere
Wiederanlaufsperre verwendet, müssen die
Klemmen mit einem sicheren Ausgang einer
Sicherheitssteuerung oder einem Sicherheitsschaltgerät verbunden werden. Hierbei ist darauf
zu achten, dass der Testtakt des sicheren Ausgangs
nicht zum Auslösen der Sicherheitsfunktion führt.
Als Gegenmaßnahme verwendet man einen Eingangsfilter mit entsprechender Verzögerungszeit.
Je nach Ausführung steht ein Rücklesepfad zur
Fehlererkennung zur Verfügung, um eine höhere
Sicherheitsintegrität zu erreichen.
Die Vorteile der antriebsintegrierten
Abschaltung liegen hauptsächlich
• im geringeren Verdrahtungsaufwand
• dem schnellen Wiederanlauf
da der Zwischenkreis geladen bleibt
• der kurzen Reaktionszeit (gemessen von der
fallenden Flanke am Eingang bis zur Abschaltung
der Optokoppler liegt die Reaktionszeit im
Bereich weniger Millisekunden)
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
7-23
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.5 Systembetrachtung
7.5.2 Motor
7.5.3 Sichere Logik
Die relevanten Eigenschaften von Motoren
bezüglich ihrer Verwendung in sicherheitsbezogenen Systemen sind
Sicherheitsschaltgeräte oder Sicherheitssteuerungen können in Systemen mit sicheren
Antriebsfunktionen je nach Anwendung folgende
Aufgaben übernehmen:
• die Bewegungsart (rotierend, linear)
• Beschleunigungsvermögen (massenträger
Asynchronmotor oder luftgelagerter Linearantrieb)
• integrierter Motorgeber
• integrierte Haltebremse, die ins
Sicherheitskonzept einbezogen ist
Das Beschleunigungsvermögen des Motors
hat Einfluss auf die maximal zulässige Gesamtreaktionszeit des Systems. Hochdynamische
Linearmotoren verfügen über extrem kleine elektrische Zeitkonstanten der Wicklung und über
eine hohe Überlastfähigkeit, so dass in wenigen
Millisekunden ein Vielfaches der Nennkraft anliegt.
Resolver sind als Motorgeber in der Servoantriebstechnik weit verbreitet. Sie werden in rotierenden
Motoren eingesetzt, sind robust und kostengünstig.
Das Messsystem liefert eine absolute Position
innerhalb einer Motorumdrehung, ist aber aufgrund
des Funktionsprinzips in der Auflösung beschränkt.
Resolversignale können von sicheren Überwachungskomponenten nur selten ausgewertet
werden. Deshalb sind bei sicherheitsbezogenen
Anwendungen mit Bewegungsüberwachung Motorgebersysteme mit Sinus-/Cosinus-Analogspuren
vorzuziehen. Motorgebersysteme mit volldigitaler
Schnittstelle können nur mit speziellen, herstellerspezifischen Sicherheitskomponenten überwacht
werden. Fremdprodukte können nicht angeschlossen werden.
7-24
• Auswertung von Sensoren von
Schutzeinrichtungen
• Aktivieren von Sicherheitsfunktionen
• Abschalten der Antriebe
• Auswerten der Zustände von sicher überwachten
Antriebsachsen in einem Mehrachssystem
• Herstellen der Gesamtsicherheit der Anlage
• Vorgabe von neuen Grenzwerten
während des Betriebs
• Schnittstelle zwischen der Antriebssteuerung
und den Sicherheitsfunktionen
Die sichere Logik kann entweder als eigenständige
externe oder als antriebsintegrierte Komponente
realisiert sein. Sie ist die Schnittstelle zwischen
Sensoren von Schutzeinrichtungen und der sicheren
Überwachungseinheit. Mit antriebsintegrierten
Lösungen sind einfache Funktionen in Einzelachsensystemen kostengünstig möglich. Sensoren
werden direkt am Antrieb angeschlossen und ausgewertet. Durch die begrenzte Anzahl an sicheren
Schnittstellen ist eine Querkommunikation zwischen
den Antrieben und komplexe Verknüpfungen nicht
möglich. Die Zykluszeit der Sicherheitssteuerung
muss in die Betrachtung der Gesamtreaktionszeit
einfließen. Sie bewegt sich, je nach Größe des
Anwenderprogramms, im Bereich 50 … 200 ms und
ist somit dominant gegenüber der Verzögerung im
Abschaltpfad. Zusätzlich muss eine Verzögerungszeit bei sicheren digitalen Eingängen berücksichtigt
werden, die auf Grund von Eingangsfiltern entsteht.
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.5 Systembetrachtung
7.5.4 Sichere Bremse
7.5.5 Bewegungsüberwachung
Greifen an den Abtriebswellen von Motoren oder
Getrieben Kräfte an, die bei abgeschaltetem Motor
eine Bewegung zur Folge hätten, müssen mechanische Bremsen eingesetzt werden. Beispielhafte
Anwendungen sind Vertikalachsen oder Motoren
mit großen Massenträgheiten. Der Betrieb von Vertikalachsen stellt im Sinne der Sicherheitstechnik
eine besondere Situation dar. Das sonst in der
Sicherheitstechnik angewendete Fail-safe-Prinzip –
das Abschalten der Antriebsenergie im Fehlerfall –
führt zu keinem sicheren Zustand, da herunterfallende Lasten eine Gefährdung zur Folge haben.
Als Maßnahme werden mechanische Bremsen
eingebaut, die ihre Funktionsfähigkeit in speziellen
Wiederholungsprüfungen ständig nachweisen
müssen. Ähnlich wie bei den Gebersystemen
gibt es bezüglich der Sicherheitsanforderungen
verschiedene Ausführungen. Die Zweikanaligkeit
kann entweder durch zwei eigenständige Bremsen
oder durch eine Bremse mit zwei getrennten Bremskreisen erfolgen. Zwei separate Bremsen haben
den Vorteil, dass Sie Fehler innerhalb von mechanischen Übertragungselementen zwischen Antrieb
und Prozess abdecken können. Bei der Auslegung
von Bremsen kommt es sehr auf das Design der
Maschine und das gesamte Sicherheitskonzept an.
Die Bewegungsüberwachung hat zwei Hauptaufgaben: Zum einen muss sie eine Verletzung von
Grenzwerten erkennen und daraufhin eine geeignete
Reaktionsfunktion auslösen. Zum anderen muss
sie mögliche Fehler des Gebersystems erkennen,
um dann ebenfalls eine geeignete Fehlerreaktionsfunktion auszulösen. Beide Funktionen hängen
sehr stark mit der Verfügbarkeit des Antriebssystem
zusammen. Verrauschte Signale oder schlecht
eingestellte Regelkreise können dazu führen, dass
sensibel ausgelegte Überwachungsmechanismen
Reaktionsfunktionen auslösen und damit die Verfügbarkeit der Anlage herabsetzen. Eine ordnungsgemäße Schirmung der Motor- und Geberleitungen
ist dabei zwingend erforderlich. Über Hystereseoder Filtereinstellungen können die Algorithmen
der Überwachungsfunktionen appliziert werden.
Die Reaktionszeiten dieser Komponente liegen im
Bereich weniger Millisekunden. Die Bewegungsüberwachung ist sowohl als externe als auch als
antriebsintegrierte Lösung verfügbar. Die integrierte
Lösung hat bezüglich Verdrahtungsaufwand
und Komfort deutliche Vorteile gegenüber einem
externen Gerät. Nachteile sind die höheren Aufwendungen bei der Nachrüstung bei bestehenden
Anlagen und die Abhängigkeit vom verwendeten
Umrichter. Das bedeutet, dass sowohl die antriebstechnischen Eigenschaften als auch die Schnittstellen und die Leistungsfähigkeit der Sicherheitsfunktionen zur Applikation passen müssen. Mit
einer externen Überwachungseinheit können
Sicherheitsfunktionen bei Frequenz- als auch bei
Servoumrichtern verschiedener Leistungsklassen
und Hersteller einheitlich umgesetzt werden.
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
7-25
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.5 Systembetrachtung
7.5.6 Bewegungssteuerung
Die Bewegungssteuerung ist nach heutigem Stand
eine nicht sichere Antriebskomponente. Je nach
Aufgabenstellung sind die Funktionen antriebsintegriert oder werden von einer externen
Steuerung mittels Feld- oder Antriebsbus ausgeführt. Die klassische Einteilung der Steuerungen
erfolgt gemäß der geforderten Bewegung.
Bewegung
Steuerung
Sichere Bewegungsüberwachung
Positionierung einer Einzelachse
Positioniersteuerung
Überwachung der Einzelachse
antriebsintegriert oder extern
Elektronische Kurvenscheibe
(synchrone Bewegungen)
Motion Control Steuerung
Grenzwert und Überwachung müssen je
Antriebsachse betrachtet werden. Zustände
der einzelnen Achsen werden in einer zentralen
sicheren Logik ausgewertet.
Bahnkurve
(resultierende Bewegung)
NC oder RC Steuerung
Sichere zentrale Berechnung der aktuellen
Position aus den Positionen der Einzelachsen.
7.5.7 Realisierungsbeispiele
Servoumrichter mit antriebsintegrierter
Bewegungsüberwachung und sicherer
Pulssperre für die Abschaltung
Die Auswertung von Sensoren übernimmt
beispielsweise eine sichere Kleinsteuerung, die
über eine sichere E/A-Kopplung die Sicherheits-
funktionen im Antrieb aktiviert. Zur Motorführung
und Positionierung hat der Servomotor einen
Sinus-/Cosinus-Motorgeber integriert. Die
Reaktionszeit bis zur Aktivierung der Sicherheitsfunktion liegt im Bereich von 60 ms,
die Reaktionszeit bei einer Verletzung von
Grenzwerten < 10 ms.
Realisierungsbeispiel mit Servoverstärker.
7-26
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.5 Systembetrachtung
Sicher überwachter Antrieb mit
Frequenzumrichter und Asynchronmotor
Ein Inkrementalgeber dient zur Erfassung der
Bewegung. Ein Sicherheitsschaltgerät oder eine
sichere Kleinsteuerung mit Bewegungsüberwachung werten die Sensorsignale aus und
lösen im Fehlerfall die STO-Funktion aus.
Realisierungsbeispiel mit Frequenzumrichter.
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
7-27
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.6 Beispiele für Safe Motion
7.6.1 Performance Level
von Sicherheitsfunktionen
7.6.1.1 Normative Basis
Für die Ermittlung des erreichten Sicherheitsniveaus
des sicherheitsrelevanten Teils einer Steuerung
stehen mehrere Normen (Sicherheitsgrund- und
Sicherheitsfachgrundnormen; Typ A- und Typ BNormen) zur Verfügung. Im Bereich des Maschinenbaus wird in der Regel die EN ISO 13849-1 angewendet. Das zu erreichende Sicherheitsniveau
kann für viele Maschinen den jeweiligen Maschinensicherheitsnormen (Typ C-Normen) entnommen
werden (Pressen ➔ EN 692, EN 693; Roboter ➔
EN ISO 10218-1, Verpackungsmaschinen ➔ EN 415).
Stehen keine C-Normen für ein Produkt zur
Verfügung, sind die Anforderungen aus den
A- und B-Normen abzuleiten.
7.6.1.2 Sichere Stoppfunktion
Exemplarisch sei hier die Sicherheitsfunktion „NotHalt bei Eingriff in Lichtvorhang“ betrachtet, die eine
sichere Stoppfunktion für eine motorisch angetriebene Achse darstellt. Die nachfolgend beschriebene
Methodik basiert auf der EN ISO 13849-1 und kann
so nur dann angewendet werden, wenn alle Teilelemente der Sicherheitsfunktion über einen eigenen
Performance Level verfügen. Es handelt sich dabei
in der Terminologie der Norm um eine Reihenschaltung von sicherheitsrelevanten Teilen einer
Steuerung (SRP/CS).
Verwendet werden in diesem Beispiel ein Lichtvorhang, eine konfigurierbare Sicherheitssteuerung
sowie ein Servoverstärker mit integrierten Sicherheitsfunktionen. Am Servoverstärker ist ein Servomotor mit Feedbacksystem angeschlossen.
Die Risikoanalyse lässt eine Stoppkategorie 1
für die Achse zu.
Struktur der Sicherheitsfunktion.
7-28
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.6 Beispiele für Safe Motion
Das Blockdiagramm zeigt die logische Struktur der Sicherheitsfunktion,
die aus der Reihenschaltung der sicherheitsrelevanten Teilschaltungen besteht.
Ermittlung des Performance Levels der Gesamtschaltung
EN ISO 13849-1: Tabelle 11 – Berechnung des PL für die Reihenschaltung von SRP/CS
PLniedrig
a
b
c
d
e
Nniedrig
➔
PL
>3
➔
kein PL, nicht erlaubt
≤3
➔
a
>2
➔
a
≤2
➔
b
>2
➔
b
≤2
➔
c
>3
➔
c
≤3
➔
d
>3
➔
d
≤3
➔
e
Anmerkung: Die für das Nachschlagen berechneten
Werte basieren auf Zuverlässigkeitswerten für die
Mitte jedes PL.
Im Beispiel der sicheren Stoppfunktion verfügen
alle drei beteiligten Komponenten über einen
Performance Level e. Damit ist auch der niedrigste
Performance Level einer sicherheitsrelevanten
Teilschaltung (SRP/CS) ebenfalls PL e. In der
Terminologie der Norm verfügt man damit über:
• 3 x SRP/CS mit jeweils PL e
• der niedrigste Performance Level der
3 Teilschaltungen (SRP/CS) = PL e und
wird dem Parameter PLniedrig zugewiesen
• der niedrigste Performance Level tritt
in 3 Teilschaltungen auf und deshalb ist
der Parameter Nniedrig = 3
Geht man mit diesen Angaben in die Tabelle 11
der Norm, dann ergibt sich als Gesamteinstufung
für das Beispiel ein PL e.
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
7-29
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.6 Beispiele für Safe Motion
7.6.1.3 Sichere Stoppfunktion an Vertikalachsen
Betrachtet man die potenziellen Risiken an Servoachsen, dann eignet sich eine Vertikalachse gut
als Beispiel, um auch den mechatronischen Blick zu
schärfen. Die Abschaltung der Energieversorgung
reicht nicht aus, um eine Achse in einen sicheren
Zustand zu bringen. Das Eigengewicht der Last
genügt in vielen Fällen, um die Achse absinken zu
lassen. Masse und Reibung bestimmen die dabei
auftretende Geschwindigkeit. Im Rahmen der
Risikoanalyse werden die potentiellen Gefahren in
den verschiedenen Betriebsarten der Maschine
und bei den durch die Werker durchzuführenden
Arbeiten analysiert. Daraus werden anschließend
die notwendigen Maßnahmen abgeleitet. Bei Vertikalachsen hängen die zu treffenden Maßnahmen im
Wesentlichen davon ab, ob ein Werker mit seinem
kompletten Körper unter die Vertikalachse treten
kann oder ob sich nur Arme und Hände unter der
Vertikalachse befinden. Ein weiterer Aspekt ist
die Häufigkeit, mit der man sich im Gefahrbereich
aufhalten muss. Aus der Summe dieser Faktoren
ergibt sich der für die Sicherheitsfunktionen zu
erreichende „Performance Level“.
Aufbauend auf dem Beispiel „Sichere Stoppfunktion“ wird die Struktur noch um eine Bremse
erweitert. Gängig sind sowohl Halte- als auch
Betriebsbremsen.
Struktur der Sicherheitsfunktion.
7-30
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.6 Beispiele für Safe Motion
Das Blockdiagramm zeigt die logische Struktur der Sicherheitsfunktion,
die aus der Reihenschaltung der sicherheitsrelevanten Teilschaltungen besteht.
Ermittlung des Performance Levels
der Haltebremse
Mit folgenden Annahmen, die in Bezug zur
Anwendung des Bauteils getroffen worden sind:
Hier wird der Anwender der EN ISO 13849-1
mit einem der positiven Ansätze dieser Norm
konfrontiert. Die Norm ermöglicht nicht nur die
Betrachtung des elektrischen Teils der Sicherheitsfunktion, sondern auch des mechanischen,
hydraulischen und pneumatischen Anteils.
• hop ist die mittlere Betriebszeit in Stunden je Tag
• dop ist die mittlere Betriebszeit in Tagen je Jahr
• tzyklus ist die mittlere Zeit zwischen dem
Beginn zweier aufeinander folgenden Zyklen
des Bauteils (z. B. Schalten eines Ventils)
in Sekunden je Zyklus
Die in diesem Beispiel verwendete Haltebremse
verfügt jedoch über keinen Performance Level, da
dieser nur für intelligente Bauteile angegeben werden
kann. Der Hersteller der Bremse kann nur einen
B10d-Wert zur Verfügung stellen, da er den genauen
Einsatz seiner Komponenten in den Applikationen
nicht kennt und deshalb nur eine Aussage bezüglich
der Schaltzyklen bis zu einem Ausfall seiner Komponente machen kann. Der Konstrukteur, der den
sicherheitsrelevanten Teil der Steuerung plant, muss
jetzt die Zeit berechnen, die bis zu einem gefährlichen Ausfall des Bauteils verstreicht. Bei dieser
Berechnung ist neben dem B10d die mittlere Zeit,
die zwischen zwei aufeinander folgenden Zyklen
vergeht, der wesentliche Faktor, der den Wert des
MTTFd beeinflusst.
In der Annahme, dass die Berechnung des MTTFd
der Haltebremse einen Wert von > 100 Jahren ergibt, führt dies zu einer Einstufung des MTTFd von
„HOCH“. Die EN ISO 13849-1 stellt für eine vereinfachte Ermittlung des Performance Levels eine
Grafik zur Verfügung. Um aus dieser Grafik jetzt den
Performance Level ablesen zu können, fehlt noch
der Diagnosedeckungsgrad DC. Für die Ermittlung
des Diagnosedeckungsgrades ist es wichtig, ob
durch Tests alle denkbaren Fehler erkannt werden
können. Auf Basis dieser Überlegung ist eine hohe
Einstufung dann möglich, wenn ein sicherer Umrichter zur Ansteuerung des Motors verwendet wird
und die Haltebremse vor jedem Zugang zur Gefahrstelle automatisch getestet wird. Hierzu wird ein
Moment mit Faktor 1,3 zum Nennhaltemoment
der Bremse aufgebaut und dann mindestens eine
Sekunde gewartet. Hält die Achse während des
gesamten Tests ihre Position, kann davon ausgegangen werden, dass die Haltebremse in Ordnung
ist. Eine Festlegung des Diagnosedeckungsgrades
auf 99 % ist auf dieser Basis möglich.
MTTFd =
nop =
B10d
0,1 x nop
d op x h op x 3600 s/h
t Zyklus
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
7-31
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.6 Beispiele für Safe Motion
PFH/h-1
10-4
a
10-5
b
3x10-6
c
10-6
d
10-7
e
10-8
Performance Level
3 Jahre
10 Jahre
30 Jahre
100
Jahre
■ MTTFoc = low, ■ MTTFoc = medium, ■ MTTFoc = high
Kat B
DCavg
= keine
Kat 1
DCavg
= keine
Kat 2
DCavg
= low
Kat 2
DCavg
= med.
Kat 3
DCavg
= low
Kat 3
DCavg
= med.
Kat 4
DCavg
= high
Graph zur Bestimmung des PL nach EN ISO 13849-1.
Geht man mit diesen Angaben in die Tabelle 11
der EN ISO 13849-1 zur vereinfachten Berechnung,
ergibt sich als Gesamteinstufung für das Beispiel ein
PL d. Im Unterschied zum Beispiel sichere Stoppfunktion (ohne Bremse) greift jetzt ein Reduktionsfaktor: Gemäß der EN/ISO 13849-1 reduziert sich
der erreichte Performance Level um eine Stufe,
wenn mehr als drei Teilschaltungen mit PLniedrig an
der Gesamtschaltung beteiligt sind. Eine ausführliche Berechnung mit den erreichten PFHD-Werten
kann in diesem Fall durchaus ein PL e zeigen.
Hier bieten sich Software-Tools wie der
Safety Calculator PAScal an.
Damit liegen nun folgende Daten vor:
• Kategorie = 4
• MTTFd = hoch
• DC = hoch
Geht man mit diesen Daten in die Grafik,
dann kann ein PL e abgelesen werden.
Ermittlung des Performance Levels
der Gesamtschaltung
Im dargestellten Beispiel der sicheren Stoppfunktion
einer Servoachse mit Haltebremse verfügen alle vier
beteiligten Komponenten über einen Performance
Level e. Damit ist auch der niedrigste Performance
Level einer Teilschaltung ebenfalls PL e. In der
Terminologie der Norm verfügt man damit über:
Safety Calculator PAScal
• 4 x SRP/CS mit jeweils PL e
• der niedrigste Performance Level der
4 Teilschaltungen (SRP/CS) = PL e und
wird dem Parameter PLniedrig zugewiesen
• der niedrigste Performance Level tritt in
4 Teilschaltungen auf und deshalb ist der
Parameter Nniedrig = 4
7-32
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.6 Beispiele für Safe Motion
7.6.1.4 Tippfunktion mit
Sicher begrenzter Geschwindigkeit (SLS)
Durch die Funktion Sicher begrenzte Geschwindigkeit (SLS) können heute in der Regel Tippfunktionen
bei offenen Schutzgittern realisiert werden. Das
als ungefährlich einstufbare Schrittmaß ist hierbei
von der jeweiligen Applikation abhängig. Hilfreich
kann dabei die Betrachtung der EN 349 und der
EN 999 sein.
Struktur der Sicherheitsfunktion.
Das Blockdiagramm zeigt die logische Struktur der Sicherheitsfunktion,
die aus der Reihenschaltung der sicherheitsrelevanten Teilschaltungen besteht.
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
7-33
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.6 Beispiele für Safe Motion
Ermittlung des Performance Levels
der Gesamtschaltung
Die Tippfunktion mit Sicher begrenzter Geschwindigkeit (SLS) gleicht strukturell der in Kapitel 7.6.1.2
behandelten sicheren Stoppfunktion. Der wesentliche Unterschied sind die für die Tippfunktion
verwendeten Taster und die Auswirkungen auf die
Berechnung des Performance Level. Drucktaster
(Zustimmschalter) sind in der EN ISO 13849-1
mit einem B10d von 100 000 angegeben. Für
die Berechnung des MTTFd ist die Zeit zwischen
zwei Betätigungen (Zyklen) der wesentliche Faktor.
Berechnungsformel für MTTFd
MTTFd =
nop =
B10d
0,1 x nop
d op x h op x 3600 s/h
t Zyklus
Mit folgenden Annahmen, die in Bezug zur
Anwendung des Bauteils getroffen worden sind:
• hop ist die mittlere Betriebszeit in Stunden je Tag
• dop ist die mittlere Betriebszeit in Tagen je Jahr
• tzyklus ist die mittlere Zeit zwischen dem
Beginn zweier aufeinander folgenden Zyklen
des Bauteils (z. B. Schalten eines Ventils)
in Sekunden je Zyklus
7-34
Annahmen:
• B10d = 100 000
• hop = 16 h/Tag
• dop = 220 T/Jahr
Berechnung MTTFd:
• tZyklus = 5 s
➔ MTTFd = 0,395 Jahre
• tZyklus = 3 600 s ➔ MTTFd = 284,1 Jahre
Wie das Beispiel mit einer zyklischen Betätigung im
Abstand von 5 s zeigt, ist mit einem B10d-Wert von
100 000 im besten Falle nur noch ein PL c erreichbar. Dabei zeigt sich sehr deutlich, dass der Einsatzbereich von verschleißbehafteten Komponenten
direkt in die Berechnung des Performance Levels
eingeht und somit Einfluss auf das erreichbare
Sicherheitsniveau hat. Der Konstrukteur muss sich
also den Einsatzbereich seiner Komponenten in der
jeweiligen Applikation sehr genau anschauen. Auch
wenn die EN ISO 13849-1 100 000 Zyklen als B10d
angibt, kann es durchaus spezielle Komponenten
geben, die mit einem größeren B10d-Wert angeboten werden. Wird in einer Applikation ein Taster
als Not-Halt-Befehlsgerät eingesetzt, wird dieser
sicher nicht konstant im 5-Sekunden-Raster betätigt. Eine völlig andere Situation ergibt sich,
wenn ein Taster als Befehlsgerät für die zyklische
Auslösung eines Maschinenzyklus verwendet wird
und beim Loslassen einen sicheren Stopp einleiten
muss. Ist ein hoher Performance Level gefragt,
werden die im Beispiel genannten Werte, unter
Umständen zum Problem.
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.6 Beispiele für Safe Motion
7.6.1.5 Muting mit Sicherer Drehrichtung (SDI)
Struktur der Sicherheitsfunktion.
Das Blockdiagramm zeigt die logische Struktur der Sicherheitsfunktion,
die aus der Reihenschaltung der sicherheitsrelevanten Teilschaltungen (SRP/CS) besteht.
Die Funktion Sichere Drehrichtung (SDI) wirkt sich in
Verbindung mit Lichtvorhängen mit Mutingschaltung
positiv auf die Sicherheit aus, weil während der
Mutingphase auch die zugehörige Drehrichtung
der Antriebsachse überwacht wird und im Fehlerfall
eine sichere Abschaltung folgt.
Ermittlung des Performance Levels
der Gesamtschaltung
Die Performance Level entspricht dem Ergebnis
im Beispiel sichere Stoppfunktion.
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
7-35
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.6 Beispiele für Safe Motion
7.6.1.6 Schutzraumabsicherung
mit sicherer kamerabasierter Lösung
Bisher war das Zusammenwirken von Mensch
und Roboter stark von fest montierten Schutzeinrichtungen geprägt. Eine moderne kamerabasierende Lösung bietet hier ganz neue Möglichkeiten.
Der Schutzraum umfasst alle drei Dimensionen,
ein einziges Gerät leistet sämtliche Anforderung
beim Zugang zu einer Gefahrstelle sowie darüber
hinaus noch einen Schutz gegen ein Übersteigen
und Unterkriechen der Schutzzone. Die einzeln
projektierbaren Schutzräume ermöglichen auch
die Reduktion von Geschwindigkeiten der im
überwachten Bereich aktiven Achsen bei einer
Annäherung.
Struktur der Sicherheitsfunktion.
7-36
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
Kapitel 7
Sichere Bewegungssteuerung/Safe Motion
7.6 Beispiele für Safe Motion
Blockdiagramm der Sicherheitsfunktionen.
Ermittlung des Performance Levels
der Gesamtschaltung
Es ergibt sich ein Performance Level d.
7.6.2 Reaktionszeiten von Sicherheitsfunktionen
Blockdiagramm der Sicherheitsfunktionen.
Bei der Berechnung eines Sicherheitsabstandes
gehen mehrere Randbedingungen ein.
Ermittlung der Reaktionszeit
bei externen Befehlen
Wirkt ein Not-Halt-Taster auf ein Auswertegerät, so
addiert sich dessen Reaktionszeit zu der Reaktionszeit der antriebsintegrierten Sicherheitsfunktion.
Dazu ist zusätzlich jene Zeit zu addieren, die eine
beschleunigte Achse bis zum Stillstand benötigt:
• treak = tmulti + tPMC + trampe
• tmulti = Reaktionszeit des Auswertegeräts
liegt bei ca. 20 ms
• tPMC = Reaktionszeit der antriebsintegrierten
Sicherheitsfunktionen auf externe Signale
beträgt 6 ms
• trampe = Rampenzeit bis zum Stillstand hängt
von der bewegten Masse, Geschwindigkeit und
weiteren applikationsabhängigen Daten ab
Ermittlung der Reaktionszeit bei
Grenzwertverletzungen
Spricht eine Überwachungsschaltung einer
antriebsintegrierten Sicherheitsfunktion an,
ist zusätzlich die Zeit zu addieren, die die
beschleunigte Achse bis zum Stillstand benötigt.
• treak = tPMC + trampe
Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland
Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: pilz.gmbh@pilz.de
2008-11
© Pilz GmbH & Co. KG, 2008
7-37
Was this manual useful for you? yes no
Thank you for your participation!

* Your assessment is very important for improving the work of artificial intelligence, which forms the content of this project

Download PDF

advertising