Suchen

Erfahrungsbericht: Funktionale Sicherheit in der Antriebstechnik

Autor / Redakteur: Stefan Angele, Martin Bayer * / Gerd Kucera

Maschinensicherheit ist komplex, mit zentralen Vorschriften und Normen. Der Artikel skizziert die gezielte Team-Arbeit zweier Experten zur Integration funktionaler Sicherheit in einen Motion Controller.

Firmen zum Thema

Bild 1: Anwendungen von sicherheitsrelevanten Funktionen sind unter anderem in Motion Controllern für Bestückautomaten vorgeschrieben.
Bild 1: Anwendungen von sicherheitsrelevanten Funktionen sind unter anderem in Motion Controllern für Bestückautomaten vorgeschrieben.
(Bild: FAULHABER)

Die normgerechte und manipulationsresistente Sicherheit in der Automation darf nicht im Widerspruch zur Verfügbarkeit der Maschine stehen, denn kurze Stillstandzeiten sind ein wichtiger Produktionsfaktor. Ein neuer Motion Controller sollte daher zwei Forderungen auf einen Nenner bringen: schnelle Prozesszeiten durch eine Minimierung der Interaktionszeit zwischen Sicherheitsfunktion und Antriebssteuerung sowie maximale Sicherheit für den Maschinenbedienern. Antriebstechnikhersteller FAULHABER hat mit dem ausgewiesenen Experten für funktionale Sicherheit, Systemtechnik LEBER, innerhalb von zwei Jahren diesen neuen Motion Controller der Generation V3.0 zur Serienreife gebracht.

Wie diese kooperative Entwicklungsarbeit ablief und welche technischen Aufgaben zu lösen waren, ist nachfolgend beschrieben. Die Grundprinzipien einer Elektronikentwicklung sind zwar immer ähnlich, doch die fundierte Branchenkenntnis ist unerlässlich, insbesondere wenn es auch um Normen und Zulassungen geht.

Für drehzahlveränderbare elektrische Antriebssysteme sind nach der Norm DIN EN 61800-5-2 Sicherheitsfunktionen definiert, darunter zum Beispiel Safe Torque Off (STO), Safe Stop (SS1 und SS2) und Safely-limited Speed (SLS). Für den neuen Motion Controller sollte die Sicherheitsfunktion STO (gemäß Stoppkategorie 0 nach EN 60204) in einen bestehenden FAULHABER-Antriebscontroller zur Abschaltung des Drehmoments integriert werden. Diese Funktion unterbricht in sicherheitsrelevanten Anwendungen die Energiezufuhr zum Motor, wenn der Bediener beispielsweise unzulässig durch ein Lichtgitter greift. Solche Gefährdungspotenziale gilt es von vornherein zu identifizieren und zuverlässig und sicherheitsgerichtet zu beherrschen.

Gefährdungspotenziale und funktionale Sicherheit

Die Gefährdungspotenziale müssen folgerichtig bereits in der Konzeptphase im Rahmen einer Risikobeurteilung nach der Norm EN ISO 12100 bewertet werden. Im vorliegenden Fall wurde für die Sicherheitsfunktion ein Sicherheitsintegritätslevel von 3 ermittelt, da in den typischen Zielanwendungen entweder mit schwerwiegenden oder gar katastrophalen Auswirkungen wie beispielsweise Verlust von Fingern oder gar eines Armes zu rechnen ist, und/oder die Häufigkeit oder Wahrscheinlichkeit der Exposition als entsprechend hoch angenommen werden muss. In der Maschinen-Welt nach EN ISO 13849-1 entspricht dies einem Performance Level e und über diesen PL e kann man, anschaulicher als die EN 61508 dies vorlebt, die Architektur ableiten, welche, wie in Industrieanwendungen für diese Level üblich, auch hier zweikanalig ausgeführt wird.

Da die Sicherheitsfunktion STO eine sehr einfache Funktion ist, kann sie vollständig mit „Typ A Elementen“ realisiert werden, also mit einfachen Logikgattern und ohne spezielle Mikrocontroller. Die Sicherheitsfunktion ist von den eigentlichen Funktionen des Antriebsreglers getrennt realisiert, das heißt sie reagiert unabhängig vom Zustand des Motor-Controllers nur in Abhängigkeit der STO-Eingangssignale oder beim Erkennen eines Fehlers in der Sicherheitskette.

STO kann überall dort eingesetzt werden, wo der Antrieb durch das Lastmoment oder durch Reibung innerhalb einer ausreichenden Zeitspanne selbst zum Stillstand kommt, oder wenn das Austrudeln des Antriebs keine sicherheitstechnische Relevanz hat. Das ungesteuerte Stillsetzen (Stoppkategorie 0) schreibt keine Zeiten vor, bis wann der Antrieb stehen muss. Der Anlagenplaner muss daher immer individuell festlegen, ob eine STO-Funktion zum Erreichen der Sicherheitsziele ausreicht, oder ob es gegebenenfalls weiterer Maßnahmen bedarf.

Im vorliegenden Fall wäre (in Kombination mit einer sicheren Bremsenansteuerung SBC) neben einem schnelleren Abbremsen auch eine Anwendung in Vertikalachsen möglich, da bei Abschaltung des Moments ohne weitere Maßnahmen ansonsten die Schwerkraft ihre Wirkung entfaltet. Ein weiterer Vorteil: Wegen der schnellen elektronischen Schaltzeiten hat die integrierte Funktion eine kürzere Reaktionszeit als die elektromechanischen Komponenten einer herkömmlichen Lösung mit einem separaten Sicherheitsschaltgerät. Gerade bei zeitkritischen Systemen mit häufiger Anforderungsrate ist das von besonderem Nutzen.

Eine integrierte Safe-Torque-Off-Funktion ist folglich, gegenüber herkömmlicher Sicherheitstechnik auf Basis von elektromechanischen Schaltgeräten, immer dann die beste Wahl, wenn beim Anlagenbau der Platz für separate Sicherheitskomponenten knapp ist, der Aufwand für deren Verdrahtung und Wartung zu groß oder erhöhte Anforderungen an Prozesszeiten realisiert werden müssen. Mittels STO ist nun ein ungefährdetes Arbeiten bei offener Schutztür an Maschinen und Anlagen mit bewegten Achsen möglich. Das war für die Entwicklung der neuen FAULHABER-Motion-Controller sehr wichtig, da diese vor allem im Einsatzbereich Robotik, Pick & Place (Bestückungstechnik), industrieller Geräte- und Sondermaschinenbau sowie in der Automatisierungstechnik eingesetzt werden sollten.

Die drei Phasen des Entwicklungsprojektes

Bild 2: Stand-Alone-Einsatz der STO-Funktion in Pressen; durch das Betätigen der Lichtschranke unterbricht die STO-Funktion des Controllers den auf der Presse vorhandenen Programmablauf und schaltet diese kraftlos. Sobald die Lichtschranke wieder freigegeben ist, wird der Programmablauf fortgeführt.
Bild 2: Stand-Alone-Einsatz der STO-Funktion in Pressen; durch das Betätigen der Lichtschranke unterbricht die STO-Funktion des Controllers den auf der Presse vorhandenen Programmablauf und schaltet diese kraftlos. Sobald die Lichtschranke wieder freigegeben ist, wird der Programmablauf fortgeführt.
(Bild: FAULHABER)

Zur Integration der STO-Funktion in seinen Antriebscontroller arbeitete FAULHABER mit den Ingenieuren von Systemtechnik LEBER zusammen, weil das Projekt für das schwäbische Antriebsunternehmen das erste im Bereich der funktionalen Sicherheit war. Systemtechnik LEBER ist spezialisiert auf Elektronikentwicklungen und zählt schon seit 2013 TÜV-zertifizierte „Functional Safety Engineers“ zum Mitarbeiterstamm.

Nach Vorgaben der FAULHABER-Entwicklungsabteilung wurde auf Basis der bestehenden Ansteuerelektronik die STO-Funktion integriert – optimiert und an die Baugröße des bestehenden Elektronikbauteils angepasst. Dazu wurde die Neuentwicklung nach Vorgaben der Norm EN 61508 bzw. EN 61800-5-2 und EN ISO 13849-1/-2 dokumentiert und schließlich auch zertifiziert. LEBER begleitete den Produktentwicklungsprozess bis hin zur Serienreife, ebenso die Serienvorbereitung inklusive den Vorgaben zu den Stückprüfungen in der Produktion.

Die Entwicklung umfasste drei Projektphasen, die nachfolgend skizziert werden. Die Projektphase 1 umfasste als Vorphase das Erstellen des Sicherheitskonzeptes, die Klärung normativer Anforderungen und die Risikoanalyse. Als Antriebshersteller ist FAULHABER für die Risikobeurteilung des Produktes verantwortlich. Mit Unterstützung durch Systemtechnik LEBER wurde für die ganzheitliche Betrachtung das Spektrum der Zielanwendungen definiert. Das ist wesentlich, denn das klare Setzen von Grenzen ist für den Projekterfolg essenziell, da auf diese Weise allen Projektbeteiligten deutlich wird, was technisch möglich ist und an welchen Projektstellen möglicherweise Mehrkosten entstehen, die das Produkt unrentabel machen können.

Auf Basis der Vorüberlegungen und der Risikobewertung entstand anschließend das Sicherheitskonzept. Basierend auf einer Normenrecherche wurden dazu neben den Sicherheitsfunktionen weitere zu realisierende Vorgaben abgeleitet. Entsprechend dem FuSi-Lebenszyklus wurden ein Safety Plan und die SRS (Safety Requirement Specification) erstellt sowie die Gesamtplanung (Phase 6-8 nach EN 61508) vorbereitet. Da die Sicherheitsfunktion in ein bereits existierendes Produkt integriert werden sollte, wurde dieses Produkt, der Motion Controller, auf mehrere Möglichkeiten der Umsetzung hin analysiert. Es stellte sich bereits früh im Projektverlauf die elektromagnetische Verträglichkeit als besondere Herausforderung heraus.

Herausforderung EMV und die Zertifizierung

Im konkreten Fall hatten bereits erste entwicklungsbegleitende Messungen der LEBER-Ingenieure ergeben, dass die EMV der für die STO-Erweiterung vorgesehenen Antriebscontroller die technisch notwendige Änderung einer späteren Zertifizierung und EMV-Prüfung nicht ohne weitere Anpassungen standhalten würde. Die kompakte Bauform des Antriebscontrollers standen nicht im Einklang mit den erhöhten Störfestigkeitsanforderungen, die durch die funktionale Sicherheit gestellt waren.

Infolgedessen lag in der ersten Phase der Produktentwicklung einer der Schwerpunkte auf der Analyse der elektromagnetischen Verträglichkeit des Ausgangsprodukts sowie dem Feststellen und Umsetzen notwendiger baulicher Veränderungen bzw. technischer Maßnahmen, etwa dem Hinzufügen von Drosseln und Filtern im Leistungsteil. Zusätzlich musste auch das Zusammenspiel von Trägerplatine und Controller mehrfach getestet werden, da sich für deren Verknüpfung mehrere Möglichkeiten anboten, nämlich Stand-Alone-Einsatz, CAN-Intergration und EtherCAT-Vernetzung.

Erster Design-Zyklus: Die Prototypen-Entwicklung

Nach Freigabe der Ergebnisse aus der Konzept- und Entwurfsphase konnte die tatsächliche Entwicklungsarbeit als Projektphase 2 (Hauptphase) starten. Im ersten Schritt wurden dazu in der Hardware- und Systemspezifikation der Entwicklungsarbeit beschrieben und alle bislang noch abstrakten Überlegungen in den Schaltplan überführt. Parallel dazu erfolgte die Erarbeitung aller Test Cases für Modul- und Validierungstests.

Überblick der Projektphase 2: Entwicklung, Dokumentation, Zulassungs- & Serienvorbereitung und Testing. Auf Grundlage der sorgsam geführten Verwaltung des Elektronikentwurfs und Bauteiledatenbank im EDA-Werkzeug entstand im nächsten Schritt das Hardware-Design für die STO-Funktion, mit dem das Controller-Layout zu erweitern ist.

Herausforderung: Der neue Schaltungsteil musste in ein bereits dicht bepacktes PCB-Design integriert werden. Aufgrund der Vorüberlegungen in Projektphase 1 ließen sich zwei Umsetzungsmöglichkeiten nun näher betrachten.

  • Variante eins: eine aufgesetzte separate PCB;
  • Variante zwei: Vergrößerung des bestehenden Leiterplatten-Layouts um ein paar wenige Millimeter, um für die neuen Komponenten Platz zu schaffen.

Am Ende sprachen mehr Gründe für letztere Option.

Nachdem diese Entscheidung gefallen war, startete nun die Testphase mit den ersten Mustern und genau nach den Vorgaben der Spezifikation. Insbesondere bei den entwicklungsbegleitenden EMV-Tests konnte das Entwickler-Team von der Erfahrung eines zwar nicht akkreditierten, aber dafür lösungsorientierten Ein-Mann-Labors profitieren. Dabei wurden sämtliche Auffälligkeiten aus Verifikation und Validierung in einer sogenannten Findingsliste gesammelt und weiterverfolgt, um für die Überarbeitung und die nächste Version nichts aus den Augen zu verlieren.

Zusätzlich galt es, die gesamte Dokumentation sowie ergänzende Hinweise im Handbuch zum neuen Motion Controller zu erstellen. Um bei der Dokumentation – und damit auch der späteren Baumusterprüfung - auf der sicheren Seite zu sein, kooperierten die LEBER-Ingenieure für das Review der Dokumentation mit einen erfahrenen Experten für Funktionale Sicherheit (FuSi). Auf dieser Basis begleitete Systemtechnik LEBER die Produktzulassung und übernahm in Abstimmung mit dem FuSi-Experten die komplette Kommunikation zum für die Zulassung zuständigen TÜV Nord.

Der Stolperstein Diagnosedeckungsgrad

Kurz vor der Zielgeraden geriet der Projektfluss noch einmal kurz ins Stocken. Denn nach Ausarbeitung der FMEDA (Failure Mode Effects and Diagnostic Analysis – eine der zentralen Methoden zur Verifikation der Sicherheitsfunktion) wurde der erforderliche Diagnosedeckungsgrad für den Sicherheitsintegritätslevel SIL3 und den Performance Level PLe zunächst verfehlt. Dieser wird je nach SIL und Architektur vorgegeben und stellt das Verhältnis erkannter gefährlicher Fehler zur Gesamtzahl gefährlicher Fehler dar.

Die Ursache war schnell gefunden: Bei der FMEDA-Erstellung wurde anfangs nicht korrekt zwischen der Sicherheitsfunktion und den Nicht-Sicherheitsfunktionen getrennt. Grund dafür war unter anderem eine etwas unsaubere Darstellung im Schaltplan.

Es war eigentlich eine kleine Ursache, aber eben mit großer Wirkung: In der Konzeptionsphase wurde das Fehlerbild nicht ausreichend detailliert beschrieben. Daher war unklar, ob der komplette Antriebscontroller auf den Fehlerfall hin zu prüfen ist oder aber nur die neu integrierte STO-Sicherheitsfunktion. Nach der Klärung konnte die FMEDA korrigiert und der geforderte Diagnose- Deckungsgrad erreicht werden. Die neuen Antriebscontroller gingen in Serie.

Projektphase 3 (heiße Phase): vom Muster zum Seriengerät

Nach den Findings aus dem ersten Entwicklungszyklus wurde auf dieser Basis das Design nochmals überarbeitet und unter Beachtung aller Fertigungsvorgaben dann das Qualifizierungsmuster erstellt und getestet. Die Modultests umfassten zunächst alle im eigenen Haus möglichen Tests nach entsprechender Spezifikation. Die Vorgaben zur Validierung erfolgten gemäß EN 61800-5-2 und den Anforderungen aus der Umsetzung; ein Test fand größtenteils bereits entwicklungsbegleitend statt. Sämtliche für die Zulassung erforderlichen Tests wurden anschließend in einem akkreditierten Labor begleitet - unter anderem EMV, Klima- und Vibrationsmessungen.

Tipp: Je nach Projektvorhaben kann es sinnvoll sein, die benannte Stelle bereits in einer früheren Projektphase mit ins Team zu holen. Da die STO-Funktion aber relativ einfach realisierbar und auch das normative Umfeld in dem Bereich sehr gut erschlossen ist, war es für den Ausbau des bestehenden Antriebcontrollers ausreichend, den TÜV erst zu einem relativ späten Zeitpunkt zu konsultieren.

Generell sollte man dies nur dann tun, wenn bei der Produktentwicklung sicher ist, dass sämtliche Vorgaben aus dem normativen Umfeld sind. Denn nichts ist hinderlicher als der kritische Blick der Zertifizierungsstelle in einer späten Projektphase oder gar erst nach Abschluss der Entwicklungsarbeiten, der dann Kursabweichungen aufdeckt. Denn schlimmstenfalls führt deren Korrektur in einen Sog, dessen Umschiffung nur noch mittels eines enormen Kraftakts möglich ist.

Bild 3: 
Zwei Jahre hat FAULHABER in die Erweiterung der neuen Antriebscontroller um die redundante Sicherheitsabschaltung nach dem STO-Prinzip investiert.
Bild 3: 
Zwei Jahre hat FAULHABER in die Erweiterung der neuen Antriebscontroller um die redundante Sicherheitsabschaltung nach dem STO-Prinzip investiert.
(Bild: FAULHABER)

Wichtige Erfahrungen aus dem gemeinsamen Projekt

Nach Freigabe durch den TÜV ging es im nächsten Schritt an die Überführung des Musters in das finale Serienprodukt. Dies erforderte eine genaue Prüfung aller Vorgaben aus der FAULHABER-Fertigung und Beschaffung. Es stand die künftige Produktion im Mittelpunkt, um Stück- und Stichprobenprüfungen zu finalisieren. Und auch der Fertigungsprozess wurde entlang des gesamten Strecke analysiert, um sicherstellen, dass alle Prozesse auf die erweiterten Anforderungen für das neue Sicherheitsprodukt ausgerichtet sind.

Zwei Jahre hat FAULHABER in die Erweiterung der neuen Antriebscontroller um die redundante Sicherheitsabschaltung nach dem STO-Prinzip investiert. Das Ergebnis ist eine erfolgreiche Erweiterung des Portfolios MC V3.0 um eine weitere Baureihe, die in zwei unterschiedlichen Varianten erhältlich ist, nämlich als MC 5004 P STO RS/CO für CANopen-Anwendungen und MC 5004 P STO ET für EtherCAT.

Bild 4: 
Das Erweiterungsmodul MC 5004 P STO ET zum Anschluss des Motion Controllers über EtherCAT. Für CANopen-Anwendungen gibt es das MC 5004 P STO RS/CO.
Bild 4: 
Das Erweiterungsmodul MC 5004 P STO ET zum Anschluss des Motion Controllers über EtherCAT. Für CANopen-Anwendungen gibt es das MC 5004 P STO RS/CO.
(Bild: FAULHABER)

Bei beiden Varianten wird nun auf Anforderung einer Sicherheitseinrichtung – zum Beispiel einer Lichtschranke oder eines Lichtgitters – die angetriebene Einheit sicherheitsgerichtet momentfrei geschaltet und das Ereignis lokal und übergeordnet signalisiert bzw. visualisiert. Damit ist die neue Baureihe in allen sicherheitsrelevanten Anwendungen in Maschinen und Robotern in Kombination mit den Hochleistungsmotoren des Herstellers einsetzbar.

Diesen Beitrag lesen Sie auch in der Fachzeitschrift ELEKTRONIKPRAXIS Ausgabe 11/2020 (Download PDF)

Drei entscheidende Erfahrungen aus dem Projekt lassen sich wie folgt skizzieren: Die EMV von Komponenten sind vor Projektstart zu prüfen und dazu entsprechende Messkriterien festzulegen. In einer frühestmöglichen Projektphase sind systematische Analysetechniken anzuwenden, um Fehlerraten, Fehlermodi und Diagnosefunktionen auf Subsystem- und Produktebene zu ermitteln (FMEDA). Sind mehrere Partner am Projekt beteiligt, ist es unumgänglich, die Testaufbauten klar zu definieren.

* Stefan Angele ist Geschäftsführer der Systemtechnik LEBER, Schwaig/Nürnberg. Martin Bayer ist als Functional Safety Engineer bei Systemtechnik LEBER tätig.

Artikelfiles und Artikellinks

(ID:46551577)