Warum Standardkomponenten mit nicht diversitärer Redundanz fast immer die bessere Wahl sind.

Bild: iStock, Mingirov

Sicherer Standard bei Drehgebern SIL-zertifiziert oder Standardkomponente?

04.09.2019

Bei der Auswahl redundanter Sensoren für sicherheitskritische Maschinen und Anlagen scheiden sich die Geister. Dabei sind Standardkomponenten mit nicht diversitärer Redundanz fast immer die bessere Wahl.

[]

Wie weit sind die Stützfüße ausgefahren, wie ist die Neigung des Korbs, steht das Fahrzeug an einer Böschung? Bei einem Mobilkran – und bei vielen anderen mobilen Arbeitsmaschinen mit beweglichen Aufbauten – sind solche Fragen relevant für die Sicherheit von Mensch und Maschine. Daher sind Fahrzeug, Stützfüße und Kranausleger mit Drehgebern, Neigungssensoren und Seilzug-Wegsensoren ausgerüstet, die ihre Positionen an eine Steuerung melden, diese verhindert kritische Bewegungen.

Bei der Auswahl der Sensoren lässt die Norm dem Anlagenbauer einigen Handlungsspielraum. Er kann die Anforderungen beispielsweise mit SIL-zertifizierten Sensoren erfüllen. Die Implementierung ist einfach und der Anlagenbauer hat die Gewähr, dass auch das Gesamtsystem die Zertifizierung erfüllt. Allerdings ist die Verfügbarkeit dieser Komponenten am Markt sehr eingeschränkt, sie sind vergleichsweise teuer und setzen enge Grenzen bei der Auslegung der Parameter für eine spezifische Anlage. Durch zu enge Toleranzen kann es zu einer Sicherheitsabschaltung kommen und dadurch zu einer unnötigen Einschränkung der Anlagenverfügbarkeit. Bei den SIL-zertifizierten Komponenten ist außerdem die Flexibilität stark eingeschränkt, eine Anpassung an die Anforderungen der Applikation ist nur mit großem Aufwand und oft einer Neuzertifizierung verbunden.

Standardkomponenten günstiger und flexibler

Baumer empfiehlt seinen Kunden deshalb in vielen Fällen die zweite Variante: den Einsatz von nicht-zertifizierten Standardkomponenten. Die Anlagenbauer profitieren von deutlich geringeren Kosten, einfacher Lagerhaltung und hoher Flexibilität, Funktionserweiterungen sind jederzeit möglich. Doch nicht jede Standardkomponente jedes Herstellers eignet sich für sicherheitskritische Aufgaben. Die Sensoren müssen besonders hohe Anforderungen an eine zuverlässige Funktion erfüllen, außerdem benötigt der Anlagenbauer vom Sensorhersteller Unterstützung bei der Dokumentation nach der DIN EN ISO 13849.

Bei der Umsetzung von Sicherheitsfunktionen der Kategorie 3 bis Performance Level d fordert die Norm zwei redundante Kanäle mit Einfehlersicherheit. Nur wenn zwei unabhängige Sensoren die gleichen Messwerte liefern, kann die Steuerung sicher sein, dass sich beispielsweise der Kranausleger in einer Position befindet, die nicht zum Umkippen des Fahrzeugs führt. Bei der Redundanz gibt es verschiedene Möglichkeiten, wobei aus Sicht von Baumer die Variante mit nicht diversitärer Redundanz für den Anwender die praktikabelste ist. Damit sind zwei gleichartige Standard-Drehgeber gemeint – als separate Geräte oder als zweikanaliges Gerät integriert in einem Gehäuse. Allerdings schreibt die Norm vor, dass in beiden Fällen Hardware und Software bestimmte, zusätzliche Anforderungen erfüllen müssen. Unter anderem ist im Regelwerk detailliert der Prozess der Softwareentwicklung für die Sensoren beschrieben, gefordert werden unter anderem eine strukturierte modulare Entwicklung und strikte Rollentrennung der ausführenden Personen. Dadurch wird die Wahrscheinlichkeit systematischer Fehler in der Software äußerst effektiv minimiert.
Der Anwender übernimmt die Implementierung derart entwickelter Standardkomponenten in seine Sicherheitsfunktion und lässt diese von einer benannten Stelle begutachten. Im Vergleich zu zertifizierten Komponenten ist die
Anpassung an anwendungsspezifische Anforderungen und eine anwenderseitige Parametrierung einfach möglich. Baumer führt die Risikobetrachtung für die Anpassung durch, bevor die gesamte Applikation durch die benannte Stelle abgenommen wird.

2x magnetisch besser als optisch-magnetisch

Der Anwender hat natürlich auch die Möglichkeit, diversitär redundante Standardkomponenten einzusetzen. Gemeint ist damit zum Beispiel die Kombinationen eines optischen und eines magnetischen Drehgebers. Nach Ansicht der Sensor-Experten von Baumer ist dies nicht immer praktikabel und birgt gewisse Nachteile. Möchte der Anwender zwei diversitäre Drehgeber nutzen, muss er erstmal Komponenten finden, die zusammenpassen, und er hat doppelte Lagerhaltung. Es gibt auch Produkte mit unterschiedlichen Drehgeber-Technologien in einem Gehäuse, allerdings sind das eher teure Speziallösungen.

Anwender sollten auch bedenken, dass die magnetische Abtastung wesentlich robuster ist. Im rauen Außeneinsatz ist die Verwendung von optischen Drehgebern nicht ratsam, da diese empfindlich bei Schock, Vibrationen sowie Betauung sind.

Sicher mit MTTFd-Zertifikat

Entscheidet sich der Anwender für den Einsatz von zwei identischen Standard-Drehgebern mit magnetischer Abtastung und nicht für eine zertifizierte Lösung, will er natürlich trotzdem sicher sein, dass er die Norm erfüllt und der Implementierungsaufwand nicht zu hoch ist. Baumer unterstützt ihn dabei mit einem MTTFd-Zertifikat für die Komponente, das die mittlere Zeit bis zu einem gefahrbringenden Ausfall benennt, sowie einer leicht verständlichen Application Note. Diese dokumentiert alle relevanten Details, um den Anwender bei der korrekten Implementierung der Komponenten in seine Sicherheitsfunktion zu unterstützen. Das gilt sowohl für die mechanische Anbindung, etwa durch die formschlüssige Verbindung der Drehgeberwelle mit der abzutastenden Welle, als auch für die Einbindung in die Sicherheitssteuerung. Zusätzlich unterstützen zertifizierte Functional Safety Ingenieure von Baumer bei Fragen zur Implementierung.

Umfangreiches Portfolio

Baumer hat ein ganzes Portfolio an Standard-Komponenten für den Einsatz in Sicherheitsfunktionen. Ein Beispiel ist der 2-kanalige Absolut-Drehgeber Magres EAM580R. Er enthält zwei unabhängige Systeme zur Positionserfassung basierend auf hochpräziser, magnetischer Technologie und gibt die Positionswerte über unterschiedliche CANopen Node IDs aus. Im Fehlerfall gibt der Drehgeber zwei unterschiedliche Werte aus, die beim Vergleich in der Steuerung zu einem Sicherheitsstopp führen. Durch den redundanten Aufbau in einem Gehäuse reduziert der Anwender Aufwand bei Montage, Verkabelung und Lagerhaltung. Magres EAM580R erfüllt die Schutzart IP67 und hat ein korrosionsfestes Gehäuse, wodurch die Drehgeber geeignet sind für den Einsatz in Umgebungsbedingungen, die eine hohe Korrosionsschutzklasse C5-M (CX) erfordern. Mit einem großen Litzenquerschnitt von 0,5 mm2 und einer hohen elektromagnetischen Verträglichkeit durch E1-konformes Design ist der Drehgeber optimal für den Einsatz in Fahrzeugen und mobilen Arbeitsmaschinen ausgelegt.

Baumer arbeitet momentan daran, auch die Seilzug-Weg­sensoren der Baureihen GCA5 und GCA3 mit redundanter Abtastung und CANopen-Schnittstelle sowie ISO 13849 konformer Firmware auszustatten. Darüber hinaus bietet Baumer nicht-redundante magnetische Absolut-Drehgeber mit ISO 13849 konformer Firmware an, ebenso den Neigungssensor GIM500. Der Anlagenbauer hat damit die Möglichkeit, die Redundanz mittels zweier getrennter Sensoren zu realisieren.

Bildergalerie

  • Eine Standardkomponente mit zwei Drehgebern in einem Gehäuse sowie 2-kanaliger Architektur aber gleicher Abtasttechnik ist die einfachste Möglichkeit, hohe Sicherheit in bewegten Arbeitsmaschinen zu schaffen (links). Alternativ kann der Anwender zwei baugleiche 1-kanalige Drehgeber verwenden (Mitte). Baumer bietet auch Standardkomponenten für die diversitäre Redundanz an: getrennte Gehäuse und unterschiedliche Abtastverfahren (rechts).

    Bild: Baumer

Firmen zu diesem Artikel
Verwandte Artikel