Eine Publikation der Binkert Medien AG
Integration der funktionalen Sicherheit in die Antriebstechnik : Ausgabe 02/2012, 15.09.2012

Sichere und doch effiziente Arbeitsabläufe

Maschinensicherheit und Antriebstechnik sind untrennbar miteinander verbunden, denn fast jede Gefahr bringende Bewegung wird direkt oder indirekt von einem elektrischen Antrieb ausgelöst. Neben dem Absichern von Mensch, Maschine und Werkstück bekommt das Thema «Safety» zunehmende Bedeutung bei der effizienteren Gestaltung von Arbeitsabläufen.

Autor: Prof. Max Felser

Wo bisher eine externe Überwachung der Antriebe nötig war – die es zusätzlich zum Antriebssystem aufzubauen und zu zertifizieren galt – bringen moderne Antriebssysteme elementare Sicherheitsfunktionen wie Safe-Torque-Off (STO) mit sicherer Bremsenansteuerung (SBC) «on board» mit. Zunehmend stehen jedoch auch Antriebe mit fortgeschrittenen integrierten Sicherheitsfunktionen wie Safe-Operating-Stop (SOS), Safely-limited-Speed (SLS) und Safe-Speed-Monitor (SSM) zur Verfügung. Sie vereinfachen die Bereitstellung innovativer, Produktivität steigernder Einricht- und Rüstfunktionen.

Ein wesentlicher Vorteil dabei ist, dass diese Sicherheitsfunktionen bereits ab Werk zertifiziert sind. Die sicherheitstechnische Abnahme der Maschine bzw. Anlage wird dadurch entscheidend vereinfacht, im Systemverbund mit sicherheitsgerichteten Steue­rungen lässt sie sich sogar zu einem guten Teil automatisieren. Seit 2007 ist das Profidrive-Profil in der IEC 61800-7 genormt (siehe Kasten).

Sicherer Datenaustausch über Standardbus

Mit antriebbasierten Sicherheitsfunktionen ist die vollständige Integration der Sicherheitsfunktionalität in die Standardautomatisierung möglich. Voraussetzung dafür ist, dass die sicherheitsgerichtete Kommunikation über die Standard-Kommunikationswege der Automatisierung erfolgt. Unter Profibus und Profinet gibt es dazu das Profisafe-Protokoll. Es gewährleistet einen im strengen Sinne sicheren Datenaustausch zwischen allen sicherheitsgerichteten Komponenten der Automatisierung – über den Standardbus.

Auch im Profidrive-Protokoll ist ein gesonderter Kommunikationskanal für Profisafe- Telegramme vorgesehen (Bild 1). Von der Abfrage fehlersicherer Eingänge am Antriebsgerät bis hin zum Aktivieren komplexer antriebsautarker Sicherheitsfunktionen lassen sich hierüber alle sicherheitsgerichteten Antriebsfunktionen ansprechen und überwachen – ohne, dass dazu im Anwenderprogramm zusätzliche Vorkehrungen getroffen werden müssen. So ergibt sich softwareseitig eine verbesserte Flexibilität, die man für situationsgerecht differenzierte Sicherheitsreaktionen nutzen kann und die das Umsetzen kundenspezifischer Forderungen an die Maschinensicherheit vereinfacht.

Koordinierte Sicherheitsreaktion im Achsverband

Bei Verbänden koordiniert betriebener Achsen – wie sie unter anderem für Motion-Control-Applikationen und Werkzeugmaschinen typisch sind – ist es wünschenswert, die Synchronbeziehungen zwischen den Achsen auch bei einer Sicherheitsreaktion zu erhalten. Das Auslösen einer Sicherheitsfunktion im Antrieb wirkt auf die Bewegungsführung der Antriebs­steuerung zurück (Bild 2). In Abhängigkeit von der jeweils aktiven Safety-Funktion und der Phase der Sicherheitsreaktion muss die Bewegungsführung das Abbremsen bzw. Stillsetzen des Achsverbandes koordinieren – oder (bei antriebsautarken Bewegungen) den Nachführbetrieb aktivieren.

Die Bewegungsführung und andere nicht-sicherheitsgerichtete Teile des Anwenderprogramms laufen jedoch in vielen Automatisierungen auf einer Standard-CPU, nicht auf einer fehlersicheren CPU ab (Bild 3). Zum Erhalt der Achsbeziehungen ist es darum nötig, neben der fehlersicheren Steuerung und den Antrieben auch die Standardsteuerung in die Kommunikation zur Sicherheitsreaktion einzubeziehen. Dies ist bei der Definition der antriebsbasierten Sicherheitsfunktionen im Profidrive-Profil berücksichtigt.

Gesicherter Kommunikationskanal zur F-Steuerung

Ein Profidrive-Antrieb ohne Sicherheitsfunk­tionen verfügt über einen Standardkommu­nikationskanal zwischen Antrieb und Antriebssteuerung, z. B. einer Motion-Control-CPU. Über diesen Kommunikationskanal startet die Steuerung den Antrieb und gibt Sollwerte für Drehzahl oder Lage vor (Bild 3). Die hierfür notwendigen Prozessdaten sind als Profidrive-Signale definiert. Die Signale einer Achse bilden ein Profidrive-Telegramm.

Verfügt der Antrieb zusätzlich über Sicherheitsfunktionen, ist im Antrieb ein «Drive Safety Process» präsent, der in sicherer Technik ausgeführt ist. Zur Ansteuerung der antriebsbasierten Sicherheitsfunktionen über das Bus-Interface bauen Profisafe-kompatible Antriebe einen gesicherten Kommunikationskanal zur übergeordneten, fehlersicher ausgeführten Sicherheitssteuerung (F-Steuerung) auf (Bild 3). Unter Profibus ist dies ein zusätzlicher Kommunikations-Slot, in Profinet-Umgebungen ein zusätzlicher Subslot je Achse. Genutzt wird hierbei das Telegramm 30 des Profidrive-Profils. Über die Signale S_STW1 und S_ZSW1 ermöglicht es die An- und Abwahl von Safety-Funktionen des Antriebs sowie deren Diagnose.

Die – nicht zwingend fehlersicher ausgelegte – CPU, welche die Antriebssteuerung beziehungsweise Bewegungsführung zur Aufgabe hat, wird mit dem Statuswort S_ZSW1B über die Anwahl und den aktuellen Status einer Sicherheitsreaktion informiert und kann entsprechend reagieren. Da das Statuswort S_ZSW1B gegenüber dem (Standard-)Anwenderprogramm aus sicherheitstechnischer Sicht lediglich eine informative Funktion besitzt, genügt es, dass der Antrieb dieses Statuswort über einen Standardkommunikationskanal an die Antriebssteuerung weiter­leitet (Bild 3).

Infoservice


Informationstechnische Gesellschaft ITG
Tel. 044 956 11 83, Fax 044 956 11 22
itg@electrosuisse.ch, www.electrosuisse.ch

Bild 1: Das Antriebsprofil Profidrive hält einen Kommunikationskanal für sicherheitsgerichteten Datenaustausch per Profisafe-Protokoll bereit und unterstützt damit die Nutzung antriebsbasierter Sicherheitsfunktionen


Bild 2: Für hohe Maschinensicherheit und eine gleichzeitig hohe Wirtschaftlichkeit ist das Zusammenspiel aller Safety- und Non-Safety-Komponenten entscheidend

Das Antriebsprofil «Profidrive»

Eine einheitliche, herstellerunabhängige Antriebsschnittstelle …

Profidrive ist ein herstellerneutrales Antriebsprofil, das den Anwendungsbereich «Safety» konsequent abdeckt. Hierdurch fördert und erleichtert es die Anwendung antriebsintegrierter Sicherheitsfunktionen. Es deckt zudem mit einer für den Anwender leicht überschaubaren Schnittstelle alle industriell relevanten Anwendungsfelder drehzahlveränderlicher Antriebe ab. Das Profidrive-Profil definiert dazu eine allgemeingültige Antriebsschnittstelle sowie die damit korrespondierende Funktio­nalität des Antriebs.

… für Profinet und Profibus

Das dem Profidrive-Profil zugrunde liegende Applikationsmodell ist unabhängig vom Kommunikationsmedium konzipiert und implementiert. Durch diese Trennung der Applikations- und der Kommunikations­ebene profitiert der Anwender von Weiterentwicklungen und Performancesteigerungen der Kommunikationstechnologie – ohne dafür bestehende Anwenderprogramme ändern zu müssen. Dass dies in der Praxis tatsächlich funktioniert, beweist der Schritt von Profibus-Applikationen zu ethernet-basierten Profinet-Topologien.

Autor

Zusammengestellt von Prof. Max Felser – Berner Fachhochschule, PROFIBUS & PROFINET Kompetenzzentrum, Jlcoweg 1, 3400 Burgdorf – nach Unterlagen des Vorsitzenden der Arbeitsgruppe C3/PG3 PROFIdrive and Encoder von PROFIBUS & PROFINET International, Dr. Andreas Uhl.