Antriebe führen die Bewegungen von Maschinen und Anlagen aus. Sie arbeiten hochdynamisch und erzeugen enorme Kräfte. Ungewollte oder unerwartete Drehungen können zu schwerwiegenden Verletzungen führen, die es unbedingt zu vermeiden gilt. Obwohl diese Tatsache innerhalb der Sicherheitstechnik von Anfang an bekannt war, hat man sich erst in den letzten Jahren geeinigt, verbindlich anzuwendende Sicherheitsfunktionen für Antriebe zu fordern. Solche Sicherheitsfunktionen müssen daher nun entweder extern hinzugefügt oder direkt intern integriert werden. Die heute bekannten Sicherheitsfunktionen sind in der Norm IEC 61800 (Teil 5.2) zusammengefasst. Diese Norm beschreibt mehrere Sicherheitsfunktionen, die einen sicheren Betrieb von Antrieben garantieren. Hierzu gehören z.B.: – Sicherer Stillstand – Reduzierte Geschwindigkeit – Begrenztes Schrittmaß – Definierte Drehrichtung Von all diesen Sicherheitsfunktionen ist der \’Sichere Stillstand\‘ mit den Funktionen des \’Sicheren Stillsetzens\‘ und der \’Wiederanlaufsperre\‘ am wichtigsten. In der Regel deckt diese Funktion alleine etwa 70% aller Sicherheitsanwendungen für Antriebe von Maschinen ab. Sie wird verwendet, um eine Maschine von der Bewegungsfunktion in den Stillstand zu versetzen. Das geschieht z. B. durch eine Not-Halt-Anforderung. Je nach technischer Realisierung kann man diese Funktion auch als \’Sichere Wiederanlaufsperre\‘ einsetzen. Hier wird sichergestellt, dass eine Maschine oder Anlage nicht unerwartet anläuft, solange sich eine Person im Gefahrenbereich befindet. Früher hat man die Abschaltung der gefahrvollen Bewegung zumeist durch Schütze, die eine Abschaltung der Versorgung vorgenommen haben, bewerkstelligt. Diese Technik ist immer noch weit verbreitet, aber sie beinhaltet mehrere Nachteile: Zum einen müssen oftmals größere Leistungen abgeschaltet werden. Die Schütze sind daher auch in der entsprechenden Leistung auszulegen. Zum anderen ist die Abschaltung mittels der Schütze nach dem neuen Stand der Normen nicht mehr einfach zu lösen. Je nach Risikobeurteilung wird das sichere Abschalten oder die sichere Anlaufsperre bis in den Performace-Level von \’d\‘ (oder gar \’e\‘) eingestuft. Die höheren PL-Werte (ab \’d\‘) sind nur noch mit einer Diagnose erreichbar (Bereich der beiden roten Pfeile, siehe Bild 2). Die elektrische Sicherheitsfunktion ist daher mit einem DC-Wert (Diagnosedeckungsgrad) auszurüsten, der mindestens 60% beträgt. Die einfache Abschaltung über ein einzelnes Schütz ist damit nicht mehr erlaubt. Selbst wenn man zwei Schütze in Serie schaltet, jedoch deren Funktion nicht überwacht, werden die Anforderungen nach PL \’d\‘ oder \’e\‘ missachtet. Elegante Lösung ohne Versorgungsabschaltung Eine elegante Lösung, einen dieser höheren PL-Werte zu erreichen besteht darin, den Umrichter des Antriebs für eine sichere Abschaltung zu verwenden. Hierdurch entfallen die oft recht großen und teuren Schütze und ebenso eine externe Diagnose dieser. Ein weiterer Vorteil: Die Versorgung der Maschine muss nicht abgeschaltet werden. Allerdings hat der Umrichter gewisse Anforderungen zu erfüllen. Der sichere Halt (STO: Safe Torque Off) muss die Kommutierungsfunktion des Antriebs sicher unterbinden. Der Antrieb darf kein Drehmoment und somit keine gefahrbringenden Bewegungen erzeugen können. Eine Überwachung der Stillstandsposition braucht nicht zu erfolgen. Auch eine kontaktbehaftete Trennung zur Energieversorgung muss nicht verwendet werden. Ist beim sicheren Halt mit Krafteinwirkung von außen zu rechnen (z. B. Durchsacken hängender Lasten), sind zusätzliche Maßnahmen zu ergreifen, die diese Bewegungen sicher verhindern. Dies kann durch die Verwendung mechanischer Bremsen geschehen. Durch die Auslösung der STO-Anforderung wird der Antrieb elektronisch abgeschaltet und die Bewegung vom erregenden Moment getrennt. Nach Abklingen der Bewegungsfunktion verweilt die Maschine bewegungslos. Sofern keine externen Momente auf den Antriebswellen lasten, kann man nun in die Maschine hineingreifen oder sich sogar in den gefährlichen Bewegungsraum der Maschine begeben. Durch das sichere Anhalten der Maschine wird diese nun nicht mehr unerwartet anlaufen. Wie auf Bild 1 zu sehen ist, versucht eine Person, ein abgerissenes Zellophanband zu fassen, um es danach wieder einzufädeln. Hierbei muss die Person zwischen zwei Walzen greifen, die das Band festhalten. Wenn in diesem Zustand die Maschine plötzlich anlaufen sollte, wäre eine schwerwiegende Verletzung oft die Folge, denn Finger oder gar die ganze Hand könnten zwischen die Walzen gelangen. Falls die Antriebe hochdynamisch arbeiten, besteht selten die Möglichkeit, einer Verletzung zu entkommen. Je nach Häufigkeit des Zugriffs muss die Sicherheitsfunktion daher dem PL-Wert von \’d\‘ oder \’e\‘ entsprechen. Die meisten Umrichter für Asynchron- oder Synchronantriebe enthalten bereits alle notwendigen Einheiten, die eine sichere Abschaltung nach STO garantieren. Der Umrichter verfügt über elektronische Einheiten, die der Unterbrechung der Kommutierung dienen. Die Technik ist damit so ausgelegt, dass ein Performance-Level von \’d\‘ erreichbar ist. Bei einer oft verwendeten technischen Lösung wird die Kommutierung durch einen Prozessor erzeugt, der die Impulsmuster entsprechend der Reglerfunktion bereitstellt. Dieser wirkt auf einen CPLD (Complex Programmable Logic Device), der die Kommutierungssignale für die Drehung des angeschlossenen Antriebs erzeugt. Für die Sicherheitsfunktion STO sind beide Abschaltwege von Interesse (Ch1 und Ch2): – Die Energie für die Ansteuerung der Leistungsteile wird durch einen Oszillator erzeugt, der die Treiberstufen versorgt. Ein Aussetzen der Oszillation hat das Abschalten der Energieübertragung zur Folge und die Kommutierung setzt aus. Dieses führt zur Sicherheitsfunktion STO. Wie im Bild 3 dargestellt wird, verbindet der Schließerkontakt eines Sicherheitsrelais (S) die Oszillatorspannung mit den Leistungstreibern. Falls der Schalter (S) geöffnet wird (also das Relais stromlos ist), erfolgt die Sicherheitsabschaltung. Zur Überwachung des Kontakts verfügt das Sicherheitsrelais über einen zwangsgeführten Öffnerkontakt, der durch die angeschlossene Applikation abgefragt werden kann (RM). Ein Versagen des Kontakts oder des Relais wird damit aufgedeckt. – Ein externer Eingang wirkt direkt auf die interne Logik des Umrichters, die über die programmierte Funktion des CPLD ebenfalls eine Abschaltung aller Kommutierungssignale herbeiführt. Da die Zwangsführung der verwendeten Relais nicht versagen kann (siehe DIN EN ISO 13849, Teil 2), meldet ein geschlossener Öffnerkontakt stets, dass der dazugehörige Schließerkontakt geöffnet ist. In diesem Fall ist die Abschaltung der Impulsmuster aktiv. Ein externes Sicherheitsgerät braucht daher nur den Zustand des Öffners zu überwachen, um die Sicherheitsfunktion zu prüfen. Eine andere Technik in Umrichtern ist ebenfalls weit verbreitet. Hier werden für die Übertragung der Impulsmuster Optokoppler verwendet. Die Versorgung der Optokoppler geschieht über die beiden Eingangskanäle Ch1 und Ch2 (siehe Bild 4). Sofern die externe Versorgung nicht vorliegt, bleiben die Optokoppler dunkel und die Impulsmuster des Oszillators (Osz) gelangen nicht zum Interface. Um eine Zweikanaligkeit zu garantieren, wirkt der obere Optokoppler auf den oberen (o) und der untere Optokokoppler auf den unteren (u) Pfand der Halbleiterschalter. Eine Rückmeldung ist nun nicht mehr notwendig, da man mit den Optokopplern einen Fehlerausschluss bewerkstelligen kann. Wie muss man nun vorgehen, damit man Standardantriebe für die Sicherheitsfunktion STO einsetzen kann? – Für die jeweilige Maschinenfunktion ist eine Risikobeurteilung durchzuführen. Diese gibt Auskunft darüber, ob die Funktion STO das Sicherheitsproblem löst. Ferner zeigt die Risikobeurteilung den geforderten PL-Wert an. – Wenn die Funktion STO geeignet ist, hat man zu klären, ob die Antriebstechnik einem der gezeigten Prinzipien entspricht. Sofern dieses der Fall ist, muss hierfür ein Zertifikat vorliegen. – Sofern die Antriebssysteme einem der Prinzipien entsprechen, aber keine Zertifizierung vorliegt, ist hier eine technische Analyse und eine Zertifizierung nachzuholen. Hierbei müssen die technischen Ausführungen innerhalb des Antriebs entsprechend der Normen untersucht und berechnet werden. In der Regel sind diese Untersuchungen recht aufwendig und müssen durch Fachpersonal erfolgen. – Wenn alle Anforderungen positiv vorliegen, sind die Beschaltungen entsprechend den Anforderungen der Normen auszulegen. Darüber hinaus hat eine Gesamtbewertung nach DIN EN ISO 13849-1 für die gesamte Sicherheitsfunktion zu erfolgen.
Thematik: Allgemein
Ausgabe: SPS-MAGAZIN 3 2011
innotec GmbH
