- Projektphase 1: Erstellung Sicherheitskonzept, Klärung normativer Anforderungen, Risikoanalyse
- Projektphase 2: Erster Designzyklus bzw. Prototypen-Entwicklung
- Projektphase 3: Entwicklung Qualifizierungs- bzw. Zulassungsmuster
Schon früh im Projektverlauf stellte sich die elektromagnetische Verträglichkeit im Bereich der Störaussendung bei dem kompakten Controller als besondere Herausforderung heraus.
Herausforderung EMV
Im konkreten Fall hatten bereits erste entwicklungsbegleitende Messungen ergeben, dass die elektromagnetische Verträglichkeit der für die STO-Erweiterung vorgesehenen Antriebscontroller durch die vorgesehene technische Änderung einer späteren zertifizierten EMV-Prüfung nicht standhalten würde. Infolgedessen lag einer der Schwerpunkte der ersten Phase der Produktentwicklung auf der Analyse der elektromagnetischen Verträglichkeit des Ausgangsprodukts, sowie dem Eruieren und Umsetzen notwendiger baulicher Veränderungen bzw. technischer Maßnahmen, wie dem Hinzufügen von Drosseln und Filtern im Leistungsteil. Zusätzlich musste auch das Zusammenspiel von Träger-Board und Controller mehrfach getestet werden, da es für deren Verknüpfung mehrere Möglichkeiten gab:
- Standalone
- CAN-Anbindung
- Ethercat-Anbindung
Parallel dazu startete die eigentliche Produkterweiterung um die STO-Funktion. Dazu wurde der Safety-Plan aufgestellt und ein Sicherheitskonzept erarbeitet. Neben den Anforderungen der EN61508 und der EN61800-5-2 wurde auch die Risikoanalyse zum Produkt erstellt und Maßnahmen daraus abgeleitet.
Safety-Experten sind rar
Nach Abschluss der Entwicklungsarbeiten am Prototypen startete Projektphase zwei mit der Entwicklung der entsprechenden Qualifizierungs- und Zulassungsmuster. Erneut wurden entwicklungsbegleitende Messungen zur Validierung der umgesetzten Maßnahmen genutzt und anhand der FMEA die Nachweisführung zur Verifikation aufgesetzt. Zusätzlich galt es, die gesamte Dokumentation sowie ergänzende Hinweise im Handbuch zum neuen Motion Controller zu erstellen. Um bei der Dokumentation – und damit auch der späteren TÜV-Zulassung – auf der sicheren Seite zu sein, holte Leber für das Review der Dokumentation zusätzlich einen ausgewiesenen Experten für funktionale Sicherheit an Bord, begleitete die Produktzulassung und übernahm die Kommunikation für die Zulassung zum TÜV Nord. Entsprechend gestaltete sich die Projektphase 2 wie folgt:
- Entwicklung Qualifizierungs- und Zulassungsmuster
- Dokumentation
- TÜV-Zulassung
- Serienvorbereitung und Testing
Kurz vor der Zielgeraden geriet der Projekt-Fortschritt noch einmal kurz ins Stocken. Denn nach Ausarbeitung der Failure Mode Effects and Diagnostic Analysis (FMEDA), einer der zentralen Methoden zur Verifikation der Sicherheitsfunktion, wurde der erforderliche Diagnosedeckungsgrad für den Sicherheitsintegritätslevel SIL3 und den Performancelevel PLe zunächst verfehlt. Dieser wird je nach SIL und Architektur vorgegeben und stellt das Verhältnis erkannter gefährlicher Fehler zur Gesamtzahl gefährlicher Fehler dar. Beim Erarbeiten der FMEDA wurde anfangs nicht korrekt zwischen der Sicherheitsfunktion und den Nicht-Sicherheitsfunktionen getrennt. Dazu André Treinzen, Entwicklungsingenieur bei Faulhaber und technischer Leiter des Projekts: „Es war eigentlich eine kleine Ursache, aber eben mit großer Wirkung: Wir hatten in der Konzeptionsphase das Fehlerbild nicht ausreichend detailliert beschrieben. Daher war unklar, ob der komplette Antriebs-Controller auf den Fehlerfall hin zu prüfen ist, oder aber nur die neu integrierte STO-Sicherheitsfunktion. Nachdem das geklärt war, konnte die FMEDA korrigiert werden, und der geforderte Diagnosedeckungsgrad wurde erreicht. Die neuen Controller konnten in Serie gehen“.
Das Endprodukt
Zwei Jahre hat Faulhaber in die Erweiterung ihrer neuen Motion Controller um die redundante Sicherheitsabschaltung nach dem STO-Prinzip investiert. Das Ergebnis ist die Erweiterung des Portfolios MC V3.0 um eine weitere Baureihe, die in zwei unterschiedlichen Varianten erhältlich ist: Der MC 5004 P STO RS/CO für CANopen-Anwendungen und der MC 5004 P STO ET für Ethercat. Bei beiden wird nun im Bedarfsfall die Ansteuerung zum Motor sofort unterbrochen, sodass er kein Drehmoment mehr erzeugen kann. Auf das Signal einer Sicherheitseinrichtung – z.B. einer Lichtschranke – wird die angetriebene Einheit normkonform abgeschaltet und das Ereignis lokal und übergeordnet signalisiert bzw. visualisiert. Damit kann die neue Baureihe in allen sicherheitsrelevanten Anwendungen in Maschinen und Robotern in Kombination mit den Motoren des Herstellers eingesetzt werden. Folgende Erkenntnisse sind laut Faulhaber besonders wichtig für die Umsetzung des Projekts gewesen:
