Eine Frage: Safety oder True Safety?

(WK-intern) – Gibt es überhaupt einen Unterschied, werden Sie sich vielleicht fragen.

Den gibt es. In der Branche der funktional sicheren Sensorik werden hier und da Sensoren gerne mit dem Titel „Safety“ versehen.

Dabei sind es Sensoren, die mechanische Messgrößen in elektrische Daten umwandeln. Das ist aber nicht das, was wir bei TWK unter Safety verstehen. Unsere Safety-Sensoren erfüllen sehr hohe Anforderungen und Normen, so dass wir mit Fug und Recht von „True Safety“ sprechen können.

Es ist also angeraten, genau hinzuschauen, damit wir den richtigen Safety-Sensoren die Bühne überlassen. Betrachten wir zunächst die wichtigen Normen, um die es in diesem Beitrag in erster Linie gehen soll. Es sind die IEC61508 für die Funktionale Sicherheit von elektronischen Systemen mit der Einstufung SILx (Safety Integrated Level) und die ISO13849 für die Sicherheit von Maschinen und sicherheitsbezogener Teile von Steuerungen mit der Einstufung PLx (Performance Level). Je höher die Einstufung, umso größer die Zuverlässigkeit, bzw. umso geringer die Wahrscheinlichkeit eines Fehlers, der nicht von der Komponente entdeckt wird und zur Gefahr werden kann. Viele unserer Sensoren haben die Einstufung SIL2 und PLd. Einige sogar SIL3 oder PLe. Wichtig ist, dass dieser Sicherheitslevel von einer offiziellen Stelle bestätigt ist. Deshalb lassen wir unsere Safety-Sensoren seitens des TÜV auf Herz und Nieren prüfen und zertifizieren, je nach Bedarf nach einer der beiden Normen oder nach beiden gleichzeitig. Manchmal kommen auch noch weitere Normen hinzu – beispielsweise ISO26262 mit Level ASIL-D.

Um diese Sicherheitslevel zu erreichen, müssen viele konstruktive Anforderungen umgesetzt werden. Es gilt außerdem, den Einstufungslevel (z. B. SIL2) nicht nur knapp einzuhalten, sondern mit gutem Puffer, da der Sensor in der Regel eine Komponente in einer Übertragungskette ist, und die ganze Kette einen bestimmten Level erfüllen soll. Welche Maßnahmen ergreifen wir nun, um zum Ziel zu kommen?

Zunächst muss die mechanische Bewegung schlupfsicher erfasst werden. Das setzt eine formschlüssige Verbindung des Sensors mit der sich bewegenden Applikation voraus. Unsere Drehgeber haben dafür eine ganze Auswahl von Wellentypen, die dies ermöglichen: Vollwellen mit Pass- oder Scheibenfeder oder Hohlwellen mit Nut. Eine unbemerkte Verdrehung wird damit ausgeschlossen. Aus diesem Grund muss jeder Sensor aber auch kundenseitig fest mit der Applikation verbunden werden.

Schauen wir nun ins Innere: Die eigentliche Sensorik ist bei uns immer redundant ausgelegt. Die Signale der doppelten Sensoren werden anschließend im Controller, der alle erforderlichen Firm- und Software zur Signalverarbeitung und -ausgabe enthält, verglichen (Plausibilitätsvergleich). Nur, wenn die Abweichung unterhalb eines Grenzwertes liegt, wird dieses Signal – z. B. die Wellenposition von Sensor 1 eines Drehgebers – als verlässlicher Wert über die Schnittstelle, meist ein Bus-Interface, ausgegeben. Die Firmware im Controller ist so ausgelegt, dass alle internen Prozesse – Einlesen von Daten, Berechnen, Übertragen und Speichern von Zwischenwerten etc. – mit CRC-Checksummen abgesichert sind. Weitere Prüf- und Kontrollprozesse, sogenannte Double-Checks, ermöglichen das funktional sichere Arbeiten. So werden beispielsweise die Grenzwertrelais bei den SIL2 Nockenschaltwerken und Vibrationssensoren permanent auf den korrekten Schaltzustand überprüft. SIL3 geht sogar noch weiter: Es sind die signalverarbeitenden Controller doppelt ausgelegt.

Auch die Hardware wird Kontrollvorgängen unterzogen:

• Liegen alle Versorgungsspannungen im Sollbereich?
• Arbeiten die Speicherbereiche RAM & ROM fehlerfrei?
• Sind die Ausgangstreiber online?

Weiter geht es mit der Übertragung der resultierenden Daten, also Winkel- und Geschwindigkeitsdaten oder Beschleunigungs- und Neigungsdaten. Die Übertragung erfolgt auch doppelt. Entweder per standard- und invertiertem Bitmuster unmittelbar hintereinander (z. B. bei CANopen Safety) oder mit zusätzlichen CRC-Safetydaten (z. B. F-Daten bei PROFIsafe). Parametrierungsdaten für den Sensor werden immer mit einer Checksumme abgesichert. Diese Übertragungsart sorgt dafür, dass der vom Sensor ermittelte sichere Messwert, auch sicher in der Steuerung ankommt. Sicher heißt, mit der gemäß SIL/PL-Einstufung zugelassenen, aber sehr geringen Wahrscheinlichkeit eines nicht entdeckten Fehlers, so dass eine vom System oder von der Maschine ausgehende Gefahr sehr klein ist aber nie gleich Null sein kann.

Es ist aber nicht nur das Endergebnis, also der fertige Sensor, sondern der ganze Entwicklungsprozess, der strengen Regeln unterliegt, um den Sicherheitskriterien Rechnung zu tragen. So werden vor und während der Entwicklung eines neuen Safety-Produktes alle zu erfüllenden Anforderungen – die Requirements – bestimmt. Um die Funktionen sicherzustellen, werden zusätzlich alle zugehörigen Testprozeduren – die Test-Cases – formuliert. Das können, um alle Eigenschaften zu erfassen, mehrere tausend einzelne Vorgänge sein. Nur diese Akribie führt zu einem sicheren Ergebnis.

Ziel aller Maßnahmen ist demnach immer, Fehlfunktionen zu vermeiden, und wenn doch eine Fehlfunktion eintritt, sie möglichst zu entdecken. Sollte nun ein falsches Verhalten festgestellt werden, geht der Sensor sofort in den fehlersicheren Zustand. D. h. es wird ein Fehler an die Steuerung gesendet (Statusbit) und der Sensor stellt seine Datenübertragung ein. Alle Sicherheitsrelais (wenn vorhanden) öffnen. Die Safety-Steuerung reagiert mit der Überführung des Systems oder Teilen davon in einen sicheren Zustand, um Schäden zu vermeiden.

Mit der Konstruktion sicherer Sensoren haben wir als etabliertes Familienunternehmen schon vor langer Zeit begonnen und mit dieser Erfahrung und dem Know-How zurecht eine gute Position am Markt erreicht. Deswegen machen wir weiterhin das, was wir gut können: Entwicklung und Produktion von funktional sicheren Sensoren – True Safety eben.

Mehr Informationen unter: www.twk.de

PM: TWK-ELEKTRONIK GmbH

PB: TWK-ELEKTRONIK GmbH