Prüfgrundsatz GS-IFA-M21 V 1.0 Institut für Arbeitsschutz der DGUV Prüf- und Zertifizierungsstelle im DGUV Test Alte Heerstr. 111 53757 Sankt Augustin GS-IFA-M21 Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit Stand 11.2015 GS-IFA-M21 Ausgabe 11/2015 Version Datum Bearbeitungsinhalt Bearbeiter Freigabe 1.0 10.11.2015 Ersterstellung Apfeld Apf, BO, do, Foe Seite 2 von 80 GS-IFA-M21 Ausgabe 11/2015 Inhaltsverzeichnis 1. ALLGEMEINES .................................................................................................... 8 1.1 Anwendungsbereich............................................................................................. 8 1.2 Richtlinien, Vorschriften, Normen ......................................................................... 9 2. BEGRIFFE ......................................................................................................... 12 2.1 Messsystem ....................................................................................................... 12 2.2 Drehwinkelmesssystem ..................................................................................... 12 2.2.1 Inkrementales Drehwinkelmesssystem .............................................................. 12 2.2.2 Absolutes Drehwinkelmesssystem ..................................................................... 12 2.2.2.1 Absolutes Drehwinkelmesssystem, singleturn ................................................... 12 2.2.2.2 Absolutes Drehwinkelmesssystem, multiturn ..................................................... 12 2.3 Wegmesssystem ................................................................................................ 12 2.3.1 Inkrementales Wegmesssystem ........................................................................ 12 2.3.2 Absolutes Wegmesssystem ............................................................................... 12 2.4 Groblage ............................................................................................................ 12 2.5 Feinlage ............................................................................................................. 13 2.6 Gesamtlage ........................................................................................................ 13 2.7 Interpolation ....................................................................................................... 13 2.8 Lagerloses Messsystem ..................................................................................... 13 2.9 Einbau-Messsystem ........................................................................................... 13 2.10 Anbau-Messsystem............................................................................................ 13 2.11 Mechanische Verbindungselemente .................................................................. 13 2.11.1 Kupplung ............................................................................................................ 13 2.11.1.1 Wellenkupplung ................................................................................................. 13 2.11.1.2 Statorkupplung ................................................................................................... 13 2.12 Interface ............................................................................................................. 14 2.13 Auswertegerät .................................................................................................... 14 2.14 Sicherheitsfunktion ............................................................................................. 14 2.15 Teil-Sicherheitsfunktion ...................................................................................... 14 2.16 PDS(SR) ............................................................................................................ 14 2.17 Gefährlicher Fehler ............................................................................................ 14 2.18 Signalauswertung............................................................................................... 14 Seite 3 von 80 GS-IFA-M21 Ausgabe 11/2015 2.19 Diagnose ............................................................................................................ 14 2.20 Signalverarbeitung ............................................................................................. 14 2.21 Prozesssicherheitszeit ....................................................................................... 14 2.22 Fehlererkennung und -reaktion in Prozesssicherheitszeit .................................. 15 2.23 Fehlerreaktion .................................................................................................... 15 2.24 Funktionale Sicherheit........................................................................................ 15 2.25 Hardwarefehlertoleranz (HFT) ........................................................................... 15 2.26 Ideale Fehlererkennung ..................................................................................... 15 2.27 Arbeitstemperaturbereich ................................................................................... 15 2.28 Messpunkt der Arbeitstemperatur ...................................................................... 15 2.29 FMEDA, quantitativ ............................................................................................ 16 2.30 FMEDA, qualitativ .............................................................................................. 16 3 DURCHFÜHRUNG VON PRÜFUNG UND ZERTIFIZIERUNG ......................... 17 3.1 Allgemeines ....................................................................................................... 17 3.2 Grundlagen und Ablauf von Prüfung und Zertifizierung ..................................... 17 3.2.1 Angebot und Kosten........................................................................................... 17 3.2.2 Auftrag und Vertrag ............................................................................................ 18 3.2.3 Einreichung von Unterlagen ............................................................................... 18 3.2.4 Anlieferung von Prüfobjekten ............................................................................. 19 3.2.5 Wiederholungsprüfungen ................................................................................... 19 3.2.6 Ausstellen des Zertifikats ................................................................................... 19 3.2.7 Art des Zertifikats ............................................................................................... 19 3.2.8 Gültigkeit von Zertifikaten ................................................................................... 19 3.2.9 Kontrollmaßnahmen ........................................................................................... 19 4. SICHERE MESSSYSTEME - GRUNDLAGEN .................................................. 20 4.1. Fehlermodelle .................................................................................................... 20 4.2. Fehlerausschlüsse ............................................................................................. 20 4.3. Einfehlersicherheit.............................................................................................. 20 4.4. Nicht erkennbare Fehler..................................................................................... 21 4.4.1. Sicherheitstechnische Architektur ...................................................................... 21 4.4.2. Analyse hinsichtlich potentiell kritischer Ausfallmechanismen ........................... 22 4.5. Fehler erkennende Maßnahmen (DC) ............................................................... 22 Seite 4 von 80 GS-IFA-M21 Ausgabe 11/2015 4.6. Statische Analyse der spezifizierten Signalauswertung und Fehlererkennung .. 24 4.7. Quantifizierung ................................................................................................... 24 4.7.1. Sicherheitstechnische Architektur und sicherheitsbezogenes Blockdiagramm ...... 25 4.7.2. Ausfallraten ........................................................................................................ 25 4.7.3. Ausfallraten unter realistischen Arbeitstemperaturen ......................................... 27 4.7.4. Quantitative FMEDA und Bewertung der Diagnosemaßnahmen ....................... 27 4.7.5. Abschätzung des Common-Cause-Faktors (nur bei Redundanz) ................... 29 4.7.6. Abschätzung der PFH ........................................................................................ 29 4.7.7. Safe Failure Fraction (SFF) und MTTFd eines Kanals ....................................... 29 4.7.8. Ermittlung der quantitativen SIL-Fähigkeit ......................................................... 30 4.7.9. Ermittlung der quantitativen Kategoriefähigkeit .................................................. 30 4.7.10. Ermittlung der quantitativen PL-Fähigkeit .......................................................... 30 5. PRÜFUNGEN .................................................................................................... 31 5.1. Funktionstests .................................................................................................... 31 5.2. Funktionale Sicherheit........................................................................................ 31 5.2.1. Nachweis der Einfehlersicherheit ....................................................................... 31 5.2.2. Eignung der verwendeten Bauteile und Werkstoffe ........................................... 32 5.2.3. Plausibilitätsprüfung der qualitativen FMEDA .................................................... 33 5.2.4. Fehler erkennende Maßnahmen ........................................................................ 33 5.2.5. Quantifizierung ................................................................................................... 34 5.2.6. Sicherheitsrelevante Software ........................................................................... 34 5.2.7. Mechanische Befestigung .................................................................................. 34 5.2.8. Beispiele für geeignete Versuche:...................................................................... 34 5.2.9. Befestigung Sensorwelle an Antriebswelle ........................................................ 34 5.2.10. Statorkupplung (Drehmomentstütze) und Wellenkupplung ................................ 34 5.2.10.1. Axiale Belastungen ............................................................................................ 35 5.2.10.2. Radiale Belastungen .......................................................................................... 35 5.3. Luft- und Kriechstrecken / Kurzschlussprüfung von Leiterplatten ...................... 36 5.4. Prüfung der Nichtberührbarkeit / der Vollständigkeit des Gehäuses .................. 36 5.5. Verformungsprüfung .......................................................................................... 37 5.6. Schwing- und Schockprüfung ............................................................................ 37 5.6.1. Schwingprüfung ................................................................................................. 38 Seite 5 von 80 GS-IFA-M21 Ausgabe 11/2015 5.6.2. Schockprüfung ................................................................................................... 38 5.7. Mechanische Eigenschaften von Anschlüssen .................................................. 39 5.7.1. Zusatzanforderungen für Messsysteme mit integrierten Anschlussleitungen ..... 39 5.8. Umgebungsbedingungen ................................................................................... 39 5.8.1. Trockene Kälte ................................................................................................... 39 5.8.2. Trockene Wärme................................................................................................ 40 5.8.3. Feuchte Wärme.................................................................................................. 40 5.9. Schutz gegen thermische Gefahren ................................................................... 40 5.10. Verschmutzung der Maßverkörperung ............................................................... 41 5.11. Elektrische Prüfungen ........................................................................................ 41 5.11.1. Stoßspannungsprüfung ...................................................................................... 41 5.11.2. Isolationsprüfung mit Wechsel- oder Gleichspannung ....................................... 41 5.12. Erwärmungsprüfung ........................................................................................... 41 5.13. Schutzleiteranschluss ........................................................................................ 42 5.14. EMV Störfestigkeitsprüfungen ............................................................................ 42 5.15. Anforderungen an Aufschriften und Betriebsanleitung ....................................... 42 5.15.1. Aufschriften ........................................................................................................ 42 5.15.2. Betriebsanleitung ............................................................................................... 43 6. MESSSYSTEM - VARIANTEN .......................................................................... 47 6.1. Sinus/Cosinus-Messsysteme mit zusätzlichem Absolut – Kanal ........................ 47 6.2. Messsysteme mit TTL/HTL - Ausgangssignalen ................................................ 47 6.3. Messsysteme nur mit sicherer Absolutschnittstelle ............................................ 47 6.4. Multiturn – Messsysteme ................................................................................... 48 Anhang A Fehlermodelle Mechanik .................................................................................... 49 Anhang B Fehlermodelle Elektrik ........................................................................................ 50 Anhang C Statische Analyse von Signalauswertung und Fehlererkennung ....................... 51 C.1 Motivation zur Analyse von Signalauswertung und Fehlererkennung ................ 51 C.2 Was bedeutet Statische Analyse der Signalverarbeitung?................................. 52 C.3 Standard-Testsignale ......................................................................................... 55 C.4 Simulation der spezifikationsgemäßen Signalverarbeitung ................................ 60 C.5 Bewertung der Spezifikation Signalverarbeitung ................................................ 62 C.6 Messsystem-FMEDA zum Nachweis des Diagnosedeckungsgrades von 100 % .. 68 Seite 6 von 80 GS-IFA-M21 Ausgabe 11/2015 C.7 MS-Excel-Tool zur Durchführung der Statischen Analyse ................................. 72 Anhang D Beispiel für die Quantifizierung .......................................................................... 73 Anhang E Anforderungen an die EM-Störfestigkeit............................................................. 75 Seite 7 von 80 GS-IFA-M21 Ausgabe 11/2015 1. ALLGEMEINES 1.1 Anwendungsbereich Die vorliegenden Prüfgrundsätze dienen der EG-Baumusterprüfung von sicheren Messsystemen, die auf Sinus- und Cosinus-Signalen basieren und für die Erfassung von Winkel oder Lage von Motorwellen, Antriebswellen, Linearachsen usw. vorgesehen sind. Die Fehlererkennung kann innerhalb des Messsystems und/oder im angeschlossenen Auswertegerät erfolgen. Neben dem reinen Sinus/Cosinus-Messsystem ist eine Vielzahl von Produktvarianten verfügbar, z. B. Sinus/Cosinus mit zusätzlichem Absolutwert, Messsysteme mit sicherer Busschnittstelle oder mit TTL/HTL-Ausgangssignalen. Diese Prüfgrundsätze gehen im Abschnitt 6 auf einige Varianten ein, jedoch sicherlich nicht auf alle. Im Bedarfsfall können weitere Varianten ergänzt werden. Die Grundsätze sind dann anzuwenden, wenn für das Messsystem die Anwendung in Sicherheitsfunktionen beansprucht wird und die Eignung des Messsystems zum Einsatz in einem bestimmte Performance Level und Safety Integrity Level nachgewiesen werden soll. Es wird davon ausgegangen, dass sowohl der Nachweis des PL als auch des SIL erforderlich ist. Anmerkung: Das Messsystem realisiert eine Teil-Sicherheitsfunktion, die Bestandteil der gesamten Sicherheitsfunktion zur Risikominderung an einer Maschine ist. Diese Prüfgrundsätze berücksichtigen in der vorliegenden Ausgabe inkrementale Messsysteme in Kategorie 3 oder 4 nach DIN EN ISO 13849-1. Je nach Kopplung des Messsystems an die Bewegung (Winkel- oder Weg-Messsystem) und entsprechend dem Einbauort (z. B. innerhalb des Motorgehäuses) ergeben sich teilweise unterschiedliche Anforderungen an die Umgebungsbedingungen, u. a. bezüglich der Beanspruchungen durch Temperatur und Schock/Vibration. Für Messsysteme, die intern bereits eine Verarbeitung der Positionssignale durchführen, um z. B. ein sicheres Ausgangssignal für Drehzahl bzw. Geschwindigkeit zu erzeugen, sind diese Prüfgrundsätze nicht ausreichend. Anmerkung: Messsysteme zum Einsatz in Sicherheitsfunktionen sind Sicherheitsbauteile nach (Maschinen-) Richtlinie 2006/42/EG und sind als Logikeinheit für Sicherheitsfunktionen dem Anhang IV zugeordnet (CNB/M/11.045). Mit der Erfüllung der Anforderungen dieses Prüfgrundsatzes sind die grundlegenden Sicherheits- und Gesundheitsschutzanforderungen des Anhangs I der Maschinenrichtlinie erfüllt. Seite 8 von 80 GS-IFA-M21 Ausgabe 11/2015 1.2 Richtlinien, Vorschriften, Normen Für Messsysteme existiert zurzeit keine Norm, die spezifische Anforderungen für diese Produkte enthält. Allerdings sind Messsysteme Funktionselemente des PDS(SR) „elektrisches Leistungsantriebssystem mit einstellbarer Drehzahl“, dessen Anforderungen in der Normenreihe DIN EN 61800 enthalten sind. Die Umgebungsbedingungen von Messsystemen sind vergleichbar mit denen von berührungslos wirkenden Positionsschaltern. Daher sind einige Anforderungen der Normenreihe DIN IEC 60947-5-2 entnommen. Die vorliegenden Prüfgrundsätze beinhalten die Anwendung von DIN EN 61800-5-1 DIN EN 61800-5-2 DIN EN ISO 13849-1 DIN EN ISO 13849-2 und gehen auf deren Anwendung im Einzelnen nur dann ein, wenn für Messsysteme - Anforderungen entfallen Anforderungen ergänzt werden eine angepasste Anwendung erforderlich ist Hinweise/Erläuterungen für die Anwendung gegeben werden sollen. Die folgenden zitierten Dokumente sind für die Anwendung dieses Dokuments erforderlich. Bei datierten Verweisungen gilt nur die in Bezug genommene Ausgabe. Bei undatierten Verweisungen gilt die letzte Ausgabe des in Bezug genommenen Dokuments (einschließlich aller Änderungen). Maschinenrichtlinie RICHTLINIE 2006/42/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 17. Mai 2006 über Maschinen und zur Änderung der Richtlinie 95/16/EG (Neufassung) Richtlinie 2006/42/EG des europäischen Parlaments und des Rates, http://ec.europa.eu/growth/sectors/mechanicalengineering/machinery/index_en.htm CNB/M/11.045 CO-ORDINATION OF NOTIFIED BODIES, Machinery Directive 2006/42/EC + Amendment, RECOMMENDATION FOR USE, Question: What are logic units to ensure safety functions according to Annex IV, 21? http://ec.europa.eu/growth/sectors/mechanicalengineering/machinery/index_en.htm Seite 9 von 80 GS-IFA-M21 Ausgabe 11/2015 DIN EN 61800-5-1 Elektrische Leistungsantriebssysteme mit einstellbarer Drehzahl - Teil 5-1: Anforderungen an die Sicherheit – Elektrische, Thermische und Energetische Anforderungen DIN EN 61800-5-2 Elektrische Leistungsantriebssysteme mit einstellbarer Drehzahl - Teil 5-2: Anforderungen an die Sicherheit – Funktionale Sicherheit (voraussichtlich 2016). Beuth, Berlin DIN EN 61800-3 Drehzahlveränderbare elektrische Antriebe - EMV-Anforderungen einschließlich spezieller Prüfverfahren DIN EN ISO 13849-1 Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 1: Allgemeine Gestaltungsleitsätze DIN EN ISO 13849-2 Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 2: Validierung DIN EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischer/ elektronischer/programmierbarer elektronischer Systeme -Teile 0 - 7 DIN EN 60204-1 Sicherheit von Maschinen - Elektrische Ausrüstung von Maschinen - Teil 1: Allgemeine Anforderungen DIN EN 60947-1 Niederspannungsschaltgeräte - Teil 1: Allgemeine Festlegungen (IEC 60947-1:2007 + A1:2010 + A2:2010); Deutsche Fassung EN 60947-1:2007 + A1:2011 + A2:2014 DIN EN 60947-5-2 Niederspannungsschaltgeräte - Teil 5-2: Steuergeräte und Schaltelemente - Näherungsschalter (IEC 60947-5-2:2007 + A1:2012); Deutsche Fassung EN 60947-5-2:2007 + A1:2012 DIN EN 61784 Normenreihe zu industriellen Kommunikationsnetzen GS ET 26 Grundsätze für die Prüfung und Zertifizierung von „Bussystemen für die Übertragung sicherheitsbezogener Nachrichten“, 2014-03, Fachbereich Energie Textil Elektro Medienerzeugnisse https://www.bgetem.de/arbeitssicherheit-gesundheitsschutz/ pruefen-zertifizieren/pruef-und-zertifizierungsstelle-elektrotechnik/ pruefgrundsaetze DIN EN 60068-2-1 Umgebungseinflüsse - Teil 2-1: Prüfverfahren - Prüfung A: Kälte (IEC 60068-2-1:2007); Deutsche Fassung EN 60068-2-1:2007 Seite 10 von 80 GS-IFA-M21 Ausgabe 11/2015 DIN EN 60068-2-6 Umgebungseinflüsse - Teil 2-6: Prüfverfahren - Prüfung Fc: Schwingen (sinusförmig) (IEC 60068-2-6:2007); Deutsche Fassung EN 60068-2-6:2008 DIN EN 60068-2-27 Umgebungseinflüsse - Teil 2-27: Prüfverfahren - Prüfung Ea und Leitfaden: Schocken (IEC 60068-2-27:2008); Deutsche Fassung EN 60068-2-27:2009 DIN EN 60068-2-47 Umgebungseinflüsse - Teil 2-47: Prüfverfahren - Befestigung von Prüflingen für Schwing-, Stoß und ähnliche dynamische Prüfungen (IEC 60068-2-47 :2005); Deutsche Fassung EN 60068-2-47:2005 DIN EN 60335-1 Sicherheit elektrischer Geräte für den Hausgebrauch und ähnliche Zwecke - Teil 1: Allgemeine Anforderungen (IEC 60335-1:2010, modifiziert); Deutsche Fassung EN 60335-1:2012 DIN EN 60950-1 Einrichtungen der Informationstechnik - Sicherheit - Teil 1: Allgemeine Anforderungen (IEC 60950-1:2005, modifiziert + Cor.:2006 + A1:2009, modifiziert + A1:2009/Cor.:2012 + A2:2013, modifiziert); Deutsche Fassung EN 60950-1:2006 + A11:2009 + A1:2010 + A12:2011 + AC:2011 + A2:2013 ISO 3864 Graphische Symbole - Sicherheitsfarben und Sicherheitszeichen - Teil 1: Gestaltungsgrundlagen für Sicherheitszeichen und Sicherheitsmarkierungen SN 29500 Ausfallraten Bauelemente, Erwartungswerte Siemens AG Corporate Technology Technology & Innovation Management CT TIM IR SI Otto-Hahn-Ring 6 81739 München, Deutschland Tel.: +49 89 636-634154 Fax: +49 89 636-48436 [email protected] PD IEC TR 62380 Reliability data handbook – Universal model for reliability prediction of electronics components PCBs and equipment, 2004-11-08 DIN EN 61709 Elektrische Bauelemente - Zuverlässigkeit - Referenzbedingungen für Ausfallraten und Beanspruchungsmodelle zur Umrechnung, 2012-01 Seite 11 von 80 GS-IFA-M21 Ausgabe 11/2015 2. BEGRIFFE 2.1 Messsystem Als Messsystem werden in diesen Prüfgrundsätzen Drehwinkelmesssysteme und Wegmesssysteme bezeichnet. 2.2 Drehwinkelmesssystem Sensor zur Erfassung der Position bei einer Drehbewegung. Anmerkung: auch als Drehgeber, Drehzahlgeber, Encoder, Drehimpulsgeber, Winkelcodierer bekannt. 2.2.1 Inkrementales Drehwinkelmesssystem Sensor zur Erfassung der Position bei einer Drehbewegung ohne eindeutig kodierte Zuordnung eines Drehwinkels zum Ausgangssignal. Es kann ein zusätzliches Indexsignal existieren. 2.2.2 Absolutes Drehwinkelmesssystem Sensor zur Erfassung der Position bei einer Drehbewegung mit eindeutig kodierter Zuordnung eines Drehwinkels zum Ausgangssignal. 2.2.2.1 Absolutes Drehwinkelmesssystem, singleturn Sensor zur Erfassung der Position bei einer Drehbewegung mit eindeutig kodierter Zuordnung eines Drehwinkels zum Ausgangssignal innerhalb einer einzigen Rotorumdrehung. 2.2.2.2 Absolutes Drehwinkelmesssystem, multiturn Sensor zur Erfassung der Position bei einer Drehbewegung mit eindeutig kodierter Zuordnung eines Drehwinkels zum Ausgangssignal innerhalb mehrerer Rotorumdrehungen. 2.3 Wegmesssystem Sensor zur Erfassung der Position bei einer geradlinigen Bewegung. Anmerkung: auch als Lineargeber bekannt. 2.3.1 Inkrementales Wegmesssystem Sensor zur Erfassung der Position bei einer geradlinigen Bewegung ohne absolute Zuordnung einer Position zum Ausgangssignal. Es kann ein zusätzliches Indexsignal existieren. 2.3.2 Absolutes Wegmesssystem Sensor zur Erfassung der Position bei einer geradlinigen Bewegung mit eindeutig kodierter Zuordnung einer Position zum Ausgangssignal. 2.4 Groblage Positionswert, der durch Zählung von Perioden, Halbperioden oder Quadranten des durch Abtastung der Maßverkörperung erzeugten Sinus-Signals gebildet wird. Seite 12 von 80 GS-IFA-M21 Ausgabe 11/2015 2.5 Feinlage Positionswert innerhalb einer Periode, einer Halbperiode oder eines Quadranten der Maßverkörperung. Die Feinlage wird durch Auswertung der analogen Sinus- und CosinusSignale gebildet. 2.6 Gesamtlage Positionswert, der durch additive Kombination der Groblage und der Feinlage entsteht und dadurch den Messbereich der Groblage mit der Auflösung der Feinlage bietet. 2.7 Interpolation Bestimmung der Feinlage z. B. durch Bildung des arctan aus den analogen Sinus- und Cosinus-Signalen und Erhöhung der Genauigkeit der Groblage, indem diese mit der Feinlage additiv zur Gesamtlage kombiniert wird. 2.8 Lagerloses Messsystem Sensor ohne eigenes Lager oder ohne eigene Führung. 2.9 Einbau-Messsystem Sensor zum Einbau am Verwendungsort. Das Einbau-Messsystem erfüllt erst durch den Einbau am Verwendungsort die Anforderungen an den Schutz gegen Umweltbedingungen. 2.10 Anbau-Messsystem Sensor zum Anbau am Verwendungsort. Das Anbau-Messsystem erfüllt eigenständig den Schutz gegen Umweltbedingungen. 2.11 Mechanische Verbindungselemente Mechanische Verbindungselemente stellen eine lagesichere Fixierung von Stator und Rotor bei Drehwinkelmesssystemen bzw. Maßverkörperung und Abtasteinheit bei Wegmesssystemen sicher. 2.11.1 Kupplung Eine Kupplung stellt die mechanische Schnittstelle zwischen Messsystem und Maschine her und hat die Aufgabe mechanische Toleranzen beim Anbau oder im Betrieb zu kompensieren. 2.11.1.1 Wellenkupplung Eine Wellenkupplung stellt eine flexible, möglichst drehsteife Verbindung zwischen der Welle eines Drehwinkelmesssystems und einer Antriebswelle dar. Die Kupplung befindet sich zwischen den beiden Wellenenden. 2.11.1.2 Statorkupplung Eine Statorkupplung befestigt das Gehäuse eines Drehwinkel-Messsystems am Anbringungsort und ist an dessen Flansch bzw. Gehäuse befestigt. Sie ist dann notwendig, wenn die Wellen starr verbunden sein müssen. Beispiel: Anmerkung: Drehwinkelmesssystem mit Hohlwelle die Statorkupplung ist auch als Drehmomentstütze bekannt. Seite 13 von 80 GS-IFA-M21 Ausgabe 11/2015 2.12 Interface Separate elektronische Baugruppe des Messsystems zur Signalaufbereitung. Anmerkung: Je nach Ausführung ist die Funktionalität des Interface in das Messsystem integriert. 2.13 Auswertegerät Externes Betriebsmittel, in dem das Ausgangssignal des Drehwinkel- oder Wegmesssystems ausgewertet wird und ggf. Diagnosemaßnahmen erfolgen. Beispiele: Frequenzumrichter, Sicherheitsbausteine zur Überwachung von Drehzahl oder Stillstand 2.14 Sicherheitsfunktion Funktion einer Maschine, wobei ein Ausfall der Funktion zur unmittelbaren Erhöhung des Risikos (der Risiken) führen kann [ISO 12100-1:2003, 3.28] 2.15 Teil-Sicherheitsfunktion Funktion, die Bestandteil einer gesamten Sicherheitsfunktion (Sensor, Logik, Aktor) ist. 2.16 PDS(SR) Elektrisches Leistungsantriebssystem mit einstellbarer Drehzahl, das für den Einsatz in sicherheitsbezogenen Anwendungen geeignet ist [DIN EN 61800-5-2, 3.11] 2.17 Gefährlicher Fehler Zustand des Messsystems, durch den unter Berücksichtigung der vom Hersteller angegebenen Toleranzen für die Teil-Sicherheitsfunktion bei Winkelmesssystemen ein falscher Winkel/eine falsche Drehrichtung bzw. bei Wegmesssystemen eine falsche Position/eine falsche Bewegungsrichtung bestimmt wird. 2.18 Signalauswertung Siehe 2.20. 2.19 Diagnose Siehe 2.20. 2.20 Signalverarbeitung Die Signalverarbeitung umfasst die Auswertung der Ausgangssignale des Messsystems zum Zweck der Ausführung der Sicherheitsfunktion und die Integritätsprüfung der Ausgangssignale zur Erkennung von Fehlern im Messsystem (Diagnose). Signalverarbeitung = Signalauswertung + Diagnose 2.21 Prozesssicherheitszeit Zeitspanne zwischen dem Auftreten eines Ausfalls des Messsystems mit dem Potential, einen gefährlichen Vorfall zu verursachen, und dem Zeitpunkt, bei dem die Reaktion abgeschlossen sein muss, um das Auftreten eines gefährlichen Vorfalls zu verhindern. [In Anlehnung an IEC61508-4, 3.6.20] Seite 14 von 80 GS-IFA-M21 Ausgabe 11/2015 2.22 Fehlererkennung und -reaktion in Prozesssicherheitszeit Aufdeckung eines erkennbaren gefährlichen Fehlers und Einleitung einer geeigneten Fehlerreaktion so schnell nach Auftreten des Fehlers, dass das Auftreten eines gefährlichen Vorfalls verhindert wird. Anmerkung: Für sich genommen beinhaltet dieses Systemmerkmal noch keine Aussagen zum Diagnosedeckungsgrad, zur Hardware-Architektur und zum Systemverhalten bei einem beliebigen einzelnen Fehler. 2.23 Fehlerreaktion Funktion, die ausgelöst wird, wenn ein Fehler oder Ausfall erkannt wird, der einen Verlust der Sicherheitsfunktion zur Folge haben kann, und die dazu bestimmt ist, den sicheren Zustand der Maschine/Anlage aufrechtzuerhalten oder das Entstehen gefahrbringender Zustände in der Maschine/Anlage zu verhindern. 2.24 Funktionale Sicherheit Teil der Gesamtsicherheit, bezogen auf die zu steuernde Einrichtung (en: equipment under control, EUC) und die EUC-Steuerung, der von der korrekten Funktion der E/E/PE(elektrischen/elektronischen/programmierbaren elektronischen) sicherheitsbezogenen Systeme, der sicherheitsbezogenen Systeme anderer Technologien und externer Einrichtungen zur Risikominderung abhängt. [DIN EN 61508-4] 2.25 Hardwarefehlertoleranz (HFT) Fähigkeit einer Funktionseinheit, eine geforderte Funktion bei Bestehen von Fehlern oder Abweichungen weiter auszuführen. [DIN EN 61508-4:2011-02, 3.6.3] Anmerkung: Nach DIN EN 61800-5-2 ergeben sich aus der Hardwarefehlertoleranz Anforderungen für das Diagnosetestintervall. Zudem ist die HFT dort in Abschnitt 6.2.3.1 eines der Merkmale, die benutzt werden, um eine Obergrenze für den Safety Integrity Level (SIL) zu ermitteln. Nach DIN EN 61508 2:2011 02 darf bei der Ermittlung der Hardwarefehlertoleranz keine Berücksichtigung von Diagnoseeinrichtungen oder anderen Maßnahmen erfolgen, welche die Auswirkungen von Fehlern beherrschen können. 2.26 Ideale Fehlererkennung Aufdeckung aller gefährlichen Ausfälle (DC = 100%) und Herbeiführung eines sicheren Zustands innerhalb der garantierten System-Reaktionszeit (bzw. Prozesssicherheitszeit). Anmerkung: „Ideale Fehlererkennung“ ist ein Mittel, das angewendet wird, um (Sub-) Systemen, die ohne Diagnosemaßnahmen eine Hardwarefehlertoleranz von 0 besitzen, die Eigenschaft der Einfehlersicherheit zu verleihen. Die Einfehlersicherheit ist zwingende Bedingung für die Kategorien 3 und 4. 2.27 Arbeitstemperaturbereich Der Arbeitstemperaturbereich gibt an, zwischen welchen Temperaturgrenzen die angegebenen Fehlergrenzen nicht überschritten werden dürfen. 2.28 Messpunkt der Arbeitstemperatur Messpunkt zur Messung der Arbeitstemperatur. Er wird vom Hersteller definiert und befindet sich auf der Geräteoberfläche. Seite 15 von 80 GS-IFA-M21 Ausgabe 11/2015 2.29 FMEDA, quantitativ Die quantitative FMEDA (Failure Modes, Effects and Diagnostics Analysis) stellt die Eingangsdaten für die Quantifizierung (Berechnung von PFH, SFF, MTTFd) bereit. Sie wird separat für jeden Funktionsblock durchgeführt. Dabei werden die Ausfallraten aller im Block enthaltenen Bauelemente separat in die Anteile safe (S), dangerous (D) und dangerous detectable (DD) aufgeteilt. Maßgeblich für die Zuordnung ist die Wirkung der betreffenden Ausfallrichtung auf die Blockfunktion und bei Ausfall des Blockes in die gefährliche bzw. sicherheitstechnisch ungünstige Richtung die Erkennbarkeit des Ausfalls durch die vorgesehene Diagnose (vgl. hierzu Abschnitt 3.7.4 und Anhang D). 2.30 FMEDA, qualitativ Die qualitative FMEDA (Failure Modes, Effects and Diagnostics Analysis) dient der Aufdeckung möglicher systematischer Effekte und Szenarien, welche die Ausführung der Sicherheitsfunktion beeinträchtigen könnten. Mit ihr muss für alle Bauteile nachgewiesen werden, dass Ausfälle mit negativer Wirkung auf die Sicherheitsfunktion durch die spezifizierte Diagnose erkannt und beherrscht werden oder dass im Einzelfall ein bestimmter Ausfall begründet ausgeschlossen werden kann. Insbesondere dient die FMEDA zum Nachweis der Einfehlersicherheit eines Messsystems (siehe Abschnitte 3.4, 5.2.1 und 5.2.3). In Verbindung mit der Statischen Analyse (siehe Anhang C) wird mit der qualitativen FMEDA nachgewiesen, dass alle anzunehmenden Fehlerszenarien durch die spezifizierte Diagnose beherrscht werden (siehe Anhang C.6). Seite 16 von 80 GS-IFA-M21 Ausgabe 11/2015 3 DURCHFÜHRUNG VON PRÜFUNG UND ZERTIFIZIERUNG 3.1 Allgemeines Die Prüfung besteht aus der erstmaligen Prüfung einzelner Prüfabschnitte sowie gegebenenfalls aus Wiederholungsprüfungen. Die einzelnen Prüfabschnitte bei einer sicherheitstechnischen Gesamtprüfung werden in folgender Reihenfolge durchgeführt: Konzeptprüfung (entfällt ggf. bei nicht komplexen Steuerungen und Komponenten) Baumusterprüfung o Prüfung der elektrischen Sicherheit o Prüfung der Anforderungen der Funktionalen Sicherheit o Prüfung der umwelttechnischen Anforderungen o Prüfung der elektromagnetischen Verträglichkeit o Prüfung der Anwenderdokumentation Prüfzertifikatserstellung Konzeptprüfungen können von der Prüfstelle auch als separater Vorgang durchgeführt werden. Diese werden mit einem Konzeptprüfbericht abgeschlossen und dienen als Basis für die Erstellung eines Angebotes für Baumusterprüfung und Zertifizierung. Änderungen am Produkt sind der Prüfstelle vom Hersteller anzuzeigen. Diese entscheidet über den Umfang erforderlicher Wiederholungsprüfungen. Die Prüfstelle hat das Recht, bei erheblichen Mängeln den Prüfvorgang abzubrechen. Die bis zu einem Abbruch entstandenen Aufwendungen werden dem Antragsteller gemäß Angebot in Rechnung gestellt. 3.2 Grundlagen und Ablauf von Prüfung und Zertifizierung Der organisatorische Ablauf einer Prüfung/Zertifizierung ist in der Prüf- und Zertifizierungsordnung der Prüf- und Zertifizierungsstellen im DGUV Test; BGG/GUV-G 902, gültig in der jeweils aktuellen Fassung, geregelt. Im Rahmen von Prüfungen auf der Basis dieser Prüfgrundsätze ist folgende Vorgehensweise zu beachten. 3.2.1 Angebot und Kosten Die Prüfstelle erstellt nach Prüfung einer Anfrage ein Angebot für die Prüfung und ggf. Zertifizierung. Alle Aufwendungen im Rahmen von Prüfung und Zertifizierung werden dem Auftraggeber gemäß aktuell gültiger Gebührenliste der Prüfstelle in Rechnung gestellt. Seite 17 von 80 GS-IFA-M21 Ausgabe 11/2015 3.2.2 Auftrag und Vertrag Die Prüfstelle bereitet den entsprechenden Prüf- und Zertifizierungsvertrag vor. Die Prüfung wird mit beiderseitiger Unterzeichnung des Prüf- und Zertifizierungsvertrages durch den Hersteller beauftragt. Bei EG-Baumusterprüfungen hat der Hersteller schriftlich zu bestätigen, dass er die gleiche Prüfung nicht bei anderen Prüfstellen in Auftrag gegeben hat. 3.2.3 Einreichung von Unterlagen Zu den einzureichenden Unterlagen gehören in der Regel (soweit zutreffend): Dokumentationsliste (Übersicht der eingereichten Unterlagen), Spezifikationen mit Blockschaltbildern und Beschreibung der jeweiligen Funktionsblöcke, Technische Daten V+V-Plan (Validierung + Verifikation), Entwurf von Hardware und Software, Schaltpläne, Layouts von Leiterkarten, Stücklisten, Datenblätter der Bauteile, einschließlich Ausfallrate „nicht-standardmäßiger“ Bauteile wie Opto-ASICs, Opto-Analog-Digital-ASICs, FPGAs etc. Bei Speichern mit Einfluss auf die Sicherheitsfunktion auch Angaben zur Größe, Technologie und Soft-Error-Rate. Konstruktionszeichnungen Festigkeitsberechnungen Bestückungspläne, Kommentierter Source-Code, Verwendete Tools, Sprachen bzw. Techniken, Deklaration und Beschreibung aller Variablen und Signalnamen, Qualitative FMEDA (siehe 2.29) Ausfallraten gefahrbringender Ausfälle bzw. MTTFd verwendeter Bauteile, über B10d-ermittelte Ersatzwerte sowie Bestimmung der mittleren Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde (PFH), Externe Prüfberichte, z. B. von akkreditierten Prüflaboren, Betriebsanleitung. Weitere zur Prüfung erforderliche Unterlagen werden ggf. von der Prüfstelle angefordert oder nach Vereinbarung zwischen Hersteller und Prüfstelle dieser zur Verfügung gestellt (z. B. Quantitative FMEDA). Seite 18 von 80 GS-IFA-M21 Ausgabe 11/2015 3.2.4 Anlieferung von Prüfobjekten In der Regel erfolgt die Erstprüfung des Baumusters im Prüflabor der Prüfstelle. Nach Begutachtung der eingereichten Unterlagen fordert die Prüfstelle ggf. das (die) Prüfobjekt(e) beim Auftraggeber an oder vereinbart die Durchführung von Prüfungen im Herstellerlabor. Der Hersteller muss das(die) Prüfmuster auf Verlangen der Prüfstelle so anpassen, aufbereiten bzw. ergänzen, dass die erforderlichen Prüfungen durchgeführt werden können. Nach DIN EN 61800-5-1, Abschnitt 5.1.2 gilt: Bei der Prüfung ähnlicher Produkte müssen nicht alle Modelle geprüft werden. Jede Prüfung sollte an einem oder mehreren Modellen mit mechanischen und elektrischen Kennwerten durchgeführt werden, die alle Modelle einer Baureihe für diese bestimmte Prüfung angemessen repräsentieren. Die für die Prüfung benötigte Anzahl und der Stand der Prüflinge werden von der Prüfstelle festgelegt. 3.2.5 Wiederholungsprüfungen Eine Wiederholungsprüfung ist erforderlich, wenn bei der erstmaligen Prüfung Mängel festgestellt wurden. Wenn der Auftraggeber die im Prüfbericht aufgeführten Mängel beseitigt hat, unterrichtet er die Prüfstelle, ggf. unter Beifügung geeigneter Unterlagen. Die Prüf- und Zertifizierungsstelle entscheidet, ob für eine Wiederholungsprüfung ein geändertes Baumuster vorzustellen ist oder ob die Beseitigung der Mängel durch Vorlegen geeigneter Unterlagen nachgewiesen werden kann. Nach der ersten Wiederholungsprüfung mit negativem Ergebnis kann eine weitere Wiederholungsprüfung stattfinden. Führt auch diese zu einem negativen Ergebnis, entscheidet die Prüf- und Zertifizierungsstelle, ob das Prüfverfahren abgebrochen wird. 3.2.6 Ausstellen des Zertifikats Die Zertifizierung erfolgt nach positivem Abschluss einer Baumusterprüfung auf der Grundlage von Prüfberichten/Prüfzeugnissen der Prüfstelle sowie ggf. unter Einbeziehung von Prüfberichten/Prüfzeugnissen/Prüfzertifikaten externer Prüfstellen. 3.2.7 Art des Zertifikats Die Zertifizierungsstelle stellt nach positiver Beurteilung je nach Prüfauftragsumfang aus: eine Baumusterprüfbescheinigung oder EG- Baumusterprüfbescheinigung hinsichtlich umfassender sicherheitstechnischer Anforderungen, eine Bescheinigung mit der Berechtigung zur Anbringung eines DGUV Test-Zeichens. 3.2.8 Gültigkeit von Zertifikaten Die Gültigkeit eines ausgestellten Zertifikats ist auf maximal 5 Jahre begrenzt. 3.2.9 Kontrollmaßnahmen Als Standardkontrollmaßnahme werden nach der Prüf- und Zertifizierungsordnung (BGG/GUV-G 902) Produktprüfungen an einem oder an mehreren der serienmäßig gefertigten Prüfmuster durchgeführt. Seite 19 von 80 GS-IFA-M21 Ausgabe 11/2015 4. SICHERE MESSSYSTEME - GRUNDLAGEN Die korrekte Bewertung sicherer Messsysteme erfordert teilweise Kenntnisse, die nicht allgemein verfügbar sind. Aus diesem Grund werden im Folgenden einige Teilaspekte detailliert erläutert, bevor im anschließenden Kapitel die Durchführung von Prüfungen beschrieben wird. 4.1. Fehlermodelle Es werden für die Bauteile die jeweiligen Fehlermodelle nach DIN EN ISO 13849-2 bzw. DIN EN 61800-5-2 angewendet. 4.2. Fehlerausschlüsse Sind für die Bewertung der funktionalen Sicherheit Fehlerausschlüsse für Bauteilfehler erforderlich, so sind diese nach DIN EN ISO 13849-1 zu begründen, bzw. es ist Anhang A, Anhang B, DIN EN 61800-5-2 oder DIN EN ISO 13849-2 anzuwenden. Für SIL3/PLe ist die Anwendung von Fehlerausschlüssen beschränkt (ISO TR 23849, Abs. 7.2.2). Dies gilt jedoch nicht für mechanische Aspekte (siehe Anhang A und IEC 61800-5-2:2016, Exception zu Tabelle 5 in Abs. 6.2.3.3). 4.3. Einfehlersicherheit Die meisten Sicherheitsfunktionen erfordern die sichere Erkennung der Bewegungsrichtung. Hierfür werden sowohl das Sinus- als auch das Cosinus-Signal benötigt. Ist eines der Signale fehlerhaft, so ist die korrekte Erkennung der Bewegungsrichtung nicht mehr sichergestellt. Folglich bilden die Signalpfade für das Sinus- und das Cosinus-Signal für die Erkennung der Bewegungsrichtung keine Redundanz. Gleiches gilt, wenn in einer Sicherheitsfunktion die Interpolation unter Verwendung von Sinus- und Cosinus-Signal angewendet wird. Die hier betrachteten Messsysteme sind daher als einkanalig anzusehen. Anmerkung: Messsysteme, die alleinig für eine richtungsunabhängige Geschwindigkeits- oder Drehzahlüberwachung eingesetzt werden dürfen, können bei entsprechender Auslegung der Hardware des Messsystems als zweikanalig betrachtet werden. Bei der Mehrzahl der Messsysteme wird durch die Verbindung einer einkanaligen Struktur mit der Idealen Fehlererkennung (siehe 2.26) trotzdem das für die Kategorien 3 und 4 konstitutive Merkmal der Einfehlersicherheit erreicht. Die sin/Cos- Signalverarbeitung von Messsystemen erfolgt häufig unter Einsatz eines einzelnen analogen oder mixed signal ASICs. Es erfolgt keine Digitalisierung der Analogsignale. Aufgrund der Signalform mit der hiermit verbundenen Phasenverschiebung sind zufällige Ausfälle eines Schaltungsteils, die zu einem gefährlichen, nicht erkennbaren Fehler führen, nicht zu unterstellen. Für diese ASICs darf daher in Verbindung mit der Idealen Fehlererkennung eine Einfehlersicherheit unterstellt werden. Aufgrund der Idealen Fehlererkennung kann prinzipiell keine Fehleranhäufung auftreten. Im Sinne eines konservativen Ansatzes ist bei Verwendung von nur einem ASIC ohne On-Chip Redundanz die erreichbare Kategorie auf Kategorie 3 beschränkt. Seite 20 von 80 GS-IFA-M21 Ausgabe 11/2015 4.4. Nicht erkennbare Fehler Die Erkennung von Fehlern kann sowohl innerhalb des Messsystems, als auch im Auswertegerät erfolgen. Zur Realisierung der Idealen Fehlererkennung dürfen im Messsystem keine Fehlermöglichkeiten bestehen, die nicht erkennbar sind. Die Fehler erkennenden Maßnahmen im Auswertegerät sind ausschließlich auf Basis der Sinus- und Cosinus-Ausgangssignale möglich (siehe Anmerkung 2). Sofern keine geeigneten internen Maßnahmen verfügbar sind, dürfen im Messsystem daher keine Fehlermöglichkeiten bestehen, die hiermit nicht erkennbar sind (siehe C.6). Beispiele sind die Vertauschung von Sinus und Cosinus durch Multiplexer, Invertierung von Signalen und Bruch der Antriebswelle bei Winkelmesssystemen. Zur Bewertung von Messsystemen ist daher eine qualitative FMEDA durchzuführen, um 1. die sicherheitstechnische Architektur festzustellen und 2. potentiell gefährliche und nicht erkennbare Ausfallmechanismen und -szenarien ausschließen zu können. Anmerkung 1: Eine etwaige Bewertung der Risiko-Prioritätszahl (RPZ) darf nicht zum Ignorieren gefährlicher, unentdeckbarer Fehler führen. Anmerkung 2: Bei dieser Aussage wird die (übliche) Verwendung von Quadraturdekodern zur Ansteuerung der Positionszähler unterstellt. Der Betrachtungsumfang der qualitativen FMEDA beinhaltet sämtliche Hardwarekomponenten des Messsystems. Hierzu gehören auch mechanische Bauteile und für den Betrieb erforderliche elektrische Leitungen, auch wenn sie nicht zum Lieferumfang des Messsystems gehören. Es ist bekannt, dass Messsysteme in der Anwendung möglicherweise höheren mechanischen Kräften ausgesetzt werden, als sie laut Spezifikation zulässig sind, z. B. durch das Einfallen von Bremsen oder das Durchfahren von Resonanzfrequenzen. Für diese Fälle muss nachgewiesen werden, dass das Messsystem nicht gefährlich unerkennbar ausfällt. Auch hierfür ist die FMEDA hilfreich. 4.4.1. Sicherheitstechnische Architektur Es wird unterstellt, dass die hier betrachteten Messsysteme für positionsbezogene Sicherheitsfunktionen eingesetzt werden können oder die Interpolation von Sinus- und CosinusSignalen zulässig ist. Damit liegt eine einkanalige Architektur vor (siehe 4.3). Trotzdem ist in der Regel das Merkmal der Einfehlersicherheit erfüllt (erforderlich für Kategorie 3 und Kategorie 4 der DIN EN ISO 13849-1), sofern für elektrische und elektronische Bauteile eine „Ideale Fehlererkennung“ vorliegt (siehe 2.26) und für relevante mechanische Bauteile Fehlerausschlüsse möglich sind. Anmerkung: Bei Vorliegen einer einkanaligen Architektur im gesamten Messsystem kann die Hardware als Ganzes zu einem einzigen Funktionsblock zusammengefasst werden. Seite 21 von 80 GS-IFA-M21 Ausgabe 11/2015 4.4.2. Analyse hinsichtlich potentiell kritischer Ausfallmechanismen Es dürfen keine Schaltungsteile vorhanden sein, die im Fehlerfall zur Vortäuschung einer falschen Bewegungsrichtung führen können. Hierzu gehören z. B. Multiplexer, welche die beiden Analogsignale vertauschen können sowie Verstärkerstufen, bei denen zwischen positivem und negativem Verstärkungsfaktor umgeschaltet werden kann (Invertierung). Es dürfen weiterhin keine Schaltungsteile vorhanden sein, die im Fehlerfall zur Vortäuschung eines Stillstands führen. Hierzu gehören Fehler, die zu einer konstanten Ausgangsspannung eines Kanals führen (siehe Anhang C.6), die durch die vorgesehene Fehlererkennung unter Berücksichtigung des Toleranzfensters nicht aufgedeckt werden. Lager können z. B. durch Alterung der Schmierung oder Abnutzung ausfallen und sich dabei unvorhergesehen erhitzen oder den Rundlauf beeinträchtigen. Hierdurch werden ggfs. Bauteile außerhalb des zulässigen Temperaturbereichs betrieben. Lagerfehler werden jedoch aufgedeckt, bevor Kräfte auftreten, für die das Messsystem nicht spezifiziert ist und die z. B. das Lösen der Wellenverbindung zur Folge haben können. Anmerkung: Bei optischen Messsystemen führen erfahrungsgemäß Lagerfehler zu einem Verlust der Vorspannung der Lagerbaugruppe, Dadurch entstehen Rundlauffehler, die zu einer Verfälschung der Sinus/Cosinus-Signalform führen und durch die Zeigerlängenüberwachung aufgedeckt werden. 4.5. Fehler erkennende Maßnahmen (DC) Um die erforderliche Ideale Fehlererkennung zu erreichen, müssen die Fehler erkennenden Maßnahmen und die Schaltschwellen zur Quadranten-Detektion geeignet aufeinander abgestimmt sein. Andernfalls kann z. B. der Fall auftreten, dass die Amplitude von Sinusoder Cosinus-Signal so verändert ist, dass dieser Fehler durch Diagnosemaßnahmen (noch) nicht aufgedeckt wird, aber aufgrund ungünstiger Schaltschwellen im Auswertegerät die Erkennung der Bewegung fehlerhaft ist. Bei inkrementalen Messsystemen mit Sinus- und Cosinus-Ausgang macht die monolithische Integration der Wegsensoren und der analogen Schaltungen zur Signalerzeugung eine FMEDA auf Transistorebene nahezu unmöglich. Dennoch muss bewertet werden, ob die vom Hersteller spezifizierten Vorgaben zur Verarbeitung der analogen Ausgangssignale angemessen sind. Dazu wird das Verfahren „Statische Analyse von Signalauswertung und Fehlererkennung“ angewendet. Hierbei werden die Ausgangssignale des Messsystems so angenommen (Testsignal), dass die Auswirkungen der diversen Bauteilfehler vollständig nachgebildet werden. Der Hersteller des Messsystems muss die Anforderungen an das erforderliche Verfahren zur Signalauswertung und zur Fehlererkennung spezifizieren. Dazu gehören: Festlegung der Schaltschwellen für die Quadranten-Detektion Verfahren zur Fehleraufdeckung (Diagnose) durch Auswertung der Analogsignale Anmerkung: Ein übliches Verfahren zur Fehlererkennung ist die Zeigerlängenüberwachung. Seite 22 von 80 GS-IFA-M21 Ausgabe 11/2015 Zur Prüfung dieser Spezifikation wird die ihr entsprechende Verarbeitung der analogen Signale simuliert, wobei an die Stelle der korrekten Signale eine Reihe von Testsignalen tritt, welche die anzunehmenden Fehler im Messsystem repräsentieren (siehe Abbildung 1). Abbildung 1: Statische Analyse von Signalauswertung und Fehlererkennung Wegen der erforderlichen Einfehlersicherheit und der vorliegenden Einkanaligkeit muss die statische Analyse die Erkennung aller Fehler (100 %) nachweisen. Anmerkung 1: Für die Quantifizierung wird in einer konservativen Einstufung für die Bauteile ein DC von 99 % angesetzt, obwohl alle Fehler erkannt werden. Anmerkung 2: Es ist für die Durchführung der statischen Analyse unerheblich, ob die Fehlererkennung innerhalb des Messsystems oder/und im Auswertegerät erfolgt. Für Messsysteme, die über keine oder unzureichende interne Maßnahmen zur Fehlererkennung verfügen, können Fehler erkennende Maßnahmen durch das Auswertegerät vorgeschrieben werden. Im Benutzerhandbuch sind diese Maßnahmen zu beschreiben. Das Verfahren der statischen Analyse ist im Anhang C näher beschrieben. Für die Durchführung wird vom IFA eine Excel-Datei zur Verfügung gestellt. Die Berücksichtigung des dynamischen Verhaltens kann nur auf Seiten des Anwenders erfolgen. Hier muss sichergestellt werden, dass die verwendete Hardware für die Signalauswertung und Fehlererkennung über den gesamten zu erwartenden Frequenzbereich der Ausgangssignale des Messsystems fehlerfrei funktionsfähig ist (Hinweis in der Betriebsanleitung erforderlich). Seite 23 von 80 GS-IFA-M21 Ausgabe 11/2015 4.6. Statische Analyse der spezifizierten Signalauswertung und Fehlererkennung Die Diagnose erfolgt bei dieser Art von Geräten teilweise oder vollständig in der angeschlossenen Steuerung bzw. in einem angeschlossenen Auswertegerät. Darum muss geprüft werden, ob die in der Benutzerinformation aufgeführten Anforderungen für die Verarbeitung der Analogsignale a) b) zur Ausführung der Sicherheitsfunktionen und zur Integritätsprüfung der Signale geeignet sind, um (ggf. zusammen mit den im Messsystem integrierten Fehler erkennenden Maßnahmen) einen Diagnosedeckungsgrad (DC) von 100 % und die Fehlererkennung innerhalb der Prozesssicherheitszeit begründen zu können (= Ideale Fehlererkennung). Zur Untermauerung des Diagnosedeckungsgrades von 100 % wird das Verfahren „Statische Analyse“ (Anhang C) angewendet. Die Wirksamkeit der vorgeschriebenen Diagnosemaßnahmen im gesamten zulässigen Frequenzbereich ist in der Anwendung sicherzustellen (Anforderung an die Inhalte der Benutzerinformation). 4.7. Quantifizierung Zur quantitativen Abschätzung der sicherheitsbezogenen Zuverlässigkeit des Messsystems wird die durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde (PFH) ermittelt. Durch die Bestimmung weiterer quantitativer Größen wird die SIL-, die Kategorie und die PL-Fähigkeit des Messsystems nachgewiesen. Ein Beispiel für eine Quantifizierung wird in Anhang D vorgestellt. Anmerkung: Die vereinfachte Methode der DIN EN ISO 13849-1 zur Bestimmung der PFH ist in der Regel nicht geeignet, weil bei den hier betrachteten Messsystemen, die Kategorie 3 oder 4 erfüllen sollen, die Einfehlersicherheit durch eine einkanalige Struktur mit Idealer Fehlererkennung (DC = 100% in Prozesssicherheitszeit) realisiert wird. Eine einkanalige Struktur mit derart hochwertiger Diagnose wird durch die DIN EN ISO 13849-1 nicht behandelt. Die zweckdienlichen Schritte bei der Durchführung der Quantifizierung umfassen die Feststellung der sicherheitstechnischen Architektur und deren Darstellung in Gestalt des sicherheitsbezogenen Blockdiagramms, das Zusammentragen der Ausfallraten der im sicherheitsbezogenen Blockdiagramm enthaltenen Hardware (Mechanik, Optik, Elektrik, Elektronik,…), die Anpassung der Ausfallraten unter Referenzbedingungen (auch Basis-Ausfallraten genannt) an realistische Betriebstemperaturen (Arbeitstemperaturen), die Durchführung einer funktionsblockbezogenen quantitativen FMEDA einschließlich der Bewertung der Diagnosemaßnahmen zur Erkennung von Fehlern im Messsystem bei Redundanz die Abschätzung des Common-Cause-Faktors , Seite 24 von 80 GS-IFA-M21 Ausgabe 11/2015 die Berechnung der PFH mit einer geeigneten mathematischen Modellierungsmethode, die Berechnung der Safe Failure Fraction (SFF) und der MTTFd eines Kanals, die Ermittlung der quantitativen SIL-Fähigkeit (SIL-Obergrenze), die Ermittlung der quantitativen Kategoriefähigkeit, die Ermittlung der quantitativen PL-Fähigkeit. Diese Schritte werden in den folgenden Abschnitten erläutert. 4.7.1. Sicherheitstechnische Architektur und sicherheitsbezogenes Blockdiagramm Im Hinblick auf den Beitrag des Messsystems zu damit zu realisierenden Sicherheitsfunktionen wird dessen komplette Hardware (Mechanik, Optik, Elektronik …) in sinnvolle Funktionsblöcke aufgeteilt (z. B. bei einem optisch arbeitenden Winkelmesssystem: Antrieb der Codescheibe, Beleuchtung der Codescheibe, optische Abtastung der Signalspuren, elektronische Signalverarbeitung, Spannungsversorgung, …). Durch Betrachten des Zusammenwirkens der Funktionsblöcke beim Ausführen der Sicherheitsfunktion wird festgestellt, ob und an welcher Stelle Redundanz vorliegt. Bei Redundanz müssen Common-Cause-Ausfälle berücksichtigt werden, falls sie nicht begründet ausgeschlossen werden können. Für jeden Funktionsblock wird festgestellt, ob eine Online-Diagnose (d. h. automatisch während des Betriebs) für ihn existiert und von welcher Hardware (im Messsystem selbst oder außerhalb) diese Diagnose ausgeführt wird oder ob ein begründeter Fehlerausschluss für den Block gemacht werden kann. Die zusammengetragenen Informationen werden in einem sicherheitsbezogenen Blockdiagramm dargestellt (siehe BGIA-Report 2/2008, 2. Auflage, Anhang B). Logisch in Reihe geschaltete Funktionsblöcke dürfen (müssen nicht) zu einem Block zusammengefasst werden. Das sicherheitsbezogene Blockdiagramm zeigt wie ein genuines ZuverlässigkeitsBlockdiagramm die logischen Verknüpfungen zwischen den Funktionsblöcken und führt zusätzlich die zur Verfügung stehende Diagnose auf. Zweckmäßig können darin alle für die Quantifizierung benötigten Größen wie Ausfallraten, Diagnosedeckungsgrade, Common-Cause-Faktoren eingetragen und den einzelnen Funktionsblöcken zugeordnet werden. 4.7.2. Ausfallraten Die Ausfallraten gängiger elektrischer, elektronischer und optoelektronischer Bauelemente können aus anerkannten Sammlungen generischer Ausfallraten entnommen werden, wie beispielsweise der SN 29500. Im Fall von Sonderbauteilen (z. B. ASICs) sollten/müssen sie vom Hersteller der Bauteile angegeben werden. Sofern Speicherbausteine verwendet werden, sind ggf. auch Soft-Errors zu berücksichtigen. Für mechanische Bauelemente kommen einschlägige Mechanik-Ausfallratensammlungen in Frage (z. B. von Exida). In Tabelle 1 werden für einige Bauteile Hinweise zur Berücksichtigung bei der Quantifizierung gegeben. Seite 25 von 80 GS-IFA-M21 Ausgabe 11/2015 Bauteil Gehäuse Lagerung, komplett, ggfs. mit Dichtung Dichtungen zwischen feststehenden Teilen Elektronik und elektrische Komponenten (z. B. Anschlussstecker) Drehmomentstütze mit nachgewiesener Dauerfestigkeit Wellenkupplung mit nachgewiesener Dauerfestigkeit Bei Quantifizierung berücksichtigen? nein ja ja nein nein ja nein Befestigung der Maßverkörperung Klebestellen (z. B. Klebung der Codescheibe der auf Welle) nein 2) Fehlerausschluss nicht möglich1) MTTFd = 150a; Siehe 3.4.2 nein Getriebe Befestigungselemente und Materialeigenschaften des Sensorsystems innerhalb des Messsystems Maßverkörperung 1) Bemerkung ja ja Siehe 5.2.7 Dauerfestigkeit begründet erforderlichen Fehlerausschluss Siehe 5.2.7 Dauerfestigkeit begründet erforderlichen Fehlerausschluss MTTFd = 150 a2) Eine Berücksichtigung bei der Quantifizierung kann entfallen, sofern Beschädigung oder Verschmutzung (siehe 5.10) nicht zu einem gefährlichen Fehler (siehe 2.17) führen kann oder ein Fehlerausschluss nach DIN EN ISO 13849-2 bzw. DIN EN 61800-5-2 (siehe Anhang A) begründet ist. Falls keine Zahlenwerte zur Abschätzung der MTTFd vorliegen, ist MTTFd = 150 Jahre anzusetzen (s. DIN EN ISO 13849-1, Tabelle C.1, Mechanische Bauteile). Dauerhafte Befestigung erforderlich, Siehe 5.2.2 Fehlerausschluss durch Nachweis entsprechend DIN EN ISO 13849-2 möglich Die Befestigungselemente von Winkelmesssystemen sind üblicherweise nicht für die bei einem blockierten Lager auftretenden Kräfte ausgelegt. Es treten jedoch vor der endgültigen Blockierung Lagerfehler auf, die durch die Fehler erkennenden Maßnahmen aufgedeckt werden können. Sofern die Konstruktion des Getriebes nach dem Verfahren guter ingenieurmäßiger Praxis unter Verwendung grundlegender und bewährter Sicherheitsprinzipien erfolgte (siehe BGIA-Report 2/2008, 2. Auflage, Anhang D2.5) Tabelle 1: Bauteile für Messsysteme und deren Berücksichtigung bei der Quantifizierung Seite 26 von 80 GS-IFA-M21 Ausgabe 11/2015 4.7.3. Ausfallraten unter realistischen Arbeitstemperaturen Die Ausfallraten bestimmter Bauelemente sind stark temperaturabhängig. Darum muss die in der Anwendung zu erwartende Bauelement-Temperatur bei der Ermittlung ihrer Ausfallrate berücksichtigt werden. Beispielsweise werden viele Winkelmesssysteme motornah montiert, so dass sie durch den erheblichen Wärmeeintrag über die Welle regelmäßig und systematisch (also nicht nur zufällig und vereinzelt einmal) in der Nähe ihrer erlaubten oberen Grenztemperatur betrieben werden. Auch die Lager- und Dichtungsreibung trägt zur Erwärmung bei. Daher müssen die Ausfallraten und darauf basierend die PFH für diese zulässige Anwendung unter Berücksichtigung einer nicht immer am oberen Grenzwert liegenden Umgebungstemperatur ermittelt und angegeben werden. Die Berücksichtigung erfolgt z. B. durch TPFH = TArbeit + Tdelta – 15 K Anmerkung 1: Durch den Abzug von 15 K wird berücksichtigt, dass Messsysteme nicht dauerhaft bei der maximal zulässigen Temperatur betrieben werden. Anmerkung 2: Tdelta ist der Temperaturunterschied zwischen Arbeitstemperatur und maximal auftretender Bauteiltemperatur. Zusätzlich können PFH-Werte für niedrigere Betriebstemperaturen ermittelt und angegeben werden. Die Umrechnung von Ausfallraten unter Referenzbedingungen in Ausfallraten bei anderen (meist höheren) Temperaturen erfolgt durch Multiplikation der Raten mit einem Temperatur-Korrekturfaktor T. Geeignete Gleichungen für diese Bauelementartspezifischen Korrekturfaktoren sind in IEC 61709 angegeben. Anmerkung: Auch die Ausfallratensammlung SN 29500 verwendet die Korrekturfaktoren aus IEC 61709. 4.7.4. Quantitative FMEDA und Bewertung der Diagnosemaßnahmen Die quantitative FMEDA dient dazu, für die im sicherheitsbezogenen Blockdiagramm verzeichneten Funktionsblöcke jeweils die Ausfallrate in die gefährliche Richtung D und den durch Diagnose erkennbare Anteil DD davon zu ermitteln. Anmerkung: Bei redundanten Funktionsblöcken führt der Ausfall eines Blocks nicht zum Verlust der Sicherheitsfunktion. In diesem Fall bezeichnet D die Rate des Blockausfalls in die sicherheitstechnisch ungünstige Richtung (Verlust der vorgesehenen Blockfunktion). Um zunächst allein die Ausfallrate eines Funktionsblocks zu bestimmen, kann im einfachsten Fall auch die „Parts-Count-Methode“ herangezogen werden, die darin besteht, die Ausfallraten aller Bauelemente des Blocks zu addieren. Dabei wird gesetzt: D i i Hierbei repräsentieren die i die Ausfallraten der einzelnen Bauelemente des Blocks. Seite 27 von 80 GS-IFA-M21 Ausgabe 11/2015 Durch den Mehraufwand einer quantitativen FMEDA kann jedoch eine günstigere (kleinere) Block-Ausfallrate in die gefährliche Richtung D ermittelt werden. Voraussetzung für die Einstufung eines bestimmten Ausfalls als gefährlich (D) oder ungefährlich (S) ist, dass die Sicherheitsfunktion und somit die gefährliche Ausfallrichtung des Funktionsblocks bekannt ist, weil sonst nicht beurteilt werden kann, ob durch den Ausfall die Sicherheitsfunktion beeinträchtigt wird (D) oder nicht (S). Bei einem universellen Messsystem, das für verschiedene, nicht bekannte Sicherheitsfunktionen einsetzbar sein soll, können nur bestimmte Arten von Ausfällen mit Gewissheit als ungefährlich (S) eingestuft werden. Eine pauschale Bewertung der halben Bauelement-Ausfallrate als „S“ ist daher nicht angemessen. Dennoch können durch die quantitative FMEDA aus der Ausfallratensumme für D folgende Beiträge entfernt werden: Ausfallraten von Bauelementen, die weder direkt noch mittelbar (z. B. in der Aufbereitung der Versorgungsspannung) an der Ausführung der Sicherheitsfunktion beteiligt sind („not part failures“) Ausfallraten von Bauelementen, deren Ausfall keine Auswirkung auf die Ausführung der Sicherheitsfunktion hat („no effect failures“) Raten für einzelne Bauelement-Ausfallrichtungen, deren Eintritt keine Auswirkung auf die Ausführung der Sicherheitsfunktion hat („no effect failures“) Anmerkung: Zur Abschätzung diese Anteils kann verwendet werden: - IEC 61709 - IEC-TR 62380 - in FMEDA-Tools hinterlegte Ausfallartenverteilung - die 50 %-Regel Ein unnötiger Wechsel der Quelle für die Ausfallartenverteilung von Bauteil zu Bauteil ist nicht zulässig. In einkanaligen Teilen des Messsystems müssen Ausfälle in die gefährliche Richtung zu 100 % erkannt werden, um das Kriterium der Einfehlersicherheit zu erfüllen. Daher darf es keine Beiträge zur gefährlichen Ausfallrate geben, für die der Diagnosedeckungsgrad < 100% beträgt. Im Sinne einer konservativen Abschätzung, d. h. einer Abschätzung zur sicheren Seite, wird bei 100%-iger Fehlererkennung in den einkanaligen Teilen die Diagnose für alle gefährlichen Ausfälle mit der Stufe „hoch“ bewertet, d. h. für die PFHBerechnung wird gesetzt: DC = 99%. In redundanten Teilen des Messsystems muss der Diagnosedeckungsgrad für jeden Ausfall in die gefährliche Richtung individuell abgeschätzt werden. Anhaltspunkte für die Einschätzung bieten die Tabellen aus DIN EN ISO 13849-1, Anhang E und die Tabellen aus IEC 61508-2, Anhang A. Für den einzelnen gefährlichen Ausfall eines Bauelementes i aus einem Funktionsblock ergibt sich damit eine Aufteilung der gefährlichen Ausfallrate in den erkennbaren Anteil i DD DCi i D und den unerkennbaren Anteil i DU 1 DCi i D . Seite 28 von 80 GS-IFA-M21 Ausgabe 11/2015 Für einen Funktionsblock (FB) oder eine logische Reihenschaltung von Funktionsblöcken ergibt sich ein gemittelter Diagnosedeckungsgrad durch die Gleichung DCFB i DD i iD i Anmerkung: Im BGIA-Report 2/2008, 2. Auflage, Anhang B, ist ein Beispiel für eine quantitative FMEDA dargestellt. 4.7.5. Abschätzung des Common-Cause-Faktors (nur bei Redundanz) Hierzu ist die Anwendung des Verfahrens aus DIN EN ISO 13849-1, Anhang F; oder aus IEC 61508-6, Anhang D oder eine begründete eigene Abschätzung geeignet. Anmerkung: Das Verfahren aus DIN EN ISO 13849-1 ermöglicht nur die Rechtfertigung der Abschätzung mit einem Common-Cause-Faktor von 2%. Aus dem komplizierteren Verfahren nach DIN EN 61508-6 können auch andere Werte des Common-Cause-Faktors resultieren. 4.7.6. Abschätzung der PFH Abhängig von der Hardware-Architektur und den Eingangsgrößen, die berücksichtigt werden müssen, wird ein geeignetes Rechenverfahren zur Abschätzung der PFH (ggf. auch PFD) ausgewählt. Dieses Verfahren verwendet als Eingangsgrößen die funktionsblockbezogenen Ausfallraten und Diagnosedeckungsgrade, die in der funktionsblockbezogenen quantitativen FMEDA ermittelt wurden. Bei Redundanz wird auch der Common-Cause-Faktor mit verwendet. 4.7.7. Safe Failure Fraction (SFF) und MTTFd eines Kanals Zum Nachweis der maximalen quantitativen SIL-Fähigkeit (SIL-Obergrenze) (siehe Abschnitt 3.7.8) nach DIN EN 61800-5-2 muss die Failure Fraction (SFF) ermittelt werden. Besteht die Architektur aus Bereichen (Subsystemen) mit verschiedener Hardware-Fehlertoleranz, so muss dies für jeden Bereich separat erfolgen. Die Berechnung der SFF erfolgt mit der Gleichung S DD . SFF S D Anmerkung 1: Die Raten von „Not part failures“ werden nicht in die Berechnung der SFF mit einbezogen. Anmerkung 2: Die Berechnung der SFF kann mitunter vermieden werden, siehe Abschnitt 3.7.8. Für die Zuerkennung einer Kategorie nach DIN EN ISO 13849-1 (siehe Abschnitt 3.7.9) muss die MTTFd eines Kanals betrachtet werden. Zu ihrer Ermittlung werden im sicherheitsbezogenen Blockdiagramm der oder die Kanäle identifiziert, welche die Sicherheitsfunktion ausführen. Auch mittelbar der Funktionsausführung dienende Teile (z. B. Schaltungen zur Spannungsregelung) müssen mit einbezogen werden. Allein zu Diagnosezwecken dienende Teile werden ausgeschlossen. Die Ausfallraten in die gefährliche Richtung der so identifizierten Funktionsblöcke werden addiert. Bei redundanten Kanälen ist der Kanal mit der größeren (schlechteren) Ausfallrate auszuwählen. Als Ergebnis ergibt sich die Ausfallrate eines Kanals (one channel) in die gefährliche Richtung OC D. Für die MTTFd eines Kanals gilt dann: 1 MTTFd OC D Seite 29 von 80 GS-IFA-M21 Ausgabe 11/2015 4.7.8. Ermittlung der quantitativen SIL-Fähigkeit Nach DIN EN 61800-5-2 sind strukturelle Einschränkungen zu beachten, die zu einer SILObergrenze führen. Besteht die Architektur aus Bereichen (Subsystemen) mit verschiedener Hardware-Fehlertoleranz, so muss dies für jeden Bereich separat erfolgen. Die SIL-Obergrenze wird ermittelt mit einer der Tabellen Hardware-Sicherheitsintegrität: Strukturelle Einschränkungen der Architektur für sicherheitsbezogene Teilsysteme des Typs A bzw. Hardware-Sicherheitsintegrität: Strukturelle Einschränkungen der Architektur für sicherheitsbezogene Teilsysteme des Typs B, je nach Art der Hardware (Typ) des Subsystems. Der Bereich mit dem kleinsten maximalen SIL bestimmt den maximalen SIL des Messsystems. Erfüllt bereits der DC die Anforderung für die SFF, die für den angestrebten SIL benötigt wird, so muss wegen SFF S S DD D DD DC D die Ausfallrate S in die sichere Richtung nicht ermittelt werden. Anderenfalls muss sie aus der quantitativen FMEDA entnommen werden. In DIN EN 61800-5-2 legt die Tabelle „Sicherheits-Integritätslevel: Ausfallgrenzwerte für eine Sicherheitsfunktion eines PDS(SR)“ SIL-abhängige Obergrenzen für die PFH von Sicherheitsfunktionen fest. Somit setzt die PFH des Messsystems eine zweite Obergrenze für den SIL. Die kleinere der beiden genannten SIL-Obergrenzen repräsentiert die quantitative SIL-Fähigkeit des Messsystems. 4.7.9. Ermittlung der quantitativen Kategoriefähigkeit Die in Frage kommenden Kategorien 3 und 4 nach DIN EN ISO 13849-1 stellen Anforderungen an die MTTFd und den DCavg des Funktionskanals (ggf. der Funktionskanäle). Zur Berechnung von MTTFd und DCavg können die aus der quantitativen FMEDA gewonnenen Daten verwendet werden. Die Anforderungen, die die einzelnen Kategorien an MTTFd und DCavg stellen, können dem Kapitel „Spezifikation der Kategorien“ in DIN EN ISO 13849-1 entnommen werden. 4.7.10. Ermittlung der quantitativen PL-Fähigkeit In DIN EN ISO 13849-1 legt die Tabelle „Performance Level (PL)“ PL-abhängige Obergrenzen für die PFH von Sicherheitsfunktionen fest. Somit setzt die PFH des Messsystems eine Obergrenze für den PL, in dem das Messsystem einsetzbar ist. Seite 30 von 80 GS-IFA-M21 Ausgabe 11/2015 5. PRÜFUNGEN Diese Prüfgrundsätze enthalten Mindestanforderungen. Sofern Hersteller höhere Anforderungen spezifizieren, sind diese bei der Prüfung heranzuziehen. Falls nicht eindeutig zu bestimmen ist, welche Anforderungen die höheren sind, ist die Übereinstimmung mit den Herstellerangaben zusätzlich nachzuweisen. 5.1. Funktionstests Zur Validierung der (Teil-) Sicherheitsfunktionen im Messsystem sind Funktionstests erforderlich. Während dieser Funktionstests werden Überprüfungen ausgeführt, um festzustellen, ob die vom Hersteller spezifizierten Eigenschaften des Systems erreicht worden sind. Abweichungen von der Spezifikation und Anzeichen einer unvollständigen Spezifikation werden dokumentiert. Um das Systemverhalten zu testen, wird die Einbringung oder Simulation von Fehlern in die Systemhardware empfohlen. Die Reaktion des Systems auf diese Fehler ist zu dokumentieren und mit den Anforderungen aus der Spezifikation zu vergleichen. 5.2. Funktionale Sicherheit Die Entwicklung des Messsystems muss zur Vermeidung von Fehlern während der Entwicklung nach DIN EN 61800-5-2 erfolgen. Es gelten die in dieser Norm festgelegten Anforderungen, sofern zutreffend. Zusätzlich sind die Anforderungen aus DIN EN ISO 13849-1 und -2 zu erfüllen. Die Produktprüfung erfolgt entwicklungsbegleitend. Falls dies nicht möglich ist, ist durch Vorlage der entsprechenden Dokumentation die Entwicklung nach DIN EN 61800-5-2 nachzuweisen. Falls erforderlich, wird im Folgenden auf besondere Anforderungen bei der Prüfung eingegangen. 5.2.1. Nachweis der Einfehlersicherheit Es muss eine qualitative FMEDA durchgeführt werden. Für sämtliche Funktionsblöcke ist zu zeigen, dass Bauteilfehler aus physikalischen Gründen nicht vorkommen können, oder Bauteilfehler der Mechanik in Folge von Überdimensionierung(en) ausgeschlossen werden können (siehe 5.2.7), oder die Einfehlersicherheit durch Redundanz gewährleistet ist, oder die Einfehlersicherheit ohne Redundanz durch „Ideale Fehlererkennung (siehe 2.26)“ mit den vom Hersteller vorgegebenen Fehler erkennenden Maßnahmen erreicht wird. In der Anwendung von Messsystemen können ggfs. die Sinus- und Cosinus-Signale zur Erhöhung der Auflösung interpoliert werden. Die zur Erreichung der Idealen Fehlererkennung erforderlichen Fehler erkennenden Maßnahmen müssen dafür ausreichend sein. Seite 31 von 80 GS-IFA-M21 Ausgabe 11/2015 Es wird geprüft, ob einer der drei folgenden zulässigen Wege gewählt wird: Die Interpolation von Sinus- und Cosinus-Signal für Sicherheitsfunktionen wird in der Betriebsanleitung ausgeschlossen, oder die vom Hersteller vorgeschriebenen Fehler erkennenden Maßnahmen stellen auch für die durch Interpolation erreichte höhere Auflösung die Ideale Fehlererkennung sicher, oder es wird in der Betriebsanleitung darauf hingewiesen, dass bei Interpolation anwenderseitig die zur Erreichung der Idealen Fehlererkennung erforderlichen Fehler erkennenden Maßnahmen festzulegen und sicherzustellen sind. 5.2.2. Eignung der verwendeten Bauteile und Werkstoffe Durch Prüfung, Besichtigung, evtl. Berechnung und Vergleich mit den technischen Unterlagen wird geprüft, ob die Bauteile und Werkstoffe des Messsystems mit bestehenden Normen übereinstimmen, und für den vorgesehenen Einsatz geeignet sind, und innerhalb ihrer festgelegten Bemessungswerte betrieben werden. Anmerkung: Hierzu gehören auch die internen Verdrahtungsleitungen, die Anschlussleitungen, die Befestigung der Maßverkörperung (z. B. Temperaturbeständigkeit eines Klebstoffs). Zur Bewertung der Eignung für den vorgesehenen Arbeitstemperaturbereich ist zu berücksichtigen: die Erwärmung des Messsystems durch die elektrische Leistungsaufnahme der zulässige Umgebungstemperaturbereich des Messsystems die Wärmeaufnahme bzw. -abgabe am Montageort Bei Winkelmesssystemen mit Kopplung der Sensorwelle an die Antriebswelle ist die Wärmeaufnahme bzw. -abgabe vorwiegend durch die thermischen Eigenschaften der Montage bestimmt. Sofern eine thermisch isolierte Montage nicht durch die Benutzerinformation ausgeschlossen ist, ist die Temperaturerhöhung durch Lagerreibung und Reibung der Wellendichtung zu bestimmen. Hierzu wird das Messsystem unter Verwendung von thermisch isolierenden Materialien montiert und es wird die Eigenerwärmung im zulässigen Drehzahlbereich bestimmt. Alle Bauteile müssen im zulässigen Temperaturbereich betrieben werden. Ggf. ist in der Benutzerinformation eine Einschränkung bzgl. Drehzahl- und/oder Umgebungstemperaturbereich aufzunehmen. Die Wirksamkeit der Maßverkörperung und deren Befestigung müssen während der Gebrauchsdauer dauerhaft sein. Dies muss über eine FMEDA nachgewiesen werden. Zur Begründung von Fehlerausschlüssen bzgl. des Lösens der Maßverkörperung sind sinngemäß die Faktoren zur Überdimensionierung in Anhang A anzuwenden. Seite 32 von 80 GS-IFA-M21 Ausgabe 11/2015 5.2.3. Plausibilitätsprüfung der qualitativen FMEDA Die vom Hersteller vorgelegte qualitative FMEDA muss auf Vollständigkeit, Widerspruchsfreiheit und Plausibilität geprüft werden. Für Bauteilfehler, bei denen das in der qualitativen FMEDA beschriebene Systemverhalten nicht plausibel ist, muss ein Fehlereinbau oder eine Fehlersimulation durchgeführt werden. Die Reaktion des Systems auf diese Fehler ist zu dokumentieren. Im Messsystem dürfen keine Bauteile mit gefährlichen Fehlermöglichkeiten vorhanden sein, die durch die Fehler erkennenden Maßnahmen nicht aufzudecken sind. Beispiele sind Vertauschung von Sinus und Cosinus durch Multiplexer oder Invertierung (Bewegungsrichtung wird falsch erkannt) Einfrieren von digitalisierten Analogwerten für Sinus und Cosinus Beispiel: IC digitalisiert analoge Signale und wandelt sie nach digitaler Bearbeitung wieder in Analogsignale um. Bruch der Antriebswelle bei Winkelmesssystemen (Stillstand wird fälschlich erkannt). Für die Analyse der Schaltungsteile sind die Fehlermodelle der DIN EN ISO 13849-2 zugrunde zu legen. Bei Winkelmesssystemen mit Lagerung ist darzulegen, dass Lagerfehler aufgedeckt werden, bevor so hohe Kräfte auftreten, dass sich die Wellenverbindung lösen kann. Anmerkung: Ein rechnerischer Nachweis ist hierzu nicht möglich, da in der Regel die bei blockiertem Lager auftretenden Kräfte unbekannt sind. Vor der Blockierung des Lagers kommt es jedoch zu Signalverfälschungen, die ohnehin aufgedeckt werden muss (siehe Tabelle 1, Fußnote 1). Mögliche Maßnahmen sind in 3.4.2 beschrieben. Die Einwirkung von für die Anwendung üblichen mechanischen Kräften, wie z. B. durch das Einfallen oder Lösen von Bremsen oder das Durchfahren von Resonanzfrequenzen darf nicht zu einem gefährlichen, unerkennbaren Ausfall führen. Der Nachweis erfolgt durch eine FMEDA und ggfs. geeigneten Versuch. Anmerkung: In der Regel werden die oben angenommenen Beeinflussungen durch die Fehler erkennenden Maßnahmen aufgedeckt. 5.2.4. Fehler erkennende Maßnahmen Die ggf. im Messsystem integrierte Fehlererkennung muss zusammen mit der vom Hersteller des Messsystems für das Auswertegerät vorgeschriebenen Fehlererkennung einen Diagnosedeckungsgrad von 100 % aufweisen (siehe 4.5). Der Nachweis ist mit der Methode „Statische Analyse“ zu führen. Sofern die Verwendung von durch Interpolation des Sinus- und Cosinus-Signals erzeugten Positionswerten in Sicherheitsfunktionen nicht in der Benutzerinformation ausgeschlossen ist, muss der Hersteller angeben, wieviel Stützpunkte innerhalb einer Periode der Maßverkörperung verwendet werden dürfen. Das zur Prüfung der Analogsignal-Integrität spezifizierte Verfahren muss dazu geeignet sein, alle Fehler aufzudecken, die zu einer Abweichung gegenüber der angegebenen Genauigkeit für interpolierte Positionswerte führen. Seite 33 von 80 GS-IFA-M21 Ausgabe 11/2015 5.2.5. Quantifizierung Die sicherheitsbezogene Zuverlässigkeit des Messsystems muss durch eine quantitative Abschätzung nach 4.7 bestimmt werden. 5.2.6. Sicherheitsrelevante Software Wenn zur Ausführung der Sicherheitsfunktion Software eingesetzt wird, so muss diese Software nach den Anforderungen in DIN EN 61800-5-2/DIN EN ISO 13849-1 für den vorgesehenen SIL/PL realisiert werden. 5.2.7. Mechanische Befestigung Jedes Messsystem enthält einen stationären und einen beweglichen Teil, die mittels Befestigungselementen mit den entsprechenden Maschinenteilen verbunden sind. Wenn eine gelöste Verbindung zu einem gefährlichen Ausfall des Messsystems führen kann, so ist die Zulässigkeit für einen Fehlerausschluss nachzuweisen (siehe DIN EN ISO 13849-2 und/oder Anhang A). Fehlerausschlüsse können für mechanische Verbindungselemente durch entsprechende Überdimensionierungen begründet werden (siehe Anhang A und DIN EN ISO 13849-2). Schraubverbindungen müssen gegen Selbstlockern (auch als Folge von Setzen) gesichert sein. Der Nachweis kann über geeignete Versuche erbracht werden. Notwendige Festigkeits-Nachweise für Maschinenbauteile (statisch und dynamisch) können z. B. gemäß aktueller FKM-Richtlinie erfolgen. Schraubverbindungen können gemäß VDI RL 2230 berechnet werden. Anmerkung: 5.2.8. Bezugsquelle FKM-Richtlinie: Rechnerischer Festigkeitsnachweis für Maschinenbauteile aus Stahl, Eisenguss- und Aluminiumwerkstoffen, VDMA Verlag, Herausgeber: Forschungskuratorium Maschinenbau (FKM), Postfach 71 08 64, 60498 Frankfurt/Main, www.vdma-verlag.com Beispiele für geeignete Versuche: Zum Nachweis von Fehlerausschlüssen werden im Anhang A u. a. geeignete Versuche gefordert. Im Folgenden werden hierfür Beispiele gegeben. 5.2.9. Befestigung Sensorwelle an Antriebswelle Die Verbindung von Sensorwelle und Antriebswelle wird 10 000 000 Drehrichtungswechseln unterzogen. Das Messsystem wird hierbei Belastungen ausgesetzt, die sich aus den Herstellerangaben und dem für die Kräfte zutreffenden Sicherheitsfaktor ergeben. 5.2.10. Statorkupplung (Drehmomentstütze) und Wellenkupplung Das Messsystem wird nach Herstellervorschrift unter zusätzlicher axialer und radialer Vorspannung (statische Belastung) montiert und 10 000 000 Umdrehungen mit einer Exzentrizität (dynamische Belastung) unterzogen. Für den Versuchsaufbau sind folgende Dimensionierungen vorzunehmen: Seite 34 von 80 GS-IFA-M21 Ausgabe 11/2015 5.2.10.1. Axiale Belastungen Statisch: Das Messsystem wird mit einem axialen Versatz montiert, der sich aus der Herstellerangabe für die maximal zulässige Wellenbewegung und dem für die Kräfte zutreffenden Sicherheitsfaktor aus Anhang A ergibt. Dabei sind die Anforderungen für kraftschlüssige Verbindungen zugrunde zu legen, da die Belastungen sowohl formschlüssige als auch kraftschlüssige Komponenten enthalten. Bei stoffschlüssigen Verbindungen gelten die jeweils höheren Anforderungen. Dynamisch: entfällt, weil bei bestimmungsgemäßer Verwendung die axialen dynamischen Belastungen gegenüber den statischen vernachlässigbar sind. 5.2.10.2. Radiale Belastungen Statorkupplung statisch / Wellenkupplung dynamisch: Das Messsystem wird mit einem radialen Versatz montiert, der sich aus der Herstellerangabe für die maximal zulässige Wellenbewegung und dem für die Kräfte zutreffenden Sicherheitsfaktor aus Anhang A ergibt. Dabei sind die Anforderungen für kraftschlüssige Verbindungen zugrunde zu legen, da die Belastungen sowohl formschlüssige als auch kraftschlüssige Komponenten enthalten. Statorkupplung dynamisch / Wellenkupplung statisch: Die Antriebswelle wird mit einem exzentrischen Zusatzring versehen (siehe Abbildung 2). Die Größe der Exzentrizität wird bestimmt aus der nach Herstellerangaben maximal zulässigen Wellenbewegung und dem für die Kräfte zutreffenden Sicherheitsfaktor aus Anhang A. Dabei sind die Anforderungen für kraftschlüssige Verbindungen zugrunde zu legen, da die Belastungen sowohl formschlüssige als auch kraftschlüssige Komponenten enthalten. y+x Zusatzring Antriebswelle y Abbildung 2: Beispiel für Zusatzring zur Montage mit Exzentrizität von x Für den Versuch ist die ungünstigste Drehzahl zu wählen, die z. B. durch Beschleunigungsmessung oder Messung der Auslenkung zu ermitteln ist. Die gewählte Drehzahl muss innerhalb der Spezifikation des Messsystems liegen. Anschließend erfolgt eine visuelle Untersuchung auf mögliche Schäden. Seite 35 von 80 GS-IFA-M21 Ausgabe 11/2015 5.3. Luft- und Kriechstrecken / Kurzschlussprüfung von Leiterplatten Die Prüfung der Luft- und Kriechstrecken erfolgt gemäß DIN EN 61800-5-1, Abschnitt 5.2.2.1. Erfüllen die Abstände die Anforderungen der DIN EN 61800-5-1, Tabelle 9 und 10 kann auf die Kurzschlussprüfung von Leiterplatten verzichtet werden. Bemessungsbeispiel für erforderliche Luft- und Kriechstrecken auf Leiterplatten: Systemspannung / Arbeitsspannung: ≤ 50 V Überspannungskategorie: II Verschmutzungsgrad: 2 1. Eine Systemspannung von ≤50 V entspricht bei Überspannungskategorie II einer Stoßspannung in Höhe von 500 V (DIN EN 61800-5-1, Tabelle 7). 2. Eine Stoßspannung von 500 V entspricht bei einem Verschmutzungsgrad 2 einer erforderlichen Mindestluftstrecke von 0,1 mm (DIN EN 61800-5-1, Tabelle 9 mit Anmerkung a). 3. Eine Arbeitsspannung von ≤50 V erfordert bei einem Verschmutzungsgrad 2 eine erforderliche Mindestkriechstrecke von 0,04 mm (DIN EN 61800-5-1, Tabelle 10). 4. Der Wert für die ermittelte Mindestkriechstrecke wird auf den Wert der ermittelten Mindestluftstrecke erhöht. 5. Die erforderliche Luft- und Kriechstrecke beträgt mindestens 0,1 mm. Anmerkung: 5.4. Fehlerannahmen auf Leiterplatten/Baugruppen mit Anforderungen an Fehlerausschlüsse sind in DIN EN 61800-5-2, Tabelle D.2 aufgeführt. Prüfung der Nichtberührbarkeit / der Vollständigkeit des Gehäuses Die Prüfung erfolgt gemäß DIN EN 61800-5-1, Abschnitt 5.2.2.3 und Abschnitt 5.2.2.4 Gehäuse von Messsystemen, die nicht ausschließlich mit einer PELV-Spannungsquelle versorgt werden, müssen mindestens der Schutzart IP54 entsprechen. Das Gleiche gilt für Messsysteme, bei denen ein Fehlerausschluss entsprechend DIN EN 61800-5-2, Tabelle D.2 in Anspruch genommen wurde. Bei Einbau-Messsystemen entfällt die Prüfung. Stattdessen müssen in der Betriebsanleitung geeignete Angaben enthalten sein, die die geforderte Schutzart durch den Einbau am Verwendungsort gewährleisten. Diese Prüfung wird im Anschluss an die Schwing- und Schockprüfung durchgeführt. Seite 36 von 80 GS-IFA-M21 Ausgabe 11/2015 5.5. Verformungsprüfung Die Prüfung erfolgt gemäß DIN EN 61800-5-1, Abschnitt 5.2.2.5. Ausgenommen sind Messsysteme, die ausschließlich mit einer PELV-Spannungsquelle versorgt werden und Einbau-Messsysteme. 5.6. Schwing- und Schockprüfung Das Messsystem einschließlich des ggf. zugehörigen Interfaces muss eine ausreichende mechanische Festigkeit gegenüber den bestimmungsgemäß zu erwartenden Beanspruchungen, z. B. Erschütterungen, Schläge oder Stöße haben. Zum Nachweis der mechanischen Festigkeit muss eine Schwingprüfung mit gleitender Frequenz und eine Schockprüfung durchgeführt werden. Das Messsystem einschließlich des ggf. zugehörigen Interfaces wird nach Montageanleitung und unter Berücksichtigung der in DIN EN 60068-2-47 aufgeführten Anforderungen montiert und an die Stromversorgung angeschlossen. Je nach Ausführung wird die Welle des Winkelmesssystems bzw. das Wegmesssystem inkl. seiner Maßverkörperung fixiert (Stillstand). Allgemeine Bewertungskriterien während jeder Einzelprüfung: Es erfolgt im Stillstand des Messsystems eine Überwachung auf die vom Hersteller in der Betriebsanleitung angegebene Toleranz des Signals. Es muss ein Abtastintervall von ≤ 200 µs gewählt werden. Anmerkung: Das hier genannte Abtastintervall wird für die Anwendung des Messsystems in Sicherheitsfunktionen als ausreichend angesehen, da die zeitlichen Anforderungen an Sicherheitsfunktionen geringer sind als die zeitlichen Anforderungen an den Regelkreis. Allgemeine Bewertungskriterien nach jeder Einzelprüfung: Elektrisch aktive Teile dürfen nicht berührbar geworden sein (siehe Kapitel 5.4). Teile dürfen sich nicht gelöst oder gelockert haben, wenn dadurch die Sicherheit des Messsystems beeinträchtigt ist. Es dürfen keine Beschädigungen auftreten, die Einfluss auf die Funktion, die Sicherheit oder die bestimmungsgemäße Befestigung haben. Der Prüfling muss noch die in der Benutzerinformation angegebene Schutzart gegen Eindringen von festen Fremdkörpern, Staub und Wasser erfüllen (siehe Kapitel 5.4). Die bestimmungsgemäße Funktion muss weiterhin vollständig erfüllt sein. o Beim Bewegen des Messsystems per Hand werden nach Durchführung des Tests plausible Werte für Sinus und Cosinus ausgegeben. Seite 37 von 80 GS-IFA-M21 Ausgabe 11/2015 5.6.1. Schwingprüfung Winkelmesssystem Prüfnorm Wegmesssystem Interface DIN EN 60068-2-6 Frequenzbereich/Amplitude 5 Hz ≤ f ≤ 8,7 Hz / 10 mm 10 Hz – 55 Hz / 1 mm 10 Hz ≤ f ≤ 58 Hz / 0,075 mm Frequenzbereich/ 8,7 Hz ≤ f ≤ 200 Hz / 30 m/s² 58 Hz ≤ f ≤ 150 Hz / 10 m/s² Beschleunigung Schwingungsart Schwingungsdauer sinusförmig 10 Durchlaufzyklen je Achse an jeder der drei zueinander senkrecht stehenden Achsen 5 Min Anschließend: Dauer der Standzeit bei Resonanzfrequenz oder bei 55 Hz: 30 min in jeder der 3 Achsen (insgesamt 90 min) 10 Durchlaufzyklen je Achse an jeder der drei zueinander senkrecht stehenden Achsen Entnommen: DIN EN 60947-52:2014, Abs. 7.4.2 Durchstimmgeschwindigkeit 5.6.2. 1 Oktave/min Schockprüfung Winkelmesssystem Prüfnorm Halbsinus 250 m/s² Schockdauer 6 ms Schockfolge (1 - 3) / s Anzahl der Schocks Interface DIN EN 60068-2-27 Schockform Spitzenbeschleunigung Wegmesssystem 100 ± 5 (in allen 6 Richtungen) 300 m/s² 150 m/s² 11 ms 11 ms 6 pro Richtung 3 (in allen 6 Richtungen) Seite 38 von 80 GS-IFA-M21 Ausgabe 11/2015 5.7. Mechanische Eigenschaften von Anschlüssen Die Prüfung erfolgt gemäß DIN EN 60947-1:2011, Abschnitt 8.2.4 mit folgenden Änderungen. Die Prüfungen nach DIN EN 60947-1:2011 Abschnitte 8.2.4.3 (Biegeprüfung) und 8.2.4.4 (Herausziehprüfung) sind nur an Messsystemen mit außen liegenden Anschlussklemmen durchzuführen. Befinden sich die Anschlussklemmen in einem geschlossenen Gehäuse, welches für den Anschluss von Mantelleitungen vorgesehen ist, können diese Prüfungen entfallen. In diesem Fall muss das Messsystem mit einer wirksamen Zugentlastung für die Anschlussleitung ausgerüstet sein. 5.7.1. Zusatzanforderungen für Messsysteme mit integrierten Anschlussleitungen Anforderungen und Prüfungen siehe DIN EN 60947-5-2:2014, Anhang C zusammen mit dem nationalen Vorwort. 5.8. Umgebungsbedingungen 5.8.1. Trockene Kälte Das Prüfverfahren erfolgt gemäß DIN EN 60068-2-1, unter Berücksichtigung folgender Bedingungen. Prüfung: Beanspruchungstemperatur: vom Hersteller angegebene niedrigste zulässige Arbeitstemperatur (Messsystem) bzw. Umgebungstemperatur (Interface) mindestens jedoch (5 ± 2)°C. (16 ±1) h ohne Spannungsversorgung, n = 0 Beanspruchungsdauer: Bedingungen: Bewertung: Nach der Beanspruchungsdauer muss das Messsystem bestimmungsgemäß arbeiten. Für die Prüfung der bestimmungsgemäßen Funktion verbleibt der Prüfling im Klimaschrank, die eingestellte Temperatur wird dabei nicht verändert. Es erfolgt im Stillstand des Messsystems und bei minimal zulässiger Betriebsspannung eine Überwachung auf die vom Hersteller in der Betriebsanleitung angegebene Toleranz des Signals. Das Messsystem muss nach der Beanspruchung bestimmungsgemäß arbeiten. Die bestimmungsgemäße Funktion bleibt vollständig erhalten. o Betrieb mit minimal zulässiger Betriebsspannung o Prüfung: Der Verlauf der Ausgangssignale wird über eine Wellenumdrehung/ über einen angemessenen Weg geprüft. Bewegung mit der Hand ist ausreichend. Es muss ein Abtastintervall von ≤ 200 µs gewählt werden. Seite 39 von 80 GS-IFA-M21 Ausgabe 11/2015 5.8.2. Trockene Wärme Das Prüfverfahren erfolgt gemäß DIN EN 60068-2-2, unter Berücksichtigung folgender Bedingungen: Prüfung: Beanspruchungstemperatur: Beanspruchungsdauer: Bedingungen: Anmerkung: vom Hersteller angegebene höchste zulässige Arbeitstemperatur (Messsystem) bzw. Umgebungstemperatur (Interface) mindestens jedoch (40 ± 2)°C. (16 ±1) h Betrieb an max. zulässiger Betriebsspannung, n=0 Die Prüfung des Messsystems in einem Temperaturschrank erfordert die Temperaturregelung auf den vom Hersteller angegebenen Messpunkt der Arbeitstemperatur. Bewertung: Das Messsystem muss während und nach der Beanspruchung bestimmungsgemäß arbeiten. Die bestimmungsgemäße Funktion bleibt während der Einwirkung vollständig erhalten. Es erfolgt während der Beanspruchung im Stillstand eine Überwachung auf die vom Hersteller in der Betriebsanleitung angegebene Toleranz des Signals. Das Messsystem muss nach der Beanspruchung bestimmungsgemäß arbeiten. Die bestimmungsgemäße Funktion bleibt vollständig erhalten. o Prüfung: Der Verlauf der Ausgangssignale wird über eine Wellenumdrehung/ über einen angemessenen Weg geprüft. Bewegung mit der Hand ist ausreichend. Es muss ein Abtastintervall von ≤ 200µs gewählt werden. 5.8.3. Feuchte Wärme Die Prüfung erfolgt gemäß DIN EN 61800-5-1, Abschnitt 5.2.6.3.2. Ausgenommen sind Messsysteme, die ausschließlich mit einer PELV- Spannungsquelle versorgt werden. Bewertungskriterien nach der Prüfung Erfüllen der zutreffenden Annahmekriterien der DIN EN 61800-5-1, Abschnitt 5.2.6.2 Das Messsystem muss bestimmungsgemäß arbeiten. Die bestimmungsgemäße Funktion bleibt vollständig erhalten. 5.9. Schutz gegen thermische Gefahren Anforderungen siehe DIN EN 61800-5-1, Abschnitt 4.4.1 bis 4.4.4.2. Prüfungen erfolgen gemäß DIN EN 61800-5-1, Abschnitt 5.2.5. Seite 40 von 80 GS-IFA-M21 Ausgabe 11/2015 5.10. Verschmutzung der Maßverkörperung Bei optischen Messsystemen können sich Schmutzpartikel auf der Maßverkörperung ablagern und dadurch Messfehler verursachen, die die korrekte Ausführung der Sicherheitsfunktion verhindern. Schmutzpartikel können z. B. aus der Umgebungsluft stammen oder durch Lagerreibung und Dichtungsabrieb entstehen. Ein Fehlerausschluss für die Ablagerung von Schmutzpartikeln ist ohne geeignete Maßnahmen nicht zulässig. Prinzipiell könnte die Auswirkung einer Verschmutzung durch Fehler erkennende Maßnahmen aufgedeckt werden. Partielle Verschmutzungen sind jedoch nur in einem engen Positionsbereich aufdeckbar. Bei zeitdiskret erfolgenden Maßnahmen zur Fehlererkennung ist die Fehleraufdeckung innerhalb des Testintervalls nicht gewährleistet. Sofern vom Hersteller ein Fehlerausschluss nicht begründet werden kann, muss er aufzeigen, wie die spezifizierten sicherheitsrelevanten Merkmale aufrecht erhalten bleiben oder ihr Verlust aufgedeckt wird. Anmerkung: In Auswertegeräten sind häufig Maßnahmen zur Erhöhung der Verfügbarkeit integriert, die sporadisch auftretende Fehlersignale unterdrücken sollen. Hierdurch kann zusätzlich die Erkennung von partieller Verschmutzung verzögert oder verhindert werden. 5.11. Elektrische Prüfungen 5.11.1. Stoßspannungsprüfung Die Prüfung erfolgt gemäß DIN EN 61800-5-1, Abschnitt 5.2.3.1. Ausgenommen sind Messsysteme, die ausschließlich einen PELV–Stromkreis enthalten und deren Luftstrecken entsprechend DIN EN 61800-5-1 Tabelle 9 dimensioniert sind. Anmerkung: 5.11.2. Enthält ein Messsystem einen potentialfreien Kontakt, der nicht aus derselben Spannungsquelle wie das Messsystem selbst versorgt wird, liegt ein zweiter Stromkreis vor und die Stoßspannungsprüfung ist erforderlich. Isolationsprüfung mit Wechsel- oder Gleichspannung Die Prüfung erfolgt gemäß DIN EN 61800-5-1, Abschnitt 5.2.3.2. Ausgenommen sind Messsysteme, die ausschließlich mit einer PELV-Spannungsquelle versorgt werden. 5.12. Erwärmungsprüfung Die Prüfung erfolgt gemäß DIN EN 61800-5-1, Abschnitt 5.2.3.8 mit folgenden Ergänzungen: Um bei Winkelmesssystemen den thermischen Einfluss von Lagerreibung usw. mit zu berücksichtigen, muss die Erwärmungsprüfung bei der vom Hersteller des Messsystems spezifizierten max. Drehzahl durchgeführt werden. Thermische Deratingkurven, die vom Hersteller angegeben werden, müssen punktuell geprüft werden. Anmerkung: Abweichend von DIN EN 61800-5-1, Abschnitt 5.2.3.8 gilt für Winkelmesssysteme anstelle von „Bemessungs-Umgebungstemperatur“ die max. Arbeitstemperatur. Seite 41 von 80 GS-IFA-M21 Ausgabe 11/2015 5.13. Schutzleiteranschluss Dieser Abschnitt ersetzt Abschnitt 5.2.2.9 aus DIN EN 61800-5-1. Der Schutzleiteranschluss entfällt für Messsysteme, die ausschließlich mit einer PELVSpannungsquelle versorgt werden. Messsysteme der Schutzklasse I müssen mit einem Schutzleiteranschluss versehen sein, der mit PE oder gemäß IEC 60445 gekennzeichnet ist. Dies gilt auch für Kleinspannungen, die nicht den Anforderungen für PELV entsprechen. 5.14. EMV Störfestigkeitsprüfungen Die Prüfung erfolgt (siehe Anhang E). 5.15. gemäß den Anforderungen aus DIN EN 61800-5-2:2016 Anforderungen an Aufschriften und Betriebsanleitung Die Festlegung der notwendigen Angaben erfolgt gemäß „Maschinenrichtlinie“ 2006/42/ EG Anhang I 1.7.3 sowie der DIN EN 61800-5-1, Abschnitt 6.1. Anmerkung: 5.15.1. Hilfreiche Unterlagen für eine Interpretation dieser Anforderungen der Maschinenrichtlinie finden sich in - „Leitfaden für die Anwendung der Maschinenrichtlinie 2006/42/EG“, http://www.bmas.de/DE/Themen/Arbeitsschutz/Meldungen/maschinenrichtlinieleitfaden.html - EK9-BE-69 Kennzeichnung von Sicherheitsbauteilen nach Maschinenrichtlinie 2006/42/EG, Anhang I, Abschnitt 1.7.3, http://www.zls-muenchen.de/de/left/erfahrungsaustausch/erfahrungsaustauschix.htm Aufschriften Messsysteme müssen mindestens mit folgenden Informationen und Aufschriften (z. B. auf einem Typenschild) dauerhaft und gut lesbar versehen sein: Extern: Firmenname und vollständige Anschrift des Herstellers Bezeichnung CE-Kennzeichen Baureihen- oder Typenbezeichnung ggf. Seriennummer Baujahr Nennspannung IP-Schutzart Schutzklasse (ausgenommen: Schutzklasse III/PELV) Seite 42 von 80 GS-IFA-M21 Ausgabe 11/2015 Intern: Kennzeichnung von Anschlussklemmen Besichtigen, prüfen auf Vollständigkeit, Korrektheit und Widerspruchsfreiheit der Angaben, Lesbarkeit der Beschriftung (eine Schrifthöhe von 2 mm wird als gut lesbar angesehen), Reibetest (Reiben jeweils 15 s mit einem wasser- und einem mit Testflüssigkeit* getränktem Baumwolltuch). * Als Testflüssigkeit wird das chemische Produkt mit der Handelsbezeichnung „n-Hexan zur Analyse“ verwendet, welches die Anforderungen der in DIN EN 60335-1 und DIN EN 60950-1 definierten Testflüssigkeit erfüllt. Bewertung: Nach den Prüfungen müssen die Aufschriften gut lesbar sein. Es darf nicht möglich sein, Aufschriftenschilder leicht von Hand zu entfernen, auch dürfen sie sich nicht gewellt oder gekräuselt haben. 5.15.2. Betriebsanleitung Die Festlegung der notwendigen Angaben erfolgt gemäß „Maschinenrichtlinie - MRL“ 2006/42/EG Anhang I 1.7.4, sowie der DIN EN 61800-5-1, Abschnitt 6.1 und der DIN EN 61800-5-2, Abschnitt 7. Die Betriebsanleitung muss in einer Sprache vorliegen, die vom Prüfer akzeptiert wird. Ist die Betriebsanleitung nicht in dieser Sprache abgefasst, ist eine Übersetzung in einer vom Prüfer akzeptierten Sprache vorzulegen. Die Prüfung erfolgt dann anhand der Übersetzung, für deren Richtigkeit der Hersteller die Verantwortung trägt. Die Betriebsanleitung muss in lesbarer Schrift abgefasst sein (eine Schrifthöhe von 2 mm wird als gut lesbar angesehen). Die Betriebsanleitung muss folgende Informationen enthalten, sofern zutreffend: Ein Hinweis darauf, dass es sich um eine „Originalbetriebsanleitung“ handelt. MRL 1.7.4.1 a) Firmenname und vollständige Anschrift des Herstellers und seines Bevollmächtigten MRL 1.7.4.2 a) Bezeichnung des Messsystems entsprechend der Angabe auf dem Messsystem selbst, ausgenommen die Seriennummer MRL 1.7.4.2 b) o Katalognummer des Messsystems oder Gleichwertiges DIN EN 61800-5-1, Abschnitt 6.2 Seite 43 von 80 GS-IFA-M21 Ausgabe 11/2015 EG-Konformitätserklärung oder ein Dokument, das die EG-Konformitätserklärung inhaltlich wiedergibt MRL 1.7.4.2 c) Allgemeine Beschreibung des Messsystems MRL 1.7.4.2 d) Beschreibung der bestimmungsgemäßen Verwendung des Messsystems MRL 1.7.4.2 g) Funktionale Spezifikation jeder Funktion und Schnittstelle, die zur Realisierung der Sicherheitsfunktionen zur Verfügung steht einschließlich der sicherheitstechnischen Genauigkeit für die Positionsbestimmung und der sicherheitstechnischen Auflösung für die Geschwindigkeits- oder Drehzahlbestimmung. DIN EN 61800-5-2, Abschnitt 7.1 a) Warnhinweise in Bezug auf Fehlanwendungen des Messsystems MRL 1.7.4.2 h) Alle Informationen zum sicheren Betrieb des Messsystems. DIN EN 61800-5-1, Abschnitt 6.4.1 Performance Level PL, Kategorie nach DIN EN ISO 13849-1 SIL, PFH mit Angabe der zugehörigen Arbeitstemperatur am Messpunkt (DIN EN 61800-5-2, Abschnitt 7.1 b); erforderlich ist mindestens die Angabe der PFH für die maximal zulässige Arbeitstemperatur (TArbeit-max) Angabe aller Einschränkungen für das Messsystem für Umgebung, Gebrauchsdauer, Grenzen der Anwendung DIN EN 61800-5-2, Abschnitt 7.1 d), Einbaulage Anforderungen an die Signalauswertung und Fehlererkennung im Auswertegerät (siehe u. a. Anhang C): o Schaltschwellen für die Rechtecksignal-Erzeugung („Schmitt-Trigger“ in Hardware oder Software) o Analogsignal-Integritätsprüfung o Im Falle der Erkennung eines Fehlers muss eine Fehlerreaktion eingeleitet werden, die zu einem sicheren Zustand der Anwendung führt. o Im Fehlerfall muss der sichere Zustand der Anwendung erreicht werden, bevor eine gefahrbringende Situation entstehen kann. Deshalb muss die Summe aus der maximal benötigten Zeit für die Fehlererkennung und der Zeit für die Fehlerreaktion kleiner sein als die Prozesssicherheitszeit (siehe 2.21). Die maximal benötigte Zeit für die Fehlererkennung ist der zeitliche Abstand, mit dem die Analogsignal-Integritätsprüfung vollständig wiederholt wird. o Die verwendete Hardware für die Signalauswertung und Fehlererkennung muss über den gesamten zu erwartenden Frequenzbereich der Ausgangssignale fehlerfrei funktionsfähig sein o Falls manche Fehler des Messsystems nur in bestimmten Bereichen einer Periode der Maßverkörperung mit der vorgeschriebenen AnalogsignalIntegritätsprüfung detektierbar sind, Hinweise auf Maßnahmen bei zeitkontinuierlicher und zeitdiskreter Diagnose (siehe C.5 „Bewertungskonzept für die Spezifikation der Signalverarbeitung“). Seite 44 von 80 GS-IFA-M21 Ausgabe 11/2015 o o Ggf. Ausschluss der Interpolation von Sinus- und Cosinus-Signal bei Verwendung des Messsystems in Sicherheitsfunktionen Ggf. zusätzliche Auflistung aller möglichen Fehler des Messsystems aus der FMEDA oder vollständige Definition von Testsignalen, damit eine anwendungsspezifische Analogsignal-Integritätsprüfung alternativ zu der vom Hersteller des Messsystems vorgeschriebenen Maßnahmen zur Idealen Fehlererkennung realisiert werden kann (siehe Anhang C.6) Für Kupplungen ist jeweils ein Fehlerausschluss zu begründen, sofern dies nicht bereits vom Hersteller erfolgt ist. Max. Drehzahl / Geschwindigkeit Max. Winkelbeschleunigung / Beschleunigung Schutzklasse Verschmutzungsgrad IP-Bemessung DIN EN 61800-5-1, Abschnitt 6.2 Bemessungsisolationsspannung Bemessungsstoßspannungsfestigkeit Art und größter Bemessungswert der Kurzschlussschutzeinrichtung Angabe der Leiterart sowie des größten und kleinsten Leiterquerschnittes für den die Anschlussklemmen geeignet sind (falls zutreffend) Warnhinweise in Bezug auf Fehlanwendungen des Messsystems MRL 1.7.4.2 h) Beispiel – Nutzung gegebenenfalls unsicherer Ausgangssignale für Sicherheitsfunktionen Spannungsbemessung DIN EN 61800-5-1, Abschnitt 6.2 Strombemessung DIN EN 61800-5-1, Abschnitt 6.2 Anforderungen an die Versorgungsspannung DIN EN 61800-5-1, Abschnitt 6.2, z. B. PELV Montage DIN EN 61800-5-1, Abschnitt 6.3.2 Plätze von Unterbaugruppen und Bauelementen DIN EN 61800-5-1, Abschnitt 6.5.1 Anforderung an das Installationspersonal Verfahren zur Aufdeckung von vertauschten Sinus- / Cosinus- Anschlüssen Referenzieren Lagerungstemperaturbereich Arbeitstemperaturbereich Seite 45 von 80 GS-IFA-M21 Ausgabe 11/2015 Bedingungen für die Bestimmung der Arbeitstemperatur, z. B. Motordrehzahl, kurzzeitige Temperaturerhöhung, z. B. durch Stillstand nach Volllastbetrieb, Einbausituation, Umgebungstemperatur, Messpunkt (Messort) Arbeitstemperatur Anschluss- und Verdrahtungspläne DIN EN 61800-5-1, Abschnitt 6.3.6.2 Anforderungen an Kabel DIN EN 61800-5-1, Abschnitt 6.3.6.3 Erdung DIN EN 61800-5-1, Abschnitt 6.3.6.6 Spezielle Anforderungen DIN EN 61800-5-1, Abschnitt 6.3.6.8 Informationen zur Inbetriebnahme / Inbetriebnahmeprüfungen DIN EN 61800-5-1, Abschnitt 6.3.9 Einstellungen DIN EN 61800-5-1, Abschnitt 6.4.2 Einstellverfahren DIN EN 61800-5-1, Abschnitt 6.5.1 Anforderungen an die Konfigurationsprüfung der Sicherheitsfunktionen DIN EN 61800-5-2, Abschnitt 7.1 f) Anforderungen an Prüfungen, Kalibrierung oder Instandhaltung DIN EN 61800-5-2, Abschnitt 7.1 d) Instandhaltungsverfahren DIN EN 61800-5-1, Abschnitt 6.5.1 Instandhaltungspläne DIN EN 61800-5-1, Abschnitt 6.5.1 Reparatur- und Ersatzverfahren DIN EN 61800-5-1, Abschnitt 6.5.1 Verzeichnis von Spezialwerkzeugen DIN EN 61800-5-1, Abschnitt 6.5.1 Sicherheitszeichen müssen ISO 3864 entsprechen DIN EN 61800-5-1, Abschnitt 6.4.3.1 Prüfung: Einsichtnahme der technischen Unterlagen und Vergleich mit den Anforderungen; Prüfen auf Vollständigkeit, Korrektheit und Widerspruchsfreiheit der Angaben. Seite 46 von 80 GS-IFA-M21 Ausgabe 11/2015 6. MESSSYSTEM - VARIANTEN Die vorangegangen Kapitel dieser Prüfgrundsätze enthalten im Wesentlichen Anforderungen an Messsysteme mit Sinus/Cosinus-Ausgangssignalen. Es existieren jedoch auch hiervon abweichende Messsysteme, auf einige Varianten wird in den folgenden Abschnitten eingegangen. 6.1. Sinus/Cosinus-Messsysteme mit zusätzlichem Absolut – Kanal Diese Messsysteme verfügen als Ergänzung zum Sinus/Cosinus-Ausgang (Inkrementalwert) über eine digitale Schnittstelle zur Übertragung eines unsicheren Absolutwerts. Zur Erstellung eines sicheren Absolutwerts wird im Auswertegerät ein zweiter Absolutwert aus den Sinus/Cosinus-Signalen und einer geeigneten Referenzierung gebildet und mit dem Absolutwert des Sensors verglichen. Bei Übereinstimmung kann der Absolutwert als sicher angesehen werden. Bei diesen Messsystemen sind zusätzlich die folgenden Nachweise zu führen: Es kann kein Fehler auftreten, der eine gleichzeitige Veränderung von Inkrementalund Absolutwert verursacht, und der bei vorgeschriebener Signalverarbeitung zu identischer falscher Winkel- bzw. Wegmessung führt. Beispiel: Messsysteme mit getrennter Signalverarbeitung für Inkremental- und Absolutwert erfüllen in der Regel diese Anforderung. Das Verfahren im Auswertegerät zur Bildung des Absolutwerts und zur Erkennung von Fehlern des Absolutwerts ist in der Benutzerinformation ausreichend beschrieben Anmerkung: Die Bildung des Absolutwerts erfolgt zweikanalig, so dass hierfür keine Ideale Fehlererkennung erforderlich ist. Es ist die MTTFd des Absolutkanals des Messsystems zu bestimmen und in der Benutzerinformation anzugeben In der Benutzerinformation ist ein Verfahren zur Abschätzung der PFH für die Bestimmung des sicheren Absolutwerts anzugeben 6.2. Messsysteme mit TTL/HTL - Ausgangssignalen Die für Messsysteme mit Sinus-/Cosinus-Ausgang möglichen Fehler erkennenden Maßnahmen durch die Überprüfung der Zeigerlänge („sin2 + cos2 = 1“) sind bei Rechtecksignalen nicht anwendbar. Insbesondere ist die bei einkanaligen Messsystemen erforderliche Ideale Fehlererkennung nicht möglich. Daher werden Messsysteme mit TTL/HTL-Ausgang in diesen Prüfgrundsätzen nicht behandelt. 6.3. Messsysteme nur mit sicherer Absolutschnittstelle Diese Messsysteme bilden einen Absolutwert, der über eine sichere Schnittstelle an das Auswertegerät übertragen wird. Inkrementale Signale werden nicht übertragen. Die Fehler erkennenden Maßnahmen erfolgen zumindest teilweise im Messsystem selbst, da die Analogsignale im Auswertegerät nicht zur Verfügung stehen. Seite 47 von 80 GS-IFA-M21 Ausgabe 11/2015 6 1FA Institut fUr Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung Prüf- und Zertlfi7ierungsstelle im DGUVTest Bei diesen Messsystemen sind ersatzweise bzw. zusätzlich die folgenden Nachweise zu führen : • • • Für die Signalverarbeitung gelten die Anforderungen von DIN EN 61800-5-2 soweit zutreffend Es sind die für die sichere Schnittstelle zum Auswertegerät zutreffenden Normen oder Prüfgrundsätze anzuwenden, z. B. Normenreihe DIN EN 61784 und GS ET 26 Die im Auswertegerät erforderlichen Fehler erkennenden Maßnahmen sind in der Benutzerinformation ausreichend beschrieben. Multiturn- Messsysteme 6.4. Diese Messsysteme überwachen intern die Anzahl der Umdrehungen der Maßverkörperung. Die ermittelte Anzahl ist bei der Bestimmung der Absolutlage zu berücksichtigen. Je nach Ausführung in sicherer bzw. unsicherer Technik sind die Anforderungen aus 5.4 bzw. 5.2 anzuwenden. Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung (IFA) Fachzertifizierer . ~~~~ .Q, '~~jrJ Dr. Peter Paszkiewicz Dipl.-lng. Raifel~ ~ Seite 48 von 80 GS-IFA-M21 Ausgabe 11/2015 Anhang A Fehlermodelle Mechanik In DIN EN 61800-5-2:2008 sind in Tabelle D.16 Fehlermodelle für Messsysteme sowie mögliche Fehlerausschlüsse beschrieben. Diese Norm befindet sich zurzeit in Überarbeitung und ist nicht allgemein verfügbar. Bis zum Erscheinen von DIN EN 61800-5-2 (voraussichtlich 2016) wird das folgende Fehlermodell aus Tabelle D.8 von FDIS IEC 61800-5-2:2015 angewendet: Tabelle A.1: Fehlermodelle Mechanik aus Tabelle D.8 FDIS IEC 61800-5-2:2015 Fehlerannahme Fehlerausschluss Befestigung löst sich im Stillstand oder während der Bewegung: - Sensorgehäuse löst sich vom Motorgehäuse - Sensorwelle löst sich von der Motorwelle - Lesekopf löst sich Durchführung einer FMEA und Nachweis der Dauerfestigkeit bei formschlüssigen Verbindungen und Festigkeitsnachweis bei kraftschlüssigen Verbindungen. Bemerkungen Die maximal zulässige Belastung des Sensors ist bekannt oder im Datenblatt des Sensors begrenzt. a) Bei formschlüssiger Verbindung: a1) Dauerfeste Auslegung gemäß der allgemein anerkannten technischen Erfahrung mit hohem Sicherheitsfaktor Der Nachweis erfolgt durch Berechnung und geeigneten Versuch. Beispiel für Stahlbauteile: Überdimensionierung mit einem Sicherheitsfaktor S ≥ 2 gegen Dauerbruch. oder a2) Überdimensionierung mit einem Sicherheitsfaktor S ≥ 5 gegen Dauerbruch Der Nachweis erfolgt durch Berechnung. b) Bei kraftschlüssiger Verbindung: b1) Überdimensionierung mit einem Sicherheitsfaktor S ≥ 4 gegen Durchrutschen Detaillierte Maßnahmen zur Einbringung und Erhaltung der Vorspannkraft sind in der Betriebsanleitung festzulegen (z.B. definierte Werkstoffpaarung, Oberflächen und drehmomentgesteuertes Anziehverfahren). Der Nachweis erfolgt durch Berechnung und geeigneten Versuch. oder b2) Überdimensionierung mit einem Sicherheitsfaktor S ≥ 10 gegen Durchrutschen Maßnahmen zur Einbringung und Erhaltung der Vorspannkraft sind in der Betriebsanleitung festzulegen. Nachweis durch Berechnung. Seite 49 von 80 GS-IFA-M21 Ausgabe 11/2015 Anhang B Fehlermodelle Elektrik In DIN EN 61800-5-2:2008 sind in Tabelle D.16 Fehlermodelle für Messsysteme sowie mögliche Fehlerausschlüsse beschrieben. Diese Norm befindet sich zurzeit in Überarbeitung und ist nicht allgemein verfügbar. Bis zum Erscheinen von DIN EN 61800-5-2 (voraussichtlich 2016) wird das folgende Fehlermodell aus Tabelle D.8 von FDIS IEC 61800-5-2:2015 angewendet: Tabelle B.1: Fehlermodelle Elektrik aus Tabelle D.8 FDIS IEC 61800-5-2:2015 Fault considered Fault exclusion Remarks General Short-circuit between any two conductors of the connecting cable the requirements of D.3.1 applies Open-circuit of any conductor of the connecting cable None Stuck-at Gnd, U B /2, U B on single or on several inputs/outputs at the same time None Open circuit of single or several inputs/outputs at the same time. None Decrease or increase of output amplitude None Oscillation on one or several outputs a None Change of phase shift between output signals a None U B is the power supply of the sensor. Sensor inputs are applied e. g. for parameter settings. The behavior of the individual sensor in case of a fault has to be considered. Oscillations on several outputs are considered in phase and inverted. Additionally for rotary sensors with Sin/Cos – output signals, analogue signal generation a Static input and output, on one single or several signals, amplitude within power supply voltage None Change of sine-/cosine output signal(s) into square wave: each half period sine wave replaced by square wave with same amplitude. None Exchange of Sin and Cos output signal Fault exclusion is permitted if there are no electronic components applied to select an output signal from several sources Change of DC part of sine-/cosine output signal(s) within power supply voltage. N. A. on resolver none Note 2: For example, no Sin/Cos – type signal, signal offset It is impossible to consider all possible signal shapes caused by component faults. Instead, square wave is assumed representative. For sensors with bus interface for safety relevant communication, the appropriate requirements for the bus interface apply, e. g. IEC 61784 series. Seite 50 von 80 GS-IFA-M21 Ausgabe 11/2015 Anhang C Statische Analyse von Signalauswertung und Fehlererkennung Dieser Anhang bezieht sich auf Messsysteme mit analogem Sinus- und Cosinus-Ausgang, die für Sicherheitsfunktionen vorgesehen sind, wobei die Messsysteme keine oder keine vollständige integrierte Diagnose mitbringen. Solchen Messsystemen müssen in der Benutzerinformation Informationen mitgegeben werden, die es dem Anwender ermöglichen, die erforderliche Diagnose extern zu realisieren. Bei der Statischen Analyse geht es um die Validierung der in der Anwenderinformation enthaltenen Anforderungen an die extern zu realisierende Verarbeitung der Messystem-Ausgangssignale. Die Signalverarbeitung umfasst die Auswertung der Ausgangssignale zum Zweck der Ausführung der Sicherheitsfunktion und die Integritätsprüfung der Ausgangssignale zur Erkennung von Fehlern im Messsystem (Diagnose). Anmerkung 1: Die Statische Analyse kann auch als Hilfsmittel bei der Auslegung von sicheren Auswertegeräten oder sicheren Steuerungen mit Eingängen für Sinus-/Cosinus-Messsysteme eingesetzt werden. Diese Geräte sind jedoch nicht Gegenstand dieser Prüfgrundsätze. Anmerkung 2: In diesem Anhang wird die Methode der Statischen Analyse beschrieben. Die Methode ist unabhängig von einer möglichen Implementierung in einem Software-Tool. Möglicherweise unterstützt es jedoch das Verständnis, wenn die grafischen Darstellungen des in Abschnitt C.7 genannten Tools zusätzlich herangezogen werden. C.1 Motivation zur Analyse von Signalauswertung und Fehlererkennung Bei einer Auswertung von Signalflanken für die Ausführung von Sicherheitsfunktion können Hardwarefehler zur Nichterkennung von Flanken und damit zum Versagen der Sicherheitsfunktion führen. Eine Integritätsprüfung der Analogsignale muss diese Fehler aufdecken. Ob die Aufdeckung bestimmter Fehler möglich ist, hängt von der konkreten qualitativen und quantitativen Ausgestaltung sowohl der Flankenerkennung (Rechteckformung) als auch der Analogsignalprüfung (z. B. Zeigerlängenüberwachung) ab. Ziel der hier beschriebenen Statischen Analyse ist die Überprüfung, ob alle realistischerweise anzunehmenden Fehler erkannt werden können bzw. der Nachweis, dass dies so ist. Eine solche Überprüfung ist erforderlich wegen der Notwendigkeit, einen Diagnosedeckungsgrad von 100% zu realisieren. Dieser ist eine Voraussetzung dafür, mit der gegebenen einkanaligen Architektur das Kriterium der Einfehlersicherheit (Kategorie 3 und Kategorie 4 nach DIN EN ISO 13849-1) zu erfüllen. Zur Erleichterung des korrekten Einsatzes des Messsystems muss der Hersteller dem Anwender eine oder mehrere Kombinationen aus Schaltschwellen für die Rechteckformung und einer jeweils dazugehörigen Analogsignalprüfung vorschlagen. Diese Kombinationen müssen der Überprüfung durch die hier beschriebene Statische Analyse standhalten. Der Anwender kann die Auswertung und Fehlerkennung jedoch auch in eigener Verantwortung gestalten und dabei von den Vorschlägen des Messystem-Herstellers abweichen. Auch in diesem Fall muss die Kombination aus Schaltschwellen für die Rechteckformung und der Analogsignalprüfung der Statischen Analyse standhalten. Seite 51 von 80 GS-IFA-M21 Ausgabe 11/2015 Der Hersteller muss dem Anwender für dessen Gestaltung der Diagnose ggf. besondere Fehlerbilder (Signalspannungen) mitteilen, die durch die Diagnose erkannt werden müssen. Die Übermittlung dieser Information kann mithilfe des Tools zur Durchführung der Statischen Analyse (siehe Abschnitte C.6 und C.7) erfolgen. C.2 Was bedeutet Statische Analyse der Signalverarbeitung? Der Begriff „Statische Analyse“ ist dem Bereich der Software-Prüfung entlehnt. Hier wie dort bedeutet „statisch“, dass keine physikalischen Messungen zeitveränderlicher Größen an einem laufenden System durchgeführt werden, sondern dass stattdessen eine theoretische Betrachtung erfolgt. Im vorliegenden Fall geht es bei der Statischen Analyse um die quantitative Spezifikation der Schaltschwellen für die Rechteckformung und die qualitative und quantitative Spezifikation der Integritätsprüfung für die Analogsignale, die geeignet aufeinander abgestimmt sein müssen, um einen Diagnosedeckungsgrad von 100 % zu erreichen. Bei elektronischen Schaltungen erfordert der klassische Weg zum Nachweis eines erreichten Diagnosedeckungsgrades die Durchführung einer FMEDA auf Bauteil- und Schaltungsebene. Bei inkrementalen Messsystemen mit Sinus- und Cosinus-Ausgang macht jedoch die monolithische Integration der Sensorik zur Abtastung der Maßverkörperung und von Teilen der analogen Schaltung zur Signalerzeugung eine FMEDA auf Transistorebene alleine schon darum nahezu unmöglich, weil keine Querschlüsse zwischen verschiedenen Punkten der Schaltung ausgeschlossen werden können. Dennoch muss bewertet werden, ob die vom Hersteller zu spezifizierenden Vorgaben zur Verarbeitung der Ausgangssignale angemessen sind. Die erforderliche Spezifikation durch den Hersteller des Messsystems muss enthalten: a) Schaltschwellen für die Rechtecksignal-Erzeugung („Schmitt-Trigger“ in Hardware oder Software) b) Prüfverfahren für die Analogsignale zur Fehleraufdeckung (Diagnose) Zur Prüfung dieser Spezifikation wird die ihr entsprechende Verarbeitung der analogen Signale simuliert. An die Stelle der korrekten Ausgangssignale tritt dabei eine Reihe von Testsignalen, welche Ersatzsignale für potenzielle Fehler des Messsystems darstellen. Auf diese Testsignale muss die spezifikationsgemäße Signalverarbeitung in sicherer Weise reagieren, sie „beherrschen“. Dies bedeutet: Analogsignale, deren Verlauf eine Positionsänderung repräsentieren, müssen laut Spezifikation in zählbare Impulse, einschließlich Zählrichtungsinformation umgesetzt werden oder die Diagnose muss ein Fehlersignal ausgeben (durch das von der Anwendung ein sicherer Zustand eingeleitet wird). Seite 52 von 80 GS-IFA-M21 Ausgabe 11/2015 Die Vorgehensweise bei der Statischen Analyse ist in Abbildung C.1 skizziert: Abbildung C.1: Konzept der Statischen Analyse Es wird angenommen, dass eine Spezifikation der Schaltschwellen und der Diagnose, welche die Ersatzsignale beherrscht, auch die real möglichen Hardwarefehler beherrscht. Um dies zu ermöglichen, ist eine gewisse Vielfalt und Varianz der Ersatzsignale vorgesehen. Anmerkung: „Dynamische“ Effekte (Überzählung durch Störimpulse) werden bei der Statischen Analyse nicht untersucht. Die Testsignale sind in Abschnitt C.3 beschrieben, die Nachbildung der Signalverarbeitung in Abschnitt C.4 und die Bewertung der Spezifikation in Abschnitt C.5. Abbildung C.2 bietet einen Überblick über die einzelnen Schritte der Statischen Analyse und die darin verwendeten Hilfsvariablen. Auf die einzelnen Schritte wird in den folgenden Abschnitten näher eingegangen. Dargestellt ist die Prozedur für ein Testsignal. Die Prozedur muss mit allen Standard-Testsignalen (siehe Abschnitt C.3) und ggf. mit zusätzlichen Testsignalen durchgeführt werden. Ob zusätzliche Testsignale benötigt werden, hängt von den Ausfallmöglichkeiten des Messsystems ab und muss mithilfe einer FMEDA auf Bauteil- und Schaltungsebene der Messsystems geklärt werden (siehe Abschnitt C.6). Seite 53 von 80 GS-IFA-M21 Ausgabe 11/2015 Abbildung C.2: Vorgehensweise bei der Statischen Analyse (für ein Testsignal) mit Variablenbezeichnungen Seite 54 von 80 GS-IFA-M21 Ausgabe 11/2015 C.3 Standard-Testsignale Schritt 1: Testsignal bereitstellen Die für die Statische Analyse verwendeten Testsignale dienen als Ersatzsignale für durch Fehler im Messsystem erzeugte korrumpierte Ausgangssignale. Dementsprechend besteht jedes einzelne Testsignal aus den vier einzelnen Ausgangssignalen Apos Aneg Bpos Bneg (Cosinus mit Gleichanteil) (Invertierter Cosinus mit Gleichanteil) (Sinus mit Gleichanteil) (Invertierter Sinus mit Gleichanteil) an der Schnittstelle nach außen. Dieser Bezugspunkt wurde gewählt, weil er bei üblichen Messsystemen mit analogem Sinus- und Cosinus-Ausgang stets in gleicher Form vorhanden ist, während die interne Schnittstelle z. B. am Ausgang des Opto-ASICs sich je nach dessen Ausführung unterscheidet. Die betrachtete Ausgangsschnittstelle kann durch die Ersatzschaltung im Abbildung C.3 dargestellt werden: Abbildung C.3: Ersatzschaltung Messsystem-Ausgangsschnittstelle Der allen Wechselsignalen überlagerte Gleichanteil bewirkt, dass alle Signale stets im positiven Spannungsbereich liegen. Seite 55 von 80 GS-IFA-M21 Ausgabe 11/2015 Im fehlerfreien Fall haben die Ausgangssignale folgende Form: Apos S 1 Amp cos 2 1 Aneg S Amp cos 2 1 B pos S Amp sin 2 1 Bneg S Amp sin 2 Anmerkung: Eine häufige Implementierung ist: S= = 2,5 V und Amp = 0,5 V. Hierin ist die relative Position der Maßverkörperung zum Sensorteil des Messsystems, wobei sich um 360° (2) ändert, wenn eine Periode der Maßverkörperung durchfahren wird. Durch die Differenzverstärkerstufen für die A- und B-Signale werden bei der Signalverarbeitung die Signale A() und B() gebildet: A Apos Aneg Amp cos B Bpos Bneg Amp sin Anmerkung: Zur Vermeidung negativer Signal- und Betriebsspannungen in der Signalverarbeitung wird in der Praxis zu A() und B() ein neuer Gleichanteil addiert. Derartige Schaltungsspezifika werden in diesem Anhang nicht betrachtet. Die weiter unten vorgestellten Testsignale basieren auf den nominalen Signalen und variieren über eine Anzahl von Perioden jeweils Amplitude, Gleichanteil oder die Phase oder eine Kombination daraus. Zur numerischen Darstellung und Untersuchung muss die Anzahl der betrachteten Perioden begrenzt sein und jede Periode durch eine endliche Zahl von Abtastwerten dargestellt werden. Dabei sollen die in Abhängigkeit vom Positionswert vorgenommenen Variationen die Signalform nicht übermäßig verzerren. Auch soll die Anzahl der Stützwerte insgesamt überschaubar sein. Als Kompromiss werden daher 100 Perioden mit einer Auflösung von je 100 Stützwerten gewählt, was zu 10 000 Stützwerten je Testsignal führt. Mit der Zählvariablen n für die Stützwerte mit n = 0, 1, 2, … , 10 000 ergibt sich folgende Substitution für den Positionswert : 2 n n 100 50 Seite 56 von 80 GS-IFA-M21 Ausgabe 11/2015 Damit werden die Nominalsignale des fehlerfreien Messsystems wie folgt dargestellt: Apos n S 1 2 1 Aneg n S 2 1 Bpos n S 2 1 Bneg n S 2 Amp cos n 50 Amp cos n 50 Amp sin n 50 Amp sin n 50 Hierauf basierend werden im Folgenden fünf Standard-Testsignale definiert. Sie realisieren jeweils eine bestimmte vom Positionswert n abhängige Signalverzerrung. Bei der Bewertung der Spezifikation der Signalverarbeitung (Abschnitt C.5) muss an einer Stelle (Schritt 9) auch der Positionsbereich mit n > 10 000 berücksichtigt werden. Da die Verzerrung der Testsignale jedoch lediglich für den Positionsbereich n = 0 … 10 000 definiert ist, wird die Verzerrung bei n = 10 000 „eingefroren“. Die geschieht unter Zuhilfenahme der Variablen für n 10 000 n n . 10 000 für n 10 000 Sie wird in jenem Teil der Testsignal-Gleichungen verwendet, der die Signalverzerrung bewirkt, während jener Teil der Testsignal-Gleichungen, der die Schwingung erzeugt, den über 10 000 ansteigenden Positionswert n verwendet, damit die Schwingung fortgeführt wird. Testsignal 1 Parallele Amplitudenvariation bei nominalem Gleichanteil n Amp cos Apos n S 1 50 10 000 n Amp cos Aneg n S 1 10 000 50 n Amp sin B pos n S 1 10 000 50 n Amp sin Bneg n S 1 10 000 50 n n n n mit n n 10 000 für für n 10 000 n 10 000 Seite 57 von 80 GS-IFA-M21 Ausgabe 11/2015 Testsignal 2 Antiparallele Amplitudenvariation bei nominalem Gleichanteil n Amp cos Apos n S 1 10 000 50 n Amp cos Aneg n S 1 10 000 50 Bpos n S n Amp sin 10 000 50 Bneg n S n Amp sin n 10 000 50 n n n mit n n 10 000 für für n 10 000 n 10 000 Testsignal 3 Parallele Amplitudenvariation der Gesamtsignale einschließlich Gleichanteil n 1 S Amp cos Apos n 2 n 5 000 2 50 n 1 S Amp cos Aneg n 2 n 5 000 2 50 n 1 S Amp sin Bpos n 2 n 5 000 2 50 n 1 S Amp sin Bneg n 2 n 5 000 2 50 mit n n 10 000 für für n 10 000 n 10 000 Seite 58 von 80 GS-IFA-M21 Ausgabe 11/2015 Testsignal 4 Variation des Gleichanteils der „pos“-Signale n 1 S Amp cos Apos n 2 n 5 000 2 50 1 Aneg n S Amp cos n 2 50 n 1 S Amp sin B pos n 2 n 5 000 2 50 1 Bneg n S Amp sin n 2 50 mit n n 10 000 für für n 10 000 n 10 000 Testsignal 5 Phasenvariation 1 Amp cos n 2 50 1 Aneg n S Amp cos n 2 50 1 B pos n S Amp sin n 2 50 Apos n S n 1 10 000 2 n 1 1 Bneg n S Amp sin n 2 50 10 000 2 mit für n 10 000 n n 10 000 für n 10 000 Es können weitere Testsignale notwendig sein, um die Spezifikation einer Signalverarbeitung für ein bestimmtes Messsystem zu qualifizieren. Ob dies der Fall ist, hängt von den möglichen Ausfallarten des Messsystems ab und muss durch eine FMEDA des Messsystems auf Bauteil- und Schaltungsebene geklärt werden. Eine Erklärung der Problematik und eine Beschreibung der Vorgehensweise befinden sich in Abschnitt C.6. Seite 59 von 80 GS-IFA-M21 Ausgabe 11/2015 Alle Testsignale sind für ganzzahlige n ≥ 0 definiert. Bei der Bewertung der Spezifikation der Signalverarbeitung (Abschnitt C.5) muss an einigen Stellen (Schritt 5, Schritt 6) auch der Positionsbereich mit n < 0 berücksichtigt werden. Darum wird den Testsignalen eine „Vorlaufphase“ mit den unverzerrten Nominal-Ausgangssignalen vorgeschaltet. Die Verzerrung, d. h. der eigentliche Test beginnt somit schlagartig ab der Position n = 0. C.4 Simulation der spezifikationsgemäßen Signalverarbeitung Nach der Definition der Testsignale schließt sich die Simulation der Signalauswertung und Diagnose an. Zur Gewinnung von Positionswerten müssen die Flanken der analogen Sinus-/CosinusSignale erkannt und gezählt werden. Aus dem Phasenversatz beider Signale muss zudem die Bewegungsrichtung ermittelt werden, welche die Zählrichtung bestimmt. Die gängige Implementierung verwendet Quadraturdecoder, die sowohl die Zählimpulse als auch das Richtungssignal erzeugen. Die Integritätsprüfung der Analogsignale zur Realisierung des Diagnosedeckungsgrades (DC) für das Messsystem kann mit analogen Mitteln oder nach Digitalisierung mit digitalen Mitteln erfolgen. Zur Veranschaulichung ist in Abbildung C.4 eine mögliche Umsetzung (Beispiel) der Signalverarbeitung dargestellt, d. h. der Impulsgewinnung und -zählung und der Diagnose. Seite 60 von 80 GS-IFA-M21 Ausgabe 11/2015 Abbildung C.4: Beispielschaltung zur Auswertung der Ausgangssignale und Diagnose von Messsystem-Fehlern Die Redundanzen dienen der Realisierung der Einfehlersicherheit und zur Aufdeckung von Fehlern in der Auswerteschaltung, nicht jedoch zur Fehleraufdeckung im Messsystem. Die ADC führen nicht die Sicherheitsfunktion aus. Sie dienen der Diagnose und bilden keine Redundanz. Anmerkung 1: Die Bewertung der ebenfalls notwendigen Fehleraufdeckung in der Auswerteschaltung ist nicht Gegenstand dieser Prüfgrundsätze. In diesem Anhang wird die Statische Analyse allein zur Prüfung der Spezifikation der Signalverarbeitung verwendet. Anmerkung 2: Bei entsprechend niedrigen Frequenzen können auf Basis der ausreichend schnell abgetasteten und digitalisierten Analogsignale die Flankenerkennung, die Quadraturdecodierung und die Positionszählung in Software realisiert sein. Bei der Statischen Analyse von Signalauswertung und Fehlererkennung wird unterstellt, dass die Signalverarbeitung wie vom Hersteller des Messsystems spezifiziert erfolgt. Seite 61 von 80 GS-IFA-M21 Ausgabe 11/2015 Schritt 2: Differenzsignale bilden An Apos n Aneg n Bn Bpos n Bneg n Schritt 3: Rechtecksignale gemäß Spezifikation bilden („Schmitt-Trigger“) 1 für An Aon Asqw n 0 sonst An Aoff Asqw n 1 1 1 für Bn Bon Bsqw n 0 sonst Bn Boff Bsqw n 1 1 (sqw: square wave signal) Schritt 4: Spezifizierte Diagnose durchführen Beispielhaft wird angenommen, dass der Hersteller des Messsystems die Zeigerlängenüberwachung als Diagnose spezifiziert hat 2 1 für A2 n B 2 n Ampmin SFD n 0 sonst 2 A2 n B 2 n Ampmax (SFD: Specified Fault Detection) SFD(n) signalisiert durch den Wert 1, dass das die spezifizierte Analogsignal-Integritätsprüfung im Schritt n das Prüfergebnis „Fehler“ erzeugt. C.5 Bewertung der Spezifikation Signalverarbeitung Nach der Simulation der spezifikationsgemäßen Signalverarbeitung müssen die Ergebnisse unter Berücksichtigung der Eigenschaften der Quadraturdecoder bewertet werden: Wird eines der beiden digitalen Ansteuersignale eines Quadraturdecoders durch einen Fehler im Messsystem statisch, während das andere bewegungsbedingt toggelt, so ändert sich das Zählrichtungssignal bei jedem Zählimpuls. Der Positionszähler zählt dann bei den Taktimpulsen abwechselnd einen Schritt vor und einen Schritt zurück, wodurch Stillstand vorgetäuscht wird. Aus diesem Grund führt bereits das Statischwerden eines der beiden Ansteuersignale ebenso wie das Statischwerden beider Signale zu einem gefährlichen Ausfall der Sicherheitsfunktion. Daraus ergibt sich folgendes Bewertungskriterium für die Spezifikation der Signalverarbeitung: Die Spezifikation ist akzeptabel, wenn bei der spezifikationsgemäßen Verarbeitung der Testsignale zu KEINEM Zeitpunkt einer der folgenden (kritischen) Fälle auftritt: Seite 62 von 80 GS-IFA-M21 Ausgabe 11/2015 Eines der beiden aus Analogsignal A („Cosinus“) und B („Sinus“) gewonnenen Rechtecksignale wird statisch UND die Analogsignal-Integritätsprüfung meldet keinen Fehler Beide aus den Analogsignalen A („Cosinus“) und B („Sinus“) gewonnenen Rechtecksignale werden statisch UND die Analogsignal-Integritätsprüfung meldet keinen Fehler Falls einer dieser Fälle bei der Verarbeitung der Testsignale mindestens einmal auftritt, wird die Spezifikation der Signalverarbeitung als nicht akzeptabel bewertet. Anmerkung: Das Statischwerden eines oder beider Rechtecksignale kann nicht durch die Quadraturdecoder- und Zählerredundanz der Auswertungsschaltung aufgedeckt werden, da dieses Verhalten systembedingt in beiden Kanälen auftritt. Eine Bauteil-und Schaltungs-FMEDA für das Messsystem muss daher feststellen, ob ein derartiges Fehlerbild durch einen einzelnen Bauteilfehler verursacht werden kann, vgl. Abschnitt C.6. Falls dies möglich ist, muss die Aufdeckung solcher Fehler durch die Analogsignal-Integritätsprüfung erfolgen. Nachdem das Akzeptanzkriterium für die Spezifikation der Signalverarbeitung festgelegt ist, erfolgt die Bewertung in mehreren Schritten: Schritt 5: Flanken erkennen In diesem Schritt werden die Positionen n ermittelt, in denen steigende oder fallende Flanken vorliegen. 1 für Asqw n Asqw n 1 Asl n 0 sonst 1 für Bsqw n Bsqw n 1 Bsl n 0 sonst (sl: slope) Asl(n) bzw.Bsl(n) signalisieren durch den Wert 1, dass das Rechtecksignal A sqw bzw. Bsqw im Schritt n eine steigende oder fallende Flanke aufweist. Schritt 6: Flanken in der Vorperiode zählen Ziel dieses Schrittes ist das Erkennen des Statischwerdens der Rechtecksignale. Ein Recktecksignal wird als „statisch“ bewertet, wenn innerhalb der Periodendauer des Testsignals weniger als zwei (= Normalfall) Signalwechsel erfolgen. Zur Unterdrückung von Artefakten durch das gegenüber einem reinen Sinus leicht verzerrte (amplitudenmodulierte) Testsignal wird der Betrachtungszeitbereich auf die 1,1-fache Periodendauer festgelegt. Seite 63 von 80 GS-IFA-M21 Ausgabe 11/2015 Ansl n Bnsl n n A k sl k n 109 n B k sl k n 109 Ansl(n) bzw. Bnsl(n) geben die Anzahl der Flanken der Rechtecksignale A sqw bzw. Bsqw in der dem Schritt n vorausgehenden 1,1-fachen Testsignal-Periode an. Schritt 7: Statischwerden feststellen Hierbei wird geprüft, ob es im Betrachtungsbereich mit seinen 100 TestsignalSchwingungen (n = 0, 1, ... , 10 000) Positionen n gibt, bei denen eines der Rechtecksignale Asqw bzw. Bsqw statisch wird (weniger als zwei Flanken in den vorausgehenden 1,1 Schwingungsperioden) 1 für Ansl n 2 Astat n 0 sonst 1 für Bnsl n 2 Bstat n 0 sonst Astat(n) bzw. Bstat(n) signalisieren durch den Wert 1, dass das Rechtecksignal A sqw bzw. Bsqw im Schritt n als statisch bewertet wird. Bewertungskonzept für die Spezifikation der Signalverarbeitung Im Idealfall erfolgt eine Fehlermeldung durch die Analogsignal-Integritätsprüfung genau dann, wenn mindestens eines der beiden Rechtecksignale statisch wird. In vielen Fehlerfällen wird die Analogsignal-Integritätsprüfung beim Durchfahren einer Periode der Maßverkörperung keine ununterbrochene Fehlermeldung erzeugen. Dies ist zu akzeptieren, solange innerhalb einer Periode wenigstens an einer Stelle eine Fehlermeldung ausgegeben wird. Im Fall, dass manche Fehler des Messsystems nur in bestimmten Bereichen einer Periode der Maßverkörperung mit der vorgeschriebenen Analogsignal-Integritätsprüfung detektierbar sind, muss in der Anwenderinformation auf diesen Sachverhalt hingewiesen werden: Für den Fall zeitkontinuierlicher Diagnose muss sichergestellt sein, dass unter Berücksichtigung der maximalen Drehzahl/Geschwindigkeit und Strichzahl im Fehlerfall das Erreichen des sicheren Zustands gewährleistet ist. Hierauf ist in der Benutzerinformation hinzuweisen. Seite 64 von 80 GS-IFA-M21 Ausgabe 11/2015 Für den Fall zeitdiskreter Diagnose ist in der Benutzerinformation der Zusammenhang zwischen Drehzahl/Geschwindigkeit, Strichzahl und Abtastrate zu beschreiben. Die Beschreibung soll den Anwender in die Lage versetzen, das Zeitverhalten seiner Signalverarbeitung erfordernisgerecht zu gestalten bzw. die Anwendung bzgl. Drehzahl/Geschwindigkeit und Strichzahl zu begrenzen. Um eine Bewertung der Spezifikation der Signalverarbeitung vornehmen zu können, werden wiederum einige Hilfsvariablen definiert: Schritt 8: Ideale Fehlererkennung Mit der Variablen IFD (grüne Kennzeichnung in Abbildung C.2) wird die Ideale Fehlererkennung simuliert. Sie signalisiert, dass die Analogsignal-Integritätsprüfung eine Fehlermeldung ausgeben sollte: 1 für Astat n Bstat n 1 IFD n 0 sonst (IFD: Ideal Fault Detection) Die Variable IFD nimmt an jeder Stelle n den Wert 1 an, an der eine „Ideale“ Fehlererkennung ansprechen würde. Hingegen repräsentiert die in Schritt 4 eingeführte Variable SFD (orange Kennzeichnung in Abbildung C.2) das Verhalten der spezifizierten Analogsignal-Integritätsprüfung. Im Spezialfall der Zeigerlängenüberwachung gilt (wie bereits oben gezeigt): 2 1 für A2 n B 2 n Ampmin SFD n 0 sonst 2 A2 n B 2 n Ampmax (SFD: Specified Fault Detection) Die Variable SFD nimmt an jeder Stelle n den Wert 1 an, an der die spezifizierte Analogsignal-Integritätsprüfung anspricht, d.h. eine Fehlermeldung ausgibt. Schritt 9: Fehlererkennung in einer Periode? Es wird ebenfalls akzeptiert, wenn eine notwendige Fehlererkennung innerhalb eines Positionsbereiches erfolgt, der mit der Position n 1 des erstmaligen Fehlerauftritts beginnt (IFD(n1) = 1) und die Größe der (1,1-fachen) Periode der Maßverkörperung hat. Anmerkung: Der Faktor 1,1 anstelle des Faktors 1 dient zur Unterdrückung von Artefakten durch das gegenüber einem reinen Sinus leicht verzerrte (amplitudenmodulierte) Testsignal. Seite 65 von 80 GS-IFA-M21 Ausgabe 11/2015 Zur Darstellung der Fehlererkennung innerhalb einer 1,1-fachen Periode wird die Variable SFD1P (hellblaue Kennzeichnung in Abbildung C.2) definiert: n 109 1 für SFD k 1 SFD1P n k n 0 sonst Die Variable SFD1P nimmt an einer Stelle n den Wert 1 an, wenn in der mit n beginnenden (1,1-fachen) Periode der Maßverkörperung mindestens bei einem n die spezifizierte Analogsignal-Integritätsprüfung anspricht. Schritt 10: Positionsbezogenes Ergebnis ermitteln An jeder Stelle n, wo die Ideale Fehlererkennung ansprechen würde, kann mit der Variablen R eine Bewertung vorgenommen werden. Stellen, wo keine Fehlererkennung erforderlich ist (IFD(n) = 0), sind für die Bewertung der Spezifikation der Signalverarbeitung nicht relevant: optimal acceptable Rn not acceptable not safety relevant für für für für IFD n IFD n IFD n IFD n 1 1 1 0 SFD1P n 1 SFD1P n 1 SFD1P n 0 SFD n 1 SFD n 0 (R: Result) Die Variable R(n) ist eine logische Variable, welche an jeder Stelle n genau einen der vier möglichen Werte „optimal“, „acceptable“, „not acceptable“ oder „not safety relevant“ annimmt. Sie kann helfen, ein bestimmtes Analyseergebnis genauer zu untersuchen. Schritt 11: Fehlererkennung nicht optimal? Ziel dieses Schrittes ist es, Positionen ohne optimale Fehlererkennung festzustellen. Zu diesem Zweck wird zunächst die numerische Variable r(n) wie folgt definiert: 1 für IFD n 1 r n 0 sonst SFD n 0 r(n) nimmt an solchen Stellen n den Wert 1 an, an denen eine Ideale Fehlererkennung ansprechen würde, die spezifizierte Fehlererkennung jedoch keine Fehlermeldung ausgeben würde. Somit repräsentiert r(n) = 1 den Fall, dass R(n) bei n den Wert „optimal“ nicht erreicht hat. Seite 66 von 80 GS-IFA-M21 Ausgabe 11/2015 Schritt 12: Ganzer Testbereich optimal? Es muss eine Bewertung der Spezifikation der Signalverarbeitung über den gesamten Verlauf eines Testsignals (n = 0, 1, … , 10 000) erfolgen. Um für das ganze Testsignal (allein unter dem Sicherheitsaspekt) „optimal“ zu sein, darf der Fall r(n) = 1 an keiner Stelle des Testsignals auftreten. Daher kann mithilfe der nachfolgend definierten (von n unabhängigen) Variablen R ausgedrückt werden, ob die Spezifikation der Signalverarbeitung bei dem verwendeten Testsignal optimal ist oder nicht: optimal R not optimal 10 000 für rn 1 n0 sonst R = optimal bedeutet, dass die Spezifikation der Signalverarbeitung bei dem zu Grunde gelegten Testsignal im Fehlerfall eine ununterbrochene Fehlermeldung bewirkt. Schritt 13: Fehlererkennung inakzeptabel? Die optimale Fehlererkennung wird oft nicht erreicht. Es wird jedoch auch akzeptiert, dass ein zu erkennender Fehler innerhalb einer Periode der Maßverkörperung wenigstens an einer Position n eine Fehlermeldung auslöst. Ein Ausbleiben der Fehlermeldung innerhalb dieser Periode ist nicht akzeptabel. Zur lokalen Bewertung wird zunächst die Variable r1P(n) wie folgt definiert: 1 für IFD n 1 r1P n 0 sonst SFD1P n 0 r1P(n) nimmt an solchen Stellen n den Wert 1 an, an denen eine Ideale Fehlererkennung ansprechen würde, die spezifizierte Fehlererkennung jedoch nicht einmal innerhalb der nachfolgenden (1,1-fachen)Periode des Testsignals eine Fehlermeldung ausgeben würde. Somit repräsentiert r1P(n) = 1 den Fall R(n) = not acceptable. Der Fall r1P(n) = 1 darf an keiner Stelle des Testsignals auftreten. Seite 67 von 80 GS-IFA-M21 Ausgabe 11/2015 Schritt 14: Ganzer Testbereich akzeptabel? Mithilfe der nachfolgend definierten (von n unabhängigen) Variablen R 1P kann entschieden werden, ob die Spezifikation der Signalverarbeitung dem verwendeten Testsignal in Gänze standhält (acceptable) oder nicht (not acceptable): R1P acceptable not acceptable 10 000 für r n 1P 1 n0 sonst R1P = acceptable bedeutet, dass die Spezifikation der Signalverarbeitung bei dem zu Grunde gelegten Testsignal im Fehlerfall zumindest innerhalb der 1,1-fachen Periode der Maßverkörperung eine Fehlermeldung bewirkt. Anmerkung: Jede Spezifikation der Signalverarbeitung, die R = optimal erreicht, erreicht auch R1P = acceptable. Eine Spezifikation der Signalverarbeitung, die R1P = acceptable erreicht, erreicht nicht notwendig auch R = optimal. R1P = not acceptable bedeutet, dass die Spezifikation der Signalverarbeitung bei dem zu Grunde gelegten Testsignal nicht standhält und folglich verbessert werden muss. Eine Spezifikation der Signalverarbeitung, die bei jedem Testsignal R1P = acceptable erreicht, hat die Prüfung „Statische Analyse“ bestanden. Falls eine Spezifikation der Signalverarbeitung, welche die Statische Analyse bestanden hat, bei mindestens einem Testsignal R = optimal nicht erreicht, bedeutet dies, dass manche Fehler nur in bestimmten Bereichen einer Periode der Maßverkörperung mit der vorgeschriebenen Analogsignal-Integritätsprüfung detektierbar sind. Im gegebenen Fall muss in der Anwenderinformation auf diesen Sachverhalt hingewiesen werden, siehe C.5 „Bewertungskonzept für die Spezifikation der Signalverarbeitung“. C.6 Messsystem-FMEDA zum Nachweis des Diagnosedeckungsgrades von 100 % Um den erforderlichen Diagnosedeckungsgrad von 100 % zu erreichen, muss die Spezifikation der Signalverarbeitung alle vorkommenden Hardware-Ausfälle beherrschen (vgl. Abschnitt C.2). Welche fehlerhaften Ausgangssignale durch Hardwarefehler entstehen können, hängt von den Fehlermodellen der Bauelemente und von der Schaltung des Messsystems ab. Erläuterung der Problematik Prinzipiell gibt es Signalkombinationen Apos, Aneg, Bpos, Bneg, die einen Bewegungsstillstand darstellen, der ja zu den möglichen und zulässigen Betriebszuständen gehört. Kritisch ist jedoch der Fall, dass a) eine Bewegung vorhanden ist, aber die Ausgangssignale durch einen einzelnen Hardware-Ausfall so verfälscht werden, dass Stillstand vorgetäuscht wird und b) dieser Hardware-Ausfall durch die Analogsignal-Integritätsprüfung nicht erkannt wird. Seite 68 von 80 GS-IFA-M21 Ausgabe 11/2015 Zu solchen kritischen Signalkombinationen gehören natürlich statische Signale, jedoch nicht ausschließlich. Mit Hilfe einer FMEDA muss festgestellt werden, ob durch einen einzelnen Hardware-Ausfall solche kritischen Ausgangssignale erzeugt werden können. Falls dies möglich ist, ist die Spezifikation der Signalverarbeitung nicht akzeptabel und muss so verbessert werden, dass solche Szenarien nicht mehr möglich sind. Zur Veranschaulichung wird im Folgenden ein Beispiel für eine potentiell kritische Signalkombination gegeben: 1 Amp cos n 2 50 1 Aneg n S k Amp cos n 2 50 1 Bpos n S Amp sin n 2 50 1 Bneg n S Amp sin n 2 50 Apos n 1,16 S k Es werden die Fälle k = 0 und k = 0,2 betrachtet. Der Wechselanteil beider A-Signale beträgt dann Null bzw. 20% des Nominalwertes. Bei k = 0,2 und Amp = 0,5 V ergibt sich folgender Wechselanteil (Spitze-Spitze) des Differenzsignals: 1 1 A pp 2 Apos Aneg 2 0,2 Amp 0,2 Amp 0,4 Amp 0,4 0,5V 0,2V 2 2 Zugleich ist der Gleichanteil von Apos um 16% erhöht. Bei S= = 2,5 V hat das Differenzsignal A dann (statt Null im fehlerfreien Fall) folgenden Mittelwert: A Apos Aneg 1,16 S S 0,16 S 0,16 2,5V 0,4V Die beiden B-Signale sind unverfälscht. Als Analogsignal-Integritätsprüfung wird eine Zeigerlängenüberwachung auf Unter- bzw. Überschreiten des Nominalwertes (0,5 V) um 50 % angenommen. In Abbildung C.5 sind die sich ergebenden Zeigerspitzen-Kurven dargestellt: links zum Vergleich die Idealkurve des fehlerfreien Falls (grün) und rechts die beiden Fehlerfälle mit k = 0 und k = 0,2 (orange und magenta). Die Zeigerlängen-Grenzkurven der Amplitudenüberwachung erscheinen als gestrichelte Kreise. Seite 69 von 80 GS-IFA-M21 Ausgabe 11/2015 Abbildung C.5: Lissajous-Diagramme (Darstellung von Signal B über Signal A) im Idealfall (links) und bei kritischem Messsystem-Fehler (rechts) Die Schaltschwellen für die Rechteckformung liegen symmetrisch angeordnet um den Nullpunkt der Spannungen UA und UB. Dies führt dazu, dass bei beiden Fehlerfällen (k = 0 und k = 0,2) das Signal A nicht mehr beide Schaltschwellen durchfährt, wodurch die Ausgangssignale Asqw1 und Asqw2 beider Rechteckformer (siehe Blockdiagramm in Abschnitt C.4) statisch werden. In der Folge zählen beide Positionszähler fortwährend einen Punkt vor und zurück, so dass Stillstand vorgetäuscht wird. Am rechten Lissajous-Diagramm ist erkennbar, dass sich beide Zeigerspitzen-Kurven im zulässigen Bereich zwischen den Amplituden-Grenzkreisen bewegen. Darum wird dieser Fehler durch die Zeigerlängenüberwachung in der hier angenommen Parametrierung nicht erkannt. Ein Diagnosedeckungsgrad von 100 % kann nicht erreicht werden, falls mit solchen Fehlern gerechnet werden muss. Durch die FMEDA soll geprüft werden, ob bei der gegebenen Hardware des Messsystems in Verbindung mit der vorgesehenen Spezifikation der Signalverarbeitung derartige kritische Szenarien auftreten können, bzw. es soll nachgewiesen werden, dass solche Szenarien auszuschließen sind. Vorgehensweise bei der FMEDA Bei der FMEDA (Failure Mode, Effects and Diagnostics Analysis) auf Bauteil- und Schaltungsebene werden wie üblich die Fehlermöglichkeiten aller Bauelemente der Reihe nach hinsichtlich ihrer Auswirkung auf die Ausgangssignale der Schaltung und die Wirksamkeit der implementierten Diagnose bei kritischem Schaltungsverhalten untersucht. Seite 70 von 80 GS-IFA-M21 Ausgabe 11/2015 Durch beliebig komplexe Fehlerannahmen bei elektronischen Bauelementen der Schaltung wird es stets möglich sein, kritische Szenarien der vorbeschriebenen Art hervorzurufen. Um hier realistisch zu bleiben, sind jedoch bei der FMEDA nur jene Bauelement-Ausfallarten zu unterstellen, die in den Fehlermodellen aus DIN EN 61800-5-2:2016, Tabellen D.1 bis D.7 aufgeführt sind. Diese nicht ausschließbaren und von der Diagnose zu beherrschen Ausfallarten decken sich im Wesentlichen mit den für den Diagnosedeckungsgrad „hoch“ zu erkennenden Fehlern nach DIN EN 61508-2, Anhang A (z. B: „DC-Fehlermodell“). Das oben beschriebene kritische Fehlerszenario kommt zustande durch eine Verstärkungsänderung und eine gleichzeitige Gleichanteilverschiebung. Dass eine solche Doppelwirkung prinzipiell durch einen einzelnen Bauteilfehler verursacht werden kann, wird anhand der Standard-Verstärkerschaltungen in Abbildung C.6 demonstriert. Diese Einsicht untermauert die Notwendigkeit einer FMEDA der konkreten Hardware des Messsystems. Abbildung C.6: Beispiele für die zweifache Auswirkung eines einzelnen Bauteilfehlers Anmerkung: Für die Gleichungen in Abbildung C.6 wurden vereinfachend „ideale“ Operationsverstärker angenommen (Eingangsströme und Ausgangsimpedanz Null, innere Verstärkung unendlich, kein Offset). Prinzipiell ist es zulässig, dass der Anwender die Ausgestaltung und Parametrierung der Signalverarbeitung alternativ gestaltet. Falls jedoch die FMEDA des Messsystems ergibt, dass durch Einzelfehler potentiell kritische Ausgangssignale der oben gezeigten Art erzeugt werden können, muss der Hersteller dem Anwender diese Information zur Verfügung stellen, damit dieser die Signalverarbeitung entsprechend auslegen kann. Eine zweckmäßige Form der Information besteht in der Übermittlung zusätzlicher Testsignale, welche die potentiell kritischen Fehler des Messsystems repräsentieren und die bei der Statischen Analyse beherrscht werden müssen. Seite 71 von 80 GS-IFA-M21 Ausgabe 11/2015 C.7 MS-Excel-Tool zur Durchführung der Statischen Analyse Die in den Abschnitten C.2, C.3, C.4 und C.5 beschriebene Statische Analyse kann mit einer vom IFA bereitgestellten MS-Excel-Datei mit darin eingebundenen Makros durchgeführt werden. Die in Abschnitt C.3 aufgeführten Standard-Testsignale sind in der Datei bereits enthalten. Weitere Testsignale können nötigenfalls hinzugefügt werden. Eine Benutzungsanleitung ist in der Datei enthalten. Download der MS-Excel-Datei: www.dguv.de, webcode d11973 Seite 72 von 80 GS-IFA-M21 Ausgabe 11/2015 Anhang D Beispiel für die Quantifizierung Im Folgenden wird beispielhaft die Quantifizierung eines inkrementalen Sinus/CosinusMesssystems mit extern realisierter Diagnose betrachtetet. Dabei wird die Gültigkeit folgender Annahmen vorausgesetzt: Die Quantifizierung soll sowohl für geschwindigkeits- bzw. drehzahlbasierte als auch für positionsbasierte Sicherheitsfunktionen gültig sein. Hieraus folgt, dass die Bewegungsrichtung eine sicherheitsrelevante Information darstellt. Da zur Gewinnung der Richtungsinformation beide Analogsignale („Sinus“ und „Cosinus“) benötigt werden, muss das Messsystem einkanalig modelliert werden. Um die Forderung der Einfehlersicherheit mit dieser einkanaligen Architektur zu erfüllen, ist eine Ideale Fehlererkennung realisiert (Diagnosedeckungsgrad 100 % und die Fehleraufdeckung und die im Fehlerfall erfolgende Reaktion zur Herstellung eines sicheren Zustands erfolgt innerhalb der Prozesssicherheitszeit). Bei der Quantifizierung wird vorausgesetzt, dass die Prüfungen, mit denen dies nachgewiesen werden kann, erfolgreich bestanden wurden. Die Diagnose zur Erkennung von Ausfällen ist außerhalb des Messsystems realisiert und die Diagnoseeinrichtung wird bei der Berechnung der PFH für eine Sicherheitsfunktion mit einem eigenen PFH-Beitrag berücksichtigt. Dies ist typischerweise der Fall, wenn die analogen Signale von einem sicheren Auswertegerät oder einer sicheren Steuerung verarbeitet werden, die sowohl die Diagnose des Messsystems als auch die Sicherheitsfunktion selbst ausführen. Unter den genannten Voraussetzungen kann für das betrachtete Beispiel das in Abbildung D.1 dargestellte sicherheitsbezogene Blockdiagramm angegeben werden. Abbildung D.1: Sicherheitsbezogenes Blockdiagramm Die PFH kann dabei mit folgender Gleichung berechnet werden: PFH enc enc DU 1 DCenc enc D Ermittlung der Ausfallrate in die gefährliche Richtung enc D: Seite 73 von 80 GS-IFA-M21 Ausgabe 11/2015 Durch die quantitativen FMEDA wird die Ausfallrate in die gefährliche Richtung enc D ermittelt, wobei folgende Beiträge nicht in die Ausfallratensumme einfließen: Ausfallraten von Bauelementen, die weder direkt (z. B. als Verstärker) noch mittelbar (z. B. in der Aufbereitung der Versorgungsspannung) an der Erzeugung der Ausgangssignale beteiligt sind („not part failures“) Ausfallraten von Bauelementen, deren Ausfall keine Auswirkung auf die Erzeugung der Ausgangssignale hat („no effect failures“) Raten für einzelne Bauelement-Ausfallrichtungen, deren Eintritt keine Auswirkung auf die Erzeugung der Ausgangssignale hat („no effect failures“) Ausfallraten von Bauelementen, deren Ausfall die Ausgangssignale nur so wenig beeinflusst, dass bei der vom Hersteller vorgeschriebenen Signalauswertung eine einwandfreie Zählung der von der Abtastung der Maßverkörperung herrührenden Schwingungsflanken erfolgen („safe failures“) Raten für einzelne Bauelement-Ausfallrichtungen, deren Eintritt die Ausgangssignale nur so wenig beeinflusst, dass bei der vom Hersteller vorgeschriebenen Signalauswertung eine einwandfreie Zählung der von der Abtastung der Maßverkörperung herrührenden Schwingungsflanken erfolgen („safe failures“) Anmerkung: Da die Sicherheitsfunktionen selbst nicht bekannt sind, ist eine pauschale Bewertung der halben Bauelement-Ausfallrate als „safe“ nicht angemessen. Temperaturkorrektur der Bauelement-Ausfallraten: Die im realen Betrieb zu erwartende Bauelement-Temperatur muss bei der Ermittlung ihrer Ausfallraten berücksichtigt werden. Ist z. B. zugelassen, dass ein Winkelmesssystem motornah montiert wird, so müssen die dabei möglichen hohen Bauelement-Temperaturen berücksichtigt werden und die Ausfallraten und die darauf basierende PFH muss für diese zulässige Anwendung ermittelt und angegeben werden. Zusätzlich können PFH-Werte für niedrigere Betriebstemperaturen ermittelt und angegeben werden. Abschätzung des Diagnosedeckungsgrades DCenc: Da die Ausfälle in die gefährlichen Richtung zu 100% erkannt werden müssen (siehe die eingangs genannten Voraussetzungen), darf es keine Beiträge zur gefährlichen Ausfallrate geben, für die der Diagnosedeckungsgrad < 100% beträgt. Im Sinne einer konservativen Abschätzung, d. h. einer Abschätzung zur sicheren Seite, wird die Diagnose für alle gefährlichen Ausfälle mit der Stufe „hoch“ bewertet, d. h. für die PFH-Berechnung wird gesetzt: DC = 99%. Wegen S DD DD DC 99% SFF S D D und HFT = 0 (Einkanaligkeit) kann maximal SIL 3 erreicht werden (Typ-B-Bauelemente). Die quantitative Kategorie-Fähigkeit wird bei diesem Beispiel alleine durch die MTTFd bestimmt. Aufgrund der Idealen Fehlererkennung (DC=100%) wird rechnerisch DC=99% angesetzt. Seite 74 von 80 GS-IFA-M21 Ausgabe 11/2015 Anhang E Anforderungen an die EM-Störfestigkeit In FDIS IEC 61800-5-2:2015 sind im Anhang E die Anforderungen an die EM-Störfestigkeit von PDS(SR) beschrieben, zu denen die in diesen Prüfgrundsätzen behandelten Messsysteme gehören. Bis zum Erscheinen von DIN EN 61800-5-2 (voraussichtlich 2016) wird der Inhalt des Anhangs E hier wiedergegeben: Seite 75 von 80 GS-IFA-M21 Ausgabe 11/2015 Annex E(normative) Electromagnetic (EM) immunity requirements for PDS(SR) E.1 General To show compliance with the design requirements for a PDS(SR) regarding electromagnetic (EM) immunity described in clause 6.2.6, the immunity requirements provided in the following tables shall apply with performance criteria of clause 9.3.3. According to IEC Guide 107 the requirements of this 0 are based on IEC 61000-6-7. Due to the differences of port/interface definitions between the IEC 61000-6-7 and the IEC 61800-3 the EM immunity requirements for PDS(SR) are given in the following tables. Immunity requirements - low frequency disturbances These requirements apply to the following power ports: all power ports which provide power for safety sub-functions in low voltage PDS(SR) and all auxiliary low voltage power ports which provide power for safety sub-functions in PDS(SR) of rated voltage above 1000V (only second environment) Table E.1. – Minimum immunity requirements for voltage deviations, dips and short interruptions Phenomenon Voltage deviations (> 60 s) Short interruptions Second environment Level Level Reference document IEC 61000-2-4 Class 2 Voltage dips c Voltage dips for Auxiliary DC power ports below e 60 V First environment 10 % a + 10 % / -15% a Volts remaining Cycles Volts remaining Cycles IEC 61000-4-11 d 0% 1 0% 1 or 40% 25/30 b 40% 10/12 b IEC 61000-4-34 d 70% 25/30 b 70% 25/30 b - - 80% 250/300 b 40% 0.5 40% 0.5 70% 0.5 70% 0.5 Volts remaining Cycles Volts remaining Cycles IEC 61000-4-11 d - - 0% 10/12 b or 0% 25/30 b 0% 25/30 b 0% 250/ 300 b 0% 250/300 b IEC 61000-4-29 IEC 61000-4-34 d Seite 76 von 80 GS-IFA-M21 Ausgabe 11/2015 a “Voltage deviation” is a supply voltage variation from the no minal supply voltage. Testing of voltage deviations for three phase PDS requires increasing or reducing the voltage of all three phases simultaneously. b “x/y cycles” means “x cycles for 50 Hz test“ and “y cycles for 60 Hz test” c Power ports with current rating 75 A, the method of the voltage drop test according to IEC 61400-21, 7.5 may be used. d IEC 61000-4-11 applies to equipment rated less than or equal to 16 A and IEC 61000-4-34 to equipment rated above 16 A e This test addresses external DC power supplies which provide power to the safety sub-function(s). NOTE: It is permitted to verify immunity of safety sub-functions for all phenomena in this table using calculation or simulation, as well as by testing. 3.1.1.1.1 NOTE: No conducted common mode tests are required due to the higher emission of conducted common mode voltage by a PDS(SR) compared to the test levels of IEC 61000-6-7. Table E.2 – PDS(SR) minimum immunity requirements for voltage deviations, dips and short interruptions on main power ports with a rated voltage above 1 000 V Phenomenon Reference document Level Voltage deviations exceeding 1 min IEC 61000-2-4 Class 3 +10 % / - 15 % Voltage deviations not exceeding 1 min IEC 61000-2-4 Class 3 +10 % / - 15 % Voltage dips IEC 61000-4-34 b Volts remaining Cycles 0% 1 40% 10/12 c 70% 25/30 c 80% 250/300 c 40% 0.5 70% 0.5 Volts remaining Cycles 0% 10/12 b 0% 25/30 b 0% 250/300 c Voltage dips for Auxiliary DC power ports below e 60 V IEC 61000-4-29 Short interruptions IEC 61000-4-34 b a “Voltage deviation” is a supply voltage variation from the nominal supply voltage. Testing of voltage deviations for three phase PDSs requires increasing or reducing the voltage of all three phases simultaneously. When considering voltage deviations, any voltage steps shall not exceed 12% of nominal voltage and the time between steps shall not be less than 2 s. When the voltage is below nominal, the maximum output power ratings – speed and/or torque – may be reduced, because they are voltage dependent. b Typical depths and durations of voltage dips are given in IEC 61000-2-8. c “x/y cycles” means “x cycles for 50 Hz test“ and “y cycles for 60 Hz test” d Opening of fuses is permitted for line-commutated converters operating in inverting mode. e This test addresses external DC power supplies which provide power to the safety sub-function(s). NOTE: It is permitted to verify immunity of safety sub-functions for all phenomena in this table using calculation or simulation, as well as by testing. Seite 77 von 80 GS-IFA-M21 Ausgabe 11/2015 E.2 Immunity requirements – high frequency disturbances Table E.3 – Immunity requirements – high frequency disturbances 1 2 3 4 5 Port / interface Phenomenon Basic standard for test method Level for first environment Level for second environment Enclosure port ESD m, n IEC 61000-4-2 q air discharge (AD) o 4 kV CD or 8 kV AD if CD impossible 8kV CD or 15 kV AD contact discharge (CD) Power ports (except auxiliary DC power ports below 60 V) Radio-frequency electromagnetic field, amplitude modulated p IEC 61000-4-3 * Radio-frequency electromagnetic field, amplitude modulated p IEC 61000-4-3 * Radio-frequency electromagnetic field, amplitude modulated p IEC 61000-4-3 * Fast transient-burst Surge b m 80 MHz to 1 000 MHz 80 MHz to 1 000 MHz 10 V/m 20 V/m i , g 80 % AM (1 kHz) 80 % AM (1 kHz) 1,4 GHz to 2,0 GHz 1,4 GHz to 2,0 GHz 3 V/m 10 V/m i , g 80 % AM (1 kHz) 80 % AM (1 kHz) 2,0 GHz to 2,7 GHz 2,0 GHz to 6 GHz 1 V/m 3 V/m i , g 80 % AM (1 kHz) 80 % AM (1 kHz) IEC 61000-4-4 h 2 kV/5 kHz a 4 kV/5kHz a IEC 61000-4-5 r 1 kV c 2 kV c 2 kV d 4 kV d 0,15 MHz to 80 MHz 0,15 MHz to 80 MHz k 10 V 20 V g 80 % AM (1 kHz) 80 % AM (1 kHz) 1,2/50 s, 8/20 s Conducted radio-frequency common mode e 6 kV CD or 8 kV AD if CD impossible IEC 61000-4-6 * Power Interfaces Fast transient-burst e IEC 61000-4-4 h 2 kV/5 kHz Capacitive clamp 4 kV/5 kHz Capacitive clamp Signal interfaces Fast transient-burst e IEC 61000-4-4 h 1 kV/5 kHz Capacitive clamp 2 kV/5 kHz Capacitive clamp Conducted radiofrequency common mode e IEC 61000-4-6 * 0,15 MHz to 80 MHz 0,15 MHz to 80 MHz k 10 V 20 V g 80 % AM (1 kHz) 80 % AM (1 kHz) Ports for process measurement control lines Fast transient-burst e IEC 61000-4-4 h 2 kV/5 kHz Capacitive clamp 4 kV/5 kHz Capacitive clamp Surge f IEC 61000-4-5 r 1 kV d, f 2 kV d, f Auxiliary DC power ports below 60 V 1,2/50 s, 8/20 s IEC 61000-4-6 * 0,15 MHz to 80 MHz 0,15 MHz to 80 MHz k 10 V 20 V g 80 % AM (1 kHz) 80 % AM (1 kHz) * Conducted radiofrequency common mode e see also IEC 61800-3:2012, 5.3.4 NOTE: The required immunity for functional safety purposes can be achieved through the use of external protection devices. Seite 78 von 80 GS-IFA-M21 Ausgabe 11/2015 a Power ports with current rating < 100 A: direct coupling using the coupling and decoupling network. Power ports with current rating ≥ 100 A: direct coupling or capacitive clamp without decoupling network. If the capacitive clamp is used, the test level shall be 4 kV/ 5 kHz or 100 kHz. b Applicable only to power ports with current consumption < 63 A during light load test conditions as specified in 5.1.3. of IEC 61800-3. The rated impulse voltage of the basic insulation shall not be exceeded (see IEC 60664-1). c Coupling line-to-line. d Coupling line-to-earth. e Applicable only to ports or interfaces with cables whose total length according to the manufacturer's functional specification may exceed 3 m. f Applicable only to ports with cables whose total length according to the manufacturer's functional specification may exceed 30 m. In the case of a shielded cable, a direct coupling to the shield is applied. This immunity requirement does not apply to fieldbus or other signal interfaces where the use of surge protection devices is not practical for technical reasons. The test is not required where normal functioning cannot be achieved because of the impact of the coupling/decoupling network on the equipment under test (EUT). g The test level specified is the r.m.s. value of the unmodulated carrier h For a PDS(SR) intended to be used in safety integrity level SIL 3 applications, the duration of the test at the highest specified level shall be increased by a factor of 5 compared to the duration as given in the basic standard. i These increased values shall be applied in the frequency ranges as given in Table E.4 used for mobile transmitters in general. k These increased values shall be applied in the frequency ranges as given in Table E.5 used for mobile transmitters in general. m The higher test levels apply in case the discharge is done onto cabinet enclosures. n Levels shall be applied in accordance with the environmental conditions described in IEC 61000-4-2 on parts which may be accessible by persons other than trained personnel in accordance with defined procedures for the control of ESD but not to equipment where access is limited to service personnel only. o For air discharge test not only the given level has to be tested but all the levels up to the given one. p If hand held radio transmitters could be used closer than 20 cm a warning shall be given in the safety manual that the PDS (SR) could be disturbed. q For a PDS(SR) intended to be used in safety integrity level SIL 3 applications, the number of discharges shall be increased by the factor of 3. r For a PDS(SR) intended to be used in safety integrity level SIL 3 applications, the number of surge pulses shall be increased by the factor of 3 Table E.4– General frequency ranges for mobile transmitters and ISM for radiated tests Centre frequency MHz 84,000 151,850 154,585 168,000 219,500 433,920 873,000 Frequency range MHz 83,996 – 84,004 137 – 174 151,820 – 151,880 154,570 – 154,600 167,992 – 168,008 219 – 220 380 – 400 420 – 470 433,05 – 434,79 450 - 470 698 – 894 746 - 845 825 - 845 830 - 840 860 - 915 870 - 876 860 – 960 886 – 906 Purpose ISM (UK only) Mobile and SRD MURS MURS ISM UK only AMATEUR TETRA AMATEUR ISM (Region 1 only) 4G/LTE-A 3G/UMTS3.9G/LTE TETRA TETRA 3G/FOMA 3.9G/LTE TETRA RFID ISM UK only Seite 79 von 80 GS-IFA-M21 Ausgabe 11/2015 918,000 880 - 915 915 - 921 902 - 928 925 – 960 1 240 – 1 300 1 428 – 1 496 1 476 – 1 511 1 525 – 1 559 1 627 – 1 661 1 710 – 1 785 1 710 – 1 785 1 805 – 1 880 1 900 – 2 025 2 110 – 2 200 2 300 – 2 450 2 400 – 2 500 2 300 – 2 400 2 500 – 2 690 3 300 – 3 500 3 400 – 3 600 5 150 – 5 350 5 470 – 5 725 5 650 – 5 925 5 725 – 5 875 5 795 – 5 815 GSM 3G/FOMA 3G/HSPA NADC ISM (Region 2 only) GSM 3G/HSPA AMATEUR 3G/UMTS 3G/HSPA 3.9G/LTE 3.9G/LTE GSM 3G/UMTS 3G/FOMA 3G/HSPA GSM 3G/UMTS 3G/FOMA 3G/HSPA 3.9G/LTE 3G/UMTS 3G/FOMA 3.9G/LTE 3G/UMTS 3G/FOMA 3.9G/LTE AMATEUR ISM 3.9G/LTE 4G/LTE-A 3.9G/LTE AMATEUR 4G/LTE-A HIPERLAN HIPERLAN AMATEUR ISM RTTT Table E.5– General frequency ranges for mobile transmitters and ISM for conducted tests Centre frequency MHz Frequency range MHz 3,39 3,370 - 3,410 6,780 6,765 - 6,795 13,560 13,553 - 13,567 27,120 26,957 - 27,283 40,680 40,66 - 40,70 For those frequency bands where a centre frequency is performed at the centre frequency only. Purpose ISM Netherlands only ISM ISM ISM/CB/SRD ISM/SRD indicated the test shall be Seite 80 von 80
© Copyright 2024 ExpyDoc
