DRIVECOM Informationen, Neuigkeiten

Präsentation zum Thema: "DRIVECOM Informationen, Neuigkeiten"—  Präsentation transkript:

1 DRIVECOM Informationen, Neuigkeiten
Normen für Sichere Antriebe IEC 62061 ISO 13849 Risikobetrachtungen Unterschiede zu IEC 61508 Rechenmodelle Information über sichere Robotik Ethernet Powerlink Safety Schnelles Bussystem für Antriebe mit Sicherheitslayer Eigenschaften Zulassung Anwendungen

2 Bereits existierende Normen für sichere Antriebe
DKE-AK (Sicherheitsfunktionen) Wiederanlaufsperre, Sicherer Halt Stopp-Kategorien (0,1,2), Betriebshalt Tipp-Betrieb Schleichgang, Sicher reduzierte Geschwindigkeit Sicher reduzierter Weg, sicher reduziertes Schrittmaß Sicher reduzierte Kraft IEC Teil 5.2 Integration der Sicherheitsfunktionen aus DKE-AK Anforderungen und Maßnahmen aus IEC 61508 IEC 61508 Einstufung nach SIL Technische und organisatorische Maßnahmen, Berechnungen EN 954-1 Einstufung nach Kategorien (B,1,2,3,4)

3 Neue Normen innerhalb der Sicherheitstechnik
Norm IEC 62061 Zusammenhang SIL (IEC 61508), Kategorie (EN 954-1) SFF DC Besonderheiten der neuen Normen IEC 62061 ISO 13849 Vereinfachung des Kalkulationsmodelle Notwendigkeit der Angabe von λ-Werten

4 Risikograf und Performance-Level nach ISO 13849 und IEC 62061

5 Typen von Ausfallraten
Gefährliche Ausfälle (entdeckt) S: Ausfall in die sichere Richtung D: Ausfall in die unsichere Richtung λ DD: gefährlich aber erkannt λ DU: gefährlich und nicht erkannt Gefährliche Ausfälle (unentdeckt) Ungefährliche Ausfälle Gefährlich Ausfälle Sicher entdeckte Ausfälle (ohne Gefahr) Alle Ausfälle Sicher unentdeckte Ausfälle (ohne Gefahr)

6 SFF-Abschätzung, Fehlertoleranz, IEC 61508
Anteil der sicheren Ausfälle (SFF) Hardware Fehlertoleranz 0 1 2 < 60 % 60 % -  90 % 90 % -  99 %  99 % Nicht erlaubt SIL 1 SIL 2 SIL 3 SIL 4 λDU λS λDD Ohne genaue Kenntnis der Situation wird angenommen, dass sich sichere und gefährliche Fehler wie 1:1 aufteilen. Je höher der Anteil der Ausfälle ist, die zu einer Gefahr führen, desto höher muss auch die Fehlertoleranz sein. λD: Wahrscheinlichkeit (gefährliche Fehler) λDU: dto. nicht erkannt λDD: dto. erkannt λS: Ausfall in sichere Richtung

7 Performance-Level nach IEC 62061
Performance-Level von a bis e Berechnung in Abhängigkeit der Fehlerraten

8 Bewertung einer SIL-Einteilung über SFF und Fehlertoleranz
Category Hardware fault tolerance SFF Maximum SIL claim limit according to architectural constraints It is assumed that subsystems with the stated category have the characteristics given below. 1 < 60% See note 1 2 60 % - 90 % SIL 1 3 SIL 2 4 >1 SIL 3 (see note 3) > 90% SIL 3 (see note 4) NOTE 1 The cases for Categories 1 and 2 where SFF is < 60 % are considered not to be relevant within the rationale of ISO and subsystems that are designed in accordance with ISO  will in practice achieve an SFF that is above 60 %. NOTE 2 The case for Category 2 where SFF is > 90 % is assumed not to be achieved by the design requirements of ISO NOTE 3 The diagnostic coverage is assumed to be less than 90 % for Category 4 subsystems where greater than single hardware fault tolerance (i.e. accumulated faults) is considered. NOTE 4 Category 4 requires a SFF of more than 90 % but less than 99 % when single hardware fault tolerance is considered. NOTE 5 Category B in accordance with ISO  is not considered sufficient to achieve SIL 1. Tabelle aus der Norm (V) IEC 62061 Hinweis: Fehlertoleranz 0: Ein Fehler kann zur Verlust der Sicherheitsfunktion führen. Fehlertoleranz 1: Ein Einzelfehler führt nicht zum Verlust der Sicherheitsfunktion.

9 Bewertung einer SIL-Einteilung über DC und Fehlertoleranz
Category Hardware fault tolerance DC PFHD threshold values (per hour) that can be claimed for the subsystem PFHD (MTTFsubsystem, Ttest, DC)1 It is assumed that subsystems with the stated category have the characteristics given below. 1 0 % To be provided by supplier or use generic data (see annex D) 2 60 % - 90 % ≥ 10–6 3 ≥2 * 10–7 4 >1 ≥ 3 * 10–8 > 90 % Tabelle aus der Norm (V) IEC 62061 NOTE 1 The PFHD threshold value is a function of the subsystem MTTF (to be derived by the subsystem manufacturer or from relevant component data handbooks), test/check cycle time as specified in the safety requirements specification (this information is also required for subsystem validation in accordance with ISO , 3.5) and the diagnostic coverage as shown in Table 5 (these values are based on the requirements of the categories described in ISO ).

10 Vereinfachung des Rechenmodells, Notwendigkeit der λ-Werte

11 Information: Projekt Sichere Robotik
BMBF-gefördertes Projekt Sicherer Roboter zum direkten Kontakt mit Personen Sicherheitsfunktionen Schleichgang Sicherer Halt (Stopp-Kategorie 2)

12 Ethernet Powerlink Safety
Maßnahmen nach Norm Wirkung auf das Gesamtsystem (Vernetzungsanteil) Nachrichtenaufbau Zeitstempelverfahren Integration in Antriebe Zulassung

13 Maßnahmen (Zusammenfassung, FAET-Normenentwurf)

14 Fehlerverteilung bei Automatisierungssystemen
Gesamtes Automatisierungssystem (10-8 bis 10-7 bei SIL 3) Sensorik E/E/PE Aktuatorik 35% 15% 50% Auf Netzwerke entfallen nur 1% aller Fehler. Damit beträgt die zulässige Fehlerrate: 10-9 / h. Mehr als Jahre Datentransport ohne Fehler!

15 Typischer Aufbau von sicheren Datenformaten
Adresse TM LE Daten CRC Adresse TM LE Daten CRC Adresse TM LE Daten CRC Adresse TM LE Daten CRC t2 t1 Burst

16 Verfahren der Zeitsynchronisation und der Laufzeitkontrolle
Um Verzögerungen im Netzwerk zu erkennen, muss entweder eine globale Uhr alle Teilnehmer synchronisieren oder es wird eine relative Zeit zwischen den Teilnehmern ausgemacht.

17 Integration des sicheren Netzwerks in die Automatisierung
Sensor Bereits auf der Senderseite werden die beiden Sub Frames erzeugt. Die Sub Frames schickt man gemeinsam über das Ethernet (embedded). Die beiden Controller im Empfänger entpacken die Sub Frames unabhängig voneinander. Controller 1 Controller 2 Teiltelegramm 1 Sender Teiltelegramm 2 Interface Eingebetteter Datensatz Netzwerk (Ethernet) Interface Gesamttelegramm Standarddaten Empfänger Controller 2 Controller 1 Teiltelegramm 1 Teiltelegramm 1 Aktuator

18 Ergebnisse Fehlerrestwahrscheinlichkeit für längere Datensätze (p=0.001) Fehlerrestwahrscheinlichkeit bei höheren Störraten (ab 0.01) Anzahl der Nutzdatenbytes Fehlerrate bei p=0.001 Fehlerrate berechnet auf 1 Stunde mit Qualitätsfaktor von 100 9 20 32

19 Zusammenfassung Sicherheit erfüllt SIL 3 nach IEC 61508
Zulassung durch den TÜV Volle Kompatibilität zum Standard Extrem kurze Reaktionszeit Typische Anwendungsbereiche Antriebstechnik Steuerungstechnik Bahn, Schiffbau, Transportwesen Maschinenbau Anlagenbau