grundsätze für die prüfung und zertifizierung von winkel ... · grundsätze für die prüfung...

74
Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit Stand 23.08.2018 Prüfgrundsatz GS-IFA-M21 V 1.1 Institut für Arbeitsschutz der DGUV Prüf- und Zertifizierungsstelle im DGUV Test Alte Heerstr. 111 53757 Sankt Augustin

Upload: others

Post on 21-Sep-2019

1 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit Stand 23.08.2018

Prüfgrundsatz

GS-IFA-M21

V 1.1

Institut für Arbeitsschutz der DGUV Prüf- und Zertifizierungsstelle im DGUV Test Alte Heerstr. 111 53757 Sankt Augustin

Page 2: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 2 von 74

Version Datum Bearbeitungsinhalt Bearbeiter Freigabe

1.0 13.11.2015 Ersterstellung Apf, BO, do, Foe

Apfeld

1.1 23.08.2018 3.2 und 3.2.9: Aktualisierung des Verweises auf die DGUV Test Prüf- und Zertifizierungsordnung

4.7.7: Korrektur zweier Querverweise

5.15.2: Korrektur der Temperatur, für welche die PFHD mindestens angegeben werden muss

C.6: Spannungsbezeichungen „UA“ und „UB“ in „A“ und „B“ geändert

C.3: Neues Testsignal 3

Ganzes Dokument: Aktualisierung von Verweisen auf die aktuelle DIN EN 61800-5-2:2017 und punktuelle Anpassungen an ihren aktuellen Wortlaut, diverse Formatierungen von Variablen korrigiert

ChW, do Werner

Page 3: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 3 von 74

Inhaltsverzeichnis

1. ALLGEMEINES .................................................................................................... 8

1.1 Anwendungsbereich ............................................................................................. 8

1.2 Richtlinien, Vorschriften, Normen ......................................................................... 8

2. BEGRIFFE ......................................................................................................... 12

2.1 Messsystem ....................................................................................................... 12

2.2 Drehwinkelmesssystem ..................................................................................... 12

2.2.1 Inkrementales Drehwinkelmesssystem .............................................................. 12

2.2.2 Absolutes Drehwinkelmesssystem ..................................................................... 12

2.2.2.1 Absolutes Drehwinkelmesssystem, singleturn ................................................... 12

2.2.2.2 Absolutes Drehwinkelmesssystem, multiturn ..................................................... 12

2.3 Wegmesssystem ................................................................................................ 12

2.3.1 Inkrementales Wegmesssystem ........................................................................ 12

2.3.2 Absolutes Wegmesssystem ............................................................................... 12

2.4 Groblage ............................................................................................................ 12

2.5 Feinlage ............................................................................................................. 13

2.6 Gesamtlage ........................................................................................................ 13

2.7 Interpolation ....................................................................................................... 13

2.8 Lagerloses Messsystem ..................................................................................... 13

2.9 Einbau-Messsystem ........................................................................................... 13

2.10 Anbau-Messsystem ............................................................................................ 13

2.11 Mechanische Verbindungselemente .................................................................. 13

2.11.1 Kupplung ............................................................................................................ 13

2.11.1.1 Wellenkupplung ................................................................................................. 13

2.11.1.2 Statorkupplung ................................................................................................... 13

2.12 Interface ............................................................................................................. 14

2.13 Auswertegerät .................................................................................................... 14

2.14 Sicherheitsfunktion ............................................................................................. 14

2.15 Teil-Sicherheitsfunktion ...................................................................................... 14

2.16 PDS(SR) ............................................................................................................ 14

2.17 Gefährlicher Fehler ............................................................................................ 14

2.18 Signalauswertung .............................................................................................. 14

Page 4: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 4 von 74

2.19 Diagnose ............................................................................................................ 14

2.20 Signalverarbeitung ............................................................................................. 14

2.21 Prozesssicherheitszeit ....................................................................................... 14

2.22 Fehlererkennung und -reaktion in Prozesssicherheitszeit .................................. 15

2.23 Fehlerreaktion .................................................................................................... 15

2.24 Funktionale Sicherheit ........................................................................................ 15

2.25 Hardwarefehlertoleranz (HFT) ........................................................................... 15

2.26 Ideale Fehlererkennung ..................................................................................... 15

2.27 Arbeitstemperaturbereich ................................................................................... 15

2.28 Messpunkt der Arbeitstemperatur ...................................................................... 15

2.29 FMEDA, quantitativ ............................................................................................ 16

2.30 FMEDA, qualitativ .............................................................................................. 16

3 DURCHFÜHRUNG VON PRÜFUNG UND ZERTIFIZIERUNG ......................... 17

3.1 Allgemeines ....................................................................................................... 17

3.2 Grundlagen und Ablauf von Prüfung und Zertifizierung ..................................... 17

3.2.1 Angebot und Kosten ........................................................................................... 17

3.2.2 Auftrag und Vertrag ............................................................................................ 17

3.2.3 Einreichung von Unterlagen ............................................................................... 18

3.2.4 Anlieferung von Prüfobjekten ............................................................................. 18

3.2.5 Wiederholungsprüfungen ................................................................................... 19

3.2.6 Ausstellen des Zertifikats ................................................................................... 19

3.2.7 Art des Zertifikats ............................................................................................... 19

3.2.8 Gültigkeit von Zertifikaten ................................................................................... 19

3.2.9 Kontrollmaßnahmen ........................................................................................... 19

4. SICHERE MESSSYSTEME - GRUNDLAGEN .................................................. 20

4.1. Fehlermodelle .................................................................................................... 20

4.2. Fehlerausschlüsse ............................................................................................. 20

4.3. Einfehlersicherheit.............................................................................................. 20

4.4. Nicht erkennbare Fehler ..................................................................................... 21

4.4.1. Sicherheitstechnische Architektur ...................................................................... 21

4.4.2. Analyse hinsichtlich potentiell kritischer Ausfallmechanismen ........................... 21

4.5. Fehler erkennende Maßnahmen (DC) ................................................................ 22

Page 5: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 5 von 74

4.6. Statische Analyse der spezifizierten Signalauswertung und Fehlererkennung .. 23

4.7. Quantifizierung ................................................................................................... 24

4.7.1. Sicherheitstechnische Architektur und sicherheitsbezogenes Blockdiagramm ...... 25

4.7.2. Ausfallraten ........................................................................................................ 25

4.7.3. Ausfallraten unter realistischen Arbeitstemperaturen ......................................... 27

4.7.4. Quantitative FMEDA und Bewertung der Diagnosemaßnahmen ....................... 27

4.7.5. Abschätzung des Common-Cause-Faktors (nur bei Redundanz) ................... 29

4.7.6. Abschätzung der PFHD ...................................................................................... 29

4.7.7. Safe Failure Fraction (SFF) und MTTFD eines Kanals ........................................ 29

4.7.8. Ermittlung der quantitativen SIL-Fähigkeit ......................................................... 30

4.7.9. Ermittlung der quantitativen Kategoriefähigkeit .................................................. 30

4.7.10. Ermittlung der quantitativen PL-Fähigkeit .......................................................... 30

5. PRÜFUNGEN .................................................................................................... 31

5.1. Funktionstests .................................................................................................... 31

5.2. Funktionale Sicherheit ........................................................................................ 31

5.2.1. Nachweis der Einfehlersicherheit ....................................................................... 31

5.2.2. Eignung der verwendeten Bauteile und Werkstoffe ........................................... 32

5.2.3. Plausibilitätsprüfung der qualitativen FMEDA .................................................... 32

5.2.4. Fehler erkennende Maßnahmen ........................................................................ 33

5.2.5. Quantifizierung ................................................................................................... 33

5.2.6. Sicherheitsrelevante Software ........................................................................... 34

5.2.7. Mechanische Befestigung .................................................................................. 34

5.2.8. Beispiele für geeignete Versuche: ..................................................................... 34

5.2.9. Befestigung Sensorwelle an Antriebswelle ........................................................ 34

5.2.10. Statorkupplung (Drehmomentstütze) und Wellenkupplung ................................ 34

5.2.10.1. Axiale Belastungen ............................................................................................ 34

5.2.10.2. Radiale Belastungen .......................................................................................... 35

5.3. Luft- und Kriechstrecken / Kurzschlussprüfung von Leiterplatten ...................... 35

5.4. Prüfung der Nichtberührbarkeit / der Vollständigkeit des Gehäuses .................. 36

5.5. Verformungsprüfung .......................................................................................... 36

5.6. Schwing- und Schockprüfung ............................................................................ 37

5.6.1. Schwingprüfung ................................................................................................. 38

Page 6: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 6 von 74

5.6.2. Schockprüfung ................................................................................................... 38

5.7. Mechanische Eigenschaften von Anschlüssen .................................................. 39

5.7.1. Zusatzanforderungen für Messsysteme mit integrierten Anschlussleitungen ..... 39

5.8. Umgebungsbedingungen ................................................................................... 39

5.8.1. Trockene Kälte ................................................................................................... 39

5.8.2. Trockene Wärme................................................................................................ 40

5.8.3. Feuchte Wärme ................................................................................................. 40

5.9. Schutz gegen thermische Gefahren ................................................................... 40

5.10. Verschmutzung der Maßverkörperung ............................................................... 41

5.11. Elektrische Prüfungen ........................................................................................ 41

5.11.1. Stoßspannungsprüfung ...................................................................................... 41

5.11.2. Isolationsprüfung mit Wechsel- oder Gleichspannung ....................................... 41

5.12. Erwärmungsprüfung ........................................................................................... 41

5.13. Schutzleiteranschluss ........................................................................................ 42

5.14. EMV Störfestigkeitsprüfungen ............................................................................ 42

5.15. Anforderungen an Aufschriften und Betriebsanleitung ....................................... 42

5.15.1. Aufschriften ........................................................................................................ 42

5.15.2. Betriebsanleitung ............................................................................................... 43

6. MESSSYSTEM - VARIANTEN .......................................................................... 46

6.1. Sinus/Cosinus-Messsysteme mit zusätzlichem Absolut – Kanal ........................ 46

6.2. Messsysteme mit TTL/HTL - Ausgangssignalen ................................................ 47

6.3. Messsysteme nur mit sicherer Absolutschnittstelle ............................................ 47

6.4. Multiturn – Messsysteme ................................................................................... 48

Anhang A Fehlermodelle Mechanik .................................................................................... 49

Anhang B Fehlermodelle Elektrik ........................................................................................ 50

Anhang C Statische Analyse von Signalauswertung und Fehlererkennung ....................... 51

C.1 Motivation zur Analyse von Signalauswertung und Fehlererkennung ................ 51

C.2 Was bedeutet Statische Analyse der Signalverarbeitung? ................................. 52

C.3 Standard-Testsignale ......................................................................................... 55

C.4 Simulation der spezifikationsgemäßen Signalverarbeitung ................................ 60

C.5 Bewertung der Spezifikation Signalverarbeitung ................................................ 62

C.6 Messsystem-FMEDA zum Nachweis des Diagnosedeckungsgrades von 100 % .. 67

Page 7: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 7 von 74

C.7 MS-Excel-Tool zur Durchführung der Statischen Analyse ................................. 71

Anhang D Beispiel für die Quantifizierung .......................................................................... 72

Anhang E Anforderungen an die EM-Störfestigkeit ............................................................. 74

Page 8: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 8 von 74

1. ALLGEMEINES

1.1 Anwendungsbereich

Die vorliegenden Prüfgrundsätze dienen der EG-Baumusterprüfung von sicheren Mess-systemen, die auf Sinus- und Cosinus-Signalen basieren und für die Erfassung von Winkel oder Lage von Motorwellen, Antriebswellen, Linearachsen usw. vorgesehen sind. Die Fehlererkennung kann innerhalb des Messsystems und/oder im angeschlossenen Aus-wertegerät erfolgen. Neben dem reinen Sinus/Cosinus-Messsystem ist eine Vielzahl von Produktvarianten verfügbar, z. B. Sinus/Cosinus mit zusätzlichem Absolutwert, Messsysteme mit sicherer Busschnittstelle oder mit TTL/HTL-Ausgangssignalen. Diese Prüfgrundsätze gehen im Abschnitt 6 auf einige Varianten ein, jedoch sicherlich nicht auf alle. Im Bedarfsfall können weitere Varianten ergänzt werden.

Die Grundsätze sind dann anzuwenden, wenn für das Messsystem die Anwendung in Sicherheitsfunktionen beansprucht wird und die Eignung des Messsystems zum Einsatz in einem bestimmte Performance Level und Safety Integrity Level nachgewiesen werden soll. Es wird davon ausgegangen, dass sowohl der Nachweis des PL als auch des SIL erforderlich ist. Anmerkung: Das Messsystem realisiert eine Teil-Sicherheitsfunktion, die Bestandteil der gesamten Sicherheitsfunktion zur Risikominderung an einer Maschine ist. Diese Prüfgrundsätze berücksichtigen in der vorliegenden Ausgabe inkrementale Mess-systeme in Kategorie 3 oder 4 nach DIN EN ISO 13849-1.

Je nach Kopplung des Messsystems an die Bewegung (Winkel- oder Weg-Messsystem) und entsprechend dem Einbauort (z. B. innerhalb des Motorgehäuses) ergeben sich teilweise unterschiedliche Anforderungen an die Umgebungsbedingungen, u. a. bezüglich der Beanspruchungen durch Temperatur und Schock/Vibration.

Für Messsysteme, die intern bereits eine Verarbeitung der Positionssignale durchführen, um z. B. ein sicheres Ausgangssignal für Drehzahl bzw. Geschwindigkeit zu erzeugen, sind diese Prüfgrundsätze nicht ausreichend. Anmerkung: Messsysteme zum Einsatz in Sicherheitsfunktionen sind Sicherheitsbauteile nach (Maschinen-) Richtlinie 2006/42/EG und sind als Logikeinheit für Sicherheitsfunktionen dem Anhang IV zugeordnet (CNB/M/11.045). Mit der Erfüllung der Anforderungen dieses Prüfgrundsatzes sind die grundlegenden Sicherheits- und Gesundheitsschutzanforderungen des Anhangs I der Maschinenrichtlinie erfüllt. 1.2 Richtlinien, Vorschriften, Normen

Für Messsysteme existiert zurzeit keine Norm, die spezifische Anforderungen für diese Produkte enthält. Allerdings sind Messsysteme Funktionselemente des PDS(SR) „elektrisches Leistungsantriebssystem mit einstellbarer Drehzahl“, dessen Anforderungen in der Normenreihe DIN EN 61800 enthalten sind.

Page 9: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 9 von 74

Die Umgebungsbedingungen von Messsystemen sind vergleichbar mit denen von berührungslos wirkenden Positionsschaltern. Daher sind einige Anforderungen der Normenreihe DIN IEC 60947-5-2 entnommen.

Die vorliegenden Prüfgrundsätze beinhalten die Anwendung von

DIN EN 61800-5-1 DIN EN 61800-5-2 DIN EN ISO 13849-1 DIN EN ISO 13849-2 und gehen auf deren Anwendung im Einzelnen nur dann ein, wenn für Messsysteme

- Anforderungen entfallen - Anforderungen ergänzt werden - eine angepasste Anwendung erforderlich ist - Hinweise/Erläuterungen für die Anwendung gegeben werden sollen. Die folgenden zitierten Dokumente sind für die Anwendung dieses Dokuments erforderlich. Bei datierten Verweisungen gilt nur die in Bezug genommene Ausgabe. Bei undatierten Verweisungen gilt die letzte Ausgabe des in Bezug genommenen Dokuments (einschließlich aller Änderungen). Maschinenrichtlinie RICHTLINIE 2006/42/EG DES EUROPÄISCHEN PARLAMENTS

UND DES RATES vom 17. Mai 2006 über Maschinen und zur Änderung der Richtlinie 95/16/EG (Neufassung) Richtlinie 2006/42/EG des europäischen Parlaments und des Rates, http://ec.europa.eu/growth/sectors/mechanical-engineering/machinery/index_en.htm

CNB/M/11.045 CO-ORDINATION OF NOTIFIED BODIES, Machinery Directive

2006/42/EC + Amendment, RECOMMENDATION FOR USE, Question: What are logic units to ensure safety functions according to Annex IV, 21? http://ec.europa.eu/growth/sectors/mechanical-engineering/machinery/index_en.htm

DIN EN 61800-5-1 Elektrische Leistungsantriebssysteme mit einstellbarer Drehzahl - Teil 5-1: Anforderungen an die Sicherheit – Elektrische, Thermische und Energetische Anforderungen DIN EN 61800-5-2 Elektrische Leistungsantriebssysteme mit einstellbarer Drehzahl - Teil 5-2: Anforderungen an die Sicherheit – Funktionale Sicherheit. Beuth, Berlin DIN EN 61800-3 Drehzahlveränderbare elektrische Antriebe - EMV-Anforderungen einschließlich spezieller Prüfverfahren

Page 10: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 10 von 74

DIN EN ISO 13849-1 Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 1: Allgemeine Gestaltungsleitsätze DIN EN ISO 13849-2 Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 2: Validierung DIN EN 61508 Funktionale Sicherheit sicherheitsbezogener elektrischer/

elektronischer/programmierbarer elektronischer Systeme -Teile 0 - 7

DIN EN 60204-1 Sicherheit von Maschinen - Elektrische Ausrüstung von Maschinen – Teil 1: Allgemeine Anforderungen DIN EN 60947-1 Niederspannungsschaltgeräte - Teil 1: Allgemeine

Festlegungen (IEC 60947-1:2007 + A1:2010 + A2:2010); Deutsche Fassung EN 60947-1:2007 + A1:2011 + A2:2014

DIN EN 60947-5-2 Niederspannungsschaltgeräte - Teil 5-2: Steuergeräte und

Schaltelemente - Näherungsschalter (IEC 60947-5-2:2007 + A1:2012); Deutsche Fassung EN 60947-5-2:2007 + A1:2012

DIN EN 61784 Normenreihe zu industriellen Kommunikationsnetzen GS ET 26 Grundsätze für die Prüfung und Zertifizierung von „Bussystemen

für die Übertragung sicherheitsbezogener Nachrichten“, 2014-03, Fachbereich Energie Textil Elektro Medienerzeugnisse https://www.bgetem.de/arbeitssicherheit-gesundheitsschutz/ pruefen-zertifizieren/pruef-und-zertifizierungsstelle-elektrotechnik/ pruefgrundsaetze

DIN EN 60068-2-1 Umgebungseinflüsse - Teil 2-1: Prüfverfahren

- Prüfung A: Kälte (IEC 60068-2-1:2007); Deutsche Fassung EN 60068-2-1:2007

DIN EN 60068-2-6 Umgebungseinflüsse - Teil 2-6: Prüfverfahren

- Prüfung Fc: Schwingen (sinusförmig) (IEC 60068-2-6:2007); Deutsche Fassung EN 60068-2-6:2008

DIN EN 60068-2-27 Umgebungseinflüsse - Teil 2-27: Prüfverfahren

- Prüfung Ea und Leitfaden: Schocken (IEC 60068-2-27:2008); Deutsche Fassung EN 60068-2-27:2009

DIN EN 60068-2-47 Umgebungseinflüsse - Teil 2-47: Prüfverfahren

- Befestigung von Prüflingen für Schwing-, Stoß und ähnliche

Page 11: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 11 von 74

dynamische Prüfungen (IEC 60068-2-47:2005); Deutsche Fassung EN 60068-2-47:2005

DIN EN 60335-1 Sicherheit elektrischer Geräte für den Hausgebrauch und ähnliche

Zwecke - Teil 1: Allgemeine Anforderungen (IEC 60335-1:2010, modifiziert); Deutsche Fassung EN 60335-1:2012

DIN EN 60950-1 Einrichtungen der Informationstechnik - Sicherheit - Teil 1:

Allgemeine Anforderungen (IEC 60950-1:2005, modifiziert + Cor.:2006 + A1:2009, modifiziert + A1:2009/Cor.:2012 + A2:2013, modifiziert); Deutsche Fassung EN 60950-1:2006 + A11:2009 + A1:2010 + A12:2011 + AC:2011 + A2:2013

ISO 3864 Graphische Symbole - Sicherheitsfarben und Sicherheitszeichen

- Teil 1: Gestaltungsgrundlagen für Sicherheitszeichen und Sicherheitsmarkierungen

SN 29500 Ausfallraten Bauelemente, Erwartungswerte

Siemens AG Corporate Technology Technology & Innovation Management CT TIM IR SI Otto-Hahn-Ring 6 81739 München, Deutschland Tel.: +49 89 636-634154 Fax: +49 89 636-48436 [email protected]

IEC 61709 Electric components – Reliability – Reference conditions for failure

rates and stress models for conversion, 2017-02

Page 12: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 12 von 74

2. BEGRIFFE

2.1 Messsystem Als Messsystem werden in diesen Prüfgrundsätzen Drehwinkelmesssysteme und Wegmesssysteme bezeichnet.

2.2 Drehwinkelmesssystem Sensor zur Erfassung der Position bei einer Drehbewegung. Anmerkung: auch als Drehgeber, Drehzahlgeber, Encoder, Drehimpulsgeber, Winkelcodierer bekannt.

2.2.1 Inkrementales Drehwinkelmesssystem Sensor zur Erfassung der Position bei einer Drehbewegung ohne eindeutig kodierte Zuordnung eines Drehwinkels zum Ausgangssignal. Es kann ein zusätzliches Indexsignal existieren.

2.2.2 Absolutes Drehwinkelmesssystem Sensor zur Erfassung der Position bei einer Drehbewegung mit eindeutig kodierter Zuordnung eines Drehwinkels zum Ausgangssignal.

2.2.2.1 Absolutes Drehwinkelmesssystem, singleturn Sensor zur Erfassung der Position bei einer Drehbewegung mit eindeutig kodierter Zuordnung eines Drehwinkels zum Ausgangssignal innerhalb einer einzigen Rotor-umdrehung.

2.2.2.2 Absolutes Drehwinkelmesssystem, multiturn Sensor zur Erfassung der Position bei einer Drehbewegung mit eindeutig kodierter Zuordnung eines Drehwinkels zum Ausgangssignal innerhalb mehrerer Rotorumdrehungen.

2.3 Wegmesssystem Sensor zur Erfassung der Position bei einer geradlinigen Bewegung. Anmerkung: auch als Lineargeber bekannt.

2.3.1 Inkrementales Wegmesssystem Sensor zur Erfassung der Position bei einer geradlinigen Bewegung ohne absolute Zuordnung einer Position zum Ausgangssignal. Es kann ein zusätzliches Indexsignal existieren.

2.3.2 Absolutes Wegmesssystem Sensor zur Erfassung der Position bei einer geradlinigen Bewegung mit eindeutig kodierter Zuordnung einer Position zum Ausgangssignal.

2.4 Groblage Positionswert, der durch Zählung von Perioden, Halbperioden oder Quadranten des durch Abtastung der Maßverkörperung erzeugten Sinus-Signals gebildet wird.

Page 13: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 13 von 74

2.5 Feinlage Positionswert innerhalb einer Periode, einer Halbperiode oder eines Quadranten der Maß-verkörperung. Die Feinlage wird durch Auswertung der analogen Sinus- und Cosinus-Signale gebildet.

2.6 Gesamtlage Positionswert, der durch additive Kombination der Groblage und der Feinlage entsteht und dadurch den Messbereich der Groblage mit der Auflösung der Feinlage bietet.

2.7 Interpolation Bestimmung der Feinlage z. B. durch Bildung des arctan aus den analogen Sinus- und Cosinus-Signalen und Erhöhung der Genauigkeit der Groblage, indem diese mit der Feinlage additiv zur Gesamtlage kombiniert wird.

2.8 Lagerloses Messsystem Sensor ohne eigenes Lager oder ohne eigene Führung.

2.9 Einbau-Messsystem Sensor zum Einbau am Verwendungsort. Das Einbau-Messsystem erfüllt erst durch den Einbau am Verwendungsort die Anforderungen an den Schutz gegen Umwelt-bedingungen.

2.10 Anbau-Messsystem Sensor zum Anbau am Verwendungsort. Das Anbau-Messsystem erfüllt eigenständig den Schutz gegen Umweltbedingungen.

2.11 Mechanische Verbindungselemente Mechanische Verbindungselemente stellen eine lagesichere Fixierung von Stator und Rotor bei Drehwinkelmesssystemen bzw. Maßverkörperung und Abtasteinheit bei Weg-messsystemen sicher.

2.11.1 Kupplung Eine Kupplung stellt die mechanische Schnittstelle zwischen Messsystem und Maschine her und hat die Aufgabe mechanische Toleranzen beim Anbau oder im Betrieb zu kompensieren.

2.11.1.1 Wellenkupplung Eine Wellenkupplung stellt eine flexible, möglichst drehsteife Verbindung zwischen der Welle eines Drehwinkelmesssystems und einer Antriebswelle dar. Die Kupplung befindet sich zwischen den beiden Wellenenden.

2.11.1.2 Statorkupplung Eine Statorkupplung befestigt das Gehäuse eines Drehwinkel-Messsystems am Anbringungsort und ist an dessen Flansch bzw. Gehäuse befestigt. Sie ist dann notwendig, wenn die Wellen starr verbunden sein müssen. Beispiel: Drehwinkelmesssystem mit Hohlwelle Anmerkung: die Statorkupplung ist auch als Drehmomentstütze bekannt.

Page 14: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 14 von 74

2.12 Interface Separate elektronische Baugruppe des Messsystems zur Signalaufbereitung. Anmerkung: Je nach Ausführung ist die Funktionalität des Interface in das Messsystem integriert.

2.13 Auswertegerät Externes Betriebsmittel, in dem das Ausgangssignal des Drehwinkel- oder Wegmess-systems ausgewertet wird und ggf. Diagnosemaßnahmen erfolgen. Beispiele: Frequenzumrichter, Sicherheitsbausteine zur Überwachung von Drehzahl oder Stillstand

2.14 Sicherheitsfunktion Funktion einer Maschine, wobei ein Ausfall der Funktion zur unmittelbaren Erhöhung des Risikos (der Risiken) führen kann [DIN EN ISO 12100:2003, 3.30]

2.15 Teil-Sicherheitsfunktion Funktion, die Bestandteil einer gesamten Sicherheitsfunktion (Sensor, Logik, Aktor) ist.

2.16 PDS(SR) Elektrisches Leistungsantriebssystem mit einstellbarer Drehzahl, das Sicherheits-Teilfunktionen zur Verfügung stellt [DIN EN 61800-5-2, 3.16]

2.17 Gefährlicher Fehler Zustand des Messsystems, durch den unter Berücksichtigung der vom Hersteller angegebenen Toleranzen für die Teil-Sicherheitsfunktion bei Winkelmesssystemen ein falscher Winkel/eine falsche Drehrichtung bzw. bei Wegmesssystemen eine falsche Position/eine falsche Bewegungsrichtung bestimmt wird.

2.18 Signalauswertung Siehe 2.20.

2.19 Diagnose Siehe 2.20.

2.20 Signalverarbeitung Die Signalverarbeitung umfasst die Auswertung der Ausgangssignale des Messsystems zum Zweck der Ausführung der Sicherheitsfunktion und die Integritätsprüfung der Aus-gangssignale zur Erkennung von Fehlern im Messsystem (Diagnose).

Signalverarbeitung = Signalauswertung + Diagnose

2.21 Prozesssicherheitszeit Zeitspanne zwischen dem Auftreten eines Ausfalls des Messsystems mit dem Potential, einen gefährlichen Vorfall zu verursachen, und dem Zeitpunkt, bei dem die Reaktion abgeschlossen sein muss, um das Auftreten eines gefährlichen Vorfalls zu verhindern. [In Anlehnung an IEC 61508-4, 3.6.20]

Page 15: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 15 von 74

2.22 Fehlererkennung und -reaktion in Prozesssicherheitszeit Aufdeckung eines erkennbaren gefährlichen Fehlers und Einleitung einer geeigneten Fehlerreaktion so schnell nach Auftreten des Fehlers, dass das Auftreten eines gefährlichen Vorfalls verhindert wird. Anmerkung: Für sich genommen beinhaltet dieses Systemmerkmal noch keine Aussagen zum Diagnose- deckungsgrad, zur Hardware-Architektur und zum Systemverhalten bei einem beliebigen einzelnen Fehler.

2.23 Fehlerreaktion Funktion, die ausgelöst wird, wenn ein Fehler oder Ausfall erkannt wird, der einen Verlust der Sicherheitsfunktion zur Folge haben kann, und die dazu bestimmt ist, den sicheren Zustand der Maschine/Anlage aufrechtzuerhalten oder das Entstehen gefahrbringender Zustände in der Maschine/Anlage zu verhindern.

2.24 Funktionale Sicherheit Teil der Gesamtsicherheit, bezogen auf die zu steuernde Einrichtung (en: equipment under control, EUC) und die EUC-Steuerung, der von der korrekten Funktion der E/E/PE-(elektrischen/elektronischen/programmierbaren elektronischen) sicherheitsbezogenen Systeme, der sicherheitsbezogenen Systeme anderer Technologien und externer Ein-richtungen zur Risikominderung abhängt. [DIN EN 61508-4]

2.25 Hardwarefehlertoleranz (HFT) Fähigkeit einer Funktionseinheit, eine geforderte Funktion bei Bestehen von Fehlern oder Abweichungen weiter auszuführen. [DIN EN 61508-4:2011-02, 3.6.3] Anmerkung: Nach DIN EN 61800-5-2 ergeben sich aus der Hardwarefehlertoleranz Anforderungen für das Diagnosetestintervall. Zudem ist die HFT dort in Abschnitt 6.2.3.1 eines der Merkmale, die benutzt werden, um eine Obergrenze für den Safety Integrity Level (SIL) zu ermitteln. Nach DIN EN 61508-2:2011-02 darf bei der Ermittlung der Hardwarefehlertoleranz keine Berücksichtigung von Diagnoseeinrichtungen oder anderen Maßnahmen erfolgen, welche die Auswirkungen von Fehlern beherrschen können.

2.26 Ideale Fehlererkennung Aufdeckung aller gefährlichen Ausfälle (DC = 100%) und Herbeiführung eines sicheren Zustands innerhalb der garantierten System-Reaktionszeit (bzw. Prozesssicherheitszeit). Anmerkung: „Ideale Fehlererkennung“ ist ein Mittel, das angewendet wird, um (Sub-)Systemen, die ohne Diagnosemaßnahmen eine Hardwarefehlertoleranz von 0 besitzen, die Eigenschaft der Einfehlersicherheit zu verleihen. Die Einfehlersicherheit ist zwingende Bedingung für die Kategorien 3 und 4.

2.27 Arbeitstemperaturbereich Der Arbeitstemperaturbereich gibt an, zwischen welchen Temperaturgrenzen die ange-gebenen Fehlergrenzen nicht überschritten werden dürfen.

2.28 Messpunkt der Arbeitstemperatur Messpunkt zur Messung der Arbeitstemperatur. Er wird vom Hersteller definiert und befindet sich auf der Geräteoberfläche.

Page 16: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 16 von 74

2.29 FMEDA, quantitativ Die quantitative FMEDA (Failure Modes, Effects and Diagnostics Analysis) stellt die Eingangsdaten für die Quantifizierung (Berechnung von PFHD, SFF, MTTFD) bereit. Sie wird separat für jeden Funktionsblock durchgeführt. Dabei werden die Ausfallraten aller im Block enthaltenen Bauelemente separat in die Anteile safe (S), dangerous (D) und dangerous detectable (DD) aufgeteilt. Maßgeblich für die Zuordnung ist die Wirkung der betreffenden Ausfallrichtung auf die Blockfunktion und bei Ausfall des Blockes in die gefährliche bzw. sicherheitstechnisch ungünstige Richtung die Erkennbarkeit des Ausfalls durch die vorgesehene Diagnose (vgl. hierzu Abschnitt 3.7.4 und Anhang D). 2.30 FMEDA, qualitativ Die qualitative FMEDA (Failure Modes, Effects and Diagnostics Analysis) dient der Aufdeckung möglicher systematischer Effekte und Szenarien, welche die Ausführung der Sicherheitsfunktion beeinträchtigen könnten. Mit ihr muss für alle Bauteile nachgewiesen werden, dass Ausfälle mit negativer Wirkung auf die Sicherheitsfunktion durch die spezifizierte Diagnose erkannt und beherrscht werden oder dass im Einzelfall ein be-stimmter Ausfall begründet ausgeschlossen werden kann. Insbesondere dient die FMEDA zum Nachweis der Einfehlersicherheit eines Messsystems (siehe Abschnitte 3.4, 5.2.1 und 5.2.3).

In Verbindung mit der Statischen Analyse (siehe Anhang C) wird mit der qualitativen FMEDA nachgewiesen, dass alle anzunehmenden Fehlerszenarien durch die spezifizierte Diagnose beherrscht werden (siehe Anhang C.6).

Page 17: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 17 von 74

3 DURCHFÜHRUNG VON PRÜFUNG UND ZERTIFIZIERUNG

3.1 Allgemeines

Die Prüfung besteht aus der erstmaligen Prüfung einzelner Prüfabschnitte sowie gegebenenfalls aus Wiederholungsprüfungen. Die einzelnen Prüfabschnitte bei einer sicherheitstechnischen Gesamtprüfung werden in folgender Reihenfolge durchgeführt: Konzeptprüfung (entfällt ggf. bei nicht komplexen Steuerungen und Komponenten) Baumusterprüfung

o Prüfung der elektrischen Sicherheit o Prüfung der Anforderungen der Funktionalen Sicherheit o Prüfung der umwelttechnischen Anforderungen o Prüfung der elektromagnetischen Verträglichkeit o Prüfung der Anwenderdokumentation

Prüfzertifikatserstellung Konzeptprüfungen können von der Prüfstelle auch als separater Vorgang durchgeführt werden. Diese werden mit einem Konzeptprüfbericht abgeschlossen und dienen als Basis für die Erstellung eines Angebotes für Baumusterprüfung und Zertifizierung. Änderungen am Produkt sind der Prüfstelle vom Hersteller anzuzeigen. Diese entscheidet über den Umfang erforderlicher Wiederholungsprüfungen. Die Prüfstelle hat das Recht, bei erheblichen Mängeln den Prüfvorgang abzubrechen. Die bis zu einem Abbruch entstandenen Aufwendungen werden dem Antragsteller gemäß Angebot in Rechnung gestellt.

3.2 Grundlagen und Ablauf von Prüfung und Zertifizierung

Der organisatorische Ablauf einer Prüfung/Zertifizierung ist in der DGUV Test Prüf- und Zertifizierungsordnung; DGUV Grundsatz 300-003, gültig in der jeweils aktuellen Fassung, geregelt. Im Rahmen von Prüfungen auf der Basis dieser Prüfgrundsätze ist folgende Vorgehensweise zu beachten.

3.2.1 Angebot und Kosten

Die Prüfstelle erstellt nach Prüfung einer Anfrage ein Angebot für die Prüfung und ggf. Zertifizierung. Alle Aufwendungen im Rahmen von Prüfung und Zertifizierung werden dem Auftraggeber gemäß aktuell gültiger Gebührenliste der Prüfstelle in Rechnung gestellt.

3.2.2 Auftrag und Vertrag

Die Prüfstelle bereitet den entsprechenden Prüf- und Zertifizierungsvertrag vor. Die Prüfung wird mit beiderseitiger Unterzeichnung des Prüf- und Zertifizierungsvertrages durch den Hersteller beauftragt. Bei EG-Baumusterprüfungen hat der Hersteller schriftlich zu bestätigen, dass er die gleiche Prüfung nicht bei anderen Prüfstellen in Auftrag gegeben hat.

Page 18: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 18 von 74

3.2.3 Einreichung von Unterlagen

Zu den einzureichenden Unterlagen gehören in der Regel (soweit zutreffend):

Dokumentationsliste (Übersicht der eingereichten Unterlagen),

Spezifikationen mit Blockschaltbildern und Beschreibung der jeweiligen Funktionsblöcke,

Technische Daten

V+V-Plan (Validierung + Verifikation),

Entwurf von Hardware und Software,

Schaltpläne,

Layouts von Leiterkarten,

Stücklisten,

Datenblätter der Bauteile, einschließlich Ausfallrate „nicht-standardmäßiger“ Bau-teile wie Opto-ASICs, Opto-Analog-Digital-ASICs, FPGAs etc. Bei Speichern mit Einfluss auf die Sicherheitsfunktion auch Angaben zur Größe, Technologie und Soft-Error-Rate.

Konstruktionszeichnungen

Festigkeitsberechnungen

Bestückungspläne,

Kommentierter Source-Code,

Verwendete Tools, Sprachen bzw. Techniken,

Deklaration und Beschreibung aller Variablen und Signalnamen,

Qualitative FMEDA (siehe 2.29)

Ausfallraten gefahrbringender Ausfälle bzw. MTTFD verwendeter Bauteile, über B10D-ermittelte Ersatzwerte sowie Bestimmung der mittleren Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde (PFHD),

Externe Prüfberichte, z. B. von akkreditierten Prüflaboren,

Betriebsanleitung.

Weitere zur Prüfung erforderliche Unterlagen werden ggf. von der Prüfstelle angefordert oder nach Vereinbarung zwischen Hersteller und Prüfstelle dieser zur Verfügung gestellt (z. B. Quantitative FMEDA).

3.2.4 Anlieferung von Prüfobjekten

In der Regel erfolgt die Erstprüfung des Baumusters im Prüflabor der Prüfstelle. Nach Begutachtung der eingereichten Unterlagen fordert die Prüfstelle ggf. das (die) Prüfobjekt(e) beim Auftraggeber an oder vereinbart die Durchführung von Prüfungen im Herstellerlabor. Der Hersteller muss das(die) Prüfmuster auf Verlangen der Prüfstelle so anpassen, aufbereiten bzw. ergänzen, dass die erforderlichen Prüfungen durchgeführt werden können.

Page 19: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 19 von 74

Nach DIN EN 61800-5-1, Abschnitt 5.1.2 gilt:

Bei der Prüfung ähnlicher Produkte müssen nicht alle Modelle geprüft werden. Jede Prüfung sollte an einem oder mehreren Modellen mit mechanischen und elektrischen Kennwerten durchgeführt werden, die alle Modelle einer Baureihe für diese bestimmte Prüfung angemessen repräsentieren. Die für die Prüfung benötigte Anzahl und der Stand der Prüflinge werden von der Prüfstelle festgelegt.

3.2.5 Wiederholungsprüfungen

Eine Wiederholungsprüfung ist erforderlich, wenn bei der erstmaligen Prüfung Mängel festgestellt wurden. Wenn der Auftraggeber die im Prüfbericht aufgeführten Mängel beseitigt hat, unterrichtet er die Prüfstelle, ggf. unter Beifügung geeigneter Unterlagen. Die Prüf- und Zertifizierungsstelle entscheidet, ob für eine Wiederholungsprüfung ein geändertes Baumuster vorzustellen ist oder ob die Beseitigung der Mängel durch Vorlegen geeigneter Unterlagen nachgewiesen werden kann. Nach der ersten Wiederholungsprüfung mit negativem Ergebnis kann eine weitere Wiederholungsprüfung stattfinden. Führt auch diese zu einem negativen Ergebnis, entscheidet die Prüf- und Zertifizierungs-stelle, ob das Prüfverfahren abgebrochen wird.

3.2.6 Ausstellen des Zertifikats

Die Zertifizierung erfolgt nach positivem Abschluss einer Baumusterprüfung auf der Grund-lage von Prüfberichten/Prüfzeugnissen der Prüfstelle sowie ggf. unter Einbeziehung von Prüfberichten/Prüfzeugnissen/Prüfzertifikaten externer Prüfstellen.

3.2.7 Art des Zertifikats

Die Zertifizierungsstelle stellt nach positiver Beurteilung je nach Prüfauftragsumfang aus:

eine Baumusterprüfbescheinigung oder EG- Baumusterprüfbescheinigung hinsichtlich umfassender sicherheitstechnischer Anforderungen,

eine Bescheinigung mit der Berechtigung zur Anbringung eines DGUV Test-Zeichens.

3.2.8 Gültigkeit von Zertifikaten

Die Gültigkeit eines ausgestellten Zertifikats ist auf maximal 5 Jahre begrenzt.

3.2.9 Kontrollmaßnahmen

Als Standardkontrollmaßnahme werden nach der DGUV Test Prüf- und Zertifizierungsordnung (DGUV Grundsatz 300-003) Produktprüfungen an einem oder an mehreren der serienmäßig gefertigten Prüfmuster durchgeführt.

Page 20: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 20 von 74

4. SICHERE MESSSYSTEME - GRUNDLAGEN

Die korrekte Bewertung sicherer Messsysteme erfordert teilweise Kenntnisse, die nicht allgemein verfügbar sind. Aus diesem Grund werden im Folgenden einige Teilaspekte detailliert erläutert, bevor im anschließenden Kapitel die Durchführung von Prüfungen beschrieben wird.

4.1. Fehlermodelle Es werden für die Bauteile die jeweiligen Fehlermodelle nach DIN EN ISO 13849-2 bzw. DIN EN 61800-5-2 angewendet.

4.2. Fehlerausschlüsse Sind für die Bewertung der funktionalen Sicherheit Fehlerausschlüsse für Bauteilfehler er-forderlich, so sind diese nach DIN EN ISO 13849-1 zu begründen, bzw. es ist Anhang A, Anhang B oder DIN EN ISO 13849-2 anzuwenden. Für SIL3/PLe ist die Anwendung von Fehlerausschlüssen beschränkt (ISO TR 23849, Abs. 7.2.2). Dies gilt jedoch nicht für mechanische Aspekte (siehe Anhang A und DIN EN 61800-5-2:2017-11, Ausnahme zu Tabelle 5 in Abs. 6.2.3.3).

4.3. Einfehlersicherheit Die meisten Sicherheitsfunktionen erfordern die sichere Erkennung der Bewegungs-richtung. Hierfür werden sowohl das Sinus- als auch das Cosinus-Signal benötigt. Ist eines der Signale fehlerhaft, so ist die korrekte Erkennung der Bewegungsrichtung nicht mehr sichergestellt. Folglich bilden die Signalpfade für das Sinus- und das Cosinus-Signal für die Erkennung der Bewegungsrichtung keine Redundanz. Gleiches gilt, wenn in einer Sicherheitsfunktion die Interpolation unter Verwendung von Sinus- und Cosinus-Signal an-gewendet wird. Die hier betrachteten Messsysteme sind daher als einkanalig anzusehen. Anmerkung: Messsysteme, die alleinig für eine richtungsunabhängige Geschwindigkeits- oder Drehzahl- überwachung eingesetzt werden dürfen, können bei entsprechender Auslegung der Hard- ware des Messsystems als zweikanalig betrachtet werden.

Bei der Mehrzahl der Messsysteme wird durch die Verbindung einer einkanaligen Struktur mit der Idealen Fehlererkennung (siehe 2.26) trotzdem das für die Kategorien 3 und 4 konstitutive Merkmal der Einfehlersicherheit erreicht.

Die sin/Cos- Signalverarbeitung von Messsystemen erfolgt häufig unter Einsatz eines einzelnen analogen oder mixed signal ASICs. Es erfolgt keine Digitalisierung der Analogsignale. Aufgrund der Signalform mit der hiermit verbundenen Phasenverschiebung sind zufällige Ausfälle eines Schaltungsteils, die zu einem gefährlichen, nicht erkennbaren Fehler führen, nicht zu unterstellen. Für diese ASICs darf daher in Verbindung mit der Idealen Fehlererkennung eine Einfehlersicherheit unterstellt werden. Aufgrund der Idealen Fehlererkennung kann prinzipiell keine Fehleranhäufung auftreten. Im Sinne eines konservativen Ansatzes ist bei Verwendung von nur einem ASIC ohne On-Chip Redundanz die erreichbare Kategorie auf Kategorie 3 beschränkt.

Page 21: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 21 von 74

4.4. Nicht erkennbare Fehler Die Erkennung von Fehlern kann sowohl innerhalb des Messsystems, als auch im Aus-wertegerät erfolgen. Zur Realisierung der Idealen Fehlererkennung dürfen im Messsystem keine Fehlermöglichkeiten bestehen, die nicht erkennbar sind.

Die Fehler erkennenden Maßnahmen im Auswertegerät sind ausschließlich auf Basis der Sinus- und Cosinus-Ausgangssignale möglich (siehe Anmerkung 2). Sofern keine ge-eigneten internen Maßnahmen verfügbar sind, dürfen im Messsystem daher keine Fehlermöglichkeiten bestehen, die hiermit nicht erkennbar sind (siehe C.6). Beispiele sind die Vertauschung von Sinus und Cosinus durch Multiplexer, Invertierung von Signalen und Bruch der Antriebswelle bei Winkelmesssystemen. Zur Bewertung von Messsystemen ist daher eine qualitative FMEDA durchzuführen, um

1. die sicherheitstechnische Architektur festzustellen und

2. potentiell gefährliche und nicht erkennbare Ausfallmechanismen und -szenarien ausschließen zu können.

Anmerkung 1: Eine etwaige Bewertung der Risiko-Prioritätszahl (RPZ) darf nicht zum Ignorieren gefährlicher, unentdeckbarer Fehler führen.

Anmerkung 2: Bei dieser Aussage wird die (übliche) Verwendung von Quadraturdekodern zur Ansteuerung der Positionszähler unterstellt. Der Betrachtungsumfang der qualitativen FMEDA beinhaltet sämtliche Hardware-komponenten des Messsystems. Hierzu gehören auch mechanische Bauteile und für den Betrieb erforderliche elektrische Leitungen, auch wenn sie nicht zum Lieferumfang des Messsystems gehören. Es ist bekannt, dass Messsysteme in der Anwendung möglicherweise höheren mechanischen Kräften ausgesetzt werden, als sie laut Spezifikation zulässig sind, z. B. durch das Einfallen von Bremsen oder das Durchfahren von Resonanzfrequenzen. Für diese Fälle muss nachgewiesen werden, dass das Messsystem nicht gefährlich unerkennbar ausfällt. Auch hierfür ist die FMEDA hilfreich.

4.4.1. Sicherheitstechnische Architektur Es wird unterstellt, dass die hier betrachteten Messsysteme für positionsbezogene Sicher-heitsfunktionen eingesetzt werden können oder die Interpolation von Sinus- und Cosinus-Signalen zulässig ist. Damit liegt eine einkanalige Architektur vor (siehe 4.3). Trotzdem ist in der Regel das Merkmal der Einfehlersicherheit erfüllt (erforderlich für Kategorie 3 und Kategorie 4 der DIN EN ISO 13849-1), sofern für elektrische und elektronische Bauteile eine „Ideale Fehlererkennung“ vorliegt (siehe 2.26) und für relevante mechanische Bauteile Fehlerausschlüsse möglich sind. Anmerkung: Bei Vorliegen einer einkanaligen Architektur im gesamten Messsystem kann die Hardware als Ganzes zu einem einzigen Funktionsblock zusammengefasst werden.

4.4.2. Analyse hinsichtlich potentiell kritischer Ausfallmechanismen Es dürfen keine Schaltungsteile vorhanden sein, die im Fehlerfall zur Vortäuschung einer falschen Bewegungsrichtung führen können. Hierzu gehören z. B. Multiplexer, welche die

Page 22: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 22 von 74

beiden Analogsignale vertauschen können sowie Verstärkerstufen, bei denen zwischen positivem und negativem Verstärkungsfaktor umgeschaltet werden kann (Invertierung).

Es dürfen weiterhin keine Schaltungsteile vorhanden sein, die im Fehlerfall zur Vortäuschung eines Stillstands führen. Hierzu gehören Fehler, die zu einer konstanten Ausgangsspannung eines Kanals führen (siehe Anhang C.6), die durch die vorgesehene Fehlererkennung unter Berücksichtigung des Toleranzfensters nicht aufgedeckt werden.

Lager können z. B. durch Alterung der Schmierung oder Abnutzung ausfallen und sich dabei unvorhergesehen erhitzen oder den Rundlauf beeinträchtigen. Hierdurch werden ggfs. Bauteile außerhalb des zulässigen Temperaturbereichs betrieben. Lagerfehler werden jedoch aufgedeckt, bevor Kräfte auftreten, für die das Messsystem nicht spezifiziert ist und die z. B. das Lösen der Wellenverbindung zur Folge haben können. Anmerkung: Bei optischen Messsystemen führen erfahrungsgemäß Lagerfehler zu einem Verlust der Vorspannung der Lagerbaugruppe, Dadurch entstehen Rundlauffehler, die zu einer Ver- fälschung der Sinus/Cosinus-Signalform führen und durch die Zeigerlängenüberwachung aufgedeckt werden.

4.5. Fehler erkennende Maßnahmen (DC) Um die erforderliche Ideale Fehlererkennung zu erreichen, müssen die Fehler erkennenden Maßnahmen und die Schaltschwellen zur Quadranten-Detektion geeignet aufeinander abgestimmt sein. Andernfalls kann z. B. der Fall auftreten, dass die Amplitude von Sinus- oder Cosinus-Signal so verändert ist, dass dieser Fehler durch Diagnosemaßnahmen (noch) nicht aufgedeckt wird, aber aufgrund ungünstiger Schaltschwellen im Auswertegerät die Erkennung der Bewegung fehlerhaft ist.

Bei inkrementalen Messsystemen mit Sinus- und Cosinus-Ausgang macht die mono-lithische Integration der Wegsensoren und der analogen Schaltungen zur Signalerzeugung eine FMEDA auf Transistorebene nahezu unmöglich. Dennoch muss bewertet werden, ob die vom Hersteller spezifizierten Vorgaben zur Verarbeitung der analogen Ausgangssignale angemessen sind. Dazu wird das Verfahren „Statische Analyse von Signalauswertung und Fehlererkennung“ angewendet. Hierbei werden die Ausgangssignale des Messsystems so angenommen (Testsignal), dass die Auswirkungen der diversen Bauteilfehler vollständig nachgebildet werden.

Der Hersteller des Messsystems muss die Anforderungen an das erforderliche Verfahren zur Signalauswertung und zur Fehlererkennung spezifizieren. Dazu gehören: Festlegung der Schaltschwellen für die Quadranten-Detektion Verfahren zur Fehleraufdeckung (Diagnose) durch Auswertung der Analogsignale Anmerkung: Ein übliches Verfahren zur Fehlererkennung ist die Zeigerlängenüberwachung. Zur Prüfung dieser Spezifikation wird die ihr entsprechende Verarbeitung der analogen Signale simuliert, wobei an die Stelle der korrekten Signale eine Reihe von Testsignalen tritt, welche die anzunehmenden Fehler im Messsystem repräsentieren (siehe Abbildung 1).

Page 23: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 23 von 74

Abbildung 1: Statische Analyse von Signalauswertung und Fehlererkennung Wegen der erforderlichen Einfehlersicherheit und der vorliegenden Einkanaligkeit muss die statische Analyse die Erkennung aller Fehler (100 %) nachweisen. Anmerkung 1: Für die Quantifizierung wird in einer konservativen Einstufung für die Bauteile ein DC von 99% angesetzt, obwohl alle Fehler erkannt werden.

Anmerkung 2: Es ist für die Durchführung der statischen Analyse unerheblich, ob die Fehlererkennung innerhalb des Messsystems oder/und im Auswertegerät erfolgt. Für Messsysteme, die über keine oder unzureichende interne Maßnahmen zur Fehlererkennung verfügen, können Fehler erkennende Maßnahmen durch das Auswertegerät vorgeschrieben werden. Im Benutzerhandbuch sind diese Maßnahmen zu beschreiben. Das Verfahren der statischen Analyse ist im Anhang C näher beschrieben. Für die Durchführung wird vom IFA eine Excel-Datei zur Verfügung gestellt.

Die Berücksichtigung des dynamischen Verhaltens kann nur auf Seiten des Anwenders erfolgen. Hier muss sichergestellt werden, dass die verwendete Hardware für die Signal-auswertung und Fehlererkennung über den gesamten zu erwartenden Frequenzbereich der Ausgangssignale des Messsystems fehlerfrei funktionsfähig ist (Hinweis in der Betriebsanleitung erforderlich).

4.6. Statische Analyse der spezifizierten Signalauswertung und Fehlererkennung Die Diagnose erfolgt bei dieser Art von Geräten teilweise oder vollständig in der angeschlossenen Steuerung bzw. in einem angeschlossenen Auswertegerät. Darum muss geprüft werden, ob die in der Benutzerinformation aufgeführten Anforderungen für die Verarbeitung der Analogsignale a) zur Ausführung der Sicherheitsfunktionen und b) zur Integritätsprüfung der Signale

Page 24: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 24 von 74

geeignet sind, um (ggf. zusammen mit den im Messsystem integrierten Fehler erkennenden Maßnahmen) einen Diagnosedeckungsgrad (DC) von 100% und die Fehlererkennung innerhalb der Prozesssicherheitszeit begründen zu können (= Ideale Fehlererkennung). Zur Untermauerung des Diagnosedeckungsgrades von 100% wird das Verfahren „Statische Analyse“ (Anhang C) angewendet. Die Wirksamkeit der vorgeschriebenen Diagnosemaßnahmen im gesamten zulässigen Frequenzbereich ist in der Anwendung sicherzustellen (Anforderung an die Inhalte der Benutzerinformation).

4.7. Quantifizierung Zur quantitativen Abschätzung der sicherheitsbezogenen Zuverlässigkeit des Messsystems wird die durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde (PFHD) ermittelt. Durch die Bestimmung weiterer quantitativer Größen wird die SIL-, die Kategorie und die PL-Fähigkeit des Messsystems nachgewiesen. Ein Beispiel für eine Quantifizierung wird in Anhang D vorgestellt. Anmerkung: Die vereinfachte Methode der DIN EN ISO 13849-1 zur Bestimmung der PFHD ist in der Regel nicht geeignet, weil bei den hier betrachteten Messsystemen, die Kategorie 3 oder 4 erfüllen sollen, die Einfehlersicherheit durch eine einkanalige Struktur mit Idealer Fehler- erkennung (DC = 100% in Prozesssicherheitszeit) realisiert wird. Eine einkanalige Struktur mit derart hochwertiger Diagnose wird durch die DIN EN ISO 13849-1 nicht behandelt. Die zweckdienlichen Schritte bei der Durchführung der Quantifizierung umfassen

die Feststellung der sicherheitstechnischen Architektur und deren Darstellung in Gestalt des sicherheitsbezogenen Blockdiagramms,

das Zusammentragen der Ausfallraten der im sicherheitsbezogenen Blockdiagramm enthaltenen Hardware (Mechanik, Optik, Elektrik, Elektronik,…),

die Anpassung der Ausfallraten unter Referenzbedingungen (auch Basis-Ausfallraten genannt) an realistische Betriebstemperaturen (Arbeitstemperaturen),

die Durchführung einer funktionsblockbezogenen quantitativen FMEDA einschließlich der Bewertung der Diagnosemaßnahmen zur Erkennung von Fehlern im Messsystem

bei Redundanz die Abschätzung des Common-Cause-Faktors ,

die Berechnung der PFHD mit einer geeigneten mathematischen Modellierungs-methode,

die Berechnung der Safe Failure Fraction (SFF) und der MTTFD eines Kanals,

die Ermittlung der quantitativen SIL-Fähigkeit (SIL-Obergrenze),

die Ermittlung der quantitativen Kategoriefähigkeit,

die Ermittlung der quantitativen PL-Fähigkeit.

Diese Schritte werden in den folgenden Abschnitten erläutert.

Page 25: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 25 von 74

4.7.1. Sicherheitstechnische Architektur und sicherheitsbezogenes Blockdiagramm Im Hinblick auf den Beitrag des Messsystems zu damit zu realisierenden Sicherheits-funktionen wird dessen komplette Hardware (Mechanik, Optik, Elektronik …) in sinnvolle Funktionsblöcke aufgeteilt (z. B. bei einem optisch arbeitenden Winkelmesssystem: Antrieb der Codescheibe, Beleuchtung der Codescheibe, optische Abtastung der Signalspuren, elektronische Signalverarbeitung, Spannungsversorgung, …).

Durch Betrachten des Zusammenwirkens der Funktionsblöcke beim Ausführen der Sicher-heitsfunktion wird festgestellt, ob und an welcher Stelle Redundanz vorliegt. Bei Redundanz müssen Common-Cause-Ausfälle berücksichtigt werden, falls sie nicht begründet ausgeschlossen werden können.

Für jeden Funktionsblock wird festgestellt, ob eine Online-Diagnose (d. h. automatisch während des Betriebs) für ihn existiert und von welcher Hardware (im Messsystem selbst oder außerhalb) diese Diagnose ausgeführt wird oder ob ein begründeter Fehlerausschluss für den Block gemacht werden kann.

Die zusammengetragenen Informationen werden in einem sicherheitsbezogenen Block-diagramm dargestellt (siehe IFA Report 2/2017, Anhang B). Logisch in Reihe geschaltete Funktionsblöcke dürfen (müssen nicht) zu einem Block zusammengefasst werden. Das sicherheitsbezogene Blockdiagramm zeigt wie ein genuines Zuverlässigkeits-Blockdiagramm die logischen Verknüpfungen zwischen den Funktionsblöcken und führt zusätzlich die zur Verfügung stehende Diagnose auf. Zweckmäßig können darin alle für die Quantifizierung benötigten Größen wie Ausfallraten, Diagnosedeckungsgrade, Common-Cause-Faktoren eingetragen und den einzelnen Funktionsblöcken zugeordnet werden.

4.7.2. Ausfallraten Die Ausfallraten gängiger elektrischer, elektronischer und optoelektronischer Bauelemente können aus anerkannten Sammlungen generischer Ausfallraten entnommen werden, wie beispielsweise der SN 29500. Im Fall von Sonderbauteilen (z. B. ASICs) sollten/müssen sie vom Hersteller der Bauteile angegeben werden. Sofern Speicherbausteine verwendet werden, sind ggf. auch Soft-Errors zu berücksichtigen.

Für mechanische Bauelemente kommen einschlägige Mechanik-Ausfallratensammlungen in Frage (z. B. von Exida).

In Tabelle 1 werden für einige Bauteile Hinweise zur Berücksichtigung bei der Quantifizierung gegeben.

Page 26: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 26 von 74

Bauteil Bei Quantifizierung berücksichtigen?

Bemerkung

Gehäuse nein Lagerung, komplett, ggfs. mit Dichtung

ja Fehlerausschluss nicht möglich1) MTTFD = 150 a; Siehe 3.4.2

Dichtungen zwischen feststehenden Teilen

nein

Elektronik und elektrische Komponenten (z. B. Anschlussstecker)

ja

Drehmomentstütze mit nachgewiesener Dauer-festigkeit

nein Siehe 5.2.7 Dauerfestigkeit begründet erforderlichen Fehlerausschluss

Wellenkupplung mit nach-gewiesener Dauerfestigkeit

nein Siehe 5.2.7 Dauerfestigkeit begründet erforderlichen Fehlerausschluss

Getriebe ja MTTFD = 150 a2) Befestigungselemente und Materialeigenschaften des Sensorsystems innerhalb des Messsystems

nein

Maßverkörperung ja Eine Berücksichtigung bei der Quantifizierung kann entfallen, sofern Beschädigung oder Verschmutzung (siehe 5.10) nicht zu einem gefährlichen Fehler (siehe 2.17) führen kann oder ein Fehlerausschluss nach DIN EN ISO 13849-2 bzw. DIN EN 61800-5-2 (siehe Anhang A) begründet ist. Falls keine Zahlenwerte zur Abschätzung der MTTFD vorliegen, ist MTTFD = 150 a anzusetzen (s. DIN EN ISO 13849-1, Tabelle C.1, Mechanische Bauteile).

Befestigung der Maßverkörperung

nein Dauerhafte Befestigung erforderlich, Siehe 5.2.2

Klebestellen (z. B. Klebung der Code-scheibe der auf Welle)

ja Fehlerausschluss durch Nachweis entsprechend DIN EN ISO 13849-2 möglich

1) Die Befestigungselemente von Winkelmesssystemen sind üblicherweise nicht für die bei einem blockierten Lager auftretenden Kräfte ausgelegt. Es treten jedoch vor der endgültigen Blockierung Lagerfehler auf, die durch die Fehler erkennenden Maßnahmen aufgedeckt werden können.

2) Sofern die Konstruktion des Getriebes nach dem Verfahren guter ingenieurmäßiger Praxis unter Verwendung grundlegender und bewährter Sicherheitsprinzipien erfolgte (siehe IFA Report 2/2017, Anhang D.2.5)

Tabelle 1: Bauteile für Messsysteme und deren Berücksichtigung bei der Quantifizierung

Page 27: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 27 von 74

4.7.3. Ausfallraten unter realistischen Arbeitstemperaturen Die Ausfallraten bestimmter Bauelemente sind stark temperaturabhängig. Darum muss die in der Anwendung zu erwartende Bauelement-Temperatur bei der Ermittlung ihrer Ausfallrate berücksichtigt werden.

Beispielsweise werden viele Winkelmesssysteme motornah montiert, so dass sie durch den erheblichen Wärmeeintrag über die Welle regelmäßig und systematisch (also nicht nur zufällig und vereinzelt einmal) in der Nähe ihrer erlaubten oberen Grenztemperatur betrieben werden. Auch die Lager- und Dichtungsreibung trägt zur Erwärmung bei.

Daher müssen die Ausfallraten und darauf basierend die PFHD für diese zulässige Anwendung unter Berücksichtigung einer nicht immer am oberen Grenzwert liegenden Umgebungstemperatur ermittelt und angegeben werden. Die Berücksichtigung erfolgt z. B. durch

K15 deltaArbeitPFH TTTD

Anmerkung 1: Durch den Abzug von 15 K wird berücksichtigt, dass Messsysteme nicht dauerhaft bei der maximal zulässigen Temperatur betrieben werden.

Anmerkung 2: Tdelta ist der Temperaturunterschied zwischen Arbeitstemperatur und maximal auftretender Bauteiltemperatur. Zusätzlich können PFHD-Werte für niedrigere Betriebstemperaturen ermittelt und ange-geben werden.

Die Umrechnung von Ausfallraten unter Referenzbedingungen in Ausfallraten bei anderen (meist höheren) Temperaturen erfolgt durch Multiplikation der Raten mit einem Temperatur-Korrekturfaktor T. Geeignete Gleichungen für diese Bauelementartspezifischen Korrekturfaktoren sind in IEC 61709 angegeben. Anmerkung: Auch die Ausfallratensammlung SN 29500 verwendet die Korrekturfaktoren aus IEC 61709.

4.7.4. Quantitative FMEDA und Bewertung der Diagnosemaßnahmen Die quantitative FMEDA dient dazu, für die im sicherheitsbezogenen Blockdiagramm verzeichneten Funktionsblöcke jeweils die Ausfallrate in die gefährliche Richtung D und den durch Diagnose erkennbare Anteil DD davon zu ermitteln. Anmerkung: Bei redundanten Funktionsblöcken führt der Ausfall eines Blocks nicht zum Verlust der Sicherheitsfunktion. In diesem Fall bezeichnet D die Rate des Blockausfalls in die sicherheitstechnisch ungünstige Richtung (Verlust der vorgesehenen Blockfunktion). Um zunächst allein die Ausfallrate eines Funktionsblocks zu bestimmen, kann im einfachsten Fall auch die „Parts-Count-Methode“ herangezogen werden, die darin besteht, die Ausfallraten aller Bauelemente des Blocks zu addieren. Dabei wird gesetzt:

i

iD

Hierbei repräsentieren die i die Ausfallraten der einzelnen Bauelemente des Blocks.

Page 28: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 28 von 74

Durch den Mehraufwand einer quantitativen FMEDA kann jedoch eine günstigere (kleinere) Block-Ausfallrate in die gefährliche Richtung D ermittelt werden. Voraussetzung für die Einstufung eines bestimmten Ausfalls als gefährlich (D) oder ungefährlich (S) ist, dass die Sicherheitsfunktion und somit die gefährliche Ausfallrichtung des Funktionsblocks bekannt ist, weil sonst nicht beurteilt werden kann, ob durch den Ausfall die Sicherheitsfunktion beeinträchtigt wird (D) oder nicht (S). Bei einem universellen Messsystem, das für verschiedene, nicht bekannte Sicherheitsfunktionen einsetzbar sein soll, können nur bestimmte Arten von Ausfällen mit Gewissheit als ungefährlich (S) eingestuft werden. Eine pauschale Bewertung der halben Bauelement-Ausfallrate als „S“ ist daher nicht angemessen. Dennoch können durch die quantitative FMEDA aus der Ausfallratensumme für D folgende Beiträge entfernt werden:

Ausfallraten von Bauelementen, die weder direkt noch mittelbar (z. B. in der Auf-bereitung der Versorgungsspannung) an der Ausführung der Sicherheitsfunktion beteiligt sind („not part failures“)

Ausfallraten von Bauelementen, deren Ausfall keine Auswirkung auf die Ausführung der Sicherheitsfunktion hat („no effect failures“)

Raten für einzelne Bauelement-Ausfallrichtungen, deren Eintritt keine Auswirkung auf die Ausführung der Sicherheitsfunktion hat („no effect failures“) Anmerkung:

Zur Abschätzung diese Anteils kann verwendet werden: - IEC 61709 - in FMEDA-Tools hinterlegte Ausfallartenverteilung - die 50%-Regel

Ein unnötiger Wechsel der Quelle für die Ausfallartenverteilung von Bauteil zu Bauteil ist nicht zulässig.

In einkanaligen Teilen des Messsystems müssen Ausfälle in die gefährliche Richtung zu 100 % erkannt werden, um das Kriterium der Einfehlersicherheit zu erfüllen. Daher darf es keine Beiträge zur gefährlichen Ausfallrate geben, für die der Diagnosedeckungsgrad < 100% beträgt. Im Sinne einer konservativen Abschätzung, d. h. einer Abschätzung zur sicheren Seite, wird bei 100%-iger Fehlererkennung in den einkanaligen Teilen die Diagnose für alle gefährlichen Ausfälle mit der Stufe „hoch“ bewertet, d. h. für die PFHD-Berechnung wird gesetzt: DC = 99%.

In redundanten Teilen des Messsystems muss der Diagnosedeckungsgrad für jeden Ausfall in die gefährliche Richtung individuell abgeschätzt werden. Anhaltspunkte für die Einschätzung bieten die Tabellen aus DIN EN ISO 13849-1, Anhang E und die Tabellen aus IEC 61508-2, Anhang A. Für den einzelnen gefährlichen Ausfall eines Bauelementes i aus einem Funktionsblock ergibt sich damit eine Aufteilung der gefährlichen Ausfallrate in den erkennbaren Anteil

DiiDDi DC

und den unerkennbaren Anteil

DiiDUi DC 1 .

Page 29: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 29 von 74

Für einen Funktionsblock (FB) oder eine logische Reihenschaltung von Funktionsblöcken ergibt sich ein gemittelter Diagnosedeckungsgrad durch die Gleichung

iDi

iDDi

FBDC

Anmerkung: Im IFA Report 2/2017, Anhang B, ist ein Beispiel für eine quantitative FMEDA dargestellt.

4.7.5. Abschätzung des Common-Cause-Faktors (nur bei Redundanz) Hierzu ist die Anwendung des Verfahrens aus DIN EN ISO 13849-1, Anhang F; oder aus IEC 61508-6, Anhang D oder eine begründete eigene Abschätzung geeignet. Anmerkung: Das Verfahren aus DIN EN ISO 13849-1 ermöglicht nur die Rechtfertigung der Abschätzung mit einem Common-Cause-Faktor von 2%. Aus dem komplizierteren Verfahren nach DIN EN 61508-6 können auch andere Werte des Common-Cause-Faktors resultieren.

4.7.6. Abschätzung der PFHD Abhängig von der Hardware-Architektur und den Eingangsgrößen, die berücksichtigt werden müssen, wird ein geeignetes Rechenverfahren zur Abschätzung der PFHD (ggf. auch PFD) ausgewählt. Dieses Verfahren verwendet als Eingangsgrößen die funktions-blockbezogenen Ausfallraten und Diagnosedeckungsgrade, die in der funktionsblock-bezogenen quantitativen FMEDA ermittelt wurden. Bei Redundanz wird auch der Common-Cause-Faktor mit verwendet.

4.7.7. Safe Failure Fraction (SFF) und MTTFD eines Kanals Zum Nachweis der maximalen quantitativen SIL-Fähigkeit (SIL-Obergrenze) (siehe Abschnitt 4.7.8) nach DIN EN 61800-5-2 muss die Failure Fraction (SFF) ermittelt werden. Besteht die Architektur aus Bereichen (Subsystemen) mit verschiedener Hardware-Fehler-toleranz, so muss dies für jeden Bereich separat erfolgen.

Die Berechnung der SFF erfolgt mit der Gleichung

DS

DDSSFF

.

Anmerkung 1: Die Raten von „Not part failures“ werden nicht in die Berechnung der SFF mit einbezogen. Anmerkung 2: Die Berechnung der SFF kann mitunter vermieden werden, siehe Abschnitt 4.7.8.

Für die Zuerkennung einer Kategorie nach DIN EN ISO 13849-1 (siehe Abschnitt 4.7.9) muss die MTTFD eines Kanals betrachtet werden. Zu ihrer Ermittlung werden im sicherheitsbezogenen Blockdiagramm der oder die Kanäle identifiziert, welche die Sicherheitsfunktion ausführen. Auch mittelbar der Funktionsausführung dienende Teile (z. B. Schaltungen zur Spannungsregelung) müssen mit einbezogen werden. Allein zu Diagnosezwecken dienende Teile werden ausgeschlossen. Die Ausfallraten in die gefährliche Richtung der so identifizierten Funktionsblöcke werden addiert. Bei redundanten Kanälen ist der Kanal mit der größeren (schlechteren) Ausfallrate auszuwählen. Als Ergebnis ergibt sich die Ausfallrate eines Kanals (one channel) in die gefährliche Richtung OC D. Für die MTTFD eines Kanals gilt dann:

DOCdMTTF

1

Page 30: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 30 von 74

4.7.8. Ermittlung der quantitativen SIL-Fähigkeit Nach DIN EN 61800-5-2 sind strukturelle Einschränkungen zu beachten, die zu einer SIL-Obergrenze führen. Besteht die Architektur aus Bereichen (Subsystemen) mit ver-schiedener Hardware-Fehlertoleranz, so muss dies für jeden Bereich separat erfolgen. Die SIL-Obergrenze wird ermittelt mit einer der Tabellen

Hardware-Sicherheitsintegrität: Strukturelle Einschränkungen der Architektur für sicherheitsbezogene Teilsysteme des Typs A bzw.

Hardware-Sicherheitsintegrität: Strukturelle Einschränkungen der Architektur für sicherheitsbezogene Teilsysteme des Typs B,

je nach Art der Hardware (Typ) des Subsystems. Der Bereich mit dem kleinsten maximalen SIL bestimmt den maximalen SIL des Messsystems. Erfüllt bereits der DC die Anforderung für die SFF, die für den angestrebten SIL benötigt wird, so muss wegen

DCSFFD

DD

DS

DDS

die Ausfallrate S in die sichere Richtung nicht ermittelt werden. Anderenfalls muss sie aus der quantitativen FMEDA entnommen werden.

In DIN EN 61800-5-2 legt die Tabelle 3 „Sicherheits-Integritätslevel: Ausfallgrenzwerte für eine Sicherheits-Teilfunktion eines PDS(SR)“ SIL-abhängige Obergrenzen für die PFHD von Sicherheitsfunktionen fest. Somit setzt die PFHD des Messsystems eine zweite Obergrenze für den SIL.

Die kleinere der beiden genannten SIL-Obergrenzen repräsentiert die quantitative SIL-Fähigkeit des Messsystems.

4.7.9. Ermittlung der quantitativen Kategoriefähigkeit Die in Frage kommenden Kategorien 3 und 4 nach DIN EN ISO 13849-1 stellen Anforderungen an die MTTFD und den DCavg des Funktionskanals (ggf. der Funktions-kanäle). Zur Berechnung von MTTFD und DCavg können die aus der quantitativen FMEDA gewonnenen Daten verwendet werden.

Die Anforderungen, die die einzelnen Kategorien an MTTFD und DCavg stellen, können dem Kapitel „Spezifikation der Kategorien“ in DIN EN ISO 13849-1 entnommen werden.

4.7.10. Ermittlung der quantitativen PL-Fähigkeit In DIN EN ISO 13849-1 legt die Tabelle „Performance Level (PL)“ PL-abhängige Ober-grenzen für die PFHD von Sicherheitsfunktionen fest. Somit setzt die PFHD des Mess-systems eine Obergrenze für den PL, in dem das Messsystem einsetzbar ist.

Page 31: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 31 von 74

5. PRÜFUNGEN

Diese Prüfgrundsätze enthalten Mindestanforderungen. Sofern Hersteller höhere Anforderungen spezifizieren, sind diese bei der Prüfung heranzuziehen. Falls nicht ein-deutig zu bestimmen ist, welche Anforderungen die höheren sind, ist die Übereinstimmung mit den Herstellerangaben zusätzlich nachzuweisen.

5.1. Funktionstests

Zur Validierung der (Teil-)Sicherheitsfunktionen im Messsystem sind Funktionstests erforderlich. Während dieser Funktionstests werden Überprüfungen ausgeführt, um fest-zustellen, ob die vom Hersteller spezifizierten Eigenschaften des Systems erreicht worden sind. Abweichungen von der Spezifikation und Anzeichen einer unvollständigen Spezifikation werden dokumentiert.

Um das Systemverhalten zu testen, wird die Einbringung oder Simulation von Fehlern in die Systemhardware empfohlen. Die Reaktion des Systems auf diese Fehler ist zu dokumentieren und mit den Anforderungen aus der Spezifikation zu vergleichen.

5.2. Funktionale Sicherheit

Die Entwicklung des Messsystems muss zur Vermeidung von Fehlern während der Entwicklung nach DIN EN 61800-5-2 erfolgen. Es gelten die in dieser Norm festgelegten Anforderungen, sofern zutreffend. Zusätzlich sind die Anforderungen aus DIN EN ISO 13849-1 und -2 zu erfüllen. Die Produktprüfung erfolgt entwicklungsbegleitend. Falls dies nicht möglich ist, ist durch Vorlage der entsprechenden Dokumentation die Entwicklung nach DIN EN 61800-5-2 nachzuweisen. Falls erforderlich, wird im Folgenden auf besondere Anforderungen bei der Prüfung eingegangen.

5.2.1. Nachweis der Einfehlersicherheit

Es muss eine qualitative FMEDA durchgeführt werden. Für sämtliche Funktionsblöcke ist zu zeigen, dass

Bauteilfehler aus physikalischen Gründen nicht vorkommen können, oder

Bauteilfehler der Mechanik in Folge von Überdimensionierung(en) ausgeschlossen werden können (siehe 5.2.7), oder

die Einfehlersicherheit durch Redundanz gewährleistet ist, oder

die Einfehlersicherheit ohne Redundanz durch „Ideale Fehlererkennung“ (siehe 2.26) mit den vom Hersteller vorgegebenen Fehler erkennenden Maßnahmen erreicht wird.

In der Anwendung von Messsystemen können ggfs. die Sinus- und Cosinus-Signale zur Erhöhung der Auflösung interpoliert werden. Die zur Erreichung der Idealen Fehler-erkennung erforderlichen Fehler erkennenden Maßnahmen müssen dafür ausreichend sein. Es wird geprüft, ob einer der drei folgenden zulässigen Wege gewählt wird:

Page 32: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 32 von 74

Die Interpolation von Sinus- und Cosinus-Signal für Sicherheitsfunktionen wird in der Betriebsanleitung ausgeschlossen, oder

die vom Hersteller vorgeschriebenen Fehler erkennenden Maßnahmen stellen auch für die durch Interpolation erreichte höhere Auflösung die Ideale Fehlererkennung sicher, oder

es wird in der Betriebsanleitung darauf hingewiesen, dass bei Interpolation anwender-seitig die zur Erreichung der Idealen Fehlererkennung erforderlichen Fehler erkennenden Maßnahmen festzulegen und sicherzustellen sind.

5.2.2. Eignung der verwendeten Bauteile und Werkstoffe

Durch Prüfung, Besichtigung, evtl. Berechnung und Vergleich mit den technischen Unterlagen wird geprüft, ob die Bauteile und Werkstoffe des Messsystems

mit bestehenden Normen übereinstimmen, und für den vorgesehenen Einsatz geeignet sind, und innerhalb ihrer festgelegten Bemessungswerte betrieben werden. Anmerkung: Hierzu gehören auch die internen Verdrahtungsleitungen, die Anschlussleitungen, die Befestigung der Maßverkörperung (z. B. Temperaturbeständigkeit eines Klebstoffs). Zur Bewertung der Eignung für den vorgesehenen Arbeitstemperaturbereich ist zu berücksichtigen:

die Erwärmung des Messsystems durch die elektrische Leistungsaufnahme der zulässige Umgebungstemperaturbereich des Messsystems die Wärmeaufnahme bzw. -abgabe am Montageort

Bei Winkelmesssystemen mit Kopplung der Sensorwelle an die Antriebswelle ist die Wärmeaufnahme bzw. -abgabe vorwiegend durch die thermischen Eigenschaften der Montage bestimmt. Sofern eine thermisch isolierte Montage nicht durch die Benutzer-information ausgeschlossen ist, ist die Temperaturerhöhung durch Lagerreibung und Reibung der Wellendichtung zu bestimmen. Hierzu wird das Messsystem unter Verwendung von thermisch isolierenden Materialien montiert und es wird die Eigenerwärmung im zulässigen Drehzahlbereich bestimmt. Alle Bauteile müssen im zulässigen Temperaturbereich betrieben werden. Ggf. ist in der Benutzerinformation eine Einschränkung bzgl. Drehzahl- und/oder Umgebungstemperatur-bereich aufzunehmen. Die Wirksamkeit der Maßverkörperung und deren Befestigung müssen während der Gebrauchsdauer dauerhaft sein. Dies muss über eine FMEDA nachgewiesen werden. Zur Begründung von Fehlerausschlüssen bzgl. des Lösens der Maßverkörperung sind sinn-gemäß die Faktoren zur Überdimensionierung in Anhang A anzuwenden. 5.2.3. Plausibilitätsprüfung der qualitativen FMEDA

Die vom Hersteller vorgelegte qualitative FMEDA muss auf Vollständigkeit, Wider-spruchsfreiheit und Plausibilität geprüft werden. Für Bauteilfehler, bei denen das in der

Page 33: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 33 von 74

qualitativen FMEDA beschriebene Systemverhalten nicht plausibel ist, muss ein Fehler-einbau oder eine Fehlersimulation durchgeführt werden. Die Reaktion des Systems auf diese Fehler ist zu dokumentieren.

Im Messsystem dürfen keine Bauteile mit gefährlichen Fehlermöglichkeiten vorhanden sein, die durch die Fehler erkennenden Maßnahmen nicht aufzudecken sind. Beispiele sind Vertauschung von Sinus und Cosinus durch Multiplexer oder Invertierung

(Bewegungsrichtung wird falsch erkannt)

Einfrieren von digitalisierten Analogwerten für Sinus und Cosinus Beispiel: IC digitalisiert analoge Signale und wandelt sie nach digitaler Bearbeitung wieder in Analogsignale um.

Bruch der Antriebswelle bei Winkelmesssystemen (Stillstand wird fälschlich erkannt).

Für die Analyse der Schaltungsteile sind die Fehlermodelle der DIN EN ISO 13849-2 zugrunde zu legen.

Bei Winkelmesssystemen mit Lagerung ist darzulegen, dass Lagerfehler aufgedeckt werden, bevor so hohe Kräfte auftreten, dass sich die Wellenverbindung lösen kann. Anmerkung: Ein rechnerischer Nachweis ist hierzu nicht möglich, da in der Regel die bei blockiertem Lager auftretenden Kräfte unbekannt sind. Vor der Blockierung des Lagers kommt es jedoch zu Signalverfälschungen, die ohnehin aufgedeckt werden muss (siehe Tabelle 1, Fußnote 1). Mögliche Maßnahmen sind in 3.4.2 beschrieben.

Die Einwirkung von für die Anwendung üblichen mechanischen Kräften, wie z. B. durch das Einfallen oder Lösen von Bremsen oder das Durchfahren von Resonanzfrequenzen darf nicht zu einem gefährlichen, unerkennbaren Ausfall führen. Der Nachweis erfolgt durch eine FMEDA und ggfs. geeigneten Versuch. Anmerkung: In der Regel werden die oben angenommenen Beeinflussungen durch die Fehler erkennenden Maßnahmen aufgedeckt.

5.2.4. Fehler erkennende Maßnahmen

Die ggf. im Messsystem integrierte Fehlererkennung muss zusammen mit der vom Hersteller des Messsystems für das Auswertegerät vorgeschriebenen Fehlererkennung einen Diagnosedeckungsgrad von 100% aufweisen (siehe 4.5). Der Nachweis ist mit der Methode „Statische Analyse“ zu führen.

Sofern die Verwendung von durch Interpolation des Sinus- und Cosinus-Signals erzeugten Positionswerten in Sicherheitsfunktionen nicht in der Benutzerinformation ausgeschlossen ist, muss der Hersteller angeben, wieviel Stützpunkte innerhalb einer Periode der Maß-verkörperung verwendet werden dürfen. Das zur Prüfung der Analogsignal-Integrität spezifizierte Verfahren muss dazu geeignet sein, alle Fehler aufzudecken, die zu einer Abweichung gegenüber der angegebenen Genauigkeit für interpolierte Positionswerte führen. 5.2.5. Quantifizierung

Die sicherheitsbezogene Zuverlässigkeit des Messsystems muss durch eine quantitative Abschätzung nach 4.7 bestimmt werden.

Page 34: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 34 von 74

5.2.6. Sicherheitsrelevante Software

Wenn zur Ausführung der Sicherheitsfunktion Software eingesetzt wird, so muss diese Software nach den Anforderungen in DIN EN 61800-5-2/DIN EN ISO 13849-1 für den vorgesehenen SIL/PL realisiert werden.

5.2.7. Mechanische Befestigung

Jedes Messsystem enthält einen stationären und einen beweglichen Teil, die mittels Befestigungselementen mit den entsprechenden Maschinenteilen verbunden sind.

Wenn eine gelöste Verbindung zu einem gefährlichen Ausfall des Messsystems führen kann, so ist die Zulässigkeit für einen Fehlerausschluss nachzuweisen (siehe DIN EN ISO 13849-2 und/oder Anhang A).

Fehlerausschlüsse können für mechanische Verbindungselemente durch entsprechende Überdimensionierungen begründet werden (siehe Anhang A und DIN EN ISO 13849-2). Schraubverbindungen müssen gegen Selbstlockern (auch als Folge von Setzen) gesichert sein. Der Nachweis kann über geeignete Versuche erbracht werden.

Notwendige Festigkeits-Nachweise für Maschinenbauteile (statisch und dynamisch) können z. B. gemäß aktueller FKM-Richtlinie erfolgen. Schraubverbindungen können gemäß VDI RL 2230 berechnet werden. Anmerkung: Bezugsquelle FKM-Richtlinie: Rechnerischer Festigkeitsnachweis für Maschinen- bauteile aus Stahl, Eisenguss- und Aluminiumwerkstoffen, VDMA Verlag, Herausgeber: Forschungskuratorium Maschinenbau (FKM), Postfach 71 08 64, 60498 Frankfurt/Main, www.vdma-verlag.com

5.2.8. Beispiele für geeignete Versuche:

Zum Nachweis von Fehlerausschlüssen werden im Anhang A u. a. geeignete Versuche gefordert. Im Folgenden werden hierfür Beispiele gegeben.

5.2.9. Befestigung Sensorwelle an Antriebswelle

Die Verbindung von Sensorwelle und Antriebswelle wird 10 000 000 Drehrichtungs-wechseln unterzogen. Das Messsystem wird hierbei Belastungen ausgesetzt, die sich aus den Herstellerangaben und dem für die Kräfte zutreffenden Sicherheitsfaktor ergeben.

5.2.10. Statorkupplung (Drehmomentstütze) und Wellenkupplung

Das Messsystem wird nach Herstellervorschrift unter zusätzlicher axialer und radialer Vorspannung (statische Belastung) montiert und 10 000 000 Umdrehungen mit einer Exzentrizität (dynamische Belastung) unterzogen. Für den Versuchsaufbau sind folgende Dimensionierungen vorzunehmen: 5.2.10.1. Axiale Belastungen

Statisch: Das Messsystem wird mit einem axialen Versatz montiert, der sich aus der Herstellerangabe für die maximal zulässige Wellenbewegung und dem für die Kräfte zutreffenden Sicherheitsfaktor aus Anhang A ergibt. Dabei sind die Anforderungen für

Page 35: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 35 von 74

kraftschlüssige Verbindungen zugrunde zu legen, da die Belastungen sowohl formschlüssige als auch kraftschlüssige Komponenten enthalten. Bei stoffschlüssigen Verbindungen gelten die jeweils höheren Anforderungen.

Dynamisch: entfällt, weil bei bestimmungsgemäßer Verwendung die axialen dynamischen Belastungen gegenüber den statischen vernachlässigbar sind.

5.2.10.2. Radiale Belastungen

Statorkupplung statisch / Wellenkupplung dynamisch: Das Messsystem wird mit einem radialen Versatz montiert, der sich aus der Herstellerangabe für die maximal zulässige Wellenbewegung und dem für die Kräfte zutreffenden Sicherheitsfaktor aus Anhang A ergibt. Dabei sind die Anforderungen für kraftschlüssige Verbindungen zugrunde zu legen, da die Belastungen sowohl formschlüssige als auch kraftschlüssige Komponenten enthalten.

Statorkupplung dynamisch / Wellenkupplung statisch: Die Antriebswelle wird mit einem exzentrischen Zusatzring versehen (siehe Abbildung 2). Die Größe der Exzentrizität wird bestimmt aus der nach Herstellerangaben maximal zulässigen Wellenbewegung und dem für die Kräfte zutreffenden Sicherheitsfaktor aus Anhang A. Dabei sind die Anforderungen für kraftschlüssige Verbindungen zugrunde zu legen, da die Belastungen sowohl formschlüssige als auch kraftschlüssige Komponenten enthalten.

Abbildung 2: Beispiel für Zusatzring zur Montage mit Exzentrizität von x Für den Versuch ist die ungünstigste Drehzahl zu wählen, die z. B. durch Beschleunigungsmessung oder Messung der Auslenkung zu ermitteln ist. Die gewählte Drehzahl muss innerhalb der Spezifikation des Messsystems liegen. Anschließend erfolgt eine visuelle Untersuchung auf mögliche Schäden.

5.3. Luft- und Kriechstrecken / Kurzschlussprüfung von Leiterplatten

Die Prüfung der Luft- und Kriechstrecken erfolgt gemäß DIN EN 61800-5-1, Abschnitt 5.2.2.1.

y+x

y

Antriebswelle

Zusatzring

Page 36: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 36 von 74

Erfüllen die Abstände die Anforderungen der DIN EN 61800-5-1, Tabelle 9 und 10 kann auf die Kurzschlussprüfung von Leiterplatten verzichtet werden. Bemessungsbeispiel für erforderliche Luft- und Kriechstrecken auf Leiterplatten: Systemspannung / Arbeitsspannung: ≤ 50 V Überspannungskategorie: II Verschmutzungsgrad: 2 1. Eine Systemspannung von ≤ 50 V entspricht bei Überspannungskategorie II einer

Stoßspannung in Höhe von 500 V (DIN EN 61800-5-1, Tabelle 7). 2. Eine Stoßspannung von 500 V entspricht bei einem Verschmutzungsgrad 2 einer

erforderlichen Mindestluftstrecke von 0,1 mm (DIN EN 61800-5-1, Tabelle 9 mit Anmerkung a).

3. Eine Arbeitsspannung von ≤ 50 V erfordert bei einem Verschmutzungsgrad 2 eine

erforderliche Mindestkriechstrecke von 0,04 mm (DIN EN 61800-5-1, Tabelle 10). 4. Der Wert für die ermittelte Mindestkriechstrecke wird auf den Wert der ermittelten

Mindestluftstrecke erhöht. 5. Die erforderliche Luft- und Kriechstrecke beträgt mindestens 0,1 mm. Anmerkung: Fehlerannahmen auf Leiterplatten/Baugruppen mit Anforderungen an Fehlerausschlüsse

sind in DIN EN 61800-5-2, Tabelle D.1, aufgeführt.

5.4. Prüfung der Nichtberührbarkeit / der Vollständigkeit des Gehäuses

Die Prüfung erfolgt gemäß DIN EN 61800-5-1, Abschnitt 5.2.2.3 und Abschnitt 5.2.2.4

Gehäuse von Messsystemen, die nicht ausschließlich mit einer PELV-Spannungsquelle versorgt werden, müssen mindestens der Schutzart IP54 entsprechen. Das Gleiche gilt für Messsysteme, bei denen ein Fehlerausschluss entsprechend DIN EN 61800-5-2, Tabelle D.1 in Anspruch genommen wurde.

Bei Einbau-Messsystemen entfällt die Prüfung. Stattdessen müssen in der Betriebs-anleitung geeignete Angaben enthalten sein, die die geforderte Schutzart durch den Einbau am Verwendungsort gewährleisten.

Diese Prüfung wird im Anschluss an die Schwing- und Schockprüfung durchgeführt.

5.5. Verformungsprüfung

Die Prüfung erfolgt gemäß DIN EN 61800-5-1, Abschnitt 5.2.2.5.

Ausgenommen sind Messsysteme, die ausschließlich mit einer PELV-Spannungsquelle versorgt werden und Einbau-Messsysteme.

Page 37: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 37 von 74

5.6. Schwing- und Schockprüfung

Das Messsystem einschließlich des ggf. zugehörigen Interfaces muss eine ausreichende mechanische Festigkeit gegenüber den bestimmungsgemäß zu erwartenden Bean-spruchungen, z. B. Erschütterungen, Schläge oder Stöße haben. Zum Nachweis der mechanischen Festigkeit muss eine Schwingprüfung mit gleitender Frequenz und eine Schockprüfung durchgeführt werden.

Das Messsystem einschließlich des ggf. zugehörigen Interfaces wird nach Montage-anleitung und unter Berücksichtigung der in DIN EN 60068-2-47 aufgeführten Anforderungen montiert und an die Stromversorgung angeschlossen.

Je nach Ausführung wird die Welle des Winkelmesssystems bzw. das Wegmesssystem inkl. seiner Maßverkörperung fixiert (Stillstand).

Allgemeine Bewertungskriterien während jeder Einzelprüfung: Es erfolgt im Stillstand des Messsystems eine Überwachung auf die vom Hersteller in der Betriebsanleitung ange-gebene Toleranz des Signals. Es muss ein Abtastintervall von ≤ 200 µs gewählt werden. Anmerkung: Das hier genannte Abtastintervall wird für die Anwendung des Messsystems in Sicherheits- funktionen als ausreichend angesehen, da die zeitlichen Anforderungen an Sicherheits- funktionen geringer sind als die zeitlichen Anforderungen an den Regelkreis. Allgemeine Bewertungskriterien nach jeder Einzelprüfung:

Elektrisch aktive Teile dürfen nicht berührbar geworden sein (siehe Kapitel 5.4).

Teile dürfen sich nicht gelöst oder gelockert haben, wenn dadurch die Sicherheit des Messsystems beeinträchtigt ist.

Es dürfen keine Beschädigungen auftreten, die Einfluss auf die Funktion, die Sicherheit oder die bestimmungsgemäße Befestigung haben.

Der Prüfling muss noch die in der Benutzerinformation angegebene Schutzart gegen Eindringen von festen Fremdkörpern, Staub und Wasser erfüllen (siehe Kapitel 5.4).

Die bestimmungsgemäße Funktion muss weiterhin vollständig erfüllt sein. o Beim Bewegen des Messsystems per Hand werden nach Durchführung des

Tests plausible Werte für Sinus und Cosinus ausgegeben.

Page 38: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 38 von 74

5.6.1. Schwingprüfung

Winkelmesssystem Wegmesssystem Interface

Prüfnorm DIN EN 60068-2-6

Frequenzbereich/Amplitude 5 Hz ≤ f ≤ 8,7 Hz / 10 mm

10 Hz – 55 Hz / 1 mm 10 Hz ≤ f ≤ 58 Hz / 0,075 mm

Frequenzbereich/ Beschleunigung

8,7 Hz ≤ f ≤ 200 Hz / 30 m/s²

58 Hz ≤ f ≤ 150 Hz / 10 m/s²

Schwingungsart sinusförmig

Schwingungsdauer

10 Durchlaufzyklen je Achse an jeder der drei zueinander senkrecht stehenden Achsen

5 Min

Anschließend: Dauer der Standzeit bei Resonanzfrequenz oder bei 55 Hz: 30 min in jeder der 3 Achsen (insgesamt 90 min)

Entnommen: DIN EN 60947-5 -2:2014, Abs. 7.4.2

10 Durchlaufzyklen je Achse an jeder der drei zueinander senkrecht stehenden Achsen

Durchstimmgeschwindigkeit 1 Oktave/min

5.6.2. Schockprüfung

Winkelmesssystem Wegmesssystem Interface

Prüfnorm DIN EN 60068-2-27

Schockform Halbsinus

Spitzenbeschleunigung 250 m/s² 300 m/s² 150 m/s²

Schockdauer 6 ms 11 ms 11 ms

Schockfolge (1 - 3) / s

Anzahl der Schocks 100 ± 5 (in allen 6 Richtungen)

6 pro Richtung 3 (in allen 6 Richtungen)

Page 39: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 39 von 74

5.7. Mechanische Eigenschaften von Anschlüssen

Die Prüfung erfolgt gemäß DIN EN 60947-1:2011, Abschnitt 8.2.4 mit folgenden Änderungen. Die Prüfungen nach DIN EN 60947-1:2011 Abschnitte 8.2.4.3 (Biegeprüfung) und 8.2.4.4 (Herausziehprüfung) sind nur an Messsystemen mit außen liegenden Anschlussklemmen durchzuführen. Befinden sich die Anschlussklemmen in einem geschlossenen Gehäuse, welches für den Anschluss von Mantelleitungen vorgesehen ist, können diese Prüfungen entfallen. In diesem Fall muss das Messsystem mit einer wirksamen Zugentlastung für die Anschlussleitung ausgerüstet sein.

5.7.1. Zusatzanforderungen für Messsysteme mit integrierten Anschlussleitungen

Anforderungen und Prüfungen siehe DIN EN 60947-5-2:2014, Anhang C zusammen mit dem nationalen Vorwort.

5.8. Umgebungsbedingungen

5.8.1. Trockene Kälte

Das Prüfverfahren erfolgt gemäß DIN EN 60068-2-1, unter Berücksichtigung folgender Bedingungen. Prüfung:

Beanspruchungstemperatur: vom Hersteller angegebene niedrigste zulässige Arbeits- temperatur (Messsystem) bzw. Umgebungstemperatur (Interface) mindestens jedoch (5 ± 2)°C.

Beanspruchungsdauer: (16 ±1) h

Bedingungen: ohne Spannungsversorgung, n = 0

Bewertung: Nach der Beanspruchungsdauer muss das Messsystem bestimmungsgemäß

arbeiten.

Für die Prüfung der bestimmungsgemäßen Funktion verbleibt der Prüfling im Klima-schrank, die eingestellte Temperatur wird dabei nicht verändert.

Es erfolgt im Stillstand des Messsystems und bei minimal zulässiger Betriebsspannung eine Überwachung auf die vom Hersteller in der Betriebsanleitung angegebene Toleranz des Signals.

Das Messsystem muss nach der Beanspruchung bestimmungsgemäß arbeiten. Die bestimmungsgemäße Funktion bleibt vollständig erhalten.

o Betrieb mit minimal zulässiger Betriebsspannung o Prüfung: Der Verlauf der Ausgangssignale wird über eine Wellenumdrehung/ über

einen angemessenen Weg geprüft. Bewegung mit der Hand ist ausreichend.

Es muss ein Abtastintervall von ≤ 200 µs gewählt werden.

Page 40: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 40 von 74

5.8.2. Trockene Wärme

Das Prüfverfahren erfolgt gemäß DIN EN 60068-2-2, unter Berücksichtigung folgender Bedingungen: Prüfung: Beanspruchungstemperatur: vom Hersteller angegebene höchste zulässige

Arbeitstemperatur (Messsystem) bzw. Umgebungs- temperatur (Interface) mindestens jedoch (40 ± 2)°C.

Beanspruchungsdauer: (16 ±1) h

Bedingungen: Betrieb an max. zulässiger Betriebsspannung, n = 0

Anmerkung: Die Prüfung des Messsystems in einem Temperaturschrank erfordert die Temperatur- regelung auf den vom Hersteller angegebenen Messpunkt der Arbeitstemperatur. Bewertung: Das Messsystem muss während und nach der Beanspruchung bestimmungsgemäß

arbeiten. Die bestimmungsgemäße Funktion bleibt während der Einwirkung vollständig erhalten.

Es erfolgt während der Beanspruchung im Stillstand eine Überwachung auf die vom Hersteller in der Betriebsanleitung angegebene Toleranz des Signals.

Das Messsystem muss nach der Beanspruchung bestimmungsgemäß arbeiten. Die bestimmungsgemäße Funktion bleibt vollständig erhalten.

o Prüfung: Der Verlauf der Ausgangssignale wird über eine Wellenumdrehung/ über einen angemessenen Weg geprüft. Bewegung mit der Hand ist ausreichend.

Es muss ein Abtastintervall von ≤ 200µs gewählt werden.

5.8.3. Feuchte Wärme

Die Prüfung erfolgt gemäß DIN EN 61800-5-1, Abschnitt 5.2.6.3.2. Ausgenommen sind Messsysteme, die ausschließlich mit einer PELV- Spannungsquelle versorgt werden.

Bewertungskriterien nach der Prüfung

Erfüllen der zutreffenden Annahmekriterien der DIN EN 61800-5-1, Abschnitt 5.2.6.2

Das Messsystem muss bestimmungsgemäß arbeiten. Die bestimmungsgemäße Funktion bleibt vollständig erhalten.

5.9. Schutz gegen thermische Gefahren

Anforderungen siehe DIN EN 61800-5-1, Abschnitt 4.4.1 bis 4.4.4.2. Prüfungen erfolgen gemäß DIN EN 61800-5-1, Abschnitt 5.2.5.

Page 41: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 41 von 74

5.10. Verschmutzung der Maßverkörperung

Bei optischen Messsystemen können sich Schmutzpartikel auf der Maßverkörperung ablagern und dadurch Messfehler verursachen, die die korrekte Ausführung der Sicher-heitsfunktion verhindern. Schmutzpartikel können z. B. aus der Umgebungsluft stammen oder durch Lagerreibung und Dichtungsabrieb entstehen. Ein Fehlerausschluss für die Ablagerung von Schmutzpartikeln ist ohne geeignete Maßnahmen nicht zulässig. Prinzipiell könnte die Auswirkung einer Verschmutzung durch Fehler erkennende Maßnahmen aufgedeckt werden. Partielle Verschmutzungen sind jedoch nur in einem engen Positionsbereich aufdeckbar. Bei zeitdiskret erfolgenden Maßnahmen zur Fehlererkennung ist die Fehleraufdeckung innerhalb des Testintervalls nicht gewährleistet.

Sofern vom Hersteller ein Fehlerausschluss nicht begründet werden kann, muss er auf-zeigen, wie die spezifizierten sicherheitsrelevanten Merkmale aufrecht erhalten bleiben oder ihr Verlust aufgedeckt wird. Anmerkung: In Auswertegeräten sind häufig Maßnahmen zur Erhöhung der Verfügbarkeit integriert, die sporadisch auftretende Fehlersignale unterdrücken sollen. Hierdurch kann zusätzlich die Erkennung von partieller Verschmutzung verzögert oder verhindert werden.

5.11. Elektrische Prüfungen

5.11.1. Stoßspannungsprüfung

Die Prüfung erfolgt gemäß DIN EN 61800-5-1, Abschnitt 5.2.3.1. Ausgenommen sind Messsysteme, die ausschließlich einen PELV–Stromkreis enthalten und deren Luftstrecken entsprechend DIN EN 61800-5-1 Tabelle 9 dimensioniert sind. Anmerkung: Enthält ein Messsystem einen potentialfreien Kontakt, der nicht aus derselben Spannungs- quelle wie das Messsystem selbst versorgt wird, liegt ein zweiter Stromkreis vor und die Stoßspannungsprüfung ist erforderlich.

5.11.2. Isolationsprüfung mit Wechsel- oder Gleichspannung

Die Prüfung erfolgt gemäß DIN EN 61800-5-1, Abschnitt 5.2.3.2. Ausgenommen sind Messsysteme, die ausschließlich mit einer PELV-Spannungsquelle versorgt werden.

5.12. Erwärmungsprüfung

Die Prüfung erfolgt gemäß DIN EN 61800-5-1, Abschnitt 5.2.3.8 mit folgenden Ergänzungen:

Um bei Winkelmesssystemen den thermischen Einfluss von Lagerreibung usw. mit zu berücksichtigen, muss die Erwärmungsprüfung bei der vom Hersteller des Messsystems spezifizierten max. Drehzahl durchgeführt werden.

Thermische Deratingkurven, die vom Hersteller angegeben werden, müssen punktuell geprüft werden.

Anmerkung: Abweichend von DIN EN 61800-5-1, Abschnitt 5.2.3.8 gilt für Winkelmesssysteme anstelle von „Bemessungs-Umgebungstemperatur“ die max. Arbeitstemperatur.

Page 42: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 42 von 74

5.13. Schutzleiteranschluss

Der Schutzleiteranschluss entfällt für Messsysteme, die ausschließlich mit einer PELV-Spannungsquelle versorgt werden. Messsysteme der Schutzklasse I müssen mit einem Schutzleiteranschluss versehen sein, der mit PE oder gemäß IEC 60445 gekennzeichnet ist. Dies gilt auch für Kleinspannungen, die nicht den Anforderungen für PELV entsprechen.

5.14. EMV Störfestigkeitsprüfungen

Die Prüfung erfolgt gemäß den Anforderungen aus DIN EN 61800-5-2:2017-11 (siehe Anhang E).

5.15. Anforderungen an Aufschriften und Betriebsanleitung

Die Festlegung der notwendigen Angaben erfolgt gemäß „Maschinenrichtlinie“ 2006/42/ EG Anhang I 1.7.3 sowie der DIN EN 61800-5-1, Abschnitt 6.1. Anmerkung: Hilfreiche Unterlagen für eine Interpretation dieser Anforderungen der Maschinen-

richtlinie finden sich in

- „Leitfaden für die Anwendung der Maschinenrichtlinie 2006/42/EG“, http://www.bmas.de/DE/Themen/Arbeitsschutz/Meldungen/maschinenrichtlinie-leitfaden.html

- EK9-BE-69 Kennzeichnung von Sicherheitsbauteilen nach Maschinenrichtlinie 2006/42/EG, Anhang I, Abschnitt 1.7.3, http://www.zls-muenchen.de/de/left/erfahrungsaustausch/erfahrungsaustausch-ix.htm

5.15.1. Aufschriften

Messsysteme müssen mindestens mit folgenden Informationen und Aufschriften (z. B. auf einem Typenschild) dauerhaft und gut lesbar versehen sein:

Extern:

Firmenname und vollständige Anschrift des Herstellers Bezeichnung CE-Kennzeichen Baureihen- oder Typenbezeichnung ggf. Seriennummer Baujahr Nennspannung IP-Schutzart Schutzklasse (ausgenommen: Schutzklasse III/PELV) Intern:

Kennzeichnung von Anschlussklemmen

Page 43: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 43 von 74

Besichtigen, prüfen auf

Vollständigkeit, Korrektheit

und

Widerspruchsfreiheit der Angaben, Lesbarkeit der Beschriftung

(eine Schrifthöhe von 2 mm wird als gut lesbar angesehen), Reibetest

(Reiben jeweils 15 s mit einem wasser- und einem mit Testflüssigkeit* getränktem Baumwolltuch).

* Als Testflüssigkeit wird das chemische Produkt mit der Handelsbezeichnung „n-Hexan zur Analyse“ verwendet, welches die Anforderungen der in DIN EN 60335-1 und DIN EN 60950-1 definierten Testflüssigkeit erfüllt.

Bewertung: Nach den Prüfungen müssen die Aufschriften gut lesbar sein. Es darf nicht möglich sein, Aufschriftenschilder leicht von Hand zu entfernen, auch dürfen sie sich nicht gewellt oder gekräuselt haben.

5.15.2. Betriebsanleitung

Die Festlegung der notwendigen Angaben erfolgt gemäß „Maschinenrichtlinie - MRL“ 2006/42/EG Anhang I 1.7.4, sowie der DIN EN 61800-5-1, Abschnitt 6.1 und der DIN EN 61800-5-2, Abschnitt 7.

Die Betriebsanleitung muss in einer Sprache vorliegen, die vom Prüfer akzeptiert wird. Ist die Betriebsanleitung nicht in dieser Sprache abgefasst, ist eine Übersetzung in einer vom Prüfer akzeptierten Sprache vorzulegen. Die Prüfung erfolgt dann anhand der Übersetzung, für deren Richtigkeit der Hersteller die Verantwortung trägt.

Die Betriebsanleitung muss in lesbarer Schrift abgefasst sein (eine Schrifthöhe von 2 mm wird als gut lesbar angesehen).

Die Betriebsanleitung muss folgende Informationen enthalten, sofern zutreffend:

Ein Hinweis darauf, dass es sich um eine „Originalbetriebsanleitung“ handelt. MRL 1.7.4.1 a)

Firmenname und vollständige Anschrift des Herstellers und seines Bevollmächtigten MRL 1.7.4.2 a)

Bezeichnung des Messsystems entsprechend der Angabe auf dem Messsystem selbst, ausgenommen die Seriennummer MRL 1.7.4.2 b) o Katalognummer des Messsystems oder Gleichwertiges DIN EN 61800-5 1, Abschnitt 6.2

EG-Konformitätserklärung oder ein Dokument, das die EG-Konformitätserklärung inhaltlich wiedergibt MRL 1.7.4.2 c)

Allgemeine Beschreibung des Messsystems MRL 1.7.4.2 d)

Page 44: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 44 von 74

Beschreibung der bestimmungsgemäßen Verwendung des Messsystems MRL 1.7.4.2 g)

Funktionale Spezifikation jeder Sicherheits-Teilfunktion und Schnittstelle, die zur Anwendung von Sicherheits-Teilfunktionen zur Verfügung steht einschließlich der sicherheitstechnischen Genauigkeit für die Positionsbestimmung und der sicherheitstechnischen Auflösung für die Geschwindigkeits- oder Drehzahlbestimmung. DIN EN 61800-5-2, Abschnitt 7.2 a)

Warnhinweise in Bezug auf Fehlanwendungen des Messsystems MRL 1.7.4.2 h) Alle Informationen zum sicheren Betrieb des Messsystems.

DIN EN 61800-5-1, Abschnitt 6.4.1

Performance Level PL, Kategorie nach DIN EN ISO 13849-1

SIL, PFHD mit Angabe der zugehörigen Arbeitstemperatur am Messpunkt (DIN EN 61800-5-2, Abschnitt 7.1 b); erforderlich ist mindestens die Angabe der PFHD für die Temperatur

DPFHT , d. h. für die maximal zulässige Arbeitstemperatur

abzüglich 15 K, vgl. 4.7.3

Angabe aller Einschränkungen für das Messsystem für Umgebung, Gebrauchsdauer, Grenzen der Anwendung DIN EN 61800-5-2, Abschnitt 7.1 d), Einbaulage

Anforderungen an die Signalauswertung und Fehlererkennung im Auswertegerät (siehe u. a. Anhang C):

o Schaltschwellen für die Rechtecksignal-Erzeugung („Schmitt-Trigger“ in Hardware oder Software)

o Analogsignal-Integritätsprüfung

o Im Falle der Erkennung eines Fehlers muss eine Fehlerreaktion eingeleitet werden, die zu einem sicheren Zustand der Anwendung führt.

o Im Fehlerfall muss der sichere Zustand der Anwendung erreicht werden, bevor eine gefahrbringende Situation entstehen kann. Deshalb muss die Summe aus der maximal benötigten Zeit für die Fehlererkennung und der Zeit für die Fehler-reaktion kleiner sein als die Prozesssicherheitszeit (siehe 2.21). Die maximal benötigte Zeit für die Fehlererkennung ist der zeitliche Abstand, mit dem die Analogsignal-Integritätsprüfung vollständig wiederholt wird.

o Die verwendete Hardware für die Signalauswertung und Fehlererkennung muss über den gesamten zu erwartenden Frequenzbereich der Ausgangssignale fehlerfrei funktionsfähig sein

o Falls manche Fehler des Messsystems nur in bestimmten Bereichen einer Periode der Maßverkörperung mit der vorgeschriebenen Analogsignal-Integritätsprüfung detektierbar sind, Hinweise auf Maßnahmen bei zeitkontinuierlicher und zeitdiskreter Diagnose (siehe C.5 „Bewertungskonzept für die Spezifikation der Signalverarbeitung“).

o Ggf. Ausschluss der Interpolation von Sinus- und Cosinus-Signal bei Verwendung des Messsystems in Sicherheitsfunktionen

Page 45: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 45 von 74

o Ggf. zusätzliche Auflistung aller möglichen Fehler des Messsystems aus der FMEDA oder vollständige Definition von Testsignalen, damit eine anwendungs-spezifische Analogsignal-Integritätsprüfung alternativ zu der vom Hersteller des Messsystems vorgeschriebenen Maßnahmen zur Idealen Fehlererkennung realisiert werden kann (siehe Anhang C.6)

Für Kupplungen ist jeweils ein Fehlerausschluss zu begründen, sofern dies nicht bereits vom Hersteller erfolgt ist.

Max. Drehzahl / Geschwindigkeit

Max. Winkelbeschleunigung / Beschleunigung

Schutzklasse

Verschmutzungsgrad

IP-Bemessung DIN EN 61800-5-1, Abschnitt 6.2

Bemessungsisolationsspannung

Bemessungsstoßspannungsfestigkeit

Art und größter Bemessungswert der Kurzschlussschutzeinrichtung

Angabe der Leiterart sowie des größten und kleinsten Leiterquerschnittes für den die Anschlussklemmen geeignet sind (falls zutreffend)

Warnhinweise in Bezug auf Fehlanwendungen des Messsystems MRL 1.7.4.2 h)

Beispiel – Nutzung gegebenenfalls unsicherer Ausgangssignale für Sicherheits-funktionen

Spannungsbemessung DIN EN 61800-5-1, Abschnitt 6.2

Strombemessung DIN EN 61800-5-1, Abschnitt 6.2

Anforderungen an die Versorgungsspannung DIN EN 61800-5-1, Abschnitt 6.2, z. B. PELV

Montage DIN EN 61800-5-1, Abschnitt 6.3.2

Plätze von Unterbaugruppen und Bauelementen DIN EN 61800-5-1, Abschnitt 6.5.1

Anforderung an das Installationspersonal

Verfahren zur Aufdeckung von vertauschten Sinus- / Cosinus- Anschlüssen

Referenzieren

Lagerungstemperaturbereich

Arbeitstemperaturbereich

Bedingungen für die Bestimmung der Arbeitstemperatur, z. B. Motordrehzahl, kurzzeitige Temperaturerhöhung, z. B. durch Stillstand nach Volllastbetrieb, Einbausituation, Umgebungstemperatur, Messpunkt (Messort) Arbeitstemperatur

Anschluss- und Verdrahtungspläne DIN EN 61800-5-1, Abschnitt 6.3.6.2

Page 46: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 46 von 74

Anforderungen an Kabel DIN EN 61800-5-1, Abschnitt 6.3.6.3

Erdung DIN EN 61800-5-1, Abschnitt 6.3.6.6

Spezielle Anforderungen DIN EN 61800-5-1, Abschnitt 6.3.6.8

Informationen zur Inbetriebnahme / Inbetriebnahmeprüfungen DIN EN 61800-5-1, Abschnitt 6.3.9

Einstellungen DIN EN 61800-5-1, Abschnitt 6.4.2

Einstellverfahren DIN EN 61800-5-1, Abschnitt 6.5.1

Anforderungen an die Konfigurationsprüfung der Sicherheitsfunktionen DIN EN 61800-5-2, Abschnitt 7.1 f)

Anforderungen an Prüfungen, Kalibrierung oder Instandhaltung DIN EN 61800-5-2, Abschnitt 7.1 d)

Instandhaltungsverfahren DIN EN 61800-5-1, Abschnitt 6.5.1

Instandhaltungspläne DIN EN 61800-5-1, Abschnitt 6.5.1

Reparatur- und Ersatzverfahren DIN EN 61800-5-1, Abschnitt 6.5.1

Verzeichnis von Spezialwerkzeugen DIN EN 61800-5-1, Abschnitt 6.5.1

Sicherheitszeichen müssen ISO 3864 entsprechen DIN EN 61800-5-1, Abschnitt 6.4.3.1

Prüfung: Einsichtnahme der technischen Unterlagen und Vergleich mit den Anforderungen; Prüfen auf Vollständigkeit, Korrektheit und Widerspruchsfreiheit der Angaben.

6. MESSSYSTEM - VARIANTEN

Die vorangegangenen Kapitel dieser Prüfgrundsätze enthalten im Wesentlichen Anforderungen an Messsysteme mit Sinus/Cosinus-Ausgangssignalen. Es existieren jedoch auch hiervon abweichende Messsysteme, auf einige Varianten wird in den folgenden Abschnitten eingegangen.

6.1. Sinus/Cosinus-Messsysteme mit zusätzlichem Absolut – Kanal

Diese Messsysteme verfügen als Ergänzung zum Sinus/Cosinus-Ausgang (Inkremental-wert) über eine digitale Schnittstelle zur Übertragung eines unsicheren Absolutwerts. Zur Erstellung eines sicheren Absolutwerts wird im Auswertegerät ein zweiter Absolutwert aus den Sinus/Cosinus-Signalen und einer geeigneten Referenzierung gebildet und mit dem Absolutwert des Sensors verglichen. Bei Übereinstimmung kann der Absolutwert als sicher angesehen werden.

Bei diesen Messsystemen sind zusätzlich die folgenden Nachweise zu führen:

Page 47: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 47 von 74

Es kann kein Fehler auftreten, der eine gleichzeitige Veränderung von Inkremental- und Absolutwert verursacht, und der bei vorgeschriebener Signalverarbeitung zu identischer falscher Winkel- bzw. Wegmessung führt.

Beispiel: Messsysteme mit getrennter Signalverarbeitung für Inkremental- und Absolutwert erfüllen in der Regel diese Anforderung.

Das Verfahren im Auswertegerät zur Bildung des Absolutwerts und zur Erkennung von Fehlern des Absolutwerts ist in der Benutzerinformation ausreichend beschrieben Anmerkung: Die Bildung des Absolutwerts erfolgt zweikanalig, so dass hierfür keine Ideale Fehlererkennung erforderlich ist.

Es ist die MTTFD des Absolutkanals des Messsystems zu bestimmen und in der Benutzerinformation anzugeben

In der Benutzerinformation ist ein Verfahren zur Abschätzung der PFHD für die Bestimmung des sicheren Absolutwerts anzugeben 

6.2. Messsysteme mit TTL/HTL - Ausgangssignalen

Die für Messsysteme mit Sinus-/Cosinus-Ausgang möglichen Fehler erkennenden Maß-nahmen durch die Überprüfung der Zeigerlänge („sin2() + cos2() = 1“) sind bei Rechteck-signalen nicht anwendbar. Insbesondere ist die bei einkanaligen Messsystemen erforderliche Ideale Fehlererkennung nicht möglich. Daher werden Messsysteme mit TTL/HTL-Ausgang in diesen Prüfgrundsätzen nicht behandelt.

6.3. Messsysteme nur mit sicherer Absolutschnittstelle

Diese Messsysteme bilden einen Absolutwert, der über eine sichere Schnittstelle an das Auswertegerät übertragen wird. Inkrementale Signale werden nicht übertragen. Die Fehler erkennenden Maßnahmen erfolgen zumindest teilweise im Messsystem selbst, da die Analogsignale im Auswertegerät nicht zur Verfügung stehen. 

Bei diesen Messsystemen sind ersatzweise bzw. zusätzlich die folgenden Nachweise zu führen:

Für die Signalverarbeitung gelten die Anforderungen von DIN EN 61800-5-2 soweit zutreffend.

Es sind die für die sichere Schnittstelle zum Auswertegerät zutreffenden Normen oder Prüfgrundsätze anzuwenden, z. B. Normenreihe DIN EN 61784 und GS ET 26.

Die im Auswertegerät erforderlichen Fehler erkennenden Maßnahmen sind in der Benutzerinformation ausreichend beschrieben.

Page 48: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

6.4. Multiturn - Messsysteme

6 1FA Inst itut fü r Arbe itsschutz der Deutschen Gesetzlichen Unfallversicherung Pr~ 'ld Ze tiz e un ss,el e 'Tl DGUV Tes

Diese Messsysteme überwachen intern die Anzahl der Umdrehungen der Maßverkörperung. Die ermittelte Anzahl ist bei der Bestimmung der Absolutlage zu berücksichtigen. Je nach Ausführung in sicherer bzw. unsicherer Technik sind die Anforderungen aus 5.4 bzw. 5.2 anzuwenden.

Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung (IFA)

Leiter der Prüf- und Zertifizierungsstelle F achzertifizierer

- ~~~~~ Dr. Peter Paszkiewicz M.Sc. Christian Werner

Seite 48 von 7 4

Page 49: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 49 von 74

Anhang A Fehlermodelle Mechanik

Es sind die Fehlermodelle für die Mechanik von Bewegungs- und Lagerückführungssensoren aus DIN EN 61800-5-2:2017-11, Tabelle D.8, anzuwenden. Dort sind auch mögliche Fehlerausschlüsse genannt.

Page 50: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 50 von 74

Anhang B Fehlermodelle Elektrik

Es sind die Fehlermodelle für die Elektrik von Bewegungs- und Lagerückführungssensoren aus DIN EN 61800-5-2:2017-11, Tabelle D.8, anzuwenden. Dort sind auch mögliche Fehlerausschlüsse genannt.

Page 51: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 51 von 74

Anhang C Statische Analyse von Signalauswertung und Fehlererkennung

Dieser Anhang bezieht sich auf Messsysteme mit analogem Sinus- und Cosinus-Ausgang, die für Sicherheitsfunktionen vorgesehen sind, wobei die Messsysteme keine oder keine vollständige integrierte Diagnose mitbringen. Solchen Messsystemen müssen in der Benutzerinformation Informationen mitgegeben werden, die es dem Anwender ermöglichen, die erforderliche Diagnose extern zu realisieren. Bei der Statischen Analyse geht es um die Validierung der in der Anwenderinformation enthaltenen Anforderungen an die extern zu realisierende Verarbeitung der Messsystem-Ausgangssignale. Die Signalverarbeitung umfasst die Auswertung der Ausgangssignale zum Zweck der Ausführung der Sicherheitsfunktion und die Integritätsprüfung der Ausgangssignale zur Erkennung von Fehlern im Messsystem (Diagnose).

Anmerkung 1: Die Statische Analyse kann auch als Hilfsmittel bei der Auslegung von sicheren Auswerte-geräten oder sicheren Steuerungen mit Eingängen für Sinus-/Cosinus-Messsysteme eingesetzt werden. Diese Geräte sind jedoch nicht Gegenstand dieser Prüfgrundsätze.

Anmerkung 2: In diesem Anhang wird die Methode der Statischen Analyse beschrieben. Die Methode ist unabhängig von einer möglichen Implementierung in einem Software-Tool. Möglicherweise unterstützt es jedoch das Verständnis, wenn die grafischen Darstellungen des in Abschnitt C.7 genannten Tools zusätzlich herangezogen werden.

C.1 Motivation zur Analyse von Signalauswertung und Fehlererkennung

Bei einer Auswertung von Signalflanken für die Ausführung von Sicherheitsfunktion können Hardwarefehler zur Nichterkennung von Flanken und damit zum Versagen der Sicherheitsfunktion führen. Eine Integritätsprüfung der Analogsignale muss diese Fehler aufdecken. Ob die Aufdeckung bestimmter Fehler möglich ist, hängt von der konkreten qualitativen und quantitativen Ausgestaltung sowohl der Flankenerkennung (Rechteck-formung) als auch der Analogsignalprüfung (z. B. Zeigerlängenüberwachung) ab. Ziel der hier beschriebenen Statischen Analyse ist die Überprüfung, ob alle realistischer-weise anzunehmenden Fehler erkannt werden können bzw. der Nachweis, dass dies so ist. Eine solche Überprüfung ist erforderlich wegen der Notwendigkeit, einen Diagnose-deckungsgrad von 100% zu realisieren. Dieser ist eine Voraussetzung dafür, mit der gegebenen einkanaligen Architektur das Kriterium der Einfehlersicherheit (Kategorie 3 und Kategorie 4 nach DIN EN ISO 13849-1) zu erfüllen. Zur Erleichterung des korrekten Einsatzes des Messsystems muss der Hersteller dem Anwender eine oder mehrere Kombinationen aus Schaltschwellen für die Rechteckformung und einer jeweils dazugehörigen Analogsignalprüfung vorschlagen. Diese Kombinationen müssen der Überprüfung durch die hier beschriebene Statische Analyse standhalten. Der Anwender kann die Auswertung und Fehlerkennung jedoch auch in eigener Verantwortung gestalten und dabei von den Vorschlägen des Messsystem-Herstellers abweichen. Auch in diesem Fall muss die Kombination aus Schaltschwellen für die Rechteckformung und der Analogsignalprüfung der Statischen Analyse standhalten.

Page 52: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 52 von 74

Der Hersteller muss dem Anwender für dessen Gestaltung der Diagnose ggf. besondere Fehlerbilder (Signalspannungen) mitteilen, die durch die Diagnose erkannt werden müssen. Die Übermittlung dieser Information kann mithilfe des Tools zur Durchführung der Statischen Analyse (siehe Abschnitte C.6 und C.7) erfolgen.

C.2 Was bedeutet Statische Analyse der Signalverarbeitung?

Der Begriff „Statische Analyse“ ist dem Bereich der Software-Prüfung entlehnt. Hier wie dort bedeutet „statisch“, dass keine physikalischen Messungen zeitveränderlicher Größen an einem laufenden System durchgeführt werden, sondern dass stattdessen eine theoretische Betrachtung erfolgt. Im vorliegenden Fall geht es bei der Statischen Analyse um die quantitative Spezifikation der Schaltschwellen für die Rechteckformung und die qualitative und quantitative Spezifikation der Integritätsprüfung für die Analogsignale, die geeignet aufeinander abgestimmt sein müssen, um einen Diagnosedeckungsgrad von 100% zu erreichen. Bei elektronischen Schaltungen erfordert der klassische Weg zum Nachweis eines erreichten Diagnosedeckungsgrades die Durchführung einer FMEDA auf Bauteil- und Schaltungsebene. Bei inkrementalen Messsystemen mit Sinus- und Cosinus-Ausgang macht jedoch die monolithische Integration der Sensorik zur Abtastung der Maßverkörperung und von Teilen der analogen Schaltung zur Signalerzeugung eine FMEDA auf Transistorebene alleine schon darum nahezu unmöglich, weil keine Querschlüsse zwischen verschiedenen Punkten der Schaltung ausgeschlossen werden können. Dennoch muss bewertet werden, ob die vom Hersteller zu spezifizierenden Vorgaben zur Verarbeitung der Ausgangssignale angemessen sind. Die erforderliche Spezifikation durch den Hersteller des Messsystems muss enthalten:

a) Schaltschwellen für die Rechtecksignal-Erzeugung („Schmitt-Trigger“ in Hardware oder Software)

b) Prüfverfahren für die Analogsignale zur Fehleraufdeckung (Diagnose) Zur Prüfung dieser Spezifikation wird die ihr entsprechende Verarbeitung der analogen Signale simuliert. An die Stelle der korrekten Ausgangssignale tritt dabei eine Reihe von Testsignalen, welche Ersatzsignale für potenzielle Fehler des Messsystems darstellen. Auf diese Testsignale muss die spezifikationsgemäße Signalverarbeitung in sicherer Weise reagieren, sie „beherrschen“. Dies bedeutet: Analogsignale, deren Verlauf eine Positionsänderung repräsentieren, müssen laut

Spezifikation in zählbare Impulse, einschließlich Zählrichtungsinformation umgesetzt werden

oder

die Diagnose muss ein Fehlersignal ausgeben (durch das von der Anwendung ein sicherer Zustand eingeleitet wird).

Page 53: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 53 von 74

Die Vorgehensweise bei der Statischen Analyse ist in Abbildung C.1 skizziert:

Abbildung C.1: Konzept der Statischen Analyse

Es wird angenommen, dass eine Spezifikation der Schaltschwellen und der Diagnose, welche die Ersatzsignale beherrscht, auch die real möglichen Hardwarefehler beherrscht. Um dies zu ermöglichen, ist eine gewisse Vielfalt und Varianz der Ersatzsignale vor-gesehen. Anmerkung: „Dynamische“ Effekte (Überzählung durch Störimpulse) werden bei der Statischen Analyse

nicht untersucht. Die Testsignale sind in Abschnitt C.3 beschrieben, die Nachbildung der Signalverarbeitung in Abschnitt C.4 und die Bewertung der Spezifikation in Abschnitt C.5. Abbildung C.2 bietet einen Überblick über die einzelnen Schritte der Statischen Analyse und die darin verwendeten Hilfsvariablen. Auf die einzelnen Schritte wird in den folgenden Abschnitten näher eingegangen. Dargestellt ist die Prozedur für ein Testsignal. Die Proze-dur muss mit allen Standard-Testsignalen (siehe Abschnitt C.3) und ggf. mit zusätzlichen Testsignalen durchgeführt werden. Ob zusätzliche Testsignale benötigt werden, hängt von den Ausfallmöglichkeiten des Messsystems ab und muss mithilfe einer FMEDA auf Bauteil- und Schaltungsebene der Messsystems geklärt werden (siehe Abschnitt C.6).

Page 54: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 54 von 74

Abbildung C.2: Vorgehensweise bei der Statischen Analyse (für ein Testsignal) mit Variablenbezeichnungen

Page 55: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 55 von 74

C.3 Standard-Testsignale

Schritt 1: Testsignal bereitstellen Die für die Statische Analyse verwendeten Testsignale dienen als Ersatzsignale für durch Fehler im Messsystem erzeugte korrumpierte Ausgangssignale. Dementsprechend besteht jedes einzelne Testsignal aus den vier einzelnen Ausgangssignalen

Apos (Cosinus mit Gleichanteil) Aneg (Invertierter Cosinus mit Gleichanteil) Bpos (Sinus mit Gleichanteil) Bneg (Invertierter Sinus mit Gleichanteil)

an der Schnittstelle nach außen. Dieser Bezugspunkt wurde gewählt, weil er bei üblichen Messsystemen mit analogem Sinus- und Cosinus-Ausgang stets in gleicher Form vorhanden ist, während die interne Schnittstelle z. B. am Ausgang des Opto-ASICs sich je nach dessen Ausführung unterscheidet. Die betrachtete Ausgangsschnittstelle kann durch die Ersatzschaltung im Abbildung C.3 dargestellt werden:

Abbildung C.3: Ersatzschaltung Messsystem-Ausgangsschnittstelle Der allen Wechselsignalen überlagerte Gleichanteil bewirkt, dass alle Signale stets im positiven Spannungsbereich liegen.

Page 56: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 56 von 74

Im fehlerfreien Fall haben die Ausgangssignale folgende Form:

cos2

1 AmpSApos

cos2

1 AmpSAneg

sin2

1 AmpSBpos

sin2

1 AmpSBneg

Anmerkung: Eine häufige Implementierung ist: S= = 2,5 V und Amp = 0,5 V. Hierin ist die relative Position der Maßverkörperung zum Sensorteil des Messsystems, wobei sich um 360° (2) ändert, wenn eine Periode der Maßverkörperung durchfahren wird. Durch die Differenzverstärkerstufen für die A- und B-Signale werden bei der Signal-verarbeitung die Signale A() und B() gebildet: cos AmpAAA negpos

sin AmpBBB negpos

Anmerkung: Zur Vermeidung negativer Signal- und Betriebsspannungen in der Signalverarbeitung wird in

der Praxis zu A() und B() ein neuer Gleichanteil addiert. Derartige Schaltungsspezifika werden in diesem Anhang nicht betrachtet.

Die weiter unten vorgestellten Testsignale basieren auf den nominalen Signalen und variieren über eine Anzahl von Perioden jeweils Amplitude, Gleichanteil oder die Phase oder eine Kombination daraus. Zur numerischen Darstellung und Untersuchung muss die Anzahl der betrachteten Perioden begrenzt sein und jede Periode durch eine endliche Zahl von Abtastwerten dargestellt werden. Dabei sollen die in Abhängigkeit vom Positionswert vorgenommenen Variationen die Signalform nicht übermäßig verzerren. Auch soll die Anzahl der Stützwerte insgesamt überschaubar sein. Als Kompromiss werden daher 100 Perioden mit einer Auflösung von je 100 Stützwerten gewählt, was zu 10 000 Stützwerten je Testsignal führt. Mit der Zählvariablen n für die Stützwerte mit n = 0, 1, 2, … , 10 000 ergibt sich folgende Substitution für den Positionswert :

nn

501002

Page 57: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 57 von 74

Damit werden die Nominalsignale des fehlerfreien Messsystems wie folgt dargestellt:

nAmpSnApos 50

cos2

1

nAmpSnAneg 50

cos2

1

nAmpSnBpos 50

sin2

1

nAmpSnBneg 50

sin2

1

Hierauf basierend werden im Folgenden fünf Standard-Testsignale definiert. Sie realisieren jeweils eine bestimmte vom Positionswert n abhängige Signalverzerrung. Bei der Bewertung der Spezifikation der Signalverarbeitung (Abschnitt C.5) muss an einer Stelle (Schritt 9) auch der Positionsbereich mit n > 10 000 berücksichtigt werden. Da die Verzerrung der Testsignale jedoch lediglich für den Positionsbereich n = 0 … 10 000 definiert ist, wird die Verzerrung bei n = 10 000 „eingefroren“. Die geschieht unter Zuhilfenahme der Variablen

0001000010

00010

nfür

nfürnn .

Sie wird in jenem Teil der Testsignal-Gleichungen verwendet, der die Signalverzerrung bewirkt, während jener Teil der Testsignal-Gleichungen, der die Schwingung erzeugt, den über 10 000 ansteigenden Positionswert n verwendet, damit die Schwingung fortgeführt wird. Testsignal 1 Parallele Amplitudenvariation bei nominalem Gleichanteil

nAmp

nSnApos 50

cos00010

1

nAmp

nSnAneg 50

cos00010

1

nAmp

nSnBpos 50

sin00010

1

nAmp

nSnBneg 50

sin00010

1

mit

0001000010

00010

nfür

nfürnn

Page 58: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 58 von 74

Testsignal 2 Antiparallele Amplitudenvariation bei nominalem Gleichanteil

nAmp

nSnApos 50

cos00010

1

nAmp

nSnAneg 50

cos00010

1

nAmp

nSnBpos 50

sin00010

nAmp

nSnBneg 50

sin00010

mit

0001000010

00010

nfür

nfürnn

Testsignal 3

Parallele Amplitudenvariation der Gesamtsignale, ausgenommen der Gleichanteil von Aneg

nAmpS

nnApos 50

cos2

1

00052

nAmp

nSnAneg 50

cos00010

1

nAmpS

nnBpos 50

sin2

1

00052

nAmpS

nnBneg 50

sin2

1

00052

mit

0001000010

00010

nfür

nfürnn

Page 59: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 59 von 74

Testsignal 4 Variation des Gleichanteils der „pos“-Signale

nAmpS

nnApos 50

cos2

1

00052

nAmpSnAneg 50

cos2

1

nAmpS

nnBpos 50

sin2

1

00052

nAmpSnBneg 50

sin2

1

mit

0001000010

00010

nfür

nfürnn

Testsignal 5 Phasenvariation

nAmpSnApos 50

cos2

1

nAmpSnAneg 50

cos2

1

2

1

0001050sin

2

1 nnAmpSnBpos

2

1

0001050sin

2

1 nnAmpSnBneg

mit

0001000010

00010

nfür

nfürnn

Es können weitere Testsignale notwendig sein, um die Spezifikation einer Signal-verarbeitung für ein bestimmtes Messsystem zu qualifizieren. Ob dies der Fall ist, hängt von den möglichen Ausfallarten des Messsystems ab und muss durch eine FMEDA des Messsystems auf Bauteil- und Schaltungsebene geklärt werden. Eine Erklärung der Problematik und eine Beschreibung der Vorgehensweise befinden sich in Abschnitt C.6. Alle Testsignale sind für ganzzahlige n ≥ 0 definiert. Bei der Bewertung der Spezifikation der Signalverarbeitung (Abschnitt C.5) muss an einigen Stellen (Schritt 5, Schritt 6) auch der

Page 60: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 60 von 74

Positionsbereich mit n < 0 berücksichtigt werden. Darum wird den Testsignalen eine „Vorlaufphase“ mit den unverzerrten Nominal-Ausgangssignalen vorgeschaltet. Die Verzerrung, d. h. der eigentliche Test beginnt somit schlagartig ab der Position n = 0.

C.4 Simulation der spezifikationsgemäßen Signalverarbeitung

Nach der Definition der Testsignale schließt sich die Simulation der Signalauswertung und Diagnose an. Zur Gewinnung von Positionswerten müssen die Flanken der analogen Sinus-/Cosinus-Signale erkannt und gezählt werden. Aus dem Phasenversatz beider Signale muss zudem die Bewegungsrichtung ermittelt werden, welche die Zählrichtung bestimmt. Die gängige Implementierung verwendet Quadraturdecoder, die sowohl die Zählimpulse als auch das Richtungssignal erzeugen. Die Integritätsprüfung der Analogsignale zur Realisierung des Diagnosedeckungsgrades (DC) für das Messsystem kann mit analogen Mitteln oder nach Digitalisierung mit digitalen Mitteln erfolgen. Zur Veranschaulichung ist in Abbildung C.4 eine mögliche Umsetzung (Beispiel) der Signalverarbeitung dargestellt, d. h. der Impulsgewinnung und -zählung und der Diagnose.

Abbildung C.4: Beispielschaltung zur Auswertung der Ausgangssignale und Diagnose von Messsystem-Fehlern

Page 61: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 61 von 74

Die Redundanzen dienen der Realisierung der Einfehlersicherheit und zur Aufdeckung von Fehlern in der Auswerteschaltung, nicht jedoch zur Fehleraufdeckung im Messsystem. Die ADC führen nicht die Sicherheitsfunktion aus. Sie dienen der Diagnose und bilden keine Redundanz. Anmerkung 1: Die Bewertung der ebenfalls notwendigen Fehleraufdeckung in der Auswerteschaltung ist

nicht Gegenstand dieser Prüfgrundsätze. In diesem Anhang wird die Statische Analyse allein zur Prüfung der Spezifikation der Signalverarbeitung verwendet.

Anmerkung 2: Bei entsprechend niedrigen Frequenzen können auf Basis der ausreichend schnell abgetasteten und digitalisierten Analogsignale die Flankenerkennung, die Quadratur-decodierung und die Positionszählung in Software realisiert sein.

Bei der Statischen Analyse von Signalauswertung und Fehlererkennung wird unterstellt, dass die Signalverarbeitung wie vom Hersteller des Messsystems spezifiziert erfolgt. Schritt 2: Differenzsignale bilden nAnAnA negpos

nBnBnB negpos

Schritt 3: Rechtecksignale gemäß Spezifikation bilden („Schmitt-Trigger“)

sonst

nAAnAAnAfürnA sqwoffon

sqw0

111

sonst

nBBnBBnBfürnB sqwoffon

sqw0

111

(sqw: square wave signal)

Schritt 4: Spezifizierte Diagnose durchführen Beispielhaft wird angenommen, dass der Hersteller des Messsystems die Zeigerlängen-überwachung als Diagnose spezifiziert hat:

sonst

AmpnBnAAmpnBnAfürnSFD

0

1 2max

222min

22

(SFD: Specified Fault Detection)

SFD(n) signalisiert durch den Wert 1, dass das die spezifizierte Analogsignal-Integritäts-prüfung im Schritt n das Prüfergebnis „Fehler“ erzeugt.

Page 62: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 62 von 74

C.5 Bewertung der Spezifikation Signalverarbeitung

Nach der Simulation der spezifikationsgemäßen Signalverarbeitung müssen die Ergebnisse unter Berücksichtigung der Eigenschaften der Quadraturdecoder bewertet werden: Wird eines der beiden digitalen Ansteuersignale eines Quadraturdecoders durch einen Fehler im Messsystem statisch, während das andere bewegungsbedingt toggelt, so ändert sich das Zählrichtungssignal bei jedem Zählimpuls. Der Positionszähler zählt dann bei den Taktimpulsen abwechselnd einen Schritt vor und einen Schritt zurück, wodurch Stillstand vorgetäuscht wird. Aus diesem Grund führt bereits das Statischwerden eines der beiden Ansteuersignale ebenso wie das Statischwerden beider Signale zu einem gefährlichen Ausfall der Sicherheitsfunktion. Daraus ergibt sich folgendes Bewertungskriterium für die Spezifikation der Signalverarbeitung: Die Spezifikation ist akzeptabel, wenn bei der spezifikationsgemäßen Verarbeitung der Testsignale zu KEINEM Zeitpunkt einer der folgenden (kritischen) Fälle auftritt:

Eines der beiden aus Analogsignal A („Cosinus“) und B („Sinus“) gewonnenen Recht-

ecksignale wird statisch UND die Analogsignal-Integritätsprüfung meldet keinen Fehler

Beide aus den Analogsignalen A („Cosinus“) und B („Sinus“) gewonnenen Recht-ecksignale werden statisch UND die Analogsignal-Integritätsprüfung meldet keinen Fehler

Falls einer dieser Fälle bei der Verarbeitung der Testsignale mindestens einmal auftritt, wird die Spezifikation der Signalverarbeitung als nicht akzeptabel bewertet. Anmerkung: Das Statischwerden eines oder beider Rechtecksignale kann nicht durch die Quadratur-

decoder- und Zählerredundanz der Auswertungsschaltung aufgedeckt werden, da dieses Verhalten systembedingt in beiden Kanälen auftritt. Eine Bauteil-und Schaltungs-FMEDA für das Messsystem muss daher feststellen, ob ein derartiges Fehlerbild durch einen einzelnen Bauteilfehler verursacht werden kann, vgl. Abschnitt C.6. Falls dies möglich ist, muss die Aufdeckung solcher Fehler durch die Analogsignal-Integritätsprüfung erfolgen.

Nachdem das Akzeptanzkriterium für die Spezifikation der Signalverarbeitung festgelegt ist, erfolgt die Bewertung in mehreren Schritten: Schritt 5: Flanken erkennen In diesem Schritt werden die Positionen n ermittelt, in denen steigende oder fallende Flanken vorliegen.

sonst

nAnAfürnA sqwsqw

sl 0

11

sonst

nBnBfürnB sqwsqw

sl 0

11

(sl: slope)

Page 63: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 63 von 74

Asl(n) bzw. Bsl(n) signalisieren durch den Wert 1, dass das Rechtecksignal Asqw bzw. Bsqw im Schritt n eine steigende oder fallende Flanke aufweist. Schritt 6: Flanken in der Vorperiode zählen Ziel dieses Schrittes ist das Erkennen des Statischwerdens der Rechtecksignale. Ein Recktecksignal wird als „statisch“ bewertet, wenn innerhalb der Periodendauer des Testsignals weniger als zwei (= Normalfall) Signalwechsel erfolgen. Zur Unterdrückung von Artefakten durch das gegenüber einem reinen Sinus leicht verzerrte (amplitudenmodulierte) Testsignal wird der Betrachtungszeitbereich auf die 1,1-fache Periodendauer festgelegt.

n

nkslnsl kAnA

109

n

nkslnsl kBnB

109

Ansl(n) bzw. Bnsl(n) geben die Anzahl der Flanken der Rechtecksignale Asqw bzw. Bsqw in der dem Schritt n vorausgehenden 1,1-fachen Testsignal-Periode an. Schritt 7: Statischwerden feststellen Hierbei wird geprüft, ob es im Betrachtungsbereich mit seinen 100 Testsignal-Schwingungen (n = 0, 1, ... , 10 000) Positionen n gibt, bei denen eines der Rechtecksignale Asqw bzw. Bsqw statisch wird (weniger als zwei Flanken in den vorausgehenden 1,1 Schwingungsperioden):

sonst

nAfürnA nsl

stat 0

21

sonst

nBfürnB nsl

stat 0

21

Astat(n) bzw. Bstat(n) signalisieren durch den Wert 1, dass das Rechtecksignal Asqw bzw. Bsqw im Schritt n als statisch bewertet wird. Bewertungskonzept für die Spezifikation der Signalverarbeitung Im Idealfall erfolgt eine Fehlermeldung durch die Analogsignal-Integritätsprüfung genau dann, wenn mindestens eines der beiden Rechtecksignale statisch wird. In vielen Fehlerfällen wird die Analogsignal-Integritätsprüfung beim Durchfahren einer Periode der Maßverkörperung keine ununterbrochene Fehlermeldung erzeugen. Dies ist zu akzeptieren, solange innerhalb einer Periode wenigstens an einer Stelle eine Fehlermeldung ausgegeben wird.

Page 64: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 64 von 74

Im Fall, dass manche Fehler des Messsystems nur in bestimmten Bereichen einer Periode der Maßverkörperung mit der vorgeschriebenen Analogsignal-Integritätsprüfung detektierbar sind, muss in der Anwenderinformation auf diesen Sachverhalt hingewiesen werden: Für den Fall zeitkontinuierlicher Diagnose muss sichergestellt sein, dass unter

Berücksichtigung der maximalen Drehzahl/Geschwindigkeit und Strichzahl im Fehlerfall das Erreichen des sicheren Zustands gewährleistet ist. Hierauf ist in der Benutzerinformation hinzuweisen.

Für den Fall zeitdiskreter Diagnose ist in der Benutzerinformation der Zusammenhang zwischen Drehzahl/Geschwindigkeit, Strichzahl und Abtastrate zu beschreiben. Die Beschreibung soll den Anwender in die Lage versetzen, das Zeitverhalten seiner Signalverarbeitung erfordernisgerecht zu gestalten bzw. die Anwendung bzgl. Drehzahl/Geschwindigkeit und Strichzahl zu begrenzen.

Um eine Bewertung der Spezifikation der Signalverarbeitung vornehmen zu können, werden wiederum einige Hilfsvariablen definiert: Schritt 8: Ideale Fehlererkennung Mit der Variablen IFD (grüne Kennzeichnung in Abbildung C.2) wird die Ideale Fehlererkennung simuliert. Sie signalisiert, dass die Analogsignal-Integritätsprüfung eine Fehlermeldung ausgeben sollte:

sonst

nBnAfürnIFD statstat

0

11

(IFD: Ideal Fault Detection)

Die Variable IFD nimmt an jeder Stelle n den Wert 1 an, an der eine „Ideale“ Fehlererkennung ansprechen würde. Hingegen repräsentiert die in Schritt 4 eingeführte Variable SFD (orange Kennzeichnung in Abbildung C.2) das Verhalten der spezifizierten Analogsignal-Integritätsprüfung. Im Spezialfall der Zeigerlängenüberwachung gilt (wie bereits oben gezeigt):

sonst

AmpnBnAAmpnBnAfürnSFD

0

1 2max

222min

22

(SFD: Specified Fault Detection)

Die Variable SFD nimmt an jeder Stelle n den Wert 1 an, an der die spezifizierte Analogsignal-Integritätsprüfung anspricht, d.h. eine Fehlermeldung ausgibt.

Page 65: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 65 von 74

Schritt 9: Fehlererkennung in einer Periode? Es wird ebenfalls akzeptiert, wenn eine notwendige Fehlererkennung innerhalb eines Positionsbereiches erfolgt, der mit der Position n1 des erstmaligen Fehlerauftritts beginnt (IFD(n1) = 1) und die Größe der (1,1-fachen) Periode der Maßverkörperung hat. Anmerkung: Der Faktor 1,1 anstelle des Faktors 1 dient zur Unterdrückung von Artefakten durch das

gegenüber einem reinen Sinus leicht verzerrte (amplitudenmodulierte) Testsignal. Zur Darstellung der Fehlererkennung innerhalb einer 1,1-fachen Periode wird die Variable SFD1P (hellblaue Kennzeichnung in Abbildung C.2) definiert:

sonst

kSFDfürnSFD

n

nkP

0

11109

1

Die Variable SFD1P nimmt an einer Stelle n den Wert 1 an, wenn in der mit n beginnenden (1,1-fachen) Periode der Maßverkörperung mindestens bei einem n die spezifizierte Analogsignal-Integritätsprüfung anspricht. Schritt 10: Positionsbezogenes Ergebnis ermitteln An jeder Stelle n, wo die Ideale Fehlererkennung ansprechen würde, kann mit der Variablen R eine Bewertung vorgenommen werden. Stellen, wo keine Fehlererkennung erforderlich ist (IFD(n) = 0), sind für die Bewertung der Spezifikation der Signalverarbeitung nicht relevant:

0

01

011

111

1

1

1

nIFDfürrelevantsafetynot

nSFDnIFDfüracceptablenot

nSFDnSFDnIFDfüracceptable

nSFDnSFDnIFDfüroptimal

nRP

P

P

(R: Result)

Die Variable R(n) ist eine logische Variable, welche an jeder Stelle n genau einen der vier möglichen Werte „optimal“, „acceptable“, „not acceptable“ oder „not safety relevant“ annimmt. Sie kann helfen, ein bestimmtes Analyseergebnis genauer zu untersuchen.

Page 66: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 66 von 74

Schritt 11: Fehlererkennung nicht optimal? Ziel dieses Schrittes ist es, Positionen ohne optimale Fehlererkennung festzustellen. Zu diesem Zweck wird zunächst die numerische Variable r(n) wie folgt definiert:

sonst

nSFDnIFDfürnr

0

011

r(n) nimmt an solchen Stellen n den Wert 1 an, an denen eine Ideale Fehlererkennung ansprechen würde, die spezifizierte Fehlererkennung jedoch keine Fehlermeldung ausgeben würde. Somit repräsentiert r(n) = 1 den Fall, dass R(n) bei n den Wert „optimal“ nicht erreicht hat. Schritt 12: Ganzer Testbereich optimal? Es muss eine Bewertung der Spezifikation der Signalverarbeitung über den gesamten Verlauf eines Testsignals (n = 0, 1, … , 10 000) erfolgen. Um für das ganze Testsignal (allein unter dem Sicherheitsaspekt) „optimal“ zu sein, darf der Fall r(n) = 1 an keiner Stelle des Testsignals auftreten. Daher kann mithilfe der nachfolgend definierten (von n unabhängigen) Variablen R ausgedrückt werden, ob die Spezifikation der Signalverarbeitung bei dem verwendeten Testsignal optimal ist oder nicht:

sonstoptimalnot

nrfüroptimalR

n

00010

0

1

R = optimal bedeutet, dass die Spezifikation der Signalverarbeitung bei dem zu Grunde gelegten Testsignal im Fehlerfall eine ununterbrochene Fehlermeldung bewirkt. Schritt 13: Fehlererkennung inakzeptabel? Die optimale Fehlererkennung wird oft nicht erreicht. Es wird jedoch auch akzeptiert, dass ein zu erkennender Fehler innerhalb einer Periode der Maßverkörperung wenigstens an einer Position n eine Fehlermeldung auslöst. Ein Ausbleiben der Fehlermeldung innerhalb dieser Periode ist nicht akzeptabel. Zur lokalen Bewertung wird zunächst die Variable r1P(n) wie folgt definiert:

sonst

nSFDnIFDfürnr P

P 0

011 11

r1P(n) nimmt an solchen Stellen n den Wert 1 an, an denen eine Ideale Fehlererkennung ansprechen würde, die spezifizierte Fehlererkennung jedoch nicht einmal innerhalb der

Page 67: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 67 von 74

nachfolgenden (1,1-fachen) Periode des Testsignals eine Fehlermeldung ausgeben würde. Somit repräsentiert r1P(n) = 1 den Fall R(n) = not acceptable. Der Fall r1P(n) = 1 darf an keiner Stelle des Testsignals auftreten. Schritt 14: Ganzer Testbereich akzeptabel? Mithilfe der nachfolgend definierten (von n unabhängigen) Variablen R1P kann entschieden werden, ob die Spezifikation der Signalverarbeitung dem verwendeten Testsignal in Gänze standhält (acceptable) oder nicht (not acceptable):

sonstacceptablenot

nrfüracceptableR

nP

P

00010

01

1

1

R1P = acceptable bedeutet, dass die Spezifikation der Signalverarbeitung bei dem zu Grunde gelegten Testsignal im Fehlerfall zumindest innerhalb der 1,1-fachen Periode der Maßverkörperung eine Fehlermeldung bewirkt. Anmerkung: Jede Spezifikation der Signalverarbeitung, die R = optimal erreicht, erreicht auch

R1P = acceptable. Eine Spezifikation der Signalverarbeitung, die R1P = acceptable erreicht, erreicht nicht notwendig auch R = optimal.

R1P = not acceptable bedeutet, dass die Spezifikation der Signalverarbeitung bei dem zu Grunde gelegten Testsignal nicht standhält und folglich verbessert werden muss. Eine Spezifikation der Signalverarbeitung, die bei jedem Testsignal R1P = acceptable erreicht, hat die Prüfung „Statische Analyse“ bestanden. Falls eine Spezifikation der Signalverarbeitung, welche die Statische Analyse bestanden hat, bei mindestens einem Testsignal R = optimal nicht erreicht, bedeutet dies, dass manche Fehler nur in bestimmten Bereichen einer Periode der Maßverkörperung mit der vorgeschriebenen Analogsignal-Integritätsprüfung detektierbar sind. Im gegebenen Fall muss in der Anwenderinformation auf diesen Sachverhalt hingewiesen werden, siehe C.5 „Bewertungskonzept für die Spezifikation der Signalverarbeitung“.

C.6 Messsystem-FMEDA zum Nachweis des Diagnosedeckungsgrades von 100 %

Um den erforderlichen Diagnosedeckungsgrad von 100% zu erreichen, muss die Spezifikation der Signalverarbeitung alle vorkommenden Hardware-Ausfälle beherrschen (vgl. Abschnitt C.2). Welche fehlerhaften Ausgangssignale durch Hardwarefehler entstehen können, hängt von den Fehlermodellen der Bauelemente und von der Schaltung des Mess-systems ab.

Page 68: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 68 von 74

Erläuterung der Problematik Prinzipiell gibt es Signalkombinationen Apos, Aneg, Bpos, Bneg, die einen Bewegungsstillstand darstellen, der ja zu den möglichen und zulässigen Betriebszuständen gehört. Kritisch ist jedoch der Fall, dass a) eine Bewegung vorhanden ist, aber die Ausgangssignale durch einen einzelnen

Hardware-Ausfall so verfälscht werden, dass Stillstand vorgetäuscht wird und b) dieser Hardware-Ausfall durch die Analogsignal-Integritätsprüfung nicht erkannt wird. Zu solchen kritischen Signalkombinationen gehören natürlich statische Signale, jedoch nicht ausschließlich. Mit Hilfe einer FMEDA muss festgestellt werden, ob durch einen einzelnen Hardware-Ausfall solche kritischen Ausgangssignale erzeugt werden können. Falls dies möglich ist, ist die Spezifikation der Signalverarbeitung nicht akzeptabel und muss so verbessert werden, dass solche Szenarien nicht mehr möglich sind. Zur Veranschaulichung wird im Folgenden ein Beispiel für eine potentiell kritische Signal-kombination gegeben:

nAmpkSnApos 50

cos2

116,1

nAmpkSnAneg 50

cos2

1

nAmpSnBpos 50

sin2

1

nAmpSnBneg 50

sin2

1

Es werden die Fälle k = 0 und k = 0,2 betrachtet. Der Wechselanteil beider A-Signale beträgt dann Null bzw. 20% des Nominalwertes. Bei k = 0,2 und Amp = 0,5 V ergibt sich folgender Wechselanteil (Spitze-Spitze) des Differenzsignals:

VVAmpAmpAmpAAA negpospp 2,05,04,04,02

12,0

2

12,022

Zugleich ist der Gleichanteil von Apos um 16% erhöht. Bei S= = 2,5 V hat das Differenzsignal A dann (statt Null im fehlerfreien Fall) folgenden Mittelwert:

VVSSSAAA negpos 4,05,216,016,016,1

Die beiden B-Signale sind unverfälscht. Als Analogsignal-Integritätsprüfung wird eine Zeigerlängenüberwachung auf Unter- bzw. Überschreiten des Nominalwertes (0,5 V) um 50% angenommen.

Page 69: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 69 von 74

In Abbildung C.5 sind die sich ergebenden Zeigerspitzen-Kurven dargestellt: links zum Vergleich die Idealkurve des fehlerfreien Falls (grün) und rechts die beiden Fehlerfälle mit k = 0 und k = 0,2 (orange und magenta). Die Zeigerlängen-Grenzkurven der Amplituden-überwachung erscheinen als gestrichelte Kreise.

Abbildung C.5: Lissajous-Diagramme (Darstellung von Signal B über Signal A) im Idealfall (links) und bei kritischem Messsystem-Fehler (rechts) Die Schaltschwellen für die Rechteckformung liegen symmetrisch angeordnet um den Nullpunkt der Spannungen A und B. Dies führt dazu, dass bei beiden Fehlerfällen (k = 0 und k = 0,2) das Signal A nicht mehr beide Schaltschwellen durchfährt, wodurch die Ausgangssignale Asqw1 und Asqw2 beider Rechteckformer (siehe Blockdiagramm in Abschnitt C.4) statisch werden. In der Folge zählen beide Positionszähler fortwährend einen Punkt vor und zurück, so dass Stillstand vorgetäuscht wird. Am rechten Lissajous-Diagramm ist erkennbar, dass sich beide Zeigerspitzen-Kurven im zulässigen Bereich zwischen den Amplituden-Grenzkreisen bewegen. Darum wird dieser Fehler durch die Zeigerlängenüberwachung in der hier angenommen Parametrierung nicht erkannt. Ein Diagnosedeckungsgrad von 100% kann nicht erreicht werden, falls mit solchen Fehlern gerechnet werden muss. Durch die FMEDA soll geprüft werden, ob bei der gegebenen Hardware des Messsystems in Verbindung mit der vorgesehenen Spezifikation der Signalverarbeitung derartige kritische Szenarien auftreten können, bzw. es soll nachgewiesen werden, dass solche Szenarien auszuschließen sind.

Page 70: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 70 von 74

Vorgehensweise bei der FMEDA Bei der FMEDA (Failure Mode, Effects and Diagnostics Analysis) auf Bauteil- und Schaltungsebene werden wie üblich die Fehlermöglichkeiten aller Bauelemente der Reihe nach hinsichtlich ihrer Auswirkung auf die Ausgangssignale der Schaltung und die Wirksamkeit der implementierten Diagnose bei kritischem Schaltungsverhalten untersucht. Durch beliebig komplexe Fehlerannahmen bei elektronischen Bauelementen der Schaltung wird es stets möglich sein, kritische Szenarien der vorbeschriebenen Art hervorzurufen. Um hier realistisch zu bleiben, sind jedoch bei der FMEDA nur jene Bauelement-Ausfallarten zu unterstellen, die in den Fehlermodellen aus DIN EN 61800-5-2:2017-11, Tabellen D.1 bis D.8 aufgeführt sind. Diese nicht ausschließbaren und von der Diagnose zu beherrschen Ausfallarten decken sich im Wesentlichen mit den für den Diagnosedeckungsgrad „hoch“ zu erkennenden Fehlern nach DIN EN 61508-2, Anhang A (z. B: „DC-Fehlermodell“). Das oben beschriebene kritische Fehlerszenario kommt zustande durch eine Verstärkungs-änderung und eine gleichzeitige Gleichanteilverschiebung. Dass eine solche Doppelwirkung prinzipiell durch einen einzelnen Bauteilfehler verursacht werden kann, wird anhand der Standard-Verstärkerschaltungen in Abbildung C.6 demonstriert. Diese Einsicht untermauert die Notwendigkeit einer FMEDA der konkreten Hardware des Messsystems.

Abbildung C.6: Beispiele für die zweifache Auswirkung eines einzelnen Bauteilfehlers Anmerkung: Für die Gleichungen in Abbildung C.6 wurden vereinfachend „ideale“ Operationsverstärker

angenommen (Eingangsströme und Ausgangsimpedanz Null, innere Verstärkung unendlich, kein Offset).

Prinzipiell ist es zulässig, dass der Anwender die Ausgestaltung und Parametrierung der Signalverarbeitung alternativ gestaltet. Falls jedoch die FMEDA des Messsystems ergibt,

Page 71: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 71 von 74

dass durch Einzelfehler potentiell kritische Ausgangssignale der oben gezeigten Art erzeugt werden können, muss der Hersteller dem Anwender diese Information zur Verfügung stellen, damit dieser die Signalverarbeitung entsprechend auslegen kann. Eine zweckmäßige Form der Information besteht in der Übermittlung zusätzlicher Testsignale, welche die potentiell kritischen Fehler des Messsystems repräsentieren und die bei der Statischen Analyse beherrscht werden müssen.

C.7 MS-Excel-Tool zur Durchführung der Statischen Analyse

Die in den Abschnitten C.2, C.3, C.4 und C.5 beschriebene Statische Analyse kann mit einer vom IFA bereitgestellten MS-Excel-Datei mit darin eingebundenen Makros durchgeführt werden. Die in Abschnitt C.3 aufgeführten Standard-Testsignale sind in der Datei bereits enthalten. Weitere Testsignale können nötigenfalls hinzugefügt werden. Eine Benutzungsanleitung ist in der Datei enthalten. Download der MS-Excel-Datei: www.dguv.de, Webcode d11973

Page 72: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 72 von 74

Anhang D Beispiel für die Quantifizierung

Im Folgenden wird beispielhaft die Quantifizierung eines inkrementalen Sinus/Cosinus-Messsystems mit extern realisierter Diagnose betrachtetet. Dabei wird die Gültigkeit folgender Annahmen vorausgesetzt:

Die Quantifizierung soll sowohl für geschwindigkeits- bzw. drehzahlbasierte als auch für positionsbasierte Sicherheitsfunktionen gültig sein. Hieraus folgt, dass die Bewegungsrichtung eine sicherheitsrelevante Information darstellt. Da zur Gewinnung der Richtungsinformation beide Analogsignale („Sinus“ und „Cosinus“) benötigt werden, muss das Messsystem einkanalig modelliert werden.

Um die Forderung der Einfehlersicherheit mit dieser einkanaligen Architektur zu erfüllen, ist eine Ideale Fehlererkennung realisiert (Diagnosedeckungsgrad 100 % und die Fehleraufdeckung und die im Fehlerfall erfolgende Reaktion zur Herstellung eines sicheren Zustands erfolgt innerhalb der Prozesssicherheitszeit). Bei der Quantifizierung wird vorausgesetzt, dass die Prüfungen, mit denen dies nachgewiesen werden kann, erfolgreich bestanden wurden.

Die Diagnose zur Erkennung von Ausfällen ist außerhalb des Messsystems realisiert und die Diagnoseeinrichtung wird bei der Berechnung der PFHD für eine Sicherheits-funktion mit einem eigenen PFHD-Beitrag berücksichtigt. Dies ist typischerweise der Fall, wenn die analogen Signale von einem sicheren Auswertegerät oder einer sicheren Steuerung verarbeitet werden, die sowohl die Diagnose des Messsystems als auch die Sicherheitsfunktion selbst ausführen.

Unter den genannten Voraussetzungen kann für das betrachtete Beispiel das in Abbildung D.1 dargestellte sicherheitsbezogene Blockdiagramm angegeben werden.

Abbildung D.1: Sicherheitsbezogenes Blockdiagramm

Die PFHD kann dabei mit folgender Gleichung berechnet werden:

Ermittlung der Ausfallrate in die gefährliche Richtung enc D:

Sichere Steuerung

oder

Sicheres Auswertegerät

DCenc

enc D

PFHD enc weiterer PFHD-Beitragzur Sicherheitsfunktion

Mess-system

DencencDUencencD DCPFH 1

Page 73: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 73 von 74

Durch die quantitativen FMEDA wird die Ausfallrate in die gefährliche Richtung enc D ermittelt, wobei folgende Beiträge nicht in die Ausfallratensumme einfließen:

Ausfallraten von Bauelementen, die weder direkt (z. B. als Verstärker) noch mittelbar (z. B. in der Aufbereitung der Versorgungsspannung) an der Erzeugung der Aus-gangssignale beteiligt sind („not part failures“)

Ausfallraten von Bauelementen, deren Ausfall keine Auswirkung auf die Erzeugung der Ausgangssignale hat („no effect failures“)

Raten für einzelne Bauelement-Ausfallrichtungen, deren Eintritt keine Auswirkung auf die Erzeugung der Ausgangssignale hat („no effect failures“)

Ausfallraten von Bauelementen, deren Ausfall die Ausgangssignale nur so wenig beeinflusst, dass bei der vom Hersteller vorgeschriebenen Signalauswertung eine einwandfreie Zählung der von der Abtastung der Maßverkörperung herrührenden Schwingungsflanken erfolgen („safe failures“)

Raten für einzelne Bauelement-Ausfallrichtungen, deren Eintritt die Ausgangssignale nur so wenig beeinflusst, dass bei der vom Hersteller vorgeschriebenen Signal-auswertung eine einwandfreie Zählung der von der Abtastung der Maßverkörperung herrührenden Schwingungsflanken erfolgen („safe failures“)

Anmerkung: Da die Sicherheitsfunktionen selbst nicht bekannt sind, ist eine pauschale Bewertung der halben Bauelement-Ausfallrate als „safe“ nicht angemessen. Temperaturkorrektur der Bauelement-Ausfallraten:

Die im realen Betrieb zu erwartende Bauelement-Temperatur muss bei der Ermittlung ihrer Ausfallraten berücksichtigt werden. Ist z. B. zugelassen, dass ein Winkelmesssystem motornah montiert wird, so müssen die dabei möglichen hohen Bauelement-Temperaturen berücksichtigt werden und die Ausfallraten und die darauf basierende PFHD muss für diese zulässige Anwendung ermittelt und angegeben werden. Zusätzlich können PFHD-Werte für niedrigere Betriebstemperaturen ermittelt und angegeben werden. Abschätzung des Diagnosedeckungsgrades DCenc:

Da die Ausfälle in die gefährlichen Richtung zu 100% erkannt werden müssen (siehe die eingangs genannten Voraussetzungen), darf es keine Beiträge zur gefährlichen Ausfallrate geben, für die der Diagnosedeckungsgrad < 100% beträgt. Im Sinne einer konservativen Abschätzung, d. h. einer Abschätzung zur sicheren Seite, wird die Diagnose für alle gefährlichen Ausfälle mit der Stufe „hoch“ bewertet, d. h. für die PFHD-Berechnung wird gesetzt: DC = 99%.

Wegen

%99

DCSFF

D

DD

DS

DDS

und HFT = 0 (Einkanaligkeit) kann maximal SIL 3 erreicht werden (Typ-B-Bauelemente).

Die quantitative Kategorie-Fähigkeit wird bei diesem Beispiel alleine durch die MTTFD bestimmt. Aufgrund der Idealen Fehlererkennung (DC = 100%) wird rechnerisch DC = 99% angesetzt.

Page 74: Grundsätze für die Prüfung und Zertifizierung von Winkel ... · Grundsätze für die Prüfung und Zertifizierung von Winkel- und Wegmesssystemen für die Funktionale Sicherheit

GS-IFA-M21

Ausgabe 08/2018

Seite 74 von 74

Anhang E Anforderungen an die EM-Störfestigkeit

Die in diesen Prüfgrundsätzen behandelten Messsysteme gehören zu PDS(SR). Daher sind die Anforderungen an die EM-Störfestigkeit von PDS(SR) aus DIN EN 61800-5-2:2017-11 anzuwenden.