Page 1
Montage- und
Betriebsanleitung
Assembly and
Operating Manual
Page 2
Spitzenleistung im Team
Top Performance in the Team
Bei Greifsystemen und Spanntechnik ist SCHUNK weltweit
die Nr. 1 – vom kleinsten Parallelgreifer bis zum größten
Spannbackenprogramm.
Um effizient zu produzieren, haben sich Unternehmen
über 2.000.000 Mal für einen Präzisionswerkzeughalter
von SCHUNK entschieden. 1.000.000 Mal für einen
SCHUNKGreifer. 100.000 Mal für ein Drehfutter oder ein
Stationäres Spannsystem.
Das macht uns stolz. Und es spornt uns an zu neuen
Spitzenleistungen.
Als Kompetenzführer erkennen und entwickeln wir
Standards mit Zukunftspotenzial, die den rasanten
Fortschritt in vielen Branchen prägen.
Unsere Kunden profitieren in unserem innovativen Familien unternehmen vom Expertenwissen, der Erfahrung und dem
Teamgeist von 3.400 Mit arbeiterinnen und Mitarbeitern.
Weiterhin beste Ergebnisse mit unseren Qualitätsprodukten
wünscht Ihnen Ihre Familie Schunk.
SCHUNK is the world’s No. 1 for gripping systems and
clamping technology – from the smallest parallel gripper
to the largest chuck jaw program.
In order to boost efficiency, SCHUNK customers have bought
more than 2,000,000 precision toolholders, 1,000,000
SCHUNKgrippers, and 100,000 lathe chucks and stationary
workholding systems so far.
This makes us proud and motivates us to attain new top
performances.
As a competence leader, we recognize and develop standards
with a large potential for the future, which will drive the rapid
progress in many industries.
Our customers profit from the expert knowledge, the
experience, and the team spirit of 3,400 employees in our
innovative family-owned company.
The Schunk family wishes you improved end results with our
quality products.
Henrik A. SchunkHeinz-Dieter Schunk Kristina I. Schunk
Page 3
Sicherheitshandbuch
ERD - Elektrische Miniatur-Schwenkeinheit
Anforderungen zur Auswertung von einem sicheren Modul mit
HIPERFACE® - Motor-Feedbacksystemen in Verbindung mit Umrichtern
für sichere elektrische Servo-Antriebssysteme
Safety manual
ERD - electrical miniature parallel gripper
swivel unit
Requirements for Evaluating a Safe Module with HIPERFACE® Motor
Feedback Systems in Combination with Inverters for Safe Electrical Servo
Drive Systems
Page 4
deutsch ............................................................................ 3
english ............................................................................. 31
2
02.00 | ERD | Sicherheitshandbuch | GAS372884
Page 5
Sicherheitshandbuch
ERD - Elektrische Miniatur-Schwenkeinheit
Anforderungen zur Auswertung von einem sicheren Modul mit
HIPERFACE® - Motor-Feedbacksystemen in Verbindung mit Umrichtern
für sichere elektrische Servo-Antriebssysteme
Page 6
Impressum
Impressum
Urheberrecht:
Diese Anleitung ist urheberrechtlich geschützt. Urheber ist die SCHUNK GmbH & Co. KG.
Alle Rechte vorbehalten. Insbesondere ist jegliche – auch auszugsweise – Vervielfältigung,
Bearbeitung, Verbreitung (Zugänglichmachung gegenüber Dritten), Übersetzung oder
sonstige Verwendung verboten und bedarf unserer vorherigen schriftlichen Genehmigung.
Technische Änderungen:
Änderungen im Sinne technischer Verbesserungen sind uns vorbehalten.
Dokumentennummer: GAS372884
Auflage: 02.00|29.03.2019|de
© SCHUNK Electronic Solutions GmbH
Alle Rechte vorbehalten
Sehr geehrte Kundin,
sehr geehrter Kunde,
vielen Dank, dass Sie unseren Produkten und unserem Familienunternehmen als
führendem Technologieausrüster für Roboter und Produktionsmaschinen vertrauen.
Unser Team steht Ihnen bei Fragen rund um dieses Produkt und weiteren Lösungen
jederzeit zur Verfügung. Fragen Sie uns und fordern Sie uns heraus. Wir lösen Ihre
Aufgabe!
Mit freundlichen Grüßen
Ihr SCHUNK-Team
SCHUNK Electronic Solutions GmbH
Am Tannwald 17
D-78112 St. Georgen
Tel. +49-7725-9166-0
Fax +49-7725-9166-5055
electronic-solutions@de.schunk.com
schunk.com
4
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
Page 7
Inhaltsverzeichnis
Inhaltsverzeichnis
1 Zu dieser Anleitung.................................................................................................. 6
1.1 Darstellung der Warnhinweise.............................................................................6
1.2 Mitgeltende Unterlagen ....................................................................................... 7
2 Generelles ............................................................................................................... 8
2.1 Sicherheitsrelevante Nutzung der Funktionskanäle.............................................9
2.2 Anwendungsbereich............................................................................................. 9
2.3 Bestimmungsgemäße Verwendung.................................................................... 10
2.4 Sicherheitsgerichtete Funktionskette................................................................. 10
2.5 Sicherheitsrelevante Aufgabe des Auswertesystems.........................................11
3 Sicherheitsrelevante Umsetzung.............................................................................12
4 Anforderungen und Systemvoraussetzungen ..........................................................14
4.1 Anforderungen an den Anwender......................................................................14
4.2 Anforderung an das Reglersystem ..................................................................... 15
4.3 Anforderungen an den elektrischen Anschluss des Moduls............................... 15
4.4 Anforderungen an die mechanische Ankopplung des Moduls...........................15
5 Sicherheitstechnische Kenngrößen des Motorfeedback-Systems ............................16
6 Diagnoseanforderung und Fehlererkennung ...........................................................17
6.1 Tabelle der Fehlerannahmen für Motorfeedback-System .................................17
6.2 Anmerkungen zur Tabelle der Fehlerannahmen................................................ 19
6.2.1 Störungen der analogen Gebersignale Sinus und Cosinus .....................19
6.2.2 Verlust der mechanischen Kopplung Gebergehäuse oder Versatz der
mechanischen Kopplung während des Motorstillstands .......................21
6.2.3 Verlust der mechanischen Kopplung Gebergehäuse / Motorgehäuse
während des Motorlaufs .......................................................................22
6.2.4 Sinus-/Cosinus-Signalstillstand aufgrund elektrischer Defekte oder durch Verlust der
mechanischen Kopplung Geberwelle / Motorwelle während des Motorlaufs ......22
6.2.5 Lösung der Maßverkörperung (Codescheibe) .......................................23
6.2.6 Oszillationen eines oder mehrer Ausgänge............................................23
6.2.7 Austausch der Ausgangssignale Sin/Cos.................................................23
6.2.8 Überwachung der vom Auswertegerät ausgegebenen Geber-
Versorgungspannung..............................................................................24
6.2.9 Betrieb des Gebersystems außerhalb zulässiger Temperaturbereiche..24
6.2.10 Betrieb unter erhöhter Schockbelastung (Bremsung)............................25
7 Zusätzliche Maßnahmen zur Fehlererkennung (Empfehlung) ..................................26
8 Gestaltungsbeispiel: Blockschaltbild eines zweikanaligen Systems..........................27
9 Glossar....................................................................................................................28
10 Anhang ...................................................................................................................29
10.1 Zertifikat Elektrische Miniatur-Schwenkeinheit ERD mit eingebauten
Sicherheitsdrehgeber .........................................................................................30
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
5
Page 8
Zu dieser Anleitung
1 Zu dieser Anleitung
Diese Anleitung enthält wichtige Informationen für einen sicheren
und sachgerechten Gebrauch des Produkts.
Die Anleitung ist integraler Bestandteil des Produkts und muss für
das Personal jederzeit zugänglich aufbewahrt werden.
Vor dem Beginn aller Arbeiten muss das Personal diese Anleitung
gelesen und verstanden haben. Voraussetzung für ein sicheres
Arbeiten ist das Beachten aller Sicherheitshinweise in dieser
Anleitung.
Abbildungen in dieser Anleitung dienen dem grundsätzlichen
Verständnis und können von der tatsächlichen Ausführung
abweichen.
Neben dieser Anleitung gelten die aufgeführten Dokumente unter
Link Mitgeltende Unterlagen.
1.1 Darstellung der Warnhinweise
Zur Verdeutlichung von Gefahren werden in den Warnhinweisen
folgende Signalworte und Symbole verwendet.
GEFAHR
Gefahren für Personen!
Nichtbeachtung führt sicher zu irreversiblen Verletzungen bis hin
zum Tod.
WARNUNG
Gefahren für Personen!
Nichtbeachtung kann zu irreversiblen Verletzungen bis hin zum
Tod führen.
VORSICHT
Gefahren für Personen!
Nichtbeachtung kann zu leichten Verletzungen führen.
ACHTUNG
Sachschaden!
Informationen zur Vermeidung von Sachschäden.
6
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
Page 9
Zu dieser Anleitung
1.2 Mitgeltende Unterlagen
• Allgemeine Geschäftsbedingungen
• Betriebsanleitung ERD
• Inbetriebnahmeanleitung ERD
• Technische Daten der Miniatur-Schwenkeinheiten ERD
04/08/12 gemäß Motordatenblatt und Programmübersicht
• Dokumentation zum eingesetzten Antriebsregler
• Montagevorschrift für die Anlage in der die MiniaturSchwenkeinheit zum Einsatz kommen soll
• Betriebsanleitung Fa. Sick 8014124 Typ: SKM36S-HFA0-K02
Stand: 2016-04-05 (www.sick.com)
• Datenblatt Fa. Sick 8010614 Typ: SKS/SKM36
Stand: 2015-11-18 (www.sick.com)
• Implementierungshandbuch Hiperface Safety Fa. Sick 8014120
Typ: SKM36S-HFA0-K02 Stand: 2010-12-21 (www.sick.com)
• Schnittstellenmanual Fa. Sick 8010701 Hiperface
Stand: 2016-03-10 (www.sick.com)
• MRL 2006/42/EG
• Mindestvorschriften für Sicherheit und Gesundheitsschutz bei
Benutzung von Arbeitsmitteln durch Arbeitnehmer bei der
Arbeit 2009/104/EG
• Unfallverhütungsvoschriften und Sicherheitsregeln
• sonstige relevante Sicherheitsvorschriften
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
7
Page 10
Generelles
2 Generelles
Allgemeine Darstellung eines Servo-Regelkreises
Das Modul mit der Schnittstelle HIPERFACE® , ist aufgrund seiner
Ausführung zum dynamischen und präzisen Betrieb von ServoRegelkreisen prädestiniert.
Das Gesamtsystem, bestehend aus Modul, Auswertesystem und
Servo-Umrichter, bildet einen Regelkreis (siehe Abb.1). Aus den
Gebersignalen werden Ist-Werte für Kommutierung, Drehzahl,
Drehrichtung und Lage abgeleitet.
Für Sicherheitsfunktionen zertifizierte Modul mit der Schnittstelle
HIPERFACE® eignet sich aufgrund seiner hohen elektrischen und
mechanischen Zuverlässigkeit sowie der Immunität gegen
elektromagnetische und elektrostatische Störungen (EMV) zum
Einsatz in Funktionsketten von sicherheitsgerichteten
Maschinenfunktionen.
Die Übermittlung der Sensorsignale zum Auswertegerät erfolgt
über die HIPERFACE®-Schnittstelle. Diese verfügt über
Informationskanäle entsprechend folgender Tabelle:
8
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
Page 11
Generelles
Informationskanäle
Funktionskanal Funktion Übertragungsge-
schwindigkeit
Prozessdatenkanal Ausgabe von analogen Sinus-/Cosinus-Zyklen
zur richtungsorientierten Positionsauswertung
durch Interpolation und Zähler
Parameterkanal RS485-Schnittstelle zur Abfrage und
Übermittlung von absoluten Positionsdaten
und anderen Daten durch das
Auswertesystem
2.1 Sicherheitsrelevante Nutzung der Funktionskanäle
Aufgrund der relativ hohen Übertragungszeit des Parameterkanals
ist anzunehmen, dass die auf diesen Daten resultierende
Fehlererkennungszeit höher ist als die tolerierbare Reaktionszeit.
Deshalb wurde für die normenorientierte, sicherheitsgerichtete
Betrachtung des Systems ausschließlich der Prozessdatenkanal
herangezogen.
Die zusätzliche Nutzung des Parameterkanals ist jedoch in
bestimmten Fällen zur Prüfung nominaler
Umgebungsbedingungen (Gebertemperatur) erforderlich.
Empfohlen wird die Nutzung des Parameterkanals im Bezug auf
Fehlerfrüherkennung und flexibles Fehlermanagement.
Echtzeit
Je nach Anforderung
einige Millisekunden
2.2 Anwendungsbereich
Der sicherheitsgerichtete Einsatz des Moduls in Verbindung mit
dem integrierten Gebersystem mit Sinus/Cosinus-Ausgang bezieht
sich auf die Anwendung in Verbindung mit Servosystemen, die mit
dreiphasigen AC-Synchronmotoren arbeiten und deren
Kommutierungsinformation ebenso wie die Drehzahl- oder
Geschwindigkeitsinformation aus den Sinus-/Cosinus-Signalen des
direkt an der Motorwelle angekoppelten Gebers abgeleitet wird.
Sicherheitsrelevante Aufgabe des Auswertesystems ist es, die vom
Geber gelieferten Signale zu diagnostizieren und Reaktionen im
Fehlerfall innerhalb einer Zeit auszuführen, die kurz genug ist,
gefährdende Situationen zu beherrschen. Die Beschreibung
sicherheitsrelevanter Anforderungen an das Auswertesystem ist
Gegenstand dieses Sicherheitshandbuchs.
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
9
Page 12
Generelles
2.3 Bestimmungsgemäße Verwendung
Das Produkt dient ausschließlich dazu, rotative Bewegungen oder
Kräfte, mit einem direkt angetriebenen Antriebsmodul zu übertragen.
Die integrierte Drehdurchführung dient ausschließlich zur
Übertragung von pneumatischer und elektrischer Energie.
• Das Produkt darf ausschließlich im Rahmen seiner angegebenen
technischen Daten, Maßen sowie vorgeschriebenen Maßbildern
und Betriebsbedingungen verwendet werden. Angegebene
Anzugsdrehmomente müssen eingehalten werden.
• Das Produkt ist zum Einbau in eine Maschine/Anlage bestimmt.
Die zutreffenden Richtlinien müssen beachtet und eingehalten
werden.
• Das Produkt ist für industrielle und industrienahe Anwendungen
bestimmt.
• Zur bestimmungsgemäßen Verwendung gehört auch das
Einhalten aller Angaben in dieser Anleitung.
• Betriebsarten mit kleinen Drehzahlen, Reversierbetrieb und
mechanische Vibrationen können die Lebensdauer des Produkts
verkürzen.
• Das Produkt darf nur innerhalb seiner Lebensdauer betrieben
und für Sicherheitsanwendungen verwendet werden. Nach
diesem Zeitraum können die Lager durch Verschleiß und
Ermüdung zum Ausfall führen. Daher muss das Produkt nach
Erreichen der Lebensdauer außer Betrieb genommen werden.
• Stromdurchgang durch die Kugellager (z. B. durch eingekoppelte
Ströme) vermeiden.
2.4 Sicherheitsgerichtete Funktionskette
Das Modul ist Teil einer Funktionskette, die im Allgemeinen aus
den Elementen Sensor (im Modul integriert), Logik und Aktor
besteht. Die für eine Anlage erforderliche Risikoreduzierung ergibt
sich durch Anwendung eines der jeweiligen Norm entsprechenden
Risikografen, der im Wesentlichen den für die erforderliche
Risikoreduzierung der gesamten Funktionskette zutreffenden
Kennwert festlegt (Safety Integrity Level; SIL bzw. Performance
Level; PL). Dem Modul selbst ist daher nur ein Teil des dem
jeweiligen Kennwert entsprechenden Gesamtrisikos zugeordnet.
10
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
Page 13
2.5 Sicherheitsrelevante Aufgabe des Auswertesystems
Es ist alleinige Aufgabe des Auswertesystems, Störungen, von
denen eine Gefährdung ausgehen kann, entsprechend der
Normenanforderungen zu erkennen. Das Modul ist nicht in der
Lage, aufgrund von geberinternen Diagnosen eigeninitiativ
Aktionen auszulösen.
WARNUNG
Es wird vorausgesetzt, dass der angeschlossene Servo-Umrichter
über normenkonforme Maßnahmen zur Erreichung eines
sicheren Zustands verfügt.
Generelles
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
11
Page 14
Sicherheitsrelevante Umsetzung
3 Sicherheitsrelevante Umsetzung
Bei Einhaltung der Vorgaben dieses Sicherheitshandbuchs ist eine
sicherheitsgerichtete Funktionskette geeignet, in Anwendung der
Klassifizierung SIL 2 gem. EN 62061 und IEC 61508 sowie PL d
gem. EN ISO 13849-1 eingesetzt zu werden.
Ziel ist es, sicherheitsgerichtete Funktionen in Bezug auf Drehzahl,
Drehrichtung und Stillstand sicher zu erfassen.
HINWEIS
Das vorliegende Handbuch beschreibt lediglich Anforderungen,
Rahmenbedingungen und Ausführungsbeispiele. Die detaillierte
Gestaltung der Schaltkreise im Auswertegerät sowie deren
normenkonforme Ausführung obliegt dem jeweiligen Anwender.
Sicherheitsfunktionen nach DIN EN 61800-5-2
Betriebsart Funktion Fehlererkennung und Fehlerbeherrschung
gem. Anmerkung Nr. Anmerkungen zur
Tabelle der Fehlerannahmen [}19]
SOS Safe operating stop Störungen der analogen Gebersignale Sinus
und Cosinus [}19]Verlust der mechanischen
Kopplung Gebergehäuse oder Versatz der
mechanischen Kopplung während des
Motorstillstands [}21]
Sinus-/Cosinus-Signalstillstand aufgrund
elektrischer Defekte oder durch Verlust der
mechanischen Kopplung Geberwelle /
Motorwelle während des Motorlaufs [}22]
Oszillationen eines oder mehrer Ausgänge
[}23] bis Betrieb des Gebersystems
außerhalb zulässiger Temperaturbereiche
[}24]
SLS Safely-limited speed Störungen der analogen Gebersignale Sinus
SS1 Safe stop 1
SS2 Safe stop 2
und Cosinus [}19] bis Betrieb des
Gebersystems außerhalb zulässiger
Temperaturbereiche [}24]
SLA Safely-limited
acceleration
SAR Safe acceleration range
SSR Safe speed range
SDI Safe direction
STO (informativ) Safe torque off Die Ansteuerung von STO erfolgt im
Allgemeinen im Falle der Fehlererkennung
12
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
Page 15
Sicherheitsrelevante Umsetzung
HINWEIS
Es wird davon ausgegangen, dass die erforderlichen
Bewegungsgrößen, Vergleiche mit Limitierungen und Zeiten im
Auswertegerät normenkonform sicher erfasst und verarbeitet
werden.
Nicht bezogene, sicherheitsgerichtete Betriebsarten sind
Betriebsarten, die im Zusammenhang mit absoluter Lage oder
absoluter Position stehen.
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
13
Page 16
Anforderungen und Systemvoraussetzungen
4 Anforderungen und Systemvoraussetzungen
4.1 Anforderungen an den Anwender
Der hier wiedergegebene Überblick über relevante Normen und
deren Anwendung soll lediglich als Leitfaden gelten. Die
Konstruktion von Maschinen oder Maschinensteuerungen
erfordert ein detailliertes Verständnis der technischen Details und
der relevanten Normen.
Entsprechende Kenntnisse werden vorausgesetzt. Insbesondere:
• Kenntnisse zu Aufbau, Wirkungsweise und Betrieb von
dreiphasigen, elektronisch kommutierten SynchronServomotoren.
• Kenntnisse zu Aufbau, Wirkungsweise und Betrieb von
Servoumrichtern, deren Regelungs- und Leistungselektronik.
• Kenntnisse zu Aufbau, Wirkungsweise und Betrieb von
Sicherheitsfunktionen.
• Spezifische Kenntnisse zur Umsetzung technischer und
organisatorischer Vorgaben der in diesem Dokument
aufgeführten und anderer relevanter Sicherheitsnormen.
• Kenntnisse zu den eingesetzten Motorfeedback-Gebersystemen
und der Schnittstelle HIPERFACE®.
14
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
Page 17
Anforderungen und Systemvoraussetzungen
4.2 Anforderung an das Reglersystem
Reglersystem Anforderung
Ermittlung der Rotorlage Basierend auf den Sinus-/Cosinus-Zyklen des
Gebersystems in Verbindung mit dem digitalen
Absolutwert beim Systemstart
Wirkungsprinzip der Kommutierung Elektronische, direkte Kopplung der
Pollagenstellung mit der Stromvektorvorgabe für
das dreiphasige Drehfeld. Es wird davon
ausgegangen, dass ein Stillstand der
Kommutierung zum Stillstand des Motors führt
Ermittlung der Drehzahl Basierend auf den gleichen Signalen (Sinus/
Cosinus-Zyklen des Gebersystems), die auch zur
Generierung der Kommutierung genutzt werden
Diagnosedeckungsgrad (DC) zur
Fehlererkennung der Gebersignale
Sicherheitsgerichtete
Fehlererkennung und
Fehlerbeherrschung
4.3 Anforderungen an den elektrischen Anschluss des Moduls
Originalzubehör einsetzen.
Die Anschlussleitung muss geschirmt ausgeführt werden (gemäß
den Anforderungen der Betriebsanleitung).
4.4 Anforderungen an die mechanische Ankopplung des Moduls
Siehe Kapitel Mitgeltende Unterlagen [}7]
• Betriebsanleitung ERD
• Technische Daten der Miniatur-Schwenkeinheiten ERD
04/08/12 gemäß Motordatenblatt und Programmübersicht
• Montagevorschrift für die Anlage in der die MiniaturSchwenkeinheit zum Einsatz kommen soll
Mindestens 90%
Diagnose muss innerhalb der Prozessreaktionszeit
ausgeführt werden
Beherrschung der Fehlersituation Tabelle der
Fehlerannahmen für Motorfeedback-System
[}17]
• MRL 2006/42/EG
• Arbeitsmittelbenutzungsrichtlinie 89/655/EWG
• Unfallverhütungsvorschriften und Sicherheitsregeln
• sonstige relevante Sicherheitsvorschriften
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
15
Page 18
Sicherheitstechnische Kenngrößen des Motorfeedback-Systems
5 Sicherheitstechnische Kenngrößen des
Motorfeedback-Systems
Weitere technische Daten siehe Montage- und Betriebsanleitung
des Produkts.
Sicherheits-Integritätslevel SIL 2 (IEC 61508)
SILCL2 (EN 62061)
Pl d (EN ISO 13849)
Kategorie 3 (EN ISO 13849)
Testrate Nicht erforderlich
Maximale Anforderungsrate Kontinuierlich
(Analogsignale)
PFHD: Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro
Stunde (Bei Diagnosedeckungsgrad von 90%, der durch das
externe Antriebssystem erreicht werden muss)
TM (Gebrauchsdauer) 20 Jahre (EN ISO 13849)
MTTFD: Zeit bis zum gefahrbringenden Ausfall 874 Jahre (EN ISO 13849)
DCavg (muß durch externe Steuerung erreicht werden) 90 %
Sicherer Fehleranteil (SFF) > 90 % (DIN EN 62061 /
1,3 x 10-8 [1/h]
IEC 61508)
16
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
Page 19
Diagnoseanforderung und Fehlererkennung
6 Diagnoseanforderung und Fehlererkennung
6.1 Tabelle der Fehlerannahmen für Motorfeedback-System
Die Norm IEC 61800-5-2 beschreibt in Tabelle D.16
Fehlerannahmen zum Einsatz von motion and position feedback
sensors. Die Vorgaben dieser Norm und weitere Fehlerannahmen,
sowie deren Erkennung- und Beherrschungsmöglichkeiten sind in
folgender Tabelle dargestellt:
Fehlerannahme Fehlererkennung /
Fehlerbeherrschung Siehe
Kapitel
Kurzschlüsse zwischen zwei beliebigen Leitern Störungen der analogen
Unterbrechung beliebiger Leiter
Eingang oder Ausgang stuck at 0 oder 1, einzeln oder
zeitgleich bei verschiedenen Eingängen / Ausgängen
Unterbrechung oder hochimpedanter Zustand einzeln oder
zeitgleich bei verschiedenen Eingängen / Ausgängen
Gebersignale Sinus und
Cosinus [}19]
Absenkung oder Anstieg von Signalausgangsamplituden
Oszillationen eines oder mehrerer Ausgänge Störungen der analogen
Gebersignale Sinus und
Cosinus [}19] Oszillationen
eines oder mehrer Ausgänge
[}23]
Variationen der Phasenlage zwischen Ausgangssignalen Störungen der analogen
Gebersignale Sinus und
Cosinus [}19]
Verlust der mechanischen Kopplung Gebergehäuse /
Motorgehäuse während des Stillstands
Verlust der mechanischen
Kopplung Gebergehäuse oder
Versatz der mechanischen
Kopplung während des
Motorstillstands [}21]
Sinus-/CosinusSignalstillstand aufgrund
elektrischer Defekte oder
durch Verlust der
mechanischen Kopplung
Geberwelle / Motorwelle
während des Motorlaufs
[}22]
Verlust der mechanischen Kopplung Gebergehäuse /
Motorgehäuse während des Motorlaufs
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
Verlust der mechanischen
Kopplung Gebergehäuse /
Motorgehäuse während des
Motorlaufs [}22]
17
Page 20
Diagnoseanforderung und Fehlererkennung
Fehlerannahme Fehlererkennung /
Fehlerbeherrschung Siehe
Kapitel
Verlust der Maßverkörperung Störungen der analogen
Gebersignale Sinus und
Cosinus [}19] Lösung der
Maßverkörperung
(Codescheibe) [}23]
Ausfall der Sendediode im Geber Störungen der analogen
Gebersignale Sinus und
Cosinus [}19]
Statische Ausgangssignale eines oder mehrerer Ausgänge
innerhalb der Versorgungsspannung
Störungen der analogen
Gebersignale Sinus und
Cosinus [}19] Sinus-/
Cosinus-Signalstillstand
aufgrund elektrischer
Defekte oder durch Verlust
der mechanischen Kopplung
Geberwelle / Motorwelle
während des Motorlaufs
[}22]
Veränderung der Signalform Störungen der analogen
Gebersignale Sinus und
Cosinus [}19]
Austausch der Ausgangssignale Sin/Cos Austausch der
Ausgangssignale Sin/Cos
[}23]
Unter- und Überschreitung der zulässigen GeberVersorgungsspannung
Überwachung der vom
Auswertegerät
ausgegebenen GeberVersorgungspannung [}24]
Betrieb innerhalb unzulässiger Temperaturbereiche Betrieb des Gebersystems
außerhalb zulässiger
Temperaturbereiche [}24]
Betrieb unter überhöhten Schockbelastungen (Bremsung) Betrieb unter erhöhter
Schockbelastung (Bremsung)
[}25]
18
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
Page 21
Diagnoseanforderung und Fehlererkennung
6.2 Anmerkungen zur Tabelle der Fehlerannahmen
6.2.1 Störungen der analogen Gebersignale Sinus und Cosinus
Ziel:
Beispiel:
Erkennung aller unzulässigen Pegelveränderungen in der Relation
von Sinus und Cosinus.
Durch Bildung der Größe k durch folgende mathematische
Beziehung
k² = k1² * sin² + k2² * cos²
oder anderer geeigneter mathematischer Verfahren ist es möglich,
den Gleichspannungspegel, der den Signalen Sinus/Cosinus
gemeinsam zugrunde liegt, zu erfassen. Der Vergleich mit
entsprechenden maximalen und minimalen Limitierungen
ermöglicht eine genaue und schnell reagierende Erkennung von
unzulässigen Abweichungen, unabhängig von der momentanen
Winkelstellung.
Ermittlung des Signals k
Zur Bestimmung des Diagnosedeckungsgrades wurde ein
zweidimensionales Modell verwendet, das der Bewertung der
Signalrelationen und der damit verbundenen
Diagnosemöglichkeiten anschaulich Rechnung trägt (LissajousFigur). Dabei bilden die Nutzsignale in ihrer Relation zueinander
einen Nutzsignalring, dessen Flächenverhältnis zur Gesamtfläche
zur Bestimmung des Diagnosedeckungsgrads (DC) herangezogen
wurde.
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
19
Page 22
Diagnoseanforderung und Fehlererkennung
Schaltungsmodell zur Lissajous-Darstellung
Ermittlung des Diagnosedeckungsgrades
Prüfung der Grenzwerte des Signals k
nach differenzieller Auswertung
innerhalb eines maximalen
Spannungsbereichs von 0,5 bis 4,5V.
Die Mitte des Spannungsbereichs (2,5V)
entspricht hierbei dem Wert k = 0
Siehe Anmerkung Aus dem sich
ergebenden
Flächenverhältnis
resultierender
Diagnosedeckungsgrad
(DC)
Beispiel: minimaler Grenzwert für k 0,25V 90%
Beispiel: maximaler Grenzwert für k 0,75V
20
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
Page 23
Diagnoseanforderung und Fehlererkennung
Anmerkung:
Die angegebenen Werte ergeben sich aus einer angesetzten
Spannungstoleranz von nominal 0,5V zu -50% und +50%. Durch
Ausweitung der nominalen Spannungstoleranz der SIN/COSSignale (-20% und +10%) entstehen somit praxisgerechte Werte.
Korrelationen mit den der Toleranzen der Signale REFSIN und
REFCOS sind nicht berücksichtigt, da sich diese aufgrund der Art
der Signalgenerierung im Geber bei der gezeigten
Differenzverstärkung (siehe Bild "Schaltungsmodell zur LissajousDarstellung") kompensieren. Realisierungen mit abweichenden
Grenzwerten und somit anderen Werten für DC sind möglich.
HINWEIS
Es wird empfohlen, die Grenzwerte zur Vermeidung von
Fehlauslösungen nicht zu eng zu setzen.
Es wird davon ausgegangen, dass die Verarbeitung der Signale
unter der Verwendung von Operationsverstärkern erfolgt, die mit
5V gespeist werden.
Fehlererkennung
6.2.2 Verlust der mechanischen Kopplung Gebergehäuse oder Versatz
der mechanischen Kopplung während des Motorstillstands
Die folgende Betrachtung geht davon aus, dass die fehlende
Kopplung von Gebergehäuse und Motorgehäuse einen
Positionsversatz erzeugt, da das Gebergehäuse selbst indirekt
durch die Anschlusskabel mit dem Motorgehäuse mechanisch
verbunden bleibt.
Keine sichere Fehlererkennungsmöglichkeit bei Positionsversatz im
Winkelbereich kleiner eines Polpaarbereichs. Bei größerem Versatz
kann es zum Mitkoppeln des Stromregelkreises kommen. Die
dadurch erfolgende unzulässige Bewegung muss durch das
Antriebssystem erkannt werden.
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
21
Page 24
Diagnoseanforderung und Fehlererkennung
6.2.3 Verlust der mechanischen Kopplung Gebergehäuse /
Motorgehäuse während des Motorlaufs
Die folgende Betrachtung geht davon aus, dass die fehlende
Kopplung von Gebergehäuse und Motorgehäuse einen
Positionsversatz erzeugt, da das Gebergehäuse selbst indirekt
durch die Anschlusskabel mit dem Motorgehäuse mechanisch
verbunden bleibt.
Bei einem Winkelversatz größer der Hälfte eines MotorPolpaarbereichs kann es durch Fehlorientierung der
Kommutierung zum Mitkoppeln des Stromregelkreises kommen.
Die dadurch erfolgende unzulässige Erhöhung der Geschwindigkeit
oder unzulässige Drehrichtung muss durch das Empfängersystem
erkannt werden.
In Abhängigkeit der Applikation (Reaktionszeit, maximale
Beschleunigung) muss daher ein Puffer zwischen gewünschter und
maximal zulässiger Geschwindigkeit eingehalten werden.
6.2.4 Sinus-/Cosinus-Signalstillstand aufgrund elektrischer Defekte
Fehlererkennung/
Fehlerbeherrschung
HINWEIS
Eine Erkennung des Fehlers vor Eintritt der Mitkopplung durch die
Prozessreaktion (schwaches Drehmoment, Schleppfehler) ist
wahrscheinlich, jedoch nicht sicher.
oder durch Verlust der mechanischen Kopplung Geberwelle /
Motorwelle während des Motorlaufs
Ein Stillstand der Sinus-/Cosinus-Zyklen des Gebers führt bei
Einsatz an einem Synchronmotor zum Stillstand der
Kommutierung. Es wird als gegeben vorausgesetzt, dass das
angewendete Regelverfahren so wirkt, dass als Folge ein
Verharren der durch den Stromregelkreis des Umrichters
eingeprägten Stromvektoren auf einer festen Position und damit
ein Halten des Polrades in der entsprechenden Lage erfolgt. Der
Fehler erzeugt somit eine Reaktion in die sichere Richtung.
ACHTUNG
Bei Einsatz des Gebersystems an einem Asynchronmotor muss
der Antriebsregler durch geeignete Maßnahmen sicherstellen,
dass ein ungültiger Signalstillstand erkannt wird und im Fehlerfall
eine Fehlerreaktion in die sichere Richtung eingeleitet wird.
22
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
Page 25
Diagnoseanforderung und Fehlererkennung
6.2.5 Lösung der Maßverkörperung (Codescheibe)
Fehlererkennung
Fehlererkennung
Das Lösen der Maßverkörperung kann folgende Situationen
herbeiführen:
• Durch den Verlust der Abblendung des Senders kommt es zu
einem maximalen Signalpegel in beiden Kanälen. Dies kann
gemäß Störungen der analogen Gebersignale Sinus und Cosinus
[}19] erkannt werden.
• Eine Fehlausrichtung der Position der Codescheibe zum
optischen Abtaster erzeugt ebenfalls Signalpegel in den Kanälen
A und B, die nach Störungen der analogen Gebersignale Sinus
und Cosinus [}19] diagnostiziert werden können.
• Sollte sich ein Verlust der Maßverkörperung wie ein
Geberwellenbruch darstellen, greift die Fehlererkennung gemäß
Sinus-/Cosinus-Signalstillstand aufgrund elektrischer Defekte
oder durch Verlust der mechanischen Kopplung Geberwelle /
Motorwelle während des Motorlaufs [}22]
6.2.6 Oszillationen eines oder mehrer Ausgänge
Oszillationen auf den Signalausgängen können wie folgt detektiert
werden:
• Führen die Oszillationen zu unzulässigen Signalpegeln in einem
oder beiden Kanälen, lässt sich die Fehlererkennung nach
Störungen der analogen Gebersignale Sinus und Cosinus [}19]
heranziehen.
Fehlerausschluß
• Bei Einsatz eines geeigneten Phasendiskriminators für die
Erzeugung von Zählimpulsen im Auswertegerät wird sich die
Oszillation eines Eingangssignals als Vor- und Rückzählen eines
Inkrements auswirken. Der daraus resultierende Fehler
entspricht dem Winkelbetrag eines Inkrements (siehe
Betriebsanleitung/Datenblatt des verwendeten Gebers).
• Bei Oszillation beider Signale (Sinus und Cosinus) kann durch
Aufsummierung von Zählfehlern ein Positionsversatz entstehen.
In diesem Fall gelten die Ausführungen von Verlust der
mechanischen Kopplung Gebergehäuse / Motorgehäuse
während des Motorlaufs [}22]
6.2.7 Austausch der Ausgangssignale Sin/Cos
Dieser Fehler kann ausgeschlossen werden, da Sinus- bzw.
Cosinussignale gesondert erfasst und verarbeitet werden. Es gibt
keine Multiplexer für diese Signale im Geber.
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
23
Page 26
Diagnoseanforderung und Fehlererkennung
6.2.8 Überwachung der vom Auswertegerät ausgegebenen GeberVersorgungspannung
Fehlererkennung
Fehlererkennung
Unzulässige Spannungspegel der Geber-Versorgungsspannung
werden durch Maßnahmen gem. Störungen der analogen
Gebersignale Sinus und Cosinus [}19] erkannt; insbesondere hilft
die dort aufgeführte Untergrenze für die Vektorlänge, auf
Unterspannung zu überwachen.
Zur Eingrenzung von Fehlern gemeinsamer Ursache und zur
Fehlerfrüherkennung ist die Versorgungsspannung des Gebers auf
Einhaltung der im Produktmanual gegebenen Grenzwerte zu
überwachen.
6.2.9 Betrieb des Gebersystems außerhalb zulässiger
Temperaturbereiche
Wenn nicht sichergestellt werden kann, dass das Gebersystem im
zulässigen Temperaturbereich betrieben wird, muss vom
Systembetreiber eine geeignete Maßnahme ergriffen werden,
damit der spezifizierte Temperaturbereich eingehalten wird.
Fehler, die aus dem Betrieb bei unzulässigen Temperaturen
resultieren, werden durch Maßnahmen gemäß Störungen der
analogen Gebersignale Sinus und Cosinus [}19] erkannt.
Zur (nicht sicherheitsgerichteten) Fehlerfrüherkennung kann durch
zyklische Abfrage des Geberstatus über den Parameterkanal der
HIPERFACE®-Schnittstelle kann eine entsprechende Meldung
ausgelesen und weiterverarbeitet werden.
24
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
Page 27
Diagnoseanforderung und Fehlererkennung
6.2.10 Betrieb unter erhöhter Schockbelastung (Bremsung)
Fehlererkennung
Bei Einsatz von Motorbremsen im Antriebssystem, in dem der Geber
eingesetzt wird, kann es zu überhöhten Schockbelastungen kommen,
die die im Datenblatt des Gebers spezifizierten Grenzen für Schocks
(gemäß Norm EN 60068-2-27) verletzen.
Überhöhte Schockbelastung kann zu mechanischen Defekten des
Gebersystems führen, insbesondere zu einer Beschädigung oder
Lösung der Maßverkörperung (Codescheibe).
Derartige Fehler sind durch die Maßnahmen zur Fehlererkennung in
den Kapiteln Störungen der analogen Gebersignale Sinus und Cosinus
[}19] und Lösung der Maßverkörperung (Codescheibe) [}23]
beherrschbar.
ACHTUNG
Der Hersteller eines Motors bzw. Antriebssystems muss bei
möglicher bzw. geplanter Überschreitung der spezifizierten
Schockgrenzen Systemtests durchführen, die aufzeigen, dass
durch die überhöhten Schockbelastungen nur die Fehler im
Gebersystem auftreten, die durch die in diesem Handbuch
aufgeführten Maßnahmen entdeckt werden können.
Insbesondere zur Bewertung von geberinternen Vorschädigungen
kann es dazu nötig sein, die Systemtests in Kooperation mit
SCHUNK durchzuführen.
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
25
Page 28
Zusätzliche Maßnahmen zur Fehlererkennung (Empfehlung)
7 Zusätzliche Maßnahmen zur Fehlererkennung
(Empfehlung)
Die Verfügbarkeit einer Anlagenfunktion kann durch Nutzung der
HIPERFACE®-Prozessdatenschnittstelle weiter gesteigert werden.
Die im Folgenden beschriebenen Maßnahmen sind aufgrund ihrer
relativ langsamen Reaktionszeiten nicht Bestandteil der
normativen Sicherheitsbetrachtung, eröffnen jedoch einige
Möglichkeiten zur Früherkennung von Problemzuständen.
Dadurch wird ein flexibles und vorausschauendes
Fehlermanagement ermöglicht (z. B. geführtes Abfahren von
Produktionsprozessen).
Durch Abfrage der RS485 Prozessdatenschnittstelle sind folgende
Diagnosen möglich:
Fehlererkennung Maßnahmen zur Behebung
Schleichender Positionsversatz im
Auswertegerät
Geberinnentemperatur (verpflichtend, wenn
Betrieb innerhalb der spezifizierten Daten
nicht sichergestellt werden kann; siehe IEC
61508-2 Tabelle A17)
Senderstrom kritisch (Verschmutzung,
Senderbruch)
Zyklische Abfrage der geberintern
gebildeten Absolutposition und Vergleich
mit der im Auswertegerät auf Basis der SIN/
COS-Signale gebildeten Position
Zyklische Abfrage des Geberstatus
26
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
Page 29
Gestaltungsbeispiel: Blockschaltbild eines zweikanaligen
8 Gestaltungsbeispiel: Blockschaltbild eines
zweikanaligen Systems
HINWEIS
Das folgende Gestaltungsbeispiel stellt nur eine mögliche
Gestaltungsvariante dar. Andere Ausführungsvarianten sind
möglich. Die Nutzung des dargestellten Beispiels erfolgt in
alleiniger Verantwortung des Anwenders dieses
Sicherheitshandbuchs. Dies betrifft insbesondere die Einhaltung
der sicherheitstechnischen Anforderungen.
Systems
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
27
Page 30
Glossar
9 Glossar
DC Diagnostic Coverage
EMC Electromagnetic compatibility
HFT Hardware Fault Tolerance
Cat Category (to EN 954) / Designated Architecture (to EN ISO 13849)
PFD Probability of dangerous Failure on Demand
PFH Probability of dangerous Failures per Hour
PL Performance Level
SAR Safe Acceleration Range
SDI Safe Direction
SIL Safety Integrity Level
SLA Safely Limited Acceleration
SLS Safely Limited Speed
SOS Safe Operating Stop
SS1 Safe Stop 1
SS2 Safe Stop 2
SSR Safe Speed Range
STO Safe Torque Off
28
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
Page 31
10 Anhang
Weiterführende Informationen
2 Zertifikat Elektrische Miniatur-Schwenkeinheit ERD mit
eingebauten Sicherheitsdrehgeber [}30]
Anhang
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
29
Page 32
Anhang
10.1 Zertifikat Elektrische Miniatur-Schwenkeinheit ERD mit
eingebauten Sicherheitsdrehgeber
30
02.00 | ERD | Sicherheitshandbuch | de | GAS372884
Page 33
Safety manual
ERD - electrical miniature parallel gripper
swivel unit
Requirements for Evaluating a Safe Module with HIPERFACE® Motor
Feedback Systems in Combination with Inverters for Safe Electrical Servo
Drive Systems
Page 34
Imprint
Imprint
Copyright:
This manual is protected by copyright. The author is SCHUNK GmbH & Co. KG. All rights
reserved. Any reproduction, processing, distribution (making available to third parties),
translation or other usage - even excerpts - of the manual is especially prohibited and
requires our written approval.
Technical changes:
We reserve the right to make alterations for the purpose of technical improvement.
Document number: GAS372884
Version: 02.00|29/03/2019|en
© SCHUNK Electronic Solutions GmbH
All rights reserved.
Dear Customer,
thank you for trusting our products and our family-owned company, the leading
technology supplier of robots and production machines.
Our team is always available to answer any questions on this product and other solutions.
Ask us questions and challenge us. We will find a solution!
Best regards,
Your SCHUNK team
SCHUNK Electronic Solutions GmbH
Am Tannwald 17
D-78112 St. Georgen
Tel. +49-7725-9166-0
Fax +49-7725-9166-5055
electronic-solutions@de.schunk.com
schunk.com
32
02.00 | ERD | Sicherheitshandbuch | en | GAS372884
Page 35
Table of contents
Table of contents
1 About this manual ..................................................................................................34
1.1 Presentation of Warning Labels .........................................................................34
1.2 Applicable documents ........................................................................................ 35
2 General...................................................................................................................36
2.1 Safety-Relevant Use of the Function Channels .................................................. 37
2.2 Range of Application .......................................................................................... 37
2.3 Intended use....................................................................................................... 38
2.4 Safety-Oriented Function Chain .........................................................................38
2.5 Safety Function of the Evaluation System .......................................................... 38
3 Safety-Related Implementation ..............................................................................39
4 Requirements and System Requirements................................................................40
4.1 Requirements for the User................................................................................. 40
4.2 Requirement for the Control System ................................................................. 41
4.3 Requirements for the Electrical Connection of the Module............................... 41
4.4 Requirements for the Mechanical Connection of the Module...........................41
5 Characteristic Safety Values for the Motor Feedback System ..................................42
6 Diagnostic Requirement and Error Detection ..........................................................43
6.1 Table of Error Presumptions for Motor Feedback Systems................................ 43
6.2 Notes on the Error Presumption Table............................................................... 45
6.2.1 Malfunctions in the analog sine and cosine transducer signals .............45
6.2.2 Loss of Mechanical Connection Between Transducer Housing or Offset of
The Mechanical Connection While the Motor is Shut Down .................47
6.2.3 Loss of Mechanical Connection Between Transducer Housing and Motor
Housing While the Motor is Running .....................................................48
6.2.4 Shutdown of the Sine/Cosine Signal due to Electrical Defects or Loss of
the Mechanical Connection Between the Transducer Shaft and the
Motor Shaft While the Motor is Running ..............................................48
6.2.5 Detachment of Material Measure (Code Disc) ......................................49
6.2.6 Oscillations at One or More Outputs......................................................49
6.2.7 Swapping of Output Signals Sin/Cos.......................................................49
6.2.8 Monitoring the Transducer Supply Voltage Output by the Evaluation
Device .....................................................................................................50
6.2.9 Operating the Transducer System Outside of Permissible Temperature Ranges...50
6.2.10 Operation Under Excessive Shock (Braking)...........................................51
7 Additional Error Detection Measures (Recommended) ...........................................52
8 Example of How to Design a Block Diagram for a Two-Channel System...................53
9 Glossary..................................................................................................................54
10 Appendix ................................................................................................................55
10.1 Electrical Miniature Rotary Actuator ERD with integrated safety rotation encoder..56
02.00 | ERD | Sicherheitshandbuch | en | GAS372884
33
Page 36
About this manual
1 About this manual
This manual contains important information for a safe and
appropriate use of the product.
This manual is an integral part of the product and must be kept
accessible for the personnel at all times.
Before starting work, the personnel must have read and
understood this operating manual. Prerequisite for safe working is
the observance of all safety instructions in this manual.
Illustrations in this manual are provided for basic understanding
and may differ from the actual product design.
In addition to these instructions, the documents listed under Link
Mitgeltende Unterlagen are applicable.
1.1 Presentation of Warning Labels
To make risks clear, the following signal words and symbols are
used for safety notes.
DANGER
Danger for persons!
Non-observance will inevitably cause irreversible injury or death.
WARNING
Dangers for persons!
Non-observance can lead to irreversible injury and even death.
CAUTION
Dangers for persons!
Non-observance can cause minor injuries.
NOTICE
Material damage!
Information about avoiding material damage.
34
02.00 | ERD | Sicherheitshandbuch | en | GAS372884
Page 37
About this manual
1.2 Applicable documents
• General terms of business
• Operating manual for ERD
• Start-up manual for ERD
• Technical data for ERD 04/08/12 mini swivel units according to
motor data sheet and program overview
• Documentation for the used drive regulator
• Assembly instructions for the system in which the mini swivel
unit shall be used
• Sick operating manual 8014124 type: SKM36S-HFA0-K02
Date: 2016-04-05 (www.sick.com)
• Sick data sheet 8010614 type: SKS/SKM36
Date: 2015-11-18 (www.sick.com)
• Sick Hiperface safety implementation manual 8014120
Type: SKM36S-HFA0-K02 Date: 2010-12-21 (www.sick.com)
• Sick 8010701 Hiperface interface manual
Date: 2016-03-10 (www.sick.com)
• Machinery Directive 2006/42/EC
• Minimum safety and health requirements for the use of work
equipment by workers at work 2009/104/EC
• Accident prevention regulations and safety rules
• Other relevant safety rules
02.00 | ERD | Sicherheitshandbuch | en | GAS372884
35
Page 38
General
2 General
General Illustration of a Servo Control Circuit
The module with the HIPERFACE® interface is designed for
dynamic, precise operation of servo control circuits.
Information Channels
Function
Channel
Process data
channel
Parameter
channel
The entire system, which comprises the module, evaluation
system and servo inverters, forms a control circuit (see Fig. 1). The
transducer signals are used to derive actual values for
commutation, rotary speed, direction of rotation and position.
Due to its high level of electrical and mechanical reliability and its
immunity to electromagnetic and electrostatic interference (EMC),
the safety-function-certified module with the HIPERFACE®
interface is suitable for use in function chains of safety-related
machine functions.
The sensor signals are transmitted to the evaluation device via the
HIPERFACE® interface. This has the information channels shown in
the following table:
Function Transmission Speed
Analog sine/cosine cycle output for
Real-time
direction-oriented position evaluation
using interpolation and counter
RS485 interface for monitoring and
transmitting absolute position data and
Several milliseconds,
depending on requirement
other data via the evaluation system
36
02.00 | ERD | Sicherheitshandbuch | en | GAS372884
Page 39
2.1 Safety-Relevant Use of the Function Channels
Due to the relatively long transmission time of the parameter
channel, it must be assumed that the error detection time
resulting from this data is longer than the tolerable response time.
As such, the standard and safety-oriented observation of the
system is based solely on the process data channel.
However, in certain cases it is necessary to use the parameter
channel in order to test nominal ambient conditions (transducer
temperature). It is recommended to use the parameter channel
for early error detection and error management.
2.2 Range of Application
The safety-oriented use of the module together with the
integrated transducer system with sine/cosine output refers to its
use in combination with servo systems that work with three-phase
AC synchronous motors, where the commutation, rotary speed
and linear speed information for the servo systems is derived from
the sine/cosine signals of the transducer that is connected directly
to the motor shaft.
The evaluation system's safety function is to diagnose the signal
provided by the transducer and, in case of an error, to respond
quickly enough to overcome hazardous situations. The description
of safety-related requirements for the evaluation system is a
component of this safety operating manual.
General
02.00 | ERD | Sicherheitshandbuch | en | GAS372884
37
Page 40
General
2.3 Intended use
The product is designed exclusively to transmit rotating
movements or forces by means of a directly driven drive module.
The integrated rotary feed-through serves exclusively to transmit
pneumatic and electric energy.
• The product may only be used within the scope of its specified
technical data, dimensions, prescribed dimension drawings and
operating conditions. The specified tightening torque must be
adhered to.
• The product is intended for installation in a machine/system.
The applicable guidelines must be observed and complied with.
• The product is intended for industrial and industry-oriented use.
• Appropriate use of the product includes compliance with all
instructions in this manual.
• Operating modes with low speeds of rotation, reverse operation
and mechanical vibrations may reduce the product's service life.
• The product may only be operated within its service life and
used for safety applications. After this period, the bearings may
fail due to wear and fatigue. After its service life has been
reached, the product must therefore be taken out of operation.
• Avoid passage of current through the ball bearings (e.g. by
coupled currents).
2.4 Safety-Oriented Function Chain
The module is part of a function chain that generally comprises of
the sensor (integrated into the module), logic circuit and actuator.
The necessary risk reduction for an automated system is
determined using one of the risk graphs in accordance with the
relevant standard. The graph basically defines the applicable
characteristic value for the risk reduction required across the
entire function chain (Safety Integrity Level; SIL or Performance
Level, PL). As such, the module itself is only assigned part of the
overall risk from the relevant characteristic value.
2.5 Safety Function of the Evaluation System
It is the sole function of the evaluation system to detect
malfunctions that can be presumed to be dangerous in accordance
with the requirements of the standards. The module cannot
independently trigger actioned based on internal transducers
diagnostics.
WARNING
The connected servo inverter must possess the measures
required as per the standards in order to ensure a safe state.
38
02.00 | ERD | Sicherheitshandbuch | en | GAS372884
Page 41
3 Safety-Related Implementation
If the specifications in this safety operating manual are observed, a
safety-oriented function chain is suitable for use in accordance
with the classification SIL 2 as per EN 62061 and IEC 61508, and PL
d as per EN ISO 13849-1.
The aim is to measure safety functions with regard to rotary
speed, direction of rotation and shutdown.
NOTE
This manual simply describes the requirements, framework
conditions and design examples. It is the responsibility of the user
to design the details of their own circuits in the evaluation device
and ensure that they comply with the relevant standards.
Safety Functions in Accordance with DIN EN 61800-5-2
Safety-Related Implementation
Operating
Mode
Function Error Detection and Resolution acc. to Note no. Notes on
the Error Presumption Table [}45]
SOS Safe operating stop Malfunctions in the analog sine and cosine transducer
signals [}45]Loss of Mechanical Connection Between
Transducer Housing or Offset of The Mechanical
Connection While the Motor is Shut Down [}47]
Shutdown of the Sine/Cosine Signal due to Electrical
Defects or Loss of the Mechanical Connection Between
the Transducer Shaft and the Motor Shaft While the
Motor is Running [}48]
Oscillations at One or More Outputs [}49] up to
Operating the Transducer System Outside of Permissible
Temperature Ranges [}50]
SLS Safely-limited speed Malfunctions in the analog sine and cosine transducer
SS1 Safe stop 1
SS2 Safe stop 2
signals [}45] up to Operating the Transducer System
Outside of Permissible Temperature Ranges [}50]
SLA Safely limited speed
SAR Safe acceleration
range
SSR Safe speed range
SDI Safe direction
STO
Safe torque off STO is generally activated when an error is detected
(informative)
NOTE
It is assumed that the necessary movement values, comparisons
with limitations and times in the evaluation device have been
recorded and processed reliably.
Non-referenced, safety-oriented operating modes are related
directly to the absolute position.
02.00 | ERD | Sicherheitshandbuch | en | GAS372884
39
Page 42
Requirements and System Requirements
4 Requirements and System Requirements
4.1 Requirements for the User
The overview of the relevant standards and their application
provided here is intended solely as a guideline. The engineering
design of machines and machine control systems requires an indepth understanding of the technical details and relevant
standards.
A suitable level of knowledge is required. In particular, this
includes:
• An understanding of the design, functionality and operation of
three-phase, electronically commutated, synchronous servo
motors.
• An understanding of the design, functionality and operation of
servo motors and their control and power electronics.
• An understanding of the design, functionality and operation
safety functions.
• Specific knowledge of how to implement the technical and
organizational specifications contained in this document and
other relevant safety standards.
• An understanding of the motor feedback transducer systems
and the HIPERFACE® interface.
40
02.00 | ERD | Sicherheitshandbuch | en | GAS372884
Page 43
Requirements and System Requirements
4.2 Requirement for the Control System
Control System Requirement
Calculation of the rotor position Based on the sine/cosine cycles of the transducer
system in combination with the digital absolute
value when the system starts
The functional principle of
commutation
Direct electronic connection between the pole
positioning and the current vector specification for
the three-phase field of rotation. It is assumed that
a commutation shutdown will cause the motor to
shut down
Calculation of the rotary speed Based on the same signals used to generate the
commutation (sine/cosine cycles of the transducer
system)
Diagnostic coverage (DC) for error
detection in the transducer signals
At least 90%
Diagnostics must be performed within the process
response time
Safety-oriented error detection and
resolution
Resolution of the error situation Table of Error
Presumptions for Motor Feedback Systems [}43]
4.3 Requirements for the Electrical Connection of the Module
Use original accessories.
The connecting cable must be shielded (in accordance with the
requirements of the operating manual).
4.4 Requirements for the Mechanical Connection of the Module
See Chapter Applicable documents [}35]
• Operating manual for ERD
• Technical data for ERD 04/08/12 miniature rotary actuators
given on motor data sheet and program overview
• Assembly instructions for the automated system in which the
miniature rotary actuator is to be used
• Machinery Directive 2006/42/EC
• Use of Work Equipment Directive 89/655/EEC
• Accident prevention regulations and safety rules
• Other relevant safety rules
02.00 | ERD | Sicherheitshandbuch | en | GAS372884
41
Page 44
Characteristic Safety Values for the Motor Feedback System
5 Characteristic Safety Values for the Motor Feedback
System
Please refer to the product's Assembly and Operating Manual for
more technical information.
Safety Integrity Level SIL 2 (IEC 61508)
SILCL2 (EN 62061)
Pl d (EN ISO 13849)
Category 3 (EN ISO 13849)
Test rate Not required
Maximum requirement rate Continuous (analog
signals)
PFHD: Probability of a dangerous failure per hour (with
diagnostic coverage of 90%, which must be achieved using the
external drive system)
TM (usage period) 20 years (EN ISO 13849)
MTTFD: Time to dangerous failure 874 years (EN ISO 13849)
DCavg (must be achieved using external control unit) 90%
Safe Failure Fraction (SFF) > 90 % (DIN EN 62061/
1.3 x 10-8 [1/h]
IEC 61508)
42
02.00 | ERD | Sicherheitshandbuch | en | GAS372884
Page 45
Diagnostic Requirement and Error Detection
6 Diagnostic Requirement and Error Detection
6.1 Table of Error Presumptions for Motor Feedback Systems
The standard IEC 61800-5-2 describes error presumptions for the
use of motion and position feedback sensors in Table D.16. The
specifications of this standard and other error presumptions are
presented in the following table together with their options for
detection and resolution:
Error Presumption For Error Detection/
Resolution See Chapter
Short circuits between any two conductors Malfunctions in the analog
Interruption of any conductor
Input or output stuck at 0 or 1 individually or
simultaneously with different inputs/outputs
Interruption or high-impedance state individually or
simultaneously with different inputs/outputs
sine and cosine transducer
signals [}45]
Drop or increase in signal amplitudes
Oscillation of one or more outputs Malfunctions in the analog
sine and cosine transducer
signals [}45] Oscillations at
One or More Outputs [}49]
Phasing variations between output signals Malfunctions in the analog
sine and cosine transducer
signals [}45]
Loss of mechanical connection between transducer housing
and motor housing during shutdown
Loss of Mechanical
Connection Between
Transducer Housing or Offset
of The Mechanical
Connection While the Motor
is Shut Down [}47]
Shutdown of the Sine/Cosine
Signal due to Electrical
Defects or Loss of the
Mechanical Connection
Between the Transducer Shaft
and the Motor Shaft While
the Motor is Running [}48]
Loss of mechanical connection between transducer housing
and motor housing while the motor is running
02.00 | ERD | Sicherheitshandbuch | en | GAS372884
Loss of Mechanical
Connection Between
Transducer Housing and
Motor Housing While the
Motor is Running [}48]
43
Page 46
Diagnostic Requirement and Error Detection
Error Presumption For Error Detection/
Resolution See Chapter
Loss of material measure Malfunctions in the analog
sine and cosine transducer
signals [}45] Detachment
of Material Measure (Code
Disc) [}49]
Transmission diode failed in transducer Malfunctions in the analog
sine and cosine transducer
signals [}45]
Static output signals of one or more outputs within the
supply voltage
Malfunctions in the analog
sine and cosine transducer
signals [}45] Shutdown of
the Sine/Cosine Signal due to
Electrical Defects or Loss of
the Mechanical Connection
Between the Transducer Shaft
and the Motor Shaft While
the Motor is Running [}48]
Change in signal shape Malfunctions in the analog
sine and cosine transducer
signals [}45]
Swapping of output signals Sin/Cos Swapping of Output Signals
Sin/Cos [}49]
Permissible transducer supply voltage not reached/
exceeded
Monitoring the Transducer
Supply Voltage Output by the
Evaluation Device [}50]
Operation within impermissible temperature ranges Operating the Transducer
System Outside of
Permissible Temperature
Ranges [}50]
Operation under excessive shock (braking) Operation Under Excessive
Shock (Braking) [}51]
44
02.00 | ERD | Sicherheitshandbuch | en | GAS372884
Page 47
Diagnostic Requirement and Error Detection
6.2 Notes on the Error Presumption Table
6.2.1 Malfunctions in the analog sine and cosine transducer signals
Aim:
Example:
To detect all impermissible level changes the sine/cosine
relationship.
By finding the value k using the following mathematical equation
k² = k1² * sin² + k2² * cos²
or another suitable mathematical procedure, we can calculate the
direct voltage level on which both the sine and cosine signals are
based. A comparison with the corresponding maximum and
minimum values allows a precise, quick-response detection of
impermissible deviations, regardless of the current angular
position.
Calculating Signal k
In order to determine the diagnostic coverage a two-dimensional
model that demonstrates the evaluation of signal relationships
and the associated diagnostic options (Lissajous curve) was used.
The relationship between the wanted signals forms a signal ring.
The area ratio between this and the overall area was used to
determine the diagnostic coverage (DC).
Circuit Model for Lissajous Diagram
02.00 | ERD | Sicherheitshandbuch | en | GAS372884
45
Page 48
Diagnostic Requirement and Error Detection
Calculation of the Diagnostic Coverage
Testing the exact limits of signal k
following differential evaluation within a
maximum voltage range of 0.5 to 4.5V.
See note Diagnostic coverage
(DC) resulting from the
calculated area ratio
The middle of the voltage range (2.5V)
corresponds to the value k = 0
Example: minimum exact limit for k 0.25V 90%
Example: maximum exact limit for k 0.75V
Note:
The specified values are calculated using an applied voltage
tolerance of nominal 0.5V at -50% and +50%. Extending the
nominal voltage tolerance of the SIN/COS signals (-20% and +10%)
provides practical values. Correlations with the tolerances of the
signals REFSIN and REFCOS are not take into account as these
compensate due to the type of signal generation in the transducer
at the displayed differential gain (see figure "Circuit Model for
Lissajous Diagram"). Implementations with different exact limits
and thus different DC values are possible.
NOTE
We recommend not setting the exact limits too close to one
another in order to avoid triggering errors.
It is assumed that the signals will be processed using operational
amplifiers supplied with 5V.
46
02.00 | ERD | Sicherheitshandbuch | en | GAS372884
Page 49
Diagnostic Requirement and Error Detection
6.2.2 Loss of Mechanical Connection Between Transducer Housing or
Offset of The Mechanical Connection While the Motor is Shut
Down
The following observation is based on the assumption that the
missing connection between the transducer housing and the
motor housing causes an offset of the position, as the transducer
housing itself remains indirectly mechanically connected to the
motor housing via the connection cable.
Error Detection
No reliable error detection option if the position becomes offset
by an angle smaller than a pole pair range. Larger offsets can cause
the current control loop to feed back. The resulting impermissible
movement must be detected by the drive system.
02.00 | ERD | Sicherheitshandbuch | en | GAS372884
47
Page 50
Diagnostic Requirement and Error Detection
6.2.3 Loss of Mechanical Connection Between Transducer Housing and
Motor Housing While the Motor is Running
The following observation is based on the assumption that the
missing connection between the transducer housing and the
motor housing causes an offset of the position, as the transducer
housing itself remains indirectly mechanically connected to the
motor housing via the connection cable.
If the angular offset is larger than half of a motor pole pair range,
incorrect orientation of the commutation can cause the current
control loop to feed back. The resulting impermissible acceleration
or direction of rotation must be detected by the receiver system.
Depending on the application (response time, maximum
acceleration), a buffer must thus be maintained between the
desired and maximum permissible speed.
NOTE
It is probable, but not certain, that the error will be detected
before feedback occurs due to the process response (weak
torque, towing error).
Error detection/
resolution
6.2.4 Shutdown of the Sine/Cosine Signal due to Electrical Defects or
Loss of the Mechanical Connection Between the Transducer Shaft
and the Motor Shaft While the Motor is Running
If the sine/cosine cycle of a transducer that is being used on a
synchronous motor is shut down, the commutation will also shut
down. It is taken as read that the control process used here works
in such a way that it causes the current vectors affected by the
current control circuit paused in a fixed position, thus stopping the
pulse wheel in the corresponding position. This way, the error
generates a response in the safe direction.
NOTICE
If the transducer system is being used on an asynchronous motor,
the drive controller must use suitable measures to ensure that an
invalid signal status is detected and that, in case of an error, an
error response is channeled in the safe direction.
48
02.00 | ERD | Sicherheitshandbuch | en | GAS372884
Page 51
Diagnostic Requirement and Error Detection
6.2.5 Detachment of Material Measure (Code Disc)
Error Detection
Error Detection
The following situations can occur if the material measure comes
loose:
• The loss of the dimmer on the transmitter leads to maximum
signal level in both channels. This is indicated by Malfunctions in
the analog sine and cosine transducer signals [}45].
• Misalignment of the code disc's position in relation to the
optical sensor also generates signal levels in channels A and B
that can be diagnosed from Malfunctions in the analog sine and
cosine transducer signals [}45].
• If the loss of the material measure takes the form of a break in
the transducer shaft, the error detection kicks in as per
Shutdown of the Sine/Cosine Signal due to Electrical Defects or
Loss of the Mechanical Connection Between the Transducer
Shaft and the Motor Shaft While the Motor is Running [}48]
6.2.6 Oscillations at One or More Outputs
Oscillations at the signal outputs can be detected as follows:
• If the oscillations lead to impermissible signal levels in one or
both channels, the error detection can be initiated in
accordance with Malfunctions in the analog sine and cosine
transducer signals [}45].
Exclusion of Error
• If a suitable phase discriminator is used to generate counter
pulses in the evaluation device, the oscillation of an input signal
will be expressed as counting back and forth on an increment.
The resulting error will match the angle of an increment (see
operating manual/data sheet of the transducer being used).
• If both signals (sine and cosine) are oscillating, a position offset
may occur if all the counter errors are added up. If this occurs,
see Loss of Mechanical Connection Between Transducer
Housing and Motor Housing While the Motor is Running [}48]
6.2.7 Swapping of Output Signals Sin/Cos
This error will not occur, as the sine and cosine signals are
detected and processed separately. There are no multiplexers for
these signals in the transducer.
02.00 | ERD | Sicherheitshandbuch | en | GAS372884
49
Page 52
Diagnostic Requirement and Error Detection
6.2.8 Monitoring the Transducer Supply Voltage Output by the
Evaluation Device
Error Detection
Error Detection
Impermissible voltage levels in the transducer supply voltage are
detected using the measures detailed in Malfunctions in the
analog sine and cosine transducer signals [}45]; in particular, the
lower limit for the vector length mentioned there helps in
monitoring for insufficient voltage.
In order to localize errors with a common cause and allow early
error detection, the transducer supply voltage must be monitored
to ensure that it retains the exact limits specified in the product
manual.
6.2.9 Operating the Transducer System Outside of Permissible
Temperature Ranges
If it is not possible to guarantee that the transducer system will be
used in the permissible temperature range, the system owner
must implement a suitable measure to ensure that the specified
temperature range is observed.
Errors resulting from operation at impermissible temperatures are
detected by the measures detailed in Malfunctions in the analog
sine and cosine transducer signals [}45].
In order to allow early (non-safety-oriented) error detection, cyclic
monitoring of the transducer status via the parameter channel of
the HIPERFACE® interface can be used to read out and process a
suitable message.
50
02.00 | ERD | Sicherheitshandbuch | en | GAS372884
Page 53
Diagnostic Requirement and Error Detection
6.2.10 Operation Under Excessive Shock (Braking)
Error Detection
When motor brakes are used the drive systems in which the
transducer is used, this can cause excessive shock beyond the
limits specified in the transducer data sheet (in accordance with
standard EN 60068-2-27).
Excessive shock can cause mechanical defects in the transducer
system, in particular damaging or loosening the material measure
(code disc).
This type of error can be resolved using the error detection
measures in the chapters Malfunctions in the analog sine and
cosine transducer signals [}45] and Detachment of Material
Measure (Code Disc) [}49].
NOTICE
In case of potential or planned overshooting of the specified
shock limits, the manufacturer of a motor or drive system must
perform system tests to demonstrate that the excessive shock
only causes the errors that can be discovered using the measures
listed in this manual. In order to do this, it may be necessary to
enlist SCHUNK'S collaboration in the system tests – especially
when assessing preliminary internal damage to the transducer.
02.00 | ERD | Sicherheitshandbuch | en | GAS372884
51
Page 54
Additional Error Detection Measures (Recommended)
7 Additional Error Detection Measures
(Recommended)
The availability of a system function can be increased further using
the HIPERFACE® process data interface.
Due to their relatively slow response times, the measures
described below do not constitute part of the standardized safety
considerations; however, they do present further opportunities for
early detection of problematic situations. This allows a flexible,
forward-planning approach to error management (e.g. guided
movement for production processes).
Monitoring of the RS485 process data interface allows the
following diagnostics:
Error Detection Corrective action
Creeping position offset in the evaluation
device
Internal transducer temperature (mandatory
if it is not possible to guarantee operation
within the specified data; see IEC 61508-2
Table A17)
Transmitter current critical (contamination,
broken transmitter)
Cyclical monitoring of the transducer's
internally mapped absolute position and
comparison with the position mapped in the
evaluation device based on the SIN/COS
signals
Cyclical monitoring of the transducer status
52
02.00 | ERD | Sicherheitshandbuch | en | GAS372884
Page 55
Example of How to Design a Block Diagram for a Two-Channel
8 Example of How to Design a Block Diagram for a
Two-Channel System
NOTE
The following example is intended solely as a suggestion for one
potential design variant. Other design variants can also be used.
The user of this safety operating manual takes full responsibility
for the use of this example. This applies in particular to
observance of the safety requirements.
System
02.00 | ERD | Sicherheitshandbuch | en | GAS372884
53
Page 56
Glossary
9 Glossary
DC Diagnostic Coverage
EMC Electromagnetic compatibility
HFT Hardware Fault Tolerance
Cat Category (to EN 954 )/ Designated Architecture (to EN ISO 13849)
PFD Probability of dangerous Failure on Demand
PFH Probability of dangerous Failures per Hour
PL Performance Level
SAR Safe Acceleration Range
SDI Safe Direction
SIL Safety Integrity Level
SLA Safely Limited Acceleration
SLS Safely Limited Speed
SOS Safe Operating Stop
SS1 Safe Stop 1
SS2 Safe Stop 2
SSR Safe Speed Range
STO Safe Torque Off
54
02.00 | ERD | Sicherheitshandbuch | en | GAS372884
Page 57
10 Appendix
Further information
2 Electrical Miniature Rotary Actuator ERD with integrated safety
rotation encoder [}56]
Appendix
02.00 | ERD | Sicherheitshandbuch | en | GAS372884
55
Page 58
Appendix
10.1 Electrical Miniature Rotary Actuator ERD with integrated
safety rotation encoder
56
02.00 | ERD | Sicherheitshandbuch | en | GAS372884
Page 59
Page 60
Jens Lehmann, deutsche Torwartlegende, seit 2012 SCHUNKMarkenbotschaer für sicheres, präzises Greifen und Halten.
Jens Lehmann, German goalkeeper legend, SCHUNK brand
ambassador since 2012 for safe, precise gripping and holding.
schunk.com/lehmann
Folgen Sie uns | Follow us
01/2019 © 2019 SCHUNK GmbH & Co. KG
Loading...