Maßgeschneiderte Sicherheitsfunktion
Nach Vorgaben der Entwicklungsabteilung wurde auf Basis der bestehenden Ansteuerelektronik eine Funktion nach dem STO-Prinzip entwickelt – maßgeschneidert und an die Baugröße des bestehenden Elektronikbauteils angepasst. Im nächsten Schritt wurde dann die Neuentwicklung nach Vorgaben der Norm EN615008:2010 dokumentiert und schließlich auch zertifiziert. Systemtechnik Leber begleitete den Produktentwicklungsprozess bis hin zur Serienreife, darunter auch die Serienvorbereitung inklusive sämtlicher Abnahmetests in der Produktion. Das gesamte Entwicklungsprojekt lässt sich in drei Abschnitte gliedern:
- • Projektphase 1: Erstellung Sicherheitskonzept, Klärung normativer Anforderungen, Risikoanalyse
- • Projektphase 2: Erster Designzyklus bzw. Prototypen-Entwicklung
- • Projektphase 3: Entwicklung Qualifizierungs- bzw. Zulassungsmuster
Schon früh im Projektverlauf stellte sich die elektromagnetische Verträglichkeit im Bereich der Störaussendung bei dem kompakten Controller als besondere Herausforderung heraus.
Herausforderung EMV
Im konkreten Fall hatten bereits erste entwicklungsbegleitende Messungen ergeben, dass die elektromagnetische Verträglichkeit der für die STO-Erweiterung vorgesehenen Antriebscontroller durch die vorgesehene technische Änderung einer späteren zertifizierten EMV-Prüfung nicht standhalten würde. Infolgedessen lag einer der Schwerpunkte der ersten Phase der Produktentwicklung auf der Analyse der elektromagnetischen Verträglichkeit des Ausgangsprodukts, sowie dem Eruieren und Umsetzen notwendiger baulicher Veränderungen bzw. technischer Maßnahmen, wie dem Hinzufügen von Drosseln und Filtern im Leistungsteil. Zusätzlich musste auch das Zusammenspiel von Träger-Board und Controller mehrfach getestet werden, da es für deren Verknüpfung mehrere Möglichkeiten gab: Im Zuge einer Smart-Factory-Potenzialanalyse für ihren Kunden KSB identifizierte die Managementberatung NEONEX Opti mierungschancen bei der Beschaffung der Lieferantendokumentation sowie der Erstellung von Unterlagen zur Qualitätsprüfung entlang der Supply-Chain. ‣ weiterlesen
Signifikante Ressourceneinsparung bei Pumpenhersteller KSB
NEONEX, Fabasoft Approve & KSB: „Win-win-win-Situation“ durch starke Partnerschaft
Signifikante Ressourceneinsparung bei Pumpenhersteller KSB
- • Standalone
- • CAN-Anbindung
- • Ethercat-Anbindung
Parallel dazu startete die eigentliche Produkterweiterung um die STO-Funktion. Dazu wurde der Safety-Plan aufgestellt und ein Sicherheitskonzept erarbeitet. Neben den Anforderungen der EN61508 und der EN61800-5-2 wurde auch die Risikoanalyse zum Produkt erstellt und Maßnahmen daraus abgeleitet.
Safety-Experten sind rar
Nach Abschluss der Entwicklungsarbeiten am Prototypen startete Projektphase zwei mit der Entwicklung der entsprechenden Qualifizierungs- und Zulassungsmuster. Erneut wurden entwicklungsbegleitende Messungen zur Validierung der umgesetzten Maßnahmen genutzt und anhand der FMEA die Nachweisführung zur Verifikation aufgesetzt. Zusätzlich galt es, die gesamte Dokumentation sowie ergänzende Hinweise im Handbuch zum neuen Motion Controller zu erstellen. Um bei der Dokumentation – und damit auch der späteren TÜV-Zulassung – auf der sicheren Seite zu sein, holte Leber für das Review der Dokumentation zusätzlich einen ausgewiesenen Experten für funktionale Sicherheit an Bord, begleitete die Produktzulassung und übernahm die Kommunikation für die Zulassung zum TÜV Nord. Entsprechend gestaltete sich die Projektphase 2 wie folgt:
- • Entwicklung Qualifizierungs- und Zulassungsmuster
- • Dokumentation
- • TÜV-Zulassung
- • Serienvorbereitung und Testing
Kurz vor der Zielgeraden geriet der Projekt-Fortschritt noch einmal kurz ins Stocken. Denn nach Ausarbeitung der Failure Mode Effects and Diagnostic Analysis (FMEDA), einer der zentralen Methoden zur Verifikation der Sicherheitsfunktion, wurde der erforderliche Diagnosedeckungsgrad für den Sicherheitsintegritätslevel SIL3 und den Performancelevel PLe zunächst verfehlt. Dieser wird je nach SIL und Architektur vorgegeben und stellt das Verhältnis erkannter gefährlicher Fehler zur Gesamtzahl gefährlicher Fehler dar. Beim Erarbeiten der FMEDA wurde anfangs nicht korrekt zwischen der Sicherheitsfunktion und den Nicht-Sicherheitsfunktionen getrennt. Dazu André Treinzen, Entwicklungsingenieur bei Faulhaber und technischer Leiter des Projekts: „Es war eigentlich eine kleine Ursache, aber eben mit großer Wirkung: Wir hatten in der Konzeptionsphase das Fehlerbild nicht ausreichend detailliert beschrieben. Daher war unklar, ob der komplette Antriebs-Controller auf den Fehlerfall hin zu prüfen ist, oder aber nur die neu integrierte STO-Sicherheitsfunktion. Nachdem das geklärt war, konnte die FMEDA korrigiert werden, und der geforderte Diagnosedeckungsgrad wurde erreicht. Die neuen Controller konnten in Serie gehen“.
