Suchen

Smart Safety

Sicherheitsnachweis für modulare Anlagen

| Autor/ Redakteur: Michael Pfeifer und Werner Varro / Mag. Victoria Sonnenberg

Unternehmen können mit modularen, vernetzten Anlagen flexibel auf wechselnde Anforderungen reagieren. Für ein echtes „Plug-&-produce“ sind jedoch neue Wege zur Bewertung der Maschinensicherheit nötig.

Firmen zum Thema

Die Industrie 4.0-Anlage des SmartFactory-KL-Partnerkreises ermöglicht durch ihren modularen Aufbau eine flexible Fertigung.
Die Industrie 4.0-Anlage des SmartFactory-KL-Partnerkreises ermöglicht durch ihren modularen Aufbau eine flexible Fertigung.
(Bild: SmartFactory-KL)

Modulare Anlagen ermöglichen die industrielle Fertigung in Kleinstauflagen bis hin zu Losgröße 1, da sie sich je nach Bedarf neu konfigurieren lassen. Eine wesentliche Änderung der Zusammenstellung erfordert jedoch eine sicherheitstechnische Neubewertung. Obwohl die einzelnen Module vollständige Maschinen im Sinne der Maschinenrichtlinie (2006/42/EG) sind, muss der gesamte Verbund bewertet werden, da Wechselwirkungen und Abhängigkeiten an den Schnittstellen entstehen können.

Zukünftige Konfigurationen sind nicht absehbar

Um eine modulare Produktion zu realisieren, werden im Vorfeld mögliche Varianten betrachtet und bewertet. Mit klassischen Sicherheitskonzepten werden definierte Prozesse durch statische Lösungen abgesichert. Das setzt ein vollständig determiniertes Systemverhalten voraus. Durch wechselnde Kundenwünsche und technische Weiterentwicklungen ist allerdings nicht absehbar, welche Konfigurationen zukünftig nötig oder auch möglich werden.

Die Automatisierungstechnik hat das Ziel, flexibel auf unterschiedliche Anforderungen reagieren und dynamische Prozesse abbilden zu können. Das bedeutet mitunter, im laufenden Betrieb Maschinen zum Verbund hinzuzufügen oder aus ihm zu entfernen. Daraus folgt ein nur bedingt vorhersehbares Systemverhalten. Denn die Module einer verketteten Anlage können zwar jeweils vollständig beschrieben werden und sind sicherheitstechnisch beherrschbar. Durch die Interaktion ergeben sich jedoch komplexe Wechselwirkungen.

Für eine hohe Flexibilität in der Produktion ist deshalb eine neue Sicherheitsarchitektur nötig. Agentensysteme können dabei eine wichtige Rolle einnehmen. Ein Agent ist nach VDI/VDE 2653 Blatt 1 eine „abgrenzbare (Hardware- und/oder Software-)Einheit mit definierten Zielen, die sich auf die Steuerung […] eines technischen Systems beziehen“. VDI/VDE 2653 Blatt 3 stellt verschiedene Einsatzszenarien vor und nennt dabei explizit modulare Produktionsanlagen. In den Agenten sind die Fähigkeiten sowie die Informationen über den Zustand des jeweiligen Moduls und dessen Ziele integriert. Neben dem Primärziel der Safety sind das beispielsweise maximale Verfügbarkeit und die Einhaltung von Systemgrenzen. Daraus ergibt sich ein komplexes Zielsystem. Durch die Kommunikation der Agenten miteinander kann das System flexibel auf unterschiedliche Problemstellungen beim Erreichen der Ziele im Betrieb reagieren.

Automatische Bewertung der Maschinensicherheit

Die automatische Bewertung der Maschinensicherheit mithilfe von Agenten ist an verschiedene Voraussetzungen geknüpft. Dazu zählen CE-konforme, eigensichere Module sowie eine serviceorientierte, plattformunabhängige Kommunikation (zum Beispiel über OPC UA) und eine standardisierte, herstellerunabhängige Semantik. Zudem muss ein digitaler Zwilling in der Verwaltungsschalte jedes Moduls vorliegen.

Mit der Basisrisikobeurteilung prüft der Agent die Freigabe seines Moduls. Dafür führt er den Entscheidungsbaum aus, der vom Hersteller definiert und in der Verwaltungsschale abgelegt wurde. Der Entscheidungsbaum bildet anhand von Parameterräumen alle möglichen Safety-Zustände ab. Das umfasst zum Beispiel die zulässige Geschwindigkeit eines Förderbandes oder die Zustände einer Sicherheitsschleuse.

Wenn ein Pfad in einem Blatt mit einem nicht tolerierbaren Risiko endet, ruft der Agent die hinterlegten Sicherheitsprofile ab. Entsprechen die dort definierten Sicherheitseinrichtungen dem jeweils geforderten Safety Integrity Level (SIL), wird die Freigabe erteilt. Steht dem Risiko kein Sicherheitsprofil entgegen oder wird die Sicherheitseinrichtung nicht als ausreichend bewertet, dann entzieht der Agent die Freigabe.

Die entzogenen und erteilten dynamischen Freigaben werden in der Verwaltungsschale abgelegt und stehen zukünftig zur Verfügung. Bei einer nicht erfolgreichen automatischen Freigabe ist eine manuelle Nachbewertung durch einen Safety-Experten möglich.

Zusätzlich zur Beurteilung der einzelnen Module bewertet ein spezieller Risikoreduzierungsagent die Schnittstellen. Dabei betrachtet er nicht die jeweils eingestellten Parameter, sondern die ermittelten Risiken, denen kein entsprechendes Sicherheitsprofil entgegensteht. Das kann darin begründet liegen, dass das Risiko von den Umweltbedingungen abhängt, die dem Hersteller in der Entwicklungsphase unbekannt sind. Anstatt einen bestimmungsgemäßen Gebrauch zu definieren, wird die Sicherheit des Anlagenverbundes durch die dynamischen Freigaben der einzelnen Module und die Schnittstellenbewertung festgestellt. Der Agent identifiziert die Gefahren und sucht eine Parameterkonfiguration, bei der sie beherrscht werden. Dafür greift der Agent auf die Informationen über die konstruktiven Eigenschaften sowie den aktuellen Zustand und die Safety-Daten zu, die im digitalen Zwilling enthalten sind. Als weitere Datenquelle können Sensoren und Vision-Systeme zur Umwelterkennung herangezogen werden. Der Schnittstellenagent erteilt die Freigabe, wenn das Risiko ausreichend reduziert werden kann.

Use Case Smart Factory

Ein fahrerloses Transportsystem (FTS) befördert Werkstücke zwischen den Produktionslinien der Smart Factory KL. Es verfügt über zwei Förderbänder und erkennt ein aufgenommenes Werkstück mit einem Sensor. Für den Austausch des Transportguts interagiert das FTS mit einer Andockstation. Zwei Parameterräume des Transportsystems werden als Beispiel hier aufgeführt: Geschwindigkeit der Transportbänder: 0 bis 2 m/s (in Abhängigkeit vom Werkstück festgelegt); Werkstück erkannt: ja/nein. Daraus ergibt sich der folgende Entscheidungsbaum: Wenn ein Transportband die zulässige Geschwindigkeit überschreitet oder der Sensor ausfällt, verletzt das den definierten Parameterraum und die Freigabe wird entzogen – das Transportsystem steht still. Wenn das FTS nichts befördert, wird die Freigabe automatisch erteilt.

Ein transportierter Gegenstand stellt immer ein Risiko dar, er könnte beispielsweise beim Austausch herunterfallen. Daher wird in diesem Fall zusätzlich die Schnittstelle geprüft. Auch die Andockstation besitzt zwei gegenläufige Förderbänder, um Werkstücke vom angrenzenden Modul zum Ende der Produktionslinie oder in die Gegenrichtung zu befördern. Die zulässigen Parameterräume sind hier beispielsweise: Geschwindigkeit der Transportbänder: 0 bis 2 m/s (in Abhängigkeit vom Werkstück festgelegt); Werkstück am Ausgang erkannt: ja/nein; Werkstück am Eingang erkannt: ja/nein. Der Agent der Andockstation führt in diesem Beispiel folgenden Entscheidungsbaum aus: Der Agent gibt den Betrieb der Andockstation automatisch frei, wenn nichts befördert wird. Ein Werkstück am Eingang oder Ausgang bedeutet wie schon beim FTS ein Risiko.

Das bedeutet also, dass ein Risikoreduzierungsagent zusätzlich die Schnittstelle zwischen dem fahrerlosen Transportsystem und der Andockstation bewerten muss, wenn sie Werkstücke miteinander austauschen sollen. Dafür prüft er mithilfe eines Vision-Systems die Ausrichtung der Transportbänder zueinander sowie die Position des FTS. Geht davon keine Gefahr aus, erteilt der Agent die Freigabe und die beiden Module können ihr Transportgut austauschen.

Die beschriebene Aufgabenstellung ist zwar vergleichsweise einfach, sie zeigt aber, wie mithilfe einer dynamischen Safety-Bewertung zuvor unbekannte Maschinenmodule zur Laufzeit in die Anlage eingebunden werden können. Mit diesem Konzept können Betreiber eine flexible Fertigung bei im Vorfeld unbekannten Prozessen etablieren und dabei die Vorgaben der Maschinensicherheit einhalten.

* Michael Pfeifer ist Sachverständiger im Bereich Maschinen- und Anlagensicherheit bei der TÜV Süd Industrie Service GmbH, Werner Varro ist Teamleiter Industrieelektronik bei der TÜV Süd Product Service GmbH, beide bei der TÜV Süd AG in 80686 München, Tel. (0 89) 57 91 33 29, michael.pfeifer@tuev-sued.de

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46085420)