Mit dem Plug&Produce-Prinzip kann die Flexibilität von Produktionsanlagen erhöht werden. Bei jeder neuen Konstellation muss jedoch die Sicherheit des Gesamtsystems gewährleistet sein. Das Konzept einer automatisierten Bewertung und Zertifizierung minimiert den Zeit- und Kostenaufwand. Die Voraussetzung dafür ist eine einheitliche Sicherheitssprache.
Obwohl sich modulare Anlagen fast beliebig verketten lassen, unterliegen sie dennoch denselben Sicherheitsbestimmungen wie alternative Anlagen. Sie sollen nicht nur miteinander funktionieren, sondern auch als Gesamtsystem sicher sein. Bei Änderungen sind Anlagenverbünde einer Bewertung zu unterziehen. Denn bei der Interaktion von Modulen entstehen Wechselwirkungen, die neue, komplexe Anforderungen an die Maschinensicherheit stellen können. Der Arbeitsschutz für Personal im Maschinenumfeld steht dabei an vorderster Stelle.
Je stärker die Marktanforderungen variieren, desto häufiger müssen die Anlagenverbünde neu konfiguriert werden. Das erfordert jedoch jedes Mal eine erneute Sicherheitsbewertung von im Vorfeld nicht bedachten Konfigurationen, was in Summe lange Stillstände verursacht. Die hohen Zeit- und Kostenaufwände manueller Prüfungen schwächen die Vorteile modularer Anlagenkonzepte. Safety-Agentensysteme können diesen Prozess automatisieren, indem sie die Maschinensicherheit eigenständig bewerten und zertifizieren. Auf diese Weise sparen Produktionsverantwortliche Ressourcen und Fertigungslinien lassen sich kurzfristig anpassen, ohne dabei das Sicherheitsniveau zu senken.
Auf der Trägerplatte liegen der USB-Stick in Noppensteinform und einzelne Noppensteine in verschiedenen Farben – sie werden nach Wunsch des Anwenders im Handhabungsmodul zusammengebaut
Digitales Maschinenabbild
Das Konzept der cyber-physischen Produktionssysteme (CPPS) spielt in der Industrie 4.0 (I4.0) eine zentrale Rolle. Maschinenrepräsentanzen physischer Anlagenkomponenten werden als digitale Zwillinge abgebildet und über moderne IT miteinander verbunden. Komplexe Anlagenverbünde und Infrastrukturen lassen sich so simulieren, steuern und optimieren, was eine flexiblere und effizientere Produktion ermöglicht.
Die Maschinenrepräsentanzen werden in einer Verwaltungsschale (VWS – engl. Asset Administration Shell, AAS) digital hinterlegt. Sie enthalten Informationen zur Identifikation und charakteristische Merkmale einzelner Assets (z.B. Komponenten, Maschinen oder ganze Anlagen). Dazu gehören u.a. Leistungsangaben, Statusinformationen oder Grenzwerte, die während des Betriebs zu erfüllen sind. Von besonderem Interesse für Betreiber modularer Anlagen sind typenbedingte Eigenschaften und der aktuelle Zustand eines Assets, weil diese Daten bspw. für die Produktionsplanung und Instandhaltung relevant sind. Sie sorgen zudem für die erforderliche Transparenz, um Zusammenhänge erkennen zu können.
Einheitliche Sicherheitssprache
In der Industrie 4.0 interagieren intelligente Systemteilnehmer autonom, um bestimmte Ziele zu erreichen. Das Konzept der automatisierten Bewertung und Zertifizierung der Maschinensicherheit hat TÜV SÜD als Teil der Technologie-Initiative SmartFactoryKL weiterentwickelt. Ausgangspunkt ist, dass nicht immer alle Module von einem Hersteller stammen. Nur selten finden sich alle benötigten Maschinentypen in einem Portfolio. Weil I4.0-Produktionsumfelder möglichst flexibel sein sollen, sind die Anlagenkonstellationen nicht immer vorhersehbar. Die aus den komplexen Interaktionen resultierenden Gefährdungen wurden mitsamt den möglichen Schutzmaßnahmen digital abgebildet.
Im Datenbetankungsmodul (Hintergrund) werden zum einen Daten auf den USB-Stick gespeichert – zum anderen vergleicht das Qualitätskontrollmodul 2 (Vordergrund) die Bestellung mit dem ausgelieferten USB-Stick
Weil physische Assets in der realen Welt nicht „miteinander sprechen“ können, vollzieht sich die Kommunikation digital. Dabei beziehen Safety-Agentensysteme die nötigen Informationen über zwei Kanäle: Einerseits über den direkten Datenaustausch zwischen der Verwaltungsschale und dem Asset und andererseits über die Kommunikation zwischen den einzelnen VWS. Um Informationen von Geräten und Systemen herstellerübergreifend zu bündeln und die passenden Schutzmaßnahmen bereit zu stellen, benötigen sie ein gemeinsames Austauschformat und eine gemeinsame Sprache – eine standardisierte „Safety-Semantik“. Diese wird insbesondere auch für die Mensch-Maschinen-Interaktion zur Ermöglichung der Überprüfbarkeit der Ergebnisse der Agentensysteme und Erstellung der erforderlichen Dokumentation benötigt.
Für den plattformunabhängigen Datenaustausch eignet sich der offene Standard OPC UA (Unified Architecture). Maschinendaten (z.B. Geometrie-, Kinematik- und Logikdaten) lassen sich nicht nur transportieren, sondern auch maschinenlesbar semantisch beschreiben. Neben großen Unternehmen profitieren davon auch kleine und mittelständige, weil sie nicht erst in eigene, proprietäre Lösungen investieren müssen.
Gefährdungen smart vermeiden
Gefährdungssituationen durch die Interaktion von Modulen können z.B. aufgrund einer Fehlfunktion oder menschlichen Fehlverhaltens auftreten. Um mit einem Agenten die Anlagensicherheit bewerten zu können, müssen die möglichen Gefahren und vorhandenen Schutzmaßnahmen im Safety-Profil der Verwaltungsschale beschrieben sein. Ein digitaler Smart-Safety-Agent wägt zur Freigabe die Schutzmaßnahmen für die jeweilige Gefährdungssituation gegeneinander ab. In einer Simulation bewertet er so die Maschinensicherheit. Für die Freigabe können sich die Betreiber das Ergebnis grafisch aufbereitet darstellen lassen.
Als Voraussetzung für die Zuverlässigkeit der digitalen Sicherheitsbewertung gilt: Der Smart-Safety-Agent muss die jeweiligen Randbedingungen für unterschiedlich verfügbare Schutzmaßnahmen kennen und wissen, wie sie sich auf den Betrieb auswirken. Eignen sich aus prozess- und sicherheitstechnischer Sicht zwei Schutzmaßnahmen gleichermaßen, wählt der Smart-Safety-Agent, die für die Produktivität und den Instandhaltungsaufwand weniger nachteilige Alternative. Ein Beispiel: Fahrerlose Transportsysteme (FTS) drohen miteinander zu kollidieren. Mögliche Reaktionen (Schutzmaßnahmen) sind stehen bleiben, Route ändern oder Fahrspur anfragen. Anstatt in jedem Fall stehen zu bleiben, was der üblichen funktionalen Sicherheit entsprechen würde, besteht unter Umständen die gleichwertige Option, die Route zu ändern. In beiden Fällen wird ein Zusammenstoß verhindert. Der Smart-Safety-Agent ist in der Lage die Situation zu bewerten und die Optionen zu prüfen. Ist keine alternative Maßnahme möglich, greift die Sicherheitseinrichtung der funktionalen Sicherheit, die durch den Agenten nicht außer Kraft gesetzt wird.
IT-Sicherheit gewährleisten
Im Hinblick auf die Vernetzung birgt die Digitalisierung bei modularen Anlagen Chancen und Risiken: Zum Beispiel lässt sich während des laufenden Betriebs der Funktionsumfang einer Komponente durch ein Software-Update erweitern, indem die dafür relevanten Informationen in der VWS aktualisiert werden. Das darf aber das Echtzeit-Verhalten modularer Anlagen nicht beeinträchtigen. Bei Gefahren müssen Alarme ausgelöst und auch auf Ausfälle angemessen reagiert werden. Der sichere Anlagenzustand für größtmöglichen Personenschutz steht auch hier im Vordergrund. Hacker dürfen sich daher keinen Zugriff zur Anlagensteuerung oder Sicherheitseinrichtung verschaffen und durch Änderungen die Sicherheitseinrichtungen negativ Beeinträchtigen oder neue Gefährdungssituationen erzeugen.
Autoren: Michael Pfeifer ist Experte für Maschinensicherheit und I4.0 bei der TÜV SÜD Industrie Service GmbH und Dimitri Harder ist Projektmanager Automation bei der TÜV SÜD Product Service GmbH
Bildquelle: Beitragsbild Panuwat – stock.adobe.com, sonstige SmartFactory-KL/A.Sell
Textquelle: TÜV SÜD
