Mit Smart Safety flexibel produzieren
Mit digitalisierten Produktionsprozessen und modularen, flexibel konfigurierbaren Anlagen lassen sich geringe Losgrößen bis hin zu Einzelstücken wirtschaftlich fertigen. Doch jede wesentliche Änderung der Anlagenkonfiguration erfordert eine neue Konformitätsbewertung. Mit Agentensystemen gelingt das im laufenden Betrieb. Wie das in der Praxis funktioniert, zeigen TÜV SÜD und die Smartfactorykl-initiative.
BEI „PLUG & PRODUCE“soll die Produktion schnell, flexibel und ohne Stillstände auf sich stetig ändernde Anforderungen und Losgrößen reagieren. Das erfordert, Maschinenverbünde im laufenden Betrieb zu verändern. Die Sicherheitseigenschaften jedes einzelnen Moduls sind vom Hersteller hinreichend beschrieben. Jedoch nimmt die Komplexität durch die Wechselwirkungen und die Interaktion der Module untereinander stark zu. Und auch die Bedingungen im Betrieb können sich ändern.
So ergibt sich ein Zielkonflikt zwischen gewünschter Automatisierung und geforderter Sicherheitsbewertung. Denn jede wesentliche Änderung des Gesamtsystems erfordert derzeit eine manuelle sicherheitstechnische Neubewertung inklusive Feststellung der Ce-konformität. Das gelingt mit herkömmlichen Bewertungsansätzen, jedoch nicht „on the fly“. Klassische Sicherheitskonzepte bewerten die möglichen Anlagenvarianten im Vorfeld. Statische Lösungen sichern definierte Prozesse. Angesichts volatiler Kundenanforderungen und Technologieänderungen stößt dieses Vorgehen jedoch an seine Grenzen. Wenn nach der Inbetriebnahme ein Modul zur Anlage hinzugefügt wird, müssen alle betroffenen Varianten neu bewertet werden.
Agentensysteme bewerten sicher, schnell und flexibel
Eine Lösung bieten sogenannte Agentensysteme. Dabei wird die Komplexität der Systeme durch eine konzeptionelle Aufteilung von Zielen, Funktionalitäten und Entscheidungsprozessen auf autonome Einheiten reduziert. Die Integration des Wissens in die Problemstellung schafft definierte Ziele. Die Entscheidung wird dorthin verschoben, wo die meisten Informationen darüber vorliegen. Da diese unter Umständen erst in der Interaktion entstehen, kann das System im Bedarfsfall schnell und flexibel reagieren. Alle wesentlichen Eigenschaften werden zur Laufzeit in das Agentensystem aufgenommen.
Die Anlagenkonfigurationen müssen somit nicht mehr im Voraus bekannt sein.
Die automatisierte Sicherheitsbeurteilung ist an verschiedene Bedingungen geknüpft. Zunächst muss jedes Modul Ce-konform sein. Der Datenaustausch erfordert einen plattformunabhängigen, serviceorientierten Standard, zum Beispiel OPC UA. Ebenso braucht jedes Modul einen digitalen Zwilling. Sind die Voraussetzungen erfüllt, folgt die automatische Safety-bewertung in zwei Schritten.
Schritt 1: Risikobewertung auf Modulebene
Zuerst prüft der Agent die Freigabe seines Moduls mit herstellerseitig bereitgestellten Entscheidungsbäumen. Sie sind manipulationssicher in der Verwaltungsschale gespeichert. Der Entscheidungsbaum bildet alle möglichen Safety-zustände anhand vordefinierter Parameterräume ab – wie die zulässige Geschwindigkeit eines Förderbands oder die verschiedenen Zustände einer Sicherheitsschleuse. Die Blätter, also die Endpunkte der Verzweigungen des Entscheidungsbaums, entsprechen den Risiken bei den jeweiligen Parametern.
Die Freigabe geschieht daher nicht über einen definierten bestimmungsgemäßen Gebrauch, sondern dynamisch.
Ergibt die Prüfung ein nicht tolerierbares Risiko, ruft der Agent die hinterlegten Sicherheitsprofile ab. Agentensysteme zur Risikoreduzierung prüfen dann, ob die Sicherheitseinrichtungen dem geforderten Safety Integrity Level (SIL) entsprechen. Ist das nicht der Fall, wird die Freigabe verweigert. Dann nimmt ein Safety-experte eine manuelle Nachbewertung vor. Das Ergebnis des Prozesses wird für künftige Auswertungen in der Verwaltungsschale dokumentiert.
Schritt 2: Prüfung der Schnittstellen
Nach Abschluss der Modulbeurteilung prüft ein Risiko-reduzierungsagent die Schnittstellen. Relevant sind nicht die eingestellten Parameter, sondern die ermittelten Risiken ohne entsprechendes Sicherheitsprofil. Das kann daran liegen, dass das Risiko von Bedingungen abhängt, die für den Hersteller im Vorfeld nicht absehbar sind. Der Agent bewertet die Sicherheit des Anlagenverbunds anhand der dynamischen Freigaben der einzelnen Module und der Bewertung der Schnittstellen.
Dazu ermittelt er mögliche Gefahren sowie die Parameterkonfigurationen, bei denen das Gefahrenpotenzial auf ein zulässiges Maß reduziert werden kann. Der Agent nutzt dafür den digitalen Zwilling. Sensoren und Systeme zur Umwelterkennung liefern zusätzliche Informationen, wie das folgende Beispiel zeigt.
Anwendungsfall: Fahrerloses Transportsystem und Andockstation
Ein Fahrerloses Transportsystem (FTS) mit zwei Förderbändern transportiert in der Smartfactorykl Werkstücke zwischen verschiedenen Produktionslinien. Ein optischer Sensor erkennt das Transportgut. Der Austausch der Werkstücke erfolgt über eine Andockstation, die, wie das FTS, als eigensicheres Modul betrachtet wird.
Dieser vergleichsweise einfache Use Case zeigt, wie das agentengestützte Safety-konzept funktioniert und wie unbekannte Maschinenmodule der Anlage zur Laufzeit hinzugefügt werden können. Im Beispiel werden zwei Parameter für das Transportsystem genannt (siehe Abbildung1): • zulässige Geschwindigkeit der Transportbänder: 0 bis 2 Meter pro Sekunde (in Abhängigkeit vom Werkstück) • Werkstück durch Sensor erkannt:
Ja/nein
Der digitale Zwilling des FTS beinhaltet die zulässigen Parameterräume für einen Echtzeit-abgleich durch den Risikoreduzierungsagenten. Läuft das Transportband zu schnell oder identifiziert der Sensor das Werkstück nicht eindeutig, ist das eine Verletzung des Parameterraums. Sofort entzieht der Agent die Freigabe und stoppt das Förderband. Nur wenn nichts befördert wird, erfolgt die dynamische Freigabe. Denn der Transport eines Werkstücks birgt immer auch ein mechanisches Risiko und ist daher nur nach einer positiven Schnittstellenbewertung möglich.
Auch die Andockstation, die das Werkstück von der Produktionslinie zum FTS transportiert, hat zwei gegenläufige Förderbänder. Sensoren erkennen, ob sich ein Werkstück am Ein- oder Ausgang befindet. Die Parameterräume könnten folgendermaßen definiert sein (siehe Abbildung 2):
• zulässige Geschwindigkeit der Transportbänder: 0 bis 2 Meter pro Sekunde (abhängig vom Werkstück)
• Werkstück am Ausgang erkannt:
Ja/nein
• Werkstück am Eingang erkannt:
Ja/nein
Wie beim FTS ist die Andockstation freigegeben, wenn nichts befördert wird, also kein mechanisches Risiko besteht.
Nun bewertet der Agent die Schnittstelle zwischen FTS und Andockstation. Dazu analysiert er mittels eines Visionsystems die Ausrichtung der Förderbänder und des FTS zueinander. Fällt die Bewertung positiv aus, erteilt der Agent die Freigabe und die Übergabe des Werkstücks von einem Modul zum anderen erfolgt.
Fazit und Ausblick
Für eine automatische Safety-bewertung modularer Anlagen empfiehlt sich eine umfangreiche Validierung vor Planungsbeginn. Das Konzept minimiert die Komplexität der Anlagenmodule und Schnittstellen und reduziert Stillstandszeiten. Um Module verschiedener Hersteller nahtlos einbinden zu können, ist ein Standard für den Datentausch notwendig. Das legt den Grundstein für automatisierte, flexible Safety-lösungen in einem hoch dynamischen Produktionsumfeld.
Michael Pfeifer ist Sachverständiger im Bereich Maschinen- und Anlagensicherheit bei der TÜV SÜD Industrie Service Gmbh. Werner Varro ist Teamleiter Industrieelektronik bei der TÜV SÜD Product Service Gmbh.