Schnellere Sicherheitsbewertung mit digitalem Safety-zwilling
Modulare Anlagenkonzepte sollen die Effizienz und Rentabilität in der Produktion und Intralogistik erhöhen. Doch jede geänderte Anlagenkonfiguration muss sicherheitstechnisch neu bewertet werden. Damit dies automatisch und innerhalb der Laufzeit gelingt, bedarf es einheitlicher Safety-profile in der Verwaltungsschale. TÜV Süd und Smartfactorykl zeigen, warum hierfür eine einheitliche Safety-semantik benötigt wird.
MODULARE Produktionsanlagen zeichnen sich dadurch aus, dass sie dynamisch und flexibel auf sich ändernde Marktanforderungen reagieren können. Anlagenmodule werden on-the-fly zusammengestellt, konfiguriert und bei Bedarf wieder entfernt („Plug & Produce“). Sind die resultierenden Änderungen als wesentlich – im Sinne der Maschinensicherheit – einzustufen, muss die Sicherheit des Gesamtsystems neu bewertet werden.
Um Stillstände und damit verbundene Produktivitätseinbußen durch aufwendige manuelle Sicherheitsprüfungen zu minimieren, sollte der Maschinenverbund mit Hilfe von Safety-agentensystemen die Sicherheitsbewertung selbstständig vornehmen können. Dadurch wird dem Verbund die Freigabe schneller erteilt, ohne Kompromisse bei der Sicherheit einzugehen. Als Mitglied der Technologie-initiative Smartfactorykl hat TÜV Süd jetzt das Konzept einer automatisierten Bewertung und Zertifizierung der Maschinensicherheit weiterentwickelt.
Basis für die Smart Factory und die automatisierte Sicherheitsbewertung ist die Abbildung der physischen Anlagen, Anlagenteile und Komponenten in einer digitalen Maschinenrepräsentanz – dem digitalen Zwilling. In diesem werden die physischen Assets einschließlich ihrer Geometrie, Kinematik- und Logikdaten in der digitalen Welt repräsentiert. Dies ermöglicht zunächst den automatischen Informationsaustausch zwischen den Modulen der Anlagen auf digitalen Ebene, obwohl diese in der physischen Welt nicht miteinander kommunizieren könnten.
Digitale Repräsentanz für den Informationsaustausch
Sowohl der Maschinenverbund als auch jedes einzelne Asset benötigen dafür eine eigene Verwaltungsschale (VWS), in der alle wesentlichen Informationen hinterlegt sind – inklusive der sicherheitsrelevanten Daten. Der allgemeine Teil der VWS beinhaltet die Identifikationsinformationen. Weiterführende Teile beschreiben Merkmale wie Leistungsangaben, Statusinformationen und Grenzwerte für den Betrieb. Die VWS wird benötigt, um Anlagenmodule verschiedener Anbieter zukünftig mit reduziertem Aufwand miteinander kombinieren zu können.
Die Verwaltungsschale einer Maschine oder eines Anlagenteils muss zum einen die Informationen enthalten, die für die Realisierung einer dynamischen Maschinensicherheit relevant sind. Zum anderen müssen die Informationen in einer standardisierten Safety-semantik abgelegt sein, damit Smart-safety-agenten diese automatisiert auslesen und passend zuordnen können. Die digitalen Agenten bewerten die sicherheitsrelevanten Ereignisse hinsichtlich ihres Gefährdungspotenzials und wählen unter den möglichen Schutzmaßnahmen die situativ am besten geeignete aus.
Die bloße Gegenüberstellung einer Gefährdung mit einer einzigen Schutzmaßnahme wäre nicht zielführend, um den Ansprüchen nach einer möglichst unterbrechungsfreien Produktion gerecht zu werden. Smart-safety-agenten sind daher so konzipiert, dass sie im Sinne einer intelligenten Risikoreduktion diejenige Schutzmaßnahme auswählen, die sowohl effizient ist als auch die Produktivität möglichst wenig beeinträchtigt. Herkömmliche Sicherheitsfunktio
nen übernehmen auf der untersten Stufe die Rolle einer „Fall-back“-lösung.
Grundbedingung für einen funktionierenden Informationsaustausch ist, dass alle Beteiligten die gleiche Sprache sprechen. Die gilt insbesondere für die automatisierte Informationsaustausch zwischen Maschinen- und Anlagenmodulen. Diese stammen in den Produktionshallen meist von unterschiedlichen Herstellern, da kaum ein einzelner Anbieter alle benötigten Anlagenteile und Komponenten mit seinem Portfolio abdeckt. Damit die Module untereinander reibungslos zusammenarbeiten können, sind einheitliche Standards für Inhalte, Semantik und Schnittstellen notwendig.
Passende Schutzmaßnahmen durch Safety-profil
Diese Voraussetzung muss erfüllt sein, damit der Smart-safety-agent potenzielle Gefahrenquellen analysieren, Risiken abschätzen und Schutzmaßnahmen auswählen kann. Alle möglichen Gefährdungen und die Aspekte zu deren Erkennung und Beurteilung sind dabei in der Safetysemantik im Safety-profil der VWS hinterlegt. Der Agent findet auf dieser Basis die Schutzmaßnahme, die zur Behebung der Gefahr am besten geeignet ist. Sollten mehrere Maßnahmen ein vergleichbares Sicherheitsniveau bieten, wird die effizienteste Variante gewählt.
Ein Beispiel: Ein fahrerloses Transportsystem (FTS) droht mit einem anderen FTS zu kollidieren. Um die Gefährdung durch einen Zusammenstoß zu vermeiden, kann das System mit einer der folgenden Aktionen reagieren: „stehen bleiben“, „Route ändern“oder „Fahrspur anfragen“. Mit der üblichen Schutzmaßnahme „stehen bleiben“würde der Zusammenstoß zwar verhindert, aber auch der Transport unterbrochen. Ist eine Kommunikation zwischen den beiden FTS möglich, kann der Smart-safety-agent nach der Analyse der Situation eine Routen- oder Fahrspuränderung vorschlagen. So könnte der Stillstand vermieden werden, ohne das Sicherheitsniveau zu senken. Scheitert die Kommunikation, greift die herkömmliche Sicherheitseinrichtung und das FTS bleibt stehen.
Abwehr von Cyberangriffen
Modulare Anlagen im Sinne von Industrie 4.0 werden vernetzt ausgeführt, um beispielsweise eine Anlage aus der Ferne zu warten oder Updates einzuspielen. Daher ist der Schutz der Anlage vor Angriffen von außen ein weiterer Sicherheitsaspekt. Cyberangriffe könnten die Integrität der in der VWS hinterlegten Informationen kompromittieren und den sicheren Anlagenbetrieb oder die Qualität der Produkte gefährden. Alle an der Planung, Inbetriebsetzung und dem Betrieb beteiligten Akteure stehen gleichermaßen in der Pflicht, die Anlagen durch geeignete Maßnahmen vor Cyberangriffen zu schützen. Zu den regulatorischen Anforderungen an die Maschinensicherheit zählt auch, dass die Systeme bei erkannten Angriffen Alarm auslösen und die Anlage in einen sicheren Zustand versetzen. In einem ganzheitlichen „Securesafety“ansatz werden daher Cybersecurity und Safety aufeinander abgestimmt.
Für die digitalisierte Risikobeurteilung und Zertifizierung modularer Anlagen ist eine Standardisierung der Safety- und Safety-semantik der digitalen Repräsentanzen essenziell. Ziel ist eine herstellerübergreifende, allgemeine digitale Abbildung der Anlagenkonstellation über die VWS. Die Technologie-initiative Smartfactorykl und TÜV Süd haben im Whitepaper „Safety-anforderungen an die digitale Maschinenrepräsentanz 2020“einen Entwurf veröffentlicht, der mögliche Wege zur Realisierung eines„securesafety“-ansatzes aufzeigt.