Die Wireless-Kommunikation hält verstärkt Einzug in die Produktion. In vielen Fällen wird zu den bestehenden Schnittstellen eine drahtlose ergänzt. Speziell dort, wo es gilt, mobil Maschinen zu bedienen, ist man schnell versucht, Tablets für die Bedienung einzusetzen. Für die reine Visualisierung oder Datenerfassung mag dies funktionieren; nicht jedoch wenn es darum geht, Aufgaben in Gefahrenbereichen zu erledigen oder eine Maschine beziehungsweise einen Roboter direkt zu bedienen. In diesen Fällen sind Sicherheitsfunktionen wie Not-Halt oder Zustimmtaster unumgänglich.

Diese Sicherheitsfeatures können klassische Tablets nicht bieten, weswegen für die Bedienung im Gefahrenbereich bis dato in der Regel auf klassische HMI-Bedien-geräte mit Kabel zurückgegriffen werden muss. Diese gewährleisten neben der Versorgung auch die Datenkommunikation und nicht zuletzt die Übertragung der Sicherheitsfunktionen, entweder diskret oder über Safety-Protokolle.

Möchte man mobile Bediengeräte im sicherheitsrelevanten Umfeld einsetzen, ist unter anderem zu beachten, dass keine gefährlichen Bewegungen außerhalb des Sichtbereichs ausgelöst werden. Ein Kabel stellt bei korrekter Auswahl der Länge – meist 5 m, 10 m oder 15 m – eine konstruktive Wirkbereichseinschränkung dar. Dies ist bei Wechsel auf Funk eine der größeren Herausforderungen. Man könnte mittels einer Kette oder Schnur einen Wirkbereich definieren; dies würde jedoch den Zweck eines Wireless-Bediengerätes konterkarieren. Neben der Wirkbereichseinschränkung sind Themen wie Verfügbarkeit und Reaktionszeiten zu lösende Herausforderungen. Direkt verdrahtete Not-Halt-Taster etwa weisen immerhin eine Reaktionszeit im zweistelligen Millisekunden-Bereich und darunter auf und sind hoch verfügbar. 

Verlässt der Bediener den Wirkbereich sowie die Toleranzzone, wird nach einer definierten Zeit automatisch ein Not-Halt ausgelöst.

© Keba

Die Praxis lehrt, dass abhängig von der Geschwindigkeit der bewegten Achsen (Roboter, Portale, fahrerlose Transportfahrzeuge) ein Nachlauf von maximal 100 ms gewährleistet sein muss. Bei der gemäß EN10218-2 zulässigen reduzierten Geschwindigkeit von 250 mm/s sind das akzeptierte 2,5 cm. Will man nun WLAN für die Kommunikation des Not-Halt-Signales mittels Black-Channel-Prinzip nutzen, sind diese 100 ms durchaus erreichbar – aber nicht garantiert. An der auswertenden Sicherheitssteuerung hat nur der Status ‚Not-Halt nicht aktiv/gedrückt‘ anzukommen. Erreicht diese Information die Sicherheitssteuerung zu spät oder – im schlechtesten Fall – nicht, wird ein Not-Halt ausgelöst. Idealerweise geschieht dies immer nur dann, wenn auch ein Not-Halt gedrückt wurde. In diesem Fall wäre auch die maximale Maschinenverfügbarkeit gewährleistet.

Da aber die WLAN-Kommunikation nur schwer völlig einschränkbar ist und keine garantierten Latenzzeiten kleiner 100 ms zu erwarten sind, kann es zu Paketverlusten oder Verzögerungen in der Kommunikation der Sicherheitsdaten kommen. Das führt dazu, dass die Maschine in Not-Halt geht, ohne dass der Not-Halt gedrückt wurde. Dabei handelt es sich um einen Zustand, der aus Sicht des TÜV zulässig und somit abzunehmen ist. Aus Sicht des Betreibers ist dieser Zustand allerdings nicht zufriedenstellend, da damit Ziele wie Effektivitätssteigerung in weite Ferne rücken.

Für den Maschinen- oder Anlagenbetreiber bedeutet dieser Umstand, Kompromisse eingehen zu müssen. Man könnte  die WLAN-Kommunikation einschränken beziehungsweise andere WLAN-Teilnehmer in der Produktion ausgrenzen, um unerwünschte Not-Halt-Situationen zu vermeiden  – dies wird aber zunehmend unrealistischer. Da die Bilddatenübertragung zum mobilen Bediengerät über WLAN läuft, ist hier beispielsweise im Design der Applikationsarchitektur sicherzustellen, dass die Applikation den Kommunikationskanal zu keinem Zeitpunkt so extrem auslastet, dass durch weitere unabdingbare Use Cases, wie beispielsweise Dokumentation in der Cloud oder Remote Services, wieder ein unerwünschter Not-Halt ausgelöst werden könnte. Das ist zwar realisierbar, aber nicht einfach umzusetzen, und bedeutet zumindest einen nicht zu unterschätzenden Aufwand sowie Einschränkungen. Mittlerweile nicht mehr wegzudenkende Funktionen, wie etwa die bereits erwähnte Kamera, müssten unterbunden oder eingeschränkt werden – für viele ein absolutes No-Go.

Ein weiterer wichtiger Punkt ist die Toleranz- beziehungsweise Reaktionszeit. Auch hier müsste ein Kompromiss gefunden werden, damit ein unerwünschter Not-Halt selten bis gar nicht auftritt. Mit der Erhöhung der Toleranzzeit lässt sich zwar ein akzeptabler Wert für die Verfügbarkeit finden; dies setzt jedoch weiterhin voraus, dass die genutzte Bandbreite stabil bleibt. Eine spätere Integration oder ein Retrofit, bei dem ein kabelloses System über WLAN zum Einsatz kommt, hätte hierauf aber massiven Einfluss. Die vorab ‚designte‘ Toleranzzeit müsste nun mit der Maschinensicherheitsbetrachtung abgeglichen werden. Das bedeutet: Aus den bereits erwähnten 2,5 cm würden bei 500 ms (ein zum Beispiel im Feld empirisch ermittelter Wert, bei dem die Standard-WLAN-Nutzung zu fast keinen Not-Halt-Paketverlusten mehr führt) eben 12,5 cm. Die gleichen Werte gelten nicht nur bei Not-Halt, sondern auch hinsichtlich des potenziellen Nachlaufs von Achsen beim Loslassen des Zustimmtasters und letztendlich auch für die nicht sichere Kommunikation.
 

Funktionale Tasten via Funk

Im Akkubetrieb ist das Handbediengerät bis zu vier Stunden nutzbar.

© Keba

Ein Tastendruck soll üblicherweise zur unmittelbaren Reaktion führen. Beim Aktivieren einer Bewegung mag es akzeptabel sein, dass eine Bewegung einmal nach 50 ms und ein anderes Mal nach 200 ms Reaktionszeit initiiert wird (bis 100 ms nimmt Studien zufolge der Mensch dies noch als unmittelbar wahr). Beim Stopp der Achse oder Stoppen einer Maschine hingegen, kann eine nicht garantierte Reaktionszeit Nachlaufzeiten zur Folge haben, was zu Genauigkeitsproblemen oder im schlimmsten Fall zur Zerstörung von Werkstücken führt. Ein zudem nicht vorhersehbarer Nachlauf lässt sich auch von einem erfahrenen Bediener nicht in den Griff bekommen – damit sind Bewegungs- und Verfahrtasten mit undefinierten Reaktionen ergonomisch unbrauchbar.

Eine Alternative ist, die Kommunikation der sicheren Signale auf andere Technologien zu legen. Hier bietet sich zum Beispiel Bluetooth mit seinem Frequenzsprungverfahren und der Trennung der Bandbreiten an. Sicherheitssignale mit minimaler Bandbreite können auf diese Weise unabhängig von den WLAN-Signalen des Bediengerätes und unabhängig von anderen WLAN-Teilnehmern übertragen werden. Mit anderen Worten: Es lassen sich damit stabile Reaktionszeiten von garantiert unter 100 ms unabhängig von der WLAN-Last erzielen. Dieses Verfahren der getrennten Funkstrecken gewährleistet eine robuste sichere Funkverbindung (Verfügbarkeit) bei schnellen und garantierten Reaktionszeiten.

Wirkbereich der sicheren Bedienung

Wie bereits erwähnt, ist eine weitere Funktion des Kabels die Begrenzungsfunktion. Sie soll sicherstellen, dass aus zu großer Entfernung ohne Einsicht keine gefahrenauslösende Bewegung initiiert werden kann – wenn es auch oft mühsam ist, nur wenige Schritte gehen zu können, da das Kabel eben begrenzt wurde. Ein Beispiel: Das Kabel ist auf Position ‚6 Uhr‘ montiert und gewährleistet im Uhrzeigersinn den Weg bis ‚2 Uhr‘ und gegen den Uhrzeigersinn bis ‚10 Uhr‘. Will man von der Position ‚2 Uhr‘ auf ‚4 Uhr‘, kann man nicht den kurzen Weg gehen, sondern muss davor bei ‚6 Uhr‘ vorbei, da das Kabel eben entsprechend bemessen wurde. 

WLAN- und Bluetooth-Komponenten weisen eine hohe Reichweite von 30 Metern und mehr auf. Was einerseits für viele Applikationen ein gefordertes Feature ist, bedeutet andererseits, dass unter Umständen die sichere Verbindung und dadurch das Steuern sicherheitsrelevanter Bewegungen noch in einer Entfernung möglich ist, aus der die Einsicht in die Gefahrenzone nicht mehr gewährleistet ist. In der Praxis würde dies bedeuten, dass ein Bediener, der beispielsweise in den Pausenraum geht, einen weiteren Bediener, der direkt an der Maschine steht, gefährden könnte. Um dies auszuschließen sind zwar organisatorische Maßnahmen möglich; laut Maschinenrichtlinie sind jedoch konstruktive Schritte vor steuerungstechnischen und vor organisatorischen Maßnahmen umzusetzen.

Die Umsetzung am Beispiel KeTop T15x safe wireless

Vor dem Hintergrund der in diesem Artikel diskutierten Überlegungen ist bei Keba das Konzept der mobilen Bediengerätegeneration KeTop T150/T155 safe wireless entstanden. Um die im Safety-Umfeld geforderten Reaktionszeiten einhalten zu können, werden bei dieser Lösung alle Visualisierungsdaten über eine WLAN-Verbindung zwischen einer sogenannten ‚Connection Box‘ und dem Handbediengerät übertragen, alle Sicherheitsdaten hingegen via Bluetooth. Die bestehenden WLAN-Infrastrukturen sind dabei weiterhin verwendbar, Betrachtungen zur Netzauslastung oder weitere besondere Vorkehrungen bezüglich Industrial WLAN müssen nicht getroffen werden.  

WiFi-Optionen sorgen dafür, dass das HMI-Gerät mit inaktivem Not-Halt und Zustimmtaster im Tablet Mode nutzbar ist.

© Keba

WiFi-Optionen sorgen dafür, dass das HMI-Gerät mit inaktivem Not-Halt und Zustimmtaster im Tablet Mode nutzbar ist. Falls dies nicht gewünscht ist, entsteht erst nach dem Pairing – also dem Initiieren der Punkt-zu-Punkt Verbindung mit der Basisstation – ein lokaler, dedizierter Funkmodus. Das lokale WiFi der Basisstation ist für andere Geräte nicht sichtbar und somit nur mit einem KeTop T15x zu verbinden. Vor und nach dem Pairen/Unpairen ist es möglich, das WiFi inaktiv zu setzen. Diese Funklösung wurde geschaffen, um Security-Richtlinien Rechnung tragen zu können. Durch die Trennung von WLAN für Visualisierungsdaten und Bluetooth für Security-Daten wird ein Eindringen von außen zusätzlich erschwert. Für das Pairen an sich wurde eine weitere Verbindung geschaffen (RFID), um auch hier höchste Sicherheitsstandards gewährleisten zu können. Zusammengefasst bedeuten diese abgetrennten Funkverbindungen, dass selbst ein temporärer Ausfall der Applikation keinen Not-Halt auslösen oder den Zustimmtaster auf inaktiv setzen würde.

Zum Thema Wirkbereichsbegrenzung: WLAN oder Bluetooth bieten auch die Grundlage, um Entfernungen zu ermitteln. Feldstärkenmessungen sind dafür nicht zuverlässig beziehungsweise nicht genau genug, da beispielsweise Temperatur- oder Luftfeuchte-Veränderungen bereits den gemessenen Wert um mehr als den Toleranzbereich verändern können. Seitens Keba wird aus diversen Gründen eine Technologie zur Distanzmessung und damit zur Wirkbereichseinschränkung realisiert, die von den im Bereich der Maschinen zu installierenden Komponenten unabhängig ist. Dabei wird eine maximale Distanz definiert und es ergibt sich dadurch ein theoretischer Kreis um die Basisstation ähnlich wie bei einem kabelgebundenen Gerät um die Steckstelle.

Indem nun der Bediener dadurch geführt werden kann, dass ihm eine Warnung zur Kenntnis gebracht wird, sobald er die Wirkbereichsgrenzen erreicht, kann man von einem tatsächlichen Kabelersatz aus der Sicht der sicheren Maschinenbedienung sprechen. Wird eine erste definierte Schwelle überschritten, soll die kontinuierliche Bedienung weiter möglich sein. Ein Not-Halt oder ein unmittelbares Wegnehmen der Zustimmung hingegen mag zulässig erscheinen, aber nicht akzeptabel sein – schließlich ist das Motto Usability und Safety, nicht vice versa. Bei der Keba-Lösung lässt sich nun zusätzlich ein Warnbereich parametrieren, der als ‚Puffer‘ zwischen Wirkbereich und Übertretungsbereich dient. Des Weiteren sieht das Konzept einen pulsierenden Not-Halt und Vibration des Bediengerätes vor. Dies soll den Bediener dazu veranlassen, sich in einem konfigurierbaren Zeitraum wieder näher an die Maschine zu begeben. Sollte der Bediener trotz optischer und haptischer Warnungen unbelehrbar sein und sich aus den Warnbereich hinaus entfernen, so wird die Zustimmung weggenommen und ein Not-Halt ausgelöst.

Last but not least hat sich am Ort der (sicheren) Bedienung laut Norm immer ein funktionsfähiger Not-Halt zu befinden. Daher sieht die Keba-Lösung – auch aus Gründen der einfacheren Installation an der Basisstation – immer einen funktionsfähigen Not-Halt vor. Das Konzept des KeTop T15x safe wireless ist vom TÜV Rheinland geprüft und entspricht den Sicherheitsstandards gemäß SIL3 sowie Kat4/PLe.

Autor: Dr. Christian Hüttner ist Produktmanager bei Keba.