Plug & Play im Kontext modularer Produktionskonzepte bedeutet, dass Anlagen nicht nur häufig umgebaut, sondern insbesondere mit Blick auf die Funktionale Sicherheit immer wieder geprüft und zertifiziert werden müssen – von einer unabhängigen Prüfinstanz oder vom Betreiber selbst durchgeführt. Ein dynamisches, modulares Safety-System könnte diesen Prozess deutlich vereinfachen und so beitragen, dass wertvolle Zeit im Produktionsprozess eingespart wird.

Vor diesem Hintergrund entstand im Rahmen der  Technologie-Initiative SmartFactory KL die Idee, bei Anlagenerweiterungen oder -ergänzungen ein vereinfachtes, teil- oder vollautomatisiertes Zertifizierungsverfahren einzusetzen. Demzufolge entwickelte ein Partnerkonsortium – bestehend aus Bosch Rexroth, B&R, Festo, PhoenixContact, Pilz und TÜV Süd – dafür ein dynamisches Safety-Konzept und setzte dieses an der Industrie-4.0-Demo-Anlage um. Das Neue dabei: Erstmals konnte der Nothalt flexibel über einzelne Fertigungslinien und nicht mehr über die komplette Anlage parametriert werden. Die Grundlage hierfür legte die Verwendung des ethernet-basierten Kommunikationsprotokolls Profisafe.

Der Reihe nach: Die Industrie-4.0-Demo-Anlage der SmartFactory KL besteht aus drei Fertigungsbereichen: zwei automatisierten Produktionslinien und einer manuelle Montagestation. Ein fahrerloses Transportsystem verbindet die drei Bereiche und sorgt dafür, dass das zu fertigende Produkt – ein individualisierter Visitenkartenhalter – auf verschiedene Weisen flexibel hergestellt werden kann.

Um das neue Safety-Konzept an der Anlage zu demonstrieren, wurden als Show Case die sogenannten Schleusen der Maschinen gewählt. Die Schleusen stellen die Schnittstellen einer Maschine zu anderen Maschinen im Verbund dar. Bei geschlossenen Schleusen kann die Maschine ihre Sicherheit selbst gewährleisten. In geöffnetem Zustand kann eine Maschine nicht selbst überwachen, ob eine benachbarte Maschine einem Mitarbeiter den Durchgriff durch die Schleuse erlaubt. Daraus ergibt sich folgende Notwendigkeit: Wird die Schutztür einer benachbarten Maschine entsperrt oder ist bei geöffneter Schleuse gar kein Nachbar vorhanden, sollte die Maschine in einen sicheren Zustand wechseln – also zum Beispiel die Schleusen schließen.

Der ortsübergreifende Charakter der SmartFactory KL-Produktionsanlage wird durch die Aufteilung der Module auf zwei Produktionslinien und einen Handarbeitsplatz deutlich.

© SmartFactory KL / C. Arnoldi

In der Vergangenheit waren alle Produktionsmodule der Demo-Anlage mittels Direktverdrahtung in einer einzigen Nothaltschleife zusammengefasst. Diese klassische, drahtgebundene Technik führte jedoch zu hohem Verkabelungsaufwand, wenn neue ­Produktionslinien gebildet wurden. Daneben war die Menge an übertragbaren Informationen stark beschränkt; gleichzeitig war die Ursache eines sicheren Zustands schwer auszumachen. Durch das neue, dynamische Nothalt-Konzept konnten diese Nachteile letztlich ausgeräumt werden.

Den Grundstein für das dynamische Nothalt-Konzept legte wie bereits erwähnt Profisafe, ein Protokoll das in der Automatisierung mittlerweile weit verbreitet ist.

Der dynamische Nothalt

Neben Profisafe als Kommunikations-Backbone wurde eine zentrale Sicherheitssteuerung im Serverschrank eingebaut; gleichzeitig erhielten alle Module der Anlage kleine I/O-Koppler, um die Signale über die funktionale Sicherheit der Produktionsmodule auszutauschen. Über diese Architektur können Module oder Fertigungslinien künftig dynamisch parametriert werden. Durch die mit Mindestabstand physisch getrennte Anordnung der zwei Produktionslinien ergeben sich auch mehrere unabhängige Nothalt-Bereiche. Auch diesbezüglich bringt das neue Konzept Vorteile: Geht eine Linie in einen sicheren Zustand, kann der Rest der Anlage weiterhin produzieren, was im Realbetrieb Produktionsausfälle deutlich reduziert. Mit anderen Worten: Im Kasus eines Nothalts fallen nur einzelne Anlagenteile aus, nicht aber die komplette Anlage.

Ein weiterer Grundbaustein des neuen Safety-Ansatzes ist das Konzept der modularen Zertifizierung des TÜV Süd. Es sieht vor, dass Maschinen sichere Profile implementieren, die in der Verwaltungsschale beschrieben werden. Die Verwaltungsschale vereint alle im Lebenszyklus anfallenden Daten eines Produkts.

Dabei beschreiben die Profile Aufbau, Verhalten und Schnittstellen einer Maschine. Für den Use Case ‚Schleusen‘ bedeutet dies, dass ein Profil ‚Schleuse‘ die Existenz einer physischen Schleuse voraussetzt, die in der Verwaltungsschale abgebildet ist. Es bedeutet auch, dass das Profil zur Schutztür-Überwachung implementiert sein muss, damit gewährleistet werden kann, dass ein Modul auch dann in einen sicheren Zustand geht, wenn bei geöffneter Schleuse die Schutztür geöffnet wird. Eine Validierung zur Laufzeit stellt sicher, dass die Maschine über die nötigen Komponenten zur Implementierung ihrer Profile verfügt, was ebenfalls aus der Verwaltungsschale ersichtlich sein muss. Ferner beschreibt das Profil das Verhalten, dass Schleusen zu schließen sind, wenn eine Schutztür entsperrt wird.

Wenn alle Maschinen eines Verbunds das Profil implementiert haben, kann der Verbund automatisch als sicher bezogen auf Sicherheitsfunktionen, die dieses Profil benötigen, zertifiziert werden. Fehlen notwendige Informationen, muss qualifiziertes Personal die daraus möglichen Sicherheitsrisiken bewerten. Auf diese Weise werden manuell bestätigte Konfigurationen für diese Anlagenkonfiguration gespeichert und sind in Zukunft auf Basis der in der Verwaltungsschale dynamisch neu hinterlegten Sicherheitsparameter ebenfalls automatisch zertifizierbar.

Der Zertifizierungsprozess im Detail

Inspiriert vom Konzept der „Safe Line Automation“ des Mitglieds B&R im SmartFactory-KL-Partnerkonsortium, wurde für die Industrie-4.0-Demo-Anlage ein Zertifizierungsprozess beschrieben. Der Prozess gilt für den Anschluss eines neuen Geräts, Maschinenteils oder einer kompletten Maschine an das Maschinennetzwerk und funktioniert wie folgt: Durch den Einsatz von OPC-UA-Discovery-Mechanismen erkennt eine zentrale sichere Steuerung das neue Element, baut eine Verbindung zu dessen Verwaltungsschale auf und durchsucht sie nach sicheren Profilen. Dabei werden inhärente „OPC UA Security Features“ genutzt, um die Integrität des Prozesses zu gewährleisten. Auf diese Weise bekommt die sichere Steuerung ein vollständiges Bild über die in der Anlage vorhandenen Maschinen und deren sichere Funktionen, ohne dass neue Elemente manuell projektiert werden müssen.

Im nächsten Schritt findet die Validierung der Profile des gesamten Maschinenverbunds statt. Dazu wird geprüft, ob die Maschinen im Verbund in allen Profilen die für die konkrete Anwendung erforderlichen SIL-Anforderungen (Safety Integrity Level) erfüllen. Aus der Kombination von Modulen, Arbeitsprozessen und Werkstück (Material) können sich ein unterschiedliches Risikopotenzial und daraus unterschiedliche Anforderungen an die Sicherheitsfunktion – klassifiziert durch den Safety Integrity Level – ergeben. Dem Konzept der modularen Zertifizierung entsprechend, muss dies beim Anstecken einer Maschine erkannt und ‚on-request‘ korrekt abgearbeitet werden.

Außerdem erfolgt mit Hilfe digital in der Verwaltungsschale abgelegter Zertifikate eine Verifizierung der korrekten Implementierung aller Profile einer Maschine. Im Anschluss werden die Kommunikationsparameter zur sicheren zyklischen Kommunikation aus der Verwaltungsschale ausgelesen und einer Plausibilitätsprüfung unterzogen. Diese gleicht beispielsweise Netzwerk-Timings ab und gewährleistet, dass sichere Reaktionszeiten in allen Sicherheitsfunktionen eingehalten werden können.

Sind alle Prüfungen erfolgreich abgeschlossen, baut die Steuerung die Verbindung zur zyklischen Kommunikation auf und führt zuletzt eine profilspezifische Validierung der Sicherheitsfunktionen durch. Dabei wird durch bewusstes Auslösen von Teilen oder der Gesamtheit der Sicherheitsfunktionen sichergestellt, dass diese dynamisch korrekt implementiert und konfiguriert sind. Während alle Prozessschritte bis einschließlich der Plausibilitätsprüfung über OPC-UA-Kommunikation stattfinden können, ist eine sichere Kommunikation, die auf einem zertifizierten, sicheren Protokoll basiert, für den tatsächlichen Betrieb unerlässlich.

In einem nächsten Schritt ist vorgesehen, eine TSN-basierte Implementierung eines Safety-Protokolls in der Demonstrationsanlage umzusetzen, sobald die dafür notwendigen Produkte am Markt verfügbar sind.

Autoren:
Dr. Haike Frank ist Leiterin für Öffentlichkeitsarbeit und Marketing in der SmartFactory KL;
Moritz Ohmer leitete die Arbeitsgruppe Safety in der SmartFactory KL bis Ende August 2017.