Es ist noch nicht allzu lange her, da musste sich die Sicherheitstechnik von Roboteranwendungen auf eine sehr geringe Anzahl von parallel verdrahteten Signalen stützen. Zum Roboter wurden der Not-Halt der Anlage und das Öffnen der Schutztür übertragen. Er selbst meldete seinen lokalen Not-Halt am Bediengerät zur Anlage, in manchen Anwendungsfällen zudem seine aktuelle Betriebsart.

Die Sicherheitspfade waren stets als Hardware-Lösung in Relais- und Schütztechnik ausgeführt und Arbeitsbereichs- Überwachungen bestanden aus direkt an der Roboter-Mechanik befestigten, mechanischen Führungsringen mit sicheren Initiatoren, die die Einzelachs- Position des Roboters an die überlagerte Sicherheitslogik meldeten. Der Roboter „entschied" dabei nie selbst, ob seine aktuelle Position „erlaubt" war, oder nicht. Und auch hier ließen sich in Summe maximal sechs Bereiche der drei Grundachsen überwachen.

Mit der Einführung der „sicheren Robotertechnik" vor wenigen Jahren wurden die Basis-Sicherheits-Funktionen zwar um kartesische Arbeits- und Schutzräume, um kartesische Geschwindigkeitsüberwachungen und um den sicheren Betriebshalt erweiterte; der einschränkende Faktor blieb aber weiterhin die Kommunikation! Das Problem dabei: Bereits seit Mitte der 90er Jahre war durch den zunehmenden Einsatz von Feldbus-Systemen die digitale Schnittstelle des Roboters zur überlagerten Linien- SPS von 4 Byte auf mehrere 100 E/As erweitert worden, um der zunehmenden Komplexität zum Beispiel von Karosseriebau-Linien in der Automobilindustrie gerecht werden zu können.

Variantenvielfalt, gesteigerter Diagnosebedarf und komplexere Prozesse machten es bereits zu dieser Zeit unmöglich, bei der Technik der Parallelverdrahtung zu verbleiben. Was die Sicherheitsanbindung des Roboters betrifft, änderte sich allerdings nichts: Die Anlagensicherheit beschränkte sich weiterhin auf Parallel-Verdrahtung zu einer zentralen Relais- und Schütztechnik.

Die Roboter sicher beeinflussen

Aufgrund dieser unbefriedigenden Situation war eine Weiterentwicklung der sicheren Robotertechnik unumgänglich. In einem ersten Schritt galt es, die Sicherheitsfunktionen des Industrieroboters von reinen Überwachungsfunktionen hin zu Funktionen weiter zu entwickeln, die die Bewegung und die Geschwindigkeit des Roboters nicht nur überwachen, sondern auch sicher beeinflussen können.

Die klassische Reaktion einer Überwachung, stets mit einem „Stopp 0" zu reagieren, war dabei in einer Vielzahl von Applikationen nicht akzeptabel. Die Komplexität von Roboterzellen in der Fertigung erforderte in einem zweiten Schritt, eine große Anzahl von Arbeits- und Schutzräumen, von individuellen Geschwindigkeitsüberwachungen sowie von unterschiedlichen Roboter-Werkzeugen zur Verfügung zu stellen. Jede dieser Funktionen benötigt aber einen sicherheitsgerichteten Eingang zur dynamischen Aktivierung oder einen sicherheitsgerichteten Ausgang für Meldefunktionen.

Parallel verdrahtete Schnittstellen können dieser Anforderung allein aus Kostengründen nicht gerecht werden. Die zwingende Konsequenz aus diesen beiden Anforderungen ist eine Verlagerung der überwachenden Sicherheits-Instanz in die Bewegungssteuerung des Roboters und eine breite, sicherheitsgerichtete Schnittstelle, die ohne Parallelverdrahtung realisierbar ist. Als Antwort auf diese Herausforderungen hat Kuka in puncto Safety jetzt einen komplett neuen Weg eingeschlagen - die Realisierung der Sicherheitssteuerung und der Sicherheitskommunikation in Software auf der Robotersteuerung selbst!

Safety in Software mit Multicore-Prozessoren

Zum besseren Verständnis der neuen Safety-Strategie sei erneut ein kurzer Blick zurück erlaubt: Klassisch wurden die Sicherheitsfunktionen von Robotern in dedizierten Sicherheitssteuerungen realisiert.

Die Architektur der neuen Robotersteuerung mit integrierter Sicherheitssteuerung.

© Kuka Roboter

Diese Hardware-Baugruppen ermittelten die Achs-Positionen des Roboters über die Weggeber, berechneten daraus die Position des Roboters im Raum und verglichen sie mit aktivierten Überwachungsräumen.

Eine Schnittstelle zur Bewegungsplanung oder gar der Antriebsregelung des Roboters war nicht vorhanden, so dass diese „externen" Sicherheitssteuerungen lediglich mit einem „Stopp 0" reagieren konnten. Aus diesem Grund hat Kuka für die kommende Steuerungsgeneration ein völlig neues Konzept entwickelt, das auf der Basis der seit langem im Consumer-Bereich erfolgreich eingesetzten Multi-Core- Technologie aufbaut. Diese Technologie ermöglicht es einerseits, die für Sicherheitsanwendungen geforderte Zweikanaligkeit zu erfüllen. Andererseits ist es damit machbar, auch die bisher als diskrete Hardware-Baugruppe ausgeführte Antriebsregelung auf einer einzigen CPU zu realisieren.

Dabei läuft die Sicherheits- Steuerung in zwei Instanzen des sicheren Betriebssystems auf jeweils einem Core des Prozessors und garantiert damit die geforderte Kat.3-Architektur bei Performance- Level d (Anforderung nach ISO 10218-1 „Sicherheitsanforderungen für Industrielle Roboter"). Auch die Bahnplanung ist als Software-Task realisiert und arbeitet zusammen mit einer Instanz der Sicherheits-Steuerung auf einem Core des Prozessors. Somit laufen alle drei für die Ausführung einer Roboterbewegung zuständig Tasks - die Bahnplanung, die Regelung und die Sicherheit - auf derselben CPU. Diese Integration schafft die Voraussetzung dafür, dass jeder Task von jedem anderen Task überwacht und beeinflusst werden kann.

Die Kommunikation zwischen Bahnplanung, Regelung und Sicherheit erfolgt jetzt nicht mehr durch externe Bussysteme oder gar per Parallel- Verdrahtung, sondern innerhalb der CPU. Damit entfallen alle systembedingten, funktionalen Einschränkungen, die sich aus den Steuerungs-Architekturen der Vergangenheit ergeben haben. Dieser erste Schritt von der reinen Überwachung hin zur „sicheren" Steuerung erlaubt es, in nahezu allen Fällen statt eines „Stopp 0" (der Roboter verlässt die Bahn) mit einem geregelten „Stopp 1" (der Roboter bleibt auf der Bahn) zu bremsen.

Somit kann nun eine sicher überwachte Bremsrampe auf der Bahn gefahren werden, was ein Verlassen der programmierten Bahn und unerwartete Bewegungen des Roboters (etwa ein Durchsacken) verhindert und letztlich für zusätzliche Sicherheit in der Applikation sorgt. Auf den Punkt gebracht: Die „sicheren Roboterfunktionen" werden in der neuen Steuerungsgeneration zu einer reinen Software-Funktion, die ohne die Einschränkungen von Hardware oder paralleler Verdrahtung nahezu beliebig erweiterbar sind.

Sicherer Antriebsbus auf Basis von Ethercat

Die sichere Positionserfassung - die Voraussetzung für alle sicherheitsgerichteten Funktionen - ist künftig bei Kuka ebenfalls eine Standardfunktion jedes Robotersystems. Die Resolver-Signale werden üblicherweise über eine Baugruppe am Roboter sicherheitsgerichtet erfasst, sicherheitsgerichtet ausgewertet und auf Plausibilität überprüft.

Grundlage für die sichere Übertragung der Positionswerte des Roboters ist der sichere Antriebsbus, der bei Kuka künftig auf dem fehlersicheren Ethercat-Protokoll basiert (Failsafe over Ethercat - FSOE). An diesen sicheren Antriebsbus, der im 8- kHz-Raster arbeitet, werden zudem die Umrichter und das Versorgungs-Modul angeschlossen.

Diese Architektur führt zum Wegfall diskreter Hardware-Baugruppen; ebenso sind auf diese Weise die sichere Einzelachs- Bremsung und sichere Leistungs-Abschaltung von Einzelachsen als reine Software-Funktion ausführbar. Nicht zuletzt kann der Anwender dadurch auf redundante Hauptschütze verzichten und dennoch den hohen Sicherheitsstandard für industrielle Roboter nach ISO 13849-1 erfüllen.

Safety-Kommunikation auf elf Millimetern

Wie eingangs erwähnt, limitierte in der Vergangenheit vor allem die mangelnde Verfügbarkeit kostengünstiger, sicherheitsgerichteter E/A die Funktionalität des sicheren Roboters.

Aufbau des Profinet I/O- und des Profisafe Software-Stacks.

© Kuka Roboter

Auch hier beschreitet Kuka künftig den Weg von der Hardware-Anschaltung mit Parallel-Verdrahtung hin zur reinen Software-Lösung. Das heißt: Auf der Basis des Profisafe- Protokolls wurde ein Software-Stack integriert, der sowohl die Standard-E/A (Profinet-I/O) als auch die sicherheitsgerichteten E/A (Profisafe) der überlagerten SPS ohne zusätzliche Hardware realisiert.

Um zu verstehen, welche Vorteile damit einhergehen, bedarf es einer näheren Erläuterung. Die modernen Anlagen- und Sicherheitskonzepte speziell im Bereich der Automobilindustrie fordern immer mehr dynamisch aktivierbare, kartesische Schutzoder Arbeitsbereiche, um die Anlagen noch kompakter realisieren zu können und die Werkersicherheit zu erhöhen. Hierfür sind schnell 16 sichere Eingänge erforderlich. Die zunehmende Modell-Flexibilität der Produktion führt zusätzlich in vielen Fällen dazu, dass der Roboter mit mehreren Prozess- und/oder Handlings-Werkzeugen arbeiten muss, um die unterschiedlichsten Modelltypen zu bearbeiten.

Da die Form und das Gewicht der Werkzeuge bei der Überwachung von kartesischen Räumen sicherheitsrelevant sind, müssen sie beim Werkzeugwechsel der Robotersteuerung sicherheitsgerichtet übertragen werden - was nochmals 16 sichere Eingänge erfordert. Zusammen mit dem „Sicheren Betriebshalt" nicht nur der Roboterkinematik sondern auch von Linear-, Zusatz- und Positionierer-Achsen (6 Eingänge) und dem „Sicheren Melden" von Roboterpositionen an eine zentrale Sicherheits-SPS (16 Ausgänge) ergibt sich zusammen mit den Standard-Sicherheitssignalen in Summe eine sicherheitsgerichtete Schnittstelle von 64 E/A. Würde diese Schnittstelle wie bisher durch eine diskrete Profisafe-Anschaltung mit Anschaltungskopf und modularer Scheibentechnik realisiert, ergäbe sich auf einer Hutschiene eine Breite von fast 3,4 Metern!

Die extrem hohen Investitionskosten für die Anschaltung und die E/AScheiben sowie der zusätzliche Verdrahtungsaufwand machen verständlicherweise eine solche Lösung im höchsten Grad unwirtschaftlich und zudem fehleranfällig. Abgesehen davon fände sie im kompakten Steuerschrank der neuen Kuka- Steuerungsgeneration keinen Platz. Ganz anders die softwarebasierte Sicherheitsschnittstelle: Sie benötigt genau 11 mm - und zwar die Breite eines RJ45- Steckers - und befindet sich direkt auf dem Motherboard. Über den RJ45-Stecker werden die bis zu 2048 digitalen E/A des Profinet-Device, die bis zu 2048 digitalen E/A des Profinet-Controllers und die zurzeit 64 sicherheitsgerichteten E/A des Profisafe-Device übertragen.

Sicherheitsfunktionen - die nächste Generation

Die Flexibilität und die Ausbaufähigkeit von Software-Lösungen für den Bereich der Sicherheits-Steuerung zusammen mit einer Profisafe-Kommunikation bringt viele Vorteile mit sich: So lassen sich beispielsweise das Umrangierungen einzelner E/A zur Anpassung der Kommunikationsschnittstelle an kunden- oder applikationsspezifische Vorgaben und/oder Modifikationen einzelner Steuerungsfunktionen des sicheren Roboters gemäß den Prozessanforderungen einfach und schnell umsetzen.

Der größte Vorteil liegt jedoch in der nahezu unbegrenzten Erweiterbarkeit der Kommunikationsschnittstelle: Während in der Vergangenheit die Einschränkungen der sicheren Roboterfunktionen immer im Bereich der zur Verfügung stehenden sicherheitsgerichteten Ein- und Ausgänge lagen, sind mit dem Software-Stack diese Schranken jetzt gefallen. Damit werden völlig neue, bisher unvorstellbare Anwendungen möglich - sowohl funktional als auch kostenmäßig. Was ist damit im Einzelnen gemeint? Speziell im Bereich der Mensch-Roboter- Kooperation, aber auch beim Einsatz von Robotern in der Medizintechnik, wird eine neue Generation von Sensoren Einzug halten.

Solche Sensoren übertragen in Zukunft die Position des Werkers in x-, yund z-Koordinaten eines gemeinsamen Koordinatensystems direkt und sicher an den Roboter (mindestens 48 Eingänge!). Sensorsystem und Roboter „sehen" und „arbeiten" dann in der gleichen Koordinaten- Welt. Damit entfällt das umständliche Konfigurieren von Überwachungsbereichen in zwei Welten - der Welt der sicheren Kamera und der Welt des Roboters. Gleiches gilt für sichere Kraft-Momenten- Sensoren: Auch hier wird der Roboter „fühlen" lernen, indem er über breite, sicherheitsgerichtete Schnittstellen mit externen Kraft-Momenten-Sensoren kommuniziert und selbstständig auf seine Umwelt reagiert.

Damit nicht genug: Viele zukünftige, sicherheitsgerichtete Anwendungen erfordern es, die aktuelle Position, die Werkzeug-Orientierung und die Geschwindigkeit des Roboters sicher zu kennen (mindestens 112 Ausgänge!) oder aber die gleichen Parameter dem Roboter sicher vorzugeben (mindestens 112 Eingänge!). Dieser Informationsaustausch kann ausschließlich mittels eines Software-Stacks stattfinden, denn die Schnittstelle ist immer nur 11 mm breit! Eine herkömmliche Hardware-Schnittstelle wäre gleichbedeutend mit etwa 6 Metern Einbaubreite!

Autor: Peter Klüger ist im strategischen Produktmanagement bei Kuka Roboter verantwortlich für den Bereich Automobilindustrie und die Sicherheitstechnik.