Sicherheit ist traditionell geprägt von binären Ereignissen wie beispielsweise der Betätigung einer Not-Halt-Einrichtung, dem Öffnen einer Schutztür oder der Unterbrechung eines Lichtvorhanges. Noch heute ist das Sicherheitskonzept vieler Maschinen und Anlagen so ausgelegt, dass beim Betreten eines Schutzbereiches sämtliche Antriebe oder die gesamte Anlage stromlos geschaltet werden. Ein solches „hartes Abschalten“ ist jedoch meist mit Nachteilen verbunden – sei es durch den Verlust an Produktivität, verlängerte Stillstandzeiten infolge von aufwendigeren Prozeduren zur Wiederinbetriebnahme oder einer Beschränkung im Bedien- und Wartungskonzept der Maschine.

Mit Blick auf die allgegenwärtige Forderung nach stetig steigender Produktivität ist dies ein unhaltbarer Zustand. Mit anderen Worten: Es muss möglich sein, in definierten Schutzzonen einer Anlage tätig zu sein, ohne dass der gesamte Produktionsprozess zum Erliegen kommt. Denn Stillstands- und Revisionszeiten spielen eine zunehmend wichtige Rolle bei der Bewertung des gesamten Maschinenlebenszyklus. Da sich Sicherheit aber in den seltensten Fällen auf einzelne Bereiche oder Komponenten einer Anlage bezieht, sondern mehr und mehr zu einem wichtigen Bestandteil der Gesamtfunktion und der Gesamtkostenbetrachtung einer Anlage wird, lässt sie sich auch nicht mehr für sich allein betrachten.

Aus all diesen Anforderungen erwächst der Wunsch nach dynamischer Sicherheit – also einer flexibleren Anpassung der Sicherheitsfunktionen an die sich verändernden Schutzanforderungen. Damit verändert sich auch der Blick auf die Sicherheit als solche; sie wird weniger nur als ein Produkt gesehen, sondern vielmehr als eine Geräte-übergreifende Funktion.

Normen und Richtlinien bilden den Rahmen

Den Rahmen für sicherheitstechnische Lösungen geben die geltenden Gesetze und Normen vor. Innerhalb der Europäischen Union ist die Maschinenrichtlinie der Maßstab, an dem sich die funktionale Sicherheit von Maschinen und Anlagen orientieren muss. Wesentliche Bedeutung in der Maschinenrichtlinie haben die Normen EN 62061 (Sicherheit von Maschinen – funktionale Sicherheit von elektrischen, elektronischen und programmierbaren Steuerungen von Maschinen) sowie die EN ISO 13849-1 (Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen). Im Vergleich zu ihrer Vorgängernorm EN 954-1 bietet diese eine konkretere Orientierung in der Umsetzung von Sicherheit und ist somit eine wichtige Voraussetzung dynamischer Sicherheit.

Ein robustes und einfaches Prinzip, jedoch nicht mehr „up to date“: Eine Schutztür wird geöffnet, der Sensor erkennt dies und erzeugt ein Abschaltsignal für die sichere Maschinensteuerung.

© Pilz

Ein Beispiel ist die Betriebsart „Betrieb bei geöffneter Schutztür“, die auf Basis der EN 954-1 nicht definiert war. Bislang wurde der dazu notwendige Betriebs­artenwahlschalter als separater Schlüsselschalter – oftmals ohne jegliche Sicherheitsfunktion – ausgeführt. Die entsprechenden Vorgaben für die sichere Funktion einer Betriebsartenwahl liefern nun die C-Normen mit Bezug zur Maschinenrichtlinie 2006/42/EG, die EN ISO 12100-2 („Sicherheit von Maschinen – Allgemeine Gestaltungsleitsätze – Risikobeurteilung und Risikominderung“) und EN 60204-1 („Sicherheit von Maschinen – Elektrische Ausrüstungen von Maschinen – Teil 1: Allgemeine Anforderungen“). Die darin enthaltenen Definitionen ermöglichen weitere Ausprägungen wie etwa die „Sichere reduzierte Geschwindigkeit bei geöffneter Schutztür“. In der Betriebsart „Einrichtbetrieb“ dient nun die sichere Überwachung der Geschwindigkeit dazu, unnötige Stillstands- und Wiederinbetriebnahmezeiten zu vermeiden.

Die genaue Kenntnis von dem, was rechtlich gesehen erlaubt und technisch möglich ist, ist letztlich Voraussetzung für eine Ausgestaltung einer Sicherheitstechnik, die ein möglichst großes Potenzial für einen produktiven Betrieb von Maschinen bietet. Im Rahmen der Vorgaben durch die Normen EN 13849-1 und IEC 62061 gilt, dass sicherheitstechnische Lösungen über die gesamte Prozesskette von Sensorik, über Steuerung bis hin zur Aktorik mit ihren individuellen Kennwerten zu betrachten und mathematisch zu bewerten sind. Dies erfordert mitunter vielschichtige Zustände oder die Ergebnisse komplexer Berechnungen, auf die die Sicherheit angemessen reagieren muss. Kurzum: Automatisierungsaufgaben lassen sich heute immer weniger mit klassischen Vorgehensweisen lösen!

Ein Muss – Sensoren mit Weitsicht

Viele Sicherheitssensoren arbeiten nach einem streng binären Modell: Eine Schutztür wird geöffnet, der Sensor erkennt dies und erzeugt ein Abschaltsignal für die sichere Maschinensteuerung. Für dynamische Sicherheitskonzepte müssen Sensoren zu einer deutlich abgestuften Betrachtung von Ereignissen in der Lage sein. Sie sollten beispielsweise unterscheiden können, ob sich ein Mensch im potenziellen Ak-tionsraum einer Gefahr-bringenden Bewegung aufhält (Warnraum) oder bereits eine Zone mit erhöhter Sicherheitsanforderung betreten hat (Schutzraum). Diese Räume müssen sich dynamisch anpassen lassen und beispielsweise den Bewegungen der Maschine oder eines Roboters nachgeführt werden.

Elektronische Sensorsysteme, wie etwa sichere Kamerasysteme, sind wesentlich leistungsfähiger und stellen deutlich mehr Informationen zur Verfügung als ein rein binäres Schaltsignal.

© Pilz

Neue kamerabasierte Verfahren wie zum Beispiel das System SafetyEYE für die Raumüberwachung oder das mitfahrende Schutzsystem PSENvip für Abkantpressen sind in der Lage, Schutzfelder mehrdimensional sicher zu überwachen. Diese Sensorsysteme interagieren über sichere Kommunikationskanäle mit der Auswertefunktion. Durch eine Gesamtbetrachtung aller Sicherheitsfunktionen rund um die Maschine „Abkantpresse“ sind sichere Positionsdaten beispielsweise auch dazu verwendbar, die Schutzbereiche des Sensors gezielt an den aktuellen Schutzbedarf des Bedieners, des Werkzeugs oder an Positionsinformationen anzupassen. Diese Funktion ermöglicht erst durch den Verbund ein „dynamisches Muting“ und sorgt so für eine höhere Produktivität der Maschine.

Beim erwähnten SafetyEYE-System liegen die Bereichsinformationen heute bereits in Form sicherer dreidimensionaler Räume vor – sie werden in der Anwendung aber auf standardisierte, binäre Schnittstellensignale reduziert. Künftig sollen diese Rauminformationen direkt von der sicheren Antriebstechnik ausgewertet werden können. Der Antriebsverbund kann so in die Lage versetzt werden, auf mehrdimensionale Bereichsinformationen mit dem entsprechenden Bewegungspfad quasi vo-rausschauend zu regieren.

Standard und Sicherheit gehen „Hand in Hand“

Aktuell sind Sicherheitssteuerungen im Einsatz, deren Funktion per Software konfigurierbar ist. Sie bieten im Vergleich zu Sicherheitsrelais mit fixiertem Funktionsumfang deutlich mehr Flexibilität. Um sicherzustellen, dass Programme übersichtlich und verständlich bleiben, wurden bei den meisten Systemen der Befehlssatz und die Anzahl der verfügbaren Editoren begrenzt. Dies war und ist kein Problem – solange Maschinen und Anlagen nur einfache Sicherheitsaufgaben übernehmen!

Zunehmend erfordert Sicherheitstechnik jedoch umfangreichere Beziehungen zu den einzelnen Elementen innerhalb der gesamten Prozesskette. Sicherheitssteuerungen müssen dazu komplexere Messgrößen wie Drehzahlvorgaben sicher erfassen, verarbeiten und ausgeben können. Dies betrifft nicht nur die eingesetzten Sensor-/Aktorschnittstelle, sondern stellt vor allem an die verarbeitenden Logikfunktionen neue Anforderungen.

Während sich die Entwicklung von speicherprogrammierbaren Steuerungen und programmierbaren Sicherheitssteuerungen zeitlich nacheinander vollzog, geht der Trend am Markt heute dahin, beide Bereiche – Standard und Sicherheit – in einer Steuerungslösung zu vereinen. Damit lassen sich Automatisierungslösungen aufbauen, die gleichermaßen Standard- und Sicherheitsaufgaben abdecken und die für den Anwender einfach zu handhaben sind. Zu den jüngsten Weiterentwicklungen im System PSS 4000 von Pilz beispielsweise zählt der Programm-Editor für STL (Structured Text Language), mit dem sich erstmalig Sicherheitsaufgaben bis SIL3 lösen lassen. Mehr noch: Mit PAS STL als weiterem Mitglied der Familie der IEC-61131-3-Editoren erhält der Anwender die Möglichkeit, Sicherheits- und Standardfunktionen einheitlich auf derselben, standard­isierten Basis zu programmieren.

Aktorik: Sicher unter Strom bleiben

Um gefahrbringende Bewegungen zu verhindern, ist es naheliegend, die Sicherheitstechnik mit der Aktorik eng zu verzahnen. Bisher ergibt sich eine sichere Bewegungssteuerung aus der Kombination einer sicheren Bewegungsüberwachung, einer sicheren Trennung des Motors von der Energiezufuhr und einer nicht sicheren Bewegungserzeugung. Aus technischen wie wirtschaftlichen Gründen ist die Antriebselektronik – Servoverstärker und Frequenzumrichter – eine nicht sichere Komponente innerhalb der Automatisierung geblieben. Für Sicherheit sorgen daher bis heute zusätzliche sichere Komponenten, die den Antrieb im Fehlerfall in den energielosen sicheren Zustand überführen beziehungsweise die Bewegung des angeschlossenen Motors sicher überwachen.

Mit zunehmender Automatisierung und Verkettung von Maschinen, Anlagen und Prozessen steigen die funktionalen Anforderungen an die Sicherheitstechnik.

© Pilz

Durch die Erweiterung des Motion-Control-Systems um eine Sicherheitskarte ist es möglich, diese zusätzlichen sicheren Komponenten in den Antrieb zu integrieren. Damit steht eine Komplettlösung für Antrieb, Steuerung und Safety zur Verfügung, mit der sich eine sichere dynamische Applikation realisieren lässt. Diese kann zum Beispiel folgendermaßen aussehen: Beim Öffnen einer Schutztür wird der Servoantrieb sicher über eine definierte Rampe gebremst und verharrt anschließend im Stillstand bei aktiver Regelung. Bei Vorliegen der entsprechenden Berechtigung und dem Aktivieren einer sicheren Betriebsart für den Einrichtbetrieb bewegt sich der Motor im Tippbetrieb mit einer sicher reduzierten Geschwindigkeit. Mit Beenden dieser Betriebsart und Schließen der Schutztür ist die Sicherheitsfunktion für jeden Maschinenbediener wieder gegeben. Mit anderen Worten: Auf die Verletzung einer statischen Schutzraumüberwachung folgt die Fortführung der Produktion mit reduzierter Taktzahl und sicher überwachten Bewegungen.

Generell erlauben aufeinander abgestimmte dynamische Sicherheitskonzepte flexible Systemreaktionen: angefangen bei der sicheren reduzierten Drehzahl über die sichere Koordination von Mehrachssystemen bis hin zu einer last- und drehmomentabhängigen sicherheitsgerichteten Antriebssteuerung. Eine hochperformante und sichere Kopplung dieser Elemente gewährleistet, dass Antriebsachsen bereits auf die Warnsignale einer Bereichsüberschreitung durch sicheres Reduzieren der Geschwindigkeit, einer sicheren Positionsregelung oder mit einer sicheren Begrenzung des Drehmoments reagieren.

Zusammenfassend lässt sich festhalten: Sicherheit ist zunehmend ein integraler Bestandteil der Gesamtfunktion von Maschinen und Anlagen und muss deshalb von Anfang an Berücksichtigung finden. Denn sichere Steuerungstechnik heißt nichts anderes, als die Steuerungsfunktion an sich sicher zu machen. Dies bedingt allerdings die Notwendigkeit, noch stärker in Systemen zu denken. Denn wenn Teilfunktionen optimal ineinander greifen sollen, können Funktionen nicht einfach nachträglich aufgesetzt werden.

Autor: Armin Glaser ist Leiter Produktmanagement bei der Firma Pilz, Ostfildern.