Die ‚EU-Maschinenrichtlinie‘ (Richtlinie 2006/42/EG) aus dem Jahr 2006 ist in den verschiedenen EU-Ländern Teil der nationalen Produktsicherheitsgesetze, ihre Einhaltung somit gesetzlich verpflichtend für alle Maschinen, die im Bereich der europäischen Union verkauft beziehungsweise in Verkehr gebracht werden. Die darin gestellten Anforderungen sind Basis für die CE-Kennzeichnung und bescheinigen dem Benutzer, dass die Maschine zum Zeitpunkt des Inverkehrbringens mechanisch und elektrisch sicher ist. Grundlage hierfür ist die vom Hersteller anzufertigende Konformitätserklärung, die unter anderem auf einer umfangreichen Risikoanalyse beruht. Zur Unterstützung bei deren Erstellung dienen dem Maschinenhersteller verschiedene harmonisierte, das heißt in der Maschinenrichtlinie explizit referenzierte Normen wie zum Beispiel die ISO 12100 zur Sicherheit von Maschinen oder die ISO 13849-1, die sich auf sicherheitsbezogene Bauteile von Steuerungen konzentriert.

Am 15. Dezember 2022 wurde eine lange erwartete Einigung auf eine neue Version der EU-Maschinenrichtlinie – die in Zukunft Maschinenverordnung heißen wird – erzielt. Die Veröffentlichung wird voraussichtlich im Juli 2023 erfolgen. Nach einer Übergangsfrist von 42 Monaten wird dieses Dokument dann zur Pflichtlektüre für jeden, der innerhalb der EU- eine Maschine bauen, verkaufen, oder in Betrieb nehmen will. Zu beachten ist, dass anders als die bisherige Maschinenrichtline, die neue Maschinenverordnung nach Ablauf der Übergangsfrist in allen EU-Staaten im gleichen Wortlaut Gesetz ist, also verpflichtend eingehalten werden muss.

Welche Herausforderungen kommen damit auf Hersteller, Integratoren oder Endnutzer mobiler Maschinen zu?

Unverhofft Hersteller werden

Eine Maschine sicher stillzusetzen und wieder zu starten beziehungsweise in eine sichere Position zu bewegen, in der keine weitere Gefahr von der Maschine ausgeht, ist eine der Anforderungen der Supervisor-Funktion. Die Grafik zeigt, wie die notwendige Funktionalität eines externen Not-Aus-Schalters für mobile Roboter umgesetzt werden kann.

© HMS Networks

Ein in der bisherigen Maschinenrichtlinie nicht ganz klar definiertes Thema ist das der „wesentlichen Veränderung“: Ab wann liegt eine solche vor, und welche Auswirkung hat eine solche Veränderung auf die CE-Konformität eines Gesamtsystems?

Die neue Maschinenverordnung definiert hier klarer und beschreibt die ‚wesentliche Veränderung‘ als jede Änderung – ob elektrisch oder mechanisch–, die zur Schaffung einer neuen Gefährdungssituation oder zum Erhöhen einer bestehenden Gefährdung führen kann. Jede dieser Änderungen kann als Folge Einfluss auf die CE-Konformität der Gesamtanlage haben. Dies wiederum kann dazu führen, dass der Einbringer dieser Änderung rechtlich zum Maschinenhersteller wird und die entsprechenden Vorgaben für die veränderte Maschine aus der Maschinenverordnung zu erfüllen hat.

Ein Beispiel aus dem Bereich mobiler Robotersysteme: Der Trend zur Interoperabilität mobiler Robotersysteme mit- und untereinander ist offensichtlich, wie die Schaffung einheitlicher Kommunikationsstandards (VDA 5050 in Europa oder Massrobotics in den USA) beispielhaft indiziert. Für den Endanwender scheint es auf den ersten Blick sehr komfortabel, mehrere verschiedene Roboter und auch Roboterarten in ein und demselben System zu betreiben. Der Anwender kauft sich neue Roboter, integriert diese dank standardisierter Kommunikationsschnittstellen selbst in sein System und ist somit nicht mehr von einzelnen Herstellern und Integratoren abhängig. Hier kann es jedoch schnell passieren, dass durch das Hinzufügen einer neuen Maschinentype neue Gefahrensituationen geschaffen werden, zum Beispiel automatisierte Gabelstapler, wo bisher nur Unterflurfahrzeuge verwendet werden. Während die einzelne Maschine durch den Hersteller als inhärent sicher und CE-Konform verkauft wird, muss das nicht zwangsläufig für das Gesamtsystem gelten, in welches die Maschine integriert wird.

Das Mindeste, was hier vor der Integration der neuen Maschinentype durchgeführt werden muss, ist eine neue Risikoanalyse. Sollte diese Analyse neue oder erweiterte Gefahren für das Gesamtsystem aufzeigen, wird in diesem Fall der Endanwender selbst zum Hersteller des Gesamtsystems und muss die Vorgaben der Maschinenverordnung erfüllen. In diesem Fall ist es sinnvoll, bereits vor der geplanten Veränderung eines bestehenden Systems einen entsprechenden unabhängigen Sachverständigen, zum Beispiel TÜV oder VDI, zu beauftragen und eine erste Einschätzung einzuholen.

Die Supervisor-Funktion

Eine konkrete Anforderung, die für Hersteller autonomer mobiler Maschinen in Zukunft relevant wird, findet sich in der Maschinenverordnung im Annex III unter 3.2.4 mit der dort beschriebenen „Supervisor Funktion“. Eine mobile Maschine muss es hierbei einer Aufsichtsperson (Supervisor) ermöglichen, von außen Informationen über die Maschine zu erhalten. Diese Informationen sollen es der Person ermöglichen, einen vollständigen und genauen Überblick über den Betrieb, die Bewegung und die sichere Positionierung der Maschine in ihrem Fahr- und Arbeitsbereich zu erhalten. Gleichzeitig soll sie der Aufsichtsperson erlauben, die Maschine sicher stillzusetzen und wieder zu starten beziehungsweise in eine sichere Position zu bewegen, in der keine weitere Gefahr von der Maschine ausgeht.

Zentrales Problem bei der Realisierung dieser Funktion ist die Übertragung sicherheitsgerichteter Signale über ein drahtloses Netzwerk, da die mobilen Maschinen in der Regel über keine direkte drahtgebundene Kommunikation verfügen, um ihre Mobilität nicht einzuschränken. Zur Übertragung der sicherheitsrelevanten Daten unter Einhaltung der Anforderung der Maschinenverordnung und der darauf aufbauenden Normen, zum Beispiel ISO 3691-4, bietet sich der Einsatz sicherer Feldbusprotokolle an, etwa Profisafe oder CIP Safety. Obwohl diese Protokolle ursprünglich nicht für einen drahtlosen Einsatz konzipiert wurden, lassen sie sich dank des ihnen zu Grunde liegenden Black Channel-Prinzips grundsätzlich auch ohne Kabel nutzen. Die einzelnen Protokolle unterscheiden sich in der Performance in einem drahtlosen Netzwerk auf Grund ihrer unterschiedlichen Architekturen jedoch zum Teil erheblich. Den Protokollen gemein ist, dass ein stabiles drahtloses Netzwerk essenziell wichtig für ein funktionierendes Gesamtsystem ist. Bereits bei der Auslegung des Netzwerkes und der zu übertragenden Daten muss darauf geachtet werden, Störfaktoren zu vermeiden und die zu übertragende Datenmenge so gering wie möglich zu halten. Bei Flotten von zum Teil mehreren hundert mobilen Maschinen kommt es sonst schnell zu Problemen, wenn die einzelnen Safety-Nachrichten nicht mehr zuverlässig beim entsprechenden Empfänger ankommen.

Mit dem Ixxat Safe T100/FSoE von HMS Networks können Anwender sichere EAs für FSoE (Functional Safety over EtherCAT) implementieren.

© HMS Networks

Als Reaktion auf eine unzuverlässige Kommunikation muss sich das System selbständig in einen sicheren Zustand versetzen. In den meisten Fällen bedeutet dies, dass die Anlage oder zumindest Teile davon sicher still gesetzt werden. Instabile drahtlose Verbindung können in diesem Zusammenhang also zu enormen Ausfallzeiten führen.

Eine zusätzliche Herausforderung für die Hersteller mobiler Maschinen und Systeme ist auch die Trennung beziehungsweise Zusammenführung zweier verschiedener Sicherheitskreise: einem ‚langsamen‘ von außen kommenden – wie zum Beispiel für oben genannte Supervisor-Funktion –, bei dem größere Zykluszeiten von zum Teil mehreren hundert Millisekunden tolerierbar sein können, und dem ‚schnellen‘ auf dem Fahrzeug selbst, zum Beispiel für die Personenerkennung, bei dem in einer akuten Gefahrensituation eine Reaktion in Echtzeit verlangt wird.

Schutz vor Manipulation

Ein wichtiger Grund für die Notwendigkeit einer Überarbeitung der aktuellen Maschinenrichtlinie war und ist das Thema ‚Security‘ (oft als ‚IT-Sicherheit‘ ins Deutsche übersetzt). Während früher die Bereiche Safety (funktionale Sicherheit) und Security zwei getrennt betrachtete Bereiche darstellten, konvergieren diese beiden Themenfelder mit zunehmender Vernetzung von Maschinen und deren Anbindung an globale Netzwerke immer weiter. Safety beschreibt im Weitesten den Schutz von Menschen vor Maschinen, Security den Schutz von Maschinen vor Menschen.

Bereits im Jahr 2010 wurde der Weltöffentlichkeit durch Stuxnet gezeigt, welche Gefahren in der böswilligen Manipulation von industriellen Anlagen stecken kann. Und nahezu täglich gibt es neue Meldungen über Firmen und Anlagen, die Opfer von Cyberattacken geworden sind. Es war also dringend nötig, auch diesen Aspekt in der neuen Maschinenverordnung zu berücksichtigen. So wird es in Zukunft nicht mehr ausreichen, eine Firewall zwischen Maschine und globales Netz zu schalten.

In Annex III der kommenden Maschinenverordnung wird hierauf im Unterpunkt „Protection Against Corruption“ genauer eingegangen. Der Hersteller einer Anlage muss sicherstellen, dass die Verbindung eines Drittgeräts, zum Beispiel eines Laptop, nicht zu einer Gefährdungssituation führen kann. Zusätzlich soll die Maschine in Zukunft fähig sein, rechtmäßige sowie unrechtmäßige Veränderungen an sicherheitsrelevanten Bauteilen – dazu zählen auch Softwarekomponenten – zu erkennen und Daten hierüber zu sammeln.

Die genannten Themen zeigen beispielhaft, welche Herausforderungen auf Maschinenhersteller zukommen werden, um den gesetzlichen Ansprüchen innerhalb der EU zu genügen. Das oberste Ziel bleibt unverändert der Schutz von Menschen, Umwelt und Eigentum vor den Gefahren, die von Maschinen ausgehen können. Maßgebliche Änderungen zur aktuellen Maschinenrichtlinie zeigen sich vor allem beim Thema ‚Security‘, wo die gesetzlichen Anforderungen deutlich erhöht werden: Maschinen müssen künftig in der Lage sein, Angriffe zu erkennen, zu protokollieren und bestmöglich zu verhindern. Ergo sollten sich Hersteller frühzeitig Gedanken machen und gemeinsam mit erfahrenen Partnern Lösungen für die kommenden Anforderungen finden.

Die explizite Aufnahme mobiler Maschinen in die neue Verordnung setzt für diese nun klare Vorgaben und holt sie aus dem aktuellen ‚Graubereich‘, der Spielraum für Interpretationen und Missverständnisse bieten kann. Auch in Zukunft werden Normen die Arbeit der Hersteller bei der Einhaltung der Maschinenrichtlinie erheblich unterstützen. Die Nutzung vorzertifizierter Komponenten sorgt hierbei für eine Vereinfachung des Systemaufbaus.