794iee1017_Anlauf_1

Bislang bereiten die unterschiedlichen dynamischen Signale der Sicherheits-Geräte Probleme. Abhilfe schafft die Klassifizierung der Schnittstellen. (Bild: ZVEI)

In Europa gilt ein einfacher Grundsatz: Arbeitsplätze müssen sicher sein. Hierzu hat die Europäische Union für den Maschinenbetreiber einen eindeutigen rechtlichen Rahmen geschaffen. Ein Betreiber muss seinen Mitarbeitern einen sicheren Arbeitsplatz zur Verfügung stellen und regelmäßig prüfen, ob sich das Gefährdungsniveau verändert hat.

Auf die Schnelle

Das Wesentliche in 20 Sek.

  • Dynamische Schnittstellen können bei Sicherheits-Schaltgeräten Inkompatibilitäten verursachen.
  • Schnittstellen sind elektrisch kompatibel, aber in ihrem dynamischen Verhalten nicht vollständig aufeinander abgestimmt.
  • Positionspapier des ZVEI klassifiziert 4 Interface-Typen (Schnittstellen).
  • Hersteller wollen die unterstützten Interfaces in die Gerätedokumentation aufnehmen.
  • Auswahl- und Überprüfungsprozess wird durch die zusätzliche Klassifizierung der Safety-Komponenten für Anwender deutlich einfacher.

Basis hierfür ist die Durchführung der Gefährdungsbeurteilung auf Basis der Anforderungen aus der Betriebssicherheitsverordnung. Im Idealfall basiert das auf der Vorarbeit des Maschinenbauers, der für neue Maschinen und Anlagen als rechtlichen Rahmen die Maschinenrichtlinie (MRL) anwendet. Die MRL definiert Schutzziele, die unter Zuhilfenahme von harmonisierten Normen umgesetzt werden. Allerdings reicht die alleinige Anwendung von harmonisierten Normen nicht aus – speziell wenn es um den aktuellen Stand der Technik geht.

Die Vorgehensweise ist umgangssprachlich als CE-Prozess bekannt. Ausgangspunkt ist die Risikobeurteilung zur Erkennung möglicher Risiken, die im Design der Maschine oder des Prozesses liegen können. Zur Risikominderung werden konstruktive, organisatorische und technische Schutzmaßnahmen für jede der aufgedeckten Gefährdung definiert. Auch hier hilft die Anwendung von harmonisierten Normen, den CE-Prozess zu erfüllen. Die Definition und Umsetzung von (Steuerungs)technischen Maßnahmen erfolgt in der Regel unter Zuhilfenahme der EN ISO 13849-1 oder EN 62061 und münden in einem Sicherheitssystem, das alle steuerungstechnischen Funktionen (Sicherheitsfunktionen) beinhaltet.

782iee1017_B1_Folie1

Die Definition und Umsetzung von (Steuerungs)technischen Maßnahmen erfolgt in der Regel unter Zuhilfenahme der EN ISO 13849-1 oder EN 62061 und münden in einem Sicherheitssystem, das alle steuerungstechnischen Funktionen beinhaltet. ZVEI

Einfache Zugangsüberwachung kann Probleme bereiten

Ein Beispiel: Eine Zugangsüberwachung zu einem wird heute in der Regel mit einem Sicherheitslichtgitter (Detektion) und einer konfigurierbaren Auswerteeinheit (Auswertung) realisiert: Der Konstrukteur wählt dazu ein an die Anwendung angepasstes Sicherheitslichtgitter aus, was oft bereits ein intensives Datenblattstudium erfordert: Typ 2 oder Typ 4, Reaktionszeit, Performance Level, Sicherheits-Integritätslevel, Art und Anzahl der Sicherheitsausgänge (OSSD) sowie die dynamische Testung der OSSD-Ausgänge sind für diese Produkte wichtige Parameter.

Ganz ähnlich die Situation bei den Auswerteeinheiten: Hier muss der Projekteur auf die Anzahl der notwendigen Eingänge achten, die Eignung für den erforderlichen Performance Level prüfen und kontrollieren, ob die Eingänge überhaupt OSSD-Signale verarbeiten können.

Die Auswerteeinheit hat noch eine zweite hin zur ‚Reaktion‘ (Ansteuerung/Auslösung der Schutzfunktion). Auch hier sind Parameter wie Reaktionszeit, Eignung für den geforderten Performance Level und – falls halbleiterbasierte Sicherheitsausgänge vorliegen – die dynamischen Testsignale zu beachten.

Die Sicherheitstechnik selbst folgt bei der Umsetzung der Schutzziele einem strukturierten Ablauf: Zuerst werden die erforderlichen Sicherheitsabstände zum Roboter basierend auf den Reaktionszeiten aller Komponenten (Detektion, Auswertung, Reaktion) berechnet. Anschließend folgt die Konfiguration aller Komponenten in der Sicherheitskette.

Ist das alles erledigt, müssen noch die Zuverlässigkeits-Kennwerte der Sicherheitsfunktion bestimmt werden. An diesem Punkt findet der Vergleich statt, ob das erreichte Sicherheitsniveau (Performance Level nach EN ISO 13849-1; Sicherheits-Integritätslevel nach EN 62061) mindestens dem erforderlichen Sicherheitsniveau entspricht. Sind all diese Schritte positiv durchlaufen und alles dokumentiert, kann die Integration in die Maschine (Einbau und Verdrahtung) beginnen.

Die Phase des ‚in Betrieb Nehmens‘ endet mit der Inbetriebnahme und dem Start der Produktion – nachdem alle Sicherheitsfunktionen verifiziert, quasi einem Funktionstest unterzogen, wurden. Abschließend erfolgt die Validierung als ‚Crosscheck‘, ob das gewünschte Schutzziel erreicht und umgesetzt wurde.

782iee1017_B2_Folie2

Bei der Zugangsüberwachung mittels Lichtgitter und Auswerteeinheit kann es Probleme geben. ZVEI

Alles beachtet und trotzdem funktioniert es nicht

Wenn dieses Rezept strukturiert bearbeitet wurde, liegt die Erwartung nahe, dass das gesamte System nun problemlos zum Laufen kommt. Genau dies ist häufig aber nicht der Fall!

Die Probleme reichen von sporadischen Fehlern bis zum kompletten Versagen der Schutzfunktion. Der Grund: Die Schnittstellen sind zwar elektrisch kompatibel (Pegel etc.), in ihrem dynamischen Verhalten aber nicht vollständig aufeinander abgestimmt.

Wie die Probleme mit dynamischen Signalen angegangen wurden, lesen Sie auf Seite 2.

Problemzone: Dynamische Signale

Die Signalpegel in der Sicherheitstechnik orientieren sich an den Definitionen der IEC 61131 für speicherprogrammierbare Steuerungen. Um eine kontinuierliche Funktionskontrolle zu gewährleisten, müssen diese jedoch dynamisiert werden. Damit lässt sich auch bei lang andauernden statischen Situationen (an der Maschine), die Schaltfähigkeit von Halbleitern prüfen. Dazu werden im allgemeinen Rücklese-Eingänge verwendet, die das Signal aufnehmen und mit einem erwarteten Signal vergleichen. Dabei muss immer mit Veränderungen der Signale durch induktive und kapazitive Belastung, verursacht durch und in den angeschlossenen Geräten, gerechnet werden.

Die vom Geräte-Hersteller getroffenen Maßnahmen zur Dynamisierung müssen mehreren Gesichtspunkten Rechnung tragen: Zum einen muss die interne Verarbeitung dieses rückgelesene Signal eindeutig erkennen. Zum anderen muss das Signal so kurz wie möglich sein, damit angeschlossene Geräte dies nicht irrtümlich als gültiges Funktionssignal (Abschaltsignal) interpretieren. Mangels normativer Festlegung, haben die Hersteller diese Signale individuell auf Basis eigener Erfahrungen und Einschätzungen definiert. Über die Jahre ist eine entsprechend große Anzahl an Varianten entstanden, die sich zwar alle ähneln, aber leider nicht gleich oder leider teilweise sogar inkompatibel sind.

Leider lässt sich das nicht einfach ändern. Die Kompatibilität mit schon ausgelieferten Produkten und der etwas aufwändige Prozess zur Abnahme bei sichereren Komponenten und Systemen, schieben dem einen Riegel vor.

Die Hersteller von Sicherheitskomponenten haben in einem ersten Schritt reagiert und testen die Kompatibilität einzelner neuer Produkte; das Gesamtproblem löst das jedoch noch nicht. Eine zweite, weitreichendere Maßnahme ist erforderlich

782iee1017_B3_Folie3

Obwohl die Schnittstellen elektrisch kompatibel sind, bereitet das dynamische Verhalten Probleme. ZVEI

Systematische Abhilfe durch Klassifizierung

Um wirklich Abhilfe zu schaffen, hat sich der Technische Ausschuss Sicherheitssysteme in der (TASi) innerhalb des ZVEI des Themas angenommen. Im TASi sind nahezu alle deutschen und europäischen Hersteller von Sicherheitsgeräten und -systemen vertreten. Über das Ziel war man sich schnell und unumstritten einig. Doch auf welchen Standard sollte man sich verständigen? Hieße es doch gegebenenfalls Produktanpassungen ins Auge fassen zu müssen. Als Struktur wurden sogenannte Interface-Typen von sicheren Schnittstellen definiert, nach denen die Hersteller ihre Komponenten klassifizieren. Dies reduziert den Auswahlprozess beim Anwender auf eine einfache Klassifizierungs-Überprüfung.

Der Teufel lag dann doch im Detail. Zuerst mussten alle relevanten Detailparameter zur Beschreibung einer Schnittstelle festgelegt werden. In über zweijähriger intensiver Arbeit wurde eine Klassifizierung erstellt, die im ZVEI Positionspapier CB24I dokumentiert ist. Es wurden vier unterschiedliche Interface-Typen (A bis D) klassifiziert.

782iee1017_B4_Folie4

Das Positionspapier des ZVEI definiert vier Interface-Typen. ZVEI

Die Schnittstelle vom Typ A ist das, was man umgangssprachlich als Relaisschnittstelle bezeichnet. Die Typen B bis D sind Halbleiter-Schnittstellen in unterschiedlichen Ausführungen. Typ B steht für eine elektronische Schnittstelle, die Pulsverzögerungen auswertet; Typ C für die klassische OSSD-Schnittstelle. Die Schnittstelle vom Typ D beschreibt eine sogenannte zweipolige Schnittstelle, die sowohl den positiven als auch den negativen Pegel schaltet.

Für jede dieser Schnittstellenarten definiert das Positionspapier die Parameter inklusive Toleranzen. Somit können Hersteller ihre Produkte (auch bestehende) einem dieser Interface-Typen zuordnen, beziehungsweise sich bei der Entwicklung von neuen Projekten an diesen Interface-Typen orientieren. Eine vereinfachte Kompatibilitätsprüfung der Interface-Typen wird des Weiteren durch Mindestangaben in der Herstellerdokumentation in Form eines Kennzeichnungsschlüssels ermöglicht: Der Hersteller eines Sicherheits-Lichtgitters (Quelle) klassifiziert die Schnittstelle seines Gerätes entsprechend des Positionspapiers CB24I mit C2 in der Herstellerdokumentation und nennt zusätzlich die kompatiblen Geräteschnittstellen, beispielsweise einer kompatiblen Auswerteeinheit (Senke) mit C1 und C2.

Der Integrator des Gesamtsystems hat nun die Aufgabe sicherzustellen, dass die vorhandenen und geforderten Interface-Typen (Schnittstellen) in den vorgesehenen Geräten des Sicherheitssystems vorhanden sind.

782iee1017_B5_Oben_Folie6

Hersteller werden in die Geräte-Dokumentation über einen Kennzeichnungsschlüssel die Konformität ihrer Sicherheitsschaltgeräte mit den Interface-Typen angeben. Die Angabe bedeutet, dass eine Quelle C2 mit einer Senke sowohl vom Typ C1 als auch vom Typ C2 kompatibel ist. ZVEI

Mit der Veröffentlichung des Positionspapiers können die Hersteller ihre Produkte nun einem der Interface-Typen zuordnen. Eine große Anzahl Hersteller hat signalisiert, ihre neuen Produkte entsprechend zu klassifizieren und die zusätzlichen Angaben in die Produktdokumentation aufzunehmen. Als nächster Schritt, steht die Überführung des Positionspapiers in die aktuelle und Normung auf dem Plan. Angedacht ist auch eine datentechnische Repräsentanz, um künftigen Konfigurationstools, zum Beispiel für die Auslegung und Berechnung der Zuverlässigkeitswerte, eine ‚automatische Interoperabilitätsprüfung‘ zu ermöglichen.

SPS IPC Drives 2017ifm: Halle 7A, Stand 302, Leuze: Halle 7A, Stand 230, Pilz: Halle 9, Stand 370

Motek 2017 – Pilz: Halle 8, Stand 225

Klaus Stark

ist Vorsitzender des ZVEI Technischen Ausschusses Sicherheitssysteme in der Automation (TASI) und Senior Manager Innovationsmanagement bei Pilz in Ostfildern.

Manfred Strobel

ist Vorsitzender der Arbeitsgruppe Schnittstellen (AG Schnittstellen) und Abteilungsleiter Functional Safety Management bei ifm electronic in Essen.

Frank Bauder

ist Teammitglied des TASI und der AG Schnittstellen sowie Head of Competence Center Services bei Leuze Electronic in Owen/Teck.

(sk)

Sie möchten gerne weiterlesen?

Unternehmen

ifm electronic gmbh

Friedrichstraße 1
45128 Essen
Germany

Zum Firmenprofil

Leuze electronic GmbH + Co. KG

In der Braike 1
73277 Owen-Teck
Germany

Zum Firmenprofil

Pilz GmbH & Co. KG

Felix-Wankel-Straße 2
73760 Ostfildern
Germany

Zum Firmenprofil