Inhaltsverzeichnis
1. Ein neues Safety-Konzept für I4.0-Anlagen
2. Definition von Agentensystemen
3. Freigabe eines Moduls
4. Bewertung der Interaktion
5. Praxisbeispiel – Fahrerloses Transportsystem
6. Fazit
7. Zu dieser Serie
Die Maschinenrichtlinie fordert eine sicherheitstechnische Bewertung, wenn wesentliche Änderungen am Maschinenverbund vorgenommen werden. Für Betreiber modularer Anlagen bedeutet das derzeit, dass sie entweder jedes Mal die Anlage manuell bewerten müssen oder alle Varianten im Vorhinein betrachten und validieren. Beide Möglichkeiten sind nicht geeignet für ein flexibles „Plug & Produce“. Zum einen verursachen sie Stillstände, zum anderen ist aufgrund der schnell wechselnden Anforderungen kaum vorhersehbar, welche Anlagenkonfigurationen künftig gebraucht werden.
Ein neues Safety-Konzept für I4.0-Anlagen
Das Ziel der Automatisierungstechnik ist, flexibel auf unterschiedliche Anforderungen reagieren und dynamische Prozesse abbilden zu können. Mitunter bedeutet dies, im Betrieb neue Maschinen hinzuzufügen oder zu entfernen. Die einzelnen Module sind dabei zwar sicherheitstechnisch beherrschbar und können vollständig beschrieben werden. Im gemeinsamen Betrieb zeigen sich jedoch Wechselwirkungen, die in der Planung nicht vorhersehbar sind.
Diese Unsicherheit im Systemverhalten steht im Widerspruch zur klassischen Sicherheitsnachweisführung, die auf der Annahme eines vorhersagbaren Verhaltens beruht. Agentensysteme können dabei helfen, dieses Problem zu überwinden.
Definition von Agentensystemen
Nach VDI/VDE 2653 Blatt 1 ist ein Agent eine „abgrenzbare (Hardware und/oder Software-) Einheit mit definierten Zielen, die sich auf die Steuerung […] eines technischen Systems beziehen“. Agentensysteme sind in der Automatisierungstechnik keineswegs neu. VDI/VDE 2653 Blatt 3 stellt verschiedene Einsatzszenarien vor und verweist explizit auf modulare Produktionsanlagen.
Jedes Modul besitzt dabei einen Agenten mit integrierten Zielen. Die Fähigkeiten und der aktuelle Zustand sind über den digitalen Zwilling in der Verwaltungsschale abrufbar. Durch die Kommunikation der Agenten untereinander kann das System im Betrieb flexibel auf unterschiedliche Problemstellungen reagieren. Es müssen nicht alle Abläufe bereits beim Systementwurf bekannt sein. Die Informationen über das Gesamtverhalten werden zur Laufzeit erfasst.
Diese konzeptionelle Aufteilung auf autonome Einheiten reduziert die Komplexität der Anlage auf ein beherrschbares Niveau. Das Agentensystem lernt aus zuvor unbekannten Daten und verfügt jederzeit über alle nötigen Informationen für eine sicherheitstechnische Bewertung.
Freigabe eines Moduls
Eine intelligente Risikobeurteilung im laufenden Betrieb benötigt für jedes Modul einen Entscheidungsbaum mit allen möglichen Safety-Zuständen. Diese werden vom Hersteller anhand von Parameterräumen definiert. Die Blätter des Entscheidungsbaumes entsprechen den möglichen Risiken bei den jeweiligen Parametern.
Zur Bewertung des Moduls führt der Agent den Entscheidungsbaum aus. Endet ein Pfad in einem Blatt mit einem nicht tolerierbaren Risiko, ruft er die vorhandenen Sicherheitsprofile ab. Die Freigabe erfolgt, wenn die dort definierten Safety-Maßnahmen als geeignet bewertet werden. Beim Betrieb außerhalb der Parameterräume entzieht der Agent die Freigabe und das Modul steht still.
Bewertung der Interaktion
Im nächsten Schritt wird die Schnittstelle zwischen den Maschinenmodulen bewertet. Dafür werden nur die ermittelten Risiken betrachtet, denen kein Sicherheitsprofil entgegensteht. Beispielsweise, weil sie abhängig von den Umweltbedingungen sind.
Ein spezieller Risiko-Reduzierungsagent identifiziert die Gefahren und versucht eine Parameterkonfiguration zu finden, bei der sie beherrscht werden. Dafür greift er auf den digitalen Zwilling zu und zieht gegebenenfalls Daten der Sensorik oder anderer Systeme zur Umwelterkennung heran. Wenn der Betrieb gefahrlos möglich ist, erfolgt die Freigabe der Schnittstelle und die Module können interagieren.
Praxisbeispiel – Fahrerloses Transportsystem
Ein Fahrerloses Transportsystem (FTS) tauscht mit einer Andockstation Werkstücke aus. Beide Module werden als eigensicher angesehen und verfügen über Fließbänder sowie Sensoren zur Erkennung von Werkstücken. Abb. 1 zeigt einen vereinfachten Entscheidungsbaum für die Andockstation.
Überschreitet ein Transportband fehlerhafterweise die definierte Höchstgeschwindigkeit oder fällt der Sensor aus, verletzt dies den Parameterraum – die Freigabe wird entzogen und das betroffene Modul steht still. Die Freigabe erfolgt automatisch, wenn nichts befördert wird. Befördert das FTS ein Werkstück oder wurde eines am Ein- bzw. Ausgang der Andockstation erkannt, stellt das ein mechanisches Risiko dar. Beispielsweise könnte es herunterfallen oder zwei Werkstücke könnten sich blockieren. Der Agent muss deshalb die Schnittstelle zwischen beiden Modulen bewerten. Dafür prüft er unter anderem die Position des FTS und die Ausrichtung der Transportbänder zueinander. Bei einem positiven Ergebnis erteilt der Agent die Freigabe zur Interaktion.
Fazit
Dieses Konzept reduziert die Schnittstellenkomplexität auf ein beherrschbares Niveau. Mit einer standardisierten Semantik zur Beschreibung der Risiken und Sicherheitsprofile lassen sich Module unterschiedlicher Hersteller zur Laufzeit integrieren. So wird die Basis für den sicheren Einsatz adaptiver Safety-Lösungen innerhalb dynamischer Prozesse gelegt. eve
Bild: TÜV Süd
info
Zu dieser Serie
Zusammen mit der Technischen Akademie Esslingen stellt die elektro AUTOMATION in dieser Grundlagenserie Hintergründe und praktische Einsatzszenarien in aktuellen Technikfeldern zusammen. Tipps zu passenden Seminarangeboten erleichtern die Planung einer praxisorientierten Weiterbildung.
Erschienen sind bereits:
Teil 1: Einsatz von hybriden CPU-FPGA-Chips in Embedded Systems: hier.pro/HMeEq
Teil 2: Elektrofahrzeuge – Standardisierte Integration in Smart-Home-Systeme: hier.pro/L06ag
Teil 3: Protokollanalyse und Bestimmung der Phasen: hier.pro/9ANhA
Teil 4: Dezentrale Antriebstechnik – Intelligenz im Antrieb: hier.pro/a4ecu
Teil 5: Sensordatenfusion mittels ROSE-Filter: hier.pro/ps7x0
Teil 6: Einführung eines ESD-Kontrollprogrammes: hier.pro/lhRfo
Teil 7: IT-Recht im Rahmen von Industrie 4.0: hier.pro/tvk74