Die europäische Maschinenrichtlinie fordert jeden Konstrukteur dazu auf, durch sein Maschinendesign das Risiko für Leib und Leben, das von der Maschine ausgeht, auf ein akzeptables Maß zu senken. In der Praxis bedeutet dies, möglichst wenig Zugänge zu den gefährlichen Komponenten oder Prozessen zuzulassen und die unumgänglich verbleibenden Zugänge durch technische Schutzmaßnahmen abzusichern.
Ein klassisches Beispiel dafür sind Schutztüren, die eine gefährliche Maschinenbewegung nur zulassen, wenn Sie geschlossen sind. Hier steht der Konstrukteur vor dem üblichen Kompromiss zwischen Sicherheit, Verfügbarkeit und Systemkosten. In genau diesem Spannungsfeld liegt die elektrische Reihenschaltung von Sicherheitskontakten mehrerer Schutztüren, die auf denselben Antrieb wirken.
Reihenschaltungen von Sicherheitsschaltgeräten gibt es in sicherheitsrelevanten Anwendungen wie Verriegelungseinrichtungen oder Not-Halt Systemen schon deutlich
länger als die meisten Normen zur Maschinensicherheit und erfreuten sich immer noch
einer sehr hohen Akzeptanz. Erst in der zweiten Hälfte der 90er Jahre gab es die ersten Abstriche, als die EN 954-1 als Vorläufer der heutigen EN 13849-1 zur Bewertung von Sicherheitssystemen herangezogen wurde. Die damals meistdiskutierte Frage war:
„Warum kann eine zweikanalige Kette von Sicherheitsschaltgeräten nicht in die höchste Steuerungskategorie eingestuft werden?“ Heute, mehr als 10 Jahre nach Einführung EN 13849-1 stellt man sich eine andere Frage, die aber zur selben Antwort führt: „Warum kann man den Diagnosedeckungsgrad (DCavg) einer zweikanaligen Kette von Sicherheitsschaltgeräten nicht so ohne weiteres, am besten größer als 60%, angeben?“
Diese Fragen stellen sich natürlich mit der Zielsetzung, dem Entwurf der technischen Schutzmaßnahme eine möglichst hohe Sicherheitsstufe (wie das Performance Level nach
EN 13849-1) zuordnen zu können. Die Antwort auf beide Fragen führt zum Begriff der Fehlermaskierung.
Fehlermaskierung
Wenn eine zweikanalige Reihenschaltung von Sicherheitsschaltgeräten im Aus-Zustand ist, fehlen der nachgeschalteten Sicherheitssteuerung zwei wesentliche Informationen. Es ist unbekannt, welche Schutzeinrichtung den Aus-Zustand bewirkt, und vorkommende weitere Zustandswechsel anderer Sicherheitsschaltgeräte werden durch den bereits bestehenden Aus-Zustand überschrieben. Insbesondere der zweite Punkt nimmt der Sicherheitssteuerung die Möglichkeit zur Überwachung aller Schutzeinrichtungen, wenn mehrere dieser Einrichtungen zeitlich überlappend betätigt werden. Dadurch wird ein Anteil der im System vorkommenden Fehler nicht rechtzeitig oder gar nicht erkannt.
Um dies näher zu beleuchten, hat die Bernstein AG ein Lehrvideo produziert, in dem der Effekt der Fehlermaskierung ausführlich beschrieben wird.
Um ein Performance Level gemäß EN 13849-1 bestimmen zu können, ist es wichtig, den prozentualen Anteil der entdeckten Fehler zu ermitteln. Dies hängt im Fall einer Reihenschaltung maßgeblich davon ab, wie oft der Effekt der Fehlermaskierung im System auftritt. Dies sorgfältig einzuschätzen und daraus einen Diagnosedeckungsgrad zu ermitteln fällt jedem Verantwortlichen ohne Kochrezept schwer.
Eine Hilfestellung bietet der technische Report ISO/TR 24119. Dieser Report beschreibt zunächst die unterschiedlichen Arten der Fehlermaskierung und bietet dann einen Leitfaden zur Einschätzung des Diagnosedeckungsgrads der jeweiligen Anwendung. Dieser wird im Wesentlichen abhängig gemacht von der Anzahl der Schutzeinrichtungen und der Häufigkeit, mit der die Sicherheitsfunktion angefordert wird. Dazu werden die Verdrahtungstopologie und die Art, wie die einzelnen Leiter zueinander verlegt werden, betrachtet. Der Report zeigt auf diese Weise allerdings auch die Grenzen der sicherheitstechnischen Leistungsfähigkeit einer zweikanaligen Reihenschaltung auf. Befinden sich in einem System beispielsweise zwei Schutztüren, die beide jeweils öfter als einmal pro Stunde geöffnet werden, so wird es sehr schwierig, mit zusätzlichen Maßnahmen der Leitungsverlegung einen niedrigen Diagnosedeckungsgrad zu erreichen, welcher aber zum Erreichen des Performance Level d unabdingbar ist.
Alternativen zur zweikanaligen Kette von elektromechanischen Sicherheitsschaltgeräten
Die Effekte der Fehlermaskierung treffen nicht auf Sicherheitsschaltgeräte zu, die selbstüberwachend sind. Komponenten wie Lichtgitter, Laserscanner und RFID-Sensoren benötigen schon für ihre Grundfunktion eigene Sicherheitssoftware und damit auch die entsprechende redundante sicherheitsrelevante Hardware, die eine Selbstüberwachung
der Komponente möglich machen.
Aus diesem Grund wurden die RFID Sicherheitssensoren der BERNSTEIN AG aus der SRF-Produktreihe von Anfang an auch mit Varianten angeboten, die in Reihe geschaltet werden können. In der Praxis werden diesen Varianten je zwei Eingangsanschlüsse hinzugefügt, auf die die Sicherheitsausgänge des in der Kette davor liegenden Sensors geschaltet werden. Auf diese Weise können bis zu 32 Sensoren unter Beibehaltung des Performance Level e in Reihe geschaltet werden. Als wesentliches Merkmal erfolgt die Reihenschaltung der SRF Sensoren mit einer handelsüblichen ungeschirmten 4-Draht Leitung, deren Leiter mit der Spannungsversorgung und dem redundanten Sicherheitssignal belegt sind. Die BERNSTEIN AG bietet zusätzlich ein System aus T-Stücken und einem Abschlussadapter an, um eine einfache Realisierung ohne zusätzliche Klemmenkästen zu ermöglichen.
Daisy Chain Diagnose
Neben den Vorteilen wie einfache Verdrahtung, die Notwendigkeit von nur einem redundanten Sicherheitseingang der nachgeschalteten Sicherheitssteuerung und einem hohen Performance Level bietet die SRF Kette auch die Möglichkeit, die Zustände der einzelnen Sensoren in die übergeordnete Steuerung einzulesen. Technisch wird dies so realisiert, dass der von der Steuerung am weitesten entfernte Sensor ein Datenpaket mit seinen Statusinformationen generiert und auf die Sicherheitssignale aufmoduliert. Der nächste Sensor liest das Datenpaket ein, ergänzt es um seine eigene Statusinfos und gibt das Paket an den nächsten Sensor weiter. Am steuerungsseitigen Ende der Kette befindet sich ein zusätzliches Diagnosemodul, dass die Diagnoseinformation aus dem Sicherheitssignal separiert und für den Anwender aufbereitet. Dieses System nennt die BERNSTEIN AG Daisy Chain Diagnose (DCD), womit die Frage der Titelzeile bereits an dieser Stelle beantwortet wäre: Der Begriff „Daisy Chain“ bedeutet wortwörtlich aus dem englischen übersetzt „Gänseblümchenkette“; wird aber auch im technischen Sinne für die Reihenschaltung von Schaltern und Sensoren verwendet.
Essentiell wichtig für das DCD-System ist die Unabhängigkeit von Sicherheitssignal und DCD-Daten auf der Leitung. Ebenso dürfen sich die Sicherheitssteuerung und das Diagnosemodul, die ja parallel an die Sicherheitsausgänge angeschlossen sind, nicht gegenseitig beeinflussen. Die BERNSTEIN AG bietet unterschiedliche Diagnosemodule zur Verarbeitung der DCD-Daten an. Das Diagnosemodul SRF-DI ist dabei ausgangsseitig ein I/O-Link Slave und ermöglicht es damit jeder Steuerung mit I/O-Link Master, die Statusinformationen jedes einzelnen Sensors auszulesen. Das Wartungspersonal hat zusätzlich die Möglichkeit, den Status der Sicherheitskette via NFC-Schnittstelle mit einer Smartphone-App oder über USB mit einem Laptop einzulesen. Die grundsätzliche Information, welche Tür geöffnet ist, wird auch als diskretes Signal zur Verfügung gestellt.
Smart Safety System
Die BERNSTEIN AG strebt eine ständige Erweiterung des Produktportfolios mit den oben beschriebenen Eigenschaften unter dem Oberbegriff Smart Safety System an. Dies betrifft sowohl die Sicherheitsschaltgeräte in der Sicherheitskette als auch die Diagnosemodule und Sicherheitsauswertungen am Ende der Sicherheitskette.
Da der Anwender in den meisten Fällen auch bei Sicherheitsaufgaben mit eher kleinem Funktionsumfang einen Not-Halt als ergänzende Schutzmaßnahme in das System integrieren muss, wurde die Produktreihe SEU (Safety Emergency Unit) entwickelt. Die SEU stellt entweder einen Not-Halt-Taster mit dem nötigen Funktionsumfang für das Smart Safety System dar oder besteht aus einer Anschlussbox für zweikanalige elektromechanische Sicherheitsschaltgeräte, so dass klassische, mechanische Sicherheitsschalter ebenfalls angeschlossen werden können. Dank M12-Anbindung lassen sich diese Komponenten einfach in eine vorhandene elektronische SRF-Sicherheitskette integrieren.
Grundsätzlich kann jede SRF Kette von Sicherheitssteuerungen oder Sicherheitsmodulen ausgewertet werden, die OSSD Signale verarbeiten können. Dabei sind die Diagnosemodule nicht zum Betrieb der SRF Kette nötig, sondern kommen nur zum Einsatz, wenn die Statusinformationen benötigt werden. Speziell für Sicherheitssysteme mit geringem Umfang bietet die BERNSTEIN AG Sicherheitsmodule an, die die Umsetzung der DCD Daten in ein standardisiertes Protokoll bereits integriert haben.
Die Produktreihe SCR DI besteht in diesem Sinne aus einer Kombination aus Sicherheitsrelais und Diagnosemodul und vereint den vollen Funktionsumfang eines klassischen Not-Halt- oder Schutztürwächters mit dem eines SRF Di Diagnosegerätes, nämlich der Übertragung der DCD Daten mittels IO-Link, NFC und USB.
Um dem Kunden etwas mehr Funktionalität und vor allem weitere Kommunikations-
möglichkeiten zu bieten, wurde das SCR P entwickelt. Im Kern handelt es sich hierbei
um ein programmierbares Sicherheitsmodul, das zum einen neben den üblichen Sicherheits-
funktionen auch die Möglichkeit bietet, mit einer grafischen Oberfläche SRF Ketten zu konfigurieren und auszulesen. Zum anderen stellt das SCR P die Übertragung der DCD-
Daten auf mehrere Ethernet-basierende Protokolle zur Verfügung.
Das SCR P hat zehn konfigurierbare Eingangsklemmen, die die Realisierung von einkanaligen und zweikanaligen Eingängen mit und ohne Querschlusserkennung zulassen. Die Wirkungsweise der Eingänge wird am Rechner mit einer grafischen Oberfläche per Drag and Drop programmiert und über einen USB Anschluss in das Sicherheitsmodul übertragen. Dieses stellt zwei jeweils dreikanalige Sicherheitsrelaisausgänge zum Abschalten von gefährlichen Maschinenbewegungen zur Verfügung. Die Software beinhaltet die üblichen Sicherheitsfunktionen wie Not-Halt, Verriegelungseinrichtung, Lichtgitterüberwachung, Zweihandsteuerung usw. Insbesondere besteht die Möglichkeit, zwei unabhängige SRF Ketten zu konfigurieren und deren DCD Daten einzulesen. Diese Daten können dann separiert und direkt über einen Ethernetanschluss weitergegeben werden. Das SCR P unterstützt aktuell die Protokolle Profinet, Ethernet/IP und Modbus.
Dies macht das Smart Safety System zum idealen Werkzeug für die verschiedensten Sicherheitsaufgaben unterschiedlicher Komplexität.
