Immer flexiblere Anlagen erlauben die industrielle Fertigung selbst bei Losgröße 1. Die Weiterentwicklung der eingesetzten Technologien wie auch sich ändernde Kundenwünsche sorgen jedoch dafür, dass künftige Anlagenkonfigurationen nicht abgeschätzt werden können. Ändert sich die Zusammenstellung der Maschinenmodule einer Anlage muss eine sicherheitstechnische Bewertung erfolgen. Diese Neubewertungen stehen dem Ziel der Flexibilität entgegen und bilden so einen Flaschenhals. Das verändert die Anforderungen an die Bewertungsverfahren zur Maschinensicherheit. Selbst wenn die einzelnen Maschinenmodule vollständige Maschinen im Sinne der Maschinenrichtlinie sind, muss die CE-Konformität des Verbunds bewertet werden, da es an den Schnittstellen jedes Mal zu neuen Abhängigkeiten kommen kann. Die grundlegenden Anforderungen umfassen eine Risikobeurteilung, Maschinenkennzeichnung, Betriebsanleitung, technische Dokumentation, Konformitätserklärung und die CE-Kennzeichnung. Bislang muss z.B. die Risikobeurteilung jedes Mal, wenn auch Software gestützt, manuell erstellt werden.
Neue Safety-Konzepte nötig
So wie sich modulare Fertigungsanlagen im Bedarfsfall schnell auf geänderte Anforderungen anpassen lassen, so sollten auch die die nach Maschinenrichtlinie erforderlichen Unterlagen automatisch angepasst werden. Damit könnten Anlagen schneller wieder anlaufen und Betreiber würden Ressourcen und Kosten sparen. Bestehende Konzepte, wie alle möglichen Varianten im Vorfeld zu betrachten, sind angesichts veränderter Anforderungen durch individualisierte Produktion on demand bei sich ständig ändernden Technologien, mitunter nicht ausreichend leistungsfähig. Um eine automatische Bewertung der Maschinensicherheit realisieren zu können, müssen verschiedene Voraussetzungen erfüllt sein. Dazu zählen CE-konforme eigensichere Maschinenmodule inklusive „Basis“-Risikobeurteilung. Außerdem muss für jedes einzelne Modul eine vollständige digitale Schnittstellenbeschreibung vorliegen. Weitere Kriterien für die herstellerübergreifende Verkettung verschiedener Module sind Interoperabilität mit einer serviceorientierten, plattformunabhängigen Kommunikation (z. B. OPC UA) – sowohl untereinander als auch mit den zentralen Fertigungsservern.
Schritt für Schritt zum Konformitätsnachweis
Ein mögliches Konzept für die automatische Konformitätsbewertung teilt den Prozess in fünf Phasen. Wenn alle genannten Bedingungen erfüllt sind, lässt sich das Bewertungsverfahren operationalisieren:
1.) Discovery-Phase: Neue Maschinenmodule werden nach dem Aufbau der Datenverbindung identifiziert. Die Maschinenmoduleigenschaften, die in einer Verwaltungsschale abgelegt sind, werden übermittelt. Sie dienen als Grundlage für die Konformitätsprüfung.
2.) Validierungsphase: Die anschließende Phase besteht aus zwei Schritten. Als erstes wird ermittelt, welche Maschine an welcher anderen angedockt ist, um die Anforderungen an die Schnittstellen der einzelnen Module bewerten zu können. Das Risikopotenzial und die sich daraus ergebenden Anforderungen an die Sicherheitsfunktion (Performance Level) unterscheiden sich je nach Modul, Arbeitsprozess und Material. Im zweiten Schritt wird die Konfiguration anhand von Profilen validiert. Diese Profile, die Teilmodelle der Verwaltungsschale sind, beinhalten die sicherheitsrelevanten Informationen der Module und sind für die weitere Bewertung von elementarer Bedeutung.
3.) Plausibilitätscheck: Die Kommunikation innerhalb des Verbunds wird überprüft. Dazu werden die Parameter zur sicheren zyklischen Kommunikation aus der Verwaltungsschale ausgelesen. Die Plausibilitätsprüfung gleicht unter anderem Netzwerk-Timings ab und stellt sicher, dass alle Sicherheitsfunktionen die nötigen Reaktionszeiten einhalten können.
4.) Konformitätsnachweis: Zeitgleich zum Plausibilitäts-Check erfolgt die digitale Konformitätsbewertung. Die zwischen den Maschinen ausgetauschten Informationen werden in Form von Profilen an einen Cloud-Service übermittelt. Dabei kann es sich sowohl um eine hochsichere Cloud-Lösung als auch um einen auf dem Betriebsgelände befindlichen Server handeln. Wichtig ist, dass die Vertraulichkeit und Integrität der Daten über den gesamten Prozess gewährleistet ist. Je nach den Anforderungen, die aus dem jeweiligen Zusammenschluss an Modulen folgen, werden dann die erforderlichen Performance Level abgeglichen. Aus den Safety-Profilen der verbundenen Module werden sowohl die Gesamt-Risikobeurteilung als auch weitere für die Maschinenrichtlinie relevante Dokumente abgeleitet und erstellt, gespeichert und archiviert. Abschließend wird – sofern alle Anforderungen erfüllt sind – die Konformitätserklärung erstellt. Zusätzlich werden Schlüssel generiert, die die IDs aller beteiligten Aktoren, die Typologie und den erreichten Performance Level enthalten. Nach der Übertragung dieser Schlüssel an die jeweilige Sicherheitssteuerung generiert diese einen neuen, vergleichbaren Schlüssel, der zusätzlich die Laufzeiten der Informationspakete enthält und ebenfalls auf dem zentralen Server oder der Cloud gespeichert wird. Die Sicherheitssteuerung sowie der Server prüfen jeweils den vom anderen generierten Schlüssel. Zur Prüfung der Sicherheitssteuerung zählt auch die Erreichbarkeit der für die Sicherheitsfunktion relevanten Stellen. Auch Maschinen oder Module mit veralteten Profilen können eingebunden werden. Dazu ist jedoch eine manuelle Nachbewertung notwendig. Deren Ergebnisse werden dann in der entsprechenden Verwaltungsschale gespeichert und stehen so dem Maschinenverbund auch künftig zur Verfügung.
5.) Freigabe des Maschinenverbunds: Die Freigabe erfolgt durch den zentralen Server bzw. den Cloudservice nachdem die vier beschriebenen Phasen erfolgreich durchlaufen wurden.
Die Anforderungen an die Maschinensicherheit durch die europäische Maschinenrichtlinie und die entsprechenden Normen sind heute auf sehr hohem Niveau. Um unter diesen Anforderungen gleichzeitig die Möglichkeit zu erhalten, neue Entwicklungen gemäß Plug&Produce zu nutzen, beinhaltet das hier vorgestellte Konzept eine Zweiwegekommunikation, wie sie z.B. Rettungskräfte nutzen. Die Unterlagen, die das System automatisch generiert, sind jederzeit abrufbar und stehen für eine Prüfung durch einen Experten zur Verfügung.
Bild: SmartFactoryKL e.V. 
Bild: SmartFactoryKL e.V. 
Bild: SmartFactoryKL e.V.
Fazit
Technisch ist die modulare Fertigung längst möglich und beherrschbar. Die Sicherheitsbewertung zum Zweck des Konformitätsnachweises ist bei häufig wechselnder und nicht vorhersehbarer Konfigurationen hingegen noch mit vergleichsweise hohen Stillstandszeiten verbunden. Es gilt deshalb, neue Wege zu gehen und auch die automatisierte Konformitätsprüfung weiterzuentwickeln. TÜV Süd und weitere Unternehmen aus der Technologieinitiative SmartFactoryKL wollen sich dieser Herausforderung stellen, um Paradigmen wie Plug&Produce unter Berücksichtigung der geltenden Safety-Anforderungen zu ermöglichen.
