Die modularen Anlagen haben viele Vorteile. Sie können einfach nach ihrer Leistungsfähigkeit und damit passend zum Auftragsvolumen zusammengestellt werden. Das ist vor allem in volatilen Märkten sinnvoll, damit keine Über- oder Unterkapazitäten entstehen. Aktuell nicht benötigte Module können dann beispielsweise aus der Produktionsanlage entfernt und an anderer Stelle eingesetzt werden. Auch der Wechsel der herzustellenden Produkte oder Bauteile ist einfach möglich, wenn die Produktionsstraße schnell modifiziert werden kann.
Damit dieses so genannte „Plug-&-Produce“ seine Vorteile ausspielen kann, müssen die einzelnen Komponenten reibungslos und sicher miteinander interagieren. Die Zusammenarbeit unterschiedlicher Module ist zwar schon der Stand der Technik, wie etablierte BUS-Systeme und industrielle serviceorientierte Architekturen (zum Beispiel OPC UA) zeigen. Risiko- beziehungsweise Gefährdungsbeurteilungen müssen jedoch bislang noch manuell ausgeführt werden. So bescheinigt der Betreiber nach jeder Änderung und vor der erneuten Inbetriebnahme, dass die vorhandenen Schutzeinrichtungen anforderungsgerecht sind und die Anlage in dieser Zusammenstellung sicher verwendet werden kann. Die „down times“ durch die manuellen Prüfungen hemmen die Produktivität verketteter Anlagen.
Komponenten von unterschiedlichen Herstellern
Eine automatisierte Sicherheitsbeurteilung würde für Betreiber die Produktivität ihrer Anlagenverbünde deutlich steigern. Bis dahin ist es jedoch noch ein weiter Weg, denn eine dafür nötige, einheitliche und standardisierte Sicherheitssemantik gibt es bislang nicht. Die ist jedoch wichtig, damit Betreiber auch in Zukunft zwischen Maschinen und Komponenten diverser Hersteller wählen können und diese sicher zusammenwirken.
Der optimale Speicherort für die sicherheitsrelevanten Safety-Daten ist die sogenannte Verwaltungsschale, die häufig im Zusammenhang mit dem Digitalen Zwilling genannt wird. Gemeint ist damit ein digitales Abbild eines physischen Assets – zum Beispiel einer Komponente oder Maschine. Wie bei einem digitalen Pass sind hier alle Informationen gespeichert, die das Modul charakterisieren. So besteht die Verwaltungsschale in der Regel aus einem allgemeinen Teil mit Informationen, die das Asset eindeutig identifizieren, und weiterführenden Teilen mit instanzspezifischen und charakteristischen Merkmalen. Dazu gehören beispielsweise Leistungsangaben, Statusinformationen, Betriebsparameter oder Grenzwerte, die während des Betriebs erfüllt sein müssen.
Wie Gefährdungen automatisiert erkennen und bewerten?
In der Verwaltungsschale können alle benötigten Informationen hinterlegt werden, die aus organisatorischen, fachlichen und ereignisabhängigen Aspekten wichtig sind. Organisatorische Inhalte betreffen beispielsweise Einkauf, Vertrieb, Konstruktion, Produktion und Instandhaltung. So können etwa Ersatzteillisten, Schalt- und Konstruktionspläne gespeichert sein und Datenbanken (zum Beispiel produzierte Stückzahlen) ausgelesen werden. Sicherheitsrelevante Daten werden der fachlichen Kategorie zugeordnet. Sie betreffen sowohl Safety als auch Security, sodass damit von Maschinensicherheit bis zur Cybersicherheit alle Aspekte abgedeckt werden.
In der Verwaltungsschale eines Assets können sämtliche Parameter aus der Gefährdungsbeurteilung sowie zu den integrierten Sicherheitsfunktionen hinterlegt werden. Wie auch sonst bei verketteten Maschinen üblich besteht die Herausforderung darin, neue Risiken und Gefährdungen zu erkennen, die erst aus der Kombination von zwei oder mehr Maschinenmodulen resultieren. Deshalb ist es nicht ausreichend, wenn in der Verwaltungsschale von Komponente A und Komponente B jeweils ein Katalog der potenziellen Gefährdungen und der vorhandenen Schutzeinrichtungen hinterlegt ist. Die Daten müssen auch hinreichend ausführlich und in einer maschinenlesbaren Form hinterlegt sein, sodass eine Software automatisiert ermitteln kann, ob durch das Verketten und die Zusammenarbeit im späteren Betrieb neuartige Gefährdungen entstehen. Anschließend muss dann geprüft werden, ob die vorhandenen Schutzeinrichtungen und Sicherheitsvorkehrungen geeignet sind, den neuen Gefährdungen wirksam zu begegnen.
In Schubladen denken und Kategorien bilden
An dieser Stelle wird deutlich, dass „Insellösungen“ nicht zielführend sind: Dann fehlt eine standardisierte Safety-Semantik und damit ein gemeinsames Verständnis von Smart Safety. Die Frage lautet: Welche Informationen sind zwingend notwendig und wie werden sie definiert? TÜV Süd arbeitet mit Partnern aus der Industrie in der Technologie-Initiative SmartFactory an einem Konzept, das die Antwort darauf liefern soll. Einen ersten Entwurf für mögliche Inhalte eines Safety-Profils als Bestandteil der Verwaltungsschale hat das Expertengremium im Whitepaper „Safety-Anforderungen an die digitale Maschinenrepräsentanz 2020“ veröffentlicht.
Zentrales Element des Ansatzes ist ein sogenannter Smart-Safety-Agent: Wenn Gefährdungen und Schutzmaßnahmen in einem standardisierten Safety-Profil der Verwaltungsschale beschrieben sind, kann er die möglichen Betriebszustände beider Assets beispielsweise durch eine Simulation analysieren, den neu erkannten Gefahren automatisch die geeigneten Schutzmaßnahmen gegenüberstellen und die Maschinensicherheit bewerten. Dazu ist es notwendig, sich auf eine einheitliche Kategorisierung und Semantik für verschiedene Gefährdungen (zum Beispiel Stoßen, Quetschen, Verbrennen, Freisetzen von gesundheitsschädlichen Gasen) zu verständigen.
Mehr Optionen, um produktiv zu bleiben
Erst wenn diese Voraussetzungen erfüllt sind, ist es in einem modularen Aufbau sicher möglich, einzelne oder mehrere Komponenten in kurzer Zeit zu entfernen, hinzuzufügen oder auszutauschen. Zudem muss der Smart-Safety-Agent verstehen können, dass je nach Umgebungsbedingungen auch unterschiedliche Schutzmaßnahmen auf eine Gefährdung anwendbar sind und wie sie sich jeweils auf den Betrieb auswirken. Zwischen zwei gleich wirksamen Schutzmaßnahmen könnte sich der Smart-Safety-Agent dann für die Maßnahme mit dem geringsten Einfluss auf die Produktivität entscheiden.
Wenn beispielsweise ein fahrerloses Transportsystem (FTS) mit einem anderen FTS zu kollidieren droht, kann es darauf – vereinfacht dargestellt – mit den Aktionen „stehen bleiben“, „Route ändern“ oder „Fahrspur anfragen“ reagieren. Die übliche Schutzmaßnahme wäre „stehen bleiben“. In diesem Beispiel würde der Smart-Safety-Agent die Situation analysieren und je nach Umgebungsbedingungen eine Routenänderung oder Fahrspur vorschlagen, bevor das FTS dem anderen Fahrzeug zu nahe kommt. Die produktionsmindernde Schutzmaßnahme „Anhalten“ kann also gleichwertig ersetzt werden ohne die Produktion „auszubremsen“. Mit einem smarten Safety-Konzept wird die Produktivität, bei gleichbleibendem Sicherheitsniveau, gesteigert.