Elektronische Schlüsselsysteme für die sichere Betriebsartenwahl

Ein Betriebsartenwahlschalter ist an fast allen Maschinen vorhanden – meist in Form eines Schlüsselschalters. Künftig wird vermehrt eine sicherheitstechnische Bewertung der Betriebsartenwahl gefordert werden. Einige Normen, beispielsweise für Dreh- und Schleifmaschinen, verlangen diese Bewertung bereits heute.

Die Forderung nach einer sicherheitstechnischen Bewertung der Betriebsartenwahl ist dadurch begründet, dass bei der Umschaltung von einer Betriebsart in eine andere verschiedene sicherheitstechnische Einrichtungen an der Maschine zu- und abgeschaltet werden.

Ein sehr einfaches Beispiel einer Maschine mit nur zwei Betriebsarten (Automatik- und Einrichtbetrieb) zeigt, warum das so ist: An der Maschine ist im Automatikbetrieb als sicherheitstechnische Einrichtung eine Schutztür im Einsatz. Die Schutztür ist mit einem Sicherheitsschalter abgesichert. Wird die Tür geöffnet, schaltet die Maschine ab und geht in einen sicheren Zustand über. Für die Inbetriebnahme im Einrichtbetrieb ist es jedoch erforderlich, dass die Maschine auch bei offener Schutztür eingeschaltet bleibt – jedoch nicht mit allen Funktionen des Automatikbetriebs. Dazu wird die Betriebsart der Maschine auf Einrichten umgeschaltet. In dieser Betriebsart wird der Sicherheits-schalter an der Schutztür überbrückt, damit die Maschine in Betrieb genommen werden kann. Gleichzeitig wird als sicherheitstechnische Einrichtung ein Zustimmtaster verwendet und steuerungstechnisch auf eine sicher reduzierte Geschwindigkeit umgeschaltet. Zudem sind nicht mehr alle Achsen und Funktionen in Betrieb.

In diesem Beispiel muss – bedingt durch das Umschalten der Betriebsart von Automatik- in den Einrichtbetrieb
– die Sicherheitseinrichtung „Schutztür“ ausgeschaltet werden. Gleichzeitig übernehmen zwei andere Sicherheits-funktionen den Schutz des Mitarbeiters: der Zustimmtaster und die reduzierte Geschwindigkeit.
Bild 1 soll das verdeutlichen.

Bild 1 – Abstrakte Darstellung der Betriebsartenwahl

Bild 1 – Abstrakte Darstellung der Betriebsartenwahl

Eine Betriebsart kann unterschiedliche Funktionen umfassen. Ein Einzelschritt der Maschine kann sowohl im Automatikbetrieb als auch im Einrichtbetrieb sinnvoll sein: im Automatikbetrieb mit geschlossener Schutztür und
im Einrichtbetrieb mit gedrücktem Zustimmtaster und reduzierter Geschwindigkeit.

Das Umschalten zwischen unterschiedlichen Sicherheitseinrichtungen muss einen Performance Level (PL) nach
EN ISO 13849-1 erfüllen. Nur dann ist sichergestellt, dass richtig umgeschaltet wird. Sowohl die C-Norm für Dreh-maschinen (EN ISO 23125) als auch die für Schleifmaschinen (EN ISO 16089) fordert für die Umschaltung einen PL c. Auch die demnächst neu erscheinende Norm für Fräsmaschinen (EN ISO 16090) wird einen PL c fordern.

Normative Beurteilung eines Betriebsartenwahlschalters

Um einen Betriebsartenwahlschalter normativ beurteilen zu können, müssen dessen Bestandteile betrachtet werden. Bei einem Schlüsselschalter ist dies zunächst der Schlüssel selbst. Er ist kein sicherheitsrelevantes Teil
– oder doch? Hier macht uns die deutsche Sprache ein wenig Schwierigkeiten, denn der Begriff Sicherheit wird unterschiedlich genutzt. Grundsätzlich ist ein Schlüssel ein sicherheitsrelevantes Teil. Jedoch nicht im Sinne der
EN ISO 13849-1. Für die Norm bedeutet „Sicherheit“, den Schutz des Menschen vor der Maschine bzw. vor einem Unfall mit der Maschine. Im Englischen wird für diese Art Sicherheit der Begriff Safety oder Functional Safety verwendet. Ein Schlüssel verhindert den unberechtigten Zugriff von außen auf die Maschine und dient zum Um-schalten von einer Betriebsart in die andere. Für diese Art Sicherheitstechnik gibt es derzeit in der Welt der Maschinen keinen eigenen Begriff und keine Norm. Auch C-Normen erheben hier keine Forderungen. Allerdings werden zukünftige C-Normen für diese Form der Sicherheitstechnik den englischen Begriff Security verwenden.
Für die Beurteilung der Security ist die EN ISO 13849-1 jedoch nicht zuständig.

Der Schlüssel selbst muss demnach nicht nach der Norm bewertet werden. Trotzdem sollte auch hier ein gewisses Sicherheitsniveau eingehalten werden. Dies ergibt sich aus der Maschinenrichtlinie, also aus dem Gesetz. Im Anhang I der Maschinenrichtlinie wird gefordert, dass entweder ein Schlüsselschalter verwendet oder auf andere Weise der Zugang zur Betriebsartenwahl auf einen bestimmten Personenkreis beschränkt wird. Daraus ergibt sich nun ein sehr praktisches Problem: An den meisten Maschinen steckt der Schlüssel zur Betriebsartenwahl ständig. Auf diese Weise kann jeder beliebige Mitarbeiter die Betriebsart umschalten und damit auch Arbeiten an einer Maschine durchführen; selbst solche, für die er nicht ausgebildet wurde. Das ist bei einem Unfall für den Maschinenbetreiber und den Maschinenhersteller eine Gefahr: für den Betreiber, weil der Schlüssel immer steckt und für den Hersteller, weil ihm dieser Umstand bekannt ist und eigentlich nicht ignoriert werden darf. Denn es existieren bereits seit vielen Jahren bessere Zugangsbeschränkungen. Es gibt allerdings auch noch schlechtere. Dazu zählt beispielsweise der Zugangsschutz per Passwort. Das kennt irgendwann jeder und es ändert sich nie. Häufig findet man es sogar auf einem Zettel direkt an der Maschine oder im Schaltschrank. Fatal. Denn so ist ein echter Schutz vor unbefugtem Zugriff auf die Maschine ausgeschlossen.

Die elektronische Zugangsbeschränkung

Die bessere, weil sicherere Alternative ist eine elektronische Zugangsbeschränkung. Euchner bietet hierfür beispielsweise das Electronic-Key-System EKS an. Das EKS ist ein auf der Transpondertechnologie basierendes System und besteht aus einer Schreib-Lesestation sowie einem oder mehreren Schlüsseln mit programmierbarem Speicher. Es dient der elektronischen Zugriffsverwaltung bzw. Zugriffskontrolle und bietet darüber hinaus die Möglichkeit weitere Informationen und Daten wie z.B. Prozessparameter oder Funktionen auf dem Schlüssel zu speichern und an die Steuerung zu übermitteln. In der Ausführung FSA (For Safety Application) kann mit dem System auch ein Touchpanel als eine sichere Betriebsartenwahl realisiert werden – sogar mit PL e.

Die sicherheitstechnische Betrachtung eines Betriebsartenwahlschalters in Form eines Schlüsselschalters ist einfach: Es werden ein oder auch zwei Schaltelemente verwendet, die auf ein sicheres Auswertegerät geschaltet sind, und damit immer PL c oder höher erfüllen. Das sicherheitstechnische Blockschaltbild ist in Bild 2 gezeigt.
Es ist in dieser Form in den bereits genannten C-Normen enthalten.

Bild 2 – Sicherheitstechnische Beurteilung eines Betriebsartenwahlschalters

Bild 2 – Sicherheitstechnische Beurteilung eines Betriebsartenwahlschalters

Beim Schlüsselschalter ist als Auswahlsystem ein Wahlschalter mit einem oder zwei Schließerkontakten eingesetzt. Ein Schließer ist kein sicherheitstechnisch bewährtes Bauteil. Da bei einem Wahlschalter jedoch kein sicherheits-technisches Prinzip nach EN ISO 13849-2 zur Verfügung steht, muss ein Weg gefunden werden, wie diese Kontakte beurteilt werden können. Das IFA (Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallver-sicherung) hat dieses Problem bereits vor langer Zeit erkannt und gibt im Report BGIA 2/2008 eine Hilfestellung, indem die Tabelle der Sicherheitswerte aus dem Anhang C der EN ISO 13849-1 erweitert wurde. Die Tabelle D.2 aus dem Report führt Positionsschalter und Taster für Schließerkontakte und für Öffnerkontakte mit der Anmerkung „falls ein Fehlerausschluss für zwangsöffnende Kontakte nicht möglich ist“ mit zwei verschiedenen B10D Werten auf. Damit lässt sich ein Schlüsselschalter bewerten. Die nachgeschaltete Sicherheitsauswertung sowie das Aktivierungssystem ist ohnehin kein Problem.

Betriebsartenwahl mit EKS und Touchpanel

Immer häufiger bilden Touchpanels die Schnittstelle zwischen dem Bediener und den Maschinen und Anlagen.
Die einfache und intuitive Bedienung dieser HMI erleichtert und verbessert die tägliche Arbeit. Überdies gestatten Touchscreens die Integration zahlreicher zusätzlicher Funktionen und ihre benutzerindividuelle Darstellung. Damit liegt es nah, auch die Betriebsart einer Maschine ausschließlich über den Touchscreen auszuwählen.

Da ein Touchpanel jedoch sicherheitstechnisch nicht bewertet werden kann, müssen andere Mechanismen greifen. EUCHNER hat hierfür ein Verfahren entwickelt, mit dem eine Betriebsartenwahl per Touchpanel möglich ist. Das Verfahren wurde von der IFA geprüft und bestätigt.

Bild 3 – Sichere Betriebsartenwahl mit EKS FSA und Touchpanel

Bild 3 – Sichere Betriebsartenwahl mit EKS FSA und Touchpanel

Das EKS FSA initiiert am Ausgang LA beim Stecken eines Schlüssels einen Impuls, der in der sicheren Steuerung einen vorgegebenen Ablauf startet. In der Folge wird eine Erwartungshaltung an das Touchpanel und an die SPS, die ja ebenfalls eine nicht sichere Einheit ist, aufgebaut. Erfolgen innerhalb einer festgelegten kurzen Zeitspanne die richtigen Reaktionen des Systems, arbeiten beide Systeme korrekt.

Gleichzeitig wird über den Bus ein ausgewähltes Datenwort gesendet. Eine Betriebsartenwahl ist eine Anwahl eines Maschinenparameters. Für die Parametrierung werden in der EN ISO 13849-1 Forderungen gestellt. Eine davon betrifft die Kommunikation auf dem Bus. Das Datenwort vom EKS erfüllt deshalb alle Bedingungen für ein sicheres Bussystem. Die Datenmuster für die verschiedenen Zugangsstufen zur Betriebsartenwahl sind so gewählt, dass eine Verfälschung mit ausreichend hoher Wahrscheinlichkeit erkannt wird.
Die Norm fordert außerdem, dass eine Parametereingabe nicht nur einmal, sondern zweimal erfolgen muss. Die Eingabemechanismen müssen sich dabei voneinander unterscheiden. Diese Methode ist von PCs gut bekannt, bei denen eine Eingabe häufig mit der Frage beantwortet wird, ob die Aktion wirklich durchgeführt werden soll. Bei der Betriebsartenwahl hat diese Frage eine sicherheitstechnische Bedeutung. Zusammen mit den Prüfmechanismen, die durch den zweiten Kanal des EKS über LA gestartet wurden, kann ein Touchpanel dann den PL e erfüllen.

Sichere Zugangsbeschränkung durch EKS

Durch die Verwendung des EKS wird eine sehr hohe Qualität der Zugangsbeschränkung erreicht. Das ist für den Maschinenbetreiber im Falle eines Unfalls wichtig, da hiermit die berechtigte Verwendung eines Schlüssels nachgewiesen werden kann. Es ist aber auch für den Maschinenhersteller ein großes Plus, da die Forderung der Maschinenrichtlinie zur Beschränkung des Anwenderkreises sehr einfach erfüllt wird.

Zudem können vom Maschinenhersteller zusätzliche Schulungen für Maschinenbetreiber angeboten werden. Die Schulungen können auf dem Schlüssel des EKS dokumentiert werden. Das ist vor allem bei zwei neuen Betriebs-arten notwendig, die zusammen mit der Beschreibung der Betriebsartenwahl in den C-Normen eingeführt wurden. Die Betriebsarten „Automatikbetrieb mit manuellem Eingriff“ sowie „Service“. In beiden Betriebsarten ist die Arbeit an einer Maschine besonders gefährlich. In „Automatik mit manuellem Eingriff“ kann beispielsweise das Ankratzen eines Werkstücks bei voller Geschwindigkeit der Maschine erlaubt werden – falls irgend möglich mindestens in Verbindung mit einem Zustimmtaster. Dennoch ist bei diesen Arbeiten ein ganz besonderes Wissen um das Risiko erforderlich, das der Hersteller seinen Kunden in Schulungen vermitteln kann. Erst danach wird dann ein passender elektronischer Schlüssel für das EKS ausgegeben.

Speziell für den Maschinehersteller ist die zweite neue Betriebsart „Service“ gedacht. Hier kann sehr frei gearbeitet werden. Und das ist beim ersten Aufstellen einer Maschine auch nötig. Vielfach wird bei dieser Tätigkeit heute mit manipulierten Schutzeinrichtungen gearbeitet. Häufig sind Sicherheitsschalter zu sehen, die am Boden liegen. Natürlich mit gestecktem Betätiger, denn die Maschinenteile müssen ja laufen können. Das ist jedoch ein ein-deutiger Verstoß gegen die Betriebssicherheitsverordnung. Er kann damit gerechtfertigt werden, dass es keine andere Möglichkeit zum Aufbau einer Maschine gibt. Genau deshalb wurde die neue Betriebsart „Service“ geschaffen, die den Aufbau und andere Servicearbeiten vorsieht und damit legalisiert.

Gerade die neue Betriebsart „Service“, die eigentlich jeder Maschinenbauer in seiner Maschine vorsehen muss, ist ganz besonders gefährlich. Deshalb sollte ein Endanwender diese Betriebsart nie wählen können. Ein Passwort-schutz ist da sicherlich nicht mehr ausreichend. Und ein spezieller Schlüssel ist schwierig zu handhaben. Besser und auch manipulationssicherer sind elektronische Schlüssel, die mit einem Kopierschutz versehen sind.

Betriebsartenwahl mit EKS und Tasten

 Bild 4 – Sichere Betriebsartenwahl mit EKS und Tasten

Bild 4 – Sichere Betriebsartenwahl mit EKS und Tasten

Das EKS kann auch für die Betriebsartenwahl mit Tasten eingesetzt werden. Es bietet dieselben Vorteile, wie zuvor beschrieben. Zudem lassen sich die Tasten sicherheitstechnisch wie ein Schlüsselschalter beurteilen. Das EKS wird als Zugangssystem verwendet, um den von der Maschinenrichtlinie geforderten eingeschränkten Benutzerkreis sicherzustellen. Mit der Berechtigung, die auf dem EKS-Schlüssel gespeichert ist, werden die Tasten im Steuer-panel freigegeben. Beispielsweise blinken diese Tasten entsprechend dem Inhalt des Schlüssels. Das kann mit der Standard-SPS realisiert werden, da der Zugang zur Betriebsartenwahl keinen PL erfüllen muss. Um für die Auswahl und Aktivierung einer Betriebsart einen PL zu erreichen, werden einkanalige Tasten für PL c oder zweikanalige Tasten für PL d eingesetzt. Die Signale werden in der sicheren Steuerung eingelesen und die gewählte Betriebsart wird z.B. durch permanentes Leuchten in der Taste signalisiert, wobei gleichzeitig die Maschine in die neue Betriebsart umschaltet. Diese Art der Betriebsartenwahl ist in einigen Maschinen bereits zu finden und lässt sich häufig auch einfachnachrüsten.
Die Regelungen der C-Normen werden sicherlich auf andere Maschinentypen übertragen werden. Der sicherheits-technische Vorteil ist so groß, dass die Akzeptanz derzeit stark steigt. Insbesondere die Legalisierung der Betriebsart Service und die Möglichkeit bei Automatikbetrieb manuelle Arbeiten durchführen zu können sind sehr wichtig.