KANBrief 2/23
In den letzten Jahren haben Fortschritte im Werkstoffwesen und Entwicklungen in der Automatisierungs- und Antriebstechnik Industrieroboter leistungsfähiger, vielseitiger und kostengünstiger werden lassen. Um auch die sicherheitstechnischen Anforderungen anzupassen, wurde die Normenreihe EN ISO 10218 grundlegend überarbeitet und dabei ein neuer Ansatz der Risikobewertung umgesetzt.
Über die typischen Anwendungen in der Automobilproduktion, beim Schweißen, Lackieren, Palettieren etc. hinaus werden Industrierobotersysteme immer häufiger in einem viel breiteren Anwendungsspektrum eingesetzt. Dies ist auch das Ergebnis verbesserter Sensorik und der Anwendung von Steuerungssystemen mit zunehmender Leistung, inklusive der Implementierung künstlicher Intelligenz.
Praktisch anwendbare sicherheitstechnische Anforderungen werden in der EN ISO 10218 „Robotik – Sicherheitsanforderungen“ beschrieben und erläutert. Der erste Teil der Normenreihe beinhaltet Anforderungen an Industrieroboter, der zweite Teil Anforderungen für Applikationen wie Robotersysteme, Roboterzellen etc. Beide Teile bieten als harmonisierte Normen die Konformitätsvermutung in Bezug auf die grundlegenden Sicherheits- und Gesundheitsschutzanforderungen der Maschinenrichtlinie 2006/42/EG.
Die Revision der EN ISO 10218 ist seit fast fünf Jahren in Arbeit mit folgenden Zielen:
Beide Teile werden länger und ausführlicher. Zum einen wurden viele Anforderungen neu aufgenommen, die gewisse grundsätzliche Sicherheits- und Gesundheitsanforderungen der Maschinenrichtlinie widerspiegeln. Zum anderen werden die unterstützenden Dokumente ISO/TS 15066 mit zusätzlichen Anforderungen zur sicherheitstechnischen Gestaltung von kollaborativen Roboteranwendungen sowie ISO/TR 20218-1 und -2 mit zusätzlichen Informationen und Anleitungen zur sicheren Gestaltung von Greiforganen und manuellen Be- und Entladestellen von Robotersystemen in den zweiten Teil der Normenreihe integriert.
Angesichts des breiten Anwendungsspektrums von Industrierobotersystemen ist es nicht immer möglich, eine Liste aller signifikanten Gefahren, gefährlichen Situationen oder Ereignisse bereitzustellen, die auftreten können. Zudem kann die gleiche Art von Anwendungen je nach Gestaltung und Einsatzsituation unterschiedliche Risikoniveaus aufweisen. Dies kann zu unterschiedlichen Anforderungen an die Leistungsfähigkeit von Sicherheitsfunktionen führen, die auf den ersten Blick im Widerspruch zu den starren Anforderungen der aktuellen Norm stehen.
Folglich sollte die Überarbeitung der Norm nicht dazu führen, dass eine Leistungsfähigkeit für die Sicherheitsfunktion fest gefordert wird. Ebenso wenig sollte sie vorschreiben, nach welcher der möglichen Methoden das erforderliche Leistungsniveau zu bestimmen ist, da dies die Normenanwender unnötig einschränken würde. Stattdessen soll das Leistungsniveau aus einer Risikoabschätzung abgeleitet werden, welche die in ISO 12100 beschriebenen Risikoelemente berücksichtigt. Ein normativer Anhang liefert die dafür anzuwendenden Bereiche, Schwellenwerte und weitere Parameter. Dieser neue Normungsansatz soll die oben genannten Diskrepanzen lösen und skalierbare Lösungen für sichere Industrieroboteranwendungen ermöglichen.
Die Revisionen der Normen enthalten jetzt Anforderungen bezüglich der mechanischen Festigkeit und der verwendeten Materialien. Bei der Auswahl der Materialien muss die Verwendung des Roboters und der Roboteranwendung inklusive des vorhersehbaren Missbrauchs, deren Eigenschaften usw., berücksichtigt werden. Die Konstruktion muss Ecken, Kanten und Vorsprünge so weit wie möglich reduzieren, sowie Verschleiß und Ermüdung des Materials einbeziehen.
Die Normen enthalten jetzt Anforderungen zur sicheren Handhabung, zu Lagerung, Transport und Verpackung von Robotern und Komponenten und zu deren Stabilität. Gefährdungen bei der Handhabung von Komponenten sollen so auf ein Minimum reduziert werden. Neu sind auch die Anforderungen zur Begrenzung der Temperatur von berührbaren Oberflächen und zum Brandschutz.
Es werden sicherheitstechnische Anforderungen für den Einsatz von elektrischer, pneumatischer und hydraulischer Energie ergänzt. Diese regeln den Fall von Energieverlust oder -änderung sowie das Verhalten bei Ausfall oder Störungen von Komponenten – insbesondere in Situationen, in denen ein Energieausfall zu Gefährdungen durch schwerkraftbedingte unerwartete Bewegungen des Manipulators (beweglicher Teil des Roboters, an dem das Werkzeug angebracht wird) führen kann. Wenn für die Sicherheit erforderlich, muss eine Sicherheitsfunktion vorgesehen werden, die die Funktion der Positionshaltung überprüft. Roboter müssen in der energielosen Position verriegelt oder gesichert werden können.
Des Weiteren enthalten die Normen spezifische Anforderungen wie die Einstellung des Werkzeugarbeitspunktes (Tool Center Point, TCP), lastbedingte Sicherheitseinstellungen, sowie die mitzuliefernde spezielle Ausrüstung, wenn diese zur sicheren Einstellung und Instandhaltung sowie zum sicheren Gebrauch benötigt wird.
Im Teil 1 der Norm werden zwei Roboterklassen definiert: Klasse I umfasst Roboter mit maximal 10 kg Gesamtmasse des Manipulators, 50 N Kraft und 250 mm/s Geschwindigkeit. Alle Roboter mit höheren Werten gehören zur Klasse II. Für Roboter der Klasse I, deren Prüfmethodik in Anhang E beschrieben ist, gelten viel geringere Anforderungen an Sicherheitsfunktionen.
Wenn die Beurteilung der Cybersicherheit ergibt, dass durch unbefugten Zugriff auf die Steuerung Sicherheitsrisiken entstehen, müssen geeignete Schutzmaßnahmen getroffen werden. Im Teil 1 werden vom Hersteller des Roboters entsprechende Maßnahmen gefordert und gelistet. Teil 1 verweist für weitere Informationen und Anforderungen auf die Normenreihe IEC 62443 „IT-Sicherheit für industrielle Automatisierungssysteme“. Grundsätzlich gilt als vernünftige Annahme die Sicherheitsstufe 2 nach IEC 62443 für Teile der Steuerung, die die Sicherheit beeinträchtigen können (Start, Stopp, Änderung der Sicherheitseinstellungen usw.), und die Sicherheitsstufe 1 für andere Teile.
Für die Steuerung der Roboterfunktionen wurden bestimmte Anforderungen ergänzt. Es darf immer nur eine einzige Bedienstation aktiv sein (inklusive der Bedienstationen für den Fernzugriff). Die Betriebsarten und deren sicherheitstechnische Anforderungen werden in beiden Normen klarer beschrieben. Die Auswahl der Betriebsart wird nicht als Sicherheitsfunktion betrachtet, sondern erst ihre Aktivierung. Damit werden Gefährdungen durch falsche Betriebsartenwahl wirkungsvoll vermieden, ohne zusätzliche und aufwendige Maßnahmen bei den Programmiergeräten umsetzen zu müssen.
Roboter müssen mindestens zwei Betriebsarten aufweisen, den manuellen Betrieb (Programmierung) und den Automatikbetrieb (Abarbeitung des Programmes). Die in den Vorgängerversionen vorgesehene Möglichkeit des manuellen Betriebs mit hoher Geschwindigkeit bei teilweise inaktiven Schutzeinrichtungen (sogenannter „Prozessbeobachtungsbetrieb“) ist nicht mehr erlaubt.
Jede tragbare Bedienstation (Pendant, Bedienfeld, Smartphone, Tablet usw.), die in der Lage ist, Bewegungen oder andere potenziell gefährliche Situationen einzuleiten, muss über einen Not-Halt nach ISO 13850 und einen 3-Stufen-Zustimmtaster (normaler Maschinenlauf, Aufhebung der beweglichen Schutzeinrichtungen, Maschinenstopp bei Loslassen oder Durchdrücken des Tasters) verfügen. Diese Anforderungen gelten nicht für Bedienstationen, die nur überwachen und keine Bewegungen oder Funktionen auslösen können oder den Roboter steuern (z.B. für Qualitätskontrollen mittels Smartphones oder Tablets). Ein Zustimmtaster wird für alle tragbare Bedienstationen von Robotern der Klasse II obligatorisch.
Die zusätzlichen Anforderungen an die funktionale Sicherheit zählen zu den signifikanten Veränderungen der Normenreihe. Einige der in Teil 1 aufgeführten Sicherheitsfunktionen sind obligatorisch, andere sind davon abhängig, ob eine bestimmte Funktionalität bereitgestellt wird, und einige sind optional. Neu ist die Funktion des normalen Stillsetzens, wie im Anhang I (1.2.4.1) der Maschinenrichtlinie gefordert.
Der Anhang C beschreibt alle Sicherheitsfunktionen, die für die Minderung signifikanter Risiken erforderlich sind. Dazu ist jeweils das auslösende Ereignis und das beabsichtigte Ergebnis, d.h. die Reaktion der sicherheitsbezogenen Teile der Steuerung im Falle einer Fehlererkennung, angegeben.
Für einen Roboter nach Teil 1 der Norm müssen die in Anhang C angegeben Performance Level nach ISO 13849-1 verwendet werden. Bei Roboteranwendungen nach Teil 2 gibt es zwei Alternativen: Jede Sicherheitsfunktion muss entweder die Anforderungen von Anhang C1 oder den geforderten Performance Level (PLr) erfüllen, der sich aus einer Risikoeinschätzung anhand der detaillierten Risikoparameter und Schwellenwerte nach Anhang C2 ergibt.
Die Anwendung dieser Risikoparameter ist vorgegeben, der Anwender der Norm kann jedoch frei wählen, welche Risikoabschätzungsmethode er hierzu heranzieht. Die Methode muss jedoch den Anforderungen der ISO 12100 Unterabschnitt 5.5 entsprechen. Dieser Ansatz führt zu einer harmonisierten und überprüfbaren Spezifikation der erforderlichen Leistung der sicherheitsbezogenen Teile der Steuerung mit ähnlichen Ergebnissen bei vergleichbaren Anwendungen.
„Kollaborativer Betrieb“ und weitere Begriffe wurden aus beiden Dokumenten entfernt, da sie lediglich die Art der Anwendung und nicht den Modus oder eine Eigenschaft des Roboters beschreiben. Grundsätzlich sind sich die Experten einig, dass es keine „kollaborativen Roboter“, keinen „kollaborativen Modus“ und auf keinen Fall eine als „kollaborativ“ bezeichnete Geschwindigkeit gibt.
Für sichere kollaborative Anwendungen werden in der Normenreihe jetzt nur drei verschiedene Sicherheitsfunktionen beschrieben: Handführung (Hand Guiding Control, HGC), Abstands- und Geschwindigkeitsüberwachung (Speed and Separation Monitoring, SSM) sowie Kraft und Druckbeschränkung (Power and Force Limiting, PFL). Die ursprüngliche vierte Funktion „Sichere Stillstandsüberwachung (Monitored Safe Stop)“ wird hier nicht mehr aufgeführt, denn diese Funktion ist auch für nicht kollaborative Anwendungen in vielen Fällen zur Vermeidung des unerwarteten Anlaufes erforderlich.
Im Teil 1 werden die Anforderungen an die von den Roboterherstellern bereitgestellten Sicherheitsfunktionen PFL, SSM und HGC ausführlich beschrieben. Teil 2 enthält die Anforderungen für die Einbindung dieser Sicherheitsfunktionen in kollaborative Anwendungen, die PFL, SSM oder HGC verwenden.
Beide Normenteile beinhalten zahlreiche Anhänge. Normativ und damit zur Erfüllung der Norm verbindlich sind insbesondere die Anhänge zu Sicherheitsfunktionen und deren Anforderungen, zur Überprüfung und Validierung der Risikominderungsmaßnahmen, zu Testmethoden für Anhaltezeit und Anhalteweg und zur Prüfmethodik für Roboter der Klasse I.
Die Schlussentwürfe für beide Teile wurden im März 2022 zur Evaluation beim HAS-Consultant eingereicht. Bei positiver Bewertung werden sie ISO und CEN zur finalen Abstimmung vorgelegt. Die Zeit von der Annahme bis zur Veröffentlichung und Harmonisierung hängt von ISO und der EU-Kommission ab. Im günstigsten Fall kann im zweiten oder dritten Quartal 2023 mit der Herausgabe der ISO-Norm gerechnet werden. Ein Zeitrahmen für die Listung im Amtsblatt der EU kann derzeit nicht angegeben werden.
Die Schlussentwürfe enthalten auch Inhalte, die einigen zusätzlichen Anforderungen der neuen EU-Maschinenverordnung entsprechen. Allerdings sind nicht alle Anforderungen konkretisiert, z.B. zur Anwendung von sich entwickelnder KI in Sicherheitsfunktionen oder gewisse Anforderungen an mobile autonome Maschinen und die Cyber-Sicherheit von Hardware.
Otto Görnemann, SICK AG – Waldkirch
Experte für Maschinensicherheit – Normen und Richtlinien
otto.goernemann@sick.de