Sicherheitshandbuch TS2

Controller CS9
Sicherheitshandbuch
D.280.947.02-C - 16/04/2018
CS9 - Übersetzung der Originalanleitung
© Stäubli 2018
Die DVD des Roboters kann ein readme.pdf Dokument aufweisen. Es enthält Zusätze zur
Dokumentation und ein Korrekturverzeichnis.
Stäubli ist eine in der Schweiz und anderen Ländern registrierte Marke der Stäubli International AG. Wir behalten uns das Recht vor, Produktspezifikationen ohne
vorherige Ankündigung zu ändern.
2/104 © Stäubli 2018 – D.280.947.02-C CS9

Inhaltsverzeichnis
INHALTSVERZEICHNIS
1- EINLEITUNG......................................................................................................................... 5
1.1- Vorwort..........................................................................................................................................5
1.2- Definition und Glossar...................................................................................................................6
2- BESCHREIBUNG..................................................................................................................9
2.1- Übersicht....................................................................................................................................... 9
2.2- Anwendungsfälle für die Vornahme von Sicherheitseinstellungen............................................. 12
2.3- Sicherheitskomponenten............................................................................................................ 13
2.4- Sicherheitsfunktionen..................................................................................................................15
3- MASCHINENDESIGN......................................................................................................... 19
3.1- Sicherheitsanforderungen........................................................................................................... 19
3.2- Leistungsniveau / Sicherheitsanforderungsstufe der Sicherheitsfunktionen.............................. 23
3.3- Durchführung.............................................................................................................................. 29
4- SAFE PMT...........................................................................................................................51
4.1- Installation und Einstellungen..................................................................................................... 51
4.2- Übersicht..................................................................................................................................... 52
4.3- Update der Sicherheitsparameter............................................................................................... 53
4.4- Validierungsbericht......................................................................................................................55
4.5- Backup und Wiederherstellung der Sicherheitsparameter......................................................... 55
4.6- Wartung.......................................................................................................................................59
5- SICHERHEITSPARAMETER.............................................................................................. 63
5.1- Aktivierung der Sicherheitsüberwachung................................................................................... 63
5.2- Sperrende Sicherheitsfunktionen................................................................................................ 65
5.3- Stoppende Sicherheitsfunktionen............................................................................................... 65
5.4- Begrenzende Sicherheitsfunktionen........................................................................................... 68
5.5- Sicherheitsfunktionen für Steuerungsschnittstellen....................................................................81
5.6- Sicherheitsfunktionen für die Ausgänge..................................................................................... 82
5.7- Diagnosefunktionen.................................................................................................................... 83
6- INBETRIEBNAHME............................................................................................................ 85
6.1- Informationen zur Validierung..................................................................................................... 85
6.2- Validierung der elektrischen Schnittstellen................................................................................. 86
6.3- Validierung der Sicherheitsfunktionen für Steuerungsschnittstellen...........................................86
6.4- Validierung der Sicherheitshalt Funktionen.................................................................................86
6.5- Validierung der Sicherheitsabstände.......................................................................................... 87
6.6- Validierung der begrenzenden Sicherheitsfunktionen.................................................................87
6.7- Validierung des eingeschränkten Arbeitsbereichs...................................................................... 90
6.8- Validierung der Sicherheitsfunktionen der Ausgänge................................................................. 90
6.9- Validierung der Diagnosefunktionen........................................................................................... 90
CS9 © Stäubli 2018 – D.280.947.02-C 3/104

Inhaltsverzeichnis
6.10- Validierung der Sicherheitsmaßnahmen..................................................................................... 91

6.11- Wiederinbetriebnahme................................................................................................................ 92
7- ANHANG............................................................................................................................. 93
7.1- Checkliste für die Inbetriebnahme.............................................................................................. 93
7.2- RSI9 IOs...................................................................................................................................... 97
7.3- DSI9 E/A (System)..................................................................................................................... 100
7.4- Versionen der Sicherheitsapplikation........................................................................................102
4/104 © Stäubli 2018 – D.280.947.02-C CS9

1 - Einleitung
1 - EINLEITUNG .
1.1 - VORWORT M0000242.1
Die in diesem Dokument enthaltenen Informationen sind Eigentum von STÄUBLI und dürfen ohne un‐
sere vorherige schriftliche Zustimmung nicht vervielfältigt werden.
Die in diesem Dokument enthaltenen Spezifikationen können ohne Vorankündigung geändert werden.
Obwohl gewissenhaft auf die Richtigkeit der in diesem Dokument enthaltenen Informationen geachtet
wird, kann STÄUBLI für mögliche Fehler oder Auslassungen in den Abbildungen, Zeichnungen und
Spezifikationen dieses Dokuments nicht haftbar gemacht werden.
Die in diesem Handbuch gezeigten Schaltpläne dienen nur zu Informationszwecken: Die Bezugs‐
schaltpläne des Roboters sind in einem separaten Handbuch angeführt. Die Abbildungen dienen ledig‐
lich dem besseren Verständnis, sie sind nicht vertraglich bindend.
Wenden Sie sich bitte an den Kundendienst von STÄUBLI Robotik in Ihrem Land, wenn Sie unvollstän‐
dige Informationen, Fehler oder Auslassungen feststellen:
■ http://www.staubli.com/en/contacts/division/robotics/
STÄUBLI, UNIMATION, VAL
sind eingetragene Warenzeichen der STÄUBLI INTERNATIONAL AG.
EtherCAT® ist eine eingetragene Marke und patentierte Technologie, lizenziert durch
die Beckhoff Automation GmbH, Deutschland.
1.1.1 - GEGENSTAND DES HANDBUCHS M0004671.1
Ziel dieses Handbuchs ist es, Informationen für die richtige Konfiguration und Validierung der Sicher‐
heitsparameter des Roboters bereitzustellen. Es soll den Personen, die mit dem Gerät umgehen, als
Hilfe und Referenz dienen. STÄUBLI empfiehlt, zum leichteren Verständnis dieses Handbuchs und für
die bessere Bedienung und Wartung des Roboters Schulungen zu besuchen.
CS9 © Stäubli 2018 – D.280.947.02-C 5/104

1 - Einleitung
1.1.2 - BESONDERE SICHERHEITS- UND GEFAHRENHINWEISE, WARNUNGEN UND

INFORMATIONEN M0000549.1
In dieser Dokumentation werden mehrere Formatierungen für besonders wichtige Hinweise verwendet.
Diese Hinweise sind folgende (in abnehmender Bedeutung):
VORSICHT
Anweisung, die den Leser auf Unfallgefahren hinweist, die zu schweren Verletzungen führen
können, wenn die angegebenen Maßnahmen nicht beachtet werden. Eine derartige Kenn‐
zeichnung dient normalerweise zur Beschreibung einer potentiellen Gefahr, deren mögliche
Auswirkungen, und die zur Verringerung dieser Gefahr zu treffenden Maßnahmen. Die Sicher‐
heit von Personen ist nur bei Beachtung dieser Anweisung gewährleistet.
SICHERHEIT
Safety
Diese Anweisung macht den Leser darauf aufmerksam, dass er zur Haftung verpflichtet ist,
wenn er die vorgeschriebenen Maßnahmen nicht befolgt. Die Anweisung muss befolgt wer‐
den, um das Sicherheitsniveau des Roboters zu wahren.
Der Leser wird darauf aufmerksam gemacht, dass das Risiko eines Materialschadens oder
Fehlers besteht, wenn er die Anweisungen nicht befolgt. Die Zuverlässigkeit und die Leistun‐
gen des Geräts sind nur bei Beachtung dieser Anweisung gewährleistet.
Liefert eine ergänzende Information, hebt einen wichtigen Punkt oder eine wichtige Prozedur
hervor. Diese Information sollte ins Gedächtnis eingeprägt werden, um die Umsetzung und
den ordnungsgemäßen Ablauf der beschriebenen Vorgänge zu erleichtern.
ESD (Elektrostatische Entladung)
Dieses Symbol warnt vor dem Kontakt mit elektrostatisch empfindlichen Komponenten (Siehe
Kapitel ).
1.2 - DEFINITION UND GLOSSAR M0004672.1
Person: Allgemeine Bezeichnung für alle Personen, die sich der STÄUBLI-Maschine nähern können.
Personal: Bezeichnet die Person, die eigens für die Installation, die Bedienung und Wartung
der STÄUBLI-Maschine eingestellt und ausgebildet wurde.
Benutzer: Bezeichnet die Firma bzw. die Personen, welche für die Bedienung der STÄUBLI-Maschine
zuständig sind.
Operator: Bezeichnet die Person, die den Roboter startet, stoppt oder sein Funktionieren kontrolliert.
Integrator: Bezeichnet die Person oder das Unternehmen, die/das für die Konzeption und Herstellung
der Roboterzelle verantwortlich ist.
Assessor: Bezeichnet die Personen, die für die Inbetriebnahme der Sicherheitsfunktionen zuständig
sind.
B10d Mittlere Anzahl an Zyklen, nach denen eine Rate an gefährlichen Aus‐
fällen von 10% zu erwarten ist (ISO 13849-1, C4)
DSI9 Digital Sensor In‐ Digitale Sensor-Schnittstelle: Sicherheitskarte am Roboterfuß
terface
FMEA Failure Mode and FMEA: Fehlermöglichkeits- und -einflussanalyse
Effects Analysis
IP code Ingress Protection Internationale Einstufung (IEC 60529) für den Eindringschutz
Code
PFHd Probability of dan‐ Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde: Teil der
gerous Failure per Berechnung der Leistungsparameter von Sicherheitsfunktionen, die
Hour zur Festlegung des PL oder SIL erforderlich ist
6/104 © Stäubli 2018 – D.280.947.02-C CS9

1 - Einleitung
PL Performance Le‐ Leistungsniveau: Leistungsmessung für Sicherheitsfunktionen ge‐

vel mäß ISO 13849-1
RBR Remote Brake Re‐ Externe Bremsenlöseeinheit: Handbediengerät für manuelle Brems‐
lease steuerung
RSI9 Robot Safety In‐ Modul mit dem Sicherheitskreis: Sicherheitskarte im CS9-Computer-
terface Einschub
SBC (1) Safe Brake Con‐ sichere Bremsensteuerung: Sicherheitsfunktion zur Überwachung der
trol Bremsstromversorgung
SELV/ Separated Extra SELV/PELV: Sicherheitskleinspannung / Schutzkleinspannung
PELV Low Voltage /
Protected Extra
Low Voltage
SIL Safety Integrity Sicherheitsintegritätslevel: Leistungsmessung für Sicherheitsfunktio‐
Level nen gemäß IEC 61508 oder IEC 62061
SLO Safely Limited Ori‐ Sicher begrenzte Ausrichtung: Sicherheitsfunktion zur Begrenzung der
entation Werkzeugausrichtung
SLP (1) Safely Limited Po‐ Sicher begrenzte Position: Sicherheitsfunktion zur Begrenzung der
sition Position des Roboters
SLS (1) Safely Limited Sicher begrenzte Geschwindigkeit: Sicherheitsfunktion zur Begren‐
Speed zung der Robotergeschwindigkeit
SOS (1) Safe Operating Bedienersicherheitsabschaltung: Sicherheitsfunktion zur Verhinderung
Stop von Roboterbewegungen
SP2 STÄUBLI-Handbediengerät
SS0 (1) Safe Stop 0 Sicherheitsstopp 0: Sicherheitsfunktion für einen Stopp der Katego‐
rie 0 gemäß IEC 60204-1
STO (1) Safe Torque Off sicher abgeschaltete Motoren: Sicherheitsfunktion zur Überwachung
des Motordrehmoments
SVC Safe Valve Control Sichere Ventilsteuerung: Sicherheitsfunktion zur Überwachung der
Stromversorgung der Ventile
TDO Test Digital Out‐ Digitaler Testausgang: Digitaler Testausgang in Verbindung mit einem
put sicheren digitalen Eingang zur Ortung von Kurzschlüssen
USI User Safe Input Benutzer Sicherer Eingang: Sicherer digitaler Eingang am CS9-Com‐
puter-Einschub
USO User Safe Output Benutzer Sicherer Ausgang: Sicherer digitaler Ausgang am CS9-Com‐
puter-Einschub
WMS9 Working Mode Auswahl der Betriebsart: Schnittstelle des Betriebsartenwahlschalters
Selection
(1) Wie in EN 61800-5-2:2016 festgelegt
CS9 © Stäubli 2018 – D.280.947.02-C 7/104

8/104 © Stäubli 2018 – D.280.947.02-C CS9
2 - Beschreibung
2 - BESCHREIBUNG .
2.1 - ÜBERSICHT .
2.1.1 - FUNKTIONALE SICHERHEIT M0004629.1
Die CS9-Steuerung verfügt über einen Sicherheitscontroller, der nicht nur in der Lage ist, den Roboter
auf Anfrage zu stoppen (z. B. nach einem Not-Halt), sondern der auch höhere, auf der Position und
Geschwindigkeit des Arms basierende Sicherheitsparameter überwachen kann. Dazu bedient sich der
Sicherheitscontroller redundanter Mikroprozessoren, die ein Roboter-Sicherheitsprogramm ausführen,
das vom Roboterintegrator konfiguriert, aber nicht geändert werden kann. Die Nutzung von program‐
mierbaren elektronischen Systemen zu Sicherheitszwecken nennt man "Funktionale Sicherheit".
Die funktionale Sicherheit eröffnet viele neue Möglichkeiten, wie z. B. die Reduzierung des Zellenum‐
fangs oder der Umzäunungsgröße, und ermöglicht viele verschiedene Arten kollaborativer Anwendun‐
gen, bei denen Mensch und Maschine enger und häufiger interagieren können. Typische Nutzungsfälle
der funktionalen Sicherheit sind in Kapitel 2.2 aufgeführt.
Die Sicherheitssteuerung arbeitet unabhängig von der Bewegungssteuerung, wobei jedoch deren
Konfigurationen synchronisiert sind, so dass die meisten der konfigurierten Sicherheitsgrenzwerte au‐
tomatisch eingehalten werden, ohne dass das Anwendungsprogramm geändert werden muss. Zum
Beispiel wird die Reduzierung der Sicherheitshöchstgeschwindigkeit automatisch auf die Roboterbe‐
wegungen angewandt.
Die meisten Sicherheitsparameter können eingestellt werden, ohne dass das Anwendungs‐
programm dadurch beeinträchtigt wird.
Den Vorteilen der funktionalen Sicherheit stehen jedoch auch einige Nachteile entgegen: die Sicher‐
heitskonfiguration muss konsequent verwaltet werden, und je nach den benutzten Sicherheitsfunktio‐
nen sind Vorkehrungen für eine regelmäßige Referenzierung des Roboters sowie für Bremsentests zu
treffen. Bei komplexen Sicherheitskonfigurationen können die Einstellung und Validierung der Sicher‐
heitsparameter viel Zeit in Anspruch nehmen.
Die Durchführbarkeit von Projekten auf der Grundlage der neuen Sicherheitskonzepte muss
vorab sorgfältig geprüft werden. Ein Fehler im Sicherheitskonzept kann schwere Auswirkun‐
gen auf die gesamte Zelle haben.
Für Anwendungen, für die keine funktionale Sicherheit erforderlich ist, steht ein vereinfachtes Sicher‐
heitsprogramm mit einem eingeschränkten Satz an Sicherheitsparametern zur Verfügung, das die Si‐
cherheitsintegration, Validierung und Wartung vereinfacht.
Verwenden Sie das vereinfachte Sicherheitsprogramm, wenn keine erhöhte Sicherheitsfunk‐
tion erforderlich ist.
CS9 © Stäubli 2018 – D.280.947.02-C 9/104

2 - Beschreibung
2.1.2 - SICHERHEITSPROZESS M0004630.1
Die Sicherheitskonfiguration des Roboters ist sorgfältig nach folgenden drei Schritten vorzunehmen:
1) Sicherheitskonzept und Durchführbarkeit
Das Sicherheitskonzept muss eindeutig festlegen, wozu die Robotersicherheit dient, und welche
Robotersicherheitsfunktionen für diese Zwecke erforderlich sind. Es muss bestätigen, dass die Si‐
cherheitsfunktionen erkannte Risiken angemessen begrenzen, und dass die ausgewählte Lösung
durchführbar ist. Kapitel 3 enthält die erforderlichen Informationen zur Durchführung dieses
Schritts.
2) Sicherheitskonfiguration
Während der Zellenintegration werden die erforderlichen Sicherheitsfunktionen mit denjenigen Pa‐
rameterwerten konfiguriert und soweit erforderlich vor Ort eingestellt, die im Sicherheitskonzept
festgelegt worden sind. Kapitel 5 dient als Referenzhandbuch für die Sicherheitsparameter.
3) Validierung der Sicherheitseinstellungen
Wenn die Anwendung zur Implementierung bereit ist, muss eine Sicherheitsvalidierung durchge‐
führt werden, um sicherzustellen, dass sich alle Sicherheitsfunktionen wie erwartet verhalten. Kapi‐
tel 6 enthält detaillierte Informationen für die durchzuführenden Validierungstests. Im Anhang befin‐
det sich eine Checkliste zur Unterstützung während der Validierungsphase.
2.1.3 - SICHERHEITSFUNKTIONEN M0004631.1
Das Sicherheitskonzept stellt die Verbindung her zwischen den in der Zelle identifizierten Risiken und
den Robotersicherheitsfunktionen, die zu deren Abwendung eingesetzt werden. Der Hauptzweck die‐
ses Sicherheitshandbuchs ist es, die Sicherheitsfunktionen des Roboters im Einzelnen so zu beschrei‐
ben, dass sie möglichst gewinnbringend genutzt werden können.
Das allgemeine Prinzip der Robotersicherheitsfunktionen besteht darin, die im Voraus festgelegten Si‐
cherheitsbedingungen zu überwachen, und entweder den überwachten Status an andere Geräte wei‐
terzumelden, oder den Roboter in einen sicheren Zustand zu versetzen, wenn gewisse Sicherheitsbe‐
dingungen nicht mehr erfüllt sind:
■ Die Sicherheitsbedingungen werden durch Überwachung der sicheren Eingänge und der sicheren
Encodersignale überprüft. Je nach der gewünschten Reaktion führt diese Überwachung zu einer
Sicherheitsabschaltung und/oder zur Sperrung eines sicheren Ausgangs, der seinerseits eine ent‐
sprechende Reaktion der anderen Geräte in der Zelle auslöst.
■ Der Sicherheitszustand des Roboters wird durch Deaktivierung der unter seiner Kontrolle befindli‐
chen Stellglieder erreicht (Motoren, Bremsen und Ventile). Der Sicherheitszustand der anderen Ge‐
räte in der Zelle kann möglicherweise über sichere Ausgänge angesteuert werden.
Alle CS9/TX2-Roboter verfügen über die für die beschriebenen Sicherheitsfunktionen erfor‐
derliche Sicherheitsausstattung. Tiefgreifendere Sicherheitsfunktionen sind über die Laufzeit-
Lizenz SafeCell+ zugänglich.
10/104 © Stäubli 2018 – D.280.947.02-C CS9

2 - Beschreibung
2.1.4 - SICHERHEITSPROGRAMM M0004632.1
Die Sicherheitsfunktionen des Roboters sind in einem vordefinierten Robotersicherheitsprogramm im‐

plementiert, das die ordnungsgemäße Ansteuerung der Motoren, Bremsen, Ventile und Betriebsarten
des Roboters gewährleistet. Es ist nicht möglich, dieses Sicherheitsprogramm zu ändern; es können
lediglich dessen Parameter konfiguriert werden.
Das Sicherheitsprogramm implementiert folgende Funktionen:
■ Überwachung der verschiedenen Betriebsarten und der mit einem Wiederanlauf in Verbindung ste‐
henden Schnittstellen
■ SP2 Sicherheitsfunktionen: Not-Halt, Zustimmtaster, Abstecken des Handbediengeräts im laufen‐
den Betrieb
■ Sichere Geschwindigkeitsbegrenzung in den manuellen und automatischen Betriebsarten
■ Sichere Achsbegrenzungen
■ 2 permanente Sicherheitszonen
■ 2 aktivierbare Sicherheitszonen
■ 4 konfigurierbare sichere Eingänge, die entweder einen Sicherheitsstopp, eine sichere Geschwin‐
digkeitsbegrenzung oder eine Geschwindigkeitsbegrenzung innerhalb einer Zone mit einer konfigu‐
rierbaren Reaktionszeit auslösen
■ 3 konfigurierbare sichere Ausgänge, die zur Übermittlung von sicherheitstechnischen Informationen
an andere Geräte dienen
■ Ein sicheres EtherCAT FSoE-Slave-Profil als Schnittstelle zu einem externen sicheren PLC
■ Durchführung des sicheren Referenzierens
■ Durchführung des sicheren Bremsentests
Eine sichere Zone ist als Kombination gesicherter Achspositionen und kartesischer Geschwindigkeits‐
begrenzungen innerhalb eines kartesischen Volumens (Quader/Zylinder/vertikale Ebene) definiert. Die
kartesische Position und die Geschwindigkeitsbegrenzungen des Roboters werden an bis zu 4 ver‐
schiedenen, auf den Flansch des Roboters bezogenen Überwachungspunkten überprüft.
Die Komplexität des Sicherheitskonzepts ist durch die Anzahl der sicheren Ein-/Ausgänge
und Sicherheitszonen begrenzt. Es ist wichtig, die Durchführbarkeit neuer Sicherheitskon‐
zepte in der frühen Konzeptionsphase sorgfältig zu überprüfen.
Die Staubli Robotics Suite 2019 enthält einen Konfigurationseditor für Sicherheitseinstellungen, der die
erforderlichen Sicherheitsressourcen prüft und mögliche Inkompatibilitäten zwischen den Sicherheits‐
parametern identifiziert.
CS9 © Stäubli 2018 – D.280.947.02-C 11/104

2 - Beschreibung
2.2 - ANWENDUNGSFÄLLE FÜR DIE VORNAHME VON

SICHERHEITSEINSTELLUNGEN .
2.2.1 - AUFENTHALT IN DER NÄHE DES ROBOTERS M0004633.1
Es ist nicht erforderlich, die funktionale Sicherheit des Roboters dazu zu verwenden, diesen anzuhal‐
ten, wenn Menschen in dessen Arbeitsbereich eingreifen. Die funktionale Sicherheit des Roboters er‐
öffnet jedoch neue Möglichkeiten:
■ Die Implementierung von SS2 Sicherheitsstopps anstelle von SS1 macht die Anwendungspro‐
grammierung einfacher; das Anhalten und Wiederanlaufen des Roboters kann vollständig von der
Sicherheitssteuerung gesteuert werden, unabhängig vom Anwendungsprogramm.
Wenn nach einem Bedienereingriff ein automatisches Wiederanlaufen möglich sein soll (z. B. bei
sehr kleinen Zellen oder Zellen, die in der Lage sind, die Anwesenheit einer Person zu erfassen),
wird die Stillstandszeit durch den Einsatz von SS2 Stopps optimiert.
■ Die Einstellung der maximal zulässigen Anhaltezeit dient dazu, die Sicherheitsabstände zu reduzie‐
ren (siehe Kapitel 2.2.2), ermöglicht aber auch die einfache und effiziente Einrichtung von z.B. mit
Lichtschranken überwachten Zonen zur Werkzeugbestückung, mit deren Hilfe Bedienereingriffe ei‐
ne nur geringe Auswirkung auf die Taktzeit haben.
Darüber hinaus ermöglicht das hohe Niveau der Sicherheitsstopps der CS9/TX2 regelmäßige Bedie‐
nereingriffe in den Arbeitsbereich des Roboters, wenn der angestellten Risikobewertung zufolge das
normalerweise übliche Level SIL2/PLd für häufige Bedienereingriffe nicht ausreichend ist.
2.2.2 - REDUZIERUNG DES SICHERHEITSABSTANDS BZW. DER GRUNDFLÄCHE DER ZELLE
M0004634.1
Der Sicherheitsabstand zwischen dem Roboter und den Schutzvorrichtungen wird so festgelegt, dass
der Roboter ausreichend Zeit hat, zum Stillstand zu kommen, ehe eine sich nähernde Person ihn errei‐
chen kann. Dadurch dass die Anhaltezeit als konfigurierbarer Sicherheitsparameter angelegt ist, lässt
sich der Sicherheitsabstand flexibel optimieren. Wenn der Sicherheitsabstand eine Auswirkung auf die
Grundfläche der Zelle hat, lässt sich diese durch die Optimierung entsprechend reduzieren.
Je schneller sich der Roboter bewegt, desto wichtiger ist eine starke Bremswirkung, die sich wiede‐
rum positiv auf die benötigte Anhaltezeit auswirkt. Die geringstmögliche Anhaltezeit hängt von der
Nutzlast und der Stopphäufigkeit ab, und wirkt sich auf die Lebensdauer des Roboters aus.
2.2.3 - OPTIMIERUNG VON SCHUTZBEREICHEN M0004635.1
Wenn sich Umzäunungen im vom Roboter erreichbaren Bereich befinden, muss sichergestellt sein,
dass die Umzäunungen entweder in der Lage sind, den Roboter ohne eine gefährliche Verformung zu
stoppen, oder dass der Roboter immer vor Erreichen der Umzäunungen gestoppt wird.
■ Eine gefährliche Verformung kann dadurch verhindert werden, dass die maximale Einschlagsener‐
gie des Roboters mittels sicherer Beschränkung der Geschwindigkeit reduziert wird.
■ Das Stoppen des Roboters vor Erreichen der Umzäunungen kann mit sicheren Positionsbegren‐
zungen erreicht werden; dabei muss jedoch zwischen den Sicherheitsbegrenzungen und der Um‐
zäunung ein Anhaltebereich dergestalt vorgesehen werden, dass der Roboter bei einem System‐
ausfall (z. B. Stromausfall) ausreichend Zeit hat, mit Hilfe seiner Bremsen anzuhalten.
■ Beide Lösungen können derart miteinander verknüpft werden, dass ein bestmöglicher Kompromiss
zwischen Zykluszeit und Grundfläche der Zelle gefunden wird.
Die Abschätzung des ungünstigsten Anhaltewegs oder der Energie an den Begrenzungen erfordert
komplexe Simulationen; in der Praxis sollten eher konservative Schätzungen angestellt werden.
2.2.4 - GEMEINSAMER ARBEITSBEREICH VON BEDIENER UND ROBOTER M0004636.1
Per Sicherheitssignal aktivierte sichere Einschränkungen der Position und Geschwindigkeit des Robo‐
ters können dazu genutzt werden, dass sich der Roboter mit reduzierter Geschwindigkeit und nur in
einem Teil seines Arbeitsbereichs bewegt, wenn der Bediener einen Teilbereich der Zelle betritt (z. B.
zum Be- und Entladen von Paletten). Auf diese Weise können Paletten ausgetauscht werden, ohne
dass die Applikation gestoppt werden muss.
12/104 © Stäubli 2018 – D.280.947.02-C CS9
2 - Beschreibung
2.2.5 - KOLLABORATIVE ANWENDUNGEN M0004637.1
Der Begriff "Kollaborative Anwendungen" bezieht sich auf teils sehr unterschiedliche Anwendungsfälle:
■ Im weitesten Sinne verstehen sich darunter Anwendungen, bei denen der Bediener den Arbeitsbe‐
reich des Roboters frei betreten und verlassen kann; dank ihres hohes Sicherheitsniveaus erlau‐
ben CS9-Roboter ein derartiges kollaboratives Arbeiten mit regelmäßigen Bedienereingriffen in der
Nähe des Roboters oder die gemeinsamen Nutzung des Arbeitsbereichs.
■ Im engeren Sinne bezieht sich der Begriff auf Anwendungen, bei denen ein Kontakt mit einem Ro‐
boter in Bewegung zwar nicht erwünscht, aber möglich und sicher ist. Dies erfordert grundsätzlich
den Einsatz eines Sicherheitssensors, der den Kontakt mit dem Menschen erfasst.
SICHERHEIT
Safety
CS9/TX2 Roboter an sich verfügen über KEINE Sicherheitsfunktion zur Detektion eines Kon‐
takts mit dem Bediener; eine solche Detektion muss durch Ausstattung mit zusätzlichen, ex‐
ternen Schutzvorrichtungen realisiert werden.
■ Im engsten Sinne sind Anwendungen gemeint, bei denen der Bediener und der Roboter koordiniert
an der gleichen Aufgabe arbeiten und ein Kontakt möglich ist. Einige dieser kollaborativen Anwen‐
dungen, wie Handführung, sind mit CS9-Robotern möglich, wenn eine zusätzliche Sicherheitsaus‐
rüstung am Endeffektor installiert wird.
2.3 - SICHERHEITSKOMPONENTEN .
2.3.1 - SICHERHEITSARCHITEKTUR M0004638.1
Die Sicherheitsarchitektur eines CS9/TX2-Roboters ist in der nachstehenden Abbildung zusammenge‐

fasst:
I0003913
CS9 © Stäubli 2018 – D.280.947.02-C 13/104

2 - Beschreibung
Englisch Übersetzung Englisch Übersetzung

eStop Not-Aus Encoder Wegmesssystem
Enabling Zustimmtaster Brake Bremse
CS9 controller Controller CS9 Motor Motor
Drives Verstärker TX2 arm Arm TX2
Valve Ventil
Die Abbildung zeigt die sicherheitsrelevanten Komponenten der CS9-Steuerung und des dazugehöri‐
gen TX2-Arms. Die Steuerung verfügt über eine sichere SPS (PLC (RSI9)) sowie über Verstärker, die
auf der Grundlage sicherer Eingangssignale die Motoren bei Bedarf mittels einer integrierten Sicher‐
heitsfunktion (STO) spannungsfrei schalten. Der Arm ist mit einer sicheren E/A-Karte (DSI9) ausgestat‐
tet, die die Magnetventile und Bremsen steuert, und die die Positionsmeldungen der sicheren Encoder
an die Sicherheitskarte RSI9 überträgt.
Die Stromversorgung der Steuerung liefert unter anderem die zur Speisung der Sicherheitsausrüstung
erforderliche SELV/PELV-Spannung von 24V.
2.3.2 - SICHERHEITSSCHNITTSTELLEN M0004639.1
Die RSI9-Sicherheitskarte verfügt über sichere digitale Ein- und Ausgänge, auf die über die Schnittstel‐
len der Steuerung zugegriffen werden kann; da sie sich zu deren Betrieb Sicherheitsprotokollen auf
Basis von Echtzeit-Ethernet wie z.B. FSoE über EtherCAT bedient, sind die Echtzeit-Ethernet-Ports
der Steuerung ebenfalls Teil der Sicherheitsschnittstelle.
Die sicheren Eingänge der RSI9-Karte dienen zum Anschluss der folgenden sicherheitsbezogenen Pe‐
ripherie:
■ Wartungsstecker (wird mit jedem Roboter ausgeliefert) - stellt Sicherheitsfunktionen auch während
der Phasen der Integration oder der Wartung des Roboters zur Verfügung.
■ Handbediengerät SP2 (optional) - ausgestattet mit einem Zustimmtaster, einem Not-Halt-Taster,
sowie mit einem Brückenstecker, der den Betrieb auch nach Abstecken des Handbediengeräts er‐
möglicht.
■ Betriebsarten-Wahlschalter (WMS9) - optional - mit Betriebsarten-Wahlschalter, Not-Halt-Taster
und Drucktaster zur Quittierung eines Sicherheits-Wiederanlaufs (manuelles Reset).
Die DSI9-Karte im Sockel des Roboterarms stellt eine Reihe von sicheren digitalen Eingängen zur Ver‐
fügung, die es ermöglichen, das (optionale) Bremsenlösegerät (RBR) anzuschließen, und damit die
Bremsen selbst dann manuell anzusteuern, wenn die Steuerung nicht an den Roboterarm angeschlos‐
sen oder defekt ist.
Die (optionalen) mechanischen Endanschläge sind ebenfalls Sicherheitsvorrichtungen zur sicheren
Eingrenzung des Arbeitsraums des Roboterarms; sie basieren allerdings nicht auf einer programmier‐
baren Elektronik und zählen daher nicht als Bestandteil der funktionalen Sicherheit.
Die Nutzung dieser Peripherien ist im Benutzerhandbuch der Steurung bzw. dem Benutzerhandbuch
des Roboterarms beschrieben.
2.3.3 - SAFE PMT M0004640.1
SafePMT ist die PC-Software, die zum Bearbeiten und Übertragen der Sicherheitsparameter an die Si‐
cherheitskarte sowie zum Weiterleiten des für die Sicherheitsvalidierung notwendigen Referenzbe‐
richts erforderlich ist. Sie kommuniziert über eine gesicherte Ethernet-Verbindung mit der Sicherheits‐
karte. SafePMT wird mit der Stäubli Robotics Suite mitgeliefert oder kann von der technischen Daten‐
bank der Stäubli-Webseite heruntergeladen werden. Installation und Bedienung der Software sind in
Kapitel 4 beschrieben.
14/104 © Stäubli 2018 – D.280.947.02-C CS9

2 - Beschreibung
2.4 - SICHERHEITSFUNKTIONEN M0004641.1
Eine Sicherheitsfunktion ist eine Funktion der Sicherheitssteuerung, die dazu dient, die Verletzungsge‐
fahr zu mindern oder aufzuheben; Sicherheitsfunktionen werden anhand spezifischer Hardware und
Software implementiert, die die Anforderungen der internationalen Sicherheitsstandards erfüllen. Sie
zielen darauf ab, die Wahrscheinlichkeit eines gefährlichen Ausfalls (PFHd) auf der Basis von Safety In‐
tegrity Level SIL (gemäß IEC 62061) oder Leistungsniveau PL (gemäß ISO 13849-1) zu berechnen.
Verschiedene Sicherheitsfunktionen können je nach den verwendeten Komponenten unterschiedliche
Sicherheitsleistungsniveaus haben. Das für eine Sicherheitsfunktion erforderliche Sicherheitsleistungs‐
niveau hängt von der Bewertung des Risikos ab, das mit der betreffenden Sicherheitsfunktion in Zu‐
sammenhang steht; je höher das Risiko, desto höher das erforderliche Sicherheitsleistungsniveau. Die
Sicherheitsnormen ISO 13849-1 und IEC 62061 legen die Methoden zur Ermittlung des erforderlichen
Sicherheitsleistungsniveaus fest. In Bezug auf sichere Stoppfunktionen für Anwendungen mit begrenz‐
ter Interaktion zwischen Mensch und Maschine ist das Sicherheitsleistungsniveau SIL2/PLd normaler‐
weise ausreichend. Anwendungen, die eine häufigere Interaktion bei schnellen Arbeitsbewegungen er‐
fordern, benötigen zur Gewährleistung eines sicheren Stopps jedoch ein höheres Sicherheitsleistungs‐
niveau - SIL3/PLe - oder eine Beschränkung der Geschwindigkeit.
Die Roboter-Sicherheitsfunktionen dienen zur Minderung von:
■ Risiken in Verbindung mit sich bewegenden Teilen (Kollision, Quetschen, Einklemmen durch den
Roboter, seine Werkzeuge oder das beförderte Werkstück).
■ Risiken in Verbindung mit herabfallenden Teilen (Roboterachse oder befördertes Werkstück).
■ Risiken in Verbindung mit der Position oder Orientierung des Roboterarms (z. B. Gefährdung durch
Laserstrahl).
■ Risiken in Verbindung mit anderen Geräten, die an den Roboter angeschlossen sind.
Sie lassen sich in folgende Kategorien einteilen:
■ Sperrende Sicherheitsfunktionen: sie versetzen die Stellglieder von Aktuatoren in einen sicheren
Zustand.
■ Stoppende Sicherheitsfunktionen: sie steuern das Anhalten des Roboters und sorgen dafür, dass
dieser im angehaltenen Zustand verharrt.
■ Begrenzende Sicherheitsfunktionen: sie aktivieren einen Sicherheitsstopp, wenn ein bestimmter
Überwachungsgrenzwert erreicht wird.
■ Sicherheitsfunktionen für die Ausgänge: sie melden von der Sicherheitssteuerung überwachte Zu‐
stände an einen Ausgang.
■ Sicherheitsfunktionen für Steuerungsschnittstellen bezüglich Betriebsart oder Wiederanlaufkontrol‐
le.
Durch Anstellen ausführlicher sensorbasierter Berechnungen sowie durch geschickte Verknüpfung lo‐
gischer Kombinationen sicherer Zustände lassen sich komplexe Sicherheitsfunktionen realisieren, wie
zum Beispiel von Sicherheitsbereichen, die auf der Kombination von Sicherheitsbedingungen zu Posi‐
tion und Geschwindigkeit basieren.
CS9 © Stäubli 2018 – D.280.947.02-C 15/104

2 - Beschreibung
2.4.1 - SPERRENDE SICHERHEITSFUNKTIONEN M0004642.1
Die CS9-Robotersteuerung steuert 3 Arten von Stellgliedern: die Robotermotoren, -bremsen und -ven‐
tile. Andere anwendungsspezifische Stellglieder können über die sicheren Ausgänge (USO) der Sicher‐
heitssteuerung angesteuert werden.
■ "Safe Torque Off" (STO) ist eine Sicherheitsfunktion, die dazu dient, das Drehmoment der Motoren
sicher auf Null herunterzufahren; sie wirkt über die Verstärker der Steuerung unmittelbar auf die an‐
geschlossene Hardware.
■ "Safe Brake Control" (SBC) ist eine Sicherheitsfunktion, die dazu dient, bei Bedarf die Stromversor‐
gung der Bremsen zu unterbrechen und somit für deren sofortiges Einfallen zu sorgen. Die Sicher‐
heitsfunktion SBC steuert zwar das unerwartete Lösen der Bremsen, stellt aber nicht sicher, dass
das Bremsmoment ausreichend ist; hierfür ist ein regelmäßiger Bremsentest erforderlich.
■ "Safe Valve Control" (SVC) ist eine Sicherheitsfunktion, die dazu dient, die Stromversorgung der
Ventile zu unterbrechen. Das sich daraus ergebende Verhalten hängt vom Druckluftkreis ab, der so
ausgelegt sein muss, dass der Endeffektor (und möglicherweise das beförderte Werkstück) sicher
bleibt, wenn die Ventile abgeschaltet werden.
■ Benutzerspezifische Stellglieder können mit dem sicheren Ausgang (USO) angesteuert werden, der
entweder den Zustand der Stromversorgung des Roboters (Zustand STO) oder den sicheren
Stoppzustand (Zustand SS2) wiedergibt.
Die Sicherheitsfunktionen STO, SBC und SVC entsprechen SIL3/PLe.
2.4.2 - STOPPENDE SICHERHEITSFUNKTIONEN M0004643.1
■ "Safe Stop category 0" (SS0) steht für die gleichzeitige Aktivierung der sperrenden Sicherheitsfunk‐
tionen (STO, SBC und SVC). Dies führt zu einer unkontrollierten Abschaltung der Bremsen und wird
im Rahmen des Möglichen nur benutzt, wenn es keine andere Alternative gibt.
■ "Safe Stop category 1" (SS1) ist eine Sicherheitsfunktion, die ein kontrolliertes Anhalten des Robo‐
ters bewirkt; die Anhaltezeit ist ein konfigurierbarer Sicherheitsparameter. Anschließend wird die
Sicherheitsfunktion SS0 aktiviert, sobald der Roboter angehalten hat oder wenn vorher eine festge‐
legte Zeitdauer abgelaufen ist.
■ "Safe Stop category 2" (SS2) ist eine Sicherheitsfunktion, die ein kontrolliertes Anhalten des Robo‐
ters bewirkt; die Anhaltezeit ist ein konfigurierbarer Sicherheitsparameter. Die Sicherheitsfunktion
zur Überwachung (SOS) und die sperrende Sicherheitsfunktion (SVC) werden aktiviert, wenn der
Roboter gestoppt ist. Danach führen jegliche Bewegungen zur sofortigen Aktivierung der Sicher‐
heitsfunktion SS0.
Die Sicherheitsfunktionen SS0, SS1 und SS2 entsprechen SIL3,PLe.
16/104 © Stäubli 2018 – D.280.947.02-C CS9

2 - Beschreibung
2.4.3 - BEGRENZENDE SICHERHEITSFUNKTIONEN M0004644.1
Die sicheren Eingänge und Encoder des CS9-Roboters werden kontinuierlich in Bezug auf die Ausfüh‐
rung der folgenden zusätlichen Sicherheitsfunktionen überwacht:
■ "Safe Operating Stop" (SOS) ist die Sicherheitsfunktion, die prüft, ob die Roboterachsen in einer
festgelegten Position bleiben (innerhalb einer reduzierten Toleranzgrenze); die Sicherheitsfunkti‐
on SS0 wird aktiviert, sobald diese Toleranz überschritten wird.
■ "Safely-Limited Position" (SLP) ist die Sicherheitsfunktion, die die Position des Roboters über‐
wacht; die Überwachung erfolgt als Vergleich sowohl der Achswerte (SLPj) als auch der kartesi‐
schen Koordinaten (SLPc) mit den konfigurierbaren Grenzwerten. Die kartesischen Grenzwerte
werden als geometrische Volumen definiert; das Verbleiben der Roboterposition innerhalb dieser
kartesischen Grenzwerte wird für eine Reihe von konfigurierbaren Überwachungspunkten über‐
wacht ("Safe Tool"). Die Sicherheitsfunktionen SLPj und SLPc erfordern eine sichere Referenzie‐
rung in der Zelle; die Verwendung limitierter Zonen erfordert normalerweise einen regelmäßigen
Bremstest, für den Fall, dass der Roboter nach einem Systemausfall (z. B. Stromausfall) mit seinen
eigenen Bremsen gestoppt werden muss.
■ "Safely-Limited Speed" (SLS) ist die Sicherheitsfunktion, die die Geschwindigkeit des Roboters
überwacht; die Überwachung erfolgt als Vergleich sowohl der Achswerte (SLSj) als auch der karte‐
sischen Koordinaten (SLSc) mit den konfigurierbaren Grenzwerten. Die kartesische Geschwindig‐
keit wird für eine Reihe von konfigurierbaren Überwachungspunkten überwacht. Die Sicherheits‐
funktion SLSj kann ohne Auflagen benutzt werden, wohingegen die Sicherheitsfunktion SLSc eine
sichere Referenzierung in der Zelle erfordert. Aufgrund der eingeschränkten Präzision der sicheren
Geschwindigkeit ist die von der Bewegungssteuerung gesteuerte Geschwindigkeit um bis
zu 20% niedriger als der Grenzwert der sicheren Geschwindigkeit. Die Geschwindigkeit wird in Be‐
zug auf den VAL 3 TCP und das Werkzeug gesteuert, welches sich vom Sicherheits-TCP und den
Sicherheitsgrenzwerten unterscheiden kann.
■ "Safe Zone Monitoring" (SZM) ist eine Kombination aus einer eingeschränkten sicheren Position
und einer Geschwindigkeitsbeschränkung: die sichere Geschwindigkeitsbegrenzung ist nur inner‐
halb der Zone in Effekt.
■ Die sicheren Eingänge (USI) werden kontinuierlich überwacht, um bei Bedarf folgende Reaktionen
des Roboters auszulösen: Sicherheitsstopps SS1 oder SS2, sicher begrenzte Position (SLP), sicher
begrenzte Geschwindigkeit (SLS) oder sichere Zonen (SZM). Die vier sicheren Eingänge der Sicher‐
heitssteuerung können unabhängig voneinander konfiguriert werden, jedoch unter folgenden Ein‐
schränkungen:
-
Der sichere Eingang USIA ist dem Not-Halt-Taster der WMS-Box vorbehalten, sofern ei‐
ne WMS-Box Einsatz findet.
- Der sichere Eingang USID kann für die sichere Referenzierung verwendet werden, sofern diese
erforderlich ist.
■ Das FSoE Slave-Profil ist eine weitere Möglichkeit zum Auslösen einer Roboterreaktion durch eine
externe sicheren SPS (PLC). Jeder sichere Eingang kann durch ein entsprechendes FSoE-Signal
ersetzt werden.
Die Sicherheitsfunktionen SOS, SLP, SLS und SZM entsprechen SIL3,PLe.
CS9 © Stäubli 2018 – D.280.947.02-C 17/104

2 - Beschreibung
2.4.4 - SICHERHEITSFUNKTIONEN FÜR STEUERUNGSSCHNITTSTELLEN M0004645.1
■ Bestimmte Sicherheitsmodi legen Sicherheitszustände fest, die die Aktivierung oder Sperrung an‐
derer Sicherheitsfunktionen auslösen; die Sicherheitsmodi des CS9/TX2-Roboters definieren sich
über die Betriebsart, den Wartungsmodus, den SP2-Modus und den RBR-Modus.
■ Die Wiederanlaufkontrolle ist die Sicherheitsfunktion, die den Roboter nach einem Sicherheitsstopp
oder einem Maschinenanlauf in einem sicheren Zustand hält, bis ein explizites Signal zur Quittie‐
rung des Wiederanlaufs (manuelles Reset) eingeht.
Die Sicherheitsapplikation schlägt spezifische konfigurierbare Neustartbedingungen als Folge ei‐
nes SS2-Stopps ohne manuelles Reset vor.
■ Die Betriebsart und der Wiederanlauf können auch über das FSoE Slave-Profil gesteuert werden.
■ Das An-/Abstecken des SP2 ohne einen Not-Halt auszulösen ist eine weitere Steuerungsfunktion,
die von der Sicherheitssteuerung implementiert wird.
2.4.5 - SICHERHEITSFUNKTIONEN FÜR DIE AUSGÄNGE M0004646.1
Die drei sicheren Ausgänge der Sicherheitssteuerung können zur Steuerung von externer Peripherie
konfiguriert werden oder Sicherheitsinformationen an eine externe sichere SPS (PLC) senden.
■ Stoppen oder Stopp-Zustand (Not-Halt, Sicherheitshalt, sicherer Betriebshalt).
■ Zustand der Stromversorgung.
■ Aktuelle Betriebsart.
■ Information zur Wiederanlaufüberwachung.
■ Zustand der durch USID aktivierten reduzierten Geschwindigkeit.
Diese Sicherheitszustände sind auch über das FSoE Slave-Profil verfügbar.
18/104 © Stäubli 2018 – D.280.947.02-C CS9

3 - Maschinendesign
3 - MASCHINENDESIGN .
3.1 - SICHERHEITSANFORDERUNGEN .
3.1.1 - SICHERHEITSVORSCHRIFTEN M0000550.1
Empfohlene Nutzung
Ein Roboter ist kein gebrauchsfertiges Produkt. Er ist eine unvollständige Maschine, die zur Integration
in eine Roboterzelle entwickelt wurde. Diese Roboterzelle muss konform mit den geltenden Sicher‐
heitsvorschriften sein, bevor sie in Betrieb genommen werden kann.
Der STÄUBLI-Roboter wurde für industrielle Anwendungen entwickelt, bei denen diverse Schutzvor‐
richtungen den Bediener von einem beweglichen Roboter trennen. Der Bediener kann zeitweise in der
Nähe des Roboters arbeiten, beispielsweise bei enger Zusammenarbeit oder um Einstellungen oder
Wartungsarbeiten durchzuführen. Zusätzliche eingegangene Risiken sind vom Integrator zu steuern.
EU-Gesetzgebung
In der Europäischen Union sind die für Maschinen geltenden Sicherheitsvorschriften in der Richtli‐
nie 2006/42/EG definiert. Gemäß dieser Richtlinie muss zur Ermittlung der Gesundheits- und Sicher‐
heitsrisiken eine Risikobewertung der Maschine durchgeführt werden. Die Ergebnisse dieser Risikobe‐
wertung müssen in die Entwicklung der Maschine einfließen und bei ihrer Herstellung berücksichtigt
werden. Die Richtlinie definiert die grundlegenden und verpflichtenden Gesundheitsschutz- und Si‐
cherheitsvorschriften.
Zur korrekten Anwendung der Maschinen-Richtlinie wurden internationale Normen entwickelt. Die Ma‐
schinen-Richtlinie und ein Verzeichnis der harmonisierten Normen ist unter folgender Adresse verfüg‐
bar http://eur-lex.europa.eu. Für die Integration des Roboters bedeutet dies, dass die Anwendung der
Spezifikationen der Norm EN ISO 10218-2:2011 gemäß der Risikobeurteilung des Integrators die Kon‐
formität mit den grundlegenden Gesundheitsschutz- und Sicherheitsvorschriften der Maschinen-Richt‐
linie voraussetzt, die von der Norm abgedeckt werden.
In der Maschinen-Richtlinie sind die Verfahren zur Beurteilung der Konformität der Maschinen festge‐
legt. Als Nachweis für die Konformität mit der Maschinen-Richtlinie gilt für komplette Maschinen die
CE-Kennzeichnung in Verbindung mit der EG-Konformitätserklärung. Für unvollständige Maschinen
enthält die Einbauerklärung die grundlegenden Gesundheitsschutz- und Sicherheitsvorschriften sowie
sonstige erfüllte einschlägige Richtlinien.
Der Roboter wird mit seiner Einbauerklärung geliefert. Eine elektronische Kopie der Erklärung ist in
mehreren Sprachen auf der DVD des Roboters verfügbar. Sie können sie auch von Ih‐
rem STÄUBLI Kundendienst erhalten.
Die Einbauerklärung des Roboters basiert auf der Anwendung der entsprechenden Anforderungen der
folgenden harmonisierten Normen:
■ EN ISO 10218-1:2011 Roboter und roboterähnliche Geräte - Sicherheitsan‐
forderungen für Industrieroboter - Teil 1
■ EN ISO 13849-1:2015 Sicherheit von Maschinen - Sicherheitsbezogene
Teile von Steuerungen - Teil 1
■ EN 60204-1:2006 und EN 60204-1/A1:2009 Sicherheit von Maschinen - Elektrische Betriebsmit‐
tel
■ EN 61000-6-4:2007 / A1:2011 Elektromagnetische Verträglichkeit - Rahmennorm
für Emissionen
■ EN 61000-6-2:2005 Elektromagnetische Verträglichkeit - Rahmennorm
für die Störfestigkeit
CS9 © Stäubli 2018 – D.280.947.02-C 19/104

3 - Maschinendesign
In den USA gibt es keine standardisierten Vorschriften der Occupational Safety and Health Administra‐
tion (OHSA) für Roboter. Aber die Norm ANSI/RIA R15.06-2012 gilt als Referenznorm für Robotersys‐
teme. Diese Norm und die kanadische Norm CAN/CSA-Z434-03 (R2013) entsprechen im Wesentlichen
den Normen ISO 10218-1:2011 und ISO 10218-2:2011. Auch Korea orientiert sich bei Industrierobo‐
tern an den ISO-Normen.
Jedes Land kann zusätzliche Sicherheitsstandards festlegen und spezifische lokale Vorschriften ver‐
hängen. Beispielsweise enthalten die Normen UL für Roboter und UL 1740 für Roboterausrüstungen
zusätzliche Vorschriften für den Roboter und die elektrische Sicherheit.
Für die UL Version wurde das Robotersystem bezüglich der Kompatibilität zu folgenden Normen ge‐
prüft:
■ Norm UL 1740 Roboter und Roboterausstattung
■ Norm RIA15-06 Amerikanische Norm für Industrieroboter und Robotersysteme. Sicherheits‐
anforderungen.
■ Norm CSA Z434-03 Industrieroboter und Robotersysteme. Allgemeine Sicherheitsanforderungen.
■ Norm NFPA 79 Elektrische Richtlinien für industrielle Maschinen
■ Norm NFPA 70 US-Norm NEC für Elektrizität
3.1.2 - WICHTIGE GESUNDHEITS- UND SICHERHEITSANFORDERUNGEN M0000591.1
Zur Erfüllung der wesentlichen, in der Maschinenrichtlinie festgelegten Gesundheits- und Sicherheits‐
anforderungen muss der Integrator die Anforderungen bezüglich des Roboters berücksichtigen, die
nicht oder nur teilweise von STÄUBLI abgedeckt werden. Diese Anforderungen sind in der Bedie‐
nungsanleitung des Roboters ausgeführt.
Allgemeine Anforderungen bezüglich des Roboters sind nachstehend aufgeführt:
Grundsätze zur Integration der Sicherheitsanforderungen

Die gesamte Maschine muss so ausgelegt sein, dass der Roboter gemäß seiner Spezifikationen be‐
nutzt und ohne Risiken betrieben, eingestellt und gewartet werden kann.
Ergonomie
Die Einstellbedingungen des Roboters (Teachen von Punkten, Bewegungseinstellung) müssen bei der
Konzeption des Endeffektors des Roboters und der Zellenumgebung berücksichtigt werden.
Steuergeräte und Informationsvorrichtungen

Diese Mittel zur Interaktion zwischen dem Roboter und dem Bediener müssen mit den Anforderungen
der Maschinenrichtlinie im Einklang stehen.
Sind mehrere Bedienungsplätze für die automatische Betriebsart vorhanden, so muss die Steuerung
so ausgelegt sein, dass die Steuerung jeweils nur von einem Bedienungsplatz aus möglich ist; hiervon
ausgenommen sind Befehlseinrichtungen zum Stillsetzen und Nothalt.
Risiken durch bewegliche Teile

Eine Berührung zwischen Roboter und Bediener ist durch entsprechende Schutzvorrichtungen zu ver‐
hindern.
Anweisungen
Der Maschinenbauer muss die Roboterhandbücher unter Umständen übersetzen, wenn die gesamte
Maschine in einem anderen Land als dem, in dem der Roboter geliefert wurde, in Betrieb genommen
werden soll..
Die Anweisungen für die gesamte Maschine umfassen die Roboterhandbücher oder Teile der Handbü‐
cher, die für die Benutzung, Einstellung und Wartung des Roboters erforderlich sind.
Die Verkaufsunterlagen der gesamten Maschine müssen mit den Bedienungsanleitungen des Roboters
im Einklang stehen.
20/104 © Stäubli 2018 – D.280.947.02-C CS9

3 - Maschinendesign
3.1.3 - SICHERHEITSKONZEPT M0004647.1
Um die Sicherheit der Roboteranlage zu gewährleisten und die einschlägigen Sicherheitsanforderun‐

gen zu erfüllen, müssen eine Risikobeurteilung angestellt und eine Strategie zur Risikominderung ent‐
wickelt werden, wie u.a. in ISO 12100-1:2010 vorgegeben. Diese Strategie soll die bestehenden Risi‐
ken identifizieren und Maßnahmen festlegen, wie diese Risiken zu mindern sind. Zusammen stellen
diese beiden Aufgaben das Sicherheitskonzept dar. Im Rahmen des Sicherheitskonzepts werden die
zu implementierenden Sicherheitsfunktionen ermittelt. Vorgaben bezüglich der Definition und Konzep‐
tion von Sicherheitsfunktionen ergeben sich aus ISO 13849-1 und IEC 62061.
Bestimmte Sicherheitsfunktionen der Anlage basieren auf den Sicherheitsfunktionen des Roboters; in
diesem Fall muss gewährleistet werden, dass die Robotersicherheitsfunktionen angemessen imple‐
mentiert werden, und dass das sich daraus ergebende Verhalten der Anlage die erwarteten Sicher‐
heitsanforderungen erfüllt. Die Einstellung und Validierung der Sicherheitsparameter des Roboters
können daher nur im Rahmen des Sicherheitskonzepts der gesamten Anlage durchgeführt werden.
Die für die Konfiguration der Robotersicherheit erforderlichen Informationen des Sicherheitskonzepts
umfassen:
■ Elektrische Sicherheitsschnittstellen
Das Sicherheitskonzept muss die elektrischen Kenndaten derjenigen Komponenten enthalten, die
eine Schnittstelle zu den sicherheitsrelevanten Teilen des Roboters aufweisen.
■ Betriebsart
Das Sicherheitskonzept muss festlegen, wie die Betriebsarten definiert sind, und wie deren Status
zwischen den verschiedenen Komponenten der Anlage ausgetauscht wird.
■ Wiederanlaufkontrolle
Das Sicherheitskonzept muss festlegen, wie die Signale zur Quittierung eines Wiederanlaufs (ma‐
nuelles Reset) ausgelöst und zwischen den verschiedenen Komponenten der Anlage ausgetauscht
werden.
■ Not-Halt
Das Sicherheitskonzept muss festlegen, wie die Not-Halt-Signale ausgelöst und zwischen den ver‐
schiedenen Komponenten der Anlage ausgetauscht werden.
■ Schutzstopps
Das Sicherheitskonzept muss diejenigen Sicherheitssignale und zugehörigen Charakteristika be‐
schreiben, die mit dem Anhalten des Roboters in Zusammenhang stehen: Betriebsart, Wiederan‐
laufkontrolle, Stoppkategorie, Anhaltezeit, Auswirkungen auf andere Komponenten.
■ Begrenzende Sicherheitsfunktionen (Grenzwerte für Position und Geschwindigkeit)
Das Sicherheitskonzept muss die zu verwendenden begrenzenden Sicherheitsfunktionen mit ihrem
jeweiligen Verwendungszweck und ihren Charakteristika beschreiben: Positions- und Geschwin‐
digkeitsgrenzwerte, Auslösung und Signale (falls zutreffend).
■ Sicherheitsabstände
Das Sicherheitskonzept muss die Sicherheitsabstände zwischen dem Roboter und den Schutzvor‐
richtungen der Anlage sowie Anforderungen bezüglich Roboterposition, -geschwindigkeit und An‐
haltezeit beschreiben.
■ Beschränkung des Arbeitsbereichs
Das Sicherheitskonzept muss die räumlichen Grenzen beschreiben, die der Roboter nicht über‐
schreiten darf, deren Funktionsprinzipien (Softwareeinstellungen, mechanische Anschläge, Stärke
der Trennvorrichtung) sowie die diesbezüglichen Auflagen zu Roboterposition und -geschwindig‐
keit.
CS9 © Stäubli 2018 – D.280.947.02-C 21/104

3 - Maschinendesign
3.1.4 - VALIDIERUNG DES SICHERHEITSKONZEPTS, DURCHFÜHRBARKEIT M0004648.1
Das Sicherheitskonzept sollte von Beginn an zusammen mit dem Verantwortlichen für Maschinensi‐
cherheit entwickelt werden, um sicherzustellen, dass sich die beteiligten Parteien über die Risikomin‐
derungsmaßnahmen einig sind; spätere Änderungen am Sicherheitskonzept können schwerwiegende
Auswirkungen auf die Auslegung der Anlage haben.
Daher muss sichergestellt werden, dass die verschiedenen Sicherheitskomponenten die erwarteten
Funktionalitäten aufweisen und auch miteinander verbunden werden können. Typische Prüfpunkte für
roboterbezogene Sicherheitskomponenten sind:
■ Leistungsniveau / Sicherheitsanforderungsstufe PL/SIL
Das Leistungsniveau der Sicherheitsfunktionen der Anlage muss anhand der Sicherheitskenndaten
der betreffenden Sicherheitskomponenten berechnet und mit dem angestrebten Sicherheitsleis‐
tungsniveau verglichen werden.
■ Kompatibilität zwischen den elektrischen Sicherheitsschnittstellen
Es kann vorkommen, dass verschiedene Arten von sicheren digitalen Ein-/Ausgängen nicht zuei‐
nander kompatibel sind; zum Beispiel muss sichergestellt werden, dass die Testimpulse für die
Selbstdiagnose an den sicheren digitalen Ausgängen vom angeschlossenen Gerät unterstützt
(bzw. ignoriert) werden.
■ Fehlererkennung in der Sicherheitsverdrahtung
Die elektrischen Sicherheitsschnittstellen müssen sowohl zueinander kompatibel sein, als auch
über eine Erkennung von Fehlverdrahtungen verfügen, die dem angestrebten Sicherheitsleistungs‐
niveau entspricht (z. B. Erfassung von Kurzschlüssen an 0V, 24V oder zwischen den einzelnen Si‐
cherheitssignalen). Eine Deaktivierung der Überwachung der Testimpulse an den sicheren Eingän‐
gen kann dazu führen, dass die Schnittstellen zwar kompatibel, aber ungeeignet sind.
■ Kodierung redundanter Signale
Redundante Sicherheitssignale können auf verschiedene Art und Weise kodiert werden, z. B.
mit 2 Öffnerkontakten (N.C.) oder 1 Öffnerkontakt (N.C.) und 1 Schließerkontakt (N.O.). Die verbun‐
denen Geräte müssen die Kodierung unterstützen.
■ Anzahl an sicheren Ein- und Ausgängen
Der Roboter bietet verschiedene Konfigurationsmöglichkeiten für sichere Ein- und Ausgänge, ver‐
fügt aber nur über eine begrenzte Anzahl von Anschlüssen. Es muss sichergestellt werden, dass
ausreichend sichere digitale Ein- und Ausgänge zur Verfügung stehen, inklusive E/A's für spezifi‐
sche Funktionen wie z.B. das sichere Referenzieren oder die Weiterleitung von Sicherheitssignalen.
■ Endlosschleifen
Die Verkettung von Not-Halt-Signalen, Schutzstopps oder Signalen zur Wiederanlaufkontrolle kann
zu einer Endlosschleife führen, wenn zwei Geräte gegenseitig darauf warten, dass das jeweils an‐
dere eine Stopp-Bedingung aufhebt.
■ Anzahl und Eigenschaften der Positions- und Geschwindigkeitsüberwachungsfunktionen
Der Roboter verfügt über eine begrenzte Anzahl an Positions- und Geschwindigkeitsüberwa‐
chungsfunktionen, und ist nicht für die Einrichtung komplexer Volumen rund um den Roboter oder
sein Werkzeug ausgelegt; je komplexer die Volumen, desto komplexer deren Einrichtung und Vali‐
dierung.
Die Sicherheitszonen müssen so ausgelegt sein, dass sie nur Sicherheitsprobleme adressieren,
nicht aber vor Hardwarekollisionen schützen (für diesen Fall bietet die Bewegungssteuerung bes‐
sere Lösungen). Es muss sichergestellt werden, dass die Eigenschaften der Positions- und Ge‐
schwindigkeitsüberwachungsfunktionen die Einrichtung sinnvoller Zonen rund um den Roboter und
sein Werkzeug erlauben.
Um Fehlauslösungen zu verhindern, gibt es immer einen Puffer zwischen den Sicherheitsgrenzwer‐
ten und den Grenzwerten für die Bewegungssteuerung - der Roboter wird sich immer langsamer
als die eingestellte Sicherheitsgeschwindigkeit bewegen.
22/104 © Stäubli 2018 – D.280.947.02-C CS9

3 - Maschinendesign
■ Sicherheitsabstände
Ein Sicherheitsabstand muss anhand der vollständigen Reaktionszeit der betreffenden Sicherheits‐
funktion berechnet werden, zu der auch die Reaktionszeit ihrer Komponenten sowie die Zeiten für
Auslösung und Signalübertragung gehören. Wenn die Anhaltezeit des Roboters erheblich reduziert
werden soll, muss überprüft werden, ob die beabsichtigte Anhaltezeit tatsächlich erreicht werden
kann, und ob die Auswirkungen auf die Lebensdauer des Roboters vertretbar sind.
■ Beschränkung des Arbeitsbereichs
Es existiert stets eine Marge zwischen den von der Sicherheitssteuerung überwachten Positions‐
grenzen und den Positionen, die der Roboter unter ungünstigsten Bedingungen erreichen kann,
wie z. B. nach einem Stromausfall. Diese Marge muss bei der Auslegung der Zelle berücksichtigt
werden.
■ Referenzsensor
Das Verfahren zur sicheren Referenzierung erfordert den Einbau eines Referenzsensors in der Zel‐
le; Art und Einbauort des Referenzsensors müssen dem Referenzierungsverfahren entsprechen.
3.2 - LEISTUNGSNIVEAU / SICHERHEITSANFORDERUNGSSTUFE DER

SICHERHEITSFUNKTIONEN M0004649.1
Das Leistungsniveau und die Sicherheitsanforderungsstufe der Sicherheitsfunktionen (PL/SIL) sind

ausschließlich auf die in den Handbüchern beschriebenen Nutzungsbedingungen abgestimmt, wie
zum Beispiel:
■ Allgemeine Nutzungsbedingungen (Umgebungsbedingungen, elektrische Stromversorgung).
■ Funktionsspezifische Nutzungsbedingungen (Parametrierung, regelmäßige Tests, Verhalten bei
Fehlern).
■ Organisatorische Nutzungsbedingungen (Nachverfolgung von sicherheitsrelevanten Fehlern, Zu‐
gangskontrolle zu Sicherheitskonfiguration und Wartungseinstellungen).
CS9 © Stäubli 2018 – D.280.947.02-C 23/104

3 - Maschinendesign
3.2.1 - SICHERHEITSKOMPONENTEN M0004650.1
I0003913
Englisch Übersetzung Englisch Übersetzung

eStop Not-Aus Encoder Wegmesssystem
Enabling Zustimmtaster Brake Bremse
CS9 controller Controller CS9 Motor Motor
Drives Verstärker TX2 arm Arm TX2
Valve Ventil
Abbildung 3.1
Element B10d (Anz. Zyklen) PFHd (h-1) SIL (1) PL (1)

Sensor/Eingang SP2 Not-Halt 250000 - - -
SP2 Zustimmtaster 1000000 - - -
WMS Not-Halt 250000 - - -
Encoder - 0.02 10-7 HFT1 - SIL3 Cat 4 - PLe
Logik RSI9 - 0.09 10-7 HFT1 - SIL3 Cat 4 – PLe
DSI9 - 0.09 10-7 HFT1 - SIL3 Cat 4 – PLe
Stellglied/Ausgang Magnetventil Siehe Handbuch - - -
des Arms
STO (6 Verstärker) - 0.13 10-7 HFT1 - SIL3 Cat 4 – PLe
(1) Betriebsdauer 20 Jahre
24/104 © Stäubli 2018 – D.280.947.02-C CS9

3 - Maschinendesign
3.2.2 - SPERRENDE SICHERHEITSFUNKTIONEN M0004651.1
Beschreibung Stellgl. (1) Enc. (2) PFHd (h-1) SIL (3) PL (3)
STO Motorphasen offen halten - - 0.22 10-7 HFT1 - SIL3 Cat 4 - PLe
SBC Bremskontakte offen halten - - 0.18 10-7 HFT1 - SIL3 (4) Cat 4 - PLe (4)
SVC Ventilsteuerungskontakte offen AUS -
halten
(1) Aktivierung: - = immer aktiviert. AN/AUS: konfigurierbar, AN oder AUS als Standardwert. Opt. =
Option. Liz. = mit Softwarelizenz SafeCELL+.
(2) Encoder: Fbk = Encoder-Feedback erforderlich, Referenzierung nicht erforderlich. Ref = Refe‐
renzierung erforderlich. -= nicht erforderlich.
(3) Betriebsdauer 20 Jahre.
(4) Bremsen und Ventile werden über ein einzelnes Kabel angesteuert; es kommt ein Fehleraus‐
schluss zur Anwendung, der die Möglichkeit eines Kurzschlusses im Arm an 24V ausschließt.
Ausgangssituation für die Aktivierung:

■ Die Sicherheitsfunktionen STO und SBC sind grundsätzlich an allen CS9/TX2-Robotern aktiviert.
Bestimmte Roboterarme weisen nicht an allen Achsen eine Bremse auf - konsultieren Sie bitte das
entsprechende Handbuch Ihres Roboterarms. Die Sicherheitsfunktion SVC ist an allen CS9/TX2-
Robotern vorhanden, aber standardmäßig deaktiviert. Bzgl. der Aktivierung der Sicherheitsfunkti‐
on SVC siehe Kapitel 3.3.6.
Benutzungsbedingungen:
■ Die sperrenden Sicherheitsfunktionen sind nicht direkt zugänglich; sie werden nach einem SS1 Si‐
cherheitsstopp (siehe Kapitel 3.2.3) oder nach einem SS0-Sicherheitsstopp ausgelöst.
■ Der Zeitbedarf und die Bedingungen zur Erreichung des sicheren Zustands sind für einen SS1-
Stopp in den SS1-Sicherheitsfunktionen festgelegt.
■ Die Sicherheitsfunktionen der Bremsen bei einem SS0-Stopp sind in Kapitel 3.3.8 beschrieben.
■ Die Sicherheitsfunktionen SBC und SVC überwachen die Sicherheit der Brems- und Ventilsteue‐
rungen, nicht jedoch die Bremsen und Ventile selbst. Ein regelmäßiger Bremstest ist erforderlich,
um die Sicherheit der Bremsen zu überprüfen (siehe Kapitel 3.3.10). Die Sicherheit der Magnetven‐
tile hängt von der Auslegung und von den Einsatzbedingungen des Druckluftkreises ab, in dem sie
zum Einsatz kommen.
Verhalten im Fehlerfall:
■ Ein einzelner Fehler bei den Sicherheitsfunktionen SBC und SVC hat keine Auswirkungen; mittels
eines Fehlerausschlussprinzips werden Kurzschlüsse an den 24V der Verkabelung des Arms aus‐
geschlossen.
■ Ein einzelner Fehler bei der Sicherheitsfunktion STO kann zu Hochspannung in einer Motorphase
führen, ohne dass ein Motordrehmoment erzeugt werden kann.
CS9 © Stäubli 2018 – D.280.947.02-C 25/104

3 - Maschinendesign
3.2.3 - STOPPENDE SICHERHEITSFUNKTIONEN M0004652.1
Beschreibung Stellgl. (1) Enc. (2) PFHd (h-1) SIL (3) PL (3)
SS0 Sofortige Aktivierung - (4) - 0.31 10-7 HFT1 - Cat 4 -
von STO, SBC und (optional) SVC. SIL3 PLe
SS1 SP2-ES Kontrollierter Stopp innerhalb einer - - 0.48 10-7
konfigurierbaren Zeitspanne, ge‐
SP2-EN folgt von der Aktivierung ei‐ - - 0.73 10-7
WMS-ES nes SS0. Opt. - 0.48 10-7
USER ON - 0.31 10-7
SS2 SP2-EN Kontrollierter Stopp innerhalb einer AUS Fbk. 0.85 10-7 HFT1 - Cat 4 -
konfigurierbaren Zeitspanne, ge‐ SIL3 PLe
USER folgt von der Aktivierung ei‐ AUS Fbk. 0.43 10-7
nes SOS.
(4) SS0 kann nicht direkt ausgelöst werden, sondern wird nach einem SS1-Stopp oder einem Si‐
cherheitsverstoß aktiviert.

■ Ein Sicherheitsstopp per Not-Halt- oder Zustimmtaste (SP2-ES bzw. SP2-EN) ist immer aktiviert,
wenn das SP2 an den CS9 Controller angeschlossen ist.
■ Der WMS-Not-Halt ist aktiviert, wenn die optionale WMS-Box eingesetzt wird; der Einsatz ei‐
ner WMS ist ein Sicherheitsparameter (Siehe Kapitel 5.5.1).
■ SS1-USER-Sicherheitsstopps werden von den 4 verschiedenen sicheren Eingängen der CS9-Steu‐
erung ausgelöst. Sie können über Sicherheitsparameter geändert oder deaktiviert werden.
■ Jeder sicherer Eingang der CS9-Steuerung kann so konfiguriert werden, dass er standardmäßig
anstelle eines SS1- einen SS2-Stopp auslöst.
■ Die Anhaltezeit des Systems und die benutzerdefinierten Sicherheitsstopps sind Sicherheitspara‐
meter (Siehe Kapitel 3.3.7).
■ Die Aktivierung der Funktion SVC zusammen mit SS0-Stopps ist ein Sicherheitsparameter (Siehe
Kapitel 3.3.6).
■ Die Funktion des Zustimmtasters des SP2 kann so konfiguriert werden, dass nach dessen Auslö‐
sung anstelle eines SS1-Stopps ein SS2-Stopp ausgelöst wird (Siehe Kapitel 7.2.1).
■ Die beschriebenen SS1-Stopps überwachen die Sicherheit der Brems- und Ventilansteuerung,
nicht jedoch die Bremsen und Ventile selbst (Siehe Kapitel 3.2.2).
■ Der PFHd des SP2-Zustimmtasters basiert auf einer durchschnittlichen Betätigung von ≤10/Tag
und einer durchschnittlichen Betätigung der Panikstellung von ≤1/Tag.
■ Der PFHd der Not-Halt-Taste des SP2 basiert auf einer durchschnittlichen Betätigung von ≤1/Tag
und einem jährlichen Test.
■ Ein Fehler während der Anhaltezeit führt zu einem SS0-Stopp; in diesem Fall kann es sein, dass die
Anhaltezeit nicht eingehalten wird.
■ Siehe auch: Verhalten der Sicherheitsfunktionen STO, SBC und SVC bei Auftreten eines Fehlers
(Siehe Kapitel 3.2.2).
26/104 © Stäubli 2018 – D.280.947.02-C CS9

3 - Maschinendesign
3.2.4 - BEGRENZENDE SICHERHEITSFUNKTIONEN M0004653.1
Beschreibung Stellgl. (1) Enc. (2) PFHd SIL (3) PL (3)

(h-1)
SOS Überwachung des Roboterstillstands; AUS (4) Fbk. 0.43 HFT1 - Cat4 -
ein SS0 wird ausgelöst, falls der Toleranz‐ 10-7 SIL3 PLe
bereich überschritten wird
SLPj Überwachung der auf der Basis einer maxi‐ AUS Roboter
malen Verzögerung vorausberechneten
Achspositionen des Roboters; SS0 wird
ausgelöst, wenn ein Grenzwert überschrit‐
ten wird
SLSj Überwachung der Achsgeschwindigkeiten ON Fbk.
des Roboterarms; ein SS0 wird ausgelöst,
wenn ein Grenzwert überschritten wird
SLPc Überwachung der kartesischen Position Liz. Roboter
der Kontrollpunkte; ein SS0 wird ausgelöst,
wenn ein Grenzwert überschritten wird
SLSc Überwachung der kartesischen Geschwin‐ Liz. Roboter
digkeit der Kontrollpunkte, ein SS0 wird
ausgelöst, wenn ein Grenzwert überschrit‐
ten wird
SZM Überwachung der kartesischen Zonen; Liz. Roboter
ein SS0 wird ausgelöst, wenn eine Ge‐
schwindigkeitsbegrenzung innerhalb der
Zone überschritten wird
(4) SOS kann nicht direkt betätigt werden, sondern wird nach einem SS2 Stopp aktiviert.

■ Die Sicherheitsfunktion SOS ist nicht direkt zugänglich; sie wird nach einem SS2-Stopp ausgelöst
■ Diejenigen Sicherheitsfunktionen, die auf kartesischen Positionen oder Geschwindigkeiten des Ro‐
boters basieren, erfordern die Installation der SRC-Lizenz SafeCELL+.
■ Die begrenzenden Sicherheitsfunktionen SOS-SLP-SLS-SZM erfordern die Aktivierung der siche‐
ren Encoder-Rückmeldung (Siehe Kapitel 5.1).
■ Die begrenzenden Sicherheitsfunktionen SLP-SLSc-SZM erfordern die Implementierung der Proze‐
dur zum sicheren Referenzieren (Siehe Kapitel 3.3.9).
■ Die Sicherheitsfunktionen SLP-SLS-SZM können so konfiguriert werden, dass sie ständig aktiv
sind, oder über einen sicheren Eingang aktiviert werden, und zwar jeweils für alle Betriebsarten
oder nur für die automatischen Betriebsarten.
■ Alle begrenzenden Sicherheitsfunktionen sind anhand verschiedener die Überwachungsgrenzwerte
festlegender Sicherheitsparameter konfigurierbar.
■ Ein Fehler während der Überwachung führt zu einem SS0-Stopp.
■ Siehe auch: Verhalten der Sicherheitsfunktionen STO, SBC und SVC bei Auftreten eines Fehlers
CS9 © Stäubli 2018 – D.280.947.02-C 27/104

3 - Maschinendesign
3.2.5 - SICHERHEITSFUNKTIONEN FÜR DIE AUSGÄNGE M0004654.1
Beschreibung Stellgl. (1) Enc. (2) PFHd SIL (4) PL (4)

(h-1) (3)
ES-OUT Not-Halt-Status des Robo‐ ON - 0.26 10-7 HFT1 - Cat4 - PLe
ters (einschließlich Roboter SIL3
Not-Halt-Vorrichtung)
ES-RST- Not-Halt-Status des Robo‐ AUS -
OUT ters mit Wiederanlaufkontrol‐
le
SS2-OUT Status des Sicherheits‐ AUS - 0.51 10-7
stopps des Roboters (ein‐
schließlich Zustimmtaste)
RST-OUT Status und Signal der Wie‐ AUS - 0.09 10-7
deranlaufkontrolle
MODE- Betriebsart MAN/AUTO ON -
OUT
PWR-OUT Status der Armleistung (STO) ON -
VAL 3- VAL 3-gesteuerte Sperrung AUS -
OUT eines sicheren Ausgangs
SOS-OUT SOS-Status AUS Fbk. 0.30 10-7
SLSD- USID SLS-Status AUS Fbk./Enc.
OUT
(3) Der PFHd bezieht sich auf die Betätiger des Roboters (WMS und SP2-Not-Halt, SP2-Zustimm‐
taster), nicht aber auf benutzerdefinierte Betätiger (zusätzliche Not-Halt-Vorrichtungen oder Akti‐
vierungssensoren).

■ Die Sicherheitsüberwachungsfunktion SOS-OUT erfordert ein sicheres Encoder-Feedback (Siehe
Kapitel 5.1.1).
■ Die Sicherheitsüberwachungsfunktion SLSD-OUT erfordert ein sicheres Encoder-Feedback (siehe
Kapitel 5.1.1), je nach USID SLS-Konfiguration möglicherweise auch eine sichere Referenzierung
(siehe Kapitel 3.3.9).
■ Der SS2-OUT PFHd basiert auf einer durchschnittlichen Betätigungshäufigkeit des SP2-Zustimm‐
tasters von ≤10/Tag und einer durchschnittlichen Betätigung der Panikstellung von ≤1/Tag.
■ Der ES-OUT PFHd basiert auf einer durchschnittlichen Betätigung des Not-Halts von ≤1/Tag und
einem jährlichen Test.
■ Der Ausgang ES-OUT gibt die Position des Not-Halt-Tasters wieder, wäh‐
rend ES-RST-OUT auf 0V bleibt, bis das Quittierungssignal für den Wiederanlauf (manuelles Reset)
eingeht. Um eine Endlosschleife zu vermeiden, darf ES-RST-OUT nicht auf einen Sicherheitsstopp
zurückgeführt werden (Siehe Kapitel 3.3.3).
■ Die sicheren Ausgänge werden bei Auftreten eines Fehlers gesperrt (0V).
28/104 © Stäubli 2018 – D.280.947.02-C CS9

3 - Maschinendesign
3.3 - DURCHFÜHRUNG .
3.3.1 - EINSATZBEDINGUNGEN M0004655.1
Die Leistungsniveaus und Sicherheitsanforderungsstufen PL/SIL der Sicherheitsfunktionen gelten nur

insofern als die Steuerung und der Roboterarm innerhalb spezifischer Umgebungsbedingungen einge‐
setzt werden, wie z.B.:
■ Betriebstemperatur.
■ Lagertemperatur.
■ Relative Luftfeuchtigkeit.
■ Höhe/Druck.
■ Installationsvorschriften.
■ Vibrationen.
■ IP-Schutzart.
■ Luftreinheit.
Die Sicherheitsanforderungen an die Arbeitsumgebung sind für den Arm und die Steuerung unter‐
schiedlich - siehe Kapitel Arbeitsumgebung in den jeweiligen Handbüchern. Bei Fragen zu spezifi‐
schen Umgebungsbedingungen wenden Sie sich bitte direkt an uns (Röntgenstrahlen, Laserschwei‐
ßen,...).
3.3.2 - ELEKTRISCHE SCHNITTSTELLEN .
3.3.2.1 - Versorgungsleitungen M0004656.1
Zum Zwecke der elektrischen Sicherheit muss die Stromversorgung des Roboters die einschlägigen
Spezifikationen erfüllen; siehe Kapitel Stromversorgung im Handbuch der Steuerung.
Die funktionale Sicherheitsausstattung muss über eine 24V-Niederspannungs-Stromversorgung
(SELV/PELV gemäß EN 61131-2) gespeist werden; zu diesem Zweck verfügt die Steuerung des Robo‐
ters über eine interne 24V-PELV-Stromversorgung. Optional kann die Stromversorgung der Steuerung
(J213) oder des Arms (J711 an der RBR-Schnittstelle) über eine externe 24V-Spannungsquelle sicher‐
gestellt werden, die eine 24V-PELV/SELV-Stromversorgung bereitstellt.
3.3.2.2 - Testimpulse an den sicheren Ein- und Ausgängen M0004657.1
Um ein hohes Sicherheitsleistungsniveau zu erreichen, werden die digitalen 24V-Sicherheitssignale mit

einer Sequenz kurzer Testimpulse markiert, die alle 16ms wiederholt werden, wie in der nachstehen‐
den Abbildung gezeigt:
I0003972
Abbildung 3.2
Für verschiedene Sicherheitssignale kommen verschiedene Testimpulsmuster zum Einsatz, so dass

durch Testen des Vorhandenseins der erwarteten Impulse ein Kurzschluss an 0V, 24V und zwischen
den Sicherheitssignalen schnell erkannt werden kann.
Zu diesem Zweck:
■ werden die Sicherheitseingänge (USI) an die dazugehörigen 24V-Testausgänge (TDO) angeschlos‐
sen, so dass der Sicherheitseingang das Vorhandensein der erwarteten Impulse prüfen kann.
■ umfassen die Sicherheitsausgänge (USO) der CS9-Steuerung einen internen Testeingang, der das
Ausgangssignal auf unerwartete Störungen hin (fehlende oder zusätzliche Impulse) überwacht.
CS9 © Stäubli 2018 – D.280.947.02-C 29/104

3 - Maschinendesign
Die Verwendung von Testimpulsen kann besondere Anforderungen an die Peripherie stellen, die mit
den digitalen Sicherheitssignalen verbunden ist:
■ In Bezug auf die sicheren Eingänge erfordern die Testimpulse die Nutzung von potenzialfreien Kon‐
takten oder optischen Kopplern zum Öffnen/Schließen des Kontakts zwischen dem sicheren Ein‐
gang (USI) und dem dazugehörigen Testausgang (TDO).
■ Bei sicheren Ausgängen (USO) muss sichergestellt werden, dass die angeschlossene Peripherie
nicht von den Impulsen beeinträchtigt wird und dass diese nicht von ihr ausgefiltert werden.
3.3.2.3 - Deaktivierung der Testimpulsprüfung bei sicheren Eingängen M0004658.1
Es ist möglich, die Prüfung der Testimpulse an den Sicherheitseingängen zu deaktivieren, damit sie di‐
rekt an den 24V-Ausgang eines externen Geräts angeschlossen werden können. Dies ist die typische
Lösung für den Anschluss eines Geräts, das ebenfalls Testimpulse verwendet, wie ein Sicherheits-
PLC.
Diese Möglichkeit ist jedoch mit Vorsicht zu verwenden, um eine Reduzierung des Niveaus der Sicher‐
heitsleistung der betroffenen Sicherheitsfunktion zu vermeiden. Die Deaktivierung der Prüfung der
Testimpulse erfolgt:
■ Durch Verwendung eines "NoPulses"-Sicherheitsprogramms, das die Prüfungen der Testimpulse
an allen Benutzersicherheitseingängen (USIA/B/C/D, WMS) deaktiviert. Testimpulse an den Sys‐
temsicherheitseingängen (SP2 Notaus und Zustimmtaster) werden aufrechterhalten.
■ Durch Verwendung eines "NoPulsesJ101"-Sicherheitsprogramms, das die Prüfungen der Test‐
impulse nur an J101-1/2/3/4 deaktiviert (Betriebsart und manuelle Reset-Eingänge); die Prüfungen
der Testimpulse an J101-7/8 und USIA/B/C/D werden aufrechterhalten.
Testimpulse an Sicherheitseingängen können sicher deaktiviert werden, wenn das angeschlosse‐
ne 24V-Signal seine eigenen Testimpulse hat; die Diagnose der Kurzschlüsse erfolgt durch das sende‐
nde Gerät, anstelle des Roboters.
SICHERHEIT
Safety
Wenn das angeschlossene 24V-Signal keinen Testimpuls hat, muss ein FMEA durchgeführt
werden, um festzustellen, welche Folgen nicht erkannte Kurzschlüsse an 24V oder zwischen
den Sicherheitssignalen hat; das Leistungsniveau der entsprechenden Sicherheitsfunktion
kann folglich reduziert worden sein.
Um einen externen 24V-Ausgang an einen Sicherheitseingang des Roboters anzuschließen:

■ Der Testausgang (TDO) des Roboters wird nicht benutzt.
■ Das externe Gerät und der Sicherheitscontroller müssen die gleiche 0V-Erdung haben: 0V des ex‐
ternen Geräts muss an den J213-4-Kontakt des Roboter-Controllers angeschlossen sein.
Anschluss eines sicheren Roboterausgangs an den sicheren Eingang eines externen Geräts:
■ Der Eingang des externen Geräts muss so konfiguriert werden, dass die Testimpulsprüfung deakti‐
viert ist, da diese ja bereits von der Steuerung des Roboters übernommen wird.
■ Das externe Gerät und der Sicherheitscontroller müssen die gleiche 0V-Erdung haben: 0V des ex‐
ternen Geräts muss an den J213-4-Kontakt des Roboter-Controllers angeschlossen sein.
Weitere Anweisungen zur Verdrahtung finden sich in den elektrischen Schaltplänen der CS9-Steue‐
rung.
3.3.2.4 - Kodieren von Sicherheitssignalen M0004659.1
Je nach Signal und Ausrüstung können bestimmte Sicherheitssignale mit 2 Öffnerkontakten (NC) oder
mit einem Schließerkontakt (NO) und einem Öffnerkontakt (NC) kodiert werden. Die Nutzung
von 1 NO-, bzw. 1 NC-Kontakten an den sicheren Eingängen wird jedoch vom aktuellen Robotersi‐
cherheitsprogramm nicht unterstützt.
30/104 © Stäubli 2018 – D.280.947.02-C CS9

3 - Maschinendesign
3.3.3 - SLAVE-PROFIL (FSOE) .
3.3.3.1 - Profilaktivierung M0004660.1
Die Aktivierung des Slave-Profils erfordert:

■ Das Sicherheitsprofil 1.x.
Das Slave-Profil kann nicht mit dem Sicherheitsprogramm 200.x aktiviert werden.
■ Aktivierung des Sicherheitsparameters profile_activate
Standardgemäß werden die Ein- und Ausgänge des Profils aktiviert, aber ein Verlust der Verbin‐
dung zwischen dem Roboter und dem FSoE-Master wird vom Roboter nicht erkannt; der FSoE-
Master hat dann keine sichere Kontrolle über den Roboter. Die sichere Kontrolle des Roboters
durch eine externe sichere SPS (PLC) wird über den Sicherheitsparameter profile_activate aktiviert.
■ Konfiguration der Ethernet-Slaves der CS9-Steuerung.
Die Prozedur ist im Handbuch der CS9-Steuerung beschrieben (Konfiguration der RT-Ethernet-Sla‐
ves). Dabei darf nicht vergessen werden, das Sicherheitsprofil auszuwählen und die Slave-Konfigu‐
ration an die CS9-Steuerung zu übertragen.
I0003914
■ Konfiguration des FSoE-Master.

Die Slave-Konfiguration (ESI-Datei) kann vom Reiter "E/A-Verwaltung" des SRS aus exportiert wer‐
den.
■ Konfiguration der FSoE-Slave-Adresse der CS9-Steuerung.
Die Standardadresse ist 1. Diese Adresse kann über den Sicherheitsparameter profile_address ein‐
gestellt werden.
Durch die Nutzung des Sicherheitsprofils werden die Sicherheitseingänge
an J100 und J101 nicht gesperrt:
- Eine Betriebsartenauswahl an J100 ist mit einer Betriebsartenauswahl im Sicherheits‐
profil nicht kompatibel.
- Sicherheitseingänge an J100 und J101 (7/8) müssen sowohl in der automatischen als
auch in der manuellen Betriebsart entweder verkabelt oder deaktiviert werden, um ei‐
ne systematische Aktivierung der entsprechenden Sicherheitsfunktionen zu verhin‐
dern.
- Wenn die sichere Referenzierung über FSoE erfolgt, darf der sichere Ein‐
gang USID1 nicht verkabelt werden, um eine Überdeckung des FSoE-Referenzie‐
rungssignals zu verhindern.
profile_activate Siehe Kapitel 5.1.3
profile_address Siehe Kapitel 5.1.3
CS9 © Stäubli 2018 – D.280.947.02-C 31/104

3 - Maschinendesign
3.3.3.2 - Profileingänge M0004661.1
Profileingänge sind Sicherheitssignale, die die externe sichere SPS (PLC) vom RSI9 erhält.
Bit Bezeichnung Beschreibung (Ausgänge)
0 manualSlow : Die aktuelle Betriebsart ist "Manuell".
1 manualFast : Die aktuelle Betriebsart ist "100% Test".
2 autoLocal : Die aktuelle Betriebsart ist "Automatik".
3 autoRemote : Die aktuelle Betriebsart ist "Fern Auto".
4 maintenanceMo‐ : Der Wartungsmodus ist aktiviert.
de
5 reducedSafety : Der reduzierte Sicherheitsmodus ist aktiviert (schnelle Geschwindigkeit
in der Betriebsart "100% Test").
16 safeState : Der Roboter befindet sich in einem sicheren Zustand (Motoren ausge‐
schaltet, Bremsen aktiviert).
17 armPower : Die Armleistung des Roboters ist eingeschaltet (die Motoren sind be‐
stromt).
18 fastSpeed : Die Geschwindigkeitsgrenzwerte des Roboters sind die der Betriebsart
"Automatik" oder anwendungsspezifische Geschwindigkeitsgrenzwerte (Zo‐
nen oder USI-Grenzwerte).
: Die Geschwindigkeitsgrenzwerte des Roboters sind die der Betriebsart
"Manuell".
19 sosState : Der Roboter befindet sich in einem sicheren Zustand oder ist über‐
wacht angehalten, die Sicherheitsfunktion SOS ist aktiviert.
20 ss2state : Der Roboter befindet sich in einem Sicherheitsstopp
(SS0, SS1 oder SS2).
21 ss1state : Der Roboter befindet sich in einem Sicherheitsstopp (SS0 oder SS1).
22 waitingRestartAck : Für den Wiederanlauf ist eine Quittierung erforderlich (manuelles Re‐
set), sobald die Bedingung für den Sicherheitsstopp entfallen ist.
23 restartAck Signal der Wiederanlauf-Quittierung (manuelles Reset) vom Roboter.
24 mcpRemoval : Das MCP wird gerade entfernt oder wieder angeschlossen.
25 mcpPlug : Der MCP-Stecker ist angeschlossen.
26 mcpEnabling : Der MCP-Zustimmtaster ist aktiviert.
: Der MCP-Zustimmtaster ist gelöst oder muss zu Testzwecken gelöst
werden.
27 mcpEstop : Der MCP-Not-Halt ist aktiviert.
40 usiA Zustand des sicheren Eingangs USIA.
41 usiB Zustand des sicheren Eingangs USIB.
42 usiC Zustand des sicheren Eingangs USIC.
32/104 © Stäubli 2018 – D.280.947.02-C CS9

3 - Maschinendesign

43 usiD Zustand des sicheren Eingangs USID.
48 zone1 : Ein Überwachungspunkt befindet sich in Zone 1.
3.3.3.3 - Profilausgänge M0004662.1
Profilausgänge sind Sicherheitssignale, die die externe sichere SPS (PLC) ans RSI9 sendet.
0 manualSlow : Wählt die Betriebsart "Manuell" aus (1) .
1 manualFast : Wählt die Betriebsart "100% Test" aus (1) .
2 autoLocal : Wählt die Betriebsart "Automatik" aus (1) .
3 autoRemote : Wählt die Betriebsart "Fern Auto" aus (1) .
8 ss1Ctrl Wenn das Sicherheitsprofil aktiviert ist, muss ss1Ctrl bleiben, damit Ro‐
boterbewegungen möglich bleiben: löst einen SS1-Stopp aus.
Wenn das Sicherheitsprofil nicht aktiviert ist, löst einen SS1-Stopp aus.
9 enablingDevi‐ : Ein Zustimmtaster (2) wird aktiviert, Bewegungen sind in den manuellen
ceCtrl Betriebsarten möglich.
: Der SP2-Zustimmtaster muss aktiviert werden, damit Bewegungen in der
Betriebsart "Manuell" möglich sind.
10 ss2Ctrl Wenn das Sicherheitsprofil aktiviert ist, muss ss2Ctrl bleiben, damit Ro‐
boterbewegungen möglich bleiben: löst einen SS2-Stopp aus.
Wenn das Sicherheitsprofil nicht aktiviert ist, löst einen SS2-Stopp aus.
12 restartAck Eine fallende Flanke ↓ löst eine Wiederanlauf-Quittierung aus (manuel‐
les Reset).
13 referencing : Ein Referenzsensor hat den Roboter an einer der Referenzpositionen er‐
fasst.
24 monitoringA : Die für den USIA konfigurierte Sicherheitsfunktion ist aktiviert (3) .
25 monitoringB : Die für den USIB konfigurierte Sicherheitsfunktion ist aktiviert (3) .
26 monitoringC : Die für den USIC konfigurierte Sicherheitsfunktion ist aktiviert (3) .
27 monitoringD : Die für den USID konfigurierte Sicherheitsfunktion ist aktiviert (3) .
(1) Nur effektiv, wenn die Betriebsart nicht am SP2 ausgewählt wird: mode_WMS = 1,
oder mode_WMS=0 und mode_MCP=0.
(2) enablingDeviceCtrl ermöglicht die Nutzung eines externen Zustimmtasters zur Steue‐
rung des Roboters oder um die gleichzeitige Verwendung von zwei Zustimmtastern zu‐
zulassen.
(3) Siehe den Warnhinweis in Kapitel 3.3.3.1.
CS9 © Stäubli 2018 – D.280.947.02-C 33/104

3 - Maschinendesign
mode_WMS Siehe Kapitel 5.5.1

Working mode selection Siehe Kapitel 5.1.3
3.3.4 - SICHERHEITSSTOPPS .
3.3.4.1 - Not-Halt und Schutzstopp M0004663.1
Ein Not-Halt-Taster ist ein spezieller, leicht erkennbarer Sicherheitsschalter (roter Drucktaster auf gelb‐
em Grund), der immer (d.h. bedingungslos) auslöst, wenn er gedrückt wird, und durch den die An‐
triebskraft der Roboter-Stellglieder und der anderen Stellglieder in der Zelle aufgehoben wird. Das Sig‐
nal der mit dem Roboter verknüpften Not-Halt-Vorrichtungen ist über einen sicheren Ausgang an die
restlichen Komponenten der Zelle weiterzuleiten (Siehe Kapitel 3.2.5).
Schutzstopps sind Sicherheitsstopps, die je nach den zu überwachenden Risiken u.a. wie folgt konfi‐
guriert werden können: Aktivierung für die manuellen, automatischen oder beide Betriebsarten, mit
oder ohne Wiederanlaufkontrolle (manuelles Reset), Auslösung eines SS1- oder SS2-Stopps, Weiter‐
meldung an andere Peripherien oder Beschränkung auf den Roboter, usw...
Standardmäßig ist die CS9-Steuerung so konfiguriert, dass der sichere Eingang USIA mit einer Not-
Halt-Vorrichtung verbunden ist, und der sichere Ausgang USOA das Not-Halt-Signal an die anderen
Peripherien in der Zelle weiterleitet.
USIB, USIC und USID sind standardmäßig als SS1-Schutzstopps konfiguriert, und zwar entweder nur
in einer manuellen Betriebsart, nur in einer automatischen Betriebsart, oder in allen Betriebsarten.
Nur USIA kann als Not-Halt konfiguriert werden. Wenn keine WMS-Box verwendet wird, kann er alter‐
nativ als Schutzstopp konfiguriert werden.
Der Not-Halt der WMS-Box verwendet intern die gleichen Kontakte wie der Eingang USIA.
D.h. wenn die WMS-Box verwendet wird, ist USIA immer als Not-Halt konfiguriert.
3.3.4.2 - Not-Halt-Zustände M0004664.1
Die Sicherheitssteuerung liefert verschiedene Not-Halt-Zustandsmeldungen, die in VAL 3 oder über ei‐
nen sicheren Ausgang zugänglich sind:
Stopp-Sta‐ Beschreibung
tus
ES-OUT Eine an den Roboter angeschlossene Not-Halt-Vorrichtung ist gedrückt.
ES-RST- Eine an den Roboter angeschlossene Not-Halt-Vorrichtung ist entweder gedrückt oder
OUT wurde gelöst, aber noch nicht quittiert (wartet auf ein manuelles Reset).
SS2-OUT Einer der beiden Sicherheitstopps SS1 oder SS2 ist aktiv. Kann in der Betriebsart "Ma‐
nuell" als ein Abbild des Zustands des Zustimmtasters verwendet werden.
SOS-OUT Ein Sicherheitsstopp ist aktiv, der Roboter ist angehalten. Wenn das SS2-Zustandssig‐
nal aktiviert wird während der Roboter anhält (aber noch nicht vollständig angehalten
hat), kann der SOS-Zustand dazu benutzt werden, um eine Aktion erst dann zuzulas‐
sen, wenn der Roboter tatsächlich zum Stillstand gekommen ist.
34/104 © Stäubli 2018 – D.280.947.02-C CS9

3 - Maschinendesign
3.3.4.3 - Verhinderung von Endlosschleifen M0004665.1
Wenn eine Sicherheitstopp-Zustandsmeldung des Roboters als Stoppsignal für andere Geräte in der
Zelle verwendet wird, muss sichergestellt werden, dass dieses Stoppsignal nicht wieder als Sicher‐
heitsstoppeingang an den Roboter zurückgeleitet wird; dies würde zu einer Endlosschleife führen und
die Aufhebung des Sicherheitstopp-Zustands des Roboters unmöglich machen.
Wenn eine sichere SPS (PLC) für die Steuerung des Not-Halts der Zelle zuständig ist, ist folgendes zu
beachten:
■ Der Not-Halt-Ausgang USOA des Roboters, als ES-OUT konfiguriert, muss so an die sichere SPS
(PLC) angeschlossen werden, dass diese alle anderen Geräte in der Zelle stoppen kann.
■ Die Quittierung des Not-Halts (manuelles Reset) muss von der sicheren SPS (PLC) geleitet werden,
nicht vom Roboter. Dazu darf nicht die ES-RST-OUT-Konfiguration des USOA verwendet werden!
■ Die sichere SPS (PLC) muss einen SS1-Schutzstoppeingang des Roboters benutzen und nicht ih‐
ren Not-Halt-Eingang, damit der Roboter immer noch angehalten werden kann, wenn innerhalb der
Zelle ein Not-Halt aktiviert wird.
Der Not-Halt-Eingang USIA des Roboters kann möglicherweise als SS1-Schutzstopp umkonfiguriert
werden, wenn er nicht an eine Not-Halt-Vorrichtung angeschlossen ist und keine WMS-Box Verwen‐
dung findet.
Wenn USIA als Not-Halt-Eingang konfiguriert ist, muss er an eine Not-Halt-Vorrichtung ange‐
schlossen werden, und nicht an eine externe sichere SPS (PLC). Um ihn an eine externe SPS
(PLC) anzuschließen, muss er in einen Schutzstopp umkonfiguriert werden.
Wenn der Ausgang USOA an eine sichere SPS (PLC) angeschlossen ist, muss er
als ES-OUT konfiguriert werden. Die Konfiguration ES-RST-OUT ist für die Steuerung einer
eigenständigen Ausrüstung ausgelegt.
CS9 © Stäubli 2018 – D.280.947.02-C 35/104

3 - Maschinendesign
3.3.5 - STEUERSCHNITTSTELLEN .
3.3.5.1 - Betriebsart und Sicherheitsquittierung M0004666.1
Zur Auswahl der Betriebsart und zur Quittierung der Sicherheitsstopps (manuelles Reset) müssen dem
Roboter bestimmte Sicherheits-Schnittstellen zur Verfügung stehen. Je nach Ergebnis der Risikoanaly‐
se sind verschiedene Lösungen denkbar:
■ Die Betriebsart des Roboters und die Sicherheitsquittierung können über sichere Eingänge gesteu‐
ert werden; die optionale WMS9-Box bietet diesbezüglich eine passende Schnittstelle, kann aber
auch durch eine gleichwertige, an den Anschluss J101-WMS anzuschließende benutzerseitige
Schnittstelle ersetzt werden.
■ Die Einstellung der Betriebsart und die Sicherheitsquittierung können aber auch softwaregestützt
am SP2 vorgenommen werden. Die Betriebsart kann darüber hinaus auch mit Hilfe der Einstel‐
lung remoteMcp von der Software gesteuert werden. Die Sicherheitsquittierung kann in VAL 3 an‐
hand des Softwareausgangs RSI9 Qrestart oder über das I/O-Mapping gesteuert werden (siehe
Systemein- und -ausgänge der Steuerung). Bei einer Auswahl über die Software kann der Zugriff
auf bestimmte Betriebsarten per Benutzerprofil gesteuert werden.
■ Die Sicherheitsquittierung am Roboter kann deaktiviert werden, wenn die Wiederanlaufsteuerung
vollständig über eine externe SPS (PLC) oder in VAL 3 implementiert wird.
■ Der automatische Wiederanlauf nach einem SS2-Stopp kann über verschiedene Timer so gesteuert
werden, dass ein manuelles Reset nach einem längeren Stopp erzwungen wird, dass vor dem Wie‐
deranlauf eine Warnmeldung ausgelöst wird, oder dass der Roboter zunächst mit geringer Ge‐
schwindigkeit wieder anläuft.
Die Auswahl geeigneter Sicherheitsschnittstellen ist Teil des Sicherheitskonzepts. Es hat potenzielle
Risiken zu berücksichtigen, wie z.B.:
■ das Risiko, dass sich eine Person dem Roboter in der Betriebsart "Automatik" ohne Sicherheits‐
stopp nähert, insbesondere während Einrichtungs- oder Wartungsarbeiten.
■ das Risiko, dass die von der Software ausgewählte oder angezeigte Betriebsart nicht der tatsäch‐
lich eingestellten Betriebsart der Sicherheitssteuerung entspricht; die tatsächlich eingestellte Be‐
triebsart steuert verschiedene Sicherheitsfunktionen, wie die Sicherheits-Geschwindigkeitsbegren‐
zungen und die Sicherheitsstopps.
■ das Risiko eines automatischen Wiederanlaufs des Roboters nach dem Wegfall des Grunds, der zu
einem Sicherheitsstopp geführt hat, insbesondere während Wartungsarbeiten.
Das Risiko eines unerwarteten Wiederanlaufs des Roboters muss insbesondere bei kollabo‐
rativen Anwendungen mit größter Aufmerksamkeit bedacht werden. Ein visuelles Signal kann
hilfreich sein um anzuzeigen, dass der Roboter wahrscheinlich wieder von alleine anlaufen
wird, oder dass eine Sicherheitsquittierung (manuelles Reset) für den Wiederanlauf erforder‐
lich ist.
Die Steuerschnittstellen müssen sich außerhalb des gesicherten Bereichs befinden um eine freie Sicht
auf den beschränkten Bereich des Roboters zu ermöglichen.
Unabhängig von der Art des Betriebsartenschalters dient dieser dazu, einen Betriebsartenwechsel bei
der Sicherheitssteuerung anzufordern; die Betriebsart wird allerdings erst geändert, nachdem der Ro‐
boter zum Stillstand gekommen ist und sich in einem sicheren Zustand befindet.
Die Quittierung des Wiederanlaufs mittels J101-4 wird mit einer fallenden Flanke des Signals ausge‐
löst; die Quittierung des Wiederanlaufs mittels Softwareausgang RSI9 Qrestart wird durch Setzen des
Ausgangs auf 1 ausgelöst. Das Signal zur Quittierung des Wiederanlaufs des Roboters kann über ei‐
nen sicheren Ausgang an andere Geräte weitergegeben werden (Siehe Kapitel 5.6.3).
Nach dem Überschreiten eines sicher überwachten Achswinkels oder von Geschwindigkeits‐
grenzwerten (SLPj, SLSj) ist eine softwareseitige Quittierung mittels Qrestart nicht möglich:
Das Signal zur Quittierung des Wiederanlaufs wird nur über den sicheren Ein‐
gang J101-4 akzeptiert.
36/104 © Stäubli 2018 – D.280.947.02-C CS9

3 - Maschinendesign
3.3.5.2 - Nutzung des Handbediengeräts (MCP) an verschiedenen Robotern M0004667.1
Ein einziges MCP kann von mehreren Robotern benutzt werden. Wenn ein Roboter in der Betriebsart
"Fern Auto" läuft, ist es möglich, das SP2 an-/abzustecken, ohne dass ein Not-Halt ausgelöst wird,
sofern der Vorgang über die entsprechende Funktion im Menüpunkt "Sicherheit" des Handbedienge‐
räts angefordert worden ist. Nach dem Einleiten des Vorgangs wird die Not-Halt-Funktion des Hand‐
bediengeräts vorübergehend deaktiviert. Um Missbrauch zu verhindern, muss das Handbediengerät
(MCP) nach Einleiten des Vorgangs rechtzeitig durch einen speziellen MCP-Brückenstecker ersetzt
werden.
I0003915
Innerhalb von 30s nach dem Abnehmen des MCP-Steckers kann das Handbediengerät (MCP) ohne
weiteres wieder angeschlossen werden.
SICHERHEIT
Safety
Ein nicht an eine Robotersteuerung angeschlossenes Handbediengerät (MCP) muss entwe‐
der entfernt oder so abgedeckt werden, dass der inaktive Not-Halt-Taster in der Zelle nicht
sichtbar ist.
3.3.6 - SICHERE ANSTEUERUNG EXTERNER STELLGLIEDER M0004668.1
Der CS9/TX2-Roboter kann zur sicheren Ansteuerung eines benutzerdefinierten Stellglieds benutzt
werden, und zwar entweder über die Magnetventile des Arms oder über die Sicherheitsausgänge
der CS9-Steuerung.
Standardmäßig werden die Ventile vollständig aus VAL 3 heraus gesteuert, wohingegen die Sicher‐
heitsausgänge nicht direkt angesteuert werden können. Es ist jedoch möglich, die Standardkonfigura‐
tion dahingehend zu ändern, dass die Ventile und die Sicherheitsausgänge aus VAL 3 heraus gesteuert
werden, solange sich der Roboter nicht in einem SS0-, SS1- oder SS2-Stopp befindet. Wenn sich der
Roboter im SS0-, SS1- oder SS2-Stopp befindet, werden die Stromversorgung der Ventile und die si‐
cheren Ausgänge auf 0V gesetzt.
Auf diese Weise gewährleistet die Sicherheitssteuerung, dass das angeschlossene Stellglied nicht
mehr aktiviert werden kann, solange sich der Roboter im Sicherheitsstopp befindet.
SICHERHEIT
Safety
Das Verhalten des externen Stellglieds muss sicher bleiben, wenn seine Steuersignale von
der Sicherheitssteuerung auf 0V umgeschaltet werden.
CS9 © Stäubli 2018 – D.280.947.02-C 37/104

3 - Maschinendesign
Die sichere Ansteuerung der Ventile wird über den Sicherheitsparameter valves_safeControl aktiviert.
Die Ansteuerung der sicheren Ausgänge über VAL 3 wird über die Sicherheitsparame‐
ter USOx_VAL3 aktiviert.
Wenn die sichere Ansteuerung eines externen Stellglieds zur Anwendung kommt, muss
die VAL 3-Anwendung die Sperrung des Stellglieds veranlassen, wenn ein Sicherheitsstopp
aktiv ist. Es kann in der Folge dazu kommen, dass der tatsächliche Zustand des Ausgangs
nicht mit dem von VAL 3 angeordneten Zustand übereinstimmt.
valves_safeControl Siehe Kapitel 5.2.1
USOx_VAL3 Siehe Kapitel 5.6
3.3.7 - SICHERHEITSABSTÄNDE M0004669.1
Ein angemessener Sicherheitsabstand zwischen dem Roboter und dem Bediener vermindert das Risi‐
ko einer gefährlichen Berührung, indem sichergestellt wird, dass der Roboter rechtzeitig angehalten
wird, bevor der Bediener ihn erreicht. Die Sicherheitsanforderungen für die Berechnung der Sicher‐
heitsabstände werden von der Norm ISO 13855:2010 vorgegeben.
Mithilfe konfigurierbarer Anhaltezeiten des Roboters erlaubt es die CS9/TX2-Sicherheitssteuerung, die
Sicherheitsabstände unter folgenden Prämissen zu optimieren:
■ Die maximale Anhaltezeit wird über den Sicherheitsparameter maxStopTime festgelegt. Standard‐
mäßig beträgt dieser 0.5s. Diese Anhaltezeit gilt für SP2-Stopps (Zustimmtaster oder Not-Halt).
■ Durch Anpassung des Sicherheitsparameters USIx_maxStopTime kann jedem der Sicherheitsein‐
gänge USIA, USIB, USIC oder USID eine reduzierte Anhaltezeit zugewiesen werden.
SICHERHEIT
Safety
Die zur Berechnung des Sicherheitsabstands garantierte Anhaltezeit beträgt:
■ maxStopTime + 32 (ms) für SP2-Stopps.
■ USIx_maxStopTime + 32 (ms) für USIx-Stopps.
Die Mindestanhaltezeit hängt vom Roboter ab, und liegt bei ungefähr 100ms. Es kann vorkommen,
dass der Roboter je nach Geschwindigkeit, Beschleunigung oder Nutzlast nicht in der Lage ist, wäh‐
rend dieser Zeit tatsächlich ohne Fehler zum Stillstand zu kommen. Normalerweise kommt ein Roboter
bei Nenngeschwindigkeit, Nennnutzlast und unter Nennverzögerung in ca. 350ms zum Stehen.
Der Roboter unterstützt sehr geringe Anhaltezeiten, doch die sich daraus ergebenden höhe‐
ren Beanspruchungen der Mechanik können je nach Nutzlast und Häufigkeit des Anhaltens
seine Lebensdauer beeinträchtigen. Die Auswirkungen der Anhaltezeit auf die Lebensdauer
müssen mit Hilfe der Software Optimize Lab bewertet werden.
SICHERHEIT
Safety
Eine sehr geringe Anhaltezeit kann während der Anhaltephase einen Fehler auslösen; daraus
resultiert ein vorzeitiger Verschleiß der Bremsen, was wiederum dazu führt, dass die para‐
metrierte Anhaltezeit nicht mehr garantiert werden kann. Es sollte daher geprüft werden, ob
der Roboter in der Lage ist, unter den ungünstigsten Bedingungen ohne Auslösung eines
Fehlers anzuhalten.
maxStopTime Siehe Kapitel 5.3.2.1

USIx_maxStopTime Siehe Kapitel 5.3.2
38/104 © Stäubli 2018 – D.280.947.02-C CS9

3 - Maschinendesign
3.3.8 - EINGESCHRÄNKTER RAUM: ANHALTEWEGE UND VERBLEIBENDE ENERGIE .
3.3.8.1 - Schutzumhausungen bzw. Einschränkung des Arbeitsraums M0004670.1
Wenn der Roboter nur in Teilbereichen seiner maximalen Reichweite genutzt wird, ist es oftmals
durchaus sinnvoll, die Abmessungen des Schutzbereichs rund um den Roboter zu verringern, um den
Platzbedarf der Zelle zu optimieren. In diesem Fall muss sichergestellt werden, dass der Roboter die
Grenzen des geschützten Bereichs nicht überschreiten kann.
Dafür gibt es verschiedene Lösungen:
■ Der Roboter könnte von Schutzzäunen umgeben werden, die ausreichend steif sind, um bei Kollisi‐
on gefährliche Verformungen zu verhindern. Die Zäune müssen der maximalen Energie des Robo‐
ters inklusive seiner Nutzlast standhalten (Energie bei maximal möglicher Geschwindigkeit). Die
maximale Energie des Roboters kann durch Verringerung seiner maximal möglichen Geschwindig‐
keit mit Hilfe der Sicherheitsfunktion SLS reduziert werden.
■ Der maximale Arbeitsraum des Roboters kann mit Hilfe der Sicherheitsfunktion SLP eingeschränkt
werden. Dabei muss der Raum, der vom Roboter und seinem Endeffektor abgedeckt wird (einge‐
schränkter Raum), anhand der SLP-Grenzwerte und des maximalen Anhaltewegs des Roboters bei
Erreichen des Grenzwerts ermittelt werden. Der maximale Anhalteweg des Roboters kann durch
Reduzierung seiner maximal möglichen Geschwindigkeit verringert werden.
■ Es ist auch eine Mischung aus den zwei oben beschriebenen Lösungen möglich, indem die maxi‐
male Energie des Roboters während des Anhaltevorgangs nach Erreichen der SLP-Grenzen be‐
rechnet wird; die Schutzumhausung können dann derart innerhalb des eingeschränkten Bereichs
platziert werden, dass die verbleibende Energie des Roboters nicht zu gefährlichen Verformungen
führen kann.
In allen Fällen beruht die Optimierung des gesicherten Bereichs auf einer Abschätzung des maximalen
Anhaltewegs und/oder der Einschlagsenergie des Roboters. Solche Berechnungen sind im allgemei‐
nen von komplexer Natur:
■ Sie hängen von den maximalen Positionen und Geschwindigkeiten des Roboters ab, sowohl am
Gelenk als auch im kartesischen Bereich.
■ Dabei ist die ungünstigste Situation zu berücksichtigen, wenn der Roboter mit Hilfe seiner Bremsen
stoppt (z. B. nach einem Stromausfall oder bei einem Verstärkerfehler). Faktoren sind dabei die
Trägheit des Roboters und seiner Nutzlast, die Schwerkraft, das Bremsmoment und die interne
Reibung...
SICHERHEIT
Safety
Wenn der rund um den Roboter eingeschränkte Bereich auf dessen Anhalteweg beruht,
muss ein regelmäßiger Bremsentest durchgeführt werden, um sicherzustellen, dass der Zu‐
stand der Bremsen den angestrebten Anhalteweg auch tasächlich bewerkstelligen kann.
Wenn es wahrscheinlich erscheint, dass die Risiken bei geringer Geschwindigkeit bereits auf ein ak‐
zeptables Niveau reduziert wurden, ist eine Beschränkung des Arbeitsraums in der Betriebsart "Manu‐
ell" nicht unbedingt erforderlich. Der Sicherheitsparameter jointLimits_manu ermöglicht die Festlegung
des eingeschränkten Bereichs in der manuellen Betriebsart; eine Achse, die sich außerhalb der Grenz‐
werte befindet, kann dann nur durch manuelles Lösen der Bremsen oder unter Verwendung des War‐
tungsmodus wieder in eine zulässige Position gebracht werden.
jointLimits_manu Siehe Kapitel 5.4.1
CS9 © Stäubli 2018 – D.280.947.02-C 39/104

3 - Maschinendesign
3.3.8.2 - Tool zur Einschätzung des Anhaltewegs M0004673.1
Dieses Tool dient zur Berechnung einer konservativen Einschätzung des Anhaltewegs im ungünstigs‐
ten Fall sowie der verbleibenden Energie der Achsen 1 und 2 ohne Berücksichtigung der Schwerkraft:
Für die Achse 2 kann es daher nur für Bewegungen von unten nach oben benutzt werden.
Für die Berechnung des maximalen Anhaltewegs jenseits der Sicherheitsgrenzen werden folgende
Eingabewerte benutzt:
■ Maximale Achsgeschwindigkeit, wie im Sicherheitsparameter maxVelAuto_J1 festgelegt.
■ Maximale Achsverzögerung, wie im Sicherheitsparameter jointLimits_decelJ1 festgelegt.
■ Masse der Nutzlast und Offset-Werte des Schwerpunkts entlang der Flansch-Z-Achse und auf der
XY-Ebene.
maxVelAuto_J1 Siehe Kapitel 5.1.3
jointLimits_decelJ1 Siehe Kapitel 5.4.2.1
Wenn die Sicherheitssteuerung feststellt, dass der Roboter nicht in der Lage ist, innerhalb der festge‐
legten Sicherheitsgrenzwerte zu bremsen, wird ein SS0-Stopp ausgelöst, was bewirkt, dass der Robo‐
ter mittels seiner Bremsen stoppt. Das Tool berechnet den Anhalteweg jenseits der Sicherheitsgrenzen
für den ungünstigsten Fall.
Je niedriger die maximale Verzögerung, desto weiter vor den Grenzwerten wird der SS0-Stopp ausge‐
löst und desto kürzer ist der Anhalteweg für den ungünstigsten Fall jenseits der Grenzen.
Die verbleibende Energie jenseits der Sicherheitsgrenzen wird für eine Position angegeben, die durch
den Parameter “Distance between obstacle and safe joint limit” festgelegt ist.
SICHERHEIT
Safety
Die geschätzte Energie umfasst nur die kinetische Energie der betroffenen Achse: Die kineti‐
sche Energie der anderen Roboterachsen muss ebenfalls bewertet werden, um die maximale
Einschlagsenergie des Roboters am Hindernis zu berechnen.
I0003916
40/104 © Stäubli 2018 – D.280.947.02-C CS9

3 - Maschinendesign
Das Tool bringt 3 Grafiken zur Anzeige, die es Ihnen ermöglichen, die Auswirkungen der verschiede‐
nen Parameter besser zu verstehen.
■ Auswirkungen der Nutzlast auf den maximalen Anhalteweg.
■ Auswirkungen der Verzögerung auf den maximalen Anhalteweg und die verbleibende Energie.
3.3.9 - SICHERE REFERENZIERUNG .
3.3.9.1 - Prinzip M0004674.1
Um die Armgeometrie in der Bewegungssteuerung zu konfigurieren, ist ein Kalibrierungsverfahren er‐

forderlich. Die während der Kalibrierung ermittelten Offset-Werte stellen die Position eines jeden Enco‐
ders dar, wenn sich der Roboter in Nullstellung befindet. Die Präzision der Bewegung des TCP hängt
von der Präzision der Offset-Werte während der Kalibrierung ab.
Die Sicherheitssteuerung benötigt verlässliche Kalibrierungs-Offsetwerte um sichere kartesische Posi‐
tionen und Geschwindigkeiten berechnen zu können. Das Verfahren zur sicheren Referenzierung be‐
steht daher darin, die Kalibrierungs-Offsetwerte aus der Bewegungssteuerung in die Sicherheitssteue‐
rung zu kopieren.
SICHERHEIT
Safety
Das Verfahren zur sicheren Referenzierung ist für die Sicherheitsfunktio‐
nen SLPj, SLPc, SLSc und SZM zwingend erforderlich.
Für die Sicherheitsfunktionen SS1, SS2 und SLSj ist das Verfahren zur sicheren Referenzie‐
rung nicht erforderlich.
Um sicherzustellen, dass die sichere Position richtig ist, kann das Verfahren zur sicheren Referenzie‐
rung nur an bestimmten Positionen durchgeführt werden, die als Sicherheitsparameter angelegt sind
und der Position des an die Sicherheitssteuerung angeschlossenen Referenzsensors entsprechen. Da
ein Roboter die gleiche kartesische Position in verschiedenen Konfigurationen erreichen kann, ist da‐
rüber hinaus eine Überprüfung der Referenzierung an einer zweiten Position erforderlich, um sicherzu‐
stellen, dass die erste Referenzierung mit einer korrekten Konfiguration durchgeführt wurde.
Der Referenzsensor muss nicht sicher ausgeführt sein (keine Redundanz erforderlich).
SICHERHEIT
Safety
Die zweite Referenzposition (2nd position) muss so festgelegt sein, dass der Sensor nicht ak‐
tiviert werden kann, wenn die erste Referenzierung mit einer falschen Armkonfiguration
durchgeführt wurde.
CS9 © Stäubli 2018 – D.280.947.02-C 41/104

3 - Maschinendesign
Für die zwei Referenzpositionen können verschiedene Sensoren benutzt werden. Es ist jedoch norma‐
lerweise möglich nur einen Sensor zu verwenden, in dessen Auslösebereich zwei verschiedene Refe‐
renzpositionen definiert werden. Das Sicherheitsprofil gibt nur einen einzigen sicheren Eingang für das
Feedback des Referenzsensors / der Referenzsensoren vor. Der Referenzsensor muss auch nicht sehr
präzise sein, da die sichere Position mit der Bewegungsposition synchronisiert wird. Es genügt, wenn
der Erfassungsbereich des Sensors zwischen 10 und 20 mm beträgt. Es kommen verschiedene Sen‐
sorarten in Betracht. Es muss nur sichergestellt werden, dass es nicht möglich ist, den (die) Sensor(en)
an den zwei verschiedenen Referenzpositionen zu aktivieren, wenn der Roboter nicht richtig kalibriert
ist.
Nachdem die Referenzpositionen in den Sicherheitsparametern refPos1_Jx und refPos2_Jx konfigu‐
riert wurden, besteht das Referenzierungsverfahren ganz einfach darin, den Arm zur ersten Position zu
bewegen, dort die Armleistung abzuschalten, und anschließend den Arm zur zweiten Position zu be‐
wegen, und ihn dort 0.2 s (oder länger) verharren zu lassen. An der zweiten Position braucht die Arm‐
leistung nicht abgeschaltet zu werden. Die Referenzierung kann in den Betriebsarten "Manuell" oder
"Automatik" durchgeführt werden.
refPos1_Jx Siehe Kapitel 5.1.2
3.3.9.2 - Überprüfung der Referenzierung und Wiederherstellung M0004675.1
Die sichere Referenzierung wird dauerhaft gespeichert und sofort nach einem Reboot wieder herge‐
stellt, es sei denn, eine Roboterachse hat sich bewegt, während der Roboter abgeschaltet war. In die‐
sem Fall muss die sichere Referenzierung durch Verfahren des Roboters an die erste Referenzposition
und Abschalten der Armleistung wieder hergestellt werden.
Die sichere Referenzierung wird darüber hinaus automatisch jedes Mal zurückgesetzt, wenn die Kalib‐
rierung der Bewegungssteuerung geändert wird, damit sichergestellt ist, dass die sicheren und nicht
sicheren Positionen immer übereinstimmen. Nach Wartungsarbeiten, bei denen Kalibrierungs-Offset‐
werte geändert wurden, muss eine neue sichere Referenzierung zwingend durchgeführt werden.
Eine sichere Referenzierung bleibt gültig, solange die Geometrie der mechanischen Komponenten
nicht durch eine signifikante Einwirkung verändert wird. Dies kann aber normalerweise nur nach einer
heftigen Kollision des Roboters auftreten. Das Risiko unerkannter mechanischer Deformationen infolge
einer Kollision muss auf Anwendungsebene durch Neustart der Anwendung mit geringer Geschwindig‐
keit eingedämmt werden, bis die Kalibrierung des Roboters erneut geprüft wird, z. B. anhand einer
präzisen Anwendungsposition.
Solche Referenztests nach einer Kollision können mit Hilfe der Sicherheitssteuerung eingefordert wer‐
den: der Ausgang QforceRefTest RSI9 kann benutzt werden, um eine Prüfung der sicheren Referenzie‐
rung zu erzwingen. In diesem Fall kann sich der Roboter zwar weiter bewegen, aber vorerst nur mit
geringer Geschwindigkeit, bis er erneut zur zweiten Referenzposition bewegt worden ist.
Es ist auch möglich, einen regelmäßigen Test der sicheren Referenzierung einzurichten, indem der Si‐
cherheitsparameter referencing_timeout aktiviert wird. Der Testzeitraum wird dann durch die Sicher‐
heitsparameter refWarningDelay und refTimeoutDelay definiert:
■ Nach dem Timeout schaltet der Referenzierungsstatus auf "1 - Warnung" um.
■ Nach dem zusätzlichen Timeout wird die Prüfung der sicheren Referenzierung zurückgesetzt (Refe‐
renzierungsstatus "2 - Initialisiert" in der nachstehenden Tabelle) und es wird eine neue Referenzie‐
rung durch Verfahren des Roboters an die zweite Referenzposition angefordert.
referencing_timeout Siehe Kapitel 5.7.1
refWarningDelay Siehe Kapitel 5.7.1
refTimeoutDelay Siehe Kapitel 5.7.1
42/104 © Stäubli 2018 – D.280.947.02-C CS9

3 - Maschinendesign
3.3.9.3 - Durchführung M0004676.1
Das Verfahren zur sicheren Referenzierung läuft nach folgenden Schritten ab:
1) Aktivierung der sicheren Referenzierung
Standardmäßig ist die sichere Referenzierung deaktiviert und muss mit dem Sicherheitsparame‐
ter referencing_auto aktiviert werden. Der Parameter referencing_manu muss ebenfalls aktiviert
werden, wenn die Sicherheits-Positionsgrenzen auch in der Betriebsart "Manuell" benötigt werden.
Wenn referencing_manu aktiviert ist, ist der Wartungsstecker anzuschließen, um einen
nicht referenzierten Roboter in der Betriebsart "Manuell" bewegen zu können.
Wenn referencing_auto aktiviert ist, sind automatische Bewegungen auch mit einem unreferenzier‐
ten Roboter immer noch zulässig, aber nur bei reduzierter Geschwindigkeit (automatische Bewe‐
gungen sind jedoch nicht zulässig, wenn zusätzlich safeEncoder_auto auf 1 gesetzt ist).
referen‐ safeEnco‐ Referenzierung verloren gegan‐ Ohne Endcoder-Feed‐
cing_auto der_auto gen back
0 0 Kein Sicherheitsstopp, volle Ge‐ Kein Sicherheitsstopp, re‐
schwindigkeit duzierte Geschwindigkeit
0 1 Kein Sicherheitsstopp, volle Ge‐ Sicherheitsstopp
schwindigkeit
1 0 Kein Sicherheitsstopp, reduzierte Sicherheitsstopp
Geschwindigkeit
1 1 Sicherheitsstopp Sicherheitsstopp
2) Positionierung und Verdrahtung der Referenzsensoren

Der Referenzsensor muss am sicheren Eingang USID1 (J100 13-15) angeschlossen sein.
3) Anlernen der Referenzpositionen
Bewegen Sie den Roboter zu den beiden Referenzpositionen und notieren Sie sich für jede Achse
die jeweiligen Achswerte als Sicherheitsparameter refPos1_Jx und refPos2_Jx (eine Kommastelle
ist ausreichend).
Aufgrund der mechanischen Kopplung im Handgelenk berechnet sich der Sicherheitsparame‐
ter refPosX_J6 für die TX2-40 und TX2-60-Arme als Summe der Referenzpositionen für die Ach‐
sen 5 und 6.
refPos1_J5 = joint5_pos1 + joint6_pos1.
refPos2_J5 = joint5_pos2 + joint6_pos2.
4) Testen der Referenzpositionen in der Betriebsart "Manuell"
Die als Sicherheitsparameter definierten Referenzpositionen stehen der Steuerung automatisch zur
Verfügung. Sie sind über das SP2 auf der Seite "Kalibrierung" als Positio‐
nen ‘safeReference1’ und ‘safeReference2’ zu finden. Es ist möglich, den Referenzierungsprozess
in der Betriebsart "Manuell" von dieser Seite aus aufzurufen.
I0003920
CS9 © Stäubli 2018 – D.280.947.02-C 43/104

3 - Maschinendesign
5) Einrichtung des automatischen Referenzierungsverfahrens

In VAL 3 können die Referenzierungspositionen mit Hilfe der Anweisung "getJntRef" über die Para‐
meter "”safeReference1”" oder "”safeReference2”" ausgelesen werden.
Ein regelmäßiger Referenzierungstest dient der Verhinderung eines Referenzierungs-Timeouts und be‐
steht einzig und allein darin, 0.2s lang an einer der Referenzpositionen zu verharren. Die erfolgreiche
Ausführung des Referenzierungstests kann durch Auswertung des Eingangs IreferencingOK Rsi9 ge‐
prüft werden: der Eingang ist , wenn der Referenzierungs-Timeout zurückgesetzt wurde. Das Re‐
ferenzierungs-Timeout wird auch beim Booten zurückgesetzt, wenn der Roboter sich an einer Refe‐
renzposition befindet. Der Timeout bleibt zurückgesetzt, solange der Roboter an dieser Position ver‐
harrt.
Die nachstehende Tabelle listet alle möglichen Anzeigen in Bezug auf den Referenzierungstest auf. Der
Referenzierunsgstatus wird von der VAL 3-Anweisung getSafeRefStatus() zur Verfügung ge‐
stellt. “Safe position”, “Safe velocity” und “Safe recovery” sind die drei Eingänge der RSI9-Karte, aus
denen sich der Referenzierungsstatus ergibt (Siehe Kapitel 7.2.2).
Referen‐ Safe Safe Safe Beschreibung
zierungs‐ positi‐ velo‐ reco‐
status on city very
0: Refe‐ Die sichere Referenzierung wurde überprüft: Normalbetrieb akti‐
renziert viert.
1: Ach‐ Timeout-Warnung: Ein Stopp an der 1. oder 2. Referenzposition
tung verhindert einen Timeout.
2: Initial‐ Die sichere Referenzierung wurde eingerichtet, aber noch nicht
isiert überprüft oder nicht rechtzeitig getestest; Ein Stopp an der 2.
Referenzposition startet die Überprüfung.
3: Verlo‐ Die sichere Referenzierung ist nach dem Reboot verloren gegan‐
ren gen, da eine Roboterachse bewegt wurde, während der Roboter
ausgeschaltet war. Verfahren Sie den Roboter zur 1. Referenz‐
position und deaktivieren Sie die Armleistung des Arms, um das
sichere Referenzieren auf aktuellen Stand zu bringen.
4: Reset Die sichere Referenzierung wurde zurückgesetzt. Verfahren Sie
den Roboter zur 1. Referenzposition und deaktivieren Sie die
Armleistung des Arms, um die Referenzposition aufzunehmen.
5: Ungül‐ Ungültige sichere Referenzierung oder ungültiges Feedback der
tig sicheren Position:
■ Prüfen Sie, ob die DSI9-Karte korrekt funktioniert bzw. reiniti‐
alisieren Sie diese bei Bedarf
■ Prüfen, ob das Feedback der sicheren Position aktiviert ist
(QnoSafePos )
■ Ein Reset der sicheren Referenzierung vornehmen
(QresetRef , dann )
44/104 © Stäubli 2018 – D.280.947.02-C CS9

3 - Maschinendesign
6) Ausführung des automatischen Referenzierungstests

Aufgrund der Timeout-Vorgaben (siehe Kapitel 3.3.9.4, 4)) sollte ein Referenzierungsverfahren, das in
der Betriebsart "Manuell" funktioniert, auch in der Betriebsart "Automatik" getestet werden.
referencing_auto Siehe Kapitel 5.1.2
referencing_manu Siehe Kapitel 5.1.2
safeEncoder_auto Siehe Kapitel 5.1.2
refPosX_J6 Siehe Kapitel 5.1.2
refPos1_J5 Siehe Kapitel 5.1.2
CS9 © Stäubli 2018 – D.280.947.02-C 45/104

3 - Maschinendesign
3.3.9.4 - Überprüfung und Fehlerbehebung M0004677.1
Das sichere Referenzierungsverfahren kann aus verschiedenen Gründen fehlschlagen:

1) Sichere Referenzierung nicht aktiviert
■ Prüfen Sie, ob der Sicherheitsparameter referencing_auto auf 1 gesetzt ist.
2) Kein oder ungültiges Feedback vom Referenzsensor
■ Prüfen Sie, ob der sichere Eingang USID1 ist, wenn der Roboter sich an der Referenzpo‐
sition befindet, und , wenn sich der Roboter nicht an der Referenzposition befindet.
3) Die Referenzpositionen sind nicht oder falsch definiert
Für die 1. Referenzposition:
■ Prüfen Sie, ob der Ausgang QrefPos1 Rsi9 ausgelöst wird, wenn die Armleistung an der 1. Re‐
ferenzposition abgeschaltet wird.
Für die 2. Referenzposition (bei Referenzierungsstatus "Initialisiert" oder "Referenziert", wie in
Kapitel 3.3.9.3 festgelegt).
■ Prüfen Sie, ob der Ausgang QrefPos2 Rsi9 geschalten wird, wenn der Roboter an der 2. Refe‐
renzposition stoppt.
■ Für TX2-40 und TX2-60-Arme: Prüfen Sie, ob der Sicherheitsparameter refPos2_J6 aus der 2.
Referenzposition für Achse 6 + refPos2_J5 berechnet wurde.
■ Vergleichen Sie die Achswerte dieses Referenzpunkts am SP2 mit denen in SafePMT .
4) Der Roboter hält am Referenzpunkt zu früh oder zu spät an
Der Roboter muss an der Referenzposition innerhalb von 0.5s nach Sensoraktivierung anhalten.
■ Der Sensor kann zu früh aktiviert werden, wenn sich der Roboter zu langsam an seine Zielposi‐
tion annähert. Stellen Sie in diesem Fall eine schnellere Bewegung ein.
■ Der Sensor kann zu spät aktiviert werden, wenn der Roboter die Zielposition erreicht, bevor das
Sensorsignal vollständig übertragen wurde (unwahrscheinlich, aber möglich). Stellen Sie in die‐
sem Fall einen langsamere Bewegung ein.
5) Falsche Referenzposition oder ungültiges Feedback der sicheren Position
■ Konsultieren Sie die Tabelle der Referenzierungszustände um herauszufinden, welche Refe‐
renzposition zu benutzen ist (1. oder 2. Position) oder wie das Feedback der sicheren Position
wiederhergestellt werden kann.
46/104 © Stäubli 2018 – D.280.947.02-C CS9

3 - Maschinendesign
3.3.10 - BREMSTESTS .
3.3.10.1 - Risiken in Zusammenhang mit den Bremsen M0004678.1
6-Achs-Roboter sind mit Motorbremsen ausgestattet, die den Roboterarm in seiner Position halten,
wenn die Armleistung abgeschaltet ist. Die Motorbremsen des Roboters werden häufig als "Sicher‐
heitsbremsen" bezeichnet, da sie automatisch schließen, wenn ihre Stromversorgung unterbrochen
wird. Dies ist jedoch nicht ausreichend, um alle Risiken in Zusammenhang mit den Bremsen vollstän‐
dig auszuschließen. Es ist darüber hinaus zu beachten:
■ Die Bremsenansteuerung muss so abgesichert werden, dass gewährleistet ist, dass die Bremsen
im Bedarfsfall zuverlässig einfallen und nicht unabsichtlich wieder geöffnet werden.
Beim CS9/TX2 Roboter wird dies über die Sicherheitsfunktion Sichere Bremsensteuerung (SBC)
gewährleistet; jede Bremse wird einzeln durch einen sicheren Ausgang einer Sicherheitskarte
nach SIL3/PLe gesteuert.
■ Es kann natürlich passieren, dass eine Bremse an sich ausfällt - ihre Zuverlässigkeit wird durch den
Wert der "Mean Time To dangerous Failure" (MTTFd) angegeben. Da es aber keine inhärente Re‐
dundanz ihrer mechanischen Komponenten gibt, kann der Ausfall einer einzelnen Komponente das
erwartete Verhalten insgesamt beeinträchtigen.
Prinzipiell lassen sich 3 Risiken unterscheiden, die defekte Bremsen für die Sicherheit des Roboters
aufwerfen:
■ Es könnte vorkommen, dass eine defekte Bremse nach dem Abschalten der Armleistung das zuge‐
hörige Armsegment nicht halten kann, was zur Verletzung einer darunter befindlichen Person füh‐
ren könnte.
■ Während Arbeiten an einem deaktivierten Roboter (z. B. Wartungsarbeiten am Endeffektor) könnte
eine defekte Bremse nicht über die benötigte Haltekraft verfügen, um den aufgewendeten externen
Kräften standzuhalten, woraufhin das entsprechende Armsegment beginnen könnte durchzurut‐
schen.
■ Wenn der eingeschränkte Bereich mit Hilfe der Sicherheitsfunktion "Sichere begrenzte Position"
(SLP) realisiert ist, basiert dieser auf dem Anhalteweg der Bremsen, der anhand eines Mindest‐
bremsmoments abgeschätzt wird. Die Begrenzungen des Roboters könnten überschritten werden,
wenn das tatsächliche Bremsmoment unter dem für die Schätzung benutzten Wert liegt.
CS9 © Stäubli 2018 – D.280.947.02-C 47/104

3 - Maschinendesign
3.3.10.2 - Maßnahmen zur Überwachung solcher Risiken M0004679.1
Die Maßnahmen zur Überwachung der mit den Bremsen in Zusammanhang stehenden Risiken beste‐
hen zunächst einmal darin, die Exposition des Personals gegenüber den Folgen eines Bremsausfalls
dadurch so weit wie möglich zu reduzieren, dass deren Anwesenheit unter dem Arm während des Be‐
triebs oder während Wartungsmaßnahmen bzw. die Anwesenheit im maximalen Arbeitsbereich des
Roboters während des Betriebs vermieden wird.
SICHERHEIT
Safety
■ Wenn regelmäßig Arbeiten unterhalb eines ungesicherten Roboters erforderlich sind,
müssen die Bremsen innerhalb der letzten 10 Stunden vor dem Beginn der Arbeiten ge‐
testet worden sein.
■ Wenn regelmäßig Arbeiten unterhalb eines bewegten Roboters erforderlich sind, darf die
Armleistung nur in Ausnahmefällen (Not-Halt) abgeschaltet werden. Unter normalen Um‐
ständen ist stattdessen ein SS2-Stopp zu benutzen. Die Bremsen müssen innerhalb der
letzten 10 Stunden vor dem Beginn der Arbeiten getestet worden sein; der Sicherheitspa‐
rameter brakeTest_manu muss aktiviert werden, um manuelle Bewegungen unter dem
Arm zu ermöglichen.
■ Wenn sich Personen im maximalen Arbeitsbereich des Roboters befinden, der nur durch
einen definierten eingeschränkten Bereich abgesichert ist, müssen die Bremsen täglich
getestet werden (dies erfolgt unter der Annahme, dass die Bremsen tatsächlich bis
zu 3 Mal pro Jahr dazu benutzt werden, den Roboter innerhalb des eingeschränkten Be‐
reichs zu halten).
In dieser Situation ist der Parameter brakeTest_auto zu aktivieren. Das Prüfintervall darf
erhöht werden, wenn die Exposition des Personals reduziert ist (z. B. wöchentlicher
Bremstest bei seltenerem Aufenthalt).
Das Bremstestintervall wird mit Hilfe der Sicherheitsparame‐

ter brakeTestWarningDelay und brakeTestTimeoutDelay wie folgt festgelegt:
■ Nach dem Warning-Timeout schaltet der Eingang RSI9 Brake test timeout auf .
■ Nach Ablauf des Timeout-Delays erfolgen die Bewegungen in der Betriebsart "Fern Auto" mit redu‐
zierter Geschwindigkeit. Die Betriebsart "Lokale Automatik" ist nicht zulässig,
wenn brakeTest_auto auf 1 gesetzt ist. Eine Bewegung des Roboters ist in den manuellen Be‐
triebsarten nicht zulässig, wenn brakeTest_manu auf 1 gesetzt ist (in diesem Fall ist der Wartungs‐
stecker erforderlich, um den Roboter von Hand zu bewegen).
Der Bremstest an sich wird mit Hilfe der Anweisung VAL 3 "brakeTest" durchgeführt.
■ Die VAL 3-Anwendung muss in der Betriebsart "Fern Auto" betrieben werden, um die Armleistung
automatisch ein- bzw. ausschalten zu können.
■ Der Bremstest kann in fast jeder Position durchgeführt werden, solange für den Fall des Scheiterns
des Tests ausreichend freier Platz rund um die Testposition zur Verfügung steht. Die "brakeTest"-
Anweisung muss nach dem Anhalten an der Testposition aufgerufen werden.
■ Der Bremstest kompensiert bei der Überprüfung der Bremsmomente automatisch die Schwerkraft.
Der Test kann bei schweren Nutzlasten scheitern, wenn das zu kompensierende Bremsmoment zu
groß ist; in diesem Fall muss eine Position mit geringerer Auswirkung der Schwerkraft ausgewählt
werden.
Die vom Bremstest an einer defekten Bremse hervorgerufene Bewegung liegt bei unter 1° für
die Achsen 1 und 2, unter 2° für die Achsen 3 und 4, und unter 3° für die Achsen 5 und 6.
brakeTest_manu Siehe Kapitel 5.7.2

brakeTest_auto Siehe Kapitel 5.7.2
brakeTestWarningDelay Siehe Kapitel 5.7.2
48/104 © Stäubli 2018 – D.280.947.02-C CS9

3 - Maschinendesign
brakeTestTimeoutDelay Siehe Kapitel 5.7.2
CS9 © Stäubli 2018 – D.280.947.02-C 49/104

50/104 © Stäubli 2018 – D.280.947.02-C CS9
4 - Safe PMT
4 - SAFE PMT .
4.1 - INSTALLATION UND EINSTELLUNGEN M0004680.1
Die aktuelle Version von SafePMT wird mit einer Installations- und einer Konfigurationsdatei geliefert.
Zur Installation der Software sind Adminstratorrechte erforderlich. SafePMT erfordert die Installation
von Microsoft .NET Framework 3.5. Sollte dieses nicht bereits in Ihrer Windows.Version installiert sein,
befolgen Sie die Microsoft-Anweisungen zur Installation dieses Frameworks:
https://docs.microsoft.com/en-us/dotnet/framework/install/dotnet-35-windows-10
Abschluss der Installation:
■ Die Konfigurationsdatei datar.dat im Installationsordner SafePMT löschen.
■ Die Konfigurationsdatei datas.dat in den Installationsordner SafePMT kopieren.
Bei der ersten Ausführung von SafePMT öffnet sich ein Einstellungsfenster, in dem die IP-Adresse des
Roboters unter Vewendung der Option “RPC” (und nicht “Ethernet”) sowie die
DLL “RPCClassLibrary.dll” konfiguriert werden müssen, wie nachstehend gezeigt:
Beim Hochfahren ist SafePMT standardmä‐

ßig für eine Verbindung mit der RSI9-Karte
(“SCP:0:0”) konfiguriert.
Um sich mit der DSI9-Karte zu verbinden,
für Diagnosezwecke oder für ein Update
der Firmware ist als Adresse
"ECAT:0:1002" einzustellen..
RSI9 DSI9
CS9 © Stäubli 2018 – D.280.947.02-C 51/104

4 - Safe PMT
4.2 - ÜBERSICHT M0004681.1
SafePMT bietet an der linken Seite der Benutzeroberfläche 5 Registerkarten zur Auswahl:
Die Registerkarte Control wird nach dem Start
des Programms angezeigt.
Die Registerkarte Project dient dazu, Projektin‐

formationen aufzunehmen, die mit den Sicher‐
heitsparametern zusammen abgespeichert und
dem Validierungsbericht hinzugefügt werden.
Die Registerkarte Parameters dient als Editor für

die Sicherheitsparameter; die Parameterda‐
tei .pmt muss zuerst geöffnet werden, damit die
Parameter in der Registerkarte angezeigt wer‐
den.
Die Parameter sind in vier Reihen angeordnet:
■ Supervision/Axis x: Achsparameter
■ Timer: Zeitlimit-Parameter
■ Robot/Robot-0: Kartesische Parameter
■ Configuration/Cbool: Boolesche Parameter
Die Registerkarte Diagnosis bietet fortgeschritte‐

ne Diagnose- und Wartungsfunktionen (Firmwa‐
re-Update) im Rahmen der Forschung und Ent‐
wicklung.
52/104 © Stäubli 2018 – D.280.947.02-C CS9

4 - Safe PMT
Die Registerkarte Scope kann für benutzerseiti‐

ge Diagnosen zur Überprüfung der sicheren Po‐
sition und des Status bestimmter Sicherheits‐
funktionen verwendet werden.
Die Icons im oberen Bereich des Tools geben direkten Zugriff auf die Hauptfunktionen des Tools:
Steuerung der Ethernet-Verbindung (Verbindung herstellen/abbrechen).
Steuerung des Robotersicherheitsprogramms (Start/Stopp).
Zugriff auf die Einstellungen zur Änderung der IP-Adresse des Roboters.
Update der Sicherheitsparameter.
Download des Validierungsberichts.
Validierung der Verbindung (Warten auf Validierung/Bereit für Update).
4.3 - UPDATE DER SICHERHEITSPARAMETER M0004682.1
Die Sicherheitsparameter sind im entsprechenden Sicherheitsprogramm in einer .pmt Datei gespei‐

chert. Update des Sicherheitsprogramms und seiner Parameter:
.pmt Datei öffnen. File > Open
Sicherheitsparameter modifizieren (falls erforderlich). Parameters tab
Verbindung zum Roboter herstellen.
Verbindung an der Robotersteuerung bestätigen ("ab‐

gesicherter Modus"): Taste Update ("SCP ACK") auf
dem mittleren Einschub der CS9 drücken, um sicher‐
zustellen, dass das Update auf der richtigen Steuerung
durchgeführt wird.
CS9 © Stäubli 2018 – D.280.947.02-C 53/104

4 - Safe PMT
Sicherheitsprogramm und seine Parameter übertragen.

Nach ca. 30 Sekunden zeigt ein Popup-Fenster an,
dass das Update beendet ist.
Verbindung trennen, 15 Sekunden warten,

dann ‘Update’ drücken, um den Roboter wieder in Be‐
trieb zu nehmen (oder um die Steuerung nach dem 15 s
trennen der Verbindung neu zu starten).
54/104 © Stäubli 2018 – D.280.947.02-C CS9

4 - Safe PMT
4.4 - VALIDIERUNGSBERICHT M0004683.1
Im Validierungsbericht sind die Ergebnisse des Validierungstests aufgeführt; er enthält eine vollständi‐
ge Referenzbeschreibung der Robotersicherheitskonfiguration. Erstellung eines Validierungsberichts:
Projektinformationen aktualisieren. Project tab

durchgeführt wird.
PMT-Bericht generieren. SafePMT lädt die Daten inner‐

halb von ungefähr 1.5 Minuten herunter, bevor es zwei
Berichtsformate zur Auswahl stellt (Excel oder PDF).
Die Erstellung des Berichts dauert ca. 2 Minuten.
4.5 - BACKUP UND WIEDERHERSTELLUNG DER SICHERHEITSPARAMETER

M0004684.1
Sobald die Sicherheitsanwendung validiert ist, müssen folgende Maßnahmen ergriffen werden:
■ Unzulässige Updates mittels Zugangskontrolle zum SafePMT-Tool (das in der Produktionsumge‐
bung nicht zugänglich sein darf) sowie zur .pmt-Sicherheitskonfiguration verhindern.
■ Ein Backup der geänderten Sicherheitskonfiguration (.pmt-Datei), des safePMT-Tools und des Si‐
cherheitsvalidierungsberichts an einem sicheren, für spätere Änderungen an den Sicherheitsein‐
stellungen zugänglichen Ort speichern.
Eine validierte Sicherheitsanwendung kann über die Quelldatei .pmt z.B. zwecks Update der Sicher‐
heitsparameter (siehe Kapitel 4.3) oder zum Anlegen eines binären Backups wiederhergestellt werden.
Das binäre Backup ist am besten für Wartungszwecke oder zum Erstellen einer Kopie des Sicherheits‐
programms geeignet, da die Wiederherstellung schneller vonstatten geht, und die Quelldatei nicht ge‐
ändert werden kann.
Unabhängig vom Wiederherstellungsverfahren muss die sich daraus ergebende Sicherheitskonfigurati‐
on wiederum wie in Kapitel 4.5.3 beschrieben validiert werden.
CS9 © Stäubli 2018 – D.280.947.02-C 55/104

4 - Safe PMT
4.5.1 - BINÄRES BACKUP M0004685.1
Erstellen eines binären Backups der aktuellen Sicherheitskonfiguration:


durchgeführt wird.
Registerkarte Control auswählen und Übertragung der

binären Konfiguration starten:
Connection > Read > Configuration binary
Die Statusleiste zeigt den Fortschritt der Übertragung

an. Das binäre Backup muss als ".TOC"-Datei abge‐
speichert werden.
56/104 © Stäubli 2018 – D.280.947.02-C CS9

4 - Safe PMT
4.5.2 - WIEDERHERSTELLEN EINES BINÄREN BACKUPS M0004686.1
Vorgehensweise:

durchgeführt wird.
Registerkarte Control auswählen und Übertragung der

binären Konfiguration starten:
Connection > Send > Configuration binary
Die wiederherzustellende binäre TOC-Backupdatei

auswählen. Die Statusleiste zeigt den Fortschritt der
Übertragung an.
CS9 © Stäubli 2018 – D.280.947.02-C 57/104

4 - Safe PMT
4.5.3 - VALIDIERUNG DER BACKUP-WIEDERHERSTELLUNG M0004687.1
Wiederherstellen einer Sicherheitskonfiguration anhand eines Backups der .pmt-Quelldatei:

Registerkarte Diagnosis / System Info auswählen (diese Diagnosis / System Info
Auswahl kann vor der Verbindung erfolgen, um Zeit zu
sparen).
Vrgleichen Sie die:

■ Configuration CRC.
■ Program CRC.
mit den entsprechenden Parametern auf Seite 4 des
Validierungsberichts.
Hinweis zur Verifikation der korrekten Ausführung des Sicherheitsprogramms: die Anzeige
der CRC wird erst nach einem Neustart des Programms aktualisiert.
Die zwei in der Registerkarte System Info angezeigten CRCs dienen

als "Beweis" dafür, dass die wiederhergestellte Sicherheitskonfigu‐
ration eine übereinstimmende Kopie der Original-Sicherheitskonfigu‐
ration ist. In diesem Fall kann der Betrieb wieder aufgenommen wer‐
den, ohne dass eine neue Sicherheitsvalidierung erforderlich ist.
Die CRC werden auch auf der Seite "Informationen" der SP2 ange‐
zeigt.
Auch während der laufenden Produktion ist es möglich zu verifizieren, dass das Sicherheits‐
programm unverändert ist. Dazu liest man entweder den Transferzähler aus (zugänglich als
analoger RSI9-Eingang), dessen Wert in Seite 4 des Validierungsberichts geschrieben wird,
oder man verifiziert die CRC mit Hilfe der VAL 3-Anweisun‐
gen "getVersion"("RSI Configuration CRC") und "getVersion"("RSI Program CRC").
58/104 © Stäubli 2018 – D.280.947.02-C CS9

4 - Safe PMT
4.6 - WARTUNG .
4.6.1 - DIAGNOSE M0004688.1
Die Registerkarte Scope kann dazu benutzt werden, den Status der verschiedenen an die RSI9-Karte
angeschlossenen Sicherheitselemente zu analysieren:
I0003954
Bzw. DSI9-Karte:
I0003955
CS9 © Stäubli 2018 – D.280.947.02-C 59/104

4 - Safe PMT
4.6.2 - FIRMWARE-UPDATE M0004689.1
Um ein Firmware-Update der RSI9- und DSI9-Karte vorzunehmen, müssen zunächst die DSI9-Karte
aktualisiert, dann SafePMT neu gestartet, und schließlich die RSI9-Karte aktualisiert werden.
Sicherstellen, dass SafePMT für ein Firmware-Update
konfiguriert ist. Der SafePMT-Installationsordner enthält
eine “datas.dat” Datei, aber keine “datar.dat” Datei.
Verbindung zur RSI9-Karte (Voreinstellung) oder
zur DSI9-Karte herstellen (Adresse ECAT:0:1002 - sie‐
he Kapitel 4.1).
Diagnosis/System info
Seriennummer der RSI9- oder DSI9-Karte notieren (zu
finden entweder auf der SP2-Seite "Information" oder
im Logger des Roboters).
Sicherstellen, dass kein VAL 3-Programm geöffnet ist.
60/104 © Stäubli 2018 – D.280.947.02-C CS9

4 - Safe PMT
Im Dialogfeld "Firmware-Update" wählen Sie die neue Firmware-

Datei und die Key-Datei aus, die der Seriennummer entsprechen.
Danach drücken Sie "Start update". Je nach den zu aktualisieren‐
den Dateien dauert das Update zwischen 5 und 15 Minuten.
Controller neu starten.

(Nur für RSI9-Karte und je nach Firmware-Update).
Falls erforderlich, Sicherheitsprogramm gemäß Wie‐
derherstellungsverfahren (Kap. 4.5) neu installieren und
neu starten.
Version der neuen Firmware prüfen und Validierungsc‐ Diagnosis/Firmware info
ode als Nachweis für das Update dokumentieren.
CS9 © Stäubli 2018 – D.280.947.02-C 61/104

62/104 © Stäubli 2018 – D.280.947.02-C CS9
5 - Sicherheitsparameter
5 - SICHERHEITSPARAMETER M0004690.1
Die Sicherheitsparameter sind im Reiter "Parameter" des SafePMT aufgeführt (Siehe Kapitel 4.3).
I0003963
Die Parameter unterteilen sich in 4 Kategorien:

■ Achsparameter (in Supervision / Axis-x).
■ Zeitwerte (in Timer).
■ Kartesische Parameter (in Robot/Robot- 0).
■ Boolesche Parameter (in Configuration/CBool).
5.1 - AKTIVIERUNG DER SICHERHEITSÜBERWACHUNG .
5.1.1 - SICHERE ÜBERWACHUNG VON SOS, SS2 UND SLSJ M0004691.1
Die Sicherheitsfunktionen SOS, SS2 und SLSj erfordern ein sicheres Encodersignal. Ihre Aktivierung
besteht darin, das Feedback des sicheren Encoders als erforderlich festzulegen.
Typ Bezeichnung Werte Beschreibung
Bool safeEncoder_manu 0 Die Sicherheitsfunktionen SOS, SS2 und SLSj sind in der Betriebs‐
art "Manuell" optional.
1 Die Sicherheitsfunktionen SOS, SS2 oder SLSj sind in der Be‐
triebsart "Manuell" erforderlich.
Bool safeEncoder_auto 0 Die Sicherheitsfunktionen SOS, SS2 und SLSj sind in der Betriebs‐
art "Automatik" optional.
1 Die Sicherheitsfunktionen SOS, SS2 oder SLSj sind in der Be‐
triebsart "Automatik" erforderlich (1) .
(1) Wenn referencing_auto den Wert 1 hat, kann safeEncoder_auto entweder auf 0 oder 1 gesetzt
werden (Siehe Kapitel 5.1.2)
CS9 © Stäubli 2018 – D.280.947.02-C 63/104

5.1.2 - SICHERE ÜBERWACHUNG VON SLP, SLSC UND SZM M0004692.1
Die Sicherheitsfunktionen SLP, SLSc und SZM erfordern eine sichere Referenzierung (Siehe Kapi‐
tel 3.3.9). Ihre Aktivierung besteht darin, die Referenzierung als erforderlich festzulegen und die Positi‐
onen für das sichere Referenzieren zu definieren.
Die begrenzenden Sicherheitsfunktionen SLPc, SLSc und SZM erfordern zusätzlich, dass
die SafeCELL+ Runtime-Lizenz auf der Steuerung installiert ist.
Bool referen‐ 0 Die Sicherheitsfunktionen SLP, SLSc und SZM sind in der
cing_manu Betriebsart "Manuell" optional.
1 Mindestens eine der Sicherheitsfunktio‐
nen SLP, SLSc oder SZM ist in der Betriebsart "Manuell" er‐
forderlich.
Bool referen‐ 0 Die Sicherheitsfunktionen SLP, SLSc und SZM sind in der
cing_auto Betriebsart "Automatik" optional.
1 Mindestens eine der Sicherheitsfunktio‐
nen SLP, SLSc oder SZM sind in der Betriebsart "Automa‐
tik" erforderlich (1) .
Gelenk SRX1 refPos1_J1 ±360 Achswert der Achse 1 für die 1. Referenzposition.
Gelenk SRX6 refPos1_J6 ±360 TX2-90/L/XL: Achswert der Achse 6 für die 1. Referenzposi‐
tion.
TX2-40, TX2-60/L: Summe der Achswerte der Ach‐
sen 5 und 6.
Gelenk SRX12 refPos2_J6 ±360 TX2-90/L/XL: Achswert der Achse 6 für die 2. Referenzposi‐
tion.
TX2-40, TX2-60/L: Summe der Achswerte der Ach‐
sen 5 und 6.
(1) Wenn die sichere Referenzierung nicht mit referencing_auto = 1 validiert wird, sind Roboterbe‐
wegungen untersagt, wenn safeEncoder_auto den Wert 1 hat, und nur bei reduzierter Geschwin‐
digkeit möglich, wenn safeEncoder_auto den Wert 0 hat.
64/104 © Stäubli 2018 – D.280.947.02-C CS9

5.1.3 - ÜBERWACHUNG DER SICHERHEIT DES SLAVE-PROFILS (FSOE) M0004693.1
Typ Bezeichnung Werte Beschreibung (Siehe Kapitel 3.3.3)

Bool profile_activate 0 Der FSoE Master hat nicht die Kontrolle über die Sicherheit des Ro‐
boters.
1 Der FSoE Master hat die Kontrolle über die Sicherheit des Robo‐
ters.
FBus profile_address 0..65535 FSoE-Adresse der Robotersteuerung.
5.2 - SPERRENDE SICHERHEITSFUNKTIONEN M0004694.1
Die Sicherheitsfunktionen STO und SBC sind immer aktiviert, wenn die Armleistung abgeschaltet ist;
sie können nicht konfiguriert werden.
5.2.1 - SICHERE VENTILSTEUERUNG (SVC) M0004695.1

Bool valves_safeControl 0 (Standardwert) Die Ventile werden immer von der CPU gesteuert.
1 Die Ventile werden von der CPU gesteuert, wenn kein Sicherheits‐
stopp aktiviert ist.
5.3 - STOPPENDE SICHERHEITSFUNKTIONEN .
5.3.1 - NOTAUS M0004696.1

Bool USIA_eStop 0 USIA kann als Schutzstopp konfiguriert werden (wenn keine WMS-Box
benutzt wird).
1 (Standardwert) USIA ist als Not-Halt definiert und kann nicht konfiguriert
werden.
Der Parameter USIA_eStop ist ein Shortcut, der der folgenden Konfiguration entspricht:
USIA_manu, USIA_auto, USIA_ack und USIA_SS1 auf 1.
USIA_eStop wird ignoriert (auf 1 gesetzt), wenn der Parameter mode_WMS auf 1 gesetzt ist (Siehe Ka‐
pitel 5.5.1).
5.3.2 - SS1/SS2 SCHUTZSTOPPS .
5.3.2.1 - Alle Sicherheitsstopps M0004697.1

Timer maxStopTime 512 (1) Anhaltezeit (ms), wenn die Not-Halt-Taste oder der Zustimmtaster
am SP2 betätigt werden; maximale Anhaltezeit für USIx-Stopps.
(1) Je nach Roboter variiert die Mindestanhaltezeit zwischen 64 und 144 ms.
CS9 © Stäubli 2018 – D.280.947.02-C 65/104

5.3.2.2 - USIA M0004698.1

Bool USIA_auto 0/1 USIA ist in den automatischen Betriebsarten deaktiviert/aktiviert.
Bool USIA_manu 0/1 USIA ist in den manuellen Betriebsarten deaktiviert/aktiviert.
Bool USIA_ack 0 Nach Auslösen von USIA ist keine Sicherheitsquittierung erfor‐
derlich.
1 Nach Auslösen von USIA ist eine Sicherheitsquittierung erforder‐
lich.
Bool USIA_SS1 0 USIA löst keinen SS1-Stopp aus.
1 USIA löst einen SS1-Stopp aus.
Bool USIA_SS2 0 USIA löst keinen SS2-Stopp aus.
1 USIA löst einen SS2-Stopp aus (wenn USIA_SS1 den
Wert 0 hat).
Timer USIA_maxStopTime 496 (1) Anhaltezeit (ms) nach Auslösung von USIA (Siehe Kapitel 3.3.7).
Die Konfiguration des USIA als Schutzstopp wird ignoriert,

wenn USIA_eStop=1 oder mode_WMS=1 eingestellt ist (Siehe Kapitel 5.3.1).
5.3.2.3 - USIB M0004699.1

Bool USIB_auto 0/1 USIB ist in den automatischen Betriebsarten deaktiviert/aktiviert.
Bool USIB_manu 0/1 USIB ist in den manuellen Betriebsarten deaktiviert/aktiviert.
Bool USIB_ack 0 Nach Auslösen von USIB ist keine Sicherheitsquittierung erfor‐
derlich.
1 Nach Auslösen von USIB ist eine Sicherheitsquittierung erforder‐
lich.
Bool USIB_SS1 0 USIB löst keinen SS1-Stopp aus.
1 USIB löst einen SS1-Stopp aus.
Bool USIB_SS2 0 USIB löst keinen SS2-Stopp aus.
1 USIB löst einen SS2-Stopp aus (wenn USIB_SS1 den
Wert 0 hat).
Timer USIB_maxStopTime 496 (1) Anhaltezeit (ms) nach Auslösung von USIB (Siehe Kapitel 3.3.7).
66/104 © Stäubli 2018 – D.280.947.02-C CS9

5.3.2.4 - USIC M0004700.1

Bool USIC_auto 0/1 USIC ist in den automatischen Betriebsarten deaktiviert/aktiviert.
Bool USIC_manu 0/1 USIC ist in den manuellen Betriebsarten deaktiviert/aktiviert.
Bool USIC_ack 0 Nach Auslösen von USIC ist keine Sicherheitsquittierung erfor‐
derlich.
1 Nach Auslösen von USIC ist eine Sicherheitsquittierung erforder‐
lich.
Bool USIC_SS1 0 USIC löst keinen SS1-Stopp aus.
1 USIC löst einen SS1-Stopp aus.
Bool USIC_SS2 0 USIC löst keinen SS2-Stopp aus.
1 USIC löst einen SS2-Stopp aus (wenn USIC_SS1 den
Wert 0 hat).
Timer USIC_maxStopTime 496 (1) Anhaltezeit (ms) nach Auslösung von USIC (Siehe Kapitel 3.3.7).
5.3.2.5 - USID M0004701.1

Bool USID_auto 0/1 USID ist in den automatischen Betriebsarten deaktiviert/aktiviert.
Bool USID_manu 0/1 USID ist in den manuellen Betriebsarten deaktiviert/aktiviert.
Bool USID_ack 0 Nach Auslösen von USID ist keine Sicherheitsquittierung erfor‐
derlich.
1 Nach Auslösen von USID ist eine Sicherheitsquittierung erforder‐
lich.
Bool USID_SS1 0 USID löst keinen SS1-Stopp aus.
1 USID löst einen SS1-Stopp aus.
Bool USID_SS2 0 USID löst keinen SS2-Stopp aus.
1 USID löst einen SS2-Stopp aus (wenn USID_SS1 den
Wert 0 hat).
Timer USID_maxStopTime 496 (1) Anhaltezeit (ms) nach Auslösung von USID (Siehe Kapitel 3.3.7).
CS9 © Stäubli 2018 – D.280.947.02-C 67/104

5.4 - BEGRENZENDE SICHERHEITSFUNKTIONEN .
5.4.1 - SAFE LIMITED POSITION (SLP) M0004702.1

Bool jointLimits_manu 0 SLP-Grenzwerte werden in den manuellen Betriebsar‐
ten ignoriert. (1)
1 SLP-Grenzwerte sind für die manuellen Betriebsarten
aktiviert.
Achse 1SEL jointLimits_minPosJ1 ±400 Unterer Grenzwert der Achse 1 (Grad).
jointLimits_maxPosJ1 ±400 Oberer Grenzwert der Achse 1 (Grad).
jointLimits_decelJ1 0-10000 Maximale Verzögerung, um den Roboterarm vor Errei‐
chen des Grenzwerts anzuhalten.
(1) Die Sicherheitsgrenzwerte finden aber seitens der Bewegungssteuerung stets für alle program‐
mierten Bewegungen Berücksichtigung, und zwar sowohl in den manuellen als auch in den au‐
tomatischen Betriebsarten. Achsgrenzwerte, sofern aktiviert, gelten in den manuellen Betriebsar‐
ten auch für alle Jog-Bewegungen.
68/104 © Stäubli 2018 – D.280.947.02-C CS9

5.4.2 - SAFE LIMITED SPEED SLS .
5.4.2.1 - SLS in den automatischen Betriebsarten M0004703.1

Achse xSLS maxVelAuto_J1 0-10000 Maximale Achsgeschwindigkeit der Achse 1 in den automa‐
tischen Betriebsarten.
maxVelAuto_J2 0-10000 Maximale Achsgeschwindigkeit der Achse 2 in den automa‐
Roboter maxCartVelAuto 0-10000 Maximale kartesische Geschwindigkeit der Überwachungs‐
punkte in den automatischen Betriebsarten.
CS9 © Stäubli 2018 – D.280.947.02-C 69/104

5.4.2.2 - SLS USIA M0004704.1

Bool USIA_auto 0/1 USIA ist in den automatischen Betriebsarten deaktiviert/
aktiviert.
USIA_manu 0/1 USIA ist in den manuellen Betriebsarten deaktiviert/akti‐
viert.
USIA_ss1 0 USIA löst keinen Sicherheitsstopp aus.
USIA_ss2 0
USIA_sls 1 USIA löst eine globale Geschwindigkeitsbegrenzung
aus.
Timer USIA_maxStopTime 496 Anhaltezeit in ms nach Auslösung von USIA.
Achse xSLS USIA_maxVelJ1 0-10000 Maximale Achsgeschwindigkeit der Achse 1 nach Aus‐
lösung von USIA.
USIA_maxVelJ2 0-10000 Maximale Achsgeschwindigkeit der Achse 2 nach Aus‐
lösung von USIA.
lösung von USIA.
lösung von USIA.
lösung von USIA.
lösung von USIA.
Roboter maxCartVelUSIA 0-10000 Maximale kartesische Geschwindigkeit der Überwa‐
chungspunkte nach Auslösung von USIA.
Die Konfiguration des USIA als SLS wird ignoriert,

wenn USIA_eStop=1 oder mode_WMS=1 eingestellt ist (Siehe Kapitel 5.3.1).
70/104 © Stäubli 2018 – D.280.947.02-C CS9

5.4.2.3 - SLS USIB M0004705.1

Bool USIB_auto 0/1 USIB ist in den automatischen Betriebsarten deaktiviert/
aktiviert.
USIB_manu 0/1 USIB ist in den manuellen Betriebsarten deaktiviert/akti‐
viert.
USIB_ss1 0 USIB löst keinen Sicherheitsstopp aus.
USIB_ss2 0
USIB_sls 1 USIB löst eine globale Geschwindigkeitsbegrenzung
aus.
USIB_zone 0
Timer USIB_maxStopTime 496 Anhaltezeit in ms nach Auslösung von USIB.
Achse xSLS USIB_maxVelJ1 0-10000 Maximale Achsgeschwindigkeit der Achse 1 nach Aus‐
lösung von USIB.
USIB_maxVelJ2 0-10000 Maximale Achsgeschwindigkeit der Achse 2 nach Aus‐
lösung von USIB.
lösung von USIB.
lösung von USIB.
lösung von USIB.
lösung von USIB.
Roboter maxCartVelUSIB 0-10000 Maximale kartesische Geschwindigkeit der Überwa‐
chungspunkte nach Auslösung von USIB.
CS9 © Stäubli 2018 – D.280.947.02-C 71/104

5.4.2.4 - SLS USIC M0004706.1

Bool USIC_auto 0/1 USIC ist in den automatischen Betriebsarten deaktiviert/
aktiviert.
USIC_manu 0/1 USIC ist in den manuellen Betriebsarten deaktiviert/akti‐
viert.
USIC_ss1 0 USIC löst keinen Sicherheitsstopp aus.
USIC_ss2 0
USIC_sls 1 USIC löst eine globale Geschwindigkeitsbegrenzung aus.
USIC_zone 0
Timer USIC_maxStopTime 496 Anhaltezeit in ms nach Auslösung von USIC.
Achse xSLS USIC_maxVelJ1 10000 Maximale Achsgeschwindigkeit der Achse 1 nach Auslö‐
sung von USIC.
USIC_maxVelJ2 10000 Maximale Achsgeschwindigkeit der Achse 2 nach Auslö‐
sung von USIC.
sung von USIC.
sung von USIC.
sung von USIC.
sung von USIC.
Roboter maxCartVelUSIC 10000 Maximale kartesische Geschwindigkeit der Überwa‐
chungspunkte nach Auslösung von USIC.
72/104 © Stäubli 2018 – D.280.947.02-C CS9

5.4.2.5 - SLS USID M0004707.1

Bool USID_auto 0/1 USID ist in den automatischen Betriebsarten deaktiviert/
aktiviert.
USID_manu 0/1 USID ist in den manuellen Betriebsarten deaktiviert/akti‐
viert.
USID_ss1 0 USID löst keinen Sicherheitsstopp aus.
USID_ss2 0
USID_sls 1 USID löst eine globale Geschwindigkeitsbegrenzung
aus.
Timer USID_maxStopTime 496 Anhaltezeit in ms nach Auslösung von USID.
Achse xSLS USID_maxVelJ1 0-10000 Maximale Achsgeschwindigkeit der Achse 1 nach Aus‐
lösung von USID.
USID_maxVelJ2 0-10000 Maximale Achsgeschwindigkeit der Achse 2 nach Aus‐
lösung von USID.
lösung von USID.
lösung von USID.
lösung von USID.
lösung von USID.
Roboter maxCartVelUSID 0-10000 Maximale kartesische Geschwindigkeit der Überwa‐
chungspunkte nach Auslösung von USID.
■ Die Nutzung einer reduzierten kartesischen Geschwindigkeit ist nur mit einer Runtime-Lizenz mög‐
lich.
■ Das sichere Referenzieren muss aktiviert werden, wenn eine kartesische Geschwindigkeitsbegren‐
zung zur Anwendung kommt (Siehe Kapitel 5.7.1).
■ Die Präzision der sicheren kartesischen Geschwindigkeit beträgt bis zu ±20% der aktuellen Ge‐
schwindigkeit und hängt weitgehend von der Achskonfiguration des Roboters ab. Die Bewegungs‐
steuerung des Roboters reduziert die Geschwindigkeit des Roboters automatisch dergestalt,
dass 80% der konfigurierten Sicherheitsgrenzwerte nicht überschritten werden.
■ Die Bewegungssteuerung regelt die Robotergeschwindigkeit an dessen Flansch und
am VAL 3 TCP. Die Geschwindigkeit der Sicherheitsüberwachungspunkte wird nicht überwacht
und kann zu einer Sicherheits-Geschwindigkeitsüberschreitung führen. Der VAL 3 TCP kann sich
vom im der Sicherheitssteuerung definierten TCP unterscheiden.
CS9 © Stäubli 2018 – D.280.947.02-C 73/104

5.4.3 - SAFE ZONE MONITORING (SZM) M0004708.1
Das Sicherheitsprogramm erlaubt es, 4 sichere Zonen zu definieren. Die sicheren Zonen 1 und 2 sind
immer aktiviert, während 2 sichere Zonen mit USIB und USIC verknüpft sind und jederzeit aktiviert
oder deaktiviert werden können.
Die Geometrie der sicheren Zonen 1 und 2 wird anhand von 3 Basisvolumen definiert; die Geometrie
der sicheren Zonen, die mit USIB und USIC verknüpft sind, werden anhand von 1 Basisvolumen defi‐
niert.
Bei großen Achsbewegungen (movej) werden die sicheren Zonen von der Bewegungssteue‐
rung nicht mit in Betracht gezogen. Eine lange Achsbewegung, die eine sichere Zone kreuzt,
kann zwar von der Bewegungssteuerung akzeptiert werden, wird dann aber von der Sicher‐
heitssteuerung verhindert.
74/104 © Stäubli 2018 – D.280.947.02-C CS9

5.4.3.1 - Zone 1 M0004709.1

Bool zone1_manu 0/1 Zone 1 ist in den manuellen Betriebsarten deakti‐
viert/aktiviert.
Achse xSLS zone1_maxVelJ1 0-10000 Maximale Achsgeschwindigkeit der Achse 1 in Zo‐
ne 1.
zone1_maxVelJ2 0-10000 Maximale Achsgeschwindigkeit der Achse 2 in Zo‐
ne 1.
ne 1.
ne 1.
ne 1.
ne 1.
Roboter zone1_maxCartVel 0-10000 Maximale kartesische Geschwindigkeit der Über‐
wachungspunkte in Zone 1.
zone1A_shape Definition des Volumens A für Zone 1 (Siehe Kapi‐
tel 5.4.3.5).
zone1A_noSpeedCont‐
rol
zone1A_X/Y/Z
zone1A_p1/2/3/4
zone1B_shape Definition des Volumens B für Zone 1 (Siehe Kapi‐
tel 5.4.3.5).
zone1B_noSpeedCont‐
rol
zone1B_X/Y/Z
zone1B_p1/2/3/4
zone1C_shape Definition des Volumens C für Zone 1 (Siehe Kapi‐
tel 5.4.3.5).
zone1C_noSpeedCont‐
rol
zone1C_X/Y/Z
zone1C_p1/2/3/4
CS9 © Stäubli 2018 – D.280.947.02-C 75/104

5.4.3.2 - Zone 2 M0004710.1

Bool zone2_manu 0/1 Zone 2 ist in den manuellen Betriebsarten deakti‐
viert/aktiviert.
Achse xSLS zone2_maxVelJ1 0-10000 Maximale Achsgeschwindigkeit der Achse 1 in Zo‐
ne 2.
ne 2.
ne 2.
ne 2.
ne 2.
ne 2.
Roboter zone2_maxCartVel 0-10000 Maximale kartesische Geschwindigkeit der Über‐
wachungspunkte in Zone 2.
zone2A_shape Definition des Volumens A für Zone 2 (Siehe Kapi‐
tel 5.4.3.5).
zone2A_noSpeedCont‐
rol
zone2A_X/Y/Z
zone2A_p1/2/3/4
zone2B_shape Definition des Volumens B für Zone 2 (Siehe Kapi‐
tel 5.4.3.5).
zone2B_noSpeedCont‐
rol
zone2B_X/Y/Z
zone2B_p1/2/3/4
zone2C_shape Definition des Volumens C für Zone 2 (Siehe Kapi‐
tel 5.4.3.5).
zone2C_noSpeedCont‐
rol
zone2C_X/Y/Z
zone2C_p1/2/3/4
76/104 © Stäubli 2018 – D.280.947.02-C CS9

5.4.3.3 - Zone USIB M0004711.1

Bool USIB_auto 0/1 USIB ist in den automatischen Betriebsarten deakti‐
viert/aktiviert.
USIB_manu 0/1 USIB ist in den manuellen Betriebsarten deaktiviert/
aktiviert.
USIB_ss1 0 USIB löst keinen Sicherheitsstopp aus.
USIB_ss2
USIB_sls 1 USIB löst eine Geschwindigkeitsbegrenzung innerhalb
einer Zone aus.
USIB_zone
Achse xSLS USIB_maxVelJ1 0-10000 Maximale Achsgeschwindigkeit der Achse 1 in Zo‐
ne USIB.
USIB_maxVelJ2 0-10000 Maximale Achsgeschwindigkeit der Achse 2 in Zo‐
ne USIB.
ne USIB.
ne USIB.
ne USIB.
ne USIB.
Roboter maxCartVelUSIB 0-10000 Maximale kartesische Geschwindigkeit der Überwa‐
chungspunkte in Zone USIB.
zoneUSIB_shape Definition des Volumens für Zone USIB (Siehe Kapi‐
tel 5.4.3.5).
zoneUSIB_noSpeed‐
Control
zoneUSIB_X/Y/Z
zoneUSIB_p1/2/3/4
CS9 © Stäubli 2018 – D.280.947.02-C 77/104

5.4.3.4 - Zone USIC M0004712.1

Bool USIC_auto 0/1 USIC ist in den automatischen Betriebsarten deakti‐
viert/aktiviert.
USIC_manu 0/1 USIC ist in den manuellen Betriebsarten deaktiviert/
aktiviert.
USIC_ss1 0 USIC löst keinen Sicherheitsstopp aus.
USIC_ss2
USIC_sls 1 USIC löst eine Geschwindigkeitsbegrenzung innerhalb
einer Zone aus.
USIC_zone
Achse xSLS USIC_maxVelJ1 0-10000 Maximale Achsgeschwindigkeit der Achse 1 in Zo‐
ne USIC.
USIC_maxVelJ2 0-10000 Maximale Achsgeschwindigkeit der Achse 2 in Zo‐
ne USIC.
ne USIC.
ne USIC.
ne USIC.
ne USIC.
Roboter maxCartVelUSIC 0-10000 Maximale kartesische Geschwindigkeit der Überwa‐
chungspunkte in Zone USIC.
zoneUSIC_shape Definition des Volumens für Zone USIC (Siehe Kapi‐
tel 5.4.3.5).
zoneUSIC_noSpeed‐
Control
zoneUSIC_X/Y/Z
zoneUSIC_p1/2/3/4
78/104 © Stäubli 2018 – D.280.947.02-C CS9

5.4.3.5 - Volumendefinition M0004713.1

Roboter shape Box / Cylinder / Definition der Volumenform.
vertical plane
noSpeed‐ Inside/outside Seite der Form, an der die Geschwindigkeit NICHT be‐
Control grenzt ist. (Für vertikale Ebe‐
nen Inside Vplane verwenden) (1) .
X/Y/Z Box Koordinaten der "linken unteren" Ecke des Quaders.
p1 / p2 / p3 Abmessungen des Quaders in X / Y / Z-Richtung.
X/Y/Z Cylinder Koordinaten des Mittelpunkts der Zylinderbasis.
p1 Radius der Zylinderbasis.
p2 Höhe des Zylinders.
p1 / p2 Vertical plane X,Y-Koordinaten eines ersten Punkts der vertikalen Ebe‐
ne.
p3 / p4 X,Y-Koordinaten eines zweiten Punkts der vertikalen Ebe‐
ne (gleicher Z-Wert wie beim ersten Punkt).
(1) Für vertikale Ebenen wird das Volumen ohne Geschwindigkeitskontrolle durch die Reihenfolge
der Punkte definiert, die die Ebene definieren.
Für die Zonen 1 und 2 müssen die Innen-/Außeneinstellungen für die 3 Volumen, die die Zo‐
ne definieren, identisch sein. Es ist möglich, die Formen Quader (Box) und Zylinder (Cylinder)
zu mischen. Eine Vertikale Ebene (vertical plane) kann aber nicht mit Box oder Cylinder kom‐
biniert werden.
CS9 © Stäubli 2018 – D.280.947.02-C 79/104

5.4.4 - ÜBERWACHUNGSPUNKTE M0004714.1

Roboter mTools tool1_X ±10000 Koordinaten des TCP in Bezug auf den Flansch (mm).
tool1_Y
tool1_Z
Roboter Type (1) Pos/Vel Art der am Punkt ausgeführten Überwachung: Positi‐
mGuards on, Geschwindigkeit oder beides.
Enable (1) 0/1 Deaktivierung/Aktivierung der Berechnungen.
tool1Point1_X ±10000 Koordinaten der Überwachungspunkte in Bezug auf
den Flansch (mm).
tool1Point1_Y
tool1Point1_ Z
tool1Point2_X
tool1Point2_Y
tool1Point2_Z
tool1Point3_X
tool1Point3_Y
tool1Point3_Z
tool1Point4_X
tool1Point4_Y
tool1Point4_Z
Roboter elbow_enable (2) 0/1 Deaktivierung/Aktivierung der Berechnungen.
mGuards
elbow_X ±10000 Koordinaten des Überwachungspunkts (mm) in Be‐
zug auf den Schnittpunkt der Achsen 3 und 4 (im Re‐
elbow_Y ±10000
ferenzkoordinatensystem "World", wenn Roboter sich
elbox_Z ±10000 an seiner Nullposition befindet).
Roboter mSZMc zone1_axis3moni‐ 0 / 1 Deaktivierung/Aktivierung der Ellenbogenüberwa‐
toring (2) chung in Zone 1.
zone2_axis3moni‐ 0 / 1 Deaktivierung/Aktivierung der Ellenbogenüberwa‐
(1) Der Sicherheitskarte verfügt nicht über genügend CPU-Ressourcen, um Position und
Geschwindigkeit für alle möglichen Überwachungspunkte und alle möglichen SLP-
und SLS-Sicherheitsfunktionen zu berechnen. Die Parameter Type und Enable ermögli‐
chen die bedarfsgerechte Anpassung der Berechnungen.
(2) Der Parameter elbow_enable muss nach allen Änderungen an einem der Parame‐
ter zonex_axis3monitoring festgelegt oder aktualisiert werden.
80/104 © Stäubli 2018 – D.280.947.02-C CS9

5.5 - SICHERHEITSFUNKTIONEN FÜR STEUERUNGSSCHNITTSTELLEN .
5.5.1 - BREMSENLÖSE-BOX WMS M0004715.1

Bool mode_WMS 0 Die Betriebsart wird gemäß mode_MCP ausgewählt und USIA wird ge‐
mäß den USIA_xxx Parametern konfiguriert.
1 Die Betriebsart wird aus den J101 Sicherheitseingängen ausgewählt
und USIA wird als Notauseingang konfiguriert.
Der mode_WMS Parameter ist ein Shortcut, mit dem mode_MCP auf 0 und USIA_eStop auf 1 gesetzt
wird.
5.5.2 - AUSWAHL DER BETRIEBSART M0004716.1

Bool mode_MCP 0 Die Betriebsart wird aus den J101 Sicherheitseingängen ausge‐
wählt.
1 Die Betriebsart wird aus den CPU (SP2 Anschlussplatte
oder CPU digitale Eingänge) ausgewählt.
Bool mode_manualFast 0 / 1 Die manuelle schnelle Betriebsart wird deaktiviert/aktiviert.
Die mode_MCP und mode_manualFast Parameter werden ignoriert (auf 0 gesetzt),

wenn mode_WMS auf 1 gesetzt ist.
5.5.3 - WIEDERANLAUFÜBERWACHUNG (SICHERHEITSQUITTIERUNG/MANUELLES RESET)

M0004717.1

Bool restart_mcpAck 0 Die Quittierung des Neustarts wird mit einer fallenden Flanke
des J101-4 Sicherheitseingangs (ausschließlich) ausgelöst.
1 Die Quittierung des Neustarts wird vom RSI9 Qrestart Aus‐
gang, einer fallenden Flanke am J101-4 Sicherheitseingang
oder an der SP2 Sicherheitsanschlussplatte ausgelöst.
Bool restart_enableAck 0/1 Deaktiviert/aktiviert den Neustart der Steuerung im Sicherheits‐
controller des Roboters.
Timer ss2_restartTimeout 0 – 24d Maximale Zeitdauer, während der nach einem SS2 kein manu‐
elles Reset erforderlich ist.
Timer ss2_restartWarning 0s – 5s Wartezeit nach einem SS2 vor dem Wiederanlauf.
Timer ss2_restartSlow 0s – 10s Wartezeit nach einem SS2 bevor volle Geschwindigkeit freige‐
geben wird.
Die mode_MCP und mode_manualFast Parameter werden ignoriert (auf 0 gesetzt),

wenn mode_WMS auf 1 gesetzt ist.
CS9 © Stäubli 2018 – D.280.947.02-C 81/104

5.6 - SICHERHEITSFUNKTIONEN FÜR DIE AUSGÄNGE .
5.6.1 - USOA M0004718.1

Bool USOA_VAL3 0/1 VAL 3–OUT (siehe Kapitel 3.2.5 und 3.3.6).
USOA_SS2 SS2-OUT (siehe Kapitel 3.2.5 und 3.3.4.2).
USOA_eStop ES-OUT (siehe Kapitel 3.2.5 und 3.3.4.2).
USOA_eStopWithAck ES-RST-OUT (siehe Kapitel 3.2.5 und 3.3.4.2).
Wenn alle USOA-Konfigurationen auf "0" gesetzt sind, können USOA1 und USOA2 vollständig
von VAL 3 aus als nicht sichere digitale Ausgänge gesteuert werden.
5.6.2 - USOB M0004719.1

Bool USOB_VAL3 0/1 VAL 3–OUT (siehe Kapitel 3.2.5 und 3.3.6).
USOB_SOS SOS-OUT (siehe Kapitel 3.2.5 und 3.3.4.2).
USOB_mode MODE-OUT (Siehe Kapitel 3.2.5).
USOB_SLS SLSD-OUT (Siehe Kapitel 3.2.5):
USOB1: 1, wenn USID SLS aktiv ist
USOB2: 1, wenn USID SLS nicht aktiv ist
Wenn alle USOB-Konfigurationen auf "0" gesetzt sind, können USOB1 und USOB2 vollständig
5.6.3 - USOC M0004720.1

Bool USOC_VAL3 0/1 VAL 3–OUT (siehe Kapitel 3.2.5 und 3.3.6).
USOC_ack RST-OUT (Siehe Kapitel 3.2.5).
USOC1: 1, während auf eine Quittierung zum Wiederanlauf gewartet
wird
USOC2: Übertragung des Quittierungssignals
USOC_power PWR-OUT Status der Stromversorgung (Siehe Kapitel 3.2.5).
USOC_SS2 SS2-OUT (siehe Kapitel 3.2.5 und 3.3.4.2).
Wenn alle USOC-Konfigurationen auf "0" gesetzt sind, können USOC1 und USOC2 vollständig
82/104 © Stäubli 2018 – D.280.947.02-C CS9

5.7 - DIAGNOSEFUNKTIONEN .
5.7.1 - ÜBERPRÜFUNG DER REFERENZIERUNG M0004721.1
Die Überprüfung der Referenzierung setzt voraus, dass die sichere Überwachung
für SLP, SLSc oder SZM aktiviert ist (Siehe Kapitel 5.1.2).
Bool referencing_timeout 0 / 1 Deaktiviert/aktiviert die regelmäßige Überprüfung der Referen‐
zierung.
Timer refWarningDelay 0 – 24d Zeit bis zur Auslösung der Warnung für ein Überschreiten des
Timeouts zur Überprüfung der Referenzierung.
Timer refTimeoutDelay 0 – 24d Zeit zwischen Ausgabe der Timeout-Warnung und dem erzwun‐
genen Anhalten oder der Reduzierung der Geschwindigkeit.
5.7.2 - BREMSTEST M0004722.1

Bool brakeTest_manu 0 Das Testen der Bremsen ist in der manuellen Betriebsart optio‐
nal.
1 In der manuellen Betriebsart bleibt der Roboter angehalten,
wenn die Bremsen nicht getestet sind, oder wenn der Brems‐
test-Timeout abgelaufen ist.
Bool brakeTest_auto 0 Der Test der Bremsen ist in der automatischen Betriebsart opti‐
onal.
1 In der automatischen Betriebsart bewegt sich der Roboter nur
mit reduzierter Geschwindigkeit, wenn die Bremsen nicht ge‐
testet sind.
Timer brakeTestWarning‐ 0 – 24d Zeit bis zum Auslösen der Warnung bezüglich des Bremstest-
Delay Timeouts.
Timer brakeTestTimeout‐ 0 – 24d Zeit zwischen Ausgabe der Timeout-Warnung und dem er‐
Delay zwungenen Anhalten oder der Reduzierung der Geschwindig‐
keit.
CS9 © Stäubli 2018 – D.280.947.02-C 83/104

84/104 © Stäubli 2018 – D.280.947.02-C CS9
6 - Inbetriebnahme
6 - INBETRIEBNAHME M0004723.1
EN ISO 13849-2 legt fest, wie die Sicherheitssysteme, die in Übereinstimmung

mit EN ISO 13849-1 entwickelt wurden, zu validieren sind. Dieses Kapitel ergänzt diese Norm mit de‐
taillierten Informationen über die zu validierenden roboterspezifischen Bedingungen, und gibt an, wie
die Validierungstests am besten am Roboter durchgeführt werden können. Anhang 7.1 enthält eine
Validierungscheckliste als Unterstützung für den Validierungsprozess.
6.1 - INFORMATIONEN ZUR VALIDIERUNG M0004724.1
Wie in EN ISO 13849-2 angegeben, sind einige Informationen für die Validierung der Implementierung
des Sicherheitskonzepts erforderlich. Die erforderlichen Informationen für die Validierung des Sicher‐
heitskonzepts umfassen Spezifikationen und Design-Beschreibungen für:
■ Schaltpläne der Sicherheitsschnittstellen:
Die Spannungsversorgung, die die Sicherheitsein- und -ausgänge des Roboters versorgt, ist inkl.
der Charakteristik ihrer Signale anzugeben.
■ Betriebsart:
Das Gerät, das die Betriebsart des Roboters festlegt, und die Geräte, die diese Betriebsart nutzen,
sind anzugeben.
■ Verkettung der Wiederanlaufsteuerung:
Es sind diejenigen Geräte anzugeben, die Quittierungssignale zum Wiederanlauf an den Roboter
senden, und diejenigen, die ein Quittierungssignal über den Wiederanlauf vom Roboter erhalten.
■ Not-Halt-Kette:
Es sind diejenigen Geräte anzugeben, die Not-Halt-Signale an den Roboter senden, und die, die
ein Not-Halt-Signal vom Roboter erhalten.
■ Schutzstopps:
Diejenigen Geräte, die Schutzstoppsignale an den Roboter senden, und die Geräte, die ein Schutz‐
stoppsignal vom Roboter erhalten, sind anzugeben. Die Kenndaten jedes einzelnen Schutzstopp‐
signals sind anzugeben (SS1/SS2, Wiederanlaufkontrolle, Aktivierung der Betriebsarten).
■ Begrenzende Sicherheitsfunktionen (Grenzwerte für Position und Geschwindigkeit):
Die Positions- und Geschwindigkeitsüberwachungsfunktionen sind mit ihrem jeweiligen Zweck, ih‐
ren Aktivierungssignalen (falls vorhanden) und ihren Auswirkungen zu beschreiben.
■ Trennabstände:
Die Trennabstände zwischen dem Roboter und den Schutzvorrichtungen sind anzugeben, inkl. der
maximalen Stoppzeit des Roboters, die zur Berechnung der Abstände benutzt wurde.
■ Eingeschränkter Arbeitsbereich:
Die Einschränkungen des maximalen Arbeitsbereichs des Roboters sind anzugeben, sowie die
Eckdaten, auf denen sie beruhen: sichere Positionsgrenzwerte, Anschläge, Umzäunungsstärke. Es
sind außerdem die Unterschiede zwischen den konfigurierten Robotergrenzwerten und den Robo‐
terstopppositionen in den ungünstigsten Fällen anzugeben. Ferner ist die von der Sicherheitsum‐
hausung maximal aufnehmbare Einschlagsenergie des Roboters anzugeben.
Die Validierung beruht darüber hinaus auf den Robotersicherheitsparametern, die im Robotersicher‐
heitsvalidierungsbericht des SafePMT-Tools aufgeführt sind (Siehe Kapitel 4.4). Es muss sichergestellt
werden, dass der Validierungsbericht, auf dem die Validierung beruht, mit der auf dem Roboter instal‐
lierten Sicherheitsversion übereinstimmt; dies kann durch Vergleich
von Program CRC und Configuration CRC überprüft werden (Siehe Kapitel 4.5).
CS9 © Stäubli 2018 – D.280.947.02-C 85/104

6 - Inbetriebnahme
6.2 - VALIDIERUNG DER ELEKTRISCHEN SCHNITTSTELLEN M0004726.1
Es muss sichergestellt werden, dass die Fehlererkennung an den Sicherheitssignalen mit dem ange‐
strebten Sicherheitsleistungsniveau kompatibel ist (Siehe Kapitel 3.3.2). Kurzschlüsse zwischen den si‐
cheren Ausgängen werden immer erkannt, doch die Erkennung von Kurzschlüssen zwischen den si‐
cheren Eingängen des Roboters hängt vom benutzten Sicherheitsprogramm ab.
■ Sichere Ausgänge:
Ein offener Kontakt an einem der 2 Ausgangssignale muss vom angeschlossenen Gerät erkannt
werden, damit die Anforderungen der Sicherheitskategorie 3 erfüllt sind.
■ Sicherheitseingänge:
Wenn Kurzschlüsse zwischen Eingangskontakten nicht von einem externen Gerät erkannt werden,
muss getestet werden, ob sie von den Robotersicherheitsfunktionen erkannt werden (wenn solche
Kurzschlüsse festgestellt werden, werden die Kurzschlüsse an 24V oder 0V auch immer erkannt).
6.3 - VALIDIERUNG DER SICHERHEITSFUNKTIONEN FÜR

STEUERUNGSSCHNITTSTELLEN .
6.3.1 - BETRIEBSART M0004727.1
Im Sicherheitskonzept muss die Schnittstelle festgelegt werden, die die Betriebsart des Roboters
steuert (SP2, WMS oder anderes externes Gerät).
Die Betriebsart kann getestet werden, indem geprüft wird, ob die auf dem SP2 angezeigte Betriebsart
mit der tatsächlichen Betriebsartauswahl in Einklang ist, und ob auch die Betriebsarten der verschie‐
denen Geräte in der Zelle damit übereinstimmen.
Der Schreibzugriff zu den einzelnen Betriebsarten muss für jedes Benutzerprofil, das einem einge‐
schränktem Zugriff unterliegt, überprüft werden.
6.3.2 - WIEDERANLAUFKONTROLLE M0004728.1
Im Sicherheitskonzept muss die Notwendigkeit für eine Wiederanlaufüberwachung für jeden mögli‐
chen Sicherheitsstopp festgelegt werden (siehe Kapitel 3.3.4.1 und 3.3.5.1), ebenso wie die Schnitt‐
stellen, von denen das Signal zum Wiederanlauf ausgelöst werden kann, sowie die Verkettung des
Wiederanlaufsignals zwischen den verschiedenen Geräten der Zelle.
Die Konformität der Wiederanlaufkontrolle mit dem Sicherheitskonzept muss für folgende Fälle verifi‐
ziert werden:
■ Wiederanlaufkontrolle nach Neustart der Steuerung.
■ Wiederanlaufkontrolle nach Umschalten der Betriebsart in eine automatische Betriebsart.
■ Wiederanlaufkontrolle nach Auslösung von Sicherheitsstopps, einschließlich eines Not-Halts.
6.4 - VALIDIERUNG DER SICHERHEITSHALT FUNKTIONEN .
6.4.1 - NOT-HALT M0004729.1
Es muss getestet werden, ob jeder Not-Halt in der Zelle unabhängig von der Betriebsart (manuell oder
automatisch) zu einem SS1-Stopp des Roboters mit entsprechender Wiederanlaufkontrolle führt. Die
vom Roboter ausgehenden oder weitergeleiteten Not-Halt-Signale (SP2, WMS, Not-Halt-Signal
an USIA) müssen die erwartete Auswirkung auf den Rest der Zelle aufweisen.
86/104 © Stäubli 2018 – D.280.947.02-C CS9

6 - Inbetriebnahme
6.4.2 - SCHUTZSTOPPS M0004730.1
Wie jede andere Sicherheitsstoppfunktion muss auch ein Not-Halt am besten dadurch validiert wer‐
den, dass überprüft wird, ob das Verhalten des Roboters "korrekt" ist und ob die vom Roboter initiier‐
ten oder übertragenen Stoppsignale die erwarteten Auswirkungen auf die Zelle haben.
Die Definition eines "korrekten" Verhaltens für Stoppfunktionen, die kein Not-Halt sind, muss im Si‐
cherheitskonzept festgelegt werden. Sie muss auch Angaben zu den Stoppkategorien (SS1/SS2), der
Art der Aktivierung (manuell/automatisch) und der Wiederanlaufkontrolle enthalten.
Die mit den Schutzstopps in Verbindung stehende Anhaltezeit muss im Rahmen der Validierung der
Sicherheitsabstände überprüft werden.
6.4.3 - ANHALTEN EXTERNER GERÄTE M0004731.1
Wenn das Sicherheitskonzept es erfordert, muss verifiziert werden, dass folgende Geräte, die von den
Robotersicherheitsausgängen gesteuert werden, angehalten werden, während sich der Roboter im Si‐
cherheitsstopp befindet:
■ Magnetventile des Roboters (wenn deren Sicherheitsüberwachung aktiviert ist).
■ Geräte, die an die sicheren Ausgänge USOA/USOB/USOC angeschlossen sind (wenn der Ausgang
als Aktivierungs-/Sperrsignal benutzt wird).
Wenn ein Sicherheitsausgang von der CPU gesteuert werden kann, kann der Test mit Hilfe eines Pro‐
gramms oder dem SP2 durchgeführt werden, um die Ausgänge anzusteuern und sicherzustellen, dass
das Kommando nicht mehr wirksam (und damit sicher) ist, wenn ein Sicherheitsstopp aktiv ist.
Wenn ein Sicherheitsausgang von einem Sicherheitsstatus des Roboters wie z.B. einem SS2, ei‐
nem SOS oder über den Status der Stromversorgung gesteuert wird, kann der Test durchgeführt wer‐
den, indem sichergestellt wird, dass die externen Geräte tatsächlich gesperrt sind, wenn sich der Ro‐
boter im spezifizierten Sicherheitszustand befindet.
6.5 - VALIDIERUNG DER SICHERHEITSABSTÄNDE M0004732.1
Die verschiedenen Sicherheitsabstände müssen zunächst validiert werden, indem überprüft wird, ob
die Berechnung des Sicherheitsabstands (z. B. gemäß EN ISO 13855) auf der Basis der im Validie‐
rungsbericht angegebenen Anhaltezeit erfolgt, zuzüglich 32 ms (Siehe Kapitel 3.3.7). Anschließend
muss überprüft werden, ob der Roboter in der Lage ist, fehlerfrei unter den anspruchsvollsten Anwen‐
dungsbedingungen zu stoppen, wie zum Beispiel in EN ISO 13855 Anhang D beschrieben.
6.6 - VALIDIERUNG DER BEGRENZENDEN SICHERHEITSFUNKTIONEN

M0004733.1
Das Sicherheitskonzept muss die erforderlichen begrenzenden Sicherheitsfunktionen mit ihrem Zweck
(Reduktion der Anhaltezeit, Einschränkung des Arbeitsbereichs bzw. der Einschlagsenergie des Robo‐
ters, etc.), den Aktivierungsbedingungen und ihren Auswirkungen auf die übrige Peripherie in der Zelle
festlegen.
6.6.1 - AKTIVIERUNG DER SICHERHEITSÜBERWACHUNG M0004734.1
Die Sicherheitsüberwachung muss wie in Kapitel 5.1 beschrieben aktiviert werden, um die begrenzen‐
den Sicherheitsfunktionen zu aktivieren.
Die Parameter safeEncoder_manu und safeEncoder_auto können durch Deaktivieren des Feedbacks
des sicheren Encoders bzw. mit Hilfe des Ausgangs RSI9 QnoSafePos getestet werden: dies zwingt
den Roboter zu einem Sicherheitsstopp.
Die Sicherheitsparameter referencing_manu und referencing_auto können durch Reset der sicheren
Referenzierung bzw. mit Hilfe des Ausgangs RSI QresetRef getestet werden. Daraufhin wird in der Be‐
triebsart "Automatik" die Geschwindigkeit des Roboters reduziert (RSI9-Eingang für hohe Geschwin‐
digkeit = OFF), in der Betriebsart "Manuell" wird der Roboter angehalten.
CS9 © Stäubli 2018 – D.280.947.02-C 87/104

6 - Inbetriebnahme
Der Parameter profile_activate kann durch Abziehen des Ethernetkabels an J207/208 getestet werden.
Dadurch wird der Roboter zu einem SS1-Stopp gezwungen.
safeEncoder_manu Siehe Kapitel 5.1.1
safeEncoder_auto Siehe Kapitel 5.1.1
profile_activate Siehe Kapitel 5.1.3
6.6.2 - AKTIVIERUNG DER SICHERHEITSBEGRENZUNGEN M0004737.1
Es ist wichtig sicherzustellen, dass die Positions- und Geschwindigkeitsgrenzwerte wie vom Sicher‐
heitskonzept vorgegeben aktiviert sind, und zwar:
■ anhand der Betriebsart (manuell/automatisch).
■ anhand der Aktivierungssignale USIA, USIB, USIC oder USID.
6.6.3 - ÜBERWACHUNGSPUNKTE M0004738.1
Die bei der Berechnung der Grenzwerte für die Sicherheitsfunktionen SLPc und SLSc benutzten Über‐
wachungspunkte müssen auf die Vorgaben des Sicherheitskonzepts hin überprüft werden.
Die Koordinaten des TCP und der übrigen Punkte können anhand identifizierter Positionen in der Zelle
validiert werden.
Die X, Y, Z-Koordinaten des TCP sowie der anderen Punkte können dadurch überprüft werden, dass
jeder dieser Punkte zu einer bekannten kartesischen Position in der Zelle verlegt und anschließend mit
Hilfe der SafePMT-Scope-Ansicht mit den TCP/guard-Koordinaten aus SafePMT verglichen wird (Sie‐
he Kapitel 4.6.1). Die Access-ID der 4 Überwachungspunkte beginnt bei 352 (350 ist die ID des TCP).
I0003964
Abbildung 6.1
88/104 © Stäubli 2018 – D.280.947.02-C CS9

6 - Inbetriebnahme
6.6.4 - POSITIONSBESCHRÄNKUNGEN M0004739.1
Die Positionsüberwachung muss validiert werden, indem zunächst überprüft wird, dass die Positions‐
grenzwerte denjenigen Grenzwerten entsprechen, die im Zellen-Layout festgelegt sind. Jeder Grenz‐
wert kann dann durch Verifikation einer entsprechenden Änderung des Sicherheitsstatus bei Über‐
schreiten des Grenzwerts überprüft werden. Um Sicherheitsstopps bei jedem Erreichen eines Grenz‐
werts zu vermeiden, sollte die Validierung am besten im Wartungsmodus durchgeführt werden (oder in
einer manuellen Betriebsart, wenn der Grenzwert in der manuellen Betriebsart deaktiviert ist).
■ Die sichere Referenzierung des Roboters muss durchgeführt werden (Siehe Kapitel 3.3.9).
■ Im Rahmen von Achsbegrenzungen müssen die minimalen und maximalen Achspositio‐
nen jointLimits_minPosJx und jointLimits_maxPosJx überprüft werden; das Feedback erfolgt über
den digitalen Systemeingang IselOK RSI9 (ON wenn innerhalb der Grenzwerte und OFF wenn au‐
ßerhalb). Es muss sowohl für die manuellen als auch für die automatischen Betriebsarten verifiziert
werden, ob die Überwachung auch in der manuellen Betriebsart (jointLimits_manu=1) aktiv sein
soll.
■ Die kartesischen Grenzwerte (sichere Zonen) können mit Hilfe eines bereits validierten Überwa‐
chungspunkts verifiziert werden (Siehe Kapitel 6.6.3). Anschließend ist jeder der Parameter, die die
Zone definieren, wie folgt zu überprüfen:
- Quader: min. und max. X/Y/Z-Koordinaten.
- Zylinder: min. und max. Z-Koordinaten und diametral gegenüberliegende Punkte auf dem Radi‐
us.
- vertikale Ebenen: 2 Punkte mit ausreichend Abstand voneinander.
Das Feedback erfolgt über den digitalen Eingang IzoneX RSI9 (ON wenn die Überwachung der Ge‐
schwindigkeit in der Zone aktiviert ist, OFF wenn sie deaktiviert ist). Izone3 und Izone4 entsprechen
den Zonen, die USIB und USIC zugeordnet sind.
jointLimits_minPosJx Siehe Kapitel 5.4.1
jointLimits_maxPosJx Siehe Kapitel 5.4.1
jointLimits_manu Siehe Kapitel 5.4.1
6.6.5 - GESCHWINDIGKEITSBESCHRÄNKUNGEN M0004741.1
Die Verifikation der Geschwindigkeitsbeschränkungen basiert auf den Werten im Validierungsbericht.

Sie hängt vom Zweck der Geschwindigkeitsbeschränkung ab: Die während der Verifikation benutzte
Geschwindigkeit muss mit den Geschwindigkeitsgrenzwerten aus dem Validierungsbericht verglichen
werden.
■ Geschwindigkeitsgrenzwerte, die dazu dienen, die Anhaltezeit zu reduzieren, werden zusammen
mit den Sicherheitsabständen überprüft (Siehe Kapitel 6.5).
■ Geschwindigkeitsgrenzwerte, die dazu dienen, den Anhalteweg im ungünstigsten Fall zu reduzie‐
ren, werden zusammen mit dem eingeschränkten Arbeitsbereich überprüft (Siehe Kapitel 6.7).
■ Geschwindigkeitsgrenzwerte, die dazu dienen, die maximale Einschlagsenergie des Roboters zu
reduzieren, werden zusammen mit dem eingeschränkten Arbeitsbereich überprüft (Siehe Kapi‐
tel 6.7).
CS9 © Stäubli 2018 – D.280.947.02-C 89/104

6 - Inbetriebnahme
6.7 - VALIDIERUNG DES EINGESCHRÄNKTEN ARBEITSBEREICHS M0004743.1
Die Überprüfung des eingeschränkten Arbeitsbereichs muss anhand konservativer Simulationsdaten

erfolgen, da die Testbedingungen des ungünstigsten Falls nicht künstlich herbeigeführt werden kön‐
nen.
Die in Kapitel 3.3.8.2 beschriebenen Simulationsdaten können durch Vergleich der Sicherheitsparame‐
ter (max. Achsgeschwindigkeit, max. Achsverzögerung) mit den Werten des Validierungsberichts verifi‐
ziert werden; dabei muss sichergestellt werden, dass die Nutzlastdaten den Bedingungen des ungüns‐
tigsten Falls entsprechen.
Die Grenzen des eingeschränkten Arbeitsbereichs werden durch Hinzufügen der maximalen Entfer‐
nung zu den SLP-Grenzwerten berechnet. Der eingeschränkte Arbeitsbereich kann dann vor Ort in
Übereinstimmung mit dem Sicherheitskonzept validiert werden.
Wenn der eingeschränkte Arbeitsbereich zum Schutz von Personen eingerichtet wurde, muss ein re‐
gelmäßiger Bremstest wie in Kapitel 3.3.10 beschrieben vorgesehen werden.
6.8 - VALIDIERUNG DER SICHERHEITSFUNKTIONEN DER AUSGÄNGE M0004744.1

Die Sicherheitsausgänge, die als Stoppsignale für andere Geräte dienen, werden mit Hilfe der Sicher‐
heitsfunktionen der Ausgänge validiert (Siehe Kapitel 6.4). Die Sicherheitsausgänge, die für die Be‐
triebsarten- und die Wiederanlaufsteuerung benutzt werden, werden mit Hilfe der Kontroll-Sicherheits‐
funktionen getestet (Siehe Kapitel 6.3).
Andere Sicherheitsfunktionen für die Ausgänge, wie z.B. SLSD-OUT, können durch Prüfen der Auswir‐
kungen verschiedener Zustände des Ausgangs auf die angeschlossenen Geräte überprüft werden.
6.9 - VALIDIERUNG DER DIAGNOSEFUNKTIONEN .
6.9.1 - ÜBERPRÜFUNG DER REFERENZIERUNG M0004745.1
Die Überprüfung der Referenzierung muss wie in 3.3.9 beschrieben implementiert werden.
Sie kann durch Erzwingen eines neuen Referenzierungstests mit Hilfe des Aus‐
gangs QforceRefTest RSI9 überprüft werden.
Die Unabhängigkeit der zwei sicheren Referenzpositionen muss darufhin überprüft werden, dass wenn
die 1. Referenzierung an einer falschen Position vorgenommen wurde (z. B. falsche Armkonfiguration),
die Referenzierung an der 2. Position nicht möglich ist.
Es sind Maßnahmen zu treffen, die dazu dienen, nach einer Kollision des Roboters einen Wiederanlauf
bei voller Geschwindigkeit zu verhindern.
90/104 © Stäubli 2018 – D.280.947.02-C CS9

6 - Inbetriebnahme
6.9.2 - BREMSTEST M0004746.1
Aus Sicherheitsgründen müssen die Bremsen 100 mal häufiger getestet werden, als sie zum Einsatz
kommen. Wir empfehlen, alle 24h einen Bremstest vorzusehen. Ein häufigerer Bremstest ist erforder‐
lich, wenn die Zelle regelmäßig abgeschaltet wird, und der Roboter somit mit seinen Bremsen ange‐
halten werden muss. Im Sicherheitskonzept muss die Notwendigkeit eines Bremstests in den manuel‐
len und automatischen Betriebsarten festgelegt und das Risiko von Roboterabbremsungen bewertet
werden.
Die Konformität der Aktivierung des Bremstests (brakeTest_auto, brakeTest_manu) und des ent‐
sprechenden Zeitraums (brakeTestTimeoutDelay) mit dem Sicherheitskonzept ist zu überprüfen. Der
Parameter brakeTestWarningDelay hilft dabei, eine Sicherheits-Fehlermeldung zu verhindern, wenn
das Timeout-Intervall überschritten wird: die Differenz zwi‐
schen brakeTestWarningDelay und brakeTestTimeoutDelay ist nicht sicherheitsrelevant.
brakeTest_auto Siehe Kapitel 5.7.2
brakeTest_manu Siehe Kapitel 5.7.2
brakeTestTimeoutDelay Siehe Kapitel 5.7.2
brakeTestWarningDelay Siehe Kapitel 5.7.2
6.10 - VALIDIERUNG DER SICHERHEITSMASSNAHMEN .
6.10.1 - SICHERHEITSAUSSTATTUNG M0004747.1
Im Sicherheitskonzept müssen die erforderlichen sicherheitsrelevanten Ausrüstungsgegenstände so‐

wie die Maßnahmen zur angemessenen Benutzung durch das betroffene Personal angegeben werden.
Zu dieser Ausrüstung können gehören:
■ der Wartungsstecker, der dazu dient, Integrations- und Wartungsarbeiten sicherer zu machen,
wenn die Schutzvorrichtungen der Zelle nicht betriebsbereit sind oder deaktiviert werden müssen.
■ die Bremsenlösebox RBR, möglicherweise inkl. einer PELV/SELV-Stromversorgung, die dazu dient,
die Bremsen lösen zu können, wenn die Steuerung nicht betriebsbereit ist.
■ ein Platz zur Aufbewahrung des SP2, wenn dieses nicht ständig an einen Roboter angeschlossen
ist.
6.10.2 - SICHERHEITSAUTORISATION UND -QUALIFIKATION M0004748.1
Im Sicherheitskonzept müssen die Maßnahmen zur Kontrolle des Zugangs zu den sicherheitsrelevan‐
ten Funktionen angegeben werden, wie zum Beispiel:
■ Zugang zu den Maschinendateien, insbesondere des Sicherheitsprogramms und des Sicherheits‐
konfigurationstools.
■ Benutzerprofile des Roboters, die der Überwachung der Ausführung bestimmter Funktionen auf
dem SP2 dienen.
■ Wartungsarbeiten, die eine Sicherheitsqualifikation erfordern (Auswechseln der Sicherheitssteue‐
rung).
6.10.3 - VALIDIERUNG DER MASCHINENAUFZEICHNUNGEN M0004749.1
Neben den Spezifikations- und Designinformationen müssen die Maschinenaufzeichnungen die für die
Validierung erforderlichen Informationen, die Validierungstestberichte, sowie diejenigen Dateien, die für
die sichere Wartung der Maschine erforderlich sind, enthalten.
■ Der abschließende Validierungsbericht für den Roboter muss eindeutig gekennzeichnet sein, und
seine CRCs sowie sein Update-Zähler müssen den CRCs und Update-Zählern am Roboter am En‐
de der Validierungsphase entsprechen.
■ Die Maschinenaufzeichnungen müssen eine Sicherungskopie des Sicherheitsprogramms sowie
des Sicherheitskonfigurationstools enthalten.
CS9 © Stäubli 2018 – D.280.947.02-C 91/104

6 - Inbetriebnahme
6.11 - WIEDERINBETRIEBNAHME M0004750.1
Wenn bestimmte Sicherheitsparameter während oder nach einer Sicherheitsvalidierung geändert wer‐
den müssen, muss eine neue Validierung durchgeführt werden; bereits durchgeführte Tests, deren Er‐
gebnisse nicht von der Änderung betroffen sind, müssen nicht erneut durchgeführt werden.
Die Beschreibung aller Sicherheitsparameter muss eindeutig genug sein, um deren Auswirkungen auf
die Validierungstests bewerten zu können. Bei Zweifeln muss die vollständige, den Parameter betref‐
fende Sicherheitsfunktion erneut getestet werden.
Nach der Wiederinbetriebnahme müssen die Sicherheitsaufzeichnungen folgende Elemente enthalten:
■ die verschiedenen Versionen des Validierungsberichts für den Roboter, die als Grundlage für die
Validierungstests dienen.
■ die Liste der zwischen den einzelnen Versionen des Robotervalidierungsberichts geänderten Para‐
meter.
■ die Liste der Validierungstests, die als nicht von der Änderung betroffen gelten, und daher nicht
wiederholt wurden.
92/104 © Stäubli 2018 – D.280.947.02-C CS9

7 - Anhang
7 - ANHANG .
7.1 - CHECKLISTE FÜR DIE INBETRIEBNAHME M0004725.1
Informationen zur Validierung (siehe Kapitel 6.1):

Ka‐ Anzuwendende Maßnahme Si‐ Methode
pitel cher‐
heits‐ Test Ab‐
para‐ gleich
meter
6.1 Das Sicherheitskonzept legt die Kontrolle der Betriebsart, den Safety X
Restart, die Nothaltkette, die Sicherheitshalts, die Positions- und die
Geschwindigkeitsüberwachung mit Trennabständen und einge‐
schränktem Arbeitsbereich fest.
Program CRC und Configuration CRC des Validierungsberichts des X
Roboters entsprechen für die Validie‐
rung RSI, Program CRC und Configuration CRC des Roboters.
Validierung der elektrischen Schnittstellen (siehe Kapitel 6.2):

Kapitel Anzuwendende Maßnahme Sicherheits‐ Methode
parameter
Test Abgleich
6.2 Offene Kontakte an den sicheren Ausgängen werden er‐ X X
kannt.
Kurzschlüsse an den sicheren Eingängen werden erkannt. X X
Validierung der Sicherheitsfunktionen für Steuerungsschnittstellen (siehe Kapitel 6.3):

Kapi‐ Anzuwendende Maßnahme Sicherheitspara‐ Methode
tel meter
Test Ab‐
gleich
6.3.1 Jede Betriebsart kann wie im Sicherheitskonzept defi‐ mode_WMS, mo‐ X X
niert ausgewählt werden. de_MCP
mode_manualFast
Damit die Betriebsart an allen angeschlossenen Gerä‐ USOB_mode X X
ten gleich ist, wird sie an diese weitergemeldet..
6.3.2 Der Safety Restart des Roboters ist so konfiguriert, wie restart_mcpAck X X
im Sicherheitskonzept festgelegt. restart_enableAck
USOC_ack
Wenn der Safety Restart in der Robotersicherheit deak‐ restart_enable‐ X X
tiviert ist, wird er anderweitig zum Neustarten der Steu‐ Ack=0
erung, für Betriebsartenänderungen, Notaus und andere
Sicherheitshalts implementiert.
CS9 © Stäubli 2018 – D.280.947.02-C 93/104

7 - Anhang
Validierung der Sicherheitshalt Funktionen (siehe Kapitel 6.4):

Kapi‐ Anzuwendende Maßnahme Sicherheitspa‐ Methode
tel rameter
Test Ab‐
gleich
6.4.1 Jeder Not-Halt in der Zelle führt zu einem SS1-Stopp des USIA_eStop mo‐ X X
Roboters mit notwendigem Safety Restart, sowohl in den de_WMS
manuellen als auch in den automatischen Betriebsarten.
Der MCP-Not-Halt und alle anderen an den Roboter ange‐ USOA_eStop X X
schlossenen Not-Halt-Geräte führen zu einem SS0- USOA_eStopWi‐
oder SS1-Stopp an anderen Ausrüstungen mit Safety-Re‐ thAck
start.
6.4.2 Jeder Sicherheitshalt in der Zelle stoppt den Roboter unter USIx_manu, X X
den erwarteteten Bedingungen. USIx_auto,
USIx_ack,
USIx_ss1=1
oder
USIx_ss2=1
6.4.3 Die sicheren Ausgänge USOA/USOB/USOC stoppen andere USOA_SS2 X X
Ausrüstungen, wie im Sicherheitskonzept festgelegt. USOC_SS2
USOC_power
USOx_VAL3
valves_safe‐
Control
Wenn die CPU USOA/USOB/USOC oder Ventile steuert, USOx_VAL3 X X
werden diese bei Sicherheitshalts entsprechend dem Si‐ valves_safe‐
cherheitskonzept deaktiviert. Control
Validierung der Sicherheitsabstände (siehe Kapitel 6.5):

Kapi‐ Anzuwendende Maßnahme Sicherheitspara‐ Methode
tel meter
Test Ab‐
gleich
6.5 Die im Sicherheitskonzept angegebenen Sicherheitsab‐ USIx_maxStop‐ X
stände errechnen sich aus der Sicherheitsabschalt‐ Time
zeit +32ms.
Mit einer reduzierten Stoppzeit kann der Roboter auch in X
den ungünstigsten Situationen fehlerfrei stoppen.
94/104 © Stäubli 2018 – D.280.947.02-C CS9

7 - Anhang
Validierung der begrenzenden Sicherheitsfunktionen (siehe Kapitel 6.6):

Kapi‐ Anzuwendende Maßnahme Sicherheitsparame‐ Methode
tel ter
Test Ab‐
gleich
6.6.1 Die für SOS, SS2 oder SLSj erforderliche Überwachung safeEncoder_auto X X
wird wie im Sicherheitskonzept definiert aktiviert. safeEncoder_manu
Die für SLP, SLSc oder SZM erforderliche Überwachung referencing_auto X X
wird wie im Sicherheitskonzept definiert aktiviert. referencing_manu
Fall ein FSoE Master vorhanden ist, führt ein Kommuni‐ profile_activate X
kationsausfall mit ihm zu einem SS1-Stopp des Robo‐
ters.
6.6.2 Die Positions- und Geschwindigkeitsüberwachungen USIX_SLS, USIB_zo‐ X
werden mit den Betriebsarten und den sicheren Eingän‐ ne, USIC_zone, zo‐
gen aktiviert, wie im Sicherheitskonzept definiert. ne1_manu, zo‐
ne2_manu, USIx_au‐
to, USIx_manu
6.6.3 Die Koordinaten von TCP und der Überwachungspunkte tool1_X / Y / Z X
stimmen mit den Positionen im Sicherheitskonzept übe‐ tool1Point1_X / Y / Z
rein. tool1Point2_X / Y / Z
tool1Point3_X / Y / Z
Die am TCP und am Überwachungspunkt berechnete si‐ tool1Point4_X / Y / Z X
chere Position entspricht einer bekannten Position in der
Zelle.
6.6.4 Die min. und max. Achsgrenzwerte stimmen mit den jointLimits_minPosJx X X
Grenzwerten des Sicherheitskonzepts sowohl in der ma‐ jointLimits_max‐
nuellen als auch in der automatischen Betriebsart übe‐ PosJx
rein. jointLimits_manu
Die Grenzwerte jedes Volumens (Box/Zylinder/Ebene) zoneaB_X, zone‐ X X
stimmen mit den Grenzwerten des Sicherheitskonzepts aB_Y,
überein; die Überwachung wird an der richtigen Seite zoneaB_Z, zone‐
der Grenzwerte aktiviert. aB_p1,
zoneaB_p2, zone‐
aB_p3,
zoneaB_p4
6.6.5 Die Geschwindigkeitsgrenzwerte entsprechen dem Si‐ maxCartVel_auto X
cherheitskonzept. zonex_maxCartVel
maxCartVel_USIx
maxVelAuto_Jx
zonei_maxVelJx
USIx_maxVelJx
Die im Sicherheitskonzept verwendete maximale Ener‐ maxVelAuto_Jx X
gie des Roboters wird anhand der maximalen Achsge‐
schwindigkeiten berechnet.
CS9 © Stäubli 2018 – D.280.947.02-C 95/104

7 - Anhang
Validierung des eingeschränkten Arbeitsbereichs (siehe Kapitel 6.7):

Kapi‐ Anzuwendende Maßnahme Sicher‐ Methode
tel heitspara‐
meter Test Ab‐
gleich
6.7 Die Grenzwerte des eingeschränkten Arbeitsbereichs oder die X
Einschlagsenergie des Roboters werden anhand der richtigen
Sicherheits- und Nutzlastparameter berechnet.
Die Grenzwerte des eingeschränkten Arbeitsbereichs oder die X
Einschlagsenergie des Roboters entsprechen den im Sicher‐
heitskonzept festgelegten Grenzwerten.
Wenn eingeschränkte Grenzwerte festgelegt werden, versetzt brake‐ X X
das Zurücksetzen des Bremsentests den Roboter in eine redu‐ Test_auto
zierte Geschwindigkeit.
Validierung der Sicherheitsfunktionen der Ausgänge (siehe Kapitel 6.8):

Kapitel Anzuwendende Maßnahme Sicherheitsparame‐ Methode
ter
Test Abgleich
6.8 Alle noch nicht validierten sicheren Ausgänge müs‐ USOB_SLSD X X
sen dem Sicherheitskonzept entsprechend validiert
werden.
Validierung der Diagnosefunktionen (siehe Kapitel 6.9):

Kapi‐ Anzuwendende Maßnahme Sicherheitspa‐ Methode
tel rameter
Test Ab‐
gleich
6.9.1 Die Referenzierungspositionen verhindern die Möglichkeit refPos1_Jx, ref‐ X X
der Referenzierung mit einer falschen Armkonfiguration. Pos2_Jx
Die Aktivierung und das Timeout des Referenzierungstests referencingTi‐ X
werden wie im Sicherheitskonzept definiert konfiguriert. meout
refWarningDelay
refTimeoutDelay
Es sind Maßnahmen zu ergreifen, um nach einem Robo‐ X
terzusammenstoß einen Neustart mit voller Geschwindig‐
keit zu verhindern.
6.9.2 Der Bremsentest ist aktiviert, um Risiken durch defekte brakeTest_auto X
Bremsen zu verhindern, wie in 3.3.10 definiert. brakeTest_manu
Das Zeitintervall für den Bremsentest wird gemäß den Ri‐ brakeTestWar‐ X
siken festgelegt, wie in 3.3.10 definiert. ningDelay
brakeTestTi‐
meoutDelay
96/104 © Stäubli 2018 – D.280.947.02-C CS9

7 - Anhang
Validierung der Sicherheitsmaßnahmen (siehe Kapitel 6.10):

Kapitel Anzuwendende Maßnahme Sicher‐ Methode
heits‐
para‐ Test Ab‐
meter gleich
6.10.1 Eine Bremsenlösebox (RBR) steht mit/ohne externe 24 V-Strom‐ X

versorgung zur Verfügung, wie im Sicherheitskonzept definiert.
Für das SP2 ist ein Lagerplatz festgelegt an dem es zu verstauen
ist, wenn es nicht an der Steuerung angeschlossen ist..
Ein Maintenance Plug steht für Inbetriebnahme- und Wartungsar‐ X X
beiten zur Verfügung. Das Inbetriebnahme- und Wartungsperso‐
nal wird über dessen Funktion informiert, um das Überbrücken
der Sicherheitssignale zu verhindern.
6.10.2 Der Zugang zur Software zur Sicherheitskonfiguration ist auf Per‐ X X
sonen mit entsprechenden Fähigkeiten beschränkt.
Die Nutzerprofile am Roboter werden im Hinblick auf die Anpas‐ X X
sung der Zugangsrechte an den Nutzer festgelegt.
6.10.3 Die Maschinendokumentation umfasst das Sicherheitskonzept, X
die erstellten Validierungsberichte und die Testergebnisse.
Der endgültige Validierungsbericht des Roboters ist eindeutig X X
identifiziert, seine CRCs- und der Aktualisierungszähler muss mit
den CRCs und dem Aktualisierungszähler des Roboters am Ende
der Validierungsphase übereinstimmen..
Die Maschinendokumentation umfasst ein Backup des Sicher‐ X
heitsprogramms und der Software zur Sicherheitskonfiguration.
6.11 Die Validierungsdokumentation umfasst die verschiedenen Versi‐ X
onen des für die Tests benutzten Validierungsberichts mit den je‐
weiligen Unterschieden sowie die Version, die als Referenz für je‐
den Validierungstest verwendet wurde.
7.2 - RSI9 IOS M0004735.1
Alle RSI9 IOs-Adressen beginnen mit Rsi9IO\.
7.2.1 - BENUTZER M0004736.1
Bezeichnung Adresse Beschreibung (Ausgänge)

IsignalA IsignalA : Die mit USIA verknüpfte Sicherheitsfunktion ist aktiviert.
IsignalB IsignalB : Die mit USIB verknüpfte Sicherheitsfunktion ist aktiviert.
IsignalC IsignalC : Die mit USIC verknüpfte Sicherheitsfunktion ist aktiviert.
IsignalD IsignalD : Die mit USID verknüpfte Sicherheitsfunktion ist aktiviert.
Izone1 Izone1 : Die mit der Zone 1 verknüpfte Geschwindigkeitsbegren‐
zung ist aktiviert.
zung ist aktiviert.
CS9 © Stäubli 2018 – D.280.947.02-C 97/104

7 - Anhang

zung ist aktiviert.
zung ist aktiviert.
Service mode IserviceMode : Der Maintenance-Modus ist aktiv.
Waiting restart IwaitingRestart : Safety Reset(manuelles Zurücksetzen) erwartet.
Enabling device IenablingDev : Zustimmtaste ist betätigt und wird getestet.
MPC plug ImcpPlug : Der J103 MCP-Stecker ist angeschlossen.
MCP removal ImcpRemoval : Anforderung zum Entfernen des SP2.
Referencing time‐ IrefWarning : Referenzierung muss erneut geprüft werden.
out
Brake test timeout IbrakeTestWarn : Bremsen müssen erneut getestet werden.
Brake test OK IbrakeTestOK : Der laufende Bremsentest ist OK.
Referencing OK IreferencingOK : Die laufende Referenzierung ist OK.

usoA1(J102-1) QusoA1 usoA1 Ausgang ansteuern (wenn aktiviert).
usoA2(J102-2) QusoA2 usoA2 Ausgang ansteuern (wenn aktiviert).
usoB1(J102-5) QusoB1 usoB1 Ausgang ansteuern (wenn aktiviert).
usoB2(J102-6) QusoB2 usoB2 Ausgang ansteuern (wenn aktiviert).
usoC1(J102-9) QusoC1 usoC1 Ausgang ansteuern (wenn aktiviert).
usoC2(J102-10) QusoC2 usoC2 Ausgang ansteuern (wenn aktiviert).
Qrestart Qrestart Softwareeingang für Safety Restart (falls aktiviert).
QmcpRemoval QmcpRemoval Anforderung zum Ersetzen des SP2 durch Überbrückungsstecker.
QsosEnable QsosEnable Anforderung eines SS2-Stopp beim Loslassen des SP2-Zustimm‐
tasters (nur möglich, wenn die Antriebe bereits eingeschaltet sind)..
7.2.2 - SYSTEM M0004740.1

Enabling 1 Ienabling1 Zustand des J103-7 Signals.
Enabling 2 Ienabling2 Zustand des J103-2 Signals.
Mcp eStop 1 ImcpEstop1 Zustand des J103-5 Signals.
Mcp eStop 2 ImcpEstop2 Zustand des J103-3 Signals.
WMS local IwmsAutoL Zustand des J101-1 Signals.
WMS remote IwmsAutoR Zustand des J101-2 Signals.
98/104 © Stäubli 2018 – D.280.947.02-C CS9

7 - Anhang

WMS manu IwmsManuS Zustand des J101-3 Signals.
WMS restart IwmsRestart Zustand des J101-4 Signals.
usiA1 IusiA1 Zustand des J100-1 Signals.
usiA2 IusiA2 Zustand des J100-2 Signals.
usiB1 IusiB1 Zustand des J100-5 Signals.
usiB2 IusiB2 Zustand des J100-6 Signals.
usiC1 IusiC1 Zustand des J100-9 Signals.
usiC2 IusiC2 Zustand des J100-10 Signals.
usiD1 IusiD1 Zustand des J100-13 Signals.
usiD2 IusiD2 Zustand des J100-14 Signals.
Power disabled Isto1 : Antriebe abgeschaltet. : Antriebe eingeschaltet.
Safe Torque Off Isto2 : STO aktiviert. : STO deaktiviert.
Ivalves Ivalves : Ventile werden von VAL 3 gesteuert. : Ventile sind deakti‐
viert.
usoA1 (J102-1) IusoA1 Zustand des sicheren Ausgangs USOA1.
usoA2 (J102-2) IusoA2 Zustand des sicheren Ausgangs USOA2.
usoB1 (J102-5) IusoB1 Zustand des sicheren Ausgangs USOB1.
usoB2 (J102-6) IusoB2 Zustand des sicheren Ausgangs USOB2.
usoC1 (J102-9) IusoC1 Zustand des sicheren Ausgangs USOC1.
usoC2 (J102-10) IusoC2 Zustand des sicheren Ausgangs USOC2.
Safe stop 1 Iss1 : Ein SS0- oder SS1-Stopp ist aktiv.
Safe stop 2 Iss2 : Ein Sicherheitshalt ist aktiv (SS0, SS1 oder SS2).
Fast speed IfastSpeed : Hohe Geschwindigkeit ist zulässig. : Nur niedrige Ge‐
schwindigkeit.
Brake Contro Isbc : Die SBC-Sicherheitsfunktion ist aktiv (Bremsen geschlossen).
Safe position IsafePos : Sichere Referenzierung ist aktiv (die Sicherheitsfunktio‐
nen SS2, SLP, SLS, SZM sind aktiv).
Safe velocity IsafeVel : Sichere Referenzierung nicht durchgeführt, Encoder-Feedback
ist OK (SS2 und SLSj-Sicherheitsfunktionen sind aktiviert).
Safe recovery IsafeRec : Sichere Referenzierung muss geprüft werden.
CS9 © Stäubli 2018 – D.280.947.02-C 99/104

7 - Anhang

QforceRefTest QforceRefTest Rücksetzen der Referenzierung, um eine neue sichere Referenzierung
zu erzwingen.
QresetRef QresetRef Rücksetzen der sicheren Referenzierung.
QnoSafePos QnoSafePos Fehler im Feedback des sicheren Encoders ignorieren.
QrefPos1 QrefPos1 Anforderung, das sichere Referenzieren an der ersten Referenzpositi‐
on durchzuführen.
QrefPos2 QrefPos2 Anforderung, das sichere Referenzieren an der zweiten Referenzposi‐
tion durchzuführen..
Bezeichnung Adresse Beschreibung (analoge Eingänge)

IBstatusSS1 IBstatusSS1 Code für den aktuellen SS1-Stopp - 0, wenn kein SS1-Stopp.
IBdiagSS1 IBdiagSS1 Code für den SS1-Stopp, der die Antriebe abgeschaltet hat (wird
mit dem nächstmaligen Einschalten der Antriebe auf 0 zurückge‐
setzt).
IBdiagAlarm IBdiagAlarm Code für aktuellen Sicherheitsalarm. Zur Wiederherstellung ist ein
Neustart erforderlich.
Temperature IWtemperature Temperatur der RSI9-Karte (1) .
Status IBstatus Zustand der RSI-Karte.
Error code IWerrorCode Fehlercode der RSI-Karte.
Upload counter IWuploadCounter Upload-Zähler der RSI-Sicherheitsapplikation.
(1) Die Kartentemperatur muss unter 72°C bleiben.
RSI-Zustand Beschreibung
Code Bezeichnung
0 NO_COMM
Keine Kommunikation zwischen RSI9 und CPU.
4 RUNNING
RSI9 läuft.
5 STOPPED
RSI9 von SafePMT gstoppt: Neustart über SafePMT .
6 FATAL ERROR
RSI9 mit Fehlercode gestoppt: nach Behebung der Fehlerursache die
Steuerung zur Wiederherstellung neu starten.
7 ALARM
RSI9 mit Fehlercode gestoppt: nach Behebung der Fehlerursache 'Upda‐
te' an der Steuerung zur Wiederherstellung drücken.
8 STANDALONE
RSI9 läuft im Standalone-Betrieb (DSI9 nicht für funktionale Sicherheit ge‐
nutzt).
1 INIT_START interne RSI9-Initialisierungszustände.
2 INIT_CHECK
3 INIT_BUS
7.3 - DSI9 E/A (SYSTEM) M0004742.1
Alle RSI9-Adressen beginnen mit DsiIO\
100/104 © Stäubli 2018 – D.280.947.02-C CS9

7 - Anhang

DSI temperature dsi_temp Temperatur der DSI9-Karte. (1)
Motor 1 temp. motorProbe1_temp Temperatur Motor 1 .
Encoder 1 temp. encoder1_temp Temperatur Encoder 1. (2)
DSI state dsi_state Zustand der DSI-Karte.
DSI error code dsi_errorCode Fehlercode der DSI-Karte.
(1) Die Kartentemperatur muss zwischen 0°C und 72°C bleiben.
(2) Die Encoder-Temperatur muss unter 110°C bleiben.
DSI-Zustand Beschreibung
Code Bezeichnung
0 NO_COMM
Keine Kommunikation zwischen DSI9 und CPU.
4 RUNNING
DSI9 läuft.
6 FATAL ERROR
DSI9 mit Fehlercode gestoppt: nach Behebung der Fehlerursache die
Steuerung zur Wiederherstellung neu starten.
7 ALARM
DSI9 mit Fehlercode gestoppt: nach Behebung der Fehlerursache 'Upda‐
te' an der Steuerung zur Wiederherstellung drücken.
8 STANDALONE
DSI9 im Standalone-Betrieb (keine Kommunikation mit RSI9). RBR ab‐
schalten oder entfernen, dann 'Update' auf der Steuerung zur Wiederherstel‐
lung drücken.
CS9 © Stäubli 2018 – D.280.947.02-C 101/104

7 - Anhang
DSI-Zustand Beschreibung
Code Bezeichnung
1 INIT_SYNC interne DSI9-Initialisierungszustände.
2 INIT_CHK1
3 INIT_START
5 INIT_CONFIG
9 INIT_ETH1
10 INIT_CHK2
11 INIT_ETH2
7.4 - VERSIONEN DER SICHERHEITSAPPLIKATION M0004751.1
Roboterarm Version Program CRC Configuration CRC der unveränderten Sicherheitsappli‐

kation
Ohne WMS Mit WMS Ohne WMS
Mit Querschlußer‐ Mit Querschlußer‐ Ohne Querschluß‐
kennung kennung erkennung
TX2-40 200.001 1647715867 549059902 1686896913 3032460012
TX2-60 1358388221 348301266 3304131631
TX2-60L 4171453323 3163991972 1822753881
TX2-90 2131283643 993866388 3943602537
TX2-90L 3498781070 2495534497 1150123612
TX2-90XL 2579282247 3716760936 230354581
TX2-40 1.000 2407622360 3567416905 2425850470 1084498331
TX2-60 2766983306 3772329125 820676440
TX2-60L 213440764 1217209555 2562625326
TX2-90 2333296076 3475421667 521474590
TX2-90L 613458681 1621450454 2962683179
TX2-90XL 1839673904 697486879 4188104162
TX2-40 200.000 2903133238 171545454 1666332692 3416626216
TX2-60 2727275322 3420799040 1662184572
TX2-60L 182117196 1672562742 3410420746
TX2-90 493151452 1947160486 3707298714
TX2-90L 3001484265 3683428499 1937441967
TX2-90XL 4224750368 2461743194 978097254
102/104 © Stäubli 2018 – D.280.947.02-C CS9

7 - Anhang
Roboterarm Version Program CRC Configuration CRC der unveränderten Sicherheitsappli‐

kation
Ohne WMS Mit WMS Ohne WMS
Mit Querschlußer‐ Mit Querschlußer‐ Ohne Querschluß‐
kennung kennung erkennung
TX2-40 0.230 2781859802 1764440967 756991912 4247612501
TX2-60 426089796 1565548907 2372127382
TX2-60L 2972816690 4110706973 624411360
TX2-90 1269541703 262035304 3752721557
TX2-90L 3827846258 2686300253 1882069920
TX2-90XL 2904546491 3911852180 957975401
TX2-40 0.220 1156050209 4283227712 984236705 2097325759
TX2-60 2384480198 1271323431 208551737
TX2-60L 645156784 3818050385 2755278671
TX2-90 3128363245 2140247052 943288338
TX2-90L 368373720 3490870073 2545588007
TX2-90XL 1556315921 2569397232 3733784558
CS9 © Stäubli 2018 – D.280.947.02-C 103/104

104/104 © Stäubli 2018 – D.280.947.02-C CS9

Sicherheitshandbuch TS2

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Sicherheitshandbuch TS2

Hochgeladen von

Copyright:

Verfügbare Formate

Controller CS9

2/104 © Stäubli 2018 – D.280.947.02-C CS9

CS9 © Stäubli 2018 – D.280.947.02-C 3/104

6.10- Validierung der Sicherheitsmaßnahmen..................................................................................... 91

4/104 © Stäubli 2018 – D.280.947.02-C CS9

1.1 - VORWORT M0000242.1

1.1.1 - GEGENSTAND DES HANDBUCHS M0004671.1

CS9 © Stäubli 2018 – D.280.947.02-C 5/104

1.1.2 - BESONDERE SICHERHEITS- UND GEFAHRENHINWEISE, WARNUNGEN UND

1.2 - DEFINITION UND GLOSSAR M0004672.1

6/104 © Stäubli 2018 – D.280.947.02-C CS9

PL Performance Le‐ Leistungsniveau: Leistungsmessung für Sicherheitsfunktionen ge‐

CS9 © Stäubli 2018 – D.280.947.02-C 7/104

2.1.1 - FUNKTIONALE SICHERHEIT M0004629.1

CS9 © Stäubli 2018 – D.280.947.02-C 9/104

2.1.2 - SICHERHEITSPROZESS M0004630.1

2.1.3 - SICHERHEITSFUNKTIONEN M0004631.1

10/104 © Stäubli 2018 – D.280.947.02-C CS9

2.1.4 - SICHERHEITSPROGRAMM M0004632.1

Die Sicherheitsfunktionen des Roboters sind in einem vordefinierten Robotersicherheitsprogramm im‐

CS9 © Stäubli 2018 – D.280.947.02-C 11/104

2.2 - ANWENDUNGSFÄLLE FÜR DIE VORNAHME VON

2.2.1 - AUFENTHALT IN DER NÄHE DES ROBOTERS M0004633.1

2.2.5 - KOLLABORATIVE ANWENDUNGEN M0004637.1

2.3.1 - SICHERHEITSARCHITEKTUR M0004638.1

Die Sicherheitsarchitektur eines CS9/TX2-Roboters ist in der nachstehenden Abbildung zusammenge‐

CS9 © Stäubli 2018 – D.280.947.02-C 13/104

Englisch Übersetzung Englisch Übersetzung

2.3.2 - SICHERHEITSSCHNITTSTELLEN M0004639.1

2.3.3 - SAFE PMT M0004640.1

14/104 © Stäubli 2018 – D.280.947.02-C CS9

2.4 - SICHERHEITSFUNKTIONEN M0004641.1

CS9 © Stäubli 2018 – D.280.947.02-C 15/104

2.4.1 - SPERRENDE SICHERHEITSFUNKTIONEN M0004642.1

2.4.2 - STOPPENDE SICHERHEITSFUNKTIONEN M0004643.1

16/104 © Stäubli 2018 – D.280.947.02-C CS9

2.4.3 - BEGRENZENDE SICHERHEITSFUNKTIONEN M0004644.1

CS9 © Stäubli 2018 – D.280.947.02-C 17/104

2.4.4 - SICHERHEITSFUNKTIONEN FÜR STEUERUNGSSCHNITTSTELLEN M0004645.1

2.4.5 - SICHERHEITSFUNKTIONEN FÜR DIE AUSGÄNGE M0004646.1

18/104 © Stäubli 2018 – D.280.947.02-C CS9

3.1.1 - SICHERHEITSVORSCHRIFTEN M0000550.1

CS9 © Stäubli 2018 – D.280.947.02-C 19/104

3.1.2 - WICHTIGE GESUNDHEITS- UND SICHERHEITSANFORDERUNGEN M0000591.1

Grundsätze zur Integration der Sicherheitsanforderungen

Steuergeräte und Informationsvorrichtungen

Risiken durch bewegliche Teile

20/104 © Stäubli 2018 – D.280.947.02-C CS9

3.1.3 - SICHERHEITSKONZEPT M0004647.1

Um die Sicherheit der Roboteranlage zu gewährleisten und die einschlägigen Sicherheitsanforderun‐

CS9 © Stäubli 2018 – D.280.947.02-C 21/104

3.1.4 - VALIDIERUNG DES SICHERHEITSKONZEPTS, DURCHFÜHRBARKEIT M0004648.1

22/104 © Stäubli 2018 – D.280.947.02-C CS9

3.2 - LEISTUNGSNIVEAU / SICHERHEITSANFORDERUNGSSTUFE DER

Das Leistungsniveau und die Sicherheitsanforderungsstufe der Sicherheitsfunktionen (PL/SIL) sind

CS9 © Stäubli 2018 – D.280.947.02-C 23/104

3.2.1 - SICHERHEITSKOMPONENTEN M0004650.1

Englisch Übersetzung Englisch Übersetzung

Element B10d (Anz. Zyklen) PFHd (h-1) SIL (1) PL (1)

(1) Betriebsdauer 20 Jahre

24/104 © Stäubli 2018 – D.280.947.02-C CS9

3.2.2 - SPERRENDE SICHERHEITSFUNKTIONEN M0004651.1

Ausgangssituation für die Aktivierung: