Beruflich Dokumente
Kultur Dokumente
Sicherheitshandbuch
D.280.947.02-C - 16/04/2018
CS9 - Übersetzung der Originalanleitung
© Stäubli 2018
Die DVD des Roboters kann ein readme.pdf Dokument aufweisen. Es enthält Zusätze zur
Dokumentation und ein Korrekturverzeichnis.
Stäubli ist eine in der Schweiz und anderen Ländern registrierte Marke der Stäubli International AG. Wir behalten uns das Recht vor, Produktspezifikationen ohne
vorherige Ankündigung zu ändern.
INHALTSVERZEICHNIS
1- EINLEITUNG......................................................................................................................... 5
1.1- Vorwort..........................................................................................................................................5
1.2- Definition und Glossar...................................................................................................................6
2- BESCHREIBUNG..................................................................................................................9
2.1- Übersicht....................................................................................................................................... 9
2.2- Anwendungsfälle für die Vornahme von Sicherheitseinstellungen............................................. 12
2.3- Sicherheitskomponenten............................................................................................................ 13
2.4- Sicherheitsfunktionen..................................................................................................................15
3- MASCHINENDESIGN......................................................................................................... 19
3.1- Sicherheitsanforderungen........................................................................................................... 19
3.2- Leistungsniveau / Sicherheitsanforderungsstufe der Sicherheitsfunktionen.............................. 23
3.3- Durchführung.............................................................................................................................. 29
4- SAFE PMT...........................................................................................................................51
4.1- Installation und Einstellungen..................................................................................................... 51
4.2- Übersicht..................................................................................................................................... 52
4.3- Update der Sicherheitsparameter............................................................................................... 53
4.4- Validierungsbericht......................................................................................................................55
4.5- Backup und Wiederherstellung der Sicherheitsparameter......................................................... 55
4.6- Wartung.......................................................................................................................................59
5- SICHERHEITSPARAMETER.............................................................................................. 63
5.1- Aktivierung der Sicherheitsüberwachung................................................................................... 63
5.2- Sperrende Sicherheitsfunktionen................................................................................................ 65
5.3- Stoppende Sicherheitsfunktionen............................................................................................... 65
5.4- Begrenzende Sicherheitsfunktionen........................................................................................... 68
5.5- Sicherheitsfunktionen für Steuerungsschnittstellen....................................................................81
5.6- Sicherheitsfunktionen für die Ausgänge..................................................................................... 82
5.7- Diagnosefunktionen.................................................................................................................... 83
6- INBETRIEBNAHME............................................................................................................ 85
6.1- Informationen zur Validierung..................................................................................................... 85
6.2- Validierung der elektrischen Schnittstellen................................................................................. 86
6.3- Validierung der Sicherheitsfunktionen für Steuerungsschnittstellen...........................................86
6.4- Validierung der Sicherheitshalt Funktionen.................................................................................86
6.5- Validierung der Sicherheitsabstände.......................................................................................... 87
6.6- Validierung der begrenzenden Sicherheitsfunktionen.................................................................87
6.7- Validierung des eingeschränkten Arbeitsbereichs...................................................................... 90
6.8- Validierung der Sicherheitsfunktionen der Ausgänge................................................................. 90
6.9- Validierung der Diagnosefunktionen........................................................................................... 90
7- ANHANG............................................................................................................................. 93
7.1- Checkliste für die Inbetriebnahme.............................................................................................. 93
7.2- RSI9 IOs...................................................................................................................................... 97
7.3- DSI9 E/A (System)..................................................................................................................... 100
7.4- Versionen der Sicherheitsapplikation........................................................................................102
1 - EINLEITUNG .
Die in diesem Dokument enthaltenen Informationen sind Eigentum von STÄUBLI und dürfen ohne un‐
sere vorherige schriftliche Zustimmung nicht vervielfältigt werden.
Die in diesem Dokument enthaltenen Spezifikationen können ohne Vorankündigung geändert werden.
Obwohl gewissenhaft auf die Richtigkeit der in diesem Dokument enthaltenen Informationen geachtet
wird, kann STÄUBLI für mögliche Fehler oder Auslassungen in den Abbildungen, Zeichnungen und
Spezifikationen dieses Dokuments nicht haftbar gemacht werden.
Die in diesem Handbuch gezeigten Schaltpläne dienen nur zu Informationszwecken: Die Bezugs‐
schaltpläne des Roboters sind in einem separaten Handbuch angeführt. Die Abbildungen dienen ledig‐
lich dem besseren Verständnis, sie sind nicht vertraglich bindend.
Wenden Sie sich bitte an den Kundendienst von STÄUBLI Robotik in Ihrem Land, wenn Sie unvollstän‐
dige Informationen, Fehler oder Auslassungen feststellen:
■ http://www.staubli.com/en/contacts/division/robotics/
STÄUBLI, UNIMATION, VAL
sind eingetragene Warenzeichen der STÄUBLI INTERNATIONAL AG.
EtherCAT® ist eine eingetragene Marke und patentierte Technologie, lizenziert durch
die Beckhoff Automation GmbH, Deutschland.
Ziel dieses Handbuchs ist es, Informationen für die richtige Konfiguration und Validierung der Sicher‐
heitsparameter des Roboters bereitzustellen. Es soll den Personen, die mit dem Gerät umgehen, als
Hilfe und Referenz dienen. STÄUBLI empfiehlt, zum leichteren Verständnis dieses Handbuchs und für
die bessere Bedienung und Wartung des Roboters Schulungen zu besuchen.
In dieser Dokumentation werden mehrere Formatierungen für besonders wichtige Hinweise verwendet.
Diese Hinweise sind folgende (in abnehmender Bedeutung):
VORSICHT
Anweisung, die den Leser auf Unfallgefahren hinweist, die zu schweren Verletzungen führen
können, wenn die angegebenen Maßnahmen nicht beachtet werden. Eine derartige Kenn‐
zeichnung dient normalerweise zur Beschreibung einer potentiellen Gefahr, deren mögliche
Auswirkungen, und die zur Verringerung dieser Gefahr zu treffenden Maßnahmen. Die Sicher‐
heit von Personen ist nur bei Beachtung dieser Anweisung gewährleistet.
SICHERHEIT
Safety
Diese Anweisung macht den Leser darauf aufmerksam, dass er zur Haftung verpflichtet ist,
wenn er die vorgeschriebenen Maßnahmen nicht befolgt. Die Anweisung muss befolgt wer‐
den, um das Sicherheitsniveau des Roboters zu wahren.
Der Leser wird darauf aufmerksam gemacht, dass das Risiko eines Materialschadens oder
Fehlers besteht, wenn er die Anweisungen nicht befolgt. Die Zuverlässigkeit und die Leistun‐
gen des Geräts sind nur bei Beachtung dieser Anweisung gewährleistet.
Liefert eine ergänzende Information, hebt einen wichtigen Punkt oder eine wichtige Prozedur
hervor. Diese Information sollte ins Gedächtnis eingeprägt werden, um die Umsetzung und
den ordnungsgemäßen Ablauf der beschriebenen Vorgänge zu erleichtern.
ESD (Elektrostatische Entladung)
Dieses Symbol warnt vor dem Kontakt mit elektrostatisch empfindlichen Komponenten (Siehe
Kapitel ).
Person: Allgemeine Bezeichnung für alle Personen, die sich der STÄUBLI-Maschine nähern können.
Personal: Bezeichnet die Person, die eigens für die Installation, die Bedienung und Wartung
der STÄUBLI-Maschine eingestellt und ausgebildet wurde.
Benutzer: Bezeichnet die Firma bzw. die Personen, welche für die Bedienung der STÄUBLI-Maschine
zuständig sind.
Operator: Bezeichnet die Person, die den Roboter startet, stoppt oder sein Funktionieren kontrolliert.
Integrator: Bezeichnet die Person oder das Unternehmen, die/das für die Konzeption und Herstellung
der Roboterzelle verantwortlich ist.
Assessor: Bezeichnet die Personen, die für die Inbetriebnahme der Sicherheitsfunktionen zuständig
sind.
B10d Mittlere Anzahl an Zyklen, nach denen eine Rate an gefährlichen Aus‐
fällen von 10% zu erwarten ist (ISO 13849-1, C4)
DSI9 Digital Sensor In‐ Digitale Sensor-Schnittstelle: Sicherheitskarte am Roboterfuß
terface
FMEA Failure Mode and FMEA: Fehlermöglichkeits- und -einflussanalyse
Effects Analysis
IP code Ingress Protection Internationale Einstufung (IEC 60529) für den Eindringschutz
Code
PFHd Probability of dan‐ Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde: Teil der
gerous Failure per Berechnung der Leistungsparameter von Sicherheitsfunktionen, die
Hour zur Festlegung des PL oder SIL erforderlich ist
2 - BESCHREIBUNG .
2.1 - ÜBERSICHT .
Die CS9-Steuerung verfügt über einen Sicherheitscontroller, der nicht nur in der Lage ist, den Roboter
auf Anfrage zu stoppen (z. B. nach einem Not-Halt), sondern der auch höhere, auf der Position und
Geschwindigkeit des Arms basierende Sicherheitsparameter überwachen kann. Dazu bedient sich der
Sicherheitscontroller redundanter Mikroprozessoren, die ein Roboter-Sicherheitsprogramm ausführen,
das vom Roboterintegrator konfiguriert, aber nicht geändert werden kann. Die Nutzung von program‐
mierbaren elektronischen Systemen zu Sicherheitszwecken nennt man "Funktionale Sicherheit".
Die funktionale Sicherheit eröffnet viele neue Möglichkeiten, wie z. B. die Reduzierung des Zellenum‐
fangs oder der Umzäunungsgröße, und ermöglicht viele verschiedene Arten kollaborativer Anwendun‐
gen, bei denen Mensch und Maschine enger und häufiger interagieren können. Typische Nutzungsfälle
der funktionalen Sicherheit sind in Kapitel 2.2 aufgeführt.
Die Sicherheitssteuerung arbeitet unabhängig von der Bewegungssteuerung, wobei jedoch deren
Konfigurationen synchronisiert sind, so dass die meisten der konfigurierten Sicherheitsgrenzwerte au‐
tomatisch eingehalten werden, ohne dass das Anwendungsprogramm geändert werden muss. Zum
Beispiel wird die Reduzierung der Sicherheitshöchstgeschwindigkeit automatisch auf die Roboterbe‐
wegungen angewandt.
Die meisten Sicherheitsparameter können eingestellt werden, ohne dass das Anwendungs‐
programm dadurch beeinträchtigt wird.
Den Vorteilen der funktionalen Sicherheit stehen jedoch auch einige Nachteile entgegen: die Sicher‐
heitskonfiguration muss konsequent verwaltet werden, und je nach den benutzten Sicherheitsfunktio‐
nen sind Vorkehrungen für eine regelmäßige Referenzierung des Roboters sowie für Bremsentests zu
treffen. Bei komplexen Sicherheitskonfigurationen können die Einstellung und Validierung der Sicher‐
heitsparameter viel Zeit in Anspruch nehmen.
Die Durchführbarkeit von Projekten auf der Grundlage der neuen Sicherheitskonzepte muss
vorab sorgfältig geprüft werden. Ein Fehler im Sicherheitskonzept kann schwere Auswirkun‐
gen auf die gesamte Zelle haben.
Für Anwendungen, für die keine funktionale Sicherheit erforderlich ist, steht ein vereinfachtes Sicher‐
heitsprogramm mit einem eingeschränkten Satz an Sicherheitsparametern zur Verfügung, das die Si‐
cherheitsintegration, Validierung und Wartung vereinfacht.
Verwenden Sie das vereinfachte Sicherheitsprogramm, wenn keine erhöhte Sicherheitsfunk‐
tion erforderlich ist.
Die Sicherheitskonfiguration des Roboters ist sorgfältig nach folgenden drei Schritten vorzunehmen:
1) Sicherheitskonzept und Durchführbarkeit
Das Sicherheitskonzept muss eindeutig festlegen, wozu die Robotersicherheit dient, und welche
Robotersicherheitsfunktionen für diese Zwecke erforderlich sind. Es muss bestätigen, dass die Si‐
cherheitsfunktionen erkannte Risiken angemessen begrenzen, und dass die ausgewählte Lösung
durchführbar ist. Kapitel 3 enthält die erforderlichen Informationen zur Durchführung dieses
Schritts.
2) Sicherheitskonfiguration
Während der Zellenintegration werden die erforderlichen Sicherheitsfunktionen mit denjenigen Pa‐
rameterwerten konfiguriert und soweit erforderlich vor Ort eingestellt, die im Sicherheitskonzept
festgelegt worden sind. Kapitel 5 dient als Referenzhandbuch für die Sicherheitsparameter.
3) Validierung der Sicherheitseinstellungen
Wenn die Anwendung zur Implementierung bereit ist, muss eine Sicherheitsvalidierung durchge‐
führt werden, um sicherzustellen, dass sich alle Sicherheitsfunktionen wie erwartet verhalten. Kapi‐
tel 6 enthält detaillierte Informationen für die durchzuführenden Validierungstests. Im Anhang befin‐
det sich eine Checkliste zur Unterstützung während der Validierungsphase.
Das Sicherheitskonzept stellt die Verbindung her zwischen den in der Zelle identifizierten Risiken und
den Robotersicherheitsfunktionen, die zu deren Abwendung eingesetzt werden. Der Hauptzweck die‐
ses Sicherheitshandbuchs ist es, die Sicherheitsfunktionen des Roboters im Einzelnen so zu beschrei‐
ben, dass sie möglichst gewinnbringend genutzt werden können.
Das allgemeine Prinzip der Robotersicherheitsfunktionen besteht darin, die im Voraus festgelegten Si‐
cherheitsbedingungen zu überwachen, und entweder den überwachten Status an andere Geräte wei‐
terzumelden, oder den Roboter in einen sicheren Zustand zu versetzen, wenn gewisse Sicherheitsbe‐
dingungen nicht mehr erfüllt sind:
■ Die Sicherheitsbedingungen werden durch Überwachung der sicheren Eingänge und der sicheren
Encodersignale überprüft. Je nach der gewünschten Reaktion führt diese Überwachung zu einer
Sicherheitsabschaltung und/oder zur Sperrung eines sicheren Ausgangs, der seinerseits eine ent‐
sprechende Reaktion der anderen Geräte in der Zelle auslöst.
■ Der Sicherheitszustand des Roboters wird durch Deaktivierung der unter seiner Kontrolle befindli‐
chen Stellglieder erreicht (Motoren, Bremsen und Ventile). Der Sicherheitszustand der anderen Ge‐
räte in der Zelle kann möglicherweise über sichere Ausgänge angesteuert werden.
Alle CS9/TX2-Roboter verfügen über die für die beschriebenen Sicherheitsfunktionen erfor‐
derliche Sicherheitsausstattung. Tiefgreifendere Sicherheitsfunktionen sind über die Laufzeit-
Lizenz SafeCell+ zugänglich.
Es ist nicht erforderlich, die funktionale Sicherheit des Roboters dazu zu verwenden, diesen anzuhal‐
ten, wenn Menschen in dessen Arbeitsbereich eingreifen. Die funktionale Sicherheit des Roboters er‐
öffnet jedoch neue Möglichkeiten:
■ Die Implementierung von SS2 Sicherheitsstopps anstelle von SS1 macht die Anwendungspro‐
grammierung einfacher; das Anhalten und Wiederanlaufen des Roboters kann vollständig von der
Sicherheitssteuerung gesteuert werden, unabhängig vom Anwendungsprogramm.
Wenn nach einem Bedienereingriff ein automatisches Wiederanlaufen möglich sein soll (z. B. bei
sehr kleinen Zellen oder Zellen, die in der Lage sind, die Anwesenheit einer Person zu erfassen),
wird die Stillstandszeit durch den Einsatz von SS2 Stopps optimiert.
■ Die Einstellung der maximal zulässigen Anhaltezeit dient dazu, die Sicherheitsabstände zu reduzie‐
ren (siehe Kapitel 2.2.2), ermöglicht aber auch die einfache und effiziente Einrichtung von z.B. mit
Lichtschranken überwachten Zonen zur Werkzeugbestückung, mit deren Hilfe Bedienereingriffe ei‐
ne nur geringe Auswirkung auf die Taktzeit haben.
Darüber hinaus ermöglicht das hohe Niveau der Sicherheitsstopps der CS9/TX2 regelmäßige Bedie‐
nereingriffe in den Arbeitsbereich des Roboters, wenn der angestellten Risikobewertung zufolge das
normalerweise übliche Level SIL2/PLd für häufige Bedienereingriffe nicht ausreichend ist.
2.2.2 - REDUZIERUNG DES SICHERHEITSABSTANDS BZW. DER GRUNDFLÄCHE DER ZELLE
M0004634.1
Der Sicherheitsabstand zwischen dem Roboter und den Schutzvorrichtungen wird so festgelegt, dass
der Roboter ausreichend Zeit hat, zum Stillstand zu kommen, ehe eine sich nähernde Person ihn errei‐
chen kann. Dadurch dass die Anhaltezeit als konfigurierbarer Sicherheitsparameter angelegt ist, lässt
sich der Sicherheitsabstand flexibel optimieren. Wenn der Sicherheitsabstand eine Auswirkung auf die
Grundfläche der Zelle hat, lässt sich diese durch die Optimierung entsprechend reduzieren.
Je schneller sich der Roboter bewegt, desto wichtiger ist eine starke Bremswirkung, die sich wiede‐
rum positiv auf die benötigte Anhaltezeit auswirkt. Die geringstmögliche Anhaltezeit hängt von der
Nutzlast und der Stopphäufigkeit ab, und wirkt sich auf die Lebensdauer des Roboters aus.
2.2.3 - OPTIMIERUNG VON SCHUTZBEREICHEN M0004635.1
Wenn sich Umzäunungen im vom Roboter erreichbaren Bereich befinden, muss sichergestellt sein,
dass die Umzäunungen entweder in der Lage sind, den Roboter ohne eine gefährliche Verformung zu
stoppen, oder dass der Roboter immer vor Erreichen der Umzäunungen gestoppt wird.
■ Eine gefährliche Verformung kann dadurch verhindert werden, dass die maximale Einschlagsener‐
gie des Roboters mittels sicherer Beschränkung der Geschwindigkeit reduziert wird.
■ Das Stoppen des Roboters vor Erreichen der Umzäunungen kann mit sicheren Positionsbegren‐
zungen erreicht werden; dabei muss jedoch zwischen den Sicherheitsbegrenzungen und der Um‐
zäunung ein Anhaltebereich dergestalt vorgesehen werden, dass der Roboter bei einem System‐
ausfall (z. B. Stromausfall) ausreichend Zeit hat, mit Hilfe seiner Bremsen anzuhalten.
■ Beide Lösungen können derart miteinander verknüpft werden, dass ein bestmöglicher Kompromiss
zwischen Zykluszeit und Grundfläche der Zelle gefunden wird.
Die Abschätzung des ungünstigsten Anhaltewegs oder der Energie an den Begrenzungen erfordert
komplexe Simulationen; in der Praxis sollten eher konservative Schätzungen angestellt werden.
2.2.4 - GEMEINSAMER ARBEITSBEREICH VON BEDIENER UND ROBOTER M0004636.1
Per Sicherheitssignal aktivierte sichere Einschränkungen der Position und Geschwindigkeit des Robo‐
ters können dazu genutzt werden, dass sich der Roboter mit reduzierter Geschwindigkeit und nur in
einem Teil seines Arbeitsbereichs bewegt, wenn der Bediener einen Teilbereich der Zelle betritt (z. B.
zum Be- und Entladen von Paletten). Auf diese Weise können Paletten ausgetauscht werden, ohne
dass die Applikation gestoppt werden muss.
12/104 © Stäubli 2018 – D.280.947.02-C CS9
2 - Beschreibung
Der Begriff "Kollaborative Anwendungen" bezieht sich auf teils sehr unterschiedliche Anwendungsfälle:
■ Im weitesten Sinne verstehen sich darunter Anwendungen, bei denen der Bediener den Arbeitsbe‐
reich des Roboters frei betreten und verlassen kann; dank ihres hohes Sicherheitsniveaus erlau‐
ben CS9-Roboter ein derartiges kollaboratives Arbeiten mit regelmäßigen Bedienereingriffen in der
Nähe des Roboters oder die gemeinsamen Nutzung des Arbeitsbereichs.
■ Im engeren Sinne bezieht sich der Begriff auf Anwendungen, bei denen ein Kontakt mit einem Ro‐
boter in Bewegung zwar nicht erwünscht, aber möglich und sicher ist. Dies erfordert grundsätzlich
den Einsatz eines Sicherheitssensors, der den Kontakt mit dem Menschen erfasst.
SICHERHEIT
Safety
CS9/TX2 Roboter an sich verfügen über KEINE Sicherheitsfunktion zur Detektion eines Kon‐
takts mit dem Bediener; eine solche Detektion muss durch Ausstattung mit zusätzlichen, ex‐
ternen Schutzvorrichtungen realisiert werden.
■ Im engsten Sinne sind Anwendungen gemeint, bei denen der Bediener und der Roboter koordiniert
an der gleichen Aufgabe arbeiten und ein Kontakt möglich ist. Einige dieser kollaborativen Anwen‐
dungen, wie Handführung, sind mit CS9-Robotern möglich, wenn eine zusätzliche Sicherheitsaus‐
rüstung am Endeffektor installiert wird.
2.3 - SICHERHEITSKOMPONENTEN .
I0003913
Die Abbildung zeigt die sicherheitsrelevanten Komponenten der CS9-Steuerung und des dazugehöri‐
gen TX2-Arms. Die Steuerung verfügt über eine sichere SPS (PLC (RSI9)) sowie über Verstärker, die
auf der Grundlage sicherer Eingangssignale die Motoren bei Bedarf mittels einer integrierten Sicher‐
heitsfunktion (STO) spannungsfrei schalten. Der Arm ist mit einer sicheren E/A-Karte (DSI9) ausgestat‐
tet, die die Magnetventile und Bremsen steuert, und die die Positionsmeldungen der sicheren Encoder
an die Sicherheitskarte RSI9 überträgt.
Die Stromversorgung der Steuerung liefert unter anderem die zur Speisung der Sicherheitsausrüstung
erforderliche SELV/PELV-Spannung von 24V.
Die RSI9-Sicherheitskarte verfügt über sichere digitale Ein- und Ausgänge, auf die über die Schnittstel‐
len der Steuerung zugegriffen werden kann; da sie sich zu deren Betrieb Sicherheitsprotokollen auf
Basis von Echtzeit-Ethernet wie z.B. FSoE über EtherCAT bedient, sind die Echtzeit-Ethernet-Ports
der Steuerung ebenfalls Teil der Sicherheitsschnittstelle.
Die sicheren Eingänge der RSI9-Karte dienen zum Anschluss der folgenden sicherheitsbezogenen Pe‐
ripherie:
■ Wartungsstecker (wird mit jedem Roboter ausgeliefert) - stellt Sicherheitsfunktionen auch während
der Phasen der Integration oder der Wartung des Roboters zur Verfügung.
■ Handbediengerät SP2 (optional) - ausgestattet mit einem Zustimmtaster, einem Not-Halt-Taster,
sowie mit einem Brückenstecker, der den Betrieb auch nach Abstecken des Handbediengeräts er‐
möglicht.
■ Betriebsarten-Wahlschalter (WMS9) - optional - mit Betriebsarten-Wahlschalter, Not-Halt-Taster
und Drucktaster zur Quittierung eines Sicherheits-Wiederanlaufs (manuelles Reset).
Die DSI9-Karte im Sockel des Roboterarms stellt eine Reihe von sicheren digitalen Eingängen zur Ver‐
fügung, die es ermöglichen, das (optionale) Bremsenlösegerät (RBR) anzuschließen, und damit die
Bremsen selbst dann manuell anzusteuern, wenn die Steuerung nicht an den Roboterarm angeschlos‐
sen oder defekt ist.
Die (optionalen) mechanischen Endanschläge sind ebenfalls Sicherheitsvorrichtungen zur sicheren
Eingrenzung des Arbeitsraums des Roboterarms; sie basieren allerdings nicht auf einer programmier‐
baren Elektronik und zählen daher nicht als Bestandteil der funktionalen Sicherheit.
Die Nutzung dieser Peripherien ist im Benutzerhandbuch der Steurung bzw. dem Benutzerhandbuch
des Roboterarms beschrieben.
SafePMT ist die PC-Software, die zum Bearbeiten und Übertragen der Sicherheitsparameter an die Si‐
cherheitskarte sowie zum Weiterleiten des für die Sicherheitsvalidierung notwendigen Referenzbe‐
richts erforderlich ist. Sie kommuniziert über eine gesicherte Ethernet-Verbindung mit der Sicherheits‐
karte. SafePMT wird mit der Stäubli Robotics Suite mitgeliefert oder kann von der technischen Daten‐
bank der Stäubli-Webseite heruntergeladen werden. Installation und Bedienung der Software sind in
Kapitel 4 beschrieben.
Eine Sicherheitsfunktion ist eine Funktion der Sicherheitssteuerung, die dazu dient, die Verletzungsge‐
fahr zu mindern oder aufzuheben; Sicherheitsfunktionen werden anhand spezifischer Hardware und
Software implementiert, die die Anforderungen der internationalen Sicherheitsstandards erfüllen. Sie
zielen darauf ab, die Wahrscheinlichkeit eines gefährlichen Ausfalls (PFHd) auf der Basis von Safety In‐
tegrity Level SIL (gemäß IEC 62061) oder Leistungsniveau PL (gemäß ISO 13849-1) zu berechnen.
Verschiedene Sicherheitsfunktionen können je nach den verwendeten Komponenten unterschiedliche
Sicherheitsleistungsniveaus haben. Das für eine Sicherheitsfunktion erforderliche Sicherheitsleistungs‐
niveau hängt von der Bewertung des Risikos ab, das mit der betreffenden Sicherheitsfunktion in Zu‐
sammenhang steht; je höher das Risiko, desto höher das erforderliche Sicherheitsleistungsniveau. Die
Sicherheitsnormen ISO 13849-1 und IEC 62061 legen die Methoden zur Ermittlung des erforderlichen
Sicherheitsleistungsniveaus fest. In Bezug auf sichere Stoppfunktionen für Anwendungen mit begrenz‐
ter Interaktion zwischen Mensch und Maschine ist das Sicherheitsleistungsniveau SIL2/PLd normaler‐
weise ausreichend. Anwendungen, die eine häufigere Interaktion bei schnellen Arbeitsbewegungen er‐
fordern, benötigen zur Gewährleistung eines sicheren Stopps jedoch ein höheres Sicherheitsleistungs‐
niveau - SIL3/PLe - oder eine Beschränkung der Geschwindigkeit.
Die Roboter-Sicherheitsfunktionen dienen zur Minderung von:
■ Risiken in Verbindung mit sich bewegenden Teilen (Kollision, Quetschen, Einklemmen durch den
Roboter, seine Werkzeuge oder das beförderte Werkstück).
■ Risiken in Verbindung mit herabfallenden Teilen (Roboterachse oder befördertes Werkstück).
■ Risiken in Verbindung mit der Position oder Orientierung des Roboterarms (z. B. Gefährdung durch
Laserstrahl).
■ Risiken in Verbindung mit anderen Geräten, die an den Roboter angeschlossen sind.
Sie lassen sich in folgende Kategorien einteilen:
■ Sperrende Sicherheitsfunktionen: sie versetzen die Stellglieder von Aktuatoren in einen sicheren
Zustand.
■ Stoppende Sicherheitsfunktionen: sie steuern das Anhalten des Roboters und sorgen dafür, dass
dieser im angehaltenen Zustand verharrt.
■ Begrenzende Sicherheitsfunktionen: sie aktivieren einen Sicherheitsstopp, wenn ein bestimmter
Überwachungsgrenzwert erreicht wird.
■ Sicherheitsfunktionen für die Ausgänge: sie melden von der Sicherheitssteuerung überwachte Zu‐
stände an einen Ausgang.
■ Sicherheitsfunktionen für Steuerungsschnittstellen bezüglich Betriebsart oder Wiederanlaufkontrol‐
le.
Durch Anstellen ausführlicher sensorbasierter Berechnungen sowie durch geschickte Verknüpfung lo‐
gischer Kombinationen sicherer Zustände lassen sich komplexe Sicherheitsfunktionen realisieren, wie
zum Beispiel von Sicherheitsbereichen, die auf der Kombination von Sicherheitsbedingungen zu Posi‐
tion und Geschwindigkeit basieren.
Die CS9-Robotersteuerung steuert 3 Arten von Stellgliedern: die Robotermotoren, -bremsen und -ven‐
tile. Andere anwendungsspezifische Stellglieder können über die sicheren Ausgänge (USO) der Sicher‐
heitssteuerung angesteuert werden.
■ "Safe Torque Off" (STO) ist eine Sicherheitsfunktion, die dazu dient, das Drehmoment der Motoren
sicher auf Null herunterzufahren; sie wirkt über die Verstärker der Steuerung unmittelbar auf die an‐
geschlossene Hardware.
■ "Safe Brake Control" (SBC) ist eine Sicherheitsfunktion, die dazu dient, bei Bedarf die Stromversor‐
gung der Bremsen zu unterbrechen und somit für deren sofortiges Einfallen zu sorgen. Die Sicher‐
heitsfunktion SBC steuert zwar das unerwartete Lösen der Bremsen, stellt aber nicht sicher, dass
das Bremsmoment ausreichend ist; hierfür ist ein regelmäßiger Bremsentest erforderlich.
■ "Safe Valve Control" (SVC) ist eine Sicherheitsfunktion, die dazu dient, die Stromversorgung der
Ventile zu unterbrechen. Das sich daraus ergebende Verhalten hängt vom Druckluftkreis ab, der so
ausgelegt sein muss, dass der Endeffektor (und möglicherweise das beförderte Werkstück) sicher
bleibt, wenn die Ventile abgeschaltet werden.
■ Benutzerspezifische Stellglieder können mit dem sicheren Ausgang (USO) angesteuert werden, der
entweder den Zustand der Stromversorgung des Roboters (Zustand STO) oder den sicheren
Stoppzustand (Zustand SS2) wiedergibt.
Die Sicherheitsfunktionen STO, SBC und SVC entsprechen SIL3/PLe.
■ "Safe Stop category 0" (SS0) steht für die gleichzeitige Aktivierung der sperrenden Sicherheitsfunk‐
tionen (STO, SBC und SVC). Dies führt zu einer unkontrollierten Abschaltung der Bremsen und wird
im Rahmen des Möglichen nur benutzt, wenn es keine andere Alternative gibt.
■ "Safe Stop category 1" (SS1) ist eine Sicherheitsfunktion, die ein kontrolliertes Anhalten des Robo‐
ters bewirkt; die Anhaltezeit ist ein konfigurierbarer Sicherheitsparameter. Anschließend wird die
Sicherheitsfunktion SS0 aktiviert, sobald der Roboter angehalten hat oder wenn vorher eine festge‐
legte Zeitdauer abgelaufen ist.
■ "Safe Stop category 2" (SS2) ist eine Sicherheitsfunktion, die ein kontrolliertes Anhalten des Robo‐
ters bewirkt; die Anhaltezeit ist ein konfigurierbarer Sicherheitsparameter. Die Sicherheitsfunktion
zur Überwachung (SOS) und die sperrende Sicherheitsfunktion (SVC) werden aktiviert, wenn der
Roboter gestoppt ist. Danach führen jegliche Bewegungen zur sofortigen Aktivierung der Sicher‐
heitsfunktion SS0.
Die Sicherheitsfunktionen SS0, SS1 und SS2 entsprechen SIL3,PLe.
Die sicheren Eingänge und Encoder des CS9-Roboters werden kontinuierlich in Bezug auf die Ausfüh‐
rung der folgenden zusätlichen Sicherheitsfunktionen überwacht:
■ "Safe Operating Stop" (SOS) ist die Sicherheitsfunktion, die prüft, ob die Roboterachsen in einer
festgelegten Position bleiben (innerhalb einer reduzierten Toleranzgrenze); die Sicherheitsfunkti‐
on SS0 wird aktiviert, sobald diese Toleranz überschritten wird.
■ "Safely-Limited Position" (SLP) ist die Sicherheitsfunktion, die die Position des Roboters über‐
wacht; die Überwachung erfolgt als Vergleich sowohl der Achswerte (SLPj) als auch der kartesi‐
schen Koordinaten (SLPc) mit den konfigurierbaren Grenzwerten. Die kartesischen Grenzwerte
werden als geometrische Volumen definiert; das Verbleiben der Roboterposition innerhalb dieser
kartesischen Grenzwerte wird für eine Reihe von konfigurierbaren Überwachungspunkten über‐
wacht ("Safe Tool"). Die Sicherheitsfunktionen SLPj und SLPc erfordern eine sichere Referenzie‐
rung in der Zelle; die Verwendung limitierter Zonen erfordert normalerweise einen regelmäßigen
Bremstest, für den Fall, dass der Roboter nach einem Systemausfall (z. B. Stromausfall) mit seinen
eigenen Bremsen gestoppt werden muss.
■ "Safely-Limited Speed" (SLS) ist die Sicherheitsfunktion, die die Geschwindigkeit des Roboters
überwacht; die Überwachung erfolgt als Vergleich sowohl der Achswerte (SLSj) als auch der karte‐
sischen Koordinaten (SLSc) mit den konfigurierbaren Grenzwerten. Die kartesische Geschwindig‐
keit wird für eine Reihe von konfigurierbaren Überwachungspunkten überwacht. Die Sicherheits‐
funktion SLSj kann ohne Auflagen benutzt werden, wohingegen die Sicherheitsfunktion SLSc eine
sichere Referenzierung in der Zelle erfordert. Aufgrund der eingeschränkten Präzision der sicheren
Geschwindigkeit ist die von der Bewegungssteuerung gesteuerte Geschwindigkeit um bis
zu 20% niedriger als der Grenzwert der sicheren Geschwindigkeit. Die Geschwindigkeit wird in Be‐
zug auf den VAL 3 TCP und das Werkzeug gesteuert, welches sich vom Sicherheits-TCP und den
Sicherheitsgrenzwerten unterscheiden kann.
■ "Safe Zone Monitoring" (SZM) ist eine Kombination aus einer eingeschränkten sicheren Position
und einer Geschwindigkeitsbeschränkung: die sichere Geschwindigkeitsbegrenzung ist nur inner‐
halb der Zone in Effekt.
■ Die sicheren Eingänge (USI) werden kontinuierlich überwacht, um bei Bedarf folgende Reaktionen
des Roboters auszulösen: Sicherheitsstopps SS1 oder SS2, sicher begrenzte Position (SLP), sicher
begrenzte Geschwindigkeit (SLS) oder sichere Zonen (SZM). Die vier sicheren Eingänge der Sicher‐
heitssteuerung können unabhängig voneinander konfiguriert werden, jedoch unter folgenden Ein‐
schränkungen:
-
Der sichere Eingang USIA ist dem Not-Halt-Taster der WMS-Box vorbehalten, sofern ei‐
ne WMS-Box Einsatz findet.
- Der sichere Eingang USID kann für die sichere Referenzierung verwendet werden, sofern diese
erforderlich ist.
■ Das FSoE Slave-Profil ist eine weitere Möglichkeit zum Auslösen einer Roboterreaktion durch eine
externe sicheren SPS (PLC). Jeder sichere Eingang kann durch ein entsprechendes FSoE-Signal
ersetzt werden.
Die Sicherheitsfunktionen SOS, SLP, SLS und SZM entsprechen SIL3,PLe.
■ Bestimmte Sicherheitsmodi legen Sicherheitszustände fest, die die Aktivierung oder Sperrung an‐
derer Sicherheitsfunktionen auslösen; die Sicherheitsmodi des CS9/TX2-Roboters definieren sich
über die Betriebsart, den Wartungsmodus, den SP2-Modus und den RBR-Modus.
■ Die Wiederanlaufkontrolle ist die Sicherheitsfunktion, die den Roboter nach einem Sicherheitsstopp
oder einem Maschinenanlauf in einem sicheren Zustand hält, bis ein explizites Signal zur Quittie‐
rung des Wiederanlaufs (manuelles Reset) eingeht.
Die Sicherheitsapplikation schlägt spezifische konfigurierbare Neustartbedingungen als Folge ei‐
nes SS2-Stopps ohne manuelles Reset vor.
■ Die Betriebsart und der Wiederanlauf können auch über das FSoE Slave-Profil gesteuert werden.
■ Das An-/Abstecken des SP2 ohne einen Not-Halt auszulösen ist eine weitere Steuerungsfunktion,
die von der Sicherheitssteuerung implementiert wird.
Die drei sicheren Ausgänge der Sicherheitssteuerung können zur Steuerung von externer Peripherie
konfiguriert werden oder Sicherheitsinformationen an eine externe sichere SPS (PLC) senden.
■ Stoppen oder Stopp-Zustand (Not-Halt, Sicherheitshalt, sicherer Betriebshalt).
■ Zustand der Stromversorgung.
■ Aktuelle Betriebsart.
■ Information zur Wiederanlaufüberwachung.
■ Zustand der durch USID aktivierten reduzierten Geschwindigkeit.
Diese Sicherheitszustände sind auch über das FSoE Slave-Profil verfügbar.
3 - MASCHINENDESIGN .
3.1 - SICHERHEITSANFORDERUNGEN .
Empfohlene Nutzung
Ein Roboter ist kein gebrauchsfertiges Produkt. Er ist eine unvollständige Maschine, die zur Integration
in eine Roboterzelle entwickelt wurde. Diese Roboterzelle muss konform mit den geltenden Sicher‐
heitsvorschriften sein, bevor sie in Betrieb genommen werden kann.
Der STÄUBLI-Roboter wurde für industrielle Anwendungen entwickelt, bei denen diverse Schutzvor‐
richtungen den Bediener von einem beweglichen Roboter trennen. Der Bediener kann zeitweise in der
Nähe des Roboters arbeiten, beispielsweise bei enger Zusammenarbeit oder um Einstellungen oder
Wartungsarbeiten durchzuführen. Zusätzliche eingegangene Risiken sind vom Integrator zu steuern.
EU-Gesetzgebung
In der Europäischen Union sind die für Maschinen geltenden Sicherheitsvorschriften in der Richtli‐
nie 2006/42/EG definiert. Gemäß dieser Richtlinie muss zur Ermittlung der Gesundheits- und Sicher‐
heitsrisiken eine Risikobewertung der Maschine durchgeführt werden. Die Ergebnisse dieser Risikobe‐
wertung müssen in die Entwicklung der Maschine einfließen und bei ihrer Herstellung berücksichtigt
werden. Die Richtlinie definiert die grundlegenden und verpflichtenden Gesundheitsschutz- und Si‐
cherheitsvorschriften.
Zur korrekten Anwendung der Maschinen-Richtlinie wurden internationale Normen entwickelt. Die Ma‐
schinen-Richtlinie und ein Verzeichnis der harmonisierten Normen ist unter folgender Adresse verfüg‐
bar http://eur-lex.europa.eu. Für die Integration des Roboters bedeutet dies, dass die Anwendung der
Spezifikationen der Norm EN ISO 10218-2:2011 gemäß der Risikobeurteilung des Integrators die Kon‐
formität mit den grundlegenden Gesundheitsschutz- und Sicherheitsvorschriften der Maschinen-Richt‐
linie voraussetzt, die von der Norm abgedeckt werden.
In der Maschinen-Richtlinie sind die Verfahren zur Beurteilung der Konformität der Maschinen festge‐
legt. Als Nachweis für die Konformität mit der Maschinen-Richtlinie gilt für komplette Maschinen die
CE-Kennzeichnung in Verbindung mit der EG-Konformitätserklärung. Für unvollständige Maschinen
enthält die Einbauerklärung die grundlegenden Gesundheitsschutz- und Sicherheitsvorschriften sowie
sonstige erfüllte einschlägige Richtlinien.
Der Roboter wird mit seiner Einbauerklärung geliefert. Eine elektronische Kopie der Erklärung ist in
mehreren Sprachen auf der DVD des Roboters verfügbar. Sie können sie auch von Ih‐
rem STÄUBLI Kundendienst erhalten.
Die Einbauerklärung des Roboters basiert auf der Anwendung der entsprechenden Anforderungen der
folgenden harmonisierten Normen:
■ EN ISO 10218-1:2011 Roboter und roboterähnliche Geräte - Sicherheitsan‐
forderungen für Industrieroboter - Teil 1
■ EN ISO 13849-1:2015 Sicherheit von Maschinen - Sicherheitsbezogene
Teile von Steuerungen - Teil 1
■ EN 60204-1:2006 und EN 60204-1/A1:2009 Sicherheit von Maschinen - Elektrische Betriebsmit‐
tel
■ EN 61000-6-4:2007 / A1:2011 Elektromagnetische Verträglichkeit - Rahmennorm
für Emissionen
■ EN 61000-6-2:2005 Elektromagnetische Verträglichkeit - Rahmennorm
für die Störfestigkeit
In den USA gibt es keine standardisierten Vorschriften der Occupational Safety and Health Administra‐
tion (OHSA) für Roboter. Aber die Norm ANSI/RIA R15.06-2012 gilt als Referenznorm für Robotersys‐
teme. Diese Norm und die kanadische Norm CAN/CSA-Z434-03 (R2013) entsprechen im Wesentlichen
den Normen ISO 10218-1:2011 und ISO 10218-2:2011. Auch Korea orientiert sich bei Industrierobo‐
tern an den ISO-Normen.
Jedes Land kann zusätzliche Sicherheitsstandards festlegen und spezifische lokale Vorschriften ver‐
hängen. Beispielsweise enthalten die Normen UL für Roboter und UL 1740 für Roboterausrüstungen
zusätzliche Vorschriften für den Roboter und die elektrische Sicherheit.
Für die UL Version wurde das Robotersystem bezüglich der Kompatibilität zu folgenden Normen ge‐
prüft:
■ Norm UL 1740 Roboter und Roboterausstattung
■ Norm RIA15-06 Amerikanische Norm für Industrieroboter und Robotersysteme. Sicherheits‐
anforderungen.
■ Norm CSA Z434-03 Industrieroboter und Robotersysteme. Allgemeine Sicherheitsanforderungen.
■ Norm NFPA 79 Elektrische Richtlinien für industrielle Maschinen
■ Norm NFPA 70 US-Norm NEC für Elektrizität
Zur Erfüllung der wesentlichen, in der Maschinenrichtlinie festgelegten Gesundheits- und Sicherheits‐
anforderungen muss der Integrator die Anforderungen bezüglich des Roboters berücksichtigen, die
nicht oder nur teilweise von STÄUBLI abgedeckt werden. Diese Anforderungen sind in der Bedie‐
nungsanleitung des Roboters ausgeführt.
Allgemeine Anforderungen bezüglich des Roboters sind nachstehend aufgeführt:
Ergonomie
Die Einstellbedingungen des Roboters (Teachen von Punkten, Bewegungseinstellung) müssen bei der
Konzeption des Endeffektors des Roboters und der Zellenumgebung berücksichtigt werden.
Anweisungen
Der Maschinenbauer muss die Roboterhandbücher unter Umständen übersetzen, wenn die gesamte
Maschine in einem anderen Land als dem, in dem der Roboter geliefert wurde, in Betrieb genommen
werden soll..
Die Anweisungen für die gesamte Maschine umfassen die Roboterhandbücher oder Teile der Handbü‐
cher, die für die Benutzung, Einstellung und Wartung des Roboters erforderlich sind.
Die Verkaufsunterlagen der gesamten Maschine müssen mit den Bedienungsanleitungen des Roboters
im Einklang stehen.
Das Sicherheitskonzept sollte von Beginn an zusammen mit dem Verantwortlichen für Maschinensi‐
cherheit entwickelt werden, um sicherzustellen, dass sich die beteiligten Parteien über die Risikomin‐
derungsmaßnahmen einig sind; spätere Änderungen am Sicherheitskonzept können schwerwiegende
Auswirkungen auf die Auslegung der Anlage haben.
Daher muss sichergestellt werden, dass die verschiedenen Sicherheitskomponenten die erwarteten
Funktionalitäten aufweisen und auch miteinander verbunden werden können. Typische Prüfpunkte für
roboterbezogene Sicherheitskomponenten sind:
■ Leistungsniveau / Sicherheitsanforderungsstufe PL/SIL
Das Leistungsniveau der Sicherheitsfunktionen der Anlage muss anhand der Sicherheitskenndaten
der betreffenden Sicherheitskomponenten berechnet und mit dem angestrebten Sicherheitsleis‐
tungsniveau verglichen werden.
■ Kompatibilität zwischen den elektrischen Sicherheitsschnittstellen
Es kann vorkommen, dass verschiedene Arten von sicheren digitalen Ein-/Ausgängen nicht zuei‐
nander kompatibel sind; zum Beispiel muss sichergestellt werden, dass die Testimpulse für die
Selbstdiagnose an den sicheren digitalen Ausgängen vom angeschlossenen Gerät unterstützt
(bzw. ignoriert) werden.
■ Fehlererkennung in der Sicherheitsverdrahtung
Die elektrischen Sicherheitsschnittstellen müssen sowohl zueinander kompatibel sein, als auch
über eine Erkennung von Fehlverdrahtungen verfügen, die dem angestrebten Sicherheitsleistungs‐
niveau entspricht (z. B. Erfassung von Kurzschlüssen an 0V, 24V oder zwischen den einzelnen Si‐
cherheitssignalen). Eine Deaktivierung der Überwachung der Testimpulse an den sicheren Eingän‐
gen kann dazu führen, dass die Schnittstellen zwar kompatibel, aber ungeeignet sind.
■ Kodierung redundanter Signale
Redundante Sicherheitssignale können auf verschiedene Art und Weise kodiert werden, z. B.
mit 2 Öffnerkontakten (N.C.) oder 1 Öffnerkontakt (N.C.) und 1 Schließerkontakt (N.O.). Die verbun‐
denen Geräte müssen die Kodierung unterstützen.
■ Anzahl an sicheren Ein- und Ausgängen
Der Roboter bietet verschiedene Konfigurationsmöglichkeiten für sichere Ein- und Ausgänge, ver‐
fügt aber nur über eine begrenzte Anzahl von Anschlüssen. Es muss sichergestellt werden, dass
ausreichend sichere digitale Ein- und Ausgänge zur Verfügung stehen, inklusive E/A's für spezifi‐
sche Funktionen wie z.B. das sichere Referenzieren oder die Weiterleitung von Sicherheitssignalen.
■ Endlosschleifen
Die Verkettung von Not-Halt-Signalen, Schutzstopps oder Signalen zur Wiederanlaufkontrolle kann
zu einer Endlosschleife führen, wenn zwei Geräte gegenseitig darauf warten, dass das jeweils an‐
dere eine Stopp-Bedingung aufhebt.
■ Anzahl und Eigenschaften der Positions- und Geschwindigkeitsüberwachungsfunktionen
Der Roboter verfügt über eine begrenzte Anzahl an Positions- und Geschwindigkeitsüberwa‐
chungsfunktionen, und ist nicht für die Einrichtung komplexer Volumen rund um den Roboter oder
sein Werkzeug ausgelegt; je komplexer die Volumen, desto komplexer deren Einrichtung und Vali‐
dierung.
Die Sicherheitszonen müssen so ausgelegt sein, dass sie nur Sicherheitsprobleme adressieren,
nicht aber vor Hardwarekollisionen schützen (für diesen Fall bietet die Bewegungssteuerung bes‐
sere Lösungen). Es muss sichergestellt werden, dass die Eigenschaften der Positions- und Ge‐
schwindigkeitsüberwachungsfunktionen die Einrichtung sinnvoller Zonen rund um den Roboter und
sein Werkzeug erlauben.
Um Fehlauslösungen zu verhindern, gibt es immer einen Puffer zwischen den Sicherheitsgrenzwer‐
ten und den Grenzwerten für die Bewegungssteuerung - der Roboter wird sich immer langsamer
als die eingestellte Sicherheitsgeschwindigkeit bewegen.
■ Sicherheitsabstände
Ein Sicherheitsabstand muss anhand der vollständigen Reaktionszeit der betreffenden Sicherheits‐
funktion berechnet werden, zu der auch die Reaktionszeit ihrer Komponenten sowie die Zeiten für
Auslösung und Signalübertragung gehören. Wenn die Anhaltezeit des Roboters erheblich reduziert
werden soll, muss überprüft werden, ob die beabsichtigte Anhaltezeit tatsächlich erreicht werden
kann, und ob die Auswirkungen auf die Lebensdauer des Roboters vertretbar sind.
■ Beschränkung des Arbeitsbereichs
Es existiert stets eine Marge zwischen den von der Sicherheitssteuerung überwachten Positions‐
grenzen und den Positionen, die der Roboter unter ungünstigsten Bedingungen erreichen kann,
wie z. B. nach einem Stromausfall. Diese Marge muss bei der Auslegung der Zelle berücksichtigt
werden.
■ Referenzsensor
Das Verfahren zur sicheren Referenzierung erfordert den Einbau eines Referenzsensors in der Zel‐
le; Art und Einbauort des Referenzsensors müssen dem Referenzierungsverfahren entsprechen.
I0003913
Abbildung 3.1
Beschreibung Stellgl. (1) Enc. (2) PFHd (h-1) SIL (3) PL (3)
STO Motorphasen offen halten - - 0.22 10-7 HFT1 - SIL3 Cat 4 - PLe
SBC Bremskontakte offen halten - - 0.18 10-7 HFT1 - SIL3 (4) Cat 4 - PLe (4)
SVC Ventilsteuerungskontakte offen AUS -
halten
(1) Aktivierung: - = immer aktiviert. AN/AUS: konfigurierbar, AN oder AUS als Standardwert. Opt. =
Option. Liz. = mit Softwarelizenz SafeCELL+.
(2) Encoder: Fbk = Encoder-Feedback erforderlich, Referenzierung nicht erforderlich. Ref = Refe‐
renzierung erforderlich. -= nicht erforderlich.
(3) Betriebsdauer 20 Jahre.
(4) Bremsen und Ventile werden über ein einzelnes Kabel angesteuert; es kommt ein Fehleraus‐
schluss zur Anwendung, der die Möglichkeit eines Kurzschlusses im Arm an 24V ausschließt.
Beschreibung Stellgl. (1) Enc. (2) PFHd (h-1) SIL (3) PL (3)
SS0 Sofortige Aktivierung - (4) - 0.31 10-7 HFT1 - Cat 4 -
von STO, SBC und (optional) SVC. SIL3 PLe
SS1 SP2-ES Kontrollierter Stopp innerhalb einer - - 0.48 10-7
konfigurierbaren Zeitspanne, ge‐
SP2-EN folgt von der Aktivierung ei‐ - - 0.73 10-7
WMS-ES nes SS0. Opt. - 0.48 10-7
USER ON - 0.31 10-7
SS2 SP2-EN Kontrollierter Stopp innerhalb einer AUS Fbk. 0.85 10-7 HFT1 - Cat 4 -
konfigurierbaren Zeitspanne, ge‐ SIL3 PLe
USER folgt von der Aktivierung ei‐ AUS Fbk. 0.43 10-7
nes SOS.
(1) Aktivierung: - = immer aktiviert. AN/AUS: konfigurierbar, AN oder AUS als Standardwert. Opt. =
Option. Liz. = mit Softwarelizenz SafeCELL+.
(2) Encoder: Fbk = Encoder-Feedback erforderlich, Referenzierung nicht erforderlich. Ref = Refe‐
renzierung erforderlich. -= nicht erforderlich.
(3) Betriebsdauer 20 Jahre.
(4) SS0 kann nicht direkt ausgelöst werden, sondern wird nach einem SS1-Stopp oder einem Si‐
cherheitsverstoß aktiviert.
3.3 - DURCHFÜHRUNG .
Zum Zwecke der elektrischen Sicherheit muss die Stromversorgung des Roboters die einschlägigen
Spezifikationen erfüllen; siehe Kapitel Stromversorgung im Handbuch der Steuerung.
Die funktionale Sicherheitsausstattung muss über eine 24V-Niederspannungs-Stromversorgung
(SELV/PELV gemäß EN 61131-2) gespeist werden; zu diesem Zweck verfügt die Steuerung des Robo‐
ters über eine interne 24V-PELV-Stromversorgung. Optional kann die Stromversorgung der Steuerung
(J213) oder des Arms (J711 an der RBR-Schnittstelle) über eine externe 24V-Spannungsquelle sicher‐
gestellt werden, die eine 24V-PELV/SELV-Stromversorgung bereitstellt.
I0003972
Abbildung 3.2
Die Verwendung von Testimpulsen kann besondere Anforderungen an die Peripherie stellen, die mit
den digitalen Sicherheitssignalen verbunden ist:
■ In Bezug auf die sicheren Eingänge erfordern die Testimpulse die Nutzung von potenzialfreien Kon‐
takten oder optischen Kopplern zum Öffnen/Schließen des Kontakts zwischen dem sicheren Ein‐
gang (USI) und dem dazugehörigen Testausgang (TDO).
■ Bei sicheren Ausgängen (USO) muss sichergestellt werden, dass die angeschlossene Peripherie
nicht von den Impulsen beeinträchtigt wird und dass diese nicht von ihr ausgefiltert werden.
Es ist möglich, die Prüfung der Testimpulse an den Sicherheitseingängen zu deaktivieren, damit sie di‐
rekt an den 24V-Ausgang eines externen Geräts angeschlossen werden können. Dies ist die typische
Lösung für den Anschluss eines Geräts, das ebenfalls Testimpulse verwendet, wie ein Sicherheits-
PLC.
Diese Möglichkeit ist jedoch mit Vorsicht zu verwenden, um eine Reduzierung des Niveaus der Sicher‐
heitsleistung der betroffenen Sicherheitsfunktion zu vermeiden. Die Deaktivierung der Prüfung der
Testimpulse erfolgt:
■ Durch Verwendung eines "NoPulses"-Sicherheitsprogramms, das die Prüfungen der Testimpulse
an allen Benutzersicherheitseingängen (USIA/B/C/D, WMS) deaktiviert. Testimpulse an den Sys‐
temsicherheitseingängen (SP2 Notaus und Zustimmtaster) werden aufrechterhalten.
■ Durch Verwendung eines "NoPulsesJ101"-Sicherheitsprogramms, das die Prüfungen der Test‐
impulse nur an J101-1/2/3/4 deaktiviert (Betriebsart und manuelle Reset-Eingänge); die Prüfungen
der Testimpulse an J101-7/8 und USIA/B/C/D werden aufrechterhalten.
Testimpulse an Sicherheitseingängen können sicher deaktiviert werden, wenn das angeschlosse‐
ne 24V-Signal seine eigenen Testimpulse hat; die Diagnose der Kurzschlüsse erfolgt durch das sende‐
nde Gerät, anstelle des Roboters.
SICHERHEIT
Safety
Wenn das angeschlossene 24V-Signal keinen Testimpuls hat, muss ein FMEA durchgeführt
werden, um festzustellen, welche Folgen nicht erkannte Kurzschlüsse an 24V oder zwischen
den Sicherheitssignalen hat; das Leistungsniveau der entsprechenden Sicherheitsfunktion
kann folglich reduziert worden sein.
Je nach Signal und Ausrüstung können bestimmte Sicherheitssignale mit 2 Öffnerkontakten (NC) oder
mit einem Schließerkontakt (NO) und einem Öffnerkontakt (NC) kodiert werden. Die Nutzung
von 1 NO-, bzw. 1 NC-Kontakten an den sicheren Eingängen wird jedoch vom aktuellen Robotersi‐
cherheitsprogramm nicht unterstützt.
I0003914
Profileingänge sind Sicherheitssignale, die die externe sichere SPS (PLC) vom RSI9 erhält.
Bit Bezeichnung Beschreibung (Ausgänge)
0 manualSlow : Die aktuelle Betriebsart ist "Manuell".
1 manualFast : Die aktuelle Betriebsart ist "100% Test".
2 autoLocal : Die aktuelle Betriebsart ist "Automatik".
3 autoRemote : Die aktuelle Betriebsart ist "Fern Auto".
4 maintenanceMo‐ : Der Wartungsmodus ist aktiviert.
de
5 reducedSafety : Der reduzierte Sicherheitsmodus ist aktiviert (schnelle Geschwindigkeit
in der Betriebsart "100% Test").
16 safeState : Der Roboter befindet sich in einem sicheren Zustand (Motoren ausge‐
schaltet, Bremsen aktiviert).
17 armPower : Die Armleistung des Roboters ist eingeschaltet (die Motoren sind be‐
stromt).
18 fastSpeed : Die Geschwindigkeitsgrenzwerte des Roboters sind die der Betriebsart
"Automatik" oder anwendungsspezifische Geschwindigkeitsgrenzwerte (Zo‐
nen oder USI-Grenzwerte).
: Die Geschwindigkeitsgrenzwerte des Roboters sind die der Betriebsart
"Manuell".
19 sosState : Der Roboter befindet sich in einem sicheren Zustand oder ist über‐
wacht angehalten, die Sicherheitsfunktion SOS ist aktiviert.
20 ss2state : Der Roboter befindet sich in einem Sicherheitsstopp
(SS0, SS1 oder SS2).
21 ss1state : Der Roboter befindet sich in einem Sicherheitsstopp (SS0 oder SS1).
22 waitingRestartAck : Für den Wiederanlauf ist eine Quittierung erforderlich (manuelles Re‐
set), sobald die Bedingung für den Sicherheitsstopp entfallen ist.
23 restartAck Signal der Wiederanlauf-Quittierung (manuelles Reset) vom Roboter.
24 mcpRemoval : Das MCP wird gerade entfernt oder wieder angeschlossen.
25 mcpPlug : Der MCP-Stecker ist angeschlossen.
26 mcpEnabling : Der MCP-Zustimmtaster ist aktiviert.
: Der MCP-Zustimmtaster ist gelöst oder muss zu Testzwecken gelöst
werden.
27 mcpEstop : Der MCP-Not-Halt ist aktiviert.
40 usiA Zustand des sicheren Eingangs USIA.
41 usiB Zustand des sicheren Eingangs USIB.
42 usiC Zustand des sicheren Eingangs USIC.
Profilausgänge sind Sicherheitssignale, die die externe sichere SPS (PLC) ans RSI9 sendet.
Bit Bezeichnung Beschreibung (Ausgänge)
0 manualSlow : Wählt die Betriebsart "Manuell" aus (1) .
1 manualFast : Wählt die Betriebsart "100% Test" aus (1) .
2 autoLocal : Wählt die Betriebsart "Automatik" aus (1) .
3 autoRemote : Wählt die Betriebsart "Fern Auto" aus (1) .
8 ss1Ctrl Wenn das Sicherheitsprofil aktiviert ist, muss ss1Ctrl bleiben, damit Ro‐
boterbewegungen möglich bleiben: löst einen SS1-Stopp aus.
Wenn das Sicherheitsprofil nicht aktiviert ist, löst einen SS1-Stopp aus.
9 enablingDevi‐ : Ein Zustimmtaster (2) wird aktiviert, Bewegungen sind in den manuellen
ceCtrl Betriebsarten möglich.
: Der SP2-Zustimmtaster muss aktiviert werden, damit Bewegungen in der
Betriebsart "Manuell" möglich sind.
10 ss2Ctrl Wenn das Sicherheitsprofil aktiviert ist, muss ss2Ctrl bleiben, damit Ro‐
boterbewegungen möglich bleiben: löst einen SS2-Stopp aus.
Wenn das Sicherheitsprofil nicht aktiviert ist, löst einen SS2-Stopp aus.
12 restartAck Eine fallende Flanke ↓ löst eine Wiederanlauf-Quittierung aus (manuel‐
les Reset).
13 referencing : Ein Referenzsensor hat den Roboter an einer der Referenzpositionen er‐
fasst.
24 monitoringA : Die für den USIA konfigurierte Sicherheitsfunktion ist aktiviert (3) .
25 monitoringB : Die für den USIB konfigurierte Sicherheitsfunktion ist aktiviert (3) .
26 monitoringC : Die für den USIC konfigurierte Sicherheitsfunktion ist aktiviert (3) .
27 monitoringD : Die für den USID konfigurierte Sicherheitsfunktion ist aktiviert (3) .
(1) Nur effektiv, wenn die Betriebsart nicht am SP2 ausgewählt wird: mode_WMS = 1,
oder mode_WMS=0 und mode_MCP=0.
(2) enablingDeviceCtrl ermöglicht die Nutzung eines externen Zustimmtasters zur Steue‐
rung des Roboters oder um die gleichzeitige Verwendung von zwei Zustimmtastern zu‐
zulassen.
(3) Siehe den Warnhinweis in Kapitel 3.3.3.1.
3.3.4 - SICHERHEITSSTOPPS .
Ein Not-Halt-Taster ist ein spezieller, leicht erkennbarer Sicherheitsschalter (roter Drucktaster auf gelb‐
em Grund), der immer (d.h. bedingungslos) auslöst, wenn er gedrückt wird, und durch den die An‐
triebskraft der Roboter-Stellglieder und der anderen Stellglieder in der Zelle aufgehoben wird. Das Sig‐
nal der mit dem Roboter verknüpften Not-Halt-Vorrichtungen ist über einen sicheren Ausgang an die
restlichen Komponenten der Zelle weiterzuleiten (Siehe Kapitel 3.2.5).
Schutzstopps sind Sicherheitsstopps, die je nach den zu überwachenden Risiken u.a. wie folgt konfi‐
guriert werden können: Aktivierung für die manuellen, automatischen oder beide Betriebsarten, mit
oder ohne Wiederanlaufkontrolle (manuelles Reset), Auslösung eines SS1- oder SS2-Stopps, Weiter‐
meldung an andere Peripherien oder Beschränkung auf den Roboter, usw...
Standardmäßig ist die CS9-Steuerung so konfiguriert, dass der sichere Eingang USIA mit einer Not-
Halt-Vorrichtung verbunden ist, und der sichere Ausgang USOA das Not-Halt-Signal an die anderen
Peripherien in der Zelle weiterleitet.
USIB, USIC und USID sind standardmäßig als SS1-Schutzstopps konfiguriert, und zwar entweder nur
in einer manuellen Betriebsart, nur in einer automatischen Betriebsart, oder in allen Betriebsarten.
Nur USIA kann als Not-Halt konfiguriert werden. Wenn keine WMS-Box verwendet wird, kann er alter‐
nativ als Schutzstopp konfiguriert werden.
Der Not-Halt der WMS-Box verwendet intern die gleichen Kontakte wie der Eingang USIA.
D.h. wenn die WMS-Box verwendet wird, ist USIA immer als Not-Halt konfiguriert.
Die Sicherheitssteuerung liefert verschiedene Not-Halt-Zustandsmeldungen, die in VAL 3 oder über ei‐
nen sicheren Ausgang zugänglich sind:
Stopp-Sta‐ Beschreibung
tus
ES-OUT Eine an den Roboter angeschlossene Not-Halt-Vorrichtung ist gedrückt.
ES-RST- Eine an den Roboter angeschlossene Not-Halt-Vorrichtung ist entweder gedrückt oder
OUT wurde gelöst, aber noch nicht quittiert (wartet auf ein manuelles Reset).
SS2-OUT Einer der beiden Sicherheitstopps SS1 oder SS2 ist aktiv. Kann in der Betriebsart "Ma‐
nuell" als ein Abbild des Zustands des Zustimmtasters verwendet werden.
SOS-OUT Ein Sicherheitsstopp ist aktiv, der Roboter ist angehalten. Wenn das SS2-Zustandssig‐
nal aktiviert wird während der Roboter anhält (aber noch nicht vollständig angehalten
hat), kann der SOS-Zustand dazu benutzt werden, um eine Aktion erst dann zuzulas‐
sen, wenn der Roboter tatsächlich zum Stillstand gekommen ist.
Wenn eine Sicherheitstopp-Zustandsmeldung des Roboters als Stoppsignal für andere Geräte in der
Zelle verwendet wird, muss sichergestellt werden, dass dieses Stoppsignal nicht wieder als Sicher‐
heitsstoppeingang an den Roboter zurückgeleitet wird; dies würde zu einer Endlosschleife führen und
die Aufhebung des Sicherheitstopp-Zustands des Roboters unmöglich machen.
Wenn eine sichere SPS (PLC) für die Steuerung des Not-Halts der Zelle zuständig ist, ist folgendes zu
beachten:
■ Der Not-Halt-Ausgang USOA des Roboters, als ES-OUT konfiguriert, muss so an die sichere SPS
(PLC) angeschlossen werden, dass diese alle anderen Geräte in der Zelle stoppen kann.
■ Die Quittierung des Not-Halts (manuelles Reset) muss von der sicheren SPS (PLC) geleitet werden,
nicht vom Roboter. Dazu darf nicht die ES-RST-OUT-Konfiguration des USOA verwendet werden!
■ Die sichere SPS (PLC) muss einen SS1-Schutzstoppeingang des Roboters benutzen und nicht ih‐
ren Not-Halt-Eingang, damit der Roboter immer noch angehalten werden kann, wenn innerhalb der
Zelle ein Not-Halt aktiviert wird.
Der Not-Halt-Eingang USIA des Roboters kann möglicherweise als SS1-Schutzstopp umkonfiguriert
werden, wenn er nicht an eine Not-Halt-Vorrichtung angeschlossen ist und keine WMS-Box Verwen‐
dung findet.
Wenn USIA als Not-Halt-Eingang konfiguriert ist, muss er an eine Not-Halt-Vorrichtung ange‐
schlossen werden, und nicht an eine externe sichere SPS (PLC). Um ihn an eine externe SPS
(PLC) anzuschließen, muss er in einen Schutzstopp umkonfiguriert werden.
Wenn der Ausgang USOA an eine sichere SPS (PLC) angeschlossen ist, muss er
als ES-OUT konfiguriert werden. Die Konfiguration ES-RST-OUT ist für die Steuerung einer
eigenständigen Ausrüstung ausgelegt.
3.3.5 - STEUERSCHNITTSTELLEN .
Zur Auswahl der Betriebsart und zur Quittierung der Sicherheitsstopps (manuelles Reset) müssen dem
Roboter bestimmte Sicherheits-Schnittstellen zur Verfügung stehen. Je nach Ergebnis der Risikoanaly‐
se sind verschiedene Lösungen denkbar:
■ Die Betriebsart des Roboters und die Sicherheitsquittierung können über sichere Eingänge gesteu‐
ert werden; die optionale WMS9-Box bietet diesbezüglich eine passende Schnittstelle, kann aber
auch durch eine gleichwertige, an den Anschluss J101-WMS anzuschließende benutzerseitige
Schnittstelle ersetzt werden.
■ Die Einstellung der Betriebsart und die Sicherheitsquittierung können aber auch softwaregestützt
am SP2 vorgenommen werden. Die Betriebsart kann darüber hinaus auch mit Hilfe der Einstel‐
lung remoteMcp von der Software gesteuert werden. Die Sicherheitsquittierung kann in VAL 3 an‐
hand des Softwareausgangs RSI9 Qrestart oder über das I/O-Mapping gesteuert werden (siehe
Systemein- und -ausgänge der Steuerung). Bei einer Auswahl über die Software kann der Zugriff
auf bestimmte Betriebsarten per Benutzerprofil gesteuert werden.
■ Die Sicherheitsquittierung am Roboter kann deaktiviert werden, wenn die Wiederanlaufsteuerung
vollständig über eine externe SPS (PLC) oder in VAL 3 implementiert wird.
■ Der automatische Wiederanlauf nach einem SS2-Stopp kann über verschiedene Timer so gesteuert
werden, dass ein manuelles Reset nach einem längeren Stopp erzwungen wird, dass vor dem Wie‐
deranlauf eine Warnmeldung ausgelöst wird, oder dass der Roboter zunächst mit geringer Ge‐
schwindigkeit wieder anläuft.
Die Auswahl geeigneter Sicherheitsschnittstellen ist Teil des Sicherheitskonzepts. Es hat potenzielle
Risiken zu berücksichtigen, wie z.B.:
■ das Risiko, dass sich eine Person dem Roboter in der Betriebsart "Automatik" ohne Sicherheits‐
stopp nähert, insbesondere während Einrichtungs- oder Wartungsarbeiten.
■ das Risiko, dass die von der Software ausgewählte oder angezeigte Betriebsart nicht der tatsäch‐
lich eingestellten Betriebsart der Sicherheitssteuerung entspricht; die tatsächlich eingestellte Be‐
triebsart steuert verschiedene Sicherheitsfunktionen, wie die Sicherheits-Geschwindigkeitsbegren‐
zungen und die Sicherheitsstopps.
■ das Risiko eines automatischen Wiederanlaufs des Roboters nach dem Wegfall des Grunds, der zu
einem Sicherheitsstopp geführt hat, insbesondere während Wartungsarbeiten.
Das Risiko eines unerwarteten Wiederanlaufs des Roboters muss insbesondere bei kollabo‐
rativen Anwendungen mit größter Aufmerksamkeit bedacht werden. Ein visuelles Signal kann
hilfreich sein um anzuzeigen, dass der Roboter wahrscheinlich wieder von alleine anlaufen
wird, oder dass eine Sicherheitsquittierung (manuelles Reset) für den Wiederanlauf erforder‐
lich ist.
Die Steuerschnittstellen müssen sich außerhalb des gesicherten Bereichs befinden um eine freie Sicht
auf den beschränkten Bereich des Roboters zu ermöglichen.
Unabhängig von der Art des Betriebsartenschalters dient dieser dazu, einen Betriebsartenwechsel bei
der Sicherheitssteuerung anzufordern; die Betriebsart wird allerdings erst geändert, nachdem der Ro‐
boter zum Stillstand gekommen ist und sich in einem sicheren Zustand befindet.
Die Quittierung des Wiederanlaufs mittels J101-4 wird mit einer fallenden Flanke des Signals ausge‐
löst; die Quittierung des Wiederanlaufs mittels Softwareausgang RSI9 Qrestart wird durch Setzen des
Ausgangs auf 1 ausgelöst. Das Signal zur Quittierung des Wiederanlaufs des Roboters kann über ei‐
nen sicheren Ausgang an andere Geräte weitergegeben werden (Siehe Kapitel 5.6.3).
Nach dem Überschreiten eines sicher überwachten Achswinkels oder von Geschwindigkeits‐
grenzwerten (SLPj, SLSj) ist eine softwareseitige Quittierung mittels Qrestart nicht möglich:
Das Signal zur Quittierung des Wiederanlaufs wird nur über den sicheren Ein‐
gang J101-4 akzeptiert.
Ein einziges MCP kann von mehreren Robotern benutzt werden. Wenn ein Roboter in der Betriebsart
"Fern Auto" läuft, ist es möglich, das SP2 an-/abzustecken, ohne dass ein Not-Halt ausgelöst wird,
sofern der Vorgang über die entsprechende Funktion im Menüpunkt "Sicherheit" des Handbedienge‐
räts angefordert worden ist. Nach dem Einleiten des Vorgangs wird die Not-Halt-Funktion des Hand‐
bediengeräts vorübergehend deaktiviert. Um Missbrauch zu verhindern, muss das Handbediengerät
(MCP) nach Einleiten des Vorgangs rechtzeitig durch einen speziellen MCP-Brückenstecker ersetzt
werden.
I0003915
Innerhalb von 30s nach dem Abnehmen des MCP-Steckers kann das Handbediengerät (MCP) ohne
weiteres wieder angeschlossen werden.
SICHERHEIT
Safety
Ein nicht an eine Robotersteuerung angeschlossenes Handbediengerät (MCP) muss entwe‐
der entfernt oder so abgedeckt werden, dass der inaktive Not-Halt-Taster in der Zelle nicht
sichtbar ist.
Der CS9/TX2-Roboter kann zur sicheren Ansteuerung eines benutzerdefinierten Stellglieds benutzt
werden, und zwar entweder über die Magnetventile des Arms oder über die Sicherheitsausgänge
der CS9-Steuerung.
Standardmäßig werden die Ventile vollständig aus VAL 3 heraus gesteuert, wohingegen die Sicher‐
heitsausgänge nicht direkt angesteuert werden können. Es ist jedoch möglich, die Standardkonfigura‐
tion dahingehend zu ändern, dass die Ventile und die Sicherheitsausgänge aus VAL 3 heraus gesteuert
werden, solange sich der Roboter nicht in einem SS0-, SS1- oder SS2-Stopp befindet. Wenn sich der
Roboter im SS0-, SS1- oder SS2-Stopp befindet, werden die Stromversorgung der Ventile und die si‐
cheren Ausgänge auf 0V gesetzt.
Auf diese Weise gewährleistet die Sicherheitssteuerung, dass das angeschlossene Stellglied nicht
mehr aktiviert werden kann, solange sich der Roboter im Sicherheitsstopp befindet.
SICHERHEIT
Safety
Das Verhalten des externen Stellglieds muss sicher bleiben, wenn seine Steuersignale von
der Sicherheitssteuerung auf 0V umgeschaltet werden.
Die sichere Ansteuerung der Ventile wird über den Sicherheitsparameter valves_safeControl aktiviert.
Die Ansteuerung der sicheren Ausgänge über VAL 3 wird über die Sicherheitsparame‐
ter USOx_VAL3 aktiviert.
Wenn die sichere Ansteuerung eines externen Stellglieds zur Anwendung kommt, muss
die VAL 3-Anwendung die Sperrung des Stellglieds veranlassen, wenn ein Sicherheitsstopp
aktiv ist. Es kann in der Folge dazu kommen, dass der tatsächliche Zustand des Ausgangs
nicht mit dem von VAL 3 angeordneten Zustand übereinstimmt.
valves_safeControl Siehe Kapitel 5.2.1
USOx_VAL3 Siehe Kapitel 5.6
Ein angemessener Sicherheitsabstand zwischen dem Roboter und dem Bediener vermindert das Risi‐
ko einer gefährlichen Berührung, indem sichergestellt wird, dass der Roboter rechtzeitig angehalten
wird, bevor der Bediener ihn erreicht. Die Sicherheitsanforderungen für die Berechnung der Sicher‐
heitsabstände werden von der Norm ISO 13855:2010 vorgegeben.
Mithilfe konfigurierbarer Anhaltezeiten des Roboters erlaubt es die CS9/TX2-Sicherheitssteuerung, die
Sicherheitsabstände unter folgenden Prämissen zu optimieren:
■ Die maximale Anhaltezeit wird über den Sicherheitsparameter maxStopTime festgelegt. Standard‐
mäßig beträgt dieser 0.5s. Diese Anhaltezeit gilt für SP2-Stopps (Zustimmtaster oder Not-Halt).
■ Durch Anpassung des Sicherheitsparameters USIx_maxStopTime kann jedem der Sicherheitsein‐
gänge USIA, USIB, USIC oder USID eine reduzierte Anhaltezeit zugewiesen werden.
SICHERHEIT
Safety
Die zur Berechnung des Sicherheitsabstands garantierte Anhaltezeit beträgt:
■ maxStopTime + 32 (ms) für SP2-Stopps.
■ USIx_maxStopTime + 32 (ms) für USIx-Stopps.
Die Mindestanhaltezeit hängt vom Roboter ab, und liegt bei ungefähr 100ms. Es kann vorkommen,
dass der Roboter je nach Geschwindigkeit, Beschleunigung oder Nutzlast nicht in der Lage ist, wäh‐
rend dieser Zeit tatsächlich ohne Fehler zum Stillstand zu kommen. Normalerweise kommt ein Roboter
bei Nenngeschwindigkeit, Nennnutzlast und unter Nennverzögerung in ca. 350ms zum Stehen.
Der Roboter unterstützt sehr geringe Anhaltezeiten, doch die sich daraus ergebenden höhe‐
ren Beanspruchungen der Mechanik können je nach Nutzlast und Häufigkeit des Anhaltens
seine Lebensdauer beeinträchtigen. Die Auswirkungen der Anhaltezeit auf die Lebensdauer
müssen mit Hilfe der Software Optimize Lab bewertet werden.
SICHERHEIT
Safety
Eine sehr geringe Anhaltezeit kann während der Anhaltephase einen Fehler auslösen; daraus
resultiert ein vorzeitiger Verschleiß der Bremsen, was wiederum dazu führt, dass die para‐
metrierte Anhaltezeit nicht mehr garantiert werden kann. Es sollte daher geprüft werden, ob
der Roboter in der Lage ist, unter den ungünstigsten Bedingungen ohne Auslösung eines
Fehlers anzuhalten.
Wenn der Roboter nur in Teilbereichen seiner maximalen Reichweite genutzt wird, ist es oftmals
durchaus sinnvoll, die Abmessungen des Schutzbereichs rund um den Roboter zu verringern, um den
Platzbedarf der Zelle zu optimieren. In diesem Fall muss sichergestellt werden, dass der Roboter die
Grenzen des geschützten Bereichs nicht überschreiten kann.
Dafür gibt es verschiedene Lösungen:
■ Der Roboter könnte von Schutzzäunen umgeben werden, die ausreichend steif sind, um bei Kollisi‐
on gefährliche Verformungen zu verhindern. Die Zäune müssen der maximalen Energie des Robo‐
ters inklusive seiner Nutzlast standhalten (Energie bei maximal möglicher Geschwindigkeit). Die
maximale Energie des Roboters kann durch Verringerung seiner maximal möglichen Geschwindig‐
keit mit Hilfe der Sicherheitsfunktion SLS reduziert werden.
■ Der maximale Arbeitsraum des Roboters kann mit Hilfe der Sicherheitsfunktion SLP eingeschränkt
werden. Dabei muss der Raum, der vom Roboter und seinem Endeffektor abgedeckt wird (einge‐
schränkter Raum), anhand der SLP-Grenzwerte und des maximalen Anhaltewegs des Roboters bei
Erreichen des Grenzwerts ermittelt werden. Der maximale Anhalteweg des Roboters kann durch
Reduzierung seiner maximal möglichen Geschwindigkeit verringert werden.
■ Es ist auch eine Mischung aus den zwei oben beschriebenen Lösungen möglich, indem die maxi‐
male Energie des Roboters während des Anhaltevorgangs nach Erreichen der SLP-Grenzen be‐
rechnet wird; die Schutzumhausung können dann derart innerhalb des eingeschränkten Bereichs
platziert werden, dass die verbleibende Energie des Roboters nicht zu gefährlichen Verformungen
führen kann.
In allen Fällen beruht die Optimierung des gesicherten Bereichs auf einer Abschätzung des maximalen
Anhaltewegs und/oder der Einschlagsenergie des Roboters. Solche Berechnungen sind im allgemei‐
nen von komplexer Natur:
■ Sie hängen von den maximalen Positionen und Geschwindigkeiten des Roboters ab, sowohl am
Gelenk als auch im kartesischen Bereich.
■ Dabei ist die ungünstigste Situation zu berücksichtigen, wenn der Roboter mit Hilfe seiner Bremsen
stoppt (z. B. nach einem Stromausfall oder bei einem Verstärkerfehler). Faktoren sind dabei die
Trägheit des Roboters und seiner Nutzlast, die Schwerkraft, das Bremsmoment und die interne
Reibung...
SICHERHEIT
Safety
Wenn der rund um den Roboter eingeschränkte Bereich auf dessen Anhalteweg beruht,
muss ein regelmäßiger Bremsentest durchgeführt werden, um sicherzustellen, dass der Zu‐
stand der Bremsen den angestrebten Anhalteweg auch tasächlich bewerkstelligen kann.
Wenn es wahrscheinlich erscheint, dass die Risiken bei geringer Geschwindigkeit bereits auf ein ak‐
zeptables Niveau reduziert wurden, ist eine Beschränkung des Arbeitsraums in der Betriebsart "Manu‐
ell" nicht unbedingt erforderlich. Der Sicherheitsparameter jointLimits_manu ermöglicht die Festlegung
des eingeschränkten Bereichs in der manuellen Betriebsart; eine Achse, die sich außerhalb der Grenz‐
werte befindet, kann dann nur durch manuelles Lösen der Bremsen oder unter Verwendung des War‐
tungsmodus wieder in eine zulässige Position gebracht werden.
jointLimits_manu Siehe Kapitel 5.4.1
Dieses Tool dient zur Berechnung einer konservativen Einschätzung des Anhaltewegs im ungünstigs‐
ten Fall sowie der verbleibenden Energie der Achsen 1 und 2 ohne Berücksichtigung der Schwerkraft:
Für die Achse 2 kann es daher nur für Bewegungen von unten nach oben benutzt werden.
Für die Berechnung des maximalen Anhaltewegs jenseits der Sicherheitsgrenzen werden folgende
Eingabewerte benutzt:
■ Maximale Achsgeschwindigkeit, wie im Sicherheitsparameter maxVelAuto_J1 festgelegt.
■ Maximale Achsverzögerung, wie im Sicherheitsparameter jointLimits_decelJ1 festgelegt.
■ Masse der Nutzlast und Offset-Werte des Schwerpunkts entlang der Flansch-Z-Achse und auf der
XY-Ebene.
maxVelAuto_J1 Siehe Kapitel 5.1.3
jointLimits_decelJ1 Siehe Kapitel 5.4.2.1
Wenn die Sicherheitssteuerung feststellt, dass der Roboter nicht in der Lage ist, innerhalb der festge‐
legten Sicherheitsgrenzwerte zu bremsen, wird ein SS0-Stopp ausgelöst, was bewirkt, dass der Robo‐
ter mittels seiner Bremsen stoppt. Das Tool berechnet den Anhalteweg jenseits der Sicherheitsgrenzen
für den ungünstigsten Fall.
Je niedriger die maximale Verzögerung, desto weiter vor den Grenzwerten wird der SS0-Stopp ausge‐
löst und desto kürzer ist der Anhalteweg für den ungünstigsten Fall jenseits der Grenzen.
Die verbleibende Energie jenseits der Sicherheitsgrenzen wird für eine Position angegeben, die durch
den Parameter “Distance between obstacle and safe joint limit” festgelegt ist.
SICHERHEIT
Safety
Die geschätzte Energie umfasst nur die kinetische Energie der betroffenen Achse: Die kineti‐
sche Energie der anderen Roboterachsen muss ebenfalls bewertet werden, um die maximale
Einschlagsenergie des Roboters am Hindernis zu berechnen.
I0003916
Das Tool bringt 3 Grafiken zur Anzeige, die es Ihnen ermöglichen, die Auswirkungen der verschiede‐
nen Parameter besser zu verstehen.
■ Auswirkungen der Nutzlast auf den maximalen Anhalteweg.
■ Auswirkungen der Verzögerung auf den maximalen Anhalteweg und die verbleibende Energie.
SICHERHEIT
Safety
Das Verfahren zur sicheren Referenzierung ist für die Sicherheitsfunktio‐
nen SLPj, SLPc, SLSc und SZM zwingend erforderlich.
Für die Sicherheitsfunktionen SS1, SS2 und SLSj ist das Verfahren zur sicheren Referenzie‐
rung nicht erforderlich.
Um sicherzustellen, dass die sichere Position richtig ist, kann das Verfahren zur sicheren Referenzie‐
rung nur an bestimmten Positionen durchgeführt werden, die als Sicherheitsparameter angelegt sind
und der Position des an die Sicherheitssteuerung angeschlossenen Referenzsensors entsprechen. Da
ein Roboter die gleiche kartesische Position in verschiedenen Konfigurationen erreichen kann, ist da‐
rüber hinaus eine Überprüfung der Referenzierung an einer zweiten Position erforderlich, um sicherzu‐
stellen, dass die erste Referenzierung mit einer korrekten Konfiguration durchgeführt wurde.
Der Referenzsensor muss nicht sicher ausgeführt sein (keine Redundanz erforderlich).
SICHERHEIT
Safety
Die zweite Referenzposition (2nd position) muss so festgelegt sein, dass der Sensor nicht ak‐
tiviert werden kann, wenn die erste Referenzierung mit einer falschen Armkonfiguration
durchgeführt wurde.
Für die zwei Referenzpositionen können verschiedene Sensoren benutzt werden. Es ist jedoch norma‐
lerweise möglich nur einen Sensor zu verwenden, in dessen Auslösebereich zwei verschiedene Refe‐
renzpositionen definiert werden. Das Sicherheitsprofil gibt nur einen einzigen sicheren Eingang für das
Feedback des Referenzsensors / der Referenzsensoren vor. Der Referenzsensor muss auch nicht sehr
präzise sein, da die sichere Position mit der Bewegungsposition synchronisiert wird. Es genügt, wenn
der Erfassungsbereich des Sensors zwischen 10 und 20 mm beträgt. Es kommen verschiedene Sen‐
sorarten in Betracht. Es muss nur sichergestellt werden, dass es nicht möglich ist, den (die) Sensor(en)
an den zwei verschiedenen Referenzpositionen zu aktivieren, wenn der Roboter nicht richtig kalibriert
ist.
Nachdem die Referenzpositionen in den Sicherheitsparametern refPos1_Jx und refPos2_Jx konfigu‐
riert wurden, besteht das Referenzierungsverfahren ganz einfach darin, den Arm zur ersten Position zu
bewegen, dort die Armleistung abzuschalten, und anschließend den Arm zur zweiten Position zu be‐
wegen, und ihn dort 0.2 s (oder länger) verharren zu lassen. An der zweiten Position braucht die Arm‐
leistung nicht abgeschaltet zu werden. Die Referenzierung kann in den Betriebsarten "Manuell" oder
"Automatik" durchgeführt werden.
refPos1_Jx Siehe Kapitel 5.1.2
refPos2_Jx Siehe Kapitel 5.1.2
Die sichere Referenzierung wird dauerhaft gespeichert und sofort nach einem Reboot wieder herge‐
stellt, es sei denn, eine Roboterachse hat sich bewegt, während der Roboter abgeschaltet war. In die‐
sem Fall muss die sichere Referenzierung durch Verfahren des Roboters an die erste Referenzposition
und Abschalten der Armleistung wieder hergestellt werden.
Die sichere Referenzierung wird darüber hinaus automatisch jedes Mal zurückgesetzt, wenn die Kalib‐
rierung der Bewegungssteuerung geändert wird, damit sichergestellt ist, dass die sicheren und nicht
sicheren Positionen immer übereinstimmen. Nach Wartungsarbeiten, bei denen Kalibrierungs-Offset‐
werte geändert wurden, muss eine neue sichere Referenzierung zwingend durchgeführt werden.
Eine sichere Referenzierung bleibt gültig, solange die Geometrie der mechanischen Komponenten
nicht durch eine signifikante Einwirkung verändert wird. Dies kann aber normalerweise nur nach einer
heftigen Kollision des Roboters auftreten. Das Risiko unerkannter mechanischer Deformationen infolge
einer Kollision muss auf Anwendungsebene durch Neustart der Anwendung mit geringer Geschwindig‐
keit eingedämmt werden, bis die Kalibrierung des Roboters erneut geprüft wird, z. B. anhand einer
präzisen Anwendungsposition.
Solche Referenztests nach einer Kollision können mit Hilfe der Sicherheitssteuerung eingefordert wer‐
den: der Ausgang QforceRefTest RSI9 kann benutzt werden, um eine Prüfung der sicheren Referenzie‐
rung zu erzwingen. In diesem Fall kann sich der Roboter zwar weiter bewegen, aber vorerst nur mit
geringer Geschwindigkeit, bis er erneut zur zweiten Referenzposition bewegt worden ist.
Es ist auch möglich, einen regelmäßigen Test der sicheren Referenzierung einzurichten, indem der Si‐
cherheitsparameter referencing_timeout aktiviert wird. Der Testzeitraum wird dann durch die Sicher‐
heitsparameter refWarningDelay und refTimeoutDelay definiert:
■ Nach dem Timeout schaltet der Referenzierungsstatus auf "1 - Warnung" um.
■ Nach dem zusätzlichen Timeout wird die Prüfung der sicheren Referenzierung zurückgesetzt (Refe‐
renzierungsstatus "2 - Initialisiert" in der nachstehenden Tabelle) und es wird eine neue Referenzie‐
rung durch Verfahren des Roboters an die zweite Referenzposition angefordert.
referencing_timeout Siehe Kapitel 5.7.1
refWarningDelay Siehe Kapitel 5.7.1
refTimeoutDelay Siehe Kapitel 5.7.1
Das Verfahren zur sicheren Referenzierung läuft nach folgenden Schritten ab:
1) Aktivierung der sicheren Referenzierung
Standardmäßig ist die sichere Referenzierung deaktiviert und muss mit dem Sicherheitsparame‐
ter referencing_auto aktiviert werden. Der Parameter referencing_manu muss ebenfalls aktiviert
werden, wenn die Sicherheits-Positionsgrenzen auch in der Betriebsart "Manuell" benötigt werden.
Wenn referencing_manu aktiviert ist, ist der Wartungsstecker anzuschließen, um einen
nicht referenzierten Roboter in der Betriebsart "Manuell" bewegen zu können.
Wenn referencing_auto aktiviert ist, sind automatische Bewegungen auch mit einem unreferenzier‐
ten Roboter immer noch zulässig, aber nur bei reduzierter Geschwindigkeit (automatische Bewe‐
gungen sind jedoch nicht zulässig, wenn zusätzlich safeEncoder_auto auf 1 gesetzt ist).
referen‐ safeEnco‐ Referenzierung verloren gegan‐ Ohne Endcoder-Feed‐
cing_auto der_auto gen back
0 0 Kein Sicherheitsstopp, volle Ge‐ Kein Sicherheitsstopp, re‐
schwindigkeit duzierte Geschwindigkeit
0 1 Kein Sicherheitsstopp, volle Ge‐ Sicherheitsstopp
schwindigkeit
1 0 Kein Sicherheitsstopp, reduzierte Sicherheitsstopp
Geschwindigkeit
1 1 Sicherheitsstopp Sicherheitsstopp
I0003920
■ Prüfen Sie, ob der sichere Eingang USID1 ist, wenn der Roboter sich an der Referenzpo‐
sition befindet, und , wenn sich der Roboter nicht an der Referenzposition befindet.
3) Die Referenzpositionen sind nicht oder falsch definiert
Für die 1. Referenzposition:
■ Prüfen Sie, ob der Ausgang QrefPos1 Rsi9 ausgelöst wird, wenn die Armleistung an der 1. Re‐
ferenzposition abgeschaltet wird.
Für die 2. Referenzposition (bei Referenzierungsstatus "Initialisiert" oder "Referenziert", wie in
Kapitel 3.3.9.3 festgelegt).
■ Prüfen Sie, ob der Ausgang QrefPos2 Rsi9 geschalten wird, wenn der Roboter an der 2. Refe‐
renzposition stoppt.
■ Für TX2-40 und TX2-60-Arme: Prüfen Sie, ob der Sicherheitsparameter refPos2_J6 aus der 2.
Referenzposition für Achse 6 + refPos2_J5 berechnet wurde.
■ Vergleichen Sie die Achswerte dieses Referenzpunkts am SP2 mit denen in SafePMT .
4) Der Roboter hält am Referenzpunkt zu früh oder zu spät an
Der Roboter muss an der Referenzposition innerhalb von 0.5s nach Sensoraktivierung anhalten.
■ Der Sensor kann zu früh aktiviert werden, wenn sich der Roboter zu langsam an seine Zielposi‐
tion annähert. Stellen Sie in diesem Fall eine schnellere Bewegung ein.
■ Der Sensor kann zu spät aktiviert werden, wenn der Roboter die Zielposition erreicht, bevor das
Sensorsignal vollständig übertragen wurde (unwahrscheinlich, aber möglich). Stellen Sie in die‐
sem Fall einen langsamere Bewegung ein.
5) Falsche Referenzposition oder ungültiges Feedback der sicheren Position
■ Konsultieren Sie die Tabelle der Referenzierungszustände um herauszufinden, welche Refe‐
renzposition zu benutzen ist (1. oder 2. Position) oder wie das Feedback der sicheren Position
wiederhergestellt werden kann.
3.3.10 - BREMSTESTS .
6-Achs-Roboter sind mit Motorbremsen ausgestattet, die den Roboterarm in seiner Position halten,
wenn die Armleistung abgeschaltet ist. Die Motorbremsen des Roboters werden häufig als "Sicher‐
heitsbremsen" bezeichnet, da sie automatisch schließen, wenn ihre Stromversorgung unterbrochen
wird. Dies ist jedoch nicht ausreichend, um alle Risiken in Zusammenhang mit den Bremsen vollstän‐
dig auszuschließen. Es ist darüber hinaus zu beachten:
■ Die Bremsenansteuerung muss so abgesichert werden, dass gewährleistet ist, dass die Bremsen
im Bedarfsfall zuverlässig einfallen und nicht unabsichtlich wieder geöffnet werden.
Beim CS9/TX2 Roboter wird dies über die Sicherheitsfunktion Sichere Bremsensteuerung (SBC)
gewährleistet; jede Bremse wird einzeln durch einen sicheren Ausgang einer Sicherheitskarte
nach SIL3/PLe gesteuert.
■ Es kann natürlich passieren, dass eine Bremse an sich ausfällt - ihre Zuverlässigkeit wird durch den
Wert der "Mean Time To dangerous Failure" (MTTFd) angegeben. Da es aber keine inhärente Re‐
dundanz ihrer mechanischen Komponenten gibt, kann der Ausfall einer einzelnen Komponente das
erwartete Verhalten insgesamt beeinträchtigen.
Prinzipiell lassen sich 3 Risiken unterscheiden, die defekte Bremsen für die Sicherheit des Roboters
aufwerfen:
■ Es könnte vorkommen, dass eine defekte Bremse nach dem Abschalten der Armleistung das zuge‐
hörige Armsegment nicht halten kann, was zur Verletzung einer darunter befindlichen Person füh‐
ren könnte.
■ Während Arbeiten an einem deaktivierten Roboter (z. B. Wartungsarbeiten am Endeffektor) könnte
eine defekte Bremse nicht über die benötigte Haltekraft verfügen, um den aufgewendeten externen
Kräften standzuhalten, woraufhin das entsprechende Armsegment beginnen könnte durchzurut‐
schen.
■ Wenn der eingeschränkte Bereich mit Hilfe der Sicherheitsfunktion "Sichere begrenzte Position"
(SLP) realisiert ist, basiert dieser auf dem Anhalteweg der Bremsen, der anhand eines Mindest‐
bremsmoments abgeschätzt wird. Die Begrenzungen des Roboters könnten überschritten werden,
wenn das tatsächliche Bremsmoment unter dem für die Schätzung benutzten Wert liegt.
Die Maßnahmen zur Überwachung der mit den Bremsen in Zusammanhang stehenden Risiken beste‐
hen zunächst einmal darin, die Exposition des Personals gegenüber den Folgen eines Bremsausfalls
dadurch so weit wie möglich zu reduzieren, dass deren Anwesenheit unter dem Arm während des Be‐
triebs oder während Wartungsmaßnahmen bzw. die Anwesenheit im maximalen Arbeitsbereich des
Roboters während des Betriebs vermieden wird.
SICHERHEIT
Safety
■ Wenn regelmäßig Arbeiten unterhalb eines ungesicherten Roboters erforderlich sind,
müssen die Bremsen innerhalb der letzten 10 Stunden vor dem Beginn der Arbeiten ge‐
testet worden sein.
■ Wenn regelmäßig Arbeiten unterhalb eines bewegten Roboters erforderlich sind, darf die
Armleistung nur in Ausnahmefällen (Not-Halt) abgeschaltet werden. Unter normalen Um‐
ständen ist stattdessen ein SS2-Stopp zu benutzen. Die Bremsen müssen innerhalb der
letzten 10 Stunden vor dem Beginn der Arbeiten getestet worden sein; der Sicherheitspa‐
rameter brakeTest_manu muss aktiviert werden, um manuelle Bewegungen unter dem
Arm zu ermöglichen.
■ Wenn sich Personen im maximalen Arbeitsbereich des Roboters befinden, der nur durch
einen definierten eingeschränkten Bereich abgesichert ist, müssen die Bremsen täglich
getestet werden (dies erfolgt unter der Annahme, dass die Bremsen tatsächlich bis
zu 3 Mal pro Jahr dazu benutzt werden, den Roboter innerhalb des eingeschränkten Be‐
reichs zu halten).
In dieser Situation ist der Parameter brakeTest_auto zu aktivieren. Das Prüfintervall darf
erhöht werden, wenn die Exposition des Personals reduziert ist (z. B. wöchentlicher
Bremstest bei seltenerem Aufenthalt).
4 - SAFE PMT .
Die aktuelle Version von SafePMT wird mit einer Installations- und einer Konfigurationsdatei geliefert.
Zur Installation der Software sind Adminstratorrechte erforderlich. SafePMT erfordert die Installation
von Microsoft .NET Framework 3.5. Sollte dieses nicht bereits in Ihrer Windows.Version installiert sein,
befolgen Sie die Microsoft-Anweisungen zur Installation dieses Frameworks:
https://docs.microsoft.com/en-us/dotnet/framework/install/dotnet-35-windows-10
Abschluss der Installation:
■ Die Konfigurationsdatei datar.dat im Installationsordner SafePMT löschen.
■ Die Konfigurationsdatei datas.dat in den Installationsordner SafePMT kopieren.
Bei der ersten Ausführung von SafePMT öffnet sich ein Einstellungsfenster, in dem die IP-Adresse des
Roboters unter Vewendung der Option “RPC” (und nicht “Ethernet”) sowie die
DLL “RPCClassLibrary.dll” konfiguriert werden müssen, wie nachstehend gezeigt:
RSI9 DSI9
SafePMT bietet an der linken Seite der Benutzeroberfläche 5 Registerkarten zur Auswahl:
Die Registerkarte Control wird nach dem Start
des Programms angezeigt.
Die Icons im oberen Bereich des Tools geben direkten Zugriff auf die Hauptfunktionen des Tools:
Steuerung der Ethernet-Verbindung (Verbindung herstellen/abbrechen).
Zugriff auf die Einstellungen zur Änderung der IP-Adresse des Roboters.
Im Validierungsbericht sind die Ergebnisse des Validierungstests aufgeführt; er enthält eine vollständi‐
ge Referenzbeschreibung der Robotersicherheitskonfiguration. Erstellung eines Validierungsberichts:
Projektinformationen aktualisieren. Project tab
Verbindung zum Roboter herstellen.
Sobald die Sicherheitsanwendung validiert ist, müssen folgende Maßnahmen ergriffen werden:
■ Unzulässige Updates mittels Zugangskontrolle zum SafePMT-Tool (das in der Produktionsumge‐
bung nicht zugänglich sein darf) sowie zur .pmt-Sicherheitskonfiguration verhindern.
■ Ein Backup der geänderten Sicherheitskonfiguration (.pmt-Datei), des safePMT-Tools und des Si‐
cherheitsvalidierungsberichts an einem sicheren, für spätere Änderungen an den Sicherheitsein‐
stellungen zugänglichen Ort speichern.
Eine validierte Sicherheitsanwendung kann über die Quelldatei .pmt z.B. zwecks Update der Sicher‐
heitsparameter (siehe Kapitel 4.3) oder zum Anlegen eines binären Backups wiederhergestellt werden.
Das binäre Backup ist am besten für Wartungszwecke oder zum Erstellen einer Kopie des Sicherheits‐
programms geeignet, da die Wiederherstellung schneller vonstatten geht, und die Quelldatei nicht ge‐
ändert werden kann.
Unabhängig vom Wiederherstellungsverfahren muss die sich daraus ergebende Sicherheitskonfigurati‐
on wiederum wie in Kapitel 4.5.3 beschrieben validiert werden.
Vorgehensweise:
Verbindung zum Roboter herstellen.
Hinweis zur Verifikation der korrekten Ausführung des Sicherheitsprogramms: die Anzeige
der CRC wird erst nach einem Neustart des Programms aktualisiert.
Auch während der laufenden Produktion ist es möglich zu verifizieren, dass das Sicherheits‐
programm unverändert ist. Dazu liest man entweder den Transferzähler aus (zugänglich als
analoger RSI9-Eingang), dessen Wert in Seite 4 des Validierungsberichts geschrieben wird,
oder man verifiziert die CRC mit Hilfe der VAL 3-Anweisun‐
gen "getVersion"("RSI Configuration CRC") und "getVersion"("RSI Program CRC").
4.6 - WARTUNG .
Die Registerkarte Scope kann dazu benutzt werden, den Status der verschiedenen an die RSI9-Karte
angeschlossenen Sicherheitselemente zu analysieren:
I0003954
Bzw. DSI9-Karte:
I0003955
Um ein Firmware-Update der RSI9- und DSI9-Karte vorzunehmen, müssen zunächst die DSI9-Karte
aktualisiert, dann SafePMT neu gestartet, und schließlich die RSI9-Karte aktualisiert werden.
Sicherstellen, dass SafePMT für ein Firmware-Update
konfiguriert ist. Der SafePMT-Installationsordner enthält
eine “datas.dat” Datei, aber keine “datar.dat” Datei.
Verbindung zur RSI9-Karte (Voreinstellung) oder
zur DSI9-Karte herstellen (Adresse ECAT:0:1002 - sie‐
he Kapitel 4.1).
Diagnosis/System info
Seriennummer der RSI9- oder DSI9-Karte notieren (zu
finden entweder auf der SP2-Seite "Information" oder
im Logger des Roboters).
5 - SICHERHEITSPARAMETER M0004690.1
Die Sicherheitsparameter sind im Reiter "Parameter" des SafePMT aufgeführt (Siehe Kapitel 4.3).
I0003963
Die Sicherheitsfunktionen SOS, SS2 und SLSj erfordern ein sicheres Encodersignal. Ihre Aktivierung
besteht darin, das Feedback des sicheren Encoders als erforderlich festzulegen.
Typ Bezeichnung Werte Beschreibung
Bool safeEncoder_manu 0 Die Sicherheitsfunktionen SOS, SS2 und SLSj sind in der Betriebs‐
art "Manuell" optional.
1 Die Sicherheitsfunktionen SOS, SS2 oder SLSj sind in der Be‐
triebsart "Manuell" erforderlich.
Bool safeEncoder_auto 0 Die Sicherheitsfunktionen SOS, SS2 und SLSj sind in der Betriebs‐
art "Automatik" optional.
1 Die Sicherheitsfunktionen SOS, SS2 oder SLSj sind in der Be‐
triebsart "Automatik" erforderlich (1) .
(1) Wenn referencing_auto den Wert 1 hat, kann safeEncoder_auto entweder auf 0 oder 1 gesetzt
werden (Siehe Kapitel 5.1.2)
Die Sicherheitsfunktionen SLP, SLSc und SZM erfordern eine sichere Referenzierung (Siehe Kapi‐
tel 3.3.9). Ihre Aktivierung besteht darin, die Referenzierung als erforderlich festzulegen und die Positi‐
onen für das sichere Referenzieren zu definieren.
Die begrenzenden Sicherheitsfunktionen SLPc, SLSc und SZM erfordern zusätzlich, dass
die SafeCELL+ Runtime-Lizenz auf der Steuerung installiert ist.
Typ Bezeichnung Werte Beschreibung
Bool referen‐ 0 Die Sicherheitsfunktionen SLP, SLSc und SZM sind in der
cing_manu Betriebsart "Manuell" optional.
1 Mindestens eine der Sicherheitsfunktio‐
nen SLP, SLSc oder SZM ist in der Betriebsart "Manuell" er‐
forderlich.
Bool referen‐ 0 Die Sicherheitsfunktionen SLP, SLSc und SZM sind in der
cing_auto Betriebsart "Automatik" optional.
1 Mindestens eine der Sicherheitsfunktio‐
nen SLP, SLSc oder SZM sind in der Betriebsart "Automa‐
tik" erforderlich (1) .
Gelenk SRX1 refPos1_J1 ±360 Achswert der Achse 1 für die 1. Referenzposition.
Gelenk SRX2 refPos1_J2 ±360 Achswert der Achse 2 für die 1. Referenzposition.
Gelenk SRX3 refPos1_J3 ±360 Achswert der Achse 3 für die 1. Referenzposition.
Gelenk SRX4 refPos1_J4 ±360 Achswert der Achse 4 für die 1. Referenzposition.
Gelenk SRX5 refPos1_J5 ±360 Achswert der Achse 5 für die 1. Referenzposition.
Gelenk SRX6 refPos1_J6 ±360 TX2-90/L/XL: Achswert der Achse 6 für die 1. Referenzposi‐
tion.
TX2-40, TX2-60/L: Summe der Achswerte der Ach‐
sen 5 und 6.
Gelenk SRX7 refPos2_J1 ±360 Achswert der Achse 1 für die 2. Referenzposition.
Gelenk SRX8 refPos2_J2 ±360 Achswert der Achse 2 für die 2. Referenzposition.
Gelenk SRX9 refPos2_J3 ±360 Achswert der Achse 3 für die 2. Referenzposition.
Gelenk SRX10 refPos2_J4 ±360 Achswert der Achse 4 für die 2. Referenzposition.
Gelenk SRX11 refPos2_J5 ±360 Achswert der Achse 5 für die 2. Referenzposition.
Gelenk SRX12 refPos2_J6 ±360 TX2-90/L/XL: Achswert der Achse 6 für die 2. Referenzposi‐
tion.
TX2-40, TX2-60/L: Summe der Achswerte der Ach‐
sen 5 und 6.
(1) Wenn die sichere Referenzierung nicht mit referencing_auto = 1 validiert wird, sind Roboterbe‐
wegungen untersagt, wenn safeEncoder_auto den Wert 1 hat, und nur bei reduzierter Geschwin‐
digkeit möglich, wenn safeEncoder_auto den Wert 0 hat.
Die Sicherheitsfunktionen STO und SBC sind immer aktiviert, wenn die Armleistung abgeschaltet ist;
sie können nicht konfiguriert werden.
Der Parameter USIA_eStop ist ein Shortcut, der der folgenden Konfiguration entspricht:
USIA_manu, USIA_auto, USIA_ack und USIA_SS1 auf 1.
USIA_eStop wird ignoriert (auf 1 gesetzt), wenn der Parameter mode_WMS auf 1 gesetzt ist (Siehe Ka‐
pitel 5.5.1).
(1) Je nach Roboter variiert die Mindestanhaltezeit zwischen 64 und 144 ms.
(1) Je nach Roboter variiert die Mindestanhaltezeit zwischen 64 und 144 ms.
(1) Je nach Roboter variiert die Mindestanhaltezeit zwischen 64 und 144 ms.
(1) Je nach Roboter variiert die Mindestanhaltezeit zwischen 64 und 144 ms.
■ Die Nutzung einer reduzierten kartesischen Geschwindigkeit ist nur mit einer Runtime-Lizenz mög‐
lich.
■ Das sichere Referenzieren muss aktiviert werden, wenn eine kartesische Geschwindigkeitsbegren‐
zung zur Anwendung kommt (Siehe Kapitel 5.7.1).
■ Die Präzision der sicheren kartesischen Geschwindigkeit beträgt bis zu ±20% der aktuellen Ge‐
schwindigkeit und hängt weitgehend von der Achskonfiguration des Roboters ab. Die Bewegungs‐
steuerung des Roboters reduziert die Geschwindigkeit des Roboters automatisch dergestalt,
dass 80% der konfigurierten Sicherheitsgrenzwerte nicht überschritten werden.
■ Die Bewegungssteuerung regelt die Robotergeschwindigkeit an dessen Flansch und
am VAL 3 TCP. Die Geschwindigkeit der Sicherheitsüberwachungspunkte wird nicht überwacht
und kann zu einer Sicherheits-Geschwindigkeitsüberschreitung führen. Der VAL 3 TCP kann sich
vom im der Sicherheitssteuerung definierten TCP unterscheiden.
Das Sicherheitsprogramm erlaubt es, 4 sichere Zonen zu definieren. Die sicheren Zonen 1 und 2 sind
immer aktiviert, während 2 sichere Zonen mit USIB und USIC verknüpft sind und jederzeit aktiviert
oder deaktiviert werden können.
Die Geometrie der sicheren Zonen 1 und 2 wird anhand von 3 Basisvolumen definiert; die Geometrie
der sicheren Zonen, die mit USIB und USIC verknüpft sind, werden anhand von 1 Basisvolumen defi‐
niert.
Bei großen Achsbewegungen (movej) werden die sicheren Zonen von der Bewegungssteue‐
rung nicht mit in Betracht gezogen. Eine lange Achsbewegung, die eine sichere Zone kreuzt,
kann zwar von der Bewegungssteuerung akzeptiert werden, wird dann aber von der Sicher‐
heitssteuerung verhindert.
Für die Zonen 1 und 2 müssen die Innen-/Außeneinstellungen für die 3 Volumen, die die Zo‐
ne definieren, identisch sein. Es ist möglich, die Formen Quader (Box) und Zylinder (Cylinder)
zu mischen. Eine Vertikale Ebene (vertical plane) kann aber nicht mit Box oder Cylinder kom‐
biniert werden.
(1) Der Sicherheitskarte verfügt nicht über genügend CPU-Ressourcen, um Position und
Geschwindigkeit für alle möglichen Überwachungspunkte und alle möglichen SLP-
und SLS-Sicherheitsfunktionen zu berechnen. Die Parameter Type und Enable ermögli‐
chen die bedarfsgerechte Anpassung der Berechnungen.
(2) Der Parameter elbow_enable muss nach allen Änderungen an einem der Parame‐
ter zonex_axis3monitoring festgelegt oder aktualisiert werden.
Der mode_WMS Parameter ist ein Shortcut, mit dem mode_MCP auf 0 und USIA_eStop auf 1 gesetzt
wird.
Wenn alle USOA-Konfigurationen auf "0" gesetzt sind, können USOA1 und USOA2 vollständig
von VAL 3 aus als nicht sichere digitale Ausgänge gesteuert werden.
Wenn alle USOB-Konfigurationen auf "0" gesetzt sind, können USOB1 und USOB2 vollständig
von VAL 3 aus als nicht sichere digitale Ausgänge gesteuert werden.
Wenn alle USOC-Konfigurationen auf "0" gesetzt sind, können USOC1 und USOC2 vollständig
von VAL 3 aus als nicht sichere digitale Ausgänge gesteuert werden.
5.7 - DIAGNOSEFUNKTIONEN .
Die Überprüfung der Referenzierung setzt voraus, dass die sichere Überwachung
für SLP, SLSc oder SZM aktiviert ist (Siehe Kapitel 5.1.2).
Typ Bezeichnung Werte Beschreibung (Siehe Kapitel 3.3.9)
Bool referencing_timeout 0 / 1 Deaktiviert/aktiviert die regelmäßige Überprüfung der Referen‐
zierung.
Timer refWarningDelay 0 – 24d Zeit bis zur Auslösung der Warnung für ein Überschreiten des
Timeouts zur Überprüfung der Referenzierung.
Timer refTimeoutDelay 0 – 24d Zeit zwischen Ausgabe der Timeout-Warnung und dem erzwun‐
genen Anhalten oder der Reduzierung der Geschwindigkeit.
6 - INBETRIEBNAHME M0004723.1
Wie in EN ISO 13849-2 angegeben, sind einige Informationen für die Validierung der Implementierung
des Sicherheitskonzepts erforderlich. Die erforderlichen Informationen für die Validierung des Sicher‐
heitskonzepts umfassen Spezifikationen und Design-Beschreibungen für:
■ Schaltpläne der Sicherheitsschnittstellen:
Die Spannungsversorgung, die die Sicherheitsein- und -ausgänge des Roboters versorgt, ist inkl.
der Charakteristik ihrer Signale anzugeben.
■ Betriebsart:
Das Gerät, das die Betriebsart des Roboters festlegt, und die Geräte, die diese Betriebsart nutzen,
sind anzugeben.
■ Verkettung der Wiederanlaufsteuerung:
Es sind diejenigen Geräte anzugeben, die Quittierungssignale zum Wiederanlauf an den Roboter
senden, und diejenigen, die ein Quittierungssignal über den Wiederanlauf vom Roboter erhalten.
■ Not-Halt-Kette:
Es sind diejenigen Geräte anzugeben, die Not-Halt-Signale an den Roboter senden, und die, die
ein Not-Halt-Signal vom Roboter erhalten.
■ Schutzstopps:
Diejenigen Geräte, die Schutzstoppsignale an den Roboter senden, und die Geräte, die ein Schutz‐
stoppsignal vom Roboter erhalten, sind anzugeben. Die Kenndaten jedes einzelnen Schutzstopp‐
signals sind anzugeben (SS1/SS2, Wiederanlaufkontrolle, Aktivierung der Betriebsarten).
■ Begrenzende Sicherheitsfunktionen (Grenzwerte für Position und Geschwindigkeit):
Die Positions- und Geschwindigkeitsüberwachungsfunktionen sind mit ihrem jeweiligen Zweck, ih‐
ren Aktivierungssignalen (falls vorhanden) und ihren Auswirkungen zu beschreiben.
■ Trennabstände:
Die Trennabstände zwischen dem Roboter und den Schutzvorrichtungen sind anzugeben, inkl. der
maximalen Stoppzeit des Roboters, die zur Berechnung der Abstände benutzt wurde.
■ Eingeschränkter Arbeitsbereich:
Die Einschränkungen des maximalen Arbeitsbereichs des Roboters sind anzugeben, sowie die
Eckdaten, auf denen sie beruhen: sichere Positionsgrenzwerte, Anschläge, Umzäunungsstärke. Es
sind außerdem die Unterschiede zwischen den konfigurierten Robotergrenzwerten und den Robo‐
terstopppositionen in den ungünstigsten Fällen anzugeben. Ferner ist die von der Sicherheitsum‐
hausung maximal aufnehmbare Einschlagsenergie des Roboters anzugeben.
Die Validierung beruht darüber hinaus auf den Robotersicherheitsparametern, die im Robotersicher‐
heitsvalidierungsbericht des SafePMT-Tools aufgeführt sind (Siehe Kapitel 4.4). Es muss sichergestellt
werden, dass der Validierungsbericht, auf dem die Validierung beruht, mit der auf dem Roboter instal‐
lierten Sicherheitsversion übereinstimmt; dies kann durch Vergleich
von Program CRC und Configuration CRC überprüft werden (Siehe Kapitel 4.5).
Es muss sichergestellt werden, dass die Fehlererkennung an den Sicherheitssignalen mit dem ange‐
strebten Sicherheitsleistungsniveau kompatibel ist (Siehe Kapitel 3.3.2). Kurzschlüsse zwischen den si‐
cheren Ausgängen werden immer erkannt, doch die Erkennung von Kurzschlüssen zwischen den si‐
cheren Eingängen des Roboters hängt vom benutzten Sicherheitsprogramm ab.
■ Sichere Ausgänge:
Ein offener Kontakt an einem der 2 Ausgangssignale muss vom angeschlossenen Gerät erkannt
werden, damit die Anforderungen der Sicherheitskategorie 3 erfüllt sind.
■ Sicherheitseingänge:
Wenn Kurzschlüsse zwischen Eingangskontakten nicht von einem externen Gerät erkannt werden,
muss getestet werden, ob sie von den Robotersicherheitsfunktionen erkannt werden (wenn solche
Kurzschlüsse festgestellt werden, werden die Kurzschlüsse an 24V oder 0V auch immer erkannt).
Im Sicherheitskonzept muss die Schnittstelle festgelegt werden, die die Betriebsart des Roboters
steuert (SP2, WMS oder anderes externes Gerät).
Die Betriebsart kann getestet werden, indem geprüft wird, ob die auf dem SP2 angezeigte Betriebsart
mit der tatsächlichen Betriebsartauswahl in Einklang ist, und ob auch die Betriebsarten der verschie‐
denen Geräte in der Zelle damit übereinstimmen.
Der Schreibzugriff zu den einzelnen Betriebsarten muss für jedes Benutzerprofil, das einem einge‐
schränktem Zugriff unterliegt, überprüft werden.
Im Sicherheitskonzept muss die Notwendigkeit für eine Wiederanlaufüberwachung für jeden mögli‐
chen Sicherheitsstopp festgelegt werden (siehe Kapitel 3.3.4.1 und 3.3.5.1), ebenso wie die Schnitt‐
stellen, von denen das Signal zum Wiederanlauf ausgelöst werden kann, sowie die Verkettung des
Wiederanlaufsignals zwischen den verschiedenen Geräten der Zelle.
Die Konformität der Wiederanlaufkontrolle mit dem Sicherheitskonzept muss für folgende Fälle verifi‐
ziert werden:
■ Wiederanlaufkontrolle nach Neustart der Steuerung.
■ Wiederanlaufkontrolle nach Umschalten der Betriebsart in eine automatische Betriebsart.
■ Wiederanlaufkontrolle nach Auslösung von Sicherheitsstopps, einschließlich eines Not-Halts.
Es muss getestet werden, ob jeder Not-Halt in der Zelle unabhängig von der Betriebsart (manuell oder
automatisch) zu einem SS1-Stopp des Roboters mit entsprechender Wiederanlaufkontrolle führt. Die
vom Roboter ausgehenden oder weitergeleiteten Not-Halt-Signale (SP2, WMS, Not-Halt-Signal
an USIA) müssen die erwartete Auswirkung auf den Rest der Zelle aufweisen.
Wie jede andere Sicherheitsstoppfunktion muss auch ein Not-Halt am besten dadurch validiert wer‐
den, dass überprüft wird, ob das Verhalten des Roboters "korrekt" ist und ob die vom Roboter initiier‐
ten oder übertragenen Stoppsignale die erwarteten Auswirkungen auf die Zelle haben.
Die Definition eines "korrekten" Verhaltens für Stoppfunktionen, die kein Not-Halt sind, muss im Si‐
cherheitskonzept festgelegt werden. Sie muss auch Angaben zu den Stoppkategorien (SS1/SS2), der
Art der Aktivierung (manuell/automatisch) und der Wiederanlaufkontrolle enthalten.
Die mit den Schutzstopps in Verbindung stehende Anhaltezeit muss im Rahmen der Validierung der
Sicherheitsabstände überprüft werden.
Wenn das Sicherheitskonzept es erfordert, muss verifiziert werden, dass folgende Geräte, die von den
Robotersicherheitsausgängen gesteuert werden, angehalten werden, während sich der Roboter im Si‐
cherheitsstopp befindet:
■ Magnetventile des Roboters (wenn deren Sicherheitsüberwachung aktiviert ist).
■ Geräte, die an die sicheren Ausgänge USOA/USOB/USOC angeschlossen sind (wenn der Ausgang
als Aktivierungs-/Sperrsignal benutzt wird).
Wenn ein Sicherheitsausgang von der CPU gesteuert werden kann, kann der Test mit Hilfe eines Pro‐
gramms oder dem SP2 durchgeführt werden, um die Ausgänge anzusteuern und sicherzustellen, dass
das Kommando nicht mehr wirksam (und damit sicher) ist, wenn ein Sicherheitsstopp aktiv ist.
Wenn ein Sicherheitsausgang von einem Sicherheitsstatus des Roboters wie z.B. einem SS2, ei‐
nem SOS oder über den Status der Stromversorgung gesteuert wird, kann der Test durchgeführt wer‐
den, indem sichergestellt wird, dass die externen Geräte tatsächlich gesperrt sind, wenn sich der Ro‐
boter im spezifizierten Sicherheitszustand befindet.
Die verschiedenen Sicherheitsabstände müssen zunächst validiert werden, indem überprüft wird, ob
die Berechnung des Sicherheitsabstands (z. B. gemäß EN ISO 13855) auf der Basis der im Validie‐
rungsbericht angegebenen Anhaltezeit erfolgt, zuzüglich 32 ms (Siehe Kapitel 3.3.7). Anschließend
muss überprüft werden, ob der Roboter in der Lage ist, fehlerfrei unter den anspruchsvollsten Anwen‐
dungsbedingungen zu stoppen, wie zum Beispiel in EN ISO 13855 Anhang D beschrieben.
Das Sicherheitskonzept muss die erforderlichen begrenzenden Sicherheitsfunktionen mit ihrem Zweck
(Reduktion der Anhaltezeit, Einschränkung des Arbeitsbereichs bzw. der Einschlagsenergie des Robo‐
ters, etc.), den Aktivierungsbedingungen und ihren Auswirkungen auf die übrige Peripherie in der Zelle
festlegen.
Die Sicherheitsüberwachung muss wie in Kapitel 5.1 beschrieben aktiviert werden, um die begrenzen‐
den Sicherheitsfunktionen zu aktivieren.
Die Parameter safeEncoder_manu und safeEncoder_auto können durch Deaktivieren des Feedbacks
des sicheren Encoders bzw. mit Hilfe des Ausgangs RSI9 QnoSafePos getestet werden: dies zwingt
den Roboter zu einem Sicherheitsstopp.
Die Sicherheitsparameter referencing_manu und referencing_auto können durch Reset der sicheren
Referenzierung bzw. mit Hilfe des Ausgangs RSI QresetRef getestet werden. Daraufhin wird in der Be‐
triebsart "Automatik" die Geschwindigkeit des Roboters reduziert (RSI9-Eingang für hohe Geschwin‐
digkeit = OFF), in der Betriebsart "Manuell" wird der Roboter angehalten.
Der Parameter profile_activate kann durch Abziehen des Ethernetkabels an J207/208 getestet werden.
Dadurch wird der Roboter zu einem SS1-Stopp gezwungen.
safeEncoder_manu Siehe Kapitel 5.1.1
safeEncoder_auto Siehe Kapitel 5.1.1
profile_activate Siehe Kapitel 5.1.3
Es ist wichtig sicherzustellen, dass die Positions- und Geschwindigkeitsgrenzwerte wie vom Sicher‐
heitskonzept vorgegeben aktiviert sind, und zwar:
■ anhand der Betriebsart (manuell/automatisch).
■ anhand der Aktivierungssignale USIA, USIB, USIC oder USID.
Die bei der Berechnung der Grenzwerte für die Sicherheitsfunktionen SLPc und SLSc benutzten Über‐
wachungspunkte müssen auf die Vorgaben des Sicherheitskonzepts hin überprüft werden.
Die Koordinaten des TCP und der übrigen Punkte können anhand identifizierter Positionen in der Zelle
validiert werden.
Die X, Y, Z-Koordinaten des TCP sowie der anderen Punkte können dadurch überprüft werden, dass
jeder dieser Punkte zu einer bekannten kartesischen Position in der Zelle verlegt und anschließend mit
Hilfe der SafePMT-Scope-Ansicht mit den TCP/guard-Koordinaten aus SafePMT verglichen wird (Sie‐
he Kapitel 4.6.1). Die Access-ID der 4 Überwachungspunkte beginnt bei 352 (350 ist die ID des TCP).
I0003964
Abbildung 6.1
Die Positionsüberwachung muss validiert werden, indem zunächst überprüft wird, dass die Positions‐
grenzwerte denjenigen Grenzwerten entsprechen, die im Zellen-Layout festgelegt sind. Jeder Grenz‐
wert kann dann durch Verifikation einer entsprechenden Änderung des Sicherheitsstatus bei Über‐
schreiten des Grenzwerts überprüft werden. Um Sicherheitsstopps bei jedem Erreichen eines Grenz‐
werts zu vermeiden, sollte die Validierung am besten im Wartungsmodus durchgeführt werden (oder in
einer manuellen Betriebsart, wenn der Grenzwert in der manuellen Betriebsart deaktiviert ist).
■ Die sichere Referenzierung des Roboters muss durchgeführt werden (Siehe Kapitel 3.3.9).
■ Im Rahmen von Achsbegrenzungen müssen die minimalen und maximalen Achspositio‐
nen jointLimits_minPosJx und jointLimits_maxPosJx überprüft werden; das Feedback erfolgt über
den digitalen Systemeingang IselOK RSI9 (ON wenn innerhalb der Grenzwerte und OFF wenn au‐
ßerhalb). Es muss sowohl für die manuellen als auch für die automatischen Betriebsarten verifiziert
werden, ob die Überwachung auch in der manuellen Betriebsart (jointLimits_manu=1) aktiv sein
soll.
■ Die kartesischen Grenzwerte (sichere Zonen) können mit Hilfe eines bereits validierten Überwa‐
chungspunkts verifiziert werden (Siehe Kapitel 6.6.3). Anschließend ist jeder der Parameter, die die
Zone definieren, wie folgt zu überprüfen:
- Quader: min. und max. X/Y/Z-Koordinaten.
- Zylinder: min. und max. Z-Koordinaten und diametral gegenüberliegende Punkte auf dem Radi‐
us.
- vertikale Ebenen: 2 Punkte mit ausreichend Abstand voneinander.
Das Feedback erfolgt über den digitalen Eingang IzoneX RSI9 (ON wenn die Überwachung der Ge‐
schwindigkeit in der Zone aktiviert ist, OFF wenn sie deaktiviert ist). Izone3 und Izone4 entsprechen
den Zonen, die USIB und USIC zugeordnet sind.
jointLimits_minPosJx Siehe Kapitel 5.4.1
jointLimits_maxPosJx Siehe Kapitel 5.4.1
jointLimits_manu Siehe Kapitel 5.4.1
Die Überprüfung der Referenzierung muss wie in 3.3.9 beschrieben implementiert werden.
Sie kann durch Erzwingen eines neuen Referenzierungstests mit Hilfe des Aus‐
gangs QforceRefTest RSI9 überprüft werden.
Die Unabhängigkeit der zwei sicheren Referenzpositionen muss darufhin überprüft werden, dass wenn
die 1. Referenzierung an einer falschen Position vorgenommen wurde (z. B. falsche Armkonfiguration),
die Referenzierung an der 2. Position nicht möglich ist.
Es sind Maßnahmen zu treffen, die dazu dienen, nach einer Kollision des Roboters einen Wiederanlauf
bei voller Geschwindigkeit zu verhindern.
Aus Sicherheitsgründen müssen die Bremsen 100 mal häufiger getestet werden, als sie zum Einsatz
kommen. Wir empfehlen, alle 24h einen Bremstest vorzusehen. Ein häufigerer Bremstest ist erforder‐
lich, wenn die Zelle regelmäßig abgeschaltet wird, und der Roboter somit mit seinen Bremsen ange‐
halten werden muss. Im Sicherheitskonzept muss die Notwendigkeit eines Bremstests in den manuel‐
len und automatischen Betriebsarten festgelegt und das Risiko von Roboterabbremsungen bewertet
werden.
Die Konformität der Aktivierung des Bremstests (brakeTest_auto, brakeTest_manu) und des ent‐
sprechenden Zeitraums (brakeTestTimeoutDelay) mit dem Sicherheitskonzept ist zu überprüfen. Der
Parameter brakeTestWarningDelay hilft dabei, eine Sicherheits-Fehlermeldung zu verhindern, wenn
das Timeout-Intervall überschritten wird: die Differenz zwi‐
schen brakeTestWarningDelay und brakeTestTimeoutDelay ist nicht sicherheitsrelevant.
brakeTest_auto Siehe Kapitel 5.7.2
brakeTest_manu Siehe Kapitel 5.7.2
brakeTestTimeoutDelay Siehe Kapitel 5.7.2
brakeTestWarningDelay Siehe Kapitel 5.7.2
Im Sicherheitskonzept müssen die Maßnahmen zur Kontrolle des Zugangs zu den sicherheitsrelevan‐
ten Funktionen angegeben werden, wie zum Beispiel:
■ Zugang zu den Maschinendateien, insbesondere des Sicherheitsprogramms und des Sicherheits‐
konfigurationstools.
■ Benutzerprofile des Roboters, die der Überwachung der Ausführung bestimmter Funktionen auf
dem SP2 dienen.
■ Wartungsarbeiten, die eine Sicherheitsqualifikation erfordern (Auswechseln der Sicherheitssteue‐
rung).
Neben den Spezifikations- und Designinformationen müssen die Maschinenaufzeichnungen die für die
Validierung erforderlichen Informationen, die Validierungstestberichte, sowie diejenigen Dateien, die für
die sichere Wartung der Maschine erforderlich sind, enthalten.
■ Der abschließende Validierungsbericht für den Roboter muss eindeutig gekennzeichnet sein, und
seine CRCs sowie sein Update-Zähler müssen den CRCs und Update-Zählern am Roboter am En‐
de der Validierungsphase entsprechen.
■ Die Maschinenaufzeichnungen müssen eine Sicherungskopie des Sicherheitsprogramms sowie
des Sicherheitskonfigurationstools enthalten.
Wenn bestimmte Sicherheitsparameter während oder nach einer Sicherheitsvalidierung geändert wer‐
den müssen, muss eine neue Validierung durchgeführt werden; bereits durchgeführte Tests, deren Er‐
gebnisse nicht von der Änderung betroffen sind, müssen nicht erneut durchgeführt werden.
Die Beschreibung aller Sicherheitsparameter muss eindeutig genug sein, um deren Auswirkungen auf
die Validierungstests bewerten zu können. Bei Zweifeln muss die vollständige, den Parameter betref‐
fende Sicherheitsfunktion erneut getestet werden.
Nach der Wiederinbetriebnahme müssen die Sicherheitsaufzeichnungen folgende Elemente enthalten:
■ die verschiedenen Versionen des Validierungsberichts für den Roboter, die als Grundlage für die
Validierungstests dienen.
■ die Liste der zwischen den einzelnen Versionen des Robotervalidierungsberichts geänderten Para‐
meter.
■ die Liste der Validierungstests, die als nicht von der Änderung betroffen gelten, und daher nicht
wiederholt wurden.
7 - ANHANG .
RSI-Zustand Beschreibung
Code Bezeichnung
0 NO_COMM
Keine Kommunikation zwischen RSI9 und CPU.
4 RUNNING
RSI9 läuft.
5 STOPPED
RSI9 von SafePMT gstoppt: Neustart über SafePMT .
6 FATAL ERROR
RSI9 mit Fehlercode gestoppt: nach Behebung der Fehlerursache die
Steuerung zur Wiederherstellung neu starten.
7 ALARM
RSI9 mit Fehlercode gestoppt: nach Behebung der Fehlerursache 'Upda‐
te' an der Steuerung zur Wiederherstellung drücken.
8 STANDALONE
RSI9 läuft im Standalone-Betrieb (DSI9 nicht für funktionale Sicherheit ge‐
nutzt).
1 INIT_START interne RSI9-Initialisierungszustände.
2 INIT_CHECK
3 INIT_BUS
DSI-Zustand Beschreibung
Code Bezeichnung
0 NO_COMM
Keine Kommunikation zwischen DSI9 und CPU.
4 RUNNING
DSI9 läuft.
6 FATAL ERROR
DSI9 mit Fehlercode gestoppt: nach Behebung der Fehlerursache die
Steuerung zur Wiederherstellung neu starten.
7 ALARM
DSI9 mit Fehlercode gestoppt: nach Behebung der Fehlerursache 'Upda‐
te' an der Steuerung zur Wiederherstellung drücken.
8 STANDALONE
DSI9 im Standalone-Betrieb (keine Kommunikation mit RSI9). RBR ab‐
schalten oder entfernen, dann 'Update' auf der Steuerung zur Wiederherstel‐
lung drücken.
DSI-Zustand Beschreibung
Code Bezeichnung
1 INIT_SYNC interne DSI9-Initialisierungszustände.
2 INIT_CHK1
3 INIT_START
5 INIT_CONFIG
9 INIT_ETH1
10 INIT_CHK2
11 INIT_ETH2