TIA Steuerhoheit digitaler Zwilling

[DCDCDC]

Zuviel Werbung?
-> Hier kostenlos registrieren

Hallo zusammen,

aktuell sind wir dabei unseren digitalen Schatten in einen digitalen Zwilling zu erweitern.
Dazu ist es eben auch notwendig, dass der Zwilling die Steuerhoheit über die Maschine hat.

Ich werde dafür einen neuen Modus einführen und eine spezifische Sequenz die nur darauf reagiert und damit funktioniert, die eigentliche Funktionalität wird damit nicht beeinträchtigt.

Mein Weg um eine "gewisse" Sicherheit zu erzeugen wäre wie folgt:

Modus Remote einschalten:
> Der Modus muss explizit auf der HMI Seite des digitalen Zwilling ausgewählt werden als "Vorwahl" (HMI Seite mit Login geschützt)
> erst dann wird das MQTT Topic auf den der Zwilling Nachrichten sendet ausgewertet
> ist die Vorwahl getan und die Nachricht zur Übernahme ist auf dem Topic öffne ich ein Popup was den ganzen Bildschirm belegt
> auf dem Popup steht ein Warnhinweis zur Vergewisserung dass alles korrekt ist
> auf dem Popup befindet sich ein E/A Feld mit einem String hinterlegt, welcher eingegeben werden muss (Eingabe mit Login geschützt)
> stimmt dieser String mit der Vorgabe überein so wird der Button zur Bestätigung der Übergabe der Steuerhoheit freigeschalten (Interaktion Button mit Login geschützt)
> ist die Übergabe bestätigt so ist dann der Modus für den digitalen Zwilling aktiv und kann entweder mit Stopp oder Einrichtbetrieb wieder zurückgenommen werden

Sequenz Remote:
> Abfrage ob Zustimmtaster nicht betätigt
> Auswertung MQTT Topic für Befehl / Kommando
> Popup öffnen, Befehl / Kommando muss mit Zustimmtaster / Button bestätigt werden
> Abfrage ob Zustimmtaster betätigt
> Während der Ausführung Überprüfung ob Zustimmtaster betätigt ist, wenn nicht dann wieder in den Init Schritt

Ist das "sicher" genug? Hat schon mal jemand etwas ähnliches umgesetzt? Gibts dazu Richtlinien?

Da ich ein KTP700F hab, könnte ich auch noch den Zustimmtaster bzw den Schlüsselschalter mit einbinden in den Prozess


Danke!

 

[xMisterDx]

Wozu sollen all diese Passwörter und Vergleiche gut sein? Im Grunde brauchst du nur nen Schlüsselschalter mit nem Schlüssel, den nur bestimmte Personen haben dürfen.
Du kannst 100 nichtsichere Abfragen über ein UND im Sicherheitsprogramm ziehen. "Sicher" wird es erst wenn ein fehlersicherer Eingang dazu kommt.
Passwörter kennt erfahrungsgemäß nach nem Jahr jeder Anlagenfahrer.

Im Übrigen kommt es auf die Risikoanalyse an, welchen Aufwand man treiben muss.

Mit nem Schlüssel lässt sich auch einfacher im Fall der Fälle nachweisen, wer die Funktion aktiviert hat bzw. wer es zugelassen hat. Derjenige, dessen Schlüssel fehlt.

 

[circlehook]

Zuviel Werbung?
-> Hier kostenlos registrieren

Die Anlage/Maschine sollte ja sicher ausgeführt sein, somit auch deren Betrieb keine Probleme darstellen.
Ergeben sich durch euren geplanten Eingriff neue Sicherheitsrisiken, müssen diese eben entsprechend verhindert werden.

 

[Mrtain]

Passwörter kennt erfahrungsgemäß nach nem Jahr jeder Anlagenfahrer.

Stimmt, ist ungefähr genauso wie mit nem Schlüssel.

Sicherheitsprogramm ziehen. "Sicher" wird es erst wenn ein fehlersicherer Eingang dazu kommt.

Ja ne, is klar.
Stuß am laufenden Band...

 

[ducati]

Mein Weg um eine "gewisse" Sicherheit zu erzeugen wäre wie folgt:

Was könnte denn im worst case passieren, wenn die "gewisse" Sicherheit nicht erzeugt würde?
Personenschäden? Grössere Maschinen/Anlagenschäden? Umweltschäden?
Dann sollte das auf jeden Fall, wie schon erwähnt, aus der Risikobeurteilung dementsprechend hervorgehen und die daraus notwendigen Massnahmen in der notwendigen SIL PL von einer befähigten Person definiert sein.

Ist das "sicher" genug? Hat schon mal jemand etwas ähnliches umgesetzt? Gibts dazu Richtlinien?

Das kann Dir hier sicherlich niemand sagen. Wenns ne Maschine ist, dann gilt halt die Maschinenrichtlinie.

Wenn sich durch Eure "externe Maschinensteuerung" jetzt etwas grundlegend ändert, ist da auf jeden Fall ne neue Risikobeurteilung nötig.

 

[Michitronik]

Zuviel Werbung?
-> Hier kostenlos registrieren

Wird beim Umschalten auf den digitalen Zwilling das Modul/die Anlage in dem Zwilling abgebildet oder wird das Modul/die Anlage durch den Zwilling gesteuert. Wenn letzteres der Fall ist, dann ist es wie die Steuerung durch jedes andere übergeordnete Systeme (z.B. POL und PEA) remote zu steuern. Immens wichtig ist auf eine saubere Trennung der Datenhaltung zu achten. Für die Sicherheit des Moduls/der Anlage gelten die selben Regeln, wie sonst auch. Bei Verbindungsproblemen muss das System in einen Sicheren Zustand wechseln.

 

[DCDCDC]

Das ist ne kleine Maschine, nicht eingehaust, da sie noch in einen anderen Teil bald eingesetzt werden soll.

Für die Steuerung via digitalem Zwilling würden wir das Ganze einhausen.

Da ich ja in der F&E arbeite, ist das ganze hier kein produktives System oder an irgendwas gebunden.
Aktuell bin ich der Einzige mit Login fürs HMI und Projekt usw, da ich neue Benutzer erst aufsetzen möchte, wenn ich da mal Unterweisungen durchgeführt hab.

Das schlimmste was passieren könnte sind Personenschäden, deswegen auch die Einhausung sobald das ganze "live" geht.

Aktuell sind da nur ich und ein Kollege an der Maschine dran.

F-CPU haben wir nicht, ist eine 1217.

Den Schlüssel mitzuverknüpfen macht aber natürlich schon Sinn, das könnte man als oberste Ebene verwenden.

 

[PN/DP]

aktuell sind wir dabei unseren digitalen Schatten in einen digitalen Zwilling zu erweitern.
Dazu ist es eben auch notwendig, dass der Zwilling die Steuerhoheit über die Maschine hat.

Könntest du mal erläutern, was du mit "digitaler Zwilling" und "digitaler Schatten" meinst?
Und wieso dein "Zwilling" eine reale Maschine steuern soll?

 

[DCDCDC]

Zuviel Werbung?
-> Hier kostenlos registrieren

Digital Twin / Digitaler Zwilling sind ja auch wieder Themen die unter/mit I4.0 und zB virtueller Inbetriebnahme aufkamen.

Ein digitaler Schatten, ist wie "Schatten" schon andeuten lässt etwas, dass der echten Maschine in deren Bewegungsabläufen folgt. Das heißt, dass die Bewegung die an der realen Maschine ausgeführt wird, dann quasi - wenn auch mit Zeitverzögerung - am virtuellen Modell ausgeführt wird.

Ein Zwilling ist eben nicht nur etwas, das mitläuft, sondern auch mit der Anlage interagieren kann.
zB in unserem Fall möchten wir Positionen auf X/Y/Z Achsen anfahren lassen, d.h. im digitalen Modell wird eine Vorgabe eingegeben (in mm) und diese dann an die Steuerung gesendet, dann wird dieser gewünschte Befehl ausgeführt, genauso wie ich es am HMI der Maschine auch kann.

Das ganze ist noch eine "offene" Thematik und jeder definiert digitaler Zwilling irgendwie anders. Für manche ist es schon ein CAD Modell welches bedienbar ist, für andere nicht.. da gibt es noch keine Festlegungen.

 

[DeltaMikeAir]

zB in unserem Fall möchten wir Positionen auf X/Y/Z Achsen anfahren lassen,d.h. im digitalen Modell wird eine Vorgabe eingegeben (in mm)

Und wieso dein "Zwilling" eine reale Maschine steuern soll?

?

 

[DCDCDC]

Weil wir uns eben dafür entschieden haben, dass als Funktionsumfangs des Zwillings definieren und umsetzen zu wollen.

 

[ducati]

Zuviel Werbung?
-> Hier kostenlos registrieren

Das ist ne kleine Maschine, nicht eingehaust, da sie noch in einen anderen Teil bald eingesetzt werden soll.

Für die Steuerung via digitalem Zwilling würden wir das Ganze einhausen.

Da ich ja in der F&E arbeite, ist das ganze hier kein produktives System oder an irgendwas gebunden.
Aktuell bin ich der Einzige mit Login fürs HMI und Projekt usw, da ich neue Benutzer erst aufsetzen möchte, wenn ich da mal Unterweisungen durchgeführt hab.

Das schlimmste was passieren könnte sind Personenschäden, deswegen auch die Einhausung sobald das ganze "live" geht.

Aktuell sind da nur ich und ein Kollege an der Maschine dran.

Auch wenns FuE ist, hat auch dort der Arbeitgeber die Pflicht, dafür zu sorgen, dass den Mitarbeitern nix passiert. D.h. jemand muss ne Risikobeurteilung machen und daraus abgeleitet Maßnahmen definieren.
Das hat primär garnichts mit dem digitalen Zwilling zu tun.
Wenn ne Einhausung definiert wurde, dann brauchts sicherlich auch ne Überwachung, ob die Einhausung vorhanden ist, jenachdem wie die konstruiert ist etc... Also je nach gefordertem PL halt ne Freigabe der Maschine nur, wenn Einhausung OK.
Was dann der Digitale Zwilling macht, wär dann ja egal, da niemand im Gefahrenbereich sein kann...

So würd ich das jetzt zwischen den Zeilen mal interpretieren...

 

[circlehook]

d.h. im digitalen Modell wird eine Vorgabe eingegeben (in mm) und diese dann an die Steuerung gesendet, dann wird dieser gewünschte Befehl ausgeführt, genauso wie ich es am HMI der Maschine auch kann.

Wo ist der Unterschied ob die Werte vom "Zwilling", dem Maschinen HMI, einer Runtime vom PG oder sonst wo herkommen?

Mögliche Personenschäden sind abzuwenden, dafür sind entsprechende Schutzmaßnahmen zu treffen.
Wenn dann beim (Test-)Betrieb der Maschine, diese eingehaust ist und somit ein sicherer Betrieb gewährleistet ist, ist doch alles gut.

 

[DCDCDC]

Eingehaust wird sie, das Modul kommt später in eine Maschine wo es dann auch dauerhaft eingehaust ist und ich bin aktuell der Einzige der daran arbeitet.

 

[Larry Laffer]

Zuviel Werbung?
-> Hier kostenlos registrieren

Was mir hier so auffällt ist : es spricht niemend über die Maschine selbst. Unter einem Digitalen Zwilling kann ich mir, wenn es einfach so in den Raum geworfen wurde, nichts vorstellen. Wenn man denn Thread selbst so liest dann hört es sich insgesamt nach einer ggf. komplexeren Fernsteuerung (maximal) an. Daran knüpfe ich nun mal an :
Es ist doch vollkommen egal von woher die Steuerbefehle kommen und was sie beinhalten - die Maschine selbst muss sie ja umsetzen und im einfachsten Fall die Verriegelungen haben. Das gleiche gilt für die Sicherheitstechnik - die kann auch nicht Remote kommen - die muss die Maschine schon selbst haben und umsetzen. Das, was ich hier sehe, ist einfach "nur" eine Überprüfung der Sinnhaftigkeit der Steuerbefehle. Naja ... und vielleicht auch, wer die Bedienhoheit hat : die HMI der Maschine oder etwas Externes (egal was).

 

[DCDCDC]

Nothalt vom KTP ist ja eingebunden, Fehlermeldungen sind auch in die Betriebsarten eingebunden. Beim PL versuche ich noch Infos zu bekommen, da ich das ganze nur übernommen hatte. Einhausung kommt.

Natürlich ist es heruntergebrochen nur eine Fernsteuerung, die ja wie initial erwähnt abgekapselt vom Rest ist.
Da ich zum ersten Mal umsetze, dass eine Steuerung per Remote Befehle empfängt, wollte ich ja dahingehend fragen ob und wie das schon mal jemand umgsetzt hat.

Natürlich könnte man hier sagen dass der Vorgang im ersten Post etwas gedoppelt/übertrieben ist, aber da ich mir selbst unsicher bin, möchte ich das so "sicher" von der Bedienung her machen wie es geht.

 

[JSEngineering]

Ich verstehe das Ganze auch noch nicht so ganz:
Zwilling ist Zwilling, heißt also: Meine Maschine ist irgendwie virtuell vorhanden, macht das gleiche wie die Maschine.
Wenn der digitale Zwilling aber die Maschine steuern kann, wäre er ja intelligenter als die Maschine, dann ist er kein Zwilling mehr.

Ich verstehe noch nicht so ganz, worauf Ihr eigentlich hinaus wollt?
Daß jemand der virtuellen Maschine im Schreibtisch Befehle gibt, die dann aber nicht nur digital, sondern auch real ausgeführt werden?
Das wäre ja quasi eine unbeaufsichtigte Fernsteuerung, wo mir das digitale Abbild eine Idee davon gibt, was gerade passiert, weil ich ja nicht neben der Maschine stehe, sondern am Schreibtisch sitze.

Und in dem Moment muß ich dann die ganze Maschine - da sie unbeaufsichtigt läuft - so sicher machen, daß alle Eingriffe von außen entweder unmöglich oder eben vollkommen sicher sind. Was ggf. beim normalen Betrieb der Maschine nicht der Fall sein muß, da es einen Bediener gibt, der an der Maschine steht.

Ob das Ganze so ohne Sicherheitstechnik möglich ist, kann man natürlich nur am Objekt nachvollziehen...

 

[DCDCDC]

Zuviel Werbung?
-> Hier kostenlos registrieren

Was dann am Ende damit möglich ist, ist aktuell noch offen und auch die Umsetzung.

Aktuell gehts nur darum die Steuerung vom virtuellen Modell aus zu ermöglichen, da haben wir uns entschieden, dass das nicht unbeaufsichtigt geschieht.

Mein Wunsch wäre es, dass man im finalen nur noch den Schlüsselschalter in die richtige Position bringen muss um Remotezugriff zu ermöglichen, den Rest soll dann gerne die Maschinensicherheit und die Logik handhaben.

Und wie gesagt, ein Zwilling ist nicht gleich Zwilling, macht mein Modell die gleiche Bewegungen wie aktuell die reale Maschine, ist es nach meiner Auffassung immer noch "nur" ein Schatten, da ja nur abgebildet wird. So ist zumindest meine Auffassung bei der Thematik. Da darf aber jeder gerne sich selbst für die Begrifflichkeiten entscheiden wie er sie verwenden will.

Smart Safety ist auch, wie ich schon mal einen Thread eröffnet hatte bei uns aktuell noch ein kleines Thema, aber es existiert und daran wird auch geforscht und geschrieben, generell.

Ich finde es zumindest für mich, sind das spannende Themen. Maschinen und Montageprozesse, in klassischer Form habe ich schon genügende gemacht.. dass ich mich oft gefragt hatte was denn da noch so möglich ist.

Open Data Ansätze werden bei uns auch verfolgt. Auch wenn MQTT eigentlich eine schon sehr gereifte Technologie ist, findet die ja mehr im I(I)oT Bereich statt und noch nicht so sehr im klassichen Sinne von produzierenden Maschinen. Mit dem Protokoll ist vieles möglich.

 

[DCDCDC]

Sind Popups denn global in Wincc Advanced?

Ich hab jetzt meine Popups erstellt und würde die gerne triggern.. nehme ich dann dafür ein Skript?

Ich würde gerne sicherstellen dass die Popups aufgerufen werden unabhängig vom aktiven Bild

 

[ducati]

Nothalt vom KTP ist ja eingebunden, Fehlermeldungen sind auch in die Betriebsarten eingebunden. Beim PL versuche ich noch Infos zu bekommen, da ich das ganze nur übernommen hatte. Einhausung kommt.

Nothalttaster oder Notaustaster sind keine risikominimierenden Maßnahmen. Die Maschine muss von sich aus sicher sein, unabhängig davon ob zufällig jemand vorbei kommt, der den Nothalt drückt. Nothalttaster ist eigentlich immer nur eine zusätzliche Geschichte für Gefahren, die wirklich niemand vorausgesehen hat.
Grundsätzlich würd ich Dir raten, das Thema nicht zu lasch zu sehen. Es muss ein Papier existieren! Und wenn da drinn steht, alles ist sicher, es kann nichts passieren, wir brauchen keine Maßnahmen, dann ist das auch eine Risikobeurteilung und eben so.
Jetzt könnte man beim Versuchsaufbau noch argumentieren, dass nur speziell an der Maschine geschulte Leute dran arbeiten und somit weniger Sicherheitsfunktionen notwendig sind. Dann muss das aber auch so in der Risikobeurteilung drinstehen.
Auf jeden fall später, wenn das Teil an Kunden ausgeliefert wird, geht das so aber sicherlich nicht mehr...

Die Denkweise, ich hab nen Nothalt und alles ist gut, ist leider ein Irrweg. Vielleicht hab ich Dich aber auch falsch verstanden.