Sicherheitsroboter: was Wartung und Laufzeit über den Hersteller verraten

Ein Sicherheitsroboter ist nicht das, was im Datenblatt steht, sondern das, was nach achtzehn Monaten Dauerbetrieb übrigbleibt. Wer Hersteller voneinander unterscheiden will, prüft nicht die Eckdaten der ersten Demonstration, sondern die Architektur des Service.

Diese Unterscheidung ist im Markt unüblich, weil sie unbequem ist. Eckdaten sind verfügbar, Servicearchitekturen sind nicht in Prospekten enthalten. Wer die Frage nach Wartung, Ersatzteilen, Reaktionszeit und Eingriffsketten nicht früh stellt, kauft eine Hülle, deren Inhalt sich erst im zweiten Betriebsjahr zeigt. Bis dahin ist die Investition gebunden, die Schadenswahrscheinlichkeit steigt, und der Lieferant verschwindet hinter einer Hotline, die niemand persönlich verantwortet.

Der nachfolgende Text beschreibt, woran ein Operator den Hersteller erkennt, bevor er ihn beauftragt. Er behandelt die Frage als das, was sie ist: eine Frage der Konstruktionslogik, nicht der Bedienoberfläche. Wer eine Wartungslogik hat, hat eine Konstruktion. Wer keine hat, hat einen Prototyp, den der Markt für ihn fertig entwickeln soll.

Warum Wartung die ehrlichste Auskunft über einen Hersteller gibt

Wartung ist das Format, in dem ein Hersteller seine eigenen Annahmen prüft. Wer eine Maschine baut, weiß, wo sie schwach ist. Wer diese Schwächen nicht in einem Wartungsplan abbildet, hat sie entweder nicht erkannt oder verschweigt sie. Beides ist ein Signal. Der Operator, der Sicherheitsroboter für den Dauereinsatz beschaffen will, liest dieses Signal vor dem Kauf, nicht danach.

Ein seriöser Wartungsplan benennt drei Größen ohne Umschweife. Erstens die Intervalle. Zweitens die Tätigkeiten je Intervall. Drittens die Lebensdauer der Komponenten, die in den Intervallen geprüft oder getauscht werden. Wer diese drei Größen nicht in einem zusammenhängenden Dokument zeigen kann, hat keinen Plan, sondern eine Empfehlung. Empfehlungen sind verhandelbar. Pläne sind verbindlich. Im Schadensfall entscheidet diese Unterscheidung darüber, wer die Folgekosten trägt.

Die zweite Prüfung ist die nach der Verteilung der Wartung. Ein Hersteller, der ausschließlich planbare Wartung kennt, baut zuverlässig. Ein Hersteller, der ungeplante Eingriffe als Regelfall behandelt, baut Geräte, deren Betrieb sich der Operator nicht in die eigene Schichtplanung legen kann. Das Verhältnis von planbarer zu ungeplanter Wartung ist eine messbare Größe. Im industriellen Standard wird sie über Monate gemittelt und gegen die Verfügbarkeitszusage gehalten. Wer diese Mittelung nicht liefert, hat keine Datenbasis.

Die dritte Prüfung ist die der Wartungstiefe. Ein Wartungsfenster, das aus dem Wischen eines Sensors besteht, ist kein Service, sondern Kosmetik. Ein Wartungsfenster, das Antrieb, Sensorik, Energieversorgung und Software in einer dokumentierten Reihenfolge prüft, ist eine Inspektion. Operator, die zwischen beidem nicht unterscheiden, zahlen für das eine und glauben, sie hätten das andere bezogen. Im Schadensfall ist diese Verwechslung der teuerste Fehler in der Vertragsphase.

Die vierte Prüfung ist die nach der Veränderung des Wartungsplans über die Lebensdauer. Ein Hersteller, der den Plan in den ersten beiden Betriebsjahren mehrfach verschärft, hat in der Entwicklung Annahmen getroffen, die nicht gehalten haben. Ein Hersteller, der den Plan in derselben Zeit entlasten kann, weil Felddaten die Robustheit bestätigt haben, hat eine reife Konstruktion. Beide Fälle sind nachvollziehbar, wenn der Hersteller seine Plandokumente versioniert. Wer diese Versionierung nicht zeigt, hat entweder keine oder will sie nicht zeigen.

Laufzeit als gemessene Größe, nicht als Werbeaussage

Laufzeit ist eine der Größen, in denen der Markt mit größter Sorglosigkeit umgeht. Die Aussage, ein Sicherheitsroboter laufe vierundzwanzig Stunden am Tag, ist ohne Bezugsrahmen wertlos. Die ehrliche Aussage besteht aus mehreren Komponenten, die zusammen eine Verfügbarkeit definieren, an der sich der Operator messen kann.

Erste Komponente ist die mittlere Zeit zwischen Ausfällen, im Industriestandard als MTBF bezeichnet. Sie ist eine statistische Größe, die nur dann belastbar ist, wenn sie aus einer ausreichend großen Geräteflotte über eine ausreichend lange Zeit erhoben wurde. Hersteller, die diese Zahl als Versprechen ausgeben, ohne die Datenbasis zu nennen, geben keine Zahl, sondern eine Hoffnung. Der Operator, der nach der Stichprobengröße fragt, erkennt in der Antwort, ob er es mit Felddaten oder mit Werbung zu tun hat.

Zweite Komponente ist die mittlere Reparaturzeit, im Standard als MTTR bezeichnet. Sie beschreibt, wie lange ein Ausfall dauert, von der Meldung bis zur Wiederherstellung. Diese Zeit ist in der Sicherheitstechnik wichtiger als in vielen anderen Bereichen, weil sie unmittelbar in die Schutzlücke übersetzt. Eine MTTR von vier Stunden ist eine andere Größe als eine MTTR von zwei Tagen. Wer in der Ausschreibung beide Werte nicht abfragt, kauft eine Verfügbarkeit, deren Schwäche im Ernstfall sichtbar wird.

Dritte Komponente ist die Verfügbarkeit als zusammengesetzte Größe. Sie ergibt sich aus den beiden vorgenannten Werten und ist im Vertrag als prozentualer Wert über einen definierten Zeitraum auszudrücken. Eine Verfügbarkeit von neunundneunzig Prozent über ein Quartal ist eine andere Größenordnung als dieselbe Zahl über eine Woche. Wer den Zeitraum nicht spezifiziert, hat keine Zusage, sondern eine Andeutung.

Vierte Komponente ist die Behandlung der Witterung. Sicherheitsroboter im Außeneinsatz erleben Frost, Hitze, Regen, Schnee, Staub und Salznebel. Die Laufzeit unter Idealbedingungen ist eine Zahl. Die Laufzeit unter einer dokumentierten Mischung realer Bedingungen ist eine andere. Operator, die ihre Standorte kennen, fragen nach dieser zweiten Zahl. Hersteller, die nur die erste liefern können, haben ihre Geräte nicht ausreichend getestet.

Fünfte Komponente ist die Energieversorgung. Ein Roboter, der pro Stunde Betrieb eine bestimmte Energie braucht und in einem bestimmten Rhythmus laden muss, hat eine Verfügbarkeit, die sich aus Fahrtzeit und Ladezeit zusammensetzt. Wer diese Größen einzeln ausweisen kann, baut transparent. Wer sie in einer Gesamtzahl verschmilzt, verbirgt die Schwächen seiner Energiebilanz. Der Operator, der zwei Geräte gegeneinander vergleicht, braucht die getrennten Werte, sonst vergleicht er Äpfel mit Birnen.

Servicearchitektur als Konstruktionsmerkmal

Service ist nicht der Anhang einer Konstruktion, sondern ihr Bestandteil. Eine Maschine, die ohne Service nicht zu betreiben ist, muss so gebaut sein, dass der Service in zumutbarer Zeit, durch zumutbar qualifiziertes Personal, an zumutbarem Ort erfolgen kann. Wer eine dieser drei Zumutbarkeiten verletzt, hat eine Konstruktion gebaut, die im Feld nicht hält, ohne dass die Hardware schwach wäre.

Die Servicearchitektur beginnt bei der Modularität. Ein Roboter, dessen Antriebseinheit als Block getauscht werden kann, ist im Service eine andere Maschine als ein Roboter, dessen Antrieb verschraubt, verklebt und vergossen ist. Der Operator, der die Servicedokumentation vor dem Kauf prüft, sieht, ob der Hersteller in Baugruppen denkt oder in fertigen Geräten. Beides ist legitim, beides hat unterschiedliche Folgen für die Stillstandszeit.

Sie geht weiter bei der Ersatzteilstrategie. Ein Hersteller, der seine Ersatzteile vorhält, garantiert eine Versorgungsdauer. Diese Dauer ist im Vertrag auszuweisen. Im industriellen Standard sind zehn Jahre nicht unüblich, sie sind aber nicht selbstverständlich. Wer einen Sicherheitsroboter beschafft, dessen Komponenten in fünf Jahren nicht mehr verfügbar sind, hat eine Investition mit kalkulierbarem Ende. Diese Kalkulation ist legitim, sie muss aber vor dem Kauf erfolgen, nicht nach dem Ausfall.

Sie geht weiter bei der Qualifikation des Servicepersonals. Ein Hersteller, der Schulungen anbietet, in denen das Bedienpersonal des Kunden Erststufenwartung übernehmen kann, verringert die Reaktionszeit erheblich. Ein Hersteller, der diese Qualifikation nicht in die Hand des Kunden legt, behält die Servicehoheit. Beide Modelle sind im Markt vorhanden. Der Operator, der seinen Standort kennt, wählt das Modell, das zu seiner eigenen Personalstruktur passt. Wer das Modell nicht prüft, wird vom Modell des Herstellers bestimmt, ohne es zu merken.

Sie endet bei der Eingriffskette im Ernstfall. Wer trifft die erste Diagnose, wer entscheidet über die Reparatur, wer trägt das Ersatzteil, wer dokumentiert den Eingriff. Diese vier Funktionen können in einer Hand liegen oder verteilt sein. Beides ist möglich, beides ist zu definieren. Verträge, die diese Verteilung offenlassen, sind im Schadensfall eine Quelle des Streits. Verträge, die sie explizit ausweisen, sind im Schadensfall die Grundlage einer raschen Wiederherstellung.

Boswau + Knauer hat in seiner Servicearchitektur die Wahl getroffen, modular zu bauen, eigene Ersatzteile zu führen und das Kundenpersonal in Erststufenfunktionen einzubinden. Diese Wahl ist in dem Buch zur Unternehmensentwicklung dokumentiert, das im Kapitel zum Dauerbetrieb die zugrundeliegende Logik beschreibt. Sie ist nicht alternativlos. Sie ist eine Position, die Operator gegen andere Positionen vergleichen können sollten.

Was die Dokumentation eines Herstellers preisgibt

Dokumentation ist die zweite Sprache eines Herstellers. Wer in dieser Sprache nicht schreiben kann, hat in der ersten, der Hardware, vermutlich auch Lücken. Der Operator, der vor der Beschaffung die Dokumentation prüft, prüft mehr als ein Beipackheft. Er prüft, wie der Hersteller seine eigene Konstruktion versteht.

Eine vollständige Dokumentation enthält Betriebsanleitung, Wartungshandbuch, Servicehandbuch, Ersatzteilkatalog, Softwarehandbuch, Sicherheitsdatenblätter und eine Risikobeurteilung. Sie ist auf dem Stand der ausgelieferten Maschine, nicht auf dem Stand der ersten Version. Sie ist in der Sprache des Operator-Landes verfügbar. Sie liegt in einer Form vor, die in Audits durch Versicherer, Berufsgenossenschaften oder Aufsichtsbehörden bestehen kann. BG BAU, VdS und TÜV erwarten diese Form. Wer sie nicht liefert, schiebt das Risiko der Auseinandersetzung auf den Operator.

Eine ehrliche Dokumentation benennt Grenzen. Sie sagt, was das Gerät nicht kann, in welchen Bedingungen es nicht eingesetzt werden darf, welche Wartungsschritte nicht ausgelassen werden dürfen. Hersteller, die ihre Grenzen kennen, schreiben sie auf. Hersteller, die ihre Grenzen nicht kennen, schreiben Werbung. Der Operator, der die Dokumentation auf Grenzen liest, erkennt in fünf Minuten, mit wem er es zu tun hat.

Eine vollständige Dokumentation enthält darüber hinaus die Schnittstellen. Welche Daten verlassen das Gerät, in welchem Format, mit welchen Schutzmaßnahmen. Diese Frage ist im KRITIS-Umfeld nicht verhandelbar, sie ist im Industrieumfeld nicht weniger relevant. BSI und BDSW haben Leitlinien formuliert, die eine Untergrenze beschreiben. Wer als Hersteller unter dieser Untergrenze bleibt, ist nicht eingesetzt. Wer als Operator diese Untergrenze nicht prüft, hat keine Auskunft über das eigene Datenrisiko.

Der vierte Aspekt der Dokumentation ist die Versionierung. Eine Maschine, die in der dritten Version ausgeliefert wird, unterscheidet sich von der ersten Version. Wartungspläne, Ersatzteile und Softwarekomponenten ändern sich. Hersteller, die diese Veränderungen sauber dokumentieren, geben dem Operator die Möglichkeit, seinen Bestand zu pflegen. Hersteller, die in jeder Generation neu beginnen, zwingen den Operator zu wiederholten Schulungen und zu einer Ersatzteilhaltung, die sich nicht konsolidieren lässt. Diese versteckten Kosten erscheinen erst nach mehreren Jahren in der Bilanz.

Vertragsklauseln, die mehr verraten als jeder Prospekt

Verträge zeigen, was im Prospekt nicht steht. Sie sind die juristische Form, in der ein Hersteller sich auf seine eigenen Aussagen verpflichtet oder von ihnen distanziert. Der Operator, der den Vertragsentwurf vor der Beschaffung liest, kennt seinen Hersteller besser als nach jeder Werksbesichtigung.

Eine erste Klausel betrifft die Verfügbarkeitszusage. Sie ist in Prozent über einen definierten Zeitraum ausgewiesen, sie ist mit Konsequenzen verbunden, und sie unterscheidet zwischen geplanter und ungeplanter Nichtverfügbarkeit. Hersteller, die in ihrer Verfügbarkeitszusage geplante Wartung herausrechnen, ohne den Umfang dieser Wartung zu begrenzen, geben keine Zusage. Operator, die diese Klausel nicht lesen, kaufen ein Versprechen, das beliebig dehnbar ist.

Eine zweite Klausel betrifft die Reaktionszeit im Servicefall. Sie ist zu unterscheiden in Zeit bis zur Meldungsannahme, Zeit bis zur Diagnose und Zeit bis zur Wiederherstellung. Drei Größen, die in der Praxis häufig zu einer verschmolzen werden, was die schwächste der drei Größen verbirgt. Der Operator, der die Klausel auseinandernimmt, sieht, ob der Hersteller einen Servicepfad organisiert hat oder eine Hotline.

Eine dritte Klausel betrifft die Ersatzteilversorgung. Sie nennt eine Dauer, sie nennt einen Preisrahmen, und sie nennt die Lieferbedingungen. Verträge ohne diese drei Angaben sind im fünften Betriebsjahr eine Quelle der Verhandlung, die der Operator dann führt, wenn er die schlechteste Position hat, nämlich nach einem Ausfall. Verträge mit diesen Angaben sind eine Versicherung gegen den Verhandlungsdruck, der jeden Stillstand begleitet.

Eine vierte Klausel betrifft die Software. Sicherheitsroboter sind heute zu wesentlichen Teilen Softwareprodukte. Wer die Software-Updatepolitik nicht im Vertrag regelt, erlebt nach achtzehn Monaten, dass ein Update die Funktion verändert, ohne dass der Operator die Veränderung erwartet hat. Eine saubere Klausel regelt Zeitpunkte, Inhalte, Rückfalloptionen und Verantwortlichkeiten. GDV-Empfehlungen zur Cybersicherheit in industriellen Anlagen verlangen diese Regelungstiefe. Wer sie unterschreitet, ist im Versicherungsfall in der Defensive.

Eine fünfte Klausel betrifft den Ausstieg. Was passiert, wenn der Hersteller seinen Markt verlässt, von einem Wettbewerber übernommen wird oder das Produkt einstellt. Hersteller, die in dieser Klausel eine Quellcode-Hinterlegung, eine Ersatzteilfortführung oder eine Wartungsübergabe vorsehen, zeigen, dass sie ihren Kunden über die eigene Unternehmenslebensdauer hinaus denken. Hersteller, die diese Klausel ablehnen, geben dem Operator zu verstehen, dass die Sicherheit der Investition an die Existenz des Herstellers gebunden ist. Diese Information ist wertvoll, sie muss aber vor dem Kauf bekannt sein.

Was bleibt

Wartung und Laufzeit sind nicht Anhängsel einer Sicherheitsroboter-Investition, sondern ihre Substanz. Der Hersteller, der seine Servicearchitektur in vergleichbarer Tiefe zeigt, hat eine Konstruktion. Der Hersteller, der sich dieser Tiefe verweigert, hat einen Prototyp. Operator, die zwischen beidem nicht unterscheiden, verschieben das Risiko aus dem Vertragsstadium in den Dauerbetrieb, wo es teurer wird und nicht mehr verhandelbar ist.

Boswau + Knauer trifft seine Konstruktionsentscheidungen in dieser Reihenfolge: erst die Anforderung an Lebensdauer und Wartbarkeit, dann die Komponentenwahl, dann der Preis. Wer als Operator die eigene Lieferantenliste in der gleichen Reihenfolge prüft, hat in wenigen Sitzungen eine andere Übersicht, als sie das übliche Beschaffungsverfahren liefert.

Für Operator, die diese Prüfung strukturiert führen wollen, ohne den Aufwand eines vollständigen Audits einzugehen, steht der erste der drei Wege offen: ein vertrauliches Gespräch von sechzig Minuten, in dem die eigene Servicearchitektur gegen die Maßstäbe gehalten wird, die hier beschrieben sind. Das Gespräch hat keine Folgekosten. Wer danach weiterführen will, geht in das Audit. Wer nicht weiterführen will, hat die Maßstäbe in der Hand.

Häufige Fragen

Wie oft braucht ein Sicherheitsroboter Wartung?

Die seriöse Antwort hängt von Bauart und Einsatzprofil ab. Industriell ausgelegte Geräte werden in der Regel in quartalsweisen Intervallen geplant inspiziert, mit einer jährlichen Hauptwartung, in der Antrieb, Sensorik und Energieversorgung tiefer geprüft werden. Wer auf ein Gerät trifft, das monatliche ungeplante Eingriffe verlangt, hat keinen Roboter, sondern einen Prototyp. Maßgeblich ist nicht die Häufigkeit allein, sondern das Verhältnis von geplanter zu ungeplanter Wartung über mindestens zwölf Monate. Diese Größe ist im Vertrag auszuweisen, sonst ist sie nicht verbindlich.

Welche MTBF-Werte sind in der Industrie üblich?

In der industriellen Sicherheitstechnik werden MTBF-Werte im Bereich mehrerer tausend Betriebsstunden als belastbar angesehen, wobei die Stichprobengröße und die Erhebungsdauer den eigentlichen Aussagewert bestimmen. Eine Zahl ohne Datenbasis ist eine Hoffnung, keine Größe. Operator sollten nach der Flotte fragen, aus der die Zahl stammt, nach dem Erhebungszeitraum und nach den Einsatzbedingungen. Hersteller, die diese Angaben sauber liefern, verdienen Vertrauen. Hersteller, die ausweichen, sind im Vergleich mit anderen Anbietern unterlegen, ohne dass die Hardware der Grund sein muss.

Wer übernimmt die Wartung, der Hersteller oder ein Dienstleister?

Beide Modelle existieren und beide sind tragfähig. Der Hersteller-Service hat den Vorteil der Tiefe, weil die Konstruktion bekannt ist. Der Dienstleister-Service hat den Vorteil der Nähe, weil regionale Präsenz die Reaktionszeit verkürzt. Boswau + Knauer baut seine Architektur so, dass beide Modelle kombiniert werden können, mit Erststufenwartung durch den Operator oder den lokalen Dienstleister und Tiefenwartung durch das Werk. Entscheidend ist nicht die Wahl, sondern die vertragliche Klarheit, wer welche Funktion in welcher Reaktionszeit übernimmt.

Was passiert bei Komponentenausfall im Dauerbetrieb?

Ein sauberes System antwortet auf den Ausfall in drei Schritten. Erstens automatische Diagnose und Übergang in einen sicheren Zustand, der den Schutzauftrag nicht abreißen lässt. Zweitens Alarmierung an den Operator und Übergabe der Funktion an redundante Komponenten oder ergänzende Systeme. Drittens Eingriff durch den Service nach definierter Reaktionszeit, mit dokumentiertem Komponententausch. Wer diese drei Schritte im Pflichtenheft nicht findet, hat ein System ohne Ausfallarchitektur. Im Versicherungsfall fragen GDV-Standards genau nach dieser Architektur, und ihr Fehlen ist eine Leistungsfrage.