-
Die vorliegende Erfindung betrifft ein Verfahren sowie eine Vorrichtung zum Personenschutz bei Industrieanlagen, insbesondere für Industrieroboteranlagen gemäß dem Oberbegriff des Anspruches 1. Ferner betrifft die Erfindung eine Steuerung, die zur Durchführung des Verfahrens ausgebildet ist.
-
Insbesondere bei der industriellen Fertigung steigt in den letzten Jahren die Verbreitung schneller und beweglicher Automaten immer mehr an. Aufgrund der schnellen und kraftvollen Bewegungen dieser Maschinen ist der Aufenthalt im Bereich der Manipulatoren bei Betrieb der Anlagen lebensgefährlich. Daher kommt dem Personenschutz bei derartigen Anlagen eine große Bedeutung zu. Bei vollautomatischen Anlagen, bei denen der Materialzu- und -abtransport automatisiert erfolgt, ist ein Aufenthalt im Gefahrenbereich nur zu Wartungs- und Störungsbeseitigungszwecken erforderlich. In diesen Fällen kann ein Betreten des Gefahrenbereichs ggf. noch mittels Absperrgittern und/oder verriegelbaren Zugängen ausreichend sicher verhindert werden.
-
Wenn jedoch regelmäßig manuell Material vorgelegt oder abtransportiert werden muss, stoßen derartige Maßnahmen an ihre Grenzen. Die bei der Fertigung heute übliche Praxis besteht darin, dass eine Bedienperson ein oder mehrere Bauteile einlegt, anschließend einen Startknopf betätigt und die Maschine dann einen Bearbeitungszyklus startet. Nach Beendigung des Bearbeitungszyklus geht die Maschine selbstständig in einen Stoppzustand über, aus dem diese nur durch eine Startfreigabe befreit werden kann.
-
Dabei sind alle frei zugänglichen Zuwegungen des Gefahrenbereichs mittels Lichtschranken oder Lichtvorhängen derart abgesichert, dass bei einer Unterbrechung der Lichtschranke oder des Lichtvorhanges die Anlage automatisch in den Stoppzustand versetzt wird. Falls sich die Anlage dabei noch in Bewegung befindet, wird ein Notstopp ausgelöst.
-
Falls neben den frei zugänglichen Zuwegungen andere Zugangsmöglichkeiten wie beispielsweise Türen oder Klappen vorhanden sind, so werden diese ebenfalls mittels Schließkontakten überwacht, durch die ein Übergang in den Stoppzustand bzw. ein Notstopp ausgelöst werden kann.
-
Auch wenn durch diese Maßnahmen ein Betreten des Gefahrenbereichs zuverlässig erkannt werden kann, ist eine zuverlässige Erkennung, ob der Gefahrenbereich vor einer Startfreigabe tatsächlich wieder verlassen wurde, durch derartige Lichtschranken oder Lichtvorhänge in der Regel nicht möglich.
-
Daher besteht die Gefahr, dass die Startfreigabe für die Anlage erteilt wird, während sich noch Personen im Gefahrenbereich befinden.
-
Aus diesem Grund sind gemäß dem Stand der Technik Sensoren erforderlich, beispielsweise Laserscanner, die den gesamten Gefahrenbereich zuverlässig auf evtl. noch darin befindliche Personen scannen und solange eine Startfreigabe sperren. Diese Sensoren arbeiten nach dem Fail-Safe-Prinzip, d. h., dass im Zweifelsfalle eher eine in Wirklichkeit nicht vorhandene Person im Gefahrenbereich gemeldet wird und die Startfreigabe gestoppt wird, anstatt das Risiko einzugehen, eine im Gefahrenbereich vorhandene Person nicht zu detektieren.
-
Ein Nachteil derartiger Maßnahmen besteht zum einen darin, dass diese regelmäßig sehr aufwendig sind. In manchen Fällen können die Kosten für derartige Sicherheitsmaßnahmen einen erheblichen Teil der Anlagenkosten ausmachen.
-
Zum anderen arbeiten derartige Scannersysteme nicht immer zuverlässig und können daher aufgrund von Fehldetektionen zu unnötigen Stillstandszeiten der Anlage führen. Ferner erfordern derartige Scanner im Falle einer Änderung der räumlichen Konfiguration im Gefahrenbereich Neuabstimmungen oder sogar Erweiterungen um zusätzliche Sensoren.
-
Diese Nachteile führen manchmal sogar dazu, dass derartige Sensoren in der Praxis in der einen oder anderen Weise deaktiviert oder ”überlistet” werden, was dann insgesamt zu erheblichen Sicherheitsrisiken führt, da man sich ggf. fälschlicherweise auf nicht funktionierende Sicherheitsmaßnahmen verlässt.
-
Vor diesem Hintergrund liegt der vorliegenden Erfindung die Aufgabe zugrunde, ein Verfahren sowie eine zur Durchführung des Verfahrens ausgebildete Steuerung zu schaffen, mittels derer ein hohes Sicherheitsniveau unter Verzicht auf eine vollflächige Überwachung des Gefahrenbereichs gewährleistet wird.
-
Die Lösung der vorgenannten Aufgabe erfolgt erfindungsgemäß mittels eines Verfahrens mit den Merkmalen des Anspruches 1 sowie mittels einer Steuerung mit den Merkmalen des Anspruches 9.
-
Vorteilhafte Ausgestaltungen der Erfindung sind in den abhängigen Ansprüchen beschrieben.
-
Im Rahmen eines erfindungsgemäßen Verfahrens zum Personenschutz bei Industrieanlagen, insbesondere bei Industrieroboteranlagen, bei denen ein bei Betrieb der Anlage gefährlicher Bereich von Personen betreten werden muss, wozu die Anlage vor Betreten des Gefahrenbereichs in einen Stoppzustand zu versetzen ist, und ein erneuter oder erstmaliger Start der Anlage vor Verlassen des Gefahrenbereichs zu verhindern ist, wird als ein Kriterium zur Startfreigabe der Anlage eine Erkennung einer vorgegebenen Bedienperson anhand biometrischer Daten herangezogen, wobei bei der Erkennung gleichzeitig festgestellt wird, dass sich die Bedienperson außerhalb des Gefahrenbereichs befindet.
-
Biometrische Erkennungsverfahren, beispielsweise optische Gesichtserkennungsmaßnahmen, haben heutzutage ein sehr hohes Niveau erreicht. Insbesondere dann, wenn die Zahl der möglichen zu identifizierenden Gesichter relativ gering ist, erreicht diese Methode eine sehr hohe Zuverlässigkeit auch bei Vorliegen von Störeinflüssen (Abweichung durch variierende Kopfbedeckungen oder Brillen, Bartwuchs, abweichende Lichtverhältnisse etc.).
-
Mittels einer biometrischen Erkennung kann also sehr sicher festgestellt werden, dass sich eine bestimmte Person – die Bedienperson – an einem bestimmen Ort, nämlich außerhalb des Gefahrenbereichs befindet.
-
Bevorzugt erfolgt die Startfreigabe, wenn die vorgegebene Bedienperson eine vom Innern des Gefahrenbereichs durch diese nicht erreichbare Startbedieneinrichtung betätigt, und wenn gleichzeitig biometrisch verifiziert wurde, dass sich die Bedienperson im Bereich der Startbedieneinrichtung befindet. Somit ist gewährleistet, dass wirklich die Bedienperson die Startfreigabe erteilt.
-
Ferner ist durch die Anordnung der Startbedieneinrichtung derart, dass diese vom Innern des Gefahrbereichs nicht erreichbar ist, gewährleistet, dass sich die Bedienperson nicht mehr im Gefahrenbereich befindet. Ferner ist der Sensor für die biometrische Erkennung so angeordnet, dass die Bedienperson nur erkannt werden kann, wenn sie sich im Bereich der Startbedieneinrichtung befindet. Somit ist gewährleistet, dass die Startbedieneinrichtung von der Bedienperson selbst (oder zumindest unter unmittelbarer Aufsicht du Kontrolle der Bedienperson) betätigt wurde.
-
Somit – und dies stellt ein wesentliches Merkmal der Erfindung dar – ist eine klare Verantwortungszuordnung für die Startfreigabe gegeben. Es ist zwar grundsätzlich technisch nicht ausgeschlossen, dass sich bei der Startfreigabe noch eine weitere Person innerhalb des Gefahrenbereichs befindet. Da eine bestimmte Bedienperson jedoch für die Prüfung des Gefahrenbereichs vor der Startfreigabe verantwortlich ist, und diese Person in den meisten Fällen die einzige Person ist, die den Gefahrenbereich betritt und in jedem Falle von einem Betreten des Gefahrenbereichs durch andere Personen Kenntnis erlangt, ist auf diese Weise bereits ein hohes Sicherheitsniveau gegeben.
-
In einer bevorzugten Ausgestaltung der Erfindung erfolgt eine zusätzliche Überwachung der Startfreigabe durch Gefahrenbereichssensoren, die beispielsweise auf unterbrochene Lichtschranken oder Lichtvorhänge oder eine nicht geschlossene und/oder verriegelte Zugangstür zu der Anlage ansprechen können. Im Falle des Ansprechens einer oder mehrerer derartiger Sensoren wird ein Start der Anlage ungeachtet eines Vorliegens einer Startfreigabe gesperrt bzw. ein laufender Betrieb unmittelbar gestoppt (Notstopp).
-
Somit kann die vorliegende Erfindung auch mit einem konventionellen Sicherheitskonzept kombiniert werden, wobei der Anspruch an die Gefahrbereichssensoren im Hinblick auf eine flächendeckende Überwachung reduziert werden kann.
-
In einer bevorzugten Ausgestaltung der Erfindung erfolgt die biometrische Erkennung der zur Startfreigabe berechtigten Bedienperson mittels einer Kamera und einer Gesichtserkennungssoftware und/oder mittels eines in den Starttaster integrierten Fingerabdrucksensors und/oder mittels eines Irissensors und/oder mittels einer Erkennung des individuellen Herzschlagmusters der freigabeberechtigten Bedienperson. Selbstverständlich können sämtliche anderen bekannten biometrischen Verfahren einzeln oder in Kombination verwendet werden. Es ist auch denkbar, dass zur Erhöhung der Verfügbarkeit der Anlage eine biometrische Erkennung auf mehreren alternativen Wegen, etwa anhand einer Gesichtserkennung oder einer Fingerabdruckerkennung, erfolgen kann.
-
Ferner können im Rahmen einer bevorzugten Ausgestaltung der Erfindung die biometrischen Daten der zur Startfreigabe berechtigten Bedienperson bei Aktivierung eines Authentifizierungsmodus eingelernt und/oder aus einer Datenbank mit den biometrischen Daten des grundsätzlich freigabeberechtigten Personenkreises abgerufen werden, wobei der Authentifizierungsmodus durch einen mechanischen Schlüssel, einen chipkartenbasierten elektronischen Schlüssel, durch Eingabe eines Passwortes oder einer PIN, durch biometrische Erkennung einer zur Freigabe des Authentifizierungsmodus berechtigten Person und/oder bei Erkennung der bisher freigabeberechtigten Bedienperson im räumlichen oder zeitlichen Zusammenhang mit der neu freigabeberechtigten Bedienperson aktivierbar ist.
-
Die freigabeberechtigte Person kann somit bevorzugt nur bei Erkennung einer dazu berechtigten weiteren Person abgeändert werden, z. B. durch einen Schichtleiter oder bei der Schichtübergabe durch die bisher berechtigte Person (Vier-Augen-Prinzip), die dann aber nach der Übergabe selbst nicht mehr berechtigt ist, die Startfreigabe zu erteilen.
-
Bevorzugt wird stets nur eine Person als startfreigabeberechtigt erkannt. Weiterhin kann vorgesehen sein, dass bei Überschreiten einer vorgegebenen Stillstandszeitdauer (z. B. der nächtlichen Betriebspause) eine erneute Authentifizierung der startfreigabeberechtigten Bedienperson verlangt werden kann.
-
Ferner kann vorgesehen sein, dass die Authentifizierung einer freigabeberechtigten Person nur akzeptiert wird, wenn diese Person in einem Personalbelegungsplan zur Tätigkeit in dem jeweiligen Zeitfenster eingeteilt ist.
-
In einer bevorzugten Ausgestaltung der Erfindung kann zu der jeweils startfreigabeberechtigten Person ein Personenidentifikationsmerkmal, wie z. B. der Name oder eine Identifikationsnummer, erfasst sein. Bevorzugt werden die Authentifizierungsvorgänge und/oder die einzelnen Startfreigaben mit dem Personenidentifikationsmerkmal sowie mit Datum und Uhrzeit protokolliert. Durch dieses vorzugsweise nicht manipulierbar gestaltete ”Logbuch” wird die Verantwortlichkeit der jeweiligen Bedienperson nachvollziehbar protokolliert.
-
Erfindungsgemäß wird ferner eine Steuerung für die Startfreigabe einer Industrieanlage vorgeschlagen, insbesondere für eine Industrieroboteranlage, bei der ein bei Betrieb der Anlage gefährdeter Gefahrenbereich regelmäßig von Personen betreten werden muss, wozu der Anlagenteil, der sich im Gefahrenbereich befindet, vor Betreten des Gefahrenbereichs in einen Stoppzustand zu versetzen ist, und ein erneuter Start dieses Anlagenteils oder erstmaliger Start der Anlage vor Verlassen des Gefahrenbereichs zu verhindern ist, bei der die Steuerung wenigstens einen biometrischen Sensor aufweist, und wobei die Steuerung zur Durchführung eines vorstehend erläuterten Verfahrens ausgebildet ist.
-
Die Erfindung wird nachfolgend anhand des in der Zeichnung dargestellten Ausführungsbeispiels näher erläutert.
-
Die einzige Figur zeigt eine Draufsicht auf eine Industrieroboteranlage zum Bearbeiten – beispielsweise zum Schweißen – von (im Einzelnen nicht dargestellten) Produkten mittels eines Roboterarms 16 sowie eines Bauteilpositionierers 18.
-
Um Unfälle zu vermeiden, ist die Anlage von drei Seiten her mit einer Absperrung 30 umgeben, so dass die Anlage lediglich von der mit einer Lichtschrankeneinheit 20 überwachten offenen Seite 32 sowie über eine Servicetür 14 betretbar ist.
-
Während des regulären Betriebs der Anlage betritt eine Bedienperson einen Einlegebereich 10 der Anlage und bestückt die der Bedienperson zugewandte Seite des Bauteilpositionierers 18.
-
Der Bediener verlässt dann den Einlegebereich 10 und betätigt einen Starttaster 22.
-
Hat der Industrieroboter 16 die Bearbeitung des Bauteils beendet, löst dieser eine 180°-Drehung des Bauteilpositionierers 18 aus, und bringt so das vom Bediener eingelegte Bauteil in den Arbeitsbereich 10. Ferner wird die Lichtschrankeneinrichtung 20 deaktiviert und der Bedienperson die Freigabe des Einlegebereichs 10 signalisiert.
-
Ein Betreten des Einlegebereichs 10 während des Betriebs der Anlage von der offenen Seite 32 her wird durch die Lichtschrankeneinheit 20 überwacht, deren Unterbrechung bei laufendem Betrieb der Anlage umgehend einen Notstopp auslöst. Die Entfernung der Lichtschrankeneinheit 20 zu der nächstliegenden gefahrenerzeugenden Einheit, in diesem Falle dem Bauteilpositionierer 18, ist so dimensioniert, dass die Anlage in einem Notstoppfall ausreichend schnell zum Stehen kommt, falls eine Person die Lichtschrankeneinheit 20 schnell durchschreitet oder dort stürzen sollte.
-
Um zu verhindern, dass der Starttaster 22 nicht durch die Bedienperson, sondern durch einen Dritten zufällig oder versehentlich betätigt wird, ist im Rahmen der Erfindung vorgesehen, dass der Starttaster 22 zusätzlich eine biometrische Einheit 24 aufweist, bei der es sich in diesem Ausführungsbeispiel um eine CCD-Kamera handelt, deren Bildsignal einer mikroprozessorgesteuerten Steuereinheit 28 zugeführt wird. Aus dem Kamerabild werden mittels bekannter Erkennungsalgorithmen biometrische Merkmale extrahiert, die mit biometrischen Merkmalen eines vorher aufgenommenen und in einer Speichereinheit 26 gespeicherten Referenzbildes der Bedienperson verglichen werden.
-
Erst bei Erkennung einer ausreichenden Übereinstimmung wird die Startfreigabe durch den Starttaster 22 ermöglicht. Auf diese Weise kann ausschließlich die Bedienperson, deren Gesicht gespeichert ist, die Startfreigabe bewirken (bzw. ist gewährleistet, dass sich die Bedienperson im unmittelbaren Bereich des Starttasters befindet, falls eine andere Person diese betätigt).
-
Jede Startfreigabe wird revisionssicher protokolliert. Daher ist dafür gesorgt, dass die Bedienperson die alleinige Verantwortung für die Startfreigabe trägt und auf jeden Fall ausgeschlossen ist, dass ein Dritter die Startfreigabe unautorisiert bzw. versehentlich betätigt.
-
Selbstverständlich können auch andere biometrische Sensoren, wie z. B. Fingerabdruck- oder Irissensoren, eingesetzt werden.
-
Bei einem Schichtwechsel oder einer Inbetriebnahme der Anlage nach einer längeren Pause muss sich die Bedienperson neu anmelden. Hierzu kann mit einem bestimmten Bedienelement ein Authentifizierungsmodus aktiviert werden. In diesem wird das Kamerabild mit einer Datenbank mit Gesichtsmerkmalen von grundsätzlich an der Maschine eingewiesenen Personen verglichen und die übereinstimmende Person als Referenz gespeichert. Dieser Vorgang wird ebenfalls protokolliert. Dieser Authentifizierungsmodus wird bevorzugt durch einen Schichtleiter od. dgl. freigegeben, indem entweder dessen Gesicht erkannt wird, oder indem dieser mittels eines Schlüssels oder eine Chipkarte oder dgl. die Authentifizierung freigibt.
-
In einem weiteren Modus können neu hinzukommende Bedienpersonen in das System eingepflegt und ausscheidende Bedienpersonen gelöscht werden.
-
Falls der Gefahrenbereich über die Servicetür 14 betreten wird, sind in der Regel gemäß dem Stand der Technik spezielle Sicherheitsmaßnahmen vorgesehen, wonach die Tür wieder geschlossen und von außen verriegelt sein muss, um eine Startfreigabe zu ermöglichen.