EP3139354B1 - Verfahren zur einstellung einer betriebsart eines sicherheitssystems - Google Patents

Verfahren zur einstellung einer betriebsart eines sicherheitssystems Download PDF

Info

Publication number
EP3139354B1
EP3139354B1 EP16183331.4A EP16183331A EP3139354B1 EP 3139354 B1 EP3139354 B1 EP 3139354B1 EP 16183331 A EP16183331 A EP 16183331A EP 3139354 B1 EP3139354 B1 EP 3139354B1
Authority
EP
European Patent Office
Prior art keywords
control
key
safety
access system
operating mode
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
EP16183331.4A
Other languages
English (en)
French (fr)
Other versions
EP3139354A3 (de
EP3139354A2 (de
Inventor
Jens Rothenburg
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Euchner GmbH and Co KG
Original Assignee
Euchner GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Euchner GmbH and Co KG filed Critical Euchner GmbH and Co KG
Publication of EP3139354A2 publication Critical patent/EP3139354A2/de
Publication of EP3139354A3 publication Critical patent/EP3139354A3/de
Application granted granted Critical
Publication of EP3139354B1 publication Critical patent/EP3139354B1/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C2009/00968Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys shape of the data carrier
    • G07C2009/00992Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys shape of the data carrier mechanical key

Definitions

  • the invention relates to a method for setting an operating mode of a security system and to a security system for carrying out the method.
  • Such a security system generally includes a control system that controls a machine.
  • the machine can pose a risk to persons.
  • An essential security element here is an access system connected to the control system, by means of which a controlled access to security-relevant control functions is monitored.
  • Such an access system may for example be formed by an electronic key system.
  • This electronic key system comprises a key insert and at least one key associated therewith.
  • the key typically includes a transponder in which a code is contained.
  • a recognition device is integrated, by means of which the code in the key can then be read out without contact, when the key is in an engaged position in the key insert.
  • the code of the key may include a control signal for starting or stopping the machine.
  • the code may contain authorization data or process-oriented information such as parameters for the operation of the machine.
  • the danger zone of the machine is secured with a protective cover or fencing.
  • a protective door In the fence is then a protective door.
  • the machine can be used in different operating modes.
  • a first operating mode is the automatic mode. In this safety mode, no person may be in the danger zone and the protective door is closed. In this automatic mode of operation of the machine is fully released, so that in particular also work operations are carried out, which could lead to hazards to persons in the danger zone.
  • other modes are possible in which the safety monitoring is bypassed. In such modes, for example, authorized persons can be granted access to the danger zone by appropriate codes of keys, for example to carry out repair or installation work there. Depending on the operating mode, the machine can then be stopped completely or driven in a restricted operating mode, for example at reduced speed.
  • the respective mode is selected via one or more keyswitch on the machine.
  • the disadvantage here is that the keys can be easily copied and control over the access is not guaranteed.
  • the DE 103 36 814 A1 relates to an electronic device with at least one operating device for controlling the electronic device, in which a device for identifying a user is configured such that the user when operating the electronic device for controlling the electronic Device is automatically identified. This makes it possible to propose to the user depending on his identity functions and / or function selections for selection or to execute them.
  • the DE 10 2008 060 011 A1 relates to a safety controller and method for controlling an automated system comprising a plurality of sensors and a plurality of actuators.
  • the invention has for its object to provide a method and a security system, by means of which a reliable mode setting is made possible with low design effort.
  • the invention relates to a security system for carrying out the method according to the invention.
  • An essential advantage of the method according to the invention or of the safety system according to the invention is that a fail-safe adjustment of the operating mode of the safety system or the machine thus secured is made possible without any additional design effort.
  • the fail-safe selection and setting of a mode of operation is ensured, in particular, by error checks of the control system, the latter having a safety control as an essential component and, particularly advantageously, a non-error-proof control.
  • error checks test the components of the safety system and detect any errors.
  • the advantage here is that in the error controls in the individual components, in particular the input unit, the non-failsafe control and safety control, synchronous processes are provided, whereby parallel channels are obtained, can be detected by their comparison with high certainty occurring errors, in the whole Security system, as the error controls include all components of the security system.
  • the access system has a two-channel, preferably diverse output structure, so that two-channel signals are read from the access system into the control system.
  • the safety controller can be used to check whether the control system, in particular the non-failsafe controller, and the access system work correctly.
  • the signals of at least one output of the access system in the security controller are particularly advantageously used for a validity check.
  • Further advantageous signals of an output channel of the access system are evaluated in the non-error-safe control, in particular, whether the signals of the output channel are valid, which can be done for example on the basis of a checksum calculation of the signals.
  • the read via the second output channel in the safety control signals are then advantageously used for a time monitoring such that it is checked whether the signals of the first output signal are read in a predetermined time window.
  • the access system is formed by an electronic key system comprising a key insert and at least one key.
  • the access system has a data output, via which data of a key used in the key insert are read into the non-failsafe controller.
  • the access system has a switching output, via which a switching signal whose switching states indicate whether a key is present in the key insert or not is read into the safety controller.
  • the non-failsafe controller which has no fail-safe structure, is well suited to process larger amounts of data, such as the data read in by the key.
  • the safety controller with its fail-safe structure only has to process a considerably reduced amount of data since the switching signal read in via the switching output of the access system is a binary signal.
  • the security controller requires further data of the access system from the non-failsafe controller for performing error checks, these are converted into a format that can be processed by the security controller. In general, only the data required for the error control are sent to the safety controller, so that the amount of data can be kept low.
  • a time expectation in the safety control by opening a time interval is started.
  • the safety controller checks whether, within this time interval, data of the key has been read into the non-failsafe controller via the data output.
  • a checksum calculation of the data read in from the data output of the key is performed in the non-failsafe controller.
  • a dual-channel verification structure is realized since error checks are performed not only in the safety control but also in the non-error-proof control. Through the synchronous execution of the error controls and their mutual checks, a comprehensive testing of the control system and the access system is realized.
  • the non-failsafe controller sends an authorization signal to the input unit after successful validation, thereby enabling input to the input unit.
  • the input unit is formed by a touchscreen or by so-called softkeys.
  • This provides a particularly comfortable, easy-to-use interface for a user of the security system.
  • the input unit and the non-fail-safe control used to drive them do not themselves have a fail-safe configuration, a fail-safe mode selection is ensured via this structure. This is due to the fact that not only the non-failsafe controller but also the input unit is integrated into the overall system of error control.
  • a first error control is that a release of the input unit for making entries by a user only takes place in the control system, in particular the non-failsafe controller, the validity check of the checksum calculation performed by the data output of the access system was successful and thus simple errors on the secure electronic key can be recognized as well as protection against copying a key is realized.
  • the function of the input unit is checked directly by the fail-safe part of the control system.
  • a list of permissible entries is stored in the safety control for this purpose. If appropriate, this list can be compared with the data read in by the access system, for example such that, depending on the access authorization contained in the data, only a subset of the operating modes stored in the security control can be selected as being selectable by the input unit.
  • this readback gives the user the possibility of checking whether his input was correct or correctly processed has been. Furthermore, by checking the read back in the safety controller, another error control of the input unit and the non-fail-safe controller controlling it takes place.
  • error detection is generated upon detection of an error in the control system.
  • FIG. 1 schematically shows the structure of an embodiment of the security system according to the invention 1.
  • the security system 1 comprises a control system 2, which controls the operation of a machine 3.
  • the control system 2 comprises a safety controller 4, which may be formed by a fail-safe PLC control.
  • the control system 2 comprises a non-failsafe controller 5 formed by a non-fail-safe PLC controller.
  • Access to the selection of an operating mode is monitored by means of an access system, which in the present case is formed by an electronic key system 6.
  • This electronic key system 6 comprises a key insert, not shown, and at least one assigned thereto, also not shown key.
  • the key typically includes a transponder in which a code is contained.
  • a recognition device is integrated, by means of which the code in the key can then be read out without contact, when the key is in an engaged position in the key insert.
  • the code of the key may include authorization data as well as other process-oriented information such as parameters for the operation of the machine 3.
  • the electronic key system 6 has, as in FIG. 1 shown, a diverse, two-channel output structure on. This comprises a data output 7, via which data of the key used in the key insert can be read out. Furthermore, a switching output LA is provided, via which a binary switching signal can be read out. The switching states of the switching signal indicate whether or not a key is engaged with the key insert. How out FIG. 1 can be seen, the switching signal of the electronic key system 6 is read via a switching input SI in the safety controller 4. In contrast, the data of the data output 7 are read into the non-failsafe controller 5 via bus lines 8a of a bus system.
  • the input unit 10 is formed in the present case of a touch screen. Via the touch screen 1 relevant information can be entered for the operation of the security system.
  • the security system 1 according to FIG. 1 can be operated in several operating modes.
  • a first operating mode is the automatic mode. In this automatic mode, no person may be in the danger zone and the protective door is closed so that people are prevented from entering the danger zone. In this automatic mode of operation of the machine 3 is fully released, so that with this particular work operations are performed, which could lead to hazards to persons in the danger area.
  • other modes are possible in which the safety monitoring is bypassed. In such modes, for example, authorized persons can be granted access to the danger zone by appropriate codes of keys, for example to carry out repair or installation work there.
  • the machine 3 can then be stopped completely or driven in a restricted operating mode, for example at a reduced speed.
  • a fail-safe selection of an operating mode can be carried out via the input unit 10.
  • the process steps required for this purpose are shown in the flowchart of FIGS. 2a-f summarized.
  • a key is inserted into the key insert of the electronic key system 6, so that the key insert contactless read the data of the key.
  • the switching state of the switching signal at the switching output LA is set to the value 1 (step no. 2).
  • This switching signal indicating the presence of a valid key is read into the safety controller 4 via the switching input SI.
  • the data of the key read from the key insert is checked for its format and then, if this check was successful, read in via the data output 7 (step no. 3).
  • the safety controller 4 With the setting of the switching signal to the value 1, which is read into the safety controller 4, it is checked in the safety controller 4 whether the data read out at the data output 7 are read into the non-failsafe controller 5 within a predetermined time interval. For this purpose, a time expectation is started in the safety controller 4 (step no. 4). In this case, a time interval of predetermined length is opened and checked as to whether the data of the key are read into the non-failsafe controller 5 within this time interval.
  • This reading takes place via the bus lines 8a of the bus system.
  • the data are read in a defined input range of the non-failsafe controller 5 in a known manner and then copied into a specified data area of the non-failsafe controller 5.
  • the first error control is carried out in the non-failsafe controller 5, a calculation of the checksum of the data of the key (step no. 6). Then it checks whether the checksum is correct, that is, whether it corresponds to a permissible value (step no. 7).
  • a branch into an error lock occurs.
  • branching into an error lock mode selection is immediately stopped and can only be continued if the user performs a predetermined action, for example, makes a specific input on the touch screen.
  • the permission level is sent from the security controller 4 to the input unit 10 (step # 11), thereby enabling the input unit 10 for selecting a mode (step # 12).
  • the input unit 10 an image is advantageously constructed for this purpose, via which a user can select an operating mode.
  • the user-selected mode is assigned in the input unit 10 to the variable with the symbolic name Select-MSO and then sent to the non-failsafe controller 5.
  • the selected mode is copied to the flag word MW03, which can be read by the safety controller 4. This flag word MW03 is then sent from the non-failsafe controller 5 to the security controller 4 (step # 14).
  • the safety controller 4 is further queried whether 5 new data are sent from the non-failsafe controller. This is determined in the safety controller 4 by the fact that in the flag word MW01 a value not equal to zero appears (step No. 15).
  • steps Nos. 16 and 17 in the safety controller 4 are checked to see if a permissible code appears in the flag word MW03, and thus whether the selected mode is within an allowable range (Steps Nos. 16, 17).
  • a list of permissible operating modes is stored in the safety controller 4. Then it can be determined in the safety controller 4 by a simple comparison of the read flag word MW03 with the stored list, whether an allowable mode has been selected.
  • the allowable mode that is, the content of the flag word MW03 is copied to the flag word MW05, which is then sent to the non-fail safe controller 5 (steps Nos. 18, 19).
  • This flag word MW05 is then sent from the non-failsafe controller 5 to the input unit 10.
  • There the selected operating mode is displayed to the user (step no. 20). This display takes place in another picture than in the picture in which the user made the mode selection. This is a prerequisite for a safe reading back of the selected operating mode. A second prerequisite for this is that reading back into a variable (here MW05) takes place that differs from the variable for reading in the operating mode (here MW03).
  • an error variable with the symbolic name ErrorMSO is set in the input unit 10, as a result of which a branch into an error lock is made (step no. 23).
  • a variable with the symbolic name SwitchMSO is set in the input unit 10 (step No. 22) and sent to the non-failsafe controller 5 via the bus system.
  • the thus selected mode is then copied to the flag word MW07 and sent to the safety controller 4 (step # 24).
  • a comparison is then made in the safety controller 4 as to whether the selected operating mode (contained in the flag word MW03) corresponds to the confirmed operating mode (contained in the flag word MW07) (step no. 25).
  • the safety controller 4 performs a changeover to the selected operating mode, for which purpose corresponding outputs of the control system 2 are set by the safety controller 4 (step No. 26).

Description

  • Die Erfindung betrifft ein Verfahren zur Einstellung einer Betriebsart eines Sicherheitssystems sowie ein Sicherheitssystem zur Durchführung des Verfahrens.
  • Ein derartiges Sicherheitssystem umfasst generell ein Steuerungssystem, das eine Maschine steuert. Von der Maschine können Gefahren für Personen ausgehen. Als Sicherheitsmaßnahme wird daher ein Gefahrenbereich an der Maschine überwacht. Ein wesentliches Sicherheitselement bildet hierbei ein an das Steuerungssystem angeschlossenes Zugangssystem, mittels dessen ein kontrollierter Zugang zu sicherheitsrelevanten Steuerungsfunktionen überwacht wird. Ein derartiges Zugangssystem kann beispielsweise von einem elektronischen Schlüsselsystem gebildet sein. Dieses elektronische Schlüsselsystem umfasst einen Schlüsseleinsatz und wenigstens einen diesem zugeordneten Schlüssel. Der Schlüssel umfasst typischerweise einen Transponder, in dem ein Code enthalten ist. Im Schlüsseleinsatz ist eine Erkennungseinrichtung integriert, mittels derer berührungslos der Code im Schlüssel dann ausgelesen werden kann, wenn der Schlüssel in einer Eingriffsstellung im Schlüsseleinsatz ist. Der Code des Schlüssels kann ein Steuerungssignal für das Starten oder Stoppen der Maschine enthalten. Weiterhin kann der Code Berechtigungsdaten oder prozessorientierte Informationen wie Parameter für den Betrieb der Maschine enthalten.
  • Typischerweise ist der Gefahrenbereich der Maschine mit einer Schutzabdeckung oder Umzäunung gesichert. In der Umzäunung befindet sich dann eine Schutztür. Abhängig davon ob die Schutztür geschlossen ist oder nicht kann mit der Maschine in unterschiedlichen Betriebsarten gearbeitet werden.
  • Bei derartigen Sicherheitssystemen sind generell mehrere Betriebsarten möglich. Eine erste Betriebsart ist der Automatikbetrieb. In diesem Sicherheitsbetrieb darf sich keine Person im Gefahrenbereich befinden und die Schutztür ist geschlossen. In diesem Automatikbetrieb ist der Arbeitsbetrieb der Maschine uneingeschränkt freigegeben, so dass mit dieser insbesondere auch Arbeitsvorgänge durchgeführt werden, die zu Gefährdungen von Personen im Gefahrenbereich führen könnten. Zusätzlich sind weitere Betriebsarten möglich, bei welchen die Sicherheitsüberwachung überbrückt ist. Bei derartigen Betriebsarten kann beispielsweise durch entsprechende Codierungen von Schlüsseln befugten Personen Zugang zum Gefahrenbereich gewährt werden, beispielsweise um dort Reparatur- oder Installationsarbeiten durchzuführen. Je nach Betriebsart kann dann die Maschine komplett angehalten oder in einem eingeschränkten Betriebsmodus, beispielsweise mit reduzierter Geschwindigkeit, gefahren werden.
  • Ein Problem bei derartigen Sicherheitssystemen besteht darin, dass eine Umschaltung der Betriebsart aufgrund gesetzlicher Bestimmungen auf befugte Personen beschränkt werden muss. Zudem ist für die Umschaltung ein Sicherheitsniveau gefordert, dass nicht mit beliebigen konventionellen Systemen erreicht werden kann sondern den Einsatz von Sicherheitstechnik notwendig macht.
  • Bei einer ersten bekannten Betriebsartumschaltung wird die jeweilige Betriebsart über einen oder mehrere Schlüsselschalter an der Maschine ausgewählt. Nachteilig hierbei ist, dass die Schlüssel leicht kopiert werden können und die Kontrolle über den Zugang nicht gewährleistet ist.
  • Bei einer zweiten bekannten Betriebsartumschaltung sind an der Maschine Tasten vorgesehen, die mittels eines Schlüssels freigeschaltet werden können. Auch diese Lösung hat die genannten Nachteile.
  • Die DE 103 36 814 A1 betrifft ein elektronisches Gerät mit mindestens einer Bedienvorrichtung zur Steuerung des elektronischen Geräts, bei dem eine Vorrichtung zur Identifikation eines Benutzers derart ausgestaltet ist, dass der Benutzer bei einer Bedienung des elektronischen Geräts zur Steuerung des elektronischen Geräts automatisch identifiziert wird. Hierdurch ist es möglich, dem Benutzer in Abhängigkeit von seiner Identität Funktionen und/oder Funktionsauswahlen zur Auswahl vorzuschlagen bzw. diese auszuführen.
  • Die DE 10 2008 060 011 A1 betrifft eine Sicherheitssteuerung und ein Verfahren zum Steuern einer automatisierten Anlage, die eine Vielzahl von Sensoren und eine Vielzahl von Aktoren umfasst.
  • Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und ein Sicherheitssystem bereitzustellen, mittels dessen bei geringem konstruktivem Aufwand eine sichere Betriebsarteinstellung ermöglicht wird.
  • Zur Lösung dieser Aufgabe sind die Merkmale der unabhängigen Ansprüche vorgesehen. Vorteilhafte Ausführungsformen und zweckmäßige Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen beschrieben.
  • Die Erfindung betrifft ein Verfahren zur Einstellung einer Betriebsart eines Sicherheitssystems, umfassend ein Zugangssystem, welches an ein eine Maschine steuerndes Steuerungssystem angeschlossen ist. Das Steuerungssystem weist eine Sicherheitssteuerung auf. Das Verfahren umfasst folgende Verfahrensschritte:
    • Zweikanaliges Auslesen von Signalen des Zugangssystems in das Steuerungssystem,
    • Durchführen einer Gültigkeitsüberprüfung der Signale des Zugangssystems in dem Steuerungssystem,
    • wobei das Steuerungssystem nur bei Vorliegen gültiger Signale des Zugangssystems die Auswahl einer Betriebsart über eine Eingabeeinheit freigibt,
    • Durchführen einer Fehlerkontrolle der Auswahl der Betriebsart in der Sicherheitssteuerung,
    • Umschalten auf die ausgewählte Betriebsart durch die Sicherheitssteuerung nach positiv durchgeführter Fehlerkontrolle.
  • Weiterhin betrifft die Erfindung ein Sicherheitssystem zur Durchführung des erfindungsgemäßen Verfahrens.
  • Ein wesentlicher Vorteil des erfindungsgemäßen Verfahrens beziehungsweise des erfindungsgemäßen Sicherheitssystems besteht darin, dass ohne konstruktiven Zusatzaufwand eine fehlersichere Einstellung der Betriebsart des Sicherheitssystems beziehungsweise der damit gesicherten Maschine ermöglicht wird.
  • Für diese Betriebsarteinstellung können bereits am Sicherheitssystem standardmäßig vorhandene Komponenten genutzt werden. Dies gilt insbesondere für die Eingabeeinheit, die vorteilhaft in Form eines Touchscreens oder mittels sogenannten Softkeys ausgebildet ist.
  • Die fehlersichere Auswahl und Einstellung einer Betriebsart wird insbesondere durch Fehlerkontrollen des Steuerungssystems gewährleistet, wobei diese als wesentliche Komponente eine Sicherheitssteuerung und besonders vorteilhaft eine nichtfehlersichere Steuerung aufweist.
  • Durch diese Fehlerkontrollen werden die Komponenten des Sicherheitssystems getestet und eventuelle Fehler aufgedeckt. Vorteilhaft hierbei ist, dass bei den Fehlerkontrollen in den einzelnen Komponenten, insbesondere der Eingabeeinheit, der nichtfehlersicheren Steuerung und Sicherheitssteuerung, synchrone Abläufe vorgesehen sind, wodurch parallele Kanäle erhalten werden, durch deren Vergleich mit hoher Sicherheit auftretende Fehler aufgedeckt werden können, und zwar im gesamten Sicherheitssystem, da bei den Fehlerkontrollen alle Komponenten des Sicherheitssystems umfasst sind.
  • Ein wesentlicher Aspekt der Erfindung besteht darin, dass das Zugangssystem eine zweikanalige, vorzugsweise diversitäre Ausgangsstruktur aufweist, so dass von dem Zugangssystem zweikanalig Signale in das Steuerungssystem eingelesen werden. Durch die Auswertung der Signale kann über die Sicherheitssteuerung kontrolliert werden, ob das Steuerungssystem, insbesondere die nichtfehlersichere Steuerung, sowie das Zugangssystem korrekt arbeiten.
  • Besonders vorteilhaft werden hierzu die Signale wenigstens eines Ausgangs des Zugangssystems in der Sicherheitssteuerung für eine Gültigkeitsüberprüfung herangezogen.
  • Weiter vorteilhaft werden Signale eines Ausgangskanals des Zugangssystems in der nichtfehlersicheren Steuerung ausgewertet, insbesondere derart, ob die Signale des Ausgangskanals gültig sind, was beispielsweise anhand einer Prüfsummenberechnung der Signale erfolgen kann. Die über den zweiten Ausgangskanal in die Sicherheitssteuerung eingelesenen Signale werden dann vorteilhaft für eine Zeitüberwachung derart genutzt, indem geprüft wird, ob die Signale des ersten Ausgangssignals in einem vorgegebenen Zeitfenster eingelesen werden. Durch diese diversitäre zweikanalige Überwachungsstruktur wird eine hohe Fehlersicherheit erreicht.
  • Gemäß einer besonders vorteilhaften Ausführungsform der Erfindung ist das Zugangssystem von einem elektronischen Schlüsselsystem, umfassend einen Schlüsseleinsatz und wenigstens einen Schlüssel, gebildet. Das Zugangssystem weist einen Datenausgang auf, über welchen Daten eines im Schlüsseleinsatz befindlichen Schlüssels in die nichtfehlersichere Steuerung eingelesen werden. Das Zugangssystem weist einen Schaltausgang auf, über welchen ein Schaltsignal, dessen Schaltzustände angeben, ob ein Schlüssel im Schlüsseleinsatz vorhanden ist oder nicht, in die Sicherheitssteuerung eingelesen wird.
  • Dies stellt eine besonders zweckmäßige Ausgestaltung einer diversitären zweikanaligen Ausgangsstruktur dar. Die nichtfehlersichere Steuerung, die keinen fehlersicheren Aufbau aufweist, ist gut geeignet, größere Datenmengen wie die vom Schlüssel eingelesenen Daten zu verarbeiten. Die Sicherheitssteuerung mit ihrem fehlersicheren Aufbau muss demgegenüber nur eine erheblich reduzierte Datenmenge verarbeiten, da das über den Schaltausgang des Zugangssystems eingelesene Schaltsignal ein binäres Signal ist. Soweit die Sicherheitssteuerung weitere Daten des Zugangssystems von der nichtfehlersicheren Steuerung zur Durchführung von Fehlerkontrollen benötigt, so werden diese in ein von der Sicherheitssteuerung verarbeitbares Format gewandelt. Generell werden dabei nur die für die Fehlerkontrolle erforderlichen Daten an die Sicherheitssteuerung gesendet, so dass die Datenmenge geringen gehalten werden kann. Somit ergibt sich eine zweckmäßige Arbeitsteilung für das Steuerungssystem derart, dass die nichtfehlersichere Steuerung zum Bearbeiten größerer Datenmengen genutzt wird, während in der Sicherheitssteuerung nur geringe Datenmengen verarbeitet werden müssen, so dass die Funktion der Sicherheitssteuerung auf die durchzuführenden Fehlerkontrollen begrenzt werden kann.
  • Gemäß einer besonders vorteilhaften Ausführungsform der Erfindung wird als erste Gültigkeitsüberprüfung von Signalen des Zugangssystems bei Einlesen eines Schaltsignals, dessen Schaltzustand einen im Schlüsseleinsatz befindlichen Schlüssel signalisiert, in der Sicherheitssteuerung eine Zeiterwartung durch Öffnen eines Zeitintervalls gestartet. In der Sicherheitssteuerung wird geprüft, ob innerhalb dieses Zeitintervalls Daten des Schlüssels über den Datenausgang in die nichtfehlersichere Steuerung eingelesen wurden. Als zweite Gültigkeitsüberprüfung wird eine Prüfsummenberechnung der vom Datenausgang eingelesenen Daten des Schlüssels in der nichtfehlersicheren Steuerung durchgeführt.
  • Bei dieser Ausführungsform wird eine zweikanalige Überprüfungsstruktur realisiert, da Fehlerkontrollen nicht nur in der Sicherheitssteuerung, sondern auch in der nichtfehlersicheren Steuerung durchgeführt werden. Durch den synchronen Ablauf der Fehlerkontrollen und deren gegenseitige Kontrollen wird eine umfangreiche Testung des Steuerungssystems und des Zugangssystems realisiert.
  • Besonders vorteilhaft sendet die nichtfehlersichere Steuerung nach erfolgreicher Gültigkeitsüberprüfung ein Autorisierungssignal an die Eingabeeinheit, wodurch Eingaben an der Eingabeeinheit freigegeben werden.
  • Dies stellt eine zweckmäßige Arbeitsteilung innerhalb des Gesamtsystems deshalb dar, da die nichtfehlersichere Steuerung als zur Verarbeitung größerer Datenmengen ausgebildete Einheit den Datenverkehr mit der Eingabeeinheit übernimmt.
  • Besonders vorteilhaft ist die Eingabeeinheit von einem Touchscreen oder durch sogenannte Softkeys gebildet.
  • Dies stellt eine besonders komfortable, einfach bedienbare Oberfläche für einen Benutzer des Sicherheitssystems dar.
  • Obwohl die Eingabeeinheit und die zu deren Ansteuerung verwendete nichtfehlersichere Steuerung selbst keinen fehlersicheren Aufbau aufweisen, wird über diese Struktur eine fehlersichere Betriebsartauswahl gewährleistet. Dies beruht darauf, dass nicht nur die nichtfehlersichere Steuerung, sondern auch die Eingabeeinheit in das Gesamtsystem der Fehlerkontrolle integriert ist.
  • Eine erste Fehlerkontrolle besteht darin, dass eine Freigabe der Eingabeeinheit zur Durchführung von Eingaben durch einen Nutzer erst dann erfolgt, wenn in dem Steuerungssystem, insbesondere der nichtfehlersicheren Steuerung, die Gültigkeitsüberprüfung der vom Datenausgang des Zugangssystems durchgeführten Prüfsummenberechnung erfolgreich war und damit einfache Fehler auf dem nicht sicheren elektronischem Schlüssel erkannt werden können sowie ein Schutz gegen das Kopieren eines Schlüssels realisiert ist.
  • Weiterhin wird in der nichtfehlersicheren Steuerung als Fehlerkontrolle geprüft, ob die ausgewählte Betriebsart in einem zulässigen Bereich liegt.
  • Damit wird vom fehlersicheren Teil des Steuerungssystems direkt die Funktion der Eingabeeinheit geprüft. Zweckmäßigerweise ist in der Sicherheitssteuerung hierzu eine Liste zulässiger Eingaben hinterlegt. Diese Liste kann gegebenenfalls mit den vom Zugangssystem eingelesenen Daten abgeglichen werden, beispielsweise derart, dass je nach in den Daten enthaltener Zugriffsberechtigung nur noch eine Teilmenge der in der Sicherheitssteuerung hinterlegten Betriebsarten als von der Eingabeeinheit auswählbar markiert wird.
  • Weiterhin wird zur Fehlerkontrolle einer ausgewählten Betriebsart diese auf die Eingabeeinheit rückgelesen.
  • Durch dieses Rücklesen wird einerseits dem Benutzer die Möglichkeit gegeben, zu prüfen, ob seine Eingabe korrekt war, beziehungsweise korrekt verarbeitet wurde. Weiterhin erfolgt durch das Überprüfen des Rücklesens in der Sicherheitssteuerung eine weitere Fehlerkontrolle der Eingabeeinheit und der diese steuerenden nichtfehlersicheren Steuerung.
  • Schließlich wird bei Aufdeckung eines Fehlers in dem Steuerungssystem eine Fehlerverrastung erzeugt.
  • Damit ist das Konzept der Fehlerkontrolle zur Gewährleistung einer sicheren Auswahl und einer sicheren Einstellung einer Betriebsart bei dem erfindungsgemäßen Sicherheitssystem komplettiert. Wesentlich ist, dass unabhängig davon, wo und an welcher Stelle des Sicherheitssystems ein Fehler aufgedeckt wird, sofort eine Fehlerverrastung erfolgt und das Gesamtsystem somit in einen sicheren Zustand übergeht. Dabei ist weiterhin wesentlich, dass im Sicherheitssystem bei Auftreten eines Fehlers nicht nur eine Fehlermeldung erfolgt, sondern eine Fehlerverrastung. Fehlerverrastung in diesem Zusammenhang bedeutet, dass bei Auftreten eines Fehlers die Prozedur für eine Betriebsartauswahl gestoppt wird, bis eine spezifische, applikationsspezifisch vorgebbare Aktion durchgeführt wurde, welche die Fehlerverrastung aufhebt.
  • Die Erfindung wird im Folgenden anhand der Zeichnungen erläutert. Es zeigen:
    • Figur 1:
    Schematische Darstellung eines Ausführungsbeispiels des erfindungsgemäßen Sicherheitssystems.
    Figur 2a-f:
    Ablaufdiagramm zur fehlersicheren Einstellung einer Betriebsart des Sicherheitssystems gemäß Figur 1.
  • Figur 1 zeigt schematisch den Aufbau eines Ausführungsbeispiels des erfindungsgemäßen Sicherheitssystems 1. Das Sicherheitssystem 1 umfasst ein Steuerungssystem 2, das den Betrieb einer Maschine 3 steuert. Das Steuerungssystem 2 umfasst dabei eine Sicherheitssteuerung 4, die von einer fehlersicheren SPS-Steuerung gebildet sein kann. Weiterhin umfasst das Steuerungssystem 2 eine nichtfehlersichere Steuerung 5, die von einer nichtfehlersicheren SPS-Steuerung gebildet ist.
  • Mit der vom Steuerungssystem 2 gesteuerten Maschine 3 werden Arbeitsprozesse durchgeführt, die innerhalb eines Gefahrenbereichs um die Maschine 3 zu Gefährdungen von Personen führen können. Zur Absicherung des Gefahrenbereichs ist dieser mit einer nicht dargestellten Umzäunung oder Umhausung abgegrenzt. In der Umzäunung befindet sich eine ebenfalls nicht dargestellte Schutztür, über welche Personen Zugang zum Gefahrenbereich erhalten können.
  • Der Zugang zur Auswahl einer Betriebsart wird mittels eines Zugangssystems überwacht, welches im vorliegenden Fall von einem elektronischen Schlüsselsystem 6 gebildet ist. Dieses elektronische Schlüsselsystem 6 umfasst einen nicht dargestellten Schlüsseleinsatz und wenigstens einen diesem zugeordneten, ebenfalls nicht dargestellten Schlüssel. Der Schlüssel umfasst typischerweise einen Transponder, in dem ein Code enthalten ist. Im Schlüsseleinsatz ist eine Erkennungseinrichtung integriert, mittels derer berührungslos der Code im Schlüssel dann ausgelesen werden kann, wenn der Schlüssel in einer Eingriffsstellung im Schlüsseleinsatz ist. Der Code des Schlüssels kann Berechtigungsdaten sowie weitere prozessorientierte Informationen wie Parameter für den Betrieb der Maschine 3 enthalten.
  • Das elektronische Schlüsselsystem 6 weist, wie in Figur 1 dargestellt, eine diversitäre, zweikanalige Ausgangsstruktur auf. Diese umfasst einen Datenausgang 7, über welchen Daten des im Schlüsseleinsatz befindlichen Schlüssels ausgelesen werden können. Weiterhin ist ein Schaltausgang LA vorgesehen, über welchen ein binäres Schaltsignal ausgelesen werden kann. Die Schaltzustände des Schaltsignals geben an, ob ein Schlüssel in Eingriff mit dem Schlüsseleinsatz ist oder nicht. Wie aus Figur 1 ersichtlich, wird das Schaltsignal des elektronischen Schlüsselsystems 6 über einen Schalteingang SI in die Sicherheitssteuerung 4 eingelesen. Die Daten des Datenausgangs 7 werden dagegen über Busleitungen 8a eines Bussystems in die nichtfehlersichere Steuerung 5 eingelesen. Wie Figur 1 weiter zeigt, findet zwischen der Sicherheitssteuerung 4 und der nichtfehlersicheren Steuerung 5 über Leitungen 9a, 9b, 9c ein bidirektionaler Datenaustausch statt. Schließlich ist über Busleitungen 8b des Bussystems eine Eingabeeinheit 10 an die nichtfehlersichere Steuerung 5 angeschlossen und wird von dieser gesteuert.
  • Die Eingabeeinheit 10 ist im vorliegenden Fall von einem Touchscreen gebildet. Über den Touchscreen können für den Betrieb des Sicherheitssystems 1 relevante Informationen eingegeben werden.
  • Das Sicherheitssystem 1 gemäß Figur 1 kann in mehreren Betriebsarten betrieben werden. Eine erste Betriebsart ist der Automatikbetrieb. In diesem Automatikbetrieb darf sich keine Person im Gefahrenbereich befinden und die Schutztür ist geschlossen, so dass ein Eindringen von Personen in den Gefahren verhindert ist. In diesem Automatikbetrieb ist der Arbeitsbetrieb der Maschine 3 uneingeschränkt freigegeben, so dass mit dieser insbesondere auch Arbeitsvorgänge durchgeführt werden, die zu Gefährdungen von Personen im Gefahrenbereich führen könnten. Zusätzlich sind weitere Betriebsarten möglich, bei welchen die Sicherheitsüberwachung überbrückt ist. Bei derartigen Betriebsarten kann beispielsweise durch entsprechende Codierungen von Schlüsseln befugten Personen Zugang zum Gefahrenbereich gewährt werden, beispielsweise um dort Reparatur- oder Installationsarbeiten durchzuführen. Je nach Betriebsart kann dann die Maschine 3 komplett angehalten oder in einem eingeschränkten Betriebsmodus, beispielsweise mit reduzierter Geschwindigkeit, gefahren werden.
  • Erfindungsgemäß kann über die Eingabeeinheit 10 eine fehlersichere Auswahl einer Betriebsart vorgenommen werden. Die hierfür erforderlichen Verfahrensschritte sind im Ablaufdiagramm der Figuren 2a - f zusammengefasst.
  • In einem ersten Schritt (Schritt Nr. 1 in Figur 2a) wird ein Schlüssel in den Schlüsseleinsatz des elektronischen Schlüsselsystems 6 gesteckt, so dass der Schlüsseleinsatz berührungslos die Daten des Schlüssels ausliest.
  • Durch das Einstecken des Schlüssels wird dann, wenn dieser vom Schlüsseleinsatz als gültiger Schlüssel erkannt wird, der Schaltzustand des Schaltsignals am Schaltausgang LA auf den Wert 1 gesetzt (Schritt Nr. 2). Dieses die Anwesenheit eines gültigen Schlüssels signalisierende Schaltsignal wird über den Schalteingang SI in die Sicherheitssteuerung 4 eingelesen.
  • Die vom Schlüsseleinsatz gelesenen Daten des Schlüssels werden hinsichtlich ihres Formats geprüft und dann, wenn diese Prüfung erfolgreich war, über den Datenausgang 7 eingelesen (Schritt Nr. 3).
  • Mit dem Setzen des Schaltsignals auf den Wert 1, welches in die Sicherheitssteuerung 4 eingelesen wird, wird in der Sicherheitssteuerung 4 kontrolliert, ob die am Datenausgang 7 ausgelesenen Daten innerhalb eines vorgegebenen Zeitintervalls in die nichtfehlersichere Steuerung 5 eingelesen werden. Hierzu wird in der Sicherheitssteuerung 4 eine Zeiterwartung gestartet (Schritt Nr. 4). Dabei wird ein Zeitintervall vorgegebener Länge geöffnet und abgeprüft, ob innerhalb dieses Zeitintervalls die Daten des Schlüssels in die nichtfehlersichere Steuerung 5 eingelesen werden.
  • Dieses Einlesen (Schritt Nr. 5) erfolgt über die Busleitungen 8a des Bussystems. Dabei werden in bekannter Weise die Daten in einem festgelegten Eingangsbereich der nichtfehlersicheren Steuerung 5 eingelesen und dann in einen festgelegten Datenbereich der nichtfehlersicheren Steuerung 5 umkopiert.
  • Als erste Fehlerkontrolle erfolgt in der nichtfehlersicheren Steuerung 5 eine Berechnung der Prüfsumme der Daten des Schlüssels (Schritt Nr. 6). Darauf wird geprüft, ob die Prüfsumme in Ordnung ist, das heißt ob sie einem zulässigen Wert entspricht (Schritt Nr. 7).
  • Als weitere Fehlerkontrolle wird in der Sicherheitssteuerung 4 geprüft, ob die Daten des elektronischen Schlüsselsystems 6 innerhalb des die Zeiterwartung definierenden Zeitintervalls in die nichtfehlersichere Steuerung 5 eingelesen werden. Da diese Daten nur in die nichtfehlersichere Steuerung 5 eingelesen werden, wird nach in der nichtfehlersicheren Steuerung 5 erfolgter Prüfsummenberechnung eine Berechtigungsstufe in der Variablen mit dem symbolischen Namen Read-Authorization für die eingelesenen Daten vergeben und in ein Merkerwort MW01 oder einen dementsprechenden Datenbereich eingeschrieben, das von der nichtfehlersicheren Steuerung 5 an die Sicherheitssteuerung 4 gesendet wird. Ein derartiges Merkerwort bildet ein von der Sicherheitssteuerung 4 lesbares Datenformat. Anhand dieses Merkerworts MW01 erfolgt dann in der Sicherheitssteuerung 4 die Prüfung, ob die Daten des Schlüssels innerhalb der Zeiterwartung empfangen wurden (Schritte Nr. 8 - 10).
  • Wird bei der Prüfsummenberechnung oder der Überwachung der Zeiterwartung ein Fehler festgestellt, so erfolgt eine Verzweigung in eine Fehlerverrastung. Bei Verzweigen in eine Fehlerverrastung wird die Betriebsartwahl sofort gestoppt und kann nur dann fortgesetzt werden, wenn der Benutzer eine vorgegebene Aktion durchführt, beispielsweise eine spezifische Eingabe am Touchscreen vornimmt.
  • Mit den vorgenannten Fehlerkontrollen kann kontrolliert werden, ob das elektronische Schlüsselsystem 6 und das Steuerungssystem 2, insbesondere die nichtfehlersichere Steuerung 5, korrekt arbeiten. Insbesondere kann auf diese Weise geprüft werden, ob im Schlüsseleinsatz überhaupt ein Schlüssel vorhanden ist. Ist nämlich kein Schlüssel im Schlüsseleinsatz vorhanden, werden keine Daten in die Sicherheitssteuerung 4 übertragen, so dass dann die Prüfsumme den unzulässigen Wert Null annimmt, wodurch eine Verzweigung in die Fehlerverrastung erfolgt.
  • Entspricht die Prüfsumme einem zulässigen Wert, so wird die Berechtigungsstufe von der Sicherheitssteuerung 4 an die Eingabeeinheit 10 gesendet (Schritt Nr. 11), wodurch die Eingabeeinheit 10 für die Auswahl einer Betriebsart freigegeben wird (Schritt Nr. 12). In der Eingabeeinheit 10 wird hierzu vorteilhaft ein Bild aufgebaut, über welches ein Benutzer eine Betriebsart auswählen kann.
  • Die vom Benutzer ausgewählte Betriebsart wird in der Eingabeeinheit 10 der Variablen mit dem symbolischen Namen Select-MSO zugewiesen und dann an die nichtfehlersichere Steuerung 5 gesendet. In der nichtfehlersicheren Steuerung 5 wird die gewählte Betriebsart in das Merkerwort MW03 kopiert, das von der Sicherheitssteuerung 4 gelesen werden kann. Dieses Merkerwort MW03 wird dann von der nichtfehlersicheren Steuerung 5 an die Sicherheitssteuerung 4 gesendet (Schritt Nr. 14).
  • In der Sicherheitssteuerung 4 wird weiterhin abgefragt, ob von der nichtfehlersicheren Steuerung 5 neue Daten übersendet werden. Dies wird in der Sicherheitssteuerung 4 dadurch festgestellt, dass im Merkerwort MW01 ein Wert ungleich Null erscheint (Schritt Nr. 15).
  • Schließlich wird in den Schritten Nr. 16 und 17 in der Sicherheitssteuerung 4 geprüft, ob im Merkerwort MW03 ein zulässiger Code erscheint, und damit, ob die gewählte Betriebsart in einem zulässigen Bereich liegt (Schritte Nr. 16, 17).
  • Hierzu ist in der Sicherheitssteuerung 4 eine Liste zulässiger Betriebsarten hinterlegt. Dann kann in der Sicherheitssteuerung 4 durch einen einfachen Vergleich des eingelesenen Merkerworts MW03 mit der gespeicherten Liste ermittelt werden, ob eine zulässige Betriebsart gewählt worden ist.
  • Liegt keine zulässige Betriebsart vor, erfolgt eine Verzweigung in eine Fehlerverrastung.
  • Liegt jedoch eine zulässige Betriebsart vor, so wird in der Sicherheitssteuerung 4 die zulässige Betriebsart, das heißt der Inhalt des Merkerworts MW03 in das Merkerwort MW05 kopiert, das dann an die nichtfehlersichere Steuerung 5 gesendet wird (Schritte Nr. 18, 19).
  • Dieses Merkerwort MW05 wird dann von der nichtfehlersicheren Steuerung 5 an die Eingabeeinheit 10 gesendet. Dort wird die ausgewählte Betriebsart dem Benutzer angezeigt (Schritt Nr. 20). Diese Anzeige erfolgt in einem anderen Bild als in dem Bild, in dem der Benutzer die Betriebsartauswahl vorgenommen hat. Dies ist eine Voraussetzung für ein sicheres Rücklesen der ausgewählten Betriebsart. Eine zweite Voraussetzung hierfür ist, dass das Rücklesen, in eine Variable (hier MW05) erfolgt, die von der Variable für das Einlesen der Betriebsart (hier MW03) verschieden ist.
  • Sobald dem Benutzer die ausgewählte Betriebsart durch das Rücklesen auf die Eingabeeinheit 10 angezeigt wurde, muss die Auswahl vom Benutzer durch eine Eingabe an der Eingabeeinheit 10 bestätigt werden (Schritt Nr. 21).
  • Bei einer negativen Bestätigung wird in der Eingabeeinheit 10 eine Fehlervariable mit dem symbolischen Namen ErrorMSO gesetzt, wodurch eine Verzweigung in eine Fehlerverrastung erfolgt (Schritt Nr. 23).
  • Bei einer positiven Bestätigung wird in der Eingabeeinheit 10 eine Variable mit dem symbolischen Namen SwitchMSO gesetzt (Schritt Nr. 22) und über das Bussystem an die nichtfehlersichere Steuerung 5 gesendet. Die so gewählte Betriebsart wird dann in das Merkerwort MW07 kopiert und an die Sicherheitssteuerung 4 gesendet (Schritt Nr. 24).
  • In der Sicherheitssteuerung 4 erfolgt dann ein Vergleich, ob die ausgewählte Betriebsart (enthalten im Merkerwort MW03) der bestätigten Betriebsart (enthalten im Merkerwort MW07) entspricht (Schritt Nr. 25).
  • Sind diese Werte unterschiedlich, erfolgt eine Verzweigung in eine Fehlerverrastung.
  • Sind jedoch beide Werte identisch, führt die Sicherheitssteuerung 4 eine Umschaltung auf die ausgewählte Betriebsart durch, wobei hierzu von der Sicherheitssteuerung 4 entsprechende Ausgänge des Steuerungssystems 2 gesetzt werden (Schritt Nr. 26).
  • Die gesamte beschriebene Kette wird ebenfalls durchlaufen, wenn der Schlüssel herausgezogen wird. Hierbei müssen alle Variablen den Wert 0 annehmen. Der Ausgang LA muss zeitglich zurückgesetzt werden. Somit wird durch Prüfung in der sicheren Steuerung 4 sichergestellt, dass keine Werte in den nicht sicheren Teilen der Steuerung 5 sowie des Eingabesystems 10 gespeichert bleiben können. Damit erfolgt eine Funktionskontrolle aller Komponenten des Sicherheitssystems 1.
    • Bezugszeichenliste
    • (1)
    Sicherheitssystem
    (2)
    Steuerungssystem
    (3)
    Maschine
    (4)
    Sicherheitssteuerung
    (5)
    nichtfehlersichere Steuerung
    (6)
    elektronisches Schlüsselsystem
    (7)
    Datenausgang
    (8a-b)
    Busleitung
    (9a-c)
    Leitung
    (10)
    Eingabeeinheit
    (LA)
    Schaltausgang
    (SI)
    Schalteingang

Claims (16)

  1. Verfahren zur Einstellung einer Betriebsart eines Sicherheitssystems (1), umfassend ein Zugangssystem, welches an ein eine Maschine (3) steuerndes Steuerungssystem (2) angeschlossen ist, wobei das Steuerungssystem (2) eine Sicherheitssteuerung (4) aufweist, gekennzeichnet durch folgende Verfahrensschritte:
    • Zweikanaliges Auslesen von Signalen des Zugangssystems in das Steuerungssystem (2)
    • Durchführen einer Gültigkeitsüberprüfung der Signale des Zugangssystems in dem Steuerungssystem (2)
    • wobei das Steuerungssystem (2) nur bei Vorliegen gültiger Signale des Zugangssystems die Auswahl einer Betriebsart über eine Eingabeeinheit (10) freigibt
    • Durchführen einer Fehlerkontrolle der Auswahl der Betriebsart in der Sicherheitssteuerung (4)
    • Umschalten auf die ausgewählte Betriebsart durch die Sicherheitssteuerung (4) nach positiv durchgeführter Fehlerkontrolle.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Zugangssystem eine diversitäre Ausgangsstruktur aufweist.
  3. Verfahren nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, dass die Signale wenigstens eines Ausgangs des Zugangssystems in der Sicherheitssteuerung (4) für eine Gültigkeitsüberprüfung herangezogen werden.
  4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass das Sicherheitssystem (1) zusätzlich zu der Sicherheitssteuerung (4) eine nichtfehlersichere Steuerung (5) aufweist, wobei die nichtfehlersichere Steuerung (5) die Eingabeeinheit (10) steuert, und wobei die Signale eines ersten Ausgangs des Zugangssystems in die nichtfehlersichere Steuerung (5) und die Signale des zweiten Ausgangs des Zugangssystems in die Sicherheitssteuerung (4) eingelesen werden.
  5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass das Zugangssystem von einem elektronischen Schlüsselsystem (6), umfassend einen Schlüsseleinsatz und wenigstens einen Schlüssel, gebildet ist, dass das Zugangssystem einen Datenausgang (7) aufweist, über welchen Daten eines im Schlüsseleinsatz befindlichen Schlüssels in die nichtfehlersichere Steuerung (5) eingelesen werden, und dass das Zugangssystem einen Schaltausgang (LA) aufweist, über welchen ein Schaltsignal, dessen Schaltzustände angeben, ob ein Schlüssel im Schlüsseleinsatz vorhanden ist oder nicht, in die Sicherheitssteuerung (4) eingelesen wird.
  6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass als erste Gültigkeitsüberprüfung von Signalen des Zugangssystems bei Einlesen eines Schaltsignals, dessen Schaltzustand einen im Schlüsseleinsatz befindlichen Schlüssel signalisiert, in der Sicherheitssteuerung (4) eine Zeiterwartung durch Öffnen eines Zeitintervalls gestartet wird, und dass in der Sicherheitssteuerung (4) geprüft wird, ob innerhalb dieses Zeitintervalls Daten des Schlüssels über den Datenausgang (7) in die nichtfehlersichere Steuerung (5) eingelesen wurden.
  7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass als zweite Gültigkeitsüberprüfung eine Prüfsummenberechnung der vom Datenausgang (7) eingelesenen Daten des Schlüssels in der nichtfehlersicheren Steuerung (5) durchgeführt wird.
  8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass die nichtfehlersichere Steuerung (5) nach erfolgreicher Gültigkeitsüberprüfung ein Autorisierungssignal an die Eingabeeinheit (10) sendet, wodurch Eingaben an der Eingabeeinheit (10) freigegeben werden.
  9. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Eingabeeinheit (10) von einem Touchscreen gebildet ist.
  10. Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass nach Empfang des Autorisierungssignals im Touchscreen ein Bild aufgebaut oder zugänglich gemacht wird, in welchem eine Betriebsart ausgewählt werden kann.
  11. Verfahren nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, dass in der nichtfehlersicheren Steuerung (5) als Fehlerkontrolle geprüft wird, ob die ausgewählte Betriebsart in einem zulässigen Bereich liegt.
  12. Verfahren nach einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, dass zur Fehlerkontrolle einer ausgewählten Betriebsart diese auf die Eingabeeinheit (10) rückgelesen wird.
  13. Verfahren nach Anspruch 12, dadurch gekennzeichnet, dass die ausgewählte Betriebsart und die rückgelesene Betriebsart in unterschiedlichen Bildern der Eingabeeinheit (10) angezeigt werden.
  14. Verfahren nach einem der Ansprüche 1 bis 13, dadurch gekennzeichnet, dass bei Aufdeckung eines Fehlers in dem Steuerungssystem (2) eine Fehlerverrastung erzeugt wird.
  15. Verfahren nach einem der Ansprüche 5 bis 14, dadurch gekennzeichnet, dass bei Ziehen eines Schlüssels aus dem Schlüsseleinsatz des Schlüsselsystems (6) eine Funktionskontrolle aller Komponenten des Sicherheitssystems (1) durchgeführt wird.
  16. Sicherheitssystem (1) umfassend ein Zugangssystem, welches an ein eine Maschine (3) steuerndes Steuerungssystem (2) angeschlossen ist, wobei das Steuerungssystem (2) eine Sicherheitssteuerung (4) aufweist, dadurch gekennzeichnet, dass das Zugangssystem eine zweikanalige Ausgangsstruktur aufweist, welches ausgebildet ist, Signale in das Steuerungssystem (2) auszulesen, dass das Steuerungssystem (2) ausgebildet ist, eine Gültigkeitsüberprüfung der Signale des Zugangssystems durchzuführen, wobei das Steuerungssystem (2) ausgebildet ist, die Auswahl einer Betriebsart über eine Eingabeeinheit (10) freizugeben, falls gültige Signale des Zugangssystems vorliegen, dass die Sicherheitssteuerung (4) ausgebildet ist, eine Fehlerkontrolle der Auswahl der Betriebsart durchzuführen, und dass die Sicherheitssteuerung (4) ausgebildet ist, nach positiv durchgeführter Fehlerkontrolle eine Umschaltung auf die ausgewählte Betriebsart vorzunehmen.
EP16183331.4A 2015-09-03 2016-08-09 Verfahren zur einstellung einer betriebsart eines sicherheitssystems Active EP3139354B1 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102015114717.3A DE102015114717A1 (de) 2015-09-03 2015-09-03 Verfahren zur Einstellung einer Betriebsart eines Sicherheitssystems

Publications (3)

Publication Number Publication Date
EP3139354A2 EP3139354A2 (de) 2017-03-08
EP3139354A3 EP3139354A3 (de) 2017-03-15
EP3139354B1 true EP3139354B1 (de) 2019-10-30

Family

ID=56801380

Family Applications (1)

Application Number Title Priority Date Filing Date
EP16183331.4A Active EP3139354B1 (de) 2015-09-03 2016-08-09 Verfahren zur einstellung einer betriebsart eines sicherheitssystems

Country Status (3)

Country Link
EP (1) EP3139354B1 (de)
DE (1) DE102015114717A1 (de)
ES (1) ES2764983T3 (de)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3598398A1 (de) 2018-07-18 2020-01-22 EUCHNER GmbH + Co. KG Zugangssystem
DE202019104521U1 (de) 2019-08-16 2019-09-03 Euchner Gmbh + Co. Kg Gerät zur Auswahl einer Betriebsart eines Sicherheitssystems
IT201900018986A1 (it) * 2019-10-16 2021-04-16 Simone Borsato "Sistema di sicurezza industriale"

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10336814A1 (de) * 2003-08-11 2005-03-10 Bosch Gmbh Robert Elektronisches Gerät mit einer Nutzererkennung
DE10353210A1 (de) * 2003-11-13 2005-06-16 Siemens Ag Sichere Erfassung von Eingabewerten
JP4881095B2 (ja) * 2006-07-28 2012-02-22 株式会社東海理化電機製作所 キーシステム
EP2098928A1 (de) * 2008-03-07 2009-09-09 Sick Ag Verfahren und Vorrichtung zum Programmieren und/oder Konfigurieren einer Sicherheitssteuerung
DE102008060011A1 (de) * 2008-11-25 2010-05-27 Pilz Gmbh & Co. Kg Sicherheitssteuerung und Verfahren zum Steuern einer automatisierten Anlage
US20140191843A1 (en) * 2013-01-04 2014-07-10 Caterpillar Inc Machine security system
CN104678806A (zh) * 2015-01-29 2015-06-03 广东美的厨房电器制造有限公司 家用电器及其安全控制方法和安全控制装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
None *

Also Published As

Publication number Publication date
DE102015114717A1 (de) 2017-03-09
EP3139354A3 (de) 2017-03-15
EP3139354A2 (de) 2017-03-08
ES2764983T3 (es) 2020-06-05

Similar Documents

Publication Publication Date Title
EP2900581B1 (de) Verfahren zur rückstellung eines sicherheitssystems einer aufzugsanlage
EP1883867A1 (de) Verfahren zum einstellen eines elektrischen feldgerätes
EP3139354B1 (de) Verfahren zur einstellung einer betriebsart eines sicherheitssystems
EP3709166B1 (de) Verfahren und system zur sicheren signalmanipulation für den test integrierter sicherheitsfunktionalitäten
DE102011088236A1 (de) Verfahren zum sicheren Betreiben eines Feldgerätes der Prozessautomatisierungstechnik
EP1760623A2 (de) Sicherheitseinrichtung für elektronische Geräte
DE19963208A1 (de) Verfahren zum Manipulationsnachweis einer programmierbaren Speichereinrichtung eines digitalen Steuergeräts
EP3715979A1 (de) Zugriffssteuerungssystem zur steuerung eines zugriffs eines nutzers auf eine oder mehrere betriebsfunktionen einer technischen anlage
CH714507A1 (de) Schutzeinrichtung für eine Fertigungsanlage sowie Verfahren zum Betreiben einer derartigen Schutzeinrichtung.
EP1683016B1 (de) Sichere erfassung von eingabewerten
EP3499324B1 (de) Verfahren zur modularen verifikation einer konfiguration eines geräts
EP2405317B1 (de) Verfahren zur sicheren Parametrierung eines Sicherheitsgeräts
DE102018202626A1 (de) Verfahren zur rechnergestützten Parametrierung eines technischen Systems
EP1444659A2 (de) Sicherheitseinrichtung
DE202019104521U1 (de) Gerät zur Auswahl einer Betriebsart eines Sicherheitssystems
EP2315084B1 (de) Fehlersicheres Verriegelungssystem
EP3779899A1 (de) Kontrollvorrichtung
EP1760558B1 (de) Vorrichtung und Verfahren zur Untersuchung der Sicherheit einer technischen Einrichtung
DE102019108975A1 (de) Bedienung einer technischen Anlage
DE102007009141A1 (de) Sicherheitsvorrichtung und Sicherheitsverfahren mit mehreren Verarbeitungsstufen
DE102017117137A1 (de) Aufzugssteuerung, Aufzugsanlage und Verfahren zum Betreiben einer Aufzugsanlage
DE102007062915A1 (de) Verfahren zum Betreiben einer speicherprogrammierbaren Steuerung
EP4016208A1 (de) Verfahren zum steuern eines stellgliedes einer vorrichtung mit einer recheneinheit
DE102012215959A1 (de) Durchführung einer Bedienung in einem Signalsystem
DE102021119825A1 (de) Sicherheitsvorrichtung und Verfahren zum Betrieb einer Sicherheitsvorrichtung

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN PUBLISHED

PUAL Search report despatched

Free format text: ORIGINAL CODE: 0009013

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

AK Designated contracting states

Kind code of ref document: A3

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

RIC1 Information provided on ipc code assigned before grant

Ipc: G07C 9/00 20060101AFI20170207BHEP

Ipc: G05B 19/042 20060101ALI20170207BHEP

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20170309

RBV Designated contracting states (corrected)

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: GRANT OF PATENT IS INTENDED

GRAJ Information related to disapproval of communication of intention to grant by the applicant or resumption of examination proceedings by the epo deleted

Free format text: ORIGINAL CODE: EPIDOSDIGR1

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

INTG Intention to grant announced

Effective date: 20190613

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: GRANT OF PATENT IS INTENDED

INTC Intention to grant announced (deleted)
INTG Intention to grant announced

Effective date: 20190729

GRAS Grant fee paid

Free format text: ORIGINAL CODE: EPIDOSNIGR3

GRAA (expected) grant

Free format text: ORIGINAL CODE: 0009210

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE PATENT HAS BEEN GRANTED

RBV Designated contracting states (corrected)

Designated state(s): AT CH DE ES FR GB IT LI SE

AK Designated contracting states

Kind code of ref document: B1

Designated state(s): AT CH DE ES FR GB IT LI SE

REG Reference to a national code

Ref country code: GB

Ref legal event code: FG4D

Free format text: NOT ENGLISH

REG Reference to a national code

Ref country code: CH

Ref legal event code: EP

REG Reference to a national code

Ref country code: CH

Ref legal event code: NV

Representative=s name: ROTTMANN, ZIMMERMANN + PARTNER AG, CH

Ref country code: AT

Ref legal event code: REF

Ref document number: 1196971

Country of ref document: AT

Kind code of ref document: T

Effective date: 20191115

REG Reference to a national code

Ref country code: DE

Ref legal event code: R096

Ref document number: 502016007288

Country of ref document: DE

REG Reference to a national code

Ref country code: SE

Ref legal event code: TRGR

REG Reference to a national code

Ref country code: ES

Ref legal event code: FG2A

Ref document number: 2764983

Country of ref document: ES

Kind code of ref document: T3

Effective date: 20200605

REG Reference to a national code

Ref country code: DE

Ref legal event code: R097

Ref document number: 502016007288

Country of ref document: DE

PLBE No opposition filed within time limit

Free format text: ORIGINAL CODE: 0009261

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

26N No opposition filed

Effective date: 20200731

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: IT

Payment date: 20230825

Year of fee payment: 8

Ref country code: GB

Payment date: 20230822

Year of fee payment: 8

Ref country code: CH

Payment date: 20230902

Year of fee payment: 8

Ref country code: AT

Payment date: 20230822

Year of fee payment: 8

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: SE

Payment date: 20230821

Year of fee payment: 8

Ref country code: FR

Payment date: 20230825

Year of fee payment: 8

Ref country code: DE

Payment date: 20230620

Year of fee payment: 8

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: ES

Payment date: 20231027

Year of fee payment: 8