EP3139354B1 - Method for adjusting an operating mode of a security system - Google Patents
Method for adjusting an operating mode of a security system Download PDFInfo
- Publication number
- EP3139354B1 EP3139354B1 EP16183331.4A EP16183331A EP3139354B1 EP 3139354 B1 EP3139354 B1 EP 3139354B1 EP 16183331 A EP16183331 A EP 16183331A EP 3139354 B1 EP3139354 B1 EP 3139354B1
- Authority
- EP
- European Patent Office
- Prior art keywords
- control
- key
- safety
- access system
- operating mode
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 33
- 238000013475 authorization Methods 0.000 claims description 8
- 238000012360 testing method Methods 0.000 claims description 3
- 230000011664 signaling Effects 0.000 claims 1
- 238000004364 calculation method Methods 0.000 description 6
- 238000012544 monitoring process Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000001681 protective effect Effects 0.000 description 5
- 238000010200 validation analysis Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C2009/00968—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys shape of the data carrier
- G07C2009/00992—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys shape of the data carrier mechanical key
Definitions
- the invention relates to a method for setting an operating mode of a security system and to a security system for carrying out the method.
- Such a security system generally includes a control system that controls a machine.
- the machine can pose a risk to persons.
- An essential security element here is an access system connected to the control system, by means of which a controlled access to security-relevant control functions is monitored.
- Such an access system may for example be formed by an electronic key system.
- This electronic key system comprises a key insert and at least one key associated therewith.
- the key typically includes a transponder in which a code is contained.
- a recognition device is integrated, by means of which the code in the key can then be read out without contact, when the key is in an engaged position in the key insert.
- the code of the key may include a control signal for starting or stopping the machine.
- the code may contain authorization data or process-oriented information such as parameters for the operation of the machine.
- the danger zone of the machine is secured with a protective cover or fencing.
- a protective door In the fence is then a protective door.
- the machine can be used in different operating modes.
- a first operating mode is the automatic mode. In this safety mode, no person may be in the danger zone and the protective door is closed. In this automatic mode of operation of the machine is fully released, so that in particular also work operations are carried out, which could lead to hazards to persons in the danger zone.
- other modes are possible in which the safety monitoring is bypassed. In such modes, for example, authorized persons can be granted access to the danger zone by appropriate codes of keys, for example to carry out repair or installation work there. Depending on the operating mode, the machine can then be stopped completely or driven in a restricted operating mode, for example at reduced speed.
- the respective mode is selected via one or more keyswitch on the machine.
- the disadvantage here is that the keys can be easily copied and control over the access is not guaranteed.
- the DE 103 36 814 A1 relates to an electronic device with at least one operating device for controlling the electronic device, in which a device for identifying a user is configured such that the user when operating the electronic device for controlling the electronic Device is automatically identified. This makes it possible to propose to the user depending on his identity functions and / or function selections for selection or to execute them.
- the DE 10 2008 060 011 A1 relates to a safety controller and method for controlling an automated system comprising a plurality of sensors and a plurality of actuators.
- the invention has for its object to provide a method and a security system, by means of which a reliable mode setting is made possible with low design effort.
- the invention relates to a security system for carrying out the method according to the invention.
- An essential advantage of the method according to the invention or of the safety system according to the invention is that a fail-safe adjustment of the operating mode of the safety system or the machine thus secured is made possible without any additional design effort.
- the fail-safe selection and setting of a mode of operation is ensured, in particular, by error checks of the control system, the latter having a safety control as an essential component and, particularly advantageously, a non-error-proof control.
- error checks test the components of the safety system and detect any errors.
- the advantage here is that in the error controls in the individual components, in particular the input unit, the non-failsafe control and safety control, synchronous processes are provided, whereby parallel channels are obtained, can be detected by their comparison with high certainty occurring errors, in the whole Security system, as the error controls include all components of the security system.
- the access system has a two-channel, preferably diverse output structure, so that two-channel signals are read from the access system into the control system.
- the safety controller can be used to check whether the control system, in particular the non-failsafe controller, and the access system work correctly.
- the signals of at least one output of the access system in the security controller are particularly advantageously used for a validity check.
- Further advantageous signals of an output channel of the access system are evaluated in the non-error-safe control, in particular, whether the signals of the output channel are valid, which can be done for example on the basis of a checksum calculation of the signals.
- the read via the second output channel in the safety control signals are then advantageously used for a time monitoring such that it is checked whether the signals of the first output signal are read in a predetermined time window.
- the access system is formed by an electronic key system comprising a key insert and at least one key.
- the access system has a data output, via which data of a key used in the key insert are read into the non-failsafe controller.
- the access system has a switching output, via which a switching signal whose switching states indicate whether a key is present in the key insert or not is read into the safety controller.
- the non-failsafe controller which has no fail-safe structure, is well suited to process larger amounts of data, such as the data read in by the key.
- the safety controller with its fail-safe structure only has to process a considerably reduced amount of data since the switching signal read in via the switching output of the access system is a binary signal.
- the security controller requires further data of the access system from the non-failsafe controller for performing error checks, these are converted into a format that can be processed by the security controller. In general, only the data required for the error control are sent to the safety controller, so that the amount of data can be kept low.
- a time expectation in the safety control by opening a time interval is started.
- the safety controller checks whether, within this time interval, data of the key has been read into the non-failsafe controller via the data output.
- a checksum calculation of the data read in from the data output of the key is performed in the non-failsafe controller.
- a dual-channel verification structure is realized since error checks are performed not only in the safety control but also in the non-error-proof control. Through the synchronous execution of the error controls and their mutual checks, a comprehensive testing of the control system and the access system is realized.
- the non-failsafe controller sends an authorization signal to the input unit after successful validation, thereby enabling input to the input unit.
- the input unit is formed by a touchscreen or by so-called softkeys.
- This provides a particularly comfortable, easy-to-use interface for a user of the security system.
- the input unit and the non-fail-safe control used to drive them do not themselves have a fail-safe configuration, a fail-safe mode selection is ensured via this structure. This is due to the fact that not only the non-failsafe controller but also the input unit is integrated into the overall system of error control.
- a first error control is that a release of the input unit for making entries by a user only takes place in the control system, in particular the non-failsafe controller, the validity check of the checksum calculation performed by the data output of the access system was successful and thus simple errors on the secure electronic key can be recognized as well as protection against copying a key is realized.
- the function of the input unit is checked directly by the fail-safe part of the control system.
- a list of permissible entries is stored in the safety control for this purpose. If appropriate, this list can be compared with the data read in by the access system, for example such that, depending on the access authorization contained in the data, only a subset of the operating modes stored in the security control can be selected as being selectable by the input unit.
- this readback gives the user the possibility of checking whether his input was correct or correctly processed has been. Furthermore, by checking the read back in the safety controller, another error control of the input unit and the non-fail-safe controller controlling it takes place.
- error detection is generated upon detection of an error in the control system.
- FIG. 1 schematically shows the structure of an embodiment of the security system according to the invention 1.
- the security system 1 comprises a control system 2, which controls the operation of a machine 3.
- the control system 2 comprises a safety controller 4, which may be formed by a fail-safe PLC control.
- the control system 2 comprises a non-failsafe controller 5 formed by a non-fail-safe PLC controller.
- Access to the selection of an operating mode is monitored by means of an access system, which in the present case is formed by an electronic key system 6.
- This electronic key system 6 comprises a key insert, not shown, and at least one assigned thereto, also not shown key.
- the key typically includes a transponder in which a code is contained.
- a recognition device is integrated, by means of which the code in the key can then be read out without contact, when the key is in an engaged position in the key insert.
- the code of the key may include authorization data as well as other process-oriented information such as parameters for the operation of the machine 3.
- the electronic key system 6 has, as in FIG. 1 shown, a diverse, two-channel output structure on. This comprises a data output 7, via which data of the key used in the key insert can be read out. Furthermore, a switching output LA is provided, via which a binary switching signal can be read out. The switching states of the switching signal indicate whether or not a key is engaged with the key insert. How out FIG. 1 can be seen, the switching signal of the electronic key system 6 is read via a switching input SI in the safety controller 4. In contrast, the data of the data output 7 are read into the non-failsafe controller 5 via bus lines 8a of a bus system.
- the input unit 10 is formed in the present case of a touch screen. Via the touch screen 1 relevant information can be entered for the operation of the security system.
- the security system 1 according to FIG. 1 can be operated in several operating modes.
- a first operating mode is the automatic mode. In this automatic mode, no person may be in the danger zone and the protective door is closed so that people are prevented from entering the danger zone. In this automatic mode of operation of the machine 3 is fully released, so that with this particular work operations are performed, which could lead to hazards to persons in the danger area.
- other modes are possible in which the safety monitoring is bypassed. In such modes, for example, authorized persons can be granted access to the danger zone by appropriate codes of keys, for example to carry out repair or installation work there.
- the machine 3 can then be stopped completely or driven in a restricted operating mode, for example at a reduced speed.
- a fail-safe selection of an operating mode can be carried out via the input unit 10.
- the process steps required for this purpose are shown in the flowchart of FIGS. 2a-f summarized.
- a key is inserted into the key insert of the electronic key system 6, so that the key insert contactless read the data of the key.
- the switching state of the switching signal at the switching output LA is set to the value 1 (step no. 2).
- This switching signal indicating the presence of a valid key is read into the safety controller 4 via the switching input SI.
- the data of the key read from the key insert is checked for its format and then, if this check was successful, read in via the data output 7 (step no. 3).
- the safety controller 4 With the setting of the switching signal to the value 1, which is read into the safety controller 4, it is checked in the safety controller 4 whether the data read out at the data output 7 are read into the non-failsafe controller 5 within a predetermined time interval. For this purpose, a time expectation is started in the safety controller 4 (step no. 4). In this case, a time interval of predetermined length is opened and checked as to whether the data of the key are read into the non-failsafe controller 5 within this time interval.
- This reading takes place via the bus lines 8a of the bus system.
- the data are read in a defined input range of the non-failsafe controller 5 in a known manner and then copied into a specified data area of the non-failsafe controller 5.
- the first error control is carried out in the non-failsafe controller 5, a calculation of the checksum of the data of the key (step no. 6). Then it checks whether the checksum is correct, that is, whether it corresponds to a permissible value (step no. 7).
- a branch into an error lock occurs.
- branching into an error lock mode selection is immediately stopped and can only be continued if the user performs a predetermined action, for example, makes a specific input on the touch screen.
- the permission level is sent from the security controller 4 to the input unit 10 (step # 11), thereby enabling the input unit 10 for selecting a mode (step # 12).
- the input unit 10 an image is advantageously constructed for this purpose, via which a user can select an operating mode.
- the user-selected mode is assigned in the input unit 10 to the variable with the symbolic name Select-MSO and then sent to the non-failsafe controller 5.
- the selected mode is copied to the flag word MW03, which can be read by the safety controller 4. This flag word MW03 is then sent from the non-failsafe controller 5 to the security controller 4 (step # 14).
- the safety controller 4 is further queried whether 5 new data are sent from the non-failsafe controller. This is determined in the safety controller 4 by the fact that in the flag word MW01 a value not equal to zero appears (step No. 15).
- steps Nos. 16 and 17 in the safety controller 4 are checked to see if a permissible code appears in the flag word MW03, and thus whether the selected mode is within an allowable range (Steps Nos. 16, 17).
- a list of permissible operating modes is stored in the safety controller 4. Then it can be determined in the safety controller 4 by a simple comparison of the read flag word MW03 with the stored list, whether an allowable mode has been selected.
- the allowable mode that is, the content of the flag word MW03 is copied to the flag word MW05, which is then sent to the non-fail safe controller 5 (steps Nos. 18, 19).
- This flag word MW05 is then sent from the non-failsafe controller 5 to the input unit 10.
- There the selected operating mode is displayed to the user (step no. 20). This display takes place in another picture than in the picture in which the user made the mode selection. This is a prerequisite for a safe reading back of the selected operating mode. A second prerequisite for this is that reading back into a variable (here MW05) takes place that differs from the variable for reading in the operating mode (here MW03).
- an error variable with the symbolic name ErrorMSO is set in the input unit 10, as a result of which a branch into an error lock is made (step no. 23).
- a variable with the symbolic name SwitchMSO is set in the input unit 10 (step No. 22) and sent to the non-failsafe controller 5 via the bus system.
- the thus selected mode is then copied to the flag word MW07 and sent to the safety controller 4 (step # 24).
- a comparison is then made in the safety controller 4 as to whether the selected operating mode (contained in the flag word MW03) corresponds to the confirmed operating mode (contained in the flag word MW07) (step no. 25).
- the safety controller 4 performs a changeover to the selected operating mode, for which purpose corresponding outputs of the control system 2 are set by the safety controller 4 (step No. 26).
Description
Die Erfindung betrifft ein Verfahren zur Einstellung einer Betriebsart eines Sicherheitssystems sowie ein Sicherheitssystem zur Durchführung des Verfahrens.The invention relates to a method for setting an operating mode of a security system and to a security system for carrying out the method.
Ein derartiges Sicherheitssystem umfasst generell ein Steuerungssystem, das eine Maschine steuert. Von der Maschine können Gefahren für Personen ausgehen. Als Sicherheitsmaßnahme wird daher ein Gefahrenbereich an der Maschine überwacht. Ein wesentliches Sicherheitselement bildet hierbei ein an das Steuerungssystem angeschlossenes Zugangssystem, mittels dessen ein kontrollierter Zugang zu sicherheitsrelevanten Steuerungsfunktionen überwacht wird. Ein derartiges Zugangssystem kann beispielsweise von einem elektronischen Schlüsselsystem gebildet sein. Dieses elektronische Schlüsselsystem umfasst einen Schlüsseleinsatz und wenigstens einen diesem zugeordneten Schlüssel. Der Schlüssel umfasst typischerweise einen Transponder, in dem ein Code enthalten ist. Im Schlüsseleinsatz ist eine Erkennungseinrichtung integriert, mittels derer berührungslos der Code im Schlüssel dann ausgelesen werden kann, wenn der Schlüssel in einer Eingriffsstellung im Schlüsseleinsatz ist. Der Code des Schlüssels kann ein Steuerungssignal für das Starten oder Stoppen der Maschine enthalten. Weiterhin kann der Code Berechtigungsdaten oder prozessorientierte Informationen wie Parameter für den Betrieb der Maschine enthalten.Such a security system generally includes a control system that controls a machine. The machine can pose a risk to persons. As a safety measure, a danger zone on the machine is therefore monitored. An essential security element here is an access system connected to the control system, by means of which a controlled access to security-relevant control functions is monitored. Such an access system may for example be formed by an electronic key system. This electronic key system comprises a key insert and at least one key associated therewith. The key typically includes a transponder in which a code is contained. In the key insert, a recognition device is integrated, by means of which the code in the key can then be read out without contact, when the key is in an engaged position in the key insert. The code of the key may include a control signal for starting or stopping the machine. Furthermore, the code may contain authorization data or process-oriented information such as parameters for the operation of the machine.
Typischerweise ist der Gefahrenbereich der Maschine mit einer Schutzabdeckung oder Umzäunung gesichert. In der Umzäunung befindet sich dann eine Schutztür. Abhängig davon ob die Schutztür geschlossen ist oder nicht kann mit der Maschine in unterschiedlichen Betriebsarten gearbeitet werden.Typically, the danger zone of the machine is secured with a protective cover or fencing. In the fence is then a protective door. Depending on whether the safety door is closed or not, the machine can be used in different operating modes.
Bei derartigen Sicherheitssystemen sind generell mehrere Betriebsarten möglich. Eine erste Betriebsart ist der Automatikbetrieb. In diesem Sicherheitsbetrieb darf sich keine Person im Gefahrenbereich befinden und die Schutztür ist geschlossen. In diesem Automatikbetrieb ist der Arbeitsbetrieb der Maschine uneingeschränkt freigegeben, so dass mit dieser insbesondere auch Arbeitsvorgänge durchgeführt werden, die zu Gefährdungen von Personen im Gefahrenbereich führen könnten. Zusätzlich sind weitere Betriebsarten möglich, bei welchen die Sicherheitsüberwachung überbrückt ist. Bei derartigen Betriebsarten kann beispielsweise durch entsprechende Codierungen von Schlüsseln befugten Personen Zugang zum Gefahrenbereich gewährt werden, beispielsweise um dort Reparatur- oder Installationsarbeiten durchzuführen. Je nach Betriebsart kann dann die Maschine komplett angehalten oder in einem eingeschränkten Betriebsmodus, beispielsweise mit reduzierter Geschwindigkeit, gefahren werden.With such security systems, several operating modes are generally possible. A first operating mode is the automatic mode. In this safety mode, no person may be in the danger zone and the protective door is closed. In this automatic mode of operation of the machine is fully released, so that in particular also work operations are carried out, which could lead to hazards to persons in the danger zone. In addition, other modes are possible in which the safety monitoring is bypassed. In such modes, for example, authorized persons can be granted access to the danger zone by appropriate codes of keys, for example to carry out repair or installation work there. Depending on the operating mode, the machine can then be stopped completely or driven in a restricted operating mode, for example at reduced speed.
Ein Problem bei derartigen Sicherheitssystemen besteht darin, dass eine Umschaltung der Betriebsart aufgrund gesetzlicher Bestimmungen auf befugte Personen beschränkt werden muss. Zudem ist für die Umschaltung ein Sicherheitsniveau gefordert, dass nicht mit beliebigen konventionellen Systemen erreicht werden kann sondern den Einsatz von Sicherheitstechnik notwendig macht.A problem with such safety systems is that operating mode switching must be restricted to authorized persons due to legal regulations. In addition, a level of security is required for the switchover, which can not be achieved with any conventional systems, but makes the use of safety technology necessary.
Bei einer ersten bekannten Betriebsartumschaltung wird die jeweilige Betriebsart über einen oder mehrere Schlüsselschalter an der Maschine ausgewählt. Nachteilig hierbei ist, dass die Schlüssel leicht kopiert werden können und die Kontrolle über den Zugang nicht gewährleistet ist.In a first known mode switching the respective mode is selected via one or more keyswitch on the machine. The disadvantage here is that the keys can be easily copied and control over the access is not guaranteed.
Bei einer zweiten bekannten Betriebsartumschaltung sind an der Maschine Tasten vorgesehen, die mittels eines Schlüssels freigeschaltet werden können. Auch diese Lösung hat die genannten Nachteile.In a second known mode switching buttons are provided on the machine, which can be unlocked by means of a key. This solution has the disadvantages mentioned.
Die
Die
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und ein Sicherheitssystem bereitzustellen, mittels dessen bei geringem konstruktivem Aufwand eine sichere Betriebsarteinstellung ermöglicht wird.The invention has for its object to provide a method and a security system, by means of which a reliable mode setting is made possible with low design effort.
Zur Lösung dieser Aufgabe sind die Merkmale der unabhängigen Ansprüche vorgesehen. Vorteilhafte Ausführungsformen und zweckmäßige Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen beschrieben.To solve this problem, the features of the independent claims are provided. Advantageous embodiments and expedient developments of the invention are described in the dependent claims.
Die Erfindung betrifft ein Verfahren zur Einstellung einer Betriebsart eines Sicherheitssystems, umfassend ein Zugangssystem, welches an ein eine Maschine steuerndes Steuerungssystem angeschlossen ist. Das Steuerungssystem weist eine Sicherheitssteuerung auf. Das Verfahren umfasst folgende Verfahrensschritte:
- Zweikanaliges Auslesen von Signalen des Zugangssystems in das Steuerungssystem,
- Durchführen einer Gültigkeitsüberprüfung der Signale des Zugangssystems in dem Steuerungssystem,
- wobei das Steuerungssystem nur bei Vorliegen gültiger Signale des Zugangssystems die Auswahl einer Betriebsart über eine Eingabeeinheit freigibt,
- Durchführen einer Fehlerkontrolle der Auswahl der Betriebsart in der Sicherheitssteuerung,
- Umschalten auf die ausgewählte Betriebsart durch die Sicherheitssteuerung nach positiv durchgeführter Fehlerkontrolle.
- Dual-channel reading of signals from the access system into the control system,
- Performing a validity check of the signals of the access system in the control system,
- wherein the control system releases the selection of a mode of operation via an input unit only in the presence of valid signals of the access system,
- Performing an error control of the selection of the operating mode in the safety control,
- Switching to the selected operating mode by the safety controller after a positive error check.
Weiterhin betrifft die Erfindung ein Sicherheitssystem zur Durchführung des erfindungsgemäßen Verfahrens.Furthermore, the invention relates to a security system for carrying out the method according to the invention.
Ein wesentlicher Vorteil des erfindungsgemäßen Verfahrens beziehungsweise des erfindungsgemäßen Sicherheitssystems besteht darin, dass ohne konstruktiven Zusatzaufwand eine fehlersichere Einstellung der Betriebsart des Sicherheitssystems beziehungsweise der damit gesicherten Maschine ermöglicht wird.An essential advantage of the method according to the invention or of the safety system according to the invention is that a fail-safe adjustment of the operating mode of the safety system or the machine thus secured is made possible without any additional design effort.
Für diese Betriebsarteinstellung können bereits am Sicherheitssystem standardmäßig vorhandene Komponenten genutzt werden. Dies gilt insbesondere für die Eingabeeinheit, die vorteilhaft in Form eines Touchscreens oder mittels sogenannten Softkeys ausgebildet ist.For this operating mode setting, standard components can already be used on the safety system. This applies in particular to the input unit, which is advantageously designed in the form of a touchscreen or by means of so-called softkeys.
Die fehlersichere Auswahl und Einstellung einer Betriebsart wird insbesondere durch Fehlerkontrollen des Steuerungssystems gewährleistet, wobei diese als wesentliche Komponente eine Sicherheitssteuerung und besonders vorteilhaft eine nichtfehlersichere Steuerung aufweist.The fail-safe selection and setting of a mode of operation is ensured, in particular, by error checks of the control system, the latter having a safety control as an essential component and, particularly advantageously, a non-error-proof control.
Durch diese Fehlerkontrollen werden die Komponenten des Sicherheitssystems getestet und eventuelle Fehler aufgedeckt. Vorteilhaft hierbei ist, dass bei den Fehlerkontrollen in den einzelnen Komponenten, insbesondere der Eingabeeinheit, der nichtfehlersicheren Steuerung und Sicherheitssteuerung, synchrone Abläufe vorgesehen sind, wodurch parallele Kanäle erhalten werden, durch deren Vergleich mit hoher Sicherheit auftretende Fehler aufgedeckt werden können, und zwar im gesamten Sicherheitssystem, da bei den Fehlerkontrollen alle Komponenten des Sicherheitssystems umfasst sind.These error checks test the components of the safety system and detect any errors. The advantage here is that in the error controls in the individual components, in particular the input unit, the non-failsafe control and safety control, synchronous processes are provided, whereby parallel channels are obtained, can be detected by their comparison with high certainty occurring errors, in the whole Security system, as the error controls include all components of the security system.
Ein wesentlicher Aspekt der Erfindung besteht darin, dass das Zugangssystem eine zweikanalige, vorzugsweise diversitäre Ausgangsstruktur aufweist, so dass von dem Zugangssystem zweikanalig Signale in das Steuerungssystem eingelesen werden. Durch die Auswertung der Signale kann über die Sicherheitssteuerung kontrolliert werden, ob das Steuerungssystem, insbesondere die nichtfehlersichere Steuerung, sowie das Zugangssystem korrekt arbeiten.An essential aspect of the invention is that the access system has a two-channel, preferably diverse output structure, so that two-channel signals are read from the access system into the control system. By evaluating the signals, the safety controller can be used to check whether the control system, in particular the non-failsafe controller, and the access system work correctly.
Besonders vorteilhaft werden hierzu die Signale wenigstens eines Ausgangs des Zugangssystems in der Sicherheitssteuerung für eine Gültigkeitsüberprüfung herangezogen.For this purpose, the signals of at least one output of the access system in the security controller are particularly advantageously used for a validity check.
Weiter vorteilhaft werden Signale eines Ausgangskanals des Zugangssystems in der nichtfehlersicheren Steuerung ausgewertet, insbesondere derart, ob die Signale des Ausgangskanals gültig sind, was beispielsweise anhand einer Prüfsummenberechnung der Signale erfolgen kann. Die über den zweiten Ausgangskanal in die Sicherheitssteuerung eingelesenen Signale werden dann vorteilhaft für eine Zeitüberwachung derart genutzt, indem geprüft wird, ob die Signale des ersten Ausgangssignals in einem vorgegebenen Zeitfenster eingelesen werden. Durch diese diversitäre zweikanalige Überwachungsstruktur wird eine hohe Fehlersicherheit erreicht.Further advantageous signals of an output channel of the access system are evaluated in the non-error-safe control, in particular, whether the signals of the output channel are valid, which can be done for example on the basis of a checksum calculation of the signals. The read via the second output channel in the safety control signals are then advantageously used for a time monitoring such that it is checked whether the signals of the first output signal are read in a predetermined time window. This diversified dual-channel monitoring structure achieves a high level of fail-safety.
Gemäß einer besonders vorteilhaften Ausführungsform der Erfindung ist das Zugangssystem von einem elektronischen Schlüsselsystem, umfassend einen Schlüsseleinsatz und wenigstens einen Schlüssel, gebildet. Das Zugangssystem weist einen Datenausgang auf, über welchen Daten eines im Schlüsseleinsatz befindlichen Schlüssels in die nichtfehlersichere Steuerung eingelesen werden. Das Zugangssystem weist einen Schaltausgang auf, über welchen ein Schaltsignal, dessen Schaltzustände angeben, ob ein Schlüssel im Schlüsseleinsatz vorhanden ist oder nicht, in die Sicherheitssteuerung eingelesen wird.According to a particularly advantageous embodiment of the invention, the access system is formed by an electronic key system comprising a key insert and at least one key. The access system has a data output, via which data of a key used in the key insert are read into the non-failsafe controller. The access system has a switching output, via which a switching signal whose switching states indicate whether a key is present in the key insert or not is read into the safety controller.
Dies stellt eine besonders zweckmäßige Ausgestaltung einer diversitären zweikanaligen Ausgangsstruktur dar. Die nichtfehlersichere Steuerung, die keinen fehlersicheren Aufbau aufweist, ist gut geeignet, größere Datenmengen wie die vom Schlüssel eingelesenen Daten zu verarbeiten. Die Sicherheitssteuerung mit ihrem fehlersicheren Aufbau muss demgegenüber nur eine erheblich reduzierte Datenmenge verarbeiten, da das über den Schaltausgang des Zugangssystems eingelesene Schaltsignal ein binäres Signal ist. Soweit die Sicherheitssteuerung weitere Daten des Zugangssystems von der nichtfehlersicheren Steuerung zur Durchführung von Fehlerkontrollen benötigt, so werden diese in ein von der Sicherheitssteuerung verarbeitbares Format gewandelt. Generell werden dabei nur die für die Fehlerkontrolle erforderlichen Daten an die Sicherheitssteuerung gesendet, so dass die Datenmenge geringen gehalten werden kann. Somit ergibt sich eine zweckmäßige Arbeitsteilung für das Steuerungssystem derart, dass die nichtfehlersichere Steuerung zum Bearbeiten größerer Datenmengen genutzt wird, während in der Sicherheitssteuerung nur geringe Datenmengen verarbeitet werden müssen, so dass die Funktion der Sicherheitssteuerung auf die durchzuführenden Fehlerkontrollen begrenzt werden kann.This represents a particularly expedient embodiment of a diversified two-channel output structure. The non-failsafe controller, which has no fail-safe structure, is well suited to process larger amounts of data, such as the data read in by the key. By contrast, the safety controller with its fail-safe structure only has to process a considerably reduced amount of data since the switching signal read in via the switching output of the access system is a binary signal. Insofar as the security controller requires further data of the access system from the non-failsafe controller for performing error checks, these are converted into a format that can be processed by the security controller. In general, only the data required for the error control are sent to the safety controller, so that the amount of data can be kept low. Thus, an appropriate division of labor for the control system results in such a way that the non-failsafe controller is used for processing larger amounts of data, while only small amounts of data are processed in the security control must be so that the function of the safety control can be limited to the error controls to be performed.
Gemäß einer besonders vorteilhaften Ausführungsform der Erfindung wird als erste Gültigkeitsüberprüfung von Signalen des Zugangssystems bei Einlesen eines Schaltsignals, dessen Schaltzustand einen im Schlüsseleinsatz befindlichen Schlüssel signalisiert, in der Sicherheitssteuerung eine Zeiterwartung durch Öffnen eines Zeitintervalls gestartet. In der Sicherheitssteuerung wird geprüft, ob innerhalb dieses Zeitintervalls Daten des Schlüssels über den Datenausgang in die nichtfehlersichere Steuerung eingelesen wurden. Als zweite Gültigkeitsüberprüfung wird eine Prüfsummenberechnung der vom Datenausgang eingelesenen Daten des Schlüssels in der nichtfehlersicheren Steuerung durchgeführt.According to a particularly advantageous embodiment of the invention, as a first validation check of signals of the access system when reading a switching signal whose switching state signals a key located in the key insert, a time expectation in the safety control by opening a time interval is started. The safety controller checks whether, within this time interval, data of the key has been read into the non-failsafe controller via the data output. As a second validation check, a checksum calculation of the data read in from the data output of the key is performed in the non-failsafe controller.
Bei dieser Ausführungsform wird eine zweikanalige Überprüfungsstruktur realisiert, da Fehlerkontrollen nicht nur in der Sicherheitssteuerung, sondern auch in der nichtfehlersicheren Steuerung durchgeführt werden. Durch den synchronen Ablauf der Fehlerkontrollen und deren gegenseitige Kontrollen wird eine umfangreiche Testung des Steuerungssystems und des Zugangssystems realisiert.In this embodiment, a dual-channel verification structure is realized since error checks are performed not only in the safety control but also in the non-error-proof control. Through the synchronous execution of the error controls and their mutual checks, a comprehensive testing of the control system and the access system is realized.
Besonders vorteilhaft sendet die nichtfehlersichere Steuerung nach erfolgreicher Gültigkeitsüberprüfung ein Autorisierungssignal an die Eingabeeinheit, wodurch Eingaben an der Eingabeeinheit freigegeben werden.Particularly advantageously, the non-failsafe controller sends an authorization signal to the input unit after successful validation, thereby enabling input to the input unit.
Dies stellt eine zweckmäßige Arbeitsteilung innerhalb des Gesamtsystems deshalb dar, da die nichtfehlersichere Steuerung als zur Verarbeitung größerer Datenmengen ausgebildete Einheit den Datenverkehr mit der Eingabeeinheit übernimmt.This represents an expedient division of labor within the overall system, since the non-failsafe controller, as a unit designed to process larger amounts of data, handles the data traffic with the input unit.
Besonders vorteilhaft ist die Eingabeeinheit von einem Touchscreen oder durch sogenannte Softkeys gebildet.Particularly advantageously, the input unit is formed by a touchscreen or by so-called softkeys.
Dies stellt eine besonders komfortable, einfach bedienbare Oberfläche für einen Benutzer des Sicherheitssystems dar.This provides a particularly comfortable, easy-to-use interface for a user of the security system.
Obwohl die Eingabeeinheit und die zu deren Ansteuerung verwendete nichtfehlersichere Steuerung selbst keinen fehlersicheren Aufbau aufweisen, wird über diese Struktur eine fehlersichere Betriebsartauswahl gewährleistet. Dies beruht darauf, dass nicht nur die nichtfehlersichere Steuerung, sondern auch die Eingabeeinheit in das Gesamtsystem der Fehlerkontrolle integriert ist.Although the input unit and the non-fail-safe control used to drive them do not themselves have a fail-safe configuration, a fail-safe mode selection is ensured via this structure. This is due to the fact that not only the non-failsafe controller but also the input unit is integrated into the overall system of error control.
Eine erste Fehlerkontrolle besteht darin, dass eine Freigabe der Eingabeeinheit zur Durchführung von Eingaben durch einen Nutzer erst dann erfolgt, wenn in dem Steuerungssystem, insbesondere der nichtfehlersicheren Steuerung, die Gültigkeitsüberprüfung der vom Datenausgang des Zugangssystems durchgeführten Prüfsummenberechnung erfolgreich war und damit einfache Fehler auf dem nicht sicheren elektronischem Schlüssel erkannt werden können sowie ein Schutz gegen das Kopieren eines Schlüssels realisiert ist.A first error control is that a release of the input unit for making entries by a user only takes place in the control system, in particular the non-failsafe controller, the validity check of the checksum calculation performed by the data output of the access system was successful and thus simple errors on the secure electronic key can be recognized as well as protection against copying a key is realized.
Weiterhin wird in der nichtfehlersicheren Steuerung als Fehlerkontrolle geprüft, ob die ausgewählte Betriebsart in einem zulässigen Bereich liegt.Furthermore, it is checked in the non-failsafe control as error control whether the selected operating mode is within a permissible range.
Damit wird vom fehlersicheren Teil des Steuerungssystems direkt die Funktion der Eingabeeinheit geprüft. Zweckmäßigerweise ist in der Sicherheitssteuerung hierzu eine Liste zulässiger Eingaben hinterlegt. Diese Liste kann gegebenenfalls mit den vom Zugangssystem eingelesenen Daten abgeglichen werden, beispielsweise derart, dass je nach in den Daten enthaltener Zugriffsberechtigung nur noch eine Teilmenge der in der Sicherheitssteuerung hinterlegten Betriebsarten als von der Eingabeeinheit auswählbar markiert wird.Thus, the function of the input unit is checked directly by the fail-safe part of the control system. Conveniently, a list of permissible entries is stored in the safety control for this purpose. If appropriate, this list can be compared with the data read in by the access system, for example such that, depending on the access authorization contained in the data, only a subset of the operating modes stored in the security control can be selected as being selectable by the input unit.
Weiterhin wird zur Fehlerkontrolle einer ausgewählten Betriebsart diese auf die Eingabeeinheit rückgelesen.Furthermore, the error control of a selected mode, this is read back to the input unit.
Durch dieses Rücklesen wird einerseits dem Benutzer die Möglichkeit gegeben, zu prüfen, ob seine Eingabe korrekt war, beziehungsweise korrekt verarbeitet wurde. Weiterhin erfolgt durch das Überprüfen des Rücklesens in der Sicherheitssteuerung eine weitere Fehlerkontrolle der Eingabeeinheit und der diese steuerenden nichtfehlersicheren Steuerung.On the one hand, this readback gives the user the possibility of checking whether his input was correct or correctly processed has been. Furthermore, by checking the read back in the safety controller, another error control of the input unit and the non-fail-safe controller controlling it takes place.
Schließlich wird bei Aufdeckung eines Fehlers in dem Steuerungssystem eine Fehlerverrastung erzeugt.Finally, error detection is generated upon detection of an error in the control system.
Damit ist das Konzept der Fehlerkontrolle zur Gewährleistung einer sicheren Auswahl und einer sicheren Einstellung einer Betriebsart bei dem erfindungsgemäßen Sicherheitssystem komplettiert. Wesentlich ist, dass unabhängig davon, wo und an welcher Stelle des Sicherheitssystems ein Fehler aufgedeckt wird, sofort eine Fehlerverrastung erfolgt und das Gesamtsystem somit in einen sicheren Zustand übergeht. Dabei ist weiterhin wesentlich, dass im Sicherheitssystem bei Auftreten eines Fehlers nicht nur eine Fehlermeldung erfolgt, sondern eine Fehlerverrastung. Fehlerverrastung in diesem Zusammenhang bedeutet, dass bei Auftreten eines Fehlers die Prozedur für eine Betriebsartauswahl gestoppt wird, bis eine spezifische, applikationsspezifisch vorgebbare Aktion durchgeführt wurde, welche die Fehlerverrastung aufhebt.Thus, the concept of error control to ensure a safe selection and a safe setting of a mode in the security system according to the invention is completed. It is essential that regardless of where and at which point of the security system an error is detected, an error latching takes place immediately and the entire system thus enters a safe state. It is also essential that in the security system when an error occurs not only an error message, but a Fehlerverrastung. Error locking in this context means that if an error occurs, the procedure for a mode selection is stopped until a specific, application-specific predefinable action has been performed, which eliminates the error lock.
Die Erfindung wird im Folgenden anhand der Zeichnungen erläutert. Es zeigen:
- Figur 1:
- Schematische Darstellung eines Ausführungsbeispiels des erfindungsgemäßen Sicherheitssystems.
- Figur 2a-f:
- Ablaufdiagramm zur fehlersicheren Einstellung einer Betriebsart des Sicherheitssystems gemäß
.Figur 1
- FIG. 1:
- Schematic representation of an embodiment of the security system according to the invention.
- FIGS. 2a-f:
- Flow chart for fail-safe setting of an operating mode of the safety system according to
FIG. 1 ,
Mit der vom Steuerungssystem 2 gesteuerten Maschine 3 werden Arbeitsprozesse durchgeführt, die innerhalb eines Gefahrenbereichs um die Maschine 3 zu Gefährdungen von Personen führen können. Zur Absicherung des Gefahrenbereichs ist dieser mit einer nicht dargestellten Umzäunung oder Umhausung abgegrenzt. In der Umzäunung befindet sich eine ebenfalls nicht dargestellte Schutztür, über welche Personen Zugang zum Gefahrenbereich erhalten können.With the
Der Zugang zur Auswahl einer Betriebsart wird mittels eines Zugangssystems überwacht, welches im vorliegenden Fall von einem elektronischen Schlüsselsystem 6 gebildet ist. Dieses elektronische Schlüsselsystem 6 umfasst einen nicht dargestellten Schlüsseleinsatz und wenigstens einen diesem zugeordneten, ebenfalls nicht dargestellten Schlüssel. Der Schlüssel umfasst typischerweise einen Transponder, in dem ein Code enthalten ist. Im Schlüsseleinsatz ist eine Erkennungseinrichtung integriert, mittels derer berührungslos der Code im Schlüssel dann ausgelesen werden kann, wenn der Schlüssel in einer Eingriffsstellung im Schlüsseleinsatz ist. Der Code des Schlüssels kann Berechtigungsdaten sowie weitere prozessorientierte Informationen wie Parameter für den Betrieb der Maschine 3 enthalten.Access to the selection of an operating mode is monitored by means of an access system, which in the present case is formed by an electronic
Das elektronische Schlüsselsystem 6 weist, wie in
Die Eingabeeinheit 10 ist im vorliegenden Fall von einem Touchscreen gebildet. Über den Touchscreen können für den Betrieb des Sicherheitssystems 1 relevante Informationen eingegeben werden.The
Das Sicherheitssystem 1 gemäß
Erfindungsgemäß kann über die Eingabeeinheit 10 eine fehlersichere Auswahl einer Betriebsart vorgenommen werden. Die hierfür erforderlichen Verfahrensschritte sind im Ablaufdiagramm der
In einem ersten Schritt (Schritt Nr. 1 in
Durch das Einstecken des Schlüssels wird dann, wenn dieser vom Schlüsseleinsatz als gültiger Schlüssel erkannt wird, der Schaltzustand des Schaltsignals am Schaltausgang LA auf den Wert 1 gesetzt (Schritt Nr. 2). Dieses die Anwesenheit eines gültigen Schlüssels signalisierende Schaltsignal wird über den Schalteingang SI in die Sicherheitssteuerung 4 eingelesen.By inserting the key, if this is recognized by the key insert as a valid key, the switching state of the switching signal at the switching output LA is set to the value 1 (step no. 2). This switching signal indicating the presence of a valid key is read into the
Die vom Schlüsseleinsatz gelesenen Daten des Schlüssels werden hinsichtlich ihres Formats geprüft und dann, wenn diese Prüfung erfolgreich war, über den Datenausgang 7 eingelesen (Schritt Nr. 3).The data of the key read from the key insert is checked for its format and then, if this check was successful, read in via the data output 7 (step no. 3).
Mit dem Setzen des Schaltsignals auf den Wert 1, welches in die Sicherheitssteuerung 4 eingelesen wird, wird in der Sicherheitssteuerung 4 kontrolliert, ob die am Datenausgang 7 ausgelesenen Daten innerhalb eines vorgegebenen Zeitintervalls in die nichtfehlersichere Steuerung 5 eingelesen werden. Hierzu wird in der Sicherheitssteuerung 4 eine Zeiterwartung gestartet (Schritt Nr. 4). Dabei wird ein Zeitintervall vorgegebener Länge geöffnet und abgeprüft, ob innerhalb dieses Zeitintervalls die Daten des Schlüssels in die nichtfehlersichere Steuerung 5 eingelesen werden.With the setting of the switching signal to the
Dieses Einlesen (Schritt Nr. 5) erfolgt über die Busleitungen 8a des Bussystems. Dabei werden in bekannter Weise die Daten in einem festgelegten Eingangsbereich der nichtfehlersicheren Steuerung 5 eingelesen und dann in einen festgelegten Datenbereich der nichtfehlersicheren Steuerung 5 umkopiert.This reading (step no. 5) takes place via the
Als erste Fehlerkontrolle erfolgt in der nichtfehlersicheren Steuerung 5 eine Berechnung der Prüfsumme der Daten des Schlüssels (Schritt Nr. 6). Darauf wird geprüft, ob die Prüfsumme in Ordnung ist, das heißt ob sie einem zulässigen Wert entspricht (Schritt Nr. 7).The first error control is carried out in the
Als weitere Fehlerkontrolle wird in der Sicherheitssteuerung 4 geprüft, ob die Daten des elektronischen Schlüsselsystems 6 innerhalb des die Zeiterwartung definierenden Zeitintervalls in die nichtfehlersichere Steuerung 5 eingelesen werden. Da diese Daten nur in die nichtfehlersichere Steuerung 5 eingelesen werden, wird nach in der nichtfehlersicheren Steuerung 5 erfolgter Prüfsummenberechnung eine Berechtigungsstufe in der Variablen mit dem symbolischen Namen Read-Authorization für die eingelesenen Daten vergeben und in ein Merkerwort MW01 oder einen dementsprechenden Datenbereich eingeschrieben, das von der nichtfehlersicheren Steuerung 5 an die Sicherheitssteuerung 4 gesendet wird. Ein derartiges Merkerwort bildet ein von der Sicherheitssteuerung 4 lesbares Datenformat. Anhand dieses Merkerworts MW01 erfolgt dann in der Sicherheitssteuerung 4 die Prüfung, ob die Daten des Schlüssels innerhalb der Zeiterwartung empfangen wurden (Schritte Nr. 8 - 10).As a further error control, it is checked in the
Wird bei der Prüfsummenberechnung oder der Überwachung der Zeiterwartung ein Fehler festgestellt, so erfolgt eine Verzweigung in eine Fehlerverrastung. Bei Verzweigen in eine Fehlerverrastung wird die Betriebsartwahl sofort gestoppt und kann nur dann fortgesetzt werden, wenn der Benutzer eine vorgegebene Aktion durchführt, beispielsweise eine spezifische Eingabe am Touchscreen vornimmt.If an error is detected during the check sum calculation or the monitoring of the time expectation, a branch into an error lock occurs. When branching into an error lock mode selection is immediately stopped and can only be continued if the user performs a predetermined action, for example, makes a specific input on the touch screen.
Mit den vorgenannten Fehlerkontrollen kann kontrolliert werden, ob das elektronische Schlüsselsystem 6 und das Steuerungssystem 2, insbesondere die nichtfehlersichere Steuerung 5, korrekt arbeiten. Insbesondere kann auf diese Weise geprüft werden, ob im Schlüsseleinsatz überhaupt ein Schlüssel vorhanden ist. Ist nämlich kein Schlüssel im Schlüsseleinsatz vorhanden, werden keine Daten in die Sicherheitssteuerung 4 übertragen, so dass dann die Prüfsumme den unzulässigen Wert Null annimmt, wodurch eine Verzweigung in die Fehlerverrastung erfolgt.With the aforementioned error checks can be checked whether the electronic
Entspricht die Prüfsumme einem zulässigen Wert, so wird die Berechtigungsstufe von der Sicherheitssteuerung 4 an die Eingabeeinheit 10 gesendet (Schritt Nr. 11), wodurch die Eingabeeinheit 10 für die Auswahl einer Betriebsart freigegeben wird (Schritt Nr. 12). In der Eingabeeinheit 10 wird hierzu vorteilhaft ein Bild aufgebaut, über welches ein Benutzer eine Betriebsart auswählen kann.If the checksum corresponds to an allowable value, the permission level is sent from the
Die vom Benutzer ausgewählte Betriebsart wird in der Eingabeeinheit 10 der Variablen mit dem symbolischen Namen Select-MSO zugewiesen und dann an die nichtfehlersichere Steuerung 5 gesendet. In der nichtfehlersicheren Steuerung 5 wird die gewählte Betriebsart in das Merkerwort MW03 kopiert, das von der Sicherheitssteuerung 4 gelesen werden kann. Dieses Merkerwort MW03 wird dann von der nichtfehlersicheren Steuerung 5 an die Sicherheitssteuerung 4 gesendet (Schritt Nr. 14).The user-selected mode is assigned in the
In der Sicherheitssteuerung 4 wird weiterhin abgefragt, ob von der nichtfehlersicheren Steuerung 5 neue Daten übersendet werden. Dies wird in der Sicherheitssteuerung 4 dadurch festgestellt, dass im Merkerwort MW01 ein Wert ungleich Null erscheint (Schritt Nr. 15).In the
Schließlich wird in den Schritten Nr. 16 und 17 in der Sicherheitssteuerung 4 geprüft, ob im Merkerwort MW03 ein zulässiger Code erscheint, und damit, ob die gewählte Betriebsart in einem zulässigen Bereich liegt (Schritte Nr. 16, 17).Finally, steps Nos. 16 and 17 in the
Hierzu ist in der Sicherheitssteuerung 4 eine Liste zulässiger Betriebsarten hinterlegt. Dann kann in der Sicherheitssteuerung 4 durch einen einfachen Vergleich des eingelesenen Merkerworts MW03 mit der gespeicherten Liste ermittelt werden, ob eine zulässige Betriebsart gewählt worden ist.For this purpose, a list of permissible operating modes is stored in the
Liegt keine zulässige Betriebsart vor, erfolgt eine Verzweigung in eine Fehlerverrastung.If there is no permissible operating mode, a branch takes place into an error lock.
Liegt jedoch eine zulässige Betriebsart vor, so wird in der Sicherheitssteuerung 4 die zulässige Betriebsart, das heißt der Inhalt des Merkerworts MW03 in das Merkerwort MW05 kopiert, das dann an die nichtfehlersichere Steuerung 5 gesendet wird (Schritte Nr. 18, 19).However, if there is an allowable mode, in the
Dieses Merkerwort MW05 wird dann von der nichtfehlersicheren Steuerung 5 an die Eingabeeinheit 10 gesendet. Dort wird die ausgewählte Betriebsart dem Benutzer angezeigt (Schritt Nr. 20). Diese Anzeige erfolgt in einem anderen Bild als in dem Bild, in dem der Benutzer die Betriebsartauswahl vorgenommen hat. Dies ist eine Voraussetzung für ein sicheres Rücklesen der ausgewählten Betriebsart. Eine zweite Voraussetzung hierfür ist, dass das Rücklesen, in eine Variable (hier MW05) erfolgt, die von der Variable für das Einlesen der Betriebsart (hier MW03) verschieden ist.This flag word MW05 is then sent from the
Sobald dem Benutzer die ausgewählte Betriebsart durch das Rücklesen auf die Eingabeeinheit 10 angezeigt wurde, muss die Auswahl vom Benutzer durch eine Eingabe an der Eingabeeinheit 10 bestätigt werden (Schritt Nr. 21).Once the user has been presented with the selected mode by reading back on the
Bei einer negativen Bestätigung wird in der Eingabeeinheit 10 eine Fehlervariable mit dem symbolischen Namen ErrorMSO gesetzt, wodurch eine Verzweigung in eine Fehlerverrastung erfolgt (Schritt Nr. 23).In the case of a negative acknowledgment, an error variable with the symbolic name ErrorMSO is set in the
Bei einer positiven Bestätigung wird in der Eingabeeinheit 10 eine Variable mit dem symbolischen Namen SwitchMSO gesetzt (Schritt Nr. 22) und über das Bussystem an die nichtfehlersichere Steuerung 5 gesendet. Die so gewählte Betriebsart wird dann in das Merkerwort MW07 kopiert und an die Sicherheitssteuerung 4 gesendet (Schritt Nr. 24).In the case of a positive acknowledgment, a variable with the symbolic name SwitchMSO is set in the input unit 10 (step No. 22) and sent to the
In der Sicherheitssteuerung 4 erfolgt dann ein Vergleich, ob die ausgewählte Betriebsart (enthalten im Merkerwort MW03) der bestätigten Betriebsart (enthalten im Merkerwort MW07) entspricht (Schritt Nr. 25).A comparison is then made in the
Sind diese Werte unterschiedlich, erfolgt eine Verzweigung in eine Fehlerverrastung.If these values are different, a branch into an error lock occurs.
Sind jedoch beide Werte identisch, führt die Sicherheitssteuerung 4 eine Umschaltung auf die ausgewählte Betriebsart durch, wobei hierzu von der Sicherheitssteuerung 4 entsprechende Ausgänge des Steuerungssystems 2 gesetzt werden (Schritt Nr. 26).However, if both values are identical, the
Die gesamte beschriebene Kette wird ebenfalls durchlaufen, wenn der Schlüssel herausgezogen wird. Hierbei müssen alle Variablen den Wert 0 annehmen. Der Ausgang LA muss zeitglich zurückgesetzt werden. Somit wird durch Prüfung in der sicheren Steuerung 4 sichergestellt, dass keine Werte in den nicht sicheren Teilen der Steuerung 5 sowie des Eingabesystems 10 gespeichert bleiben können. Damit erfolgt eine Funktionskontrolle aller Komponenten des Sicherheitssystems 1.The entire described chain will also pass through as the key is pulled out. Here, all variables must assume the
- (1)(1)
- Sicherheitssystemsecurity system
- (2)(2)
- Steuerungssystemcontrol system
- (3)(3)
- Maschinemachine
- (4)(4)
- Sicherheitssteuerungsafety control
- (5)(5)
- nichtfehlersichere Steuerungnon-failsafe control
- (6)(6)
- elektronisches Schlüsselsystemelectronic key system
- (7)(7)
- Datenausgangdata output
- (8a-b)(8a-b)
- Busleitungbus line
- (9a-c)(9a-c)
- Leitungmanagement
- (10)(10)
- Eingabeeinheitinput unit
- (LA)(LA)
- Schaltausgangswitching output
- (SI)(SI)
- Schalteingangswitching input
Claims (16)
- Method of setting an operating mode of a safety system (1), comprising an access system which is connected with a control system (2) controlling a machine (3), wherein the control system (2) comprises a safety control (4), characterised by the following method steps:- twin-channel reading-out of signals of the access system into the control system (2),- carrying out a validity check of the signals of the access system in the control system (2),- wherein the control system (2) releases the selection of an operating mode by way of an input unit (10) only when valid signals of the access system are present,- performing a fault check of the selection of the operating mode in the safety control (4), and- switching over to the selected operating mode by the safety control (4) after positive performance of a fault check.
- Method according to claim 1, characterised in that the access system has a diversified output structure.
- Method according to one of claims 1 and 2, characterised in that the signals of at least one output of the access system are utilised in the safety control (4) for a validity check.
- Method according to any one of claims 1 to 3, characterised in that the safety system (1) comprises in addition to the safety control (4) a non-failsafe control (5), wherein the non-failsafe control (5) controls the input unit (10) and wherein the signals of a first output of the access system are read into non-failsafe control (5) and the signals of the second output of the access system are read into the safety control (4).
- Method according to claim 4, characterised in that the access system is formed by an electronic key system (6) comprising a key insert and at least one key, that the access system has a data output (7) by way of which data of a key present in the key insert are read into the non-failsafe control (5), and that the access system has a switching output (LA) by way of which a switching signal, the switching states of which indicate whether or not a key is present in the key insert, is read into the safety control (4).
- Method according to claim 5, characterised in that an expectation time period is started in the safety control (4), by opening a time interval, as first validity check of signals of the access system when reading-in a switching signal having a switching state signalling a key present in the key insert and that it is checked in the safety control (4) whether within this time interval data of the key have been read by way of the data output (7) into the non-failsafe control (5).
- Method according to claim 6, characterised in that a test sum computation of the data, which are read-in from the data output (7), of the key is carried out as a second validity check in non-failsafe control (5).
- Method according to claim 7, characterised in that the non-failsafe control (5) transmits an authorisation signal to the input unit (10) after a successful validity check, whereby inputs at the input unit (10) are released.
- Method according to any one of claims 1 to 3, characterised in that the input unit (10) is formed by a touchscreen.
- Method according to claim 9, characterised in that after receipt of the authorisation signal an image, in which a mode of operation can be selected, is formed or made accessible in the touchscreen.
- Method according to any one of claims 1 to 10, characterised in that it is checked as fault check in the non-failsafe control (5) whether the selected mode of operation lies in a permissible range.
- Method according to any one of claims 1 to 11, characterised in that for the fault control of a selected operating mode this is fed back to the input unit (10).
- Method according to claim 12, characterised in that the selected operating mode and the read-back operating mode are displayed in different images of the input unit (10).
- Method according to any one of claims 1 to 13, characterised in that on discovery of a fault in the control system (2) a fault lock is generated.
- Method according to any one of claims 5 to 14, characterised in that when a key is drawn out of the key insert of the key system (6) a function check of all components of the safety system (1) is carried out.
- Safety system (1) comprising an access system which is connected with a control system (2) controlling a machine, wherein the control system (2) comprises a safety control (4), characterised in that the access system has a twin-channel output structure configured to read out signals into the control system (2), that the control system (2) is configured to carry out a validity check of the signals of the access system, wherein the control system (2) is configured to release selection of an operating mode by way of an input unit (10) if valid signals of the access system are present, that the safety control (4) is configured to perform a fault check of the selection of the operating mode and that the safety system (4) is configured to undertake switching-over to the selected operating mode after positive performance of the fault check.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102015114717.3A DE102015114717A1 (en) | 2015-09-03 | 2015-09-03 | Method for setting an operating mode of a safety system |
Publications (3)
Publication Number | Publication Date |
---|---|
EP3139354A2 EP3139354A2 (en) | 2017-03-08 |
EP3139354A3 EP3139354A3 (en) | 2017-03-15 |
EP3139354B1 true EP3139354B1 (en) | 2019-10-30 |
Family
ID=56801380
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
EP16183331.4A Active EP3139354B1 (en) | 2015-09-03 | 2016-08-09 | Method for adjusting an operating mode of a security system |
Country Status (3)
Country | Link |
---|---|
EP (1) | EP3139354B1 (en) |
DE (1) | DE102015114717A1 (en) |
ES (1) | ES2764983T3 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3598398A1 (en) | 2018-07-18 | 2020-01-22 | EUCHNER GmbH + Co. KG | Access system |
DE202019104521U1 (en) | 2019-08-16 | 2019-09-03 | Euchner Gmbh + Co. Kg | Device for selecting an operating mode of a safety system |
IT201900018986A1 (en) * | 2019-10-16 | 2021-04-16 | Simone Borsato | "Industrial security system" |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10336814A1 (en) * | 2003-08-11 | 2005-03-10 | Bosch Gmbh Robert | Electronic device with user recognition |
DE10353210A1 (en) * | 2003-11-13 | 2005-06-16 | Siemens Ag | Secure entry of input values |
JP4881095B2 (en) * | 2006-07-28 | 2012-02-22 | 株式会社東海理化電機製作所 | Key system |
DE202008017893U1 (en) * | 2008-03-07 | 2010-10-28 | Sick Ag | Device for programming and / or configuring a safety controller |
DE102008060011A1 (en) * | 2008-11-25 | 2010-05-27 | Pilz Gmbh & Co. Kg | Safety control and method for controlling an automated plant |
US20140191843A1 (en) * | 2013-01-04 | 2014-07-10 | Caterpillar Inc | Machine security system |
CN104678806A (en) * | 2015-01-29 | 2015-06-03 | 广东美的厨房电器制造有限公司 | Household electrical appliance and safety control method and safety control device thereof |
-
2015
- 2015-09-03 DE DE102015114717.3A patent/DE102015114717A1/en not_active Withdrawn
-
2016
- 2016-08-09 EP EP16183331.4A patent/EP3139354B1/en active Active
- 2016-08-09 ES ES16183331T patent/ES2764983T3/en active Active
Non-Patent Citations (1)
Title |
---|
None * |
Also Published As
Publication number | Publication date |
---|---|
ES2764983T3 (en) | 2020-06-05 |
EP3139354A3 (en) | 2017-03-15 |
DE102015114717A1 (en) | 2017-03-09 |
EP3139354A2 (en) | 2017-03-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2900581B1 (en) | Method for resetting a safety system of an elevator installation | |
WO2006125404A1 (en) | Method for adjusting an electric field device | |
EP3139354B1 (en) | Method for adjusting an operating mode of a security system | |
EP3709166B1 (en) | Method and system for secure signal manipulation for testing integrated security functionalities | |
DE102011088236A1 (en) | Method for operating field device using process automation technique, involves determining test value based on characteristic properties of field device and providing field device present state, after restart of field device | |
EP1760623A2 (en) | Safety equipment for electronic equipment | |
DE19963208A1 (en) | Manipulation detection of programmable memory device in digital controller involves checking information about programming/reprogramming process stored in separate memory area | |
EP3715979A1 (en) | Access control system for controlling the access of a user to one or more operating functions of a technical system | |
CH714507A1 (en) | Protective device for a production plant and method for operating such a protective device. | |
EP1683016B1 (en) | Secure recording of input values | |
EP3499324B1 (en) | Method of modular verification of a configuration of a device | |
EP2405317B1 (en) | Method for entering parameters for a security device securely | |
DE102018202626A1 (en) | Method for the computer-aided parameterization of a technical system | |
EP1444659A2 (en) | Security device | |
DE202019104521U1 (en) | Device for selecting an operating mode of a safety system | |
EP2315084B1 (en) | Error-proof locking system | |
EP3779899A1 (en) | Control device | |
EP1760558B1 (en) | System and method for assessing the safety of a technical system | |
DE102019108975A1 (en) | Operation of a technical system | |
DE102007009141A1 (en) | Safety device and safety method with several processing stages | |
DE102017117137A1 (en) | Elevator control, elevator installation and method for operating an elevator installation | |
DE102007062915A1 (en) | Storage programmable control i.e. digitally operated electronic system, operating method for controlling automation system, involves switching functional block at feasible state if external information corresponds to internal information | |
EP4016208A1 (en) | Method for controlling an actuator of a device with a computing unit | |
DE102012215959A1 (en) | Carrying out an operation in a signal system | |
DE102021119825A1 (en) | Safety device and method of operating a safety device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PUAI | Public reference made under article 153(3) epc to a published international application that has entered the european phase |
Free format text: ORIGINAL CODE: 0009012 |
|
STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: THE APPLICATION HAS BEEN PUBLISHED |
|
PUAL | Search report despatched |
Free format text: ORIGINAL CODE: 0009013 |
|
AK | Designated contracting states |
Kind code of ref document: A2 Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR |
|
AX | Request for extension of the european patent |
Extension state: BA ME |
|
AK | Designated contracting states |
Kind code of ref document: A3 Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR |
|
AX | Request for extension of the european patent |
Extension state: BA ME |
|
RIC1 | Information provided on ipc code assigned before grant |
Ipc: G07C 9/00 20060101AFI20170207BHEP Ipc: G05B 19/042 20060101ALI20170207BHEP |
|
STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE |
|
17P | Request for examination filed |
Effective date: 20170309 |
|
RBV | Designated contracting states (corrected) |
Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR |
|
GRAP | Despatch of communication of intention to grant a patent |
Free format text: ORIGINAL CODE: EPIDOSNIGR1 |
|
STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: GRANT OF PATENT IS INTENDED |
|
GRAJ | Information related to disapproval of communication of intention to grant by the applicant or resumption of examination proceedings by the epo deleted |
Free format text: ORIGINAL CODE: EPIDOSDIGR1 |
|
STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE |
|
INTG | Intention to grant announced |
Effective date: 20190613 |
|
GRAP | Despatch of communication of intention to grant a patent |
Free format text: ORIGINAL CODE: EPIDOSNIGR1 |
|
STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: GRANT OF PATENT IS INTENDED |
|
INTC | Intention to grant announced (deleted) | ||
INTG | Intention to grant announced |
Effective date: 20190729 |
|
GRAS | Grant fee paid |
Free format text: ORIGINAL CODE: EPIDOSNIGR3 |
|
GRAA | (expected) grant |
Free format text: ORIGINAL CODE: 0009210 |
|
STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: THE PATENT HAS BEEN GRANTED |
|
RBV | Designated contracting states (corrected) |
Designated state(s): AT CH DE ES FR GB IT LI SE |
|
AK | Designated contracting states |
Kind code of ref document: B1 Designated state(s): AT CH DE ES FR GB IT LI SE |
|
REG | Reference to a national code |
Ref country code: GB Ref legal event code: FG4D Free format text: NOT ENGLISH |
|
REG | Reference to a national code |
Ref country code: CH Ref legal event code: EP |
|
REG | Reference to a national code |
Ref country code: CH Ref legal event code: NV Representative=s name: ROTTMANN, ZIMMERMANN + PARTNER AG, CH Ref country code: AT Ref legal event code: REF Ref document number: 1196971 Country of ref document: AT Kind code of ref document: T Effective date: 20191115 |
|
REG | Reference to a national code |
Ref country code: DE Ref legal event code: R096 Ref document number: 502016007288 Country of ref document: DE |
|
REG | Reference to a national code |
Ref country code: SE Ref legal event code: TRGR |
|
REG | Reference to a national code |
Ref country code: ES Ref legal event code: FG2A Ref document number: 2764983 Country of ref document: ES Kind code of ref document: T3 Effective date: 20200605 |
|
REG | Reference to a national code |
Ref country code: DE Ref legal event code: R097 Ref document number: 502016007288 Country of ref document: DE |
|
PLBE | No opposition filed within time limit |
Free format text: ORIGINAL CODE: 0009261 |
|
STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT |
|
26N | No opposition filed |
Effective date: 20200731 |
|
PGFP | Annual fee paid to national office [announced via postgrant information from national office to epo] |
Ref country code: IT Payment date: 20230825 Year of fee payment: 8 Ref country code: GB Payment date: 20230822 Year of fee payment: 8 Ref country code: CH Payment date: 20230902 Year of fee payment: 8 Ref country code: AT Payment date: 20230822 Year of fee payment: 8 |
|
PGFP | Annual fee paid to national office [announced via postgrant information from national office to epo] |
Ref country code: SE Payment date: 20230821 Year of fee payment: 8 Ref country code: FR Payment date: 20230825 Year of fee payment: 8 Ref country code: DE Payment date: 20230620 Year of fee payment: 8 |
|
PGFP | Annual fee paid to national office [announced via postgrant information from national office to epo] |
Ref country code: ES Payment date: 20231027 Year of fee payment: 8 |