EP3139354B1 - Method for adjusting an operating mode of a security system - Google Patents

Method for adjusting an operating mode of a security system Download PDF

Info

Publication number
EP3139354B1
EP3139354B1 EP16183331.4A EP16183331A EP3139354B1 EP 3139354 B1 EP3139354 B1 EP 3139354B1 EP 16183331 A EP16183331 A EP 16183331A EP 3139354 B1 EP3139354 B1 EP 3139354B1
Authority
EP
European Patent Office
Prior art keywords
control
key
safety
access system
operating mode
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
EP16183331.4A
Other languages
German (de)
French (fr)
Other versions
EP3139354A3 (en
EP3139354A2 (en
Inventor
Jens Rothenburg
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Euchner GmbH and Co KG
Original Assignee
Euchner GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Euchner GmbH and Co KG filed Critical Euchner GmbH and Co KG
Publication of EP3139354A2 publication Critical patent/EP3139354A2/en
Publication of EP3139354A3 publication Critical patent/EP3139354A3/en
Application granted granted Critical
Publication of EP3139354B1 publication Critical patent/EP3139354B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C2009/00968Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys shape of the data carrier
    • G07C2009/00992Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys shape of the data carrier mechanical key

Definitions

  • the invention relates to a method for setting an operating mode of a security system and to a security system for carrying out the method.
  • Such a security system generally includes a control system that controls a machine.
  • the machine can pose a risk to persons.
  • An essential security element here is an access system connected to the control system, by means of which a controlled access to security-relevant control functions is monitored.
  • Such an access system may for example be formed by an electronic key system.
  • This electronic key system comprises a key insert and at least one key associated therewith.
  • the key typically includes a transponder in which a code is contained.
  • a recognition device is integrated, by means of which the code in the key can then be read out without contact, when the key is in an engaged position in the key insert.
  • the code of the key may include a control signal for starting or stopping the machine.
  • the code may contain authorization data or process-oriented information such as parameters for the operation of the machine.
  • the danger zone of the machine is secured with a protective cover or fencing.
  • a protective door In the fence is then a protective door.
  • the machine can be used in different operating modes.
  • a first operating mode is the automatic mode. In this safety mode, no person may be in the danger zone and the protective door is closed. In this automatic mode of operation of the machine is fully released, so that in particular also work operations are carried out, which could lead to hazards to persons in the danger zone.
  • other modes are possible in which the safety monitoring is bypassed. In such modes, for example, authorized persons can be granted access to the danger zone by appropriate codes of keys, for example to carry out repair or installation work there. Depending on the operating mode, the machine can then be stopped completely or driven in a restricted operating mode, for example at reduced speed.
  • the respective mode is selected via one or more keyswitch on the machine.
  • the disadvantage here is that the keys can be easily copied and control over the access is not guaranteed.
  • the DE 103 36 814 A1 relates to an electronic device with at least one operating device for controlling the electronic device, in which a device for identifying a user is configured such that the user when operating the electronic device for controlling the electronic Device is automatically identified. This makes it possible to propose to the user depending on his identity functions and / or function selections for selection or to execute them.
  • the DE 10 2008 060 011 A1 relates to a safety controller and method for controlling an automated system comprising a plurality of sensors and a plurality of actuators.
  • the invention has for its object to provide a method and a security system, by means of which a reliable mode setting is made possible with low design effort.
  • the invention relates to a security system for carrying out the method according to the invention.
  • An essential advantage of the method according to the invention or of the safety system according to the invention is that a fail-safe adjustment of the operating mode of the safety system or the machine thus secured is made possible without any additional design effort.
  • the fail-safe selection and setting of a mode of operation is ensured, in particular, by error checks of the control system, the latter having a safety control as an essential component and, particularly advantageously, a non-error-proof control.
  • error checks test the components of the safety system and detect any errors.
  • the advantage here is that in the error controls in the individual components, in particular the input unit, the non-failsafe control and safety control, synchronous processes are provided, whereby parallel channels are obtained, can be detected by their comparison with high certainty occurring errors, in the whole Security system, as the error controls include all components of the security system.
  • the access system has a two-channel, preferably diverse output structure, so that two-channel signals are read from the access system into the control system.
  • the safety controller can be used to check whether the control system, in particular the non-failsafe controller, and the access system work correctly.
  • the signals of at least one output of the access system in the security controller are particularly advantageously used for a validity check.
  • Further advantageous signals of an output channel of the access system are evaluated in the non-error-safe control, in particular, whether the signals of the output channel are valid, which can be done for example on the basis of a checksum calculation of the signals.
  • the read via the second output channel in the safety control signals are then advantageously used for a time monitoring such that it is checked whether the signals of the first output signal are read in a predetermined time window.
  • the access system is formed by an electronic key system comprising a key insert and at least one key.
  • the access system has a data output, via which data of a key used in the key insert are read into the non-failsafe controller.
  • the access system has a switching output, via which a switching signal whose switching states indicate whether a key is present in the key insert or not is read into the safety controller.
  • the non-failsafe controller which has no fail-safe structure, is well suited to process larger amounts of data, such as the data read in by the key.
  • the safety controller with its fail-safe structure only has to process a considerably reduced amount of data since the switching signal read in via the switching output of the access system is a binary signal.
  • the security controller requires further data of the access system from the non-failsafe controller for performing error checks, these are converted into a format that can be processed by the security controller. In general, only the data required for the error control are sent to the safety controller, so that the amount of data can be kept low.
  • a time expectation in the safety control by opening a time interval is started.
  • the safety controller checks whether, within this time interval, data of the key has been read into the non-failsafe controller via the data output.
  • a checksum calculation of the data read in from the data output of the key is performed in the non-failsafe controller.
  • a dual-channel verification structure is realized since error checks are performed not only in the safety control but also in the non-error-proof control. Through the synchronous execution of the error controls and their mutual checks, a comprehensive testing of the control system and the access system is realized.
  • the non-failsafe controller sends an authorization signal to the input unit after successful validation, thereby enabling input to the input unit.
  • the input unit is formed by a touchscreen or by so-called softkeys.
  • This provides a particularly comfortable, easy-to-use interface for a user of the security system.
  • the input unit and the non-fail-safe control used to drive them do not themselves have a fail-safe configuration, a fail-safe mode selection is ensured via this structure. This is due to the fact that not only the non-failsafe controller but also the input unit is integrated into the overall system of error control.
  • a first error control is that a release of the input unit for making entries by a user only takes place in the control system, in particular the non-failsafe controller, the validity check of the checksum calculation performed by the data output of the access system was successful and thus simple errors on the secure electronic key can be recognized as well as protection against copying a key is realized.
  • the function of the input unit is checked directly by the fail-safe part of the control system.
  • a list of permissible entries is stored in the safety control for this purpose. If appropriate, this list can be compared with the data read in by the access system, for example such that, depending on the access authorization contained in the data, only a subset of the operating modes stored in the security control can be selected as being selectable by the input unit.
  • this readback gives the user the possibility of checking whether his input was correct or correctly processed has been. Furthermore, by checking the read back in the safety controller, another error control of the input unit and the non-fail-safe controller controlling it takes place.
  • error detection is generated upon detection of an error in the control system.
  • FIG. 1 schematically shows the structure of an embodiment of the security system according to the invention 1.
  • the security system 1 comprises a control system 2, which controls the operation of a machine 3.
  • the control system 2 comprises a safety controller 4, which may be formed by a fail-safe PLC control.
  • the control system 2 comprises a non-failsafe controller 5 formed by a non-fail-safe PLC controller.
  • Access to the selection of an operating mode is monitored by means of an access system, which in the present case is formed by an electronic key system 6.
  • This electronic key system 6 comprises a key insert, not shown, and at least one assigned thereto, also not shown key.
  • the key typically includes a transponder in which a code is contained.
  • a recognition device is integrated, by means of which the code in the key can then be read out without contact, when the key is in an engaged position in the key insert.
  • the code of the key may include authorization data as well as other process-oriented information such as parameters for the operation of the machine 3.
  • the electronic key system 6 has, as in FIG. 1 shown, a diverse, two-channel output structure on. This comprises a data output 7, via which data of the key used in the key insert can be read out. Furthermore, a switching output LA is provided, via which a binary switching signal can be read out. The switching states of the switching signal indicate whether or not a key is engaged with the key insert. How out FIG. 1 can be seen, the switching signal of the electronic key system 6 is read via a switching input SI in the safety controller 4. In contrast, the data of the data output 7 are read into the non-failsafe controller 5 via bus lines 8a of a bus system.
  • the input unit 10 is formed in the present case of a touch screen. Via the touch screen 1 relevant information can be entered for the operation of the security system.
  • the security system 1 according to FIG. 1 can be operated in several operating modes.
  • a first operating mode is the automatic mode. In this automatic mode, no person may be in the danger zone and the protective door is closed so that people are prevented from entering the danger zone. In this automatic mode of operation of the machine 3 is fully released, so that with this particular work operations are performed, which could lead to hazards to persons in the danger area.
  • other modes are possible in which the safety monitoring is bypassed. In such modes, for example, authorized persons can be granted access to the danger zone by appropriate codes of keys, for example to carry out repair or installation work there.
  • the machine 3 can then be stopped completely or driven in a restricted operating mode, for example at a reduced speed.
  • a fail-safe selection of an operating mode can be carried out via the input unit 10.
  • the process steps required for this purpose are shown in the flowchart of FIGS. 2a-f summarized.
  • a key is inserted into the key insert of the electronic key system 6, so that the key insert contactless read the data of the key.
  • the switching state of the switching signal at the switching output LA is set to the value 1 (step no. 2).
  • This switching signal indicating the presence of a valid key is read into the safety controller 4 via the switching input SI.
  • the data of the key read from the key insert is checked for its format and then, if this check was successful, read in via the data output 7 (step no. 3).
  • the safety controller 4 With the setting of the switching signal to the value 1, which is read into the safety controller 4, it is checked in the safety controller 4 whether the data read out at the data output 7 are read into the non-failsafe controller 5 within a predetermined time interval. For this purpose, a time expectation is started in the safety controller 4 (step no. 4). In this case, a time interval of predetermined length is opened and checked as to whether the data of the key are read into the non-failsafe controller 5 within this time interval.
  • This reading takes place via the bus lines 8a of the bus system.
  • the data are read in a defined input range of the non-failsafe controller 5 in a known manner and then copied into a specified data area of the non-failsafe controller 5.
  • the first error control is carried out in the non-failsafe controller 5, a calculation of the checksum of the data of the key (step no. 6). Then it checks whether the checksum is correct, that is, whether it corresponds to a permissible value (step no. 7).
  • a branch into an error lock occurs.
  • branching into an error lock mode selection is immediately stopped and can only be continued if the user performs a predetermined action, for example, makes a specific input on the touch screen.
  • the permission level is sent from the security controller 4 to the input unit 10 (step # 11), thereby enabling the input unit 10 for selecting a mode (step # 12).
  • the input unit 10 an image is advantageously constructed for this purpose, via which a user can select an operating mode.
  • the user-selected mode is assigned in the input unit 10 to the variable with the symbolic name Select-MSO and then sent to the non-failsafe controller 5.
  • the selected mode is copied to the flag word MW03, which can be read by the safety controller 4. This flag word MW03 is then sent from the non-failsafe controller 5 to the security controller 4 (step # 14).
  • the safety controller 4 is further queried whether 5 new data are sent from the non-failsafe controller. This is determined in the safety controller 4 by the fact that in the flag word MW01 a value not equal to zero appears (step No. 15).
  • steps Nos. 16 and 17 in the safety controller 4 are checked to see if a permissible code appears in the flag word MW03, and thus whether the selected mode is within an allowable range (Steps Nos. 16, 17).
  • a list of permissible operating modes is stored in the safety controller 4. Then it can be determined in the safety controller 4 by a simple comparison of the read flag word MW03 with the stored list, whether an allowable mode has been selected.
  • the allowable mode that is, the content of the flag word MW03 is copied to the flag word MW05, which is then sent to the non-fail safe controller 5 (steps Nos. 18, 19).
  • This flag word MW05 is then sent from the non-failsafe controller 5 to the input unit 10.
  • There the selected operating mode is displayed to the user (step no. 20). This display takes place in another picture than in the picture in which the user made the mode selection. This is a prerequisite for a safe reading back of the selected operating mode. A second prerequisite for this is that reading back into a variable (here MW05) takes place that differs from the variable for reading in the operating mode (here MW03).
  • an error variable with the symbolic name ErrorMSO is set in the input unit 10, as a result of which a branch into an error lock is made (step no. 23).
  • a variable with the symbolic name SwitchMSO is set in the input unit 10 (step No. 22) and sent to the non-failsafe controller 5 via the bus system.
  • the thus selected mode is then copied to the flag word MW07 and sent to the safety controller 4 (step # 24).
  • a comparison is then made in the safety controller 4 as to whether the selected operating mode (contained in the flag word MW03) corresponds to the confirmed operating mode (contained in the flag word MW07) (step no. 25).
  • the safety controller 4 performs a changeover to the selected operating mode, for which purpose corresponding outputs of the control system 2 are set by the safety controller 4 (step No. 26).

Description

Die Erfindung betrifft ein Verfahren zur Einstellung einer Betriebsart eines Sicherheitssystems sowie ein Sicherheitssystem zur Durchführung des Verfahrens.The invention relates to a method for setting an operating mode of a security system and to a security system for carrying out the method.

Ein derartiges Sicherheitssystem umfasst generell ein Steuerungssystem, das eine Maschine steuert. Von der Maschine können Gefahren für Personen ausgehen. Als Sicherheitsmaßnahme wird daher ein Gefahrenbereich an der Maschine überwacht. Ein wesentliches Sicherheitselement bildet hierbei ein an das Steuerungssystem angeschlossenes Zugangssystem, mittels dessen ein kontrollierter Zugang zu sicherheitsrelevanten Steuerungsfunktionen überwacht wird. Ein derartiges Zugangssystem kann beispielsweise von einem elektronischen Schlüsselsystem gebildet sein. Dieses elektronische Schlüsselsystem umfasst einen Schlüsseleinsatz und wenigstens einen diesem zugeordneten Schlüssel. Der Schlüssel umfasst typischerweise einen Transponder, in dem ein Code enthalten ist. Im Schlüsseleinsatz ist eine Erkennungseinrichtung integriert, mittels derer berührungslos der Code im Schlüssel dann ausgelesen werden kann, wenn der Schlüssel in einer Eingriffsstellung im Schlüsseleinsatz ist. Der Code des Schlüssels kann ein Steuerungssignal für das Starten oder Stoppen der Maschine enthalten. Weiterhin kann der Code Berechtigungsdaten oder prozessorientierte Informationen wie Parameter für den Betrieb der Maschine enthalten.Such a security system generally includes a control system that controls a machine. The machine can pose a risk to persons. As a safety measure, a danger zone on the machine is therefore monitored. An essential security element here is an access system connected to the control system, by means of which a controlled access to security-relevant control functions is monitored. Such an access system may for example be formed by an electronic key system. This electronic key system comprises a key insert and at least one key associated therewith. The key typically includes a transponder in which a code is contained. In the key insert, a recognition device is integrated, by means of which the code in the key can then be read out without contact, when the key is in an engaged position in the key insert. The code of the key may include a control signal for starting or stopping the machine. Furthermore, the code may contain authorization data or process-oriented information such as parameters for the operation of the machine.

Typischerweise ist der Gefahrenbereich der Maschine mit einer Schutzabdeckung oder Umzäunung gesichert. In der Umzäunung befindet sich dann eine Schutztür. Abhängig davon ob die Schutztür geschlossen ist oder nicht kann mit der Maschine in unterschiedlichen Betriebsarten gearbeitet werden.Typically, the danger zone of the machine is secured with a protective cover or fencing. In the fence is then a protective door. Depending on whether the safety door is closed or not, the machine can be used in different operating modes.

Bei derartigen Sicherheitssystemen sind generell mehrere Betriebsarten möglich. Eine erste Betriebsart ist der Automatikbetrieb. In diesem Sicherheitsbetrieb darf sich keine Person im Gefahrenbereich befinden und die Schutztür ist geschlossen. In diesem Automatikbetrieb ist der Arbeitsbetrieb der Maschine uneingeschränkt freigegeben, so dass mit dieser insbesondere auch Arbeitsvorgänge durchgeführt werden, die zu Gefährdungen von Personen im Gefahrenbereich führen könnten. Zusätzlich sind weitere Betriebsarten möglich, bei welchen die Sicherheitsüberwachung überbrückt ist. Bei derartigen Betriebsarten kann beispielsweise durch entsprechende Codierungen von Schlüsseln befugten Personen Zugang zum Gefahrenbereich gewährt werden, beispielsweise um dort Reparatur- oder Installationsarbeiten durchzuführen. Je nach Betriebsart kann dann die Maschine komplett angehalten oder in einem eingeschränkten Betriebsmodus, beispielsweise mit reduzierter Geschwindigkeit, gefahren werden.With such security systems, several operating modes are generally possible. A first operating mode is the automatic mode. In this safety mode, no person may be in the danger zone and the protective door is closed. In this automatic mode of operation of the machine is fully released, so that in particular also work operations are carried out, which could lead to hazards to persons in the danger zone. In addition, other modes are possible in which the safety monitoring is bypassed. In such modes, for example, authorized persons can be granted access to the danger zone by appropriate codes of keys, for example to carry out repair or installation work there. Depending on the operating mode, the machine can then be stopped completely or driven in a restricted operating mode, for example at reduced speed.

Ein Problem bei derartigen Sicherheitssystemen besteht darin, dass eine Umschaltung der Betriebsart aufgrund gesetzlicher Bestimmungen auf befugte Personen beschränkt werden muss. Zudem ist für die Umschaltung ein Sicherheitsniveau gefordert, dass nicht mit beliebigen konventionellen Systemen erreicht werden kann sondern den Einsatz von Sicherheitstechnik notwendig macht.A problem with such safety systems is that operating mode switching must be restricted to authorized persons due to legal regulations. In addition, a level of security is required for the switchover, which can not be achieved with any conventional systems, but makes the use of safety technology necessary.

Bei einer ersten bekannten Betriebsartumschaltung wird die jeweilige Betriebsart über einen oder mehrere Schlüsselschalter an der Maschine ausgewählt. Nachteilig hierbei ist, dass die Schlüssel leicht kopiert werden können und die Kontrolle über den Zugang nicht gewährleistet ist.In a first known mode switching the respective mode is selected via one or more keyswitch on the machine. The disadvantage here is that the keys can be easily copied and control over the access is not guaranteed.

Bei einer zweiten bekannten Betriebsartumschaltung sind an der Maschine Tasten vorgesehen, die mittels eines Schlüssels freigeschaltet werden können. Auch diese Lösung hat die genannten Nachteile.In a second known mode switching buttons are provided on the machine, which can be unlocked by means of a key. This solution has the disadvantages mentioned.

Die DE 103 36 814 A1 betrifft ein elektronisches Gerät mit mindestens einer Bedienvorrichtung zur Steuerung des elektronischen Geräts, bei dem eine Vorrichtung zur Identifikation eines Benutzers derart ausgestaltet ist, dass der Benutzer bei einer Bedienung des elektronischen Geräts zur Steuerung des elektronischen Geräts automatisch identifiziert wird. Hierdurch ist es möglich, dem Benutzer in Abhängigkeit von seiner Identität Funktionen und/oder Funktionsauswahlen zur Auswahl vorzuschlagen bzw. diese auszuführen.The DE 103 36 814 A1 relates to an electronic device with at least one operating device for controlling the electronic device, in which a device for identifying a user is configured such that the user when operating the electronic device for controlling the electronic Device is automatically identified. This makes it possible to propose to the user depending on his identity functions and / or function selections for selection or to execute them.

Die DE 10 2008 060 011 A1 betrifft eine Sicherheitssteuerung und ein Verfahren zum Steuern einer automatisierten Anlage, die eine Vielzahl von Sensoren und eine Vielzahl von Aktoren umfasst.The DE 10 2008 060 011 A1 relates to a safety controller and method for controlling an automated system comprising a plurality of sensors and a plurality of actuators.

Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und ein Sicherheitssystem bereitzustellen, mittels dessen bei geringem konstruktivem Aufwand eine sichere Betriebsarteinstellung ermöglicht wird.The invention has for its object to provide a method and a security system, by means of which a reliable mode setting is made possible with low design effort.

Zur Lösung dieser Aufgabe sind die Merkmale der unabhängigen Ansprüche vorgesehen. Vorteilhafte Ausführungsformen und zweckmäßige Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen beschrieben.To solve this problem, the features of the independent claims are provided. Advantageous embodiments and expedient developments of the invention are described in the dependent claims.

Die Erfindung betrifft ein Verfahren zur Einstellung einer Betriebsart eines Sicherheitssystems, umfassend ein Zugangssystem, welches an ein eine Maschine steuerndes Steuerungssystem angeschlossen ist. Das Steuerungssystem weist eine Sicherheitssteuerung auf. Das Verfahren umfasst folgende Verfahrensschritte:

  • Zweikanaliges Auslesen von Signalen des Zugangssystems in das Steuerungssystem,
  • Durchführen einer Gültigkeitsüberprüfung der Signale des Zugangssystems in dem Steuerungssystem,
  • wobei das Steuerungssystem nur bei Vorliegen gültiger Signale des Zugangssystems die Auswahl einer Betriebsart über eine Eingabeeinheit freigibt,
  • Durchführen einer Fehlerkontrolle der Auswahl der Betriebsart in der Sicherheitssteuerung,
  • Umschalten auf die ausgewählte Betriebsart durch die Sicherheitssteuerung nach positiv durchgeführter Fehlerkontrolle.
The invention relates to a method for setting an operating mode of a security system, comprising an access system, which is connected to a control system controlling a machine. The control system has a safety control. The method comprises the following method steps:
  • Dual-channel reading of signals from the access system into the control system,
  • Performing a validity check of the signals of the access system in the control system,
  • wherein the control system releases the selection of a mode of operation via an input unit only in the presence of valid signals of the access system,
  • Performing an error control of the selection of the operating mode in the safety control,
  • Switching to the selected operating mode by the safety controller after a positive error check.

Weiterhin betrifft die Erfindung ein Sicherheitssystem zur Durchführung des erfindungsgemäßen Verfahrens.Furthermore, the invention relates to a security system for carrying out the method according to the invention.

Ein wesentlicher Vorteil des erfindungsgemäßen Verfahrens beziehungsweise des erfindungsgemäßen Sicherheitssystems besteht darin, dass ohne konstruktiven Zusatzaufwand eine fehlersichere Einstellung der Betriebsart des Sicherheitssystems beziehungsweise der damit gesicherten Maschine ermöglicht wird.An essential advantage of the method according to the invention or of the safety system according to the invention is that a fail-safe adjustment of the operating mode of the safety system or the machine thus secured is made possible without any additional design effort.

Für diese Betriebsarteinstellung können bereits am Sicherheitssystem standardmäßig vorhandene Komponenten genutzt werden. Dies gilt insbesondere für die Eingabeeinheit, die vorteilhaft in Form eines Touchscreens oder mittels sogenannten Softkeys ausgebildet ist.For this operating mode setting, standard components can already be used on the safety system. This applies in particular to the input unit, which is advantageously designed in the form of a touchscreen or by means of so-called softkeys.

Die fehlersichere Auswahl und Einstellung einer Betriebsart wird insbesondere durch Fehlerkontrollen des Steuerungssystems gewährleistet, wobei diese als wesentliche Komponente eine Sicherheitssteuerung und besonders vorteilhaft eine nichtfehlersichere Steuerung aufweist.The fail-safe selection and setting of a mode of operation is ensured, in particular, by error checks of the control system, the latter having a safety control as an essential component and, particularly advantageously, a non-error-proof control.

Durch diese Fehlerkontrollen werden die Komponenten des Sicherheitssystems getestet und eventuelle Fehler aufgedeckt. Vorteilhaft hierbei ist, dass bei den Fehlerkontrollen in den einzelnen Komponenten, insbesondere der Eingabeeinheit, der nichtfehlersicheren Steuerung und Sicherheitssteuerung, synchrone Abläufe vorgesehen sind, wodurch parallele Kanäle erhalten werden, durch deren Vergleich mit hoher Sicherheit auftretende Fehler aufgedeckt werden können, und zwar im gesamten Sicherheitssystem, da bei den Fehlerkontrollen alle Komponenten des Sicherheitssystems umfasst sind.These error checks test the components of the safety system and detect any errors. The advantage here is that in the error controls in the individual components, in particular the input unit, the non-failsafe control and safety control, synchronous processes are provided, whereby parallel channels are obtained, can be detected by their comparison with high certainty occurring errors, in the whole Security system, as the error controls include all components of the security system.

Ein wesentlicher Aspekt der Erfindung besteht darin, dass das Zugangssystem eine zweikanalige, vorzugsweise diversitäre Ausgangsstruktur aufweist, so dass von dem Zugangssystem zweikanalig Signale in das Steuerungssystem eingelesen werden. Durch die Auswertung der Signale kann über die Sicherheitssteuerung kontrolliert werden, ob das Steuerungssystem, insbesondere die nichtfehlersichere Steuerung, sowie das Zugangssystem korrekt arbeiten.An essential aspect of the invention is that the access system has a two-channel, preferably diverse output structure, so that two-channel signals are read from the access system into the control system. By evaluating the signals, the safety controller can be used to check whether the control system, in particular the non-failsafe controller, and the access system work correctly.

Besonders vorteilhaft werden hierzu die Signale wenigstens eines Ausgangs des Zugangssystems in der Sicherheitssteuerung für eine Gültigkeitsüberprüfung herangezogen.For this purpose, the signals of at least one output of the access system in the security controller are particularly advantageously used for a validity check.

Weiter vorteilhaft werden Signale eines Ausgangskanals des Zugangssystems in der nichtfehlersicheren Steuerung ausgewertet, insbesondere derart, ob die Signale des Ausgangskanals gültig sind, was beispielsweise anhand einer Prüfsummenberechnung der Signale erfolgen kann. Die über den zweiten Ausgangskanal in die Sicherheitssteuerung eingelesenen Signale werden dann vorteilhaft für eine Zeitüberwachung derart genutzt, indem geprüft wird, ob die Signale des ersten Ausgangssignals in einem vorgegebenen Zeitfenster eingelesen werden. Durch diese diversitäre zweikanalige Überwachungsstruktur wird eine hohe Fehlersicherheit erreicht.Further advantageous signals of an output channel of the access system are evaluated in the non-error-safe control, in particular, whether the signals of the output channel are valid, which can be done for example on the basis of a checksum calculation of the signals. The read via the second output channel in the safety control signals are then advantageously used for a time monitoring such that it is checked whether the signals of the first output signal are read in a predetermined time window. This diversified dual-channel monitoring structure achieves a high level of fail-safety.

Gemäß einer besonders vorteilhaften Ausführungsform der Erfindung ist das Zugangssystem von einem elektronischen Schlüsselsystem, umfassend einen Schlüsseleinsatz und wenigstens einen Schlüssel, gebildet. Das Zugangssystem weist einen Datenausgang auf, über welchen Daten eines im Schlüsseleinsatz befindlichen Schlüssels in die nichtfehlersichere Steuerung eingelesen werden. Das Zugangssystem weist einen Schaltausgang auf, über welchen ein Schaltsignal, dessen Schaltzustände angeben, ob ein Schlüssel im Schlüsseleinsatz vorhanden ist oder nicht, in die Sicherheitssteuerung eingelesen wird.According to a particularly advantageous embodiment of the invention, the access system is formed by an electronic key system comprising a key insert and at least one key. The access system has a data output, via which data of a key used in the key insert are read into the non-failsafe controller. The access system has a switching output, via which a switching signal whose switching states indicate whether a key is present in the key insert or not is read into the safety controller.

Dies stellt eine besonders zweckmäßige Ausgestaltung einer diversitären zweikanaligen Ausgangsstruktur dar. Die nichtfehlersichere Steuerung, die keinen fehlersicheren Aufbau aufweist, ist gut geeignet, größere Datenmengen wie die vom Schlüssel eingelesenen Daten zu verarbeiten. Die Sicherheitssteuerung mit ihrem fehlersicheren Aufbau muss demgegenüber nur eine erheblich reduzierte Datenmenge verarbeiten, da das über den Schaltausgang des Zugangssystems eingelesene Schaltsignal ein binäres Signal ist. Soweit die Sicherheitssteuerung weitere Daten des Zugangssystems von der nichtfehlersicheren Steuerung zur Durchführung von Fehlerkontrollen benötigt, so werden diese in ein von der Sicherheitssteuerung verarbeitbares Format gewandelt. Generell werden dabei nur die für die Fehlerkontrolle erforderlichen Daten an die Sicherheitssteuerung gesendet, so dass die Datenmenge geringen gehalten werden kann. Somit ergibt sich eine zweckmäßige Arbeitsteilung für das Steuerungssystem derart, dass die nichtfehlersichere Steuerung zum Bearbeiten größerer Datenmengen genutzt wird, während in der Sicherheitssteuerung nur geringe Datenmengen verarbeitet werden müssen, so dass die Funktion der Sicherheitssteuerung auf die durchzuführenden Fehlerkontrollen begrenzt werden kann.This represents a particularly expedient embodiment of a diversified two-channel output structure. The non-failsafe controller, which has no fail-safe structure, is well suited to process larger amounts of data, such as the data read in by the key. By contrast, the safety controller with its fail-safe structure only has to process a considerably reduced amount of data since the switching signal read in via the switching output of the access system is a binary signal. Insofar as the security controller requires further data of the access system from the non-failsafe controller for performing error checks, these are converted into a format that can be processed by the security controller. In general, only the data required for the error control are sent to the safety controller, so that the amount of data can be kept low. Thus, an appropriate division of labor for the control system results in such a way that the non-failsafe controller is used for processing larger amounts of data, while only small amounts of data are processed in the security control must be so that the function of the safety control can be limited to the error controls to be performed.

Gemäß einer besonders vorteilhaften Ausführungsform der Erfindung wird als erste Gültigkeitsüberprüfung von Signalen des Zugangssystems bei Einlesen eines Schaltsignals, dessen Schaltzustand einen im Schlüsseleinsatz befindlichen Schlüssel signalisiert, in der Sicherheitssteuerung eine Zeiterwartung durch Öffnen eines Zeitintervalls gestartet. In der Sicherheitssteuerung wird geprüft, ob innerhalb dieses Zeitintervalls Daten des Schlüssels über den Datenausgang in die nichtfehlersichere Steuerung eingelesen wurden. Als zweite Gültigkeitsüberprüfung wird eine Prüfsummenberechnung der vom Datenausgang eingelesenen Daten des Schlüssels in der nichtfehlersicheren Steuerung durchgeführt.According to a particularly advantageous embodiment of the invention, as a first validation check of signals of the access system when reading a switching signal whose switching state signals a key located in the key insert, a time expectation in the safety control by opening a time interval is started. The safety controller checks whether, within this time interval, data of the key has been read into the non-failsafe controller via the data output. As a second validation check, a checksum calculation of the data read in from the data output of the key is performed in the non-failsafe controller.

Bei dieser Ausführungsform wird eine zweikanalige Überprüfungsstruktur realisiert, da Fehlerkontrollen nicht nur in der Sicherheitssteuerung, sondern auch in der nichtfehlersicheren Steuerung durchgeführt werden. Durch den synchronen Ablauf der Fehlerkontrollen und deren gegenseitige Kontrollen wird eine umfangreiche Testung des Steuerungssystems und des Zugangssystems realisiert.In this embodiment, a dual-channel verification structure is realized since error checks are performed not only in the safety control but also in the non-error-proof control. Through the synchronous execution of the error controls and their mutual checks, a comprehensive testing of the control system and the access system is realized.

Besonders vorteilhaft sendet die nichtfehlersichere Steuerung nach erfolgreicher Gültigkeitsüberprüfung ein Autorisierungssignal an die Eingabeeinheit, wodurch Eingaben an der Eingabeeinheit freigegeben werden.Particularly advantageously, the non-failsafe controller sends an authorization signal to the input unit after successful validation, thereby enabling input to the input unit.

Dies stellt eine zweckmäßige Arbeitsteilung innerhalb des Gesamtsystems deshalb dar, da die nichtfehlersichere Steuerung als zur Verarbeitung größerer Datenmengen ausgebildete Einheit den Datenverkehr mit der Eingabeeinheit übernimmt.This represents an expedient division of labor within the overall system, since the non-failsafe controller, as a unit designed to process larger amounts of data, handles the data traffic with the input unit.

Besonders vorteilhaft ist die Eingabeeinheit von einem Touchscreen oder durch sogenannte Softkeys gebildet.Particularly advantageously, the input unit is formed by a touchscreen or by so-called softkeys.

Dies stellt eine besonders komfortable, einfach bedienbare Oberfläche für einen Benutzer des Sicherheitssystems dar.This provides a particularly comfortable, easy-to-use interface for a user of the security system.

Obwohl die Eingabeeinheit und die zu deren Ansteuerung verwendete nichtfehlersichere Steuerung selbst keinen fehlersicheren Aufbau aufweisen, wird über diese Struktur eine fehlersichere Betriebsartauswahl gewährleistet. Dies beruht darauf, dass nicht nur die nichtfehlersichere Steuerung, sondern auch die Eingabeeinheit in das Gesamtsystem der Fehlerkontrolle integriert ist.Although the input unit and the non-fail-safe control used to drive them do not themselves have a fail-safe configuration, a fail-safe mode selection is ensured via this structure. This is due to the fact that not only the non-failsafe controller but also the input unit is integrated into the overall system of error control.

Eine erste Fehlerkontrolle besteht darin, dass eine Freigabe der Eingabeeinheit zur Durchführung von Eingaben durch einen Nutzer erst dann erfolgt, wenn in dem Steuerungssystem, insbesondere der nichtfehlersicheren Steuerung, die Gültigkeitsüberprüfung der vom Datenausgang des Zugangssystems durchgeführten Prüfsummenberechnung erfolgreich war und damit einfache Fehler auf dem nicht sicheren elektronischem Schlüssel erkannt werden können sowie ein Schutz gegen das Kopieren eines Schlüssels realisiert ist.A first error control is that a release of the input unit for making entries by a user only takes place in the control system, in particular the non-failsafe controller, the validity check of the checksum calculation performed by the data output of the access system was successful and thus simple errors on the secure electronic key can be recognized as well as protection against copying a key is realized.

Weiterhin wird in der nichtfehlersicheren Steuerung als Fehlerkontrolle geprüft, ob die ausgewählte Betriebsart in einem zulässigen Bereich liegt.Furthermore, it is checked in the non-failsafe control as error control whether the selected operating mode is within a permissible range.

Damit wird vom fehlersicheren Teil des Steuerungssystems direkt die Funktion der Eingabeeinheit geprüft. Zweckmäßigerweise ist in der Sicherheitssteuerung hierzu eine Liste zulässiger Eingaben hinterlegt. Diese Liste kann gegebenenfalls mit den vom Zugangssystem eingelesenen Daten abgeglichen werden, beispielsweise derart, dass je nach in den Daten enthaltener Zugriffsberechtigung nur noch eine Teilmenge der in der Sicherheitssteuerung hinterlegten Betriebsarten als von der Eingabeeinheit auswählbar markiert wird.Thus, the function of the input unit is checked directly by the fail-safe part of the control system. Conveniently, a list of permissible entries is stored in the safety control for this purpose. If appropriate, this list can be compared with the data read in by the access system, for example such that, depending on the access authorization contained in the data, only a subset of the operating modes stored in the security control can be selected as being selectable by the input unit.

Weiterhin wird zur Fehlerkontrolle einer ausgewählten Betriebsart diese auf die Eingabeeinheit rückgelesen.Furthermore, the error control of a selected mode, this is read back to the input unit.

Durch dieses Rücklesen wird einerseits dem Benutzer die Möglichkeit gegeben, zu prüfen, ob seine Eingabe korrekt war, beziehungsweise korrekt verarbeitet wurde. Weiterhin erfolgt durch das Überprüfen des Rücklesens in der Sicherheitssteuerung eine weitere Fehlerkontrolle der Eingabeeinheit und der diese steuerenden nichtfehlersicheren Steuerung.On the one hand, this readback gives the user the possibility of checking whether his input was correct or correctly processed has been. Furthermore, by checking the read back in the safety controller, another error control of the input unit and the non-fail-safe controller controlling it takes place.

Schließlich wird bei Aufdeckung eines Fehlers in dem Steuerungssystem eine Fehlerverrastung erzeugt.Finally, error detection is generated upon detection of an error in the control system.

Damit ist das Konzept der Fehlerkontrolle zur Gewährleistung einer sicheren Auswahl und einer sicheren Einstellung einer Betriebsart bei dem erfindungsgemäßen Sicherheitssystem komplettiert. Wesentlich ist, dass unabhängig davon, wo und an welcher Stelle des Sicherheitssystems ein Fehler aufgedeckt wird, sofort eine Fehlerverrastung erfolgt und das Gesamtsystem somit in einen sicheren Zustand übergeht. Dabei ist weiterhin wesentlich, dass im Sicherheitssystem bei Auftreten eines Fehlers nicht nur eine Fehlermeldung erfolgt, sondern eine Fehlerverrastung. Fehlerverrastung in diesem Zusammenhang bedeutet, dass bei Auftreten eines Fehlers die Prozedur für eine Betriebsartauswahl gestoppt wird, bis eine spezifische, applikationsspezifisch vorgebbare Aktion durchgeführt wurde, welche die Fehlerverrastung aufhebt.Thus, the concept of error control to ensure a safe selection and a safe setting of a mode in the security system according to the invention is completed. It is essential that regardless of where and at which point of the security system an error is detected, an error latching takes place immediately and the entire system thus enters a safe state. It is also essential that in the security system when an error occurs not only an error message, but a Fehlerverrastung. Error locking in this context means that if an error occurs, the procedure for a mode selection is stopped until a specific, application-specific predefinable action has been performed, which eliminates the error lock.

Die Erfindung wird im Folgenden anhand der Zeichnungen erläutert. Es zeigen:

Figur 1:
Schematische Darstellung eines Ausführungsbeispiels des erfindungsgemäßen Sicherheitssystems.
Figur 2a-f:
Ablaufdiagramm zur fehlersicheren Einstellung einer Betriebsart des Sicherheitssystems gemäß Figur 1.
The invention will be explained below with reference to the drawings. Show it:
FIG. 1:
Schematic representation of an embodiment of the security system according to the invention.
FIGS. 2a-f:
Flow chart for fail-safe setting of an operating mode of the safety system according to FIG. 1 ,

Figur 1 zeigt schematisch den Aufbau eines Ausführungsbeispiels des erfindungsgemäßen Sicherheitssystems 1. Das Sicherheitssystem 1 umfasst ein Steuerungssystem 2, das den Betrieb einer Maschine 3 steuert. Das Steuerungssystem 2 umfasst dabei eine Sicherheitssteuerung 4, die von einer fehlersicheren SPS-Steuerung gebildet sein kann. Weiterhin umfasst das Steuerungssystem 2 eine nichtfehlersichere Steuerung 5, die von einer nichtfehlersicheren SPS-Steuerung gebildet ist. FIG. 1 schematically shows the structure of an embodiment of the security system according to the invention 1. The security system 1 comprises a control system 2, which controls the operation of a machine 3. The control system 2 comprises a safety controller 4, which may be formed by a fail-safe PLC control. Furthermore, the control system 2 comprises a non-failsafe controller 5 formed by a non-fail-safe PLC controller.

Mit der vom Steuerungssystem 2 gesteuerten Maschine 3 werden Arbeitsprozesse durchgeführt, die innerhalb eines Gefahrenbereichs um die Maschine 3 zu Gefährdungen von Personen führen können. Zur Absicherung des Gefahrenbereichs ist dieser mit einer nicht dargestellten Umzäunung oder Umhausung abgegrenzt. In der Umzäunung befindet sich eine ebenfalls nicht dargestellte Schutztür, über welche Personen Zugang zum Gefahrenbereich erhalten können.With the machine 3 controlled by the control system 2, work processes are carried out which can lead to hazards to persons within a danger zone around the machine 3. To protect the danger area this is delineated with a fencing or enclosure, not shown. In the fence there is a protective door, also not shown, through which people can get access to the danger zone.

Der Zugang zur Auswahl einer Betriebsart wird mittels eines Zugangssystems überwacht, welches im vorliegenden Fall von einem elektronischen Schlüsselsystem 6 gebildet ist. Dieses elektronische Schlüsselsystem 6 umfasst einen nicht dargestellten Schlüsseleinsatz und wenigstens einen diesem zugeordneten, ebenfalls nicht dargestellten Schlüssel. Der Schlüssel umfasst typischerweise einen Transponder, in dem ein Code enthalten ist. Im Schlüsseleinsatz ist eine Erkennungseinrichtung integriert, mittels derer berührungslos der Code im Schlüssel dann ausgelesen werden kann, wenn der Schlüssel in einer Eingriffsstellung im Schlüsseleinsatz ist. Der Code des Schlüssels kann Berechtigungsdaten sowie weitere prozessorientierte Informationen wie Parameter für den Betrieb der Maschine 3 enthalten.Access to the selection of an operating mode is monitored by means of an access system, which in the present case is formed by an electronic key system 6. This electronic key system 6 comprises a key insert, not shown, and at least one assigned thereto, also not shown key. The key typically includes a transponder in which a code is contained. In the key insert, a recognition device is integrated, by means of which the code in the key can then be read out without contact, when the key is in an engaged position in the key insert. The code of the key may include authorization data as well as other process-oriented information such as parameters for the operation of the machine 3.

Das elektronische Schlüsselsystem 6 weist, wie in Figur 1 dargestellt, eine diversitäre, zweikanalige Ausgangsstruktur auf. Diese umfasst einen Datenausgang 7, über welchen Daten des im Schlüsseleinsatz befindlichen Schlüssels ausgelesen werden können. Weiterhin ist ein Schaltausgang LA vorgesehen, über welchen ein binäres Schaltsignal ausgelesen werden kann. Die Schaltzustände des Schaltsignals geben an, ob ein Schlüssel in Eingriff mit dem Schlüsseleinsatz ist oder nicht. Wie aus Figur 1 ersichtlich, wird das Schaltsignal des elektronischen Schlüsselsystems 6 über einen Schalteingang SI in die Sicherheitssteuerung 4 eingelesen. Die Daten des Datenausgangs 7 werden dagegen über Busleitungen 8a eines Bussystems in die nichtfehlersichere Steuerung 5 eingelesen. Wie Figur 1 weiter zeigt, findet zwischen der Sicherheitssteuerung 4 und der nichtfehlersicheren Steuerung 5 über Leitungen 9a, 9b, 9c ein bidirektionaler Datenaustausch statt. Schließlich ist über Busleitungen 8b des Bussystems eine Eingabeeinheit 10 an die nichtfehlersichere Steuerung 5 angeschlossen und wird von dieser gesteuert.The electronic key system 6 has, as in FIG. 1 shown, a diverse, two-channel output structure on. This comprises a data output 7, via which data of the key used in the key insert can be read out. Furthermore, a switching output LA is provided, via which a binary switching signal can be read out. The switching states of the switching signal indicate whether or not a key is engaged with the key insert. How out FIG. 1 can be seen, the switching signal of the electronic key system 6 is read via a switching input SI in the safety controller 4. In contrast, the data of the data output 7 are read into the non-failsafe controller 5 via bus lines 8a of a bus system. As figure 1 Furthermore, a bidirectional data exchange takes place between the safety controller 4 and the non-failsafe controller 5 via lines 9a, 9b, 9c. Finally, via bus lines 8b of the bus system, an input unit 10 is connected to the non-failsafe controller 5 and is controlled by this.

Die Eingabeeinheit 10 ist im vorliegenden Fall von einem Touchscreen gebildet. Über den Touchscreen können für den Betrieb des Sicherheitssystems 1 relevante Informationen eingegeben werden.The input unit 10 is formed in the present case of a touch screen. Via the touch screen 1 relevant information can be entered for the operation of the security system.

Das Sicherheitssystem 1 gemäß Figur 1 kann in mehreren Betriebsarten betrieben werden. Eine erste Betriebsart ist der Automatikbetrieb. In diesem Automatikbetrieb darf sich keine Person im Gefahrenbereich befinden und die Schutztür ist geschlossen, so dass ein Eindringen von Personen in den Gefahren verhindert ist. In diesem Automatikbetrieb ist der Arbeitsbetrieb der Maschine 3 uneingeschränkt freigegeben, so dass mit dieser insbesondere auch Arbeitsvorgänge durchgeführt werden, die zu Gefährdungen von Personen im Gefahrenbereich führen könnten. Zusätzlich sind weitere Betriebsarten möglich, bei welchen die Sicherheitsüberwachung überbrückt ist. Bei derartigen Betriebsarten kann beispielsweise durch entsprechende Codierungen von Schlüsseln befugten Personen Zugang zum Gefahrenbereich gewährt werden, beispielsweise um dort Reparatur- oder Installationsarbeiten durchzuführen. Je nach Betriebsart kann dann die Maschine 3 komplett angehalten oder in einem eingeschränkten Betriebsmodus, beispielsweise mit reduzierter Geschwindigkeit, gefahren werden.The security system 1 according to FIG. 1 can be operated in several operating modes. A first operating mode is the automatic mode. In this automatic mode, no person may be in the danger zone and the protective door is closed so that people are prevented from entering the danger zone. In this automatic mode of operation of the machine 3 is fully released, so that with this particular work operations are performed, which could lead to hazards to persons in the danger area. In addition, other modes are possible in which the safety monitoring is bypassed. In such modes, for example, authorized persons can be granted access to the danger zone by appropriate codes of keys, for example to carry out repair or installation work there. Depending on the operating mode, the machine 3 can then be stopped completely or driven in a restricted operating mode, for example at a reduced speed.

Erfindungsgemäß kann über die Eingabeeinheit 10 eine fehlersichere Auswahl einer Betriebsart vorgenommen werden. Die hierfür erforderlichen Verfahrensschritte sind im Ablaufdiagramm der Figuren 2a - f zusammengefasst.According to the invention, a fail-safe selection of an operating mode can be carried out via the input unit 10. The process steps required for this purpose are shown in the flowchart of FIGS. 2a-f summarized.

In einem ersten Schritt (Schritt Nr. 1 in Figur 2a) wird ein Schlüssel in den Schlüsseleinsatz des elektronischen Schlüsselsystems 6 gesteckt, so dass der Schlüsseleinsatz berührungslos die Daten des Schlüssels ausliest.In a first step (step no. 1 in FIG. 2a ) a key is inserted into the key insert of the electronic key system 6, so that the key insert contactless read the data of the key.

Durch das Einstecken des Schlüssels wird dann, wenn dieser vom Schlüsseleinsatz als gültiger Schlüssel erkannt wird, der Schaltzustand des Schaltsignals am Schaltausgang LA auf den Wert 1 gesetzt (Schritt Nr. 2). Dieses die Anwesenheit eines gültigen Schlüssels signalisierende Schaltsignal wird über den Schalteingang SI in die Sicherheitssteuerung 4 eingelesen.By inserting the key, if this is recognized by the key insert as a valid key, the switching state of the switching signal at the switching output LA is set to the value 1 (step no. 2). This switching signal indicating the presence of a valid key is read into the safety controller 4 via the switching input SI.

Die vom Schlüsseleinsatz gelesenen Daten des Schlüssels werden hinsichtlich ihres Formats geprüft und dann, wenn diese Prüfung erfolgreich war, über den Datenausgang 7 eingelesen (Schritt Nr. 3).The data of the key read from the key insert is checked for its format and then, if this check was successful, read in via the data output 7 (step no. 3).

Mit dem Setzen des Schaltsignals auf den Wert 1, welches in die Sicherheitssteuerung 4 eingelesen wird, wird in der Sicherheitssteuerung 4 kontrolliert, ob die am Datenausgang 7 ausgelesenen Daten innerhalb eines vorgegebenen Zeitintervalls in die nichtfehlersichere Steuerung 5 eingelesen werden. Hierzu wird in der Sicherheitssteuerung 4 eine Zeiterwartung gestartet (Schritt Nr. 4). Dabei wird ein Zeitintervall vorgegebener Länge geöffnet und abgeprüft, ob innerhalb dieses Zeitintervalls die Daten des Schlüssels in die nichtfehlersichere Steuerung 5 eingelesen werden.With the setting of the switching signal to the value 1, which is read into the safety controller 4, it is checked in the safety controller 4 whether the data read out at the data output 7 are read into the non-failsafe controller 5 within a predetermined time interval. For this purpose, a time expectation is started in the safety controller 4 (step no. 4). In this case, a time interval of predetermined length is opened and checked as to whether the data of the key are read into the non-failsafe controller 5 within this time interval.

Dieses Einlesen (Schritt Nr. 5) erfolgt über die Busleitungen 8a des Bussystems. Dabei werden in bekannter Weise die Daten in einem festgelegten Eingangsbereich der nichtfehlersicheren Steuerung 5 eingelesen und dann in einen festgelegten Datenbereich der nichtfehlersicheren Steuerung 5 umkopiert.This reading (step no. 5) takes place via the bus lines 8a of the bus system. In this case, the data are read in a defined input range of the non-failsafe controller 5 in a known manner and then copied into a specified data area of the non-failsafe controller 5.

Als erste Fehlerkontrolle erfolgt in der nichtfehlersicheren Steuerung 5 eine Berechnung der Prüfsumme der Daten des Schlüssels (Schritt Nr. 6). Darauf wird geprüft, ob die Prüfsumme in Ordnung ist, das heißt ob sie einem zulässigen Wert entspricht (Schritt Nr. 7).The first error control is carried out in the non-failsafe controller 5, a calculation of the checksum of the data of the key (step no. 6). Then it checks whether the checksum is correct, that is, whether it corresponds to a permissible value (step no. 7).

Als weitere Fehlerkontrolle wird in der Sicherheitssteuerung 4 geprüft, ob die Daten des elektronischen Schlüsselsystems 6 innerhalb des die Zeiterwartung definierenden Zeitintervalls in die nichtfehlersichere Steuerung 5 eingelesen werden. Da diese Daten nur in die nichtfehlersichere Steuerung 5 eingelesen werden, wird nach in der nichtfehlersicheren Steuerung 5 erfolgter Prüfsummenberechnung eine Berechtigungsstufe in der Variablen mit dem symbolischen Namen Read-Authorization für die eingelesenen Daten vergeben und in ein Merkerwort MW01 oder einen dementsprechenden Datenbereich eingeschrieben, das von der nichtfehlersicheren Steuerung 5 an die Sicherheitssteuerung 4 gesendet wird. Ein derartiges Merkerwort bildet ein von der Sicherheitssteuerung 4 lesbares Datenformat. Anhand dieses Merkerworts MW01 erfolgt dann in der Sicherheitssteuerung 4 die Prüfung, ob die Daten des Schlüssels innerhalb der Zeiterwartung empfangen wurden (Schritte Nr. 8 - 10).As a further error control, it is checked in the safety controller 4 whether the data of the electronic key system 6 are read into the non-failsafe controller 5 within the time interval defining the time expectancy. Since these data are read only in the non-failsafe controller 5 are, assigned in the non-failsafe control 5 checksum calculation an authorization level in the variable with the symbolic name read authorization for the read data and written in a flag word MW01 or a corresponding data area sent from the non-failsafe controller 5 to the safety controller 4 becomes. Such a flag word forms a readable by the safety controller 4 data format. On the basis of this flag word MW01 then takes place in the safety controller 4, the check whether the data of the key within the time expectation were received (steps no. 8 - 10).

Wird bei der Prüfsummenberechnung oder der Überwachung der Zeiterwartung ein Fehler festgestellt, so erfolgt eine Verzweigung in eine Fehlerverrastung. Bei Verzweigen in eine Fehlerverrastung wird die Betriebsartwahl sofort gestoppt und kann nur dann fortgesetzt werden, wenn der Benutzer eine vorgegebene Aktion durchführt, beispielsweise eine spezifische Eingabe am Touchscreen vornimmt.If an error is detected during the check sum calculation or the monitoring of the time expectation, a branch into an error lock occurs. When branching into an error lock mode selection is immediately stopped and can only be continued if the user performs a predetermined action, for example, makes a specific input on the touch screen.

Mit den vorgenannten Fehlerkontrollen kann kontrolliert werden, ob das elektronische Schlüsselsystem 6 und das Steuerungssystem 2, insbesondere die nichtfehlersichere Steuerung 5, korrekt arbeiten. Insbesondere kann auf diese Weise geprüft werden, ob im Schlüsseleinsatz überhaupt ein Schlüssel vorhanden ist. Ist nämlich kein Schlüssel im Schlüsseleinsatz vorhanden, werden keine Daten in die Sicherheitssteuerung 4 übertragen, so dass dann die Prüfsumme den unzulässigen Wert Null annimmt, wodurch eine Verzweigung in die Fehlerverrastung erfolgt.With the aforementioned error checks can be checked whether the electronic key system 6 and the control system 2, in particular the non-failsafe controller 5, work correctly. In particular, it can be checked in this way whether a key is actually present in the key insert. If no key is present in the key insert, no data is transmitted to the security controller 4, so that then the checksum assumes the invalid value zero, whereby a branch into the Fehlerverrastung takes place.

Entspricht die Prüfsumme einem zulässigen Wert, so wird die Berechtigungsstufe von der Sicherheitssteuerung 4 an die Eingabeeinheit 10 gesendet (Schritt Nr. 11), wodurch die Eingabeeinheit 10 für die Auswahl einer Betriebsart freigegeben wird (Schritt Nr. 12). In der Eingabeeinheit 10 wird hierzu vorteilhaft ein Bild aufgebaut, über welches ein Benutzer eine Betriebsart auswählen kann.If the checksum corresponds to an allowable value, the permission level is sent from the security controller 4 to the input unit 10 (step # 11), thereby enabling the input unit 10 for selecting a mode (step # 12). In the input unit 10, an image is advantageously constructed for this purpose, via which a user can select an operating mode.

Die vom Benutzer ausgewählte Betriebsart wird in der Eingabeeinheit 10 der Variablen mit dem symbolischen Namen Select-MSO zugewiesen und dann an die nichtfehlersichere Steuerung 5 gesendet. In der nichtfehlersicheren Steuerung 5 wird die gewählte Betriebsart in das Merkerwort MW03 kopiert, das von der Sicherheitssteuerung 4 gelesen werden kann. Dieses Merkerwort MW03 wird dann von der nichtfehlersicheren Steuerung 5 an die Sicherheitssteuerung 4 gesendet (Schritt Nr. 14).The user-selected mode is assigned in the input unit 10 to the variable with the symbolic name Select-MSO and then sent to the non-failsafe controller 5. In the non-failsafe controller 5, the selected mode is copied to the flag word MW03, which can be read by the safety controller 4. This flag word MW03 is then sent from the non-failsafe controller 5 to the security controller 4 (step # 14).

In der Sicherheitssteuerung 4 wird weiterhin abgefragt, ob von der nichtfehlersicheren Steuerung 5 neue Daten übersendet werden. Dies wird in der Sicherheitssteuerung 4 dadurch festgestellt, dass im Merkerwort MW01 ein Wert ungleich Null erscheint (Schritt Nr. 15).In the safety controller 4 is further queried whether 5 new data are sent from the non-failsafe controller. This is determined in the safety controller 4 by the fact that in the flag word MW01 a value not equal to zero appears (step No. 15).

Schließlich wird in den Schritten Nr. 16 und 17 in der Sicherheitssteuerung 4 geprüft, ob im Merkerwort MW03 ein zulässiger Code erscheint, und damit, ob die gewählte Betriebsart in einem zulässigen Bereich liegt (Schritte Nr. 16, 17).Finally, steps Nos. 16 and 17 in the safety controller 4 are checked to see if a permissible code appears in the flag word MW03, and thus whether the selected mode is within an allowable range (Steps Nos. 16, 17).

Hierzu ist in der Sicherheitssteuerung 4 eine Liste zulässiger Betriebsarten hinterlegt. Dann kann in der Sicherheitssteuerung 4 durch einen einfachen Vergleich des eingelesenen Merkerworts MW03 mit der gespeicherten Liste ermittelt werden, ob eine zulässige Betriebsart gewählt worden ist.For this purpose, a list of permissible operating modes is stored in the safety controller 4. Then it can be determined in the safety controller 4 by a simple comparison of the read flag word MW03 with the stored list, whether an allowable mode has been selected.

Liegt keine zulässige Betriebsart vor, erfolgt eine Verzweigung in eine Fehlerverrastung.If there is no permissible operating mode, a branch takes place into an error lock.

Liegt jedoch eine zulässige Betriebsart vor, so wird in der Sicherheitssteuerung 4 die zulässige Betriebsart, das heißt der Inhalt des Merkerworts MW03 in das Merkerwort MW05 kopiert, das dann an die nichtfehlersichere Steuerung 5 gesendet wird (Schritte Nr. 18, 19).However, if there is an allowable mode, in the safety controller 4, the allowable mode, that is, the content of the flag word MW03 is copied to the flag word MW05, which is then sent to the non-fail safe controller 5 (steps Nos. 18, 19).

Dieses Merkerwort MW05 wird dann von der nichtfehlersicheren Steuerung 5 an die Eingabeeinheit 10 gesendet. Dort wird die ausgewählte Betriebsart dem Benutzer angezeigt (Schritt Nr. 20). Diese Anzeige erfolgt in einem anderen Bild als in dem Bild, in dem der Benutzer die Betriebsartauswahl vorgenommen hat. Dies ist eine Voraussetzung für ein sicheres Rücklesen der ausgewählten Betriebsart. Eine zweite Voraussetzung hierfür ist, dass das Rücklesen, in eine Variable (hier MW05) erfolgt, die von der Variable für das Einlesen der Betriebsart (hier MW03) verschieden ist.This flag word MW05 is then sent from the non-failsafe controller 5 to the input unit 10. There the selected operating mode is displayed to the user (step no. 20). This display takes place in another picture than in the picture in which the user made the mode selection. This is a prerequisite for a safe reading back of the selected operating mode. A second prerequisite for this is that reading back into a variable (here MW05) takes place that differs from the variable for reading in the operating mode (here MW03).

Sobald dem Benutzer die ausgewählte Betriebsart durch das Rücklesen auf die Eingabeeinheit 10 angezeigt wurde, muss die Auswahl vom Benutzer durch eine Eingabe an der Eingabeeinheit 10 bestätigt werden (Schritt Nr. 21).Once the user has been presented with the selected mode by reading back on the input unit 10, the selection must be confirmed by the user by an input to the input unit 10 (step # 21).

Bei einer negativen Bestätigung wird in der Eingabeeinheit 10 eine Fehlervariable mit dem symbolischen Namen ErrorMSO gesetzt, wodurch eine Verzweigung in eine Fehlerverrastung erfolgt (Schritt Nr. 23).In the case of a negative acknowledgment, an error variable with the symbolic name ErrorMSO is set in the input unit 10, as a result of which a branch into an error lock is made (step no. 23).

Bei einer positiven Bestätigung wird in der Eingabeeinheit 10 eine Variable mit dem symbolischen Namen SwitchMSO gesetzt (Schritt Nr. 22) und über das Bussystem an die nichtfehlersichere Steuerung 5 gesendet. Die so gewählte Betriebsart wird dann in das Merkerwort MW07 kopiert und an die Sicherheitssteuerung 4 gesendet (Schritt Nr. 24).In the case of a positive acknowledgment, a variable with the symbolic name SwitchMSO is set in the input unit 10 (step No. 22) and sent to the non-failsafe controller 5 via the bus system. The thus selected mode is then copied to the flag word MW07 and sent to the safety controller 4 (step # 24).

In der Sicherheitssteuerung 4 erfolgt dann ein Vergleich, ob die ausgewählte Betriebsart (enthalten im Merkerwort MW03) der bestätigten Betriebsart (enthalten im Merkerwort MW07) entspricht (Schritt Nr. 25).A comparison is then made in the safety controller 4 as to whether the selected operating mode (contained in the flag word MW03) corresponds to the confirmed operating mode (contained in the flag word MW07) (step no. 25).

Sind diese Werte unterschiedlich, erfolgt eine Verzweigung in eine Fehlerverrastung.If these values are different, a branch into an error lock occurs.

Sind jedoch beide Werte identisch, führt die Sicherheitssteuerung 4 eine Umschaltung auf die ausgewählte Betriebsart durch, wobei hierzu von der Sicherheitssteuerung 4 entsprechende Ausgänge des Steuerungssystems 2 gesetzt werden (Schritt Nr. 26).However, if both values are identical, the safety controller 4 performs a changeover to the selected operating mode, for which purpose corresponding outputs of the control system 2 are set by the safety controller 4 (step No. 26).

Die gesamte beschriebene Kette wird ebenfalls durchlaufen, wenn der Schlüssel herausgezogen wird. Hierbei müssen alle Variablen den Wert 0 annehmen. Der Ausgang LA muss zeitglich zurückgesetzt werden. Somit wird durch Prüfung in der sicheren Steuerung 4 sichergestellt, dass keine Werte in den nicht sicheren Teilen der Steuerung 5 sowie des Eingabesystems 10 gespeichert bleiben können. Damit erfolgt eine Funktionskontrolle aller Komponenten des Sicherheitssystems 1.The entire described chain will also pass through as the key is pulled out. Here, all variables must assume the value 0. The output LA must be reset in time. Thus, by checking in the secure controller 4, it is ensured that no values can be stored in the non-secure parts of the controller 5 and the input system 10. This results in a functional check of all components of the security system 1.

BezugszeichenlisteLIST OF REFERENCE NUMBERS

(1)(1)
Sicherheitssystemsecurity system
(2)(2)
Steuerungssystemcontrol system
(3)(3)
Maschinemachine
(4)(4)
Sicherheitssteuerungsafety control
(5)(5)
nichtfehlersichere Steuerungnon-failsafe control
(6)(6)
elektronisches Schlüsselsystemelectronic key system
(7)(7)
Datenausgangdata output
(8a-b)(8a-b)
Busleitungbus line
(9a-c)(9a-c)
Leitungmanagement
(10)(10)
Eingabeeinheitinput unit
(LA)(LA)
Schaltausgangswitching output
(SI)(SI)
Schalteingangswitching input

Claims (16)

  1. Method of setting an operating mode of a safety system (1), comprising an access system which is connected with a control system (2) controlling a machine (3), wherein the control system (2) comprises a safety control (4), characterised by the following method steps:
    - twin-channel reading-out of signals of the access system into the control system (2),
    - carrying out a validity check of the signals of the access system in the control system (2),
    - wherein the control system (2) releases the selection of an operating mode by way of an input unit (10) only when valid signals of the access system are present,
    - performing a fault check of the selection of the operating mode in the safety control (4), and
    - switching over to the selected operating mode by the safety control (4) after positive performance of a fault check.
  2. Method according to claim 1, characterised in that the access system has a diversified output structure.
  3. Method according to one of claims 1 and 2, characterised in that the signals of at least one output of the access system are utilised in the safety control (4) for a validity check.
  4. Method according to any one of claims 1 to 3, characterised in that the safety system (1) comprises in addition to the safety control (4) a non-failsafe control (5), wherein the non-failsafe control (5) controls the input unit (10) and wherein the signals of a first output of the access system are read into non-failsafe control (5) and the signals of the second output of the access system are read into the safety control (4).
  5. Method according to claim 4, characterised in that the access system is formed by an electronic key system (6) comprising a key insert and at least one key, that the access system has a data output (7) by way of which data of a key present in the key insert are read into the non-failsafe control (5), and that the access system has a switching output (LA) by way of which a switching signal, the switching states of which indicate whether or not a key is present in the key insert, is read into the safety control (4).
  6. Method according to claim 5, characterised in that an expectation time period is started in the safety control (4), by opening a time interval, as first validity check of signals of the access system when reading-in a switching signal having a switching state signalling a key present in the key insert and that it is checked in the safety control (4) whether within this time interval data of the key have been read by way of the data output (7) into the non-failsafe control (5).
  7. Method according to claim 6, characterised in that a test sum computation of the data, which are read-in from the data output (7), of the key is carried out as a second validity check in non-failsafe control (5).
  8. Method according to claim 7, characterised in that the non-failsafe control (5) transmits an authorisation signal to the input unit (10) after a successful validity check, whereby inputs at the input unit (10) are released.
  9. Method according to any one of claims 1 to 3, characterised in that the input unit (10) is formed by a touchscreen.
  10. Method according to claim 9, characterised in that after receipt of the authorisation signal an image, in which a mode of operation can be selected, is formed or made accessible in the touchscreen.
  11. Method according to any one of claims 1 to 10, characterised in that it is checked as fault check in the non-failsafe control (5) whether the selected mode of operation lies in a permissible range.
  12. Method according to any one of claims 1 to 11, characterised in that for the fault control of a selected operating mode this is fed back to the input unit (10).
  13. Method according to claim 12, characterised in that the selected operating mode and the read-back operating mode are displayed in different images of the input unit (10).
  14. Method according to any one of claims 1 to 13, characterised in that on discovery of a fault in the control system (2) a fault lock is generated.
  15. Method according to any one of claims 5 to 14, characterised in that when a key is drawn out of the key insert of the key system (6) a function check of all components of the safety system (1) is carried out.
  16. Safety system (1) comprising an access system which is connected with a control system (2) controlling a machine, wherein the control system (2) comprises a safety control (4), characterised in that the access system has a twin-channel output structure configured to read out signals into the control system (2), that the control system (2) is configured to carry out a validity check of the signals of the access system, wherein the control system (2) is configured to release selection of an operating mode by way of an input unit (10) if valid signals of the access system are present, that the safety control (4) is configured to perform a fault check of the selection of the operating mode and that the safety system (4) is configured to undertake switching-over to the selected operating mode after positive performance of the fault check.
EP16183331.4A 2015-09-03 2016-08-09 Method for adjusting an operating mode of a security system Active EP3139354B1 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102015114717.3A DE102015114717A1 (en) 2015-09-03 2015-09-03 Method for setting an operating mode of a safety system

Publications (3)

Publication Number Publication Date
EP3139354A2 EP3139354A2 (en) 2017-03-08
EP3139354A3 EP3139354A3 (en) 2017-03-15
EP3139354B1 true EP3139354B1 (en) 2019-10-30

Family

ID=56801380

Family Applications (1)

Application Number Title Priority Date Filing Date
EP16183331.4A Active EP3139354B1 (en) 2015-09-03 2016-08-09 Method for adjusting an operating mode of a security system

Country Status (3)

Country Link
EP (1) EP3139354B1 (en)
DE (1) DE102015114717A1 (en)
ES (1) ES2764983T3 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3598398A1 (en) 2018-07-18 2020-01-22 EUCHNER GmbH + Co. KG Access system
DE202019104521U1 (en) 2019-08-16 2019-09-03 Euchner Gmbh + Co. Kg Device for selecting an operating mode of a safety system
IT201900018986A1 (en) * 2019-10-16 2021-04-16 Simone Borsato "Industrial security system"

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10336814A1 (en) * 2003-08-11 2005-03-10 Bosch Gmbh Robert Electronic device with user recognition
DE10353210A1 (en) * 2003-11-13 2005-06-16 Siemens Ag Secure entry of input values
JP4881095B2 (en) * 2006-07-28 2012-02-22 株式会社東海理化電機製作所 Key system
DE202008017893U1 (en) * 2008-03-07 2010-10-28 Sick Ag Device for programming and / or configuring a safety controller
DE102008060011A1 (en) * 2008-11-25 2010-05-27 Pilz Gmbh & Co. Kg Safety control and method for controlling an automated plant
US20140191843A1 (en) * 2013-01-04 2014-07-10 Caterpillar Inc Machine security system
CN104678806A (en) * 2015-01-29 2015-06-03 广东美的厨房电器制造有限公司 Household electrical appliance and safety control method and safety control device thereof

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
None *

Also Published As

Publication number Publication date
ES2764983T3 (en) 2020-06-05
EP3139354A3 (en) 2017-03-15
DE102015114717A1 (en) 2017-03-09
EP3139354A2 (en) 2017-03-08

Similar Documents

Publication Publication Date Title
EP2900581B1 (en) Method for resetting a safety system of an elevator installation
WO2006125404A1 (en) Method for adjusting an electric field device
EP3139354B1 (en) Method for adjusting an operating mode of a security system
EP3709166B1 (en) Method and system for secure signal manipulation for testing integrated security functionalities
DE102011088236A1 (en) Method for operating field device using process automation technique, involves determining test value based on characteristic properties of field device and providing field device present state, after restart of field device
EP1760623A2 (en) Safety equipment for electronic equipment
DE19963208A1 (en) Manipulation detection of programmable memory device in digital controller involves checking information about programming/reprogramming process stored in separate memory area
EP3715979A1 (en) Access control system for controlling the access of a user to one or more operating functions of a technical system
CH714507A1 (en) Protective device for a production plant and method for operating such a protective device.
EP1683016B1 (en) Secure recording of input values
EP3499324B1 (en) Method of modular verification of a configuration of a device
EP2405317B1 (en) Method for entering parameters for a security device securely
DE102018202626A1 (en) Method for the computer-aided parameterization of a technical system
EP1444659A2 (en) Security device
DE202019104521U1 (en) Device for selecting an operating mode of a safety system
EP2315084B1 (en) Error-proof locking system
EP3779899A1 (en) Control device
EP1760558B1 (en) System and method for assessing the safety of a technical system
DE102019108975A1 (en) Operation of a technical system
DE102007009141A1 (en) Safety device and safety method with several processing stages
DE102017117137A1 (en) Elevator control, elevator installation and method for operating an elevator installation
DE102007062915A1 (en) Storage programmable control i.e. digitally operated electronic system, operating method for controlling automation system, involves switching functional block at feasible state if external information corresponds to internal information
EP4016208A1 (en) Method for controlling an actuator of a device with a computing unit
DE102012215959A1 (en) Carrying out an operation in a signal system
DE102021119825A1 (en) Safety device and method of operating a safety device

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN PUBLISHED

PUAL Search report despatched

Free format text: ORIGINAL CODE: 0009013

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

AK Designated contracting states

Kind code of ref document: A3

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

RIC1 Information provided on ipc code assigned before grant

Ipc: G07C 9/00 20060101AFI20170207BHEP

Ipc: G05B 19/042 20060101ALI20170207BHEP

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20170309

RBV Designated contracting states (corrected)

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: GRANT OF PATENT IS INTENDED

GRAJ Information related to disapproval of communication of intention to grant by the applicant or resumption of examination proceedings by the epo deleted

Free format text: ORIGINAL CODE: EPIDOSDIGR1

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

INTG Intention to grant announced

Effective date: 20190613

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: GRANT OF PATENT IS INTENDED

INTC Intention to grant announced (deleted)
INTG Intention to grant announced

Effective date: 20190729

GRAS Grant fee paid

Free format text: ORIGINAL CODE: EPIDOSNIGR3

GRAA (expected) grant

Free format text: ORIGINAL CODE: 0009210

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE PATENT HAS BEEN GRANTED

RBV Designated contracting states (corrected)

Designated state(s): AT CH DE ES FR GB IT LI SE

AK Designated contracting states

Kind code of ref document: B1

Designated state(s): AT CH DE ES FR GB IT LI SE

REG Reference to a national code

Ref country code: GB

Ref legal event code: FG4D

Free format text: NOT ENGLISH

REG Reference to a national code

Ref country code: CH

Ref legal event code: EP

REG Reference to a national code

Ref country code: CH

Ref legal event code: NV

Representative=s name: ROTTMANN, ZIMMERMANN + PARTNER AG, CH

Ref country code: AT

Ref legal event code: REF

Ref document number: 1196971

Country of ref document: AT

Kind code of ref document: T

Effective date: 20191115

REG Reference to a national code

Ref country code: DE

Ref legal event code: R096

Ref document number: 502016007288

Country of ref document: DE

REG Reference to a national code

Ref country code: SE

Ref legal event code: TRGR

REG Reference to a national code

Ref country code: ES

Ref legal event code: FG2A

Ref document number: 2764983

Country of ref document: ES

Kind code of ref document: T3

Effective date: 20200605

REG Reference to a national code

Ref country code: DE

Ref legal event code: R097

Ref document number: 502016007288

Country of ref document: DE

PLBE No opposition filed within time limit

Free format text: ORIGINAL CODE: 0009261

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

26N No opposition filed

Effective date: 20200731

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: IT

Payment date: 20230825

Year of fee payment: 8

Ref country code: GB

Payment date: 20230822

Year of fee payment: 8

Ref country code: CH

Payment date: 20230902

Year of fee payment: 8

Ref country code: AT

Payment date: 20230822

Year of fee payment: 8

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: SE

Payment date: 20230821

Year of fee payment: 8

Ref country code: FR

Payment date: 20230825

Year of fee payment: 8

Ref country code: DE

Payment date: 20230620

Year of fee payment: 8

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: ES

Payment date: 20231027

Year of fee payment: 8