知財求人 - 知財ポータルサイト「IP Force」
▶ ピルツ ゲーエムベーハー ウント コー.カーゲーの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024047572
(43)【公開日】2024-04-05
(54)【発明の名称】アクセス制限された危険区域を監視するためのシステム
(51)【国際特許分類】
G05B 9/02 20060101AFI20240329BHJP
【FI】
G05B9/02 E
【審査請求】未請求
【請求項の数】10
【出願形態】OL
【外国語出願】
(21)【出願番号】P 2023158174
(22)【出願日】2023-09-22
(31)【優先権主張番号】10 2022 124 673.6
(32)【優先日】2022-09-26
(33)【優先権主張国・地域又は機関】DE
(71)【出願人】
【識別番号】518050263
【氏名又は名称】ピルツ ゲーエムベーハー ウント コー.カーゲー
【氏名又は名称原語表記】Pilz GmbH & Co.KG
(74)【代理人】
【識別番号】100075557
【弁理士】
【氏名又は名称】西教 圭一郎
(72)【発明者】
【氏名】バウマイスター,クリストフ
(72)【発明者】
【氏名】シュスター,ペーター
(72)【発明者】
【氏名】ツェル,クリストフ
【テーマコード(参考)】
5H209
【Fターム(参考)】
5H209AA01
5H209GG08
5H209GG16
5H209HH04
(57)【要約】 (修正有)
【課題】技術プラントのアクセス制限された危険区域を監視するためのシステムを提供する。
【解決手段】機械(4a・・)がアクセス制限された危険区域(5a,5b)内に配置されたシステムに関し、フェイルセーフ方式で機械の動作を制御する安全スイッチング装置(6)と、危険区域に人が出入り可能であるように構成されたアクセス装置(8a・・)であって、アクセス装置には、認証された人を認証アクセス制御装置(10a・・)が割り当てられたアクセス装置と、危険区域の現在および過去のアクセスイベント情報を記録するログインコントローラ(12)と、を備え、安全スイッチング装置は、認証されたアクセス権限者の要求に応じ、機械のフェイルセーフスイッチオフのためのスイッチオフ信号を生成し、1人の人が関連する危険区域内に存在する限り機械の再起動を防止する構成とした。
【選択図】図1
【解決手段】機械(4a・・)がアクセス制限された危険区域(5a,5b)内に配置されたシステムに関し、フェイルセーフ方式で機械の動作を制御する安全スイッチング装置(6)と、危険区域に人が出入り可能であるように構成されたアクセス装置(8a・・)であって、アクセス装置には、認証された人を認証アクセス制御装置(10a・・)が割り当てられたアクセス装置と、危険区域の現在および過去のアクセスイベント情報を記録するログインコントローラ(12)と、を備え、安全スイッチング装置は、認証されたアクセス権限者の要求に応じ、機械のフェイルセーフスイッチオフのためのスイッチオフ信号を生成し、1人の人が関連する危険区域内に存在する限り機械の再起動を防止する構成とした。
【選択図】図1
【特許請求の範囲】
【請求項1】
技術プラント(1)の少なくとも1つのアクセス制限された危険区域(5a,5b)を監視するためのシステムであって、少なくとも1つの機械(4a,4a’,4a’’,4b)が、アクセス制限された危険区域(5a,5b)内に配置されているシステムにおいて、
フェイルセーフ方式で少なくとも1つの機械(4a,4a’,4a’’,4b)の動作を制御するように構成された安全スイッチング装置(6)と、
少なくとも1つの危険区域(5a,5b)に人が出入り可能であるように構成された少なくとも1つのアクセス装置(8a,8a’,8a’’,8a’’’,8b,8b’,8b’’,8b’’’)であって、少なくとも1つのアクセス装置(8a,8a’,8a’’,8a’’’,8b,8b’,8b’’,8b’’’)には、認証された人を認証するように構成されたアクセス制御装置(10a,10a’,10a’’,10a’’’,10b,10b’,10b’’,10b’’’)が割り当てられている少なくとも1つのアクセス装置(8a,8a’,8a’’,8a’’’,8b,8b’,8b’’,8b’’’)と、
少なくとも1つの危険区域(5a,5b)の現在のアクセスイベントに関する情報および少なくとも1つの危険区域(5a,5b)の過去のアクセスイベントに関する情報を記録するように構成されたログインコントローラ(12)と、を備え、
安全スイッチング装置(6)は、認証されたアクセス権限を有する者の要求に応じて、少なくとも1つの機械(4a,4a’,4a’’,4b)のフェイルセーフスイッチオフのためのスイッチオフ信号を生成し、少なくとも1人の人が関連する危険区域(5a,5b)内に存在する限り、少なくとも1つの機械(4a,4a’,4a’’,4b)の再起動を防止するように構成されていることを特徴とするシステム。
フェイルセーフ方式で少なくとも1つの機械(4a,4a’,4a’’,4b)の動作を制御するように構成された安全スイッチング装置(6)と、
少なくとも1つの危険区域(5a,5b)に人が出入り可能であるように構成された少なくとも1つのアクセス装置(8a,8a’,8a’’,8a’’’,8b,8b’,8b’’,8b’’’)であって、少なくとも1つのアクセス装置(8a,8a’,8a’’,8a’’’,8b,8b’,8b’’,8b’’’)には、認証された人を認証するように構成されたアクセス制御装置(10a,10a’,10a’’,10a’’’,10b,10b’,10b’’,10b’’’)が割り当てられている少なくとも1つのアクセス装置(8a,8a’,8a’’,8a’’’,8b,8b’,8b’’,8b’’’)と、
少なくとも1つの危険区域(5a,5b)の現在のアクセスイベントに関する情報および少なくとも1つの危険区域(5a,5b)の過去のアクセスイベントに関する情報を記録するように構成されたログインコントローラ(12)と、を備え、
安全スイッチング装置(6)は、認証されたアクセス権限を有する者の要求に応じて、少なくとも1つの機械(4a,4a’,4a’’,4b)のフェイルセーフスイッチオフのためのスイッチオフ信号を生成し、少なくとも1人の人が関連する危険区域(5a,5b)内に存在する限り、少なくとも1つの機械(4a,4a’,4a’’,4b)の再起動を防止するように構成されていることを特徴とするシステム。
【請求項2】
ログインコントローラ(12)は、少なくとも1つの危険区域(5a,5b)内の現在のアクセスイベントに関する情報を有するアクセス制御リスト(13)が検索可能な方法で記憶される揮発性記憶手段(121)を有することを特徴とする、請求項1に記載のシステム。
【請求項3】
ログインコントローラ(12)は、少なくとも1つの危険区域(5a,5b)内の過去のアクセスイベントに関する情報を有するアクセス文書リスト(14)またはアクセス文書データベースが検索可能な方法で記憶される不揮発性記憶手段(122)を有することを特徴とする、請求項1または2に記載のシステム。
【請求項4】
ログインコントローラ(12)は、人が危険区域(5a,5b)から退出することが認証された後に、危険区域から退出した時刻を表すタイムスタンプと共に、その人の関連するリストエントリをアクセス制御リスト(13)からアクセス文書リスト(14)またはアクセス文書データベースに転送し、その人のリストエントリをアクセス制御リスト(13)から削除するように構成されていることを特徴とする、請求項3に記載のシステム。
【請求項5】
安全制御装置(6)は、スイッチオフされた機械(4a,4a’,4a’’,4b)からスイッチオン要求を受信したときに、アクセス制御リスト(13)内の既存のリストエントリを照会するために、ログインコントローラ(12)に照会要求を送信するように構成されており、ログインコントローラ(12)が、この照会要求を受信した後に、アクセス制御リスト(13)に含まれるエントリの照会を実行し、この照会の結果を安全制御装置(6)に送信するように構成されていることを特徴とする、請求項2~4のいずれか1項に記載のシステム。
【請求項6】
安全制御装置(6)は、人が認証された後にアクセス装置(8a,8a’,8a’’,8a’’’,8b,8b’,8b’’,8b’’’)のロックを自動的に解除するために、少なくとも1つのアクセス装置(8a,8a’,8a’’,8a’’’,8b,8b’,8b’’,8b’’’)のロック装置のための少なくとも1つの制御信号を生成するように構成されていることを特徴とする、請求項1~5のいずれか1項に記載のシステム。
【請求項7】
技術プラント(1)のすべての危険領域(5a,5b)に共通のアクセス制御リスト(13)が割り当てられることを特徴とする、請求項2~6のいずれか1項に記載のシステム。
【請求項8】
技術プラント(1)の各危険区域(5a,5b)に個別のアクセス制御リスト(13)が割り当てられることを特徴とする、請求項2~6のいずれか1項に記載のシステム。
【請求項9】
ログインコントローラ(12)は、プログラマブルロジックコントローラ、特にプログラマブルフェイルセーフコントローラとして構成されることを特徴とする請求項1~8のいずれか1項に記載のシステム。
【請求項10】
ログインコントローラ(12)は、安全制御装置(6)と一体的に構成されていることを特徴とする、請求項1~8のいずれか1項に記載のシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アクセス制限された危険区域を監視するためのシステムに関する。
【背景技術】
【0002】
ほとんど全ての産業プラントには、機械が自動的に作動し、通常運転中および/または運転エラーおよび/または技術的欠陥が発生した場合に、運転要員および保守要員の生命および身体に対する危険または生産設備に対する損害の危険がある、1つまたは複数のセーフティクリティカルな、従ってアクセス制限された危険区域が存在する。
【0003】
一方では、このようなセーフティクリティカルな危険区域は、適切な手段、特に保護装置によって保護されなければならず、他方では、作業を実施するために機械の危険区域に入る場合には、人が機械の危険区域にいる間に機械が運転に戻されないように注意しなければならない。
【0004】
このことは、産業プラントの危険区域がしばしば非常に分かりにくく、および/またはプラントの大きさのゆえに、種々のアクセス可能性を有するという事実によって困難となり、そのため、機械を運転に復帰させる前に、一人の人間が機械の危険区域における他の人の存在を必要な確実性をもって排除可能であることを保証することができないことが多い。
【0005】
一方、製品の個別化とそれに伴うバッチサイズの縮小とに向けた継続的な傾向のため、プラント製造業者は、それぞれが1つまたは複数の機械を含む、空間的に自己完結型のプラントセルという形で、プラントのモジュール化の進展に対応するようになってきている。このようなモジュール化は、一般的に、産業プラントの危険区域が、より高いレベルの安全コンセプトではもはや賢明な保護ができないことを意味する。したがって、産業プラントの各プラントセルに適合し最適化された安全コンセプトが必要となる。このようなセル指向の安全アプローチの利点は、たとえば、個々のプラントセルのメンテナンスやテストの際に、産業プラント全体をシャットダウンする必要がなく、セル単位でシャットダウン可能であることである。しかし、これは、たとえばメンテナンスの際に再運転を防止する安全システムが、さらに複雑な問題に対処しなければならないことを意味する。
【発明の概要】
【0006】
本発明の課題は、この対立領域から、少なくとも1つのアクセス制限された危険区域を監視するためのシステムであって、そこで作業する少なくとも1つの機械が再起動されたときに、危険区域に人が存在しないことを確実に保証することができ、また、過去のアクセスイベントを文書化することも可能にするシステムを提案することである。
【0007】
この課題に対する解決手段は、請求項1の特徴を有する、アクセス制限された危険区域を監視するためのシステムを提供する。
【0008】
技術プラントの少なくとも1つのアクセス制限された危険区域を監視するための本発明に従ったシステムであって、少なくとも1つの機械、特にロボットが、少なくとも1つのアクセス制限された危険区域内に配置されているシステムは、
フェイルセーフ方式で少なくとも1つの機械の動作を制御するように構成された安全スイッチング装置と、
少なくとも1つの危険区域に人が出入り可能であるように構成された少なくとも1つのアクセス装置であって、アクセス装置には、認証された人を認証するように構成されたアクセス制御装置が割り当てられているアクセス装置と、
少なくとも1つの危険区域の現在のアクセスイベントに関する情報および少なくとも1つの危険区域の過去のアクセスイベントに関する情報を記録するように構成されたログインコントローラと、を備え、
安全スイッチング装置は、認証されたアクセス権限を有する者の要求に応じて、少なくとも1つの機械のフェイルセーフスイッチオフのためのスイッチオフ信号を生成し、少なくとも1人の人が関連する危険区域内に存在する限り、少なくとも1つの機械の再起動を防止するように構成されている。
フェイルセーフ方式で少なくとも1つの機械の動作を制御するように構成された安全スイッチング装置と、
少なくとも1つの危険区域に人が出入り可能であるように構成された少なくとも1つのアクセス装置であって、アクセス装置には、認証された人を認証するように構成されたアクセス制御装置が割り当てられているアクセス装置と、
少なくとも1つの危険区域の現在のアクセスイベントに関する情報および少なくとも1つの危険区域の過去のアクセスイベントに関する情報を記録するように構成されたログインコントローラと、を備え、
安全スイッチング装置は、認証されたアクセス権限を有する者の要求に応じて、少なくとも1つの機械のフェイルセーフスイッチオフのためのスイッチオフ信号を生成し、少なくとも1人の人が関連する危険区域内に存在する限り、少なくとも1つの機械の再起動を防止するように構成されている。
【0009】
本発明に従ったシステムは、多数のプラントセルがあり、各プラントセルがアクセス制限された危険区域を有する大規模な産業プラントでも使用可能であるという利点を有する。このシステムは、たとえばメンテナンスのために、人が異なるアクセスポイントからプラントセルの1つに出入りすることを認識する。つまり、危険区域内にある少なくとも1台の自動機械(特にロボット)は、メンテナンス作業が完了し、すべての人が安全が確保された危険区域から退去した直後に再起動される。したがって、人が元のアクセスポイントに戻るまで待つ必要はない。ここで紹介するシステムの別の応用例として、たとえば、危険区域によって互いに隔てられた少なくとも2つの建物部分がある建物がある。危険区域を通過するためには、(たとえば建物の最初の部分で)入退室管理の後、危険区域内で作動しているその少なくとも1台の機械のスイッチが切られる。建物の別の部分に入るため、元のログイン場所、すなわち建物の最初の部分のアクセス制御ポイントに戻る予定がない場合、ログアウトは建物の2番目の部分のアクセス装置で行うことが可能である。
【0010】
さらに、アクセス権限のある各人に、個人識別手段を介して固有のコード(個人ID)を割り当てることが可能であるので、改ざん防止も有利な方法で提供される。このことは、権限のない者が、技術プラントのアクセス制限された危険区域の1つに気付かれずに侵入することが不可能であることを意味する。また、プラントセルが保護されていない状態で、機械を再アクティブ化したり再起動したりすることもできない。
【0011】
本システムの特に優れた点は、現在のアクセス行動だけでなく、以前のアクセス行動もログに記録することが可能であるため、たとえば監査証跡を可能にするために、すきまなく完全に文書化することが可能であることである。
【0012】
好ましい実施形態では、ログインコントローラが、少なくとも1つの危険区域内の現在のアクセスイベントに関する情報を有するアクセス制御リストが検索可能な方法で記憶される揮発性記憶手段を有することが提案される。
【0013】
特に好ましい実施形態では、ログインコントローラが、少なくとも1つの危険区域内の過去のアクセスイベントに関する情報を有するアクセス文書リストまたはアクセス文書データベースが検索可能な方法で記憶される不揮発性記憶手段を有することが提供される。
【0014】
有利な実施形態では、ログインコントローラが、人が危険区域から退出することが認証された後に、危険区域から退出した時刻を表すタイムスタンプと共に、その人の関連するリストエントリをアクセス制御リストからアクセス文書リストまたはアクセス文書データベースに転送し、その人のリストエントリをアクセス制御リストから削除するように構成することが可能である。揮発性の一時記憶手段に記憶されているアクセス制御リストのエントリを、アクセス文書リストまたは不揮発性記憶手段に検索可能な形式で記憶されているアクセス文書データベースに転送することにより、現在のアクセスイベントだけでなく、産業プラント全体および個々のプラントセルまたは危険区域の過去のアクセスイベントも電子的に記録され、したがって文書化される。
【0015】
特に有利な実施形態では、安全制御装置を、スイッチオフされた機械からスイッチオン要求を受信したときに、アクセス制御リスト内の既存のリストエントリを照会するために、ログインコントローラに照会要求を送信するように構成されており、ログインコントローラが、この照会要求を受信した後に、アクセス制御リストに含まれるエントリの照会を実行し、この照会の結果を安全制御装置に送信するように構成することが可能である。特に、このシステムは、技術プラントのセルベースの保守も可能にする。システムは、保守サービスのような人々が、システム内の異なるプラントセルを保守していることを認識する。それぞれのアクセス制御リストと比較することで、どのプラントセルまたはプラントセルに現在人がいるかを明確にチェックすることが可能である。これには、他のすべてのプラントセルで生産を維持可能であるという利点がある。
【0016】
好ましくは、安全制御装置は、人が認証された後にアクセス装置のロックを自動的に解除するために、少なくとも1つのアクセス装置のロック装置のための少なくとも1つの制御信号を生成するように構成することが可能である。これにより、危険区域に入る前および危険区域から出る前に、少なくとも1つのアクセス装置のロックを自動的に解除することが可能になる。好ましくは、少なくとも1つのアクセス装置の再ロックは、安全制御装置が対応する起動信号を生成するということで、ロック装置によって自動化することも可能である。
【0017】
一実施形態では、技術プラントのすべての危険領域に共通のアクセス制御リストを割り当てることが可能である。
【0018】
別の実施形態では、技術プラントの各危険区域に個別のアクセス制御リストを割り当てることも可能である。
【0019】
一実施形態では、ログインコントローラをプログラマブルロジックコントローラ、特にプログラマブルフェイルセーフコントローラとして構成することが提案されている。この実施形態では、ログインコントローラと安全制御装置は、システムの2つの別個の構成要素である。
【0020】
より高度なシステム統合を達成するために、ログインコントローラは、別の実施形態においては、安全制御装置と一体的に構成することも可能である。
【0021】
本発明の実施形態のさらなる特徴および利点を、図面を参照して以下に説明する。
【図面の簡単な説明】
【0022】
【図1】本発明の好ましい実施形態に従って構成された、少なくとも1つのアクセス制限された危険区域を監視するためのシステムを備えた技術プラントの概略的に高度に簡略化された平面図である。
【図2】本システムのアクセス制御装置の概略図である。
【発明を実施するための形態】
【0023】
少なくとも1つのアクセス制限された危険区域5a,5bを監視するための本発明に従ったシステムが、以下に説明するすべての特徴を有する必要はない。本発明に従ったシステムが以下に説明する実施形態の個々の特徴のみを有することも可能である。
【0024】
図1を参照すると、技術プラント1が非常に単純化された平面図で概略的に示されている。この実施形態例では、技術プラント1は2つのプラントセル2a,2bを有し、これらはそれぞれフェンス3a,3b、特に金属メッシュフェンスによって空間的に区切られている。大規模な技術プラントは一般に、このようなプラントセル2a,2bを多数有している。プラントセル2a,2bの各々には、特に産業用ロボットであってもよい1つ以上の自動機械4a,4a’,4a’’,4bが設置されている。
【0025】
この実施例では、図1の左側に示す第1のプラントセル2aは、合計3台の自動機械4a,4a’,4a’’、特にロボットを有する。それに対して、第2のプラントセル2bは、単一の自動機械4b、特にロボットを備えている。それぞれのプラントセル2a,2bの内部空間は、関連するフェンス3a,3bによって区切られており、それぞれがそれぞれのプラントセル2a,2bのアクセス制限された危険区域5a,5bを形成している。
【0026】
プラントセル2a,2b内で作動する機械4a,4a’,4a’’,4bの作動をフェイルセーフ方式で制御することが可能である。この目的のために、安全制御装置6は、2つのプラントセル2a,2bのそれぞれと、ここでは二重矢印で表された双方向通信リンク7a,7bを有し、これを介して機械4a,4a’,4a’’,4bのフェイルセーフ制御を行うことが可能である。
【0027】
安全制御装置6は、運転中にプラントセル2a,2bから対応するデータを確実に受信し、それを確実に評価し、これに基づいてプラントセル2a,2b内の機械4a,4a’,4a’’,4bの運転を確実に制御するように構成されている。安全制御装置6の課題は、危険な状況が発生したときに、機械4a,4a’,4a’’,4bを人間にとって安全な状態に移行させることである。このような信号装置の例としては、非常停止スイッチや緊急停止スイッチ、特にロボットシステムにおいてはイネーブルスイッチなどがある。したがって、安全制御装置6は、故障や誤動作が発生した場合に、プラントセル2a,2b内の機械4a,4a’,4a’’,4bを、人にとって安全な運転状態に移行させるように構成されている。これは、好ましくは、プラントセル2a,2bについて互いに独立して行われる。しかし、原理的には、プラントセル2a,2bの一つで故障や誤動作が発生した場合に、技術プラント1全体の機械4a,4a’,4a’’,4bを人にとって安全な運転状態に移行させることも可能である。
【0028】
プラントセル2a,2bの各々は、1つ以上のアクセスオプションを有し、このアクセスオプションは、たとえばアクセスドアとして構成することが可能である、対応するアクセス装置8a,8a’,8a’’,8a’’’,8b,8b’,8b’’,8b’’’によって実現される。2つのプラントセル2a,2bの各々は、4つのアクセス装置8a,8a’,8a’’,8a’’’,8b,8b’,8b’’,8b’’’を有する。
【0029】
1人以上の人が、たとえばメンテナンスの目的で、プラントセル2a,2bの1つに入りたい、そして危険区域5a,5bの1つに入る場合、まず、適切な措置が取られることによって、関連するプラントセル2a,2b内の機械4a,4a’,4a’’,4bの各々がスイッチオフされて、それによってもはや人に危険を及ぼすことはないことが確実とならなければならない。各機械4a,4a’,4a’’,4bがスイッチオフされた後にようやく、人は関連するプラントセル2a,2bに安全に入ることできる。また、プラントセル2a,2b内の危険区域5a,5bに人がいる限り、機械4a,4a’,4a’’,4bの再起動が効果的に防止されることも保証されなければならない。1人以上の人が第1のプラントセル2aの危険区域5aに入ると、その中で作動している機械4a,4a’,4a’’はあらかじめスイッチが切られる。対照的に、第2のプラントセル2bの危険区域5b内の機械4bは運転を継続することができ(その逆も同様)、たとえば、プラント1のセルベースのメンテナンスも可能である。
【0030】
技術プラント1のプラントセル2a,2b内のアクセス制限された危険区域5a,5bを監視するように構成された以下に説明するシステムによって、権限を付与された、従って実際にアクセス権を付与された人、特に保守要員および操作要員のみが、任意のアクセス装置8a,8a’,8a’’,8a’’’,8b,8b’,8b’’,8b’’’を介してプラントセル2a,2bに入ることができ、またプラントセル2a,2bから出ることが可能であることを保証することが可能である。プラントセル2a,2bの危険区域5a,5b内にまだ人がいるかどうかを確認するための目視検査は、実際には不可能であることが非常に多い。これは、機械4a,4a’,4a’’,4bに加えて、プラントセル2a,2bの内部に、付加的な視覚バリア9a,9b,9cを形成し、信頼できる目視検査を不可能にする他の物体および/または装置が存在し得るからである。このことは、図1において、第1のプラントセル2aの左側の例として、そこに示された視覚バリア9a,9b,9cによって示されている。
【0031】
プラントセル2a,2bの各アクセス装置8a,8a’,8a’’,8a’’’,8b,8b’,8b’’,8b’’’には、アクセス制御装置10a,10a’,10a’’,10a’’’,10b,10b’,10b’’,10b’’’が割り当てられる、これは、関連するアクセス装置8a,8a’,8a’’,8a’’’,8b,8b’,8b’’,8b’’’と機能的に相互作用し、適切な方法で人のアクセス認証をチェックすることが可能である。
【0032】
アクセス制御装置10a,10a’,10a’’,10a’’’,10b,10b’,10b’’,10b’’’の各々は、それぞれに一意に割り当てられた個人識別データを受信し、特にアクセス認証データと比較することによって、それを評価するように構成されている。たとえば、個人識別データは、特に一意の個人IDの形で、人が携帯する個人識別手段に電子的に格納することが可能である。この個人識別手段は、たとえばトランスポンダ・キーとすることが可能である。このトランスポンダ・キーは、アクセス制御装置10a,10a’,10a’’,10a’’’,10b,10b’,10b’’,10b’’’の1つにこの目的のために設けられた読取りインターフェース100に挿入することができ、これにより、トランスポンダ・キーに格納された個人識別データを読み出して、アクセス許可データと比較することが可能である。特定の実施形態では、識別手段、特にトランスポンダ・キーから読取りインターフェース100へのデータ伝送は、無線、特に安全な無線近距離通信インターフェースを介することも可能である。この場合、アクセス制御プロセスでは、識別手段を、関連するアクセス制御装置10a,10a’,10a’’,10a’’’,10b,10b’,10b’’,10b’’’の読取りインターフェース100の前またはその近傍に置くだけで十分である。
【0033】
アクセス制御装置10a,10a’,10a’’,10a’’’,10b,10b’,10b’’,10b’’’の可能な実施形態のさらなる詳細については、図2を参照して以下にさらに詳しく説明する。トランスポンダ・キーの代わりに、個人識別データが検索可能な形で格納されている他の個人識別手段を使用することも可能である。
【0034】
個人識別データを評価し、アクセス許可データと比較することにより、アクセス制御装置10a,10a’,10a’’,10a’’’,10b,10b’,10b’’,10b’’’によって、人物を識別し、認証手順を使用して、関係者が関連プラントセル2a,2bの危険区域5a,5bに入る権限があるかどうかをチェックすることが可能である。
【0035】
以下でさらに詳細に説明するように、ここで提示されるシステムによって、技術プラント1のプラントセル2a,2bへのアクセスおよびプラントセル2a,2bからの退出の両方が文書化される、1つ以上の機能的に確実な、特にセルベースのアクセス制御リスト13が導かれる。プラントセル2a,2bの1つに入る前に、人の個人識別データがチェックされ、入ることが許可される。チェックが肯定的である場合、少なくともその人の身元が得られる最初のタイムスタンプ(=アクセス時刻)を持つデータが、少なくとも1つのアクセス制御リスト13を検索可能である揮発性記憶手段121に記憶される。危険区域13から出るとき、このデータはアクセス制御リスト13から削除され、その場合、アクセス制御リスト13のすべての変更は、対応するタイムスタンプとともにシステム文書化の目的で永久的な不揮発性記憶手段122に記憶され、そこから技術プラント1のそれぞれのプラントセル2a,2bの進入時刻(第1のタイムスタンプ)および退出時刻(第2のタイムスタンプ)に関する情報を検索することが可能である。
【0036】
アクセス制御装置10a,10a’,10a’’,10a’’’,10b,10b’,10b’’,10b’’’の各々は、ある人物のアクセス許可の検証が肯定的であり、その結果この人物が関連するプラントセル2a,2bの危険区域5a,5bに入ることを許可されている場合、安全制御装置6に第1の認証情報を送信するように構成されている。安全制御装置6は、第1の認証情報を評価するように構成されている。好ましくは、安全制御装置6は、このプロセスにおいて、もっともらしさテストも実行可能であるように構成される。
【0037】
また、安全制御装置6は、関連するプラントセル2a,2b内の機械4a,4a’,4a’’,4bを、アクセス許可された者からの要求信号を受信した後に安全にシャットダウンし、その者が、対応するアクセス制御装置10a,10a’,10a’’,10a’’’,10b,10b’,10b’’,10b’’’によって承認された、アクセス装置8a,8a’,8a’’,8a’’’,8b,8b’,8b’’,8b’’’それぞれの、ここでは明示的に図示されていない施錠装置を開錠するように構成されている。許可されたアクセス権者が、対応するアクセス装置8a,8a’,8a’’,8a’’’,8b,8b’,8b’’,8b’’’を介して、関連するプラントセル2a、2bの危険区域5a,5bに入った後、このアクセス装置8a,8a’,8a’’,8a’’’,8b,8b’,8b’’,8b’’’は、施錠装置によって自動的に再び施錠される。上記の目的のために、安全制御装置6は、機械4a,4a’,4a’’,4bと、関連するアクセス装置8a,8a’,8a’’,8a’’’,8b,8b’,8b’’,8b’’’に割り当てられた施錠装置とのための対応する制御信号を生成する。
【0038】
ある人のアクセス許可が検証され、その結果その人も認証された場合、その人は、プラントセル2a,2b内に配置された少なくとも1つの機械4a,4a’,4a’’,4bの停止後に、アクセス装置8a,8a’,8a’’,8a’’’,8b,8b’,8b’’,8b’’’を開き、読取りインターフェース100から識別手段を取り外し、該当するプラントセル2a,2bに入ることが可能である。アクセス装置8a,8a’,8a’’,8a’’’,8b,8b’,8b’’,8b’’’は、少なくとも1つの機械4a,4a’,4a’’,4bがその後プラントセル2a,2b内で再起動される前に、それぞれのプラントセル2a,2bに以前にログインしたすべての人が、後の時間に再びそこから離れ、個人識別手段、特にトランスポンダ・キーを使用して再びログアウトした場合にのみ、再び施錠することが可能である。
【0039】
これは特にプログラマブルロジックコントローラ、好ましくはプログラマブルロジックフェイルセーフコントローラとして構成されており、中央安全制御装置6と双方向通信リンク15を結んでいる。この場合、ログインコントローラ12はシステムの別個の構成要素である。
【0040】
ログインコントローラ12は、少なくとも1つのプロセッサ手段120と、揮発性の一時記憶手段(RAM記憶手段)121と、不揮発性の記憶手段122とを有する。ログインコントローラ12は、不揮発性記憶手段122に検索可能に記憶されたソフトウェアプログラムをさらに備え、このソフトウェアプログラムは、技術プラント1全体およびプラントセル2a,2bの構造をマッピングし、システムの動作中にプロセッサ手段120によって実行される命令を含む。上述のアクセス制御リスト13は、揮発性記憶手段121内に格納される。人がアクセス制御装置10a,10a’,10a’’,10a’’’,10b,10b’,10b’’,10b’’’のうちの1つへのログインに成功し、こうして認証されると、ログインコントローラ12は、安全制御装置6から対応する個人情報を受信する、特に、プラントモジュール2a,2bのどのアクセス制御装置10a,10a’,10a’’,10a’’’,10b,10b’,10b’’,10b’’’において、どの人物がどの時刻(最初のタイムスタンプ)に認証されたかという情報を受信する。この情報は、ログインコントローラ12によって処理され、アクセス制御リスト13に転送され、一時記憶手段121を用いて記憶される。ログインコントローラ12はまた、アクセス文書リスト14またはアクセス文書データベースを有し、このデータベースは、検索可能な方法で不揮発性記憶手段122に記憶され、このデータベースによって、プラントセル2a,2b内の過去のアクセスイベント全体を文書化することができる。これにより、有利な方法で、プラントセル2a,2bおよび技術プラント1全体の監査証跡が可能になる。あるいは、ログインコントローラ12を安全制御装置6に統合することも可能である。ログインコントローラ12のプロセッサ手段120は、好ましくは、安全制御装置6のプロセッサ手段と同一にすることが可能である。安全制御装置6がモジュール構成とされる場合、ログインコントローラ12は、この安全制御装置6のモジュールを形成することが可能である。
【0041】
人が、必ずしもアクセス装置8a,8a’,8a’’,8a’’’,8b,8b’,8b’’,8b’’’である必要はないが、プラントモジュール2a,2bへのその人のアクセスが行われるのに介在されたアクセス装置8a,8a’,8a’’,8a’’’,8b,8b’,8b’’,8b’’’の1つを通って、前に入ったプラントセル2a,2bから再び出たい場合、該当するアクセス制御装置10a,10a’,10a’’,10a’’’,10b,10b’,10b’’,10b’’’の助けを借りて、再び識別され、認証されなければならない。このため、識別手段、特にトランスポンダ・キーが読取り装置100に挿入される。認証が肯定された場合、第2の個人情報が、該当するアクセス制御装置10a,10a’,10a’’,10a’’’,10b,10b’,10b’’,10b’’’から安全制御装置6に送信され、安全制御装置6によって処理される。必要であれば、再度、妥当性テストが実行される。安全制御装置6によって生成された対応する起動信号によって、その人が認証されたアクセス制御装置10a,10a’,10a’’,10a’’’,10b,10b’,10b’’,10b’’’のアクセス装置8a,8a’,8a’’,8a’’’,8b,8b’,8b’’,8b’’’の施錠装置の施錠が開錠される。プラントセル2a,2bから出た後、アクセス装置8a,8a’,8a’’,8a’’’,8b,8b’’,8b’’’は閉じられ、該当する施錠装置によって再び自動的に施錠される。
【0042】
さらに、安全制御装置6は、アクセス制御リスト13から個人リストエントリに対するサインアウト要求を生成し、それをログインコントローラ12に送信する。ログインコントローラ12は、関連する個人識別データ(個人ID)、第1のタイムスタンプ(プラントセル2a,2bへの進入時刻)、および第2のタイムスタンプ(プラントセル2a,2bからの退出時刻)を含む、個人リストエントリに対するこのサインアウト要求を受信し、これを処理する。アクセス制御リスト13に記憶された関連する個人リストエントリは、その後、アクセス文書リスト14または不揮発性記憶手段122のアクセス文書データベースに記憶され、どの時刻にどの人物がプラントセル2a,2bに出入りしたかを追跡可能であるように、履歴アクセスデータを使用して後で検索可能であるようにされる。その後、個人化されたリスト項目はアクセス制御リスト13から削除され、不揮発性記憶手段121から削除される。
【0043】
プラントセル2a,2bから出た後、人がその中にある機械4a,4a’,4a’’またはその中にある機械4bの再起動を希望し、対応する操作入力を行い、それが安全制御装置6に送信される場合、当該プラントセル2a,2bの危険区域5a,5bに他の人がいないことが保証されなければならない。次に、安全制御装置6は、アクセス制御リスト13のリストエントリを照会するための照会要求をログインコントローラ12に送信する。ログインコントローラ12は、リストエントリに対するこの照会要求を受信し、アクセス制御リスト13において、そこに含まれるエントリに対する照会を実行する。好ましくは、空のアクセス制御リスト13の場合には「1」、空でないアクセス制御リスト13の場合には「0」のようなバイナリ問い合わせ結果が生成され、ログインコントローラ12から安全制御装置6に送信される。
【0044】
安全制御装置6は、ログインコントローラ12の問合せ結果を受信し、評価するように構成されている。上述の例では、安全制御装置6は、このようにして、問い合わせ結果「1」(=アクセス制御リスト13が空)または「0」(=アクセス制御リスト13が空ではない)のいずれかを受信する。結果が「1」であれば、安全スイッチング装置6は、スイッチオフされた機械4a,4a’,4a’’,4bを再起動するための1つ以上のスイッチオン信号を生成する。一方、問い合わせ結果「0」が受信された場合、機械4a,4a’,4a’’,4bを再起動するためのスイッチオン信号は、安全制御装置6によって生成されない。したがって、技術プラント1は現在の運転状態のままである。個々のプラントセル2aまたは2bの運転は、技術プラント1の生産性を最大にするために、有利な方法で個別に停止および再開することが可能である。
【0045】
図2を参照して、好ましくは全て同一に構成されているアクセス制御装置10a,10a’,10a’’,10a’’’,10b,10b’,10b’’,10b’’’の可能な実施例の更なる詳細を、アクセス制御装置10aを例として用いて説明する。
【0046】
アクセス制御装置10aは、識別手段、特にトランスポンダ・キーの、受信または無線により読み出すための読取りインターフェース100を備え、これは、少なくとも2つの光色で照明するように構成された照明装置101を備える。第1の光色は、読取りインターフェース100が操作可能な状態であり、そのため識別手段を受け取る、または無線で読み取ることが可能であることを人に知らせる。第2の光色は、読取りインターフェース100が識別手段、特にトランスポンダ・キーを正しく読み取り、人を認証したことを示す。オプションとして、照明装置101は、読み取りエラーや欠陥などのさらなる情報を知らせるために、少なくとも1つの光色で点灯するように設定可能である。
【0047】
アクセス制御装置10aは、手動操作可能な操作ボタン102をさらに備え、この操作ボタン102は、好ましくは、少なくとも第1の光色で照明可能な一体型照明装置103を有する。読取りインターフェース100によって、識別手段、特にトランスポンダ・キーを読み出して、読取りインターフェース100の照明装置101によって第2の光色での点灯を介して了承される正しい個人認証を行った後、その人は手動で操作ボタン102を操作することが可能となる。この手動操作により、プラントセル2a,2b内で作動している機械4a,4a’,4a’’,4bのスイッチオフ要求が安全制御装置6に通知される。機械4a,4a’,4a’’,4bのスイッチオフプロセスの完了、および/または人の正しい認証、およびアクセス制御リスト13への関連エントリは、操作ボタン102の照明装置103が第1の光色、たとえば緑色で点灯することによって確認することが可能である。プラントセル2a,2bへのアクセスは、アクセス装置8a,8a’,8a’’,8a’’’,8b,8b’,8b’’,8b’’’を介して行うことができ、識別手段は、読取りインターフェース100に物理的に挿入されていれば、読取りインターフェース100からその人によって取り外すことができる。操作ボタン102の照明装置103は、たとえば故障を視覚化するために、少なくとも第2の光色(たとえば赤色)で点灯するように構成することも可能である。
【0048】
ここに示されたシステムおよびそれに基づく方法によって、危険区域5a,5b内の機械4a,4a’,4a’’,4bは、当該危険区域5a,5b内に人がいる限り、再始動できないことが保証される。少なくとも1つの機能的に安全なアクセス制御リスト13が維持され、その中で、危険区域5a,5bへのアクセスおよび危険区域5a,5bからの退出の両方が、対応するタイムスタンプによって文書化される。すなわち、人が危険区域5a,5bから退出すると、人固有の識別コードがアクセス制御リスト13から削除され、少なくとも1つの機械4a,4a’,4a’’,4bが再起動される前に、アクセス制御リスト13が空であるかどうかのチェックが行われる。この場合、少なくとも1台の機械4a,4a’,4a’’,4bを起動することが可能である。アクセス制御リスト13が空でない場合、再起動は阻止される。原則として、アクセス制御リスト13をすべてのアクセス制限された危険区域5a,5bに使用することが可能である。あるいは、アクセス制限された危険区域5a,5bのそれぞれに対して、個別のセル固有のアクセス制御リスト13を使用することも可能である。
【図1】
【図2】
【外国語明細書】
