Die Erfindung betrifft ein Verfahren zur Freigabe einer sicherheitskritischen Funktion einer Maschine.

Weiter betrifft die Erfindung ein System zu Freigabe einer sicherheitskritischen Funktion einer Maschine.

Es ist bekannt, räumliche Bereiche mittels Sensoren zu überwachen und Maschinen anzuhalten, wenn die Sensoren ein Risiko im Bereich detektieren. Ein Risiko kann bspw. eine Person oder ein Gegenstand sein, der in diesem Bereich nicht erwartet wird.

Typischerweise wird die Maschine gestoppt oder anderweitig in einen sicheren Zustand gebracht sobald einer der Sensoren ein Risiko detektiert. Eine ggf. vorhandene Recheneinheit zur Bewertung der Sensorsignale wird hier mit zum Sensor gezählt. Eine Freigabe der gestoppten Maschine ist typischerweise nur bei Sichtprüfung des überwachten Bereichs möglich. Es ist folglich notwendig, dass eine Person zur Freigabe in direkter Nähe des überwachten Bereichs ist.

Aus der DE 10 2016 226 133 Al ist eine Steuereinrichtung bekannt, die von einem Sender mit einem Lichtsignal von einem Alarmzustand in einen Normalzustand versetzt werden kann.

Der Erfindung liegt die Aufgabe zugrunde, ein eingangs genanntes System und ein eingangs genanntes Verfahren bereitzustellen, welches die Freigabe der Maschine vereinfacht.

Diese Aufgabe wird gelöst durch ein Verfahren nach Anspruch 1 und ein System nach Anspruch 8. Erfindungsgemäß wird ein Verfahren zur Freigabe einer sicherheitskritischen Funktion einer Maschine bereitgestellt, wobei ein Überwachungssystem einen sicherheitskritischen Bereich der Maschine überwacht, wobei das Überwachungssystem zumindest einen Überwachungssensor umfasst, wobei die sicherheitskritische Funktion gesperrt wird, wenn das Überwachungssystem in einem Signal des Überwachungssensors ein erstes Risiko detektiert, wobei ein erstes Signal des Überwachungssensors zu einem ersten Zeitpunkt mit einem ersten Identifikator zu einer ersten Nachricht kombiniert wird, wobei die erste Nachricht von dem Überwachungssystem an eine Freigabeeinheit versendet wird, wobei zu einem zweiten Zeitpunkt eine zweite Nachricht mit einem Freigabesignal und dem ersten Identifikator von dem Überwachungssystem empfangen wird, wobei die zweite Nachricht von dem Überwachungssystem überprüft wird, wobei die sicherheitskritische Funktion von dem Überwachungssystem freigegeben wird, wenn die Überprüfung der zweiten Nachricht erfolgreich verläuft

Mögliche Sensoren zur Überwachung des Bereichs sind bspw. Lichtschranken, Kontaktsensoren an Türen, Ultraschallsensoren, Radarsensoren oder Kameras. Die Sensoren können eine Begrenzung des Bereichs und/oder den Bereich selbst überwachen.

Für die Versendung in der ersten Nachricht wird vorzugsweise das Signal einer Kamera oder eines anderen bildgebenden Sensors, also ein Bild oder bevorzugt ein Bilderstrom, verwendet. Dies ist besonders vorteilhaft, wenn an der Freigabeeinheit ein Mensch die Situation bewerten soll.

Durch den Identifikator ist das Überwachungssystem in der Lage die zweite Nachricht der ersten Nachricht zuzuordnen. Dies ist vorteilhaft bei der Versendung mehrerer Nachrichten mit Signalen des Überwachungssensors über ein Netzwerk, bei dem die zeitliche Reihenfolge von Nachrichten nicht garantiert ist, wie bspw. dem Internet.

Eine Überprüfung der zweiten Nachricht gilt dann als erfolgreich, wenn sie nicht aus mindestens einem Grund fehlschlägt. Mögliche Gründe für ein Fehlschlagen der Überprüfung werden im Folgenden angeführt. Bevorzugt wird zu einem dritten Zeitpunkt ein zweites Signal des Überwachungssensors mit einem zweiten Identifikator zu einer dritten Nachricht kombiniert, wobei der dritte Zeitpunkt hinter dem ersten Zeitpunkt liegt, wobei der zweite Identifikator unterschiedlich zum ersten Identifikator ist, wobei über die Identifikatoren die zeitliche Reihenfolge der Signale festgestellt werden kann

Das zweite Signal ist das gleiche Signal wie das erste Signal, mit dem Unterschied, dass das zweite Signal zu einem späteren Zeitpunkt vom Überwachungssensor erzeugt wurde, bevorzugt ein Bild oder eine Bilderfolge, die zu dem späteren Zeitpunkt aufgenommen werden. Die dritte Nachricht kann daher von der Freigabeeinheit wie eine erste Nachricht behandelt werden.

Es versteht sich, dass weitere Nachrichten mit jeweils aktuellen Signalen des Überwachungssensors versendet werden können. Dadurch kann an der Freigabeeinheit auch eine Situation bewertet werden, die sich nach der Sperrung der Funktion geändert hat. Die weiteren Nachrichten erhalten jeweils einen eigenen Identifikator. Die Nachrichten werden bevorzugt periodisch versendet. Dies ist besonders vorteilhaft, wenn in jeder Nachricht ein oder mehrere Bilder eines Bilderstroms einer Kamera enthalten sind.

Der Identifikator ist bevorzugt ein Zeitstempel. Mit Zeitstempeln lässt sich die zeitliche Reihenfolge der Nachrichten besonders leicht feststellen.

Besonders bevorzugt ist der erste Identifikator ein kryptografisch signierter Zeitstempel ist, wobei die Überprüfung des Freigabesignals fehlschlägt, wenn eine Validierung des ersten kryptografisch signierten Zeitstempels aus der zweiten Nachricht fehlschlägt. Kryptografisch signierte Zeitstempel sind bspw. aus dem Standard RFC3161 oder dem ANSI ASC X9.95 Standard bekannt.

Informationen finden sich auch unter https://en.wikipedia.org/wiki/Trusted timestamping

Kryptografisch signierte Zeitstempel sind vorteilhaft, da Freigabesignale mit einem willkürlichen Zeitstempel zu einem Fehlschlagen der Überprüfung führen. Fehlfunktionen der Freigabeeinheit führen so nicht zu einer fehlerhaften Freigabe der sicherheitskritischen Funktion. Bevorzugt die zweite Nachricht mit einer zweiten kryptografischen Signatur von der Freigabeeinheit versehen, wobei die Überprüfung der zweiten Nachricht fehlschlägt, wenn eine Validierung der zweiten kryptografischen Signatur fehlschlägt. Die zweite Signatur kann bspw. mit einem privaten Schlüssel der Freigabeeinheit erstellt werden, wobei der zum privaten Schlüssel gehörige öffentliche Schlüssel zur Prüfung der zweiten Signatur im Überwachungssystem abgelegt ist. Durch die kryptografische Signatur kann sichergestellt werden, dass die zweite Nachricht von der Freigabeeinheit stammt und nicht von einer unbekannten Einheit.

Bevorzugt schlägt die Überprüfung der zweiten Nachricht fehl, wenn zwischen dem ersten Zeitpunkt und dem zweiten Zeitpunkt das Überwachungssystem ein zweites Risiko detektiert. Das zweite Risiko wird ebenso wie das erste Risiko aus den Signalen des Überwachungssensors oder eines anderen Überwachungssensors detektiert. Die sicherheitskritische Funktion wird nur freigegeben, wenn die Nachricht mit dem Freigabesignal einen Identifikator aufweist, der auf einen Zeitpunkt nach dem letzten detektierten Risiko verweist. Die Überprüfung von Freigabesignalen mit anderen Identifikatoren führt zu einem Fehlschlagen der Überprüfung.

In einer bevorzugten Ausgestaltung wird die erste Nachricht zusätzlich an eine zweite Freigabeeinheit gesendet, wobei eine zweite Nachricht von der zweiten Freigabeeinheit mit einem Freigabesignal und dem ersten Identifikator von dem Überwachungssystem genauso behandelt wird wie die zweite Nachricht von der ersten Freigabeeinheit. Durch die Versendung der ersten Nachricht an eine zweite Freigabeeinheit wird die Freigabe der Funktion von zwei Freigabeeinheiten ermöglicht. Dies ist vorteilhaft, falls eine Freigabeeinheit ausfällt oder ein Bediener eine manuell zu bedienenden Freigabeeinheit verhindert ist.

Ein zweiter Aspekt der Erfindung betrifft ein System zu Freigabe einer sicherheitskritischen Funktion einer Maschine, insbesondere einer Werkzeugmaschine, umfassend die Maschine, ein Überwachungssystem und eine Freigabeeinheit, wobei das Überwachungssystem zumindest einen Überwachungssensor zur Überwachung eines sicherheitskritischen Bereichs der Maschine aufweist, wobei das Überwachungssystem und die Freigabeeinheit kommunikativ verbunden sind, wobei das Überwachungssystem eine Recheneinheit umfasst, wobei die Recheneinheit dazu vorgesehen und eingerichtet ist ein erstes Signal des Überwachungssensors auszuwerten und die sicherheitskritische Funktion der Maschine zu sperren, wenn die Recheneinheit in dem ersten Signal des Überwachungssensors ein erstes Risiko detektiert, wobei das Überwachungssystem dazu vorgesehen und eingerichtet ist das erste Signal des Überwachungssensors mit einem ersten Identifikator zu kombinieren und in einer ersten Nachricht an die Freigabeeinheit zu übertragen, wobei das Überwachungssystem dazu vorgesehen und eingerichtet ist eine zweite Nachricht mit einem Freigabesignal und dem ersten Identifikator von der Freigabeeinheit zu empfangen, wobei das Überwachungssystem dazu vorgesehen und eingerichtet ist die zweite Nachricht zu Überprüfen und die sicherheitskritische Funktion der Maschine freizugeben, wenn die Überprüfung der zweiten Nachricht erfolgreich verläuft.

Die Recheneinheit kann einen Prozessor, einen FPGA, einen ASIC, einen Controller oder ein anderes Rechenwerk umfassen. Die Recheneinheit kann Teil der Maschine sein oder eine eigenständige Einheit.

Das System ist bevorzugt dazu vorgesehen und ausgestaltet bevorzugte Ausgestaltungen des erfindungsgemäßen Verfahrens durchzuführen.

Der Überwachungssensor ist bevorzugt eine Kamera. Signale einer Kamera lassen sich besonders einfach von einem Menschen überprüfen.

Besonders bevorzugt ist ein weiterer Überwachungssensor eine Lichtschranke, ein Kontaktsensor, ein Ultraschallsensor, ein Radarsensor oder ein Lidarsensor. Zusätzliche Sensoren erhöhen die Sicherheit, da mehr mögliche Risiken erkannt werden können.

Bevorzugt ist der Zeitstempel ein kryptografisch signierter Zeitstempel, wobei das Überwachungssystem dazu vorgesehen und eingerichtet ist den in der zweiten Nachricht empfangenen Zeitstempel zu validieren und die Überprüfung der zweiten Nachricht fehlschlagen zu lassen, wenn die Validierung fehlschlägt. Bevorzugt ist das Überwachungssystem dazu vorgesehen und eingerichtet einen zweiten Zeitpunkt des Empfangs der zweiten Nachrichten mit einem ersten Zeitpunkt, der durch den ersten Identifikator aus der zweiten Nachricht definiert ist, zu vergleichen und die Überprüfung der zweiten Nachricht fehlschlagen zu lassen, wenn die Differenz zwischen dem ersten Zeitpunkt und dem zweiten Zeitpunkt größer ist als ein vorbestimmter Grenzwert.

Bevorzugt ist das Überwachungssystem dazu vorgesehen und eingerichtet die Überprüfung der zweiten Nachricht fehlschlagen zu lassen, wenn das Überwachungssystem zwischen dem ersten Zeitpunkt und dem zweiten Zeitpunkt ein zweites Risiko in einem zweiten Signal des Überwachungssensors detektiert.

Bevorzugt ist die zweite Nachricht mit einer kryptografischen Signatur der Freigabeeinheit versehen und das Überwachungssystem dazu vorgesehen und eingerichtet die kryptografische Signatur der zweiten Nachricht zu validieren und die Überprüfung der zweiten Nachricht fehlschlagen zu lassen, wenn die Validierung der kryptografischen Signatur fehlschlägt

Die nachfolgende Beschreibung bevorzugter Ausführungsformen dient im Zusammenhang mit den Zeichnungen der näheren Erläuterung der Erfindung. Es zeigen:

Fig. 1 eine schematische Ansicht eines Überwachungssystems;

Fig. 2 einen schematischen Ablauf einer Kommunikation zwischen Überwachungssystem und Freigabeeinheit; und

Fig. 3 einen zeitlichen Ablauf eines erfindungsgemäßen Verfahrens.

Gleiche oder funktional äquivalente Elemente sind in sämtlichen Ausführungsbeispielen mit denselben Bezugszeichen bezeichnet. Die Ausführungsbeispiele sind mit einer Freigabeeinheit beschrieben. Werden mehrere Freigabeeinheiten genutzt, so werden die ersten Nachrichten des Überwachungssystems jeweils an alle Freigabeeinheiten versendet und die zweiten Nachrichten der Freigabeeinheiten von dem Überwachungssystem gleichbehandelt.

Eine schematische Ansicht eines Überwachungssystems 2 ist in Fig. 1 gezeigt.

Ein Bereich um eine Maschine 1, hier eine Laserschneidmaschine, wird mit einem Überwachungssensor 3, hier einer Kamera, überwacht. Der Überwachungssensor 2 schickt ein Signal 4, hier einer Bilderfolge, an eine Recheneinheit 5. Detektiert die Recheneinheit 5 in dem Signal 4 ein Risiko, sperrt die Recheneinheit 5 eine sicherheitskritische Funktion der Maschine 1, damit kein Schaden entsteht. Bevorzugt wird die ganze Maschine 1 gestoppt oder in einen sicheren Zustand gebracht.

Die Recheneinheit 5 kombiniert das Signal 4 mit einem ersten Identifikator zu einer ersten Nachricht 6. Die erste Nachricht 6 schickt die Recheneinheit 5 an eine Freigabeeinheit 7. Die Freigabeeinheit 7 ist in diesem Fall ein Smartphone. Die Freigabeeinheit 7 prüft, ob das Risiko in dem Signal 4 erkennbar ist, oder ob das Risiko nicht oder nicht mehr vorhanden ist. In diesem Beispiel prüft ein Bediener 71 der Freigabeeinheit das Signal 4. Ist in dem Signal 4 kein Risiko erkennbar, sei es durch eine fehlerhafte Detektion durch die Recheneinheit 5 oder dadurch, dass das Risiko temporärer Natur war, erzeugt die Freigabeeinheit 7 eine zweite Nachricht 8 mit einem Freigabesignal und dem ersten Identifikator und schickt die zweite Nachricht 8 an die Recheneinheit des Überwachungssystems 2. Die Recheneinheit 5 überprüft die zweite Nachricht 8. Bei einer erfolgreichen Überprüfung gibt die Recheneinheit 5 die sicherheitskritische Funktion der Maschine 1 frei. Schlägt die Überprüfung der zweiten Nachricht 8 fehl, bleibt die Funktion gesperrt.

Die Recheneinheit 5 erzeugt, bevorzugt periodisch, weitere Nachrichten 6 mit aktuellen Signalen 4 des Überwachungssensors 3 und jeweils individuellem Identifikator. Dadurch kann die Freigabeeinheit 7 prüfen, ob das Risiko zu einem späteren Zeitpunkt verschwunden ist und daraufhin ein Freigabesignal mit dem Identifikator derjenigen Nachricht 6 schicken, in dem das Risiko nicht mehr detektierbar ist. In Fig. 2 ist ein schematischer Ablauf einer Kommunikation zwischen Überwachungssystem und Freigabeeinheit gezeigt. In einem ersten Schritt 101 detektiert das Überwachungssystem 2 ein erstes Risiko. In einem zweiten Schritt 102 sperrt das Überwachungssystem 2 eine sicherheitskritische Funktion der Maschine 1. In einem dritten Schritt 103 erzeugt das Überwachungssystem 2 einen signierten Zeitstempel als Identifikator. In einem vierten Schritt 104 erstellt das Überwachungssystem eine erste Nachricht 6, wobei die erste Nachricht 6 sowohl das Signal 4 als auch den Identifikator enthält. In einem fünften Schritt 105 versendet das Überwachungssystem 2 die erste Nachricht 6 zu einem ersten Zeitpunkt an eine Freigabeeinheit 7. Da die Schritte typischerweise durch eine Recheneinheit in schneller Abfolge durchgeführt werden, wird der durch den Zeitstempel definierte Zeitpunkt mit dem ersten Zeitpunkt gleichgesetzt.

Die Freigabeeinheit 7 empfängt in einem sechsten Schritt 106 die erste Nachricht 6. Die Freigabeeinheit 7 prüft in einem siebten Schritt 107, ob ein Risiko in dem Signal 4 detektierbar ist. Wenn das Risiko in dem Signal 4 von der Freigabeeinheit 7 im siebten Schritt detektiert wird, endet das Verfahren. Detektiert die Freigabeeinheit 7 kein Risiko in dem Signal 4, so erstellt die Freigabeeinheit 7 in einem achten Schritt 108 eine zweite Nachricht 8. Die zweite Nachricht 8 enthält dabei ein Freigabesignal und den Identifikator derjenigen ersten Nachricht 6 in der kein Risiko detektiert wurde. Die zweite Nachricht 8 wird von der Freigabeeinheit 7 in einem neunten Schritt 109 signiert. In einem zehnten Schritt 110 versendet die Freigabeeinheit 7 die signierte zweite Nachricht 8 an das Überwachungssystem 2.

Das Überwachungssystem 2 empfängt die zweite Nachricht 8 zu einem zweiten Zeitpunkt in einem elften Schritt 111. In einem zwölften Schritt 112 überprüft das Überwachungssystem 2 die zweite Nachricht 8. Bei der Überprüfung prüft das Überwachungssystem 2 die Signatur der zweiten Nachricht 8. Ist die Signatur nicht von der Freigabeeinheit 7, so schlägt die Überprüfung fehl und das Verfahren endet. Wenn der erste Identifikator ein signierter Zeitstempel ist, prüft das Überwachungssystem, ob die Signatur der Zeitstempels gültig ist. Wenn die Signatur des Zeitstempels ungültig ist, schlägt die Überprüfung fehl und das Verfahren endet. Das Überwachungssystem 2 prüft ob zwischen einem ersten Zeitpunkt, der durch den ersten Identifikator bestimmt ist, und dem zweiten Zeitpunkt ein zweites Risiko im Signal 4 des Überwachungssensors 2 detektiert wurde. Da die Schritte typischerweise durch eine Recheneinheit in schneller Abfolge durchgeführt werden, wird der zweite Zeitpunkt mit dem Zeitpunkt der Überprüfung gleichgesetzt. Wenn ein zweites Risiko detektiert wurde, schlägt die Überprüfung fehl und das Verfahren endet. Schlägt die Überprüfung nicht fehl, so ist die Überprüfung erfolgreich und das Überwachungssystem gibt in einem dreizehnten Schritt 113 die sicherheitskritische Funktion der Maschine 1 frei.

In Fig. 3 ist einen zeitlichen Ablauf eines erfindungsgemäßen Verfahrens dargestellt. Zu einem Zeitpunkt tl detektiert das Überwachungssystem 2 in einem Signal 4 des Überwachungssensors 3 ein erstes Risiko, sperrt die sicherheitskritische Funktion der Maschine und versendet eine erste Nachricht 6 mit dem Signal des Zeitpunkts tl und einem ersten Identifikator an eine Freigabeeinheit 7. Zu einem Zeitpunkt t2 empfängt die Freigabeeinheit 7 die erste Nachricht 6. Nach der Prüfung des Signals und der Feststellung, dass kein Risiko besteht, schickt die Freigabeeinheit 7 zu einem Zeitpunkt t3 eine zweite Nachricht 8 mit einem Freigabesignal an das Überwachungssystem 2.

Zu einem Zeitpunkt t4, der hinter dem Zeitpunkt tl liegt, detektiert das Überwachungssystem ein zweites Risiko in einem Signal des Überwachungssensors und versendet eine dritte Nachricht mit dem Signal 4 des Zeitpunkts t4 und einem zweiten Identifikator an die Freigabeeinheit 7. Die sicherheitskritische Funktion wurde bereits zum Zeitpunkt tl gesperrt. Der Zeitpunkt t4 liegt hier hinter dem Zeitpunkt t3, könnte aber auch vor Zeitpunkt t3 oder vor Zeitpunkt t2 liegen.

Zu einem Zeitpunkt t5, der hinter dem Zeitpunkt t4 liegt, empfängt das Überwachungssystem 2 die zweite Nachricht 8. Die Überprüfung der zweiten Nachricht 8 schlägt fehl, da zu dem Zeitpunkt t4 zwischen den Zeitpunkten tl und t5 ein zweites Risiko detektiert wurde. Die sicherheitskritische Funktion bleibt daher gesperrt.

Zu einem Zeitpunkt t6 empfängt die Freigabeeinheit 7 die dritte Nachricht 6. Nach der Prüfung des Signals und der Feststellung, dass kein Risiko besteht, schickt die Freigabeeinheit 7 zu einem Zeitpunkt t7 eine vierte Nachricht 8 mit einem Freigabesignal an das Überwachungssystem 2. Zu einem Zeitpunkt t8 empfängt das Überwachungssystem 2 die vierte Nachricht 8. Nach der erfolgreichen Überprüfung der vierten Nachricht gibt das Überwachungssystem die sicherheitskritische Funktion der Maschine frei.

Es ist ersichtlich, dass die dritte Nachricht äquivalent zur ersten Nachricht ist und die vierte Nachricht äquivalent zur zweiten Nachricht ist. Entsprechend werden die dritte Nachricht und die vierte Nachricht von dem Überwachungssystem und der Freigabeeinheit genauso behandelt wie die erste Nachricht und die zweite Nachricht. Ebenso ist der Zeitpunkt t4 äquivalent zum Zeitpunkt tl und der Zeitpunkt t8 äquivalent zum Zeitpunkt t5.

Bezugszeichenliste

Maschine

Überwachungssystem Überwachungssensor Signal

Recheneinheit erste Nachricht

Freigabeeinheit

Bediener zweite Nachricht

Zeitpunkte