冗余安全系统和使用冗余安全系统的方法

本发明涉及根据权利要求1的前序部分的冗余安全系统和根据权利要求26的前序部分的使用冗余安全系统的方法。

本发明涉及移动机器或者移动作业机器(例如，移动机器人和移动自动化或自主的运输交通工具等)，例如自主移动机器人(也叫AMR)的安全定位。本发明涉及安全地识别这些AMR的位置，并根据该位置切换例如安全功能。

自主移动机器人或者自主移动交通工具，特别是如果是较重的类型，主要通过防撞安全功能来进行防护，即周围环境优选地通过安全激光扫描仪来检测。一旦周围环境中有对象，自主交通工具的运动就会受到影响，从而防止自主交通工具本身发生碰撞。这可能会导致自主交通工具暂时停止。

然而，在某些情况下，必须放弃防撞的主要安全功能，因为否则将阻碍自动化过程。这些情况特别是诸如自主交通工具与静止机器的对接和协作操纵、驶过窄路等。在这些情况下，主要安全功能就会被关闭，但为此它无法明确确定自主交通工具是否也处于预定位置，因此在功能安全方面可能会受到限制。此外，由于AMR驱动的速度和力必须降低，自主交通工具的生产力也可能大大降低。

根据现有技术，防撞的主要安全功能不是在了解位置的基础上进行切换的，而是在其他特征的基础上进行切换的。

例如，如果在激光扫描仪的视场中识别到静态对象，则自主交通工具被短暂停止。然后，扫描仪借助于轮廓识别场来检查是否可以基于探测到的轮廓来推断出它是否是安全地点。

然而，到目前为止，所有已知的方法都有一个问题，即在功能安全技术的意义上不能明确识别安全地点。因此，这些方法总是伴随着进一步的安全措施，例如降低自主交通工具的速度和力，这是以牺牲自动化过程的生产力为代价的。

根据目前的现有技术，对定位信息进行功能上的安全处理是不可能的，因为目前还缺乏技术上的以下前提条件：

定位系统本身尚未被设计成功能安全的，即所测定的位置在功能安全方面被定义为不安全的；

激光扫描仪的测量数据(其表示基于激光雷达的定位系统的输入数据)目前在功能安全方面被定义为不安全的；

目前还没有标准化的功能安全总线/通信协议，可以安全地传输大量测量数据；

目前还没有足够强大的安全控制器，可以基于接收到的安全测量数据计算出安全的定位。

目前的所有解决方案都无法在功能安全方面明确地识别安全地点。因此，在这些情况下，启动的系统响应始终导致安全性的降低或生产力的下降，例如，为了驱动功率的降低导致自主交通工具的速度下降。

DE102019128782A1公开了一种可移动机器，其具有安全系统、安全控制器、定位系统、用于至少对监测区域进行平面式监测的距离传感器和轮廓识别单元，其中借助于定位系统可以识别安全点的位置，并且借助于距离传感器和轮廓识别单元可以识别安全点的轮廓，其中在借助于安全控制器识别到安全点的位置和安全点的轮廓时，安全系统的安全功能就会发生改变。

本发明的目的在于提供用于移动机器的改进的冗余安全系统。

该目的根据权利要求1通过用于移动机器的冗余安全系统来实现，该冗余安全系统包括：至少一个控制器；第一定位系统，其用于定位至少一个安全地点的位置；检测系统，其用于检测安全地点的特征，其中借助于该定位系统可以检测安全地点的位置，并且借助于该检测系统可以检测安全地点的特征，其中当检测到安全地点的位置和安全地点的特征时，可以借助于该控制器激活与该安全地点相关联的安全区域。

该目的根据权利要求26通过使用用于移动机器的冗余安全系统的方法来进一步实现，该冗余安全系统包括：至少一个控制器；第一定位系统，其用于定位至少一个安全地点的位置；检测系统，其用于检测安全地点的特征，其中借助于该定位系统检测安全地点的位置，并且借助于该检测系统检测安全地点的特征，当检测到安全地点的位置和安全地点的特征时，借助于该控制器激活与该安全地点相关联的安全区域。

安全地点也可以同义地称为安全位置。安全区域也可以同义地称为安全区。

安全地点(Safe Point of Interest(SPoI)—感兴趣的安全点)是安全定位的简化变型，该安全定位限于自动化应用中对特定位置的探测，在这些位置处，例如需要调整安全系统或保护装置或可移动的机器的安全功能，以确保个人保护和机器可用性。

安全系统的使用目的在于，识别特殊危险点，在这些危险点处通常用于防护移动机器的安全功能是不够的，因为安全功能不符合自动化功能的要求。这些点或地点在这里被称为安全地点。所有这些安全地点必须以足够的安全级别(例如，性能等级d，PL d)来识别，并且允许应用切换到例如适当的次要安全功能。

本发明利用现有的非安全的定位系统来检测位置。然后，在相关的安全地点评估附加的特征。

由此，形成了冗余安全系统。因此，冗余安全系统也被设计成多样化的，因为在每种情况下都要评估不同的特征，即安全地点的位置和独立特征。

然后，可以激活与安全地点相关联的安全区域。

然后，根据危险要求，例如可以在系统层面上激活适当的次要安全功能。

非安全的定位系统可以使用不同的技术。

然后，基于借助于安全系统测定的安全地点，在有限面积的安全区域或安全区(Safe Area of Interest(SAoI)——感兴趣的安全区域)的范围内可以进一步安全地定位。安全地点是安全区域的起始位置和相关联的位置。在这里，安全地点在一定程度上代表进入安全区域的入口门(Eintrittstor)。然后，例如可以在安全地点周围形成或扩展例如半径为r(例如，20m)的安全区域，然后在这个区域中，可以通过整合例如里程仪(Odometrie)数据在监测区域的有限面积内进行安全定位。

因此，安全地点功能扩展到安全区域。通过对安全区域的监测，可以安全地检测和监测预定义的区域。安全区域限定了一个最大尺寸的区域，在该区域中，位置信息可被视为安全相关的信息，在所要求的性能水平d以内该信息是安全的。安全区域通过经过安全地点被激活，之后例如在安全地点周围的最大半径内的安全区域是激活的。例如，该半径限定了安全区域的最大尺寸。然后，安全系统例如不断利用来自定位系统的信息以及可选地来自第二源(例如，里程仪)的信息，自动监测安全区域的最大尺寸。如果移动机器离开安全区域的最大允许尺寸，则安全区域被停用。

安全区域可以重叠。如果移动机器从一个安全区域换到另一个安全区域，只要新输入的安全区域被系统激活，先前的安全区域就会被系统停用。激活安全区域的前提条件是，已识别到有效的安全地点，即如果安全区域无间隙地重叠，则下一个安全区域的安全地点必须位于当前激活的安全区域的半径内。

在安全区域内，可以有附加的安全边界(Safe Geo Fences(SGF)——安全地理围栏)。如果满足激活的安全区域的要求，则这些安全边界基于安全地点的位置信息(X坐标、Y坐标)被激活。安全边界不需要是安全区域的子集。安全边界可以在不同的重叠的安全区域内形成。

在主要安全功能和次要安全功能之间的切换可以基于关于安全地点的安全位置的信息来进行。该系统可提供各种方式，使安全位置的信息可被提供给可激活次要安全功能的其他功能：

作为由X坐标和Y坐标组成的位置信息；

作为具有相关联的识别的安全地点和安全边界。

例如，在(例如，以v＝1m/s的速度)驶来(Anfahren)过程/驶离(Abfahren)过程期间，将确保移动机器可以在碰撞之前停止。为了实现正确的应用行为，其中生产力和安全性都得到了保证，次要安全功能(即，保护场14的激活)和主要安全功能在响应时间的持续时间内重叠。例如，这将按照以下顺序进行：

1.识别安全地点，

2.激活次要安全功能，

3.主要安全功能和次要安全功能在系统响应时间的至少一个周期内是激活的，

4.停用主要安全功能(例如，超车过程)，

5.通过运动(定位和第二信号源，例如编码器)和例如轮廓信息之间的可信度检验，保持带有安全区域(安全区有x米)的安全地点，

6.识别从安全地点的离开，例如借助于确保在离开安全区域(例如，至少一个系统响应周期)之前已经识别到从安全区域的离开的措施，

7.激活主要安全功能，

8.主要安全功能和次要安全功能在系统响应时间的至少一个周期内是激活的，

9.停用次要安全功能。

例如，移动机器可以是无向导交通工具、无人驾驶交通工具或者自主交通工具、自动引导交通工具(Automated Guided Vehicle，AGV)、自动移动机器人(Automated MobileRobot，AMR)、工业移动机器人(Industrial Mobile Robot，IMR)或具有可移动的机器人臂的机器人。因此，移动机器具有驱动器，并且可以在不同的方向上运动。

在本发明的扩展方案中，设置有至少一个距离传感器，用于对监测区域或保护场进行至少平面式监测。距离传感器提供至少二维空间的距离值。在此，传感器输出带有距离信息和角度信息的测量值。例如，借助于光飞行时间方法或三角测量方法来测定距离。

在本发明的扩展方案中，检测系统是用于识别安全地点的识别系统，其中，借助于该识别系统可以识别安全地点的身份

本发明利用现有的非安全的定位系统来检测位置。然后，在相关的安全地点处布置用于标识的附加特征，并用标识传感器进行识别。

基于两个独立的特征，即位置和标识(Identifikation)，安全地点在功能安全性的意义上被安全地识别。由此，形成冗余安全系统。因此，冗余安全系统也被设计成多样化的，因为在每种情况下都要评估不同的特征，即安全地点的位置和标识。

安全地点的激活是基于位置信息和附加标识(例如安全地点处的标识符(Kennung))进行的。

安全地点由两个特征来定义，即在系统环境中的位置或者地点和身份或者标识符。这些特征是彼此独立且不同的。

安全地点的识别信息可基于不同的技术，例如光学特征(安全地点的轮廓、安全地点的反射值等)、无线电标签或转发器(例如，RFID转发器或UWB转发器)，或者例如条码或条形码(例如，1D条形码或2D条形码)或具有足够多样化的信息的第二定位系统等。

安全地点并且因此安全区域是由安全地点的两个独立特征来限定的，即安全地点的位置(X坐标、Y坐标)和标识标签(Signatur)，标识符标签或标记标签(例如，RFID识别码)。这些信息例如作为经过验证的信息被存储在地图或其他类型的文件中。在此文件中，位置和识别标签及其相关性被存储为数据集。此信息作为配置信息提供给安全系统。

安全地点的识别可以通过识别系统或通过基于标识符传感器的识别单元来触发。一旦两个单元(定位系统或识别系统)中的一个单元识别到安全地点，例如安全地点的识别公差范围就会被激活，即第二通道(定位系统或识别系统)例如也必须在该公差范围内识别安全地点。一旦两个通道(定位系统或识别系统)都识别到安全地点，安全区域就被激活。

在本发明的扩展方案中，安全区域的监测是通过控制器借助于第一定位系统的位置数据进行的，其中相对位置的变化可由控制器评估，其中相对位置附加地借助于运动监测系统被检测。

例如，运动监测系统由编码器、驱动器或里程仪构成。运动监测系统的数据被用来对定位的数据进行可信度检验。

在本发明的扩展方案中，检测系统是用于至少定位安全地点的第二定位系统，其中借助于第一定位系统和第二定位系统可以检测安全地点的位置，其中第一定位系统和第二定位系统具有不同的传感器原理或多样化的信息源，其中当使用第一定位系统检测到安全地点的位置并且使用第二定位系统检测到安全地点的位置时，可以激活与安全地点相关联的安全区域。

一旦识别到安全地点，就会激活在该安全地点周围的安全区域。从识别到的安全地点开始，将安全区域定义为在安全地点周围在X方向和Y方向上的相对位置差。相对位置差从安全地点开始递增。这种相对位置的递增是基于第一定位系统和运动检测系统(例如，编码器/驱动器、里程仪等)的信息或第二定位系统(例如，无线电定位等)的信息。第一定位系统与运动检测系统或第二定位系统之间的相对位置增量被持续检查。如果这些信息不匹配，则安全系统切换到安全状态。

在本发明的进一步扩展方案中，安全区域可以以预定义的形状被激活。

预定义的形状可以是圆形、椭圆形、部分圆形、半圆形、矩形、正方形、甚至自由形状。几何形状可以用算法简单表示。在此，形状取决于应用情况。作为预定义的形状的自由形状为用户提供了对特定应用的高度灵活性。

在本发明的扩展方案中，安全地点的位置作为安全区域内的以安全为导向的位置，在控制器中被提供用于进一步处理。例如，以安全为导向的位置是借助于校验和来保证的，使得以安全为导向的位置的数据是无误的。

在本发明的扩展方案中，安全地点的位置作为安全区域内的以安全为导向的位置是借助于通信网络(例如，以太网)提供给外部部件的。例如，以安全为导向的位置是借助于校验和来保证的，使得以安全为导向的位置的数据可以借助于通信网络无误地传输。

在本发明的扩展方案中，安全地点的位置作为离散标识符(例如，分配给该位置的数字)借助于通信网络(例如，以太网)被提供给外部部件。这些标识符使安全地点的位置更容易识别和分配。

在本发明的扩展方案中，安全区域可以被划分到安全边界中。在安全区域内，可以有附加的安全边界。如果满足激活的安全区域的要求，则这些安全边界基于安全地点的位置信息(X坐标、Y坐标)被激活。安全边界不需要是安全区域的子集。安全边界可以在不同的重叠的安全区域内形成。

在本发明的扩展方案中，安全边界可以以预定义的形状激活。预定义的形状可以是圆形、椭圆形、部分圆形、半圆形、矩形、正方形、甚至自由形状。几何形状可以用算法简单表示。在此，形状取决于应用情况。作为预定义的形状的自由形状为用户提供了对特定应用的高度灵活性。

在本发明的扩展方案中，安全边界作为离散标识符(例如，通过分配给该位置的数字)借助于通信网络(例如，以太网)被提供给外部部件。这些标识符使安全边界更容易识别和分配。

在本发明的扩展方案中，冗余安全系统具有至少两个控制器。

安全地点和安全区域的计算在两个控制器上进行，例如在两个工业个人计算机(IPC)上进行。这两个控制器在其执行过程中相互监控。通过相互监控，即使没有明确的安全控制，也可以实现安全地点和安全区域的安全功能的安全执行。例如，相互监控包括不同的机制。

通过扩展方案在工业个人计算机上执行而不是在安全控制器上执行，可以处理更复杂的数据，并且更容易集成到更复杂的自动化系统中。

它主要建立在现有的硬件之上，因此不需要为特殊硬件付出什么努力。

例如，安全地点的识别算法在第一工业PC和第二工业PC上以两种不同的实现方式运行。该算法在两台工业PC机上都可以访问定位系统的信息和识别系统。在两台工业PC上，该算法在X坐标、Y坐标的位置和识别系统读取的相应标识符之间具有相应的规则。

在本发明的扩展方案中，至少提供了两个控制器(工业PC)的相互监控。特别地，这是一种相互的看门狗监控或者检查单元监控。在每种情况下，一个控制器为另一个控制器提供看门狗或者检查单元。控制器以明确的时间规定相互监控。IPC在每个通信周期/数据交换周期之后重新启动检查单元的定时器或计数器。下一次数据交换必须在检查单元的定时器或计数器到期(ablaufen)之前进行。如果定时器或计数器到期，则系统切换到安全状态。此外，还可以检查生成的数据的时间戳。

在本发明的扩展方案中，在控制器中设置了软件代码的执行检查单元。使用软件代码的执行检查单元，对控制器的代码执行的处理顺序进行检查。如果处理顺序与预期不一致，则存在错误并发出警告消息或者使移动机器减速或停止。

在本发明的扩展方案中，所使用的算法是由控制器冗余执行的。这意味着所使用的算法在两个控制器中相互独立地执行。

在本发明的扩展方案中，通过控制器对传感器数据进行可信度检验。例如，来自第二源(例如，编码器)的速度信息在第一控制器上是可用的，并且还通过控制器之间的接口传输到第二控制器。来自该第二源的速度信息用于检查例如移动机器的方向是否发生了变化。例如，对一个轴上的两个编码器的速度信息进行比较，其中一个编码器安装在右轮上，另一个编码器安装在左轮上。一旦出现速度差，移动机器就会转弯。这可以是激活该检查的触发器。作为响应，定位系统在同一方向上的方向角必须改变一个量，该量由第二源的信息测量。第二源和定位系统的信息相互进行比较和检查。

在本发明的扩展方案中，使用控制器中的运动监测系统、里程仪或里程测量装置的数据对定位系统的数据进行可信度检验。通过控制器借助于第一定位系统的位置数据来监测安全区域，其中相对位置的变化可由控制器评估，其中附加地借助于运动监测系统检测相对位置。例如，运动监测系统由编码器、驱动器或里程仪构成。运动监测系统的数据被用来对定位的数据进行可信度检验。

在本发明的扩展方案中，控制器被设计成电子多样化的。使用多样化的硬件特别是在控制器，尤其是在工业PC中是有利的，因为这可以避免或者减少由电子器件或者处理器引起的系统错误。例如，两个控制器具有例如来自不同制造商、不同类型或不同架构的不同处理器。

在本发明的扩展方案中，控制器被设计成软件多样化的。使用例如多样化的软件框架在控制器，特别是工业PC中是有利的，因为这可以避免或者减少由所执行的软件引起的系统错误。例如，两个控制器具有例如来自不同制造商、不同编码、不同编程语言或不同架构的不同的软件或固件。

在本发明的扩展方案中，距离传感器是激光扫描仪、安全激光扫描仪、3D相机、立体相机或光飞行时间相机。

例如，为了防撞和保护人员，激光扫描仪或者安全激光扫描仪监测保护场，在移动机器运动过程中不允许人员进入该保护场。如果激光扫描仪识别到未被允许的保护场干预，如人员的腿，则该激光扫描仪会触发移动机器的紧急停机。安全技术中使用的传感器必须特别可靠且本质安全地工作，因此必须满足高的安全要求，例如关于机器安全性的标准EN13849和关于非接触式防护装置(BWS)的设备标准EN61496。

为了满足这些安全标准，要采取一系列措施，例如通过冗余和/或多样化的电子器件或各种功能监测来进行安全的电子评估，特别是监测包括前窗在内的光学部件的污染。例如，符合这种标准的安全激光扫描仪从DE 4340 756A1中已知。

术语“功能安全”应在所述标准或类似标准的意义上理解，即采取措施将误差控制在指定的安全水平以内。此外，安全传感器和/或至少一个非安全传感器还产生非安全数据，如原始数据、点云等。对于非安全的设备、传输路径、评估等而言，非安全是安全的相反术语，因此不满足上述对误差安全性的要求。

例如，3D相机还借助于多个检测到的距离值来对监测区域进行监测。3D相机具有的优点在于可以监测体积状保护区域。

例如，立体相机还借助于多个检测到的距离值来对移动机器的监测区域进行监测。距离值基于立体相机的两台相机来测定，这两台相机安装在彼此的基础距离上。立体相机还有一个优点在于可以监测体积状保护区域。

距离值是借助于光飞行时间相机，基于测量到的光飞行时间来测定的，该飞行时间是由图像传感器测定的。光飞行时间相机还有一个优点在于可以监测体积状保护区域。

在本发明的扩展方案中，定位系统是无线电定位系统或光电定位系统。

位置数据可以基于不同的技术，例如根据5G标准的无线电技术、UWB无线电定位或例如基于光飞行时间的激光雷达定位。

安全地点的识别是通过安全地点的特征的多样性来实现的。多样性可以通过使用不同的定位技术(例如，5G与激光雷达定位相结合)，或者通过定位技术与安全地点的标识符相结合(例如，激光雷达定位与RFID相结合)来实现。

定位系统可以确定移动机器在平面或空间中的位置。例如，位置可以在本地借助于无线电(例如，通过超宽带系统(UWB))来确定。此外，激光雷达导航可提供用于定位。也可以使用全球导航系统，例如GPS系统。

至少用于对被监测区域进行平面式监测的光电定位系统是用于测量距离的传感器。距离传感器提供至少二维空间的距离值。在此，传感器输出带有距离信息和角度信息的测量值。例如，借助于光飞行时间方法或三角测量方法来测定距离。

在本发明的扩展方案中，识别系统是具有足够多样化的信息的无线电识别系统、光学识别系统或第二定位系统。

安全地点的识别信息可基于不同的技术，例如光学特征(安全地点的轮廓、安全地点的反射值等)、无线电标签或转发器(例如，RFID转发器或UWB转发器)，或者例如条码或条形码(例如，1D条形码或2D条形码等)。

在本发明的扩展方案中，定位系统具有地图或地图模型，其中在地图或地图模型中输入安全地点。

在地图数据上工作的基于激光雷达的定位系统在这里特别适合。这些地图基于扫描仪在测量过程中测定的轮廓数据。

安全地点的不同位置被输入地图模型或者电子地图中。移动机器的当前位置和/或状态在定位系统中基于检测到的环境轮廓被连续处理，并检查其是否与安全地点匹配。如果发现匹配，则根据本发明的扩展方案，安全地点的位置标识符被传送到控制器。

在本发明的扩展方案中，安全地点的位置和身份通过相关性规则联系起来。

相关性规则(例如，表格)、软件代码或类似被存储在控制器(工业PC)的软件中，其中安全地点的位置和身份之间的关联被联系起来。例如，安全地点的位置和身份在交叉比较中进行检查。

如果两个子系统都提供了一致且彼此可相互关联的标识符，那么安全地点就会被识别并且控制器可以激活安全区域。控制器也可以切换到另一种保护措施或者安全功能。例如，保护措施的切换可以包括保护场的切换、保护场的尺寸或形状调整和/或保护场的属性的切换。例如，保护场的属性包括保护场的分辨率和/或响应时间。保护措施的切换也可以是切换到的安全功能，例如对驱动器的力限制。

如果安全地点的位置和身份不匹配，那么安全系统就会识别到错误，并转换到安全的状态，即安全系统输出软件的内部状态区，并在数字输出端处输出低信号。

附图说明

下面将基于实施例并且参考附图对本发明的其他优点和特征进行阐述。在附图中：

图1示出了具有冗余安全系统的移动机器；

图2示出了冗余安全系统；

图3示出了在有安全区域的安全地点处的移动机器；

图4示出了在有安全区域的安全地点处的移动机器；

图5分别示出了移动机器和重叠的安全区域；

图6分别示出了移动机器和不重叠的安全区域；以及

图7至图10分别示出了在有安全区域的运动序列中的移动机器。

在下图中，相同的部件用相同的参考标记表示。

图1示出了用于移动机器1的冗余安全系统2，该安全系统包括：至少一个控制器7；第一定位系统3，其用于定位至少一个安全地点6的位置；检测系统11，其用于检测安全地点6的特征，其中借助于定位系统3可检测安全地点6的位置，并且借助于检测系统11可检测安全地点6的特征，其中当检测到安全地点6的位置和安全地点6的特征时，可以激活与安全地点6相关联的安全区域8。

可选地，设置有至少一个距离传感器5，用于对监测区域13至少进行平面式监测。

用于对监测区域13至少进行平面式监测的距离传感器5是用于测量距离的传感器。距离传感器5提供至少二维空间的距离值。在此，距离传感器5输出带有距离信息和角度信息的测量值。例如，借助于光飞行时间方法或三角测量方法来测定距离。

例如，距离传感器5是激光扫描仪、安全激光扫描仪、3D相机、立体相机或光飞行时间相机。

例如，移动机器1可以是无向导交通工具、无人驾驶交通工具或者自主交通工具等。

安全地点6是安全定位的简化变型，该安全定位限于工业应用中的特定位置的探测，在这些特定位置处，例如需要调整安全系统2或保护装置或移动机器1的安全功能，以确保个人保护和机器可用性。

安全系统2的使用目的在于，识别特殊危险点，在这些危险点处通常用于防护移动机器1的安全功能是不够的，因为安全功能不符合自动化功能的要求。这些点或地点在这里被称为安全地点6。所有这些安全地点6必须以足够的安全级别(例如，性能等级d，PL d)来识别，并且允许应用切换到例如适当的次要安全功能。

然后，可以激活与安全地点6相关联的安全区域8。可选地，设置有至少一个距离传感器5，用于对监测区域13至少进行平面式监测。

然后，根据危险要求，例如可以在系统层面上激活适当的次要安全功能，如图8所示。

然后，基于借助于安全系统2测定的安全地点6，在有限面积的安全区域或安全区的范围内可以进一步安全地定位，并且使用距离传感器5对监测区域进行监测。安全地点6形成安全区域8的起始位置和相关联的位置。在这里，安全地点6在一定程度上代表进入安全区域8的入口门。例如，根据图3，可以在安全地点6周围形成或扩展一个例如半径为r(例如，20m)的安全区域8，在这个区域中，可以通过整合里程仪数据在有限的面积内进行安全定位。

因此，安全地点功能扩展到安全区域8。通过对安全区域8的监测，可以安全地检测和监测预定义的区域。安全区域8限定了一个最大尺寸的区域，在该区域中，位置信息可被视为安全相关的信息，在所要求的性能水平d以内该信息是安全的。安全区域8通过经过安全地点6被激活，之后例如在安全地点6周围的最大半径内的安全区域8是激活的。例如，该半径限定了安全区域8的最大尺寸。如果移动机器1离开安全区域8的最大允许尺寸，则安全区域8被停用。

根据图5，安全区域8可以重叠。如果移动机器从一个安全区域8换到另一个安全区域8，只要新输入的安全区域8被系统激活，先前的安全区域8就会被系统停用。激活安全区域8的前提条件是，已识别到有效的安全地点6，即如果安全区域8无间隙地重叠，则下一个安全区域8的安全地点6必须位于当前激活的安全区域8的半径内。

然而，根据图6，安全领域8之间也可以没有重叠。

在安全区域8内，可以有附加的安全边界。如果满足激活的安全区域8的要求，则这些安全边界基于安全地点6的位置信息(X坐标、Y坐标)被激活。安全边界不需要是安全区域8的子集。安全边界可以在不同的重叠的安全区域8内形成。

根据图8，在主要安全功能和次要安全功能之间的切换可以基于关于安全地点的安全位置的信息来进行。该系统可提供各种方式，使安全的位置信息可以被提供给可激活次要安全功能的其他功能：

作为由X坐标和Y坐标组成的位置信息；

作为具有相关联的识别的安全地点和安全边界。

例如，在根据图7至10的(例如，以v＝1m/s的速度)驶来过程/驶离过程期间，将确保移动机器1可以在碰撞之前停止。为了实现适当的应用行为，其中生产力和安全性都得到保证，次要安全功能(即，保护场14的激活)和主要安全功能在响应时间的持续时间内重叠。例如，这将按照以下顺序进行：

1.识别安全地点6，

2.激活次要安全功能，

3.主要安全功能和次要安全功能在系统响应时间的至少一个周期内是激活的，

4.停用主要安全功能(例如，超车过程)，

5.通过运动(定位和第二信号源，例如编码器)和例如轮廓信息之间的可信度检验，保持带有安全区域(安全区有x米)的安全地点6，

6.识别从安全地点6的离开，例如借助于确保在离开安全区域8(例如，至少一个系统响应周期)之前已经识别到从安全区域8的离开的措施，

7.激活主要安全功能，

8.主要安全功能和次要安全功能在系统响应时间的至少一个周期内是激活的，

9.停用次要安全功能。

例如，根据图1，检测系统11是用于识别安全地点6的识别系统4，其中借助于识别系统4可以识别安全地点6的身份，其中当检测到安全地点6的位置并识别到安全地点6时，可激活与安全地点6相关联的安全区域8。

例如，使用非安全的定位系统来检测位置。然后，在相关的安全地点6处布置用于标识的附加特征，并用识别系统进行识别。

基于两个独立的特征，即位置和标识，安全地点6在功能安全性的意义上被安全地识别。由此，形成冗余安全系统2。因此，冗余安全系统2也被设计成多样化的，因为在每种情况下都要评估不同的特征，即安全地点6的位置和标识。

安全地点6的激活是基于位置信息和附加标识(例如安全地点6处的标识符)进行的。

安全地点6由两个特征来定义，即在系统环境中的位置或者地点和身份或者标识符。这些特征是彼此独立且不同的。

安全地点的识别信息可基于不同的技术，例如光学特征(安全地点的轮廓、安全地点的反射值等)、无线电标签或转发器(例如，RFID转发器或UWB转发器)，或者例如条码或条形码(例如，1D条形码或2D条形码)或具有足够多样化的信息的第二定位系统等。

安全地点6并且因此安全区域8是由安全地点6的两个独立的特征来限定的，即安全地点的位置(X坐标、Y坐标)和标识标签、标识符标签或标记标签(例如，RFID识别码)。这些信息例如作为经过验证的信息被存储在地图或其他类型的文件中。在此文件中，位置和标识标签及其相关性被存储为数据集。此信息作为配置信息提供给安全系统。

安全地点6的识别可以通过识别系统4或通过基于标识传感器的识别单元来触发。一旦两个单元(定位系统3或识别系统4)中的一个单元识别到安全地点6，例如安全地点的识别公差区域就会被激活，即第二通道(定位系统或识别系统)例如也必须在该公差范围内识别到安全地点6。一旦两个通道(定位系统或识别系统)都识别到安全地点6，安全区域8就被激活。

例如根据图3，检测系统11是用于至少定位安全地点6的第二定位系统12，其中借助于第一定位系统3和第二定位系统12可以检测安全地点6的位置，其中第一定位系统3和第二定位系统12具有不同的传感器原理，当用第一定位系统3检测到安全地点6的位置并用第二定位系统12检测到安全地点的位置时，与安全地点6相关联的安全区域8可以被激活。

在此，距离传感器5还可以构成第一定位系统3或第二定位系统12的一部分。

例如，安全区域8可以以预定义的形状被激活。

预定义的形状可以是根据图3的圆形、椭圆形、根据图1的部分圆形、根据图1的半圆形、矩形、正方形、甚至自由形状。

根据图2，冗余安全系统2具有至少两个控制器7。

安全地点6和安全区域8的计算在两个控制器7上进行，例如在两个工业个人计算机(IPC)上进行。这两个控制器在其执行过程中相互监控。通过相互监控，即使没有明确的安全控制，也可以实现安全地点6和安全区域8的安全功能的安全执行。例如，相互监控包括用于故障识别或者故障诊断的不同机制。

例如，安全地点的识别算法在第一工业PC和第二工业PC上以两种不同的实现方式运行。该算法在两台工业PC上都可以访问定位系统3的信息和识别系统4。在两台工业PC上，该算法在X坐标、Y坐标的位置和识别系统4读取的相应标识符之间具有相应的规则。

例如，定位系统3或12是无线电定位系统或光电定位系统。

例如，识别系统4是无线电识别系统或光学识别系统。

附图标记

1移动机器

2冗余安全系统

3第一定位系统

4识别系统

5距离传感器

6安全地点

7控制器

8安全区域

9位置

11 检测系统

12 第二定位系统

13 监测区域

14 保护场。