阅读说明：本技术 机器的防护 (Machine protection ) 是由 马库斯·哈姆斯 克里斯多佛·霍夫曼 于 2020-02-19 设计创作，主要内容包括：本申请涉及机器的防护。提供了用于对机器(12)进行防护的安全系统(10),该安全系统设有：至少一个安全传感器(14、14a-14b),其用于产生安全数据,其中该安全传感器(14、14a-14b)还产生非安全数据；和/或非安全传感器(16),其用于产生非安全数据,其中该安全系统(10)还具有：非安全评估单元(18),其用于处理非安全数据；以及安全评估单元(20),其被设计成用于通过基于安全数据检验对非安全数据的处理的评估结果来测试非安全评估单元(18)。在此,与评估结果相比,安全数据准确度较低和/或不太可供使用。(The present application relates to the protection of machines. There is provided a safety system (10) for protecting a machine (12), the safety system being provided with: at least one security sensor (14, 14a-14b) for generating security data, wherein the security sensor (14, 14a-14b) also generates non-security data; and/or a non-safety sensor (16) for generating non-safety data, wherein the safety system (10) further has: a non-secure evaluation unit (18) for processing non-secure data; and a security evaluation unit (20) which is designed to test the non-security evaluation unit (18) by checking the evaluation result of the processing of the non-security data on the basis of the security data. Here, the security data is less accurate and/or less available than the evaluation results.)

机器的防护

本发明涉及根据权利要求1或14的前序部分的用于对机器进行防护的安全系统和方法。

通用的安全系统使用一个或更多个传感器，以便监测机器的周围环境，并且在紧急危险情况下及时将该机器置于安全状态。为此经常使用的传感器是激光扫描仪。其中，由激光器产生的光束借助于偏转单元周期性地扫过监测区域。光在监测区域中的对象上被漫反射(remittieren)并且在激光扫描仪中进行评估。根据偏转单元的角位置推断出对象的角位置，并且在应用光速的情况下根据光飞行时间另外推断出对象与激光扫描仪的距离。利用角度信息和距离信息，将监测区域中对象的位置记录在二维极坐标中。通过横向方向上的相对运动还可以检测第三空间坐标，例如通过激光扫描仪中的偏转单元的另一个运动自由度或者通过使对象相对于激光扫描仪运动来检测。

在用于对机器进行防护的安全技术应用中，激光扫描仪监测机器运行期间操作人员不允许进入的保护区域。如果传感器识别到不允许的保护区域介入，例如操作人员的腿，则该传感器触发机器的紧急停机。在安全技术中应用的传感器必须特别可靠地工作，并因此满足高的安全要求，例如关于机器安全的标准EN13849和关于无接触式工作的保护装置(BWS)的设备标准EN61496。可采取一系列措施来满足这些安全标准，例如通过冗余的、多样的电子器件或各种功能监测进行的安全电子评估，尤其是对包括前面板在内的光学构件的污染的监测。例如，从DE 43 40 756 A1中已知一种对应于此类标准的安全激光扫描仪。

二维极坐标中的确切位置信息只可在安全激光扫描仪的内部供使用，而且迄今为止还不存在以安全的方式将这些信息向外传递的设备。只有保护区域是否被侵入的信息才被安全地输出，并且该保护区域在已知的激光扫描仪中可以自由地进行配置。还可以切换保护区域，并且一段时间以来存在如下激光扫描仪，这些激光扫描仪同时评估多个保护区域并且与此同时指出哪个保护区域被侵入了。

激光扫描仪的保护区域评估是检测到的传感器信息与安全输出参数之间的信息含量差异的典型示例。在内部检测大量高品质的传感器信息，在激光扫描仪的示例中是所有被探测到的对象的轮廓，在其他传感器的情况下，可以是二维或三维图像数据或者其他的传感器数据。然而，这些传感器信息已经在传感器中被过滤，并且根据安全技术规则被高度压缩，通常被压缩直至仅用于机器控制的二进制开关信号为止，必要时，该二进制开关信号使机器处于安全状态。二进制开关信号是安全的，但几乎不再包含任何初始的传感器信息。这主要允许实现简单的安全功能，例如监测所配置的保护区域的初始示例。

反过来，具有高信息含量的未经压缩的传感器数据不被进一步传递，或者仅经由非安全数据接口进一步传递，以便以此实施附加的自动化功能。因此，不可能实现安全应用，因为传感器数据的传输和后续评估已经不符合所提到的安全标准的要求。

传统的安全设计方案在图7中以具体的硬件部件示出，而在图8中抽象地作为框图示出。安全传感器100a-100b(在该示例中是安全激光扫描仪)连接到安全控制装置102。在该安全控制装置处使安全激光扫描仪100a-100b的安全开关信号相关联。当人员106在被监测的机器104(这里是工业机器人)附近受到威胁时，向机器104输出防护信号，以便及时将机器104转移到安全状态。

在这种情况下，始终使用***件，即，安全传感器100a-100b、安全控制装置102和安全信号路径。为了安全起见，在任何地方都要实施单独的错误控制措施，从而避免或控制沿信号链的可能的安全关键的错误。

这个过程极大地限制了实施复杂的安全功能时的灵活性。对此，可以认识到三个重要原因：缺乏可应用在安全技术方面并允许足够高的数据传输的数据接口。否则，在保护区域侵入时，例如安全激光扫描仪还可以安全地输出其扫描数据，而不仅仅是二进制信号。此外，还缺乏高性能的安全控制装置，利用这些安全控制装置可以以可接受的速度对大的数据量执行复杂的算法。因此，不再可能仅对二进制安全信号进行简单的关联。最后，缺乏安全软件功能块，这些安全软件功能块可以与应用相关地在控制装置上执行，并且可能允许对区域中安全功能的功能范围进行逐步扩展。

EP 2 395 372 B1公开了一种多个安全激光扫描仪的装置，这些安全激光扫描仪共同连接到安全控制装置。除了保护区域之外，还监测自动化区域，其中对自动化区域中的特定介入会触发保护区域配置的切换。因此，安全激光扫描仪的与安全相关的通信进一步限于二进制的保护区域侵入，因此这是关于对图6和图7所阐释的传统方法的示例。

在EP 2 825 812 B1中描述了借助于立体相机对机器的危险工作区域进行防护。在机器周围的保护区域中，利用安全的异物探测器检测对象。此外，还使用图像数据来识别分类器中的人员并且随后进行追踪。人员追踪本身并非安全地实施。可替代地，检查从人员追踪得出的位置是否与异物探测器的位置一致，如果不一致，则激活紧急停机。然而现在，如上所述的市面上可获得的安全传感器(包括安全激光扫描仪)目前不能安全地输出位置信息，而是仅以二进制的形式提供保护区域侵入。因此，这种类型的位置信息比较在实践中是不可行的，除非在巨大的耗费下非常努力地开发具有EP 2 825 812 B1的全部功能的安全立体相机，然而该安全立体相机随后仅实施这一安全设计方案并且不再是灵活的。此外，如果安全相机确实已经能够以安全的方式输出位置信息，那么对这些位置信息的可信度测试(Plausibilisierung)是多余的；这些位置信息已经是安全的。

从WO 2010/094466 A1已知用于为安全控制装置创建用户程序的方法和设备。在此，可以配置程序变量的哪一部分与安全相关以及哪一部分与安全不相关，并且因此存在用于错误安全处理的第一程序部分和用于非错误安全处理的第二程序部分。然而，这并没有解决安全控制装置中计算能力不足的问题。由于资源有限，非错误安全处理只好保持简单。此外，根据常规，该非错误安全处理不再对安全设计方案发挥作用，因此对该安全设计方案的灵活性和复杂性不做出任何贡献。

因此，本发明的任务在于提供安全功能改进的安全系统。

该任务通过根据权利要求1或14的用于对机器进行防护的安全系统和方法得以解决。安全系统包括至少一个安全传感器，该安全传感器检测机器或与机器相关的区域，例如机器的周围环境或访问路径，并从这些传感器信息产生安全数据或信号。在此，术语安全应理解为开篇提到的标准或类似标准的意义，即，采取措施以将错误控制到特定的安全级别。此外，安全传感器和/或至少一个非安全传感器还产生非安全数据，例如原始数据、点云等。非安全是安全的反义术语，因此，对于非安全设备、传输路径、评估等而言，所提到的对错误安全的要求没有得到满足。

非安全评估处理非安全数据。这也是用于复杂且灵活的评估的功能分支。可选地，可以包括安全数据，但是这些安全数据在功能分支中仅被理解为是非安全数据的附加部分。此外，安全评估借助于安全数据检查非安全评估的结果。该安全测试分支或安全可信度测试分支为包括功能分支在内的整个系统建立所需的安全级别。根据开篇提到的安全标准，这对应于具有测试的可接受的单通道安全架构。

本发明基于使用安全数据进行测试的基本思想，与非安全数据和由此在非安全评估的功能分支中得出的评估结果相比，这些安全数据的信息含量相对较低。因此，与评估结果相比，安全数据的准确度较低和/或不太可供使用。安全数据在评估结果周围形成一种网格场(Raster)类型，利用这些评估结果识别出过大的越出(Ausbruch)，但可能不足以在任何时候且以任何精度验证评估结果。在此，这不仅是进行比较时的容差，更确切地说，安全数据缺乏专门根据安全评估与从非安全数据中得出的评估结果对应的信息深度。安全评估以对安全数据非常特定的目标对传感器信息进行了安全评估，并且在此极大地减少了或压缩了这些传感器信息的信息含量。因此，安全数据在任何情况下均不取代非安全评估，而不仅仅是存在冗余。例如，安全数据具有较低的空间或时间分辨率，尤其低的倍数为n＝2...10或更大，或者这些安全数据仅在特定时间或特定情况中可供使用。

本发明的优点在于，还可以实施复杂的安全功能并且可灵活地调整。这不仅仅是在简单的安全信号层面上的传统的传感器数据融合。更确切地，存在如下选项，即首先收集各种安全传感器和/或非安全传感器的传感器信息，并且随后实现组合的安全功能。这基于可用的硬件模块，因此不需要等待开发更强大的安全接口来传输复杂的安全数据，而且同样不需要等待具有显著更大的计算能力的安全控制装置。利用根据本发明的安全系统的架构可以映射整个安全级别范围，例如性能级别PL a至PL d。因此，可以为相应的应用使用适用的安全级别，并从而可以降低成本，因为并非是由于缺乏灵活性而必需要使用在特定情况下需要的过度的安全解决方案。可以从非常多样化的安全传感器和非安全传感器中提取信息，并从而提供广泛的解决方案变型。

优选地，全部或至少部分传感器是光电传感器。这涉及安全传感器和非安全传感器，因为允许对机器周围的区域进行特别良好的监测。

优选地，安全评估单元被设计用于当评估结果不可信时向机器产生防护信号。在这种情况下，由于通过可信度测试分支测试失败，因此非安全评估被认为是不可靠的或发现是有错误的。可以设想在预先规定的标准下还允许有容差，例如再等待下一个测试周期。于是最后，安全系统还是向机器输出防护信号，该机器紧接着转变(例如停机、减速或规避)到安全状态。

优选地，非安全评估单元被设计用于向机器产生控制信号，特别是用于对机器进行防护的控制信号。当对非安全数据处理的结果得出该要求时，非安全评估单元对机器进行的控制明确包括防护作为选项。通过借助于安全评估单元来检验非安全评估单元，非安全评估单元中未识别出的错误的风险被限于有限准确度的范围内和/或两次测试之间的持续时间。因此，安全系统(作为整体，并且包括孤立考虑的非安全评估单元)达到了特定的安全级别。

优选地，安全系统具有安全控制装置，该安全控制装置具有安全评估单元。因此，安全评估单元构成单独的设备。安全传感器将安全数据传输到安全控制装置。安全控制装置是安全的，但是仅具有有限的功能范围或有限的存储及计算容量以及数据接口的带宽。对单独的安全控制装置可替代地，可以设想实施为安全传感器中的功能块。

优选地，安全系统具有计算机单元，该计算机单元具有非安全评估单元。计算机单元同样是单独的设备，但不是安全控制装置，即，该计算机单元被设计为是非安全的。示例包括非安全控制装置或标准控制装置，但还包括具有CPU和/或GPU的工业计算机以及包括云的计算机网络。无论是安全传感器还是非安全传感器的非安全数据都被传输到计算机单元。优选地，计算机单元被设计用于复杂的评估，具有高的功能范围和大的存储及计算容量以及数据接口的带宽。对单独的计算机单元可替代地，可以设想实施为非安全传感器或安全传感器中的功能块。

在另一可设想的实施方式中，安全评估单元和非安全评估单元在共同的设备中实施。然而，这不是优选的解决方案，因为可以更有针对性地为其相应的任务设计相应的单独的硬件模块。

优选地，安全数据具有至少一个二进制的对象确定信号。更优选地，安全数据仅由至少一个二进制的对象确定信号组成。该对象确定信号是安全传感器的常见输出参数，该输出参数在传统应用中在互连的安全控制装置中整合之后直接地或间接地作为防护信号向机器输出。在根据本发明的安全系统中，二进制的对象确定信号被安全评估单元使用以用于测试，并且因此在所有情况下间接地用作防护信号。

优选地，安全数据具有保护区域是否被侵入以及哪个保护区域被侵入的信息。这通常以二进制的对象确定信号的形式来实现，但原则上以另一种数据格式也是可以的。如果只监测一个保护区域，则该保护区域的标识是自动已知的，而安全数据对此不必包含任何信息。在多个保护区域的情况下，选择性地使用多个输出作为传输路径或协议，该协议允许通过特定时隙或其他编码来识别保护区域的标识。

优选地，安全传感器被设计为安全激光扫描仪。在多个安全传感器的情况下，其中的至少一个安全传感器是安全激光扫描仪，在一些实施方式中，甚至所有的安全传感器都是安全激光扫描仪。这在安全技术中是经证实的具有大的检测范围的传感器，这些传感器同时还可以用作扫描数据或对象轮廓或点云形式的高品质的非安全数据的源。特别地，安全激光扫描仪能够识别一个或更多个经配置的保护区域的侵入，并且输出例如二进制的开关信号的形式的相应的安全数据。然而，还可设想利用其他的安全光电传感器(例如，光栅以及二维相机或三维相机)以及利用其他传感器(例如，电容式传感器或脚踏式警报垫(Trittmatte))来进行保护区域监测。

优选地，非安全评估单元被设计用于确定对象与机器的距离。特别地，利用该距离可以实现对机器基于距离进行防护，即，如果对象靠近机器，则对该机器进行防护。优选地，还确定速度(速度和距离监测(Speed-and-Separation Monitoring))。优选地，不监测任意对象的距离，而是识别人员或者甚至身体部位，并且至少一些已知的其他对象还允许靠近机器。应再次指出的是，这种与安全相关的评估在非安全评估单元中进行。安全通过借助于安全评估单元进行验证来产生。

优选地，安全传感器被设计用于监测由多个保护区域组成的网格场，其中关于被侵入的保护区域的标识的安全数据具有安全位置信息。以此，检测与距离监测匹配的安全比较数据。通过被安全监测的保护区域处的网格场，以网格的精确度安全地检测在机器的周围环境中的对象的位置。该位置信息比非安全评估单元中的距离监测的信息粗糙，并且通过少量的安全数据，特别是二进制的对象确定信号被输出。但是，这足以发现非安全距离监测的错误。

优选地，安全评估单元被设计用于在被侵入的保护区域的标识发生改变的时间点检验非安全评估单元的评估结果。因此，测试在非常特定的时间点进行，其中这些特定地由识别出的保护区域侵入的变化而触发的测试根据实施方式补充或替代周期性的测试。在保护区域第一次被侵入的时刻，介入的对象应处于该保护区域的边缘处。特别的，如果同时先前对相邻保护区域的保护区域侵入不再存在，则在该时间点，对象位置以高准确度甚至比保护区域的网格更良好地已知。

优选地，非安全评估单元被设计用于对车辆，优选地是自主式车辆(AGV，自动引导车辆)进行导航。根据实施方式，这包括车辆的自定位、寻路、环境检测和防护。优选地，安全系统与传感器中的至少一部分传感器一起行驶，其中可以设想补充的静态传感器和例如车辆外部的云中的非安全评估。对于这种类型的导航任务，例如使用SLAM算法(同步定位与建图)，这些算法计算量是非常大的，因此不能在安全控制装置中实施。

优选地，安全数据具有至少一个参考位置处的位置信息，特别地，通过安全传感器监测参考保护区域来获得。对于导航应用，这是用于测试非安全评估单元的合适的安全数据。非安全计算出的导航必须至少再现参考位置，其中安全级别此外由参考位置的频率预先规定。尤其优选地，参考位置通过由安全传感器检验已知位置处的参考保护区域的侵入来获得。

本发明的方法可以以类似的方式进一步改进，并同时显示出类似的优点。这些有利的特征示例性地、但并非穷尽地在独立权利要求之后的从属权利要求中进行描述。

具体实施方式

下面示例性地基于实施例并参考附图对本发明的其他特征和优点更详细地进行阐述。在附图中：

图1示出了安全系统的实施方式的示意性框图；

图2示出了利用距离监测和两个安全激光扫描仪的保护区域的网格场对机器人进行监测的示例性图示；

图3示出了用于图2的示例的安全系统的实施方式的示意性框图；

图4示出了用于类似于图2、但是现在以安全激光扫描仪和安全3D相机的监测情况的安全系统的实施方式的示意性框图；

图5示出了用于车辆导航的安全系统的实施方式的示意性框图；

图6示出了通过保护区域进行位置检验对车辆进行导航的示例性图示；

图7示出了传统的安全设计方案的图示；以及

图8示出了相对于图6的安全设计方案的传统的安全系统的示意性框图。

图1示出了用于对机器12(例如，机器人、车辆或其他通常较复杂的机器)进行防护的安全系统10的示意性框图。至少一个安全传感器(在示例中为两个安全传感器14a-14b)监测与机器12相关联的区域，例如该区域的周围环境或访问路径。此外，可选地，可以设置非安全传感器16。术语“安全”和“非安全”还应理解为相应的部件、传输路径和评估满足或不满足开篇所提到的标准化的安全标准。优选地，传感器是光电传感器，例如激光扫描仪或相机，但是还可以至少部分地基于其他传感器原理。

为了评估各种传感器数据，安全系统具有非安全控制装置18和安全控制装置20。如图所示，它们优选地分别是单独的硬件模块。可替代地，它们可以是传感器14、16中的至少部分功能块或共同的控制装置18、20。因此，存在安全线路与非安全线路的划分。

优选地，非安全控制装置18具有高的计算能力和灵活性，并且能够传送和处理大的数据量。例如，该非安全控制装置是非安全标准控制装置或工业计算机中的CPU或GPU。此外，还可以设想边缘计算基础架构或云解决方案。由于处理不必是安全的，因此机器学习的方法也是可行的，例如深度学习和神经网络的所有变型。

非安全控制装置18接收和处理非安全传感器16的非安全传感器数据(如果存在的话)，可替代地或附加地还接收和处理安全传感器14a-14b的非安全数据。非安全传感器数据通常是复杂的且广泛的，例如图像、点云或扫描数据。非安全控制装置18形成功能分支，在该功能分支中运行对大的传感器数据量的复杂评估。为此，可以使用标准硬件，因为不需要满足安全要求或充其量满足较低的安全要求。

另一方面，安全控制装置20通过双通道的端口、处理线路和相应的评估被安全地设计。为此，该安全控制装置仅提供相对简单的评估选项、具有通常仅用于二进制信号的小带宽的接口以及有限的存储和计算容量。

安全控制装置20接收安全传感器14a-14b的安全数据。为此，安全传感器14a-14b通过内部安全评估已经对原始的传感器数据进行了极大地减少或压缩。通常，只输出一个二进制的安全信号(OSSD，输出信号切换装置)，在一些情况下，输出多个二进制安全信号，以便还提供多个并行监测的保护区域中哪个保护区域被侵入的信息。可选地，安全控制装置20还获得非安全传感器16的非安全数据，其中附加的冗余可以提高安全级别。

安全控制装置20形成用于非安全控制装置18的测试分支或可信度测试分支。为此，评估结果从非安全控制装置18传输到安全控制装置。评估结果可以是、但绝非必须是力求的非安全评估的输出参数，而是可以仅是其一部分，或者甚至是在实际评估时为安全控制装置20产生的特定的测试值。现在，安全控制装置20基于安全数据来检查评估结果是否对应于安全控制装置的期望值，并从而发现非安全控制装置18的可能的错误。下面给出了出于测试目的传输的评估结果以及安全数据的示例，根据这些安全数据测试评估结果。在图1中，从安全传感器14a-14b的安全信号中导出期望值。应提到的是，同样可以使用其他的安全系统数据，例如机器12的安全位置信息或过程信息，诸如特定的尺寸等。这些安全数据的相应的源(尤其是机器12)在这些情况下就其角色而言被理解为安全传感器。

非安全控制装置18根据其评估产生用于机器12的控制信号。该控制信号显然包括对该机器的防护，即，置于安全状态，因为(最初)非安全评估已经识别出危险情况。机器12通常还具有与非安全控制装置18通信的单独的控制装置。如果非安全控制装置18的测试发现错误，则安全控制装置20利用安全防护信号再次对机器12进行防护。在此，还可预先设想容许一定程度的错误，例如，如果错误在随后的测试周期中不再出现，则不触发安全响应。在没有通过相应的箭头表示的情况下，可以设想机器12将信息返回到非安全控制装置18和/或安全控制装置20。

因此，安全控制装置20基于评估结果控制非安全控制装置18。机器12主要由非安全控制装置18控制。安全控制装置20仅作为被动监测机制定期检查非安全控制装置18的控制信号是否与安全数据和由此导出的期望值一致。在非安全控制装置18有偏差或出现不可信的评估结果的情况下，安全控制装置20可以介入并且对机器12采取控制。机器12的防护可以意味着其停止或紧急停机。其他与安全性相关的机动措施是遵循路径(bahntreu)的减缓、停止和重新启动以及与安全性相关的规避机动措施，这尤其适用于机器人或AGV的情况。

在安全标准ISO/EN 13849-1中基本上描述了通过测试建立安全性的方法。通过每个输入端(即，安全传感器14a-14b或非安全传感器16)实现了具有类别2测试的单通道架构。在此，通过多个传感器14a-14b、16还可以实现最高的安全类别，例如类别4或性能级别PL d。然而，本发明的目的不一定是满足最高的安全要求(即使这是可行的)，而是具有各种安全级别的灵活性。具体实现的安全级别不仅取决于安全系统10的基本架构，还取决于所使用的传感器14a-14b的安全级别以及评估和可信度测试步骤。

总之，没有特殊的安全架构的高性能的非安全控制装置18作为用于处理复杂的传感器数据的功能分支与作为测试分支的简单的安全控制装置20组合。非安全控制装置18的安全技术上的测试被转移到单独的安全控制装置20中。对照期望值来检查非安全控制装置18中的复杂的传感器数据处理的结果。由于在安全传感器中已经对简单的安全数据(例如，安全开关信号)进行了安全技术上的整理，因此安全数据可以用作用于验证非安全控制装置18的评估的期望值。此外，优选地，利用多个安全传感器14a-14b提供安全开关信号和复杂的传感器数据。可替代地，附加的非安全传感器16被用作复杂的传感器数据的源。根据本发明，允许在可用的非安全控制装置18和安全控制装置20上灵活地实现迄今为止尚未实现的安全功能，并且允许更好地使用高品质的传感器信息。只要安全传感器14a-14b或非安全传感器16提供传感器数据(例如，附加的安全数据)或切换信号作为可信度检查的基础，就可以实施该设计方案。

图2示例性地示出了借助于用于实施距离监测(特别是速度和间隔监测)的两个安全激光扫描仪14a-14b来监测机器人12。图3以框图示出了相应的安全系统10。安全激光扫描仪14a-14b监测保护区域22₁₁…22_nm的网格场。由彼此相同的保护区域22₁₁…22_nm组成的所示规则的矩形网格场是特别明显，但是不规则的、大小不同的以及被布置成带有空隙的保护区域也是可行的。

现在，对象24(在这里是人员)一方面被安全激光扫描仪14a-14b在特定的保护区域22₁₅、22₂₅中检测到，并且相应的二进制开关信号(OSSD)被传输到安全控制装置20。此外，扫描数据作为非安全传感器数据在非安全控制装置18中被评估。在此，借助于对象定位来计算与相应的扫描仪中心的距离，如由箭头26a-26b所示。由此，根据箭头28，人员或对象24与机器人12的距离可以导出。

非安全控制装置18基于对象24(该对象可以被认为人员或者仅仅作为任意对象被检测到)的距离以及可能的其他参数(例如，运动的方向和速度)来决定应给予机器人12哪些控制命令以及是否有必要防护。到目前为止，这种评估和控制还并不安全。因此，非安全控制装置18将(例如，位置、距离或运动方向的)评估结果传输到安全控制装置20。

另一方面，由于保护区域22₁₅、22₂₅被侵入，因此安全控制装置20具有至少关于对象24的位置的期望值。因此，允许给定由非安全控制装置18确定的对象24的位置或距离应位于其中的一区间，以便是可信的。如果从非安全控制装置18获得的评估结果位于该区间内，则所计算的距离值被认为是可信的。否则，一旦安全控制装置20不再能够将非安全控制装置18的距离监测看作是可靠的，则该安全控制装置本身触发机器人12的与安全相关的响应。

特别有利地，将保护区域22₁₁…22_nm的状态变换用作可信度测试的触发器。状态变换意味着在目前为止未被侵入的保护区域22₁₁…22_nm中检测到对象24，或者反过来，保护区域22₁₁…22_nm不再被侵入。特别是在这种状态变换的情况下，与安全相关的对象24的位置对安全控制装置20来说也是特别已知的，因为对象24随后必须位于保护区域边界处。因此，该时间点特别有利于可信度测试。

图4示出了安全系统10的经改型的另一个实施方式，其中安全3D相机14b代替安全激光扫描仪14b。例如，安全激光扫描仪14a具有高安全级别SIL 2或PL d，而3D相机14b具有中等安全级别PL c。可替代地，3D相机还可以是非安全的。非安全控制装置18任务还是在于根据3D相机14b的非安全数据，特别是深度图，以及可能补充的安全激光扫描仪14a的扫描数据，以及必要时机器12的过程数据，来确定机器12与对象24之间的距离。该距离在安全控制装置20中与不太准确、但非常确定已知的期望值进行比较，并从而在安全技术方面的价值得到提高。可以在非安全控制装置18中确定其他评估结果，例如运动方向或速度，并且在安全控制装置20中进行可信度测试。

如在图2的示例中，保护区域的网格场可以再次被监测，以便导出期望值，并且特别是恰巧在发信号通知保护区域状态改变的时间点可以开始比较，以进行可信度测试。利用这样的安全系统10可以以高安全级别实现三维速度和距离监测的高品质的安全功能。

图5示出了用于车辆(尤其是至少部分自主式车辆(AGV，自动引导车辆))的安全导航的安全系统10的另一个实施方式的示意性框图。所示的是仅具有一个安全激光扫描仪14的实施方式，其中可替代地，可以使用多个安全激光扫描仪以及还可以使用其他的传感器(例如，相机等)。

导航任务需要投入非常耗费的方法，例如SLAM(同步定位与建图)，这是安全控制装置20以其有限的资源在任何情况下可能都无法承担的。由于非安全控制装置18原则上使用任何硬件，因此这些算法可以在硬件上实施。

安全控制装置20的任务又在于验证评估结果，特别是基于安全激光扫描仪14的保护区域状态来确认位置。为此，在图5中未展示的情况下，非安全控制装置18仍然尽可能地向安全激光扫描仪14发回用于改变的保护区域配置的触发或切换信号。

可以在车辆12的工作区域中配置测试位置，在这些测试位置处，通过特定的参考保护区域来检查明确的周围环境特征的存在和至少粗略的位置。图6作为应用示例示出了在具有周围环境对象30(例如，货架、壁等)的车间中处于三个不同位置的车辆12a-12c的导航。车辆12a-12b前方的未标记的安全激光扫描仪监测六个同步的保护区域S1-S6，这些保护区域以这样的方式编程，使得在参考位置(例如，在传输点处，在这里为车辆12a)中存在被侵入的和未被侵入的保护区域S1-S6的非常确定的且尽可能明确的组合，或者存在安全激光扫描仪的相应的OSSD组合。

例如，安全数据从安全激光扫描仪传输到安全控制装置20，该安全控制装置形成与在这里示例性的六个保护区域S1-S6对应的六位数的位模式，并且其中如果保护区域为空，则相应的位为零，而如果保护区域被侵入，则相应的位为一。相应地，只有在参考位置处的车辆12a提供参考位模式S＝101010，而在S＝001010的车辆12b中，与参考位置相比，保护区域S1保持空，并且在S＝000000的车辆12c中，甚至所有的保护区域都是空的。因此，除了车辆12a之外，在每个位置处，至少一个位与参考位置的期望值不一致。因此，在车辆12a的位置中，安全控制装置20中安全确定的参考位置可以验证例如通过SLAM确定的非安全控制装置18的位置。

该位置确认可以被完全地反映在安全控制装置20的安全测试分支中。安全激光扫描仪监测所配置的参考保护区域S1-S6，并且将安全开关信号输送到安全控制装置20。对于根据参考保护区域的状态导出的触发点(这些点的位置是明确已知的)，由非安全控制装置18输送的评估结果与基于参考保护区域的配置已知的位置进行比较和确认。

因此，这是通过传输较少极度压缩的安全数据可以验证复杂的非安全评估的另一个示例。安全数据仅仅是来自对象确定信号或保护区域侵入的短长度的位模式。在这里，长度对应于被同时监测的保护区域的数量，并且因此通常最大为十、最大为二十、最大为五十或最大为一百。特别是待配置的保护区域的数量更多时，系统可以提供自动性，以便确定或至少推荐保护区域。例如，可以将车辆12a带到参考位置，并且保护区域S1、S3、S5与保护区域S2、S4、S6相比在相对于周围环境对象30的边界处的相应超出被自动地确定。

优选地，位置的验证在安全技术方面特别关键的位置处进行，例如，在发生转移的位置处(如图6)，或者在特定的安全功能停止(静音)或者保护区域被切换的位置处。触发还可以由非安全控制装置18从得出的位置数据产生，但是随后需要看门狗监测。在图5的示例中，一个或更多个参考保护区域的状态变化也可以用作验证的触发。优点又在于，在状态改变的时刻，即使没有SLAM，车辆12的位置也被特别准确地确定。

对如图5和图6中仅具有安全激光扫描仪14的安全系统10可替代地或附加地，定位和导航还可以利用其他的传感器来进行，例如借助于UWB(超宽带)基于无线电来进行。当然，这种传感器可以用很大的耗费被设计为是自身安全的，但是优选地作为可选的非安全传感器16(如图1)来补充安全系统10。当使用这种非安全传感器16进行导航时，位置信息随后不仅以非安全的方式产生并且在非安全控制装置18中进行评估，而且还经由非安全无线电接口回传到车辆12。借助于在这里描述的参考保护区域，车辆12的安全控制装置20随后可以检查，在必须切换保护区域例如以便LKW驶入的关键位置处，非安全得出的位置是否正确。