Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Bestimmung einer sicheren Distanz nach der Zweiwege- Entfernungsmethode zwischen einem drahtlos kommunizierenden Objekt-Transponder und zumindest einem Anker-Gateway, welche jeweils Mittel zur Erfassung von Zeitstempeln aufweisen.

In Produktionssystemen werden häufig Schutzzäune zum Perso- nenschutz eingesetzt, um beispielsweise Bedienungspersonal oder bewegte Objekte vor einem, in Betrieb befindlichen, be- wegten Montage-Roboterarm zu schützen.

Schutzzäune benötigen allerdings Platz in der Produktionsan- lage und können den Zugang zu Anlagen erschweren. Damit sind indirekt Produktionskosten verbunden, welche einen wirt- schaftlichen Betrieb eines Produktionssystems unerwünscht be- einträchtigen .

Beispielsweise kann mit einer Laserentfernungsmessung oder visueller Erkennung mit Kameras ein virtueller Schutzzaun für gefährliche Produktionsmaschinen realisiert werden, was je- doch in der Regel sehr aufwändig, unflexibel und teuer ist.

Die Lokalisierung eines drahtlos kommunizierenden Objekt- Transponders, also die Berechnung einer absoluten Position im Raum (2D oder 3D) durch ein funkbasiertes Lokalisierungssys- tem mit Standardkomponenten gilt im Stand der Technik aller- dings als unsicher.

Die berechnete Position kann durch Hardware- und/oder Soft- ware-Fehler der zum Einsatz kommenden Komponenten oder durch physikalische Effekte, welche beispielsweise durch den Funk- kanal hervorgerufen werden können, verfälscht werden.

Solche Effekte können durch Funkkanäle, welche auf keiner di- rekten Sichtverbindung basieren, hervorgerufen werden. Durch Signalreflektionen kann es zu Mehrwegausbreitung und in wei- terer Folge zum Mehrfachempfang desselben Sendesignals, je- doch mit unterschiedlichen Laufzeiten kommen.

Eine Verbesserung der Laufzeitmessung kann durch das bekannte TWR-Verfahren (englisch „Two Way Ranging", Zweiwege- Entfernungsmethode ) erreicht werden. Die Zweiwege- Entfernungsmethode bestimmt die Signallaufzeit (Flugzeit) des UWB-HF-Signals und berechnet dann die Entfernung zwischen den Knoten, indem die Zeit mit der Lichtgeschwindigkeit multipli- ziert wird. Der TWR-Prozess wird zwischen einem Transponder und einem angeforderten Anker (auch als Anker-Gateway oder Anker-Transponder bezeichnet) angewendet, es soll zu einem bestimmten Zeitpunkt nur ein Anker am TWR beteiligt sein.

Unter einem Anker wird eine stationäre Funkeinheit mit be- kannter Position verstanden.

In der Publikation US 2009/310585 Al ist ein Verfahren zur Bestimmung einer Schutzzone um einen drahtlos kommunizieren- den Transceiver beschrieben, welches auf dem bekannten TOA- Verfahren beruht.

Die Schrift US 2014/038637 Al zeigt ein Verfahren zur Bestim- mung einer Schutzzone um einen drahtlos kommunizierenden Transceiver .

Jedoch sind in beiden genannten Verfahren die ermittelten Po- sitionsdaten des Transceivers nicht für sicherheitsrelevante Systeme nutzbar, da die verwendete konventionelle Rechenvor- richtung nicht den hohen Erfordernissen an Datensicherheit genügt.

In der Veröffentlichung "Information technology - Real time locating Systems (RTLS) - Part 62: High rate pulse repetition frequency Ultra Wide Band (UWB) air interface", ISO/IEC 24730-62:2013, IEC, 3, RUE DE VAREMBE, PO BOX 131, CH-1211 GENEVA 20, SWITZERLAND, 26. August 2013 (2013-08-26), Sei- ten 1-57, XP082006036, ist ein Verfahren beschrieben, wobei mindestens eine Anker-Objekt-Distanz zwischen einem drahtlos kommunizierenden Transponder und einem Infrastruktur-Knoten mit bekannter Position nach dem TWR-Prinzip durch eine Dis- tanzmessungsvorrichtung ermittelt wird, welche lediglich die Datenübertragung gegen Fehler sichert.

Jedoch können durch dieses Verfahren nur Fehler in der Über- tragung von Zeitstempeln erkannt werden und es wird nicht auf eine für Sicherheitsanwendungen geeignete fehlersichere Weise eine sichere Position bestimmt.

Es ist jedoch derzeit kein Ortungsverfahren mithilfe eines Funksystems bekannt, mit welchem sicherheitsrelevante Aufga- ben, wie beispielsweise der Verzicht auf Schutzzäune bei Pro- duktionsanlagen, realisiert werden können, da die Bestimmung insbesondere der Übertragungsparameter eines Funkkanals nicht hinreichend verlässlich ist, um beispielsweise in einem Pro- duktionssystem eingesetzt zu werden und bei einem unerwünsch- ten Eingriff das Produktionssystem abzuschalten und dadurch die Personen- bzw. Objektsicherheit zu gewährleisten.

Es ist Aufgabe der Erfindung ein Verfahren und eine Vorrich- tung zur Bestimmung einer fehlersicheren Distanz zwischen ei- nem drahtlos kommunizierenden Objekt-Transponder und einem Anker-Gateway bei gleichzeitig hoher Verfügbarkeit des Sys- tems bereitzustellen.

Dabei kann der drahtlos kommunizierende Objekt-Transponder beispielsweise von einer Person, das heißt dem Bedienungsper- sonal, getragen werden. Natürlich kann auch ein Objekt, wie ein autonom fahrendes Fahrzeug mit einem Objekt-Transponder ausgestattet sein, um dieses Fahrzeug beispielsweise vor ei- ner Kollision zu schützen.

Die Schutzzone ist eine virtuelle Zone, durch welche sicher- gestellt werden kann, dass bei Eingriff in diese Zone ein Schutzmechanismus aktiviert wird, beispielsweise indem des eingreifenden Objekts wie ein Roboterarm unmittelbar gestoppt wird. Mit anderen Worten beschreibt der Schutzradius der Schutzzone jenen minimalen Radius, in welche sich der Trans- ponder mit Sicherheit befindet, das heißt verlässlich nicht außerhalb befindet.

Dadurch können beispielsweise große Anlagen ohne Schutzzäune realisiert werden, in denen gefährliche Maschinen automatisch abgeschaltet werden, wenn sich ein Arbeiter, der mit einem Objekt-Transponder ausgestattet ist, der Maschine soweit nä- hert, dass der Schutzradius den gefährlichen Bereich schnei- det. Dies ist günstig, da nur jener Teil der Anlage mit der betroffenen Maschine und nicht die ganze Anlage von der Si- cherheitsmaßnahme betroffen ist.

Eine fehlersicher arbeitende Recheneinheit (F-CPU) als si- cherheitszertifizierte Komponente führt beispielweise mittels zweier unabhängiger Rechenvorrichtungen jeweils die gleichen Rechenoperationen aus, vergleicht deren Ergebnisse miteinan- der und stellt bei einer Übereinstimmung ein als sicher gel- tendes Ergebnis bereit. Eine fehlersicher arbeitende Rechen- einheit kann sicherheits-relevante und nicht-sicherheits- relevante Anwendungsprogramme ausführen und ist bis zu SIL3 gemäß IEC 61508 und Cat4 PLd gemäß ISO 13849-1 zertifiziert.

Die IEC 61508 ist eine internationale Normenserie zur Ent- wicklung von elektrischen, elektronischen und programmierba- ren elektronischen Systemen, die eine Sicherheitsfunktion ausführen. Sie wird von der Internationalen Elektrotechni- schen Kommission (IEC) herausgegeben und trägt den Titel Funktionale Sicherheit sicherheitsbezogener elektri- scher/elektronischer/programmierbarer elektronischer Systeme. Die Norm EN ISO 13849 ist eine sicherheitsspezifische Norm, welche sich mit Gestaltungsleitsätzen zu sicherheitsbezogenen Teilen von Steuerungen beschäftigt.

Die erfindungsgemäße Aufgabe wird durch ein Verfahren ein- gangs genannter Art gelöst, wobei folgende Schritte ausge- führt werden: a) Erfassen von Sende- und Empfangs-Zeitstempeln für eine jeweilige Kommunikations-Nachricht seitens des Transpon- ders und des einen Anker-Gateways, b) Übertragen der jeweiligen Zeitstempel vom Transponder und dem einen Anker-Gateway mit zumindest einer jeweiligen Zeitstempel-Kontrollinformation an eine fehlersichere Re- chenvorrichtung, wobei die Zeitstempel-

Kontrollinformation vorzugsweise eine Paritätsinformation ist c) Durchführen von zumindest einer Überprüfung durch die fehlersichere Rechenvorrichtung ausgewählt aus: cl) Überprüfung der Richtigkeit der jeweiligen Zeitstem- pel anhand der zumindest einen Zeitstempel- Kontrollinformation, c2) Überprüfung der errechneten Zeitdauer für die Bearbei- tungszeiten des Transponders und jener des einen Anker- Gateways anhand bekannter Erfahrungswerte, d) Bestimmen der sicheren Distanz mithilfe der überprüften Zeitstempel durch die fehlersichere Rechenvorrichtung. wobei bei der Erfassung der Zeitstempel Zeitstempel-Fehler nur durch den Transponder oder alternativ nur durch das eine Anker-Gateway hervorgerufen werden.

Dadurch wird erreicht, dass die zu bestimmende Distanz feh- lersicher berechnet wird, da jede Rechenoperation zur Bestim- mung der Distanz in einer fehlersicher arbeitenden Rechenvor- richtung durchgeführt werden. Die Erfassung der Basisdaten, das heißt der Zeitstempel erfolgt durch den Transponder be- ziehungsweise die Anker-Gateways und die Übertragung der Zeitstempel wird durch eine jeweilige Zeitstempel- Kontrollinformation gesichert. Daher kann beispielsweise ein Fehler bei der Erzeugung, der Übertragung und der Berechnung festgestellt werden und eine Warnung ausgegeben werden, dass die Sicherheit einer durchgeführten Berechnung aktuell nicht sichergestellt ist.

Erst die Kombination des Einsatzes einer fehlersicheren Re- chenvorrichtung und die entsprechende Wahl, an welcher Stelle im System eine solche fehlersicheren Rechenvorrichtung Anwen- dung finden soll, sowie in diesem Zusammenhang geeignete Zeitstempel verwendet werden, erlaubt eine zuverlässige Posi- tions-Bestimmung für den Einsatz in Personenschutzsystemen.

Während ähnliche Systeme beispielsweise eine aufwändige zeit- liche Synchronisierung der Komponenten erfordern, kann erfin- dungsgemäß darauf verzichtet werden, denn das vorgeschlagene Verfahren erreicht durch die günstige Anordnung der fehlersi- cheren Rechenvorrichtung und die entsprechende Wahl von Zeit- stempeln eine sichere Positionsbestimmung.

In einer Weiterbildung der Erfindung ist es vorgesehen, dass ein Indikatorwert für eine sichere Distanzmessung durch fol- genden Zusammenhang mittels der fehlersicheren Rechenvorrich- tung ermittelt wird, welcher ein Maß für die Sicherheit der berechneten sicheren Distanz ist: wobei

T _Round1 = 2 · T0F ₁ + T _{GW_ REPLY}

T _Round2 = 2 · TOF ₂ + T _{TAG _ REPLY} T _{GW_ REPLY} = TS _{GW_XT_RESP —} TS _{GW_RX_ POLL}

T _TAG-REPLY = TS _{TA GT X_F_ INAL —} TS _{TA GX R_E_ SPR} und T0F ₁ beziehungsweise T0F ₂ die jeweilige Signallaufzeit zwischen dem Transponder und einem der zumindest zwei Anker- Gateway ist.

Dadurch kann auf eine einfache Weise festgestellt werden, dass die Erzeugung der Zeitstempel plausibel erfolgt ist.

In einer Weiterbildung der Erfindung ist es vorgesehen, dass der drahtlosen Kommunikation zwischen dem Objekt- Transponder und dem einen Anker-Gateway für eine Lokalisie- rungs-Abfrage eine Abfrage-, eine Antwort- und eine End- Nachricht versendet und empfangen wird.

Dadurch kann das Verfahren auf ein einfaches und bekanntes Verfahren zur Zwei-Wege-Vermessung aufbauen.

In einer Weiterbildung der Erfindung ist es vorgesehen, dass eine Vorgangsnummer von der fehlersicheren Rechenvorrich- tung erzeugt wird, welche mit der Antwort-Nachricht übertra- gen wird.

In einer Weiterbildung der Erfindung ist es vorgesehen, dass die Vorgangsnummer eine Zufallszahl ist.

Dadurch wird die Manipulationssicherheit erhöht, da die Kenntnis der Zahl vonnöten ist, um sie einem Anker-Gateway zuordnen zu können.

In einer Weiterbildung der Erfindung ist es vorgesehen, dass die Zeitstempel-Kontrollinformation eine Paritätsinformation ist.

Dadurch wird eine technisch einfache Umsetzung erreicht, bei welcher Fehler oder Manipulationen bei der Übertragung der Zeitstempel entdeckt werden können, ohne die Zeitstempel selbst zu manipulieren, wie dies beispielsweise bei einer Verschlüsselung auftreten könnte und im Widerspruch zum er- findungsgemäßen Ansatz steht, dass Berechnungen nur von einer fehlersicheren Rechenvorrichtung ausgeführt werden.

In einer Weiterbildung der Erfindung ist es vorgesehen, dass bei der Berechnung der Kontrollinformation eine Kommunikati- ons-Adresse des Objekt-Transponders oder des zumindest einen Anker-Gateways berücksichtigt wird.

Dadurch wird die Manipulationssicherheit weiter erhöht, da eine zusätzliche Überprüfung der im System bekannten Anker- Gateways erfolgen kann.

In einer Weiterbildung der Erfindung ist es vorgesehen, dass zu einem ersten und einem zweiten Zeitpunkt jeweils sichere Distanzen bestimmt werden, aus welchen eine Bewegungsge schwindigkeit des Transponders ermittelt wird, und die Bewe gungsgeschwindigkeit mit einem vordefinierten Grenzwert ver glichen wird.

Dadurch wird eine weitere Plausibilisierung der Distanzmes- sungen erreicht und die Zuverlässigkeit des Verfahrens weiter gesteigert .

Die Aufgabe der Erfindung wird auch durch eine Vorrichtung eingangs genannter Art gelöst, welche dazu eingerichtet ist, die Schritte des erfindungsgemäßen Verfahrens auszuführen.

Die Erfindung wird nachfolgend anhand von in den beigeschlos senen Zeichnungen dargestellten Ausführungsbeispiele näher erläutert. In den Zeichnungen zeigt:

Fig. 1 ein Ausführungsbeispiel für ein Warn- und

Schutzsystem,

Fig. 2 ein Beispiel für ein erfindungsgemäßes Ablaufdia gramm zur sicheren Bestimmung der Distanz,

Fig. 3 ein Beispiel für eine Abfrage-Nachricht,

Fig. 4 ein Beispiel für eine TWR-Antwort-Nachricht, Fig. 5 ein Beispiel für eine erfindungsmäße Antwort- Nachricht,

Fig. 6 ein Beispiel für eine TWR-End-Nachricht,

Fig. 7 ein Beispiel für eine erfindungsmäße End- Nachricht.

In Fig . 1 ist ein Ausführungsbeispiel für ein Warn- und Schutzsystem dargestellt.

Von einem Objekt-Transponder oder „Tag" T, welcher beispiels- weise von einer Person P am Körper getragen wird, wird ein jeweiliges Abfrage-Signal P1-P3 in einen Funkkanal abge strahlt, welches eine Abfrage Nachricht MP (englisch „Poll") umfasst.

Das jeweilige Abfrage-Signal P1-P3 wird vom jeweiligen Gate way G1-G3 vom Funkkanal empfangen, weiterverarbeitet und als jeweiliges Antwort-Signal R1-R3 wieder abgestrahlt, welches eine jeweilige Antwort-Nachricht MR (englisch „response") um fasst.

Die Antwort-Signale R1-R3 werden vom Objekt-Transponder T empfangen, weiterverarbeitet und als jeweiliges End- Signal F1-F3 wieder in den Funkkanal abgestrahlt, welches die jeweilige Antwort-Nachricht MF (englisch „final") umfasst.

Die End-Signale F1-F3 werden vom jeweiligen Gateway G1-G3 empfangen und an eine fehlersicher rechnende Rechenvorrich- tung F-CPU übergeben, welche den Schutzradius r _P einer Schutzzone S bestimmt.

Wenn sich ein Gefahrensystem beispielsweise in Form einer Produktionsanlage in Betrieb befindet, und dabei ein Roboter arm R der Produktionsanlage in die Schutzzone S eingreift, wird für den Roboterarm ein Abbruchvorgang für dessen Betrieb ausgelöst, wodurch der Roboterarm unverzüglich zum Stillstand kommt. Der Eingriff in die Schutzzone S kann beispielsweise dadurch erfolgen, dass sich die Person P dem Roboterarm R unerlaubt nahe annähert, und der Personenschutz nicht mehr sicher ge- währleistet ist. Ein Verfahren zur Bestimmung einer sicheren Distanz d _TWR nach dem TWR-Prinzip zwischen einem drahtlos kommunizierenden Ob- jekt-Transponder T und zumindest einem Anker-Gateway G1-G3, welche jeweils Mittel zur Erfassung von Zeitstempeln aufwei- sen, wird im Weiteren anhand eines Ausführungsbeispiels der Erfindung beschrieben. Allgemein werden dabei folgende Schritte ausgeführt: ^{a) Erfassen von Sende- und Empfangs-Zeitstempeln TSTAG_TX_POLL,} TS _{GW_RX_POLL,} TS _{GW_TX_RESP,} TS _{TAG_RX_RESP,} TS _{TAG_TX_FINAL,} TS _{GW_RX_FINAL} für eine jeweilige Kommunikations-Nachricht seitens des Transponders T und des zumindest einen Anker-Gateways G1- G3, ^{b) Übertragen der jeweiligen Zeitstempel TS} TAG_TX_POLL ^, TS _{GW_RX_POLL,} TS _{GW_TX_RESP,} TS _{TAG_RX_RESP,} TS _{TAG_TX_FINAL,} TS _{GW_RX_FINAL} vom Transponders T und dem zumindest einen Anker- Gateway G1-G3 mit zumindest einer jeweiligen Zeitstempel- Kontrollinformation CRC1, CRC2, beispielsweise eine Pari- tätsinformation, an eine fehlersichere Rechenvorrich- tung F-CPU, c) Durchführen von zumindest einer Überprüfung durch die fehlersichere Rechenvorrichtung (F-CPU) ausgewählt aus: c1) Überprüfung der Richtigkeit der jeweiligen Zeitstem- pel TS _{TAG_TX_POLL} , TS _{GW_RX_POLL} , TS _{GW_TX_RESP} , TS _{TAG_RX_RESP} , TS _{TAG_TX_FINAL,} TS _{GW_RX_FINAL anhand der zumindest einen} Zeitstempel-Kontrollinformation CRC1, CRC2, c2) Überprüfung der errechneten Zeitdauer für die Bearbei- tungszeiten des Transponders T und jener des zumindest einen Anker-Gateways G1-G3 anhand bekannter Erfahrungs- werte, d) Bestimmen der sicheren Distanz d _TWR mithilfe der über- prüften Zeitstempel TS _{TAG_TX_POLL} , TS _{GW_RX_POLL} , TS _{GW_TX_RESP} , TS _{TAG_RX_RESP} , TS _{TAG_TX_FINAL} , TS _{GW_RX_FINAL} durch die fehlersiche- re Rechenvorrichtung F-CPU, ^{wobei bei der Erfassung der Zeitstempel TSTAG_TX_POLL,} TS _{GW_RX_POLL} , TS _{GW_TX_RESP} , TS _{TAG_RX_RESP} , TS _{TAG_TX_FINAL} , TS _{GW_RX_FINAL} Zeitstempel-Fehler nur durch den Transponder T oder alterna- tiv nur durch das zumindest eine Anker-Gateway G1-G3 hervor- gerufen werden. Daraus kann ein Indikatorwert safe_twr_value für eine sichere Distanzmessung durch folgenden Zusammenhang mittels der feh- lersicheren Rechenvorrichtung F-CPU ermittelt wird, welcher ^{ein Maß für die Sicherheit der berechneten sicheren Distanz} _{dTWR ist:} ^wobei T _Round1 = 2 ∙ T0F ₁ + T _{GW_REPLY} T _Round2 = 2 ∙ T0F ₂ + T _{TAG_REPLY TGW_REPLY = TSGW_TX_RESP − TSGW_RX_POLL TTAG_REPLY = TSTAG_TX_FINAL − TSTAG_RX_RESP} und T0F ₁ beziehungsweise TOF ₂ die jeweilige Signallaufzeit zwischen dem Transponder T und einem der zumindest zwei An- ker-Gateway G1-G3 ist. Während der drahtlosen Kommunikation wird zwischen dem Ob- jekt-Transponder T und dem zumindest einen Anker-Gateway G1- G3 für eine Lokalisierungs-Abfrage eine Abfrage-, eine Ant- wort- und eine End-Nachricht MP, MR, MF versendet und empfan- gen. Außerdem kann eine Vorgangsnummer RNR von der fehlersicheren Rechenvorrichtung F-CPU erzeugt werden, welche mit der Ant- wort-Nachricht MR übertragen wird. Die Vorgangsnummer RNR ist beispielsweise eine Zufallszahl. Bei der Berechnung der Zeitstempel-Kontrollinformation CRC1, CRC2 kann ferner eine Adresse des Objekt-Transponder T oder des zumindest einen Anker-Gateway G1-G3 berücksichtigt wer- den. Fig. 2 stellt ein Beispiel für ein Ablaufdiagramm zur Bestim- mung der sicheren Distanz d _TWR dar, anhand dessen die Erfin- dung im Detail beschrieben wird. Eine sichere Distanz ist eine Entfernung, welche ohne syste- mische Fehler bei einer Laufzeitmessung ermittelt wird. Unerwünschte Einflüsse, beispielsweise durch eine schwankende oder ungenaue Zeitbasis, welche bei einer Laufzeitmessung von Signalen auftreten können, werden durch eine entsprechende „sichere“ Berechnung systemisch ausgeschlossen. Die Position des Objekt-Transponders T (auch englisch „tag“) in einem dreidimensionalen Raum soll gemäß den weiteren Aus- führungen ermittelt werden, wobei die Anker- beziehungsweise Gateway-Transponder G1, G2, G3 mit bekannter Position heran- gezogen werden. Die Abfragenachricht MP wird am Transponder T beziehungsweise Tag zu einem Zeitpunkt mit einem Zeitstempel TS _{TAG_TX_POLL} abge- sendet und am jeweiligen Anker-Gateway G1-G3 zu einem Zeit- punkt mit einem Zeitstempel TS _{GW_RX_POLL} empfangen. Die Übertragung der Abfragenachricht MP im Funkkanal zwischen dem Transponder T und dem jeweiligen Gateway der drei Gate- ways G1-G3 benötigt eine Dauer T0F ₁ (englisch „time-of- flight“). Die Abfragenachricht MP wird vom Anker-Gateway innerhalb ei- ner Zeitspanne T _{GW_REPLY} verarbeitet und eine entsprechende Antwortnachricht MR vom Anker-Gateway zum Transponder T zu einem Zeitpunkt mit einem Zeitstempel TS _{GW_TX_RESP} gesendet und am Tag zu einem Zeitpunkt mit einem Zeitstempel TS _{TAG_RX_RESP} empfangen. Die Zeitspanne T _{GW_REPLY} wird durch den Takt des Gateway- Komponenten T _{GW_CLK} bestimmt und ist innerhalb gewisser und bekannter Grenzen bekannt. ^{Somit kann angegeben werden:} T _{GW_REPLY} = TS _{GW_TX_RESP} − TS _{GW_RX_POLL} Die Zeitspanne T _Round1 bezeichnet die Signallaufzeit zwischen dem Zeitstempel TSTAG_TX_POLL und dem Zeitstempel TSTAG_RX_RESP. TRound1 = TS _{TAG_RX_RESP} − TS _{TAG_TX_POLL} Die Übertragung im Funkkanal benötigt die Dauer T0F ₂ . Falls der Transponder T nicht bewegt wurde, entspricht T0F ₁ = T0F ₂ . Die Antwortnachricht MR wird vom Tag innerhalb einer Zeit- spanne T _{TAG_REPLY} verarbeitet und eine entsprechende Endnach- richt MF vom Anker-Gateway zum Transponder T zu einem Zeit- punkt mit einem Zeitstempel TS _{TAG_TX_FINAL} gesendet. Die Zeitspanne T _{TAG_REPLY} wird durch den Takt des Gateway- Komponenten T _{TAG_CLK} bestimmt und ist innerhalb gewisser und bekannter Grenzen bekannt. Die Übertragung im Funkkanal benötigt die Dauer T0F ₃ . Falls der Transponder T nicht bewegt wurde, entspricht T0F ₁ = T0F ₂ = _TOF3. Das Anker-Gateway empfängt die Endnachricht MF zu einem Zeit- punkt mit einem Zeitstempel TS _{GW_RX_FINAL} . Die Zeitspanne T _Round2 bezeichnet die Signallaufzeit zwischen dem Zeitstempel TS _{GW_TX_RESP} und dem Zeitstempel TSGW_RX_FINAL. T _{Round2 = TSGW_RX_FINAL − TSGW_TX_RESP} ^{Somit kann angegeben werden:} T _{TAG_REPLY} = TS _{TAG_TX_FINAL} − TS _{TAG_RX_RESP} Die Zeitstempel werden von einem Tag-Zähler CT im Objekt- Transponder beziehungsweise einem Gateway-Zähler CG im Anker- Transponder erfasst. Aus den ermittelten Laufzeiten kann die Signallaufzeit im Funkkanal T0F = T0F ₁ = T0F ₂ = T0F ₃ und über die Lichtgeschwin- ^{digkeit c die entsprechende Distanz dTWR bestimmt werden.} Die Rechenvorrichtung F-CPU kann nun einen ersten Fehler er- kennen, sofern die für die Distanzberechnung benötigten Zeit- stempel des Transponders und der Gateways falsifiziert wer- den. Dabei wird angenommen, dass nur Fehler seitens des Transpon- ders T oder alternativ nur Fehler seitens eines der Gate- ways G1-G3 zur selben Zeit passieren, und nicht Fehler sei- tens des Transponders und eines Gateways gleichzeitig. Unter einem systemischen Fehler wird ein Fehler verstanden, welcher die Erzeugung oder Erfassung von Zeitstempeln ungüns- tig beeinflusst, beispielsweise eine unerwünscht abweichende Zeitbasis in einem elektronischen Bauteil, welche durch wech- selnde Temperatur, Alterung, Bauteiltoleranzen oder ähnliches hervorgerufen werden kann. Ein solcher Fehler kann zwischen einzelnen Komponenten in einem System, wie dem Transponder T und einem Gateway G1-G3 auftreten, indem sich eine lokale Zeitbasis in Form einer Takterzeugung für eine digitale Elektronikschaltung ungleichmäßig verändert. Zeitstempel oder eine Drift eines jeweiligen Zeitgeber-Takts in einer Komponente wie dem Transponder T1 oder den Gate- ways G1-G3 sind voneinander unabhängig. Folglich beeinflusst ein Fehler nur den eigenen Zeitstempel und nicht jenen der anderen Komponenten. TWR verfügt über eine integrierte Fehlererkennung. Dabei wird ^{von folgenden Zusammenhängen ausgegangen:} T _Round1 = 2 ∙ T0F ₁ + T _{GW_REPLY} T _Round2 = 2 ∙ T0F ₂ + T _{TAG_REPLY} ^{Eine Abweichung von TOF, also die Differenz zwischen TOF1 und} _{TOF2 durch Fehler im Transponder oder im Gateway kann nun be-} rechnet werden durch ^{Ein TWR-Ergebnis ist für safetwrvalue < safe_twr_value_limit mit} _{safe_twr_value_limit = 825 ps gültig, ansonsten ist das Ergebnis un-} gültig. Mit dem Wert safe_twr_value_limit = 825 ps ist eine Takt-Drift für den Transponder mit < ±200 ppm beschränkt. In der Figur ist ferner ein Programm P_T des Transponders T mit Verfahrensschritten PT1-PT3 für den Transponder T als Teil des Ablaufdiagramms vereinfacht dargestellt. Außerdem ist ein Programm P_G eines jeweiligen Gateways G1-G3 mit Verfahrensschritten PG1-PG3 für das jeweilige Gateway G1- G3 erkennbar, sowie ein Programm P_F der fehlersicher rech- nenden Vorrichtung F-CPU mit Verfahrensschritten PF1-PF4 für die Rechenvorrichtung F-CPU.

Im Schritt PT1 wird die Abfrage-Nachricht MP durch den Trans- ponder T initiiert und gesendet.

Das jeweilige Gateway empfängt im Schritt PG1 die Abfrage- Nachricht MP und bestimmt den Sendezeitpunkt für die Antwort- nachricht MR.

Im Schritt PF1 wird eine Zufallszahl RNR durch die fehlersi- cher rechnende Vorrichtung F-CPU erzeugt und an das jeweilige Gateway gesendet.

Das Gateway sendet eine Antwort-Nachricht MR im Schritt PG2 an den Transponder T, welche die Zufallszahl RNR enthält.

Die Antwort-Nachricht MR wird im Schritt PT2 durch den Trans- ponder T empfangen und der Sendezeitpunkt für die End- Nachricht MF errechnet.

Der Transponder T bestimmt im Schritt PT3 aus den Zeitstem- peln und der Adresse des Transponders T, und der Zufallszahl eine erste Prüfsumme CRC1 und sendet eine End-Nachricht MF vom Transponder T an das Gateway, welche die erste Prüfsum- me CRC1 enthält.

Im Schritt PG3 empfängt das Gateway die End-Nachricht MF und bestimmt aus den Zeitstempeln und der Adresse des Gateways und der ersten Prüfsumme CRC1 eine zweite Prüfsumme CRC2 und übermittelt die Zeitstempel und die Adresse des Gateways und des Transponders T, sowie die zweite Prüfsumme CRC2 an die Vorrichtung F-CPU.

Im Schritt PF2 errechnet die Vorrichtung F-CPU eine dritte Prüfsumme CRC3 und vergleicht sie mit der zweiten Prüfsum- me CRC2.

Im Schritt PF3 errechnet die Vorrichtung F-CPU einen sicheren Wert safe_twr_value für die Entfernung zwischen dem Gateway und dem Transponder T mittels des TWR-Verfahrens und überprüft die Werte auf Plausibilität.

Im Schritt PF4 errechnet die Vorrichtung F-CPU die gesuchte sichere Distanz anhand des vorhergehenden Zusammenhangs hin- sichtlich der Signallaufzeit im Funkkanal TOF.

Fig . 3 stellt beispielhaft eine Abfrage-Nachricht MP_TWR nach dem Stand der Technik für TWR dar, welche Datenelemente für eine Sequenznummer MPSN, eine Ziel-Adresse MPZA, eine Quell- Adresse MPQA und einen Funktions-Code MPFC umfasst, und bei- spielsweise auch als Abfrage-Nachricht MP im erfindungsgemä- ßen Verfahren verwendet werden kann.

Fig . 4 stellt beispielhaft eine Antwort-Nachricht MR_TWR nach dem Stand der Technik für TWR dar, welche Datenelemente für eine Sequenznummer MRSN, eine Ziel-Adresse MRZA, eine Quell- Adresse MRQA und einen Funktions-Code MRFC umfasst.

Fig . 5 stellt beispielhaft die erfindungsgemäße Antwort- Nachricht MR dar, welche Datenelemente für eine Sequenznum- mer MRSN, eine Ziel-Adresse MRZA, eine Quell-Adresse MRQA und einen Funktions-Code MRFC umfasst. Der Funktions-Code MRFC kann sich vom Stand der Technik unterscheiden.

Zusätzlich ist die Zufallszahl RNR enthalten.

Fig . 6 stellt beispielhaft die End-Nachricht MF nach dem Stand der Technik für TWR dar, welche Datenelemente für eine Sequenznummer MFSN, eine Ziel-Adresse MFZA, eine Quell- Adresse MFQA und einen Funktions-Code MFFC umfasst. Der Funk- tions-Code MFFC kann sich von jenem aus dem Stand der Technik unterscheiden .

Zusätzlich weist die End-Nachricht MF ein Datenelement für eine Zeitdifferenz MFRXTX auf, welche die Zeitdauer zwischen dem Absenden der Abfrage-Nachricht MP und dem Empfangen der Antwort-Nachricht MR seitens des Transponders T bezeichnet. Außerdem weist die End-Nachricht MF ein Datenelement für eine Zeitdifferenz MFTXRX auf, welche die Zeitdauer zwischen dem Empfangen der Antwort-Nachricht MR und dem Absenden der End- Nachricht MF seitens des Transponders T bezeichnet. Fig . 7 stellt beispielhaft die erfindungsgemäße End-

Nachricht MP dar, welche Datenelemente für eine Sequenznum- mer MPSN, eine Ziel-Adresse MPZA, eine Quell-Adresse MPQA und einen Funktions-Code MPFC umfasst. Der Funktions-Code MFFC kann sich von jenem aus dem Stand der Technik unterscheiden. Die End-Nachricht MP enthält ferner jeweils ein Datenelement in Form eines Zeitstempels für einen Abfrage- Sendezeitpunkt MF_PTX, einen Antwort Empfangszeit- punkt MF_RRX, sowie einen End-Sendezeitpunkt MF_FTX.

Außerdem weist die End-Nachricht MP die erste Prüfsumme CRC1 auf, welche über die Zeitstempel des Transponders T und über die Zufallszahl RNR gebildet ist.

Bezugszeichenliste: CG Zähler Anker-Transponder CRC1, CRC2 Prüfsumme ^{CT Zähler Objekt-Transponder} _{dTWR sichere Distanz} F-CPU fehlersichere Rechenvorrichtung F1-F3 End-Signal G1, G2, G3 Ankerpunkte, Gateway GS Gefahrensystem M Übertragungs-Medium, Funkkanal MP, MP_TWR Abfrage-Nachricht, „Pull“ MR, MR_TWR Antwort-Nachricht, „Response“ MF_TWR End-Nachricht, „Final“ MPSN, MRSN, MFSN fortlaufende Nummer, Sequenznummer MPZA, MRZA, MFZA Ziel-Adresse MPQA, MRQA, MFQA Quell-Adresse MPFC, MRFC, MFFC Funktions-Code MFRXTX, MFTXRX Zeitdifferenz MF_PTX, MF_RRX, MF_FTX Zeitpunkt P Person mit Objekt-Transponder P_F-CPU, P_G, P_T Verfahren, Programm PF1-PF4 Verfahrensschritte in der F-CPU PG1-PG3 Verfahrensschritte im Gateway PT1-PT3 Verfahrensschritte im Transponder/ Tag P1-P3 Abfrage-Signal R Roboter-Arm RNR Zufallszahl, „random number“ R1-R3 Antwort-Signal S Schutzzone SS Schutzsystem T Objekt-Transponder T0F, T0F ₁ , T0F ₂ , T0F _G1 , T0F _G2 , T0F _G3 “Time-of-Flight”- Signallaufzeit TS _{TAG_TX_POLL} , TS _{TAG_RX_RESP} , TS _{TAG_TX_FINAL} , TS _{GW_RX_POLL} , TSGW_TX_RESP, TSGW_RX_FINAL Zeitstempel T _{TAG_REPLY} , T _{TAG_CLK} , T _{GW_REPLY} , T _{GW_CLK} , T _Round1 , T _Round2 Signallaufzeit TWR “Two-Way-Ranging”-Verfahren WS Warnsystem