Login| Sign Up| Help| Contact|

Patent Searching and Data


Title:
SYSTEM AND METHOD FOR CONTROLLING A ROBOT
Document Type and Number:
WIPO Patent Application WO/2017/186599
Kind Code:
A1
Abstract:
The invention relates to a system for controlling a robot (102), comprising: an interface (101) that provides data DAT(t) captured by one or more sensors (100), wherein the data DAT(t) indicate a current state ZUS(t) of the robot (102), a first processor (103) that is connected to the interface (101) and that is set up to use a first algorithm to check, on the basis of the data DAT(t) and a prescribed state space Z̲, which indicates exclusively permitted states of the robot (102), whether it holds that: ZUS(t) ∈ Z̲ , wherein in the event of: ZUS(t) ∉ Z̲ a first stop signal Sig1 is generated, a unit (105), connected to the first processor (103) via a data link (104), for generating a second stop signal Sig2, which generates the second stop signal Sig2 when the unit (105) receives the first stop signal Sig1 or when the unit (105) establishes that the data link (104) is interrupted, a second processor (106), connected to the interface (101) and the first processor (103) or only to the first processor (103), that is set up to use a second algorithm to check, on the basis of the data DAT(t) and a prescribed state space Z̲'̲ or a boundary for the state space Z̲'̲ , whether it holds that: ZUS(t) ∈ Z̲'̲, wherein in the event of ZUS(t) ∉ Z̲'̲ the second processor (106) prompts an interruption unit (114) to interrupt the data link (104) between the first processor (103) and the unit (105), and a control unit (107), connected to the unit (105), for controlling the robot (102), which control unit controls/regulates the robot (102) into a prescribed safe state when the second stop signal Sig2 is present.

Inventors:
HADDADIN SAMI (DE)
PIETSCH BJÖRN (DE)
Application Number:
PCT/EP2017/059562
Publication Date:
November 02, 2017
Filing Date:
April 21, 2017
Export Citation:
Click for automatic bibliography generation   Help
Assignee:
HADDADIN SAMI (DE)
KBEE AG (DE)
International Classes:
B25J19/06; B25J9/16; G05B19/406
Foreign References:
US6778867B12004-08-17
US20140362480A12014-12-11
Other References:
None
Attorney, Agent or Firm:
RÖSLER, Frank (DE)
Download PDF:
Claims:
Patentansprüche

1. System zur Steuerung eines Roboters (102), umfassend:

- eine Schnittstelle (101 ), die von einem oder mehreren Sensoren (100) erfasste

Daten DAT(t) bereitstellt, wobei die Daten DAT(t) einen aktuellen Zustand ZUS(t) des Roboters (102) angeben,

- einen mit der Schnittstelle (101 ) verbundenen ersten Prozessor (103), der dazu eingerichtet ist, mit einem ersten Algorithmus auf Basis der Daten DAT(t) und eines vorgegebenen Zustandsraums Z oder einer Begrenzung des Zustandsraums Zj der ausschließlich erlaubte Zustände des Roboters (102) angibt, zu prüfen, ob gilt: ZUS(t) e Z, wobei im Fall: ZUS(t) g Z_ein erstes Stoppsignal Sig1 erzeugt wird,

- eine über eine Datenverbindung (104) mit dem ersten Prozessor (103)

verbundene Einheit (105) zur Erzeugung eines zweiten Stoppsignals Sig2, die das zweite Stoppsignal dann erzeugt, wenn von der Einheit (105) das erste Stoppsignal Sig1 empfangen wird oder wenn die Einheit (105) feststellt, dass die Datenverbindung (104) unterbrochen ist,

- einen mit der Schnittstelle (101 ) und dem ersten Prozessor (103) oder nur mit dem ersten Prozessor (103) verbundenen zweiten Prozessor (106), der dazu eingerichtet ist, mit einem zweiten Algorithmus auf Basis der Daten DAT(t) und eines vorgegebenen Zustandsraums oder einer Begrenzung des Zustandsraums Z'.zu prüfen, ob gilt: ZUS(t) e Z', wobei im Fall ZUS(t) g Z der zweite Prozessor (106) einen Unterbrecher (1 14) veranlasst, die Datenverbindung (104) zwischen dem ersten Prozessor (103) und der Einheit (105) zu unterbrechen, und

- eine mit der Einheit (105) verbundene Steuereinheit (107) zur Steuerung des

Roboters (102), die den Roboter (102) dann, wenn das zweite Stoppsignal Sig2 vorliegt, in einen vorgegebenen sicheren Zustand steuert/regelt.

2. System nach Anspruch 1 ,

bei dem der zweite Prozessor (106) zur Überwachung der Ausführung des ersten Algorithmus auf dem ersten Prozessor (103) eingerichtet ist, wobei der zweite Prozessor (106) bei Feststellung einer fehlerhaften Ausführung des ersten

Algorithmus die Datenverbindung (104) unterbricht.

3. System nach Anspruch 1 oder 2,

bei dem der erste Prozessor (103) zur Überwachung der Ausführung des zweiten Algorithmus auf dem zweiten Prozessor (106) eingerichtet ist, wobei der erste Prozessor (103) bei Feststellung einer fehlerhaften Ausführung des zweiten Algorithmus ein erstes Stoppsignal Sig1 und/oder ein Warnsignal erzeugt.

4. System nach Anspruch 3,

bei dem eine Ausgabeeinheit vorhanden ist, die zur Ausgabe des Warnsignals als ein optisch und/oder akustisch wahrnehmbares Signal eingerichtet und ausgeführt ist.

5. System nach einem der Ansprüche 1 bis 4,

bei dem der Unterbrecher (1 14) ein vom zweiten Prozessor (106) gesteuerter Schalter ist.

6. System nach einem der Ansprüche 1 bis 5,

bei dem ein zweiter Chipsatz des zweiten Prozessors (106) über eine PCI-, PCI-X oder PCIe-Verbindung mit einem ersten Chipsatz des ersten Prozessors (103) verbunden ist.

7. System nach einem der Ansprüche 1 bis 6,

bei dem der erste Prozessor (103) und der zweite Prozessor (106) unterschiedliche Prozessortypen sind.

8. System nach einem der Ansprüche 1 bis 7,

bei dem der erste Algorithmus und der zweite Algorithmus unterschiedliche Algorithmen sind.

9. Verfahren zum Steuern eines Roboters (102), mit folgenden Schritten:

- durch eine Schnittstelle (101 ) Bereitstellen von Daten DAT(t), die einen von einem oder mehreren Sensoren (100) erfassten aktuellen Zustand ZUS(t) des Roboters (102) angeben, - mittels eines auf einem ersten Prozessor (103) durchgeführten ersten Algorithmus auf Basis der Daten DAT(t) und eines vorgegebenen Zustandsraums Z, oder einer Begrenzung des Zustandsraums Zj der ausschließlich erlaubte Zustände des Roboters (102) angibt, Prüfen ob gilt: ZUS(t) e Z, wobei im Fall: ZUS(t) £ Z_ein erstes Stoppsignal Sig1 erzeugt wird,

- durch eine über eine Datenverbindung (104) mit dem ersten Prozessor (103) verbundene Einheit (105) Erzeugen eines zweiten Stoppsignals Sig2 dann, wenn von der Einheit (105) das erste Stoppsignal Sig1 empfangen wird oder wenn die Datenverbindung (104) unterbrochen ist,

- durch einen mit der Schnittstelle (101 ) und dem ersten Prozessor (103), oder nur mit dem ersten Prozessor (103) verbundenen zweiten Prozessor (106), mittels eines auf dem zweiten Prozessor (106) durchgeführten zweiten Algorithmus auf Basis der Daten DAT(t) und eines vorgegebenen Zustandsraums Z' oder einer Begrenzung des Zustandsraums Zj Prüfen, ob gilt: ZUS(t) e Z', wobei im Fall ZUS(t) g Z die Datenverbindung (104) zwischen dem ersten Prozessor (103) und der Einheit (105) unterbrochen wird, und

- durch eine mit der Einheit (105) verbundene Steuereinheit (107) zur Steuerung des Roboters (102), Steuern/Regeln des Roboters (102) in einen vorgegebenen sicheren Zustand dann, wenn von der Steuereinheit (107) das zweite Stoppsignal Sig2 vorliegt.

10. Roboter mit einem System nach einem der Ansprüche 1 bis 8.

Description:
System und Verfahren zum Steuern eines Roboters

Die Erfindung betrifft ein System und ein Verfahren zum Steuern eines Roboters. Die Erfindung betrifft weiterhin einen Roboter mit einem eben solchen System. Das vorgeschlagene System und des Verfahren dienen insbesondere einer Erhöhung der funktionalen Sicherheit beim Betrieb des Roboters. Roboter mit beweglichen Teilen (einem oder mehreren Robotermanipulatoren, etc.) werden heute zunehmend in Bereichen eingesetzt, in denen die Roboter mit Menschen interagierend Aufgaben erledigen. Hierbei ist es erforderlich, die Roboter derart auszuführen, dass sie über eine hohe funktionale Sicherheit und eine hohe

Sicherheitsintegrität verfügen.

Die Aufgabe der Erfindung ist es, ein System und ein Verfahren zum Steuern eines Roboters anzugeben, die eine verbesserte funktionale Sicherheit und Sicherheitsintegrität des Roboters beim Betrieb ermöglichen. Die Erfindung ergibt sich aus den Merkmalen der unabhängigen Ansprüche. Vorteilhafte Weiterbildungen und Ausgestaltungen sind Gegenstand der abhängigen Ansprüche. Weitere Merkmale, Anwendungsmöglichkeiten und Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung, sowie der Erläuterung von Ausführungsbeispielen der Erfindung, die in den Figuren dargestellt sind.

Ein erster Aspekt der Erfindung betrifft ein System zur Steuerung eines Roboters. Der Roboter umfasst eine Schnittstelle, die von einem oder mehreren Sensoren erfasste Daten DAT(t) bereitstellt, die einen aktuellen Zustand ZUS(t) des Roboters angeben, einen mit der Schnittstelle verbundenen ersten Prozessor, der dazu eingerichtet ist, mit einem ersten Algorithmus auf Basis der Daten DAT(t) und eines vorgegebenen

Zustandsraums Z, der ausschließlich erlaubte Zustände des Roboters angibt, zu prüfen, ob gilt: ZUS(t) e Z, wobei im Fall: ZUS(t) g Z_ein erstes Stoppsignal erzeugt wird, eine über eine Datenverbindung mit dem ersten Prozessor verbundene Einheit zur Erzeugung eines zweiten Stoppsignals, wobei das zweite Stoppsignal dann erzeugt wird, wenn von der Einheit das erste Stoppsignal empfangen wird oder wenn die Datenverbindung unterbrochen ist, einen mit der Schnittstelle und dem ersten Prozessor oder nur mit dem ersten Prozessor verbundenen zweiten Prozessor, der dazu eingerichtet ist, mit einem zweiten Algorithmus auf Basis der Daten DAT(t) und des vorgegebenen Zustandsraums Z zu prüfen, ob gilt: ZUS(t) e Z, wobei im Fall ZUS(t) g Z die Datenverbindung zwischen dem ersten Prozessor und der Einheit unterbrochen wird, und eine mit der Einheit verbundene Steuereinheit zur Steuerung des Roboters, die den Roboter dann, wenn das zweite Stoppsignal vorliegt, den Roboter in einen vorgegebenen sicheren Zustand steuert.

Der Begriff„aktueller Zustand ZUS(t) des Roboters" wird vorliegend weit gefasst verstanden. Er umfasst insbesondere einen statischen und/oder dynamischen

mechanischen und/oder elektrischen aktuellen Zustand ZUS(t) des Roboters. Weiterhin umfasst der Begriff Zustände, bei denen der Roboter mechanisch oder elektrisch mit seiner Umgebung wechselwirkt. Entsprechende Sensoren zur Erfassung der den aktuellen Zustandes ZUS(t) definierenden Parameter und zur Erzeugung der

entsprechenden Daten DAT(t) sind im Stand der Technik bekannt. Der aktuelle Zustand ZUS(t) ist insbesondere als mehrdimensionaler Vektor aufzufassen, der einzelne

Zustandsparameter aufweist. Die Daten DAT(t) geben die Werte der Zustandsparameter an, die den Zustand ZUS(t) definieren. Sowohl der aktuelle Zustand ZUS(t) wie auch die zugeordneten Daten DAT(t) sind zeitabhängig, wobei t die Zeit angibt. Die den aktuellen Zustand ZUS(t) definierenden Daten DAT(t) werden an den ersten Prozessor über eine Schnittstelle bereitgestellt. Dem ersten Prozessor wird darüber hinaus der Zustandsraum Z oder die Begrenzung des Zustandsraums Z bereitgestellt, wobei der Zustandsraum Z ausschließlich erlaubte Zustände des Roboters angibt. Der Zustandsraum Z kann dem ersten Prozessor auch als eine parametrische Beschreibung der erlaubten Zustände bereitgestellt werden. Von dem ersten Prozessor wird ein erster Algorithmus ausgeführt, der auf Basis der Daten DAT(t) und des vorgegebenen

Zustandsraums Z prüft, ob der aktuelle Zustand ZUS(t) ein Element des Zustandsraums Z ist. Wird bei dieser Prüfung festgestellt, dass der aktuelle Zustand ZUS(t) kein Element des Zustandsraums Z ist, wird ein erstes Stoppsignal erzeugt. Das erste Stoppsignal ist bevorzugt ein elektrisches oder ein optisches Signal.

Der erste Prozessor ist weiterhin über eine Datenverbindung mit der Einheit zur

Erzeugung eines zweiten Stoppsignals verbunden. Diese Datenverbindung ist vorteilhaft zur Signalleitung elektrischer oder optischer Signale ausgeführt. Diese Datenverbindung ist vorteilhaft als Ethernet Verbindung ausgeführt Diese Datenverbindung ist insbesondere dazu eingerichtet und ausgeführt, das vom ersten Prozessor erzeugte erste Stoppsignal an die Einheit zu übermitteln. Die Einheit ist weiterhin erfindungsgemäß derart ausgeführt und eingerichtet, dass, sofern von ihr ein von dem ersten Prozessor ausgesandtes erstes Stoppsignal empfangen wird oder sofern von der Einheit festgestellt wird, dass die Datenverbindung zum ersten Prozessor unterbrochen ist, von der Einheit ein zweites Stoppsignal erzeugt wird. Hierzu ist die Einheit vorteilhaft dazu eingerichtet, das

Vorhandensein einer unterbrechungsfreien Datenverbindung zwischen dem ersten Prozessor und der Einheit bspw. auf Basis einer Datenübertragung mittels eines

Sicherheits-Datenprotokolls zu überwachen.

Das zweite Stoppsignal wird erfindungsgemäß an die Steuereinheit des Roboters übermittelt, und veranlasst die Steuereinheit, den Roboter in einen vorgegebenen sicheren Zustand zu steuern. Die Steuereinheit steuert vorliegend insbesondere die Aktoren von aktorisch angetriebenen Elementen des Roboters. Vorteilhaft ist die

Steuereinheit die zentrale Steuereinheit des gesamten Roboters, die somit alle

steuerbaren Funktionen und Zustände des Roboters steuert bzw. regelt. Die Steuereinheit kann weiterhin örtlich verteilte Steuereinheiten umfassen, die beispielsweise jeweils die lokal den Aktoren des Roboters zugeordneten Steuerelektronikeinheiten umfasst. Der Begriff„sicherer Zustand" wird vorliegend weit gefasst verstanden. Er umfasst beispielsweise ein Abbremsen aller beweglichen Teile des Roboters in eine vorgegebene Pose oder ein Abbremsen aller beweglichen Teile des Roboters in den Stand ohne Vorgabe einer Pose, oder eine Verringerung der Bewegungsgeschwindigkeit der beweglichen Teile des Roboters auf eine vorgegebene Geschwindigkeit, etc. Der„sichere Zustand" kann darüber hinaus einen sicheren elektrischen und/oder datentechnischen Zustand umfassen. So kann beispielsweise durch die Steuereinheit nach Empfang des zweiten Stoppsignals eine Datensicherung veranlasst werden und/oder bestimmte Untereinheiten des Robotersystems stromlos geschalten werden etc. In einer Variante wird das zweite Stoppsignal an Aktoreinheiten des Roboters übermittelt. Der sichere Zustand wird vorteilhaft je nach Aufgabenstellung des Roboters entsprechend

vorgegeben und erfüllt vorteilhaft die Bedingung, dass in dem sicheren Zustand vom Roboter keinerlei Gefährdung seiner Umwelt oder des Roboter selbst ausgeht.

Erfindungsgemäß ist der zweite Prozessor mit der Schnittstelle und dem ersten Prozessor oder nur mit dem ersten Prozessor verbunden, sodass der zweite Prozessor ebenfalls die den aktuellen Zustand ZUS(t) definierenden Daten DAT(t) entweder von der Schnittstelle oder vom ersten Prozessor erhält. Der zweite Prozessor führt einen zweiten Algorithmus aus, mit dem auf Basis eines vorgegebenen Zustandsraums Zj geprüft wird, ob der aktuelle Zustand ZUS(t) ein Element des Zustandsraums Zj ist. Wird dabei festgestellt, dass der aktuelle Zustand ZUS(t) kein Element des Zustandsraums Zj ist, veranlasst der zweite Prozessor eine Unterbrechung der Datenverbindung zwischen dem ersten

Prozessor und der Einheit. Hierzu steuert der zweite Prozessor vorteilhaft ein

Unterbrechungselement, beispielsweise einen Schalter an, der die Datenverbindung vorteilhaft physikalisch unterbricht. Alternativ zu einer physikalischen Unterbrechung der Datenverbindung kann eine Unterbrechung der Datenverbindung auch beispielsweise durch Erzeugen eines Kurzschluss von allen elektrischen Leitungen der Datenverbindung gegen ein vorgegebenes festes Potenzial erzeugt werden.

Die Zustandsräume Z und Z' werden vorteilhaft derart gewählt, dass sichergestellt ist, dass die Prüfung eines Zustands ZUS(t) durch den ersten Prozessor und den zweiten Prozessor zu einem konsistenten Ergebnis führt. Die Zustandsräume Z können auch Z' identisch sein.

Eine vorteilhafte Weiterbildung des vorgeschlagenen Systems ist dadurch

gekennzeichnet, dass der zweite Prozessor zur Überwachung der Ausführung des ersten Algorithmus auf dem ersten Prozessor eingerichtet ist, wobei der zweite Prozessor bei Feststellung einer fehlerhaften Ausführung des ersten Algorithmus die Datenverbindung zwischen dem ersten Prozessor und der Einheit vorteilhaft ebenfalls unterbricht. Die Überwachung des ersten Prozessors durch den zweiten Prozessor schließt vorteilhaft erstens das Überwachen ein, ob der erste Prozessor den ersten Algorithmus überhaupt ausführt oder nicht, sowie zweitens das Überwachen ein, ob der erste Prozessor den ersten Algorithmus fehlerfrei ausführt. Vorteilhaft wird also bei einer Nichtausführung des ersten Algorithmus (beispielsweise weil der Algorithmus auf einen Fehler aufgelaufen ist oder der Prozessor einen Schaden aufweist) durch den ersten Prozessor oder bei einer fehlerhaften Ausführung des ersten Algorithmus durch den ersten Prozessor die

Datenverbindung zwischen dem ersten Prozessor und der Einheit unterbrochen. Dieser Fall führt, wie vorstehend ausgeführt, zur Erzeugung des zweiten Stoppsignals und in Folge zu einer Einnahme des sicheren Zustands durch den Roboter. Eine vorteilhafte Weiterbildung des vorgeschlagenen Systems zeichnet sich dadurch aus, dass der erste Prozessor zur Überwachung der Ausführung des zweiten Algorithmus auf dem zweiten Prozessor eingerichtet ist, wobei der erste Prozessor bei Feststellung einer fehlerhaften Ausführung des zweiten Algorithmus (was vorteilhaft eine Nichtausführung einschließt) ein erstes Stoppsignal und/oder ein Warnsignal erzeugt. Sofern das erste Stoppsignal erzeugt wird, wird dieses an die Einheit übermittelt und erzeugt dort das zweite Stoppsignal, in dessen Folge der Roboter den sicheren Zustand einnimmt. Das Warnsignal wird vorteilhaft an eine Ausgabeeinheit übermittelt, die zur Ausgabe des Warnsignals als ein optisch und/oder akustisch wahrnehmbares Signal eingerichtet und ausgeführt ist. Sollte der zweite Prozessor in dieser Weiterbildung aufgrund eines Fehlers bei der Ausführung des zweiten Algorithmus die Datenverbindung zwischen dem ersten Prozessor und der Einheit unterbrechen, dann ist die Steuerung des Roboters funktional sicher. Liegt bei der Ausführung des zweiten Algorithmus durch den zweiten Prozessor ein Fehler vor, der aber nicht zu einer Unterbrechung der Datenverbindung zwischen dem ersten Prozessor und der Einheit führt, wird dies in dieser Weiterbildung vom ersten

Prozessor erkannt, sodass der erste Prozessor ein erstes Stoppsignal erzeugt und über die Datenverbindung an die Einheit übermittelt wird, sodass von dieser ein zweites Stoppsignal erzeugt wird, das veranlasst den Roboter in einen sicheren Zustand zu überführen.

Eine vorteilhafte Weiterbildung des vorgeschlagenen Systems zeichnet sich dadurch aus, dass zur Unterbrechung der Datenverbindung zwischen dem ersten Prozessor und der Einheit ein vom zweiten Prozessor gesteuerter Schalter vorhanden ist. Vorteilhaft ist der Schalter als elektrischer oder optischer Schalter ausgeführt. Der Schalter kann in einem Schaltzustand, der der Unterbrechung der Datenverbindung entspricht, auch einen Kurzschluss der elektrischen Datenleitungen erzeugen. Vorteilhaft wird die

Datenverbindung durch den Schalter physikalisch unterbrochen. Vorteilhaft ist die Datenverbindung eine symmetrisch verschlüsselte Datenverbindung. Mit diesen

Datenverbindungen wird eine sichere Datenübermittlung gewährleistet. Vorteilhaft ist der zweite Prozessor auf einer Einheit, wie beispielsweise eine

Einsteckkarte oder einem Erweiterungsmodul angeordnet, die standardmäßig als Erweiterung des ersten Prozessors vorgesehen ist.

Eine besonders vorteilhafte Weiterbildung des vorgeschlagenen Systems zeichnet sich dadurch aus, dass ein zweiter Chipsatz des zweiten Prozessors über eine PCI-, PCI-X oder PCIe-Verbindung oder ähnlichen technischen Lösungen mit einem ersten Chipsatz des ersten Prozessors verbunden ist. Der Begriff„PCI" (engl.„Peripherica! Component Interconnect") steht vorliegend für einen Busstandard zur Verbindung von

Peripheriegeräten mit einem Chipsatz eines Prozessors. Vorteilhaft ist der zweite

Prozessor auf einer PCI-Karte angeordnet, die auf die Hauptplatine des ersten

Prozessors eingesteckt wird. Vorteilhaft sind der erste und der zweite Chipsatz auf einem integrierten Prozessorchip angeordnet.

Weiterhin vorteilhaft sind der erste Prozessor und der zweite Prozessor unterschiedliche Prozessortypen.

Weiterhin vorteilhaft sind der erste Algorithmus und der zweite Algorithmus

unterschiedliche Algorithmen oder zumindest unterschiedliche Programmierung in ein und desselben Algorithmus. Durch unterschiedliche Prozessortypen bzw. unterschiedliche ausgeführte Algorithmen kann die funktionale Sicherheit des Systems zur Steuerung eines Roboters erheblich gesteigert werden. Sind der erste Algorithmus und der zweite Algorithmus unterschiedlich, so bedingt das im allgemeinen Fall unterschiedliche

Zustandsräume Z und Zj. Diese werden wie vorstehend bereits beschrieben vorteilhaft derart gewählt, dass sichergestellt ist, dass die Prüfung eines Zustands ZUS(t) durch den ersten Prozessor und den zweiten Prozessor zu einem konsistenten Ergebnis führt.

Insbesondere ist es mit dem vorgeschlagenen System möglich, weiterhin steigende Anforderungen an Robotersteuerungen hinsichtlich der funktionalen Sicherheit mit einem einfachen und kostengünstigen System zu realisieren.

Ist der zweite Prozessor als PCI-Karte ausgeführt, so ergeben sich insbesondere folgende Vorteile: ein geringerer Einbauaufwand, da keine Kabel erforderlich sind und eine integrierte Energieversorgung genutzt werden kann,

es besteht keine Verwechslungsgefahr mit anderen, beispielsweise Ethernet- Verbindungen, da keine zusätzlichen Verbindungen erforderlich sind,

es wird ein hoher Datendurchsatz ermöglicht, der wiederum den Austausch komplexer Daten ohne nennenswerte zeitliche Verzögerung erlaubt, sodass komplexe Sicherheitsprüfungen möglich sind, und eine Nutzung beider Prozessoren (erster und zweiter Prozessor) zur Erhöhung der Rechenleistung ist aufgrund des hohen Datendurchsatz möglich,

Vorteilhaft ist die Verbindung zwischen dem ersten Prozessor und der Einheit als

Ethernet-Verbindung ausgeführt. Vorteilhaft ist ein Ethernet Controller für einen Feldbus zur Steuerung des Roboters auf dem zweiten Prozessor angeordnet, aber logisch dem ersten Prozessor zugeordnet. Somit ist ein Standardcontroller vom ersten Prozessor aus nutzbar, so dass keine Änderungen an der auf dem ersten Prozessor für die

Datenverbindung genutzten Software erforderlich sind (transparente Ankopplung).

Vorteilhaft ist zur Unterbrechung der Ethernet-Verbindung zwischen dem ersten

Prozessor und der Einheit ein vom zweiten Prozessor gesteuerter Analogschalter vorgesehen. Dieser Analogschalter kann die Ethernet-Verbindung physikalisch unterbrechen. Damit ist keine Umgehung des Abschaltens durch den Ethernet-Controller möglich. Dadurch, dass der Analogschalter durch den zweiten Prozessor kontrolliert wird, ist ein echter unabhängiger Hardwarepfad für einen zweiten Kanal im System vorhanden. Damit ergeben sich geringere Latenzzeiten gegenüber Lösungen mit verteilter

Berechnung von sicheren Datenpaketen zur Ansteuerung des Roboters. Das sichere Signal wird durch das Abschalten bzw. Unterbrechen der Kommunikation zwischen dem ersten Prozessor und der Einheit erzeugt. Der zweite Prozessor muss vorteilhaft keine Ausgangsdaten zur Steuereinheit innerhalb eines Buszyklus beisteuern. Das

vorgeschlagene System ermöglicht insbesondere eine einfache Behandlung der sicheren Abschaltung des Roboters. Der Roboter muss den Fall einer unterbrochenen

Kommunikation ohnehin behandeln können, weil er durch Fehler im Verbindungskabel entstehen kann. Der Roboter nimmt in diesem Fall selbständig den sicheren Zustand ein.

Das vorgeschlagene System ermöglicht insgesamt eine Steuerung eines Roboters mit einer erhöhten funktionalen Sicherheit.

Ein weiterer Aspekt der vorliegenden Erfindung betrifft einen Roboter mit einem System wie vorstehend beschrieben.

Ein weiterer Aspekt der vorliegenden Erfindung betrifft ein Verfahren zum (sicheren) Steuern eines Roboters. Das vorgeschlagene Verfahren weist folgende Schritte auf. In einem Schritt erfolgt durch eine Schnittstelle ein Bereitstellen von Daten DAT(t), die einen von einem oder mehreren Sensoren erfassten aktuellen Zustand ZUS(t) des Roboters angeben. In einem weiteren Schritt erfolgt mittels eines auf einem ersten Prozessor durchgeführten ersten Algorithmus auf Basis der Daten DAT(t) und eines vorgegebenen Zustandsraums Z oder der Begrenzung des Zustandsraums Z der ausschließlich erlaubte Zustände des Roboters angibt, ein Prüfen, ob gilt: ZUS(t) e Z, wobei im Fall: ZUS(t) g Z_ein erstes Stoppsignal Sig1 erzeugt wird. In einem weiteren Schritt erfolgt durch eine über eine Datenverbindung mit dem ersten Prozessor verbundene Einheit ein Erzeugen eines zweiten Stoppsignals Sig2 dann, wenn von der Einheit das erste Stoppsignal Sig1 empfangen wird oder wenn die Datenverbindung unterbrochen ist. In einem weiteren Schritt erfolgt durch einen mit der Schnittstelle und dem ersten Prozessor oder nur mit dem ersten Prozessor verbundenen zweiten

Prozessor mittels eines auf dem zweiten Prozessor durchgeführten zweiten Algorithmus auf Basis der Daten DAT(t) und eines vorgegebenen Zustandsraums ZJ ein Prüfen, ob gilt: ZUS(t) e Z', wobei im Fall ZUS(t) g T_ die Datenverbindung zwischen dem ersten

Prozessor und der Einheit unterbrochen wird. In einem weiteren Schritt erfolgt durch eine mit der Einheit verbundene Steuereinheit zur Steuerung des Roboters, ein Steuern des Roboters in einen vorgegebenen sicheren Zustand dann, wenn von der Steuereinheit das zweite Stoppsignal Sig2 vorliegt.

Vorteile und vorteilhafte Weiterbildungen des vorgeschlagenen Verfahrens ergeben sich durch eine analoge und sinngemäße Übertragung der zu dem vorgeschlagenen System gemachten Ausführungen. Die Aufgabe der Erfindung ist weiterhin gelöst durch ein Computersystem mit einer Datenverarbeitungsvorrichtung, wobei die Datenverarbeitungsvorrichtung derart ausgestaltet ist, dass ein Verfahren, wie vorstehend beschrieben, auf der

Datenverarbeitungsvorrichtung ausgeführt wird. Zudem wird die Aufgabe der Erfindung gelöst durch ein digitales Speichermedium mit elektronisch auslesbaren Steuersignalen, wobei die Steuersignale so mit einem programmierbaren Computersystem zusammenwirken können, dass ein Verfahren, wie vorstehend beschrieben, ausgeführt wird. Ferner wird die Aufgabe der Erfindung gelöst durch ein Computer-Programm-Produkt mit auf einem maschinenlesbaren Träger gespeichertem Programmcode zur Durchführung des Verfahrens, wie vorstehend beschrieben, wenn der Programmcode auf einer

Datenverarbeitungsvorrichtung ausgeführt wird. Schließlich betrifft die Erfindung ein Computer-Programm mit Programmcodes zur

Durchführung des Verfahrens, wie vorstehend beschrieben, wenn das Programm auf einer Datenverarbeitungsvorrichtung abläuft. Dazu kann die

Datenverarbeitungsvorrichtung als ein beliebiges aus dem Stand der Technik bekanntes Computersystem ausgestaltet sein.

Weitere Vorteile, Merkmale und Einzelheiten ergeben sich aus der nachfolgenden Beschreibung, in der - gegebenenfalls unter Bezug auf die Zeichnung - zumindest ein Ausführungsbeispiel im Einzelnen beschrieben ist. Gleiche, ähnliche und/oder

funktionsgleiche Teile sind mit gleichen Bezugszeichen versehen.

Es zeigt:

Fig. 1 eine schematisierte Darstellung einer Variante des vorgeschlagenen

Systems.

Fig. 1 zeigt eine schematisierte Darstellung einer Variante des vorgeschlagenen Systems zur Steuerung eines Roboters 102. Der Roboter 102 weist vorliegend einen

mehrgliedrigen aktorisch angetriebenen Robotermanipulator auf. Das System weist weiterhin eine Schnittstelle 101 auf, die von mehreren Sensoren 100 erfasste Daten DAT(t) bereitstellt, die einen aktuellen Zustand ZUS(t) des Robotermanipulators angeben. Der Zustand ZUS(t) gibt im vorliegenden Ausführungsbeispiel bei den einzelnen Gliedern des Robotermanipulators auftretende Kräfte und Drehmomente, extern auf die einzelnen Glieder einwirkende Kraftwinder, sowie Positionen, Orientierungen, Geschwindigkeiten und Beschleunigungen der einzelnen Glieder an.

Die Schnittstelle 101 ist mit einem ersten Prozessor 103 verbunden. Die Daten DAT(t), die den aktuellen Zustand ZUS(t) angeben, werden somit dem ersten Prozessor 103 bereitgestellt. Durch den ersten Prozessor 103 wird ein erster Algorithmus ausgeführt, der auf Basis der bereitgestellten Daten DAT(t) und eines vorgegebenen Zustandsraums Z, der ausschließlich erlaubte Zustände des Roboters 102 bzw. des Robotermanipulators angibt, prüft, ob der aktuelle Zustand ZUS(t) ein Element (e) des Zustandsraums Z ist: ZUS(t) e Z. Wird dabei festgestellt dass gilt: ZUS(t) g Z wird ein erstes elektrisches Stoppsignal Sig1 erzeugt.

Das System umfasst weiterhin eine über eine Datenverbindung 104 mit dem ersten Prozessor 103 verbundene Einheit 105, die zur Erzeugung eines zweiten elektrischen Stoppsignals Sig2 dient, wobei das zweite Stoppsignal Sign2 von der Einheit dann erzeugt wird, wenn von der Einheit 105 das erste Stoppsignal Sig1 empfangen wird oder wenn die Einheit 105 feststellt, dass die Datenverbindung 104 unterbrochen ist. Die Schnittstelle 101 ist weiterhin mit einem zweiten Prozessor 106 verbunden, der einen anderen Chipsatz bzw. einen Prozessor mit einer anderen Prozessorarchitektur als der erste Prozessor 103 aufweist. Der erste 103 und zweite 106 Prozessor sind damit von unterschiedlicher Bauart. Durch die Schnittstelle 101 werden dem zweiten Prozessor 106 zeitparallel die Daten DAT(t) bereitgestellt. Der zweite Prozessor 106 ist dazu eingerichtet mit einem zweiten Algorithmus auf Basis der Daten DAT(t) und eines vorgegebenen Zustandsraums Z zu prüfen, ob gilt: ZUS(t) e Z, wobei im Fall ZUS(t) g Z die

Datenverbindung 104 zwischen dem ersten Prozessor 103 und der Einheit 105 durch Ansteuerung eines analogen Schalters 1 14 unterbrochen wird. Der erste Algorithmus unterscheidet sich dabei vom zweiten Algorithmus, wobei jedoch beide Algorithmen die vorstehend angeführten Prüfungen ausführen.

Schließlich umfasst das System eine mit der Einheit 105 verbundene Steuereinheit 107 zur Steuerung des Roboters 102, die den Roboter 102 dann, wenn sie das zweite Stoppsignal Sig2 empfängt, in einen vorgegebenen sicheren Zustand steuert.

Obwohl die Erfindung im Detail durch bevorzugte Ausführungsbeispiele näher illustriert und erläutert wurde, so ist die Erfindung nicht durch die offenbarten Beispiele

eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen. Es ist daher klar, dass eine Vielzahl von Variationsmöglichkeiten existiert. Es ist ebenfalls klar, dass beispielhaft genannte Ausführungsformen wirklich nur Beispiele darstellen, die nicht in irgendeiner Weise als Begrenzung etwa des Schutzbereichs, der Anwendungsmöglichkeiten oder der

Konfiguration der Erfindung aufzufassen sind. Vielmehr versetzen die vorhergehende Beschreibung und die Figurenbeschreibung den Fachmann in die Lage, die beispielhaften Ausführungsformen konkret umzusetzen, wobei der Fachmann in Kenntnis des offenbarten Erfindungsgedankens vielfältige Änderungen beispielsweise hinsichtlich der Funktion oder der Anordnung einzelner, in einer beispielhaften Ausführungsform genannter Elemente vornehmen kann, ohne den Schutzbereich zu verlassen, der durch die Ansprüche und deren rechtliche Entsprechungen, wie etwa weitergehenden Erläuterungen in der Beschreibung, definiert wird.

Bezugszeichenliste

100 Sensoren

101 Schnittstelle

102 Roboter

103 erster Prozessor

104 Datenverbindung zwischen dem ersten Prozessor und der Einheit 105 Einheit

106 zweiter Prozessor

107 Steuereinheit

1 14 Unterbrecher / Schalter