用于转换至少一个第一安全配置文件的方法与流程

本发明涉及一种用于将至少一个第一安全配置文件转换成第二安全配置文件的方法，以及一种数据处理设备，该数据处理设备被设置为用于实施所述方法，还涉及一种机器可读介质，该机器可读介质包含促使数据处理设备实施所述方法的指令。

背景技术：

安全配置文件通常决定安全控制装置的安全配置。安全控制装置通常被使用在对于安全重要的机器和/或过程中，也就是在会对人和/或环境呈现出危险的机器和/或过程中。在此，安全控制装置监控所述过程和/或机器并在超过边界的情况下介入，这些边界由安全配置来规定。例如通过安全控制装置的介入来停止所述过程和/或机器。

在工业领域中，例如在操纵器系统中使用安全控制装置。操纵器系统包括至少一个操纵器、控制所述操纵器的运动的控制装置、和监控所述控制装置以及所述操纵器的安全控制装置。操纵器例如可以是工业机器人。工业机器人通常是自动引导的、配备有三个或更多个能自由编程的运动轴的多用途操纵器，这些多用途操纵器位置固定地或移动地在工业应用中使用。

操纵器的安全控制装置通常提供了多个安全功能，例如监控所述运动轴的规定的轴区域的遵守、监控作用到所述操纵器上的力和/或力矩、监控允许的速度和/或加速度的遵守、监控空间工作区域的遵守以及监控与其他操纵器或处于周围环境中的人和/或物体的可能的碰撞。其他的安全功能或安全功能的组合同样是可能的。

安全配置文件现在要确定应当由安全控制装置具体监控哪些安全功能(安全配置)，并借助于安全参数来预设遵守哪些边界。安全参数例如可以是在轴上预设的转动角度范围，如约为10至45°，或是在轴上允许的最大允许转矩值，如约为最大50Nm。

在改变安全控制装置(例如更新安全控制软件)时，经常还改变所述安全配置的格式，这是因为提供了新的安全功能或已有的安全功能需要附加的或另外的安全参数。同样地，例如可以改变所述安全参数的单位。因此，在所提到的监控轴区域的示例中，可以设想将转动角度的单位从度改为毫度。

如果被改变的安全控制装置不再支持旧的安全配置的格式，则至少一个安全配置文件必须被转换。当在所述安全控制装置改变之后应当不变地承担目前的安全功能和安全参数时，则也需要进行安全配置文件的这种转换。通常，该转换借助于由编程人员对安全配置文件的手动编辑来实现。

为了能够明确地识别安全配置文件，该安全配置文件通常具有由二进制文件的校验和构成的标志。当然，由于转换出的第二安全配置文件不再与目前的第一安全配置文件一致，因此产生了二进制文件的另一校验和，即另一标志。

安全控制装置根据标志的改变来知晓所述安全配置文件的改变，并要求例如通过授权的安全启动人员对所述第二安全配置文件进行核实并激活，由此产生了巨大的耗费。在核实时，安全启动人员通常必须根据物理测试来检查，转换出的安全配置文件是否正确地被安全控制装置接管并达到预期的作用。此外，核实还必须进行归档，以用于证明的目的。

技术实现要素：

因此，本发明的目的在于，在转换第一安全配置文件时降低转换成本和核实成本，并消除其他所描述的缺点。该目的利用根据本发明的方法、根据本发明的数据处理设备以及根据本发明的机器可读介质来实现。

特别是该目的通过一种用于将安全控制装置的至少一个第一安全配置文件转换成第二安全配置文件的方法来解决，其中，优选安全控制装置是操纵器安全控制装置，并且其中，所述方法包括下列方法步骤：

a)借助于转换器将所述第一安全配置文件转换成第二安全配置文件；以及

b)借助于一致性检查单元来验证所述第一安全配置文件和所述第二安全配置文件的一致性。

优选地，所述安全控制装置被设置为用于监控另一系统、例如操纵器和/或控制装置。优选地，所述安全控制装置可以介入待监控的系统中，并例如强制该系统停止。同样地，所述安全控制装置可以被设置为用于监控所述另一系统的模型。

通过借助于转换器将第一安全配置文件转换成第二安全配置文件就不需要通过编程人员的手动编辑。此外，借助于一致性检查单元来验证第一安全配置文件与第二安全配置文件的一致性，允许在被验证的安全配置文件的一致性确定的情况下，取消为了核实所述第二安全配置文件所必需的测试。

优选地，第一安全配置文件具有至少一个第一标志和第一配置数据，并且第一安全配置文件的转换至少包括配置数据的转换，其中，配置数据包括安全参数和/或安全功能选择参数。安全功能选择参数例如指定的是，什么应当被监控，例如轴1的转动角度或操纵器(例如多轴关节臂机器人)的施加在轴2上的转矩。安全参数表示或定义了附属的边界值。例如，轴1的转动角度应当处在10至40°的确定范围中，并且施加在轴2上的转矩不超过确定的值(例如50Nm)。安全配置的改变可以不仅包括安全配置选择参数的改变，而且包括附属的安全参数的改变。例如可以考虑，在改变时监控所述轴1的转动角度不再是必要的，从而不再需要该安全功能选择参数。

提供配属于安全配置文件的标志是有利的，因为由此可以避免激活不合适的安全配置文件。这防止了系统以不合适的安全配置来运行。例如在包括操纵器、控制装置和安全控制装置的操纵器系统中储存当前有效的安全配置文件的标志、即被激活的安全配置文件的标志。在该操纵器系统可以运行之前，验证被储存的标志是否与存储在系统中的安全配置文件的标志一致。如果所述标志一致，则可以启动操纵器系统并使操纵器运动。

否则，通过操作者激活存储在系统中的安全配置文件则是必要的。如果操作者同意所述激活，则将由操作者激活的安全配置文件的标志储存在该系统中，并利用现在被激活的安全配置文件来运行该系统。如果操作者不同意所述激活，则该安全配置文件是不合适的，并且该系统不能投入运行，由此优选停止该操纵器的运动。

将配置数据分成安全参数和安全功能选择参数是有利的，这是因为可以两级地实现转换。如果例如在改变的安全控制装置中不再存在安全功能，则不必转换所附属的安全参数，由此可以加速所述转换。

优选不转换所述第一安全配置文件的标志，从而使得第二安全配置文件具有与第一安全配置文件相同的标志。

使用相同的用于第一安全配置文件和转换出的第二安全配置文件的标志是有利的，这是因为第二安全配置文件不必通过操作者来激活。这是适用的，因为当前有效的安全配置文件(第一安全配置文件)的标志储存在被监控的系统中。由于第二安全配置文件具有相同的标志，因此可以在没有事先激活和核实的情况下使用第二安全配置文件。

优选地，第一安全配置文件的标志是独立标志。独立标志是非直接来源于所述安全配置文件本身的标志。独立标志例如是所述安全配置文件的二进制文件的校验和。使用独立标志是有利的，因为由此被用于第一安全配置文件的标志可以在不转换该第一安全配置文件的情况下直接被传输到第二安全配置文件上。这能够实现如前所述地，在没有事先激活和核实的情况下使用所述第二安全配置文件。

优选地，在验证所述第一和第二安全配置文件的一致性时验证，在第一安全配置文件中实现的安全功能选择参数是否也在第二安全配置文件中实现。

对是否不仅在第一安全配置文件中、而且在第二安全配置文件中实现相同的安全功能选择参数的验证，能够实现对可能的不一致性的快速确定。如果例如在安全控制装置的改变的版本中不再提供安全功能，则这在验证安全参数的一致性之前就已经可以确定。

特别优选地，在验证所述第一和第二安全配置文件的一致性时，验证在第一安全配置文件中实现的安全参数是否与在第二安全配置文件中实现的安全参数相应。

如果第一安全配置文件的和第二安全配置文件的安全参数相应，则这些安全配置文件结合其附属的安全控制装置发挥相同的作用。如果安全参数例如规定了最大允许的转动角度，则通过所述安全参数所规定的转动角度必须在其物理意义上相应。通过验证所述安全参数可以确定这些安全参数是否已被正确地转换。

如果安全参数和安全功能选择参数被彼此分离地就一致性进行验证，则在转换时出现的错误可以被快速地知晓并可以被配设相应的参数。这能够在出现不一致的情况下实现对第二安全配置文件的高效的、额外的手动编辑。

优选地，如果在验证一致性时确定了不一致，则改变第二安全配置文件的标志和/或输出错误提示。如果出现不一致，则改变第二安全配置文件的标志在没有通过操作者的事先核实和激活的情况下防止了使用所述第二安全配置文件，这是因为该标志与储存在系统中的标志不相应。输出错误提示是有利的，因为操作者直接知晓不一致的转换。在转换不一致的情况下，优选保留第一安全配置文件，也就是说不激活第二安全配置文件。不一致例如可以由于转换器中的编程错误或由于数据传输错误而出现。事实上是否存在不一致，优选可以基于规则集来确定。规则集定义了安全参数中被允许的偏差。如果例如在安全控制的新的安全控制软件中改变了安全参数的准确性，则会出现这种不强制导致不一致的偏差。因此，第一和第二安全配置文件或它们的安全参数和/或它们的安全控制选择参数不必完全相应，从而实现一致性。

此外优选地，本方法还包括下列方法步骤：

c)如果无法将第一安全配置文件完全转换成第二安全配置文件，则借助于所述转换器建立第一差量列表(Delta-Liste)，在此，第一差量列表说明了第一安全配置文件与第二安全配置文件的偏差。

第一安全配置文件与第二安全配置文件的偏差可以不仅包括安全参数上的偏差，而且包括安全功能选择参数上的偏差。优选地，第一差量列表说明了，通过安全功能选择参数选择的安全功能是否可以在改变的安全控制装置中使用，并由此说明了，所述安全配置文件是否可以在根本上完全转换。由此，第一差量列表说明了基于安全控制装置的不兼容改变而造成的不一致。为了在上述有关的示例中保留操纵器的轴1的转动角度监控和轴2的转矩的监控，如果例如轴1的转动角度的监控不再是必须的，则从而使得所述安全功能选择参数不再被需要。在该情况下，转换器也可以不转换这些安全功能选择参数和附属的安全参数。

此外，在安全控制装置在更新安全控制软件(升级)或在重新使用较旧版本的安全控制软件(降级)中被改变之后可以建立安全功能选择参数的不可用性。此外可以在使用者放弃安全控制软件的可选包时建立所述不可用性(成本节省)，或在安全功能被不兼容的新安全功能代替时建立所述不可用性。

例如，操纵器的工具中心点(TCP)的笛卡尔速度监控通过如下这样的笛卡尔速度监控被代替：该速度监控除了TCP速度之外还附加地监控整个操纵器的速度。如果现在转换器将包括TCP速度监控的旧的第一安全配置文件自动代替为新的TCP和操纵器的速度监控，则必须提供另外的用于操纵器速度监控的安全参数。在该示例中，差量列表会将该不一致报给至安全启动人员。随后，安全启动人员可以检查整个操纵器的新的、附加的速度监控。

借助于转化器来建立差量列表是有利的，这是因为由此在转换时已经可以确定，是否由于不兼容的改变而出现了不一致。操作者可以在所描述的示例情况下快速和简单地知晓，该不一致是没有问题的，因为该不一致不是基于错误，而是由于安全功能的故意改变。如果这是唯一的不一致，则操作者可以开启第二安全配置文件。

优选为操作者输出第一差量列表。优选地，在图形用户界面(GUI)上实现所述差量列表的输出。其他的输出形式、例如打印差量列表同样是可行的。差量列表的输出能够实现，使得操作者额外有效地手动编辑所述第二安全配置文件。例如，在改变的安全控制单元中不再或以被修改方式提供的安全功能，可以手动地被等效选择的安全功能或安全功能的组合代替。

安全配置文件的没有被转换器的差量列表检测到的部分可以被传输给用于验证(部分)一致性的一致性检查单元。由此至少可以在没有事先核实的情况下激活所述安全配置文件的至少部分。

优选地，本方法至少包括下列其他方法步骤：

d)借助于一致性检查单元来建立第二差量列表，其中，所述第二差量列表说明了第一安全配置文件相对于第二安全配置文件的偏差；以及

e)输出所述差量列表。

借助于一致性检查单元来建立第二差量列表是有利的，这是因为也可以确定由于转换器所引起的(且不是由于故意的改变所引起的)不一致。如果由转换器和一致性检查单元建立的差量列表不一致，则除了通过不兼容的改变而产生的不一致(例如前述的通过取消转动角度监控)之外，出现另一不一致。为了在上面的例子中保留，该另一不一致可以存在于，轴2的转矩的安全参数被错误地转换，并在第二安全配置文件中错误地记入了500Nm的最大允许转矩。在该情况下，第二安全配置文件必须由操作者手动地核实。如果差量列表被输出，则操作者可以检查，由于有错误的转换或在输出或者说显示差量列表时是否存在可能的不一致。如果由转换器和由一致性检查单元所建立的差量列表一致，则安全配置文件的被转换的部分也是一致的。该部分因此可以在没有前述核实的情况下被激活。

优选地，本方法至少包括下列其他方法步骤：

f)如果第二安全配置文件的标志与储存在安全控制装置中的标志相一致，则激活所述第二安全配置文件。

优选地，通过已经将第二安全配置文件作为“默认”值激活，来实现所述第二安全配置文件的激活，并且如果第二安全配置文件的标志与储存在安全控制装置中的标志不一致，则解除激活。第二安全配置文件的标志必须与储存在安全控制装置中的标志相一致，以激活所述第二安全配置文件的前提，防止了不一致转换的安全配置文件被激活。如所描述的，当第二安全配置文件具有与第一安全配置文件相同的标志时，第二安全配置文件可以优选自动地、即在没有通过操作者激活和核实的情况下被激活。

优选一致性的转换和/或验证可以“离线”地发生。在该上下文关系中，“离线”的概念是指，安全配置文件的一致性的转换和/或验证也可以在未连接在操纵器的控制装置或安全控制装置上的情况下发生。优选一致性的转换和验证可以在单独的数据处理设备中实施。由此，一致性的转换和验证在空间和时间上与安全控制装置中的激活和/或激活验证分离，并可以独立地实施。

此外优选地，本方法包括下列步骤：

g)借助于编辑器将第一安全配置文件编辑成第二安全配置文件；

h)借助于所述编辑器来建立第三差量列表，其中，所述第三差量列表说明了第一安全配置文件与第二安全配置文件的偏差；

i)借助于一致性检查单元来验证所述第一安全配置文件和所述第二安全配置文件的一致性。

j)输出第二和第三差量列表。

将第一安全配置文件手动编辑为第二安全配置文件并随后建立第三差量列表，能够实现手动介入安全配置文件，而不产生高的核实成本。如果第一安全配置文件与第二安全配置文件的通过一致性检查单元所确定的偏差(第二差量列表)与第三差量列表相应，则仅仅必须手动核实第二和第三差量列表的偏差。没有经受改变的第二安全配置文件的部分可以在没有前述核实的情况下被激活。

此外，所述目的还通过一种数据处理设备来解决，该数据处理设备被设置为用于实施上述方法。

优选数据处理设备是计算机系统，当提供转换器和一致性检查单元时，该计算机系统可以实施一致性的转换和验证。特别优选地，所述数据处理设备是操纵器控制装置的操作设施或者也是操纵器控制装置本身。由此可以在操纵器系统中已存在的构件上实施本方法。在此，优选转换器和一致性检查单元设置在所述数据处理设备上。特别优选地，转换器和一致性检查单元是两个彼此独立的软件模块。

此外，所述目的还通过一种机器可读介质来解决，该机器可读介质包含促使数据处理设备执行所述方法的指令。优选地，机器可读介质是便携式机器可读介质，例如是CD、U盘或其他便携式存储单元。这是有利的，因为由此可以简单地在不同的数据处理设备上执行用于实施本方法的指令。

附图说明

下面参考附图来更准确地阐释本发明。在此情况下：

图1示出了用于转换第一安全配置文件的方法；

图2示出了用于转换第一安全配置文件的另一方法；以及

图3示出了用于激活第二安全配置文件的方法。

其中，附图标记列表如下：

1、1' 用于转换的方法

10 操纵器系统

100；100'；100″ 第一安全配置文件

101、101'、101″ 第一安全配置文件的标志

102 配置数据

102a'、102b' 配置数据

200；200'；200″ 第二安全配置文件

201；201'；201″ 第二安全配置文件的标志

202、202″ 配置数据

202a'、202c' 配置数据

300 转换器

301 差量列表，由转换器建立

400 一致性检查单元

401 差量列表，由一致性检查单元建立

500 操纵器

600 控制装置

700 数据处理设备

800 安全控制装置

具体实施方式

图1示意性示出了借助于转换器300将第一安全配置文件100转换成第二安全配置文件200的一种优选方法1。第一安全配置文件100包括标志101以及配置数据102，所述配置数据优选包括安全参数和安全功能选择参数。

第一安全配置文件100的转换例如由于对应于该安全配置文件的安全控制装置的改变而成为必须。例如，安全控制软件可以发生改变，并由此可以改变单位、变量名或准确性，利用它们可以检测安全参数。因此，所述安全配置文件100的转换是必须的。

此外，改变所述安全控制装置可以包括提供新的安全功能或提供用于已有安全功能的附加安全参数。对于附加安全参数的典型例子例如是将处于配置过的工作空间内部的操纵器和工具的所有轴的笛卡尔工作空间监控改变为操纵器和/或工具的轴的单独监控。因此，在转换一致的情况下，必须单独提供用于操纵器和工具的安全参数。如果又逆行地进行该改变并且如果例如仅监控所述工具，则一致的转换是不可能的。

转换出的第二安全配置文件200包括标志201和转换出的配置数据202。优选地，所述第一安全配置文件100的标志101与第二安全配置文件200的标志201相同。优选地，只有在第一安全配置文件100被不一致地转换为第二安全配置文件200时，标志201才应当与标志101偏差。

借助于一致性检查单元400来确定，第一安全配置文件100和第二安全配置文件200是否被一致地转换。在此，如果确定了这两个安全配置文件100、200的一致性，则第二安全配置文件200可以以没有通过操作者事先核实的方式被激活，并且该系统投入运行。安全配置文件的示例性激活在图3中示出。

图2示意性示出了图1中的用于借助于转换器300将第一安全配置文件100'转换成第二安全配置文件200'的一种优选扩展的方法1'。第一安全配置文件100'包括标志101'以及配置数据102a'、102b'。第二安全配置文件200'包括标志201'以及配置数据202a'、202c'。配置数据102a'例如配属于第一安全功能，例如操纵器的轴2的转矩监控。这些配置数据102a'可以借助于转换器300被转换为第二安全配置文件200'的相应的配置数据202a'。

配置数据102b'例如配属于另一安全功能，例如操纵器的轴1的转动角度监控。在该示例中，该安全功能应当在改变后的安全控制装置中不再被提供(也就是说该安全功能不再可用)。因此配置数据102b'无法被转换。存在安全控制装置的不兼容改变，该不兼容改变可以在必要时通过手动编辑第二安全控制装置200'来消除。如果出现这种不兼容的改变，则转换器300优选建立第一差量列表301，该第一差量列表说明了第一安全配置文件100'与第二安全配置文件200'的偏差。在本示例中，这涉及配置数据102b'。

在借助于一致性检查单元400来验证第一安全配置文件100'和第二安全配置文件200'时，可以验证安全配置文件100'、200'的不涉及不兼容改变的部分的一致性。优选地，一致性检查单元400输出第二差量列表401，该第二差量列表优选与第一差量列表301进行比较。如果所述差量列表301、401相一致，则所述安全配置文件100'、200'的相一致的部分102a'、202a'是一致的。

第二安全控制装置200'的配置数据202c'例如配属于第三安全功能，该第三安全功能在改变后的安全控制装置中才应当提供。例如，这些配置数据可以涉及轴3的转动角度监控。这些配置数据202c'无法由转换器300产生，因为这些配置数据在第一安全配置文件100'中不具有等效物。因此，这些配置数据202c'必须额外地被编辑在安全配置文件200'中。因此，对于将第一安全配置文件100'转换为第二安全配置文件200'而言，配置数据202c'是不重要的。

图3示意性示出了用于激活第二安全配置文件200″的一种优选方法。安全配置文件200″包括标志201″和配置数据202″。为了激活，将所述安全配置文件200″提供到操纵器系统10的数据处理设备700中。所述操纵器系统10包括操纵器500、控制装置600以及安全控制装置800。当前有效的安全配置文件、即已被激活的安全配置文件的标志101″被储存或者说存储在安全控制装置800中。在可以运行该操纵器系统之前，验证被存储的标志101″是否与在数据处置装置700中所提供的安全配置文件200″的标志201″相一致。如果所述标志101″、201″相一致，则可以启动操纵器系统10，并借助于控制装置600使所述操纵器500运动。否则，在没有通过操作者事先核实的情况下，将存储在系统中的安全配置文件200″激活是不可能的。因此，所述系统在成功激活存储在该系统中的安全配置文件200″之后，才可以投入运行。

特别优选地，待激活的安全配置文件200″的标志201″也被存储在操纵器500的存储器中和/或控制装置600的存储器中。在启动操纵器系统10之前，可以验证存储在安全控制装置800中的标志101″是否与存储在操纵器500的存储器中和/或控制装置600的存储器中的标志相一致。由此可以安全地避免将不合适的安全配置文件激活。