用于在移动操作装置和可控装置之间建立、断开和操作临时有效连接的方法以及为此构...的制作方法

专利名称：用于在移动操作装置和可控装置之间建立、断开和操作临时有效连接的方法以及为此构 ...的制作方法
技术领域：
本发明涉及在移动操作装置与可控技术设备之间建立、断开和操作临时数据技术和/或信号技术有效连接的方法，如权利要求1、 15 和19所迷，以及根据权利要求23的为此构造的数据传输对方台。移动手动操作仪器、尤其是无线数据耦接的手动操作仪器在相应 性能下适于控制和显示不同的高度自动化的过程和机器或者一般性 的可控技术设备。但是，通常并非持续需要这些手动操作仪器，而是 只用于相对短的时间段，例如用于读取操作数据、设置操作参数和用 于编程、维护、诊断或保养工作。因此，对于这样的手动操作仪器的操作者和使用者而言，这些只很少需要的操作仪器可以广泛地和交替地由不同机器操作并且只偶 尔与其数据或信号技术地有效相连是有决定性优点的。因此，不再必须为为每个单独的机器或为不同的设备部件分别在现场提供特别容 易损坏的手动操作仪器。在使用之后，手动操作仪器不必保留在机器 上，而是可以又被放置到受保护的地方。由此，同样避免了未授权人 员误操作的危险。对于使用者而言，其可以始终以相同手动操作仪器来操作不同机 器也是有利的。由此避免了不习惯的问题，并且在使用个人地分配给 某使用者并为其进行相应配置的操作仪器的情况下、例如在使用个人 使用者概述的情况下实现了使人愉快和舒服的操作。对于具有大量这样的可控技术设备的操作装置的操作者而言，尤 其得到这样的优点，即显著地降低了所需手动操作仪器的数量。此夕卜， 通过减少类型多样化，在备件仓储管理方面产生了成本优点。对于大量这样的高度自动化的可控技术设备、例如机器人或车 床，在其工作过程中在其直接物理影响区域中产生对位于附近的人形 成危险，从而通过技术监视的栅栏、掩挡物和保护门来防止人员进入 或访问这些危险区域，或者还防止危险介质或辐射离开这些危险区 域。虽然这些防护措施在设备的全自动工作中是有意义的，但是尤其 在启动时和在维修和维护工作工作时，经常需要在栅栏打开或保护掩 挡物移去时在特殊训练的专业人员监视的情况下也进行至少受限的 特殊操作，例如在示教时，即机器人编程时或在类似的调整工作时。为了能够在栅栏打开时实现这样的操作，技术设备从全自动程 序控制运行转换为设置的在必要的情况下为多个的特殊操作方式之 一中。由此，停止特定技术监视装置的功能(例如由该监视装置监视 机器的危险区域)，并且由其他保护措施代替，例如对机器功能的限 制(例如降低的处理速度或驱动力)。为了切换机器的操作方式，在操 作台上设置相应的操作方式选择开关是有利的，尤其是直接设置在 可控技术设备的移动手动操作仪器上。为了在计划的维护工作还未方式，尤其是从特殊操作;肆返j到全自动操):、这样'的操作方式选 择开关通常被构造为钥匙开关。同时，在选择这样的特殊操作方式之后，只有或如果操作人员除 了各自的操作元件之外还操作手动操作仪器上的特殊确认健，则操 作人员才能发送潜在带来危险的控制命令，或这些控制命令才被机 器执行。由此确保了，这样的控制命令不被无意地，而只完全有意识 地被操作人员设置，并且在识别到危险情况时，通过释放确认键或通过间断性(krampfartig)将三级确认键压入另一第三操作位置，运 行的机器操作立即被停止并且机器被转换到安全的操作状态中。除了操作方式选择开关和确认键以外，还可在手动操作仪器上 设置符合标准标识的应急开关或同等作用、但不同标识的机器停止 开关或事故开关。在操作人员识别的危险情况下，操作人员可以操 作该应急开关，并且，技术设备或设备的至少一个特定部分立即切换到安全的操作状态中，尤其是该设备或该设备部分立即停止操作。在下面被统称为保险开关元件的操作方式选择开关、应急、停 止或事故开关、确认键和类似功能开关由于其对于人员安全的重要 性而对于其可靠性被要求以完全特别的要求。尤其地，这些保险开关 元件大多被电气、且部分也被机械地实施为多回路，从而多次、但是 至少两次采集相应操作状态，并且被传输到功能控制器或特殊的安全 回路或可控技术设备的安全控制器。严格来说，首先要区分操作状态和开关状态，其中开关状态通常 是机械操作状态的电气或技术上可理解的表示。还要区分指令状态， 指令状态代表相应开关状态的含义。例如，对于三级构造的确认键，存在三个不同的操作状态(未操作，确认，急停(Panik-Stopp))， 并且根据技术实施存在两个或三个正常电气可理解的开关状态，但 是对于安全回路只有两个由此导出的指令状态(发送确认/不发送确 认)。但是，除了三级确认键，对于其他保险开关元件，通常一个确 定的操作状态正好对应于一个确定的正常的开关状态，并正好对应于 一个确定的指令状态。因此，在下文中，与保险开关元件和安全回路 相关的概念"开关状态，，和"操作状态，，被同义地用于指令状态。只有 在明确指出的地方或在本领域技术人员从上下文中明显知道这样的 区别的地方才区分这些概念。如果移动手动操作仪器、并因此还有设置在其上的保险开关元件 只临时地与可控技术设备有效连接，则结合通常有意或偶尔也无意地 切断和建立该有效连接要采取完全特殊的措施，以便不直接在建立或 断开有效连接时由操作人员产生无意的潜在危险的操作状态。以下方法和装置属于下列现有技术，即一旦切断与手动操作仪 器的连接，所述方法和装置就在连接点桥接手动操作仪器的应急开 关被接入其中的急停回路或者安全回路。由此保证，即使在手动操 作仪器被去耦接时技术设备也保持能够工作。但是，通过该解决方 案，只满足技术上操作能力的最小要求。其中，直接位于切断之前的 应急开关的实际指令状态不被考虑或不被存储或不为安全回路在信号技术上保留，从而对于事先被操作的应急开关由于手动操作仪器 的断开而导致应急指令的间接消失，而无需通过对应急开关元件(指 令设备)进行有意识地操作处理来导致上述结果。相反地，如果无意 操作了手动操作仪器的应急开关，则在手动操作仪器与可控技术设 备连接的情况下可能导致应急回路的不期望的中断，并因此导致设备 的无意停机。这由于这样的设备的经常相对麻烦和费时的启动过程 以及由于所产生的产品的可能的质量问题或不稳定的加工参数而在 操作技术上出现显著的不良的故障。也对于被设置在手动操作仪器 上的操作方式选择开关也存在类似的危险和问题。这里，操作装置耦 接或去耦接操作装置也不应该导致操作方式的无意切换。
背景技术：
在US5444342 A(FanucLtd.)中，Y.Matsuo和Y.Hashimoto描述了移动手动操作仪器或者编程仪器与机器人的控制和安全回路的 临时连接的接入点，所述接入点包括应急开关或者确认键形式的保险 开关元件。在中断连接之前，要手动操作接入点的激活开关，这样就 会桥接连接点的急停回路，所以也就不会出现机器人不期望的停机。 这里提供了多个可选的，交替使用连接点并且不必将机器人关闭而进 行的连接点的切换的明显优点被删除了。对于在多个连接点错误地， 不正确地，同时地使用多个手动操作仪器时会出现的可能的竟争性功 能问题，并没有进一步说明。在这种情况下，根据所述实施例的设计， 通过第二应急开关与第二仪器的并联甚至会导致操作仪器的应急开 关不期望的并且危险的功能丧失。在JP 7065908 A2 (Yaskawa Electric Corp.)中,K.Hara公开了 一种在开关箱内借助继电器的急停回路的自动桥接，所以可以随后将 移动手动操作仪器与开关箱断开而无需将可控技术设备置于急停状 态下。插座连接的状态借助额外的，分离提前的(缩短的)触点对进 行检测，更确切地说由此而触发继电器去桥接急停回路。在断开之前 形成的应急开关操作状态的记忆装置是不需要的。手动操作仪器的断开，也就是说由该手动操作仪器引起了急停命令的激活，会导致急停 命令的撤销并由此而导致技术装置潜在的不期望的和无意识的重新 启动。在DE 19920299 Al (Siemens)中，G.Rumpler， G.KahleNobis和 C.Meier公开了 一种具有保险开关元件的手动操作仪器与机器或者设 备部件的安全回路进行无线技术连接的安全数据连接。其中描述了 大量的防止数据通信错误的方法。如同对建立连接时保险开关元件 的开关状态的检测和对比一样，对于在没有与手动操作仪器建立数 据或信号连接的时间段内，基站内与安全有关的信号状态的存储装 置也没有进行详细说明。由使用者无意而造成的安全回路状态的改 变作为有效连接的建立和中断的结果的问题在此文章中都没有作初 步的解释。在JP 2002127075 A2 (Matsushita Electric Ind.Co丄td,)中， K.Aimi et.al.延伸了 US 5444342 A中公开的技术。当然这里急停回路 的桥接和手动操作仪器的电源并非通过激活开关的手动操作而激活， 而是自动地通过监测装置，所述监测装置对连接点的连接状态进行检 测。从其中可以看出不完整的插座连接并且妨碍了到手动操作仪器控制功能或者电源的激活。对于可靠信号连接建立的识别同样建议使用 分离提前(缩短)的在多极插座连接内的触点。但是也没有考虑有效 连接建立和断开时，安全回路状态无意地被改变的问题。在WO 02/078915 Al (ABB AB)中，S. Johanessen， J.Endresen 和R.Sjoeberg公开了将移动操作仪器无线地数据技术地连接到机器 人的控制器的应急开关。应急键的操作状态被周期性地在消息中编码 传输。在接收侧，在一定时间段内对该消息进行分析。其中没有接收 到关于未操作的应急操作状态的没有错误的消息的连续时间段被计 数。在这些彼此跟随的时间段的一定数量时，在接收侧会生成急停信 号状态并输入机器人的安全回路。关于数据连接逻辑断开的时间点 的，最后有效发出的急停操作状态的存储装置也没有进一步说明。而 且也没有考虑有效连接建立和断开时，安全回路状态无意地被改变的问题。在EP1260951 A2 (Siemens)中，G.Rieger描述了 一种移动操作 和观测仪器(BuB)与现场总线之间临时连接的接入点。其中的主要问 题是，为了确保相当于现场总线连接的高需求的功率质量的高实时要 求，通常只有通过固定安装的终端才能达到。因此而将接入点构造为 网关。它们包括自己的加工单元和存储器。被强调的是，在该设计中 不必始终为移动BuB单元提供电源，只是偶尔在实施相应操作和观测 处理的时候。在接入点和移动BuB单元之间取代了电缆连接而使用了 无线连接。但是没有提及具有特殊安全技术要求的保险开关元件的使 用。在JP 2003136447 A2 (Daihen Corp.)中，T.Minami和T，Kusano同样描述了机器人手动操作仪器的接线盒，在所述接线盒内当断开操 作仪器时，以继电器对急停回路进行桥接并由此将手动操作仪器与可 控技术设备进行断开，而无需将装置进行停机。或者可以通过对开关 的手动操作或者可以通过连接检测而自动实现桥接。但是没有实现应 急开关最后有效确定"操作或者指令状态的信号存储和保持。在EP 1353418 A2 (Siemens AG)中，W.Gruner和G.Rieger描 述了移动数据单元(BuB)与现场总线相连接的系统，其中移动数据单 元的连接单元(AP)与现场总线相连接，其中连接单元(AP)具有一种 装置，所述装置在移动数据单元连接的状态下，将现场总线的急停回 路通过数据单元(BuB)构成回路并且在断开的状态下短接。但是在这 里也难以看出在连接单元内最后指令状态存储或者在连接建立之前 应急开关状态检测的激励。因此在移动数据单元的连接和断开过程中 会导致急停指令状态的改变。但是这里只顾及了应急开关的接入，而 没有顾及确认键和操作模式转换开关的同样具有安全危险的情况。这 里提供了多个手动操作仪器可连接的接入点。但是在本文件中同样没 有提及，在多个手动操作仪器同时试图连接时出现的竟争性连接状态 下，由多个可选择使用的接入点出发的可控技术设备的操作可能性。 也没有描述手动操作仪器的无线连接。在EP 1407860 A2中，Y.Hashimoto和Y.Kubo公开了 一种手动 操作仪器同机器人控制系统无线数据连接的、应急开关安全信号状态 的多回路和多信道传输。但是也没有对基站内关于数据连接存活时间 的最后有效急停指令状态的存储装置，或者在连接建立前应急开关命 令开关状态的检测进行说明。发明内容本发明的任务是提供一种方法以及用于执行该方法的合适的装 置，其可靠地防止在数据或信号技术地耦接或去耦接时或在运行被配 备有保险开关元件的移动的操作和观察单元期间操作人员无意地改 变涉及安全的信号和指令状态。为了完成所提出的任务， 一方面设置特殊的方法措施，另一方面 构造对于移动操作设备的安全的数据传输对方台，其只临时地与操作 设备进行数据技术的有效连接，但是永久地与安全回路并在可能的情 况下还与技术设备的功能控制器有效连接。数据传输对方台既可以被 构造为独立的部件，也可以例如是具有功能控制器或特殊安全控制器 的构件单元。安全回路既可采用功能分离的、多回路实现的信号线(例如所谓 的应急回路)，也可以采用相应协议保护的数据线而被实现为安全总 线。在安全的数据传输对方台中设置存储装置，在所述存储装置中存 储临时有效连接的手动操作仪器的保险开关元件的开关或指令状态。 只要手动操作仪器和对方台之间的数据技术有效连接保持并且可以 执行控制命令，所存储的开关状态在操作状态每次改变时就跟随保险 开关元件的实际开关状态。这些开关状态还被转发到安全回路和/或技 术设备的功能控制器。如果故意或非计划地断开有效连接，则为安全 回路或功能控制器信号或数据技术等同地保持在断开手动操作仪器 之前最后有效釆集并被存储在数据传输对方台中的开关或指令状态。 但是不存储确认键信号，因为确认信号只在亳无疑问地确保操作人员也确实操作了确认键时才有效。此外，只在特殊操作模式中直接与给 出控制命令结合才需要确认键，从而对于去耦接的手动操作仪器，存 储器不是必需的。因此，确认键信号在与操作装置的有效连接断开的 情况下总是被非激活地、即等同于确认键没有被操作而被馈入安全回 路中。如果在以后的一个时间点重新建立手动操作仪器与数据传输对 方台的数据技术有效连接，则所有或至少特定控制命令被保持锁闭， 并且保险开关元件的当前指令或开关状态暂且还未被转发至安全回 路。首先比较手动操作仪器上实际确定的保险开关元件的指令状态与 存储在对方台中的状态。其中如果确定存在偏差，则请求使用者匹配 调整操作状态，或者至少将差异通知使用者并请求使用者对于有效连 接的建立采取特定操作处理。只有操作状态与所存储的状态一致时或 使用者即使知道偏差仍然确认建立连接时，数据技术的连接才完成。 保险开关元件的开关状态的所有其他变化现在也被立即接收到存储 器中以及被耦接入安全回路中。事先锁闭的控制命令现在也被释放。与建立或断开手动操作仪器和可控技术设备之间的数据技术有 效连接相关的安全相关信号和操作状态的改变只通过操作人员对明 确对应于该信号或安全功能的那些保险开关元件有意识的操作处理 才实现。本发明其他有利的可选实施方式在于附加的对例如为执行维护 或编程工作而设置某特殊操作模式的操作人员的身份识别和登记。由此在技术上确保，只有该操作人员才可以重新取消该特殊操作模 式。由此避免了可能危害人员或实物资产的操作方式的无意和未授 权的改变。因此不需要设置相对昂贵的安全技术多回路构造的选择 操作模式的钥匙开关，以及避免了由于机械钥匙所带来的问题。对于 这些钥匙一般存在丢失的危险，或者为了避免丢失而将其插在钥匙开 关中，并因此失去了本来提供的防止未授权开关处理的安全功能。与前面给出的安全的数据传输对方台无关，根据本发明的权利要 求1，还提供了一种根据本发明的在具有至少一个保险开关元件的移动操作装置和可控技术设备或其控制器或其安全回路之间建立信号 或数据技术的有效连接的可靠方法。优选在中间连接特殊构造的安全 的数据传输对方台的情况下实现有效连接的建立，数据传输对方台当 然不是必须被构造为单独的构件单元，而是可以在构造上并且还在功 能上与控制系统的通常组成部分组合。显然，例如与连接点的组合用 于有线手动操作仪器，而与无线电发射机的组合用于连接无线数据耦 接的操作设备。但是，其也可以被实施为功能控制器或特殊安全控制 器的部件或模块。在建立有效连接时，首先只建立移动操作装置和安全的数据传输 对方台之间的连接，其中操作装置的保险开关元件开始或在开始时在 功能上还没有耦接入安全回路中，并且操作装置的控制命令的至少一 部分还没有被转发到功能控制器，或其中至少潜在关键的控制命令暂 且还被锁闭。对于本发明重要的是，首先确定操作装置的保险开关元件的当前 开关或指令状态，并将该开关状态与安全回路的状态进行比较。该比 较的结果然后是进一步处理其中确定在操作装置的操作元件的开关 状态和安全回路的现有状态存在差异的那些情况的基础。由此避免了 在随后其中将实际开关状态耦接入安全回路中的有效连接完成时出 现操作人员不期望其可能有危险的可控技术设备的操作状态的改变。通过权利要求2的进一步完善，可以在有效连接建立的完成之前 将保险开关元件开关状态与安全回路状态的不一致提前通知使用者， 比便于在接入安全回路之后不会出现可能的、出乎意料的操作状态的 变化，而是至少提前由操作者获知这种状态误差。通过权利要求3的具有优点的进一步完善而确保了 ，如果操作人 员将开关状态或者控制状态与安全回路的状态进行了补偿，才将保险 开关元件开关状态接入安全回路。通过后续的接入安全回路因此不会 改变安全回路的状态。只有使用者后续又进行其他保险开关元件的命 令改变，才会由引起其他变化。通过权利要求4或5所述方法的设计，有效连接的完全建立，尤其将保险开关元件的功能接入安全回路，只有在使用者最后的操作之后才会实现，所以与权利要求2所述的技术特征相结合，在有效连接 建立以后，尤其不会出现可控装置操作状态的不期望改变。通过权利要求6或7所述方法的设计而确保了 ，确认的操作处理 本身以技术可靠方式，也就是说一个错误可靠的方式下而获取。对采 用的或者将来在紧迫情况下需要的保险开关元件在接入安全回路之 前能够进行真正功能检测，还尤其具有优点。因此在损坏存在的时候 可以避免操作仪器使用损坏的保险开关元件并且由此而避免了相随 的安全隐患。通过权利要求7的进一步完善而确保了在接入时，保险 开关元件的开关状态与安全回路的状态保持一致，所以操作状态不会 出现不期望的改变。通过权利要求8具有优点的设计而绝对确保了 ，在将保险开关元 件连入安全回路时，不会引起操作模式的任何改变。通过权利要求9或10的尤其具有优点的进一步完善而完成了可 锁闭保险开关元件的功能，所述功能类似于具有机械钥匙的被熟知 的、广泛采用的保险开关元件。锁闭功能在数据传输对方台内而不是 在移动操作装置内而实现，所以锁闭功能具有优点地独立于所采用的 操作装置而有效。通过权利要求11的设计，使用者可以额外获得当前存在锁闭的 引起原因和情况的信息。例如如果长时间存在的锁闭的消除明显被服 务技术人员所忘记并且并没有锁闭的明显原因，但是实际上还是需要 锁闭的，因为机器到修理工作结束的时候还并非是操作安全的，这样 就是具有优点的。这样也就减小了通过具有首席授权的人员，草率地 消除锁闭的危险。这样的首席授权从实际考虑是具有优点地并且大多 数情况下被釆用的。通过权利要求12具有优点的设计方法而确保了 ，锁闭不会通过 不允许的人员而消除更确切地说改变只有通过允许的人员而进行。使 用者名和/或密码的输入例如可以通过键盘形式的输入装置手动实现 或者直接釆用应答器形式的编码的数据载体或者密码卡。通过权利要求13所述方法的具有优点的进一步完善确保了 ，只 有保险开关元件功能上接入可控装置的安全回路并且完全起作用或 者可工作时，操作处理或者控制命令才能中断或者运行于可控技术设备。通过权利要求14尤其可靠的设计而排除了 ，多个操作装置可以 同时作用于可控技术设备。由此而避免了操作装置或者操作处理不期 望的或者由于疏忽而未考虑到的相互影响以及由此而造成的人员和 实物资产的危害。本发明的目的也通过权利要求15所述的方法的技术特征而实 现。本发明方法确保了，通过移动操作装置和可控技术设备间有效连 接的断开，而不会引起安全回路状态和可控技术设备操作状态的无意 变化。保险开关元件的开关状态会被存储在安全的数据传输对方台的 存储器内并且根据存储的开关状态而将安全回路的状态而信号等同 地保持。然后可将移动操作装置信息技术地断开或者无风险地关闭。 尤其不会由此而无意影响可控技术设备的操作状态。本发明的另一具有优点的完善通过权利要求16做出了描述。其 中与保险开关元件的开关状态或者指令状态一起存储的还有使用者 的使用标识，所述使用者是指引起开关状态改变或者将有效连接断开 的人。还可将其他信息也进行存储，例如上一次变化的时间点或者进 行开关状态改变的原因。通过权利要求17所述而完成了本发明的尤其具有优点的完善。 其中完成了保险开关元件的虚拟钥匙。因此可以避免开关状态或者指 令状态无意的或者不允许的改变，由此也就避免了所属操作状态的改 变。权利要求18所述设计确保了 ，只有允许的操作人员本人或者知 道访问标志的人员才能够将锁闭解除。此功能以可拔出的机械钥匙而 实现了常规可锁闭保险开关元件的改进。本发明的目的也通过权利要求19所述的方法的技术特征而实 现。根据权利要求19所述的方法确保了，对于非计划的或者并非由操作人员开始的连接中断，例如超出射程或者无线传输出现干扰的时 候，不会出现可控技术设备操作状态的不期望改变。所以在移动操作 装置和可控技术设备间出现的不可预见的或者突然的有效连接的中 断就是无危险的或者不危急的。通过权利要求20所述具有优点的完善，将有效连接的短暂中断， 例如通过无线传输的短暂干扰而可能出现的，通过上一次获取开关状 态的存取装置而进行相应桥接，由此而避免操作状态的不期望改变。 直接在干扰消除之后即可将下一次有效获取的保险开关元件的开关 状态立刻传输入安全回路，而无需特殊的登录过程或者将获取的保险 开关元件的开关状态与存储的安全回路状态进行对比，比如在建立连 接时原始提供的。保险开关元件的功能在短暂中断之后又直接可用。根据权利要求21或22的设计，而实现了选择钥匙功能的使用， 所述钥匙功能并不全部控制有效连接的建立，例如只是由多个可能的 操作模式为了使用而作有目标地、对单独操作模式进行锁闭。这样， 无限制地在不同特殊操作模式间进行转换期间，就可将自动操作模式 锁闭，或者准确将一种只为特定允许操作人员而保留的特定特殊操作 模式锁闭。本发明的目的通过具有权利要求23所述技术特征的为安全的数据传输对方台的装置而实现。本发明的安全的数据传输对方台构成了 移动操作单元与可控技术设备安全回路间临时有效连接的接入终端。如果将安全回路例如设计为安全总线，则接入安全回路不仅仅涉及到 无电势开关输出或者有电势信号输出，还要涉及相应的数据连接。为 移动操作装置的临时连接还提供了另一接口。为此可以考虑不同接线 的或者无线的数据连接和信号连接。不仅可以考虑大量标准接口，例 如Ethernet, Porfibus， WirelessLAN，或者BlueTooth，也可以考虑专 有的接口规格。是否将与移动操作装置连接的连接点实施为物理接 点，或者直接位于数据传输对方台，或者在其它数据传输装置的中间 回路之下，将连接接口实施于离开的触点端或者发送装置/接收装置，对于发明是不重要的。根据本发明为数据传输装置设计了存储装置，可将保险开关元件 的开关状态或者指令状态数据技术地同等映射于所述存储装置内，并 且将保险开关元件的指令状态在移动操作装置和数据传输对方台的 有效连接断开或者取消之后能够可取用地存储。简单开关状态的大量 可能存储装置对于相应的专业人员是熟知的。例如这里可以提及，具 有自闭塞接触的简单继电器安排，双稳态继电器或者分立安装或集成 的半导体存储器，磁存储器等等。另外对于专业人员是直接明了的，如果数据传输对方台具有对存储信息进行存取的装置，那么本来的信 息存储位置对本发明就是不重要的。通过权利要求24公开了本发明尤其具有优点的完善。其中对于 开关状态的存取装置釆用了非失忆存储器。由此可以确保，开关状态 在断电之后也可保持。通过权利要求25的设计而确保了 ，能够将由数据传输对方台出 发的保险开关元件的不同开关状态功能等同地接入安全回路。这意味 着，不仅能够将保险开关元件的所有可能开关状态通过数据传输对方 台的接口功能相同地复制并接入安全回路，而且对于安全回路数据传 输对方台在信号技术上就相当于固定安装的移动操作装置。对于带有 前述持续有效连接的操作装置的现有系统的改装或者对于带有持续 有效连接或者可断开的移动操作装置的特定机器类型的选择装备，是 尤其具有优点的。根据权利要求26所述的具有优点的设计提供了 ，移动操作装置 和安全的数据传输对方台间对比于点对点连接的布线和安装成本，对 于信号信道的灵活和相对有利的设计可能性。尤其这样的网络不仅可 以用于操作装置和数据传输对方台间的信息传播而且也可同时用于 可控技术设备周围的其他任务和组件。根据权利要求27所述的设计而完成了具有接口的数据传输对方 台，所述接口用于与常规的、电缆连接的操作装置或者电网建立数据 连接。根据权利要求28所述的设计而实现了 ，电缆连接的移动操作装 置的数据连接的快速和简单的建立和断开，而不必对操作装置和数据 传输对方台的各自操作状态进行尤其的深思熟虑。具有权利要求29所述技术特征的数据传输对方台，实现了电缆 连接移动操作装置的简单供电，所述操作装置的供电自动由数据连接 或者信号连接的建立而提供。由此而节约了操作装置的独立供电。当 然也可以额外通过接口由独立的、已经提供于移动装置内的供电装置 而实现，例如电化学能量储能器，更确切地说可以通过接口而从新利 用这样的储能器。根据权利要求30所述的数据传输对方台的尤其具有优点的设 计，实现了移动操作装置与数据传输对方台或者可控技术设备的无线 信号连接或者数据连接。由此能够使操作人员在发送控制命令的过程 中达到最大移动自由。也就不用考虑尤其暴露在粗糙工业环境中连接 电缆的损坏而经常作为功能丧失的原因以及所需的恢复措施。根据权利要求31所述的具有优点的设计实现了 ，移动操作装置 和安全的数据传输对方台本来连接点的空间或者接地点分离。由此例 如可将数据传输对方台与可控技术设备的功能控制器共同安装在分 离的开关拒内或者直接与功能控制器构造上相结合，对比于直接将移 动操作仪器的连接点或者多个连接点安排在机器工作区域的附近。在 操作装置的无线连接的情况下，也可将发送单元/接收单元安装在开关 拒的外面，从而避免通常广泛实施为封闭钢板结构的开关根的屏蔽作 用。根据权利要求32所述的设计，对于与移动操作装置有效连接的 建立可以提供多个分配给数据传输对方台的连接点。由此，对于操作 装置有线数据连接的情况，尤其对于空间上宽阔的设备和机器，可以 对于各自有意的控制任务而选择优化的连接点并且可将从操作装置 到连接点的导线长度较短保持，所以可以达到事故风险的减小以及降 低连接电缆的损坏危险。对于操作装置无线数据连接的情况，可以 通过多个发送设备/接收设备的分配而达到在给定的停留区域内可靠的无线覆盖。对于采用具有较短射程的发送设备/接收设备的情况，可 以实现停留区域的更准确的空间布局，由所述停留区域出发可将可控 技术设备的控制命令撤销。根据权利要求33所述的设计，可以实现复杂数据传输协议灵活 的、基于软件的调整和设计。此外可以构成复杂的、有效率的检测数 据完整性、存取授权和误差校正的安全措施。通过权利要求34优选尤其可靠的设计，最重要实现了一个错误 保障。尤其在信号加工和信号传输中，其中单独的错误不会导致安全 性的丧失。通过权利要求35的设计而实现了安全性的完善。其中将数据加 工装置多样化地在不同技术，以不同软件和不同线路而构造，所以设 计错误的单独误差或者外部干扰不会同时并以同种方式作用于多个 独立的回路。根据权利要求36的设计或者权利要求37的完善，安全的数据传 输对方台不仅作为移动操作装置与安全回路间的连接点，而且也作为 移动操作装置与可控技术设备的功能控制器的连接点。因此数据传输 对方台对于跟安全无关的或者不危及安全的数据和信号承担了网关 的功能。这些可以为不同的功能，例如不同传输协议的转换，数据緩 沖，误差纠正，完整性和授权检查，图像数据处理等等。通过这种网 关功能，将一方面数据传输对方台到移动操作装置的连接与另一方面 到技术装置的功能控制器物理上相分离。因此通过移动操作装置的接 入和断开而没有改变数据传输对方台与功能控制器间的导线设置，而是保持布线的固定和不变。这样就能够简单地为连接而采用高数据传 输率和低实时反应时间的高效率的和可靠的数据网络，并且通过坏损操作装置的连接或者连接电缆的损坏尤其不会以不可靠的方式而影 响数据网络的剩余通信。通过到功能控制的第三接口可以直接对操作 装置保险开关元件的开关状态或者指令状态进行存取或者被告知开 关状态的改变，所以除了通过安全回路对可控技术设备产生直接的影 响外，也可以通过功能控制器对可控技术设备产生直接的影响。2根据权利要求38的设计实现了一系列基于时间测量或者确定时 间点的额外功能。例如由此可以对机器或者设备进行时间限制地锁 闭，或者提供在哪个时间点建立锁闭，或者何时允许安全回路状态改 变的信息。通过出现变化与各自时间点的协议化，例如可以对事故过 程简单地进行重建。此外可以自动采集停机时间，修理时间，到期的 服务间隔或者安全检测。根据权利要求39或40的具有优点的设计实现了 ，将安全的数据 传输对方台紧凑地结合入可控技术设备的功能控制器。例如可将安全 的数据传输对方台作为模块化设计的控制组件的模块或者作为与连 接点的结合，在此建立并实施移动操作装置的临时连接。尤其明显简 化了各自结构上结合的组件间数据传输或者信号传输的设计或者改 善了它们的操作安全性。


以下借助于附图中所示的实施例对本发明进行详细说明。其中 图1示出了作为根据本发明的方法和装置的一种可能应用情形的具有多个可控制技术设备的加工系统的截面图；图2示意性和示例性地示出了移动操作和观察装置的主要组件；图3示意性和示例性地示出了根据本发明的安全的(sicher)数 据传输对方台的主要组件；图4示例性地示出了根据本发明的在具有保险开关元件的移动 操作和观察设备与安全的数据传输对方台或可控技术设备之间建立 临时的数据技术有效连接的方法的流程；图5a到d示例性地示出了在建立从移动操作装置到可控技术设 备的数据和信号技术有效连接时的阶段；具体实施方式
首先应该记住，在所描述的不同实施方式中，相同的部件具有相 同的附图标记或相同的部件标记，其中包含在整个说明书中的公开内容可以按意义转移到具有相同附图标记或相同部件标记的部件上。而 且，在说明书中所选择的位置说明，例如上部、下部、侧面等等与直 接描述和所示的附图相关，并且其在位置变化时可以按意义而被转移 到新的位置。此外，所示和所述的不同实施例的单个特征或特征组合 也当然可以表示发明性的或根据本发明的解决方案。在图1中示例性和示意性地简化地示出了在多个自动程序控制的机械手11共同作用下用于生产或加工工件12的工业系统60的截 图。工件12被运输装置13从一个加工区(Bearbeitungszelle ) 66输 送到下一加工区。在所示的实施例中，每两个机械手11由一个公共控制器IO通过 相应的控制和传感器连接18控制。当然，可替换地，也可以为机械 手11分别分配单独的控制器。两个被共同控制的机械手H被分配给一个公共安全区 (Sicherheitszone ) 14，所述安全区在空间上经常与加工区66或加工 站(Bearbeitungsstation ) —致，并且大多还通过相应的保护栏、保 护门、栅栏(Gitter)或阻隔装置(Absperrungen ) 67而相应地可察 觉地被划定界限。在电路技术方面，安全区14是这样一个区域，即为该区域分配 至少一个或在可能的情况下为多个的通常情况下固定布线的应急开 关15形式的保险开关元件和相应的安全目的的(sicherheitsgerichtet) 信号传输装置，被整体表现为安全回路16。通过由人员触发 (Ausloesen)相应的保险开关元件15，相应安全区14中的所有机械 手ll、机器和设备部件被可靠地立即设置到安全的操作状态中，尤其 是停机状态中。由此，可防止所识别的存在的或潜在的危险情况 (Gefahrensituation )或可可靠地禁止无意的机械操作。在大型加工设备60中，多个加工区66的控制器IO通常通过数 据网络20而数据技术地相互连接，并且通常还与中央计算设备或服 务器65数据技术地连接，例如为了中央操作数据采集的目的。此外， 还可以通过这样的中央计算设备执行远程维护和远程诊断，执行对控制器10、并且在可能的情况下还为移动操作和观察器2的中央組织的 软件升级以及在整个设备上(anlagenuebergreifend )管理特殊参数和 数据组，尤其是用户简档、工具简档和机器简档。所示的加工系统60还包括移动手动操作仪器形式的移动操作和 观察装置，简称操作装置2，其中操作人员l可以借助于该操作装置 交替地控制不同加工区66内的机械手11和设备部件。在该时间期间，各加工区66的设备部件由于通过所连接的阻隔 装置67的保护而不处于全自动运行状态中，而是处于受保护且借助 于操作方式选择开关70而设置的特殊操作方式下，在该特殊操作方 式下，操作人员可以例如为了准确的编程工作和设置工作或为了维护 任务而也逗留在阻隔装置内，或者可以在阻隔装置67被打开的情况 下进行操作处理。在受到保护的特殊操作模式下，安全关键的机器操 作只在操作人员1主动操作手动操作仪器2上的确认键39期间才可 能执行。另外，手动操作仪器包括停止开关或应急开关形式的另一保 险开关元件38，在其操作时，相应安全区14中的所有机器部件立即 被切换到安全状态。移动操作装置2优选为无线地通过集成的无线电接口 23、无线 电数据连接6和至少一个相应的固定安装的无线电对方台3，并进一 步通过固定布线的数据线21而与安全的数据传输对方台9数据技术 地连接。其中，可以为数据传输对方台9分配正好一个无线电对方台 3或甚至在结构上与其组合，或者可以构造多个通过数据网22连接的 无线电对方台3和在必要时多个安全的数据传输对方台9，以在广阔 的设备60中实现可靠的面积覆盖的无线电连接。当然，也可以设置 传统的有线数据连接来替代无线电数据连接6，并且可以相应地与所 设置的工作区域的空间上直接相邻地设置一个或多个具有插接的连 接点来代替无线电对方台3。安全的数据传输对方台9被固定布线地接入相应安全区14或加 工区66的安全回路16中。其将当前数据技术连接的移动操作装置2 的保险开关元件38、 39的操作状态或开关状态可靠地转发到安全回路16。同时，还在安全的数据传输对方台9的存储器中记录这些开关 状态。对于释放或中断数据连接6的情况，根据本发明的安全的数据 传输对方台9为安全回路16保持应急开关38、停止开关、事故开关 或操作状态选择开关70的最后存储的开关状态，以便不出现操作状 态的意外和无意的变化。在重新建立与手动操作仪器2的数据连接6 时，首先，控制命令、特别是还有移动操作装置2的保险开关元件38、 39和/或70的信号状态还没有从根据本发明的安全的数据传输对方台 9转发或转接到控制器10或安全回路16。在数据传输对方台9中， 首先检验移动操作装置2的实际开关状态或操作状态是否与存储在对 方台9中并被馈入安全回路16中的信号状态一致。只有在确定完全 一致时，在可能的情况下即操作人员l相应地建立操作状态时，安全 的数据传输对方台9才将操作状态的所有后续变化也转接到安全回路 16，并且将控制命令从手动操作仪器2转发到控制器10。只有这时， 手动操作仪器2才完全与可控技术设备有效连接。设备操作方式或应 急状态的变化只通过用户1对为此设置的保险开关元件38， 39， 70 的有意识的操作处理才实现，并且绝不会已经在建立数据连接6时无 意地实现。此外，优选地，在数据传输对方台9和功能控制器IO之间设置 数据连接19。借助于该数据连接19， 一般的非特殊的安全关键的控 制命令或信息可以被从移动操作装置2通过数据传输对方台9传递到 控制器10。数据传输当然可以以相反方向或双向地从控制器10通过 数据传输对方台9到移动操作装置2，使得尤其是显示信息、操作信 息和诊断信息可以被传输并可以通过合适的输出装置在移动操作装 置2上被输出。数据连接19可以被构造为正好一个数据传输对方台9 和正好一个控制器10之间的明确的点到点连接，或者可以将多个控 制器10、数据传输对方台9以及在可能的情况下还有中央服务器65 相互连接作为完整网络20。原则上，如果控制器10直接连接到网络 22，并且来自控制器IO和到控制器IO的所有非安全相关信息不是经 由数据传输对方台9、而是直接通过无线电对方台3传输到移动操作装置2及从移动操作装置2传输，则也可完全不需要数据连接19。在图2中以主要和典型功能组件和数据技术连接示例性地示出 了 一般的移动操作和观察装置2。为了临时建立与可控技术设备的数据技术有效连接6，操作装置 2包括相应的接口，尤其是适于无线数据技术连接的无线电接口 23。 当然，作为替代，相应的有线数据技术连接、例如经由以太网也是可 能的且也是常见的。此外，移动操作装置2具有在操作位置产生已知的机械锁闭的特 别构造的应急开关或停止开关38形式的保险开关元件38、 39、 70， 并且在可能的情况下还具有一个或多个确认键39且在可能的情况下 还具有操作方式选择开关70。确认键39当在可控技术设备的特别操 作方式下执行安全关键操作期间应该始终由操作人员l保持操作，从 而该确认鍵39优选在移动操作装置2的手柄范围内被集成，并且由 抓持移动操作装置的那只手同时进行操作。如果为了可以根据情况不 同地把持操作装置2或为了支持既用于左手又用于右手的人体工程学 操作而设置多个手柄区域，则通常为每个手柄区域分配一个确认键 39。保险开关元件38、 39、 70如图所示大多被双回路地构造，即包 括多个同时且独立释放的触点。此外，移动操作装置2具有第一处理器或采集电路33,其持续 且独立地通过相应的信号线44采集保险开关元件38、 39和70的操 作状态或开关状态，并将其编码为相应的数据电报以通过有效数据连 接(Nutzdatenverbindung ) 6发送。与其并行地，设置第二处理器或采集电路35，其持、独立且与 第一处理器或采集电路34无关地通过相应的信号线采集保险开关元 件38、 39和70的开关状态，并将其编码在相应的数据电报中，以通 过有效数据连接6进行通过发送。为了存储数据，为这两个处理器或采集电路34、 35分别分配独 立的存储器36和37。优选地，这两个处理器34和35被不同地构造，属于不同的处理器系列，使用不同的软件和不同的技术。由此保证由于软件或硬件故 障或者因为外部干扰作用所产生的单个错误不会同时及同类地作用于这两个处理器34、 35，并且不会产生(absetzen)两个同时具有错 误的用于标识未操作应急开关或停止开关或者操作确认键的数据电 报。通常，处理器或釆集电路之一34被实施为性能相对更高，并且 除了采集保险开关元件38、 39、 70的操作状态之外还承担与移动操 作装置2的其他外围部件的通信，例如与用于显示机器和流程状态及 数据的支持图形的显示器26、在构造上与显示器26组合的用于转换 灵活且高要求的图形支持的操作方案的触摸屏27、电键盘28及诸如 操作杆29或手轮30的不同模拟输入设备的通信。也可设置用于使用 任何扩展模块的接口 31。其中，例如可以是可更换的存储模块，尤其 是微型快擦写存储器(Compact Flash Speicher ) 、 USB存储单元， 或可以是以太网网卡形式的特殊接口模块。该高性能处理器34还执 行通过有效数据接口 23的至少大部分通信，以控制数据技术连接的 可控技术设备或显示相应的数据和状态。对应于所要求的功率带宽， 该第一处理器大多包括独立设置的较大存储器36。第二处理器或采集电路35通常具有较小的处理能力，并且优选 只用于附加的和独立的采集和编码保险开关元件38、 39、 70的操作 状态。对此，其中已经集成有小的工作存储器37的简单微处理器就 足够了。作为替换，第二处理器35的任务例如可以由可编程逻辑组 件来实现。当然，作为替代，也可以由两个独立的、相对简单的处理器或采 集电路专门执行安全相关的功能，并且可以由另一个第三处理器执行 关于显示的对于所要求的计算能力花费很大的功能。在第一和第二处理器或采集电路34、 35之间，优选地还设置直 接的数据或信号连接42。通过该连接42，可在处理器34和35之间 交换例如用于独立釆集的安全开关器件38、 39、 70的操作状态的交 叉比较的信息，或执行参数化过程或初始化过程。同样，通过该数据连接，相应地由安全编码标识且通过检验信息封装的涉及安全的信息 可以从这两个处理器之一传输到另一处理器并然后由该另一处理器直接通过接口 23输出或在嵌入该另一处理器所设置的其他数据电报 中共同地传输。此外，在对于可靠性要求提高的基于处理器的设备中常见的元 件、例如监视程序计时器(Watchdog-Timer )等为专业技术人员所公 知，并且为了更清楚而不被显示。由于现代移动操作装置2优选被构造为无线数据耦接的移动手 动操作装置，所以设置相应的集成的储能器25，尤其是电化学的储能 器。由此，移动操作装置2的部件至少可以暂时不依赖于有线连接的 电源供给而工作，并且由此保证操作人员的最大可能的移动性。为了 更清楚，部件供给电源的连接在图2中没有^f皮示出，并且其对于本领 域技术人员而言是清楚。这也适用于用于更换或再生储能器25或用 于相应地预处理所存储的能量的元件。图3中示例性且示意性地以主要和典型的部件示出了根据本发 明的安全的数据传输对方台9。数据传输对方台9包括接口 46，用于临时建立到移动操作和观 察装置的数据连接21，以至少传输安全相关的操作状态或信号状态。 其中，沿该数据连接21，可以中间连接不同的数据传输装置，例如无 线电波的发送和接收装置、网络部件、网关等。还设置三个开关输出端形式的接口 52、 53和71，用于固定布线 地信号技术地将数据传输对方台9接入可控技术设备的安全回路16 中。接口 52被接入急停安全回路54，接口 53被接入确认安全回路 55,接口 71被接入操作方式安全回路72。如所使用的接口符号已经 表明的那样，这些接口优选地既向外在安全回路16方向上也向内在 数据传输对方台9部件的控制方向上被可靠地实现为双回路。可替换 地，代替符号所显示的电磁操作的、浮置的开关输出端，也可设置类 似的可靠构造的电信号输出端，或者同样对于开关输出端52、 53和 71可替换地或补充地，设置特别安全设计的数据接口，用于固定布线地数据技术地连接到特殊安全总线。所示的电机开关输出端除了可靠 的电隔离之外还具有以下优点，即在电源供给出现故障时，可靠地打开急停回路54和确认回路55，由此将可控技术设备立即变换入安全 操作状态。类似于通过第一和第二处理器或采集电路34、 35安全地双回路 地釆集和编码移动操作装置2中保险开关元件的操作状态，数据传输 对方台9中的电子数据译解也被双回路地实施。其中，涉及安全的信 号状态由至少一个第三和第四处理器或监视电路48和49对应于通过 接口 46所接收的数据电报而独立地双回路地接收、检验并接入安全 回路16。为这两个处理器48和49分别分配适当的工作存储器50和51。 此外，还为这两个处理器48、 49分别分配非易失性存储器45，在该 非易失性存储器中至少电源故障保险地存储在符合规定的数据连接 时最后接收的操作装置的保险开关元件的开关状态。同样，其中还可标识数据。所有提及的存储器既然可以被构造为独立的元件，也可以 被固定地集成到相应处理器中。也可在这两个处理器48和49之间设置特殊的数据或信号连接 57，用于交换信息。例如其可被用于持续地交叉对比独立确定的操作 状态或信号状态及在组件内部确定的或存储的安全状态。数据传输对方台9的两个处理器中至少一个可以通过附加的数 据接口 47与控制器10交换数据，所述数据也涉及非安全关键的控制 命令和显示功能和数据，并且不被数据传输对方台9本身进行专门的 分析或内容加工，而只在移动操作装置2和控制器10间被转发。因 此，移动操作装置2与数据传输对方台9之间安全的点对点连接也可 以被用于该数据。由此，尤其也可以由数据传输对方台9可靠地阻止 移动操作装置2发送控制命令至控制器10，直到数据连接被完全建立 且保险开关元件的操作状态与所存储的状态同步且释放到安全回路 的耦接。优选地，数据传输对方台9与控制器10之间的数据连接被设置为没有任何其他用户或具有点对点关系的固定设置的协议保证 的明确的点对点连接。诸如电源单元和电源连接或者例如还有处理器的监视程序计时器这样的其他常见部件为了更清楚地表示而没有在图3中被示出。其 对于本领域技术人员来说在构造、连接和作用方面都是公知的。图4显示了根据本发明的用于可靠地建立具有集成的保险开关 元件的移动操作和观察装置和安全的数据传输对方台或可控技术设 备之间的数据技术有效连接的过程的一个示例。其中，并没有完整地 显示整个过程，而是只给出了至少发明重要的及一些具有优点的部 分。在注册过程开始100处，操作人员1启动移动操作和观察装置2。 在该显示中，涉及具有自主的集成的储能器的无线数据耦接的手动操 作仪器，从而该仪器即使不存在与连接点3的连接也可以至少在电气 上运行。类似于已知的个人计算机，操作人员必须在手动操作仪器上注册 (步骤101)，并通过提供登记的使用名、通常还有密码而被标识为 使用者。现在在手动操作仪器2与安全的数据传输对方台9或被分配给期 望的可控技术设备的连接点之间建立数据连接(步骤102)。所使用 的数据线路还包括不实现明确的物理点对点连接的传播介质，诸如无 线电网络或还有有线网络和总线结构，从而其中必须使用附加的地址 信息(步骤103)，所述地址信息唯一地标识期望的机器或期望的设 备部件，并使得能够明确地传递所发送的数据电报。如果以明确的点 对点连接完全有线地实现该连接，则当然也可以不需要寻址。然后， 只通过选择连接点而将移动操作仪器分配给一个可控技术设备。如果在物理上多个移动操作装置与同 一可控技术设备的同时数 据连接是可能的，则需要通过相应的检验(步骤104)并通过数据协 议保证来获取事先已经存在的数据连接，并阻止建立其他数据连接， 从而无论如何都不会产生其中多个人可能无意或疏忽地对同一技术装置进行操作并彼此互相损害或至少妨碍的竟争状态。在步骤105中只检验机器在事先存在与操作装置2的有效连接期 间是否被使用者锁闭。在该步骤105中，也可以由使用者输入特殊密 码以取消存在的锁闭，这没有被显示。但是，解锁的授权也可以是可 单独地由使用者的登陆数据推断的。检验对于访问某机器或设备部件的使用者特定授权在图4中没 有示出，但是在某些情况下是有利的或甚至是必须的。由此，对某设 备部件或某功能的访问可以被限制到特殊的使用者组中。如果由于事先已经存在与另一操作装置的连接或由于使用者的 访问授权错误而不能建立操作装置2和安全的数据传输对方台9或相 应的安全回路16之间的有效连接，则在步骤106中通知使用者，优 选给出准确的原因。连接建立被拒绝(步骤114)并且中断或停止注 册过程(步骤116)。如果根据先前检验对于建立有效连接不存在阻碍原因，则现在在 步骤108中，操作装置2的保险开关元件38、 39、 70的当前操作状 态或开关状态被采集并被传输到安全的数据传输对方台9。然后，根据本发明，在步骤109中，将各自确定的开关状态与对 应存储的状态进行比较，其中该对应存储的状态在该时间点还被安全 的数据传输对方台9馈入安全回路16中。如果在该对比中确定存在 偏差，则首先停止有效连接的建立，并且在步骤107中向操作人员通 知存在这样的偏差。然后向使用者请求将保险开关元件38、 39、 70 的操作状态或指令状态手动地调整到所存储的状态。开关状态的询问 和比较被周期性地继续发生，直到在比较中确定所有相关的保险开关 元件的开关状态与相应的存储的开关状态一致，或者登陆过程由于其 他原因被中断。在相关保险开关元件38、 39、 70的开关状态与所存储的状态一 致之后，在步骤IIO中请求使用者通过有意识的操作处理来确认有效 连接的建立。于是在步骤.lll中等待该操作处理。在过程中不必一定 要设置这样的确认。但是，其相对于执行对机器的指令权的步骤为使用者清楚地标识和区分检验用于建立连接的所有条件的步骤。在步骤lll中操作人员确认之后，在步骤112中开始顺序地将保 险开关元件38、 39、 70的当前开关状态接收到安全回路16中以及安 全的安全传输终端9的相对应存储器内。同时或紧接之后，剩下的控 制命令被操作装置2释放或顺序转发到功能控制器10。由此，安全技术且数据技术地完全建立移动操作装置2与可控技 术设备之间的有效连接。从而注册过程成功结束(步骤115， 116)。对于本领域技术人员而言，在执行根据图4的方法时各个组件、 尤其是移动操作装置2与安全的数据传输对方台9以何种方式协同工 作以及可以在那里执行相应的功能、询问和输出或者其在考虑整个系 统结构的情况下优选应该在那里实现是显而易见的。图5a至5d示例性地示出了一个系统，具有可控技术设备的主要 部件、具有根据本发明的安全的数据传输对方台9和用于发送控制命 令的移动操作装置2的临时数据技术耦接，所述移动操作装置配备有 至少一个应急开关38形式的保险开关元件。此外，示意性地显示了 组件之间的信号连接和数据连接。其中，图5a至5d示出了在建立移动操作装置2与控制器10或 受控机器11之间的临时信号或数据技术有效连接时的不同阶段。各 个阶段中活动的、即与操作装置2耦接的信号和数据路径在图中被相 应突出地示出。安全的数据传输对方台9被永久地接入安全回路16 中，如固定安装在设备上的应急开关或事故开关15那样。由数据传 输对方台9耦接入安全回路16中的应急指令状态被示意性地表示为 虛线表示的应急开关或事故开关52作为数据传输对方台9的集成部 分。安全回路16被引导至功能控制器10,并且还被引导至机器ll， 或者在实践中大多被引导至机器11的驱动器、换流器或者一般至能 量转换器。由此，机器11被直接耦入的应急命令，通过固定安装的 应急或事故开关15或者通过安全的数据传输对方台9的接口 52而被 可靠地变换到安全的停止状态。为了耦接操作装置2，显示两个可选 应用的连接点3。可以设置其他的这样的点或这样的点的整个网络22，其中于是也可以为不同的机器11或不同的设备部件设置多个安全的数据传输对方台9。在这样的网络22中，通常通过逻辑地址的分配和 连接而将连接点3分配给安全的数据传输对方台9。安全的数据传输 对方台9与功能控制器10之间的数据连接19用于非安全相关的数据 的传输，例如用于显示的一般控制命令和操作数据。这里，与其他机 器的其他控制器、设备部件、与控制台、中央服务器等的联网20也 是可能的和常见的。虽然没有明确示出，但是多个数据传输对方台9 连接入单个安全回路16在原则上同样也是可能的，并且例如在大型 加工设备的多个单独独立的可控或可操作部件属于一个公共安全回 路并且在危险情况下应该共同被停机时是有意义的。图5a还显示了在真正建立操作装置2与可控装置之间的信号或 数据连接之前的阶段A。其中，操作装置2还没有被与所设置的连接 点3连接，并且相应地也还没有可控技术设备的任何部分可不被操作 装置2数据技术的影响。此时，移动操作装置2可以被关闭，或者在 存在集成的自主储能器的情况下也可以已经被开启。尤其地，使用者 也可以已经通过输入使用者标识和密码而被标识为授权的使用者。在 图5a中，操作装置2的应急或事故开关38被显示为已操作，并且通 过填充显示的操作元件来标示。固定安装的应急或事故开关15以及 由数据传输对方台9馈入安全回路16中的信号状态分别对当于未操 作的应急状态，从而设备是可运行的。图5b显示了阶段B，其中通过连接点3已经存在移动操作装置 2与安全的数据传输对方台9之间的数据或信号连接。在此阶段中， 数据传输对方台9检验是否可能建立连接而不与事先存在的到另 一操 作装置的连接冲突，访问是否事先已经被锁闭，或者使用者是否具有 足够的授权来建立连接。作为根据本发明的重要的方法步骤，还比较 操作装置2上应急开关38的操作状态或开关状态与数据传输对方台9 迄今已经报告或通过接口 52馈入的应急信号状态。在所示的示例中， 这些状态是不同的。因此，应急开关38的开关状态首先还没有被数 据传输对方台9转发到安全回路16。优选通过操作装置2上的输出装置，非正式地提示或请求操作者手动地调整保险开关元件38的开关 状态。一旦在数据传输对方台9中确定应急开关38的操作或开关状态 与至今在接口 52上耦入的状态一致，具有所有后续改变的应急开关 38的状态就在阶段C中直接通过接口 52被耦入安全回路16中，即 建立操作装置2的保险开关元件38与安全回路16之间的有效连接。对应于图5d中的显示，紧接之后或还同时到功能控制器10的数 据通信被释放，或控制命令被从操作装置2释放到控制器10，并且因 此完全建立了有效连接。移动操作装置2现在完全有效地与安全回路 16和功能控制器IO相连接。附图标记列表l使用者，操作人员2移动操作装置，手动操作装置3无线电对方台或连接点6有效数据的无线连接或连接电缆9安全的数据传输对方台10控制器，功能控制器11机器，机器人，机械手12工件13传输装置14安全区15固定布线的应急保险开关元件16固定布线的安全回路17传输方向工件18控制和传感器信号19控制数据线20控制数据网21无线电/连接点数据线 22无线电/连接点数据网 23有效数据无线电接口，无线电模块 25电压供应，储能器 26输出装置，显示器 27输入装置，触摸屏 28输入装置，键，电键盘，开关元件 29输入装置，操纵杆 30输入装置，手轮，电位计31用于可选的扩展模块的接口或者可选的数据接口32可选的数据连接33处理器，CPU，采集电路34第一处理器或釆集电路35第二处理器或釆集电路36工作存储器37片上工作存储器38应急或事故开关，多回路保险开关元件39确认键，多回路保险开关元件40数据线41数据线42数据线43数据线，外围设备总线44信号线45非易失性存储器46到无线电对方台的数据接口47到控制器的数据接口48第三处理器或监视电路49第四处理器或监视电路51片上工作存储器52应急接口53确认键接口54应急安全回路55确认键安全回路56数据连接57数据连接58数据连接60工业加工i殳备，可控4支术设备，i殳备65服务器，计算设备66加工区67阻隔装置70操作方式选择开关71操作方式选择接口72操作方式选择安全回路100安全连接建立方法的开始101使用者在移动操作装置的注册102建立从移动操作装置到拨入点的数据技术或信号技术连接 103选择机器或设备部件104检验所选的机器是否已经维持与另 一操作装置的数据连接105检验对机器功能的访问是否被另 一使用者锁闭106通知使用者连接建立失败的原因107请求使用者对保险开关元件的控制状态同步108采集保险开关元件的当前操作状态109检验当前操作状态是否与所存储的状态一致IIO请求使用者允许连接建立的完成lll等待使用者的允许确认112允许保险开关元件传输到安全回路113允许操作装置和控制器之间的控制功能和数据传输114连接建立失败的结果 115连接建立成功的结果 116安全连接建立方法结束 117检验结果为"是"或"真，， 118检验结果为"否"或"错"
权利要求
1.一种用于在中间连接安全的数据传输对方台(9)的情况下在移动操作装置(2)与可控技术设备(60)之间建立临时数据技术和/或信号技术有效连接的方法，其中移动操作装置(2)包括至少一个具有不止一个稳定开关状态或指令状态的保险开关元件(38，39，70)，尤其是应急开关(38)、停止或事故开关或操作方式选择开关(70)形式的保险开关元件，所述保险开关元件(38，39，70)在有效连接完全建立时被功能性地耦接入可控技术设备(60)的安全回路(16)，其中数据传输对方台(9)永久地被数据技术和/或信号技术地接入可控技术设备(60)的安全回路(16)，并且其中可以借助于适当的接口(52，53，71)和开关元件将保险开关元件(38，39，70)的至少两种不同开关状态功能等同地馈入安全回路(16)中，其特征在于，当在移动操作装置(2)和数据传输对方台(9)之间建立数据和/或信号技术有效连接之后且在将保险开关元件(38，39，70)功能地耦接入安全回路(16)之前，比较操作装置(2)的保险开关元件(38，39，70)的当前开关状态或指令状态与数据传输对方台(9)的当前馈入安全回路(16)的开关状态或指令状态。
2. 根据权利要求1所述的方法，其特征在于，在确定在保险开 关元件(38， 39， 70)的当前开关或指令状态与数据传输对方台(9) 当前馈入安全回路(16)中的开关或指令状态存在偏差时，向移动操 作装置(2)的操作人员(1)提供关于该偏差的通知。
3. 根据权利要求1或2所述的方法，其特征在于，向操作人员 (1)请求为操作装置(2)上的保险开关元件(38， 39， 70)建立特 定指令或开关状态。
4. 根据权利要求1至3之一所述的方法，其特征在于，向操作人员(1)请求通过特定的有意识的操作处理而将保险开关元件(38， 39， 70)有意地功能性地耦接入安全回路(16)。
5.根据权利要求l至4之一所述的方法，其特征在于，在记录 了操作人员(1)的有意识操作处理之后才将保险开关元件(38， 39， 70)功能性地耦接入安全回路(16)中，并且然后才借助于保险开关 元件(38， 39， 70)的实际开关状态或指令状态对数据传输对方台(9) 馈入安全回路(16)的信号进行进一步的连续跟踪。
6，根据权利要求5所述的方法，其特征在于，有意识的操作处 理是移动操作装置(2)的保险开关元件(38， 39， 70)的操作。
7. 根据权利要求6所述的方法，其特征在于，有意识的搮作处 理在于，将保险开关元件(38， 39， 70)的指令状态从第一指令状态 变换到第二指令状态，其中第一指令状态与安全回路(16)的耦入的 指令状态不同，第二指令状态与安全回路(16)的耦入的指令状态一 致。
8. 根据权利要求1至7之一所述的方法，其特征在于，在记录 了操作装置(2)的保险开关元件(38， 39， 70)的指令状态与由数 据传输对方台(9)馈入安全回路(16)的指令状态一致之后，才执 行保险开关元件(38， 39， 70)的功能性耦入，并且然后才借助于保 险开关元件(38， 39， 70)的实际指令状态而对由数据传输对方台(9) 馈入安全回路(16)的信号进行进一步的连续跟踪。
9，根据权利要求1至8之一所述的方法，其特征在于，检查是 否锁闭可控技术设备(60)或由数据传输对方台(9)馈入安全回路 (16)的指令状态，以防止被未被授权人员改变。
10. 根据权利要求9所述的方法，其特征在于，只有在不存在锁 闭的情况下，才执行保险开关元件(38， 39， 70)的功能性耦入，并 且然后才借助于保险开关元件(38， 39， 70)的实际指令状态而对由 数据传输对方台(9)馈入安全回路(16)的信号进行进一步的连续 跟踪。
11. 根据权利要求9或10所述的方法，其特征在于，在存在防 止未被授权的改变的锁闭的情况下，向移动操作装置(2)的使用者 提供具有关于该锁闭的信息的通知，所述信息尤其包括关于导致所述 锁闭的人员、导致时间点、预计持续时间或锁闭原因的信息。
12. 根据权利要求9至11之一所述的方法，其特征在于，只在 输入使用者标识和/或密码并成功验证的情况下，才取消锁闭。
13. 根据权利要求1至12之一所述的方法，其特征在于，只有 当保险开关元件(38, 39， 70)被功能性地完全耦接入安全回路(16) 时，操作装置(2)的控制命令才被完全允许或被转发到可控技术设 备(60)的功能控制器(10)。
14. 根据权利要求1至13之一所述的方法，其特征在于，在将 保险开关元件(38， 39, 70 )耦接入安全回路(16 )之前和/或在将操 作装置(2)的任何数据和/或控制命令转接到可控技术设备(60)的 功能控制器(10)之前，检查由于连接建立是否产生与已经事先有效 连接的另一操作装置(2)的无意的潜在的安全关键的竟争状态，并 且在这样的情况下阻止完全建立与其他操作装置(2)的有效连接。
15. —种用于在中间连接安全的数据传输对方台(9)的情况下 断开移动操作装置(2)与可控技术设备(60)之间的临时数据技术 和/或信号技术有效连接的方法，其中移动操作装置(2)包括至少一个具有不止一个稳定的开关状态或指令状态的保险开关元件(38， 39， 70)，尤其是应急开关(38)、停止开关或事故开关或者操作方式选 择开关(70)形式的保险开关元件，所述保险开关元件(38， 39， 70) 在有效连接完全建立时被功能性地耦接入可控技术设备(60)的安全 回路(16)，并且数据传输对方台(9)永久地被数据技术和/或信号 技术地接入可控技术设备(60)的安全回路(16)中，并且可以借助 于适当的接口 (52， 53， 71)和开关元件将保险开关元件(38， 39， 70)的指令状态功能等同地馈入安全回路(16)中，其特征在于，在 断开有效连接之前被最后有效采集的保险开关元件(38, 39, 70)的 指令状态被存储，并且在有效连接断开之后继续被数据传输对方台 (9)功能等同地馈入安全回路(16)中。
16. 根据权利要求15所述的方法，其特征在于，除了最后有效 釆集的保险开关元件(38， 39, 70)的指令状态之外，还采集并存储 最后有效连接的操作装置(2)的使用者的标识，并且在可能的情况 下还采集并存储其他信息，尤其是关于指令状态的最后一次改变的时 间点或有效连接断开的时间点。
17. 根据权利要求15或16所述的方法，其特征在于，在断开有 效连接时，操作装置(2)的使用者给定存储在数据传输对方台(9) 中的指令状态是否应该被锁闭以防止未授权的改变。
18. 根据权利要求17所述的方法，其特征在于，与锁闭操作状 态或指令状态的说明或指示一起，使用者还给出使用者标识和/或密 码。
19. 一种在中间连接安全的数据传输对方台(9)的情况下操作 移动操作装置(2)与可控技术设备(60)之间的临时的数据技术和/ 或信号技术有效连接的方法，其中移动操作装置(2)包括至少一个具有不止一个稳定的指令状态的保险开关元件(38， 39， 70)，尤其 是应急开关(38)、停止开关或事故开关或者操作方式选择开关(70) 形式的保险开关元件，所述保险开关元件(38， 39， 70)在有效连接 完全建立时被功能性地耦接入可控技术设备(60)的安全回路(16) 中，其中数据传输对方台(9 )永久地被数据技术和/或信号技术地接 入可控技术设备(60)的安全回路(16)中，并且所述数据传输对方 台可以借助于适当的接口 (52， 53， 71)和开关元件将保险开关元件 (38， 39， 70)的指令状态功能等同地馈入安全回路(16)中，其中 在有效连接存在期间，保险开关元件(38， 39， 70)的指令状态被周 期性地确定并且在操作装置(2 )和数据传输对方台(9 )之间被传输， 其特征在于，由数据传输对方台(9)持续地检验有效连接的完整性， 并且在无法预料的或无意的有效连接中断时，直接最后被有效釆集的 保险开关元件(38， 39， 70)的指令状态被存储，并且在连接中断以 后还由数据传输对方台(9)功能等同地馈入安全回路(16)中。
20. 根据权利要求19所述的方法，其特征在于，在无法预料的 或无意的有效连接中断后，并且在随后在确定的短时间间隔内重新建 立该有效连接时，被紧跟地有效釆集的保险开关元件(38， 39， 70) 的指令状态被立即耦接入安全回路(16)中，而无需操作人员(1) 进行与重新建立相关的特殊操作处理。
21. 根据权利要求19或20所述的方法，其特征在于，在操作装 置(2)的保险开关元件(38， 39， 70)、尤其是操作方式选择开关70)形式的保险开关元件的指令状态变化时，首先检验对于改变后 的状态是否存在选择性的锁闭，并且只有在不存在这样的选择性的锁 闭的情况下才将改变后的状态耦接入安全回路(16)中。
22. 根据权利要求21所述的方法，其特征在于，根据事先输入 的使用者标识、密码输入或根据类似的鉴权证明进行选择性锁闭的取消。
23. —种具有至少一个第一接口以及至少一个第二接口 (52, 53, 71)的安全的数据传输对方台(9)，其中所述第一接口用于临时建 立与移动操作装置(2)的数据技术和/或信号技术的有效连接，所述 第二接口用于永久地将数据传输对方台(9)数据技术和/或信号技术地连接到可控技术设备(60 )的安全回路(16 )中，所述操作装置(2 ) 包括至少一个保险开关元件(38， 39， 70)，其特征在于，数据传输 对方台(9)具有存储装置(45， 50， 51)，其中有效连接的操作装 置(2)的所述至少一个保险开关元件(38， 39, 70)的最后有效采 集的指令状态在有效连接中断之后也被存储在所述存储装置中。
24. 根据权利要求23所述的安全的数据传输对方台，其特征在 于，所述存储装置被构造用于非易失性地存储保险开关元件(38， 39， 70)的指令状态。
25. 根据权利要求23或24所述的安全的数据传输对方台，其特 征在于，所述至少一个第二接口 (52， 53， 71)被构造用于功能等同 地耦入所存储的所述至少一个保险开关元件(38， 39， 70)的指令状 态。
26. 根据权利要求23至25之一所述的安全的数据传输对方台， 其特征在于，所述至少一个第 一接口被构造用于在中间连接通信网络(21)的情况下建立与至少一个移动操作装置(2)的信号技术和/数 据技术的有效连接，其中多个通信用户、尤其是多个移动操作装置(2 ) 和/或多个安全的数据传输对方台(9)耦接到所述通信网络。
27. 根据权利要求23至26之一所述的安全的数据传输对方台， 其特征在于，所述至少一个第一接口被设置用于建立与操作装置(2)的有线临时数据连接。
28. 根据权利要求27所述的安全的数据传输对方台，其特征在 于，所述至少一个第一接口被构造为能够热插拔，并且可以在操作装 置(2)被接通和/或数据传输对方台(9)被接通时在连续工作中建立 和/或断开与移动操作装置(2)的传导连接，而不产生临时或永久的 功能损害。
29. 根据权利要求27或28所述的安全的数据传输对方台，其特 征在于，通过所述至少一个第一接口还为连接的移动操作装置(2) 提供电源。
30. 根据权利要求23至25之一所述的安全的数据传输对方台， 其特征在于，所述至少一个第一接口被构造用于建立无线的临时数据 连接，尤其是无线电连接或红外连接。
31. 根据权利要求23至30之一所述的安全的数据传输对方台， 其特征在于，所述至少一个第 一接口被构造用于在中间连接连接终端(3)或发送和接收设备(3)的情况下建立与移动操作装置(2)的 有效连接。
32. 根据权利要求31所述的安全的数据传输对方台，其特征在 于，所述至少一个第一接口被构造用于连接多个连接终端(3)或发 送和接收设备(3)，所述多个连接终端或发送和接收设备使得可以 从多个不同位置出发在移动操作装置(2)和数据传输对方台(9)之 间建立有效连接。
33. 根据权利要求23至32之一所述的安全的数据传输对方台， 其特征在于，设置数字数据处理装置(48, 49)，尤其是处理器或可编程逻辑组件形式的数字数据处理装置，所述数字数据处理装置控制通过接口 (21, 47， 52， 52， 71)的信号和数据流，并且执行对比和 检验。
34. 根据权利要求33所述的安全的数据传输对方台，其特征在 于，数字数据处理装置(48， 49)被构造为独立多回路的，尤其是双 回路的。
35. 根据权利要求34所述的安全的数据传输对方台，其特征在 于，所述数字数据处理装置(48， 49)被差异地实现。
36. 根据权利要求23至35之一所述的安全的数据传输对方台， 其特征在于，至少一个第三接口 ( 47 )被构造用于永久地数据技术连 接到可控技术设备(60)的功能控制器(10)，并且数据传输对方台(9 )作为网关在临时有效连接的操作装置(2 )和可控技术设备(60 ) 的功能控制器(10)之间传输非安全关键的指令状态、数据和控制命 令。
37. 根据权利要求36所述的安全的数据传输对方台，其特征在 于，被构造用于为在操作装置(2)和功能控制器(10)之间传输的 数据转换物理数据格式或逻辑数据格式，并且在可能的情况下还被设 置用于中间存储数据。
38. 根据权利要求23至37之一所述的安全的数据传输对方台， 其特征在于，构造用于确定当前时间的装置。
39. 根据权利要求23至38之一所述的安全的数据传输对方台， 其特征在于，数据传输对方台(9)与可控技术设备(60)的功能控 制器(10)在构造上被组合或数据传输对方台(9)被集成入可控技术设备(60)的功能控制器(10)中。
40.根据权利要求23至39之一或者多个所述的安全的数据传输 对方台，其特征在于，数据传输对方台(9)与连接终端或发送和接 收设备在构造上被组合。
全文摘要
本发明涉及移动操作装置(2)与可控技术设备的功能控制器(10)之间临时的数据技术和/或信号技术有效连接的可靠建立和断开的方法以及适用于所述方法的装置，其中移动操作装置(2)包括至少一个相对于安全回路(16)可控技术设备的功能控制器(10)的特殊构造保险开关元件(38)。所述方法和装置确保在临时有效连接的建立和断开过程中将保险开关元件(38)与安全回路(16)功能上连接和断开，并且在此过程中确保操作人员不会无意导致安全回路信号状态和可控技术设备的操作状态出现变化。此外，本发明还涉及具有数据传输对方台(9)的中间回路的移动操作装置和可控技术设备之间临时数据有效连接和/或信号有效连接的操作方法。
文档编号B25J9/16GK101253455SQ200680032145
公开日2008年8月27日 申请日期2006年6月30日 优先权日2005年7月4日
发明者M·辛宁格 申请人:Keba股份公司