EP4055409A1 - Method and device for determining a definite distance - Google Patents

Method and device for determining a definite distance

Info

Publication number
EP4055409A1
EP4055409A1 EP20824141.4A EP20824141A EP4055409A1 EP 4055409 A1 EP4055409 A1 EP 4055409A1 EP 20824141 A EP20824141 A EP 20824141A EP 4055409 A1 EP4055409 A1 EP 4055409A1
Authority
EP
European Patent Office
Prior art keywords
tag
transponder
resp
poll
safe
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP20824141.4A
Other languages
German (de)
French (fr)
Inventor
Reinhard Hladik
Lennart Kilian
Joachim Wahrbichler
Corina Kim SCHINDHELM
Ulrike GLÄNZER
Guido Schröer
Stefan Schwarzer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of EP4055409A1 publication Critical patent/EP4055409A1/en
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S11/00Systems for determining distance or velocity not using reflection or reradiation
    • G01S11/02Systems for determining distance or velocity not using reflection or reradiation using radio waves
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F16ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
    • F16PSAFETY DEVICES IN GENERAL; SAFETY DEVICES FOR PRESSES
    • F16P3/00Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body
    • F16P3/12Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body with means, e.g. feelers, which in case of the presence of a body part of a person in or near the danger zone influence the control or operation of the machine
    • F16P3/14Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body with means, e.g. feelers, which in case of the presence of a body part of a person in or near the danger zone influence the control or operation of the machine the means being photocells or other devices sensitive without mechanical contact
    • F16P3/147Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body with means, e.g. feelers, which in case of the presence of a body part of a person in or near the danger zone influence the control or operation of the machine the means being photocells or other devices sensitive without mechanical contact using electro-magnetic technology, e.g. tags or radar
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S13/00Systems using the reflection or reradiation of radio waves, e.g. radar systems; Analogous systems using reflection or reradiation of waves whose nature or wavelength is irrelevant or unspecified
    • G01S13/74Systems using reradiation of radio waves, e.g. secondary radar systems; Analogous systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • G06F21/645Protecting data integrity, e.g. using checksums, certificates or signatures using a third party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/104Location integrity, e.g. secure geotagging
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/029Location-based management or tracking services
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S13/00Systems using the reflection or reradiation of radio waves, e.g. radar systems; Analogous systems using reflection or reradiation of waves whose nature or wavelength is irrelevant or unspecified
    • G01S13/87Combinations of radar systems, e.g. primary radar and secondary radar
    • G01S13/876Combination of several spaced transponders or reflectors of known location for determining the position of a receiver
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/004Arrangements for detecting or preventing errors in the information received by using forward error control
    • H04L1/0056Systems characterized by the type of code used
    • H04L1/0061Error detection codes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/33Security of mobile devices; Security of mobile applications using wearable devices, e.g. using a smartwatch or smart-glasses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/023Services making use of location information using mutual or relative location information between multiple location based services [LBS] targets or of distance thresholds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/90Services for handling of emergency or hazardous situations, e.g. earthquake and tsunami warning systems [ETWS]

Definitions

  • the invention relates to a method and a device for determining a safe distance according to the two-way distance method between a wirelessly communicating object transponder and at least one anchor gateway, each of which has means for recording time stamps.
  • protective fences are often used for personal protection, for example to protect operating personnel or moving objects from a moving assembly robot arm that is in operation.
  • a virtual protective fence for dangerous production machines can be implemented with a laser distance measurement or visual recognition with cameras, which, however, is usually very complex, inflexible and expensive.
  • the localization of a wirelessly communicating object transponder that is, the calculation of an absolute position in space (2D or 3D) by a radio-based localization system with standard components, is, however, considered unsafe in the state of the art.
  • the calculated position can be falsified by hardware and / or software errors in the components used or by physical effects that can be caused, for example, by the radio channel.
  • Such effects can be caused by radio channels that are not based on a direct line of sight.
  • Signal reflections can lead to multipath propagation and subsequently to multiple reception of the same transmission signal, but with different transit times.
  • the time-of-flight measurement can be improved by the well-known TWR method (English “Two Way Ranging”).
  • the two-way distance method determines the signal propagation time (flight time) of the UWB HF signal and then calculates the distance between the nodes by multiplying the time with the speed of light.
  • the TWR process is used between a transponder and a requested anchor (also known as anchor gateway or anchor transponder), only one anchor should be involved in the TWR at a given time be.
  • An anchor is understood to be a stationary radio unit with a known position.
  • the publication US 2009/310585 A1 describes a method for determining a protection zone around a wirelessly communicating transceiver, which is based on the known TOA method.
  • the document US 2014/038637 A1 shows a method for determining a protection zone around a wirelessly communicating transceiver.
  • the position data determined by the transceiver cannot be used for security-relevant systems, since the conventional computing device used does not meet the high requirements for data security.
  • this method can only detect errors in the transmission of time stamps and a safe position is not determined in a fail-safe manner suitable for safety applications.
  • the object of the invention is to provide a method and a device for determining a fail-safe distance between a wirelessly communicating object transponder and an anchor gateway with a high availability of the system at the same time.
  • the wirelessly communicating object transponder can be carried by one person, that is to say the operating personnel, for example.
  • an object such as an autonomously driving vehicle, can also be equipped with an object transponder in order to protect this vehicle from a collision, for example.
  • the protection zone is a virtual zone which can be used to ensure that a Protective mechanism is activated, for example by immediately stopping the intervening object such as a robot arm.
  • the protection radius of the protection zone describes the minimum radius in which the transponder is definitely located, that is, it is reliably not located outside.
  • a failsafe arithmetic unit (F-CPU) as a safety-certified component carries out the same arithmetic operations using two independent arithmetic devices, compares their results with one another and, if they match, provides a result that is considered safe.
  • a fail-safe computing unit can execute safety-relevant and non-safety-relevant application programs and is certified up to SIL3 according to IEC 61508 and Cat4 PLd according to ISO 13849-1.
  • IEC 61508 is an international series of standards for the development of electrical, electronic and programmable electronic systems that perform a safety function. It is published by the International Electrotechnical Commission (IEC) and bears the title Functional Safety of Safety-Related Electrical / Electronic / Programmable Electronic Systems.
  • the EN ISO 13849 standard is a safety-specific standard that deals with design principles for safety-related parts of control systems.
  • the object according to the invention is achieved by a method of the type mentioned at the beginning, the following steps being carried out: a) Acquisition of transmission and reception time stamps for a respective communication message on the part of the transponder and the one anchor gateway, b) Transmission of the respective time stamp from the transponder and the one anchor gateway with at least one respective time stamp control information to a fail-safe computing device, the time stamp
  • Control information is preferably parity information c) performing at least one check by the fail-safe computing device selected from: cl) checking the correctness of the respective time stamp using the at least one time stamp control information, c2) checking the calculated duration for the processing times of the transponder and that of the one anchor gateway on the basis of known empirical values, d) determination of the safe distance with the aid of the checked time stamps by the fail-safe computing device.
  • time stamp errors are only caused by the transponder or, alternatively, only by the one anchor gateway.
  • an indicator value for a safe distance measurement is determined by means of the following relationship by means of the fail-safe computing device, which is a measure of the reliability of the calculated safe distance: in which
  • T Round1 2 * T0F 1 + T GW_ REPLY
  • T Round2 2 ⁇ TOF 2 + T TAG _ REPLY
  • T GW_ REPLY TS GW_XT_RESP - TS GW_RX_ POLL
  • T TAG-REPLY TS TA GT X_F_ INAL - TS TA GX R_E_ SPR and T0F 1 or T0F 2 is the respective signal transit time between the transponder and one of the at least two anchor gateways.
  • the wireless communication between the object transponder and the one anchor gateway for a localization query, a query, a response and an end message is sent and received.
  • the method can be based on a simple and known method for two-way measurement.
  • a process number is generated by the fail-safe computing device, which is transmitted with the response message.
  • the process number is a random number.
  • the time stamp control information is parity information.
  • a communication address of the object transponder or of the at least one anchor gateway is taken into account when calculating the control information.
  • safe distances are determined at a first and a second point in time, from which a movement speed of the transponder is determined, and the movement speed is compared with a predefined limit value.
  • the object of the invention is also achieved by a device of the type mentioned at the beginning which is set up to carry out the steps of the method according to the invention.
  • Fig. 1 shows an embodiment for a warning
  • Fig. 2 shows an example of a flow diagram according to the invention for the reliable determination of the distance
  • Fig. 1 shows an exemplary embodiment for a warning and protection system.
  • a respective query signal P1-P3 is emitted into a radio channel, which sends a query message MP (English "Poll") includes.
  • the respective query signal P1-P3 is received by the respective gateway G1-G3 from the radio channel, further processed and re-emitted as the respective response signal R1-R3, which comprises a respective response message MR (English “response”).
  • the response signals R1-R3 are received by the object transponder T, processed further and emitted as the respective end signal F1-F3 back into the radio channel, which comprises the respective response message MF (English "final”).
  • the end signals F1-F3 are received by the respective gateway G1-G3 and transferred to a fail-safe computing device F-CPU, which determines the protection radius r P of a protection zone S.
  • a hazard system is in operation, for example in the form of a production plant, and a robot arm R of the production plant intervenes in the protection zone S, a termination process for its operation is triggered for the robot arm, whereby the robot arm comes to a standstill immediately.
  • the intervention in the protection zone S can take place, for example, in that the person P approaches the robot arm R without permission, and personal protection is no longer reliably guaranteed.
  • a method for determining a safe distance d TWR according to the TWR principle between a wirelessly communicating object transponder T and at least one anchor gateway G1-G3, which each have means for recording time stamps, is described below with the aid of a Described embodiment of the invention.
  • the following steps are carried out: a) Acquisition of send and receive time stamps TSTAG_TX_POLL, TS GW_RX_POLL, TS GW_TX_RESP, TS TAG_RX_RESP, TS TAG_TX_FINAL, TS GW_RX_FINAL for a respective communication message from the transponder T and gateway G1- G3, b) Transmission of the respective time stamps TS TAG_TX_POLL , TS GW_RX_POLL, TS GW_TX_RESP, TS TAG_RX_RESP, TS TAG_TX_FINAL, TS GW_RX_FINAL from the transponder T and the at least one anchor control gateway G1-G3 with at least one respective time stamp CRC2 CRC1 , for example parity information, to a fail-safe computing device F-CPU, c) performing at least one check by the fail-safe computing device (F-CPU) selected
  • a query, an answer Word and an end message MP, MR, MF are sent and received.
  • a process number RNR can be generated by the fail-safe computing device F-CPU, which is transmitted with the response message MR.
  • the transaction number RNR is, for example, a random number.
  • a safe distance is a distance that is determined without systemic errors when measuring the transit time. Undesired influences, for example due to a fluctuating or inaccurate time base, which can occur when measuring the transit time of signals, are systematically excluded by a corresponding “safe” calculation.
  • the position of the object transponder T (also called “tag”) in a three-dimensional space is to be determined according to the further explanations, with the anchor or gateway transponders G1, G2, G3 being used with a known position.
  • the query message MP is sent at the transponder T or day at a time with a time stamp TS TAG_TX_POLL and received at the respective anchor gateway G1-G3 at a time with a time stamp TS GW_RX_POLL .
  • the transmission of the query message MP in the radio channel between the transponder T and the respective gateway of the three gate ways G1-G3 needs a duration T0F 1 (English "time-of-flight").
  • the query message MP is processed by the anchor gateway within a time span T GW_REPLY and a corresponding response message MR is sent from the anchor gateway to the transponder T at a point in time with a time stamp TS GW_TX_RESP and received on the day at a point in time with a time stamp TS TAG_RX_RESP .
  • the time span T GW_REPLY is determined by the clock rate of the gateway component T GW_CLK and is known within certain known limits.
  • T GW_REPLY TS GW_TX_RESP - TS GW_RX_POLL
  • T Round1 denotes the signal propagation time between the time stamp TSTAG_TX_POLL and the time stamp TSTAG_RX_RESP.
  • TRound1 TS TAG_RX_RESP - TS TAG_TX_POLL
  • T0F 1 T0F 2 .
  • the response message MR is processed by the tag within a time span T TAG_REPLY and a corresponding final message MF is sent from the anchor gateway to the transponder T at a time with a time stamp TS TAG_TX_FINAL .
  • the time span T TAG_REPLY is determined by the clock cycle of the gateway component T TAG_CLK and is known within certain known limits.
  • the anchor gateway receives the end message MF at a time with a time stamp TS GW_RX_FINAL .
  • T Round2 denotes the signal propagation time between the time stamp TS GW_TX_RESP and the time stamp TSGW_RX_FINAL.
  • T Round2 TSGW_RX_FINAL - TSGW_TX_RESP
  • T TAG_REPLY TS TAG_TX_FINAL - TS TAG_RX_RESP
  • the time stamps are recorded by a tag counter CT in the object transponder or a gateway counter CG in the anchor transponder.
  • the computing device F-CPU can now recognize a first error if the time stamps of the transponder and the gateway required for the distance calculation are falsified. It is assumed here that only errors on the part of the transponder T or, alternatively, only errors on the part of one of the gateways G1-G3 occur at the same time, and not errors on the part of the transponder and a gateway at the same time.
  • a systemic error is understood to be an error that has an unfavorable influence on the generation or recording of time stamps, for example an undesirably different time base in an electronic component, which can be caused by changing temperature, aging, component tolerances or the like.
  • Such an error can occur between individual components occur in a system, such as the transponder T and a gateway G1-G3, in that a local time base changes unevenly in the form of a clock generation for a digital electronic circuit.
  • Time stamps or a drift of a respective timer cycle in a component such as the transponder T1 or the gateways G1-G3 are independent of one another.
  • an error only affects its own timestamp and not that of the other components.
  • safe_twr_value_limit 825 ps
  • a clock drift for the transponder is limited to ⁇ 200 ppm.
  • the figure also shows a program P_T of the transponder T with method steps PT1-PT3 for the transponder T as part of the flow chart.
  • a program P_G of a respective gateway G1-G3 with process steps PG1-PG3 for the respective gateway G1-G3 can be recognized, as well as a program P_F of the fail-safe computational Ending device F-CPU with method steps PF1-PF4 for the computing device F-CPU.
  • step PT1 the query message MP is initiated by the transponder T and sent.
  • the respective gateway receives the query message MP in step PG1 and determines the sending time for the response message MR.
  • step PF1 a random number RNR is generated by the fail-safe computing device F-CPU and sent to the respective gateway.
  • the gateway sends a response message MR in step PG2 to the transponder T, which contains the random number RNR.
  • the response message MR is received by the transponder T in step PT2 and the transmission time for the end message MF is calculated.
  • the transponder T determines a first checksum CRC1 from the time stamps and the address of the transponder T and the random number and sends an end message MF from the transponder T to the gateway, which contains the first checksum CRC1.
  • step PG3 the gateway receives the end message MF and determines a second checksum CRC2 from the time stamps and the address of the gateway and the first checksum CRC1 and transmits the time stamps and the address of the gateway and the transponder T, as well as the second checksum CRC2 the F-CPU device.
  • step PF2 the device F-CPU calculates a third checksum CRC3 and compares it with the second checksum CRC2.
  • step PF3 the device F-CPU calculates a safe value safe_twr_value for the distance between the gateway and the transponder T using the TWR method and checks the values for plausibility.
  • step PF4 the device F-CPU calculates the safe distance sought on the basis of the preceding relationship with regard to the signal propagation time in the radio channel TOF.
  • Fig. 3 shows an example of a prior art query message MP_TWR for TWR, which includes data elements for a sequence number MPSN, a destination address MPZA, a source address MPQA and a function code MPFC, and for example also as a query Message MP can be used in the method according to the invention.
  • Fig. 4 shows an example of a response message MR_TWR according to the prior art for TWR, which includes data elements for a sequence number MRSN, a destination address MRZA, a source address MRQA and a function code MRFC.
  • Fig. 5 shows an example of the response message MR according to the invention, which includes data elements for a sequence number MRSN, a destination address MRZA, a source address MRQA and a function code MRFC.
  • the function code MRFC can differ from the prior art.
  • the random number RNR is also included.
  • Fig. 6 shows an example of the end message MF according to the prior art for TWR, which includes data elements for a sequence number MFSN, a destination address MFZA, a source address MFQA and a function code MFFC.
  • the function code MFFC can differ from that from the prior art.
  • the end message MF has a data element for a time difference MFRXTX, which denotes the time between the sending of the query message MP and the receipt of the response message MR by the transponder T.
  • the end message MF has a data element for a time difference MFTXRX, which denotes the time between the receipt of the response message MR and the sending of the end message MF by the transponder T.
  • Fig. 7 exemplifies the end of the invention
  • Message MP which includes data elements for a sequence number MPSN, a destination address MPZA, a source address MPQA and a function code MPFC.
  • the function code MFFC can differ from that from the prior art.
  • the end message MP also contains a data element in the form of a time stamp for an interrogation send time MF_PTX, a response receive time MF_RRX, and an end send time MF_FTX.
  • the end message MP has the first checksum CRC1, which is formed using the time stamp of the transponder T and the random number RNR.

Abstract

The invention relates to a method for determining a definite distance between a wireless communication object transponder (T) and at least one anchor gateway (G1-G3), each of which has means for detecting timestamps, using the two-way ranging method. The method is characterized in that the following steps are carried out: a) detecting transmission and reception timestamps for each communication message by means of the transponder (T) and the at least one anchor gateway (G1-G3), b) transmitting each timestamp from the transponder (T) and the at least one anchor gateway (G1-G3) together with at least one piece of respective timestamp monitoring information to a failsafe computing device (F-CPU), c) carrying out at least one test by means of the failsafe computing device (F-CPU) selected from the following: c1) testing the correctness of each timestamp using the at least one piece of timestamp monitoring information, c2) testing the calculated duration for the processing times of the transponder (T) and that of the at least one anchor gateway (G1-G3) using known empirical values, and d) determining the definite distance by means of the failsafe computing device (F-CPU) using the tested timestamps, wherein timestamp errors are caused solely by the transponder (T) or alternatively solely by the anchor gateway (G1-G3) when detecting the timestamps.

Description

Verfahren und Vorrichtung zur Bestimmung einer sicheren Distanz Method and device for determining a safe distance
Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Bestimmung einer sicheren Distanz nach der Zweiwege- Entfernungsmethode zwischen einem drahtlos kommunizierenden Objekt-Transponder und zumindest einem Anker-Gateway, welche jeweils Mittel zur Erfassung von Zeitstempeln aufweisen. The invention relates to a method and a device for determining a safe distance according to the two-way distance method between a wirelessly communicating object transponder and at least one anchor gateway, each of which has means for recording time stamps.
In Produktionssystemen werden häufig Schutzzäune zum Perso- nenschutz eingesetzt, um beispielsweise Bedienungspersonal oder bewegte Objekte vor einem, in Betrieb befindlichen, be- wegten Montage-Roboterarm zu schützen. In production systems, protective fences are often used for personal protection, for example to protect operating personnel or moving objects from a moving assembly robot arm that is in operation.
Schutzzäune benötigen allerdings Platz in der Produktionsan- lage und können den Zugang zu Anlagen erschweren. Damit sind indirekt Produktionskosten verbunden, welche einen wirt- schaftlichen Betrieb eines Produktionssystems unerwünscht be- einträchtigen . Protective fences, however, require space in the production plant and can make access to the plant more difficult. This is indirectly linked to production costs which undesirably impair the economic operation of a production system.
Beispielsweise kann mit einer Laserentfernungsmessung oder visueller Erkennung mit Kameras ein virtueller Schutzzaun für gefährliche Produktionsmaschinen realisiert werden, was je- doch in der Regel sehr aufwändig, unflexibel und teuer ist.For example, a virtual protective fence for dangerous production machines can be implemented with a laser distance measurement or visual recognition with cameras, which, however, is usually very complex, inflexible and expensive.
Die Lokalisierung eines drahtlos kommunizierenden Objekt- Transponders, also die Berechnung einer absoluten Position im Raum (2D oder 3D) durch ein funkbasiertes Lokalisierungssys- tem mit Standardkomponenten gilt im Stand der Technik aller- dings als unsicher. The localization of a wirelessly communicating object transponder, that is, the calculation of an absolute position in space (2D or 3D) by a radio-based localization system with standard components, is, however, considered unsafe in the state of the art.
Die berechnete Position kann durch Hardware- und/oder Soft- ware-Fehler der zum Einsatz kommenden Komponenten oder durch physikalische Effekte, welche beispielsweise durch den Funk- kanal hervorgerufen werden können, verfälscht werden. The calculated position can be falsified by hardware and / or software errors in the components used or by physical effects that can be caused, for example, by the radio channel.
Solche Effekte können durch Funkkanäle, welche auf keiner di- rekten Sichtverbindung basieren, hervorgerufen werden. Durch Signalreflektionen kann es zu Mehrwegausbreitung und in wei- terer Folge zum Mehrfachempfang desselben Sendesignals, je- doch mit unterschiedlichen Laufzeiten kommen. Such effects can be caused by radio channels that are not based on a direct line of sight. By Signal reflections can lead to multipath propagation and subsequently to multiple reception of the same transmission signal, but with different transit times.
Eine Verbesserung der Laufzeitmessung kann durch das bekannte TWR-Verfahren (englisch „Two Way Ranging", Zweiwege- Entfernungsmethode ) erreicht werden. Die Zweiwege- Entfernungsmethode bestimmt die Signallaufzeit (Flugzeit) des UWB-HF-Signals und berechnet dann die Entfernung zwischen den Knoten, indem die Zeit mit der Lichtgeschwindigkeit multipli- ziert wird. Der TWR-Prozess wird zwischen einem Transponder und einem angeforderten Anker (auch als Anker-Gateway oder Anker-Transponder bezeichnet) angewendet, es soll zu einem bestimmten Zeitpunkt nur ein Anker am TWR beteiligt sein.The time-of-flight measurement can be improved by the well-known TWR method (English "Two Way Ranging"). The two-way distance method determines the signal propagation time (flight time) of the UWB HF signal and then calculates the distance between the nodes by multiplying the time with the speed of light. The TWR process is used between a transponder and a requested anchor (also known as anchor gateway or anchor transponder), only one anchor should be involved in the TWR at a given time be.
Unter einem Anker wird eine stationäre Funkeinheit mit be- kannter Position verstanden. An anchor is understood to be a stationary radio unit with a known position.
In der Publikation US 2009/310585 Al ist ein Verfahren zur Bestimmung einer Schutzzone um einen drahtlos kommunizieren- den Transceiver beschrieben, welches auf dem bekannten TOA- Verfahren beruht. The publication US 2009/310585 A1 describes a method for determining a protection zone around a wirelessly communicating transceiver, which is based on the known TOA method.
Die Schrift US 2014/038637 Al zeigt ein Verfahren zur Bestim- mung einer Schutzzone um einen drahtlos kommunizierenden Transceiver . The document US 2014/038637 A1 shows a method for determining a protection zone around a wirelessly communicating transceiver.
Jedoch sind in beiden genannten Verfahren die ermittelten Po- sitionsdaten des Transceivers nicht für sicherheitsrelevante Systeme nutzbar, da die verwendete konventionelle Rechenvor- richtung nicht den hohen Erfordernissen an Datensicherheit genügt. However, in both of the methods mentioned, the position data determined by the transceiver cannot be used for security-relevant systems, since the conventional computing device used does not meet the high requirements for data security.
In der Veröffentlichung "Information technology - Real time locating Systems (RTLS) - Part 62: High rate pulse repetition frequency Ultra Wide Band (UWB) air interface", ISO/IEC 24730-62:2013, IEC, 3, RUE DE VAREMBE, PO BOX 131, CH-1211 GENEVA 20, SWITZERLAND, 26. August 2013 (2013-08-26), Sei- ten 1-57, XP082006036, ist ein Verfahren beschrieben, wobei mindestens eine Anker-Objekt-Distanz zwischen einem drahtlos kommunizierenden Transponder und einem Infrastruktur-Knoten mit bekannter Position nach dem TWR-Prinzip durch eine Dis- tanzmessungsvorrichtung ermittelt wird, welche lediglich die Datenübertragung gegen Fehler sichert. In the publication "Information technology - Real time locating Systems (RTLS) - Part 62: High rate pulse repetition frequency Ultra Wide Band (UWB) air interface", ISO / IEC 24730-62: 2013, IEC, 3, RUE DE VAREMBE, PO BOX 131, CH-1211 GENEVA 20, SWITZERLAND, August 26, 2013 (2013-08-26), page ten 1-57, XP082006036, describes a method whereby at least one anchor-object distance between a wirelessly communicating transponder and an infrastructure node with a known position is determined according to the TWR principle by a distance measuring device which only transmits data protects against errors.
Jedoch können durch dieses Verfahren nur Fehler in der Über- tragung von Zeitstempeln erkannt werden und es wird nicht auf eine für Sicherheitsanwendungen geeignete fehlersichere Weise eine sichere Position bestimmt. However, this method can only detect errors in the transmission of time stamps and a safe position is not determined in a fail-safe manner suitable for safety applications.
Es ist jedoch derzeit kein Ortungsverfahren mithilfe eines Funksystems bekannt, mit welchem sicherheitsrelevante Aufga- ben, wie beispielsweise der Verzicht auf Schutzzäune bei Pro- duktionsanlagen, realisiert werden können, da die Bestimmung insbesondere der Übertragungsparameter eines Funkkanals nicht hinreichend verlässlich ist, um beispielsweise in einem Pro- duktionssystem eingesetzt zu werden und bei einem unerwünsch- ten Eingriff das Produktionssystem abzuschalten und dadurch die Personen- bzw. Objektsicherheit zu gewährleisten. However, there is currently no known locating method using a radio system with which security-related tasks, such as the omission of protective fences in production plants, can be implemented, since the determination of the transmission parameters of a radio channel in particular is not sufficiently reliable to be used, for example, in a To be used in the production system and to switch off the production system in the event of undesired interference, thereby ensuring the safety of people and property.
Es ist Aufgabe der Erfindung ein Verfahren und eine Vorrich- tung zur Bestimmung einer fehlersicheren Distanz zwischen ei- nem drahtlos kommunizierenden Objekt-Transponder und einem Anker-Gateway bei gleichzeitig hoher Verfügbarkeit des Sys- tems bereitzustellen. The object of the invention is to provide a method and a device for determining a fail-safe distance between a wirelessly communicating object transponder and an anchor gateway with a high availability of the system at the same time.
Dabei kann der drahtlos kommunizierende Objekt-Transponder beispielsweise von einer Person, das heißt dem Bedienungsper- sonal, getragen werden. Natürlich kann auch ein Objekt, wie ein autonom fahrendes Fahrzeug mit einem Objekt-Transponder ausgestattet sein, um dieses Fahrzeug beispielsweise vor ei- ner Kollision zu schützen. In this case, the wirelessly communicating object transponder can be carried by one person, that is to say the operating personnel, for example. Of course, an object, such as an autonomously driving vehicle, can also be equipped with an object transponder in order to protect this vehicle from a collision, for example.
Die Schutzzone ist eine virtuelle Zone, durch welche sicher- gestellt werden kann, dass bei Eingriff in diese Zone ein Schutzmechanismus aktiviert wird, beispielsweise indem des eingreifenden Objekts wie ein Roboterarm unmittelbar gestoppt wird. Mit anderen Worten beschreibt der Schutzradius der Schutzzone jenen minimalen Radius, in welche sich der Trans- ponder mit Sicherheit befindet, das heißt verlässlich nicht außerhalb befindet. The protection zone is a virtual zone which can be used to ensure that a Protective mechanism is activated, for example by immediately stopping the intervening object such as a robot arm. In other words, the protection radius of the protection zone describes the minimum radius in which the transponder is definitely located, that is, it is reliably not located outside.
Dadurch können beispielsweise große Anlagen ohne Schutzzäune realisiert werden, in denen gefährliche Maschinen automatisch abgeschaltet werden, wenn sich ein Arbeiter, der mit einem Objekt-Transponder ausgestattet ist, der Maschine soweit nä- hert, dass der Schutzradius den gefährlichen Bereich schnei- det. Dies ist günstig, da nur jener Teil der Anlage mit der betroffenen Maschine und nicht die ganze Anlage von der Si- cherheitsmaßnahme betroffen ist. In this way, for example, large systems can be implemented without protective fences, in which dangerous machines are automatically switched off if a worker who is equipped with an object transponder approaches the machine so far that the protective radius intersects the dangerous area. This is beneficial because only that part of the system with the affected machine and not the entire system is affected by the safety measure.
Eine fehlersicher arbeitende Recheneinheit (F-CPU) als si- cherheitszertifizierte Komponente führt beispielweise mittels zweier unabhängiger Rechenvorrichtungen jeweils die gleichen Rechenoperationen aus, vergleicht deren Ergebnisse miteinan- der und stellt bei einer Übereinstimmung ein als sicher gel- tendes Ergebnis bereit. Eine fehlersicher arbeitende Rechen- einheit kann sicherheits-relevante und nicht-sicherheits- relevante Anwendungsprogramme ausführen und ist bis zu SIL3 gemäß IEC 61508 und Cat4 PLd gemäß ISO 13849-1 zertifiziert.A failsafe arithmetic unit (F-CPU) as a safety-certified component carries out the same arithmetic operations using two independent arithmetic devices, compares their results with one another and, if they match, provides a result that is considered safe. A fail-safe computing unit can execute safety-relevant and non-safety-relevant application programs and is certified up to SIL3 according to IEC 61508 and Cat4 PLd according to ISO 13849-1.
Die IEC 61508 ist eine internationale Normenserie zur Ent- wicklung von elektrischen, elektronischen und programmierba- ren elektronischen Systemen, die eine Sicherheitsfunktion ausführen. Sie wird von der Internationalen Elektrotechni- schen Kommission (IEC) herausgegeben und trägt den Titel Funktionale Sicherheit sicherheitsbezogener elektri- scher/elektronischer/programmierbarer elektronischer Systeme. Die Norm EN ISO 13849 ist eine sicherheitsspezifische Norm, welche sich mit Gestaltungsleitsätzen zu sicherheitsbezogenen Teilen von Steuerungen beschäftigt. IEC 61508 is an international series of standards for the development of electrical, electronic and programmable electronic systems that perform a safety function. It is published by the International Electrotechnical Commission (IEC) and bears the title Functional Safety of Safety-Related Electrical / Electronic / Programmable Electronic Systems. The EN ISO 13849 standard is a safety-specific standard that deals with design principles for safety-related parts of control systems.
Die erfindungsgemäße Aufgabe wird durch ein Verfahren ein- gangs genannter Art gelöst, wobei folgende Schritte ausge- führt werden: a) Erfassen von Sende- und Empfangs-Zeitstempeln für eine jeweilige Kommunikations-Nachricht seitens des Transpon- ders und des einen Anker-Gateways, b) Übertragen der jeweiligen Zeitstempel vom Transponder und dem einen Anker-Gateway mit zumindest einer jeweiligen Zeitstempel-Kontrollinformation an eine fehlersichere Re- chenvorrichtung, wobei die Zeitstempel-The object according to the invention is achieved by a method of the type mentioned at the beginning, the following steps being carried out: a) Acquisition of transmission and reception time stamps for a respective communication message on the part of the transponder and the one anchor gateway, b) Transmission of the respective time stamp from the transponder and the one anchor gateway with at least one respective time stamp control information to a fail-safe computing device, the time stamp
Kontrollinformation vorzugsweise eine Paritätsinformation ist c) Durchführen von zumindest einer Überprüfung durch die fehlersichere Rechenvorrichtung ausgewählt aus: cl) Überprüfung der Richtigkeit der jeweiligen Zeitstem- pel anhand der zumindest einen Zeitstempel- Kontrollinformation, c2) Überprüfung der errechneten Zeitdauer für die Bearbei- tungszeiten des Transponders und jener des einen Anker- Gateways anhand bekannter Erfahrungswerte, d) Bestimmen der sicheren Distanz mithilfe der überprüften Zeitstempel durch die fehlersichere Rechenvorrichtung. wobei bei der Erfassung der Zeitstempel Zeitstempel-Fehler nur durch den Transponder oder alternativ nur durch das eine Anker-Gateway hervorgerufen werden. Control information is preferably parity information c) performing at least one check by the fail-safe computing device selected from: cl) checking the correctness of the respective time stamp using the at least one time stamp control information, c2) checking the calculated duration for the processing times of the transponder and that of the one anchor gateway on the basis of known empirical values, d) determination of the safe distance with the aid of the checked time stamps by the fail-safe computing device. when the time stamp is recorded, time stamp errors are only caused by the transponder or, alternatively, only by the one anchor gateway.
Dadurch wird erreicht, dass die zu bestimmende Distanz feh- lersicher berechnet wird, da jede Rechenoperation zur Bestim- mung der Distanz in einer fehlersicher arbeitenden Rechenvor- richtung durchgeführt werden. Die Erfassung der Basisdaten, das heißt der Zeitstempel erfolgt durch den Transponder be- ziehungsweise die Anker-Gateways und die Übertragung der Zeitstempel wird durch eine jeweilige Zeitstempel- Kontrollinformation gesichert. Daher kann beispielsweise ein Fehler bei der Erzeugung, der Übertragung und der Berechnung festgestellt werden und eine Warnung ausgegeben werden, dass die Sicherheit einer durchgeführten Berechnung aktuell nicht sichergestellt ist. This ensures that the distance to be determined is calculated in an error-proof manner, since every arithmetic operation to determine the distance is carried out in a fail-safe arithmetic operation. direction to be carried out. The acquisition of the basic data, ie the time stamp, is carried out by the transponder or the anchor gateways and the transmission of the time stamp is secured by a respective time stamp control information. Therefore, for example, an error in the generation, transmission and calculation can be detected and a warning can be output that the security of a calculation carried out is currently not ensured.
Erst die Kombination des Einsatzes einer fehlersicheren Re- chenvorrichtung und die entsprechende Wahl, an welcher Stelle im System eine solche fehlersicheren Rechenvorrichtung Anwen- dung finden soll, sowie in diesem Zusammenhang geeignete Zeitstempel verwendet werden, erlaubt eine zuverlässige Posi- tions-Bestimmung für den Einsatz in Personenschutzsystemen. Only the combination of the use of a fail-safe computing device and the corresponding selection at which point in the system such a fail-safe computing device is to be used, as well as suitable time stamps used in this context, allows a reliable position determination for the use in personal protection systems.
Während ähnliche Systeme beispielsweise eine aufwändige zeit- liche Synchronisierung der Komponenten erfordern, kann erfin- dungsgemäß darauf verzichtet werden, denn das vorgeschlagene Verfahren erreicht durch die günstige Anordnung der fehlersi- cheren Rechenvorrichtung und die entsprechende Wahl von Zeit- stempeln eine sichere Positionsbestimmung. While similar systems require, for example, a complex time synchronization of the components, this can be dispensed with according to the invention, because the proposed method achieves reliable position determination through the favorable arrangement of the fail-safe computing device and the corresponding choice of time stamps.
In einer Weiterbildung der Erfindung ist es vorgesehen, dass ein Indikatorwert für eine sichere Distanzmessung durch fol- genden Zusammenhang mittels der fehlersicheren Rechenvorrich- tung ermittelt wird, welcher ein Maß für die Sicherheit der berechneten sicheren Distanz ist: wobei In a further development of the invention, it is provided that an indicator value for a safe distance measurement is determined by means of the following relationship by means of the fail-safe computing device, which is a measure of the reliability of the calculated safe distance: in which
TRound1 = 2 · T0F1 + TGW_ REPLY T Round1 = 2 * T0F 1 + T GW_ REPLY
TRound2 = 2 · TOF2 + TTAG _ REPLY TGW_ REPLY = TSGW_XT_RESP —TSGW_RX_ POLL T Round2 = 2 · TOF 2 + T TAG _ REPLY T GW_ REPLY = TS GW_XT_RESP - TS GW_RX_ POLL
TTAG-REPLY = TSTA GT X_F_ INAL — TSTA GX R_E_ SPR und T0F1 beziehungsweise T0F2 die jeweilige Signallaufzeit zwischen dem Transponder und einem der zumindest zwei Anker- Gateway ist. T TAG-REPLY = TS TA GT X_F_ INAL - TS TA GX R_E_ SPR and T0F 1 or T0F 2 is the respective signal transit time between the transponder and one of the at least two anchor gateways.
Dadurch kann auf eine einfache Weise festgestellt werden, dass die Erzeugung der Zeitstempel plausibel erfolgt ist.This makes it possible to determine in a simple manner that the time stamps were plausibly generated.
In einer Weiterbildung der Erfindung ist es vorgesehen, dass der drahtlosen Kommunikation zwischen dem Objekt- Transponder und dem einen Anker-Gateway für eine Lokalisie- rungs-Abfrage eine Abfrage-, eine Antwort- und eine End- Nachricht versendet und empfangen wird. In a further development of the invention it is provided that the wireless communication between the object transponder and the one anchor gateway for a localization query, a query, a response and an end message is sent and received.
Dadurch kann das Verfahren auf ein einfaches und bekanntes Verfahren zur Zwei-Wege-Vermessung aufbauen. As a result, the method can be based on a simple and known method for two-way measurement.
In einer Weiterbildung der Erfindung ist es vorgesehen, dass eine Vorgangsnummer von der fehlersicheren Rechenvorrich- tung erzeugt wird, welche mit der Antwort-Nachricht übertra- gen wird. In a further development of the invention, it is provided that a process number is generated by the fail-safe computing device, which is transmitted with the response message.
In einer Weiterbildung der Erfindung ist es vorgesehen, dass die Vorgangsnummer eine Zufallszahl ist. In a further development of the invention it is provided that the process number is a random number.
Dadurch wird die Manipulationssicherheit erhöht, da die Kenntnis der Zahl vonnöten ist, um sie einem Anker-Gateway zuordnen zu können. This increases the security against manipulation, since it is necessary to know the number in order to be able to assign it to an anchor gateway.
In einer Weiterbildung der Erfindung ist es vorgesehen, dass die Zeitstempel-Kontrollinformation eine Paritätsinformation ist. In a further development of the invention it is provided that the time stamp control information is parity information.
Dadurch wird eine technisch einfache Umsetzung erreicht, bei welcher Fehler oder Manipulationen bei der Übertragung der Zeitstempel entdeckt werden können, ohne die Zeitstempel selbst zu manipulieren, wie dies beispielsweise bei einer Verschlüsselung auftreten könnte und im Widerspruch zum er- findungsgemäßen Ansatz steht, dass Berechnungen nur von einer fehlersicheren Rechenvorrichtung ausgeführt werden. This achieves a technically simple implementation in which errors or manipulations in the transmission of the time stamps can be discovered without manipulating the time stamps themselves, as is the case, for example, with a Encryption could occur and is contrary to the approach according to the invention that calculations are only carried out by a fail-safe computing device.
In einer Weiterbildung der Erfindung ist es vorgesehen, dass bei der Berechnung der Kontrollinformation eine Kommunikati- ons-Adresse des Objekt-Transponders oder des zumindest einen Anker-Gateways berücksichtigt wird. In a further development of the invention it is provided that a communication address of the object transponder or of the at least one anchor gateway is taken into account when calculating the control information.
Dadurch wird die Manipulationssicherheit weiter erhöht, da eine zusätzliche Überprüfung der im System bekannten Anker- Gateways erfolgen kann. This further increases the security against manipulation, since an additional check of the anchor gateways known in the system can be carried out.
In einer Weiterbildung der Erfindung ist es vorgesehen, dass zu einem ersten und einem zweiten Zeitpunkt jeweils sichere Distanzen bestimmt werden, aus welchen eine Bewegungsge schwindigkeit des Transponders ermittelt wird, und die Bewe gungsgeschwindigkeit mit einem vordefinierten Grenzwert ver glichen wird. In a further development of the invention, it is provided that safe distances are determined at a first and a second point in time, from which a movement speed of the transponder is determined, and the movement speed is compared with a predefined limit value.
Dadurch wird eine weitere Plausibilisierung der Distanzmes- sungen erreicht und die Zuverlässigkeit des Verfahrens weiter gesteigert . As a result, a further plausibility check of the distance measurements is achieved and the reliability of the method is further increased.
Die Aufgabe der Erfindung wird auch durch eine Vorrichtung eingangs genannter Art gelöst, welche dazu eingerichtet ist, die Schritte des erfindungsgemäßen Verfahrens auszuführen.The object of the invention is also achieved by a device of the type mentioned at the beginning which is set up to carry out the steps of the method according to the invention.
Die Erfindung wird nachfolgend anhand von in den beigeschlos senen Zeichnungen dargestellten Ausführungsbeispiele näher erläutert. In den Zeichnungen zeigt: The invention is explained in more detail with reference to embodiments shown in the enclosed drawings. In the drawings shows:
Fig. 1 ein Ausführungsbeispiel für ein Warn- undFig. 1 shows an embodiment for a warning and
Schutzsystem, Protection system,
Fig. 2 ein Beispiel für ein erfindungsgemäßes Ablaufdia gramm zur sicheren Bestimmung der Distanz, Fig. 2 shows an example of a flow diagram according to the invention for the reliable determination of the distance,
Fig. 3 ein Beispiel für eine Abfrage-Nachricht, 3 shows an example of a query message,
Fig. 4 ein Beispiel für eine TWR-Antwort-Nachricht, Fig. 5 ein Beispiel für eine erfindungsmäße Antwort- Nachricht, 4 shows an example of a TWR reply message, 5 shows an example of a reply message according to the invention,
Fig. 6 ein Beispiel für eine TWR-End-Nachricht, 6 shows an example of a TWR end message,
Fig. 7 ein Beispiel für eine erfindungsmäße End- Nachricht. 7 shows an example of an end message according to the invention.
In Fig . 1 ist ein Ausführungsbeispiel für ein Warn- und Schutzsystem dargestellt. In Fig. 1 shows an exemplary embodiment for a warning and protection system.
Von einem Objekt-Transponder oder „Tag" T, welcher beispiels- weise von einer Person P am Körper getragen wird, wird ein jeweiliges Abfrage-Signal P1-P3 in einen Funkkanal abge strahlt, welches eine Abfrage Nachricht MP (englisch „Poll") umfasst. From an object transponder or "tag" T, which is worn on the body by a person P, for example, a respective query signal P1-P3 is emitted into a radio channel, which sends a query message MP (English "Poll") includes.
Das jeweilige Abfrage-Signal P1-P3 wird vom jeweiligen Gate way G1-G3 vom Funkkanal empfangen, weiterverarbeitet und als jeweiliges Antwort-Signal R1-R3 wieder abgestrahlt, welches eine jeweilige Antwort-Nachricht MR (englisch „response") um fasst. The respective query signal P1-P3 is received by the respective gateway G1-G3 from the radio channel, further processed and re-emitted as the respective response signal R1-R3, which comprises a respective response message MR (English "response").
Die Antwort-Signale R1-R3 werden vom Objekt-Transponder T empfangen, weiterverarbeitet und als jeweiliges End- Signal F1-F3 wieder in den Funkkanal abgestrahlt, welches die jeweilige Antwort-Nachricht MF (englisch „final") umfasst.The response signals R1-R3 are received by the object transponder T, processed further and emitted as the respective end signal F1-F3 back into the radio channel, which comprises the respective response message MF (English "final").
Die End-Signale F1-F3 werden vom jeweiligen Gateway G1-G3 empfangen und an eine fehlersicher rechnende Rechenvorrich- tung F-CPU übergeben, welche den Schutzradius rP einer Schutzzone S bestimmt. The end signals F1-F3 are received by the respective gateway G1-G3 and transferred to a fail-safe computing device F-CPU, which determines the protection radius r P of a protection zone S.
Wenn sich ein Gefahrensystem beispielsweise in Form einer Produktionsanlage in Betrieb befindet, und dabei ein Roboter arm R der Produktionsanlage in die Schutzzone S eingreift, wird für den Roboterarm ein Abbruchvorgang für dessen Betrieb ausgelöst, wodurch der Roboterarm unverzüglich zum Stillstand kommt. Der Eingriff in die Schutzzone S kann beispielsweise dadurch erfolgen, dass sich die Person P dem Roboterarm R unerlaubt nahe annähert, und der Personenschutz nicht mehr sicher ge- währleistet ist. Ein Verfahren zur Bestimmung einer sicheren Distanz dTWR nach dem TWR-Prinzip zwischen einem drahtlos kommunizierenden Ob- jekt-Transponder T und zumindest einem Anker-Gateway G1-G3, welche jeweils Mittel zur Erfassung von Zeitstempeln aufwei- sen, wird im Weiteren anhand eines Ausführungsbeispiels der Erfindung beschrieben. Allgemein werden dabei folgende Schritte ausgeführt: a) Erfassen von Sende- und Empfangs-Zeitstempeln TSTAG_TX_POLL, TSGW_RX_POLL, TSGW_TX_RESP, TSTAG_RX_RESP, TSTAG_TX_FINAL, TSGW_RX_FINAL für eine jeweilige Kommunikations-Nachricht seitens des Transponders T und des zumindest einen Anker-Gateways G1- G3, b) Übertragen der jeweiligen Zeitstempel TSTAG_TX_POLL, TSGW_RX_POLL, TSGW_TX_RESP, TSTAG_RX_RESP, TSTAG_TX_FINAL, TSGW_RX_FINAL vom Transponders T und dem zumindest einen Anker- Gateway G1-G3 mit zumindest einer jeweiligen Zeitstempel- Kontrollinformation CRC1, CRC2, beispielsweise eine Pari- tätsinformation, an eine fehlersichere Rechenvorrich- tung F-CPU, c) Durchführen von zumindest einer Überprüfung durch die fehlersichere Rechenvorrichtung (F-CPU) ausgewählt aus: c1) Überprüfung der Richtigkeit der jeweiligen Zeitstem- pel TSTAG_TX_POLL, TSGW_RX_POLL, TSGW_TX_RESP, TSTAG_RX_RESP, TSTAG_TX_FINAL, TSGW_RX_FINAL anhand der zumindest einen Zeitstempel-Kontrollinformation CRC1, CRC2, c2) Überprüfung der errechneten Zeitdauer für die Bearbei- tungszeiten des Transponders T und jener des zumindest einen Anker-Gateways G1-G3 anhand bekannter Erfahrungs- werte, d) Bestimmen der sicheren Distanz dTWR mithilfe der über- prüften Zeitstempel TSTAG_TX_POLL, TSGW_RX_POLL, TSGW_TX_RESP, TSTAG_RX_RESP, TSTAG_TX_FINAL, TSGW_RX_FINAL durch die fehlersiche- re Rechenvorrichtung F-CPU, wobei bei der Erfassung der Zeitstempel TSTAG_TX_POLL, TSGW_RX_POLL, TSGW_TX_RESP, TSTAG_RX_RESP, TSTAG_TX_FINAL, TSGW_RX_FINAL Zeitstempel-Fehler nur durch den Transponder T oder alterna- tiv nur durch das zumindest eine Anker-Gateway G1-G3 hervor- gerufen werden. Daraus kann ein Indikatorwert safe_twr_value für eine sichere Distanzmessung durch folgenden Zusammenhang mittels der feh- lersicheren Rechenvorrichtung F-CPU ermittelt wird, welcher ein Maß für die Sicherheit der berechneten sicheren Distanz dTWR ist: wobei TRound1 = 2 ∙ T0F1 + TGW_REPLY TRound2 = 2 ∙ T0F2 + TTAG_REPLY TGW_REPLY = TSGW_TX_RESP − TSGW_RX_POLL TTAG_REPLY = TSTAG_TX_FINAL − TSTAG_RX_RESP und T0F1 beziehungsweise TOF2 die jeweilige Signallaufzeit zwischen dem Transponder T und einem der zumindest zwei An- ker-Gateway G1-G3 ist. Während der drahtlosen Kommunikation wird zwischen dem Ob- jekt-Transponder T und dem zumindest einen Anker-Gateway G1- G3 für eine Lokalisierungs-Abfrage eine Abfrage-, eine Ant- wort- und eine End-Nachricht MP, MR, MF versendet und empfan- gen. Außerdem kann eine Vorgangsnummer RNR von der fehlersicheren Rechenvorrichtung F-CPU erzeugt werden, welche mit der Ant- wort-Nachricht MR übertragen wird. Die Vorgangsnummer RNR ist beispielsweise eine Zufallszahl. Bei der Berechnung der Zeitstempel-Kontrollinformation CRC1, CRC2 kann ferner eine Adresse des Objekt-Transponder T oder des zumindest einen Anker-Gateway G1-G3 berücksichtigt wer- den. Fig. 2 stellt ein Beispiel für ein Ablaufdiagramm zur Bestim- mung der sicheren Distanz dTWR dar, anhand dessen die Erfin- dung im Detail beschrieben wird. Eine sichere Distanz ist eine Entfernung, welche ohne syste- mische Fehler bei einer Laufzeitmessung ermittelt wird. Unerwünschte Einflüsse, beispielsweise durch eine schwankende oder ungenaue Zeitbasis, welche bei einer Laufzeitmessung von Signalen auftreten können, werden durch eine entsprechende „sichere“ Berechnung systemisch ausgeschlossen. Die Position des Objekt-Transponders T (auch englisch „tag“) in einem dreidimensionalen Raum soll gemäß den weiteren Aus- führungen ermittelt werden, wobei die Anker- beziehungsweise Gateway-Transponder G1, G2, G3 mit bekannter Position heran- gezogen werden. Die Abfragenachricht MP wird am Transponder T beziehungsweise Tag zu einem Zeitpunkt mit einem Zeitstempel TSTAG_TX_POLL abge- sendet und am jeweiligen Anker-Gateway G1-G3 zu einem Zeit- punkt mit einem Zeitstempel TSGW_RX_POLL empfangen. Die Übertragung der Abfragenachricht MP im Funkkanal zwischen dem Transponder T und dem jeweiligen Gateway der drei Gate- ways G1-G3 benötigt eine Dauer T0F1 (englisch „time-of- flight“). Die Abfragenachricht MP wird vom Anker-Gateway innerhalb ei- ner Zeitspanne TGW_REPLY verarbeitet und eine entsprechende Antwortnachricht MR vom Anker-Gateway zum Transponder T zu einem Zeitpunkt mit einem Zeitstempel TSGW_TX_RESP gesendet und am Tag zu einem Zeitpunkt mit einem Zeitstempel TSTAG_RX_RESP empfangen. Die Zeitspanne TGW_REPLY wird durch den Takt des Gateway- Komponenten TGW_CLK bestimmt und ist innerhalb gewisser und bekannter Grenzen bekannt. Somit kann angegeben werden: TGW_REPLY = TSGW_TX_RESP − TSGW_RX_POLL Die Zeitspanne TRound1 bezeichnet die Signallaufzeit zwischen dem Zeitstempel TSTAG_TX_POLL und dem Zeitstempel TSTAG_RX_RESP. TRound1 = TSTAG_RX_RESP − TSTAG_TX_POLL Die Übertragung im Funkkanal benötigt die Dauer T0F2. Falls der Transponder T nicht bewegt wurde, entspricht T0F1 = T0F2. Die Antwortnachricht MR wird vom Tag innerhalb einer Zeit- spanne TTAG_REPLY verarbeitet und eine entsprechende Endnach- richt MF vom Anker-Gateway zum Transponder T zu einem Zeit- punkt mit einem Zeitstempel TSTAG_TX_FINAL gesendet. Die Zeitspanne TTAG_REPLY wird durch den Takt des Gateway- Komponenten TTAG_CLK bestimmt und ist innerhalb gewisser und bekannter Grenzen bekannt. Die Übertragung im Funkkanal benötigt die Dauer T0F3. Falls der Transponder T nicht bewegt wurde, entspricht T0F1 = T0F2 =TOF3. Das Anker-Gateway empfängt die Endnachricht MF zu einem Zeit- punkt mit einem Zeitstempel TSGW_RX_FINAL. Die Zeitspanne TRound2 bezeichnet die Signallaufzeit zwischen dem Zeitstempel TSGW_TX_RESP und dem Zeitstempel TSGW_RX_FINAL. TRound2 = TSGW_RX_FINAL − TSGW_TX_RESP Somit kann angegeben werden: TTAG_REPLY = TSTAG_TX_FINAL − TSTAG_RX_RESP Die Zeitstempel werden von einem Tag-Zähler CT im Objekt- Transponder beziehungsweise einem Gateway-Zähler CG im Anker- Transponder erfasst. Aus den ermittelten Laufzeiten kann die Signallaufzeit im Funkkanal T0F = T0F1 = T0F2 = T0F3 und über die Lichtgeschwin- digkeit c die entsprechende Distanz dTWR bestimmt werden. Die Rechenvorrichtung F-CPU kann nun einen ersten Fehler er- kennen, sofern die für die Distanzberechnung benötigten Zeit- stempel des Transponders und der Gateways falsifiziert wer- den. Dabei wird angenommen, dass nur Fehler seitens des Transpon- ders T oder alternativ nur Fehler seitens eines der Gate- ways G1-G3 zur selben Zeit passieren, und nicht Fehler sei- tens des Transponders und eines Gateways gleichzeitig. Unter einem systemischen Fehler wird ein Fehler verstanden, welcher die Erzeugung oder Erfassung von Zeitstempeln ungüns- tig beeinflusst, beispielsweise eine unerwünscht abweichende Zeitbasis in einem elektronischen Bauteil, welche durch wech- selnde Temperatur, Alterung, Bauteiltoleranzen oder ähnliches hervorgerufen werden kann. Ein solcher Fehler kann zwischen einzelnen Komponenten in einem System, wie dem Transponder T und einem Gateway G1-G3 auftreten, indem sich eine lokale Zeitbasis in Form einer Takterzeugung für eine digitale Elektronikschaltung ungleichmäßig verändert. Zeitstempel oder eine Drift eines jeweiligen Zeitgeber-Takts in einer Komponente wie dem Transponder T1 oder den Gate- ways G1-G3 sind voneinander unabhängig. Folglich beeinflusst ein Fehler nur den eigenen Zeitstempel und nicht jenen der anderen Komponenten. TWR verfügt über eine integrierte Fehlererkennung. Dabei wird von folgenden Zusammenhängen ausgegangen: TRound1 = 2 ∙ T0F1 + TGW_REPLY TRound2 = 2 ∙ T0F2 + TTAG_REPLY Eine Abweichung von TOF, also die Differenz zwischen TOF1 und TOF2 durch Fehler im Transponder oder im Gateway kann nun be- rechnet werden durch Ein TWR-Ergebnis ist für safetwrvalue < safe_twr_value_limit mit safe_twr_value_limit = 825 ps gültig, ansonsten ist das Ergebnis un- gültig. Mit dem Wert safe_twr_value_limit = 825 ps ist eine Takt-Drift für den Transponder mit < ±200 ppm beschränkt. In der Figur ist ferner ein Programm P_T des Transponders T mit Verfahrensschritten PT1-PT3 für den Transponder T als Teil des Ablaufdiagramms vereinfacht dargestellt. Außerdem ist ein Programm P_G eines jeweiligen Gateways G1-G3 mit Verfahrensschritten PG1-PG3 für das jeweilige Gateway G1- G3 erkennbar, sowie ein Programm P_F der fehlersicher rech- nenden Vorrichtung F-CPU mit Verfahrensschritten PF1-PF4 für die Rechenvorrichtung F-CPU. If a hazard system is in operation, for example in the form of a production plant, and a robot arm R of the production plant intervenes in the protection zone S, a termination process for its operation is triggered for the robot arm, whereby the robot arm comes to a standstill immediately. The intervention in the protection zone S can take place, for example, in that the person P approaches the robot arm R without permission, and personal protection is no longer reliably guaranteed. A method for determining a safe distance d TWR according to the TWR principle between a wirelessly communicating object transponder T and at least one anchor gateway G1-G3, which each have means for recording time stamps, is described below with the aid of a Described embodiment of the invention. In general, the following steps are carried out: a) Acquisition of send and receive time stamps TSTAG_TX_POLL, TS GW_RX_POLL, TS GW_TX_RESP, TS TAG_RX_RESP, TS TAG_TX_FINAL, TS GW_RX_FINAL for a respective communication message from the transponder T and gateway G1- G3, b) Transmission of the respective time stamps TS TAG_TX_POLL , TS GW_RX_POLL, TS GW_TX_RESP, TS TAG_RX_RESP, TS TAG_TX_FINAL, TS GW_RX_FINAL from the transponder T and the at least one anchor control gateway G1-G3 with at least one respective time stamp CRC2 CRC1 , for example parity information, to a fail-safe computing device F-CPU, c) performing at least one check by the fail-safe computing device (F-CPU) selected from: c1) checking the correctness of the respective time stamp TS TAG_TX_POLL , TS GW_RX_POLL , TS GW_TX_RESP , TS TAG_RX_RESP , TS TAG_TX_FINAL, TS GW_RX_FINAL based on the at least one time stamp control information CRC1, CRC2, c2) Checking the calculated duration for the processing times of the transponder T and that of the at least an anchor gateway G1-G3 based on known empirical values, d) determining the safe distance d TWR using the checked time stamps TS TAG_TX_POLL , TS GW_RX_POLL , TS GW_TX_RESP , TS TAG_RX_RESP , TS TAG_TX_FINAL , TS GW_R faulty_FINAL by the computing device F-CPU, whereby during the acquisition of the time stamp TSTAG_TX_POLL, TS GW_RX_POLL , TS GW_TX_RESP , TS TAG_RX_RESP , TS TAG_TX_FINAL , TS GW_RX_FINAL time stamp errors only through the transponder T or alternatively only through the at least one anchor gateway - be called. From this, an indicator value safe_twr_value for a safe distance measurement can be determined by means of the fail-safe computing device F-CPU using the following relationship, which is a measure of the safety of the calculated safe distance dTWR: wherein T Round1 = 2 ∙ T0F 1 + T GW_REPLY T Round2 = 2 ∙ T0F 2 + T TAG_REPLY TGW_REPLY = TSGW_TX_RESP - TSGW_RX_POLL TTAG_REPLY = TSTAG_TX_FINAL - TSTAG_RX_RESP and T0F 1 and TOF 2, the respective signal propagation time between the transponder T and one of the at least two at - ker gateway is G1-G3. During the wireless communication between the object transponder T and the at least one anchor gateway G1-G3 for a localization query, a query, an answer Word and an end message MP, MR, MF are sent and received. In addition, a process number RNR can be generated by the fail-safe computing device F-CPU, which is transmitted with the response message MR. The transaction number RNR is, for example, a random number. When calculating the time stamp control information CRC1, CRC2, an address of the object transponder T or of the at least one anchor gateway G1-G3 can also be taken into account. 2 shows an example of a flow chart for determining the safe distance d TWR , on the basis of which the invention is described in detail. A safe distance is a distance that is determined without systemic errors when measuring the transit time. Undesired influences, for example due to a fluctuating or inaccurate time base, which can occur when measuring the transit time of signals, are systematically excluded by a corresponding “safe” calculation. The position of the object transponder T (also called “tag”) in a three-dimensional space is to be determined according to the further explanations, with the anchor or gateway transponders G1, G2, G3 being used with a known position. The query message MP is sent at the transponder T or day at a time with a time stamp TS TAG_TX_POLL and received at the respective anchor gateway G1-G3 at a time with a time stamp TS GW_RX_POLL . The transmission of the query message MP in the radio channel between the transponder T and the respective gateway of the three gate ways G1-G3 needs a duration T0F 1 (English "time-of-flight"). The query message MP is processed by the anchor gateway within a time span T GW_REPLY and a corresponding response message MR is sent from the anchor gateway to the transponder T at a point in time with a time stamp TS GW_TX_RESP and received on the day at a point in time with a time stamp TS TAG_RX_RESP . The time span T GW_REPLY is determined by the clock rate of the gateway component T GW_CLK and is known within certain known limits. The following can thus be specified: T GW_REPLY = TS GW_TX_RESP - TS GW_RX_POLL The time period T Round1 denotes the signal propagation time between the time stamp TSTAG_TX_POLL and the time stamp TSTAG_RX_RESP. TRound1 = TS TAG_RX_RESP - TS TAG_TX_POLL The transmission in the radio channel requires the duration T0F 2 . If the transponder T has not been moved, T0F 1 = T0F 2 . The response message MR is processed by the tag within a time span T TAG_REPLY and a corresponding final message MF is sent from the anchor gateway to the transponder T at a time with a time stamp TS TAG_TX_FINAL . The time span T TAG_REPLY is determined by the clock cycle of the gateway component T TAG_CLK and is known within certain known limits. The transmission in the radio channel requires the duration T0F 3 . If the transponder T has not been moved, T0F 1 = T0F 2 = TOF3. The anchor gateway receives the end message MF at a time with a time stamp TS GW_RX_FINAL . The time span T Round2 denotes the signal propagation time between the time stamp TS GW_TX_RESP and the time stamp TSGW_RX_FINAL. T Round2 = TSGW_RX_FINAL - TSGW_TX_RESP The following can thus be specified: T TAG_REPLY = TS TAG_TX_FINAL - TS TAG_RX_RESP The time stamps are recorded by a tag counter CT in the object transponder or a gateway counter CG in the anchor transponder. The signal transit time in the radio channel T0F = T0F 1 = T0F 2 = T0F 3 and the corresponding distance dTWR can be determined from the transit times determined. The computing device F-CPU can now recognize a first error if the time stamps of the transponder and the gateway required for the distance calculation are falsified. It is assumed here that only errors on the part of the transponder T or, alternatively, only errors on the part of one of the gateways G1-G3 occur at the same time, and not errors on the part of the transponder and a gateway at the same time. A systemic error is understood to be an error that has an unfavorable influence on the generation or recording of time stamps, for example an undesirably different time base in an electronic component, which can be caused by changing temperature, aging, component tolerances or the like. Such an error can occur between individual components occur in a system, such as the transponder T and a gateway G1-G3, in that a local time base changes unevenly in the form of a clock generation for a digital electronic circuit. Time stamps or a drift of a respective timer cycle in a component such as the transponder T1 or the gateways G1-G3 are independent of one another. As a result, an error only affects its own timestamp and not that of the other components. TWR has an integrated error detection. The following relationships are assumed: T Round1 = 2 ∙ T0F 1 + T GW_REPLY T Round2 = 2 ∙ T0F 2 + T TAG_REPLY A deviation from TOF, i.e. the difference between TOF1 and TOF2 due to errors in the transponder or in the gateway can now be are calculated through A TWR result is valid for safetwrvalue <safe_twr_value_limit with safe_twr_value_limit = 825 ps, otherwise the result is invalid. With the value safe_twr_value_limit = 825 ps, a clock drift for the transponder is limited to <± 200 ppm. The figure also shows a program P_T of the transponder T with method steps PT1-PT3 for the transponder T as part of the flow chart. In addition, a program P_G of a respective gateway G1-G3 with process steps PG1-PG3 for the respective gateway G1-G3 can be recognized, as well as a program P_F of the fail-safe computational Ending device F-CPU with method steps PF1-PF4 for the computing device F-CPU.
Im Schritt PT1 wird die Abfrage-Nachricht MP durch den Trans- ponder T initiiert und gesendet. In step PT1, the query message MP is initiated by the transponder T and sent.
Das jeweilige Gateway empfängt im Schritt PG1 die Abfrage- Nachricht MP und bestimmt den Sendezeitpunkt für die Antwort- nachricht MR. The respective gateway receives the query message MP in step PG1 and determines the sending time for the response message MR.
Im Schritt PF1 wird eine Zufallszahl RNR durch die fehlersi- cher rechnende Vorrichtung F-CPU erzeugt und an das jeweilige Gateway gesendet. In step PF1, a random number RNR is generated by the fail-safe computing device F-CPU and sent to the respective gateway.
Das Gateway sendet eine Antwort-Nachricht MR im Schritt PG2 an den Transponder T, welche die Zufallszahl RNR enthält.The gateway sends a response message MR in step PG2 to the transponder T, which contains the random number RNR.
Die Antwort-Nachricht MR wird im Schritt PT2 durch den Trans- ponder T empfangen und der Sendezeitpunkt für die End- Nachricht MF errechnet. The response message MR is received by the transponder T in step PT2 and the transmission time for the end message MF is calculated.
Der Transponder T bestimmt im Schritt PT3 aus den Zeitstem- peln und der Adresse des Transponders T, und der Zufallszahl eine erste Prüfsumme CRC1 und sendet eine End-Nachricht MF vom Transponder T an das Gateway, welche die erste Prüfsum- me CRC1 enthält. In step PT3, the transponder T determines a first checksum CRC1 from the time stamps and the address of the transponder T and the random number and sends an end message MF from the transponder T to the gateway, which contains the first checksum CRC1.
Im Schritt PG3 empfängt das Gateway die End-Nachricht MF und bestimmt aus den Zeitstempeln und der Adresse des Gateways und der ersten Prüfsumme CRC1 eine zweite Prüfsumme CRC2 und übermittelt die Zeitstempel und die Adresse des Gateways und des Transponders T, sowie die zweite Prüfsumme CRC2 an die Vorrichtung F-CPU. In step PG3 the gateway receives the end message MF and determines a second checksum CRC2 from the time stamps and the address of the gateway and the first checksum CRC1 and transmits the time stamps and the address of the gateway and the transponder T, as well as the second checksum CRC2 the F-CPU device.
Im Schritt PF2 errechnet die Vorrichtung F-CPU eine dritte Prüfsumme CRC3 und vergleicht sie mit der zweiten Prüfsum- me CRC2. In step PF2, the device F-CPU calculates a third checksum CRC3 and compares it with the second checksum CRC2.
Im Schritt PF3 errechnet die Vorrichtung F-CPU einen sicheren Wert safe_twr_value für die Entfernung zwischen dem Gateway und dem Transponder T mittels des TWR-Verfahrens und überprüft die Werte auf Plausibilität. In step PF3, the device F-CPU calculates a safe value safe_twr_value for the distance between the gateway and the transponder T using the TWR method and checks the values for plausibility.
Im Schritt PF4 errechnet die Vorrichtung F-CPU die gesuchte sichere Distanz anhand des vorhergehenden Zusammenhangs hin- sichtlich der Signallaufzeit im Funkkanal TOF. In step PF4, the device F-CPU calculates the safe distance sought on the basis of the preceding relationship with regard to the signal propagation time in the radio channel TOF.
Fig . 3 stellt beispielhaft eine Abfrage-Nachricht MP_TWR nach dem Stand der Technik für TWR dar, welche Datenelemente für eine Sequenznummer MPSN, eine Ziel-Adresse MPZA, eine Quell- Adresse MPQA und einen Funktions-Code MPFC umfasst, und bei- spielsweise auch als Abfrage-Nachricht MP im erfindungsgemä- ßen Verfahren verwendet werden kann. Fig. 3 shows an example of a prior art query message MP_TWR for TWR, which includes data elements for a sequence number MPSN, a destination address MPZA, a source address MPQA and a function code MPFC, and for example also as a query Message MP can be used in the method according to the invention.
Fig . 4 stellt beispielhaft eine Antwort-Nachricht MR_TWR nach dem Stand der Technik für TWR dar, welche Datenelemente für eine Sequenznummer MRSN, eine Ziel-Adresse MRZA, eine Quell- Adresse MRQA und einen Funktions-Code MRFC umfasst. Fig. 4 shows an example of a response message MR_TWR according to the prior art for TWR, which includes data elements for a sequence number MRSN, a destination address MRZA, a source address MRQA and a function code MRFC.
Fig . 5 stellt beispielhaft die erfindungsgemäße Antwort- Nachricht MR dar, welche Datenelemente für eine Sequenznum- mer MRSN, eine Ziel-Adresse MRZA, eine Quell-Adresse MRQA und einen Funktions-Code MRFC umfasst. Der Funktions-Code MRFC kann sich vom Stand der Technik unterscheiden. Fig. 5 shows an example of the response message MR according to the invention, which includes data elements for a sequence number MRSN, a destination address MRZA, a source address MRQA and a function code MRFC. The function code MRFC can differ from the prior art.
Zusätzlich ist die Zufallszahl RNR enthalten. The random number RNR is also included.
Fig . 6 stellt beispielhaft die End-Nachricht MF nach dem Stand der Technik für TWR dar, welche Datenelemente für eine Sequenznummer MFSN, eine Ziel-Adresse MFZA, eine Quell- Adresse MFQA und einen Funktions-Code MFFC umfasst. Der Funk- tions-Code MFFC kann sich von jenem aus dem Stand der Technik unterscheiden . Fig. 6 shows an example of the end message MF according to the prior art for TWR, which includes data elements for a sequence number MFSN, a destination address MFZA, a source address MFQA and a function code MFFC. The function code MFFC can differ from that from the prior art.
Zusätzlich weist die End-Nachricht MF ein Datenelement für eine Zeitdifferenz MFRXTX auf, welche die Zeitdauer zwischen dem Absenden der Abfrage-Nachricht MP und dem Empfangen der Antwort-Nachricht MR seitens des Transponders T bezeichnet. Außerdem weist die End-Nachricht MF ein Datenelement für eine Zeitdifferenz MFTXRX auf, welche die Zeitdauer zwischen dem Empfangen der Antwort-Nachricht MR und dem Absenden der End- Nachricht MF seitens des Transponders T bezeichnet. Fig . 7 stellt beispielhaft die erfindungsgemäße End-In addition, the end message MF has a data element for a time difference MFRXTX, which denotes the time between the sending of the query message MP and the receipt of the response message MR by the transponder T. In addition, the end message MF has a data element for a time difference MFTXRX, which denotes the time between the receipt of the response message MR and the sending of the end message MF by the transponder T. Fig. 7 exemplifies the end of the invention
Nachricht MP dar, welche Datenelemente für eine Sequenznum- mer MPSN, eine Ziel-Adresse MPZA, eine Quell-Adresse MPQA und einen Funktions-Code MPFC umfasst. Der Funktions-Code MFFC kann sich von jenem aus dem Stand der Technik unterscheiden. Die End-Nachricht MP enthält ferner jeweils ein Datenelement in Form eines Zeitstempels für einen Abfrage- Sendezeitpunkt MF_PTX, einen Antwort Empfangszeit- punkt MF_RRX, sowie einen End-Sendezeitpunkt MF_FTX. Message MP which includes data elements for a sequence number MPSN, a destination address MPZA, a source address MPQA and a function code MPFC. The function code MFFC can differ from that from the prior art. The end message MP also contains a data element in the form of a time stamp for an interrogation send time MF_PTX, a response receive time MF_RRX, and an end send time MF_FTX.
Außerdem weist die End-Nachricht MP die erste Prüfsumme CRC1 auf, welche über die Zeitstempel des Transponders T und über die Zufallszahl RNR gebildet ist. In addition, the end message MP has the first checksum CRC1, which is formed using the time stamp of the transponder T and the random number RNR.
Bezugszeichenliste: CG Zähler Anker-Transponder CRC1, CRC2 Prüfsumme CT Zähler Objekt-Transponder dTWR sichere Distanz F-CPU fehlersichere Rechenvorrichtung F1-F3 End-Signal G1, G2, G3 Ankerpunkte, Gateway GS Gefahrensystem M Übertragungs-Medium, Funkkanal MP, MP_TWR Abfrage-Nachricht, „Pull“ MR, MR_TWR Antwort-Nachricht, „Response“ MF_TWR End-Nachricht, „Final“ MPSN, MRSN, MFSN fortlaufende Nummer, Sequenznummer MPZA, MRZA, MFZA Ziel-Adresse MPQA, MRQA, MFQA Quell-Adresse MPFC, MRFC, MFFC Funktions-Code MFRXTX, MFTXRX Zeitdifferenz MF_PTX, MF_RRX, MF_FTX Zeitpunkt P Person mit Objekt-Transponder P_F-CPU, P_G, P_T Verfahren, Programm PF1-PF4 Verfahrensschritte in der F-CPU PG1-PG3 Verfahrensschritte im Gateway PT1-PT3 Verfahrensschritte im Transponder/ Tag P1-P3 Abfrage-Signal R Roboter-Arm RNR Zufallszahl, „random number“ R1-R3 Antwort-Signal S Schutzzone SS Schutzsystem T Objekt-Transponder T0F, T0F1, T0F2, T0FG1, T0FG2, T0FG3 “Time-of-Flight”- Signallaufzeit TSTAG_TX_POLL, TSTAG_RX_RESP, TSTAG_TX_FINAL, TSGW_RX_POLL, TSGW_TX_RESP, TSGW_RX_FINAL Zeitstempel TTAG_REPLY, TTAG_CLK, TGW_REPLY, TGW_CLK, TRound1, TRound2 Signallaufzeit TWR “Two-Way-Ranging”-Verfahren WS Warnsystem List of reference symbols: CG counter anchor transponder CRC1, CRC2 checksum CT counter object transponder dTWR safe distance F-CPU fail-safe computing device F1-F3 end signal G1, G2, G3 anchor points, gateway GS hazard system M transmission medium, radio channel MP, MP_TWR query -Message, "Pull" MR, MR_TWR response message, "Response" MF_TWR end message, "Final" MPSN, MRSN, MFSN consecutive number, sequence number MPZA, MRZA, MFZA target address MPQA, MRQA, MFQA source address MPFC , MRFC, MFFC function code MFRXTX, MFTXRX time difference MF_PTX, MF_RRX, MF_FTX time P person with object transponder P_F-CPU, P_G, P_T process, program PF1-PF4 process steps in the F-CPU PG1-PG3 process steps in the gateway PT1- PT3 process steps in the transponder / tag P1-P3 query signal R Robot arm RNR Random number, "random number" R1-R3 response signal S Protection zone SS protection system T Object transponder T0F, T0F 1 , T0F 2 , T0F G1 , T0F G2 , T0F G3 “Time-of-Flight” signal transit time TS TAG_TX_POLL, TS TAG_RX_RESP, TS TAG_TX_FINAL, TS GW_RX_POLL, TSGW_TX_RESP, TSGW_RX_FINAL timestamp T TAG_REPLY, T TAG_CLK, T GW_REPLY, T GW_CLK, T Round1, T Round2 signal propagation time TWR "Two-Way ranging" method WS warning system

Claims

Patentansprüche 1. Verfahren zur Bestimmung einer sicheren Distanz (dTWR) nach der Zweiwege-Entfernungsmethode zwischen einem drahtlos kommunizierenden Objekt-Transponder (T) und zumindest einem Anker-Gateway (G1-G3), welche jeweils Mittel zur Erfassung von Zeitstempeln aufweisen, dadurch gekennzeichnet, dass fol- gende Schritte ausgeführt werden: a) Erfassen von Sende- und Empfangs- Zeitstempeln (TSTAG_TX_POLL, TSGW_RX_POLL, TSGW_TX_RESP, TSTAG_RX_RESP, TSTAG_TX_FINAL, TSGW_RX_FINAL) für eine jeweilige Kommunikations-Nachricht seitens des Transponders (T) und des zumindest einen Anker-Gateways (G1-G3), b) Übertragen der jeweiligen Zeitstempel (TSTAG_TX_POLL, TS GW_RX_POLL , TS GW_TX_RESP , TS TAG_RX_RESP , TS TAG_TX_FINAL , TSGW_RX_FINAL) vom Transponder (T) und dem zumindest einen Anker-Gateway (G1-G3) mit zumindest einer jeweiligen Zeitstempel-Kontrollinformation (CRC1, CRC2) an eine feh- lersichere Rechenvorrichtung (F-CPU), c) Durchführen von zumindest einer Überprüfung durch die fehlersichere Rechenvorrichtung (F-CPU) ausgewählt aus: c1) Überprüfung der Richtigkeit der jeweiligen Zeitstem- pel (TSTAG_TX_POLL, TSGW_RX_POLL, TSGW_TX_RESP, TSTAG_RX_RESP, TSTAG_TX_FINAL, TSGW_RX_FINAL) anhand der zumindest einen Zeitstempel-Kontrollinformation (CRC1, CRC2), c2) Überprüfung der errechneten Zeitdauer für die Bearbei- tungszeiten des Transponders (T) und jener des zumin- dest einen Anker-Gateways (G1-G3) anhand bekannter Er- fahrungswerte, d) Bestimmen der sicheren Distanz (dTWR) mithilfe der über- prüften Zeitstempel (TSTAG_TX_POLL, TSGW_RX_POLL, TSGW_TX_RESP, TSTAG_RX_RESP, TSTAG_TX_FINAL, TSGW_RX_FINAL) durch die fehlersi- chere Rechenvorrichtung (F-CPU), wobei bei der Erfassung der Zeitstempel (TSTAG_TX_POLL, TSGW_RX_POLL, TSGW_TX_RESP, TSTAG_RX_RESP, TSTAG_TX_FINAL, TSGW_RX_FINAL) Zeitstempel-Fehler nur durch den Transponder (T) oder alter- nativ nur durch eines der zumindest zwei Anker-Gateway (G1- G3) hervorgerufen werden. 2. Verfahren nach dem vorhergehenden Anspruch, wobei ein Indikatorwert (safe_twr_value) für eine sichere Distanzmessung durch folgenden Zusammenhang mittels der fehlersicheren Re- chenvorrichtung (F-CPU) ermittelt wird, welcher ein Maß für die Sicherheit der berechneten sicheren Distanz (dTWR) ist: wobei TRound1 = 2 ∙ T0F1 + TGW_REPLY TRound2 = 2 ∙ T0F2 + TTAG_REPLY TGW_REPLY = TSGW_TX_RESP − TSGW_RX_POLL TTAG_REPLY = TSTAG_TX_FINAL − TSTAG_RX_RESP und TOF1 beziehungsweise TOF2 die jeweilige Signallaufzeit zwischen dem Transponder (T) und einem der zumindest zwei An- ker-Gateways (G1-G3) ist. 3. Verfahren nach einem der vorhergehenden Ansprüche, wobei bei der drahtlosen Kommunikation zwischen dem Objekt- Transponder (T) und dem zumindest einen Anker-Gateway (G1-G3) für eine Lokalisierungs-Abfrage eine Abfrage-, eine Antwort- und eine End-Nachricht (MP, MR, MF) versendet und empfangen wird. 4. Verfahren nach dem vorhergehenden Anspruch, wobei eine Vorgangsnummer (RNR) von der fehlersicheren Rechenvorrich- tung (F-CPU) erzeugt wird und von dieser mit der Antwort- Nachricht (MR) übertragen wird. 5. Verfahren nach dem vorhergehenden Anspruch, wobei die Vorgangsnummer (RNR) eine Zufallszahl ist. 6. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Zeitstempel-Kontrollinformation (CRC1, CRC2) eine Pari- tätsinformation ist. 7. Verfahren nach einem der vorhergehenden Ansprüche, wobei bei der Berechnung der Zeitstempel-Kontrollinformation (CRC1, CRC2) eine Kommunikations-Adresse des Objekt-Transponder (T) oder des zumindest einen Anker-Gateway (G1-G3) berücksichtigt wird. 8. Verfahren nach einem der vorhergehenden Ansprüche, wobei zu einem ersten und einem zweiten Zeitpunkt jeweils sichere Distanzen (dTWR) bestimmt werden, aus welchen eine Bewegungs- geschwindigkeit des Transponders (T) ermittelt wird, und die Bewegungsgeschwindigkeit mit einem vordefinierten Grenzwert verglichen wird. 9. Vorrichtung zur Bestimmung einer sicheren Distanz (dTWR) mit einer fehlersichere Rechenvorrichtung (F-CPU) nach der Zweiwege-Entfernungsmethode zwischen einem drahtlos kommuni- zierenden Objekt-Transponder (T) und zumindest einem Anker- Gateway (G1-G3), welche jeweils Mittel zur Erfassung von Zeitstempeln aufweisen, dadurch gekennzeichnet, dass die Schritte des Verfahrens nach einem der vorhergehenden Ansprü- che ausgeführt werden. Claims 1. A method for determining a safe distance (d TWR ) according to the two-way distance method between a wirelessly communicating object transponder (T) and at least one anchor gateway (G1-G3), each of which has means for recording time stamps, thereby marked that the following steps are carried out: a) Acquisition of send and receive time stamps (TS TAG_TX_POLL , TS GW_RX_POLL , TS GW_TX_RESP , TS TAG_RX_RESP , TS TAG_TX_FINAL , TS GW_RX_FINAL ) for a respective communication message on the part of the ) and the at least one anchor gateway (G1-G3), b) transmission of the respective time stamp (TS TAG_TX_POLL , T S GW_RX_POLL , TS GW_TX_RESP , TS TAG_RX_RESP , TS TAG_TX_FINAL , T SGW_RX_FINAL) from the transponder (T) and -Gateway (G1-G3) with at least one respective time stamp control information (CRC1, CRC2) to a fail-safe computing device (F-CPU), c) performing at least one over Checking by the fail-safe computing device (F-CPU) selected from: c1) Checking the correctness of the respective time stamp (TS TAG_TX_POLL , TS GW_RX_POLL , TS GW_TX_RESP , TS TAG_RX_RESP , TS TAG_TX_FINAL , TS GW_RX_FINAL ) using at least one control information (time stamp) CRC1, CRC2), c2) Checking the calculated time for the processing times of the transponder (T) and that of the at least one anchor gateway (G1-G3) on the basis of known empirical values, d) Determining the safe distance (d TWR ) using the checked time stamps (TS TAG_TX_POLL , TS GW_RX_POLL , TS GW_TX_RESP , TS TAG_RX_RESP , TS TAG_TX_FINAL , TS GW_RX_FINAL ) by the fail-safe computing device (F-CPU), with the time stamp ( TSTAG_TX_POLL, TSGW_RX_POLL, TSGW_TX_RESP, TSTAG_FAL_RESP, TSTAG_FALWINRES) only using the error (TSTAG_FWINRES) or, alternatively, can only be brought about by one of the at least two anchor gateways (G1-G3). 2. The method according to the preceding claim, wherein an indicator value (safe_twr_value) for a safe distance measurement is determined by means of the fail-safe computing device (F-CPU) by the following relationship, which is a measure of the safety of the calculated safe distance (d TWR ) where T Round1 = 2 ∙ T0F 1 + TGW_REPLY T Round2 = 2 ∙ T0F 2 + T TAG_REPLY T GW_REPLY = TS GW_TX_RESP - TS GW_RX_POLL T TAG_REPLY = TS TAG_TX_FINAL - TS TAG_RX_RESP and TOF 1 and TOF 2, the respective signal propagation time between the transponder ( T) and one of the at least two anchor gateways (G1-G3). 3. The method according to any one of the preceding claims, wherein in the wireless communication between the object transponder (T) and the at least one anchor gateway (G1-G3) for a localization query, a query, a response and an end Message (MP, MR, MF) is sent and received. 4. The method according to the preceding claim, wherein a process number (RNR) from the fail-safe computing device device (F-CPU) is generated and is transmitted by this with the response message (MR). 5. The method according to the preceding claim, wherein the event number (RNR) is a random number. 6. The method according to any one of the preceding claims, wherein the time stamp control information (CRC1, CRC2) is parity information. 7. The method according to any one of the preceding claims, wherein a communication address of the object transponder (T) or of the at least one anchor gateway (G1-G3) is taken into account when calculating the time stamp control information (CRC1, CRC2). 8. The method according to any one of the preceding claims, wherein safe distances (d TWR ) are determined at a first and a second time, from which a movement speed of the transponder (T) is determined, and the movement speed is compared with a predefined limit value . 9. Device for determining a safe distance (d TWR ) with a fail-safe computing device (F-CPU) according to the two-way distance method between a wirelessly communicating object transponder (T) and at least one anchor gateway (G1-G3), which each have means for recording time stamps, characterized in that the steps of the method according to one of the preceding claims are carried out.
EP20824141.4A 2019-12-12 2020-12-04 Method and device for determining a definite distance Pending EP4055409A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP19215728.7A EP3835821A1 (en) 2019-12-12 2019-12-12 Method and device for determining a safe distance
PCT/EP2020/084637 WO2021115952A1 (en) 2019-12-12 2020-12-04 Method and device for determining a definite distance

Publications (1)

Publication Number Publication Date
EP4055409A1 true EP4055409A1 (en) 2022-09-14

Family

ID=69104219

Family Applications (2)

Application Number Title Priority Date Filing Date
EP19215728.7A Pending EP3835821A1 (en) 2019-12-12 2019-12-12 Method and device for determining a safe distance
EP20824141.4A Pending EP4055409A1 (en) 2019-12-12 2020-12-04 Method and device for determining a definite distance

Family Applications Before (1)

Application Number Title Priority Date Filing Date
EP19215728.7A Pending EP3835821A1 (en) 2019-12-12 2019-12-12 Method and device for determining a safe distance

Country Status (4)

Country Link
US (1) US20230046478A1 (en)
EP (2) EP3835821A1 (en)
CN (1) CN115038988A (en)
WO (1) WO2021115952A1 (en)

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7660588B2 (en) 2002-10-17 2010-02-09 Qualcomm Incorporated Method and apparatus for improving radio location accuracy with measurements
WO2006030341A1 (en) * 2004-09-17 2006-03-23 Koninklijke Philips Electronics N.V. Proximity check server
CN101444134A (en) * 2004-12-30 2009-05-27 网状网络公司 System and method for determining the mobility of nodes in a wireless communication network
US8325704B1 (en) * 2007-05-16 2012-12-04 Dust Networks, Inc. Time correction and distance measurement in wireless mesh networks
WO2010005731A1 (en) 2008-06-16 2010-01-14 Skyhook Wireless, Inc. Methods and systems for determining location using a cellular and wlan positioning system by selecting the best wlan ps solution
US20130286960A1 (en) * 2012-04-30 2013-10-31 Samsung Electronics Co., Ltd Apparatus and method for control channel beam management in a wireless system with a large number of antennas
WO2015183965A1 (en) * 2014-05-27 2015-12-03 Qualcomm Incorporated Location support using a device identification conveyed by a positioning protocol
JP6834642B2 (en) * 2017-03-21 2021-02-24 株式会社明電舎 Time correction method
CN108834071A (en) * 2018-09-12 2018-11-16 西安维德汇通工业自动化有限公司 A method of positioning Wireless-wire message is merged based on TOF/TDOA

Also Published As

Publication number Publication date
WO2021115952A1 (en) 2021-06-17
CN115038988A (en) 2022-09-09
EP3835821A1 (en) 2021-06-16
US20230046478A1 (en) 2023-02-16

Similar Documents

Publication Publication Date Title
EP4052062A1 (en) Method and system for locating a wireless communication object transponder, and passenger protection system
DE102019110882B4 (en) Securing a moving machine part
DE102005050979B4 (en) Method for functional testing of a safety output circuit of an optical sensor
DE102016116350B3 (en) monitoring device
DE102013112488A1 (en) Safety controller with configurable inputs
EP3193071B1 (en) Safety system
EP3855208A1 (en) Security system and method
EP3474564A1 (en) Sensor and method for serial transmission of data relating to the sensor
EP1833005A1 (en) Detector system and method for detection
EP2989548B1 (en) Monitoring of redundant components
EP3828584A1 (en) Safety system
EP3859382A1 (en) Security system and method for locating a person or object in a surveillance area with a security system
EP3812863B1 (en) Movable machine
EP4102252A1 (en) Secure monitoring of a protected area using a tof camera
EP4055409A1 (en) Method and device for determining a definite distance
EP1771775B1 (en) Method for detecting errors in sensor values and error detection device
DE202017104603U1 (en) System for securing a machine
EP2527868A1 (en) Optoelectronic security sensor to measure distance for monitoring a surveillance area
DE102020107950A1 (en) Procedure for fault detection and safe sensor system
EP3015755B1 (en) RFID element, RFID transmitter/reception system and safety switch
DE102020129823B4 (en) Visualization of a protective field
DE102017119283B4 (en) Sensor system
DE202020100454U1 (en) Security system for the localization of a person or an object in a surveillance area
DE102009056848B3 (en) Method for protecting danger region of machine and detecting objects, involves emitting object determination signal when light beams in cycles are interrupted in partial cycle, and directly discontinuing cycles after interruption of beams
DE202021104622U1 (en) security system

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20220608

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS