WO2024099231A1

WO2024099231A1 - 运动控制系统及方法

Info

Publication number: WO2024099231A1
Application number: PCT/CN2023/129671
Authority: WO
Inventors: 曲欣茹; 彭兴文; 王堃
Original assignee: 北京极智嘉科技股份有限公司
Priority date: 2022-11-08
Filing date: 2023-11-03
Publication date: 2024-05-16
Also published as: CN115903670A

Abstract

一种运动控制系统及方法，其中运动控制系统包括：控制平台（102）和至少一个移动设备（104），控制平台（102）与每个移动设备（104）之间通过至少两条通信链路通信；控制平台（102），被配置为在检测到安全事件被触发的情况下生成急停指令，通过第一通信链路（103），将急停指令传输至移动设备（104），第一通信链路（103）为至少两条通信链路中预设安全通信协议的通信链路；移动设备（104），被配置为通过第一通信链路（103）接收急停指令，利用预设安全通信协议对急停指令进行解析，基于解析结果执行停机操作。通过在控制平台（102）与移动设备（104）之间设置至少两条通信链路，用符合预设安全通信协议的第一通信链路（103）传输急停指令，降低了急停指令传输至移动设备（104）时出现传输失败的发生几率，提高了急停指令传输的安全性。

Description

运动控制系统及方法

本发明要求于2022年11月8日提交中国专利局、申请号为202211392751.3、发明名称为“运动控制系统及方法”的中国专利申请的优先权，其全部内容通过引用结合在本发明中。

技术领域

本发明涉及移动设备控制技术领域，特别涉及一种运动控制系统。本发明同时涉及一种运动控制方法。

背景技术

随着移动设备技术的发展，越来越多的移动设备在货运、仓储、物流、餐饮等产业服务中得到广泛应用，极大方便了人类的生产生活。

在移动设备工作场景中，对移动设备进行控制时，通过向移动设备传输对应的控制信号，以使移动设备按照该控制信号进行运动，但是在控制信号传输的通道出现故障或者存在安全隐患(控制信号有被篡改的风险)时，无法通过传输控制信号对移动设备进行管理，可能会造成机器人失控的风险，因此，亟需一种安全的运动控制的方法。

发明内容

有鉴于此，本发明实施例提供了一种运动控制系统，以解决现有技术中存在的技术缺陷。本发明实施例同时提供了一种运动控制方法。

根据本发明实施例的第一方面，提供了一种运动控制系统，运动控制系统包括：控制平台和至少一个移动设备，其中，控制平台与每个移动设备之间通过至少两条通信链路通信；

控制平台，被配置为在检测到安全事件被触发的情况下生成急停指令，通过第一通信链路，将急停指令传输至移动设备，其中，急停指令符合预设安全通信协议，第一通信链路为至少两条通信链路中预设安全通信协议的通信链路；

移动设备，被配置为通过第一通信链路接收急停指令，利用预设安全通信协议对急停指令进行解析，基于解析结果执行停机操作。

根据本发明实施例的第二方面，提供了一种运动控制方法，应用于运动控制系统，运动控制系统包括：控制平台和至少一个移动设备，其中，控制平台与每个移动设备之间通过至少两条通信链路通信；运动控制方法包括：

控制平台在检测到安全事件被触发的情况下生成急停指令，通过第一通信链路，将急停指令传输至移动设备，其中，急停指令符合预设安全通信协议，第一通信链路为至少两条通信链路中预设安全通信协议的通信链路；

移动设备通过第一通信链路接收急停指令，利用预设安全通信协议对急停指令进行解析，基于解析结果执行停机操作。

根据本发明实施例的第三方面，提供了一种运动控制方法，应用于控制平台，运动控制方法包括：

在检测到安全事件被触发的情况下，生成急停指令；

通过第一通信链路，将急停指令传输至移动设备，其中，急停指令符合预设安全通信协议，第一通信链路为控制平台与移动设备之间至少两条通信链路中预设安全通信协议的通信链路。

根据本发明实施例的第四方面，提供了一种运动控制方法，应用于移动设备，运动控制方法包括：

通过第一通信链路接收控制平台传输的急停指令，其中，第一通信链路为控制平台与移动设备之间至少两条通信链路中预设安全通信协议的通信链路，急停指令符合预设安全通信协议；

利用预设安全通信协议对急停指令进行解析，基于解析结果执行停机操作。

本发明提供的运动控制系统包括：控制平台和至少一个移动设备，控制平台与每个移动设备之间通过至少两条通信链路通信；控制平台，被配置为在检测到安全事件被触发的情况下生成急停指令，通过第一通信链路，将急停指令传输至移动设备，第一通信链路为至少两条通信链路中预设安全通信协议的通信链路；移动设备，被配置为通过第一通信链路接收急停指令，利用预设安全通信协议对急停指令进行解析，基于解析结果执行停机操作。通过在控制平台与移动设备之间设置至少两条通信链路，在控制平台检测到安全事件被触发的情况下，生成符合预设安全通信协议的急停指令，使得该急停指令可以通过预设安全通信协议的第一通信链路进行传输，传输至移动设备，移动设备在接收到第一通信链路传输的急停指令后，对该急停指令进行解析，并基于解析结果执行停机操作，也即为急停指令设定第一通信链路，与其他的通信信号采用不同的通信链路进行传输，并且通过预设安全通信协议对急停指令的传输进行保护，降低了在急停指令传输至移动设备时出现传输失败或错误的发生几率，提高了急停指令传输的安全性。

附图说明

被结合在说明书中并构成说明书的一部分的附图示出了本公开的实施例，并且连同其说明一起用于解释本公开的原理。

图1是本发明一实施例提供的一种运动控制系统的结构示意图；

图2是本发明一实施例提供的一种运动控制系统架构下的交互流程图；

图3是本发明一实施例提供的一种运动控制系统中执行机构的结构示意图；

图4是本发明一实施例提供的一种运动控制系统的详细的结构示意图；

图5是本发明一实施例提供的一种图4中电路14的结构示意图；

图6是本发明一实施例提供的一种图5的细化的结构示意图；

图7是本发明一实施例提供的一种运动控制方法的方法流程图；

图8是本发明一实施例提供的一种运动控制系统架构下的执行机构交互流程图；

图9是本发明一实施例提供的另一种运动控制系统架构下的执行机构交互流程图；

图10是本发明一实施例提供的一种运动控制系统的数据流图；

图11是本发明一实施例提供的另一种运动控制系统的数据流图；

图12是本发明一实施例提供的一种运动控制方法的交互流程图；

图13是本发明一实施例提供的一种应用于控制平台的运动控制方法的流程图；

图14是本发明一实施例提供的一种应用于移动设备的运动控制方法的流程图；

图15是本发明一实施例提供的一种控制平台的结构框图；

图16是本发明一实施例提供的一种移动设备的结构框图。

具体实施方式

在下面的描述中阐述了很多具体细节以便于充分理解本发明。但是本发明能够以很多不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广，因此本发明不受下面公开的具体实施的限制。

在本发明一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明一个或多个实施例。在本发明一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本发明一个或多个实施例中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本发明一个或多个实施例中可能采用术语第一、第二等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本发明一个或多个实施例范围的情况下，第一也可以被称为第二，类似地，第二也可以被称为第一。

首先，对本发明一个或多个实施例涉及的名词术语进行解释。

ISO 3691-4：目前唯一的工业无人驾驶车辆国际标准。

三种停止类别：停止类别0为通过立即切断供给机器设备的电源来实现停止，也就是停止不受控制；停止类别1为受控制的停止，供给机器设备执行机构的电源一直保持，以使机器设备逐渐停止下来。只有当机器设备完全停止后电源才被切断；停止类别2为受控制的停止，供给机器设备驱动装置的电源一直保持。

网段(network segment)一般指一个计算机网络中使用同一物理层设备能够直接通讯的那一部分。

透传：即透明传输(pass-through)，指的是在通讯中不管传输的业务内容如何，只负责将传输的内容由源地址传输到目的地址，而不对业务数据内容做任何改变。

系统软件：是指控制和协调计算机及外部设备，支持应用软件开发和运行的系统，是无需用户干预的各种程序的集合，主要功能是调度、监控和维护计算机系统。

自动导航车(AGV，Automated Guided Vehicle)：又名无人搬运车，其显著的特点是无人驾驶，AGV上装备有自动导向系统，可以保障系统在不需要人工引航的情况下就能够沿预定的路线自动行驶，将货物或物料自动从起始点运送到目的地。

无线(WIFI，Wireless Fidelity)：又名移动热点，代表无线保真度，通常只是以缩写的形式出现。

光栅：由大量等宽等间距的平行狭缝构成的光学器件。

互联网协议(IP，Internet Protocol Address)地址：又名网际协议地址，是IP协议提供的一种统一的地址格式，IP协议是为计算机网络相互连接进行通信而设计的协议。

CIP Safety协议：是通用工业协议(CIP，Common Industrial Protocol)标准功能的扩展，可用于功能安全应用，它通过添加CIP安全应用层功能来扩展模型，用于确保安全系统在正常通信或错误发生时，在已知的时间内以正确的行为或者选择一个预先确定的安全状态来响应。

Profisafe协议：是一种故障安全协议，使标准现场总线技术和故障安全技术合为一个系统，即故障安全通信和标准通信在同一根电缆上共存，安全通信不通过冗余电缆来实现。

PCIE(Peripheral Component Interface Extend)总线：是一个树状形的接口总线，其主要为中央处理器(CPU，Central Processing Unit)提供访问外围设备的总线接口。

EtherNet/IP：是一个现代化的标准协议，是为了在以太网中使用CIP协议而进行数据封装。

控制器局域网总线(CAN，Controller Area Network)：是一种用于实时应用的串行通讯协议总线，是世界上应用最广泛的现场总线之一。

在现有AGV的应用场景中，在系统端和场地内多台AGV之前，通过同一条无线链路传输AGV调度指令和系统急停指令，在这种通信架构下，AGV调度指令和系统急停指令通过数据链路层进行交互，缺乏附加安全措施的保护，即系统急停指令同AGV调度指令存在同样的出错概率，这带来了系统急停功能无法可靠实现的问题，不能达到相关安全标准中对于急停所需安全等级的要求。

进一步，多台AGV在系统调度下做高速运行，当有异常情况发生时，服务器端接到请求，通过软件控制下发系统急停的指令，以无线的方式将系统急停指令下达到场地内每台AGV，收到指令的AGV立即停止。这种急停指令的传输方式使急停指令缺乏安全通信层的保护，存在指令被篡改、损坏等可能性，导致AGV没有收到正确的急停指令，导致AGV无法及时停止，造成风险。

为了解决上述技术问题，本发明提供的运动控制系统包括：控制平台和至少一个移动设备，控制平台与每个移动设备之间通过至少两条通信链路通信；控制平台，被配置为在检测到安全事件被触发的情况下生成急停指令，通过第一通信链路，将急停指令传输至移动设备，第一通信链路为至少两条通信链路中预设安全通信协议的通信链路；移动设备，被配置为通过第一通信链路接收急停指令，利用预设安全通信协议对急停指令进行解析，基于解析结果执行停机操作。通过在控制平台与移动设备之间设置至少两条通信链路，在控制平台检测到安全事件被触发的情况下，生成符合预设安全通信协议的急停指令，使得该急停指令可以通过预设安全通信协议的第一通信链路进行传输，传输至移动设备，移动设备在接收到第一通信链路传输的急停指令后，对该急停指令进行解析，并基于解析结果执行停机操作，也即为急停指令设定第一通信链路，与其他的通信信号采用不同的通信链路进行传输，并且通过预设安全通信协议对急停指令的传输进行保护，降低了在急停指令传输至移动设备时出现传输失败或错误的发生几率，提高了急停指令传输的安全性。进一步使得本发明提供的急停指令的安全传输方式可以符合相关安全标准，且在要求的可接受范围内，也即，使传输急停指令的第一通信链路可以达到无人驾驶工业车辆领域ISO 3691-4标准规定的安全等级要求。

在本发明中，提供了一种运动控制系统。本发明同时涉及一种运动控制方法，在下面的实施例中逐一进行详细说明。

参见图1，图1示出了根据本发明一个实施例提供的一种运动控制系统的结构示意图，运动控制系统包括控制平台102和至少一个移动设备104，以一个移动设备104为例，控制平台102与移动设备104之间通过至少两条通信链路通信，第一通信链路103，具体如下：

控制平台102：被配置为在检测到安全事件被触发的情况下生成急停指令，通过第一通信链路103，将所述急停指令传输至所述移动设备104，其中，所述急停指令符合预设安全通信协议，所述第一通信链路103为所述至少两条通信链路中所述预设安全通信协议的通信链路；

所述移动设备104，被配置为通过所述第一通信链路103接收所述急停指令，利用所述预设安全通信协议对所述急停指令进行解析，基于解析结果执行停机操作。

具体地，控制平台是指对多个移动设备进行控制的平台，比如，在仓储管理场景下，存在一个AGV工作区域，里面可以有多个AGV，在AGV工作区域外面设置有控制平台，对AGV进行监控、控制，该控制平台可以是由至少一台实体硬件组成，其进行控制包括但不限于控制移动、控制搬运、控制减速、控制停机等，通过对移动设备进行控制，可以实现移动设备的调度与停止，例如，控制平台可以包括生成调度指令的服务器(调度指令具体是由服务器上的软件生成)，还可以包括生成急停指令的安全控制器(急停指令具体是安全控制器对安全事件的触发响应生成)。相应的，移动设备是指可以依据控制平台的指令进行自主移动或停止的设备，比如移动设备可以是机器人、AGV小车等，自主移动设备通过控制平台的指令进行对应的处理，可实现控制平台对机器人设备的控制。

相应地，安全事件是指设备安全运行所需的条件，比如安全事件被触发可以是在移动设备区域的急停按钮被按下、光栅检测到被遮挡或者安全门锁被打开等等，而这些事件被触发后，使得对应工作区域的移动设备需要做出相应的处理，即急停操作。在检测到安全事件被触发时，控制平台就会产生急停指令，并将急停指令传输至移动设备端，由移动设备进行对应的急停处理，也即通过对安全事件是否被触发的检测，使得在安全事件被触发的情况下可以迅速做出相对应的处理，以防止未生成与安全事件对应的处理流程。急停指令是指包含令移动设备进行急停的信息的指令，通过急停指令，可以使移动设备在任意状态下都可以进行急停操作，直至停止。

进一步地，通信链路是指在两个节点之间的信号传输通道，通信链路可以是无线通信链路也可以是有线通信链路。在运动控制系统中，控制平台与移动设备之间至少存在两条通信链路，其中第一通信链路是预设安全通信协议的链路，该第一通信链路被预设安全通信协议所保护，使得在符合预设安全通信协议的急停指令在通过第一通信链路进行传输时，可以被预设安全通信协议所保护，且与其他的指令用不同的通信链路进行传输，比如，调度指令可以是使用与第一通信链路不同的第二通信链路进行传输。预设安全通信协议是指预先设置的对第一通信链路进行保护的安全通信协议，通过在第一通信链路中加入预设安全通信协议，使得在将急停指令由控制平台传输至移动平台时，在使用第一通信链路的同时，进一步起到了保护的作用，避免了在与其他指令共用同一条通信链路时，由于其他指令出现状况时导致的急停指令也无法传输的问题。

可选地，预设安全通信协议通常为CIP safety协议或者Profisafe协议等其他安全通信协议。

基于此，在控制平台检测到安全事件被触发时，迅速反应生成符合预设安全通信协议的急停指令，以使该急停指令可以通过预设安全通信协议的第一通信链路，之后控制平台通过第一通信链路将该急停指令传输至移动设备；该移动设备通过第一通信链路接收该急停指令，并由于该急停指令生成时是需要符合预设安全通信协议的，故在移动设备需要依据该指令进行对应的处理时，预先对其进行解析，得到解析结果，再基于该解析结果执行相应的停机操作，该停机操作可以是使移动设备执行减速停止操作，也可以是使移动设备执行关机操作。

参见图2，图2示出了根据本发明一实施例提供的一种运动控制系统架构下的交互流程图。

本发明一种可选的实施例中，控制平台包括安全触发机构202和第一安全控制机构204；

所述安全触发机构202，被配置为在识别到符合安全触发条件的事件发生时，生成安全事件触发信号发送至所述第一安全控制机构204；

所述第一安全控制机构204，被配置为接收所述安全触发机构202发送的所述安全事件触发信号，利用所述预设安全通信协议对所述安全事件触发信号进行编码得到急停指令，通过第一通信链路，将所述急停指令传输至所述移动设备。

具体地，安全触发机构202是指通过触发产生安全事件的机构，比如触发可以是指点击急停按钮、打开安全门等等，安全触发机构202可以是急停按钮、安全门、光栅等等，通过安全触发机构202对安全事件进行触发，后续依据安全事件控制平台和移动设备进行处理。

可选地，在安全事件被通过安全触发机构202触发之前，可以是安全触发机构202持续稳定输出一个信号，在被触发时，输出信号消失或产生突变；还可以是安全触发机构202未输出信号，在被触发时，突然产生输出信号。

可选地，安全触发机构202的触发可以是有多种方式，一种可能的实现方式中，安全触发机构202是急停按钮，急停按钮使用的是双回路脉冲，即由两个电源对急停按钮提供输入与输出，具体可以是在操作人员通过按下急停按钮之前，急停按钮由回路1供电提供的是低脉冲，输出的是低电平，在急停按钮被按下时，由回路2为急停按钮提供电流，提供高脉冲输出高电平；另一种可能的实现方式中，安全触发机构202可以是安全门或光栅，安全门和光栅使用的均是输出信号切换装置(OSSD，Output Signal Switch Device)信号，在安全门被打开或光栅被遮挡住之前，输出信号切换装置时处于关闭状态，即安全门与光栅不输出信号，在安全门被打开或光栅被遮挡后，输出信号突变为高电平或低电平信号。

具体地，第一安全控制机构204是指在控制平台对移动设备进行控制中主要的控制机构，用于对移动设备的移动和停止进行控制，其用于在自身或者与它相连的设备出现故障或产生突变信号时，及时进行响应，比如，在检测到安全触发机构202被触发，产生安全事件时生成急停指令，并将急停指令传输至移动设备端，避免在设备出现故障或突变时，无法进行及时处理。具体参见图2，安全事件触发信号是指安全触发机构202被触发时产生的信号，比如可以是急停按钮被按下、光栅被遮挡、安全门被打开激活等等。

利用预设安全通信协议对安全事件触发信号进行编码可以是第一安全控制机构204中的逻辑编程对该安全事件触发信号进行编码，得到符合CIP safety协议安全格式的急停指令。

可选地，具体参见图2，第一安全控制机构204可以是包括第一安全输入输出接口、第一安全处理器和安全网络模块，其中第一安全输入输出接口，用于接收安全触发机构202生成的安全事件触发信号，并将接收到的安全事件触发信号提供给第一安全处理器进行处理；其中第一安全处理器，通过逻辑编程的响应，利用预设安全通信协议，将该安全事件触发信号编码为符合CIP safety协议安全格式的急停指令，并且在对该安全事件触发信号进行编码之前，还需要对该信号进行校验，比如冗余检测，将重复的或者错误的触发信号进行删除或提取、数据完整性校验，接收到触发信号中显示，急停按钮仅被按下一半，通过对按压的事件进行检验，确定是否真实触发生成安全事件、超时检测，对安全事件触发信号从安全触发机构202到第一控制执行机构的传输时间是否超时，比如可以是预先设置时间阈值为0.01秒，将检测到的时间与预设时间阈值进行比对，判断是否超时、连接授权检测，可以是检测需要控制的移动设备是否是与该控制平台相连接，若检测结果为已授权，则继续后续处理；其中安全网络模块，通过网络端口的形式发送相应的指令，即急停指令或复位指令。

应用本发明实施例的方案，控制平台包括安全触发机构202与第一安全控制机构204，通过安全触发机构202对安全事件进行触发与否，在触发的情况下，由第一安全控制机构204对该生成的安全事件进行编码，生成急停指令，使得在控制平台端对安全事件进行触发时，控制平台就会直接将该安全事件对应的安全事件触发信号进行处理，生成移动设备可以直接根据此进行处理的指令，提高了对安全事件被触发的响应效率，进一步提高了对急停指令的传输效率。

本发明一种可选的实施例中，控制平台包括无线发送器206；

所述无线发送器206，被配置为将所述急停指令转发至目的端口，通过所述目的端口将所述急停指令转换为无线信号传输至所述移动设备，其中，所述目的端口为所述控制平台与所述移动设备通过所述第一通信链路进行数据传输的端口。

具体地，无线发送器206用于对无线信号进行传输，也即将接收到的急停指令转换为无线信号形式，然后进行发送。具体参见图2，无线发送器206可以包括交换器、无线控制器和无线接入点，其中交换器用于接收急停指令，并将急停指令转发至无线控制器和无线接入点，由无线控制器和无线接入点对该急停指令进行处理，得到无线信号形式的急停指令，并将该无线信号通过第一通信链路传输至移动设备。目的端口是指控制平台与移动设备通过第一通信链路进行数据传输的端口。

应用本发明实施例的方案，利用无线发送器将急停指令转换为无线发送器可以传输的无线信号形式，以使该急停指令可以通过无线的方式通过第一通信链路，从控制平台传输至移动设备，通过无线传输方式提高了传输的效率，且是通过第一通信链路进行传输的，对无线方式的传输提供了保障，进一步提高了传输急停指令的安全性。

本发明一种可选的实施例中，控制平台还包括网络地址转换设备；

所述无线发送器，进一步被配置为将所述急停指令发送至所述网络地址转换设备；

所述网络地址转换设备，被配置为对所述急停指令进行地址转换，并将地址转换后的所述急停指令转发至所述目的端口，通过所述目的端口将地址转换后的所述急停指令以无线信号的形式传输至所述移动设备。

具体地，网络地址转换(NAT，Network Address Translation)设备是一种虚拟的网络地址转换器，对跨网段通信进行内部转地址处理，也即将无线发送器发送的数据的网络地址转换为目标网络地址，该目标网络地址符合移动设备对应的网络地址，得到符合移动设备的目标网络地址的数据。

示例性地，在跨网段的场景中，控制平台包括无线发送器和网络地址转换设备，控制平台与移动设备进行无线信号传输，其中，移动设备与无线发送器分属于不同的网段，无线发送器的IP地址属于第一网段、移动设备的IP地址属于第二网段，则需要利用网络地址转换设备，将无线发送器发送的信号由第一网段的IP地址转换为对应的第二网段的IP地址，完成信号跨网段的转换与发送，使得属于不同网段的控制平台和移动设备之间通过网络地址转换设备实现信号的传输。

应用本发明实施例的方案，控制平台还包括网络地址转换设备，通过网络地址转换设备，使得在控制平台与移动设备所属网段不同时，可以通过网络地址转换设备实现两端之间信号的传送，以便于后续移动设备基于接收到的指令进行相应的处理。

本发明一种可选的实施例中，移动设备包括无线接收器；

所述无线接收器，被配置为通过所述第一通信链路接收所述无线信号，将所述无线信号转发为以太网端口格式的急停指令。

具体地，参见图2，无线接收器208用于对无线信号进行接收，并将接收到的无线信号转换为以太网格式的急停指令，无线接收器208可以包括无线接收模块、无线接收处理器、转发模块；其中无线接收模块用于对从控制平台的无线发送器206中发送的无线信号进行接收并转发给无线接收处理器，转发给无线接收处理器的方式可以是通过PCIE总线进行转发；其中无线接收处理器用于对接收到的无线信号透传给转发模块，由转发模块进行处理；其中转发模块用于对接收到的无线信号进行转换，转换为以太网端口格式，进行输出。

应用本发明实施例的方案，移动设备的无线接收器通过将接收到的无线信号进行转换，转换为以太网端口格式的急停指令，并进行转发，也即移动设备在初接收到无线信号时，先将其进行转换，转换为移动设备端进行执行时可以识别的格式的信号，便于后续基于以太网格式的急停指令执行停机操作。

本发明一种可选的实施例中，移动设备包括第二安全控制机构210和执行机构212；

所述第二安全控制机构210，被配置为利用所述预设安全通信协议对所述急停指令进行解析，得到解析结果，将所述解析结果发送至所述执行机构212；

所述执行机构212，被配置为基于所述解析结果执行停机操作。

具体地，第二安全控制机构210是指移动设备中基于控制平台的指令对移动设备进行控制执行的机构，具体是对从控制平台接收到的指令，利用预设安全通信协议对该指令进行解析，并将解析得到的结果进行输出，比如在基于控制平台的急停指令进行处理时，可以是由第二安全控制机构210对急停指令进行解析，得到解析结果，以便于该移动设备可以基于该解析结果执行停机操作。执行机构212是指在移动设备中，依据指令对移动设备进行执行的机构，比如在接收到急停指令时，基于该急停指令，执行停机操作或减速停止工作；在接收到调度指令时，基于该调度指令，执行对应的操作。

可选地，具体参见图2，第二安全控制机构210可以包括网络通信栈、第二处理器、安全协议栈和第二安全输入输出接口；其中网络通信栈是一个Ethernet/IP通信栈模块，接收到控制指令，并对接收到的控制指令进行过滤识别，识别到该控制指令为从第一通信链路接收的安全指令，则认为其为急停指令，将该急停指令转发至安全协议栈，安全协议栈通过预设安全通信协议对符合预设安全通信协议的急停指令进行解析，得到解析结果，然后通过第二安全输入输出接口将解析结果以输入输出量形式进行安全输出。第二处理器用于配置网络通信栈的初始化信息，并采集第二安全控制机构210中包含的内部模块的状态信息和故障信息，同时输出第二安全控制机构210内部的各个模块的初始状态信息、故障信息等。

应用本发明实施例的方案，移动设备包括第二安全控制机构210和执行机构212，在第二安全机构接收到急停指令时，进行处理，确定该急停指令为安全指令，并将该安全指令转发至执行机构212，由执行机构212根据该急停指令进行对应的处理，实现了对急停指令的进一步确定，进而执行，也即提高了急停指令传输的正确率。

本发明一种可选的实施例中，所述执行机构212包括：延迟组件、移动控制器、安全驱动器、电机和速度编码器；

所述移动控制器，被配置为响应于所述急停指令的解析结果，获得所述移动设备的当前移动速度，根据所述当前移动速度预测电机减速信息，并将所述电机减速信息发送至所述安全驱动器；

所述安全驱动器，被配置为驱动所述电机按照所述电机减速信息减速；

所述延迟组件，被配置为响应于所述急停指令的解析结果，在达到预设延迟时间的情况下，向所述安全驱动器发送断电指令；

所述安全驱动器，还被配置为根据所述断电指令驱动所述电机断电并抱闸；

所述速度编码器，被配置为获取所述电机的当前转速，并将所述当前转速反馈至所述移动控制器；

所述移动控制器，还被配置为在所述当前转速与预设转速不匹配的情况下，产生报警信息。

具体地，移动控制器是指对移动设备的执行机构212进行控制的控制器，用于响应于该急停指令的解析结果，并获得该移动设备的当前移动速度，基于该解析结果和当前移动速度，预测电机减速信息；电机减速信息可以是基于解析结果使得执行机构212执行急停操作，进而根据当前速度预测出不伤害该移动设备的电机减速信息。电机减速信息是指预测得到的给移动设备进行减速的加速度信息或电机的转速。安全驱动器是指移动设备中基于移动控制器的指令，对移动设备的电机进行驱动的设备，也即用于驱动电机按照电机减速信息进行减速，使得该移动设备减速停止。延迟组件是指对电机的延迟停机进行控制的设备，比如可以是预先为延迟组件设置延迟时间，在到达预设延迟时间时，延迟组件向电机发送断电指令，其中，延迟时间通常根据拨码开关调节阻值来设定，由硬件电路完成，默认为2秒，可根据每个项目不同的地面条件和速度要求进行调整，所述断电指令可以是使得电机断电、停机、抱闸等。

进一步地，根据延迟组件，在达到预设延迟时间的情况下，安全驱动器还相应于延迟组件发送的断电指令，驱动电机断电抱闸。速度编码器是指电机基于安全驱动器进行断电抱闸时，在对该电机进行减速直至停止的过程中，获取电机的实时转速，电机进行断电并抱闸是需要经过减速、停止、停机、抱闸一系列进行处理的；之后移动控制器，还被配置为基于该实时获取到的当前转速与预设转速进行匹配，若不匹配时，产生报警信息，比如，在电机开始减速的第三秒，预设转速为3，当前转速为2.8，则确定不匹配，产生报警信息。

应用本发明实施例的方案，执行机构中包括延迟组件、移动控制器、安全驱动器、电机和速度编码器，通过移动控制器预测电机的减速信息，并通过速度编码器对电机的当前转速进行获取，确定与预设电机转速是否匹配，进而决定是否产生报警信息；延迟组件又通过预设延迟时间，在到达预设延迟时间时，无论电机是否已经减速停止至速度为零，均会通过安全驱动器驱动电机进行断电抱闸，避免移动设备在接收到急停指令后，未在预设的时间内执行停机操作造成更大的损失。

本发明一种可选的实施例中，所述执行机构212还包括：信号转换器；

所述信号转换器，被配置为将所述急停指令的解析结果转换为符合目标安全性能等级的初始安全信号，将所述初始安全信号输出至所述延迟组件，其中，所述目标安全性能等级为所述移动设备的安全性能等级；

所述延迟组件，进一步被配置为基于所述初始安全信号，在达到预设延迟时间的情况下，向所述安全驱动器发送断电指令。

机械设备在投入使用之前，可以按照机械安全标准进行设备风险评估，以确定机械设备的风险等级及所对应的性能等级(Performance Level，PL)，之后，可以在机械设备中部署相匹配性能等级的安全部件。例如，自主移动机器人(Autonomous Mobile Robot，AMR)这一可自动移动的移动设备(本发明下文简称为“移动设备”)被广泛应用于各个领域，例如智能仓储领域。移动设备的控制中包括安全停止(stop)控制。移动设备的stop分为以下三类：stop类型0：直接断电并机械抱闸；stop类型1：电子制动机器停止下来(过程有速度监控)，然后断电并机械抱闸；stop类型2：电子制动机器停止下来，速度零静止监控，如果超过阈值，断电并机械抱闸。

针对stop类型1，移动设备端通过部署安全驱动器等对移动设备进行安全保护控制。但，在移动设备端部署安全驱动器成本较高。而且，移动设备的性能等级例如是第一等级，而安全驱动器等控制部件的性能等级例如是第二等级，导致对移动设备的安全保护效果存在影响。

按照机械安全标准对设备进行风险评估，可以是指评估移动设备的平均每小时危险失效概率。一般的，按照风险评估的结果，对应划分五个性能等级(PL)，该五个PL从低到高包括PLa、PLb、PLc、PLd和PLe，其中，PLa为该五个PL中最低的等级，平均每小时危险失效概率相对最大，安全性也相对最差。PLe为该五个PL中最高的等级，平均每小时危险失效概率相对最小，安全性也相对最好。

例如，一种智能仓储场景中使用的移动设备，该类移动设备的PL例如是PLd等级。在使用过程中，可以结合场景的需求对移动设备的行为进行控制，如控制移动设备停止，相应控制器件应当是PLd等级的安全控制器件。一些实施例中，控制器件部署在移动设备中，而符合一定PL的控制机构包括安全驱动器和安全激光雷达等，或者安全驱动器和速度编码器等。这样，不仅拉高了控制部件的成本，而且安全驱动器和速度编码器组成的控制机构，PL为PLe等级，高于移动设备的PLd等级，造成了一定的资源浪费。

本发明实施例对应的stop类型为stop类型1，stop类型1的控制过程包括：在预设延时时间内，通过移动设备的延迟组件发送断电指令到安全驱动器，实现电子制动移动设备到速度为0，延时时间到达后，给安全驱动器输出安全转矩关断(Safe Torque Off，STO)信号，安全转矩关断(即马达断电)加机械抱闸制动。

以下结合附图3至8，对本发明实施例的执行机构212进行示例性描述。

如图3所示，本发明实施例的一种示例性中，执行机构212，可以包括：信号转换器10、延迟组件(delay circuit)11、模式选择组件12、监测电路13。信号转换器10是目标安全性能等级的电路，目标安全性能等级是移动设备的安全性能等级。这里涉及的移动设备是该执行机构212所控制的移动设备。如图3所示，本发明实施例的一种示例性执行机构212，可以包括：信号转换器10、延迟组件(delay circuit)11、模式选择组件12、监测电路13。

信号转换器10，被配置为将急停指令的解析结果转换为符合目标安全性能等级的初始安全信号，将初始安全信号输出至延迟组件11，其中，目标安全性能等级为移动设备的安全性能等级。信号转换器10是目标安全性能等级的电路。

延迟组件11，进一步被配置为基于初始安全信号，在达到预设延迟时间的情况下，向安全驱动器发送断电指令。

监测电路13，用于在监测到信号转换器10输出的初始保护停止信号的第一电平信号的情况下，将监测结果传送给移动设备控制器，以使移动设备控制器触发运动控制部件控制移动设备实现安全停止。监测电路13，还可以用于监测模式选择信号和急停开关信号。

一些实施例中，输入到信号转换器10的信号可以来自于移动设备的控制平台。

示例性的，目标安全性能等级例如是PLd等级。相应的，信号转换器10例如可以实现为PLd安全IO模块(PLd安全IO模块)。初始安全信号是符合PLd等级的安全信号。

本技术场景中，移动设备从响应控制指令至达到控制指令对应的目标状态，移动设备需要一定的执行时间。示例性的，以控制移动设备安全停止为例，移动设备从响应保护停止信号至减速到0，需要一定的执行时间。一些实施例中，预设延时时长可以依据移动设备的运动性能，通过拨码开关人工设置。预设延时时长例如为9s。

本实例中，低电平信号触发保护停止控制，延迟组件11可以用于对DO信号中的高电平信号直接输出，以触发移动设备开始执行停止操作。在接收到DO信号中的低电平信号后，延迟组件11并不将低电平信号输出，而是持续输出高电平信号，以达到预设延时时长(例如是9s)，本发明实施例将该过程称为对低电平信号的延时。在延时达到9s后，延迟组件11可以输出低电平信号。

可见，采用本发明实施例中，使用满足目标安全性能等级的电路元器件形成的执行机构212，代替现有技术中的安全控制器与其他器件组成的安全控制组件，能够为移动设备提供相匹配性能等级(即目标性能等级)的控制，且能够降低成本。

本发明一种可选实施例中，所述初始安全信号包括第一电平信号，其中，所述第一电平信号用于触发所述移动设备的安全停止；

所述执行机构212还包括：模式选择组件；

所述延迟组件，进一步被配置为在达到预设延迟时间的情况下，向所述模式选择组件发送所述第一电平信号；

所述模式选择组件，被配置为在根据输入的模式选择信号选择自动模式的情况下，若所述延迟组件输出所述第一电平信号，则向所述安全驱动器发送断电指令。

初始安全信号的第一电平信号用于维持移动设备的正常运行，第一电平信号用于触发对移动设备的安全停止。

模式选择组件12，用于在根据输入的模式选择信号选择自动模式的情况下，对延迟组件输出的信号、移动设备的急停开关信号和使能开关信号，进行逻辑与处理；在延迟组件输出第一电平信号或急停开关信号为第一电平信号的情况下，输出安全停止信号到移动设备的运动控制部件，以触发运动控制部件控制移动设备实现安全停止。

一些实施例中，初始安全信号包括第一电平信号。第一电平信号可以用于触发对移动设备的安全停止。

延迟组件11可以用于将第一电平信号直接传送到模式选择组件12；延迟组件11还可以用于按照预设延时时长对第一电平信号进行延时，以及将延时后的第一电平信号输出至模式选择组件12。

模式选择组件12，用于在根据输入的模式选择信号选择自动模式的情况下，对延迟组件11输出的信号、移动设备的急停开关信号和使能开关信号，进行逻辑与处理；在延迟组件11输出第一电平信号或急停开关信号为第一电平信号的情况下，输出安全停止信号到移动设备的运动控制部件，以触发运动控制部件控制移动设备实现安全停止。

此外，在根据输入的模式选择信号选择手动模式的情况下，延迟组件11到模式选择组件12的信号被旁路，只有急停开关信号为第一电平信号时，输出安全停止信号到移动设备的运动控制部件，以触发运动控制部件控制移动设备实现安全停止。

本发明一种可选实施例中，所述初始安全信号还包括第二电平信号，其中，所述第二电平信号用于维持所述移动设备的正常运行；

所述延迟组件，还被配置为将所述第二电平信号直接发送至所述模式选择组件。

一些实施例中，初始安全信号包括第二电平信号。其中，第二电平信号可以用于触发对移动设备行为的控制。实际实施场景中，初始安全信号的第一个信号可以是第二电平信号。

需要指出的是，延迟组件11在对第一电平信号进行延时期间，延迟组件11可以持续向模式选择组件12输出第二电平信号，以使运动控制部件在预设延时时长内，持续对移动设备进行控制。

本发明一种可选实施例中，所述执行机构还包括手动操作器信号接口，所述手动操作器信号接口用于接收模式选择信号；

所述模式选择组件，还被配置为响应于所述模式选择信号，将所述执行机构的控制模式切换为所述手动模式；在所述手动模式下，响应于使能开关信号，将所述执行机构的控制模式切换为所述自动模式。

本发明一种可选实施例中，所述延迟组件包括第一延迟电路和第二延迟电路；

所述信号转换器，进一步被配置为将所述初始安全信号分别输出至所述第一延迟电路和所述第二延迟电路。

参见图4，图3中示意的延迟组件11和模式选择组件12，共同组成电路14，14可以包括第一延迟电路141和第二延迟电路142。本示例中，信号转换器10可以用于将初始安全信号分别输出到第一延迟电路141和第二延迟电路142。

其中，信号转换器10输出到第一延迟电路141的初始安全信号为第一初始安全信号(例如图4中所示的DO1)。信号转换器10输出到第二延迟电路142的初始安全信号为第二初始安全信号(例如图4中所示的DO2)。

应理解，第一初始安全信号和第二初始安全信号是通过不同传输通道传输的内容相同的信号，在第一初始安全信号和第二初始安全信号传输过程中，相关部件均正常运行的情况下，第一初始安全信号和第二初始安全信号应当相同。这样，本发明实施例中，通过两个传输通道传输信号的方式，可以通过交叉验证两个通道的信号是否相同，来验证信号传输过程中是否存在安全隐患。

进一步的，移动设备的运动控制部件可以包括第一驱动电路21和第二驱动电路22。第一延迟电路141可以用于将第一初始安全信号的第二电平信号分别输出至第一驱动电路21的STO1(Safety torque off)和第二驱动电路22的STO1，以及将第一初始安全信号的第一电平信号按照预设延时时长延时后，分别输出至第一驱动电路21的STO1和第二驱动电路22的STO1。第二延迟电路142可以用于将第二初始安全信号的第二电平信号分别输出至第一驱动电路21的STO2和第二驱动电路22的STO2，以及将第二初始安全信号的第一电平信号按照预设延时时长延时后，分别输出至第一驱动电路21的STO2和第二驱动电路22的STO2。

为了便于区分，将第一延迟电路141输出的信号用DO1_delay表示；将第二延迟电路142输出的信号用DO1_delay表示。

这样一来，第一延迟电路141和第二延迟电路142中的任一出现故障，本发明实施例的执行机构，依然可以通过另一延迟组件对移动设备进行安全保护控制，有利于进一步提高安全性。

再次参见图4，一些实现方式中，移动设备的运动控制部件还可以包括移动设备控制器23、第一马达26和第二马达27。移动设备控制器23接收监测电路13(本实施例将监测电路13用作第一处理器)的监测结果，并向第一驱动电路21和第二驱动电路22发送信号。示例性的，第一驱动电路21和第二驱动电路22均可以用于响应第二电平信号，触发移动设备控制器控制移动设备进行安全停止。第一驱动电路21，还用于响应延时后的第一电平信号，触发第一马达26的安全转矩关断，并触发对第一马达26的机械抱闸制动；第二驱动电路22，还用于响应延时后的第一电平信号，触发第二马达27抱闸，并触发对第一马达27的机械抱闸制动。该过程，即为控制移动设备安全停止的过程。

示例性的，移动设备控制器23可以通过控制器局域网总线(CAN，Controller Area Network)与其他电路进行通信。例如，移动设备控制器23通过CAN与第一驱动电路21和第二驱动电路22通信，控制第一驱动电路21和第二驱动电路22。

第一延迟电路141可以与移动设备的第一路急停开关触点24连接，用于使第一延迟电路141延时后的第一电平信号，与第一路急停开关触点24触发的第一急停控制信号ES1(emergency stop)进行逻辑与运算；第二延迟电路142与移动设备的第二路急停开关触点25连接，用于使第二延迟电路142延时后的第一电平信号，与第二路急停开关触点25触发的第二急停控制信号ES2进行逻辑与运算。

由于急停控制信号和安全停止信号均用于触发移动设备停止，这样一来，有利于简化电路结构。

如图4，第一延迟电路141和第二延迟电路142还可以接收第二处理器的控制。第二处理器通过手动操作接入接口，生成手动操作器上的模式选择信号和使能开关信号。第一路模式选择信号MAN1输出到第一延迟电路141，第二路模式选择信号MAN2输出到第二延迟电路142。模式选择信号是第二电平信号(即高电平)时，切换为手动模式；在手动模式下，模式选择信号是第一电平信号(即低电平)时，切换为自动模式。自动模式下，控制延迟组件11正常传输保护停止信号；手动模式下，控制延迟组件11被旁路，只有急停开关信号和使能开关信号发挥控制作用。当急停开关信号ES1和ES2均为第二电平信号(即高电平)、使能开关的EN-NO1和EN-C1触点接通、EN-NO2和EN-C2触点接通，DO1_delay和DO2_delay输出第二电平信号(即高电平)，移动设备控制器23可以控制第一驱动21和第二驱动22，对应触发第一马达26和第二马达27运转。

可见，监测电路向移动设备控制器输出的监测结果可以实现为DO1、DO2、ES1、ES2、MAN1、MAN2中的至少一个，监测结果的具体内容，可以根据不同场景实现为不同信号。

这样一来，该执行机构212通过提供手动操作器的接入接口，可以支持两种模式的切换，从而为人员介入维修提供操作空间。

本发明一种可选实施例中，所述模式选择组件包括第一模式选择组件和第二模式选择组件；

在所述第一模式选择组件选择自动模式的情况下，所述第一延迟电路的输出与所述移动设备的第一路急停开关的输入、所述第二延迟电路的输出串联，用于使所述第一延迟电路延迟后的信号与所述第一路急停开关的信号、所述第二延迟电路延迟后的信号进行逻辑与运算，并向所述安全驱动器输出逻辑与运算后的断电指令；在所述第一模式选择组件选择手动模式的情况下，所述第一延迟电路的输出被旁路，持续向所述安全驱动器输出第二电平信号，其中，所述第二电平信号用于维持所述移动设备的正常运行；

在所述第二模式选择组件选择自动模式的情况下，所述第二延迟电路的输出与所述移动设备的第二路急停开关的输入、所述第一延迟电路的输出串联，用于使所述第二延迟电路延迟后的信号与所述第二路急停开关的信号、所述第一延迟电路延迟后的信号进行逻辑与运算，并向所述安全驱动器输出逻辑与运算后的断电指令；在所述第二模式选择组件选择手动模式的情况下，所述第二延迟电路的输出被旁路，持续向所述安全驱动器输出所述第二电平信号。

图5，图5是图4中电路14的结构示意图，包括第一电源(power1)1411和第二电源(power2)1421。其中，power11411用于为第一延迟电路1412供电；power21421用于为第二延迟电路1422供电。

本技术方案中，通过设置power11411和power21421分别为两路延迟电路供电，在任一power故障的情况下，另一power依然可以为相应延迟电路供电，以维持安全停止信号的处理和传输，从而维持对机器人的安全控制，有利于达到PLd等级。

第一延迟电路1412输出的延时保护停止信号给到第一模式选择组件1413，第一模式选择组件输出DO1_delay；第二延迟电路1422输出的延时保护停止信号给到第二模式选择组件1423，第二模式选择组件输出DO2_delay。本示例中，第一模式选择组件1413与第二模式选择组件1423，分别对所接收的信号进行逻辑与运算的过程，详见本说明书其他实施例的描述，此处不予赘述。

以下结合示例对本发明实施例的执行机构212进行介绍。

图6示意了一种执行机构212的示例性示意图。该执行机构212例如包括：PLd安全IO模块(PLd safe IO)，第一电源1411和第二电源1421，第一延迟电路1412和第二延迟电路1422，第一模式选择组件1413和第二模式选择组件1423。其中第一模式选择组件1413可以包含保护停止信号选通电路1、串联电路1、使能信号执行机构2121；第二模式选择组件1423可以包含保护停止信号选通电路2、串联电路2、使能信号执行机构2122。

应理解，图6是对执行机构212的示意性描述，对本发明实施例的执行机构212不构成限制。在另一些实施例中，本发明实施例的执行机构212还可以包括更多或更少电路模块，在其他一些实施例中，执行机构212中的部分电路模块可以拆分为两个电路模块，或者，其中的部分电路模块也可以合并为一个电路模块实现。此处不予限制。

再次参见图6，第一电源1411为第一延迟电路1412供电，第二电源1421为第二延迟电路1422供电。第一电源1411和第二电源1421例如均是5伏(V)的供电电源。第一电源1411是将24V的电源通过直流变压器(DC/DC 1)变压为5V电源，为第一延迟电路1412供电。第二电源1421是将24V的电源通过直流变压器(DC/DC 2)变压为5V的电源，为第二延迟电路1422供电。

需要指出的是，第一电源1411和第二电源1421的电路中可以均设置电源保护电路(power supply protection circuits)(图6中电源2的部分未示出)，以保护相应电源电路。

在基于通用工业协议的网络黑色通道(CIP Safety Black channel)接收到远程控制平台的信号之后，PLd安全IO模块将该信号转换为符合PLd等级的DO信号，以及向第一延迟电路1412输出DO1信号，向第二延迟电路1422输出DO2信号。其中，DO1信号和DO2电平信号相同。示例性的，DO1信号和DO2信号的第一个信号可以为高电平信号。

第一延迟电路1412在接收到DO1信号之后，可以直接经由保护停止信号选通电路1输出DO1信号的高电平信号至串联电路1。针对DO1信号的低电平信号，进行延时(即不输出)，直到延时时长达到预设时长再输出至保护停止信号选通电路1。本实施例中，将第一延迟电路1412输出信号称为OUT1，将保护停止信号选通电路1输出的信号称为DO1延时信号1(DO1_DELAY_1)。同理，第二延迟电路1422在接收到DO2信号之后，可以直接经由保护停止信号选通电路2输出DO2信号的高电平信号至串联电路2。针对DO2信号的低电平信号，进行延时(即不输出)，直到延时时长达到预设时长再输出至保护停止信号选通电路2。本实施例中，将第二延迟电路1422输出信号称为OUT2，将保护停止信号选通电路2输出的信号称为DO2延时信号1(DO2_DELAY_1)。

串联电路1中，可以将DO1_DELAY_1、DO2_DELAY_1和第一路急停开关信号ES1通过逻辑与运算进行串联，这样当该三个信号任何一个为低电平时，串联电路1输出的EN-C1为低电平，而DO1_delay(EN-NO1)为低电平，第一驱动电路和第二驱动电路均会安全停止。

相应的，串联电路2中，可以将DO2_DELAY_1、DO1_DELAY_1和第二路急停开关信号ES2通过逻辑与运算进行串联，这样当该三个信号任何一个为低电平时，串联电路输出的EN-C2也为低电平，而DO2_delay(EN-NO2)为低电平，第一驱动电路和第二驱动电路均会安全停止。

需要指出的是，保护停止信号选通电路1受第一路模式选择信号MAN1控制，保护停止信号选通电路2受第二路模式选择信号MAN2的控制。

当手动操作器接入到机器人上时，执行机构212为手动模式(manual mode)，MAN1和MAN2可以为高电平时。此外，手动模式下，OUT1信号被旁路，保护停止信号选通电路1的输出DO1_DELAY_1一直为高电平；OUT2信号被旁路，保护停止信号选通电路2的输出DO2_DELAY_1一直为高电平。同时使能信号执行机构2121会将EN-C1和DO1_delay(EN-NO1)之间原有的连接断开，EN-C1和DO1_delay(EN-NO1)受手动操作器的使能开关的控制。当使能开关被按下，EN-C1和DO1_delay(EN-NO1)接通；当使能开关弹起断开，EN-C1和DO1_delay(EN-NO1)断开，同时使能信号执行机构2122会将EN-C2和DO2_delay(EN-NO2)之间原有的连接断开。同理，EN-C2和DO2_delay(EN-NO2)受手动操作器的使能开关的控制，当使能开关被按下，EN-C1和DO1_delay(EN-NO1)接通，当使能开关弹起断开，EN-C1和DO1_delay(EN-NO1)断开。

当手动操作器与机器人断开时，MAN1和MAN2为低电平时，执行机构212切换为自动模式(auto mode)。自动模式下，机器人受远程调度系统控制。此时保护停止信号选通电路1的输出DO1_DELAY_1与OUT1信号直连，此时保护停止信号选通电路2的输出DO2_DELAY_1与OUT2信号直连，使能信号执行机构2121的EN-C1和DO1_delay(EN-NO1)直连，同时使能信号执行机构2122中的EN-C2和DO2_delay(EN-NO2)直连。

图6中各类信号对机器人的触发，以及机器人的响应过程，可以参见其他实施例的描述，此处不予赘述。

本发明一种可选实施例中，所述第一电平信号是低电平信号；所述第二电平信号是高电平信号。

一些实施例中，初始安全信号包括第一电平信号和第二电平信号。其中，第一电平信号可以用于触发对所述移动设备的安全停止。第二电平信号可以用于触发对移动设备行为的控制。实际实施场景中，初始安全信号的第一个信号可以是第二电平信号。

示例性的，初始安全信号例如可以是数字输出(digital output，DO)信号，第一电平信号例如可以是DO信号的低电平信号，第二电平信号例如可以是DO信号的高电平信号。

需要指出的是，延迟组件在对第二电平信号进行延时期间，延迟组件可以持续向模式选择组件12输出第一电平信号，以使运动控制部件在预设延时时长内，持续对移动设备进行控制。

此外，在根据输入的模式选择信号选择手动模式的情况下，延迟组件到模式选择组件12的信号被旁路，只有急停开关信号为第二电平信号时，输出安全停止信号到移动设备的运动控制部件，以触发运动控制部件控制移动设备实现安全停止。

延迟组件可以用于将第二电平信号直接传送到模式选择组件；延迟组件还可以用于按照预设延时时长对第一电平信号进行延时，以及将延时后的第一电平信号输出至模式选择组件。

对应本发明实施例的执行机构212，本发明实施例还提供了一种控制方法。

本发明实施例提供的一种示例性的控制方法如图7所示，该控制方法应用于执行机构212，该执行机构212例如可以如图2至图6中任一实施例所示。该控制方法包括以下步骤：

步骤S101，将输入的保护停止信号转换为符合目标安全性能等级的初始安全信号，初始安全信号包括第一电平信号和第二电平信号。

其中，目标安全性能等级是被控移动设备的安全性能等级，目标安全性能等级例如是PLd等级。初始安全信号符合目标安全性能等级，那么，本示例中，初始安全信号例如是PLd等级的信号。

示例性的，初始安全信号可以是DO信号，第一电平信号可以是低电平信号，第二电平信号可以是高电平信号。实际实施场景中，初始安全信号的第一个信号可以是高电平信号。

需要指出的是，该执行机构212可以部署在移动设备端，该执行机构212接收到的信号可以来自于该移动设备的控制平台。一种实施例中，该移动设备可以在预先划定的运行区域内运行，该运行区域对应设置控制平台，以对该运行区域内运行的移动设备进行控制。示例性的，该控制平台可以响应用户触发生成源信号，以及通过无线网将该源信号发送到该移动设备的从端控制模块。该移动设备的从端控制模块将该源信号发送到该执行机构212的信号转换器。从端控制模块可以通过以太网工业协议(Ethernet industrial protocol，EIP)模块将源信号发送到信号转换器。

其中，控制平台不属于用作生产的机械的范畴，可以不进行风险评估，那么，控制平台生成的源信号不符合任意安全性能等级。基于此，源信号(即执行机构212接收到的信号)应当被信号转换器转换为目标安全性能等级的信号(即初始安全信号)，才可以用与触发移动设备执行相应操作。

步骤S102，在执行机构处于自动模式下，对初始安全信号进行处理，处理包括：在初始安全信号是第一电平信号的情况下，按照预设延时时长对所述第一电平信号进行延时。

此外，响应于接收到的切换为手动模式的指令，持续输出第二电平信号。响应于接收到的使能信号，可以从手动模式切换为自动模式，以输出第一电平信号。

步骤S103，将处理后的信号、移动设备的急停开关信号和使能开关信号，进行逻辑与处理。

步骤S104，根据逻辑与处理后的结果控制移动设备的行为。

示例性的，根据逻辑与处理后的结果控制移动设备的行为，包括：若逻辑与处理后的信号为延时后的第一电平信号，响应延时后的第一电平信号驱动移动设备的马达抱闸；若逻辑与处理后的信号为第二电平信号控制移动设备安全停止。

需要指出的是，预设延时时长内，即使初始安全信号为第一电平信号，执行机构212依然持续可以并行响应第一电平信号对移动设备的行为进行控制，以使移动设备达到停止状态。进而，响应第一电平信号驱动移动设备的马达抱闸，以对移动设备进行断电，能够使移动设备稳定处于停止状态。

其中，在步骤S101中得到初始安全信号后，通过两个通道将初始安全信号传输到第一延迟电路和第二延迟电路。相应的，步骤S102至步骤S104中，均是对两路相同内容的信号的处理过程，此处不再展开。步骤S101至步骤S104涉及到的电路部件以及信号的流向，均可以参考图2至图6中相关的描述，此处不予赘述。

综上，本发明实施例提供的执行机构包括信号转换器、延迟组件、模式选择组件、监测电路。其中，信号转换器，用于将输入的保护停止信号转换为符合所述安全性能等级的初始安全信号，所述初始安全信号的第二电平信号用于维持移动设备的正常运行，第一电平信号用于触发对所述移动设备的安全停止，从而可以提供与移动设备的性能等级同等级的安全信号。将所述初始安全信号输出到所述延迟组件，延迟组件用于将所述第二电平信号直接传送到模式选择组件，以及将所述第一电平信号延时预设延时时长后传送至所述模式选择组件。而所述模式选择组件，用于在根据输入的模式选择信号选择自动模式的情况下，对所述延迟组件输出的信号、移动设备的急停开关信号和使能开关信号，进行逻辑与处理；在所述延迟组件输出所述第一电平信号或所述急停开关信号为所述第一电平信号的情况下，输出安全停止信号到所述移动设备的运动控制部件，以触发所述运动控制部件控制所述移动设备实现安全停止。且所述监测电路，用于监测所述初始保护停止信号、所述模式选择信号和所述急停开关信号，以及在所述初始保护停止信号为所述第一电平信号的情况下，将监测结果传送给移动设备控制器，以使所述移动设备控制器向所述运动控制部件控制所述移动设备实现安全停止。可见，本技术方案，采用符合目标安全性能等级的电路代替现有技术中的安全控制器与其他器件组成的安全控制组件，有利于降低成本，且能够为移动设备提供相匹配性能等级(即目标性能等级)的控制。

本发明一种可选的实施例中，移动控制器，还被配置为在接收到所述第二安全控制机构转发的复位指令的情况下，向所述安全驱动器发送上电指令；

安全驱动器，还被配置为根据所述上电指令驱动所述电机复位。

移动控制器在接收到第二安全控制机构转发的复位指令的情况下，向安全驱动器发送上电指令，使得电机复位，即解除停机并抱闸的状态，以便于后续在接收到调度指令时，可直接基于调度指令进行对应的调度处理。安全驱动器在接收到移动控制器发送的上电指令的情况下，驱动电机执行上电操作，即解除停机和抱闸的状态，进入待机状态。

参见图8，图8示出了根据本发明一个实施例提供的一种运动控制系统架构下的执行机构交互流程图，具体如下：

执行机构包括：延迟组件、移动控制器、安全驱动器、电机和速度编码器；

当执行机构接收到急停指令时，具体的数据流向如下：

第一阶段：移动控制器接收到第二安全控制机构传输的急停指令，并获得移动设备的当前移动速度，根据当前移动速度预测电机减速信息，并将电机减速信息发送至安全驱动器；

第二阶段：安全驱动器左和安全驱动器右，根据电机减速信息，分别驱动电机左和电机右按照所述电机减速信息减速；

第三阶段：延迟组件同时接收到第二安全控制机构传输的急停指令，在达到预设延迟时间的情况下，向安全驱动器发送断电指令；

第四阶段：安全驱动器左和安全驱动器右根据断电指令分别驱动电机左和电机右断电并抱闸；

第五阶段：速度编码器获取电机左和电机右的当前转速，并将当前转速反馈至移动控制器，移动控制器在当前转速与预设转速不匹配的情况下，产生报警信息。

应用本发明实施例的方案，在移动控制器接收到复位指令时，向安全驱动器发送上电指令，使得安全驱动器驱动电机复位，恢复待机状态，以便于后续在对移动设备进行调度时，直接进行调度即可，提高了该移动设备后续投入工作的效率。

本发明一种可选的实施例中，执行机构包括：安全控制器、移动控制器、安全驱动器、电机和数据编码器；

所述安全控制器，被配置为接收所述急停指令的解析结果，将所述解析结果转发至所述移动控制器；

所述移动控制器，被配置为响应于所述解析结果，获得所述移动设备的当前移动速度，根据所述当前移动速度预测电机减速信息，并将所述电机减速信息发送至所述安全驱动器；

所述数据编码器，被配置为获取所述电机的当前转速，并将所述当前转速反馈至所述安全控制器；

所述安全控制器，还被配置为监测所述电机减速信息，根据所述当前转速识别所述电机是否发生减速异常，若是则向所述安全驱动器发送断电指令；

所述安全驱动器，还被配置为根据所述断电指令驱动所述电机断电并抱闸。

具体地，安全控制器是指对该移动设备的安全减速进行监控与控制的设备，比如，在电机未按照预定的速度进行减速时，判断该电机存在异常。

在安全控制器接收到急停指令的解析结果时，将该解析结果发送至移动控制器，使得移动控制器可基于该解析结果，控制移动设备进行对应的处理；移动控制器基于该解析结果获取该移动设备的当前速度，预测得到电机减速信息，并将电机减速信息发送至安全驱动器，使得安全驱动器基于该预测的电机减速信息，驱动电机减速，数据编码器同时获取电机实时的当前转速，并将获取到的当前转速反馈至移动控制器，由移动控制器对电机的减速信息进行监测，根据电机的当前转速与预测的电机减速信息中的转速进行匹配，判断是否存在减速异常，若确定发生，则向安全驱动器发送断电指令；安全驱动器则驱动电机进行断电并抱闸。

另外，若移动控制器，根据电机的当前转速与预测的电机减速信息中的转速进行匹配时，发现二者是相匹配的，即电机未发生减速异常，则只需由安全驱动器驱动电机减速即可，无需驱动器断电并抱闸。

应用本发明实施例的方案，执行机构包括安全控制器、移动控制器、安全驱动器、电机和数据编码器，移动控制器通过接收急停指令，并预测得到电机减速信息，并利用安全驱动器驱使电机按照该电机减速信息进行减速，同时数据编码器实时获取电机的当前转速，并转发给安全控制器，由安全控制器对电机的转速进行监控，并判断是否存在异常，在确定存在异常时，利用安全驱动器驱使电机进行断电并抱闸，在一定程度上，保证了电机的安全，避免了在电机出现减速异常时导致的错误。

本发明一种可选的实施例中，安全控制器，还被配置为在接收到所述第二安全控制机构转发的复位指令的情况下，将所述复位指令转发至所述移动控制器；

移动控制器，还被配置为响应于所述复位指令，向所述安全驱动器发送上电指令；

安全控制器在接收到第二安全控制机构发送的复位指令的情况下，将复位指令发送至移动控制器，由移动控制器对复位指令进行相应的处理，也即移动控制器基于该复位指令，向安全驱动器发送上电指令，使得安全驱动器驱动电机进行上电操作，也即解除停机和抱闸状态，以使电机在接收到调度指令时可直接基于调度指令进行调度。

参见图9，图9示出了根据本发明一个实施例提供的另一种运动控制系统架构下的执行机构交互流程图，具体如下：

执行机构包括：安全控制器、移动控制器、安全驱动器、电机和数据编码器；

当执行机构接收到急停指令时，具体的数据流向如下：

第一阶段：安全控制器接收急停指令的解析结果，将解析结果转发至移动控制器；移动控制器接收该急停指令，并获得移动设备的当前移动速度，根据当前移动速度预测电机减速信息，并将电机减速信息发送至安全驱动器左和安全驱动器右；

第二阶段：安全驱动器左和安全驱动器右驱动所述电机左和电机右按照所述电机减速信息减速；数据编码器获取电机的当前转速，并将当前转速反馈至安全控制器；

第三阶段：安全控制器监测所述电机减速信息，根据所述当前转速识别所述电机左和电机右是否发生减速异常，若是则向所述安全驱动器左和安全驱动器右发送断电指令；安全驱动器左和安全驱动器右根据所述断电指令驱动所述电机左和电机右断电并抱闸。

应用本发明实施例的方案，在安全控制器接收到复位指令时，将该复位指令转发给移动控制器，移动控制器向安全驱动器发送上电指令，以使安全驱动器驱动电机执行上电操作，以便于后续可直接接收另外的指令，并直接基于指令进行行动。

本发明一种可选的实施例中，所述控制平台，还被配置为生成调度指令，通过第二通信链路，将所述调度指令传输至所述移动设备，其中，所述调度指令符合预设数据链路通信协议，所述第二通信链路为所述至少两条通信链路中所述预设数据链路通信协议的通信链路；

所述移动设备，还被配置为通过所述第二通信链路接收所述调度指令，对所述调度指令进行解析，基于解析结果执行调度操作。

具体地，调度指令是指由人为操作或系统软件产生的对移动设备进行调度的指令，且该调度指令符合预设数据链通信协议，比如，调度指令可以是令移动设备搬运货物的按钮被按下、令移动设备放置货物至某货架的指令被输入等等。在控制平台产生调度指令后，将该调度指令通过第二通信链路传输至移动设备端，由移动设备端进行对应的调度处理，另外，通过第二通信链路对符合预设数据链通信协议的调度指令进行传输时，使得调度指令可以被预设数据链通信协议所保护，极大减少了对急停指令的传输产生影响。

应用本发明实施例的方案，控制平台还用于生成调度指令，生成的调度指令符合预设数据链通信协议，且通过第二通信链路将该调度指令传输给移动设备端，由移动设备通过第二通信链路接收该调度指令，并解析得到解析结果，基于解析结果执行调度工作，通过与第一通信链路不同的第二通信链路进行调度指令的传输，在保障调度指令传输的安全性的同时，也极大减少了对急停指令传输的影响。

本发明一种可选的实施例中，所述控制平台，还被配置为在检测到复位事件被触发的情况下生成复位指令，通过所述第一通信链路，将所述复位指令传输至所述移动设备；

所述移动设备，还被配置为通过所述第一通信链路接收所述复位指令，对所述复位指令进行解析，基于解析结果恢复工作。

具体地，复位事件是指由于人为或系统软件原因，使得移动设备进行复位的事件，比如复位事件被触发可以是移动设备区域的急停按钮被解除、光栅由被遮挡的变为正常、安全门被关上后人为执行启动动作等等。在检测到复位事件被触发时，控制平台就会生成复位指令，并将该复位指令传输至移动设备，由移动设备基于该复位指令进行对应的复位处理，即恢复工作，也即通过对复位事件是否被触发的检测，使得在复位事件被触发的情况下可以迅速做出相对应的处理，以防止未生成与复位事件对应的处理流程。复位指令是指包含令移动设备进行复位的信息的指令，通过复位指令，可以使移动设备在停机状态下恢复工作。

在控制平台检测到复位事件被触发时，生成复位指令，并通过第一通信链路，将复位指令传输至移动设备，移动设备通过第一通信链路接收复位指令，并对该复位指令进行解析，基于解析得到的结果恢复工作。

基于图2，网络通信栈接收到控制指令，并对接收到的控制指令进行过滤识别，识别到该控制指令为从第一通信链路接收的非安全指令，通过预设数据链路通信协议对该非安全指令进行解析，得到复位指令，然后按照Ethernet/IP协议和CAN总线协议格式输出到执行结构。当然，在另一种实现方式中，复位指令也可以是安全指令，则网络通信栈会将该安全指令转发至安全协议栈，安全协议栈通过预设安全通信协议对符合预设安全通信协议的安全指令进行解析，得到该解析结果为复位指令，然后通过第二安全输入输出接口将解析结果以输入输出量形式进行安全输出。

应用本发明实施例的方案，控制平台在检测到复位事件被触发时，生成复位指令，并通过第一通信链路传输至移动设备，使得移动设备通过第一通信链路接收该复位指令，并对该复位指令进行解析，解析得到移动设备可以基于该信息可以进行相应处理的解析结果，并基于该解析结果进行恢复工作，通过第一通链路进行复位指令的传输，保障了复位指令的传输渠道，进一步保障了复位指令被安全传输，以方便移动设备进行复位后的处理。

本发明一种可选的实施例中，所述移动设备，还被配置为在接收到所述急停指令后，向所述控制平台反馈确认信息；

所述控制平台，还被配置为若在向所述移动设备传输所述急停指令后的预设安全时段内，未收到所述移动设备反馈的所述确认信息，则向所述移动设备发送提示消息；

所述移动设备，还被配置为响应于所述提示消息，执行停机操作。

具体地，预设安全时段是指预先设置的对安全指令进行反馈的时段，也即在控制平台向移动设备发送急停指令之后，等待预设安全时段对应的时长，需要在预设时段内收到移动设备的确认消息。确认消息是指与急停指令相对应的消息，用于告知控制平台，移动设备收到了急停指令，其中，先由控制平台向移动设备发送急停指令，移动设备基于该急停指令，需要向控制平台反馈确认消息，以使控制平台确认移动设备收到了急停指令。提示消息是指与急停指令、确认消息相对应的消息，用于在控制平台未收到移动设备的反馈时，再次向移动设备发送的提示消息，以使移动设备在接收到提示消息后，执行停机操作，进而达到急停指令所需要移动设备达到的目的。

可选的，促使移动设备执行停机操作的方式，还可以是控制平台在移动设备正常工作时段，预先设置一个预设时长，每隔预设时长，控制平台向移动设备发送第一交互消息，而移动设备需要在预设安全时段内向控制平台返回第二交互消息，若发生控制平台发送第一交互消息失败或移动设备发送第二交互消息失败，控制平台均会向移动设备发送提示消息，以使移动设备响应于该提示消息执行停机操作。

可选地，未收到移动设备反馈的确认消息的可能性有很多种，可以是控制平台未将急停指令发送成功，还可以是控制平台发送成功，但是移动设备在返回确认消息是发送失败。

控制平台在向移动设备发送急停指令后，确认是否在预设安全时段内接收到移动设备发送的确认消息，若接收到，则急停流程结束。

应用本发明实施例的方案，通过在控制平台设置预设安全时段，并在发送急停指令后，确定是否在预设时段内接收到移动设备的确认消息，若未收到，则向移动设备发送提示消息，以使移动设备执行停机操作，使得即使移动设备未根据急停指令执行停机操作，也会根据接收到的提示消息执行停机操作，确保了移动设备执行了停机操作。

控制平台和移动设备之间存在第一通信链路和第二通信链路，其中第一通信链路符合预设安全通信协议，且在控制平台和移动设备端设置安全任务时间间隔，在控制平台和移动设备建立连接后，按照安全任务时间间隔保持交互确认，也即，当控制平台成功发出第一响应消息，并接收到移动设备返回的第二响应消息，认为当次交互确认有效；若控制平台未成功发出第一响应消息或者移动设备未成功返回第二响应消息，则移动设备由内部单元控制自动进行安全状态，即急停状态，可以是第二安全控制机构向执行机构下发急停指令，使得移动设备受控安全停止，直至控制平台与移动设备重新建立连接，重新建立连接后，移动设备会自动通过内部单元控制跳出安全状态，恢复至进入安全状态之前的状态。

参见图10与图11，图10示出了根据本发明一实施例提供的一种运动控制系统的数据流图，图10示出了根据本发明一个实施例提供的另一种运动控制系统的数据流图，具体如下：

图10中控制平台包括安全触发机构、第一安全控制机构、系统软件和无线发送器；移动设备包括无线接收器、执行机构，其中提供的控制平台与移动设备之间进行交互仅是通过一条数据链路层、也即物理层进行交互。

图11中第一通信链路中，控制平台包括安全触发机构、第一安全控制机构和无线发送器，移动设备包括无线接收器、第二安全控制机构和执行机构；第二通信链路中，控制平台包括系统软件和无线发送器，移动设备包括无线接收器、第二安全控制机构和执行机构，其中第一条通信链路通过预设安全通信协议保护的安全通信层进行通信，第二通信链路通过数据链路层进行通信。

应用本发明实施例的方案，运动控制系统包括：控制平台和至少一个移动设备，控制平台与每个移动设备之间通过至少两条通信链路通信；控制平台，被配置为在检测到安全事件被触发的情况下生成急停指令，通过第一通信链路，将急停指令传输至移动设备，第一通信链路为至少两条通信链路中预设安全通信协议的通信链路；移动设备，被配置为通过第一通信链路接收急停指令，利用预设安全通信协议对急停指令进行解析，基于解析结果执行停机操作。通过在控制平台与移动设备之间设置至少两条通信链路，在控制平台检测到安全事件被触发的情况下，生成符合预设安全通信协议的急停指令，使得该急停指令可以通过预设安全通信协议的第一通信链路进行传输，传输至移动设备，移动设备在接收到第一通信链路传输的急停指令后，对该急停指令进行解析，并基于解析结果执行停机操作，也即为急停指令设定第一通信链路，与其他的通信信号采用不同的通信链路进行传输，并且通过预设安全通信协议对急停指令的传输进行保护，降低了在急停指令传输至移动设备时出现传输失败或错误的发生几率，提高了急停指令传输的安全性。

参见图12，图12示出了根据本发明一个实施例提供的一种运动控制方法的交互流程图，应用于运动控制系统，所述运动控制系统包括：控制平台和至少一个移动设备，其中，所述控制平台与每个移动设备之间通过至少两条通信链路通信；具体包括以下步骤：

步骤602：所述控制平台在检测到安全事件被触发的情况下生成急停指令，通过第一通信链路，将所述急停指令传输至所述移动设备，其中，所述急停指令符合预设安全通信协议，所述第一通信链路为所述至少两条通信链路中所述预设安全通信协议的通信链路；

步骤604：所述移动设备通过所述第一通信链路接收所述急停指令，利用所述预设安全通信协议对所述急停指令进行解析，基于解析结果执行停机操作。

步骤602至604具体的实施例内容参见图1对应的系统实施例，在此不再赘述。

参见图13，图13示出了根据本发明一个实施例提供的一种应用于控制平台的运动控制方法的流程图，具体包括以下步骤：

步骤702：在检测到安全事件被触发的情况下，生成急停指令；

步骤704：通过第一通信链路，将所述急停指令传输至移动设备，其中，所述急停指令符合预设安全通信协议，所述第一通信链路为所述控制平台与所述移动设备之间至少两条通信链路中所述预设安全通信协议的通信链路。

步骤702至704具体的实施例内容参见图1对应的系统实施例，在此不再赘述。

参见图14，图14示出了根据本发明一个实施例提供的一种应用于移动设备的运动控制方法的流程图，具体包括以下步骤：

步骤802：通过第一通信链路接收控制平台传输的急停指令，其中，所述第一通信链路为所述控制平台与所述移动设备之间至少两条通信链路中预设安全通信协议的通信链路，所述急停指令符合所述预设安全通信协议；

步骤804：利用所述预设安全通信协议对所述急停指令进行解析，基于解析结果执行停机操作。

步骤802至804具体的实施例内容参见图1对应的系统实施例，在此不再赘述。

图15示出了根据本发明一个实施例提供的一种控制平台的结构框图。该控制平台的部件包括安全触发机构902、第一安全控制机构904、无线发送器906。

安全触发机构902包括急停按钮、光栅、安全门等，各种安全触发机构902的输出信号形式由各器件设计手册规定，常见的急停按钮为双回路脉冲，光栅为OSSD信号，安全门锁为OSSD信号；输入为由操作人员触发或自动触发；输出为指示设备状态，含已触发、未触发或异常状态的I/O信号输出。

安全触发机构902可以在移动设备工作区域外围，且与操作人员对接的位置，安装有急停按钮、光栅和安全门，其中，安全门是人员出入移动设备工作区域的唯一的通道，移动设备工作区域用固定围栏与外界进行隔离，用以减少由于移动设备错误运行造成的撞击或挤压风险。触发后，第一安全控制机构904会发出急停指令，并传输到至少一个移动设备；安全门上安装有安全门锁，是操作人员进入移动设备工作区域的唯一入口。当安全门锁被激活时，急停指令将由第一安全控制机构904发送并传输到至少一个移动设备；各安全触发机构902配备复位按钮，通过复位按钮，可触发复位指令。

第一安全控制机构904包括第一安全输入输出接口、第一安全处理器和安全网络模块；输入为是否触发了安全触发机构902或复位按钮的条件，即安全触发机构902或复位按钮的输出；输出：以网络端口的形式输出是否触发了安全触发机构902或是否按下了复位按钮。

第一安全控制机构904可以通过逻辑编程响应安全触发机构902的触发，并通过预设安全通信协议CIP safety传输。其中，第一安全输入输出接口用于输入安全触发机构902的状态供第一安全处理器；第一安全处理器用于通过逻辑编程响应安全触发机构902的触发。在安全通信层，将输入信号编码为符合CIP safety协议的安全格式。执行预设安全通信协议规定的校验动作，如冗余检测、数据完整性校验、超时检测、连接授权检测等。安全网络模块用于以网络端口形式发送安全CPU的运算结果。第一安全控制机构904输出信号在数据链路层通信协议为Ethernet/IP，在安全通信层为CIP safety，以网口形式发出高速模拟信号量。

无线发送器906包括交换器、无线控制器、无线接入点，其输入是第一安全控制机构904的输出，输出是向移动设备发送无线信号。交换器用于将数据包转发到目的节点端口(无线控制器和无线接入点)；无线控制器和无线接入点用于将数据包转换为无线信号形式并发送到移动设备。

对本发明范围的限制。本领域技术人员可以根据需要，增添或替换其他部件。

需要说明的是，该控制平台的技术方案与上述的运动控制系统的技术方案属于同一构思，控制平台的技术方案未详细描述的细节内容，均可以参见上述运动控制系统的技术方案的描述。

图16示出了根据本发明一个实施例提供的一种移动设备的结构框图。该移动设备的部件包括无线接收器1002、第二安全控制机构1004、执行机构1006。

无线接收器1002包括无线接收模块、转发模块、无线接收处理器；输入为无线信号；输出为以太网格式的指令。

无线接收器1002用于将接收到的无线信号转换为以太网端口格式的数据包。无线接收模块用于接收WIFI信号；无线接收处理器用于数据包透传；转发模块用于将接收到的无线信号转发为以太网端口格式，无线接收器1002接收到2.4GHz的无线信号后，通过PCIE总线传输到无线接收处理器，无线接收处理器透传该信号并由转发模块从网口以Ethernet/IP协议格式输出。

第二安全控制机构1004包括网络通信栈、第二处理器、安全协议栈、第二安全输入输出接口，其输入是以太网端口格式的数据包；输出是安全输出和非安全输出。

第二安全控制机构1004对于非安全数据包，以Ethernet/IP通信协议格式解析。对于安全数据包，以CIP safety预设安全通信协议格式进行解析。以输入输出量的格式输出解析的指令。网络通信栈是一个Ethernet/IP通信栈模块，用于将数据包过滤为安全数据和非安全数据。对于安全数据，网络通信栈将其发送到安全协议栈。对于非安全数据，网络通信栈将其解析为非安全指令。第二处理器用于配置网络协议栈的初始化信息，采集第二安全控制机构1004各子模块状态信息和故障信息，输出非安全指令，如复位指令。安全协议栈和第二安全输入输出接口用于解析CIP safety预设安全通信协议格式的安全数据，并进行安全输出，如系统急停指令。网络通信栈的输入信号是以网络端口形式的接收Ethernet/IP协议数据包，输出信号是以Ethernet/IP协议和CAN总线协议交互到执行机构，以传输初始化等状态信息和故障信息和复位指令，将安全数据包传输到安全协议栈。安全协议栈通过第二安全输入输出接口以输入输出量形式输出解析后的安全指令信号。

执行机构1006可以是包括延迟组件、移动控制器、安全驱动器、电机、数据编码器；输入为由第二安全控制机构1004解析出的安全指令；输出为执行机构1006按指令要求动作。

执行机构1006用于按指令要求动作。当执行机构1006接收到急停指令时，移动控制器接收到第二安全控制机构1004传输的急停指令，并获得移动设备的当前移动速度，根据当前移动速度预测电机减速信息，并将电机减速信息发送至安全驱动器；安全驱动器包括安全驱动器左和安全驱动器右，根据电机减速信息，分别驱动电机左和电机右按照所述电机减速信息减速；延迟组件同时接收到第二安全控制机构1004传输的急停指令，在达到预设延迟时间的情况下，向安全驱动器发送断电指令；安全驱动器左和安全驱动器右根据断电指令分别驱动电机左和电机右断电并抱闸；速度编码器获取电机左和电机右的当前转速，并将当前转速反馈至移动控制器，移动控制器在当前转速与预设转速不匹配的情况下，产生报警信息。

当收到复位指令后，电机将上电并解抱闸，等待控制平台的新指令。接收到的无线信号将直接传输到移动控制器进行解析，这与急停指令传输链路不同。复位指令从网络协议栈传送到第二安全控制机构1004中的第二处理器，再转发到移动控制器。移动控制器向安全驱动器发送电机上电和解抱闸指令，然后电机复位。在收到调度指令之前，移动设备将静止在原地并等待。第二安全控制机构1004通过第二安全输入输出接口以输入输出量的形式输出急停指令，以CAN总线协议输出复位信号，以移动设备停止，电机断电并抱闸为最终的系统急停响应。

执行机构1006可以是包括安全控制器、移动控制器、安全驱动器、电机、数据编码器。

当执行机构1006接收到急停指令时，安全控制器接收急停指令的解析结果，将解析结果转发至移动控制器；移动控制器接收该急停指令，并获得移动设备的当前移动速度，根据当前移动速度预测电机减速信息，并将电机减速信息发送至安全驱动器左和安全驱动器右；安全驱动器左和安全驱动器右驱动所述电机左和电机右按照所述电机减速信息减速；数据编码器获取电机的当前转速，并将当前转速反馈至安全控制器；安全控制器监测所述电机减速信息，根据所述当前转速识别所述电机左和电机右是否发生减速异常，若是则向所述安全驱动器左和安全驱动器右发送断电指令；安全驱动器左和安全驱动器右根据所述断电指令驱动所述电机左和电机右断电并抱闸。

当收到复位指令后，移动设备跳出系统急停状态，进入正常状态。如果此时电机已抱闸，则移动设备将解除抱闸，静止在原地并等待来自控制平台的系统调度指令。控制平台到移动设备的系统调度指令链路未通过第二安全控制机构1004。接收到的无线信号直接传输到移动控制器进行解析，与急停指令传输链路不是同一条。复位指令从网络协议栈发送到第二安全控制机构1004的第二处理器，再转发到安全控制器，然后转发到移动控制器。移动控制器向安全驱动器发送复位指令，电机复位。在收到调度指令之前，移动设备将静止在原地。第二安全控制机构1004以普通输入输出接口、安全输入输出接口量的形式分别输出复位指令和急停指令，以移动设备停止为最终的系统急停响应。

需要说明的是，该移动设备的技术方案与上述的运动控制系统的技术方案属于同一构思，移动设备的技术方案未详细描述的细节内容，均可以参见上述运动控制系统的技术方案的描述。

上述对本发明特定实施例进行了描述。其他实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

需要说明的是，对于前述的各方法实施例，为了简便描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其它顺序或者同时进行。其次，本领域技术人员也应该知悉，发明中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定都是本发明所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其它实施例的相关描述。

以上公开的本发明优选实施例只是用于帮助阐述本发明。可选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本发明的内容，可作很多的修改和变化。本发明选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。

Claims

一种运动控制系统，其特征在于，所述运动控制系统包括：控制平台和至少一个移动设备，其中，所述控制平台与每个移动设备之间通过至少两条通信链路通信；

所述控制平台，被配置为在检测到安全事件被触发的情况下生成急停指令，通过第一通信链路，将所述急停指令传输至所述移动设备，其中，所述急停指令符合预设安全通信协议，所述第一通信链路为所述至少两条通信链路中所述预设安全通信协议的通信链路；

所述移动设备，被配置为通过所述第一通信链路接收所述急停指令，利用所述预设安全通信协议对所述急停指令进行解析，基于解析结果执行停机操作。
根据权利要求1所述的系统，其特征在于，所述控制平台包括安全触发机构和第一安全控制机构；

所述安全触发机构，被配置为在识别到符合安全触发条件的事件发生时，生成安全事件触发信号发送至所述第一安全控制机构；

所述第一安全控制机构，被配置为接收所述安全触发机构发送的所述安全事件触发信号，利用所述预设安全通信协议对所述安全事件触发信号进行编码得到急停指令，通过第一通信链路，将所述急停指令传输至所述移动设备。
根据权利要求1或2所述的系统，其特征在于，所述控制平台包括无线发送器；

所述无线发送器，被配置为将所述急停指令转发至目的端口，通过所述目的端口将所述急停指令转换为无线信号传输至所述移动设备，其中，所述目的端口为所述控制平台与所述移动设备通过所述第一通信链路进行数据传输的端口。
根据权利要求3所述的系统，其特征在于，所述控制平台还包括网络地址转换设备；

所述无线发送器，进一步被配置为将所述急停指令发送至所述网络地址转换设备；

所述网络地址转换设备，被配置为对所述急停指令进行地址转换，并将地址转换后的所述急停指令转发至所述目的端口，通过所述目的端口将地址转换后的所述急停指令以无线信号的形式传输至所述移动设备。
根据权利要求3所述的系统，其特征在于，所述移动设备包括无线接收器；

所述无线接收器，被配置为通过所述第一通信链路接收所述无线信号，将所述无线信号转发为以太网端口格式的急停指令。
根据权利要求1、2和5中任一项所述的系统，其特征在于，所述移动设备包括第二安全控制机构和执行机构；

所述第二安全控制机构，被配置为利用所述预设安全通信协议对所述急停指令进行解析，得到解析结果，将所述解析结果发送至所述执行机构；

所述执行机构，被配置为基于所述解析结果执行停机操作。
根据权利要求6所述的系统，其特征在于，所述执行机构包括：延迟组件、移动控制器、安全驱动器、电机和速度编码器；

所述移动控制器，被配置为响应于所述急停指令的解析结果，获得所述移动设备的当前移动速度，根据所述当前移动速度预测电机减速信息，并将所述电机减速信息发送至所述安全驱动器；

所述安全驱动器，被配置为驱动所述电机按照所述电机减速信息减速；

所述延迟组件，被配置为响应于所述急停指令的解析结果，在达到预设延迟时间的情况下，向所述安全驱动器发送断电指令；

所述安全驱动器，还被配置为根据所述断电指令驱动所述电机断电并抱闸；

所述速度编码器，被配置为获取所述电机的当前转速，并将所述当前转速反馈至所述移动控制器；

所述移动控制器，还被配置为在所述当前转速与预设转速不匹配的情况下，产生报警信息。
根据权利要求7所述的系统，其特征在于，所述执行机构还包括：信号转换器；

所述信号转换器，被配置为将所述急停指令的解析结果转换为符合目标安全性能等级的初始安全信号，将所述初始安全信号输出至所述延迟组件，其中，所述目标安全性能等级为所述移动设备的安全性能等级；

所述延迟组件，进一步被配置为基于所述初始安全信号，在达到预设延迟时间的情况下，向所述安全驱动器发送断电指令。
根据权利要求8所述的系统，其特征在于，所述初始安全信号包括第一电平信号，其中，所述第一电平信号用于触发所述移动设备的安全停止；所述执行机构还包括：模式选择组件；

所述延迟组件，进一步被配置为在达到预设延迟时间的情况下，向所述模式选择组件发送所述第一电平信号；

所述模式选择组件，被配置为在根据输入的模式选择信号选择自动模式的情况下，若所述延迟组件输出所述第一电平信号，则向所述安全驱动器发送断电指令。
根据权利要求9所述的系统，其特征在于，所述初始安全信号还包括第二电平信号，其中，所述第二电平信号用于维持所述移动设备的正常运行；

所述延迟组件，还被配置为将所述第二电平信号直接发送至所述模式选择组件。
根据权利要求9所述的系统，其特征在于，所述执行机构还包括手动操作器信号接口，所述手动操作器信号接口用于接收模式选择信号；

所述模式选择组件，还被配置为响应于所述模式选择信号，将所述执行机构的控制模式切换为所述手动模式；在所述手动模式下，响应于使能开关信号，将所述执行机构的控制模式切换为所述自动模式。
根据权利要求9所述的系统，其特征在于，所述延迟组件包括第一延迟电路和第二延迟电路；

所述信号转换器，进一步被配置为将所述初始安全信号分别输出至所述第一延迟电路和所述第二延迟电路。
根据权利要求12所述的系统，其特征在于，所述模式选择组件包括第一模式选择组件和第二模式选择组件；

在所述第一模式选择组件选择自动模式的情况下，所述第一延迟电路的输出与所述移动设备的第一路急停开关的输入、所述第二延迟电路的输出串联，用于使所述第一延迟电路延迟后的信号与所述第一路急停开关的信号、所述第二延迟电路延迟后的信号进行逻辑与运算，并向所述安全驱动器输出逻辑与运算后的断电指令；在所述第一模式选择组件选择手动模式的情况下，所述第一延迟电路的输出被旁路，持续向所述安全驱动器输出第二电平信号，其中，所述第二电平信号用于维持所述移动设备的正常运行；

在所述第二模式选择组件选择自动模式的情况下，所述第二延迟电路的输出与所述移动设备的第二路急停开关的输入、所述第一延迟电路的输出串联，用于使所述第二延迟电路延迟后的信号与所述第二路急停开关的信号、所述第一延迟电路延迟后的信号进行逻辑与运算，并向所述安全驱动器输出逻辑与运算后的断电指令；在所述第二模式选择组件选择手动模式的情况下，所述第二延迟电路的输出被旁路，持续向所述安全驱动器输出所述第二电平信号。
根据权利要求10或13所述的系统，其特征在于，所述第一电平信号是低电平信号；所述第二电平信号是高电平信号。
根据权利要求7所述的系统，其特征在于，所述移动控制器，还被配置为在接收到所述第二安全控制机构转发的复位指令的情况下，向所述安全驱动器发送上电指令；

所述安全驱动器，还被配置为根据所述上电指令驱动所述电机复位。
根据权利要求6所述的系统，其特征在于，所述执行机构包括：安全控制器、移动控制器、安全驱动器、电机和数据编码器；

所述安全控制器，被配置为接收所述急停指令的解析结果，将所述解析结果转发至所述移动控制器；

所述移动控制器，被配置为响应于所述解析结果，获得所述移动设备的当前移动速度，根据所述当前移动速度预测电机减速信息，并将所述电机减速信息发送至所述安全驱动器；

所述安全驱动器，被配置为驱动所述电机按照所述电机减速信息减速；

所述数据编码器，被配置为获取所述电机的当前转速，并将所述当前转速反馈至所述安全控制器；

所述安全控制器，还被配置为监测所述电机减速信息，根据所述当前转速识别所述电机是否发生减速异常，若是则向所述安全驱动器发送断电指令；

所述安全驱动器，还被配置为根据所述断电指令驱动所述电机断电并抱闸。
根据权利要求16所述的系统，其特征在于，所述安全控制器，还被配置为在接收到所述第二安全控制机构转发的复位指令的情况下，将所述复位指令转发至所述移动控制器；

所述移动控制器，还被配置为响应于所述复位指令，向所述安全驱动器发送上电指令；

所述安全驱动器，还被配置为根据所述上电指令驱动所述电机复位。
根据权利要求1所述的系统，其特征在于，所述控制平台，还被配置为生成调度指令，通过第二通信链路，将所述调度指令传输至所述移动设备，其中，所述调度指令符合预设数据链路通信协议，所述第二通信链路为所述至少两条通信链路中所述预设数据链路通信协议的通信链路；

所述移动设备，还被配置为通过所述第二通信链路接收所述调度指令，对所述调度指令进行解析，基于解析结果执行调度操作。
根据权利要求1所述的系统，其特征在于，所述控制平台，还被配置为在检测到复位事件被触发的情况下生成复位指令，通过所述第一通信链路，将所述复位指令传输至所述移动设备；

所述移动设备，还被配置为通过所述第一通信链路接收所述复位指令，对所述复位指令进行解析，基于解析结果恢复工作。
根据权利要求1所述的系统，其特征在于，所述移动设备，还被配置为在接收到所述急停指令后，向所述控制平台反馈确认信息；

所述控制平台，还被配置为若在向所述移动设备传输所述急停指令后的预设安全时段内，未收到所述移动设备反馈的所述确认信息，则向所述移动设备发送提示消息；

所述移动设备，还被配置为响应于所述提示消息，执行停机操作。
一种运动控制方法，其特征在于，应用于运动控制系统，所述运动控制系统包括：控制平台和至少一个移动设备，其中，所述控制平台与每个移动设备之间通过至少两条通信链路通信；所述方法包括：

所述控制平台在检测到安全事件被触发的情况下生成急停指令，通过第一通信链路，将所述急停指令传输至所述移动设备，其中，所述急停指令符合预设安全通信协议，所述第一通信链路为所述至少两条通信链路中所述预设安全通信协议的通信链路；

所述移动设备通过所述第一通信链路接收所述急停指令，利用所述预设安全通信协议对所述急停指令进行解析，基于解析结果执行停机操作。
一种运动控制方法，其特征在于，应用于控制平台，所述方法包括：

在检测到安全事件被触发的情况下，生成急停指令；

通过第一通信链路，将所述急停指令传输至移动设备，其中，所述急停指令符合预设安全通信协议，所述第一通信链路为所述控制平台与所述移动设备之间至少两条通信链路中所述预设安全通信协议的通信链路。
一种运动控制方法，其特征在于，应用于移动设备，所述方法包括：

通过第一通信链路接收控制平台传输的急停指令，其中，所述第一通信链路为所述控制平台与所述移动设备之间至少两条通信链路中预设安全通信协议的通信链路，所述急停指令符合所述预设安全通信协议；

利用所述预设安全通信协议对所述急停指令进行解析，基于解析结果执行停机操作。