JP6635238B1 - Safety control device and safety control system - Google Patents

Safety control device and safety control system Download PDF

Info

Publication number
JP6635238B1
JP6635238B1 JP2019547531A JP2019547531A JP6635238B1 JP 6635238 B1 JP6635238 B1 JP 6635238B1 JP 2019547531 A JP2019547531 A JP 2019547531A JP 2019547531 A JP2019547531 A JP 2019547531A JP 6635238 B1 JP6635238 B1 JP 6635238B1
Authority
JP
Japan
Prior art keywords
safety
safety control
control
control device
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019547531A
Other languages
Japanese (ja)
Other versions
JPWO2020183559A1 (en
Inventor
悠 廣川
悠 廣川
瞬也 長谷川
瞬也 長谷川
博史 元丸
博史 元丸
麻紀 原田
麻紀 原田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Application granted granted Critical
Publication of JP6635238B1 publication Critical patent/JP6635238B1/en
Publication of JPWO2020183559A1 publication Critical patent/JPWO2020183559A1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Programmable Controllers (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

安全制御装置(2)は、外部の安全入力機器(50)からの安全入力信号を、安全専用バス(8)を介して受信し、制御対象の機器に対して安全出力信号を送信することで安全制御を行うと共に、CPUバス(9)を介して接続される安全制御以外の制御を行う一般制御用装置(4)に対して、安全入力信号および安全出力信号を含む安全制御データを送信し、電気信号が入力される入力部(6a)と出力される出力部(6b)を有する電子部品(6)を備え、電子部品(6)は、安全制御データを、一旦、光又は磁気に変換し、次に電気信号に変換して、出力部(6b)を経由してCPUバス(9)を介して一般制御用装置(4)に送信し、一般制御用装置(4)からの制御データの受信を遮断する。The safety control device (2) receives a safety input signal from an external safety input device (50) via a dedicated safety bus (8) and transmits a safety output signal to a device to be controlled. It transmits safety control data including a safety input signal and a safety output signal to a general control device (4) which performs safety control and performs control other than safety control via a CPU bus (9). And an electronic component (6) having an input portion (6a) to which an electric signal is input and an output portion (6b) to output the electrical signal. The electronic component (6) temporarily converts the safety control data into light or magnetism. Then, the signal is converted into an electric signal, transmitted to the general control device (4) via the CPU bus (9) via the output section (6b), and the control data from the general control device (4) is transmitted. Block the reception of

Description

本発明は、安全機能を実行する安全制御装置および安全制御システムに関する。   The present invention relates to a safety control device and a safety control system that execute a safety function.

ロボット機械やプレス機などを使用する工場などでは、安全性の高い制御が要求されるため、安全機能を備えた制御システムが導入されている。安全機能とは、いわゆるフェールセーフ機能のことであり、例えば、コントローラなどの制御で異常が生じた場合は、制御を停止させるとともに、制御対象の機器等が安全な状態を保てるように安全制御を行う機能をいう。   In a factory using a robot machine or a press machine, etc., since a highly safe control is required, a control system having a safety function is introduced. The safety function is a so-called fail-safe function.For example, if an abnormality occurs in the control of the controller or the like, the control is stopped and the safety control is performed so that the equipment to be controlled can maintain a safe state. A function to be performed.

特許文献1においては、安全制御を行う安全制御装置である安全コントローラと、安全制御以外の制御を行う一般装置である非安全コントローラとを、CPUバスでバス接続してシステム全体を連携している。安全コントローラは、他の安全ユニットと安全専用バスでバス接続され、安全機能を実現している。   In Patent Document 1, a safety controller, which is a safety control device for performing safety control, and a non-safety controller, which is a general device for performing control other than safety control, are bus-connected by a CPU bus to link the entire system. . The safety controller is connected to other safety units via a dedicated safety bus, and implements safety functions.

特開2007−193843号公報JP 2007-193843 A

特許文献1に記載の安全コントローラおよびシステムでは、安全コントローラと、非安全コントローラを、CPUバスによりバス接続させて連結しているため、安全コントローラが非安全コントローラの制御データを取り込む可能性がある。安全コントローラが非安全コントローラの制御データを安全制御に利用すると、安全機能が保証されなくなるため、特許文献1に記載の安全コントローラおよびシステムでは、例えばファームウェア等により、制御データの入力を拒否するような設定をしている。しかし、当該ファームウェア等にバグ等が生じた場合は、安全機能が保証されなくなる可能性があるという課題があった。   In the safety controller and the system described in Patent Literature 1, since the safety controller and the non-safety controller are connected by a bus connection via the CPU bus, the safety controller may capture control data of the non-safety controller. If the safety controller uses the control data of the non-safety controller for the safety control, the safety function is not guaranteed. Therefore, in the safety controller and the system described in Patent Document 1, for example, firmware or the like rejects the input of the control data. You are setting. However, when a bug or the like occurs in the firmware or the like, there is a problem that the safety function may not be guaranteed.

本発明は、上述のような問題を解決するためになされたもので、安全制御装置と一般制御用装置が連結されている場合において、一般制御用の制御データが安全制御に影響を与えず、安全機能が保証される安全制御装置および安全制御システムを提供することを目的とする。   The present invention has been made in order to solve the above-described problems, and when a safety control device and a general control device are connected, control data for general control does not affect safety control, An object is to provide a safety control device and a safety control system in which a safety function is guaranteed.

上述した課題を解決し、目的を達成するために、本発明にかかる安全制御装置は、外部の安全入力機器からの安全入力信号を、安全専用バスを介して受信し、制御対象の機器に対して安全出力信号を送信することで安全制御を行うと共に、CPUバスを介して接続される安全制御とは異なる制御を行う一般制御用装置に対して、安全入力信号および安全出力信号である安全制御データを送信する。安全制御装置は、電気信号が入力される入力部と電気信号が出力される出力部を有する電子部品を備える。電子部品は、安全専用バスを介して入力部にて受信した、電気信号である安全制御データを、一旦、光又は磁気に変換し、次に電気信号に変換して、出力部を経由してCPUバスを介して一般制御用装置に送信し、一般制御用装置からの制御データの受信を遮断する。 In order to solve the above-described problems and achieve the object, a safety control device according to the present invention receives a safety input signal from an external safety input device via a safety-dedicated bus, and sends a signal to a control target device. The safety control is performed by transmitting a safety output signal to the general control device which performs safety control different from the safety control connected via the CPU bus. Send data. The safety control device includes an electronic component having an input unit to which an electric signal is input and an output unit to which the electric signal is output. The electronic component converts the safety control data, which is an electric signal, received at the input unit via the dedicated safety bus, once into light or magnetism, then converts it into an electric signal, and then through the output unit. The data is transmitted to the general control device via the CPU bus, and the reception of control data from the general control device is cut off.

さらに、本発明に係る安全制御システムは、外部の安全入力機器からの安全入力信号により、制御対象の機器に対して、安全制御の安全出力信号を送信する安全用制御回路を有する安全制御装置と、CPUユニットを含む、安全制御とは異なる制御を行う複数の一般制御用装置と、安全入力信号および安全出力信号である安全制御データを、他のユニットへ送信するために用いられる安全専用バス、および、一般制御用装置内の制御データの通信を行うCPUバスの調停を行う調停用制御回路と、安全用制御回路側に、安全制御データが入力される入力部が設けられ、調停用制御回路側に、安全制御データが出力される出力部が設けられた電子部品と、を備える。電子部品は、安全専用バスを介して入力部にて受信した、電気信号である安全制御データを、一旦、光又は磁気に変換し、次に電気信号に変換して、出力部を経由してCPUバスを介して一般制御用装置に送信し、一般制御用装置からの制御データの受信を遮断する。 Further, the safety control system according to the present invention is a safety control device having a safety control circuit that transmits a safety control safety output signal to a device to be controlled by a safety input signal from an external safety input device. Including a CPU unit, a plurality of general control devices that perform control different from safety control, and a safety dedicated bus used to transmit safety control data that is a safety input signal and a safety output signal to other units, An arbitration control circuit for arbitrating a CPU bus for communicating control data in the general control device; and an input section on the safety control circuit side for inputting safety control data, wherein the arbitration control circuit is provided. And an electronic component provided with an output unit for outputting safety control data. The electronic component converts the safety control data, which is an electric signal, received at the input unit via the dedicated safety bus, once into light or magnetism, then converts it into an electric signal, and then through the output unit. The data is transmitted to the general control device via the CPU bus, and the reception of control data from the general control device is cut off.

本発明に係る安全制御装置および安全制御システムによれば、安全制御装置に設けた電子部品により、電気信号である安全制御データを一旦、光又は磁気に変換し、次に電気信号に変換してCPUバスに送信し、一般制御用装置からの制御データの受信は遮断することができるため一般制御用装置の制御データが安全制御装置に送信されず、システムの安全機能を保証することができる。   According to the safety control device and the safety control system according to the present invention, the safety control data, which is an electric signal, is once converted into light or magnetism, and then converted into an electric signal by the electronic components provided in the safety control device. Since transmission to the CPU bus and reception of control data from the general control device can be interrupted, control data of the general control device is not transmitted to the safety control device, and the safety function of the system can be guaranteed.

本発明の実施の形態1に係る安全制御装置を備えた安全制御システムの構成を示す図である。1 is a diagram illustrating a configuration of a safety control system including a safety control device according to a first embodiment of the present invention. 本発明の実施の形態1の安全制御装置の構成を示す図である。FIG. 2 is a diagram illustrating a configuration of a safety control device according to the first embodiment of the present invention. 本発明の実施の形態1に係る安全制御装置の調停用制御回路の構成を示す図である。FIG. 3 is a diagram illustrating a configuration of an arbitration control circuit of the safety control device according to the first embodiment of the present invention. 本発明の実施の形態2に係る安全制御システムの構成を示す図である。FIG. 9 is a diagram showing a configuration of a safety control system according to Embodiment 2 of the present invention. 本発明の実施の形態3に係る安全制御システムの構成を示す図である。FIG. 9 is a diagram showing a configuration of a safety control system according to Embodiment 3 of the present invention.

以下に、本発明の実施の形態に係る安全制御装置および安全制御システムを、図面を用いて説明する。各実施の形態に共通する構成要素には、同じ符号を付して説明を省略する。なお、この実施の形態により発明が限定されるものではない。 Hereinafter, a safety control device and a safety control system according to an embodiment of the present invention will be described with reference to the drawings. Components common to the embodiments are given the same reference numerals, and description thereof is omitted. The invention is not limited by the embodiment.

実施の形態1.
図1は、本発明の実施の形態1に係る安全制御装置を備えた安全制御システムの構成を示す図である。安全制御システム100は、電源を供給する電源1a、1b、安全制御を行う安全制御装置である安全CPUユニット2、安全入出力ユニット3、安全制御以外の制御を行う一般制御用装置4であるCPUユニット4aおよび一般制御用ユニット4bから構成される。電源1aは、安全CPUユニット2に内蔵され、電源1bは、CPUユニット4aに内蔵される。Embodiment 1 FIG.
FIG. 1 is a diagram showing a configuration of a safety control system including a safety control device according to Embodiment 1 of the present invention. The safety control system 100 includes power supplies 1a and 1b that supply power, a safety CPU unit 2 that is a safety control device that performs safety control, a safety input / output unit 3, and a CPU that is a general control device 4 that performs control other than safety control. It comprises a unit 4a and a general control unit 4b. The power supply 1a is built in the safety CPU unit 2, and the power supply 1b is built in the CPU unit 4a.

ここで、安全CPUユニット2のような安全機器を扱う機械安全分野では、制御システム全体のうち、安全に関わる電気制御システムを安全関連部といい、それ以外の部分を非安全関連部と呼ぶことで互いに区別をしている。非安全関連部は、機械設備がその性能を発揮するための制御システム部分であり、本実施の形態1においては、一般制御用装置4が該当する。具体的には、機械の可動範囲の位置決め制御、モータ回転数の制御など、機械設備の重要な機能を制御する部分である。一方、安全関連部は、主に機械設備の作業者に対する安全を確保する制御システム部分であり、安全が確認されている場合には、非安全関連部である一般制御用装置4からの始動命令を受信して制御対象の機器が作動する。 Here, in the field of machine safety dealing with safety equipment such as the safety CPU unit 2, of the entire control system, an electrical control system related to safety is called a safety-related part, and other parts are called non-safety-related parts. Are distinguished from each other. The non-safety-related part is a control system part for the mechanical equipment to exhibit its performance, and corresponds to the general control device 4 in the first embodiment. Specifically, it is a part that controls important functions of mechanical equipment, such as positioning control of a movable range of the machine and control of a motor rotation speed. On the other hand, the safety-related part is a control system part for mainly ensuring the safety for the operator of the machine equipment. If the safety is confirmed, a start command from the non-safety-related part of the general control device 4 is issued. And the device to be controlled operates.

本実施の形態1の安全制御システム100においては、安全関連部である安全CPUユニット2に、安全入力機器50、制御対象出力機器60が接続され、非安全関連部であるCPUユニット4aまたは一般制御用ユニット4bに、制御対象出力機器60が接続されている。これらにより、工場内のFA(Factory Automation)システムを用いた安全制御システムが実現されている。安全入力機器50は、例えば、非常停止ボタンやライトカーテン等の入力機器をいう。また、制御対象の機器である制御対象出力機器60は、モータ等、機械設備の駆動機器をいう。 In the safety control system 100 according to the first embodiment, the safety input device 50 and the control target output device 60 are connected to the safety CPU unit 2 which is a safety-related unit, and the CPU unit 4a which is a non-safety-related unit or a general control unit. The control target output device 60 is connected to the unit 4b. As a result, a safety control system using a factory automation (FA) system in a factory is realized. The safety input device 50 is, for example, an input device such as an emergency stop button and a light curtain. The control target output device 60, which is a device to be controlled, refers to a driving device for mechanical equipment such as a motor.

安全入出力ユニット3は、外部の安全入力機器50からの安全入力信号の受信、つまり、安全制御データの受信を行う装置である。安全入出力ユニット3は、受信した安全制御データを、安全専用バス8を介して、安全CPUユニット2に送信する。安全入力機器50が複数ある場合は、複数の安全入力に対応するために安全入出力ユニット3を増設して対応する。なお、図1においては、安全入出力ユニット3に、安全入力機器50のみ接続された構成を図示しているが、制御対象出力機器60を接続してもよい。 The safety input / output unit 3 is a device that receives a safety input signal from an external safety input device 50, that is, receives safety control data. The safety input / output unit 3 transmits the received safety control data to the safety CPU unit 2 via the dedicated safety bus 8. When there are a plurality of safety input devices 50, the safety input / output unit 3 is additionally provided to support a plurality of safety inputs. Although FIG. 1 shows a configuration in which only the safety input device 50 is connected to the safety input / output unit 3, a control target output device 60 may be connected.

機械設備の安全が確保されている状況では、安全入力機器50は、安全状態を示す電気信号を、安全CPUユニット2および安全入出力ユニット3に送信する。ここで、安全状態を示す電気信号を安全入力信号という。安全入力信号を受信した安全CPUユニット2は、制御対象出力機器60に対し、運転を許可する電気信号を送信する。ここで、運転を許可する電気信号を安全出力信号という。換言すると、安全入力信号を受信した安全CPUユニット2は、制御対象出力機器60に対し、安全出力信号を出力する。安全出力信号を受信した制御対象出力機器60は、一般制御用ユニット4bからの制御に従った動作を行う。 In a situation where the safety of the mechanical equipment is ensured, the safety input device 50 transmits an electric signal indicating the safety state to the safety CPU unit 2 and the safety input / output unit 3. Here, the electric signal indicating the safety state is called a safety input signal. The safety CPU unit 2 that has received the safety input signal transmits an electric signal for permitting operation to the control target output device 60. Here, the electric signal for permitting the operation is referred to as a safety output signal. In other words, the safety CPU unit 2 that has received the safety input signal outputs a safety output signal to the control target output device 60. The control target output device 60 that has received the safety output signal performs an operation according to the control from the general control unit 4b.

一方、安全が確認できない状態、例えば、工場内の作業者が危険区域に侵入したことを検出したときや、工場設備のオペレータ等が機械の停止スイッチを押したときは、安全入力機器50は、安全入力信号の送信を停止する。つまり、安全入力機器50の入力があると、安全入力信号の送信を停止する。次に、安全CPUユニット2は、制御対象出力機器60に対し、安全出力信号の送信を停止する。これにより、制御対象出力機器60は運転を停止する。なお、図1では、制御対象出力機器60を1台のみ記載しているが、各々複数台あってもよい。 On the other hand, when the safety cannot be confirmed, for example, when it is detected that the worker in the factory has entered the danger area, or when the operator of the factory equipment presses the stop switch of the machine, the safety input device 50 is Stop transmitting the safety input signal. That is, when there is an input from the safety input device 50, the transmission of the safety input signal is stopped. Next, the safety CPU unit 2 stops transmitting the safety output signal to the control target output device 60. Accordingly, the controlled output device 60 stops operating. Although FIG. 1 illustrates only one control target output device 60, a plurality of control target output devices 60 may be provided.

ここで、上述した、安全入力信号および安全出力信号をまとめて安全制御データという。安全制御データは、安全機能の処理を行うための電気信号であり、安全用制御回路5で処理され、安全専用バス8を介して、安全CPUユニット2と安全入出力ユニット3間で通信される。なお、本実施の形態において、安全制御データは、安全入力信号および安全出力信号であるとしたが、これらに限らず、安全入力機器50の入力により、安全入力信号の送信が停止されたという情報や、安全用制御回路5が、制御対象出力機器60に対して送信する安全出力信号の出力を停止したという情報が含まれても良いし、安全用制御回路5が有する、安全CPUユニット2および安全入出力ユニット3の構成管理情報や、論理回路を記述したプログラムの情報等、いわゆるコンフィグレーション情報が含まれていてもよい。 Here, the above-described safety input signal and safety output signal are collectively referred to as safety control data. The safety control data is an electric signal for performing processing of the safety function, is processed by the safety control circuit 5, and is communicated between the safety CPU unit 2 and the safety input / output unit 3 via the safety dedicated bus 8. . In the present embodiment, the safety control data is a safety input signal and a safety output signal. However, the present invention is not limited to these, and the information that the transmission of the safety input signal is stopped by the input of the safety input device 50. Alternatively, information that the safety control circuit 5 has stopped outputting the safety output signal to be transmitted to the control target output device 60 may be included, or the safety CPU unit 2 and the So-called configuration information such as configuration management information of the safety input / output unit 3 and information of a program describing a logic circuit may be included.

また、安全制御システム100の、安全CPUユニット2および安全入出力ユニット3は、安全専用バス8によりバス接続される。さらに、安全CPUユニット2には、調停用制御回路7を介してCPUバス9が接続される。CPUユニット4aと一般制御用ユニット4bは、CPUバス9によりバス接続される。なお、安全制御システム100において、安全入出力ユニット3、一般制御用ユニット4bは、それぞれ複数バス接続されてもよい。 Further, the safety CPU unit 2 and the safety input / output unit 3 of the safety control system 100 are connected by a bus dedicated to safety. Further, a CPU bus 9 is connected to the safety CPU unit 2 via an arbitration control circuit 7. The CPU unit 4 a and the general control unit 4 b are connected by a CPU bus 9. In the safety control system 100, each of the safety input / output unit 3 and the general control unit 4b may be connected to a plurality of buses.

安全専用バス8は、安全CPUユニット2と安全入出力ユニット3との間で、安全制御データの送受信を行うためのバスである。安全制御データは、安全専用バス8を用いることにより安全の信頼性が保証される。CPUバス9は、CPUユニット4aと一般制御用ユニット4bとの間、および一般制御用ユニット4bと調停用制御回路7との間で安全制御以外の制御データの送受信を行う。 The safety dedicated bus 8 is a bus for transmitting and receiving safety control data between the safety CPU unit 2 and the safety input / output unit 3. As for the safety control data, the reliability of safety is guaranteed by using the dedicated safety bus 8. The CPU bus 9 transmits and receives control data other than safety control between the CPU unit 4a and the general control unit 4b, and between the general control unit 4b and the arbitration control circuit 7.

図2は、本発明の実施の形態1に係る安全制御装置である安全CPUユニットの構成図である。安全制御装置である安全CPUユニット2は、電源を供給する電源1aと、安全用制御回路5と、絶縁素子6と、調停用制御回路7とから構成される。安全CPUユニット2の安全用制御回路5は、外部の安全入力機器50からの安全制御データを、安全専用バス8を介して受信する。安全用制御回路5は、受信した安全制御データに応じて、制御対象出力機器60への安全出力信号の出力を制御する。 FIG. 2 is a configuration diagram of a safety CPU unit that is a safety control device according to Embodiment 1 of the present invention. The safety CPU unit 2, which is a safety control device, includes a power supply 1a for supplying power, a safety control circuit 5, an insulating element 6, and an arbitration control circuit 7. The safety control circuit 5 of the safety CPU unit 2 receives safety control data from an external safety input device 50 via a safety dedicated bus 8. The safety control circuit 5 controls the output of a safety output signal to the control target output device 60 according to the received safety control data.

安全CPUユニット2の絶縁素子6は、安全専用バス8から受信した、電気信号である安全制御データを、一旦、光や磁気に変換し再び電気信号に戻すことによって、電気的に絶縁しながら電気信号を送信する。具体的には、絶縁素子6は、安全制御データを入力する入力部6aと安全制御データを出力する出力部6bを有し、入力部6aで、安全制御データを光又は磁気の信号に変換し、出力部6bで、安全制御データを再び電気信号に戻してから後述する調停用制御回路7に送信する。調停用制御回路7は、CPUバス9を介して安全制御データを一般制御用装置4に送信する。つまり、絶縁素子6は、安全CPUユニット2と、後述する、安全制御以外の制御を行う一般制御用装置4を電気的に絶縁している。絶縁素子6は、例えば、フォトカプラや、デジタルアイソレータである。 The insulating element 6 of the safety CPU unit 2 converts the safety control data, which is an electric signal, received from the dedicated safety bus 8 into light or magnetism and returns it to an electric signal again, thereby electrically insulating the electric control signal. Send a signal. Specifically, the insulating element 6 has an input unit 6a for inputting safety control data and an output unit 6b for outputting safety control data. The input unit 6a converts the safety control data into an optical or magnetic signal. The output unit 6b returns the safety control data to an electric signal again, and then transmits the electric signal to the arbitration control circuit 7 described later. The arbitration control circuit 7 transmits safety control data to the general control device 4 via the CPU bus 9. That is, the insulating element 6 electrically insulates the safety CPU unit 2 from a general control device 4 that performs control other than safety control, which will be described later. The insulating element 6 is, for example, a photocoupler or a digital isolator.

ここで、安全機能を有する製品は、製品出荷前に安全規格(IEC、ISO規格等)に準じた安全認証を取得するが、安全認証を取得した製品は、安全側に制御されることが保証される。しかし、安全認証を取得しない一般制御用装置4は、故障等した場合、安全側に制御されることもあれば、機器が暴走する可能性もあり、安全機能が保証できなくなる可能性がある。上述の場合、一般制御用装置4の制御データを、安全CPUユニット2または安全入出力ユニット3へ取り込み、取り込んだ制御データを安全制御に利用した場合、安全機能が保証できなくなる。したがって、安全CPUユニット2または安全入出力ユニット3は、一般制御用装置4からの制御データを受信しないように遮断することが必要である。一般制御用装置4の制御データは、制御対象出力機器60の動作を制御するためのデータである。 Here, a product having a safety function obtains safety certification according to safety standards (IEC, ISO standards, etc.) before product shipment, but it is guaranteed that products that have obtained safety certification are controlled to the safe side. Is done. However, the general control device 4 for which the safety certification is not obtained may be controlled to the safe side if a failure or the like occurs, or the device may run away, and the safety function may not be guaranteed. In the above case, when the control data of the general control device 4 is taken into the safety CPU unit 2 or the safety input / output unit 3 and the taken control data is used for safety control, the safety function cannot be guaranteed. Therefore, it is necessary to shut off the safety CPU unit 2 or the safety input / output unit 3 so as not to receive the control data from the general control device 4. The control data of the general control device 4 is data for controlling the operation of the control target output device 60.

絶縁素子6は、電気信号の入力部6aを安全用制御回路5側に設け、電気信号の出力部6bを調停用制御回路7側に設ける。絶縁素子6の出力部6bは、出力部6bで再度電気信号に変換された安全制御データの送信のみ行い、電気信号の受信は行わない。つまり、CPUバス9から調停用制御回路7を介して、電気信号である制御データを受信することはない。結果として、CPUバス9からの制御データの受信を遮断することができる。この構成により、安全CPUユニット2と安全入出力ユニット3の間で送受信される安全制御データは、一般制御用装置4へ送信することはできるが、一般制御用装置4からの制御データを、安全CPUユニット2または安全入出力ユニット3が受信しないようにすることができる。 The insulating element 6 has an input section 6a for an electric signal on the safety control circuit 5 side and an output section 6b for the electric signal on the arbitration control circuit 7 side. The output unit 6b of the insulating element 6 only transmits the safety control data converted into the electric signal again by the output unit 6b, and does not receive the electric signal. That is, control data, which is an electric signal, is not received from the CPU bus 9 via the arbitration control circuit 7. As a result, reception of control data from the CPU bus 9 can be cut off. With this configuration, the safety control data transmitted and received between the safety CPU unit 2 and the safety input / output unit 3 can be transmitted to the general control device 4, but the control data from the general control device 4 is It is possible to prevent the CPU unit 2 or the safety input / output unit 3 from receiving.

なお、安全制御システム100が稼働している間は、安全制御データは安全専用バス8またはCPUバス9内で通信され、一般制御用装置4の制御データは常にCPUバス9内で通信されている。よって、絶縁素子6の入力部6aは、安全専用バス8を介して送信された安全制御データを受信する度に、受信した安全制御データを、上述のように電気的に絶縁しながら出力部6bに渡し、出力部6bから安全専用バス8を介して調停用制御回路7に送信している。 During the operation of the safety control system 100, the safety control data is communicated in the dedicated safety bus 8 or the CPU bus 9, and the control data of the general control device 4 is always communicated in the CPU bus 9. . Therefore, each time the safety control data transmitted via the dedicated safety bus 8 is received, the input unit 6a of the insulating element 6 electrically insulates the received safety control data as described above and outputs the output unit 6b. To the arbitration control circuit 7 from the output unit 6b via the dedicated safety bus 8.

図3は、安全CPUユニット2の調停用制御回路7の構成図を示す図である。調停用制御回路7は、安全専用バスI/F(インターフェイス)10、安全制御データ受信部11、安全制御データ解析部12、安全制御データ転送部13、CPUバスI/F14で構成される。調停用制御回路7は、安全制御データをCPUバスI/F14のメモリに載せ、CPUバス9に送信している。   FIG. 3 is a diagram showing a configuration diagram of the arbitration control circuit 7 of the safety CPU unit 2. The arbitration control circuit 7 includes a safety dedicated bus I / F (interface) 10, a safety control data reception unit 11, a safety control data analysis unit 12, a safety control data transfer unit 13, and a CPU bus I / F 14. The arbitration control circuit 7 places the safety control data on the memory of the CPU bus I / F 14 and transmits the data to the CPU bus 9.

安全制御データ受信部11は、安全専用バスI/F10を介して安全機能の処理を行うための安全制御データを受信し、受信した安全制御データを安全制御データ解析部12に送信する。安全制御データ解析部12は、安全制御データ受信部11から受信した安全制御データを解析し、安全制御データにデータ化けやデータ誤りないか否かを確認する。データ誤りがなければ、安全制御データをもとに、一般制御用装置4に対応するデータを作成し、安全制御データ転送部13に送信する。データ誤りがある場合は、受信した誤りデータそのもの破棄され、データ誤りを検出した旨のログを、調停用制御回路7が備える、図示しないメモリに格納する。ユーザは、一般制御用装置4のCPUユニット4aに接続された図示しないエンジニアリングツールで、メモリを適宜確認することで、参照しているデータが更新されたものか否かを確認することができる。 The safety control data receiving unit 11 receives the safety control data for performing the processing of the safety function via the safety-dedicated bus I / F 10 and transmits the received safety control data to the safety control data analyzing unit 12. The safety control data analysis unit 12 analyzes the safety control data received from the safety control data reception unit 11 and checks whether the safety control data is not garbled or has a data error. If there is no data error, data corresponding to the general control device 4 is created based on the safety control data and transmitted to the safety control data transfer unit 13. If there is a data error, the received error data itself is discarded, and a log indicating that the data error has been detected is stored in a memory (not shown) provided in the arbitration control circuit 7. The user can confirm whether or not the referenced data has been updated by appropriately checking the memory with an engineering tool (not shown) connected to the CPU unit 4a of the general control device 4.

安全制御データ転送部13は、安全制御データ解析部12から受信した、一般制御用装置4に対応した安全制御データを、CPUバスI/F14およびCPUバス9を介して、各一般制御用装置4に送信する。   The safety control data transfer unit 13 transmits the safety control data corresponding to the general control device 4 received from the safety control data analysis unit 12 via the CPU bus I / F 14 and the CPU bus 9 to each of the general control devices 4. Send to

一般制御用装置4に送信された安全制御データは、一般制御用装置4のCPUユニット4aに接続された図示しないエンジニアリングツールで確認することができる。ここで、一般制御用装置4がCPUバス9を介して受信した安全制御データ内に、安全CPUユニット2の内部要因で故障等が発生している旨のエラーコード等がある場合、ユーザは、CPUユニット4aに接続されたエンジニアリングツールで当該エラーコードを確認することができる。当該エラーコードを確認したということは、一般制御用装置4がCPUバス9を介して受信した安全制御データが、正確な情報でない可能性があるため、ユーザは、一般制御用装置4の制御を停止する等の処理をすることができる。このように、一般制御用装置4に送信された安全制御データは、安全状態を監視する為に利用することができる。 The safety control data transmitted to the general control device 4 can be confirmed by an engineering tool (not shown) connected to the CPU unit 4a of the general control device 4. Here, when the safety control data received by the general control device 4 via the CPU bus 9 includes an error code or the like indicating that a failure or the like has occurred due to an internal factor of the safety CPU unit 2, the user: The error code can be confirmed by an engineering tool connected to the CPU unit 4a. The confirmation of the error code means that the safety control data received by the general control device 4 via the CPU bus 9 may not be accurate information. Processing such as stopping can be performed. As described above, the safety control data transmitted to the general control device 4 can be used for monitoring the safety state.

CPUユニット4aは、PLC(プログラマブルロジックコントローラ)の制御の中心となるユニットである。主に、ユーザプログラム、I/Oメモリ、実行エンジン、プログラムメモリ、外部通信用I/F、CPUバスI/F等から構成される。   The CPU unit 4a is a central unit for controlling a PLC (programmable logic controller). It mainly comprises a user program, an I / O memory, an execution engine, a program memory, an external communication I / F, a CPU bus I / F, and the like.

一般制御用ユニット4bは、例えば、I/Oユニット、ネットワークユニット、温度調節ユニット等である。一般制御用ユニット4bは、ユーザが工場内等で何を制御するかにより、目的に合わせて選択が可能である。   The general control unit 4b is, for example, an I / O unit, a network unit, a temperature control unit, or the like. The general control unit 4b can be selected according to the purpose depending on what the user controls in a factory or the like.

また、安全制御システム100においては、安全CPUユニット2に電源1aを内蔵し、CPUユニット4aに電源1bを内蔵している。つまり、安全制御側と一般制御側は、別々の電源系統で電源を供給している。 In the safety control system 100, the power supply 1a is built in the safety CPU unit 2, and the power supply 1b is built in the CPU unit 4a. That is, the safety control side and the general control side supply power with separate power supply systems.

ここで、安全制御を行う装置と安全制御以外の一般制御用装置を連携したシステムにおいて、同じ電源系統で電源を供給している場合、一方の装置を電源OFFまたはリセットしようとすると、他方の装置も同様に電源OFFまたはリセットされてしまう。例えば、CPUユニットのみシステム拡張を行う場合であっても、CPUユニットが電源OFFにより停止されれば、システム拡張を行わない安全CPUユニットも一時的に停止しなくてはならない。よって、作業者は安全CPUユニットを停止させた状態で作業を行うことになり、安全が確保されない可能性がある。 Here, in a system in which a device that performs safety control and a general control device other than safety control are linked, when power is supplied from the same power supply system, when one device is turned off or reset, the other device is turned off. Is similarly turned off or reset. For example, even when the system expansion is performed only for the CPU unit, if the CPU unit is stopped by turning off the power, the safety CPU unit that does not perform the system expansion must also be temporarily stopped. Therefore, the worker performs the work with the safety CPU unit stopped, and there is a possibility that safety is not ensured.

本実施の形態1に係る安全制御システム100のように、安全CPUユニット2とCPUユニット4aが、各々別々の電源系統から電源を供給されるような構成であれば、CPUユニット4aのみシステム拡張等を行うために電源OFFしても、安全CPUユニット2に影響はないため、安全機能を保証しながらシステム拡張等行うことが可能となる。   As in the safety control system 100 according to the first embodiment, if the safety CPU unit 2 and the CPU unit 4a are configured to be supplied with power from separate power supply systems, only the CPU unit 4a can be used for system expansion or the like. Since the safety CPU unit 2 is not affected even if the power is turned off to perform the operation, the system can be expanded while ensuring the safety function.

以上より、実施の形態1に係る安全制御システムによれば、安全制御装置である安全CPUユニットに絶縁素子を設けることにより、ファームウェア等で制御データの入力を拒否するような設定をする必要なく、安全CPUユニットに一般制御用のデータが取り込まれないようにすることができる。また、当該ファームウェア等のバグを考慮することなく、安全機能を保証することができる。 As described above, according to the safety control system according to the first embodiment, by providing an insulating element in the safety CPU unit, which is a safety control device, it is not necessary to perform a setting to reject control data input by firmware or the like. It is possible to prevent data for general control from being taken into the safety CPU unit. Further, the safety function can be guaranteed without considering the bug of the firmware or the like.

さらに、安全制御を実行する安全制御装置である安全CPUユニットと、一般制御用装置であるCPUユニットが別々の電源を有するため、一方のユニットの電源をOFFにしても他方のユニットの機能に影響を与えることなくシステム拡張や構成変更を行うことができる。つまり、安全制御システムは、一般制御用装置がシステム拡張や構成変更をするために電源をOFFする場合においても、安全機能を確保することができる。 Furthermore, since the safety CPU unit, which is a safety control device for executing safety control, and the CPU unit, which is a general control device, have separate power supplies, turning off the power of one unit affects the function of the other unit. System extension and configuration change can be performed. That is, the safety control system can ensure the safety function even when the general control device turns off the power to expand the system or change the configuration.

実施の形態2.
図4は、実施の形態2に係る安全制御システムの構成を示す図である。図4の安全制御システム200は、安全CPUユニット2の絶縁素子6および調停用制御回路7を、調停回路ユニット15として、安全CPUユニット2の外部に設けたものである。この場合においても、安全制御データの送受信の手順は、実施の形態1と同様である。安全CPUユニット2と調停回路ユニット15間の接続、または、一般制御用ユニット4bと調停回路ユニット15間の接続は、各ユニットの側面に設けられた増設コネクタにより接続してもよいし、増設用のケーブル等で接続してもよい。Embodiment 2 FIG.
FIG. 4 is a diagram illustrating a configuration of the safety control system according to the second embodiment. In the safety control system 200 of FIG. 4, the insulating element 6 and the arbitration control circuit 7 of the safety CPU unit 2 are provided outside the safety CPU unit 2 as an arbitration circuit unit 15. Also in this case, the procedure for transmitting and receiving the safety control data is the same as in the first embodiment. The connection between the safety CPU unit 2 and the arbitration circuit unit 15 or the connection between the general control unit 4b and the arbitration circuit unit 15 may be connected by an additional connector provided on the side of each unit, or May be connected by a cable or the like.

調停回路ユニット15は、絶縁素子6と調停用制御回路7から構成される。ここで、安全CPUユニット2は安全機能を有するため、製品出荷前に安全規格に準じた安全認証を取得しなければならない。安全認証の試験は、規格申請費用等を含め高コストである。安全認証の試験は、製品全体を試験するため、安全CPUユニット2において、絶縁素子6または調停用制御回路7に故障があり修理した場合でも、安全CPUユニット2の安全認証を再度取得しなくてはならない。したがって、絶縁素子6および調停用制御回路7を安全CPUユニット2の外部に設けることで、絶縁素子6または調停用制御回路7が故障した場合、修理後に安全認証を再度取得する必要がなくなる。   The arbitration circuit unit 15 includes the insulating element 6 and the arbitration control circuit 7. Here, since the safety CPU unit 2 has a safety function, it is necessary to obtain safety certification according to safety standards before shipping the product. Testing for safety certification is expensive, including the cost of applying for standards. In the safety certification test, the entire product is tested. Therefore, even if the insulation element 6 or the arbitration control circuit 7 is broken and repaired in the safety CPU unit 2, the safety certification of the safety CPU unit 2 does not need to be acquired again. Not be. Therefore, by providing the insulating element 6 and the arbitration control circuit 7 outside the safety CPU unit 2, when the insulating element 6 or the arbitration control circuit 7 breaks down, it is not necessary to obtain the safety certification again after the repair.

以上より、実施の形態2の安全制御システムによれば、調停用制御回路7を調停回路ユニット15として安全CPUユニット2の外部に設けたことにより、調停回路の基板のみ故障した場合、調停回路の基板を交換するのみでよいため、低コストで修理することができる。   As described above, according to the safety control system of the second embodiment, the arbitration control circuit 7 is provided outside the safety CPU unit 2 as the arbitration circuit unit 15, so that if only the arbitration circuit board fails, the arbitration circuit Since only the substrate needs to be replaced, repair can be performed at low cost.

実施の形態3.
図5は、実施の形態3に係る安全制御システムの構成を示す図である。図5の安全制御システム300は、安全CPUユニット2に接続された安全制御用エンジニアリングツール16と、CPUユニット4aに接続された一般制御用エンジニアリングツール17を備える。Embodiment 3 FIG.
FIG. 5 is a diagram showing a configuration of the safety control system according to the third embodiment. The safety control system 300 shown in FIG. 5 includes a safety control engineering tool 16 connected to the safety CPU unit 2 and a general control engineering tool 17 connected to the CPU unit 4a.

安全制御用エンジニアリングツール16は、安全CPUユニット2に接続され、第1のコンフィグレーション情報である、安全CPUユニット2および安全入出力ユニット3のコンフィグレーション情報を設定する。第1のコンフィグレーション情報は、安全制御システム300の、安全CPUユニット2および安全入出力ユニット3の構成管理情報や、論理回路を記述したプログラムの情報等をいう。また、第1のコンフィグレーション情報は、安全用制御回路5が有している。なお、本実施の形態においては、安全制御用エンジニアリングツール16で第1のコンフィグレーション情報を設定しているが、安全CPUユニット2に搭載された、スイッチ等のハードウェア部品により、設定してもよい。   The safety control engineering tool 16 is connected to the safety CPU unit 2 and sets the configuration information of the safety CPU unit 2 and the safety input / output unit 3, which is the first configuration information. The first configuration information refers to configuration management information of the safety CPU unit 2 and the safety input / output unit 3 of the safety control system 300, information of a program describing a logic circuit, and the like. The first configuration information is included in the safety control circuit 5. In the present embodiment, the first configuration information is set by the safety control engineering tool 16. However, the first configuration information may be set by a hardware component such as a switch mounted on the safety CPU unit 2. Good.

一般制御用エンジニアリングツール17は、CPUユニット4aに接続され、第2のコンフィグレーション情報である、CPUユニット4aおよび一般制御用ユニット4bのコンフィグレーション情報を設定する。第2のコンフィグレーション情報は、安全制御システム300のCPUユニット4aおよび一般制御用ユニット4bの構成管理情報や、一般制御用装置4が制御対象出力機器60に対する制御を行うためのラダープログラムの情報等をいう。第2のコンフィグレーション情報は、CPUユニット4aまたは一般制御用ユニット4bが各自備えている、図示しない制御回路が有している。なお、本実施の形態においては、一般制御用エンジニアリングツール17で第2のコンフィグレーション情報を設定しているが、CPUユニット4aに搭載された、スイッチ等のハードウェア部品により、設定してもよい。 The general control engineering tool 17 is connected to the CPU unit 4a, and sets configuration information of the CPU unit 4a and the general control unit 4b, which is second configuration information. The second configuration information includes configuration management information of the CPU unit 4a and the general control unit 4b of the safety control system 300, information of a ladder program for the general control device 4 to control the control target output device 60, and the like. Say. The second configuration information is provided in a control circuit (not shown) provided in the CPU unit 4a or the general control unit 4b. In the present embodiment, the second configuration information is set by the general control engineering tool 17, but may be set by a hardware component such as a switch mounted on the CPU unit 4a. .

この構成により、安全制御側と一般制御側で、エンジニアリングツールまたはコンフィグレーション情報設定用のハードウェア部品を分けているため、一方のコンフィグレーション情報の設定や変更に影響を与えることはない。 With this configuration, since the engineering control or the hardware component for configuration information setting is separated between the safety control side and the general control side, there is no effect on the setting or change of one of the configuration information.

また、CPUユニット4aが備える、図示しない制御回路は、第1のコンフィグレーション情報を照合する機能を有する。また、第1のコンフィグレーション情報を照合する機能を有するCPUユニット4aは、図示しない安全制御情報保持部を有する。システム起動時またはシステム変更時に、ユーザが一般制御用エンジニアリングツール17を介して第1のコンフィグレーション情報を読み出す指示を入力すると、CPUユニット4aは、受信した安全制御データから、第1のコンフィグレーション情報を取得し、安全制御情報保持部へ格納する。具体的には、CPUユニット4aが備える制御回路が、CPUバス9を介して、第1のコンフィグレーション情報を安全制御情報保持部へ格納する。なお、本実施の形態において、ユーザが第1のコンフィグレーション情報を読み出す指示を入力するとしたが、そのほか、ユーザが一般制御用エンジニアリングツール17を介して第1のコンフィグレーション情報を直接入力してもよい。 A control circuit (not shown) provided in the CPU unit 4a has a function of checking the first configuration information. Further, the CPU unit 4a having a function of checking the first configuration information has a safety control information holding unit (not shown). When the user inputs an instruction to read out the first configuration information via the general control engineering tool 17 at the time of system startup or system change, the CPU unit 4a converts the received safety control data into first configuration information. Is acquired and stored in the safety control information holding unit. Specifically, the control circuit provided in the CPU unit 4a stores the first configuration information in the safety control information holding unit via the CPU bus 9. In the present embodiment, the user inputs an instruction to read out the first configuration information. However, the user may directly input the first configuration information via the general control engineering tool 17. Good.

第1のコンフィグレーション情報の照合とは、具体的には、システム起動時またはシステム変更時に、安全制御情報保持部に格納した第1のコンフィグレーション情報と、システム稼働中にCPUバス9を介して安全制御データから取得した第1のコンフィグレーション情報をCPUユニット4aが備える制御回路が照合することである。照合した結果が相違している事を示した場合、一般制御用エンジニアリングツール17の表示部にその旨を表示することでユーザに通知する。   Specifically, the first configuration information is compared with the first configuration information stored in the safety control information holding unit at the time of system startup or system change, and via the CPU bus 9 during system operation. That is, the first configuration information obtained from the safety control data is checked by the control circuit provided in the CPU unit 4a. If the collation result indicates that they are different, the user is notified by displaying the fact on the display unit of the general control engineering tool 17.

本実施の形態のように、システム起動時またはシステム変更時の第1のコンフィグレーション情報と、システム稼働中の第1のコンフィグレーション情報を照合し、比較する機能により、ユーザが、安全CPUユニット2または安全入出力ユニット3が意図しないコンフィグレーションで動作していないかを確認することができる。 As in the present embodiment, the function of checking and comparing the first configuration information at the time of system startup or system change with the first configuration information during system operation allows the user to operate the safety CPU unit 2. Alternatively, it can be confirmed whether the safety input / output unit 3 is not operating in an unintended configuration.

例えば、安全制御用エンジニアリングツール16のユーザが、安全CPUユニット2または安全入出力ユニット3が行う安全制御の出力動作を、システム起動時またはシステム変更時に設定した動作内容から、意図しない動作内容にコンフィグレーションを変更してしまったとしても、安全CPUユニット2が、設定したとおりの安全制御を行っているか否かの確認ができる。   For example, the user of the safety control engineering tool 16 configures the output operation of the safety control performed by the safety CPU unit 2 or the safety input / output unit 3 from the operation content set at the time of system startup or system change to an unintended operation content. Even if the configuration has been changed, it is possible to confirm whether or not the safety CPU unit 2 is performing the safety control as set.

なお、照合した結果が相違している事を示した場合ユーザへの通知とともに、一般制御を停止してもよいし、一般制御を継続したまま、異常を通知するだけでもよい。また、本実施の形態3では、一般制御用エンジニアリングツール17を用いてコンフィグレーション情報を照合しているが、CPUユニット4a内の、図示しないファームウェアで照合を行ってもよい。この場合、照合した結果が相違しているときは、CPUユニット4aのエラーとしてCPUユニット4aの図示しない表示部に表示し、ユーザに通知する。 In addition, when the collation result indicates that they are different, the general control may be stopped together with the notification to the user, or only the abnormality may be notified while the general control is continued. Further, in the third embodiment, the configuration information is collated using the general control engineering tool 17, but the collation may be performed by firmware (not shown) in the CPU unit 4a. In this case, if the collation results are different, an error of the CPU unit 4a is displayed on a display unit (not shown) of the CPU unit 4a and notified to the user.

以上より、実施の形態3の安全制御システムによれば、一般制御用装置が安全CPUユニットと安全入出力ユニットのコンフィグレーションを照合する機能を有することで、安全CPUユニットまたは安全入出力ユニットが、システム起動時またはシステム変更時にユーザが設定とおりの安全制御を行っているか否かを確認することができ、安全性を高めることができる。   As described above, according to the safety control system of the third embodiment, the general control device has a function of checking the configuration of the safety CPU unit and the configuration of the safety input / output unit. It is possible to confirm whether or not the user is performing safety control as set at the time of starting the system or changing the system, thereby improving safety.

1a、1b 電源、2 安全CPUユニット、3 安全入出力ユニット、4 一般制御用装置、4a CPUユニット、4b 一般制御用ユニット、5 安全用制御回路、6 絶縁素子、7 調停用制御回路、8 安全専用バス、9 CPUバス、10 安全専用バスI/F、11 安全制御データ受信部、12 安全制御データ解析部、13 安全制御データ転送部、14 CPUバスI/F、15 調停回路ユニット、16 安全制御用エンジニアリングツール、17 一般制御用エンジニアリングツール、50 安全入力機器、60 制御対象出力機器。 1a, 1b power supply, 2 safety CPU unit, 3 safety input / output unit, 4 general control device, 4a CPU unit, 4b general control unit, 5 safety control circuit, 6 insulating element, 7 arbitration control circuit, 8 safety Dedicated bus, 9 CPU bus, 10 safety dedicated bus I / F, 11 safety control data receiving unit, 12 safety control data analysis unit, 13 safety control data transfer unit, 14 CPU bus I / F, 15 arbitration circuit unit, 16 safety Control engineering tool, 17 General control engineering tool, 50 safety input devices, 60 controlled output devices.

Claims (13)

外部の安全入力機器からの安全入力信号を、安全専用バスを介して受信し、制御対象の機器に対して安全出力信号を送信することで安全制御を行うと共に、CPUバスを介して接続される前記安全制御とは異なる制御を行う一般制御用装置に対して、前記安全入力信号および前記安全出力信号である安全制御データを送信する安全制御装置であって、
前記安全制御装置は、電気信号が入力される入力部と前記電気信号が出力される出力部を有する電子部品を備え、
前記電子部品は、前記安全専用バスを介して前記入力部にて受信した、電気信号である前記安全制御データを、一旦、光又は磁気に変換し、次に電気信号に変換して、前記出力部を経由して前記CPUバスを介して前記一般制御用装置に送信し、前記一般制御用装置からの制御データの受信を遮断すること、
を特徴とする安全制御装置。A safety input signal from an external safety input device is received via a dedicated safety bus, and safety control is performed by transmitting a safety output signal to a device to be controlled, and is connected via a CPU bus. A safety control device that transmits safety control data, which is the safety input signal and the safety output signal, to a general control device that performs control different from the safety control,
The safety control device includes an electronic component having an input unit to which an electric signal is input and an output unit to which the electric signal is output,
The electronic component converts the safety control data, which is an electric signal, received at the input unit via the safety-dedicated bus, into an optical signal or a magnetic field, and then converts the signal into an electric signal. Transmitting to the general control device via the CPU bus via the unit, and blocking reception of control data from the general control device;
A safety control device characterized by the following. 前記安全制御装置は、前記安全入力機器からの前記安全入力信号により、前記制御対象の機器に対して、前記安全出力信号を送信する安全用制御回路と、
前記安全制御データを、他のユニットへ送信するために用いられる安全専用バス、および、前記安全制御とは異なる制御を行う一般制御用装置内の制御データの通信を行うCPUバスの調停を行う調停用制御回路と、を有すること、
を特徴とする請求項1に記載の安全制御装置。The safety control device, by the safety input signal from the safety input device, for the device to be controlled, a safety control circuit that transmits the safety output signal,
Arbitration for arbitrating a safety-dedicated bus used for transmitting the safety control data to another unit and a CPU bus for communicating control data in a general control device that performs control different from the safety control And a control circuit for
The safety control device according to claim 1, wherein: 前記安全制御装置は、電源を有すること、
を特徴とする請求項1又は2に記載の安全制御装置。The safety control device has a power supply,
The safety control device according to claim 1 or 2, wherein: 前記安全用制御回路は、複数の前記他のユニットを制御すること、
を特徴とする請求項2に記載の安全制御装置。The safety control circuit controls a plurality of the other units,
The safety control device according to claim 2, wherein: 前記電子部品は、絶縁素子であること、
を特徴とする請求項1から4のいずれか1項に記載の安全制御装置。The electronic component is an insulating element,
The safety control device according to any one of claims 1 to 4, wherein: 外部の安全入力機器からの安全入力信号により、制御対象の機器に対して、安全制御の安全出力信号を送信する安全用制御回路を有する安全制御装置と、
CPUユニットを含む、安全制御とは異なる制御を行う複数の一般制御用装置と、
前記安全入力信号および前記安全出力信号である安全制御データを、他のユニットへ送信するために用いられる安全専用バス、および、前記一般制御用装置内の制御データの通信を行うCPUバスの調停を行う調停用制御回路と、
前記安全用制御回路側に、前記安全制御データが入力される入力部が設けられ、前記調停用制御回路側に、前記安全制御データが出力される出力部が設けられた電子部品と、を備え、
前記電子部品は、前記安全専用バスを介して前記入力部にて受信した、電気信号である前記安全制御データを、一旦、光又は磁気に変換し、次に電気信号に変換して、前記出力部を経由して前記CPUバスを介して前記一般制御用装置に送信し、前記一般制御用装置からの制御データの受信を遮断すること、
を特徴とする安全制御システム。A safety control device having a safety control circuit for transmitting a safety control safety output signal to a device to be controlled by a safety input signal from an external safety input device;
A plurality of general control devices that perform control different from safety control, including a CPU unit,
The arbitration of the safety dedicated bus used for transmitting the safety control data as the safety input signal and the safety output signal to other units, and a CPU bus for communicating control data in the general control device. An arbitration control circuit to perform;
An electronic component provided with an input unit to which the safety control data is input on the safety control circuit side, and an output unit to which the safety control data is output, provided on the arbitration control circuit side. ,
The electronic component converts the safety control data, which is an electric signal, received at the input unit via the safety-dedicated bus, into an optical signal or a magnetic field, and then converts the signal into an electric signal. Transmitting to the general control device via the CPU bus via the unit, and blocking reception of control data from the general control device;
A safety control system characterized by the following. 前記安全制御装置と前記一般制御用装置は、それぞれ電源を有すること、
を特徴とする請求項6に記載の安全制御システム。The safety control device and the general control device each have a power supply,
The safety control system according to claim 6, wherein: 前記安全制御装置は、第1のコンフィグレーション情報を保持し、前記一般制御用装置は、第2のコンフィグレーション情報を保持すること、
を特徴とする請求項6又は7に記載の安全制御システム。The safety control device holds first configuration information, and the general control device holds second configuration information.
The safety control system according to claim 6 or 7, wherein: 前記安全制御データは、前記第1のコンフィグレーション情報を含むこと、
を特徴とする請求項8に記載の安全制御システム。The safety control data includes the first configuration information,
The safety control system according to claim 8, wherein: 前記安全制御装置に接続されたエンジニアリングツールにより、前記第1のコンフィグレーション情報を設定し、前記一般制御用装置に接続されたエンジニアリングツールによち、前記第2のコンフィグレーション情報を設定すること、
を特徴とする請求項8に記載の安全制御システム。Setting the first configuration information by an engineering tool connected to the safety control device, and setting the second configuration information by an engineering tool connected to the general control device;
The safety control system according to claim 8, wherein: 前記安全制御装置は、自己の装置に搭載されたハードウェア部品により第1のコンフィグレーション情報を設定し、前記一般制御用装置は、自己の装置に搭載されたハードウェア部品により第2のコンフィグレーション情報を設定すること、
を特徴とする請求項8に記載の安全制御システム。The safety control device sets the first configuration information by a hardware component mounted on its own device, and the general control device sets the second configuration information by a hardware component mounted on its own device. Setting information,
The safety control system according to claim 8, wherein: 前記一般制御用装置は、システム起動時またはシステム変更時に設定した前記第1のコンフィグレーション情報を記憶する安全制御情報保持部を有し、前記安全制御情報保持部に記憶された前記第1のコンフィグレーション情報と、システム稼働中に、前記CPUバスを介して取得した前記安全制御データ内の前記第1のコンフィグレーション情報とを照合する機能を有すること、
を特徴とする請求項8に記載の安全制御システム。The general control device includes a safety control information holding unit that stores the first configuration information set at the time of system startup or system change, and the first configuration stored in the safety control information holding unit. Having a function of comparing the configuration information with the first configuration information in the safety control data obtained via the CPU bus during system operation;
The safety control system according to claim 8, wherein: 前記電子部品は、絶縁素子であること、
を特徴とする請求項6から12のいずれか1項に記載の安全制御システム。The electronic component is an insulating element,
The safety control system according to any one of claims 6 to 12, wherein:
JP2019547531A 2019-03-11 2019-03-11 Safety control device and safety control system Active JP6635238B1 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2019/009653 WO2020183559A1 (en) 2019-03-11 2019-03-11 Safety control device and safety control system

Publications (2)

Publication Number Publication Date
JP6635238B1 true JP6635238B1 (en) 2020-01-22
JPWO2020183559A1 JPWO2020183559A1 (en) 2021-03-18

Family

ID=69166770

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019547531A Active JP6635238B1 (en) 2019-03-11 2019-03-11 Safety control device and safety control system

Country Status (3)

Country Link
JP (1) JP6635238B1 (en)
CN (1) CN113557481B (en)
WO (1) WO2020183559A1 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0728775U (en) * 1993-11-09 1995-05-30 株式会社京三製作所 Electronic interlocking device
JP2007193843A (en) * 2001-05-31 2007-08-02 Omron Corp Safety controller and controller system, connection method of controller and control method of the controller system
JP2008009794A (en) * 2006-06-30 2008-01-17 Hitachi Ltd Programmable electronic controller, and communication control method for programmable electronic apparatus
JP2010262432A (en) * 2009-05-01 2010-11-18 Mitsubishi Electric Corp Safety controller
JP2013529832A (en) * 2010-06-25 2013-07-22 ピルツ ゲーエムベーハー アンド コー.カーゲー Safety circuit for fail-safe connection or disconnection of equipment
WO2017122297A1 (en) * 2016-01-13 2017-07-20 三菱電機株式会社 Electronic device and fa device

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002097543A1 (en) * 2001-05-31 2002-12-05 Omron Corporation Safety unit, controller system, controller concatenation method, controller system control method, and controller system monitor method
JP5682323B2 (en) * 2011-01-18 2015-03-11 富士電機株式会社 Safety control system
CN202205077U (en) * 2011-03-30 2012-04-25 北京四利通控制技术有限公司 Self-adaptive PID (Proportion Integration Differentiation) control system applied to active front end
CN204794951U (en) * 2015-07-29 2015-11-18 广州一康医疗设备实业有限公司 Urgent arresting stop
JP6450733B2 (en) * 2016-11-16 2019-01-09 ファナック株式会社 Safety switch device, operation terminal and machine control system
KR101799999B1 (en) * 2017-04-14 2017-11-21 주식회사 로보스타 Apparatus for controlling robot

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0728775U (en) * 1993-11-09 1995-05-30 株式会社京三製作所 Electronic interlocking device
JP2007193843A (en) * 2001-05-31 2007-08-02 Omron Corp Safety controller and controller system, connection method of controller and control method of the controller system
JP2008009794A (en) * 2006-06-30 2008-01-17 Hitachi Ltd Programmable electronic controller, and communication control method for programmable electronic apparatus
JP2010262432A (en) * 2009-05-01 2010-11-18 Mitsubishi Electric Corp Safety controller
JP2013529832A (en) * 2010-06-25 2013-07-22 ピルツ ゲーエムベーハー アンド コー.カーゲー Safety circuit for fail-safe connection or disconnection of equipment
WO2017122297A1 (en) * 2016-01-13 2017-07-20 三菱電機株式会社 Electronic device and fa device

Also Published As

Publication number Publication date
CN113557481B (en) 2022-09-23
WO2020183559A1 (en) 2020-09-17
JPWO2020183559A1 (en) 2021-03-18
CN113557481A (en) 2021-10-26

Similar Documents

Publication Publication Date Title
JP4893931B2 (en) Safety controller
US8887000B2 (en) Safety device
US10969759B2 (en) Safety controller module
EP3588208B1 (en) Servo system
EP1710642B1 (en) Distributed control apparatus
US8090993B2 (en) I/O unit and industrial controller
US8149554B2 (en) Apparatus for fault tolerant digital inputs
JP2007025736A (en) Safety plc
US10007633B2 (en) Field bus coupler for connecting input/output modules to a field bus, and method of operation for a field bus coupler
KR101735919B1 (en) Inverter controlling method
JP2019192244A (en) Safety switch
JP6635238B1 (en) Safety control device and safety control system
US10295984B2 (en) Safety-related control device and method for operating a safety-related control device
US10520910B2 (en) I/O expansion for safety controller
US20120123562A1 (en) Control system for controlling a process
JP6163735B2 (en) SAFE SLAVE UNIT, ITS CONTROL METHOD, CONTROL PROGRAM, AND SAFETY CONTROL SYSTEM
US20240053717A1 (en) Modular control apparatus
US20230281076A1 (en) Data processing procedure for safety instrumentation and control (i&c) systems, i&c system platform, and design procedure for i&c system computing facilities
CN110389567B (en) Industrial equipment
JP5333838B2 (en) FA equipment
JPH11126105A (en) Communication equipment

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190830

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20190830

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20191111

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191119

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191202

R151 Written notification of patent or utility model registration

Ref document number: 6635238

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250