CN101471555B - 安全主机 - Google Patents
安全主机 Download PDFInfo
- Publication number
- CN101471555B CN101471555B CN2008101856038A CN200810185603A CN101471555B CN 101471555 B CN101471555 B CN 101471555B CN 2008101856038 A CN2008101856038 A CN 2008101856038A CN 200810185603 A CN200810185603 A CN 200810185603A CN 101471555 B CN101471555 B CN 101471555B
- Authority
- CN
- China
- Prior art keywords
- status signal
- safety
- key element
- unit
- safe
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/10—Plc systems
- G05B2219/13—Plc programming
- G05B2219/13075—User program, then interlock program to override certain conditions
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24054—Self diagnostic
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Safety Devices In Control Systems (AREA)
- Programmable Controllers (AREA)
Abstract
本发明提供一种安全主机,其包括:无效请求生成部件,生成包含所述多个要素装置的任意一个的指定的状态信号无效请求;以及状态信号无效部件,其在成为所述联锁运算程序的输入的所述多个要素装置的状态信号的每个中设置,并且在所述状态信号无效请求生成时,将与其无效请求所指定的要素装置有关的状态信号设为无效。
Description
技术领域
本发明涉及使用适合规定的安全标准的输入设备(非常停止开关、LCC等)或适合规定的安全标准的输出设备(安全接触器、安全继电器)的安全控制器,特别涉及安装了用户程序的安全控制器(safety controller;以下,称为“安全主机(safety master)”),所述用户程序用于实现包含适合规定的安全标准的输入输出设备的多个装置之间的联锁(interlock)功能。
背景技术
在适用于例如汽车或半导体等的制造系统一般通过连接多个装置而构成。这些装置分别被施加各种安全对策,并在装置之间取得联锁(interlock),从而还被施加了作为制造系统整体的安全对策。
在图12中表示了被施加这样的各个装置的安全对策以及作为制造系统整体的安全对策的制造系统整体的一个例子的说明图。如图12(a)所示,在该例子中,制造系统的整体由n个装置D1~Dn构成。
各个装置D1~Dn分别包括:适合规定的安全标准的输入设备(在该例子中,例示了非常停止开关)IN1~INn以及适合规定的安全标准的输出设备(在该例子中,例示了接触器)OUT1~OUTn。
此外,在各个装置D1~Dn中,还包括:为了管理那些输入设备IN1~INn以及输出设备OUT1~OUTn而作为“安全从动装置(safety slave)”起作用的安全控制器或者安全远程I/O终端C1~Cn。
这些安全控制器或者安全远程I/O终端C1~Cn经由未图示的安全区域网络(field network)可与作为“安全主机”起作用的安全控制器C0进行通信。
上述的“安全主机”、“安全从动装置”是表示与本发明的联锁有关的状态信号的取得、动作指示信号的输出处理中的主从关系,与一般的区域网(field net)中的“主机”、“从动装置”的关系不同。
各个装置D1~Dn的安全控制器等(即,“安全从动装置”)C1~Cn的各个控制器,在规定的定时对安全控制器(即,“安全主机”)C0发送用于表示该装置处于规定的“安全状态”还是处于“非安全状态”的状态信号。此时,规定状态信号的内容在“安全状态”时成为ON(“1”),并在“非安全状态”时成为OFF(“0”)。
另外,在装置D1~Dn中的任一个不在时,规定在安全控制器C0侧接收的状态信号中,对应于其不在的装置的状态信号的内容成为与“非安全状态”对应的OFF(“0”)。
此外,从安全控制器C0对各个安全控制器或者安全远程I/O终端C1~Cn的各个终端,在规定的定时发送用于指示应将该装置设为“运行状态”还是应设为切断电源的“停止状态”的动作指示信号。此时,规定动作指示信号的内容在“运行状态指示”时成为ON(“1”),并在“停止状态指示”时成为OFF(“0”)。
在安全控制器C0内的用户存储器(未图示)中,存储了包含联锁功能的用于安全控制的用户程序。作为用于实现联锁功能的用户程序,若用逻辑符号图来表示,则例如图12(b)所示那样,能够表示为多输入“与”电路AND,即将从各个装置接收的状态信号作为各个输入,并将对各个装置的动作指示信号作为输出。
根据这样的结构,若存在构成制造系统的多个装置D1~Dn的全部,并且那些装置的每个都处于规定的“安全状态”,则由于在安全控制器C0侧接收的各个装置D1~Dn的状态信号的内容全部成为ON(“1”),所以构成联锁功能的多输入“与”电路AND的输出成为ON(“1”)。
这样,在各个装置侧接收的动作指示信号的内容全部成为ON(“1”),由此,各个装置D1~Dn全部成为“运行状态”,可进行制造系统整体的运行。
此外,在制造系统的运行状态中,若在装置D1~Dn中的任一个装置产生“非安全状态”,则从产生了该“非安全状态”的装置的安全控制器等发送到担当联锁控制的安全控制器C0的状态信号的内容成为表示“非安全状态”的OFF(“0”),所以构成在用户程序中安装的联锁功能的多输入“与”电路AND的输出成为OFF(“0”)。
这样,在各个装置侧接收的动作指示信号的内容全部成为OFF(“0”),由此,各个装置D1~Dn全部成为“停止状态”,制造系统整体成为电源被切断的停止状态。
另一方面,在构成制造系统的装置D1~Dn中的任一个欠缺的状态(“不在”(absent))或者在装置D1~Dn中的任一个产生了通信障碍或断电等的状态时,应成为“非加入通信”,但在这样的“非加入通信”时,从担当联锁控制的安全控制器C0看的其不在或者产生通信障碍或断电等的装置的状态信号的内容成为与“非安全状态”对应的OFF(“0”),所以构成安装到用户程序的联锁功能的多输入“与”电路AND的输出成为OFF(“0”)。
这样,与在装置D1~Dn的任一个中产生了“非安全状态”的情况相同地,在各个装置侧接收的动作指示信号的内容全部成为OFF(“0”),由此,各个装置D1~Dn全部成为“停止状态”,制造系统整体成为电源被切断的停止状态。
[专利文献1](日本)特开平11-242507号公报
如上所述那样,在采用了通过安全区域网络连接一台安全主机(安全控制器C0)和多台安全从动装置(安全控制器或者安全远程I/O终端C1~Cn)而成的安全控制系统的制造系统中,在构成制造系统的装置D1~Dn的任一个欠缺的状态(“不在”)或者产生了通信障碍或断电等的状态,即该安全从动装置没有加入通信的“非加入通信”的状态时,与在装置D1~Dn的任一个中产生了“非安全状态”的情况相同地,制造系统整体成为电源被切断的停止状态。
构成制造系统的装置D1~Dn的任一个欠缺的状态(“不在”)可在新设置制造系统时,或在维护时等产生。特别地,在汽车或半导体等的制造系统的情况下,通常构成制造系统的各个装置的交纳安装人员是不同的,所以若不凑齐所有的装置则不能进行制造系统整体的运行,则对各个装置的运行测试带来障碍,非常不便。
因此,为了消除若不凑齐所有的装置则不能进行构成制造系统的各个装置的运行的不便,从以往开始采用了几个(第1至第3)联锁无效对策(参照图13)。
作为第1对策,举出暂时改写用于实现联锁功能的用户程序中的对应部位的方法。
即,比较如图13(a)所示的原来的程序例子和如图13(b)所示的变更后的程序例子,可知在该第1联锁无效对策中,使用规定的可编程工具进行在担当联锁功能的安全控制器C0内的用户程序的改写处理,从而改写程序使得代替与不在的装置(在该例子中,装置D2)对应的状态信号而始终输入ON(“1”),暂时排除了与装置D2对应的状态信号OFF(“0”)的影响。
作为第2对策,举出通过可编程工具所具有的强制置位功能或者强制复位功能,将应输入到担当联锁功能的安全控制器C0内的用户程序中的对应部位的状态信号或者应输出到对应部位的动作指示信号暂时固定化为ON(“1”)的方法。
即,比较如图13(a)所示的原来的程序例子和如图13(b)所示的变更后的程序例子,可知在该第2联锁无效对策中,使用规定的可编程工具,通过可编程工具所具有的强制置位功能或者强制复位功能,将应输入到用于实现联锁功能的用户程序中的对应部位的状态信号(在该例子中,与装置D2对应的状态信号)或者应输出到对应部位的动作指示信号(在该例子中,从“与”电路AND输出的动作指示信号)暂时固定为ON(“1”),从而暂时排除了与装置D2对应的状态信号的影响。
作为第3对策,可举出进行执行用于实现联锁功能的控制的安全控制器的离线仿真,不进行真机的系统动作的确认的方法。
但是,在上述的第1对策中,由于变更实现联锁功能的用户程序其本身,所以存在变更操作时在程序中混入错误(bug)的可能性、存在忘记将变更部位恢复到原来的状态的顾虑等问题点。特别地,在忘记将用户程序中的变更部位恢复到原来的情况下,存在发生即使对应于其变更部位的安全设备(例如,非常停止开关等)动作,制造系统也不停止等极其危险的事态的顾虑。
在第2对策中,通过可编程工具所具有的强制置位功能或者强制复位功能,将应输入到用于实现联锁功能的安全控制器C0内的用户程序中的对应部位的状态信号或者应输出到对应部位的动作指示信号暂时固定化,所以若本想对状态信号或者动作指示信号进行强制操作,却错误地将其他的信号进行强制操作,则存在会引起没有预期的危险的顾虑。
在第3对策中,可进行程序的调试,但无法确认包含传感器或电动机等的外部连接设备的真机的系统动作,所以在真机系统中还设想未意识的动作,不能充分确保安全性。
另外,在以上叙述的第1至第3的联锁无效对策的问题点,在将组合式(building block)安全控制器独立(stand alone)使用的同时将安全本地I/O单元的各个单元分配给制造系统的各个装置的情况下也同样被设想。
发明内容
本发明是鉴于上述的以往的问题点而完成的,其目的在于,提供一种安全控制器,其在构成制造系统的任一个装置为“不在”或者产生了通信障碍或断电的情况下,无需改变用户程序本身,或对特定的输入信号或输出信号进行强制置位或复位,可通过简单的操作将联锁设为无效状态。
此外,本发明的其他目的在于,提供一种安全控制器,其在一直是“非加入通信(not participating in communication)”的装置被加入而成为“加入通信(participating in communication)”时,无需特别的恢复操作,可将联锁恢复为有效状态。
此外,本发明的其他目的在于,提供一种安全控制器,其在一直是“非加入通信”的装置被加入而成为“加入通信”时,之后不会将联锁错误地无效。
通过参照说明书的以下记述,本领域的技术人员应该容易理解本发明的其他目的以及作用效果。
可以理解可通过具有以下结构的安全主机来解决上述的“发明要解决的课题”。
即,本发明的安全主机,经由通过安全区域网络连接的多个安全从动装置的各个装置,或者经由通过安全底板(back plane)总线连接的多个本地(local)I/O单元的各个单元,连接到构成一个装置系统的多个要素装置内的安全I/O设备。
此外,该安全主机从各个安全从动装置或者各个安全本地I/O单元各自接收表示关于其要素装置的“安全状态”或者“非安全状态”的状态信号,同时将那些取得的各个状态信号作为输入,执行用户任意生成的联锁运算程序而输出动作指示信号,将其动作指示信号经由多个安全从动装置或者多个安全本地I/O单元发送到各个要素装置的安全I/O设备,从而控制该要素装置的运行/停止,从而实现了与各个要素装置有关的安全控制以及作为一系列的要素装置整体的安全控制。
在这样的安全主机中,本发明包括:无效请求生成部件,生成包含多个要素装置的任意一个的指定的状态信号无效请求;以及状态信号无效部件,其在成为联锁运算程序的输入的多个要素装置的状态信号的每个中设置,并且在状态信号无效请求生成时,将与其无效请求所指定的要素装置有关的状态信号设为无效,由此,在与任一个要素装置对应的安全从动装置或者安全本地I/O单元“不在”或者产生了通信障碍或断电时,生成与其要素装置有关的无效请求,使该要素装置的状态信号“非安全状态”无效,从而可避免了其“不在”的安全从动装置或者安全本地I/O单元的影响经由联锁运算程序的执行而涉及到一个装置系统的整体。
根据这样的结构,在构成制造系统的任一个装置“不在”或者产生了通信障碍或断电的情况下,无需改变用户程序本身、或者对特定的输入信号或输出信号进行强制置位或者复位,可通过简单的操作将联锁设为无效状态,可避免由于一部分要素装置不在而起联锁作用,从而制造系统整体成为停止状态,而且,还能够避免联锁无效时的误操作所导致的没有预期的异常动作的产生,可顺利地进行这种制造系统等的安装时或维护时的各个装置的动作测试等。
在本发明的优选的实施方式中,还包括:判定部件,其判定与构成一个装置系统的多个要素装置的各个装置对应的安全从动装置或者安全本地I/O单元是“加入通信”还是“非加入通信”,只有在通过判定部件判定为“非加入通信”时,状态信号无效部件将其“非加入通信”的要素装置的状态信号设为无效,并且在其之后,与其“非加入通信”的要素装置对应的安全从动装置或者安全本地I/O单元判定为“加入通信”的情况下,解除状态信号的无效。
根据这样的结构,在一直是“非加入通信”的装置被加入而成为“加入通信”时,无需特别的恢复操作,能够使联锁自动地恢复到有效状态,所以能够极力避免由于忘记从联锁无效状态的恢复操作而在装置加入之后联锁也不启动的事态。
在本发明的优选的实施方式中,在状态信号的无效一旦被解除之后,即使解除了其无效的安全从动装置或者安全本地I/O单元再次通过判定部件判定为“非加入通信”,状态信号无效部件也不会再无效其“非加入通信”的要素装置的状态信号。
根据这样的结构,在任一个要素装置被加入到系统之后,即使错误地使联锁无效,也因为没有附加那样的请求,所以能够避免由于那样的误操作的异常动作的产生。
在本发明的安全主机中,作为“无效请求生成部件”是:(1)在与连接到输入电路的各个要素装置对应的多个开关中的任一个被操作时,生成与对应于其开关的要素装置的状态信号有关的无效请求的部件,(2)通过可编程终端中的规定操作,被通知与“非加入通信”的安全从动装置或者安全本地I/O单元对应的地址时,生成与对应于其地址的要素装置的状态信号有关的无效请求的部件,(3)在经由内部的通信单元注册表,被通知任一安全从动装置或者安全本地I/O单元的“非加入通信”的情况下,生成与对应于其的要素装置的状态信号有关的无效请求的部件,或者适当地采用将这些(1)~(3)的两个以上并用的部件等即可。
此外,在本发明的安全控制器中,作为“判定部件”可适当地采用:(1)通过与要素装置侧的安全从动装置或者安全本地I/O单元之间的通信被恢复,判定从“非加入通信”变化为“加入通信”的情况的部件,(2)通过从要素装置侧的安全从动装置或者安全本地I/O单元接收有效的I/O数据,判定从“非加入通信”变化为“加入通信”的情况的部件,(3)通过联锁条件成立,判定从“非加入通信”变化为“加入通信”的情况的部件等即可。
此外,在本发明的安全控制器中,在优选的实施方式中,也可以包括:显示控制部件,在规定的显示器中显示联锁实质上被无效的意旨。
根据这样的结构,依靠这样的显示,能够将任意的要素装置为“非加入通信”的状态下安心地进行系统调试时或维护时的测试或检查。
此外,在本发明的安全控制器中,在优选的实施方式中,也可以包括:显示控制部件,只有在联锁实质上没有被无效,并且任一安全从动装置或者安全本地I/O单元为“非加入通信”的情况下,在规定的显示器中显示通信异常的意旨。
根据这样的结构,能够避免在将任意的要素装置为“非加入通信”的状态下,使联锁无效而进行测试作业或检查作业等的时刻,显示通信异常的意旨而产生的麻烦。
附图说明
图1(a)~(d)是表示适用本发明的系统结构例子的说明图。
图2是安全控制器(安全主机)的硬件结构图。
图3是表示安全控制器(安全主机)的处理整体的一般流程图。
图4是包含安全控制器(安全主机)的安全控制系统整体的结构图。
图5是有关本发明的安全控制器(安全主机)C0的装置Dn的作用说明图。
图6是表示本发明的安全控制器(安全主机)C0的动作的定时图。
图7(a)~(c)是本发明的状态信号无效部件(之1)的说明图。
图8(a)~(b)是本发明的状态信号无效部件(之2)的说明图。
图9(a)~(b)是本发明的状态信号无效部件(之3)的说明图。
图10是本发明的状态信号无效部件(之4)的说明图。
图11(a)~(d)是状态信号无效电路的详细说明图。
图12(a)~(b)是各个装置的安全对策以及作为制造系统整体的安全对策的说明图。
图13(a)~(c)是以往的联锁无效对策的说明图。
标号说明
10CPU
10a微处理器
10b RAM
10c ROM
11输入电路
12输出电路
13通信电路
14显示电路
15设定电路
401开关
701运算单元
702用户程序存储器
703I/O存储器
704联锁无效运算单元
705无效对象节点存储器
801运算单元
801a无效专用应用命令
803I/O存储器
901运算单元
902用户程序存储器
903I/O存储器
C0安全控制器(安全主机)
C1~Cn安全从动装置
IN1~INn输入设备
OUT1~OUTn输出设备
具体实施方式
以下,参照附图详细说明本发明的安全主机的优选的实施方式。
图1表示用于表示适用本发明的安全主机的系统结构例子的说明图。如图1(a)~(c)所示,本发明的安全主机C0经由通过安全区域网络(NET)连接的多个安全从动装置C1~Cn的各个装置,或者如图1(d)所示,经由通过安全底板(back plane)总线(BUS)连接的多个本地(local)I/O单元的各个单元,连接到构成一个装置系统的多个要素装置内的安全I/O设备,
更详细地说,在图1(a)所示的是,作为安全从动装置C1、C2......Cn而都采用了安全控制器(图中,矩形标记)的例子,如图1(b)所示的是,将安全控制器(图中,矩形标记)和安全远程I/O终端(图中,圆形标记)混合的例子,如图1(c)所示的是,都采用了安全远程I/O终端(图中,圆形标记)的例子。
而且,从各个安全从动装置C1、C2......Cn生成用于表示该从动装置管辖的要素装置内的安全输入输出设备处于“安全状态”还是处于“非安全状态”的状态信号,该状态信号经由安全区域网络而发送到安全主机C0。
另一方面,如图1(d)所示的是,在称为底板的刚性板上铺设底板总线(BUS),并且在该底板总线(BUS)上按适当的间隔配置单元安装用连接器,其上安装一台CPU单元和多台安全本地I/O单元而构成的组合式安全控制器,多台安全本地I/O单元的各个单元例如连接到构成制造系统的各个要素装置内的输入输出用安全设备。
而且,从各个安全本地I/O单元生成用于表示该从动装置管辖的要素装置内的安全输入输出设备处于“安全状态”还是处于“非安全状态”的状态信号,该状态信号经由底板总线(BUS)而发送到作为安全主机起作用的CPU单元。
另外,安全远程I/O终端执行如下动作:将经由通信从安全主机接收的输出数据,经由未图示的输出电路而发送到安全输出设备,或者将从安全输入电路读取的输入数据经由通信而发送到安全主机。
接着,在图2中表示用于表示作为安全主机起作用的安全控制器C0的概略结构的硬件结构图。如图2所示,安全控制器C0经由通信电路13连接到安全区域网络(NET),并且经由输入电路11连接到适合规定的安全标准的输入设备IN1~INn,还经由输出电路12连接到适合规定的安全标准的输出设备OUT1~OUTn。
在安全控制器C0的内部内置了用于统一控制输入电路11、输出电路12、通信电路13、显示电路14以及设定电路15的CPU10。这里,显示电路14是用于进行与该安全控制器的动作有关的各种显示的电路,由适当尺寸的液晶显示器、动作显示用的灯等构成。此外,设定电路15是用于进行与该安全控制器的动作有关的各种设定的电路,由数字键、功能键、钥匙开关等构成。
另一方面,在CPU10内包括微处理器(MPU)10a、RAM10b以及ROM10c。如后所述,为了保证动作可靠性,这些微处理器(MPU)10a、RAM10b以及ROM10c被二重化。
接着,在图3表示用于表示作为安全主机起作用的安全控制器内的CPU的处理整体的一般流程图。如图3所示,CPU10的整体由两台的CPU(CPUA、CPUB)构成,这些CPU在互相取得同步的同时并行地动作,从而接着电源接通之后的初始处理、自我诊断处理(步骤101a、101b),同时并行地执行同步处理(步骤102a、102b)、自我诊断处理(步骤103a、103b)、周边处理(步骤104a、104b)、I/O更新处理(步骤105a、105b)以及运算处理(步骤106a、106b)。
这里,“初始处理”是指进行设备以及数据的初始化、保存数据的读出等的处理,“自我诊断处理”是指进行硬件诊断的处理(步骤101a、101b)。此外,“同步处理”(步骤102a、102b)是指进行两个CPU之间的时间性的同步处理(包含用于将循环时间一定的Wait处理)、数据一致确认处理等的处理。此外,自我诊断处理(步骤103a、103b)是进行硬件诊断等的处理。此外,周边处理(步骤104a、104b)是指进行对于外部媒体(存储器卡、RTC等)的存取处理或与外部设备、工具等的通信处理等的处理。I/O更新处理(步骤105a、105b)是指进行本地输入输出(包含输入输出单元)的更新处理或远程I/O输入输出的数据更新等的处理。此外,运算处理(步骤106a、106b)是指执行用户任意生成的用户程序(包含用于实现联锁功能的用户程序)的处理。
接着,图4表示包含作为本发明的安全主机起作用的安全控制器C0的安全控制系统整体的更详细的结构图。如图4所示,该安全控制系统包含进行联锁控制的一台安全控制器C0和多台安全从动装置C1~Cn。
此外,该安全控制系统统括的制造系统包含n台要素装置而构成。而且,n台安全从动装置C1~Cn的各个装置构成为统括n台要素装置D1~Dn的各个装置。
更详细地说,n台要素装置D1~Dn的各个装置中包含安全从动装置C1~Cn,并且这些安全从动装置C1~Cn使用适合规定的安全标准的输入设备IN1~INn和适合规定的安全标准的输出设备OUT1~OUTn。
而且,在各个要素装置D1~Dn中,若经由适合规定的安全标准的输入设备IN1~INn和适合规定的安全标准的输出设备OUT1~OUTn被判定关于该装置的“非安全状态”,则其意旨的状态信号经由安全区域网络(NET),发送到进行联锁控制的安全控制器C0。
另一方面,在进行联锁控制的安全控制器C0内,之后安装用于实现由多输入“与”电路AND等表示的联锁功能的用户程序。而且,该用户程序基于从多个装置D1~Dn的各个装置发来的状态信号而执行,被安装为其结果生成用于指示运行指示或者停止指示的任一个的动作指示信号。
此外,在进行该联锁控制的安全控制器C0中,设置:无效请求生成部件,生成包含要素装置D1~Dn的指定的状态信号无效请求;以及状态信号无效部件,其在成为联锁运算程序的输入的各个要素装置D1~Dn的状态信号的每个中设置,并且在状态信号无效请求生成时,将与其无效请求所指定的要素装置有关的状态信号设为无效。
这里,作为“无效请求生成部件”是:(1)在与连接到输入电路的各个要素装置对应的多个开关401中的任一个被操作时,生成与对应于其开关401的要素装置的状态信号有关的无效请求的部件,(2)通过可编程终端的触摸面板402中的规定操作,起因于“不在”或通信障碍而被通知与“非加入通信”的安全从动装置或者安全本地I/O单元对应的地址时,生成与对应于其地址的要素装置的状态信号有关的无效请求的部件,(3)在经由内部的通信单元注册表,被通知任一安全从动装置C1~Cn(或者安全本地I/O单元)的“非加入通信”的情况下,生成与对应于其的要素装置的状态信号有关的无效请求的部件,或者适当地采用将这些(1)~(3)的两个以上并用的部件等即可。
另一方面,作为“状态信号无效部件”,可采用之后如图7~图11所示的各种结构的部件。即,在该状态信号无效部件中,在成为联锁运算程序的输入的各个要素装置D1~Dn的状态信号的每个中设置,并且在状态信号无效请求生成时,将与其无效请求所指定的要素装置有关的状态信号设为无效。
如以上所说明,由于在进行联锁控制的安全控制器(即,“安全主机”)C0中,包含具有上述功能的“无效请求生成部件”和“状态信号无效部件”,所以在新设置的系统的调试时等,要素装置D1~Dn的任一个例如不在等作为原因而“非加入通信”的情况下,若指定其要素装置而生成状态信号无效请求,则能够如后所述那样,与其指定的要素装置有关的状态信号被无效,其结果,关于其要素装置,联锁实质上不起作用,所以即使其要素装置不在或通信障碍等作为原因而成为“非加入通信”,对其他的要素装置的运行也没有障碍,可以无障碍地进行调试前的检修或检查等。
在图5中表示与本发明的安全控制器(安全主机)C0的装置Dn有关的作用说明图。如图5所示,假设与装置Dn有关的安全从动装置Cn起因于系统的调试时等而处于“不在”的状态中,启动如图5的流程图所示的处理,则装置Dn被判定为“非加入”(步骤501“否”),判定联锁的无效请求的有无(步骤502)。这里,若联锁无效请求(状态信号的无效请求的含义)判定为“无”(步骤502“否”),则联锁成为有效(步骤504),所以联锁功能(例如,在多输入“与”电路AND的情况下)启动,所有的装置D1~Dn成为停止状态。
相对于此,在装置为“非加入”的状态中(步骤501“否”),若判定为有联锁无效请求(步骤502“是”),则联锁成为无效(步骤503),所以所有的装置D1~Dn成为运行状态。
在图6中表示用于表示本发明的安全控制器(安全主机)C0的动作的定时图。如图6所示,在时刻0到时刻t1为止的期间,安全从动装置Cn处于通信非加入状态(例如,“不在”或“通信障碍”),所以装置Dn的状态信号成为表示“非安全状态”的OFF(“0”),通过联锁程序的执行,各个装置的动作指示信号成为表示“停止指示”的“0”,所有的装置成为停止状态。
若在时刻t1的时刻,生成联锁无效请求,则装置Dn的状态信号“0”被无效而成为“1”,所以通过联锁程序的执行,各个装置的动作指示信号成为表示“运行指示”的“1”,所有的装置成为运行状态。
若在时刻t2的时刻,装置Dn为通信加入状态(例如,“存在”或“通信障碍恢复”)并且没有联锁无效请求,则在装置Dn的状态信号的内容为“非安全状态”时(t2~t3),各个装置的动作指示信号成为表示“停止指示”的“0”,在装置Dn的状态信号的内容为“安全状态”时(t3~t4),各个装置的动作指示信号成为表示“运行指示”的“1”。
若在时刻t4的时刻,生成联锁无效请求,则与没有联锁无效请求的状况相同地,在装置Dn的状态信号的内容为“非安全状态”时(t4~t5),各个装置的动作指示信号成为表示“停止指示”的“0”,在装置Dn的状态信号的内容为“安全状态”时(t5~),各个装置的动作指示信号成为表示“运行指示”的“1”。
接着,图7表示本发明的状态信号无效部件(之1)的说明图。在这里例示的“状态信号无效部件”,不局限于将联锁无效或者不无效,将用户程序其本身设为与通常的联锁电路同样,另一方面,安全控制器与用户程序执行单元不同地具有专用的联锁无效(判定)单元。另外,在图7~图11的说明中,将“安全从动装置”换称为“通信对象”,但其实体是相同的。
在图7中,运算单元701包含执行用户程序的功能、用于执行的基本命令或应用命令。在用户程序存储器702中,存储了用户任意生成的用户程序。在I/O存储器703中,存储了对用户程序的输入数据、输出数据。在联锁无效运算单元704中,安装了通过硬件或者软件构筑的功能。在无效对象节点(node)存储器705中,存储了可确定使联锁无效的通信对象的信息(例如,节点地址等)。可自动地判别用户的手动设定或通信未能实现的情况,安全控制器进行设定。
接着,图8表示本发明的状态信号无效部件(之2)的说明图。在这里例示的“状态信号无效部件”,在用户程序上,在使联锁无效的部分明示地配置应用命令或应用功能块,并且使安全控制器具有执行其应用命令或应用功能块的功能。
在图8中,在运算单元801中,包含执行用户程序的功能、用于执行的基本命令或应用命令。在联锁无效专用应用命令801a中,安装了用于使联锁无效的专用应用命令或应用FB。可编程工具可使用其专用应用命令或应用FB。
接着,图9表示本发明的状态信号无效部件(之3)的说明图。在这里例示的“状态信号无效部件”中,安全控制器不具有用于将联锁无效的专用应用命令或专用应用FB。该安全控制器依赖同时使用的可编程工具的作用。即,在图9的例子中,用户使用可使用用于将联锁无效的专用应用命令或应用FB的可编程工具,构筑无效程序。
在图9中,运算单元901包含执行用户程序的功能、用于执行的基本命令或应用命令。用户程序存储器902存储用户程序。I/O存储器903存储用户程序的输入数据或输出数据。
接着,图10表示本发明的状态信号无效部件(之4)的说明图。在这里例示的“状态信号无效部件”中,安全控制器不具有用于将联锁无效的专用应用命令或专用应用FB。该安全控制器依赖同时使用的可编程工具的作用。即,在图10的例子中,用户使用不具有用于将联锁无效的专用应用命令或专用应用FB的可编程工具,构筑无效程序。
接着,图11表示状态信号无效电路的详细说明图。如图11(a)所示,状态信号无效电路可使用“或”运算符简单地构筑,但在这样的使用了简单的“或”运算符的状态信号无效电路的情况下,即使正常地加入了通信对象n,与安全控制器进行通信的情况,但在“将通信对象n无效的请求”错误地成为ON的情况下,存在联锁被无效的问题。另外,“将通信对象n无效的请求”的错误的ON是由于操作者的操作失误或通信路径的噪声等而产生。
相对于此,根据在图11(b)所示的本发明的联锁无效电路(之1),由于采用了对2输入“与”运算符的一个输入提供将通信对象n无效的请求,另一方面,对另一个输入串联地插入锁存电路和反转运算符的方法,所以一旦通信对象n加入,则之后不能进行联锁的无效,所以能够维持与不进行无效的情况相同的安全性。
这里,与图11(c)所示那样,图11(b)中包含的锁存电路可使用RS触发器电路来构筑。此时,为了不会被没有准备地施加复位,最好始终对复位输入端子提供“0”。
此外,如图11(d)所示,对在图11(b)的电路中的“锁存电路~AND”的部分使用比较器等也能够实现。
这里,“通信对象n加入信号”可通过以下信号的任一个或者组合而生成。
·安全控制器与通信对象n开始通信的情况
这个可通过例如从通信对象始终接受ON信号来实现。在通信开始前看作OFF,但通信确立时始终成为ON信号。
·有效的I/O数据接收
这个可通过例如从通信对象一并接收用于表示I/O数据为有效还是无效的标志来实现。
·联锁条件成立
这个可通过例如判定“通信对象的安全信号”成为ON的情况来实现。
另一方面,“将通信对象n无效的请求”可通过以下信号的任一个或者组合而生成。
·通过连接到进行联锁控制的安全控制器的输入电路的开关的ON/OFF,通知联锁的无效
·通过可编程显示器(也称为可编程终端),指定非加入的通信对象的地址,从而经由网络通知到进行联锁控制的安全控制器
·通过安全控制器内部的通信单元注册表,自动地判断要无效的通信对象
另外,在以上的实施方式中,只要在规定的显示器中显示联锁实质上被无效的意旨,则根据那样的显示,可以在将任意的要素装置为通信非加入的状态下,安心地进行在系统的调试时或维护时的测试或检查。
此外,也可以具有显示控制部件,其在联锁实质上没有被无效,并且任一个安全从动装置或者安全本地I/O单元为“非加入通信”时,在规定的显示器中显示通信异常的意旨。根据这样的结构,能够避免在将任意的要素装置为“非加入通信”的状态下,使联锁无效而进行测试作业或检查作业等的时刻,显示通信异常的意旨而产生的麻烦。
根据本发明的安全主机,在构成制造系统的任一个装置不在的情况下,或者产生了通信障碍或断电的情况下,无需改变与其装置有关的用户程序本身,或对特定的输入信号或输出信号进行强制置位或复位,将联锁设为无效状态,从而能够避免制造系统成为停止状态的情况,而且,在一直不在的装置加入时,无需特别的恢复操作,能够使联锁恢复到有效状态,所以能够极力避免在联锁无效时的误操作产生的未预期的异常动作的产生或由于忘记从联锁无效状态恢复而装置加入之后联锁也不启动的事态。
Claims (11)
1.一种安全主机,
是通过进行以下动作:
经由通过安全区域网络连接的多个安全从动装置的各个装置,或者经由通过安全底板总线连接的多个安全本地I/O单元的各个单元,连接到构成一个装置系统的多个要素装置内的各个安全I/O设备,
从所述多个安全从动装置或者所述多个安全本地I/O单元各自接收表示关于其要素装置的“安全状态”或者“非安全状态”的状态信号,
同时将所述取得的各个状态信号作为输入,执行用户任意生成的联锁运算程序而输出动作指示信号,将该动作指示信号发送到所述多个安全从动装置或者所述多个安全本地I/O单元来控制该要素装置的运行/停止,
从而实现了与所述多个要素装置的各个装置有关的安全控制以及所述多个要素装置作为一个整体有关的安全控制的安全控制器,其特征在于,所述安全主机包括:
无效请求生成部件,生成包含对于所述多个要素装置的任意一个的指定的状态信号无效请求;以及
状态信号无效部件,其在成为所述联锁运算程序的输入的所述多个要素装置的状态信号的每个中设置,并且在所述状态信号无效请求生成时,将与该无效请求所指定的要素装置有关的状态信号设为无效。
2.如权利要求1所述的安全主机,其特征在于,还包括:
判定部件,其判定与构成所述一个装置系统的多个要素装置的各个装置对应的安全从动装置或者安全本地I/O单元是“加入通信”还是“非加入通信”,
只有在通过所述判定部件判定为“非加入通信”时,所述状态信号无效部件将该“非加入通信”的安全从动装置或者安全本地I/O单元所对应的要素装置的状态信号设为无效,而在其之后,该“非加入通信”的安全从动装置或者安全本地I/O单元被判定为“加入通信”的情况下,解除所述状态信号的无效。
3.如权利要求2所述的安全主机,其特征在于,
在所述状态信号的无效一旦被解除之后,即使解除了该无效的要素装置所对应的安全从动装置或者安全本地I/O单元再次通过所述判定部件判定为“非加入通信”,所述状态信号无效部件也不会再无效上述被解除了无效的要素装置的状态信号。
4.如权利要求1至3的任一项所述的安全主机,其特征在于,
在与连接到输入电路的各个要素装置对应的多个开关中的任一个被操作时,所述无效请求生成部件生成对应于该开关的要素装置的状态信号无效请求,其中,所述输入电路是安全主机的。
5.如权利要求1至3的任一项所述的安全主机,其特征在于,
通过连接到所述网络的可编程终端中的规定操作,被通知与关于“非加入通信”的安全从动装置或者安全本地I/O单元对应的地址时,所述无效请求生成部件生成与对应于该地址的要素装置的状态信号有关的无效请求。
6.如权利要求1至3的任一项所述的安全主机,其特征在于,
在经由该安全主机内部的通信单元注册表,被通知任一安全从动装置或者安全本地I/O单元的“非加入通信”的情况下,无效请求生成部件生成与对应于该通知的要素装置的状态信号有关的无效请求。
7.如权利要求2或3所述的安全主机,其特征在于,
通过与所述安全从动装置或者所述安全本地I/O单元之间的通信被恢复,所述判定部件判定从“非加入通信”变化为“加入通信”的情况。
8.如权利要求2或3所述的安全主机,其特征在于,
通过从所述安全从动装置或者所述安全本地I/O单元接收有效的I/O数据,所述判定部件判定从“非加入通信”变化为“加入通信”的情况。
9.如权利要求2或3所述的安全主机,其特征在于,
通过联锁条件成立,所述判定部件判定从“非加入通信”变化为“加入通信”的情况。
10.如权利要求1至3的任一项所述的安全主机,其特征在于,包括:
显示控制部件,在规定的显示器中显示联锁被无效的意旨。
11.如权利要求1至3的任一项所述的安全主机,其特征在于,包括:
显示控制部件,只有在联锁没有被无效,并且任一安全从动装置或者安全本地I/O单元为“非加入通信”的情况下,在规定的显示器中显示通信异常的意旨。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP340548/07 | 2007-12-28 | ||
JP2007340548 | 2007-12-28 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101471555A CN101471555A (zh) | 2009-07-01 |
CN101471555B true CN101471555B (zh) | 2012-05-23 |
Family
ID=40799457
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008101856038A Active CN101471555B (zh) | 2007-12-28 | 2008-12-17 | 安全主机 |
Country Status (4)
Country | Link |
---|---|
US (1) | US7933663B2 (zh) |
JP (1) | JP5141905B2 (zh) |
CN (1) | CN101471555B (zh) |
DE (1) | DE102008044318B4 (zh) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2375636A1 (de) * | 2010-03-29 | 2011-10-12 | Sick Ag | Vorrichtung und Verfahren zum Konfigurieren eines Bussystems |
US9459619B2 (en) * | 2011-06-29 | 2016-10-04 | Mega Fluid Systems, Inc. | Continuous equipment operation in an automated control environment |
FR3001297B1 (fr) * | 2013-01-23 | 2015-03-20 | Schneider Electric Ind Sas | Procede et dispositifs pour l'autodiagnostic d'equipements electriques |
US9584532B2 (en) * | 2014-10-31 | 2017-02-28 | Ncr Corporation | Enterprise intrusion detection and remediation |
DE102016211016A1 (de) * | 2016-06-21 | 2017-12-21 | Robert Bosch Gmbh | Verfahren zu einem Betrieb einer Bearbeitungsmaschine |
JP6356736B2 (ja) * | 2016-06-29 | 2018-07-11 | ファナック株式会社 | コントローラシステムおよび制御方法 |
JP6819359B2 (ja) * | 2017-03-01 | 2021-01-27 | 株式会社ノーリツ | 給湯システム |
DE102017208836A1 (de) | 2017-05-24 | 2018-11-29 | Wago Verwaltungsgesellschaft Mbh | Statussignalausgabe |
DE102017208830A1 (de) | 2017-05-24 | 2018-11-29 | Wago Verwaltungsgesellschaft Mbh | Bestimmung von Datenbusteilnehmern eines Lokalbusses |
KR20200142093A (ko) * | 2018-05-07 | 2020-12-21 | 램 리써치 코포레이션 | 설정가능한 (configurable) 분산 인터록킹 시스템 |
JP7143762B2 (ja) * | 2018-12-28 | 2022-09-29 | オムロン株式会社 | コントローラシステム、制御装置および制御プログラム |
JP7553468B2 (ja) | 2019-04-15 | 2024-09-18 | ラム リサーチ コーポレーション | ガス送給用のモジュール式構成要素システム |
JP7256091B2 (ja) * | 2019-07-25 | 2023-04-11 | ナブテスコ株式会社 | 自動ドア装置の検査システム、自動ドア装置の検査装置、自動ドア装置の検査方法 |
US11586573B2 (en) * | 2020-11-18 | 2023-02-21 | Applied Materials, Inc. | Distributed input/output (IO) control and interlock ring architecture |
US11774127B2 (en) | 2021-06-15 | 2023-10-03 | Honeywell International Inc. | Building system controller with multiple equipment failsafe modes |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1142269A (zh) * | 1994-12-28 | 1997-02-05 | 欧姆龙株式会社 | 使用分级模型的推理系统及方法和控制系统及方法 |
US6618628B1 (en) * | 2000-10-05 | 2003-09-09 | Karl A. Davlin | Distributed input/output control systems and methods |
US6711445B1 (en) * | 1998-12-17 | 2004-03-23 | Kysor/Warren | Refrigeration control apparatus and method |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11242507A (ja) | 1998-02-25 | 1999-09-07 | Toshiba Corp | プラント制御システム |
US7634320B2 (en) * | 2006-02-24 | 2009-12-15 | Tokyo Electron Limited | Interlock control apparatus |
-
2008
- 2008-10-14 JP JP2008265621A patent/JP5141905B2/ja not_active Expired - Fee Related
- 2008-12-03 DE DE102008044318.2A patent/DE102008044318B4/de active Active
- 2008-12-08 US US12/330,091 patent/US7933663B2/en not_active Expired - Fee Related
- 2008-12-17 CN CN2008101856038A patent/CN101471555B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1142269A (zh) * | 1994-12-28 | 1997-02-05 | 欧姆龙株式会社 | 使用分级模型的推理系统及方法和控制系统及方法 |
US6711445B1 (en) * | 1998-12-17 | 2004-03-23 | Kysor/Warren | Refrigeration control apparatus and method |
US6618628B1 (en) * | 2000-10-05 | 2003-09-09 | Karl A. Davlin | Distributed input/output control systems and methods |
US6952618B2 (en) * | 2000-10-05 | 2005-10-04 | Karl A Daulin | Input/output control systems and methods having a plurality of master and slave controllers |
Also Published As
Publication number | Publication date |
---|---|
JP5141905B2 (ja) | 2013-02-13 |
JP2009176275A (ja) | 2009-08-06 |
US20090171472A1 (en) | 2009-07-02 |
DE102008044318B4 (de) | 2015-05-28 |
US7933663B2 (en) | 2011-04-26 |
DE102008044318A1 (de) | 2009-08-13 |
CN101471555A (zh) | 2009-07-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101471555B (zh) | 安全主机 | |
CN104639380B (zh) | 服务器监控方法 | |
CN107533527B (zh) | 用于冗余过程控制器模块的主/从管理 | |
US20070208846A1 (en) | Management system for multimodule multiprocesssor machines | |
CN110376876A (zh) | 一种双系同步的安全计算机平台 | |
CN111427602B (zh) | 一种vpx机箱的智能平台管理控制器在线升级固件的方法 | |
JP2000181501A (ja) | 二重化制御装置 | |
CN101349915B (zh) | 安全控制系统 | |
Rooks et al. | Duo duplex drive-by-wire computer system | |
Cisco | Troubleshooting the Initial Hardware Configuration | |
Cisco | Troubleshooting the Initial Hardware Configuration | |
Cisco | Troubleshooting the Initial Hardware Configuration | |
Cisco | Troubleshooting the Initial Hardware Configuration | |
Cisco | Troubleshooting the Initial Hardware Configuration | |
Cisco | Troubleshooting the Initial Hardware Configuration | |
Cisco | Troubleshooting the Initial Hardware Configuration | |
Cisco | Troubleshooting the Initial Hardware Configuration | |
Cisco | Troubleshooting the Initial Hardware Configuration | |
Cisco | Troubleshooting the Initial Hardware Configuration | |
Cisco | Troubleshooting the Initial Hardware Configuration | |
Cisco | Troubleshooting the Initial Hardware Configuration | |
Cisco | Troubleshooting the Initial Hardware Configuration | |
Cisco | Troubleshooting the Initial Hardware Configuration | |
Cisco | Troubleshooting the Initial Hardware Configuration | |
Cisco | Cisco ONS 15104 Troubleshooting |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |