CN108572610B - 评价系统、安全控制器、可读取记录媒体及评价方法 - Google Patents

Abstract

一种评价系统、安全控制器、可读取记录媒体及评价方法。评价系统包括：处理执行机构，执行依据安全程序的运算；设定机构，受理包含评价对象的输入信号与输出期待值的评价条件，输出期待值为对应于输入信号的值的变化而应输出至输出设备的输出信号的值；第1判断机构，基于自评价对象的输入设备受理评价对象的输入信号的值自作为初始值的第1输入值变化为第2输入值，来判断由处理执行机构所决定的输出信号的第1输出值与输出期待值是否一致；第2判断机构，基于自评价对象的输入设备受理评价对象的输入信号的值自第2输入值返回至第1输入值，来判断由处理执行机构所决定的输出信号的第2输出值与第1输出值是否一致；及输出机构，输出判断结果。

Description

评价系统、安全控制器、可读取记录媒体及评价方法

技术领域

本揭示是涉及一种对安全程序的功能安全进行评价的评价系统、安全控制器、可读取记录媒体及评价方法。

背景技术

为了安全地使用在大多制造现场中所使用的机械，必须使用依据国际标准的安全设备(安全组件(component))。该安全设备的目的在于防止因机器人等自动活动的装置而威胁人的安全。此种安全设备以执行安全程序的安全控制器为首而包含探测人的存在或入侵的探测设备、受理紧急时的操作的输入设备、实际使设备停止的输出设备等。

作为此种确保制造现场中的安全的技术之一，例如，日本专利特开2014-137621号公报(专利文献1)揭示一种对可容易设计安全控制器的用户程序的安全控制器的用户程序的设计进行支援的方法。

日本专利特开2014-137621号公报(专利文献1)揭示如下构成：安全控制器与安全输入/输出(Input/Output，I/O)终端经由总线型网络而连接，且安全控制器中，基于来自连接于安全I/O终端的安全输入设备的输入信号，来对连接于安全I/O终端的安全输出设备输出用以进行安全动作的指令。

[现有技术文献]

[专利文献]

[专利文献1]日本专利特开2014-137621号公报

发明内容

[发明所要解决的问题]

然而，关于由安全控制器所执行的安全程序，需要确认如预先设计般进行动作。所述专利文献1揭示一种对可容易设计安全控制器的用户程序的安全控制器的用户程序的设计进行支援的方法，但未教示对设计后的安全控制器的用户程序进行检查的方法。

因此，期望一种用以对所设计的安全程序的功能安全进行评价的技术。

[解决问题的技术手段]

依据一方案，对用以在预定的条件成立时使输出设备以确保安全的方式动作的安全程序的功能安全进行评价的评价系统包括：处理执行机构，基于来自一个以上的输入设备的任一个的输入信号来执行依据所述安全程序的运算，由此决定用以输出至所对应的一个以上的输出设备的输出信号的值；设定机构，受理评价条件，所述评价条件包含评价对象的输入信号与输出期待值，所述输出期待值为对应于该输入信号的值的变化而应输出至输出设备的输出信号的值；第1判断机构，基于自评价对象的输入设备受理所述评价对象的输入信号的值自作为初始值的第1输入值变化为第2输入值，来判断由所述处理执行机构所决定的输出信号的第1输出值与所述输出期待值是否一致；第2判断机构，基于自评价对象的输入设备受理所述评价对象的输入信号的值自所述第2输入值返回至所述第1输入值，来判断由所述处理执行机构所决定的输出信号的第2输出值与所述第1输出值是否一致；及输出机构，与所述评价对象的输入信号相关联而输出所述第1判断机构及所述第2判断机构中的判断结果。

优选为：所述评价系统还包括提示机构，提示机构用以对信息处理装置提示相对于所述评价对象的输入设备的操作内容。

优选为：所述提示机构在应使所述评价对象的输入信号的值自所述第1输入值变化为所述第2输入值时，对所述信息处理装置提示用以使所述输入信号的值自所述第1输入值变化为所述第2输入值的操作内容；在应使所述评价对象的输入设备的值自所述第2输入值变化为所述第1输入值时，对所述信息处理装置提示用以使所述输入信号的值自所述第2输入值变化为所述第1输入值的操作内容。

优选为：所述操作内容包含所述评价对象的输入设备的识别信息及相对于所述评价对象的输入设备的操作顺序。

优选为：所述评价条件包括多个包含所述评价对象的输入信号与所述输出期待值的组，所述提示机构依据预先设定的评价顺序而对所述信息处理装置依次提示应操作的评价对象的输入设备的操作内容。

优选为：所述评价条件包含第1种类与第2种类中的任一种设定，所述第1种类是表示在所述输入信号的值自所述第2输入值返回至所述第1输入值时，与所对应的输出信号的输出值联动而返回至原来的值，所述第2种类是表示不使输出信号的输出值返回至原来的值直至预定的复位(reset)条件成立为止。所述第2判断机构在设定了所述第1种类的情况下，在所述第2输出值与所述第1输出值不同时，判断为正常；在设定了所述第2种类的情况下，在所述第2输出值与所述第1输出值一致时，判断为正常。

依据另一方案，对用以在预定的条件成立时使输出设备以确保安全的方式动作的安全程序的功能安全进行评价的安全控制器包括：处理执行机构，基于来自一个以上的输入设备的任一个的输入信号来执行依据所述安全程序的运算，由此决定用以输出至所对应的一个以上的输出设备的输出信号的值；设定机构，受理评价条件，所述评价条件包含评价对象的输入信号与输出期待值，所述输出期待值为对应于所述输入信号的值的变化而应输出至输出设备的输出信号的值；第1判断机构，基于自评价对象的输入设备受理所述评价对象的输入信号的值自作为初始值的第1输入值变化为第2输入值，来判断由所述处理执行机构所决定的输出信号的第1输出值与所述输出期待值是否一致；第2判断机构，基于自评价对象的输入设备受理所述评价对象的输入信号的值自所述第2输入值返回至所述第1输入值，来判断由所述处理执行机构所决定的输出信号的第2输出值与所述第1输出值是否一致；及输出机构，与所述评价对象的输入信号相关联而输出所述第1判断机构及所述第2判断机构中的判断结果。

依据另一方案，对用以在预定的条件成立时使输出设备以确保安全的方式动作的安全程序的功能安全进行评价的计算机可读取记录媒体，所述计算机可读取记录媒体存储多个程序指令，所述程序指令加载至计算机以使计算机执行如下步骤：基于来自一个以上的输入设备的任一个的输入信号来执行依据所述安全程序的运算，由此决定用以输出至所对应的一个以上的输出设备的输出信号的值；受理评价条件，所述评价条件包含评价对象的输入信号与输出期待值，所述输出期待值为对应于所述输入信号的值的变化而应输出至输出设备的输出信号的值；基于自评价对象的输入设备受理所述评价对象的输入信号的值自作为初始值的第1输入值变化为第2输入值，来判断由依据所述安全程序的运算所决定的输出信号的第1输出值与所述输出期待值是否一致；基于自评价对象的输入设备受理所述评价对象的输入信号的值自所述第2输入值返回至所述第1输入值，来判断由依据所述安全程序的运算所决定的输出信号的第2输出值与所述第1输出值是否一致；及与所述评价对象的输入信号相关联而输出所述判断步骤中的判断结果。

依据又一方案，对用以在预定的条件成立时使输出设备以确保安全的方式动作的安全程序的功能安全进行评价的评价方法包括如下步骤：基于来自一个以上的输入设备的任一者的输入信号来执行依据所述安全程序的运算，由此决定用以输出至所对应的一个以上的输出设备的输出信号的值；受理评价条件，所述评价条件包含评价对象的输入信号与输出期待值，所述输出期待值为对应于该输入信号的值的变化而应输出至输出设备的输出信号的值；基于自评价对象的输入设备受理所述评价对象的输入信号的值自作为初始值的第1输入值变化为第2输入值，来判断由依据所述安全程序的运算所决定的输出信号的第1输出值与所述输出期待值是否一致；基于自评价对象的输入设备受理所述评价对象的输入信号的值自所述第2输入值返回至所述第1输入值，来判断由依据所述安全程序的运算所决定的输出信号的第2输出值与所述第1输出值是否一致；及与所述评价对象的输入信号相关联而输出所述判断步骤中的判断结果。

[发明的效果]

在一方案中，可对所设计的安全程序的功能安全进行评价。

附图说明

图1是对依据实施方式的评价系统的概要自功能性方面进行说明的示意图。

图2是表示依据实施方式的评价系统的系统构成的一例的图。

图3是表示依据实施方式的安全控制器的装置构成的一例的示意图。

图4是表示依据实施方式的信息处理装置的硬件构成的一例的示意图。

图5是表示依据实施方式的评价系统的软件构成的一例的示意图。

图6(A)、图6(B)是表示依据实施方式的评价系统中的功能构成的安装例的图。

图7是表示以依据实施方式的评价系统为对象的安全程序的一例的示意图。

图8(A)、图8(B)是用以对依据实施方式的安全程序中所含的紧急停止功能块(function block)中所设定的复位种类进行说明的图。

图9是表示以依据实施方式的评价系统为对象的安全程序的另一例的示意图。

图10(A)、图10(B)是对依据实施方式的功能安全评价的顺序的一例进行说明的时间图。

图11是表示依据实施方式的评价系统中的用以设定评价条件的用户界面画面的一例的示意图。

图12是用以对依据实施方式的评价系统中的输出期待值的导出(export)及导入(import)处理进行说明的图。

图13是用以对通过依据实施方式的评价系统中的与其他应用程序(application)的联动来设定输出期待值的处理进行说明的图。

图14是表示依据实施方式的信息处理装置的画面列的图。

图15是表示依据实施方式的信息处理装置的画面列的图。

图16是表示依据实施方式的信息处理装置的画面列的图。

图17是表示依据实施方式的信息处理装置的画面列的图。

图18是表示依据实施方式的信息处理装置的画面列的图。

图19是表示依据实施方式的评价系统中所执行的功能安全评价的评价结果的一例的示意图。

图20是表示依据实施方式的评价系统中所执行的功能安全评价的评价结果的变形例的示意图。

图21是表示评价结果的印刷例的图。

图22是表示依据实施方式的评价系统中所执行的功能安全评价的处理顺序的流程图。

图23是表示依据实施方式的评价系统中所执行的功能安全评价的处理顺序的流程图。

图24是表示依据实施方式的评价系统中所执行的功能安全评价的处理顺序的流程图。

[符号的说明]

1：评价系统

2：程序执行功能

4：比较功能

10：安全程序

12、14：紧急停止功能块/紧急停止FB

16：并块

18：输出检查功能块/输出检查FB

20：评价条件

30：功能安全评价结果

40：评价者

100：安全控制器

102、202：处理器

104：主存储器

106：快闪存储器

108：运算处理部

110：控制系统网络接口

112：信息系统网络接口

114：现场总线接口

116：存储卡接口

118：存储卡

120：本地通信接口

122：内部总线接口

152：执行模块生成部

154：执行部

156：提示部

158：比较部

160：结果输出部

200：信息处理装置

204：存储器

206：输入部

208：输出部

210：网络接口

212：光学驱动器

214：记录介质

216：本地通信接口

218：内部总线

220：辅助存储装置

222：执行模块生成程序

224：仿真程序

226：功能安全评价程序

230：各种设定

300：控制装置

400：评价者

510：马达

512：驱动器

514：安全继电器

600：设定画面

602：按钮

604：显示按钮

606：变量登记按钮

608：复位变量设定区

610：输入设定显示区

612、622、654：变量名显示栏

614、624、636、656：注释显示栏

616、638、658：复位种类显示栏

618：输入类型显示栏

620：输出设定显示区

630：期待值设定区

632：检查框

634：输入变量显示区

640、660、660A：期待值设定栏

642、690：导出按钮

644：导入按钮

646：外部输出数据

650：评价执行画面

651：评价结果画面

651A：印刷结果

654A：变量名栏

656A：注释栏

658A：复位种类栏

672：结果显示栏

672A：结果栏

673、673A：记入栏

674：结果注释显示栏

674A：结果注释栏

676：日期与时间显示栏

676A：日期与时间栏

680～682：操作内容

691：印刷按钮

695：评价实施日栏

696：姓名记入栏

697：签字记入栏

700：电子表格应用程序

702：范围

M2、M4、M6、M8、M10、M12、M14、M16、M18、M20、M22、M24、M26、M28、M30、M32、M36、M36、M38、M40、M42、M44、M46：符号

NW1：控制系统网络

NW2：信息系统网络

S10、S12、S14、、S16、S20、S21、S22、S24、S26、S28、S30、S31、S32、S34、S36、S38、S40、、S41、S42、S44、S56、S58、S50、S52、S54、S56、S58、S60、S62：步骤

具体实施方式

以下，参照附图，对依据本发明的各实施方式进行说明。以下的说明中，对于同一零件及构成要素标注同一符号。这些的名称及功能也相同。因此，不重复进行与这些有关的详细说明。

<A.评价系统的概要>

首先，对依据本实施方式的评价系统的概要进行说明。评价系统具有对任意的安全程序的功能安全进行评价的功能。

在本说明书中，“安全程序”是用以在预定的条件(安全条件)成立时使输出设备以确保安全的方式动作的程序(program)，且是指对安全控制器的处理进行定义的命令群组。更具体而言，安全程序包含用以相对于一个或多个输入信号而决定一个或多个输出信号的值的命令的组合。

安全程序只要是对安全控制器的处理进行定义者，则可为任意实体。即，安全程序可以一个或多个源代码(source code)的形式存在，也可以一个或多个对象(object)代码的形式存在，还可为可利用安全控制器的处理器(processor)来执行的形式(执行形式)。

另外，安全程序也可使用功能块图(Function Block Diagram，FBD)来记述。或者，还可利用梯形图(Ladder Diagram，LD)、命令表(Instruction List，IL)、结构化文本(Structured Text，ST)及顺序功能图(Sequential Function Chart，SFC)的任一个或这些的组合来记述。进而，或者还可利用如网页特效(JavaScript)(登记商标)或C语言般的通用的编程语言来记述。

再者，优选为作为进行可编程逻辑控制器(Programmable Logic Controller，PLC)编程的国际基准国际电工技术委员会(International ElectrotechnicalCommission，IEC)61131-3(日本工业标准(Japanese Industrial Standards，JIS)B 3503)的普及活动与不依存于供应商(vender)的标准功能块图的规格策定及认定的第三方机关的PLCopen(登记商标)依据技术委员会(technical committee)5中所公开的规约来制成安全程序。

依据本实施方式的安全控制器中的安全程序的功能安全的评价是对由对象的安全程序所引起的举动是否适合于适当的安全规格进行验证者。具体而言，将输入至安全程序中的变量的值的各组合加以输入，并逐个判断相对于该输入的输出结果是否与原本应有的结果一致。安全控制器可如上所述自动地执行与输入值的各组合有关的验证动作。

以下的说明中，例示作为变量程序而记述的安全程序。因此，实际上在安全程序内，将在安全控制器与安全组件等之间所交换的信号(典型而言，输入信号及输出信号)分别以“变量”的形式进行处理。这些现实信号与安全程序内所对应的变量为本质上相同者，因此以下的说明中，有时也将这些统称为“信号”。即，在本说明书中，“信号”除了现实中所交换的电信号以外，还可包含参照在安全控制器上分配于该电信号的值的变量。

图1是对依据本实施方式的评价系统1的概要自功能性方面进行说明的示意图。参照图1，评价系统1包括程序执行功能2及比较功能4作为其主要功能。

程序执行功能2依据安全程序10而每规定周期或每事件产生时执行运算处理，并输出其执行结果。程序执行功能2在安全程序10的执行时，基于评价者40对作为输入设备的安全设备400的操作，而自安全设备400获取一个或多个输入值。典型而言，多种安全设备400连接于评价系统1。安全设备400例如包含探测人的存在或入侵的探测设备、受理紧急时的操作的输入设备、实际使设备停止的输出设备等。预先准备了包含输入值与和该输入值对应的输出期待值的组合的评价条件20，基于评价条件20，对评价者40提示应操作的安全设备400。或者，安全设备400是由评价者40以随机(random)的顺序操作。程序执行功能2基于通过评价者40对安全设备400的操作而获取的输入值来执行逻辑运算等。

比较功能4是将输出值与输出期待值加以比较，所述输出值是将基于评价条件20的输入值输入至程序执行功能2时而输出的值，所述输出期待值是评价条件20中与该输入值对应的输出期待值。在两者一致的情况下，判断为健全的一次安全动作。

在评价条件20中保存有输入值及与该输入值对应的输出期待值，并且也保存有恢复动作的条件。在依据本实施方式的功能安全评价中，依据所设定的恢复动作的条件而使之前所输入的输入值发生变化或得到维持。而且，也可判断伴随该输入值的变化或维持的输出值的变化或维持是否适合于预先设定的恢复动作的条件。

如此，在本实施方式中，除了通过自安全设备400提供成为安全动作的触发的输入值来评价是否执行适当的安全动作(一次安全动作的评价)以外，也对在成为安全动作的触发的输入值恢复为原本的值时，是维持停止状态等，或是使停止状态等恢复为通常的动作状态进行评价(二次安全动作的评价)。再者，二次安全动作的评价中，可判断是否为依据预先设定的恢复动作的条件的举动。

如以上所述的评价结果也可以功能安全评价结果30的形式输出至画面上或纸面上。

<B.评价系统1的系统构成>

继而，对依据本实施方式的评价系统1的系统构成进行说明。图2是表示评价系统1的系统构成的一例的图。

参照图2，评价系统1主要包括安全控制器100、信息处理装置200及控制设备或机械等的控制装置300。

典型而言，控制装置300包含可编程控制器(可编程逻辑控制器(PLC))等，关于自控制对象获取的输入数据，执行预定的用户程序，并根据由此而算出的输出数据来对控制对象提供指令。作为图2所示的控制对象，例示马达510及驱动马达510的驱动器512。控制装置300依据用户程序，在某驱动开始条件成立时，对驱动器512输出驱动指令，以使马达510旋转驱动。另外，在某驱动停止条件成立时，停止向驱动器512输出驱动指令，以使马达510的旋转驱动停止。

除了此种利用控制装置300的控制对象的控制以外，典型而言，为了确保与控制对象关联的作业者等的安全等，进而配置安全控制器100。安全控制器100在来自作为输入设备的安全设备400(安全传感器、安全门开关、安全限位开关、紧急停止开关、安全开关等)的输入信号等相关联的预定的条件(安全条件)成立时，立即执行安全动作。

图2所示的例子中，在向驱动器512的电力供给线上配置有作为输出设备的一例的安全继电器514。所谓此处所述的输出设备是指接收相对于安全设备400的操作而驱动的设备。安全继电器514例如对用以阻断电路的接触器进行驱动。另外，在由马达510所驱动的装置的周边设定有危险区，在该危险区的周边配置有安全设备400。安全设备400例如包含探测人的存在或入侵的探测设备、受理紧急时的操作的输入设备等。安全继电器514是通过接收来自安全设备400的输入信号而驱动。

作为一例，作为紧急停止开关的安全设备400接收作业者的紧急停止操作时，安全控制器100响应于来自紧急停止开关的停止信号而对安全继电器514输出控制信号。安全继电器514响应于来自安全控制器100的控制信号而进行动作，并阻断向驱动器512的电力供给，所述驱动器512对马达510进行驱动。其结果，马达510被强制性停止。通过此种马达510的强制性停止，可确保作业者的安全。

作为另一例，作为安全传感器的安全设备400探测作业者进入了危险区。作业者进入危险区时，通过安全传感器而探测该作业者的进入。安全控制器100响应于来自安全传感器的探测信号而对安全继电器514输出控制信号。安全继电器514响应于来自安全控制器100的控制信号而进行动作，并阻断向驱动器512的电力供给，所述驱动器512对马达510进行驱动。其结果，马达510被强制性停止。通过此种马达510的强制性停止，可确保进入了危险区的作业者的安全。

在图2所示的构成例中，安全控制器100及控制装置300经由控制系统网络NM1而连接，彼此可交换内部保持的数据。另外，安全控制器100及控制装置300经由信息系统网络NW2而与信息处理装置200连接。

信息处理装置200为用以提供由安全控制器100或控制装置300所执行的程序的开发、程序的执行状态的确认、程序的变更等功能的支持工具。信息处理装置200例如为个人计算机(Personal Computer，PC)、平板终端(tabletterminal)、智能手机或其他通信终端。

＜C.装置构成>

继而，对构成依据本实施方式的评价系统1的各装置的装置构成进行说明。

(c1：安全控制器100)

图3是表示依据本实施方式的安全控制器100的装置构成的一例的示意图。参照图3，安全控制器100包含运算处理部108及各种接口，运算处理部108具有处理器102、主存储器104及快闪存储器106。

在运算处理部108中，处理器102通过将保存于快闪存储器106的系统程序及安全程序等在主存储器104中展开执行，从而实现与控制对象对应的功能安全。

安全控制器100包含控制系统网络接口110、信息系统网络接口112、现场总线接口(field bus interface)114、存储卡接口116、本地通信接口120及内部总线接口122作为接口。

控制系统网络接口110经由控制系统网络NW1(参照图2)而对与其他装置的通信进行中转。作为控制系统网络NW1，例如优选为以太网控制自动化技术(EtherCAT(CAT：Control Automation Technology))(登记商标)等保证定时性的网络协议。

信息系统网络接口112经由信息系统网络NW2(参照图2)而对与其他装置的通信进行中转。作为信息系统网络NW2，例如优选为以太网/工业协议(EtherNet/IP(IndustrialProtocol))(登记商标)等保证定时性的网络协议。

现场总线接口114经由未图示的现场总线而对与所连接的输入输出单元的通信进行中转。作为现场总线，优选为EtherCAT(登记商标)、EtherNet/IP(登记商标)、DeviceNet(登记商标)、CompoNet(登记商标)等保证定时性的网络协议。

存储卡接口116构成为可安装存储卡118，并进行来自存储卡118的数据读出及向存储卡118的数据写入。

本地通信接口120为与信息处理装置200或其他装置直接连接的接口，例如可使用通用串行总线(Universal Serial Bus，USB)等。

内部总线接口122经由内部总线而对与直接安装于安全控制器100的输入输出单元之间的通信进行中转。

(c2：信息处理装置200)

继而，例示信息处理装置200的硬件构成。图4是表示依据本实施方式的信息处理装置200的硬件构成的一例的示意图。

信息处理装置200可为笔记本PC、平板终端、智能手机等可携式终端，也可为台式型PC等非可携式终端。

关于信息处理装置200，作为主要组件，包括：处理器202，执行操作系统(Operating System，OS)及后述的各种程序；存储器204，提供用以保存对于处理器202的程序执行而言所需的数据的作业区域；键盘或鼠标等受理用户操作的输入部206；显示器、各种指示器、打印机等输出处理结果的输出部208；网络接口(Inter Face，I/F)210，用以与外部网络进行通信；光学驱动器212；本地通信接口(I/F)216，用以与安全控制器等进行通信；及辅助存储装置220。这些组件可经由内部总线218等而可进行数据通信地连接。

信息处理装置200具有光学驱动器212，且自非暂时地保存计算机可读取程序的光学记录介质(例如，数字多功能光盘(Digital Versatile Disc，DVD)等)的计算机可读取记录介质214，读取各种程序而安装于辅助存储装置220等。依据本实施方式的功能安全的评价的处理也可以提供为作为开发环境程序的一部分，开发环境程序提供相对于安全控制器的设定、编程、调试(debug)等功能。

由信息处理装置200所执行的各种程序可经由计算机可读取记录介质214而安装，也可设为自网络上的伺服装置等以下载的形式安装。另外，依据本实施方式的功能安全的评价的程序有时也以利用OS所提供的模块的一部分的形式实现。在此种情况下，并非分配对于实现依据本实施方式的功能安全的评价而言所需的所有软件模块，而是仅分配其一部分。当然即便为此种情况，也包含于本发明的技术范围内。另外，依据本实施方式的功能安全的评价的处理也可以其他程序或软件的一部分的形式安装。

辅助存储装置220例如包含硬盘驱动器(Hard Disk Drive，HDD)或固态硬盘(闪存固态硬盘(Flash Solid State Drive，SSD))等，且保存由处理器202所执行的程序。具体而言，作为提供如后所述的处理的程序，辅助存储装置220包含下述程序：执行模块生成程序222，用以自安全程序(源程序)生成可由处理器202执行的代码(执行模块)；仿真程序(emulator program)224，用以模拟安全控制器而执行安全程序(执行模块)；及功能安全评价程序226，用以评价如后所述的功能安全。关于这些程序所提供的功能及处理，将于后叙述。

另外，辅助存储装置220对成为功能安全的评价对象的安全程序10及各种设定230加以保持。

图4中，通用计算机执行程序，由此实现依据本实施方式的安全程序的功能安全的评价，但也可代替此种构成而利用硬连线(hard-wired)电路安装其全部或一部分。例如，也可使用专用集成电路(Application Specific Integrated Circuit，ASIC)或现场可编程门阵列(Field-Programmable Gate Array，FPGA)来安装通过处理器202执行所述各种程序而提供的功能。

(c3：控制装置300)

依据本实施方式的控制装置300具有与图3所示的安全控制器100相同的装置构成，因此不重复进行详细说明。再者，安全控制器100中，采用处理器等二重化或安全用的模块，但通常而言，控制装置300中不采用此种构成。另外，控制装置300中执行用户程序而非所述安全程序。

<D.评价系统的软件构成>

继而，例示评价系统1的软件构成。图5是表示依据本实施方式的评价系统1的软件构成的一例的示意图。参照图5，评价系统1包括执行模块生成部152、执行部154、提示部156、比较部158及结果输出部160作为其软件组件。

执行模块生成部152通过处理器102执行执行模块生成程序222(参照图4)而实现且自安全程序10生成执行模块。典型而言，执行模块生成部152包含编译程序(compiler)、汇编程序(assembler)、连接程序(linker)等功能。

执行部154执行由执行模块生成部152所生成的执行程序。

提示部156依据预先准备的评价条件而对信息处理装置200提示相对于评价对象的安全设备400的指示内容。优选为：在信息处理装置200中采用笔记本PC、平板终端、智能手机等可携式终端，评价者40可携带信息处理装置200并确认自提示部156接收的指示内容。评价者40依据显示于信息处理装置200的指示内容来操作安全设备400。作为该指示内容，例如为相对于紧急停止开关的开/闭操作或相对于安全传感器的探测区的入侵指示等。安全设备400向执行部154提供与评价者40的操作对应的输入值。比较部158将通过向执行部154提供用以评价功能安全的输入值而算出的输出值与和该输入值对应的输出期待值加以比较，并输出其比较结果。关于该比较处理，如后述般存在多种。结果输出部160将来自比较部158的比较结果以功能安全的评价输出的形式输出。

如此，评价系统1具有如下处理执行功能：基于一个或多个输入信号来执行依据安全程序10的运算，由此决定所对应的一个或多个输出信号的值，该处理执行功能可通过现实或可假想性执行的环境来实现安全程序10。

<E.功能构成的安装例>

图6(A)、图6(B)是表示功能构成的安装例的图。图6(A)中示出利用安全控制器100及信息处理装置200来实现评价系统的例子，图6(B)中示出仅利用安全控制器100来实现评价系统的例子。

如图6(A)所示，在利用安全控制器100及信息处理装置200来实现评价系统的情况下，将安全控制器100与信息处理装置200以可进行数据交换的方式连接。然后，在信息处理装置200上安装比较部158及结果输出部160，并且在安全控制器上执行对象的安全程序10。

与此相对应，在仅利用安全控制器100来实现评价系统的情况下，在安全控制器100上安装比较部158与结果输出部160。如此，依据本实施方式的各种功能可以各种方式执行。

<F.安全程序>

继而，对以依据本实施方式的评价系统1为对象的安全程序的一例进行说明。在本实施方式中，作为一例，表示使用依据国际基准IEC 61131-3(JIS B 3503)的功能块图(Function Block Diagram，FBD)来记述的例子。

图7是表示以依据本实施方式的评价系统1为对象的安全程序10的一例的示意图。典型而言，图7所示的安全程序10是设想如下设备等者：配置某些机器人，且利用安全栅来包围位于其周围的危险区，并且在安全栅的一部分可供人出入。在供人出入危险区的部分中设置光幕(Light Curtain)，并且在危险区的周围设置在发生万一的事态时可紧急停止机器人的紧急停止按钮。

图7所示的安全程序10中，包含两个紧急停止功能块(以下，也记作“紧急停止FB”)12、紧急停止功能块14、输出检查功能块(以下，也记作“输出检查FB”)18及连接两者的并块16。紧急停止FB 12是对来自紧急停止按钮的输入信号进行处理的逻辑，紧急停止FB14是用以对来自光幕的输入信号进行处理的逻辑。

以依据本实施方式的评价系统1为对象的安全程序10中，通过变量编程而记述程序。即，自紧急停止按钮或光幕输出的信号分别依据预定的设定而分配于唯一(unique)的内部变量。在安全程序10中，通过相对于各功能块而输入或输出适当的内部变量并逻辑上相关联，从而实现目标动作。

紧急停止FB 12、紧急停止FB 14分别具有设定功能块的处理的有效/无效的“Activate”、输入与紧急停止相关的自安全组件输出的信号的“S_EStopIn”、输入设定是否开始复位后的程序执行的信号的“S_StartReset”、输入设定安全动作后的复位种类的信号的“S_AutoReset”及输入对安全动作后的动作进行复位的信号的“Reset”这合计五个作为其输入。

另外，紧急停止FB 12、紧急停止FB 14分别具有输出表示功能块是否为运转状态的信号的“Ready”、输出指示安全动作的信号的“S_EStopOut”、输出表示某些错误的产生的信号的“Error”及输出与所产生的错误的内容对应的代码的“DiagCode”这合计四个作为其输出。

在本实施方式中，安全程序10中，将正常时的输入值及输出值设为“TRUE”(“1”或“真”)。即，在以某些条件进行安全动作的情况下，成为该安全动作的触发的输入值变化为“FALSE(“0”或“假”)”，由此输出值也成为“FALSE”，通过“FALSE”的输出值而对象的装置进行安全动作。

作为输入信号及输出信号的初始值而设定的“TRUE”可使用与和失去供给至执行安全程序10的安全控制器的电源时相同的存储器状态下所示的值(即“FALSE”)不同的值。即，通过使用与在电荷等未保持于安全控制器的非易失性存储器的状态下所示的值不同的值，在硬件的故障等中，可实现进行安全动作的所谓失效保护(fail safe)。

再者，相对于正常时及紧急时的输入值及输出值的值分配为设计事项，可为任意者。但是，就如上所述般的失效保护的观点等而言，优选为将正常时的输入值及输出值设为“TRUE”。

在图7所示的安全程序10中，在紧急停止FB 12的输入“S_EStopIn”中分配有表示自紧急停止按钮输出的信号的变量“Var_EmergencyStop1”，在输入“Reset”中分配有表示相对于安全控制器的系统复位的变量“SystemReset”。

在紧急停止FB 14的输入“S_EStopIn”中分配有表示自光幕输出的信号的变量“Var_LightCurtain1”，在输入“Reset”中分配有表示相对于安全控制器的系统复位的变量“SystemReset”。

在紧急停止FB 12、紧急停止FB 14的“Activate”中均设定有“TRUE”即处理的有效，在“S_StartReset”中均设定有“TRUE”即复位后的程序执行，在“S_AutoReset”中均设定有“FALSE”即作为复位种类的“手动复位”。

基本而言，紧急停止FB 12、紧急停止FB 14的各个中，输入至“S_EStopIn”的变量成为“FALSE”时，“S_EStopOut”的输出值变化为“FALSE”。此种安全动作后，依据所设定的复位种类，并根据输入至“S_EStopIn”的变量的值和/或输入至“Reset”的变量的值来对“S_EStopOut”的输出值进行复位或维持。

将分别来自紧急停止FB 12及紧急停止FB 14的“S_EStopOut”输入至并块16，并将两者的逻辑与(Logical AND)输入至输出检查FB 18。

输出检查FB 18为对负责安全动作的安全组件是否如指令般发挥功能进行检查的逻辑。输出检查FB 18具有设定功能块的处理的有效/无效的“Activate”、输入表示安全组件的动作指令的信号的“S_OutControl”、输入表示安全组件的状态值的信号的“S_EDM1”及“S_EDM2”、输入表示健全性的监视周期的值的“MonitoringTime”、输入设定是否开始复位后的程序执行的信号的“S_StartReset”及输入对安全动作后的动作进行复位的信号的“Reset”这合计七个作为其输入。

另外，输出检查FB 18具有输出表示功能块是否为运转状态的信号的“Ready”、输出指示相对于安全组件的安全动作的最终信号的“S_EDM_Out”、输出表示某些错误的产生的信号的“Error”及输出与所产生的错误的内容对应的代码的“DiagCode”这合计四个作为其输出。

输出检查FB 18根据向“S_OutControl”的输入值而使自“S_EDM_Out”向对象的安全组件提供的指令值发生变化，并且判断安全组件的状态值与指令值是否一致。由此，例如，可检测由安全继电器的断线等所引起的不动及由熔融等所引起的始终动作等问题。

图7所示的安全程序10表示简单逻辑的一例，但也可提供更多的输入信号的同时，相对于更多的安全组件提供指令值。

<G.复位种类>

继而，对图7所示的安全程序10中所含的紧急停止FB中所设定的复位种类进行说明。如上所述，在紧急停止FB中可选择设定“自动复位”及“手动复位”作为一例。

“自动复位”例如适合于如仅在来自光幕等安全组件的输入信号成为“FALSE”的期间进行安全动作般的情况等。例如，可用于仅在人入侵至危险区的期间使装置停止，在其以外的状态下使装置动作般的状况。通过设定此种“自动复位”，可确保相对于作业者的安全，并可减低对节拍时间(Tact time)的影响。

“手动复位”为通常的复位种类，且适合于如操作紧急停止按钮等安全组件而进行安全动作后，在复位中将规定的恢复操作设为必须般的情况。例如，在操作紧急停止按钮而使装置在作业中途停止时等，优选为在将该装置返回至初始位置后进行复位。

如此，作为复位种类，包含“自动复位”(第1种类)与“手动复位”(第2种类)，所述“自动复位”(第1种类)是表示在输入信号的值自“FALSE”(第2输入值)返回至“TRUE”(第1输入值)时，与所对应的输出信号的输出值联动而返回至原来的值，所述“手动复位”(第2种类)是表示不使输出信号的输出值返回至原来的值直至预定的复位条件成立为止。

图8(A)、图8(B)是用以对依据本实施方式的安全程序10中所含的紧急停止FB中所设定的复位种类进行说明的图。

图8(A)是表示设定“自动复位”作为复位种类的情况，图8(B)是表示设定“手动复位”作为复位种类的情况。

图8(A)所示的“自动复位”中，紧急停止FB的输入“S_EStopIn”自“TRUE”变化为“FALSE”时，紧急停止FB的输出“S_EStopOut”自“TRUE”变化为“FALSE”。通过该“S_EStopOut”的变化而进行安全动作。然后，紧急停止FB的输入“S_EStopIn”自“FALSE”恢复为“TRUE”时，也一并执行复位动作。即，与紧急停止FB的输入“S_EStopIn”联动而紧急停止FB的输出“S_EStopOut”也发生变化。

依据本实施方式的评价系统1中，关于设定有“自动复位”的输出变量，对以下进行确认：与所对应的输入变量的值的变化联动而其值发生变化。

图8(B)所示的“手动复位”中，紧急停止FB的输入“S_EStopIn”自“TRUE”变化为“FALSE”，紧急停止FB的输出“S_EStopOut”自“TRUE”变化为“FALSE”后，即便紧急停止FB的输入“S_EStopIn”自“FALSE”恢复为“TRUE”，紧急停止FB的输出“S_EStopOut”也维持为“FALSE”。在该状态下，通过紧急停止FB的输入“Reset”自“FALSE”变化为“TRUE”，首先紧急停止FB的输出“S_EStopOut”自“FALSE”变化为“TRUE”。

依据本实施方式的评价系统1中，关于设定有“手动复位”的输出变量，对以下进行确认：安全动作的执行后，即便所对应的输入变量的值发生变化，该变化后的值也得以维持及在输入复位的变量时，其值被复位为初始值。

<H.功能安全评价的整体顺序>

继而，对依据本实施方式的评价系统1所提供的功能安全评价的整体顺序进行说明。

图9是表示以依据本实施方式的评价系统1为对象的安全程序10的另一例的示意图。图10(A)、图10(B)是对依据本实施方式的功能安全评价的顺序的一例进行说明的时间图。图10(A)、图10(B)中以时间序列表示以图9所示的安全程序10为对象而应用功能安全评价时的顺序。在图9所示的安全程序10中，将输入至紧急停止FB 12的“S_EStopIn”的变量设为“输入变量1”，将输入至紧急停止FB 14的“S_EStopIn”的变量设为“输入变量2”，将共用而输入至紧急停止FB 12、紧急停止FB 14的“Reset”的变量设为“复位变量”，将自紧急停止FB 12的“S_EStopOut”输出的变量设为“输出变量1”。再者，在图10(A)、图10(B)中未示出自紧急停止FB 14的“S_EStopOut”输出的变量。

图10(A)表示相对于输出变量而设定“自动复位”的例子，图10(B)表示相对于输出变量而设定“手动复位”的例子。

典型而言，依据本实施方式的功能安全评价包含三个相位(初始化相位、阻断相位、恢复相位)。初始化相位中，对以下进行确认：在将所有的输入变量设定为预先设定的初始值时，输出变量成为适当的初始状态。阻断相位中，对以下进行确认：在通过评价者操作安全设备400而输入变量变化为表示安全动作的值时，所对应的输出变量变化为适当的值和/或所对应的输出变量不发生变化。恢复相位中，对如下进行确认：在通过评价者操作安全设备400而输入变量和/或复位变量变化为表示复位动作的值时，以所设定的复位种类进行复位。

在图10(A)、图10(B)所示的功能安全评价的顺序中，输出变量1为设定“TRUE”作为期待值的变量，且预定为相对于输入变量1而联动。相对于此，输出变量2为设定“FALSE”作为期待值的变量，且预定为不相对于输入变量1而联动。以下所说明的判断处理是通过图1所示的比较功能4及图5所示的比较部158而执行。

首先，参照图10(A)，对设定“自动复位”作为复位种类时的功能安全评价的顺序进行说明。

在初始化相位中，将评价对象的输入信号的值设定为初始值(第1输入值)，并且判断通过依据安全程序10的运算处理而决定的评价对象的输出信号的值(第4输出值)与初始值是否一致。

具体而言，将所登记的所有输入变量设置为“TRUE”(符号M2)。同时，将复位变量暂时设置为“TRUE”后(符号M4)，设置为“FALSE”(符号M6)。对应于该变化，对所登记的所有输出变量为“TRUE”进行确认(符号M8)。若任一输出变量为“FALSE”，则判断为存在某些异常(符号M10)。

在接下来的阻断相位中，基于评价者操作安全设备400而使评价对象的输入信号的值自作为初始值的“TRUE”(第1输入值)变化为“FALSE”(第2输入值)，并且判断通过依据安全程序10的运算处理而决定的评价对象的输出信号的值(第1输出值)与所对应的输出期待值是否一致。

具体而言，输入变量1基于评价者操作安全设备400而自“TRUE”变化为“FALSE”(符号M12)。对应于该变化，对检查了期待值设定(预定进行相对于输入变量1的联动)的输出变量1为“FALSE”进行确认(符号M14)。若输出变量1为“TRUE”，则判断为不与输入变量1联动而存在某些异常(符号M16)。另一方面，对未检查期待值设定的(预定不进行相对于输入变量1的联动)的输出变量2为“TRUE”进行确认(符号M18)。若输出变量2为“FALSE”，则判断为与输入变量1联动而存在某些异常(符号M20)。

在最终的恢复相位中，基于评价者操作安全设备400而将评价对象的输入信号的值自“FALSE”(第2输入值)返回至“TRUE”(第1输入值)，并且判断通过依据安全程序10的运算处理而决定的评价对象的输出信号的值(第2输出值)与阻断相位中的值(第1输出值)是否一致。

具体而言，输入变量1基于评价者操作安全设备400而自“FALSE”变化为“TRUE”(符号M22)。此时，复位变量维持为“FALSE”的状态。对应于该变化，对所登记的所有输出变量为“TRUE”进行确认(符号M24、符号M28)。若任一输出变量为“FALSE”，则判断为存在某些异常(符号M26、符号M30)。

如此，在设定“自动复位”(第1种类)的情况下，在将输入信号的值自“FALSE”返回至“TRUE”时的评价对象的输出信号的输出值与“FALSE”(第1输出值)不同时，判断为正常。

继而，参照图10(B)，对设定“手动复位”作为复位种类时的功能安全评价的顺序进行说明。设定“手动复位”时的功能安全评价的顺序中，初始化相位及阻断相位与图10(A)所示的“自动复位”的初始化相位及阻断相位分别相同，因此不重复进行其说明。

在恢复相位中，输入变量1基于评价者操作安全设备400而自“FALSE”变化为“TRUE”(符号M32)。此时，复位变量维持为“FALSE”的状态。对应于该变化，对检查了期待值设定(预定进行相对于输入变量1的联动)的输出变量1为“FALSE”进行确认(符号M36)。若输出变量1变化为“TRUE”，则判断为不用等待复位变量的变化而与输入变量1联动而存在某些异常(符号M38)。

继而，将复位变量暂时设置为“TRUE”后(符号M40)，设置为“FALSE”(符号M42)。对应于该变化，对所登记的所有输出变量为“TRUE”进行确认(符号M44)。若任一输出变量为“FALSE”，则判断为存在某些异常(符号M46)。

如此，在设定“手动复位”(第2种类)的情况下，在将输入信号的值自“FALSE”返回至“TRUE”时的评价对象的输出信号的输出值与“FALSE”(第1输出值)一致时，判断为正常。然后，使复位信号有效化，并且判断通过依据安全程序10的运算处理而决定的评价对象的输出信号的值(第3输出值)与阻断相位中的值(第1输出值)是否一致。

<I.评价条件的设定>

依据本实施方式的评价系统1是根据评价者操作安全设备400来执行如图10(A)、图10(B)所示般的功能安全评价。以下，对执行功能安全评价所需的评价条件20的设定方法等进行说明。

图11是表示依据本实施方式的评价系统1中的用以设定评价条件20的用户界面画面的一例的示意图。评价系统1显示如图11所示般的设定画面600，并且受理相对于设定画面600的来自用户的设定。

更具体而言，设定画面600包括：运行(RUN)按钮602，指示功能安全评价的执行；显示按钮604，显示功能安全评价的执行结果；变量登记按钮606，用以登记评价对象的变量；复位变量设定区608，设定复位变量中所使用的变量；输入设定显示区610，显示输入变量的设定值；输出设定显示区620，显示输出变量的设定值；及期待值设定区630，设定输出变量相对于输入变量的期待值(以下，也称为“输出期待值”)。

在复位变量设定区608中设定下述变量，即以复位信号的形式共用而输入至包含于评价对象的安全程序中的功能块的变量。即，评价条件20包含作为自动复位的预定的复位条件的复位信号的设定。再者，图11所示的设定画面600中，共用地输入单一的复位信号，也可针对每个功能块使用不同的复位信号。

输入设定显示区610中，可进行包含于对象的安全程序中的输入变量的信息的登记及显示。输出设定显示区620中，可进行包含于对象的安全程序中的输出变量的信息的登记及显示。关于输入设定显示区610及输出设定显示区620中的变量登记，可通过选择变量登记按阻606而有效化。

输入设定显示区610包括：变量名显示栏612，显示预先设定的输入变量的变量名；注释显示栏614，显示与所对应的输入变量有关的注释；复位种类显示栏616，显示与所对应的输入变量有关的复位种类；及输入类型显示栏618，显示与所对应的输入变量有关的输入类型。

输出设定显示区620包括：变量名显示栏622，显示预先设定的输出变量的变量名；及注释显示栏624，显示与所对应的输出变量有关的注释。

期待值设定区630受理对于依据本实施方式的功能安全评价而言所需的评价条件。即，明待值设定区630的各行成为功能安全评价的各条件。具体而言，期待值设定区630包括：输入变量显示区634，显示成为对象的输入变量；注释显示栏636，显示与所对应的输入变量有关的注释；复位种类显示栏638，显示与所对应的输入变量有关的复位种类；及期待值设定栏640，设定与所对应的输入变量有关的各输出变量的输出期待值。

期待值设定栏640相对于一个输入变量而与成为对象的输出变量的数量对应地设定输出值(输出期待值)。图11所示的设定画面600的例子中，对应于输出设定显示区620中所显示的四个输出变量而设置有四个栏，可在各栏中设定输出期待值。用户基于事前的安全设计而在期待值设定栏640中设定适当的值。再者，在图11的期待值设定栏640中，“0”是指在对应的输入变量成为“FALSE”的情况下，对应的输出变量也变化为“FALSE”，“1”是脂即便为对应的输入变量成为“FALSE”的情况，对应的输出变量也维持“TRUE”。

例如，在某紧急停止按钮A为触发配置于危险区A的装置A的安全动作情况下，关于与和来自该紧急停止按钮A的输入信号对应的输入变量相关联而表示对于负责位于危险区A的装置A的紧急停止的安全继电器的指令的输出变量，表示安全动作的“FALSE”即“0”以输出期待值的形式设定。另一方面，在紧急停止按钮A并非朝向危险区B，而在危险区B设置另一紧急停止按钮B的情况下，未预定通过对于紧急停止按钮A的操作来使危险区B的装置B停止。因此，关于与和来自该紧急停止按钮A的输入信号对应的输入变量相关联而表示对于负责位于危险区B的装置B的紧急停止的安全继电器的指令的输出变量，表示不进行安全动作的“TRUE”即“1”以输出期待值的形式设定。如此，在期待值设定栏640中，设定各个输入变量与各自的输出变量之间的关系。

期待值设定区630包含检查框632，检查框632用以设定是否将各输入变量设为功能安全评价的对象。在依据本实施方式的功能安全评价中，使检查了所对应的检查框632的输入变量的值(输入值)发生变化，并判断各输出变量的值与期待值设定栏640中所设定的期待值是否一致。

如图11所示，期待值设定栏640受理评价条件20，所述评价条件20包含评价对象的输入信号、评价对象的输出信号及输出期待值，所述输出期待值为对应于评价对象的输入信号的值的变化而应输出的评价对象的输出信号的值。通常，作为评价条件20，可包含多个输入信号、输出信号及输出期待值的组。

如参照图11而说明般，依据本实施方式的评价系统1受理评价条件，所述评价条件包含评价对象的输入信号、评价对象的输出信号及输出期待值，所述输出期待值为对应于评价对象的输入信号的值的变化而应输出的评价对象的输出信号的值。

继而，对使作为评价条件的一部分的输出期待值在包含于图11所示的设定画面600中的期待值设定栏640的设定容易化的功能的一例进行说明。

依据本实施方式的评价系统1可以可使输出期待值的设定及再利用容易化的方式进行依据通常的格式(典型而言，逗号分隔值(Comma-SeparatedValues，CSV)形式或文本形式)而记述的输出期待值的数据的外部读入。另外，也可以该通常的格式的数据的形式输出预先设定的输出期待值。

图12是用以对依据本实施方式的评价系统中的输出期待值的导出及导入处理进行说明的图。例如，若用户选择设定画面600的导出按钮642(图11)，则设定画面600的期待值设定栏640中所设定的输出期待值的一览以CSV形式的数据(外部输出数据646)的形式进行外部输出/保存。

另外，若用户选择设定画面600的导入按钮644(图11)，则读入预先准备的CSV形式的数据(外部输出数据646)，并在设定画面600的期待值设定栏640中设定各值。

如此，通过安装可以通常的格式的数据的形式外部输出及外部读入输出期待值的功能，与其他应用程序等的联动也被强化，并可更迅速且容易进行功能安全的评价。

除了与图12所示的使用文件的其他应用程序的联动以外，也可直接使用在其他应用程序中所设定的输出期待值。

图13是用以对通过依据本实施方式的评价系统中的与其他应用程序的联动来设定输出期待值的处理进行说明的图。参照图13，例如，在电子表格应用程序700上制成表示设定于期待值设定栏640的输出期待值的表，对该所制成的成为对象的范围702进行选择及复制，并在设定画面600的期待值设定栏640上进行粘帖(所谓复制与粘贴(copy&paste)操作)，由此可设定用户所期望的输出期待值。

再者，图13中，作为典型例，例示了与电子表格应用程序的联动，但并不限定于此，若为可进行复制与粘贴操作的应用程序，则可与任意应用进行联动。

如此，通过与其他应用程序的联动而可进一步容易设定输出期待值。

<J.功能安全评价的处理顺序>

如上所述，信息处理装置200在安全程序10的功能安全的评价时依次提示相对于安全设备400而应进行的操作内容。评价者依据所提示的操作内容而依次操作安全设备400，由此信息处理装置200依次执行安全程序10的功能安全的评价。

以下，参照图14～图18，对安全程序10的功能安全的评价过程中的信息处理装置200的画面转变的一例进行说明。图14～图18是以时间序列表示信号处理装置200的画面转变的图。

参照图14，评价执行画面650包括：变量名显示栏654，显示成为对象的输入变量的变量名；注释显示栏656，显示与所对应的输入变量有关的注释；复位种类显示栏658，显示与所对应的输入变量有关的复位种类；期待值设定栏660，显示与所对应的输入变量有关的输出期待值的组合；结果显示栏672，表示评价结果；结果注释显示栏674，显示与评价结果对应的注释；及日期与时间显示栏676，表示评价执行日期与时间。

典型而言，安全控制器100依据显示于变量名显示栏654的输入变量的显示顺序而执行评价处理。图14的例中，安全控制器100选择分配有输入变量“ZoneA_EmergencyStop”的“No.1”的评价项目作为最初的评价对象。优选为：作为评价对象而选择的评价项目以与其他评价项目不同的方式表示。图14的例子中，作为评价对象而选择的评价项目是以影线(hatching)表示，但也可以改变颜色等其他方式来表示。

继而，如图15所示，信息处理装置200显示相对于分配有输入变量“ZoneA_EmergencyStop”的安全设备400的操作内容680。例如，操作内容680包括操作对象的安全设备400的识别信息、相对于操作对象的安全设备400的操作顺序及相对于该安全设备400的复位种类。操作对象的安全设备400的识别信息可以输入变量名表示，也可以安全设备400的名称表示。图15的例子中，紧急停止按钮是以操作对象的形式来表示，并表示通过“阻断”紧急停止按钮而将输入变量“ZoneA_EmergencyStop”设为“FALSE”的操作顺序。如此，在应使评价对象的输入信号的值自“TRUE”(第1输入值)变化为“FALSE”(第2输入值)时，安全控制器100将用以使该输入信号的值自“TRUE”变化为“FALSE”的操作内容680显示于信息处理装置200。

按下操作内容680的OK按钮时，安全控制器100将输入变量“ZoneA_EmergencyStop”输入至安全程序。在按下紧急停止按钮的情况下，输入变量“ZoneA_EmergencyStop”设定为“FALSE”。安全控制器100获取自安全程序输出的输出信号作为运算结果。安全控制器100将该输出信号的值与该输出信号的输出期待值加以比较。然后，安全控制器100使评价处理推进至下一步骤。

继而，如图16所示，信息处理装置200显示相对于分配有输入变量“ZoneA_EmergencyStop”的安全设备400的操作内容681。图16的例子中，指示为通过“恢复”紧急停止按钮而将输入变量“ZoneA_EmergencyStop”设为“TRUE”。如此，在应使评价对象的输入信号的值自“FALSE”(第2输入值)变化为“TRUE”(第1输入值)时，安全控制器100将用以使该输入信号的值自“FALSE”变化为“TRUE”的操作内容681显示于信息处理装置200。

按下操作内容681的OK按钮时，安全控制器100将输入变量“ZoneA_EmergencyStop”输入至安全程序。在解除紧急停止按钮的按下状态的情况下，输入变量“ZoneA_EmergencyStop”设定为“TRUE”。安全控制器100获取自安全程序输出至各输出设备的输出信号作为运算结果。如上所述，在复位种类设定为“手动(Manual)”的情况下，安全控制器100对输出变量的值不发生变化进行确认。然后，安全控制器100使评价处理推进至下一步骤。

继而，如图17所示，安全控制器100将与完成评价处理的“No.1”的评价项目有关的评价结果显示于结果显示栏672，并且将与该评价项目有关的评价日期与时间显示于日期与时间显示栏676。图17的例子中，在结果显示栏672中显示有表示合格的“Passed”，在日期与时间显示栏676中显示有“2017/01/21/10∶04∶24”。然后，安全控制器100选择分配有输入变量“ZoneA_Reset”的“No.2”的评价项目作为下一评价对象。此时，信息处理装置200将“No.2”的评价项目的显示方式以与其他评价项目不同的方式显示。由此，评价者可容易把握现在的评价对象的评价项目。

继而，如图18所示，信息处理装置200显示相对于分配有输入变量“ZoneA_Reset”的安全设备400的操作内容682。图18的例子中，复位按钮作为操作对象而表示，且指示为通过操作复位按钮而使输入变量“ZoneA_Reset”变化为“FALSE”→“TRUE”→“FALSE”。

按下操作内容682的OK按钮时，安全控制器100将输入变量“ZoneA_Reset”输入至安全程序。在按下复位按钮的情况下，输入变量“ZoneA_Reset”以“FALSE”→“TRUE”→“FALSE”的顺序发生变化。安全控制器100获取自安全程序输出至各输出设备的输出信号作为运算结果。安全控制器100将输出至各输出设备的输出信号的值与期待值设定栏660的“No.2”中所示的各输出期待值加以比较。然后，安全控制器100使评价处理推进至下一步骤。

关于剩余的“No.3”～“No.7”中所示的评价项目，也依次执行评价处理。如此，安全控制器100依据评价执行画面650中预先设定的顺序，将应操作的安全设备400的操作内容依次显示于信息处理装置200，并根据评价者操作安全设备400来依次执行评价处理。

再者，所述中，对以评价执行画面650中所设定的顺序依次执行评价处理的例子进行了说明，但评价处理也可以随机(random)的顺序执行。该情况下，评价者以自身所决定的顺序来操作安全设备400。安全控制器100在每操作安全设备400时自安全程序获取输出信号，并将该输出信号的值与和所操作的安全设备400相关联的输出期待值加以比较。

另外，所述中，对通过按下操作内容680～操作内容682的OK按钮而将评价处理推进至下一步骤的例子进行了说明，但安全控制器100也可监视来自操作对象的安全设备400的输入信号，并基于该信号发生了变化而自动将评价处理推进至下一步骤。

<K.功能安全评价的评价结果>

继而，对图14～图18所示的功能安全评价的评价结果进行说明。

依据本实施方式的评价系统1具有与评价对象的输入信号相关联而输出功能安全评价的评价结果的功能。

图19是表示依据本实施方式的评价系统1中所执行的功能安全评价的评价结果的一例的示意图。参照图19，评价结果画面651包括：变量名显示栏654，显示成为对象的输入变量的变量名；注释显示栏656，显示与所对应的输入变量有关的注释；复位种类显示栏658，显示与所对应的输入变量有关的复位种类；期待值设定栏660，显示与所对应的输入变量有关的输出期待值的组合；结果显示栏672，表示评价结果；结果注释显示栏674，显示与评价结果对应的注释；及日期与时间显示栏676，表示评价执行日期与时间。

在结果显示栏672中，通过所述评价，将合格者显示为“Passed”，将产生了某些错误者显示为“Failed”。进而，在产生了某些错误的情况下，在期待值设定栏660中，产生了该错误的输出变量的显示方式设为不同者。在结果注释显示栏674中显示有与该错误对应的错误消息。即，在判断结果中包含特别指定在哪一相位中判断为异常的信息。另外，在判断结果中包含与判断为异常的相位对应的注释。

如图19所示，通常而言，评价条件20包括多个包含评价对象的输入信号、评价对象的输出信号及输出期待值的组。而且，对各组执行如上所述的评价处理。在判断结果中包含特别指定在哪一组的输入信号中判断为异常的信息。

另外，如图19所示，通常而言，评价条件20包括包含评价对象的输入信号、多个评价对象的输出信号及分别对应的多个输出期待值的组。而且，对多个输出期待值分别执行如上所述的评价处理。在判断结果中包含特别指定在哪一输出信号中判断为异常的信息。

以如上所述的输出期待值为基准，若在任一的输出变量中产生错误，则该错误的内容与输出期待值对应显示，由此可更有效地进行安全程序的功能安全评价。

图20是表示图19所示的评价结果画面651的变形例的图。如图20所示，评价结果画面651也可进而包括评价者的记入栏673。在记入栏673中输入有评价者利用目视来确认输出设备的动作方式的结果。图20的例子中，记入栏673以检查框的形式表示。在相对于对安全设备400的操作而输出设备正常动作的情况下，评价者在检查框记入检查。在并非如此的情况下，评价者不在检查框记入检查。

再者，记入栏673也可以与检查框不同的方式表示。作为一例，记入栏673也可以文本输入区域的形式表示，也可以可选择“Passed”及“Failed”任一个的单选按钮(radiobutton)的形式表示。

<L.功能安全评价的印刷结果>

在按下图20所示的评价结果画面651中的导出按钮690的情况下，文件输出评价结果。在按下图20所示的评价结果画面651中的印刷按钮691的情况下，印刷评价结果。图21是表示评价结果的印刷例的图。

如图21所示，印刷结果651A包含图20的评价结果画面651中所示的内容。更具体而言，印刷结果651A包括：变量名栏654A，显示成为对象的输入变量的变量名；注释栏656A，显示与所对应的输入变量有关的注释；复位种类栏658A，显示与所对应的输入变量有关的复位种类；期待值设定栏660A，显示与所对应的输入变量有关的输出期待值的组合；结果栏672A，表示评价结果；评价者的记入栏673A；结果注释栏674A，显示与评价结果对应的注释；及日期与时间栏676A，表示评价执行日期与时间。另外，印刷结果651A包括评价实施日栏695、评价者的姓名记入栏696及评价者的签字记入栏697。

印刷结果651A的变量名栏654A与评价结果画面651的变量名显示栏654相对应。印刷结果651A的注释栏656A与评价结果画面651的注释显示栏656相对应。印刷结果651A的复位种类栏658A与评价结果画面651的复位种类显示栏658相对应。印刷结果651A的期待值设定栏660A与评价结果画面651的期待值设定栏660相对应。印刷结果651A的结果栏672A与评价结果画面651的结果显示栏672相对应。印刷结果651A的记入栏673A与评价结果画面651的记入栏673相对应。印刷结果651A的结果注释栏674A与评价结果画面651的结果注释显示栏674相对应。印刷结果651A的日期与时间栏676A与评价结果画面651的日期与时间显示栏676相对应。

<M.功能安全评价的处理顺序>

继而，对依据本实施方式的功能安全评价的处理顺序进行说明。在图11所示的设定画面600中，设定评价对象的输入变量与所对应的输出期待值的组后，依据如以下所述般的顺序来评价对象的安全程序的功能安全。

图22～图24是表示依据本实施方式的评价系统1中所执行的功能安全评价的处理顺序的流程图。典型而言，图22～图24所示的各步骤通过处理器102(参照图3)执行功能安全评价程序来实现。再者，图11所示的评价条件设为预先设定。

参照图22～图24，判断安全控制器的动作模式是否为运转模式(步骤S10)。在安全控制器的动作模式为运转模式的情况下(在步骤S10中为是(YES))，处理器102将控制切换为步骤S12。在并非如此的情况下(在步骤S10中为否(NO))，处理器102再次执行步骤S10的处理。

处理器102将复位变量暂时设置为“TRUE”后，返回至“FALSE”，并获取作为评价对象的一个或多个输出信号的值(步骤S12)。然后，判断作为评价对象的一个或多个输出变量的值是否均为“TRUE”(步骤S14)。

在作为评价对象的任一输出变量的值为“FALSE”的情况(在步骤S14中为否的情况)下，特别指定作为“FALSE”的输出变量，并且输出初始化相位中的错误消息(步骤S16)。该情况下，中止以后的功能安全评价的处理。作为初始化相位中的错误消息，例如可使用“输出变量(XXX)在复位时成为FALSE”等者。

在作为评价对象的任一输出变量的值均为“TRUE”的情况(在步骤S14中为是的情况)下，执行以下的阻断相位及恢复相位的处理。针对期待值设定区630(评价条件20)中所设定的每输入变量，重复进行阻断相位及恢复相位的处理。

具体而言，首先，期待值设定区630中所设定的输入变量中，选择一个检查了所对应的检查框632的输入变量(步骤S20)。而且，处理器102以操作分配有所选择的输入变量的安全设备400而使输入变量的值自“TRUE”成为“FALSE”的方式通知给信息处理装置200。

然后，处理器102判断所选择的输入变量是否自“TRUE”变化为“FALSE”(步骤S22)。在所选择的输入变量自“TRUE”变化为“FALSE”的情况下(在步骤S22中为是)，处理器102将控制切换为步骤S24。在并非如此的情况下(在步骤S22中为否)，处理器102再次执行步骤S22的处理。

然后，处理器102获取作为评价对象的一个或多个输出变量的值(步骤S24)。即，阻断所选择的输入变量。继而，判断对应于所选择的输入变量的与评价对象的各个输出变量有关的输出期待值和所获取的各自的输出变量的值是否一致(步骤S26)。即，关于设定“FALSE”作为输出期待值的输出变量，判断所获取的值是否为“FALSE”，关于设定“TRUE”作为输出期待值的输出变量，判断所获取的值是否为“TRUE”。

在针对任一输出变量而获取的值与输出期待值不一致的情况(在步骤S26中为否的情况)下，特别指定与该输出期待值不一致的输出变量，并且输出阻断相位中的错误消息(步骤S28)。该情况下，跳过后续的恢复相位而执行步骤S60的处理。作为阻断相位中的错误消息，例如可使用“输出变量(XXX)与输出期待值不一致”等者。

另一方面，在与评价对象的各个输出变量有关的输出期待值和所获取的各个输出变量的值全部一致的情况(在步骤S26中为是的情况)下，继而，执行恢复相位的处理。即，执行如下处理：将评价对象的输入信号的值自“FALSE”(第2输入值)返回至“TRUE”(第1输入值)，并且判断通过依据安全程序的运算而决定的评价对象的输出信号的第2输出值与第1输出值是否一致。

具体而言，判断所选择的输入变量中所设定的复位种类是“自动复位”及“手动复位”的哪一种(步骤S30)。

在设定“自动复位”作为复位种类的情况(在步骤S30中为“自动复位”的情况)下，处理器102以操作分配有所选择的输入变量的安全设备400而使输入变量的值自“FALSE”成为“TRUE”的方式通知给信息处理装置200(步骤S31)。

然后，处理器102判断所选择的输入变量是否自“FALSE”变化为“TRUE”(步骤S32)。在所选择的输入变量自“FALSE”变化为“TRUE”的情况下(在步骤S32中为是)，处理器102将控制切换为步骤S34。在并非如此的情况下(在步骤S32中为否)，处理器102再次执行步骤S32的处理。

然后，处理器102获取作为评价对象的一个或多个输出变量的值(步骤S34)。继而，判断与所选择的输入变量对应的作为评价对象的任一输出变量的值是否均为“TRUE”(步骤S36)。即，判断：伴随所选择的输入变量的恢复，所对应的所有输出变量是否也恢复。

在作为评价对象的任一输出变量的值保持为“FALSE”的情况(在步骤S36中为否的情况)下，特别指定保持为“FALSE”的输出变量，并且输出恢复相位中的错误消息(步骤S38)，执行步骤S60的处理。作为恢复相位中的错误消息，例如可使用“输出变量(XXX)未自动恢复”等者。

另一方面，在作为评价对象的任一输出变量的值均为“TRUE”的情况(在步骤S36中为是的情况)下，关于所选择的输入变量，输出所有的功能安全评价为合格(步骤S40)，并执行步骤S60的处理。

在设定“手动复位”作为复位种类的情况(在步骤S30中为“手动复位”的情况)下，处理器102以操作分配有所选择的输入变量的安全设备400而使输入变量的值自“FALSE”成为“TRUE”的方式通知给信息处理装置200(步骤S41)。

然后，处理器102判断所选择的输入变量是否自“FALSE”变化为“TRUE”(步骤S42)。在所选择的输入变量自“FALSE”变化为“TRUE”的情况下(在步骤S42中为是)，处理器102将控制切换为步骤S44。在并非如此的情况下(在步骤S42中为否)，处理器102再次执行步骤S42的处理。

然后，处理器102获取作为评价对象的一个或多个输出变量的值(步骤S44)。即，使所选择的输入变量恢复。继而，判断与所选择的输入变量对应的评价对象的输出变量中，输出期待值均设定为“FALSE”的输出变量的值是否保持为“FALSE”(步骤S46)。即，判断成为“手动复位”的对象的输出变量的值未伴随所选择的输入变量的恢复而恢复。

在输出期待值均设定为“FALSE”的任一输出变量的值为“TRUE”的情况(在步骤S46中为否的情况)下，特别指定作为“TRUE”的输出变量，并且输出恢复相位中的错误消息(步骤S48)，并执行步骤S60的处理。作为恢复相位中的错误消息，例如可使用“输出变量(XXX)自动恢复”等者。

在输出期待值均设定为“FALSE”的所有的输出变量的值为“FALSE”的情况(在步骤S46中为是的情况)下，执行如下处理：使复位信号有效化，并且判断通过依据安全程序的运算而决定的评价对象的输出信号的第3输出值与第1输出值是否一致。即，将复位变量暂时设置为“TRUE”后，返回至“FALSE”(步骤S50)，并获取作为评价对象的一个或多个输出变量的值(步骤S52)。即，使复位变量活性化。继而，判断作为评价对象的一个或多个输出变量的值是否均为“TRUE”(步骤S54)。

在作为评价对象的任一输出变量的值为“FALSE”的情况(在步骤S54中为否的情况)下，对作为“FALSE”的输出变量进行特别指定，并且输出恢复相位中的错误消息(步骤S56)。作为恢复相位中的错误消息，例如可使用“输出变量(XXX)在复位时成为FALSE”等者。

在作为评价对象的输出变量的值均为“TRUE”的情况(在步骤S54中为是的情况)下，关于所选择的输入变量，输出所有的功能安全评价为合格(步骤S58)，并执行步骤S60的处理。

在步骤S60中，判断是否对期待值设定区630中所设定的输入变量中，检查了所对应的检查框632的输入变量的全部执行评价(步骤S60)。在尚未执行与所检查的任一输入变量有关的评价的情况(在步骤S60中为否的情况)下，选择尚未执行评价的任一输入变量(步骤S62)，再次执行步骤S21以下的处理。

在执行了与所检查的所有的输入变量有关的评价的情况(在步骤S60中为是的情况)下，功能安全评价的处理结束。

<N.优点>

根据本实施方式，规定安全程序中所含的输入信号与对应于该输入信号的一个或多个输出信号的组合，并且设定各组合中的各输出信号值的期待值(输出期待值)。另外，也设定对应于各输入信号的复位种类。然后，响应于评价者相对于安全设备400的操作而使输入信号的值(输入值)变化为三个相位(初始化相位、阻断相位、恢复相位)，并且判断在各相位中所算出的输出值是否为对应于预先设定的输出期待值及复位种类的值，由此利用实机评价安全程序的综合性功能安全。因此，可进一步正确地评价安全程序的功能安全。

另外，根据本实施方式，若在任一相位中产生异常，则特别指定产生了该异常的相位及产生了该异常的输出信号，并且以功能安全的评价结果的形式输出。因此，在安全程序的功能安全中即便存在某些问题，也可容易特别指定其原因及解决方法。

应认为：此次所揭示的实施方式在所有方面仅为例示，并非限制者。应意识到：本发明的范围是由权利要求而非所述说明所示，包含与权利要求均等的含义及范围内的所有变更。

Claims (9)

1.一种评价系统，配置成对于安全程序的功能安全进行评价，当输入信号由一个以上的输入设备的任一个所生成时，使得一个以上的输出设备得以在一控制的装置下进行一安全动作，其中所述一个以上的输入设备的任一个包括：

一个以上的探测设备，用以探测人的存在或入侵；以及

一装置，受理紧急时的操作，

并且生成所述输入信号的所述一个以上的输入设备被记作为一评价对象，

所述评价系统的特征在于包括：

一第一硬件处理器，配置成基于来自所述一个以上的输入设备的任一个的所述输入信号来执行依据所述安全程序中，由此决定用以输出至所对应的一个以上的输出设备的输出信号的值；

一用户输入界面，配置成用以设定评价条件，所述评价条件包含来自所述评价对象的所述输入信号的输入值与输出期待值，其中所述输出期待值是被输出至所述一个以上的输出设备的所述输出信号的期待值并且对应于所述输入值；

一第二硬件处理器，配置成用以判断由所述第一硬件处理器所决定的在阻断相位中的所述输出信号的第1输出值与随着来自一第1输入值的所述评价对象的所述输入信号的所述输入值而有变化的所述输出期待值是否一致，

其中所述第二硬件处理器进一步地配置成用以判断由所述第一硬件处理器所决定的在恢复相位中的所述输出信号的第2输出值与随着从第2输出值到第1输出值的所述评价对象的所述输入信号的所述输入值而有变化的所述阻断相位中的所述第1输出值是否一致，

其中所述阻断相位是经由从所述第2输出值到所述第1输出值的所述输入信号的所述输入值的所述变化的探测而初始化，并且所述恢复相位在所述阻断相位之后，并经由从第2输出值到第1输出值的所述输入信号的所述输入值的所述变化的探测而初始化；及

一视觉化输出界面，配置成用以输出与所述评价对象的所述输入信号的所对应的所述输入值相关联的所述第二硬件处理器的判断结果。

2.根据权利要求1所述的评价系统，其特征在于：其中所述用户输入界面进一步配置成提示相对于所述评价对象的输入设备的操作内容。

3.根据权利要求2所述的评价系统，其特征在于：

其中所述用户输入界面进一步配置成

在应使所述评价对象的输入信号的的所述输入值自所述第1输入值变化为所述第2输入值时，提示用以使所述输入信号的所述输入值自所述第1输入值变化为所述第2输入值的操作内容；

在应使所述评价对象的输入信号的所述输入值自所述第2输入值变化为所述第1输入值时，提示用以使所述输入信号的所述输入值自所述第2输入值变化为所述第1输入值的操作内容。

4.根据权利要求2或3所述的评价系统，其特征在于：

所述操作内容包含：

所述评价对象的识别信息及

相对于所述评价对象的操作顺序。

5.根据权利要求2或3所述的评价系统，其特征在于：

所述评价条件包括多个包含所述评价对象的输入信号的所述输入值与所述输出期待值的组，

所述用户输入界面配置成依据预先设定的评价顺序依次提示应操作的评价对象的输入设备的操作内容。

6.根据权利要求1至3中任一项所述的评价系统，其特征在于：

所述评价条件包含第1种类与第2种类中的任一种设定，所述第1种类是表示在所述输入信号的所述输入值自所述第2输入值返回至所述第1输入值时，与所述所对应的输出信号的所述输出值联动而返回至原来的值，所述第2种类是表示不使输出信号的输出值返回至原来的值直至预定的复位条件成立为止，

所述第二硬件处理器配置成

在设定了所述第1种类的情况下，在所述第2输出值与所述第1输出值不同时，判断为正常，

在设定了所述第2种类的情况下，在所述第2输出值与所述第1输出值一致时，判断为正常。

7.一种安全控制器，配置成对于安全程序的功能安全进行评价，当输入信号由一个以上的输入设备的任一个所生成时，使得一个以上的输出设备得以在一控制的装置下进行一安全动作，其中所述一个以上的输入设备的任一个包括：

一个以上的探测设备，用以探测人的存在或入侵；以及

一装置，受理紧急时的操作，

并且生成所述输入信号的所述一个以上的输入设备被记作为一评价对象，

所述安全控制器包括：

一第一硬件处理器，配置成基于来自所述一个以上的输入设备的任一个的所述输入信号来执行依据所述安全程序，由此决定用以输出至所对应的一个以上的输出设备的输出信号的值；

一用户输入界面，配置成用以设定评价条件，所述评价条件包含来自所述评价对象的所述输入信号的输入值与输出期待值，其中所述输出期待值是被输出至所述一个以上的输出设备的所述输出信号的一期待值并且对应于所述输入值；

一第二硬件处理器，配置成用以判断由所述第一硬件处理器所决定的在阻断相位中的所述输出信号的第1输出值与随着来自一第1输入值的所述评价对象的所述输入信号的所述输入值而有一变化的所述输出期待值是否一致，

其中所述第二硬件处理器进一步地配置成用以判断由所述第一硬件处理器所决定的在恢复相位中的所述输出信号的第2输出值与随着从第2输出值到第1输出值的所述评价对象的所述输入信号的所述输入值而有一变化的所述阻断相位中的所述第1输出值是否一致，

其中所述阻断相位是经由从所述第2输出值到所述第1输出值的所述输入信号的所述输入值的所述变化的探测而初始化，并且所述恢复相位在所述阻断相位之后，并经由从第2输出值到第1输出值的所述输入信号的所述输入值的所述变化的探测而初始化；及

一视觉化输出界面，配置成用以输出与所述评价对象的所述输入信号的所对应的输入值相关联的所述第二硬件处理器的判断结果。

8.一种计算机可读取记录媒体，配置成对于安全程序的功能安全进行评价，当输入信号由一个以上的输入设备的任一个所生成时，使得一个以上的输出设备得以在一控制的装置下进行一安全动作，其中所述一个以上的输入设备的任一个包括：

一个以上的探测设备，用以探测人的存在或入侵；以及

一装置，受理紧急时的操作，

并且生成所述输入信号的所述一个以上的输入设备被记作为一评价对象，

所述计算机可读取记录媒体包括：

所述计算机可读取记录媒体存储多个程序指令，所述程序指令加载至计算机以执行如下步骤：

基于来自所述一个以上的输入设备的任一个的所述输入信号来执行依据所述安全程序，由此决定用以输出至所对应的一个以上的输出设备的输出信号的值；

设定评价条件，所述评价条件包含来自所述评价对象的所述输入信号的输入值与输出期待值，其中所述输出期待值是被输出至所述一个以上的输出设备的所述输出信号的期待值并且对应于所述输入值；

判断由依据所述安全程序的运算所决定的在阻断相位中的所述输出信号的第1输出值与随着来自一第1输入值的所述评价对象的所述输入信号的所述输入值而有变化的所述输出期待值是否一致；

判断由依据所述安全程序的运算所决定的在恢复相位中的所述输出信号的第2输出值与所述第1输出值是否一致，

其中所述阻断相位是经由从所述第2输出值到所述第1输出值的所述输入信号的所述输入值的所述变化的探测而初始化，并且所述恢复相位在所述阻断相位之后，并经由从第2输出值到第1输出值的所述输入信号的所述输入值的所述变化的探测而初始化；及

输出与所述评价对象的所述输入信号的所对应的所述输入值相关联的所述判断步骤中的判断结果。

9.一种评价方法，配置成对于安全程序的功能安全进行评价，当输入信号由一个以上的输入设备的任一个所生成时，使得一个以上的输出设备得以在一控制的装置下进行一安全动作，其中所述一个以上的输入设备的任一个包括：

一个以上的探测设备，用以探测人的存在或入侵；以及

一装置，受理紧急时的操作，

并且生成所述输入信号的所述一个以上的输入设备被记作为一评价对象，所述评价方法的特征在于包括如下步骤：

基于来自所述一个以上的输入设备的任一个的所述输入信号来执行依据所述安全程序，由此决定用以输出至所对应的一个以上的输出设备的输出信号的值；

设定评价条件，所述评价条件包含来自所述评价对象的所述输入信号的输入值与输出期待值，其中所述输出期待值是被输出至所述一个以上的输出设备的所述输出信号的期待值并且对应于所述输入值；

判断由依据所述安全程序的运算所决定的在阻断相位中的所述输出信号的第1输出值与随着来自一第1输入值的所述评价对象的所述输入信号的所述输入值而有变化的所述输出期待值是否一致；

判断由依据所述安全程序的运算所决定的在恢复相位中的所述输出信号的第2输出值与所述第1输出值是否一致，

其中所述阻断相位是经由从所述第2输出值到所述第1输出值的所述输入信号的所述输入值的所述变化的探测而初始化，并且所述恢复相位在所述阻断相位之后，并经由从第2输出值到第1输出值的所述输入信号的所述输入值的所述变化的探测而初始化；及

输出与所述评价对象的所述输入信号的所对应的所述输入值相关联的所述判断步骤中的判断结果。

Images