DE112010005515T5 - Sicherheitsvorrichtung und Fehlerdetektionsverfahren - Google Patents

Sicherheitsvorrichtung und Fehlerdetektionsverfahren Download PDF

Info

Publication number
DE112010005515T5
DE112010005515T5 DE112010005515T DE112010005515T DE112010005515T5 DE 112010005515 T5 DE112010005515 T5 DE 112010005515T5 DE 112010005515 T DE112010005515 T DE 112010005515T DE 112010005515 T DE112010005515 T DE 112010005515T DE 112010005515 T5 DE112010005515 T5 DE 112010005515T5
Authority
DE
Germany
Prior art keywords
state
sensors
unit
sensor error
circuit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE112010005515T
Other languages
English (en)
Other versions
DE112010005515T8 (de
Inventor
Haruyuki Kurachi
Tatsuaki Kamiya
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of DE112010005515T5 publication Critical patent/DE112010005515T5/de
Application granted granted Critical
Publication of DE112010005515T8 publication Critical patent/DE112010005515T8/de
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric

Abstract

Eine Sicherheitsvorrichtung beinhaltet: eine Zwischenschaltung 124, die eine inkonsistente Zustandaufzeichnung hält, wenn Eingabesignale aus einer Mehrzahl von Sensoren in einem inkonsistenten Zustand sind, und die inkonsistente Zustandsaufzeichnung aufhebt, wenn die Eingabesignale aus der Mehrzahl von Sensoren alle in einem AUS-Zustand sind; und eine UND-Schaltung 123, die eine Sensorfehlerbestimmung zu einem Zeitpunkt durchführt, wenn die Eingabesignale aus der Mehrzahl von Sensoren alle in einem EIN-Zustand sind, wobei die Sensorfehlerbestimmung das Bestimmen beinhaltet, dass zumindest einer aus der Mehrzahl von Sensoren ausgefallen ist, falls die Zwischenschaltung 124 die inkonsistente Zustandsaufzeichnung hält, und das Bestimmen, dass keiner aus der Mehrzahl von Sensoren ausgefallen ist, falls die Zwischenschaltung 124 keine inkonsistente Zustandsaufzeichnung enthält.

Description

  • Gebiet
  • Die vorliegende Erfindung bezieht sich auf eine Sicherheitsvorrichtung, welche einen Betrieb von Ausrüstung freigibt/sperrt, basierend auf Eingangssignalen aus Multiplexsensoren zum Detektieren eines Sicherheitszustands der Ausrüstung und ein Fehlerdetektionsverfahren eines Sensors der Sicherheitsvorrichtung.
  • Hintergrund
  • Im Allgemeinen verwendet ein sicherheitsbezogenes System eine Sicherheitsvorrichtung, die doppelte (geduplexte) Sensoren zum Erzeugen eines EIN-Ausgangs in einem Sicherheitszustand beinhaltet und einen Betrieb ermöglicht, wenn die zwei Sensoren EIN-Ausgaben erzeugen (siehe beispielsweise Patentliteratur 1). Darüber hinaus beinhalten ISO 13849-1-Kategorie 4-Anforderungen Designs, derart, dass (1) ein einzelner Fehler nicht zum Verlust einer Sicherheitsfunktion führt, und (2) ein einzelner Fehler detektiert werden kann, wenn oder bevor eine nächste Sicherheitsfunktion arbeitet.
  • Um die vorstehende Sicherheitsvorrichtung in Übereinklang mit ISO 13849-1-Kategorie 4 zu bringen, müssen Mittel zum Detektieren eines Fehlers in einem der gedoppelten Sensoren vor dem Auftreten eines nächsten Fehlers implementiert werden. Bei konventionellen Fehlerdetektionsmitteln einer Sicherheitsvorrichtung beinhalten diese welche, die feststellen, dass einer der zwei Sensoren ausgefallen ist, falls ein Zustand, bei dem Eingangssignale aus den Sensoren in einem inkonsistenten Zustand sind, eine vorgegebene Zeit oder länger andauert.
  • Zitateliste
  • Patentliteratur
    • Patentliteratur 1: Japanische Patentoffenlegungsschrift Nr. 2005-326988
  • Zusammenfassung
  • Technisches Problem
  • Jedoch variiert das Timing für einen Sensor, eine EIN-Ausgabe zu erzeugen, abhängig vom Typ des Sensors und der Position, an der der Sensor angeordnet ist. In Konsequenz war es unter Verwendung des vorstehenden konventionellen Fehlerdetektionsmittels manchmal erforderlich, eine eingestellte Zeit für eine Fehlerbestimmung abhängig von jedem Ziel, dessen Sicherheitszustand zu überprüfen ist, zu ändern, und es war manchmal nicht möglich, eine Einstellzeit zu bestimmen.
  • Die vorliegende Erfindung ist im Hinblick auf das Vorstehende gemacht worden, und es ist deren Aufgabe, eine Sicherheitsvorrichtung und ein Fehlerdetektionsverfahren bereitzustellen, die einen Sensorfehler leicht detektieren können.
  • Problemlösung
  • Um das obige Problem zu lösen und die obige Aufgabe zu realisieren, beinhaltet eine Sicherheitsvorrichtung der vorliegenden Erfindung: eine Eingabesignal-Bestimmungseinheit zum Bestimmen, ob Eingangssignale aus einer Mehrzahl von Sensoren, die jeder einen Sicherheitszustand für Ausrüstung detektieren, alle in einem EIN-Zustand, alle in einem AUS-Zustand, oder in einem inkonsistenten Zustand zwischen den Sensoren sind; eine erste Zwischenspeichereinheit zum Halten einer inkonsistenten Zustandsaufzeichnung, falls die Eingabesignal-Bestimmungseinheit feststellt, dass die Eingabesignale aus der Mehrzahl von Sensoren in einem inkonsistenten Zustand sind, und Aufheben der inkonsistenten Zustandsaufzeichnung, falls die Eingabesignal-Bestimmungseinheit feststellt, dass die Eingabesignale aus der Mehrzahl von Sensoren alle in einem AUS-Zustand sind; eine Sensorfehlerbestimmungseinheit zum Durchführen einer Sensorfehlerbestimmung zu einem ersten Zeitpunkt, wenn die Eingabesignal-Bestimmungseinheit feststellt, dass die Eingabesignale aus der Mehrzahl von Sensoren alle in einem EIN-Zustand sind, wobei die Sensorfehlerbestimmung beinhaltet: Bestimmen, dass zumindest einer der Mehrzahl von Sensoren ausgefallen ist, falls die erste Zwischenspeichereinheit die inkonsistente Zustandsaufzeichnung hält, und Feststellen, dass keiner der Mehrzahl der Sensoren ausgefallen ist, falls die erste Zwischenspeichereinheit keine inkonsistente Zustandsaufzeichnung hält; und eine Betriebsfreigabe/Sperreinheit zum Freigeben/Sperren eines Betriebs der Ausrüstung, basierend auf den Eingabesignalen aus der Mehrzahl von Sensoren und einem Bestimmungsergebnis der Sensorfehlerbestimmung durch die Sensorfehlerbestimmungseinheit.
  • Vorteilhafte Effekte der Erfindung
  • Die Sicherheitsvorrichtung gemäß der vorliegenden Erfindung stellt den Effekt bereit, dass ein Sensorfehler leicht detektiert werden kann.
  • Kurze Beschreibung der Zeichnungen
  • 1 ist ein Diagramm, das ein System zeigt, das eine Sicherheitsvorrichtung gemäß einer ersten Ausführungsform verwendet.
  • 2 ist ein Diagramm zum Erläutern eines Beispiels der Konfiguration der Sicherheitsvorrichtung gemäß der ersten Ausführungsform.
  • 3 ist ein Timing-Diagramm zum Erläutern eines Operationsmusters der Sicherheitsvorrichtung, wenn kein Sensorfehler detektiert wird.
  • 4 ist ein Timing-Diagramm zum Erläutern eines Operationsmusters der Sicherheitsvorrichtung, wenn ein Sensorfehler detektiert wird.
  • 5 ist ein Diagramm zum Erläutern eines Beispiels der Konfiguration einer Sicherheitsvorrichtung, die drei Eingabeanschlüsse für Sensoreingaben enthält.
  • 6 ist ein Diagramm zum Erläutern eines Beispiels der Konfiguration einer Sicherheitsvorrichtung gemäß einer zweiten Ausführungsform.
  • 7 ist ein Timing-Diagramm zum Erläutern eines Operationsmusters, wenn ein Sensorfehler detektiert wird.
  • 8 ist ein Diagramm zum Erläutern eines Beispiels der Konfiguration einer Sicherheitsvorrichtung, die Eingabeanschlüsse aus drei Sensoren enthält.
  • 9 ist ein Diagramm zum Erläutern eines Beispiels der Konfiguration einer Sicherheitsvorrichtung gemäß einer dritten Ausführungsform.
  • 10 ist ein Diagramm zum Erläutern eines Beispiels der Konfiguration einer Sicherheitsvorrichtung gemäß einer vierten Ausführungsform.
  • 11 ist ein Diagramm zum Erläutern eines Beispiels der Konfiguration einer Sicherheitsvorrichtung gemäß einer fünften Ausführungsform.
  • 12 ist ein Diagramm zum Erläutern eines Beispiels der Konfiguration einer Sicherheitsvorrichtung gemäß einer sechsten Ausführungsform.
  • 13 ist ein Diagramm zum Erläutern eines Beispiels der Konfiguration einer Sicherheitsvorrichtung gemäß einer siebten Ausführungsform.
  • 14 ist ein Diagramm zum Erläutern der funktionellen Konfiguration einer Sensorfehler-Detektionseinheit.
  • 15 ist ein Flussdiagramm zum Erläutern eines Fehlerdetektionsverfahrens, das durch die Sensorfehler-Detektionseinheit implementiert ist.
  • 16 ist ein Diagramm zum Erläutern eines Beispiels der Konfiguration eines Sicherheitsvorrichtung gemäß einer achten Ausführungsform.
  • 17 ist ein Diagramm zum Erläutern der funktionellen Konfiguration einer Sensorfehler-Detektionseinheit.
  • 18 ist ein Zustandsdiagramm zum Erläutern des Betriebs der Sensorfehler-Detektionseinheit.
  • 19 ist ein Flussdiagramm zum Erläutern eines Fehlerdetekionsverfahrens, das durch die Sensorfehler-Detektionseinheit implementiert wird.
  • Beschreibung von Ausführungsformen
  • Nachfolgend werden Ausführungsformen der Sicherheitsvorrichtung und des Fehlerdetektionsverfahrens gemäß der vorliegenden Erfindung im Detail unter Bezugnahme auf die Zeichnungen beschrieben. Es sollte angemerkt werden, dass die vorliegende Erfindung nicht auf diese Ausführungsformen beschränkt ist.
  • Erste Ausführungsform
  • 1 ist ein Diagramm, das ein System zeigt, das eine Sicherheitsvorrichtung einer ersten Ausführungsform gemäß der vorliegenden Erfindung verwendet. Wie im Diagramm gezeigt, ist die Sicherheitsvorrichtung 1 mit einer zu steuernden Vorrichtung 3, wie etwa einem Teil industrieller Ausrüstung, und einer Steuervorrichtung 2, die ein Steuersignal zum Steuern der zu steuernden Vorrichtung 3 an die zu steuernde Vorrichtung 3 sendet, verbunden.
  • Die zu steuernde Vorrichtung 3 beinhaltet eine Mehrzahl (hier zwei) Sensoren (erster Sensor 31 und zweiter Sensor 32) zum Überprüfen eines Sicherheitszustands. Spezifische Beispiele der Sensoren 31 und 32 beinhalten einen Lichtvorhang, der das Eindringen eines menschlichen Körpers oder dergleichen in einem mechanischen Antriebsabschnitt detektiert. In solch einem Fall erzeugt der Lichtvorhang eine AUS-Ausgabe, wenn die Unterbrechung des Lichts detektiert wird und erzeugt eine EIN-Ausgabe, wenn keine Unterbrechung detektiert wird (d. h., wenn das Eindringen eines menschlichen Körpers nicht detektiert wird). Aus anderen Beispielen der Sensoren 31 und 32 sei ein Türschalter genannt, der an einer Tür installiert ist, durch die hindurch ein menschlicher Körper Zugang zu einem mechanischen Antriebsabschnitt erlangen kann. In solch einem Fall erzeugt der Türschalter eine AUS-Ausgabe, wenn die Tür in einem offenen Zustand ist und erzeugt eine EIN-Ausgabe, wenn die Tür in einem geschlossenen Zustand ist (d. h. wenn das Eindringen eines menschlichen Körpers nicht detektiert wird). Mit anderen Worten sind die Sensoren 31 und 32 konfiguriert, eine EIN-Ausgabe zu erzeugen, wenn ein sicherer Zustand detektiert wird, und eine AUS-Ausgabe zu erzeugen, wenn ein sicherer Zustand nicht beobachtet werden kann. Die Ausgabesignale aus den Sensoren 31 und 32 werden beide an der Sicherheitsvorrichtung 1 eingegeben.
  • Die Sicherheitsvorrichtung 1 beinhaltet eine Betriebsfreigabe/Sperreinheit 11, welche bestimmt, ob der Betrieb der zu steuernden Vorrichtung 3 freizugeben oder zu sperren ist, basierend auf den Eingabesignalen aus den Sensoren 31 und 32, und eine Sensorfehlerdetektionseinheit 12, die gegebenenfalls einen Fehler irgendeines der Sensoren 31 und 32 detektiert. Das Bestimmungsergebnis der Betriebsfreigabe/Sperreinheit 11 wird über eine Betriebsfreigabe/Sperrsignalleitung an die Steuervorrichtung 2 gesendet. Das Ergebnis der Detektion eines Sensorfehlers durch die Sensorfehlerdetektionseinheit 12 wird über eine Sensorfehler-Detektionssignalleitung an die Steuervorrichtung 2 gesendet.
  • Die Steuervorrichtung 2 kann die zu steuernde Vorrichtung 3 dazu bringen, zu arbeiten, wenn ein Betrieb durch das Betriebsfreigabe/Sperrsignal freigegeben wird, und stoppt den Betrieb der zu steuernden Vorrichtung 3, wenn keine Freigabe erfolgt. Die Steuervorrichtung 2 stoppt auch den Betrieb der zu steuernden Vorrichtung 3, wenn ein Sensorfehler durch das Sensorfehler-Detektionssignal mitgeteilt wird. Wenn ein Sensorfehler mitgeteilt wird, kann die Steuervorrichtung 2 den Sensorfehler einem Anwender mitteilen.
  • 2 ist ein Diagramm, das ein Beispiel der Konfiguration der Sicherheitsvorrichtung 1 zeigt. In 2 sind X0 und X1 Eingangsanschlüsse für Sensorsignale aus den Sensoren 31 bzw. 32. Y0 und Y1 sind Ausgabeanschlüsse für das Betriebsfreigabe/Sperrsignal bzw. das Sensorfehler-Detektionssignal. Man nehme an, dass die Eingabesignale aus den Sensoren 31 und 32 EIN anzeigen, wenn sie in einem Hoch-(1)-Zustand sind, und AUS, wenn sie in einem Nieder-(0)-Zustand sind. Das Betriebsfreigabe/Sperrsignal zeigt einen Betriebsfreigabezustand an, wenn es in einem Hoch-(1)-Zustand ist, und einen Betriebssperrzustand, wenn es in einem Nieder-(0)-Zustand ist. Das Sensorfehler-Detektionssignal zeigt einen Sensorfehler-Detektionszustand an, wenn es in einem Hoch-(1)-Zustand ist, und einen Sensorfehler-Nichtdetektierzustand, wenn es in einem Nieder-(0)-Zustand ist.
  • Die Betriebsfreigabe/Sperreinheit 11 beinhaltet eine UND-Schaltung 110, eine UND-Schaltung 111 und einen Inverter 112. Die an X0 und X1 eingegebenen Eingangssignale (Sensoreingaben) werden an den entsprechenden Eingabeanschlüssen der UND-Schaltung 110 eingegeben. Das Operationsergebnis der UND-Schaltung 110 wird an einem der Eingabeanschlüsse der UND-Schaltung 111 eingegeben. Das Detektionsergebnis der Sensorfehlerdetektionseinheit 12 wird am anderen Anschluss der UND-Schaltung 111 über den Inverter 112 eingegeben. Das Operationsergebnis der UND-Schaltung 111 wird an die Steuervorrichtung 2 über den Anschluss Y0 ausgegeben. Mit anderen Worten ermöglicht die Betriebsfreigabe/Sperreinheit 11 den Betrieb der zu steuernden Vorrichtung 3, wenn sowohl die Sensoren 31 als auch 32 EIN-Ausgaben bereitstellen und die Sensorfehlerdetektionseinheit 12 keinen Sensorfehler detektiert. Die Betriebsfreigabe/Sperreinheit 11 sperrt den Betrieb der zu steuernden Vorrichtung 3, wenn zumindest einer der Sensoren 31 und 32 eine AUS-Ausgabe bereitstellt oder die Sensorfehlerdetektionseinheit 12 eines Sensorfehlers detektiert.
  • Die Sensorfehlerdetektionseinheit 12 beinhaltet eine UND-Schaltung 120, eine N-ODER-Schaltung 121, einen X-ODER-Schaltung 122, eine UND-Schaltung 123 (Sensorfehlerbestimmungseinheit) und eine Zwischenschaltung (Latch-Schaltung) 124. Die Sensoreingabe aus X0 und die Sensoreingabe aus X1 werden an den entsprechenden Eingabeanschlüssen jeder der UND-Schaltung 120, der N-ODER-Schaltung 121 und der X-ODER-Schaltung 123 eingegeben, die als eine Eingabesignal-Bestimmungseinheit fungieren, die feststellt, ob die Eingabesignale aus den Sensoren 31 und 32 alle in einem EIN-Zustand, alle in einem AUS-Zustand oder in einem inkonsistenten Zustand zwischen den Sensoren sind.
  • Die Zwischenschaltung 124 fungiert als eine erste Zwischenspeichereinheit, die eine Aufzeichnung der Bestimmung des inkonsistenten Zustands hält, wenn die Eingabesignale aus den Sensoren 31 und 32 als in einem inkonsistenten Zustand festgestellt werden, und die Aufzeichnung aufhebt, wenn alle Eingabesignale als in einem AUS-Zustand befindlich bestimmt werden. Spezifisch wird das Operationsergebnis der X-ODER-Schaltung 122 in der Zwischenschaltung 124 eingestellt. Der gehaltene Inhalt der X-ODER-Schaltung 122 wird durch das Operationsergebnis der N-ODER-Schaltung 121 rückgesetzt.
  • Das Operationsergebnis der UND-Schaltung 120 und der gehaltene Inhalt der Zwischenschaltung 124 werden an den jeweiligen Eingabeanschlüssen der UND-Schaltung 123 eingegeben. Das Operationsergebnis der UND-Schaltung 123 wird an die Betriebsfreigabe/Sperreinheit 11 als das Detektionsergebnis der Sensorfehlerdetektionseinheit 12 gesendet und wird über den Anschluss Y1 an die Steuervorrichtung 2 ausgegeben. Mit anderen Worten, wenn alle Eingabesignale als in einem EIN-Zustand befindlich festgestellt werden, bringt die UND-Schaltung 123 das Sensorfehler-Detektionssignal in einen Sensorfehler-Detektionszustand, falls die Zwischenschaltung 124 eine Aufzeichnung zur Bestimmung eines inkonsistenten Zustands hält. Die UND-Schaltung 123 bringt das Sensorsignal in einen Sensorfehler-Nichtdetektionszustand, falls die Zwischenschaltung 124 eine solche Aufzeichnung nicht hält.
  • Als Nächstes wird der Betrieb der Sicherheitsvorrichtung 1 unter Bezugnahme auf die 3 und 4 beschrieben. 3 ist ein Timing-Diagramm zum Erläutern eines Operationsmusters der Sicherheitsvorrichtung 1, wenn die Sicherheitsvorrichtung 1 keinen Sensorfehler detektiert. 3(a) und 3(b) zeigen Änderungen der Sensoreingaben an X0 bzw. X1; 3(c) zeigt Änderung der Ausgabe der X-ODER-Schaltung 122; 3(d) zeigt eine Änderung der Ausgabe der N-ODER-Schaltung 121; 3(e) zeigt eine Änderung der Ausgabe der Zwischenschaltung 124; 3(f) zeigt eine Änderung der Ausgabe der UND-Schaltung 120; 3(g) zeigt eine Änderung der Ausgabe aus Y1 (Sensorfehler-Detektionssignal) und 3(h) zeigt eine Änderung der Ausgabe aus Y0 (Betriebs-Freigabe-/Sperrsignal).
  • Wie in 3 gezeigt, wenn X0 sich von EIN zu AUS ändert, wobei X1 in einem EIN-Zustand zum Timing 1 im Diagramm ist, detektiert die X-ODER-Schaltung 122 eine Inkonsistenz zwischen X0 und X1 und ändert sich der Ausgabeanschluss der X-ODER-Schaltung 122 von Niedrig zu Hoch. Die Zwischenschaltung 124 verbleibt hoch. Zusätzlich ändert sich die Ausgabe der UND-Schaltung 120 von Hoch zu Niedrig und ändert sich das Betriebs-Freigabe-/Sperrsignal von einem Betriebfreigabezustand zu einem Betriebssperrzustand, basierend auf der Änderung der Eingabe aus der UND-Schaltung 120.
  • Wenn sich X1 zum Zeitpunkt 2 von EIN zu AUS ändert, verschwindet die Inkonsistenz zwischen X0 und X1 und die Ausgabe der X-ODER-Schaltung 122 ändert sich von Hoch zu Niedrig. Der Ausgabeanschluss der N-ODER-Schaltung 121 ändert sich von Niedrig zu Hoch. Die Zwischenschaltung 124 wird durch die Änderung rückgesetzt und der gehaltene Inhalt ändert sich von Hoch zu Niedrig.
  • Wenn X0 und X1 sich beide zum Zeitpunkt 3 von AUS zu EIN ändern, ändert sich die N-ODER-Schaltung 121 von Hoch zu Niedrig und ändert sich die UND-Schaltung 120 von Niedrig zu Hoch. In irgendeiner der Änderungen zum Zeitpunkt 1 bis 3 werden die zwei an die UND-Schaltung 123 eingegebenen Signale nicht simultan zu irgendeinem Zeitpunkt hoch. Daher bleibt das Sensorfehler-Detektionssignal niedrig, d. h. in einem Sensorfehler-Nicht-Detektionszustand, während Änderungen zu dem Zeitpunkt 1 bis 3. Zum Zeitpunkt 3 ist das Sensorfehler-Detektionssignal niedrig und X0 und X1 sind beide EIN, so dass sich das Betriebs-Freigabe-/Sperrsignal von einem Betriebssperrzustand zu einem Betriebsfreigabezustand ändert.
  • 4 ist ein Timing-Diagramm zum Erläutern eines Betriebsmusters der Sicherheitsvorrichtung 1, wenn die Sicherheitsvorrichtung 1 einen Sensorfehler entdeckt. 4(a) und 4(b) zeigen das Timing der Sensoreingaben an X0 bzw. X1; 4(c) zeigt das Timing der Ausgabe der X-ODER-Schaltung 122; 4(d) zeigt das Timing der Ausgabe der N-ODER-Schaltung 121; 4(e) zeigt das Timing der Ausgabe der Zwischenschaltung 124; 4(f) zeigt das Timing der Ausgabe der UND-Schaltung 120; 4(g) zeigt das Timing der Ausgabe aus Y1 (Sensorfehler-Detektionssignal); und 4(h) zeigt das Timing der Ausgabe aus Y0 (Betriebs-Freigabe-/Sperrsignal).
  • Wie in 4 gezeigt, wenn sich X0 von EIN zu AUS verändert, wobei X1 zum Zeitpunkt 1 im Diagramm in einem EIN-Zustand ist, ändert sich die Ausgabe der X-ODER-Schaltung 122 von Niedrig zu Hoch und wird die Zwischenschaltung 124 auf Hoch gesetzt, wie Zeitpunkt 1 von 3. Die Ausgabe der UND-Schaltung 120 ändert sich von Hoch zu Niedrig und das Betriebs-Freigabe-/Sperrsignal ändert sich von einem Betriebsfreigabezustand zu einem Betriebssperrzustand.
  • Als Nächstes, wenn sich X0 zum Zeitpunkt 2 von AUS zu EIN ändert, ändert sich die Ausgabe der X-ODER-Schaltung 120 von Hoch zu Niedrig und ändert sich die Ausgabe der UND-Schaltung 120 von Niedrig zu Hoch. Da der gehaltene Inhalt der Zwischenschaltung 124 nicht rückgesetzt wird, setzt die Zwischenschaltung 124 das Ausgeben von Hoch nach der Änderung zum Zeitpunkt 1 fort. Folglich werden die zwei Signale, die an die UND-Schaltung 123 eingegeben werden, beide hoch, so dass sich das Sensorfehler-Detektionssignal von Niedrig zu Hoch (Sensorfehler-Detektionszustand) ändert. Man beachte, dass, da das Sensorfehler-Detektionssignal hoch ist, sich das Betriebs-Freigabe-/Sperrsignal nicht zu hoch ändert (Betriebsfreigabezustand), selbst falls X0 und X1 beide zum Zeitpunkt 2 EIN werden.
  • Während die vorstehende Beschreibung den Fall behandelt hat, bei dem die Sicherheitsvorrichtung 1 die Eingaben aus den in der zu steuernden Vorrichtung 3 enthaltenen zwei Sensoren 31 und 32 akzeptiert, und bestimmt, ob ein Betrieb freizugeben oder zu sperren ist, und einen Sensorfehler, basiert auf den akzeptierten Eingaben detektiert, kann die zu steuernde Vorrichtung 3 drei oder mehr Sensoren enthalten, und kann basierend auf solchen Sensoreingaben, bestimmt werden ob ein Betrieb freizugeben oder zu sperren ist, und ein Sensorfehler detektiert werden. 5 ist ein Diagramm zum Erläutern eines Beispiels der Konfiguration einer Sicherheitsvorrichtung 1, die drei Eingangsanschlüsse für Sensoreingaben enthält. Sensoreingaben aus entsprechenden Sensoren werden an X0, X1 und X2 eingegeben. Die Sicherheitsvorrichtung 1 beinhaltet eine Inkonsistenz-Detektionsschaltung 125, welche Inkonsistenz zwischen den Sensoreingaben detektiert, anstelle der X-ODER-Schaltung 122. Die Eingabesignale aus den drei Sensoren werden an sowohl die UND-Schaltung 120, als auch die N-ODER-Schaltung 121, die Inkonsistenz-Detektionsschaltung 125 und die UND-Schaltung 110 eingegeben. Die Inkonsistenz-Detektionsschaltung 125 detektiert Inkonsistenz zwischen den drei Eingangssignalen und stellt das Detektionsergebnis in der Zwischenschaltung 124 ein.
  • Wie oben beschrieben, ist die erste Ausführungsform der vorliegenden Erfindung konfiguriert, zu beinhalten: die Zwischenschaltung 124, die eine inkonsistente Zustandsaufzeichnung hält, wenn die Eingabesignale aus der Mehrzahl von Sensoren in einem inkonsistenten Zustand sind, und die inkonsistente Zustandsaufzeichnung aufhebt, wenn die Eingabesignale aus der Mehrzahl von Sensoren alle in einem AUS-Zustand sind; und die UND-Schaltung 123, die eine Sensorfehlerbestimmung zu einem Zeitpunkt durchführt, wenn die Eingabesignale aus der Mehrzahl von Sensoren alle in einem EIN-Zustand sind, wobei die Sensorfehlerbestimmung das Bestimmen beinhaltet, dass zumindest einer aus der Mehrzahl von Sensoren ausgefallen ist, falls die Zwischenschaltung 124 die inkonsistente Zustandaufzeichnung hält, und das Bestimmen, dass keiner aus der Mehrzahl der Sensoren ausgefallen ist, falls die Zwischenschaltung 124 keine inkonsistente Zustandsaufzeichnung hält. Ein Sensorfehler kann somit detektiert werden, ohne die Notwendigkeit, eine Einstell-Zeit für die Fehlerdetektion einzustellen, wie bei dem konventionellen Fehlerdetektionsmittel, das eine Fehlerdetektion basierend auf der Dauer eines inkonsistenten Zustands durchführt. Mit anderen Worten kann gemäß der ersten Ausführungsform ein Sensorfehler leicht detektiert werden.
  • Zweite Ausführungsform
  • In der Konfiguration der ersten Ausführungsform, wenn sich alle Signale vom AUS-Zustand über einen inkonsistenten Zustand zu EIN ändern, gibt die Inkonsistenz-Detektionsschaltung (oder X-ODER-Schaltung) einen Sensorfehler-Detektionszustand aus, da alle Signale EIN werden, mit dem inkonsistenten Zustand detektiert. Die zweite Ausführungsform ist so konfiguriert, dass, wenn einmal alle Signale AUS werden, ein Sensorfehler-Detektionszustand nicht ausgegeben wird, selbst falls alle Signale über einen inkonsistenten Zustand zu EIN werden.
  • 6 ist ein Diagramm, das ein Beispiel der Konfiguration der zweiten Ausführungsform der Sicherheitsvorrichtung gemäß der vorliegenden Erfindung zeigt. Hier werden dieselben Komponenten wie jene der ersten Ausführungsform durch dieselben Bezugszeichen wie bei der ersten Ausführungsform bezeichnet und eine detaillierte Beschreibung derselben wird weggelassen.
  • Wie in 6 gezeigt, beinhaltet eine Sicherheitsvorrichtung 4 eine Betriebsfreigabe/Sperreinheit 11 und eine Sensorfehler-Detektionseinheit 13. Die Betriebsfreigabe/Sperreinheit 11 beinhaltet eine UND-Schaltung 110, eine UND-Schaltung 111 und einen Invertierer 112. Das Detektionsergebnis der Sensorfehler-Detektionseinheit 13 wird am Invertierer 112 eingegeben.
  • Die Sensorfehler-Detektionseinheit 13 beinhaltet eine UND-Schaltung 120, eine N-ODER-Schaltung 121, eine X-ODER-Schaltung 122, eine UND-Schaltung 123, eine Zwischenschaltung 124 und eine Zwischenschaltung 130. Die Zwischenschaltung 130 funktioniert als eine zweite Zwischenspeichereinheit, die einen AUS-Zustand zur Aufzeichnung hält, falls Eingabesignale aus Sensoren alle in einem AUS-Zustand sind und die AUS-Zustandsaufzeichnung aufhebt, falls die Eingabesignale alle in einem EIN-Zustand sind. Spezifisch wird das Operationsergebnis der N-ODER-Schaltung 121 in der Zwischenschaltung 130 eingestellt. Das eingestellte Operationsergebnis wird durch das Operationsergebnis der UND-Schaltung 120 rückgesetzt. Der gehaltene Inhalt der Zwischenschaltung 130 wird als Rücksetzeingabe an den rückgehaltenen Inhalt der Zwischenschaltung 124 verwendet.
  • 7 ist ein Timing-Diagramm zum Erläutern eines Betriebsmusters der Sicherheitsvorrichtung 4, wenn die Sicherheitsvorrichtung 4 einen Sensorfehler detektiert. 7(a) und 7(B) zeigen das Timing der Sensoreingabe an X0 bzw. X1; 7(c) zeigt das Timing der Ausgabe der X-ODER-Schaltung 122; 7(d) zeigt das Timing der Ausgabe der N-ODER-Schaltung 121; 7(e) zeigt das Timing der Ausgabe der Zwischenschaltung 130; 7(f) zeigt das Timing der Ausgabe der Zwischenschaltung 124; 7(g) zeigt das Timing der Ausgabe der UND-Schaltung 120; 7(h) zeigt das Timing der Ausgabe aus Y1 (Sensorfehler-Detektionssignal); und 7(i) zeigt das Timing der Ausgabe aus Y0 (Betriebs-Freigabe-/Sperrsignal).
  • Wie in 7 gezeigt, wenn sich X0 von EIN zu AUS verändert, wobei X1 im EIN-Zustand zum Zeitpunkt 1 im Diagramm ist, ändert sich die Ausgabe der X-ODER-Schaltung 122 von Niedrig zu Hoch. Die Zwischenschaltung 124 wird auf Hoch eingestellt, die Ausgabe der UND-Schaltung 120 ändert sich von Hoch zu Niedrig, das Betriebs-Freigabe-/Sperrsignal ändert sich von einem betriebsfreigegebenen Zustand zu einem betriebsgesperrten Zustand.
  • Als Nächstes, wenn sich X1 zum Zeitpunkt 2 von EIN zu AUS ändert, ändert sich die Ausgabe der X-ODER-Schaltung 120 von Hoch zu Niedrig und ändert sich die Ausgabe der N-ODER-Schaltung 121 von Niedrig zu Hoch. Die Zwischenschaltung 130 wird auf Hoch eingestellt, durch die Änderung der N-ODER-Schaltung 121. Dies setzt die Zwischenschaltung 124 zurück, um den gehaltenen Inhalt von Hoch zu Niedrig zu ändern. Es sollte angemerkt werden, dass die Zwischenschaltung 130 die Eingabe der Rücksetzeingabe an die Zwischenschaltung 124 solange fortsetzt, wie die Zwischenschaltung 130 hoch bleibt.
  • Als Nächstes, wenn X1 sich von AUS zu EIN ändert, wobei X zum Zeitpunkt 3 im AUS-Zustand ist, ändert sich die Ausgabe der X-ODER-Schaltung 122 von Niedrig zu Hoch und ändert sich die Ausgabe der N-ODER-Schaltung 121 von Hoch zu Niedrig. Die Zwischenschaltung 130 setzt das Halten auf Hoch selbst dann fort, wenn sich die Ausgabe der N-ODER-Schaltung 121 zum Zeitpunkt 3 von Hoch zu Niedrig ändert. Dies bedeutet, dass die Rücksetzeingabe weiter eingegeben wird und das Operationsergebnis der X-ODER-Schaltung 122, Hoch, wird daher nicht in der Zwischenschaltung 124 eingestellt.
  • Dann, wenn X0 sich zum Zeitpunkt 4 von AUS zu EIN ändert, ändert sich die Ausgabe der X-ODER-Schaltung 122 von Hoch zu Niedrig und ändert sich die Ausgabe der UND-Schaltung 120 von Niedrig zu Hoch. Da die Ausgabe der UND-Schaltung 121 hoch wird, wird der gehaltene Inhalt der Zwischenschaltung 130 von Hoch zu Niedrig rückgesetzt. In irgendeiner der Änderungen zu dem Zeitpunkt 1 bis 4 werden die zwei Signale, die an der UND-Schaltung 123 eingegeben werden, nicht simultan zu irgendeinem Zeitpunkt hoch. Das Sensorfehler-Detektionssignal bleibt daher durch die Änderung zu den Zeitpunkten 1 bis 3 hindurch niedrig. Zum Zeitpunkt 4, da das Sensorfehler-Detektionssignal niedrig ist und X0 und X1 beide EIN sind, ändert sich das Betriebs-Freigabe-/Sperrsignal von einem operationsgesperrten Zustand zu einem operationsfreigegebenen Zustand.
  • Übrigens gehen gemäß der ersten Ausführungsform die Sensoren 31 und 32 zum Zeitpunkt 3 in 3 in einen inkonsistenten Zustand über. Die Ausgabe der X-ODER-Schaltung 122 ändert sich daher zu Hoch und die Zwischenschaltung 124 wird auf Hoch eingestellt. Nachfolgend, wenn sich die UND-Schaltung 120 von Niedrig zu Hoch zum Zeitpunkt 4 ändert, werden die zwei an die UND-Schaltung 123 eingegebenen Signale hoch und beendet die UND-Schaltung 123 das Ausgeben eines Sensorfehler-Detektionszustandes.
  • Selbst in der zweiten Ausführungsform kann die zu steuernde Vorrichtung 3 drei oder mehr Sensoren beinhalten und kann die Sicherheitsvorrichtung 4 feststellen, ob ein Betrieb freizugeben oder zu sperren ist und einen Sensorfehler basierend auf den Ausgaben solcher Sensoren detektieren. 8 ist ein Diagramm zum Erläutern eines Beispiels der Konfiguration einer Sicherheitsvorrichtung 1, die Eingabeanschlüsse für drei Sensoren beinhaltet. Wie im Diagramm gezeigt, beinhaltet die Sicherheitsvorrichtung 4 eine Inkonsistenz-Detektionsschaltung 131 anstelle der X-ODER-Schaltung 122. Die Inkonsistenz-Detektionsschaltung 131 detektiert Inkonsistenz zwischen den Signalen X0 bis X2.
  • Wie oben beschrieben worden ist, wird gemäß der zweiten Ausführungsform auch die Zwischenschaltung 130 vorgesehen, die eine AUS-Zustand-Aufzeichnung hält, falls die Eingabesignale aus der Mehrzahl von Sensoren alle in einem AUS-Zustand sind, und die AUS-Zustands-Aufzeichnung aufhebt, wenn die Eingabesignale alle in einem EIN-Zustand sind. Die Zwischenschaltung 130 ist dafür konfiguriert, eine Rücksetzeingabe zum Aufheben einer inkonsistenten Zustandsaufzeichnung an der Zwischenschaltung 124 einzugeben, wenn die Zwischenschaltung 130 die AUS-Zustands-Aufzeichnung enthält. Ein Sensorfehler kann somit leicht detektiert werden. Es ist auch möglich, eine Bestimmung eines Sensorfehlers zu vermeiden, wenn alle Signale sich von einem AUS-Zustand über einen inkonsistenten Zustand zu EIN ändern.
  • Dritte Ausführungsform
  • 9 ist ein Diagramm, das ein Beispiel der Konfiguration einer Sicherheitsvorrichtung gemäß einer dritten Ausführungsform zeigt. Wie im Diagramm gezeigt, beinhaltet eine Sicherheitsvorrichtung 5 eine Betriebsfreigabe/Sperreinheit 11 und eine Sensorfehler-Detektionseinheit 14. Die Betriebsfreigabe/Sperreinheit 11 beinhaltet eine UND-Schaltung 110, eine UND-Schaltung 111 und einen Invertierer 112. Das Detektionsergebnis der Sensorfehler-Detektionseinheit 14 wird am Invertierer 112 eingegeben.
  • Die Sensorfehler-Detektionseinheit 14 beinhaltet eine UND-Schaltung 120, eine N-ODER-Schaltung 121, eine X-ODER-Schaltung 122, eine UND-Schaltung 123, eine nicht-flüchtige Zwischenschaltung 140 und eine nicht-flüchtige Zwischenschaltung 141. Das Operationsergebnis der X-ODER-Schaltung 122 wird in der Zwischenschaltung 140 eingestellt, die durch das Operationsergebnis der N-ODER-Schaltung 121 rückgesetzt wird. Das Operationsergebnis der UND-Schaltung 120 und der gehaltene Inhalt der Zwischenschaltung 140 werden an entsprechenden Eingabeanschlüssen der UND-Schaltung 123 eingegeben, die ihr Operationsergebnis in der Zwischenschaltung 141 einstellt. Die Zwischenschaltung 141 gibt den gehaltenen Inhalt als ein Sensorfehler-Detektionssignal aus. Die Sicherheitsvorrichtung 5 beinhaltet einen Anschluss X2, an den ein Signal zum Rücksetzen des gehaltenen Inhalts der Zwischenschaltung 141 eingegeben wird. Wenn einmal die Zwischenschaltung 141 einen Sensorfehler-Detektionszustand hält, setzt die Zwischenschaltung 141 das Halten des gehaltenen Inhalts fort, bis eine Rücksetzeingabe von außen eingegeben wird (beispielsweise die Steuervorrichtung 2).
  • Selbst in der dritten Ausführungsform, wie in der ersten Ausführungsform, kann die Sicherheitsvorrichtung 5 konfiguriert sein, festzustellen, ob ein Betrieb freizugeben oder zu sperren ist, und einen Sensorfehler basierend auf den Ausgaben von drei oder mehr Sensoren zu detektieren.
  • Wie oben beschrieben, wird gemäß der dritten Ausführungsform das Detektionsergebnis eines inkonsistenten Zustands in der nicht-flüchtigen Zwischenschaltung 140 eingestellt und wird das Sensorfehler-Detektionssignal in der nicht-flüchtigen Zwischenschaltung 141 eingestellt. Die Zwischenschaltung 140 kann somit Hoch weiter halten, selbst falls eine Stromversorgung ausgeschaltet ist, beispielsweise zwischen dem Zeitpunkt 1 und dem Zeitpunkt 2 in 4. Die Zwischenschaltung 141 kann einen Betriebssperrzustand kontinuierlich aufrechterhalten, selbst falls die Stromversorgung zum Zeitpunkt 2 abgeschaltet wird. Mit anderen Worten kann gemäß der dritten Ausführungsform, selbst wenn die Stromversorgung ausgeschaltet ist, und die Stromversorgung wieder eingeschaltet ist, ein Betrieb mit demselben Zustand wie vor dem Abschalten gestartet werden. Zusätzlich zu denselben Effekten wie jenen der ersten Ausführungsform wird somit der Effekt bereitgestellt, dass verhindert wird, dass ein Sensorfehler aufgrund des Stromausschaltens übersehen wird.
  • Vierte Ausführungsform
  • 10 ist ein Diagramm, das ein Beispiel der Konfiguration einer Sicherheitsvorrichtung gemäß einer vierten Ausführungsform zeigt. Wie im Diagramm gezeigt, beinhaltet die Sicherheitsvorrichtung 6 eine Betriebsfreigabe/Sperreinheit 11 und eine Sensorfehler-Detektionseinheit 15. Die Betriebsfreigabe/Sperreinheit 11 beinhaltet eine UND-Schaltung 110, eine UND-Schaltung 111, und einen Invertierer 112. Das Detektionsergebnis der Sensorfehler-Detektionseinheit 15 wird am Invertierer 112 eingegeben.
  • Die Sensorfehler-Detektionseinheit 15 beinhaltet eine UND-Schaltung 120, eine N-ODER-Schaltung 121, eine X-ODER-Schaltung 122, eine UND-Schaltung 123, eine nicht-flüchtige Zwischenschaltung 150, eine nicht-flüchtige Zwischenschaltung 151 und eine nicht-flüchtige Zwischenschaltung 152. Das Operationsergebnis der N-ODER-Schaltung 121 wird in der Zwischenschaltung 150 gesetzt, die durch das Operationsergebnis der UND-Schaltung 120 rückgesetzt wird. Der gehaltene Inhalt der Zwischenschaltung 150 wird als eine Rücksetzeingabe für den gehaltenen Inhalt der Zwischenschaltung 151 verwendet.
  • Das Operationsergebnis der UND-Schaltung 120 und der gehaltene Inhalt der Zwischenschaltung 151 werden an den jeweiligen Eingangsanschlüssen der UND-Schaltung 123 eingegeben, die ihr Operationsergebnis in der Zwischenschaltung 152 gesetzt. Die Zwischenschaltung 152 gibt den gehaltenen Inhalt als ein Sensorfehler-Detektionssignal aus. Die Sicherheitsvorrichtung 6 beinhaltet auch einen Anschluss X2, an dem ein Signal zum Rücksetzen des gehaltenen Inhalts der Zwischenschaltung 152 eingegeben wird. Wenn einmal die Zwischenschaltung 152 einen Sensorfehler-Detektionszustand hält, setzt die Zwischenschaltung 152 das Halten des gehaltenen Inhalts fort, bis eine rückgesetzte Eingabe von außerhalb eingegeben wird.
  • Selbst in der vierten Ausführungsform, wie in der zweiten Ausführungsform, kann die Sicherheitsvorrichtung 6 konfiguriert sein, festzustellen, ob ein Betrieb freizugeben oder zu sperren ist, und einen Sensorfehler basierend auf den Ausgaben von drei oder mehr Sensoren zu detektieren.
  • Wie oben beschrieben, sind gemäß der vierten Ausführungsform die gehaltenen Inhalte der Zwischenschaltungen 150, 151 und 152 nicht-flüchtig gemacht. Zusätzlich zu den Effekten der zweiten Ausführungsform wird somit der Effekt bereitgestellt, zu verhindern, dass ein Sensorfehler aufgrund eines Ausschaltens übersehen wird.
  • Fünfte Ausführungsform
  • Die Sicherheitsvorrichtungen der ersten bis vierten Ausführungsformen detektieren einen Sensorfehler zu einem Zeitpunkt, wenn alle Signale in einem EIN-Zustand sind. Die fünfte Ausführungsform ist dadurch gekennzeichnet, dass ein Sensorfehler zu einem beliebigen Zeitpunkt detektiert werden kann, zusätzlich zu dem Zeitpunkt, wenn alle Signale in einem EIN-Zustand sind.
  • 11 ist ein Diagramm, das ein Beispiel der Konfiguration einer Sicherheitsvorrichtung gemäß der fünften Ausführungsform zeigt. Wie im Diagramm gezeigt, beinhaltet die Sicherheitsvorrichtung 7 eine Betriebsfreigabe/Sperreinheit 11 und eine Sensorfehler-Detektionseinheit 16. Die Betriebsfreigabe/Sperreinheit 11 beinhaltet eine UND-Schaltung 110, eine UND-Schaltung 111 und einen Invertierer 112. Das Detektionsergebnis der Sensorfehler-Detektionseinheit 16 wird am Invertierer 112 eingegeben.
  • Die Sensorfehler-Detektionseinheit 16 beinhaltet eine UND-Schaltung 120, eine N-ODER-Schaltung 121, eine X-ODER-Schaltung 122, eine UND-Schaltung 123, eine Zwischenschaltung 124, eine Zwischenschaltung 130, eine externe Auslöser-Detektionseinheit 160, eine UND-Schaltung 161 und eine ODER-Schaltung 162.
  • Die externe Auslöser-Detektionseinheit 160 überwacht eine Auslösereingabe von außerhalb. Beispielsweise kann die Auslösereingabe eine Eingabe aus einem Schalter zum Erzeugen des Auslösers sein. Die externe Auslöser-Dateneinheit 160 kann die Stromversorgungen der Steuervorrichtungen 2 und der zu steuernden Vorrichtung 3 überwachen und das Ausschalten der überwachten Vorrichtungen als einen externen Auslöser verwenden. Der gehaltene Inhalt der Zwischenschaltung 124 und der Detektionsinhalt der externen Auslöser-Detektionseinheit 160 werden an den Eingangsanschlüssen der UND-Schaltung 161 eingegeben. Das Operationsergebnis der UND-Schaltung 123 und das Operationsergebnis der UND-Schaltung 161 werden an den Eingangsanschlüssen der ODER-Schaltung 162 eingegeben, die ihr Operationsergebnis als ein Sensorfehler-Detektionssignal ausgibt.
  • Mit einer solchen Konfiguration, wenn die Zwischenschaltung 124 hoch wird, während die externe Auslöser-Detektionseinheit 160 ein Auslöser-EIN-Schalten detektiert, werden die zwei an der UND-Schaltung 161 eingegebenen Signale beide hoch. Hier ändert sich die Ausgabe der ODER-Schaltung 162 von Niedrig zu Hoch, unabhängig von Operationsergebnis der UND-Schaltung 123. Das heißt, dass gemäß der fünften Ausführungsform ein Sensorfehler zu einem beliebigen Zeitpunkt zusätzlich zu dem Zeitpunkt detektiert werden kann, wenn alle Signale in einem EIN-Zustand sind.
  • Während die Sicherheitsvorrichtung 7 konfiguriert ist, die externe Auslöser-Detektionseinheit 160, die UND-Schaltung 161 und die ODER-Schaltung 162 zusätzlich zur Konfiguration der zweiten Ausführungsform zu beinhalten, können die drei Komponenten zur Konfiguration der ersten Ausführungsform hinzugefügt werden.
  • Sechste Ausführungsform
  • Die Sicherheitsvorrichtungen der ersten bis vierten Ausführungsformen detektieren einen Sensorfehler zu einem Zeitpunkt, wenn alle Signale EIN werden. In der sechsten Ausführungsform wird ein Sensorfehler als vorhanden bestimmt, falls ein Zustand, bei dem alle Signale AUS sind, sich zu einem inkonsistenten Zustand ändert, und der inkonsistente Zustand eine gegebene Zeit länger oder mehr andauert.
  • 12 ist ein Diagramm, das ein Beispiel der Konfiguration einer Sicherheitsvorrichtung gemäß der sechsten Ausführungsform zeigt. Wie im Diagramm gezeigt, beinhaltet die Sicherheitsvorrichtung 8 eine Betriebsfreigabe/Sperreinheit 11 und eine Sensorfehler-Detektionseinheit 17. Die Betriebsfreigabe/Sperreinheit 11 beinhaltet eine UND-Schaltung 110, eine UND-Schaltung 111 und einen Invertierer 112. Das Detektionsergebnis der Sensorfehler-Detektionseinheit 17 wird am Invertierer 112 eingegeben.
  • Die Sensorfehler-Detektionseinheit 17 beinhaltet eine UND-Schaltung 120, eine N-ODER-Schaltung 121, eine X-ODER-Schaltung 122, eine UND-Schaltung 123, eine Zwischenschaltung 124, eine Zwischenschaltung 130, eine ODER-Schaltung 170, einen Timer 171, eine UND-Schaltung 172 und eine ODER-Schaltung 173.
  • Die Operationsergebnisse der UND-Schaltung 120 und der N-ODER-Schaltung 121 werden an entsprechenden Eingangsanschlüssen der ODER-Schaltung 170 eingegeben. Der Timer 171 zählt beim Starten bis zu einer eingestellten Zeit zum Bestimmen eines Sensorfehlers hinauf. Der Timer 171 startet das Zählen basierend auf dem Operationsergebnis der X-ODER-Schaltung 122 und setzt die Zählung basierend auf dem Operationsergebnis der ODER-Schaltung 170 zurück. Der gehaltene Inhalt der Zwischenschaltung 124 und das Zählergebnis des Timers 171 werden an den Eingangsanschlüssen der UND-Schaltung 172 eingegeben. Das Operationsergebnis der UND-Schaltung 123 und das Operationsergebnis der UND-Schaltung 172 werden an den Eingangsanschlüssen der ODER-Schaltung 173 eingegeben, die ihr Operationsergebnis als ein Sensorfehler-Detektionssignal ausgibt.
  • In einer solchen Konfiguration, wenn alle Signale AUS werden und dann sich zu einem inkonsistenten Zustand ändern und der inkonsistente Zustand den im Timer 171 eingestellten, eingestellten Zeitraum lang andauert, wird ein Sensorfehler-Detektionszustand mit dem Verstreichen von Zeit als einem Auslöser ausgegeben.
  • Selbst in der sechsten Ausführungsform, wie in der zweiten Ausführungsform, kann die Sicherheitsvorrichtung 8 dafür konfiguriert sein, festzustellen, ob ein Betrieb freizugeben oder zu sperren ist, und einen Sensorfehler basierend auf den Ausgaben von drei oder mehr Sensoren zu detektieren.
  • Wie oben beschrieben, ist gemäß der sechsten Ausführungsform weiterhin der Zähler 171, der eine vorgegebene eingestellte Zeit zählt, vorgesehen, wobei der Zähler 171 das Zählen startet, wenn die Eingabesignale aus den Sensoren als in einem inkonsistenten Zustand befindlich bestimmt werden, und das Zählen rücksetzt, wenn die Eingabesignale aus den Sensoren alle in einem EIN-Zustand sind und wenn alle in einem AUS-Zustand sind. Ein Sensorfehler-Detektionssignal wird in einen Sensorfehler-Detektionszustand gebracht, falls die Zwischenschaltung 124 zumindest entweder zu einem Zeitpunkt, wenn alle Eingabesignale aus den Sensoren in einen EIN-Zustand kommen, oder wenn der Timer 171 bis zur eingestellten Zeit heraufgezählt hat, Hoch ist. Bei einer solchen Konfiguration wird zusätzlich zu den Effekten der zweiten Ausführungsform der Effekt bereitgestellt, dass: selbst falls irgendeiner der Sensoren in einem EIN-Zustand ausgefallen ist, wenn ein Zustand, bei dem beide Sensoren in einem AUS-Zustand sein sollten, lange Zeit andauert, wie zwischen Zeitpunkt 1 und Zeitpunkt 2 in 7, die eingestellte Zeit des Timers 171 angemessen eingestellt werden kann, um den Fehler zu detektieren, bevor die Sensoren beide in einen EIN-Zustand gehen.
  • Maskenschaltungen, die von außen betreibbar sind, können zwischen der UND-Schaltung 172 und der ODER-Schaltung 173 bzw. zwischen der UND-Schaltung 123 und der ODER-Schaltung 173 zwischengefügt sein, so dass die Operationsergebnisse der UND-Schaltung 172 und der UND-Schaltung 123 maskiert werden können. Mit einer solchen Konfiguration können die Maskenschaltungen betrieben werden, um umzuschalten, sei es, die Fehlerdetektion zu einem Zeitpunkt, wenn beide in einem EIN-Zustand übergehen, durchzuführen, Detektion zu einem Zeitpunkt, wenn die eingestellte Zeit des Timers 171 verstrichen ist, durchzuführen, oder Fehlerdetektion zu beiden Zeitpunkten durchzuführen.
  • Während die Sicherheitsvorrichtung 8 konfiguriert ist, die ODER-Schaltung 170, den Timer 171, die UND-Schaltung 172 und die ODER-Schaltung 173 zusätzlich zur Konfiguration der zweiten Ausführungsform zu enthalten, können die vier Komponenten der Konfiguration der ersten Ausführungsform hinzugefügt werden.
  • Siebte Ausführungsform
  • Die Funktion der in der ersten Ausführungsform beschriebenen Sensorfehler-Detektionseinheit kann durch Software implementiert sein. Die siebte Ausführungsform beschäftigt sich mit einem Fall, bei dem der Betrieb der Sensorfehler-Detektionseinheit der ersten Ausführungsform durch Software implementiert ist.
  • 13 ist ein Diagramm, das ein Beispiel der Konfiguration einer Sicherheitsvorrichtung gemäß der siebten Ausführungsform zeigt. Wie im Diagramm gezeigt, beinhaltet die Sicherheitsvorrichtung 9 eine Betriebsfreigabe/Sperreinheit 11 und eine Sensorfehler-Detektionseinheit 18. Die Betriebsfreigabe/Sperreinheit 11 beinhaltet eine UND-Schaltung 110, eine UND-Schaltung 111 und einen Invertierer 112. Das Detektionsergebnis der Sensorfehler-Detektionseinheit 18 wird am Invertierer 112 eingegeben.
  • Es werden Sensoreingaben aus den Sensoren 31 und 32 an der Sensorfehler-Detektionseinheit 18 eingegeben. Die Sensorfehler-Detektionseinheit 18 detektiert einen Fehler eines der Sensoren 31 und 32, basierend auf den Sensoreingaben, und gibt das Detektionsergebnis als ein Sensorfehler-Detektionssignal aus. Die Sensorfehler-Detektionseinheit 18 weist dieselbe Konfiguration wie jede eines üblichen Computers auf, beinhaltend eine CPU 180, ein ROM 181, ein RAM 182 und einen E/A-Anschluss 183. Die CPU 180, das ROM 181, das RAM 182 und der E/A-Anschluss 183 sind miteinander über einen Bus verbunden.
  • Der E/A-Anschluss 183 ist eine Verbindungsschnittstelle zum Akzeptieren der Eingabe der zwei Sensoreingaben und Ausgeben des Sensorfehler-Detektionssignal. Das ROM 181 enthält ein Sensorfehler-Detektionsprogramm 184, das ein Programm zum Detektieren eines Sensorfehlers ist. Das Sensorfehler-Detektionsprogramm 184 wird an das RAM 182 gesendet und in den Programmladebereich des RAM 182 geladen, wenn die Sicherheitsvorrichtung 9 gestartet wird. Die CPU 180 führt das in das RAM 182 geladene Sensorfehler-Detektionsprogramm 184 aus, um die Funktion der Sensorfehler-Detektionseinheit 19 zu implementieren.
  • 14 ist ein Diagramm zum Erläutern der funktionalen Konfiguration der Sensorfehler-Detektionseinheit 18. Wie im Diagramm gezeigt, beinhaltet die Sensorfehler-Detektionseinheit 18: eine Inkonsistent-Zustandsaufzeichnungsvariablen-Speichereinheit 185, die eine Inkonsistentzustands-Aufzeichnungsvariable enthält; eine Eingabesignal-Bestimmungseinheit 186, die bestimmt, ob die Eingabesignale aus den zwei Sensoren in einem inkonsistenten Zustand sind, beide in einem EIN-Zustand sind oder beide in einem AUS-Zustand sind; eine variable Operationseinheit 187, die die inkonsistente Zustandsaufzeichnungsvariable basierend auf einem Bestimmungsergebnis der Eingabesignal-Bestimmungseinheit 186 betreibt; und eine Fehlerdetektions-Bestimmungseinheit 188, die bestimmt, ob die Sensoren 31 und 32 ausgefallen sind, basierend auf der Inkonsistentzustands-Aufzeichnungsvariable, falls die Eingabesignal-Bestimmungseinheit 186 feststellt, dass die Sensoreingaben beide in einem EIN-Zustand sind. Die Inkonsistentzustands-Aufzeichnungsvariablen-Speichereinheit 185 ist beispielsweise im RAM 182 oder einem in der CPU 180 enthaltenen Register reserviert.
  • Es sollte erkannt werden, dass die Inkonsistentzustands-Aufzeichnungsvariable den gehaltenen Inhalt der Zwischenschaltung 124 in der Sicherheitsvorrichtung 1 der ersten Ausführungsform entspricht.
  • 15 ist ein Flussdiagramm zum Erläutern eines Fehlerdetektionsverfahrens, das durch die Sensorfehler-Detektionseinheit 18 implementiert ist. Wie im Flussdiagramm gezeigt, wenn ein Betrieb gestartet wird, stellt anfangs die Fehlerdetektions-Bestimmungseinheit 188 das Sensorfehler-Detektionssignal auf einen Sensorfehler-Nicht-Detektionszustand (V1 = 0) ein (Schritt S1). Die Variabelbetriebseinheit 187 macht die Inkonsistent-Zustands-Aufzeichnungsvariable (w_diff) = 0 (Schritt S2). Die Eingabesignal-Bestimmungseinheit 186 ermittelt (tastet ab) die Sensoreingaben, die an X0 und X1 eingegeben sind (Schritt S3).
  • Die Eingabesignal-Bestimmungseinheit 186 bestimmt, ob das Exklusiv-ODER des an X0 eingegebenen Signals und das an X1 eingegebene Signal, ermittelt, 1 ist (d. h. dass die Sensoreingaben beide in einem inkonsistenten Zustand sind) (Schritt S4). Falls das Exklusiv-ODER der zwei Signale 1 ist (Schritt S4, Ja), macht die variable Betriebseinheit 187 w_diff = 1 (Schritt S5) und schreitet zu Schritt S3 fort.
  • Falls das exklusive ODER der zwei Signale nicht 1 ist (Schritt S4, Nein), bestimmt die Eingabesignal-Bestimmungseinheit 186 weiterhin, ob die Umkehrung des logischen ODERs der zwei Signale 1 ist (d. h. ein Doppelt-AUS-Zustand) (Schritt S6). Falls die Inversion des logischen ODERs der zwei Signale 1 ist (Schritt S6, Ja), macht die variable Operationseinheit 187 w_diff = 0 (Schritt S7) und schreitet zu Schritt S3 fort.
  • Falls die Inversion des logischen ODER der zwei Signale nicht 1 ist (Schritt S6, Nein), sind die zwei Sensoreingaben in einem Beide-EIN-Zustand. Die Fehlerdetektions-Bestimmungseinheit 188 bestimmt, ob w_diff = 0 (Schritt S8). Falls w_diff nicht gleich 0 ist (Schritt S8, Nein), setzt die Fehlerdetektions-Bestimmungseinheit 188 Y1 = 1 (Sensorfehler-Detektionszustand) (Schritt S9). Falls w_diff = 0 (Schritt S8, Ja), schreitet die Fehlerdetektions-Bestimmungseinheit 188 zu Schritt S3 fort.
  • In der vorstehenden Beschreibung kann die Betriebsfreigabe/Sperreinheit 11 auch als ein Computer konfiguriert sein und kann der Betrieb der Betriebsfreigabe/Sperreinheit 11 durch Ausführen eines Programms implementiert werden. Das Programm zum Implementieren des Betriebs der Betriebsfreigabe/Sperreinheit 11 und das Sensorfehler-Detektionsprogramm 184 können auf demselben Computer laufen.
  • Selbst in der siebten Ausführungsform, wie der ersten Ausführungsform, kann die Sicherheitsvorrichtung 9 konfiguriert sein, um festzustellen, ob ein Betrieb freizugeben oder zu sperren ist, und einen Sensorfehler basierend auf den Ausgaben von drei oder mehr Sensoren detektieren.
  • Wie oben beschrieben, werden Eingabesignale aus einer Mehrzahl von Sensoren erfasst (Schritt S3) und wird festgestellt, ob die Eingabesignale alle in einem EIN-Zustand sind, alle in einem AUS-Zustand, oder in einem inkonsistenten Zustand (Schritt S4, Schritt S6). Falls das Bestimmungsergebnis einen inkonsistenten Zustand anzeigt, wird w_diff auf 1 eingestellt (Schritt S5). Falls das Bestimmungsergebnis anzeigt, dass alle in einem AUS-Zustand sind, wird w_diff auf 0 eingestellt (Schritt S7). Falls das Bestimmungsergebnis anzeigt, dass alle ein einem EIN-Zustand sind und wenn w_diff = 0, wird festgestellt, dass zumindest einer der Mehrzahl von Sensoren ausgefallen ist (Schritt S9). Mit einer solchen Konfiguration kann ein Sensorfehler leicht detektiert werden, ähnlich der ersten Ausführungsform.
  • Achte Ausführungsform
  • Die achte Ausführungsform beschäftigt sich mit einem Fall, bei dem die Funktion der in der zweiten Ausführungsform beschriebenen Sensorfehler-Detektionseinheit durch Software implementiert wird.
  • 16 ist ein Diagramm, das ein Beispiel der Konfiguration einer Sicherheitsvorrichtung gemäß der achten Ausführungsform zeigt. Wie im Programm gezeigt, beinhaltet die Sicherheitsvorrichtung 10 eine Betriebsfreigabe/Sperreinheit 11 und eine Sensorfehler-Detektionseinheit 19. Die Betriebsfreigabe/Sperreinheit 11 beinhaltet eine UND-Schaltung 110, eine UND-Schaltung 111 und einen Invertierer 112. Das Detektionsergebnis der Sensorfehler-Detektionseinheit 19 wird am Invertierer 112 eingegeben.
  • Sensoreingaben aus den Sensoren 31 und 32 werden an der Sensorfehler-Detektionseinheit 19 eingegeben. Die Sensorfehler-Detektionseinheit 19 detektiert einen Fehler irgendeines der Sensoren 31 und 32, basierend auf den Sensoreingaben und gibt das Detektionsergebnis als ein Sensorfehler-Detektionssignal aus. Die Sensorfehler-Detektionseinheit 19 hat dieselbe Konfiguration wie diejenige eines normalen Computers, einschließlich einer CPU 190, eines ROM 191, eines RAM 192 und eines E/A-Anschlusses 193. Die CPU 190, das ROM 191, das RAM 192 und der E/A-Anschluss 193 sind miteinander über einen Bus verbunden.
  • Der E/A-Anschluss 193 ist eine Verbindungsschnittstelle zum Akzeptieren der Eingabe der zwei Sensoreingaben und Ausgeben des Sensorfehler-Detektionssignal. Das ROM 191 enthält ein Sensorfehler-Detektionsprogramm 194, das ein Programm zum Detektieren eines Sensorfehlers ist. Das Sensorfehler-Detektionsprogramm 194 wird an das RAM 192 gesendet und in den Programmladebereich des RAM 192 geladen, wenn die Sicherheitsvorrichtung 9 gestartet wird. Die CPU 190 führt das in das RAM 192 geladene Sensorfehler-Detektionsprogramm 194 aus, um die Funktion der Sensorfehler-Detektionseinheit 19 zu implementieren.
  • 17 ist ein Diagramm zum Erläutern der funktionalen Konfiguration der Sensorfehler-Detektionseinheit 19. Wie im Diagramm gezeigt, beinhaltet die Sensorfehler-Detektionseinheit 19: eine Inkonsistent-Zustandsaufzeichnungsvariablen-Speichereinheit 195, die eine Inkonsistentzustands-Aufzeichnungsvariable enthält; eine Beide-Aus-Zustands-Aufzeichnungsvariablen-Speichereinheit 196, die eine Beide-Aus-Zustands-Aufzeichnungsvariable enthält; eine Eingabesignal-Bestimmungseinheit 197, die bestimmt, ob die Eingabesignale aus den zwei Sensoren in einem inkonsistenten Zustand sind, beide in einem EIN-Zustand sind oder beide in einem AUS-Zustand sind; eine variable Operationseinheit 198, die die inkonsistente Zustandsaufzeichnungsvariable und die Beide-Aus-Zustands-Aufzeichnungsvariable basierend auf einem Bestimmungsergebnis der Eingabesignal-Bestimmungseinheit 196 betreibt; und eine Fehlerdetektions-Bestimmungseinheit 198, die bestimmt, ob die Sensoren 31 und 32 ausgefallen sind, basierend auf der Inkonsistentzustands-Aufzeichnungsvariable, falls die Eingabesignal-Bestimmungseinheit 196 feststellt, dass die Sensoreingaben beide in einem EIN-Zustand sind. Die Inkonsistentzustands-Aufzeichnungsvariablen-Speichereinheit 195 und die Beide-Aus-Zustands-Aufzeichnungsvariablen-Speichereinheit 196 sind beispielsweise im RAM 192 oder einem in der CPU 190 enthaltenen Register reserviert.
  • 18 ist ein Zustandsdiagramm zum Erläutern des Betriebs der Sensorfehler-Detektionseinheit 19. Wie im Diagramm gezeigt, können drei Zustände (ein Beide-EIN-Zustand w_diff = 0 und w_off = 0), ein Beide-AUS-Zustand oder inkonsistenter Zustand 1 (w_diff = 0 und w_off = 1) und ein inkonsistenter Zustand 2 ((w_diff = 1 und w_off = 0) anhand entsprechender Kombinationen der Werte der inkonsistenten Zustandsaufzeichnungsvariable (w_diff) und der Beide-AUS-Zustandsaufzeichnungsvariable (w_off) unterschieden werden. Hier bezieht sich der inkonsistente Zustand 1 auf einen inkonsistenten Zustand, der sich vom Beide-AUS-Zustand ändert. Der inkonsistente Zustand 2 bezieht sich auf einen von dem Beide-EIN-Zustand geänderten inkonsistenten Zustand. Die variable Betriebseinheit 198 betreibt die zwei Variablen, basierend auf dem Bestimmungsergebnis der Eingabesignal-Bestimmungseinheit 197. Mit anderen Worten steuert die variable Betriebseinheit 198 die Übergänge zwischen den vorstehenden drei Zuständen, die in 18 gezeigt sind. Die Fehlerdetektions-Bestimmungseinheit 199 stellt das Sensorfehler-Detektionssignal auf einen Sensorfehler-Detektionszustand ein, falls die Eingabesignal-Bestimmungseinheit 197 den Beide-EIN-Zustand als existent bestimmt, wenn der Zustand der inkonsistente Zustand 2 ist.
  • Man beachte, dass die Inkonsistent-Zustands-Aufzeichnungsvariable dem gehaltenen Inhalt der Zwischenschaltung 124 in der Sicherheitsvorrichtung 4 gemäß der zweiten Ausführungsform entspricht. Die Beide-AUS-Zustands-Aufzeichnungsvariable entspricht dem gehaltenen Inhalt der Zwischenschaltung 130 in der Sicherheitsvorrichtung 4 der zweiten Ausführungsform.
  • 19 ist ein Flussdiagramm zum Erläutern eines Fehlerdetekionsverfahrens, das durch die Sensorfehler-Detektionseinheit 19 implementiert ist. Wie im Flussdiagramm gezeigt, wenn ein Betrieb gestartet wird, setzt die Fehlerdetektions-Bestimmungseinheit 199 anfangs das Sensorfehler-Detektionssignal auf einen Sensorfehler-Nichtdektionszustand (Y1 = 0) (Schritt S11). Die variable Operationseinheit 198 macht w_diff = 0 und w_off = 0 (Schritt S12). Die Eingabesignal-Bestimmungseinheit 197 erfasst (tastet ab) dann die an X0 und X1 eingegebenen Sensoreingaben (Schritt S13).
  • Die Eingabesignal-Bestimmungseinheit 197 bestimmt, ob das exklusive ODER der Signaleingabe an X0 und das an X1 eingegebene Signal erfasst 1 ist (d. h. die Sensoreingaben sind beide in einem inkonsistenten Zustand) (Schritt S14). Falls das exklusive ODER der zwei Signale 1 ist (Schritt S14, Ja), bestimmt die variable Betriebseinheit 198, ob w_off = 0 (Schritt S15). Falls w_off = 0 (Schritt S15 Ja), bringt die variable Betriebseinheit 198 w_diff zu 1 (Schritt S16) und schreitet zu Schritt S13 fort. Falls w_off nicht gleich 0 ist (Schritt S15, Nein), wird Schritt S16 übersprungen.
  • Falls das exklusive ODER der zwei Signale nicht 1 ist (Schritt S14 Nein), bestimmt die Eingabesignal-Bestimmungseinheit 197 weiter, ob die Inversion des logischen ODERs der zwei Signale 1 ist (d. h. in einem Beide-AUS-Zustand) (Schritt S17). Falls die Inversion des logischen ODER der zwei Signale 1 ist (Schritt S17, Ja), trifft die variable Betriebseinheit 198 w_diff = 0 und w_off = 1 (Schritt S18) und schreitet zu Schritt S13 fort.
  • Falls die Inversion des logischen ODER der zwei Signale nicht 1 ist (Schritt S17 Nein), sind die zwei Sensoreingaben in einem Beide-EIN-Zustand. Die Fehlerdetektions-Bestimmungseinheit 199 bestimmt, ob w_diff = 0 (Schritt S20). Falls w_diff nicht gleich 0 ist (Schritt S19 Nein), bringt die Fehlerdetektions-Bestimmungseinheit 199 Y1 auf 1 (Sensorfehler-Detektionszustand) (Schritt S21). Falls w_diff = 0 (Schritt S19, Ja), macht die variable Betriebseinheit 198 w_off = 0 (Schritt S20) und schreitet zu Schritt S13 fort.
  • In der vorstehenden Beschreibung kann die Betriebsfreigabe/Sperreinheit 11 auch als ein Computer konfiguriert sein, und der Betrieb der Betriebsfreigabe/Sperreinheit 11 kann durch Ausführen eines Programms implementiert werden. Das Programm zum Implementieren des Betriebs der Betriebsfreigabe/Sperreinheit 11 und das Sensorfehler-Detektionsprogramm 194 können auf demselben Computer ablaufen gelassen werden.
  • Selbst in der achten Ausführungsform, wie in der zweiten Ausführungsform, kann die Sicherheitsvorrichtung 10 konfiguriert sein, festzustellen, ob ein Betrieb freizugeben oder zu sperren ist und einen Sensorfehler basierend auf den Ausgaben von drei oder mehr Sensoren zu detektieren.
  • Wie oben beschrieben, werden gemäß der achten Ausführungsform Eingabesignale aus einer Mehrzahl von Sensoren erfasst (Schritt S12) und wird festgestellt, ob die Eingabesignale alle in einem EIN-Zustand, alle in einem AUS-Zustand oder in einem inkonsistenten Zustand sind (Schritt S14, Schritt S17). Falls das Bestimmungsergebnis anzeigt, dass alle in einem AUS-Zustand sind, wird w_diff auf 0 gesetzt und wird w_off auf 1 gesetzt (Schritt S18). Falls das Bestimmungsergebnis einen inkonsistenten Zustand anzeigt und wenn w_off = 0, wird w_diff auf 1 gesetzt (Schritt S16). Falls das Bestimmungsergebnis anzeigt, dass alle in einem EIN-Zustand sind und wenn w_diff = 0, wird w_off auf 0 eingestellt (Schritt S20). Wenn w_diff = 1, wird festgestellt, dass zumindest einer der Mehrzahl von Sensoren ausgefallen ist (Schritt S21). Mit solch einer Konfiguration kann ein Sensorfehler leicht detektiert werden, wie in der zweiten Ausführungsform. Es ist auch möglich, zu verhindern, dass eine Bestimmung eines Sensorfehlers vorgenommen wird, wenn alle Signale sich von einem AUS-Zustand über einen inkonsistenten Zustand zu EIN ändern.
  • Industrielle Anwendbarkeit
  • Wie oben beschrieben, werden die Sicherheitsvorrichtung und das Fehlerdetekionsverfahren gemäß der vorliegenden Erfindung passend auf eine Sicherheitsvorrichtung angewendet, die einen Betrieb von Ausrüstung freigibt/sperrt, basierend auf Eingabesignalen aus gemultiplexten Sensoren zum Detektieren eines Sicherheitszustands der Ausrüstung und ein Fehlerdetekionsverfahren eines Sensors einer solchen Sicherheitsvorrichtung.
  • Bezugszeichenliste
    • 1, 4 bis 10
    Sicherheitsvorrichtung
    2
    Steuervorrichtung
    3
    Zu steuernde Vorrichtung
    11
    Betriebsfreigabe/Sperreinheit
    12 bis 19
    Sensorfehler-Detektionseinheit
    31
    Erster Sensor
    32
    Zweiter Sensor
    110, 111, 120, 123, 161, 172
    UND-Schaltung
    112
    Invertierer
    121
    N-ODER-Schaltung
    122
    X-ODER-Schaltung
    124, 130, 140, 150, 151, 152
    Zwischenschaltung
    125, 131
    Inkonsistenz-Detektionsschaltung
    160
    Externe Auslöser-Detektionseinheit
    162, 170, 173
    ODER-Schaltung
    171
    Timer
    180, 190
    CPU
    181, 191
    ROM
    182, 192
    RAM
    183, 193
    E/A-Anschluss
    184, 194
    Sensorfehler-Detektionsprogramm
    184, 195
    Inkonsistente Zustandsaufzeichnungsvariablen-Speichereinheit
    186, 196
    Eingabesignal-Bestimmungseinheit
    187, 197
    Variable Betriebseinheit
    188, 198
    Fehlerdetektions-Bestimmungseinheit
    196
    Beide-AUS-Zustandsaufzeichnungsvariablen-Speichereinheit
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • ISO 13849-1-Kategorie [0002]
    • ISO 13849-1-Kategorie [0003]

Claims (10)

  1. Sicherheitsvorrichtung, umfassend: eine Eingabesignal-Bestimmungseinheit zum Bestimmen, ob Eingangssignale aus einer Mehrzahl von Sensoren, die jeder einen Sicherheitszustand für Ausrüstung detektieren, alle in einem EIN-Zustand, alle in einem AUS-Zustand, oder in einem inkonsistenten Zustand zwischen den Sensoren sind; eine erste Zwischenspeichereinheit zum Halten einer inkonsistenten Zustandsaufzeichnung, falls die Eingabesignal-Bestimmungseinheit feststellt, dass die Eingabesignale aus der Mehrzahl von Sensoren in einem inkonsistenten Zustand sind, und Aufheben der inkonsistenten Zustandsaufzeichnung, falls die Eingabesignal-Bestimmungseinheit feststellt, dass die Eingabesignale aus der Mehrzahl von Sensoren alle in einem AUS-Zustand sind; eine Sensorfehlerbestimmungseinheit zum Durchführen einer Sensorfehlerbestimmung zu einem ersten Zeitpunkt, wenn die Eingabesignal-Bestimmungseinheit feststellt, dass die Eingabesignale aus der Mehrzahl von Sensoren alle in einem EIN-Zustand sind, wobei die Sensorfehlerbestimmung beinhaltet: Feststellen, dass zumindest einer der Mehrzahl von Sensoren ausgefallen ist, falls die erste Zwischenspeichereinheit die inkonsistente Zustandsaufzeichnung hält, und Feststellen, dass keiner der Mehrzahl der Sensoren ausgefallen ist, falls die erste Zwischenspeichereinheit keine inkonsistente Zustandsaufzeichnung hält; und eine Betriebsfreigabe/Sperreinheit zum Freigeben/Sperren eines Betriebs der Ausrüstung, basierend auf den Eingabesignalen aus der Mehrzahl von Sensoren und einem Bestimmungsergebnis der Sensorfehlerbestimmung durch die Sensorfehlerbestimmungseinheit.
  2. Sicherheitsvorrichtung gemäß Anspruch 1, weiter umfassend eine zweite Zwischenspeichereinheit zum Halten einer AUS-Zustands-Aufzeichnung, falls die Eingabesignal-Bestimmungseinheit feststellt, dass die Eingabesignale aus der Mehrzahl von Sensoren alle in einem AUS-Zustand sind, und Aufheben der AUS-Zustands-Aufzeichnung, falls die Eingabesignal-Bestimmungseinheit feststellt, dass die Eingabesignale aus der Mehrzahl von Sensoren alle in einem EIN-Zustand sind, und wobei falls die zweite Zwischenspeichereinheit die AUS-Zustands-Aufzeichnung hält, die zweite Zwischenspeichereinheit eine Rücksetzeingabe zum Aufheben der inkonsistenten Zustandsaufzeichnung der ersten Zwischenspeichereinheit eingibt.
  3. Sicherheitsvorrichtung gemäß Anspruch 1, wobei die erste Zwischenspeichereinheit nicht-flüchtig ist; und die Sensorfehlerbestimmungseinheit weiter eine nicht-flüchtige dritte Zwischenspeichereinheit zum Halten des Bestimmungsergebnisses der Sensorfehlerbestimmung enthält.
  4. Sicherheitsvorrichtung gemäß Anspruch 2, wobei: die erste Zwischenspeichereinheit und die zweite Zwischenspeichereinheit nicht-flüchtig sind; und die Sensorfehlerbestimmungseinheit weiter eine nicht-flüchtige dritte Zwischenspeichereinheit zum Halten des Bestimmungsergebnisses der Sensorfehlerbestimmung beinhaltet.
  5. Sicherheitsvorrichtung gemäß Anspruch 3 oder 4, wobei die dritte Zwischenspeichereinheit das Bestimmungsergebnis der Sensorfehlerbestimmung aufhebt, wenn eine Rücksetzeingabe von außerhalb eingegeben wird.
  6. Sicherheitsvorrichtung gemäß Anspruch 1 oder 2, weiter umfassend eine externe Auslöser-Detektionseinheit zum Detektieren einer Auslösung von außerhalb und wobei die Sensorfehlerbestimmungseinheit die Sensorfehlerbestimmung zu einem zweiten Zeitpunkt durchführt, wenn die externe Auslöserdetektionseinheit eine Auslösung detektiert, zusätzlich zu dem ersten Zeitpunkt.
  7. Sicherheitsvorrichtung gemäß Anspruch 6, wobei der Auslöser von außerhalb ein Abschaltsignal ist.
  8. Sicherheitsvorrichtung gemäß Anspruch 1 oder 2, weiter umfassend einen Zähler zum Zählen einer vorgegebenen, eingestellten Zeit, wobei der Zähler das Zählen beginnt, wenn die Eingabesignal-Bestimmungseinheit feststellt, dass die Eingabesignale aus der Mehrzahl von Sensoren in einem inkonsistenten Zustand sind, und die Zählung rücksetzt, wenn die Eingabesignal-Bestimmungseinheit feststellt, dass die Eingabesignale aus der Mehrzahl von Sensoren alle in einem EIN-Zustand sind und wenn sie alle in einem AUS-Zustand sind, und wobei die Sensorfehlerbestimmungseinheit die Sensorfehlerbestimmung zu einem dritten Zeitpunkt durchführt, wenn der Zähler bis zur eingestellten Zeit heraufgezählt hat, zusätzlich zum ersten Zeitpunkt.
  9. Fehlerdetektionsverfahren, durch welches eine Sicherheitsvorrichtung, die einen Betrieb von Ausrüstung freigibt/sperrt, basierend auf Eingabesignalen aus einer Mehrzahl von Sensoren, die alle einen Sicherheitszustand der Ausrüstung detektieren, einen Fehler der Mehrzahl von Sensoren detektiert, wobei das Fehlerdetektionsverfahren umfasst: einen ersten Schritt des Erfassens der Eingabesignale aus der Mehrzahl von Sensoren; einen zweiten Schritt des Feststellens, ob die ermittelten Eingabesignale alle in einem EIN-Zustand, alle in einem AUS-Zustand oder in einem inkonsistenten Zustand zwischen den Sensoren sind; einen dritten Schritt des Speicherns eines ersten Zustands in einer ersten Speichereinheit, falls ein Bestimmungsergebnis des zweiten Schritts einen inkonsistenten Zustand anzeigt, wobei die erste Speichereinheit konfiguriert ist, irgendeinen vom ersten Zustand und dem zweiten Zustand zu speichern; einen vierten Schritt des Speicherns des zweiten Zustands in der ersten Speichereinheit, falls das Bestimmungsergebnis des zweiten Schrittes anzeigt, dass alle in einem AUS-Zustand sind; und einen fünften Schritt des Bestimmens, dass zumindest einer aus der Mehrzahl von Sensoren ausgefallen ist, wenn die erste Speichereinheit den ersten Zustand enthält, und des Bestimmens, dass keiner aus der Mehrzahl von Sensoren ausgefallen ist, wenn die erste Speichereinheit den zweiten Zustand enthält, falls das Bestimmungsergebnis des zweiten Schrittes anzeigt, dass alle in einem EIN-Zustand sind.
  10. Fehlerdetektionsverfahren, durch welches eine Sicherheitsvorrichtung, die einen Betrieb von Ausrüstung freigibt/sperrt, basierend auf Eingabesignalen aus einer Mehrzahl von Sensoren, die alle einen Sicherheitszustand der Ausrüstung detektieren, einen Fehler der Mehrzahl von Sensoren detektiert, wobei das Fehlerdetektionsverfahren umfasst: einen ersten Schritt des Erfassens der Eingabesignale aus der Mehrzahl von Sensoren; einen zweiten Schritt des Feststellens, ob die ermittelten Eingabesignale alle in einem EIN-Zustand, alle in einem AUS-Zustand oder in einem inkonsistenten Zustand zwischen den Sensoren sind; einen dritten Schritt des Speicherns eines ersten Zustands in einer ersten Speichereinheit und Speichern eines dritten Zustands in einer zweiten Speichereinheit, falls ein Bestimmungsergebnis des zweiten Schritts einen anzeigt, dass alle in einem Aus-Zustand sind, wobei die erste Speichereinheit konfiguriert ist, irgendeinen vom ersten Zustand und dem zweiten Zustand zu speichern, die zweite Speichereinheit konfiguriert ist, den dritten Zustand oder den vierten Zustand zu speichern; einen vierten Schritt des Speicherns des zweiten Zustands in der ersten Speichereinheit, wenn die zweite Speichereinheit den vierten Zustand enthält, falls das Bestimmungsergebnis des zweiten Schrittes einen inkonsistenten Zustand anzeigt; und einen fünften Schritt des Speicherns des vierten Zustands in der zweiten Speichereinheit, wenn die erste Speichereinheit den ersten Zustand enthält, und Bestimmen, dass zumindest einer der Mehrzahl von Sensoren ausgefallen ist, wenn die erste Speichereinheit den zweiten Zustand enthält, falls das Bestimmungsergebnis des zweiten Schrittes anzeigt, dass alle in einem EIN-Zustand sind.
DE112010005515T 2010-04-26 2010-04-26 Sicherheitsvorrichtung und Fehlerdetektionsverfahren Expired - Fee Related DE112010005515T8 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2010/057385 WO2011135656A1 (ja) 2010-04-26 2010-04-26 安全装置および故障検出方法

Publications (2)

Publication Number Publication Date
DE112010005515T5 true DE112010005515T5 (de) 2013-02-21
DE112010005515T8 DE112010005515T8 (de) 2013-06-13

Family

ID=44861003

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112010005515T Expired - Fee Related DE112010005515T8 (de) 2010-04-26 2010-04-26 Sicherheitsvorrichtung und Fehlerdetektionsverfahren

Country Status (7)

Country Link
US (1) US8803654B2 (de)
JP (1) JP5318284B2 (de)
KR (1) KR101418200B1 (de)
CN (1) CN102870051B (de)
DE (1) DE112010005515T8 (de)
TW (1) TWI439833B (de)
WO (1) WO2011135656A1 (de)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017098564A1 (ja) * 2015-12-07 2017-06-15 三菱電機株式会社 信号処理装置
JP6738439B2 (ja) 2017-01-12 2020-08-12 富士フイルム株式会社 状態判定装置
KR20200044206A (ko) 2018-10-10 2020-04-29 삼성전자주식회사 전자 장치 및 이의 제어 방법
JP2020160866A (ja) * 2019-03-27 2020-10-01 Idec株式会社 安全機器
US11137727B2 (en) 2019-04-04 2021-10-05 Swivel-Link, LLC Validation device for testing a machinery safety system
JP7382791B2 (ja) * 2019-10-30 2023-11-17 株式会社日立製作所 異常判定装置、車両支援システム
CN113075447A (zh) * 2021-02-04 2021-07-06 浙江华云信息科技有限公司 一种400v低压配网智能检测装置及方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005326988A (ja) 2004-05-13 2005-11-24 Yaskawa Electric Corp 自動機械用動作許可装置

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2915528B2 (ja) 1990-09-13 1999-07-05 宇宙開発事業団 センサ・データの故障検出・信号選択装置
JPH06149611A (ja) * 1992-10-30 1994-05-31 Oki Electric Ind Co Ltd 故障検出方法及びその回路
US5416725A (en) * 1993-08-18 1995-05-16 P.C. Sentry, Inc. Computer-based notification system having redundant sensor alarm determination and associated computer-implemented method for issuing notification of events
JP4196757B2 (ja) 2003-07-08 2008-12-17 オムロン株式会社 セーフティコントローラ
US7610119B2 (en) 2003-07-08 2009-10-27 Omron Corporation Safety controller and system using same
JP4349231B2 (ja) * 2004-07-30 2009-10-21 株式会社ジェイテクト プログラマブルコントローラ
US7380448B2 (en) * 2005-06-09 2008-06-03 Denso Corporation Malfunction detection apparatus for pressure sensor
JP2006348778A (ja) 2005-06-14 2006-12-28 Denso Corp 圧力センサの異常診断装置
JP2006350707A (ja) * 2005-06-16 2006-12-28 Hitachi Ltd 検出手段の故障診断装置
WO2008038710A1 (fr) * 2006-09-28 2008-04-03 Mitsubishi Electric Corporation Détecteur de défauts, procédé et programme de détection de défauts
DE102008002266B4 (de) 2007-06-12 2019-03-28 Omron Corp. Programmentwicklung-Unterstützungsvorrichtung einer Sicherheitssteuerung
JP4433210B2 (ja) 2007-06-13 2010-03-17 オムロン株式会社 安全コントローラのプログラム開発支援装置
JP4816961B2 (ja) 2007-06-13 2011-11-16 オムロン株式会社 安全リモートi/oターミナル
JP2009217389A (ja) * 2008-03-07 2009-09-24 Toshiba Corp 水力発電所向け制御装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005326988A (ja) 2004-05-13 2005-11-24 Yaskawa Electric Corp 自動機械用動作許可装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ISO 13849-1-Kategorie

Also Published As

Publication number Publication date
CN102870051A (zh) 2013-01-09
US8803654B2 (en) 2014-08-12
JP5318284B2 (ja) 2013-10-16
TW201140268A (en) 2011-11-16
KR20130009841A (ko) 2013-01-23
US20130021135A1 (en) 2013-01-24
CN102870051B (zh) 2015-11-25
TWI439833B (zh) 2014-06-01
KR101418200B1 (ko) 2014-07-09
DE112010005515T8 (de) 2013-06-13
JPWO2011135656A1 (ja) 2013-07-18
WO2011135656A1 (ja) 2011-11-03

Similar Documents

Publication Publication Date Title
DE112010005515T5 (de) Sicherheitsvorrichtung und Fehlerdetektionsverfahren
DE102005030612B4 (de) Halteeinrichtung für ein Sensorsignal, Verfahren zum Weiterleiten eines Sensorsignals und Computerprogramm
DE102011005800A1 (de) Kontrollrechnersystem, Verfahren zur Steuerung eines Kontrollrechnersystems, sowie Verwendung eines Kontrollrechnersystems
DE102011112174B4 (de) Vorrichtung und Verfahren zum Schutz und zur zerstörungsfreien Prüfung sicherheitsrelevanter Register
WO2011117155A1 (de) Redundante zwei-prozessor-steuerung und steuerungsverfahren
DE2258917B2 (de) Regelvorrichtung mit mindestens zwei parallelen signalkanaelen
EP3073333B1 (de) Brenneranlage mit einer Sicherheitseinrichtung
WO2011082904A1 (de) Verfahren zum betreiben einer recheneinheit
DE102022109122A1 (de) Fpga-chip mit geschützter jtagschnittstelle
EP2989548B1 (de) Überwachung von redundanten komponenten
EP3709166A1 (de) Verfahren und system zur sicheren signalmanipulation für den test integrierter sicherheitsfunktionalitäten
DE10126281A1 (de) Programmgesteuerte Einheit
DE102013017951A1 (de) Elektronische Steuervorrichtung und Verfahren zum Überprüfen einer Rücksetzfunktion
EP3273352B1 (de) Computerisiertes system
DE102012023350B4 (de) Systeme, Schaltungen und ein Verfahren zum Erzeugen einer konfigurierbaren Rückmeldung
EP1226500B1 (de) Integrierter schaltkreis mit gedoppelten synchronen und asynchronen komponenten
WO2013185960A2 (de) Digitale abtastschaltung für ein mit hilfe eines primär-taktsignals auf taktausfall zu überwachenes sekundär-taktsignal
EP3139354A2 (de) Verfahren zur einstellung einer betriebsart eines sicherheitssystems
DE10296809T5 (de) Halbleitertestgerät
DE1955721A1 (de) Datenverarbeitungssystem
EP1224547B1 (de) Integrierter elektronischer baustein mit duplizierter kernlogik und hardware-fehlereinspeisung für prüfzwecke
EP1911010B1 (de) Verfahren und schaltungsanordnung zur gesicherten ansteuerung von aktoren, sensoren bzw. verbrauchern in einem diese enthaltenden elektrischen gerät, insbesondere elektrischen hausgerät
DE102018207504A1 (de) Steuervorrichtung und Steuerverfahren
DE102020109313A1 (de) Modifizierte Schnittstellen mit Passwort geschütztem Speicherzugriff
DE102020109307A1 (de) Modifizierte JTAG-Schnittstelle mit Passwort geschütztem Speicherzugriff

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee