JP2011090675A - 安全制御装置 - Google Patents
安全制御装置 Download PDFInfo
- Publication number
- JP2011090675A JP2011090675A JP2010234857A JP2010234857A JP2011090675A JP 2011090675 A JP2011090675 A JP 2011090675A JP 2010234857 A JP2010234857 A JP 2010234857A JP 2010234857 A JP2010234857 A JP 2010234857A JP 2011090675 A JP2011090675 A JP 2011090675A
- Authority
- JP
- Japan
- Prior art keywords
- safety control
- safety
- control device
- control
- configuration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0426—Programming the control sequence
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24008—Safety integrity level, safety integrated systems SIL SIS
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
【課題】ネットワーク状に接続された安全制御装置の構成が変更された場合にそれに簡単かつ安全に適応できるようにする。
【解決手段】センサを接続するための少なくとも1つの入力部、駆動装置を接続するための少なくとも1つの出力部、制御関連情報を交換するために別の安全制御装置10a〜10dを接続するための少なくとも1つの通信インタフェース、並びに、所定の論理規則に基づいて、入力部からの入力信号に依存する及び/又は制御関連情報に依存する制御信号を出力部に生成する制御プログラムを実行するように構成された制御ユニットを備える安全制御装置を提供する。制御プログラムは、所期の安全制御装置が接続されていないことを確認したとき、所期の安全制御装置から伝送されるべき制御関連情報の代わりに事前定義情報を用いる。
【選択図】図2
【解決手段】センサを接続するための少なくとも1つの入力部、駆動装置を接続するための少なくとも1つの出力部、制御関連情報を交換するために別の安全制御装置10a〜10dを接続するための少なくとも1つの通信インタフェース、並びに、所定の論理規則に基づいて、入力部からの入力信号に依存する及び/又は制御関連情報に依存する制御信号を出力部に生成する制御プログラムを実行するように構成された制御ユニットを備える安全制御装置を提供する。制御プログラムは、所期の安全制御装置が接続されていないことを確認したとき、所期の安全制御装置から伝送されるべき制御関連情報の代わりに事前定義情報を用いる。
【選択図】図2
Description
本発明は、請求項1のプレアンブルに記載の、他の安全制御装置を接続するための通信インタフェースを備える安全制御装置、及び請求項11のプレアンブルに記載の、制御信号の発生方法に関する。
安全制御装置は、危険信号に接した際に所定の方法で誤りなく反応するために特に役立つ。安全技術の典型的な用途として。例えばプレス機やロボットのように、操作者が過って近付いたときに電源を遮断したり防護動作を行ったりする必要のある危険な機械からの防護がある。そのために、光格子や安全カメラのような、接近を認識するためのセンサが設置される。このようなセンサが危険を認識したとき、このセンサと結合された安全制御装置は完全に信頼できる形で遮断信号を出力しなければならない。
実際には、単一のセンサで単一の機械を監視することはほとんどなく、危険の発生源となる一続きものを全てまとめて監視する場合が多い。その場合、それぞれスイッチ事象を定義できる十分に多数のセンサと、危険を排除するための適切な手段とを安全制御装置内に構成し、相互に接続しなければならない。安全制御装置のプログラミングはグラフィックを利用した専門的なプログラミング層により支援されているが、それでも、何か間違いがあれば人間に危険が及ぶことから、深い知識が必要となる。制御装置のプログラミングに関するIEC(国際電気標準会議)規格61131には、機能部品を用いたグラフィカルなプログラミングに関する記述(IEC61131−3)や、物理技術的な意味での入出力インタフェースに関する記述(IEC61131−2)がある。ただし、入力・出力スイッチの装着の構成や、それをセンサや駆動装置へ接続するインタフェースは標準化されていない。
実際に用いられている機械の基本設計はモジュール化が進み、多数のオプションが利用可能になっている。モジュール方式の1つの意味は、接続されるセンサ群や駆動装置群の変更や拡張に適合させるために、安全制御装置自体をモジュール化して拡張可能にするということである。一方、複数の安全制御装置をネットワークで相互に接続するという意味もある。これは例えば、1つの機械に対して又は設備の一部に対して1つの安全制御装置が責任を持つような場合に有効である。この場合、付属する機械へ制御機能の大部分がローカルに関連付けられる。同時に、例えば非常信号のように、安全制御装置の間で送受信しなければならない信号もある。
機械の追加、除去又は交換により設備の構成が変わると、ネットワーク内に接続された安全制御装置の制御プログラムはもはや有効ではなくなるため、プログラムを変更した上で、その運用を新たに開始する必要がある。これは適切な教育を受けた者にしかできない作業である。再プログラミングせずに安全制御装置をネットワークから取り外すと、ネットワークに障害が起きたとみなされるため、安全技術上の理由から運転のための自由な使用が拒否される。
それぞれ具体的な用途のために利用可能又は利用不能にできる最大n台の機械を備えるモジュラー式設備においては、最大2n通りの部分構成が考えられる。同じことは、各機械に1対1で割り当てられたn台の安全制御装置から成るネットワークにも当てはまる。これらの組み合わせを写し取るために、従来は各安全制御装置の制御プログラムにそれぞれ最大2nの通りのバージョンが必要であった。これは単に莫大なコストが生じるばかりでなく、プログラミングに専門知識を要するためエラーが発生しやすい。あるいは、少なくとも制御の専門家が具体的な用途に必要な制御プログラムを選択する必要がある。このように、従来の解決法は時間及びコストがかかる上、柔軟性に欠ける。
それゆえ、本発明の課題は、ネットワーク状に接続された安全制御装置の構成が変更された場合にそれに簡単かつ安全に適応できるようにすることである。
この課題は請求項1に係る安全制御装置及び請求項11に係る制御信号発生方法により解決される。その解決策は、ネットワーク状に接続された安全制御装置が具体的な構成にまったく依存しないように制御プログラムを設計するという基本的な考え方から始まる。その代わりに、制御プログラムが常に同じ論理を使用するため、実際には存在しない安全制御装置がネットワーク通信に加わっているかのようになる。有効な動作を確実に行うために、ある安全制御装置が欠落した場合にその安全制御装置により期待される制御関連情報の代わりとなる情報が事前に定義される。
従って本発明では、制御プログラムがネットワークに参加している安全制御装置の認識された構成に実際には依存してはいるものの、制御プログラムをそれに適合させる必要はなく、論理規則は変更されない。制御プログラムは単に、ネットワーク内にあるべき安全制御装置の欠落した場合に、伝送すべき情報の代わりに事前定義情報を用いることを決定するだけでよい。
本発明には、同一の制御プログラムによりモジュール型設備の全ての組み合わせをカバーできるという利点がある。設備構成が変更されても、制御プログラムは変更されないため、専門的知識を要する運用開始作業は必要ない。安全制御装置から成るネットワークは実際の具体的な安全制御装置から独立したまま常に完全に機能できる。そのため、柔軟性が高く、しかも安全制御装置を完全に機能させたまま設備を速やかに変更することができる。
制御関連情報は、各安全制御装置のプロセスの少なくとも部分的なコピーであることが好ましい。なお、実際に必要な帯域幅は比較的狭いため、それぞれのプロセス全体をコピーすることが好ましい。プロセスのコピーにおいては、例えば数個又は全ての入力・出力の状態をビット値で表現することができる。ただし、基本的には、安全制御装置固有のプロセスのコピー形式を定め、例えば論理の中間結果をコピーすることは自由である。例えば、第2バイトの第4ビットでモータ1の動作/停止を、また第3バイトの第5ビットで非常停止信号の出力/非出力をそれぞれ表現し、これらの結果をもたらすセンサ群や論理に対しては、その複雑さの度合いに関係なくその表現を用いる、ということが可能である。また、写し取られるプロセスのコピーの幅(より一般的には制御関連情報から写し取られる情報ビットの数)は、通信インタフェースで接続された各安全制御装置の間で異なっていてもよい。
事前定義情報は、支障なく作動した場合に予想される安全制御装置のプロセスを仮にコピーしたものの少なくとも一部であることが好ましい。ここでもやはりプロセスの完全なコピーを予め定義しておくことが好ましい。接続されているはずの安全制御装置が存在しない場合に、他の安全制御装置がこの予め定義されたプロセスのコピーを用いると、安全制御装置のネットワークグループは、欠落している安全制御装置があたかも接続されているかのように円滑に作動する。
通信インタフェースは安全な通信に対応した構成とすることが好ましい。通信インタフェースを通じて送受信される制御関連情報は、一般に安全制御装置の論理規則に編み込まれているため、安全上極めて重要である。安全な通信には、例えばCANやProfibusのような公知のバス規格が利用可能である。これらのバス規格を、追加の安全プロトコルや冗長な追加のケーブルを用いることにより安全に発展させる。
安全制御装置はモジュール形式で構成され、複数の入力及び/又は複数の出力を備える少なくとも1つの接続モジュールを備え、第1の接続モジュールが制御ユニットに接続され、他の接続モジュールが前段に配置された接続モジュールだけにそれぞれ接続されていることにより、制御ユニットが接続モジュールとともにモジュール列を形成していることが好ましい。個々の安全制御装置をモジュール型に構成することにより、安全制御装置により監視される機械又は設備の一部のセンサ群や駆動装置群における柔軟な適応化が可能となる。
制御ユニットが制御モジュールを構成し、接続モジュールと同様に制御モジュールも少なくともいくつかの次元において互いに同じ幾何的な外形を有する1つのケーシングにそれぞれ収納され、各接続モジュールがモジュール列の前段のモジュールへの接続及び後段のモジュールへの接続を備えるようにすると有利である。このようにすると、モジュール列を構成する際に分かりやすくなり、必要なスペースを計画できるようになる。制御モジュールの幾何形状を意図的に接続モジュールの幾何形状と異ならせることにより、それを目立たせたり、電子機器の必要量の増大に応じてスペースを作り出したりすることができる。ただし、このような差異をすべての次元で設ける必要はない。例えば制御モジュールが接続モジュールに対して同じ幅と奥行きを持ち、高さが異なるようにする。
本発明の発展形態では、複数の同じ安全制御装置が通信インタフェースを通じて接続されたネットワーク内に配置され、1つの安全制御装置がマスターとして、他の安全制御装置がスレーブとしてそれぞれ構成されるか、若しくはマルチ・マスター・ネットワーク内で複数又はすべての安全制御装置がマスターとして構成される。複数又は全ての安全制御装置がマスターとして構成されるマルチ・マスター・ネットワークでは、ネットワーク内に1つでもマスターが残っている限り、ネットワーク通信を妨げることなく各安全制御装置を取り外すことができるため、モジュール方式に有利である。マルチ・マスター方式の実施例において、全ての安全制御装置の間で定期的に全てのプロセスのコピーを交換する(all-to-all)ことにより、どの安全制御装置においても装置配列の全ての制御関連情報が利用できるようにすれば、システムが最も強固なものとなる。
ネットワーク内の各安全制御装置の制御プログラムは、所定の最大数の安全制御装置を備える所定の最大構成のための論理規則を用いることが好ましい。これにより、設備はその最大の形で設計され、それに合わせて論理規則及び制御プログラムの実装や事前定義情報の記憶装置への保存が行われる。個々の安全制御装置はそれぞれ動作中に、自身が保持する制御関連情報か、ネットワークを通じて受信した制御関連情報のうち自身に該当する部分を処理し、その評価結果を送受信する。その後の具体的な応用に当たって最大構成の一部しか実施されない場合、各安全制御装置は、最大構成から欠落した安全制御装置については保存済みの事前定義情報を使用する。こうして、部分構成がなお有効で、かつ事前定義情報が保存されている限り、装置配列は全ての部分構成に対応できる状態にある。なお、特定の解決策においては、いくつかの安全制御装置を必須のものとし、交換不能にすることも当然考えられる。このような安全制御装置については事前定義情報を保存しておく必要はない。なぜなら、この安全制御装置は稼働中は常に存在していなければならないからである。
装置配列の個々の安全制御装置の制御プログラムは、特に安全制御装置のアクティブ化の際に、装置配列の全ての安全制御装置が同じ最大構成のために構成されているかどうかを互いに比較することが好ましい。ここで「アクティブ化」とは、例えば機械設備のスイッチ投入や起動を意味する。「運用開始(Inbetriebnahme)」はアクティブ化の特殊な形態であって、新たな設備や変更後の設備のスイッチを初めて入れることを言う。運用開始ではほとんどの場合、特に専門的知識を有する者が必要であるが、本発明の場合、安全制御装置のネットワーク構成の変更の際にはそのような専門家は絶対に必要というわけではない。この実施形態によれば、アクティブ化の際、具体的に実現されたネットワークに含まれる安全制御装置が有効に共同動作を行うかどうかが検査される。それには、使用される事前定義情報の一致の検査が含まれる。これは例えば識別番号(ID番号)を通じて確認することができる。
装置配列の個々の安全制御装置の制御プログラムは、安全制御装置が記憶された最大構成の部分構成の装置配列に一致するかどうかを、特に安全制御装置のアクティブ化の際に、互いに比較することが好ましい。本発明は安全制御装置の配列の変更を支援するものであるが、その変更は何の考えもなく何時でも行われてよいわけではない。運転中における情報交換は安全技術の応用においては動作の中断とみなされ、安全な方向へと対応が採られる。そうは言っても、アクティブ化の際には、ネットワーク構成の変更が故意のものか、それとも何らかの欠陥の結果又は過誤による接続ケーブルの切断の結果なのかを確認しなければならない。それゆえ、最後に調整されたネットワーク構成を記憶装置に保存しておき、それに対してネットワーク構成の変更があれば直ちに設備の自由な使用を拒否するか、専門知識を有する操作者の適切な承認を要求する。
本発明に係る方法は、同様のやり方で、更なる特徴の導入により仕上げていくことが可能であり、それにより同様の利点を示す。このような更なる特徴は、例えば本願の独立請求項に続く従属請求項に記載されているが、それらに限定されるものではない。
その際、論理規則と事前定義情報は、ネットワーク内の安全制御装置の最大数を含む最大構成のために設計することが好ましい。このようにすれば、後で非常に簡単に任意の部分構成を選び出すことができる。
最大構成の部分構成への適応は、安全制御装置をネットワークから取り外す又は交換し、その際に変更された構成を特別に承認して自由に使用可能な状態にする、という手順で行うことが好ましい。事前定義情報に基づいて、このような簡単な手順によりネットワーク接続型安全制御装置の再プログラミングが完了する。制御プログラムを変更する必要はない。
ネットワークに接続されている全ての安全制御装置が同じ最大構成のために構成されているかどうかを、特に安全制御装置のアクティブ化の際に検査することが有利である。これにより、相互に調整されていない安全制御装置(例えば異なる事前定義情報を用いるもの)によるネットワークの形成が防止される。
ネットワークに接続されている全ての安全制御装置が、記憶された最大構成の部分構成に一致するかどうかを、特に安全制御装置のアクティブ化の際に検査することが好ましい。このようにすれば、意図しないネットワークの変更が回避される。
以下では、本発明の模範的形態について、更なる特徴及び利点をも考慮しつつ、実施形態に基づき、添付の図面を参照ながら詳しく説明する。図面の内容は以下の通りである。
図3は、安全な制御ユニット14(例えばマイクロプロセッサ又は他の論理素子)を有する制御モジュール12を備えるモジュール型安全制御装置10を示している。制御モジュール12内には記憶領域15が設けられている。ここには一又は複数の事前に定義されたプロセスのコピーが記録されており、制御ユニット14はそれにアクセスすることができる。これについては後で図1及び図2を参照しながら詳しく説明する。
制御モジュール12には4つの接続モジュール16a〜16dが直列に接続されている。各接続モジュール16a〜16dには、センサ20a〜20cを接続するための入力部18及び駆動装置24a〜24bを接続するための出力部22が設けられている。なお、この図と違って、接続モジュール16a〜16dの接続部の種類や数が異なってもよく、入力部しかない形態、出力部しかない形態、あるいは両方を持つがその数が異なる形態も可能である。更に、特定の接続モジュール16を選択することにより、接続端子18及び22の配置と物理的構成を様々なプラグの形式、ケーブルの太さ及び信号の種類に合わせることができる。なお、図のモジュール12及び16a〜16dは単純化して描いたものであって、他にも要素があり得る。例として、接続部毎にセンサや駆動装置の所属を光学的に強調して分かりやすく表示するLEDが挙げられる。
安全制御装置の任務は、センサ20a〜20cと駆動装置24a〜24b(特に後者)の安全運転に努めること、つまり、安全のために駆動装置24a〜24bへの電流を遮断すること(この場合、出力部22はOSSD(Output Switching Signal Device)である)、設備の緊急避難動作を確実に実行すること、駆動装置24a〜24bに対する任意の制御(特に電源投入又は再起動)に対して同意すること、駆動装置24a〜24bを自由に利用可能な状態にすること等である。
光格子20b、安全カメラ20a及びスイッチ20cは、安全のために電流を遮断するという応答動作の引き金となる信号を出力する安全用センサまたは入力機器の例である。この信号は、光格子20bの光線が身体の一部により遮られたり、防護領域内へ何物かが許可なく侵入したことが安全カメラ20aにより検知されたり、スイッチ20cが作動したりした場合に出力される。入力部18には他にも、レーザスキャナ、3Dカメラ、スイッチ付きマット又は容量型センサなど、任意の種類の安全センサを接続することができる。さらに、測定データを収集するためのセンサや、非常停止スイッチのような単純なスイッチなどでもよい。このような信号出力機器を以下の説明ではすべてセンサと呼ぶ。
特定の用途では、センサ20を出力部22に接続し、駆動装置24を入力部18に接続することもある。例えば、試験信号を記録する場合、センサ20を一時的にオフにする場合(ミュート)、センサ20の監視領域から一部の領域をマスクする場合(ブランキング)、あるいは駆動装置24が、制御用の入力の他に、自身を部分的に監視するための固有の信号出力を備える場合である。
出力部22には、操作者が許可なく侵入した場合に危険を及ぼす可能性のある駆動装置の例として、ロボット24aと折り曲げプレス機24bが接続されている。この接続には図のように二重の経路を用いることが好ましい。これにより駆動装置24a〜24bは安全制御装置10から電流遮断命令を受け取ることができるため、安全センサ20a〜20bにより危険又は不正な侵入が検知された場合に、電流を遮断したり、安全な状態に移行したりすることができる。今の場合、光格子20bを折り曲げプレス機24bの監視に、また安全カメラ20aをロボット24aの監視にそれぞれ利用できるため、機能上相互に属するセンサ20a〜20b及び駆動装置24a〜24bがそれぞれモジュール16a又は16bに接続されている。ただし、機能的な割り当ては制御ユニット14により行われる。従って、上記のような図解は分かりやすいものの、決して必須ではない。図示した駆動装置以外のものも考えられる。しかもそれには、危険領域を作り出すようなものだけでなく、警報ランプ、サイレン、表示装置等のようなものもある。
制御ユニット14と入力部18又は出力部22との間には、バックプレーンと呼ばれるシリアル通信接続26が設けられている。これは特にバスであり、シリアル通信規格、フィールドバス規格(例えばIO-Link、Profibus、CAN)又はプロプライエタリな規格に準拠し、しかもエラーに強い設計とすることができる。あるいは、バスの代わりに、直接接続、並列接続、若しくは送受信されるデータ量や必要なスイッチング時間に応じた他の接続26を設けてもよい。モジュール16a〜16dはバス通信に参加するためにそれぞれ固有の制御部28を備えている。そのために、マイクロプロセッサ、FPGA(Field Programmable Gate Array)、ASIC(Application-Specific Integrated Circuit)、プログラミング可能な論理素子、又は類似のデジタル素子が設けられている。更に制御部28は、評価の仕事を受け持ったり、制御ユニット14と共同して評価処理の割り当て部分を実行したりすることもできる。これには、簡単なブール結合から、3次元安全カメラの映像の評価のような複雑な処理まで様々なものがあり得る。
モジュール12及び16a〜16dはそれぞれユニット式のケーシングに収納され、接続具により機械的及び電気的に相互に結合されている。これにより、制御モジュール12がモジュール列の先頭となっている。
制御ユニット14、入力部18、出力部22及びバス26はエラーに強い。これはつまり、二重経路の使用や、多様な、冗長性を持つ、自己検査式あるいは他の安全な評価及び自己テスト等の措置によるものである。安全制御装置に関する安全要件は、欧州規格EN954−1やISO13849(パフォーマンスレベル)に規定されている。その装置により実現可能な安全の段階や、装置の使用に関する他の安全要件は、欧州規格EN61508又はEN62061に定められている。
安全制御装置10の構成及びプログラミングは実際にはグラフィカルなユーザ層上で行われる。これを利用して、制御プログラムを作成し、続いて実行することができる。
本発明では、前述のような安全制御装置10が複数台、ネットワークに接続される。そのために、制御モジュール12は少なくとも1つのインタフェース30を備えており、これを通じて各安全制御装置は、例えば安全なバスプロトコルを使って相互に通信する。
図1は、それぞれのインタフェース30によりバス32を通じて相互に接続された複数(ここ例では4台)の安全制御装置10a〜10dから成るネットワークの簡略なブロック図である。安全制御装置10a〜10dは互いに同じ構成である必要はなく、接続モジュール16や入力部18、出力部22の数が異なっていたり、接続されているセンサ20や駆動装置24の種類が異なっていたり、評価論理が異なっていたりしてもよい。実際の利用では、各安全制御装置10a〜10dは、モジュール型設備のなかの完結した部分(例えば単独の機械)に割り当てられ、その部分を安全技術的に監視する。
安全制御装置10a〜10dはネットワーク32を通じて相互に安全関連情報を交換する。この情報は、例えば安全制御装置10cにより監視されている1つの機械内で出力された非常信号であるが、それでも設備全体を停止しなければならない。従って、個々の安全制御装置10a〜10dの評価論理は、その論理規則を用いて、自身の入力部18からの入力信号だけでなく、ネットワーク32を通じて受信される制御関連情報も、出力部22からの制御信号に結び付ける。更に可能であれば、こうして求められた制御信号に関する情報はプロセスのコピーを通じて他の安全制御装置10a〜10dにも分与される。なお、各安全制御装置10a〜10dの制御プログラムはどの制御関連情報を実際に論理規則に取り込むべきかを自主的に決定することができるため、完全なプロセスのコピーを送受信しても、各安全制御装置10a〜10dがすべてのプロセスコピー情報を自身の論理規則に取り込む必要はない。代わりに、プロセスのコピーの一部又は別の圧縮された情報(例えば、緊急停止が行われたという情報)だけを交換することも考えられる。
各安全制御装置10a〜10dは、プロセスのコピーの交換に関してはいずれもマスターとして構成されており、図1の下部に描かれているように、自身の実際のプロセスのコピーを他の全ての安全制御装置10a〜10dへ送信し、それに応じて他の安全制御装置10a〜10dのプロセスのコピーを受信する。ここではプロセスのコピーは8バイト幅であり、4台の安全制御装置10a〜10dでは32バイトのプロセスデータになるが、これは単なる例に過ぎないと理解すべきである。プロセスのコピーは、全部まとめてこの例とは異なるものにしてもよいだけでなく、安全制御装置10a〜10d毎に異なるものにすることもできる。
図1に示した構成は、計画された最大のシステムの全体に相当する。各安全制御装置10a〜10dの制御プログラムは、まず運転中に他の安全制御装置のプロセスデータを受け取るように設計されている。これは、論理規則がそのように受信されるプロセスデータの一部又は全体に依存して定義されている可能性があるからである。
図2は図1の最大構成の部分構成を示している。この構成では、陰影を付けた矩形34で示されているように、2つの安全制御装置10c及び10dがネットワークから切り離されている。従って、実際に存在するネットワークは残りの2つの安全制御装置10a及び10bのみで構成されている。しかし、論理規則を持つ制御プログラムは欠落した安全制御装置10c及び10dの情報を待ち受けている。そのため、ネットワークを通じて送信されなくなったプロセスデータを事前に定義されたプロセスデータ(デフォルトのプロセスのコピー)で置き換える。このデータは各安全制御装置10a及び10bのそれぞれの記憶装置15に保存されている。事前定義プロセスデータは、安全制御装置10c及び10dが存在していなくても、残りの安全制御装置10a及び10bが、例えばプロセスデータを用いて、有効な制御信号、つまり安全制御装置の通常の円滑な運転に対応した制御信号を出力するように選ばれている。既に何度か使った非常停止の例では、欠落した安全制御装置10c及び10dの1つが非常停止するはずであるが、今の例では、非常停止スイッチを表すプロセスデータが例えば「非常停止スイッチはオンになっていない」という値に設定されている。
図1に示した最大構成のシステム全体を設計する際にも、各参加装置、つまり各安全制御装置10a〜10dに対応する事前定義プロセスデータが確定され、他の安全制御装置10a〜10dに通知される。
事前定義プロセスデータがあれば、図2の部分構成でも完全に配備可能である。その際、制御プログラムの変更等を行う必要はなく、また可能な部分構成を認識するために論理規則が場合分けを行う必要もない。
安全制御装置10a〜10dは、それらが同一の最大構成に属するかどうかを、例えば一意のグループID番号を交換することにより検査する。これにより、事前定義プロセスデータが互いに適合していることが証明される。この検査はまず第1に設備の起動時に行われる。ある装置が別のグループに属していることが分かった場合、システムは運転を開始しない。
図2に例示したような実際の部分構成は、安全制御装置10a〜10dに記憶される。設備の起動の際、実際に存在する安全制御装置10a〜10dと記憶された部分構成とが比較される。全ての安全制御装置10a〜10dが同じグループID番号を持っていて、ネットワークが所期の安全制御装置10a〜10dを全て含んでいれば、設備を自由に利用可能にすることができる。
いずれかの安全制御装置10a〜10dが欠落している等の理由により、認識された部分構成が記憶された部分構成と食い違っている場合、その理由としては、欠陥と、意図的な設備変更の2つが考えられる。それゆえシステムは、この変更が意図的なものであり、認識された設備が所望の部分構成に一致するかどうかを確認メカニズムを通じて確かめる。確認に対する応答がなければ、設備の自由な利用が拒否される。この確認が行われた後、その新たな部分構成が記憶装置に保存され、グループの安全制御装置10a〜10dは、最大構成から欠落している安全制御装置10a〜10dのための事前定義プロセスデータを用いて作動する。切り離すべき安全制御装置10a〜10dの切断、又は交換された安全制御装置10a〜10dの新たな接続の後、新たな部分構成の承認さえ行えば、変更後の設備に安全制御装置10a〜10dのネットワークを適合させるために他に何もする必要はない。
Claims (15)
- センサ(20)を接続するための少なくとも1つの入力部(18)、駆動装置(24)を接続するための少なくとも1つの出力部(22)、制御関連情報を交換するために別の安全制御装置(10a〜10d)を接続するための少なくとも1つの通信インタフェース(30)、並びに、所定の論理規則に基づいて、前記入力部(18)からの入力信号に依存する及び/又は前記制御関連情報に依存する制御信号を前記出力部(22)に生成する制御プログラムを実行するように構成された制御ユニット(14)を備える安全制御装置(10)において、
前記制御プログラムは、所期の安全制御装置(10a〜10d)が接続されていないことを確認したとき、該所期の安全制御装置(10a〜10d)から伝送されるべき制御関連情報の代わりに事前定義情報を用いること
を特徴とする安全制御装置(10)。 - 前記制御関連情報が、各安全制御装置のプロセスの少なくとも部分的なコピーである、請求項1に記載の安全制御装置(10)。
- 前記事前定義情報が、支障なく作動した場合に予想される安全制御装置のプロセスを仮にコピーしたものの少なくとも一部である、請求項1又は2に記載の安全制御装置(10)。
- 前記通信インタフェースが安全な通信に対応している、請求項1〜3のいずれかに記載の安全制御装置(10)。
- 前記安全制御装置(10)がモジュール形式で構成され、複数の入力(18)及び/又は複数の出力(22)を備える少なくとも1つの接続モジュール(16)を備え、第1の接続モジュール(16a)が前記制御ユニット(14)に接続され、他の接続モジュール(16b〜16d)が前段に配置された接続モジュール(16a〜16c)だけにそれぞれ接続されていることにより、前記制御ユニット(14)が前記接続モジュール(16a〜16d)とともにモジュール列を形成している、請求項1〜4のいずれかに記載の安全制御装置(10)。
- 前記制御ユニット(14)が制御モジュール(12)を構成し、前記接続モジュール(16a〜16d)と同様に該制御モジュール(12)も少なくともいくつかの次元において互いに同じ幾何的な外形を有する1つのケーシングにそれぞれ収納され、各接続モジュール(16a〜16d)がモジュール列の前段のモジュール(12、16a〜16c)への接続及び後段のモジュール(16b〜16d)への接続を備える、請求項5に記載の安全制御装置(10)。
- 請求項1〜6のいずれかに記載の複数の安全制御装置(10a〜10d)が通信インタフェース(30)を通じて接続されたネットワーク内に配置されて成る装置配列であって、1つの安全制御装置(10a〜10d)がマスターとして、他の安全制御装置(10a〜10d)がスレーブとしてそれぞれ構成されるか、若しくはマルチ・マスター・ネットワーク内で複数又はすべての安全制御装置(10a〜10d)がマスターとして構成されているもの。
- ネットワーク内の各安全制御装置(10a〜10d)の制御プログラムが、所定の最大数の安全制御装置(10a〜10d)を備える所定の最大構成のための論理規則を用いる、請求項7に記載の装置配列。
- 装置配列の個々の安全制御装置(10a〜10d)の制御プログラムが、特に安全制御装置(10a〜10d)のアクティブ化の際に、装置配列の全ての安全制御装置(10a〜10d)が同じ最大構成のために構成されているかどうかを互いに比較する、請求項8に記載の装置配列。
- 装置配列の個々の安全制御装置(10a〜10d)の制御プログラムが、安全制御装置(10a〜10d)が記憶された最大構成の部分構成の装置配列に一致するかどうかを、特に安全制御装置(10a〜10d)のアクティブ化の際に、互いに比較する、請求項8又は9に記載の装置配列。
- 所定の論理規則に基づき、安全制御装置(10)の入力部(18)からの少なくとも1つのセンサ(20)の入力信号に依存し、かつ、他の安全制御装置(10a〜10d)により少なくとも1つの通信インタフェース(30)で交換される制御関連情報に依存して、少なくとも1つの駆動装置(24)に対する制御信号を前記安全制御装置(10)の出力部(22)に発生させる方法において、
所期の安全制御装置(10a〜10d)が通信インタフェース(30)に接続されていないときには、該所期の安全制御装置(10a〜10d)から伝送されるべき制御関連情報の代わりに事前定義情報を用いて前記制御信号を発生すること
を特徴とする方法。 - 前記論理規則及び事前定義情報が、ネットワーク内の安全制御装置(10a〜10d)の最大数を含む最大構成のために設計されている、請求項11に記載の方法。
- 最大構成の部分構成への適応が、安全制御装置(10a〜10d)をネットワークから取り外す又は交換し、その際に変更された構成を特別に承認して自由に使用可能な状態にする、という手順で行われる、請求項12に記載の方法。
- ネットワークに接続されている全ての安全制御装置(10a〜10d)が同じ最大構成のために構成されているかどうかが、特に該安全制御装置(10a〜10d)のアクティブ化の際に検査される、請求項12又は13に記載の方法。
- ネットワークに接続されている全ての安全制御装置(10a〜10d)が、記憶された最大構成の部分構成に一致するかどうかが、特に安全制御装置(10a〜10d)のアクティブ化の際に検査される、請求項12〜14のいずれかに記載の方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP09173909.4 | 2009-10-23 | ||
| EP09173909A EP2315088B1 (de) | 2009-10-23 | 2009-10-23 | Sicherheitssteuerung |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011090675A true JP2011090675A (ja) | 2011-05-06 |
| JP5584584B2 JP5584584B2 (ja) | 2014-09-03 |
Family
ID=41478747
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010234857A Expired - Fee Related JP5584584B2 (ja) | 2009-10-23 | 2010-10-19 | 安全制御装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20110098830A1 (ja) |
| EP (1) | EP2315088B1 (ja) |
| JP (1) | JP5584584B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220121166A1 (en) * | 2020-10-21 | 2022-04-21 | Ring Bus Americas LLC | Safety Network Controller Redundancy in an Electronic Safety System |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2367083B1 (de) * | 2010-03-19 | 2016-10-05 | Sick Ag | Vorrichtung zur Erstellung eines Programms für eine speicherprogrammierbare Steuerung, Programmiereinrichtung und Verfahren zur Programmierung einer speicherprogrammierbaren Steuerung |
| EP2375636A1 (de) * | 2010-03-29 | 2011-10-12 | Sick Ag | Vorrichtung und Verfahren zum Konfigurieren eines Bussystems |
| EP2741451B1 (de) * | 2012-12-06 | 2017-04-26 | Sick Ag | Verfahren zum Anbinden eines Hardwaremoduls an einen Feldbus |
| DE102013112488A1 (de) * | 2013-11-13 | 2015-05-13 | Pilz Gmbh & Co. Kg | Sicherheitssteuerung mit konfigurierbaren Eingängen |
| US10152030B2 (en) | 2013-12-31 | 2018-12-11 | Rockwell Automation Technologies, Inc. | Safety relay configuration system with safety monitoring and safety output function blocks |
| US9977407B2 (en) | 2013-12-31 | 2018-05-22 | Rockwell Automation Technologies, Inc. | Safety relay configuration system for safety mat device using graphical interface |
| US10020151B2 (en) * | 2013-12-31 | 2018-07-10 | Rockwell Automation Technologies, Inc. | Safety relay configuration system with multiple test pulse schemes using graphical interface |
| JP5964472B1 (ja) * | 2015-02-03 | 2016-08-03 | ファナック株式会社 | ロボットと工作機械の動作制限機能を有する加工システム |
| AT517784B1 (de) * | 2015-10-01 | 2021-01-15 | B & R Ind Automation Gmbh | Verfahren zur automatisierten Steuerung einer Maschinenkomponente |
| JP6613851B2 (ja) * | 2015-11-30 | 2019-12-04 | 株式会社デンソーウェーブ | ロボットシステム |
| US9768572B1 (en) | 2016-04-29 | 2017-09-19 | Banner Engineering Corp. | Quick-connector conversion system for safety controller |
| EP3316401B1 (de) * | 2016-10-25 | 2018-10-24 | Sick Ag | Steuerung zum sicheren steuern zumindest einer maschine |
| EP3652037B1 (en) | 2017-07-13 | 2023-09-13 | Danfoss Power Solutions II Technology A/S | Electromechanical controller |
| EP3435179B1 (de) | 2017-07-25 | 2020-07-08 | Wieland Electric GmbH | Verfahren zum gemäss einer sicherheitsnorm funktional sicheren austausch von informationen |
| DE102017214892A1 (de) * | 2017-08-25 | 2019-02-28 | Lenze Automation Gmbh | Verfahren zur Inbetriebnahme eines Steuergerätesystems und Steuergerätesystem |
| BE1026448B1 (de) * | 2018-06-27 | 2020-02-04 | Phoenix Contact Gmbh & Co | Verfahren und Vorrichtung zur Konfiguration einer Hardwarekomponente |
| US11879871B2 (en) * | 2018-11-30 | 2024-01-23 | Illinois Tool Works Inc. | Safety systems requiring intentional function activation and material testing systems including safety systems requiring intentional function activation |
| US11726018B2 (en) * | 2018-11-30 | 2023-08-15 | Illinois Tool Works Inc. | Safety system interfaces and material testing systems including safety system interfaces |
| EP4345559A1 (en) * | 2022-09-27 | 2024-04-03 | Schneider Electric Industries SAS | Process image sharing across multiple programmable automation controllers |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS5759203A (en) * | 1980-09-27 | 1982-04-09 | Toshiba Corp | Control device for multiprogrammable controller |
| JP2007242036A (ja) * | 2001-05-31 | 2007-09-20 | Omron Corp | コントローラシステムの設定方法並びにコントローラシステムのモニタ方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19742716C5 (de) * | 1997-09-26 | 2005-12-01 | Phoenix Contact Gmbh & Co. Kg | Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten |
| US8055814B2 (en) * | 2005-03-18 | 2011-11-08 | Rockwell Automation Technologies, Inc. | Universal safety I/O module |
| EP1887444B1 (de) * | 2006-08-10 | 2008-12-03 | Sick Ag | Prozesssteuerung |
| DE102007063291A1 (de) * | 2007-12-27 | 2009-07-02 | Robert Bosch Gmbh | Sicherheitssteuerung |
| ATE509304T1 (de) * | 2008-03-07 | 2011-05-15 | Sick Ag | Verfahren und vorrichtung zum programmieren und/oder konfigurieren einer sicherheitssteuerung |
-
2009
- 2009-10-23 EP EP09173909A patent/EP2315088B1/de active Active
-
2010
- 2010-09-10 US US12/879,556 patent/US20110098830A1/en not_active Abandoned
- 2010-10-19 JP JP2010234857A patent/JP5584584B2/ja not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS5759203A (en) * | 1980-09-27 | 1982-04-09 | Toshiba Corp | Control device for multiprogrammable controller |
| JP2007242036A (ja) * | 2001-05-31 | 2007-09-20 | Omron Corp | コントローラシステムの設定方法並びにコントローラシステムのモニタ方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220121166A1 (en) * | 2020-10-21 | 2022-04-21 | Ring Bus Americas LLC | Safety Network Controller Redundancy in an Electronic Safety System |
| US11609543B2 (en) * | 2020-10-21 | 2023-03-21 | Ring Bus Americas LLC | Safety network controller redundancy in an electronic safety system |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2315088B1 (de) | 2013-03-13 |
| US20110098830A1 (en) | 2011-04-28 |
| EP2315088A1 (de) | 2011-04-27 |
| JP5584584B2 (ja) | 2014-09-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5584584B2 (ja) | 安全制御装置 | |
| US8515563B2 (en) | Safety controller | |
| JP4317341B2 (ja) | 安全関連オートメーション・バス・システム | |
| CN101405666B (zh) | 用于验证安全通信部件安装位置的方法及控制和数据传送系统 | |
| CN105103061B (zh) | 控制和数据传输设备、处理装置和具有分散冗余的用于冗余的过程控制的方法 | |
| US10089271B2 (en) | Field bus system | |
| US20110313580A1 (en) | Method and platform to implement safety critical systems | |
| EP3091404B1 (en) | Safety controller with rapid backup and configuration | |
| JP2011181072A (ja) | システム設定可能な安全制御装置を有する安全装置 | |
| US10261506B2 (en) | Method of adding software to a field maintenance tool | |
| EP3163390A1 (en) | Safety controller module | |
| JP2007312573A (ja) | ビルディングブロック型のセーフティ・コントローラにおけるioユニット | |
| EP3076250A1 (en) | Method and system for defining slot addresses | |
| CN109188895A (zh) | 一种基于冗余设计的伺服控制系统 | |
| CN110678817B (zh) | 用于参数化现场设备的方法和可参数化的现场设备 | |
| JP4849261B2 (ja) | 安全アプリケーション作成支援装置 | |
| EP2293161B1 (en) | Electronic control system for drilling devices | |
| US9241043B2 (en) | Method of connecting a hardware module to a fieldbus | |
| KR101622521B1 (ko) | Plc 통신 장치 | |
| US10599117B2 (en) | Safety-oriented automation system | |
| JP6163735B2 (ja) | 安全スレーブユニット、その制御方法、その制御プログラム、および安全制御システム | |
| US20190149510A1 (en) | Method, Addressing Device, Computer Program Product, Industrial System and Facility for Safely Issuing Addresses to Modules in a Network | |
| CN113545013A (zh) | 网络管理装置、管理方法、管理程序以及记录介质 | |
| US11669391B2 (en) | Data processing procedure for safety instrumentation and control (IandC) systems, IandC system platform, and design procedure for IandC system computing facilities | |
| US20240053717A1 (en) | Modular control apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130424 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140204 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20140501 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20140508 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20140603 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20140606 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140627 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140715 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140718 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5584584 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |